CN105493469A - 用于监控安全网络网关单元的方法、设备和系统 - Google Patents
用于监控安全网络网关单元的方法、设备和系统 Download PDFInfo
- Publication number
- CN105493469A CN105493469A CN201480046657.XA CN201480046657A CN105493469A CN 105493469 A CN105493469 A CN 105493469A CN 201480046657 A CN201480046657 A CN 201480046657A CN 105493469 A CN105493469 A CN 105493469A
- Authority
- CN
- China
- Prior art keywords
- network gateway
- unit
- data flow
- interface
- secure network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
按照本发明的用于监控安全网络网关单元(23)、例如防火墙的方法包括如下方法步骤:复制并且耦合输出在第二接口(22)上的数据流;在不容许的数据业务方面检验被耦合输出的数据流;如果在数据流中识别出不容许的数据业务,则向安全网络网关单元发送报警消息;和如果该报警消息在安全网络网关单元(23)中被接收,则通过该安全网络网关单元限制数据流;其中所述安全网络网关单元(23)通过第一接口(21)接收数据包流、相对于过滤规则检验该数据流并且将该数据流输出给第二接口(22)。按照本发明的设备或系统包括被这样构造为以便执行所提到的方法的单元。
Description
技术领域
本发明涉及一种用于监控网络网关单元的方法、设备和系统以及计算机程序和存储介质,所述网络网关单元通过第一接口接收数据包流,相对于过滤规则检验该数据流并且将该数据流输出给第二接口。
背景技术
安全网络网关单元(例如防火墙(Firewall))被安装在网络边界上,以便实现不同程度地关键性的网络区域的受控的耦合。在此,进行数据业务(Datenverkehr)的过滤,使得只允许通过容许的数据业务。在工业自动化系统(诸如在铁路自动化中的信号塔或者列车控制装置)中,在例如制造自动化的生产车间中,或者例如在过程自动化中的精炼厂或者酿造厂中,关键性的自动化区域关于安全方面与一般的网络(例如办公室网络)相耦合。为此,采用并且配置安全网关或防火墙,使得只有被容许的数据业务可以通过。
在此,数据流按照可配置的过滤规则被过滤。由于在实施安全网络网关单元中的错误或者由于在其配置、尤其是其过滤规则中的错误,或者也由于安全网络网关单元通过对该单元本身的攻击而妥协(Kompromittieren),存在安全网络网关单元有错误地工作并且本来使不容许的数据包允许通过的可能性。
迄今,安全网络网关单元的可能的不便之处通过如下方式被减轻:多个安全网络网关单元(例如多个防火墙)相继地被接通。在此,尤其是使用不同制造商的网络网关单元。然而这有缺点:延迟或抖动(Jitter)由于更长的处理时间而增加并且因此对于实时通信的要求不被满足。
另一方面,在安全网络网关单元中的过滤规则必须不断地被更新,以便可以保护、尤其是防御对(例如通过病毒或者蠕虫引起的)新的攻击。在某些工业自动化环境下,对完整性适用高要求,使得安全网络网关单元或在其中被实施的过滤规则必须被容许,并且安全网络网关单元的配置或者过滤规则或反病毒软件(Anti-Viren-Software)的改变或更新是不容许的。此外必须保证:通过安全网络网关单元到自动化网络中的数据流不被改变,尤其是没有额外的数据包通过网络网关单元被馈入到自动化网络中。
在DE102011007387中,例如安全网络网关单元的自监控是公知的。在此,检验对于发出的数据包是否已经接收到对应的进入的数据包。由此可以保证:网络网关单元没有在功能失误的情况下自己产生数据包。
发明内容
因此,本发明的任务是提出一种方法、一种设备和一种系统,所述方法将不容许的数据业务在转变到安全相关的(sicherheitsrelevant)数据网络中的情况下可靠地过滤并且即使在有错误的安全网络网关单元的情况下确保在安全相关的数据网络中的数据完整性。在此,安全网络网关单元的无反作用应该被保证,也就是说不允许额外的数据包通过安全网络网关单元被引入到安全网络中。
该任务由在独立权利要求中所描述的措施来解决。在从属权利要求中,本发明的有利的扩展方案被示出。
按照本发明的用于监控安全网络网关单元(例如防火墙)的方法包括如下方法步骤:复制并且耦合输出(Auskoppeln)在第二接口上的数据流;在不容许的数据业务方面检验被耦合输出的数据流;如果在数据流中识别出不容许的数据业务,则向安全网络网关单元发送报警消息;和如果该报警消息在安全网络网关单元(23)中被接收到,则通过该安全网络网关单元限制该数据流;其中所述安全网络网关单元通过第一接口接收数据包流、相对于过滤规则检验该数据流并且将该数据流输出给第二接口。
因为数据流在位于安全网络网关单元之后并且在安全相关的数据网络之内的第二接口上被分接,所以安全网络网关单元的功能失误可以通过检验该被过滤的数据流而被识别出。另一优点是,在这种怀疑(Verdacht)的情况下,安全网络网关单元关于此被通知并且因此可以非常迅速地发起用于限制数据流的措施。在此,因为作为从报告该怀疑得到的结果仅仅进行通过安全网络网关单元、尤其是防火墙来限制数据流,所以阻止了将消息引入到安全相关的数据网络本身中、也就是到第二接口中。因此,例如有容许义务的或者被证明的安全网络网关单元通过被更新的过滤软件在监控单元中被监控,而无须适配并且由此重新容许或者证明该网络网关单元本身的配置或软件版本。在指示不容许的数据业务的情况下,该数据业务被安全网络网关单元限制。安全网络网关单元可以(也许通过附加信息)在报警消息中根据该附加信息来采取合适的措施。
在一个有利的实施形式中,按照本发明的方法包括如下附加的方法步骤:复制并且耦合输出在第一接口上的数据流;比较在第一接口上的数据流与在第二接口上的数据流;和如果第二接口的数据流区别于第一接口的数据流,则向安全网络网关单元发送报警消息。
这有优点:也由安全网络网关单元成功地防御的不容许的数据业务被识别出。在这种情况下,根据所做出的预给定可以配置:进行到安全网络网关单元(例如防火墙)的有约束力(restriktiv)的运行方式的更换。由此也识别出,不曾存在于第一接口上的新的数据包被引入到安全相关的数据网络中,并且数据流立即被安全网络网关单元限制。
在一个有利的实施形式中,通过激活安全网络网关单元的置换过滤规则(Ersatz-Filterregeln)来进行数据流的限制。因此,用于受限制的运行的相协调的和例如被容许的过滤规则或有约束力的过滤规则可以事先被限定并且在怀疑不容许的数据进入到安全相关的数据网络的情况下,这些规则立即可以被激活。
