CN104539600B - 一种支持过滤iec104协议的工控防火墙实现方法 - Google Patents
一种支持过滤iec104协议的工控防火墙实现方法 Download PDFInfo
- Publication number
- CN104539600B CN104539600B CN201410801356.5A CN201410801356A CN104539600B CN 104539600 B CN104539600 B CN 104539600B CN 201410801356 A CN201410801356 A CN 201410801356A CN 104539600 B CN104539600 B CN 104539600B
- Authority
- CN
- China
- Prior art keywords
- iec104
- packet
- keeper
- data packet
- fire wall
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 22
- 238000001914 filtration Methods 0.000 claims abstract description 36
- 238000001514 detection method Methods 0.000 claims description 11
- 238000007689 inspection Methods 0.000 claims description 8
- 230000003139 buffering effect Effects 0.000 claims description 3
- 230000006870 function Effects 0.000 description 13
- 238000010586 diagram Methods 0.000 description 2
- 206010022000 influenza Diseases 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种支持过滤IEC104协议的工控防火墙实现方法,该方法通过在防火墙内核中设置的IEC104模块,对数据包进行过滤处理,不仅实现了对工控协议IEC104的过滤与合法性检查,保障工业指令的合法性、有效性与完整性,提高了过滤效率;而且实现了原来只能通过代理方式实现的内容过滤功能;避免了代理方式对CPU的资源消耗;此外,本发明的防火墙管理员按不同权限进行了划分,管理员进入系统时采用两种身份鉴别方式,增强了系统的安全性。
Description
技术领域
本发明涉及工控防火墙领域,尤其涉及一种支持过滤IEC104协议的高性能工控防火墙实现方法。
背景技术
随着工控领域信息安全需求的不断增长,防火墙显得日益重要;就工控领域的特殊性,对一些常用的工业控制协议,如IEC104协议,进行过滤是工控防火墙必不可少的功能。
由于以太网的通信容量大和TCP/IP规约的开放性好的特点,以太网已被一致认为是变电站自动化系统的站内局域网未来的发展方向。IEC104规约是把IEC101的应用服务数据单元(ASDU)用网络规约TCP/IP进行传输的标准,该标准为远动信息的网络传输提供了通信规约的依据,采用104规约组合101规约的ASDU方式后,可很好的保证规约的标准化和通信的可靠性。
然而,传统的包过滤防火墙在网络层和传输层起作用,根据数据包的IP源地址、IP目的地址、TCP源端口号、TCP链路状态等因素或他们的组合来确定是否允许数据包通过,此种方式对IEC104协议并不适用;且包过滤防火墙没有针对常用的工业控制协议。此外,代理防火墙工作在应用层,完全控制会话,针对特定的应用层协议,通过对每种应用服务建立专门的代理服务程序,其虽然可以实现监控和控制应用层通信流的作用,但是其速度较慢,消耗过多的CPU资源,影响了代理防火墙的推广应用。
发明内容
针对现有技术存在的不足,本发明的目的是提供一种支持过滤IEC104协议的工控防火墙实现方法,该方法通过在防火墙内核中设置的IEC104模块,对数据包进行过滤处理,不仅实现了对工控协议IEC104的过滤与合法性检查,保障工业指令的合法性、有效性与完整性,提高了过滤效率;而且实现了原来只能通过代理方式实现的内容过滤功能;避免了代理方式对CPU的资源消耗。
为实现上述目的,一种支持过滤IEC104协议的工控防火墙实现方法,所述方法包括如下步骤:
1)将防火墙设置为桥接模式,将IEC104主站和IEC104从站分别设置于防火墙不同的以太网接口上;
2)防火墙包过滤模块对所有进入防火墙的数据包进行系统安全检查;
3)管理员自定义数据包过滤规则,当数据包满足自定义数据包过滤规则时允许通过,否则将数据包丢弃;
4)防火墙包过滤模块对数据包是否为IEC104协议进行检测,当数据包为IEC104协议时允许通过,否则将数据包丢弃;
5)防火墙通过IEC104模块进行IEC104协议过滤。
进一步,所述步骤2)中的系统安全检查具体为:安全策略采用最少数据报文通过的原则,包过滤模块基于源IP地址、目的IP地址以及基于源端口、目的端口和基于协议类型提供安全检查。
进一步,所述步骤3)具体为:
①防火墙将管理员按不同权限划分为超级管理员、管理员和审计员三种身份,每种身份对应不同权限的系统操作,进入系统操作时对管理员的身份同时进行密码和指纹识别两种身份鉴别方式;
②管理员的管理命令集合是一个特制的、封闭的精简集合,管理员根据指定的配置操作进行自定义数据包过滤规则的设定;
③系统对管理员的操作命令进行检查,将不符合规定格式的操作命令或是拒绝或是使用系统缺省值,避免了缓冲区产生溢出攻击的可能性。
进一步,所述步骤5)具体为:
①IEC104模块对数据包的完整性进行检测,当数据包完整时进行下一步检测,否则将数据包丢弃;
②IEC104模块检查数据包内报文的功能码是否符合用户设定的功能码,当符合用户设定的功能码时进行下一步检测,否则将数据包丢弃;
③IEC104模块检查数据包内的设备号是否是用户设定的设备节点,当设备号是用户设定的设备节点时进行下一步检测,否则将数据包丢弃;
③IEC104模块对数据包内数据内容描述的寄存器值进行检测,查看是否符合用户设定的权限,当符合用户设定的权限时允许数据包通过,否则将数据包丢弃。
进一步,所述步骤①中对数据包的完整性进行检测包括数据包的协议头区域和数据区域。
本发明的一种支持过滤IEC104协议的工控防火墙实现方法通过在内核中设置的IEC104模块,对数据包进行过滤处理,不仅实现了对工控协议IEC104的过滤与合法性检查,保障工业指令的合法性、有效性与完整性,提高了过滤效率;而且实现了原来只能通过代理方式实现的内容过滤功能;避免了代理方式对CPU的资源消耗;此外,本发明的防火墙管理员按不同权限划分为超级管理员、管理员和审计员三种身份,管理员进入系统时采用密码和指纹识别两种身份鉴别方式进行身份识别,增强了系统的安全性。
附图说明
图1为本发明中防火墙系统的整体结构示意图;
图2为本发明中防火墙与IEC104模块连接示意图;
图3为本发明对IEC104协议进行过滤的流程图。
具体实施方式
下面结合附图说明本发明。
如图1-3所示,本发明提供了一种支持过滤IEC104协议的工控防火墙实现方法,其主要是通过在防火墙的内核中设置一IEC104模块,实现工控协议IEC104协议的过滤,由于IEC104模块直接在内核工作,对IEC104协议报文的功能码、设备号、偏移地址以及寄存器值等数据过滤,提高了过滤效率,并且实现了原来只能通过代理方式实现的内容过滤功能,避免了代理方式对CPU的资源消耗。
本发明的IEC104模块是在工控防火墙内部的一段用程序设计语言编辑的代码,防火墙用户可通过防火墙的管理接口对IEC104协议设定过滤规则,如设置某IEC104从站只能读取某功能码数据。本发明的过滤方法具体过程如下:
步骤1:将防火墙设置为桥接模式,将IEC104主站和IEC104从站分别设置于防火墙统一网桥中的不同的以太网接口上;以便建立会话跟踪;其中,对数据包的完整性进行检测包括数据包的协议报头区域和数据区域。
步骤2:防火墙包过滤模块对所有进入防火墙的数据包进行系统安全检查;不达标的数据包将被丢弃;其中,安全策略采用最少数据报文通过的原则,包过滤模块基于源IP地址、目的IP地址以及基于源端口、目的端口和基于协议类型提供安全检查。
步骤3:管理员自定义数据包过滤规则,当数据包满足自定义数据包过滤规则时允许通过,否则将数据包丢弃;其中,防火墙将管理员按不同权限划分为超级管理员、管理员和审计员三种身份,每种身份对应不同权限的系统操作,进入系统操作时对管理员的身份同时进行密码和指纹识别两种身份鉴别方式,提高了系统的安全性;管理员的管理命令集合是一个特制的、封闭的精简集合,管理员根据指定的配置操作进行自定义数据包过滤规则的设定,而不能进行其他可能危害系统本身的危险操作,这样防止管理员的误操作对系统造成不可挽回的破坏;系统对管理员的操作命令进行检查,将不符合规定格式的操作命令或是拒绝或是使用系统缺省值,避免了缓冲区产生溢出攻击的可能性。
步骤4:防火墙包过滤模块对数据包是否为IEC104协议进行检测,当数据包为IEC104协议时允许通过,否则将数据包丢弃。
步骤5:防火墙通过IEC104模块进行IEC104协议过滤;其中,IEC104模块首先对数据包的完整性进行检测,当数据包完整时进行下一步检测,否则将数据包丢弃;其次,IEC104模块检查数据包内报文的功能码是否符合用户设定的功能码,当符合用户设定的功能码时进行下一步检测,否则将数据包丢弃;然后,IEC104模块检查数据包内的设备号是否是用户设定的设备节点,当设备号是用户设定的设备节点时进行下一步检测,否则将数据包丢弃;最后,IEC104模块对数据包内数据内容描述的寄存器值进行检测,查看是否符合用户设定的权限,当符合用户设定的权限时允许数据包通过,否则将数据包丢弃。
IEC104模块具有识别协议、检验协议的完整性、识别协议报文的功能码、设备号、偏移地址以及寄存器值的功能,对于不符合规则的数据包,本发明防火墙的缺省动作是拒绝;规则按顺序执行,一旦和数据包匹配成功,就进行相应操作,不再执行后面的规则。这样业务数据IEC104报文在通过防火墙时能获取最短的时延。
本发明的过滤方法,不仅实现了对工控协议IEC104的过滤与合法性检查,提高了过滤效率;而且实现了原来只能通过代理方式实现的内容过滤功能;此外,本发明的防火墙管理员按不同权限划分为超级管理员、管理员和审计员三种身份,管理员进入系统时采用密码和指纹识别两种身份鉴别方式进行身份识别,增强了系统的安全性。
以上是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (1)
1.一种支持过滤IEC104协议的工控防火墙实现方法,其特征在于,所述方法包括如下步骤:
1)将防火墙设置为桥接模式,将IEC104主站和IEC104从站分别设置于防火墙不同的以太网接口上;
2)防火墙包过滤模块对所有进入防火墙的数据包进行系统安全检查;
3)管理员自定义数据包过滤规则,当数据包满足自定义数据包过滤规则时允许通过,否则将数据包丢弃;
4)防火墙包过滤模块对数据包是否为IEC104协议进行检测,当数据包为IEC104协议时允许通过,否则将数据包丢弃;
5)防火墙通过IEC104模块进行IEC104协议过滤;
所述步骤2)中的系统安全检查具体为:安全策略采用最少数据报文通过的原则,包过滤模块基于源IP地址、目的IP地址以及基于源端口、目的端口和基于协议类型提供安全检查;
所述步骤3)具体为:
①防火墙将管理员按不同权限划分为超级管理员、管理员和审计员三种身份,每种身份对应不同权限的系统操作,进入系统操作时对管理员的身份同时进行密码和指纹识别两种身份鉴别方式;
②管理员的管理命令集合是一个特制的、封闭的精简集合,管理员根据指定的配置操作进行自定义数据包过滤规则的设定;
③系统对管理员的操作命令进行检查,将不符合规定格式的操作命令或是拒绝或是使用系统缺省值,避免了缓冲区产生溢出攻击的可能性;
所述步骤5)具体为:
①IEC104模块对数据包的完整性进行检测,当数据包完整时进行下一步检测,否则将数据包丢弃;
②IEC104模块检查数据包内报文的功能码是否符合用户设定的功能码,当符合用户设定的功能码时进行下一步检测,否则将数据包丢弃;
③IEC104模块检查数据包内的设备号是否是用户设定的设备节点,当设备号是用户设定的设备节点时进行下一步检测,否则将数据包丢弃;
③IEC104模块对数据包内数据内容描述的寄存器值进行检测,查看是否符合用户设定的权限,当符合用户设定的权限时允许数据包通过,否则将数据包丢弃;
所述步骤①中对数据包的完整性进行检测包括数据包的协议头区域和协议数据区域。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410801356.5A CN104539600B (zh) | 2014-12-22 | 2014-12-22 | 一种支持过滤iec104协议的工控防火墙实现方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410801356.5A CN104539600B (zh) | 2014-12-22 | 2014-12-22 | 一种支持过滤iec104协议的工控防火墙实现方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104539600A CN104539600A (zh) | 2015-04-22 |
| CN104539600B true CN104539600B (zh) | 2018-01-26 |
Family
ID=52855069
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410801356.5A Active CN104539600B (zh) | 2014-12-22 | 2014-12-22 | 一种支持过滤iec104协议的工控防火墙实现方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104539600B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107196931B (zh) * | 2017-05-17 | 2020-09-08 | 南京南瑞继保电气有限公司 | 一种基于网络隔离装置的深度报文检测方法 |
| US11546295B2 (en) | 2018-03-29 | 2023-01-03 | Agency For Science, Technology And Research | Industrial control system firewall module |
| CN109167762B (zh) * | 2018-08-14 | 2021-12-24 | 杭州迪普科技股份有限公司 | 一种iec104报文校验方法及装置 |
| CN110035013A (zh) * | 2019-02-28 | 2019-07-19 | 郑州轨道交通信息技术研究院 | 一种基于工控协议配置文件的流重组实现方法 |
| CN110084031B (zh) * | 2019-04-24 | 2022-10-14 | 四川吉赛特科技有限公司 | 一种认证逻辑可自定义的信息系统账号安全认证的方法 |
