RU53522U1 - Устройство разграничения доступа между двумя сетями передачи данных в протоколе ip-межсетевой экран без операционной системы (варианты) - Google Patents

Устройство разграничения доступа между двумя сетями передачи данных в протоколе ip-межсетевой экран без операционной системы (варианты) Download PDF

Info

Publication number
RU53522U1
RU53522U1 RU2005139801/22U RU2005139801U RU53522U1 RU 53522 U1 RU53522 U1 RU 53522U1 RU 2005139801/22 U RU2005139801/22 U RU 2005139801/22U RU 2005139801 U RU2005139801 U RU 2005139801U RU 53522 U1 RU53522 U1 RU 53522U1
Authority
RU
Russia
Prior art keywords
network
masks
filtering
addresses
packet
Prior art date
Application number
RU2005139801/22U
Other languages
English (en)
Inventor
Григорий Гемфриевич Дмитриев
Илья Александрович Пашковский
Михаил Юрьевич Кочергин
Original Assignee
Григорий Гемфриевич Дмитриев
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Григорий Гемфриевич Дмитриев filed Critical Григорий Гемфриевич Дмитриев
Priority to RU2005139801/22U priority Critical patent/RU53522U1/ru
Application granted granted Critical
Publication of RU53522U1 publication Critical patent/RU53522U1/ru

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

Полезная модель относится к области защиты сетевых устройств и компьютеров от несанкционированного доступа из внешней сети, неавторизованного вмешательства в работу операционных систем сетевых устройств и компьютеров с использованием уязвимостей, наличие которых неизбежно в системах высокой сложности, которыми являются упомянутые операционные системы.
Техническим результатом полезной модели является создание надежного межсетевого экрана с гарантированной безопасностью.
Технический результат достигается за счет того, что устройство разграничения доступа между двумя сетями передачи данных в протоколе IP состоит из двух произвольных сетевых интерфейсов, соединенных с этими сетями, и модуля фильтрации между контроллерами ввода-вывода этих интерфейсов, предназначенное для фильтрации пакетов при передаче из одной сети в другую по соответствию IР адресов отправителей пакетов заданному набору разрешенных сетевых адресов. Модуль фильтрации выполнен в виде вычислителя без операционной системы, состоящего из портов связи с контроллерами сетевых интерфейсов, блока сравнения, блока памяти для набора масок и интерфейса ввода-вывода для связи с внешним программатором и выполнен с возможностью производить побитовое сравнение значений контролируемых адресов и других полей в IP пакете с набором масок разрешенных адресов и значений полей, которые заносятся в память вычислителя администратором с помощью внешнего программатора, подключаемого к устройству через электрический интерфейс.
По второму варианту выполнения устройства технический результат достигается за счет того, что модуль фильтрации выполнен без операционной системы и содержит набор электромеханических переключателей при помощи которых выставляются значения бит в одной или нескольких масках (электромеханические переключатели обеспечивают возможность только авторизованного доступа к их изменению и контролю за неизменностью их состояния в процессе штатной работы - механическая защита).
По третьему варианту выполнения устройства технический результат достигается за счет того, что модуль фильтрации выполнен без операционной системы и содержит блок памяти и набор электромеханических переключателей, при помощи которых выставляются значения бит в одной или нескольких масках и производится выбор определенного набора из масок и/или алгоритмов, записанных в блоке памяти.

Description

Полезная модель относится к области защиты сетевых устройств и компьютеров от несанкционированного доступа из внешней сети, неавторизованного вмешательства в работу операционных систем сетевых устройств и компьютеров с использованием уязвимостей, наличие которых неизбежно в системах высокой сложности, которыми являются упомянутые операционные системы.
В настоящее время большинство локальных вычислительных сетей (ЛВС) подключены к сети Интернет. Расширение спектра и повышение требований к уровню конфиденциальности сетевых приложений требует использования специальных технических средств разграничения доступа к информационным ресурсам и контроля обмена данными между различными компьютерными сетями. В качестве таких средств защиты широко применяются межсетевые экраны, называемые в англоязычной литературе фаэрволами (firewall). Межсетевой экран представляет собой специализированное сетевое устройство, которое включается между двумя сегментами ЛВС таким образом, что весь обмен сетевыми пакетами между этими сегментами ограничивается с помощью специальных правил фильтрации входящих и исходящих потоков данных. Такое устройство может быть также установлено между защищаемым сегментом ЛВС и маршрутизатором, один из портов которого подключен к сети Интернет либо между маршрутизатором и Интернет. При этом используемые правила фильтрации пакетного трафика могут включать запрет на передачу информации как изнутри, так и вовнутрь защищаемого сегмента ЛВС, включая контроль определенных пользователей в установленные интервалы времени суток, недель или месяцев.
Известна система защиты для двух компьютерных сетей, описанная в российской патентной заявке А 96118130/09. Эта система защиты содержит две сетевые материнские платы и предназначена для предотвращения несанкционированных обменов данных между первой и второй компьютерными сетями. Каждая из указанных плат имеет сетевой интерфейсный адаптер для обмена данными с указанными выше сетями. При этом каждая из указанных материнских плат также имеет адаптер передачи данных для обмена информации с адаптером другой сетевой материнской платы и использует специальные программные средства для предотвращения передачи информации об услугах маршрутизации между сетевыми интерфейсными адаптерами и адаптером передачи данных. Каждая сетевая материнская плата дополнительно содержит программные средства преобразования протокола, препятствующие прохождению информации о
функционировании протокола верхнего уровня и информации об адресе источника и адресе назначения между указанным выше сетевым интерфейсным адаптером и указанным адаптером передачи данных каждой сетевой материнской платы. При этом одна из сетевых материнских плат имеет специальные программные средства поддержания интерфейса взаимодействия на прикладном уровне для выполняемых соответствующих задач.
Описанная выше система защиты по выполняемым функциям может быть классифицирована как сервер-представитель (proxy-сервер) или узел компьютерной сети, устанавливающий соединения от имени и по поручению зарегистрированного сетевого клиента.
При использовании proxy-сервера в качестве межсетевого экрана требуется, чтобы сетевой клиент осуществлял ряд дополнительных сеансов связи по установлению сетевых соединений, что приводит к снижению общей сетевой производительности и увеличению задержек передачи пакетов, особенно в случае последовательного соединения нескольких компьютерных сетей, разделенных между собой межсетевыми экранами указанного типа.
Эти недостатки преодолены в изобретении, раскрытом в патенте US 5898830, которое является наиболее близким к настоящему изобретению. Этот межсетевой экран будучи установленным в канал информационного обмена между двумя компьютерными сетями, обеспечивает прозрачность межсетевого взаимодействия для пользователей защищенного сегмента. Для этого межсетевой экран поддерживает конфигурацию двух наборов виртуальных абонентов. Первый набор абонентов может быть адресован только со стороны защищенного, а второй - со стороны открытого сегментов сети.
Рассматриваемые наборы виртуальных абонентов программно связаны между собой с помощью таблицы соответствия их сетевых адресов аналогично тому, как это делается при использовании DNS серверов. Передача или запрет передачи пакетов от виртуального абонента одного набора адресов к виртуальному абоненту из другого набора адресов осуществляется в соответствии с правилами фильтрации пакетов, сохраняемыми в конфигурационном файле межсетевого экрана.
Виртуальные абоненты, за исключением одного, который специально выделен для этой цели, не имеют доступа к файловой системе и другим системным ресурсам устройства, на котором фактически реализован межсетевой экран. Управляющий программный модуль осуществляет конфигурацию межсетевого экрана, в частности генерацию виртуальных абонентов в соответствии с записанным конфигурационными файлами при первоначальном старте данного устройства. Доступ к конфигурационным файлам осуществляется с использованием правил с функциями авторизации через
специального виртуального абонента, адресуемого из компьютерной сети. Эти правила включают проверку подлинности и авторизацию запрашивающего доступ абонента. Когда доступ запрашивающему абоненту предоставлен, в конфигурационный файл межсетевого экрана, контролирующего информационный обмен между компьютерными сетями, могут быть внесены изменения.
Упомянутая выше прозрачность экрана по отношению к протоколам сетевого уровня не означает, что экран не может быть обнаружен при применении специальных программных средств. Так как набор защищаемых сетевых узлов экранируется одним сетевым интерфейсом рассматриваемого устройства защиты, то на канальном уровне межсетевого взаимодействия каждый из этих узлов идентифицируется по соответствующему физическому адресу этого же сетевого интерфейса.
Процедура проверки подлинности абонента сети, уполномоченного на получение доступа к конфигурационному файлу, уязвима для злоумышленников, что подразумевает возможность несанкционированного доступа вследствие подбора паролей или использования не выявленного несовершенства программного обеспечения применяемого устройства защиты.
Наличие программного продукта во всех известных межсетевых экранах делает их уязвимыми.
Задачей настоящей полезной модели является создание устройства, в котором отсутствует системное программное обеспечение (операционная система).
Техническим результатом полезной модели является создание надежного межсетевого экрана с гарантированной безопасностью.
Технический результат достигается за счет того, что устройство разграничения доступа между двумя сетями передачи данных в протоколе IP (Межсетевой экран - МСЭ) состоит из двух произвольных сетевых интерфейсов, соединенных с этими сетями, и модуля фильтрации между контроллерами ввода-вывода этих интерфейсов, предназначенное для фильтрации пакетов при передаче из одной сети в другую по соответствию DP адресов отправителей пакетов заданному набору разрешенных сетевых адресов. Модуль фильтрации выполнен в виде вычислителя без операционной системы, состоящего из портов связи с контроллерами сетевых интерфейсов, блока сравнения, блока памяти для набора масок и интерфейса ввода-вывода для связи с внешним программатором и выполнен с возможностью производить побитовое сравнение значений контролируемых адресов и других полей в IР пакете с набором масок разрешенных адресов и значений полей, которые заносятся в память вычислителя администратором с
помощью внешнего программатора, подключаемого к устройству через электрический интерфейс.
По второму варианту выполнения устройства технический результат достигается за счет того, что устройство разграничения доступа между двумя сетями передачи данных в протоколе IP состоящее из двух произвольных сетевых интерфейсов, соединенных с этими сетями и модуля фильтрации между контроллерами ввода-вывода этих интерфейсов, предназначенного для фильтрации пакетов при передаче из одной сети в другую по соответствию IP адресов отправителей и получателей пакетов, а также значений других полей пакета заданному набору разрешенных сетевых адресов и значений полей, модуль фильтрации выполнен без операционной системы и содержит набор электромеханических переключателей при помощи которых выставляются значения бит в одной или нескольких масках (электромеханические переключатели обеспечивают возможность только авторизованного доступа к их изменению и контролю за неизменностью их состояния в процессе штатной работы - механическая защита).
По третьему варианту выполнения устройства технический результат достигается за счет того, что устройство разграничения доступа между двумя сетями передачи данных в протоколе IP состоящее из двух произвольных сетевых интерфейсов, соединенных с этими сетями и модуля фильтрации между контроллерами ввода-вывода этих интерфейсов, предназначенного для фильтрации пакетов при передаче из одной сети в другую по соответствию IP адресов отправителей и получателей пакетов, а также значений других полей пакета заданному набору разрешенных сетевых адресов и значений полей, модуль фильтрации выполнен без операционной системы и содержит блок памяти и набор электромеханических переключателей, при помощи которых выставляются значения бит в одной или нескольких масках и производится выбор определенного набора из масок и/или алгоритмов, записанных в блоке памяти.
Программатор может быть выполнен в виде любой вычислительной машины с блоками ввода и отображения информации, памяти и вычисления с произвольной операционной системой, позволяющей использовать графические и любые другие программы для формирования, хранения и контроля наборов масок, загружаемых в фильтры межсетевых экранов.
При фильтрации сравнение с заданным набором масок происходит для значений бит в полях (адрес получателя, тип транспортного протокола, номер порта и т.п.), положение и возможные бинарные значения которых в IP пакете известны в соответствии со стандартом протокола или другими соглашениями, а идентификация поля, сравнение и
фильтрация выполняются с помощью бинарной логики, которая реализуется на аппаратном уровне без использования операционной системы.
Фильтрация производится для произвольных протоколов, структура пакетов для которых известна, при этом маски могут быть сформированы и загружены в фильтр с помощью внешнего программатора.
Устройство разграничения доступа между двумя сетями передачи данных может быть выполнено в виде карты ввода-вывода для персонального компьютера, а в качестве второго сетевого интерфейса может выступать внутренняя шина компьютера, через которую также может обеспечиваться электропитание устройства.
Устройство разграничения доступа между двумя сетями передачи данных может быть выполнено в виде съемного модуля ввода-вывода для любого специализированного сетевого устройства (маршрутизатора, коммутатора, мультиплексора и т.п.) со специфицированным внутренним разъемом для подключения данного модуля.
Устройство разграничения доступа между двумя сетями передачи данных может быть выполнено в виде внутреннего фильтра в составе любого сетевого устройства, и не иметь внешних сетевых интерфейсов, а взаимодействует с другими элементами устройства путем пропускания через себя пакетов сетевого протокола.
Вычислитель может дополнительно выполнять взаимно-однозначную трансляцию адресов и преобразование других полей в обоих направлениях по логическим правилам, заданными масками.
Вычислитель может содержать дополнительный блок памяти, доступ к которому возможен только локально с помощью программатора для записи одного или нескольких алгоритмов сравнения, фильтрации и преобразования пакетов протокола передачи данных в соответствии с масками.
Устройство кроме фильтрации может производить взаимно однозначное преобразование значений бит в полях пакета по правилам, определяемым занесенными в память масками и/или алгоритмами
Как правило, МСЭ строятся на базе универсальных или специализированных ЭВМ, включающих весьма развитые и сложные операционные системы, которые, с одной стороны, расширяют возможности администраторов по анализу проходящих через них потоков информации и выбору способов контроля допустимых и недопустимых адресов, протоколов и т.п., но с другой стороны, в силу сложности операционных систем, содержат недокументированные уязвимости, которые могут использоваться злоумышленниками для вмешательства в работу МСЭ.
Предлагаемое устройство исключает возможность вмешательства в работу МСЭ через сеть, поскольку использует реализованные аппаратно неизменяемые алгоритмы, а маски, используемые этими алгоритмами для сравнения и фильтрации могут быть изменены только администратором, находящимся в непосредственной близости от устройства путем физического подключения к нему.
Состав и исполнение логических процессов происходящих в устройстве строго определены его аппартной конфигурацией и не могут быть изменены без физического взаимодействия с ним через локальный интерфейс.
Отсутствие сетевого адреса и операционной системы, которая могла бы выполнять процессы и задачи, отличные от заданных локально, исключают возможность вмешательства в его работу через сеть.
Способы контроля доступа и операций администратора с устройством через локальный интерфейс, а также отсутствия вмешательств в работу устройства помимо администратора, могут быть сугубо административными и не включают вопросы вмешательства через сеть.
На фигуре 1 схематически изображено устройство разграничения доступа между двумя сетями передачи данных в протоколе IР (далее, межсетевой экран - МСЭ)
На фигуре 2 схематически изображена настройка МСЭ.
МСЭ состоит из двух произвольных сетевых интерфейсов 1 и 2, соединенных с этими сетями и модуля фильтрации 3 между контроллерами ввода-вывода этих интерфейсов.
Модуль фильтрации 3 предназначен для фильтрации пакетов при передаче из одной сети в другую по соответствию IP адресов отправителей пакетов заданному набору разрешенных сетевых адресов.
По первому варианту исполнения модуль фильтрации (на рисунке 1 пункт 3) выполнен в виде вычислителя без операционной системы. Модуль фильтрации состоит из портов связи с контроллерами сетевых интерфейсов, блока сравнения, блока памяти для набора масок и интерфейса ввода-вывода для связи с программатором. Модуль фильтрации 3 производит побитовое сравнение значений контролируемых адресов и полей в IР пакете с набором масок разрешенных адресов и значений полей, которые занесены в память вычислителя. Набор масок разрешенных адресов заносятся в память вычислителя администратором с помощью внешнего программатора, который подключается к МСЭ через электрический интерфейс.
По второму варианту исполнения модуль фильтрации 3 выполнен без операционной системы и содержит набор электромеханических переключателей при помощи которых выставляются значения бит в одной или нескольких масках
По третьему варианту исполнения модуль фильтрации выполнен без операционной системы и содержит блок памяти и набор электромеханических переключателей, при помощи которых выставляются значения бит в одной или нескольких масках и производится выбор определенного набора из масок и/или алгоритмов, записанных в блоке памяти.
Программатор выполнен в виде вычислительной машины (например, компьютера с одним процессором Intel Pentium IV, тактовой частотой не менее 1,7 GHz, оперативной памятью не менее 256 MB и дисковой подсистемой не менее 5 Gb, с использованием известного программного обеспечения операционной системы, например, Microsoft Windows или Linux) с блоками ввода и отображения информации, памяти и вычисления с произвольной операционной системой, позволяющей использовать графические и любые другие программы для формирования, хранения и контроля наборов масок, загружаемых в фильтры межсетевых экранов.
При фильтрации данных происходит сравнение с заданным набором масок для значений бит в полях, положение и возможные бинарные значения которых в IP пакете известны в соответствии со стандартом протокола или другими соглашениями, а идентификация поля, сравнение и фильтрация выполняются с помощью бинарной логики, которая реализуется на аппаратном уровне без использования операционной системы.
Фильтрация может производиться для произвольных протоколов, структура пакетов для которых известна.
МСЭ может быть выполнен в виде карты ввода-вывода для персонального компьютера, а в качестве второго сетевого интерфейса выступает внутренняя шина компьютера, через которую также обеспечивается электропитание устройства.
МСЭ может быть выполнен в виде съемного модуля ввода-вывода для любого специализированного сетевого устройства (маршрутизатора, коммутатора, мультиплексора и т.п.) со специфицированным внутренним разъемом для подключения данного модуля.
МСЭ может быть выполнен в виде внутреннего фильтра в составе любого сетевого устройства, и не имеет внешних сетевых интерфейсов, а взаимодействует с другими элементами устройства путем пропускания через себя пакетов сетевого протокола.
Вычислитель дополнительно выполняет взаимно-однозначную трансляцию адресов и преобразование других полей в обоих направлениях по логическим правилам, заданными масками.
При необходимости вычислитель может содержать дополнительный блок памяти. Доступ к нему ограничен и возможен только локально с помощью программатора для записи одного или нескольких алгоритмов сравнения, фильтрации и преобразования пакетов протокола передачи данных в соответствии с масками.
МСЭ работает следующим образом:
1. МСЭ может быть встроен в компьютер или выполнен в виде отдельного блока, или части какого-либо устройства. В зависимости от конструкторского исполнения МСЭ подключается тем или иным способом к устройству, подключенному к сети для его защиты от несанкционированного проникновения из сети.
2. В память МСЭ (по первому и третьему вариантам) загружаются маски и/или алгоритмы разрешенных адресов. Маски и/или алгоритмы разрешенных адресов загружаются при помощи компьютера или электромеханических переключателей. МСЭ не содержит операционной системы.
3. По второму варианту маски и/или алгоритмы разрешенных адресов выставляются при помощи электромеханических переключателей после чего блок закрывается и опечатывается.
Устройство готово к работе - к фильтрации пакетов данных.
4. После этого устройству (ЭВМ) с МСЭ подключается к сети (локальной или всемирной - Internet).
При работе ЭВМ в сети постоянно происходит обмен информацией между находящимися в ней ЭВМ, а так же она подвергается атакам с попыткой проникнуть в те или иные файлы компьютера. МСЭ производит фильтрацию данных с целью недопущения проникновения в компьютер неразрешенных пользователей.
При фильтрации данных происходит сравнение с заданным набором масок для значений бит в полях (адрес получателя, тип транспортного протокола, номер порта и т.п.), положение и возможные бинарные значения которых в IP пакете известны в соответствии со стандартом протокола или другими соглашениями, а идентификация поля, сравнение и фильтрация выполняются с помощью бинарной логики, которая реализуется на аппаратном уровне без использования операционной системы.
Фильтрация производиться для произвольных протоколов, структура пакетов для которых известна.
Предлагаемое устройство полностью исключает возможность вмешательства в работу МСЭ через сеть, поскольку использует реализованные аппаратно неизменяемые алгоритмы, а маски, используемые этими алгоритмами для сравнения и фильтрации могут быть изменены только администратором, находящимся в непосредственной близости от устройства путем физического подключения к нему.

Claims (26)

1. Устройство разграничения доступа между двумя сетями передачи данных в протоколе IP, состоящее из двух произвольных сетевых интерфейсов, соединенных с этими сетями и модуля фильтрации между контроллерами ввода-вывода этих интерфейсов, предназначенного для фильтрации пакетов при передаче из одной сети в другую по соответствию IP адресов отправителей пакетов заданному набору разрешенных сетевых адресов, отличающееся тем, что модуль фильтрации выполнен в виде вычислителя без операционной системы, состоящего из портов связи с контроллерами сетевых интерфейсов, блока сравнения, блока памяти для набора масок и интерфейса ввода-вывода для связи с программатором и выполненного с возможностью производить побитовое сравнение значений контролируемых адресов в IP пакете с набором масок разрешенных адресов, которые заносятся в память вычислителя администратором с помощью внешнего программатора, подключаемого к устройству через электрический интерфейс.
2. Устройство по п.1, отличающееся тем, что программатор выполнен в виде вычислительной машины с блоками ввода и отображения информации, памяти и вычисления с произвольной операционной системой, позволяющей использовать графические и любые другие программы для формирования, хранения и контроля наборов масок, загружаемых в фильтры межсетевых экранов.
3. Устройство по п.1, отличающееся тем, что при фильтрации сравнение с заданным набором масок происходит для значений бит в полях, положение и возможные бинарные значения которых в IP пакете известны в соответствии со стандартом протокола или другими соглашениями, а идентификация поля, сравнение и фильтрация выполняются с помощью бинарной логики, которая реализуется на аппаратном уровне без использования операционной системы.
4. Устройство по пп.1 и 2, отличающееся тем, фильтрация производится для произвольных протоколов, структура пакетов для которых известна, при этом маски могут быть сформированы и загружены в фильтр с помощью внешнего программатора.
5. Устройство по п.1, отличающееся тем, что оно выполнено в виде карты ввода-вывода для персонального компьютера, а в качестве второго сетевого интерфейса выступает внутренняя шина компьютера, через которую также обеспечивается электропитание устройства.
6. Устройство по пп.1-3, отличающееся тем, что оно выполнено в виде съемного модуля ввода-вывода для любого специализированного сетевого устройства со специфицированным внутренним разъемом для подключения данного модуля.
7. Устройство по пп.1-3, отличающееся тем, что оно выполнено в виде внутреннего фильтра в составе любого сетевого устройства, и не имеет внешних сетевых интерфейсов, а взаимодействует с другими элементами устройства путем пропускания через себя пакетов сетевого протокола.
8. Устройство по пп.1-3, отличающееся тем, что вычислитель дополнительно выполняет взаимно однозначную трансляцию адресов и преобразование других полей в обоих направлениях по логическим правилам, заданными масками.
9. Устройство по пп.1-3, отличающееся тем, что вычислитель содержит дополнительный блок памяти, доступ к которому возможен только локально с помощью программатора для записи одного или нескольких алгоритмов сравнения, фильтрации и преобразования пакетов протокола передачи данных в соотсветствии с масками.
10. Устройство по пп.1-3, отличающееся тем, что кроме фильтрации происходит взаимно однозначное преобразование значений бит в полях пакета по правилам, определяемым занесенными в память масками и/или алгоритмами.
11. Устройство разграничения доступа между двумя сетями передачи данных в протоколе IP, состоящее из двух произвольных сетевых интерфейсов, соединенных с этими сетями и модуля фильтрации между контроллерами ввода-вывода этих интерфейсов, предназначенного для фильтрации пакетов при передаче из одной сети в другую по соответствию IP адресов отправителей пакетов заданному набору разрешенных сетевых адресов, отличающееся тем, что модуль фильтрации выполнен без операционной системы и содержит набор электромеханических переключателей, при помощи которых выставляются значения бит в одной или нескольких масках.
12. Устройство по п.11, отличающееся тем, что при фильтрации сравнение с заданным набором масок происходит для значений бит в полях, положение и возможные бинарные значения которых в IP пакете известны в соответствии со стандартом протокола или другими соглашениями, а идентификация поля, сравнение и фильтрация выполняются с помощью бинарной логики, которая реализуется на аппаратном уровне без использования операционной системы.
13. Устройство по п.11, отличающееся тем, что оно выполнено в виде карты ввода-вывода для персонального компьютера, а в качестве второго сетевого интерфейса выступает внутренняя шина компьютера, через которую также обеспечивается электропитание устройства.
14. Устройство по пп.11-13, отличающееся тем, что оно выполнено в виде съемного модуля ввода-вывода для любого специализированного сетевого устройства со специфицированным внутренним разъемом для подключения данного модуля.
15. Устройство по пп.11-13, отличающееся тем, что оно выполнено в виде внутреннего фильтра в составе любого сетевого устройства, и не имеет внешних сетевых интерфейсов, а взаимодействует с другими элементами устройства путем пропускания через себя пакетов сетевого протокола.
16. Устройство по пп.11-13, отличающееся тем, что модуль фильтрации дополнительно выполняет взаимно однозначную трансляцию адресов и преобразование других полей в обоих направлениях по логическим правилам, заданными масками.
17. Устройство по пп.11-13, отличающееся тем, что кроме фильтрации происходит взаимно однозначное преобразование значений бит в полях пакета по правилам, определяемым занесенными в память масками и/или алгоритмами либо положениями электромеханических переключателей.
18. Устройство разграничения доступа между двумя сетями передачи данных в протоколе IP, состоящее из двух произвольных сетевых интерфейсов, соединенных с этими сетями и модуля фильтрации между контроллерами ввода-вывода этих интерфейсов, предназначенного для фильтрации пакетов при передаче из одной сети в другую по соответствию IP адресов отправителей пакетов заданному набору разрешенных сетевых адресов, отличающееся тем, что модуль фильтрации выполнен без операционной системы и содержит блок памяти и набор электромеханических переключателей, при помощи которых выставляются значения бит в одной или нескольких масках и производится выбор определенного набора из масок и/или алгоритмов, записанных в блоке памяти.
19. Устройство по п.18, отличающееся тем, что при фильтрации сравнение с заданным набором масок происходит для значений бит в полях, положение и возможные бинарные значения которых в DP пакете известны в соответствии со стандартом протокола или другими соглашениями, а идентификация поля, сравнение и фильтрация выполняются с помощью бинарной логики, которая реализуется на аппаратном уровне без использования операционной системы.
20. Устройство по пп.18 и 19, отличающееся тем, что фильтрация производится для произвольных протоколов, структура пакетов для которых известна, при этом маски могут быть сформированы и загружены в фильтр с помощью внешнего программатора.
21. Устройство по пп.18 и 19, отличающееся тем, что оно выполнено в виде карты ввода-вывода для персонального компьютера, а в качестве второго сетевого интерфейса выступает внутренняя шина компьютера, через которую также обеспечивается электропитание устройства.
22. Устройство по пп.18 и 19, отличающееся тем, что оно выполнено в виде съемного модуля ввода-вывода для любого специализированного сетевого устройства со специфицированным внутренним разъемом для подключения данного модуля.
23. Устройство по пп.18 и 19, отличающееся тем, что оно выполнено в виде внутреннего фильтра в составе любого сетевого устройства, и не имеет внешних сетевых интерфейсов, а взаимодействует с другими элементами устройства путем пропускания через себя пакетов сетевого протокола.
24. Устройство по пп.18 и 19, отличающееся тем, что модуль фильтрации дополнительно выполняет взаимно однозначную трансляцию адресов и преобразование других полей в обоих направлениях по логическим правилам, заданными масками.
25. Устройство по пп.18 и 19, отличающееся тем, что модуль фильтрации содержит дополнительный блок памяти, доступ к которому возможен только локально с помощью программатора для записи одного или нескольких алгоритмов сравнения, фильтрации и преобразования пакетов протокола передачи данных в соответствии с масками.
26. Устройство по пп.18 и 19, отличающееся тем, что кроме фильтрации происходит взаимно однозначное преобразование значений бит в полях пакета по правилам, определяемым занесенными в память масками и/или алгоритмами либо положениями электромеханических переключателей.
Figure 00000001
RU2005139801/22U 2005-12-20 2005-12-20 Устройство разграничения доступа между двумя сетями передачи данных в протоколе ip-межсетевой экран без операционной системы (варианты) RU53522U1 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2005139801/22U RU53522U1 (ru) 2005-12-20 2005-12-20 Устройство разграничения доступа между двумя сетями передачи данных в протоколе ip-межсетевой экран без операционной системы (варианты)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2005139801/22U RU53522U1 (ru) 2005-12-20 2005-12-20 Устройство разграничения доступа между двумя сетями передачи данных в протоколе ip-межсетевой экран без операционной системы (варианты)

Publications (1)

Publication Number Publication Date
RU53522U1 true RU53522U1 (ru) 2006-05-10

Family

ID=36657813

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2005139801/22U RU53522U1 (ru) 2005-12-20 2005-12-20 Устройство разграничения доступа между двумя сетями передачи данных в протоколе ip-межсетевой экран без операционной системы (варианты)

Country Status (1)

Country Link
RU (1) RU53522U1 (ru)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2517411C1 (ru) * 2012-10-24 2014-05-27 Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" Способ управления соединениями в межсетевом экране
CN109286583A (zh) * 2018-10-23 2019-01-29 郑州云海信息技术有限公司 一种控制器网络端口管理方法、装置、设备及存储介质
RU2795295C1 (ru) * 2022-06-14 2023-05-02 Акционерное общество "Научно-производственное предприятие "Цифровые решения" Способ фильтрации сетевого трафика на основе правил с маской при пакетной коммутации
  • 2005

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2517411C1 (ru) * 2012-10-24 2014-05-27 Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" Способ управления соединениями в межсетевом экране
CN109286583A (zh) * 2018-10-23 2019-01-29 郑州云海信息技术有限公司 一种控制器网络端口管理方法、装置、设备及存储介质
CN109286583B (zh) * 2018-10-23 2021-08-10 郑州云海信息技术有限公司 一种控制器网络端口管理方法、装置、设备及存储介质
RU2795295C1 (ru) * 2022-06-14 2023-05-02 Акционерное общество "Научно-производственное предприятие "Цифровые решения" Способ фильтрации сетевого трафика на основе правил с маской при пакетной коммутации

Similar Documents

Publication Publication Date Title
US5550984A (en) Security system for preventing unauthorized communications between networks by translating communications received in ip protocol to non-ip protocol to remove address and routing services information
US8006297B2 (en) Method and system for combined security protocol and packet filter offload and onload
US7213265B2 (en) Real time active network compartmentalization
US9167000B2 (en) Dynamic threat event management system and method
EP1368726A2 (en) Apparatus and method for providing secure network communication
EP3952240A1 (en) Blockchain-based network security system and processing method
WO2007098362A2 (en) Methods and apparatus for heuristic/deterministic finite automata
KR101076683B1 (ko) 호스트 기반의 망분리 장치 및 방법
RU2214623C2 (ru) Вычислительная сеть с межсетевым экраном и межсетевой экран
Adjei et al. SSL stripping technique (DHCP snooping and ARP spoofing inspection)
Islam et al. Threat minimization by design and deployment of secured networking model
RU53522U1 (ru) Устройство разграничения доступа между двумя сетями передачи данных в протоколе ip-межсетевой экран без операционной системы (варианты)
RU2314562C1 (ru) Способ обработки дейтаграмм сетевого трафика для разграничения доступа к информационно-вычислительным ресурсам компьютерных сетей
WO2007075125A2 (en) Device for differentiating access between two data transmission networks in an ip protocol embodied in the form of an internet operating systemless-screen (variants)
Heryanto et al. Application of Access Control List for Network Security At Cisco Router As a Firewall
JP7434672B1 (ja) 情報処理システム、情報処理方法および情報処理プログラム
Balogun Distributed firewalls mechanism for the resolution of packets forwarding problems in computer networks using RSA-CRT technique
Ma et al. Research on Setting of Two Firewall Rules Based on Ubuntu Linux System
RU2727090C1 (ru) Программно-аппаратный комплекс для обмена данными автоматизированных систем
WO2024185162A1 (ja) 情報処理システム、情報処理方法および情報処理プログラム
RU2163727C2 (ru) Система защиты виртуального канала корпоративной сети с мандатным принципом управления доступом к ресурсам, построенной на каналах связи и средствах коммутации сети связи общего пользования
Rietz Optimization of network intrusion detection processes
Cwalinski et al. An SDN-based Approach to Protect Communication Between Virtual Machines
Ghai et al. Network Security Using Divergent Firewall Technologies
JP2024086104A (ja) ネットワーク接続コンピュータのセキュリティシステム及びセキュリティ方法

Legal Events

Date Code Title Description
MM1K Utility model has become invalid (non-payment of fees)

Effective date: 20051220

MM1K Utility model has become invalid (non-payment of fees)

Effective date: 20131221

NF1K Reinstatement of utility model

Effective date: 20150120

ND1K Extending utility model patent duration

Extension date: 20181220