[发明专利]具有应用包分类器的防火墙

说明书

本申请涉及具有应用包分类器的防火墙。公开了一种用于建立针对工业网络的防火墙(104)的规则的改进的系统。规则建立在应用级，该规则识别例如在两个装置(100，108)之间要发生的动作。动作可以为例如读取数据表或获取属性，并且为了完成动作，每个动作可能需要在两个装置(100，108)之间传送多个消息包。执行防火墙(104)的网络装置(60)被配置成接收来自发送装置的消息包并且检查消息包，以确定发送装置正在请求执行哪个动作。如果动作与数据库(82)中的规则对应，则网络装置(60)管理两个装置(100，108)之间的通信，直到已经传送了所有的消息包为止。因此，可以在规则数据库(82)中限定单个动作或应用，以容许在装置(100，108)之间传送多个数据包。

技术领域

本文中所公开的主题总体上涉及针对工业网络的防火墙，并且更具体地，涉及可以按照应用级指定规则的防火墙。

背景技术

工业控制器为用于例如在工厂环境中控制工业处理或机器的专用计算机系统。通常，工业控制器执行所存储的控制程序，所存储的控制程序从与受控的处理或机器关联的各种传感器读取输入。感测处理或机器的状况以及基于这些输入和所存储的控制程序，工业控制器确定用于控制针对处理或机器的执行器的一组输出。

工业控制器与传统计算机在许多方面具有不同。物理上，与传统计算机相比，工业控制器被创建成基本上更能抵抗撞击和损坏，并且更好地承受极端环境状况。处理器和操作系统被优化用于实时控制并且使用被设计成容许控制程序的快速开发的语言进行编程，其中，控制程序的开发根据机器控制应用或处理控制应用的不断变化的设置来调整。

通常，工业控制器具有使得能够例如使用不同数目和不同类型的输入模块和输出模块来将控制器连接至要控制的处理或机器的高度模块化架构。该模块化通过使用适于高度依赖和可用实时通信的专用“控制网络”来促进。这样的控制网络(例如，ControlNet、EtherNet/IP或者DeviceNet)与标准通信网络(例如，以太网)的不同之处在于，通过预先规划网络的通信能力和/或提供针对高可用性的冗余通信能力来保证最大通信延迟。此外，根据针对特定网络限定的协议例如通用工业协议(CIP)来对控制网络上传送的包进行格式化。

随着时间推移，由工业控制器控制的机器或处理的复杂性和/或尺寸已经增大。例如，处理流水线可以跨越工业区的隔间的整个长度或者自动存储系统可以分布至整个仓库。因此，已经变得期望提供对控制网络的访问以用于监测机器、处理和/或在受控的机器或处理中执行的单独的元件的性能。类似地，可以期望提供对控制网络的访问以改变在受控的机器或处理中执行的元件的配置或程序。

历史上，已经例如经由位于受控的机器或处理附近的专用终端来对机器操作员提供访问。然而，在某些时候，例如在工作期间或解决故障期间，可能期望对处于远程建筑中的用户例如系统程序员或设计者提供访问。控制系统然后可以接口至私用内联网，以允许设计者监测系统。然而，有时候，还可能期望允许经由因特网对远程站点例如现场安装进行访问。可以例如经由需要用户身份和认证的虚拟专用网络(VPN)来建立访问。

然而，对受控机器或处理的未授权或不经意地访问可能导致机器或处理的损坏并且引起停机。因此，必须限制对控制网络的访问。通常，可以由在网络装置例如交换机或路由器中建立的规则来限制对网络的访问。规则还被称为防火墙，并且规则确定是否允许将由网络装置接收的包传送至控制网络上。

某些协议例如CIP对装置制造商提供了显著的灵活性。协议包括使得不同的装置集成在开放网络中的对象和层的框架。协议提供了例如被配置用于不同的网络——例如EtherNet/IP、DeviceNet或ControlNet——的装置之间的通信。CIP协议还能够被高度扩展以使得未来的装置或网络能够集成。然而，协议的结构使其难以限定防火墙可以操作的规则。