亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

用于監(jiān)控安全網(wǎng)絡(luò)網(wǎng)關(guān)單元的方法、設(shè)備和系統(tǒng)的制作方法

文檔序號(hào):9732424閱讀:390來(lái)源:國(guó)知局
用于監(jiān)控安全網(wǎng)絡(luò)網(wǎng)關(guān)單元的方法、設(shè)備和系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種用于監(jiān)控網(wǎng)絡(luò)網(wǎng)關(guān)單元的方法、設(shè)備和系統(tǒng)以及計(jì)算機(jī)程序和存儲(chǔ)介質(zhì),所述網(wǎng)絡(luò)網(wǎng)關(guān)單元通過(guò)第一接口接收數(shù)據(jù)包流,相對(duì)于過(guò)濾規(guī)則檢驗(yàn)該數(shù)據(jù)流并且將該數(shù)據(jù)流輸出給第二接口。
【背景技術(shù)】
[0002]安全網(wǎng)絡(luò)網(wǎng)關(guān)單元(例如防火墻(Firewall))被安裝在網(wǎng)絡(luò)邊界上,以便實(shí)現(xiàn)不同程度地關(guān)鍵性的網(wǎng)絡(luò)區(qū)域的受控的耦合。在此,進(jìn)行數(shù)據(jù)業(yè)務(wù)(Datenverkehr)的過(guò)濾,使得只允許通過(guò)容許的數(shù)據(jù)業(yè)務(wù)。在工業(yè)自動(dòng)化系統(tǒng)(諸如在鐵路自動(dòng)化中的信號(hào)塔或者列車(chē)控制裝置)中,在例如制造自動(dòng)化的生產(chǎn)車(chē)間中,或者例如在過(guò)程自動(dòng)化中的精煉廠(chǎng)或者釀造廠(chǎng)中,關(guān)鍵性的自動(dòng)化區(qū)域關(guān)于安全方面與一般的網(wǎng)絡(luò)(例如辦公室網(wǎng)絡(luò))相耦合。為此,采用并且配置安全網(wǎng)關(guān)或防火墻,使得只有被容許的數(shù)據(jù)業(yè)務(wù)可以通過(guò)。
[0003]在此,數(shù)據(jù)流按照可配置的過(guò)濾規(guī)則被過(guò)濾。由于在實(shí)施安全網(wǎng)絡(luò)網(wǎng)關(guān)單元中的錯(cuò)誤或者由于在其配置、尤其是其過(guò)濾規(guī)則中的錯(cuò)誤,或者也由于安全網(wǎng)絡(luò)網(wǎng)關(guān)單元通過(guò)對(duì)該單元本身的攻擊而妥協(xié)(Kompromittieren),存在安全網(wǎng)絡(luò)網(wǎng)關(guān)單元有錯(cuò)誤地工作并且本來(lái)使不容許的數(shù)據(jù)包允許通過(guò)的可能性。
[0004]迄今,安全網(wǎng)絡(luò)網(wǎng)關(guān)單元的可能的不便之處通過(guò)如下方式被減輕:多個(gè)安全網(wǎng)絡(luò)網(wǎng)關(guān)單元(例如多個(gè)防火墻)相繼地被接通。在此,尤其是使用不同制造商的網(wǎng)絡(luò)網(wǎng)關(guān)單元。然而這有缺點(diǎn):延遲或抖動(dòng)(Jitter)由于更長(zhǎng)的處理時(shí)間而增加并且因此對(duì)于實(shí)時(shí)通信的要求不被滿(mǎn)足。
[0005]另一方面,在安全網(wǎng)絡(luò)網(wǎng)關(guān)單元中的過(guò)濾規(guī)則必須不斷地被更新,以便可以保護(hù)、尤其是防御對(duì)(例如通過(guò)病毒或者蠕蟲(chóng)引起的)新的攻擊。在某些工業(yè)自動(dòng)化環(huán)境下,對(duì)完整性適用高要求,使得安全網(wǎng)絡(luò)網(wǎng)關(guān)單元或在其中被實(shí)施的過(guò)濾規(guī)則必須被容許,并且安全網(wǎng)絡(luò)網(wǎng)關(guān)單元的配置或者過(guò)濾規(guī)則或反病毒軟件(Ant1-Viren-Software)的改變或更新是不容許的。此外必須保證:通過(guò)安全網(wǎng)絡(luò)網(wǎng)關(guān)單元到自動(dòng)化網(wǎng)絡(luò)中的數(shù)據(jù)流不被改變,尤其是沒(méi)有額外的數(shù)據(jù)包通過(guò)網(wǎng)絡(luò)網(wǎng)關(guān)單元被饋入到自動(dòng)化網(wǎng)絡(luò)中。
[0006]在DE 10 2011 007 387中,例如安全網(wǎng)絡(luò)網(wǎng)關(guān)單元的自監(jiān)控是公知的。在此,檢驗(yàn)對(duì)于發(fā)出的數(shù)據(jù)包是否已經(jīng)接收到對(duì)應(yīng)的進(jìn)入的數(shù)據(jù)包。由此可以保證:網(wǎng)絡(luò)網(wǎng)關(guān)單元沒(méi)有在功能失誤的情況下自己產(chǎn)生數(shù)據(jù)包。

【發(fā)明內(nèi)容】

[0007]因此,本發(fā)明的任務(wù)是提出一種方法、一種設(shè)備和一種系統(tǒng),所述方法將不容許的數(shù)據(jù)業(yè)務(wù)在轉(zhuǎn)變到安全相關(guān)的(sicherheitsrelevant)數(shù)據(jù)網(wǎng)絡(luò)中的情況下可靠地過(guò)濾并且即使在有錯(cuò)誤的安全網(wǎng)絡(luò)網(wǎng)關(guān)單元的情況下確保在安全相關(guān)的數(shù)據(jù)網(wǎng)絡(luò)中的數(shù)據(jù)完整性。在此,安全網(wǎng)絡(luò)網(wǎng)關(guān)單元的無(wú)反作用應(yīng)該被保證,也就是說(shuō)不允許額外的數(shù)據(jù)包通過(guò)安全網(wǎng)絡(luò)網(wǎng)關(guān)單元被引入到安全網(wǎng)絡(luò)中。
[0008]該任務(wù)由在獨(dú)立權(quán)利要求中所描述的措施來(lái)解決。在從屬權(quán)利要求中,本發(fā)明的有利的擴(kuò)展方案被示出。
[0009]按照本發(fā)明的用于監(jiān)控安全網(wǎng)絡(luò)網(wǎng)關(guān)單元(例如防火墻)的方法包括如下方法步驟:復(fù)制并且耦合輸出(Auskoppeln)在第二接口上的數(shù)據(jù)流;在不容許的數(shù)據(jù)業(yè)務(wù)方面檢驗(yàn)被耦合輸出的數(shù)據(jù)流;如果在數(shù)據(jù)流中識(shí)別出不容許的數(shù)據(jù)業(yè)務(wù),則向安全網(wǎng)絡(luò)網(wǎng)關(guān)單元發(fā)送報(bào)警消息;和如果該報(bào)警消息在安全網(wǎng)絡(luò)網(wǎng)關(guān)單元(23)中被接收到,則通過(guò)該安全網(wǎng)絡(luò)網(wǎng)關(guān)單元限制該數(shù)據(jù)流;其中所述安全網(wǎng)絡(luò)網(wǎng)關(guān)單元通過(guò)第一接口接收數(shù)據(jù)包流、相對(duì)于過(guò)濾規(guī)則檢驗(yàn)該數(shù)據(jù)流并且將該數(shù)據(jù)流輸出給第二接口。
[0010]因?yàn)閿?shù)據(jù)流在位于安全網(wǎng)絡(luò)網(wǎng)關(guān)單元之后并且在安全相關(guān)的數(shù)據(jù)網(wǎng)絡(luò)之內(nèi)的第二接口上被分接,所以安全網(wǎng)絡(luò)網(wǎng)關(guān)單元的功能失誤可以通過(guò)檢驗(yàn)該被過(guò)濾的數(shù)據(jù)流而被識(shí)別出。另一優(yōu)點(diǎn)是,在這種懷疑(Verdacht)的情況下,安全網(wǎng)絡(luò)網(wǎng)關(guān)單元關(guān)于此被通知并且因此可以非常迅速地發(fā)起用于限制數(shù)據(jù)流的措施。在此,因?yàn)樽鳛閺膱?bào)告該懷疑得到的結(jié)果僅僅進(jìn)行通過(guò)安全網(wǎng)絡(luò)網(wǎng)關(guān)單元、尤其是防火墻來(lái)限制數(shù)據(jù)流,所以阻止了將消息引入到安全相關(guān)的數(shù)據(jù)網(wǎng)絡(luò)本身中、也就是到第二接口中。因此,例如有容許義務(wù)的或者被證明的安全網(wǎng)絡(luò)網(wǎng)關(guān)單元通過(guò)被更新的過(guò)濾軟件在監(jiān)控單元中被監(jiān)控,而無(wú)須適配并且由此重新容許或者證明該網(wǎng)絡(luò)網(wǎng)關(guān)單元本身的配置或軟件版本。在指示不容許的數(shù)據(jù)業(yè)務(wù)的情況下,該數(shù)據(jù)業(yè)務(wù)被安全網(wǎng)絡(luò)網(wǎng)關(guān)單元限制。安全網(wǎng)絡(luò)網(wǎng)關(guān)單元可以(也許通過(guò)附加信息)在報(bào)警消息中根據(jù)該附加信息來(lái)采取合適的措施。
[0011]在一個(gè)有利的實(shí)施形式中,按照本發(fā)明的方法包括如下附加的方法步驟:復(fù)制并且耦合輸出在第一接口上的數(shù)據(jù)流;比較在第一接口上的數(shù)據(jù)流與在第二接口上的數(shù)據(jù)流;和如果第二接口的數(shù)據(jù)流區(qū)別于第一接口的數(shù)據(jù)流,則向安全網(wǎng)絡(luò)網(wǎng)關(guān)單元發(fā)送報(bào)警消息。
[0012]這有優(yōu)點(diǎn):也由安全網(wǎng)絡(luò)網(wǎng)關(guān)單元成功地防御的不容許的數(shù)據(jù)業(yè)務(wù)被識(shí)別出。在這種情況下,根據(jù)所做出的預(yù)給定可以配置:進(jìn)行到安全網(wǎng)絡(luò)網(wǎng)關(guān)單元(例如防火墻)的有約束力(restriktiv)的運(yùn)行方式的更換。由此也識(shí)別出,不曾存在于第一接口上的新的數(shù)據(jù)包被引入到安全相關(guān)的數(shù)據(jù)網(wǎng)絡(luò)中,并且數(shù)據(jù)流立即被安全網(wǎng)絡(luò)網(wǎng)關(guān)單元限制。
[0013]在一個(gè)有利的實(shí)施形式中,通過(guò)激活安全網(wǎng)絡(luò)網(wǎng)關(guān)單元的置換過(guò)濾規(guī)則(Ersatz-Filterregeln)來(lái)進(jìn)行數(shù)據(jù)流的限制。因此,用于受限制的運(yùn)行的相協(xié)調(diào)的和例如被容許的過(guò)濾規(guī)則或有約束力的過(guò)濾規(guī)則可以事先被限定并且在懷疑不容許的數(shù)據(jù)進(jìn)入到安全相關(guān)的數(shù)據(jù)網(wǎng)絡(luò)的情況下,這些規(guī)則立即可以被激活。
[0014]因此,在網(wǎng)絡(luò)網(wǎng)關(guān)的盡可能小的停止時(shí)間(Ausfallzeit)的情況下快速避開(kāi)危險(xiǎn)是可執(zhí)行的。
[0015]在一個(gè)有利的實(shí)施形式中,通過(guò)利用受保護(hù)的起動(dòng)軟件重新起動(dòng)安全網(wǎng)絡(luò)網(wǎng)關(guān)單元或者通過(guò)利用置換固件重新起動(dòng)安全網(wǎng)絡(luò)網(wǎng)關(guān)單元或者通過(guò)在防火墻中從活躍的(aktive)虛擬機(jī)更換到置換虛擬機(jī)來(lái)進(jìn)行對(duì)數(shù)據(jù)流的限制。
[0016]通過(guò)重新起動(dòng)安全網(wǎng)絡(luò)網(wǎng)關(guān)單元,在許多情況下可以撤銷(xiāo)在網(wǎng)絡(luò)網(wǎng)關(guān)單元的軟件上的操縱,因?yàn)樵谥匦缕饎?dòng)的情況下該軟件又被轉(zhuǎn)置到最初的原始狀態(tài)下。在嵌入式系統(tǒng)(所謂的Embedded System)的情況下,利用置換固件可以將重新起動(dòng)復(fù)位,所述置換固件或者對(duì)應(yīng)于最初的網(wǎng)絡(luò)網(wǎng)關(guān)單元的原始狀態(tài)或者包括更嚴(yán)格的過(guò)濾規(guī)則。在此,該置換固件可以被存放在只讀存儲(chǔ)器(Read Only Memory)中或者在閃存中,所述只讀存儲(chǔ)器和閃存在防火墻的正常運(yùn)行中是不可修改的。在將安全網(wǎng)絡(luò)網(wǎng)關(guān)單元實(shí)施為虛擬機(jī)的情況下,通過(guò)從活躍的虛擬機(jī)更換到置換虛擬機(jī)可以達(dá)到相對(duì)應(yīng)的效果。在此,在更換期間的停止時(shí)間特別小。因此,到安全相關(guān)的數(shù)據(jù)網(wǎng)絡(luò)中的數(shù)據(jù)業(yè)務(wù)只是很短地被中斷。
[0017]在另一有利的實(shí)施形式中,通過(guò)停用防火墻的第二接口和/或通過(guò)停用防火墻的第一接口來(lái)進(jìn)行對(duì)數(shù)據(jù)流的限制。
[0018]如果第二接口被停用,那么決定性(definitiv)地保證,不可以將其它數(shù)據(jù)滲入到安全網(wǎng)絡(luò)中。由于到達(dá)的數(shù)據(jù)流,過(guò)濾器的溢出或安全網(wǎng)絡(luò)網(wǎng)關(guān)單元的損壞通過(guò)停用網(wǎng)絡(luò)網(wǎng)關(guān)單元的第一接口而被避免。
[0019]在另一有利的實(shí)施形式中,通過(guò)停用安全網(wǎng)絡(luò)網(wǎng)關(guān)單元的供電來(lái)進(jìn)行數(shù)據(jù)流的限制。
[0020]因此,越過(guò)網(wǎng)絡(luò)邊界的數(shù)據(jù)流的物理中斷被保證。該措施有優(yōu)點(diǎn):不管也
當(dāng)前第1頁(yè)1 2 3 4 
網(wǎng)友詢(xún)問(wèn)留言 已有0條留言
  • 還沒(méi)有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1