专利名称:监测和控制通信网络中数据传输的方法、系统和装置的制作方法
技术领域:
本发明涉及监测和控制通信网络中数据传输的方法、系统和装置。本发明尤其涉及一种方法、系统和网关,来允许一个组织监测和控制一个内部网络中多个终端的数据使用和在线时间。但是,可以想象本方法、系统和装置具有其它应用。
背景技术:
现在,极少有商业、组织、企业或类似组织不依靠一种或另一种的一个或多个计算机系统。在范围的一端,计算机系统可以是由具有单个雇员的一个小型商业使用的单个的台式个人计算机/工作站/终端,或者在范围的另一端,计算机系统可以包括数十、数百或数千个终端,这些终端通过连接到一个或多个主机的不同网络上的多个服务器而被连接到同一个系统。
无论计算机系统的大小如何,常常需要访问除了终端所连接的通信网络之外的一个通信网络。例如,为访问如因特网的一个外部通信网络,需要一个因特网服务或访问提供者(ISP/IAP)。通常,ISP/IAP提供每月费用所必需的软件、用户名、密码、等等。该费用可以是固定的费用,如利用宽带连接,或可以是取决于在线时间的量和/或如上传和/或下载所传输的数据量。
所希望的是,单个用户和/或组织例如出于一致和/或安全的目的,能够监测连接到另一个通信网络所花费的时间量和通过该连接传送的数据量。
回到因特网访问的示例,例如,一种监测在线时间的已知方法被网吧采用,该方法使得网吧能够根据客户在预置比率下的使用时间来结算,该预置比率取决于例如客户使用的种类,如游戏、浏览、局域网。一种这样的由Advanced Corn Tech有限公司开发的产品被称为GetoManager,并且该产品的详细资料在www.swplaza.co.kr网站上被公开。这个系统包括许多联网到一个管理终端(服务器)的用户终端,该系统可以被会员和非会员使用。一旦用户用一个ID登录,计时器就自动与计费器一起起动。如果用户变到另一个终端,则自动处理这一变化。利用一张卡或会员ID在收款柜台结算费用。在这个系统中,开始时间、如先期和后期支付详情的帐户详细资料、持续时间和费率可被监测和显示在管理终端上,例如在网吧的柜台上。一些详细资料也可以显示在用户的终端上。管理终端具有的控制功能包括自动锁定/解锁、重新启动和/或个人终端的电源关闭。然而,该产品不能够监测每个终端上传或下载的数据量。
数据量的监测可以在利用传统DU仪表的单独的工作站上执行,该DU仪表表示出上传和/或下载的数据量以及上传/下载速率。HagelTechnologies公司的DU仪表的详细内容在http//www.dumeter.com网站上有描述。DU仪表允许用户来设置监测时段,当上传和/或下载的数据量在用户指定的时段内超过用户指定的量时提供告警,以及当在线时间超过用户指定的时间限定时提供告警。但是,该设备在单独的机器上才相对精确地运行。例如,在连接到因特网的多用户终端的一个内部网络中,DU仪表将记录安装DU仪表的终端上到达的所有通信量,包括通过因特网网关的通信量和多个用户终端之间的串话。DU仪表不能够辨别数据包的功能或其来源。
因此,存在一种需要,即需要一种系统和/或方法和/或装置来实现对连接到一个或多个通信网络的多个终端上的任何一个或多个用户的数据使用和时间使用的监测。还希望该系统和/或方法和/或装置能够分析用户/终端的数据和时间的使用,并且包括一些安全措施来允许/拒绝访问一个或多个外部通信网络。
发明内容
根据本发明的一个方面,尽管它不需要是唯一的或真正是最主要的方面,本发明在于,通过网关和防火墙监测和控制连接到第一个通信网络的每个用户终端与第二个通信网络之间的数据传输的方法,所述方法包括多个步骤
从每个要求访问所述的第二个通信网络的所述用户终端向所述网关发送一个访问请求;所述网关读取每个所述的访问请求;基于每个所述用户终端验证的IP地址,修改所述防火墙中的至少一个访问规则以允许每个请求访问的所述用户终端进行访问;和同时在所述防火墙监测每个所述用户终端与所述第二个通信网络之间的数据传输。
本方法进一步包括动态控制每个所述用户终端实时可用的带宽的步骤。有限的带宽可以被迅速地(on the fly)分配给单个的用户终端、多个用户终端和/或一个和/或多个指定的用户帐户。可以控制上传和/或下载数据的带宽。
本方法进一步包括使能和/或禁止到每个用户终端的访问的一个或多个端口的步骤。
可选地,单台机器可以包括网关和防火墙。可替代地,防火墙可以在与网关不同的一台机器上。
IP地址的验证优选地由网关来执行。可以利用加密/解密处理来进行验证。
本方法进一步包括从连接到第一个通信网络的管理终端来控制一个用户终端访问第二个通信网络的步骤。
本方法可进一步包括监测一个用户终端访问第二个通信网络的时间段的步骤。
本方法可进一步包括监测一个用户终端上传和/或下载的数据量的步骤。
本方法可进一步包括监测已经访问第二个通信网络的用户终端中的一个用户的费用的步骤。
根据另一个方面,本发明在于监测和控制通信网络中数据传输的一个系统,所述系统包括连接到第一个通信网络的一个或多个用户终端;通过网关和防火墙连接到所述第一个通信网络的第二个通信网络;其中所述防火墙同时为具有已经访问所述第二个通信网络的验证的IP地址的每个用户终端,监测每个所述用户终端与所述第二个通信网络之间的数据传输。
优选地,单台机器可以包括网关和防火墙。可替代地,防火墙可以在与网关不同的一台机器中。
IP地址的验证优选地由网关来执行并且可以包括加密/解密处理来验证一个远程终端。
本系统可以进一步包括动态控制每个所述用户终端实时可用的带宽。有限的带宽可以被迅速地分配给单个的用户终端、多个用户终端和/或一个和/或多个指定的用户账户。可以控制来上传和/或下载数据的带宽。
根据更进一步的一个方面,本发明存在一个用于监测和控制通信网络中的数据传输的网关,所述网关包括一个防火墙,用于允许连接到第一个通信网络上的具有验证的IP地址的每个用户终端访问第二个通信网络;其中,所述网关在所述防火墙上同时监测每个所述用户终端与所述第二个通信网络之间的数据传输。
网关可进一步包括用于动态控制实时地分配给每个所述用户终端带宽的方法。
网关可进一步包括允许和/或禁止到每个用户终端的访问的一个或多个端口的方法。
从下面的描述中,本发明的进一步的方面和特点将变得更明显。
为帮助理解本发明和使本领域的技术人员能够将本发明应用于实践的效果,将通过参考有关附图的举例的方式描述本发明的一些优选
具体实施例方式
本发明的方法可以在图1所示的本发明的系统内实现。图1可以表示一个例如在网吧,小型、中型或大型商业或利用计算机系统的其它形式的组织中的计算机系统。但是,本发明的系统不限于图1中的示例,本发明的系统可以应用于由网关连接的任何两个通信网络。
图1中的系统包括一个或多个用户终端4和连接到网关终端6的一个或多个管理终端2。管理终端2也可以被认为是用户终端。用户终端4、管理终端2和网关6一起可以被认为是以内部网络7的形式存在的第一个通信网络。网关6也可以包括一个防火墙8,该防火墙8利用任何已知的允许可定制规则的防火墙技术。可替代地,防火墙8可以被安装在单独的机器上,如安装在连接到网关6的终端9上。内部网络7通过网关6与以一个或多个外部网络10的形式存在的一个或多个第二个通信网络通信。这样的外部网络10位于内部网络7的外部,并且可以是因特网、广域网或基于因特网协议TCP/IP的任何网络的安全区间。本领域的技术人员将意识到,网关6也可以与网关和外部网络10之间的一个路由器相连,并与网关6和终端2、4之间的交换机相连,以指引信息出入网关6。
作为对图1所示系统的替代,本发明的系统可包括位于两个公共网之间或位于两个专用网之间的网关6和防火墙8,因此本发明的系统和方法不限于图1所示的内部和外部网络。因而可以理解,下面示例中所提到的内部和外部网络可以替换为公共网或专用网或其组合。
进一步参考图2所示的流程图和图3-6所示的屏幕抓图来描述本发明的方法。在步骤20,设定如游戏、浏览或其它功能的登录的级别,如果合适的话,定价的级别也被设定。图4中表示了一些示例。活动的记录是由防火墙8来进行的,并可以在如每Mb的每个数据量的基础上来进行,和/或在如每秒、每分钟或其它时段的每个单位时间基础上进行。例如,可以以每单位时间的一个预设费用来记录时间。或可替代地,也可存在数据上传和/或下载的限制,这样如果超过了限制,除了用户在终端上花费的时间之外或作为对用户在终端上花费的时间的替代,可以产生更多的收费。可替代地,可以根据时间或上传/下载所产生的费用中的较大的一个而收取费用。可理解的是,有许多变换,通过这些变换而进行记录,并且本发明不限于任何特定的变换。
在步骤22,如网吧中的一名消费者或企业中的一名雇员的用户登录一个用户终端4。可以有任何数量的定价级别、种类或计时分类、等等,这取决于如大型组织、因特网吧的特定的用户和/或应用。
参考图2中的步骤24,如果用户不需要访问一个如因特网的外部网络10,本发明的监测和控制方法不起作用,一旦用户登录,允许用户进入自己的网络内,即不是在外部网络中。但是,如果用户确实有如因特网访问的要求,包含用户终端的因特网协议(IP)地址的数据包形式的访问请求被添加到网关6中的一个访问队列中,如步骤26所示。然而,运行速度是足够高的,因而通常不需要排队就可以非常及时地将请求处理。
当IP地址被网关6读取,该网关产生一个准则来指示防火墙8允许访问该IP地址。防火墙8遵照产生的准则并且允许外部网络访问该IP地址,如步骤28所示,对于外部网络10的访问,网关6通过用户名和密码来验证所提供的IP地址。通过修改防火墙所遵循的一系列准则中的一个或多个准则批准用户和终端访问一个外部网络。这些准则促使防火墙允许或拒绝对特定IP地址的网络访问。准则可被添加或删除。可替代地,现有的准则可被改变/更新以允许或拒绝外部网络访问。
图3表示管理终端2上可用的一个监测和控制界面,该界面可表示出被使用的和没被使用的终端。除了终端的用户之外,每个终端的身份和每个终端在其网络中所属于的区段都被显示出来。使用的时间,以Mbs表示的下载的数据量和有关的费用都被显示出来。
当允许一个特定的终端访问外部网络时,可以使能或禁止该终端的特定访问端口号以分别允许/禁止特定活动,如游戏和/或浏览和/或从终端上进行的其它活动。使能/禁止对一个终端访问的特定端口可能依赖于特定的用户和/或特定的终端。端口的使能/禁止访问是由提供给防火墙8的并为防火墙8所遵循的准则来控制。例如,当创建了一个用户账户时,准则可以被建立起来。缺省选项可以是所有端口都被激活以允许在一个终端上的所有活动,如图6中左上角所示的情况。
图6也显示了,对于“Allow All Ports”(“允许所有端口”)或“Block All Ports”(“阻塞所有端口”)的设定可以指定一些例外情况。例如图6所示,对于Arron(1)帐户,因为在特例区域中SSH框被选中,所以除了SSH(安全外壳)之外的所有端口被允许进行所有活动。SSH允许用户通过外部通信网络或其他网络登录到另一个终端,以在远程终端中执行命令和从一台机器向另一台机器移动文件。一个或多个例外情况的框可以被选中,根据这些端口的“Block”(“阻塞”)或“Allow”(“允许”)框是否被分别选中,来允许或禁止该框所表示的活动。另一个示例可能是HTML被允许,但没有其它类型的数据传输。
进一步参考图6,分配给一个或多个终端的带宽或数据传输速率也可以由本发明的系统和方法动态地迅速地控制。带宽可以被全局地或局部地被控制并且实时地不干涉终端所连接的网络或另外地中断通信的网络。
全局带宽设定影响连接到网关6的每个终端,并且对于设定的任何变化在全局被实现。例如,如果通常用于因特网连接的端口80在全局被阻塞,连接到网关6的每个终端将不能通过端口80访问因特网。在另一个示例中,如果分配如2Mb/s的一个带宽用于网络访问,连接到因特网的所有终端将分享该2Mb/s的带宽。
局部带宽设定只影响一个或多个特定的终端或用户帐户。例如,一个特定的带宽可被分配给一个特定终端,如管理终端2。另一方面,如图6所示,分配给一个用户帐户一个特定的带宽的优势是,该用户将能够使用其分配的特定带宽,而与他们登录的终端无关。在图6所示的示例中,对于Arron(1)用户帐户,没有为上传设定带宽限制,但下载带宽限于10Mb/s。
带宽控制的进一步的一个特点是,如图6所示,可为带宽限制指定例外情况。例如,在图6中,如同上述端口限制的示例一样,SSH(安全外壳)框被选中。在该示例中,10Mb/s的下载带宽限制因而将不能用于该用户帐户的SSH下载操作。其它的如图6中所示的非穷尽示例的带宽限制例外,是用于本领域的技术人员熟悉的协议/应用/网络。
本发明的动态带宽分配的特点允许如所需要的那样分配带宽给用户、终端和/或其分组。例如,如学校和其它教育团体的组织通常只有有限的带宽分配,本发明允许带宽或其一部分被分配到用于例如媒体流动事件的一个或多个终端。带宽分配可以是在一个规定的时段内,该时段之后,带宽可以被重新分配,如分配给一个或多个不同的终端。
带宽分配可以是基于优先权的,因此,用户和/或特定的终端被分配一个优先权,如数字1到5。如果两个或多个终端和/或用户正在竞争带宽,具有最高优先权的终端和/或用户被分配给带宽。
另一种情况可以是如一所医院的一个医疗环境,其中带宽需求可以迅速地变化。例如,包含如X射线、MRI和/或CAT扫描的医疗图像的数据文件可能是很大,该数据文件常常需要在医疗组织的内部网络之间和医疗组织之间的网络被传输。带宽可被动态地分配以方便这些文件的传输。这可使这些文件被迅速地传输,这在紧急情况下常常是必要的,这也可以防止医疗组织的计算机系统在文件被传输时而慢慢停下来。
一旦到一个特定IP地址的网络访问被允许,由防火墙8来着手该终端活动的记录,如在图2中步骤30所表示的。记录的数据类型包括开始时间、当前会话时间、该会话所产生金钱费用、用户/消费者限制(根据时间、支出和/或数据量),帐户类型(如借方或贷方)和/或帐户状态。防火墙8为连接到外部网络10的每一个特定IP地址记录这些信息。然后,该数据可以由网关6来请求并如下文中所描述的那样被显示。
一旦用户登录并且可以访问外部网络10,该用户不可能例如通过点击“返回”按钮回复到登录之前的原来的屏幕,来试图规避由本发明方法进行的对他们的会话的监测和记录。
一旦用户已经完成了他们的会话,如在一个企业雇员的一个工作日的结束的情况,用户可以退出终端,如步骤32所示。可替代地,例如如果用户的预定时间限制已经届满,网关6和防火墙8可以使用户退出外部网络10退出和从外部网络10断开连接。可以这样设定以使用户的会话可以被自动地终止。可替代地,管理终端2的操作员可以通过启动一个断开请求来影响会话的终止。这样,操作员可以在会话终止之前通知用户,以避免用户丢失任何重要数据。用户可以只终止其自己的会话而不终止其他用户的会话,除非这是通过管理终端2来这样做。这种情况下,这应该是被授权的工作人员,如在一个组织或网吧中,工作人员将具有使用管理终端2的所需要的用户名和密码。
无论是由用户还是由来自管理终端2的请求,一旦启动退出,包含要被断开的终端的IP地址的以数据包形式存在的来自外部网络的断开请求,可以被添加到网关6中的一个断开队列中,如步骤34所示。然而同样,通常不需要排队,断开请求将非常及时地被处理。
当断开请求的IP地址被读取,允许访问该特定IP地址的规则从/在防火墙8中被移除/修改,并且防火墙使该IP地址不能访问外部网络,如图2中步骤36所示。
一旦防火墙8已经处理一个排队的连接请求或断开请求,该请求被从队列中清除以防止错误地二次处理请求。
基于防火墙8创建的数据日志,会话历史由网关6保持,如步骤38所示。每个会话历史包含特定用户终端和/或特定用户的相关信息。相关信息可包括终端和用户ID、登录和退出次数、会话持续时间、费率、消耗/上传/下载数据量、数据上传/下载限制、会话费用、付款方式、帐户状态、访问的URL和访问每个URL花费的时间,以及其它类似信息。包含在会话历史中的信息类型,如所要求的,可以在每个用户和/或每个终端基础上由网关6和防火墙8决定。该信息可以与服务提供者提供的帐单信息进行比较。
可以在管理终端2上通过监测和控制界面监测用户的活动,例如,以表格的形式存在的监测和控制界面显示使用中的终端、没使用的终端、以及终端使用的相关数据,如图3-6所示和本文所描述。但是,本发明不限于只在单个管理终端上可访问监测和控制界面。该界面可由可访问管理控制的系统中的任何终端来访问。图5表示显示当前定义的终端(机器)的详细情况,包括机器的身份、机器所属于的区段、机器的IP地址、媒体访问控制(MAC)地址,以及该终端是否是活动状态。
例如,如果网关6有问题或没有电源并且所有终端都不能访问外部网络,本发明能够使管理终端2来重新把每个终端与外部网络连接,这样,网络在连接失去之前被连接(提供相关外部网络的连接是可能的)。防火墙8收到来自管理终端2的一个请求以恢复外部网络连接。因为终端的IP地址原来已经由网关6验证并且由防火墙8使能,所以防火墙恢复连接到其原来的状态。对于该次会话,每个终端用户不需要再次请求访问外部网络10。
无论在作为管理终端来操作的哪一台终端上可以访问的监测和控制界面,提供给操作员其它控制特点,这些特点包括而不限于,通常的设定特点、支持选项、帐户、访问设定和工作人员访问编码的显示/编辑。
通常的设定特点提供了对防火墙8和/或网关6的控制,使监测和控制方法作为一个被动预定系统来操作。这使时隙被分配给特定的用户和/或特定终端。因此,如果一个特定时隙或终端已经被预定,而不同的用户试图在预定的时隙内登录预定的终端,对用户和/或管理终端2的一个告警将被激活。管理终端的操作员可被提供一个选项以忽略该时隙和/或终端预定。
根据其许可/资历/安全检查或者类似,可以为不同的工作人员和管理者等类似人物设定各种级别的安全访问。例如,工作人员可以在屏幕上具有他们自己的日志,通过本发明的方法能够监测和一定程度地控制其自己的终端使用。工作人员可以被允许能够/不能够访问外部网络,但也许不能如查看为管理上的访问而保留的清算资料。
支持选项特点可以例如为一个或多个替代服务器地址,在那些通常的使用失败的情况下提供身份和/或密码。
例如在一个汽车旅馆或教育团体中,本发明可以被用作“walledgarden”。在控制的浏览环境内的访问站点可以是免费的,但walledgarden之外的访问站点可以产生费用。防火墙8将监测所有访问并且记录相应的费用。
本发明的方法使上述有关工作人员/用户访问的数据被监测,并且使到终端外部的一个或多个网络的访问被监测以能在每个用户、每个机器的基础上和/或在多个机器上的每个用户的基础上被远程控制。这不仅包括时间监测,也包括数据量使用监测,因为每个IP地址,即终端的通信量是由防火墙8来记录并且在网关6被监测的。
因为本方法监测通过网关6和防火墙8的所有通信量,采用本方法的系统也对系统的安全缺口具有抵抗性。来自外部终端11的未被授权的访问的任何企图将要求外部终端11的相关IP地址被识别。防火墙8为基于终端的IP地址和该终端的用户输入的用户ID的每个终端创建日志。防火墙的规则将不被改变/添加,以允许外部终端11与因特网7之间通过防火墙8和网关6的访问/通信流。因此,外部终端不应访问内部网络7。进一步,本发明的方法在一个短的时段,如2秒之后,周期性地重新启动防火墙。因此,当未被授权的外部终端11使防火墙8丧失能力时,防火墙将在短时间内重启,以再次自动拒绝对未被允许的外部网络11的访问。重启的防火墙8将不包括外部网络11的已验证的IP地址。未被授权的外部终端的任何活动将因此被识别,因为它们的活动将被记录,未被授权的外部终端11将由管理终端上的告警来识别。同样地,因为这些终端将具有未被识别的IP地址,任何未被授权的终端不可以连接到网络上。因此,如在企业中的一名工作人员,或使用网吧的一名公众不能把他们自己的机器连接到网络上。
本发明的方法、系统和装置也允许许可不是图1所示内部网络7的一部分的一个或多个被授权的远程终端访问内部网络7。例如,授权可以通过电子邮件和/或利用安全钥匙来执行。例如,网关6可以包括由远程终端12的用户提供的一个公共加密钥匙。远程终端12的用户将具有一个私人的加密/解密钥匙。当远程终端请求访问内部网络7时,网关6将发送用公共钥匙加密的消息给该远程终端。远程终端12解密该加密的消息并且将该解密的消息回复给网关6。网关把收到的解密消息与原来未加密的消息进行比较。如果相同,远程终端的身份成功地得到验证,网关6授权远程终端12访问内部网络7。然后,网关从访问数据包得到远程终端12的IP地址,并且网关可以像本文所描述的监测终端4一样监测远程终端12的活动。如果原来消息与解密的消息不同,则因为远程终端的身份没有得到验证而拒绝访问。用户ID与密码可以和安全钥匙一起被使用。允许远程终端访问的这一方法同时应用于永久的和临时的外部IP地址。远程终端的活动也将被显示在管理终端上。
本发明方法操作在任何员工/用户终端上具有HTML性能的操作系统上,尽管Unix/Linux操作系统是优选地。其中服务器一侧需要的不仅仅是HTML性能,服务器必须配置合适的操作系统的网关/防火墙结构。
本发明可以与无线网络、网络打印机和/或通过TCP/IP协议工作的任何程序或设备来一起工作。本方法也完全支持动态主机控制器协议(DHCP),并且在需要子网和多个网关的较大网络上被使用。本方法和网关可以通过本领域的技术人员熟悉的传统的引导闪存来安装。本发明不要求在被监测的每个终端上安装专业软件,不需要网络的重新配置。软件只要求被安装在网关机器上,网关将搜索连接到网络的机器。
本发明的另一个优点是,它不储存任何由一些先有技术系统来执行的数据,如有关网页的数据。因此,本发明使用户能够,例如能看到当前的网页,可能看不到已经隐藏的过时的网页。
整个说明的目的是描述本发明,而不是把本发明限于任何一个实施例或特定的一组特点。相关的本领域的技术人员可以从特定的实施例中实现各种变形,但这些都是在本发明的范围内。
权利要求
1.一种通过网关和防火墙监测和控制与第一个通信网络连接的每个用户终端和第二个通信网络之间的数据传输的方法,所述方法包括步骤从每个要求访问所述第二个通信网络的所述用户终端向所述网关发送一个访问请求;所述网关读取每个所述的访问请求;基于每个要求访问的所述用户终端的验证的IP地址,修改所述防火墙中的至少一个访问规则以允许请求访问的每个所述用户终端进行访问;和同时在所述防火墙监测每个所述用户终端与所述第二个通信网络之间的数据传输。
2.如权利要求1所述的方法,进一步包括动态地控制一个或多个所述用户终端实时可用的带宽的步骤。
3.如权利要求2所述的方法,其中一个有限的带宽被分配给单个用户终端。
4.如权利要求2所述的方法,其中一个有限的带宽被多个用户终端共享。
5.如权利要求2所述的方法,其中用于上传数据和/或下载数据的带宽是有限的。
6.如权利要求2所述的方法,其中在规定时段内将一个有限的带宽分配给的一个或多个终端。
7.如权利要求2所述的方法,其中基于分配给一个或多个终端或用户帐户的优先权的状况,一个有限的带宽被分配给一个或多个终端。
8.如权利要求1所述的方法,其中在用户终端已经由使用加密/解密处理的网关验证的基础上,来验证用户终端的IP地址。
9.如权利要求1所述的方法进一步包括使能和/或禁止一个或多个对用户终端进行访问的端口的步骤。
10.如权利要求1所述的方法进一步包括从连接到第一个通信网络的管理终端来控制一个用户终端访问第二个通信网络的步骤。
11.如权利要求1所述的方法进一步包括监测一个用户终端访问第二个通信网络的时间段的步骤。
12.如权利要求1所述的方法进一步包括监测一个用户终端上传和/或下载的数据量的步骤。
13.如权利要求1所述的方法进一步包括监测已经访问第二个通信网络的用户终端中的一个用户的费用的步骤。
14.一种用于监测和控制通信网络中数据传输的系统,所述系统包括连接到第一个通信网络的一个或多个用户终端;通过网关和防火墙连接到所述第一个通信网络的第二个通信网络;其中所述防火墙同时为具有已经访问所述第二个通信网络的验证的IP地址的每个用户终端,监测每个所述用户终端与所述第二个通信网络之间的数据传输。
15.如权利要求14所述的系统,其中单台机器同时包括网关和防火墙。
16.如权利要求14所述的系统,其中所述防火墙与所述网关在不同的机器中。
17.如权利要求14所述的系统,其中所述IP地址的验证是由网关来执行。
18.如权利要求17所述的系统,其中验证过程利用加密/解密处理来验证一个远程终端。
19.如权利要求14所述的系统,其中一个或多个所述用户终端可用的带宽是被动态地实时地控制的。
20.如权利要求14所述的系统,其中一个有限的带宽被分配给单个用户终端。
21.如权利要求14所述的系统,其中一个有限的带宽被多个用户终端共享。
22.如权利要求14所述的系统,其中一个有限的带宽被分配给一个用户帐户。
23.如权利要求14所述的系统,其中用于上传数据和/或下载数据的带宽是有限的。
24.一种用于监测和控制通信网络中的数据传输的网关,所述网关包括一个防火墙,用于允许连接到第一个通信网络上的具有验证的IP地址的每个用户终端访问第二个通信网络;其中所述网关在所述防火墙同时监测每个所述用户终端与所述第二个通信网络之间的数据传输。
25.如权利要求24所述的网关,进一步包括用于动态控制实时地分配给每个所述用户终端的带宽的方法。
26.如权利要求24所述的网关,进一步包括使能和/或禁止访问每个用户终端的一个或多个端口的方法。
全文摘要
通过网关(6)和防火墙(8)监测和控制连接到第一个通信网络(7)的用户终端(4)与第二个通信网络(10)之间的数据传输的方法,所述方法包括用户终端(4)向网关(6)发送一个访问请求,网关(6)读取每个访问请求,基于每个用户终端验证的IP地址修改防火墙(8)中的访问规则,以允许每个请求访问的用户终端进行访问,同时在所述防火墙(8)监测每个所述用户终端(4)与所述第二个通信网络(10)之间的数据传输。分配给终端的带宽可以在全局和局部基础上被动态地控制。
文档编号G06F13/00GK1666477SQ03815817
公开日2005年9月7日 申请日期2003年7月3日 优先权日2002年7月4日
发明者J·R·施密特, A·霍利斯 申请人:网络研发私人有限公司