KR20060096986A - 개인 원격 방화벽 - Google Patents

개인 원격 방화벽 Download PDF

Info

Publication number
KR20060096986A
KR20060096986A KR1020067004046A KR20067004046A KR20060096986A KR 20060096986 A KR20060096986 A KR 20060096986A KR 1020067004046 A KR1020067004046 A KR 1020067004046A KR 20067004046 A KR20067004046 A KR 20067004046A KR 20060096986 A KR20060096986 A KR 20060096986A
Authority
KR
South Korea
Prior art keywords
server
user
port
allowed
tcp
Prior art date
Application number
KR1020067004046A
Other languages
English (en)
Inventor
아리 라실라
지르키 스텐발
하리 수호넨
Original Assignee
노키아 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 노키아 코포레이션 filed Critical 노키아 코포레이션
Priority to KR1020067004046A priority Critical patent/KR20060096986A/ko
Publication of KR20060096986A publication Critical patent/KR20060096986A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 보안 터널 커넥션 상에서 회사 네트워크(20)에 무선 액세스하기 위한 규칙들을 제공하는 방법 및 가상 사설 네트워크(VPN) 게이트웨이 서버(10)에 관련된다. 회사 네트워크(20)는 방화벽 기능에 의하여 보호되며 상이한 원격 사용자들에게는 상이한 액세스 구성들이 제공된다. VPN 게이트웨이 서버(10)는 보안 터널을 이용하여 회사 네트워크(20)에 액세스하기 위한 각 사용자에 특이적인 규칙들을 제공한다. 이러한 규칙들은 개별 특정 사용자들에 관련된 TCP 포트들의 특정 집합들을 포함한다. 게이트웨이 서버(10)는 인증된 사용자의 회사 네트워크(20)로의 액세스를 제한하는데, 이러한 액세스는 게이트웨이 서버(10)에 의하여 제공되며 관련된 허용된 TCP 서버 포트들로의 터널 커넥션을 통하여 수행된다.

