一种支持过滤iec104协议的工控防火墙实现方法
【技术领域】
[0001]本发明涉及工控防火墙领域,尤其涉及一种支持过滤IEC104协议的高性能工控防火墙实现方法。
【背景技术】
[0002]随着工控领域信息安全需求的不断增长,防火墙显得日益重要;就工控领域的特殊性,对一些常用的工业控制协议,如IEC104协议,进行过滤是工控防火墙必不可少的功倉泛。
[0003]由于以太网的通信容量大和TCP/IP规约的开放性好的特点,以太网已被一致认为是变电站自动化系统的站内局域网未来的发展方向。IEC104规约是把IEClOl的应用服务数据单元(ASDU)用网络规约TCP/IP进行传输的标准,该标准为远动信息的网络传输提供了通信规约的依据,采用104规约组合101规约的ASDU方式后,可很好的保证规约的标准化和通信的可靠性。
[0004]然而,传统的包过滤防火墙在网络层和传输层起作用,根据数据包的IP源地址、IP目的地址、TCP源端口号、TCP链路状态等因素或他们的组合来确定是否允许数据包通过,此种方式对IEC104协议并不适用;且包过滤防火墙没有针对常用的工业控制协议。此夕卜,代理防火墙工作在应用层,完全控制会话,针对特定的应用层协议,通过对每种应用服务建立专门的代理服务程序,其虽然可以实现监控和控制应用层通信流的作用,但是其速度较慢,消耗过多的CPU资源,影响了代理防火墙的推广应用。
【发明内容】
[0005]针对现有技术存在的不足,本发明的目的是提供一种支持过滤IEC104协议的工控防火墙实现方法,该方法通过在防火墙内核中设置的IEC104模块,对数据包进行过滤处理,不仅实现了对工控协议IEC104的过滤与合法性检查,保障工业指令的合法性、有效性与完整性,提高了过滤效率;而且实现了原来只能通过代理方式实现的内容过滤功能;避免了代理方式对CPU的资源消耗。
[0006]为实现上述目的,一种支持过滤IEC104协议的工控防火墙实现方法,所述方法包括如下步骤:
1)将防火墙设置为桥接模式,将IEC104主站和IEC104从站分别设置于防火墙不同的以太网接口上;
2)防火墙包过滤模块对所有进入防火墙的数据包进行系统安全检查;
3)管理员自定义数据包过滤规则,当数据包满足自定义数据包过滤规则时允许通过,否则将数据包丢弃;
4)防火墙包过滤模块对数据包是否为IEC104协议进行检测,当数据包为IEC104协议时允许通过,否则将数据包丢弃;
5)防火墙通过IEC104模块进行IEC104协议过滤。
[0007]进一步,所述步骤2)中的系统安全检查具体为:安全策略采用最少数据报文通过的原则,包过滤模块基于源IP地址、目的IP地址以及基于源端口、目的端口和基于协议类型提供安全检查。
[0008]进一步,所述步骤3)具体为:
①防火墙将管理员按不同权限划分为超级管理员、管理员和审计员三种身份,每种身份对应不同权限的系统操作,进入系统操作时对管理员的身份同时进行密码和指纹识别两种身份鉴别方式;
②管理员的管理命令集合是一个特制的、封闭的精简集合,管理员根据指定的配置操作进行自定义数据包过滤规则的设定;
③系统对管理员的操作命令进行检查,将不符合规定格式的操作命令或是拒绝或是使用系统缺省值,避免了缓冲区产生溢出攻击的可能性。
[0009]进一步,所述步骤5)具体为:
①IEC104模块对数据包的完整性进行检测,当数据包完整时进行下一步检测,否则将数据包丢弃;
②IEC104模块检查数据包内报文的功能码是否符合用户设定的功能码,当符合用户设定的功能码时进行下一步检测,否则将数据包丢弃;
③IEC104模块检查数据包内的设备号是否是用户设定的设备节点,当设备号是用户设定的设备节点时进行下一步检测,否则将数据包丢弃;
③IEC104模块对数据包内数据内容描述的寄存器值进行检测,查看是否符合用户设定的权限,当符合用户设定的权限时允许数据包通过,否则将数据包丢弃。
[0010]进一步,所述步骤①中对数据包的完整性进行检测包括数据包的协议头区域和数据区域。
[0011]本发明的一种支持过滤IEC104协议的工控防火墙实现方法通过在内核中设置的IEC104模块,对数据包进行过滤处理,不仅实现了对工控协议IEC104的过滤与合法性检查,保障工业指令的合法性、有效性与完整性,提高了过滤效率;而且实现了原来只能通过代理方式实现的内容过滤功能;避免了代理方式对CPU的资源消耗;此外,本发明的防火墙管理员按不同权限划分为超级管理员、管理员和审计员三种身份,管理员进入系统时采用密码和指纹识别两种身份鉴别方式进行身份识别,增强了系统的安全性。
[0012]
【附图说明】
[0013]图1为本发明中防火墙系统的整体结构示意图;
图2为本发明中防火墙与IEC104模块连接示意图;
图3为本发明对IEC104协议进行过滤的流程图。
[0014]
【具体实施方式】
[0015]下面结合【附图说明】本发明。
[0016]如图1-3所示,本发明提供了一种支持过滤IEC104协议的工控防火墙实现方法,其主要是通过在防火墙的内核中设置一 IEC104模块,实现工控协议IEC104协议的过滤,由于IEC104模块直接在内核工作,对IEC104协议报文的功能码、设备号、偏移地址以及寄存器值等数据过滤,提高了过滤效率,并且实现了原来只能通过代理方式实现的内容过滤功能,避免了代理方式对CPU的资源消耗。
[0017]本发明的IEC104模块是在工控防火墙内部的一段用程序设计语言编辑的代码,防火墙用户可通过防火墙的管理接口对IEC104协议设定过滤规则,如设置某IEC104从站只能读取某功能码数据。本发明的过滤方法具体过程如下:
步骤1:将防火墙设置为桥接模式,将IEC104主站和IEC104从站分别设置于防火墙统一网桥中的不同的以太网接口上;以便建立会话跟踪;其中,对数据包