因此,在网络网关的尽可能小的停止时间(Ausfallzeit)的情况下快速避开危险是可执行的。
在一个有利的实施形式中,通过利用受保护的起动软件重新起动安全网络网关单元或者通过利用置换固件重新起动安全网络网关单元或者通过在防火墙中从活跃的(aktive)虚拟机更换到置换虚拟机来进行对数据流的限制。
通过重新起动安全网络网关单元,在许多情况下可以撤销在网络网关单元的软件上的操纵,因为在重新起动的情况下该软件又被转置到最初的原始状态下。在嵌入式系统(所谓的EmbeddedSystem)的情况下,利用置换固件可以将重新起动复位,所述置换固件或者对应于最初的网络网关单元的原始状态或者包括更严格的过滤规则。在此,该置换固件可以被存放在只读存储器(ReadOnlyMemory)中或者在闪存中,所述只读存储器和闪存在防火墙的正常运行中是不可修改的。在将安全网络网关单元实施为虚拟机的情况下,通过从活跃的虚拟机更换到置换虚拟机可以达到相对应的效果。在此,在更换期间的停止时间特别小。因此,到安全相关的数据网络中的数据业务只是很短地被中断。
在另一有利的实施形式中,通过停用防火墙的第二接口和/或通过停用防火墙的第一接口来进行对数据流的限制。
如果第二接口被停用,那么决定性(definitiv)地保证,不可以将其它数据渗入到安全网络中。由于到达的数据流,过滤器的溢出或安全网络网关单元的损坏通过停用网络网关单元的第一接口而被避免。
在另一有利的实施形式中,通过停用安全网络网关单元的供电来进行数据流的限制。
因此,越过网络边界的数据流的物理中断被保证。该措施有优点:不管也许存在的或不存在的用于在网络网关单元上进行数据限制的可能性,该措施都可用于任何安全网络网关单元。由此,以很高的可靠性保证,没有数据通信通过安全网络网关单元进行。由此也可以实现的是,必要时持久地被存储在安全网络网关单元上的日志数据(Logdaten)和软件版本可用于稍后的分析、也就是说不被改写或者被删除。
在一个实施形式中,只要报警消息在防火墙上被接收到,对安全网络网关单元的限制就保持活跃。
这有优点:在消除安全鸿沟之后,越过网络边界的数据通信立即又可以活跃地被接通。停止时间因此被最小化。
在另一实施形式中,对网络网关单元的限制一直保持活跃,直到用于优选地通过管理人员的动作来取消限制的明确的信号在安全网络网关单元上被接收到。
这有优点:只有在保证消除缺陷之后或在执行所有的所希望的措施之后,网络网关单元才又进入运行。为此,在一个变型方案中,在安全网络网关单元上设置有本地输入接口,所述本地输入接口以按钮或者按键开关的形式被实现。
按照本发明的用于监控安全网络网关单元的设备包括:耦合输出单元,所述耦合输出单元被构造为以便将在第二接口上的数据流复制并且耦合输出到线路中;检验单元,所述检验单元被构造为以便在不容许的数据业务方面检验被耦合输出的数据流;和通信单元,所述通信单元被构造为以便如果在数据流中不容许的数据业务被识别出则向安全网络网关单元发送报警消息;其中所述安全网络网关单元通过第一接口接收数据包流、相对于过滤规则检验该数据流并且将该数据流输出给第二接口。
有利地,该设备可以利用例如固定地被预先给定的并且只是困难地可适配的过滤规则通过利用配备有最新的安全规则的设备来检验由网络网关单元所输出的数据流来检验安全网络网关单元,并且因此也识别出新的攻击方法(或不容许的数据)。因为该设备对在第二接口上的数据流没有影响,所以该设备无反作用地起作用,即不需要干涉(Eingriff)数据被交给的安全相关的数据网络。尽管如此,用于限制在第二接口上的数据流的快速的反应被给出。这尤其是有优点:例如由于所要求的证明或者容许(所述证明或者容许必须在更新时被重复),本来的安全网络网关单元不可以或者只可以受限制地被更新,也就是说过滤规则可以被更新或者被打补丁。与此相反,该设备(此外还称作监控设备)可以灵活地被更新,因为该设备对容许的通信是无反作用的。在此只要“活跃的”安全网络网关单元足够好,没有被更新的安全网络网关单元就可以保持运行。但是一旦观察到不容许的数据业务的出现,连通性就从外部被限制。
在一个有利的实施形式中,该设备包括:附加的耦合输出单元,所述附加的耦合输出单元被构造为以便复制并且耦合输出在第一接口上的数据流;和比较单元,所述比较单元被构造为以便将第一接口的被耦合输出的数据流与第二接口的数据流进行比较,并且在识别出在第二接口的数据流与第一接口的数据流之间的区别的情况下促使通信单元向安全网络网关单元发送报警消息。
有利地,由此识别出,网络网关单元成功地阻挡了不容许的数据业务,并且另一方面识别出,网络网关单元本身例如由于操纵引起地变化地而有错误地工作并且向第二接口输出例如不曾通过第一接口被接收到的额外的数据包。
用于监控安全网络网关单元的有利的系统包括:安全网络网关单元,所述安全网络网关单元被这样构造,以便通过第一接口接收数据包流、相对于过滤规则检验这些数据并且向第二接口输出这些数据;和监控单元,所述监控单元具有被构造用于复制并且耦合输出在第二接口上的数据流的耦合输出单元、具有用于在不容许的数据业务方面检验被耦合输出的数据流的检验单元和通信单元,所述通信单元被构造用于:如果在数据流中不容许的数据业务被识别出,则向安全网络网关单元发送报警消息,于是安全网络网关单元被设立来限制数据流。
在一个变型方案中可以将报警消息作为电开关信号提供。
在按照本发明的系统的一个有利的实施形式中,监控设备附加地包括:耦合输出单元,所述耦合输出单元被构造为以便复制并且耦合输出在第一接口上的数据流;和比较单元,所述比较单元被构造为以便比较第一接口的被耦合输出的数据流与第二接口的数据流,并且在识别出在第二接口的数据流与第一接口的数据流之间的区别的情况下,促使通信单元向安全网络网关单元发送报警消息。
附加地,请求保护一种具有用于执行本方法的程序指令的计算机程序以及存储该计算机程序的数据载体。
附图说明
按照本发明的方法、按照本发明的设备和按照本发明的系统的实施例在附图中示例性地被示出并且依据随后的描述进一步被阐明。
图1a作为流程图示出了按照本发明的方法的第一示例性实施形式;
图1b作为流程图示出了按照本发明的方法的第二示例性实施形式;
图1c作为流程图示出了按照本发明的方法的第三示例性实施形式;
图2以示意图示出了按照本发明的在耦合输出仅仅在第二接口上的数据流的情况下的系统的第一实施例;和
图3以示意图示出了按照本发明的在耦合输出在第一接口上的和在第二接口上的数据流的情况下的系统的第二实施例。
在所有附图中,彼此相对应的部分被配备有相同的参考符号。此外,也仅仅利用网络网关单元来标明安全网络网关单元。
具体实施方式
图1a示出了所建议的为了无反作用地监控网络网关单元的正确的功能的方法。在此,无反作用意味着数据网络(数据业务被交给所述数据网络)不受网络网关单元影响。尤其是,通过网络网关单元不产生并且不向这种例如安全相关的自动化网络输出额外的数据包。
在该方法的状态10下,安全网络网关单元在第一接口上接收到第一数据网络的数据流,并且在检验之后将该数据流输出到第二数据网络、例如安全相关的自动化网络中的第二接口上。
在第一方法步骤11中,在第二接口上、也就是说已经在第二数据网络之内的数据流,该数据流被复制并且例如被耦合输出到单独的线路中。在此,必须保证数据流在安全相关的网络之内并且在改变该数据流的部件之前被耦合输出。于是在方法步骤12中,在不容许的数据业务方面检验被耦合输出的数据流。所述检验12例如可以通过按照网络网关单元的活跃的过滤规则的过滤规则来进行。优选地,被耦合输出的数据流但是通过被扩展的、例如利用最新的反病毒补丁(Anti-Virus-Patchen)被更新的过滤规则来检验。在此,通常检验数据包的IP地址和/或在数据包中的端口号或者在数据包中的有用数据内容,或者根据有针对性的攻击模式越过多个数据包调查该数据流。
所述检验12与数据流的检验完全去耦地在网络网关单元中进行。在第二接口上的数据流既不在时间上被延迟也不在内容上被改变。因此,被耦合输出的数据流的检验12保持完全不可见,并且因此对于接收该数据流的网络保持无反作用。如果数据流被识别为容许的数据业务,那么向第二接口输出数据包并且该方法结束,参见方法步骤13。
如果在数据流中不容许的数据业务被识别出,那么在方法步骤14中向网络网关单元发送报警消息。如果该网络网关单元得到该报警消息,那么该网络网关单元促使数据流的限制,参见方法步骤15。该方法以此结束,参见方法步骤13。
在本方法的在图1b中所示出的一个变型方案中,对于第二接口的不曾在步骤12中已经被识别为容许的数据包,附加地,根据在第一接口上所接收到的数据流而进行检查。为此,检测在网络网关单元的第一接口上被复制的并且被耦合输出的数据流,参见方法步骤16。接着,在下一方法步骤17中,第一接口的被耦合输出的数据流被考虑用于数据包的进一步的检查。
例如在第二接口上,状态消息(例如过载消息或者维护模式消息)可以由网络网关单元发出,这只有当确定的数据包已经在网络网关的第一接口上被接收到时才在本例中是容许的。例如可以检查,是否在网络网关单元的第一接口上存在拒绝服务攻击模式(Denial-of-Service-Angriffsmuster),或是否用于网络网关单元的维护通道(远程服务访问(RemoteServiceAccess))通过网络网关单元的第一接口、例如通过HTTPS或者SSH连接而进行。
如果数据流在方法步骤17中的检验中被识别为容许的数据业务,那么向第二接口输出数据包并且该方法结束,参见方法步骤13。如果第二接口的包被识别为不容许的,那么也在这里在方法步骤14中向网络网关单元发送报警消息,于是网络网关单元促使数据流的限制,参见方法步骤15。
在本方法的另一实施形式中,进入到安全网络网关单元中的数据流在第一接口上被复制并且被耦合输出,而且接着附加地,第一接口的被耦合输出的数据流与第二接口的被耦合输出的数据流进行比较。该检验可以与在图1a或者图1b中所示出的检验并行地进行。
在图1c中所示出的变型方案中,如果在步骤12中数据流被识别为容许的数据业务,那么进行附加的检验18。为此,检测在网络网关单元的第一接口上被复制的并且被耦合输出的数据流,参见方法步骤16。接着,在下一方法步骤18中,第一接口的被耦合输出的数据流被考虑用于数据包的进一步检查。在此,针对在第二接口上所接收到的数据包检查,相同的数据包是否曾存在于第一接口的数据流中或在确定的过去的时间窗中曾存在于第一接口的数据流中。如果这是这种情况,那么该检验结束,参见方法步骤13。如果然而在所述两个数据流中的不一致被确定,那么也在这里在方法步骤14'中向网络网关单元发送报警消息,于是网络网关单元促使数据流的限制,参见方法步骤15。
该附加的、在图1c中被示出的检验也可以相对应地在图1b中所示出的变型方案中被补充。
通过比较进入的数据流与发出的数据流,一方面,也就是说如果不容许的进入的数据包没有被包含在发出的数据流中,那么可以探测到已经进行通过网络网关单元的过滤。如果与此相反在第二接口上的发出的数据流中探测到没有在第一接口上进入到网络网关单元的数据包,那么同样可以推断出在网络网关单元中的错误。尤其是,如果网络网关单元不是阻塞(blocken)或者不改变地转发数据包而是发出被修改的数据包或者额外的数据包,则可以由此来探测。在此,因此可以识别出网络网关单元发出不是之前地而也是实际上已经接收到的数据包。
通过报警消息,例如促使网络网关单元例如通过激活置换过滤规则来更换到有约束力的过滤模式。在一个变型方案中,通过报警消息可以促使网络网关单元重新起动,所述重新起动优选地利用不被改变的、被支持的软件版本(或引导图像(Boot-Image))来实施,使得固定地被寄存的、容许的缺省配置(Default-Konfiguration)或恢复配置(Recovery-Konfiguration)又被激活。如果网络网关单元被构造为嵌入式系统,那么主存储器在重新起动的情况下被复位到初始状态下。因此,有错误的或者被操纵的软件版本可以被停用。
可替换地,可以利用置换固件映像(Ersatz-Firmware-Abbild)来设置网络网关设备的重新起动。例如,可以利用网络网关单元的不同的实施方案来设置两个文件系统分区(Dateisystem-Partition)。在接收到报警消息的情况下,在网络网关单元中进行重新起动,其中起动具有有约束力的实施方案的文件系统分区。
如果网络网关单元被实施为具有超级管理程序(Hypervisor)或微管理程序(Microvisor)的虚拟机,那么多个逻辑分区单独地作为虚拟机或者也作为分区存在。在此,数据包过滤在虚拟机中进行。在施加(Anlegen)报警消息的情况下,第一虚拟机被停用,并且具有有约束力的过滤调节方案和/或可替换的过滤实现方案(Filterrealisierung)的置换虚拟机被激活。这种更换可能在少于一秒、尤其是在毫秒的范围中进行,并且因此允许网络网关设备的近似无中断的运行。
在一个变型方案中,监控单元在这种情况下被实现为单独的物理部件。在另一变型方案中,监控单元被实现为如下虚拟机:所述虚拟机通过与网络网关单元相同的超级管理程序或微管理程序来实施。
此外,在施加或在接收报警消息的情况下,接口之一或者两个接口都被停用。优选地,停用第二接口,使得没有数据包被输出给第二接口。同样有利的是停用第一接口,以便避免在网络网关单元中的存储器的溢出。同样,停用第一接口可以造成到安全相关的数据网络中的数据业务的终止。
用于限制数据业务的非常普遍地可应用的变型方案是停用、也就是说无电流地接通网络网关单元的供电。这以很微小的花费例如通过网络网关单元的可切换的供电单元是可能的,而不需要改变网络网关单元本身的配置或者实施方案。因此。不支持明确的限制机制的网络网关单元也可以通过该方法被监控并且该数据业务可以被限制。
