一種管理工業(yè)防火墻的方法和裝置的制造方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及防火墻技術(shù)�,尤指一種管理工業(yè)防火墻的方法和裝置�。
【背景技術(shù)】
[0002] 工業(yè)防火墻,通常都需要分布式部署���、集中管理��。圖1為工業(yè)防火墻分布式部署的 示意圖����。如圖1所示����,分散部署多臺工業(yè)防火墻,由一臺管理服務(wù)器統(tǒng)一管理這些工業(yè)防火 墻���。管理服務(wù)器與工業(yè)防火墻之間需要實(shí)現(xiàn)網(wǎng)絡(luò)通信�,完成規(guī)則的下發(fā)及日志告警的收集。
[0003] 現(xiàn)有的管理工業(yè)防火墻的方法大致包括:
[0004] 基于互聯(lián)網(wǎng)協(xié)議(IP����,Internet Protocol),工業(yè)防火墻在IP層對設(shè)備發(fā)現(xiàn)消息 封裝IP頭后�,將封裝后的設(shè)備發(fā)現(xiàn)消息發(fā)送給MAC層,MAC層封裝MAC頭后廣播設(shè)備發(fā)現(xiàn) 消息��;其中�,設(shè)備發(fā)現(xiàn)消息的媒體接入控制(MAC, Media Access Control)頭中包含有自身 的MAC地址,IP頭中包含有自身的IP地址�����。
[0005] 管理服務(wù)器的MAC層接收到設(shè)備發(fā)現(xiàn)消息��,去掉設(shè)備發(fā)現(xiàn)消息中的MAC頭后發(fā)送 給IP層�,IP層去掉IP頭后發(fā)送給用戶數(shù)據(jù)協(xié)議(M)P,User Datagram Protocol) /傳輸控 制協(xié)議(TCP, Transmission Control Protocol)層���,IP層接收到來自UDP/TCP層的設(shè)備發(fā) 現(xiàn)響應(yīng)消息時(shí)�,對設(shè)備發(fā)現(xiàn)響應(yīng)消息封裝IP頭后發(fā)送給MAC層���,MAC層封裝MAC頭后發(fā)送 給工業(yè)防火墻�����;其中�����,設(shè)備發(fā)現(xiàn)響應(yīng)消息的MAC頭中包含有自身的MAC地址和工業(yè)防火墻的 MAC地址���,IP頭中包含有自身的IP地址和工業(yè)防火墻的IP地址;
[0006] 工業(yè)防火墻的MAC層接收到設(shè)備發(fā)現(xiàn)響應(yīng)消息��,去掉MAC層后發(fā)送給IP層�,IP層 去掉IP頭后發(fā)送給M)P/TCP層;
[0007] 管理服務(wù)器的IP層在滿足下發(fā)條件時(shí)對規(guī)則下發(fā)消息封裝IP頭后發(fā)送給MAC 層���,MAC層封裝MAC頭后向工業(yè)防火墻發(fā)送規(guī)則下發(fā)消息��;
[0008] 工業(yè)防火墻的MAC層接收到規(guī)則下發(fā)消息��,去掉規(guī)則下發(fā)消息的MAC頭后發(fā)送給 IP層�,IP層去掉IP頭后發(fā)送給m)P/TCP層���,UDP/TCP層解析規(guī)則下發(fā)消息中的規(guī)則�,根據(jù) 解析得到的規(guī)則執(zhí)行安全功能,并向IP層發(fā)送規(guī)則下發(fā)響應(yīng)消息���,IP層對規(guī)則下發(fā)響應(yīng)消 息封裝IP頭后發(fā)送給MAC層����,MAC層封裝MAC頭后發(fā)送給管理服務(wù)器���;
[0009] 工業(yè)防火墻的IP層周期性對日志上報(bào)消息封裝IP頭后發(fā)送給MAC層�,MAC層封 裝MAC頭后發(fā)送給管理服務(wù)器����。
[0010] 現(xiàn)有的管理工業(yè)防火墻的方法中,由于實(shí)現(xiàn)管理服務(wù)器與工業(yè)防火墻之間的網(wǎng)絡(luò) 通信是基于IP通信�����。圖2為管理服務(wù)器和工業(yè)防火墻通信示意圖�����。如圖2所示����,管理服務(wù) 器與每一臺工業(yè)防火墻的管理接口都必須配置一個(gè)IP地址�,才能實(shí)現(xiàn)雙方的網(wǎng)絡(luò)通信���,從 而有可能被攻擊者發(fā)現(xiàn)并發(fā)起攻擊�,降低了工業(yè)防火墻的安全性�。
【發(fā)明內(nèi)容】
[0011] 為了解決上述問題,本發(fā)明提出了一種管理工業(yè)防火墻的方法和裝置�����,能夠提高 工業(yè)防火墻的安全性�。
[0012] 為了達(dá)到上述目的���,本發(fā)明提出了一種管理工業(yè)防火墻的方法����,包括:
[0013] 工業(yè)防火墻的自定義層生成設(shè)備發(fā)現(xiàn)消息���,對設(shè)備發(fā)現(xiàn)消息封裝自定義頭后發(fā)送 給媒體訪問控制MAC層����,MAC層封裝MAC頭后廣播設(shè)備發(fā)現(xiàn)消息;
[0014] 管理服務(wù)器的MAC層接收到設(shè)備發(fā)現(xiàn)消息����,對設(shè)備發(fā)現(xiàn)消息去掉MAC頭后發(fā)送給 自定義層,自定義層判斷出設(shè)備發(fā)現(xiàn)消息的自定義頭中的協(xié)議類型為預(yù)先設(shè)置的協(xié)議類 型�,且MAC頭中的目的MAC地址表示廣播消息,獲取工業(yè)防火墻的MAC地址和工業(yè)防火墻標(biāo) 識之間的第一對應(yīng)關(guān)系����,自定義層生成設(shè)備發(fā)現(xiàn)響應(yīng)消息,根據(jù)第一對應(yīng)關(guān)系對設(shè)備發(fā)現(xiàn) 響應(yīng)消息封裝自定義頭后�,發(fā)送給MC層,MC層封裝MC頭后發(fā)送給工業(yè)防火墻�;
[0015] 工業(yè)防火墻的MAC層接收到設(shè)備發(fā)現(xiàn)響應(yīng)消息,對設(shè)備發(fā)現(xiàn)響應(yīng)消息去掉MAC頭 后發(fā)送給自定義層�����,自定義層判斷出設(shè)備發(fā)現(xiàn)響應(yīng)消息中自定義頭的協(xié)議類型為預(yù)先設(shè)置 的協(xié)議類型���,獲取管理服務(wù)器的MAC地址和管理服務(wù)器標(biāo)識之間的第二對應(yīng)關(guān)系�。
[0016] 優(yōu)選地����,在滿足規(guī)則下發(fā)條件時(shí)���,該方法還包括:
[0017] 所述管理服務(wù)器的自定義層生成規(guī)則下發(fā)消息,根據(jù)所述第一對應(yīng)關(guān)系對規(guī)則下 發(fā)消息封裝自定義頭后發(fā)送給MAC層����,MAC層對所述規(guī)則下發(fā)消息封裝MAC頭后發(fā)送給所 述工業(yè)防火墻;
[0018] 所述工業(yè)防火墻的MAC層接收到所述規(guī)則下發(fā)消息��,去掉MAC頭后發(fā)送給自定義 層�,自定義層解析規(guī)則并根據(jù)規(guī)則執(zhí)行安全功能,同時(shí)生成規(guī)則下發(fā)響應(yīng)消息��,根據(jù)所述第 二對應(yīng)關(guān)系對規(guī)則下發(fā)響應(yīng)消息封裝自定義頭后發(fā)送給MAC層��,MAC層封裝MAC頭后發(fā)送 給管理服務(wù)器�。
[0019] 優(yōu)選地�,所述規(guī)則下發(fā)消息包括一個(gè)或多個(gè)類型長度值TLV結(jié)構(gòu),所述TLV結(jié)構(gòu)包 括消息類型��、消息內(nèi)容和消息內(nèi)容的長度��。
[0020] 優(yōu)選地����,該方法還包括:
[0021] 所述工業(yè)防火墻的自定義層周期性生成日志上報(bào)消息���,根據(jù)所述第二對應(yīng)關(guān)系對 所述日志上報(bào)消息封裝自定義頭后發(fā)送給MC層,MC層封裝MC頭后發(fā)送給所述管理服 務(wù)器��。
[0022] 優(yōu)選地��,所述日志上報(bào)消息包括一個(gè)或多個(gè)TLV結(jié)構(gòu)���,所述TLV結(jié)構(gòu)包括消息類 型����、消息內(nèi)容和消息內(nèi)容的長度���。
[0023] 優(yōu)選地��,所述自定義頭包括協(xié)議類型�����、源設(shè)備標(biāo)識和目的設(shè)備標(biāo)識��。
[0024] 本發(fā)明還提出了一種工業(yè)防火墻�����,至少包括:
[0025] 第一生成模塊��,用于在自定義層生成設(shè)備發(fā)現(xiàn)消息�����,對設(shè)備發(fā)現(xiàn)消息封裝自定義 頭后發(fā)送給媒體訪問控制MAC層��;
[0026] 第一發(fā)送模塊��,用于在MAC層封裝MAC頭后廣播設(shè)備發(fā)現(xiàn)消息��;
[0027] 第一接收模塊��,用于在MAC層接收到設(shè)備發(fā)現(xiàn)響應(yīng)消息���,對設(shè)備發(fā)現(xiàn)響應(yīng)消息去 掉MAC頭后發(fā)送給自定義層����;
[0028] 第一獲取模塊�,用于在自定義層判斷出設(shè)備發(fā)現(xiàn)響應(yīng)消息中自定義頭的協(xié)議類型 為預(yù)先設(shè)置的協(xié)議類型��,獲取管理服務(wù)器的MAC地址和管理服務(wù)器標(biāo)識之間的第二對應(yīng)關(guān) 系。
[0029] 優(yōu)選地�,所述第一接收模塊還用于:
[0030] 在MAC層接收到規(guī)則下發(fā)消息,去掉MAC頭后發(fā)送給自定義層���;
[0031] 所述第一生成模塊還用于:
[0032] 在自定義層解析規(guī)則并根據(jù)規(guī)則執(zhí)行安全功能����,同時(shí)生成規(guī)則下發(fā)響應(yīng)消息��,根 據(jù)所述第二對應(yīng)關(guān)系對規(guī)則下發(fā)響應(yīng)消息封裝自定義頭后發(fā)送給MC層�����;
[0033] 所述第一發(fā)送模塊還用于:
[0034] 在MAC層封裝MAC頭后發(fā)送給管理服務(wù)器��。
[0035] 優(yōu)選地����,所述第一生成模塊還用于:
[0036] 在自定義層周期性生成日志上報(bào)消息,根據(jù)所述第二對應(yīng)關(guān)系對所述日志上報(bào)消 息封裝自定義頭后發(fā)送給MAC層�����;
[0037] 所述第一發(fā)送模塊還用于:在MAC層封裝MAC頭后發(fā)送給所述管理服務(wù)器����。
[0038] 本發(fā)明還提出了一種管理服務(wù)器��,至少包括:
[0039] 第二接收模塊�,用于在MAC層接收到設(shè)備發(fā)現(xiàn)消息���,對設(shè)備發(fā)現(xiàn)消息去掉MAC頭后 發(fā)送給自定義層���;
[0040] 第二獲取模塊,用于在自定義層判斷出設(shè)備發(fā)現(xiàn)消息的自定義頭中的協(xié)議類型為 預(yù)先設(shè)置的協(xié)議類型�,且MAC頭中的目的MAC地址表示廣播消息,獲取工業(yè)防火墻的MAC地 址和工業(yè)防火墻標(biāo)識之間的第一對應(yīng)關(guān)系���;
[0041] 第二生成模塊�,用于在自定義層生成設(shè)備發(fā)現(xiàn)響應(yīng)消息�����,根據(jù)第一對應(yīng)關(guān)系對設(shè) 備發(fā)現(xiàn)響應(yīng)消息封裝自定義頭后����,發(fā)送給MC層����;
[0042] 第二發(fā)送模塊����,用于在MAC層封裝MAC頭后發(fā)送給工業(yè)防火墻�。
[0043] 優(yōu)選地,所述第二生成模塊還用于:
[0044] 在滿足規(guī)則下發(fā)條件時(shí)�����,在自定義層生成規(guī)則下發(fā)消息��,根據(jù)所述第一對應(yīng)關(guān)系 對規(guī)則下發(fā)消息封裝自定義頭后發(fā)送給MC層��;
[0045] 所述第二發(fā)送模塊還用于:
[0046] MC層對所述規(guī)則下發(fā)消息封裝MC頭后發(fā)送給所述工業(yè)防火墻�。
[0047] 與現(xiàn)有技術(shù)相比,本發(fā)明包括:工業(yè)防火墻的自定義層生成設(shè)備發(fā)現(xiàn)消息�����,對設(shè)備 發(fā)現(xiàn)消息封裝自定義頭后發(fā)送給媒體訪問控制MC層�����,MC層封裝MC頭后廣播設(shè)備發(fā)現(xiàn) 消息����;管理服務(wù)器的MC層接收到設(shè)備發(fā)現(xiàn)消息�,對設(shè)備發(fā)現(xiàn)消息去掉MC頭后發(fā)送給自定 義層��,自定義層判斷出設(shè)備發(fā)現(xiàn)消息的自定義頭中的協(xié)議類型為預(yù)先設(shè)置的協(xié)議類型���,且 MAC頭中的目的MAC地址表示廣播消息���,獲取工業(yè)防火墻的MAC地址和工業(yè)防火墻標(biāo)識之間 的第一對應(yīng)關(guān)系,自定義層生成設(shè)備發(fā)現(xiàn)響應(yīng)消息�����,根據(jù)第一對應(yīng)關(guān)系對設(shè)備發(fā)現(xiàn)響應(yīng)消 息封裝自定義頭后����,發(fā)送