CN109639658A - 用于电力二次系统运维的防火墙的数据传输方法及装置 - Google Patents
用于电力二次系统运维的防火墙的数据传输方法及装置 Download PDFInfo
- Publication number
- CN109639658A CN109639658A CN201811480333.3A CN201811480333A CN109639658A CN 109639658 A CN109639658 A CN 109639658A CN 201811480333 A CN201811480333 A CN 201811480333A CN 109639658 A CN109639658 A CN 109639658A
- Authority
- CN
- China
- Prior art keywords
- firewall
- user equipment
- connection
- data transmission
- electric power
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
Abstract
本发明公开了一种用于电力二次系统运维的防火墙的数据传输方法及装置。该方法包括:防火墙设备与待建立连接的用户设备之间建立临时连接;所述防火墙设备通过临时连接获取时所述用户设备的设备标识和密码;所述防火墙设备根据所述设备标识和密码进行认证;在认证通过后,所述防火墙保持与所述用户设备的连接以供所述用户设备进行数据传输。本公开涉及的用于电力二次系统运维的防火墙的数据传输方法及装置,能够通过低廉成本,简单部署的方式,实现对受保护的网络的数据往返访问。
Description
技术领域
本公开涉及配电网信息处理领域,具体涉及一种用于防火墙的数据传输的方法及装置。
背景技术
电力系统由发电、输电、变电、配电、用电设备及相应的辅助系统组成的。电力系统的电气设备有一次设备、二次设备的定义区分。一次设备(也称主设备),是构成电力系统的主体,它是直接生产、输送和分配电能的设备,包括:发电机、变压器、开关电器、电力线路、互感器、避雷器等,具备高电压、大电流的特点。一次设备按用途及功能相互连接构成的电路,称为一次回路或一次接线或主接线图。二次设备,是对一次设备进行控制、调节、保护和监测的设备,它包括测量表计、继电保护和自动装置、操作电器及直流电源设备等,具备低电压、小电流的特点。二次设备通过电压互感器和电流互感器与一次设备取得电的联系。二次电气设备相互连接构成的电路,称为二次回路或二次接线。
电力系统的一次系统,由一次设备及其相互连接的电气回路构成。电力系统的二次系统,由二次设备及其相互连接的电气回路构成,是对(变配电所)一次系统进行监测、控制、调节和保护的系统。远动系统是指对广阔地区的生产过程进行监视的系统。电力二次系统运维,特指通过专用的运维终端、运维软件,接入到电力二次系统(由二次设备及其相互连接的电气回路)的设备进行运维操作的过程。
防火墙系统的主要用途就是控制对受保护的网络(发电、输电、变电、配电、用电设备及相应的辅助系统)的往返访问。经过对电力行业的实际调研,以及对相关专利的研究,发现当前对于电力二次系统的运维管理,其安全机制已经滞后于当前IT行业的安全技术的发展,可进行常态化安全管理的技术选择相当欠缺。
因此,需要一种新的用于防火墙的数据传输的方法及装置。
因此它可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
有鉴于此,本公开提供一种用于电力二次系统运维的防火墙的数据传输方法及装置,能够通过低廉成本,简单部署的方式,实现对受保护的网络的数据往返访问。
本公开的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本公开的实践而习得。
根据本公开的一方面,提出一种用于电力二次系统运维的防火墙的数据传输方法,该方法包括:防火墙设备与待建立连接的用户设备之间建立临时连接;所述防火墙设备通过临时连接获取时所述用户设备的设备标识和密码;所述防火墙设备根据所述设备标识和密码进行认证;在认证通过后,所述防火墙保持与所述用户设备的连接以供所述用户设备进行数据传输。
在本公开的一种示例性实施例中,还包括:在认证未通过时,所述防火墙关闭与所述用户设备之间的临时连接。
在本公开的一种示例性实施例中,所述防火墙设备根据所述设备标识和密码进行认证包括:所述防火墙设备通过预设用户信息库对所述设备标识和密码进行认证。
在本公开的一种示例性实施例中,所述防火墙保持与所述用户设备的连接以供所述用户设备进行数据传输还包括:在认证通过后,所述防火墙设备通过白名单列表存储所述用户设备的相关信息,所述相关信息包括地址关闭标识。
在本公开的一种示例性实施例中,所述防火墙保持与所述用户设备的连接以供所述用户设备进行数据传输包括:所述防火墙保持与所述用户设备的连接以供所述用户设备在所述白名单指定的访问范围内进行数据传输。
在本公开的一种示例性实施例中,还包括:获取来自所述用户设备的中止连接请求;以及根据所述中止连接请求关闭所述防火墙与所述用户设备之间的连接。
在本公开的一种示例性实施例中,根据所述中止连接请求关闭所述防火墙与所述用户设备之间的连接还包括:将所述白名单列表中的所述用户设备的相关信息删除。
根据本公开的一方面,提出一种用于电力二次系统运维的防火墙的数据传输装置,该装置包括:临时连接模块,用于防火墙设备与待建立连接的用户设备之间建立临时连接;数据模块,用于所述防火墙设备通过临时连接获取时所述用户设备的设备标识和密码;认证模块,用于所述防火墙设备根据所述设备标识和密码进行认证;传输模块,用于在认证通过后,所述防火墙保持与所述用户设备的连接以供所述用户设备进行数据传输。
根据本公开的用于电力二次系统运维的防火墙的数据传输方法及装置,在防火墙设备与待建立连接的用户设备之间建立临时连接;通过所述临时连接对所述设备标识和密码进行认证;在认证通过后,所述防火墙为所述用户设备提供数据传输的方式,能够通过低廉成本,简单部署的方式,实现对受保护的网络的数据往返访问。
附图说明
图1是根据一示例性实施例示出的一种用于电力二次系统运维的防火墙的数据传输方法及装置的系统框图。
图2是根据一示例性实施例示出的一种用于电力二次系统运维的防火墙的数据传输方法的流程图。
图3是根据另一示例性实施例示出的一种用于电力二次系统运维的防火墙的数据传输方法的示意图。
图4是根据另一示例性实施例示出的一种用于电力二次系统运维的防火墙的数据传输方法的示意图。
图5是根据另一示例性实施例示出的一种用于电力二次系统运维的防火墙的数据传输方法的示意图。
图6是根据一示例性实施例示出的一种用于电力二次系统运维的防火墙的数据传输装置的框图。
图7是根据一示例性实施例示出的一种电子设备的框图。
图8是根据一示例性实施例示出一种计算机可读存储介质示意图。
具体实施方式
现在将参考附图更全面地描述示例实施例。然而,示例实施例能够以多种形式实施,且不应被理解为限于在此阐述的实施例;相反,提供这些实施例使得本公开将全面和完整,并将示例实施例的构思全面地传达给本领域的技术人员。在图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。
防火墙系统可为路由器,也可以是个人主机、主系统和一批主系统,专门把网络或子网同那些可能被子网外的主系统滥用的协议和服务隔绝。防火墙系统通常位于等级较高的网关如网点与Internet连接处,同时防火墙系统可以位于等级较低的网关,以便为某些数量较少的主系统或子网提供保护。
由于防火墙一般架设在提供某些服务的服务器前。如果用示意图来表示就是Server—FireWall—Guest。用户对服务器的访问的请求与服务器反馈给用户的信息,都需要经过防火墙的转发,因此,很多防火墙具备网关的能力。
网络层防火墙可视为一种IP封包过滤器,运作在底层的TCP/IP协议堆栈上。我们可以以枚举的方式,只允许符合特定规则的封包通过,其余的一概禁止穿越防火墙(病毒除外,防火墙不能防止病毒侵入)。这些规则通常可以经由管理员定义或修改,不过某些防火墙设备可能只能套用内置的规则。
也能以另一种较宽松的角度来制定防火墙规则,只要封包不符合任何一项“否定规则”就予以放行。操作系统及网络设备大多已内置防火墙功能。
较新的防火墙能利用封包的多样属性来进行过滤,例如:来源IP地址、来源端口号、目的IP地址或端口号、服务类型(如HTTP或是FTP)。也能经由通信协议、TTL值、来源的网域名称或网段...等属性来进行过滤。
内网络和外网络之间的所有网络数据流都必须经过防火墙。这是防火墙所处网络位置特性,同时也是一个前提。因为只有当防火墙是内、外部网络之间通信的唯一通道,才可以全面、有效地保护企业网内部网络不受侵害。
只有符合安全策略的数据流才能通过防火墙。防火墙最基本的功能是确保网络流量的合法性,并在此前提下将网络的流量快速的从一条链路转发到另外的链路上去。
网关,其英文名称是Gateway,有很多种,TCP/IP协议里的网关是最常用的,在这里我们所讲的“网关”均指TCP/IP协议下的网关。网关实质上是一个网络通向其他网络的IP地址。比如有网络A和网络B,网络A的IP地址范围为“192.168.1.1~192.168.1.254”,子网掩码为255.255.255.0;网络B的IP地址范围为“192.168.2.1~192.168.2.254”,子网掩码为255.255.255.0。在没有路由器的情况下,两个网络之间是不能进行TCP/IP通信的,即使是两个网络连接在同一台交换机(或集线器)上,TCP/IP协议也会根据子网掩码(255.255.255.0)判定两个网络中的主机处在不同的网络里。而要实现这两个网络之间的通信,则必须通过网关。网关在网络A和网络B中都分别有相应的IP地址,并同时接入网络A和网络B。如果网络A中的主机发现数据包的目的主机不在本地网络中,就把数据包转发给它自己的网关,再由网关转发给网络B的网关,网络B的网关再转发给网络B的某个主机。这就是网络A通过网关向网络B转发数据包的过程。
当前,随着病毒、木马、恶意攻击等等网络安全风险的增长,在电力二次系统运维过程中,现有的技术规范、操作规程、安全防护措施已经滞后,容易出现未经验证、授权的非法或不安全的设备、人员、软件接入维护网络,在缺乏有效监管的情况下,直接访问防护薄弱的电力二次系统进行各种操作,对电力二次系统造成极大的威胁。
经过对电力行业的实际调研,以及对相关专利的检索,发现当前对于电力二次系统的运维管理,其安全机制已经滞后于当前IT行业的安全技术的发展,可进行常态化安全管理的技术选择相当欠缺。在对电力二次系统远动系统进行维护操作时,需要更安全的防护体系,实现入口处最基本的防护监管,并通过严格的白名单机制,建立对接入设备、接入人员的鉴权机制,确保运维设备及人员的验证与管控,并通过本系统的防护,实现对内部系统可能暴露的漏洞、不应暴露的服务进行掩盖,从而通过高性价比的方式,建立电力二次系统的可普及的安全防护机制。
