JP2016507979A - 隔離保護システム及びそれが双方向パケットフィルタリング検査を実行する方法 - Google Patents

隔離保護システム及びそれが双方向パケットフィルタリング検査を実行する方法 Download PDF

Info

Publication number
JP2016507979A
JP2016507979A JP2015552998A JP2015552998A JP2016507979A JP 2016507979 A JP2016507979 A JP 2016507979A JP 2015552998 A JP2015552998 A JP 2015552998A JP 2015552998 A JP2015552998 A JP 2015552998A JP 2016507979 A JP2016507979 A JP 2016507979A
Authority
JP
Japan
Prior art keywords
communication
protection device
packet
filtering
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2015552998A
Other languages
English (en)
Other versions
JP6269683B2 (ja
Inventor
▲レイ▼ ▲楊▼
▲レイ▼ ▲楊▼
▲ジャン▼楠 ▲楊▼
▲ジャン▼楠 ▲楊▼
岳云 ▲趙▼
岳云 ▲趙▼
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yokogawa Electric Corp
Original Assignee
Yokogawa Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yokogawa Electric Corp filed Critical Yokogawa Electric Corp
Publication of JP2016507979A publication Critical patent/JP2016507979A/ja
Application granted granted Critical
Publication of JP6269683B2 publication Critical patent/JP6269683B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本発明では、隔離保護システム及びそれが双方向パケットフィルタリング検査を実行する方法を公開している。通信双方の一方及び他方の通信装置にそれぞれ接続される第1の保護装置及び第2の保護装置と、前記第1の保護装置と前記第2の保護装置の間に設けられ、前記第1の保護装置と前記第2の保護装置とを接続すると共に、専用通信プロトコルに基づき、前記第1の保護装置が出力したデータを前記第2の保護装置に伝送し、前記第2の保護装置が出力したデータを前記第1の保護装置に伝送する双方向データ伝送モジュールを備え、通信回線に設置され、前記通信双方の通信装置を隔離保護する隔離保護システムであって、前記第1の保護装置と前記第2の保護装置は完全に独立したハードウェア構造を具備し、且つ独立したCPUでそれぞれ動作することを特徴とする。

Description

本発明は、通信回線において使用される隔離保護システム及びそれが双方向パケットフィルタリング検査を実行する方法に関するものであり、通信経路(例えば、通信ネットワーク間、ゲートウェイ経路中、異なる通信端末間)に設置され、ネットワークの安全を保障し、通信双方の装置の隔離保護及びその双方向パケットフィルタリング検査を実現する。本発明は、特に産業現場での情報ネットワークと制御ネットワークに適している。
従来の産業現場の情報ネットワークと制御ネットワーク間に配置されるセキュリティ製品には、ファイアウォール或いはゲートウェイ製品が数多く採用されている。
従来のファイアウォール技術には、産業用通信プロトコルへの対応が不十分であるという問題が存在する。例えば、産業現場においてOPC産業用プロトコルを採用する場合に、1024から65535までの動的なポートを使用する必要があるため、ファイアウォールは上記範囲内のすべてのポートを開放しなければならず、このようにすることでネットワークセキュリティのリスクが著しく高まる。また、ファイアウォールはIPレイヤの読み取り制御を実現しているが、データに対する読み取り制御はできない。ファイアウォールは一般のネットワークのデータリンクレイヤ、ネットワークレイヤ、トランスポートレイヤに対する検査ができるが、アプリケーションレイヤの検査機能には一定の不備が存在し、特に産業用プロトコルに対する検査機能には欠陥がある。
ゲートウェイ技術は、まず、制御システムネットワークのサーバからデータを収集し、ゲートウェイが制御システムネットワークのサーバの機能を代行し、MES/ERPレイヤのクライアント端末がゲートウェイを通じてデータを採集することにより、制御システムネットワークのサーバを防護するという目的を達成する。ゲートウェイ技術に存在する不備は、ゲートウェイ製品が自己のIPアドレスを持つという点であり、既に配置済みの制御システムネットワークであっても、そのMES/ERPレイヤのクライアント端末は、やはり設定しなおす必要がある(サーバのIP及びサーバ名などを変更し、ゲートウェイサーバを登録する)。そのほか、ゲートウェイのファイアウォール機能は不十分であり、ゲートウェイ製品にIPアドレスがあるため、攻撃を受ける恐れがある。ゲートウェイ製品に侵入された場合、制御システムにおける装置のリスクが高まる。
ネットワークセキュリティの保護、特に産業現場応用ネットワークを保護する従来技術として、例えば、中国特許公開CN101014048(出願日2007年2月12日、出願番号200710063822.4、発明名称:分散型ファイアウォールシステム及びファイアウォール内容の検出を実現する方法)、及びトフィーノ(TOFINO)産業ネットワークセキュリティ保護技術(以下リンクから確認可http://www.doc88.com/p-649582721525.html)を参照することができる。上記先行技術を背景技術として、本願に組み合わせて参考とする。
上記の先行技術を図1のブロック図を用いて説明することができる。通信の双方(N1、N2)の通信回線にはセキュリティ保護装置100が設けられ、そのうちフィルタリングモジュールF0が「往復」のパケットにフィルタリングを行なう。上記先行技術の不備は、従来技術におけるファイアウォールセキュリティフィルタリングモジュールが、すべて一つのCPU上で実行されるという点である。このような状況において、一方の通信方から他方の通信方へとデータを伝送する際にファイアウォールが攻撃されると、ファイアウォール全体が一つのCPUにて実行されているため、セキュリティファイアウォール全体が破壊され、使用することができなくなってしまう。さらに、上記先行技術におけるセキュリティファイアウォール技術はパケット(例えばパケットボディ内容)を深く検査するものではないため、パケットボディ内の奥に潜むウィルスデータが通信装置(N1、N2)の動作を破壊する可能性がある。
本発明が解決しようとする技術課題は、通信回線に設置され、通信双方の通信装置を隔離保護する隔離保護システム及びそれが双方向パケットフィルタリング検査を実行する方法を提供することであり、当該隔離保護システムはそれぞれ通信双方に対応して、独立したCPUで動作する二つの保護装置と、専用通信プロトコルに基づき二つの保護装置の間で双方向データ通信を行なう一つの双方向データ伝送モジュールとを集成しており、通信双方間のパケット伝送の安全性を確保すると同時に、一方の通信方のCPUが攻撃を受け破損した際に、隔離保護システム全体が損壊し使用できなくなることを防止する。
このため、本発明では、通信双方の一方及び他方の通信装置にそれぞれ接続される第1の保護装置及び第2の保護装置と、
前記第1の保護装置と前記第2の保護装置の間に設けられ、前記第1の保護装置と前記第2の保護装置とを接続すると共に、専用通信プロトコルに基づき前記第1の保護装置が出力したデータを前記第2の保護装置へ伝送し、前記第2の保護装置が出力したデータを前記第1の保護装置へ出力する双方向データ伝送モジュールとを備え、
通信回線に設置され、前記通信双方の通信装置を隔離保護する隔離保護システムであって、
前記第1の保護装置と前記第2の保護装置は完全に独立したハードウェア構造を具備し、且つ独立したCPUでそれぞれ動作し、前記第1の保護装置と前記第2の保護装置はそれぞれ、
接続された通信方の通信装置からデータストリームのパケットを受信し、他方の通信方からのデータを、接続された通信装置に出力する第1のインタフェースと、
前記第1のインタフェースから受信したデータストリームに対してフィルタリング検査を実行し、セキュリティ要求に適合したデータを出力するフィルタリングモジュールと、
前記セキュリティ要求に適合したデータを受信し、当該セキュリティ要求に適合したデータを前記双方向データ伝送モジュールに伝送する第2のインタフェースと、
前記第2のインタフェースからのデータを前記第1のインタフェースへ伝送する伝送通路と、
を備えることを特徴とする隔離保護システムを提供する。
本発明の上記隔離保護システムは本発明の「2+1」の構造を採用しており、すなわち、完全に独立したハードウェア構造を具備し、且つ独立したCPUにてそれぞれ動作する第1の保護装置及び第2の保護装置と、第1の保護装置と第2の保護装置の間に接続され通信双方を専用通信プロトコルに基づき通信させる双方向データ伝送モジュールとを備える構造を採用することによって、通信双方間の安全な双方向データ通信を実現する。二つの保護装置が独立したCPUにて動作するため、そのうち一つの保護装置が攻撃を受けたり、物理的に損壊した際に、もう一つの保護装置はその影響を受けることがない。隔離保護システムの二つの保護装置が独立したCPUにて動作するように構成したため、ハードウェア的に独立するように各保護装置を構成することができ、これによりそのうち一つの保護装置が攻撃を受けたり、物理的に損壊した際に、取り替え及び的確な修理とメンテナンスに便宜をはかることができる。このほか、隔離保護システムの二つの保護装置のハードウェア構造が完全に独立しているため、製造にあたり、ハードウェア構造が完全に独立制御される保護装置を個別に製造でき、その後、各保護装置が接続される通信方或いは宛先となる通信方のセキュリティ要求に基づいて、そのハードウェア構造をプログラム化し、従来技術の、一つのCPUにて実行されるファイアウォールセキュリティフィルタリングモジュールと比べて、本発明のこのような配置はハードウェア製造工程全体を簡易化できると同時に、通信双方の装置をそれぞれ保護することができる。このほか、本発明の隔離保護システムが備える、二つの保護装置の間に設けられる双方向データ通信モジュールは、専用通信プロトコルに基づき、通信双方に対する二つの保護装置の間に通信リンクを構築する。言い換えれば、一つの保護装置を通過したデータストリームのパケットは、専用通信プロトコルを満たしている限り、もう一つの保護装置に入ることができるため、双方向データ伝送モジュールは二つの保護装置の間(つまり、通信双方の間)にもう一つの保護防壁を設置している。本発明の隔離保護システムは、保護装置におけるフィルタリングモジュールと双方向データ伝送モジュールによって、通信双方間において安全な双方向データ伝送を実現する。よって、本発明の隔離保護システムは、従来ゲートウェイ技術に存在する、ゲートウェイ製品が自己のIPアドレスを持つ必要があるという問題を解消しており、つまり、通信双方が本発明の隔離保護システムを採用して通信を構築する際、配置済みの各ネットワーク端点を設定しなおす必要がない。このように、IPアドレスがないため、攻撃される可能性は一段と低くなっている。
そのうち、前記通信方の通信装置はコンピュータ、サーバ、またはその他ネットワーク情報の入力/出力装置であってよい。
前記フィルタリングモジュールは、伝送するデータストリームのパケットに対して基本的ファイアウォール検査を実行する内蔵ファイアウォールモジュールと、深いレベルのパケットフィルタリングを実行するパケットフィルタリングモジュールとを備えることが好ましい。
なお、前記内蔵ファイアウォールモジュールはデータストリームのパケットに対してヘッダ内容検査を実行し、前記パケットフィルタリングモジュールはデータストリームのパケットに対してパケットボディ内容検査を実行することができる。
なお、前記ヘッダ内容はIPアドレス、MACアドレス、プロトコル類型情報、ポート情報を含み、前記パケットボディ内容は通信先、通信元、通信目的、通信類型、通信内容を含む。
本発明の隔離保護システムの各保護装置に含まれる内蔵ファイアウォールモジュールとパケットフィルタリングモジュールは、流れているデータストリームのパケットに対して順次二つのフィルタリング検査を行い、そのうち、内蔵ファイアウォールモジュールは流れているデータストリームのパケットのヘッダに対して基本的ファイアウォール検査を実行し、パケットフィルタリングモジュールはデータストリームのパケットに深いレベルのパケットフィルタリング検査を実行する。さらに基本的ファイアウォール検査の実行には、データストリームのパケットに対するヘッダ内容検査の実行を含むことができ、データストリームのパケットに対する深いレベルのパケットフィルタリング検査の実行には、データストリームのパケットに対するパケットボディ内容検査の実行を含むことができる。一つの保護装置内において、パケットに対して順次二つのフィルタリング処理を行ない、流れているパケットの安全性を確保する。また、二つの保護装置の間に、双方向データ伝送モジュールをさらに設けるため、当該双方向データ伝送モジュールは専用通信プロトコルに基づき、二つの保護装置の間において更なる防護を行なう。よって、一つの保護装置において、内蔵ファイアウォールモジュールとパケットフィルタリングモジュールによる二つのフィルタリング検査処理を通過した安全でないパケットは、専用通信プロトコルを満たさない場合、双方向データ伝送モジュールを通過してもう一つの保護装置に入ることはできず、言い換えれば、内蔵ファイアウォールモジュールとパケットフィルタリングモジュールを通過した後、安全でないパケットの更なる伝送は双方向データ通信モジュールによって遮断され、通信双方のデータ伝送の安全性をさらに向上させている。
前記パケットフィルタリングモジュールには、産業用通信プロトコルに対応し得るフィルタリングリストがそれぞれ内蔵されていることが好ましい。
本発明の隔離保護システムにおいて、各保護装置におけるパケットフィルタリングモジュールが産業用プロトコルのアプリケーションデータを検査することができるため、本発明のネットワーク隔離保護システムは産業用通信プロトコルを充分に対応し、アプリケーションレイヤに対する検査機能を強化しており、産業現場情報ネットワークと制御ネットワークに容易に応用することができる。
本発明では、完全に独立したハードウェア構造を具備し、且つ独立したCPUでそれぞれ動作する第1の保護装置と第2の保護装置を通信回線に設置し、通信双方の通信装置にそれぞれ振り分けるステップと、
第1の保護装置と第2の保護装置に設けられたフィルタリングモジュールにより、伝送するデータストリームのパケットにフィルタリング検査を実行するステップと、
を含むことを特徴とする、上記の隔離保護システムを採用して双方向パケットフィルタリング検査を実行する方法をさらに提供する。
なお、前記フィルタリング検査には、
伝送するデータストリームのパケットに対して基本的ファイアウォール検査を実行すること、及び、
伝送するデータストリームのパケットに対して深いレベルのパケットフィルタリングを実行することを含む。
なお、前記伝送するデータストリームのパケットに対して実行する基本的ファイアウォール検査は、データストリームのパケットに対してヘッダ内容検査を実行することを含み、前記伝送するデータストリームのパケットに対して実行する深いレベルのパケットフィルタリングは、データストリームのパケットにパケットボディ内容検査を実行することを含む。
なお、前記ヘッダ内容はIPアドレス、MACアドレス、プロトコル類型情報、ポート情報を含み、前記パケットボディ内容は通信先、通信元、通信目的、通信類型、通信内容を含む。
本発明の、通信回線に設置され通信双方の通信装置を隔離保護する隔離保護システム及びそれが双方向パケットフィルタリング検査を実行する方法によれば、保護装置における内蔵ファイアウォールモジュールによって、データリンクレイヤ、ネットワークレイヤ、トランスポートレイヤにおいてパケットに対してフィルタリング検査を行うことができ、また保護装置におけるパケットフィルタリングモジュールによってパケットに深いレベルのフィルタリング検査を行って通信双方の間に双方向データ通信を構築できることで、本発明の隔離保護システム及びそれが双方向パケットフィルタリング検査を実行する方法が通信双方の双方向データ伝送の安全性を実現できるだけでなく、本発明の隔離保護システムが備える、通信双方に対する第1の保護装置と第2の保護装置が互いに独立したCPUにて動作するため、そのうち一つの保護装置が攻撃を受けたり物理的に損壊した際に、もう一つの保護装置はその影響を受けることはない。
従来技術のセキュリティファイアウォール製品の原理模式図である。 本発明実施例1の隔離保護システムのブロック図である。 本発明実施例2の隔離保護システムのブロック図である。 本発明の実施例2の隔離保護システムによって、クライアント端末からサーバへとデータを伝送する際に実行されるパケットフィルタリング検査の方法のフロー図である。 本発明の実施例2の隔離保護システムによって、サーバからクライアント端末へとデータを伝送する際に実行されるパケットフィルタリング検査の方法のフロー図である。
図を組み合わせた下記の説明により、本発明をより容易に理解できるとともに、それに付随する利点と特徴をより容易に理解できる。
本発明の内容をより明確にするため、及び、理解しやすくするため、以下、図を組み合わせて本発明の具体的な実施例について詳しく説明する。本発明において、例を挙げて本発明が提案した隔離保護システム及びそれが双方向パケットフィルタリング検査を実行する方法について説明を行う。しかし、本発明は公開している好ましい実施例の具体的な形態に限らない。当業者は本発明で公開している内容に基づき、本発明に対して修正と変形を行うことができる。これらの修正と変形も請求項によって限定される本発明の請求範囲に含まれるべきである。
本発明は、従来の産業現場の情報ネットワークと制御ネットワーク間に配置されるセキュリティ製品の多くがファイアウォールもしくはゲートウェイ製品を採用していること、及び、従来技術において一つのCPUにて実行されるファイアウォール製品だけで双方向データ伝送の安全性を実現するという課題に対して、隔離保護システム及びそれが双方向パケットフィルタリング検査を実行する方法を提供している。通信双方の間において安全な双方向データ伝送を実現するために、本発明が提供する、通信回線に設置され通信双方の通信装置を隔離保護する隔離保護システムは、本発明の「2+1」構造を採用し(すなわち、通信双方に対応して、互いに独立した二つのCPUにてそれぞれ動作する二つの保護装置と、二つの保護装置の間を接続し、専用通信プロトコルによって二つの保護装置間のデータ伝送を制御する一つの双方向データ伝送モジュールとの構造)、通信双方間で安全な双方向データ伝送を構築する。そのうち、通信双方に対する二つの保護装置がそれぞれが独立したCPUにて動作するため、一方の通信方に対する保護システムが攻撃を受けたり物理的に損壊した際に、もう一つの通信方に対する保護装置はその影響を受けることがない。隔離保護システムの二つの保護装置が独立したCPUにて動作する構造のため、ハードウェア的に独立するように各保護装置を構成することができ、これによりそのうち一つの保護装置が攻撃を受けたり、物理的に損壊した際に、取り外しと交換を容易に行なうことができる。このほか、隔離保護システムの二つの保護装置のハードウェア構造が完全に独立しているため、ハードウェア構造が完全に独立制御される保護装置を個別に製造でき、各保護装置が接続される通信方或いは宛先となる通信方のセキュリティ要求に基づいて、そのハードウェア構造をプログラム化し(主に通信プロトコルの配置に関する)、従来技術の、一つのCPUにて実行されるファイアウォールセキュリティフィルタリングモジュールと比べて、本発明のこのような配置はハードウェア製造工程全体を簡易化できると同時に、通信双方の装置をそれぞれ保護することができる。このほか、隔離保護システムにおける双方向データ通信モジュールは専用通信プロトコルによって、通信双方に対する二つの保護装置の間に通信リンクを構築する。言い換えれば、一つの保護装置を通過したデータストリームは、専用通信プロトコルを満たしている限り、もう一つの保護装置に入ることができるため、双方向データ伝送モジュールは二つの保護装置の間(つまり、通信双方の間)にもう一つの保護防壁を設置している。これにより、従来ゲートウェイ技術に存在する、ゲートウェイ製品が自己のIPアドレスを持つ必要があるという問題も解消しており、つまり、ネットワーク間に、本発明の隔離保護システムを採用してデータ通信を構築する際、配置済みの各ネットワーク端点を設定しなおす必要がない。このように、IPアドレスがないため、攻撃される可能性は一段と低くなっている。
以下、図面を参照して本発明の隔離保護システムについて説明する。
図2は本発明の実施例1の隔離保護システム1のブロック図である。本発明の隔離保護システム1は、第1の通信方N1と第2の通信方N2の間において、安全な双方向データ通信を実現するよう、第1の通信方N1と第2の通信方N2の間に設置することができる。そのうち、第1の通信方N1と第2の通信方N2の通信装置はコンピュータ、サーバー或いはその他ネットワーク情報の入力/出力装置であってよい。図2に示すように、隔離保護システム1は第1の保護装置10と、第2の保護装置20と、双方向データ伝送モジュール4を備えることが可能で、すなわち、本発明の「2+1」構造である。第1の保護装置10と第2の保護装置20は、双方向データ伝送モジュール4によって双方向データ通信を行なう。双方向データ伝送モジュール4には専用通信プロトコルが内蔵されており、これは専用通信プロトコルハードウェアまたは専用通信プロトコルソフトウェア、或いは両者の組み合わせでもよく、第1の保護装置10と第2の保護装置20の間に安全な防壁を構築し、当該専用通信プロトコルに適合するパケットを通過させ、当該専用通信プロトコルに適合しないパケットはブロック・遮断され、第1の保護装置10と第2の保護装置20の間の安全なデータのやり取りを確保する。
図2に示すように、第1の保護装置10は、第1の通信方N1と双方向データ通信を行なう第1のインタフェースA1及び、双方向データ伝送モジュール4と双方向通信を行なう第2のインタフェースB1を備えている。第1の保護装置10にはフィルタリングモジュールF1と、第2のインタフェースB1からのパケットを第1のインタフェースA1に伝送する伝送通路C1がさらに含まれる。フィルタリングモジュールF1は第1のインタフェースA1と第2のインタフェースB1の間に設けられており、第1のインタフェースA1から受信した、第1の通信方N1から第2の通信方N2へと伝送しようとするパケットに対してフィルタリング検査を行い、当該フィルタリングモジュールF1内蔵の、セキュリティ要求とする通信プロトコルに適合するパケットを第2のインタフェースB1へ出力する。第2のインタフェースB1は、フィルタリングモジュールF1のフィルタリング検査を通過したパケットを双方向データ伝送モジュール4に出力し、双方向データ伝送モジュール4は専用通信プロトコルに基づき、第1の保護装置10が第2のインタフェースB1によって出力したデータを第2の保護装置20へ伝送する。
第2の保護装置20はハードウェア構造上、第1の保護装置10とは完全に独立している。第2の保護装置20は、第2の通信方N2と双方向データ通信を行う第1のインタフェースA2及び、双方向データ伝送モジュール4と双方向通信を行なう第2のインタフェースB2を備えている。第2の保護装置20には、フィルタリングモジュールF2と、第2のインタフェースB2からのパケットを第1のインタフェースA2に伝送する伝送通路C2がさらに含まれる。フィルタリングモジュールF2は第1のインタフェースA2と第2のインタフェースB2の間に設けられており、第1のインタフェースA2から受信した、第2の通信方N2から第1の通信方N1へ伝送しようとするパケットに対してフィルタリング検査を行い、当該フィルタリングモジュールF2内蔵の、セキュリティ要求とする通信プロトコルに適合するパケットを第2のインタフェースB2へ出力する。第2のインタフェースB2は、フィルタリングモジュールF2のフィルタリング検査を通過したパケットを双方向データ伝送モジュール4に出力し、双方向データ伝送モジュール4は専用通信プロトコルに基づき、第2の保護装置20が第2のインタフェースB2によって出力したパケットを第1の保護装置10に伝送する。
本発明の隔離保護システム1における第1の保護装置10と第2の保護装置20は、互いに独立した(すなわち、独立して操作、演算を行う)CPU1とCPU2にて動作し、そのうち各CPUは一つのメモリに対応している。このような構造では、そのうち一台のCPUがウィルスの侵入を受けたり物理的に損壊した際に、もう一台のCPUは影響を受けることがない。各CPUにて独立的に動作する第1の保護装置10と第2の保護装置20両者は、専用通信プロトコルに従って、双方向データ伝送モジュール4によって双方向データ伝送を行なう。
以上から分かるように、本発明実施例1の隔離保護システム1は、当該システムが備える、独立したCPUにて動作する保護装置に設けられたフィルタリングモジュールと、二つの保護装置の間に設けられた双方向データ伝送モジュールによって、通信双方の間においてデータ伝送を行なうため、本発明実施例1の隔離保護システム1によって、ネットワーク間でデータのやり取りをする際、従来のゲートウェイ製品のようにクライアント端末とサーバのIPアドレスを設置する必要がないため、既に存在するネットワークに対して如何なる影響も与えない。
本発明の隔離保護システム1のセキュリティ策は保護装置に含まれるフィルタリングモジュールに対して設置を行なうことで実現するものであるため、通信双方のセキュリティ要求に基づき、適切なセキュリティ策を設置することができる。
本発明実施例1の隔離保護システム1によって、第1の通信方N1から第2の通信方N2へとパケットを伝送しようとする際、パケットの流れは図2の経路L1に示すようなものになる。具体的に言えば、第1の通信方N1からのデータは、第1の保護装置10の第1のインタフェースA1に介して第1の保護装置10へ入り、第1の保護装置10の内部では当該パケットがフィルタリングモジュールF1よりフィルタリング検査され、セキュリティ要求に適合するパケットはフィルタリングモジュールF1を通過し、第1の保護装置10の第2のインタフェースA2を経由して双方向データ伝送モジュール4に入る。当該パケットが双方向データ伝送モジュール4内蔵の専用通信プロトコルに適合しなければ、パケットはブロックされ、第2の保護装置20に入ることはできない。当該パケットが専用通信プロトコルに適合すれば、中間の通信モジュール4を通過して第2の保護装置20に入ることができ、第2の保護装置20の内部では、当該パケットが第2のインタフェースB2により伝送通路C2を介して直接第1のインタフェースA2に伝送されて、第1の通信方N1から第2の通信方N2へのパケット伝送は完了する。第1の通信方N1から第2の通信方N2へのパケット伝送過程において、パケットはまず第1の保護装置10に設けられたフィルタリングモジュールF1によるフィルタリング検査を通過し、その後、専用通信プロトコルに基づいて第1の保護装置10から第2の保護装置20へ入る。このような配置は、第1の通信方N1から第2の通信方N2へと伝送するデータの安全性を確保することができる。第2の通信方N2から第1の通信方N1へのパケット伝送の流れは図2の経路L2に示すとおりであり、経路L1に類似していることから、ここではその説明を省略する。
図1に示す従来技術のファイアウォールと比較して、本発明の隔離保護システム1は本発明の「2+1」構造を採用しており、すなわち、通信双方に対応して、互いに独立した二つのCPUにて動作し、且つハードウェア構造上完全に独立した二つの保護装置10、20と、二つの保護装置10、20の間に設けられ、且つ専用通信プロトコルに基づき二つの保護装置10、20の間で安全なデータのやり取りを行なう双方向データ通信モジュール4とにより、通信双方間での双方向データ通信を実現する。二つの保護装置にはいずれもパケットに対してフィルタリング検査を行うフィルタリングモジュールが含まれ、これにより、通信双方のセキュリティ要求に応じて、フィルタリングモジュールにおけるセキュリティ要求としての通信プロトコルを設定することができ、通信双方のセキュリティ要求を満たすことができる。本発明実施例1の隔離保護システム1において、第1の保護装置10と第2の保護装置20それぞれは独立したCPUにて動作するため、ハードウェア上互いに完全に独立した二つの保護装置を実現している。双方向データ伝送モジュール4が第1の保護装置10と第2の保護装置20の間に設けられ、且つ専用通信プロトコルによって第1の保護装置10と第2の保護装置20間の安全な通信を実現し、本発明のこのような「2+1」構造はハードウェア面において多くの利点をもたらすことができる。例えば、第1の保護装置10と第2の保護装置20を二つの互いに独立したホストコンピュータとして製造し、当該ホストコンピュータにはCPUが含まれ、各CPUごとにメモリを備えることができる。各ホストコンピュータに対して、Bootloaderをブート・ロードプログラムとする専用組込み式Linux(登録商標)操作システムとすることができる。このように、二つの保護装置の間において、一つが攻撃を受けたり物理的に損壊することによって、もう一つの保護装置の性能に影響を与えることはない。また例として、第1の保護装置10と第2の保護装置20を挿し込み式の装置に製造する、すなわち、脱着可能な装置に製造することで、双方向データ伝送モジュール4を専用通信プロトコルが内蔵されたベースボードとして製造することができる。このように、二つの保護装置をベースボードに挿入する際、本発明の、通信双方の通信装置を隔離保護する隔離保護システムに形成することができる。このような状況において、そのうち一つの保護装置が破損した場合、交換とメンテナンスを容易に行うことができ、もう一つの保護装置は如何なる影響を受けることもない。
以下、図3を参照して本発明実施例2の隔離保護システム2について説明する。図3で示す実施例2と、図2で示す実施例1において、同一の符号は同一の部材を表しているため、ここでは再度説明を行わない。
本発明実施例1の隔離保護システム1と異なる点は、本発明実施例2の隔離保護システム2において、図3に示すとおり、第1の保護装置10におけるフィルタリングモジュールF1は内蔵ファイアウォールモジュールK1とパケットフィルタリングモジュールS1を含み、第2の保護装置20におけるフィルタリングモジュールF2は内蔵ファイアウォールモジュールK2とパケットフィルタリングモジュールS2を含んでいるという点である。内蔵ファイアウォールモジュールK1は、第1の通信方N1から第2の通信方N2へと伝送しようとする、第1のインタフェースA1から受信したパケットに対してファイアウォールフィルタリング検査を実行し、ファイアウォールフィルタリング検査は基本的ファイアウォール検査であってよく、一般的なネットワーク攻撃より影響されにくくするものである。基本的ファイアウォール技術はプロトコル、ポート、IP等の通信規則を設定することで防御機能を実現し、データリンクレイヤ、ネットワークレイヤ、トランスポートレイヤにて、流れているパケットに対して検査を行うことができ、これは主にパケットに対してヘッダ内容検査を実行することに関するもので、当該通信規則を満たさないパケットは阻止される。パケットフィルタリングモジュールS1は、内蔵ファイアウォールモジュールK1によってフィルタリングされた後のパケットに対してパケットフィルタリング検査を行い、パケットフィルタリング検査はファイアウォールフィルタリング検査とは異なり、アプリケーションレイヤ上のパケットに基づいた深いレベルのフィルタリング検査、プロトコル分析でることができ、主にデータストリームのパケットに対してパケットボディ内容検査を実行するものである。本発明の隔離保護システム2が、産業現場の情報ネットワークと制御ネットワーク間に産業ネットワークセキュリティ隔離システムとして配置される際、産業用通信プロトコルに準じたアプリケーションデータを検査するよう、パケットフィルタリングモジュールS1に産業用通信プロトコルを内蔵することができる。前記ヘッダ内容はIPアドレス、MACアドレス、プロトコル類型情報、ポート情報を含み、前記パケットボディ内容は通信先、通信元、通信目的、通信類型、通信内容を含む。第2の保護装置20におけるフィルタリングモジュールF2は内蔵ファイアウォールモジュールK2とパケットフィルタリングモジュールS2を含む。内蔵ファイアウォールモジュールK2は、第2の通信方N2から第1の通信方N1へと伝送しようとする、第1のインタフェースA2から入力されたパケットに対してファイアウォールフィルタリング検査を行い、ファイアウォールフィルタリング検査は基本的ファイアウォール検査であってよく、一般的なネットワーク攻撃により影響されにくくするものである。基本的ファイアウォール技術はプロトコル、ポート、IPなどの通信規則の設定することで防御機能を実現し、データリンクレイヤ、ネットワークレイヤ、トランスポートレイヤ上にて、流れているデータに対して検査を行うことができ、これは主にパケットのヘッダに対する検査で、当該通信規則を満たさないパケットは阻止される。パケットフィルタリングモジュールS2は、内蔵ファイアウォールモジュールK2によってフィルタリングされた後のパケットに対してパケットフィルタリング検査を行い、パケットフィルタリング検査はファイアウォールフィルタリング検査とは異なり、アプリケーションレイヤ上のパケットに基づいた深いレベルのフィルタリング検査、プロトコル分析であることができ、主にデータストリームのパケットに対してパケットボディ内容検査を実行するものである。本発明の隔離保護システム2が産業現場の情報ネットワークと制御ネットワーク間に産業ネットワークセキュリティ隔離システムとして配置される際、産業用通信プロトコルに準じたアプリケーションデータを検査するよう、パケットフィルタリングモジュールS2に産業用通信プロトコルを内蔵することができる。前記ヘッダ内容はIPアドレス、MACアドレス、プロトコル類型情報、ポート情報を含み、前記パケットボディ内容は通信先、通信元、通信目的、通信類型、通信内容を含む。
上記の内容から分かるように、第1の保護装置10と第2の保護装置20には、いずれもパケットに対して順次フィルタリング検査を行う内蔵ファイアウォールモジュールとパケットフィルタリングモジュールが含まれ、この二つのフィルタリング検査では、データストリームのパケットの異なる部分に対してフィルタリング検査を行うことができ、例えば、内蔵ファイアウォールモジュールは、一般的なネットワークのデータリンクレイヤ、ネットワークレイヤ、トランスポートレイヤに対する検査を実現でき、つまり、主にパケットのヘッダに対してフィルタリング検査を行うものであって、パケットフィルタリングモジュールは、アプリケーションレイヤデータに対する検査を実現でき、つまり、主にパケット内容に対してフィルタリング検査を行うものである。したがって、産業プロトコルに準じたアプリケーションデータを検査するよう、パケットフィルタリングモジュールに複数の産業用通信プロトコルを内蔵することができる。本発明の隔離保護システムが備える各保護装置が、いずれもデータに対して順次フィルタリング検査を行う内蔵ファイアウォールモジュールとパケットフィルタリングモジュールを含むため、通過したデータの安全性を確保することができ、また、産業現場の情報ネットワークと制御ネットワーク間のセキュリティ要求に適応するよう、パケットフィルタリングモジュールに予め所望の産業用通信プロトコルを設置して、本発明のネットワークセキュリティ保護システムが産業用プロトコルに充分に対応するようにすることができる。
本発明において、内蔵ファイアウォールモジュールS1と内蔵ファイアウォールモジュールS2は同一であってもよく、つまり、同一の基本的ファイアウォールフィルタリング検査を提供する。パケットフィルタリングモジュールS1とパケットフィルタリングモジュールS2は同一であってもよく、そこには同一の通信プロトコルを内蔵することができ、第1の通信方N1と第2の通信方N2の異なるセキュリティ要求に基づき、異なる通信プロトコルを内蔵してもよい。例えば、第1の通信方N1をパケットの送信方とし、第2の通信方N2をパケットの受信方とする場合、パケット受信方としての第2の通信方N2のセキュリティ要求に基づき、第1の保護装置10におけるパケットフィルタリングモジュールS1内蔵の通信プロトコルを設定し、第1の通信方N1をパケットの受信方とし、第2の通信方N2をパケットの送信方とする場合、第1の通信方N1のセキュリティ要求に基づき第2の保護装置20におけるパケットフィルタリングモジュールS2内蔵の通信プロトコルを設定することができる。こうすることで、通信双方のセキュリティ要求を満たすことができる。
第1の保護装置10と第2の保護装置20の間に専用通信プロトコルを内蔵した双方向データ伝送モジュール4が設置されているため、一方の通信方から他方の通信方へと伝送しようとするパケットが、保護装置内の内蔵ファイアウォールモジュールとパケットフィルタリングモジュールのフィルタリング検査を通過したとしても、それが双方向データ伝送モジュール4に内蔵された専用通信プロトコルを満たさなければ阻止され、他方の通信方へ入ることはできず、通信双方の通信回線上のデータ伝送の安全性をさらに向上させている。
本発明実施例2の隔離保護システム2は産業現場情報ネットワークと制御ネットワーク間に応用し、制御ネットワークに対してセキュリティ防護を行うことができる。これは主に、本発明の隔離保護システム2において、第1の保護装置10と第2の保護装置20にはいずれも、常規の内蔵ファイアウォールフィルタリング検査以外のパケットフィルタリング検査が含まれているためである。パケットフィルタリングモジュールにおいて、クライアント端末とサーバ間で有効なOPC、Medbus等の産業プロトコルデータ通信を行い、さらにデータ読み書き制御を可能にするよう、複数の自動化製品メーカーの独自の通信プロトコルを内蔵することができる。その他の非産業データはすべて破棄される。
以下、図3を組み合わせ、さらに図4と図5を参照して本発明の隔離保護システム2によって双方向パケットフィルタリング検査を実行する方法について詳しく説明する。
説明の便宜をはかるため、図4と図5において、クライアント端末とサーバを通信双方とした例を挙げて、本発明の隔離保護システム2が如何にしてクライアント端末とサーバにおいてデータの安全な伝送を実現する方法を説明する。
図4はクライアント端末からサーバへデータを伝送するフロー図である。ステップS71ではクライアント端末がパケットを送信し、ステップS72ではパケットがクライアント端末と接続するCPU(第1の保護装置10)へ送信され、ステップS73では基本的ファイアウォール検査が行われ、無効データのパケットが破棄され(ステップS76)、有効データはさらにパケットフィルタリング検査(ステップS74)を行ない、ステップS74のパケットフィルタリング検査を経たデータは、無効データと判定された場合は破棄され(ステップS76)、有効なデータと判断された場合はサーバに接続されたCPU(第2の保護装置20)へ送信され(ステップS75)、さらにステップS77では受信したパケットをサーバへ送信する。
図5はサーバからクライアント端末へデータを伝送するフロー図である。ステップS81ではサーバがパケットを送信し、ステップS82ではパケットがサーバと接続するCPU(第2の保護装置20)へ送信され、ステップS83では基本的ファイアウォール検査が行われ、無効データのパケットが破棄され(ステップS86)、有効データはさらにパケットフィルタリング検査(ステップS74)を行ない、ステップS84のパケットフィルタリング検査を経たデータは、無効データと判定された場合は破棄され(ステップS86)、有効なデータと判断された場合はクライアント端末に接続されたCPU(第1の保護装置10)へ送信され(ステップS85)、さらにステップS87では受信したパケットをクライアント端末へ送信する。
以上、本発明の隔離保護システム及びそれが双方向パケットフィルタリング検査を実行する方法について説明した。本発明の隔離保護システムは、本発明の「2+1」構造を採用しており、すなわち、通信双方それぞれに双方向通信を行うことができる第1の保護装置及び第2の保護装置と、それらの間に設けられ、第1の保護装置と第2の保護装置間のデータのやり取りを制御する専用通信プロトコル内蔵の双方向データ伝送モジュールとを有し、その特徴は本発明の隔離保護システムにおける第1の保護装置と第2の保護装置が互いに独立したホストコンピュータ上でそれぞれ動作し、互いに独立したCPUによって制御されるということである。これにより、そのうち一つのホストコンピュータが故障あるいはウィルスの被害を受けた際に、もう一つのホストコンピュータが影響を受けることはない。このほか、本発明の隔離保護システムにおける第1の保護装置と第2の保護装置内のパケットフィルタリングモジュールはアプリケーションレイヤパケットに対する深いレベルの検査、プロトコル分析を行い、複数の専用産業用通信プロトコルが内蔵されることによって、内蔵産業用通信プロトコルに基づいた防御モードを実現することができ、アプリケーションレイヤにてパケットに対して深く検査を行い、産業用通信に独特の産業レベルの専用隔離保護解決案を提供する。したがって、本発明の隔離保護システムは、産業現場情報ネットワークと制御ネットワーク間のデータの安全なやり取りに特に適している。
最後に説明しておくべきことは、以上の実施例は本発明の技術案の説明にのみ用いられるもので、本発明を制限するものではなく、好ましい実施例を参照して本発明に対して詳しい説明を行ったが、当業者は、本発明の技術案の精神と範囲を超えなければ、本発明の技術案に修正もしくは同等の置換を行なってもよいように理解すべきである。
1 隔離保護システム
N1 第1の通信方
N2 第2の通信方
10 第1の保護装置
20 第2の保護装置
4 双方向データ伝送モジュール
CPU1、CPU2 CPU
A1、A2 第1のインタフェース
B1、B2 第2のインタフェース
F1、F2 フィルタリングモジュール
C1、C2 伝送通路

Claims (10)

  1. 通信双方の一方及び他方の通信装置にそれぞれ接続される第1の保護装置(10)及び第2の保護装置(20)と、
    前記第1の保護装置(10)と前記第2の保護装置(20)の間に設けられ、前記第1の保護装置(10)と前記第2の保護装置(20)とを接続すると共に、専用通信プロトコルに基づき前記第1の保護装置(10)が出力したデータを前記第2の保護装置(20)へ伝送し、前記第2の保護装置(20)が出力したデータを前記第1の保護装置(10)へ出力する双方向データ伝送モジュール(4)とを備え、
    通信回線に設置され、前記通信双方の通信装置を隔離保護する隔離保護システムであって、
    前記第1の保護装置(10)と前記第2の保護装置(20)は完全に独立したハードウェア構造を具備し、且つ独立したCPU(CPU1、CPU2)でそれぞれ動作し、前記第1の保護装置(10)と前記第2の保護装置(20)はそれぞれ、
    接続された通信方の通信装置からデータストリームのパケットを受信し、他方の通信方からのデータを、接続された通信装置に出力する第1のインタフェース(A1、A2)と、
    前記第1のインタフェース(A1、A2)から受信したデータストリームに対してフィルタリング検査を実行し、セキュリティ要求に適合したデータを出力するフィルタリングモジュール(F1、F2)と、
    前記セキュリティ要求に適合したデータを受信し、当該セキュリティ要求に適合したデータを前記双方向データ伝送モジュール(4)に伝送する第2のインタフェース(B1、B2)と、
    前記第2のインタフェース(B2、B1)からのデータを前記第1のインタフェース(A1、A2)へ伝送する伝送通路(C1、C2)と、
    を備えることを特徴とする隔離保護システム。
  2. 前記通信方の通信装置がコンピュータ、サーバ、またはその他ネットワーク情報の入力/出力装置である、請求項1に記載の隔離保護システム。
  3. 前記フィルタリングモジュール(F1、F2)は、伝送するデータストリームのパケットに対して基本的ファイアウォール検査を実行する内蔵ファイアウォールモジュール(K1、K2)と、深いレベルのパケットフィルタリングを実行するパケットフィルタリングモジュール(S1、S2)とを備える、請求項1に記載の隔離保護システム。
  4. 前記内蔵ファイアウォールモジュール(K1、K2)はデータストリームのパケットに対してヘッダ内容検査を実行し、前記パケットフィルタリングモジュール(S1、S2)はデータストリームのパケットに対してパケットボディ内容検査を実行する、請求項3に記載の隔離保護システム。
  5. 前記ヘッダ内容はIPアドレス、MACアドレス、プロトコル類型情報、ポート情報を含み、前記パケットボディ内容は通信先、通信元、通信目的、通信類型、通信内容を含む、請求項4に記載の隔離保護システム。
  6. 前記パケットフィルタリングモジュール(S1、S2)には、産業用通信プロトコルに対応し得るフィルタリングリストがそれぞれ内蔵されている、請求項1に記載の隔離保護システム。
  7. 完全に独立したハードウェア構造を具備し、且つ独立したCPU(CPU1、CPU2)でそれぞれ動作する第1の保護装置(10)と第2の保護装置(20)を通信回線に設置し、通信双方の通信装置にそれぞれ振り分けるステップと、
    第1の保護装置(10)と第2の保護装置(20)に設けられたフィルタリングモジュール(F1、F2)により、伝送するデータストリームのパケットにフィルタリング検査を実行するステップと、
    を含むことを特徴とする、請求項1の隔離保護システムを採用して双方向パケットフィルタリング検査を実行する方法。
  8. 前記フィルタリング検査には、
    伝送するデータストリームのパケットに対して基本的ファイアウォール検査を実行すること、及び、
    伝送するデータストリームのパケットに対して深いレベルのパケットフィルタリングを実行することを含む、請求項7に記載の方法。
  9. 前記伝送するデータストリームのパケットに対して実行する基本的ファイアウォール検査は、データストリームのパケット対してヘッダ内容検査を実行することを含み、
    前記伝送するデータストリームのパケットに対して実行する深いレベルのパケットフィルタリングは、データストリームのパケットにパケットボディ内容検査を実行することを含む、請求項8に記載の方法。
  10. 前記ヘッダ内容はIPアドレス、MACアドレス、プロトコル類型情報、ポート情報を含み、前記パケットボディ内容は通信先、通信元、通信目的、通信類型、通信内容を含む、請求項9に記載の方法。
JP2015552998A 2013-01-22 2014-01-22 隔離保護システム及びそれが双方向パケットフィルタリング検査を実行する方法 Active JP6269683B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201310023542.6 2013-01-22
CN201310023542.6A CN103944865B (zh) 2013-01-22 2013-01-22 隔离保护系统及其执行双向数据包过滤检查的方法
PCT/CN2014/071101 WO2014114232A1 (zh) 2013-01-22 2014-01-22 隔离保护系统及其执行双向数据包过滤检查的方法

Publications (2)

Publication Number Publication Date
JP2016507979A true JP2016507979A (ja) 2016-03-10
JP6269683B2 JP6269683B2 (ja) 2018-01-31

Family

ID=51192352

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015552998A Active JP6269683B2 (ja) 2013-01-22 2014-01-22 隔離保護システム及びそれが双方向パケットフィルタリング検査を実行する方法

Country Status (3)

Country Link
JP (1) JP6269683B2 (ja)
CN (1) CN103944865B (ja)
WO (1) WO2014114232A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021528915A (ja) * 2018-06-26 2021-10-21 オラクル・インターナショナル・コーポレイション マルチプルトランザクション機能応用部(tcap)オペレーションコード(オペコード)スクリーニングのための方法、システムおよびコンピュータ読取可能媒体

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2916511B1 (en) * 2014-03-07 2020-02-12 Airbus Opérations SAS High assurance security gateway interconnecting different domains
EP3139548B1 (en) * 2015-09-04 2018-04-11 Airbus Operations High assurance segregated gateway interconnecting different domains
CN106533877A (zh) * 2015-12-17 2017-03-22 郭爱波 以太网单向传输环
DE102016222617A1 (de) 2016-11-17 2018-05-17 Siemens Aktiengesellschaft Schutzvorrichtung und Netzwerkverkabelungsvorrichtung zur geschützten Übertragung von Daten
CN107070907A (zh) * 2017-03-31 2017-08-18 杭州通悟科技有限公司 内外网数据单向传输方法及系统
CN107196931B (zh) * 2017-05-17 2020-09-08 南京南瑞继保电气有限公司 一种基于网络隔离装置的深度报文检测方法
CN107948139B (zh) * 2017-11-09 2021-04-20 南京捷安信息科技有限公司 一种基于安全策略管控的变电站监控网络调试方法
CN108833340A (zh) * 2018-04-26 2018-11-16 浙江麦知网络科技有限公司 一种室内网络通信安全保护系统
CN110247924A (zh) * 2019-06-25 2019-09-17 深圳市利谱信息技术有限公司 基于物理传输的双向传输及控制系统和数据传输方法
CN113472727B (zh) * 2020-03-31 2023-02-17 北京中科网威信息技术有限公司 一种数据同步方法、装置、电子设备及存储介质
CN112261032B (zh) * 2020-10-19 2023-10-17 中国石油化工股份有限公司 基于实时数据传输的工业互联网网络安全防护方法和系统
CN114024753A (zh) * 2021-11-08 2022-02-08 中铁信安(北京)信息安全技术有限公司 一种数据通信双向摆渡隔离装置和方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006094377A (ja) * 2004-09-27 2006-04-06 Oki Electric Ind Co Ltd アクセス制御装置、アクセス制御方法およびアクセス制御プログラム
JP2006295649A (ja) * 2005-04-12 2006-10-26 Toshiba Corp セキュリティゲートウェイシステムとその方法およびプログラム
JP2012065287A (ja) * 2010-09-17 2012-03-29 Toshiba Corp セキュリティゲートウェイシステムとその方法

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5757924A (en) * 1995-09-18 1998-05-26 Digital Secured Networks Techolognies, Inc. Network security device which performs MAC address translation without affecting the IP address
US6272538B1 (en) * 1996-07-30 2001-08-07 Micron Technology, Inc. Method and system for establishing a security perimeter in computer networks
CN101540668B (zh) * 2008-03-18 2011-06-22 联想(北京)有限公司 一种数据处理设备
CN101668002A (zh) * 2008-09-03 2010-03-10 英业达股份有限公司 具有数据包过滤的网络接口卡及其过滤方法
CN102014010B (zh) * 2010-12-31 2013-04-03 北京网康科技有限公司 一种网络行为管理系统及方法
US9065799B2 (en) * 2011-04-15 2015-06-23 Lockheed Martin Corporation Method and apparatus for cyber security
CN102685119A (zh) * 2012-04-28 2012-09-19 上海杰之能信息科技有限公司 数据发送/接收方法及装置、传输方法及系统、服务器

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006094377A (ja) * 2004-09-27 2006-04-06 Oki Electric Ind Co Ltd アクセス制御装置、アクセス制御方法およびアクセス制御プログラム
JP2006295649A (ja) * 2005-04-12 2006-10-26 Toshiba Corp セキュリティゲートウェイシステムとその方法およびプログラム
JP2012065287A (ja) * 2010-09-17 2012-03-29 Toshiba Corp セキュリティゲートウェイシステムとその方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021528915A (ja) * 2018-06-26 2021-10-21 オラクル・インターナショナル・コーポレイション マルチプルトランザクション機能応用部(tcap)オペレーションコード(オペコード)スクリーニングのための方法、システムおよびコンピュータ読取可能媒体
JP7273070B2 (ja) 2018-06-26 2023-05-12 オラクル・インターナショナル・コーポレイション マルチプルトランザクション機能応用部(tcap)オペレーションコード(オペコード)スクリーニングのための方法、システムおよびコンピュータ読取可能媒体

Also Published As

Publication number Publication date
JP6269683B2 (ja) 2018-01-31
CN103944865B (zh) 2018-11-27
CN103944865A (zh) 2014-07-23
WO2014114232A1 (zh) 2014-07-31

Similar Documents

Publication Publication Date Title
JP6269683B2 (ja) 隔離保護システム及びそれが双方向パケットフィルタリング検査を実行する方法
US9762429B2 (en) Control protocol encapsulation
JP6518771B2 (ja) セキュリティシステム、通信制御方法
JP7075886B2 (ja) ブロードキャストバスフレームフィルタ
US10474613B1 (en) One-way data transfer device with onboard system detection
CN104519065B (zh) 一种支持过滤Modbus TCP协议的工控防火墙实现方法
CN107612679B (zh) 一种基于国密算法的以太网桥加扰终端
CA3086589C (en) One-way data transfer device with onboard system detection
EP3180705B1 (en) End point secured network
US20150341315A1 (en) Network Security Device
US9591025B2 (en) IP-free end-point management appliance
GB2557010A (en) Method and device for filtering packets
KR101453980B1 (ko) 패킷 중계 장치 및 반도체 제조설비의 패킷 전송 장치
CN105721453A (zh) 一种网络隔离系统和网络录像机
JP2020021338A (ja) 監視制御装置
US11954235B1 (en) One-way communication data diode on a chip
KR20070073293A (ko) 다중 포트를 지원하는 침입 방지 시스템 및 그 침입 방지 방법
CN107196802A (zh) 一种带外网管系统
Kurukkankunnel Joy et al. A Study of Intrusion detection on PROFINET Network by Improving SNORT
CN107248982A (zh) 一种工业无线设备接入装置
TWM580828U (zh) 分析場域中的網路攻擊的乙太網路供電橋接器
JP2008067382A (ja) イーサネット(登録商標)・チェーニングネットワークおよび方法
JP2013255141A (ja) 認証スイッチ
JP2014204183A (ja) ネットワーク制御装置及び方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160415

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170407

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170418

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170613

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170926

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20171114

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20171205

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20171218

R150 Certificate of patent or registration of utility model

Ref document number: 6269683

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150