CN109873799A

CN109873799A - 网络安全系统及其方法

Info

Publication number: CN109873799A
Application number: CN201811094225.2A
Authority: CN
Inventors: 廖浚闵; 陈彦廷
Original assignee: Pegatron Corp
Current assignee: Pegatron Corp
Priority date: 2017-12-04
Filing date: 2018-09-19
Publication date: 2019-06-11
Also published as: TW201926108A; US10992644B2; US20190173843A1

Abstract

一种网络安全系统及其方法。网络安全系统包含服务器以及客户端设备。客户端设备根据至少一设定类别所对应的第一参数运行防火墙，并用以接收服务器所传送的第二参数；其中客户端设备包含：监控单元，其用以在服务器与客户端设备的沟通期间内，由监控单元自动检查第二参数的设定类别是否符合至少一设定类别；若第二参数的设定类别符合至少一设定类别，则根据第二参数设定防火墙；以及若第二参数的设定类别不符合至少一设定类别，则忽略第二参数。

Description

网络安全系统及其方法

技术领域

本发明涉及一种网络安全系统及其方法，且特别涉及一种具有审查机制的网络安全系统及其方法。

背景技术

现今几乎所有的电脑、服务器或个人的通信装置都具有因特网通信功能，网络也已经是现代生活无法避免的重要工具。然而，非法入侵者也可经由网络窃取电脑里的机密数据，因此为了防止非法入侵者窃取数据，通常会在企业或组织的局域网络连接到外部网络时装设防火墙，用来提供系统管理者过滤数据封包或进行传输端(port)的设定，确保网通产品的安全性。

在TR181的防火墙标准下，可以让系统管理者任意地对防火墙的参数规则进行新增、修改或删除等动作，但有时会有系统管理者修改错误的情况发生，造成防火墙有潜在的安全问题。因此，为了确保网通产品的安全性，同时也要符合TR181的标准，为本领域待改进的问题之一。

发明内容

本发明的主要目的在提供一种网络安全系统及其方法，其主要确保在TR181的标准下系统管理者仍然可以自由地对防火墙参数规则修改，但如果发生系统管理者修改错误的情况，会有审查机制过滤错误的设定并且不会在网通产品上生效。

为实现上述目的，本发明的第一实施方式是网络安全方法，网络安全方法适用于客户端设备，网络安全方法包含：根据至少一个设定类别所对应的第一参数于客户端设备运行防火墙；于周期性通信间隔内，接收来自服务器的第二参数；由客户端设备自动检查第二参数的设定类别是否符合至少一个设定类别；若第二参数的设定类别符合至少一个设定类别，则根据第二参数设定防火墙；以及若第二参数的设定类别不符合至少一个设定类别，则忽略第二参数。

本发明的第二实施方式是提供一种网络安全系统，包含：服务器以及客户端设备。客户端设备根据至少一个设定类别所对应的第一参数运行防火墙，并用以于一周期性通信间隔内接收服务器所传送的第二参数；其中客户端设备还包含：监控单元，其用以在服务器与客户端设备的沟通期间内，由监控单元自动检查第二参数的设定类别是否符合至少一个设定类别；若第二参数的设定类别符合至少一个设定类别，则根据第二参数设定防火墙；以及若第二参数的设定类别不符合至少一个设定类别，则忽略第二参数。

因此，根据本发明的技术实施方式，本发明的实施例通过提供一种网络安全系统及其方法，其用以过滤错误的设定使其不会在网通产品上生效，并且在TR181的标准下系统管理者仍然可以自由地对防火墙参数规则修改，实现确保网通产品的安全性的技术效果。

附图说明

图1是根据本发明的一些实施例所示出的一种网络安全系统的示意图；

图2是根据本发明的一些实施例所示出的一种网络安全方法的流程图；以及

图3是根据本发明的一些实施例所示出的另一种网络安全系统的示意图。

具体实施方式

以下公开提供许多不同实施例或例证用以实施本发明的不同特征。特殊例证中的元件及配置在以下讨论中被用来简化本公开。所讨论的任何例证只用来作解说的用途，并不会以任何方式限制本发明或其例证的范围和意义。此外，本公开在不同例证中可能重复引用数字符号且/或字母，这些重复皆为了简化及阐述，其本身并未指定以下讨论中不同实施例且/或配置之间的关系。

关于本文中所使用的“耦接”或“连接”，均可指两个或更多个元件相互直接作实体或电性接触，或是相互间接作实体或电性接触，而“耦接”或“连接”还可指两个或更多个元件相互操作或动作。

请参阅图1。图1是根据本发明的一些实施例所示出的一种网络安全系统100的示意图。如图1所示出，网络安全系统100包含服务器110、客户端设备120以及客户端130。服务器110通过因特网与客户端设备120连接，服务器110可于一周期性通信间隔内与客户端设备120进行沟通(例如，同步、信令交换、参数设定等等)。客户端设备120与客户端130连接，客户端设备具有监控单元121并用以运行防火墙，以保护客户端130的电脑，防止客户端130的电脑暴露在被黑客入侵或信息安全外泄的风险中；优选地，服务器110可为一服务提供商端；客户端设备120可为一电缆调制解调器；客户端130可为智能手机、电脑、平板等等，而不限于此。服务器110与客户端设备120符合TR118通信协议标准。客户端设备120包含监控单元121，其用来监控服务器110所传送的分类是否符合预设的分类规范。

请继续参考图2。图2是根据本发明的一些实施例所示出的一种网络安全方法200的流程图。于一实施例中，图2所示的网络安全方法200可以应用于图1所示的网络安全系统100上，安装于客户端设备120上的监控单元121用以根据下列网络安全方法200所描述的步骤，监控服务器110所传送的第二参数是否符合预定的分类规范。如图2所示，网络安全方法200包含以下步骤：

步骤S210：根据至少一设定类别所对应的第一参数在客户端设备上运行防火墙；

步骤S220：客户端设备的监控单元于周期性通信间隔内接收第二参数；

步骤S230：由客户端设备的监控单元自动检查第二参数的设定类别是否符合至少一设定类别；

步骤S240：若第二参数的设定类别符合至少一设定类别，则根据第二参数设定防火墙；以及

步骤S250：若第二参数的设定类别不符合至少一设定类别，则忽略第二参数。

于步骤S210中，根据至少一设定类别所对应的第一参数在客户端设备120上运行防火墙。设定类别可以是客户端设备120出厂时即设定好的防火墙原始设定类别，也可以是前次服务器所传送的设定类别，各设定类别包含多个设定参数，防火墙会根据原始设定参数或修改后的设定参数执行封包过滤或因特网协议(Internet protocol,IP)地址过滤等动作。

于步骤S220中，客户端设备120的监控单元121于周期性通信间隔内从服务器110接收第二参数。第二参数可以是服务提供商利用服务器110经由因特网传送至监控单元121，以修改防火墙的设定参数。

于步骤S230中，客户端设备120的监控单元121自动检查第二参数的设定类别是否符合客户端设备120内的设定类别。服务提供商欲修改的第二参数，在周期性通信间隔内由服务器110传送第二参数至客户端设备120后会与设定类别比对，判断第二参数是否属于设定类别。周期性通信间隔是服务器110用来周期性与客户端设备120进行沟通的一段时间，因此在周期性通信间隔内可能收到一笔或多笔第二参数，监控单元121会先暂存第二参数，并等到周期性通信间隔结束后才会开始检查第二参数。

于步骤S240中，若第二参数符合设定类别，则根据第二参数设定防火墙，以及步骤S250中，若第二参数不符合设定类别，则忽略第二参数。也就是说，仅符合设定类别的参数才会被接受并且用来设定防火墙，而不符合设定类别的参数会被忽略，并不会修改原本在客户端设备120上运行的设定参数。

举例而言，设定类别可包含阻断分割封包类别、阻断发送回显信息(Ping)类别、非军事区(Demilitarized Zone,DMZ)功能类别、因特网协议地址过滤类别、特殊字符过滤类别以及特殊网站过滤类别的其中至少一者，也可以设定为其他类别，并不限于此。

承上述，阻断分割封包类别的功能在于，传输大封包时会采用将大封包分割成多个小封包传输的方法，而阻断分割封包类别用来过滤被分割过的小封包，意即不接受被分割过的封包。

承上述，阻断发送回显信息(Ping)类别的功能在于，Ping指令最主要的功能是用来测试网络的连线能力是否正常，而这个测试是基于IP协议运行。Ping指令能回报Ping封包到目的端设备来回所需的最少时间、最大时间与平均时间，可以用来确认到指定设备之间网络路径的可靠程度，而阻断发送回显信息(Ping)类别意即不接收Ping封包。

承上述，非军事区功能类别的功能在于，非军事区区域在防火墙领域中可以解释为一个既不属于内部网域同时也不属于外部网域的一个特殊区域，其目的是为了防止外来入侵者直接存取内部机密数据。一般企业网站大多会建置非军事区区域供外界来查询及使用，但并不包括内部的机密数据，如此一来如果被外来入侵者侵入到非军事区区域并且瘫痪网络时，重要的数据仍不至于外泄。非军事区功能类别是应用在网络位置转换(NetworkAddress Translation,NAT)模式下，可以开启非军事区区域使得内部网络的客户端可以跟外部电脑沟通。

承上述，因特网协议地址过滤类别的功能在于，可以设定要过滤的客户端因特网协议地址(IP Address)，因此因特网协议地址过滤类别可以挡下不信任的客户端IP地址。

承上述，特殊字符过滤类别的功能在于，可以过滤特殊的文字或账号，例如具有色情或暴力的文字或是传送骚扰或色情信息的免洗账号。

承上述，特殊网站过滤类别的功能在于，可以过滤特殊网站，例如具有色情或暴力的图片或文章的网站，特殊字符过滤类别以及特殊网站过滤类别功能可以让家长用来控管小孩上网时看到的网页内容，针对一些儿少不宜的网站或网页内容过滤。

请继续参阅图3。图3是根据本发明的一些实施例所示出的另一种网络安全系统300的示意图。如图3所示出，网络安全系统300包含服务器110以及客户端设备120。服务器110通过因特网与客户端设备120连接，服务器110具有操作界面111，操作界面111用以检测管理者在服务器110输入的第二参数，并传送第二参数至客户端设备120的监控单元121。网络安全系统300的详细实施方式皆可参考图2所示出的实施步骤，因此在此不再赘述。

由上述本公开的实施方式可知，本公开主要确保在TR181防火墙的标准下系统管理者仍然可以自由地对防火墙参数规则修改，但如果发生系统管理者修改错误的情况，审查机制会过滤错误的设定并且不会在网通产品上生效，因此可以确保不合法的设定不会在火墙上生效，达到保护使用者数据安全的目的。

另外，上述例示包含依序的示范步骤，但所述步骤不必依所显示的顺序被执行。以不同顺序执行所述步骤皆在本公开内容的考虑范围内。在本公开内容的实施例的构思与范围内，可视情况增加、取代、变更顺序及/或省略所述步骤。

虽然本公开已以实施方式公开如上，然其并非用以限定本公开，任何熟悉此技术者，在不脱离本公开的构思和范围内，当可作各种的变动与润饰，因此本公开的保护范围当视权利要求所界定者为准。

Claims

1.一种网络安全方法，所述网络安全方法适用于客户端设备，其特征在于，所述网络安全方法包含：

根据至少一个设定类别所对应的第一参数于所述客户端设备运行防火墙；

于周期性通信间隔内，接收来自服务器的第二参数；

由所述客户端设备自动检查所述第二参数的设定类别是否符合所述至少一个设定类别；

若所述第二参数的设定类别符合所述至少一个设定类别，则根据所述第二参数设定所述防火墙；以及

若所述第二参数的设定类别不符合所述至少一个设定类别，则忽略所述第二参数。

2.根据权利要求1所述的网络安全方法，其特征在于，所述至少一个设定类别包含阻断分割封包类别、阻断发送回显信息类别、非军事区功能类别、因特网协议地址过滤类别、特殊字符过滤类别以及特殊网站过滤类别的其中至少一者。

3.根据权利要求2所述的网络安全方法，其特征在于，所述非军事区功能分类的设定参数用于网络位置转换模式。

4.根据权利要求1所述的网络安全方法，其特征在于，所述服务器以及所述客户端设备遵循TR181通信标准。

5.根据权利要求1所述的网络安全方法，其特征在于，所述服务器位于服务提供商端，所述客户端设备为电缆调制解调器。

6.一种网络安全系统，其特征在于，包含：

服务器；以及

客户端设备，根据至少一个设定类别所对应的第一参数运行防火墙，并用以于周期性通信间隔内接收所述服务器所传送的第二参数，所述客户端设备还包含：

监控单元，用以在所述服务器与所述客户端设备的沟通期间内，由所述监控单元自动检查所述第二参数的设定类别是否符合所述至少一个设定类别；若所述第二参数的设定类别符合所述至少一个设定类别，则根据所述第二参数设定所述防火墙；以及若所述第二参数的设定类别不符合所述至少一个设定类别，则忽略所述第二参数。

7.根据权利要求6所述的网络安全系统，其特征在于，所述至少一个设定类别包含有阻断分割封包类别、阻断发送回显信息类别、非军事区功能类别、因特网协议地址过滤类别、特殊字符过滤类别以及特殊网站过滤类别的其中至少一者。

8.根据权利要求7所述的网络安全系统，其特征在于，所述非军事区功能分类的设定参数用于网络位置转换模式。

9.根据权利要求6所述的网络安全系统，其特征在于，所述服务器以及所述客户端设备遵循TR181通信标准。

10.根据权利要求6所述的网络安全系统，其特征在于，所述服务器位于服务提供商端；所述客户端设备为电缆调制解调器。