本發明涉及一種解析多協議的安全網關系統及其應用,屬于網絡安全的技術領域。
背景技術:
近十年來,隨著信息技術和物聯網技術的迅猛發展,工業控制網絡中大量采用通用現場智能儀表和開放式tcp/ip技術,信息化在工業中的應用取得了飛速發展,工業系統的安全隱患問題日益嚴峻。隨著工業專用安全網關技術的成熟,集成有防火墻、vpn、入侵防護、防垃圾數據以及殺毒抗毒等功能的高性能安全網關產品將減少用戶的使用復雜度,降低使用成本,并逐漸替代現有的防火墻、防病毒、入侵檢測市場。
傳統tcp/ip網絡欠缺考慮互聯互通所必須的通信安全問題。系統復雜性、人為事故、操作失誤、設備故障和自然災害等也會對通信安全造成破壞。高性能安全網關產品將促進我國工業數據安全及相關產業的發展,提高目前的網絡安全防護水平。針對通信協議的多樣化、各種設備的復雜化等問題,目前市場上能夠適應多工業系統場景的安全網關設備較少,能夠完整適應多種通信協議的解決方案不足。
技術實現要素:
針對現有技術的不足,本發明提供一種解析多協議的安全網關系統。
本發明還提供一種利用上述多協議安全網關系統進行通信的方法。
本發明的技術方案為:
一種解析多協議的安全網關系統,包括上層管理模塊、底層過濾保護模塊和數據庫模塊;
所述上層管理模塊采用web交互配置服務器,運用lamp開放式源碼搭建,采用b/s架構設計;所述上層管理模塊實現用戶設置、系統參數設置、通信策略設置和通過web界面進行設備日志查詢;所述用戶設置包括用戶添加和用戶刪除;所示系統參數設置包括設置網關參數、串口信息和網口信息;受保護的設備按設置的通信策略進行工作;所述設備日志查詢包括設備日志的查詢與設備日志的刪除;具有良好的人機體驗,很好的體現了交互式特點。用戶設置即對用戶進行管理。
所述底層過濾保護模塊實現源ip地址、目的ip地址的過濾,通信協議的解析,與所述通信策略的交互;對受保護的設備進行配置,記錄設備日志并存儲于數據庫模塊中;
所述數據庫模塊對底層過濾保護模塊的設備日志進行存儲,與上層應用程序交互呈現;所述數據庫模塊將上層設置與底層配置進行聯動,由上層的web界面呈現,上層管理模塊設置的系統參數、通信策略通過所述數據庫模塊傳遞給底層執行。
根據本發明優選的,所述用戶包括管理員和操作員;管理員的權限包括,用戶添加和用戶刪除,修改用戶信息、登錄口令。
根據本發明優選的,所述上層管理模塊通過自身的應用軟件實現用戶設置、系統參數設置、策略及規則設置和日志查詢。
根據本發明優選的,所述設備日志包括操作日志和業務日志,所述設備日志為受保護的設備從相互之間建立連接到完成通信過程的日志。
根據本發明優選的,所述底層過濾保護模塊采用linux操作系統;所述數據庫模塊采用sqlserver數據庫設計。
一種利用上述多協議安全網關系統進行通信的方法,包括步驟如下:
1)用戶進行身份認證;管理員通過web管理界面進行身份認證,如果身份認證通過,則進入系統配置界面進行系統參數設置、通信策略設置;操作員通過web管理界面登錄系統,進行設備操作;
所述底層過濾保護模塊在進行數據收發時,首先根據通信策略對源ip和收發的數據進行檢驗,如果源ip為已配置的可信ip,則建立連接;如果收發的數據為業務數據,則對目的ip地址進行檢測,如果目的ip地址為已配置的可信ip地址,則根據通信策略通過主控芯片內的加密算法對發送的報文進行加密,接收端收到報文數據包后,按照通信策略對加密的報文進行解密,并按通信協議將解密得到的報文進行解析過濾,獲得報文內容;
根據本發明優選的,管理網與控制網進行數據通信時,基于白名單策略,通過狀態檢測、智能協議識別或ca數字認證的方式,接收方對發送方的身份信息及報文數據包內容進行了多次驗證,實現對邊界網絡的防護。
根據本發明優選的,所述底層過濾保護模塊還將通信過程中的審計日志存入數據庫模塊。
根據本發明優選的,所述步驟1)中管理員進行身份認證的方式包括,用戶名密碼及存儲用戶私鑰和數字證書的usbkey的多重身份認證機制。
根據本發明優選的,所述步驟1)中,所述操作員通過用戶名密碼的方式登錄,如果連續3次認證失敗,則將設備鎖定,重新開機后才能使用,并將認證過程記錄至操作日志中。
本發明的有益效果為:
1.本發明所述解析多協議的安全網關系統,應用于管理網與控制網之間,能夠很好的形成網間隔離,保證數據傳輸的安全性;也可應用在控制網內部的不同組件之間,進行控制指令的過濾、檢查及阻斷,增強了整個通信系統的安全防護能力,保證數據通信的安全性與完整性;
2.本發明所述解析多協議的安全網關系統,采用集成了多種高速的安全算法和通訊接口的soc芯片作為加密芯片,摒棄了傳統的數據加解密處理方式,使數據加解密速度大幅提升;
3.本發明所述解析多協議的安全網關系統,能夠解析常見的dnp3協議、modbus協議等通信協議,與傳統的安全網關相比,可對每臺設備配置特定的安全策略,更加有效的阻斷了數據修改和其他的非法訪問,確保了不同區域間數據交換的安全性。
附圖說明
圖1為本發明所述為多協議安全網關系統構成圖。
具體實施方式
下面結合實施例和說明書附圖對本發明做進一步說明,但不限于此。
實施例1
如圖1所示。
一種解析多協議的安全網關系統,包括上層管理模塊、底層過濾保護模塊和數據庫模塊;
所述上層管理模塊采用web交互配置服務器,運用lamp開放式源碼搭建,采用b/s架構設計;所述上層管理模塊實現用戶設置、系統參數設置、通信策略設置和通過web界面進行設備日志查詢;所述用戶設置包括用戶添加和用戶刪除;所示系統參數設置包括設置網關參數、串口信息和網口信息;受保護的設備按設置的通信策略進行工作;所述設備日志查詢包括設備日志的查詢與設備日志的刪除;具有良好的人機體驗,很好的體現了交互式特點。用戶設置即對用戶進行管理。
所述底層過濾保護模塊實現源ip地址、目的ip地址的過濾,通信協議的解析,與所述通信策略的交互;對受保護的設備進行配置,記錄設備日志并存儲于數據庫模塊中;
所述數據庫模塊對底層過濾保護模塊的設備日志進行存儲,與上層應用程序交互呈現;所述數據庫模塊將上層設置與底層配置進行聯動,由上層的web界面呈現,上層管理模塊設置的系統參數、通信策略通過所述數據庫模塊傳遞給底層執行。
實施例2
如實施例1所述的解析多協議的安全網關系統,所不同的是,所述用戶包括管理員和操作員;管理員的權限包括,用戶添加和用戶刪除,修改用戶信息、登錄口令。
實施例3
如實施例1所述的解析多協議的安全網關系統,所不同的是,所述上層管理模塊通過自身的應用軟件實現用戶設置、系統參數設置、策略及規則設置和日志查詢。
實施例4
如實施例1所述的解析多協議的安全網關系統,所不同的是,所述設備日志包括操作日志和業務日志,所述設備日志為受保護的設備從相互之間建立連接到完成通信過程的日志。
實施例5
如實施例1所述的解析多協議的安全網關系統,所不同的是,所述底層過濾保護模塊采用linux操作系統;所述數據庫模塊采用sqlserver數據庫設計。
實施例6
一種利用實施例1-5所述的多協議安全網關系統進行通信的方法,包括步驟如下:
1)用戶進行身份認證;管理員通過web管理界面進行身份認證,如果身份認證通過,則進入系統配置界面進行系統參數設置、通信策略設置;操作員通過web管理界面登錄系統,進行設備操作;
所述底層過濾保護模塊在進行數據收發時,首先根據通信策略對源ip和收發的數據進行檢驗,如果源ip為已配置的可信ip,則建立連接;如果收發的數據為業務數據,則對目的ip地址進行檢測,如果目的ip地址為已配置的可信ip地址,則根據通信策略通過主控芯片內的加密算法對發送的報文進行加密,接收端收到報文數據包后,按照通信策略對加密的報文進行解密,并按通信協議將解密得到的報文進行解析過濾,獲得報文內容;
實施例7
如實施例6所述的多協議安全網關系統進行通信的方法,所不同的是,管理網與控制網進行數據通信時,基于白名單策略,通過狀態檢測、智能協議識別或ca數字認證的方式,接收方對發送方的身份信息及報文數據包內容進行了多次驗證,實現對邊界網絡的防護。
實施例8
如實施例6所述的多協議安全網關系統進行通信的方法,所不同的是,所述底層過濾保護模塊還將通信過程中的審計日志存入數據庫模塊。
實施例9
如實施例6所述的多協議安全網關系統進行通信的方法,所不同的是,所述步驟1)中管理員進行身份認證的方式包括,用戶名密碼及存儲用戶私鑰和數字證書的usbkey的多重身份認證機制。
實施例10
如實施例6所述的多協議安全網關系統進行通信的方法,所不同的是,所述步驟1)中,所述操作員通過用戶名密碼的方式登錄,如果連續3次認證失敗,則將設備鎖定,重新開機后才能使用,并將認證過程記錄至操作日志中。