RU2008109223A - Обеспечение согласованного прохода брандмауэра, имеющего информацию о приложении - Google Patents

Обеспечение согласованного прохода брандмауэра, имеющего информацию о приложении Download PDF

Info

Publication number
RU2008109223A
RU2008109223A RU2008109223/09A RU2008109223A RU2008109223A RU 2008109223 A RU2008109223 A RU 2008109223A RU 2008109223/09 A RU2008109223/09 A RU 2008109223/09A RU 2008109223 A RU2008109223 A RU 2008109223A RU 2008109223 A RU2008109223 A RU 2008109223A
Authority
RU
Russia
Prior art keywords
client
resource
connection
gateway server
connection request
Prior art date
Application number
RU2008109223/09A
Other languages
English (en)
Other versions
RU2422886C2 (ru
Inventor
Идо БЕН-ШАХАР (US)
Идо БЕН-ШАХАР
Мехер МАЛАКАПАЛЛИ (US)
Мехер МАЛАКАПАЛЛИ
Ашвин ПАЛЕКАР (US)
Ашвин ПАЛЕКАР
Тюдор БАРАБУА (US)
Тюдор БАРАБУА
Дэвид СТИР (US)
Дэвид СТИР
Джой ЧИК (US)
Джой ЧИК
Original Assignee
Майкрософт Корпорейшн (Us)
Майкрософт Корпорейшн
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US11/326,992 external-priority patent/US7685633B2/en
Application filed by Майкрософт Корпорейшн (Us), Майкрософт Корпорейшн filed Critical Майкрософт Корпорейшн (Us)
Publication of RU2008109223A publication Critical patent/RU2008109223A/ru
Application granted granted Critical
Publication of RU2422886C2 publication Critical patent/RU2422886C2/ru

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

1. Способ для использования на шлюзовом сервере в компьютеризированной среде, в которой клиентская компьютерная система осуществляет доступ к ресурсу на шлюзовом сервере через брандмауэр, причем шлюзовой сервер обеспечивает соединения уровня приложений через брандмауэр, способ содержит этапы, на которых ! принимают запрос на соединение от клиента, в котором запрос на соединение идентифицирует ресурс, к которому клиент хотел бы подключиться, ! подвергают карантину соединение с клиентом для определения, установлен ли на клиенте минимальный набор из одной или нескольких особенностей, ! идентифицируют плагин протокольного процессора на основании типа ресурса для идентифицированного ресурса и ! перенаправляют соединение с клиентом на идентифицированный плагин протокольного процессора. ! 2. Способ по п.1, дополнительно содержащий этап, на котором аутентифицируют клиента на основании сравнения информации аутентификации, обеспеченной в клиентском запросе, с одной или несколькими политиками доступа. ! 3. Способ по п.2, дополнительно содержащий этап, на котором идентифицируют одну или несколько политик доступа из инфраструктуры связи, установленной на шлюзовом сервере. ! 4. Способ по п.1, в котором этап перенаправления соединения на идентифицированный плагин протокольного процессора содержит этап, на котором передают управление каналом туннеля соединения плагину протокольного процессора на сервере. ! 5. Способ по п.4, дополнительно содержащий этапы, на которых ! принимают другой запрос на соединение для другого ресурса от клиента и ! устанавливают другой канал соединения между клиентом и другим ресурсом через тот ж�

Claims (20)

1. Способ для использования на шлюзовом сервере в компьютеризированной среде, в которой клиентская компьютерная система осуществляет доступ к ресурсу на шлюзовом сервере через брандмауэр, причем шлюзовой сервер обеспечивает соединения уровня приложений через брандмауэр, способ содержит этапы, на которых
принимают запрос на соединение от клиента, в котором запрос на соединение идентифицирует ресурс, к которому клиент хотел бы подключиться,
подвергают карантину соединение с клиентом для определения, установлен ли на клиенте минимальный набор из одной или нескольких особенностей,
идентифицируют плагин протокольного процессора на основании типа ресурса для идентифицированного ресурса и
перенаправляют соединение с клиентом на идентифицированный плагин протокольного процессора.
2. Способ по п.1, дополнительно содержащий этап, на котором аутентифицируют клиента на основании сравнения информации аутентификации, обеспеченной в клиентском запросе, с одной или несколькими политиками доступа.
3. Способ по п.2, дополнительно содержащий этап, на котором идентифицируют одну или несколько политик доступа из инфраструктуры связи, установленной на шлюзовом сервере.
4. Способ по п.1, в котором этап перенаправления соединения на идентифицированный плагин протокольного процессора содержит этап, на котором передают управление каналом туннеля соединения плагину протокольного процессора на сервере.
5. Способ по п.4, дополнительно содержащий этапы, на которых
принимают другой запрос на соединение для другого ресурса от клиента и
устанавливают другой канал соединения между клиентом и другим ресурсом через тот же самый туннель соединения.
6. Способ по п.4, дополнительно содержащий этап, на котором принимают другой запрос на соединение для ресурса, в результате чего запрашиваются множественные соединения с одним и тем же ресурсом от клиента или клиента и одного или нескольких других клиентов вне брандмауэра.
7. Способ по п.6, дополнительно содержащий этап, на котором передают управление другим каналом к идентифицированному плагину протокольного процессора, когда клиент делает другой запрос на соединение.
8. Способ по п.6, дополнительно содержащий этапы, на которых
идентифицируют из дифференцированной настройки политик доступа, что другой запрос на соединение непригоден, и
отменяют другой запрос на соединение.
9. Способ по п.8, в котором политика доступа содержит политику доступа к сети для определения, авторизован ли клиент на соединение с сервером, и политику доступа к ресурсам для определения, осуществляет ли клиент доступ для создания канала с запрашиваемым ресурсом посредством соединения с сервером.
10. Способ по п.8, в котором настройка политик доступа содержит указание, ограничивающее доступ клиента к ресурсу в течение суток, и в котором другой запрос на соединение не соответствует времени суток.
11. Способ по п.8, в котором настройка политик доступа содержит указание, ограничивающее доступ клиента к ресурсу конкретным портом сервера ресурсов позади брандмауэра, причем другой запрос на соединение запрашивает соединение с ресурсом на конкретном порте сервера ресурсов.
12. Способ по п.8, в котором настройка политик доступа является политикой доступа к сети, которая ограничивает количество туннелей соединения через брандмауэр на шлюзовом сервере, в результате чего другой запрос на соединение требует создания нового туннеля соединения сверх установленного предела.
13. Способ по п.8, в котором настройка политик доступа требует, чтобы клиент делал клиентский запрос с помощью интеллектуальной карты, в котором другой запрос на соединение указывает, что клиент не имеет интеллектуальной карты.
14. Способ по п.8, в котором настройка политик доступа ограничивает доступ к одному и тому же ресурсу разрешенным классом пользователей, в котором другой запрос на соединение исходит от другого пользователя, который не является членом разрешенного класса пользователей.
15. Способ для использования в клиентской компьютерной системе в компьютеризированной среде, в которой клиент осуществляет доступ к ресурсу через брандмауэр шлюзового сервера, причем шлюзовой сервер обеспечивает соединения уровня приложений через брандмауэр, способ содержит этапы, на которых
посылают запрос на соединения на шлюзовой сервер, в котором запрос идентифицирует серверный ресурс для соединения с соответствующим клиентским ресурсом,
принимают от шлюзового сервера запрос на минимальный набор из одной или нескольких особенностей, поддерживаемых клиентом,
посылают ответ с особенностями на шлюзовой сервер, причем ответ с особенностями указывает, какие из одной или нескольких особенностей запрашиваемого набора поддерживаются клиентом; и
соединяются с уровнем приложений стека связи на шлюзовом сервере, в результате чего клиентский ресурс передает данные посредством плагина протокольного процессора, связанного с серверным ресурсом.
16. Способ по п.15, дополнительно содержащий этап, на котором отправляют информацию аутентификации с запросом на соединение, в котором информация аутентификации включает в себя указание, что клиент имеет интеллектуальную карту.
17. Способ по п.15, в котором этап соединения с уровнем приложений дополнительно содержит этапы, на которых
устанавливают туннель соединения через брандмауэр шлюзового сервера на уровне приложений и
устанавливают канал соединения в туннеле соединения к запрашиваемому ресурсу.
18. Способ по п.15, дополнительно содержащий этапы, на которых
посылают на шлюзовой сервер другой запрос на соединение к ресурсу и
осуществляют связь с плагином протокольного процессора по другому каналу, который отличается от канала, созданного из запроса на соединение на шлюзовом сервере.
19. Способ по п.15, дополнительно содержащий этапы, на которых
посылают другой запрос на соединение для другого ресурса, связанного с плагином протокольного процессора, и
осуществляют связь с другим ресурсом через плагин протокольного процессора, так что плагин протокольного процессора манипулирует множественными каналами соединения между клиентом и множественными ресурсами на шлюзовом сервере.
20. Компьютерный программный продукт, на котором хранятся компьютерно-выполняемые команды, которые при выполнении предписывают одному или нескольким процессам на шлюзовом сервере в компьютеризированной среде, в которой клиентская компьютерная система осуществляет доступ к ресурсу на шлюзовом сервере через брандмауэр, причем шлюзовой сервер имеет по меньшей мере уровень вызова удаленных процедур и уровень защищенного протокола передачи гипертекстовых файлов в инфраструктуре связи, осуществлять способ, содержащий этапы, на которых
принимают запрос на соединение от клиента, в котором запрос на соединение идентифицирует ресурс, к которому клиент хотел бы подключиться,
подвергают карантину соединение с клиентом для определения, установлен ли на клиенте минимальный набор из одной или нескольких особенностей,
идентифицируют плагин протокольного процессора на основании типа ресурса для идентифицированного ресурса и
перенаправляют соединение с клиентом на идентифицированный плагин протокольного процессора.
RU2008109223/08A 2005-09-12 2006-08-15 Обеспечение согласованного прохода брандмауэра, имеющего информацию о приложении RU2422886C2 (ru)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US71629705P 2005-09-12 2005-09-12
US60/716,297 2005-09-12
US11/326,992 2006-01-05
US11/326,992 US7685633B2 (en) 2005-02-25 2006-01-05 Providing consistent application aware firewall traversal

Publications (2)

Publication Number Publication Date
RU2008109223A true RU2008109223A (ru) 2009-10-10
RU2422886C2 RU2422886C2 (ru) 2011-06-27

Family

ID=39662714

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2008109223/08A RU2422886C2 (ru) 2005-09-12 2006-08-15 Обеспечение согласованного прохода брандмауэра, имеющего информацию о приложении

Country Status (6)

Country Link
JP (1) JP4972646B2 (ru)
KR (1) KR20080045195A (ru)
CN (1) CN101263466B (ru)
BR (1) BRPI0615752A2 (ru)
NO (1) NO20081455L (ru)
RU (1) RU2422886C2 (ru)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9581675B2 (en) * 2012-08-24 2017-02-28 Tektronix, Inc. Virtual model adapter removal and substitution technique for cascaded networks
CN103561002B (zh) * 2013-10-22 2017-02-15 北京神州泰岳软件股份有限公司 基于防火墙策略的安全访问方法和系统
CN104954462A (zh) * 2015-06-12 2015-09-30 福建新大陆通信科技股份有限公司 一种高并发可扩展的智能家居通信方法和系统
CN110365699B (zh) * 2019-07-29 2021-11-26 北京奇艺世纪科技有限公司 流量处理方法、装置及系统、网关设备

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1075695C (zh) * 1996-09-02 2001-11-28 北京天融信网络安全技术有限公司 防火墙系统及其控制方法
US6101549A (en) * 1996-09-27 2000-08-08 Intel Corporation Proxy-based reservation of network resources
US6763395B1 (en) * 1997-11-14 2004-07-13 National Instruments Corporation System and method for connecting to and viewing live data using a standard user agent
US7137144B1 (en) * 2000-02-11 2006-11-14 International Business Machines Corporation Technique of defending against network connection flooding attacks
US7631084B2 (en) * 2001-11-02 2009-12-08 Juniper Networks, Inc. Method and system for providing secure access to private networks with client redirection
US8135843B2 (en) * 2002-03-22 2012-03-13 Citrix Systems, Inc. Methods and systems for providing access to an application
JP2004220120A (ja) * 2003-01-09 2004-08-05 Nippon Telegr & Teleph Corp <Ntt> ネットワークセキュリティシステム、アクセス制御方法、認証機構、ファイアウォール機構、認証機構プログラム、ファイアウォール機構プログラム及びその記録媒体
CN2643555Y (zh) * 2003-01-30 2004-09-22 刘燕南 一种安全保密智能信息终端
US7559082B2 (en) * 2003-06-25 2009-07-07 Microsoft Corporation Method of assisting an application to traverse a firewall
JP2005063169A (ja) * 2003-08-13 2005-03-10 Ricoh Co Ltd 情報処理装置、画像処理装置、サーバ装置、セッション接続方法、セッション接続プログラム及び記録媒体
JP4564739B2 (ja) * 2003-11-07 2010-10-20 シャープ株式会社 サーバ装置および通信システム

Also Published As

Publication number Publication date
CN101263466B (zh) 2011-02-09
NO20081455L (no) 2008-04-11
RU2422886C2 (ru) 2011-06-27
BRPI0615752A2 (pt) 2011-05-24
JP2009508213A (ja) 2009-02-26
CN101263466A (zh) 2008-09-10
KR20080045195A (ko) 2008-05-22
JP4972646B2 (ja) 2012-07-11

Similar Documents

Publication Publication Date Title
US20210392122A1 (en) Network connection automation
KR101361161B1 (ko) 모바일 클라우드 접속 상황 정보 이용 인증 강화 시스템 및 방법
US6490679B1 (en) Seamless integration of application programs with security key infrastructure
CN107122674B (zh) 一种应用于运维审计系统的oracle数据库的访问方法
JP2005509977A5 (ru)
CN103944890A (zh) 基于客户端/服务器模式的虚拟交互系统及方法
US20160308849A1 (en) System and Method for Out-of-Ban Application Authentication
KR20080053298A (ko) 접속 프로세스의 비교적 초기에 인증함으로써 시큐어접속을 생성하는 방법 및 그 방법을 수행하게 하는 컴퓨터실행가능 명령어를 갖는 컴퓨터 프로그램 제품
IL158309A (en) Centralized network control
CA2228687A1 (en) Secured virtual private networks
WO2009037700A2 (en) Remote computer access authentication using a mobile device
EP2638496B1 (en) Method and system for providing service access to a user
CN105306433A (zh) 一种访问虚拟机服务器的方法和装置
US10785147B2 (en) Device and method for controlling route of traffic flow
RU2008109223A (ru) Обеспечение согласованного прохода брандмауэра, имеющего информацию о приложении
US11463429B2 (en) Network controls for application access secured by transport layer security (TLS) using single sign on (SSO) flow
US20090144436A1 (en) Reverse network authentication for nonstandard threat profiles
JP4950095B2 (ja) サービス提供システム、サービス提供方法およびサービス提供プログラム
JP2009187322A (ja) サービス提供システム、サービス提供方法およびサービス提供プログラム
KR20050009945A (ko) 이동식 저장장치를 이용한 가상 저장 공간의 관리 방법 및시스템
KR101160903B1 (ko) 네트워크 식별자 분류 시스템 및 그 방법
KR100545078B1 (ko) 공중 무선랜시스템에서의 망 접속 인증을 위한 무선랜접속 장치 및 그 방법
CN115150154B (zh) 用户登录认证方法及相关装置
KR100939300B1 (ko) 마이크로소프트 네트워크 접속 보호 기반용 네트워크 접속통제 방법
CN108632090B (zh) 网络管理方法及系统

Legal Events

Date Code Title Description
PC41 Official registration of the transfer of exclusive right

Effective date: 20150526