專利名稱:互聯(lián)網(wǎng)絡(luò)防火墻的制作方法
技術(shù)領(lǐng)域:
本發(fā)明一般說來涉及互聯(lián)網(wǎng)絡(luò)防火墻,特別來說涉及一個(gè)不需要設(shè)置IP地址的互聯(lián)網(wǎng)絡(luò)防火墻��,依此隱藏互聯(lián)網(wǎng)絡(luò)防火墻的存在�����。
眾所周知�����,防火墻一般連接在專用網(wǎng)絡(luò)與公共網(wǎng)絡(luò)之間���,以起到控制和保護(hù)專用網(wǎng)絡(luò)的作用���。已知防火墻產(chǎn)品的缺點(diǎn)在于其內(nèi)部和外部端口均需設(shè)置IP地址,方能與相應(yīng)網(wǎng)絡(luò)連接��。如美國3COM公司防火墻,在使用之前��,需先將外部網(wǎng)絡(luò)接口設(shè)置為某一與公用網(wǎng)絡(luò)兼容的IP地址�,再將內(nèi)部網(wǎng)絡(luò)接口設(shè)置為某一與專用網(wǎng)絡(luò)兼容的IP地址,然後方可實(shí)行防火墻功能����。已知防火墻只接收送給本身MAC地址或廣播地址的IP信息包,并根據(jù)信息包的IP信息進(jìn)行處理����,如轉(zhuǎn)發(fā)或丟棄。因此����,需要提供一個(gè)不需要設(shè)置內(nèi)外IP地址的防火墻,使防火墻的設(shè)置簡單�,并可隱藏防火墻的存在。
本發(fā)明的目的在于提供一個(gè)不需要設(shè)置IP地址的防火墻����,用于連接兩個(gè)計(jì)算機(jī)網(wǎng)絡(luò)�。
本發(fā)明的互聯(lián)網(wǎng)絡(luò)防火墻包括內(nèi)部網(wǎng)絡(luò)接口,用于接收/發(fā)送內(nèi)部網(wǎng)絡(luò)信息���;外部網(wǎng)絡(luò)接口��,用于接收/發(fā)送內(nèi)部網(wǎng)絡(luò)信息����;防火墻策略表存儲器,用于存貯防火墻策略����;信息包處理器,連接內(nèi)部網(wǎng)絡(luò)接口和外部網(wǎng)絡(luò)接口�,用于分析內(nèi)部及外部接口所接收到的信息包內(nèi)容,根據(jù)防火墻策略表存儲器之內(nèi)容��,對信息包進(jìn)行處理�����,將處理結(jié)果分別發(fā)送至外部或內(nèi)部網(wǎng)絡(luò)接口���;和一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)表存儲器����,用于將IP地址與MAC地址的對應(yīng)表存于其中�;當(dāng)信息包處理器接收到任意接口接收到信息量包時(shí)���,做下列處理(1)從信息包中提取出網(wǎng)絡(luò)接點(diǎn)信息,即IP地址及MAC地址�����,將公用和專用網(wǎng)絡(luò)上的網(wǎng)絡(luò)節(jié)點(diǎn)分別儲存于此表中�����;(2)比較信息包內(nèi)容與網(wǎng)絡(luò)節(jié)點(diǎn)表存儲的內(nèi)容是否相符�����;確定信息包流向���,當(dāng)信息包的流向在網(wǎng)絡(luò)節(jié)點(diǎn)表存儲器中屬于同一類型�����,信息包處理器不作任何處理���,否則,轉(zhuǎn)下一步處理��;(3)判斷處理信息包動(dòng)作��,查閱防火墻策略表存儲器����,并根據(jù)防火墻的策略設(shè)置,決定轉(zhuǎn)發(fā)或丟棄信息包���。
因此本發(fā)明的防火墻可被動(dòng)態(tài)的置于網(wǎng)絡(luò)中的任一節(jié)點(diǎn)��,無需進(jìn)行任何重新配置�,便可根據(jù)預(yù)先輸入的防火墻策略���,對網(wǎng)絡(luò)信息包進(jìn)行處理和過濾���。
圖一為本發(fā)明的防火墻的結(jié)構(gòu)示意圖。
圖二為本發(fā)明的防火墻的連接示意圖�。
如
圖1所示,本發(fā)明的防火墻1包括信息包處理器2���,分別連接至網(wǎng)絡(luò)節(jié)點(diǎn)表存儲器3��,防火墻策略表存儲器4��,外部網(wǎng)絡(luò)接口5和內(nèi)部網(wǎng)絡(luò)接口6���。當(dāng)網(wǎng)絡(luò)信息包被內(nèi)部網(wǎng)絡(luò)接口6或外部網(wǎng)絡(luò)接口5接收后���,信息包處理器2的處理步驟如下(1)從信息包中提取出網(wǎng)絡(luò)接點(diǎn)信息,即IP及MAC地址�����,將公用和專用網(wǎng)絡(luò)上的網(wǎng)絡(luò)節(jié)點(diǎn)分別儲存于網(wǎng)絡(luò)節(jié)點(diǎn)表存儲器3中�����;(2)確定信息包流向�����,當(dāng)信息包的流向在網(wǎng)絡(luò)節(jié)點(diǎn)表存儲器3中屬于同一類型�,例如從公用網(wǎng)絡(luò)到公用網(wǎng)絡(luò),或從專用網(wǎng)絡(luò)到專用網(wǎng)絡(luò)����,信息包處理器不作任何處理,否則�����,轉(zhuǎn)下一步處理����;(3)查閱防火墻策略表存儲器4,并根據(jù)防火墻的策略表中該IP地址的設(shè)置和接收到的包信息�����,即源IP地址�,目的IP地址,協(xié)議類型等�����,對符合特征的信息包所需采取行動(dòng)�,如轉(zhuǎn)發(fā)至內(nèi)部網(wǎng)絡(luò)接口6,轉(zhuǎn)發(fā)至外部網(wǎng)絡(luò)接口5����,或丟棄等。
防火墻1還可包括一個(gè)策略表處理器7�����,連接防火墻策略表存儲器4和內(nèi)部網(wǎng)絡(luò)接口6或外部網(wǎng)絡(luò)接口5,通過WWW服務(wù)器或特殊網(wǎng)絡(luò)協(xié)議���,接收網(wǎng)絡(luò)信息��,并根據(jù)接收的信息����,設(shè)置策略表存儲器4中的防火墻策略表��。
防火墻1還可包括一個(gè)設(shè)置接口8���,如RS232����,鍵盤終端等���,該設(shè)置接口8連接至策略表處理器7�����,策略表處理器接收設(shè)置接口的信號���,設(shè)置策略表存儲器4中的防火墻策略表���。
圖二示例出本發(fā)明防火墻連接于專用網(wǎng)絡(luò)及公用網(wǎng)絡(luò)之間時(shí)的連接方式,本發(fā)明防火墻還可用于連接專用網(wǎng)絡(luò)與專用網(wǎng)絡(luò)或公用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)�����。
權(quán)利要求
1.一種互聯(lián)網(wǎng)絡(luò)防火墻����,包括內(nèi)部網(wǎng)絡(luò)接口�,用于接收/發(fā)送內(nèi)部網(wǎng)絡(luò)信息;外部網(wǎng)絡(luò)接口���,用于接收/發(fā)送內(nèi)部網(wǎng)絡(luò)信息�����;防火墻策略表存儲器��,用于存貯防火墻策略��;信息包處理器��,連接內(nèi)部網(wǎng)絡(luò)接口和外部網(wǎng)絡(luò)接口���,用于分析內(nèi)部及外部接口所接收到的信息包內(nèi)容����,根據(jù)防火墻策略表存儲器之內(nèi)容�,對信息包進(jìn)行處理,將處理結(jié)果分別發(fā)送至外部或內(nèi)部網(wǎng)絡(luò)接口���;其特征在于還包括一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)表存儲器��,用于將IP地址與MAC地址的對應(yīng)表存于其中�����;當(dāng)信息包處理器接收到任意接口接收到信息量包時(shí)���,做下列處理(1)從信息包中提取出公用和專用網(wǎng)絡(luò)上的網(wǎng)絡(luò)節(jié)點(diǎn)信息,即IP地址及MAC地址��,將分別儲存于網(wǎng)絡(luò)節(jié)點(diǎn)表存儲器中�����;(2)比較信息包內(nèi)容與網(wǎng)絡(luò)節(jié)點(diǎn)表存儲的內(nèi)容是否相符;確定信息包流向���,當(dāng)信息包的流向在網(wǎng)絡(luò)節(jié)點(diǎn)表存儲器中屬于同一類型�����,信息包處理器不作任何處理��,否則���,轉(zhuǎn)下一步處理;(3)查閱防火墻策略表存儲器�����,并根據(jù)防火墻的策略設(shè)置�,決定轉(zhuǎn)發(fā)或丟棄信息包����。
2.如權(quán)利要求1所述的防火墻,其特征在于��,信息包處理器根據(jù)接收到的信息包的源IP地址�,目的IP地址���,協(xié)議類型,對符合策略表中該IP地址的特征的信息包采取所需行動(dòng)�����,即轉(zhuǎn)發(fā)至內(nèi)部網(wǎng)絡(luò)接口����,轉(zhuǎn)發(fā)至外部網(wǎng)絡(luò)接口,或丟棄等�。
3.如權(quán)利要求1所述防火墻,其特征在于�,還包括一個(gè)策略表處理器,用于連接內(nèi)部或外部網(wǎng)絡(luò)接口��,通過WWW服務(wù)器或特殊網(wǎng)絡(luò)協(xié)議���,設(shè)置策略表存儲器中的防火墻策略表���。
4.如權(quán)利要求3所述防火墻,其特征在于���,該防火墻還可包括一個(gè)設(shè)置接口�,如RS232,鍵盤終端等���,策略表處理器接收設(shè)置接口的信號��,設(shè)置策略表存儲器中的防火墻策略表���。
全文摘要
本發(fā)明涉及互聯(lián)網(wǎng)絡(luò)防火墻,包括:內(nèi)部網(wǎng)絡(luò)接口,外部網(wǎng)絡(luò)接口,防火墻策略表存儲器,信息包處理器和網(wǎng)絡(luò)節(jié)點(diǎn)表存儲器,用于將IP地址與MAC地址的對應(yīng)表存于其中,當(dāng)信息包處理器接收到網(wǎng)絡(luò)信息后,查閱防火墻策略表存儲器,并根據(jù)防火墻的策略設(shè)置,決定轉(zhuǎn)發(fā)或丟棄信息包。該防火墻本身不具備IP地址,可直接收集與其相連之網(wǎng)絡(luò)的所有信息包,由信息包處理器進(jìn)行處理�。
文檔編號G06F11/30GK1286430SQ9911840
公開日2001年3月7日 申請日期1999年8月26日 優(yōu)先權(quán)日1999年8月26日
發(fā)明者M·謝 申請人:網(wǎng)觀科技(加拿大)有限公司