[发明专利]一种工控防火墙的抓包方法

说明书

本发明公开了一种工控防火墙的抓包方法，包括以下步骤：步骤1：系统启动时会启动一个监控进程；步骤2：前端将配置下发到中间层；步骤3：中间层将配置参数存入mysql数据库；步骤4：步骤1开启的监控进程中，读取mysql数据库；步骤5：如果正在抓包，执行步骤6；步骤6：检查抓包时长是否超过限制，若超过限制，则停止抓包进程；步骤7：根据配置的参数，生成tcpdump抓包命令，启动一个进程，执行tcpdump抓包；步骤8：如果正在抓包，则停止抓包进程。本发明可以针对需求，配置抓包的接口，报文方向，报文的源地址、源端口、目的地址、目的端口、传输层协议(TCP/UDP等)，抓包文件的大小。将抓到的报文存储为pcap文件，并且提供下载功能，将报文下载下来进行分析。

技术领域

本发明涉及工控防火墙抓包技术领域，尤其涉及一种工控防火墙的抓包方法。

背景技术

随着工业信息化建设不断发展及“两化”进程不断深入，工业网络面临的传统安全威胁和工控网络特有安全威胁在不断增加。工业网络互连程度的提高使传统安全威胁可以迅速渗透到工业网络中，原本封闭的工业网络早期并没有考虑相应的安全防护措施，在数据盗取、接入认证、无线连接、安全追溯等多方面都存在严重的安全风险。由此可见，工业网络目前存在极大的安全隐患，急需提供全面、纵深的安全防御策略进行有效的保护。而边界安全防护便是首当其冲的重要关键环节，工业防火墙自然也就成为了工业网络边界安全建设的首选安全设备。工控防火墙是一种用于工业领域的安全防护类产品，在一些现场环境中，需要对网络进行抓包来调试环境。

现有技术为通过搭建物理环境，在工控防火墙的两端接交换机，把抓包机接到两端交换机的汇聚口，开启抓包软件，比如：wireshark，在对应网卡上抓包，但是需要耗费大量的人力物力，配置繁琐，而且可能会影响原有网络的拓扑，造成其他问题。

发明内容

1.要解决的技术问题

本发明的目的是为了解决现有技术需要耗费大量的人力物力，配置繁琐，而且可能会影响原有网络的拓扑的问题，而提出的一种工控防火墙的抓包方法。

2.技术方案

为了实现上述目的，本发明采用了如下技术方案：

一种工控防火墙的抓包方法，包括以下步骤：

步骤1：系统启动时会启动一个监控进程；

步骤2：前端将配置下发到中间层；

步骤3：中间层将配置参数存入mysql数据库；

步骤4：步骤1开启的监控进程中，读取mysql数据库；

步骤5：如果正在抓包，执行步骤6；

步骤6：检查抓包时长是否超过限制，若超过限制，则停止抓包进程；

步骤7：根据配置的参数，生成tcpdump抓包命令，启动一个进程，执行tcpdump抓包；

步骤8：如果正在抓包，则停止抓包进程。

优选地，所述步骤4中如果抓包开关为开，执行步骤5，如果抓包开关为关，则执行步骤8。

优选地，所述步骤5中如果没有抓包，则执行步骤7。

优选地，所述步骤6中检查抓包大小是否超过限制，如超过限制，则停止抓包进程。

优选地，所述步骤2中配置项包括配置抓包的接口，报文方向，报文的源地址、源端口、目的地址、目的端口、传输层协议(TCP/UDP等)以及抓包文件的大小。

优选地，所述抓到的报文存储为pcap文件，并且提供下载功能，将报文下载下来进行分析。

3.有益效果