本發(fā)明涉及一種解析多協(xié)議的安全網關系統(tǒng)及其應用�����,屬于網絡安全的技術領域��。
背景技術:
近十年來�����,隨著信息技術和物聯(lián)網技術的迅猛發(fā)展�,工業(yè)控制網絡中大量采用通用現(xiàn)場智能儀表和開放式tcp/ip技術,信息化在工業(yè)中的應用取得了飛速發(fā)展����,工業(yè)系統(tǒng)的安全隱患問題日益嚴峻。隨著工業(yè)專用安全網關技術的成熟��,集成有防火墻���、vpn��、入侵防護����、防垃圾數(shù)據以及殺毒抗毒等功能的高性能安全網關產品將減少用戶的使用復雜度�,降低使用成本,并逐漸替代現(xiàn)有的防火墻����、防病毒、入侵檢測市場�。
傳統(tǒng)tcp/ip網絡欠缺考慮互聯(lián)互通所必須的通信安全問題���。系統(tǒng)復雜性、人為事故�����、操作失誤���、設備故障和自然災害等也會對通信安全造成破壞���。高性能安全網關產品將促進我國工業(yè)數(shù)據安全及相關產業(yè)的發(fā)展,提高目前的網絡安全防護水平����。針對通信協(xié)議的多樣化、各種設備的復雜化等問題��,目前市場上能夠適應多工業(yè)系統(tǒng)場景的安全網關設備較少����,能夠完整適應多種通信協(xié)議的解決方案不足。
技術實現(xiàn)要素:
針對現(xiàn)有技術的不足����,本發(fā)明提供一種解析多協(xié)議的安全網關系統(tǒng)。
本發(fā)明還提供一種利用上述多協(xié)議安全網關系統(tǒng)進行通信的方法�。
本發(fā)明的技術方案為:
一種解析多協(xié)議的安全網關系統(tǒng),包括上層管理模塊��、底層過濾保護模塊和數(shù)據庫模塊���;
所述上層管理模塊采用web交互配置服務器����,運用lamp開放式源碼搭建��,采用b/s架構設計�����;所述上層管理模塊實現(xiàn)用戶設置��、系統(tǒng)參數(shù)設置����、通信策略設置和通過web界面進行設備日志查詢;所述用戶設置包括用戶添加和用戶刪除�����;所示系統(tǒng)參數(shù)設置包括設置網關參數(shù)、串口信息和網口信息���;受保護的設備按設置的通信策略進行工作����;所述設備日志查詢包括設備日志的查詢與設備日志的刪除����;具有良好的人機體驗,很好的體現(xiàn)了交互式特點�����。用戶設置即對用戶進行管理�。
所述底層過濾保護模塊實現(xiàn)源ip地址、目的ip地址的過濾��,通信協(xié)議的解析��,與所述通信策略的交互�;對受保護的設備進行配置,記錄設備日志并存儲于數(shù)據庫模塊中��;
所述數(shù)據庫模塊對底層過濾保護模塊的設備日志進行存儲,與上層應用程序交互呈現(xiàn)�����;所述數(shù)據庫模塊將上層設置與底層配置進行聯(lián)動�����,由上層的web界面呈現(xiàn)���,上層管理模塊設置的系統(tǒng)參數(shù)、通信策略通過所述數(shù)據庫模塊傳遞給底層執(zhí)行����。
根據本發(fā)明優(yōu)選的,所述用戶包括管理員和操作員�;管理員的權限包括,用戶添加和用戶刪除����,修改用戶信息、登錄口令����。
根據本發(fā)明優(yōu)選的,所述上層管理模塊通過自身的應用軟件實現(xiàn)用戶設置、系統(tǒng)參數(shù)設置���、策略及規(guī)則設置和日志查詢���。
根據本發(fā)明優(yōu)選的,所述設備日志包括操作日志和業(yè)務日志��,所述設備日志為受保護的設備從相互之間建立連接到完成通信過程的日志��。
根據本發(fā)明優(yōu)選的���,所述底層過濾保護模塊采用linux操作系統(tǒng)��;所述數(shù)據庫模塊采用sqlserver數(shù)據庫設計�����。
一種利用上述多協(xié)議安全網關系統(tǒng)進行通信的方法����,包括步驟如下:
1)用戶進行身份認證�����;管理員通過web管理界面進行身份認證,如果身份認證通過���,則進入系統(tǒng)配置界面進行系統(tǒng)參數(shù)設置��、通信策略設置���;操作員通過web管理界面登錄系統(tǒng),進行設備操作���;
所述底層過濾保護模塊在進行數(shù)據收發(fā)時,首先根據通信策略對源ip和收發(fā)的數(shù)據進行檢驗�,如果源ip為已配置的可信ip,則建立連接���;如果收發(fā)的數(shù)據為業(yè)務數(shù)據���,則對目的ip地址進行檢測,如果目的ip地址為已配置的可信ip地址���,則根據通信策略通過主控芯片內的加密算法對發(fā)送的報文進行加密��,接收端收到報文數(shù)據包后�����,按照通信策略對加密的報文進行解密�����,并按通信協(xié)議將解密得到的報文進行解析過濾����,獲得報文內容;
根據本發(fā)明優(yōu)選的����,管理網與控制網進行數(shù)據通信時,基于白名單策略��,通過狀態(tài)檢測����、智能協(xié)議識別或ca數(shù)字認證的方式,接收方對發(fā)送方的身份信息及報文數(shù)據包內容進行了多次驗證����,實現(xiàn)對邊界網絡的防護。
根據本發(fā)明優(yōu)選的�����,所述底層過濾保護模塊還將通信過程中的審計日志存入數(shù)據庫模塊。
根據本發(fā)明優(yōu)選的�����,所述步驟1)中管理員進行身份認證的方式包括���,用戶名密碼及存儲用戶私鑰和數(shù)字證書的usbkey的多重身份認證機制���。
根據本發(fā)明優(yōu)選的,所述步驟1)中���,所述操作員通過用戶名密碼的方式登錄,如果連續(xù)3次認證失敗��,則將設備鎖定���,重新開機后才能使用���,并將認證過程記錄至操作日志中。
本發(fā)明的有益效果為:
1.本發(fā)明所述解析多協(xié)議的安全網關系統(tǒng)��,應用于管理網與控制網之間,能夠很好的形成網間隔離�,保證數(shù)據傳輸?shù)陌踩裕灰部蓱迷诳刂凭W內部的不同組件之間�����,進行控制指令的過濾����、檢查及阻斷,增強了整個通信系統(tǒng)的安全防護能力�,保證數(shù)據通信的安全性與完整性;
2.本發(fā)明所述解析多協(xié)議的安全網關系統(tǒng)����,采用集成了多種高速的安全算法和通訊接口的soc芯片作為加密芯片,摒棄了傳統(tǒng)的數(shù)據加解密處理方式����,使數(shù)據加解密速度大幅提升;
3.本發(fā)明所述解析多協(xié)議的安全網關系統(tǒng)���,能夠解析常見的dnp3協(xié)議�、modbus協(xié)議等通信協(xié)議����,與傳統(tǒng)的安全網關相比���,可對每臺設備配置特定的安全策略,更加有效的阻斷了數(shù)據修改和其他的非法訪問�,確保了不同區(qū)域間數(shù)據交換的安全性。
附圖說明
圖1為本發(fā)明所述為多協(xié)議安全網關系統(tǒng)構成圖�����。
具體實施方式
下面結合實施例和說明書附圖對本發(fā)明做進一步說明��,但不限于此��。
實施例1
如圖1所示��。
一種解析多協(xié)議的安全網關系統(tǒng)��,包括上層管理模塊����、底層過濾保護模塊和數(shù)據庫模塊�����;
所述上層管理模塊采用web交互配置服務器,運用lamp開放式源碼搭建�,采用b/s架構設計;所述上層管理模塊實現(xiàn)用戶設置�����、系統(tǒng)參數(shù)設置����、通信策略設置和通過web界面進行設備日志查詢;所述用戶設置包括用戶添加和用戶刪除���;所示系統(tǒng)參數(shù)設置包括設置網關參數(shù)����、串口信息和網口信息�;受保護的設備按設置的通信策略進行工作;所述設備日志查詢包括設備日志的查詢與設備日志的刪除�;具有良好的人機體驗,很好的體現(xiàn)了交互式特點�����。用戶設置即對用戶進行管理。
所述底層過濾保護模塊實現(xiàn)源ip地址�����、目的ip地址的過濾��,通信協(xié)議的解析����,與所述通信策略的交互;對受保護的設備進行配置����,記錄設備日志并存儲于數(shù)據庫模塊中;
所述數(shù)據庫模塊對底層過濾保護模塊的設備日志進行存儲����,與上層應用程序交互呈現(xiàn);所述數(shù)據庫模塊將上層設置與底層配置進行聯(lián)動���,由上層的web界面呈現(xiàn)���,上層管理模塊設置的系統(tǒng)參數(shù)、通信策略通過所述數(shù)據庫模塊傳遞給底層執(zhí)行����。
實施例2
如實施例1所述的解析多協(xié)議的安全網關系統(tǒng),所不同的是�,所述用戶包括管理員和操作員;管理員的權限包括�,用戶添加和用戶刪除,修改用戶信息���、登錄口令����。
實施例3
如實施例1所述的解析多協(xié)議的安全網關系統(tǒng)�,所不同的是,所述上層管理模塊通過自身的應用軟件實現(xiàn)用戶設置�、系統(tǒng)參數(shù)設置、策略及規(guī)則設置和日志查詢�。
實施例4
如實施例1所述的解析多協(xié)議的安全網關系統(tǒng),所不同的是����,所述設備日志包括操作日志和業(yè)務日志,所述設備日志為受保護的設備從相互之間建立連接到完成通信過程的日志�。
實施例5
如實施例1所述的解析多協(xié)議的安全網關系統(tǒng),所不同的是����,所述底層過濾保護模塊采用linux操作系統(tǒng)�����;所述數(shù)據庫模塊采用sqlserver數(shù)據庫設計���。
實施例6
一種利用實施例1-5所述的多協(xié)議安全網關系統(tǒng)進行通信的方法,包括步驟如下:
1)用戶進行身份認證�;管理員通過web管理界面進行身份認證,如果身份認證通過�,則進入系統(tǒng)配置界面進行系統(tǒng)參數(shù)設置、通信策略設置����;操作員通過web管理界面登錄系統(tǒng),進行設備操作��;
所述底層過濾保護模塊在進行數(shù)據收發(fā)時����,首先根據通信策略對源ip和收發(fā)的數(shù)據進行檢驗,如果源ip為已配置的可信ip���,則建立連接��;如果收發(fā)的數(shù)據為業(yè)務數(shù)據�����,則對目的ip地址進行檢測����,如果目的ip地址為已配置的可信ip地址�����,則根據通信策略通過主控芯片內的加密算法對發(fā)送的報文進行加密�����,接收端收到報文數(shù)據包后���,按照通信策略對加密的報文進行解密�����,并按通信協(xié)議將解密得到的報文進行解析過濾����,獲得報文內容;
實施例7
如實施例6所述的多協(xié)議安全網關系統(tǒng)進行通信的方法���,所不同的是�����,管理網與控制網進行數(shù)據通信時����,基于白名單策略����,通過狀態(tài)檢測、智能協(xié)議識別或ca數(shù)字認證的方式��,接收方對發(fā)送方的身份信息及報文數(shù)據包內容進行了多次驗證���,實現(xiàn)對邊界網絡的防護���。
實施例8
如實施例6所述的多協(xié)議安全網關系統(tǒng)進行通信的方法,所不同的是�����,所述底層過濾保護模塊還將通信過程中的審計日志存入數(shù)據庫模塊。
實施例9
如實施例6所述的多協(xié)議安全網關系統(tǒng)進行通信的方法��,所不同的是�����,所述步驟1)中管理員進行身份認證的方式包括��,用戶名密碼及存儲用戶私鑰和數(shù)字證書的usbkey的多重身份認證機制���。
實施例10
如實施例6所述的多協(xié)議安全網關系統(tǒng)進行通信的方法,所不同的是����,所述步驟1)中,所述操作員通過用戶名密碼的方式登錄��,如果連續(xù)3次認證失敗����,則將設備鎖定,重新開機后才能使用���,并將認證過程記錄至操作日志中�����。