一种支持可扩展协议检测的工控防火墙实现方法

一种支持可扩展协议检测的工控防火墙实现方法
【技术领域】
[0001]本发明涉及一种支持可扩展协议检测的工控防火墙实现方法，属于工控网络安全防护技术领域。
【背景技术】
[0002]目前，工业控制系统网络是由工业自动化生产设备组成的网络，不同于IT网络，工控网络有着专有的通信协议和通信机制。根据工控网络的特点，威努特技术有限公司提出“白环境”的解决方案，即“只有可信任的设备，才能接入控制网络；只有可信任的消息，才能在网络上传输；只有可信任的软件，才允许被执行”。除了比较知名的工控协议，如ModbuS，IEC-104，还有很多工控协议是私有的，甚至是保密的。这就造成了安全网关类产品往往覆盖不到所有的工控协议，在安全防护上对这些协议也就无能为力了。
[0003]目前，现有的工业协议检测通过编码实现常用工业协议的解码，然后根据用户的配置对特定的字段进行检测并做出通过、丢弃或者告警的动作；所述用户的配置是指用户根据自己网络流量的情况配置关键参数；所述关键参数是指待检测报文的IP地址、端口、传输层协议、报文的指纹特征、待检测内容的提取规则、待检测内容的合法值以及网关设备采取的相应动作。如专利CN104539600A，该发明将工业协议IEC-104的解码模块内置到防火墙内核中，这种解决方案对安全网关的依赖较高。当遇到不支持的工业协议或者不常见的工业协议时，往往需要联系网关生产厂商提供支持。
[0004]综上所述，传统的现有技术的缺点如下:
[0005]1.网关内置支持的工业协议有限，当网关内置协议无法满足需求时，需要联系网关生产厂商升级设备；
[0006]2.考虑到部分工业自动化设备之间通信协议的保密性，在某些情况下，网关生产厂商可能无法获得通信协议的详细信息，从而影响对该协议的支持；
[0007]3.网关升级的成本高，时间长。

【发明内容】

[0008]本发明的目的在于提供一种能够克服上述技术问题的支持可扩展协议检测的工控防火墙实现方法，本发明在现有安全网关的基础上提供一套能够给用户使用的配置方案，当需要扩展协议类型时，用户能够根据实际情况自行配置而无需寻求网关生产商的支持。本发明提供的配置方案是根据工业网络特点抽象出来的一套规则，该规则应用范围广泛。
[0009]本发明的支持可扩展协议检测的工控防火墙实现方法的特征是:通过用户的配置扩展安全网关检测的协议、使用配置文件定义协议特征以及检测的位置、能够保证协议升级过程中不停止安全业务；所述用户的配置是指用户根据自己网络流量的情况配置关键参数，所述关键参数是指待检测报文的IP地址、端口、传输层协议、报文的指纹特征、待检测内容的提取规则、待检测内容的合法值以及网关设备采取的相应动作，所述配置文件是指以一定的格式保存包含用户配置内容的文件。
[0010]本发明包括以下步骤:
[0011](I)报文处理流程；
[0012](11)首先，根据用户指定的传输层协议、IP地址、TCP/UDP端口号、报文的指纹特征来判断该报文是否需要检测；所述报文的指纹特征是指该报文区别于其他报文的唯一特征；
[0013](12)其次，对于需要检测的报文，通过用户的配置的方法提取相应的内容；
[0014](13)最后，将提取的内容与用户的配置的合法值进行比较，并根据用户的配置做出相应的动作；
[0015](2)配置规则；配置规则分为三个部分:特征配置、提取位置配置和合法内容配置；
[0016](21)特征配置，特征配置指明什么样的报文会进入本条规则的后续检测，即配置IP地址、端口、传输层协议、报文的指纹特征，例如，配置TCP协议端口为135为XXX协议。
[0017](22)提取相应位置内容的规则，即提示网关设备从什么地方开始提取一段内容跟后续的合法值进行匹配，使用TLV配置形式、特殊字符定位形式、特殊偏移定位形式；所述TLV是Type (类型)、Length (长度)、Value (值)的缩写，所述TLV是一种常用的编码方式。例如，指定偏移为5的位置开始的两个字节的取值范围为十六进制OxOlab到十六进制0x02cf，当报文该位置的值超出上述范围后网关设备做出相应动作，例如，丢弃或者告警。
[0018](23)配置指定位置内容的合法值及其相应的动作，即提示网关设备当提取内容以后判断该内容是否合法以及需要采取的动作。
[0019](3)配置升级流程；
[0020]当完成配置以后，例如，通过web界面或者配置文件完成，网关设备将用户的配置的规则导入备份内存中，导入完成后，网关设备进行热切换，新来的流量将采用新的配置来进行检测；所述热切换是指在不停止系统的情况下切换配置，网关设备预留两份内存保存系统配置，一份系统正在使用，另一份用来保存正在进行的配置，当配置解析完成以后，网关设备将备份配置切换为正在使用的状态同时将正在使用的配置切换为备份的状态。
[0021]用户的配置能够通过网页、命令行、配置文件的形式传递到网关设备中。
[0022]本发明的优点是:
[0023]1.配置能够实现热切换，升级过程中不用停止安全检测业务；
[0024]2.配置灵活简单，协议升级不依赖网关设备生产厂商。
【附图说明】
[0025]图1是本发明所述一种支持可扩展协议检测的工控防火墙实现方法的报文处理流程图；
[0026]图2是本发明所述一种支持可扩展协议检测的工控防火墙实现方法的配置升级流程图。
【具体实施方式】
[0027]下面结合附图对本发明的实施方式进行详细描述。如图1所示，本发明包括以下步骤:
[0028](I)报文处理流程；
[0029](11)首先，根据用户指定的传输层协议、IP地址、TCP/UDP端口号、报文的指纹特征来判断该报文是否需要检测；所述报文的指纹特征是指该报文区别于其他报文的唯一特征；
[0030](12)其次，对于需要检测的报文，通过用户的配置的方法提取相应的内容；
[0031](13)最后，将提取的内容与用户的配置的合法值进行比较，并根据用户的配置做出相应的动作；
[0032](2)配置规则；配置规则分为三个部分:特征配置、提取位置配置和合法内容配置；
[0033](21)特征配置，特征配置指明什么样的报文会进入本条规则的后续检测，即配置IP地址、端口、传输层协议、报文的指纹特征，例如，配置TCP协议端口为135为XXX协议。
[0034](22)提取相应位置内容的规则，即提示网关设备从什么地方开始提取一段内容跟后续的合法值进行匹配，使用TLV配置形式、特殊字符定位形式、特殊偏移定位形式；所述TLV是Type (类型)、Length (长度)、Value (值)的缩写，所述TLV是一种常用的编码方式。例如，指定偏移为5的位置开始的两个字节的取值范围为十六进制OxOlab到十六进制0x02cf，当报文该位置的值超出上述范围后网关设备做出相应动作，例如，丢弃或者告警。
[0035](23)配置指定位置内容的合法值及其相应的动作，即提示网关设备当提取内容以后判断该内容是否合法以及需要采取的动作。
[0036](3)配置升级流程；
[0037]如图2所示，当完成配置以后，例如，通过web界面或者配置文件完成，网关设备将用户的配置的规则导入备份内存中，导入完成后，网关设备进行热切换，新来的流量将采用新的配置来进行检测；所述热切换是指在不停止系统的情况下切换配置，网关设备预留两份内存保存系统配置，一份系统正在使用，另一份用来保存正在进行的配置，当配置解析完成以后，网关设备将备份配置切换为正在使用的状态同时将正在使用的配置切换为备份的状态。
[0038]用户的配置能够通过网页、命令行、配置文件的形式传递到网关设备中。
[0039]以上所述，仅为本发明的【具体实施方式】，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明公开的范围内，能够轻易想到的变化或替换，都应涵盖在本发明权利要求的保护范围内。
【主权项】
1.一种支持可扩展协议检测的工控防火墙实现方法，其特征在于，通过用户的配置扩展安全网关检测的协议、使用配置文件定义协议特征以及检测的位置、能够保证协议升级过程中不停止安全业务；所述用户的配置是指用户根据自己网络流量的情况配置关键参数，所述关键参数是指待检测报文的IP地址、端口、传输层协议、报文的指纹特征、待检测内容的提取规则、待检测内容的合法值以及网关设备采取的相应动作，所述配置文件是指以一定的格式保存包含用户配置内容的文件。2.根据权利要求1所述的一种支持可扩展协议检测的工控防火墙实现方法，其特征在于，包括以下步骤: (1)报文处理流程； (11)首先，根据用户指定的传输层协议、IP地址、TCP/UDP端口号、报文的指纹特征来判断该报文是否需要检测；所述报文的指纹特征是指该报文区别于其他报文的唯一特征； (12)其次，对于需要检测的报文，通过用户的配置的方法提取相应的内容； (13)最后，将提取的内容与用户的配置的合法值进行比较，并根据用户的配置做出相应的动作； (2)配置规则；配置规则分为三个部分:特征配置、提取位置配置和合法内容配置； (21)特征配置，特征配置指明什么样的报文会进入本条规则的后续检测，即配置IP地址、端口、传输层协议、报文的指纹特征，例如，配置TCP协议端口为135为XXX协议； (22)提取相应位置内容的规则，即提示网关设备从什么地方开始提取一段内容跟后续的合法值进行匹配，使用TLV配置形式、特殊字符定位形式、特殊偏移定位形式； (23)配置指定位置内容的合法值及其相应的动作，即提示网关设备当提取内容以后判断该内容是否合法以及需要采取的动作； (3)配置升级流程。3.根据权利要求1或2任意一项所述的一种支持可扩展协议检测的工控防火墙实现方法，其特征在于，当完成配置以后，网关设备将用户的配置的规则导入备份内存中，导入完成后，网关设备进行热切换，新来的流量将采用新的配置来进行检测；所述热切换是指在不停止系统的情况下切换配置，网关设备预留两份内存保存系统配置，一份系统正在使用，另一份用来保存正在进行的配置，当配置解析完成以后，网关设备将备份配置切换为正在使用的状态同时将正在使用的配置切换为备份的状态。4.根据权利要求1或2任意一项所述的一种支持可扩展协议检测的工控防火墙实现方法，其特征在于，用户的配置能够通过网页、命令行、配置文件的形式传递到网关设备中。
【专利摘要】本发明公开了一种支持可扩展协议检测的工控防火墙实现方法,特征是：通过用户的配置扩展安全网关检测的协议、使用配置文件定义协议特征以及检测的位置、能够保证协议升级过程中不停止安全业务；本发明的优点是：1.配置能够实现热切换，升级过程中不用停止安全检测业务；2.配置灵活简单，协议升级不依赖网关设备生产厂商。
【IPC分类】H04L29/06, H04L12/24
【公开号】CN105141596
【申请号】CN201510494244
【发明人】韩延鹏, 冯全宝, 郭立龙, 龙国东, 黄敏, 赵宇
【申请人】北京威努特技术有限公司
【公开日】2015年12月9日
【申请日】2015年8月12日