TWI323116B - System and computer program product for managing a security policy for a multiplicity of networks - Google Patents
System and computer program product for managing a security policy for a multiplicity of networks Download PDFInfo
- Publication number
- TWI323116B TWI323116B TW093115708A TW93115708A TWI323116B TW I323116 B TWI323116 B TW I323116B TW 093115708 A TW093115708 A TW 093115708A TW 93115708 A TW93115708 A TW 93115708A TW I323116 B TWI323116 B TW I323116B
- Authority
- TW
- Taiwan
- Prior art keywords
- network
- networks
- combination
- possible combinations
- allowed
- Prior art date
Links
- 238000004590 computer program Methods 0.000 title claims 2
- 238000004891 communication Methods 0.000 claims abstract description 39
- 230000007123 defense Effects 0.000 claims 1
- 238000000034 method Methods 0.000 abstract description 11
- 238000013475 authorization Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000012552 review Methods 0.000 description 3
- XEEYBQQBJWHFJM-UHFFFAOYSA-N Iron Chemical compound [Fe] XEEYBQQBJWHFJM-UHFFFAOYSA-N 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 238000010586 diagram Methods 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 229910052742 iron Inorganic materials 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000001568 sexual effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012549 training Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Business, Economics & Management (AREA)
- Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Maintenance And Management Of Digital Transmission (AREA)
- Communication Control (AREA)
Description
1323116 九、發明說明: 【發明所屬之技術領域】 本發明大體而言係關於電腦網路間之通訊,且更具 言,本發明涉及一種用於判定哪些網路被授權相互通:而 基於網路組態應將哪些〇>協定用於通訊之系統及方法。°及 【先前技術】 通訊自一網路流向另一網路,且每一網路之通訊開道器 通常是一防火牆或路由器。防火牆包括篩選出不需要之訊 息的過濾器及路由器。存在不同類型的網路。例如,可= 存在一用於在企業内區域通訊的企業内部網路。假定企業 内部網路的所有使用者是可信賴的’因為其都為相同企業 工作。因此’通常在企業内部網路内存在相對少的安全性 關注。然而,時常地,企業内部網路的使用者要與位於該 企業内部網路外另一網路之另一實體通訊。因為該另一實 體可能並不為該企業工作,且該另一網路不在該企業的控 制下,所以不能徹底信任此另一實體及網路。因此,可將 防火牆安裝在企業内部網路的閘道器上。防火牆負責對傳 入之通訊加強安全性策略。此安全性策略可定義允許企業 内部網路與哪些類型之網路進行通訊及允許哪些協定用於 通訊。 例如’防火牆可僅允許與企業之"非武裝區域 (Demilitarized Z0ne),•或"DMZ”進行通訊(若有的話)。企業 DMZ包括由企業所提供並管理但不含有敏感資料或僅其複 本之祠服器及其他相關裝置。因此’若企業Dmz中伺服器
93482.d〇C -5- 1323116 受到來自另一網路之通訊的破壞,其損害是可修復的。而 且,企業DMZ中對伺服器及相關裝置之管理允許企業在企 業DMZ内採取安全性措施。可授權企業DMZ直接或者藉由 另一企業之另一 DMZ與不受信任的網路進行通訊。亦可能 將企業内部網路藉由其防火牆直接連接至一或多個不受信 任的網路,並依賴企業内部網路之防火牆提供安全性《較 不安全之其他類型的網路無防火牆。相反,其藉由路由器 直接連接至其他網路。 最通用的協定是TCP、UDP及ICMP。每一協定包含額外 標準,例如由TCP及UDP對某些類型之請求所使用之埠範 圍,及ICMP之類型及程式碼。TCP及UDP埠指示接收裝置 中哪個應用程式應提供所請求之服務。在某些情況下,需 要為某些類型之通訊限制埠範圍。對埠範圍之限制促進了 對所請求之服務的處理。例如,寫入許多程式以打開任何 可用TCP或UDP埠。以此方式使得使用該埠之應用程式的識 別變得困難。在某些此等情況下,可限制可用於該等應用 程式之埠範圍以協助識別哪個應用程式在使用該埠。較佳 地,某些網路不與使用不同範圍之TCP或UDP埠的另一網路 進行通訊。而且,某些網路可能不希望接收某些類型的 ICMP訊息。例如,某些目標網路因可能不信任發送"路徑 改址(route redirect)"之裝置而可能不希望處理"路徑改址" 訊息。此外,某些協定比其他協定更可控制。例如,TCP 為每一通訊提供"訊號交換(handshaking)",而UDP卻沒有。 因此,TCP比UDP更可控制,且因此某些網路較佳不接收 93482.doc -6- 1323116 UDP通訊。 不同技術已用來判定藉由防火牆或路由器而連接的兩網 路是否被授權相互通訊及哪些協定(包含額外標準)被授權 用於通訊。例如,若一外部網路之系統管理員需要穿越其 防火牆或路由器而藉由企業之防火牆與企業進行通訊,則 外㈣路之管理員可簡單地將其組態資訊發送至企業之系 統官理員。此組態資訊可包含外部網路的類型及其支持之 協定(包含用於每-協定之額外標準)。接著,企業之系統管 理員手動地審查組.4資訊並判定此外部網路是否應被允許 藉由企業之防火牆與企業進行通訊,且若這樣,則判定需 使用何種IP協定。乡系統管理員根據公司策略相信所請求 之流是可接受的,則系統管理員更新企業之防火牆令的檔 案以允許其以指定的IP協定(包含額外標準)與外部網路進 行通訊。同樣地’外部網路之系統管理員將更新其防火牆 或路由器中的檔案’以允許其以指定的IP協定(包含額外標 準)接收來自企業網路之通訊。 通常每一年(有時根據公司策略會更頻繁),必須核對所 有過濾規則以保證其仍符合公司策略。傳統上,這是由系 統管理員或對防火牆之曰常操作外之人員(例如安全性管 理員)手動完成的。系統管理員或安全性管理員審查每一防 火牆規則,以確定每一 IP位址的網路類型並保證防火牆中 所組態之流根據公司策略是可接受的。