專利名稱:工控防火墻的制作方法
技術(shù)領(lǐng)域:
本實(shí)用新型涉及一種工業(yè)控制系統(tǒng)用工控防火墻。
背景技術(shù):
由于工控系統(tǒng)管控一體化趨勢逐漸加強(qiáng),使得工控系統(tǒng)與信息管理系統(tǒng)與互聯(lián)網(wǎng)相連通,同時(shí)工控系統(tǒng)日益復(fù)雜化,已經(jīng)開始大量采用通用軟件、通用硬件及通用協(xié)議,這使傳統(tǒng)封閉的工控系統(tǒng)逐步暴露出來,直接面對來自外界網(wǎng)絡(luò)的種種威脅,增加了工控系統(tǒng)的安全隱患。工控系統(tǒng)通常是從簡單獨(dú)立的系統(tǒng)發(fā)展成為復(fù)雜的網(wǎng)絡(luò)系統(tǒng),各個(gè)子系統(tǒng)之間設(shè)計(jì)缺乏保護(hù)措施,從而導(dǎo)致一個(gè)區(qū)域出現(xiàn)問題,很快就會傳染到整個(gè)工控系統(tǒng)網(wǎng)絡(luò)。
實(shí)用新型內(nèi)容本實(shí)用新型所要解決的技術(shù)問題是克服現(xiàn)有技術(shù)的不足,提供一種具備區(qū)域隔離功能、實(shí)現(xiàn)數(shù)據(jù)通信監(jiān)測、限制未經(jīng)允許的數(shù)據(jù)通信的工控防火墻。本實(shí)用新所采用的技術(shù)方案為:本實(shí)用新型包括殼體,在所述殼體內(nèi)設(shè)置有CPU、內(nèi)存、flash閃存、至少兩個(gè)網(wǎng)口、電口、光口、電源、數(shù)據(jù)串口、網(wǎng)絡(luò)邏輯隔離模塊、動態(tài)端口檢測模塊、日志事件告警模塊、狀態(tài)檢測模塊和工控協(xié)議過濾模塊,所述內(nèi)存、所述flash閃存、所述網(wǎng)口、所述電口、所述光口、所述電源和所述數(shù)據(jù)串口均與所述CPU電連接,所述網(wǎng)絡(luò)邏輯隔離模塊用于網(wǎng)絡(luò)邏輯隔離,所述日志事件告警模塊提供訪問日志、事件日志及告警日志的訪問及審計(jì),所述工控協(xié)議過濾模塊用于由控制器下發(fā)到工業(yè)控制層的數(shù)據(jù)進(jìn)行校驗(yàn),所述工控防火墻采用OPC/MODBUS TCP/DNP協(xié)議過濾經(jīng)過的數(shù)據(jù)及通信協(xié)議內(nèi)部應(yīng)用層數(shù)據(jù)過濾并對協(xié)議的控制作嚴(yán)格的管控。在所述殼體 內(nèi)還設(shè)置有擴(kuò)展USB接口。所述工控防火墻還包括告警模塊。所述電源為雙電源供電。所述數(shù)據(jù)串口為RS485或RS232串口。本實(shí)用新型的有益效果是:由于本實(shí)用新型包括殼體,在所述殼體內(nèi)設(shè)置有CPU、內(nèi)存、flash閃存、至少兩個(gè)網(wǎng)口、電口、光口、電源、數(shù)據(jù)串口、網(wǎng)絡(luò)邏輯隔離模塊、動態(tài)端口檢測模塊、日志事件告警模塊、狀態(tài)檢測模塊和工控協(xié)議過濾模塊,所述內(nèi)存、所述flash閃存、所述網(wǎng)口、所述電口、所述光口、所述電源和所述數(shù)據(jù)串口均與所述CPU電連接,所述網(wǎng)絡(luò)邏輯隔離模塊用于網(wǎng)絡(luò)邏輯隔離,所述日志事件告警模塊提供訪問日志、事件日志及告警日志的訪問及審計(jì),所述工控協(xié)議過濾模塊用于由控制器下發(fā)到工業(yè)控制層的數(shù)據(jù)進(jìn)行校驗(yàn),所述工控防火墻采用OPC/MODBUS