在该方法的一个实施形式中,只要报警消息附在网络网关单元上,网络网关单元的有约束力的、进行限制的模式就保持被激活。优选地,然而有约束力的模式一直保持活跃,直到通过管理动作实现明确的到正常模式的更换。例如,正常模式可以通过物理按钮的按压或者通过操作按键开关或者通过经由管理人员通过逻辑管理接口输入而被触发。在此,正常模式也可以包括新的被更新的过滤规则。接着该方法转到利用停止所标明的最终状态。
现在,在图2中示出一种由网络网关单元23和监控单元24构成的系统。该网络网关单元将两个具有例如不同的安全分级的数据网络分开。在此,例如数据流从具有低安全要求的网络(如办公室网络)通过第一接口21被连接到网络网关单元23。网络网关单元23检验数据包或由数据包构成的流并且将所述由数据包构成的流通过第二接口22输出给例如具有更高安全要求的第二网络。
在图2中的实施形式中,仅仅第二接口上的发出的数据流通过耦合输出单元25被复制并且被耦合输出到单独的线路中。被耦合输出的数据流被转交给监控单元24的检验单元26,并且在那里在不容许的数据业务方面被检验。在此,可以在不容许的源或目标地址方面检验尤其是在数据包的头部中的地址字段,或者相对于容许的端口号比较端口号。如果数据包的有用内容未被加密地并且因此以明文存在,那么包的内容也可以在例如在可疑的或不容许的模式方面被检验并且还在结束数据包的检验之前阻止其转发。
检验单元26与通信单元27相连。如果在检验单元26中识别出不容许的数据业务,那么检验单元26将这通知给通信单元27,所述通信单元27又向网络网关单元23发送或施加报警消息28。该报警消息可以例如作为电开关信号而被提供。
图3示出了图2中的系统的变型方案,其中在这里除了在第二接口22上的发出的数据业务以外还有在第一接口21上的进入的数据流通过附加的耦合输出单元31被复制,并且被耦合输出到至监控单元24的线路上。耦合输出单元25和31优选地直接处于网络网关单元23上,使得在数据流中尤其是不包含其它的可以改变所述数据流的部件。
在比较单元32中,从第一接口21被耦合输出的数据流与第二接口22的数据流相比较。第二接口22的数据流可以通过检查单元26例如被转交给比较单元32。比较单元32又与通信单元27相连。如果探测到第一和第二接口21、22的数据流之间的区别,那么通信单元27向网络网关单元23发送报警消息28。在此,在监控单元24与网络网关单元23之间的连接可以以有线连接的形式被实施,要不然以无线连接或者逻辑连接的形式被实施。
所有所描述的和/或所描绘的特征可以在本发明的范围内有利地彼此相结合。此外,监控单元可以被实施为单独的部件,要不然与网络网关单元集成地被实施。
Claims (16)
1.用于监控安全网络网关单元(23)的方法,所述安全网络网关单元(23)通过第一接口(21)接收数据包流、相对于过滤规则检验数据流并且向第二接口(22)输出所述数据流,所述方法具有方法步骤:
-复制并且耦合输出(11)在第二接口(22)上的数据流,
-在不容许的数据业务方面检验(12)被耦合输出的数据流,
-如果在数据流中不容许的数据业务(12)被识别出,则向安全网络网关单元(23)发送(14)报警消息(28),并且
-如果报警消息(28)在安全网络网关单元(23)中被接收到,则通过所述安全网络网关单元(23)限制(15)所述数据流。
2.根据权利要求1所述的方法,其具有附加的方法步骤:
-复制并且耦合输出(16)在第一接口(21)上的数据流,
-比较(18)在第一接口(21)上的数据流与在第二接口(22)上的数据流,
-如果第二接口(22)的数据流区别于第一接口(21)的数据流,则向安全网络网关单元(23)发送(14')报警消息(28)。
3.根据权利要求1或2所述的方法,其中,数据流的限制通过激活安全网络网关单元(23)的置换过滤规则而进行。
4.根据权利要求1或2所述的方法,其中,数据流的限制通过利用受保护的起动软件重新起动安全网络网关单元(23)或者通过利用置换固件映像重新起动安全网络网关单元(23)或者通过在安全网络网关单元(23)中从活跃的虚拟机更换到置换虚拟机来进行。
5.根据权利要求1至4之一所述的方法,其中,数据流的限制通过停用安全网络网关单元(23)的第二接口(22)和/或通过停用安全网络网关单元(23)的第一接口(21)来进行。
6.根据权利要求1至5之一所述的方法,其中,数据流的限制通过停用安全网络网关单元(23)的供电单元来进行。
7.根据权利要求1至6之一所述的方法,其中,只要报警消息(28)在安全网络网关单元(23)上被接收到,在所述安全网络网关单元(23)中的限制就保持活跃。
8.根据权利要求1至6之一所述的方法,其中,安全网络网关单元(23)的限制一直保持活跃,直到用于优选地通过管理人员的动作来取消所述限制的明确的信号在安全网络网关单元(23)上被接收到。
9.用于监控安全网络网关单元(23)的设备,所述安全网络网关单元(23)通过第一接口(21)接收数据包流、相对于过滤规则检验数据流并且将所述数据流输出给第二接口(22),所述设备包括:
-耦合输出单元(25),所述耦合输出单元(25)被构造为以便将在第二接口(22)上的数据流复制并且耦合输出,
-检验单元(26),所述检验单元(26)被构造为以便在不容许的数据业务方面检验被耦合输出的数据流,和
-通信单元(27),所述通信单元(27)被构造为以便如果在数据流中不容许的数据业务被识别出则向安全网络网关单元(23)发送报警消息(28)。
10.根据权利要求9所述的设备,其附加地包括:
-耦合输出单元(31),所述耦合输出单元(31)被构造为以便将在第一接口(21)上的数据流复制并且耦合输出,和
-比较单元(32),所述比较单元(32)被构造为以便比较第一接口(21)的被耦合输出的数据流与第二接口(22)的数据流,并且在识别出在第二接口(22)的数据流与第一接口(21)的数据流之间的区别的情况下促使通信单元(27)向安全网络网关单元(23)发送报警消息(28)。
11.根据权利要求9或10所述的设备,其中,所述设备被构造为以便实施按照权利要求3至8所述的方法。
12.用于监控安全网络网关单元(23)的系统,其包括:
-安全网络网关单元(23),所述安全网络网关单元(23)被构造为以便通过第一接口(21)接收数据包流、相对于过滤规则检验数据流并且向第二接口(22)输出所述数据流,
-监控单元(24),所述监控单元(24)具有被构造用于复制并且耦合输出在第二接口(22)上的数据流的耦合输出单元(25)、具有用于在不容许的数据业务方面检验被耦合输出的数据流的检验单元(26)和通信单元(27),所述通信单元(27)被构造用于如果在数据流中不容许的数据业务被识别出则向安全网络网关单元(23)发送报警消息(28),于是安全网络网关单元(23)被设立为限制所述数据流。
13.根据权利要求12所述的系统,其中,监控单元(24)包括附加的:
-耦合输出单元(31),所述耦合输出单元(31)被构造为以便将在第一接口(21)上的数据流复制并且耦合输出,和
-比较单元(32),所述比较单元(32)被构造为以便比较第一接口(21)的被耦合输出的数据流与第二接口(22)的数据流并且在识别出在第二接口(22)的数据流与第一接口(21)的数据流之间的区别的情况下促使通信单元(27)向安全网络网关单元(23)发送报警消息(28)。
14.根据权利要求13所述的系统,其中,安全网络网关单元(23)和监控单元(24)被构造为以便实施按照权利要求3至8所述的方法。
15.计算机程序,其具有用于执行根据权利要求1-8所述的方法的程序指令。
16.数据载体,所述数据载体存储根据权利要求15所述的计算机程序。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102013216847.0A DE102013216847B4 (de) | 2013-08-23 | 2013-08-23 | Verfahren, Vorrichtung und System zur Überwachung einer Sicherheits-Netzübergangseinheit |
| DE102013216847.0 | 2013-08-23 | ||
| PCT/EP2014/065714 WO2015024722A1 (de) | 2013-08-23 | 2014-07-22 | Verfahren, vorrichtung und system zur überwachung einer sicherheits-netzübergangseinheit |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105493469A true CN105493469A (zh) | 2016-04-13 |
| CN105493469B CN105493469B (zh) | 2019-06-25 |
Family
ID=51265664
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480046657.XA Active CN105493469B (zh) | 2013-08-23 | 2014-07-22 | 用于监控安全网络网关单元的方法、设备和系统 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US9979695B2 (zh) |
| EP (1) | EP3001884B1 (zh) |
| CN (1) | CN105493469B (zh) |
| DE (1) | DE102013216847B4 (zh) |
| ES (1) | ES2687049T3 (zh) |
| PL (1) | PL3001884T3 (zh) |
| WO (1) | WO2015024722A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109328453A (zh) * | 2016-05-02 | 2019-02-12 | 西门子股份公司 | 用于无反作用的完整性监控的方法和完整性检查系统 |
| CN109565502A (zh) * | 2016-07-19 | 2019-04-02 | 西门子移动有限责任公司 | 用于传输数据的存储设备、数据传输设备和方法 |
Families Citing this family (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9565213B2 (en) | 2012-10-22 | 2017-02-07 | Centripetal Networks, Inc. | Methods and systems for protecting a secured network |
| US9137205B2 (en) | 2012-10-22 | 2015-09-15 | Centripetal Networks, Inc. | Methods and systems for protecting a secured network |
| US9203806B2 (en) | 2013-01-11 | 2015-12-01 | Centripetal Networks, Inc. | Rule swapping in a packet network |
| US9124552B2 (en) | 2013-03-12 | 2015-09-01 | Centripetal Networks, Inc. | Filtering network data transfers |
| US9094445B2 (en) | 2013-03-15 | 2015-07-28 | Centripetal Networks, Inc. | Protecting networks from cyber attacks and overloading |
| US9832084B2 (en) | 2014-01-27 | 2017-11-28 | Keysight Technologies Singapore (Holdings) Pte Ltd | Traffic differentiator systems for network devices and related methods including automatic port order determination |
| US10116493B2 (en) | 2014-11-21 | 2018-10-30 | Cisco Technology, Inc. | Recovering from virtual port channel peer failure |
| US9264370B1 (en) | 2015-02-10 | 2016-02-16 | Centripetal Networks, Inc. | Correlating packets in communications networks |
| US9866576B2 (en) | 2015-04-17 | 2018-01-09 | Centripetal Networks, Inc. | Rule-based network-threat detection |
| US9971714B2 (en) * | 2015-05-05 | 2018-05-15 | Oath Inc. | Device interfacing |
| US9917856B2 (en) | 2015-12-23 | 2018-03-13 | Centripetal Networks, Inc. | Rule-based network-threat detection for encrypted communications |
| US11729144B2 (en) | 2016-01-04 | 2023-08-15 | Centripetal Networks, Llc | Efficient packet capture for cyber threat analysis |
| DE102016205983A1 (de) * | 2016-04-11 | 2017-10-12 | Siemens Aktiengesellschaft | Anordnung zum Überprüfen von wenigstens einer Firewall-Einrichtung und Verfahren zum Schutz wenigstens eines Datenempfängers |
| US10333828B2 (en) | 2016-05-31 | 2019-06-25 | Cisco Technology, Inc. | Bidirectional multicasting over virtual port channel |
| US11509501B2 (en) * | 2016-07-20 | 2022-11-22 | Cisco Technology, Inc. | Automatic port verification and policy application for rogue devices |
| US10193750B2 (en) | 2016-09-07 | 2019-01-29 | Cisco Technology, Inc. | Managing virtual port channel switch peers from software-defined network controller |
| CN106921750A (zh) * | 2017-04-05 | 2017-07-04 | 合肥酷睿网络科技有限公司 | 一种基于gprs网络的粮库信息监控管理系统 |
| US10547509B2 (en) | 2017-06-19 | 2020-01-28 | Cisco Technology, Inc. | Validation of a virtual port channel (VPC) endpoint in the network fabric |
| US10459751B2 (en) | 2017-06-30 | 2019-10-29 | ATI Technologies ULC. | Varying firmware for virtualized device |
| US10503899B2 (en) | 2017-07-10 | 2019-12-10 | Centripetal Networks, Inc. | Cyberanalysis workflow acceleration |
| US11233777B2 (en) | 2017-07-24 | 2022-01-25 | Centripetal Networks, Inc. | Efficient SSL/TLS proxy |
| US10284526B2 (en) | 2017-07-24 | 2019-05-07 | Centripetal Networks, Inc. | Efficient SSL/TLS proxy |
| CN109962903B (zh) * | 2017-12-26 | 2022-01-28 | 中移(杭州)信息技术有限公司 | 一种家庭网关安全监控方法、装置、系统和介质 |
| US10333898B1 (en) | 2018-07-09 | 2019-06-25 | Centripetal Networks, Inc. | Methods and systems for efficient network protection |
| US11522832B2 (en) * | 2018-11-29 | 2022-12-06 | Target Brands, Inc. | Secure internet gateway |
| JP7081695B2 (ja) * | 2019-02-05 | 2022-06-07 | 日本電気株式会社 | 優先度判定装置、優先度判定方法、及び制御プログラム |
| EP3712721A1 (de) * | 2019-03-19 | 2020-09-23 | Siemens Aktiengesellschaft | Sicherheitsrelevante diagnosemeldungen |
| CN110149303B (zh) * | 2019-03-27 | 2022-07-15 | 李登峻 | 一种党校的网络安全预警方法及预警系统 |
| US11362996B2 (en) | 2020-10-27 | 2022-06-14 | Centripetal Networks, Inc. | Methods and systems for efficient adaptive logging of cyber threat incidents |
| US20220141237A1 (en) * | 2020-11-05 | 2022-05-05 | Bae Systems Information And Electronic Systems Integration Inc. | Detection of abnormal or malicious activity in point-to-point or packet-switched networks |
| US11159546B1 (en) | 2021-04-20 | 2021-10-26 | Centripetal Networks, Inc. | Methods and systems for efficient threat context-aware packet filtering for network protection |
| CN115086213B (zh) * | 2022-06-09 | 2023-08-29 | 江苏安超云软件有限公司 | 在软件定义网络环境下的流量镜像方法及装置 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6119236A (en) * | 1996-10-07 | 2000-09-12 | Shipley; Peter M. | Intelligent network security device and method |
| US20030105976A1 (en) * | 2000-11-30 | 2003-06-05 | Copeland John A. | Flow-based detection of network intrusions |
