[发明专利]一种无IP防火墙的安全规则配置方法

说明书

本发明公开了一种无IP防火墙的安全规则配置方法，通过将无IP防火墙部署在被保护设备前端，防火墙管理系统在发送的探测数据包以及配置数据包时，并不是直接发送到无IP防火墙，而是通过向被保护设备发送数据，由防火墙截获，识别以及处理来完成安全规则配置。为了对数据包进行准确识别，该发明首先使用特殊端口号作为第一个特征，接着使用自定义应用层协议包头作为第二个特征，最后再针对识别的数据包类型进行相应的的处理。

技术领域

本发明属于工业控制系统信息安全技术领域，更为具体地讲，涉及一种无IP防火墙的安全规则配置方法。

背景技术

随着工业化与信息化进程不断交叉融合，信息，网络，互联网技术逐渐应用于工业控制领域，工业控制系统正逐步打破曾经的封闭性。目前的工业网络主要使用传统的防火墙进行防护，此类防火墙通常具有IP地址，才能进行精确地探测及规则配置，然而有IP地址防火墙在局域网内是可以被扫描工具探测到，防火墙本身可能作为被攻击对象，进而攻击整个控制网络；并且有IP的防火墙在接入网络中会改变整个控制网络的拓扑结构，在安装与管理上有着缺陷。为了更好地防护效果，通常会将它设置为无IP的模式，此时该防火墙的管理配置依靠传统技术很难实现。在工业控制网络中，对这种无IP的防火墙进行统一管理及安全规则配置成为了必须。

发明内容

本发明的目的在于克服现有技术的不足，提供一种无IP防火墙的安全规则配置方法，实现了工业控制网络内所有无IP防火墙的探测、管理、安全规则配置。

为实现上述发明目的，本发明一种无IP防火墙的安全规则配置方法，其特征在于，包括以下步骤：

(1)、部署无IP防火墙

将防火墙直接串联在被保护设备前方，使所有发送到被保护设备的数据包都通过无IP防火墙；

(2)、使用防火墙管理系统探测网络中的所有无IP防火墙

防火墙管理系统可以向网络中已知的被保护设备发送特殊的探测数据包，探测数据包会经过被保护设备前方的无IP防火墙，探测数据包在经过防火墙时会被截获、识别、处理；

(2.1)、防火墙管理系统发送探测数据包

防火墙管理系统向网络中已知其IP地址的被保护设备发送探测数据包，若被保护设备前部署了无IP防火墙，那该探测数据包通过无IP防火墙，无IP防火墙产生响应并回复防火墙管理系统；否则探测数据包失效；

(2.2)、无IP防火墙识别探测数据包

探测数据包经过无IP防火墙时，无IP防火墙先检测该探测数据包的目的端口，若目的端口符合规则，再继续检测应用层协议头，若无IP防火墙检测到应用层协议头，则进入步骤(2.3)

(2.3)、无IP防火墙处理探测数据包

首先解析收到的探测数据包，提取探测数据包中防火墙管理系统的IP地址和MAC地址并保存到无IP防火墙本地；再将防火墙MAC地址与被保护设备IP地址作为探测结果；

(2.4)、无IP防火墙上传探测结果信息至防火墙管理系统

无IP防火墙读取步骤(2.3)提取的防火墙管理系统IP地址与MAC地址，并作为目的IP地址与目的MAC地址，同时将探测结果作为数据包内容，并加上自定义应用层协议头，进行数据包封装，标记为探测结果数据包再上传至防火墙管理系统，进入步骤(2.5)；

(2.5)、防火墙管理系统处理探测结果数据包

防火墙管理系统解析探测结果数据包，读取探测结果数据包中的无IP防火墙MAC地址与被保护设备的IP地址，确定出无IP防火墙具体保护设备，并将该信息保存在防火墙管理系统；

(3)防火墙管理系统对网络中的无IP防火墙进行规则配置