CN115174219B - 一种可适配多种工业防火墙的管理系统 - Google Patents
一种可适配多种工业防火墙的管理系统 Download PDFInfo
- Publication number
- CN115174219B CN115174219B CN202210788244.5A CN202210788244A CN115174219B CN 115174219 B CN115174219 B CN 115174219B CN 202210788244 A CN202210788244 A CN 202210788244A CN 115174219 B CN115174219 B CN 115174219B
- Authority
- CN
- China
- Prior art keywords
- industrial
- blacklist
- rule
- flow
- matching
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000000903 blocking effect Effects 0.000 claims abstract description 31
- 238000004458 analytical method Methods 0.000 claims abstract description 15
- 238000012545 processing Methods 0.000 claims abstract description 11
- 206010000117 Abnormal behaviour Diseases 0.000 claims abstract description 10
- 239000000523 sample Substances 0.000 claims abstract description 8
- 238000009826 distribution Methods 0.000 claims abstract description 6
- 238000000605 extraction Methods 0.000 claims abstract description 6
- 230000002159 abnormal effect Effects 0.000 claims abstract description 4
- 238000012986 modification Methods 0.000 claims description 10
- 230000004048 modification Effects 0.000 claims description 10
- 238000012217 deletion Methods 0.000 claims description 8
- 230000037430 deletion Effects 0.000 claims description 8
- 238000000034 method Methods 0.000 claims description 8
- 238000012795 verification Methods 0.000 claims description 3
- 238000007726 management method Methods 0.000 description 61
- 238000004891 communication Methods 0.000 description 9
- 230000006870 function Effects 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 7
- 230000007246 mechanism Effects 0.000 description 7
- 238000013519 translation Methods 0.000 description 7
- 238000004519 manufacturing process Methods 0.000 description 5
- 230000007123 defense Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 238000012423 maintenance Methods 0.000 description 4
- 238000003860 storage Methods 0.000 description 4
- 238000001514 detection method Methods 0.000 description 3
- 238000004886 process control Methods 0.000 description 3
