TWI400920B

TWI400920B - 客戶輔助防火牆配置

Info

Publication number: TWI400920B
Application number: TW094145712A
Authority: TW
Inventors: Michael Paddon; Philip Michael Hawkes; Gregory Gordon Rose
Original assignee: Qualcomm Inc
Priority date: 2004-12-21
Filing date: 2005-12-21
Publication date: 2013-07-01
Also published as: RU2007128045A; WO2006069315A8; KR100899903B1; JP2008524970A; KR20070087165A; RU2370903C2; CA2591933A1; TW200640206A; BRPI0519544A2; CN101124801A; JP4589405B2; US20060253900A1; CA2591933C; CN101124801B; EP1829334A1; WO2006069315A1

Description

客戶輔助防火牆配置

下文描述一般係關於資料通信，且更特定言之係關於防火牆配置及網路流量之減少。

防火牆係保護網路以免受未經授權之存取及惡意攻擊之安全裝置。該未經授權之存取可獲取敏感資訊或破壞一網路之功能。一傳統防火牆將一網路分為兩個部分，防火牆之後之一內部部分，及防火牆之外之一外部部分。為了防止未經授權之存取，防火牆可檢驗封包及對話並判定是否應將該等封包及對話傳輸至期望目的地或是否應將其阻斷或丟棄。

防火牆通常位於入口點並藉由比較流量與預定之標準而掃描進入流量。未匹配預定標準之流量被阻斷或丟棄。預定標準可包括諸如埠號、應用程式ID、來源、目的地、內容過濾器、IP位址、機器名稱、及TCP/IP棋標之參數，以及其它視可承受之複雜度及所需要之保護程度而定的參數。經匹配以判定是否通過或拒絕一封包之參數數目判定一保護粒度。一具有低粒度之防火牆會由於實際上不需要該流量而不經意地阻斷所需之進入流量，但同時，其可能不足以防止不需要之流量。

政策由處於一中心點之網路管理員來界定及/或強制實施一安全政策。即使不同使用者會具有不同的網路存取效能及需要，使用者可能仍不能夠為其終端選擇啟用及/或停用哪個流量。不同使用者可欲根據各種程度之粒度(granularity)來保護網路或系統。舉例而言，一使用者會欲阻斷來自一特定傳輸控制協定/網際網路協定(TCP/IP)網路位址之傳輸，而另一使用者可欲接收彼等傳輸。一使用者可欲來自一網路之一特定子網位址之傳輸，而另一使用者欲來自該網位址之所有傳輸。其它使用者可欲為一特定埠或應用指定之訊息流量，而一不同使用者可欲阻斷所有進入連接且僅允許外向連接。

防火牆操作為一看門人。分佈式防火牆在每一終端或行動裝置周圍置放一防火牆。在此情況下，直至封包到達一終端或行動裝置，才會丟棄未經授權之封包。從而，由於該封包已經消耗了傳輸該封包所需之無線資源，因此浪費了無線網路中具價值之網路頻寬。可藉由將此等浪費之資源分配給其它連接而更佳地利用此等資源。浪費之資源會藉由增加訊息傳輸而增加使用者成本且可由於在無線鏈路上用於傳輸封包之資源而減慢整個通量。

為克服上述以及其它不足，需要在傳輸至一裝置之前阻斷不需要之或不期望之封包以減少網路流量之一技術。亦需要提供一裝置能夠動態修改防火牆之一或多個政策以允許裝置指定特定封包、發送者、及/或其它封包標準之能力的技術。亦需要在一通信期間自動撤銷一防火牆政策之能力以提供保護及機密性。

下文展現一或多個實施例之一簡單概要以提供此等實施例之某些態樣之一基本理解。此概要並非該或該等實施例之廣泛概觀，且既意欲識別該等實施例之關鍵或標準元件亦非意欲描繪此等實施例之範疇。其唯一目的係以一簡化之形式展現所描述之實施例之某些概念，作為之後展現之更詳細描述之前奏。

根據一或多個實施例及其相應揭示內容，與配置一防火牆及/或減少網路流量相結合而描述各種態樣。根據一實施例，其為使一行動裝置配置一防火牆以減少不需要之網路流量之方法。該方法包括與一網路防火牆建立一網路連接並與網路防火牆進行通信以管理網路流量。根據某些實施例，該方法可包括偵測是否已經產生一被動插座並請求網路防火牆允許導向該網路插座之流。在某些實施例中，該方法可包括關閉一網站伺服器並破壞該被動插座。可將防火牆與該經破壞之被動插座訊息聯繫且可發送一請求以拒絕導向該經破壞之被動插座之流。若該被動插座被關閉，則該方法可自動撤銷至防火牆的允許導向被動插座之流之請求。

根據另一實施例，其為使一主機自動恢復一中斷對話之一方法。該方法包括與位於一網路上之防火牆建立連接、請求防火牆允許導向至少一開放插座之封包之傳輸、偵測一中斷對話、並撤銷導向至少一開放插座之該封包請求。該方法可進一步包括重建一新對話連接並請求所需流量之傳輸。根據某些實施例，請求導向至少一開放插座之封包可包括產生當前開放插座之一列表。

根據另一實施例，其為一配置一網路防火牆之一行動裝置。該行動裝置包括分析與配置一防火牆以減少流量相關之訊息之一處理器，及操作地連接至該處理器之一記憶體。該行動裝置亦可包括與一外部源建立通信之一建立器，及指示與自外部源接收之一封包相關聯之參數並將該等參數傳送至防火牆之指示器。在該行動裝置中亦可包括請求至少一參數之傳輸之撤銷的無效器。在某些實施例中，行動裝置可包括一傳送至少一政策更新至一防火牆之傳輸器，及接收一來自防火牆之政策之確認或拒絕之接收器。

根據另一實施例，其為一減少網路流量之設備。該設備可包括用於偵測至少一防火牆之構件，用於與至少一防火牆進行通信之構件，及動態更新與至少一防火牆相關聯之政策之構件。該裝置亦可包括用於檢驗被動插座之列表的構件或用於指定所需進入流量之構件。

根據進一步實施例，其為一手持機之一電腦可讀媒體，其具有用於建立一網路連接並偵測與該建立之網路連接相關聯的被動插座之電腦可執行指令。該等指令可進一步包括聯繫一防火牆並請求防火牆允許導向被動插座之流。根據某些實施例，該等指令可包括終止該網路連接、破壞該被動插座、聯繫防火牆並請求防火牆拒絕導向該經破壞之被動插座之流。

根據另一實施例，其為一手持機之處理器，其執行用於動態更新一防火牆政策之指令。該等指令可包括偵測至少一防火牆，與至少一防火牆進行通信，且動態更新與該至少一防火牆相關聯之一政策。該處理器亦可包括大體上在對話中斷的同時用於自動撤銷政策之指令。

根據另一實施例，其為一手持機，其動態配置一防火牆。該手持機包括與一防火牆建立一對話之一初始器，指示至少一個流並傳送該至少一流至一防火牆之指示器，及可撤銷該至少一流之傳送之無效器。根據某些實施例，該指示器可指定與至少一封包相關聯之一參數或請求來自一或多個發送者之一封包。根據某些實施例，該無效器可撤銷至少一封包之傳輸，廢除對來自一或多個發送者之封包的請求，基於至少一封包參數而自動撤銷一傳輸，或基於一使用者輸入而撤銷一傳輸。

為了完成前述及相關目的，一或多個實施例包含下文詳細描述及在申請專利範圍中特定指出之特徵。下文描述及附加圖式詳細闡述說明性態樣且指示其中可採用該等實施例之原理之各種方式中之一些方式。當結合附圖考慮時，自下文詳細描述，其它優點及新奇特徵將變得顯而易見，且該等所揭示之實施例並非意欲包括所有此等態樣及其等價物。

術語表防火牆－僅允許滿足"安全政策"之封包進入或離開網路的裝置。

主機－將網路用作封包傳輸媒體之網路節點。在一行動裝置網路中，此等主機通常為手持機或無線啟用電腦。

流－兩個不同實體之間的封包之雙向交換。

現參考圖式描述各個實施例。在以下描述中，出於解釋目的，陳述許多特定細節以提供對一或多個態樣之詳盡瞭解。然而顯而易見，不具有此等特定細節仍可實踐該等實施例。在其它例子中，以方塊圖形式展示熟知結構及裝置以有利於描述此等實施例。

如此應用中所使用，術語"組件"、"模塊"、"系統"及其類似物意欲指示一電腦相關實體，其可為硬體、韌體、硬體及軟體之一組合、軟體或執行中之軟體。舉例而言，一組件可為(但並不限於)在一處理器上運行之一程序、一處理器、一物件、一可執行的、一執行線、一程式、及/或一電腦。藉由說明，在一電腦裝置上運行之應用程式及該電腦裝置皆可為一組件。一或多個組件可駐於一處理及/或執行線中，且一組件可置於一電腦上及/或分佈於兩個或更多電腦之間。此外，可由其上儲存有各種資料結構之電腦可讀媒體來執行此等組件。該等組件可藉由區域及/或諸如根據具有一或多個資料封包之一訊號之遠程處理來進行通信(例如，來自一組件之資料與處於區域系統、分佈式系統之另一組件互動，及/或藉由訊號橫跨諸如網際網路之網路而與其它系統互動)。

此外，本文結合一使用者裝置而描述各種實施例。一使用者裝置亦可稱作一系統、一用戶單元、用戶台、行動台、行動裝置、主機、手持機、遠端台、存取點、基地台、遠程終端、存取終端、使用者終端、終端、使用者代理或使用者設備。一使用者裝置可為一蜂窩式電話、一無繩電話、一對話初始化協定(SIP)電話、一無線區域迴路(WLL)台、一個人資料助理(PDA)、一具有無線連接能力之手持裝置、或連接至一無線數據機之其它處理裝置。

此外，使用標準程式設計及/或工程技術，本文所描述之各種態樣及特徵可實施為一方法、設備、或製造物品。如本文所用之術語"製造物品"意欲涵蓋自任一電腦可讀裝置、載體、或媒體可存取之一電腦程式。舉例而言，電腦可讀媒體可包括(但不限於)磁性儲存裝置(例如硬碟、軟碟、磁帶......)、光碟(例如緻密光碟(CD)、數位通用光碟(DVD))、智慧卡及快閃記憶體裝置(例如卡、棒、鍵驅動裝置......)。

將依照可包括許多組件、模組及其類似物之系統展現各種實施例。應瞭解並理解，不同系統可包括額外組件、模組等及/或可不包括結合附圖所描述之所有組件、模組等。亦可使用此等方法之一組合。

現參考圖式，圖1說明使用防火牆技術之一通信系統100之一方塊圖，該防火牆技術可與一攜帶型裝置或終端、一攜帶型(行動)電話、一個人資料助理、一個人電腦(桌上型電腦或膝上型電腦)、或其它電子及/或通信裝置一起實施。系統100包括過濾進入及/或外向資料(稱作資料或網路封包104及106)之一防火牆102。防火牆102可為在一網路操作器、一基礎設備等上操作之一防火牆。封包104及106可為包括自一裝置發送及/或傳送至另一裝置之一組資料的任一類型之通信。防火牆技術檢驗每一封包(進入資料)，對每一封包進行分類並基於該檢驗及/或分類執行一或多個動作。典型動作為以一特定方式傳遞、阻斷及/或投送封包。當執行分類時，看到封包之前亦可考慮狀態封包過濾。

舉例而言，僅為舉例目的且並非限制，防火牆102可允許自位於防火牆102之一側之發送者108發送之資料封包104被傳輸至位於防火牆102之另一側之接收端110。由發送者108輸送之期望及/或經授權到達接受者110的封包104被轉發或允許以通過防火牆102。對於該接收端110而言，非期望或未經授權之封包104可被防火牆102阻斷且不會轉發至接受者110。以此方式，接收端110不會察覺且不會接收到不需要的封包及/或非該接收端期望之封包。

接收端110可經配置以與防火牆102進行通信以提供關於發送者108及/或接收端110希望防火牆102允許以及接收端110希望防火牆102阻斷之封包104之政策的一套規則。以此方式，接收端110作為一伺服器。換言之，接收端110可希望外部發送者108聯繫接收端110。因此，接收端110可經配置以直接與防火牆102進行通信而以一動態方式更新一政策或若干政策。

接收端110可進一步經配置以藉由檢驗被動插座之列表來判定哪些進入流或封包104為所需。舉例而言，接收端110可藉由直接聯繫一發送者108(例如網站伺服器)來打開或產生一被動插座。接收端110通知防火牆102此插座所需之封包104將傳輸至接收端110。若接收端停止或關閉與網站伺服器之聯繫，就破壞了之前所產生的被動插座。接收端110可通知102被動插座的破壞並請求防火牆102拒絕所有打算導向該被動插座之進一步通信流量。

接收端110亦可經由防火牆102將封包106轉發至發送者108。以此方式，接收端110充當一用戶端且防火牆102可根據各種協定及技術而阻斷封包106或允許封包106被傳送至發送者108。舉例而言，防火牆102可基於由例如一網路提供者預定之標準允許或拒絕該等封包106。防火牆102亦可視由該封包之期望接收端(在此情況下，即為發送者108)建立之政策而定來投送封包106。因此，防火牆102可維持針對不同裝置之不同組之規則或政策。

圖2說明用於客戶輔助防火牆配置之一系統200。系統200包括一防火牆202及一可處於無線通信中之主機204(例如行動裝置)。主機204可為(例如)蜂窩式電話、智慧電話、膝上型電腦、手持式通信裝置、手持式計算裝置、衛星無線電、全球定位系統、PDA及/或用於在無線網路200上通信之其它過當裝置。如所瞭解，雖然許多防火牆202及主機204可包括於系統200中，出於簡單起見，說明傳輸通信資料訊號至一單一主機204之一單一防火牆202。

主機204包括一傳輸器206，主機204經由其可起始一資料流或通信對話及/或對由防火牆202維持之一政策之更新請求。主機亦可包括一接收器208，主機204經由其可自防火牆202接收政策之確認或拒絕及/或可接收一資料流或封包。

主機204可經由傳輸器206而回應來自防火牆202之經傳輸之封包。當主機202起始一資料流時，其類似於一用戶端而作用並認為係"主動的"。當主機202回應一資料流時，其作用類似於一伺服器並認為係"被動的"。一主動流被認為係外向而一被動流被認為係進入。

當主機204充當一伺服器時，主機204可直接與防火牆202通信並操作防火牆規則。舉例而言，主機204可通知防火牆202特定通信、發送者等(主機204需自其接收通信)。主機204可自動通知防火牆202任何中斷之對話或終止之對話並撤銷該等對話之政策，藉此防火牆202可阻斷該等對話且不允許其被傳輸至主機204。藉由以此方式配置防火牆202，此等期望至主機204但並非主機204需要之封包在被發送之前就被阻斷。因為該等封包未被發送並接著被主機204丟棄，所以此減少了網路流量。實情為，在將封包傳輸至主機204之前，在防火牆202處作出判定。

主機204可包括一解碼器組件(未圖示)，其可解碼其中用於處理之經接收之訊號及/或資料封包。當成功解碼資料封包時，一確認組件(未圖示)可產生指示資料封包之成功解碼之確認，其可被發送至防火牆202以通知一發送者該資料封包經接收並經解碼之通信(未展示)，並因此無需再傳輸。

圖3說明用於自動並動態配置一防火牆政策之一系統300。系統300包括一網路基本架構中所包括之一防火牆302及一主機304(例如行動裝置)。主機304可接收資料之進入封包306，或可起始資料之外向封包308。當接收進入封包306時，主機以一被動模式進行操作並作用類似於一伺服器。當起始並發送外向封包308時，主機304處於一主動模式並操作類似於一用戶端。無論在進入模式或外向模式中，資料封包306及308一般應通過防火牆302。基於一組規則或一政策310，防火牆302可阻斷、傳遞、或重定向一封包306或308。

主機304可包括一指示器312、一無效器314、及一初始器316，其可為表示由一處理器、軟體或其組合(例如韌體)實施之功能之功能區塊。指示器312、無效器314及/或初始器316可直接與防火牆302通信或其可經由一傳輸器(未圖示)通信並經由一接收器(未圖示)接收通信。當將期望至主機304之封包306傳送至防火牆302時，防火牆302可判定是否應將此封包306轉移至主機304或將其阻斷。該判定可基於一預定政策310。該政策可包括諸如允許的流終點、資源限制等之各種標準。在某些實施例中，可經由一選擇性強制技術由主機304動態改變或修改政策310。

指示器312可經配置以指示與主機304欲接收之一封包306相關聯之參數並將該等參數傳送至防火牆302。該等參數可經受政策310約束。主機304可請求指定進入流(例如封包306)之傳輸。舉例而言，指示器312可藉由應匹配(或不匹配)可用於一封包標頭中之某些或所有欄位之一組標準來指定流。一封包一般包括一標頭且可具有高層協定標頭(例如網際網路控制訊息協定(ICMP)、使用者資料報協定(UDP)、及/或傳輸控制協定(TCP)等)。由指示器312指定之標準或參數可包括(但並不限制於)精確值、值列表、值範圍、開放插座及其類似物。

無效器314可經配置以請求特定流或主機304所請求之所有流之傳輸之撤銷。舉例而言，指示器312可請求一或多個類型之封包及/或來自一或多個發送者之封包應傳輸至主機304。若在請求該等封包之傳輸之後，判定不再需要該等封包，則無效器314可撤銷某些封包之請求。可由系統300基於某些參數(例如封包尺寸、封包類型或其它標準)自動並自發執行此撤銷。

該撤銷亦可基於自一主機304之使用者所接收之一手動輸入。舉例而言，封包可經指定為使用者所期望的。然而，使用者可因多種原因決定不再需要該等封包。使用者可經由與主機相關聯之一介面(諸如無效器314)手動撤銷該等封包。

主機304可提供各種類型之使用者介面。舉例而言，主機304可提供一圖形用戶介面(GUI)、一指令線介面及其類似物。舉例而言，GUI可表現為提供一使用者一區域或構件來載入、進入、讀取(等)參數資訊、阻斷之封包、阻斷之發送者及/或使用者是否需要待阻斷之該等封包/發送者之一系統查詢提示。該等區域可包含已知之本文及/或圖形區，其包含作為編輯控制之對話框、狀態控制、下拉式選單、列表框、彈出式選單、組合框、無線電按鈕、檢查框、按鈕及圖形框。此外，可採用諸如用於導航之垂直及/或水平滾動條及判定一區域是否為可見之工具條按鈕之促進展現的工具。

在一實施中，可採用一命令線介面。舉例而言，該命令線介面可藉由提供一本文訊息來提示(例如，藉由在一顯示器上之一本文訊息及一音訊音調)使用者資訊。該使用者可接著提供合適資訊，諸如對應於該介面提示中所提供之一選項的字母數字輸入或提示中所提出之一問題的回答。應瞭解，可結合一GUI及/或API而使用命令線介面。此外，可結合硬體(例如視訊卡)及/或具有有限圖形支持及/或低頻寬通信通道之顯示器(例如黑與白，及EGA)而使用該命令線介面。

協定有規則地在兩個方向上(進入及外向)交換封包，因此，主機304及防火牆302皆可以一實時方式覺識一中斷之對話。舉例而言，防火牆302及/或主機304可基於自一同級(例如其它行動裝置、其它通信裝置)之通信流量之缺乏來判定對話是否被中斷。該基於中斷之對話之判定可包括為協定本身之一部分。在某些實施例中，可由諸如傳輸控制協定(TCP)保活段之一基礎傳輸來供應該判定。

若判定一對話中斷或終止，可自動撤銷先前由主機304請求之流。以此方式，所有期望至主機304之封包被防火牆302自動阻斷且不允許被傳遞至主機304。因此，中斷之對話及/或不完全之封包不會沿著空中界面被傳送且不會佔用稀少及貴重資源。

下文為用於實例目的且並非限制。手持機或主機304可執行一網站伺服器，產生一收聽TCP埠80之被動插座。一防火牆控制組件(例如指示器312)可偵測在TCP埠80上是否產生一被動插座。控制組件與防火牆302建立聯繫並請求防火牆302允許為手持機之TCP埠指定之流被准許傳輸。防火牆302可確認或拒絕請求。外部部分可啟動聯繫該手持機之網站伺服器之進入流。一段時間後，手持機上之網站伺服器可關閉，破壞TCP埠80上之被動插座。在大體相同的時間或大體不同的時間時，手持機上之防火牆控制組件可偵測被動插座之破壞。控制組件可與防火牆建立聯繫並請求防火牆拒絕至TCP埠80上之手持機的任何進一步入站流量。

為起始一新對話或恢復一中斷之對話以及隨後之資料流之自動撤銷，主機304可經由初始器316建立一對話。由於主機304可為一行動裝置並可自一地理區或單元移動至另一區或單元，故初始器316可經配置以判定主機304與哪一防火牆302通信。當裝置移動時，其可需要與一或多個防火牆建立聯繫。初始器316可經配置以與指示器312通信並請求(或在中斷對話之情況下為重新請求)所需流之傳輸。

圖4說明用於自動並動態配置一防火牆政策之系統400。系統400包括一經配置以傳輸、阻斷、或再投送進入封包及/或外向封包之一防火牆402。亦包括可包括一指示器406、一無效器408、及一初始器410之一主機404。主機404對於進入封包操作於一被動模式下且對於外向封包操作於一主動模式下。系統400類似於參考圖3而說明並描述之系統300而操作。

系統400可包括操作地耦接至主機404之記憶體412。記憶體可儲存與關於可配置之防火牆技術及減少一無線通信系統中之流量的所請求之進入流、匹配標準、指定之流、取消之流、開放網路插座等相關之資訊。一處理器414可操作地連接至主機404(及/或記憶體412)以分析與可配置之防火牆技術及減少一無線通信系統中之流量相關之資訊。處理器414可為專用於分析由主機接收之資訊及/或產生由主機404發送之資訊的處理器，可為控制系統400之一或多個組件之一處理器，及/或可為同時分析並產生由主機404接收之資訊並控制系統400之一或多個組件之一處理器。

記憶體412可儲存與所要之封包、封包流、發送者、通信類型等相關聯之協定並採取動作以控制主機及防火牆402之間的通信等，使得系統400可採用所儲存之協定及/或算法來達成如本文所述之一無線網路中之通信流量之減少。應瞭解，本文所述之資料儲存組件(例如記憶體)可為揮發性記憶體或非揮發性記憶體，或可包括揮發性及非揮發性記憶體。藉由實例而非限制，非揮發性記憶體可包括唯讀記憶體(ROM)、可程式化ROM(PROM)、電可程式化ROM(EPROM)、電可擦除ROM(EEPROM)或快閃記憶體。揮發性記憶體可包括充當外部快取記憶體之隨機存取記憶體(RAM)。藉由實例而非限制，RAM可用於許多形式，諸如同步RAM(DRAM)、動態RAM(DRAM)、同步DRAM(SDRAM)、雙資料速率SDRAM(DDR SDRAM)、增強型SDRAM(ESDRAM)、同步鏈接DRAM(SLDRAM)、及直接Rambus RAM(DRRAM)。所揭示之實施例之記憶體412意欲包含(但不侷限於)此等或其它合適類型之記憶體。

圖5說明用於配置一防火牆並減少網路流量之一系統500。其說明可為表示由一處理器、軟體或其組合(例如韌體)實施之功能之功能區塊的區塊。系統500可包括可偵測包括於一網路中之一或多個防火牆之一偵測器502。一通信器504可經配置以與經偵測之防火牆通信。該通信可包括(但並不限於)請求建立一對話、指定所指定之進入流之傳輸、撤銷一或多個進入流、或其它類型之通信。系統500中亦包括可經配置以更新與防火牆相關聯之政策之一更新器506。更新政策可包括由系統500自動判定之對現有政策之改變或由一使用者手動輸入至系統500之改變。

在某些實施例中，系統500亦可包括一檢驗器508及一指定器510。檢驗器508可配置以檢驗可為開放之被動網路插座的開放網路插座之一列表。當收聽一被動插座時，指定器510可經配置以產生至一防火牆之一合適請求並當關閉一被動插座時可產生一撤銷。若系統500正自一中斷或終止之對話恢復，則可列舉被動插座之當前列表以產生合適請求。

鑒於上文展示並描述之例示性系統，參考圖6－8，可更佳瞭解根據各種實施例之一或多個態樣而實施之方法。出於簡單解釋起見，該等方法展示並描述為一系列動作(或功能區塊)，應瞭解並理解，該等方法並非受限於動作之次序，根據此等方法之某些動作會以不同次序及/或可與與本文所展示及描述之動作不同之其它動作同時發生。此外，並非所有經說明之動作需要來實施根據所揭示之實施例之一或多個態樣之一方法。應瞭解，可由用於進行與動作相關聯之功能的軟體、硬體、其一組合或任意其它合適構件(例如裝置、系統、處理、組件)來實施各種動作。亦應瞭解，該等動作僅以一簡化形式來說明本文所展現之某些態樣並且可由一較少及/或較多數目之動作來說明此等態樣。此外，並非需要所有經說明之動作來實施以下方法。彼等熟習此項技術者應理解並瞭解，一方法可另外表示為一系列相關狀態或事件，諸如以一狀態圖。

圖6係一用於動態允許合法進入資料流之傳輸之一方法600的流程圖。合法進入流係一裝置先前所請求之資料流。舉例而言，一裝置可基於先前接收之流來知道或推斷其是否接收一特定類型之流量、來自特定源之流量等，將丟棄該流量或當在裝置處接收到時流量之接收將被拒絕。該裝置亦可具有此基於使用者指定參數之資訊。與其等待直至此等無需及/或非預期之流量在該裝置處被接收，裝置不如可在發送該流至裝置，佔據有價值之頻寬及資源之前識別此等流(例如類型、來源等)。

方法600在接收一傳輸請求之602處開始。此傳輸請求可包括僅關於彼等類型、行動裝置需自其接收通信之來源等之資訊。此資訊可由裝置預定並維持於一網路外圍或防火牆處。用於經接收之傳輸請求之流量將被傳輸至裝置。用於未經接收之傳輸請求之流量將在被進一步傳輸至裝置先前被阻斷。

可由各種標準來指定流且該流量應匹配待被傳輸之標準。在某些實施例中，各種標準可為該流量不應匹配之資訊。舉例而言，該標準可為一封包標頭中可用之某些或所有欄位。一個標頭為含將引導訊息至正確目的地之資訊之訊息的一部分。標頭中可包括一發送者位址、一接收器位址、一優先級、路徑選擇指令、同步脈衝等。一IP封包可具有高層協定，諸如網際網路控制訊息協定(ICMP)、使用者資料報協定(UDP)及/或傳輸控制協定(TCP)。標準可由精確值、值列表及/或值範圍組成。

在604處，判定是否已接收一撤銷請求。該撤銷請求可針對一特定流或多個流或可針對所有先前請求之流。若在604處之判定為未接收("否")一撤銷請求，則方法600在606處繼續並允許流直接傳輸至該裝置。若604處之判定為己接收撤銷請求("是")，則方法600在608處繼續並在發送至該裝置前阻斷傳輸。

在上文方法600中，例如，可在一網路防火牆處(例如手持機)自一行動裝置接收傳輸請求及所請求之流之撤銷。該網路防火牆可基於該網路防火牆是否自行動裝置接收一傳輸及/或撤銷請求而允許或阻斷進入資料流之傳輸。

圖7為一用於資料流之自動恢復之方法700之流程圖。在一對話已由於各種原因被中斷、阻斷或終止的情況下，提供自動恢復。在702處，由一主機及/或一防火牆偵測一中斷之對話。由於協定在兩個方向上(例如進入、外向)規則地交換封包，故主機及防火牆可以實時方式同時覺識一中斷之對話，並在大多數情況下，與中斷之對話發生在大體相同時間。該覺識可為自一同級裝置觀察一流量之缺乏的結果。此可執行為協定本身之一部分，或其可由基礎傳輸來供應(例如，TCP保活段)。

當中斷或另外終止一對話時，在704處撤銷由相關聯之主機請求之流。藉由撤銷所請求之流，保護主機之完整性及機密性。因此，無流量允許被傳輸至主機，且該流量在被發送至裝置並佔據頻寬之前即被阻斷。

根據某些實施例，若主機需恢復資料流，可在706處重建新對話。此新對話可基於一新請求，或其可基於被動插座之一列表之重建而產生合適請求。在708處建立一請求(或重新請求)或所需流之傳輸。

在上述方法700中，例如，一設備(例如行動裝置)可偵測一中斷之對話並聯繫一網路防火牆以撤銷所請求之流。若需要(例如由一使用者)，設備可重建與防火牆之一新對話並請求所需流之傳輸。

圖8為一用於自動防火牆保護並減少網路流量之一方法800的流程圖。減少之網路流量可包括不需要之及/或不預期之通信流量、中斷之對話、終止之對話及其類似物。在802處，建立一網路(例如執行用於通信之一網站伺服器)。舉例而言，網站伺服器之執行產生一收聽一TCP埠80之被動插座。在804處，偵測所產生之被動插座。在某些實施例中，被動插座可包括於週期性地或連續監控改變、修改及其類似物之一開放之被動插座之列表中。在806處與一防火牆建立聯繫或通信。在808處，通信可包括防火牆允許導向被動插座之流之請求。通信亦可包括由一或多個開放對話產生之被動網路插座之列表。此列表可進一步包括一主機覺識並在任一特定時刻提供之彼等服務。

防火牆可允許傳輸由外部起始之導向一或多個列舉之開放之被動插座之進入流量。若網站伺服器關閉或終止，則破壞TCP埠80上之被動插座。在810處進行判定被動插座為開放或關閉(例如被終止或被破壞)。若插座為開放("是")，則允許外部組封包、流量、通信等被傳輸或在812處繼續傳輸。若在810處判定插座為關閉("否")，則在814處產生一撤銷請求。當偵測插座為關閉時，可自動發送撤銷請求。此請求可包括至防火牆之一指令以拒絕所有至TCP埠80之進一步入站流量。當自一中斷或終止對話恢復時，可列舉被動插座之當前列表以產生合適請求。

在上述方法800中，例如，一行動裝置可建立網路連接，偵測一開放之被動插座，與該防火牆建立聯繫並請求允許之流。行動裝置可進一步判定該被動插座為開放或關閉，若為關閉，則產生一至防火牆之撤銷請求。

現在參考圖9，其說明一終端900之一可能配置之一概念方塊圖。如彼等熟習此項技術者可瞭解，終端900之精確配置可視特定應用及整個設計約束而定而發生變化。處理器902可實施本文所揭示之各種實施例。終端900可與耦接至天線906之一前端收發器904一起實施。一基頻處理器908可耦接至收發器904。該基頻處理器908可與一基於軟體之架構或任一其它類型架構一起實施。一微處理器可用作一平臺來運行在其它功能中提供控制及整個系統管理功能之軟體程式。一數位訊號處理器(DSP)可與一嵌入式通信軟體層一起實施，該嵌入式通信軟體層運行特定應用算法以減少微處理器上之處理需求。DSP可用於提供各種訊號處理功能，諸如導向訊號獲取、時間同步、頻率跟蹤、展頻處理、調變及解調變功能及前向錯誤校正。

終端900亦可包括耦接至基頻處理器908之各種使用者介面910。使用者介面910可包括一鍵區、滑鼠、觸摸式螢幕。顯示器、振鈴器、振動器、音訊揚聲器、麥克風、相機及/或其它輸入/輸出裝置。

基頻處理器908包含一處理器902。在該基頻處理器908之一基於軟體之實施中，處理器902可為運行於一微處理器上之一軟體程式。然而，如熟習此項技術者易瞭解，處理器902並不限於此實施例，且可由能夠執行本文所描述之各種功能的包括任一硬體配置、軟體配置、或其組合之此項技術中已知之任意構件來實施。處理器902可耦接至用於資料儲存之記憶體912。

應瞭解，本文所描述之實施例可由硬體、軟體、韌體、中間體、微碼或其任一組合來實施。當系統及/或方法以軟體、韌體、中間體或微碼、程式碼或碼段來實施時，其可儲存於諸如一儲存組件之一機器可讀媒體中。一碼段可代表一程序、一函數、一子程式、一程式、一常用程式、常用子程式、一模組、一軟體封包、一類別、或指令之任何組合、資料結構、或程式陳述。一碼段可藉由傳遞及/或接收資訊、資料、引數、參數、或記憶體內容而耦接至另一碼段或一硬體電路。可使用包括記憶體共用訊息傳遞、符記傳遞、網路傳輸等之任何合適構件來傳遞、轉遞、或傳輸資訊、引數、參數、資料等。

上文描述包括一或多個實施例之實例。當然，出於描述此等實施例之目的，不可能描述組件或方法之每一可想像之組合，但一般熟習此項技術者可認識到，該等實施例之許多進一步組合及排列係可能的。因此，本文所述之實施例並不意欲包含落入附加申請專利範圍之精神及範圍內之所有該等改變、修改及變化。此外，對於術語"包括"既用於詳細描述亦用於申請專利範圍之範圍，如當"包含"被用作一申請專利範圍中之一過渡字組時被理解為"包含"，該術語以一類似於術語"包含"之方式意欲係包含性的。

100．．．通信系統

102．．．防火牆

104．．．封包

106．．．封包

108．．．發送者

110．．．接收端

200．．．系統

202．．．防火牆

204．．．主機

206．．．收發器

208．．．接收器

300．．．系統

302．．．防火牆

304．．．主機

306．．．資料封包

308．．．資料封包

310．．．政策

312．．．指示器

314．．．無效器

316．．．初始器

400．．．系統

402．．．防火牆

404．．．主機

406．．．指示器

408．．．無效器

410．．．初始器

412．．．記憶體

414．．．處理器

500．．．系統

502．．．偵測器

504．．．通信器

506．．．更新器

508．．．檢驗器

510．．．指定器

900．．．終端

902．．．處理器

904．．．前端收發器

906．．．天線

908．．．基頻處理器

910．．．使用者介面

912．．．記憶體

圖1說明使用防火牆技術之通信系統之一方塊圖。

圖2說明用於客戶輔助防火牆配置之一系統。

圖3說明用於自動並動態配置一防火牆政策之一系統。

圖4說明用於自動並動態配置一防火牆政策之一系統。

圖5說明用於配置一防火牆並減少網路流量之一系統。

圖6係用於動態允許合法進入資料流之一方法之一流程圖。

圖7係用於資料流之自動恢復的方法之一流程圖。

圖8係用於自動防火牆保護並減少網路流量之一方法之一流程圖。

圖9說明一終端之配置之一概念方塊圖。