JP6269683B2 - Quarantine protection system and method it performs bi-directional packet filtering inspection - Google Patents

Quarantine protection system and method it performs bi-directional packet filtering inspection Download PDF

Info

Publication number
JP6269683B2
JP6269683B2 JP2015552998A JP2015552998A JP6269683B2 JP 6269683 B2 JP6269683 B2 JP 6269683B2 JP 2015552998 A JP2015552998 A JP 2015552998A JP 2015552998 A JP2015552998 A JP 2015552998A JP 6269683 B2 JP6269683 B2 JP 6269683B2
Authority
JP
Japan
Prior art keywords
communication
protection device
packet
filtering
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015552998A
Other languages
Japanese (ja)
Other versions
JP2016507979A (en
Inventor
▲レイ▼ ▲楊▼
▲レイ▼ ▲楊▼
▲ジャン▼楠 ▲楊▼
▲ジャン▼楠 ▲楊▼
岳云 ▲趙▼
岳云 ▲趙▼
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yokogawa Electric Corp
Original Assignee
Yokogawa Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yokogawa Electric Corp filed Critical Yokogawa Electric Corp
Publication of JP2016507979A publication Critical patent/JP2016507979A/en
Application granted granted Critical
Publication of JP6269683B2 publication Critical patent/JP6269683B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は、通信回線において使用される隔離保護システム及びそれが双方向パケットフィルタリング検査を実行する方法に関するものであり、通信経路(例えば、通信ネットワーク間、ゲートウェイ経路中、異なる通信端末間)に設置され、ネットワークの安全を保障し、通信双方の装置の隔離保護及びその双方向パケットフィルタリング検査を実現する。本発明は、特に産業現場での情報ネットワークと制御ネットワークに適している。   The present invention relates to an isolation protection system used in a communication line and a method for performing a bidirectional packet filtering inspection, and is installed in a communication path (for example, between communication networks, in a gateway path, between different communication terminals). In this way, the security of the network is ensured, and both devices for communication are isolated and the two-way packet filtering inspection is realized. The present invention is particularly suitable for information networks and control networks at industrial sites.

従来の産業現場の情報ネットワークと制御ネットワーク間に配置されるセキュリティ製品には、ファイアウォール或いはゲートウェイ製品が数多く採用されている。   Many firewall or gateway products are employed as security products arranged between an information network and a control network in an industrial field.

従来のファイアウォール技術には、産業用通信プロトコルへの対応が不十分であるという問題が存在する。例えば、産業現場においてOPC産業用プロトコルを採用する場合に、1024から65535までの動的なポートを使用する必要があるため、ファイアウォールは上記範囲内のすべてのポートを開放しなければならず、このようにすることでネットワークセキュリティのリスクが著しく高まる。また、ファイアウォールはIPレイヤの読み取り制御を実現しているが、データに対する読み取り制御はできない。ファイアウォールは一般のネットワークのデータリンクレイヤ、ネットワークレイヤ、トランスポートレイヤに対する検査ができるが、アプリケーションレイヤの検査機能には一定の不備が存在し、特に産業用プロトコルに対する検査機能には欠陥がある。   The conventional firewall technology has a problem in that it is insufficiently compatible with industrial communication protocols. For example, when adopting the OPC industrial protocol in an industrial setting, it is necessary to use a dynamic port from 1024 to 65535, so the firewall must open all ports within the above range. By doing so, the risk of network security is significantly increased. In addition, the firewall implements IP layer read control, but cannot read data. Although the firewall can inspect the data link layer, network layer, and transport layer of a general network, there are certain deficiencies in the inspection function of the application layer, and in particular, the inspection function for the industrial protocol is defective.

ゲートウェイ技術は、まず、制御システムネットワークのサーバからデータを収集し、ゲートウェイが制御システムネットワークのサーバの機能を代行し、MES/ERPレイヤのクライアント端末がゲートウェイを通じてデータを採集することにより、制御システムネットワークのサーバを防護するという目的を達成する。ゲートウェイ技術に存在する不備は、ゲートウェイ製品が自己のIPアドレスを持つという点であり、既に配置済みの制御システムネットワークであっても、そのMES/ERPレイヤのクライアント端末は、やはり設定しなおす必要がある(サーバのIP及びサーバ名などを変更し、ゲートウェイサーバを登録する)。そのほか、ゲートウェイのファイアウォール機能は不十分であり、ゲートウェイ製品にIPアドレスがあるため、攻撃を受ける恐れがある。ゲートウェイ製品に侵入された場合、制御システムにおける装置のリスクが高まる。   The gateway technology first collects data from the server of the control system network, the gateway acts as the server function of the control system network, and the client terminal of the MES / ERP layer collects the data through the gateway. Achieve the goal of protecting your server. The deficiency in the gateway technology is that the gateway product has its own IP address, and even if it is an already deployed control system network, the MES / ERP layer client terminals still need to be reconfigured. Yes (change the server IP and server name, etc. and register the gateway server). In addition, the firewall function of the gateway is insufficient, and the gateway product has an IP address, so there is a risk of being attacked. Intrusion into gateway products increases the risk of equipment in the control system.

ネットワークセキュリティの保護、特に産業現場応用ネットワークを保護する従来技術として、例えば、中国特許公開CN101014048(出願日2007年2月12日、出願番号200710063822.4、発明名称:分散型ファイアウォールシステム及びファイアウォール内容の検出を実現する方法)、及びトフィーノ(TOFINO)産業ネットワークセキュリティ保護技術(以下リンクから確認可http://www.doc88.com/p-649582721525.html)を参照することができる。上記先行技術を背景技術として、本願に組み合わせて参考とする。   As a conventional technology for protecting network security, particularly industrial field application networks, for example, Chinese Patent Publication CN101014048 (Filing Date February 12, 2007, Filing Number 200710063822.4, Invention Name: Distributed Firewall System and Firewall Content Detection To realize), and TOFINO industrial network security protection technology (which can be confirmed from the following link http://www.doc88.com/p-649582721525.html). The above prior art is used as a background technology for reference in combination with the present application.

上記の先行技術を図1のブロック図を用いて説明することができる。通信の双方(N1、N2)の通信回線にはセキュリティ保護装置100が設けられ、そのうちフィルタリングモジュールF0が「往復」のパケットにフィルタリングを行なう。上記先行技術の不備は、従来技術におけるファイアウォールセキュリティフィルタリングモジュールが、すべて一つのCPU上で実行されるという点である。このような状況において、一方の通信方から他方の通信方へとデータを伝送する際にファイアウォールが攻撃されると、ファイアウォール全体が一つのCPUにて実行されているため、セキュリティファイアウォール全体が破壊され、使用することができなくなってしまう。さらに、上記先行技術におけるセキュリティファイアウォール技術はパケット(例えばパケットボディ内容)を深く検査するものではないため、パケットボディ内の奥に潜むウィルスデータが通信装置(N1、N2)の動作を破壊する可能性がある。   The above prior art can be described using the block diagram of FIG. The communication line for both communication (N1, N2) is provided with a security protection device 100, of which the filtering module F0 filters “round trip” packets. The disadvantage of the prior art is that all firewall security filtering modules in the prior art are executed on a single CPU. In such a situation, if a firewall is attacked when transmitting data from one communication method to the other, the entire security firewall is destroyed because the entire firewall is executed by a single CPU. , Can not be used. Furthermore, since the security firewall technology in the above prior art does not inspect the packet (for example, packet body contents) deeply, virus data lurking in the packet body may destroy the operation of the communication device (N1, N2) There is.

本発明が解決しようとする技術課題は、通信回線に設置され、通信双方の通信装置を隔離保護する隔離保護システム及びそれが双方向パケットフィルタリング検査を実行する方法を提供することであり、当該隔離保護システムはそれぞれ通信双方に対応して、独立したCPUで動作する二つの保護装置と、専用通信プロトコルに基づき二つの保護装置の間で双方向データ通信を行なう一つの双方向データ伝送モジュールとを集成しており、通信双方間のパケット伝送の安全性を確保すると同時に、一方の通信方のCPUが攻撃を受け破損した際に、隔離保護システム全体が損壊し使用できなくなることを防止する。   The technical problem to be solved by the present invention is to provide an isolation protection system that is installed in a communication line and isolates and protects both communication apparatuses, and a method for performing a bidirectional packet filtering inspection. The protection system includes two protection devices that operate with independent CPUs, and one bidirectional data transmission module that performs bidirectional data communication between the two protection devices based on a dedicated communication protocol. As a result, the security of packet transmission between both parties is ensured, and at the same time, when the CPU of one communication side is damaged by an attack, the entire isolation protection system is prevented from being damaged and unusable.

このため、本発明では、通信双方の一方及び他方の通信装置にそれぞれ接続される第1の保護装置及び第2の保護装置と、
前記第1の保護装置と前記第2の保護装置の間に設けられ、前記第1の保護装置と前記第2の保護装置とを接続すると共に、専用通信プロトコルに基づき前記第1の保護装置が出力したデータを前記第2の保護装置へ伝送し、前記第2の保護装置が出力したデータを前記第1の保護装置へ出力する双方向データ伝送モジュールとを備え、
通信回線に設置され、前記通信双方の通信装置を隔離保護する隔離保護システムであって、
前記第1の保護装置と前記第2の保護装置は完全に独立したハードウェア構造を具備し、且つ独立したCPUでそれぞれ動作し、前記第1の保護装置と前記第2の保護装置はそれぞれ、
接続された通信方の通信装置からデータストリームのパケットを受信し、他方の通信方からのデータを、接続された通信装置に出力する第1のインタフェースと、
前記第1のインタフェースから受信したデータストリームに対してフィルタリング検査を実行し、セキュリティ要求に適合したデータを出力するフィルタリングモジュールと、
前記セキュリティ要求に適合したデータを受信し、当該セキュリティ要求に適合したデータを前記双方向データ伝送モジュールに伝送する第2のインタフェースと、
前記第2のインタフェースからのデータを前記第1のインタフェースへ伝送する伝送通路と、
を備えることを特徴とする隔離保護システムを提供する。 Therefore, in the present invention, the first protection device and the second protection device respectively connected to one and the other communication device of both communication,
The first protection device is provided between the first protection device and the second protection device, connects the first protection device and the second protection device, and the first protection device based on a dedicated communication protocol. Transmitting the output data to the second protection device, comprising a bidirectional data transmission module for outputting the data output by the second protection device to the first protection device,
An isolation protection system that is installed in a communication line and isolates and protects both communication apparatuses.
The first protection device and the second protection device each have a completely independent hardware structure and operate with independent CPUs, respectively, the first protection device and the second protection device,
A first interface that receives a packet of a data stream from a communication device of a connected communication method and outputs data from the other communication method to the connected communication device;
A filtering module that performs a filtering check on the data stream received from the first interface and outputs data that meets security requirements;
A second interface for receiving data conforming to the security requirements and transmitting data conforming to the security requirements to the bidirectional data transmission module;
A transmission path for transmitting data from the second interface to the first interface;
An isolation protection system is provided.

本発明の上記隔離保護システムは本発明の「2+1」の構造を採用しており、すなわち、完全に独立したハードウェア構造を具備し、且つ独立したCPUにてそれぞれ動作する第1の保護装置及び第2の保護装置と、第1の保護装置と第2の保護装置の間に接続され通信双方を専用通信プロトコルに基づき通信させる双方向データ伝送モジュールとを備える構造を採用することによって、通信双方間の安全な双方向データ通信を実現する。二つの保護装置が独立したCPUにて動作するため、そのうち一つの保護装置が攻撃を受けたり、物理的に損壊した際に、もう一つの保護装置はその影響を受けることがない。隔離保護システムの二つの保護装置が独立したCPUにて動作するように構成したため、ハードウェア的に独立するように各保護装置を構成することができ、これによりそのうち一つの保護装置が攻撃を受けたり、物理的に損壊した際に、取り替え及び的確な修理とメンテナンスに便宜をはかることができる。このほか、隔離保護システムの二つの保護装置のハードウェア構造が完全に独立しているため、製造にあたり、ハードウェア構造が完全に独立制御される保護装置を個別に製造でき、その後、各保護装置が接続される通信方或いは宛先となる通信方のセキュリティ要求に基づいて、そのハードウェア構造をプログラム化し、従来技術の、一つのCPUにて実行されるファイアウォールセキュリティフィルタリングモジュールと比べて、本発明のこのような配置はハードウェア製造工程全体を簡易化できると同時に、通信双方の装置をそれぞれ保護することができる。このほか、本発明の隔離保護システムが備える、二つの保護装置の間に設けられる双方向データ通信モジュールは、専用通信プロトコルに基づき、通信双方に対する二つの保護装置の間に通信リンクを構築する。言い換えれば、一つの保護装置を通過したデータストリームのパケットは、専用通信プロトコルを満たしている限り、もう一つの保護装置に入ることができるため、双方向データ伝送モジュールは二つの保護装置の間(つまり、通信双方の間)にもう一つの保護防壁を設置している。本発明の隔離保護システムは、保護装置におけるフィルタリングモジュールと双方向データ伝送モジュールによって、通信双方間において安全な双方向データ伝送を実現する。よって、本発明の隔離保護システムは、従来ゲートウェイ技術に存在する、ゲートウェイ製品が自己のIPアドレスを持つ必要があるという問題を解消しており、つまり、通信双方が本発明の隔離保護システムを採用して通信を構築する際、配置済みの各ネットワーク端点を設定しなおす必要がない。このように、IPアドレスがないため、攻撃される可能性は一段と低くなっている。  The isolation protection system of the present invention employs the “2 + 1” structure of the present invention, that is, a first protection that has a completely independent hardware structure and that operates on an independent CPU. By adopting a structure comprising a device and a second protection device, and a bidirectional data transmission module that is connected between the first protection device and the second protection device and makes both communications communicate based on a dedicated communication protocol, Realize secure two-way data communication between both parties. Since two protection devices operate with independent CPUs, when one of the protection devices is attacked or physically damaged, the other protection device is not affected. Since the two protection devices of the isolation protection system are configured to operate with independent CPUs, each protection device can be configured to be independent from the hardware side. Or when it is physically damaged, it can be convenient for replacement and proper repair and maintenance. In addition, since the hardware structures of the two protection devices of the isolation protection system are completely independent, it is possible to individually manufacture protection devices whose hardware structures are completely independently controlled. Based on the security requirements of the communication method to which the communication is connected or the destination communication method, its hardware structure is programmed, and compared with the firewall security filtering module executed by one CPU of the prior art, the present invention Such an arrangement can simplify the entire hardware manufacturing process and at the same time protect both communication devices. In addition, the bidirectional data communication module provided between the two protection devices provided in the isolation protection system of the present invention establishes a communication link between the two protection devices for both communication based on a dedicated communication protocol. In other words, since a packet of a data stream that has passed through one protection device can enter another protection device as long as it satisfies the dedicated communication protocol, the bidirectional data transmission module is between two protection devices ( In other words, another protective barrier is installed between the two). The isolation protection system of the present invention realizes safe bidirectional data transmission between both communications by the filtering module and the bidirectional data transmission module in the protection device. Therefore, the isolation protection system of the present invention solves the problem that the gateway product needs to have its own IP address, which exists in the conventional gateway technology, that is, both communications adopt the isolation protection system of the present invention. Thus, when establishing communication, there is no need to reset each network endpoint that has already been placed. Thus, since there is no IP address, the possibility of being attacked is even lower.

そのうち、前記通信方の通信装置はコンピュータ、サーバ、またはその他ネットワーク情報の入力/出力装置であってよい。  Among them, the communication device may be a computer, a server, or other network information input / output device.

前記フィルタリングモジュールは、伝送するデータストリームのパケットに対して基本的ファイアウォール検査を実行する内蔵ファイアウォールモジュールと、深いレベルのパケットフィルタリングを実行するパケットフィルタリングモジュールとを備えることが好ましい。   The filtering module preferably comprises a built-in firewall module that performs basic firewall inspection on packets of the data stream to be transmitted and a packet filtering module that performs deep level packet filtering.

なお、前記内蔵ファイアウォールモジュールはデータストリームのパケットに対してヘッダ内容検査を実行し、前記パケットフィルタリングモジュールはデータストリームのパケットに対してパケットボディ内容検査を実行することができる。  The built-in firewall module may perform header content inspection on the data stream packets, and the packet filtering module may perform packet body content inspection on the data stream packets.

なお、前記ヘッダ内容はIPアドレス、MACアドレス、プロトコル類型情報、ポート情報を含み、前記パケットボディ内容は通信先、通信元、通信目的、通信類型、通信内容を含む。   The header content includes an IP address, a MAC address, protocol type information, and port information, and the packet body content includes a communication destination, a communication source, a communication purpose, a communication type, and a communication content.

本発明の隔離保護システムの各保護装置に含まれる内蔵ファイアウォールモジュールとパケットフィルタリングモジュールは、流れているデータストリームのパケットに対して順次二つのフィルタリング検査を行い、そのうち、内蔵ファイアウォールモジュールは流れているデータストリームのパケットのヘッダに対して基本的ファイアウォール検査を実行し、パケットフィルタリングモジュールはデータストリームのパケットに深いレベルのパケットフィルタリング検査を実行する。さらに基本的ファイアウォール検査の実行には、データストリームのパケットに対するヘッダ内容検査の実行を含むことができ、データストリームのパケットに対する深いレベルのパケットフィルタリング検査の実行には、データストリームのパケットに対するパケットボディ内容検査の実行を含むことができる。一つの保護装置内において、パケットに対して順次二つのフィルタリング処理を行ない、流れているパケットの安全性を確保する。また、二つの保護装置の間に、双方向データ伝送モジュールをさらに設けるため、当該双方向データ伝送モジュールは専用通信プロトコルに基づき、二つの保護装置の間において更なる防護を行なう。よって、一つの保護装置において、内蔵ファイアウォールモジュールとパケットフィルタリングモジュールによる二つのフィルタリング検査処理を通過した安全でないパケットは、専用通信プロトコルを満たさない場合、双方向データ伝送モジュールを通過してもう一つの保護装置に入ることはできず、言い換えれば、内蔵ファイアウォールモジュールとパケットフィルタリングモジュールを通過した後、安全でないパケットの更なる伝送は双方向データ通信モジュールによって遮断され、通信双方のデータ伝送の安全性をさらに向上させている。   The built-in firewall module and the packet filtering module included in each protection device of the isolation protection system of the present invention sequentially perform two filtering inspections on the packets of the flowing data stream, of which the built-in firewall module flows. A basic firewall check is performed on the stream packet header, and the packet filtering module performs a deep level packet filtering check on the data stream packets. Further, performing basic firewall inspection may include performing header content inspection on data stream packets, and performing deep level packet filtering inspection on data stream packets may include packet body content on data stream packets. It may include performing an inspection. Within one protection device, two filtering processes are sequentially performed on the packets to ensure the safety of the flowing packets. In addition, since a bidirectional data transmission module is further provided between the two protection devices, the bidirectional data transmission module provides further protection between the two protection devices based on a dedicated communication protocol. Therefore, in one protection device, an insecure packet that has passed two filtering inspection processes by the built-in firewall module and the packet filtering module passes through the bidirectional data transmission module if the dedicated communication protocol is not satisfied. In other words, after passing through the built-in firewall module and the packet filtering module, further transmission of insecure packets is blocked by the two-way data communication module, further increasing the security of data transmission for both communications. It is improving.

前記パケットフィルタリングモジュールには、産業用通信プロトコルに対応し得るフィルタリングリストがそれぞれ内蔵されていることが好ましい。   The packet filtering module preferably has a built-in filtering list that can support an industrial communication protocol.

本発明の隔離保護システムにおいて、各保護装置におけるパケットフィルタリングモジュールが産業用プロトコルのアプリケーションデータを検査することができるため、本発明のネットワーク隔離保護システムは産業用通信プロトコルを充分に対応し、アプリケーションレイヤに対する検査機能を強化しており、産業現場情報ネットワークと制御ネットワークに容易に応用することができる。   In the isolation protection system of the present invention, since the packet filtering module in each protection device can inspect the application data of the industrial protocol, the network isolation protection system of the present invention sufficiently supports the industrial communication protocol, and the application layer The inspection function is strengthened and can be easily applied to industrial field information networks and control networks.