Description

개인 원격 방화벽{Personal remote firewall}
본 발명은 회사 네트워크로의 보안 터널 접속을 통한 무선 액세스용 규칙을 제공하는 가상 사설 네트워크(VPN, virtual private network) 게이트웨이 서버 및 그 방법에 관한 것이다.
최근에 무선 단말기를 이용하여 인터넷에 액세스하는 희망 및 가능성이 기대된다. 이러한 액세스는 전 세계 적으로 모바일 네트워크 오퍼레이터들이 도입되거나 도입될 제3 세대(3G) 모바일 네트워크에 의해 크게 향상될 것이다. 또한, 기존의 모바일 네트워크는 이러한 액세스를 용이하게 하는 추가적인 기능, 예를 들어 GPRS(General Packet Radio Service, 범용 패킷 무선통신 서비스) 기능을 갖도록 업그레이드된 GSM(Global System for Mobile communications, 이동 통신용 글로벌 시스템) 네트워크로 업그레이드되고 있다.
동시에, 특히, 원격 작업도구로서 적당하도록 하는 기능을 제공하는 좀 더 강력한 무선 장치의 도입과 더불어 회사 밖에 있을 때 무선 단말기를 사용하여 회상의 리소스에 액세스하려고 하는 회사원의 수가 지속적으로 증가하고 있다.
회사 네트워크 리소스로의 무선 액세스에 대한 욕구, 및 인터넷으로의 무선 액세스에 대한 증가하는 가능성이 클라이언트에게 무선 리소스로의 무선 액세스를 제공하도록 설계된 가상 사설 네트워크(VPN)의 회사 설치를 증가시키고 있다.
일반적으로, 가상 사설 네트워크(VPN)는 공용 네트워크(public network) 상에서 보안 사설 통신 인프라구조(infrastructure)를 설립하는 개념이다. 논리적 개념의 가상 사설 네트워크(VPN) 터널은 사설 라인을 대체하고, 2개의 회사 네트워크 사이트를 상호 접속함으로써, 소위 사이트간의 VPN을 가능하게 하거나, 또는 원격 사용자를 회사 네트워크와 상호 접속함으로써, 소위 원격 액세스를 가능하게 한다.
통상적으로, 원격 액세스 가상 사설 네트워크(VPN)에서, 가상 사설 네트워크(VPN) 게이트웨이 서버는 회사 네트워크를 인터넷에 상호 접속하게 한다. 따라서, 사용자는 가상 사설 네트워크(VPN) 게이트 서버를 통하여 회사 네트워크에 접속하기 위해 인터넷 서비스 제공자에 의해 제공되는 다이얼업(dial-up) 인터넷 접속을 사용할 수 있다. 사용자가 공중 네트워크를 통해 접속하기 때문에, 일종의 보안 수단, 통상 접속의 암호와 및 사용자의 인증이 필요하다. 가상 사설 네트워크(VPN) 게이트웨이 서버가 클라이언트와 회사 가상 사설 네트워크(VPN) 게이트웨이 간에 암호화된 접속을 통해 사용자를 성공적으로 인증하기 때문에, 사용자에게 소위 보안 가상 사설 네트워크(VPN) 터널을 통해 회사 네트워크에 액세스가 가능하다. 이 보안 가상 사설 네트워크(VPN) 터널을 사용함으로써 사용자는 회사 네트워크에서 서로 다른 리소스에 액세스할 수 있다. 유사하게는, 사용자가 무선 네트워크를 통해 인터넷 액세스할 수 있는 무선 클라이언트 단말기를 사용하면, 무선 네트워크 및 인터넷을 통해 무선 클라이언트와 가상 사설 네트워크(VPN) 게이트웨이 간에 보안 가상 사설 네트워크(VPN) 터널이 구축됨으로써, 회사 네트워크 리소스로의 무선 원격 액세스를 가능하게 한다.
상술한 바와 같이, 보안 가상 사설 네트워크(VPN) 터널 접속을 통해 회사 네트워크에 액세스하는 것은 접속의 보안화와 액세스하려는 사용자의 인증을 암시한다. 그러나, 일단 보안 터널 접속이 구축되면, 터널 내에서는 사용자 특이적 액세스 규칙(user specific accessing rule)이 없다. 그 대신에, 터널은 무선 클라이언트가 어떠한 인증된 액세스 사용자에게 항상 개방되는 TCP 포트 모두를 사용할 수 있게 한다.
모든 인증된 사용자에게 보안 터널 접속 내에서 TCP 포트를 항상 개방시키는 것은, 무선 클라이언트 단말기를 사용하는 다수의 사원들이 회사 네트워크 내에서 특정 어플리케이션에만 액세스하려 한다는 사실과는 일치하지 않는다. 또한, 일부 사원들은 회사 어플리케이션에 액세스하는 것이 허용되지 않을 수도 있다. 따라서, 간단한 방법으로 보안 VPN 터널 내에서 무선 클라이언트가 회사 네트워크에 액세스하는 것을 허용할지 여부를 어느 정도 제어할 수 있는 방법을 제공하는 것이 요구된다.
본 발명은 서로 다른 사용자가 회사 네트워크에 액세스하는 유형을 구별할 수 있는 방화벽 기능(firewall functionality)을 가지는 가상 사설 네트워크(VPN) 게이트웨이를 제공한다.
본 발명에 따르면, 이러한 기능은 독립항 제1항에 따른 방법, 및 독립항 제12항에 따른 가상 사설 네트워크 게이트웨이 서버에 의해 달성된다. 바람직한 실시예는 종속항들에 정의되어 있다.
본 발명이 기초로 하는 아이디어는, 서로 다른 원격 사용자별로 서로 다른 액세스 규칙을 가지는 방화벽 기능에 의해 회사 네트워크가 보호되는 회사 네트워크에 무선 원격 액세스하는 것을 제공하는 것이다.
본 발명에 따르면, VPN 게이트웨이 서버는 보안 터널을 사용하여 회사 네트워크에 액세스하려는 사용자 특이적(user specific) 규칙을 제공하는 사용자 데이터베이스를 포함한다. 이 규칙은 각각의 사용자와 연관된 별도의 TCP 포트 세트를 포함한다. 게이트웨이 서버는, 게이트웨이 서버에 의해 제공되는 터널 접속 수단에 의해 연관된 허용된 TCP 서버 포트로 액세스가 수행됨으로써, 인증된 사용자만이 회사 네트워크에 액세스하게 한다.
따라서, 인증된 사용자가 보안 터널 내에서 임의의 사용가능한 TCP 서버 포트를 사용하도록 허용하는 대신에, 본 발명에 따른 VPN 게이트웨이 서버의 방화벽 기능이 사용자 데이터베이스에 있는 사용자와 연관된 TCP 서버 포트를 사용하여 보안 터널을 통해 회사 네트워크에 액세스하는 것을 허용한다. 이렇게 함으로써, 서로 다른 사용자별로 회사 네트워크에 접속하는 유형을 구별하는 것을 가능하게 한다. 예를 들면, 어떤 사용자가 보안 터널 내에서 사용가능한 TCP 포트 또는 소켓을 사용하도록 허용됨으로써, 회사 네트워크의 다양한 어플리케이션들과 원격으로 상호 작용할 수 있는 옵션을 제공한다. 동시에, 다른 사용자는 회사 네트워크의 전자메일 서버 프로세스와 원격으로 상호 작용할 수 있게 하는 TCP 서버 포트들을 사용할 수 있도록 허용될 수 있다.
보안 터널은 게이트웨이 서버의 특정 TCP 서버 포트에 속하는(bound) 것이 바람직하지만, 보안 터널 내의 실제 사용자 트래픽(traffic)을 위한 허용된 TCP 포트들은 사용자 데이터베이스에서 사전-구성된다. 터널 자체를 위한 TCP 서버 포트는 사용자의 어플리케이션에서 사전-구성된다.
바람직하게는, 회사 네트워크로의 사용자 액세스는 두 가지 개별 TCP 세션들에 관련된다. 이중 하나는 사용자의 무선 클라이언트 단말기 및 게이트웨이 서버 간의 암호화된 커넥션의 형태로 제공되는 VPN 터널이며, 다른 하나는 게이트웨이 서버 및 회사 네트워크의 백-엔드(back-end) 서버 간의 세션이다. 후자의 TCP 세션에서, 게이트웨이 서버는 허용된 TCP 서버 포트에 의하여 정의되는 서버 소켓(server socket)에 상대측으로서의 클라이언트로서 동작한다.
사용자 데이터베이스는 터널 커넥션 상에서의, 회사 네트워크 네트워크로의 사용자 액세스를 제어 및 개선하기 위하여 다양한 바람직한 방법으로 구성될 수 있다. 이러한 가능한 구성들 중 몇 가지가 후술될 것이다.
바람직하게는, 사용자 데이터베이스는 특정 사용자의 허용된 TCP 서버 포트 번호를 회사 네트워크 내의 특정 IP 주소에 관련시킨다. 이러한 방법을 통하여, 동일한 프로토콜을 이용하는 상이한 클라이언트들의 사용자 데이터는 회사 네트워크 내의 상이한 IP 주소 목적지(destination)들로 전달될 수 있는데, 이 과정에서 동일한 공지된 소켓을 사용하거나 동일한 포트 프로토콜에 관련된 상이한 TCP 포트 번호들을 이용할 수 있다. 그러면, 이러한 목적지들은 동일한 액세스 프로토콜를 이용하는 상이한 사용자들을 위한 액세스가능한 서비스들 및 어플리케이션들을 구별하기 위하여 사용될 수 있다.
바람직하게는, 사용자의 허용된 TCP 서버 포트들은 사용자 데이터베이스에서 개별 서버측 TCP 서버 포트들에 관련된 클라이언트측 TCP 서버 포트들이다. 이러한 구성은, 상이한 클라이언트측 TCP 서버 포트들을 동일한 서버측 TCP 서버 포트와 관련시킬 수 있는 가능성을 제공한다. 이러한 구성은 바람직한데, 그 이유는 이러한 구성을 통하여 하나의 클라이언트가 예를 들어 동일한 서버 어플리케이션 프로세스에 반하여 클라이언트 어플리케이션 프로세스들에 대해서는 두 개의 상이한 프로세스를 실행할 수 있도록 허용하기 때문이다. 예를 들어, 클라이언트는 하나 및 동일한 메일 서버 프로세스와 통신하는 상이한 동시적 메일 클라이언트 프로세스들을 가질 수 있다.
사용자 데이터베이스로 하여금 특정 사용자에 대하여 허용된 상이한 클라이언트측 TCP 포트들을 상이한 IP 주소들을 가지는 동일한 서버측 TCP 포트와 관련시키도록 구성하는 것이 또한 바람직하다. 이러한 구성에서, 사용자는 동일한 프로토콜을 이용하여 동시적 커넥션들을 회사 네트워크 내의 상이한 IP 주소들로 연결시킬 수 있는데, 이 경우 상이한 커넥션에 대해서는 상이한 클라이언트측 TCP 포트들을 이용한다. 이러한 구성을 통하여, 상이한 IP 주소 상의 상이한 메일 서버 프로세스들과 통신하는 동시적 메일 클라이언트 프로세스들을 가질 수 있는 가능성이 생긴다.
바람직하게는, 사용자 데이터베이스는 클라이언트측 TCP 서버 포트를 서버측 TCP 서버 포트 및 회사 네트워크 내의 회사 DNS 서버의 IP 주소 주소와 관련시키도록 구성된다. 이러한 구성을 통하여, 관심 대상인 클라이언트가 터널 커넥션 내의 회사 DNS 서비스를 이용하도록 허용할 수 있다.
특정 사용자와 관련된 터널 내의 허용된 TCP 서버 포트들의 집합은 사용자가 인증된 이후에 해당 사용자에게 전송되는 것이 바람직하다. 이러한 구성을 통하여, 클라이언트가 허용된 TCP 서버 포트들에 대한 정보를 이용하여 사전-구성되지 않았을 경우, 사용자는 허용된 어떤 TCP 서버 포트가 터널 내에서 사용되도록 허용되었는지에 대한 정보를 제공받을 수 있다. 또한, 이러한 구성을 통하여, 터널 커넥션을 이용하기 이전에 클라이언트를 재구성할 필요가 없이 사용자 데이터베이스 내에서 허용된 TCP 포트들을 변경하는 것도 가능하다.
클라이언트에 의하여 사용되도록 허용된 TCP 서버 포트들은 공지된 소켓들의 포트들이거나 임의의 포트들일 수 있다. 임의의 TCP 서버 포트들이 이용되는 경우에, 본 발명의 일 실시예는 사용자 데이터베이스가 포트 특이적 프로토콜을 허용된 TCP 서버 포트들과 관련시키도록 하고, 이러한 프로토콜들은 인증 이후에 TCP 포트들과 함께 클라이언트로 송신된다.
본 발명의 전술된 바와 같은 특징들 및 다른 특징들 및 이로부터 얻어지는 장점들은 본 발명의 예시적 실시예 몇 가지를 설명함으로써 완전하게 이해될 것이다. 공지된 바와 같이, 본 발명의 기술적 사상에 포함되는 특징들의 다양한 변경, 수정, 및 상이한 조합들도, 당업자가 본 발명에 교시된 사항 및 후술되는 상세한 설명을 연구함으로써 명백하게 실시할 수 있는 것이다.
본 발명을 바람직한 실시예들을 첨부 도면을 참조하여 설명하기로 한다.
도 1은 본 발명의 일 실시예가 포함되고 동작되는 예시적인 전체 시스템 환경을 개략적으로 나타내는 도; 및
도 2는 본 발명의 다른 실시예가 포함되고 동작되는 예시적인 전체 시스템 환경을 개략적으로 나타내는 도이다.
도 1을 참조하여 본 발명을 더욱 상세히 설명하기로 한다. 도 1은 가상 사설 네트워크(VPN) 게이트웨이 서버(10), 이 게이트웨이 서버가 접속되는 회사 네트워크(20), 통상적으로 인트라넷, 및 인터넷(30)을 도시하고 있다. 사용자의 무선 클라이언트 단말기(40)가 무선 네트워크(50)를 통해 인터넷에 액세스하고 있는 것이 도시되어 있다.
VPN 게이트웨이 서버는 서로 다른 사용자들이 서로 다른 사용자별로의 규칙으로 연관되어 회사 네트워크(20)에 액세스하도록 구성된 사용자 데이터베이스(15)를 포함한다. 사용자 데이터베이스는, 서로 다른 사용자가 VPN 터널 접속에 의해 회사 네트워크에 접속할 때 사용되도록 허용되는 서로 다른 TCP 서버 포트 세트로 연관되게 함으로써, 사용자별로 규칙을 제공한다.
VPN 게이트웨이 서버(10)는, 사용자가 무선 클라이언트 단말기(40)를 사용하여 회사 네트워크(20)에 액세스할 수 있는 보안 VPN 터널을 제공하는 하나의 별도의 TCP 서버 포트를 사용하도록 되어 있다. 무선 클라이언트(40)가 이러한 별도의 포트를 사용할 때 클라이언트(40)와 게이트웨이 서버(10)간에 특정 세션(session)으로 SSL(Secure Socket Layer, 보안 소켓 레이어) 암호화된 접속을 개시하도록 터널이 구축된다. 이러한 세션은 게이트웨이 서버에서 종료된다. 게이트웨이 서버(10)와 회사 네트워크의 백-엔드(back-end) 서버들 간의 또다른 접속은 새로운 비암호화된 별도의 TCP 세션들에 의해 제공된다.
