[发明专利]具有应用包分类器的防火墙

摘要

本申请涉及具有应用包分类器的防火墙。公开了一种用于建立针对工业网络的防火墙(104)的规则的改进的系统。规则建立在应用级，该规则识别例如在两个装置(100，108)之间要发生的动作。动作可以为例如读取数据表或获取属性，并且为了完成动作，每个动作可能需要在两个装置(100，108)之间传送多个消息包。执行防火墙(104)的网络装置(60)被配置成接收来自发送装置的消息包并且检查消息包，以确定发送装置正在请求执行哪个动作。如果动作与数据库(82)中的规则对应，则网络装置(60)管理两个装置(100，108)之间的通信，直到已经传送了所有的消息包为止。因此，可以在规则数据库(82)中限定单个动作或应用，以容许在装置(100，108)之间传送多个数据包。

主权项

1.一种用于提供连接至工业网络的内部装置与至少一个外部装置之间的安全通信的网络装置，其中，在所述至少一个外部装置上执行多个应用功能，并且所述多个应用功能中的每个应用功能包括第一消息包和至少一个附加消息包，所述网络装置包括：包处理模块，所述包处理模块被配置成接收来自所述至少一个外部装置的消息包，以及从所述消息包中提取多个片段；应用分类器，所述应用分类器被配置成：根据所述多个片段确定所接收到的每个消息包是否是针对所述多个应用功能中之一的第一消息包和附加消息包中之一；以及基于从所述第一消息包中提取的多个片段来识别所述多个应用功能中之一；存储器装置，所述存储器装置存储包括多个规则的规则数据库，其中，每个规则限定针对所述多个应用功能中之一的多个消息包是否被允许通过所述网络装置；规则引擎，所述规则引擎能够进行操作以响应于接收到所述第一消息包将由所述应用分类器识别的应用功能与所述规则数据库中的每个应用功能进行比较，其中，当所识别的应用功能被所述规则中的一个允许时，所述网络装置在所述外部装置与所述内部装置之间建立连接；以及连接管理器，所述连接管理器进行操作以用于：在建立所述连接之后，将所述第一消息包传送至所述内部装置，识别属于所建立的连接上的应用功能的每个附加消息包；以及经由所建立的连接将属于所述应用功能的附加消息包传送至所述内部装置，而不将每个附加消息包与所述规则数据库进行比较。