本発明では、完全に独立したハードウェア構造を具備し、且つ独立したCPUでそれぞれ動作する第1の保護装置と第2の保護装置を通信回線に設置し、通信双方の通信装置にそれぞれ振り分けるステップと、
第1の保護装置と第2の保護装置に設けられたフィルタリングモジュールにより、伝送するデータストリームのパケットにフィルタリング検査を実行するステップと、
を含むことを特徴とする、上記の隔離保護システムを採用して双方向パケットフィルタリング検査を実行する方法をさらに提供する。 In the present invention, the first protection device and the second protection device each having a completely independent hardware structure and operating with independent CPUs are installed on the communication line, and the steps are assigned to both communication devices. When,
Performing a filtering check on packets of a data stream to be transmitted by a filtering module provided in the first protection device and the second protection device;
There is further provided a method for performing a bidirectional packet filtering test employing the above-described isolation protection system.

なお、前記フィルタリング検査には、
伝送するデータストリームのパケットに対して基本的ファイアウォール検査を実行すること、及び、
伝送するデータストリームのパケットに対して深いレベルのパケットフィルタリングを実行することを含む。 The filtering inspection includes
Performing basic firewall checks on the packets of the data stream to be transmitted; and
Performing deep level packet filtering on the packets of the data stream to be transmitted.

なお、前記伝送するデータストリームのパケットに対して実行する基本的ファイアウォール検査は、データストリームのパケットに対してヘッダ内容検査を実行することを含み、前記伝送するデータストリームのパケットに対して実行する深いレベルのパケットフィルタリングは、データストリームのパケットにパケットボディ内容検査を実行することを含む。  Note that the basic firewall inspection performed on the packet of the data stream to be transmitted includes performing a header content inspection on the packet of the data stream, and is executed deeply on the packet of the data stream to be transmitted. Level packet filtering involves performing packet body content inspection on packets of the data stream.

なお、前記ヘッダ内容はIPアドレス、MACアドレス、プロトコル類型情報、ポート情報を含み、前記パケットボディ内容は通信先、通信元、通信目的、通信類型、通信内容を含む。  The header content includes an IP address, a MAC address, protocol type information, and port information, and the packet body content includes a communication destination, a communication source, a communication purpose, a communication type, and a communication content.

本発明の、通信回線に設置され通信双方の通信装置を隔離保護する隔離保護システム及びそれが双方向パケットフィルタリング検査を実行する方法によれば、保護装置における内蔵ファイアウォールモジュールによって、データリンクレイヤ、ネットワークレイヤ、トランスポートレイヤにおいてパケットに対してフィルタリング検査を行うことができ、また保護装置におけるパケットフィルタリングモジュールによってパケットに深いレベルのフィルタリング検査を行って通信双方の間に双方向データ通信を構築できることで、本発明の隔離保護システム及びそれが双方向パケットフィルタリング検査を実行する方法が通信双方の双方向データ伝送の安全性を実現できるだけでなく、本発明の隔離保護システムが備える、通信双方に対する第1の保護装置と第2の保護装置が互いに独立したCPUにて動作するため、そのうち一つの保護装置が攻撃を受けたり物理的に損壊した際に、もう一つの保護装置はその影響を受けることはない。   According to the isolation protection system for isolating and protecting both communication apparatuses installed in a communication line and the method for performing a bidirectional packet filtering inspection according to the present invention, the data link layer, the network, and the network are provided by the built-in firewall module in the protection apparatus. Filtering inspection can be performed on the packet in the layer and transport layer, and the packet filtering module in the protection device can perform a deep level filtering inspection on the packet to construct two-way data communication between both communication, The isolation protection system of the present invention and the method in which it performs the bidirectional packet filtering inspection can not only realize the security of bidirectional data transmission of both communication, but also the both of the communication provided by the isolation protection system of the present invention. Since one protection device and the second protection device operate with independent CPUs, when one of the protection devices is attacked or physically damaged, the other protection device is affected. There is no.

従来技術のセキュリティファイアウォール製品の原理模式図である。It is a principle schematic diagram of the security firewall product of the prior art. 本発明実施例1の隔離保護システムのブロック図である。1 is a block diagram of an isolation protection system according to Embodiment 1 of the present invention. 本発明実施例2の隔離保護システムのブロック図である。It is a block diagram of the isolation protection system of Example 2 of the present invention. 本発明の実施例2の隔離保護システムによって、クライアント端末からサーバへとデータを伝送する際に実行されるパケットフィルタリング検査の方法のフロー図である。FIG. 10 is a flowchart of a packet filtering inspection method executed when data is transmitted from a client terminal to a server by the isolation protection system according to the second embodiment of the present invention. 本発明の実施例2の隔離保護システムによって、サーバからクライアント端末へとデータを伝送する際に実行されるパケットフィルタリング検査の方法のフロー図である。FIG. 10 is a flowchart of a packet filtering inspection method executed when data is transmitted from a server to a client terminal by the isolation protection system according to the second exemplary embodiment of the present invention.

図を組み合わせた下記の説明により、本発明をより容易に理解できるとともに、それに付随する利点と特徴をより容易に理解できる。   The following description in conjunction with the drawings will make it easier to understand the invention and the advantages and features associated therewith.

本発明の内容をより明確にするため、及び、理解しやすくするため、以下、図を組み合わせて本発明の具体的な実施例について詳しく説明する。本発明において、例を挙げて本発明が提案した隔離保護システム及びそれが双方向パケットフィルタリング検査を実行する方法について説明を行う。しかし、本発明は公開している好ましい実施例の具体的な形態に限らない。当業者は本発明で公開している内容に基づき、本発明に対して修正と変形を行うことができる。これらの修正と変形も請求項によって限定される本発明の請求範囲に含まれるべきである。  In order to make the content of the present invention clearer and easier to understand, specific embodiments of the present invention will be described in detail below in combination with the drawings. In the present invention, by way of example, the isolation protection system proposed by the present invention and the method by which it performs a bidirectional packet filtering check will be described. However, the present invention is not limited to the specific form of the disclosed preferred embodiment. Those skilled in the art can make modifications and variations to the present invention based on the contents disclosed in the present invention. These modifications and variations are intended to be included within the scope of the present invention, which is limited by the claims.

本発明は、従来の産業現場の情報ネットワークと制御ネットワーク間に配置されるセキュリティ製品の多くがファイアウォールもしくはゲートウェイ製品を採用していること、及び、従来技術において一つのCPUにて実行されるファイアウォール製品だけで双方向データ伝送の安全性を実現するという課題に対して、隔離保護システム及びそれが双方向パケットフィルタリング検査を実行する方法を提供している。通信双方の間において安全な双方向データ伝送を実現するために、本発明が提供する、通信回線に設置され通信双方の通信装置を隔離保護する隔離保護システムは、本発明の「2+1」構造を採用し(すなわち、通信双方に対応して、互いに独立した二つのCPUにてそれぞれ動作する二つの保護装置と、二つの保護装置の間を接続し、専用通信プロトコルによって二つの保護装置間のデータ伝送を制御する一つの双方向データ伝送モジュールとの構造)、通信双方間で安全な双方向データ伝送を構築する。そのうち、通信双方に対する二つの保護装置がそれぞれが独立したCPUにて動作するため、一方の通信方に対する保護システムが攻撃を受けたり物理的に損壊した際に、もう一つの通信方に対する保護装置はその影響を受けることがない。隔離保護システムの二つの保護装置が独立したCPUにて動作する構造のため、ハードウェア的に独立するように各保護装置を構成することができ、これによりそのうち一つの保護装置が攻撃を受けたり、物理的に損壊した際に、取り外しと交換を容易に行なうことができる。このほか、隔離保護システムの二つの保護装置のハードウェア構造が完全に独立しているため、ハードウェア構造が完全に独立制御される保護装置を個別に製造でき、各保護装置が接続される通信方或いは宛先となる通信方のセキュリティ要求に基づいて、そのハードウェア構造をプログラム化し(主に通信プロトコルの配置に関する)、従来技術の、一つのCPUにて実行されるファイアウォールセキュリティフィルタリングモジュールと比べて、本発明のこのような配置はハードウェア製造工程全体を簡易化できると同時に、通信双方の装置をそれぞれ保護することができる。このほか、隔離保護システムにおける双方向データ通信モジュールは専用通信プロトコルによって、通信双方に対する二つの保護装置の間に通信リンクを構築する。言い換えれば、一つの保護装置を通過したデータストリームは、専用通信プロトコルを満たしている限り、もう一つの保護装置に入ることができるため、双方向データ伝送モジュールは二つの保護装置の間(つまり、通信双方の間)にもう一つの保護防壁を設置している。これにより、従来ゲートウェイ技術に存在する、ゲートウェイ製品が自己のIPアドレスを持つ必要があるという問題も解消しており、つまり、ネットワーク間に、本発明の隔離保護システムを採用してデータ通信を構築する際、配置済みの各ネットワーク端点を設定しなおす必要がない。このように、IPアドレスがないため、攻撃される可能性は一段と低くなっている。  In the present invention, many security products arranged between an information network and a control network in an industrial field employ a firewall or a gateway product, and a firewall product that is executed by a single CPU in the prior art. In response to the problem of realizing the security of bidirectional data transmission alone, an isolation protection system and a method for performing a bidirectional packet filtering inspection are provided. In order to realize secure two-way data transmission between both communication, the isolation protection system provided by the present invention for isolating and protecting both communication apparatuses installed on the communication line is “2 + 1” of the present invention. Adopting a structure (that is, two protection devices that operate on two CPUs that are independent of each other, corresponding to both communications, and two protection devices are connected, and the two protection devices are connected by a dedicated communication protocol. The structure of one bidirectional data transmission module that controls the data transmission of the communication) and a secure bidirectional data transmission between both the communication are constructed. Among them, since two protection devices for both communications operate on independent CPUs, when the protection system for one communication method is attacked or physically damaged, the protection device for the other communication method is It will not be affected. Since the two protection devices of the isolation protection system operate with independent CPUs, each protection device can be configured to be independent from the hardware, so that one of the protection devices can be attacked. When it is physically damaged, it can be easily removed and replaced. In addition, since the hardware structures of the two protection devices of the isolation protection system are completely independent, it is possible to individually manufacture protection devices whose hardware structures are completely independently controlled, and to which each protection device is connected. Based on the security requirements of the destination or destination communication method, the hardware structure is programmed (mainly related to the communication protocol layout), compared to the firewall security filtering module that is executed by a single CPU in the prior art. Such an arrangement of the present invention can simplify the entire hardware manufacturing process and at the same time protect both communication devices. In addition, the two-way data communication module in the isolation protection system establishes a communication link between two protection devices for both communication by a dedicated communication protocol. In other words, since the data stream that has passed through one protection device can enter another protection device as long as it satisfies the dedicated communication protocol, the bidirectional data transmission module is between two protection devices (ie, Another protective barrier is installed between the two). As a result, the problem that the gateway product needs to have its own IP address, which exists in the conventional gateway technology, has been solved. In other words, the isolation protection system of the present invention is adopted between the networks to construct the data communication. When doing so, there is no need to reconfigure each network endpoint that has been placed. Thus, since there is no IP address, the possibility of being attacked is even lower.

以下、図面を参照して本発明の隔離保護システムについて説明する。   The isolation protection system of the present invention will be described below with reference to the drawings.

図2は本発明の実施例1の隔離保護システム1のブロック図である。本発明の隔離保護システム1は、第1の通信方N1と第2の通信方N2の間において、安全な双方向データ通信を実現するよう、第1の通信方N1と第2の通信方N2の間に設置することができる。そのうち、第1の通信方N1と第2の通信方N2の通信装置はコンピュータ、サーバー或いはその他ネットワーク情報の入力/出力装置であってよい。図2に示すように、隔離保護システム1は第1の保護装置10と、第2の保護装置20と、双方向データ伝送モジュール4を備えることが可能で、すなわち、本発明の「2+1」構造である。第1の保護装置10と第2の保護装置20は、双方向データ伝送モジュール4によって双方向データ通信を行なう。双方向データ伝送モジュール4には専用通信プロトコルが内蔵されており、これは専用通信プロトコルハードウェアまたは専用通信プロトコルソフトウェア、或いは両者の組み合わせでもよく、第1の保護装置10と第2の保護装置20の間に安全な防壁を構築し、当該専用通信プロトコルに適合するパケットを通過させ、当該専用通信プロトコルに適合しないパケットはブロック・遮断され、第1の保護装置10と第2の保護装置20の間の安全なデータのやり取りを確保する。   FIG. 2 is a block diagram of the isolation protection system 1 according to the first embodiment of the present invention. The isolation protection system 1 according to the present invention provides a first communication method N1 and a second communication method N2 so as to realize secure bidirectional data communication between the first communication method N1 and the second communication method N2. Can be installed between. Among them, the communication devices of the first communication method N1 and the second communication method N2 may be computers, servers, or other network information input / output devices. As shown in FIG. 2, the isolation protection system 1 can include a first protection device 10, a second protection device 20, and a bidirectional data transmission module 4, that is, “2 + 1” of the present invention. Is the structure. The first protection device 10 and the second protection device 20 perform bidirectional data communication by the bidirectional data transmission module 4. The bidirectional data transmission module 4 contains a dedicated communication protocol, which may be dedicated communication protocol hardware or dedicated communication protocol software, or a combination of the two, and the first protection device 10 and the second protection device 20. A safe barrier is constructed between the first protection device 10 and the second protection device 20 to allow packets that conform to the dedicated communication protocol to pass, and packets that do not conform to the dedicated communication protocol are blocked or blocked. Ensure secure exchange of data between.

図2に示すように、第1の保護装置10は、第1の通信方N1と双方向データ通信を行なう第1のインタフェースA1及び、双方向データ伝送モジュール4と双方向通信を行なう第2のインタフェースB1を備えている。第1の保護装置10にはフィルタリングモジュールF1と、第2のインタフェースB1からのパケットを第1のインタフェースA1に伝送する伝送通路C1がさらに含まれる。フィルタリングモジュールF1は第1のインタフェースA1と第2のインタフェースB1の間に設けられており、第1のインタフェースA1から受信した、第1の通信方N1から第2の通信方N2へと伝送しようとするパケットに対してフィルタリング検査を行い、当該フィルタリングモジュールF1内蔵の、セキュリティ要求とする通信プロトコルに適合するパケットを第2のインタフェースB1へ出力する。第2のインタフェースB1は、フィルタリングモジュールF1のフィルタリング検査を通過したパケットを双方向データ伝送モジュール4に出力し、双方向データ伝送モジュール4は専用通信プロトコルに基づき、第1の保護装置10が第2のインタフェースB1によって出力したデータを第2の保護装置20へ伝送する。  As shown in FIG. 2, the first protection device 10 includes a first interface A1 that performs bidirectional data communication with the first communication method N1, and a second interface that performs bidirectional communication with the bidirectional data transmission module 4. Interface B1 is provided. The first protection device 10 further includes a filtering module F1 and a transmission path C1 for transmitting packets from the second interface B1 to the first interface A1. The filtering module F1 is provided between the first interface A1 and the second interface B1, and attempts to transmit the first communication method N1 received from the first interface A1 to the second communication method N2. A filtering check is performed on the packet to be output, and a packet that is built in the filtering module F1 and that conforms to the communication protocol as a security request is output to the second interface B1. The second interface B1 outputs a packet that has passed the filtering inspection of the filtering module F1 to the bidirectional data transmission module 4. The bidirectional data transmission module 4 is based on a dedicated communication protocol, and the first protection device 10 The data output by the interface B1 is transmitted to the second protection device 20.

第2の保護装置20はハードウェア構造上、第1の保護装置10とは完全に独立している。第2の保護装置20は、第2の通信方N2と双方向データ通信を行う第1のインタフェースA2及び、双方向データ伝送モジュール4と双方向通信を行なう第2のインタフェースB2を備えている。第2の保護装置20には、フィルタリングモジュールF2と、第2のインタフェースB2からのパケットを第1のインタフェースA2に伝送する伝送通路C2がさらに含まれる。フィルタリングモジュールF2は第1のインタフェースA2と第2のインタフェースB2の間に設けられており、第1のインタフェースA2から受信した、第2の通信方N2から第1の通信方N1へ伝送しようとするパケットに対してフィルタリング検査を行い、当該フィルタリングモジュールF2内蔵の、セキュリティ要求とする通信プロトコルに適合するパケットを第2のインタフェースB2へ出力する。第2のインタフェースB2は、フィルタリングモジュールF2のフィルタリング検査を通過したパケットを双方向データ伝送モジュール4に出力し、双方向データ伝送モジュール4は専用通信プロトコルに基づき、第2の保護装置20が第2のインタフェースB2によって出力したパケットを第1の保護装置10に伝送する。  The second protection device 20 is completely independent of the first protection device 10 in terms of hardware structure. The second protection device 20 includes a first interface A2 that performs bidirectional data communication with the second communication method N2, and a second interface B2 that performs bidirectional communication with the bidirectional data transmission module 4. The second protection device 20 further includes a filtering module F2 and a transmission path C2 for transmitting packets from the second interface B2 to the first interface A2. The filtering module F2 is provided between the first interface A2 and the second interface B2, and tries to transmit from the second communication method N2 received from the first interface A2 to the first communication method N1. A filtering check is performed on the packet, and a packet built in the filtering module F2 and conforming to the communication protocol as a security request is output to the second interface B2. The second interface B2 outputs a packet that has passed the filtering inspection of the filtering module F2 to the bidirectional data transmission module 4. The bidirectional data transmission module 4 is based on a dedicated communication protocol, and the second protection device 20 The packet output by the interface B2 is transmitted to the first protection device 10.

本発明の隔離保護システム1における第1の保護装置10と第2の保護装置20は、互いに独立した(すなわち、独立して操作、演算を行う)CPU1とCPU2にて動作し、そのうち各CPUは一つのメモリに対応している。このような構造では、そのうち一台のCPUがウィルスの侵入を受けたり物理的に損壊した際に、もう一台のCPUは影響を受けることがない。各CPUにて独立的に動作する第1の保護装置10と第2の保護装置20両者は、専用通信プロトコルに従って、双方向データ伝送モジュール4によって双方向データ伝送を行なう。   The first protection device 10 and the second protection device 20 in the isolation protection system 1 of the present invention operate on the CPU 1 and the CPU 2 that are independent from each other (that is, operate and calculate independently), of which each CPU is It corresponds to one memory. In such a structure, when one of the CPUs is invaded or physically damaged, the other CPU is not affected. Both the first protection device 10 and the second protection device 20 that operate independently in each CPU perform bidirectional data transmission by the bidirectional data transmission module 4 in accordance with a dedicated communication protocol.

以上から分かるように、本発明実施例1の隔離保護システム1は、当該システムが備える、独立したCPUにて動作する保護装置に設けられたフィルタリングモジュールと、二つの保護装置の間に設けられた双方向データ伝送モジュールによって、通信双方の間においてデータ伝送を行なうため、本発明実施例1の隔離保護システム1によって、ネットワーク間でデータのやり取りをする際、従来のゲートウェイ製品のようにクライアント端末とサーバのIPアドレスを設置する必要がないため、既に存在するネットワークに対して如何なる影響も与えない。  As can be seen from the above, the isolation protection system 1 according to the first embodiment of the present invention is provided between the two protection devices and the filtering module provided in the protection device operating in an independent CPU included in the system. In order to perform data transmission between the two communications by the bidirectional data transmission module, when the data is exchanged between the networks by the isolation protection system 1 of the first embodiment of the present invention, the client terminal and the client terminal as in the conventional gateway product. Since there is no need to set the server IP address, it does not have any effect on the existing network.

本発明の隔離保護システム1のセキュリティ策は保護装置に含まれるフィルタリングモジュールに対して設置を行なうことで実現するものであるため、通信双方のセキュリティ要求に基づき、適切なセキュリティ策を設置することができる。  Since the security measure of the isolation protection system 1 of the present invention is realized by installing the filtering module included in the protection device, it is possible to install an appropriate security measure based on security requirements for both communications. it can.

本発明実施例1の隔離保護システム1によって、第1の通信方N1から第2の通信方N2へとパケットを伝送しようとする際、パケットの流れは図2の経路L1に示すようなものになる。具体的に言えば、第1の通信方N1からのデータは、第1の保護装置10の第1のインタフェースA1に介して第1の保護装置10へ入り、第1の保護装置10の内部では当該パケットがフィルタリングモジュールF1よりフィルタリング検査され、セキュリティ要求に適合するパケットはフィルタリングモジュールF1を通過し、第1の保護装置10の第2のインタフェースA2を経由して双方向データ伝送モジュール4に入る。当該パケットが双方向データ伝送モジュール4内蔵の専用通信プロトコルに適合しなければ、パケットはブロックされ、第2の保護装置20に入ることはできない。当該パケットが専用通信プロトコルに適合すれば、中間の通信モジュール4を通過して第2の保護装置20に入ることができ、第2の保護装置20の内部では、当該パケットが第2のインタフェースB2により伝送通路C2を介して直接第1のインタフェースA2に伝送されて、第1の通信方N1から第2の通信方N2へのパケット伝送は完了する。第1の通信方N1から第2の通信方N2へのパケット伝送過程において、パケットはまず第1の保護装置10に設けられたフィルタリングモジュールF1によるフィルタリング検査を通過し、その後、専用通信プロトコルに基づいて第1の保護装置10から第2の保護装置20へ入る。このような配置は、第1の通信方N1から第2の通信方N2へと伝送するデータの安全性を確保することができる。第2の通信方N2から第1の通信方N1へのパケット伝送の流れは図2の経路L2に示すとおりであり、経路L1に類似していることから、ここではその説明を省略する。  When attempting to transmit a packet from the first communication method N1 to the second communication method N2 by the isolation protection system 1 of the first embodiment of the present invention, the packet flow is as shown in the path L1 of FIG. Become. Specifically, data from the first communication method N1 enters the first protection device 10 via the first interface A1 of the first protection device 10, and inside the first protection device 10 The packet is subjected to filtering inspection by the filtering module F1, and a packet that meets the security requirements passes through the filtering module F1 and enters the bidirectional data transmission module 4 via the second interface A2 of the first protection device 10. If the packet does not conform to the dedicated communication protocol built in the bidirectional data transmission module 4, the packet is blocked and cannot enter the second protection device 20. If the packet conforms to the dedicated communication protocol, it can pass through the intermediate communication module 4 and enter the second protection device 20, and inside the second protection device 20, the packet is sent to the second interface B2. Thus, the packet is transmitted directly to the first interface A2 via the transmission path C2, and the packet transmission from the first communication method N1 to the second communication method N2 is completed. In the packet transmission process from the first communication method N1 to the second communication method N2, the packet first passes the filtering inspection by the filtering module F1 provided in the first protection device 10, and then based on the dedicated communication protocol Then, the first protective device 10 enters the second protective device 20. Such an arrangement can ensure the safety of data transmitted from the first communication method N1 to the second communication method N2. The flow of packet transmission from the second communication method N2 to the first communication method N1 is as shown in the route L2 of FIG. 2, and is similar to the route L1, and therefore the description thereof is omitted here.

図1に示す従来技術のファイアウォールと比較して、本発明の隔離保護システム1は本発明の「2+1」構造を採用しており、すなわち、通信双方に対応して、互いに独立した二つのCPUにて動作し、且つハードウェア構造上完全に独立した二つの保護装置10、20と、二つの保護装置10、20の間に設けられ、且つ専用通信プロトコルに基づき二つの保護装置10、20の間で安全なデータのやり取りを行なう双方向データ通信モジュール4とにより、通信双方間での双方向データ通信を実現する。二つの保護装置にはいずれもパケットに対してフィルタリング検査を行うフィルタリングモジュールが含まれ、これにより、通信双方のセキュリティ要求に応じて、フィルタリングモジュールにおけるセキュリティ要求としての通信プロトコルを設定することができ、通信双方のセキュリティ要求を満たすことができる。本発明実施例1の隔離保護システム1において、第1の保護装置10と第2の保護装置20それぞれは独立したCPUにて動作するため、ハードウェア上互いに完全に独立した二つの保護装置を実現している。双方向データ伝送モジュール4が第1の保護装置10と第2の保護装置20の間に設けられ、且つ専用通信プロトコルによって第1の保護装置10と第2の保護装置20間の安全な通信を実現し、本発明のこのような「2+1」構造はハードウェア面において多くの利点をもたらすことができる。例えば、第1の保護装置10と第2の保護装置20を二つの互いに独立したホストコンピュータとして製造し、当該ホストコンピュータにはCPUが含まれ、各CPUごとにメモリを備えることができる。各ホストコンピュータに対して、Bootloaderをブート・ロードプログラムとする専用組込み式Linux(登録商標)操作システムとすることができる。このように、二つの保護装置の間において、一つが攻撃を受けたり物理的に損壊することによって、もう一つの保護装置の性能に影響を与えることはない。また例として、第1の保護装置10と第2の保護装置20を挿し込み式の装置に製造する、すなわち、脱着可能な装置に製造することで、双方向データ伝送モジュール4を専用通信プロトコルが内蔵されたベースボードとして製造することができる。このように、二つの保護装置をベースボードに挿入する際、本発明の、通信双方の通信装置を隔離保護する隔離保護システムに形成することができる。このような状況において、そのうち一つの保護装置が破損した場合、交換とメンテナンスを容易に行うことができ、もう一つの保護装置は如何なる影響を受けることもない。  Compared to the firewall of the prior art shown in FIG. 1, the isolation protection system 1 of the present invention adopts the “2 + 1” structure of the present invention, that is, two independent of each other corresponding to both communication. The two protection devices 10 and 20 that operate on the CPU and are completely independent on the hardware structure are provided between the two protection devices 10 and 20 and are based on a dedicated communication protocol. Bidirectional data communication between the two sides is realized by the bidirectional data communication module 4 that exchanges data safely between the two. Both of the two protection devices include a filtering module that performs a filtering check on the packet, thereby enabling a communication protocol as a security request in the filtering module to be set according to the security requirements of both communications, Both communication security requirements can be met. In the isolation protection system 1 according to the first embodiment of the present invention, each of the first protection device 10 and the second protection device 20 is operated by independent CPUs, so that two protection devices completely independent from each other in hardware are realized. doing. A bidirectional data transmission module 4 is provided between the first protection device 10 and the second protection device 20, and secure communication between the first protection device 10 and the second protection device 20 is performed by a dedicated communication protocol. Implemented, such a “2 + 1” structure of the present invention can provide many advantages in hardware. For example, the first protection device 10 and the second protection device 20 can be manufactured as two mutually independent host computers, the host computer includes a CPU, and each CPU can be provided with a memory. For each host computer, a dedicated embedded Linux (registered trademark) operating system using Bootloader as a boot / load program can be provided. In this way, between the two protection devices, one is not attacked or physically damaged, so that the performance of the other protection device is not affected. Further, as an example, the first protection device 10 and the second protection device 20 are manufactured as a plug-in type device, that is, manufactured as a detachable device, so that the bidirectional data transmission module 4 has a dedicated communication protocol. It can be manufactured as a built-in baseboard. As described above, when the two protection devices are inserted into the base board, the isolation protection system according to the present invention for isolating and protecting both communication devices can be formed. In such a situation, if one of the protection devices is damaged, replacement and maintenance can be easily performed, and the other protection device is not affected in any way.

以下、図3を参照して本発明実施例2の隔離保護システム2について説明する。図3で示す実施例2と、図2で示す実施例1において、同一の符号は同一の部材を表しているため、ここでは再度説明を行わない。  Hereinafter, the isolation protection system 2 according to Embodiment 2 of the present invention will be described with reference to FIG. In the second embodiment shown in FIG. 3 and the first embodiment shown in FIG. 2, the same reference numerals represent the same members, and therefore description thereof will not be repeated here.

本発明実施例1の隔離保護システム1と異なる点は、本発明実施例2の隔離保護システム2において、図3に示すとおり、第1の保護装置10におけるフィルタリングモジュールF1は内蔵ファイアウォールモジュールK1とパケットフィルタリングモジュールS1を含み、第2の保護装置20におけるフィルタリングモジュールF2は内蔵ファイアウォールモジュールK2とパケットフィルタリングモジュールS2を含んでいるという点である。内蔵ファイアウォールモジュールK1は、第1の通信方N1から第2の通信方N2へと伝送しようとする、第1のインタフェースA1から受信したパケットに対してファイアウォールフィルタリング検査を実行し、ファイアウォールフィルタリング検査は基本的ファイアウォール検査であってよく、一般的なネットワーク攻撃より影響されにくくするものである。基本的ファイアウォール技術はプロトコル、ポート、IP等の通信規則を設定することで防御機能を実現し、データリンクレイヤ、ネットワークレイヤ、トランスポートレイヤにて、流れているパケットに対して検査を行うことができ、これは主にパケットに対してヘッダ内容検査を実行することに関するもので、当該通信規則を満たさないパケットは阻止される。パケットフィルタリングモジュールS1は、内蔵ファイアウォールモジュールK1によってフィルタリングされた後のパケットに対してパケットフィルタリング検査を行い、パケットフィルタリング検査はファイアウォールフィルタリング検査とは異なり、アプリケーションレイヤ上のパケットに基づいた深いレベルのフィルタリング検査、プロトコル分析でることができ、主にデータストリームのパケットに対してパケットボディ内容検査を実行するものである。本発明の隔離保護システム2が、産業現場の情報ネットワークと制御ネットワーク間に産業ネットワークセキュリティ隔離システムとして配置される際、産業用通信プロトコルに準じたアプリケーションデータを検査するよう、パケットフィルタリングモジュールS1に産業用通信プロトコルを内蔵することができる。前記ヘッダ内容はIPアドレス、MACアドレス、プロトコル類型情報、ポート情報を含み、前記パケットボディ内容は通信先、通信元、通信目的、通信類型、通信内容を含む。第2の保護装置20におけるフィルタリングモジュールF2は内蔵ファイアウォールモジュールK2とパケットフィルタリングモジュールS2を含む。内蔵ファイアウォールモジュールK2は、第2の通信方N2から第1の通信方N1へと伝送しようとする、第1のインタフェースA2から入力されたパケットに対してファイアウォールフィルタリング検査を行い、ファイアウォールフィルタリング検査は基本的ファイアウォール検査であってよく、一般的なネットワーク攻撃により影響されにくくするものである。基本的ファイアウォール技術はプロトコル、ポート、IPなどの通信規則の設定することで防御機能を実現し、データリンクレイヤ、ネットワークレイヤ、トランスポートレイヤ上にて、流れているデータに対して検査を行うことができ、これは主にパケットのヘッダに対する検査で、当該通信規則を満たさないパケットは阻止される。パケットフィルタリングモジュールS2は、内蔵ファイアウォールモジュールK2によってフィルタリングされた後のパケットに対してパケットフィルタリング検査を行い、パケットフィルタリング検査はファイアウォールフィルタリング検査とは異なり、アプリケーションレイヤ上のパケットに基づいた深いレベルのフィルタリング検査、プロトコル分析であることができ、主にデータストリームのパケットに対してパケットボディ内容検査を実行するものである。本発明の隔離保護システム2が産業現場の情報ネットワークと制御ネットワーク間に産業ネットワークセキュリティ隔離システムとして配置される際、産業用通信プロトコルに準じたアプリケーションデータを検査するよう、パケットフィルタリングモジュールS2に産業用通信プロトコルを内蔵することができる。前記ヘッダ内容はIPアドレス、MACアドレス、プロトコル類型情報、ポート情報を含み、前記パケットボディ内容は通信先、通信元、通信目的、通信類型、通信内容を含む。   The difference from the isolation protection system 1 of the first embodiment of the present invention is that, in the isolation protection system 2 of the second embodiment of the present invention, as shown in FIG. 3, the filtering module F1 in the first protection device 10 includes a built-in firewall module K1 and a packet. The filtering module S2 includes the filtering module S1, and the filtering module F2 in the second protection device 20 includes a built-in firewall module K2 and a packet filtering module S2. The built-in firewall module K1 performs a firewall filtering check on the packet received from the first interface A1 that attempts to transmit from the first communication method N1 to the second communication method N2, and the firewall filtering check is basic. It may be a static firewall check, making it less susceptible to general network attacks. Basic firewall technology realizes a defense function by setting communication rules such as protocol, port, IP, etc., and can inspect the flowing packets at the data link layer, network layer, and transport layer. This is mainly related to performing a header content check on the packet, and packets that do not meet the communication rules are blocked. The packet filtering module S1 performs a packet filtering inspection on the packet after being filtered by the built-in firewall module K1, and the packet filtering inspection is different from the firewall filtering inspection, and a deep level filtering inspection based on the packet on the application layer. Protocol analysis, which mainly performs packet body content inspection on packets of the data stream. When the isolation protection system 2 of the present invention is arranged as an industrial network security isolation system between an information network and a control network at an industrial site, the packet filtering module S1 is instructed to inspect application data according to an industrial communication protocol. Communication protocol can be built in. The header content includes an IP address, a MAC address, protocol type information, and port information, and the packet body content includes a communication destination, a communication source, a communication purpose, a communication type, and a communication content. The filtering module F2 in the second protection device 20 includes a built-in firewall module K2 and a packet filtering module S2. The built-in firewall module K2 performs a firewall filtering check on the packet input from the first interface A2 that is going to be transmitted from the second communication method N2 to the first communication method N1, and the firewall filtering check is basic. It may be a static firewall check that makes it less susceptible to general network attacks. Basic firewall technology realizes a defense function by setting communication rules such as protocol, port, IP, etc., and inspects data flowing on the data link layer, network layer, and transport layer This is mainly a check on the packet header, and packets that do not meet the communication rules are blocked. The packet filtering module S2 performs a packet filtering inspection on the packet after being filtered by the built-in firewall module K2. The packet filtering inspection is different from the firewall filtering inspection, and a deep level filtering inspection based on the packet on the application layer. Protocol analysis, which mainly performs packet body content inspection on packets of the data stream. When the isolation protection system 2 of the present invention is arranged as an industrial network security isolation system between an information network and a control network in an industrial field, the packet filtering module S2 is used for industrial applications so as to inspect application data according to an industrial communication protocol. A communication protocol can be incorporated. The header content includes an IP address, a MAC address, protocol type information, and port information, and the packet body content includes a communication destination, a communication source, a communication purpose, a communication type, and a communication content.

上記の内容から分かるように、第1の保護装置10と第2の保護装置20には、いずれもパケットに対して順次フィルタリング検査を行う内蔵ファイアウォールモジュールとパケットフィルタリングモジュールが含まれ、この二つのフィルタリング検査では、データストリームのパケットの異なる部分に対してフィルタリング検査を行うことができ、例えば、内蔵ファイアウォールモジュールは、一般的なネットワークのデータリンクレイヤ、ネットワークレイヤ、トランスポートレイヤに対する検査を実現でき、つまり、主にパケットのヘッダに対してフィルタリング検査を行うものであって、パケットフィルタリングモジュールは、アプリケーションレイヤデータに対する検査を実現でき、つまり、主にパケット内容に対してフィルタリング検査を行うものである。したがって、産業プロトコルに準じたアプリケーションデータを検査するよう、パケットフィルタリングモジュールに複数の産業用通信プロトコルを内蔵することができる。本発明の隔離保護システムが備える各保護装置が、いずれもデータに対して順次フィルタリング検査を行う内蔵ファイアウォールモジュールとパケットフィルタリングモジュールを含むため、通過したデータの安全性を確保することができ、また、産業現場の情報ネットワークと制御ネットワーク間のセキュリティ要求に適応するよう、パケットフィルタリングモジュールに予め所望の産業用通信プロトコルを設置して、本発明のネットワークセキュリティ保護システムが産業用プロトコルに充分に対応するようにすることができる。  As can be seen from the above contents, both the first protection device 10 and the second protection device 20 include a built-in firewall module and a packet filtering module that sequentially perform a filtering inspection on packets. The inspection can perform a filtering inspection on different parts of the packets of the data stream, for example, the built-in firewall module can realize inspection on the data link layer, network layer, transport layer of a general network, that is, , Which mainly performs filtering inspection on the packet header, and the packet filtering module can implement inspection on application layer data, that is, filtering inspection mainly on packet contents Is performed. Therefore, a plurality of industrial communication protocols can be incorporated in the packet filtering module so as to inspect application data according to the industrial protocol. Since each protection device included in the isolation protection system of the present invention includes a built-in firewall module and a packet filtering module that sequentially perform filtering inspection on data, it is possible to ensure the safety of data that has passed, In order to adapt to the security requirements between the information network and the control network in the industrial field, a desired industrial communication protocol is installed in the packet filtering module in advance so that the network security protection system of the present invention fully supports the industrial protocol. Can be.

本発明において、内蔵ファイアウォールモジュールS1と内蔵ファイアウォールモジュールS2は同一であってもよく、つまり、同一の基本的ファイアウォールフィルタリング検査を提供する。パケットフィルタリングモジュールS1とパケットフィルタリングモジュールS2は同一であってもよく、そこには同一の通信プロトコルを内蔵することができ、第1の通信方N1と第2の通信方N2の異なるセキュリティ要求に基づき、異なる通信プロトコルを内蔵してもよい。例えば、第1の通信方N1をパケットの送信方とし、第2の通信方N2をパケットの受信方とする場合、パケット受信方としての第2の通信方N2のセキュリティ要求に基づき、第1の保護装置10におけるパケットフィルタリングモジュールS1内蔵の通信プロトコルを設定し、第1の通信方N1をパケットの受信方とし、第2の通信方N2をパケットの送信方とする場合、第1の通信方N1のセキュリティ要求に基づき第2の保護装置20におけるパケットフィルタリングモジュールS2内蔵の通信プロトコルを設定することができる。こうすることで、通信双方のセキュリティ要求を満たすことができる。  In the present invention, the built-in firewall module S1 and the built-in firewall module S2 may be the same, that is, provide the same basic firewall filtering inspection. The packet filtering module S1 and the packet filtering module S2 may be the same, and can have the same communication protocol built in, based on different security requirements of the first communication method N1 and the second communication method N2. Different communication protocols may be incorporated. For example, when the first communication method N1 is a packet transmission method and the second communication method N2 is a packet reception method, the first communication method N1 is based on the security request of the second communication method N2 as the packet reception method. When the communication protocol built in the packet filtering module S1 in the protection device 10 is set, the first communication method N1 is the packet reception method, and the second communication method N2 is the packet transmission method, the first communication method N1 Based on the security request, the communication protocol built in the packet filtering module S2 in the second protection device 20 can be set. By doing so, both communication security requirements can be satisfied.

第1の保護装置10と第2の保護装置20の間に専用通信プロトコルを内蔵した双方向データ伝送モジュール4が設置されているため、一方の通信方から他方の通信方へと伝送しようとするパケットが、保護装置内の内蔵ファイアウォールモジュールとパケットフィルタリングモジュールのフィルタリング検査を通過したとしても、それが双方向データ伝送モジュール4に内蔵された専用通信プロトコルを満たさなければ阻止され、他方の通信方へ入ることはできず、通信双方の通信回線上のデータ伝送の安全性をさらに向上させている。  Since the bidirectional data transmission module 4 with a built-in dedicated communication protocol is installed between the first protection device 10 and the second protection device 20, it tries to transmit from one communication method to the other communication method. Even if a packet passes the filtering inspection of the built-in firewall module and the packet filtering module in the protection device, it is blocked if it does not satisfy the dedicated communication protocol built in the bidirectional data transmission module 4, and to the other communication method The security of data transmission on both communication lines is further improved.

本発明実施例2の隔離保護システム2は産業現場情報ネットワークと制御ネットワーク間に応用し、制御ネットワークに対してセキュリティ防護を行うことができる。これは主に、本発明の隔離保護システム2において、第1の保護装置10と第2の保護装置20にはいずれも、常規の内蔵ファイアウォールフィルタリング検査以外のパケットフィルタリング検査が含まれているためである。パケットフィルタリングモジュールにおいて、クライアント端末とサーバ間で有効なOPC、Medbus等の産業プロトコルデータ通信を行い、さらにデータ読み書き制御を可能にするよう、複数の自動化製品メーカーの独自の通信プロトコルを内蔵することができる。その他の非産業データはすべて破棄される。  The isolation protection system 2 according to the second embodiment of the present invention can be applied between an industrial field information network and a control network to perform security protection for the control network. This is mainly because in the isolation protection system 2 of the present invention, both the first protection device 10 and the second protection device 20 include packet filtering inspections other than the regular built-in firewall filtering inspection. is there. In the packet filtering module, effective protocol data communication such as OPC, Medbus, etc. between the client terminal and the server can be performed, and the communication protocol of multiple automation product manufacturers can be built in to enable data read / write control. it can. All other non-industry data is discarded.

以下、図3を組み合わせ、さらに図4と図5を参照して本発明の隔離保護システム2によって双方向パケットフィルタリング検査を実行する方法について詳しく説明する。  Hereinafter, a method of performing a bidirectional packet filtering inspection by the isolation protection system 2 of the present invention will be described in detail with reference to FIGS. 4 and 5 in combination with FIG.

説明の便宜をはかるため、図4と図5において、クライアント端末とサーバを通信双方とした例を挙げて、本発明の隔離保護システム2が如何にしてクライアント端末とサーバにおいてデータの安全な伝送を実現する方法を説明する。  For convenience of explanation, in FIG. 4 and FIG. 5, taking an example in which the client terminal and the server are both communicating, how the isolation protection system 2 of the present invention performs secure transmission of data between the client terminal and the server. A method for realizing this will be described.

図4はクライアント端末からサーバへデータを伝送するフロー図である。ステップS71ではクライアント端末がパケットを送信し、ステップS72ではパケットがクライアント端末と接続するCPU(第1の保護装置10)へ送信され、ステップS73では基本的ファイアウォール検査が行われ、無効データのパケットが破棄され(ステップS76)、有効データはさらにパケットフィルタリング検査(ステップS74)を行ない、ステップS74のパケットフィルタリング検査を経たデータは、無効データと判定された場合は破棄され(ステップS76)、有効なデータと判断された場合はサーバに接続されたCPU(第2の保護装置20)へ送信され(ステップS75)、さらにステップS77では受信したパケットをサーバへ送信する。   FIG. 4 is a flowchart for transmitting data from the client terminal to the server. In step S71, the client terminal transmits a packet. In step S72, the packet is transmitted to the CPU (first protection device 10) connected to the client terminal. In step S73, a basic firewall inspection is performed. Discarded (step S76), the valid data is further subjected to packet filtering inspection (step S74), and the data subjected to the packet filtering inspection of step S74 is discarded if it is determined as invalid data (step S76), and valid data. If it is determined that the received packet is transmitted to the CPU (second protection device 20) connected to the server (step S75), the received packet is transmitted to the server in step S77.

図5はサーバからクライアント端末へデータを伝送するフロー図である。ステップS81ではサーバがパケットを送信し、ステップS82ではパケットがサーバと接続するCPU(第2の保護装置20)へ送信され、ステップS83では基本的ファイアウォール検査が行われ、無効データのパケットが破棄され(ステップS86)、有効データはさらにパケットフィルタリング検査(ステップS74)を行ない、ステップS84のパケットフィルタリング検査を経たデータは、無効データと判定された場合は破棄され(ステップS86)、有効なデータと判断された場合はクライアント端末に接続されたCPU(第1の保護装置10)へ送信され(ステップS85)、さらにステップS87では受信したパケットをクライアント端末へ送信する。   FIG. 5 is a flowchart for transmitting data from the server to the client terminal. In step S81, the server transmits a packet. In step S82, the packet is transmitted to the CPU (second protection device 20) connected to the server. In step S83, a basic firewall inspection is performed and the invalid data packet is discarded. (Step S86) The valid data is further subjected to packet filtering inspection (Step S74), and the data that has undergone the packet filtering inspection of Step S84 is discarded if it is determined to be invalid data (Step S86), and is determined to be valid data. If so, it is transmitted to the CPU (first protection device 10) connected to the client terminal (step S85), and in step S87, the received packet is transmitted to the client terminal.

以上、本発明の隔離保護システム及びそれが双方向パケットフィルタリング検査を実行する方法について説明した。本発明の隔離保護システムは、本発明の「2+1」構造を採用しており、すなわち、通信双方それぞれに双方向通信を行うことができる第1の保護装置及び第2の保護装置と、それらの間に設けられ、第1の保護装置と第2の保護装置間のデータのやり取りを制御する専用通信プロトコル内蔵の双方向データ伝送モジュールとを有し、その特徴は本発明の隔離保護システムにおける第1の保護装置と第2の保護装置が互いに独立したホストコンピュータ上でそれぞれ動作し、互いに独立したCPUによって制御されるということである。これにより、そのうち一つのホストコンピュータが故障あるいはウィルスの被害を受けた際に、もう一つのホストコンピュータが影響を受けることはない。このほか、本発明の隔離保護システムにおける第1の保護装置と第2の保護装置内のパケットフィルタリングモジュールはアプリケーションレイヤパケットに対する深いレベルの検査、プロトコル分析を行い、複数の専用産業用通信プロトコルが内蔵されることによって、内蔵産業用通信プロトコルに基づいた防御モードを実現することができ、アプリケーションレイヤにてパケットに対して深く検査を行い、産業用通信に独特の産業レベルの専用隔離保護解決案を提供する。したがって、本発明の隔離保護システムは、産業現場情報ネットワークと制御ネットワーク間のデータの安全なやり取りに特に適している。  The quarantine protection system of the present invention and the method by which it performs a bidirectional packet filtering test have been described. The isolation protection system of the present invention adopts the “2 + 1” structure of the present invention, that is, the first protection device and the second protection device capable of bidirectional communication for both of the communication, A two-way data transmission module with a dedicated communication protocol provided between them and controlling data exchange between the first protection device and the second protection device, the feature of which is the isolation protection system of the present invention The first protection device and the second protection device in FIG. 1 respectively operate on independent host computers and are controlled by independent CPUs. As a result, when one of the host computers is damaged or damaged by a virus, the other host computer is not affected. In addition, the packet filtering module in the first protection device and the second protection device in the isolation protection system of the present invention performs deep level inspection and protocol analysis on application layer packets, and incorporates multiple dedicated industrial communication protocols. By doing so, a defense mode based on the built-in industrial communication protocol can be realized, the packet is inspected deeply at the application layer, and an industrial level dedicated isolation protection solution unique to industrial communication is developed. provide. Therefore, the isolation protection system of the present invention is particularly suitable for secure exchange of data between the industrial field information network and the control network.

最後に説明しておくべきことは、以上の実施例は本発明の技術案の説明にのみ用いられるもので、本発明を制限するものではなく、好ましい実施例を参照して本発明に対して詳しい説明を行ったが、当業者は、本発明の技術案の精神と範囲を超えなければ、本発明の技術案に修正もしくは同等の置換を行なってもよいように理解すべきである。  Lastly, it should be noted that the above embodiments are used only for explaining the technical solution of the present invention, and do not limit the present invention. Although detailed description has been given, those skilled in the art should understand that the technical solution of the present invention may be modified or equivalently substituted without departing from the spirit and scope of the technical solution of the present invention.

1 隔離保護システム
N1 第1の通信方
N2 第2の通信方
10 第1の保護装置
20 第2の保護装置
4 双方向データ伝送モジュール
CPU1、CPU2 CPU
A1、A2 第1のインタフェース
B1、B2 第2のインタフェース
F1、F2 フィルタリングモジュール
C1、C2 伝送通路 1 Isolation protection system
N1 first communication method
N2 Second communication method
10 First protective device
20 Second protection device
4 Bidirectional data transmission module
CPU1, CPU2 CPU
A1, A2 first interface
B1, B2 second interface
F1, F2 filtering module
C1, C2 transmission path

Claims (6)

通信双方の一方及び他方の通信装置にそれぞれ接続される第1の保護装置(10)及び第2の保護装置(20)と、
前記第1の保護装置(10)と前記第2の保護装置(20)の間に設けられ、前記第1の保護装置(10)と前記第2の保護装置(20)とを接続すると共に、専用通信プロトコルに基づき前記第1の保護装置(10)が出力したデータを前記第2の保護装置(20)へ伝送し、前記第2の保護装置(20)が出力したデータを前記第1の保護装置(10)へ出力する双方向データ伝送モジュール(4)とを備え、
通信回線に設置され、前記通信双方の通信装置を隔離保護する隔離保護システムであって、
前記第1の保護装置(10)と前記第2の保護装置(20)は完全に独立したハードウェア構造を具備し、且つ独立したCPU(CPU1、CPU2)でそれぞれ動作し、前記第1の保護装置(10)と前記第2の保護装置(20)はそれぞれ、
接続された通信装置からデータストリームのパケットを受信し、他方の通信装置からのデータを、接続された通信装置に出力する第1のインタフェース(A1、A2)と、
前記第1のインタフェース(A1、A2)から受信したデータストリームに対してフィルタリング検査を実行し、セキュリティ要求に適合したデータを出力するフィルタリングモジュール(F1、F2)と、
前記セキュリティ要求に適合したデータを受信し、当該セキュリティ要求に適合したデータを前記双方向データ伝送モジュール(4)に伝送する第2のインタフェース(B1、B2)と、
前記第2のインタフェース(B2、B1)からのデータを前記第1のインタフェース(A1、A2)へ伝送する伝送通路(C1、C2)と、
を備え、
前記フィルタリングモジュール(F1、F2)は、伝送するデータストリームのパケットに対してヘッダ内容検査を実行する内蔵ファイアウォールモジュール(K1、K2)と、
前記内蔵ファイアウォールモジュール(K1、K2)によって前記ヘッダ内容検査が実行された後のパケットに対してパケットボディ内容検査を実行するパケットフィルタリングモジュール(S1、S2)と
を備えることを特徴とする隔離保護システム。 A first protection device (10) and a second protection device (20) respectively connected to one and the other communication devices of both communication;
Provided between the first protection device (10) and the second protection device (20), and connecting the first protection device (10) and the second protection device (20); Based on a dedicated communication protocol, the data output from the first protection device (10) is transmitted to the second protection device (20), and the data output from the second protection device (20) is transmitted to the first protection device (20). A bidirectional data transmission module (4) for output to the protective device (10),
An isolation protection system that is installed in a communication line and isolates and protects both communication apparatuses.
The first protection device (10) and the second protection device (20) have a completely independent hardware structure and operate with independent CPUs (CPU1, CPU2), respectively, and the first protection device The device (10) and the second protection device (20) are each
Receiving a packet data stream from the connected communication apparatus, the data from the other communication device, a first interface for output to the connected communication device and (A1, A2),
A filtering module (F1, F2) that performs a filtering check on the data stream received from the first interface (A1, A2), and outputs data that meets the security requirements;
A second interface (B1, B2) for receiving data conforming to the security requirement and transmitting data conforming to the security requirement to the bidirectional data transmission module (4);
Transmission paths (C1, C2) for transmitting data from the second interface (B2, B1) to the first interface (A1, A2);
With
The filtering modules (F1, F2) are built-in firewall modules (K1, K2) that perform header content inspection on packets of a data stream to be transmitted;
A packet filtering module (S1, S2) for performing packet body content inspection on a packet after the header content inspection is performed by the built-in firewall module (K1, K2). . 記通信装置がコンピュータ、サーバ、またはその他ネットワーク情報の入力/出力装置である、請求項1に記載の隔離保護システム。 Before SL communications device computer, server, or other an input / output device of the network information, isolation protection system according to claim 1,. 前記ヘッダ内容はIPアドレス、MACアドレス、プロトコル類型情報、ポート情報を含み、前記パケットボディ内容は通信先、通信元、通信目的、通信類型、通信内容を含む、請求項1に記載の隔離保護システム。   2. The isolation protection system according to claim 1, wherein the header content includes an IP address, a MAC address, protocol type information, and port information, and the packet body content includes a communication destination, a communication source, a communication purpose, a communication type, and a communication content. . 前記パケットフィルタリングモジュール(S1、S2)には、産業用通信プロトコルに対応し得るフィルタリングリストがそれぞれ内蔵されている、請求項1に記載の隔離保護システム。   The isolation protection system according to claim 1, wherein each of the packet filtering modules (S1, S2) includes a filtering list that can correspond to an industrial communication protocol. 完全に独立したハードウェア構造を具備し、且つ独立したCPU(CPU1、CPU2)でそれぞれ動作する第1の保護装置(10)と第2の保護装置(20)を通信回線に設置し、専用通信プロトコルに基づき前記第1の保護装置(10)が出力したデータを前記第2の保護装置(20)へ伝送し、前記第2の保護装置(20)が出力したデータを前記第1の保護装置(10)へ出力するステップと、
第1の保護装置(10)と第2の保護装置(20)に設けられたフィルタリングモジュール(F1、F2)により、伝送するデータストリームのパケットにフィルタリング検査を実行するステップと、
を含み、
前記フィルタリング検査には、
伝送するデータストリームのパケットに対してヘッダ内容検査を実行すること、及び、
前記ヘッダ内容検査が実行された後のパケットに対してパケットボディ内容検査を実行することを含むことを特徴とする、請求項1の隔離保護システムを採用して双方向パケットフィルタリング検査を実行する方法。 The first protection device (10) and the second protection device (20), which have a completely independent hardware structure and operate with independent CPUs (CPU1, CPU2), respectively, are installed on the communication line, and dedicated communication Data output from the first protection device (10) based on the protocol is transmitted to the second protection device (20), and data output from the second protection device (20) is transmitted to the first protection device. Outputting to (10) ;
Performing filtering inspection on packets of the data stream to be transmitted by the filtering modules (F1, F2) provided in the first protection device (10) and the second protection device (20);
Including
The filtering inspection includes
Performing a header content check on the packets of the data stream to be transmitted; and
2. The method of performing a bidirectional packet filtering inspection employing the quarantine protection system of claim 1, comprising performing a packet body content inspection on a packet after the header content inspection is performed. . 前記ヘッダ内容はIPアドレス、MACアドレス、プロトコル類型情報、ポート情報を含み、前記パケットボディ内容は通信先、通信元、通信目的、通信類型、通信内容を含む、請求項5に記載の方法。   6. The method according to claim 5, wherein the header content includes an IP address, a MAC address, protocol type information, and port information, and the packet body content includes a communication destination, a communication source, a communication purpose, a communication type, and a communication content.
JP2015552998A 2013-01-22 2014-01-22 Quarantine protection system and method it performs bi-directional packet filtering inspection Active JP6269683B2 (en)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201310023542.6 2013-01-22
CN201310023542.6A CN103944865B (en) 2013-01-22 2013-01-22 Insulation blocking system and its method for executing bi-directional data packet filtering inspection
PCT/CN2014/071101 WO2014114232A1 (en) 2013-01-22 2014-01-22 Isolation protection system and method thereof for performing bidirectional data packet filtration inspection

Publications (2)

Publication Number Publication Date
JP2016507979A JP2016507979A (en) 2016-03-10
JP6269683B2 true JP6269683B2 (en) 2018-01-31

Family

ID=51192352

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015552998A Active JP6269683B2 (en) 2013-01-22 2014-01-22 Quarantine protection system and method it performs bi-directional packet filtering inspection

Country Status (3)

Country Link
JP (1) JP6269683B2 (en)
CN (1) CN103944865B (en)
WO (1) WO2014114232A1 (en)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2916511B1 (en) * 2014-03-07 2020-02-12 Airbus Opérations SAS High assurance security gateway interconnecting different domains
EP3139548B1 (en) * 2015-09-04 2018-04-11 Airbus Operations High assurance segregated gateway interconnecting different domains
CN106533877A (en) * 2015-12-17 2017-03-22 郭爱波 One-way transmission ring of Ethernet
DE102016222617A1 (en) 2016-11-17 2018-05-17 Siemens Aktiengesellschaft Protective device and network cabling device for protected transmission of data
CN107070907A (en) * 2017-03-31 2017-08-18 杭州通悟科技有限公司 Intranet and extranet data unidirectional transmission method and system
CN107196931B (en) * 2017-05-17 2020-09-08 南京南瑞继保电气有限公司 Deep packet inspection method based on network isolation device
CN107948139B (en) * 2017-11-09 2021-04-20 南京捷安信息科技有限公司 Transformer substation monitoring network debugging method based on security policy management and control
CN108833340A (en) * 2018-04-26 2018-11-16 浙江麦知网络科技有限公司 A kind of internal home network communication security protection system
US10862866B2 (en) * 2018-06-26 2020-12-08 Oracle International Corporation Methods, systems, and computer readable media for multiple transaction capabilities application part (TCAP) operation code (opcode) screening
CN110247924A (en) * 2019-06-25 2019-09-17 深圳市利谱信息技术有限公司 Transmitted in both directions and control system and data transmission method based on physical transfer
CN113472727B (en) * 2020-03-31 2023-02-17 北京中科网威信息技术有限公司 Data synchronization method and device, electronic equipment and storage medium
CN112261032B (en) * 2020-10-19 2023-10-17 中国石油化工股份有限公司 Industrial Internet network safety protection method and system based on real-time data transmission
CN114024753A (en) * 2021-11-08 2022-02-08 中铁信安(北京)信息安全技术有限公司 Data communication bidirectional ferry isolation device and method

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5757924A (en) * 1995-09-18 1998-05-26 Digital Secured Networks Techolognies, Inc. Network security device which performs MAC address translation without affecting the IP address
US6272538B1 (en) * 1996-07-30 2001-08-07 Micron Technology, Inc. Method and system for establishing a security perimeter in computer networks
JP2006094377A (en) * 2004-09-27 2006-04-06 Oki Electric Ind Co Ltd Access control apparatus, access control method, and access control program
JP4575219B2 (en) * 2005-04-12 2010-11-04 株式会社東芝 Security gateway system and method and program thereof
CN101540668B (en) * 2008-03-18 2011-06-22 联想(北京)有限公司 Data processing equipment
CN101668002A (en) * 2008-09-03 2010-03-10 英业达股份有限公司 Network interface card with data packet filtering and filtering method thereof
JP2012065287A (en) * 2010-09-17 2012-03-29 Toshiba Corp Security gateway system and method thereof
CN102014010B (en) * 2010-12-31 2013-04-03 北京网康科技有限公司 System and method for managing network behaviors
US9065799B2 (en) * 2011-04-15 2015-06-23 Lockheed Martin Corporation Method and apparatus for cyber security
CN102685119A (en) * 2012-04-28 2012-09-19 上海杰之能信息科技有限公司 Data transmitting/receiving method, data transmitting/receiving device, transmission method, transmission system and server

Also Published As

Publication number Publication date
JP2016507979A (en) 2016-03-10
CN103944865B (en) 2018-11-27
CN103944865A (en) 2014-07-23
WO2014114232A1 (en) 2014-07-31

Similar Documents

Publication Publication Date Title
JP6269683B2 (en) Quarantine protection system and method it performs bi-directional packet filtering inspection
US9762429B2 (en) Control protocol encapsulation
JP7075886B2 (en) Broadcast bus frame filter
JP6518771B2 (en) Security system, communication control method
EP3651437B1 (en) Protecting a vehicle electronic system
KR101339512B1 (en) Soc-based device for packet filtering and packet filtering method thereof
US10474613B1 (en) One-way data transfer device with onboard system detection
CN104519065B (en) A kind of industry control method of realizing fireproof wall for supporting filtering Modbus Transmission Control Protocol
CN107612679B (en) Ethernet bridge scrambling terminal based on state cryptographic algorithm
CA3086589C (en) One-way data transfer device with onboard system detection
EP3180705B1 (en) End point secured network
CN105580323A (en) Filtering a data packet by means of a network filtering device
US20150341315A1 (en) Network Security Device
US9591025B2 (en) IP-free end-point management appliance
GB2557010A (en) Method and device for filtering packets
CN103782567B (en) Method and apparatus for the configuration setting for safely changing the network equipment
KR101453980B1 (en) Packet relay and transmission apparatus for semiconductor manufacturing equipment
CN105721453A (en) Network isolation system and network videocorder
JP2020021338A (en) Monitoring controller
US11709970B1 (en) One-way communication data diode on a chip
KR20070073293A (en) Appratus for operating of flexible security policy in intrusion prevention system for supporting multi-port and method thereof
CN107196802A (en) A kind of Outband network management system
Kurukkankunnel Joy et al. A Study of Intrusion detection on PROFINET Network by Improving SNORT
JP2005039360A (en) Device and method for multiple communication tests equipped with plurality of virtualized input and output communication port couples
CN107248982A (en) A kind of wireless industrial equipment access device

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160415

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170407

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170418

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170613

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170926

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20171114

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20171205

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20171218

R150 Certificate of patent or registration of utility model

Ref document number: 6269683

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150