基于此目标提出一种电力二次系统运维的动态白名单防火墙系统(以下简称本系统,或者简称本发明)的构建方法,并经过真实环境的验证,形成完整的技术产品,对于电力二次系统远动系统的运维操作,提供了一种高性价比的安全防护体系。
本系统不仅仅可应用于电力二次系统远动的运维领域,在后期进行针对性的优化调整,将能够应用到电力行业的更多领域的运维中,对于电力系统的安全生产能够提供更广泛、更深入的保护作用,拥有良好的技术发展前景、行业应用前景和市场前景。
下面结合具体的实施例对本公开的详细内容进行描述:
图1是根据一示例性实施例示出的一种用于电力二次系统运维的防火墙的数据传输方法及装置的系统框图。
如图1所示,系统架构可以包括客户端100、运维主机200、白名单防火墙300、内部主机400,内部主机400具体包括内部主机A401、内部主机B204,内部主机C403。102、103,和外部网络、内部网络。外部网络用以在运维主机200和白名单防火墙300之间提供通信链路的介质;内部网络用以在白名单防火墙300和内部主机A401、内部主机B204,内部主机C403之间提供通信链路的介质。外部网络和内部网络可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
其中,白名单防火墙300,用以实现外部网络对内部网络的访问的防火墙防护。
运维主机200,可例如为电力二次系统运维过程中,作为运维人员操作使用的电脑设备。本发明的设计可适应不同的运维主机,其实现与设计不是本发明的设计要点,所以省略细节说明。
内部主机400,可例如为电力二次系统运维过程中,运维人员通过在运维主机200上运行的客户端100,该客户端100要操作抵达的二次系统的运维目标设备。本发明的设计可适应不同的内部主机,其实现与设计不是本发明的设计要点,所以省略细节说明。
客户端100,可例如为白名单防火墙的专用客户端,专门用于连接到防火墙进行登录认证。
用户可以使用客户端100、运维主机200通过外部网络与白名单防火墙300进行交互,以接收或发送消息等。客户端100上可以安装有各种通讯客户端应用,例如购物类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等。
运维主机200可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
白名单防火墙300可以是提供各种服务的服务器,例如对用户利用客户端100、运维主机200所提出的数据访问请求进行处理的后台服务器。白名单防火墙300可以对接收到的数据访问请求等数据进行分析等处理,并将处理结果(是否允许用户登录)反馈给客户端100。
白名单防火墙300可例如与待建立连接的用户设备之间建立临时连接;白名单防火墙300可例如通过临时连接获取时所述用户设备的设备标识和密码;白名单防火墙300可例如根据所述设备标识和密码进行认证;白名单防火墙300可例如在认证通过后,与所述用户设备的连接以供所述用户设备进行数据传输。
白名单防火墙300还可例如在认证未通过时,所述防火墙关闭与所述用户设备之间的临时连接。
白名单防火墙300还可例如获取来自所述用户设备的中止连接请求;以及根据所述中止连接请求关闭所述防火墙与所述用户设备之间的连接。
白名单防火墙300可以是一个实体的服务器,还可例如为多个服务器组成,需要说明的是,本公开实施例所提供的用于防火墙的数据传输的方法可以由白名单防火墙300执行,相应地,用于防火墙的数据传输的装置可以设置于白名单防火墙300中。而提供给用户进行数据传输的请求端一般位于客户端100、运维主机200中。
根据本公开的用于电力二次系统运维的防火墙的数据传输方法及装置,在防火墙设备与待建立连接的用户设备之间建立临时连接;通过所述临时连接对所述设备标识和密码进行认证;在认证通过后,所述防火墙为所述用户设备提供数据传输的方式,能够通过低廉成本,简单部署的方式,实现对受保护的网络的数据往返访问。
图2是根据一示例性实施例示出的一种用于电力二次系统运维的防火墙的数据传输方法的流程图。用于防火墙的数据传输的方法至少包括步骤S202至S208。
如图2所示,在S202中,防火墙设备与待建立连接的用户设备之间建立临时连接。
在一个实施例中,防火墙设备可具备网络层防火墙的基本功能,可例如具备双网口(外侧网络端口、内侧网络端口),并且两侧分别配置不同的网段。
在一个实施例中,防火墙设备的外侧网络的网段是192.168.1.*,内侧网络的网段是10.1.2.*。
在一个实施例中,集成网络层防火墙的基本功能,有很多种方式可以实现,可以基于开源代码防火墙:Shorewall、Vuurmuur、pfSense、IPFire、SmoothWall进行改造,本公开不以此为限。
图3是根据另一示例性实施例示出的一种用于电力二次系统运维的防火墙的数据传输方法的示意图。如图3所示,其中内侧网络有3台内部主机(内部主机A、内部主机B、内部主机C)。白名单防火墙自身在外侧网络的IP是192.168.1.1,在内侧网络的IP是10.1.2.100;内部主机A的IP地址为10.1.2.101,具备一个在80端口监听的服务;内部主机B的IP地址为10.1.2.102,具备4个服务,分别在80、9001、9002、9003等端口监听;内部主机C的IP地址为10.1.2.103,没有服务在监听。
