专利名称:区段化终端机系统与方法
技术领域:
本发明涉及一种区段化终端机系统与方法,尤其指利用过滤RDP封包的 区段化终端机系统与方法。
背景技术:
由于病毒或骇客摧毁电脑所造成的威胁有越来越严重的趋势,企业对于 功能更强大的防毒软件或防火墙机制的需求也越来越迫切。 一般而言, 一个 需要作好防毒和防骇客措施的网络架构可以分成以下三个不同的阶层
第 一层网络(SMTP )网关(Internet Gateways )
第二层伺服器(信息、应用、档案、打印等伺服器)
第三层客户端(台式及笔记型电脑)
理论上来说,如果能确保第一层的安全,那么病毒就无法进入组织内, 对第二和第三层的保护也就没有必要了 。
第一层的防护应当包括两个元件基于规则的政策执行(rules-based policy enforcement)以及病毒的扫4苗。
通过执行规则,可以根据已知的内容(例如电子邮件主旨栏上的I LOVE YOU)或是在防毒软件制造商发布病毒码之前,通过建立规则来防堵病毒。 此外,我们也可以利用规则来找出一些可能被误以为是"闹剧"的老旧病毒。 如一些防病毒厂商把"COKEGIF.EXE"病毒归于闹剧/误报一类,其防毒引擎 不再将附有这些病毒档案的email拦截了。
有了第 一层的病毒防护,各个公司组织只要在一两个网关上替整个公司 捕捉和拦截病毒就可以了。 一旦病毒通过了网关,公司就必须依靠伺服器代 理程序(server agents)对众多的伺服器进行扫描和修复,而不再只是处理一 个网关。倘若由于某种原因病毒穿透了伺服器层,那就必须依靠用户端这一 层的防毒软件,这可能会影响到成千上万的节点(nodes)。显然的,立即在第
一层阻止病毒是最有效的解决方法。
然而,现实生活中病毒感染或骇客入侵有多种渠道,往往都是发现病毒 感染或骇客入侵之后才发觉原来还有漏洞存在,如果永远只是依靠过滤所有 的封包来防范病毒感染或骇客入侵的话,那么对广大的用户端来说还是有极 高的风险存在。
除此之外,伴随着企业在全球化的发展,在其信息架构的布局也成为这 几年来企业信息发展的重点之一。然而,在各分公司之间的远距信息应用上,
^t式的信息架构常面临下列挑战
1. 信息安全。
2. 频宽需求大与系统效能不佳。
3. 系统缺乏扩充弹性。
4. 用户端的信息维护成本高,例如软件派送、前端用户服务等。 正是上述的挑战,使得集中式的信息应用架构(即终端机系统)又再度
受到各大企业的青睐。
终端机系统除了有以上的好处外,基于本身具有的集中性也能完全地防 范病毒感染或骇客入侵。这是因为,在终端机系统中,所有扮演终端机角色 的终端才几电脑(即采用如Windows XP终端枳一莫式的个人电脑)可连线至终端 机伺服器,并只通过终端机伺服器收取电子邮件、下载档案、执行档案等等。 如此一来,万一有病毒感染或骇客入侵时,也只会发生在终端机伺服器中。
只是,在传统终端机系统中,虽然最初病毒或骇客只感染或入侵终端机 伺服器,但终究还是会通过终端机伺服器扩散至所有的电脑装置。
发明内容
本发明主要目的在于提供一种区段化终端机系统与方法,利用只允许远 端数据协议RDP的封包通过,而分隔出区域网络的内部区段与外部区段,进 而避免外部区段被病毒感染或骇客入侵时,影响扩散到区域网络中所有的电 脑装置。
基于上述目的,本发明区段化终端机系统与方法包括区段化模块、终端
机伺服器、终端机电脑。区段化模块是利用只允许远端数据协议RDP的封包 通过,而分隔出区域网络的内部区段与外部区段。终端机伺服器设置在区域 网络中的外部区段,并可基于远端数据协议的控制命令封包,取得和/或显示 对应的要求数据。要求数据是回应控制命令封包的结果。终端机电脑设置在 区域网络中的内部区段,并可基于远端数据协议穿过区段化模块并向终端机 伺服器发出控制命令封包,以及基于远端数据协议接收和/或显示属于影像的 要求数据。
与现有技术相比,本发明具有以下优点
本发明区段化终端机系统与方法,利用只允许远端数据协议RDP的封包 通过,而分隔出区域网络的内部区段与外部区段,进而避免外部区段被病毒 感染或骇客入侵时,影响扩散到区域网络中所有的电脑装置,从而达到完全 阻止骇客或病毒危害的目的。
图1为本发明区段化终端机系统的第一实施例示意图2为本发明区段化终端机系统的第二实施例示意图3为本发明区段化终端机系统的第三实施例示意图4为本发明区段化终端机系统的第四实施例示意图。
主要元件符号说明如下
10 区域网络
10a内部区段
10b外部区賴
12 区段化模块
14终端机伺服器
16a、 16b终端才几电脑
18a邮件伺服器
18b网页伺服器
20数据储存装置 22路由器
24地址转换模块
26远端终端机
具体实施例方式
参照图1,图1为本发明区段化终端机系统的第一实施例示意图。如图1 所示,本发明区段化终端机系统主要由区段化模块12、终端机伺服器14、终 端机电脑16a、 16b所组成。终端机伺服器14、终端机电脑16a、 16b仍和现 有技术运作模式相同,只是在这二者之间额外增加了区段化模块12。区段化 模块12、终端机伺服器14、终端机电脑16a、 16b仍存在于区域网络IO之中, 并通过路由器22连接至网际网络。
简而言之,为了避免已遭到病毒感染或骇客入侵的终端机伺服器14,会 危及到同样在区域网络10中的终端机电脑16a、 16b,在本发明系统中的区段 化模块12可利用只允许远端数据协议RDP的封包通过,进而分隔出区域网 络10的内部区段10a与外部区段10b,并因过滤封包的关系将可能危害终端 机电脑16a、 16b的所有封包全部都挡在外部区段10b之中。换言之,在终端 机伺服器14、终端机电脑16a、 16b所架构出的终端机系统中,因额外具有区 段化模块12的关系,使得在本发明系统中还能从终端机伺服器14或网际网 络,穿过区段化模块12并到达终端机电脑16a、 16b的封包,也只剩下无害 的RDP的封包(例如图形影像),从而达到完全阻止骇客或病毒危害的目的。
本发明区段化终端机系统中,若位于内部区段10a中的终端机电脑16a 需要存取网际网络上的资源时,终端机电脑16a的封包必须先穿过区段化模 块12,并通过位于外部区段10b中的终端机伺服器14取得、显示所需的数据。 在此架构下,由于终端机电脑16a所作的操作实际上仍在终端机伺服器14上 进行,就算无意之间执行了含有病毒的程序,也只会破坏终端机伺服器14。 若再配合还原技术,将尚未中毒前的状态还原回来,就能快速地拯救终端机 伺服器14,让整个系统恢复正常工作。
举例来说,若终端机电脑16a向终端机伺服器14发出远端数据协议RDP
的控制命令封包(例如浏览某个网站的网页),终端机伺服器14将可基于此 控制命令封包,取得对应的网页内容的要求数据,并为了回应此控制命令封 包的结杲显示此网页内容,同时基于终端机系统现有的运作模式,会让终端 机电脑16a基于远端数据协议接收和/或显示属于影像的要求数据(即网页内 容)。
上述控制命令封包主要是通过终端机电脑16a、 16b所属的键盘和/或鼠标 产生,并且通过终端机电脑16a、 16b所属的显示器显示属于影像的要求数据。
为了让所有的数据能被集中管理,并且确保不会因终端机伺服器14遭到 病毒感染或是骇客入侵而破坏其所储存的数据,在本发明区段化终端机系统 中特别针对数据储存的部分有创新的设计。
参照图2,图2为本发明区段化终端机系统的第二实施例示意图。如图2 所示,本发明区段化终端机系统主要还是由区段化模块12、终端机伺服器14、 终端机电脑16a、 16b所组成,但额外在内部区段10a、外部区段10b之间设 置了数据储存装置20。至于终端机伺服器14、终端机电脑16a、 16b仍和现 有技术运作模式相同,只是在这二者之间额外增加了区段化模块12。区段化 模块12、终端机伺服器14、终端机电脑16a、 16b仍存在于区域网络IO之中, 并通过路由器22连接至网际网络。
具体来说,上述数据储存装置20主要用来储存多组档案数据,且在不通 过区段化模块12的情况下,直接接受来自终端机伺服器14和/或终端机电脑 16a、 16b的档案存取要求,并且为回应档案存取要求而处理档案数据。来自 终端机伺服器14、终端机电脑16a、 16b的档案存取要求可为读取和/或写入 档案数据。若配合图3所示的远端终端机26,使用者便可方便地从外部网络 存取在区域网络10中已授权数据或在区域网络10中进行已授权的操作。
参照图3,图3为本发明区段化终端机系统的第三实施例示意图。如图3 所示,本发明区段化终端机系统主要还是由区段化模块12、终端机伺服器14、 终端机电脑16a、 16b、数据储存装置20所组成,但额外在外部区段10b设置 了服务伺服器(例如邮件伺服器18a、网页伺服器18b、或提供档案传输服务、 其他多位服务的伺服器)。至于终端机伺服器14、终端机电脑16a、 16b仍和
现有技术运作模式相同,只是在这二者之间额外增加了区段化模块12。区段 化模块12、终端机伺服器14、终端机电脑16a、 16b、邮件伺服器18a、网页 伺服器18b仍存在于区域网络10中,并通过路由器22连接至网际网络。
上述服务伺服器所提供的预定服务功能,均只通过终端机伺服器14提供 预定服务功能,或者如一般情况下直接被连接并使用其所提供的服务。当通 过终端机伺服器14使用邮件伺服器18a、网页伺服器18b所提供的服务时, 使用者可利用区域网络10的终端机电脑16a、 16b、或利用穿过网际网络的远 端终端机26登入终端机伺服器14,然后再由终端机伺服器14收取电子邮件 或浏览网页。在此情况下,所有执行、开启档案均实际在终端机伺服器14上 进行,避免读取电子邮件或浏览网页时无意之间,使终端机电脑16a、 16b、 远端终端机26连带中毒。
若配合先前所提到的数据储存装置20,远端终端机26还可通过终端机伺 服器14存取储存在数据储存装置20中的数据,让使用者不但可从内部的区 域网络10存取公开或私有(经授权)的数据,还可从网际网络中的远端终端 机26存取公开或私有(经授权)的数据。
不过,为了避免使用者利用数据储存装置20泄漏内部机密数据,对来自 终端机电脑16a、 16b的档案存取要求仅可为读取档案数据。如此一来,使用 者就无法先将机密数据储存至数据储存装置20之中,再通过如图3所示的远 端终端机26,由外部再将此机密数据取走。
在此架构中,远端终端机26除了可以使用邮件伺服器18a、网页伺服器 18b所提供的服务以外,还可通过网际网络合法登入至终端机伺服器14之后, 通过终端机伺服器14存取特定终端机电脑16a、 16b所储存的数据,即终端 机电脑16a、 16b成为如同伺服器般接受登入。
此外,面对越来越普及的防火墙机制的网络系统,终端机系统会在应用 上受到阻碍。这是因为,终端机系统中的远端终端机26本身缺乏网络通信能 力(例如没有IP地址)、运算处理能力,使得传统上由于终端机无法提供足够 多的数据作识别,使得防火墙装置没有办法识别终端机是否为合法用户,若 是面对更高阶的防火墙机制,终端机也将因为缺乏运算处理能力而无法通过
防火墙机制的验证。
参照图4,图4为本发明区^史化终端;f几系统的第四实施例示意图。如图4 所示,本发明区段化终端机系统主要还是由区段化模块12、终端机伺服器14、 终端机电脑16a、 16b、数据储存装置20、服务伺服器(例如邮件伺服器18a、 网页伺服器18b、或提供档案传输服务、其他多位服务的伺服器)所组成,但 额外在外部区段10b设置了数据转换模块24(通常被整合在防火墙装置之中)。 至于终端机伺服器14、终端机电脑16a、 16b仍和现有技术运作模式相同,只 是在这二者之间额外增加了区段化模块12。区段化模块12、终端机伺服器14、 终端机电脑16a、 16b、邮件伺服器18a、网页伺服器18b仍存在于区域网络 IO之中,并通过路由器22连接至网际网络。
为了让终端机系统仍被应用在具有防火墙机制中,在本发明系统中的地 址转换模块24中作了一些调整,即仅在验证远端终端机26的识别数据为合 法后,才允许远端终端机26穿透防火墙机制而对区域网络10中的其中一装 置进行远端操作。换句话说,为了持续验证来自网际网络的封包,远端终端 机26与已被事先允许存取的区域网络10中的其中一装置,这中间所有传递 的命令、显示封包等均必须通过地址转换模块24进行传送。
i旦在有多台远端终端机26需要存取终端机伺服器14、终端才几电脑16a、 16b、邮件伺服器18a、网页伺服器18b等的情况下,由于地址转换模块24无 法确认所接收的封包属于哪一台远端终端机26,也无法确定哪一台远端终端 机26已被允许存取哪一台装置,因此地址转换模块24还需要分析封包是通 过哪个通信端口 ( port)传来的、以及对应表。此对应表中每组数据均至少包 含通信端口 (Port)、以及通信端口所对应的电脑装置的IP地址。
举例来说,若远端终端机26需要登入邮件伺服器18a时,远端终端机26 需提供可用来识别的识别数据(例如装置代码或其所属网卡的MAC地址), 并且为了让地址转换模块24知道此连线要求的是来自远端终端机26,因此远 端终端机26所有的封包均必须通过特定通信端口 3328进行传送。当地址转 换模块24收到通过通信端口 3328传来的封包(例如收取邮件伺服器18a 中的邮件)后,可利用对照表除了得知是来自远端终端机26以外,更会知道
此存取封包是要传给邮件伺服器18a的。等邮件伺服器18a实际完成所要求的 远端操作(开启邮件)后,对应的显示封包则需再次通过地址转换模块24回 应给远端终端机26,让使用者从其所属显示屏幕看到此邮件内容。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此, 任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
权利要求
1.一种区段化终端机系统,其特征在于,该区段化终端机系统包括一区段化模块,利用只允许一远端数据协议RDP的封包通过,而分隔出一区域网络的一内部区段与一外部区段;一终端机伺服器,设置在该区域网络中的该外部区段,并基于该远端数据协议的一控制命令封包,取得和/或显示对应的一要求数据,该要求数据是回应该控制命令封包的结果;以及一终端机电脑,设置在该区域网络中的该内部区段,并可基于该远端数据协议穿过该区段化模块并向该终端机伺服器发出该控制命令封包,以及基于该远端数据协议接收和/或显示属于影像的该要求数据。
2. 如权利要求1所述的区段化终端机系统,其特征在于,通过该终端机电 脑所属的一键盘和/或鼠标产生该控制命令封包,以及通过该终端机电脑所属 的一显示器显示属于影像的该要求数据。
3. 如权利要求1所述的区段化终端机系统,其特征在于,该区段化终端机 系统进一步包括一数据储存装置,储存多组档案数据,且在不通过该区段化模块的情况 下,直接接受来自该终端机伺服器和/或该终端机电脑的一档案存取要求,并 且为回应该档案存取要求而处理该档案数据。
4. 如权利要求3所述的区段化终端机系统,其特征在于,来自该终端机伺 服器、该终端机电脑的该档案存取要求为读取和/或写入该档案数据。
5. 如权利要求3所述的区段化终端机系统,其特征在于,来自该终端机电 脑的该档案存取要求仅为读取该档案数据。
6. 如权利要求1所述的区段化终端机系统,其特征在于,该区段化终端机 系统进一步包括一服务伺服器,设置在该区域网络中的该外部区段,并具有一预定服务 功能,且仅通过该终端机伺服器提供该预定服务功能。
7. 如权利要求6所述的区段化终端机系统,其特征在于,该区段化终端机 系统进一步包括 一远端终端机,通过一网际网络合法登入至该终端机伺服器,并通过该 终端机伺服器使用该服务伺服器所提供的该预定服务功能和/或存取该终端机 电脑所储存的数据。
8. 如权利要求6所述的区段化终端机系统,其特征在于,该预定服务功能 可为一网页存取服务、 一电子邮件服务或一档案传输服务。
9. 如权利要求6所述的区段化终端机系统,其特征在于,该区段化终端机 系统进一步包括一远端终端机,具有可用来辨识的一识别数据,并可针对该终端机伺服 器和该服务伺服器其中之一进行一远端操作;以及一i也址4争换才莫块,用以在-验i正该识别凝j居为合法后,允i午该远端终端才几 穿透防火墙机制而对该终端机伺服器和该服务伺服器其中之一进行该远端操作。
10. 如权利要求9所述的区段化终端机系统,其特征在于,该识别数据为 该远端终端机的一装置代码或其所属网卡的一媒体接入控制MAC地址。
11. 如权利要求9所述的区段化终端机系统,其特征在于,若该远端终端 机为多台时,该地址转换模块利用每一远端终端机在通信时所采用的一通信 端口 Port作区分。
12. 如权利要求9所述的区段化终端机系统,其特征在于,该地址转换模 块进一步包括一对应表,该对应表中每组数据均至少包括一通信端口 Port、 以及该通信端口所对应的该终端机伺服器、该服务伺服器、该终端机电脑的 一 IP地址。
13. —种区段化终端机方法,其特征在于,该区段化终端机方法包括只允许一远端数据协议RDP的封包通过,而分隔出一区域网络的一内部 区段与一外部区段;设置一终端机伺服器在该区域网络中的该外部区段;设置一终端机电脑在该区域网络中的该内部区段;通过该终端机电脑以该远端数据协议向该终端机伺服器发出一控制命令 封包;使该终端机伺服器基于该远端数据协议的该控制命令封包,取得和/或显示对应的一要求数据,该要求数据回应该控制命令封包的结果;以及通过该终端机电脑以该远端数据协议接收和/或显示属于影像的该要求数据。
14. 如权利要求13所述的区段化终端机方法,其特征在于,通过该终端机 电脑所属的一键盘或鼠标产生该控制命令封包,以及通过该终端机电脑所属 的 一显示器显示属于影像的该要求数据。
15. 如权利要求13所述区段化终端机方法,其特征在于,该区段化终端机 方法进一步包括设置一数据储存装置,该数据储存装置储存多组档案数据,且直接接受 来自该终端机伺服器和/或该终端机电脑的一档案存取要求,并为回应该档案 存取要求而处理该档案数据。
16. 如权利要求15所述的区段化终端机方法,其特征在于,来自该终端机 伺服器、该终端机电脑的该档案存取要求为读取和/或写入该档案数据。
17. 如权利要求15所述的区段化终端机方法,其特征在于,来自该终端机 电脑的该档案存取要求仅为读取该档案数据。
18. 如权利要求13所述的区段化终端机方法,其特征在于,该区段化终端 机方法进一步包括设置一服务伺服器在该区域网络中的该外部区段,该服务伺服器具有一 预定服务功能,且仅通过该终端机伺服器提供该预定服务功能。
19. 如权利要求18所述的区段化终端机方法,其特征在于,该区段化终端 才几方法进一步包括设置一远端终端机,该远端终端机通过一网际网络合法登入至该终端机 伺服器,并通过该终端机伺服器使用该服务伺服器所提供的该预定服务功能 和/或存取该终端机电脑所储存的数据。
20. 如权利要求18所述的区段化终端机方法,其特征在于,该预定服务功 能为一网页存取服务、 一电子邮件服务或一档案传输服务。
21. 如权利要求18项所述的区段化终端机方法,其特征在于,该区段化终端机方法进一步包括设置一远端终端机,该远端终端机具有用来辨识的一识别数据,并针对该终端机伺服器和该服务伺服器其中之一进行一远端梯:作;以及在-睑证该识别数据为合法后,允许该远端终端才几穿透防火墙才几制对该终端机伺服器和该服务伺服器其中之一进行该远端操作。
22. 如权利要求21所述的区段化终端机方法,其特征在于,该识别数据为 该远端终端机的一装置代码或其所属网卡的一MAC地址。
23. 如权利要求21所述的区段化终端机方法,其特征在于,该远端终端机 为多台时,该地址转换模块利用每一远端终端机在通信时所采用的一通信端 口 Port作区分。
24. 如权利要求21所述的区段化终端机方法,其特征在于,该地址转换模 块进一步包括一对应表,该对应表中每组数据均至少包括一通信端口 Port, 以及该通讯端口所对应的该远端终端机伺服器、该服务伺服器、该远端终端 才几电脑的一IPi也址。
全文摘要
本发明公开了一种区段化终端机系统与方法,主要是利用区段化模块只允许远端数据协议(remote data protocol,RDP)的封包通过,而分隔出区域网络的内部区段与外部区段。在区域网络的外部区段中设置终端机伺服器,另在内部区段中设置终端机电脑。在此区域网络中,终端机电脑必须穿过区段化模块并通过终端机伺服器取得、显示所需的数据,但由于终端机电脑所做的操作实际上仍在终端机伺服器上进行,并且能穿过区段化模块并到达终端机电脑的封包也只有无害的RDP的封包,从而达到完全阻止骇客或病毒危害的目的。
文档编号H04L29/06GK101170548SQ20061015009
公开日2008年4月30日 申请日期2006年10月27日 优先权日2006年10月27日
发明者梁国恩 申请人:梁国恩