DE69831502T2 - Verfahren zum erzeugen von filtern, welche das einbruchrisiko in verbundene rechnernetze verhindern - Google Patents
Verfahren zum erzeugen von filtern, welche das einbruchrisiko in verbundene rechnernetze verhindern Download PDFInfo
- Publication number
- DE69831502T2 DE69831502T2 DE69831502T DE69831502T DE69831502T2 DE 69831502 T2 DE69831502 T2 DE 69831502T2 DE 69831502 T DE69831502 T DE 69831502T DE 69831502 T DE69831502 T DE 69831502T DE 69831502 T2 DE69831502 T2 DE 69831502T2
- Authority
- DE
- Germany
- Prior art keywords
- objects
- graphical interface
- security area
- laws
- filters
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10—TECHNICAL SUBJECTS COVERED BY FORMER USPC
- Y10S—TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10S715/00—Data processing: presentation processing of document, operator interface processing, and screen saver display processing
- Y10S715/961—Operator interface with visual structure or function dictated by intended use
- Y10S715/965—Operator interface with visual structure or function dictated by intended use for process control and configuration
- Y10S715/966—Computer process, e.g. operation of computer
- Y10S715/968—Computer process, e.g. operation of computer interface for database querying and retrieval
Landscapes
- Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Business, Economics & Management (AREA)
- General Engineering & Computer Science (AREA)
- General Business, Economics & Management (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Automobile Manufacture Line, Endless Track Vehicle, Trailer (AREA)
- Eye Examination Apparatus (AREA)
- Threshing Machine Elements (AREA)
- Input Circuits Of Receivers And Coupling Of Receivers And Audio Equipment (AREA)
- Prostheses (AREA)
- Transition And Organic Metals Composition Catalysts For Addition Polymerization (AREA)
Description
- Die Erfindung betrifft untereinander verbundene EDV-Datennetzwerke.
- Die offene Eigenschaft der Datennetzwerke nach dem Internet-Protokoll bietet viele Vereinfachungen. Sie birgt jedoch auch eine Vielzahl von Gefahren, das Eindringrisiko in die Netzwerke und Schwierigkeiten, sich dagegen zu schützen. Es gibt Geräte und Programme, mit denen die das Internet-Protokoll benutzende Pakete gefiltert werden können. Jedoch ist die Beherrschung dieser Filtertechniken zum Anwenden anspruchsvoller Sicherheitspolitiken schwierig und komplex.
- Die Erfindung betrifft ein das Internet-Protokoll verwendende Verfahren und ein System zur graphischen Darstellung der Programmierungsdaten der Filter, welche die Gefahr des Eindringens in untereinander verbundene Datennetzwerke abstellen sollen.
- Die weiter unten zum Darstellen der technischen Lösung nach der Erfindung verwendeten Ausdrücke werden folgendermaßen definiert:
- – Als „Netzwerk" werden ein oder mehrere geschlossene (im topologischen Sinne des Ausdrucks) Intervalle von Adressen des Internet-Protokolls bezeichnet.
- – Als „Gegenstände" werden die Elemente, die ein Netzwerk bilden, bezeichnet. Somit sind Gegenstände im Sinne der Erfindung die folgenden Dinge, ohne dass diese Aufzählung erschöpfend sei: Rechner, EDV-Geräte, Server, Drucker, (physische und logische) Netzwerke, (physische und logische) Teilnetze, Filterungsvorrichtungen, Firewalls, Benutzer oder Benutzergruppen, EDV-Anwendungen. Ein Gegenstand wird durch seinen Typ und seinen Namen charakterisiert. So ist beispielsweise ein filternder Router ein Typ von Gegenstand sowie eine Menge von Netzwerken. Ein Gegenstand besitzt eine Adresse oder mehrere Adressen oder ein geschlossenes Adressenintervall bzw. mehrere geschlossene Adressenintervalle.
- – Als „Protokoll" wird eine Vereinbarung bezeichnet, welche die im Bereich der Telekommunikationen einzuhaltenden Regeln und technischen Spezifikationen genau bestimmt, um den untereinander kompatiblen Betrieb der Gegenstände sicherzustellen.
- – Unter „Kommunikationsprotokoll" versteht man ein Protokoll, wie beispielsweise das Internet-Protokoll, welches eine Technik zur Datenübertragung definiert.
- – Als „Anwendungsprotokoll" oder „Dienstleistung" bezeichnet man ein Protokoll, das eine Technik zum Datenaustausch oder zum Austausch von Befehlen für eine gegebene Anwendung definiert.
- – Als „Klasse" bezeichnet man die Menge der Adressen, welche dieselben Kommunikationsgesetze aufweisen. Eine Klasse kann eine Zusammenfügung anderer Klassen sein. Die Klassen sind Gegenstände im Sinne der vorliegenden Erfindungsbeschreibung.
