通過網(wǎng)絡(luò)過濾裝置過濾數(shù)據(jù)包的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種用于在第一網(wǎng)絡(luò)與第二網(wǎng)絡(luò)之間過濾數(shù)據(jù)包的方法和網(wǎng)絡(luò)過濾
目.0
【背景技術(shù)】
[0002]所謂的安全網(wǎng)關(guān)(Security Gateway)或者防火墻(Firewall)被安裝在網(wǎng)絡(luò)邊界上，以便實(shí)現(xiàn)不同網(wǎng)絡(luò)區(qū)域的受控親合O在此，進(jìn)行網(wǎng)絡(luò)流量(Netzwerkverkehr)的過濾，使得只有容許的網(wǎng)絡(luò)流量被允許通過。公知的是將這種安全網(wǎng)關(guān)作為個(gè)人防火墻(Personal?；[^￥311)集成在終端設(shè)備上。因此，尤其是監(jiān)控關(guān)鍵性不同的(111^618(31116(11；[(311kritisch)網(wǎng)絡(luò)區(qū)域的耦合，其中“關(guān)鍵性不同的”例如意味著:在網(wǎng)絡(luò)中對(duì)要處理的數(shù)據(jù)包提出其它的、例如更嚴(yán)格的要求。
[0003]在工業(yè)自動(dòng)化系統(tǒng)中，諸如在信號(hào)塔中或者在列車控制中的軌道自動(dòng)化的環(huán)境中、在生產(chǎn)車間中的制造自動(dòng)化的環(huán)境中或者在(例如在精煉廠或者啤酒廠中的)過程自動(dòng)化的環(huán)境中，在功能安全性(也稱作安全(Safety))方面，關(guān)鍵的自動(dòng)化區(qū)域與普通的網(wǎng)絡(luò)(例如辦公室網(wǎng)絡(luò))耦合。在此，防火墻被采用，并且被配置為使得只有被容許的網(wǎng)絡(luò)流量可以經(jīng)過。在此，按照可配置的網(wǎng)絡(luò)安全策略(Netzwerk Security Policy)來過濾數(shù)據(jù)通信，使得只有容許的數(shù)據(jù)流量被轉(zhuǎn)交。也可能的是:在自動(dòng)化區(qū)域之內(nèi)將特別關(guān)鍵的部分區(qū)域與自動(dòng)化區(qū)域的較不關(guān)鍵的部分區(qū)域通過安全網(wǎng)關(guān)或者防火墻相耦合。這樣，例如可以將安全關(guān)鍵的自動(dòng)化部分區(qū)域與普通的自動(dòng)化部分區(qū)域相耦合。尤其是，兩個(gè)分別實(shí)時(shí)關(guān)鍵的自動(dòng)化部分區(qū)域也可以被耦合。
[0004]在此，很重要的是:有缺陷的、也就是說允許不準(zhǔn)許的數(shù)據(jù)包通過的防火墻被標(biāo)識(shí)出。有缺陷的作用方式的原因可以是在實(shí)施或者配置防火墻中的錯(cuò)誤，或者可以是由于防火墻被外部攻擊所危害而引起的錯(cuò)誤。正需要識(shí)別出這種功能失誤并且盡可能地禁止這種功能失誤。
[0005]在IT環(huán)境的環(huán)境中，多級(jí)地被構(gòu)造的防火墻是可支配的。在此，多個(gè)不相關(guān)的安全部件相繼被接通，諸如首先是包過濾器并且緊接著是應(yīng)用層網(wǎng)關(guān)(Applicat1n LevelGateway)，使得如果至少一個(gè)部件阻斷不容許的網(wǎng)絡(luò)流量，則該流量被阻斷。由此，在防火墻實(shí)施方案中的錯(cuò)誤還沒有導(dǎo)致:不容許的網(wǎng)絡(luò)流量可以經(jīng)過并且因此對(duì)于其中不必滿足安全準(zhǔn)則或者實(shí)時(shí)準(zhǔn)則的安全相關(guān)的環(huán)境來說表示提高的安全級(jí)別。
[0006]根據(jù)專利申請(qǐng)DE10 2011 007387公知的是:實(shí)施網(wǎng)關(guān)的自監(jiān)控。在此，檢驗(yàn)對(duì)于發(fā)出的數(shù)據(jù)包是否已經(jīng)接收到對(duì)應(yīng)的到達(dá)的數(shù)據(jù)包。由此，可以保證的是:網(wǎng)關(guān)由于功能失誤不自己產(chǎn)生數(shù)據(jù)包。
[0007]根據(jù)英飛凌公司的出版物，安全計(jì)算平臺(tái)(Safety-Computing-Plattform)是公知的，其中安全監(jiān)控器開關(guān)電路(Safety-Monitor-Schaltkreis)監(jiān)控主處理器和在主處理器上的軟件實(shí)施。它尤其是可以相對(duì)于固定的測試模式來執(zhí)行測試以及比較兩次不相關(guān)的實(shí)施的結(jié)果。為此，也參見在網(wǎng)頁http: //www.inf i neon.com/dgdl/Saf ety-Computing-Platform-XC2300-CIC61508-Product-Brief.pdf?folderld=db3a304317a748360117f45a9c863e84&fileld=db3a3043353fdcl6013543303497315d(于 2013年9 月 18 日調(diào)用)上的文章。
[0008]作為一般公知的網(wǎng)絡(luò)部件公知有網(wǎng)絡(luò)分流器(Network Tap)，以便可以竊聽被傳輸?shù)臄?shù)據(jù)，而不影響所述被傳輸?shù)臄?shù)據(jù)。通常，所述被傳輸?shù)臄?shù)據(jù)被用于網(wǎng)絡(luò)監(jiān)控，其中例如針對(duì)吞吐量或者等待時(shí)間的服務(wù)質(zhì)量參數(shù)(Quality of Service Parameter)應(yīng)該不受測量影響。網(wǎng)絡(luò)分流器的功能可以由交換機(jī)(Switch)實(shí)現(xiàn)，所述交換機(jī)不僅轉(zhuǎn)交數(shù)據(jù)包，而且附加地將數(shù)據(jù)包復(fù)制到監(jiān)控端口(Monitoring-Port)上。在此，也提及端口鏡像(Port-Mirroring)，參見在http: //www.tamos.com/htmlhelp/monitoring/111011；[1:0!'；[呢118；[]^8￥；[1:(31168.111:111(于2013年9月18 日調(diào)用)下的出版物。

【發(fā)明內(nèi)容】

[0009]存在如下需求:在兩個(gè)不同的網(wǎng)絡(luò)區(qū)域之間提供被改進(jìn)的過濾。尤其是在有實(shí)時(shí)關(guān)鍵的網(wǎng)絡(luò)參與時(shí)，存在對(duì)等待時(shí)間或者數(shù)據(jù)流量的吞吐量的嚴(yán)格要求。借此，本發(fā)明的任務(wù)是提供對(duì)數(shù)據(jù)包的更有效的并且被改進(jìn)的過濾。
[0010]該任務(wù)按照依據(jù)獨(dú)立權(quán)利要求所述的方法和網(wǎng)絡(luò)過濾裝置來解決。有利的構(gòu)建方案在從屬權(quán)利要求中被說明。
[0011]按照本發(fā)明，一種用于在第一網(wǎng)絡(luò)與第二網(wǎng)絡(luò)之間通過網(wǎng)絡(luò)過濾裝置來過濾數(shù)據(jù)包的方法具有如下步驟:
-通過倍增單元使數(shù)據(jù)包倍增成第一數(shù)據(jù)包和至少一個(gè)第二數(shù)據(jù)包，其中在第一數(shù)據(jù)包中和至少在第二數(shù)據(jù)包中同樣地(i dent is Ch )產(chǎn)生數(shù)據(jù)包的內(nèi)容；
-將第一數(shù)據(jù)包轉(zhuǎn)交給第一過濾裝置并且將至少所述第二數(shù)據(jù)包轉(zhuǎn)交給第二過濾裝置；
-按照相應(yīng)的過濾規(guī)定，通過第一過濾裝置檢查第一數(shù)據(jù)包并且通過第二過濾裝置檢查至少所述第二數(shù)據(jù)包；
-第一過濾結(jié)果通過第一過濾裝置并且至少一個(gè)第二過濾結(jié)果通過第二過濾裝置的制成和傳送給比較單元；
-如果比較單元根據(jù)第一過濾結(jié)果和至少所述第二過濾結(jié)果識(shí)別出與容差范圍有偏差的比較結(jié)果，那么阻斷數(shù)據(jù)包在第一網(wǎng)絡(luò)與第二網(wǎng)絡(luò)之間的轉(zhuǎn)交。
[0012]在本申請(qǐng)中，網(wǎng)絡(luò)過濾裝置例如被理解為在兩個(gè)網(wǎng)絡(luò)之間的耦合部位上的部件，其檢驗(yàn)所有通過的數(shù)據(jù)流量。所述網(wǎng)絡(luò)過濾裝置包括至少兩個(gè)過濾裝置(也稱作防火墻)。通過預(yù)給定過濾規(guī)定配置所述過濾裝置和借此配置所述網(wǎng)絡(luò)過濾裝置。借此，過濾規(guī)定確定了根據(jù)其檢查數(shù)據(jù)包的規(guī)則。
[0013]例如，拆分式交換機(jī)(SplittingSwitch)被用作倍增單元。在倍增單元的端口上被接收到的包例如被傳輸給兩個(gè)通過其連接過濾裝置的端口。由此，數(shù)據(jù)包被加倍。在此，分別保持獲得數(shù)據(jù)包的內(nèi)容。因此，倍增的步驟可以是加倍、增加兩倍等等。
[0014]第一網(wǎng)絡(luò)例如可以是不安全的網(wǎng)絡(luò)，與此相反，第二網(wǎng)絡(luò)可以是在其之內(nèi)必須考慮對(duì)系統(tǒng)的實(shí)時(shí)能力的要求的網(wǎng)絡(luò)。
[0015]在下述申請(qǐng)中，被理解為比較單元的是可以有關(guān)相似性檢驗(yàn)在隊(duì)列(Queue)之內(nèi)的一個(gè)包或者多個(gè)包與另一個(gè)包或者在比較單元的第二端口上可供支配的包隊(duì)列的部件。在此，可以確定兩個(gè)數(shù)據(jù)包的同一性。此外，還可以預(yù)先給定說明盡管如此仍應(yīng)該被歸入為同樣的兩個(gè)數(shù)據(jù)包的偏差的容差范圍。借此，例如通過過濾裝置之一而存在于過濾結(jié)果之一中的位錯(cuò)誤被評(píng)定為在容差范圍之內(nèi)的比較結(jié)果。比較單元也可以被稱作組合器交換機(jī)(Combiner-Switch)。
[0016]在本申請(qǐng)中，由過濾裝置所制成的包被稱作過濾結(jié)果，所述包被傳送給比較單元。在此，例如可以涉及由過濾裝置轉(zhuǎn)交的相應(yīng)的接收到的數(shù)據(jù)包。
[0017]通過并行地運(yùn)行多個(gè)過濾裝置而創(chuàng)建網(wǎng)絡(luò)過濾裝置，所述網(wǎng)絡(luò)過濾裝置以簡單的方式比較各個(gè)過濾裝置的過濾結(jié)果并且借此表示對(duì)各個(gè)過濾裝置的作用方式的監(jiān)控。借此，針對(duì)監(jiān)控的花費(fèi)保持得很小，因?yàn)閮H僅使到達(dá)的數(shù)據(jù)包增多以及聚集用于制成比較結(jié)果的過濾結(jié)果是必要的。等待時(shí)間、也就是說用于通過網(wǎng)絡(luò)過濾裝置過濾數(shù)據(jù)包所必需的時(shí)間通過所參與的過濾裝置的最大等待時(shí)間被預(yù)先給定。與具有唯一的防火墻的構(gòu)思相反，它必要時(shí)不是更大的或者根據(jù)