SE520437C2 - Metod för minimering av antalet öppningar i en brandvägg belägen mellan ett privat och ett offentligt nätverk - Google Patents

Metod för minimering av antalet öppningar i en brandvägg belägen mellan ett privat och ett offentligt nätverk

Info

Publication number
SE520437C2
SE520437C2 SE0101007A SE0101007A SE520437C2 SE 520437 C2 SE520437 C2 SE 520437C2 SE 0101007 A SE0101007 A SE 0101007A SE 0101007 A SE0101007 A SE 0101007A SE 520437 C2 SE520437 C2 SE 520437C2
Authority
SE
Sweden
Prior art keywords
computer unit
computer
communication
unit
units
Prior art date
Application number
SE0101007A
Other languages
English (en)
Other versions
SE0101007D0 (sv
SE0101007L (sv
Inventor
Lars Resenius
Lars Laven
Original Assignee
Columbitech Ab
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Columbitech Ab filed Critical Columbitech Ab
Priority to SE0101007A priority Critical patent/SE520437C2/sv
Publication of SE0101007D0 publication Critical patent/SE0101007D0/sv
Priority to PCT/SE2002/000556 priority patent/WO2002078267A1/en
Publication of SE0101007L publication Critical patent/SE0101007L/sv
Publication of SE520437C2 publication Critical patent/SE520437C2/sv

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes

Description

.~. 2:-- (Il N) (I) . ~ » » »- 2 en gemensam lP-adress och där kommunikationen sker via en gemensam TCP port.
EP-Al-O 909 074 beskriver hur en brandvägg kan hantera olika säkerhetsnivåer för olika användare genom att applicera olika uppsättningar av tillgänglighetsregler. Brandvaggen kan även omdirigera vissa sessioner till en annan server för processering.
JP-A-10135982 beskriver hur två olika IP-adresser kan dela på en gemensam MAC-adress.
Redogörelse för föreliggande uppfinning Tekniska problem Under beaktande av teknikens tidigare ståndpunkt såsom den beskrivs ovan, och med utgångspunkt från ett tekniskt område enligt ovan, så är det ett tekniskt problem att minimera antalet öppningar i använd brandvägg.
Det är ett tekniskt problem att erbjuda möjlligheten att kommunicera med ett flertal olika användare, användande ett flertal olika protokoll, med endast en öppning i brandväggen.
Det är ett tekniskt problem att låta ett flertal olika andra datorenheter kommunicera med sinsemellan ett flertal olika första datorenheter enligt olika protokoll via en gemensam tredje datorenhet, där samtliga andra datorenheter endast fordrar en öppning genom sina respektive brandväggar.
Lösningen Med avsikten att erbjuda en lösning till ett eller flera av de ovan angivna problemen utgår föreliggande uppfinning från en metod, datorprogramprodukter, samt ett datorläsbart medium, för att, via ett nätverk, erhålla en kommunikation mellan en första datorenhet och en andra datorenhet, vilken kommunikation sker via en tredje datorenhet. En brandvägg är upprättad mellan den andra datorenheten och den tredje datorenheten, och all kommunikation mellan den andra datorenheten och den tredje datorenheten sker genom denna brandvägg.
Föreliggande uppfinning anvisar att, med avsikten att minimera antalet öppningar i en brandvägg, all kommunikation mellan den andra datorenheten och 10 20 25 30 0"! 'i Ci -b- CN \'l 3 den tredje datorenheten sker viaportar som initierats eller öppnats av nämnda andra datorenhet.
Med avsikten att minimera antalet använda portar anvisar förelliggande uppfinning att den andra datorenheten endast öppnar en port för kommunikation med den tredje datorenheten, och att all kommunikation via denna enda port sker enligt ett specifikt protokoll. Enligt denna utföringsform skall den tredje datorenheten, i kommunikationen med den första datorenheten, översätta mellan det protokoll enligt vilket den första datorenheten kommunicerar med den tredje datorenheten och det specifika protokollet enligt vilket den tredje datorenheten kommunicerar med den andra datorenheten. l det fall som ett flertal olika första datorenheter kommunicerar med den andra datorenheten via den tredje datorenheten, och där dessa första datorenheter kommunicerar enligt samma eller sinsemellan olika, från varandra oberoende, protokoll, vidarebefordrar den tredje datorenheten kommunikationen från det flertalet olika första datorenheterna till den andra datorenheten via den enda porten och enligt det specifika protokollet.
Det är även möjligt att låta ett flertal andra datorenheter kommunicera med sina respektive en eller flera första datorenheter via den tredje datorenheten.
Med avsikten att tillåta ett flertal olika andra datorenheter kommunicera med sina respektive första datorenheter anvisar föreliggande uppfinning att respektive andra datorenhet tilldelas en eller flera adresser eller portar hos den tredje datorenheten för mottagande av kommunikation från sina respektive en eller flera första datorenheter, och att den tredje datorenheten, vid en kontakt från en första datorenhet med den tredje datorenheten, identifierar korrekt andra datorenhet för den kontaktande första datorenheten genom den adress eller port som den första datorenheten använder vid kontakten.
Föreliggande uppfinning anvisar att det inte finns något som hindrar att använd kommunikation mellan den första och andra datroenheten är krypterad.
Enligt en föredragen utföringsform av föreliggande uppfinning utgörs det specifika protokollet av TCP-protokollet.
Den tredje datorenheten kan således översätta mellan det specifika protokollet och ett flertal andra protokoll, såsom UDP och WAP.
Föreliggande uppfinning är speciellt fördelaktig då nätverket i fråga utgörs av det globala nätverket lnternet. 20 25 30 52Û 437 4 Föreliggande uppfinning avser även två datorprogramprodukter där en första datorprogramprodukt omfattar datorprogramkod vilken, då den exekveras av en datorenhet, utför funktionerna för en tredje datorenhet enligt den uppfinningsenliga metoden och där en andra datorprogramprodukt omfattar datorprogramkod vilken, då den exekveras av en datorenhet, utför funktionerna för en andra datorenhet enligt den uppfinningsenliga metoden.
Vidare omfattar föreliggande upppfinning ett datoriäsbart medium varpå finns lagrat datorprogramkod enligt den första eller andra datorprogramprodukten.
Fördelar De fördelar som främst kan förknippas med en metod, datorprogramprodukter eller ett datoriäsbart medium enligt föreliggande uppfinning är att härigenom är det möjligt att erbjuda en tredje datorenhet, eller en Web- server, varigenom en kommunikation med en andra datorenhet, eller en företagsintern server, erbjuds med ett flertal olika första datorenheter, eller användare, enligt ett flertal olika protokoll, utan någon egentlig öppning genom använd brandvägg.
Kort figurbeskrivning En metod, datorprogramprodukter, och ett datoriäsbart medium uppvisande de med föreliggande uppfinning förknippade särdragen skall i exemplifierande syfte nu närmare beskrivas med hänvisning till bifogad ritning, där; Figur 1 schematiskt och mycket förenklat visar kommunikation via ett nätverk enligt känd teknik, Figur 2 schematiskt och mycket förenklat visar hur en andra datorenhet kommunicerar med ett flertal olika första datorenheter enligt grundprincipen för föreliggande uppfinnning, Figur 3 schematiskt och mycket förenklat visar hur en andra datorenhet kommunicerar med ett flertal olika första datorenheter enligt en utföringsform av föreliggande uppfinnning, och Figur 4 schematiskt och mycket förenklat visar hur ett flertal andra datorenhet kommunicerar med ett flertal olika första datorenheter enligt föreliggande uppfinnning. 20 25 30 U"l 'i co -ß CN \l Beskrivning av nu föredragna utföringsformer Med hänvisning till figur 1 visas således känd teknik för kommunikation mellan en första och en andra datorenhet 11, 2 via ett nätverk A, där kommunikationen sker via en tredje datorenhet 3.
För att erhålla säkerhet hos den andra datorenheten 2 finns en brandvägg 21 upprättad mellan den andra datorenheten 2 och den tredje datorenheten 3, och där all kommunikation mellan dessa datorenheter 2, 3 sker genom denna brandvägg 21.
Detta är vanligt då exempelvis den andra datorenheten 2 utgör en företagsintern server och man vill skydda sig mot intrång i företagets server och interna nätverk.
Den andra datorenheten har ett flertal anslutningar gentemot den tredje datorenheten 3 eftersom olika första datorenheter 11, 12, 13, 14 möjligen kommunicerar enligt sinsemellan olika protokoll A1, A2, A3, A4, vilket gör att dom behöver accessa den andra datorenheten via sinsemellan olika portar 41, 42, 43, 44. Detta medför även att det blir ett flertal öppningar genom den andra datorenhetens brandvägg 21, en för varje port 41, 42, 43, 44.
Figur 2 avser att illustrera föreliggande uppfinning där all kommunikation mellan den andra datorenheten 2 och den tredje datorenheten 3 sker via portar 41', 42', 43', 44' som initierats eller öppnats av den andra datorenheten 2, vilket schematiskt visas med rlktningspilar 51, 52, 53, 54 på anslutningarna mellan den andra datorenheten 2 och den tredje datorenheten 3.
Denna bestämning att den andra datorenheten 2 skall initiera eller öppna dessa anslutningar, och att inga andra anslutningar tillåts, medför att den andra datorenheten har fullständig kontroll över dessa anslutningar. En sådan anslutning kan i princip sägas gå igenom brandväggen utan att en öppning sker i brandväggen 21. Ingen första datorenhet 11, 12, 13, 14 tillåts etablera en kontakt med den andra datorenheten 2 utom via en anslutning som den andra datorenheten 2 själv har initierat eller öppnat, vilket medför att all kommunikation genom brandväggen 21 sker utan några öppningar i brandväggen.
Figur 3 avser att visa att, enligt föreliggande uppfinning, den andra datorenheten 2 endast öppnar 5 en port 4 för kommunikation med den tredje datorenheten 3, och att all kommunikation mellan den andra datorenheten 2 och 15 20 25 30 520 437 6 den tredje datorenheten 3 sker via denna enda port 4 enligt ett specifikt protokoll AS.
Enligt denna utföringsform skall den tredje datorenheten 3, i kommunikationen med den första datorenheten 11, översätta mellan det protokoll A1 enligt vilket den första datorenheten 11 kommunicerar med den tredje datorenheten 3, och det specifika protokollet As enligt vilket den tredje datorenheten 3 kommunicerar med den andra datorenheten 2.
Figur 3 visar även att ett flertal olika första datorenheter 11, 12, 13, 14 kan kommunicera med den andra datorenheten 2 via den tredje datorenheten 3, där dessa flera första datorenheter 11, 12, 13, 14 kommunicerar enligt samma eller sinsemellan olika, från varandra oberoende, protokoll A1, A2, A3, A4.
I detta fall vidarebefordrar den tredje datorenheten 3 kommunikationen från det flertalet olika första datorenheterna 11, 12, 13, 14 till den andra datorenheten via den enda porten 4 enligt det specifika protokollet As.
Figur 4 visar en utföringsform där ett flertal andra datorenheter 2a, 2b, 20 kommunicerar med sina respektive en eller flera första datorenheter 11a, 12a, 13a, 11b, 12b, 13b, 110, 120, 130 via den tredje datorenheten 3.
Varje andra datorenhet 2a, 2b, 20 har själva öppnat 5a, 5b, 50 den port 4a, 4b, 40 som används vid kommunikationen med den tredje datorenheten 3.
Enligt en föredragen utföringsform tilldelas respektive andra datorenhet 2a, 2b, 20 en ellerflera adresser eller portar 31a, 31b, 310, 32a, 32b, 320, 33a, 33b, 330 hos den tredje datorenheten 3 för mottagande av kommunikation från en ellerflera första datorenheter11a, 12a, 13a, 11b, 12b, 13b, 110, 120, 130.
Detta erbjuder möjligheten för den tredje datorenheten 3 att, vid en kontakt från en första datorenhet 12b, identifierar korrekt andra datorenhet 2b för den kontaktande första datorenheten 12b genom den adress eller port 32b som den första datorenheten 12b använder vid kontakten.
Enligt föreliggande uppfinning finns det inget som hindrar att kommunikationen mellan en andra datorenhet 2 och en ellerflera av dess första datorenheter 11, 12, 13 är krypterad. l-...:... ...Å Ix ...AR .. :4-2 .-. I ...u U-IÅ-nlif-f-.nn n H i I " E ilrgt en i ge r uu i. i i i .eirggaiide uppfmnrrm utgors det specifika protokollet As av IPSEC TCP-protokollet. Det är även möjligt att använda ett annat protokoll, såsom vanlig TCP. 15 20 320 437 7 Den tredje datorenheten 3 kan översätta mellan det specifika protokollet As och ett flertal andra protokoll, såsom UDP och WAP.
Föreliggande uppfinnning lämpar sig väl för kommunikation inom det globala nätverket Internet eftersom det förekommer många olika protokoll för kommunikation inom Internet.
Figurerna visar även mycket schematiskt att föreliggande uppfinning även avser en första datorprogramprodukt 61, vilken omfattar datorprogramkod som, då den exekveras av en datorenhet, utför funktionerna för en tredje datorenhet 3 enligt den uppfinningsenliga metoden.
Vidare avser föreliggande uppfinning en andra datorprogramprodukt 62, vilken omfattar datorprogramkod som, då den exekveras av en datorenhet, utför funktionerna för en andra datorenhet 2 enligt den uppfinningsenliga metoden.
Figur 3 visar även schematiskt att föreliggande uppfinning även avser ett datorläsbart medium 7, på vilket datorprogramkod enligt någon av den första eller andra datorprogramprodukten finns lagrad.
Uppfinningen är naturligtvis inte begränsad till de ovan såsom exempel angivna utföringsformerna utan kan öppni modifikationer inom ramen för uppfinningstanken illustrerad i efterföljande patentkrav.

Claims (12)

20 25 30 '520 437 s PATENTKRAV
1. Metod för att, via ett nätverk, erhålla en kommunikation mellan en första datorenhet och en andra datorenhet, där nämnda kommunikation sker via en tredje datorenhet, där en brandvägg är upprättad mellan nämnda andra datorenhet och nämnda tredje datorenhet, och där all kommunikation mellan nämnda andra datorenhet och nämnda tredje datorenhet sker genom nämnda brandvägg, kännetecknad därav, att all kommunikation mellan nämnda andra datorenhet och nämnda tredje datorenhet sker via portar som initierats eller öppnats av nämnda andra datorenhet.
2. Metod enligt patentkravet 1, kännetecknad av, att nämnda andra datorenhet endast öppnar en port för kommunikation med nämnda tredje datorenhet, att all kommunikation via nämnda enda port sker enligt ett specifikt protokoll, och att nämnda tredje datorenhet, l kommunikationen med nämnda första datorenhet, översätter mellan det protokoll enligt vilket nämnda första datorenhet kommunicerar med nämnda tredje datorenhet och nämnda specifika protokoll enligt vilket nämnda tredje datorenhet kommunicerar med nämnda andra datorenhet.
3. Metod enligt patentkravet 2, kännetecknad därav, att ett flertal olika första datorenheter kommunicerar med nämnda andra datorenhet via nämnda tredje datorenhet, att nämnda flera första datorenheter kommunicerar enligt samma eller sinsemellan olika, från varandra oberoende, protokoll, och att nämnda tredje datorenhet vidarebefordrar den från ett flertal olika första datorenheter kommunikationen till nämnda andra datorenhet via nämnda enda port enligt nämnda specifika protokoll.
4. Metod enligt patentkravet 1, 2 eller 3, kännetecknad därav, att ett flertal andra datorenheter kommunicerar med sina respektive en eller flera första datorenheter via nämnda tredje datorenhet.
5. Metod enligt patentkravet 4, kännetecknad därav, att respektive andra datorenhet tilldelas en eller flera adresser eller portar hos nämnda tredje 15 20 25 30 (fl Mi S: -ß 'l “\'.'l 9 datorenhet för mottagande av kommunikation från en eller flera första datorenheter, och att, vid en kontakt från en första datorenhet med nämnda tredje datorenhet, nämnda tredje datorenhet identifierar korrekt andra datorenhet för den kontaktande första datorenheten genom den adress eller port som nämnda första datorenhet använder vid nämnda kontakt.
6. Metod enligt något av föregående patentkrav, kännetecknad därav, att nämnda kommunikation är krypterad.
7. Metod enligt något av patentkraven 2 till 6, kännetecknad därav, att nämnda specifika protokoll utgörs av TCP-protokollet.
8. Metod enligt något av patentkraven 2 till 7, kännetecknad därav, att nämnda tredje datorenhet översätter mellan nämnda specifika protokoll och ett flertal andra protokoll.
9. Metod enligt något av föreliggande patentkrav, kännetecknad därav, att nämnda nätverk utgörs av det globala nätverket Internet.
10. En första datorprogramprodukt, kännetecknad därav, att nämnda första datorprogramprodukt omfattar datorprogramkod vilken, då den exekveras av en datorenhet, utför funktionerna för en tredje datorenhet enligt något av patentkraven 1 till 9.
11. datorprogramprodukt omfattar datorprogramkod vilken, då den exekveras av en En andra datorprogramprodukt, kännetecknad därav, att nämnda andra datorenhet, utför funktionerna för en andra datorenhet enligt något av patentkraven 1 till 9.
12. Ett datorläsbart medium, kännetecknat därav, att på nämnda datorläsbara medium finns lagrat datorprogramkod enligt något av patentkraven 10 och 11.
SE0101007A 2001-03-22 2001-03-22 Metod för minimering av antalet öppningar i en brandvägg belägen mellan ett privat och ett offentligt nätverk SE520437C2 (sv)

Priority Applications (2)

Application Number Priority Date Filing Date Title
SE0101007A SE520437C2 (sv) 2001-03-22 2001-03-22 Metod för minimering av antalet öppningar i en brandvägg belägen mellan ett privat och ett offentligt nätverk
PCT/SE2002/000556 WO2002078267A1 (en) 2001-03-22 2002-03-21 A method of communication between a first computer device and a second computer device; via a third device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
SE0101007A SE520437C2 (sv) 2001-03-22 2001-03-22 Metod för minimering av antalet öppningar i en brandvägg belägen mellan ett privat och ett offentligt nätverk

Publications (3)

Publication Number Publication Date
SE0101007D0 SE0101007D0 (sv) 2001-03-22
SE0101007L SE0101007L (sv) 2002-09-23
SE520437C2 true SE520437C2 (sv) 2003-07-08

Family

ID=20283479

Family Applications (1)

Application Number Title Priority Date Filing Date
SE0101007A SE520437C2 (sv) 2001-03-22 2001-03-22 Metod för minimering av antalet öppningar i en brandvägg belägen mellan ett privat och ett offentligt nätverk

Country Status (2)

Country Link
SE (1) SE520437C2 (sv)
WO (1) WO2002078267A1 (sv)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7631351B2 (en) * 2003-04-03 2009-12-08 Commvault Systems, Inc. System and method for performing storage operations through a firewall

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7143438B1 (en) * 1997-09-12 2006-11-28 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with multiple domain support

Also Published As

Publication number Publication date
SE0101007D0 (sv) 2001-03-22
SE0101007L (sv) 2002-09-23
WO2002078267A1 (en) 2002-10-03

Similar Documents

Publication Publication Date Title
Woodyatt Recommended Simple Security Capabilities in Customer Premises Equipment (CPE) for Providing Residential IPv6 Internet Service
US7782902B2 (en) Apparatus and method for mapping overlapping internet protocol addresses in layer two tunneling protocols
US7822970B2 (en) Method and apparatus for regulating access to a computer via a computer network
US8601567B2 (en) Firewall for tunneled IPv6 traffic
US20020133594A1 (en) Handling state information in a network element cluster
US20030149766A1 (en) Firewall configuration validation
US8364847B2 (en) Address management in a connectivity platform
US20160149748A1 (en) Network address translation
CA2761983A1 (en) Method and apparatus to permit data transmission to traverse firewalls
WO2007087298A2 (en) Method and apparatus for accessing web services and url resources
US10795717B2 (en) Hypervisor flow steering for address sharing
JP2009177841A (ja) ネットワーク装置及びその管理方法
WO1999012298A3 (en) Arrangement in a data communication system
KR20060028390A (ko) 다수의 네트워크가 인증되어 서로 통신하고 있는지와 이들 네트워크들 중 두 개로 이루어진 각 조합 간의 통신을 위해 어떤 ip 프로토콜이 사용되는지를 결정하는 방법 및 시스템, 컴퓨터 판독가능 저장 매체
Wool The use and usability of direction-based filtering in firewalls
CN112769850B (zh) 网络报文过滤方法、电子设备及存储介质
WO2002069566A2 (en) Proxy-less packet routing between private and public address realms
EP1425880B1 (en) Network application association
KR101323852B1 (ko) 공용 보안 정책을 기반으로 하는 가상 방화벽 시스템 및 그제어방법
SE520437C2 (sv) Metod för minimering av antalet öppningar i en brandvägg belägen mellan ett privat och ett offentligt nätverk
EP2232810B1 (en) Automatic proxy detection and traversal
SE520393C2 (sv) Metod för kommunikation genom brandvägg
US7715326B2 (en) Webserver alternative for increased security
Cisco Configuring IP Session Filtering (Reflexive Access Lists)
Cisco Configuring IP Session Filtering (Reflexive Access Lists)

Legal Events

Date Code Title Description
NUG Patent has lapsed