CN109933001A - 用于可编程逻辑控制器的防火墙、方法及系统 - Google Patents
用于可编程逻辑控制器的防火墙、方法及系统 Download PDFInfo
- Publication number
- CN109933001A CN109933001A CN201910289462.2A CN201910289462A CN109933001A CN 109933001 A CN109933001 A CN 109933001A CN 201910289462 A CN201910289462 A CN 201910289462A CN 109933001 A CN109933001 A CN 109933001A
- Authority
- CN
- China
- Prior art keywords
- plc
- control instruction
- firewall
- control
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Landscapes
- Programmable Controllers (AREA)
Abstract
本申请提供了一种用于可编程逻辑控制器的防火墙、方法及系统,其中,该防火墙应用于对可编程逻辑控制器PLC进行防护;所述防火墙,用于接收上位机发送的控制指令,所述控制指令携带所述PLC对应的地址;判断所述控制指令携带的所述PLC对应的地址是否是所述PLC允许访问的地址且判断所述控制指令的内容是否符合预设规定;如果是,则根据所述PLC对应的地址将所述控制指令发送给所述PLC;如果否,则丢弃所述控制指令;不同类别的控制指令对应所述PLC中不同的地址。利用本申请提供的防火墙,能够降低PLC被黑客攻击的范围,保护PLC对应的控制对象。
Description
技术领域
本发明涉及工业控制技术领域,尤其涉及一种用于可编程逻辑控制器的防火墙、方法及系统。
背景技术
可编程逻辑控制器(PLC,Programmable Logic Controller)是一种专门为在工业环境下应用而设计的数字运算操作电子系统。它采用一种可编程的存储器,在其内部存储执行逻辑运算、顺序控制、定时、计数和算术运算等操作的指令,通过数字式或模拟式的输入输出来控制各种类型的机械设备和/或生产过程。
目前PLC通常直接受到上位机的控制,即PLC接收上位机的控制指令,并根据该控制指令来控制各种类型的机械进行作业。PLC相对于上位机来说是透明的,上位机可以获取PLC所有的地址。当黑客通过上位机攻击PLC时,PLC所有的地址均会暴露于黑客的攻击目标内,黑客可以通过上位机向PLC发出恶意控制指令,例如发出控制指令使PLC控制机械设备超出机械设备的运行参数范围,造成机械设备损坏。
发明内容
为了解决现有技术中存在的以上技术问题,本申请提供一种用于可编程逻辑控制器的防火墙、方法及系统,能够降低PLC被黑客攻击的范围,保护PLC对应的控制对象。
本申请提供了一种用于可编程逻辑控制器的防火墙,该防火墙应用于对所述可编程逻辑控制器PLC进行防护;
所述防火墙,用于接收上位机发送的控制指令,所述控制指令携带所述PLC对应的地址;判断所述控制指令携带的所述PLC对应的地址是否是所述PLC允许访问的地址且判断所述控制指令的内容是否符合预设规定;如果是,则根据所述PLC对应的地址将所述控制指令发送给所述PLC;如果否,则丢弃所述控制指令;不同类别的控制指令对应所述PLC中不同的地址。
可选的,所述防火墙判断所述控制指令的内容是否符合预设规定,具体为:
所述防火墙判断所述控制指令的类型是否是所述PLC允许所述上位机控制的指令类型。
可选的,所述防火墙判断所述控制指令的内容是否符合预设规定,具体为:
当所述控制指令携带所述PLC的控制对象的运行参数时,所述防火墙判断所述控制指令携带的运行参数是否在所述防火墙设置的范围内。
可选的,所述防火墙还用于统计预设时间内丢弃的所述控制指令的数量,并当丢弃的所述控制指令的数量大于预设数量时,提示所述上位机出现异常。
本申请实施例还提供了一种应用于防火墙的控制方法,所述方法包括包括:
接收上位机发送的控制指令,所述控制指令携带所述PLC对应的地址;
判断所述控制指令携带的所述PLC对应的地址是否是所述PLC允许访问的地址且判断所述控制指令的内容是否符合预设规定;不同类别的控制指令对应所述PLC中不同的地址;
如果是,则根据所述PLC对应的地址将所述控制指令发送给所述PLC;
如果否,则丢弃所述控制指令。
可选的,判断所述控制指令的内容是否符合预设规定,具体为:
所述防火墙判断所述控制指令的类型是否是所述PLC允许所述上位机控制的指令类型。
可选的,判断所述控制指令的内容是否符合预设规定,具体为:
