(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111503386.4 (22)申请日 2021.12.09 (71)申请人 北京威努特技 术有限公司 地址 100085 北京市海淀区上地 三街9号F 座9层907 (72)发明人 赵彦斌　冯全宝　 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/30(2022.01) G06F 21/57(2013.01) (54)发明名称 一种工控防火墙及其配 置文件保护方法 (57)摘要 本发明公开一种工控防火墙及其配置文件 保护方法， 涉及工控安全技术领域。 所述工控防 火墙包括硬件开关、 存储设备、 内存和防护模块； 硬件开关用于控制写保护的开启/关闭， 硬件开 关电连接存储设备， 向存储设备发送写保护开 启/关闭信号； 存储设备用于存储需要保护的配 置文件， 由硬件开关决定存储设备的写保护开 启/关闭； 内存用于存储配置文件和其它防火墙 数据， 若存储设备中配置文件有更新则同步更新 内存中的配置文件； 防护模块用于使用内存中的 配置进行网络防护执行防护操作。 本发明使用软 硬件结合方式有效解决了工业防火墙配置文件 的安全性， 极大的提升了防火墙自身的安全性， 消除了安全隐患。 权利要求书1页 说明书4页 附图2页 CN 114374536 A 2022.04.19 CN 114374536 A 1.一种工控防火墙， 其特 征在于， 包括： 硬件开关、 存 储设备、 内存和防护模块； 硬件开关用于控制写保护的开启/关闭， 硬件开关电连接存储设备， 向存储设备发送写 保护开启/ 关闭信号； 存储设备用于存储需要保护的配置文件， 由硬件开关决定存储设备的 写保护开启/ 关闭； 内存用于存储配置文件和其它防火墙数据， 若存储设备中配置文件有 更 新则同步更新内存中的配置文件； 防护模块用于使用内存中的配置进 行网络防护执行防护 操作。 2.如权利要求1所述的一种工控防火墙， 其特征在于， 若硬件开关开启， 则写保护关闭， 存储设备允许数据写入， 当接 收到外部配置平台发送的更改防护配置请求， 则根据更改防 护配置请求修改存储设备中的配置文件， 配置信息修改成功后， 更改内存中的配置， 由防护 模块根据内存中的配置执 行防护动作。 3.如权利要求1所述的一种工控防火墙， 其特征在于， 若硬件开关关闭， 则写保护开启， 存储设备不允许数据写入， 此时若有恶意修改配置文件的情况发生， 则存储设备 由于开启 开保护， 所以不响应恶意文件修改方的请求； 若需要进 行安全配置文件写入时， 由操作人员 开启硬件开关， 由此保证安全配置文件的正常写入。 4.一种工控防火墙 配置文件保护方法， 其特 征在于， 包括： 第一步、 防火墙设备增加物理开关和支持写保护功能的存储设备， 并通过物理开关控 制存储设备的写保护开启和关闭； 第二步、 写保护开启时， 对配置文件的修改无法写入存储设备， 防火墙按原有配置进行 防护； 第三步、 写保护关闭时， 对配置文件的修改能够写入存储设备， 防火墙按新配置进行防 护。 5.如权利要求4所述的一种工控防火墙配置文件保护方法， 其特征在于， 防火墙在接收 到外部配置修改请求时， 尝试写入存储设备， 判断是否开启存储设备写保护， 如果是， 则 保 存配置到存储设备失败， 不更新内存； 否则 保存配置到存储设备成功， 更新配置到内存； 若 配置更新成功， 则内存中存储的是新的配置文件， 则使用内存中新的配置文件进 行防护， 若 配置更新失败， 则内存中存 储的是原有配置文件， 则使用内存中的原有配置文件进行防护。 6.一种计算机存 储介质， 其特 征在于， 包括： 至少一个存 储器和至少一个处 理器； 存储器用于存 储一个或多个程序指令； 处理器， 用于运行一个或多个程序指令， 用以执行如权利要求4 ‑5任一项所述的一种工 控防火墙 配置文件保护方法。权　利　要　求　书 1/1 页 2 CN 114374536 A 2一种工控防火墙及其配置文件保护方 法 技术领域 [0001]本发明涉及工控安全技术领域， 尤其涉及一种工控防火墙及其配置文件保护方 法。 背景技术 [0002]工控防火墙作为工业现场重要的安全防护设施， 能有效保护内部网络不受侵害。 由于防火墙处于网络边 缘， 因此要求防火墙自身具有非常强的抗 攻击能力。 [0003]配置文件是防火墙执行所有防护动作的依据， 一旦损坏可能会造成设备无法正常 启动、 防护失效甚至执行异常的防护行为， 因此保护配置文件不被恶意修改甚至删除至关 重要。 [0004]现有的工控防火墙系统对配置文件缺少相应的保护措施。 基于此， 本身发明提供 一种工控防火墙 配置文件保护的方法及装置 。 发明内容 [0005]本发明提供了一种工控防火墙， 包括： 硬件开关、 存储设备、 内存和防护模块； 硬件 开关用于控制写保护的开启/关闭， 硬件开关电连接存储设备， 向存储设备发送写保护开 启/关闭信号； 存储设备用于存储需要保护的配置文件， 由硬件开关决定存储设备的写保护 开启/关闭； 内存用于存储配置文件和其它防火墙数据， 若存储设备中配置文件有 更新则同 步更新内存中的配置文件； 防护模块用于使用内存中的配置进行网络防护执 行防护操作。 [0006]如上所述的一种工控防火墙， 其中， 若硬件开关开启， 则写保护关闭， 存储设备允 许数据写入， 当接 收到外部配置平台发送的更改防护配置请求， 则根据更改防护配置请求 修改存储设备中的配置文件， 配置信息修改成功后， 更改内存中的配置， 由防护模块根据内 存中的配置执 行防护动作。 [0007]如上所述的一种工控防火墙， 其中， 若硬件开关关闭， 则写保护开启， 存储设备不 允许数据写入， 此时若有恶意修改配置文件的情况发生， 则存储设备由于开启开保护， 所以 不响应恶意文件修改方的请求； 若需要进行安全配置文件写入时， 由操作人员开启硬件开 关， 由此保证安全配置文件的正常写入。 [0008]本发明还提供一种工控防火墙 配置文件保护方法， 包括： [0009]第一步、 防火墙设备增加物理开关和支持写保护功能的存储设备， 并通过物理开 关控制存 储设备的写保护开启和关闭； [0010]第二步、 写保护开启时， 对配置文件的修改无法写入存储设备， 防火墙按原有配置 进行防护； [0011]第三步、 写保护关闭时， 对配置文件的修改能够写入存储设备， 防火墙按新配置进 行防护。 [0012]如上所述的一种工控防火墙， 其中， 防火墙在接收到外部配置修改请求时， 尝试写 入存储设备， 判断是否开启存储设备写保护， 如果是， 则 保存配置到存储设备失败， 不更新说　明　书 1/4 页 3 CN 114374536 A 3