TWI666567B

TWI666567B - 伺服器及其防火牆規則管理方法

Info

Publication number: TWI666567B
Application number: TW106126620A
Authority: TW
Inventors: 顏朝鈞; 許世俊; 林淳皓
Original assignee: 中華電信股份有限公司
Priority date: 2017-08-07
Filing date: 2017-08-07
Publication date: 2019-07-21
Also published as: TW201911101A

Abstract

本發明提供一種伺服器及其防火牆規則管理方法，適用於伺服器依據防火牆規則管理用戶端設備存取網路服務，防火牆規則管理方法包括下列步驟。取得用戶端設備存取伺服器的登入狀態，用戶端設備係透過伺服器存取網路服務。依據用戶端設備的登入狀態動態調整防火牆規則。當用戶端設備登入時，開通防火牆規則。當用戶端設備登出時，關閉防火牆規則。藉此，可增加防火牆存取安全性，也可以降低管理防火牆規則的複雜度，並提昇防火牆的使用效率。

Description

伺服器及其防火牆規則管理方法

本發明是關於一種防火牆，且特別是有關於一種伺服器及其防火牆規則管理方法。

防火牆(Firewall)是一種安全機制，用來隔離兩個安全信任度不同的網路。現有的防火牆是透過封包過濾的方法，提供網路層封包篩選的基本功能。將已定義的存取規則應用到每個流入或流出的網際網路協定(IP)封包上，以決定是否允許或阻止封包的進出。然而，現有機制常只檢查IP、傳輸控制協定(TCP)、用戶資料報協定(UDP)、網際網路控制訊息協定(ICMP)等封包的標頭(Header)資訊。此外，目前一般的防火牆系統僅提供IP封包規則的建立，並依據封包標頭的來源/目的IP位址、協定(TCP, UDP,…)、來源/目的埠號(TCP, UDP)等等欄位來進行檢查。符合規則的封包便受允許通過，反之則阻擋封包。這樣的運作模式很單純，但缺乏彈性，更令防火牆規則可能開放得過於寬鬆。甚至，可能因為資安的考量，防火牆規會固定在特定來源與目的IP，從而導致實際應用、管理上的不便。

再者，通常一部防火牆設備會提供給許多不同使用者來使用，但防火牆規則表僅僅一份，當使用者數量愈來愈多，且防火牆規則隨之增加時，防火牆管理的複雜度也會愈來愈大。此外，防火牆規則的新增刪除、維護管理工作也會愈來愈繁瑣，長久下來，防火牆將會累積巨量的規則設定，甚至成為防火牆與網路設備管理維護者的燙手山芋。

現有的防火牆應用有很多，例如：

先前技術一(台灣專利名稱：啓發性防火牆之方法及裝置發現，公告號：550921)與先前技術二(專利名稱：在一動態電腦網路中過濾通信之防火牆，公開號：201407405)已被提出。而雖然此二先前技術都克服了習知用以提供防火牆安全方法的缺點，且能夠從流經網路之資料學習以進行過濾，從而提供額外的網路安全。

先前技術三(美國專利名稱：防火牆裝置(FIREWALL DEVICE)，公開號： US 2006/0143699 A1)，此專利雖然也是採用使用端設備認證機制，但其利用用戶識別碼(ID)與虛擬防火牆ID之關連性，來管理用戶防火牆，用戶終端依此關連性可以透過虛擬防火牆存取後端資訊服務。

先前技術四(台灣專利名稱：防火牆控制系統(FIREWALL CONTROL SYSTEM)，公開號：200915093)係提供使用者對後端伺服器的驗證計畫，並根據不同的標的物伺服器，讓使用者存取特定伺服器或活動時使用特定之驗證計劃。

先前技術五(台灣專利名稱：客戶輔助防火牆配置CLIENT ASSISTED FIREWALL CONFIGURATION，公開號：200640206)係提供使用者與防火牆間的溝通機制並可以動態進行防火牆規則變更的方法。

然而，前述習知的防火牆管理都缺乏彈性度及效率，甚至不符合實際使用。

有鑑於此，本發明提供一種伺服器及其防火牆規則管理方法，使防火牆規則能動態且適時地變動。

本發明提供一種防火牆規則管理方法，適用於伺服器依據防火牆規則管理用戶端設備存取網路服務，此防火牆規則管理方法包括下列步驟。取得用戶端設備存取伺服器的登入狀態。用戶端設備係透過伺服器存取網路服務。依據用戶端設備的登入狀態動態調整防火牆規則。

本發明另提供一種伺服器，其依據防火牆規則管理用戶端設備存取網路服務。此伺服器包括儲存單元、通訊模組及處理單元。儲存單元用以紀錄防火牆規則及數個模組。通訊模組用以存取網路。處理單元耦接儲存單元及通訊模組，且存取並執行儲存單元所儲存的模組，那些模組包括防火牆連線模組及防火牆功能模組。防火牆連線模組取得用戶端設備存取該伺服器的登入狀態。用戶端設備係透過伺服器存取網路服務。防火牆功能模組依據用戶端設備的登入狀態動態調整防火牆規則。

基於上述，防火牆規則管理方法會依據用戶端設備的登入狀態動態增加或刪除用戶端設備相關的防火牆規則內容。藉此，可大幅提昇防火牆系統安全性、防火牆規則使用效率和使用者之使用便利性。

為讓本發明的上述特徵和優點能更明顯易懂，下文特舉實施例，並配合所附圖式作詳細說明如下。

請參閱圖1所示係依據本發明一實施例的通訊系統之網路架構圖，通訊系統1至少包括但不僅限於用戶端設備100及伺服器。

本實施例之用戶端設備100可以是桌上型電腦、筆記型電腦、個人數位助理(PDA)、智慧型手機、精簡型終端(Thin Client)等具備IP位址連網功能的設備。用戶端設備100包括儲存單元101、通訊模組103、顯示單元105及處理單元107。

儲存單元可以是任何型態的固定或可移動隨機存取記憶體(RAM)、唯讀記憶體(ROM)、快閃記憶體(flash memory)或類似元件或上述元件的組合。在本實施例中，儲存單元101係用以記錄用戶端連線模組101_3、使用者界面模組101_5等用戶端軟體101_1相關程式、網路服務資訊等用戶端設備100的相關資訊及各類型資料檔案等。

通訊模組103可以是支援WiFi標準、第三代無線通訊(3G)、第四代無線通訊(4G)或其他具備無線傳輸功能的任何類型無線網路介面模組，亦可以是支援乙太網路(Ethernet)、光纖(optical fiber)或其他具備有線傳輸功能的任何類型的有線網路介面模組，或是前述之組合。通訊模組103用以存取網路A 11。

顯示單元105例如是液晶顯示器(LCD)、發光二極體(LED)顯示器、場發射顯示器(FED)或其他種類顯示器的螢幕，並可選地具有觸控功能(電容式、電阻式以及光學式)等種類的觸控技術，或是具備滑鼠、鍵盤等輸入裝置。顯示單元105用以顯示任何類型之使用者介面(UI)。

處理單元107與儲存單元101、通訊模組103及顯示單元105連接，處理單元107可以是中央處理單元(CPU)，或是其他可程式化之一般用途或特殊用途的微處理器(Microprocessor)、數位信號處理器(DSP)、可程式化控制器、特殊應用積體電路(ASIC)或其他類似元件或上述元件的組合。在本發明實施例中，處理單元107用以執行用戶端設備100的所有作業，且可存取並執行上述儲存單元101中記錄的模組。

需說明的是，為了方便說明，本實施例僅列舉一用戶端設備100，然於其他實施例中通訊系統1可能包括更多用戶端設備100，但不以此為限。

伺服器200是伺服器設備包括儲存單元201、通訊模組203及處理單元207。伺服器200與用戶端設備100相同或相似的元件可參照前述說明，於此不再贅述。此外，儲存單元201紀錄防火牆連線模組201_1、防火牆功能模組201_2、資料庫模組201_3等部分、使用者資訊、用戶端IP等身份認證相關資訊等。資料庫模組203儲存網路服務資訊204，網路服務資訊204是指防火牆系統(即，伺服器200)中屬於特定用戶端設備100的網路防火牆規則，且與用戶端設備100及其使用者有相關性。

伺服器200可存取網路A 11與網路B 12，而用戶端設備100處於網路A 11，且用戶端設備100需透過伺服器200存取網路B 12。值得注意的是，通訊系統1更包括處於網路B 12的一或更多個服務伺服器（圖未示）來提供網路服務300（例如，網路服務A~D分別代表人事差勤系統、圖書管理系統、公文處理系或某一子網段的服務存取等等。

請參閱圖2係本發明一實施例說明動態防火牆規則管理方法之流程圖，假設TCP/IP網路環境下：

步驟S21：用戶端設備100之處理單元107載入並執行用戶端軟體101_1。

步驟S22：啟動使用者介面模組101_5。例如，圖3係一範例說明使用者介面模組101_5透過顯示單元105呈現的主圖形化使用者介面(GUI) 301，此主GUI 301包括使用者認證GUI 304及網路服務顯示GUI 305。

步驟S23：使用者可透過使用者認證GUI 304輸入使用者帳號及密碼，以進行身分認證程序之操作動作。需說明的是，身分認證所需資訊不限於帳號密碼，其他諸如憑證PIN碼快速響應(QR)碼、特殊代碼等皆可應用。

步驟S24：用戶端連線模組101_3透過通訊模組103而經由伺服器200之通訊模組203與防火牆連線模組201_1進行身分程序認證之連線動作。伺服器200之防火牆連線模組201_1即確認用戶端設備100是否通過身分認證程序。若認證結果正確(通過或符合儲存單元201所紀錄的使用者資訊) ，則防火牆連線模組201_1設定用戶端設備100的登入狀態係登入。若認證錯誤(未通過或不符合儲存單元201所紀錄的使用者資訊)情況下，防火牆連線模組201_1會透過通訊模組203而經由通訊模組103回覆認證錯誤訊息給用戶端連線模組101_5，並設定用戶端設備100的登入狀態係未登入。此時，程序返回到步驟S23，用戶端設備100可要求使用者重新提出認證資訊（例如，使用者帳號及密碼）。

步驟S25：若登入狀態係登入，則防火牆連線模組201_1根據使用者ID(即對應於用戶端設備100的識別碼)向資料庫模組201_3取得用戶端設備100所屬的網路服務資訊204。

例如，表(1)係一範例說明網路服務資訊204之內容，網路服務資訊204是一種防火牆規則加上使用者資訊的集合，單一條(列)子規則之內容包含有（但不僅限於）使用者ID、來源端、目的端、來源埠號、目的埠號、服務協議、服務動作。來源端、目的端可以是單一IP，也可以是一個網段。服務協議是TCP、UDP、ICMP等等網路協議。服務動作是接受(ACCEPT)或是拒絕(DENY)。表(1)

步驟S26：防火牆功能模組201_2開啟(或啟用)針對用戶端設備100所屬的網路服務資訊204(防火牆規則對應之子規則)。防火牆功能模組201_2係將用戶端設備100的位址資訊及網路服務資訊新增至防火牆規則。

例如，表(2)係一範例說明防火牆規則。表(2)

當用戶端設備100之登入狀態係登入時，防火牆功能模組201_2將用戶端設備100的位址資訊(例如，IP位址)填入(置換)表(1)中使用者IP欄位，再將此用戶端設備100相關對應的網路服務資訊204寫入防火牆功能模組201_2之防火牆規則 (表(2))，從而形成表(3)。表(3)

步驟S27：防火牆連線模組201_1透過通訊模組203而經由通訊模組103將用戶端設備100所屬的(加密)網路服務資訊204傳給用戶端連線模組101_3。

例如，表(4)係一範例說明調整後且送至用戶端設備100之網路服務資訊204，其包括服務名稱、服務動作為接受之服務，並為單一服務的內容，內容中包含來源端IP、目的端IP、來源埠號、目的埠號與服務協議。表(4)

步驟S28：用戶端連線模組101_3收到網路服務資訊204後，(解密後，)使用者介面模組101_5透過顯示單元105將網路服務資訊204顯示在例如是圖3之網路服務顯示GUI 305上。

步驟S29：用戶端設備100即可依據網路服務資訊204上的防火牆規則連線並存取防火牆後端(即，網路B 12端)的網路服務300。換言之，若登入狀態係登出或未登入，則用戶端設備100無法透過伺服器200存取網路服務(防火牆規則未允許用戶端設備100存取)。

此外，用戶端軟體101_1更可提供網路服務資訊204對應的功能，以存取網路服務300。例如，依據網路服務300內容產生相對應的GUI超連結(Hyperlink)提供使用者點選。用戶端軟體101_1亦可依據服務型態啟動相對應的應用程式(如80/443埠(port)服務使用瀏覽器)，並根據服務網址IP與服務埠號決定應用程式要連線的網址URL（Uniform Resource Locator)。

然登入狀態不限於用戶端設備100登入的前述情境，以下接續說明登出情境。請參閱圖4所係本發明另一實施例說明動態防火牆規則管理方法之流程圖，此情境係用戶端設備100請求登出伺服器200防火牆系統之運作流程圖：

步驟S41：用戶端設備100執行用戶端軟體101_1，此時登入狀態係登入。

步驟S42：用戶端軟體101_1執行登出動作，並透過通訊模組103傳送登出訊息。

步驟S43：伺服器200之防火牆連線模組201_1接收來自用戶端設備100的登出訊息。

步驟S44：防火牆功能模組201_3關閉(或禁能)用戶端設備100所屬的網路服務資訊204(防火牆規則對應之子規則)。

步驟S45：防火牆連線模組201_1修改資料庫模組201_3中用戶端設備100的登入狀態為登出(或未登入)。防火牆功能模組201_3自防火牆規則中移除用戶端設備100相關的子規則。

步驟S46：用戶端連線模組101_3更改登入狀態為登出(或未登入)並透過使用者介面模組101_5在顯示單元105上呈現更改之登入狀態。

以上所述，僅為本發明其中的較佳實施例而已，並非用來限定本發明的實施範圍；即凡依本發明申請專利範圍所作的均等變化與修飾，皆為本發明專利範圍所涵蓋。

特點及功效

其他習用技術相互比較時，更具備下列優點：

1.本發明可針對現有固定防火牆規則進行改進，令使用者經認證登入後才開啟防火牆規則。當使用者為登出的狀態時，使用者的防火牆規則是關閉的，可大幅提升防火牆網路的安全性。

2.本發明可提供防火牆服務的使用管理與調度能力，可達到防火牆規則彈性調度、提升網路服務品質之功效。

3.本發明可提供使用者防火牆服務列表顯示功能，使用者可清楚其使用服務權限，達到使用者服務之管控功能。

上列詳細說明乃針對本發明之一可行實施例進行具體說明，惟該實施例並非用以限制本發明之專利範圍，凡未脫離本發明技藝精神所為之等效實施或變更，均應包含於本案之專利範圍中。

1‧‧‧通訊系統

11‧‧‧網路A

12‧‧‧網路B

100‧‧‧用戶端設備

101‧‧‧儲存單元

101_1‧‧‧用戶端軟體

101_3‧‧‧用戶端連線模組

101_5‧‧‧使用者介面模組

103, 203‧‧‧通訊模組

105‧‧‧顯示單元

107, 207‧‧‧處理單元

200‧‧‧防火牆伺服器

201_1‧‧‧防火牆連線模組

201_2‧‧‧防火牆功能模組

201_3‧‧‧資料庫模組

204‧‧‧網路服務資訊

300‧‧‧網路服務

S21~S29‧‧‧步驟

301‧‧‧主圖形化使用者介面

304‧‧‧使用者認證圖形化使用者介面

305‧‧‧網路服務顯示圖形化使用者介面

S41~S46‧‧‧步驟

圖1係依據本發明一實施例說明之通訊系統之網路架構圖；圖2係依據本發明一實施例說明防火牆規則管理方法之流程圖；圖3係一範例說明主圖形化使用者界面；圖4係本發明另一實施例說明防火牆規則管理方法之流程圖。

Claims

一種防火牆規則管理方法，適用於一伺服器依據一防火牆規則管理至少一用戶端設備存取至少一網路服務，該防火牆規則管理方法包括：取得該至少一用戶端設備存取該伺服器登入狀態，其中該至少一用戶端設備係透過該伺服器存取該至少一網路服務；以及依據該至少一用戶端設備的登入狀態動態調整該防火牆規則，其中該防火牆規則包括至少一子規則，而每一該子規則包括一使用者識別碼欄位，該使用者識別碼欄位對應的內容指示該子規則是專屬於一該用戶端設備，其中，若使用者識別碼欄位內容是對應於所有用戶端設備，則表示該子規則適用於所有用戶端設備。
如申請專利範圍第1項所述之防火牆規則管理方法，其中依據該至少一用戶端設備的登入狀態動態調整該防火牆規則的步驟包括：若該登入狀態係登入，則取得該至少一用戶端設備對應的網路服務資訊；以及依據該網路服務資訊設定該防火牆規則。
如申請專利範圍第1項所述之防火牆規則管理方法，其中取得該至少一用戶端設備存取該伺服器的登入狀態的步驟包括：判斷該至少一用戶端設備是否通過一身份認證程序；若該至少一用戶端設備通過該身份認證程序，則該登入狀態係登入；以及若該至少一用戶端設備未通過該身份認證程序，則該登入狀態係未登入。
如申請專利範圍第2項所述之防火牆規則管理方法，其中依據該網路服務資訊設定該防火牆規則的步驟包括：將該至少一用戶端設備的位址資訊及該網路服務資訊新增至該防火牆規則，並開啟該至少一用戶端設備所屬的防火牆規則。
如申請專利範圍第2項所述之防火牆規則管理方法，其中依據該至少一用戶端設備的登入狀態動態調整該防火牆規則的步驟包括：若該登入狀態係登出，則自該防火牆規則中移除該至少一用戶端設備相關的子規則，並關閉該至少一用戶端設備所屬的防火牆規則。
如申請專利範圍第2項所述之防火牆規則管理方法，其中取得該至少一用戶端設備對應的網路服務資訊的步驟之後，更包括：傳送該網路服務資訊；以及該用戶端設備提供該網路服務資訊對應的功能，以存取該至少一網路服務。
如申請專利範圍第1項所述之防火牆規則管理方法，其中依據該至少一用戶端設備的登入狀態動態調整該防火牆規則的步驟之後，更包括：若該登入狀態為登入時，則該至少一用戶端設備可透過該伺服器存取防火牆對應之網路服務；以及若該登入狀態不為登入時，則該至少一用戶端設備無法透過該伺服器存取防火牆該至少一網路服務。
一種伺服器，依據一防火牆規則管理至少一用戶端設備存取至少一網路服務，該伺服器並包括：一儲存單元，紀錄該防火牆規則及多個模組；一通訊模組，存取網路；以及一處理單元，耦接該儲存單元及該通訊模組，且存取並執行該儲存單元所儲存的該些模組，該些模組包括：一防火牆連線模組，取得該至少一用戶端設備存取該伺服器的登入狀態，其中該至少一用戶端設備係透過該伺服器存取該至少一網路服務；以及一防火牆功能模組，依據該至少一用戶端設備的登入狀態動態調整該防火牆規則，其中該防火牆規則包括至少一子規則，而每一該子規則包括一使用者識別碼欄位，該使用者識別碼欄位對應的內容指示該子規則是專屬於一該用戶端設備，其中，若使用者識別碼欄位內容是對應於所有用戶端設備，則表示該子規則適用於所有用戶端設備。
如申請專利範圍第8項所述之伺服器，其中若該登入狀態為登入，則該至少一用戶端設備可透過該伺服器存取對應之網路服務；以及若該登入狀態不為登入，則該至少一用戶端設備無法透過該伺服器存取該至少一網路服務。