一种管理工业防火墙的方法和装置的制造方法
【技术领域】
[0001] 本发明涉及防火墙技术,尤指一种管理工业防火墙的方法和装置。
【背景技术】
[0002] 工业防火墙,通常都需要分布式部署、集中管理。图1为工业防火墙分布式部署的 示意图。如图1所示,分散部署多台工业防火墙,由一台管理服务器统一管理这些工业防火 墙。管理服务器与工业防火墙之间需要实现网络通信,完成规则的下发及日志告警的收集。
[0003] 现有的管理工业防火墙的方法大致包括:
[0004] 基于互联网协议(IP,Internet Protocol),工业防火墙在IP层对设备发现消息 封装IP头后,将封装后的设备发现消息发送给MAC层,MAC层封装MAC头后广播设备发现 消息;其中,设备发现消息的媒体接入控制(MAC, Media Access Control)头中包含有自身 的MAC地址,IP头中包含有自身的IP地址。
[0005] 管理服务器的MAC层接收到设备发现消息,去掉设备发现消息中的MAC头后发送 给IP层,IP层去掉IP头后发送给用户数据协议(M)P,User Datagram Protocol) /传输控 制协议(TCP, Transmission Control Protocol)层,IP层接收到来自UDP/TCP层的设备发 现响应消息时,对设备发现响应消息封装IP头后发送给MAC层,MAC层封装MAC头后发送 给工业防火墙;其中,设备发现响应消息的MAC头中包含有自身的MAC地址和工业防火墙的 MAC地址,IP头中包含有自身的IP地址和工业防火墙的IP地址;
[0006] 工业防火墙的MAC层接收到设备发现响应消息,去掉MAC层后发送给IP层,IP层 去掉IP头后发送给M)P/TCP层;
[0007] 管理服务器的IP层在满足下发条件时对规则下发消息封装IP头后发送给MAC 层,MAC层封装MAC头后向工业防火墙发送规则下发消息;
[0008] 工业防火墙的MAC层接收到规则下发消息,去掉规则下发消息的MAC头后发送给 IP层,IP层去掉IP头后发送给m)P/TCP层,UDP/TCP层解析规则下发消息中的规则,根据 解析得到的规则执行安全功能,并向IP层发送规则下发响应消息,IP层对规则下发响应消 息封装IP头后发送给MAC层,MAC层封装MAC头后发送给管理服务器;
[0009] 工业防火墙的IP层周期性对日志上报消息封装IP头后发送给MAC层,MAC层封 装MAC头后发送给管理服务器。
[0010] 现有的管理工业防火墙的方法中,由于实现管理服务器与工业防火墙之间的网络 通信是基于IP通信。图2为管理服务器和工业防火墙通信示意图。如图2所示,管理服务 器与每一台工业防火墙的管理接口都必须配置一个IP地址,才能实现双方的网络通信,从 而有可能被攻击者发现并发起攻击,降低了工业防火墙的安全性。
【发明内容】
[0011] 为了解决上述问题,本发明提出了一种管理工业防火墙的方法和装置,能够提高 工业防火墙的安全性。
[0012] 为了达到上述目的,本发明提出了一种管理工业防火墙的方法,包括:
[0013] 工业防火墙的自定义层生成设备发现消息,对设备发现消息封装自定义头后发送 给媒体访问控制MAC层,MAC层封装MAC头后广播设备发现消息;
[0014] 管理服务器的MAC层接收到设备发现消息,对设备发现消息去掉MAC头后发送给 自定义层,自定义层判断出设备发现消息的自定义头中的协议类型为预先设置的协议类 型,且MAC头中的目的MAC地址表示广播消息,获取工业防火墙的MAC地址和工业防火墙标 识之间的第一对应关系,自定义层生成设备发现响应消息,根据第一对应关系对设备发现 响应消息封装自定义头后,发送给MC层,MC层封装MC头后发送给工业防火墙;
[0015] 工业防火墙的MAC层接收到设备发现响应消息,对设备发现响应消息去掉MAC头 后发送给自定义层,自定义层判断出设备发现响应消息中自定义头的协议类型为预先设置 的协议类型,获取管理服务器的MAC地址和管理服务器标识之间的第二对应关系。
[0016] 优选地,在满足规则下发条件时,该方法还包括:
[0017] 所述管理服务器的自定义层生成规则下发消息,根据所述第一对应关系对规则下 发消息封装自定义头后发送给MAC层,MAC层对所述规则下发消息封装MAC头后发送给所 述工业防火墙;
[0018] 所述工业防火墙的MAC层接收到所述规则下发消息,去掉MAC头后发送给自定义 层,自定义层解析规则并根据规则执行安全功能,同时生成规则下发响应消息,根据所述第 二对应关系对规则下发响应消息封装自定义头后发送给MAC层,MAC层封装MAC头后发送 给管理服务器。
[0019] 优选地,所述规则下发消息包括一个或多个类型长度值TLV结构,所述TLV结构包 括消息类型、消息内容和消息内容的长度。
[0020] 优选地,该方法还包括:
[0021] 所述工业防火墙的自定义层周期性生成日志上报消息,根据所述第二对应关系对 所述日志上报消息封装自定义头后发送给MC层,MC层封装MC头后发送给所述管理服 务器。
[0022] 优选地,所述日志上报消息包括一个或多个TLV结构,所述TLV结构包括消息类 型、消息内容和消息内容的长度。
[0023] 优选地,所述自定义头包括协议类型、源设备标识和目的设备标识。
[0024] 本发明还提出了一种工业防火墙,至少包括:
[0025] 第一生成模块,用于在自定义层生成设备发现消息,对设备发现消息封装自定义 头后发送给媒体访问控制MAC层;
[0026] 第一发送模块,用于在MAC层封装MAC头后广播设备发现消息;
[0027] 第一接收模块,用于在MAC层接收到设备发现响应消息,对设备发现响应消息去 掉MAC头后发送给自定义层;
[0028] 第一获取模块,用于在自定义层判断出设备发现响应消息中自定义头的协议类型 为预先设置的协议类型,获取管理服务器的MAC地址和管理服务器标识之间的第二对应关 系。
[0029] 优选地,所述第一接收模块还用于:
[0030] 在MAC层接收到规则下发消息,去掉MAC头后发送给自定义层;
[0031] 所述第一生成模块还用于:
[0032] 在自定义层解析规则并根据规则执行安全功能,同时生成规则下发响应消息,根 据所述第二对应关系对规则下发响应消息封装自定义头后发送给MC层;
[0033] 所述第一发送模块还用于:
[0034] 在MAC层封装MAC头后发送给管理服务器。
[0035] 优选地,所述第一生成模块还用于:
[0036] 在自定义层周期性生成日志上报消息,根据所述第二对应关系对所述日志上报消 息封装自定义头后发送给MAC层;
[0037] 所述第一发送模块还用于:在MAC层封装MAC头后发送给所述管理服务器。
[0038] 本发明还提出了一种管理服务器,至少包括:
[0039] 第二接收模块,用于在MAC层接收到设备发现消息,对设备发现消息去掉MAC头后 发送给自定义层;
[0040] 第二获取模块,用于在自定义层判断出设备发现消息的自定义头中的协议类型为 预先设置的协议类型,且MAC头中的目的MAC地址表示广播消息,获取工业防火墙的MAC地 址和工业防火墙标识之间的第一对应关系;
[0041] 第二生成模块,用于在自定义层生成设备发现响应消息,根据第一对应关系对设 备发现响应消息封装自定义头后,发送给MC层;
[0042] 第二发送模块,用于在MAC层封装MAC头后发送给工业防火墙。
[0043] 优选地,所述第二生成模块还用于:
[0044] 在满足规则下发条件时,在自定义层生成规则下发消息,根据所述第一对应关系 对规则下发消息封装自定义头后发送给MC层;
[0045] 所述第二发送模块还用于:
[0046] MC层对所述规则下发消息封装MC头后发送给所述工业防火墙。
[0047] 与现有技术相比,本发明包括:工业防火墙的自定义层生成设备发现消息,对设备 发现消息封装自定义头后发送给媒体访问控制MC层,MC层封装MC头后广播设备发现 消息;管理服务器的MC层接收到设备发现消息,对设备发现消息去掉MC头后发送给自定 义层,自定义层判断出设备发现消息的自定义头中的协议类型为预先设置的协议类型,且 MAC头中的目的MAC地址表示广播消息,获取工业防火墙的MAC地址和工业防火墙标识之间 的第一对应关系,自定义层生成设备发现响应消息,根据第一对应关系对设备发现响应消 息封装自定义头后,发送