DE69831502T2 - Verfahren zum erzeugen von filtern, welche das einbruchrisiko in verbundene rechnernetze verhindern - Google Patents

Verfahren zum erzeugen von filtern, welche das einbruchrisiko in verbundene rechnernetze verhindern Download PDF

Info

Publication number
DE69831502T2
DE69831502T2 DE69831502T DE69831502T DE69831502T2 DE 69831502 T2 DE69831502 T2 DE 69831502T2 DE 69831502 T DE69831502 T DE 69831502T DE 69831502 T DE69831502 T DE 69831502T DE 69831502 T2 DE69831502 T2 DE 69831502T2
Authority
DE
Germany
Prior art keywords
objects
graphical interface
security area
laws
filters
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE69831502T
Other languages
English (en)
Other versions
DE69831502D1 (de
Inventor
Jerôme FOUGERAT
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Infoblox Inc
Original Assignee
Solsoft
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Solsoft filed Critical Solsoft
Publication of DE69831502D1 publication Critical patent/DE69831502D1/de
Application granted granted Critical
Publication of DE69831502T2 publication Critical patent/DE69831502T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10TECHNICAL SUBJECTS COVERED BY FORMER USPC
    • Y10STECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10S715/00Data processing: presentation processing of document, operator interface processing, and screen saver display processing
    • Y10S715/961Operator interface with visual structure or function dictated by intended use
    • Y10S715/965Operator interface with visual structure or function dictated by intended use for process control and configuration
    • Y10S715/966Computer process, e.g. operation of computer
    • Y10S715/968Computer process, e.g. operation of computer interface for database querying and retrieval

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Business, Economics & Management (AREA)
  • General Engineering & Computer Science (AREA)
  • General Business, Economics & Management (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Automobile Manufacture Line, Endless Track Vehicle, Trailer (AREA)
  • Eye Examination Apparatus (AREA)
  • Threshing Machine Elements (AREA)
  • Input Circuits Of Receivers And Coupling Of Receivers And Audio Equipment (AREA)
  • Prostheses (AREA)
  • Transition And Organic Metals Composition Catalysts For Addition Polymerization (AREA)

Description

  • Die Erfindung betrifft untereinander verbundene EDV-Datennetzwerke.
  • Die offene Eigenschaft der Datennetzwerke nach dem Internet-Protokoll bietet viele Vereinfachungen. Sie birgt jedoch auch eine Vielzahl von Gefahren, das Eindringrisiko in die Netzwerke und Schwierigkeiten, sich dagegen zu schützen. Es gibt Geräte und Programme, mit denen die das Internet-Protokoll benutzende Pakete gefiltert werden können. Jedoch ist die Beherrschung dieser Filtertechniken zum Anwenden anspruchsvoller Sicherheitspolitiken schwierig und komplex.
  • Die Erfindung betrifft ein das Internet-Protokoll verwendende Verfahren und ein System zur graphischen Darstellung der Programmierungsdaten der Filter, welche die Gefahr des Eindringens in untereinander verbundene Datennetzwerke abstellen sollen.
  • Die weiter unten zum Darstellen der technischen Lösung nach der Erfindung verwendeten Ausdrücke werden folgendermaßen definiert:
    • – Als „Netzwerk" werden ein oder mehrere geschlossene (im topologischen Sinne des Ausdrucks) Intervalle von Adressen des Internet-Protokolls bezeichnet.
    • – Als „Gegenstände" werden die Elemente, die ein Netzwerk bilden, bezeichnet. Somit sind Gegenstände im Sinne der Erfindung die folgenden Dinge, ohne dass diese Aufzählung erschöpfend sei: Rechner, EDV-Geräte, Server, Drucker, (physische und logische) Netzwerke, (physische und logische) Teilnetze, Filterungsvorrichtungen, Firewalls, Benutzer oder Benutzergruppen, EDV-Anwendungen. Ein Gegenstand wird durch seinen Typ und seinen Namen charakterisiert. So ist beispielsweise ein filternder Router ein Typ von Gegenstand sowie eine Menge von Netzwerken. Ein Gegenstand besitzt eine Adresse oder mehrere Adressen oder ein geschlossenes Adressenintervall bzw. mehrere geschlossene Adressenintervalle.
    • – Als „Protokoll" wird eine Vereinbarung bezeichnet, welche die im Bereich der Telekommunikationen einzuhaltenden Regeln und technischen Spezifikationen genau bestimmt, um den untereinander kompatiblen Betrieb der Gegenstände sicherzustellen.
    • – Unter „Kommunikationsprotokoll" versteht man ein Protokoll, wie beispielsweise das Internet-Protokoll, welches eine Technik zur Datenübertragung definiert.
    • – Als „Anwendungsprotokoll" oder „Dienstleistung" bezeichnet man ein Protokoll, das eine Technik zum Datenaustausch oder zum Austausch von Befehlen für eine gegebene Anwendung definiert.
    • – Als „Klasse" bezeichnet man die Menge der Adressen, welche dieselben Kommunikationsgesetze aufweisen. Eine Klasse kann eine Zusammenfügung anderer Klassen sein. Die Klassen sind Gegenstände im Sinne der vorliegenden Erfindungsbeschreibung.
    • – Unter „Kommunikationsgesetz" versteht man ein Gesetz welches, für das betroffene Anwendungsprotokoll, die Kommunikation zwischen einem Paar von Gegenständen, einem Paar von Klassen oder einem gemischten Paar (Klasse, Gegenstand) zulässt oder untersagt.
    • – Als „Sicherheitsbereich" bezeichnet man eine Menge von untereinander verbundenen Gegenständen, auf welche für jeden Gegenstand spezifische bzw. allgemeine Kommunikationsgesetze angewandt werden.
    • – Als „Bindeglied" oder „Verbindung" bezeichnet man die physikalischen Verbindungen (beispielsweise Netzwerkkabel), welche die Gegenstände untereinander verbinden. Ein Netzwerk ist eine Menge untereinander verbundener Gegenstände.
    • – Als „Router" bezeichnet man ein Gerät, welches die Verbindung von getrennten Netzwerken untereinander ermöglicht.
    • – Als „Filter" bezeichnet man die technischen Mittel, die den Einsatz von Kommunikationsgesetzen ermöglichen. So ermöglicht beispielsweise die Programmierung eines Routers das Steuern der Kommunikationsmöglichkeit zwischen zwei untereinander getrennten Netzwerken. Man bezeichnet beispielsweise als filternden Router jedes Gerät, mit dem das Internet-Protokoll gefiltert werden kann.
  • In der Patentanmeldung EP 0 658 837 (CHECKPOINT SOFTWARE TECHNOLOGIES LTD.) werden ein Verfahren und ein System zum Anzeigen der Programmierungsdaten eines Filters auf dem Bildschirm eines EDV-Terminals beschrieben. Dieses Verfahren und dieses System setzen ein tabellarisches System ein, welches Zeilen und Spalten umfasst. Der Benutzer setzt in den Kästchen dieses tabellarischen Systems alphanumerische Marken oder Symbole ein. Das System ermöglicht nicht das Anzeigen untereinander verbundener komplexer Netzwerke und gibt nicht eine unmittelbar verständliche Darstellung des Sicherheitsbereiches wieder. Über einige zehn Zeilen hinaus ist das tabellarische System für den Benutzer nicht verwendbar.
  • Die von der Erfindung bezweckten Ziele, nämlich die graphische Darstellung von Programmierungsdaten von Filtern, welche die Eindringgefahren in untereinander verbundene Datennetzwerke unterbinden sollen, sind somit nicht vergleichbar mit den in der Patentanmeldung EP 0 658 837 beschriebenen Zielen, welche eine Darstellung der Programmierungsdaten mittels eines tabellarischen Systems bezwecken. Die technische Lösung der Erfindung ermöglicht das Erreichen der angepeilten Ziele in einfacher und automatischer Weise.
  • Das Verfahren der Erfindung umfasst den Einsatz einer graphischen Schnittstelle, um in iterativer Weise:
    • – die Gegenstände, die Netzwerke, die Router und die Klassen des Sicherheitsbereiches auf der graphischen Schnittstelle zu erzeugen, anzuzeigen und zu bewegen,
    • – die Anwendungsprotokolle, für welche die Filter erzeugt werden müssen, zu wählen und anzuzeigen,
    • – für jedes vorab gewählte Anwendungsprotokoll die Kommunikationsgesetze mit Hilfe von mit Pfeilen behafteten Kurven, welche die Gegenstände und/oder die Klassen des Sicherheitsbereiches verbinden, auf der graphischen Schnittstelle zu zeichnen,
    so dass die Zeichnung dieser mit Pfeilen behafteten Kurven die Darstellung der Kommunikationsgesetze des Sicherheitsbereiches ermöglicht.
  • [TEXT FEHLT] augenblickliche Erzeugen der mit den filternden Routern zusammenhängenden Filtern, welche die betroffenen Gegenstände betreffen. Zu diesem Zweck und nach einem zusätzlichen Schritt des Verfahrens, werden die für die Kommunikationsgesetze repräsentativen graphischen Daten in Programmierungsdaten der filternden Routern konvertiert.
  • Das Verfahren der Erfindung ermöglicht die Verwendung der graphischen Schnittstelle zur Anzeige der Sicherheitspolitik des Sicherheitsbereiches und, gegebenenfalls, zum Ändern derselben. Bevorzugterweise werden die Kommunikationsgesetze zwischen den Gegenständen oder den Klassen auf der graphischen Schnittstelle durch Wahl der vorgegebenen Anwendungsprotokolle geändert.
  • Die vorliegende Erfindung betrifft ebenfalls ein System zur graphischen Anzeige der Programmierungsdaten für Filter nach dem Internet-Protokoll, welche die Gefahren des Eindringens in untereinander verbundene Datennetzwerke verhindern sollen. Das erwähnte System besteht in der Anwendung einer mit einem Berechnungsterminal assoziierten graphischen Schnittstelle sowie von Steuermitteln, welche zu den folgenden Zwecken mit der graphischen Schnittstelle in Wechselwirkung stehen:
    • – die Gegenstände, die Netzwerke, die Router und die Klassen des Sicherheitsbereiches auf der graphischen Schnittstelle zu erzeugen, anzuzeigen und zu bewegen,
    • – die Anwendungsprotokolle, für welche die Filter erzeugt werden müssen, zu wählen und anzuzeigen,
    • – für jedes vorab gewählte Anwendungsprotokoll, die Kommunikationsgesetze mit Hilfe von mit Pfeilen behafteten Kurven, welche die Gegenstände und/oder die Klassen des Sicherheitsbereiches verbinden, auf der graphischen Schnittstelle zu zeichnen, so dass die Zeichnung dieser mit Pfeilen behafteten Kurven die Darstellung der Kommunikationsgesetze des Sicherheitsbereiches ermöglicht.
  • Die Zeichnung dieser für die Kommunikationsgesetze repräsentativen, mit Pfeilen behafteten Kurven, ermöglicht das gleichzeitige und sofortige Erzeugen von Filtern, die mit den filternden Routern assoziiert sind und auf die betroffenen Gegenstände angewandt werden. Zu diesem Zweck, und nach einer zusätzlichen Eigenschaft, umfasst das System Berechnungsmittel zum Konvertieren der für die Kommunikationsgesetze repräsentativen graphischen Daten in Programmierungsdaten der filternden Routern.
  • Das System der Erfindung ermöglicht die Verwendung der graphischen Schnittstelle zum Anzeigen der Sicherheitspolitik des Sicherheitsbereiches sowie um diese gegebenenfalls zu ändern. Um die Kommunikationsgesetze zwischen Gegenständen oder Klassen auf der graphischen Schnittstelle zu ändern, weisen bevorzugterweise die Steuermittel Mittel zum Wählen von vorgegebenen Anwendungsprotokollen auf.
  • Weitere Eigenschaften und Vorteile der Erfindung werden beim Lesen der Beschreibung einer Ausführungsvariante der Erfindung deutlich, die nur als Beispiel vorgestellt wird sowie beim Betrachten der beigefügten Figuren, wobei:
  • 1 eine perspektivische schematische Darstellung des Systems der Erfindung zeigt;
  • 2 den Anzeigebildschirm während der Phase der Erzeugung von Gegenständen und insbesondere der Netzwerke des Sicherheitsbereiches zeigt;
  • 3 den Anzeigebildschirm während der Phase der Erzeugung der Gegenstände und insbesondere der Router des Sicherheitsbereiches zeigt,
  • 4 eine Darstellung des Anzeigebildschirms wiedergibt, nachdem die Verbindungen zwischen den Gegenständen spezifiziert wurden (im gezeigten Falle ist der Router über physische Verbindungsmittel mit fünf Netzwerken verbunden),
  • die 5 und 6 den Anzeigebildschirm während der Phase der Erzeugung der Klassen des Sicherheitsbereiches zeigen,
  • 7 den Anzeigebildschirm während der Phase zur Wahl der Anwendungsprotokolle und zum Zeichnen der Kommunikationsgesetze darstellt.
  • Es wird nun die 1 beschrieben, die eine schematische perspektivische Ansicht des Systems der Erfindung darstellt.