- – Unter „Kommunikationsgesetz" versteht man ein Gesetz welches, für das betroffene Anwendungsprotokoll, die Kommunikation zwischen einem Paar von Gegenständen, einem Paar von Klassen oder einem gemischten Paar (Klasse, Gegenstand) zulässt oder untersagt.
- – Als „Sicherheitsbereich" bezeichnet man eine Menge von untereinander verbundenen Gegenständen, auf welche für jeden Gegenstand spezifische bzw. allgemeine Kommunikationsgesetze angewandt werden.
- – Als „Bindeglied" oder „Verbindung" bezeichnet man die physikalischen Verbindungen (beispielsweise Netzwerkkabel), welche die Gegenstände untereinander verbinden. Ein Netzwerk ist eine Menge untereinander verbundener Gegenstände.
- – Als „Router" bezeichnet man ein Gerät, welches die Verbindung von getrennten Netzwerken untereinander ermöglicht.
- – Als „Filter" bezeichnet man die technischen Mittel, die den Einsatz von Kommunikationsgesetzen ermöglichen. So ermöglicht beispielsweise die Programmierung eines Routers das Steuern der Kommunikationsmöglichkeit zwischen zwei untereinander getrennten Netzwerken. Man bezeichnet beispielsweise als filternden Router jedes Gerät, mit dem das Internet-Protokoll gefiltert werden kann.
- In der Patentanmeldung
EP 0 658 837 (CHECKPOINT SOFTWARE TECHNOLOGIES LTD.) werden ein Verfahren und ein System zum Anzeigen der Programmierungsdaten eines Filters auf dem Bildschirm eines EDV-Terminals beschrieben. Dieses Verfahren und dieses System setzen ein tabellarisches System ein, welches Zeilen und Spalten umfasst. Der Benutzer setzt in den Kästchen dieses tabellarischen Systems alphanumerische Marken oder Symbole ein. Das System ermöglicht nicht das Anzeigen untereinander verbundener komplexer Netzwerke und gibt nicht eine unmittelbar verständliche Darstellung des Sicherheitsbereiches wieder. Über einige zehn Zeilen hinaus ist das tabellarische System für den Benutzer nicht verwendbar. - Die von der Erfindung bezweckten Ziele, nämlich die graphische Darstellung von Programmierungsdaten von Filtern, welche die Eindringgefahren in untereinander verbundene Datennetzwerke unterbinden sollen, sind somit nicht vergleichbar mit den in der Patentanmeldung
EP 0 658 837 beschriebenen Zielen, welche eine Darstellung der Programmierungsdaten mittels eines tabellarischen Systems bezwecken. Die technische Lösung der Erfindung ermöglicht das Erreichen der angepeilten Ziele in einfacher und automatischer Weise. - Das Verfahren der Erfindung umfasst den Einsatz einer graphischen Schnittstelle, um in iterativer Weise:
- – die Gegenstände, die Netzwerke, die Router und die Klassen des Sicherheitsbereiches auf der graphischen Schnittstelle zu erzeugen, anzuzeigen und zu bewegen,
- – die Anwendungsprotokolle, für welche die Filter erzeugt werden müssen, zu wählen und anzuzeigen,
- – für jedes vorab gewählte Anwendungsprotokoll die Kommunikationsgesetze mit Hilfe von mit Pfeilen behafteten Kurven, welche die Gegenstände und/oder die Klassen des Sicherheitsbereiches verbinden, auf der graphischen Schnittstelle zu zeichnen,
- [TEXT FEHLT] augenblickliche Erzeugen der mit den filternden Routern zusammenhängenden Filtern, welche die betroffenen Gegenstände betreffen. Zu diesem Zweck und nach einem zusätzlichen Schritt des Verfahrens, werden die für die Kommunikationsgesetze repräsentativen graphischen Daten in Programmierungsdaten der filternden Routern konvertiert.
- Das Verfahren der Erfindung ermöglicht die Verwendung der graphischen Schnittstelle zur Anzeige der Sicherheitspolitik des Sicherheitsbereiches und, gegebenenfalls, zum Ändern derselben. Bevorzugterweise werden die Kommunikationsgesetze zwischen den Gegenständen oder den Klassen auf der graphischen Schnittstelle durch Wahl der vorgegebenen Anwendungsprotokolle geändert.
- Die vorliegende Erfindung betrifft ebenfalls ein System zur graphischen Anzeige der Programmierungsdaten für Filter nach dem Internet-Protokoll, welche die Gefahren des Eindringens in untereinander verbundene Datennetzwerke verhindern sollen. Das erwähnte System besteht in der Anwendung einer mit einem Berechnungsterminal assoziierten graphischen Schnittstelle sowie von Steuermitteln, welche zu den folgenden Zwecken mit der graphischen Schnittstelle in Wechselwirkung stehen:
- – die Gegenstände, die Netzwerke, die Router und die Klassen des Sicherheitsbereiches auf der graphischen Schnittstelle zu erzeugen, anzuzeigen und zu bewegen,
- – die Anwendungsprotokolle, für welche die Filter erzeugt werden müssen, zu wählen und anzuzeigen,
- – für jedes vorab gewählte Anwendungsprotokoll, die Kommunikationsgesetze mit Hilfe von mit Pfeilen behafteten Kurven, welche die Gegenstände und/oder die Klassen des Sicherheitsbereiches verbinden, auf der graphischen Schnittstelle zu zeichnen, so dass die Zeichnung dieser mit Pfeilen behafteten Kurven die Darstellung der Kommunikationsgesetze des Sicherheitsbereiches ermöglicht.
- Die Zeichnung dieser für die Kommunikationsgesetze repräsentativen, mit Pfeilen behafteten Kurven, ermöglicht das gleichzeitige und sofortige Erzeugen von Filtern, die mit den filternden Routern assoziiert sind und auf die betroffenen Gegenstände angewandt werden. Zu diesem Zweck, und nach einer zusätzlichen Eigenschaft, umfasst das System Berechnungsmittel zum Konvertieren der für die Kommunikationsgesetze repräsentativen graphischen Daten in Programmierungsdaten der filternden Routern.
- Das System der Erfindung ermöglicht die Verwendung der graphischen Schnittstelle zum Anzeigen der Sicherheitspolitik des Sicherheitsbereiches sowie um diese gegebenenfalls zu ändern. Um die Kommunikationsgesetze zwischen Gegenständen oder Klassen auf der graphischen Schnittstelle zu ändern, weisen bevorzugterweise die Steuermittel Mittel zum Wählen von vorgegebenen Anwendungsprotokollen auf.
- Weitere Eigenschaften und Vorteile der Erfindung werden beim Lesen der Beschreibung einer Ausführungsvariante der Erfindung deutlich, die nur als Beispiel vorgestellt wird sowie beim Betrachten der beigefügten Figuren, wobei:
-
1 eine perspektivische schematische Darstellung des Systems der Erfindung zeigt; -
2 den Anzeigebildschirm während der Phase der Erzeugung von Gegenständen und insbesondere der Netzwerke des Sicherheitsbereiches zeigt; -
3 den Anzeigebildschirm während der Phase der Erzeugung der Gegenstände und insbesondere der Router des Sicherheitsbereiches zeigt, -
4 eine Darstellung des Anzeigebildschirms wiedergibt, nachdem die Verbindungen zwischen den Gegenständen spezifiziert wurden (im gezeigten Falle ist der Router über physische Verbindungsmittel mit fünf Netzwerken verbunden), - die
5 und6 den Anzeigebildschirm während der Phase der Erzeugung der Klassen des Sicherheitsbereiches zeigen, -
7 den Anzeigebildschirm während der Phase zur Wahl der Anwendungsprotokolle und zum Zeichnen der Kommunikationsgesetze darstellt. - Es wird nun die
1 beschrieben, die eine schematische perspektivische Ansicht des Systems der Erfindung darstellt. - Das Rechenterminal
1 umfasst einen ansonsten graphische Schnittstelle genannten Anzeigebildschirm2 . Das Terminal wird vom Benutzer3 mit Hilfe einer Tastatur4 und eines Steuergehäuses5 (Maus) gesteuert. Diese Steuerorgane ermöglichen in üblicher Weise das Bewegen eines Zeigers6 über den Anzeigebildschirm2 . Das Rechenterminal ist über ein Kabel7 mit mindestens einem programmierbaren, filternden Router8 verbunden. Dieser Router ist selbst mit den Netzwerken9 über Verbindungsmittel10 verbunden. - Es wird nun
2 beschrieben, die den Anzeigebildschirm während der Phase der Erzeugung von Gegenständen und insbesondere der Netzwerke des Sicherheitsbereiches zeigt. - Der rechte Teil der Werkzeugleiste
11 des Anzeigebildschirms2 umfasst fünf Icons:12 Wahl,13 filternder Router,14 Netzwerk,15 Klasse,16 Kommunikationsgesetz, deren Funktionen weiter unten beschrieben werden. Links der Werkzeugleiste11 findet man die Icons50 : Datei, Bearbeiten, Ausschneiden, Einfügen. Diese Werkzeuge ermöglichen in üblicher Weise, wenn sie mit Hilfe des über die Maus5 bewegten Zeigers6 gewählt und aktiviert werden, das Öffnen von Dateien, das Registrieren der graphischen Schnittstelle sowie das Ausschneiden oder Einfügen von Teilen daraus. - Ein offenes Fenster
17 umfasst die Liste der Dienstleistungen18 , die ansonsten als Anwendungsprotokolle in der Beschreibung bezeichnet wurden. - Zum Darstellen der graphischen Darstellung eines Netzwerkes auf der graphischen Schnittstelle
2 , verwendet der Benutzer die Maus5 , um das Icon14 mit Hilfe des Zeigers6 zu aktivieren. Die graphischen Darstellungen der Netzwerke erscheinen am Anzeigebildschirm2 in Form von Wolken19 ,20 usw. Mit Hilfe des Auswahlwerkzeuges12 kann der Benutzer die Netzwerke nach seinen Bedürfnissen wählen, verschieben oder benutzen. In der dargestellten Gruppe wurde das „gesichert" genannte Netzwerk20 gewählt. Durch Einwirken auf die Maus5 kann der Benutzer Dialogfenster21 ,22 am Bildschirm2 öffnen, um die Eigenschaften des Netzwerkes und insbesondere die Adressen24 einzugeben. Der Benutzer geht beim Erzeugen der anderen Netzwerke iterativ vor. - Es wird jetzt
3 beschrieben, die den Anzeigebildschirm während der Phase der Erzeugung von Gegenständen und insbesondere der Router des Sicherheitsbereiches zeigt. - Um die graphische Darstellung eines Routers
25 auf der graphischen Schnittstelle2 zu erzeugen, verwendet der Benutzer die Maus5 zum Aktivieren des Icons13 mit Hilfe des Zeigers6 . Die graphische Darstellung des Routers25 erscheint am Anzeigebildschirm2 . Mit Hilfe des Auswahlwerkzeugs12 kann der Benutzer den Router25 auf der graphischen Schnittstelle2 wählen, verschieben und nach seinen Bedürfnissen einsetzen. Im dargestellten Beispiel wurde der „Router" genannte Router25 gewählt. Mit der Maus5 kann der Benutzer Dialogfenster26 auf dem Bildschirm2 öffnen, um die Eigenschaften des Routers und insbesondere seine Spezifikationen (die Marke des Herstellers und der damit zusammenhängenden Software) sowie die Spezifikationen (Namen) der Netzwerke, mit denen der Router im Schnittstellenverhältnis steht, eingeben. Die Verbindungen oder Anschlüsse zwischen den Netzwerken19 „Internet",20 „Gesichert",20a „Dmz",20b „Zentral",20c „Handel" und dem Router25 sind auf der graphischen Schnittstelle2 mit Hilfe von Linien27 ,28 ,28a ,28b ,28c (4 ) dargestellt. Der Benutzer geht iterativ beim Erzeugen der anderen Router und beim Spezifizieren ihrer Verbindungen mit den Netzwerken vor. - Es werden nun die
5 und6 beschrieben, die den Anzeigebildschirm während der Phase der Erzeugung der Klassen des Sicherheitsbereiches zeigen. - Um die graphische Darstellung einer Klasse
30 auf der graphischen Schnittstelle2 zu erzeugen, aktiviert der Benutzer anhand der Maus5 , das Icon13 mit Hilfe des Zeigers6 . Die graphische Darstellung der Klasse25 erscheint am Bildschirm2 . - Mit Hilfe des Auswahlwerkzeugs
12 kann der Benutzer die Klasse30 auf der graphischen Schnittstelle2 nach seinen Bedürfnissen wählen, verschieben und einsetzen. Im dargestellten Beispiel, wurde die als „Klasse" bezeichnete Klasse30 gewählt. Mit Hilfe der Maus5 kann der Benutzer Dialogfenster31 ,32 am Bildschirm2 öffnen, um die Eigenschaften der Klasse und insbesondere die Adresse des Netzwerkes „Dmz"20 einzugeben, das der Klasse30 „Klasse" angehört. Ein hellgrauer Strich31 ermöglicht das Anzeigen der Zugehörigkeit der Klasse20a zum Netzwerk „Dmz"20a (6 ). Die als „Zentral-Handel-Klasse" bezeichnete Klasse32 wurde derart spezifiziert, dass sie Adressen des Netzwerkes20b „Zentral" und des Netzwerkes20c „Handel" enthält. Die als „Zentral-Handel-Klasse" bezeichnete Klasse32 wurde derart spezifiziert, dass sie Adressen des Netzwerkes20b „Zentral" sowie des Netzwerkes20c „Handel" enthält. Kein Strich verbindet die „Zentral-Handel-Klasse" Klasse32 mit den Netzwerken20b „Zentral" und20c „Handel". So wird auf der graphischen Schnittstelle2 angezeigt, dass die „Zentral-Handel-Klasse" Klasse32 die in den Netzwerken „Zentral" und „Handel" vorhandenen Gegenstände zusammenfasst. Der Bildschirm2 der6 zeigt für den beschriebenen Sonderfall den Sicherheitsbereich sowie die Gegenstände (Netzwerke, Router) und die Klassen dieses Sicherheitsbereiches. Der Benutzer geht beim Erzeugen der anderen Klassen und beim vervollständigen des Sicherheitsbereiches interaktiv vor. - Es wird nun
7 beschrieben, die den Anzeigebildschirm während der Phase der Auswahl der Anwendungsprotokolle und der Zeichnungen der Kommunikationsgesetze zeigt. - Der Benutzer bewegt mit Hilfe der Maus
5 den Zeiger6 , um im Dienstleistungsfenster (Anwendungsprotokolle)18 das betroffene Protokoll zu wählen und zu aktivieren. Die im Dienstleistungsfenster18 erscheinende Liste der Anwendungen wird in vorgegebener Weise angezeigt, wobei der Benutzer die Möglichkeit hat, andere hinzuzufügen. Im beschriebenen Fall ist das gewählte Anwendungsprotokoll das Protokoll40 „smtp". In vorgegebener Weise ist das „Kommunikationsgesetz", d.h., das Gesetz, welches für das betroffene Anwendungsprotokoll die Kommunikation zwischen einem Paar von Gegenständen, einem Paar von Klassen oder einem gemischten Paar (Klasse, Gegenstand) zulässt oder untersagt, ein Untersagungsgesetz. Um die mit dem gewählten „smtp" Anwendungsprotokoll40 zusammenhängende Sicherheitspolitik zu definieren, geht der Benutzer vor wie nachfolgend unter Bezugnahme auf zwei Sonderfälle beschrieben. - Im ersten Fall, um ein Zulassungsgesetz des „Internet" Netzwerkes
19 zur Klasse „Klasse"30 einzuführen, aktiviert der Benutzer mit der Maus5 und dem Zeiger6 das Icon16 . Er spezifiziert dann mittels eines Dialogfensters, dass es sich um ein Zulassungsgesetz handelt. Danach positioniert der Benutzer den Zeiger6 auf das Netzwerk „Internet"19 , wählt mit Hilfe der Maus5 das Netzwerk „Internet"19 , bewegt den Zeiger6 vom Netzwerk „Internet"19 zur Klasse „Klasse"30 und wählt diese. Ein grüner Strich mit Pfeil41 wird so auf der graphischen Schnittstelle2 gezeichnet, wobei die Pfeilspitze auf die Klasse „Klasse"30 zeigt. Der Benutzer geht in der gleichen Weise vor, um ein Gesetz zum Zulassen der Klasse „Klasse"30 zum Netzwerk „Internet"19 hin einzuführen. Somit zeichnet er einen anderen grünen Strich mit Pfeil42 , wobei die Pfeilspitze auf das Netzwerk „Internet"19 zeigt. So hat der Benutzer auf der graphischen Schnittstelle sichtbar gemacht, dass die EDV-Systeme der Klasse „Klasse"30 der Untermenge des Netzwerkes20a „Dmz" in beide Richtungen mit den Gegenständen des Netzwerkes „Internet"19 kommunizieren können. - Im zweiten Fall wird, um ein Zulassungsgesetz des Netzwerkes „Zentral"
20b hin zur Klasse „Klasse"30 und ein Untersagungsgesetz von der „Zentral-Handel-Klasse" Klasse32 zur Klasse „Klasse"30 hin einzuführen, geht der Benutzer wie oben dargestellt vor, wobei er mit Hilfe des Dialogfensters das Zulassungsgesetz und das Untersagungsgesetz spezifiziert. So zeichnet er zwei Striche mit Pfeil, wobei der eine,43 grün und der andere,44 , rot ist. Somit hat der Benutzer auf der graphischen Schnittstelle angezeigt, dass die EDV-Systeme des Netzwerkes „Zentral"20b mit der Untermenge der EDV-Systeme des Netzwerkes „Dmz"20a aus der Klasse „Klasse"30 kommunizieren können, während dagegen die EDV-Systeme der Netzwerke20b „Zentral" und20c „Handel" der Klasse „Zentral-Handel-Klasse" Klasse32 nicht mit den Untermengen der EDV-Systeme des Netzwerkes20a „Dmz" der Klasse „Klasse"30 kommunizieren können. Im Falle von Gesetzeskonflikten, hat das Untersagungsgesetz den Vorrang über das Zulassungsgesetz. - Die Benutzung von mit Pfeilen versehenen Kurven ist ein bekanntes graphisches Mittel zum Darstellen einer Beziehung zwischen Gegenständen. Das Dokument IEEE TRANSACTIONS ON SOFTWARE ENGINEERING, Band 16, Nr. 10, XP000162478 beschreibt eine derartige Technik für den Fall des gesicherten Zugangs zu EDV-Dateien.
