隔离保护系统及其执行双向数据包过滤检查的方法
【专利摘要】本发明公开了一种隔离保护系统及其执行双向数据包过滤检查的方法,该隔离保护系统设置在通信线路中对通信双方的通信设施进行隔离保护,它包括:第一保护装置和第二保护装置,用于分别与所述通信方之一的通信设施连接;双向数据传输模块,设置在所述第一保护装置和所述第二保护装置之间,用于连接所述第一保护装置和所述第二保护装置,而且根据专有通信协议将所述第一保护装置输出的数据传送到所述第二保护装置,以及将所述第二保护装置输出的数据传送到所述第一保护装置;其特征在于:所述第一保护装置和所述第二保护装置具有完全独立的硬件结构并分别运行于独立的中央处理器。
【专利说明】隔离保护系统及其执行双向数据包过滤检查的方法
【技术领域】
[0001]本发明涉使用在通信线路上的隔离保护系统及其执行双向数据包过滤检查的方法,设置在通信路径中(例如通信网络之间、网关路径中以及不同的通信终端之间),实现网络安全保障、通信双方的设施的隔离保护、及其双向数据包过滤检查。尤其适用于工业现场的信息网络和控制网络。
【背景技术】
[0002]现有工业现场的信息网络和控制网络之间部署的安全性产品多采用防火墙或者网关广品。
[0003]现有防火墙技术存在的不足是对工业通信协议支持不够充分。例如工业现场应用OPC工业协议时,需要使用1024到65535的动态端口,所以防火墙必须开放上述范围内的所有端口,这样做显著增加了网络的安全性风险。另外,防火墙实现了 IP层的读取控制,但是不支持对数据的读取控制。防火墙支持对一般网络的数据链路层、网络层、传输层进行检查,但是对应用层的检查功能存在一定的不足,尤其是对工业协议的检查功能有所欠缺。
[0004]网关技术首先从控制系统网络的服务器采集数据,网关代理了控制系统网络的服务器的功能,MES/ERP层的客户端再通过网关采集数据,以此达到防护控制系统网络的服务器的目的。网关技术存在的不足在于网关产品有自己的IP地址,即使已经配置好的控制系统网络,其MES/ERP层的客户端仍然需要重新设定(更改服务器的IP以及服务器名等、注册网关服务器)。另外,网关的防火墙功能不足,由于网关产品有IP地址,可能会被攻击。当网关产品被入侵时,控制系统中设备的风险增加了。
[0005]作为保护网络安全、尤其是保护工业现场应用网络的现有技术可以参见例如中国专利公开CN101014048 (申请日2007年02月12、申请号200710063822.4、发明名称:分布式防火墙系统及实现防火墙内容检测的方法),以及多芬诺(TOFINO)工业网络安全保护技术(可通过链接http://www.doc88.com/p-649582721525.html来查看)。上述已有技术作为【背景技术】结合在本申请中作为参考。
[0006]可以将上述的已有技术用图1的框图来概括:在通信的双方(NI,N2)的通信线路中设置有安全防护装置100,其中的过滤模块FO对于“来往”的数据包进行过滤。上述已有技术的缺陷在于,现有技术中的防火墙安全过滤检查模块都运行于单个中央处理器(CPU)上。在这种情况下,当防火墙在从一通信方向另一通信方传输数据时被攻击,则由于整个防火墙运行于单个中央处理器上,则整个安全防火墙将被损坏而无法使用。而且,上述已有技术中的安全防火墙技术并不对于数据包进行深度检查,例如对包体内容的深度检查,从而使得深入隐藏在包体内的病毒数据有可能破坏通信设施(NI,N2)的操作。
【发明内容】
[0007]本发明所要解决的技术问题是提供一种设置在通信线路中对通信双方的通信设施进行隔离保护的隔离保护系统及其执行双向数据包过滤检查的方法,该隔离保护系统集成有分别针对通信双方的运行于独立的中央处理器上的两个保护装置以及按照专有通信协议在两个保护装置之间进行双向数据通信的一个双向数据传输模块,以在确保在通信双方之间的数据包传输的安全性的同时避免由于针对一通信方的中央处理器受到攻击而被破坏时整个隔离保护系统都受到损坏而无法使用。
[0008]为此,本发明提供了一种隔离保护系统,设置在通信线路中对通信双方的通信设施进行隔离保护,它包括:
[0009]第一保护装置和第二保护装置,用于分别与所述通信方之一的通信设施连接;
[0010]双向数据传输模块,设置在所述第一保护装置和所述第二保护装置之间,用于连接所述第一保护装置和所述第二保护装置,而且根据专有通信协议将所述第一保护装置输出的数据传送到所述第二保护装置,以及将所述第二保护装置输出的数据传送到所述第一保护装置;其特征在于:
[0011]所述第一保护装置和所述第二保护装置具有完全独立的硬件结构并分别运行于独立的中央处理器,其中所述第一保护装置和所述第二保护装置的每一个包括:
[0012]第一接口,用于分别从所连接的通信方的通信设施接收数据流的数据包并将来自另一通信方的数据输出到所连接的通信设施;
[0013]过滤模块,用于对从所述第一接口接收的数据流执行过滤检查,并输出符合安全性要求的数据;
[0014]第二接口,用于接收所述的符合安全性要求的数据,并将该符合安全性要求的数据传送到所述双向数据传输模块;以及
[0015]传输通道,用于将来自所述第二接口的数据传送到所述第一接口。
[0016]本发明的上述隔离保护系统采用了本发明的“2+1”的结构,即采用了包括具有完全独立的硬件结构并分别运行于独立的中央处理器的第一保护装置和第二保护装置以及连接在第一保护装置和第二保护装置之间使通信双方根据专有通信协议进行通信的双向数据传输模块的结构,来在通信双方之间实现安全的双向数据通信。由于两个保护装置运行于独立的中央处理器上,因此当其中的一个保护装置受到攻击或者物理损坏时,另一个保护装置不会受其影响;由于构成隔离保护系统的两个保护装置运行于独立的中央处理器上,因此在硬件实现上可以以分立的方式构建每个保护装置,这样当其中一个保护装置受到攻击或者物理损坏时,可以方便地进行替换和有针对性地修复和维护;另外,由于构成隔离保护系统的两个保护装置的硬件结构完全独立,因此在制造上可以分开制造硬件结构完全独立控制的保护装置,然后根据各保护装置所连接的通信方或目的通信方的安全性需求对其硬件结构进行程序化,与现有技术中的运行于单个中央处理器上的防火墙安全过滤检查模块相比,本发明的这种配置可以在整体上简化硬件制造工艺的同时,提供对于通信双方设施的分别保护。另外,根据本发明的隔离保护系统中所包括的设置于两个保护装置之间的双向数据通信模块按照专有通信协议在针对通信双方的两个保护装置之间架构通信链路,也就是说,通过了一个保护装置的数据流的数据包必须满足专有通信协议才能够进入另一个保护装置,因此双向数据传输模块在两个保护装置之间(也就是在通信双方之间)设置了另一道保护屏障。由于根据本发明的隔离保护系统是通过保护装置中的过滤模块和双向数据传输模块在通信双方之间实现安全的双向数据传输,因此本发明的隔离保护系统克服了现有网关技术中存在的网关产品必须有自己的IP地址的问题,也就是说,在通信双方采用根据本发明的隔离保护系统建立通信时,不需要对已经配置好的各个网络端进行重新设置,这样,由于没有IP地址,被攻击的可能性得到了进一步降低。
[0017]其中,所述的通信方的通信设施可以是计算机、服务器或其它网络信息的输入/输出装置。
[0018]优选地,所述数据过滤模块可以包括分别用于对传输的数据流的数据包执行基本防火墙检查的内置防火墙模块和用于执行数据包深度过滤的数据包过滤模块。
[0019]其中,所述内置防火墙模块可以对数据流的数据包执行包头内容检查,而所述数据包过滤模块可以对数据流的数据包执行包体内容检查。
[0020]其中,所述包头内容涉及IP地址、MAC地址、协议类型信息、端口信息,而所述包体内容涉及通信目标、通信源、通信目的、通信类型和通信内容。
[0021 ] 本发明的隔离保护系统的每个保护装置中包括的内置防火墙模块和数据包过滤模块对流经的数据流的数据包先后进行两道过滤检查,其中内置防火墙模块对所流经的数据流的数据包的包头执行基本防火墙检查,而数据包过滤模块对数据流的数据包执行数据包深度过滤检查。进一步地,执行基本防火墙检查可以包括对数据流的数据包执行包头内容检查,而对数据流的数据包执行数据包深度过滤检查可以包括对数据流的数据包执行包体内容检查。在一个保护装置内相继对数据包进行两道过滤处理,确保了流经的数据包的安全性。另外,由于在两个保护装置之间还设置了双向数据传输模块,该双向数据传输模块根据专有通信协议在两个保护装置之间进行进一步的防护。因此,即使在一个保护装置中通过了内置防火墙模块和数据包过滤模块所进行的两道过滤检查处理的不安全数据包在不满足专有通信协议的情况下也无法通过双向数据传输模块而进入另一个保护装置,换句话说,通过了内置防火墙模块和数据包过滤模块之后,不安全数据包的进一步传输也会被双向数据通信模块阻断,这进一步增加了通信双方数据传输的安全性。
[0022]优选地,所述数据包过滤模块中分别内置有支持工业通信协议的过滤列表。
[0023]在本发明的隔离保护系统中,由于各个保护装置中的数据包过滤模块能够检查工业协议的应用数据,因此本发明的网络隔离保护系统能够充分支持工业通信协议,增强了对应用层的检查功能,能够容易地应用于工业现场信息网络和控制网络之间。
[0024]本发明还提供了采用上述隔离保护系统执行双向数据包过滤检查的方法,其特征在于包括步骤:
[0025]在通信线路中设置具有完全独立的硬件结构并且分别运行于独立的中央处理器的第一保护装置和第二保护装置分别用于通信双方的通信设施;以及
[0026]利用设置在第一保护装置和第二保护装置中的过滤模块对传输的数据流的数据包执行过滤检查。
[0027]其中,所述的过滤检查包括:
[0028]对传输的数据流的数据包执行基本防火墙检查,以及
[0029]对传输的数据流的数据包执行深度过滤。
[0030]其中,所述对传输的数据流的数据包执行基本防火墙检查包括对数据流的数据包执行包头内容检查,而所述对传输的数据流的数据包执行深度过滤包括对数据流的数据包执行包体内容检查。
[0031]其中,所述包头内容涉及IP地址、MAC地址、协议类型信息、端口信息,而所述包体内容涉及通信目标、通信源、通信目的、通信类型和通信内容。
[0032]根据本发明的设置在通信线路中对通信双方的通信设施进行隔离保护的隔离保护系统及其执行双向数据包过滤检查的方法,不仅能够通过保护装置中的内置防火墙模块在数据链路层、网络层、传输层上对数据包进行过滤检查以及能够通过保护装置中的数据包过滤模块对数据包进行深度过滤检查来在通信双方之间建立双向数据通信,从而使得本发明的隔离保护系统及其执行双向数据包过滤检查的方法能够实现通信双方的双向数据传输的安全性;而且由于根据本发明的隔离保护系统所包括的针对通信双方的第一保护装置和第二保护装置运行于彼此独立的中央处理器上,因此当其中的一个保护装置受到攻击或者物理损坏时,另一个保护装置不会受其影响。
【专利附图】
【附图说明】
[0033]通过结合附图的以下描述,将会更容易地理解本发明并且更容易地理解其伴随的优点和特征,其中:
[0034]图1示出了现有技术的安全防火墙产品的原理示意图;
[0035]图2示出了根据本发明的第一实施例的隔离保护系统的框图;
[0036]图3示出了根据本发明的第二实施例的隔离保护系统的框图;
[0037]图4示出了利用根据本发明的第二实施例的隔离保护系统从客户端向服务器端传输数据时所执行的数据包过滤检查的方法的流程图;以及
[0038]图5示出了利用根据本发明的第二实施例的隔离保护系统从服务端向客户端传输数据时所执行的数据包过滤检查的方法的流程图。
【具体实施方式】
[0039]为了使本发明的内容更加清楚和易于理解,下面结合附图对本发明的具体实施例进行详细描述。在本发明中,以示例方式,对本发明提出的隔离保护系统及其执行双向数据包过滤检查的方法进行了说明,但是本发明不限于所公开的优选实施例的具体形式。所属领域的技术人员可以根据本发明公开的内容对本发明进行修改和变型,这些修改和变型也应当属于由权利要求限定的本发明保护的范围。
[0040]本发明针对现有工业现场的信息网络和控制网络之间部署的安全性产品多采用防火墙或者网关产品以及现有技术中只能通过运行于单个中央处理器上的防火墙产品来实现双向数据传输的安全性的问题,提出了一种隔离保护系统及其执行双向数据包过滤检查的方法。为了在通信双方之间实现安全的双向数据传输,本发明所提供的设置在通信线路中对通信双方的通信设施进行隔离保护的隔离保护系统采用了本发明的“2+1”结构(SP,针对通信双方的分别运行于彼此独立的两个中央处理器上的两个保护装置和连接在两个保护装置之间利用专有通信协议控制两个保护装置之间数据传输的一个双向数据传输模块)来在通信双方之间建立安全的双向数据传输。其中,针对通信双方的两个保护装置分别运行于独立的中央处理器上,因此当针对一通信方的保护装置受到攻击或者物理损坏时,针对另一通信方的保护装置不会受其影响;由于构成隔离保护系统的两个保护装置运行于独立的中央处理器上,因此在硬件实现上可以以分立的方式构建每个保护装置,这样当其中一个保护装置受到攻击或者物理损坏时,可以方便地进行拆卸替换;另外,由于构成隔离保护系统的两个保护装置的硬件结构完全独立,因此在硬件实现上可以分开制造硬件结构完全独立控制的保护装置,然后根据各保护装置所连接的通信方或目的通信方的安全性需求对其硬件结构进行程序化(这其中主要涉及对通信协议的配置),与现有技术中的运行于单个中央处理器上的防火墙安全过滤检查模块相比,本发明的这种配置可以在整体上简化硬件制造工艺的同时,提供对于通信双方设施的分别保护。另外,隔离保护系统中的双向数据通信模块利用专有通信协议在针对通信双方的两个保护装置之间架构通信链路,也就是说,通过了一个保护装置的数据流必须满足专有通信协议才能够进入另一个保护装置,因此双向数据传输模块在两个保护装置之间(也就是在通信双方之间)设置了另一道保护屏障。这同时也克服了现有网关技术中存在的网关产品必须有自己的IP地址的问题,也就是说,在网络之间采用根据本发明的隔离保护系统建立数据通信时,不需要对已经配置好的各个网络端进行重新设置,这样,由于没有IP地址,被攻击的可能性得到了进一步降低。
[0041]下面参照附图对本发明的隔离保护系统进行描述。
[0042]图2示出了根据本发明的第一实施例的隔离保护系统I的框图。根据本发明的隔离保护系统I可以设置在第一通信方NI和第二通信方N2之间,以在第一通信方NI和第二通信方N2之间实现安全的双向数据通信。其中,第一通信方NI和第二通信方N2的通信设施可以是计算机、服务器或其它网络信息的输入/输出装置。如图2所示,隔离保护系统I可以包括第一保护装置10、第二保护装置20和双向数据传输模块4,即本发明的“2+1”结构。第一保护装置10和第二保护装置20通过双向数据传输模块4进行双向数据通信。双向数据传输模块4中内置有专有通信协议,其可以为专有通信协议硬件或者专有通信协议软件或二者结合,用以在第一保护装置10和第二保护装置20之间建立安全的屏障,使得符合该专有通信协议的数据包通过,而不符合该专有通信协议的数据包被拦截阻断,从而可以确保第一保护装置10和第二保护装置20之间的安全的数据交互。
[0043]如图2所示,第一保护装置10包括与第一通信方NI进行双向数据通信的第一接口 Al以及与双线数据通信模块4进行双向通信的第二接口 BI。在第一保护装置10中还包括过滤模块Fl和将来自第二接口 BI的数据包传送到第一接口 Al的传输通道Cl。过滤模块Fl设置在第一接口 Al和第二接口 BI之间,用于对从第一接口 Al接收到的要从第一通信方NI传输到第二通信方N2的数据包执行过滤检查,并且将符合该过滤模块Fl内置的作为安全性要求的通信协议的数据包输出到第二接口 BI。第二接口 BI将通过了过滤模块Fl的过滤检查的数据包输出到双向数据传输模块4,而双向数据传输模块4根据专有通信协议将第一保护装置10通过第二接口 A2输出的数据传送到第二保护装置20。
[0044]第二保护装置20在硬件结构上与第一保护装置10完全独立。第二保护装置20包括与第二通信方N2进行双向数据通信的第一接口 A2以及与双线数据通信模块4进行双向通信的第二接口 B2。在第二保护装置20中还包括过滤模块F2和将来自第二接口 B2的数据包传送到第一接口 A2的传输通道C2。过滤模块F2设置在第一接口 A2和第二接口 B2之间,用于对从第一接口 A2接收到的要从第二通信方N2传输到第一通信方NI的数据包执行过滤检查,并且将符合该过滤模块F2内置的作为安全性要求的通信协议的数据包输出到第二接口 B2。第二接口 B2将通过了过滤模块F2的过滤检查的数据包输出到双向数据传输模块4,而双向数据传输模块4根据专有通信协议将第二保护装置20通过第二接口 B2输出的数据包传送到第一保护装置10。[0045]根据本发明的隔离保护系统I中的第一保护装置10和第二保护装置20分别运行于彼此独立(即,独立进行操作和运算)的中央处理器CPUl和中央处理器CPU2上,其中,每个中央处理器对应一个内存。这样的构造确保了当其中一台中央处理器受到病毒侵害或者物理损坏时,另一台中央处理器不会受到影响。这两个独立运行于各自中央处理器上的第一保护装置10和第二保护装置20按照专有通信协议通过双向数据传输模块4进行双向数据传输。
[0046]从以上可以看出,根据本发明的第一实施例的隔离保护系统I利用其所包括的运行于独立的中央处理器上的保护装置中所设置的过滤模块和两个保护装置之间设置的双向数据传输模块在通信双方进行数据传输,因此利用根据本发明的第一实施例的隔离保护系统I在网络之间交互数据时,不需要如现有网关产品一样,要对客户端和服务器端的IP地址进行设置,因此对已有网络无任何影响。
[0047]由于根据本发明的隔离保护系统I的安全策略是通过对保护装置所包括的过滤模块进行设置来实现的,因此可以根据通信双方的安全性需求设置适当的安全策略。
[0048]利用根据本发明的第一实施例的隔离保护系统1,当要从第一通信方NI向第二通信方N2传输数据包时,数据包流向如图2中的路径LI所示。具体地讲,来自第一通信方NI的数据由第一保护装置10的第一接口 Al进入第一保护装置10 ;在第一保护装置10内部,该数据包通过过滤模块Fl进行过滤检查;符合安全性要求的数据包通过过滤模块F1,并且经由第一保护装置10的第二接口 A2进入双向数据传输模块4 ;如果该数据包不符合双向数据传输模块4内置的专有通信协议,则数据包将被阻断而无法进入第二保护装置20,如果该数据包符合专有通信协议,则其可以通过中间通信模块4进入第二保护装置20 ;在第二保护装置20内部,该数据包由第二接口 B2通过传输通道C2直接传输到第一接口 A2,从而完成从第一通信方NI向第二通信方N2的数据包传输。在从第一通信方NI向第二通信方N2传输数据包的过程中,数据包首先通过了第一保护装置10中设置的过滤模块Fl的过滤检查,然后根据专有通信协议从第一保护装置10进入第二保护装置20,这样的配置能够确保从第一通信方NI传输到第二通信方N2的数据安全性。从第二通信方N2向第一通信方NI的数据包传输流向如图2中的路径L2所示,其类似于路径LI,在此将省略其描述。
[0049]与图1所示的现有技术的防火墙相比,根据本发明的隔离保护系统I采用了本发明的“2+1”结构:即,针对通信双方的运行于彼此独立的两个中央处理器上且在硬件结构上完全独立的两个保护装置10、20和设置在两个保护装置10、20之间且根据专有通信协议在两个保护装置10、20之间进行安全数据交互的双向数据通信模块4,来在通信双方之间实现双向数据通信。两个保护装置中均包含有对数据包进行过滤检查的过滤模块,这样可以根据通信双方的安全性要求对过滤模块的作为安全性要求的通信协议进行设置,以满足通信双方的安全性要求。在根据本发明的第一实施例的隔离保护系统I中,第一保护装置10和第二保护装置20分别运行于独立的中央处理器上,因此可以实现硬件上彼此完全独立的两个保护装置;双向数据传输模块4设置在第一保护装置10和第二保护装置20之间且利用专有通信协议实现第一保护装置10和第二保护装置20之间的安全通信,本发明的这种“2+1”结构在硬件实现上可以带来很多优点。例如,可以将第一保护装置10和第二保护装置20制造成两个彼此独立的主机,该主机包括中央处理器,而每个中央处理器可以具有相对应的内存。对于每个主机,可以采用以Bootloader作为引导加载程序的专用嵌入式Linux操作系统。这样,两个保护装置之间不会因为一个被攻击或者物理损坏而影响另一个保护装置的性能。又例如,可以将第一保护装置10和第二保护装置20制造成插件形式的装置,即制造成可拆卸形式的装置,而将双向数据传输模块4制造成内置有专有通信协议的背板,这样,当两个保护装置插入背板时,就形成了根据本发明的对通信双方的通信设施进行隔离保护的隔离保护系统。在这种情况下,当其中一个保护装置破坏时,可以容易地进行更换和维护,而另一个保护装置不会受到任何影响。
[0050]下面参照图3描述根据本发明第二实施例的隔离保护系统2。图3所示的第二实施例中与图2所示的第一实施例中相同的标号表示相同的部件,在此不再重复描述。
[0051]与本发明第一实施例的隔离保护系统I不同的是,在根据本发明第二实施例的隔离保护系统2中,第一保护装置10中的过滤模块Fl包括内置防火墙模块Kl和数据包过滤模块SI,而第二保护装置20中的过滤模块F2包括内置防火墙模块K2和数据包过滤模块S2,如图3所示。内置防火墙模块Kl可以对要从第一通信方NI传输到第二通信方N2的从第一接口 Al接收的数据包执行防火墙过滤检查,防火墙过滤检查可以是基本的防火墙检查,以确保一般性的网络攻击难以奏效。基本的防火墙技术通过设定协议、端口、IP等的通信规则实现防御功能,即可以在数据链路层、网络层、传输层上对流经数据包进行检查,这其中主要涉及到对数据包执行包头内容检查,不满足该通信规则的数据包将被拦截。数据包过滤模块SI用于对经过内置防火墙模块Kl过滤后的数据包进行数据包过滤检查,数据包过滤检查不同于防火墙过滤检查,其可以是基于应用层上数据包的深度过滤检查、协议分析,其主要涉及对数据流的数据包执行包体内容检查。在根据本发明的隔离保护系统2部署在工业现场的信息网络和控制网络之间作为工业网络安全隔离系统时,数据包过滤模块SI中可以内置工业通信协议,以检查符合工业通信协议的应用数据。所述包头内容涉及IP地址、MAC地址、协议类型信息、端口信息,而所述包体内容涉及通信目标、通信源、通信目的、通信类型和通信内容。第二保护装置20中的过滤模块F2包括内置防火墙模块K2和数据包过滤模块S2。内置防火墙模块K2用于对要从第二通信方N2传输到第一通信方NI的从第一接口 A2输入的数据包进行防火墙过滤检查,防火墙过滤检查可以是基本的防火墙检查,来确保一般性的网络攻击难以奏效,基本的防火墙技术通过设定协议、端口、IP等的通信规则实现防御功能,即可以在数据链路层、网络层、传输层上对流经数据进行检查,这其中主要涉及到对数据包的包头的检查,不满足该通信规则的数据包将被拦截。数据包过滤模块S2用于对经过内置防火墙模块K2过滤后的数据包进行数据包过滤检查,数据包过滤检查不同于防火墙过滤检查,其可以是基于应用层上数据包的深度过滤检查、协议分析,其主要涉及对数据流的数据包执行包体内容检查。在根据本发明的隔离保护系统2部署在工业现场的信息网络和控制网络之间作为工业网络安全隔离系统时,数据包过滤模块S2中可以内置工业通信协议,以检查符合工业通信协议的应用数据。所述包头内容涉及IP地址、MAC地址、协议类型信息、端口信息,而所述包体内容涉及通信目标、通信源、通信目的、通信类型和通信内容。
[0052]从以上可以看出,第一保护装置10和第二保护装置20中均包含有相继对数据包进行过滤检查的内置防火墙模块和数据包过滤模块,这两道过滤检查可以针对数据流的数据包的不同部分进行过滤检查,例如内置防火墙模块支持对一般网络的数据链路层、网络层、传输层进行检查,即,主要用于对数据包的包头进行过滤检查;而数据包过滤模块支持对应用层数据进行检查,即,主要对数据包内容进行过滤检查,因此可以在数据包过滤模块中内置多种工业通信协议,以用于检查符合工业协议的应用数据。由于根据本发明的隔离保护系统中所包含的每个保护装置均包含有相继对数据进行过滤检查的内置防火墙模块和数据包过滤模块,因此可以确保通过数据的安全性,并且可以通过在数据包过滤模块中预设期望的工业通信协议来使得本发明的网络安全保护系统能够充分地支持工业通信协议,以适应工业现场的信息网络和控制网络之间的安全需求。
[0053]在本发明中,内置防火墙模块SI和内置防火墙模块S2可以相同,S卩,提供相同的基本防火墙过滤检查。数据包过滤模块SI和数据包过滤模块S2可以相同,S卩,其中可以内置有相同的通信协议;也可以根据第一通信方NI和第二通信方N2的不同的安全性要求而内置有不同的通信协议,例如,在第一通信方NI作为数据包的发送方,而第二通信方N2作为数据包的接收方时,可以根据作为数据包接收方的第二通信方N2的安全性要求对第一保护装置10内的数据包过滤模块SI内置的通信协议进行设置;而当第一通信方NI作为数据包的接收方,而第二通信方N2作为数据包的发送方时,可以根据第一通信方NI的安全性要求对第二保护装置20内的数据包过滤模块S2内置的通信协议进行设置,从而满足通信双方的安全性需求。
[0054]由于第一保护装置10和第二保护装置20之间设置了内置有专有通信协议的双向数据传输模块4,这样的话,要从一通信方传输到另一通信方的数据包即使通过了保护装置内的内置防火墙模块和数据包过滤模块的过滤检查,在其不满足双向数据传输模块4中内置的专有通信协议时也会被拦截阻断,而无法到达另一通信方,这进一步增加了通信双方通信线路上的数据传输的安全性。
[0055]根据本发明第二实施例的隔离保护系统2可以应用于工业现场信息网络和控制网路之间,对控制网路进行安全性防护。这主要是因为,在本发明的隔离保护系统2中,第一保护装置10和第二保护装置20中都包含有除了常规内置防火墙过滤检查之外的数据包过滤检查。在数据包过滤模块中可以内置多种自动化产品制造商的私有通信协议,以在客户端和服务器端之间进行有效的OPC、Modbus等工业协议数据的通信,并且支持数据的读写控制。其他非工业数据全部被丢弃。
[0056]下面,将结合图3并且参照图4和图5来详细描述利用本发明的隔离保护系统2执行双向数据包过滤检查的方法。
[0057]为了描述的方便起见,图4和图5中以客户端和服务器端作为通信双方为例描述根据本发明的隔离保护系统2如何在客户端和服务器端实现数据的安全传输的方法。
[0058]图4示出了从客户端向服务器端传输数据的流程图。在步骤S71,客户端发送数据包;在步骤S72,数据包被发送至与客户端连接的CPU (第一保护装置10);在步骤S73,进行基本的防火墙检查,无效数据的数据包将被丢弃(步骤S76),而有效数据进一步进行数据包过滤检查(步骤S74);经过步骤S74的数据包过滤检查的数据如果被认定为是无效数据,则数据包将被丢弃(步骤S76),而被认定为有效的数据将被传送至与服务器端连接的CPU (第二保护装置20)(步骤S75);进一步,在步骤S77,将接收到的数据包发送至服务器端。
[0059]图5示出了从服务器端向客户端传输数据的流程图。在步骤S81,服务器端发送数据包;在步骤S82,数据包被发送至与服务器端连接的CPU (第二保护装置20);在步骤S83,进行基本的防火墙检查,无效数据的数据包将被丢弃(步骤S86),而有效数据进一步进行数据包过滤检查(步骤S84);经过步骤S84的数据包过滤检查的数据如果被认定为是无效数据,则数据包将被丢弃(步骤S86),而被认定为有效的数据将被传送至与客户端连接的CPU(第一保护装置10)(步骤S85);进一步,在步骤S87,将接收到的数据包发送至客户端。
[0060]以上示出了根据本发明的隔离保护系统及其执行双向数据包过滤检查的方法。本发明的隔离保护系统采用了本发明的“2+1”结构,S卩,能够分别与通信双方进行双向通信的第一保护装置和第二保护装置以及置于其间用于对第一保护装置和第二保护装置之间的数据交互进行控制的内置专有通信协议的双向数据传输模块,其特征在于本发明的隔离保护系统中的第一保护装置和第二保护装置分别运行于彼此独立的主机上,由彼此独立的CPU处理器进行控制,这样就确保了当其中一个主机出现故障或受到病毒侵害时,另一个主机不会受到影响。另外,本发明的隔离保护系统中的第一保护装置和第二保护装置内的数据包过滤模块是针对应用层数据包的深度检查、协议分析,通过在其中内置多种专有工业通信协议,可以实现基于内置工业通讯协议的防护模式,在应用层上对数据包进行深度检查,为工业通讯提供独特的、工业级的专业隔离防护解决方案。因此,本发明的隔离保护系统尤其适于应用于工业现场信息网络和控制网络之间的数据的安全交互。
[0061]最后应说明的是:以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神和范围。
【权利要求】
1.一种隔离保护系统,设置在通信线路中对通信双方的通信设施进行隔离保护,它包括: 第一保护装置(10)和第二保护装置(20),用于分别与所述通信方之一的通信设施连接; 双向数据传输模块(4),设置在所述第一保护装置(10)和所述第二保护装置(20)之间,用于连接所述第一保护装置(10)和所述第二保护装置(20),而且根据专有通信协议将所述第一保护装置(10)输出的数据传送到所述第二保护装置(20),以及将所述第二保护装置(20)输出的数据传送到所述第一保护装置(10);其特征在于: 所述第一保护装置(10)和所述第二保护装置(20)具有完全独立的硬件结构并分别运行于独立的中央处理器(CPU1,CPU2),其中所述第一保护装置(10)和所述第二保护装置(20)的每一个包括: 第一接口(Al,A2),用于从所连接的通信方的通信设施接收数据流的数据包并将来自另一通信方的数据输出到所连接的通信设施; 过滤模块(Fl,F2),用于对从所述第一接口(Al,A2)接收的数据流执行过滤检查,并输出符合安全性要求的数据; 第二接口(BI,B2),用于接收所述的符合安全性要求的数据,并将该符合安全性要求的数据传送到所述双向数据传输模块(4);以及 传输通道(Cl,C2),用于将来自所述第二接口(B2,BI)的数据传送到所述第一接口(Al, A2)。
2.根据权利要求1所述的隔离保护系统,其中所述的通信方的通信设施是计算机、月艮务器或其它网络信息的输入/输出装置。
3.根据权利要求1所述的隔离保护系统,其中所述过滤模块(Fl,F2)包括分别用于对传输的数据流的数据包执行基本防火墙检查的内置防火墙模块(K1,K2)和用于执行数据包深度过滤的数据包过滤模块(SI,S2)。
4.根据权利要求3所述的隔离保护系统,其中所述内置防火墙模块(Kl,Κ2)对数据流的数据包执行包头内容检查,而所述数据包过滤模块(SI,S2)对数据流的数据包执行包体内容检查。
5.根据权利要求4所述的隔离保护系统,其中所述包头内容涉及IP地址、MAC地址、协议类型信息、端口信息,而所述包体内容涉及通信目标、通信源、通信目的、通信类型和通信内容。
6.根据权利要求1所述的隔离保护系统,其中所述数据包过滤模块(SI,S2)中分别内置有支持工业通信协议的过滤列表。
7.采用根据权利要求1的隔离保护系统执行双向数据包过滤检查的方法,其特征在于包括步骤: 在通信线路中设置具有完全独立的硬件结构并且分别运行于独立的中央处理器(CPU1,CPU2)的第一保护装置(10)和第二保护装置(20)分别用于通信双方的通信设施;以及 利用设置在第一保护装置(10)和第二保护装置(20)中的过滤模块(F1,F2)对传输的数据流的数据包执行过滤检查。
8.根据权利要求7所述的方法,其中所述的过滤检查包括: 对传输的数据流的数据包执行基本防火墙检查,以及 对传输的数据流的数据包执行数据包深度过滤。
9.根据权利要求8所述的方法,其中 所述对传输的数据流的数据包执行基本防火墙检查包括对数据流的数据包执行包头内容检查,以及 所述对传输的数据流的数据包执行数据包深度过滤包括对数据流的数据包执行包体内容检查。
10.根据权利要求9所述的方法,其中所述包头内容涉及IP地址、MAC地址、协议类型信息、端口信息,而所述包体内容涉及通信目标、通信源、通信目的、通信类型和通信内容。
【文档编号】H04L29/06GK103944865SQ201310023542
【公开日】2014年7月23日 申请日期:2013年1月22日 优先权日:2013年1月22日
【发明者】杨磊, 杨剑楠, 赵岳云 申请人:横河电机株式会社