[发明专利]具有应用包分类器的防火墙

权利要求书

1.一种用于提供连接至工业网络的内部装置与至少一个外部装置之间的安全通信的网络装置，其中，在所述至少一个外部装置上执行多个应用功能，并且所述多个应用功能中的每个应用功能包括第一消息包和至少一个附加消息包，所述网络装置包括：

包处理模块，所述包处理模块被配置成接收来自所述至少一个外部装置的消息包，以及从所述消息包中提取多个片段；

应用分类器，所述应用分类器被配置成：

根据所述多个片段确定所接收到的每个消息包是否是针对所述多个应用功能中之一的第一消息包和附加消息包中之一；以及

基于从所述第一消息包中提取的多个片段来识别所述多个应用功能中之一；

存储器装置，所述存储器装置存储包括多个规则的规则数据库，其中，每个规则限定针对所述多个应用功能中之一的多个消息包是否被允许通过所述网络装置；

规则引擎，所述规则引擎能够进行操作以响应于接收到所述第一消息包将由所述应用分类器识别的应用功能与所述规则数据库中的每个应用功能进行比较，其中，当所识别的应用功能被所述规则中的一个允许时，所述网络装置在所述外部装置与所述内部装置之间建立连接；以及

连接管理器，所述连接管理器进行操作以用于：

在建立所述连接之后，将所述第一消息包传送至所述内部装置，

识别属于所建立的连接上的应用功能的每个附加消息包；以及

经由所建立的连接将属于所述应用功能的附加消息包传送至所述内部装置，而不将每个附加消息包与所述规则数据库进行比较。

2.根据权利要求1所述的网络装置，其中：

所述存储器装置存储应用数据库，所述应用数据库通过识别属于所述应用功能中的每个应用功能的所述第一消息包和每个附加消息包来限定所述多个应用功能，

所述规则引擎包括第一状态，在所述第一状态下，将与所述第一消息包中的一个对应的每个应用功能与所述数据库中的所述多个规则进行比较，以确定所述应用功能是被允许还是被拒绝，以及确定是否传送所述第一消息包，以及

所述规则引擎包括第二状态，在所述第二状态下，传送与每个被允许的应用功能对应的所述附加消息包。

3.根据权利要求2所述的网络装置，其中，所述应用数据库针对每个应用功能限定多个状态。

4.根据权利要求2所述的网络装置，其中：

多个外部装置连接至多个内部装置，

所述网络装置在所述外部装置与所述内部装置之间建立多个连接，以及

所述连接管理器被配置成保持每个连接的记录和每个连接的当前状态。

5.根据权利要求2所述的网络装置，其中，所述应用数据库针对每个应用功能限定多个包签名。

6.根据权利要求5所述的网络装置，其中：

所述多个规则能够从用户界面配置，

每个规则包括与所述第一消息包和所述附加消息包中的一个对应的应用功能，以及

所述多个包签名中的每个包签名在显示在所述用户界面上之前被加密。

7.根据权利要求1所述的网络装置，还包括处理器，所述处理器能够在学习模式下操作以用于：

禁用所述规则数据库中的所述规则的至少一部分，以使得消息包能够在每个外部装置与所述内部装置之间被传送，

当所述规则被禁用时，将所述第一消息包、所述附加消息包以及所识别的所述应用功能中的至少一个的记录存储在所述存储器装置中，以及

基于存储在所述存储器装置中的所述记录来生成至少一个新的规则，所述至少一个新的规则用于限定应用功能是被允许还是被拒绝。