专利名称:数据业务过滤指示器的制作方法
技术领域:
本发明大体上涉及宽带数据传输。更具体地,本发明涉及对通过具有适用于用在网络系统中的防火墙程序的通信设备的数据业务进行监控。
背景技术:
对联网计算机设备的安全性破坏的增加导致了设计用于提供对病毒、蠕虫和设计用于利用未受保护的计算机系统的其他恼人或不可逆的有害计算机程序的安全措施的硬件和软件设备的出现。保护网络上的用户或多个用户的一种常用技术是例如在因特网和为这些用户服务的内联网的网关之间安装防火墙程序。
具体地,防火墙程序是位于网络网关服务器上的一组相关程序,保护专用网络的资源不受来自其他网络(例如因特网)的用户的侵犯。具有允许其雇员/用户访问更为宽广的因特网的内联网的组织或实体典型地安装有防火墙程序,以防止外人访问其自身的专用数据资源,并对其自身的用户能够访问什么样的外部资源进行控制。
防火墙程序检查通过网关的数据业务,以确定是否向特定的目的地转发该数据业务。具体地,防火墙程序检查寻址于防火墙程序所驻留的网络(LAN)的数据分组。防火墙程序可以安装在单独的主机上、路由器上、或能够接收已打包的信息并作为防火墙程序的主机的其他网络硬件上。
典型的基于软件的防火墙程序将事件记录在目志文件中。防火墙程序并不提供同期反馈,例如,当黑客正试图进入网络时。而是,当过滤事件发生时,随后提供对话窗口。对话窗口需要用户操作来清除屏幕。防火墙程序的重复过滤重复地启动对话窗口,并需要恒定的用户互动以清除屏幕,可能会令用户感到厌烦。许多用户简单地禁用对话窗口,而只是保持对日志文件的记录使能。这样,需要通知系统管理或终端用户防火墙程序在网络环境中阻挡(即,过滤)数据业务的情况。
发明内容
本发明克服了此前与现有技术相关的缺点,一种方法和设备,用于同期指示与不适当的活动相关联的分组的数量已经超过阈值水平。
在一个实施例中,一种方法,包括检查数据业务,以确定是否已经违反了多条规则中的至少一条,其中所述规则定义了不适当的通信活动的指示器。在违反了多条规则中的第一类规则的情况下,过滤违反了所述第一类规则的数据业务,并触发用户可识别指示器。
在另一实施例中,所述设备适用于通过网络的通信,包括防火墙,用于识别与不适当的活动相关联的那些分组。至少一个用户可识别指示器与防火墙相关联,用于同期指示与不适当的活动相关联的分组的数量已经超过阈值水平。
在另一实施例中,一种线缆调制解调器,包括下行处理电路、上行处理电路以及与所述下行电路、上行电路和存储器进行通信的控制器。将一组规则与之相关联的防火墙程序驻留在所述存储器中,并可由所述控制器执行。所述防火墙适合于发起对来自下行和上行电路的数据分组的检查。由防火墙做出的不适当的活动超过阈值水平的确定,导致至少一个可视指示器的触发。所述至少一个可视指示器位于所述线缆调制解调器附近,并可由用户识别。
通过考虑以下结合附图的详细描述,本发明的教义将更容易得到理解,其中图1是根据本发明的原理的典型多模式双向通信设备的方框图;图2是根据本发明的原理的线缆调制解调器的典型方框图;以及图3是根据本发明的原理的方法的流程图。
为了有利于理解,在可能的情况下,使用相同的参考数字来表示图中所共有的相同元件。
具体实施例方式
本发明提供了用户可识别指示器(例如,光源和/或声源),以指示在数据业务达到网络中的特定目的地之前,防火墙程序正在过滤不想要的或不适当的数据业务。将主要在数据通信系统中的线缆调制解调器的情况下,对本发明进行描述。但是,本领域的普通技术人员应当清楚的是,如路由器、数字订户线(DSL)调制解调器等其他数据交换通信设备或具有与之相关联的防火墙程序的任何其他联网通信设备可以包括本发明并从本发明受益。本发明提出了一种可视指示器,同期指示防火墙程序的这种过滤,并能够将任何不需要的数据业务快速地通知给终端用户和系统管理员。因此,终端用户/系统管理员可以提供额外的安全措施,以保护其自身不受到黑客、“蠕虫”的持续“攻击”或其他对网络不利的攻击。
图1是根据本发明的原理的、具有数据过滤指示器126的典型多模式双向通信设备102的方框图。所述多模式双向通信设备可以是路由器、网桥、服务器、台式计算机、膝上型计算机、线缆调制解调器、个人数据助理(PDA)、便携式电话或具有或与用于检查和过滤数据分组的防火墙程序进行通信的任何其他通信设备。参照图1,多模式双向通信设备(此后称为“通信设备”)102是数据通信系统100的一部分。通信设备102包括至少一个处理器104、支持电路106、I/O电路110、具有安装在其中的防火墙程序124的存储器108、以及用于指示数据分组过滤事件的指示器126。
处理器104与传统的支持电路106(例如,时钟、电源、总线控制器等)和存储器108合作,以执行存储在存储器108中的软件例程,如防火墙程序124等。存储器108可以包括易失性存储器(如RAM)和非易失性存储器(如一个或多个盘驱动器)。这样,应当理解的是,这里作为软件处理讨论的一些处理步骤可以由硬件实现,例如,作为与处理器104合作以执行多个步骤的电路。I/O电路110形成与I/O电路110进行通信的多个功能元件之间的接口。例如,在图1所示的实施例中,通信设备102的I/O电路110通过信号S1和S2在广域网(WAN)和局域网(LAN)之间进行通信。
尽管如图1所示,通信设备102包括通用计算机,对其进行编程以执行根据本发明的原理的多种控制功能,本发明可以由硬件实现,例如,作为特定用途集成电路(ASIC)。这样,这里所描述的处理步骤倾向于被更为广泛地理解为由软件、硬件或其组合等效地执行。
防火墙程序124能够检查和过滤从来源节点(例如WAN上的文件服务器)发送到目的地节点(例如LAN上的本地计算机)的数据分组(例如IP数据分组)。具体地,防火墙程序124包括一组相关程序,保护专用网络的资源不受来自其他网络的用户的侵犯。防火墙程序124检查一些或全部网络分组,以确定是否向其目的地转发分组。即,过滤防火墙程序按网络级进行操作。只有分组结构不违反所指定的规则,才允许数据通过包含防火墙程序124的通信设备102。
例如,由LAN的管理员(也可以使用缺省规则)建立防火墙程序规则。规则反映了组织的政策考虑,通过禁止不想要的数据进入该组织的LAN,来提供安全性。例如,组织可以决定该组织的雇员不能浏览特定的因特网网站,或者一些雇员应当拒绝任何因特网访问。这样,规则包括编程以限制一些或全部超文本传送协议(HTTP)。额外的规则包括限制可能被视为对LAN和终端用户有害的数据分组,如蠕虫等,以及试图进入LAN的未经授权的人(即,“黑客”)。可以将不适当的数据活动的简档表(profile)与实际活动进行比较,以确定实际的数据活动是否是不适当的。
I/O电路110接收输入数据分组,并将该分组存储在存储器108中,在存储器108,防火墙程序124至少检查包含在每个分组中的分组类型、源地址、目的地地址和端口信息。如果所检查的分组(或作为整体的一组分组)并未违反任何防火墙程序规则,则将所检查的分组进一步路由到该分组的目的地地址。但是,如果所检查的分组(或作为整体的一组分组)被视为违反了规则,则可以对该分组进行过滤(即限制),以防止其进一步进入网络。下面,将参照图3,对过滤数据分组的方法进行更为详细的描述。
一旦防火墙程序124过滤出超过特定阈值水平的分组或一组分组,处理器104提供对指示器126的控制信号。在一个实施例中,所述指示器是发光二极管(LED),提供光信号,以表示分组正在被有效地过滤。在第二实施例中,所述指示器可以是扬声器,提供听觉可识别声音(例如,“蜂鸣”),以通知管理员/终端用户正在对分组进行过滤。在另一实施例中,指示器提供网络正在受到防火墙程序规则所不允许的方式的攻击的同期通知。
在一个实施例中,指示器(即LED或扬声器)位于通信设备102附近。例如,LED位于通信设备102的外表面上、容易被管理员/终端用户观察到的位置。在另一实施例中,防火墙程序124可以向运行在计算机设备上的操作系统或应用程序提供指令信号,以便在计算机屏幕上提供指示器。例如,可以在安装在台式或膝上型计算机中的WINDOWSTM操作系统的系统托盘中的图标上提供红光。
图2是根据本发明的原理的、具有数据过滤指示器126的线缆调制解调器202的典型方框图。根据本发明的一个实施例,数据通信系统220包括服务提供商255,图示为从因特网270向如计算机、手持设备、膝上型计算机、或能够传输和/或接收数据的任何其他设备等具有输入/输出(I/O)设备260的终端用户提供电传输的数字数据。线缆调制解调器202通过线缆传送网络250与位于服务提供商255的头端处的线路调制解调器终端系统(CMTS)256相连。典型地,服务提供商255包括一个或多个主机服务器,如动态主机配置协议(DHCP)服务器(未示出),用于将IP地址分配给订户家用设备(即,计算机设备260)。
服务提供商255可以是能够提供低、中和/或高速数据传输、多个语音信道、视频信道等的任何实体。具体地,服务提供商255以如多卫星广播格式(例如,数字广播卫星(DBS))、线缆传输系统(例如,高清晰度电视(HDTV))、数字视频广播((DVB-C)(即,欧洲数字有线电视标准))等格式,通过射频(RF)载波信号传输数据。服务提供商255通过线缆传送网络250提供数据。
在一个实施例中,线缆传送网络250是传统的双向混合光纤-同轴线(HFC)线缆网络,如北美或欧洲DOCSIS标准所规定的那样。具体地,HFC网络包括多个组件(未示出),如用于将有线电视RF信号与来自CMTS的RF数据信号进行混合的混合器、用于将混合后的RF信号转换为光信号的光发射器(OTX)、用于将光信号转换回下行混合RF信号以及将来自每个订户家用设备260的RF信号转换为上行路径中的光信号的光网络单元(ONU)、用于将传输过来的混合RF信号通过线缆调制解调器202分配给每个订户家用设备260的分接器、以及用于将来自ONU的光信号转换回RF信号的光接收器(ORX)。
利用典型的线缆调制解调器202,以便从服务提供商255向数据通信系统200的计算机设备260提供下行宽带数据信号。此外,利用典型的线缆调制解调器202,以便从图示计算机260向服务提供商255传送上行宽带数据信号。
在操作中,CMTS 256将数字数据转换为调制RF信号,并通HFC传送网络250将该调制信号下行提供给线缆调制解调器202,在线缆调制解调器202,对RF信号进行接收、调谐并过滤出预定的中频(IF)信号。然后,将IF信号解调为一个或多个相应的基带信号,否则,处理为数据分组。通过线缆262(例如,以太网、通用串行总线(USB)、同轴线等),将数据分组进一步传输到计算机设备260。
类似地,计算机设备260的用户可以通过线缆262向线缆调制解调器202发送数据信号。线缆调制解调器202接收来自计算机设备260的数据信号,然后,对该数据信号进行调制并上转换到RF载波上,以便通过线缆传送网络250,上行传输回服务提供商255。
为了更好地理解通过线缆调制解调器202的数据分组流,以单一的下行和上行模块表示下行硬件和上行硬件。下行和上行硬件是指调制解调器与CMTS 256之间的RF双向路径。具体地,在服务提供商网络的头端,CMTS下行RF接口(CMTS-DRFI)和上行RF接口(CMTS-URFI)(总示为CMTS 256所包括的元件)提供线缆调制解调器系统与下行RF路径之间的接口,所述下行RF路径终止于线缆调制解调器,图示为位于消费者的住宅260处。CMTS-DRFI和CMTS-URFI协力进行操作,以提供双向通信。
线缆调制解调器202的下行处理电路210典型地包括多个组件,如调谐器、滤波器、解调器、控制器226和其他下行处理电路,如媒体访问控制器(MAC),也用于上行处理。
下行处理电路210响应由控制器204提供的选择信号,有选择地调谐、解调或“接收”来自CMTS 256的多个下行数据信号中的至少一个。高通滤波器(HPF)将所有下行数据信号传递到调谐器,所述调谐器将来自HPF的所接收的下行RF信号下转换为预定的IF频率信号。解调器电路对IF信号进行解调,以提供一个或多个相应的数字基带信号。由控制器204进行管理的同时,向媒体访问控制器(MAC)发送数字基带信号,在媒体访问控制器(MAC),对接收到的信号(如MPEG分组)进行解封装,并形成为随后传送到计算机设备260的比特流。
在传送到计算机设备260之前,向内部TCP/IP栈214或防火墙程序124发送分组,以进行检查,稍后将进行详细的讨论。一旦分组被视为符合防火墙程序规则,MAC、控制器204和其他数字电路可以进一步处理已打包的数据(例如,按照需要附加或封装成适当的传送分组),然后将处理过的、已打包的数据分配给计算机设备260(或其他信息应用设备)。具体地,MAC向控制器204发送已打包的比特流,在控制器204,将数据进行处理(例如,格式化),以便与计算机设备260进行接口。控制器204向计算机设备260传送格式化的已打包的比特流(通过线缆262),以便进行进一步的处理(例如,数据的提取和上转换)。
线缆调制解调器202还包括上行处理电路212,典型地包括多种组件,如上行物理层元件、上行媒体访问控制器、调制器、低通滤波器和其他上行处理电路(例如,放大器、电压调节器等)。线缆调制解调器202从计算机设备260接收信号(如命令信号等),以便随后通过服务提供商255传输到目的地。具体地,用户通过线缆调制解调器202向服务提供商255发送数据、数据请求或一些其他用户请求。线缆调制解调器202接收用户请求,并由MAC和上行处理电路对信号进行格式化、封装和上转换,以便进行传送。调制器沿去往CMTS 256的上行信号路径,对上转换后的信号进行调制(如QPSK或16QAM)。
对于如图1和图2所示的实施例,线缆262的物理层可以图示为包括以太网、同轴线、FDDI、ISDN、ATM、ADSL、CAT 1-5线缆、USB、家庭PNA、无线数据链路(例如,802.11或蓝牙标准无线链路)、电源线载体等。
参照图2,模块和模块之间的路径主要表示通过线缆调制解调器202的功能数据运动,而不是表示实际的硬件模块。
具体地,例如,由下行处理电路210接收从CMTS 256(服务提供商255)通过接入网络250发送的数据分组。向内部TCP/IP栈214或防火墙程序124路由下行处理电路接收到的下行分组,以便进行进一步的处理。
内部TCP/IP栈表示通过其数据在数据交换的客户端和服务器端传递的层(TCP和IP层)。TCP/IP栈对应于OSI模型下的传送层(4)和会话层(5),其分别管理端到端控制和误码校验,以及每个末端处的应用程序之间的通信交换的会话和连接配合。
例如,如果分组是来自线缆头端255的、用于控制线缆调制解调器202的简单网络管理协议(SNMP)消息,则通过第一路由功能221,将SNMP分组路由到TCP/IP栈214。如果所述分组寻址于计算机设备260(例如,附属于线缆调制解调器202的PC),如HTTP分组,路由功能222将HTTP分组传递到设置在线缆调制解调器202的存储器108中的防火墙程序124。
类似地,由第二路由功能222将从线缆调制解调器202的上行处理电路(即MAC和物理层元件)212接收到的分组路由到内部TCP/IP栈214或防火墙程序124。例如,如果分组是查看线缆调制解调器的内部诊断网页(通过内部HTTP服务器(未示出)提供服务)的请求,将分组路由到TCP/IP栈214。代替地,如果要通过因特网发送分组,则第二路由功能222将分组路由到防火墙程序124。
在将分组立即路由到TCP/IP栈214而不是防火墙程序124的情况下,第三路由功能223进一步将分组从TCP/IP栈214路由到上行或下行处理电路212和210的MAC和物理层元件。例如,如果分组是来自要显示在用户的PC的浏览器上的、线缆调制解调器202的内部网页(未示出)的HTML数据,则通过第三路由功能223,将分组从TCP/IP栈214路由到上行处理电路(即MAC和物理层元件)212。代替地,如果分组是对来自线缆头端的、对SNMP请求消息的响应,则通过第三路由功能223,将分组路由到下行处理电路(即MAC和物理层元件)210。
如先前参照图1所述,防火墙程序124检查每个接收到的分组,并确定所检查的分组是否符合所述的规则,以有助于确保网络的安全性和应用组织或终端用户的网络政策。一旦防火墙程序124确定要限制特定的分组(或者在以下所讨论的一些情况下为一组分组)进入分组的预期目的地地址,线缆调制解调器202的控制器204就向一个或多个指示器126发送信号,以便将数据过滤事件通知给管理员/端用户。
图3是根据本发明的原理、用于利用图1和图2所示的典型设备在数据过滤事件期间提供可识别指示器的方法300的流程图。方法300在步骤301处开始,在步骤301,例如,防火墙程序124接收来自下行或上行处理电路210和212的至少一个分组,以便进行检查。在步骤302,防火墙程序124检查可用数据业务的至少一部分。即,防火墙程序124根据防火墙程序规则中的政策和安全等级,检查部分或所有接收到的数据分组。
在步骤304,防火墙程序确定所检查的数据分组是否违反了任何规则。应当注意,防火墙程序规则可以包括多种优先级或分级等级。即,可以针对识别为未经授权的源(如黑客等)的进入或攻击的数据分组的组别,定义高等级的规则(例如,第一类规则)。此外,中间等级的规则(例如,第二类规则)可以包括有害程度稍低的病毒或不需要的数据分组的其他较低优先级类型,而更低等级的规则(例如,第三类规则)可以包括阻止因特网域和网站的特定数据分组目的地地址。应当注意,规则的优先化和类的数量依赖于防火墙程序124的设计配置,并基于访问网络的组织的政策和安全性考虑。
在步骤306,确定是否违反了第一类规则。如果确定得到了肯定的应答,则在可选的步骤308,防火墙程序124确定是否已经超过第一阈值。即,防火墙程序124检查数据分组的特定样本是否已经违反了第一类规则之一。如果已经超过了可选步骤308的阈值,则方法300进行到步骤318。
在步骤318,防火墙程序过滤违反了已确定的防火墙程序规则的数据分组。防火墙程序124与控制器204相互作用,以检查并过滤数据分组。在步骤320,控制器204向指示器126发送信号,以便向管理员或端用户提供防火墙程序正在过滤数据分组的可识别指示。在一个实施例中,如发光二极管(LED)等显示设备位于容易被管理员或终端用户观察到的、线缆调制解调器202的外表面(例如,盖)上。指示器126提供过滤事件的同期实时指示。
如果在步骤306,确定得到了否定的应答,或者已经违反了第一类规则,但在可选的步骤308中并未超过阈值,则方法300进行到步骤310。在步骤310,防火墙程序124确定是否违反了第二类规则。如果在步骤310,确定得到了肯定的应答,方法300进行到可选的步骤312。在可选的步骤312,防火墙程序124确定是否已经超过第一阈值。即,防火墙程序124在执行过滤数据分组的步骤之前(步骤318),检查数据分组的特定样本是否已经违反了第二类规则之一。如果已经超过了可选步骤312的阈值,则方法300进行到如前所述的步骤318和320。但是,如果在步骤310中,并未违反第二类规则,或者已经违反了第二类规则但在可选的步骤312中并未超过阈值,方法300进行到步骤314。
在步骤314,防火墙程序124确定是否已经违反了第三类规则。如果在步骤314,确定得到了肯定的应答,方法300进行到可选的步骤316。在可选的步骤316,防火墙程序124确定是否已经超过第三阈值。即,防火墙程序124在执行过滤数据分组的步骤之前(步骤318),检查数据分组的特定样本是否已经违反了第三类规则之一。如果已经超过了可选步骤316的阈值,则方法300进行到如前所述的步骤318和320。但是,如果在步骤314中,并未违反第三类规则,或者已经违反了第三类规则但在可选的步骤316中并未超过阈值,方法300进行到步骤322。
在步骤322,防火墙程序124已经针对防火墙程序规则中的政策和安全性要求,完成了对数据分组的检查,而并未检测规则违反。因此,在步骤322,数据分组被视为是安全的,以在线缆调制解调器202中进行进一步处理,并传送到分组目的地地址中所述的目的地。然后,方法300进行到步骤324,在步骤324,方法300结束。
可选步骤308、312和314提供了在防火墙程序124开始过滤步骤318之前必须超过的阈值水平。应当注意,设置阈值水平作为利用该防火墙程序的组织或终端用户的政策和安全性考虑的函数。因此,可以将阈值水平设置为单一事件,表示一旦单一分组违反了特定的规则,就立即启动过滤步骤318。此场景最可能应用于步骤306和308的最高等级(第一类)规则。可以将较大的阈值水平用于较低等级的规则,例如,逐渐增加,或者按照对于防火墙程序124的政策和安全性考虑都适当的任何其他方式。
图3所示的方法300描述了只在超过阈值水平(例如步骤308、312和316)之后,才发生步骤318的对数据分组的过滤和步骤320的对指示器的触发。但是,在可选实施例中,防火墙程序124可以滤除违反了特定防火墙程序规则的所有数据分组,但只在超过阈值水平时,才触发指示器。例如,立即滤除在步骤314中发现违反了第三类规则的所有分组,但是,只有超过了步骤316的阈值水平,才触发指示器126。应当注意,可以提供过滤和触发指示器的任意配置,以满足利用网络的组织的政策和安全性考虑。
还应当注意,指示器可以包括多于一类的指示器。例如,第一LED可以用于指示防火墙程序124的普通过滤事件,而第二LED可以用于与第一LED一起指示任意恶意型的过滤事件。例如,典型地产生相对无害的地址解析协议(ARP)业务的、称为“Code Red”蠕虫可以只触发用于普通过滤事件的第一LED(例如,黄色LED)。但是,如对计算机端口的系统探测等更为重要的攻击可以触发第二LED(例如,红色LED),以表示对违反了高等级规则的数据分组的过滤。
尽管已经详细地示出和描述了包括本发明的教义的多种实施例,本领域的普通技术人员可以容易地得出仍然包括这些教义的多种其他变化实施例。
权利要求
1.一种适用于通过网络的通信的设备,包括防火墙(124),用于识别与不适当的活动相关联的那些分组;以及与所述防火墙相关联的至少一个用户可识别指示器(126),用于同期指示与所述不适当的活动相关联的分组的数量已经超过阈值水平。
2.根据权利要求1所述的设备,其特征在于所述不适当的活动是利用被分为表示不适当的水平的分类的多条规则来确定的。
3.根据权利要求1所述的设备,其特征在于所述设备包括调制解调器、路由器和网桥中的至少一个(202)。
4.根据权利要求1所述的设备,其特征在于所述指示器包括至少一个视觉指示器。
5.根据权利要求4所述的设备,其特征在于所述至少一个视觉指示器包括位于所述设备附近的发光设备。
6.根据权利要求4所述的设备,其特征在于所述至少一个视觉指示器包括显示在计算设备(260)上的高亮图标。
7.一种方法,包括检查数据业务,以确定是否已经违反了多条规则中的至少一条,所述规则定义了不适当的通信活动的指示器;以及在违反了多条规则中的至少第一类规则的情况下,过滤违反了所述第一类规则的数据业务,并触发用户可识别指示器。
8.根据权利要求7所述的方法,其特征在于还包括在过滤所述数据业务之前,确定是否已经超过了规则违反的第一阈值水平。
9.根据权利要求7所述的方法,其特征在于还包括在触发所述用户可识别指示器之前,确定是否已经超过了规则违反的第一阈值水平。
10.根据权利要求7所述的方法,其特征在于在违反了第二类规则的情况下,过滤违反了所述第二类规则的所述数据业务,并触发所述用户可识别指示符。
11.根据权利要求10所述的方法,其特征在于还包括在过滤所述数据业务之前,确定是否已经超过了规则违反的第二阈值水平。
12.根据权利要求10所述的方法,其特征在于还包括在触发所述用户可识别指示器之前,确定是否已经超过了规则违反的第二阈值水平。
13.根据权利要求7所述的方法,其特征在于在违反了第三类规则的情况下,过滤违反了所述第三类规则的所述数据业务;以及触发所述用户可识别指示符。
14.根据权利要求13所述的方法,其特征在于还包括在过滤所述数据业务之前,确定是否已经超过了规则违反的第三阈值水平。
15.根据权利要求13所述的方法,其特征在于还包括在触发所述用户可识别指示器之前,确定是否已经超过了规则违反的第三阈值水平。
16.一种线缆调制解调器(202),包括下行处理电路(210);上行处理电路(212);与所述下行电路、上行电路和存储器(108)进行通信的控制器(204);以及一组规则与之相关联的防火墙程序(124),所述防火墙程序驻留在所述存储器中,并可由所述控制器执行,以发起对来自所述下行和上行电路的数据分组的检查,从而使阈值水平之上的不适当的活动导致位于所述线缆调制解调器附近的至少一个视觉指示器(126)的触发,所述至少一个视觉指示器用于用户的可识别观察。
17.根据权利要求16所述的线缆调制解调器,其特征在于所述至少一个视觉指示器包括至少一个发光二极管(LED)。
18.根据权利要求16所述的线缆调制解调器,其特征在于所述至少一个视觉指示器包括用于表示过滤事件的第一LED和用于表示过滤所述规则组中视为恶性的数据分组的第二LED。
19.根据权利要求16所述的线缆调制解调器,其特征在于所述至少一个视觉指示器包括显示在计算机设备(26)上的高亮图标。
全文摘要
公开了一种方法和双向通信设备,如线缆调制解调器(202)、路由器、网桥或适用于通过网络进行通信并具有防火墙(124)的其他通信设备,用于识别与不适当的活动相关联的那些分组。所述通信设备包括与所述防火墙相关联的至少一个用户可识别指示器(126)。所述至少一个用户可识别指示器同期指示与所述不适当的活动相关联的分组的数量已经超过阈值水平。
文档编号H04L29/06GK1659822SQ03813634
公开日2005年8月24日 申请日期2003年6月9日 优先权日2002年6月12日
发明者布赖恩·艾伯特·维特曼 申请人:汤姆森许可贸易公司