专利名称:网络保护装置的制作方法
技术领域:
本发明涉及一种网络保护装置,用于控制在自动化网络外部的外部数据处理装置和自动化网络中的自动化装置之间的通信,其中为了和自动化装置进行通信而设有自动化协议。
背景技术:
这种网络保护装置由现有技术已知。自动化设备越来越多地例如和更大的办公通信网络联网,然而其通常可相对开放式地接通。由此,安全问题也在自动化技术中具有越来越重要的意义。为了避免或减少未被允许访问自动化设备的情况,通常将所谓的“防火墙(Firewalls)”用作为网络保护装置。这种防火墙保护位于其后面的网络,这由此实现,即防火墙基于一组规则(所谓的防火墙规则)过滤到达该网络的数据通信。典型的过滤行动是,例如使数据包不通过、返回或通过。一般来说,为了对通信过程加以描述,通常应用所谓的“0SI层模型”。在OSI层模型之内,当进行通信过程时将单个任务分配到通常为七个上下构造的层中。在所谓的TCP/ IP通信协议中,如其例如在以下所述的现有技术中应用地,第三OSI层相应于IP网络层,而第四OSI层相应于TCP/UDP传输层。最上面的第七OSI层则相应于所谓的“应用层”,亦即其包括自身的、应该从发射器传输至接收器的通信数据。上述的网络保护装置例如由欧洲公开文献EP 2091199A2、德国出版文献DE 10331307A1以及美国出版文献US 2008/0320582A1已知。在此公开的防火墙基于在上述的 “第三OSI层”或“第四OSI层”中相关的信息做出其过滤决定。这种由现有技术已知的防火墙例如基于IP地址(来源地址和/或目标地址)(第三OSI层)、所谓的“端口”和/或例如IP协议类型、例如UDP、TCP、ICMP做出其决定。因此,已知的防火墙能允许或阻止特定的目标-和来源-IP地址以及特定的目标-端口,并且因此控制到某个通过其保护的网络的接入。所述现有技术的一个缺点在于,即这种网络保护装置始终必须匹配于在位于后面的网络中的相应的变化并且例如具有以前不是已知的IP地址的设备不能简单地在这样的网络中接收。此外也难以接收具有动态的IP地址的、但DNS名称保持不变的设备。
发明内容
因此本发明的目的在于,提出一种网络保护装置,利用该网络保护装置能更灵活和更简单地对工业自动化网络提供保护以防止未经授权的或未被期望的从外部的访问。该目的通过一种用于控制在自动化网络外部的外部数据处理装置和自动化网络中的自动化装置之间的通信的网络保护装置实现,其中为了和自动化装置进行通信而设有自动化协议,其中还在网络保护装置中存储了或能存储协议规则,并且协议规则包括预定值,该预定值使得关于传输或不传输自动化协议的协议消息的决定取决于协议消息的内容,和其中网络保护装置还设计用于做出关于传输或不传输自动化协议的输入的协议消息的决定,其中输入的协议消息相应于协议规则的预定值。在此,自动化协议的协议消息联系本说明书理解为根据第五层之一中的自动化协议的或根据前述的OSI层模型的消息。特别地,协议消息理解为在第七OSI层、即所谓的应用层上的消息。由于网络保护装置考虑了协议消息的内容,以便对传输或不传输输入的协议消息做出决定,因此例如能不取决于在第三层或第四层上的地址信息、亦即例如不取决于IP地址做出这种决定。更确切地说,首先在逻辑信息或地址方面不取决于具体的物理网络配置。 以这种方式例如能将新的设备更简单地集成到自动化网络中,这是因为网络保护装置可这样设定,即在安全预定值方面,具体的物理网络配置不具有重要作用或其具有次要作用。相应的网络保护装置例如能更简单地设定(这例如包括设置过滤规则),这是因为相应的协议规则也可在没有物理网络配置的具体认识的情况下完成。这种网络保护装置例如能够允许或禁止特定的自动化特殊的询问(例如重置参数、诊断、运行模式改变),其中这种允许或不允许这样的询问例如能由用户或者说使用者决定。通过将这样的网络保护装置的选择标准转移到在第四OSI层上的内容,因此能实现用于自动化网络的网络保护装置的更灵活的和更简单的配置。自动化网络例如能设计为工业的自动化网络。这种工业的自动化网络例如能设计、设定和/或设置用于控制和/或调节工业设备(例如生产设备、输送设备等)、机器和/ 或设备。特别地,自动化网络或者说工业自动化网络能具有实时通信协议(例如ftOfinet、 Profibus,实时以太网)用于至少在参与控制-和/或调节任务的部分之间的(例如在控制单元和待控制的设备和/或机器之间的)通信。除了实时通信协议之外但也还能在自动化网络或者说工业自动化网络中设置至少另一个通信协议(其例如不需要具有实时能力),例如用于对自动化网络中的一个或多个控制单元进行监控、设定、重新编程和/或重置参数。自动化网络例如能包括有线连接通信和/或无线通信。网络保护装置例如能是所谓的“防火墙”。网络保护装置例如能除了保护功能之外还带有“开关_”或“路由_”功能。这种附加功能例如能够实现对输入的和输出的消息进行重置地址,其中这种重置地址功能不必强制性地始终在运行中使用。此外,保护功能例如也能带有“桥”功能,其中消息例如始终在无地址变化的情况下传输。网络保护装置的功能但也能限于对由其传输的自动化网络消息的纯粹的保护功能。网络保护装置在此这样设计,即至少一个用户在自动化网络中根据协议规则由未被授权的访问第三方保护。特别地,网络保护装置相应地保护了所有的或至少特定的在自动化网络中的用户。外部数据处理装置位于自动化网络外部,该数据处理装置也就不是自动化网络的用户。外部的数字处理装置例如能通过单独连接和网络保护装置连接或者是另一个数据-或通信网络的部分,例如和因特网连接,LAN、WAN或另一个自动化网络的用户。外部数据处理装置能通过自动化协议例如和一个、至少一个、多个或所有的在自动化网络中的自动化设备通信。数据处理装置能是任意类型的计算机、控制器、通信设备、 通信终端设备或其它电或电子的设备,其设计、设定和/或适合用于具有和自动化装置通信的能力。自动化装置例如能是计算机、PC和/或具有控制任务或者说控制能力的控制器。 特别地,自动化装置例如能是工业自动化装置,其例如能特殊地设计、设定和/或设置用于控制和/或调节工业设备。特别地,这样的自动化装置或者说工业自动化装置能具有实时能力,亦即能够实现实时地进行控制或调节。为此,自动化装置或者说工业自动化装置例如能包括实时运行系统和/或也能至少还对具有实时能力的通信协议进行支持以用于进行通信(例如Profinet, Profibus、实时以太网)。工业自动化装置例如能是以下装置或包括以下装置可编程控制器、可编程控制器的一个模块或一部分、集成在计算机或PC中的可编程控制器以及相应的现场设备、传感器和/或执行机构、输入设备和/或输出设备或用于连接到可编程控制器上的类似装置。网络保护装置例如能这样地和自动化网络连接,即仅仅能通过网络保护装置实现从外部接入自动化网络。此外,网络保护装置能这样集成到自动化网络中或连接到该自动化网络上,即也能在不通过网络保护装置进行控制的情况下实现至少接入自动化网络的一部分。以这种方式,网络保护装置例如能仅仅保护自动化网络的一部分或例如仅仅控制特定的外部数据处理装置的消息。自动化协议根据本发明理解为任意类型的协议,该协议设置用于、适合用于和/ 或设定用于和根据本说明书描述的自动化装置进行通信。这样的自动化协议例如能是 Profi-Bus-协议(例如根据 IEC61158/EN50170)、Profi-Bus-DP-协议、Profi-Bus-PA-协议、Profi-Net-协议、Profi-Net-IO-协议、根据AS-界面的协议、根据IO-链路的协议、KNX-协议、根据多点-接口 (Multipoint-Interface, MPI)的协议、用于点对点连接 (Point-to-Point,PtP)的协议、根据S7-通信的说明的协议(其例如设置和设定用于西门子公司的可编程控制器的通信)、或工业以太网协议或实时以太网协议或其它的用于和自动化设备通信的特殊协议。根据本说明书,自动化协议也能设置为前述协议的任意组合。如前面描述地,协议消息能理解为在第四OSI层上方、特别是在第七OSI层中的外部数据处理装置和自动化装置之间的通信消息的内容。这样一种协议消息的内容例如能包括或具有一个或多个在自动化装置上的指令、一个或多个可通过自动化装置的控制程序实施的指令、亦即询问、数据、信息、程序或程序部分、参数和/或配置率,用于自动化装置或用于发送到外部数据处理装置。此外,协议消息的内容也能包括或具有逻辑的地址-信息、 设备-信息或设备-类型-信息。网络保护装置在此能这样设计,即关于传输或不传输协议消息的决定还取决于协议规则或协议消息的内容。此外,网络保护装置也能这样设计,即关于传输或不传输协议消息的决定仅仅取决于协议规则或仅仅取决于协议消息的内容。根据本说明书的网络保护装置例如能取决于协议消息的内容中止、返回(例如利用相应的信息中止)或传输根据本说明书的协议消息,根据这种情况,即如何参照内容或内容的一部分根据协议规则和也可能根据另外的规则进行处理。根据本说明书的网络保护装置例如能设计为具有相应的自动化协议规则的第七 OSI层防火墙。
网络保护装置例如能这样设计,即当不传输协议消息时,将关于不传输的信息消息根据自动化协议发送到外部数据处理装置。信息消息例如能包括关于不传输的信息或关于例如在保护装置中的正确的接收的信息。信息消息例如能通过网络保护装置自身发送或也通过网络保护装置至少触发。以这种方式,消息发射器包括“应答”,在该应答上发射器能识别,即消息被正确地传输-至少直到网络保护装置为止。因此例如能避免,即消息发射器再次发送该消息,这是因为其可能在没有应答的情况下由此出发,即例如由于传输问题使得消息未被正确地传输。此外,这样的应答在许多自动化协议中标准地设置,因此以这种方式,网络保护装置也在其中不传输消息的情况下和自动化协议保持一致地工作。此外,网络保护装置能设计用于实现地址透明的工作方式。此外,为了实现这种地址透明的工作方式,网络保护装置还能作为用于通过网络保护装置保护的自动化网络用户的代理服务器工作或设定或设计为该代理服务器。地址透明的工作方式理解为这样的工作方式,其中网络保护装置不改变地允许协议消息的接收器和/或发射器的地址、特别是第三层地址(例如IP地址)或第四层地址。 特别地,工作方式能理解为,其中协议消息的发射器和接收器的地址、特别是前述的地址不由于网络保护装置而改变。在将协议消息从外部数据处理装置传输到自动化装置时,发射器地址能是外部数据处理装置的地址,例如是外部数据处理装置的第三层地址(例如IP地址)或也能是相应于更高的OSI层的地址。接收器地址例如能是自动化装置的第三层地址 (例如其IP地址)或它的根据更高的OSI层的地址。相应也适用于从自动化装置到外部数据处理装置的消息。网络保护装置能这样设计,即它自身的接口虽然具有相应的地址,但其在传输协议消息时不受到保护。网络保护装置能这样设计,即它的接口不具有自身的这种地址并且例如所有在网络保护装置的输入端到网络保护装置的相应的输出端之间通过的协议消息至少也根据协议规则被过滤。这种网络保护装置能更简单地连接于自动化网络,这是因为许多自动化协议更倾向于直接地址,并且在应用网络保护装置的自身地址的情况下,协议消息的传输可能更困难或完全不可能实现。此外,这样的网络保护装置也因此能更简单地集成在自动化网络中或连接于该网络,这是因为自动化协议-和许多IT协议相反-不具有代理服务器的能力。这表明,即它不能除了协议消息的自身的目标地址之外还说明网关的或中间连接的网络保护装置的地址。通过地址透明地设计网络保护装置,网络保护装置能实施其保护功能,而不必说明这种中间地址。这种带有地址透明性的网络保护装置例如能设计为所谓的“桥”。此外,这种网络保护装置能通过应用代理服务器-ARP实现为用于IP网络的防火墙或用于具有地址透明性的IP网络的防火墙。在这种情况下,即网络保护装置作为用于受其保护的用户的代理服务器工作的情况下,它将协议消息例如引导向受保护的设备。由此例如能实现,即网络保护装置能分析在受其保护的设备上的所有协议消息,而不需要在这些设备上发生变化。此外,网络保护装置能这样设计和设定,即选择性地可调节、可配置和/或可预定地址透明的或地址不透明的工作方式。以这种方式,网络保护装置能灵活地匹配于分别应用的自动化网络和/或自动化协议的特性-并且进而也可更简单地匹配于不同的应用和网络。各种工作方式的设定例如能在网络保护装置自身上进行或例如通过其配置通过外部的计算机或相应的控制程序进行。此外,网络保护装置也能设计用于自动设定地址透明的或地址不透明的工作方式,例如取决于调节的或探测的自动化协议或在自动化网络中的用户的说明或预定值。在一个有利的设计方案中能设计为,即协议消息的内容触发了在接收协议消息的自动化装置中的自动化动作或设置用于触发这样的自动化动作。协议规则随后能包括预定值,该预定值使得关于传输或不传输协议消息的决定取决于待触发的自动化动作和/或待触发的自动化动作的类型。这样设计或形成协议规则的优点例如是,即规则不取决于地址信息、其它配置信息和/或参与的通信网络的其它配置信息。关于锁住或传输协议消息的决定仅仅通过协议消息的作用或协议消息的作用类型做出。因此,集成和设定这样一种网络保护装置变得更加简单,这是因为当设定例如地址信息或配置信息时不需要传输装置并且也当例如在自动化网络中发生变化时,网络保护装置不必相应于这种变化、例如安装的设备的地址进行调離协议消息例如当其在自动化网络的用户中触发了一个过程和/或一个行动时则随后触发一个自动化动作。特别地,例如当在自动化网络的自动化装置之上或之中触发了一个过程时,则随后通过协议消息触发一个自动化动作,该过程一同作用于受控制的设备 (例如计算机、机器、设备、生产设备或生产线)的控制和/或调节。自动化动作能或者仅仅在自动化网络的用户内部,例如也纯粹以软件形式进行。 此外,在用户中的自动化动作也能具有在由自动化网络控制的设备或在自动化网络内部控制的设备上的间接的和/或直接的作用。自动化动作例如能包括-运行模式转换,特别是过程的开始或停止,和/或-装载自动化程序,和/或-在控制模块或自动化设备中设定参数、信息和/或数值,和/或-从控制模块或自动化设备中读取参数、数值或信息,和/或-控制或调节自动化程序或对自动化程序进行干预,和/或
-控制传感器或执行机构。待读取的或待设定的信息例如能是例如诊断缓冲器的诊断信息。自动化程序的控制或调节或者在其中的干预例如能是设定断点或在单独步骤运行、例如在测试运行中的过程。自动化动作例如还能是-运行模式转换,例如开始、停止,等等;-评估自动化特殊的地址(例如S7地址);-装载用户程序,对用户模块重置参数,和/或读取参数;-配置硬件;-测试运行和起动运行(例如设定断点,调节或运行单独步骤运行);
-诊断(例如读取诊断缓冲器);-在生产-或测试运行中的操作动作。此外,网络保护装置能包括协议规则,其使得关于传输或不传输协议消息的决定可能或也仅仅取决于时间的和/或地点的预定值。这样的预定值例如能是白天时间或全部运行小时或类似值。以这种方式例如能使得在自动化运行中的单独的变化或调节仅仅在特定的白天时间或夜间时间期间,例如在日班期间进行。因此例如能实现,即没有对受控制的设备进行干预,而例如在夜间在生产设备中仅仅有少数几个操作人员。地点的预定值例如能是特定的建筑物、空间或也能是地理学的地点。以这种方式例如能设计为,即在自动化网络中的特定的变化仅仅从一个特殊的控制值中实现并且不直接例如来自于生产大厅。因此也会通过这样一种网络保护装置进一步提高出现故障的可能性。此外,协议规则能包括预定值,其使得关于传输协议消息的决定另外还或仅仅取决于自动化网络的一个或多个元件的运行状态或取决于和自动化网络连接的一个或多个装置的运行状态。这种装置例如能是受控制的设备或受控制的机器或一般性的受控制的执行机构和/或待读取的传感器。因此,网络保护装置例如能这样设定,即仅仅在受控制的设备的运行状态或设备状态“起动运行”中能写入特定的数据字,而在设备的状态“生产运行”中仅仅能读取相应的数据字。协议规则的前述的可能的设计方案在考虑通过协议消息触发的自动化动作的情况下和至今为止不同地能够实现对规则进行限定,其不像至今为止那样在当今的防火墙中常用地,连接于IP地址和/或端口和/或IP协议类型,而是设定用于特定的、自动化技术的行动目标。因此实现了,网络保护装置部分地或也是完全地不取决于外部网络的或自动化网络的特殊物理网络配置。这使得这种类型的网络保护装置的设定变得更加容易和/或减少了可能出现的故障或通过这样一种网络保护装置改进了保护效果。此外,网络保护装置也可更简单地匹配于在受保护的或连接的网络中的相应的变化。在另一个有利的设计方案中,存储在网络保护装置中的协议规则包括预定值,该预定值使得关于传输或不传输协议消息的决定还取决于协议消息的发射器和/或使用者和/或接收器。在此,发射器、使用者和/或接收器能通过其地址、例如其IP地址、或逻辑地址或设备名称或设备标识表示特征。地址例如能是第三层地址、第四层地址或也能是根据在第四层上方的层的地址,特别是第七层地址。以这种方式能更好地和更简单地实现用于保护自动化网络的规则,这是因为特定的协议消息因此例如也还通过其内容,通过接收器和/或发射器或特别也是特定的由发射器和接收器组成的组合的说明受到限制。此外,发射器和接收器例如也能通过特定的设备等级、设备类别和/或设备存储单位给定。因此,协议规则例如能包括预定值,其允许发射器和/或使用者的特定的类别, 将特定的协议消息发送给特定的自动化装置或特定类别或等级的自动化装置。这种等级的发射器或使用者例如能是试运行装置、“操作-和观察系统”、装配工、自动化技术人员、维护技术人员或设备操作者。以这种方式,协议消息的不同的类别的发射器和/或使用者能得到不同的可能性,即访问该自动化网络并且干预该网络。
网络保护装置例如能用于,即减少相应的操作员错误,这是因为例如仅仅相应负责的人员能将相应可能的危险的协议消息(和例如与其连接的控制指令)发送给自动化网络中的自动化装置。在这种发射器-或使用者类别中的分级例如能通过相应人员相应的访问外部数据处理装置、例如通过所谓的带有密码的“用户名(User Account)”来设定和调节,。存储在网络保护装置中的协议规则还能包括预定值,该预定值使得关于传输或不传输协议消息的决定还取决于存在对应于协议消息的发射器和/或使用者的安全编码。此外能设计为,即,如果不存在对应于协议消息的发射器和/或使用者的安全编码,则协议消息不被传输。这种安全编码例如能设计为密码的输入值,例如用于鉴定在电子数据处理装置中的发射器或使用者,或也设计为相应的密码,其例如必须在发出协议消息时输入。此外例如也能在存储卡、芯片卡上或在另外的电子存储器中设置相应的安全编码,其例如必须被相应协议消息的使用者或发射器连接于数据处理装置或者连接于和发送协议消息的数据处理装置相连接的设备。以这种方式,协议消息的传输还能更简单和更良好地控制或通过网络保护装置监控,这是因为特定的例如在自动化网络中的行动的限制能限于非常良好地限定和控制的关系网。此外,存储在网络保护装置中的协议规则还能包括预定值,该预定值使得关于传输或不传输协议消息的决定还取决于对协议消息的发射器和/或使用者的鉴定。这种鉴定例如能又通过前述的安全编码、例如密码进行。协议消息的传输的限制的前述的可能性至少也通过对这种安全编码或这种鉴定的考虑例如实现非常有效地对从外部通过对应于自动化网络的网络保护装置的对自动化网络的访问的保护。这使得自动化网络自身的配置以及允许访问自动化网络的外部的通信网络的配置都更加简单,这是因为这种安全检查在网络保护装置中进行并且因此例如使另外的在自动化网络中的设备(例如控制模块)由这样一种目的减轻其负担。前述的目的还通过一种用于通过根据前述说明所述的网络保护装置来控制在自动化网络外部的外部数据处理装置和自动化网络中的自动化装置之间的通信的方法,该方法包括以下步骤a)通过网络保护装置从外部数据处理装置接收自动化协议的协议消息,和b)当协议消息的内容相应于协议规则的预定值以用于传输时,传输协议消息,和 /或当协议消息的内容不相应于协议规则的预定值以用于传输时,不传输协议消息。网络保护装置、协议消息、协议消息的内容以及在协议规则中并且在其中产生的预定值例如能根据前述说明那样设计。除了前述的方法步骤之外还能设计为,即当不传输协议消息时,将关于不传输的信息消息根据自动化协议发送到外部数据处理装置。信息消息又能根据前述说明那样设计。通过这样一种方法又能在通过外部数据处理装置的访问保护方面实现自动化网络的更简单的调整或改变或配置,这是因为相关于传输或不传输的规则至少还取决于例如由外部数据处理装置发送给自动化装置的协议消息的内容。在此,协议消息的内容通过在第四OSI层上方的这种消息的内容、特别是在应用层(第七OSI层)内的内容给定。以这种方式,在网络保护装置中的传输规则例如能至少部分地或也完全不取决于自动化网络的具体的物理配置(例如在那里应用的IP地址或MAC地址)形成。本发明因此涉及一种网络保护装置,其能对自动化特殊的协议(在本说明书中也称为自动化协议)进行理解和解码。因此其能对自动化特殊的要求、任务或询问进行解码和识别并且允许或禁止其传输到通过网络保护装置确保安全的自动化网络或位于其中的自动化装置。和至今为止的可能性不同的是,利用这种网络保护装置限定规则,其不像在当今的防火墙中那样常见地仅仅连接于IP地址和/或端口和/或IP协议类型。因此第一次可能实现根据特定的自动化技术的行动目标,或者仅仅或者至少也可能进行过滤。如果自动化协议支持了一种用于对相应的用户进行鉴定的合适的方法(例如通过密码或哈希密码),则网络保护装置也能测试这种鉴定,而进行接收的自动化装置不必识别和/或支持该鉴定。网络保护装置根据其规则检测了在协议消息之内的自动化特殊的电报。规则由这种经允许的、被禁止的行动目标得出。如果得出规则,即电报允许通过,则其被传输,否则其被拒绝。相反于常见的防火墙或网络保护装置,通常不可能简单地应用电报,这是因为典型的自动化协议或自动化特殊的协议通常在较高的协议层上(高于第四OSI层,典型地在第七OSI层上)工作并且因此对于相应的任务期待应答。如果这些根据自动化协议的应答消息或信息消息消失,则其能导致所谓的“超时(Timeouts)”和也可能甚至导致在通信中的巨大的干扰。出于这个原因,网络保护装置必须在一定条件下也能够和自动化协议相一致地产生信息消息或应答。只要其在自动化协议中进行设置,则其能或者说必定涉及相应的信息消息形式的否定的应答。当今的自动化协议的另一个问题在于,即自动化协议和许多IT协议相反地例如用于办公范围,而不是“具有代理服务器能力的(proxy-fahig)”。这就是说,不可能除了目标地址之外还说明相应的“网关(Gateways)”或中间连接的另外的保护装置的地址(而例如HTTP能够实现所谓的HTTP-代理服务器)。出于这个原因,网络保护装置能有利地设计为地址透明的。这例如能由此实现,即用于在自动化网络中的所有受其保护的自动化装置的辅助装置(例如通过设备的列表限定)作为代理服务器工作。在此,其将通信引导向受保护的设备。由此能实现,即辅助装置能分析所有电报,而不需要在相应的自动化装置上的变化。前述的经允许的或未经允许的行动目标能以一种对于自动化技术人员(其例如设定了这样一种通信-或自动化网络)是可信的形式来限定。该目标涉及相应的自动化装置(例如具有特定功能或特定名称、模块或自动化程序的设备),也就是说涉及这样的对象,其对于自动化技术人员从其工作环境出发已经是可信的。对于这些规则的实例是-允许一个试运行装置,即将数据字10改变为数据模块100;-允许操作-和观察-系统,读取数据模块200的所有的数据字;-允许装配工在设备的起动运行阶段中改变所有的数据模块;-允许装配工1在运行阶段中读取所有的模块;-允许装配工2停止和启动组件1;
-允许装配工3改变组件3的配置。如果网络保护装置设计或设定或调节为地址透明的,则因此其能够实现,即这样一种网络保护装置也能在以后集成到现有的网络中。重新规划在此不是必需的或其投入能明显降低。由于网络保护装置随后透明地工作,因此也能不改变地继续应用不具有“代理服务器”能力的自动化协议。此外,这种地址透明地设计的网络保护装置不能通过辅助装置、 例如“跟踪路由(Traceroute) ”发现,这给从外部作用于网络保护装置造成很大困难。
下面参照附图示例性地详细说明本发明。图中示出图1示出了用于自动化网络的实施例,在该自动化网络上通过防火墙连接了外部的PC;图加示出了用于防火墙的消息传输图表,没有地址透明性;图2b示出了用于防火墙的消息传输图表,具有地址透明性
具体实施例方式图1示出了具有可编程控制器的自动化网络100 ( "Programmable Logic &)11廿011吐”( 1^0)190,该可编程控制器通过以太网电缆1沈和防火墙110连接,其中防火墙110是根据本说明书的网络保护装置的一个实施例。防火墙110用于保护位于其后面的自动化网络100并且相应地过滤来自于自动化网络100的外部的消息。图1示出了在自动化网络100的外部的计算机(PC) 200,该计算机通过以太网电缆116和防火墙连接。在图1中,在用于防火墙110的标志的内部示出了防火墙110的OSI层结构。示出了 IP层140,其在OSI模型中相应于第三OSI层。此外在其上方示出了 TCP/UDP层150, 其相应于第四OSI层。作为在防火墙110的示出的层模型中的最上层,示出了应用层160, 其相应于第七OSI层。在IP层140和TCP层150之内示出了保护装置152的第三+四层, 其代表防火墙110的过滤器功能的第三+四层。在应用层160之内,示出了 PC侧的协议代理服务器162(例如是用于西门子自动化设备的所谓的S7协议)和PLC侧的第二协议代理服务器164 (例如同样也用于S7协议)。 在PC协议代理服务器162和PLC协议代理服务器164之间示出了应用保护装置166,通过该装置对需要通过防火墙100检测的、在应用层(例如S7协议层)上的协议消息进行过滤。从PC200通向防火墙110的以太网电缆116在PC200上连接在接口 202上,该接口的PC-IP-地址204为“192. 168. 1.55”。以太网电缆116在防火墙110处连接在外部的接口 112上,该接口的IP地址114为“192. 168. 1. 1”。以太网电缆126连接在防火墙110 的内部的接口 122上,该接口的IP地址124为“10. 0.0. 1”。此外,这种以太网电缆1 和 PLC190共同连接在接口 192上,该接口的IP地址194为“10. 0.0. 99”。这些地址在安装该网络时,如其在图1中示出地,被确定和配置。从PC200到防火墙110的应用层160的箭头168表示了根据S7协议的协议消息的线路,如其例如可用于和可编程控制器或西门子公司的类似的自动化装置进行通信那样, 从PC200直至进入防火墙110的应用层160中。根据相应于OSI层模型的行动,在PC200中根据S7协议的原本的协议消息相应于传输层(第四层)的预定值并且随后相应于网络层(第三层)的预定值被封锁,并且随后通过以太网电缆116传输至防火墙110。在那里,其通过其IP层140和随后通过其传输层150重新解除封锁并且原本的S7 协议消息传输至应用层160并且在那里传输给PC侧的协议代理服务器162。协议代理服务器能分析S7协议消息的内容并且将该分析结果传输至第七层保护装置166,其包含这样的规则,即哪些自动化技术的行动目标被实现以及哪些行动目标未被实现。因此,在第七层保护装置166中做出决定,即用于PLC190的传输至防火墙110的消息根据保护装置166中的预定值是否可被继续传输或必须锁住。这样的规则例如可包括-允许或禁止运行模式转换、例如是启动、停止、运行等等;-特定的协议地址或协议地址组(在当前的实施例中例如是S7地址)能将协议消息传输到自动化网络中,其它则不行;-是否允许装载用户程序;-是否允许对用户模块设置参数或重置参数;-是否允许读取参数或写入参数;-是否允许配置特定的硬件或所有硬件;-是否允许测试-和起动运行-行动(例如设定断点,调节单独步骤运行或实施单独步骤运行);-是否允许诊断行动(例如读取诊断缓冲器);-操作行动在生产运行中是否允许。在第七层保护装置166中的过滤规则例如能包括前述的调节元件或模块的任意的组合。这样的组合例如能是-允许试运行装置改变在PLC190的特定的数据模块中的特定的数据字;-允许操作-和观察-系统读取在PLC190中的另一个数据模块的所有数据字;-允许装配工在状态“PLC190的起动运行”和与其连接的设备(未在图1中示出)期间改变所有的数据模块;-允许第一个装配工在PLC190的和与其连接的设备的阶段“运行”中读取所有的数据模块;-允许第二个装配工停止和启动PLC190的第一个组件(或进行其它的运行模式的转换);-允许第三个装配工改变PLC190的另一个组件的配置。如果由PC200传输的、根据第七层保护装置166的S7协议消息被允许,则其被传输至PLC侧的协议代理服务器164并且从该协议代理服务器那里在通过传输层150和网络层140进行相应打包之后通过以太网电缆1 传输至PLC190。如果根据在第七层保护装置166中的规则的消息不被允许,则因此防火墙110将根据S7协议的应答消息发回至PC200,即从防火墙110正确地获得和/或锁住消息。以这种方式,PC200例如获得了关于正确地将S7协议消息传输至自动化网络100的消息,和/或这样的信息,即它处于那里但不被转换。
从防火墙110的应用层160直到PLC190的消息流通过第二箭头169在图1中表示。除了在应用层160中的保护功能之外,防火墙110还具有另外的第三+四层保护装置152,由此,在IP层上(例如允许或不允许特定的IP地址作为发射器和/或接收器), 或在TCP层上,例如实现了另一种或可替换的对从PC200到PLC190的消息的过滤。防火墙 110例如能作为纯粹的第七层防火墙运行,其中仅仅保护装置166在第七层160中激活,而且防火墙还能作为纯粹的第三+四层防火墙运行,其中仅仅第三+四层保护装置152激活, 也能作为组合的防火墙运行,其中应用两个保护装置。防火墙110能这样设置参数,即三个所述的运行模式可通过一种这样的参数设置来调节和预定。图加示出了协议传输图表,在图1中示出的系统中,在防火墙110的地址不透明的工作方式的情况下。从PC200到防火墙110发送了具有防火墙110的PC接口 112的目标地址“192. 168. 1. 1”的S7协议消息和PC200的接口 202的源地址“192. 168. 1. 55”,这在图加中通过箭头168表示。在图加中示出的情况下,允许了从防火墙的这种S7协议消息并且继续传输至 PLC190,这通过相应于图1中的箭头169的箭头169表示。该消息逻辑地从防火墙110的PLC 接口 122传输至PLC190的输入端接192并且因此具有防火墙接122的源地址“10. 0. 0. 1” 和PLC190的接192的接收器地址“10. 0. 0. 99”。在这种不透明的工作方式中,也就是说在防火墙110内部,地址相应于根据传输重要的接口从来源和目标分别进行调整。图2b示出了在防火墙110的地址透明的工作方式的情况下的相同的消息传输。在此,逻辑上将S7协议消息直接从PC200和其接口 202传输至PLC190的输入端接192并且因此作为源地址(该源地址用于从PC200至防火墙110的消息以及从防火墙110至PLC190 的消息)分别应用的是PC接口 202的IP地址“192. 168. 1. 55”。PLC190的输入端接192的 IP地址“10. 0. 0. 99”相应地分别应用为目标地址。在防火墙内部的这种地址的变化并不发生。在这种透明的情况下,防火墙110在示出的状态中例如如同所谓的“桥”那样工作。S7 协议消息本身和网络层140的相关的参数不改变。在网络保护装置或者说防火墙110的地址透明的运行中,也可能的是,也在所谓的未分区的网络中使用防火墙110,或一般性的根据本说明书的网络保护装置。“未分区”在此例如是指,外部数据处理装置、例如图1和2中的PC200、防火墙110或者说一般性的根据本说明书的网络保护装置和根据本说明书的自动化装置以及在当前的实施例中是在相同的IP子网中的PLC190。保护装置在这种情况下不仅对于外部数据处理装置/PC200而且也对于自动化装置/PLC190在IP协议层(第三OSI层)上不是可见的。为了转换这种行动, 网络保护装置/防火墙110例如能应用所谓的“代理服务器-ARP”的结构。本发明描述了一种用于自动化网络的网络保护装置,该网络保护装置能够实现, 分析所应用的自动化协议的协议消息的内容并且基于内容或由此实现的行动目标进行过滤。因此简化了用于用户的网络保护装置的设定并且因此也当然更安全和简单。此外,网络保护装置的工作方式不取决于所参与的网络的物理配置,例如受保护的自动化网络的和 /或连接到该网络上的外部装置和网络的物理配置。以这种方式也能在这些网络中进行改变,例如设备的交换、地址的改变或设备的附加构造,而不需使得网络保护装置在此单独地匹配于每种改变。这也提高了这种网络保护装置的灵活性和进而也提高了安全性。
权利要求
1.一种网络保护装置(110),用于控制在自动化网络(100)外部的外部数据处理装置 (200)和所述自动化网络(100)中的自动化装置(190)之间的通信,其中为了和所述自动化装置(190)进行通信而设有自动化协议,其特征在于,在所述网络保护装置(110)中存储了或能存储协议规则,其中所述协议规则包括预定值,所述预定值使得关于传输或不传输所述自动化协议的协议消息的决定取决于所述协议消息的内容,和所述网络保护装置(110)设计用于做出关于传输或不传输所述自动化协议的输入的协议消息的决定,其中所述输入的协议消息相应于所述协议规则的所述预定值。
2.根据权利要求1所述的网络保护装置,其特征在于,所述网络保护装置(110)这样设计,即当不传输所述协议消息时,将关于不传输的信息消息根据所述自动化协议发送到所述外部数据处理装置(200)。
3.根据权利要求1或2所述的网络保护装置,其特征在于,所述网络保护装置(110)设计用于实现地址透明的工作方式,特别是,为了实现所述地址透明的工作方式,所述网络保护装置(110)作为用于所述自动化网络(100)的通过所述网络保护装置保护的用户(190) 的代理服务器工作。
4.根据权利要求1至3中任一项所述的网络保护装置,其特征在于,所述网络保护装置 (110)这样设计和设定,即能选择性地设定、配置和/或预定地址透明的或地址不透明的工作方式。
5.根据权利要求1至4中任一项所述的网络保护装置,其特征在于,所述协议消息的所述内容设定用于触发在接收所述协议消息的所述自动化装置(190)中的自动化动作,和所述协议规则包括预定值,所述预定值使得关于传输或不传输所述协议消息的决定取决于所述待触发的自动化动作和/或所述待触发的自动化动作的类型。
6.根据权利要求5所述的网络保护装置,其特征在于,所述自动化动作包括-运行模式转换、特别是过程的开始或停止,和/或-装载自动化程序,和/或-在控制模块或自动化设备中设定参数、信息或数值,和/或-从控制模块或自动化设备中读取参数、数值或信息,和/或-控制或调节自动化程序或对自动化程序进行干预,和/或-控制传感器或执行机构。
7.根据权利要求1至6中任一项所述的网络保护装置,其特征在于,存储在所述网络保护装置(110)中的所述协议规则包括预定值,所述预定值使得关于传输或不传输所述协议消息的决定还取决于时间的和/或地点的预定值。
8.根据权利要求1至7中任一项所述的网络保护装置,其特征在于,存储在所述网络保护装置(110)中的所述协议规则包括预定值,所述预定值使得关于传输或不传输所述协议消息的决定还取决于所述自动化网络(100)的一个或多个元件(110,190)的运行状态或取决于和所述自动化网络连接的一个或多个装置的运行状态。
9.根据权利要求1至8中任一项所述的网络保护装置,其特征在于,存储在所述网络保护装置(110)中的所述协议规则包括预定值,所述预定值使得关于传输或不传输所述协议消息的决定还取决于所述协议消息的发射器和/或使用者和/或接收器。
10.根据权利要求1至9中任一项所述的网络保护装置,其特征在于,存储在所述网络保护装置(110)中的所述协议规则包括预定值,所述预定值使得关于传输或不传输所述协议消息的决定还取决于存在对应于所述协议消息的发射器和/或使用者的安全编码,特别是,如果不存在所述对应于所述协议消息的所述发射器或所述使用者的安全编码,则不传输所述协议消息。
11.根据权利要求1至10中任一项所述的网络保护装置,其特征在于,存储在所述网络保护装置(110)中的所述协议规则包括预定值,所述预定值使得关于传输或不传输所述协议消息的决定还取决于对所述协议消息的发射器和/或使用者的鉴定。
12.根据权利要求1至11中任一项所述的网络保护装置,其特征在于,存储在所述网络保护装置(110)中的所述协议规则包括预定值,所述预定值使得关于从所述外部数据处理装置(200)到所述自动化网络中的所述自动化装置(190)传输或不传输所述协议消息的决定还取决于所述协议消息的IP地址、所述协议消息的IP协议的IP地址和/或“端口”的 IP地址。
13.一种用于通过根据权利要求1至12中任一项所述的网络保护装置(110)来控制在自动化网络(100)外部的外部数据处理装置(200)和所述自动化网络(100)中的自动化装置(190)之间的通信的方法,所述方法包括以下步骤a)通过所述网络保护装置(110)从所述外部数据处理装置(200)接收自动化协议的协议消息,b)当所述协议消息的内容相应于协议规则的预定值时,传输所述协议消息,和/或当所述协议消息的内容不相应于所述协议规则的预定值时,不传输所述协议消息。
14.根据权利要求13所述的方法,其特征在于,c)当不传输所述协议消息时,将关于不传输的信息消息根据所述自动化协议发送到所述外部数据处理装置(200)。
全文摘要
本发明涉及一种网络保护装置(110),用于控制在自动化网络(100)外部的外部数据处理装置(200)和自动化网络(100)中的自动化装置(190)之间的通信,-其中为了和自动化装置(190)进行通信而设有自动化协议,并且其中还在网络保护装置(110)中存储了或能存储协议规则,其包括预定值,该预定值使得关于传输或不传输自动化协议的协议消息的决定取决于协议消息的内容,和-其中网络保护装置(110)还设计用于做出关于传输或不传输自动化协议的输入的协议消息的决定,其中输入的协议消息相应于协议规则的预定值。
文档编号G06F21/00GK102299913SQ201110170580
公开日2011年12月28日 申请日期2011年6月22日 优先权日2010年6月22日
发明者亨德里克·格拉赫, 哈拉尔德·赫贝思, 托马斯·塔拉尼斯, 约翰·阿诺德, 赖纳·普劳姆 申请人:西门子公司