- 238000005111 flow chemistry technique Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 101100048435 Caenorhabditis elegans unc-18 gene Proteins 0.000 description 1
- 230000005856 abnormality Effects 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000012508 change request Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000009776 industrial production Methods 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种可适配多种工业防火墙的管理系统,其解决了现有工业防火墙规则冗杂、难以管理的技术问题;包括:流量分发模块,用于将流量探针探测后的流量,分发至各个工业防火墙中;特征提取模块,用于对流量进行分流处理,提取工业特征;异常行为分析处理模块,用于对特征进行协议分析和异常规则匹配,匹配成功触发阻断和告警,工业防火墙对流量进行丢包处理。本申请广泛应用于网络安全技术领域。
Description
技术领域
本申请涉及网络安全技术领域,更具体地说,是涉及一种可适配多种工业防火墙的管理系统。
背景技术
云计算、大数据、物联网、移动计算等信息技术的应用,增加了流程工业的开放性和不确定性,流程工业控制信息安全系统性安全风险进一步集 中和放大。
在工业网络中,运行着DCS、PLC、SCADA等各种过程控制系统,它们往往是生产系统的核心,负责完成基本的生产控制。但是,如果这些过程控制系统一旦遭受入侵或破坏,就会对工业生产造成影响,可能使企业蒙受重大的经济损失,甚至危及生产人员的生命安全。因此,保证过程控制系统的运行安全是非常重要的事情,广大工业企业迫切需要一款针对工业网络通信协议进行有效检查和过滤,适用于多种工业网络环境的专业防火墙管理系统。
传统防火墙及防火墙管理软件可能功能单一,规则冗杂,难以管理。安全管理员通常忙于来自多个防火墙的变更请求,难以实现维护的全面性和时效性。在企业及工业网络中,通常有多种防火墙,并且大多数组织已经或正在迁移到云,这给防火墙的管理和维护增加了更多的复杂性和挑战。
发明内容
为解决上述技术问题,本申请采用的技术方案是:提供一种可适配多种工业防火墙的管理系统,包括:
流量分发模块,用于将流量探针探测后的流量,分发至各个工业防火墙中;
特征提取模块,用于对流量进行分流处理,提取工业特征;
异常行为分析处理模块,用于对特征进行协议分析和异常规则匹配,匹配成功触发阻断和告警,工业防火墙对流量进行丢包处理。
优选地,异常行为分析处理模块,包括存储有规则数据的安全域管理模块、黑名单管理模块和白名单管理模块,用于与流量特征进行匹配:
对于安全域优先级低的访问安全域优先级高的,会被阻断;
对于匹配黑名单的进行访问权限限制:阻断匹配黑名单规则的流量;
对于未匹配白名单的进行访问权限限制:阻断未匹配白名单规则的流量。
优选地,安全域管理模块,用于记录和管理安全域名称及优先级别,优先级的高低决定安全域的访问权限。
优选地,黑名单管理模块,用于记录和管理基础协议黑名单、工业协议黑名单;
基础协议黑名单包括MAC黑名单、IP黑名单、TCP黑名单及UDP黑名单;用于阻断链路层MAC匹配的流量,阻断网络层IP匹配的流量,阻断会话层匹配规则的TCP流量,阻断会话层匹配规则的UDP流量。
工业协议黑名单,针对可配置规则协议表格内的协议进行黑名单规则的添加、修改或删除,用于阻断匹配规则的流量。
优选地,白名单管理模块,用于记录和管理基础协议白名单、工业协议白名单;
基础协议白名单包括TCP白名单、UDP白名单;用于阻断会话层未匹配规则的TCP流量,阻断会话层未匹配规则的UDP流量。
工业协议白名单,针对可配置规则协议表格内的协议进行白名单规则的添加、修改或删除,用于阻断未匹配规则的流量。
优选地,还包括用户管理模块,用于对登录信息进行身份验证和权限分配:用户身份至少分为超级管理员、管理员和审计员;超级管理员可进行规则修改、日志删除、系统配置;管理员可进行规则修改,日志删除;审计员可查看日志。
优选地,安全域管理模块、黑名单管理模块和白名单管理模块的规则数据存储在web端数据库中,通过web缓存下发指令使工业防火墙更新规则。
优选地,还包括网络配置模块,网络配置模块包括ARP配置、NAT配置。
本发明的有益效果,提出的可适配多种工业防火墙的管理系统可以在传统工业防火墙技术的基础上实现全局安全策略统一配置,建立与工业特征提取、网络异常行为分析等环节的联动机制,通过基于身份认证网络边界防护机制和主动防御和被动防御相结合的应急响应机制,实现灵活智能的管理配置操作。可以高效地实现企业多防火墙自动化管理,提高维护速度。比如:
(1)结合实际应用场景,在传统工业防火墙技术基础上提出了多防火墙协同配置模式;
(2)针对传统工业防火墙管理困难的问题,提出流量分发和缓存发布技术,通过web数据库、web缓存、流量探针管理防火墙规则更新和配置,解决了复杂场景的工业防火墙一体化管理。
本发明实现不同厂商不同场景下工业互联网架构典型生产过程和装置面临的安全威胁和网络安全防护需求,以解决不同厂商和企业进行工业异常行为分析、网络边界智能防御及联动机制等问题,以及通过统一管理平台和本发明系统设计,实现多种防火墙协同管理行为,配置网络安全规则等,提高维护防火墙的便捷程度,降低配置和管理难度。应用前景十分广泛。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请一实施例的一种可适配多种工业防火墙的管理系统架构图;
图2为本申请一实施例的一种可适配多种工业防火墙的管理系统流程图;
图3为本申请一实施例中的一种可适配多种工业防火墙的管理系统的功能模块图。
具体实施方式
为了使本申请所要解决的技术问题、技术方案及有益效果更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
需要说明的是,在本申请的描述中,“多种”的含义是两种或两种以上,除非另有明确具体的限定。
现对本申请实施例提供的可适配多种工业防火墙的管理系统进行说明。
请参阅图1,为本申请一实施例提供的一种可适配多种工业防火墙的管理架构图。本申请提供的一种可适配多种工业防火墙的管理系统,流量处理包括以下步骤:
流量经流量探针探测后,被分发至各个工业防火墙中;
工业防火墙对流量进行分流处理,提取工业特征,包括MAC、IP、TCP、UDP、安全域等;
协议检测插件和异常检测插件对提取的特征进行协议解析和异常规则匹配,匹配成功后,触发阻断和告警;工业防火墙对流量进行丢包处理,告警记录数据库。
其中,规则匹配需要的黑名单、白名单、安全域的规则数据内容存储在web端数据库中,除此之外,网络配置也存储在web端数据库中。同时,也通过web缓存下发指令使工业防火墙更新规则。
请参阅图2,为本申请一实施例的一种可适配多种工业防火墙的管理系统流程图。首先将相关工业设备和主机接入,并登陆系统。随后系统对登录信息进行身份验证和权限分配:用户身份分为超级管理员、管理员、审计员等;其中,超级管理员可进行规则修改、日志删除、系统配置等,管理员可进行规则修改,日志删除,审计员可查看日志。
本系统采用B/S架构,通过浏览器及端口访问,在局域网内部署,系统镜像光口为万兆电口,放置在上位机与PLC之间,接LAN1口进LAN2口出。
本系统包括系统状态、安全域管理、黑名单管理、白名单管理、日志管理及网络配置功能模块。上述的规则修改,主要是针对安全域规则、黑名单规则和白名单规则。对匹配规则的流量进行阻断,并记录在日志管理模块中。
请参阅图3,为本申请一实施例中的一种可适配多种工业防火墙的管理系统的功能模块图。为了便于说明,仅示出了与本实施例相关的部分,详述如下:
在其中一实施例中,一种可适配多种工业防火墙的管理系统,其包括:
流量分发模块,用于将流量探针探测后的流量,分发至各个工业防火墙中;
特征提取模块,用于对流量进行分流处理,提取工业特征;
异常行为分析处理模块,用于对特征进行协议分析和异常规则匹配,匹配成功触发阻断和告警,工业防火墙对流量进行丢包处理。
所述异常行为分析处理模块,包括存储有规则数据的安全域管理模块、黑名单管理模块和白名单管理模块,用于与流量特征进行匹配。
安全域管理模块,用于记录和管理安全域(安全域名称)及优先级(1-100,数越大优先级越高),优先级决定安全域的访问权限:安全域优先级低的访问安全域优先级高的,会被阻断。
其中,安全域包括MAC安全域(MAC地址以及安全域)、IP安全域(IP地址以及安全域)和传输层安全域(源IP、源IP掩码、目的IP、目的IP掩码、源端口起始、源端口结束、目的端口起始及目的端口结束)。针对MAC安全域优先级低访问MAC安全域高的,会在链路层进行阻断;IP安全域优先级低访问IP安全域优先级高的,会在网络层进行阻断,传输层优先级低访问IP安全域优先级高的,会在网络层进行阻断。
黑名单管理模块,用于记录和管理基础协议黑名单、工业协议黑名单,对于匹配黑名单的进行访问权限限制:阻断匹配黑名单规则的流量。
具体地,基础协议黑名单包括MAC黑名单(MAC地址)、IP黑名单(IP地址)、TCP黑名单(源IP、源IP掩码、目的IP、目的IP掩码、源端口起始、源端口结束、目的端口起始及目的端口结束)及UDP黑名单(源IP、源IP掩码、目的IP、目的IP掩码、源端口起始、源端口结束、目的端口起始及目的端口结束)。用于阻断链路层MAC匹配的流量,阻断网络层IP匹配的流量,阻断会话层匹配规则的TCP流量,阻断会话层匹配规则的UDP流量。
工业协议黑名单包括工控黑名单,可以针对可配置规则协议表格内的协议进行黑名单规则配置(添加、修改或删除),用于阻断匹配规则的流量。
白名单管理模块,用于记录和管理基础协议白名单、工业协议白名单,对于未匹配白名单的进行访问权限限制:阻断未匹配白名单规则的流量。
