并行地被建造的防火墻的構(gòu)建方案是稍微更大的。
[0018]借此����,保證了所限定的時(shí)間特性。如果第二網(wǎng)絡(luò)例如是安全關(guān)鍵的系統(tǒng)�,那么通過(guò)所建議的方法能夠?qū)崿F(xiàn)在同時(shí)可靠地過(guò)濾到達(dá)的數(shù)據(jù)包時(shí)對(duì)所述安全關(guān)鍵的系統(tǒng)的無(wú)反作用。
[0019]按照一個(gè)構(gòu)建方案�����,相應(yīng)的過(guò)濾規(guī)定是同樣的�,并且第一過(guò)濾裝置和第二過(guò)濾裝置利用不同的操作系統(tǒng)被構(gòu)造并且或者由不同的制造商制造。在這種情況下����,“同樣的”意味著:相應(yīng)的過(guò)濾規(guī)定導(dǎo)致了相同的過(guò)濾結(jié)果。所述過(guò)濾規(guī)定可具有相同的或者不同的句法���。此外�,還可以以不同的方式構(gòu)造過(guò)濾規(guī)定。如果所述過(guò)濾規(guī)定由不同的管理員制成并且維護(hù)����,那么這尤其是這種情況。
[0020]借此�����,加倍的過(guò)濾不造成花費(fèi)多的新的配置����。分別根據(jù)同樣的過(guò)濾規(guī)定來(lái)過(guò)濾。通過(guò)使用不同的操作系統(tǒng)或者制造商��,在所有防火墻中的系統(tǒng)化的����、相同的錯(cuò)誤的概率強(qiáng)烈地被減小���。
[0021]使用不同的操作系統(tǒng)使由于實(shí)施引起的錯(cuò)誤的風(fēng)險(xiǎn)散播����。因此,必要時(shí)可以補(bǔ)償操作系統(tǒng)之一的現(xiàn)存的薄弱環(huán)節(jié)�。此外,也可以涉及在應(yīng)用軟件��、尤其是相應(yīng)的防火墻應(yīng)用程序之內(nèi)的錯(cuò)誤����。在這種情況下,典型的錯(cuò)誤源是在實(shí)施程序時(shí)的存儲(chǔ)器溢出�����,所述存儲(chǔ)器溢出可刪除部分程序代碼����。
[0022]盡管如此,通過(guò)選擇相應(yīng)的防火墻的不同的制造商還可以在同樣的規(guī)則組和分別無(wú)錯(cuò)誤地實(shí)施的情況下確保不同的實(shí)施�����,所述不同的實(shí)施必要時(shí)一方面具有不同的薄弱環(huán)節(jié)以及另一方面從攻擊者的角度提供不同的安全障礙��。也可能的是:所述兩個(gè)過(guò)濾規(guī)定由不同的管理員制成并且更新����。在此����,如果數(shù)據(jù)包只被一個(gè)過(guò)濾規(guī)定容許����,那么可以識(shí)別出所述兩個(gè)過(guò)濾規(guī)定之一的有缺陷的配置。
[0023]按照一個(gè)擴(kuò)展方案��,由于阻斷而輸出報(bào)警信號(hào)����。
[0024]該報(bào)警用信號(hào)通知不一致的過(guò)濾并且可以使自動(dòng)的預(yù)防措施開(kāi)始。例如可以告知負(fù)責(zé)機(jī)構(gòu)�、諸如網(wǎng)絡(luò)管理員或者防火墻制造商或者防火墻管理員。
[0025]按照一個(gè)構(gòu)建方案����,通過(guò)所述阻斷在第一網(wǎng)絡(luò)與第二網(wǎng)絡(luò)之間阻斷數(shù)據(jù)流量。
[0026]例如可以(與報(bào)警信號(hào)的輸出無(wú)關(guān)地或者與報(bào)警信號(hào)的輸出共同地)中斷網(wǎng)絡(luò)連接或者切斷防火墻�,相比于另一防火墻���,所述防火墻已允許通過(guò)多個(gè)數(shù)據(jù)包�。
[0027]按照一個(gè)構(gòu)建方案����,如果第一過(guò)濾結(jié)果和第二過(guò)濾結(jié)果有時(shí)間間距地被傳送并且該時(shí)間間距在可預(yù)先給定的時(shí)間間隔之外�����,則執(zhí)行所述阻斷�����。
[0028]因此���,預(yù)先給定最大時(shí)間跨度,在所述最大時(shí)間跨度之內(nèi)�����,在比較單元的端口之一上可供支配的包還可以被考慮用于利用之前在另一端口上所接收到的包來(lái)調(diào)整(Abgleich)���。
[0029]按照一個(gè)擴(kuò)展方案�,如果相應(yīng)的數(shù)據(jù)包由于相應(yīng)的過(guò)濾規(guī)定被識(shí)別為有效的����,那么第一數(shù)據(jù)包作為第一過(guò)濾結(jié)果被傳送和/或第二數(shù)據(jù)包作為第二過(guò)濾結(jié)果被傳送。
[0030]通過(guò)過(guò)濾規(guī)定確定歸入為有效的數(shù)據(jù)包��。如果應(yīng)該導(dǎo)致歸入為有效的數(shù)據(jù)包的IP地址范圍例如由過(guò)濾規(guī)定說(shuō)明,那么例如用預(yù)先給定的IP地址范圍來(lái)調(diào)整到達(dá)的數(shù)據(jù)包的目標(biāo)IP地址�,并且如果該IP目標(biāo)地址不是所述IP地址范圍的組成部分,那么該數(shù)據(jù)包被識(shí)別為有效的����。
[0031 ]在相應(yīng)的數(shù)據(jù)包被識(shí)別為有效的情況下,因此僅轉(zhuǎn)交該數(shù)據(jù)包�����。也就是說(shuō)����,該數(shù)據(jù)包沒(méi)有被改變。除了位錯(cuò)誤之外�,該數(shù)據(jù)包與到達(dá)的數(shù)據(jù)包可以是同樣的。
[0032]按照一個(gè)構(gòu)建方案�����,如果相應(yīng)的數(shù)據(jù)包由于相應(yīng)的過(guò)濾規(guī)定被識(shí)別為無(wú)效的��,那么沒(méi)有包作為第一過(guò)濾結(jié)果被傳送����。
[0033]在這種情況下,因此沒(méi)有包由相應(yīng)的過(guò)濾裝置轉(zhuǎn)交����,所述過(guò)濾裝置由于過(guò)濾規(guī)定的配置沒(méi)有將該數(shù)據(jù)包識(shí)別為有效的、也就是說(shuō)將該數(shù)據(jù)包識(shí)別為無(wú)效的����。因此,比較單元尤其是從一個(gè)或者多個(gè)過(guò)濾裝置獲得過(guò)濾結(jié)果��,并且尤其是從將相應(yīng)的數(shù)據(jù)包識(shí)別為無(wú)效的一個(gè)或者多個(gè)過(guò)濾裝置沒(méi)有獲得過(guò)濾結(jié)果����。
[0034]按照一個(gè)構(gòu)建方案,相應(yīng)的過(guò)濾結(jié)果以及來(lái)自在時(shí)間上隨后的其它的檢查的其它的過(guò)濾結(jié)果由相應(yīng)的過(guò)濾裝置提交給比較單元����,并且為了確定比較結(jié)果,所述其它的過(guò)濾結(jié)果被考慮����。
[°0351 比較單元(也稱作包比較器(Packet Comparator))例如從第一過(guò)濾裝置的第一輸入隊(duì)列獲得已經(jīng)由第一過(guò)濾裝置轉(zhuǎn)發(fā)了的數(shù)據(jù)包的列表。也就是說(shuō)�,第一過(guò)濾裝置已經(jīng)將過(guò)濾結(jié)果傳送給了該數(shù)據(jù)包。因?yàn)榈诙^(guò)濾裝置已經(jīng)識(shí)別出無(wú)效的數(shù)據(jù)包并且還沒(méi)有轉(zhuǎn)發(fā)所述無(wú)效的數(shù)據(jù)包,所以所述包比較器例如從第二過(guò)濾裝置獲得其中包含更少的數(shù)據(jù)包的輸入隊(duì)列����。如果現(xiàn)在比較單元在預(yù)先給定的時(shí)間間隔之內(nèi)在第二過(guò)濾裝置的端口上沒(méi)有獲得與在第一輸入隊(duì)列中的過(guò)濾結(jié)果相配的過(guò)濾結(jié)果,那么該數(shù)據(jù)包被阻斷����。因此,即使該數(shù)據(jù)包以第一過(guò)濾裝置的過(guò)濾結(jié)果的形式存在并且由于第一過(guò)濾裝置的估計(jì)或者分析可能會(huì)被轉(zhuǎn)交�����,然而該數(shù)據(jù)包也不被轉(zhuǎn)交����,因?yàn)橄鄬?duì)應(yīng)的過(guò)濾結(jié)果沒(méi)有由第二過(guò)濾裝置提供。
[0036]按照一個(gè)構(gòu)建方案����,如果相應(yīng)的數(shù)據(jù)包由于相應(yīng)的過(guò)濾規(guī)定被識(shí)別為無(wú)效的,那么相應(yīng)的替代包作為第一過(guò)濾結(jié)果和/或作為第二過(guò)濾結(jié)果被傳送����。
[0037]借此,在任何情況下����,過(guò)濾結(jié)果都被傳送給比較單元�����。接著,在歸入為有效的數(shù)據(jù)包的情況下��,過(guò)濾結(jié)果是初始的數(shù)據(jù)包��,所述初始的數(shù)據(jù)包被轉(zhuǎn)交并且除了必要時(shí)存在的位錯(cuò)誤之外與所接收到的數(shù)據(jù)包是同樣的�。與此相反,如果接收到的數(shù)據(jù)包被歸入到無(wú)效的��,那么替代包作為過(guò)濾結(jié)果被傳送���。
[0038]替代包的傳送尤其是簡(jiǎn)化了針對(duì)如下情況通過(guò)比較單元的調(diào)整:例如第二數(shù)據(jù)包通過(guò)第二過(guò)濾裝置的分析比第一數(shù)據(jù)包通過(guò)第一過(guò)濾裝置的分析持續(xù)得更久���。在任何情況下,如果包�、也就是在不利的檢驗(yàn)的情況下為替代包被傳送,那么要檢驗(yàn)的相應(yīng)的包之一的錯(cuò)誤意味著:檢驗(yàn)還在繼續(xù)�。可以清楚地在被延誤的傳送和被阻斷的傳送之間進(jìn)行區(qū)分��。
[0039]此外,使用替代包還以有利的方式減少了如下危險(xiǎn):相同的包隨機(jī)地相互被比較并且由于一致而通過(guò)比較單元被轉(zhuǎn)交��。
[0040]此外����,本發(fā)明還涉及一種用于在第一網(wǎng)絡(luò)與第二網(wǎng)絡(luò)之間過(guò)濾數(shù)據(jù)包的網(wǎng)絡(luò)過(guò)濾裝置,其包括:
-倍增單元�����,用于使數(shù)據(jù)包倍增成第一數(shù)據(jù)包和至少一個(gè)第二數(shù)據(jù)包并且用于將第一數(shù)據(jù)包轉(zhuǎn)交到第一過(guò)濾裝置以及將至少所述第二數(shù)據(jù)包轉(zhuǎn)交到第二過(guò)濾裝置�����,其中數(shù)據(jù)包的內(nèi)容在第一數(shù)據(jù)包中并且至少在第二數(shù)據(jù)包中是可同樣地產(chǎn)生的��;
-第一過(guò)濾裝置����,用于按照相應(yīng)的過(guò)濾規(guī)定檢查第一數(shù)據(jù)包并且用于相應(yīng)地將第一過(guò)濾結(jié)果傳送給比較單元;和第二過(guò)濾裝置,用于按照相應(yīng)的過(guò)濾規(guī)定檢查第二數(shù)據(jù)包并且用于相應(yīng)地將至少一個(gè)第二過(guò)濾結(jié)果傳送給比較單元�����;
-比較單元����,用于如果與容差范圍有偏差的比較結(jié)果根據(jù)第一過(guò)濾結(jié)果和至少所述第二過(guò)濾結(jié)果是可識(shí)別的則阻斷數(shù)據(jù)包���。
[0041]此外,該網(wǎng)絡(luò)過(guò)濾裝置按照一個(gè)構(gòu)建方案還包括用于實(shí)施按照上面所提到的實(shí)施形式或者擴(kuò)展方案的方法步驟之一的監(jiān)控單元����。
【附圖說(shuō)明】
[0042]接下來(lái)�,本發(fā)明利用實(shí)施例依據(jù)附圖進(jìn)一步被解釋。盡管本發(fā)明詳細(xì)地通過(guò)實(shí)施例進(jìn)一步被圖解說(shuō)明并且被描述�����,本發(fā)明也不由所公開(kāi)的例子限制��,并且其它的變型方案可以由本領(lǐng)域技術(shù)人員從中導(dǎo)出�����,而不離開(kāi)本發(fā)明的保護(hù)范圍�����。
[0043]圖1示出了按照本發(fā)明的第一實(shí)施例的網(wǎng)絡(luò)過(guò)濾裝置的示意圖���;
圖2示出了按照本發(fā)明的第二實(shí)施方案的方法的示意圖��;
圖3示出了按照本發(fā)明的第二實(shí)施例的網(wǎng)絡(luò)過(guò)濾裝置的示意圖����。
[0044]在附圖中,只要不另外說(shuō)明��,功能相同的要素就被配備有同一參考符號(hào)����。
【具體實(shí)施方式】
[0045]在圖1中描繪了網(wǎng)絡(luò)過(guò)濾裝置100,所述網(wǎng)絡(luò)過(guò)濾裝置100包括倍增單元200以及比較單元300以及第一過(guò)濾裝置FWl和第二過(guò)濾裝置FW2����。倍增單元200在端口上從第一網(wǎng)絡(luò)NWl獲得數(shù)據(jù)包10。第一網(wǎng)