| US20050076235A1 (en) * | 2003-10-03 | 2005-04-07 | Ormazabal Gaston S. | Network firewall test methods and apparatus |
| CN1662865A (zh) * | 2002-04-22 | 2005-08-31 | 斯内勒公司 | 自动控制计算机与通信网络之间的访问的方法和装置 |
| CN101188531A (zh) * | 2007-12-27 | 2008-05-28 | 沈阳东软软件股份有限公司 | 一种监测网络流量异常的方法及系统 |
| CN101764752A (zh) * | 2009-12-25 | 2010-06-30 | 杭州华三通信技术有限公司 | 远程集中镜像管理的方法和系统 |
| CN101883023A (zh) * | 2010-06-05 | 2010-11-10 | 中国海洋大学 | 防火墙压力测试方法 |
| US8213313B1 (en) * | 2009-04-15 | 2012-07-03 | Tellabs Operations, Inc. | Methods and apparatus for shared layer 3 application card in multi-service router |
| DE102011007387A1 (de) * | 2011-04-14 | 2012-10-18 | Siemens Aktiengesellschaft | Netzkoppelvorrichtung und Übertragungsverfahren für ein paketbasiertes Felddatennetzwerk |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7120934B2 (en) * | 2000-03-30 | 2006-10-10 | Ishikawa Mark M | System, method and apparatus for detecting, identifying and responding to fraudulent requests on a network |
| US7472418B1 (en) * | 2003-08-18 | 2008-12-30 | Symantec Corporation | Detection and blocking of malicious code |
| US7685436B2 (en) * | 2003-10-02 | 2010-03-23 | Itt Manufacturing Enterprises, Inc. | System and method for a secure I/O interface |
| US7756544B1 (en) * | 2005-01-13 | 2010-07-13 | Enterasys Networks, Inc. | Power controlled network devices for security and power conservation |
| DE102005014830A1 (de) | 2005-03-30 | 2006-10-05 | Retarus Gmbh | Filterung von E-Mails |
| US8156557B2 (en) * | 2007-01-04 | 2012-04-10 | Cisco Technology, Inc. | Protection against reflection distributed denial of service attacks |
| US10091229B2 (en) * | 2008-01-09 | 2018-10-02 | Masergy Communications, Inc. | Systems and methods of network security and threat management |
-
2013
- 2013-08-23 DE DE102013216847.0A patent/DE102013216847B4/de active Active
-
2014
- 2014-07-22 ES ES14747329.2T patent/ES2687049T3/es active Active
- 2014-07-22 CN CN201480046657.XA patent/CN105493469B/zh active Active
- 2014-07-22 WO PCT/EP2014/065714 patent/WO2015024722A1/de active Application Filing
- 2014-07-22 PL PL14747329T patent/PL3001884T3/pl unknown
- 2014-07-22 EP EP14747329.2A patent/EP3001884B1/de active Active
- 2014-07-22 US US14/913,414 patent/US9979695B2/en active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6119236A (en) * | 1996-10-07 | 2000-09-12 | Shipley; Peter M. | Intelligent network security device and method |
| US20030105976A1 (en) * | 2000-11-30 | 2003-06-05 | Copeland John A. | Flow-based detection of network intrusions |
| CN1662865A (zh) * | 2002-04-22 | 2005-08-31 | 斯内勒公司 | 自动控制计算机与通信网络之间的访问的方法和装置 |
| US20050076235A1 (en) * | 2003-10-03 | 2005-04-07 | Ormazabal Gaston S. | Network firewall test methods and apparatus |
| CN101188531A (zh) * | 2007-12-27 | 2008-05-28 | 沈阳东软软件股份有限公司 | 一种监测网络流量异常的方法及系统 |
| US8213313B1 (en) * | 2009-04-15 | 2012-07-03 | Tellabs Operations, Inc. | Methods and apparatus for shared layer 3 application card in multi-service router |
| CN101764752A (zh) * | 2009-12-25 | 2010-06-30 | 杭州华三通信技术有限公司 | 远程集中镜像管理的方法和系统 |
| CN101883023A (zh) * | 2010-06-05 | 2010-11-10 | 中国海洋大学 | 防火墙压力测试方法 |
| DE102011007387A1 (de) * | 2011-04-14 | 2012-10-18 | Siemens Aktiengesellschaft | Netzkoppelvorrichtung und Übertragungsverfahren für ein paketbasiertes Felddatennetzwerk |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109328453A (zh) * | 2016-05-02 | 2019-02-12 | 西门子股份公司 | 用于无反作用的完整性监控的方法和完整性检查系统 |
| CN109565502A (zh) * | 2016-07-19 | 2019-04-02 | 西门子移动有限责任公司 | 用于传输数据的存储设备、数据传输设备和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| PL3001884T3 (pl) | 2018-12-31 |
| EP3001884A1 (de) | 2016-04-06 |
| WO2015024722A1 (de) | 2015-02-26 |
| US20160205069A1 (en) | 2016-07-14 |
| EP3001884B1 (de) | 2018-06-27 |
| US9979695B2 (en) | 2018-05-22 |
| CN105493469B (zh) | 2019-06-25 |
| ES2687049T3 (es) | 2018-10-23 |
| DE102013216847A1 (de) | 2015-02-26 |
| DE102013216847B4 (de) | 2023-06-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105493469A (zh) | 用于监控安全网络网关单元的方法、设备和系统 | |
| JP7027592B2 (ja) | ゲートウェイ装置、方法及び車載ネットワークシステム | |
| US11848947B2 (en) | System and method for providing security to in-vehicle network | |
| CN103547975B (zh) | 用于识别对车辆网络的操纵的方法和控制单元 | |
| JP6387195B2 (ja) | 通信装置及びシステム及び方法 | |
| KR102524204B1 (ko) | 차량용 네트워크의 침입 대응 장치 및 방법 | |
| JP6964277B2 (ja) | 通信遮断システム、通信遮断方法及びプログラム | |
| KR20140031303A (ko) | 통신 네트워크용 연결 노드 | |
| Januário et al. | Security challenges in SCADA systems over Wireless Sensor and Actuator Networks | |
| JP2008054204A (ja) | 接続装置及び端末装置及びデータ確認プログラム | |
| US9774628B2 (en) | Method for analyzing suspicious activity on an aircraft network | |
| CN105580323A (zh) | 通过网络过滤装置过滤数据包 | |
| CN111149105A (zh) | 用于立即并且无反作用地传输日志消息的方法和设备 | |
| KR200398406Y1 (ko) | 고가용성 네트워크 트래픽 제어장치 | |
| CN114600424B (zh) | 用于过滤数据流量的安全系统、方法和计算机可读存储介质 | |
| JP2010272073A (ja) | ストレージ装置の監視ユニット、および監視ユニットのファームウェア更新方法 | |
| WO2017163665A1 (ja) | 通信処理システム、通信処理方法、通信処理装置、通信管理装置およびそれらの制御方法と制御プログラム | |
| JP5402304B2 (ja) | 診断プログラム、診断装置、診断方法 | |
| KR100569860B1 (ko) | 고가용성 네트워크 트래픽 제어장치 및 그 동작방법 | |
| JP2017228887A (ja) | 制御システム、ネットワーク装置、及び制御装置の制御方法 | |
| US11757781B2 (en) | Devices and methods for operating a computing system comprising a data relay | |
| JP5879223B2 (ja) | ゲートウェイ装置、ゲートウェイシステムおよび計算機システム | |
| JP6384107B2 (ja) | 通信検査モジュール、通信モジュール、および制御装置 | |
| US20230267204A1 (en) | Mitigating a vehicle software manipulation | |
| CN101713977A (zh) | 用于数控设备预防不良数据侵害的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20190214 Address after: Munich, Germany Applicant after: Siemens Mobile Co., Ltd. Address before: Munich, Germany Applicant before: Siemens AG |
|
| TA01 | Transfer of patent application right | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: Munich, Germany Patentee after: Siemens Transport Co., Ltd. Address before: Munich, Germany Patentee before: Siemens Mobile Co., Ltd. |
|
| CP01 | Change in the name or title of a patent holder |