雖然此技術是有效 的"疋其而要對來自通訊所需之每一網路之組態資訊進 行冗長乏味的人工審查,且可存在許多此等網路。而且, 93482.doc 1323116 其集中檢查指定通訊之容許性’而非判定所有潛在的所允 許之通訊。而且,經常改變網路之路由器及防火牆,且這 可能需要重複系統管理員或安全性管理員間之前述交互作 用。 存在另一判定藉由防火牆或路由器而連接的兩個網路是 否被授權相互通訊及何種協定(包含額外標準)被授權用於 通訊之技術。根據此技術’使一封包產生器定位於一被檢 查與其他網路之相容性之起源網路的防火牆或路由器内。 該封包產生器將一組通訊封包發送至網路上,但較佳發送 至一空閒的ip位址。除起源網路所支持之通訊封包,每一 組通訊封包具有不同IP協定(具有不同額外標準)。一"嗅探 器·•剛好定位於起源網路的防火牆或路由器外部並記錄所 產生的被允許通過起源網路之防火牆或路由器的封包。基 於由臭探窃所S己錄之封包的存在或不存在,可產生關於 防火牆或者路由器允許何種通訊經過的報告。接著,將該 報告與公司安全性標準進行比較。雖然此技術部分地是自 動化的,但是其給網路帶來需處理許多通訊封包之負擔。 而且,其並不將目標網路的類型考慮作一用於判定起源網 路是否應允許通訊之標準;一旦已手動地產生報告,其仍 留作為一手動任務。其他關注在於公司安全性標準經常改 變。 因此,本發明之一般目的係提供一用於判定哪些類型之 網路可相互通訊及哪些„>協定可用於該通訊之技術。 本發明之一更特定目的係提供至少部分地自動化的前述 93482.doc -8- 1323116 類型之技術。 【發明内容】 本發明存在於_用於判^多重網路是否被授權相互通訊 及何種㈣定可用於料網路中兩個網路之每—组合間之 通訊的技術。對每―網路…電腦可讀㈣庫儲存以下紀 錄:⑷被允許與該每一網路使用之IP協定(或多個㈣π 及⑻被允許與該每—網路進行通訊之其他網路類型。對該 每-網路’-電腦可讀資料庫儲存由用於該每—網路之: 別防火牆:路由器所允許之目標及源網路與㈣定之紀 錄。對該每一網路,一電腦可讀資料庫儲存該每一網路類 型的紀錄。自動識別網路之多個組合。每一組合包括一源 網路及-目標網路。對每一組合’基於該等紀錄,自動判 定該組合中每一網路是否被允許與該組合中另一網路進行 通訊及何種IP協定(或多個1]?協定)通用於該組合中該等兩 網路。 根據本發明之一特徵,„>協定與目標及源網路之紀錄包 括IP協定與目標及源位址之紀錄。每_網路類型之紀錄包 括一使目標位址與個別網路類型相關聯及使源位址與個別 網路類型相關聯之表格。 【實施方式】 現在詳細參看圖式,其中類似的參考數字指示類似的元 件,圖1說明由連接性網路20互連之四個網路11-14。圖!除 下文描述之安全性檢查程式70及關聯表格71外均為先前技 術。網路11及12共用位於其與連接性網路20之間的防火牆 93482.doc -9- 1323116 21 °網路13具有位於其與連接性網路2〇之間的路由器23。 網路14具有位於其與連接性網路2〇之間的防火牆24。防火 牆21防火牆24及路由器23在先前技術中亦為吾人所知。 舉例而言,網路11是一企業内部網路,網路12是網路丨丨之 DMZ’網路13自網路u之觀點而言,是一不受信任的網路; 及網路14自網路11之觀點而言,是一不受信任的網路。舉 例而言,網路14是全球資訊網,且網路丨3是第三方用戶網 路。然而,本發明可用於各種網路。而且,舉例而言,連 籲 接性網路包括局部區域網路(LAN)、廣域網路(WAN)或虛擬 私人網路(VPN)。然而’連接性網路2〇之性質與本發明無 關。網路11包括一伺服器32及使用者工作臺3〇、31以及一 執行安全性檢查程式70之網路管理器工作臺34。網路12包 括一伺服器42及用於”幫助台"(help desk)之使用者工作臺 40、41。網路13包括使用者工作臺5〇、51及一伺服器52。 網路14包括使用者工作臺60、61及一伺服器62。然而,每 一網路内工作臺之配置除於網路丨丨内提供網路管理台以執 儀 行安全性檢查程式及網路支持之卩協定範圍外與本發明無 關。 在防火牆21後之企業内部網路11内之網路管理器工作臺 34處執行安全性檢查程式70。網路管理器34藉由防火牆21 與DMZ網路12進行通訊,並藉由DMZ網路12及連接性網路 20與網路13及14進行通訊。DMZ網路12藉由防火牆21、連 接性網路20及路由器23與網路13進行通訊。DMZ網路12藉 由防火牆2卜連接性網路20及防火牆24與網路14進行通訊。 93482.doc -10- 1323116 圖2是說明安全性檢查程式7〇内初始化功能68的流程 ®初始化功能之目的是建置一資料結構,該資料結構代 表用於每網路11 · i 4之安全性策略 '每一網路H斗之類型 及被允許通過每一網路之防火牆或路由器的ιρ協定。每一 網路之安全性策略"是該網路可與哪些類型的其他網路通 訊及可使用哪些IP協定之定義。下文參照圖3⑷及3(b)所描 述之安全性程式70的剩餘部分1〇〇接著使用該資料結構來
判疋哪些網路被授權相互通訊及哪些ιρ協定(包含額外標 準)應用於通訊。下文對安全性檢查程式7()之詳細描述同樣 施加於所有"網路物件",意即網路、子網路或主機類型之 每一網路,即使在所說明之流程圖及其詳細描述中,可僅 僅描述"網路·’。
初始化功能68如下操作。首先,功能68查找一安全性策 略(步驟72>此策略可能已儲存於由系統管理員所產生之檔 案内或可由系統管理員在執行初始化功能之前手動地加 入。通常,系統官理員負責所有正由初始化功能所審查之 網路(如網路11-14)間的通訊並具有該等網路之1?組態的某 知識。用於每一網路之安全性策略檔案定義了根據備有證 明文獻的公司安全性策略允許與該每一網路進行通訊之其 他網路類型(例如”企業内部網路"、"DMZ”、"用戶,,及"網際 網路"),以及每一網路類型間所允許之通訊/協定類型。系 統官理員亦需要用於網路1M4之路由器或防火牆的本文 組態資訊。用於每一路由器或防火牆之本文組態資訊包含 源IP位址、目標IP位址、IP協定及由路由器或防火牆所允許 934g2.doc -11 · 1323116 之蟑及類型。"源IP位址"是可藉由路由器或防火牆發送封 包之該等網路的IP位址,而"目標IP位址"是可接收藉由路由 器或防火牆所發送之封包之該等網路的IP位址。儲存在本 文組態檔案内每一路由器或防火牆之"IP協定"是為源IIMi 址與目標IP位址間每一通訊所支持的IP協定。系統管理員 在運行初始化功能之前使用路由器或防火牆之預設通訊方 法(及視需要可為協定)以獲取用於路由器或防火牆之本文 組態檔案。 若已知一安全性策略(決策74),則將其裝載入功能68中 (步驟76)。否則,功能68創建一不允許與任何其他網路進行 通訊之預設安全性策略(步驟78)<>系統管理員接著選擇為在 調查下之網路裝載一安全性策略檔案或創建一供使用之安 全性策略檔案(步驟79)。接著,功能68提示系統管理員為防 火牆或路由器加入或裝載上述用於防火牆或路由器的組態 資訊(步驟80)。(步驟80·250對每一防火牆或路由器均重複。) 然後,將防火牆或路由器組態裝載入功能68中(步驟82)。接 著,功忐68創建一代表前述安全性策略及Ιρ組態的資料結 構(步驟84)。接著,功能68判定是否存在一識別用於已知= 路物件之網路類型的檔案(決策86)。此檔案將網路u_i42 IP位址映射至安全性策略檔案中所定義的網路類型。在所 說明之實例中,可能的類型是源及/或目標,,企業内部網路 ’’、源及/或目標"DMZ"與源及/或目標"不受信任之"網路。 若已先前儲存了網路類型,則功能68裝载定義(步驟88)。否 則,系統管理員將需要即時加入資訊(步驟9〇)。接著,將圖 934S2.doc -12- 1323116 2之步驟中所收集之前述資訊(意即,每一網路物件之抒位 址,其中"網路物件"根據其映射至安全性策略可為網路、 子網路或主機類型之每一網路)儲存在一網路物件資料結 構中(步驟92)。 圖3(a)及(b)根據本發明形成一說明安全性檢查程式”内 安全性檢查功能100之流程圖。安全性檢查功能ι〇〇亦由系 統管理員在網路管理器工作臺34上運行。在運行初始化功
能68之後運行安全性檢查功能1〇〇。安全性檢查功能⑽之 目的是比較每-網路物件之^義與用於每—其他可能的通 訊夥伴(partner)之每-其他網路物件之定義,以判定通訊是 否被授權及若被授權,則判定哪些協定被授權。在授權表 格71中記錄了該等授權。
安全性檢查功能100以識別每一可能的"源”網路物件( 即’被發送至"目標"網路之通訊的每一可能源)開始(步 1〇2)。然後,安全性檢查功能1_定此源網路物件是否 有如上述圖2中所描述之定義的網路類型(決策I⑸)。 無’則將此源網路物件在網路物件資料 ,御1♦再次參看決策若已定義了源網lit ^100^ ^ ^ ^ 108>0 ^ ^ -^1 100識別母—可能的,,目標••網路物物即,用於來自源網, 之通訊的每-可能目標)(步驟120)。㈣,安全性檢 2識別此目標網路物件以具有如上述圖2中所料之2 義的網路類型(決策124)。若無,則將 路物件嶋射料"未知"_26)。若 = 93482.doc -13- 1323116 性檢查功能100使用此定義(步驟128)。 對源網路物件及目標網路物件之每—可以合 檢查功能⑽基於由功能所68創建之網路定義操作如下:安 全性檢查功能100判定源網路物件類型及目標網路物件類 型是否如上述圖2所定義(決策142)。若源或目標網路任一& 有效定義的類型,則將其作為錯誤記錄在表格71中(步驟 143)。該表格具有用於源網路及個別目標網路之每一組合 的』條目再參看決朿142,若在定義中已定義了兩 路,則安全性檢查魏丨_定組合之每—㈣是否被允許 與該組合之另一網路進行任付搞 仃任仃通訊,意即兩種類型之網路 是否相=步驟叫若不是,則在表格中記錄一錯誤(步驟 145)’且安全性檢查功能循環回至步驟12〇。若是,則安全 性檢查功能1〇〇檢查TCP是否被定義為一用於每一组人 源網路與個別目標網路中每一 ° t母馮路之支持ΙΡ協定(決策
147)。若防火牆並未具有為該源/目標㈣組合MR tcp流,則功能⑽移動至決策•若^義了 Tcp流則功 能100散源網路與其個別目標網路類型兩者是否 用TCP(決策148)。若不允許,則為源網路及目標網路之該 組合將錯誤記錄人表格巾(步驟15()卜若允許,則功能⑽ 為所允許之TCP埠檢查源網路與目標網路兩者之安全 略(步驟152),以判定TCP料是否與兩者策略均符合(決策 154”若不符合,則功能1〇〇將在表格令記錄一錯誤(步驟 ⑽卜若符合’則功能_循環回至步驟152以分析當前源 及目標網路流_下一 TCP蟑。 93482.doc -14· 1323116 在對所有TCP組合分析了關於TCP源埠之一致性之後,功 能100對TCP目標埠執行類似檢查。因此,功能100為TCP 目標埠檢查每一組合之源網路物件與個別目標網路物件兩 者之安全性策略(步驟170),以判定TCP目標埠是否符合策 略(決策172>若不符合,則功能100在表格中記錄一錯誤(步 驟176)。若符合,則功能100循環回至步驟170以分析當前 源網路及目標網路組合中下一 TCP目標埠。 在以此方式已對當前源及目標網路組合之TCP埠分析之 後,功能100檢查UDP流是否已在用於當前源網路物件及目 標網路物件之防火牆或路由器組態中被組態(步驟1 80)。若 防火牆無任何為此源及目標網路組合所定義的UDP流,則 功能100移動至決策210。若組態了 UDP流,則功能100判定 UDP流是否由每一組合之源網路與目標網路中每一網路所 允許(決策184)。若不允許,則功能100在表格中記錄一錯誤 (步驟186)並繼續進行至決策210。若允許UDP流,則功能100 為每一 UDP源埠檢查源網路與目標網路之安全性策略(步 驟188),以判定UDP源埠是否符合策略(決策190)。若不符 合,則功能100在表格中記錄一錯誤(步驟192),並接著循環 回至步驟188以分析當前源及目標網路組合之下一 UDP源 埠。若符合,則功能100循環回至步驟188以分析當前源網 路及目標網路組合中下一 UDP源埠。 在對所有UDP組合分析了關於UDP源埠之一致性之後, 功能100對UDP目標埠執行類似檢查。功能100為每一 UDP 目標埠檢查源網路物件與目標網路物件兩者之安全性策略 93482.doc -15- 1323116 (步驟202),以判定當前源網路及目標網路之UDP目標埠是 否符合策略(決策204)。若不符合,則功能100在表格中記錄 一錯誤(步驟206),並接著循環回至步驟202以分析當前源網 路及目標網路組合之下一 UDP目標埠。若符合,則功能100 循環回至步驟202以分析當前源網路及目標網路組合之下 一 UDP目標琿。 在已對所有當前源網路/目標網路組合之UDP目標埠分 析關於與個別組合中兩網路之安全性策略的一致性後,功 能100檢查路由器或防火牆是否具有為當前源網路及目標 網路物件組合所定義之ICMP流(決策210)。若路由器或防火 牆無任何所組態之ICMP流,則功能100移動至決策240。若 定義了 ICMP流,則功能100判定ICMP流是否由當前組合之 源網路物件及目標網路物件所允許(決策214)。若不允許, 則功能100在表格中為該個別組合記錄一錯誤(步驟216)。若 定義了 ICMP流,則功能100為當前組合之源網路及目標網 路檢查ICMP類型(步驟218),並接著為當前組合之源網路及 目標網路檢查ICMP程式碼(步驟220),以判定其是否與當前 組合之源節點及目標節點之安全性策略符合(決策230)。若 不符合,則功能100將在表格中記錄一錯誤(步驟232),並循 環回至步驟220以分析下一程式碼。當對每一類型檢查了所 有程式碼時,其循環回以分析下一程式碼(步驟218)。 接著,功能100檢查當前源網路物件及個別目標網路物 件,以判定是否定義了任何其他IP協定(決策240)。若未定 義其他IP協定,則功能100循環回以分析下一目標網路(步 93482.doc -16- 1323116
驟120)。若纟且態了其他IP協定,則功能1 〇〇判定策略是否允 許用於當前源網路及目標網路之另一如此定義的Ip協定 (決策242)。若不允許,則功能1〇〇在表格中記錄一錯誤(步 驟244) ’並循環回以分析下一目標網路(步驟12〇)。若安全 性策略允許用於當前源網路及目標網路組合之其他Ip協定 (步驟246),則功能100判定其他定義的Ip協定中之一是否由 當前源網路及目標網路組合之安全性策略所允許(步驟 248)。若不允許其他ip協定,則功能1〇〇在表格中記錄一錯 誤(步驟250)並接著循環回至步驟246。 接著,功能100循環回至步驟120,為下一目標網路重複 所有後繼步驟。當已分析了所有目標網路時,功能1〇〇循環 回至步驟102以分析下一源網路,重複功能中所有後繼步 驟。
在執行了圖3⑷及⑻中所說明之所有前述步驟後,對竭 網路物件與目標網路物件組合及Ip協定(包含額外標準)之 每一組合,表格中不存在錯誤指示對此通訊之授權。铁後 :網路物件資料結構儲存在網路定義檔案中(步驟3〇〇)。接 者,可將表格71發送至每—網路的系統管理員(步驟训), 以相應地更新他或她的網路之防火牆或路由器(步驟逝卜 在每-網路上可顯示表格内之錯誤,因此網路上的中央系 統管理員必要時可校正或改變網路之安全性策略、心能 或網路類型。若作^何㈣◎,料將 = u之系運行安純檢查㈣7g。 路 基於别述内今’已揭示了用於自動檢查與網路安全性策 93482.doc -17- 1323116 略之一致性的系統及方法。然而,可 鳴的情況下進行許多修改及替代。例如偏離本發明之範 網路兩者之分析循環過所有U之網路,=為源及目標 僅八分析所定義的源網路並接著 僅刀析組態之目標網路。因此,已 干了…B u匕已說明性而非限制性地揭 =本發明’且應參考下文申請專利範圍以判定本發明之 【圖式簡單說明】 圖1疋可使用本發明之多個互連網路的方塊圓,並包含〆 根據本發明執行一安全性檢查程式的網路管理器。 圖2是說明圖丨中安全性檢查程式之初始化部分之操作的 流程圖。 圖3(a)及(b)形成說明圖1中安全性檢查程式之另一安食 性檢查部分之操作的流程圖。 【主要元件符號說明】 11-14 網路 20 連接性網路 21 防火牆 23 路由器 24 防火牆 30 使用者工作臺 32 伺服器 34 網路管理器工作臺 40 使用者工作臺 93482.doc -18 - 1323116 42 70 71 伺服器 安全性檢查程式 表格
93482.doc -19-
Claims (1)
1323116 Οβ:- 9. 〇 8- 年月曰修正替換頁 第093115708號專利申請案 中文申請專利範圍替換本(98年9月) 十、申請專利範圍: 1. 一種用於管理多重網路之一安全性政策的系 包括: 統,該系統 對每一該等多重網路,用於記錄⑷每一該網路之—類 型、⑻每一該網路係一來源及/或一目標網路及⑷該每 一網路所支持之(多個)ΙΡ協定的一清單之構件; 對母-该網路,用於記錄每一該網路之一防火牆對其 組態之多健允許的訊息流之構件,每—經允許的該等 訊息流包括IP協定、目標網路及來源網路之一組合; 用於自動識別該多重網路之多個可能組合之構件,其 中每一該等可能組合包括一來源網路及一目標網路;- 用於基於每—該網路之一類型而自動判定該等可能組 合之一子集合之構件,該子集合中每—該等可能組合包 括兩個網路,其被允許基於該兩個網路之各自的該類型 而相互通訊; 對於該子集合中的每一該等可能組合,用於自動判定 ()那個(那些)Ip協定被該子集合中每—該可能組合中 的該等網路所支持、及(b)該子集合中的每—該可能組合 L等凋路之各自的防火牆是否允許具有被該子集合中 的每-該可能組合中該等網路所支持之IP協定的訊息流 之構件;以及 基於兩者自動判定構件之判定,用於自動判定該等多 路之那些組合包括(a)基於該等多重網路之每一組合 的周路類型而有權相互通訊且(b)可以基於被該等多重 93482-980908.doc 2. ~~9. 0 8 年月曰修正 替換買 網路之每一組合中的網路所支持的IP協定及透過該等多 重網路之每一組合中的網路之(一或多個)防火牆的經允 。午的訊息流而相互通訊之網路之構件。 如申請專利範圍第1項所述之系統,其中被該等多重網路 所支持的該(該等協定包括TCP及UDP。 3. 4. 5. 6. 如申請專利範圍第2項所述之系統,其中 被該等多重網路所支持的該(該等)IP協定也包括 ICMP ;且 對於邊子集合中的每一該可能組合,用於自動判定 哪個(哪些)IP協定被該子集合中每一該可能組合中的該 等網路所支持、及(b)該子集合中的該每一可能組合中該 等網路之各自的防火牆是否允許具有被該子集合中的該 母—可能組合中該等網路所支持之ιρ協定的訊息流之構 件包含用於比較多個ICMp碼及該子集合中每一該可能組 合中的該等網路之類型之構件。 如申清專利範圍第3項所述之系統,其中所有該等構件存 在於在經k任的該網路上之一電腦中。 =申請專利範圍第i項所述之系統,其中該等多重網路之 多個該可能組合包括該等多重網路之所有可能組合。 如申請專利範圍第1項所述之系統,其中: 該等多 型;且
一未經信任類 e該經信任類型之網路被允許與該經信任類型之網路通 «fl Y一不被允許與該未經信任類型之網路通訊。 93482-980908.doc 1323116 1 抓 y. 0 8 1年月曰修正替換頁 7. 一種用於管理多重網路之一安全 〇, , ^ 政朿的電腦程式產 °亥電腦私式產品包括: 一電腦可讀取儲存媒體; 第一程式指令,對於每一該 -^ „ 里,·周路’用以記錄(a) 母一忒;路之—類型、(b)每一 -目俨 ^ ^路疋否係-來源及/或 定之Γ清單 —該網路所支持的(多個)IP協 第二程式指令,對於每一該網路,用以記錄一每一古玄 網路之—防火牆對其組態之多個經允許的訊息流 經允許的該等訊息流包括Ip 日铩網路、及來源網路 之一組合; 第三程式指令, 能組合,其中每一 標網路; 用以自動識別該等多重網路之多個可 該等可能組合包括一來源網路及一目 第四程式指令,基於每一該纲故_★ # ^ 茨,·周路之一類型,用以自動 判疋该專可能纟且合之—隹_人 月b、,且口之子集合,該子集合中每一該等可 能組合包括兩個網路,其被允許基於該兩個網路之各自 的該類型而相互通訊; 第五程式指令,對於該子集合中的每一該等可能組 合’用以自動判定⑷哪個(哪些)Ip協定被該子集合中 每一該可能組合中的該等網路所支持及(b)該子集合中 的每-該可能組合中該等網路之各自的防火踏是否允許 具有被該子集合中的每—該可能組合中該等網路所支持 之IP協定的多個訊息流;以及 93482-980908.doc 1323116 Θ8γ-9γ-^8- 年月曰修正替換頁 人第六程式指令,基於該第四程式指令及該第五程式指 7之判疋’用以自動判定該等多重網路之哪些組合包括⑷ 權基於η亥專^重網路之每一組合内的多個網路類型而 ,互通訊且(b)可以基於被該等多重網路之每一組合中的 夕個網路所支持的多個ip協定及透過該等多重網路之每 組合中的網路之(一或多個)防火牆的經允許的訊息流 而相互通訊之網路;且其中 該第一、第二 '第三、第四、第五、及第六程式指令 係記錄於該媒體。 士申清專利範圍第7項所述之電腦程式產品,其中被該等 夕重網路所支持的該(該等)IP協定包括TCP及UDP。 93482-980908.doc
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/464,006 US7318097B2 (en) | 2003-06-17 | 2003-06-17 | Security checking program for communication between networks |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW200509639A TW200509639A (en) | 2005-03-01 |
| TWI323116B true TWI323116B (en) | 2010-04-01 |
Family
ID=33517190
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW093115708A TWI323116B (en) | 2003-06-17 | 2004-06-01 | System and computer program product for managing a security policy for a multiplicity of networks |
Country Status (11)
| Country | Link |
|---|---|
| US (2) | US7318097B2 (zh) |
| EP (1) | EP1639781B1 (zh) |
| JP (1) | JP4493654B2 (zh) |
| KR (1) | KR100843537B1 (zh) |
| CN (1) | CN100591072C (zh) |
| AT (1) | ATE423422T1 (zh) |
| CA (1) | CA2525343C (zh) |
| DE (1) | DE602004019529D1 (zh) |
| IL (1) | IL172516A0 (zh) |
| TW (1) | TWI323116B (zh) |
| WO (1) | WO2004114622A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI509456B (zh) * | 2014-03-31 | 2015-11-21 | Ibm | 電腦裝置以及與電腦裝置通訊連結的安全性管理裝置 |
Families Citing this family (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8543710B2 (en) * | 2004-03-10 | 2013-09-24 | Rpx Corporation | Method and system for controlling network access |
| US8250229B2 (en) * | 2005-09-29 | 2012-08-21 | International Business Machines Corporation | Internet protocol security (IPSEC) packet processing for multiple clients sharing a single network address |
| GB2433180B (en) * | 2005-12-09 | 2008-01-30 | Oracle Int Corp | Communications method |
| EP1969876B1 (en) * | 2005-12-30 | 2013-02-13 | Telecom Italia S.p.A. | Method of selecting a radio access among different radio communications technologies |
| US8024787B2 (en) * | 2006-05-02 | 2011-09-20 | Cisco Technology, Inc. | Packet firewalls of particular use in packet switching devices |
| JP4333736B2 (ja) * | 2006-12-19 | 2009-09-16 | 村田機械株式会社 | 中継サーバおよびクライアント端末 |
| US8340090B1 (en) | 2007-03-08 | 2012-12-25 | Cisco Technology, Inc. | Interconnecting forwarding contexts using u-turn ports |
| US8291483B2 (en) * | 2007-04-30 | 2012-10-16 | Hewlett-Packard Development Company, L.P. | Remote network device with security policy failsafe |
| US7856522B2 (en) | 2007-05-16 | 2010-12-21 | Oracle International Corporation | Flash-aware storage optimized for mobile and embedded DBMS on NAND flash memory |
| FR2924552B1 (fr) * | 2007-11-30 | 2009-11-20 | Thales Sa | Procede de securisation d'un canal bidirectionnel de communication et dispositif de mise en oeuvre du procede |
| US8539545B2 (en) * | 2010-07-22 | 2013-09-17 | Juniper Networks, Inc. | Domain-based security policies |
| US8560833B2 (en) * | 2010-10-29 | 2013-10-15 | Aruba Networks, Inc. | Automatic secure client access |
| US9544293B2 (en) | 2013-09-20 | 2017-01-10 | Oracle International Corporation | Global unified session identifier across multiple data centers |
| US10560975B2 (en) | 2014-04-16 | 2020-02-11 | Belkin International, Inc. | Discovery of connected devices to determine control capabilities and meta-information |
| US10158536B2 (en) * | 2014-05-01 | 2018-12-18 | Belkin International Inc. | Systems and methods for interaction with an IoT device |
| US10314088B2 (en) | 2014-04-16 | 2019-06-04 | Belkin International, Inc. | Associating devices and users with a local area network using network identifiers |
| US9769147B2 (en) | 2015-06-29 | 2017-09-19 | Oracle International Corporation | Session activity tracking for session adoption across multiple data centers |
| US10693859B2 (en) | 2015-07-30 | 2020-06-23 | Oracle International Corporation | Restricting access for a single sign-on (SSO) session |
| US10505982B2 (en) | 2015-10-23 | 2019-12-10 | Oracle International Corporation | Managing security agents in a distributed environment |
| KR101764135B1 (ko) | 2016-04-07 | 2017-08-14 | 채령 | Cctv 감시카메라 내부망을 이용한 자치단체 무선자가통신망 시스템 및 구축 방법 |
| US10623501B2 (en) | 2016-09-15 | 2020-04-14 | Oracle International Corporation | Techniques for configuring sessions across clients |
| CN106506491B (zh) * | 2016-11-04 | 2019-08-09 | 江苏科技大学 | 网络安全系统 |
| JP2018133721A (ja) | 2017-02-16 | 2018-08-23 | クラリオン株式会社 | 車載ゲートウェイ装置、通信遮断方法 |
| US11050730B2 (en) | 2017-09-27 | 2021-06-29 | Oracle International Corporation | Maintaining session stickiness across authentication and authorization channels for access management |
| US11134078B2 (en) | 2019-07-10 | 2021-09-28 | Oracle International Corporation | User-specific session timeouts |
Family Cites Families (43)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5142622A (en) * | 1989-01-31 | 1992-08-25 | International Business Machines Corporation | System for interconnecting applications across different networks of data processing systems by mapping protocols across different network domains |
| JP2571655B2 (ja) * | 1991-11-27 | 1997-01-16 | インターナショナル・ビジネス・マシーンズ・コーポレイション | プロトコル変換機構、交換ネットワーク及びコンピュータ・システム |
| JP3072933B2 (ja) | 1992-02-21 | 2000-08-07 | 松下電器産業株式会社 | ブリッジ装置及びネットワーク構築方法 |
| IT1259603B (it) | 1992-07-02 | 1996-03-20 | Appel Elettronica Srl | Sistema integrato di controllo e di trasmissione di informazioni per la gestione di una pluralita' di sottosistemi periferici, in particolare per applicazioni di building automation e simili. |
| US5280477A (en) * | 1992-08-17 | 1994-01-18 | E-Systems, Inc. | Network synchronous data distribution system |
| US6205216B1 (en) | 1994-07-29 | 2001-03-20 | British Telecommunications Public Limited Company | Apparatus and method for inter-network communication |
| US5581558A (en) * | 1995-03-29 | 1996-12-03 | Lucent Technologies Inc. | Apparatus for bridging non-compatible network architectures |
| US5742602A (en) * | 1995-07-12 | 1998-04-21 | Compaq Computer Corporation | Adaptive repeater system |
| US5764887A (en) | 1995-12-11 | 1998-06-09 | International Business Machines Corporation | System and method for supporting distributed computing mechanisms in a local area network server environment |
| EP0821505A1 (en) * | 1996-07-25 | 1998-01-28 | Hewlett-Packard Company | Apparatus providing connectivity between devices attached to different interfaces of the apparatus |
| US6009247A (en) * | 1996-10-29 | 1999-12-28 | International Business Machines Corporation | Portable computer network |
| JP3001440B2 (ja) * | 1996-11-25 | 2000-01-24 | 日本電気通信システム株式会社 | 仮想lan方式 |
| US6292900B1 (en) * | 1996-12-18 | 2001-09-18 | Sun Microsystems, Inc. | Multilevel security attribute passing methods, apparatuses, and computer program products in a stream |
| US6104716A (en) * | 1997-03-28 | 2000-08-15 | International Business Machines Corporation | Method and apparatus for lightweight secure communication tunneling over the internet |
| US6212558B1 (en) * | 1997-04-25 | 2001-04-03 | Anand K. Antur | Method and apparatus for configuring and managing firewalls and security devices |
| US6212636B1 (en) * | 1997-05-01 | 2001-04-03 | Itt Manufacturing Enterprises | Method for establishing trust in a computer network via association |
| US6058434A (en) * | 1997-11-26 | 2000-05-02 | Acuity Imaging, Llc | Apparent network interface for and between embedded and host processors |
| US6272551B1 (en) * | 1998-04-08 | 2001-08-07 | Intel Corporation | Network adapter for transmitting network packets between a host device and a power line network |
| JP3736173B2 (ja) * | 1998-05-19 | 2006-01-18 | 株式会社日立製作所 | ネットワーク管理システム |
| US7143151B1 (en) | 1998-05-19 | 2006-11-28 | Hitachi, Ltd. | Network management system for generating setup information for a plurality of devices based on common meta-level information |
| US6219706B1 (en) * | 1998-10-16 | 2001-04-17 | Cisco Technology, Inc. | Access control for networks |
| US6389029B1 (en) | 1998-11-10 | 2002-05-14 | Nortel Networks Limited | Local area network incorporating universal serial bus protocol |
| US6243581B1 (en) * | 1998-12-11 | 2001-06-05 | Nortel Networks Limited | Method and system for seamless roaming between wireless communication networks with a mobile terminal |
| US6453360B1 (en) * | 1999-03-01 | 2002-09-17 | Sun Microsystems, Inc. | High performance network interface |
| FR2802667B1 (fr) * | 1999-12-21 | 2002-01-25 | Bull Sa | Procede et dispositif de configuration de pare-feu dans un systeme informatique |
| AU2001238636A1 (en) | 2000-02-22 | 2001-09-03 | I2 Technologies, Inc. | Electronic marketplace providing service parts inventory planning and management |
| TW530506B (en) | 2000-07-14 | 2003-05-01 | Mitac Technology Corp | Method for achieving remote web input security control using caller ID and apparatus therefor |
| US7075919B1 (en) | 2000-08-22 | 2006-07-11 | Cisco Technology, Inc. | System and method for providing integrated voice, video and data to customer premises over a single network |
| JP3776705B2 (ja) * | 2000-09-28 | 2006-05-17 | 株式会社東芝 | 通信システム、移動端末装置、ゲートウェイ装置及び通信制御方法 |
| US7155518B2 (en) * | 2001-01-08 | 2006-12-26 | Interactive People Unplugged Ab | Extranet workgroup formation across multiple mobile virtual private networks |
| US7099675B2 (en) * | 2001-02-23 | 2006-08-29 | Telefonaktiebolaget Lm Ericsson (Publ) | Location update procedure when roaming from a first communication service domain to a second communications service domain |
| US20020138596A1 (en) | 2001-03-09 | 2002-09-26 | Matthew Darwin | Method to proxy IP services |
| JP3874628B2 (ja) | 2001-05-17 | 2007-01-31 | 富士通株式会社 | パケット転送装置、半導体装置 |
| US20030051163A1 (en) * | 2001-09-13 | 2003-03-13 | Olivier Bidaud | Distributed network architecture security system |
| US20030065942A1 (en) * | 2001-09-28 | 2003-04-03 | Lineman David J. | Method and apparatus for actively managing security policies for users and computers in a network |
| US20030067874A1 (en) * | 2001-10-10 | 2003-04-10 | See Michael B. | Central policy based traffic management |
| US8370936B2 (en) * | 2002-02-08 | 2013-02-05 | Juniper Networks, Inc. | Multi-method gateway-based network security systems and methods |
| CA2498649A1 (en) * | 2002-09-13 | 2004-03-25 | Richard Reiner | Screening for illegitimate requests to a computer application |
| US20040162992A1 (en) * | 2003-02-19 | 2004-08-19 | Sami Vikash Krishna | Internet privacy protection device |
| US20040260818A1 (en) * | 2003-06-23 | 2004-12-23 | Valois Denis Gabriel | Network security verification system and method |
| US7574603B2 (en) * | 2003-11-14 | 2009-08-11 | Microsoft Corporation | Method of negotiating security parameters and authenticating users interconnected to a network |
| US8561154B2 (en) * | 2003-12-22 | 2013-10-15 | International Business Machines Corporation | Method for providing network perimeter security assessment |
| CN1671240A (zh) * | 2004-03-19 | 2005-09-21 | 华为技术有限公司 | 一种实现移动网络接入限制的方法 |
-
2003
- 2003-06-17 US US10/464,006 patent/US7318097B2/en not_active Expired - Fee Related
-
2004
- 2004-05-28 JP JP2006516116A patent/JP4493654B2/ja not_active Expired - Lifetime
- 2004-05-28 CA CA2525343A patent/CA2525343C/en not_active Expired - Fee Related
- 2004-05-28 EP EP04741627A patent/EP1639781B1/en not_active Expired - Lifetime
- 2004-05-28 CN CN200480001495A patent/CN100591072C/zh not_active Expired - Lifetime
- 2004-05-28 DE DE602004019529T patent/DE602004019529D1/de not_active Expired - Lifetime
- 2004-05-28 WO PCT/EP2004/050886 patent/WO2004114622A1/en active Search and Examination
- 2004-05-28 KR KR1020057021858A patent/KR100843537B1/ko not_active IP Right Cessation
- 2004-05-28 AT AT04741627T patent/ATE423422T1/de not_active IP Right Cessation
- 2004-06-01 TW TW093115708A patent/TWI323116B/zh not_active IP Right Cessation
-
2005
- 2005-12-12 IL IL172516A patent/IL172516A0/en unknown
-
2007
- 2007-05-17 US US11/749,783 patent/US7882229B2/en active Active
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI509456B (zh) * | 2014-03-31 | 2015-11-21 | Ibm | 電腦裝置以及與電腦裝置通訊連結的安全性管理裝置 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR100843537B1 (ko) | 2008-07-04 |
| CN100591072C (zh) | 2010-02-17 |
| CA2525343C (en) | 2010-10-05 |
| DE602004019529D1 (de) | 2009-04-02 |
| WO2004114622A1 (en) | 2004-12-29 |
| CN1717912A (zh) | 2006-01-04 |
| EP1639781B1 (en) | 2009-02-18 |
| EP1639781A1 (en) | 2006-03-29 |
| JP2006527939A (ja) | 2006-12-07 |
| US20040260810A1 (en) | 2004-12-23 |
| US7882229B2 (en) | 2011-02-01 |
| ATE423422T1 (de) | 2009-03-15 |
| US20070266158A1 (en) | 2007-11-15 |
| TW200509639A (en) | 2005-03-01 |
| IL172516A0 (en) | 2006-04-10 |
| KR20060028390A (ko) | 2006-03-29 |
| US7318097B2 (en) | 2008-01-08 |
| JP4493654B2 (ja) | 2010-06-30 |
| CA2525343A1 (en) | 2004-12-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI323116B (en) | System and computer program product for managing a security policy for a multiplicity of networks | |
| US9203808B2 (en) | Method and system for management of security rule set | |
| US20180324218A1 (en) | Learning network topology and monitoring compliance with security goals | |
| US9122990B2 (en) | Method and system for management of security rule set | |
| US8543710B2 (en) | Method and system for controlling network access | |
| Hamed et al. | Taxonomy of conflicts in network security policies | |
| US7710900B2 (en) | Method and system for providing network management based on defining and applying network administrative intents | |
| GB2415340A (en) | Resolving conflicts between rule sets for which priority is expressed by ordered precedence and longest prefix | |
| JP2001237895A (ja) | ネットワークゲートウェイの解析方法及び装置 | |
| EP2387746B1 (en) | Methods and systems for securing and protecting repositories and directories | |
| WO2008093320A1 (en) | System and method for auditing a security policy | |
| JP2021528749A (ja) | 自動パケットレスネットワーク到達可能性分析 | |
| JP2005184836A (ja) | ファイアウォールサービスを管理するためのオブジェクトモデル | |
| GB2415858A (en) | Providing rule set verification and increased observability of policy application to packet flows in a data center | |
| US9386048B2 (en) | Method of managing connectivity between resources in a computer network and system thereof | |
| US9325719B2 (en) | Method and system for evaluating access granted to users moving dynamically across endpoints in a network | |
| US7971244B1 (en) | Method of determining network penetration | |
| Cisco | Understanding the Network Topology Tree | |
| Cisco | Understanding the Network Topology Tree | |
| Cisco | Understanding the Network Topology Tree | |
| Cisco | Understanding the Network Topology Tree | |
| Plate et al. | Policy-driven system management | |
| Harrison et al. | Microsoft Forefront Threat Management Gateway (TMG) Administrator's Companion | |
| US20070130149A1 (en) | Method, system, and computer program product for troubleshooting/configuring communications settings of a computer system | |
| Bera et al. | A WLAN security management framework based on formal spatio‐temporal RBAC model |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| MM4A | Annulment or lapse of patent due to non-payment of fees |