SE520393C2 - Metod för kommunikation genom brandvägg - Google Patents

Metod för kommunikation genom brandvägg

Info

Publication number
SE520393C2
SE520393C2 SE0101008A SE0101008A SE520393C2 SE 520393 C2 SE520393 C2 SE 520393C2 SE 0101008 A SE0101008 A SE 0101008A SE 0101008 A SE0101008 A SE 0101008A SE 520393 C2 SE520393 C2 SE 520393C2
Authority
SE
Sweden
Prior art keywords
computer unit
computer
communication
unit
units
Prior art date
Application number
SE0101008A
Other languages
English (en)
Other versions
SE0101008L (sv
SE0101008D0 (sv
Inventor
Lars Resenius
Lars Laven
Original Assignee
Columbitech Ab
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Columbitech Ab filed Critical Columbitech Ab
Priority to SE0101008A priority Critical patent/SE520393C2/sv
Publication of SE0101008D0 publication Critical patent/SE0101008D0/sv
Priority to PCT/SE2002/000557 priority patent/WO2002078268A1/en
Publication of SE0101008L publication Critical patent/SE0101008L/sv
Publication of SE520393C2 publication Critical patent/SE520393C2/sv

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/08Protocols for interworking; Protocol conversion

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

l0 20 25 30 520 393 2 en gemensam IP-adress och där kommunikationen sker via en gemensam TCP port.
EP-A1-0 909 074 beskriver hur en brandvägg kan hantera olika säkerhetsnivåer för olika användare genom att applicera olika uppsättningar av tillgänglighetsregler. Brandväggen kan även omdirigera vissa sessioner till en annan server för processering.
.JP-A-10135982 beskriver hur två olika IP-adresser kan dela på en gemensam MAC-adress.
Redogörelse för föreliggande uppfinning Tekniska problem Under beaktande av teknikens tidigare ståndpunkt såsom den beskrivs ovan, och med utgångspunkt från ett tekniskt område enligt ovan, så är det ett tekniskt problem att minimera antalet öppningar i använd brandvägg.
Det är ett tekniskt problem att erbjuda möjlligheten att kommunicera med ett flertal olika användare, användande ett flertal olika protokoll, med endast en öppning i brandväggen.
Det är ett tekniskt problem att låta ett flertal olika andra datorenheter kommunicera med sinsemellan ett flertal olika första datorenheter enligt olika protokoll via en gemensam tredje datorenhet, där samtliga andra datorenheter endast fordrar en öppning genom sina respektive brandväggar.
Lösningen Med avsikten att erbjuda en lösning till ett eller flera av de ovan angivna problemen utgår föreliggande uppfinning från en metod, datorprogramprodukter, samt ett datorläsbart medium, för att, via ett nätverk, erhålla en kommunikation mellan en första datorenhet och en andra datorenhet, vilken kommunikation sker via en tredje datorenhet. En brandvägg är upprättad mellan den andra datorenheten och den tredje datorenheten, och all kommunikation mellan den andra datorenheten och den tredje datorenheten sker genom denna brandvägg.
Föreliggande uppfinning anvisar att, med avsikten att minimera antalet öppningar i en brandvägg, all kommunikation mellan den andra datorenheten och den tredje datorenheten sker via en port enligt ett specifikt protokoll, och att den 10 20 25 30 i 520 393 3 tredje datorenheten, i kommunikationen med den första datorenheten, översätter mellan det protokoll enligt vilket den första datorenheten kommunicerar med den tredje datorenheten och det specifika protokollet enligt vilket den tredje datorenheten kommunicerar med den andra datorenheten.
I det fall som ett flertal olika första datorenheter kommunicerar med den andra datorenheten via den tredje datorenheten, och där dessa första datorenheter kommunicerar enligt samma eller sinsemellan olika, från varandra oberoende, protokoll, vidarebefordrar den tredje datorenheten kommunikationen från det flertalet olika första datorenheterna till den andra datorenheten via den enda porten och enligt det specifika protokollet.
Det är även möjligt att låta ett flertal andra datorenheter kommunicera med sina respektive en eller flera första datorenheter via den tredje datorenheten.
Med avsikten att tillåta ett flertal olika andra datorenheter kommunicera med sina respektive första datorenheter anvisar föreliggande uppfinning att respektive andra datorenhet tilldelas en eller flera adresser eller portar hos den tredje datorenheten för mottagande av kommunikation från sina respektive en eller flera första datorenheter, och att den tredje datorenheten, vid en kontakt från en första datorenhet med den tredje datorenheten, identifierar korrekt andra datorenhet för den kontaktande första datorenheten genom den adress eller port som den första datorenheten använder vid kontakten.
Föreliggande uppfinning anvisar att det inte finns något som hindrar att använd kommunikation mellan den första och andra datroenheten är krypterad.
Enligt en föredragen utföringsform av föreliggande uppfinning utgörs det specifika protokollet av TCP-protokollet.
Den tredje datorenheten kan således översätta mellan det specifika protokollet och ett flertal andra protokoll, såsom UDP och WAP.
Föreliggande uppfinning är speciellt fördelaktig då nätverket i fråga utgörs av det globala nätverket Internet.
Föreliggande uppfinning avser även två datorprogramprodukter där en första datorprogramprodukt omfattar datorprogramkod vilken, då den exekveras av en datorenhet, utför funktionerna för en tredje datorenhet enligt den uppfinningsenliga metoden och där en andra datorprogramprodukt omfattar datorprogramkod vilken, då den exekveras av en datorenhet, utför funktionerna för en andra datorenhet enligt den uppfinningsenliga metoden. 10 20 30 520 393 4 Vidare omfattar föreliggande upppfinning ett datorläsbart medium varpå finns lagrat datorprogramkod enligt den första eller andra datorprogramprodukten.
Fördelar De fördelar som främst kan förknippas med en metod, datorprogramprodukter eller ett datorläsbart medium enligt föreliggande uppfinning är att härigenom är det möjligt att erbjuda en tredje datorenhet, eller en Web- server, varigenom en kommunikation med en andra datorenhet, eller en företagsintern server, erbjuds med ett flertal olika första datorenheter, eller användare, enligt ett flertal olika protokoll, men med endast en öppning genom använd brandvägg.
Kort figurbeskrivning En metod, datorprogramprodukter, och ett datorläsbart medium uppvisande de med föreliggande uppfinning förknippade särdragen skall i exemplifierande syfte nu närmare beskrivas med hänvisning till bifogad ritning, där; Figur 1 schematiskt och mycket förenklat visar kommunikation via ett nätverk enligt känd teknik, Figur 2 schematiskt och mycket förenklat visar hur en andra datorenhet kommunicerar med ett flertal olika första datorenheter enligt föreliggande uppfinnning, och Figur 3 schematiskt och mycket förenklat visar hur ett flertal andra datorenhet kommunicerar med ett flertal olika första datorenheter enligt föreliggande uppfinnning.
Beskrivning av nu föredragna utföringsformer Med hänvisning till figur 1 visas således känd teknik för kommunikation mellan en första och en andra datorenhet 11, 2 via ett nätverk A, där kommunikationen sker via en tredje datorenhet 3.
För att erhålla säkerhet hos den andra datorenheten 2 finns en brandvägg 21 upprättad mellan den andra datorenheten 2 och den tredje datorenheten 3, och där all kommunikation mellan dessa datorenheter 2, 3 sker genom denna brandvägg 21. 20 25 30 520 393 5 Detta är vanligt då exempelvis den andra datorenheten 2 utgör en företagsintern server och man vill skydda sig mot intrång i företagets server och interna nätverk.
Den andra datorenheten har ett flertal anslutningar gentemot den tredje datorenheten 3 eftersom olika första datorenheter 11, 12, 13, 14 möjligen kommunicerar enligt sinsemellan olika protokoll A1, A2, A3, A4, vilket gör att dom behöver accessa den andra datorenheten via sinsemellan olika portar 41, 42, 43, 44. Detta medför även att det blir ett flertal öppningar genom den andra datorenhetens brandvägg 21, en för varje port 41, 42, 43, 44.
Figur 2 avser att visa att det enligt föreliggande uppfinning är möjligt att låta all kommunikation mellan den andra datorenheten 2 och den tredje datorenheten 3 ske via en port 4 enligt ett specifikt protokoll As, och att den tredje datorenheten 3, i kommunikationen med den första datorenheten 11, översätter mellan det protokoll A1 enligt vilket den första datorenheten 1 kommunicerar med den tredje datorenheten 3 och det specifika protokollet As enligt vilket den tredje datorenheten 3 kommunicerar med den andra datorenheten 2.
Figur 2 visar även att ett flertal olika första datorenheter 11, 12, 13, 14 kan kommunicera med den andra datorenheten 2 via den tredje datorenheten 3, där dessa flera första datorenheter 11, 12, 13, 14 kommunicerar enligt samma eller sinsemellan olika, från varandra oberoende, protokoll A1, A2, A3, A4.
I detta fall vidarebefordrar den tredje datorenheten 3 kommunikationen från det flertalet olika första datorenheterna 11, 12, 13, 14 till den andra datorenheten via den enda porten 4 enligt det specifika protokollet As.
Figur 3 visar en utföringsform där ett flertal andra datorenheter 2a, 2b, 2c kommunicerar med sina respektive en eller flera första datorenheter 11a, 12a, 13a, 11b, 12b, 13b, 11c, 12c, 13c via den tredje datorenheten 3.
Enligt en föredragen utföringsform tilldelas respektive andra datorenhet 2a, 2b, 2c en eller flera adresser eller portar 31a, 31b, 310, 32a, 32b, 320, 33a, 33b, 330 hos den tredje datorenheten 3 för mottagande av kommunikation från en eller flera första datorenheter11a, 12a, 13a, 11b, 12b, 13b, 11c, 12c, 13c.
Detta erbjuder möjligheten för den tredje datorenheten 3 att, vid en kontakt från en första datorenhet 12b, identifierar korrekt andra datorenhet 2b för den kontaktande första datorenheten 12b genom den adress eller port 32b som den första datorenheten 12b använder vid kontakten. 10 , n» 520 393 6 Enligt föreliggande uppfinning finns det inget som hindrar att kommunikationen mellan en andra datorenhet 2 och en eller flera av dess första datorenheter 11, 12, 13 är krypterad.
Enligt en föredragen utföringsform av föreliggande uppfinning utgörs det specifika protokollet As av lPSEC TCP-protokollet. Det är även möjligt att använda ett annat protokoll, såsom vanlig TCP.
Den tredje datorenheten 3 kan översätta mellan det specifika protokollet AS och ett flertal andra protokoll, såsom UDP och WAP.
Föreliggande uppfinnning lämpar sig väl för kommunikation inom det globala nätverket Internet eftersom det förekommer många olika protokoll för kommunikation inom internet.
Figur 2 visar även mycket schematiskt att föreliggande uppfinning även avser en första datorprogramprodukt 51, vilken omfattar datorprogramkod som, då den exekveras av en datorenhet, utför funktionerna för en tredje datorenhet 3 enligt den uppfinningsenliga metoden.
Vidare avser föreliggande uppfinning en andra datorprogramprodukt 52, vilken omfattar datorprogramkod som, då den exekveras av en datorenhet, utför funktionerna för en andra datorenhet 2 enligt den uppfinningsenliga metoden.
Föreliggande uppfinning avser även ett datorläsbart medium 6, på vilket datorprogramkod enligt någon av den första eller andra datorprogramprodukten finns lagrad.
Uppfinningen är naturligtvis inte begränsad till de ovan såsom exempel angivna utföringsformerna utan kan öppni modifikationer inom ramen för uppfinningstanken illustrerad i efterföljande patentkrav.

Claims (11)

10 30 ._s- 520 393 7 PATENTKRAV
1. Metod för att, via ett nätverk, erhålla en kommunikation mellan en första datorenhet och en andra datorenhet, där nämnda kommunikation sker via en tredje datorenhet, där en brandvägg är upprättad mellan nämnda andra datorenhet och nämnda tredje datorenhet, och där all kommunikation mellan nämnda andra datorenhet och nämnda tredje datorenhet sker genom nämnda brandvägg, kännetecknad därav, att all kommunikation mellan nämnda andra datorenhet och nämnda tredje datorenhet sker via en port enligt ett specifikt protokoll, och att nämnda tredje datorenhet, i kommunikationen med nämnda första datorenhet, översätter mellan det protokoll enligt vilket nämnda första datorenhet kommunicerar med nämnda tredje datorenhet och nämnda specifika protokoll enligt vilket nämnda tredje datorenhet kommunicerar med nämnda andra datorenhet.
2. Metod enligt patentkravet 1, kännetecknad därav, att ett flertal olika första datorenheter kommunicerar med nämnda andra datorenhet via nämnda tredje datorenhet, att nämnda flera första datorenheter kommunicerar enligt samma eller sinsemellan olika, från varandra oberoende, protokoll, och att nämnda tredje datorenhet vidarebefordrar den från ett flertal olika första datorenheter kommunikationen till nämnda andra datorenhet via nämnda enda port enligt nämnda specifika protokoll.
3. Metod enligt patentkravet 1 eller 2, kännetecknad därav, att ett flertal andra datorenheter kommunicerar med sina respektive en eller flera första datorenheter via nämnda tredje datorenhet.
4. Metod enligt patentkravet 3, kännetecknad därav, att respektive andra datorenhet tilldelas en eller flera adresser eller portar hos nämnda tredje datorenhet för mottagande av kommunikation från en eller flera första datorenheter, och att, vid en kontakt från en första datorenhet med nämnda tredje datorenhet, nämnda tredje datorenhet identifierar korrekt andra datorenhet för den kontaktande första datorenheten genom den adress eller port som nämnda första datorenhet använder vid nämnda kontakt. 20 25 520 393 8
5. Metod enligt något av föregående patentkrav, kännetecknad därav, att nämnda kommunikation är krypterad.
6. Metod enligt något av föregående patentkrav, kännetecknad därav, att nämnda specifika protokoll utgörs av TCP-protokollet.
7. Metod enligt något av föregående patentkrav, kännetecknad därav, att nämnda tredje datorenhet översätter mellan nämnda specifika protokoll och ett flertal andra protokoll.
8. Metod enligt något av föreliggande patentkrav, kännetecknad därav, att nämnda nätverk utgörs av det globala nätverket Internet.
9. En första datorprogramprodukt, kännetecknad därav, att nämnda första datorprogramprodukt omfattar datorprogramkod vilken, då den exekveras av en datorenhet, utför funktionerna för en tredje datorenhet enligt något av patentkraven 1 till 8.
10. En andra datorprogramprodukt, kännetecknad därav, att nämnda andra datorprogramprodukt omfattar datorprogramkod vilken, då den exekveras av en datorenhet, utför funktionerna fören andra datorenhet enligt något av patentkraven 1 till 8.
11. Ett datorläsbart medium, kännetecknat därav, att på nämnda datorläsbara medium finns lagrat datorprogramkod enligt något av patentkraven 9 och 10.
SE0101008A 2001-03-22 2001-03-22 Metod för kommunikation genom brandvägg SE520393C2 (sv)

Priority Applications (2)

Application Number Priority Date Filing Date Title
SE0101008A SE520393C2 (sv) 2001-03-22 2001-03-22 Metod för kommunikation genom brandvägg
PCT/SE2002/000557 WO2002078268A1 (en) 2001-03-22 2002-03-21 Method of communication through a firewall

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
SE0101008A SE520393C2 (sv) 2001-03-22 2001-03-22 Metod för kommunikation genom brandvägg

Publications (3)

Publication Number Publication Date
SE0101008D0 SE0101008D0 (sv) 2001-03-22
SE0101008L SE0101008L (sv) 2002-09-23
SE520393C2 true SE520393C2 (sv) 2003-07-01

Family

ID=20283480

Family Applications (1)

Application Number Title Priority Date Filing Date
SE0101008A SE520393C2 (sv) 2001-03-22 2001-03-22 Metod för kommunikation genom brandvägg

Country Status (2)

Country Link
SE (1) SE520393C2 (sv)
WO (1) WO2002078268A1 (sv)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7873071B2 (en) * 2006-05-15 2011-01-18 The Boeing Company Multiple level security adapter
GB2443889A (en) 2006-11-20 2008-05-21 Skype Ltd Method and system for anonymous communication
GB0623622D0 (en) 2006-11-27 2007-01-03 Skype Ltd Communication system
GB0623621D0 (en) 2006-11-27 2007-01-03 Skype Ltd Communication system

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7143438B1 (en) * 1997-09-12 2006-11-28 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with multiple domain support

Also Published As

Publication number Publication date
WO2002078268A1 (en) 2002-10-03
SE0101008L (sv) 2002-09-23
SE0101008D0 (sv) 2001-03-22

Similar Documents

Publication Publication Date Title
US7225188B1 (en) System and method for performing regular expression matching with high parallelism
US8010990B2 (en) Acceleration of packet flow classification in a virtualized system
US7633855B2 (en) System and method for resolving address conflicts in a network
US9137204B2 (en) Network security smart load balancing
US20020133594A1 (en) Handling state information in a network element cluster
EP3123702B1 (en) Dynamic service chain with network address translation detection
US7769858B2 (en) Method for efficiently hashing packet keys into a firewall connection table
CN1606294A (zh) 改进的用于路由器的访问控制列表机制
US20140153435A1 (en) Tiered deep packet inspection in network devices
CN107147588B (zh) 流量引导方法和装置
CN109314664B (zh) 僵尸主控机发现设备和方法
CA2525343A1 (en) Security checking program for communication between networks
EP1419625B1 (en) Virtual egress packet classification at ingress
EP1835368A2 (en) Programmable controller
SE520287C2 (sv) Metod för kommunikation medelst WAP-protokoll
SE520393C2 (sv) Metod för kommunikation genom brandvägg
US7688821B2 (en) Method and apparatus for distributing data packets by using multi-network address translation
CN107682300B (zh) 确定安全组规则链的方法和装置
US7844731B1 (en) Systems and methods for address spacing in a firewall cluster
EP3691200A1 (en) Method, device and system for determining traffic transmission path in network
SE520437C2 (sv) Metod för minimering av antalet öppningar i en brandvägg belägen mellan ett privat och ett offentligt nätverk
Cisco Configuring IP Session Filtering (Reflexive Access Lists)
US20230051229A1 (en) Transmission device for transmitting data
Cisco Configuring IP Session Filtering (Reflexive Access Lists)
Cisco Reflexive Access List Commands

Legal Events

Date Code Title Description
NUG Patent has lapsed