專利名稱:客戶機(jī)協(xié)助的防火墻配置的制作方法
客戶機(jī)協(xié)助的防火墻配置相關(guān)申請(qǐng)的交叉引用〖0001本申請(qǐng)要求享受2004年12月21日提交的、題目為"CL正NT ASSISTED FIREWALL CONTFIGURATION"的美國(guó)臨時(shí)申請(qǐng)No. 60/638,271的優(yōu)先權(quán)�����,美國(guó)臨時(shí)申請(qǐng)No. 60/638,271全文以引用方式 加入本申請(qǐng)�。發(fā)明領(lǐng)域
防火墻一般位于入口點(diǎn),它掃描進(jìn)入的業(yè)務(wù)����,將其與預(yù)定標(biāo)準(zhǔn) 進(jìn)行比較。與預(yù)定標(biāo)準(zhǔn)不匹配的業(yè)務(wù)將會(huì)被阻斷或丟棄�。根據(jù)可容忍 的復(fù)雜度和期望的保護(hù)級(jí)別,預(yù)定標(biāo)準(zhǔn)可以包括多種參數(shù)���,例如端口 號(hào)��、應(yīng)用ID�����、源�����、目的����、內(nèi)容過濾器、IP地址�����、機(jī)器名���、TCP/IP標(biāo) 志以及其它參數(shù)。判斷是否讓分組通過的匹配參數(shù)的個(gè)數(shù)確立了保護(hù) 粒度���。粒度較粗的防火墻可能會(huì)不經(jīng)意地阻斷預(yù)期的進(jìn)入業(yè)務(wù)���,因?yàn)?這些業(yè)務(wù)被誤認(rèn)為是非預(yù)期的,與此同時(shí)它可能還不足以防止非預(yù)期 的業(yè)務(wù)�����。0005安全策略可由位于中心點(diǎn)的網(wǎng)絡(luò)管理員來(lái)定義和/或?qū)嵤?。雖 然不同的用戶可能會(huì)有不同的網(wǎng)絡(luò)訪問偏好和需求����,但用戶仍有可能 無(wú)法選擇對(duì)于他們的終端而言哪些業(yè)務(wù)是可用的和/或禁用的���。不同 的用戶可能想要不同類型的業(yè)務(wù)流�����。這些流受網(wǎng)絡(luò)安全策略的影響��。例如��, 一個(gè)用戶可能想阻斷來(lái)自特定傳輸控制協(xié)議/網(wǎng)際協(xié)議(TCP/IP) 網(wǎng)絡(luò)地址的傳輸�,而另一用戶則可能正想接收這樣的傳輸���。 一個(gè)用戶 可能想得到來(lái)自網(wǎng)絡(luò)的某一特定子網(wǎng)地址的傳輸��,而另一用戶則想得 到來(lái)自該網(wǎng)絡(luò)地址的所有傳輸��。其他用戶可能想得到發(fā)往某一特定端 口或應(yīng)用的消息業(yè)務(wù)����,而一個(gè)不同的用戶則可能想阻斷所有進(jìn)入的連 接,而只允許出去的連接��。
根據(jù)另一個(gè)實(shí)施例的是一種用于配置網(wǎng)絡(luò)防火墻的移動(dòng)設(shè)備��。 該移動(dòng)設(shè)備包括處理器���,其分析與為了減少業(yè)務(wù)量而配置防火墻有 關(guān)的信息���;存儲(chǔ)器,其可操作地連接到所述處理器���。該移動(dòng)設(shè)備還可 以包括建立器��,其與外部信源建立通信�;指定器�,其指定與從所述 外部信源接收到的分組有關(guān)的參數(shù)��,并將所述參數(shù)傳送到防火墻�����。該 移動(dòng)設(shè)備還包括無(wú)效器��,其請(qǐng)求撤消至少一個(gè)參數(shù)的通行�����。在一些實(shí) 施例中,該移動(dòng)設(shè)備可以包括發(fā)射機(jī)���,其向防火墻傳送至少一個(gè)策 略更新�;接收機(jī)���,其從防火墻接收對(duì)所述策略的確認(rèn)或拒絕�。
此外���,各個(gè)實(shí)施例是圍繞著用戶站進(jìn)行描述的�����。用戶站也可以 稱為系統(tǒng)����、用戶單元�、用戶站、移動(dòng)站�、移動(dòng)設(shè)備、主機(jī)、手機(jī)��、遠(yuǎn) 方站�����、接入點(diǎn)��、基站�、遠(yuǎn)程終端、接入終端���、用戶終端���、終端、用戶 代理或用戶設(shè)備��。用戶設(shè)備可以是蜂窩電話����、無(wú)繩電話�、會(huì)話啟動(dòng)協(xié) 議(SIP)電話、無(wú)線本地環(huán)路(WLL)站�����、個(gè)人數(shù)字處理(PDA)、 具有無(wú)線通信功能的手持設(shè)備或其它連接到無(wú)線調(diào)制解調(diào)器的處理 設(shè)備����。00321此外,本申請(qǐng)中描述的各個(gè)方面或特征可以實(shí)現(xiàn)成方法���、裝置 或使用標(biāo)準(zhǔn)編程和/或工程技術(shù)的制品�。本申請(qǐng)中使用的術(shù)語(yǔ)"制品" 涵蓋可從計(jì)算機(jī)可讀器件��、載體或介質(zhì)訪問的計(jì)算機(jī)程序��。例如���,計(jì) 算機(jī)可讀介質(zhì)可以包括��、但不限于磁存儲(chǔ)器件(例如���,硬盤、軟盤�、 磁帶等),光盤(例如�,CD�、 DVD等)�,智能卡,閃存器件(例如��, 卡����、棒、鑰匙驅(qū)動(dòng)器等)�。0033各個(gè)實(shí)施例都是圍繞著包括多個(gè)部件、模塊等的系統(tǒng)而展開 的����。應(yīng)當(dāng)理解和認(rèn)識(shí)的是,各種系統(tǒng)可以包括附加的部件�、模塊等和 /或可以不包括圖中所示的所有部件、模塊等�����。也可以使用這些方法 的組合����。0034下面參照附圖,
圖1的框圖示出了利用防火墻技術(shù)的通信系統(tǒng) 100����,它可用便攜式設(shè)備或終端、便攜式(移動(dòng))電話�、個(gè)人數(shù)字助 理、個(gè)人計(jì)算機(jī)(臺(tái)式機(jī)或膝上機(jī))或其它電子和/或通信設(shè)備來(lái)實(shí) 現(xiàn)��。系統(tǒng)100包括防火墻102�����,防火墻102對(duì)進(jìn)入的數(shù)據(jù)和/或出去的 數(shù)據(jù)進(jìn)行過濾���,進(jìn)入的數(shù)據(jù)和/或出去的數(shù)據(jù)被稱為數(shù)據(jù)或網(wǎng)絡(luò)分組 104和106��。防火墻102可以運(yùn)行于網(wǎng)絡(luò)運(yùn)營(yíng)商����、基礎(chǔ)設(shè)施裝備等處��。 分組104和106可以是任何類型的通信消息�,包括從一個(gè)設(shè)備發(fā)送和 /或傳送到另一個(gè)設(shè)備的一組數(shù)據(jù)����。防火墻技術(shù)檢査每個(gè)分組(進(jìn)入 的數(shù)據(jù)),對(duì)每個(gè)分組進(jìn)行分類�,根據(jù)檢查和/或分類結(jié)果�����,執(zhí)行一個(gè) 或多個(gè)動(dòng)作�����。典型的動(dòng)作有以特定的方式讓分組通過��、攔截分組和 /或?yàn)榉纸M尋徑��。當(dāng)進(jìn)行分類時(shí)�,有狀態(tài)的分組過濾器也可以考慮先 前看到的分組���。
00351防火墻102可以允許從發(fā)送方108發(fā)出的數(shù)據(jù)分組104傳輸?shù)?接收方110,發(fā)送方108位于防火墻102的一側(cè),接收方110位于防 火墻102的另一側(cè),但這出于舉例目的而非限制目的��。由發(fā)送方108 傳送的預(yù)定抵達(dá)接收方110的分組104被中繼,或者被準(zhǔn)許通過防火 墻102��。對(duì)于接收方110來(lái)說不是預(yù)定的和/或不是合法的分組104被 防火墻102攔截�,從而不會(huì)被中繼到接收方110�。這樣����,接收方IIO 就意識(shí)不到、也不會(huì)收到接收方110非預(yù)期的分組和/或不想要的分 組��。0036接收方110能夠與防火墻102通信�,從而提供一套策略規(guī)則, 這些規(guī)則關(guān)于發(fā)送方108和/或接收方110希望防火墻102讓其通過 的分組104以及接收方110希望防火墻102將其攔截的分組��。這樣��, 接收方110充當(dāng)服務(wù)器���。換言之���,接收方110可能想讓外部的發(fā)送方 108聯(lián)系接收方110。因此����,接收方110能夠直接與防火墻102通信, 從而動(dòng)態(tài)地更新策略�����。0037接收方IIO還能夠通過檢查被動(dòng)套接字列表,自動(dòng)地判斷哪些 流或分組104是想要的����。例如,接收方IIO可以打開或創(chuàng)建一個(gè)被動(dòng) 套接字��,以充當(dāng)服務(wù)器�。接收方110通知防火墻102�����,發(fā)往該套接字 的分組104應(yīng)當(dāng)傳輸?shù)浇邮辗?10�。如果接收方關(guān)閉與web服務(wù)器的 聯(lián)系,先前創(chuàng)建的被動(dòng)套接字就關(guān)掉��。接收方110可以將被動(dòng)套接字 關(guān)掉通知防火墻102���,并請(qǐng)求防火墻102拒絕發(fā)往該被動(dòng)套接字的其 他所有業(yè)務(wù)���。0038接收方110也可以將分組106通過防火墻102中繼到發(fā)送方 108。這樣�,接收方110充當(dāng)客戶機(jī),防火墻102可以根據(jù)各種協(xié)議 和技術(shù),阻斷分組106���,或者允許將分組106傳送到發(fā)送方108���。例 如,防火墻102可以根據(jù)網(wǎng)絡(luò)提供商預(yù)定的標(biāo)準(zhǔn)��,讓分組106通過或 將其拒絕����。防火墻102還可以根據(jù)該分組的原定接收方(這種情況下 為發(fā)送方108)確立的策略,為分組106尋徑����。因此,防火墻102可 以為不同設(shè)備維持不同的規(guī)則或策略集���。00391圖2示出了客戶機(jī)協(xié)助的防火墻配置的系統(tǒng)200����。系統(tǒng)200包 括可能正在通信的防火墻202和主機(jī)204 (例如���,移動(dòng)設(shè)備)��。例如��, 主機(jī)204可以是蜂窩電話�、智能電話、膝上電腦��、手持通信設(shè)備�����、手 持計(jì)算設(shè)備�、衛(wèi)星無(wú)線電設(shè)備、全球定位系統(tǒng)��、PDA和/或通過無(wú)線 網(wǎng)絡(luò)200通信的其它合適設(shè)備��。雖然系統(tǒng)200中可包括多個(gè)防火墻 202和主機(jī)204��,但是���,應(yīng)當(dāng)理解的是,為簡(jiǎn)單起見�,在圖中僅繪出 了單個(gè)防火墻202,它向單個(gè)主機(jī)204發(fā)送通信數(shù)據(jù)信號(hào)�����。0040主機(jī)204包括一個(gè)發(fā)射機(jī)206,主機(jī)204可以通過發(fā)射機(jī)206 發(fā)起數(shù)據(jù)流或通信會(huì)話和/或請(qǐng)求對(duì)防火墻202維護(hù)的策略進(jìn)行更新。 主機(jī)還可以包括接收機(jī)208�����,主機(jī)204可以通過接收機(jī)208從防火墻 202接收對(duì)策略的確認(rèn)或拒絕和/或可以接收數(shù)據(jù)流或分組���。響應(yīng)��。當(dāng)主機(jī)202發(fā)出數(shù)據(jù)流時(shí)�����,它起的作用^似于客戶機(jī)�����,故被視 為"主動(dòng)的"�。當(dāng)主機(jī)202對(duì)數(shù)據(jù)流給予響應(yīng)時(shí)��,它起的作用類似于 服務(wù)器�����,故被視為"被動(dòng)的"。主動(dòng)流被視為出去的���,而被動(dòng)流是進(jìn) 入的�。
存儲(chǔ)器412可以存儲(chǔ)與預(yù)期分組��、分組流��、發(fā)送方��、通信類型 等有關(guān)的協(xié)議��,并采取措施去控制主機(jī)和防火墻402之間的通信等�, 從而,系統(tǒng)400可以使用存儲(chǔ)的協(xié)議和/或算法���,降低無(wú)線網(wǎng)絡(luò)中的 通信業(yè)務(wù)量,如上所述��。應(yīng)當(dāng)理解的是��,這里描述的數(shù)據(jù)存儲(chǔ)(例如��, 存儲(chǔ)器)部件可以是揮發(fā)性存儲(chǔ)器����,也可以是非揮發(fā)性存儲(chǔ)器�,還可 以包括揮發(fā)性存儲(chǔ)器和非揮發(fā)性存儲(chǔ)器���。非揮發(fā)性存儲(chǔ)器可包括只讀 存儲(chǔ)器(ROM)��、可編程ROM (PROM)����、電可編程ROM (EPROM)����、 電可擦除ROM(EEPROM)或者閃存,這些只是舉例���,而無(wú)限制意味��。 揮發(fā)性存儲(chǔ)器可包括隨機(jī)訪問存儲(chǔ)器(RAM)���,它充當(dāng)外置的高速緩沖 存儲(chǔ)器。RAM的形式很多���,例如���,同步RAM(DRAM)���、動(dòng)態(tài)RAM (DRAM)、同步DRAM (SDRAM)��、雙數(shù)據(jù)速率SDRAM (DDR SDRAM)��、增強(qiáng)型的SDRAM (ESDRAM)���、同步鏈路DRAM (SLDRAM) 和直接Rambus RAM (DRRAM)�����,這些只是舉例�����,而無(wú)限制意味��。所 公開實(shí)施例的存儲(chǔ)器412意在涵蓋這些類型和其它任何合適類型的 存儲(chǔ)器,但不限于此��。00581圖5所示的系統(tǒng)500用于配置防火墻和降低網(wǎng)絡(luò)業(yè)務(wù)量����。圖示 的模塊可以是功能塊����,其代表用處理器��、軟件或其組合(例如�����,固件) 實(shí)現(xiàn)的功能���。系統(tǒng)500可以包括檢測(cè)器502�,后者可檢測(cè)網(wǎng)絡(luò)中的一 個(gè)或多個(gè)防火墻���。通信器504可以與檢測(cè)到的防火墻通信�。這樣的通 信可以包括���、但不限于請(qǐng)求建立會(huì)話���、指明讓指定進(jìn)入流通行、撤 消一個(gè)或多個(gè)進(jìn)入流�����、或其它類型的通信。系統(tǒng)500還包括更新器 506����,后者能夠更新與防火墻相關(guān)的策略。更新策略可以包括由系統(tǒng) 500自動(dòng)確定的對(duì)現(xiàn)有策略的改變或者由用戶手工輸入系統(tǒng)500的改變�����。[0059在一些實(shí)施例中����,系統(tǒng)500還可以包括檢查器508和指定器510。檢査器508能夠檢查打開的網(wǎng)絡(luò)套接字的列表�����,這些套接字可 以是打開的被動(dòng)網(wǎng)絡(luò)套接字��。當(dāng)偵聽被動(dòng)套接字時(shí)�,指定器510能夠 對(duì)防火墻產(chǎn)生合適的請(qǐng)求,當(dāng)被動(dòng)套接字關(guān)閉時(shí)���,可以產(chǎn)生撤消��。如 果系統(tǒng)500正在從斷開的或終止的會(huì)話中恢復(fù)�,則當(dāng)前列表中的被動(dòng) 套接字可以列舉出來(lái)�����,以產(chǎn)生合適的請(qǐng)求��。!0060對(duì)于以上所述的示例性系統(tǒng)�����,參照?qǐng)D6—8有助于更好地理解 可以根據(jù)各個(gè)實(shí)施例的一個(gè)或多個(gè)方面實(shí)現(xiàn)的方法�。雖然為了便于說 明而將方法描述和顯示成一系列的動(dòng)作(或者,功能塊)�����,但應(yīng)當(dāng)理 解的是�����,動(dòng)作的次序不會(huì)對(duì)方法構(gòu)成限制����,這是因?yàn)?��,根?jù)這些方法, 一些動(dòng)作可以按不同的次序發(fā)生和/或與圖示之外的其它動(dòng)作同時(shí)發(fā) 生�����。此外��,為了實(shí)現(xiàn)根據(jù)所述實(shí)施例的一個(gè)或多個(gè)方面的方法���,并不 需要執(zhí)行圖示的所有動(dòng)作�。應(yīng)當(dāng)理解的是����,各種動(dòng)作可以用軟件、硬 件�����、軟硬件組合或執(zhí)行與這些動(dòng)作相關(guān)功能的其它合適的手段(例如���, 設(shè)備�、系統(tǒng)、過程�����、部件)來(lái)實(shí)現(xiàn)����。還應(yīng)當(dāng)理解的是�,這些動(dòng)作只是 以簡(jiǎn)要的方式說明本申請(qǐng)的特定方面,而這些方面也可以用較少和/ 或較多數(shù)量的動(dòng)作來(lái)加以說明�。此夕卜,為了實(shí)現(xiàn)以下方法�����,并不需要 執(zhí)行圖示的所有動(dòng)作��。本領(lǐng)域普通技術(shù)人員將會(huì)明白�����, 一種方法當(dāng)然 也可以表示成一系列相關(guān)的狀態(tài)或事件���,例如在狀態(tài)圖中��。0061圖6是動(dòng)態(tài)地準(zhǔn)許合法進(jìn)入數(shù)據(jù)流通行的方法600的流程圖���。合法進(jìn)入數(shù)據(jù)流是設(shè)備事先請(qǐng)求過的�。例如�����,設(shè)備根據(jù)先前接收的流 可以知道或者推斷出���,如果它收到特定類型的業(yè)務(wù)�����、來(lái)源特定的業(yè)務(wù) 等��,就將丟棄該流�����,或者在設(shè)備收到時(shí)就將拒絕接收該業(yè)務(wù)�。設(shè)備還 可以根據(jù)用戶指定的參數(shù)���,得到該信息�。不是等待直到在設(shè)備處接收 到這些非預(yù)期和/或非預(yù)定流為止,設(shè)備可以在將流發(fā)送到設(shè)備之前 識(shí)別這些流(例如�,類型、源等)���,從而利用寶貴的帶寬和資源�����。0062方法600始于602,其中�����,接收到通行請(qǐng)求�。通信請(qǐng)求包括的 信息關(guān)于類型、信源(移動(dòng)設(shè)備希望從中接收通信)等����。該信息可由 設(shè)備預(yù)定,并保存在網(wǎng)絡(luò)外圍或防火墻上�。如果已經(jīng)收到某些業(yè)務(wù)流 的通行請(qǐng)求,則將其發(fā)送到設(shè)備����。如果沒有收到某些業(yè)務(wù)流的通行i青 求�,則在將其發(fā)往設(shè)備之前就將其攔截�����。
00631可以用各種標(biāo)準(zhǔn)來(lái)指定流�,流應(yīng)當(dāng)匹配傳輸標(biāo)準(zhǔn)。在有些實(shí)施 例中��,各種標(biāo)準(zhǔn)可以是流不應(yīng)當(dāng)匹配的信息�。例如,標(biāo)準(zhǔn)可以是分組 報(bào)頭中的一些或所有字段�。報(bào)頭是消息的一部分,其包含的信息指導(dǎo) 消息如何到達(dá)正確的目的地�����。報(bào)頭中包括發(fā)送方地址���、接收方地址��、 優(yōu)先級(jí)�、路由指令�����、同步脈沖等等。IP分組可以具有較高層協(xié)議報(bào)頭����, 例如,網(wǎng)際控制消息協(xié)議(ICMP)��、用戶數(shù)據(jù)報(bào)協(xié)議(UDP)和/或傳輸控 制協(xié)議等(TCP)���。標(biāo)準(zhǔn)可以包括準(zhǔn)確值�����、值列表和/或值域。0064在604中���,判斷是否已經(jīng)收到撤消請(qǐng)求�����。撤消請(qǐng)求可以針對(duì)指 定的流�,或者��,它可以針對(duì)先前請(qǐng)求過的所有流��。如果604的判斷結(jié) 果為沒有收到撤消請(qǐng)求("否"),則方法600繼續(xù)進(jìn)行到606�,于是 允許流傳送到設(shè)備。如果604的判斷結(jié)果為已經(jīng)收到撤消請(qǐng)求 ("是")���,則方法600繼續(xù)進(jìn)行到608����,于是�����,在向設(shè)備發(fā)送之前攔 截通行�����。圖7是自動(dòng)恢復(fù)數(shù)據(jù)流的方法700的流程圖����。在有些情況下, 由于各種原因�,通過請(qǐng)求遠(yuǎn)程防火墻準(zhǔn)許發(fā)往至少一個(gè)打開套接字通 行而建立的會(huì)話可能會(huì)斷開、中斷或終止�,這時(shí)需要提供自動(dòng)恢復(fù)。 在702中��,主機(jī)和/或防火墻檢測(cè)到斷開的會(huì)話。由于協(xié)議定期地在 兩個(gè)方向上交換(例如�����,進(jìn)入���、外出)分組�,所以���,主機(jī)和防火墻都 能及時(shí)意識(shí)到斷開的會(huì)話����,在多數(shù)情況下�����,幾乎與會(huì)話斷開出現(xiàn)時(shí)間 相同�。這樣的意識(shí)可能是沒有觀察到來(lái)自對(duì)等方設(shè)備的業(yè)務(wù)所致���。這 可以作為協(xié)議本身的一部分執(zhí)行��,或者��,由下層的傳輸(例如���,TCP 存活段)來(lái)提供����。上面的描述包括一個(gè)或多個(gè)實(shí)施例的舉例�。當(dāng)然,我們不可能 為了描述這些實(shí)施例而描述部件或方法的所有可能的結(jié)合����,但是本領(lǐng) 域普通技術(shù)人員應(yīng)該認(rèn)識(shí)到,這些實(shí)施例可以做進(jìn)一步的結(jié)合和變 換�����。因此���,本申請(qǐng)中描述的實(shí)施例旨在涵蓋落入所附權(quán)利要求書的精 神和保護(hù)范圍內(nèi)的所有改變��、修改和變形�。此外���,就說明書或權(quán)利要 求書中使用的"包含"一詞而言��,該詞的涵蓋方式類似于"包括"一 詞��,就如同"包括" 一詞在權(quán)利要求中用作銜接詞所解釋的那樣��。
權(quán)利要求
1�、 一種為了減少不想要的網(wǎng)絡(luò)業(yè)務(wù)量而由移動(dòng)設(shè)備用來(lái)配置防 火墻的方法,包括與網(wǎng)絡(luò)防火墻建立網(wǎng)絡(luò)連接��;以及 與所述網(wǎng)絡(luò)防火墻進(jìn)行通信��,以管理網(wǎng)絡(luò)業(yè)務(wù)量����。
2、 權(quán)利要求1的方法���,還包括 檢測(cè)是否已經(jīng)創(chuàng)建了被動(dòng)套接字����;以及 請(qǐng)求所述網(wǎng)絡(luò)防火墻準(zhǔn)許發(fā)往所述被動(dòng)套接字的流通過�。
3�、 權(quán)利要求2的方法,還包括 關(guān)閉web服務(wù)器; 消滅所述被動(dòng)套接字�����; 聯(lián)系所述防火墻��;以及請(qǐng)求所述防火墻拒絕發(fā)往所述被動(dòng)套接字的流通過�����。
4����、 權(quán)利要求2的方法,還包括 判斷所述被動(dòng)套接字是打開的還是關(guān)閉的����;以及 如果所述套接字是打開的,則準(zhǔn)許發(fā)往所述被動(dòng)套接字的其它通信通過��。
5��、 權(quán)利要求2的方法����,還包括-判斷所述被動(dòng)套接字是打開的還是關(guān)閉的��;以及 自動(dòng)撤消讓所述防火墻準(zhǔn)許發(fā)往所述被動(dòng)套接字的流通過的請(qǐng)
6�����、 一種讓主機(jī)從斷開的會(huì)話中自動(dòng)恢復(fù)的方法��,包括請(qǐng)求遠(yuǎn)程防火墻準(zhǔn)許發(fā)往至少一個(gè)打開的套接字的分組通行;檢測(cè)到斷開的會(huì)話�; 撤消發(fā)往至少一個(gè)打開的套接字的分組請(qǐng)求�;重建新的會(huì)話;以及請(qǐng)求讓預(yù)期流通行����。
7、 權(quán)利要求6的方法����,請(qǐng)求準(zhǔn)許發(fā)往至少一個(gè)打開的套接字的 分組通行包括生成當(dāng)前打開套接字的列表。
8��、 權(quán)利要求6的方法�����,請(qǐng)求讓預(yù)期流通行包括 再生所述打開套接字列表��。
9、 權(quán)利要求6的方法�,檢測(cè)到斷開的會(huì)話包括確定所述至少一個(gè)打開的套接字是關(guān)閉的�。
10、 權(quán)利要求6的方法��,檢測(cè)到斷開的會(huì)話包括 沒有觀察到來(lái)自對(duì)等方設(shè)備的業(yè)務(wù)量�����。
11����、 一種用于配置網(wǎng)絡(luò)防火墻的移動(dòng)設(shè)備,包括處理器�����,其分析與為了減少業(yè)務(wù)量而配置防火墻有關(guān)的信息��;以及存儲(chǔ)器��,其可操作地連接到所述處理器���。
12��、 權(quán)利要求ll的移動(dòng)設(shè)備�����,還包括 建立器�����,其與外部信源建立通信�����;以及指定器���,其指定與從所述外部信源接收的分組有關(guān)的參數(shù)���,并將 所述參數(shù)傳送到防火墻。
13���、 權(quán)利要求12的移動(dòng)設(shè)備����,所述外部信源是web服務(wù)器����。
14��、 權(quán)利要求12的移動(dòng)設(shè)備���,所述參數(shù)是打開的被動(dòng)套接字��。
15����、 權(quán)利要求12的移動(dòng)設(shè)備,還包括 無(wú)效器��,其請(qǐng)求撤消至少一個(gè)參數(shù)的通行�����。
16��、 權(quán)利要求11的移動(dòng)設(shè)備��,還包括發(fā)射機(jī)�����,其向防火墻傳送至少一個(gè)策略更新;以及接收機(jī)�����,其從防火墻接收對(duì)所述策略的確認(rèn)或拒絕��。
17��、 一種在移動(dòng)設(shè)備中用于減少網(wǎng)絡(luò)業(yè)務(wù)量的裝置����,包括 檢測(cè)模塊,其檢測(cè)至少一個(gè)防火墻���;通信模塊�����,其與所述至少一個(gè)防火墻通信�����;以及更新模塊��,其動(dòng)態(tài)地更新與所述至少一個(gè)防火墻有關(guān)的策略����。
18、 權(quán)利要求17的裝置���,還包括 監(jiān)視模塊���,其監(jiān)視被動(dòng)套接字的列表。
19�、 權(quán)利要求17的裝置��,還包括指定模塊�,其指定預(yù)期的進(jìn)入流。
20��、 一種用在移動(dòng)設(shè)備中的計(jì)算機(jī)可讀介質(zhì)�,所述介質(zhì)包括用于 以下操作的計(jì)算機(jī)可執(zhí)行指令建立網(wǎng)絡(luò)連接;檢測(cè)與所建立的網(wǎng)絡(luò)連接有關(guān)的被動(dòng)套接字��; 聯(lián)系防火墻�����;以及請(qǐng)求所述防火墻準(zhǔn)許發(fā)往所述被動(dòng)套接字的流通過�。
21��、 權(quán)利要求20的計(jì)算機(jī)可讀介質(zhì)����,還包括用于以下操作的計(jì) 算機(jī)可執(zhí)行指令斷開所述網(wǎng)絡(luò)連接�����; 消滅所述被動(dòng)套接字���; 聯(lián)系所述防火墻�;以及請(qǐng)求所述防火墻拒絕發(fā)往所消滅的被動(dòng)套接字的流通過。
22�����、 權(quán)利要求20的計(jì)算機(jī)可讀介質(zhì)����,還包括用于以下操作的計(jì) 算機(jī)可執(zhí)行指令判斷所述被動(dòng)套接字是打開的還是關(guān)閉的;以及 如果所述套接字是打開的,則準(zhǔn)許發(fā)往所述被動(dòng)套接字的其它通 信通過。
23、 權(quán)利要求20的計(jì)算機(jī)可讀介質(zhì)�����,還包括用于以下操作的計(jì) 算機(jī)可執(zhí)行指令判斷所述被動(dòng)套接字是打開的還是關(guān)閉的��;以及 如果所述被動(dòng)套接字是關(guān)閉的,則自動(dòng)撤消讓所述防火墻準(zhǔn)許發(fā) 往所述被動(dòng)套接字的流通過的請(qǐng)求���。
24���、 一種用在移動(dòng)設(shè)備中的處理器����,用于執(zhí)行動(dòng)態(tài)地更新防火墻策略的指令����,所述指令包括 檢測(cè)至少一個(gè)防火墻���;與所述至少一個(gè)防火墻通信�����;以及 動(dòng)態(tài)地更新與所述至少一個(gè)防火墻有關(guān)的策略��。
25、 權(quán)利要求24的處理器�����,所述指令還包括 與斷開會(huì)話大約同時(shí)���,自動(dòng)撤消所述策略�����。
26�、 一種動(dòng)態(tài)地配置防火墻的手機(jī)�����,包括-初始化器��,其與防火墻建立會(huì)話�;指定器�,其指定至少一個(gè)流,并將所述至少一個(gè)流傳送到防火墻;以及無(wú)效器�����,其能撤消所述至少一個(gè)流的通行�。
27����、 權(quán)利要求26的手機(jī)���,所述指定器指定與至少一個(gè)分組相關(guān) 的參數(shù)。
28��、 權(quán)利要求27的手機(jī)�����,所述參數(shù)包括以下之一 準(zhǔn)確值�、值列表�����、值域和打開的套接字。
29、 權(quán)利要求27的手機(jī)����,所述無(wú)效器撤消所述至少一個(gè)分組的 通行。
30�����、 權(quán)利要求26的手機(jī),所述指定器請(qǐng)求來(lái)自一個(gè)或多個(gè)發(fā)送 方的分組����。
31、 權(quán)利要求30的手機(jī)�����,所述無(wú)效器撤消從一個(gè)或多個(gè)發(fā)送方 請(qǐng)求分組��。
32����、 權(quán)利要求26的手機(jī),所述無(wú)效器根據(jù)至少一個(gè)分組參數(shù)�, 自動(dòng)撤消所述通行。
33�����、 權(quán)利要求26的手機(jī)����,所述無(wú)效器根據(jù)用戶輸入,撤消所述 通行�����。
全文摘要
本發(fā)明描述了配置防火墻和/或減少網(wǎng)絡(luò)業(yè)務(wù)量的技術(shù)。根據(jù)一個(gè)實(shí)施例的一種方法用來(lái)配置防火墻�,以減少不想要的網(wǎng)絡(luò)業(yè)務(wù)量。該方法包括運(yùn)行web服務(wù)器���;檢測(cè)是否已經(jīng)創(chuàng)建了被動(dòng)套接字��。該方法還包括與防火墻建立聯(lián)系�;請(qǐng)求防火墻讓發(fā)往被動(dòng)套接字的流通過���。根據(jù)有些實(shí)施例,該方法可以包括關(guān)閉web服務(wù)器���;關(guān)閉被動(dòng)套接字��?���?梢杂盟P(guān)閉的被動(dòng)套接字的信息�����,聯(lián)系防火墻,并向其發(fā)送不讓發(fā)往所關(guān)閉被動(dòng)套接字的流通過的請(qǐng)求�。如果關(guān)閉了被動(dòng)套接字,該方法可以自動(dòng)撤消發(fā)給防火墻的讓發(fā)往被動(dòng)套接字的流通過的請(qǐng)求����。
文檔編號(hào)H04L29/06GK101124801SQ200580048443
公開日2008年2月13日 申請(qǐng)日期2005年12月21日 優(yōu)先權(quán)日2004年12月21日
發(fā)明者G·G·羅絲, M·帕登, P·M·霍克斯 申請(qǐng)人:高通股份有限公司