当所述控制指令携带所述PLC的控制对象的运行参数时,所述防火墙判断所述控制指令携带的运行参数是否在所述防火墙设置的范围内。
本申请实施例还提供了一种工业控制系统,该系统包括:上位机、防火墙和PLC;
所述上位机,用于向所述防火墙发送控制指令;所述控制指令携带所述PLC对应的地址;
所述防火墙,用于判断所述控制指令携带的所述PLC对应的地址是否是所述PLC允许访问的地址且判断所述控制指令的内容是否符合预设规定;如果是,则根据所述PLC对应的地址将所述控制指令发送给所述PLC;如果否,则丢弃所述控制指令;不同类别的控制指令对应所述PLC中不同的地址;
所述PLC,用于根据所述控制指令控制控制对象。
可选的,所述防火墙判断所述控制指令的内容是否符合预设规定,具体为:
所述防火墙判断所述控制指令的类型是否是所述PLC允许所述上位机控制的指令类型。
可选的,所述防火墙判断所述控制指令的内容是否符合预设规定,具体为:
当所述控制指令携带所述PLC的控制对象的运行参数时,所述防火墙判断所述控制指令携带的运行参数是否在所述防火墙设置的范围内。
与现有技术相比,本发明至少具有以下优点:
本申请提供的用于可编程逻辑控制器的防火墙,可以接收上位机发送的控制指令,该控制指令携带PLC对应的地址,防火墙还可以判断控制指令携带的PLC对应的地址是否是PLC允许访问的地址并且判断控制指令的内容是否符合预设规定。如果是,则根据PLC对应的地址将控制指令发送给PLC;如果否,则丢弃控制指令,不同类别的控制指令对应PLC不同的地址。当黑客发起攻击时,由于在上位机和PLC之间增加了上述防火墙,防火墙判断黑客通过上位机向PLC发送的控制指令携带的地址不是PLC允许访问的地址时,防火墙会丢弃该控制指令,以使黑客无法将这些控制指令发送到PLC,缩小了黑客的攻击范围。此外即使黑客发送的控制指令携带的地址是PLC允许访问的地址,防火墙还能通过判断控制指令的内容是否符合预设规定,将不符合预设规则的控制指令丢弃,保证最终发送到PLC的控制指令始终符合预设规定,能够减小黑客发送的控制指令的破坏性。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本申请实施例提供的一种用于可编程逻辑控制器的防火墙的示意图;
图2为本申请实施例提供的一种应用于防火墙的控制方法的流程图;
图3为本申请实施例提供的一种工业控制系统的示意图。
具体实施方式
由于目前PLC通常直接受到上位机的控制,上位机可以获取PLC所有的地址。当黑客通过上位机攻击PLC时,PLC所有的地址均会暴露于黑客的攻击目标内,黑客可以通过上位机向PLC发出恶意控制指令以破坏PLC控制的控制对象,例如各种类型的机械设备和/或生产过程。
为了解决现有技术存在的上述问题,本申请提供了一种PLC的防火墙,能够判断接收到的控制指令携带的PLC对应的地址是否是PLC允许访问的地址,并且判断控制指令的内容是否符合预设规定,只有同时满足两者时才根据PLC对应的地址将控制指令发送给PLC,否则丢弃控制指令,利用本申请提供的防火墙改,能够降低PLC被黑客攻击的范围,保护PLC对应的被控对象。
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一:
本申请实施例提供了一种用于可编程逻辑控制器的防火墙,能够对PLC进行防护,下面结合附图具体说明。
参见图1,该图为本申请实施例一提供的一种用于可编程逻辑控制器的防火墙的示意图。
该防火墙102能够与上位机101和PLC103进行数据传输,其中,上位机101可以运行SCADA(Supervisory Control And Data Acquisition,数据采集与监视控制)软件,该软件又称组态软件,可以应用于电力系统、给水系统、石油、化工等领域,能够对工业设备进行监视和控制,以实现数据采集、设备控制、测量、参数调节以及各类信号报警等各项功能,本申请提供的防火墙能够应用于上述的各种场景,本申请对于的应用场景不做具体限定。
正常工况下,上位机101产生控制指令并通过防火墙102向PLC103发送控制指令。本实施例中并不是上位机101发送的所有控制指令均发送给PLC103,而是先由防火墙102进行筛选。只有防火墙102筛选出的符合要求的控制指令才下发给PLC103。防火墙102可以与PLC103处于同一物理位置,在一种可能的实现方式中,可以将防火墙102与PLC103安装在同一机柜中。
当PLC103用于工业时,由于需要实现对不同类型的机械设备和/或生产过程的控制,因此需要用到很多的地址,不同类别的控制指令对应PLC103中不同的地址。
防火墙102能够接收上位机101发送的控制指令,该控制指令携带PLC103对应的地址。
防火墙102需要判断控制指令携带的PLC103对应的地址是否是PLC103允许访问的地址。
预先设置PLC103允许访问的地址,则其它的地址为PLC103不允许访问的地址。由于PLC103相对于上位机101来说是透明的,上位机101可以获取PLC103所有的地址,但上位机101往往不会向PLC103上所有的地址都发送对应的控制指令,即PLC有些地址是空闲的。本申请实施例可以将正常工况下,上位机101发送的控制指令携带的地址设置为PLC103允许访问的地址,则其它空闲地址为PLC103不允许访问的地址。
当防火墙102判断控制指令携带的PLC103对应的地址不是PLC103允许访问的地址时,防火墙102丢弃该控制指令,使黑客无法将携带PLC103不允许访问的地址的控制指令发送到PLC,缩小了黑客的攻击范围。此外,防火墙103还能够判断控制指令的内容是否符合预设规定。
防火墙103可以为控制指令的内容预先设置限制条件,当控制指令携带的参数不符合限制条件时,防火墙能够丢弃该控制指令,能够防止黑客通过上位机向PLC103发送恶意控制指令,还能够防止技术人员的误操作。
在一种实现方式中,可以预先对PLC允许接收的控制指令的指令类型进行设定,防火墙能够判断控制指令的类型是否是PLC允许上位机控制的指令类型,如果否,则丢弃该控制指令,本申请对PLC允许上位机控制的指令类型不做具体限定,技术人员可以根据实际的作业需求设置。
例如预先设置PLC允许上位机控制的指令类型为:用于调节控制对象的运行参数的指令。由于对于控制对象的启动指令和关闭指令不被包括在PLC允许上位机控制的指令类型中,当防火墙判断控制指令的类型控制对象的启动指令或关闭指令时,会丢弃该控制指令,避免黑客恶意开启或中断某些控制对象。
通过对PLC允许上位机控制的指令类型进行设置,能够限制黑客攻击时恶意发送的控制指令的类型,即限制了黑客的攻击手段,降低了黑客破坏控制对象的可能性。
在另一种实现方式中,当控制指令携带PLC的控制对象的运行参数时,防火墙判断控制指令携带的运行参数是否在设置的范围内,如果否,则丢弃该控制指令。
例如当PLC的控制对象为离心机且该运行参数为离心机的工作频率时,可以预先设置控制指令可以调节的工作频率范围,为了保护离心机,该工作频率范围可以设置为离心机正常工作的频率范围,例如将工作频率范围设置为30Hz-50Hz。当防火墙判断控制指令携带的运行参数超出离心机的工作频率范围时,假设此时控制指令携带的离心机的工作频率为100Hz,显然超出了预设的工作频率范围,此时防火墙丢弃该控制指令,使离心机不会因工作频率超出正常的工作频率范围而失控或损坏。
防火墙通过预设PLC的控制对象的运行参数范围,能够将黑客发送的携带有超出预设范围的运行参数的控制指令丢弃,有效保护了PLC的控制对象,此外,还可以丢弃因技术人员误操作产生的控制指令。
防火墙也可以同时上述两种方式,即首先判断控制指令的类型是否是PLC允许上位机控制的指令类型,若是,继续判断控制指令携带的运行参数是否在设置的范围内,能够更加充分保护PLC的控制对象,降低黑客攻击的破坏性。
当防火墙判断控制指令携带的PLC对应的地址是PLC允许访问的地址,同时控制指令的内容符合预设规定时,才根据PLC对应的地址将控制指令发送给PLC。
可以理解的是,本申请实施例对防火墙102判断控制指令携带的PLC对应的地址是否为PLC允许访问的地址以及判断控制指令的内容是否符合预设规定的先后顺序不做具体限定。
本申请实施例提供的用于可编程逻辑控制器的防火墙,可以接收上位机发送的控制指令,防火墙还可以判断控制指令携带的PLC对应的地址是否是PLC允许访问的地址并且判断控制指令的内容是否符合预设规定,如果是,则根据PLC对应的地址将控制指令发送给PLC,否则丢弃该控制指令。当黑客发起攻击时,防火墙会对PLC上不允许访问的地址进行保护,将携带有PLC上不允许访问地址的控制指令丢弃,使得黑客无法利用这些地址破坏PLC的被控对象,有效降低PLC被黑客攻击的范围。此外即使黑客发送的控制指令携带的所述PLC对应的地址,由于黑客发送的控制指令通常不符合预设规定,防火墙也能筛选出这些指令并将其丢弃,进而保护PLC对应的被控对象。
黑客在攻击上位机时,有时还会修改上位机的运行程序,使上位机的显示界面显示的运行参数处于正常范围,但实际已经通过上位机向PLC发送了恶意控制指令,但技术人员无法从上位机的显示界面及时发现黑客的攻击行为,为例解决该问题,本申请实施例提供的防火墙还可以统计预设时间内控制指令的丢弃数量,并与预设数量进行对比,当丢弃数量大于预设数量时,防火墙还能够提醒上位机此时出现异常,以使技术人员可以及时发现黑客的攻击。
实施例二:
本申请实施例二还提供了一种应用于实施例一提供的防火墙的控制方法,下面结合附图具体说明。
参见图2,该图为本申请实施例提供的一种应用于防火墙的控制方法的流程图。
该方法包括以下步骤:
S101:接收上位机发送的控制指令,该控制指令携带PLC对应的地址。
防火墙预先设置PLC允许访问的地址,防火墙只允许上位机只发送对应PLC允许访问的地址的控制指令,其它地址为PLC不允许访问的地址,通过对PLC上不需要接收上位机的控制指令的部分地址的保护,能够有效降低PLC被黑客攻击的范围。
S102:判断该控制指令携带的PLC对应的地址是否是PLC允许访问的地址且判断该控制指令的内容是否符合预设规定。
由于通过PLC能够实现对不同类型的机械设备和/或生产过程的控制,因此需要用到PLC很多的地址,不同类别的控制指令对应PLC中不同的地址,但PLC上仍会存在很多空余地址,上位机不向这些空余地址发送控制指令,因此通过设置PLC允许访问的地址,能将这些空余地址保护起来,防止黑客利用这些空余地址。
当防火墙判断该控制指令携带的PLC对应的地址不是PLC允许访问的地址时,即此时该控制指令作用于PLC不允许访问的地址,判断该控制指令是违规指令。
防火墙判断控制指令的内容是否符合预设规定,可以包括判断控制指令的类型是否是PLC允许所述上位机控制的指令类型,以及判断控制指令的内容是否符合预设规定。
首先说明防火墙判断控制指令的类型是否是PLC允许上位机控制的指令类型时的步骤。
防火墙可以预先对PLC允许接收的控制指令的指令类型进行设定,例如预先设定PLC允许上位机控制的指令类型为:用于调节控制对象的运行参数的指令。则其他类型的指令,例如对于控制对象的启动指令和关闭指令不被包括在PLC允许上位机控制的指令类型中。
防火墙判断上位机发送的控制指令的类型是否是PLC允许上位机控制的指令类型,如果否,则丢弃该控制指令,以限制黑客的攻击手段。
下面说明防火墙判断控制指令的内容是否符合预设规定时的步骤。
防火墙可以预先对控制指令的内容进行一定的限制,例如当控制指令携带PLC的控制对象的运行参数时,防火墙可以根据实际要求预先对运行参数的范围进行限制。
当防火墙接收到上位机传送的控制指令时,防火墙判断该控制指令携带的运行参数是否在防火墙设置的范围内,如果否,则丢弃该控制指令。
本申请对控制指令的限定并不局限于对运行参数范围的限制,还可以根据实际情况限制控制指令调节运行参数的调节频率,例如可以限制控制指令不能在短时间内多次调节运行参数,还可以限制控制指令调节对运行参数的调节幅度,例如可以限制指令调节对运行参数的调节幅度每次调节不能超过预设比例等。
可以理解的是,本申请实施例对防火墙判断控制指令携带的PLC对应的地址是否为PLC允许访问的地址以及判断控制指令的内容是否符合预设规定的先后顺序不做具体限定。
当防火墙判断控制指令携带的PLC对应的地址是PLC允许访问的地址,同时控制指令的内容符合预设规定时,执行S103,否则执行S104。
S103:根据PLC对应的地址将该控制指令发送给PLC。
S104:丢弃该控制指令。
进一步的,该控制方法还可以包括:
统计预设时间内控制指令的丢弃数量,并与预设数量进行对比,当丢弃数量大于预设数量时,够提醒上位机此时控制指令发送出现异常,以使技术人员可以及时发现黑客的攻击。
利用本申请实施例提供的防火墙的控制方法,在防火墙接收上位机发送的控制指令后,判断控制指令携带的PLC对应的地址是否是PLC允许访问的地址并且判断控制指令的内容是否符合预设规定,如果是,则根据PLC对应的地址将控制指令发送给PLC,否则丢弃该控制指令。当黑客发起攻击时,防火墙判断黑客通过上位机向PLC发送的控制指令携带的地址不是PLC允许访问的地址时,防火墙会丢弃该控制指令,以使黑客无法将这些控制指令发送到PLC,缩小了黑客的攻击范围。此外即使黑客发送的控制指令携带的地址是PLC允许访问的地址,防火墙还能通过判断控制指令的内容是否符合预设规定,将不符合预设规则的控制指令丢弃,保证最终发送到PLC的控制指令始终符合预设规定,能够减小黑客发送的控制指令的破坏性。
实施例三:
本申请实施例三还提供了一种工业控制系统,该系统包括实施例一提供的防火墙,下面结合附图具体说明。
参见图3,该图为本申请实施例提供的一种工业控制系统的示意图。
该工业控制系统300包括:上位机101,防火墙102和PLC103。
上位机101上包括SCADA系统,能够运行组态软件,还能够向防火墙102发送控制指令,该控制指令携带PLC对应的地址。
防火墙102能够判断控制指令携带的PLC对应的地址是否是PLC允许访问的地址且判断控制指令的内容是否符合预设规定,如果是,则根据PLC对应的地址将控制指令发送给PLC,否则丢弃该控制指令,不同类别的控制指令对应PLC中不同的地址。
PLC103用于根据控制指令控制控制对象,控制对象可以包括各种类型的机械设备和/或生产过程。
进一步的,防火墙判断控制指令的内容是否符合预设规定,具体为:
防火墙判断控制指令的类型是否是PLC允许上位机控制的指令类型。
防火墙判断控制指令的内容是否符合预设规定,具体为:
当控制指令携带PLC的控制对象的运行参数时,防火墙判断控制指令携带的运行参数是否在防火墙设置的范围内。
对于防火墙102的说明可以参见实施例一,对于防火墙102的控制方法可以参见实施例二,在此不再赘述。
本申请实施例提供的工业控制系统,在上位机和PLC之间增加了防火墙,该防火墙接收上位机发送的控制指令后,判断控制指令携带的PLC对应的地址是否是PLC允许访问的地址并且判断控制指令的内容是否符合预设规定,如果是,则根据PLC对应的地址将控制指令发送给PLC,否则丢弃该控制指令。防火墙判断黑客通过上位机向PLC发送的控制指令携带的地址不是PLC允许访问的地址时,防火墙会丢弃该控制指令,以使黑客无法将这些控制指令发送到PLC,缩小了黑客的攻击范围。此外即使黑客发送的控制指令携带的地址是PLC允许访问的地址,防火墙还能通过判断控制指令的内容是否符合预设规定,将不符合预设规则的控制指令丢弃,保证最终发送到PLC的控制指令始终符合预设规定,能够减小黑客发送的控制指令的破坏性。由此可见,该工业控制系统的安全性能更高,具有抵抗黑客攻击的能力。
应当理解,在本申请中,“至少一个(项)”是指一个或者多个,“多个”是指两个或两个以上。“和/或”,用于描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:只存在A,只存在B以及同时存在A和B三种情况,其中A,B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达,是指这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b或c中的至少一项(个),可以表示:a,b,c,“a和b”,“a和c”,“b和c”,或“a和b和c”,其中a,b,c可以是单个,也可以是多个。
以上所述,仅是本发明的较佳实施例而已,并非对本发明作任何形式上的限制。虽然本发明已以较佳实施例揭露如上,然而并非用以限定本发明。任何熟悉本领域的技术人员,在不脱离本发明技术方案范围情况下,都可利用上述揭示的方法和技术内容对本发明技术方案做出许多可能的变动和修饰,或修改为等同变化的等效实施例。因此,凡是未脱离本发明技术方案的内容,依据本发明的技术实质对以上实施例所做的任何简单修改、等同变化及修饰,均仍属于本发明技术方案保护的范围内。
Claims (10)
1.用于可编程逻辑控制器的防火墙,其特征在于,应用于对所述可编程逻辑控制器PLC进行防护;
所述防火墙,用于接收上位机发送的控制指令,所述控制指令携带所述PLC对应的地址;判断所述控制指令携带的所述PLC对应的地址是否是所述PLC允许访问的地址且判断所述控制指令的内容是否符合预设规定;如果是,则根据所述PLC对应的地址将所述控制指令发送给所述PLC;如果否,则丢弃所述控制指令;不同类别的控制指令对应所述PLC中不同的地址。
2.根据权利要求1所述的防火墙,其特征在于,所述防火墙判断所述控制指令的内容是否符合预设规定,具体为:
所述防火墙判断所述控制指令的类型是否是所述PLC允许所述上位机控制的指令类型。
3.根据权利要求1或2所述的防火墙,其特征在于,所述防火墙判断所述控制指令的内容是否符合预设规定,具体为:
当所述控制指令携带所述PLC的控制对象的运行参数时,所述防火墙判断所述控制指令携带的运行参数是否在所述防火墙设置的范围内。
4.根据权利要求1所述的防火墙,其特征在于,所述防火墙还用于统计预设时间内丢弃的所述控制指令的数量,并当丢弃的所述控制指令的数量大于预设数量时,提示所述上位机出现异常。
5.一种应用于防火墙的控制方法,其特征在于,包括:
接收上位机发送的控制指令,所述控制指令携带所述PLC对应的地址;
判断所述控制指令携带的所述PLC对应的地址是否是所述PLC允许访问的地址且判断所述控制指令的内容是否符合预设规定;不同类别的控制指令对应所述PLC中不同的地址;
如果是,则根据所述PLC对应的地址将所述控制指令发送给所述PLC;
如果否,则丢弃所述控制指令。
6.根据权利要求5所述的控制方法,其特征在于,判断所述控制指令的内容是否符合预设规定,具体为:
所述防火墙判断所述控制指令的类型是否是所述PLC允许所述上位机控制的指令类型。
7.根据权利要求5或6所述的控制方法,其特征在于,判断所述控制指令的内容是否符合预设规定,具体为:
当所述控制指令携带所述PLC的控制对象的运行参数时,所述防火墙判断所述控制指令携带的运行参数是否在所述防火墙设置的范围内。
8.一种工业控制系统,其特征在于,包括:上位机、防火墙和PLC;
所述上位机,用于向所述防火墙发送控制指令;所述控制指令携带所述PLC对应的地址;
所述防火墙,用于判断所述控制指令携带的所述PLC对应的地址是否是所述PLC允许访问的地址且判断所述控制指令的内容是否符合预设规定;如果是,则根据所述PLC对应的地址将所述控制指令发送给所述PLC;如果否,则丢弃所述控制指令;不同类别的控制指令对应所述PLC中不同的地址;
所述PLC,用于根据所述控制指令控制控制对象。
9.根据权利要求8所述的控制系统,其特征在于,所述防火墙判断所述控制指令的内容是否符合预设规定,具体为:
所述防火墙判断所述控制指令的类型是否是所述PLC允许所述上位机控制的指令类型。
10.根据权利要求8所述的控制系统,其特征在于,所述防火墙判断所述控制指令的内容是否符合预设规定,具体为:
当所述控制指令携带所述PLC的控制对象的运行参数时,所述防火墙判断所述控制指令携带的运行参数是否在所述防火墙设置的范围内。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910289462.2A CN109933001A (zh) | 2019-04-11 | 2019-04-11 | 用于可编程逻辑控制器的防火墙、方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910289462.2A CN109933001A (zh) | 2019-04-11 | 2019-04-11 | 用于可编程逻辑控制器的防火墙、方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109933001A true CN109933001A (zh) | 2019-06-25 |
Family
ID=66989751
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910289462.2A Withdrawn CN109933001A (zh) | 2019-04-11 | 2019-04-11 | 用于可编程逻辑控制器的防火墙、方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109933001A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114726656A (zh) * | 2022-06-08 | 2022-07-08 | 浙江国利网安科技有限公司 | 一种网络安全防护的方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101884231A (zh) * | 2007-12-06 | 2010-11-10 | 艾利森电话股份有限公司 | 基站中的防火墙配置 |
| CN104735043A (zh) * | 2013-12-24 | 2015-06-24 | 北京力控华康科技有限公司 | 一种阻止可疑数据包通过工业以太网攻击plc的方法 |
| CN105978844A (zh) * | 2015-06-04 | 2016-09-28 | 乐视致新电子科技(天津)有限公司 | 一种基于路由器的网络访问控制方法、路由器和系统 |
| CN107104960A (zh) * | 2017-04-20 | 2017-08-29 | 四川电科智造科技有限公司 | 一种基于机器学习的工业控制系统入侵检测方法 |
| CN107819874A (zh) * | 2017-11-27 | 2018-03-20 | 南京城市职业学院 | 一种远程控制防火墙终端的方法 |
-
2019
- 2019-04-11 CN CN201910289462.2A patent/CN109933001A/zh not_active Withdrawn
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101884231A (zh) * | 2007-12-06 | 2010-11-10 | 艾利森电话股份有限公司 | 基站中的防火墙配置 |
| CN104735043A (zh) * | 2013-12-24 | 2015-06-24 | 北京力控华康科技有限公司 | 一种阻止可疑数据包通过工业以太网攻击plc的方法 |
| CN105978844A (zh) * | 2015-06-04 | 2016-09-28 | 乐视致新电子科技(天津)有限公司 | 一种基于路由器的网络访问控制方法、路由器和系统 |
| CN107104960A (zh) * | 2017-04-20 | 2017-08-29 | 四川电科智造科技有限公司 | 一种基于机器学习的工业控制系统入侵检测方法 |
| CN107819874A (zh) * | 2017-11-27 | 2018-03-20 | 南京城市职业学院 | 一种远程控制防火墙终端的方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114726656A (zh) * | 2022-06-08 | 2022-07-08 | 浙江国利网安科技有限公司 | 一种网络安全防护的方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2866407A1 (en) | Protection of automated control systems | |
| EP3291501A1 (en) | System and method for using a virtual honeypot in an industrial automation system and cloud connector | |
| JP5411916B2 (ja) | 保護継電器とこれを備えるネットワークシステム | |
| EP3182669B1 (en) | Integrated industrial system and control method thereof | |
| EP3182234B1 (en) | Control device, integrated industrial system, and control method thereof | |
| CN107800724A (zh) | 云主机防破解方法、系统及处理设备 | |
| JP2011100443A5 (zh) | ||
| GB2474545A (en) | Integrated unified threat management for a process control system | |
| EP2962484B1 (de) | Verfahren und endgerät zur sicheren zugangscode-eingabe | |
| Robles-Durazno et al. | PLC memory attack detection and response in a clean water supply system | |
| US11533333B2 (en) | Malware infection prediction | |
| JP2019527877A (ja) | Plcの仮想的なパッチおよびセキュリティコンテキストの自動配信 | |
| McParland et al. | Monitoring security of networked control systems: It's the physics | |
| EP3646561B1 (en) | A threat detection system for industrial controllers | |
| CN102208004A (zh) | 一种基于最小化特权原则的软件行为控制方法 | |
| CN109933001A (zh) | 用于可编程逻辑控制器的防火墙、方法及系统 | |
| RU2746105C2 (ru) | Система и способ конфигурирования шлюза для защиты автоматизированных систем | |
| CN113557482A (zh) | 控制器系统 | |
| CN106850601A (zh) | 一种工业控制系统中工业控制协议的安全防护方法 | |
| RU2647684C2 (ru) | Устройство и способ обнаружения несанкционированных манипуляций системным состоянием блока управления и регулирования ядерной установки | |
| KR101657180B1 (ko) | 프로세스 접근 제어 시스템 및 방법 | |
| CN113557483A (zh) | 控制系统及设定方法 | |
| CN110392887B (zh) | 具有防止网络犯罪威胁的安全措施的方法和计算机 | |
| Negi et al. | Intrusion Detection & Prevention in Programmable Logic Controllers: A Model-driven Approach | |
| CN111404917B (zh) | 一种基于工控仿真设备的威胁情报分析检测方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20190625 |
|
| WW01 | Invention patent application withdrawn after publication |