DE60205162T2 - Verfahren zur Verwaltung eines Netzwerkgerätes, Verwaltungssystem und Netzwerkgerät - Google Patents

Verfahren zur Verwaltung eines Netzwerkgerätes, Verwaltungssystem und Netzwerkgerät Download PDF

Info

Publication number
DE60205162T2
DE60205162T2 DE60205162T DE60205162T DE60205162T2 DE 60205162 T2 DE60205162 T2 DE 60205162T2 DE 60205162 T DE60205162 T DE 60205162T DE 60205162 T DE60205162 T DE 60205162T DE 60205162 T2 DE60205162 T2 DE 60205162T2
Authority
DE
Germany
Prior art keywords
configuration
management system
network
network device
new
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60205162T
Other languages
English (en)
Other versions
DE60205162D1 (de
Inventor
Tuomo Syvänne
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Stonesoft Corp
Original Assignee
Stonesoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Stonesoft Corp filed Critical Stonesoft Corp
Application granted granted Critical
Publication of DE60205162D1 publication Critical patent/DE60205162D1/de
Publication of DE60205162T2 publication Critical patent/DE60205162T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/085Retrieval of network configuration; Tracking network configuration history
    • H04L41/0859Retrieval of network configuration; Tracking network configuration history by keeping history of different configuration generations or by rolling back to previous configuration versions
    • H04L41/0863Retrieval of network configuration; Tracking network configuration history by keeping history of different configuration generations or by rolling back to previous configuration versions by rolling back to previous configuration versions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0813Configuration setting characterised by the conditions triggering a change of settings
    • H04L41/082Configuration setting characterised by the conditions triggering a change of settings the condition being updates or upgrades of network functionality
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Small-Scale Networks (AREA)
  • Selective Calling Equipment (AREA)

Description

  • HINTERGRUND DER ERFINDUNG
  • Die vorliegende Erfindung bezieht sich auf ein Fernmanagement von Netzwerkeinrichtungen.
  • Firewall ist eine Gruppe von Komponenten, die einen Durchgang bilden zwischen zwei oder mehreren Netzwerken. Logischerweise ist eine Firewall ein Durchgang, der gleichzeitig als Konnector und Separator arbeitet zwischen den Netzwerken in einem Sinn derart, dass die Firewall den Verkehr verfolgt, der hier hindurch läuft von einem Netzwerk zu einem weiteren und Verbindungen, und Pakete behindert, die als unerwünscht definiert werden durch den Administrator des Systems. Physikalisch ist eine Firewall eine Maschine mit einer entsprechenden Software, um die Aufgaben auszuführen, die ihr zugeteilt sind. Es kann sich um einen Router, einen Personalcomputer (PC) oder sonst eine Einrichtung sein, die für derartige Zwecke zum Einsatz kommen kann. Obwohl Firewalls meist zum Einsatz kommen, um Local Area Networks (LANs) anzuschließen, d.h. interne Netzwerke zum Internet oder zur Steuerung böswilliger Angreifer oder allgemein unerwünschtem Verkehr, können sie auch zum Einsatz kommen, um unterschiedliche Segmente von einem internen Netzwerk zu Sicherheitszwecken zu trennen oder anzuschließen. Die Vorteile, eine Firewall zu besitzen sind zahlreich. Sie sichert das Netzwerk und kann zum Einsatz kommen als Werkzeug zur Überwachung des Verkehrs, insbesondere von außerhalb auf das Innere des Netzwerkes, welches durch eine Firewall geschützt wird. Da der gesamte Verkehr, der zum internen Netzwerk führt, die Firewall durchlaufen muss, können sich die meisten der Netzwerk-Sicherheitsvorgänge und -absichten auf diesen speziellen Punkt konzentrieren. Dies ist natürlich ein Kosten- und Verwaltungsvorteil.
  • Die Firewall kann jedoch keine wirksame Sicherheit selbständig aufrechterhalten. Die Firewall muss sorgfältig installiert und konfiguriert werden und die Sicherheitsabsicht muss regelmäßig evaluiert und aktualisiert werden. Die gegenwärtige Entwicklung in Richtung auf sehr komplizierte Netzwerke, die mehrfache Schnittstellen haben müssen mit dem Internet für VPN (Virtual Private Network), für den Fernzugang, das e-Geschäft, die Cache-Surfer usw., stellt zunehmende Anforderungen an Verwaltungsfähigkeiten. Bei multi-internationalen Gesellschaften muss die Fähigkeit vorliegen, mehrere Firewalls durch den gleichen Administrator zu steuern. Es muss auch die Fähigkeit vorliegen, flexible Möglichkeiten bereitzustellen hinsichtlich der Sicherheitsmaßnahmen. Zur gleichen Zeit kann die Notwendigkeit vorliegen für gesellschaftsweite Sicherheitsmaßnahmen, wobei jedoch an manchen besonderen Stellen auch die Notwendigkeit vorliegen kann für bestimmte "zugeschneiderte Regeln".
  • Da der menschliche Faktor eine Schlüsselrolle spielt beim Versagen von Firewalls und Sicherheitsmaßnahmen, ist es wichtig für eine Firewall und ein System von Firewalls, leicht administrabel zu sein. Administratoren sollten auch beschränkt werden auf das Niveau ihrer Sachkenntnis, so dass sie nicht unbeabsichtigt irgendetwas Schädliches vornehmen. Nur professionelle und autorisierte Personen sollten Zugang zu den Firewalls oder Systemen von Firewalls entsprechend ihrer Sachkenntnis haben. Die Firewalls werden oft verwaltet durch ein Fernmanagement-System unter Einsatz einer Netzwerkverbindung und einer gesicherten (verschlüsselten) Kommunikation. Die Firewall kommuniziert mit dem Management-System und gibt Leistungsfähigkeitsstatistiken, Statusinformation und Protokolldaten ab, während Absichtsaktualisierungen und Konfigurationsänderungen aufgenommen werden.
  • Wenn immer die Konfiguration, d.h. die Einstellungen oder die Software von einer Netzwerkeinrichtung geändert wird, besteht immer das Risiko, dass die Anschlussfähigkeit verloren geht zwischen einem Fernmanagement-System und der Einrichtung. Der Grund hierfür kann beispielsweise in einer Regel liegen, die einen Managementanschluss an die Firewall verhindert. In den meisten Fällen ist es ein menschlicher Fehler, der eine derartige Situation erzeugt. Wenn immer die Einrichtung unter Einsatz eines Netzwerkanschlusses verwaltet wird, bedeutet dies, dass es nicht möglich ist, ein Problem zu fixieren unter Einsatz eines Netzwerkanschlusses.
  • Dementsprechend liegt, um ein Problem zu fixieren, welches den Anschluss des Management-Systems an eine Netzwerkeinrichtung verhindert, eine Notwendigkeit vor, eine andere Art und Weise bereitzustellen, welche die Einrichtung verwaltet. Herkömmlicherweise war die üblichste Lösung dieses Problems ein Konsolenanschluss. Normalerweise bedeutet dies, dass der Administrator selbst zu der zu verwaltenden Einrichtung hingeht, um das Problem zu fixieren. Manchmal ist jedoch der Besuch am Einrichtungsort jedoch kein realistischer Weg, um überhaupt einwirken zu können. Dies liegt daran, dass die Netzwerkeinrichtung, die zu verwalten ist, sich in einem anderen Gebäude, einem anderen Land oder sogar auf einem anderen Kontinent befinden kann. In einer solchen Situation ist es typisch, dass jemand anderes das Problem lokal fixieren muss in den meisten Fällen entsprechend einer Instruktion, die von dem Administrator unter Einsatz eines Telefons oder einer Fax-Maschine gegeben wird. Auch diese Näherung erfordert die Verfügbarkeit einer geeigneten Person in der Nähe der zu verwaltenden Einrichtung, d.h. einer Person, die mit Administratorrechten betraut und erfahren genug ist, um die Einrichtung zu verwalten.
  • Es gibt dementsprechend herkömmliche Versuche, das Problem zu lösen, indem man sich bemüht, die Sachkenntnisse zu minimieren, die von einer Person an einer entfernten Stelle benötigt werden. Der erste ist ein Puffermodem-Bindeglied, d.h. die Netzwerkeinrichtung kann zugänglich gemacht werden, indem man einen Modemruf an eine vorgegebene Telefonnummer ausführt. Aus Sicherheitsgründen ist jedoch das Puffermodem-Bindeglied typischerweise nicht zu jeder Zeit aktiv. Die Bedienungsperson am entfernten Ort besitzt Instruktionen, wie das Bindeglied aktiviert wird, d.h. ein Kabel anzuschließen, den Versorgungsnetzanschluss einzuschalten usw.
  • Ein zweiter liegt in einer Anordnung, bei welcher eine neue Konfiguration zunächst in einem flüchtigen Speicher (z.B. RAM) innerhalb einer Einrichtung abgespeichert wird, und dann wird die laufende Konfiguration (d.h. die Konfiguration, die gegenwärtig im Einsatz ist) aufrechterhalten in einem dauerhaften nichtflüchtigen Speicher in der Einrichtung. Dann beginnt man, die neue Konfiguration in der Einrichtung einzusetzen. Wenn die neue Konfiguration fehlerhaft ist, ist es möglich, zu der laufenden Konfiguration zurückzukehren, indem man die Einrichtung erneut bootet. In diesem Fall muss die Bedienungsperson an dem entfernten Ort nur die Einrichtung erneut booten. In jedem Fall ist die Verfügbarkeit einer geeigneten Person in der Nähe der Einrichtung erforderlich, da die Einrichtung nicht von fern erneut gebootet werden kann. Ein weiteres Problem bei diesem Versuch liegt darin, dass es beim Administrator liegt, zu entscheiden, ob die neue Konfiguration als laufende Konfiguration gespeichert werden soll. Der Administrator kann die Konfiguration oftmals ändern ohne die laufende Konfiguration zu verändern. In diesem Fall ist es möglich, dass nach einem erneuten Booten die Einrichtung zu einer sehr alten Konfiguration zurückkehrt, die nicht der laufenden Situation entspricht. Eine weitere Möglichkeit liegt darin, dass der Administrator eine neue Konfiguration als laufende Konfiguration speichert, ohne dass er das entsprechende Wissen hat, ob die neue Konfiguration korrekt arbeitet oder nicht. In diesem Fall fixiert ein erneutes Booten der Einrichtung nicht das Problem einer nicht arbeitenden Konfiguration.
  • Es leuchtet ein, dass eine Fehlkonfiguration, die verhindert, dass der Fehler auch nur fixiert ist zu langen Zeitperioden führen kann, während welcher das Netzwerk überhaupt nicht verfügbar ist. Dies trifft auf alle Netzwerkeinrichtungen zu, die fernverwaltet werden, und nicht nur auf Firewalls. Bei den Firewalls ist es jedoch höher wahrscheinlich, derartige Probleme anzutreffen in erster Linie, da die Firewalls die einzigen Zugangspunkte zu einem Netzwerk sind und ausgelegt sind, einen Verkehr zu verhindern, der durch den Administrator nicht gestattet wird. Beispielsweise können ein Fehler bei der IP-Ansprache, einer Routine, einem Anti-Täuschungsvorgang, einer Netzwerkansprache-Übertragung, einer VPN- Definitionsregel oder Bindeglied-Geschwindigkeit oder Modus einer Netzwerkkarte die beschriebene Situation erzeugen.
  • Die US-548 244 beschreibt ein Verfahren zur zeitsynchronisierten Rekonfiguration eines Telekommunikationsnetzwerkes.
  • ZUSAMMENFASSUNG DER ERFINDUNG
  • Eine Aufgabe der Erfindung liegt darin, das Risiko zu reduzieren, eine Management-Anschließbarkeit zu verlieren aufgrund einer Misskonfiguration der Netzwerkeinrichtung.
  • Diese Aufgabe der Erfindung wird gelöst entsprechend der Erfindung durch ein Management-Verfahren, eine Netzwerkeinrichtung, ein Management-System und computerlesbare Medium entsprechend der Offenbarung in den Ansprüchen 1, 8, 13, 16 bzw. 17.
  • Weitere Ausführungsformen entsprechend der vorliegenden Erfindung werden definiert in den abhängigen Ansprüchen 2–7, 9–12, 14 und 15.
  • Gemäß der vorliegenden Erfindung wird ein Verlust der Management-Anschlussfähigkeit, nachdem eine Konfiguration geändert wurde, überprüft durch Errichten eines neuen Netzwerkanschlusses an die Einrichtung, nachdem die Konfigurationsänderungen in der Einrichtung angelegt wurden. Es ist nach wie vor möglich, einen neuen Anschluss zu erstellen und das Fernmanagement auszuführen, nachdem die Konfigurationsänderungen angelegt wurden, wobei die neue Konfiguration für den dauerhaften Einsatz angenommen und dauerhaft abgespeichert wurde. Wenn ein neuer Anschluss nicht hergestellt wird und die neue Konfiguration innerhalb einer vorgegebenen Zeitgrenze vom Beginn des Anlegens der neuen Konfiguration angenommen wurde, dann kehrt die verwaltete Einrichtung automatisch zurück zum Einsatz der zuvor abgespeicherten Konfiguration. Die automatische Rückkehr zum Einsatz der alten Konfiguration stellt auch die Anschlussfähigkeit an das Management-System wieder her und macht es hierdurch möglich, den Fehler zu fixieren. Somit wird die Auswirkung von menschlichen Fehlern reduziert. Darüber hinaus wird im Fall einer Firewall die Verfügbarkeit des Netzwerkes, welches durch die Firewall geschützt wurde, verbessert, da ein Fehler in der Konfiguration der Firewall ein Fixieren der Konfiguration nicht verhindert.
  • KURZE BESCHREIBUNG DER ZEICHNUNGEN
  • Die bevorzugten Ausführungsformen der Erfindung werden beschrieben unter Bezugnahme auf die beigefügten Zeichnungen.
  • 1 illustriert das Management-System und eine verwaltete Einrichtung,
  • 2 ist ein Programmablaufplan zur Erläuterung des Betriebes des Management-Systems und
  • 3 ist ein Programmablaufplan zur Erläuterung des Betriebes der verwalteten Netzwerkeinrichtung.
  • DETAILLIERTE BESCHREIBUNG DER ERFINDUNG
  • Unter Bezugnahme auf 1 wird eine Netzwerkeinrichtung 11, wie etwa eine Firewall durch ein Fernmanagement-System 10 über eine Netzwerkverbindung typischerweise über Internet verwaltet. Die Netzwerkverbindung ist vorzugsweise eine abgesicherte Verbindung und die Kommunikation ist vorzugsweise verschlüsselt. Es ist herauszustellen, dass jedes geeignete Netzwerk und Kommunikationsprotokoll eingesetzt werden kann, um die Netzwerkverbindung aufzubauen zwischen dem Management-System 10 und der verwalteten Einrichtung 11.
  • Es soll nun angenommen werden, dass der Administrator der Netzwerkeinrichtung 11 Änderungen in der Konfiguration der Einrichtung 11 ausführen soll. Diesbezüglich soll hier die Konfiguration jeglicher Einstellungen oder Software einschließen, die eine Auswirkung auf den Betrieb der Einrichtung 11 besitzen. Im Fall der Firewall sind Beispiele der Konfiguration IP-Adressierung, Routieren, Antitäuschung, Netzwerkadressen-Übertragung und VPN-Definitionen und Regeln, ohne dass jedoch die Erfindung auf diese Beispiele beschränkt werden sollen.
  • Als erstes befiehlt der Administrator dem Management-System 10 eine Verbindung zu der Einrichtung 11, die zu konfigurieren ist, aufzubauen entsprechend der Darstellung in Schritt 21 in 2. Dann setzt der Administrator das Management-System 10 ein, um die Konfiguration der Einrichtung 11 über den aufgebauten Netzwerkanschluss zu ändern (Schritt 22 in 2). Gemäß einer Ausführungsform der Erfindung kann das Management-System auch Zeitparameter definieren, wie etwa das Datum und/oder die Tageszeit und/oder eine Relativzeit, wobei die Zeit eingestellt wird, wann die Einrichtung starten sollte, die geänderte Konfiguration anzuwenden und einzusetzen, wenn sie nicht augenblicklich angewendet werden soll. Diese Zeitvorgabe kann wirksam machen, dass verschiedene Einrichtungen 11 (z.B. Firewalls) starten können, um eine neue Konfiguration zur gleichen Zeit einzusetzen, obwohl die Konfiguration auf unterschiedliche Einrichtungen zu unterschiedlichen Zeiten einwirken kann. Die Einrichtung 11 empfängt die Änderung der Konfiguration (die wahlweise die Zeitsteuerungsparameter zur Zeitsteuerung des Einsatzes der geänderten Konfiguration einschließen kann) von dem Management-System 10 über die Netzwerkverbindung und sieht die geänderte Konfiguration als eine "nächste Konfiguration" in Betracht entsprechend der Darstellung in Schritt 31 in 3. Die nächste Konfiguration kann in einem flüchtigen Speicher (z.B. RAM) abgespeichert werden in der Einrichtung 11 und die laufende Konfiguration (d.h. die Konfiguration, die gegenwärtig im Einsatz ist) kann aufrechterhalten werden in dem dauerhaften nicht-flüchtigen Speicher innerhalb der Einrichtung 11. Eine weitere Möglichkeit liegt darin, beide Konfigurationen in dem nicht-flüchtigen Speicher abzuspeichern, so dass man zwei unterschiedliche Adressenverweiser besitzt, die auf Konfigurationen hinweisen. Im letzteren Fall können mehrere alte Konfigurationen in der Einrichtung gespeichert sein. Die unterschiedlichen Konfigurationen können durchnumeriert sein und die Adressenverweiser können beispielsweise nächste und laufende sein entsprechend der nächsten Konfiguration und der laufenden Konfiguration.
  • Dann beginnt die Einrichtung 11 die nächste Konfiguration (d.h. die geänderte Konfiguration) anzuwenden. Gemäß einer Ausführungsform der Erfindung beginnt die Einrichtung 11, vorzugsweise die nächste Konfiguration anzuwenden, nachdem ein Befehl empfangen wurde von dem Management-System 11 über den Netzwerkanschluss (Schritt 32 in 3). Das Management-System wartet eine vorbestimmte Zeitperiode ab, die im Bereich von Millisekunden bis Dutzenden von Sekunden dauert und versucht dann einen neuen Anschluss an die Einrichtung 11 aufzubauen (Schritte 23 und 24 in 2). Alternativ kann gemäß einer anderen Ausführungsform der Erfindung das Management-System 10 versuchen, eine neue Verbindung aufzubauen unmittelbar nachdem die Konfiguration geändert wurde und der Befehl ausgegeben wurde sie anzuwenden. Wenn die nächste Konfiguration eine Software-Aktualisierung oder eine neue Software ist, ist es typisch, dass dann, wenn die nächste Konfiguration zur Anwendung eingeleitet wird, die Einrichtung 11 erneut gebootet werden muss, nachdem die Konfiguration geändert wurde und der Befehl ausgegeben wurde, sie über den ersten Anschluss anzuwenden.
  • Bei noch einer weiteren Ausführungsform der Erfindung fordert die Einrichtung 11, nachdem sie begonnen hat, die geänderte Konfiguration anzuwenden, das Management-System auf, eine neue Verbindung aufzubauen. Dies ist besonders zur Anwendung geeignet, wenn der Einsatz der geänderten Konfiguration zeitgesteuert ist, beispielsweise basierend auf den Zeitsteuerungsparametern. Dies beruht auf der Tatsache, dass bei dem zeitgesteuerten Betrieb das Management-System 10 die genaue Zeit nicht weiß, an welcher die Einrichtung beginnt, die geänderte Konfiguration einzusetzen und es kann dementsprechend nicht genau die Zeit bestimmen, zu welcher es versuchen soll, eine neue Verbindung zu der Einrichtung 11 aufzubauen. Die Aufforderung, die von der Einrichtung 11 abgesandt wird, synchronisiert den Betrieb der Einrichtung 11 und des Management-Systems 10 diesbezüglich. Es ist herauszustellen, dass es nicht ausreicht, dass die Einrichtung 11 eine Verbindung zum Management-System 10 öffnet und das Management- System 10 über den gleichen Anschluss anspricht. Der Steueranschluss soll ein neuer Anschluss sein, der von dem Management-System 10 geöffnet wird in Abhängigkeit von der Aufforderung von der Einrichtung 11.
  • Unter Bezugnahme auf 3 überwacht die Einrichtung 11, ob ein neuer Netzwerkanschluss von dem Management-System empfangen wird innerhalb einer vorbestimmten Zeitgrenze, z.B. 0,5 bis 30 s, vorzugsweise 1 bis 10 s (Schritte 33 und 44) vom Beginn der Anwendung der geänderten Konfiguration oder der Absendung der Aufforderung. Wenn ein neuer Netzwerkanschluss empfangen wird von dem Management-System 10 innerhalb der Zeitgrenze, akzeptiert die Netzwerkeinrichtung die nächste Konfiguration für den dauerhaften Einsatz. Dies kann ausgeführt werden beispielsweise durch die Abspeicherung der nächsten Konfiguration als laufende Konfiguration im dauerhaften nicht-flüchtigen Speicher, wodurch die vorangehenden Konfigurationen überschrieben werden (Schritt 36), oder durch Neuarrangieren des Adressenverweiser-Stromes, so dass er auf die gleichen Konfigurationsdaten verweist, wie der nächste Adressenverweiser. Die Einrichtung 11 kann einen Netzwerkanschluss von dem Management-System 10 als erfolgreich empfangen ansehen, wenn ein Anschluss aufgebaut ist. Ein erfolgreich aufgebauter Anschluss kann jedoch auch eine Kommunikation zwischen der Einrichtung 11 und dem Management-System 10 involvieren oder die Netzwerkeinrichtung 11 kann sogar einen speziellen Befehl von dem Management-System erfordern vor dem dauerhaften Annehmen der geänderten Konfiguration.
  • Wenn ein neuer Anschluss nicht erfolgreich aufgebaut wurde von dem Management-System 10 zu der Netzwerkeinrichtung 11 (welches auch eine Kommunikation zwischen der Netzwerkeinrichtung und dem Management-System 10, wie oben beschrieben involvieren kann) innerhalb einer vorgegebenen Zeitgrenze, kehrt die Netzwerkeinrichtung 11 automatisch zum Einsatz der laufenden Konfiguration zurück (z.B. der Konfiguration, die vor den Änderungen eingesetzt wurde) im Schritt 35. Wenn dementsprechend ein Fehler in der neuen Konfiguration vorliegt, welcher verursacht, dass die Netzwerkeinrichtung 11 versagt oder nicht in der Lage ist, einen Management-Anschluss von dem Management-System 10 zu empfangen, kehrt die Netzwerkeinrichtung 11 automatisch zum normalen Betrieb zurück durch das Einsetzen der alten Konfiguration. Das Management-System 10 ist nun in der Lage, einen weiteren Anschluss zur Netzwerkeinrichtung 11 herzustellen, um erneut die Netzwerkeinrichtung wieder zu konfigurieren. Wenn das Management-System an die Netzwerkeinrichtung 11 zum ersten Mal angeschlossen ist, nachdem die Netzwerkeinrichtung 11 die alte Konfiguration wieder hergestellt hat, informiert die Netzwerkeinrichtung 11 vorzugsweise das Management-System 10 über diesen Vorgang. Wenn darüber hinaus die Netzwerkeinrichtung 11 aus irgendeinem Grund im Leistungszyklus betrieben wird (eingeschaltet und ausgeschaltet) oder erneut initialisiert wird vor der endgültigen Anerkennung der geänderten Konfiguration (d.h. während der Schritte 33 und 34 in 3), kommt die laufende Konfiguration, die in den permanenten nichtflüchtigen Speicher abgespeichert ist, zum Einsatz.
  • Die gleiche Näherung kann eingesetzt werden, wann immer die Software modifiziert wird (eine Software-Aktualisierung oder ein Korrekturbefehl) innerhalb einer Netzwerkeinrichtung. Typischerweise besteht für die Software-Aktualisierung die Notwendigkeit eines erneuten Bootens. Die Netzwerkeinrichtung 11 muss einmal mit der neu installierten Software neu gebootet werden. Wenn das neue Booten versagt, stürzt die Netzwerkeinrichtung 11 ab oder ist nicht in der Lage, einen Management-Anschluss aufzunehmen, und dementsprechend bootet die Einrichtung erneut mit der alten Software und/oder die alte Konfiguration kommt zum Einsatz gemäß der vorliegenden Erfindung. Nur nach einem erfolgreichen Einsatz der neuen Software wird diese als eine fehlerhafte Software bestätigt, die zur Boot-Zeit geladen wird.
  • Die vorliegende Erfindung kann in allen Netzwerkeinrichtungen eingesetzt werden, obwohl sie besonders für Firewalls geeignet ist.
  • Es leuchtet dem Sachverständigen auf diesem Gebiet ein, dass die beschriebenen illustrativen Ausführungsformen nur Beispiele sind und das verschiedene Modifikationen zum Verfahren, zur Einrichtung und zum System gemacht werden können, die innerhalb des Rahmens der Erfindung liegen, wie er durch die beigefügten Ansprüche definiert ist.

Claims (17)

  1. Verfahren zur Verwaltung einer Einrichtung, wobei das Verfahren die folgenden Schritte umfasst, nämlich Aufbauen eines Netzwerkanschlusses von einem Verwaltungssystem (10) an eine Einrichtung (11) mit einer ersten Konfiguration, Ändern der Konfiguration der Einrichtung (11) durch das Verwaltungssystem (10) über den Netzwerkanschluss, Anlegen der geänderten Konfiguration an die Einrichtung (11), gekennzeichnet durch die weiteren Schritte, nämlich Einleiten eines Aufbaues eines neuen Netzwerkanschlusses von dem Verwaltungssystem (10) zu der Einrichtung (11) und permanentes Aufnehmen der geänderten Konfiguration als eine neue Konfiguration in der Einrichtung (11), wenn der neue Netzwerkanschluss erfolgreich aufgebaut ist von dem Verwaltungssystem innerhalb einer vorbestimmten Zeitperiode nach dem Anlegen der geänderten Konfiguration in der Einrichtung (11) oder Zurückkehren zu der ersten Konfiguration in der Einrichtung (11), wenn der neue Netzwerkanschluss versagt.
  2. Verfahren gemäß Anspruch 1, gekennzeichnet durch einen weiteren Schritt, nämlich Zeitsteuern eines Momentes, bei welchem die Einrichtung (11) beginnt, die geänderte Konfiguration anzulegen.
  3. Verfahren gemäß Anspruch 1 oder 2, gekennzeichnet durch einen weiteren Schritt, nämlich die Einrichtung (11) fordert von dem Verwaltungssystem (10) den neuen Netzwerkanschluss aufzubauen, wenn die Einrichtung (11) beginnt, die geänderte Konfiguration anzulegen.
  4. Verfahren gemäß einem der Ansprüche 1 bis 3, gekennzeichnet durch weitere Schritte, nämlich Verwenden der ersten Konfiguration in der Einrichtung, wenn die Einrichtung (11) leistungszykliert oder lokal reinitialisiert wird vor dem Schritt des Annehmens und Verwenden der geänderten Konfiguration in der Einrichtung (11), wenn die Einrichtung (11) leistungszykliert oder reinitialisiert wird nach dem Schritt des Annehmens.
  5. Verfahren gemäß einem der Ansprüche 1 bis 3, gekennzeichnet durch weitere Schritte, nämlich Informieren des Verwaltungssystems (10) bezüglich der Verwendung der ersten Konfiguration in der Einrichtung (11), wenn der nächste Netzwerkanschluss aufgebaut wird zur Einrichtung (11).
  6. Verfahren gemäß einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass die Konfiguration (1) Software und/oder (2) Einstellungen der Einrichtung (11) umfasst.
  7. Verfahren gemäß einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass die Einrichtung (11) eine Firewall ist.
  8. Netzwerkeinrichtung fernverwaltet durch ein Verwaltungssystem (10), wobei die Einrichtung (11) die folgenden Merkmale umfasst einen Speicher zum Abspeichern einer ersten Konfiguration einen ersten Mechanismus, der das Verwaltungssystem in die Lage versetzt, die erste Konfiguration über einen Netzwerkanschluss zu ändern, dadurch gekennzeichnet, dass die Netzwerkeinrichtung darüber hinaus einen zweiten Mechanismus umfasst, der die geänderte Konfiguration für die Dauerverwendung annimmt, wenn ein neuer Netzwerkanschluss erfolgreich aufgebaut ist von dem Verwaltungssystem (10) innerhalb einer vorbestimmten Zeitperiode nach dem Anlegen der geänderten Konfiguration in der Netzwerkeinrichtung (11), und Zurückführen der Netzwerkeinrichtung (11) zur anderweitigen Verwendung der ersten Konfiguration.
  9. Netzwerkeinrichtung gemäß Anspruch 8, dadurch gekennzeichnet, dass die Konfiguration (1) Software und/oder (2) Einstellungen der Netzwerkeinrichtung (11) umfasst.
  10. Netzwerkeinrichtung gemäß Anspruch 8 oder 9, dadurch gekennzeichnet, dass die Einrichtung (11) eine Firewall ist.
  11. Netzwerkeinrichtung gemäß einem der Ansprüche 8 bis 10, dadurch gekennzeichnet, dass die Netzwerkeinrichtung (11) eine Zeitgebereinrichtung umfasst zur zeitlichen Steuerung eines Momentes, bei welchem die Einrichtung (11) beginnt, die geänderte Konfiguration anzulegen.
  12. Netzwerkeinrichtung gemäß einem der Ansprüche 8 bis 11, dadurch gekennzeichnet, dass die Netzwerkeinrichtung (11) ausgebildet ist, um vom Verwaltungssystem (10) zu fordern, den neuen Netzwerkanschluss aufzubauen, wenn die Einrichtung (11) beginnt, die geänderte Konfiguration anzulegen.
  13. Verwaltungssystem zur Fernverwaltung einer Netzwerkeinrichtung, wobei das Verwaltungssystem (10) folgendes umfasst ein mechanisches Aufbauen eines ersten Netzwerkanschlusses für die Netzwerkeinrichtung (11) zur Änderung einer Konfiguration in der Netzwerkeinrichtung (11), dadurch gekennzeichnet, dass das Verwaltungssystem darüber hinaus folgendes umfasst einen zweiten Mechanismus zum Aufbau eines neuen Anschlusses an die Netzwerkeinrichtung (11) innerhalb einer vorbestimmten Zeitperiode nach dem ersten Netzwerkanschluss oder nach einer Anforderung von der Netzwerkeinrichtung (11), um die geänderte Konfiguration für einen dauerhaften Einsatz zu bestätigen.
  14. Verwaltungssystem gemäß Anspruch 13, dadurch gekennzeichnet, dass die Konfiguration (1) Software und/oder (2) Einstellungen der Netzwerkeinrichtung umfasst.
  15. Verwaltungssystem gemäß Anspruch 13 oder 14, dadurch gekennzeichnet, dass das Verwaltungssystem (10) Firewalls verwalten soll.
  16. Computerlesbares Medium, welches eine Computersoftware enthält, dadurch gekennzeichnet, dass die Ausführung der Software in einem Computer den Computer veranlasst, die folgenden Schritte auszuführen Verwenden einer ersten Konfiguration, Aufnahme einer Änderung der Konfiguration über einen ersten Netzwerkanschluss von einem Verwaltungssystem (10), Anlegen der geänderten Konfiguration, Annehmen der geänderten Konfiguration dauerhaft als eine neue Konfiguration, wenn ein neuer Netzwerkanschluss aufgebaut ist von dem Verwaltungssystem (10), und Rückkehr zur Verwendung der ersten Konfiguration, wenn der neue Netzwerkanschluss versagt oder nicht aufgebaut ist innerhalb einer vorbestimmten Zeitperiode.
  17. Computerlesbares Medium enthaltend eine Computersoftware, dadurch gekennzeichnet, dass das Ausführen der Software in einem Computer den Computer veranlasst, für eine Fernverwaltung einer Netzwerkeinrichtung (11) die folgenden Schritte auszuführen, nämlich Aufbauen eines ersten Netzwerkanschlusses an die Netzwerkeinrichtung für die Änderung der Konfiguration in der Netzwerkeinrichtung (11), Aufbauen eines neuen Anschlusses an die Netzwerkeinrichtung (11) innerhalb einer vorbestimmten Zeitperiode nach dem ersten Netzwerkanschluss oder nach einer Anforderung von der Netzwerkeinrichtung (11), um die geänderte Konfiguration für einen dauerhaften Einsatz zu bestätigen.
DE60205162T 2001-04-23 2002-04-16 Verfahren zur Verwaltung eines Netzwerkgerätes, Verwaltungssystem und Netzwerkgerät Expired - Lifetime DE60205162T2 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FI20010831 2001-04-23
FI20010831A FI20010831A0 (fi) 2001-04-23 2001-04-23 Menetelmä verkkolaitteen hallitsemiseksi, hallintajärjestelmä ja verkkolaite

Publications (2)

Publication Number Publication Date
DE60205162D1 DE60205162D1 (de) 2005-09-01
DE60205162T2 true DE60205162T2 (de) 2006-04-20

Family

ID=8561033

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60205162T Expired - Lifetime DE60205162T2 (de) 2001-04-23 2002-04-16 Verfahren zur Verwaltung eines Netzwerkgerätes, Verwaltungssystem und Netzwerkgerät

Country Status (5)

Country Link
US (1) US7739727B2 (de)
EP (1) EP1259028B1 (de)
AT (1) ATE300822T1 (de)
DE (1) DE60205162T2 (de)
FI (1) FI20010831A0 (de)

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100449032B1 (ko) * 2002-08-21 2004-09-16 삼성전자주식회사 홈네트워크 원격 관리 시스템의 엔티티간 데이터 송수신방법
US7533166B2 (en) * 2002-12-05 2009-05-12 Siemens Communications, Inc. Method and system for router misconfiguration autodetection
US20040267910A1 (en) * 2003-06-24 2004-12-30 Nokia Inc. Single-point management system for devices in a cluster
US20050198314A1 (en) * 2004-02-06 2005-09-08 Coon Tony T. Method and apparatus for characterizing a network connection
DE102004027160B4 (de) * 2004-06-03 2006-06-14 Siemens Ag Verfahren zur Konfigurierung eines Routers sowie Computerprogrammprodukt und System zur Durchführung des Verfahrens
JP2008147941A (ja) * 2006-12-08 2008-06-26 Canon Inc 監視装置、画像形成装置、監視システム、ネットワークの設定変更方法、及びプログラム
US8391168B2 (en) * 2007-03-14 2013-03-05 Cisco Technology, Inc. Automatically discovering architectural roles of packet switching devices
US20090158386A1 (en) * 2007-12-17 2009-06-18 Sang Hun Lee Method and apparatus for checking firewall policy
WO2009152855A1 (en) * 2008-06-18 2009-12-23 Telefonaktiebolaget Lm Ericsson (Publ) Network configuration
CN102014530A (zh) * 2009-09-04 2011-04-13 中兴通讯股份有限公司 一种配置更新失败后的处理方法和网元设备
TWI413378B (zh) * 2010-08-31 2013-10-21 Hon Hai Prec Ind Co Ltd 網路裝置及其參數設定方法
WO2012048873A1 (en) * 2010-10-15 2012-04-19 Deutsche Telekom Ag Method for operating a remote controlled network element
US9152522B2 (en) * 2010-10-22 2015-10-06 Hewlett-Packard Development Company, L.P. Methods for configuration management using a fallback configuration
US10855734B2 (en) 2011-06-29 2020-12-01 Interdigital Ce Patent Holdings Remote management of devices
GB2498714A (en) * 2012-01-19 2013-07-31 Cambium Networks Ltd Automatic reversion to a working configuration following faulty re-configuration of a network node
US9225703B2 (en) * 2013-05-31 2015-12-29 Richo Company, Ltd. Protecting end point devices
US9830141B2 (en) * 2013-12-23 2017-11-28 Google Llc Providing a software update to computing devices on the same network
CN103985011A (zh) * 2014-05-16 2014-08-13 中国科学技术大学 一种仪器管理系统的刷卡控制器快速部署方法
EP3024175B1 (de) * 2014-11-19 2019-07-31 Tanaza S.p.A. Verfahren und system zur fernverwaltung von netzwerkvorrichtungen
EP3497882B1 (de) 2016-08-08 2023-05-17 Cognian Technologies Ltd Netzwerkvorrichtungen
KR101876736B1 (ko) * 2016-09-01 2018-07-10 현대자동차주식회사 적응형 연결 서비스 제공 장치 및 그 제어방법

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5390324A (en) 1992-10-02 1995-02-14 Compaq Computer Corporation Computer failure recovery and alert system
US5848244A (en) * 1996-12-20 1998-12-08 Mci Communications Corporation System and method for time-based real-time reconfiguration of a network
US6243815B1 (en) * 1997-04-25 2001-06-05 Anand K. Antur Method and apparatus for reconfiguring and managing firewalls and security devices
US6029196A (en) * 1997-06-18 2000-02-22 Netscape Communications Corporation Automatic client configuration system
US6098098A (en) * 1997-11-14 2000-08-01 Enhanced Messaging Systems, Inc. System for managing the configuration of multiple computer devices
US6286038B1 (en) * 1998-08-03 2001-09-04 Nortel Networks Limited Method and apparatus for remotely configuring a network device
SE9902336A0 (sv) * 1999-06-18 2000-12-19 Ericsson Telefon Ab L M Metod och system för kommunikation
JP2001086118A (ja) 1999-09-16 2001-03-30 Nec Corp コンピュータ機器遠隔管理方法
JP2001084223A (ja) 1999-09-16 2001-03-30 Nec Corp コンピュータ機器遠隔分散管理方法
US6978301B2 (en) * 2000-12-06 2005-12-20 Intelliden System and method for configuring a network device

Also Published As

Publication number Publication date
EP1259028B1 (de) 2005-07-27
US20020157018A1 (en) 2002-10-24
EP1259028A2 (de) 2002-11-20
ATE300822T1 (de) 2005-08-15
FI20010831A0 (fi) 2001-04-23
EP1259028A3 (de) 2004-01-14
US7739727B2 (en) 2010-06-15
DE60205162D1 (de) 2005-09-01

Similar Documents

Publication Publication Date Title
DE60205162T2 (de) Verfahren zur Verwaltung eines Netzwerkgerätes, Verwaltungssystem und Netzwerkgerät
EP1701478B1 (de) Anordnung und Verfahren zur automatischen Konfiguration von Schnittstellen einer drahtlosen Verbindung zur Datenübertragung
DE60205163T2 (de) Aktualisierungsverfahren von Heimgeräteprotokollen
WO2005004160A2 (de) Verfahren zur durchführung eines software-updates eines elektronischen steuergerätes durch eine flash-programmierung über eine serielle schnittstelle und ein entsprechender zustandsautomat
EP1208671B1 (de) System und verfahren zum testen der belastung wenigstens einer ip-gestützten einrichtung
EP3080950B1 (de) Verfahren und system zur deterministischen autokonfiguration eines gerätes
DE60225766T2 (de) Fehlertolerantes System zur Leitweglenkung in inter-autonomen Systemen
DE602004010111T2 (de) Backup-zellensteuerung
DE102021107655A1 (de) Protokollverwaltung für ein mehrknotendatenverarbeitungssystem
DE102018112364A1 (de) Verfahren zum Bereitstellen anwendungsorientierter Software sowie Computersystem
DE102005009639A1 (de) Verfahren und Vorrichtung zum Sichern individueller Einstellungsdaten
DE60306553T2 (de) Umkonfiguration von heterogenen programmierbaren plattformen
DE60214688T2 (de) Verfahren zur aktualisierung von programmen in einem netzwerkserver mit zugehörigem system und softwareprodukt
WO2004114131A1 (de) Verfahren zum nachladen einer software in den bootsektor eines programmierbaren lesespeicher
DE69910469T2 (de) Elektronisches Gerät mit einem externen, Korrekturprogram enthaltendem Speicher
EP1031078B1 (de) Verfahren zum laden eines programms
EP3659322B1 (de) Softwareverteilungsverfahren, und softwareverteilungssystem für ein spurgebundenes fahrzeug
DE60010130T2 (de) System und verfahren zur gesicherten aktualisierung und zum laden von kabelmodemfirmware
DE10206001A1 (de) Verfahren zur Steuerung der Installation von Programmcode auf Netzelementen
EP2645630A1 (de) Adaptives Remote-Service-Protokoll
DE102004017698A1 (de) SCADA-System
DE102007025004A1 (de) Steuerungsprogramm mit austauschbaren Parametern
EP1107515A2 (de) Verfahren zur Änderung des Betriebssystems eines Telekommunikationsendgerätes
EP0744874A2 (de) Verfahren zur Behebung von programmbezogenen Fehlern in programmgesteuerten Kommunikationsanlagen
DE102018104227A1 (de) Kommunikationsmodul sowie Verfahren zum Einrichten eines solchen Kommunikationsmoduls

Legal Events

Date Code Title Description
8364 No opposition during term of opposition