一種自動建立以太網(wǎng)通信安全規(guī)則的方法
【專利摘要】一種自動建立以太網(wǎng)通信安全規(guī)則的方法,步驟如下:1.將安全裝置接入網(wǎng)絡(luò);2.所述安全裝置被動獲取以太網(wǎng)網(wǎng)絡(luò)中的數(shù)據(jù)包;3.所述安全裝置將獲取的數(shù)據(jù)包發(fā)送給協(xié)議解析模塊,4.所述協(xié)議解析模塊解析數(shù)據(jù)包內(nèi)容,獲得通信協(xié)議類型信息,確定是否為工業(yè)通訊協(xié)議;5.若是工業(yè)通訊協(xié)議,解析數(shù)據(jù)包中的關(guān)鍵信息,并提取出來;6.將提取出來的信息發(fā)送給規(guī)則輔助生成向?qū)K;7.所述規(guī)則輔助生成向?qū)K接收到信息后,判斷信息完整后,形成安全規(guī)則。上述方法是根據(jù)實(shí)際通訊中的數(shù)據(jù)信息形成安全規(guī)則,使安全規(guī)則的設(shè)置有針對性,不會遺漏,方便省力,確保工業(yè)網(wǎng)絡(luò)中傳輸?shù)膶?shí)時性和數(shù)據(jù)完整性。
【專利說明】—種自動建立以太網(wǎng)通信安全規(guī)則的方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信安全領(lǐng)域,特別是涉及一種自動建立以太網(wǎng)通信安全規(guī)則的方法。
【背景技術(shù)】
[0002]目前市場上的防火墻在部署到網(wǎng)絡(luò)中時,首先需要對防火墻進(jìn)行規(guī)則配置。防火墻規(guī)則配置過程非常麻煩,在配置之前,首先要收集大量的網(wǎng)絡(luò)信息,比如,網(wǎng)絡(luò)里面有哪些設(shè)備,哪些設(shè)備的通訊包允許通過,哪些拒絕通過等等;收集整理完信息之后,需要添加至IJ防火墻規(guī)則列表中,但添加規(guī)則容易出錯,一旦規(guī)則配置出錯,一些合法通訊包可能就會被阻斷,影響正常的通信,在工業(yè)網(wǎng)絡(luò)里面,它的影響更大,因?yàn)樵诠I(yè)網(wǎng)絡(luò)中,需要確保傳輸實(shí)時性和數(shù)據(jù)完整性。
【發(fā)明內(nèi)容】
[0003]為解決上述技術(shù)問題,本發(fā)明提供了一種可以自動建立以太網(wǎng)通訊安全規(guī)則的方法。
[0004]為實(shí)現(xiàn)上述發(fā)明目的,本發(fā)明所提供的技術(shù)方案是:
[0005]一種自動建立以太網(wǎng)通信安全規(guī)則的方法,包括如下步驟:
[0006]步驟一將安全裝置接入網(wǎng)絡(luò);
[0007]步驟二所述安全裝置被動獲取以太網(wǎng)網(wǎng)絡(luò)中的數(shù)據(jù)包;
[0008]步驟三所述安全裝置將獲取的數(shù)據(jù)包發(fā)送給協(xié)議解析模塊,
[0009]步驟四所述協(xié)議解析模塊解析數(shù)據(jù)包的網(wǎng)絡(luò)層、傳輸層和應(yīng)用層內(nèi)容,獲得其通信協(xié)議類型信息,確定是否為工業(yè)通訊協(xié)議;
[0010]步驟五如果是工業(yè)通訊協(xié)議,解析數(shù)據(jù)包中的關(guān)鍵信息,并提取出來;
[0011]步驟六將提取出來的信息發(fā)送給規(guī)則輔助生成向?qū)K;
[0012]步驟七所述規(guī)則輔助生成向?qū)K接收到信息后,判斷是否完整;
[0013]步驟八如果信息完整,將形成安全規(guī)則。
[0014]進(jìn)一步地,步驟五中所述關(guān)鍵信息包括源IP、目標(biāo)IP、源端口、目標(biāo)端口、協(xié)議類型、設(shè)備地址、功能碼、寄存器區(qū)、讀寫屬性、寄存器地址范圍、寄存器內(nèi)容范圍等。
[0015]進(jìn)一步地,還包括步驟八':如果信息不完整,將無法形成安全規(guī)則。
[0016]進(jìn)一步地,所述步驟八中所述安全規(guī)則包括防火墻規(guī)則和工業(yè)通訊協(xié)議規(guī)則。
[0017]進(jìn)一步地,所述防火墻規(guī)則根據(jù)源IP、目標(biāo)IP、源端口、目標(biāo)端口、協(xié)議類型等五個元素中部分或全部元素形成。
[0018]進(jìn)一步地,所述工業(yè)通訊協(xié)議規(guī)則根據(jù)設(shè)備地址、功能碼、寄存器區(qū)、讀寫屬性、寄存器地址范圍、寄存器內(nèi)容范圍等元素中部分或全部元素形成。
[0019]采用上述技術(shù)方案,本發(fā)明的有益效果有:
[0020]本發(fā)明通過截獲以太網(wǎng)絡(luò)中的數(shù)據(jù)包進(jìn)行解析,并根據(jù)實(shí)際通訊數(shù)據(jù)信息形成安全規(guī)則,使安全規(guī)則的設(shè)置有針對性,不會遺漏,方便省力,確保工業(yè)網(wǎng)絡(luò)中傳輸?shù)膶?shí)時性和數(shù)據(jù)完整性。
[0021]本發(fā)明所公開的自動建立以太網(wǎng)通信安全規(guī)則的方法,判斷數(shù)據(jù)包的通信協(xié)議類型及其關(guān)鍵信息,然后根據(jù)這些信息自動給出通信安全規(guī)則的推薦配置,給網(wǎng)絡(luò)安全設(shè)備添加規(guī)則,將大大提高設(shè)備配置的效率和準(zhǔn)確性,讓網(wǎng)絡(luò)設(shè)備配置不再需要懂得專業(yè)網(wǎng)絡(luò)知識,對于不熟悉網(wǎng)絡(luò)的自動化工程師也能輕松完成配置。
【專利附圖】
【附圖說明】
[0022]圖1為自動建立以太網(wǎng)通信安全規(guī)則的方法流程圖。
【具體實(shí)施方式】
[0023]為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白,下面結(jié)合附圖及實(shí)施例,對本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說明。應(yīng)當(dāng)理解,此處所描述的具體實(shí)施例僅用以解釋本發(fā)明,并不用于限定本發(fā)明。
[0024]圖1為本發(fā)明的流程圖,如圖1所示,一種自動建立以太網(wǎng)通信安全規(guī)則的方法,包括如下步驟:
[0025]步驟一將安全裝置接入網(wǎng)絡(luò);
[0026]步驟二所述安全裝置被動獲取以太網(wǎng)網(wǎng)絡(luò)中的數(shù)據(jù)包;
[0027]步驟三所述安全裝置將獲取的數(shù)據(jù)包發(fā)送給協(xié)議解析模塊,
[0028]步驟四所述協(xié)議解析模塊解析數(shù)據(jù)包的網(wǎng)絡(luò)層、傳輸層和應(yīng)用層內(nèi)容,獲得其通信協(xié)議類型信息,確定是否為工業(yè)通訊協(xié)議;
[0029]步驟五如果是工業(yè)通訊協(xié)議,解析數(shù)據(jù)包中的關(guān)鍵信息,并提取出來,所述關(guān)鍵信息包括源IP、目標(biāo)IP、源端口、目標(biāo)端口、協(xié)議類型、設(shè)備地址、功能碼、寄存器區(qū)、讀寫屬性、寄存器地址范圍、寄存器內(nèi)容范圍等;
[0030]步驟六將提取出來的信息發(fā)送給規(guī)則輔助生成向?qū)K;
[0031]步驟七所述規(guī)則輔助生成向?qū)K接收到信息后,判斷是否完整;
[0032]步驟八如果信息不完整,將無法形成安全規(guī)則,如果信息完整,則進(jìn)一步形成安全規(guī)則,所述安全規(guī)則包括防火墻規(guī)則和工業(yè)通訊協(xié)議規(guī)則,所述防火墻規(guī)則根據(jù)源IP、目標(biāo)IP、源端口、目標(biāo)端口、協(xié)議類型等五個元素中部分或全部元素形成,所述工業(yè)通訊協(xié)議規(guī)則根據(jù)設(shè)備地址、功能碼、寄存器區(qū)、讀寫屬性、寄存器地址范圍、寄存器內(nèi)容范圍等元素中部分或全部元素形成。
[0033]上述自動建立以太網(wǎng)通信安全規(guī)則的方法,根據(jù)截獲的數(shù)據(jù)包,自動給出通信安全規(guī)則的推薦配置,這樣,只有在通信中真實(shí)存在的通信類型被設(shè)置,使安全規(guī)則的設(shè)置具有針對性,不會遺漏,可以隨時添加防火墻規(guī)則,方便省力,且確保了工業(yè)網(wǎng)絡(luò)中傳輸?shù)膶?shí)時性和數(shù)據(jù)的完整性。
[0034]實(shí)施例
[0035]接入網(wǎng)絡(luò)的安全裝置截取試圖通過的報文,通過協(xié)議分析模塊,分析結(jié)果如下:
[0036]源IP:172.18.16.121 ;
[0037]源端口:1032[0038]目標(biāo) IP:172.18.16.122 ;
[0039]目標(biāo)端口:502;
[0040]設(shè)備地址:I ;
[0041]功能碼:3 ;
[0042]起始地址:100;
[0043]地址長度為:20 ;
[0044]將分析結(jié)果信息發(fā)送到規(guī)則向?qū)K,規(guī)則向?qū)K將自動為安全裝置形成兩條規(guī)則,分別是防火墻規(guī)則和工業(yè)通訊協(xié)議規(guī)則,分別如下所示:
[0045]防火墻規(guī)則:
[0046]172.18.16.121:1032->172.18.16.122:502 ;
[0047]工業(yè)通訊協(xié)議規(guī)則:
[0048]設(shè)備地址1,功能碼3,寄存器地址范圍為100-119。
[0049]將防火墻規(guī)則和工業(yè)通訊協(xié)議規(guī)則添加進(jìn)通信安全規(guī)則中,完成以太網(wǎng)通信安全規(guī)則的自動建立。
[0050]上述自動建立以太網(wǎng)通信安全規(guī)則的方法,通過判斷數(shù)據(jù)包的通信協(xié)議類型及其關(guān)鍵信息,然后根據(jù)這些信息自動給出通信安全規(guī)則的推薦配置,給網(wǎng)絡(luò)安全設(shè)備添加規(guī)貝U,將大大提高設(shè)備配置的效率和準(zhǔn)確性,讓網(wǎng)絡(luò)設(shè)備配置不再需要懂得專業(yè)網(wǎng)絡(luò)知識,對于不熟悉網(wǎng)絡(luò)的自動化工程師也能輕松完成配置。且根據(jù)實(shí)際通訊中的數(shù)據(jù)信息形成安全規(guī)則,使安全規(guī)則的設(shè)置有針對性,不會遺漏,方便省力,確保工業(yè)網(wǎng)絡(luò)中傳輸?shù)膶?shí)時性和數(shù)據(jù)完整性。
[0051]以上所述實(shí)施例僅表達(dá)了本發(fā)明的實(shí)施方式,其描述較為具體和詳細(xì),但并不能因此而理解為對本發(fā)明專利范圍的限制。應(yīng)當(dāng)指出的是,對于本領(lǐng)域的普通技術(shù)人員來說,在不脫離本發(fā)明構(gòu)思的前提下,還可以做出若干變形和改進(jìn),這些都屬于本發(fā)明的保護(hù)范圍。因此,本發(fā)明專利的保護(hù)范圍應(yīng)以所附權(quán)利要求為準(zhǔn)。
【權(quán)利要求】
1.一種自動建立以太網(wǎng)通信安全規(guī)則的方法,其特征在于包括如下步驟: 步驟一將安全裝置接入網(wǎng)絡(luò); 步驟二所述安全裝置被動獲取以太網(wǎng)網(wǎng)絡(luò)中的數(shù)據(jù)包; 步驟三所述安全裝置將獲取的數(shù)據(jù)包發(fā)送給協(xié)議解析模塊; 步驟四所述協(xié)議解析模塊解析數(shù)據(jù)包的網(wǎng)絡(luò)層、傳輸層和應(yīng)用層內(nèi)容,獲得其通信協(xié)議類型信息,確定是否為工業(yè)通訊協(xié)議; 步驟五如果是工業(yè)通訊協(xié)議,解析數(shù)據(jù)包中的關(guān)鍵信息,并提取出來; 步驟六將提取出來的信息發(fā)送給規(guī)則輔助生成向?qū)K; 步驟七所述規(guī)則輔助生成向?qū)K接收到信息后,判斷是否完整; 步驟八如果信息完整,將形成安全規(guī)則。
2.根據(jù)權(quán)利要求1所述的自動建立以太網(wǎng)通信安全規(guī)則的方法,其特征在于:步驟五中所述關(guān)鍵信息包括源IP、目標(biāo)IP、源端口、目標(biāo)端口、協(xié)議類型、設(shè)備地址、功能碼、寄存器區(qū)、讀寫屬性、寄存器地址范圍、寄存器內(nèi)容范圍等。
3.根據(jù)權(quán)利要求1所述的自動建立以太網(wǎng)通信安全規(guī)則的方法,其特征在于還包括步驟八,:如果信息不完整,將無法形成安全規(guī)則。
4.根據(jù)權(quán)利要求1所述的自動建立以太網(wǎng)通信安全規(guī)則的方法,其特征在于:所述步驟八中所述安全規(guī)則包括防火墻規(guī)則和工業(yè)通訊協(xié)議規(guī)則。
5.根據(jù)權(quán)利要求4所述的自動建立以太網(wǎng)通信安全規(guī)則的方法,其特征在于:所述防火墻規(guī)則根據(jù)源IP、目標(biāo)IP、源端口、目標(biāo)端口、協(xié)議類型等五個元素中部分或全部元素形成。
6.根據(jù)權(quán)利要求4所述的自動建立以太網(wǎng)通信安全規(guī)則的方法,其特征在于:所述工業(yè)通訊協(xié)議規(guī)則根據(jù)設(shè)備地址、功能碼、寄存器區(qū)、讀寫屬性、寄存器地址范圍、寄存器內(nèi)容范圍等元素中部分或全部元素形成。
【文檔編號】H04L29/06GK103780601SQ201310552467
【公開日】2014年5月7日 申請日期:2013年10月16日 優(yōu)先權(quán)日:2012年10月17日
【發(fā)明者】谷永國, 何迪江 申請人:北京力控華康科技有限公司