一种实现Ethernet/Ip协议动态跟踪的工业防火墙的方法与流程

本发明属于工业防火墙深度防护技术领域，尤其涉及的是一种实现Ethernet/Ip协议动态跟踪的工业防火墙的方法。

背景技术：

目前工业防护墙中对Ethernet/Ip的防护主要是字段防护以及Tcp/Ip的会话跟踪防护，字段防护主要分为两部分，字段合理性检查和字段具体数值匹配。一种方式为整个防护过程主要是基于防火墙配置CMP管理端下发的规则以及防火墙系统中实现的Tcp/Ip会话连接跟踪。

SA防火墙基于无IP通信方式，接收来自防火墙配置CMP的管理数据包，将数据包中的规则解析到防护墙中，对经过防火墙的数据进行过滤检测。利用系统本身支持的连接跟踪功能对TCP/Ip会话进行跟踪。另一种方式，是现有方案中防护墙防护Ethernet/Ip需要进行如下操作:

步骤一、防火墙接入防护网络：防火墙根据现场需求，按照设计使用说明，接入工业网络。

步骤二、管理端配置规则：根据Ethernet/Ip规范配置下发规则，包括是否开启合理性检测、字段值匹配以及过滤行为控制

步骤三、下发管理规则：管理端将规则下发至防火墙，防火墙解析并加载至防火墙中；

步骤四、开启Tcp/Ip会话跟踪：运用现有连接跟踪技术，开启Tcp/Ip会话跟踪；

步骤五、防火墙解析匹配：Ethernet/Ip协议通信开始，防护墙根据防火墙配置CMP管理端下发的规则，对Ethernet/Ip通信包进行解析、检测以及匹配；

步骤六、防护结果反馈：根据管理端的下发的防护行为配置，将防护结果反馈到管理股进行动态展示。

以上现有技术存在明显缺点：Ethernet/Ip通信过程中仅仅进行了最基本的防护，防护的信息是可以被攻击者轻松的获得非常基本的数据，服务器甚至整个工业网络仍然极易遭受攻击。

因此，现有技术存在缺陷，需要改进。

技术实现要素：

本发明所要解决的技术问题是针对现有技术的不足，提供一种实现Ethernet/Ip协议动态跟踪的工业防火墙的方法。

本发明的技术方案如下：

一种实现Ethernet/Ip协议动态跟踪的工业防火墙的方法，其中，包括以下步骤：

步骤102：确定数据包是否为Ethernet/Ip协议数据包；

步骤104：判断是否符合TCP/IP连接跟踪会话记录，符合则进行步骤106，不符合直接丢弃该数据包；

步骤106：进行配置的字段数值是否合法，若匹配通过则进行步骤108，匹配未通过则根据下发的规则中的行为方式进行丢弃或放行，并上报日志至防火墙配置CMP管理端；

步骤108：对步骤106中通过的数据包继续进行处理，查找到则认定该数据包合法，进行步骤112，未查找到则进行步骤110；

步骤110：若该数据包为SessionHandle动态协商的请求包，则防火墙放行通过；若该数据包为SessionHandle动态协商的响应包，则将协商的SessionHandle值截取出来，并添加到步骤108中对应的HASH链表中；

步骤112：若该数据包为SessionHandle动态协商取消包，则将该数据包中的SessionHandle截取出来，找到其对应的108步骤中链表中的节点并将该SessionHandle从链表中移除。

所述的方法，其中，所述步骤102包括：根据端口是否为44818来确定数据包是否为Ethernet/Ip协议数据包。

所述的方法，其中，所述步骤104包括：根据TCP/IP中IP地址、端口号、SEQ序列号信息，进行TCP/IP连接跟踪会话。

所述的方法，其中，所述步骤106包括：根据防火墙配置CMP管理端下发的规则，进行基于协议规范的合理性检查以及匹配规则配置的字段数值是否合法。

所述的方法，其中，所述步骤106还包括：所述合理性检查是依据Ethernet/Ip规范中规定的字段值的合法范围。

所述的方法，其中，所述步骤106还包括：所述匹配规则为用户下发了只允许Ethernet/Ip协议某种类型包通过的规则。

所述的方法，其中，所述步骤106还包括：所述行为方式为拦截或匹配到了用户定义的数据包后进行放行或丢弃的行为规则。

所述的方法，其中，所述步骤108包括：对步骤106中通过的数据包继续进行处理，截取数据包中的IP及端口，并将该四元组信息进行HASH，拿到该HASH值后，在SessionHandle存储链表中查找是否存在该HASH值对应的SessionHandle，查找到则认定该数据包合法。

所述的方法，其中，所述步骤112还包括：如出现其它数据包则认为符合防护墙规则及SessionHandle会话跟踪，防火墙进行放行。

采用上述方案，针对组网生产线调测业务中多测试节点数据上传处理时系统响应迟缓、人机交互实时性差的场景，采用异步数据收集入库存储方式来缓解现场测量软件的响应处理压力进而提高调测效率。本发明所提出Ethernet/Ip协议动态会话跟踪，能够在目前基于字段、TCP会话状态防护的基础上，进一步提升防护等级，有效拦截工业网络内针对Ethernet/Ip协议通信的非法攻击，维持工控设备的正常运行，避免因攻击造成的重大损失；该发明的创新点：防火墙针对Ethernet/Ip协议中实现复杂度较高的SessionHandle字段，实现了基于应用层协议层面的动态会话跟踪，通过该种跟踪方式与TCP会话状态跟踪结合形成双路跟踪模式，使攻击者的攻击难度呈复数增长，打破了Ethernet/Ip协议通信普通的防护模式，使工控网络中Ethernet/Ip协议通信的到充分防护。

附图说明

图1为本发明的方法流程图。

具体实施方式

以下结合附图和具体实施例，对本发明进行详细说明。

实施例1

本发明是一种工业网络环境下Ethernet/Ip协议通信过程中对其应用层会话进行动态跟踪的方法。工业网络环境中，防护墙对于Ethernet/Ip的防护，仅仅是根据预先定义的访问控制策略和安全防护策略，解析和过滤经过防火墙的Ethernet/Ip数据流，通过深度检测DPI，检测数据包内容的合理性。Ethernet/IP作为一个重要且复杂的工业通信协议仅做到该种防护是远远不够的。

本发明所提出的Ethernet/Ip应用层会话动态跟踪方法，基于Ethernet/Ip协议中SessionHandle字段的使用，该字段实现复杂度高，可精准控制应用层会话，方法主要步骤分两步：

首先是SessionHandle的获取。在监控会话通信的过程中，对通信数据包进行过滤筛选，一旦检测到协商SessionHandle客户端的请求数据包以及响应数据包之后，将响应包的的SessionHandle截取出来，添加到以该数据包元组信息计算的HASH值为链表节点的链表中。根据是否为SessionHandle取消包，将SessionHandle从链表中移除。

然后是SessionHandle的使用。在获取到SessionHandle后，对接下来所有的数据包除了正常的防护之外，进行SessionHandle跟踪，根据链表中存储的SessionHandle值，对所有的协议通信数据包继续匹配，实现动态跟踪。

本发明方法能解决Ethernet/Ip协议防护力度差，防护覆盖小的问题。

在以上内容基础上，本发明如图1所示，一种实现Ethernet/Ip协议动态跟踪的工业防火墙的方法，包括以下步骤：

步骤102：确定数据包是否为Ethernet/Ip协议数据包；

步骤104：判断是否符合TCP/IP连接跟踪会话记录，符合则进行步骤106，不符合直接丢弃该数据包；判断是利用内核Conntrack模块实现的判断；

步骤106：进行配置的字段数值是否合法，若匹配通过则进行步骤108，匹配未通过则根据下发的规则中的行为方式进行丢弃或放行，并上报日志至防火墙配置CMP管理端；行为方式是指：用户下发规则，比如拦截到了异常包用户决定放行或丢弃，拦截到了未经允许的正常数据包是放行还是丢弃。就是拦截或匹配到了用户定义的数据包后进行何种处理的行为规则。

步骤108：对步骤106中通过的数据包继续进行处理，查找到则认定该数据包合法，进行步骤112，未查找到则进行步骤110；

步骤110：若该数据包为SessionHandle动态协商的请求包，则防火墙放行通过；若该数据包为SessionHandle动态协商的响应包，则将协商的SessionHandle值截取出来，并添加到步骤108中对应的HASH链表中；

步骤112：若该数据包为SessionHandle动态协商取消包，则将该数据包中的SessionHandle截取出来，找到其对应的108步骤中链表中的节点并将该SessionHandle从链表中移除。

所述的方法，其中，所述步骤102包括：根据端口是否为44818来确定数据包是否为Ethernet/Ip协议数据包。

所述的方法，其中，所述步骤104包括：根据TCP/IP中IP地址、端口号、SEQ序列号信息，进行TCP/IP连接跟踪会话。

所述的方法，其中，所述步骤106包括：根据CMP管理端下发的规则，进行基于协议规范的合理性检查以及匹配规则配置的字段数值是否合法。合理性检查是指：依据Ethernet/Ip规范中规定的字段值的合法范围；匹配规则是指：用户下发了什么规则，防火墙匹配什么规则，比如用户下发了只允许Ethernet/Ip协议某种类型包通过的规则；

所述的方法，其中，所述步骤108包括：对步骤106中通过的数据包继续进行处理，截取数据包中的IP及端口，并将该四元组信息进行HASH，拿到该HASH值后，在SessionHandle存储链表中查找是否存在该HASH值对应的SessionHandle，查找到则认定该数据包合法。

所述的方法，其中，所述步骤112还包括：如出现其它数据包则认为符合防护墙规则及SessionHandle会话跟踪，防火墙进行放行。

本发明方法对应的系统采用模块化、组件化设计原则，改变了以往的防火墙防护协议的处理方法，基于防火墙配置CMP规则输入、下发组件，实现针对协议的规则管控，基于防火墙的规则解析组件，将规则加载到防火墙中，基于防火墙的协议解析组件，将经过防火墙的Ethernet/Ip协议进行解析，得到所需的元组信息及动态的SessionHandle值；基于防火墙的协议会话管理组件实现基于SessionHandle的协议会话动态跟踪；基于协议匹配组件，将不符合规则或不符合SessionHandle会话跟踪的通信数据包进行特定处理；基于防火墙的日志上传组件，将不符合的数据包信息上传至防火墙配置CMP管理端；通过防火墙配置CMP的日志处理组件，防火墙上传的日志进行处理解析为特定格式的字符串；通过防火墙配置CMP的日志展示组件，将日志信息时时展示到对应的界面，方面用户查看、配置。

采用上述方案，针对组网生产线调测业务中多测试节点数据上传处理时系统响应迟缓、人机交互实时性差的场景，采用异步数据收集入库存储方式来缓解现场测量软件的响应处理压力进而提高调测效率。本发明所提出Ethernet/Ip协议动态会话跟踪，能够在目前基于字段、TCP会话状态防护的基础上，进一步提升防护等级，有效拦截工业网络内针对Ethernet/Ip协议通信的非法攻击，维持工控设备的正常运行，避免因攻击造成的重大损失；该发明的创新点：防火墙针对Ethernet/Ip协议中实现复杂度较高的SessionHandle字段，实现了基于应用层协议层面的动态会话跟踪，通过该种跟踪方式与TCP会话状态跟踪结合形成双路跟踪模式，使攻击者的攻击难度呈复数增长，打破了Ethernet/Ip协议通信普通的防护模式，是工控网络中Ethernet/Ip协议通信的到充分防护。

应当理解的是，对本领域普通技术人员来说，可以根据上述说明加以改进或变换，而所有这些改进和变换都应属于本发明所附权利要求的保护范围。