的完整性进行检测包括数据包的协议报头区域和数据区域。
[0018]步骤2:防火墙包过滤模块对所有进入防火墙的数据包进行系统安全检查;不达标的数据包将被丢弃;其中,安全策略采用最少数据报文通过的原则,包过滤模块基于源IP地址、目的IP地址以及基于源端口、目的端口和基于协议类型提供安全检查。
[0019]步骤3:管理员自定义数据包过滤规则,当数据包满足自定义数据包过滤规则时允许通过,否则将数据包丢弃;其中,防火墙将管理员按不同权限划分为超级管理员、管理员和审计员三种身份,每种身份对应不同权限的系统操作,进入系统操作时对管理员的身份同时进行密码和指纹识别两种身份鉴别方式,提高了系统的安全性;管理员的管理命令集合是一个特制的、封闭的精简集合,管理员根据指定的配置操作进行自定义数据包过滤规则的设定,而不能进行其他可能危害系统本身的危险操作,这样防止管理员的误操作对系统造成不可挽回的破坏;系统对管理员的操作命令进行检查,将不符合规定格式的操作命令或是拒绝或是使用系统缺省值,避免了缓冲区产生溢出攻击的可能性。
[0020]步骤4:防火墙包过滤模块对数据包是否为IEC104协议进行检测,当数据包为IEC104协议时允许通过,否则将数据包丢弃。
[0021]步骤5:防火墙通过IEC104模块进行IEC104协议过滤;其中,IEC104模块首先对数据包的完整性进行检测,当数据包完整时进行下一步检测,否则将数据包丢弃;其次,IEC104模块检查数据包内报文的功能码是否符合用户设定的功能码,当符合用户设定的功能码时进行下一步检测,否则将数据包丢弃;然后,IEC104模块检查数据包内的设备号是否是用户设定的设备节点,当设备号是用户设定的设备节点时进行下一步检测,否则将数据包丢弃;最后,IEC104模块对数据包内数据内容描述的寄存器值进行检测,查看是否符合用户设定的权限,当符合用户设定的权限时允许数据包通过,否则将数据包丢弃。
[0022]IEC104模块具有识别协议、检验协议的完整性、识别协议报文的功能码、设备号、偏移地址以及寄存器值的功能,对于不符合规则的数据包,本发明防火墙的缺省动作是拒绝;规则按顺序执行,一旦和数据包匹配成功,就进行相应操作,不再执行后面的规则。这样业务数据IEC104报文在通过防火墙时能获取最短的时延。
[0023]本发明的过滤方法,不仅实现了对工控协议IEC104的过滤与合法性检查,提高了过滤效率;而且实现了原来只能通过代理方式实现的内容过滤功能;此外,本发明的防火墙管理员按不同权限划分为超级管理员、管理员和审计员三种身份,管理员进入系统时采用密码和指纹识别两种身份鉴别方式进行身份识别,增强了系统的安全性。
[0024]以上是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
【主权项】
1.一种支持过滤IEC104协议的工控防火墙实现方法,其特征在于,所述方法包括如下步骤: 1)将防火墙设置为桥接模式,将IEC104主站和IEC104从站分别设置于防火墙不同的以太网接口上; 2)防火墙包过滤模块对所有进入防火墙的数据包进行系统安全检查; 3)管理员自定义数据包过滤规则,当数据包满足自定义数据包过滤规则时允许通过,否则将数据包丢弃; 4)防火墙包过滤模块对数据包是否为IEC104协议进行检测,当数据包为IEC104协议时允许通过,否则将数据包丢弃; 5)防火墙通过IEC104模块进行IEC104协议过滤。
2.根据权利要求1所述的实现方法,其特征在于,所述步骤2)中的系统安全检查具体为:安全策略采用最少数据报文通过的原则则,包过滤模块基于源IP地址、目的IP地址以及基于源端口、目的端口和基于协议类型提供安全检查。
3.根据权利要求1所述的实现方法,其特征在于,所述步骤3)具体为: ①防火墙将管理员按不同权限划分为超级管理员、管理员和审计员三种身份,每种身份对应不同权限的系统操作,进入系统操作时对管理员的身份同时进行密码和指纹识别两种身份鉴别方式; ②管理员的管理命令集合是一个特制的、封闭的精简集合,管理员根据指定的配置操作进行自定义数据包过滤规则的设定; ③系统对管理员的操作命令进行检查,将不符合规定格式的操作命令或是拒绝或是使用系统缺省值,避免了缓冲区产生溢出攻击的可能性。
4.根据权利要求1所述的实现方法,其特征在于,所述步骤5)具体为: ①IEC104模块对数据包的完整性进行检测,当数据包完整时进行下一步检测,否则将数据包丢弃; ②IEC104模块检查数据包内报文的功能码是否符合用户设定的功能码,当符合用户设定的功能码时进行下一步检测,否则将数据包丢弃; ③IEC104模块检查数据包内的设备号是否是用户设定的设备节点,当设备号是用户设定的设备节点时进行下一步检测,否则将数据包丢弃; ③IEC104模块对数据包内数据内容描述的寄存器值进行检测,查看是否符合用户设定的权限,当符合用户设定的权限时允许数据包通过,否则将数据包丢弃。
5.根据权利要求4所述的实现方法,其特征在于,所述步骤①中对数据包的完整性进行检测包括数据包的协议头区域和协议数据区域。
【专利摘要】本发明公开了一种支持过滤IEC104协议的工控防火墙实现方法,该方法通过在防火墙内核中设置的IEC104模块,对数据包进行过滤处理,不仅实现了对工控协议IEC104的过滤与合法性检查,保障工业指令的合法性、有效性与完整性,提高了过滤效率;而且实现了原来只能通过代理方式实现的内容过滤功能;避免了代理方式对CPU的资源消耗;此外,本发明的防火墙管理员按不同权限进行了划分,管理员进入系统时采用两种身份鉴别方式,增强了系统的安全性。
【IPC分类】H04L29-06
【公开号】CN104539600
【申请号】CN201410801356
【发明人】汪义舟, 杨国文, 原江平
【申请人】北京卓越信通电子股份有限公司, 北京和利时系统工程有限公司
【公开日】2015年4月22日
【申请日】2014年12月22日