RU2178583C2 - Способ и устройство доступа к ресурсам компьютера через брандмауэр - Google Patents

Способ и устройство доступа к ресурсам компьютера через брандмауэр Download PDF

Info

Publication number
RU2178583C2
RU2178583C2 RU99109968/09A RU99109968A RU2178583C2 RU 2178583 C2 RU2178583 C2 RU 2178583C2 RU 99109968/09 A RU99109968/09 A RU 99109968/09A RU 99109968 A RU99109968 A RU 99109968A RU 2178583 C2 RU2178583 C2 RU 2178583C2
Authority
RU
Russia
Prior art keywords
firewall
external
internal
objects
request
Prior art date
Application number
RU99109968/09A
Other languages
English (en)
Other versions
RU99109968A (ru
Inventor
Прашант ЯДЕ
Виктор Стюарт МОР
Арун Мохан РАО
Глен Роберт УОЛТЕРС
Original Assignee
Интернэшнл Бизнес Машинз Корпорейшн
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Интернэшнл Бизнес Машинз Корпорейшн filed Critical Интернэшнл Бизнес Машинз Корпорейшн
Publication of RU99109968A publication Critical patent/RU99109968A/ru
Application granted granted Critical
Publication of RU2178583C2 publication Critical patent/RU2178583C2/ru

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Alarm Systems (AREA)
  • Small-Scale Networks (AREA)
  • Storage Device Security (AREA)
  • Grinding-Machine Dressing And Accessory Apparatuses (AREA)
  • Moving Of Heads (AREA)

Abstract

Изобретение относятся к средствам защиты типа брандмауэр, которые отделяют компьютерные и сетевые ресурсы, находящиеся внутри брандмауэра, от сетей, компьютеров и компьютерных приложений, находящихся вне брандмауэра. Как правило, внутренние ресурсы представляют собой частные базы данных и локальные вычислительные сети (ЛВС), а внешние объекты являются пользователями и компьютерными приложениями, работающими в общедоступных сетях связи, таких, как Интернет. Обычно брандмауэр позволяет внутренним пользователям и объектам устанавливать соединение с внешними объектами или сетями, но не позволяет устанавливать соединения в обратном направлении, т. е. извне. Техническим результатом является обеспечение туннелирования, работающего по обе стороны брандмауэра и позволяющего устанавливать такие соединения "извне", когда со стороны некоторых "доверенных" либо пользователей, либо объектов, либо приложений, находящихся вне брандмауэра, поступает запрос на это соединение. Изобретение состоит в минимизации количества ресурсов, задействуемых для установления подобных туннельных соединений (т. е. соединений через брандмауэр по запросу извне), и одновременно свести к минимальному риск нелегального проникновения через брандмауэр. В способе и устройстве используют приложения, которые выполняются на интерфейсных серверах, установленных внутри и вне брандмауэра, а также использование особой таблицы доверенных сокетов, создание и ведение которой осуществляется внутренним приложением по туннелированию. Элементы этой таблицы доверенных сокетов определяют объекты внутри брандмауэра и идентифицируют особый внутренний порт, протокол передачи данных, используемый для каждого порта, и хост-объект, связанный с каждым портом. 3 с. и 3 з. п. ф-лы, 5 ил.

Description

Изобретение относится к получению доступа к ресурсам компьютерной системы или компьютерной (вычислительной) сети, которые защищены брандмауэром, в ответ на запросы от объектов, находящихся вне брандмауэра.
В компьютерной технике брандмауэром называют систему защиты (реализованную на программном и/или аппаратном уровне), которая, отделяя внутреннюю зону от внешней зоны, позволяет изолировать ресурсы компьютерной системы или вычислительной сети от несанкционированного доступа со стороны объектов, находящихся вне брандмауэра. Таким образом, изолированные ресурсы представляют собой ресурсы, находящиеся внутри брандмауэра (т. е. во внутренней зоне), а внешнее оборудование рассматривается как находящееся вне брандмауэра (т. е. во внешней зоне). Обычно брандмауэр служит своего рода защитным "заграждением" или "барьером", препятствующим доступу к частным локальным вычислительным сетям (ЛВС), в которые объединены некоторое количество компьютеров и взаимодействующее с ними периферийное оборудование.
Основной принцип работы брандмауэра состоит в том, что он позволяет внутренним объектам запрашивать соединение и устанавливать связь с внешними объектами (например, внутренним приложениям получать доступ к внешним межсетевым узлам связи и т. п. ), но не позволяет внешним объектам производить аналогичные операции для подключения к внутренним объектам.
Однако часто находящимся вне брандмауэра объектам необходимо получить доступ к внутренним ресурсам, защищенным брандмауэром, и получение такого доступа не должно повлечь за собой полного отключения защитных функций брандмауэра. Так, например, компания-владелец защищенных брандмауэром ресурсов может посчитать целесообразным разрешить доступ к этим ресурсам через внешние общедоступные сети связи (например, через телефонные сети связи или через телефонные сети связи в сочетании с узлами доступа к сети Интернет и т. п. ) тем своим сотрудникам, которые в данный момент находятся вдалеке от места работы (например, у себя дома, в командировке или в отпуске). В этом случае возникает необходимость предоставить таким "доверенным", или "уполномоченным", лицам право доступа извне к находящимся внутри брандмауэра ресурсам (например, к личным базам данных руководителя и т. п. ).
До недавнего времени предоставление такого доступа в ответ на внешний запрос можно было обеспечить либо дублированием серверов и хранилищ баз данных, располагая их вне и внутри брандмауэра, либо с использованием иных схем расположения соответствующего оборудования, что значительно удорожало общую стоимость эксплуатации брандмауэра. Следует также учесть, например, расходы на подобное дублирование или разработку и реализацию иных технологий в случае имеющих большой объем и часто обновляемых баз данных, хранящихся внутри брандмауэра. У Cheswik и Bellovin в "Firewalls and Internet Security, Repelling the Willy Hacker", изд-во Addison-Wesley Publishing Company, апрель 1994, стр. 86-106, рассматриваются различные системы защиты типа брандмауэра. Настоящее изобретение позволяет получать требуемый доступ извне к внутренним объектам или ресурсам, защищенным брандмауэром, без необходимости их дублирования вне брандмауэра.
Объектами настоящего изобретения являются система туннелирования, соответствующий способ и программное обеспечение, которые указаны в независимых пунктах формулы изобретения и предпочтительные варианты выполнения которых представлены в зависимых пунктах.
В соответствии с изобретением внутри и вне брандмауэра предусмотрены средства для совместного так называемого "туннелирования" (когда, по аналогии с туннельным эффектом, запросу необходимо "преодолеть" брандмауэр), которое заключается в том, что в ответ на запросы определенного типа, посланные объектами, находящимися вне брандмауэра, между этими внешними объектами и ресурсами внутри брандмауэра устанавливается соединение. Отличительная особенность устанавливаемых таким путем соединений состоит в том, что они формируются "изнутри", как если бы запросы на их установление исходили от объектов, находящихся внутри брандмауэра, и были адресованы объектам, находящимся вне брандмауэра.
"Запросы определенного типа", которые используются указанными средствами "туннелирования", представляют собой запросы, адресованные так называемым "доверенным объектам", которые могут представлять собой аппаратные порты типа так называемых "доверенных сокетов" ("доверенных гнезд") и т. п. Доверенные объекты, в частности доверенные сокеты, являются элементами соответствующей таблицы доверенных объектов, в частности таблицы доверенных сокетов, создание и ведение которой осуществляется исключительно внутри брандмауэра. Каждый элемент этой таблицы содержит адрес "доверенного" порта, протокол (например, протокол передачи данных, такой как TCP/IP (протокол управления передачей/межсетевой протокол), NNTP (протокол передачи сетевых новостей) и т. п. ), связанный с этим адресом, и идентификатор хост-объекта, находящегося внутри брандмауэра (например, хост-компьютер или главное приложение). Таким образом, для того чтобы человек и/или объект, находящиеся вне брандмауэра, могли послать такой запрос, им должна быть предоставлена информация о достоверном на данный момент доверенном объекте, в частности доверенном сокете.
Создание и ведение таблицы доверенных объектов, в частности доверенных сокетов, осуществляет так называемое "приложение по туннелированию", которое инсталлировано и выполняется на внутреннем интерфейсном сервере (под контролем соответствующих уполномоченных лиц, имеющих прямой доступ к этому серверу), обеспечивающем взаимодействие между этим "приложением по туннелированию" и всеми другими "доступными" объектами/ресурсами внутри брандмауэра (включая другие приложения, инсталлированные и выполняемые на этом внутреннем интерфейсном сервере). Указанный внутренний интерфейсный сервер также устанавливает "управляющее соединение" (или "служебное соединение") с внешним интерфейсным сервером, который обеспечивает взаимодействие между брандмауэром и всеми остальными объектами, находящимися вне брандмауэра. Доступ к управляющему соединению имеет только приложение по туннелированию, инсталлированное на внутреннем интерфейсном сервере, и соответствующее приложение по туннелированию, инсталлированное на внешнем интерфейсном сервере, т. е. к управляющему соединению не имеют прямого доступа любые другие приложения, инсталлированные и выполняемые на этих интерфейсных серверах, и не имеют вообще никакого доступа все остальные внутренние и внешние объекты, не являющиеся резидентами этих серверов.
Копия таблицы доверенных объектов, в частности доверенных сокетов, передается от внутреннего интерфейсного сервера на внешний интерфейсный сервер, причем такую таблицу можно передавать, например, в случае создания новой таблицы и/или внесения изменений в существующую таблицу, либо привязать передачу таблицы к определенному времени суток и т. д.
Когда внешний объект, который в данный момент не подсоединен к внутренним ресурсам через брандмауэр, направляет запрос на внешний интерфейсный сервер, приложение по туннелированию, инсталлированное на этом сервере, должно определить, адресован ли этот запрос достоверному на данный момент элементу таблицы доверенных объектов, в частности доверенных сокетов. Если запрос адресован неправильно, он игнорируется. Если же запрос адресован достоверному доверенному объекту, в частности доверенному сокету, то он передается по управляющему соединению приложению по туннелированию, инсталлированному на внутреннем интерфейсном сервере. Одновременно внешний интерфейсный сервер формирует процесс (или задачу), связанный с этим запросом, и между этим процессом/задачей и запрашивающим объектом устанавливается соединение.
По получении запроса внутреннее приложение по туннелированию (т. е. инсталлированное на внутреннем интерфейсном сервере) также может проверить, адресован ли запрос достоверному на данный момент доверенному объекту, в частности доверенному сокету, и игнорировать его в том случае, если по результатам этой проверки будет установлено, что запрос направлен неправильно. Если же в результате проверки будет установлено, что запрос адресован достоверному на данный момент доверенному объекту, в частности доверенному сокету, внутреннее приложение по туннелированию генерирует (или "порождает") процесс внутри брандмауэра, соответствующий поступившему запросу. Затем внутреннее приложение по туннелированию а) устанавливает соединения между внутренним ресурсом, который соответствует вышеописанному объекту, соответственно порту (сокету) и указанному для хост-объекта идентификатору "запрашиваемого" элемента в таблице доверенных объектов, в частности доверенных сокетов, и внутренним интерфейсным сервером и б) связывается по управляющему соединению с внешним приложением по туннелированию и с компьютером, управляющим самим брандмауэром, и устанавливает соединения через брандмауэр между задачами, сформированными/порожденными и на внутреннем, и на внешнем интерфейсных серверах. Соединения, сформированные внутренним и внешним приложениями по туннелированию, никак не связаны с управляющим соединением и используются уже для непосредственного двунаправленного обмена данными (обычно в форме пакетов, формат которых определяется протоколом передачи данных, выбранным для данного доверенного объекта, в частности доверенного сокета) между внешним объектом, пославшим запрос, и внутренним объектом, которому адресован этот запрос.
В соответствии с предпочтительным вариантом выполнения изобретения программное обеспечение по туннелированию, хранящееся на соответствующем носителе данных в машиночитаемой форме, позволяет тем объектам обработки данных, которые находятся вне брандмауэра, устанавливать соединение для передачи данных с теми объектами обработки данных, которые находятся внутри брандмауэра. При этом указанное программное обеспечение включает внутреннюю и внешнюю части программы, предназначенные для выполнения на компьютерах, которые расположены соответственно внутри и вне брандмауэра и которые обеспечивают взаимодействие между брандмауэром и объектами, находящимися соответственно внутри и вне брандмауэра. Помимо этого, внутренняя часть программы включает средства управления внутренним компьютером по созданию и ведению таблицы внутренних доверенных объектов и средства для управления внутренним компьютером в сочетании с брандмауэром по предоставлению копии этой таблицы внешней части программы. Кроме того, внутренняя часть программы включает средства для установления и поддержания собственного управляющего соединения с внешней частью программы, которое используется для передачи запроса, посланного от находящегося во внешней части программы объекта, от этой внешней части программы в ее внутреннюю часть.
Эти и другие отличительные особенности, преимущества, цели и задачи настоящего изобретения более подробно рассмотрены ниже в последующем описании, а также представлены в формуле изобретения.
Ниже изобретение более подробно поясняется со ссылкой на прилагаемые чертежи, на которых показано:
на фиг. 1 - схема типичной конфигурации брандмауэра, в которой может быть использовано настоящее изобретение,
на фиг. 2 - блок-схема, описывающая создание и управление таблицей доверенных сокетов,
на фиг. 3 - блок-схема, поясняющая предлагаемый в изобретении способ туннелирования через брандмауэр,
на фиг. 4 - предпочтительный вариант организации таблицы доверенных сокетов и
на фиг. 5 - блок-схема, подробно описывающая операции, выполняемые в соответствии с настоящим изобретением находящимися вне и внутри брандмауэра приложениями по туннелированию.
На фиг. 1 схематично изображена конфигурация типичного брандмауэра, в которой может быть реализовано настоящее изобретение. В этой системе защиты компьютер 1 выполняет функцию брандмауэра, работая по существующим обычным алгоритмам. Этот компьютер, помимо установления и поддержания связи между внутренними объектами, т. е. находящимися внутри брандмауэра, и внешними объектами, т. е. находящимися вне брандмауэра, выполняет и иные обычные функции (в принципе не имеющие решающего значения для настоящего изобретения). Интерфейсные серверы 2 и 3 (обозначены на чертеже как сервер А и сервер B соответственно) работают соответственно внутри и вне брандмауэра, образованного компьютером 1. Сервер А служит интерфейсом, обеспечивающим взаимодействие между брандмауэром и объектами внутри брандмауэра (прикладными программами, аппаратными компонентами и т. п. ), включая объекты самого сервера А. Сервер В служит интерфейсом, обеспечивающим взаимодействие между брандмауэром и объектами вне брандмауэра, включая объекты самого сервера В.
В обычно используемой конфигурации брандмауэра сервер А подключен к сети внутри брандмауэра (например к частной ЛВС) через соединение, обозначенное позицией 4, а сервер В через соединение, обозначенное позицией 5, подключен к внешней сети, т. е. к находящейся вне брандмауэра сети (например к сети Интернет).
Применительно к этой конфигурации в настоящем изобретении предусмотрено установление на серверах А и В специального программного обеспечения - так называемого приложения по "туннелированию", и на этих серверах также хранятся копии таблицы "доверенных объектов", которые могут представлять собой аппаратные порты типа так называемых "доверенных сокетов" ("доверенных гнезд"). В последующем описании в качестве таблицы доверенных объектов рассматривается ее частный случай - таблица доверенных сокетов. Указанные "приложение по туннелированию" и "таблица доверенных объектов", в частности "таблица доверенных сокетов", являются отличительной особенностью настоящего изобретения, и они более подробно описаны ниже.
На фиг. 2 и 3 представлены процессы (туннелирования), осуществляемые согласно настоящему изобретению соответственно на серверах А и В.
Как показано на фиг. 2, на шаге 10 сервер А создает таблицу доверенных сокетов (которая более подробно описана ниже со ссылкой на фиг. 4) и затем сохраняет эту таблицу в своей памяти (или в какой-либо иной памяти, к которой данный сервер может обращаться напрямую). На следующем шаге 11 сервер А устанавливает с сервером В особое так называемое "управляющее соединение" (или "служебное соединение") через брандмауэр (компьютер 1), а затем на шаге 12 передает по этому управляющему соединению на сервер В копию таблицы доверенных сокетов. Это управляющее соединение, которое также является частью настоящего изобретения, используется вышеописанными приложениями по туннелированию для эффективного обмена управляющей (или служебной) информацией между этими серверами, а тем самым и для установления иных соединений (называемых в дальнейшем соединением для передачи данных) между расположенными внутри и вне брандмауэра объектами в ответ на запросы от внешних объектов.
Те участки этих соединений для передачи данных, которые проходят через брандмауэр, полностью независимы от управляющего соединения, которое было использовано для их создания, и они всегда формируются под управлением процессов, выполняемых внутри брандмауэра. С целью разрешить установление предназначенного для передачи данных соединения с внутренним объектом в ответ на запрос от внешнего объекта этот запрос необходимо сопоставить с одним из элементов таблицы доверенных сокетов и проверить его достоверность. Внешние запросы (т. е. запросы от внешних объектов), которые будут признаны неверными, игнорируются, благодаря чему брандмауэр и защищаемые им внутренние ресурсы остаются невидимыми и недоступными для внешней запрашивающей стороны, содержащаяся в запросе от которой информация признана недостоверной. И наоборот, достоверные запросы могут исходить только со стороны тех уполномоченных лиц, которые имеют информацию о достоверных на текущий момент элементах таблицы доверенных сокетов (таким лицом может быть, например, работник, осуществляющий дистанционный доступ к ресурсам, принадлежащим его руководителю, и т. п. ).
На фиг. 3 показаны операции по туннелированию, выполняемые на серверах А и В по получении сервером В копии таблицы доверенных сокетов от сервера А.
На шаге 20 сервер В (в частности, приложение по туннелированию на этом сервере) находится в режиме ожидания внешнего запроса, при поступлении которого вызывается команда на туннелирование, т. е. на установление предназначенного для передачи данных соединения между внутренним "хост"-объектом, указанным в запросе, и внешним объектом, пославшим запрос. По получении запроса (шаг 21, фиг. 3) сервер В (в частности его приложение по туннелированию) проверяет достоверность поступившего запроса (блок 22 принятия решения, фиг. 3). В отношении последней операции следует отметить, что сервер В принимает только запросы, адресованные непосредственно к нему, а приложение по туннелированию, имеющееся на сервере В, принимает только те запросы, которые явно предназначены для передачи на порт внутри брандмауэра, и признает такие запросы верными только в том случае, если они адресованы достоверному на текущий момент элементу таблицы доверенных сокетов.
Если запрос неверен, он игнорируется, и сервер В (т. е. инсталлированное на нем приложение по туннелированию) возобновляет ожидание запроса. Если же запрос верен, то сервер В (инсталлированное на нем приложение по туннелированию) формирует процесс или задачу "В. 1" по управлению внешними компонентами системы, предназначенными для обмена данными с запрашивающим объектом (шаг 23, фиг. 3). Задача B. 1 устанавливает предназначенное для передачи данных соединение между собой и запрашивающим объектом (также см. шаг 23, фиг. 3) и направляет по управляющему соединению полученный от внешнего объекта запрос на сервер А (или его приложению по туннелированию), а также передает указание на то, что этот запрос относится к задаче B. 1 (операция 24, фиг. 3).
По получении запроса, достоверность которого подтверждена, сервер А (или его приложение по туннелированию) формирует (порождает) процесс или задачу A. I по управлению внутренними компонентами системы, предназначенными для обмена данными между внешним объектом, пославшим запрос, и хост-объектом, указанным в запросе (шаг 25, фиг. 3; последний из названных объектов должен быть элементом, указанным в таблице доверенных сокетов, как описано выше). Задача A. 1 формирует участок предназначенного для передачи данных соединения между хост-объектом и компьютером-брандмауэром (также см. шаг 25, фиг. 3), и дает команду этому компьютеру-брандмауэру подсоединиться к задаче B. 1 (также см. шаг 25, фиг. 3), завершая тем самым процесс установления соединения для передачи данных между внутренним хост-объектом и внешним объектом, пославшим запрос. Следует отметить, что при установлении описанного соединения для передачи данных на серверах А и B и на компьютере-брандмауэре может потребоваться предусмотреть буферы, емкость которых определяется протоколом передачи данных (более подробно описанным ниже) и требованиями, предъявляемыми этим протоколом к скорости передачи (в частности пакетов).
Структура таблицы доверенных сокетов представлена на фиг. 4. На этом чертеже в качестве примера показаны два конкретных элемента этой таблицы, обозначенные позицией 30, а остальные ее элементы, обозначенные позицией 31, показаны пунктирной линией, идущей вниз от второго элемента. Каждый элемент таблицы содержит номер порта, информацию, описывающую протокол передачи данных (в качестве которого обычно используют протокол пакетной передачи), и информацию, идентифицирующую хост-объект. Номер порта представляет собой адрес внутри брандмауэра, присвоенный хост-объекту. В качестве примеров протоколов передачи данных для двух первых элементов в таблице указаны NNTP-протокол (от англ. "Network News Transport Protocol", протокол передачи сетевых новостей) и HTTP (от англ. "HyperText Transport Protocol", протокол передачи гипертекста).
На фиг. 5 более подробно показаны операции, выполняемые приложениями по туннелированию на интерфейсных серверах А и В. Операции, которые идентичны таковым по фиг. 2 и 3, обозначены теми же позициями. Операции же, которые являются частями каких-либо операций или в каком- то отношении отличаются от них, на фиг. 2 и 3 обозначены теми же позициями, но с добавлением определенной буквы (a, b и т. д. ). Все остальные операции обозначены не использованными ранее позициями.
Операция 10a, выполняемая на сервере А и представляющая собой комбинацию из операций 10 и 12 по фиг. 2, заключается в создании и обновлении (расширении, модификации и т. п. ) таблицы доверенных сокетов и ее копировании на сервер В. Операция 11а, выполняемая на сервере А, представляет собой операцию по первичному или (как описано ниже) повторному установлению управляющего соединения между серверами А и В (или их приложениями по туннелированию). Необходимость в повторном установлении управляющего соединения возникает в случае его неожиданного прерывания, а операции, позволяющие обнаружить такое прерывание связи и среагировать на него, обозначены на фиг. 5 позициями 46-48 (более подробно эти операции описаны ниже).
После получения копии таблицы доверенных сокетов сервер В (соответственно его приложение по туннелированию) переходит в режим ожидания внешних запросов (шаг 20, фиг. 5). По получении достоверного внешнего запроса на туннелирование и после формирования соответствующей задачи по обработке данных (например, задачи B. 1, фиг. 3), относящейся к этому запросу (шаги 21-22a, 24a, фиг. 5), сервер B передает на сервер А этот полученный запрос (шаг 23a, фиг. 5), а также управляющие сигналы, сообщающие о поступлении запроса, и информацию, идентифицирующую задачу (например, B. 1), которая сформирована на сервере B в ответ на запрос. Затем сервер B ожидает от сервера А подтверждения принятия запроса (шаги 23b, 23c, фиг. 5), по получении которого сервер B устанавливает соединение для передачи данных на участке от вновь сформированной задачи - запрашивающего объекта B (шаг 24b, фиг. 5; например, от B. 1 - объекта С, как это показано на фиг. 3). Затем сервер В ожидает установления предназначенного для передачи данных соединения на участке от брандмауэра до задачи, которая только что была сформирована на сервере В (шаг 24c, фиг. 5), что означает установление соединения на участке между хост-объектом (идентификатор которого содержится в запросе) и сервером В. На этом процесс туннелирования соединения для сервера В завершается до момента прекращения предназначенного для передачи данных соединения на участке между брандмауэром и задачей, выполняемой на сервере В (шаг 40, фиг. 5), и участке сервера B в установлении и поддержании этого соединения, а также в обработке соответствующего запроса заканчивается (шаг 41, фиг. 5).
Ниже рассмотрены операции по туннелированию, выполняемые на сервере А. После установления или повторного установления управляющего соединения сервер А переходит в режим ожидания сигналов (переадресации запроса) от сервера В (шаг 46, фиг. 5). Если такой сигнал не поступил (шаг 47, фиг. 5), но заданный интервал времени ожидания, отсчитываемый с момента перехода в режим ожидания, еще не истек (блок 48 принятия решения, фиг. 5), сервер А продолжает ожидание этого сигнала. Если же указанное время ожидания истекло (что соответствует выбору "Да" в блоке 48 принятия решения, фиг. 5), сервер А считает управляющее соединение (неожиданно) прерванным, и поэтому необходимо его повторное установление (шаг 11a повторяется).
По получении запроса от сервера В сервер А может самостоятельно проверить достоверность запроса (шаг 49, фиг. 5), что, однако, не является обязательной операцией, с целью определить, адресован ли запрос достоверному в текущий момент доверенному сокету. В случае использования такой необязательной операции и в случае признания этого запроса неверным обратно на сервер B будет передан сигнал ошибки, а не сигнал подтверждения, ожидаемый на шаге 23b. Если же указанная необязательная операция не используется, либо она используется, а запрос признается верным, сервер А переходит к формированию собственной внутренней задачи, такой как A. 1, которая, как описано выше, устанавливает предназначенное для передачи данных соединение на участке от хост-объекта к брандмауэру, а затем дает команду компьютеру-брандмауэру установить предназначенное для передачи данных соединение на участке до задачи B. 1 (шаг 50, фиг. 5). На этом сервер А прекращает свое участие в процессе обработки текущего запроса и может перейти в режим ожидания и обработки других запросов (шаг 51, фиг. 5).
Программные продукты
Вышеописанные приложения по туннелированию могут поставляться как программный продукт в "машиночитаемой форме", например, на стандартных носителях или по сетям связи. Очевидно, что подобные программы могут распространяться либо в виде единого пакета программ (например, для инсталляции на внутреннем сервере А с последующим переносом - полностью или частично - на сервер B), либо в виде двух независимых пакетов (или частей), каждая из которых предназначена для раздельной установки на внутренние и внешние серверы. Также следует отметить, что компьютер-брандмауэр, является обязательным компонентом в установлении соединения для передачи данных через систему защиты типа брандмауэра.

Claims (6)

1. Система туннелирования для сети передачи данных, имеющая брандмауэр (1), который разделяет внешнюю и внутреннюю зоны и образует защитный барьер, препятствующий получению объектами из внешней зоны прямого доступа к объектам во внутренней зоне и одновременно позволяющий объектам из внутренней зоны напрямую запрашивать и получать доступ к объектам во внешней зоне, и имеющая внешний интерфейсный компьютер (3), расположенный во внешней зоне и обеспечивающий взаимодействие между брандмауэром (1) и объектами во внешней зоне, внутренний интерфейсный компьютер (2), расположенный во внутренней зоне и обеспечивающий взаимодействие между брандмауэром (1) и объектами во внутренней зоне, средства, предусмотренные и на внешнем, и на внутреннем интерфейсных компьютерах и обеспечивающие идентификацию доверенных объектов во внутренней зоне, к которым разрешен доступ из внешней зоны, средства, предусмотренные на внешнем интерфейсном компьютере и срабатывающие в ответ на запрос, посланный от объекта из внешней зоны, а также взаимодействующие с указанными средствами, обеспечивающими идентификацию, для проверки, адресован ли указанный запрос к одному из доверенных объектов и, в случае положительного результата проверки, для пересылки этого запроса внутреннему интерфейсному компьютеру, и средства, предусмотренные и на внешнем, и на внутреннем интерфейсных компьютерах и срабатывающие в ответ на указанный запрос, адресованный одному из доверенных объектов, для установления соединения для передачи данных между этим доверенным объектом и внешним объектом, пославшим соответствующий запрос, причем те участки этого соединения для передачи данных, которые расположены во внутренней зоне и проходят через брандмауэр, формируются исключительно под управлением внутреннего интерфейсного компьютера, а тот участок указанного соединения для передачи данных, который проходит от внешнего интерфейсного компьютера к объекту, пославшему запрос, формируется под управлением этого внешнего интерфейсного компьютера, при этом на внутреннем интерфейсном компьютере предусмотрены средства для установления и поддержания собственного управляющего соединения с внешним интерфейсным компьютером, которое используется для передачи запроса от внешнего интерфейсного компьютера к внутреннему интерфейсному компьютеру.
2. Система по п. 1, отличающаяся тем, что указанные средства, предусмотренные на внутреннем и внешнем интерфейсных компьютерах и обеспечивающие идентификацию доверенного объекта, имеют средства для создания и ведения таблицы со списком указанных доверенных объектов, средства для передачи копии этой таблицы через брандмауэр (1) на внешний интерфейсный компьютер (3) и средства, предусмотренные на внешнем интерфейсном компьютере для хранения копии этой таблицы и обращения к ней.
3. Система по п. 2, отличающаяся тем, что каждый элемент (30) в указанной таблице со списком доверенных объектов состоит из первой элементарной группы данных, идентифицирующих объект во внутренней зоне, из второй элементарной группы данных, идентифицирующих порт передачи данных, выделенный соответствующему объекту, и из третьей элементарной группы данных, определяющей протокол передачи данных, который должен использоваться для передачи данных через указанный порт.
4. Система по п. 1, отличающаяся тем, что во внешних и внутренних зонах имеются соответственно внешняя и внутренняя сети передачи данных, а внутренний и внешний интерфейсные компьютеры представляют собой серверы, установленные соответственно между брандмауэром и узлами этих внутренней и внешней сетей.
5. Устройство туннелирования, служащее для предоставления объектам обработки данных, которые находятся вне брандмауэра, возможности устанавливать соединения для передачи данных с теми объектами обработки данных, которые находятся внутри брандмауэра, и содержащее внутренние и внешние компоненты, предназначенные для выполнения на компьютерах, которые расположены соответственно внутри и вне брандмауэра и служат для взаимодействия между брандмауэром и указанными объектами, находящимися соответственно внутри и вне брандмауэра, при этом внутренний компонент включает средства управления внутренним компьютером по созданию и ведению таблицы внутренних доверенных объектов и средства для управления внутренним компьютером и брандмауэром по предоставлению копии этой таблицы внешнему компоненту, а также включает средства для установления и поддержания собственного управляющего соединения с внешним компонентом, которое используется для передачи от внешнего компонента внутреннему компоненту запроса, посланного от объекта, находящегося в этом внешнем компоненте.
6. Способ предоставления объектам, которые находятся вне брандмауэра (1), защищающего компьютерную систему от несанкционированного доступа, возможности устанавливать предназначенные для передачи данных соединения с выбранными объектами, находящимися внутри этого брандмауэра, заключающийся в том, что создают и ведут таблицу выбранных объектов внутри брандмауэра (1), каждый элемент (30) которой состоит из элементарных групп данных, идентифицирующих соответствующий выбранный объект, идентифицирующих порт передачи данных, выделенный этому объекту, и определяющих протокол передачи данных, который должен использоваться для передачи данных через этот порт, в зону, находящуюся вне брандмауэра, передают копию указанной таблицы, внешним объектам, имеющим определенный допуск к защищенной информации, предоставляют доступ к элементарным группам данных, образующим элемент указанной таблицы, соответствующим внешним объектам предоставляют право посылать запросы для получения доступа к элементу, идентифицирующему выбранный объект, идентифицирующему порт передачи данных и определяющему тип протокола передачи данных и образованному элементарными группами данных, выделенными этим внешним объектам, и с использованием компьютерных систем, находящихся внутри и вне брандмауэра, устанавливают предназначенное для передачи данных соединение между конкретным внутренним объектом, указанным в запросе, и внешним объектом, пославшим этот запрос, причем те участки этого соединения для передачи данных, которые находятся внутри брандмауэра и проходят через него, формируют исключительно под управлением компьютерной системы, находящейся внутри брандмауэра, при этом с помощью компьютерной системы, находящейся внутри брандмауэра, устанавливают и поддерживают собственное управляющее соединение с находящейся вне брандмауэра компьютерной системой, которое используют для передачи запросов от компьютерной системы, находящейся вне брандмауэра, к компьютерной системе, находящейся внутри брандмауэра.
RU99109968/09A 1996-10-21 1997-10-02 Способ и устройство доступа к ресурсам компьютера через брандмауэр RU2178583C2 (ru)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US08/731,800 US5944823A (en) 1996-10-21 1996-10-21 Outside access to computer resources through a firewall
US08/731,800 1996-10-21

Publications (2)

Publication Number Publication Date
RU99109968A RU99109968A (ru) 2001-04-27
RU2178583C2 true RU2178583C2 (ru) 2002-01-20

Family

ID=24940995

Family Applications (1)

Application Number Title Priority Date Filing Date
RU99109968/09A RU2178583C2 (ru) 1996-10-21 1997-10-02 Способ и устройство доступа к ресурсам компьютера через брандмауэр

Country Status (17)

Country Link
US (2) US5944823A (ru)
EP (1) EP0932965B1 (ru)
JP (1) JP3285882B2 (ru)
KR (1) KR100330619B1 (ru)
CN (1) CN1107400C (ru)
AT (1) ATE285151T1 (ru)
BR (2) BR9712635A (ru)
CA (1) CA2269544C (ru)
CZ (1) CZ295858B6 (ru)
DE (1) DE69731965T2 (ru)
ES (1) ES2231895T3 (ru)
HU (1) HUP0000336A3 (ru)
MY (1) MY127656A (ru)
PL (1) PL332828A1 (ru)
RU (1) RU2178583C2 (ru)
TW (1) TW362177B (ru)
WO (1) WO1998018248A1 (ru)

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2274910C2 (ru) * 2004-06-03 2006-04-20 Алексей Анатольевич Трофимов Способ обеспечения конфиденциальности информации
RU2310994C2 (ru) * 2002-07-05 2007-11-20 Пэкитфрант Свидн Аб Фильтр для разделения трафика
RU2314562C1 (ru) * 2006-03-21 2008-01-10 Федеральное государственное научное учреждение Научно-исследовательский институт "СПЕЦВУЗАВТОМАТИКА" Способ обработки дейтаграмм сетевого трафика для разграничения доступа к информационно-вычислительным ресурсам компьютерных сетей
RU2324970C2 (ru) * 2002-06-28 2008-05-20 Майкрософт Корпорейшн Распределенные вычисления на основе идентичности для ресурсов устройств
RU2336561C2 (ru) * 2002-06-27 2008-10-20 Майкрософт Корпорейшн Фильтрация контента при веб-просмотре
WO2008136786A1 (en) * 2007-05-03 2008-11-13 Sergey Ageyev Method for transmitting application messages between computer networks
RU2340939C2 (ru) * 2003-06-06 2008-12-10 Майкрософт Корпорейшн Автоматическое обнаружение и конфигурирование внешних сетевых устройств
RU2365046C2 (ru) * 2003-08-13 2009-08-20 Майкрософт Корпорейшн Подсказки о маршруте
RU2365986C2 (ru) * 2003-06-06 2009-08-27 Майкрософт Корпорейшн Архитектура многоуровневого брандмауэра
RU2370903C2 (ru) * 2004-12-21 2009-10-20 Квэлкомм Инкорпорейтед Конфигурация брандмауэра при участии клиента
RU2377641C2 (ru) * 2003-10-23 2009-12-27 Майкрософт Корпорейшн Система регистрационной информации для использования в вычислительной среде
US7882251B2 (en) 2003-08-13 2011-02-01 Microsoft Corporation Routing hints
US8266294B2 (en) 2003-08-13 2012-09-11 Microsoft Corporation Routing hints
RU2526719C2 (ru) * 2010-01-05 2014-08-27 Нек Корпорейшн Сетевая система и способ избыточности сети

Families Citing this family (163)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10361802B1 (en) 1999-02-01 2019-07-23 Blanding Hovenweep, Llc Adaptive pattern recognition based control system and method
US5793763A (en) * 1995-11-03 1998-08-11 Cisco Technology, Inc. Security system for network address translation systems
US7113508B1 (en) 1995-11-03 2006-09-26 Cisco Technology, Inc. Security system for network address translation systems
US6119236A (en) * 1996-10-07 2000-09-12 Shipley; Peter M. Intelligent network security device and method
US7506020B2 (en) 1996-11-29 2009-03-17 Frampton E Ellis Global network computers
US7805756B2 (en) * 1996-11-29 2010-09-28 Frampton E Ellis Microchips with inner firewalls, faraday cages, and/or photovoltaic cells
US7926097B2 (en) 1996-11-29 2011-04-12 Ellis Iii Frampton E Computer or microchip protected from the internet by internal hardware
US20060195595A1 (en) * 2003-12-19 2006-08-31 Mendez Daniel J System and method for globally and securely accessing unified information in a computer network
US6104716A (en) * 1997-03-28 2000-08-15 International Business Machines Corporation Method and apparatus for lightweight secure communication tunneling over the internet
US6243751B1 (en) * 1997-06-11 2001-06-05 Oracle Corporation Method and apparatus for coupling clients to servers
US6088728A (en) * 1997-06-11 2000-07-11 Oracle Corporation System using session data stored in session data storage for associating and disassociating user identifiers for switching client sessions in a server
US6675195B1 (en) * 1997-06-11 2004-01-06 Oracle International Corporation Method and apparatus for reducing inefficiencies caused by sending multiple commands to a server
US6870546B1 (en) * 1998-06-01 2005-03-22 Autodesk, Inc. Protectable expressions in objects having authorable behaviors and appearances
US6289461B1 (en) * 1998-06-09 2001-09-11 Placeware, Inc. Bi-directional process-to-process byte stream protocol
US6233688B1 (en) * 1998-06-30 2001-05-15 Sun Microsystems, Inc. Remote access firewall traversal URL
DE19831190C1 (de) * 1998-07-11 1999-10-28 Tracto Technik Vorrichtung und Verfahren zum Längsunterteilen erdverlegter Rohre
DE19832482A1 (de) * 1998-07-20 2000-01-27 Abb Patent Gmbh Verfahren zur Informationsübertragung
IL141493A0 (en) * 1998-08-21 2002-03-10 Visto Corp System and method for using a global translator to synchronize workspace elements across a network
US6317837B1 (en) * 1998-09-01 2001-11-13 Applianceware, Llc Internal network node with dedicated firewall
US9239763B2 (en) 2012-09-28 2016-01-19 Oracle International Corporation Container database
US6754831B2 (en) * 1998-12-01 2004-06-22 Sun Microsystems, Inc. Authenticated firewall tunneling framework
US6718024B1 (en) 1998-12-11 2004-04-06 Securelogix Corporation System and method to discriminate call content type
US6226372B1 (en) * 1998-12-11 2001-05-01 Securelogix Corporation Tightly integrated cooperative telecommunications firewall and scanner with distributed capabilities
US6249575B1 (en) 1998-12-11 2001-06-19 Securelogix Corporation Telephony security system
US6700964B2 (en) 2001-07-23 2004-03-02 Securelogix Corporation Encapsulation, compression and encryption of PCM data
US6687353B1 (en) 1998-12-11 2004-02-03 Securelogix Corporation System and method for bringing an in-line device on-line and assuming control of calls
US7133511B2 (en) * 1998-12-11 2006-11-07 Securelogix Corporation Telephony security system
US6760420B2 (en) 2000-06-14 2004-07-06 Securelogix Corporation Telephony security system
US6553422B1 (en) 1999-04-26 2003-04-22 Hewlett-Packard Development Co., L.P. Reverse HTTP connections for device management outside a firewall
US6349336B1 (en) * 1999-04-26 2002-02-19 Hewlett-Packard Company Agent/proxy connection control across a firewall
US6718388B1 (en) 1999-05-18 2004-04-06 Jp Morgan Chase Bank Secured session sequencing proxy system and method therefor
US6463474B1 (en) * 1999-07-02 2002-10-08 Cisco Technology, Inc. Local authentication of a client at a network device
US6584508B1 (en) * 1999-07-13 2003-06-24 Networks Associates Technology, Inc. Advanced data guard having independently wrapped components
GB9920834D0 (en) 1999-09-04 1999-11-10 Hewlett Packard Co Providing secure access through network firewalls
FR2800224B1 (fr) * 1999-10-21 2002-12-27 Ibm Procede et systeme de mise en antememoire de donnees http transportees avec des donnees de socks dans des datagrammes ip
WO2001031874A2 (en) * 1999-10-28 2001-05-03 Jpmorgan Chase Bank Secured session sequencing proxy system supporting multiple applications and method therefor
US7506358B1 (en) * 1999-12-09 2009-03-17 Cisco Technology, Inc. Method and apparatus supporting network communications through a firewall
US6347340B1 (en) * 2000-02-18 2002-02-12 Mobilesys, Inc. Apparatus and method for converting a network message to a wireless transport message using a modular architecture
US20070214262A1 (en) * 2000-02-25 2007-09-13 Anywheremobile, Inc. Personal server technology with firewall detection and penetration
US20020078198A1 (en) * 2000-02-25 2002-06-20 Buchbinder John E. Personal server technology with firewall detection and penetration
US6760720B1 (en) 2000-02-25 2004-07-06 Pedestrian Concepts, Inc. Search-on-the-fly/sort-on-the-fly search engine for searching databases
US6925572B1 (en) 2000-02-28 2005-08-02 Microsoft Corporation Firewall with two-phase filtering
US7814309B1 (en) * 2000-02-29 2010-10-12 Cisco Technology, Inc. Method for checkpointing and reconstructing separated but interrelated data
US6631417B1 (en) 2000-03-29 2003-10-07 Iona Technologies Plc Methods and apparatus for securing access to a computer
US7814208B2 (en) 2000-04-11 2010-10-12 Science Applications International Corporation System and method for projecting content beyond firewalls
KR20030009466A (ko) * 2000-05-04 2003-01-29 맥킨지 앤드 컴퍼니, 인크. 입찰 세션 수행 방법 및 장치
US7441270B1 (en) * 2000-07-06 2008-10-21 Intel Corporation Connectivity in the presence of barriers
AU7182701A (en) 2000-07-06 2002-01-21 David Paul Felsher Information record infrastructure, system and method
AU2001281029A1 (en) * 2000-08-04 2002-02-18 Entropia, Inc. System and method of proxying communications in a data network
US6834342B2 (en) 2000-08-16 2004-12-21 Eecad, Inc. Method and system for secure communication over unstable public connections
DE10040463C2 (de) * 2000-08-18 2003-10-23 Tenovis Gmbh & Co Kg Verfahren zum Aufbauen einer Datenverbindung zwischen einer ersten und einer zweiten Recheneinheit und Vorrichtung zum Austauschen von Daten
US20020032871A1 (en) * 2000-09-08 2002-03-14 The Regents Of The University Of Michigan Method and system for detecting, tracking and blocking denial of service attacks over a computer network
US6944673B2 (en) * 2000-09-08 2005-09-13 The Regents Of The University Of Michigan Method and system for profiling network flows at a measurement point within a computer network
US8150013B2 (en) * 2000-11-10 2012-04-03 Securelogix Corporation Telephony security system
US20020069366A1 (en) * 2000-12-01 2002-06-06 Chad Schoettger Tunnel mechanis for providing selective external access to firewall protected devices
JP2002190824A (ja) 2000-12-21 2002-07-05 Fujitsu Ltd ルータ及びipパケットの転送方式
US7631349B2 (en) * 2001-01-11 2009-12-08 Digi International Inc. Method and apparatus for firewall traversal
US20020095599A1 (en) * 2001-01-12 2002-07-18 Hyungkeun Hong VoIP call control proxy
US20020095502A1 (en) * 2001-01-16 2002-07-18 Chester James S. Business-to-business service provider system for intranet and internet applications
JP2002218218A (ja) * 2001-01-19 2002-08-02 Fuji Photo Film Co Ltd 画像合成装置
US7127742B2 (en) 2001-01-24 2006-10-24 Microsoft Corporation Establishing a secure connection with a private corporate network over a public network
US20020124170A1 (en) * 2001-03-02 2002-09-05 Johnson William S. Secure content system and method
US7024662B2 (en) 2001-03-14 2006-04-04 Microsoft Corporation Executing dynamically assigned functions while providing services
US7302634B2 (en) 2001-03-14 2007-11-27 Microsoft Corporation Schema-based services for identity-based data access
US7181017B1 (en) 2001-03-23 2007-02-20 David Felsher System and method for secure three-party communications
JP4146621B2 (ja) * 2001-04-05 2008-09-10 セイコーエプソン株式会社 出力装置用のセキュリティシステム
AU2002309783A1 (en) * 2001-05-25 2002-12-09 Proxim Corporation Wireless network system software protocol
US8356334B2 (en) * 2001-05-25 2013-01-15 Conexant Systems, Inc. Data network node having enhanced security features
GB0113902D0 (en) * 2001-06-07 2001-08-01 Nokia Corp Security in area networks
US7107464B2 (en) * 2001-07-10 2006-09-12 Telecom Italia S.P.A. Virtual private network mechanism incorporating security association processor
US7904454B2 (en) * 2001-07-16 2011-03-08 International Business Machines Corporation Database access security
US7206932B1 (en) * 2003-02-14 2007-04-17 Crystalvoice Communications Firewall-tolerant voice-over-internet-protocol (VoIP) emulating SSL or HTTP sessions embedding voice data in cookies
US7369537B1 (en) 2001-07-18 2008-05-06 Global Ip Solutions, Inc. Adaptive Voice-over-Internet-Protocol (VoIP) testing and selecting transport including 3-way proxy, client-to-client, UDP, TCP, SSL, and recipient-connect methods
US6978383B2 (en) * 2001-07-18 2005-12-20 Crystal Voice Communications Null-packet transmission from inside a firewall to open a communication window for an outside transmitter
US20030046586A1 (en) * 2001-09-05 2003-03-06 Satyam Bheemarasetti Secure remote access to data between peers
US6782351B2 (en) 2001-09-11 2004-08-24 Purechoice, Inc. Air quality monitoring and space management system coupled to a private communications network
US7003514B2 (en) * 2001-09-13 2006-02-21 International Business Machines Corporation Method and apparatus for restricting a fan-out search in a peer-to-peer network based on accessibility of nodes
US7308710B2 (en) 2001-09-28 2007-12-11 Jp Morgan Chase Bank Secured FTP architecture
US7370353B2 (en) * 2001-11-05 2008-05-06 Cisco Technology, Inc. System and method for managing dynamic network sessions
US7647422B2 (en) * 2001-11-06 2010-01-12 Enterasys Networks, Inc. VPN failure recovery
FR2832194B1 (fr) 2001-11-13 2004-10-01 Alstom Procede pour renforcer la tenue d'un element d'ancrage dans une dalle de beton
US20030097479A1 (en) * 2001-11-16 2003-05-22 Zellers Mark H. Result notification through firewalls
US10360545B2 (en) 2001-12-12 2019-07-23 Guardian Data Storage, Llc Method and apparatus for accessing secured electronic data off-line
US7921288B1 (en) 2001-12-12 2011-04-05 Hildebrand Hal S System and method for providing different levels of key security for controlling access to secured items
US7380120B1 (en) 2001-12-12 2008-05-27 Guardian Data Storage, Llc Secured data format for access control
US7921284B1 (en) 2001-12-12 2011-04-05 Gary Mark Kinghorn Method and system for protecting electronic data in enterprise environment
US10033700B2 (en) 2001-12-12 2018-07-24 Intellectual Ventures I Llc Dynamic evaluation of access rights
US7565683B1 (en) 2001-12-12 2009-07-21 Weiqing Huang Method and system for implementing changes to security policies in a distributed security system
US8065713B1 (en) 2001-12-12 2011-11-22 Klimenty Vainstein System and method for providing multi-location access management to secured items
US7334049B1 (en) 2001-12-21 2008-02-19 Cisco Technology, Inc. Apparatus and methods for performing network address translation (NAT) in a fully connected mesh with NAT virtual interface (NVI)
US20030140142A1 (en) * 2002-01-18 2003-07-24 David Marples Initiating connections through firewalls and network address translators
DE10207976B4 (de) * 2002-02-25 2004-04-15 Siemens Ag Verfahren zum netzübergreifenden Verbindungsaufbau und Netzübergangseinrichtung zur Realisierung des Verfahrens
EP1488333B1 (en) * 2002-03-01 2010-10-06 Enterasys Networks, Inc. Location aware data network
US7127491B2 (en) * 2002-07-23 2006-10-24 Canon Kabushiki Kaisha Remote command server
GB2395638B (en) * 2002-11-20 2005-11-09 Fujitsu Serv Ltd Multiple network access
US7359930B2 (en) * 2002-11-21 2008-04-15 Arbor Networks System and method for managing computer networks
US7251823B2 (en) * 2002-12-17 2007-07-31 Sierra Wireless, Inc. Enterprise access configuration
US9818136B1 (en) 2003-02-05 2017-11-14 Steven M. Hoffberg System and method for determining contingent relevance
US7864780B1 (en) 2003-04-29 2011-01-04 Cisco Technology, Inc. Apparatus and methods for handling name resolution over IPV6 using NAT-PT and DNS-ALG
US7676675B2 (en) * 2003-06-06 2010-03-09 Microsoft Corporation Architecture for connecting a remote client to a local client desktop
JP4115354B2 (ja) * 2003-07-04 2008-07-09 富士フイルム株式会社 ピア・ツー・ピア通信システム
JP4229013B2 (ja) * 2003-09-01 2009-02-25 株式会社デンソー 交流発電機
US7703140B2 (en) 2003-09-30 2010-04-20 Guardian Data Storage, Llc Method and system for securing digital assets using process-driven security policies
US7558842B2 (en) * 2003-10-17 2009-07-07 E2Open, Inc. Large file transfer in a design collaboration environment
WO2005038654A1 (en) * 2003-10-17 2005-04-28 Invensys Methods and system for replicating and securing process control data
US7543331B2 (en) * 2003-12-22 2009-06-02 Sun Microsystems, Inc. Framework for providing a configurable firewall for computing systems
FR2865335A1 (fr) * 2004-01-16 2005-07-22 France Telecom Systeme de communication entre reseaux ip prives et publics
US7426512B1 (en) * 2004-02-17 2008-09-16 Guardium, Inc. System and methods for tracking local database access
US20050195756A1 (en) * 2004-02-26 2005-09-08 Frattura David E. Status announcement system and method
US7580403B2 (en) * 2004-02-26 2009-08-25 Enterasys Networks, Inc. Status transmission system and method
US20060037075A1 (en) * 2004-03-10 2006-02-16 Frattura David E Dynamic network detection system and method
WO2005089338A2 (en) * 2004-03-15 2005-09-29 Bungee Labs, Inc. Declarative computer programming language method and system
US7805523B2 (en) * 2004-03-15 2010-09-28 Mitchell David C Method and apparatus for partial updating of client interfaces
US7415521B2 (en) * 2004-03-31 2008-08-19 International Business Machines Corporation Method for controlling client access
US20050218739A1 (en) * 2004-04-01 2005-10-06 Microsoft Corporation System and method for sharing objects between computers over a network
US20050262568A1 (en) * 2004-05-18 2005-11-24 Hansen Mark D System and method for managing access to protected content by untrusted applications
JP4492248B2 (ja) * 2004-08-04 2010-06-30 富士ゼロックス株式会社 ネットワークシステム、内部サーバ、端末装置、プログラム、およびパケット中継方法
US7945945B2 (en) * 2004-08-06 2011-05-17 Enterasys Networks, Inc. System and method for address block enhanced dynamic network policy management
US7502824B2 (en) * 2004-08-12 2009-03-10 Oracle International Corporation Database shutdown with session migration
US7415470B2 (en) * 2004-08-12 2008-08-19 Oracle International Corporation Capturing and re-creating the state of a queue when migrating a session
CN100353721C (zh) * 2004-10-20 2007-12-05 尚宏电子股份有限公司 一种可穿透防火墙的双向信号传输装置
US7543032B2 (en) * 2004-10-22 2009-06-02 Canyonbridge, Inc. Method and apparatus for associating messages with data elements
US7347628B2 (en) 2004-11-08 2008-03-25 Enterasys Networks, Inc. Optical interface identification system
US7661131B1 (en) 2005-02-03 2010-02-09 Sun Microsystems, Inc. Authentication of tunneled connections
US7565526B1 (en) 2005-02-03 2009-07-21 Sun Microsystems, Inc. Three component secure tunnel
US9176772B2 (en) * 2005-02-11 2015-11-03 Oracle International Corporation Suspending and resuming of sessions
US8086232B2 (en) * 2005-06-28 2011-12-27 Enterasys Networks, Inc. Time synchronized wireless method and operations
US7970788B2 (en) * 2005-08-02 2011-06-28 International Business Machines Corporation Selective local database access restriction
CN1921377B (zh) * 2005-08-26 2010-09-15 鸿富锦精密工业(深圳)有限公司 数据同步系统及方法
US8874477B2 (en) 2005-10-04 2014-10-28 Steven Mark Hoffberg Multifactorial optimization system and method
US7933923B2 (en) 2005-11-04 2011-04-26 International Business Machines Corporation Tracking and reconciling database commands
US20070174454A1 (en) * 2006-01-23 2007-07-26 Mitchell David C Method and apparatus for accessing Web services and URL resources for both primary and shared users over a reverse tunnel mechanism
US20070276950A1 (en) * 2006-05-26 2007-11-29 Rajesh Dadhia Firewall For Dynamically Activated Resources
JP2007102807A (ja) * 2006-11-27 2007-04-19 Seiko Epson Corp ネットワークに接続された仲介装置
US7950045B2 (en) * 2006-12-13 2011-05-24 Cellco Partnership Techniques for managing security in next generation communication networks
US8141100B2 (en) 2006-12-20 2012-03-20 International Business Machines Corporation Identifying attribute propagation for multi-tier processing
US7937353B2 (en) * 2007-01-15 2011-05-03 International Business Machines Corporation Method and system for determining whether to alter a firewall configuration
US8495367B2 (en) 2007-02-22 2013-07-23 International Business Machines Corporation Nondestructive interception of secure data in transit
US20080309665A1 (en) * 2007-06-13 2008-12-18 3D Systems, Inc., A California Corporation Distributed rapid prototyping
US7877507B2 (en) * 2008-02-29 2011-01-25 Red Hat, Inc. Tunneling SSL over SSH
US8261326B2 (en) 2008-04-25 2012-09-04 International Business Machines Corporation Network intrusion blocking security overlay
WO2010055781A1 (ja) * 2008-11-11 2010-05-20 インターナショナル・ビジネス・マシーンズ・コーポレーション 提供装置、システム、サーバ装置、プログラム及び方法
TW201106251A (en) 2009-04-24 2011-02-16 Ibm Editing apparatus, editing method and program
US8549038B2 (en) * 2009-06-15 2013-10-01 Oracle International Corporation Pluggable session context
US20100333192A1 (en) * 2009-06-24 2010-12-30 Esgw Holdings Limited Secure storage
US8429735B2 (en) 2010-01-26 2013-04-23 Frampton E. Ellis Method of using one or more secure private networks to actively configure the hardware of a computer or microchip
JP5458977B2 (ja) * 2010-03-10 2014-04-02 富士通株式会社 中継処理方法、プログラム及び装置
JP5617709B2 (ja) 2011-03-16 2014-11-05 富士通株式会社 プログラム、制御装置および方法
US9571566B2 (en) * 2011-06-15 2017-02-14 Juniper Networks, Inc. Terminating connections and selecting target source devices for resource requests
US9363327B2 (en) 2011-06-15 2016-06-07 Juniper Networks, Inc. Network integrated dynamic resource routing
US8504723B2 (en) 2011-06-15 2013-08-06 Juniper Networks, Inc. Routing proxy for resource requests and resources
PH12012000283A1 (en) 2011-09-28 2014-04-28 Fisher Rosemount Systems Inc Methods, apparatus, and articles of manufacture to provide firewalls for process control systems
EP2873055A4 (en) * 2012-07-12 2015-12-02 Okinawa Inst Of Science And Technology School Corp UNIVERSAL SIMULATION SYSTEM BASED ON THE USE OF A SOCIAL NETWORK INTERFACE
US9380081B1 (en) * 2013-05-17 2016-06-28 Ca, Inc. Bidirectional network data replications
WO2015096120A1 (en) * 2013-12-27 2015-07-02 Intel Corporation Techniques for implementing a secure mailbox in resource-constrained embedded systems
US10289617B2 (en) 2015-12-17 2019-05-14 Oracle International Corporation Accessing on-premise and off-premise datastores that are organized using different application schemas
US10387387B2 (en) 2015-12-17 2019-08-20 Oracle International Corporation Enabling multi-tenant access to respective isolated data sets organized using different application schemas
US10303894B2 (en) 2016-08-31 2019-05-28 Oracle International Corporation Fine-grained access control for data manipulation language (DML) operations on relational data
KR101947169B1 (ko) * 2017-06-30 2019-02-12 주식회사 아라드네트웍스 IP 터널링을 이용한IoT 디바이스제어 방법 및장치
CN109246060B (zh) * 2017-07-10 2022-07-05 中兴通讯股份有限公司 一种建立链接的方法、终端及系统
US10609152B2 (en) * 2017-07-11 2020-03-31 Cisco Technology, Inc. Creation of remote direct access path via internet to firewalled device using multi-site session forwarding
WO2021021070A1 (en) 2019-07-26 2021-02-04 Hewlett-Packard Development Company, L.P. Storage enclosures
CN114978643B (zh) * 2022-05-13 2023-08-29 北京天融信网络安全技术有限公司 一种通信方法、网络设备及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5113499A (en) * 1989-04-28 1992-05-12 Sprint International Communications Corp. Telecommunication access management system for a packet switching network
RU2022346C1 (ru) * 1990-03-13 1994-10-30 Владимир Абрамович Скрипко Устройство защиты информации
US5416842A (en) * 1994-06-10 1995-05-16 Sun Microsystems, Inc. Method and apparatus for key-management scheme for use with internet protocols at site firewalls
US5444850A (en) * 1993-08-04 1995-08-22 Trend Micro Devices Incorporated Method and apparatus for controlling network and workstation access prior to workstation boot

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5283828A (en) * 1991-03-01 1994-02-01 Hughes Training, Inc. Architecture for utilizing coprocessing systems to increase performance in security adapted computer systems
US5455953A (en) * 1993-11-03 1995-10-03 Wang Laboratories, Inc. Authorization system for obtaining in single step both identification and access rights of client to server directly from encrypted authorization ticket
US5481715A (en) * 1993-12-15 1996-01-02 Sun Microsystems, Inc. Method and apparatus for delegated communications in a computer system using trusted deputies
US5548646A (en) * 1994-09-15 1996-08-20 Sun Microsystems, Inc. System for signatureless transmission and reception of data packets between computer networks
US5606617A (en) * 1994-10-14 1997-02-25 Brands; Stefanus A. Secret-key certificates
US5623601A (en) * 1994-11-18 1997-04-22 Milkway Networks Corporation Apparatus and method for providing a secure gateway for communication and data exchanges between networks
US5632011A (en) * 1995-05-22 1997-05-20 Sterling Commerce, Inc. Electronic mail management system for operation on a host computer system
US5761669A (en) * 1995-06-06 1998-06-02 Microsoft Corporation Controlling access to objects on multiple operating systems
US5696898A (en) * 1995-06-06 1997-12-09 Lucent Technologies Inc. System and method for database access control
US5623600A (en) * 1995-09-26 1997-04-22 Trend Micro, Incorporated Virus detection and removal apparatus for computer networks
US5680461A (en) * 1995-10-26 1997-10-21 Sun Microsystems, Inc. Secure network protocol system and method
US5826029A (en) * 1995-10-31 1998-10-20 International Business Machines Corporation Secured gateway interface
US5692047A (en) * 1995-12-08 1997-11-25 Sun Microsystems, Inc. System and method for executing verifiable programs with facility for using non-verifiable programs from trusted sources
US5602918A (en) * 1995-12-22 1997-02-11 Virtual Open Network Environment Corp. Application level security system and method
US5826014A (en) * 1996-02-06 1998-10-20 Network Engineering Software Firewall system for protecting network elements connected to a public network

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5113499A (en) * 1989-04-28 1992-05-12 Sprint International Communications Corp. Telecommunication access management system for a packet switching network
RU2022346C1 (ru) * 1990-03-13 1994-10-30 Владимир Абрамович Скрипко Устройство защиты информации
US5444850A (en) * 1993-08-04 1995-08-22 Trend Micro Devices Incorporated Method and apparatus for controlling network and workstation access prior to workstation boot
US5416842A (en) * 1994-06-10 1995-05-16 Sun Microsystems, Inc. Method and apparatus for key-management scheme for use with internet protocols at site firewalls

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
BRYAN I, Firewalls for Sale, Byte, vol.20, № 4, Apr. 1, 1995, p.p.99, 100, 102, 104. *
NEWMAN D. et al, Can Firewall Take the Heat?, Data Communications, vol.24, № 16, Nov. 21, 1995, p.p.71-78, 80. *

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2336561C2 (ru) * 2002-06-27 2008-10-20 Майкрософт Корпорейшн Фильтрация контента при веб-просмотре
RU2324970C2 (ru) * 2002-06-28 2008-05-20 Майкрософт Корпорейшн Распределенные вычисления на основе идентичности для ресурсов устройств
RU2310994C2 (ru) * 2002-07-05 2007-11-20 Пэкитфрант Свидн Аб Фильтр для разделения трафика
RU2340939C2 (ru) * 2003-06-06 2008-12-10 Майкрософт Корпорейшн Автоматическое обнаружение и конфигурирование внешних сетевых устройств
RU2365986C2 (ru) * 2003-06-06 2009-08-27 Майкрософт Корпорейшн Архитектура многоуровневого брандмауэра
RU2365046C2 (ru) * 2003-08-13 2009-08-20 Майкрософт Корпорейшн Подсказки о маршруте
US7882251B2 (en) 2003-08-13 2011-02-01 Microsoft Corporation Routing hints
US8266294B2 (en) 2003-08-13 2012-09-11 Microsoft Corporation Routing hints
US8918525B2 (en) 2003-08-13 2014-12-23 Microsoft Corporation Routing hints
RU2377641C2 (ru) * 2003-10-23 2009-12-27 Майкрософт Корпорейшн Система регистрационной информации для использования в вычислительной среде
RU2274910C2 (ru) * 2004-06-03 2006-04-20 Алексей Анатольевич Трофимов Способ обеспечения конфиденциальности информации
RU2370903C2 (ru) * 2004-12-21 2009-10-20 Квэлкомм Инкорпорейтед Конфигурация брандмауэра при участии клиента
RU2314562C1 (ru) * 2006-03-21 2008-01-10 Федеральное государственное научное учреждение Научно-исследовательский институт "СПЕЦВУЗАВТОМАТИКА" Способ обработки дейтаграмм сетевого трафика для разграничения доступа к информационно-вычислительным ресурсам компьютерных сетей
WO2008136786A1 (en) * 2007-05-03 2008-11-13 Sergey Ageyev Method for transmitting application messages between computer networks
RU2526719C2 (ru) * 2010-01-05 2014-08-27 Нек Корпорейшн Сетевая система и способ избыточности сети

Also Published As

Publication number Publication date
CA2269544A1 (en) 1998-04-30
CN1107400C (zh) 2003-04-30
BR9712635A (pt) 1999-10-26
EP0932965B1 (en) 2004-12-15
CN1180871A (zh) 1998-05-06
JP2000505270A (ja) 2000-04-25
US5944823A (en) 1999-08-31
CZ295858B6 (cs) 2005-11-16
HUP0000336A3 (en) 2000-08-28
CA2269544C (en) 2004-12-28
EP0932965A1 (en) 1999-08-04
BR9705094A (pt) 1999-06-29
DE69731965T2 (de) 2005-12-29
MY127656A (en) 2006-12-29
ATE285151T1 (de) 2005-01-15
TW362177B (en) 1999-06-21
KR20000048930A (ko) 2000-07-25
CZ138799A3 (cs) 1999-08-11
DE69731965D1 (de) 2005-01-20
HUP0000336A2 (hu) 2000-06-28
WO1998018248A1 (en) 1998-04-30
JP3285882B2 (ja) 2002-05-27
ES2231895T3 (es) 2005-05-16
PL332828A1 (en) 1999-10-11
KR100330619B1 (ko) 2002-03-29
US6061797A (en) 2000-05-09

Similar Documents

Publication Publication Date Title
RU2178583C2 (ru) Способ и устройство доступа к ресурсам компьютера через брандмауэр
US5960177A (en) System for performing remote operation between firewall-equipped networks or devices
US6813715B2 (en) Method for accessing home-network using home-gateway and home-portal server and apparatus thereof
US5991828A (en) System for automatically connecting portable device to network using network environment information including domain name of naming device and community name of network management protocol
US6111883A (en) Repeater and network system utilizing the same
US5517488A (en) Method of load distribution for message processing in host system in local area network
US7146427B2 (en) Polling-based mechanism for improved RPC timeout handling
EP1164766B1 (en) Switch connection control apparatus for channels
JP4257785B2 (ja) キャッシュストレージ装置
US20010047414A1 (en) Dedicated private network service method having backup and loads-balancing functions
US20040019465A1 (en) Event router and method for handling events in distributing computing applications
JP2004072766A (ja) プライベートネットワークにアクセス制御プラットフォームサービスを提供するためのシステム
JPH06243103A (ja) パラレルコンピュータシステム
KR20030031134A (ko) 요청의 집중 및 부하조정을 위한 시스템 및 방법
US20050125511A1 (en) Intelligent local proxy for transparent network access from multiple physical locations
US6014753A (en) Server address management system
CN101160839A (zh) 接入控制方法、接入控制系统以及分组通信装置
EP1282286B1 (en) Method of establishing a secure data connection
JPH1028144A (ja) アクセス制御機能付きネットワーク構成方式
EP1479191B1 (en) System and method for intercepting network access
JP2002084326A (ja) 被サービス装置、センタ装置、及びサービス装置
JP2804876B2 (ja) 多重系装置を含むネットワークシステムの通信方法
JP2000122939A (ja) アプリケーションゲートウェイの通信制御方法
JP7264767B2 (ja) パケット中継装置及びパケット中継システム
Hata A bridging VPN for connecting wireless sensor networks to data centers

Legal Events

Date Code Title Description
PC41 Official registration of the transfer of exclusive right

Effective date: 20110420

MM4A The patent is invalid due to non-payment of fees

Effective date: 20121003