따라서, 회사 네트워크의 백-엔드 서버에의 사용자의 액세스는, 클라이언트(40)와 게이트웨이 서버(10)간의 별도의 TCP 세션, 및 클라이언트로서 동작하는 게이트웨이 서버를 가지는 백-엔드 서버와 게이트웨이 서버(10)간의 추가적인 TCP세션에 의해 제공된다.
또한, VPN 게이트웨이 서버(10)는 사용자가 VPN 터널에 접속하는 것을 인증하는 인증 수단(11), 터널에서 인증된 사용자의 액세스를 제한하는 포트 필터링 수단(12), 및 허용된 TCP 서보 포트들 세트를 인증된 사용자에게 전송하는 전송 수단(13)을 포함한다.
당업자들은, 사용자 인터페이스(15), 인증 수단(11), 포트 필터링 수단(12) 및 전송 수단(13) 모두가, 메모리 회로들, 인터페이스 회로들 및 마이크로프로세서를 포함하는 공지된 종래기술의 하드웨어 회로들에 의해 구현될 수 있다는 점을 이해할 것이다. 마이크로프로세서는, 메모리에 로딩되어 하드웨어 회로들이 본 발명의 다양한 실시예들에 따라 구성되고 동작되도록 하는 프로그램 명령들을 실행한다. 이러한 프로그램 명령들의 설계는 당업자가 본 발명의 내용을 습득한 후 프로그래밍할 수 있다.
도 1을 다시 참조하여, 예시적인 일 실시예를 설명하기로 한다. 도 1에서, 사용자 데이터베이스(15)의 예시적인 구성은 사용자(X)를 포트들(80, 110 및 25)로 이루어진 허용된 TCP 포드들 세트와 연관시키도록 도시된다. 이러한 포트들은 당업자에게 HTTP(HyperText Transport Protocol, 하이퍼텍스프 전송 프로토콜), POP3(Post Office Protocol - Version 3) 및 SMTP(Simple Mail Transfer Protocol) 프로토콜로 각각 알려져 있다. 유사하게는, 사용자(Y)는 허용된 TCP 포트들(110 및 25)만으로 연관된다. 따라서, 회사 네트워크(20)에의 사용자(Y)의 액세스는 메일 서버 액세스만으로 제한되도록 구성되고, 사용자(X)는 메일 서버 액세스에 추가하여 회사 네트워크 내에서 웹 어플리케이션에 액세스하는 것이 허용된다.
무선 클라이언트(40)는 게이트웨이 서버에 의해 제공되는 VPN 터널에 액세스하도록 구성된 클라이언트 어플리케이션을 포함한다. 터널에 액세스하기 위해, 클라이언트는 VPN 게이트웨이 서버의 IP 주소, 및 터널 특이적인 TCP) 서버 포트에 접속한다. 예를 들어, 터널을 위한 TCP 서버 포트가 포트(83)이면, 클라이언트 어플리케이션은 VPN 터널을 액세스할 때 TCP 서버 포트(83)에 접속하도록 미리 구성된다.
도 1에 도시된 실시예의 동작을 설명하기로 한다. 본 발명에 따르면, 우선, 사용자 데이터베이스(15)는 VPN 터널을 사용하여 TCP 서버 포트에 대한 사용자 특이적(user specific) 규칙으로 구성된다. 상술한 바와 같이, 이러한 구성은 서로 다른 허용된 TCP 서버 포트들 세트를 서로 다른 사용자들과 연관시키는 것을 포함한다. 이 실시예의 사용자 데이터베이스의 구성의 결과는 상술한 바 있고 도 1에 도시되어 있다.
사용자가 회사 네트워크에 액세스하려고 할 때, 사용자는 무선 클라이언트(40) 및 VPN 게이트웨이 서버(10)의 IP 주소를 사용하여 VPN 터널의 TCP 서버 포트, 이러한 경우에는 포트(83)에 접속한다. 이 포트를 사용하여 클라이언트(40)와 게이트웨이 서버(10)간의 SSL 암호화된 접속을 개시함으로써, 보안 VPN 터널이 설립된다. VPN 게이트웨이 서버(10)는 사용자에 의해 무선 클라이언트(40)로부터 터널의 TCP 서버 포트(83)에의 TCP/IP 커넥션을 통해 전송되는 사용자 식별자 및 패스워드 정보에 기초하여 사용자를 인증한다. 사용자가 인증되면, 게이트웨이 서버는 사용자 데이터베이스(15)에서 특정 사용자와 연관된 허용된 TCP 서버 포트들을 검색한다. VPN 서버는 클라이언트 세션 번호 및 특정의 허용된 TCP 서버 포트들, 예를 들어, 접속하는 사용자가 상술한 사용자(X)이면 포트들(80, 110 및 25)을 무선 클라이언트 어플리케이션으로 재전송한다. 이러한 TCP 서버 포트들은 터널에서 허용된 포트들이다.
무선 클라이언트(40)는, VPN 게이트웨이 서버(10)로부터 허용된 TCP 서버 포드들을 수신한 후, 개방된 보안 터널에서 어떤 프로토콜들을 사용할지를 인식한다(허용된 TCP 포트들이 잘 알려진 소켓들이 아니라면, 서버(10)는 허용된 TCP 포트들과 함께 사용할 프로토콜들을 클라이언트로 전송한다). 사용자는 허용된 TCP 포트들과 함께 사용할 수 있는 프로토콜들에 대응하는 프로토콜들을 필요로 하는 어플리케이션들을 사용하여 시작할 수 있다. 통상, 클라이언트 어플리케이션은 클라이언트측 TCP 포트를 개방하고, 터널 내에서 허용된 서버측 TCP 포트에 접속하려는 요구를 전송한다. 예를 들면, 사용자(X)는 클라이언트측 포트(1077)를 개방하고 허용된 서버측 TCP 포트(80)에 접속하려고 요구하는 웹 브라우저 어플리케이션을 사용할 수 있다. 클라이언트는 터널에서 소켓에 접속, 즉 서버측 TCP 포트(83)에의 설립된 커넥션을 통해 이러한 요구를 라우팅한다. 서로 다른 소켓들에의 모든 클라이언트들의 접속 요구들은 이러한 방법으로 동일한 개방된 서버 소켓 접속, 즉 SSL 암호화된 보안 터널의 TCP 서버 포트(83)로 라우팅된다.
보안 터널에서 무선 클라이언트로부터 데이터를 수신하면, 게이트웨이 서버(20)는 이 데이터를 해석하고, 사용자(X)가 터널의 TCP 서버 포트(80)를 사용하도록 허용되는지 여부를 사용자 데이터베이스로 검사한다. 사용자(X)가 허용된다면, 게이트웨이 서버(10)는 클라이언트로서 동작하고, 회사 네트워크에서 웹 어플리케이션 서버 프로세스를 주관하는 백-엔드 서버의 TCP 포트(80)에 접속함으로써 새로운 별도의 TCP 세션을 설립한다. 게이트웨이 서버(10)는 이러한 별도의 TCP 세션을 통해 해석된 사용자 데이터를 포워딩한다.
사용자(Y)가 회사 웹 브라우저 어플리케이션을 운영하고자 한다고 가정한다. 본 발명에 따르면, 게이트웨이 서버(10)는 사용자(Y)가 이러한 종류의 회사 네트워크에의 액세스를 못하도록 한다. 사용자(Y)가 터널에서 포트(80)에 접속하는 요구를 라우팅하면, 게이트웨이 서버는 수신된 데이터의 해석하여, 사용자(Y)가 요청된 TCP 서버 포트의 사용을 허용하지 않는다는 것을 확인한다. 따라서, 게이트웨이 서버(10)는 백-엔드 서버의 포트(80)로의 어떠한 TCP 세션도 설립하지 않고, 어떠한 데이터도 회사 네트워크로 포워딩되지 않는다. 그러나, 사용자(Y)가 회사 네트 워크 내의 메일 서버에 액세스하려 했다면, 게이트웨이 서버(10)가 터널의 사용자(Y)에 의해 사용되도록 허용된 TCP 서버 포드들(포트(25 및 110))을 포함하기 때문에, 이러한 액세스는 게이트웨이 서버(10)에 의해 제공되었을 것이다. 따라서, 게이트웨이 서버(10)는 회사 네트워크에의 사용자(Y)의 액세스를 제한한다.
도 2를 참조하여, 본 발명의 다른 바람직한 실시예를 설명하기로 한다. 이 실시예에서는, 사용자 데이터베이스는 회사 네트워크에 대한 액세스를 위한 추가적인 사용자 특이적(user specific) 규칙들을 제공한다. VPN 터널의 구조 및 VPN 터널에의 액세스는 도 1을 참조하여 전술된 바에 상응한다. 더 나아가, 도 2에 도시된 모든 구성 요소들은 도 1에서 이용된 부재 번호와 동일한 부재 번호에 의하여 지시되는 도 1의 구성 요소들의 구조 및 동작과 유사한 구조 및 동작을 가진다.
본 실시예에서 사용자와 관련된 허용된 TCP 서버 포트들은 클라이언트측의 허용된 TCP 서버 포트들 인데, 이들은 사용자 데이터베이스(25) 내에서 서버측의 개별 TCP 서버 포트들과 관련된다. 허용된 클라이언트 측 TCP 서버 포트로의 연결을 위한 요청을 VPN 터널을 통하여 수신하면, 게이트웨이 서버(10)는 관련된 서버측 TCP 서버 포트에 연결함으로써 신규의 TCP 세션을 설립한다. 그러면, 보안 터널(secure tunnel)에서 수신되며 허용된 클라이언트측 TCP 서버 포트를 목적지로서 가지는 사용자 데이터는 관련된 서버측 TCP 서버 포트로 전달된다.
더 나아가, 각 사용자의 클라이언트측 TCP 서버 포트는 IP 주소와 관련되며, 상이한 사용자들의 동일한 클라이언트측 TCP 서버 포트 번호가 상이한 IP 주소들과 관련되도록 허용한다.
도 2는 사용자들(X 및 Y)을 포함하는 구조에 대하여 예시한다. 다시 한번 강조하면, 회사 네트워크에서 동작하는 어플리케이션들은 이러한 번호들을 이용하는 공용 방법(common way)에 따른 포트 번호들을 이용하는데, 이러한 포트 번호들은 SMTP 프로토콜에서는 포트 25이고, POP3 프로토콜에서는 포트 110이며, HTTP 프로토콜에서는 포트 80이고, 도메인 네임 서버 어플리케이션에서는 포트 53이 된다. 도 2에 도시된 구조에서, 사용자(X)는 클라이언트측 TCP 서버 포트들(25, 26, 110, 및 112)을 이용하여 상이한 IP 주소들을 가지는 상이한 메일 서버 어플리케이션들에 액세스하도록 허용된다.
사용자(X)가 인증되면, VPN 게이트웨이 서버는 허용된 클라이언트측 TCP 서버 포트들을 보안 터널 상에서 사용자(X)에 의하여 작동되는 무선 단말기(40)로 전송한다. 그러면, 사용자(X)는 어떤 포트들이 사용하도록 허용되었는지를 알게 된다. 어느 포트 번호가 공지된 소켓(socket)이 아니라면, 게이트웨이 서버도 포트 특이적인(port specific) 프로토콜을 사용자에게 전송하는데, 이것은 어떤 프로토콜이 특정 포트와 함께 사용되어야 하는지를 알린다. 또는, 무선 클라이언트는 어떤 프로토콜들이 다양한 포트 번호들을 이용하여 사용하여야 하는지에 대하여 사전 구성된다.
도 2에 도시된 사용자 데이터베이스(25)의 구조로부터, 사용자(X)가 상이한 두 개의 POP 서버 프로세스들에 액세스하도록 허용된다는 것을 알 수 있는데, 이것들은 회사 네트워크에서 동작하는 IP 주소 10.114.2.1 및 10.114.2.2를 가진다. 사용자(X)는 터널 내의 POP3 프로토콜과 함께 상이한 클라이언트측 TCP 서버 포트 들 110 및 112를 이용하여 상이한 POP3 서버 프로세스들에 액세스한다. 도 2에 도시된 바와 같이, 클라이언트측 TCP 서버 포트 110을 이용한, 사용자(X)로부터의 보안 터널 내 트래픽(traffic)은 TCP 커넥션 상에서 IP 주소 10.114.2.1 및 서버측 TCP 포트 110으로 전달되고, 클라이언트측 TCP 서버 포트 112를 이용한 트래픽은 IP 주소 10.114.2.2 및 서버측 TCP 포트 110을 가지는 TCP 커넥션으로 전달된다.
이와 반대로, 사용자(Y)는 단지 클라이언트측 서버 포트들 25 및 110 만을 이용하도록 허용된다. 그러므로 회사 네트워크에 대한 사용자(Y)의 메일 서버 액세스는 IP 주소 10.114.2.2를 가지는 메일 서버에 의한 POP3 및 SMTP를 위하여 사용되는 서버측 TCP 서버 포트들에 한정된다. 그러므로, 상이한 두 명의 사용자들의 동일한 클라이언트측 TCP 서버 포트 번호(즉, 포트 번호 110과 같은 것)가 상이한 IP 주소를 가진 동일한 서버측 TCP 포트 번호에 관련된다. 이러한 방식으로 게이트웨이 서버는 동일한 통신 프로토콜을 이용하는 상이한 사용자들로부터의 사용자 데이터를 상이한 IP 주소 목적지들을 가지는 서버측 TCP 포트들에 전달하도록 허용된다.
또한, 사용자(X)는 개별 서버측 TCP 포트들 및 웹 어플리케이션의 IP 주소들 및 회사 네트워크 내의 도메인 네임 서버에 관련된 클라이언트측 TCP 서버 포트들인 80 및 53을 이용하도록 허용된다. 사용자(Y)는 웹 서버 어플리케이션들 또는 도메인 네임 서버 어플리케이션들을 위한 서버측 포트들에 관련된 클라이언트측 포트들을 가지지 않는다. 그러므로, 사용자(Y)가 회사 네트워크에 액세스하면 단지 메일 서버 액세스만 허용될 것이다.
본 발명의 상이한 실시예들에 대한 상세한 설명들이 예시적인 목적으로만 제공된 것이며, 따라서 본 발명의 기술적 사상을 제한하고자 하는 목적으로 제공된 것이 아니라는 점에 주의하여야 한다. 본 발명의 기술적 사상은 첨부된 청구의 범위에 의하여 정의된다. 특히, 상이한 전술된 실시예들의 특징들은 상호 결합함으로써 첨부된 청구의 범위에 나타난 기술적 사상 내에 포함되는 신규한 실시예들을 생성할 수도 있다는 점에 특히 주의하여야 한다.
더 나아가, 첨부된 청구의 범위의 기술적 사상에 포함되는 모든 변경 및 수정이 본 명세서에 기술되고 교시된 일반적인 기술적 사상 및 발명의 범위에 포함되며, 이것들은 당업자들이 청구의 범위 및 실시예에 대한 설명을 연구함으로써 명백해질 수 있을 것이라는 점에 주의하여야 한다.
본 발명은 회사 네트워크로의 보안 터널 접속을 통한 무선 액세스용 규칙을 제공하는 가상 사설 네트워크(VPN, virtual private network) 게이트웨이 서버에 사용될 수 있다.