  • Das Rechenterminal 1 umfasst einen ansonsten graphische Schnittstelle genannten Anzeigebildschirm 2. Das Terminal wird vom Benutzer 3 mit Hilfe einer Tastatur 4 und eines Steuergehäuses 5 (Maus) gesteuert. Diese Steuerorgane ermöglichen in üblicher Weise das Bewegen eines Zeigers 6 über den Anzeigebildschirm 2. Das Rechenterminal ist über ein Kabel 7 mit mindestens einem programmierbaren, filternden Router 8 verbunden. Dieser Router ist selbst mit den Netzwerken 9 über Verbindungsmittel 10 verbunden.
  • Es wird nun 2 beschrieben, die den Anzeigebildschirm während der Phase der Erzeugung von Gegenständen und insbesondere der Netzwerke des Sicherheitsbereiches zeigt.
  • Der rechte Teil der Werkzeugleiste 11 des Anzeigebildschirms 2 umfasst fünf Icons: 12 Wahl, 13 filternder Router, 14 Netzwerk, 15 Klasse, 16 Kommunikationsgesetz, deren Funktionen weiter unten beschrieben werden. Links der Werkzeugleiste 11 findet man die Icons 50: Datei, Bearbeiten, Ausschneiden, Einfügen. Diese Werkzeuge ermöglichen in üblicher Weise, wenn sie mit Hilfe des über die Maus 5 bewegten Zeigers 6 gewählt und aktiviert werden, das Öffnen von Dateien, das Registrieren der graphischen Schnittstelle sowie das Ausschneiden oder Einfügen von Teilen daraus.
  • Ein offenes Fenster 17 umfasst die Liste der Dienstleistungen 18, die ansonsten als Anwendungsprotokolle in der Beschreibung bezeichnet wurden.
  • Zum Darstellen der graphischen Darstellung eines Netzwerkes auf der graphischen Schnittstelle 2, verwendet der Benutzer die Maus 5, um das Icon 14 mit Hilfe des Zeigers 6 zu aktivieren. Die graphischen Darstellungen der Netzwerke erscheinen am Anzeigebildschirm 2 in Form von Wolken 19, 20 usw. Mit Hilfe des Auswahlwerkzeuges 12 kann der Benutzer die Netzwerke nach seinen Bedürfnissen wählen, verschieben oder benutzen. In der dargestellten Gruppe wurde das „gesichert" genannte Netzwerk 20 gewählt. Durch Einwirken auf die Maus 5 kann der Benutzer Dialogfenster 21, 22 am Bildschirm 2 öffnen, um die Eigenschaften des Netzwerkes und insbesondere die Adressen 24 einzugeben. Der Benutzer geht beim Erzeugen der anderen Netzwerke iterativ vor.
  • Es wird jetzt 3 beschrieben, die den Anzeigebildschirm während der Phase der Erzeugung von Gegenständen und insbesondere der Router des Sicherheitsbereiches zeigt.
  • Um die graphische Darstellung eines Routers 25 auf der graphischen Schnittstelle 2 zu erzeugen, verwendet der Benutzer die Maus 5 zum Aktivieren des Icons 13 mit Hilfe des Zeigers 6. Die graphische Darstellung des Routers 25 erscheint am Anzeigebildschirm 2. Mit Hilfe des Auswahlwerkzeugs 12 kann der Benutzer den Router 25 auf der graphischen Schnittstelle 2 wählen, verschieben und nach seinen Bedürfnissen einsetzen. Im dargestellten Beispiel wurde der „Router" genannte Router 25 gewählt. Mit der Maus 5 kann der Benutzer Dialogfenster 26 auf dem Bildschirm 2 öffnen, um die Eigenschaften des Routers und insbesondere seine Spezifikationen (die Marke des Herstellers und der damit zusammenhängenden Software) sowie die Spezifikationen (Namen) der Netzwerke, mit denen der Router im Schnittstellenverhältnis steht, eingeben. Die Verbindungen oder Anschlüsse zwischen den Netzwerken 19 „Internet", 20 „Gesichert", 20a „Dmz", 20b „Zentral", 20c „Handel" und dem Router 25 sind auf der graphischen Schnittstelle 2 mit Hilfe von Linien 27, 28, 28a, 28b, 28c (4) dargestellt. Der Benutzer geht iterativ beim Erzeugen der anderen Router und beim Spezifizieren ihrer Verbindungen mit den Netzwerken vor.
  • Es werden nun die 5 und 6 beschrieben, die den Anzeigebildschirm während der Phase der Erzeugung der Klassen des Sicherheitsbereiches zeigen.
  • Um die graphische Darstellung einer Klasse 30 auf der graphischen Schnittstelle 2 zu erzeugen, aktiviert der Benutzer anhand der Maus 5, das Icon 13 mit Hilfe des Zeigers 6. Die graphische Darstellung der Klasse 25 erscheint am Bildschirm 2.
  • Mit Hilfe des Auswahlwerkzeugs 12 kann der Benutzer die Klasse 30 auf der graphischen Schnittstelle 2 nach seinen Bedürfnissen wählen, verschieben und einsetzen. Im dargestellten Beispiel, wurde die als „Klasse" bezeichnete Klasse 30 gewählt. Mit Hilfe der Maus 5 kann der Benutzer Dialogfenster 31, 32 am Bildschirm 2 öffnen, um die Eigenschaften der Klasse und insbesondere die Adresse des Netzwerkes „Dmz" 20 einzugeben, das der Klasse 30 „Klasse" angehört. Ein hellgrauer Strich 31 ermöglicht das Anzeigen der Zugehörigkeit der Klasse 20a zum Netzwerk „Dmz" 20a (6). Die als „Zentral-Handel-Klasse" bezeichnete Klasse 32 wurde derart spezifiziert, dass sie Adressen des Netzwerkes 20b „Zentral" und des Netzwerkes 20c „Handel" enthält. Die als „Zentral-Handel-Klasse" bezeichnete Klasse 32 wurde derart spezifiziert, dass sie Adressen des Netzwerkes 20b „Zentral" sowie des Netzwerkes 20c „Handel" enthält. Kein Strich verbindet die „Zentral-Handel-Klasse" Klasse 32 mit den Netzwerken 20b „Zentral" und 20c „Handel". So wird auf der graphischen Schnittstelle 2 angezeigt, dass die „Zentral-Handel-Klasse" Klasse 32 die in den Netzwerken „Zentral" und „Handel" vorhandenen Gegenstände zusammenfasst. Der Bildschirm 2 der 6 zeigt für den beschriebenen Sonderfall den Sicherheitsbereich sowie die Gegenstände (Netzwerke, Router) und die Klassen dieses Sicherheitsbereiches. Der Benutzer geht beim Erzeugen der anderen Klassen und beim vervollständigen des Sicherheitsbereiches interaktiv vor.
  • Es wird nun 7 beschrieben, die den Anzeigebildschirm während der Phase der Auswahl der Anwendungsprotokolle und der Zeichnungen der Kommunikationsgesetze zeigt.
  • Der Benutzer bewegt mit Hilfe der Maus 5 den Zeiger 6, um im Dienstleistungsfenster (Anwendungsprotokolle) 18 das betroffene Protokoll zu wählen und zu aktivieren. Die im Dienstleistungsfenster 18 erscheinende Liste der Anwendungen wird in vorgegebener Weise angezeigt, wobei der Benutzer die Möglichkeit hat, andere hinzuzufügen. Im beschriebenen Fall ist das gewählte Anwendungsprotokoll das Protokoll 40 „smtp". In vorgegebener Weise ist das „Kommunikationsgesetz", d.h., das Gesetz, welches für das betroffene Anwendungsprotokoll die Kommunikation zwischen einem Paar von Gegenständen, einem Paar von Klassen oder einem gemischten Paar (Klasse, Gegenstand) zulässt oder untersagt, ein Untersagungsgesetz. Um die mit dem gewählten „smtp" Anwendungsprotokoll 40 zusammenhängende Sicherheitspolitik zu definieren, geht der Benutzer vor wie nachfolgend unter Bezugnahme auf zwei Sonderfälle beschrieben.
  • Im ersten Fall, um ein Zulassungsgesetz des „Internet" Netzwerkes 19 zur Klasse „Klasse" 30 einzuführen, aktiviert der Benutzer mit der Maus 5 und dem Zeiger 6 das Icon 16. Er spezifiziert dann mittels eines Dialogfensters, dass es sich um ein Zulassungsgesetz handelt. Danach positioniert der Benutzer den Zeiger 6 auf das Netzwerk „Internet" 19, wählt mit Hilfe der Maus 5 das Netzwerk „Internet" 19, bewegt den Zeiger 6 vom Netzwerk „Internet" 19 zur Klasse „Klasse" 30 und wählt diese. Ein grüner Strich mit Pfeil 41 wird so auf der graphischen Schnittstelle 2 gezeichnet, wobei die Pfeilspitze auf die Klasse „Klasse" 30 zeigt. Der Benutzer geht in der gleichen Weise vor, um ein Gesetz zum Zulassen der Klasse „Klasse" 30 zum Netzwerk „Internet" 19 hin einzuführen. Somit zeichnet er einen anderen grünen Strich mit Pfeil 42, wobei die Pfeilspitze auf das Netzwerk „Internet" 19 zeigt. So hat der Benutzer auf der graphischen Schnittstelle sichtbar gemacht, dass die EDV-Systeme der Klasse „Klasse" 30 der Untermenge des Netzwerkes 20a „Dmz" in beide Richtungen mit den Gegenständen des Netzwerkes „Internet" 19 kommunizieren können.
  • Im zweiten Fall wird, um ein Zulassungsgesetz des Netzwerkes „Zentral" 20b hin zur Klasse „Klasse" 30 und ein Untersagungsgesetz von der „Zentral-Handel-Klasse" Klasse 32 zur Klasse „Klasse" 30 hin einzuführen, geht der Benutzer wie oben dargestellt vor, wobei er mit Hilfe des Dialogfensters das Zulassungsgesetz und das Untersagungsgesetz spezifiziert. So zeichnet er zwei Striche mit Pfeil, wobei der eine, 43 grün und der andere, 44, rot ist. Somit hat der Benutzer auf der graphischen Schnittstelle angezeigt, dass die EDV-Systeme des Netzwerkes „Zentral" 20b mit der Untermenge der EDV-Systeme des Netzwerkes „Dmz" 20a aus der Klasse „Klasse" 30 kommunizieren können, während dagegen die EDV-Systeme der Netzwerke 20b „Zentral" und 20c „Handel" der Klasse „Zentral-Handel-Klasse" Klasse 32 nicht mit den Untermengen der EDV-Systeme des Netzwerkes 20a „Dmz" der Klasse „Klasse" 30 kommunizieren können. Im Falle von Gesetzeskonflikten, hat das Untersagungsgesetz den Vorrang über das Zulassungsgesetz.
  • Die Benutzung von mit Pfeilen versehenen Kurven ist ein bekanntes graphisches Mittel zum Darstellen einer Beziehung zwischen Gegenständen. Das Dokument IEEE TRANSACTIONS ON SOFTWARE ENGINEERING, Band 16, Nr. 10, XP000162478 beschreibt eine derartige Technik für den Fall des gesicherten Zugangs zu EDV-Dateien.
  • Der Benutzer geht iterativ beim Wählen der anderen Anwendungsprotokolle und beim Zeichnen der damit zusammenhängenden Kommunikationsgesetze vor.
  • Das Zeichnen der für die Kommunikationsgesetze repräsentativen und mit Pfeilen versehenen Kurven, ermöglicht das gleichzeitige und sofortige Erzeugen der auf die betroffenen Gegenstände angewandten, mit den filternden Routern assoziierten Filtern. Zu diesem Zweck umfasst das Rechenterminal 1 die Rechenmittel 1a zum Konvertieren der den Kommunikationsgesetzen entsprechenden graphischen Daten in Programmierungsdaten der filternden Routern 8. Die Programmierungsdaten werden vom Rechenterminal 1 über die Verbindung 7 zu dem filternden Router 8 transferiert, wobei die Filterungsparameter dieses Routers somit automatisch und schnell reguliert werden.

Claims (6)

  1. Verfahren zur graphischen Darstellung der Programmierungsdaten von Filtern nach dem Internet-Protokoll, zum Abstellen der Gefahren des Eindringens in untereinander verbundene Datennetzwerke, wobei das Verfahren gekennzeichnet ist durch den Einsatz einer graphischen Schnittstelle (2), um in iterativer Weise: – die Gegenstände (19, 20, 25, 30, 32), die Netzwerke (19, 20), die Router (25) und die Klassen (30, 32) des Sicherheitsbereiches auf der graphischen Schnittstelle zu erzeugen (13, 14, 15), anzuzeigen (2) und zu bewegen (5, 6, 12), – die Anwendungsprotokolle (40), für welche die Filter erzeugt werden müssen, zu wählen (12) und anzuzeigen (18), – für jedes vorab gewählte Anwendungsprotokoll (40) die Kommunikationsgesetze mit Hilfe von mit Pfeilen behafteten Kurven (41, 42, 43, 44), welche die Gegenstände und/oder die Klassen des Sicherheitsbereiches verbinden, auf der graphischen Schnittstelle (2) zu zeichnen (16), so dass die Zeichnung dieser mit Pfeilen behafteten Kurven die Darstellung der Kommunikationsgesetze des Sicherheitsbereiches ermöglicht.
  2. Verfahren nach Anspruch 1, von der Art, dass zum Erzeugen der mit den filternden Routern (25) assoziierten und auf die betroffenen Gegenstände (20) anwendbaren Filtern: – Konvertieren der für die Kommunikationsgesetze repräsentativen graphischen Daten in Programmierungsdaten der filternden Router (8, 25).
  3. Verfahren nach einem der Ansprüche 1 oder 2, derart, dass zum Ändern der Sicherheitspolitik des Sicherheitsbereiches: – die Kommunikationsgesetze (41, 42, 43, 44) zwischen den Gegenständen (20) oder den Klassen (30) auf der graphischen Schnittstelle (2) geändert werden, wobei vorgegebene Anwendungsprotokolle gewählt werden.
  4. System zum graphischen Darstellen der Filterprogrammierungsdaten nach dem Internet-Protokoll, zum Abstellen der Gefahren des Eindringens in untereinander verbundene Datennetzwerke, wobei das System gekennzeichnet ist durch eine mit einem Berechnungsterminal (1) assoziierte graphische Schnittstelle (2) sowie durch Steuermittel (4, 5), die in iterativer Wechselwirkung mit der graphischen Schnittstelle (2) stehen, um: – die Gegenstände, die Netzwerke (19, 20), die Router (20, 25) und die Klassen (30) des Sicherheitsbereiches auf der graphischen Schnittstelle (2) zu erzeugen (13, 14, 15), anzuzeigen (2) und zu bewegen (5, 6, 12), – die Anwendungsprotokolle (40), für welche die Filter erzeugt werden müssen, zu wählen (12) und anzuzeigen (18), – für jedes vorab gewählte Anwendungsprotokoll (40) die Kommunikationsgesetze mit Hilfe von mit Pfeilen behafteten Kurven (41, 42, 43, 44), welche die Gegenstände und/oder die Klassen des Sicherheitsbereiches verbinden, auf der graphischen Schnittstelle (2) zu zeichnen (16), so dass die Zeichnung dieser mit Pfeilen behafteten Kurven die Darstellung der Kommunikationsgesetze des Sicherheitsbereiches ermöglicht.
  5. System nach Anspruch 4, derart, dass zum Erzeugen der mit den filternden Routern (25) assoziierten und auf die betroffenen Gegenstände anwendbaren Filtern, das System Berechnungsmittel (1a) aufweist, um: – die für die Kommunikationsgesetze repräsentativen graphischen Daten in Programmierungsdaten der filternden Routern (8, 25) zu konvertieren.
  6. Systeme nach einem der Ansprüche 4 oder 5, derart dass, um die Sicherheitspolitik des Sicherheitsbereiches zu ändern, die Steuermittel (4, 5) über Mittel verfügen, um vorbestimmte Anwendungsprotokolle zu wählen.
DE69831502T 1997-10-16 1998-10-15 Verfahren zum erzeugen von filtern, welche das einbruchrisiko in verbundene rechnernetze verhindern Expired - Lifetime DE69831502T2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
FR9713254A FR2770066B1 (fr) 1997-10-16 1997-10-16 Procede pour generer les filtres destines a eviter les risques d'intrusion des reseaux informatiques interconnectes
FR9713254 1997-10-16
PCT/FR1998/002218 WO1999021335A1 (fr) 1997-10-16 1998-10-15 Procede pour generer les filtres destines a eviter les risques d'intrusion des reseaux informatiques interconnectes