在一个实施例中,用户通过登录认证服务(防火墙设备对外提供标准化的登录接口)提出连接请求,防火墙设备根据连接请求在待建立连接的用户设备之间建立临时连接。
其中,客户端可具备默认配置(默认设定防火墙的登录IP为:“192.168.1.1”,登录端口为:“8080”)。如果因为实际应用场景需要调整参数,将调整防火墙的外侧网络参数的设置,并将客户端的默认参数进行相应调整。
在S204中,所述防火墙设备通过临时连接获取时所述用户设备的设备标识和密码。可例如,所述防火墙设备通过预设用户信息库对所述设备标识和密码进行认证。
在一个实施例中,运维人员在登录界面(客户端)上输入正确的用户名、密码,输入完成后点击登录按钮,客户端将立即尝试建立于防火墙登录认证服务的监听地址之间的TCP/IP连接,并通过登录接口将用户名、密码发送给防火墙设备。
在S206中,所述防火墙设备根据所述设备标识和密码进行认证。可例如,所述防火墙设备通过预设用户信息库对所述设备标识和密码进行认证。
在一个实施例中,所述防火墙设备接收到用户名、密码后,将与预设的鉴权用户信息库进行比较,查询到严格匹配的用户名,并检查确认密码正确与否。
在S208中,在认证通过后,所述防火墙保持与所述用户设备的连接以供所述用户设备进行数据传输。
在一个实施例中,在认证通过后,所述防火墙设备通过白名单列表存储所述用户设备的相关信息,所述相关信息包括地址关闭标识。
如果密码正确,将通过登录接口的响应包回复客户端登录成功,客户端将在界面上提示运维人员登录成功,并保持当前TCP/IP连接处于持续连接状态;
如果用户名、密码不正确,将通过登录接口的响应包回复客户端登录失败,防火墙设备的登录认证服务将立即关闭当前TCP/IP连接,客户端将在界面上提示运维人员登录失败,然后立即关闭当前TCP/IP连接。
在一个实施例中,还包括:获取来自所述用户设备的中止连接请求;以及根据所述中止连接请求关闭所述防火墙与所述用户设备之间的连接。
在一个实施例中,根据所述中止连接请求关闭所述防火墙与所述用户设备之间的连接还包括:将所述白名单列表中的所述用户设备的相关信息删除。
客户端登录成功后,将提供“退出会话”的按钮,供运维人员在完成运维后,点击该按钮安全退出。在运维人员点击该按钮后,客户端将立即关闭与防火墙的登录认证服务的TCP/IP连接;白名单防火墙的登录认证服务将立即发现TCP/IP连接的被关闭事件,并根据相应控制逻辑调整白名单规则。
本公开的用于防火墙的数据传输的方法,通过集成网络层防火墙的基本功能,在其基础上额外增加登录认证服务,并将该功能模块与白名单管理进行紧密的联动,通过登录认证服务的鉴权、连接关闭监测的联动,立即更新白名单。通过上述检查机制,确保登录成功的客户端所在的运维主机的访问将得到方位内部相应服务的许可,而因为登录认证服务所使用的TCP/IP连接被关闭将立即清除相应的访问许可。
应清楚地理解,本公开描述了如何形成和使用特定示例,但本公开的原理不限于这些示例的任何细节。相反,基于本公开公开的内容的教导,这些原理能够应用于许多其它实施例。
在一个实施例中,所述防火墙保持与所述用户设备的连接以供所述用户设备进行数据传输包括:所述防火墙保持与所述用户设备的连接以供所述用户设备在所述白名单指定的访问范围内进行数据传输。
图4是根据另一示例性实施例示出的一种用于电力二次系统运维的防火墙的数据传输方法的示意图。如图4所示,问白名单在初始状态时,只有一条白名单访问规则({客户端IP:“*”,内部主机IP:“192.168.1.1”,内部服务端口“8080”}),这条规则是白名单防火墙300的登录认证服务的监听地址。这条规则的配置,允许来自外部网络的网段的任何常规IP地址(192.168.1.2~192.168.1.254,不包括192.168.1.255,因为这是一个广播地址)的客户端100连接白名单防火墙300的登录认证服务。
图5是根据另一示例性实施例示出的一种用于电力二次系统运维的防火墙的数据传输方法的示意图。,如图5所示,防火墙设备中保持一个内侧网络服务的配置清单。在一个实施例中,假设防火墙设备中存在5个服务(10.1.2.101:80,10.1.2.102:80,10.1.2.102:9001,10.1.2.102:9002,10.1.2.102:9003)。
在客户端100(假设当前使用的IP是192.168.1.11)登录成功后,白名单防火墙300将自动根据客户端100的IP地址,以及内侧网络服务的配置清单,自动增加来自该客户端100的IP地址对所有内侧网络服务的访问授权。
其中,增加的白名单访问规则为({客户端IP:“192.168.1.11”,内部主机IP:“10.1.2.101”,内部服务端口:“80”},{客户端IP:“192.168.1.11”,内部主机IP:“10.1.2.102”,内部服务端口:“80”},{客户端IP:“192.168.1.11”,内部主机IP:“10.1.2.102”,内部服务端口:“9001”},{客户端IP:“192.168.1.11”,内部主机IP:“10.1.2.102”,内部服务端口:“9002”},{客户端IP:“192.168.1.11”,内部主机IP:“10.1.2.102”,内部服务端口:“9003”})。
在上述规则添加完毕后,白名单防火墙300,将允许来自IP为192.168.1.11的运维主机200上运行的运维专用工具或者其他程序,通过TCP/IP接入到白名单上指定的内侧网络服务,从而进行运维操作。
一旦客户端100与防火墙设备的登录认证服务的TCP/IP连接被关闭,防火墙设备通过其登录认证服务发现该连接关闭事件后,将立即获取该TCP/IP连接的客户端100的IP地址IP_Disconn(可例如客户端100的IP为:192.168.1.11),并对白名单访问规则中进行检查,凡是客户端IP与IP_Disconn相同的记录都将被从白名单访问规则中清除。
在一个实施例中,白名单访问规则将恢复到初始状态(只有一条白名单访问规则:{客户端IP:“*”,内部主机IP:“192.168.1.1”,内部服务端口“8080”})。
与电力二次系统现有运维技术相比,本公开的用于防火墙的数据传输的方法有益效果如下:
本公开的用于防火墙的数据传输的方法,实施成本低,技术难度小,并且安全可靠,对访问的权限严谨,充分保护了内部主机的脆弱服务、漏洞,避免其意外暴露,并且全面禁止内部信息的主动外流,从而建立了高保准的准入机制和安全防护体系,充分保护了内部主机、网络的安全。
本公开的用于防火墙的数据传输的方法,用于电力二次系统运维领域,成本低廉、部署容易,结合了账号登录审计、全程白名单防护的方式,非常适合电力二次系统的防护系统建设需求,为电力二次系统普及性部署防火墙系统提供了一种高性价比的解决方案。
本公开的用于防火墙的数据传输的方法,采用轻量级的白名单安全检查机制,配套专用的客户端,通过授权账号登录后动态调整防火墙的白名单,实现严格限制的防火墙访问。
本领域技术人员可以理解实现上述实施例的全部或部分步骤被实现为由CPU执行的计算机程序。在该计算机程序被CPU执行时,执行本公开提供的上述方法所限定的上述功能。所述的程序可以存储于一种计算机可读存储介质中,该存储介质可以是只读存储器,磁盘或光盘等。
此外,需要注意的是,上述附图仅是根据本公开示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
下述为本公开装置实施例,可以用于执行本公开方法实施例。对于本公开装置实施例中未披露的细节,请参照本公开方法实施例。
图6是根据一示例性实施例示出的一种用于电力二次系统运维的防火墙的数据传输装置的框图。如图6所示,用于防火墙的数据传输的装置包括:临时连接模块602,数据模块604,认证模块606,以及传输模块608。
临时连接模块602用于防火墙设备与待建立连接的用户设备之间建立临时连接;防火墙设备可具备网络层防火墙的基本功能,可例如具备双网口(外侧网络端口、内侧网络端口),并且两侧分别配置不同的网段。
数据模块604用于所述防火墙设备通过临时连接获取时所述用户设备的设备标识和密码;可例如,所述防火墙设备通过预设用户信息库对所述设备标识和密码进行认证。
认证模块606用于所述防火墙设备根据所述设备标识和密码进行认证;所述防火墙设备通过预设用户信息库对所述设备标识和密码进行认证。
在一个实施例中,运维人员在登录界面(客户端)上输入正确的用户名、密码,输入完成后点击登录按钮,客户端将立即尝试建立于防火墙登录认证服务的监听地址之间的TCP/IP连接,并通过登录接口将用户名、密码发送给防火墙设备。
传输模块608用于在认证通过后,所述防火墙保持与所述用户设备的连接以供所述用户设备进行数据传输。在认证通过后,所述防火墙设备通过白名单列表存储所述用户设备的相关信息,所述相关信息包括地址关闭标识。还包括:所述防火墙保持与所述用户设备的连接以供所述用户设备在所述白名单指定的访问范围内进行数据传输。
根据本公开的用于防火墙的数据传输的装置,在防火墙设备与待建立连接的用户设备之间建立临时连接;通过所述临时连接对所述设备标识和密码进行认证;在认证通过后,所述防火墙为所述用户设备提供数据传输的方式,能够通过低廉成本,简单部署的方式,实现对受保护的网络的数据往返访问。
图7是根据一示例性实施例示出的一种电子设备的框图。
下面参照图7来描述根据本公开的这种实施方式的电子设备200。图7显示的电子设备200仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图7所示,电子设备200以通用计算设备的形式表现。电子设备200的组件可以包括但不限于:至少一个处理单元210、至少一个存储单元220、连接不同系统组件(包括存储单元220和处理单元210)的总线230、显示单元240等。
其中,所述存储单元存储有程序代码,所述程序代码可以被所述处理单元210执行,使得所述处理单元210执行本说明书上述电子处方流转处理方法部分中描述的根据本公开各种示例性实施方式的步骤。例如,所述处理单元210可以执行如图2中所示的步骤。
所述存储单元220可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)2201和/或高速缓存存储单元2202,还可以进一步包括只读存储单元(ROM)2203。
所述存储单元220还可以包括具有一组(至少一个)程序模块2205的程序/实用工具2204,这样的程序模块2205包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线230可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备200也可以与一个或多个外部设备300(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备200交互的设备通信,和/或与使得该电子设备200能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等)通信。这种通信可以通过输入/输出(I/O)接口250进行。并且,电子设备200还可以通过网络适配器260与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。网络适配器260可以通过总线230与电子设备200的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备200使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、或者网络设备等)执行根据本公开实施方式的上述方法。
图8示出本公开示例性实施例中一种计算机可读存储介质示意图。
参考图8所示,描述了根据本公开的实施方式的用于实现上述方法的程序产品400,其可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在终端设备,例如个人电脑上运行。然而,本公开的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
所述计算机可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读存储介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本公开操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该设备执行时,使得该计算机可读介质实现如下功能:防火墙设备与待建立连接的用户设备之间建立临时连接;所述防火墙设备通过临时连接获取时所述用户设备的设备标识和密码;所述防火墙设备根据所述设备标识和密码进行认证;在认证通过后,所述防火墙保持与所述用户设备的连接以供所述用户设备进行数据传输。
通过以上实施例的描述,本领域的技术人员易于理解,这里描述的示例实施例可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施例的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本公开实施例的方法。
Claims (8)
1.用于电力二次系统运维的防火墙的数据传输方法,其特征在于,包括:
防火墙设备与待建立连接的用户设备之间建立临时连接;
通过临时连接获取时所述用户设备的设备标识和密码;
根据所述设备标识和密码进行认证;以及
在认证通过后,所述防火墙保持与所述用户设备的连接以供所述用户设备进行数据传输。
2.根据权利要求1所述的用于电力二次系统运维的防火墙的数据传输方法,其特征在于,还包括:在认证未通过时,所述防火墙关闭与所述用户设备之间的临时连接。
3.根据权利要求1所述的用于电力二次系统运维的防火墙的数据传输方法,其特征在于,根据所述设备标识和密码进行认证包括:所述防火墙设备通过预设用户信息库对所述设备标识和密码进行认证。
4.根据权利要求1所述的用于电力二次系统运维的防火墙的数据传输方法,其特征在于,所述防火墙保持与所述用户设备的连接以供所述用户设备进行数据传输还包括:在认证通过后,所述防火墙设备通过白名单列表存储所述用户设备的相关信息,所述相关信息包括地址关闭标识。
5.根据权利要求4所述的用于电力二次系统运维的防火墙的数据传输方法,其特征在于,所述防火墙保持与所述用户设备的连接以供所述用户设备进行数据传输包括:所述防火墙保持与所述用户设备的连接以供所述用户设备在所述白名单指定的访问范围内进行数据传输。
6.根据权利要求1所述的用于电力二次系统运维的防火墙的数据传输方法,其特征在于,还包括:
获取来自所述用户设备的中止连接请求;
以及根据所述中止连接请求关闭所述防火墙与所述用户设备之间的连接。
7.根据权利要求4或6所述的用于电力二次系统运维的防火墙的数据传输方法,其特征在于,根据所述中止连接请求关闭所述防火墙与所述用户设备之间的连接还包括:将所述白名单列表中的所述用户设备的相关信息删除。
8.用于电力二次系统运维的防火墙的数据传输装置,其特征在于,包括:
临时连接模块,用于防火墙设备与待建立连接的用户设备之间建立临时连接;
数据模块,用于通过临时连接获取时所述用户设备的设备标识和密码;
认证模块,用于根据所述设备标识和密码进行认证;
传输模块,用于在认证通过后,所述防火墙保持与所述用户设备的连接以供所述用户设备进行数据传输。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811480333.3A CN109639658B (zh) | 2018-12-05 | 2018-12-05 | 用于电力二次系统运维的防火墙的数据传输方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811480333.3A CN109639658B (zh) | 2018-12-05 | 2018-12-05 | 用于电力二次系统运维的防火墙的数据传输方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109639658A true CN109639658A (zh) | 2019-04-16 |
| CN109639658B CN109639658B (zh) | 2021-09-21 |
Family
ID=66071371
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811480333.3A Active CN109639658B (zh) | 2018-12-05 | 2018-12-05 | 用于电力二次系统运维的防火墙的数据传输方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109639658B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110611665A (zh) * | 2019-08-30 | 2019-12-24 | 杭州希益丰新业科技有限公司 | 一种电力二次系统远动运维的安全运维网关的方法 |
| CN111273601A (zh) * | 2020-01-21 | 2020-06-12 | 中铁资源苏尼特左旗芒来矿业有限公司 | 地面储装智能监控系统 |
| CN112328300A (zh) * | 2020-11-24 | 2021-02-05 | 科大国创云网科技有限公司 | 一种基于批量操控工具的it自动化运维系统 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103561002A (zh) * | 2013-10-22 | 2014-02-05 | 北京神州泰岳软件股份有限公司 | 基于防火墙策略的安全访问方法和系统 |
| US20150332365A1 (en) * | 2014-05-19 | 2015-11-19 | @Pay Ip Holdings Llc | Email based e-commerce with sms and social media |
| CN105450637A (zh) * | 2015-11-09 | 2016-03-30 | 歌尔声学股份有限公司 | 多个应用系统的单点登录方法及装置 |
| US20160197900A1 (en) * | 2013-07-03 | 2016-07-07 | Sailpoint Technologies, Inc. | System and method for securing authentication information in a networked environment |
| CN106027358A (zh) * | 2016-07-12 | 2016-10-12 | 上海厚泽信息技术有限公司 | 一种社会视频网接入视频专网的网络安全管控系统 |
| CN106230861A (zh) * | 2016-09-07 | 2016-12-14 | 上海斐讯数据通信技术有限公司 | 一种路由器防火墙下网络访问方法及路由器 |
| CN108551393A (zh) * | 2018-01-12 | 2018-09-18 | 国网安徽省电力有限公司淮南供电公司 | 基于企业内外网数据互通的光缆线路运维管理系统 |
-
2018
- 2018-12-05 CN CN201811480333.3A patent/CN109639658B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160197900A1 (en) * | 2013-07-03 | 2016-07-07 | Sailpoint Technologies, Inc. | System and method for securing authentication information in a networked environment |
| CN103561002A (zh) * | 2013-10-22 | 2014-02-05 | 北京神州泰岳软件股份有限公司 | 基于防火墙策略的安全访问方法和系统 |
| US20150332365A1 (en) * | 2014-05-19 | 2015-11-19 | @Pay Ip Holdings Llc | Email based e-commerce with sms and social media |
| CN105450637A (zh) * | 2015-11-09 | 2016-03-30 | 歌尔声学股份有限公司 | 多个应用系统的单点登录方法及装置 |
| CN106027358A (zh) * | 2016-07-12 | 2016-10-12 | 上海厚泽信息技术有限公司 | 一种社会视频网接入视频专网的网络安全管控系统 |
| CN106230861A (zh) * | 2016-09-07 | 2016-12-14 | 上海斐讯数据通信技术有限公司 | 一种路由器防火墙下网络访问方法及路由器 |
| CN108551393A (zh) * | 2018-01-12 | 2018-09-18 | 国网安徽省电力有限公司淮南供电公司 | 基于企业内外网数据互通的光缆线路运维管理系统 |
Non-Patent Citations (2)
| Title |
|---|
| ARMIN WASICEK、WILFRIED ELMENREICH: ""Internet Firewalls in the DECOS System-on-a-Chip Architecture"", 《2007 5TH IEEE INTERNATIONAL CONFERENCE ON INDUSTRIAL INFORMATICS》 * |
| 陈文迪、曹伟、刘媛: ""电力调度自动化系统安全运维网络的设计与实现"", 《广西电力》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110611665A (zh) * | 2019-08-30 | 2019-12-24 | 杭州希益丰新业科技有限公司 | 一种电力二次系统远动运维的安全运维网关的方法 |
| CN110611665B (zh) * | 2019-08-30 | 2022-01-25 | 杭州希益丰新业科技有限公司 | 一种电力二次系统远动运维的安全运维网关的方法 |
| CN111273601A (zh) * | 2020-01-21 | 2020-06-12 | 中铁资源苏尼特左旗芒来矿业有限公司 | 地面储装智能监控系统 |
| CN112328300A (zh) * | 2020-11-24 | 2021-02-05 | 科大国创云网科技有限公司 | 一种基于批量操控工具的it自动化运维系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109639658B (zh) | 2021-09-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107980214A (zh) | 用于物联网装置的访问控制 | |
| CN104718526B (zh) | 安全移动框架 | |
| Tedeschi et al. | Secure IoT devices for the maintenance of machine tools | |
| CN104247329B (zh) | 请求云服务的装置的安全补救 | |
| CN104539598B (zh) | 一种改进Tor的安全匿名网络通信系统及方法 | |
| US9306953B2 (en) | System and method for secure unidirectional transfer of commands to control equipment | |
| CN109639658A (zh) | 用于电力二次系统运维的防火墙的数据传输方法及装置 | |
| US20140189811A1 (en) | Security enclave device to extend a virtual secure processing environment to a client device | |
| CN107209659A (zh) | 移动虚拟网络中的移动认证 | |
| CN108063751A (zh) | 一种用于新能源电厂的公网安全接入方法 | |
| CN104270250B (zh) | 基于非对称全程加密的WiFi互联网上网连接认证方法 | |
| CN110213215A (zh) | 一种资源访问方法、装置、终端和存储介质 | |
| CN107211016A (zh) | 会话安全划分和应用程序剖析器 | |
| CN109389498A (zh) | 区块链用户身份管理方法、系统、设备及存储介质 | |
| CN103179130A (zh) | 一种信息系统内网安全统一管理平台及管理方法 | |
| CN106992984A (zh) | 一种基于电力采集网的移动终端安全接入信息内网的方法 | |
| US20200274866A1 (en) | Method for implementing client side credential control to authorize access to a protected device | |
| CN107104958A (zh) | 管理私有云设备的方法、私有云和公有云设备及存储装置 | |
| CN108966216A (zh) | 一种应用于配电网的移动通信方法及装置 | |
| CN116055254A (zh) | 一种安全可信网关系统、控制方法、介质、设备及终端 | |
| Ten et al. | Cybersecurity for electric power control and automation systems | |
| CN107948979A (zh) | 信息处理方法、装置及审计设备 | |
| CN107396362A (zh) | 一种用于对用户设备进行无线连接预授权的方法与设备 | |
| CN106304057A (zh) | 一种通用的wifi认证方法及系统 | |
| Alcaraz et al. | OCPP in the spotlight: threats and countermeasures for electric vehicle charging infrastructures 4.0 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |