给MAC层,MAC层封装MAC头后发送给工业防火墙;工业防火墙的 MC层接收到设备发现响应消息,对设备发现响应消息去掉MC头后发送给自定义层,自定 义层判断出设备发现响应消息中自定义头的协议类型为预先设置的协议类型,获取管理服 务器的MAC地址和管理服务器标识之间的第二对应关系。通过本发明的方案,采用管理服 务器和工业防火墙之间采用自定义层实现对工业防火墙的管理,而不需要为工业防火墙配 置IP地址,提高了工业防火墙的安全性。
【附图说明】
[0048] 下面对本发明实施例中的附图进行说明,实施例中的附图是用于对本发明的进一 步理解,与说明书一起用于解释本发明,并不构成对本发明保护范围的限制。
[0049] 图1为工业防火墙分布式部署的示意图;
[0050] 图2为管理服务器和工业防火墙通信示意图;
[0051] 图3为本发明管理工业防火墙的方法的流程图;
[0052] 图4为本发明工业防火墙的结构组成示意图;
[0053] 图5为本发明管理服务器的结构组成示意图。
【具体实施方式】
[0054] 为了便于本领域技术人员的理解,下面结合附图对本发明作进一步的描述,并不 能用来限制本发明的保护范围。需要说明的是,在不冲突的情况下,本申请中的实施例及实 施例中的各种方式可以相互组合。
[0055] 参见图3,本发明提出了一种管理工业防火墙的方法,包括:
[0056] 步骤300、工业防火墙的自定义层生成设备发现消息,对设备发现消息封装自定义 头后发送给MAC层,MAC层封装MAC头后广播设备发现消息。
[0057] 本步骤中,工业防火墙安装完成,并初始化结束后,自定义层主动生成设备发现消 息。而不需要为工业防火墙配置IP地址后才进行通信,由于工业防火墙没有IP地址,因此 无法通过IP地址对工业防火墙进行攻击,从而提高了工业防火墙的安全性。并且,由于工 业防火墙主要用于制造业工厂,相对于传统防火墙应用单位(如银行、政府机关)等,工厂 员工对IT技术不够了解,对于设置IP地址等操作会给工厂员工带来麻烦,而本发明不需要 配置IP地址,从而降低了工业防火墙现场实施的复杂性和成本。
[0058] 本步骤中,设备发送消息为空消息。
[0059] 本步骤中,MC头包括:源MC地址、目的MC地址;设备发现消息的自定义头包括 协议类型、源设备标识和目的设备标识。
[0060] 设备发现消息中,源MC地址可以取工业防火墙的地址,目的MC地址可以预先设 置,协议类型可以预先设置,源设备标识可以取工业防火墙标识,目的设备标识可以预先设 置。
[0061] 表1为设备发现消息的一个示例。如表1所示,设备发现消息的MAC头包括: Ether_dhost、Ether_shost,自定义头包括:Protocol_type、Deviceid_shost、Deviceid_ shost 〇
[0062]
[0063]
【主权项】
1. 一种管理工业防火墙的方法,其特征在于,包括: 工业防火墙的自定义层生成设备发现消息,对设备发现消息封装自定义头后发送给媒 体访问控制MAC层,MAC层封装MAC头后广播设备发现消息; 管理服务器的MC层接收到设备发现消息,对设备发现消息去掉MC头后发送给自定 义层,自定义层判断出设备发现消息的自定义头中的协议类型为预先设置的协议类型,且 MAC头中的目的MAC地址表示广播消息,获取工业防火墙的MAC地址和工业防火墙标识之间 的第一对应关系,自定义层生成设备发现响应消息,根据第一对应关系对设备发现响应消 息封装自定义头后,发送给MAC层,MAC层封装MAC头后发送给工业防火墙; 工业防火墙的MAC层接收到设备发现响应消息,对设备发现响应消息去掉MAC头后发 送给自定义层,自定义层判断出设备发现响应消息中自定义头的协议类型为预先设置的协 议类型,获取管理服务器的MAC地址和管理服务器标识之间的第二对应关系。
2. 根据权利要求1所述的方法,其特征在于,在满足规则下发条件时,该方法还包括: 所述管理服务器的自定义层生成规则下发消息,根据所述第一对应关系对规则下发消 息封装自定义头后发送给MC层,MC层对所述规则下发消息封装MC头后发送给所述工 业防火墙; 所述工业防火墙的MAC层接收到所述规则下发消息,去掉MAC头后发送给自定义层,自 定义层解析规则并根据规则执行安全功能,同时生成规则下发响应消息,根据所述第二对 应关系对规则下发响应消息封装自定义头后发送给MC层,MC层封装MC头后发送给管 理服务器。
3. 根据权利要求2所述的方法,其特征在于,所述规则下发消息包括一个或多个类型 长度值TLV结构,所述TLV结构包括消息类型、消息内容和消息内容的长度。
4. 根据权利要求2所述的方法,其特征在于,该方法还包括: 所述工业防火墙的自定义层周期性生成日志上报消息,根据所述第二对应关系对所述 日志上报消息封装自定义头后发送给MAC层,MAC层封装MAC头后发送给所述管理服务器。
5. 根据权利要求4所述的方法,其特征在于,所述日志上报消息包括一个或多个TLV结 构,所述TLV结构包括消息类型、消息内容和消息内容的长度。
6. 根据权利要求1?5任意一项所述的方法,其特征在于,所述自定义头包括协议类 型、源设备标识和目的设备标识。
7. -种工业防火墙,其特征在于,至少包括: 第一生成模块,用于在自定义层生成设备发现消息,对设备发现消息封装自定义头后 发送给媒体访问控制MC层; 第一发送模块,用于在MC层封装MC头后广播设备发现消息; 第一接收模块,用于在MAC层接收到设备发现响应消息,对设备发现响应消息去掉MAC 头后发送给自定义层; 第一获取模块,用于在自定义层判断出设备发现响应消息中自定义头的协议类型为预 先设置的协议类型,获取管理服务器的MAC地址和管理服务器标识之间的第二对应关系。
8. 根据权利要求7所述的工业防火墙,其特征在于,所述第一接收模块还用于: 在MAC层接收到规则下发消息,去掉MAC头后发送给自定义层; 所述第一生成模块还用于: 在自定义层解析规则并根据规则执行安全功能,同时生成规则下发响应消息,根据所 述第二对应关系对规则下发响应消息封装自定义头后发送给MAC层; 所述第一发送模块还用于: 在MAC层封装MAC头后发送给管理服务器。
9. 根据权利要求8所述的工业防火墙,其特征在于,所述第一生成模块还用于: 在自定义层周期性生成日志上报消息,根据所述第二对应关系对所述日志上报消息封 装自定义头后发送给MC层; 所述第一发送模块还用于;在MAC层封装MAC头后发送给所述管理服务器。
10. -种管理服务器,其特征在于,至少包括: 第二接收模块,用于在MAC层接收到设备发现消息,对设备发现消息去掉MAC头后发送 给自定义层; 第二获取模块,用于在自定义层判断出设备发现消息的自定义头中的协议类型为预先 设置的协议类型,且MAC头中的目的MAC地址表示广播消息,获取工业防火墙的MAC地址和 工业防火墙标识之间的第一对应关系; 第二生成模块,用于在自定义层生成设备发现响应消息,根据第一对应关系对设备发 现响应消息封装自定义头后,发送给MAC层; 第二发送模块,用于在MAC层封装MAC头后发送给工业防火墙。
11. 根据权利要求10所述的管理服务器,其特征在于,所述第二生成模块还用于: 在满足规则下发条件时,在自定义层生成规则下发消息,根据所述第一对应关系对规 则下发消息封装自定义头后发送给MAC层; 所述第二发送模块还用于: MAC层对所述规则下发消息封装MAC头后发送给所述工业防火墙。
【专利摘要】本发明公开了一种管理工业防火墙的方法和装置,包括:工业防火墙的自定义层生成设备发现消息,对设备发现消息封装自定义头后发送给媒体访问控制MAC层,MAC层广播设备发现消息;管理服务器的MAC层对设备发现消息去掉MAC头后发送给自定义层,自定义层获取工业防火墙的MAC地址和工业防火墙标识之间的第一对应关系,自定义层生成设备发现响应消息,根据第一对应关系对设备发现响应消息封装自定义头后,发送给MAC层,MAC层发送给工业防火墙;工业防火墙的MAC层对设备发现响应消息去掉MAC头后发送给自定义层,自定义层获取管理服务器的MAC地址和管理服务器标识之间的第二对应关系。本发明提高了工业防火墙的安全性。
【IPC分类】H04L29-06, H04L12-24
【公开号】CN104618143
【申请号】CN201410852732
【发明人】王弢, 朱毅明
【申请人】北京和利时系统工程有限公司
【公开日】2015年5月13日
【申请日】2014年12月31日