給MAC層�,MAC層封裝MAC頭后發(fā)送給工業(yè)防火墻�����;工業(yè)防火墻的 MC層接收到設(shè)備發(fā)現(xiàn)響應(yīng)消息���,對設(shè)備發(fā)現(xiàn)響應(yīng)消息去掉MC頭后發(fā)送給自定義層���,自定 義層判斷出設(shè)備發(fā)現(xiàn)響應(yīng)消息中自定義頭的協(xié)議類型為預(yù)先設(shè)置的協(xié)議類型,獲取管理服 務(wù)器的MAC地址和管理服務(wù)器標識之間的第二對應(yīng)關(guān)系。通過本發(fā)明的方案����,采用管理服 務(wù)器和工業(yè)防火墻之間采用自定義層實現(xiàn)對工業(yè)防火墻的管理��,而不需要為工業(yè)防火墻配 置IP地址,提高了工業(yè)防火墻的安全性���。
【附圖說明】
[0048] 下面對本發(fā)明實施例中的附圖進行說明�,實施例中的附圖是用于對本發(fā)明的進一 步理解,與說明書一起用于解釋本發(fā)明�,并不構(gòu)成對本發(fā)明保護范圍的限制���。
[0049] 圖1為工業(yè)防火墻分布式部署的示意圖;
[0050] 圖2為管理服務(wù)器和工業(yè)防火墻通信示意圖�����;
[0051] 圖3為本發(fā)明管理工業(yè)防火墻的方法的流程圖;
[0052] 圖4為本發(fā)明工業(yè)防火墻的結(jié)構(gòu)組成示意圖;
[0053] 圖5為本發(fā)明管理服務(wù)器的結(jié)構(gòu)組成示意圖���。
【具體實施方式】
[0054] 為了便于本領(lǐng)域技術(shù)人員的理解���,下面結(jié)合附圖對本發(fā)明作進一步的描述����,并不 能用來限制本發(fā)明的保護范圍。需要說明的是��,在不沖突的情況下�,本申請中的實施例及實 施例中的各種方式可以相互組合。
[0055] 參見圖3,本發(fā)明提出了一種管理工業(yè)防火墻的方法�����,包括:
[0056] 步驟300��、工業(yè)防火墻的自定義層生成設(shè)備發(fā)現(xiàn)消息�,對設(shè)備發(fā)現(xiàn)消息封裝自定義 頭后發(fā)送給MAC層�����,MAC層封裝MAC頭后廣播設(shè)備發(fā)現(xiàn)消息�����。
[0057] 本步驟中����,工業(yè)防火墻安裝完成,并初始化結(jié)束后����,自定義層主動生成設(shè)備發(fā)現(xiàn)消 息。而不需要為工業(yè)防火墻配置IP地址后才進行通信��,由于工業(yè)防火墻沒有IP地址���,因此 無法通過IP地址對工業(yè)防火墻進行攻擊�����,從而提高了工業(yè)防火墻的安全性�����。并且,由于工 業(yè)防火墻主要用于制造業(yè)工廠,相對于傳統(tǒng)防火墻應(yīng)用單位(如銀行���、政府機關(guān))等�����,工廠 員工對IT技術(shù)不夠了解�����,對于設(shè)置IP地址等操作會給工廠員工帶來麻煩��,而本發(fā)明不需要 配置IP地址,從而降低了工業(yè)防火墻現(xiàn)場實施的復(fù)雜性和成本�����。
[0058] 本步驟中�,設(shè)備發(fā)送消息為空消息�����。
[0059] 本步驟中�,MC頭包括:源MC地址���、目的MC地址�����;設(shè)備發(fā)現(xiàn)消息的自定義頭包括 協(xié)議類型�、源設(shè)備標識和目的設(shè)備標識����。
[0060] 設(shè)備發(fā)現(xiàn)消息中����,源MC地址可以取工業(yè)防火墻的地址,目的MC地址可以預(yù)先設(shè) 置����,協(xié)議類型可以預(yù)先設(shè)置�,源設(shè)備標識可以取工業(yè)防火墻標識,目的設(shè)備標識可以預(yù)先設(shè) 置。
[0061] 表1為設(shè)備發(fā)現(xiàn)消息的一個示例。如表1所示���,設(shè)備發(fā)現(xiàn)消息的MAC頭包括: Ether_dhost�����、Ether_shost,自定義頭包括:Protocol_type�����、Deviceid_shost���、Deviceid_ shost 〇
[0062]
[0063]
【主權(quán)項】
1. 一種管理工業(yè)防火墻的方法��,其特征在于,包括: 工業(yè)防火墻的自定義層生成設(shè)備發(fā)現(xiàn)消息����,對設(shè)備發(fā)現(xiàn)消息封裝自定義頭后發(fā)送給媒 體訪問控制MAC層,MAC層封裝MAC頭后廣播設(shè)備發(fā)現(xiàn)消息�; 管理服務(wù)器的MC層接收到設(shè)備發(fā)現(xiàn)消息��,對設(shè)備發(fā)現(xiàn)消息去掉MC頭后發(fā)送給自定 義層,自定義層判斷出設(shè)備發(fā)現(xiàn)消息的自定義頭中的協(xié)議類型為預(yù)先設(shè)置的協(xié)議類型,且 MAC頭中的目的MAC地址表示廣播消息��,獲取工業(yè)防火墻的MAC地址和工業(yè)防火墻標識之間 的第一對應(yīng)關(guān)系��,自定義層生成設(shè)備發(fā)現(xiàn)響應(yīng)消息,根據(jù)第一對應(yīng)關(guān)系對設(shè)備發(fā)現(xiàn)響應(yīng)消 息封裝自定義頭后,發(fā)送給MAC層�����,MAC層封裝MAC頭后發(fā)送給工業(yè)防火墻��; 工業(yè)防火墻的MAC層接收到設(shè)備發(fā)現(xiàn)響應(yīng)消息�,對設(shè)備發(fā)現(xiàn)響應(yīng)消息去掉MAC頭后發(fā) 送給自定義層��,自定義層判斷出設(shè)備發(fā)現(xiàn)響應(yīng)消息中自定義頭的協(xié)議類型為預(yù)先設(shè)置的協(xié) 議類型����,獲取管理服務(wù)器的MAC地址和管理服務(wù)器標識之間的第二對應(yīng)關(guān)系�����。
2. 根據(jù)權(quán)利要求1所述的方法�,其特征在于,在滿足規(guī)則下發(fā)條件時,該方法還包括: 所述管理服務(wù)器的自定義層生成規(guī)則下發(fā)消息�,根據(jù)所述第一對應(yīng)關(guān)系對規(guī)則下發(fā)消 息封裝自定義頭后發(fā)送給MC層,MC層對所述規(guī)則下發(fā)消息封裝MC頭后發(fā)送給所述工 業(yè)防火墻��; 所述工業(yè)防火墻的MAC層接收到所述規(guī)則下發(fā)消息,去掉MAC頭后發(fā)送給自定義層,自 定義層解析規(guī)則并根據(jù)規(guī)則執(zhí)行安全功能�����,同時生成規(guī)則下發(fā)響應(yīng)消息���,根據(jù)所述第二對 應(yīng)關(guān)系對規(guī)則下發(fā)響應(yīng)消息封裝自定義頭后發(fā)送給MC層�����,MC層封裝MC頭后發(fā)送給管 理服務(wù)器���。
3. 根據(jù)權(quán)利要求2所述的方法�����,其特征在于�����,所述規(guī)則下發(fā)消息包括一個或多個類型 長度值TLV結(jié)構(gòu)��,所述TLV結(jié)構(gòu)包括消息類型����、消息內(nèi)容和消息內(nèi)容的長度���。
4. 根據(jù)權(quán)利要求2所述的方法,其特征在于,該方法還包括: 所述工業(yè)防火墻的自定義層周期性生成日志上報消息�����,根據(jù)所述第二對應(yīng)關(guān)系對所述 日志上報消息封裝自定義頭后發(fā)送給MAC層����,MAC層封裝MAC頭后發(fā)送給所述管理服務(wù)器�����。
5. 根據(jù)權(quán)利要求4所述的方法�����,其特征在于,所述日志上報消息包括一個或多個TLV結(jié) 構(gòu),所述TLV結(jié)構(gòu)包括消息類型���、消息內(nèi)容和消息內(nèi)容的長度。
6. 根據(jù)權(quán)利要求1?5任意一項所述的方法,其特征在于���,所述自定義頭包括協(xié)議類 型�����、源設(shè)備標識和目的設(shè)備標識��。
7. -種工業(yè)防火墻,其特征在于���,至少包括: 第一生成模塊,用于在自定義層生成設(shè)備發(fā)現(xiàn)消息��,對設(shè)備發(fā)現(xiàn)消息封裝自定義頭后 發(fā)送給媒體訪問控制MC層�; 第一發(fā)送模塊���,用于在MC層封裝MC頭后廣播設(shè)備發(fā)現(xiàn)消息��; 第一接收模塊����,用于在MAC層接收到設(shè)備發(fā)現(xiàn)響應(yīng)消息,對設(shè)備發(fā)現(xiàn)響應(yīng)消息去掉MAC 頭后發(fā)送給自定義層; 第一獲取模塊���,用于在自定義層判斷出設(shè)備發(fā)現(xiàn)響應(yīng)消息中自定義頭的協(xié)議類型為預(yù) 先設(shè)置的協(xié)議類型��,獲取管理服務(wù)器的MAC地址和管理服務(wù)器標識之間的第二對應(yīng)關(guān)系。
8. 根據(jù)權(quán)利要求7所述的工業(yè)防火墻,其特征在于��,所述第一接收模塊還用于: 在MAC層接收到規(guī)則下發(fā)消息,去掉MAC頭后發(fā)送給自定義層�; 所述第一生成模塊還用于: 在自定義層解析規(guī)則并根據(jù)規(guī)則執(zhí)行安全功能,同時生成規(guī)則下發(fā)響應(yīng)消息,根據(jù)所 述第二對應(yīng)關(guān)系對規(guī)則下發(fā)響應(yīng)消息封裝自定義頭后發(fā)送給MAC層; 所述第一發(fā)送模塊還用于: 在MAC層封裝MAC頭后發(fā)送給管理服務(wù)器。
9. 根據(jù)權(quán)利要求8所述的工業(yè)防火墻���,其特征在于����,所述第一生成模塊還用于: 在自定義層周期性生成日志上報消息�,根據(jù)所述第二對應(yīng)關(guān)系對所述日志上報消息封 裝自定義頭后發(fā)送給MC層�����; 所述第一發(fā)送模塊還用于���;在MAC層封裝MAC頭后發(fā)送給所述管理服務(wù)器����。
10. -種管理服務(wù)器�,其特征在于�,至少包括: 第二接收模塊��,用于在MAC層接收到設(shè)備發(fā)現(xiàn)消息�,對設(shè)備發(fā)現(xiàn)消息去掉MAC頭后發(fā)送 給自定義層�; 第二獲取模塊,用于在自定義層判斷出設(shè)備發(fā)現(xiàn)消息的自定義頭中的協(xié)議類型為預(yù)先 設(shè)置的協(xié)議類型,且MAC頭中的目的MAC地址表示廣播消息���,獲取工業(yè)防火墻的MAC地址和 工業(yè)防火墻標識之間的第一對應(yīng)關(guān)系�����; 第二生成模塊�����,用于在自定義層生成設(shè)備發(fā)現(xiàn)響應(yīng)消息�,根據(jù)第一對應(yīng)關(guān)系對設(shè)備發(fā) 現(xiàn)響應(yīng)消息封裝自定義頭后�,發(fā)送給MAC層�; 第二發(fā)送模塊���,用于在MAC層封裝MAC頭后發(fā)送給工業(yè)防火墻���。
11. 根據(jù)權(quán)利要求10所述的管理服務(wù)器��,其特征在于,所述第二生成模塊還用于: 在滿足規(guī)則下發(fā)條件時,在自定義層生成規(guī)則下發(fā)消息���,根據(jù)所述第一對應(yīng)關(guān)系對規(guī) 則下發(fā)消息封裝自定義頭后發(fā)送給MAC層�; 所述第二發(fā)送模塊還用于: MAC層對所述規(guī)則下發(fā)消息封裝MAC頭后發(fā)送給所述工業(yè)防火墻。
【專利摘要】本發(fā)明公開了一種管理工業(yè)防火墻的方法和裝置,包括:工業(yè)防火墻的自定義層生成設(shè)備發(fā)現(xiàn)消息�����,對設(shè)備發(fā)現(xiàn)消息封裝自定義頭后發(fā)送給媒體訪問控制MAC層��,MAC層廣播設(shè)備發(fā)現(xiàn)消息��;管理服務(wù)器的MAC層對設(shè)備發(fā)現(xiàn)消息去掉MAC頭后發(fā)送給自定義層�,自定義層獲取工業(yè)防火墻的MAC地址和工業(yè)防火墻標識之間的第一對應(yīng)關(guān)系����,自定義層生成設(shè)備發(fā)現(xiàn)響應(yīng)消息,根據(jù)第一對應(yīng)關(guān)系對設(shè)備發(fā)現(xiàn)響應(yīng)消息封裝自定義頭后�,發(fā)送給MAC層�����,MAC層發(fā)送給工業(yè)防火墻�����;工業(yè)防火墻的MAC層對設(shè)備發(fā)現(xiàn)響應(yīng)消息去掉MAC頭后發(fā)送給自定義層�����,自定義層獲取管理服務(wù)器的MAC地址和管理服務(wù)器標識之間的第二對應(yīng)關(guān)系���。本發(fā)明提高了工業(yè)防火墻的安全性���。
【IPC分類】H04L29-06, H04L12-24
【公開號】CN104618143
【申請?zhí)枴緾N201410852732
【發(fā)明人】王弢, 朱毅明
【申請人】北京和利時系統(tǒng)工程有限公司
【公開日】2015年5月13日
【申請日】2014年12月31日