CN114826631B - 一种变电站防火墙配置方法 - Google Patents
一种变电站防火墙配置方法 Download PDFInfo
- Publication number
- CN114826631B CN114826631B CN202110107279.3A CN202110107279A CN114826631B CN 114826631 B CN114826631 B CN 114826631B CN 202110107279 A CN202110107279 A CN 202110107279A CN 114826631 B CN114826631 B CN 114826631B
- Authority
- CN
- China
- Prior art keywords
- firewall
- network connection
- model
- configuration
- spacer layer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 20
- 125000006850 spacer group Chemical group 0.000 claims abstract description 21
- 238000004891 communication Methods 0.000 claims abstract description 10
- 238000012423 maintenance Methods 0.000 abstract description 5
- 239000010410 layer Substances 0.000 description 15
- 101100513046 Neurospora crassa (strain ATCC 24698 / 74-OR23-1A / CBS 708.71 / DSM 1257 / FGSC 987) eth-1 gene Proteins 0.000 description 4
- 230000008676 import Effects 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 239000011229 interlayer Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种变电站防火墙配置方法。步骤1,将变电站的SCD模型导入防火墙;步骤2,通过匹配SCD模型中的Communication标签及其子标签属性获得间隔层设备模型;步骤3,将防火墙以全通策略方式接入网络并对流量进行嗅探,从流量中提取网络连接属性;步骤4,对步骤3中提取的网络连接属性与间隔层设备模型特性进行匹配,匹配成功的网络连接则添加进入白名单配置;步骤5,对剩余的网络连接进行人工审核,并将审核通过的网络连接添加进入白名单配置。这种配置方法减少了现场的配置工作,提高了变电站运维管理的效率和安全性。
Description
技术领域
本发明涉及一种变电站防火墙配置方法。
背景技术
变电站中防火墙通常连接在安全I区和安全II区之间作为逻辑隔离。现场防火墙中需要配置I区和II区站控层设备对间隔层设备的访问控制权限。由于现场间隔层的设备较多,配置的时候需要添加较多的安全策略,或直接对IEC61850的服务做全通策略处理,现场配置工作比较复杂,现场工作的效率或安全性受到了影响。
为了解决上述问题,考虑到变电站中有全站的模型的SCD文件,提出了一种变电站防火墙配置方法。通过对SCD模型中间隔层装置的IP地址和iedName的提取,并匹配防火墙的流量信息,获得防火墙的白名单配置,提高了变电站运维管理的效率和安全性。
发明内容
本申请的目的是,提供一种变电站防火墙配置方法,以解决现有现场配置复杂或安全性不足的问题,进一步提高变电站运维管理的效率和安全性。
为了达成上述目的,本申请采用如下技术方案:
一种变电站防火墙配置方法,包括如下步骤:
步骤1,将变电站的SCD模型导入防火墙;
步骤2,通过匹配SCD模型中的Communication标签及其子标签属性获得间隔层设备模型;
步骤3,将防火墙以全通策略方式接入网络并对流量进行嗅探,从流量中提取网络连接属性;
步骤4,对步骤3中提取的网络连接属性与间隔层设备模型特性进行匹配,匹配成功的网络连接则添加进入白名单配置;
步骤5,对剩余的网络连接进行人工审核,并将审核通过的网络连接添加进入白名单配置。
优选的,步骤1中,变电站的SCD模型包含了全站需要通过IEC61850通信的装置的模型。
优选的,所述导入防火墙的方式包括:通过防火墙的web配置界面导入,或者是将SCD模型拷贝在移动存储器中通过装置的USB接口导入装置固定目录。
优选的,步骤2具体包括:通过匹配Communication标签下,SubNetwork标签中属性为“8-MMS”且ConnectedAP标签中apName属性为“S1”的装置来获得间隔层设备模型。
优选的,步骤3中从流量中提取的网络连接属性包括:源IP地址、源端口、目的IP地址、目的端口、协议类型、流量入接口和流量出接口;对于源端口或目的端口为102的,提取的网络连接属性还需要包含iedName。
优选的,所述步骤4的中的具体匹配方法为:对源端口或目的端口为102的连接,匹配其协议类型是否为TCP,服务端IP地址是否为间隔层设备IP地址,iedName是否为该IP地址对应间隔层设备的iedName;若以上全部匹配成功,则形成一条白名单配置。
优选的,所述步骤5中的剩余的网络连接包括:未能在步骤4中进行匹配以及未匹配成功的网络连接。
本发明的有益效果是:本发明能够减少现场的配置工作,提高了变电站运维管理的效率和安全性。
附图说明
图1是本申请实施例提供的一种变电站防火墙配置方法逻辑框图。
具体实施方式
下面结合附图和具体的实施例对本发明技术方案作进一步的详细描述,以使本领域的技术人员可以更好的理解本发明并能予以实施,但所举实施例不作为对本发明的限定。
本申请中的相关技术用语解释如下:
SCD(substation configuration description)变电站配置描述
Communication通信
SubNetwork子网
ConnectedAP(Connected AccessPoint)连接的访问点
iedName智能电子设备名称
apName(access point name)访问点名称
本申请的一种变电站防火墙配置方法实施例,如图1所示,包括如下步骤:
S100,将变电站的SCD模型导入防火墙。
这里的SCD模型包含了全站需要通过IEC61850通信的装置的模型。导入方法可以选择通过防火墙的web配置界面导入,或将SCD模型拷贝在移动存储器中通过装置的USB接口导入装置固定目录。
S200,通过匹配SCD模型中的Communication标签及其子标签属性获得间隔层设备模型。
SCD模型为标准的XML格式,通过匹配Communication标签下,SubNetwork标签中属性为“8-MMS”且ConnectedAP标签中apName属性为“S1”的装置来获得间隔层设备模型,设备模型中至少包含了设备的IP,iedName。
根据IEC61850标准,子网协议类型中对于采用MMS通信的协议用8-MMS,访问点名称采用S1。
SCD实例中相关内容举例如下:
可以看到第一台装置就是符合要求的间隔层设备模型,IP为172.120.35.7,iedName为CT2203。依此类推,将下面符合要求的装置参数全部提取出来。
S300,将防火墙以全通策略方式接入网络并对流量进行嗅探,从流量中提取网络连接属性;
从网络流量中提取的网络连接包含如下属性:源IP地址,源端口,目的IP地址,目的端口,协议类型,流量入接口,流量出接口。对于源端口或目的端口为102的,还需要包含iedName。其中,TCP协议的102端口代表61850服务。
例如此时防火墙获得了两个连接对:
(1)源IP地址172.120.35.100,源端口56784,目的IP地址172.120.35.7,目的端口102,协议类型TCP,流量入接口eth0,流量出接口eth1。由于源端口或目的端口为102,通过分析报文获取到iedName为CT2203。
(2)源IP地址172.120.35.101,源端口35476,目的IP地址172.120.35.2,目的端口123,协议类型UDP,流量入接口eth0,流量出接口eth1。
S400,对步骤S300中提取的网络连接属性与间隔层设备模型特性进行匹配,匹配成功的网络连接则添加进入白名单配置。
间隔层设备模型特性匹配是指对源端口或目的端口为102的连接,匹配其协议类型是否为TCP,服务端IP地址是否为间隔层设备IP地址,iedName是否为该IP地址对应间隔层设备的iedName。若以上全部匹配成功,则形成一条白名单配置。可选的,此白名单配置也可以通过人工审核进行进一步的确认。
根据上例生成白名单配置一条:源IP地址172.120.35.100,源端口任意,目的IP地址172.120.35.7,目的端口102,协议类型TCP,流量入接口eth0,流量出接口eth1。
S500,对剩余的网络连接进行人工审核,并将审核通过的网络连接添加进入白名单配置。
对未能在步骤S400中进行匹配以及未匹配成功的网络连接进行人工审核并形成白名单配置。注意此处对于步骤S400中仅iedName无法匹配的连接,可以发现站内SCD或装置配置存在的问题。
对上例中的第二个连接对人工审核,若通过审核,则生成白名单配置:源IP地址172.120.35.101,源端口任意,目的IP地址172.120.35.2,目的端口123,协议类型UDP,流量入接口eth0,流量出接口eth1。
本发明能够减少现场的配置工作,提高了变电站运维管理的效率和安全性。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或者等效流程变换,或者直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (3)
1.一种变电站防火墙配置方法,其特征在于,包括如下步骤:
步骤1,将变电站的SCD模型导入防火墙;
步骤2,通过匹配SCD模型中的Communication标签及其子标签属性获得间隔层设备模型;具体包括:通过匹配Communication标签下,SubNetwork标签中属性为“8-MMS”且ConnectedAP标签中apName属性为“S1”的装置来获得间隔层设备模型;
步骤3,将防火墙以全通策略方式接入网络并对流量进行嗅探,从流量中提取网络连接属性;从流量中提取的网络连接属性包括:源IP地址、源端口、目的IP地址、目的端口、协议类型、流量入接口和流量出接口;对于源端口或目的端口为102的,提取的网络连接属性还需要包含iedName;
步骤4,对步骤3中提取的网络连接属性与间隔层设备模型特性进行匹配,匹配成功的网络连接则添加进入白名单配置;具体包括:对源端口或目的端口为102的连接,匹配其协议类型是否为TCP,服务端IP地址是否为间隔层设备IP地址,iedName是否为该IP地址对应间隔层设备的iedName;若以上全部匹配成功,则形成一条白名单配置;
步骤5,对剩余的网络连接进行人工审核,并将审核通过的网络连接添加进入白名单配置;所述剩余的网络连接包括:未能在步骤4中进行匹配以及未匹配成功的网络连接。
2.根据权利要求1所述的一种变电站防火墙配置方法,其特征在于,步骤1中,变电站的SCD模型包含了全站需要通过IEC61850通信的装置的模型。
3.根据权利要求1所述的一种变电站防火墙配置方法,其特征在于,所述导入防火墙的方式包括:通过防火墙的web配置界面导入,或者是将SCD模型拷贝在移动存储器中通过装置的USB接口导入装置固定目录。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110107279.3A CN114826631B (zh) | 2021-01-27 | 2021-01-27 | 一种变电站防火墙配置方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110107279.3A CN114826631B (zh) | 2021-01-27 | 2021-01-27 | 一种变电站防火墙配置方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114826631A CN114826631A (zh) | 2022-07-29 |
| CN114826631B true CN114826631B (zh) | 2024-03-15 |
Family
ID=82524247
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110107279.3A Active CN114826631B (zh) | 2021-01-27 | 2021-01-27 | 一种变电站防火墙配置方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114826631B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104867058A (zh) * | 2015-05-22 | 2015-08-26 | 国网四川省电力公司技能培训中心 | 智能变电站scd文件的ied可视化方法 |
| CN106982235A (zh) * | 2017-06-08 | 2017-07-25 | 江苏省电力试验研究院有限公司 | 一种基于iec 61850的电力工业控制网络入侵检测方法及*** |
| CN109450094A (zh) * | 2018-11-29 | 2019-03-08 | 国网安徽省电力有限公司合肥供电公司 | 一种变电站继电保护巡检方法及*** |
| CN110535236A (zh) * | 2019-07-24 | 2019-12-03 | 深圳供电局有限公司 | 一种智能变电站间隔层模拟自验收***及方法 |
| CN111934274A (zh) * | 2020-08-13 | 2020-11-13 | 中国南方电网有限责任公司超高压输电公司柳州局 | 一种智能变电站保护定值智能下装方法 |
-
2021
- 2021-01-27 CN CN202110107279.3A patent/CN114826631B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104867058A (zh) * | 2015-05-22 | 2015-08-26 | 国网四川省电力公司技能培训中心 | 智能变电站scd文件的ied可视化方法 |
| CN106982235A (zh) * | 2017-06-08 | 2017-07-25 | 江苏省电力试验研究院有限公司 | 一种基于iec 61850的电力工业控制网络入侵检测方法及*** |
| CN109450094A (zh) * | 2018-11-29 | 2019-03-08 | 国网安徽省电力有限公司合肥供电公司 | 一种变电站继电保护巡检方法及*** |
| CN110535236A (zh) * | 2019-07-24 | 2019-12-03 | 深圳供电局有限公司 | 一种智能变电站间隔层模拟自验收***及方法 |
| CN111934274A (zh) * | 2020-08-13 | 2020-11-13 | 中国南方电网有限责任公司超高压输电公司柳州局 | 一种智能变电站保护定值智能下装方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114826631A (zh) | 2022-07-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111262859B (zh) | 一种物联智能终端自适应接入泛在电力物联网的方法 | |
| Bartal et al. | Firmato: A novel firewall management toolkit | |
| CN101022340B (zh) | 实现城域以太网交换机接入安全的智能控制方法 | |
| CN100596069C (zh) | 家庭网关中IPSec安全策略的自动配置***和方法 | |
| CN112261067A (zh) | 一种多级单包授权的方法及*** | |
| CN102055645A (zh) | 一种接入网络中ip业务数据流自动分类的方法及其装置 | |
| US20050160165A1 (en) | Network management using short message service | |
| CN101094104A (zh) | 一种通过安全网管代理进行设备管理的方法及其装置 | |
| CN106302371A (zh) | 一种基于用户业务***的防火墙控制方法和*** | |
| CN1759558A (zh) | 利用公共验证服务器的无线局域网访问控制中的身份映射机制 | |
| CN104539600B (zh) | 一种支持过滤iec104协议的工控防火墙实现方法 | |
| CN103067531B (zh) | 一种公网ip地址资源管理分配方法 | |
| CN114143788B (zh) | 一种基于msisdn实现5g专网认证控制的方法和*** | |
| CN1905504A (zh) | 无线局域网中实现基于wapi体制的虚拟局域网的方法 | |
| CN1458761A (zh) | 一种宽带网络接入方法 | |
| CN101160916A (zh) | Ppp接入终端实现自动业务发放的方法及*** | |
| CN104994061A (zh) | 智能变电站过程层交换机mms安全通信的装置及方法 | |
| CN114826631B (zh) | 一种变电站防火墙配置方法 | |
| CN102045131B (zh) | 一种业务联动控制***和方法 | |
| CN108848198A (zh) | 一种多业务转发模式AP的Portal差异化推送方法 | |
| CN1878294A (zh) | 网络互动电视漫游用户的可控组播管理方法 | |
| CN109167774B (zh) | 一种数据报文及在防火墙上的数据流安全互访方法 | |
| CN101136771B (zh) | 远程维护台访问操作维护模块服务器的方法 | |
| CN104901856A (zh) | 一对多的PPPoE代理的上网控制方法及*** | |
| CN110868370B (zh) | 用于变电站通信的方法、装置以及计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |