[go: up one dir, main page]

TWI243555B - Apparatus and method of firewall - Google Patents

Apparatus and method of firewall Download PDF

Info

Publication number
TWI243555B
TWI243555B TW092118774A TW92118774A TWI243555B TW I243555 B TWI243555 B TW I243555B TW 092118774 A TW092118774 A TW 092118774A TW 92118774 A TW92118774 A TW 92118774A TW I243555 B TWI243555 B TW I243555B
Authority
TW
Taiwan
Prior art keywords
firewall
command
database
scope
patent application
Prior art date
Application number
TW092118774A
Other languages
English (en)
Other versions
TW200503469A (en
Inventor
Xing-Yu Zhou
Tang He
Original Assignee
Hon Hai Prec Ind Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hon Hai Prec Ind Co Ltd filed Critical Hon Hai Prec Ind Co Ltd
Priority to TW092118774A priority Critical patent/TWI243555B/zh
Priority to US10/837,482 priority patent/US20050010822A1/en
Publication of TW200503469A publication Critical patent/TW200503469A/zh
Application granted granted Critical
Publication of TWI243555B publication Critical patent/TWI243555B/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

1243555 屬之技術領域】 明係關於一種防火牆裝置,尤指一種用於網路設 裝置 五、發明說明( 【發明所 本發 備上之防 【先前技 防火 或系統組 可分為硬 網路通信 網路遭受 還可以禁 問,從而 目前 或安全性 號,其係 卡器四部 間,安全 管理器進 理器要對 須向讀卡 入配置狀 配置前須 雜度和對 【發明内 本發 火难 術】 牆是一種增 合,是一個 體防火墙和 進行掃描’ 破壞,防火 止特定端口 防止來自不 之防火墙大 能不南等缺 由分組師檢 分組成,分 控制器位於 行隔離保護 防火牆中涉 器口插入安 態,由於其 插入安全卡 該防火墙爹 容】 明之目的•係 強兩個或者多 網路與其他網 軟體防火墙, 並過濾掉一些 牆還可以關閉 的通信及禁止 明入侵者的所 多存在系統結 失,如中國專 程式、安全控 組師檢程式位 系統管理器和 ,讀卡器與系 及網路安全控 全卡,並輸入 增設了讀卡器 及輸入P I N碼, 數配置的操作 個網路之間邊界的系統 路之間的受控訪問點, 其能夠對流經它的所有 攻擊性操作,以免目標 不常使用的端口 ,而且 來自某些特殊站點的# 有通信。 構複雜、設置方法繁瑣 利申請第9 7 1 1 5 1 2 1 · 0 制器、系統管理器和讀 於Intranet與路由器之 I n t r a n e t之間,對系統 統管理器相連,系_統_管 制參數進行配置時,必 正確的P I N碼,才能進 且在對防火墙參數進行 從而增加了系統的複 難度。 提供一種防火牆裝置及能夠方便設置
1243555
五、發明說明(2) 該防火牆' 之配置參數的方法。 本發明提供一種防火墙t置’其包括防火墙硬體纟士構 和防火墙軟體系統,其中該防火墙硬體結構至少包括三個 網路端口 ,其分別為一四埠區域網端口、—廣域網端口和 一 DMZ (Demilitarized Zone)端口 ,其中該區域網端口 用於連結内部的區域網路’該廣域網端口用於連结外部白勺 廣域網路,該DMZ端口用於連結外部的DMZ架構防火墙之網 路。該防火墙軟體系統至少包括一命令行介面、一 WEB管 理介面、一設置管理模組、一 L 1 b共用資料庫和一工具管 理模組,其中該命令行介面和WEB管理介面係用於提供_ 用戶一種設置防火墙配置參數之管理介面,該設置管理模 組用於動態的向L i b共用資料庫中載入命令文件,而該L 土 b 共用資料庫進一步包括Access、Nat、If及ρ0〇ι四個子資 料庫,其中該Access子資料庫用於存儲訪問列表和訪問規 則,該Nat子資料庫用於存儲NAT (Network Address Trans 1 at i on )規則,該I f子資料庫用於存儲系統介面資 訊,該Pool子資料庫用於存儲NAT池列表(以了?001^_ — L I S T )。上述防火墙軟體系統中之工具管理模組係一種集 成於Linux内核中的IP資訊包過濾系統,其包含有内核空 間組件和用戶空間組件,其中,該内核空間組件是内核的 一部分,由一些資訊包過濾表組成,這些表包含内核用來 控制資訊包過濾處理的規則集,而用戶空間組件則是一種 工具,它使插入、修改和除去資訊包過濾表中的規則變得 容易,通過使用用•戶空間,可以方便的構建自己的定制規
1243555 五、發明說明(3) 貝1,並將這些規則存儲在内核空間的資訊包過濾表中。 本發明另提供一種防火墙裝置設置方法,用戶首先通 過命令行介面或W E B管理介面向系統輸入命令,由其將命 令提交給設置管理模組,然後該設置管理模組則會啟動通 訊呼叫功能與L i b共用資料庫建立聯係,將命令送往L 1 b共 用資料庫,此後,L i b共用資料庫系統會檢查該命令是否 合法,不合法則返回並顯示出錯資訊,如命令合法該系統 則會預處理那些合法的命令,以剔除其中的冗餘字符(例 如TAB鍵和空格鍵),而後編譯這些的命令並提交給工具 管理模組,由其開啟L 1 b共用資料庫中需要修改設置的子 資料庫,並對存儲在該子資料庫中的規則和列表進行修 改,當完成該修改過程後存檔並關閉該子資料庫,最後系 統將資料庫修改結果返回給用戶以完成對該防火墙裝置的 設置。 由於採用了上述技術方案,本發明防火墙裝置具有安 全性能高,系統架構簡單且設置方便之功效。 【實施方式】 本發明防火墙裝置包括防火墙硬體結構和防火墙軟體 系統,請參閱第一圖,係本發明防火墙裝置之硬體結構示 意圖。該防火墙硬體結構至少包括三個網路端口,其分別 為一四埠區域網端口 1 2、一廣域網端口 1 4和一 D Μ Z (Demilitarized Zone)端口16,其中該區域網端口12用 於連結内部的區域網路,該廣域網端口 1 4用於連結外部的 廣域網路,該DMZ端口 1 6用於連結外部的DMZ架構防火墙之
第9頁 1243555 五、發明說明(4) 網路。 請參閱第二圖,係本發明防火墙裝置之軟體系統示意 圖。3亥防火墙軟體系統至少包括一命令行介面2 1、一 ^ e B 管理介面22、一設置管理模組23、一Lib共用資料庫24和 一工具管理模組25,其中該命令行介面21和WEB管理介面 2 2係用於提供給用戶一種設置防火墙配置參數之管理介 面’該設置管理模組2 3用於動態的向l i b共用資料庫2 4中 載入命令文件,而該Lib共用資料庫24進一步包括Access 子資料庫241、Nat子資料庫242、If子資料庫243及Pool子 資料庫2 4 4,其中該A c c e s s子資料庫2 4 1 i用於存儲訪問列表 和訪問規則,該Nat子資料庫242用於存儲NAT (Network Address Translation )規則,該I f子資料庫243用於存儲 系統介面資訊,該Ρ ο 〇 1子資料庫2 4 4用於存儲N A T池列表 (N A T P 0 0 L L I S T )。上述防火墙軟體系統中之工具管理 模組2 5係一種集成於L 1 nux内核中的I P資訊包過濾系統, 其包含有内核空間組件2 5 1和用戶空間組件2 5 2,其中,該 内核空間組件2 5 1是内核的一部分,由一些資訊包過歲表 組成,這些表包含内核用來控制資訊包過濾處理的規則 集,而用戶空間組件2 5 2則是一種工具,它使插入、修改 和除去資訊包過濾表中的規則變得容易,通過使用用戶空 間,可以方便的構建自己的定制規則,並將這些規則存儲 在内核空間的資訊包過濾表中。 請參閱第三圖,係本發明防火墙裝置之設置方法流程 圖。首先,用戶通,過命令行介面21或WEB管理介面22向系
1243555 五、發明說明(5) 杈組25 (步驟16〇),由其開啟Llb共用資料庫24 設置的子資料庫’並對存儲在該子資料庫中的 進行修改(步驟17。),當完成該修改過程後 =果返回給用戶(步驟190)以完成對該防火墙裝置 的5又置。 綜上所述,本發明符合發明專利要件,^ 4:\\ * ^ ^ w > 茭依法提出專 利申岣。惟,以上所述者僅為本發明之較佳每 ^寻 依據本發明精神所為之各種修飾變化,仍靡 # ,大-凡 申請專利範圍内。 w ^盍於以下之
統輸入命令(步驟1〇〇),由其將命令提交給設置管理模 組23 (步驟11〇 ),然後該設置管理模組23則會啟動通訊 呼叫功能與L i b共用資料庫2 4建立聯令送彺該共 用資料庫24(步驟120),此後,該H將用Y料庫系統24 會檢查該命令是否合法(步驟丨3〇 ),不合法則返回並顯 不出錯貝矾(步驟1 4 0 ),如命令合法則該系統會預處理 那二α法的命令(步驟1 5 0 ),以剔除其中的冗餘字符 (==ΤΑΒ鍵和空格鍵),而後編譯這些的命令並提交給
1243555 圖式簡單說明 【圖式簡單說明】 第一圖係本發明防火墙裝置之硬體結構示意圖。 第二圖係本發明防火墙裝置之軟體系統示意圖。 第三圖係本發明防火墙裝置之設置方法流程圖。 【主要元件標號】
第12頁 四埠區域網端口 12 廣域網端口 14 DMZ 端口 16 命令行介面 21 WEB管理介面 22 設置管理模組 23 L i b共用貢料庫 24 Access子資料庫 241 Nat子資料庫 242 I f子資料庫 243 Pool子資料庫 244 工具管理模組 25 内核空間組件 251 用戶空間組件 252

Claims (1)

1243555 々、申請專利範圍 1 . 一種防火墙裝置,其包括: 一防火墙硬體結構,其中該防火墙硬體結構至少包括三 個網路端口; 一防火墙軟體系統,其中該防火墙軟體系統至少包括 有: 一命令行介面,其用於提供給用戶一種設置防火墙配 置參數之管理介面; 一 WEB管理介面,其用於提供給用戶一種設置防火墙 配置參數之管理介面; 一共用資料庫;I 一設置管理模組,其用於動態的向該共用資料庫中載 入命令文件;及 一工具管理模組,其係一種集成於Linux内核中的IP 資訊包過濾、系統。 2. 如申請專利範圍第1項所述之防火墙裝置,其中該網路 端口為一四埠的區域網端口 ,其用於連結内部的區域網 路。 - 一 3. 如申請專利範圍第1項所述之防火墙裝置,其中該網路 端口為一廣域網端口,其用於連結外部的廣域網路。 4. 如申請專利範圍第1項所述之防火墙裝置,其中該網路 端口為一 D Μ Z端口 ,其用於連結外部的D Μ Z架構防火墙之 網路。 5. 如申請專利範圍第1項所述之防火墙裝置,其中該共用 資料庫進一步包•括一第一子資料庫,其用於存儲訪問列
第13頁 1243555 六、申請專利範圍 表和訪問規則。 6. 如申請專利範圍第1項所述之防火墙裝置,其中該共用 資料庫進一步包括一第二子資料庫,其用於存儲iNAT規 則。 7. 如申請專利範圍第1項所述之防火墙裝置,其中該共用 資料庫進一步包括一第三子資料庫,其用於存儲系統介 面資訊。 8. 如申請專利範圍第1項所述之防火墙裝置,其中該共用 資料庫進一步包括一第四子資料庫,其用於存儲NAT池 列表。 I 9. 如申請專利範圍第1項所述之防火墙裝置,其中該工具 管理模組進一步包括一内核空間組件,其係由一些資訊 包過濾、表組成,而該等資訊包過濾、表則包含有内核用來 控制貢訊包過滤·處理的規則集。 1 0.如申請專利範圍第1項所述之防火墙裝置,其中該工具 管理模組進一步包括一用戶空間組件,其係一種用來修 改或刪除資訊包過濾表中規則的工具。 1 1. 一種防火墙設置方法,其包括有以下步驟: 用戶通過命令行介面或WEB管理介面向系統輸入命令; 命令行介面或WEB管理介面將命令提交給設置管理模 組; 設置管理模組啟動通訊呼叫功能與共用資料庫建立聯係 並將命令送往該共用資料庫; 該共用資料庫系·統檢查命令是否合法,如命令不合法則
第14頁 1243555 六、申請專利範圍 返回並顯示出錯資訊,如命令合法該系統則預處理該 等合法命令; 系統編譯該等合法命令並提交給工具管理模組; 該工具管理模組開啟共用資料庫中需要修改設置的子資 料庫,並對存儲在該子資料庫中的規則和列表進行修 改; 完成該修改過程後存檔並關閉該子資料庫; 系統將資料庫修改結果返回給用戶。 1 2.如申請專利範圍第1 1項所述之防火墙設置方法,其中 系統在預處理該等合法命令時會剔除該等命令中之冗餘 字符。
第15頁
TW092118774A 2003-07-09 2003-07-09 Apparatus and method of firewall TWI243555B (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
TW092118774A TWI243555B (en) 2003-07-09 2003-07-09 Apparatus and method of firewall
US10/837,482 US20050010822A1 (en) 2003-07-09 2004-04-29 Firewall and method for configuring same

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW092118774A TWI243555B (en) 2003-07-09 2003-07-09 Apparatus and method of firewall

Publications (2)

Publication Number Publication Date
TW200503469A TW200503469A (en) 2005-01-16
TWI243555B true TWI243555B (en) 2005-11-11

Family

ID=33563309

Family Applications (1)

Application Number Title Priority Date Filing Date
TW092118774A TWI243555B (en) 2003-07-09 2003-07-09 Apparatus and method of firewall

Country Status (2)

Country Link
US (1) US20050010822A1 (zh)
TW (1) TWI243555B (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7903585B2 (en) * 2006-02-15 2011-03-08 Cisco Technology, Inc. Topology discovery of a private network
CN102932377B (zh) * 2012-11-28 2015-05-06 成都卫士通信息产业股份有限公司 一种ip报文过滤方法及装置
CN105591863B (zh) * 2014-10-20 2019-11-26 中兴通讯股份有限公司 一种实现虚拟私有云网络与外部网络互通的方法和装置
CN106789756A (zh) * 2016-12-26 2017-05-31 腾讯科技(深圳)有限公司 一种基于操作系统内核网桥的数据发送方法和装置
US11023255B2 (en) * 2018-11-26 2021-06-01 Sap Se Declarative technical configuration composer for integration setup
US12155621B2 (en) 2020-12-21 2024-11-26 Oracle International Corporation Network address translation between networks
CN114301619B (zh) * 2021-11-16 2024-01-30 北京威努特技术有限公司 一种无硬件管理口工控防火墙及其模拟管理口实现方法

Family Cites Families (35)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA1279861C (en) * 1986-05-12 1991-02-05 Karl T. Chuang Catalyst assembly
US4892664A (en) * 1987-07-28 1990-01-09 Groundwater Technology, Inc. Decontamination of sites where organic compound contaminants endanger the water supply
US5332563A (en) * 1988-10-24 1994-07-26 The Regents Of The University Of California Yellow phosphorus process to convert toxic chemicals to non-toxic products
US5637198A (en) * 1990-07-19 1997-06-10 Thermo Power Corporation Volatile organic compound and chlorinated volatile organic compound reduction methods and high efficiency apparatus
US5198000A (en) * 1990-09-10 1993-03-30 The University Of Connecticut Method and apparatus for removing gas phase organic contaminants
US5389267A (en) * 1991-05-10 1995-02-14 The Board Of Trustees Of The Leland Stanford Junior University In-situ vapor stripping for removing volatile organic compounds from groundwater
US5180503A (en) * 1991-05-10 1993-01-19 The Board Of Trustees Of The Leland Stanford Junior University In-situ vapor stripping for removing volatile organic compounds from groundwater
US5171334A (en) * 1991-07-08 1992-12-15 Kabis Thomas W Diffused air stripping system
US5190668A (en) * 1991-09-30 1993-03-02 Chuang Karl T Method for the removal of volatile organic compounds from water
US5531865A (en) * 1992-08-19 1996-07-02 Cole; Leland G. Electrolytic water purification process
CA2094977C (en) * 1993-04-27 2006-09-19 Walter P. Lucas Catalytic/thermal convertor unit
US6165253A (en) * 1994-05-23 2000-12-26 New Jersey Institute Of Technology Apparatus for removal of volatile organic compounds from gaseous mixtures
US5714379A (en) * 1995-02-01 1998-02-03 National Water Research Inst. Biodegradation of volatile organic contaminants from air using biologically activated foam
US6827861B2 (en) * 1995-05-05 2004-12-07 William B. Kerfoot Gas-gas-water treatment system for groundwater and soil remediation
MX9602147A (es) * 1995-07-31 1997-08-30 Ransburg Corp Metodo para la reduccion de cov y camara de aplicacion de pintura en aerosol que incorpora este metodo.
US5914091A (en) * 1996-02-15 1999-06-22 Atmi Ecosys Corp. Point-of-use catalytic oxidation apparatus and method for treatment of voc-containing gas streams
US5851948A (en) * 1996-08-20 1998-12-22 Hydrocarbon Technologies, Inc. Supported catalyst and process for catalytic oxidation of volatile organic compounds
CA2196478C (en) * 1997-01-31 2003-01-28 Takeshi Matsuura Membrane composition and method of preparation
US6194197B1 (en) * 1997-03-14 2001-02-27 The State Of Oregon Acting By And Through The State Board Of Higher Education On Behalf Of Oregon State University Bioremediation of xenobiotics including methyl tert-butyl ether
US6193504B1 (en) * 1997-04-01 2001-02-27 Engelhard Corporation Portable rotary catalytic oxidizer systems
US6212558B1 (en) * 1997-04-25 2001-04-03 Anand K. Antur Method and apparatus for configuring and managing firewalls and security devices
US5968176A (en) * 1997-05-29 1999-10-19 3Com Corporation Multilayer firewall system
US6117335A (en) * 1998-02-23 2000-09-12 New Star Lasers, Inc. Decontamination of water by photolytic oxidation/reduction utilizing near blackbody radiation
US6033638A (en) * 1998-03-20 2000-03-07 Campbell; Larry E. Sequential adsorptive capture and catalytic oxidation of volatile organic compounds in a reactor bed
US6617588B1 (en) * 1998-04-08 2003-09-09 Idaho State University Photosonolysis for decomposition of toxics in water
US6197197B1 (en) * 1998-04-23 2001-03-06 Dialysis Systems, Inc. Method for fluid delivery in a dialysis clinic
US6442588B1 (en) * 1998-08-20 2002-08-27 At&T Corp. Method of administering a dynamic filtering firewall
US6197206B1 (en) * 1998-09-17 2001-03-06 Eric M. Wasinger Process and apparatus for purifying methyl tert-butyl ether contaminated water
CA2287258C (en) * 1998-10-22 2004-08-10 At&T Corp. System and method for demand-driven loading of rules in a firewall
US6365397B1 (en) * 1999-11-12 2002-04-02 Shell Oil Company Bacterial culture which degrades methyl-tert-butyl ether to carbon dioxide
US6463474B1 (en) * 1999-07-02 2002-10-08 Cisco Technology, Inc. Local authentication of a client at a network device
US6458741B1 (en) * 1999-12-20 2002-10-01 Eltron Research, Inc. Catalysts for low-temperature destruction of volatile organic compounds in air
TW590789B (en) * 2001-09-14 2004-06-11 Ind Tech Res Inst Method of treating an air stream containing VOCs
US7822970B2 (en) * 2001-10-24 2010-10-26 Microsoft Corporation Method and apparatus for regulating access to a computer via a computer network
US20030129735A1 (en) * 2002-01-08 2003-07-10 Moorhead Elliot I. Biocatalytic method for remediation of soil, water and air.

Also Published As

Publication number Publication date
TW200503469A (en) 2005-01-16
US20050010822A1 (en) 2005-01-13

Similar Documents

Publication Publication Date Title
CN101083607B (zh) 一种用于内外网络隔离的因特网访问服务器及其处理方法
US8065719B2 (en) Method and apparatus for reducing firewall rules
CN104158767B (zh) 一种网络准入装置及方法
CN105049412B (zh) 一种不同网络间数据安全交换方法、装置及设备
US7107612B1 (en) Method, apparatus and computer program product for a network firewall
CN101754221A (zh) 异构系统间的数据传输方法及数据传输系统
DE69731965D1 (de) Zugriff auf rechnerbetriebsmittel von aussen durch eine firewall
CN107920110A (zh) 一种数据共享的方法及装置
CN109474936A (zh) 应用于多个lora网关之间的物联网通讯方法及系统
TWI243555B (en) Apparatus and method of firewall
US20140208406A1 (en) Two-factor authentication
CN107707435A (zh) 一种报文处理方法和装置
CN111709014A (zh) 一种应用隔离方法、系统、设备及计算机可读存储介质
CN115941224A (zh) 一种网络访问信息管理方法、装置和计算机可读存储介质
CN105827648A (zh) 基于ip-mac实名绑定的网络准入控制系统及控制方法
CN101534218B (zh) 一种开放应用架构的管理方法、装置和系统
CN100574284C (zh) 一种分布式路由器系统的操作控制方法
WO2007138068A1 (en) A type of management method and device for network equipment
CN109815646A (zh) 代码管理方法及装置
CN105744010A (zh) 一种网络地址转换与访问控制列表规则聚合方法和装置
CN109756520A (zh) 动态访问控制方法、设备及计算机可读存储介质
CN1567333A (zh) 防火墙装置及其设置方法
CN113839933B (zh) 一种利用安全组解决多网卡流量的方法
CN113852697B (zh) 一种sdp终端流量代理方法、装置、设备及存储介质
CN108259420B (zh) 一种报文处理方法及装置

Legal Events

Date Code Title Description
MM4A Annulment or lapse of patent due to non-payment of fees