專利名稱:網(wǎng)絡用戶的信息安全防護系統(tǒng)與方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種網(wǎng)絡用戶的信息安全防護系統(tǒng)與方法�����,更詳而言之����,是一種將網(wǎng)
絡用戶的報文數(shù)據(jù)導入特定路由路徑以進行各種信息安全防護服務的系統(tǒng)與方法。
背景技術(shù):
由于網(wǎng)絡技術(shù)的發(fā)展��,使得網(wǎng)絡系統(tǒng)建構(gòu)的速度加快�。在網(wǎng)絡越來越普及的情況 下,使用者通過網(wǎng)絡來進行各項人類活動已經(jīng)是必然的趨勢����,例如使用網(wǎng)絡搜集數(shù)據(jù)、瀏覽 知識�、購買商品或交朋友等等。 而使用者想要連結(jié)因特網(wǎng)��,一般必須通過因特網(wǎng)服務提供商(Internet Service Provider, ISP)來進行連線���。因特網(wǎng)服務提供商就是為用戶提供導入因特網(wǎng)和網(wǎng)絡信息服 務的公司或機構(gòu)��,這些公司投入資金建立機房連線設(shè)備�����,并租用大量線路與頻寬���,再分給一 般使用者并收取費用�。通常用戶可通過固接專線或撥接的方式����,通過因特網(wǎng)服務提供商的 服務器才能和因特網(wǎng)相連。 然而��,因特網(wǎng)上充斥著大量的病毒與惡意程序���,容易造成使用者端計算機設(shè)備的 當機與數(shù)據(jù)損毀�。目前使用者對于信息安全的解決方案���,是由客戶端自行購買及安裝防火 墻軟硬件或?qū)⑷肭謧蓽y的安全設(shè)備布署于內(nèi)部網(wǎng)絡以阻擋病毒與惡意程序。但是對于信息 安全會造成威脅的惡意程序種類繁多���,因此網(wǎng)絡用戶必須建置多種類的安全防護設(shè)備�。但 安全防護設(shè)備的建置與維護會造成使用者沉重的費用負擔,也未必能有效地遏止網(wǎng)絡的病 毒與黑客攻擊�����,且即便于客戶端可成功阻擋惡意報文�,也難以防止大量惡意報文造成連接 外部網(wǎng)絡頻寬下降的問題。 綜上所述��,如何能提供一種可解決上述現(xiàn)有技術(shù)缺點的網(wǎng)絡用戶的信息安全防護 系統(tǒng)與方法���,遂成為目前急待解決的課題���。
發(fā)明內(nèi)容
為解決前述現(xiàn)有技術(shù)的缺失,本發(fā)明的目的在于提供一種網(wǎng)絡用戶的信息安全防 護系統(tǒng)與方法�����,用以阻止惡意報文或惡意程序侵入客戶端裝置����,由此提升使用者端的信息 安全等級。 本發(fā)明的另一目的在于提供一種網(wǎng)絡用戶的信息安全防護系統(tǒng)與方法�,用以有效 地降低網(wǎng)絡用戶建置與維護信息安全設(shè)備的費用,并提升用戶上網(wǎng)頻寬的使用效率��。
為達前述目的及其它目的,本發(fā)明提供一種網(wǎng)絡用戶的信息安全防護系統(tǒng)與方 法�����。該網(wǎng)絡用戶的信息安全防護系統(tǒng)包括客戶端裝置�;路由裝置,用以提供該客戶端裝置 連線路由路徑��;以及防護裝置�,用以對來自該路由裝置的數(shù)據(jù)包進行安全防護,其中����,該路 由裝置根據(jù)對應該客戶端裝置的設(shè)定文件將該客戶端裝置的數(shù)據(jù)包導入特定的路由路徑, 并通過該防護裝置對接收的數(shù)據(jù)包執(zhí)行特定安全防護服務����。 本發(fā)明更提供一種網(wǎng)絡用戶的信息安全防護系統(tǒng),包括客戶端裝置�����;路由裝置�����, 用以提供該客戶端裝置連線路由路徑�;以及防護裝置,連結(jié)該路由裝置�����,用以對該路由裝置所映像(mirror)的數(shù)據(jù)包進行安全防護����,其中,該路由裝置將對應該客戶端裝置的數(shù)據(jù)包
映像至該防護裝置���,并通過該防護裝置對數(shù)據(jù)包執(zhí)行特定安全防護服務��。 本發(fā)明再提供一種網(wǎng)絡用戶的信息安全防護系統(tǒng)�,包括客戶端裝置���;路由裝置�����,
用以提供該客戶端裝置連線路由路徑�;以及代理服務裝置�����,連結(jié)該路由裝置,用以代理該客
戶端裝置接收或傳送數(shù)據(jù)包�����,其中�,該代理服務裝置對所接收的數(shù)據(jù)包執(zhí)行特定安全防護服務。 本發(fā)明的網(wǎng)絡用戶的信息安全防護方法�����,包括以下步驟(l)令客戶端裝置連結(jié) 路由裝置��;(2)令該路由裝置根據(jù)對應該客戶端裝置的設(shè)定文件將該客戶端裝置的數(shù)據(jù)包 導入防護裝置����;以及(3)令該防護裝置對接收的數(shù)據(jù)包執(zhí)行特定安全防護服務。
本發(fā)明還提供一種網(wǎng)絡用戶的信息安全防護方法��,包括以下步驟(l)令客戶端 裝置連結(jié)路由裝置��;(2)令該路由裝置將對應該客戶端裝置的數(shù)據(jù)包映像至防護裝置��;以 及(3)令該防護裝置對數(shù)據(jù)包執(zhí)行特定安全防護服務���。 本發(fā)明再提供一種網(wǎng)絡用戶的信息安全防護方法����,包括以下步驟(l)令客戶端 裝置連結(jié)路由裝置�����;(2)令該路由裝置連結(jié)代理服務裝置��,并通過該代理服務裝置進行數(shù) 據(jù)包傳輸�����;以及(3)令該代理服務器對所接收的數(shù)據(jù)包執(zhí)行特定安全防護服務�。
相比于現(xiàn)有的技術(shù),本發(fā)明的網(wǎng)絡用戶的信息安全防護系統(tǒng)與方法利用特定客戶 端裝置的設(shè)定文件決定數(shù)據(jù)包的傳輸路由路徑��,并由此將數(shù)據(jù)包導入防護裝置進行入侵防 護處理,可在ISP端成功遏止網(wǎng)絡病毒與黑客的攻擊����,同時也提升連接外部網(wǎng)絡頻寬的使 用效率�����。另外,通過ISP端提供信息安全防護服務�����,使用者無需建置大量的安全防護設(shè)備��, 因此也減輕了費用的負擔���。
圖1為本發(fā)明的網(wǎng)絡用戶的信息安全防護系統(tǒng)的架構(gòu)圖�����; 圖2為本發(fā)明的另一網(wǎng)絡用戶的信息安全防護系統(tǒng)的架構(gòu)圖�����; 圖3為本發(fā)明的再另一網(wǎng)絡用戶的信息安全防護系統(tǒng)的架構(gòu)圖����; 圖4為本發(fā)明的網(wǎng)絡用戶之信息安全防護系統(tǒng)的一個具體實施例的架構(gòu)圖�����; 圖5為本發(fā)明的網(wǎng)絡用戶的信息安全防護系統(tǒng)的另一個具體實施例的架構(gòu)圖; 圖6為本發(fā)明的網(wǎng)絡用戶的信息安全防護系統(tǒng)的再一個具體實施例的架構(gòu)圖���; 圖7為本發(fā)明的網(wǎng)絡用戶的信息安全防護方法的流程圖����; 圖8為本發(fā)明的另一個網(wǎng)絡用戶的信息安全防護方法的流程圖�����; 圖9為本發(fā)明的再一個網(wǎng)絡用戶的信息安全防護方法的流程圖����;以及 圖10為本發(fā)明的網(wǎng)絡用戶的信息安全防護方法一個具體實施例的流程圖�����。 主要組件符號說明 10客戶端裝置 ll路由裝置 12防護裝置 13因特網(wǎng) 20客戶端裝置 21路由裝置
22防護裝置23因特網(wǎng)30客戶端裝置31路由裝置32代理服務裝置33因特網(wǎng)40a服務客戶端裝置40b —般客戶端裝置41接取路由器41 OA虛擬路由器411B虛擬路由器42供裝服務器43a�、43b網(wǎng)絡連線設(shè)備44防護裝置45因特網(wǎng)50客戶端裝置51a接取路由器51b遠程路由器52入侵防護服務器53網(wǎng)頁防護設(shè)備54因特網(wǎng)60客戶端裝置61a接取路由器61b遠程路由器62入侵防護服務器63代理服務器64因特網(wǎng)S70 S72步驟S80 S82步驟S90 S92步驟S100 S105步驟
具體實施例方式
以下通過特定的具體實施例說明本發(fā)明的實施方式,本領(lǐng)域技術(shù)人員可由本說明 書所揭示的內(nèi)容輕易地了解本發(fā)明的其它優(yōu)點與功效�。本發(fā)明也可通過其它不同的具體實 施例加以施行或應用。 請參閱圖l�,其為本發(fā)明的網(wǎng)絡用戶的信息安全防護系統(tǒng)的架構(gòu)圖。如圖所示��,網(wǎng) 絡用戶的信息安全防護系統(tǒng)包括客戶端裝置10、路由裝置11���、防護裝置12以及因特網(wǎng)13��。
客戶端裝置10為可存取數(shù)據(jù)并進行數(shù)據(jù)處理的電子設(shè)備�����,例如臺式計算機���、筆記本電腦、數(shù)字電視裝置��、個人數(shù)字助理和/或移動電話����。 路由裝置ll用以提供客戶端裝置IO連線路由路徑。為使信息在網(wǎng)絡間傳送�,路 由裝置ll可用來決定數(shù)據(jù)傳遞路徑。由于網(wǎng)絡上的數(shù)據(jù)分成一段一段的報文(packet)�,而 這些報文要指向何處便是由路由裝置11來決定。因此��,當客戶端裝置10上傳或接收數(shù)據(jù) 包時��,路由裝置11可將該數(shù)據(jù)包導向特定的路由器或服務器。 防護裝置12��,用以對來自該路由裝置的數(shù)據(jù)包進行安全防護�。為了避免客戶端裝 置IO接收或傳送異常的報文數(shù)據(jù),防護裝置12可對數(shù)據(jù)包進行各項信息安全防護服務��。該 信息安全防護服務的內(nèi)容可為防毒���、掃毒�����、阻擋惡意報文和/或阻擋惡意連線。
本發(fā)明具體實施時����,首先由客戶端裝置10連結(jié)路由裝置ll,接著����,路由裝置11根 據(jù)對應該客戶端裝置10的設(shè)定文件產(chǎn)生路由路徑。當客戶端裝置10將報文數(shù)據(jù)上傳時��, 路由裝置ll會通過策略路由(Policy-Based Routing,PBR)技術(shù)將該報文數(shù)據(jù)導入特定的 路由路徑���,以傳送至防護裝置12執(zhí)行特定安全防護服務�����。該設(shè)定文件是依據(jù)客戶端進行網(wǎng) 絡申裝或服務申請所建立�,且該設(shè)定文件的內(nèi)容是依據(jù)PBR技術(shù)來撰寫的。在此須提出說 明的是����,路由裝置11及設(shè)定文件并不限定采用PBR技術(shù),舉凡可識別客戶端連接請求并將 該請求導入特定路由的通信協(xié)議技術(shù)均可使用�,且防護裝置12也可通過因特網(wǎng)13連結(jié)至 其它平臺進行防護服務設(shè)定。 在一個較佳實施例中���,客戶端裝置10可通過廣域網(wǎng)絡系統(tǒng)�����、虛擬私人網(wǎng)絡系統(tǒng)��、 局域網(wǎng)絡系統(tǒng)和/或無線網(wǎng)絡連結(jié)該路由裝置11�����。 在另一較佳實施例中�,該路由裝置ll還包括多個接取路由器,其中���,該多個接取 路由器間通過通用路由封裝(generic routingenc即sulation�, GRE)信道技術(shù)傳輸數(shù)據(jù)包�����。
再一個較佳實施例中�,該路由裝置ll根據(jù)不同設(shè)定文件形成多個虛擬路由器,因 此能提供多個路由路徑進行報文數(shù)據(jù)傳輸��。 請參閱圖2���,本發(fā)明的另一個網(wǎng)絡用戶的信息安全防護系統(tǒng)的架構(gòu)圖��。本實施例中 包括客戶端裝置20�、路由裝置21���、防護裝置22以及因特網(wǎng)23,運作方式詳細說明如下��。
本實施例中客戶端裝置20已向ISP提供商申請?zhí)囟ㄈ肭址雷o服務功能��。客戶端 裝置20可通過ISP提供商所提供的路由裝置21接收來自因特網(wǎng)23的數(shù)據(jù)包以及將數(shù)據(jù) 包傳送至因特網(wǎng)23�����。其中��,路由裝置21可將該客戶端裝置的數(shù)據(jù)包映像至防護裝置22�����,并 通過防護裝置22對數(shù)據(jù)包執(zhí)行特定安全防護服務�����,若防護裝置22發(fā)現(xiàn)使用者所連結(jié)的網(wǎng) 頁具有不當內(nèi)容或甚至是惡意網(wǎng)頁時���,則主動通知客戶端裝置20以停止該項連結(jié)行為����,以 提升用戶使用網(wǎng)絡服務時的安全性�。 在一個較佳實施例中,防護裝置22可通過因特網(wǎng)23連結(jié)至其它平臺進行防護服 務設(shè)定����。 請參閱圖3���,其為本發(fā)明的再一個網(wǎng)絡用戶的信息安全防護系統(tǒng)的架構(gòu)圖?��?蛻舳?裝置30�����、路由裝置31�、代理服務裝置32以及因特網(wǎng)33�����,運作方式詳細說明如下����。
相比于圖2,本架構(gòu)利用代理服務裝置32來提供入侵防護服務�����。代理服務裝置32 連結(jié)路由裝置31與因特網(wǎng)33��,用以代理該客戶端裝置30接收或傳送數(shù)據(jù)包����。在未申請入 侵防護服務的用戶,其數(shù)據(jù)包通過路由裝置31傳輸至因特網(wǎng)33�。而申請入侵防護服務的 用戶,在客戶端裝置30與因特網(wǎng)33間的報文傳遞必須通過代理服務裝置32作為窗口 �。所 以,本發(fā)明利用代理服務裝置32對所接收的報文執(zhí)行各種入侵防護����,可阻擋惡意報文或病毒入侵客戶端裝置30。 請參閱圖4�,為本發(fā)明的網(wǎng)絡用戶的信息安全防護系統(tǒng)的一個具體實施例的架構(gòu) 圖。具體實施時�����,一般客戶端裝置40b通過網(wǎng)絡連線設(shè)備43b連結(jié)至接取路由器41�����。接取 路由器41根據(jù)設(shè)定文件的內(nèi)容區(qū)分為A虛擬路由器410及B虛擬路由器411����。由于一般客 戶端裝置40b申請上網(wǎng)功能,因此當報文數(shù)據(jù)進入接取路由器41時�,即由B虛擬路由器411 將該報文數(shù)據(jù)導入因特網(wǎng)45�。同樣地�,來自因特網(wǎng)45傳送給一般客戶端裝置40b的報文數(shù) 據(jù),經(jīng)過接取路由器41�,由B虛擬路由器411將該報文數(shù)據(jù)下傳給一般客戶端裝置40b,以 完成報文傳遞��。 對于服務客戶端裝置40a���,當其通過網(wǎng)絡連線設(shè)備43a連結(jié)至接取路由器41時�����,即 由A虛擬路由器410將來自服務客戶端裝置40a的報文數(shù)據(jù)導入防護裝置44����。該報文數(shù)據(jù) 經(jīng)過防護裝置44處理后����,再傳至B虛擬路由器411以將該報文數(shù)據(jù)導入因特網(wǎng)45。另一方 面�,來自因特網(wǎng)45中下傳給服務客戶端裝置40a的報文數(shù)據(jù)通過原路由路徑傳輸,報文數(shù) 據(jù)通過防護裝置44處理后導入A虛擬路由器410�����,再傳至客戶端裝置40a���。
在一個較佳實施例中���,令供裝服務器42將對應服務客戶端裝置40a的設(shè)定文件提 供給接取路由器41,并由A虛擬路由器410將來自服務客戶端裝置40a的報文數(shù)據(jù)導入防 護裝置44��。 請參閱圖5��,為本發(fā)明的網(wǎng)絡用戶的信息安全防護系統(tǒng)的另一具體實施例的架構(gòu) 圖����。相比于圖l至圖3所描繪的路由裝置,本實施例通過接取路由器51a與遠程路由器51b 來實現(xiàn)����。 具體實施時,由于本地接取路由器51a并未直接與入侵防護服務器52進行 連結(jié)�, 因此接取路由器51a可通過GRE信道技術(shù)連結(jié)遠程路由器51b,當客戶端裝置50想要進行 數(shù)據(jù)包傳輸時�����,均由接取路由器51a將報文導向與遠程路由器51b連結(jié)的入侵防護服務器 52進行信息安全防護。其好處在于當ISP端在特定區(qū)域并無相關(guān)信息安全防護設(shè)備時�,可 利用數(shù)據(jù)傳輸技術(shù)(如GRE信道技術(shù))將報文發(fā)送至具有入侵防護服務器52的遠程路由器 51b進行處理,因此能降低ISP提供商入侵防護設(shè)備建置成本��。另外�,本實施例更提供一種 網(wǎng)頁防護設(shè)備53,可對于使用者的網(wǎng)絡行為進行分析與管制���。舉例而言����,當接取路由器51a 偵測到客戶端裝置50想要連結(jié)網(wǎng)頁時��,會通過路由器51a將報文數(shù)據(jù)映像(備份) 一份送 至網(wǎng)頁防護設(shè)備53進行分析�����,若發(fā)現(xiàn)所連結(jié)的網(wǎng)頁具有不當內(nèi)容或甚至是惡意網(wǎng)頁時�����,則 發(fā)送通知給客戶端裝置50以停止該項連結(jié)行為���。本實施例結(jié)合兩種入侵防護管控機制�,可 減少入侵防護服務器52運作時的負擔。 請參閱圖6�,為本發(fā)明的網(wǎng)絡用戶的信息安全防護系統(tǒng)的再一具體實施例的架構(gòu) 圖。具體實施時��,接取路由器61a通過GRE通道技術(shù)連結(jié)遠程路由器61b����,在客戶端裝置60 進行數(shù)據(jù)包傳輸時由接取路由器61a將報文導向與遠程路由器61b連結(jié)的入侵防護服務器 62進行信息安全防護�,接著,將報文數(shù)據(jù)回傳至接取路由器61a�,若用戶未申請代理服務器 63的防護服務,則數(shù)據(jù)包由接取路由器61a傳輸至因特網(wǎng)64����。若用戶有申請代理服務器63 的防護服務,則數(shù)據(jù)包須通過代理服務器63傳送至因特網(wǎng)64�。 在一個較佳實施例中,代理服務器可提供防毒�、掃毒、阻擋惡意報文��、阻擋惡意連 線�����、入侵防御、入侵偵測���、內(nèi)容過濾��、網(wǎng)頁入侵防護���、威脅防護和/或病毒防護的服務。
參閱圖7���,為本發(fā)明的網(wǎng)絡用戶的信息安全防護方法的流程圖�。如圖所示��,其具體流程包括以下的步驟���。 在步驟S70中�,令客戶端裝置連結(jié)路由裝置��。其中����,該客戶端裝置通過廣域網(wǎng)絡系 統(tǒng)、虛擬私人網(wǎng)絡系統(tǒng)����、局域網(wǎng)絡系統(tǒng)和/或無線網(wǎng)絡連結(jié)該路由裝置�?����?蛻舳搜b置可為臺 式計算機��、筆記本電腦����、個人數(shù)字助理和/或移動電話�����。接著進至步驟S71��。
在步驟S71中�,令路由裝置根據(jù)對應該客戶端裝置的設(shè)定文件將客戶端裝置的數(shù) 據(jù)包導入防護裝置。接著進至步驟S72�。 在步驟S72中,令防護裝置對接收的數(shù)據(jù)包執(zhí)行特定安全防護服務��。 上述網(wǎng)絡用戶的信息安全防護方法�,在一個較佳實施例中還包括以下的步驟����。 首先����,令路由裝置將對應該客戶端裝置的數(shù)據(jù)包映像至防護裝置。接著���,令該防護
裝置對數(shù)據(jù)包執(zhí)行特定安全防護服務�����。 上述網(wǎng)絡用戶的信息安全防護方法�,在另一較佳實施例中還包括以下的步驟���。
首先���,通過代理服務裝置進行數(shù)據(jù)包傳輸。接著�����,令代理服務器對所接收的數(shù)據(jù)包 執(zhí)行特定安全防護服務�����。 參閱圖8,為本發(fā)明的另一網(wǎng)絡用戶的信息安全防護方法的流程圖����。如圖所示,其 具體流程包括以下的步驟��。 在步驟S80中��,令客戶端裝置連結(jié)路由裝置��。接著進至步驟S81���。 在步驟S81中,令路由裝置將對應該客戶端裝置的數(shù)據(jù)包映像至防護裝置��。接著
進至步驟S82����。 在步驟S82中,令該防護裝置對數(shù)據(jù)包執(zhí)行特定安全防護服務�����。 參閱圖9,為本發(fā)明的再一網(wǎng)絡用戶的信息安全防護方法的流程圖����。如圖所示,其
具體流程包括以下的步驟�。 在步驟S90中,令客戶端裝置連結(jié)路由裝置�。接著進至步驟S91。 在步驟S91中����,令該路由裝置連結(jié)代理服務裝置,并通過代理服務裝置進行數(shù)據(jù)
包傳輸�。接著進至步驟S92。 在步驟S92中���,令代理服務裝置對數(shù)據(jù)包執(zhí)行特定安全防護服務���。 參閱圖IO,為本發(fā)明的網(wǎng)絡用戶的信息安全防護方法一個具體實施例的流程圖��。
如圖所示�����,其具體流程包括以下的步驟。 在步驟SIOO中���,令接取路由器根據(jù)設(shè)定文件將該客戶端裝置的報文數(shù)據(jù)導入特 定的虛擬路由器���。接著進至步驟SIOI。 在步驟S101中�����,令虛擬路由器通過GRE T皿nel將報文數(shù)據(jù)傳向遠程路由器的入 侵防護服務器���。接著進至步驟S102�。 在步驟S102中����,令入侵防護服務器提供報文數(shù)據(jù)特定的安全防護服務。接著進至 步驟S103��。 在步驟S103中�����,令遠程路由器通過GRE T皿nel將報文數(shù)據(jù)傳回接取路由器��。接 著進至步驟S104�。 在步驟S104中,令接取路由器將數(shù)據(jù)包映像至網(wǎng)頁防護設(shè)備��。接著進至步驟 S105���。 在步驟S105中����,令網(wǎng)頁防護設(shè)備對數(shù)據(jù)包執(zhí)行特定安全防護服務����,若發(fā)現(xiàn)異常報 文,則通知該客戶端裝置停止此項連結(jié)����。
因此可發(fā)現(xiàn),本發(fā)明針對網(wǎng)絡用戶不同的申請內(nèi)容而產(chǎn)生不同的路由路徑�,即可 定義不同的報文傳輸路線。在不同路由路徑可提供網(wǎng)絡用戶不同的入侵防護服務內(nèi)容���,使 報文數(shù)據(jù)具更彈性的網(wǎng)絡服務組合��。而客戶端也因此能節(jié)省建置入侵防護設(shè)備的費用
因此���,通過上述實施例的說明可知本發(fā)明的網(wǎng)絡用戶的信息安全防護系統(tǒng)與方法 利用網(wǎng)絡用戶的設(shè)定文件���,用以對接取路由器進行的路由路徑的設(shè)定。該路由路徑指向防 護裝置�,因此可封鎖或抑制惡意報文進入客戶端以及防止來自客戶端上傳的惡意報文向因 特網(wǎng)擴散。 綜上所述�,本發(fā)明的網(wǎng)絡用戶的信息安全防護系統(tǒng)與方法可產(chǎn)生以下的功效
(1)強化數(shù)據(jù)包的管理,避免同時接收并處理多條報文而降低服務器運作效能�。接 取路由器根據(jù)用戶設(shè)定文件將報文數(shù)據(jù)進行分流及管制,并提供不同的服務�,因此可防止 服務器負載過大。
(2)提高連接外部網(wǎng)絡頻寬的使用效率��。通過網(wǎng)絡服務供應端的入侵防護設(shè)備直
接封鎖惡意報文進入用戶的路由路徑����,以提高連接外部網(wǎng)絡頻寬的使用效率。
(3)降低客戶端建構(gòu)安全防護機制的成本���。由于網(wǎng)絡服務供應端可通過此方式對
用戶的報文數(shù)據(jù)進行控管與防護����,因此客戶端無須額外花費建置其它的信息安全防護設(shè)備
(如防火墻設(shè)備或防毒軟件)�����。 上述實施例僅為例示性說明本發(fā)明的原理及其功效�,而非用于限制本發(fā)明。本領(lǐng) 域技術(shù)人員均可在不違背本發(fā)明的精神及范疇下��,對上述實施例進行修飾與變化�。
權(quán)利要求
一種網(wǎng)絡用戶的信息安全防護系統(tǒng),其特征在于����,包括客戶端裝置;路由裝置�����,用以提供該客戶端裝置連線路由路徑����;以及防護裝置,用以對來自該路由裝置的數(shù)據(jù)包進行安全防護���,其中���,該路由裝置根據(jù)對應該客戶端裝置的設(shè)定文件將該客戶端裝置的數(shù)據(jù)包導入特定的路由路徑�,并通過該防護裝置對接收的數(shù)據(jù)包執(zhí)行特定安全防護服務����。
2. —種網(wǎng)絡用戶的信息安全防護系統(tǒng),其特征在于�,包括 客戶端裝置;路由裝置�����,用以提供該客戶端裝置連線路由路徑�����;以及防護裝置����,連結(jié)該路由裝置,用以對該路由裝置所映像的數(shù)據(jù)包進行安全防護�, 其中,該路由裝置將對應該客戶端裝置的數(shù)據(jù)包映像至該防護裝置�,并通過該防護裝 置對數(shù)據(jù)包執(zhí)行特定安全防護服務。
3. —種網(wǎng)絡用戶的信息安全防護系統(tǒng)�,其特征在于����,包括 客戶端裝置����;路由裝置�����,用以提供該客戶端裝置連線路由路徑��;以及代理服務裝置��,連結(jié)該路由裝置��,用以代理該客戶端裝置接收或傳送數(shù)據(jù)包�����, 其中����,該代理服務裝置對所接收的數(shù)據(jù)包執(zhí)行特定安全防護服務。
4. 根據(jù)權(quán)利要求1 ���、2或3所述的網(wǎng)絡用戶的信息安全防護系統(tǒng)��,其中�,該客戶端裝置通 過廣域網(wǎng)絡系統(tǒng)、虛擬私人網(wǎng)絡系統(tǒng)��、局域網(wǎng)絡系統(tǒng)和/或無線網(wǎng)絡連結(jié)該路由裝置���。
5. 根據(jù)權(quán)利要求1 ����、2或3所述的信息安全防護系統(tǒng)��,其特征在于�,該客戶端裝置為工作 站、臺式計算機�����、筆記本電腦�����、個人數(shù)字助理和/或移動電話���。
6. 根據(jù)權(quán)利要求1 ��、2或3所述的網(wǎng)絡用戶的信息安全防護系統(tǒng)���,其特征在于��,該路由裝 置還包括多個接取路由器。
7. 根據(jù)權(quán)利要求6所述的網(wǎng)絡用戶的信息安全防護系統(tǒng)�,其特征在于,該多個接取路 由器間通過GRE信道技術(shù)傳輸數(shù)據(jù)包��。
8. 根據(jù)權(quán)利要求1����、2或3所述的網(wǎng)絡用戶的信息安全防護系統(tǒng),其特征在于���,該安全防 護服務的內(nèi)容為防毒��、掃毒��、阻擋惡意報文���、阻擋惡意連線��、入侵防御��、入侵偵測���、內(nèi)容過濾、 網(wǎng)頁入侵防護�����、威脅防護和/或病毒防護����。
9. 根據(jù)權(quán)利要求1所述的網(wǎng)絡用戶的信息安全防護系統(tǒng),其特征在于�,還包括與該路 由裝置連結(jié)的另一防護裝置,其中�,該路由裝置將對應該客戶端裝置的數(shù)據(jù)包映像至該另 一防護裝置,并通過該防護裝置對數(shù)據(jù)包執(zhí)行特定安全防護服務���。
10. 根據(jù)權(quán)利要求1所述的網(wǎng)絡用戶的信息安全防護系統(tǒng)�,其特征在于�,還包括與該路 由裝置連結(jié)的代理服務裝置,用以代理該客戶端裝置接收或傳送數(shù)據(jù)包,其中�����,該代理服務 裝置對所接收的數(shù)據(jù)包執(zhí)行特定安全防護服務�����。
11. 一種網(wǎng)絡用戶的信息安全防護方法�,其特征在于,包括以下步驟(1) 令客戶端裝置連結(jié)路由裝置����;(2) 令該路由裝置根據(jù)對應該客戶端裝置的設(shè)定文件將該客戶端裝置的數(shù)據(jù)包導入防 護裝置�;以及(3) 令該防護裝置對接收的數(shù)據(jù)包執(zhí)行特定安全防護服務。
12. 根據(jù)權(quán)利要求11所述的網(wǎng)絡用戶的信息安全防護方法�����,其特征在于��,還包括(4) 令該路由裝置將對應該客戶端裝置的數(shù)據(jù)包映像至另一防護裝置���;以及(5) 令該另一防護裝置對數(shù)據(jù)包執(zhí)行特定安全防護服務�����。
13. 根據(jù)權(quán)利要求11所述的網(wǎng)絡用戶的信息安全防護方法���,其特征在于���,還包括(4) 通過代理服務裝置進行數(shù)據(jù)包傳輸;以及(5) 令該代理服務器對所接收的數(shù)據(jù)包執(zhí)行特定安全防護服務����。
14. 一種網(wǎng)絡用戶的信息安全防護方法,其特征在于����,包括以下步驟(1) 令客戶端裝置連結(jié)路由裝置;(2) 令該路由裝置將對應該客戶端裝置的數(shù)據(jù)包映像至防護裝置��;以及(3) 令該防護裝置對數(shù)據(jù)包執(zhí)行特定安全防護服務��。
15. —種網(wǎng)絡用戶的信息安全防護方法�����,其特征在于���,包括以下步驟(1) 令客戶端裝置連結(jié)路由裝置��;(2) 令該路由裝置連結(jié)代理服務裝置��,并通過該代理服務裝置進行數(shù)據(jù)包傳輸����;以及(3) 令該代理服務器對所接收的數(shù)據(jù)包執(zhí)行特定安全防護服務。
16. 根據(jù)權(quán)利要求11��、14或15所述的網(wǎng)絡用戶的信息安全防護方法��,其特征在于�,該客戶端裝置通過因特網(wǎng)、局域網(wǎng)絡系統(tǒng)���、廣域網(wǎng)絡系統(tǒng)和/或虛擬私人網(wǎng)絡系統(tǒng)連結(jié)該路由裝置。
17. 根據(jù)權(quán)利要求11���、14或15所述的網(wǎng)絡用戶的信息安全防護方法�����,其特征在于����,該客戶端裝置為工作站、臺式計算機���、筆記本電腦��、個人數(shù)字助理和/或移動電話���。
18. 根據(jù)權(quán)利要求11、14或15所述的網(wǎng)絡用戶的信息安全防護方法���,其特征在于�,該路由裝置根據(jù)不同設(shè)定文件形成多個接取路由器�。
19. 根據(jù)權(quán)利要求18所述的網(wǎng)絡用戶的信息安全防護方法,其特征在于����,該多個接取路由器提供多個路由路徑。
20. 根據(jù)權(quán)利要求19所述的網(wǎng)絡用戶的連線識別方法����,其特征在于,該多個接取路由器間通過GRE信道技術(shù)傳輸數(shù)據(jù)包��。
全文摘要
一種網(wǎng)絡用戶的信息安全防護系統(tǒng)與方法,首先�����,令客戶端裝置連結(jié)路由裝置��,接著��,使路由裝置根據(jù)對應客戶端裝置的設(shè)定文件將該客戶端裝置的數(shù)據(jù)包導入防護裝置����,最后,通過防護裝置對接收的數(shù)據(jù)包執(zhí)行特定安全防護服務�����。據(jù)此�����,可直接在因特網(wǎng)服務提供商(ISP)端提供各種信息安全防護服務���,以解決現(xiàn)有技術(shù)中網(wǎng)絡客戶自行購買、建置及維護信息安全防護系統(tǒng)所需付出高額設(shè)備費用與人力成本的問題�。
文檔編號H04L29/06GK101741694SQ200810175559
公開日2010年6月16日 申請日期2008年11月7日 優(yōu)先權(quán)日2008年11月7日
發(fā)明者余任, 吳怡芳, 徐明山, 李威, 游峯鵬, 許淵珽 申請人:中華電信股份有限公司