專利名稱:監(jiān)測和控制通信網(wǎng)絡(luò)中數(shù)據(jù)傳輸?shù)姆椒?����、系統(tǒng)和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及監(jiān)測和控制通信網(wǎng)絡(luò)中數(shù)據(jù)傳輸?shù)姆椒?���、系統(tǒng)和裝置����。本發(fā)明尤其涉及一種方法��、系統(tǒng)和網(wǎng)關(guān)���,來允許一個組織監(jiān)測和控制一個內(nèi)部網(wǎng)絡(luò)中多個終端的數(shù)據(jù)使用和在線時間��。但是�,可以想象本方法���、系統(tǒng)和裝置具有其它應(yīng)用���。
背景技術(shù):
現(xiàn)在,極少有商業(yè)�����、組織�����、企業(yè)或類似組織不依靠一種或另一種的一個或多個計算機系統(tǒng)。在范圍的一端�,計算機系統(tǒng)可以是由具有單個雇員的一個小型商業(yè)使用的單個的臺式個人計算機/工作站/終端,或者在范圍的另一端�,計算機系統(tǒng)可以包括數(shù)十、數(shù)百或數(shù)千個終端��,這些終端通過連接到一個或多個主機的不同網(wǎng)絡(luò)上的多個服務(wù)器而被連接到同一個系統(tǒng)���。
無論計算機系統(tǒng)的大小如何�,常常需要訪問除了終端所連接的通信網(wǎng)絡(luò)之外的一個通信網(wǎng)絡(luò)���。例如�����,為訪問如因特網(wǎng)的一個外部通信網(wǎng)絡(luò),需要一個因特網(wǎng)服務(wù)或訪問提供者(ISP/IAP)�。通常,ISP/IAP提供每月費用所必需的軟件����、用戶名、密碼���、等等��。該費用可以是固定的費用�,如利用寬帶連接,或可以是取決于在線時間的量和/或如上傳和/或下載所傳輸?shù)臄?shù)據(jù)量���。
所希望的是�����,單個用戶和/或組織例如出于一致和/或安全的目的�,能夠監(jiān)測連接到另一個通信網(wǎng)絡(luò)所花費的時間量和通過該連接傳送的數(shù)據(jù)量�����。
回到因特網(wǎng)訪問的示例�����,例如����,一種監(jiān)測在線時間的已知方法被網(wǎng)吧采用,該方法使得網(wǎng)吧能夠根據(jù)客戶在預(yù)置比率下的使用時間來結(jié)算,該預(yù)置比率取決于例如客戶使用的種類�����,如游戲�����、瀏覽�����、局域網(wǎng)�����。一種這樣的由Advanced Corn Tech有限公司開發(fā)的產(chǎn)品被稱為GetoManager�����,并且該產(chǎn)品的詳細資料在www.swplaza.co.kr網(wǎng)站上被公開�����。這個系統(tǒng)包括許多聯(lián)網(wǎng)到一個管理終端(服務(wù)器)的用戶終端����,該系統(tǒng)可以被會員和非會員使用。一旦用戶用一個ID登錄����,計時器就自動與計費器一起起動。如果用戶變到另一個終端�,則自動處理這一變化。利用一張卡或會員ID在收款柜臺結(jié)算費用����。在這個系統(tǒng)中,開始時間�、如先期和后期支付詳情的帳戶詳細資料、持續(xù)時間和費率可被監(jiān)測和顯示在管理終端上�,例如在網(wǎng)吧的柜臺上。一些詳細資料也可以顯示在用戶的終端上�。管理終端具有的控制功能包括自動鎖定/解鎖、重新啟動和/或個人終端的電源關(guān)閉����。然而,該產(chǎn)品不能夠監(jiān)測每個終端上傳或下載的數(shù)據(jù)量����。
數(shù)據(jù)量的監(jiān)測可以在利用傳統(tǒng)DU儀表的單獨的工作站上執(zhí)行���,該DU儀表表示出上傳和/或下載的數(shù)據(jù)量以及上傳/下載速率。HagelTechnologies公司的DU儀表的詳細內(nèi)容在http//www.dumeter.com網(wǎng)站上有描述�。DU儀表允許用戶來設(shè)置監(jiān)測時段,當(dāng)上傳和/或下載的數(shù)據(jù)量在用戶指定的時段內(nèi)超過用戶指定的量時提供告警���,以及當(dāng)在線時間超過用戶指定的時間限定時提供告警��。但是�����,該設(shè)備在單獨的機器上才相對精確地運行�����。例如�,在連接到因特網(wǎng)的多用戶終端的一個內(nèi)部網(wǎng)絡(luò)中���,DU儀表將記錄安裝DU儀表的終端上到達的所有通信量�����,包括通過因特網(wǎng)網(wǎng)關(guān)的通信量和多個用戶終端之間的串話�����。DU儀表不能夠辨別數(shù)據(jù)包的功能或其來源��。
因此�,存在一種需要�,即需要一種系統(tǒng)和/或方法和/或裝置來實現(xiàn)對連接到一個或多個通信網(wǎng)絡(luò)的多個終端上的任何一個或多個用戶的數(shù)據(jù)使用和時間使用的監(jiān)測。還希望該系統(tǒng)和/或方法和/或裝置能夠分析用戶/終端的數(shù)據(jù)和時間的使用����,并且包括一些安全措施來允許/拒絕訪問一個或多個外部通信網(wǎng)絡(luò)。
發(fā)明內(nèi)容
根據(jù)本發(fā)明的一個方面����,盡管它不需要是唯一的或真正是最主要的方面,本發(fā)明在于��,通過網(wǎng)關(guān)和防火墻監(jiān)測和控制連接到第一個通信網(wǎng)絡(luò)的每個用戶終端與第二個通信網(wǎng)絡(luò)之間的數(shù)據(jù)傳輸?shù)姆椒?����,所述方法包括多個步驟
從每個要求訪問所述的第二個通信網(wǎng)絡(luò)的所述用戶終端向所述網(wǎng)關(guān)發(fā)送一個訪問請求�;所述網(wǎng)關(guān)讀取每個所述的訪問請求;基于每個所述用戶終端驗證的IP地址�,修改所述防火墻中的至少一個訪問規(guī)則以允許每個請求訪問的所述用戶終端進行訪問�����;和同時在所述防火墻監(jiān)測每個所述用戶終端與所述第二個通信網(wǎng)絡(luò)之間的數(shù)據(jù)傳輸��。
本方法進一步包括動態(tài)控制每個所述用戶終端實時可用的帶寬的步驟�����。有限的帶寬可以被迅速地(on the fly)分配給單個的用戶終端�����、多個用戶終端和/或一個和/或多個指定的用戶帳戶�����?����?梢钥刂粕蟼骱?或下載數(shù)據(jù)的帶寬�����。
本方法進一步包括使能和/或禁止到每個用戶終端的訪問的一個或多個端口的步驟����。
可選地,單臺機器可以包括網(wǎng)關(guān)和防火墻���。可替代地��,防火墻可以在與網(wǎng)關(guān)不同的一臺機器上����。
IP地址的驗證優(yōu)選地由網(wǎng)關(guān)來執(zhí)行?���?梢岳眉用?解密處理來進行驗證。
本方法進一步包括從連接到第一個通信網(wǎng)絡(luò)的管理終端來控制一個用戶終端訪問第二個通信網(wǎng)絡(luò)的步驟���。
本方法可進一步包括監(jiān)測一個用戶終端訪問第二個通信網(wǎng)絡(luò)的時間段的步驟��。
本方法可進一步包括監(jiān)測一個用戶終端上傳和/或下載的數(shù)據(jù)量的步驟����。
本方法可進一步包括監(jiān)測已經(jīng)訪問第二個通信網(wǎng)絡(luò)的用戶終端中的一個用戶的費用的步驟����。
根據(jù)另一個方面�,本發(fā)明在于監(jiān)測和控制通信網(wǎng)絡(luò)中數(shù)據(jù)傳輸?shù)囊粋€系統(tǒng)�,所述系統(tǒng)包括連接到第一個通信網(wǎng)絡(luò)的一個或多個用戶終端;通過網(wǎng)關(guān)和防火墻連接到所述第一個通信網(wǎng)絡(luò)的第二個通信網(wǎng)絡(luò)���;其中所述防火墻同時為具有已經(jīng)訪問所述第二個通信網(wǎng)絡(luò)的驗證的IP地址的每個用戶終端���,監(jiān)測每個所述用戶終端與所述第二個通信網(wǎng)絡(luò)之間的數(shù)據(jù)傳輸。
優(yōu)選地�,單臺機器可以包括網(wǎng)關(guān)和防火墻?�?商娲?��,防火墻可以在與網(wǎng)關(guān)不同的一臺機器中��。
IP地址的驗證優(yōu)選地由網(wǎng)關(guān)來執(zhí)行并且可以包括加密/解密處理來驗證一個遠程終端���。
本系統(tǒng)可以進一步包括動態(tài)控制每個所述用戶終端實時可用的帶寬。有限的帶寬可以被迅速地分配給單個的用戶終端�、多個用戶終端和/或一個和/或多個指定的用戶賬戶。可以控制來上傳和/或下載數(shù)據(jù)的帶寬��。
根據(jù)更進一步的一個方面���,本發(fā)明存在一個用于監(jiān)測和控制通信網(wǎng)絡(luò)中的數(shù)據(jù)傳輸?shù)木W(wǎng)關(guān)���,所述網(wǎng)關(guān)包括一個防火墻,用于允許連接到第一個通信網(wǎng)絡(luò)上的具有驗證的IP地址的每個用戶終端訪問第二個通信網(wǎng)絡(luò)���;其中,所述網(wǎng)關(guān)在所述防火墻上同時監(jiān)測每個所述用戶終端與所述第二個通信網(wǎng)絡(luò)之間的數(shù)據(jù)傳輸。
網(wǎng)關(guān)可進一步包括用于動態(tài)控制實時地分配給每個所述用戶終端帶寬的方法。
網(wǎng)關(guān)可進一步包括允許和/或禁止到每個用戶終端的訪問的一個或多個端口的方法�。
從下面的描述中,本發(fā)明的進一步的方面和特點將變得更明顯�����。
為幫助理解本發(fā)明和使本領(lǐng)域的技術(shù)人員能夠?qū)⒈景l(fā)明應(yīng)用于實踐的效果���,將通過參考有關(guān)附圖的舉例的方式描述本發(fā)明的一些優(yōu)選
具體實施例方式
本發(fā)明的方法可以在圖1所示的本發(fā)明的系統(tǒng)內(nèi)實現(xiàn)。圖1可以表示一個例如在網(wǎng)吧�����,小型�����、中型或大型商業(yè)或利用計算機系統(tǒng)的其它形式的組織中的計算機系統(tǒng)。但是���,本發(fā)明的系統(tǒng)不限于圖1中的示例����,本發(fā)明的系統(tǒng)可以應(yīng)用于由網(wǎng)關(guān)連接的任何兩個通信網(wǎng)絡(luò)�。
圖1中的系統(tǒng)包括一個或多個用戶終端4和連接到網(wǎng)關(guān)終端6的一個或多個管理終端2。管理終端2也可以被認為是用戶終端�����。用戶終端4����、管理終端2和網(wǎng)關(guān)6一起可以被認為是以內(nèi)部網(wǎng)絡(luò)7的形式存在的第一個通信網(wǎng)絡(luò)。網(wǎng)關(guān)6也可以包括一個防火墻8����,該防火墻8利用任何已知的允許可定制規(guī)則的防火墻技術(shù)?���?商娲?����,防火墻8可以被安裝在單獨的機器上���,如安裝在連接到網(wǎng)關(guān)6的終端9上。內(nèi)部網(wǎng)絡(luò)7通過網(wǎng)關(guān)6與以一個或多個外部網(wǎng)絡(luò)10的形式存在的一個或多個第二個通信網(wǎng)絡(luò)通信��。這樣的外部網(wǎng)絡(luò)10位于內(nèi)部網(wǎng)絡(luò)7的外部���,并且可以是因特網(wǎng)����、廣域網(wǎng)或基于因特網(wǎng)協(xié)議TCP/IP的任何網(wǎng)絡(luò)的安全區(qū)間���。本領(lǐng)域的技術(shù)人員將意識到,網(wǎng)關(guān)6也可以與網(wǎng)關(guān)和外部網(wǎng)絡(luò)10之間的一個路由器相連��,并與網(wǎng)關(guān)6和終端2����、4之間的交換機相連,以指引信息出入網(wǎng)關(guān)6。
作為對圖1所示系統(tǒng)的替代���,本發(fā)明的系統(tǒng)可包括位于兩個公共網(wǎng)之間或位于兩個專用網(wǎng)之間的網(wǎng)關(guān)6和防火墻8����,因此本發(fā)明的系統(tǒng)和方法不限于圖1所示的內(nèi)部和外部網(wǎng)絡(luò)����。因而可以理解,下面示例中所提到的內(nèi)部和外部網(wǎng)絡(luò)可以替換為公共網(wǎng)或?qū)S镁W(wǎng)或其組合�。
進一步參考圖2所示的流程圖和圖3-6所示的屏幕抓圖來描述本發(fā)明的方法。在步驟20���,設(shè)定如游戲���、瀏覽或其它功能的登錄的級別,如果合適的話���,定價的級別也被設(shè)定�。圖4中表示了一些示例�����。活動的記錄是由防火墻8來進行的����,并可以在如每Mb的每個數(shù)據(jù)量的基礎(chǔ)上來進行,和/或在如每秒����、每分鐘或其它時段的每個單位時間基礎(chǔ)上進行。例如�,可以以每單位時間的一個預(yù)設(shè)費用來記錄時間?����;蚩商娲?,也可存在數(shù)據(jù)上傳和/或下載的限制,這樣如果超過了限制�����,除了用戶在終端上花費的時間之外或作為對用戶在終端上花費的時間的替代�,可以產(chǎn)生更多的收費��?���?商娲?����,可以根據(jù)時間或上傳/下載所產(chǎn)生的費用中的較大的一個而收取費用�����?����?衫斫獾氖?����,有許多變換��,通過這些變換而進行記錄���,并且本發(fā)明不限于任何特定的變換。
在步驟22�,如網(wǎng)吧中的一名消費者或企業(yè)中的一名雇員的用戶登錄一個用戶終端4?�?梢杂腥魏螖?shù)量的定價級別、種類或計時分類���、等等����,這取決于如大型組織��、因特網(wǎng)吧的特定的用戶和/或應(yīng)用����。
參考圖2中的步驟24,如果用戶不需要訪問一個如因特網(wǎng)的外部網(wǎng)絡(luò)10���,本發(fā)明的監(jiān)測和控制方法不起作用�����,一旦用戶登錄���,允許用戶進入自己的網(wǎng)絡(luò)內(nèi),即不是在外部網(wǎng)絡(luò)中���。但是���,如果用戶確實有如因特網(wǎng)訪問的要求,包含用戶終端的因特網(wǎng)協(xié)議(IP)地址的數(shù)據(jù)包形式的訪問請求被添加到網(wǎng)關(guān)6中的一個訪問隊列中���,如步驟26所示���。然而,運行速度是足夠高的�,因而通常不需要排隊就可以非常及時地將請求處理。
當(dāng)IP地址被網(wǎng)關(guān)6讀取�����,該網(wǎng)關(guān)產(chǎn)生一個準則來指示防火墻8允許訪問該IP地址�。防火墻8遵照產(chǎn)生的準則并且允許外部網(wǎng)絡(luò)訪問該IP地址,如步驟28所示���,對于外部網(wǎng)絡(luò)10的訪問����,網(wǎng)關(guān)6通過用戶名和密碼來驗證所提供的IP地址����。通過修改防火墻所遵循的一系列準則中的一個或多個準則批準用戶和終端訪問一個外部網(wǎng)絡(luò)���。這些準則促使防火墻允許或拒絕對特定IP地址的網(wǎng)絡(luò)訪問。準則可被添加或刪除��?���?商娲兀F(xiàn)有的準則可被改變/更新以允許或拒絕外部網(wǎng)絡(luò)訪問�。
圖3表示管理終端2上可用的一個監(jiān)測和控制界面,該界面可表示出被使用的和沒被使用的終端�����。除了終端的用戶之外�����,每個終端的身份和每個終端在其網(wǎng)絡(luò)中所屬于的區(qū)段都被顯示出來�。使用的時間,以Mbs表示的下載的數(shù)據(jù)量和有關(guān)的費用都被顯示出來����。
當(dāng)允許一個特定的終端訪問外部網(wǎng)絡(luò)時,可以使能或禁止該終端的特定訪問端口號以分別允許/禁止特定活動,如游戲和/或瀏覽和/或從終端上進行的其它活動�����。使能/禁止對一個終端訪問的特定端口可能依賴于特定的用戶和/或特定的終端�����。端口的使能/禁止訪問是由提供給防火墻8的并為防火墻8所遵循的準則來控制���。例如,當(dāng)創(chuàng)建了一個用戶賬戶時�����,準則可以被建立起來����。缺省選項可以是所有端口都被激活以允許在一個終端上的所有活動,如圖6中左上角所示的情況���。
圖6也顯示了����,對于“Allow All Ports”(“允許所有端口”)或“Block All Ports”(“阻塞所有端口”)的設(shè)定可以指定一些例外情況。例如圖6所示���,對于Arron(1)帳戶���,因為在特例區(qū)域中SSH框被選中,所以除了SSH(安全外殼)之外的所有端口被允許進行所有活動�。SSH允許用戶通過外部通信網(wǎng)絡(luò)或其他網(wǎng)絡(luò)登錄到另一個終端,以在遠程終端中執(zhí)行命令和從一臺機器向另一臺機器移動文件����。一個或多個例外情況的框可以被選中,根據(jù)這些端口的“Block”(“阻塞”)或“Allow”(“允許”)框是否被分別選中����,來允許或禁止該框所表示的活動。另一個示例可能是HTML被允許��,但沒有其它類型的數(shù)據(jù)傳輸���。
進一步參考圖6�,分配給一個或多個終端的帶寬或數(shù)據(jù)傳輸速率也可以由本發(fā)明的系統(tǒng)和方法動態(tài)地迅速地控制�。帶寬可以被全局地或局部地被控制并且實時地不干涉終端所連接的網(wǎng)絡(luò)或另外地中斷通信的網(wǎng)絡(luò)。
全局帶寬設(shè)定影響連接到網(wǎng)關(guān)6的每個終端����,并且對于設(shè)定的任何變化在全局被實現(xiàn)���。例如,如果通常用于因特網(wǎng)連接的端口80在全局被阻塞�,連接到網(wǎng)關(guān)6的每個終端將不能通過端口80訪問因特網(wǎng)。在另一個示例中��,如果分配如2Mb/s的一個帶寬用于網(wǎng)絡(luò)訪問�����,連接到因特網(wǎng)的所有終端將分享該2Mb/s的帶寬���。
局部帶寬設(shè)定只影響一個或多個特定的終端或用戶帳戶。例如���,一個特定的帶寬可被分配給一個特定終端���,如管理終端2。另一方面���,如圖6所示���,分配給一個用戶帳戶一個特定的帶寬的優(yōu)勢是�����,該用戶將能夠使用其分配的特定帶寬�����,而與他們登錄的終端無關(guān)�。在圖6所示的示例中����,對于Arron(1)用戶帳戶,沒有為上傳設(shè)定帶寬限制���,但下載帶寬限于10Mb/s����。
帶寬控制的進一步的一個特點是����,如圖6所示,可為帶寬限制指定例外情況���。例如�,在圖6中,如同上述端口限制的示例一樣���,SSH(安全外殼)框被選中����。在該示例中�����,10Mb/s的下載帶寬限制因而將不能用于該用戶帳戶的SSH下載操作����。其它的如圖6中所示的非窮盡示例的帶寬限制例外���,是用于本領(lǐng)域的技術(shù)人員熟悉的協(xié)議/應(yīng)用/網(wǎng)絡(luò)���。
本發(fā)明的動態(tài)帶寬分配的特點允許如所需要的那樣分配帶寬給用戶、終端和/或其分組����。例如����,如學(xué)校和其它教育團體的組織通常只有有限的帶寬分配���,本發(fā)明允許帶寬或其一部分被分配到用于例如媒體流動事件的一個或多個終端���。帶寬分配可以是在一個規(guī)定的時段內(nèi),該時段之后���,帶寬可以被重新分配�,如分配給一個或多個不同的終端����。
帶寬分配可以是基于優(yōu)先權(quán)的,因此�����,用戶和/或特定的終端被分配一個優(yōu)先權(quán)��,如數(shù)字1到5����。如果兩個或多個終端和/或用戶正在競爭帶寬�����,具有最高優(yōu)先權(quán)的終端和/或用戶被分配給帶寬����。
另一種情況可以是如一所醫(yī)院的一個醫(yī)療環(huán)境���,其中帶寬需求可以迅速地變化����。例如����,包含如X射線��、MRI和/或CAT掃描的醫(yī)療圖像的數(shù)據(jù)文件可能是很大�����,該數(shù)據(jù)文件常常需要在醫(yī)療組織的內(nèi)部網(wǎng)絡(luò)之間和醫(yī)療組織之間的網(wǎng)絡(luò)被傳輸�����。帶寬可被動態(tài)地分配以方便這些文件的傳輸。這可使這些文件被迅速地傳輸����,這在緊急情況下常常是必要的,這也可以防止醫(yī)療組織的計算機系統(tǒng)在文件被傳輸時而慢慢停下來����。
一旦到一個特定IP地址的網(wǎng)絡(luò)訪問被允許,由防火墻8來著手該終端活動的記錄����,如在圖2中步驟30所表示的。記錄的數(shù)據(jù)類型包括開始時間��、當(dāng)前會話時間�、該會話所產(chǎn)生金錢費用、用戶/消費者限制(根據(jù)時間����、支出和/或數(shù)據(jù)量),帳戶類型(如借方或貸方)和/或帳戶狀態(tài)�。防火墻8為連接到外部網(wǎng)絡(luò)10的每一個特定IP地址記錄這些信息。然后����,該數(shù)據(jù)可以由網(wǎng)關(guān)6來請求并如下文中所描述的那樣被顯示�。
一旦用戶登錄并且可以訪問外部網(wǎng)絡(luò)10��,該用戶不可能例如通過點擊“返回”按鈕回復(fù)到登錄之前的原來的屏幕�����,來試圖規(guī)避由本發(fā)明方法進行的對他們的會話的監(jiān)測和記錄�。
一旦用戶已經(jīng)完成了他們的會話,如在一個企業(yè)雇員的一個工作日的結(jié)束的情況�����,用戶可以退出終端���,如步驟32所示�?���?商娲?,例如如果用戶的預(yù)定時間限制已經(jīng)屆滿,網(wǎng)關(guān)6和防火墻8可以使用戶退出外部網(wǎng)絡(luò)10退出和從外部網(wǎng)絡(luò)10斷開連接���?����?梢赃@樣設(shè)定以使用戶的會話可以被自動地終止�。可替代地����,管理終端2的操作員可以通過啟動一個斷開請求來影響會話的終止。這樣�����,操作員可以在會話終止之前通知用戶��,以避免用戶丟失任何重要數(shù)據(jù)��。用戶可以只終止其自己的會話而不終止其他用戶的會話��,除非這是通過管理終端2來這樣做�。這種情況下,這應(yīng)該是被授權(quán)的工作人員����,如在一個組織或網(wǎng)吧中,工作人員將具有使用管理終端2的所需要的用戶名和密碼。
無論是由用戶還是由來自管理終端2的請求��,一旦啟動退出����,包含要被斷開的終端的IP地址的以數(shù)據(jù)包形式存在的來自外部網(wǎng)絡(luò)的斷開請求,可以被添加到網(wǎng)關(guān)6中的一個斷開隊列中�����,如步驟34所示����。然而同樣,通常不需要排隊��,斷開請求將非常及時地被處理�����。
當(dāng)斷開請求的IP地址被讀取��,允許訪問該特定IP地址的規(guī)則從/在防火墻8中被移除/修改�����,并且防火墻使該IP地址不能訪問外部網(wǎng)絡(luò)�����,如圖2中步驟36所示�����。
一旦防火墻8已經(jīng)處理一個排隊的連接請求或斷開請求�����,該請求被從隊列中清除以防止錯誤地二次處理請求�。
基于防火墻8創(chuàng)建的數(shù)據(jù)日志,會話歷史由網(wǎng)關(guān)6保持�����,如步驟38所示���。每個會話歷史包含特定用戶終端和/或特定用戶的相關(guān)信息�。相關(guān)信息可包括終端和用戶ID�、登錄和退出次數(shù)、會話持續(xù)時間�、費率、消耗/上傳/下載數(shù)據(jù)量、數(shù)據(jù)上傳/下載限制�����、會話費用��、付款方式����、帳戶狀態(tài)、訪問的URL和訪問每個URL花費的時間����,以及其它類似信息。包含在會話歷史中的信息類型�,如所要求的,可以在每個用戶和/或每個終端基礎(chǔ)上由網(wǎng)關(guān)6和防火墻8決定��。該信息可以與服務(wù)提供者提供的帳單信息進行比較���。
可以在管理終端2上通過監(jiān)測和控制界面監(jiān)測用戶的活動�,例如�����,以表格的形式存在的監(jiān)測和控制界面顯示使用中的終端、沒使用的終端����、以及終端使用的相關(guān)數(shù)據(jù)�,如圖3-6所示和本文所描述。但是����,本發(fā)明不限于只在單個管理終端上可訪問監(jiān)測和控制界面。該界面可由可訪問管理控制的系統(tǒng)中的任何終端來訪問���。圖5表示顯示當(dāng)前定義的終端(機器)的詳細情況��,包括機器的身份���、機器所屬于的區(qū)段、機器的IP地址����、媒體訪問控制(MAC)地址,以及該終端是否是活動狀態(tài)���。
例如�,如果網(wǎng)關(guān)6有問題或沒有電源并且所有終端都不能訪問外部網(wǎng)絡(luò),本發(fā)明能夠使管理終端2來重新把每個終端與外部網(wǎng)絡(luò)連接���,這樣�,網(wǎng)絡(luò)在連接失去之前被連接(提供相關(guān)外部網(wǎng)絡(luò)的連接是可能的)�����。防火墻8收到來自管理終端2的一個請求以恢復(fù)外部網(wǎng)絡(luò)連接��。因為終端的IP地址原來已經(jīng)由網(wǎng)關(guān)6驗證并且由防火墻8使能�����,所以防火墻恢復(fù)連接到其原來的狀態(tài)����。對于該次會話,每個終端用戶不需要再次請求訪問外部網(wǎng)絡(luò)10���。
無論在作為管理終端來操作的哪一臺終端上可以訪問的監(jiān)測和控制界面���,提供給操作員其它控制特點,這些特點包括而不限于���,通常的設(shè)定特點�、支持選項、帳戶�、訪問設(shè)定和工作人員訪問編碼的顯示/編輯。
通常的設(shè)定特點提供了對防火墻8和/或網(wǎng)關(guān)6的控制���,使監(jiān)測和控制方法作為一個被動預(yù)定系統(tǒng)來操作��。這使時隙被分配給特定的用戶和/或特定終端。因此�����,如果一個特定時隙或終端已經(jīng)被預(yù)定�,而不同的用戶試圖在預(yù)定的時隙內(nèi)登錄預(yù)定的終端,對用戶和/或管理終端2的一個告警將被激活���。管理終端的操作員可被提供一個選項以忽略該時隙和/或終端預(yù)定�����。
根據(jù)其許可/資歷/安全檢查或者類似����,可以為不同的工作人員和管理者等類似人物設(shè)定各種級別的安全訪問。例如���,工作人員可以在屏幕上具有他們自己的日志���,通過本發(fā)明的方法能夠監(jiān)測和一定程度地控制其自己的終端使用。工作人員可以被允許能夠/不能夠訪問外部網(wǎng)絡(luò)���,但也許不能如查看為管理上的訪問而保留的清算資料�����。
支持選項特點可以例如為一個或多個替代服務(wù)器地址���,在那些通常的使用失敗的情況下提供身份和/或密碼。
例如在一個汽車旅館或教育團體中�,本發(fā)明可以被用作“walledgarden”。在控制的瀏覽環(huán)境內(nèi)的訪問站點可以是免費的�,但walledgarden之外的訪問站點可以產(chǎn)生費用。防火墻8將監(jiān)測所有訪問并且記錄相應(yīng)的費用��。
本發(fā)明的方法使上述有關(guān)工作人員/用戶訪問的數(shù)據(jù)被監(jiān)測����,并且使到終端外部的一個或多個網(wǎng)絡(luò)的訪問被監(jiān)測以能在每個用戶�����、每個機器的基礎(chǔ)上和/或在多個機器上的每個用戶的基礎(chǔ)上被遠程控制�。這不僅包括時間監(jiān)測����,也包括數(shù)據(jù)量使用監(jiān)測,因為每個IP地址���,即終端的通信量是由防火墻8來記錄并且在網(wǎng)關(guān)6被監(jiān)測的����。
因為本方法監(jiān)測通過網(wǎng)關(guān)6和防火墻8的所有通信量�,采用本方法的系統(tǒng)也對系統(tǒng)的安全缺口具有抵抗性����。來自外部終端11的未被授權(quán)的訪問的任何企圖將要求外部終端11的相關(guān)IP地址被識別。防火墻8為基于終端的IP地址和該終端的用戶輸入的用戶ID的每個終端創(chuàng)建日志���。防火墻的規(guī)則將不被改變/添加���,以允許外部終端11與因特網(wǎng)7之間通過防火墻8和網(wǎng)關(guān)6的訪問/通信流�����。因此���,外部終端不應(yīng)訪問內(nèi)部網(wǎng)絡(luò)7。進一步��,本發(fā)明的方法在一個短的時段��,如2秒之后��,周期性地重新啟動防火墻���。因此���,當(dāng)未被授權(quán)的外部終端11使防火墻8喪失能力時,防火墻將在短時間內(nèi)重啟��,以再次自動拒絕對未被允許的外部網(wǎng)絡(luò)11的訪問���。重啟的防火墻8將不包括外部網(wǎng)絡(luò)11的已驗證的IP地址���。未被授權(quán)的外部終端的任何活動將因此被識別�����,因為它們的活動將被記錄����,未被授權(quán)的外部終端11將由管理終端上的告警來識別�����。同樣地��,因為這些終端將具有未被識別的IP地址����,任何未被授權(quán)的終端不可以連接到網(wǎng)絡(luò)上。因此���,如在企業(yè)中的一名工作人員,或使用網(wǎng)吧的一名公眾不能把他們自己的機器連接到網(wǎng)絡(luò)上��。
本發(fā)明的方法����、系統(tǒng)和裝置也允許許可不是圖1所示內(nèi)部網(wǎng)絡(luò)7的一部分的一個或多個被授權(quán)的遠程終端訪問內(nèi)部網(wǎng)絡(luò)7�。例如�����,授權(quán)可以通過電子郵件和/或利用安全鑰匙來執(zhí)行�����。例如����,網(wǎng)關(guān)6可以包括由遠程終端12的用戶提供的一個公共加密鑰匙。遠程終端12的用戶將具有一個私人的加密/解密鑰匙���。當(dāng)遠程終端請求訪問內(nèi)部網(wǎng)絡(luò)7時�����,網(wǎng)關(guān)6將發(fā)送用公共鑰匙加密的消息給該遠程終端����。遠程終端12解密該加密的消息并且將該解密的消息回復(fù)給網(wǎng)關(guān)6�����。網(wǎng)關(guān)把收到的解密消息與原來未加密的消息進行比較。如果相同��,遠程終端的身份成功地得到驗證��,網(wǎng)關(guān)6授權(quán)遠程終端12訪問內(nèi)部網(wǎng)絡(luò)7�。然后,網(wǎng)關(guān)從訪問數(shù)據(jù)包得到遠程終端12的IP地址�����,并且網(wǎng)關(guān)可以像本文所描述的監(jiān)測終端4一樣監(jiān)測遠程終端12的活動��。如果原來消息與解密的消息不同�����,則因為遠程終端的身份沒有得到驗證而拒絕訪問��。用戶ID與密碼可以和安全鑰匙一起被使用�。允許遠程終端訪問的這一方法同時應(yīng)用于永久的和臨時的外部IP地址。遠程終端的活動也將被顯示在管理終端上��。
本發(fā)明方法操作在任何員工/用戶終端上具有HTML性能的操作系統(tǒng)上����,盡管Unix/Linux操作系統(tǒng)是優(yōu)選地。其中服務(wù)器一側(cè)需要的不僅僅是HTML性能��,服務(wù)器必須配置合適的操作系統(tǒng)的網(wǎng)關(guān)/防火墻結(jié)構(gòu)�����。
本發(fā)明可以與無線網(wǎng)絡(luò)�����、網(wǎng)絡(luò)打印機和/或通過TCP/IP協(xié)議工作的任何程序或設(shè)備來一起工作����。本方法也完全支持動態(tài)主機控制器協(xié)議(DHCP),并且在需要子網(wǎng)和多個網(wǎng)關(guān)的較大網(wǎng)絡(luò)上被使用����。本方法和網(wǎng)關(guān)可以通過本領(lǐng)域的技術(shù)人員熟悉的傳統(tǒng)的引導(dǎo)閃存來安裝。本發(fā)明不要求在被監(jiān)測的每個終端上安裝專業(yè)軟件����,不需要網(wǎng)絡(luò)的重新配置。軟件只要求被安裝在網(wǎng)關(guān)機器上�����,網(wǎng)關(guān)將搜索連接到網(wǎng)絡(luò)的機器。
本發(fā)明的另一個優(yōu)點是����,它不儲存任何由一些先有技術(shù)系統(tǒng)來執(zhí)行的數(shù)據(jù),如有關(guān)網(wǎng)頁的數(shù)據(jù)�����。因此�����,本發(fā)明使用戶能夠�,例如能看到當(dāng)前的網(wǎng)頁,可能看不到已經(jīng)隱藏的過時的網(wǎng)頁���。
整個說明的目的是描述本發(fā)明��,而不是把本發(fā)明限于任何一個實施例或特定的一組特點�。相關(guān)的本領(lǐng)域的技術(shù)人員可以從特定的實施例中實現(xiàn)各種變形����,但這些都是在本發(fā)明的范圍內(nèi)�����。
權(quán)利要求
1.一種通過網(wǎng)關(guān)和防火墻監(jiān)測和控制與第一個通信網(wǎng)絡(luò)連接的每個用戶終端和第二個通信網(wǎng)絡(luò)之間的數(shù)據(jù)傳輸?shù)姆椒ǎ龇椒òú襟E從每個要求訪問所述第二個通信網(wǎng)絡(luò)的所述用戶終端向所述網(wǎng)關(guān)發(fā)送一個訪問請求����;所述網(wǎng)關(guān)讀取每個所述的訪問請求;基于每個要求訪問的所述用戶終端的驗證的IP地址�,修改所述防火墻中的至少一個訪問規(guī)則以允許請求訪問的每個所述用戶終端進行訪問;和同時在所述防火墻監(jiān)測每個所述用戶終端與所述第二個通信網(wǎng)絡(luò)之間的數(shù)據(jù)傳輸����。
2.如權(quán)利要求1所述的方法,進一步包括動態(tài)地控制一個或多個所述用戶終端實時可用的帶寬的步驟�����。
3.如權(quán)利要求2所述的方法�����,其中一個有限的帶寬被分配給單個用戶終端�����。
4.如權(quán)利要求2所述的方法,其中一個有限的帶寬被多個用戶終端共享����。
5.如權(quán)利要求2所述的方法,其中用于上傳數(shù)據(jù)和/或下載數(shù)據(jù)的帶寬是有限的���。
6.如權(quán)利要求2所述的方法���,其中在規(guī)定時段內(nèi)將一個有限的帶寬分配給的一個或多個終端。
7.如權(quán)利要求2所述的方法�����,其中基于分配給一個或多個終端或用戶帳戶的優(yōu)先權(quán)的狀況��,一個有限的帶寬被分配給一個或多個終端�����。
8.如權(quán)利要求1所述的方法��,其中在用戶終端已經(jīng)由使用加密/解密處理的網(wǎng)關(guān)驗證的基礎(chǔ)上�����,來驗證用戶終端的IP地址。
9.如權(quán)利要求1所述的方法進一步包括使能和/或禁止一個或多個對用戶終端進行訪問的端口的步驟�����。
10.如權(quán)利要求1所述的方法進一步包括從連接到第一個通信網(wǎng)絡(luò)的管理終端來控制一個用戶終端訪問第二個通信網(wǎng)絡(luò)的步驟�。
11.如權(quán)利要求1所述的方法進一步包括監(jiān)測一個用戶終端訪問第二個通信網(wǎng)絡(luò)的時間段的步驟��。
12.如權(quán)利要求1所述的方法進一步包括監(jiān)測一個用戶終端上傳和/或下載的數(shù)據(jù)量的步驟��。
13.如權(quán)利要求1所述的方法進一步包括監(jiān)測已經(jīng)訪問第二個通信網(wǎng)絡(luò)的用戶終端中的一個用戶的費用的步驟�。
14.一種用于監(jiān)測和控制通信網(wǎng)絡(luò)中數(shù)據(jù)傳輸?shù)南到y(tǒng),所述系統(tǒng)包括連接到第一個通信網(wǎng)絡(luò)的一個或多個用戶終端����;通過網(wǎng)關(guān)和防火墻連接到所述第一個通信網(wǎng)絡(luò)的第二個通信網(wǎng)絡(luò);其中所述防火墻同時為具有已經(jīng)訪問所述第二個通信網(wǎng)絡(luò)的驗證的IP地址的每個用戶終端�����,監(jiān)測每個所述用戶終端與所述第二個通信網(wǎng)絡(luò)之間的數(shù)據(jù)傳輸����。
15.如權(quán)利要求14所述的系統(tǒng),其中單臺機器同時包括網(wǎng)關(guān)和防火墻���。
16.如權(quán)利要求14所述的系統(tǒng)����,其中所述防火墻與所述網(wǎng)關(guān)在不同的機器中。
17.如權(quán)利要求14所述的系統(tǒng)�,其中所述IP地址的驗證是由網(wǎng)關(guān)來執(zhí)行。
18.如權(quán)利要求17所述的系統(tǒng)�,其中驗證過程利用加密/解密處理來驗證一個遠程終端。
19.如權(quán)利要求14所述的系統(tǒng)����,其中一個或多個所述用戶終端可用的帶寬是被動態(tài)地實時地控制的。
20.如權(quán)利要求14所述的系統(tǒng)���,其中一個有限的帶寬被分配給單個用戶終端���。
21.如權(quán)利要求14所述的系統(tǒng),其中一個有限的帶寬被多個用戶終端共享�����。
22.如權(quán)利要求14所述的系統(tǒng)���,其中一個有限的帶寬被分配給一個用戶帳戶���。
23.如權(quán)利要求14所述的系統(tǒng)�,其中用于上傳數(shù)據(jù)和/或下載數(shù)據(jù)的帶寬是有限的�。
24.一種用于監(jiān)測和控制通信網(wǎng)絡(luò)中的數(shù)據(jù)傳輸?shù)木W(wǎng)關(guān),所述網(wǎng)關(guān)包括一個防火墻�,用于允許連接到第一個通信網(wǎng)絡(luò)上的具有驗證的IP地址的每個用戶終端訪問第二個通信網(wǎng)絡(luò);其中所述網(wǎng)關(guān)在所述防火墻同時監(jiān)測每個所述用戶終端與所述第二個通信網(wǎng)絡(luò)之間的數(shù)據(jù)傳輸���。
25.如權(quán)利要求24所述的網(wǎng)關(guān),進一步包括用于動態(tài)控制實時地分配給每個所述用戶終端的帶寬的方法�。
26.如權(quán)利要求24所述的網(wǎng)關(guān),進一步包括使能和/或禁止訪問每個用戶終端的一個或多個端口的方法��。
全文摘要
通過網(wǎng)關(guān)(6)和防火墻(8)監(jiān)測和控制連接到第一個通信網(wǎng)絡(luò)(7)的用戶終端(4)與第二個通信網(wǎng)絡(luò)(10)之間的數(shù)據(jù)傳輸?shù)姆椒?�,所述方法包括用戶終端(4)向網(wǎng)關(guān)(6)發(fā)送一個訪問請求����,網(wǎng)關(guān)(6)讀取每個訪問請求,基于每個用戶終端驗證的IP地址修改防火墻(8)中的訪問規(guī)則��,以允許每個請求訪問的用戶終端進行訪問���,同時在所述防火墻(8)監(jiān)測每個所述用戶終端(4)與所述第二個通信網(wǎng)絡(luò)(10)之間的數(shù)據(jù)傳輸����。分配給終端的帶寬可以在全局和局部基礎(chǔ)上被動態(tài)地控制。
文檔編號G06F13/00GK1666477SQ03815817
公開日2005年9月7日 申請日期2003年7月3日 優(yōu)先權(quán)日2002年7月4日
發(fā)明者J·R·施密特, A·霍利斯 申請人:網(wǎng)絡(luò)研發(fā)私人有限公司