SE520393C2 - Method of communication through firewall - Google Patents
Method of communication through firewallInfo
- Publication number
- SE520393C2 SE520393C2 SE0101008A SE0101008A SE520393C2 SE 520393 C2 SE520393 C2 SE 520393C2 SE 0101008 A SE0101008 A SE 0101008A SE 0101008 A SE0101008 A SE 0101008A SE 520393 C2 SE520393 C2 SE 520393C2
- Authority
- SE
- Sweden
- Prior art keywords
- computer unit
- computer
- communication
- unit
- units
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/08—Protocols for interworking; Protocol conversion
Abstract
Description
l0 20 25 30 520 393 2 en gemensam IP-adress och där kommunikationen sker via en gemensam TCP port. l0 20 25 30 520 393 2 a common IP address and where the communication takes place via a common TCP port.
EP-A1-0 909 074 beskriver hur en brandvägg kan hantera olika säkerhetsnivåer för olika användare genom att applicera olika uppsättningar av tillgänglighetsregler. Brandväggen kan även omdirigera vissa sessioner till en annan server för processering.EP-A1-0 909 074 describes how a firewall can handle different security levels for different users by applying different sets of accessibility rules. The firewall can also redirect some sessions to another processing server.
.JP-A-10135982 beskriver hur två olika IP-adresser kan dela på en gemensam MAC-adress..JP-A-10135982 describes how two different IP addresses can share a common MAC address.
Redogörelse för föreliggande uppfinning Tekniska problem Under beaktande av teknikens tidigare ståndpunkt såsom den beskrivs ovan, och med utgångspunkt från ett tekniskt område enligt ovan, så är det ett tekniskt problem att minimera antalet öppningar i använd brandvägg.Disclosure of the present invention Technical problems Taking into account the prior art as described above, and starting from a technical area as above, it is a technical problem to minimize the number of openings in the firewall used.
Det är ett tekniskt problem att erbjuda möjlligheten att kommunicera med ett flertal olika användare, användande ett flertal olika protokoll, med endast en öppning i brandväggen.It is a technical problem to offer the possibility to communicate with several different users, using several different protocols, with only one opening in the firewall.
Det är ett tekniskt problem att låta ett flertal olika andra datorenheter kommunicera med sinsemellan ett flertal olika första datorenheter enligt olika protokoll via en gemensam tredje datorenhet, där samtliga andra datorenheter endast fordrar en öppning genom sina respektive brandväggar.It is a technical problem to allow a plurality of different other computer units to communicate with each other a plurality of different first computer units according to different protocols via a common third computer unit, where all other computer units only require an opening through their respective firewalls.
Lösningen Med avsikten att erbjuda en lösning till ett eller flera av de ovan angivna problemen utgår föreliggande uppfinning från en metod, datorprogramprodukter, samt ett datorläsbart medium, för att, via ett nätverk, erhålla en kommunikation mellan en första datorenhet och en andra datorenhet, vilken kommunikation sker via en tredje datorenhet. En brandvägg är upprättad mellan den andra datorenheten och den tredje datorenheten, och all kommunikation mellan den andra datorenheten och den tredje datorenheten sker genom denna brandvägg.The Solution In order to provide a solution to one or more of the above problems, the present invention is based on a method, computer program products, and a computer readable medium, for obtaining, via a network, a communication between a first computer unit and a second computer unit, which communication takes place via a third computer unit. A firewall is established between the second computer unit and the third computer unit, and all communication between the second computer unit and the third computer unit takes place through this firewall.
Föreliggande uppfinning anvisar att, med avsikten att minimera antalet öppningar i en brandvägg, all kommunikation mellan den andra datorenheten och den tredje datorenheten sker via en port enligt ett specifikt protokoll, och att den 10 20 25 30 i 520 393 3 tredje datorenheten, i kommunikationen med den första datorenheten, översätter mellan det protokoll enligt vilket den första datorenheten kommunicerar med den tredje datorenheten och det specifika protokollet enligt vilket den tredje datorenheten kommunicerar med den andra datorenheten.The present invention provides that, for the purpose of minimizing the number of openings in a firewall, all communication between the second computer unit and the third computer unit takes place via a port according to a specific protocol, and that the third computer unit, in the communication, with the first computer unit, translates between the protocol according to which the first computer unit communicates with the third computer unit and the specific protocol according to which the third computer unit communicates with the second computer unit.
I det fall som ett flertal olika första datorenheter kommunicerar med den andra datorenheten via den tredje datorenheten, och där dessa första datorenheter kommunicerar enligt samma eller sinsemellan olika, från varandra oberoende, protokoll, vidarebefordrar den tredje datorenheten kommunikationen från det flertalet olika första datorenheterna till den andra datorenheten via den enda porten och enligt det specifika protokollet.In the case where a plurality of different first computer units communicate with the second computer unit via the third computer unit, and where these first computer units communicate according to the same or mutually different, independent, protocols, the third computer unit forwards the communication from the plurality of different first computer units to the the second computer unit via the single port and according to the specific protocol.
Det är även möjligt att låta ett flertal andra datorenheter kommunicera med sina respektive en eller flera första datorenheter via den tredje datorenheten.It is also possible to have a plurality of other computer units communicate with their respective one or more first computer units via the third computer unit.
Med avsikten att tillåta ett flertal olika andra datorenheter kommunicera med sina respektive första datorenheter anvisar föreliggande uppfinning att respektive andra datorenhet tilldelas en eller flera adresser eller portar hos den tredje datorenheten för mottagande av kommunikation från sina respektive en eller flera första datorenheter, och att den tredje datorenheten, vid en kontakt från en första datorenhet med den tredje datorenheten, identifierar korrekt andra datorenhet för den kontaktande första datorenheten genom den adress eller port som den första datorenheten använder vid kontakten.With the intention of allowing a plurality of different computer units to communicate with their respective first computer units, the present invention provides that each second computer unit is assigned one or more addresses or ports of the third computer unit for receiving communication from its respective one or more first computer units, and that the third the computer unit, in the case of a contact from a first computer unit with the third computer unit, correctly identifies the second computer unit of the contacting first computer unit by the address or port that the first computer unit uses at the contact.
Föreliggande uppfinning anvisar att det inte finns något som hindrar att använd kommunikation mellan den första och andra datroenheten är krypterad.The present invention indicates that there is nothing to prevent the used communication between the first and second computer units from being encrypted.
Enligt en föredragen utföringsform av föreliggande uppfinning utgörs det specifika protokollet av TCP-protokollet.According to a preferred embodiment of the present invention, the specific protocol is the TCP protocol.
Den tredje datorenheten kan således översätta mellan det specifika protokollet och ett flertal andra protokoll, såsom UDP och WAP.The third computer unit can thus translate between the specific protocol and a number of other protocols, such as UDP and WAP.
Föreliggande uppfinning är speciellt fördelaktig då nätverket i fråga utgörs av det globala nätverket Internet.The present invention is particularly advantageous when the network in question consists of the global network Internet.
Föreliggande uppfinning avser även två datorprogramprodukter där en första datorprogramprodukt omfattar datorprogramkod vilken, då den exekveras av en datorenhet, utför funktionerna för en tredje datorenhet enligt den uppfinningsenliga metoden och där en andra datorprogramprodukt omfattar datorprogramkod vilken, då den exekveras av en datorenhet, utför funktionerna för en andra datorenhet enligt den uppfinningsenliga metoden. 10 20 30 520 393 4 Vidare omfattar föreliggande upppfinning ett datorläsbart medium varpå finns lagrat datorprogramkod enligt den första eller andra datorprogramprodukten.The present invention also relates to two computer program products wherein a first computer program product comprises computer program code which, when executed by a computer unit, performs the functions of a third computer unit according to the method according to the invention and wherein a second computer program product comprises computer program code which, when executed by a computer unit, performs the functions. a second computer unit according to the method according to the invention. Furthermore, the present invention comprises a computer-readable medium on which is stored computer program code according to the first or second computer program product.
Fördelar De fördelar som främst kan förknippas med en metod, datorprogramprodukter eller ett datorläsbart medium enligt föreliggande uppfinning är att härigenom är det möjligt att erbjuda en tredje datorenhet, eller en Web- server, varigenom en kommunikation med en andra datorenhet, eller en företagsintern server, erbjuds med ett flertal olika första datorenheter, eller användare, enligt ett flertal olika protokoll, men med endast en öppning genom använd brandvägg.Advantages The advantages which can be mainly associated with a method, computer software products or a computer readable medium according to the present invention is that in this way it is possible to offer a third computer unit, or a Web server, whereby a communication with a second computer unit, or an internal company server, offered with a number of different first computer units, or users, according to a number of different protocols, but with only one opening through the used firewall.
Kort figurbeskrivning En metod, datorprogramprodukter, och ett datorläsbart medium uppvisande de med föreliggande uppfinning förknippade särdragen skall i exemplifierande syfte nu närmare beskrivas med hänvisning till bifogad ritning, där; Figur 1 schematiskt och mycket förenklat visar kommunikation via ett nätverk enligt känd teknik, Figur 2 schematiskt och mycket förenklat visar hur en andra datorenhet kommunicerar med ett flertal olika första datorenheter enligt föreliggande uppfinnning, och Figur 3 schematiskt och mycket förenklat visar hur ett flertal andra datorenhet kommunicerar med ett flertal olika första datorenheter enligt föreliggande uppfinnning.Brief Description of the Figures A method, computer program products, and a computer readable medium having the features associated with the present invention will now be described in more detail by way of example with reference to the accompanying drawings, in which; Figure 1 schematically and very simply shows communication via a network according to the prior art, Figure 2 schematically and very simplified shows how a second computer unit communicates with a plurality of different first computer units according to the present invention, and Figure 3 shows schematically and very simply communicates with a plurality of different first computer devices according to the present invention.
Beskrivning av nu föredragna utföringsformer Med hänvisning till figur 1 visas således känd teknik för kommunikation mellan en första och en andra datorenhet 11, 2 via ett nätverk A, där kommunikationen sker via en tredje datorenhet 3.Description of now preferred embodiments With reference to Figure 1, known technology for communication between a first and a second computer unit 11, 2 via a network A is thus shown, where the communication takes place via a third computer unit 3.
För att erhålla säkerhet hos den andra datorenheten 2 finns en brandvägg 21 upprättad mellan den andra datorenheten 2 och den tredje datorenheten 3, och där all kommunikation mellan dessa datorenheter 2, 3 sker genom denna brandvägg 21. 20 25 30 520 393 5 Detta är vanligt då exempelvis den andra datorenheten 2 utgör en företagsintern server och man vill skydda sig mot intrång i företagets server och interna nätverk.To obtain security of the second computer unit 2, a firewall 21 is established between the second computer unit 2 and the third computer unit 3, and where all communication between these computer units 2, 3 takes place through this firewall 21. This is common when, for example, the second computer unit 2 constitutes an internal server and you want to protect yourself against intrusion into the corporate server and internal networks.
Den andra datorenheten har ett flertal anslutningar gentemot den tredje datorenheten 3 eftersom olika första datorenheter 11, 12, 13, 14 möjligen kommunicerar enligt sinsemellan olika protokoll A1, A2, A3, A4, vilket gör att dom behöver accessa den andra datorenheten via sinsemellan olika portar 41, 42, 43, 44. Detta medför även att det blir ett flertal öppningar genom den andra datorenhetens brandvägg 21, en för varje port 41, 42, 43, 44.The second computer unit has a plurality of connections to the third computer unit 3 because different first computer units 11, 12, 13, 14 possibly communicate according to different protocols A1, A2, A3, A4, which means that they need to access the second computer unit via different ports. 41, 42, 43, 44. This also means that there will be a plurality of openings through the firewall 21 of the other computer unit, one for each port 41, 42, 43, 44.
Figur 2 avser att visa att det enligt föreliggande uppfinning är möjligt att låta all kommunikation mellan den andra datorenheten 2 och den tredje datorenheten 3 ske via en port 4 enligt ett specifikt protokoll As, och att den tredje datorenheten 3, i kommunikationen med den första datorenheten 11, översätter mellan det protokoll A1 enligt vilket den första datorenheten 1 kommunicerar med den tredje datorenheten 3 och det specifika protokollet As enligt vilket den tredje datorenheten 3 kommunicerar med den andra datorenheten 2.Figure 2 intends to show that according to the present invention it is possible to allow all communication between the second computer unit 2 and the third computer unit 3 to take place via a port 4 according to a specific protocol As, and that the third computer unit 3, in the communication with the first computer unit 11, translates between the protocol A1 according to which the first computer unit 1 communicates with the third computer unit 3 and the specific protocol As according to which the third computer unit 3 communicates with the second computer unit 2.
Figur 2 visar även att ett flertal olika första datorenheter 11, 12, 13, 14 kan kommunicera med den andra datorenheten 2 via den tredje datorenheten 3, där dessa flera första datorenheter 11, 12, 13, 14 kommunicerar enligt samma eller sinsemellan olika, från varandra oberoende, protokoll A1, A2, A3, A4.Figure 2 also shows that a plurality of different first computer units 11, 12, 13, 14 can communicate with the second computer unit 2 via the third computer unit 3, where these several first computer units 11, 12, 13, 14 communicate according to the same or mutually different, from independently, protocols A1, A2, A3, A4.
I detta fall vidarebefordrar den tredje datorenheten 3 kommunikationen från det flertalet olika första datorenheterna 11, 12, 13, 14 till den andra datorenheten via den enda porten 4 enligt det specifika protokollet As.In this case, the third computer unit 3 forwards the communication from the plurality of different first computer units 11, 12, 13, 14 to the second computer unit via the single port 4 according to the specific protocol As.
Figur 3 visar en utföringsform där ett flertal andra datorenheter 2a, 2b, 2c kommunicerar med sina respektive en eller flera första datorenheter 11a, 12a, 13a, 11b, 12b, 13b, 11c, 12c, 13c via den tredje datorenheten 3.Figure 3 shows an embodiment where a plurality of second computer units 2a, 2b, 2c communicate with their respective one or more first computer units 11a, 12a, 13a, 11b, 12b, 13b, 11c, 12c, 13c via the third computer unit 3.
Enligt en föredragen utföringsform tilldelas respektive andra datorenhet 2a, 2b, 2c en eller flera adresser eller portar 31a, 31b, 310, 32a, 32b, 320, 33a, 33b, 330 hos den tredje datorenheten 3 för mottagande av kommunikation från en eller flera första datorenheter11a, 12a, 13a, 11b, 12b, 13b, 11c, 12c, 13c.According to a preferred embodiment, the respective second computer unit 2a, 2b, 2c is assigned one or more addresses or ports 31a, 31b, 310, 32a, 32b, 320, 33a, 33b, 330 of the third computer unit 3 for receiving communication from one or more first computer devices11a, 12a, 13a, 11b, 12b, 13b, 11c, 12c, 13c.
Detta erbjuder möjligheten för den tredje datorenheten 3 att, vid en kontakt från en första datorenhet 12b, identifierar korrekt andra datorenhet 2b för den kontaktande första datorenheten 12b genom den adress eller port 32b som den första datorenheten 12b använder vid kontakten. 10 , n» 520 393 6 Enligt föreliggande uppfinning finns det inget som hindrar att kommunikationen mellan en andra datorenhet 2 och en eller flera av dess första datorenheter 11, 12, 13 är krypterad.This offers the possibility for the third computer unit 3 to, in the event of a contact from a first computer unit 12b, correctly identify the second computer unit 2b of the contacting first computer unit 12b by the address or port 32b used by the first computer unit 12b at the contact. According to the present invention, there is nothing to prevent the communication between a second computer unit 2 and one or more of its first computer units 11, 12, 13 from being encrypted.
Enligt en föredragen utföringsform av föreliggande uppfinning utgörs det specifika protokollet As av lPSEC TCP-protokollet. Det är även möjligt att använda ett annat protokoll, såsom vanlig TCP.According to a preferred embodiment of the present invention, the specific protocol As constitutes the IPSEC TCP protocol. It is also possible to use another protocol, such as regular TCP.
Den tredje datorenheten 3 kan översätta mellan det specifika protokollet AS och ett flertal andra protokoll, såsom UDP och WAP.The third computer unit 3 can translate between the specific protocol AS and a plurality of other protocols, such as UDP and WAP.
Föreliggande uppfinnning lämpar sig väl för kommunikation inom det globala nätverket Internet eftersom det förekommer många olika protokoll för kommunikation inom internet.The present invention is well suited for communication within the global Internet network as there are many different protocols for communication within the internet.
Figur 2 visar även mycket schematiskt att föreliggande uppfinning även avser en första datorprogramprodukt 51, vilken omfattar datorprogramkod som, då den exekveras av en datorenhet, utför funktionerna för en tredje datorenhet 3 enligt den uppfinningsenliga metoden.Figure 2 also shows very schematically that the present invention also relates to a first computer program product 51, which comprises computer program code which, when executed by a computer unit, performs the functions of a third computer unit 3 according to the method according to the invention.
Vidare avser föreliggande uppfinning en andra datorprogramprodukt 52, vilken omfattar datorprogramkod som, då den exekveras av en datorenhet, utför funktionerna för en andra datorenhet 2 enligt den uppfinningsenliga metoden.Furthermore, the present invention relates to a second computer program product 52, which comprises computer program code which, when executed by a computer unit, performs the functions of a second computer unit 2 according to the method according to the invention.
Föreliggande uppfinning avser även ett datorläsbart medium 6, på vilket datorprogramkod enligt någon av den första eller andra datorprogramprodukten finns lagrad.The present invention also relates to a computer-readable medium 6, on which computer program code according to any of the first or second computer program product is stored.
Uppfinningen är naturligtvis inte begränsad till de ovan såsom exempel angivna utföringsformerna utan kan öppni modifikationer inom ramen för uppfinningstanken illustrerad i efterföljande patentkrav.The invention is of course not limited to the embodiments given above by way of example, but may open up modifications within the scope of the inventive concept illustrated in the appended claims.
Claims (11)
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
SE0101008A SE520393C2 (en) | 2001-03-22 | 2001-03-22 | Method of communication through firewall |
PCT/SE2002/000557 WO2002078268A1 (en) | 2001-03-22 | 2002-03-21 | Method of communication through a firewall |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
SE0101008A SE520393C2 (en) | 2001-03-22 | 2001-03-22 | Method of communication through firewall |
Publications (3)
Publication Number | Publication Date |
---|---|
SE0101008D0 SE0101008D0 (en) | 2001-03-22 |
SE0101008L SE0101008L (en) | 2002-09-23 |
SE520393C2 true SE520393C2 (en) | 2003-07-01 |
Family
ID=20283480
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
SE0101008A SE520393C2 (en) | 2001-03-22 | 2001-03-22 | Method of communication through firewall |
Country Status (2)
Country | Link |
---|---|
SE (1) | SE520393C2 (en) |
WO (1) | WO2002078268A1 (en) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7873071B2 (en) | 2006-05-15 | 2011-01-18 | The Boeing Company | Multiple level security adapter |
GB2443889A (en) | 2006-11-20 | 2008-05-21 | Skype Ltd | Method and system for anonymous communication |
GB0623621D0 (en) | 2006-11-27 | 2007-01-03 | Skype Ltd | Communication system |
GB0623622D0 (en) | 2006-11-27 | 2007-01-03 | Skype Ltd | Communication system |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7143438B1 (en) * | 1997-09-12 | 2006-11-28 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with multiple domain support |
-
2001
- 2001-03-22 SE SE0101008A patent/SE520393C2/en not_active IP Right Cessation
-
2002
- 2002-03-21 WO PCT/SE2002/000557 patent/WO2002078268A1/en not_active Application Discontinuation
Also Published As
Publication number | Publication date |
---|---|
WO2002078268A1 (en) | 2002-10-03 |
SE0101008D0 (en) | 2001-03-22 |
SE0101008L (en) | 2002-09-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN1606294B (en) | Access control listing mechanism for routers | |
US6546423B1 (en) | System and method for network load balancing | |
US7225188B1 (en) | System and method for performing regular expression matching with high parallelism | |
US8010990B2 (en) | Acceleration of packet flow classification in a virtualized system | |
US7633855B2 (en) | System and method for resolving address conflicts in a network | |
US9137204B2 (en) | Network security smart load balancing | |
US20020133594A1 (en) | Handling state information in a network element cluster | |
EP3123702B1 (en) | Dynamic service chain with network address translation detection | |
US7769858B2 (en) | Method for efficiently hashing packet keys into a firewall connection table | |
US8601567B2 (en) | Firewall for tunneled IPv6 traffic | |
CN107147588B (en) | Flow guiding method and device | |
JP2009177841A (en) | Network appliance and control method thereof | |
CA2525343A1 (en) | Security checking program for communication between networks | |
EP1419625B1 (en) | Virtual egress packet classification at ingress | |
CN101212314A (en) | Method for implementing several network security functions with one chip | |
SE520393C2 (en) | Method of communication through firewall | |
US8730961B1 (en) | System and method for optimizing router lookup | |
JP2009517900A (en) | Method, apparatus, and computer program for access control | |
US7688821B2 (en) | Method and apparatus for distributing data packets by using multi-network address translation | |
CN107682300B (en) | Method and apparatus for determining a security group rule chain | |
US7844731B1 (en) | Systems and methods for address spacing in a firewall cluster | |
SE520437C2 (en) | Method for minimizing the number of openings in a firewall located between a private and a public network | |
Cisco | Configuring IP Session Filtering (Reflexive Access Lists) | |
Cisco | Configuring IP Session Filtering (Reflexive Access Lists) | |
Cisco | Reflexive Access List Commands |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
NUG | Patent has lapsed |