- Der Benutzer geht iterativ beim Wählen der anderen Anwendungsprotokolle und beim Zeichnen der damit zusammenhängenden Kommunikationsgesetze vor.
- Das Zeichnen der für die Kommunikationsgesetze repräsentativen und mit Pfeilen versehenen Kurven, ermöglicht das gleichzeitige und sofortige Erzeugen der auf die betroffenen Gegenstände angewandten, mit den filternden Routern assoziierten Filtern. Zu diesem Zweck umfasst das Rechenterminal
1 die Rechenmittel1a zum Konvertieren der den Kommunikationsgesetzen entsprechenden graphischen Daten in Programmierungsdaten der filternden Routern8 . Die Programmierungsdaten werden vom Rechenterminal1 über die Verbindung7 zu dem filternden Router8 transferiert, wobei die Filterungsparameter dieses Routers somit automatisch und schnell reguliert werden.
Claims (6)
- Verfahren zur graphischen Darstellung der Programmierungsdaten von Filtern nach dem Internet-Protokoll, zum Abstellen der Gefahren des Eindringens in untereinander verbundene Datennetzwerke, wobei das Verfahren gekennzeichnet ist durch den Einsatz einer graphischen Schnittstelle (
2 ), um in iterativer Weise: – die Gegenstände (19 ,20 ,25 ,30 ,32 ), die Netzwerke (19 ,20 ), die Router (25 ) und die Klassen (30 ,32 ) des Sicherheitsbereiches auf der graphischen Schnittstelle zu erzeugen (13 ,14 ,15 ), anzuzeigen (2 ) und zu bewegen (5 ,6 ,12 ), – die Anwendungsprotokolle (40 ), für welche die Filter erzeugt werden müssen, zu wählen (12 ) und anzuzeigen (18 ), – für jedes vorab gewählte Anwendungsprotokoll (40 ) die Kommunikationsgesetze mit Hilfe von mit Pfeilen behafteten Kurven (41 ,42 ,43 ,44 ), welche die Gegenstände und/oder die Klassen des Sicherheitsbereiches verbinden, auf der graphischen Schnittstelle (2 ) zu zeichnen (16 ), so dass die Zeichnung dieser mit Pfeilen behafteten Kurven die Darstellung der Kommunikationsgesetze des Sicherheitsbereiches ermöglicht. - Verfahren nach Anspruch 1, von der Art, dass zum Erzeugen der mit den filternden Routern (
25 ) assoziierten und auf die betroffenen Gegenstände (20 ) anwendbaren Filtern: – Konvertieren der für die Kommunikationsgesetze repräsentativen graphischen Daten in Programmierungsdaten der filternden Router (8 ,25 ). - Verfahren nach einem der Ansprüche 1 oder 2, derart, dass zum Ändern der Sicherheitspolitik des Sicherheitsbereiches: – die Kommunikationsgesetze (
41 ,42 ,43 ,44 ) zwischen den Gegenständen (20 ) oder den Klassen (30 ) auf der graphischen Schnittstelle (2 ) geändert werden, wobei vorgegebene Anwendungsprotokolle gewählt werden. - System zum graphischen Darstellen der Filterprogrammierungsdaten nach dem Internet-Protokoll, zum Abstellen der Gefahren des Eindringens in untereinander verbundene Datennetzwerke, wobei das System gekennzeichnet ist durch eine mit einem Berechnungsterminal (
1 ) assoziierte graphische Schnittstelle (2 ) sowie durch Steuermittel (4 ,5 ), die in iterativer Wechselwirkung mit der graphischen Schnittstelle (2 ) stehen, um: – die Gegenstände, die Netzwerke (19 ,20 ), die Router (20 ,25 ) und die Klassen (30 ) des Sicherheitsbereiches auf der graphischen Schnittstelle (2 ) zu erzeugen (13 ,14 ,15 ), anzuzeigen (2 ) und zu bewegen (5 ,6 ,12 ), – die Anwendungsprotokolle (40 ), für welche die Filter erzeugt werden müssen, zu wählen (12 ) und anzuzeigen (18 ), – für jedes vorab gewählte Anwendungsprotokoll (40 ) die Kommunikationsgesetze mit Hilfe von mit Pfeilen behafteten Kurven (41 ,42 ,43 ,44 ), welche die Gegenstände und/oder die Klassen des Sicherheitsbereiches verbinden, auf der graphischen Schnittstelle (2 ) zu zeichnen (16 ), so dass die Zeichnung dieser mit Pfeilen behafteten Kurven die Darstellung der Kommunikationsgesetze des Sicherheitsbereiches ermöglicht. - System nach Anspruch 4, derart, dass zum Erzeugen der mit den filternden Routern (
25 ) assoziierten und auf die betroffenen Gegenstände anwendbaren Filtern, das System Berechnungsmittel (1a ) aufweist, um: – die für die Kommunikationsgesetze repräsentativen graphischen Daten in Programmierungsdaten der filternden Routern (8 ,25 ) zu konvertieren. - Systeme nach einem der Ansprüche 4 oder 5, derart dass, um die Sicherheitspolitik des Sicherheitsbereiches zu ändern, die Steuermittel (
4 ,5 ) über Mittel verfügen, um vorbestimmte Anwendungsprotokolle zu wählen.
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR9713254A FR2770066B1 (fr) | 1997-10-16 | 1997-10-16 | Procede pour generer les filtres destines a eviter les risques d'intrusion des reseaux informatiques interconnectes |
FR9713254 | 1997-10-16 | ||
PCT/FR1998/002218 WO1999021335A1 (fr) | 1997-10-16 | 1998-10-15 | Procede pour generer les filtres destines a eviter les risques d'intrusion des reseaux informatiques interconnectes |
Publications (2)
Publication Number | Publication Date |
---|---|
DE69831502D1 DE69831502D1 (de) | 2005-10-13 |
DE69831502T2 true DE69831502T2 (de) | 2006-07-13 |
Family
ID=9512530
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE69831502T Expired - Lifetime DE69831502T2 (de) | 1997-10-16 | 1998-10-15 | Verfahren zum erzeugen von filtern, welche das einbruchrisiko in verbundene rechnernetze verhindern |
Country Status (8)
Country | Link |
---|---|
US (1) | US6775694B1 (de) |
EP (1) | EP1031221B1 (de) |
AT (1) | ATE304266T1 (de) |
AU (1) | AU9632898A (de) |
CA (1) | CA2307620A1 (de) |
DE (1) | DE69831502T2 (de) |
FR (1) | FR2770066B1 (de) |
WO (1) | WO1999021335A1 (de) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6807576B1 (en) | 2000-09-08 | 2004-10-19 | International Business Machines Corporation | Method and system for determining and graphically representing frame classification rule relationships |
US7366769B2 (en) * | 2000-10-02 | 2008-04-29 | Schlumberger Technology Corporation | System, method and computer program product for a universal communication connector |
US6996845B1 (en) | 2000-11-28 | 2006-02-07 | S.P.I. Dynamics Incorporated | Internet security analysis system and process |
US6604139B1 (en) * | 2001-12-14 | 2003-08-05 | Networks Associates Technology, Inc. | Voice protocol filtering system and method |
US7070455B2 (en) * | 2004-02-23 | 2006-07-04 | Bal Seal Engineering Co., Inc. | Stackable assembly for direct connection between a pulse generator and a human body |
US20050212823A1 (en) * | 2004-03-29 | 2005-09-29 | Uthe Robert T | System, method and software for intelligent zooming in a user interface |
US7991899B2 (en) * | 2006-09-12 | 2011-08-02 | Morgan Stanley | Systems and methods for establishing rules for communication with a host |
US9485218B2 (en) * | 2010-03-23 | 2016-11-01 | Adventium Enterprises, Llc | Device for preventing, detecting and responding to security threats |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5606668A (en) * | 1993-12-15 | 1997-02-25 | Checkpoint Software Technologies Ltd. | System for securing inbound and outbound data packet flow in a computer network |
-
1997
- 1997-10-16 FR FR9713254A patent/FR2770066B1/fr not_active Expired - Fee Related
-
1998
- 1998-10-15 EP EP98950147A patent/EP1031221B1/de not_active Expired - Lifetime
- 1998-10-15 AU AU96328/98A patent/AU9632898A/en not_active Abandoned
- 1998-10-15 US US09/529,400 patent/US6775694B1/en not_active Expired - Lifetime
- 1998-10-15 AT AT98950147T patent/ATE304266T1/de not_active IP Right Cessation
- 1998-10-15 DE DE69831502T patent/DE69831502T2/de not_active Expired - Lifetime
- 1998-10-15 WO PCT/FR1998/002218 patent/WO1999021335A1/fr active IP Right Grant
- 1998-10-15 CA CA002307620A patent/CA2307620A1/en not_active Abandoned
Also Published As
Publication number | Publication date |
---|---|
DE69831502D1 (de) | 2005-10-13 |
CA2307620A1 (en) | 1999-04-29 |
FR2770066B1 (fr) | 2000-02-11 |
US6775694B1 (en) | 2004-08-10 |
EP1031221A1 (de) | 2000-08-30 |
FR2770066A1 (fr) | 1999-04-23 |
AU9632898A (en) | 1999-05-10 |
WO1999021335A1 (fr) | 1999-04-29 |
ATE304266T1 (de) | 2005-09-15 |
EP1031221B1 (de) | 2005-09-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE69838262T2 (de) | Allgemeine benutzer-authentifizierung für netz-rechner | |
DE10051021B4 (de) | System, Verfahren und Computerprogramm zur Bereitstellung interaktiver Web-Inhalte in statisch verknüpften Dateien | |
DE69824444T2 (de) | Verfahren und system zur durchsetzung eines kommunikationsicherheitsverfahrens | |
DE69817158T2 (de) | Benutzerschnittstellen-Mechanismus zur Manipulierung von Kontexten in Computerverwaltungsapplikationen | |
DE60109709T2 (de) | Datenverwaltungsrahmenwerk für Verfahrensverwaltung | |
DE19882235B4 (de) | Verwendung von Web-Technologie für Teilnehmerverwaltungsaktivitäten | |
DE102005013305A1 (de) | Verfahren und System zum Verwalten elektronischer Systeme | |
DE602005006058T2 (de) | Skalierbare Gruppierung von virtuellen lokalen Netzwerken (VLAN) bei einem Stadtbereichnetzwerkbetreiber | |
DE102005013240A1 (de) | Verfahren zum Auswählen eines Abschnitts eines Diagramms und Netzwerkanalysevorrichtung, die dasselbe verwendet | |
EP1587244B1 (de) | Verfahren zur Konfiguration einer Filtervorrichtung für einen in Frames organisierten Datenstrom, und Protokolltester | |
DE69831502T2 (de) | Verfahren zum erzeugen von filtern, welche das einbruchrisiko in verbundene rechnernetze verhindern | |
DE3705882C2 (de) | ||
DE10017551C2 (de) | Verfahren zur zyklischen, interaktiven Bildanalyse sowie Computersystem und Computerprogramm zur Ausführung des Verfahrens | |
DE102007009737B4 (de) | Verfahren, Drucksystem und Computerprogramm zum automatischen Bearbeiten von Auftragsbegleitdaten eines Druckauftrages | |
EP2876512A1 (de) | Verfahren zur automatischen Verbindung von Komponenten eines Modells eines technischen Systems | |
DE10338073A1 (de) | Verfahren und Vorrichtung zum Vordringen zu Meßdaten von allgemein angezeigten heterogenen Meßquellen | |
EP1128600A1 (de) | Verfahren zum Erstellen eines Kommunikationsablaufs zwischen mindestens zwei Instanzen und Protokolltester hierfür | |
DE60037160T2 (de) | Verfahren zur Fernabfrage von SNMP-Agenten | |
DE19811352C2 (de) | System und Verfahren zur Suche auf untereinander vernetzten Rechnern mit Informationsbeständen mittels Softwareagenten | |
EP2249219A2 (de) | Verfahren zur Auswahl eines einem Übertragungsnetz eines Automatisierungs-Systems zugeordneten Kommunikationssystems | |
EP1187009A2 (de) | Verfahren zum Erzeugen von Informationsmodellen | |
DE10147872A1 (de) | Verfahren, Vorrichtung und Speichermedium mit Software zum Anzeigen von Eigenschaften eines Objektes einer Server-Software in einem Client-Rechner | |
EP0825526B1 (de) | Verfahren zur Unterstützung der Interaktion zwischen einer ersten und einer zweiten Einheit | |
DE10310886B3 (de) | Verfahren und System zum gleichzeitigen Anzeigen desselben Inhalts auf zu verschiedenen Computern gehörenden Bildschirmen, sowie Web-Seite mit einem Link zu einem Dienst | |
DE102004028792A1 (de) | Verfahren zur grafischen Darstellung von Gegenständen und technischen Prozessen auf einem Bildschirm, und hierzu eingesetztes Computerprogramm |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
8364 | No opposition during term of opposition | ||
R082 | Change of representative |
Ref document number: 1031221 Country of ref document: EP Representative=s name: EISENFUEHR, SPEISER & PARTNER, 28217 BREMEN, DE |
|
R081 | Change of applicant/patentee |
Ref document number: 1031221 Country of ref document: EP Owner name: INFOBLOX INC., US Free format text: FORMER OWNER: SOLSOFT, LEVALLOIS-PERRET, FR Effective date: 20111025 |
|
R082 | Change of representative |
Ref document number: 1031221 Country of ref document: EP Representative=s name: EISENFUEHR, SPEISER & PARTNER, 28217 BREMEN, DE |
|
R082 | Change of representative |
Ref document number: 1031221 Country of ref document: EP Representative=s name: EISENFUEHR, SPEISER & PARTNER, 28217 BREMEN, DE |