CN115580432A - 一种工业控制网络与信息化网络安全连接方法 - Google Patents
一种工业控制网络与信息化网络安全连接方法 Download PDFInfo
- Publication number
- CN115580432A CN115580432A CN202211078384.XA CN202211078384A CN115580432A CN 115580432 A CN115580432 A CN 115580432A CN 202211078384 A CN202211078384 A CN 202211078384A CN 115580432 A CN115580432 A CN 115580432A
- Authority
- CN
- China
- Prior art keywords
- network
- industrial control
- information
- control network
- information network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Abstract
本发明涉及一种工业控制网络与信息化网络安全连接方法,属于网络安全管理与信息方法技术领域。本发明的技术方案是:在工业控制L1网络和L2网络中按照工序进行VLAN的划分,并将各个VLAN的网关和根节点设置在L1级核心交换机上,在防火墙上为需要通信的信息化网络节点与工业控制网络节点建立基于应用端口的白名单,其余网络通信请求均拒绝;在工业控制L1和L2核心交换机上与信息化接入交换机上写入需要的静态路由。本发明的有益效果是:在不增加网络设备的情况下,利用现有网络设备,结合工业控制网络与信息化网络的技术特点,在保障工业控制网络与信息化网络安全的同时,实现两网络之间的安全、有效的数据交换。
Description
技术领域
本发明涉及一种工业控制网络与信息化网络安全连接方法,属于网络安全管理与信息方法技术领域。
背景技术
随着智能制造建设的不断深入,工业控制网络与信息化网络的连接越来越多,如何安全的连接工业控制网络与信息化网络成为进行智能制造建设中必须要求解决的问题。
发明内容
本发明目的是提供一种工业控制网络与信息化网络安全连接方法,在不增加网络设备的情况下,利用现有网络设备,结合工业控制网络与信息化网络的技术特点,在保障工业控制网络与信息化网络安全的同时,综合运用VLAN,STP根节点指定、静态路由和基于白名单的防火墙技术,实现两网络之间的安全、有效的数据交换,有效地解决了背景技术中存在的上述问题。
本发明的技术方案是:一种工业控制网络与信息化网络安全连接方法,包含以下步骤:
步骤S1,在工业控制L1网络和L2网络中按照工序进行VLAN的划分,同时在L1级和L2级核心交换机给每个VLAN建立网关,这样既可以有效的阻挡不同工序间网络通信的相互影响,又可以对各区域间的网络通信进行有效控制;
步骤S2,将网络和L2网络级核心交换机指定为各工序VLAN的根桥,这个可以有效的避免工控控制环网由于根节点不稳定产生的网络震荡;
步骤S3,在工业控制网络与信息化网络连接的线路上接入基于白名单的防火墙,在防火墙上根据网络通信需要将需要通信的信息化节点和工业控制网络节点建立基于应用端口的白名单访问策略,其他通信全部拒绝;
步骤S4,在信息化网络与工业控制网络连接的三次网络交换机或路由器上将需要通信的网段写入静态路由表中;
步骤S5:重复上述步骤直至将所有需要与信息化网络通信的工业控制网络全部连接,从而实现从工业控制网络到信息化网络的安全连接。
所述步骤S1中,VLAN的划分可以按照工序也可以按照工业控制网上可以完成某一特定功能的设备组合,VLAN划分的设备数量一般不超过50个为宜。
所述步骤S2中,工业控制网络为保障网络的可靠性多采用环形连接,网络中为避免产生广播风暴运行的STP协议需要在每个二层网络中选举产生根节点,自然选举产生的根节点有可能不稳定,造成网络震荡,通过指定核心交换机作为根节点可以有效的避免网络震荡。
所述步骤S3中,在信息化网络和工业控制网络之间设置基于白名单的防火墙,只允许需要通信的信息化网络节点和工业控制网络节点进行点对点的基于应用端口的网络通信,可以有效的阻截非法访问,已知和未知的网络攻击和病毒木马攻击。
所述步骤S4中,通过静态路由技术实现信息化网络与工业控制网络的连接,可以避免信息化网络设备与工业控制网络设备由于设备品牌型号不同产生的诸多不兼容性问题,提高网络连接的稳定性。
信息化网络与工业控制网络的连接设备是路由器和具备路由功能的交换机中的一种
本发明的有益效果是:在不增加网络设备的情况下,利用现有网络设备,结合工业控制网络与信息化网络的技术特点,在保障工业控制网络与信息化网络安全的同时,综合运用VLAN,STP根节点指定、静态路由和基于白名单的防火墙技术,实现两网络之间的安全、有效的数据交换。
附图说明
图1是本发明的工业控制网络与信息化网络安全连接图;
图中:信息化网络1、白名单防火墙2、工业控制L1核心交换机3、工业控制L2核心交换机4、工序一L1接入交换机5、工序二L1接入交换机6、工序三L1接入交换机7、工序一L2接入交换机8、工序二L2接入交换机9、智能仪表10、传感器11、 HMI终端12、模型服务器13、数据库服务器14、智能开关15。
具体实施方式
为了使发明实施案例的目的、技术方案和优点更加清楚,下面将结合实施案例中的附图,对本发明实施案例中的技术方案进行清晰的、完整的描述,显然,所表述的实施案例是本发明一小部分实施案例,而不是全部的实施案例,基于本发明中的实施案例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施案例,都属于本发明保护范围。
一种工业控制网络与信息化网络安全连接方法,包含以下步骤:
步骤S1,在工业控制L1网络和L2网络中按照工序进行VLAN的划分,同时在L1级和L2级核心交换机给每个VLAN建立网关,这样既可以有效的阻挡不同工序间网络通信的相互影响,又可以对各区域间的网络通信进行有效控制;
步骤S2,将网络和L2网络级核心交换机指定为各工序VLAN的根桥,这个可以有效的避免工控控制环网由于根节点不稳定产生的网络震荡;
步骤S3,在工业控制网络与信息化网络连接的线路上接入基于白名单的防火墙,在防火墙上根据网络通信需要将需要通信的信息化节点和工业控制网络节点建立基于应用端口的白名单访问策略,其他通信全部拒绝;
步骤S4,在信息化网络与工业控制网络连接的三次网络交换机或路由器上将需要通信的网段写入静态路由表中;
步骤S5:重复上述步骤直至将所有需要与信息化网络通信的工业控制网络全部连接,从而实现从工业控制网络到信息化网络的安全连接。
所述步骤S1中,VLAN的划分可以按照工序也可以按照工业控制网上可以完成某一特定功能的设备组合,VLAN划分的设备数量一般不超过50个为宜。
所述步骤S2中,工业控制网络为保障网络的可靠性多采用环形连接,网络中为避免产生广播风暴运行的STP协议需要在每个二层网络中选举产生根节点,自然选举产生的根节点有可能不稳定,造成网络震荡,通过指定核心交换机作为根节点可以有效的避免网络震荡。
所述步骤S3中,在信息化网络和工业控制网络之间设置基于白名单的防火墙,只允许需要通信的信息化网络节点和工业控制网络节点进行点对点的基于应用端口的网络通信,可以有效的阻截非法访问,已知和未知的网络攻击和病毒木马攻击。
所述步骤S4中,通过静态路由技术实现信息化网络与工业控制网络的连接,可以避免信息化网络设备与工业控制网络设备由于设备品牌型号不同产生的诸多不兼容性问题,提高网络连接的稳定性。
信息化网络与工业控制网络的连接设备是路由器和具备路由功能的交换机中的一种。
在实际应用中,本发明在不增加网络设备的情况下,利用现有网络设备,结合工业控制网络与信息化网络的技术特点,在保障工业控制网络与信息化网络安全的同时,综合运用VLAN,STP根节点指定、静态路由和基于白名单的防火墙技术,实现两网络之间的安全、有效的数据交换。
具体通信过程如图1,首先按照工序将具有一定功能的L1级智能仪表、智能开关、传感器、HMI终端设备组合划分到一个VLAN,并将各个VLAN 的网关和根节点设置在L1级核心交换机上。其次按照同样的划分原则对L2网络进行划分并建立网关并指定根节点;然后,通过基于白名单的防火墙与信息化网络进行连接,在防火墙上为需要通信的信息化网络节点与工业控制网络节点建立基于应用端口的白名单,其余网络通信请求均拒绝。最后在工业控制L1和L2核心交换机上与信息化接入交换机上写入需要的静态路由。实现工业控制网络与信息化网络的网连接。
Claims (6)
1.一种工业控制网络与信息化网络安全连接方法,其特征在于包含以下步骤:
步骤S1,在工业控制L1网络和L2网络中按照工序进行VLAN的划分,同时在L1级和L2级核心交换机给每个VLAN建立网关,这样既可以有效的阻挡不同工序间网络通信的相互影响,又可以对各区域间的网络通信进行有效控制;
步骤S2,将网络和L2网络级核心交换机指定为各工序VLAN的根桥,这个可以有效的避免工控控制环网由于根节点不稳定产生的网络震荡;
步骤S3,在工业控制网络与信息化网络连接的线路上接入基于白名单的防火墙,在防火墙上根据网络通信需要将需要通信的信息化节点和工业控制网络节点建立基于应用端口的白名单访问策略,其他通信全部拒绝;
步骤S4,在信息化网络与工业控制网络连接的三次网络交换机或路由器上将需要通信的网段写入静态路由表中;
步骤S5:重复上述步骤直至将所有需要与信息化网络通信的工业控制网络全部连接,从而实现从工业控制网络到信息化网络的安全连接。
2.根据权利要求1所述的一种工业控制网络与信息化网络安全连接方法,其特征在于:所述步骤S1中,VLAN的划分可以按照工序也可以按照工业控制网上可以完成某一特定功能的设备组合,VLAN划分的设备数量一般不超过50个为宜。
3.根据权利要求1所述的一种工业控制网络与信息化网络安全连接方法,其特征在于:所述步骤S2中,工业控制网络为保障网络的可靠性多采用环形连接,网络中为避免产生广播风暴运行的STP协议需要在每个二层网络中选举产生根节点,自然选举产生的根节点有可能不稳定,造成网络震荡,通过指定核心交换机作为根节点可以有效的避免网络震荡。
4.根据权利要求1所述的一种工业控制网络与信息化网络安全连接方法,其特征在于:所述步骤S3中,在信息化网络和工业控制网络之间设置基于白名单的防火墙,只允许需要通信的信息化网络节点和工业控制网络节点进行点对点的基于应用端口的网络通信,可以有效的阻截非法访问,已知和未知的网络攻击和病毒木马攻击。
5.根据权利要求1所述的一种工业控制网络与信息化网络安全连接方法,其特征在于:所述步骤S4中,通过静态路由技术实现信息化网络与工业控制网络的连接,可以避免信息化网络设备与工业控制网络设备由于设备品牌型号不同产生的诸多不兼容性问题,提高网络连接的稳定性。
6.根据权利要求1所述的一种工业控制网络与信息化网络安全连接方法,其特征在于:所述信息化网络与工业控制网络的连接设备是路由器和具备路由功能的交换机中的一种。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211078384.XA CN115580432A (zh) | 2022-09-05 | 2022-09-05 | 一种工业控制网络与信息化网络安全连接方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211078384.XA CN115580432A (zh) | 2022-09-05 | 2022-09-05 | 一种工业控制网络与信息化网络安全连接方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115580432A true CN115580432A (zh) | 2023-01-06 |
Family
ID=84579110
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211078384.XA Pending CN115580432A (zh) | 2022-09-05 | 2022-09-05 | 一种工业控制网络与信息化网络安全连接方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115580432A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116866090A (zh) * | 2023-09-05 | 2023-10-10 | 长扬科技(北京)股份有限公司 | 工控网络的网络安全管理系统和网络安全管理方法 |
-
2022
- 2022-09-05 CN CN202211078384.XA patent/CN115580432A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116866090A (zh) * | 2023-09-05 | 2023-10-10 | 长扬科技(北京)股份有限公司 | 工控网络的网络安全管理系统和网络安全管理方法 |
| CN116866090B (zh) * | 2023-09-05 | 2023-11-28 | 长扬科技(北京)股份有限公司 | 工控网络的网络安全管理系统和网络安全管理方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6445710B1 (en) | Method and apparatus for transparently bridging traffic across wide area networks | |
| US9515845B2 (en) | Utility communication method and system | |
| US20020181477A1 (en) | System and method of virtual private network route target filtering | |
| CN107733795B (zh) | 以太网虚拟私有网络evpn与公网互通方法及其装置 | |
| CN104994065A (zh) | 基于软件定义网络的访问控制列表运行系统和方法 | |
| CN110120923B (zh) | 一种基于Hash-Trie的流规则冲突检测方法 | |
| CN108259466B (zh) | DDoS流量回注方法、SDN控制器及网络系统 | |
| CN103684958B (zh) | 提供弹性vpn服务的方法、系统和vpn服务中心 | |
| WO2024016642A1 (zh) | 一种基于sdn的智能船网络系统 | |
| CN115580432A (zh) | 一种工业控制网络与信息化网络安全连接方法 | |
| Wester et al. | Practical applications of Ethernet in substations and industrial facilities | |
| CN1697408A (zh) | 一种基于IPv6的虚拟专用网管理路由的方法 | |
| CN112105056A (zh) | 一种基于5gsa网络的码流传输方法和装置 | |
| CN109286563B (zh) | 一种数据传输的控制方法和装置 | |
| CN110830394A (zh) | 一种基于RapidIO网络的路由表生成方法 | |
| CN109347790B (zh) | 一种电力mpls vpn网络的安全攻击测试系统及测试方法 | |
| CN112242925B (zh) | 一种安全管理方法及设备 | |
| CN115987778A (zh) | 一种基于Kubernetes集群的容器通信方法 | |
| CN112804131B (zh) | 一种基于vlan构造的访问控制方法 | |
| CN111147302B (zh) | 一种网络虚拟化实现方法及其系统 | |
| CN114978563A (zh) | 一种封堵ip地址的方法及装置 | |
| KR20050083748A (ko) | 전기 네트워크 통신 시스템상에서 vlan을 구현하는방법 | |
| KR20190136793A (ko) | 소프트웨어 정의 네트워크 환경에서 소프트웨어 정의 네트워크 스위치, 이를 이용한 제어 채널의 인밴드 구성 및 유무선 이중화 방법 | |
| CN112218269A (zh) | 一种列车信息安全网关系统、数据传输方法及机车 | |
| CN114629845B (zh) | 一种基于容器的路由型数据中心网络管理方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |