一种自动建立以太网通信安全规则的方法
【专利摘要】一种自动建立以太网通信安全规则的方法,步骤如下:1.将安全装置接入网络;2.所述安全装置被动获取以太网网络中的数据包;3.所述安全装置将获取的数据包发送给协议解析模块,4.所述协议解析模块解析数据包内容,获得通信协议类型信息,确定是否为工业通讯协议;5.若是工业通讯协议,解析数据包中的关键信息,并提取出来;6.将提取出来的信息发送给规则辅助生成向导模块;7.所述规则辅助生成向导模块接收到信息后,判断信息完整后,形成安全规则。上述方法是根据实际通讯中的数据信息形成安全规则,使安全规则的设置有针对性,不会遗漏,方便省力,确保工业网络中传输的实时性和数据完整性。
【专利说明】—种自动建立以太网通信安全规则的方法
【技术领域】
[0001]本发明涉及通信安全领域,特别是涉及一种自动建立以太网通信安全规则的方法。
【背景技术】
[0002]目前市场上的防火墙在部署到网络中时,首先需要对防火墙进行规则配置。防火墙规则配置过程非常麻烦,在配置之前,首先要收集大量的网络信息,比如,网络里面有哪些设备,哪些设备的通讯包允许通过,哪些拒绝通过等等;收集整理完信息之后,需要添加至IJ防火墙规则列表中,但添加规则容易出错,一旦规则配置出错,一些合法通讯包可能就会被阻断,影响正常的通信,在工业网络里面,它的影响更大,因为在工业网络中,需要确保传输实时性和数据完整性。
【发明内容】
[0003]为解决上述技术问题,本发明提供了一种可以自动建立以太网通讯安全规则的方法。
[0004]为实现上述发明目的,本发明所提供的技术方案是:
[0005]一种自动建立以太网通信安全规则的方法,包括如下步骤:
[0006]步骤一将安全装置接入网络;
[0007]步骤二所述安全装置被动获取以太网网络中的数据包;
[0008]步骤三所述安全装置将获取的数据包发送给协议解析模块,
[0009]步骤四所述协议解析模块解析数据包的网络层、传输层和应用层内容,获得其通信协议类型信息,确定是否为工业通讯协议;
[0010]步骤五如果是工业通讯协议,解析数据包中的关键信息,并提取出来;
[0011]步骤六将提取出来的信息发送给规则辅助生成向导模块;
[0012]步骤七所述规则辅助生成向导模块接收到信息后,判断是否完整;
[0013]步骤八如果信息完整,将形成安全规则。
[0014]进一步地,步骤五中所述关键信息包括源IP、目标IP、源端口、目标端口、协议类型、设备地址、功能码、寄存器区、读写属性、寄存器地址范围、寄存器内容范围等。
[0015]进一步地,还包括步骤八':如果信息不完整,将无法形成安全规则。
[0016]进一步地,所述步骤八中所述安全规则包括防火墙规则和工业通讯协议规则。
[0017]进一步地,所述防火墙规则根据源IP、目标IP、源端口、目标端口、协议类型等五个元素中部分或全部元素形成。
[0018]进一步地,所述工业通讯协议规则根据设备地址、功能码、寄存器区、读写属性、寄存器地址范围、寄存器内容范围等元素中部分或全部元素形成。
[0019]采用上述技术方案,本发明的有益效果有:
[0020]本发明通过截获以太网络中的数据包进行解析,并根据实际通讯数据信息形成安全规则,使安全规则的设置有针对性,不会遗漏,方便省力,确保工业网络中传输的实时性和数据完整性。
[0021]本发明所公开的自动建立以太网通信安全规则的方法,判断数据包的通信协议类型及其关键信息,然后根据这些信息自动给出通信安全规则的推荐配置,给网络安全设备添加规则,将大大提高设备配置的效率和准确性,让网络设备配置不再需要懂得专业网络知识,对于不熟悉网络的自动化工程师也能轻松完成配置。
【专利附图】
【附图说明】
[0022]图1为自动建立以太网通信安全规则的方法流程图。
【具体实施方式】
[0023]为了使本发明的目的、技术方案及优点更加清楚明白,下面结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
[0024]图1为本发明的流程图,如图1所示,一种自动建立以太网通信安全规则的方法,包括如下步骤:
[0025]步骤一将安全装置接入网络;
[0026]步骤二所述安全装置被动获取以太网网络中的数据包;
[0027]步骤三所述安全装置将获取的数据包发送给协议解析模块,
[0028]步骤四所述协议解析模块解析数据包的网络层、传输层和应用层内容,获得其通信协议类型信息,确定是否为工业通讯协议;
[0029]步骤五如果是工业通讯协议,解析数据包中的关键信息,并提取出来,所述关键信息包括源IP、目标IP、源端口、目标端口、协议类型、设备地址、功能码、寄存器区、读写属性、寄存器地址范围、寄存器内容范围等;
[0030]步骤六将提取出来的信息发送给规则辅助生成向导模块;
[0031]步骤七所述规则辅助生成向导模块接收到信息后,判断是否完整;
[0032]步骤八如果信息不完整,将无法形成安全规则,如果信息完整,则进一步形成安全规则,所述安全规则包括防火墙规则和工业通讯协议规则,所述防火墙规则根据源IP、目标IP、源端口、目标端口、协议类型等五个元素中部分或全部元素形成,所述工业通讯协议规则根据设备地址、功能码、寄存器区、读写属性、寄存器地址范围、寄存器内容范围等元素中部分或全部元素形成。
[0033]上述自动建立以太网通信安全规则的方法,根据截获的数据包,自动给出通信安全规则的推荐配置,这样,只有在通信中真实存在的通信类型被设置,使安全规则的设置具有针对性,不会遗漏,可以随时添加防火墙规则,方便省力,且确保了工业网络中传输的实时性和数据的完整性。
[0034]实施例
[0035]接入网络的安全装置截取试图通过的报文,通过协议分析模块,分析结果如下:
[0036]源IP:172.18.16.121 ;
[0037]源端口:1032[0038]目标 IP:172.18.16.122 ;
[0039]目标端口:502;
[0040]设备地址:I ;
[0041]功能码:3 ;
[0042]起始地址:100;
[0043]地址长度为:20 ;
[0044]将分析结果信息发送到规则向导模块,规则向导模块将自动为安全装置形成两条规则,分别是防火墙规则和工业通讯协议规则,分别如下所示:
[0045]防火墙规则:
[0046]172.18.16.121:1032->172.18.16.122:502 ;
[0047]工业通讯协议规则:
[0048]设备地址1,功能码3,寄存器地址范围为100-119。
[0049]将防火墙规则和工业通讯协议规则添加进通信安全规则中,完成以太网通信安全规则的自动建立。
[0050]上述自动建立以太网通信安全规则的方法,通过判断数据包的通信协议类型及其关键信息,然后根据这些信息自动给出通信安全规则的推荐配置,给网络安全设备添加规贝U,将大大提高设备配置的效率和准确性,让网络设备配置不再需要懂得专业网络知识,对于不熟悉网络的自动化工程师也能轻松完成配置。且根据实际通讯中的数据信息形成安全规则,使安全规则的设置有针对性,不会遗漏,方便省力,确保工业网络中传输的实时性和数据完整性。
[0051]以上所述实施例仅表达了本发明的实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
【权利要求】
1.一种自动建立以太网通信安全规则的方法,其特征在于包括如下步骤: 步骤一将安全装置接入网络; 步骤二所述安全装置被动获取以太网网络中的数据包; 步骤三所述安全装置将获取的数据包发送给协议解析模块; 步骤四所述协议解析模块解析数据包的网络层、传输层和应用层内容,获得其通信协议类型信息,确定是否为工业通讯协议; 步骤五如果是工业通讯协议,解析数据包中的关键信息,并提取出来; 步骤六将提取出来的信息发送给规则辅助生成向导模块; 步骤七所述规则辅助生成向导模块接收到信息后,判断是否完整; 步骤八如果信息完整,将形成安全规则。
2.根据权利要求1所述的自动建立以太网通信安全规则的方法,其特征在于:步骤五中所述关键信息包括源IP、目标IP、源端口、目标端口、协议类型、设备地址、功能码、寄存器区、读写属性、寄存器地址范围、寄存器内容范围等。
3.根据权利要求1所述的自动建立以太网通信安全规则的方法,其特征在于还包括步骤八,:如果信息不完整,将无法形成安全规则。
4.根据权利要求1所述的自动建立以太网通信安全规则的方法,其特征在于:所述步骤八中所述安全规则包括防火墙规则和工业通讯协议规则。
5.根据权利要求4所述的自动建立以太网通信安全规则的方法,其特征在于:所述防火墙规则根据源IP、目标IP、源端口、目标端口、协议类型等五个元素中部分或全部元素形成。
6.根据权利要求4所述的自动建立以太网通信安全规则的方法,其特征在于:所述工业通讯协议规则根据设备地址、功能码、寄存器区、读写属性、寄存器地址范围、寄存器内容范围等元素中部分或全部元素形成。
【文档编号】H04L29/06GK103780601SQ201310552467
【公开日】2014年5月7日 申请日期:2013年10月16日 优先权日:2012年10月17日
【发明者】谷永国, 何迪江 申请人:北京力控华康科技有限公司