Claims (24)

  1. 가상 사설 네트워크(VPN) 게이트웨이 서버(10)에서, 보안 터널 커넥션(secure tunnel connection) 상에서 회사 네트워크(corporate network, 20)로 무선 액세스하기 위한 규칙들을 제공하기 위한 방법에 있어서,
    상기 서버의 사용자 데이터베이스(15, 25)를 구성함으로써 상기 보안 터널 커넥션을 통한 액세스를 위한 사용자 특이적 규칙들(user specific rules)을 제공하는 단계로서, 상이한 특정 사용자들을 허용된 TCP 서버 포트들의 개별 집합에 관련(associating)시키는 단계를 포함하는 단계;
    상기 보안 터널 커넥션에 연결하는 사용자를 인증하는 단계; 및
    상기 사용자 데이터베이스(15, 25) 내의 사용자에 관련된 허용된 TCP 서버 포트들의 집합에 의하여 포함되는 소정 포트를 목적지로서 가지는 사용자 데이터로서, 상기 보안 터널 내에서 수신되는 사용자 데이터만 전달함으로써, 상기 회사 네트워크(20)로의 인증된 사용자의 액세스를 제한하는 단계를 포함하는 것을 특징으로 하는 방법.
  2. 제1항에 있어서,
    상기 보안 터널이 상기 게이트웨이 서버(10)의 특정 TCP 서버 포트에 속하도록(bound) 구성하는 구성 단계를 포함하는 것을 특징으로 하는 방법.
  3. 제1항 또는 제2항에 있어서, 상기 구성 단계는,
    상기 사용자 데이터베이스(15, 25)를, 특정 사용자의 허용된 TCP 서버 포트 번호를 상기 회사 네트워크 내의 특정 IP 주소와 관련시키도록 구성하는 단계를 포함하며, 상기 방법은,
    상기 보안 터널 커넥션에서 수신된 사용자 데이터를 허용된 TCP 서버 포트에 관련된 IP 주소로 전달하는 단계를 포함하는 것을 특징으로 하는 방법.
  4. 제1항 내지 제3항 중 어느 한 항에 있어서,
    상기 보안 터널에서 수신된 사용자 데이터를 개별 TCP 커넥션 상에서 허용된 TCP 서버 포트에 전달하는 단계를 포함하며,
    이러한 커넥션에서, 상기 게이트웨이 서버는 클라이언트로서 동작하는 것을 특징으로 하는 방법.
  5. 제4항에 있어서, 상기 구성 단계는,
    상기 사용자 데이터베이스를, 상이한 사용자의 동일한 허용된 TCP 서버 포트 번호를 상기 회사 네트워크 내의 상이한 IP 주소들에 관련시키도록 구성하는 단계를 포함하는 것을 특징으로 하는 방법.
  6. 제1항 내지 제3항 중 어느 한 항에 있어서,
    특정한 사용자에 관련된 허용된 TCP 서버 포트들은 허용된 클라이언트측 TCP 서버 포트들이며, 상기 구성 단계는,
    상기 사용자 데이터베이스(25)는, 허용된 클라이언트측 TCP 서버 포트를 서버측 TCP 서버 포트와 관련시키도록 구성하는 단계를 포함하며, 상기 방법은,
    상기 보안 터널에서 수신된 사용자 데이터를 허용된 클라이언트측 TCP 서버 포트에 관련된 서버측 TCP 서버 포트로 개별 TCP 커넥션을 통하여 전달하는 단계를 포함하며,
    이러한 커넥션에서, 상기 게이트웨이 서버(10)는 클라이언트로서 동작하는 것을 특징으로 하는 방법.
  7. 제6항에 있어서, 상기 구성 단계는,
    상기 사용자 데이터베이스(25)를, 특정 사용자와 관련된 상이한 허용된 클라이언트측 TCP 서버 포트들을 상이한 개별 IP 주소들을 가지는 동일한 서버측 TCP 포트에 관련시키도록 구성하는 단계를 포함하며, 상기 방법은,
    상기 보안 터널에서 수신된 사용자 데이터를 허용된 클라이언트측 TCP 서버 포트에 관련된 IP 주소로 전달하는 단계를 포함하는 것을 특징으로 하는 방법.
  8. 제7항에 있어서, 상기 구성 단계는,
    상기 사용자 데이터베이스(25)를, 상이한 허용된 클라이언트측 TCP 서버 포트들을 개별 IP 주소들을 가지는 상이한 전자 메일 서버들의 서버측 TCP 서버 포트들에 관련시키도록 구성하는 단계를 포함하는 것을 특징으로 하는 방법.
  9. 제6항 내지 제8항 중 어느 한 항에 있어서, 상기 구성 단계는,
    상기 사용자 데이터베이스(25)를, 허용된 클라이언트측 TCP 서버 포트를 상기 회사 네트워크 내의 회사 DNS 서버의 서버측 TCP 서버 포트 및 IP 주소에 관련시키는 단계를 포함하는 것을 특징으로 하는 방법.
  10. 제1항 내지 제9항 중 어느 한 항에 있어서,
    상기 보안 터널에서 인증된 사용자에게 상기 사용자 데이터베이스(15, 25) 내의 상기 인증된 사용자에 관련된 허용된 TCP 서버 포트들의 집합을 송신하는 단계를 포함하는 것을 특징으로 하는 방법.
  11. 제10항에 있어서, 상기 구성 단계는,
    상기 사용자 데이터베이스(15, 25)를, 포트 특이적(port specific) 프로토콜을 허용된 TCP 서버 포트와 관련하도록 구성하는 단계를 포함하며, 상기 포트 특이적 프로토콜은,
    상기 허용된 TCP 서버 포트와 함께 상기 인증된 사용자에게 송신되는 것을 특징으로 하는 방법.
  12. 보안 터널 커넥션 상에서 회사 네트워크(20)로 무선 액세스하기 위한 규칙들을 제공하기 위한 가상 사설 네트워크(VPN) 게이트웨이 서버(10)에 있어서, 상기 서버(10)는,
    상이한 특정 사용자들 및 허용된 TCP 서버 포트들의 개별 집합들 간의 관련성(associations)을 저장함으로써, 상기 보안 터널 커넥션을 통한 액세스를 위한 사용자 특이적 규칙들를 제공하는 사용자 데이터베이스(15, 25);
    상기 보안 터널 커넥션에 연결하는 사용자를 인증하기 위한 인증 수단(11); 및