| CN111181984B (zh) * | 2019-12-31 | 2022-04-01 | 北京力控华康科技有限公司 | 一种基于环保212协议的安全防护方法、装置、系统、终端及存储介质 |
| CN117852027B (zh) * | 2024-01-09 | 2024-07-19 | 北京建恒信安科技有限公司 | 基于身份安全的工业控制系统防护方法、系统及存储介质 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101052046A (zh) * | 2007-05-22 | 2007-10-10 | 网御神州科技(北京)有限公司 | 一种用于防火墙的防病毒方法及装置 |
| CN103780601A (zh) * | 2012-10-17 | 2014-05-07 | 北京力控华康科技有限公司 | 一种自动建立以太网通信安全规则的方法 |
| CN102984170B (zh) * | 2012-12-11 | 2016-08-03 | 清华大学 | 一种工业控制网络安全过滤系统及方法 |
| CN103179226B (zh) * | 2013-03-20 | 2016-02-03 | 国家电网公司 | 一种配电终端通过nat方式接入调度数据网的方法 |
-
2014
- 2014-12-22 CN CN201410801356.5A patent/CN104539600B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN104539600A (zh) | 2015-04-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104539600B (zh) | 一种支持过滤iec104协议的工控防火墙实现方法 | |
| CN104519065B (zh) | 一种支持过滤Modbus TCP协议的工控防火墙实现方法 | |
| US8737398B2 (en) | Communication module with network isolation and communication filter | |
| CN101022340B (zh) | 实现城域以太网交换机接入安全的智能控制方法 | |
| CN105245555B (zh) | 一种用于电力串口服务器通信协议安全防护系统 | |
| CN104767748B (zh) | Opc服务器安全防护系统 | |
| CN100512109C (zh) | 验证接入主机安全性的访问认证系统和方法 | |
| CN102055674B (zh) | Ip报文及基于该ip报文的信息处理方法及装置 | |
| CN106060003A (zh) | 一种网络边界单向隔离传输装置 | |
| CN103139058A (zh) | 一种物联网安全接入网关 | |
| CN104734903B (zh) | 基于动态跟踪技术的opc协议的安全防护方法 | |
| CN103973700A (zh) | 移动终端预设联网地址防火墙隔离应用系统 | |
| CN110768965B (zh) | 一种基于报文置换的电网调度远方操作安全许可方法 | |
| CN101690104A (zh) | 基于交换的网络安全 | |
| CN105471907A (zh) | 一种基于Openflow的虚拟防火墙传输控制方法及系统 | |
| CN105488396B (zh) | 一种基于数据流关联分析技术的智能电网业务安全网关系统 | |
| CN116055254A (zh) | 一种安全可信网关系统、控制方法、介质、设备及终端 | |
| Luo et al. | Security analysis of the TSN backbone architecture and anomaly detection system design based on IEEE 802.1 Qci | |
| JP2004302538A (ja) | ネットワークセキュリティシステム及びネットワークセキュリティ管理方法 | |
| CN101286894A (zh) | 一种针对ip网络中非法接入的检测及控制方法 | |
| CN108449310B (zh) | 一种国产网络安全隔离与单向导入系统及方法 | |
| CN108881127A (zh) | 一种控制远程访问权限的方法及系统 | |
| Tippenhauer et al. | Vbump: Securing ethernet-based industrial control system networks with vlan-based traffic aggregation | |
| CN108768841A (zh) | Afdx安全网关系统及其传输方法 | |
| CN104363230B (zh) | 一种在桌面虚拟化中防护洪水攻击的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |