專利名稱:用于提供過程控制系統(tǒng)的防火墻的方法、裝置及制品的制作方法
技術(shù)領(lǐng)域:
本公開一般地涉及過程控制系統(tǒng)���,更具體地���,涉及用于提供過程控制系統(tǒng)的防火墻的方法���、裝置及制品。
背景技術(shù):
過程控制系統(tǒng)�����,例如用于化學(xué)�、石油或者其他過程的過程控制系統(tǒng)��,通常包括ー個(gè)或者更多個(gè)過程控制器�����,以及通過模擬��、數(shù)字或者組合的模擬/數(shù)字總線通信地耦合到至少ー個(gè)主機(jī)或者操作員工作站���,并耦合到ー個(gè)或者多個(gè)現(xiàn)場設(shè)備的輸入/輸出(I/o)設(shè)備?����,F(xiàn)場設(shè)備�����,可以是���,例如����,閥����、閥定位器、開關(guān)和變送器(例如����,溫度、壓強(qiáng)和流速傳感器)�����,其在過程中執(zhí)行例如打開或者關(guān)閉閥以及測量過程控制參數(shù)的過程控制功能���。過程控制器接收表示由現(xiàn)場設(shè)備所進(jìn)行的過程測量的信號���,處理該信息以實(shí)現(xiàn)控制例程�����,并且生成控制信號���,該控制信號通過總線或者其他通信線被發(fā)送至現(xiàn)場設(shè)備以控制該過程的運(yùn)行。以此方式���,過程控制器可以使用通過總線和/或其他通信地耦合現(xiàn)場設(shè)備的通信線使用現(xiàn)場設(shè)備來執(zhí)行和協(xié)調(diào)控制策略�。來自現(xiàn)場設(shè)備和控制器的過程信息可以為由操作員工作站(例如���,基于處理器的系統(tǒng))執(zhí)行的一個(gè)或更多應(yīng)用(即,例程����、程序、等)可用�����,以使得操作員能夠執(zhí)行關(guān)于過程的所需的功能��,例如查看過程的當(dāng)前狀態(tài)(例如,通過圖形用戶界面)��,評估該過程���,修改該過程的運(yùn)行(例如�����,通過可視的對象圖)����,等等�����。很多過程控制系統(tǒng)還包括一個(gè)或者更多個(gè)應(yīng)用站�,這些應(yīng)用站通常使用個(gè)人電腦、筆記本���、或者類似裝置實(shí)現(xiàn)�,并且通過局域網(wǎng)(LAN)通信地耦合至控制器��、操作員工作站和過程控制系統(tǒng)內(nèi)的其他系統(tǒng)。每個(gè)應(yīng)用站可以包括顯示過程控制信息的圖形化用戶界面���,該過程控制信息包括與過程���、過程故障檢測信息和/或過程狀態(tài)信息相關(guān)聯(lián)的質(zhì)量參數(shù)值、過程變量值�。
發(fā)明內(nèi)容
公開了用于提供過程控制系統(tǒng)的防火墻的方法、裝置和制品��。示例性方法包括分析網(wǎng)絡(luò)通信以識別第一服務(wù)�、網(wǎng)絡(luò)的被保護(hù)部分中關(guān)聯(lián)于所述第一服務(wù)的地址、以及由所述第一服務(wù)使用的端ロ的子集���,所述網(wǎng)絡(luò)通信來源于所述網(wǎng)絡(luò)的所述被保護(hù)部分中��,并且將被發(fā)送到所述網(wǎng)絡(luò)的所述被保護(hù)部分外的目的地�����;以及當(dāng)所述網(wǎng)絡(luò)通信包括標(biāo)識符、所述地址以及所述端ロ的子集吋���,存儲所述第一服務(wù)的標(biāo)識符����,所述地址以及所述端ロ的子集。一些示例性方法還包括:比較第二網(wǎng)絡(luò)通信與所述第一服務(wù)的所述標(biāo)識符���、所述地址以及所述端ロ的子集����,所述第二網(wǎng)絡(luò)通信接收自所述網(wǎng)絡(luò)的所述被保護(hù)部分外���。ー些這種示例性方法還包括:當(dāng)所述第二網(wǎng)絡(luò)通信與所述第一服務(wù)的所述標(biāo)識符��,所述地址以及所述端ロ的子集中的ー個(gè)端ロ匹配吋�����,將所述第二網(wǎng)絡(luò)通信轉(zhuǎn)發(fā)到由所述第二網(wǎng)絡(luò)通信指定的地址和端ロ���。一些示例性方法還包括:當(dāng)所述第二網(wǎng)絡(luò)通信與所述地址以及所述端ロ的子集中的一個(gè)端ロ匹配并且和所述標(biāo)識符不匹配時(shí),基于用于所述第一網(wǎng)絡(luò)通信的閾值時(shí)間或網(wǎng)絡(luò)探測標(biāo)示中的至少ー個(gè)來將所述第二網(wǎng)絡(luò)通信轉(zhuǎn)發(fā)到由所述第二網(wǎng)絡(luò)通信指定的地址和端ロ���。一些這種示例性方法還包括:基于所述第一網(wǎng)絡(luò)通信設(shè)置所述網(wǎng)絡(luò)探測標(biāo)示����。—些示例性方法還包括:當(dāng)所述第二網(wǎng)絡(luò)通信與相應(yīng)于所述第一服務(wù)的已存儲地址和已存儲端ロ不匹配時(shí)�����,放棄所述第二網(wǎng)絡(luò)通信���。一些示例包括:基于閾值時(shí)間從存儲中移除所述第一服務(wù)的所述標(biāo)識符�,所述地址以及所述端ロ的子集���。一個(gè)示例性裝置包括:通信過濾器��,用于分析來源于網(wǎng)絡(luò)的被保護(hù)部分中且將要被發(fā)送到所述網(wǎng)絡(luò)的所述被保護(hù)部分外的目的地的網(wǎng)絡(luò)通信�;通信解析器���,用于識別第一服務(wù)�����,網(wǎng)絡(luò)的被保護(hù)部分中關(guān)聯(lián)于所述第一服務(wù)的地址����,以及用于識別由所述第一服務(wù)使用的端ロ的子集�����,以及防火墻例外生成器��,用于當(dāng)所述網(wǎng)絡(luò)通信包括標(biāo)識符�、所述地址以及所述端ロ的子集吋,存儲所述第一服務(wù)的標(biāo)識符�,所述地址,以及所述端ロ的所述子集�。在一些示例中,所述通信過濾器比較第二網(wǎng)絡(luò)通信與所述第一服務(wù)的所述標(biāo)識符�����、所述地址以及所述端ロ的子集�����,所述第二網(wǎng)絡(luò)通信接收自所述網(wǎng)絡(luò)的所述被保護(hù)部分夕卜����。在一些這種示例中,所述通信過濾器當(dāng)所述第二網(wǎng)絡(luò)通信與所述第一服務(wù)的所述標(biāo)識符���,所述地址以及所述端ロ的子集中的ー個(gè)端ロ匹配吋����,將所述第二網(wǎng)絡(luò)通信轉(zhuǎn)發(fā)到由所述第二網(wǎng)絡(luò)通信指定的地址和端ロ。在一些示例中�,所述通信過濾器當(dāng)所述第二網(wǎng)絡(luò)通信與所述地址以及所述端ロ的子集中的一個(gè)端ロ匹配并且和所述標(biāo)識符不匹配時(shí),基于用于所述第一網(wǎng)絡(luò)通信的閾值時(shí)間或網(wǎng)絡(luò)探測標(biāo)示中的至少ー個(gè)來將所述第二網(wǎng)絡(luò)通信轉(zhuǎn)發(fā)到由所述第二網(wǎng)絡(luò)通信指定的地址和端ロ�����。在一些示例性裝置中�,所述通信解析器基于所述第一網(wǎng)絡(luò)通信來識別所述網(wǎng)絡(luò)探測標(biāo)示的值,并且所述防火墻例外生成器用于基于所述第一網(wǎng)絡(luò)通信來存儲所述網(wǎng)絡(luò)探測標(biāo)示的值��。 在一些示例中�����,所述第一或第二網(wǎng)絡(luò)通信中的至少ー個(gè)包括分布式組件對象模型通信��。一些示例性裝置還包括存儲設(shè)備�,所述防火墻例外生成器用于將所述標(biāo)識符,所述地址��,以及所述端ロ的子集存儲在所述存儲設(shè)備中���。ー種包括計(jì)算機(jī)可讀指令的示例性計(jì)算機(jī)可讀存儲介質(zhì)����,所述計(jì)算機(jī)可讀指令在被執(zhí)行時(shí)使得處理器分析網(wǎng)絡(luò)通信以識別第一服務(wù)�����、網(wǎng)絡(luò)的被保護(hù)部分中關(guān)聯(lián)于所述第一服務(wù)的地址��,以及由所述第一服務(wù)使用的端ロ的子集�����,所述網(wǎng)絡(luò)通信來源于所述網(wǎng)絡(luò)的所述被保護(hù)部分中�,并且將被發(fā)送到所述網(wǎng)絡(luò)的所述被保護(hù)部分外的目的地;以及當(dāng)所述網(wǎng)絡(luò)通信包括標(biāo)識符����、所述地址以及所述端ロ的子集時(shí),存儲所述第一服務(wù)的標(biāo)識符�����,所述地址以及所述端ロ的子集�。
圖1示出了包括示例性防火墻的過程控制環(huán)境;圖2示出了可以被用于配置圖1的示例性防火墻的示例性圖形化用戶界面���;圖3和圖4分別示出了示例性方式或過程的程序化視圖和流程圖����,借由其DCOM通信可以被圖1的示例性防火墻處理;圖5是圖1的示例性防火墻的更具體的框圖��;圖6是表示用于實(shí)現(xiàn)圖1和5的防火墻以動態(tài)地創(chuàng)建用于服務(wù)的例外的示例性方法的流程圖���;圖7是表示用于實(shí)現(xiàn)圖1和5的防火墻以選擇地允許用于服務(wù)的通信被傳遞到網(wǎng)絡(luò)的被保護(hù)部分的示例性方法的流程圖����;圖8是表示用于實(shí)現(xiàn)圖1和5的防火墻以管理用于服務(wù)的動態(tài)例外的示例性方法的流程圖��;圖9是能夠執(zhí)行圖4和6-8的指令以實(shí)現(xiàn)圖1和/或5的防火墻的示例性處理平臺的框圖�����。
具體實(shí)施例方式盡管下文描述了包括執(zhí)行在硬件上的軟件和/或固件以及其他組件的示例性方法�、裝置、和制品��,應(yīng)當(dāng)認(rèn)識到���,這些示例僅僅是說明性的����,而不應(yīng)當(dāng)認(rèn)為是限制。例如��,可以考慮將這些硬件��、軟件和固件組件唯一地具體化為軟件����、唯一地具體化為硬件或者具體化為軟件和硬件的任意組合�����。因此�,雖然下文描述了示例性方法、裝置和制品���,本領(lǐng)域普通技術(shù)人員將認(rèn)識到�����,所提供的這些示例并非實(shí)現(xiàn)這些方法��、裝置和制品的唯一手段����。防火墻通常用于為通信網(wǎng)絡(luò)提供保護(hù),并且一般地可以被用于避免來源于其他網(wǎng)絡(luò)和/或設(shè)備的通信未授權(quán)地訪問通信網(wǎng)絡(luò)�����。通常地���,防火墻物理地或邏輯地位于與將要保護(hù)的網(wǎng)絡(luò)相連接的點(diǎn)���,或者位于具有相對于具有較低安全等級的其他網(wǎng)絡(luò)相對較高的安全等級的點(diǎn)。一些系統(tǒng)或網(wǎng)絡(luò)包含多個(gè)安全等級�,因此其可以包括多個(gè)防火墻和/或其他安全防范。通常地����,在這些更復(fù)雜的系統(tǒng)或網(wǎng)絡(luò)中,多個(gè)安全等級可以被看作提高安全的不同層或區(qū)域��。當(dāng)每個(gè)連續(xù)層����、區(qū)域或等級的安全增加時(shí),關(guān)聯(lián)于何種實(shí)體可以與下一個(gè)更高的安全層、區(qū)域或等級的限制増加�����,并且相應(yīng)地�,被授權(quán)通信的實(shí)體的數(shù)量通常減少。通常被用于企業(yè)信息技術(shù)(IT)網(wǎng)絡(luò)中的通用防火墻是非常復(fù)雜的設(shè)備����,并且要求豐富的IT經(jīng)驗(yàn)來適當(dāng)?shù)匕惭b、配置和維護(hù)��。例如����,這種通用防火墻使用通信規(guī)則作為決定哪種通信不被授權(quán)并且因而被阻止的安全機(jī)制����。更具體地,每個(gè)嘗試穿過該防火墻(即�,嘗試從防火墻ー側(cè)的低安全等級進(jìn)入被防火墻保護(hù)的高安全側(cè))的通信包基于該防火墻中確立的規(guī)則被詢問并被評價(jià)。任何未能滿足允許通信包穿過防火墻的規(guī)則的包被拒絕并被阻止�����。這些通用防火墻所使用的規(guī)則是針對將要訪問防火墻的安全側(cè)的應(yīng)用、計(jì)算機(jī)和/或設(shè)備的每個(gè)應(yīng)用�����、計(jì)算機(jī)或其他設(shè)備根據(jù)經(jīng)驗(yàn)來開發(fā)����。這種規(guī)則開發(fā),其可以被認(rèn)為是防火墻配置過程的一部分�,可以由非常熟練的IT人員和/或具有豐富的網(wǎng)絡(luò)和數(shù)據(jù)分析經(jīng)驗(yàn)的其他人員來完成。規(guī)則開發(fā)過程通常包含監(jiān)控未受限制的運(yùn)行模式中的通信流量以確定每個(gè)授權(quán)通信的特性�����,并且隨后產(chǎn)生被防火墻使用的適當(dāng)?shù)囊?guī)則�,該規(guī)則使得僅允許這些授權(quán)的通信通過該防火墻。更通常地���,這種規(guī)則開發(fā)過程謀求采集或開發(fā)封裝在規(guī)則中的用于每個(gè)授權(quán)類型通信的簽名�����,并且謀求使用這些指紋或簽名來詢問并阻止未授權(quán)的通ィ目���。雖然前述的規(guī)則開發(fā)過程提供了豐富的靈活性��,其使得通用防火墻能夠?qū)嵸|(zhì)上被應(yīng)用在任意類型的網(wǎng)絡(luò)��、系統(tǒng)或應(yīng)用中����,但是需要相當(dāng)程度的技能才能確保防火墻未被不適當(dāng)?shù)嘏渲?例如�,規(guī)則被適當(dāng)?shù)亻_發(fā))。在一些情況中��,不合適的防火墻配置可能導(dǎo)致由防火墻保護(hù)的網(wǎng)絡(luò)被未授權(quán)地訪問���,和/或阻止授權(quán)通信���。此外,在一些可以使用專用防火墻的更特定的應(yīng)用中����,不需要這種通用防火墻所提供的靈活性或多用性���。在過程控制系統(tǒng)的情況中��,使用通用防火墻來在�,例如,過程控制系統(tǒng)網(wǎng)絡(luò)和關(guān)聯(lián)于該過程控制系統(tǒng)的エ廠或企業(yè)內(nèi)的更多通用網(wǎng)絡(luò)之間提供保護(hù)引入了上述與通用防火墻有關(guān)的麻煩�。然而,這種麻煩在過程控制環(huán)境中更加復(fù)雜����,這是由于這些通用防火墻通常由IT或過程區(qū)域外(例如,遠(yuǎn)離)的其他人員維護(hù)�����,并且因而可能不能根據(jù)過程控制系統(tǒng)中維護(hù)時(shí)間嚴(yán)格的過程的需要可用�����。因此�����,在此所述的示例性方法��、裝置和制品提供了一種用于過程控制系統(tǒng)或環(huán)境中的專用防火墻���。更具體地����,在此所述的示例性不需要采用上述與通用防火墻有關(guān)的方式來開發(fā)配置防火墻的規(guī)則。替代地�,該防火墻包括(例如,在存儲器中)應(yīng)用列表��,該應(yīng)用列表包括用于在應(yīng)用和通常分布在過程控制系統(tǒng)或エ廠中的設(shè)備之間建立通信連接的信息���。包含在該列表的應(yīng)用中的信息可以在其他數(shù)據(jù)中包括表征用于每個(gè)被授權(quán)通信類型的通信(例如規(guī)則)的信息����。在一些示例中���,配置過程可以包含圖形化用戶界面��,以呈現(xiàn)可用應(yīng)用的圖形和/或文字列表(例如��,下拉列表)����,其中每個(gè)可以對應(yīng)于防火墻的相對側(cè)的應(yīng)用�����、計(jì)算機(jī)和/或設(shè)備之間的特定通信連接��。為了配置防火墻�,用戶可以簡單地選擇(例如,用鼠標(biāo)或其他指示設(shè)備)這些應(yīng)用中的ー個(gè)或更多個(gè)�,作為響應(yīng),防火墻實(shí)例化關(guān)聯(lián)于所選應(yīng)用的規(guī)則��。圖形化用戶界面可以提供關(guān)聯(lián)于不同類型連接的各種選擇����,例如向外和向內(nèi)連接、入侵防御以及掃描保護(hù)���。更進(jìn)一歩地��,對于每個(gè)所選應(yīng)用�,圖形化用戶界面可以使得用戶能夠指定關(guān)聯(lián)于所選應(yīng)用的通信將要被記錄���,和/或所選應(yīng)用(及其規(guī)則)將要在指定時(shí)長之后期滿(即����,暫時(shí)性授權(quán)連接)�。應(yīng)用列表可以預(yù)先設(shè)置在防火墻中(例如,在制造時(shí))���,或者可以后來通過例如防火墻連接的安全通信網(wǎng)絡(luò)���、通過配置站或通過手持設(shè)備等下載到防火墻中����。此外��,在此所述的示例性防火墻使得用戶能夠創(chuàng)建應(yīng)用以加入到應(yīng)用列表中����。可以通過開發(fā)上述與通用防火墻有關(guān)的規(guī)則并且然后在防火墻中載入這些規(guī)則來添加這些附加應(yīng)用���,以使得防火墻能夠通過圖形化用戶界面和預(yù)先設(shè)置的應(yīng)用一起呈現(xiàn)這些被添加的應(yīng)用�����。在此所述的示例性防火墻還處理分布式組件對象模型(DCOM)通信���,而無需打開并暴露防火墻中未使用的端ロ。在通用防火墻中��,可以以傳統(tǒng)的將防火墻中多個(gè)端ロ打開的方式來手持DCOM通信���,以便于動態(tài)(而不是永久的)端ロ分布處理�,其是建立傳統(tǒng)DCOM連接的一部分��。換言之���,出于這種目的而將多個(gè)端ロ打開會暴露可能被用于獲得通過防火墻的未授權(quán)訪問的那些端ロ�����。 相比于上述用于處理DCOM通信的已知技木���,在此所述的示例性防火墻自動檢測何時(shí)DCOM通信正在被通過防火墻建立,并且動態(tài)打開一個(gè)預(yù)定端ロ井隨后在該通信中止時(shí)關(guān)閉該端ロ���。用這種方式����,多個(gè)端ロ不會像上述的已知技術(shù)那樣在用于后續(xù)動態(tài)分配的防火墻中被保持打開���。因此�,在此所述的示例性防火墻提供了實(shí)質(zhì)上更安全的系統(tǒng)?��,F(xiàn)在轉(zhuǎn)到圖1����,過程控制環(huán)境100包括在此所述的示例性防火墻102。示例性防火墻102介于過程控制環(huán)境100的エ廠或企業(yè)等級106與過程區(qū)域或等級104之間�����。更具體地���,示例性防火墻102阻止未授權(quán)通信,該未授權(quán)通信被通過相對較低安全的網(wǎng)絡(luò)108和110傳送到防火墻102��,并且指向關(guān)聯(lián)于過程等級104的相對較高安全的網(wǎng)絡(luò)112��。較低安全的網(wǎng)絡(luò)108和110對應(yīng)于處于最低安全等級的公司網(wǎng)絡(luò)���,處于次最高安全等級的エ廠網(wǎng)絡(luò)108以及處于最高安全等級的過程控制網(wǎng)絡(luò)112��。過程等級104可以包括ー個(gè)或更多個(gè)工作站或應(yīng)用站114�����,其通過用于控制器�、輸入/輸出設(shè)備以及現(xiàn)場設(shè)備116的局域網(wǎng)118通信地耦接到這些設(shè)備。エ廠或企業(yè)等級106包括一個(gè)或更多個(gè)受控方位工作站120和122��,以及ー個(gè)或更多個(gè)服務(wù)器124�����,126和128�,其可以進(jìn)行各種數(shù)據(jù)服務(wù)(例如����,歷史服務(wù)、防病毒服務(wù)��、軟件修補(bǔ)服務(wù)等)����。エ廠或企業(yè)等級106還可以包括企業(yè)等級工作站130和132,其可以進(jìn)行賬戶功能��、企業(yè)集成功能等�。此夕卜,通用防火墻134可以介入企業(yè)等級工作站130和132與關(guān)聯(lián)于受控訪問工作站120和122以及服務(wù)器124的網(wǎng)絡(luò)之間的通信����。因此�����,圖1的示例性過程控制環(huán)境100包括三個(gè)安全等級���,最低的安全等級對應(yīng)于企業(yè)等級工作站130和132,次最高的安全等級對應(yīng)于受控的訪問工作站120和122以及服務(wù)器124���,126和128���,最高的安全等級對應(yīng)于過程區(qū)域104。根據(jù)本公開的教導(dǎo)�����,示例性防火墻102提供上文所說明的并且在下文中結(jié)合圖2-8更具體描述的功能��。此外�,雖然示例性防火墻102被結(jié)合圖1的過程控制環(huán)境描述,示例性防火墻102可以更通常地應(yīng)用于任意其他已有的或以后開發(fā)的過程控制環(huán)境中���。圖2示出了可以被用于配置圖1的示例性防火墻102的示例性圖形化用戶界面200�。更具體地,示例性圖形化用戶界面200可以通過防火墻102的處理單元或處理器來執(zhí)行存儲在防火墻102的存儲器(未示出)中的指令�����、代碼或軟件�����。在一個(gè)示例中�����,計(jì)算機(jī)(例如�,手提電腦���,手持設(shè)備�,等)可以耦接(例如����,通過硬線連接、無線等)到防火墻102����,以允許用戶查看示例性圖形化用戶界面200�����。替代地或附加地���,用戶可以能夠通過圖1中所示的計(jì)算設(shè)備中的ー個(gè)或多個(gè),例如工作站120�����、122��、130和/或132和/或應(yīng)用站114���,來調(diào)用并查看用戶界面200�����。無論如何���,示例性圖形化用戶界面200使得用戶能夠通過下拉列表或菜單204來選擇ー個(gè)或更多個(gè)應(yīng)用202?�?捎脩?yīng)用202中的每個(gè)對應(yīng)于ー個(gè)被授權(quán)的通信連接�����,以及將被防火墻102使用的ー個(gè)下層規(guī)則或ー組規(guī)則,以允許各個(gè)被授權(quán)的通信通過防火墻102�。應(yīng)用202可以在制造防火墻102時(shí)或者在早于配置防火墻102的任意其他時(shí)間預(yù)先設(shè)置或存儲在防火墻102中。此外��,在使用已知技術(shù)開發(fā)規(guī)則之后����,下拉列表204中的應(yīng)用202中的一個(gè)或更多個(gè)可以被由用戶添加。示例性圖形化用戶界面200還包括記錄選擇框206���,其可以被由用戶選擇,以使得任意所選擇的連接或應(yīng)用被記錄���。此外����,圖形化用戶界面200可以包括使能選擇框208�����,其可以被用戶選擇以啟動所選應(yīng)用���,以及“期滿”選擇框210����,其可以被選擇以使得所選應(yīng)用(例如,規(guī)則)202中的一個(gè)或更多個(gè)在預(yù)定時(shí)長后變?yōu)椴豢捎?���。圖3示出了示例性方式或過程的程序化視圖,而圖4是示出示例性方式或過程的流程圖����,借由其DCOM通信可以被圖1的示例性防火墻102處理。參考圖3和圖4����,起初網(wǎng)絡(luò)管理器302通信地耦接到防火墻102 (圖1)以配置防火墻102,從而允許通過防火墻102的特定端ロ�����,從相對較低安全的外部網(wǎng)絡(luò)306或者網(wǎng)絡(luò)被保護(hù)部分的外部訪問內(nèi)部或高安全網(wǎng)絡(luò)304或者網(wǎng)絡(luò)的被保護(hù)部分(塊400)����。連接到高安全的、內(nèi)部網(wǎng)絡(luò)304的服務(wù)器308穿過防火墻102向連接到外部的��、較低安全網(wǎng)絡(luò)306的外部計(jì)算機(jī)310發(fā)送通信309 (塊402)。通信309包括用于外部計(jì)算機(jī)310的信息��,用以指示該計(jì)算機(jī)310使用在塊400指定的用干與內(nèi)部網(wǎng)絡(luò)304��,特別是服務(wù)器308�,通信的端ロ。此外�,防火墻102解析該通信309,并基于由所解析的通信309提取的信息����,來使得防火墻102暫時(shí)地允許外部網(wǎng)絡(luò)306和內(nèi)部網(wǎng)絡(luò)304之間通過所指定端口上的暫時(shí)連接的通信(塊404)。更具體地���,在塊404的通信309的解析可以包括所請求的通信是DCOM通信的自動確定���。外部計(jì)算機(jī)310然后通過所指定的端ロ連接到服務(wù)器308����,并請求312到服務(wù)器308內(nèi)的DCOM服務(wù)的連接(塊406)。防火墻102允許該連接�����,因此,外部計(jì)算機(jī)310和服務(wù)器308能夠穿過防火墻102交換DCOM通信314 (塊406)�。圖3和4的示例僅僅表示一種示例性防火墻102可以被用于在被保護(hù)的或較高級安全網(wǎng)絡(luò)和相對較低安全的網(wǎng)絡(luò)之間建立DCOM通信所采用的方式,其無需打開或暴露多個(gè)防火墻102端ロ���。因此����,示例性防火墻102可以提供比前述的已知通用防火墻大體更高等級的網(wǎng)絡(luò)安全�����。更具體的使用防火墻102來保護(hù)網(wǎng)絡(luò)的示例將在下文中描述���。圖5是圖1的示例性防火墻102的更具體的框圖����。圖5的示例性防火墻102可以被用于����,例如,相對于網(wǎng)絡(luò)的一部分(例如����,較低安全的網(wǎng)絡(luò)108��,110)而保護(hù)網(wǎng)絡(luò)的另一部分(例如�����,較高安全的網(wǎng)絡(luò)112)�。圖5的示例性防火墻102包括通信過濾器502�,通信解析器504,防火墻例外生成器506以及存儲設(shè)備508�����。圖5的示例性通信過濾器502接收來自于網(wǎng)絡(luò)的被保護(hù)部分(例如���,應(yīng)用站114���,現(xiàn)場設(shè)備116,等)且將被發(fā)送到網(wǎng)絡(luò)的被保護(hù)部分之外的目的地的通信�。示例性通信過濾器502還接收來自于網(wǎng)絡(luò)的被保護(hù)部分之外的設(shè)備且將要被發(fā)送到網(wǎng)絡(luò)的被保護(hù)部分中的目的地的通信。在一些示例中����,穿過防火墻102的通信包括DCOM通信和/或關(guān)聯(lián)于服務(wù)和/或遠(yuǎn)程過程調(diào)用的通信�����。為了保護(hù)網(wǎng)絡(luò)的被保護(hù)部分,示例性通信過濾器502分析被保護(hù)部分與該被保護(hù)部分之外的資源之間的網(wǎng)絡(luò)通信����。在一些示例中,防火墻102動態(tài)地授權(quán)從被保護(hù)部分外部的資源發(fā)送到網(wǎng)絡(luò)的被保護(hù)部分的通信(例如�,DCOM通信),以使得所要求的服務(wù)能夠運(yùn)行而無需不必要地將被保護(hù)的網(wǎng)絡(luò)暴露于未使用的通信端ロ的攻擊�。為了動態(tài)地授權(quán)通信,示例性通信過濾器502分析來源于網(wǎng)絡(luò)的被保護(hù)部分中的并且將被發(fā)送到網(wǎng)絡(luò)的被保護(hù)部分外的目的地的通信(例如�����,圖3的通信309)�。示例性通信解析器504解析通信以確定關(guān)聯(lián)于該通信的服務(wù)(例如,DCOM服務(wù)的接ロ通用標(biāo)識符)���,基于該通信識別被保護(hù)網(wǎng)絡(luò)中的設(shè)備的地址(例如�����,接收自網(wǎng)絡(luò)的被保護(hù)部分外的動態(tài)授權(quán)通信將要被發(fā)送到的IP地址)�����,以及識別被打開以用于該動態(tài)授權(quán)通信的端ロ子集�。通過識別通信的有效載荷中的標(biāo)記(例如,標(biāo)記字符串)�����,示例性通信解析器504可以方便地辨識被解析的網(wǎng)絡(luò)通信中出現(xiàn)這種信息����。如果標(biāo)記未出現(xiàn),則通信解析器504可以停止捜索通信����。另ー方面,如果標(biāo)記出現(xiàn)�����,示例性防火墻例外生成器從網(wǎng)絡(luò)通信中提取服務(wù)標(biāo)識符(例如���,UID)���、地址��、以及端ロ。示例性防火墻例外生成器506將該服務(wù)標(biāo)識符����、地址以及端ロ存儲為例外列表510中的例外,該例外列表510存儲在存儲設(shè)備508中�����。在一些示例中�����,防火墻例外生成器506確定網(wǎng)絡(luò)探測標(biāo)示或變量是否具有第一值(例如�,使能、禁止)�����。網(wǎng)絡(luò)探測標(biāo)示可以被用于使得進(jìn)ー步的服務(wù)被基于該網(wǎng)絡(luò)通信而授權(quán)(例如����,用于與動態(tài)授權(quán)服務(wù)有關(guān)的服務(wù))。雖然例外保持被授權(quán)�����,但是示例性防火墻102接收來自于網(wǎng)絡(luò)的被保護(hù)部分外且指向網(wǎng)絡(luò)的安全部分的一個(gè)或更多個(gè)網(wǎng)絡(luò)通信(例如,圖3的通信312��、314)�。示例性通信過濾器502比較該網(wǎng)絡(luò)通信與例外列表510中的條目中的服務(wù)標(biāo)識符、地址和端ロ(例如���,在存儲器508中)以識別匹配�。如果存在匹配���,則示例性通信過濾器502轉(zhuǎn)發(fā)該通信�����。如果通信過濾器502確定該通信與例外的地址和端ロ匹配����,但是服務(wù)標(biāo)識符不匹配����,則示例性通信過濾器502確定主連接是否仍然有效(例如,通信309是否超時(shí)或斷開連接)����。如果主連接有效�����,則示例性過濾器502可以向該設(shè)備轉(zhuǎn)發(fā)該通信。另ー方面���,如果主連接失效����,則示例性通信過濾器502可以確定網(wǎng)絡(luò)探測標(biāo)示是否是使能����。如果網(wǎng)絡(luò)探測標(biāo)示是禁止,則示例性網(wǎng)絡(luò)過濾器502可以向該設(shè)備轉(zhuǎn)發(fā)該通信�。然而,如果主連接失效且網(wǎng)絡(luò)探測標(biāo)示是使得的��,則通信過濾器502過濾或放棄該通信���。圖5的示例性防火墻102的示例性組件和功能在上文中被描述��。示例性防火墻102可以附加地進(jìn)行其他防火墻功能�,例如標(biāo)準(zhǔn)的防火墻功能。不討論這些功能以避免搞混示例����。此外,雖然圖1-5的示例性防火墻102被描述為單獨(dú)的防火墻��,但是示例性防火墻102可以實(shí)現(xiàn)為網(wǎng)絡(luò)中計(jì)算設(shè)備上的軟件防火墻�����,以保護(hù)該計(jì)算設(shè)備�����。雖然在圖5中已經(jīng)描述了實(shí)現(xiàn)圖1的防火墻102的一種示例性方式��,但是圖5中示出的元件��、過程和/或設(shè)備中的一個(gè)或更多個(gè)可以被組合��、拆分��、重新排列�、省略、消除和/或以其他方式實(shí)現(xiàn)�����。此外,圖1和/或圖5中的示例性通信過濾器502����,示例性通信解析器504,示例性防火墻例外生成器506���,示例性存儲設(shè)備508和/或,更通常地����,示例性防火墻102可以由硬件、軟件�����、固件����、和/或硬件、軟件和/或固件的任意組合實(shí)現(xiàn)����。因此���,例如,示例性通信過濾器502��、示例性通信解析器504�、示例性防火墻例外生成器506、示例性存儲設(shè)備508和/或��,更通常地�����,示例性防火墻102中的任意ー個(gè)可以由ー個(gè)或更多個(gè)電路����、可編程處理器、專用集成電路(ASIC)��、可編程邏輯器件(PLD)和/或現(xiàn)場可編程邏輯器件(FPLD)等實(shí)現(xiàn)��。當(dāng)本專利的裝置或系統(tǒng)的任意一個(gè)被解讀為覆蓋純軟件和/或固件實(shí)現(xiàn)吋���,示例性通信過濾器502��、示例性通信解析器504�����、示例性防火墻例外生成器506和/或示例性存儲設(shè)備508中的至少ー個(gè)特此明確限定為包括存儲有該軟件和/或固件的有形計(jì)算機(jī)可讀介質(zhì)�����,例如存儲器���、DVD��、CD��、藍(lán)光碟等。更進(jìn)一歩地����,除了或替代在圖5中所示的那些元件、過程和/或設(shè)備�,圖1和/或5的示例性防火墻102可以包括一個(gè)或更多個(gè)元件、過程和/或設(shè)備�����,和/或可以包括多于ー個(gè)的任意或所有的所示出的元件、過程和設(shè)備�。表示用于實(shí)現(xiàn)圖1和/或5的防火墻102的示例性方法的流程圖被示于圖4和6-8中。在這些示例中���,這些方法可以被使用機(jī)器可讀指令來實(shí)現(xiàn)���,其包括用于由處理器執(zhí)行的程序,該處理器諸如下文中結(jié)合圖9所討論的示例性處理平臺900中所示的處理器912���。程序可以具體化為存儲在有形計(jì)算機(jī)可讀介質(zhì)上的軟件����,該有形計(jì)算機(jī)可讀介質(zhì)例如⑶-ROM��、軟盤����、硬盤、數(shù)字多功能光碟(DVD)���、藍(lán)光碟或關(guān)聯(lián)于處理器912的存儲器��,但是整個(gè)程序和/或其部分可能替代地被由處理器912之外的設(shè)備執(zhí)行��,和/或具體化在固件或?qū)S糜布?���。此外,盡管示例性程序被結(jié)合圖4和6-8中所示的流程圖描述�,但是還可以替代地使用許多其他的用于實(shí)現(xiàn)示例性防火墻102的方法。例如���,可以調(diào)整塊的執(zhí)行順序�,和/或所描述的塊中的ー些可以被改變�、消除或被組合。正如上述�,圖4和6-8中的示例性過程可以使用存儲在有形計(jì)算機(jī)可讀介質(zhì)上的被編碼的指令(例如,計(jì)算機(jī)可讀指令)實(shí)現(xiàn)���,該有形計(jì)算機(jī)可讀介質(zhì)例如硬盤驅(qū)動器���、快閃存儲器����、只讀存儲器(ROM)、壓縮光碟(CD)����、數(shù)字多用途光碟(DVD)�����、緩存�、隨機(jī)存取存儲器(RAM)和/或任意其他存儲介質(zhì)���,在其上信息被存儲任意時(shí)間(例如�����,用于擴(kuò)展時(shí)間周期���,永久的,短暫的情況��,用于暫時(shí)緩沖����,和/或用于信息的高速緩存)。這里使用的����,術(shù)語“有形計(jì)算機(jī)可讀介質(zhì)”明確被定義為包含任何類型的計(jì)算機(jī)可讀介質(zhì)并排除傳播信號�。附加地或替代地�����,圖4和6-8的示例性過程可以使用存儲在非瞬時(shí)的計(jì)算機(jī)可讀介質(zhì)上的被編碼的指令(例如��,計(jì)算機(jī)可讀指令)實(shí)現(xiàn)����,該非瞬時(shí)的計(jì)算機(jī)可讀介質(zhì)例如硬盤驅(qū)動器、快閃存儲器�����、只讀存儲器���、壓縮光碟�、數(shù)字多用途光碟�����、緩存�、隨機(jī)存取存儲器和/或任意其他存儲介質(zhì)����,在其上信息被存儲任意時(shí)間(例如��,用于擴(kuò)展時(shí)間周期���,永久的,短暫的情況���,用于暫時(shí)緩沖��,和/或用于信息的高速緩存)����。這里使用的���,術(shù)語“非瞬時(shí)計(jì)算機(jī)可讀介質(zhì)”可被定義為包含任何類型的計(jì)算機(jī)可讀介質(zhì)并排除傳播信號����。這里所使用的�,當(dāng)短語“至少”被用作權(quán)利要求的前序中的轉(zhuǎn)換術(shù)語時(shí),其是與術(shù)語“包括”表示的開放形式相同的開放形式����。因此����,在其前序中使用“至少”作為轉(zhuǎn)換術(shù)語的權(quán)利要求可以包括除了明確引用在該權(quán)利要求中的那些之外的元件��。圖6是表示用于實(shí)現(xiàn)圖1和5的防火墻102以動態(tài)地創(chuàng)建用于服務(wù)的例外的示例性方法600的流程圖�。當(dāng)防火墻102接收來自網(wǎng)絡(luò)(例如,圖1的網(wǎng)絡(luò)112)的被保護(hù)部分中的設(shè)備并指向網(wǎng)絡(luò)的被保護(hù)部分之外的設(shè)備的網(wǎng)絡(luò)通信時(shí)����,可以進(jìn)行示例性方法600。示例性方法600始于分析(例如����,通過圖5的通信過濾器502)來自網(wǎng)絡(luò)的被保護(hù)部分且指向網(wǎng)絡(luò)的被保護(hù)部分外位置或設(shè)備的網(wǎng)絡(luò)通信(塊602)。示例性通信解析器504確定網(wǎng)絡(luò)通信中是否出現(xiàn)標(biāo)記(塊604)�����。如果出現(xiàn)標(biāo)記(塊604)����,示例性防火墻例外生成器506從該網(wǎng)絡(luò)通信來識別服務(wù)的WD、地址(例如����,圖3的服務(wù)器308的IP地址)以及服務(wù)的端ロ(塊606)��。示例性防火墻例外生成器506存儲WD、地址和端ロ(例如�,存儲在圖5的存儲設(shè)備508中的例外列表510中)(塊608)。在圖6的示例中��,防火墻例外生成器506還存儲網(wǎng)絡(luò)探測標(biāo)示值(塊610)��。示例性方法600然后結(jié)束����。圖7是表示用于實(shí)現(xiàn)圖1和5的防火墻102以選擇地允許用于服務(wù)的通信被傳遞到網(wǎng)絡(luò)的被保護(hù)部分的示例性方法700的流程圖。當(dāng)例如���,接收到向網(wǎng)絡(luò)的被保護(hù)部分發(fā)送的通信時(shí)(例如���,圖3的通信312、314)�����,示例性方法700被由示例性防火墻102執(zhí)行��。示例性方法700始于分析(例如�����,通過圖5的通信過濾器502)接收自網(wǎng)絡(luò)的被保護(hù)部分之外的網(wǎng)絡(luò)通信(塊702)。示例性通信過濾器502確定該網(wǎng)絡(luò)通信的目標(biāo)地址和端ロ(塊 704)��。不例性通信過濾器502確定網(wǎng)絡(luò)通信是否與對應(yīng)于例外列表(例如�,圖5的例外列表)中地址的端ロ以及地址匹配(塊706)。如果該網(wǎng)絡(luò)通信和任意地址和例外列表510中的對應(yīng)端ロ都不匹配(塊706)��,則示例性通信過濾器502放棄該網(wǎng)絡(luò)通信(塊716)���。另ー方面����,如果通信過濾器502確定該網(wǎng)絡(luò)通信不匹配地址和對應(yīng)端ロ��,則該示例性通信過濾器502確定該網(wǎng)絡(luò)通信是否與例外列表510中的服務(wù)標(biāo)識符(例如���,該WD)匹配����,該服務(wù)標(biāo)識符對應(yīng)于所匹配的地址和端ロ(塊708)��。如果網(wǎng)絡(luò)通信與服務(wù)標(biāo)識符匹配(708),則示例性通信過濾器502將該網(wǎng)絡(luò)通信轉(zhuǎn)發(fā)到網(wǎng)絡(luò)的被保護(hù)部分中的端ロ(塊714)��。如果網(wǎng)絡(luò)通信與地址和對應(yīng)端ロ匹配�����,但是和服務(wù)標(biāo)識符不匹配(塊708)���,則該示例性通信過濾器502確定用于該網(wǎng)絡(luò)通信的主連接是否有效(塊710)。主連接可以是導(dǎo)出例外列表510中匹配的例外的網(wǎng)絡(luò)通信(例如,用于圖3的通信312��,314的網(wǎng)絡(luò)通信309)�����。如果主連接有效(塊710)�,則示例性網(wǎng)絡(luò)過濾器502可以轉(zhuǎn)發(fā)該網(wǎng)絡(luò)通信(塊714)。如果主連接無效(塊710)����,則示例性通信過濾器502確定用于該主連接的網(wǎng)絡(luò)探測標(biāo)示是否是使能的(塊712)。例如�����,通信過濾器502可以檢查例外列表510以查找匹配該地址和端ロ的條目,從而確定網(wǎng)絡(luò)探測標(biāo)示或變量的值��。如果主連接的網(wǎng)絡(luò)探測標(biāo)示是使能的(塊712)�����,則示例性通信過濾器502過濾或放棄該網(wǎng)絡(luò)通信�。另ー方面,如果網(wǎng)絡(luò)探測標(biāo)示是禁止的(塊712)���,則示例性通信過濾器502將該網(wǎng)絡(luò)通信轉(zhuǎn)發(fā)到網(wǎng)絡(luò)的被保護(hù)部分中的地址和端ロ(塊714)����。在轉(zhuǎn)發(fā)該網(wǎng)絡(luò)通信(塊714)或放棄該網(wǎng)絡(luò)通信(塊716)之后�,示例性方法700
可以結(jié)束。圖8是表示用于實(shí)現(xiàn)圖1和5的防火墻102以管理用于服務(wù)的動態(tài)例外的示例性方法800的流程圖���。圖8的示例性方法800可以定期地��、不定期地��、根據(jù)需求��、響應(yīng)于時(shí)間和/或在任意其他時(shí)間執(zhí)行��,以管理動態(tài)例外���。圖5的示例性防火墻例外生成器506選擇例外列表510 (例如���,在存儲設(shè)備508中)中的條目(塊802)。示例性防火墻例外生成器506確定所選條目是否在例外列表510中持續(xù)閾值時(shí)長(塊804)����。閾值時(shí)間可以憑經(jīng)驗(yàn)確定,根據(jù)策略設(shè)置���,和/或由網(wǎng)絡(luò)的被保護(hù)部分的管理員設(shè)置。如果所選的條目在例外列表510中持續(xù)該閾值時(shí)長(塊804)��,則示例性防火墻例外生成器506從例外列表(塊806)中刪除該條目��。通過減少ー些防火墻102中打開但未使用的端ロ�,刪除例外條目可能増加網(wǎng)絡(luò)的被保護(hù)部分的安全性。如果所選條目持續(xù)短于閾值時(shí)間(塊804)����,或者在刪除該條目后(塊806),示例性方法800可以結(jié)束��。在一些不例中,防火墻例外生成器506針對例外列表510中的姆一個(gè)條目重復(fù)該方法800���。圖9是能夠執(zhí)行圖4和6-8的指令以實(shí)現(xiàn)圖1和/或5的防火墻102的示例性處理平臺900的框圖�。該處理平臺900可以是����,例如,防火墻設(shè)備����,服務(wù)器,個(gè)人電腦��,或者任意其他類型的計(jì)算設(shè)備或互連網(wǎng)設(shè)備�����。該示例的處理平臺900包括處理器912�。例如,處理器912可以由ー個(gè)或更多個(gè)來自于任意所需系列或制造商的微處理器或控制器實(shí)現(xiàn)���。處理器912包括本地存儲器913 (例如���,緩存)�����,并且通過總線918與包括易失存儲器914和非易失存儲器916的主存儲器通信�����。易失存儲器914可以由同步動態(tài)隨機(jī)存取內(nèi)存(SDRAM)����、動態(tài)隨機(jī)存取存儲器(DRAM)��、RAMBUS動態(tài)隨機(jī)存取存儲器(RARAM)和/或任意其他類型的隨機(jī)存取存儲設(shè)備實(shí)現(xiàn)�����。非易失存儲器916可以由快閃存儲器和/或任意其他所需類型的存儲設(shè)備實(shí)現(xiàn)�����。到主存儲器914�,916的訪問由存儲器控制器控制��。處理平臺900還包括接ロ電路920�����。接ロ電路920可以由任意類型的接ロ標(biāo)準(zhǔn)實(shí)現(xiàn),例如以太網(wǎng)接ロ�、通用串行總線(USB)、和/或PCI擴(kuò)展接ロ��。ー個(gè)或多個(gè)輸入設(shè)備922被連接到接ロ電路920���。輸入設(shè)備922允許用戶向處理器912中輸入數(shù)據(jù)和指令����。輸入設(shè)備可以由例如鍵盤�����、鼠標(biāo)�、觸摸屏、軌跡板����、軌跡球、指點(diǎn)桿(isopoint)和/或聲音識別系統(tǒng)實(shí)現(xiàn)�。ー個(gè)或多個(gè)輸出設(shè)備924也被連接到接ロ電路920。輸出設(shè)備924可以由例如顯示設(shè)備(例如���,液晶顯示器�、陰極射線管(CRT)顯示器,等)實(shí)現(xiàn)����。接ロ電路920因此通常包括圖形驅(qū)動卡。接ロ電路920還包括通信設(shè)備��,例如調(diào)制解調(diào)器或網(wǎng)絡(luò)接ロ卡���,以便于通過網(wǎng)絡(luò)926(例如���,以太網(wǎng)連接,數(shù)字用戶線路(DSL)����,電話線、同軸電纜��、蜂窩電話系統(tǒng)等)與外部計(jì)算機(jī)交換數(shù)據(jù)�。處理平臺900還包括一個(gè)或多個(gè)用于存儲軟件和數(shù)據(jù)的大容量存儲設(shè)備928�����。這種大容量存儲設(shè)備928的例子包括軟盤驅(qū)動器、硬盤驅(qū)動器����、壓縮光盤驅(qū)動器和數(shù)字多用途光盤驅(qū)動器。大容量存儲設(shè)備928可以實(shí)現(xiàn)圖5的示例性存儲設(shè)備508�。用于實(shí)現(xiàn)圖4和6-8的方法的被編碼的指令932可以被存儲在大容量存儲設(shè)備928中,存儲在易失存儲器914中��,存儲在非易失存儲器916中和/或存儲在可移動存儲介質(zhì)例如⑶或DVD中����。盡管這里描述了一定示例方法,裝置和制品�,本專利涵蓋的范圍并不僅限于于此。正好相反����,本專利涵蓋適當(dāng)落入本專利權(quán)利要求文字的或處于等同原則下的范圍內(nèi)的所有方法,裝置和制品���。
權(quán)利要求
1.ー種方法��,包括: 分析網(wǎng)絡(luò)通信以識別第一服務(wù)����、網(wǎng)絡(luò)的被保護(hù)部分中關(guān)聯(lián)于所述第一服務(wù)的地址、以及由所述第一服務(wù)使用的端ロ的子集�����,所述網(wǎng)絡(luò)通信來源于所述網(wǎng)絡(luò)的所述被保護(hù)部分中�����,并且將被發(fā)送到所述網(wǎng)絡(luò)的所述被保護(hù)部分外的目的地��;以及 當(dāng)所述網(wǎng)絡(luò)通信包括標(biāo)識符�、所述地址以及所述端ロ的子集時(shí),存儲所述第一服務(wù)的標(biāo)識符��,所述地址以及所述端ロ的子集���。
2.根據(jù)權(quán)利要求1所述的方法�,其特征在于����,還包括:比較第二網(wǎng)絡(luò)通信與所述第一服務(wù)的所述標(biāo)識符、所述地址以及所述端ロ的子集����,所述第二網(wǎng)絡(luò)通信接收自所述網(wǎng)絡(luò)的所述被保護(hù)部分外。
3.根據(jù)權(quán)利要求2所述的方法���,其特征在于�����,還包括:當(dāng)所述第二網(wǎng)絡(luò)通信與所述第一服務(wù)的所述標(biāo)識符�����、所述地址以及所述端ロ的子集中的一個(gè)端ロ匹配吋��,將所述第二網(wǎng)絡(luò)通信轉(zhuǎn)發(fā)到由所述第二網(wǎng)絡(luò)通信指定的地址和端ロ���。
4.根據(jù)權(quán)利要求2所述的方法,其特征在于�,還包括:當(dāng)所述第二網(wǎng)絡(luò)通信與所述地址以及所述端ロ的子集中的ー個(gè)端ロ匹配并且和所述標(biāo)識符不匹配時(shí),基于用于所述第一網(wǎng)絡(luò)通信的閾值時(shí)間或網(wǎng)絡(luò)探測標(biāo)示中的至少ー個(gè)來將所述第二網(wǎng)絡(luò)通信轉(zhuǎn)發(fā)到由所述第ニ網(wǎng)絡(luò)通信指定的地址和端ロ�����。
5.根據(jù)權(quán)利要求4所述的方法�,其特征在于,還包括:基于所述第一網(wǎng)絡(luò)通信設(shè)置所述網(wǎng)絡(luò)探測標(biāo)示。
6.根據(jù)權(quán)利要求2所述的方法�����,其特征在于���,還包括:當(dāng)所述第二網(wǎng)絡(luò)通信與相應(yīng)于所述第一服務(wù)的已存儲地址和已存儲端ロ不匹配時(shí)�����,放棄所述第二網(wǎng)絡(luò)通信�����。
7.根據(jù)權(quán)利要求1所述的方法��,其特征在于����,還包括:基于閾值時(shí)間從存儲中移除所述第一服務(wù)的所述標(biāo)識符����、所述地址以及所述端ロ的子集。
8.ー種裝置��,包括: 通信過濾器,用于分析來源于網(wǎng)絡(luò)的被保護(hù)部分中且將要被發(fā)送到所述網(wǎng)絡(luò)的所述被保護(hù)部分外的目的地的網(wǎng)絡(luò)通信��; 通信解析器�����,用于識別第一服務(wù)��、網(wǎng)絡(luò)的被保護(hù)部分中關(guān)聯(lián)于所述第一服務(wù)的地址�,以及用于識別由所述第一服務(wù)使用的端ロ的子集���,以及 防火墻例外生成器�����,用于當(dāng)所述網(wǎng)絡(luò)通信包括標(biāo)識符����、所述地址以及所述端ロ的子集時(shí)���,存儲所述第一服務(wù)的標(biāo)識符���、所述地址���、以及所述端ロ的所述子集。
9.根據(jù)權(quán)利要求8所述的裝置��,其特征在于��,其中所述通信過濾器用于比較第二網(wǎng)絡(luò)通信與所述第一服務(wù)的所述標(biāo)識符�、所述地址以及所述端ロ的子集,所述第二網(wǎng)絡(luò)通信接收自所述網(wǎng)絡(luò)的所述被保護(hù)部分外����。
10.根據(jù)權(quán)利要求9所述的裝置,其特征在于���,其中所述通信過濾器用于當(dāng)所述第二網(wǎng)絡(luò)通信與所述第一服務(wù)的所述標(biāo)識符���、所述地址以及所述端ロ的子集中的一個(gè)端ロ匹配吋,將所述第二網(wǎng)絡(luò)通信轉(zhuǎn)發(fā)到由所述第二網(wǎng)絡(luò)通信指定的地址和端ロ���。
11.根據(jù)權(quán)利要求所述的裝置�,其特征在于��,其中所述通信過濾器用于當(dāng)所述第二網(wǎng)絡(luò)通信與所述地址以及所述端ロ的子集中的ー個(gè)端ロ匹配并且和所述標(biāo)識符不匹配時(shí)�����,基于用于所述第一網(wǎng)絡(luò)通信的閾值時(shí)間 或網(wǎng)絡(luò)探測標(biāo)示中的至少ー個(gè)來將所述第二網(wǎng)絡(luò)通信轉(zhuǎn)發(fā)到由所述第二網(wǎng)絡(luò)通信指定的地址和端ロ。
12.根據(jù)權(quán)利要求11所述的裝置����,其特征在于,其中所述通信解析器用于基于所述第ー網(wǎng)絡(luò)通信來識別所述網(wǎng)絡(luò)探測標(biāo)示的值���,并且所述防火墻例外生成器用于基于所述第一網(wǎng)絡(luò)通信來存儲所述網(wǎng)絡(luò)探測標(biāo)示的值。
13.根據(jù)權(quán)利要求9所述的裝置���,其特征在于�,所述第一或第二網(wǎng)絡(luò)通信中的至少ー個(gè)包括分布式組件對象模型通信���。
14.根據(jù)權(quán)利要求8所述的裝置���,其特征在干,還包括存儲設(shè)備�����,所述防火墻例外生成器用于將所述標(biāo)識符�、所述地址�、以及所述端ロ的子集存儲在所述存儲設(shè)備中�����。
15.—種包括計(jì)算機(jī)可讀指令的計(jì)算機(jī)可讀存儲介質(zhì)����,所述計(jì)算機(jī)可讀指令在被執(zhí)行時(shí)使得處理器至少: 分析網(wǎng)絡(luò)通信以識別第一服務(wù)、網(wǎng)絡(luò)的被保護(hù)部分中關(guān)聯(lián)于所述第一服務(wù)的地址�、以及由所述第一服務(wù)使用的端ロ的子集,所述網(wǎng)絡(luò)通信來源于所述網(wǎng)絡(luò)的所述被保護(hù)部分中���,并且將被發(fā)送到所述網(wǎng)絡(luò)的所述被保護(hù)部分外的目的地�;以及 當(dāng)所述網(wǎng)絡(luò)通信包括標(biāo)識符���、所述地址以及所述端ロ的子集時(shí)��,存儲所述第一服務(wù)的標(biāo)識符���,所述地址以及所述端ロ的子集。
16.根據(jù)權(quán)利要求15所述的存儲介質(zhì)�����,其特征在于,其中所述指令還使得所述處理器比較第二網(wǎng)絡(luò)通信與所述第一服務(wù)的所述標(biāo)識符���、所述地址以及所述端ロ的子集�����,所述第ニ網(wǎng)絡(luò)通信接收自所述網(wǎng)絡(luò)的所述被保護(hù)部分外�����。
17.根據(jù)權(quán)利要求16所述的存儲介質(zhì)���,其特征在于�����,其中所述指令還使得所述處理器當(dāng)所述第二網(wǎng)絡(luò)通信與所述第一服務(wù)的所述標(biāo)識符���、所述地址以及所述端ロ的子集中的一個(gè)端ロ匹配吋���,將所述第二網(wǎng)絡(luò)通信轉(zhuǎn)發(fā)到由所述第二網(wǎng)絡(luò)通信指定的地址和端ロ。
18.根據(jù)權(quán)利要求16所述的存儲介質(zhì)�����,其特征在于,其中所述指令還使得所述處理器當(dāng)所述第二網(wǎng)絡(luò)通信與所述地址以及所述端ロ的子集中的ー個(gè)端ロ匹配并且和所述標(biāo)識符不匹配時(shí)�����,基于用于所述第一網(wǎng)絡(luò)通信的閾值時(shí)間或網(wǎng)絡(luò)探測標(biāo)示中的至少ー個(gè)來將所述第二網(wǎng)絡(luò)通信轉(zhuǎn)發(fā)到由所述第二網(wǎng)絡(luò)通信指定的地址和端ロ��。
19.根據(jù)權(quán)利要求16所述的存儲介質(zhì)����,其特征在于,其中所述指令還使得所述處理器當(dāng)所述第二網(wǎng)絡(luò)通信與相應(yīng)于所述第一服務(wù)的已存儲地址和已存儲端ロ不匹配時(shí)��,放棄所述第二網(wǎng)絡(luò)通信�。
20.根據(jù)權(quán)利要求15所述的存儲介質(zhì),其特征在于��,其中所述指令還使得所述處理器基于閾值時(shí)間從存儲中移除所述第一服務(wù)的所述標(biāo)識符��,所述地址以及所述端ロ的子集���。
全文摘要
公開了用于提供過程控制系統(tǒng)的防火墻的方法��、裝置和制品��。示例性方法包括分析網(wǎng)絡(luò)通信以識別第一服務(wù)����、網(wǎng)絡(luò)的被保護(hù)部分中關(guān)聯(lián)于所述第一服務(wù)的地址、以及由所述第一服務(wù)使用的端口的子集�����,所述網(wǎng)絡(luò)通信來源于所述網(wǎng)絡(luò)的所述被保護(hù)部分中�����,并且將被發(fā)送到所述網(wǎng)絡(luò)的所述被保護(hù)部分外的目的地;以及當(dāng)所述網(wǎng)絡(luò)通信包括標(biāo)識符、所述地址以及所述端口的子集時(shí),存儲所述第一服務(wù)的標(biāo)識符、所述地址以及所述端口的子集�。
文檔編號H04L29/06GK103117993SQ20121037987
公開日2013年5月22日 申請日期2012年9月28日 優(yōu)先權(quán)日2011年9月28日
發(fā)明者R·K·哈巴, D·施萊斯, G·勞 申請人:費(fèi)希爾-羅斯蒙特系統(tǒng)公司