    상기 사용자 데이터베이스(15, 25) 내의 사용자에 관련된 허용된 TCP 서버 포트들의 집합에 의하여 포함되는 소정 포트를 목적지로서 가지는 사용자 데이터로서, 상기 보안 터널 내에서 수신되는 사용자 데이터만 전달함으로써, 상기 회사 네트워크(20)로의 인증된 사용자의 액세스를 제한하기 위한 포트 필터링 수단(12)을 포함하는 것을 특징으로 하는 게이트웨이 서버(10).
  13. 제12항에 있어서,
    상기 보안 터널이 상기 게이트웨이 서버(10)의 특정 TCP 서버 포트에 속하는 것을 특징으로 하는 게이트웨이 서버(10).
  14. 제12항 또는 제13항에 있어서, 상기 사용자 데이터베이스(15, 25)는,
    특정 사용자의 허용된 TCP 서버 포트 번호를 상기 회사 네트워크 내의 특정 IP 주소와 관련시키고, 상기 포트 필터링 수단은,
    상기 보안 터널 커넥션에서 수신된 사용자 데이터를 허용된 TCP 서버 포트에 관련된 IP 주소로 전달하도록 구현되는 것을 특징으로 하는 게이트웨이 서버(10).
  15. 제12항 내지 제14항 중 어느 한 항에 있어서, 상기 포트 필터링 수단은,
    상기 보안 터널에서 수신된 사용자 데이터를 개별 TCP 커넥션 상에서 허용된 TCP 서버 포트에 전달하도록 구현되며,
    이러한 커넥션에서, 상기 게이트웨이 서버는 클라이언트로서 동작하는 것을 특징으로 하는 게이트웨이 서버(10).
  16. 제15항에 있어서, 상기 사용자 데이터베이스는,
    상이한 사용자의 동일한 허용된 TCP 서버 포트 번호를 상기 회사 네트워크 내의 상이한 IP 주소들에 관련시키는 것을 특징으로 하는 게이트웨이 서버(10).
  17. 제12항 내지 제14항 중 어느 한 항에 있어서,
    특정한 사용자에 관련된 허용된 TCP 서버 포트들은 허용된 클라이언트측 TCP 서버 포트들이며, 상기 사용자 데이터베이스(25)는,
    허용된 클라이언트측 TCP 서버 포트를 서버측 TCP 서버 포트와 관련시키고, 상기 포트 필터링 수단은,
    상기 보안 터널에서 수신된 사용자 데이터를 허용된 클라이언트측 TCP 서버 포트에 관련된 서버측 TCP 서버 포트로 개별 TCP 커넥션을 통하여 전달하도록 더욱 구현되고,
    이러한 커넥션에서, 상기 게이트웨이 서버(10)는 클라이언트로서 동작하는 것을 특징으로 하는 게이트웨이 서버(10).
  18. 제17항에 있어서, 상기 사용자 데이터베이스(25)는,
    특정 사용자와 관련된 상이한 허용된 클라이언트측 TCP 서버 포트들을 상이한 개별 IP 주소들을 가지는 동일한 서버측 TCP 포트에 관련시키며, 상기 포트 필터링 수단은,
    상기 보안 터널에서 수신된 사용자 데이터를 허용된 클라이언트측 TCP 서버 포트에 관련된 IP 주소로 전달하도록 구현되는 것을 특징으로 하는 게이트웨이 서버(10).
  19. 제18항에 있어서, 상기 사용자 데이터베이스(25)는,
    상이한 허용된 클라이언트측 TCP 서버 포트들을 개별 IP 주소들을 가지는 상이한 전자 메일 서버들의 서버측 TCP 서버 포트들에 관련시키는 것을 특징으로 하는 게이트웨이 서버(10).
  20. 제17항 내지 제19항 중 어느 한 항에 있어서, 상기 사용자 데이터베이스(25)는,
    허용된 클라이언트측 TCP 서버 포트를 상기 회사 네트워크 내의 회사 DNS 서버의 서버측 TCP 서버 포트 및 IP 주소에 관련시키는 것을 특징으로 하는 게이트웨 이 서버(10).
  21. 제12항 내지 제20항 중 어느 한 항에 있어서,
    인증된 사용자에게, 상기 사용자 데이터베이스(15, 25) 내의 상기 인증된 사용자에 관련된 허용된 TCP 서버 포트들의 집합을 상기 보안 터널 상에서 송신하는 송신 수단을 포함하는 것을 특징으로 하는 게이트웨이 서버(10).
  22. 제21항에 있어서, 상기 사용자 데이터베이스(15, 25)는,
    포트 특이적(port specific) 프로토콜을 허용된 TCP 서버 포트와 관련시키고, 상기 송신 수단은,
    상기 포트 특이적 프로토콜을 상기 허용된 TCP 서버 포트와 함께 상기 인증된 사용자에게 송신하도록 구현되는 것을 특징으로 하는 게이트웨이 서버(10).
  23. 가상 사설 네트워크(VPN) 시스템에 있어서,
    회사 네트워크(20);
    보안 터널 커넥션 상에서 상기 회사 네트워크(20)로의 무선 액세스를 제공하기 위한, 제12항 내지 제22항 중 어느 한 항에 따른 가상 사설 네트워크(VPN) 게이트웨이 서버(10); 및
    적어도 하나의 무선 클라이언트 단말기(40)를 포함하며, 상기 클라이언트 단말기는,
    상기 터널 커넥션 상에서 상기 VPN 게이트웨이 서버(10)로 액세스할 때에는 특정 TCP 서버 포트 및 IP 주소를 이용하고, 상기 회사 네트워크(20)에 액세스할 때는 상기 터널 커넥션 내의 TCP 서버 포트들의 특정 집합을 이용하도록 구성되는 것을 특징으로 하는 가상 사설 네트워크(VPN) 시스템.
  24. 제23항에 있어서, 상기 무선 클라이언트 단말기(40)는,
    상기 터널 커넥션 내에서 이용될 상기 TCP 서버 포트들을 상기 게이트웨이 서버(10)에 송신된 인증 메시지에 응답하여 상기 게이트웨이 서버(10)로부터 수신하도록 구성되는 것을 특징으로 하는 가상 사설 네트워크(VPN) 시스템.
KR1020067004046A 2006-02-27 2003-08-29 개인 원격 방화벽 KR20060096986A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020067004046A KR20060096986A (ko) 2006-02-27 2003-08-29 개인 원격 방화벽

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020067004046A KR20060096986A (ko) 2006-02-27 2003-08-29 개인 원격 방화벽

Publications (1)

Publication Number Publication Date
KR20060096986A true KR20060096986A (ko) 2006-09-13

Family

ID=37624384

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020067004046A KR20060096986A (ko) 2006-02-27 2003-08-29 개인 원격 방화벽

Country Status (1)

Country Link
KR (1) KR20060096986A (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100929916B1 (ko) * 2007-11-05 2009-12-04 한국전자통신연구원 개인 휴대 단말기에서 접근 상황분석을 통한 중요정보외부유출 차단 시스템 및 방법
KR101425138B1 (ko) * 2013-05-08 2014-08-05 주식회사 어니언소프트웨어 개별 장치용 개별 통신 보안 장비
KR101440154B1 (ko) * 2007-09-11 2014-09-12 주식회사 엘지씨엔에스 네트워크 보안시스템의 사용자 인증 장치 및 방법

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101440154B1 (ko) * 2007-09-11 2014-09-12 주식회사 엘지씨엔에스 네트워크 보안시스템의 사용자 인증 장치 및 방법
KR100929916B1 (ko) * 2007-11-05 2009-12-04 한국전자통신연구원 개인 휴대 단말기에서 접근 상황분석을 통한 중요정보외부유출 차단 시스템 및 방법
KR101425138B1 (ko) * 2013-05-08 2014-08-05 주식회사 어니언소프트웨어 개별 장치용 개별 통신 보안 장비

Similar Documents

Publication Publication Date Title
EP1658700B1 (en) Personal remote firewall
KR100758733B1 (ko) 계승된 보안 속성을 이용하여 보안 네트워크를 통하여프록시 요구를 관리하기 위한 시스템 및 방법
US10841341B2 (en) Policy-based configuration of internet protocol security for a virtual private network
US8095786B1 (en) Application-specific network-layer virtual private network connections
US7305546B1 (en) Splicing of TCP/UDP sessions in a firewalled network environment
US7010608B2 (en) System and method for remotely accessing a home server while preserving end-to-end security
Patel et al. Securing L2TP using IPsec
CA2541151C (en) A persistent and reliable session securely traversing network components using an encapsulating protocol
US6003084A (en) Secure network proxy for connecting entities
US7890759B2 (en) Connection assistance apparatus and gateway apparatus
JP4708376B2 (ja) プライベートネットワークへのアクセスを安全にする方法およびシステム
US20030167403A1 (en) Secure user-level tunnels on the internet
US20070271453A1 (en) Identity based flow control of IP traffic
EP1328105B1 (en) Method for sending a packet from a first IPsec client to a second IPsec client through a L2TP tunnel
EP2169561B1 (en) communications system providing shared client-server communications interface and related methods
US7616625B1 (en) System and method for selective enhanced data connections in an asymmetrically routed network
RU2316126C2 (ru) Персональный удаленный межсетевой экран
KR20060096986A (ko) 개인 원격 방화벽
KR100660123B1 (ko) Nat 통과를 위한 브이.피.엔 서버 시스템 및 브이.피.엔클라이언트 단말기
Cisco L2TP Security
JP2006352710A (ja) パケット中継装置及びプログラム
Tan et al. Bridging organizational network boundaries on the grid
Djin Managing Access Control in Virtual Private Networks
Djin Technical Report TR2005-544 Department of Computer Science
Zorn et al. Network Working Group B. Patel Request for Comments: 3193 Intel Category: Standards Track B. Aboba W. Dixon Microsoft

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application
J201 Request for trial against refusal decision
J301 Trial decision

Free format text: TRIAL DECISION FOR APPEAL AGAINST DECISION TO DECLINE REFUSAL REQUESTED 20070615

Effective date: 20080422