具体地,基础协议白名单包括TCP白名单(源IP、源IP掩码、目的IP及目的IP掩码)、UDP白名单(源IP、源IP掩码,目的IP、目的IP掩码,源端口起始、源端口结束、目的端口起始及目的端口结束)。用于阻断会话层未匹配规则的TCP流量,阻断会话层未匹配规则的UDP流量。
工业协议白名单包括工控白名单,可以针对可配置规则协议表格内的协议进行白名单规则配置(添加、修改或删除),用于阻断未匹配规则的流量。流量自学习可以针对可配置规则协议表格内的协议,ntm记录流量日志,客户端对记录日志去重,生成规则,用户可对规则进行应用/删除。
除此之外,在其中一实施例中,一种可适配多种工业防火墙的管理系统,还包括系统状态模块、日志管理模块、网络配置模块、系统配置模块和用户管理模块。
系统状态模块,具有事件信息功能、防护策略功能和系统状态功能。事件信息功能用于记录今日安全事件(今日发生的安全事件的总数,包含黑名单通信,非信任通信,攻击事件)、历史安全事件(设备开机到昨天发生的安全事件的总数,包含黑名单通信,非信任通信,攻击事件)、系统事件(系统事件总数);防护策略功能可以提供链接跳转到安全域和黑名单管理;系统状态功能可以记录显示cpu占用率、磁盘占用率和内存占用率。
日志管理模块,用于对黑名单通信、白名单通信、安全域日志、地址欺骗日志、攻击事件及系统日志进行记录展示。
具体地,黑名单通信将匹配工控黑名单规则的流量进行列表展示,白名单通信将匹配工控白名单规则的流量进行列表展示,安全域日志将安全域阻断流量的列表展示,地址欺骗日志将违反arp绑定规则的流量进行列表展示,攻击事件将对系统说明中异常检查相关信息进行列表展示,系统日志将记录用户在审计平台的操作(登录,登出,添加/修改/删除规则,删除日志,修改系统配置,添加/修改/删除用户)。
网络配置模块,包括ARP配置、NAT配置,具体地,ARP配置,指APR绑定具有列表项的MAC地址、IP地址;ARP规则可通过流量自动生成,也可手动添加。NAT配置支持多种NAT转化方式,包括内部IP转换(内网访问外网,转换IP)、外部IP转换(外网访问内网,转换IP)、内部端口NAT(内网访问外网,转换IP以及端口)及外部端口NAT(外网访问内网,转换IP以及端口)。
系统配置模块,包括IP配置、时间设置、存储空间管理、统一管理平台设置、日志配置及服务器配置。
具体地,IP配置可以配置设备IP、网关、掩码。时间设置可以设置NTP服务地址。存储空间管理可以当达到设置的“存储空间上限”时,自动清理脚本开始计时,当计时达到“等待时间”时,存储空间还是超过了上线,开始自动备份日志,并将备份打包的日志传到“ftp服务器地址”上,之后删除“保留数据时长”之外的所有日志。统一管理平台设置可以让设备上线统一管理平台。日志配置可以设置远程日志服务器地址。服务器配置可以进行重启,关机。
用户管理模块,用于对登录信息进行身份验证和权限分配:用户身份至少分为超级管理员、管理员和审计员;所述超级管理员可进行规则修改、日志删除、系统配置等;所述管理员可进行规则修改,日志删除;所述审计员可查看日志。
本系统采用前后端分离开发的方式通过ajax进行http请求,交互的数据类型为JSON。web采用Vue搭建页面框架,内置页面采用原生的H5开发。流量探针采用dpdk进行流量处理,提高I/O吞吐量,降低内存开销。
本发明提出的可适配多种工业防火墙的管理系统可以在传统工业防火墙技术的基础上实现全局安全策略统一配置,建立与工业特征提取、网络异常行为分析等环节的联动机制,通过基于身份认证网络边界防护机制和主动防御和被动防御相结合的应急响应机制,实现灵活智能的管理配置操作。可以高效地实现企业多防火墙自动化管理,提高维护速度。比如:
(1)结合实际应用场景,在传统工业防火墙技术基础上提出了多防火墙协同配置模式;
(2)针对传统工业防火墙管理困难的问题,提出流量分发和缓存发布技术,通过web数据库、web缓存、流量探针管理防火墙规则更新和配置,解决了复杂场景的工业防火墙一体化管理。
本发明实现不同厂商不同场景下工业互联网架构典型生产过程和装置面临的安全威胁和网络安全防护需求,通过统一管理平台,实现多种工业防火墙协同管理行为,配置网络安全规则等,提高维护防火墙的便捷程度,降低配置和管理难度。应用前景十分广泛。
以上所述实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围,均应包含在本申请的保护范围之内。
Claims (6)
1.一种可适配多种工业防火墙的管理系统,其特征在于,包括:
流量分发模块,用于将流量探针探测后的流量,分发至各个工业防火墙中;
特征提取模块,用于对流量进行分流处理,提取工业特征,工业特征包括MAC、IP、TCP、UDP、安全域;
异常行为分析处理模块,用于对特征进行协议分析和异常规则匹配,匹配成功触发阻断和告警,工业防火墙对流量进行丢包处理;
所述异常行为分析处理模块,包括存储有规则数据的安全域管理模块、黑名单管理模块和白名单管理模块,用于与流量特征进行匹配:
对于安全域优先级低的访问安全域优先级高的,会被阻断;
对于匹配黑名单的进行访问权限限制:阻断匹配黑名单规则的流量;
对于未匹配白名单的进行访问权限限制:阻断未匹配白名单规则的流量;
还包括用户管理模块,用于对登录信息进行身份验证和权限分配:用户身份至少分为超级管理员、管理员和审计员;所述超级管理员可进行规则修改、日志删除、系统配置;
所述安全域管理模块、黑名单管理模块和白名单管理模块的规则数据存储在web端数据库中,通过web缓存下发指令使工业防火墙更新规则。
2.如权利要求1所述的可适配多种工业防火墙的管理系统,其特征在于:所述安全域管理模块,用于记录和管理安全域名称及优先级别,优先级的高低决定安全域的访问权限。
3.如权利要求1所述的可适配多种工业防火墙的管理系统,其特征在于:所述黑名单管理模块,用于记录和管理基础协议黑名单、工业协议黑名单;
所述基础协议黑名单包括MAC黑名单、IP黑名单、TCP黑名单及UDP黑名单;用于阻断链路层MAC匹配的流量,阻断网络层IP匹配的流量,阻断会话层匹配规则的TCP流量,阻断会话层匹配规则的UDP流量;
所述工业协议黑名单,针对可配置规则协议表格内的协议进行黑名单规则的添加、修改或删除,用于阻断匹配规则的流量。
4.如权利要求1所述的可适配多种工业防火墙的管理系统,其特征在于:所述白名单管理模块,用于记录和管理基础协议白名单、工业协议白名单;
所述基础协议白名单包括TCP白名单、UDP白名单;用于阻断会话层未匹配规则的TCP流量,阻断会话层未匹配规则的UDP流量;
所述工业协议白名单,针对可配置规则协议表格内的协议进行白名单规则的添加、修改或删除,用于阻断未匹配规则的流量。
5.如权利要求1所述的可适配多种工业防火墙的管理系统,其特征在于:所述管理员可进行规则修改,日志删除;所述审计员可查看日志。
6.如权利要求1所述的可适配多种工业防火墙的管理系统,其特征在于:还包括网络配置模块,所述网络配置模块包括ARP配置、NAT配置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210788244.5A CN115174219B (zh) | 2022-07-06 | 2022-07-06 | 一种可适配多种工业防火墙的管理系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210788244.5A CN115174219B (zh) | 2022-07-06 | 2022-07-06 | 一种可适配多种工业防火墙的管理系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115174219A CN115174219A (zh) | 2022-10-11 |
CN115174219B true CN115174219B (zh) | 2024-04-19 |
Family
ID=83491862
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210788244.5A Active CN115174219B (zh) | 2022-07-06 | 2022-07-06 | 一种可适配多种工业防火墙的管理系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115174219B (zh) |
Citations (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101184088A (zh) * | 2007-12-14 | 2008-05-21 | 浙江工业大学 | 一种多点联动的局域网防火墙协同方法 |
CN104519065A (zh) * | 2014-12-22 | 2015-04-15 | 北京卓越信通电子股份有限公司 | 一种支持过滤Modbus TCP协议的工控防火墙实现方法 |
CN104717188A (zh) * | 2013-12-17 | 2015-06-17 | 北京中科网威信息技术有限公司 | 一种工业控制防火墙中资产对象安全防护系统和方法 |
CN104917776A (zh) * | 2015-06-23 | 2015-09-16 | 北京威努特技术有限公司 | 一种工控网络安全防护设备与方法 |
CN106899553A (zh) * | 2015-12-19 | 2017-06-27 | 北京中船信息科技有限公司 | 一种基于私有云的工业控制系统安全防护方法 |
CN107395617A (zh) * | 2017-08-14 | 2017-11-24 | 中国联合网络通信集团有限公司 | 安全策略管理方法及装置 |
CN107733878A (zh) * | 2017-09-29 | 2018-02-23 | 国网甘肃省电力公司电力科学研究院 | 一种工业控制系统的安全防护装置 |
CN109558366A (zh) * | 2018-11-15 | 2019-04-02 | 浙江国利网安科技有限公司 | 一种基于多处理器架构的防火墙 |
CN109842585A (zh) * | 2017-11-27 | 2019-06-04 | 中国科学院沈阳自动化研究所 | 面向工业嵌入式系统的网络信息安全防护单元和防护方法 |
CN111371766A (zh) * | 2020-02-27 | 2020-07-03 | 中电福富信息科技有限公司 | 一种基于日志的防火墙策略管理方法及其系统 |
CN111464552A (zh) * | 2020-04-11 | 2020-07-28 | 北京天地和兴科技有限公司 | 一种基于包过滤规则的防火墙自动化测试系统 |
CN111786949A (zh) * | 2020-05-22 | 2020-10-16 | 山东鲁能软件技术有限公司 | 防火墙安全策略自动适配系统及方法 |
CN112929345A (zh) * | 2021-01-22 | 2021-06-08 | 英赛克科技(北京)有限公司 | 数据传输方法、管理服务器和工控防火墙 |
CN114629674A (zh) * | 2021-11-11 | 2022-06-14 | 北京计算机技术及应用研究所 | 一种基于注意力机制的工业控制网络安全风险评估方法 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7665128B2 (en) * | 2005-04-08 | 2010-02-16 | At&T Corp. | Method and apparatus for reducing firewall rules |
US9160710B2 (en) * | 2010-06-25 | 2015-10-13 | Salesforce.Com, Inc. | Methods and systems for context-based application firewalls |
US10721624B2 (en) * | 2017-02-17 | 2020-07-21 | Global Tel*Link Corporation | Security system for inmate wireless devices |
-
2022
- 2022-07-06 CN CN202210788244.5A patent/CN115174219B/zh active Active
Patent Citations (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101184088A (zh) * | 2007-12-14 | 2008-05-21 | 浙江工业大学 | 一种多点联动的局域网防火墙协同方法 |
CN104717188A (zh) * | 2013-12-17 | 2015-06-17 | 北京中科网威信息技术有限公司 | 一种工业控制防火墙中资产对象安全防护系统和方法 |
CN104519065A (zh) * | 2014-12-22 | 2015-04-15 | 北京卓越信通电子股份有限公司 | 一种支持过滤Modbus TCP协议的工控防火墙实现方法 |
CN104917776A (zh) * | 2015-06-23 | 2015-09-16 | 北京威努特技术有限公司 | 一种工控网络安全防护设备与方法 |
CN106899553A (zh) * | 2015-12-19 | 2017-06-27 | 北京中船信息科技有限公司 | 一种基于私有云的工业控制系统安全防护方法 |
CN107395617A (zh) * | 2017-08-14 | 2017-11-24 | 中国联合网络通信集团有限公司 | 安全策略管理方法及装置 |
CN107733878A (zh) * | 2017-09-29 | 2018-02-23 | 国网甘肃省电力公司电力科学研究院 | 一种工业控制系统的安全防护装置 |
CN109842585A (zh) * | 2017-11-27 | 2019-06-04 | 中国科学院沈阳自动化研究所 | 面向工业嵌入式系统的网络信息安全防护单元和防护方法 |
CN109558366A (zh) * | 2018-11-15 | 2019-04-02 | 浙江国利网安科技有限公司 | 一种基于多处理器架构的防火墙 |
CN111371766A (zh) * | 2020-02-27 | 2020-07-03 | 中电福富信息科技有限公司 | 一种基于日志的防火墙策略管理方法及其系统 |
CN111464552A (zh) * | 2020-04-11 | 2020-07-28 | 北京天地和兴科技有限公司 | 一种基于包过滤规则的防火墙自动化测试系统 |
CN111786949A (zh) * | 2020-05-22 | 2020-10-16 | 山东鲁能软件技术有限公司 | 防火墙安全策略自动适配系统及方法 |
CN112929345A (zh) * | 2021-01-22 | 2021-06-08 | 英赛克科技(北京)有限公司 | 数据传输方法、管理服务器和工控防火墙 |
CN114629674A (zh) * | 2021-11-11 | 2022-06-14 | 北京计算机技术及应用研究所 | 一种基于注意力机制的工业控制网络安全风险评估方法 |
Non-Patent Citations (1)
Title |
---|
一种工业以太网状态安全监视器的设计;韩丹涛;赵艳领;公彦杰;;电子测量技术(08);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN115174219A (zh) | 2022-10-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11228612B2 (en) | Identifying cyber adversary behavior | |
US8561188B1 (en) | Command and control channel detection with query string signature | |
US8806607B2 (en) | Unauthorized data transfer detection and prevention | |
US7774832B2 (en) | Systems and methods for implementing protocol enforcement rules | |
CN113228585B (zh) | 具有基于反馈回路的增强流量分析的网络安全系统 | |
US7818565B2 (en) | Systems and methods for implementing protocol enforcement rules | |
CN104104679B (zh) | 一种基于私有云的数据处理方法 | |
US20040111623A1 (en) | Systems and methods for detecting user presence | |
CN105871908B (zh) | 企业网络边界设备访问控制策略的管控方法及装置 | |
JP2001057554A (ja) | クラッカー監視システム | |
CN105516189A (zh) | 基于大数据平台的网络安全实施系统及方法 | |
CN114003943A (zh) | 一种用于机房托管管理的安全双控管理平台 | |
Toosarvandani et al. | The risk assessment and treatment approach in order to provide LAN security based on ISMS standard | |
CN112350939B (zh) | 旁路阻断方法、系统、装置、计算机设备及存储介质 | |
CN115174219B (zh) | 一种可适配多种工业防火墙的管理系统 | |
CN117375942A (zh) | 基于节点清洗防范DDoS攻击的方法及装置 | |
CN112511562A (zh) | 一种基于单向隔离一体机及云桌面技术的跨网数据传送系统 | |
CN112202821B (zh) | 一种cc攻击的识别防御系统及方法 | |
CA2539470A1 (en) | Systems and methods for dynamically updating software in a protocol gateway | |
EP1820293A2 (en) | Systems and methods for implementing protocol enforcement rules | |
Yuan et al. | Design and implementation of enterprise network security system based on firewall | |
Aldaoud et al. | Detecting and mitigating DHCP attacks in OpenFlow-based SDN networks: a comprehensive approach | |
US10057290B2 (en) | Shared MAC blocking | |
CN110572353A (zh) | 云计算网络安全服务 | |
US20240146762A1 (en) | Intelligent manipulation of denial-of-service attack traffic |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |