CN112769850B - 网络报文过滤方法、电子设备及存储介质 - Google Patents

网络报文过滤方法、电子设备及存储介质 Download PDF

Info

Publication number
CN112769850B
CN112769850B CN202110070154.8A CN202110070154A CN112769850B CN 112769850 B CN112769850 B CN 112769850B CN 202110070154 A CN202110070154 A CN 202110070154A CN 112769850 B CN112769850 B CN 112769850B
Authority
CN
China
Prior art keywords
network message
core agent
network
matching
agent program
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110070154.8A
Other languages
English (en)
Other versions
CN112769850A (zh
Inventor
李新波
焦颖
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Insec Technology Beijing Co ltd
Original Assignee
Insec Technology Beijing Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Insec Technology Beijing Co ltd filed Critical Insec Technology Beijing Co ltd
Priority to CN202110070154.8A priority Critical patent/CN112769850B/zh
Publication of CN112769850A publication Critical patent/CN112769850A/zh
Application granted granted Critical
Publication of CN112769850B publication Critical patent/CN112769850B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开一种网络报文过滤方法,应用工控防火墙,该方法包括:启动工控防火墙的核心代理层的核心代理程序,并初始化所加载的工业协议插件;根据用户通过规则管理层的配置策略启动对应工业协议监听进程;当监听到网络报文,且工控防火墙工作在网桥模式下时通过网桥模式socket查找匹配;若查找到匹配则将网络报文重定向到所述核心代理程序,并将网络报文转入核心代理程序;核心代理程序根据配置策略对网络报文进行转发或阻断处理。本发明核心代理层以netfilter框架提供的透明代理为基础,并在此基础上增加对网桥模式功能的支持,基于透明代理的工业协议分析引擎能够有效抵御syn flood攻击。

Description

网络报文过滤方法、电子设备及存储介质
技术领域
本发明涉及工业控制技术领域,尤其涉及一种网络报文过滤方法、电子设备及存储介质。
背景技术
工业控制系统中,为保护工业生产环境网络安全,越来越多的引入了工业防火墙。工业防火墙需要对网络报文进行深度协议解析,并能够对非法协议数据进行拦截,如果通过简单地丢弃报文策略进行控制可能导致某些工控软件产生异常。此外,防火墙支持不同接入网络工作模式(例如,路由模式和网桥模式),路由模式下可能又会开启NAT功能,对于基于透明代理实现的协议分析引擎来说,不同的工作模式可能导致代理程序无法正常工作。同时对于使用动态端口的协议(如opc/ftp等)来说,也会影响代理程序的正常工作。
发明内容
本发明实施例提供一种网络报文过滤方法、电子设备及存储介质,用于至少解决上述技术问题之一。
第一方面,本发明实施例提供一种网络报文过滤方法,应用工控防火墙,所述工控防火墙配置有工业协议分析引擎,所述工业协议分析引擎包括核心代理层、协议分析层和规则管理层,所述方法包括:
启动所述核心代理层的核心代理程序,并初始化所加载的工业协议插件;
根据用户通过规则管理层的配置策略启动对应工业协议监听进程;
当监听到网络报文,且所述工控防火墙工作在网桥模式下时通过网桥模式socket查找匹配;
若查找到匹配则将所述网络报文重定向到所述核心代理程序,并将所述网络报文转入所述核心代理程序;所述核心代理程序根据所述配置策略对所述网络报文进行转发或阻断处理。
第二方面,本发明实施例提供一种存储介质,所述存储介质中存储有一个或多个包括执行指令的程序,所述执行指令能够被电子设备(包括但不限于计算机,服务器,或者网络设备等)读取并执行,以用于执行本发明上述任一项网络报文过滤方法。
第三方面,提供一种电子设备,其包括:至少一个处理器,以及与所述至少一个处理器通信连接的存储器,其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行本发明上述任一项网络报文过滤方法。
第四方面,本发明实施例还提供一种计算机程序产品,所述计算机程序产品包括存储在存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,使所述计算机执行上述任一项网络报文过滤方法。
本发明实施例的有益效果在于:本发明核心代理层以netfilter框架提供的透明代理为基础,并在此基础上增加对网桥模式功能的支持,基于透明代理的工业协议分析引擎能够有效抵御syn flood攻击。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为采用工业协议分析引擎的工控防火墙用于客户端和服务器间通信的示意图;
图2为本发明的网络报文过滤方法的一实施例的流程图;
图3为本发明的网络报文过滤方法的另一实施例的流程图;
图4为本发明的网络报文过滤方法的一实施例的流程图;
图5为本发明的网络报文过滤方法的另一实施例的流程图;
图6为本发明的网络报文过滤方法的一实施例的流程图;
图7为本发明的网络报文过滤方法的另一实施例的流程图;
图8为本发明的网络报文过滤方法的一实施例的流程图;
图9为本发明的网络报文过滤方法的另一实施例的流程图;
图10为本发明的电子设备的一实施例的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”,不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
为解决现有技术中所存在的问题,本发明提出一种基于透明代理实现的工业协议分析引擎,该工业协议分析引擎分为三个模块:核心代理层、协议分析层和规则管理层,其用于工控防火墙。
如图1所示为采用工业协议分析引擎的工控防火墙用于客户端和服务器间通信的示意图。客户端到服务器的通信,从客户端或服务器上看只有一条通信链路,客户端到服务器直接通信;从防火墙上看,有两条通信链路:客户端和核心代理层通信链路,核心代理层和服务器通信链路。
核心代理层采用应用层透明代理实现,利用内核网络协议栈代理传输层协议(tcp/udp),维护通信会话,向客户端和服务器转发数据,并能够自适应防火墙不同的工作模式(例如,网桥模式、路由模式)。协议分析层集成各种工业协议解析插件,负责深度分析工控协议并控制协议数据,支持opc、modbus、s7等常用工控协议。规则管理层用于管理用户配置规则集,负责工控协议策略匹配。核心代理层以netfilter框架提供的透明代理为基础,并在此基础上增加对网桥模式、SNAT、动态端口等功能的支持。基于透明代理的工业协议分析引擎能够有效抵御syn flood攻击。
如图2所示,本发明的实施例提供一种网络报文过滤方法,应用工控防火墙,所述工控防火墙配置有工业协议分析引擎,所述工业协议分析引擎包括核心代理层、协议分析层和规则管理层,所述方法包括:
S11、启动所述核心代理层的核心代理程序,并初始化所加载的工业协议插件。示例性地,核心代理程序是用户态进程,监听某个固定端口并等待连接到达。
S12、根据用户通过规则管理层的配置策略启动对应工业协议监听进程。
S13、当监听到网络报文,且所述工控防火墙工作在网桥模式下时通过网桥模式socket查找匹配。
S14、若查找到匹配则将所述网络报文重定向到所述核心代理程序,并将所述网络报文转入所述核心代理程序;所述核心代理程序根据所述配置策略对所述网络报文进行转发或阻断处理。
示例性地,基于iptables-tproxy模块提供的功能将非本机网络报文送入核心代理程序。以网络报文的五元组信息为匹配规则,将匹配的网络报文送入核心代理程序。如modbus协议(502端口),将源或目的端口为502的网络报文送入核心代理程序。
本实施例中,核心代理层以netfilter框架提供的透明代理为基础,并在此基础上增加对网桥模式功能的支持,基于透明代理的工业协议分析引擎能够有效抵御syn flood攻击。
如图3所示,为本发明的网络报文过滤方法的另一实施例的流程图,在该实施例中网络报文过滤方法还包括:
S21、若未查找到匹配,则进行网桥模式五元组匹配;
S22、如果匹配成功,则将所述网络报文重定向到所述核心代理程序,并将所述网络报文转入所述核心代理程序;所述核心代理程序根据所述配置策略对所述网络报文进行转发或阻断处理;
S23、如果未匹配成功,则按网桥模式的其他策略进行报文过滤。
在本实施例中,为支持网桥模式为核心代理程序配置ebtables-redirect模块,使用ebtables-redirect模块功能。以五元组信息为匹配规则,将匹配的网络报文重定向到本机,之后经tproxy送入核心代理程序。
示例性地,为在网桥模式下支持动态端口,扩展ebtables-redirect模块功能,使该模块支持网络报文的socket查找。若报文找到本地socket,则将网络报文重定向到本地。之后经过tproxy送入核心代理程序。
示例性地,核心代理程序使用多进程,针对每种工业协议启动一个监听进程。各进程通过线程池处理后续通信请求。
如图4所示,为本发明的网络报文过滤方法的另一实施例的流程图,在该实施例中网络报文过滤方法还包括:
S31、当监听到网络报文,且所述工控防火墙工作在路由模式下时,确定所述网络报文的第一会话方向;
S32、如果确定所述第一会话方向为客户端和核心代理层之间,则将所述网络报文与第一域ID的会话关联;
S33、如果确定所述第一会话方向为核心代理层和服务器之间,则将所述网络报文与第二域ID的会话关联。
在本实施例中,为支持SNAT功能,开启会话表域ID功能,将客户端和核心代理层之间的网络报文关联到域ID为1(第一域ID)的会话,将核心代理层和服务器器之间的网络报文关联到域ID为2(第二域ID)的会话。此时,当报文到达或离开防火墙时,域ID为2的会话可以对报文做SNAT规则。为支持动态端口会话做SNAT,通过ipset创建left_set和right_set两个‘IP地址-端口’集合。left_set存储了客户端和核心代理层的IP地址-端口集合,right_set存储了核心代理层和服务器端的IP地址-端口集合。若网络报文源IP地址-源端口与left_set集合匹配,将报文与域ID为1的会话关联。若网络报文源IP地址-源端口与right_set集合匹配,将网络报文与域ID为2的会话关联。核心代理层向协议层提供会话管理接口,负责创建/删除/更新left_set和right_set中的IP地址-端口对。
在一些实施例中,网络报文过滤方法还包括:对与所述第二域ID的会话关联后的网络报文执行SNAT规则。
如图5所示,为本发明的网络报文过滤方法的另一实施例的流程图,在该实施例中网络报文过滤方法还包括:
S41、通过路由模式报文socket查找,若找到匹配则将所述网络报文重定向到核心代理程序,并将所述网络报文转入所述核心代理程序;
S42、所述核心代理程序根据所述配置策略对所述网络报文进行转发或阻断处理。
在本实施例中,为了支持使用动态端口的网络报文转入核心代理程序,通过查找网络报文的socket实现。
如图6所示,为本发明的网络报文过滤方法的另一实施例的流程图,在该实施例中网络报文过滤方法还包括:
S51、若未查找到匹配,则进行路由模式五元组匹配;
S52、如果匹配成功,则将所述网络报文重定向到所述核心代理程序,并将所述网络报文转入所述核心代理程序;所述核心代理程序根据所述配置策略对所述网络报文进行转发或阻断处理;
S53、如果未匹配成功,则按路由模式的其他策略进行报文过滤。
如图7所示,为本发明的网络报文过滤方法的另一实施例的流程图,在该实施例中所述核心代理程序根据所述配置策略对所述网络报文进行转发处理包括:
S521、确定所述网络报文的第二会话方向;
S522、如果确定所述第二会话方向为发起方到核心代理程序,则将所述网络报文与第一域ID的会话关联,所述发起方为客户端或者服务器;
S523、当确定所述第二会话方向为核心代理程序到接受方时,则将所述网络报文与第二域ID的会话关联,所述接受方为客户端或者服务器。
在一些实施例中,网络报文过滤方法还包括:对与所述第二域ID的会话关联后的网络报文执行SNAT规则,并将执行结果转发至接受方。
以下描述了一次透明代理协议分析引擎的工作流程。
步骤1、核心代理程序启动,加载并初始化工业协议插件。
步骤2、根据用户配置策略,启动对应工业协议监听进程。下发iptables/ebtables策略。
步骤3、客户端发起和服务器的连接。如图8,网络报文到达防火墙,若防火墙网口工作在网桥模式则转入步骤4,若防火墙网口工作在路由模式转入步骤5。
步骤4、通过网桥模式socket查找匹配。若查找到匹配则通过redirect模块将报文重定向到核心代理程序,之后通过tproxy将网络报文转入核心代理程序,转入步骤7。若未查找到匹配,进行网桥模式五元组匹配,若匹配成功则通过redirect模块将网络报文重定向到核心代理程序,之后通过tproxy将报文转入核心代理程序,转入步骤7;否则,按网桥模式其他策略(例如,防火墙网桥模式下配置的与透明代理无关的其它报文控制策略)进行报文过滤。
步骤5、查找并标记报文会话方向,即客户端和代理之间的报文将与域ID为1的会话关联。代理和服务器的报文将与域ID为2的会话关联。域ID为2的会话将对报文执行SNAT规则。示例性地,域ID为1的会话走防火墙默认的处理策略。若不启用会话域ID功能,透明代理与两端的通信会关联到同一个会话,从而影响SNAT策略。设置域ID后,代理和两端的通信分别有自己的会话。对于防火墙来说只是域ID不同,处理规则都相同的。此方法解决了一个会话无法SNAT问题。
步骤6、通过路由模式报文socket查找,若找到匹配则通过tproxy将报文重定向到核心代理程序,转入步骤7。若未找到匹配,进行路由模式五元组进行匹配。若匹配则通过tproxy将报文重定向到核心代理程序,转入步骤7。否则,按路由模式其他策略(例如,防火墙路由模式下配置的和透明代理无关的其它报文控制策略)进行报文过滤。
步骤7、代理收入报文数据,将tcp层之上数据交由协议处理层进行分析与控制。
步骤8、协议分析层根据用户配置策略进行报文转发或阻断,如图9。其中阻断分为两种方式:一、直接丢弃;二、向报文源方向返回协议相关的错误码,可防止工业软件异常。若转发进入步骤9。
步骤9、数据交由透明代理核心层转发,在网络出口处,若转发报文会话ID为2,且存在SNAT规则,则对报文执行SNAT处理。之后代理向目的主机转发报文数据。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作合并,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在一些实施例中,本发明实施例提供一种非易失性计算机可读存储介质,所述存储介质中存储有一个或多个包括执行指令的程序,所述执行指令能够被电子设备(包括但不限于计算机,服务器,或者网络设备等)读取并执行,以用于执行本发明上述任一项网络报文过滤方法。
在一些实施例中,本发明实施例还提供一种计算机程序产品,所述计算机程序产品包括存储在非易失性计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,使所述计算机执行上述任一项网络报文过滤方法。
在一些实施例中,本发明实施例还提供一种电子设备,其包括:至少一个处理器,以及与所述至少一个处理器通信连接的存储器,其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行网络报文过滤方法。
在一些实施例中,本发明实施例还提供一种存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现网络报文过滤方法。
图10是本申请另一实施例提供的执行网络报文过滤方法的电子设备的硬件结构示意图,如图10所示,该设备包括:
一个或多个处理器1010以及存储器1020,图10中以一个处理器1010为例。
执行网络报文过滤方法的设备还可以包括:输入装置1030和输出装置1040。
处理器1010、存储器1020、输入装置1030和输出装置1040可以通过总线或者其他方式连接,图10中以通过总线连接为例。
存储器1020作为一种非易失性计算机可读存储介质,可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块,如本申请实施例中的网络报文过滤方法对应的程序指令/模块。处理器1010通过运行存储在存储器1020中的非易失性软件程序、指令以及模块,从而执行服务器的各种功能应用以及数据处理,即实现上述方法实施例网络报文过滤方法。
存储器1020可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储根据网络报文过滤装置的使用所创建的数据等。此外,存储器1020可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实施例中,存储器1020可选包括相对于处理器1010远程设置的存储器,这些远程存储器可以通过网络连接至网络报文过滤装置。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入装置1030可接收输入的数字或字符信息,以及产生与网络报文过滤装置的用户设置以及功能控制有关的信号。输出装置1040可包括显示屏等显示设备。
所述一个或者多个模块存储在所述存储器1020中,当被所述一个或者多个处理器1010执行时,执行上述任意方法实施例中的网络报文过滤方法。
上述产品可执行本申请实施例所提供的方法,具备执行方法相应的功能模块和有益效果。未在本实施例中详尽描述的技术细节,可参见本申请实施例所提供的方法。本申请实施例的电子设备可以为防火墙。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。

Claims (9)

1.一种网络报文过滤方法,应用于工控防火墙,所述工控防火墙配置有工业协议分析引擎,所述工业协议分析引擎包括核心代理层、协议分析层和规则管理层,其中,所述核心代理层采用应用层透明代理实现,利用内核网络协议栈代理传输层协议,维护通信会话,向客户端和服务器转发数据,并能够自适应防火墙网桥模式和路由模式;所述协议分析层集成各种工业协议解析插件,负责深度分析工控协议并控制协议数据;所述规则管理层用于管理用户配置规则集,负责工控协议策略匹配;所述方法包括:
启动所述核心代理层的核心代理程序,并初始化所加载的工业协议插件;
根据用户通过规则管理层的配置策略启动对应工业协议监听进程;
当监听到网络报文,且所述工控防火墙工作在网桥模式下时通过网桥模式进行报文socket查找匹配;
若查找到匹配则将所述网络报文重定向到所述核心代理程序,并将所述网络报文转入所述核心代理程序;所述核心代理程序根据所述配置策略对所述网络报文进行转发或阻断处理;
若未查找到匹配,则进行网桥模式五元组匹配;
如果匹配成功,则将所述网络报文重定向到所述核心代理程序,并将所述网络报文转入所述核心代理程序;所述核心代理程序根据所述配置策略对所述网络报文进行转发或阻断处理;
如果未匹配成功,则按网桥模式的其他策略进行报文过滤。
2.根据权利要求1所述的方法,其特征在于,还包括:
当监听到网络报文,且所述工控防火墙工作在路由模式下时,确定所述网络报文的第一会话方向;
如果确定所述第一会话方向为客户端和核心代理层之间,则将所述网络报文与第一域ID的会话关联;
如果确定所述第一会话方向为核心代理层和服务器之间,则将所述网络报文与第二域ID的会话关联。
3.根据权利要求2所述的方法,其特征在于,还包括:对与所述第二域ID的会话关联后的网络报文执行SNAT规则。
4.根据权利要求3所述的方法,其特征在于,还包括:
通过路由模式进行报文socket查找,若找到匹配则将所述网络报文重定向到核心代理程序,并将所述网络报文转入所述核心代理程序;所述核心代理程序根据所述配置策略对所述网络报文进行转发或阻断处理。
5.根据权利要求4所述的方法,其特征在于,还包括:
若未查找到匹配,则进行路由模式五元组匹配;
如果匹配成功,则将所述网络报文重定向到所述核心代理程序,并将所述网络报文转入所述核心代理程序;所述核心代理程序根据所述配置策略对所述网络报文进行转发或阻断处理;
如果未匹配成功,则按路由模式的其他策略进行报文过滤。
6.根据权利要求1-5中任一项所述的方法,其特征在于,所述核心代理程序根据所述配置策略对所述网络报文进行转发处理包括:
确定所述网络报文的第二会话方向;
如果确定所述第二会话方向为发起方到核心代理程序,则将所述网络报文与第一域ID的会话关联,所述发起方为客户端或者服务器;
当确定所述第二会话方向为核心代理程序到接受方时,则将所述网络报文与第二域ID的会话关联,所述接受方为客户端或者服务器。
7.根据权利要求6所述的方法,其特征在于,还包括:对与所述第二域ID的会话关联后的网络报文执行SNAT规则,并将执行结果转发至接受方。
8.一种电子设备,其包括:至少一个处理器,以及与所述至少一个处理器通信连接的存储器,其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-7中任意一项所述方法的步骤。
9.一种存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1-7中任意一项所述方法的步骤。
CN202110070154.8A 2021-01-19 2021-01-19 网络报文过滤方法、电子设备及存储介质 Active CN112769850B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110070154.8A CN112769850B (zh) 2021-01-19 2021-01-19 网络报文过滤方法、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110070154.8A CN112769850B (zh) 2021-01-19 2021-01-19 网络报文过滤方法、电子设备及存储介质

Publications (2)

Publication Number Publication Date
CN112769850A CN112769850A (zh) 2021-05-07
CN112769850B true CN112769850B (zh) 2022-11-22

Family

ID=75703224

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110070154.8A Active CN112769850B (zh) 2021-01-19 2021-01-19 网络报文过滤方法、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN112769850B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113904798B (zh) * 2021-08-27 2024-03-22 长沙星融元数据技术有限公司 Ip报文的多元组过滤方法、系统、设备及存储介质
CN114401149B (zh) * 2022-01-30 2022-09-06 杭州立思辰安科科技有限公司 防火墙网卡负载均衡机制中协议动态端口处理方法、系统、设备和存储介质
CN115001823B (zh) * 2022-06-02 2024-02-06 江苏新质信息科技有限公司 基于逐流、逐包过滤的网络透明代理方法及装置
CN115150209B (zh) * 2022-09-06 2023-01-06 军工保密资格审查认证中心 数据处理方法、工业控制系统、电子设备及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7849502B1 (en) * 2006-04-29 2010-12-07 Ironport Systems, Inc. Apparatus for monitoring network traffic
CN103607350A (zh) * 2013-12-10 2014-02-26 山东中创软件商用中间件股份有限公司 一种路由生成方法及装置
CN104717205A (zh) * 2015-02-04 2015-06-17 上海展湾信息科技有限公司 基于报文重构的工控防火墙控制方法
CN108989265A (zh) * 2017-05-31 2018-12-11 西门子公司 访问控制方法、装置和系统
WO2019190403A1 (en) * 2018-03-29 2019-10-03 Agency For Science, Technology And Research An industrial control system firewall module

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9497168B2 (en) * 2002-07-30 2016-11-15 Avaya Inc. Method and apparatus for supporting communications between a computing device within a network and an external computing device
US11463407B2 (en) * 2018-07-13 2022-10-04 Raytheon Company Policy engine for cyber anomaly detection

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7849502B1 (en) * 2006-04-29 2010-12-07 Ironport Systems, Inc. Apparatus for monitoring network traffic
CN103607350A (zh) * 2013-12-10 2014-02-26 山东中创软件商用中间件股份有限公司 一种路由生成方法及装置
CN104717205A (zh) * 2015-02-04 2015-06-17 上海展湾信息科技有限公司 基于报文重构的工控防火墙控制方法
CN108989265A (zh) * 2017-05-31 2018-12-11 西门子公司 访问控制方法、装置和系统
WO2019190403A1 (en) * 2018-03-29 2019-10-03 Agency For Science, Technology And Research An industrial control system firewall module

Also Published As

Publication number Publication date
CN112769850A (zh) 2021-05-07

Similar Documents

Publication Publication Date Title
CN112769850B (zh) 网络报文过滤方法、电子设备及存储介质
US8065719B2 (en) Method and apparatus for reducing firewall rules
US9948556B2 (en) Systems and methods for externalizing network functions via packet trunking
EP3979559A1 (en) Rule-based network-threat detection for encrypted communications
US11909767B2 (en) Device visibility and scanning including network segments
EP2991292B1 (en) Network collaborative defense method, device and system
US10893065B2 (en) Malware detection in distributed computer systems
US10397111B2 (en) Communication device, communication system, and communication method
US20170250998A1 (en) Systems and methods of preventing infection or data leakage from contact with a malicious host system
JP5911200B2 (ja) シリアル・バスに接続された周辺デバイスへのリモート・アクセスのためのシステム、方法、コンピュータ・プログラム、およびコンピューティング・デバイス(シリアル・バスに接続された周辺デバイスへのリモート・アクセス)
US11233815B1 (en) Vulnerability remediation based on tenant specific policy
EP3813328A1 (en) Apparatus, method, and computer program product for automatic improved network architecture generation
Krit et al. Overview of firewalls: Types and policies: Managing windows embedded firewall programmatically
Tahir et al. A novel DDoS floods detection and testing approaches for network traffic based on linux techniques
US9705898B2 (en) Applying group policies
CN115001823B (zh) 基于逐流、逐包过滤的网络透明代理方法及装置
US11736443B2 (en) Enforcing a segmentation policy in co-existence with a system firewall
US20160337232A1 (en) Flow-indexing for datapath packet processing
WO2016170598A1 (ja) 情報処理装置、方法およびプログラム
JP6114204B2 (ja) 通信システム、フィルタリング装置、フィルタリング方法およびプログラム
US20180302373A1 (en) Quarantined communications processing at a network edge
JP2002236627A (ja) ファイアウォールの動的ポート変更方法
CN117527763A (zh) 网络代理方法及相关设备
KR20140102502A (ko) 트래픽 제어 방법 및 장치
EP2940944B1 (en) Method and device for processing packet in trill network

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant