通过网络过滤装置过滤数据包的制作方法

通过网络过滤装置过滤数据包的制作方法
【技术领域】
[0001]本发明涉及一种用于在第一网络与第二网络之间过滤数据包的方法和网络过滤
目.0
【背景技术】
[0002]所谓的安全网关(Security Gateway)或者防火墙(Firewall)被安装在网络边界上，以便实现不同网络区域的受控親合O在此，进行网络流量(Netzwerkverkehr)的过滤，使得只有容许的网络流量被允许通过。公知的是将这种安全网关作为个人防火墙(Personal?；[^￥311)集成在终端设备上。因此，尤其是监控关键性不同的(111^618(31116(11；[(311kritisch)网络区域的耦合，其中“关键性不同的”例如意味着:在网络中对要处理的数据包提出其它的、例如更严格的要求。
[0003]在工业自动化系统中，诸如在信号塔中或者在列车控制中的轨道自动化的环境中、在生产车间中的制造自动化的环境中或者在(例如在精炼厂或者啤酒厂中的)过程自动化的环境中，在功能安全性(也称作安全(Safety))方面，关键的自动化区域与普通的网络(例如办公室网络)耦合。在此，防火墙被采用，并且被配置为使得只有被容许的网络流量可以经过。在此，按照可配置的网络安全策略(Netzwerk Security Policy)来过滤数据通信，使得只有容许的数据流量被转交。也可能的是:在自动化区域之内将特别关键的部分区域与自动化区域的较不关键的部分区域通过安全网关或者防火墙相耦合。这样，例如可以将安全关键的自动化部分区域与普通的自动化部分区域相耦合。尤其是，两个分别实时关键的自动化部分区域也可以被耦合。
[0004]在此，很重要的是:有缺陷的、也就是说允许不准许的数据包通过的防火墙被标识出。有缺陷的作用方式的原因可以是在实施或者配置防火墙中的错误，或者可以是由于防火墙被外部攻击所危害而引起的错误。正需要识别出这种功能失误并且尽可能地禁止这种功能失误。
[0005]在IT环境的环境中，多级地被构造的防火墙是可支配的。在此，多个不相关的安全部件相继被接通，诸如首先是包过滤器并且紧接着是应用层网关(Applicat1n LevelGateway)，使得如果至少一个部件阻断不容许的网络流量，则该流量被阻断。由此，在防火墙实施方案中的错误还没有导致:不容许的网络流量可以经过并且因此对于其中不必满足安全准则或者实时准则的安全相关的环境来说表示提高的安全级别。
[0006]根据专利申请DE10 2011 007387公知的是:实施网关的自监控。在此，检验对于发出的数据包是否已经接收到对应的到达的数据包。由此，可以保证的是:网关由于功能失误不自己产生数据包。
[0007]根据英飞凌公司的出版物，安全计算平台(Safety-Computing-Plattform)是公知的，其中安全监控器开关电路(Safety-Monitor-Schaltkreis)监控主处理器和在主处理器上的软件实施。它尤其是可以相对于固定的测试模式来执行测试以及比较两次不相关的实施的结果。为此，也参见在网页http: //www.inf i neon.com/dgdl/Saf ety-Computing-Platform-XC2300-CIC61508-Product-Brief.pdf?folderld=db3a304317a748360117f45a9c863e84&fileld=db3a3043353fdcl6013543303497315d(于 2013年9 月 18 日调用)上的文章。
[0008]作为一般公知的网络部件公知有网络分流器(Network Tap)，以便可以窃听被传输的数据，而不影响所述被传输的数据。通常，所述被传输的数据被用于网络监控，其中例如针对吞吐量或者等待时间的服务质量参数(Quality of Service Parameter)应该不受测量影响。网络分流器的功能可以由交换机(Switch)实现，所述交换机不仅转交数据包，而且附加地将数据包复制到监控端口(Monitoring-Port)上。在此，也提及端口镜像(Port-Mirroring)，参见在http: //www.tamos.com/htmlhelp/monitoring/111011；[1:0!'；[呢118；[]^8￥；[1:(31168.111:111(于2013年9月18 日调用)下的出版物。

【发明内容】

[0009]存在如下需求:在两个不同的网络区域之间提供被改进的过滤。尤其是在有实时关键的网络参与时，存在对等待时间或者数据流量的吞吐量的严格要求。借此，本发明的任务是提供对数据包的更有效的并且被改进的过滤。
[0010]该任务按照依据独立权利要求所述的方法和网络过滤装置来解决。有利的构建方案在从属权利要求中被说明。
[0011]按照本发明，一种用于在第一网络与第二网络之间通过网络过滤装置来过滤数据包的方法具有如下步骤:
-通过倍增单元使数据包倍增成第一数据包和至少一个第二数据包，其中在第一数据包中和至少在第二数据包中同样地(i dent is Ch )产生数据包的内容；
-将第一数据包转交给第一过滤装置并且将至少所述第二数据包转交给第二过滤装置；
-按照相应的过滤规定，通过第一过滤装置检查第一数据包并且通过第二过滤装置检查至少所述第二数据包；
-第一过滤结果通过第一过滤装置并且至少一个第二过滤结果通过第二过滤装置的制成和传送给比较单元；
-如果比较单元根据第一过滤结果和至少所述第二过滤结果识别出与容差范围有偏差的比较结果，那么阻断数据包在第一网络与第二网络之间的转交。
[0012]在本申请中，网络过滤装置例如被理解为在两个网络之间的耦合部位上的部件，其检验所有通过的数据流量。所述网络过滤装置包括至少两个过滤装置(也称作防火墙)。通过预给定过滤规定配置所述过滤装置和借此配置所述网络过滤装置。借此，过滤规定确定了根据其检查数据包的规则。
[0013]例如，拆分式交换机(SplittingSwitch)被用作倍增单元。在倍增单元的端口上被接收到的包例如被传输给两个通过其连接过滤装置的端口。由此，数据包被加倍。在此，分别保持获得数据包的内容。因此，倍增的步骤可以是加倍、增加两倍等等。
[0014]第一网络例如可以是不安全的网络，与此相反，第二网络可以是在其之内必须考虑对系统的实时能力的要求的网络。
[0015]在下述申请中，被理解为比较单元的是可以有关相似性检验在队列(Queue)之内的一个包或者多个包与另一个包或者在比较单元的第二端口上可供支配的包队列的部件。在此，可以确定两个数据包的同一性。此外，还可以预先给定说明尽管如此仍应该被归入为同样的两个数据包的偏差的容差范围。借此，例如通过过滤装置之一而存在于过滤结果之一中的位错误被评定为在容差范围之内的比较结果。比较单元也可以被称作组合器交换机(Combiner-Switch)。
[0016]在本申请中，由过滤装置所制成的包被称作过滤结果，所述包被传送给比较单元。在此，例如可以涉及由过滤装置转交的相应的接收到的数据包。
[0017]通过并行地运行多个过滤装置而创建网络过滤装置，所述网络过滤装置以简单的方式比较各个过滤装置的过滤结果并且借此表示对各个过滤装置的作用方式的监控。借此，针对监控的花费保持得很小，因为仅仅使到达的数据包增多以及聚集用于制成比较结果的过滤结果是必要的。等待时间、也就是说用于通过网络过滤装置过滤数据包所必需的时间通过所参与的过滤装置的最大等待时间被预先给定。与具有唯一的防火墙的构思相反，它必要时不是更大的或者根据