Publications (2)

Publication Number Publication Date
DE69831502D1 DE69831502D1 (de) 2005-10-13
DE69831502T2 true DE69831502T2 (de) 2006-07-13

Family

ID=9512530

Family Applications (1)

Application Number Title Priority Date Filing Date
DE69831502T Expired - Lifetime DE69831502T2 (de) 1997-10-16 1998-10-15 Verfahren zum erzeugen von filtern, welche das einbruchrisiko in verbundene rechnernetze verhindern

Country Status (8)

Country Link
US (1) US6775694B1 (de)
EP (1) EP1031221B1 (de)
AT (1) ATE304266T1 (de)
AU (1) AU9632898A (de)
CA (1) CA2307620A1 (de)
DE (1) DE69831502T2 (de)
FR (1) FR2770066B1 (de)
WO (1) WO1999021335A1 (de)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6807576B1 (en) 2000-09-08 2004-10-19 International Business Machines Corporation Method and system for determining and graphically representing frame classification rule relationships
US7366769B2 (en) * 2000-10-02 2008-04-29 Schlumberger Technology Corporation System, method and computer program product for a universal communication connector
US6996845B1 (en) 2000-11-28 2006-02-07 S.P.I. Dynamics Incorporated Internet security analysis system and process
US6604139B1 (en) * 2001-12-14 2003-08-05 Networks Associates Technology, Inc. Voice protocol filtering system and method
US7070455B2 (en) * 2004-02-23 2006-07-04 Bal Seal Engineering Co., Inc. Stackable assembly for direct connection between a pulse generator and a human body
US20050212823A1 (en) * 2004-03-29 2005-09-29 Uthe Robert T System, method and software for intelligent zooming in a user interface
US7991899B2 (en) * 2006-09-12 2011-08-02 Morgan Stanley Systems and methods for establishing rules for communication with a host
US9485218B2 (en) * 2010-03-23 2016-11-01 Adventium Enterprises, Llc Device for preventing, detecting and responding to security threats

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5606668A (en) * 1993-12-15 1997-02-25 Checkpoint Software Technologies Ltd. System for securing inbound and outbound data packet flow in a computer network

Also Published As

Publication number Publication date
DE69831502D1 (de) 2005-10-13
CA2307620A1 (en) 1999-04-29
FR2770066B1 (fr) 2000-02-11
US6775694B1 (en) 2004-08-10
EP1031221A1 (de) 2000-08-30
FR2770066A1 (fr) 1999-04-23
AU9632898A (en) 1999-05-10
WO1999021335A1 (fr) 1999-04-29
ATE304266T1 (de) 2005-09-15
EP1031221B1 (de) 2005-09-07

Similar Documents

Publication Publication Date Title
DE69838262T2 (de) Allgemeine benutzer-authentifizierung für netz-rechner
DE10051021B4 (de) System, Verfahren und Computerprogramm zur Bereitstellung interaktiver Web-Inhalte in statisch verknüpften Dateien
DE69824444T2 (de) Verfahren und system zur durchsetzung eines kommunikationsicherheitsverfahrens
DE69817158T2 (de) Benutzerschnittstellen-Mechanismus zur Manipulierung von Kontexten in Computerverwaltungsapplikationen
DE60109709T2 (de) Datenverwaltungsrahmenwerk für Verfahrensverwaltung
DE19882235B4 (de) Verwendung von Web-Technologie für Teilnehmerverwaltungsaktivitäten
DE102005013305A1 (de) Verfahren und System zum Verwalten elektronischer Systeme
DE602005006058T2 (de) Skalierbare Gruppierung von virtuellen lokalen Netzwerken (VLAN) bei einem Stadtbereichnetzwerkbetreiber
DE102005013240A1 (de) Verfahren zum Auswählen eines Abschnitts eines Diagramms und Netzwerkanalysevorrichtung, die dasselbe verwendet
EP1587244B1 (de) Verfahren zur Konfiguration einer Filtervorrichtung für einen in Frames organisierten Datenstrom, und Protokolltester
DE69831502T2 (de) Verfahren zum erzeugen von filtern, welche das einbruchrisiko in verbundene rechnernetze verhindern
DE3705882C2 (de)
DE10017551C2 (de) Verfahren zur zyklischen, interaktiven Bildanalyse sowie Computersystem und Computerprogramm zur Ausführung des Verfahrens
DE102007009737B4 (de) Verfahren, Drucksystem und Computerprogramm zum automatischen Bearbeiten von Auftragsbegleitdaten eines Druckauftrages
EP2876512A1 (de) Verfahren zur automatischen Verbindung von Komponenten eines Modells eines technischen Systems
DE10338073A1 (de) Verfahren und Vorrichtung zum Vordringen zu Meßdaten von allgemein angezeigten heterogenen Meßquellen
EP1128600A1 (de) Verfahren zum Erstellen eines Kommunikationsablaufs zwischen mindestens zwei Instanzen und Protokolltester hierfür
DE60037160T2 (de) Verfahren zur Fernabfrage von SNMP-Agenten
DE19811352C2 (de) System und Verfahren zur Suche auf untereinander vernetzten Rechnern mit Informationsbeständen mittels Softwareagenten
EP2249219A2 (de) Verfahren zur Auswahl eines einem Übertragungsnetz eines Automatisierungs-Systems zugeordneten Kommunikationssystems
EP1187009A2 (de) Verfahren zum Erzeugen von Informationsmodellen
DE10147872A1 (de) Verfahren, Vorrichtung und Speichermedium mit Software zum Anzeigen von Eigenschaften eines Objektes einer Server-Software in einem Client-Rechner
EP0825526B1 (de) Verfahren zur Unterstützung der Interaktion zwischen einer ersten und einer zweiten Einheit
DE10310886B3 (de) Verfahren und System zum gleichzeitigen Anzeigen desselben Inhalts auf zu verschiedenen Computern gehörenden Bildschirmen, sowie Web-Seite mit einem Link zu einem Dienst
DE102004028792A1 (de) Verfahren zur grafischen Darstellung von Gegenständen und technischen Prozessen auf einem Bildschirm, und hierzu eingesetztes Computerprogramm

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
R082 Change of representative

Ref document number: 1031221

Country of ref document: EP

Representative=s name: EISENFUEHR, SPEISER & PARTNER, 28217 BREMEN, DE

R081 Change of applicant/patentee

Ref document number: 1031221

Country of ref document: EP

Owner name: INFOBLOX INC., US

Free format text: FORMER OWNER: SOLSOFT, LEVALLOIS-PERRET, FR

Effective date: 20111025

R082 Change of representative

Ref document number: 1031221

Country of ref document: EP

Representative=s name: EISENFUEHR, SPEISER & PARTNER, 28217 BREMEN, DE

R082 Change of representative

Ref document number: 1031221

Country of ref document: EP

Representative=s name: EISENFUEHR, SPEISER & PARTNER, 28217 BREMEN, DE