TCP/DNP協(xié)議過濾經(jīng)過的數(shù)據(jù)及通信協(xié)議內(nèi)部應(yīng)用層數(shù)據(jù)過濾并對協(xié)議的控制作嚴(yán)格的管控,所以,本實(shí)用新型支持OPC實(shí)時(shí)通信的動態(tài)保護(hù),防止未經(jīng)授權(quán)的用戶訪問OPC服務(wù)器、對工業(yè)控制數(shù)據(jù)進(jìn)行監(jiān)測,并對工控網(wǎng)絡(luò)進(jìn)行區(qū)域隔離。
圖1是本實(shí)用新型的結(jié)構(gòu)示意圖;圖2是本實(shí)用新型殼體內(nèi)的結(jié)構(gòu)連接框圖。
具體實(shí)施方式
如圖1、圖2所示,本實(shí)用新型包括殼體I,在所述殼體I內(nèi)設(shè)置有CPU2、內(nèi)存3、flash閃存4、至少兩個(gè)網(wǎng)口 5、電口 6、光口 7、電源8、數(shù)據(jù)串口 9、網(wǎng)絡(luò)邏輯隔離模塊10、動態(tài)端口檢測模塊11、日志事件告警模塊12、狀態(tài)檢測模塊13和工控協(xié)議過濾模塊14,所述內(nèi)存3、所述flash閃存4、所述網(wǎng)口 5、所述電口 6、所述光口 7、所述電源8和所述數(shù)據(jù)串口9均與所述CPU2電連接,所述網(wǎng)絡(luò)邏輯隔離模塊10用于網(wǎng)絡(luò)邏輯隔離,所述日志事件告警模塊12提供訪問日志、事件日志及告警日志的訪問及審計(jì),所述工控協(xié)議過濾模塊14用于由控制器下發(fā)到工業(yè)控制層的數(shù)據(jù)進(jìn)行校驗(yàn),所述工控防火墻采用OPC/MODBUS TCP/DNP協(xié)議過濾經(jīng)過的數(shù)據(jù)及通信協(xié)議內(nèi)部應(yīng)用層數(shù)據(jù)過濾并對協(xié)議的控制作嚴(yán)格的管控。在所述殼體I內(nèi)還設(shè)置有擴(kuò)展USB接口 15。所述工控防火墻還包括告警模塊16。所述電源8為雙電源供電。所述數(shù)據(jù)串口 9為RS485或RS232串口。本實(shí)用新型具備區(qū)域隔離功能,可實(shí)現(xiàn)數(shù)據(jù)通信監(jiān)測,限制未經(jīng)允許的數(shù)據(jù)通信,一旦發(fā)生網(wǎng)絡(luò)故障會被控制在最初發(fā)生區(qū)域內(nèi),不會影響到其它區(qū)域的正常運(yùn)行。本實(shí)用新型基于IP、MAC、端口、IP協(xié)議號、方向和時(shí)間等綜合訪問控制技術(shù),可選擇只允許在白名單方位內(nèi)的數(shù)據(jù)通過。在測試模數(shù)下,所有的網(wǎng)絡(luò)數(shù)據(jù)均可通過,僅對不符合通信規(guī)則的數(shù)據(jù)產(chǎn)生告警,對工控系統(tǒng)不帶來任何運(yùn)行風(fēng)險(xiǎn);在運(yùn)行模式下,無需更改工控現(xiàn)場網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)以及主機(jī)配置就能直接透明接入,設(shè)備部署實(shí)施非常方便快捷。本實(shí)用新型還提供圖形管理配置界面,用戶只需要很少時(shí)間安裝配置,即可接入網(wǎng)絡(luò)對通信進(jìn)行安全監(jiān)控、系統(tǒng)管理、維護(hù)、審計(jì)。設(shè)備的配置管理是基于XML配置文件,用戶可以通過管理工具對配置文件進(jìn)行備份、還遠(yuǎn)等操作,方便管理。本實(shí)用新型可應(yīng)用于工業(yè)控制領(lǐng)域。
權(quán)利要求1.一種工控防火墻,包括殼體(1),其特征在于:在所述殼體(I)內(nèi)設(shè)置有CPU(2)、內(nèi)存(3)、flash閃存(4)、至少兩個(gè)網(wǎng)口(5)、電口(6)、光口(7)、電源(8)、數(shù)據(jù)串口(9)、網(wǎng)絡(luò)邏輯隔離模塊(IO )、動態(tài)端口檢測模塊(11 )、日志事件告警模塊(12 )、狀態(tài)檢測模塊(13 )和工控協(xié)議過濾模塊(14 ),所述內(nèi)存(3 )、所述flash閃存(4 )、所述網(wǎng)口(5)、所述電口(6)、所述光口(7)、所述電源(8)和所述數(shù)據(jù)串口(9)均與所述CPU (2)電連接,所述網(wǎng)絡(luò)邏輯隔離模塊(10)用于網(wǎng)絡(luò)邏輯隔離,所述日志事件告警模塊(12)提供訪問日志、事件日志及告警日志的訪問及審計(jì),所述工控協(xié)議過濾模塊(14)用于由控制器下發(fā)到工業(yè)控制層的數(shù)據(jù)進(jìn)行校驗(yàn),所述工控防火墻采用OPC/MODBUS TCP/DNP協(xié)議過濾經(jīng)過的數(shù)據(jù)及通信協(xié)議內(nèi)部應(yīng)用層數(shù)據(jù)過濾并對協(xié)議的控制作嚴(yán)格的管控。
2.根據(jù)權(quán)利要求1所述的工控防火墻,其特征在于:在所述殼體(I)內(nèi)還設(shè)置有擴(kuò)展USB 接口(15)。
3.根據(jù)權(quán)利要求1所述的工控防火墻,其特征在于:所述工控防火墻還包括告警模塊(16)。
4.根據(jù)權(quán)利要求1至3任一項(xiàng)所述的工控防火墻,其特征在于:所述電源(8)為雙電源供電。
5.根據(jù)權(quán)利要求1至3任一項(xiàng)所述的工控防火墻,其特征在于:所述數(shù)據(jù)串口(9)為RS485 或 RS232 串 口。
專利摘要本實(shí)用新型公開了一種具備區(qū)域隔離功能、實(shí)現(xiàn)數(shù)據(jù)通信監(jiān)測、限制未經(jīng)允許的數(shù)據(jù)通信的工控防火墻。本實(shí)用新型包括殼體(1),在所述殼體(1)內(nèi)設(shè)置有CPU(2)、內(nèi)存(3)、flash閃存(4)、至少兩個(gè)網(wǎng)口(5)、電口(6)、光口(7)、電源(8)、數(shù)據(jù)串口(9)、網(wǎng)絡(luò)邏輯隔離模塊(10)、動態(tài)端口檢測模塊(11)、日志事件告警模塊(12)、狀態(tài)檢測模塊(13)和工控協(xié)議過濾模塊(14),所述內(nèi)存(3)、所述flash閃存(4)、所述網(wǎng)口(5)、所述電口(6)、所述光口(7)、所述電源(8)和所述數(shù)據(jù)串口(9)均與所述CPU(2)電連接。本實(shí)用新型可應(yīng)用于工業(yè)控制領(lǐng)域。
文檔編號H04L29/06GK202979015SQ20122071471
公開日2013年6月5日 申請日期2012年12月23日 優(yōu)先權(quán)日2012年12月23日
發(fā)明者劉智勇, 陳良漢 申請人:珠海市鴻瑞軟件技術(shù)有限公司