一種支持過濾iec104協(xié)議的工控防火墻實(shí)現(xiàn)方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及工控防火墻領(lǐng)域,尤其涉及一種支持過濾IEC104協(xié)議的高性能工控防火墻實(shí)現(xiàn)方法。
【背景技術(shù)】
[0002]隨著工控領(lǐng)域信息安全需求的不斷增長(zhǎng),防火墻顯得日益重要;就工控領(lǐng)域的特殊性,對(duì)一些常用的工業(yè)控制協(xié)議,如IEC104協(xié)議,進(jìn)行過濾是工控防火墻必不可少的功倉(cāng)泛。
[0003]由于以太網(wǎng)的通信容量大和TCP/IP規(guī)約的開放性好的特點(diǎn),以太網(wǎng)已被一致認(rèn)為是變電站自動(dòng)化系統(tǒng)的站內(nèi)局域網(wǎng)未來的發(fā)展方向。IEC104規(guī)約是把IEClOl的應(yīng)用服務(wù)數(shù)據(jù)單元(ASDU)用網(wǎng)絡(luò)規(guī)約TCP/IP進(jìn)行傳輸?shù)臉?biāo)準(zhǔn),該標(biāo)準(zhǔn)為遠(yuǎn)動(dòng)信息的網(wǎng)絡(luò)傳輸提供了通信規(guī)約的依據(jù),采用104規(guī)約組合101規(guī)約的ASDU方式后,可很好的保證規(guī)約的標(biāo)準(zhǔn)化和通信的可靠性。
[0004]然而,傳統(tǒng)的包過濾防火墻在網(wǎng)絡(luò)層和傳輸層起作用,根據(jù)數(shù)據(jù)包的IP源地址、IP目的地址、TCP源端口號(hào)、TCP鏈路狀態(tài)等因素或他們的組合來確定是否允許數(shù)據(jù)包通過,此種方式對(duì)IEC104協(xié)議并不適用;且包過濾防火墻沒有針對(duì)常用的工業(yè)控制協(xié)議。此夕卜,代理防火墻工作在應(yīng)用層,完全控制會(huì)話,針對(duì)特定的應(yīng)用層協(xié)議,通過對(duì)每種應(yīng)用服務(wù)建立專門的代理服務(wù)程序,其雖然可以實(shí)現(xiàn)監(jiān)控和控制應(yīng)用層通信流的作用,但是其速度較慢,消耗過多的CPU資源,影響了代理防火墻的推廣應(yīng)用。
【發(fā)明內(nèi)容】
[0005]針對(duì)現(xiàn)有技術(shù)存在的不足,本發(fā)明的目的是提供一種支持過濾IEC104協(xié)議的工控防火墻實(shí)現(xiàn)方法,該方法通過在防火墻內(nèi)核中設(shè)置的IEC104模塊,對(duì)數(shù)據(jù)包進(jìn)行過濾處理,不僅實(shí)現(xiàn)了對(duì)工控協(xié)議IEC104的過濾與合法性檢查,保障工業(yè)指令的合法性、有效性與完整性,提高了過濾效率;而且實(shí)現(xiàn)了原來只能通過代理方式實(shí)現(xiàn)的內(nèi)容過濾功能;避免了代理方式對(duì)CPU的資源消耗。
[0006]為實(shí)現(xiàn)上述目的,一種支持過濾IEC104協(xié)議的工控防火墻實(shí)現(xiàn)方法,所述方法包括如下步驟:
1)將防火墻設(shè)置為橋接模式,將IEC104主站和IEC104從站分別設(shè)置于防火墻不同的以太網(wǎng)接口上;
2)防火墻包過濾模塊對(duì)所有進(jìn)入防火墻的數(shù)據(jù)包進(jìn)行系統(tǒng)安全檢查;
3)管理員自定義數(shù)據(jù)包過濾規(guī)則,當(dāng)數(shù)據(jù)包滿足自定義數(shù)據(jù)包過濾規(guī)則時(shí)允許通過,否則將數(shù)據(jù)包丟棄;
4)防火墻包過濾模塊對(duì)數(shù)據(jù)包是否為IEC104協(xié)議進(jìn)行檢測(cè),當(dāng)數(shù)據(jù)包為IEC104協(xié)議時(shí)允許通過,否則將數(shù)據(jù)包丟棄;
5)防火墻通過IEC104模塊進(jìn)行IEC104協(xié)議過濾。
[0007]進(jìn)一步,所述步驟2)中的系統(tǒng)安全檢查具體為:安全策略采用最少數(shù)據(jù)報(bào)文通過的原則,包過濾模塊基于源IP地址、目的IP地址以及基于源端口、目的端口和基于協(xié)議類型提供安全檢查。
[0008]進(jìn)一步,所述步驟3)具體為:
①防火墻將管理員按不同權(quán)限劃分為超級(jí)管理員、管理員和審計(jì)員三種身份,每種身份對(duì)應(yīng)不同權(quán)限的系統(tǒng)操作,進(jìn)入系統(tǒng)操作時(shí)對(duì)管理員的身份同時(shí)進(jìn)行密碼和指紋識(shí)別兩種身份鑒別方式;
②管理員的管理命令集合是一個(gè)特制的、封閉的精簡(jiǎn)集合,管理員根據(jù)指定的配置操作進(jìn)行自定義數(shù)據(jù)包過濾規(guī)則的設(shè)定;
③系統(tǒng)對(duì)管理員的操作命令進(jìn)行檢查,將不符合規(guī)定格式的操作命令或是拒絕或是使用系統(tǒng)缺省值,避免了緩沖區(qū)產(chǎn)生溢出攻擊的可能性。
[0009]進(jìn)一步,所述步驟5)具體為:
①IEC104模塊對(duì)數(shù)據(jù)包的完整性進(jìn)行檢測(cè),當(dāng)數(shù)據(jù)包完整時(shí)進(jìn)行下一步檢測(cè),否則將數(shù)據(jù)包丟棄;
②IEC104模塊檢查數(shù)據(jù)包內(nèi)報(bào)文的功能碼是否符合用戶設(shè)定的功能碼,當(dāng)符合用戶設(shè)定的功能碼時(shí)進(jìn)行下一步檢測(cè),否則將數(shù)據(jù)包丟棄;
③IEC104模塊檢查數(shù)據(jù)包內(nèi)的設(shè)備號(hào)是否是用戶設(shè)定的設(shè)備節(jié)點(diǎn),當(dāng)設(shè)備號(hào)是用戶設(shè)定的設(shè)備節(jié)點(diǎn)時(shí)進(jìn)行下一步檢測(cè),否則將數(shù)據(jù)包丟棄;
③IEC104模塊對(duì)數(shù)據(jù)包內(nèi)數(shù)據(jù)內(nèi)容描述的寄存器值進(jìn)行檢測(cè),查看是否符合用戶設(shè)定的權(quán)限,當(dāng)符合用戶設(shè)定的權(quán)限時(shí)允許數(shù)據(jù)包通過,否則將數(shù)據(jù)包丟棄。
[0010]進(jìn)一步,所述步驟①中對(duì)數(shù)據(jù)包的完整性進(jìn)行檢測(cè)包括數(shù)據(jù)包的協(xié)議頭區(qū)域和數(shù)據(jù)區(qū)域。
[0011]本發(fā)明的一種支持過濾IEC104協(xié)議的工控防火墻實(shí)現(xiàn)方法通過在內(nèi)核中設(shè)置的IEC104模塊,對(duì)數(shù)據(jù)包進(jìn)行過濾處理,不僅實(shí)現(xiàn)了對(duì)工控協(xié)議IEC104的過濾與合法性檢查,保障工業(yè)指令的合法性、有效性與完整性,提高了過濾效率;而且實(shí)現(xiàn)了原來只能通過代理方式實(shí)現(xiàn)的內(nèi)容過濾功能;避免了代理方式對(duì)CPU的資源消耗;此外,本發(fā)明的防火墻管理員按不同權(quán)限劃分為超級(jí)管理員、管理員和審計(jì)員三種身份,管理員進(jìn)入系統(tǒng)時(shí)采用密碼和指紋識(shí)別兩種身份鑒別方式進(jìn)行身份識(shí)別,增強(qiáng)了系統(tǒng)的安全性。
[0012]
【附圖說明】
[0013]圖1為本發(fā)明中防火墻系統(tǒng)的整體結(jié)構(gòu)示意圖;
圖2為本發(fā)明中防火墻與IEC104模塊連接示意圖;
圖3為本發(fā)明對(duì)IEC104協(xié)議進(jìn)行過濾的流程圖。
[0014]
【具體實(shí)施方式】
[0015]下面結(jié)合【附圖說明】本發(fā)明。
[0016]如圖1-3所示,本發(fā)明提供了一種支持過濾IEC104協(xié)議的工控防火墻實(shí)現(xiàn)方法,其主要是通過在防火墻的內(nèi)核中設(shè)置一 IEC104模塊,實(shí)現(xiàn)工控協(xié)議IEC104協(xié)議的過濾,由于IEC104模塊直接在內(nèi)核工作,對(duì)IEC104協(xié)議報(bào)文的功能碼、設(shè)備號(hào)、偏移地址以及寄存器值等數(shù)據(jù)過濾,提高了過濾效率,并且實(shí)現(xiàn)了原來只能通過代理方式實(shí)現(xiàn)的內(nèi)容過濾功能,避免了代理方式對(duì)CPU的資源消耗。
[0017]本發(fā)明的IEC104模塊是在工控防火墻內(nèi)部的一段用程序設(shè)計(jì)語(yǔ)言編輯的代碼,防火墻用戶可通過防火墻的管理接口對(duì)IEC104協(xié)議設(shè)定過濾規(guī)則,如設(shè)置某IEC104從站只能讀取某功能碼數(shù)據(jù)。本發(fā)明的過濾方法具體過程如下:
步驟1:將防火墻設(shè)置為橋接模式,將IEC104主站和IEC104從站分別設(shè)置于防火墻統(tǒng)一網(wǎng)橋中的不同的以太網(wǎng)接口上;以便建立會(huì)話跟蹤;其中,對(duì)數(shù)據(jù)包