具有应用包分类器的防火墙的制作方法
【技术领域】
[0001]本文中所公开的主题总体上涉及针对工业网络的防火墙,并且更具体地,涉及可以按照应用级指定规则的防火墙。
【背景技术】
[0002]工业控制器为用于例如在工厂环境中控制工业处理或机器的专用计算机系统。通常,工业控制器执行所存储的控制程序,所存储的控制程序从与受控的处理或机器关联的各种传感器读取输入。感测处理或机器的状况以及基于这些输入和所存储的控制程序,工业控制器确定用于控制针对处理或机器的执行器的一组输出。
[0003]工业控制器与传统计算机在许多方面具有不同。物理上,与传统计算机相比,工业控制器被创建成基本上更能抵抗撞击和损坏,并且更好地承受极端环境状况。处理器和操作系统被优化用于实时控制并且使用被设计成容许控制程序的快速开发的语言进行编程,其中,控制程序的开发根据机器控制应用或处理控制应用的不断变化的设置来调整。
[0004]通常,工业控制器具有使得能够例如使用不同数目和不同类型的输入模块和输出模块来将控制器连接至要控制的处理或机器的高度模块化架构。该模块化通过使用适于高度依赖和可用实时通信的专用“控制网络”来促进。这样的控制网络(例如,ControlNet、EtherNe t/IP或者Dev iceNet)与标准通信网络(例如,以太网)的不同之处在于,通过预先规划网络的通信能力和/或提供针对高可用性的冗余通信能力来保证最大通信延迟。此外,根据针对特定网络限定的协议例如通用工业协议(CIP)来对控制网络上传送的包进行格式化。
[0005]随着时间推移,由工业控制器控制的机器或处理的复杂性和/或尺寸已经增大。例如,处理流水线可以跨越工业区的隔间的整个长度或者自动存储系统可以分布至整个仓库。因此,已经变得期望提供对控制网络的访问以用于监测机器、处理和/或在受控的机器或处理中执行的单独的元件的性能。类似地,可以期望提供对控制网络的访问以改变在受控的机器或处理中执行的元件的配置或程序。
[0006]历史上,已经例如经由位于受控的机器或处理附近的专用终端来对机器操作员提供访问。然而,在某些时候,例如在工作期间或解决故障期间,可能期望对处于远程建筑中的用户例如系统程序员或设计者提供访问。控制系统然后可以接口至私用内联网,以允许设计者监测系统。然而,有时候,还可能期望允许经由因特网对远程站点例如现场安装进行访问。可以例如经由需要用户身份和认证的虚拟专用网络(VPN)来建立访问。
[0007]然而,对受控机器或处理的未授权或不经意地访问可能导致机器或处理的损坏并且引起停机。因此,必须限制对控制网络的访问。通常,可以由在网络装置例如交换机或路由器中建立的规则来限制对网络的访问。规则还被称为防火墙,并且规则确定是否允许将由网络装置接收的包传送至控制网络上。
[0008]某些协议例如CIP对装置制造商提供了显著的灵活性。协议包括使得不同的装置集成在开放网络中的对象和层的框架。协议提供了例如被配置用于不同的网络一一例如EtherNet/IP、DeviceNet或ControlNet--的装置之间的通信。CIP协议还能够被高度扩展以使得未来的装置或网络能够集成。然而,协议的结构使其难以限定防火墙可以操作的规则。
[0009]CIP协议例如包括许多不同类型的消息。两种主要类型的消息为显式消息和隐式消息。显式消息遵循预定义格式。显式消息可以用于在发送器与接收器之间建立连接并且被配置成请求-答复格式,即,第一装置向第二装置发送第一消息包例如命令或针对数据的请求,并且第二装置发送第二消息包例如对命令或所请求的数据的确认以对第一消息包做出答复。隐式消息基于在发送器与接收器之间所建立的连接而被配置。因为建立了连接,所以不需要使用请求-答复格式。隐式消息还可以以广播格式被发送,即,装置发送消息包并且不预期并且因此不等待答复。隐式消息可以通过外部触发器、以周期间隔或一些其他预定义的触发器机制来发起。显式消息通常用于传送对时间不敏感和/或可以频繁地被发送的配置数据或其他信息数据。隐式消息通常用于传送必须以固定间隔更新和/或需要频繁更新的数据例如输入/输出(I/o)数据。隐式消息几乎不包括与其配置、结构有关的数据或者与消息本身有关的其他数据,以使得传输装置可以有效地生成消息并且接收装置可以以相似的方式有效地处理消息,其中,大量的消息包括根据预定义的格式布置的数据。
[0010]另外,单个装置可以被配置成与另一装置传送多种类型的消息或者甚至消息序列。电动机驱动例如可以与处理器模块进行通信。电动机驱动可以经由显式消息接收来自处理器模块的配置信息,并且可以经由显式消息将数据例如电动机配置或操作时间传送至处理器模块。电动机驱动还可能需要使用以固定间隔重复的隐式消息从处理器模块传送命令消息例如速度或扭矩命令,并且可以使用以固定间隔的隐式消息以类似的方式将操作数据例如电动机电流或电动机速度传送回处理器模块。
[0011]取决于处理器模块和电动机驱动在控制系统中的位置,两个装置之间的通信可以通过防火墙。传统的防火墙规则利用例如源地址和/或目的地地址来确定是否允许消息通过防火墙。更复杂的规则还可以检查消息包以确定消息意在进行什么操作(例如,读/写)并且还可以基于消息意在要进行的操作来允许消息包。
[0012]针对上述与处理器模块通信的电动机驱动的示例,显式消息和隐式消息采用不同的格式、包含不同的消息字段或者以防止单个规则允许电动机驱动与处理器模块之间进行通信的其他方式进行变化。另外,包括在隐式消息中的与消息包自身有关的受限信息可能难以或不能够配置传统防火墙中的用于允许隐式消息通过的规则。系统设计者可能需要扩展CIP协议的知识并且期望对其创建规则集的每个装置容许装置之间的所有的期望通信。另外,某些消息例如故障消息可以不频繁地被发送并且可以具有另外的格式。因此,建立用于允许装置之间的期望通信的有效的防火墙可能需要扩展设置并且可能难以建立所有必要的规则。
[0013]因此,将期望提供用于建立针对工业网络的防火墙中的规则的改进的系统。
【发明内容】
[0014]本文中所公开的主题描述了一种用于建立针对工业网络的防火墙中的规则的改进的系统。该规则建立在应用级,该规则用于识别例如两个装置之间要发生的动作。动作可以为例如读取数据表或者更新固件,并且为了完成,每个动作可能需要在两个装置之间传送多个消息包。执行防火墙的网络装置被配置成接收来自发送装置的消息包并且检查消息包以确定发送装置正在请求执行哪个动作。如果动作与数据库中的规则对应,则网络装置允许消息包通过防火墙并且在两个装置之间通信,直到已经传送了所有的消息包为止。因此,可以在规则数据库中限定单个动作或应用,以容许在两个装置之间传送多个数据包。
[0015]根据本发明的一个实施例,公开了一种用于提供连接至工业网络的内部装置与至少一个外部装置之间的安全通信的网络装置。该网络装置包括包处理模块,该包处理模块被配置成接收来自外部装置的第一消息包并且从第一消息包中提取多个片段。应用分类器被配置成基于从第一消息包中提取的多个片段来识别至少一个应用功能,并且每个应用功能包括第一消息包和至少一个附加消息包。存储器装置存储规则数据库,规则数据库包括限定是否允许通过网络装置传送应用功能的多个规则。规则引擎被配置成将由应用分类器识别的应用功能与规则数据库进行比较,并且网络装置在外部装置与内部装置之间建立连接并且在所识别的应用功能被规则中的一个允许时将第一消息包传送至内部装置。
[0016]根据本发明的另一实施例,公开了一种用于提供连接至工业网络的内部装置与至少一个外部装置之间的安全通信的方法。该方法根据连接至内部装置与外部装置之间的工业网络的网络装置上的应用功能限定至少一个防火墙,并且应用功能包括多个消息包。在网络装置处接收来自外部装置的第一消息包,并且利用在网络装置上执行的包处理模块从第一消息包中提取多个片段。模块还使用在网络装置上执行的应用分类器基于从第一消息中提取的片段来识别第一数据包所属的应用功能。使用规则引擎将所识别的应用功能与防火墙规则进行比较,以确定是否将所接收的第一消息包从网络装置传送至内部装置。
[0017]根据本发明的又一实施例,公开了一种用于提供连接至工业网络的内部装置与至少一个外部装置之间的安全通信的网络装置。该系统包括包处理模块,包处理模块被配置成接收来自外部装置的第一消息包并且从第一消息包中提取多个片段。应用分类器被配置成基于从第一消息包中提取的片段来识别至少一个应用功能,并且每个应用功能包括第一消息包和至少一个附加消息包。存储器装置存储应用数据库,该应用数据库识别能够由网络装置执行的多个应用功能。消息包中的每个消息包由签名限定,并且应用数据库针对每个应用功能存储至少一个加密的签名,该至少一个加密的签名包括第一消息包的签名和每个附加消息包的签名。
[0018]对于本领域技术人员而言,根据详细描述和附图,本发明的这些和其他优点和特征将变得明显。然而,应当理解,虽然给出了本发明的优选实施例,但是以例示方式给出详细描述和附图而非作为限制。在不背离本发明的精神的情况下可以本发明的范围内做出许多变化和变型,并且本发明包括所有这样的变型。
【附图说明】
[0019]本文中所公开的主题的各种示例性实施例在附图中示出,贯穿附图,用相似的附图标记指示相似的部件,并且在附图中:
[0020]图1是结合本发明的一个实施例的示例性工业控制系统的示意性表示;
[0021]图2是图1的网络装置的框图表示;
[0022]图3是在网络装置的一个网络装置中执行的防火墙的框图表示;
[0023]图4是根据本发明的一个实施例的防火墙规则访问界面的示例性显示;
[0024]图5是根据本发明的一个实施例的防火墙规则装置选择界面的示例性显示;
[0025]图6是根据本发明的一个实施例的防火墙规则装置配置界面的示例性显示;
[0026]图7是根据本发明的一个实施例的防火墙规则编辑界面的示例性显示;
[0027]图8是根据结合本发明的一个实施例的工业网络的工业协议的第一请求的示例性数据包;
[0028]图9是根据针对结合本发明的一个实施例的工业网络的工业协议的第一请求的答复的示例性数据包;
[0029]图1O是根据针对结合本发明的一个实施例的工业网络的工业协议的第二请求的示例性数据包;
[0030]图11是与针对结合本发明的一个实施例的工业网络的工业协议的一个应用关联的消息包的表格表示;
[0031]图12是图1的管理工业网络上的多个连接的网络装置的框图表示;
[0032]图13是示出根据本发明的一个实施例的实现防火墙规则的连接管理器的执行的流程图;
[0033]图14是具有未加密描述的签名的示例性应用功能的表格表示;以及
[0034]图15是图14的具有加密