并行地被建造的防火墙的构建方案是稍微更大的。
[0018]借此,保证了所限定的时间特性。如果第二网络例如是安全关键的系统,那么通过所建议的方法能够实现在同时可靠地过滤到达的数据包时对所述安全关键的系统的无反作用。
[0019]按照一个构建方案,相应的过滤规定是同样的,并且第一过滤装置和第二过滤装置利用不同的操作系统被构造并且或者由不同的制造商制造。在这种情况下,“同样的”意味着:相应的过滤规定导致了相同的过滤结果。所述过滤规定可具有相同的或者不同的句法。此外,还可以以不同的方式构造过滤规定。如果所述过滤规定由不同的管理员制成并且维护,那么这尤其是这种情况。
[0020]借此,加倍的过滤不造成花费多的新的配置。分别根据同样的过滤规定来过滤。通过使用不同的操作系统或者制造商,在所有防火墙中的系统化的、相同的错误的概率强烈地被减小。
[0021]使用不同的操作系统使由于实施引起的错误的风险散播。因此,必要时可以补偿操作系统之一的现存的薄弱环节。此外,也可以涉及在应用软件、尤其是相应的防火墙应用程序之内的错误。在这种情况下,典型的错误源是在实施程序时的存储器溢出,所述存储器溢出可删除部分程序代码。
[0022]尽管如此,通过选择相应的防火墙的不同的制造商还可以在同样的规则组和分别无错误地实施的情况下确保不同的实施,所述不同的实施必要时一方面具有不同的薄弱环节以及另一方面从攻击者的角度提供不同的安全障碍。也可能的是:所述两个过滤规定由不同的管理员制成并且更新。在此,如果数据包只被一个过滤规定容许,那么可以识别出所述两个过滤规定之一的有缺陷的配置。
[0023]按照一个扩展方案,由于阻断而输出报警信号。
[0024]该报警用信号通知不一致的过滤并且可以使自动的预防措施开始。例如可以告知负责机构、诸如网络管理员或者防火墙制造商或者防火墙管理员。
[0025]按照一个构建方案,通过所述阻断在第一网络与第二网络之间阻断数据流量。
[0026]例如可以(与报警信号的输出无关地或者与报警信号的输出共同地)中断网络连接或者切断防火墙,相比于另一防火墙,所述防火墙已允许通过多个数据包。
[0027]按照一个构建方案,如果第一过滤结果和第二过滤结果有时间间距地被传送并且该时间间距在可预先给定的时间间隔之外,则执行所述阻断。
[0028]因此,预先给定最大时间跨度,在所述最大时间跨度之内,在比较单元的端口之一上可供支配的包还可以被考虑用于利用之前在另一端口上所接收到的包来调整(Abgleich)。
[0029]按照一个扩展方案,如果相应的数据包由于相应的过滤规定被识别为有效的,那么第一数据包作为第一过滤结果被传送和/或第二数据包作为第二过滤结果被传送。
[0030]通过过滤规定确定归入为有效的数据包。如果应该导致归入为有效的数据包的IP地址范围例如由过滤规定说明,那么例如用预先给定的IP地址范围来调整到达的数据包的目标IP地址,并且如果该IP目标地址不是所述IP地址范围的组成部分,那么该数据包被识别为有效的。
[0031 ]在相应的数据包被识别为有效的情况下,因此仅转交该数据包。也就是说,该数据包没有被改变。除了位错误之外,该数据包与到达的数据包可以是同样的。
[0032]按照一个构建方案,如果相应的数据包由于相应的过滤规定被识别为无效的,那么没有包作为第一过滤结果被传送。
[0033]在这种情况下,因此没有包由相应的过滤装置转交,所述过滤装置由于过滤规定的配置没有将该数据包识别为有效的、也就是说将该数据包识别为无效的。因此,比较单元尤其是从一个或者多个过滤装置获得过滤结果,并且尤其是从将相应的数据包识别为无效的一个或者多个过滤装置没有获得过滤结果。
[0034]按照一个构建方案,相应的过滤结果以及来自在时间上随后的其它的检查的其它的过滤结果由相应的过滤装置提交给比较单元,并且为了确定比较结果,所述其它的过滤结果被考虑。
[°0351 比较单元(也称作包比较器(Packet Comparator))例如从第一过滤装置的第一输入队列获得已经由第一过滤装置转发了的数据包的列表。也就是说,第一过滤装置已经将过滤结果传送给了该数据包。因为第二过滤装置已经识别出无效的数据包并且还没有转发所述无效的数据包,所以所述包比较器例如从第二过滤装置获得其中包含更少的数据包的输入队列。如果现在比较单元在预先给定的时间间隔之内在第二过滤装置的端口上没有获得与在第一输入队列中的过滤结果相配的过滤结果,那么该数据包被阻断。因此,即使该数据包以第一过滤装置的过滤结果的形式存在并且由于第一过滤装置的估计或者分析可能会被转交,然而该数据包也不被转交,因为相对应的过滤结果没有由第二过滤装置提供。
[0036]按照一个构建方案,如果相应的数据包由于相应的过滤规定被识别为无效的,那么相应的替代包作为第一过滤结果和/或作为第二过滤结果被传送。
[0037]借此,在任何情况下,过滤结果都被传送给比较单元。接着,在归入为有效的数据包的情况下,过滤结果是初始的数据包,所述初始的数据包被转交并且除了必要时存在的位错误之外与所接收到的数据包是同样的。与此相反,如果接收到的数据包被归入到无效的,那么替代包作为过滤结果被传送。
[0038]替代包的传送尤其是简化了针对如下情况通过比较单元的调整:例如第二数据包通过第二过滤装置的分析比第一数据包通过第一过滤装置的分析持续得更久。在任何情况下,如果包、也就是在不利的检验的情况下为替代包被传送,那么要检验的相应的包之一的错误意味着:检验还在继续。可以清楚地在被延误的传送和被阻断的传送之间进行区分。
[0039]此外,使用替代包还以有利的方式减少了如下危险:相同的包随机地相互被比较并且由于一致而通过比较单元被转交。
[0040]此外,本发明还涉及一种用于在第一网络与第二网络之间过滤数据包的网络过滤装置,其包括:
-倍增单元,用于使数据包倍增成第一数据包和至少一个第二数据包并且用于将第一数据包转交到第一过滤装置以及将至少所述第二数据包转交到第二过滤装置,其中数据包的内容在第一数据包中并且至少在第二数据包中是可同样地产生的;
-第一过滤装置,用于按照相应的过滤规定检查第一数据包并且用于相应地将第一过滤结果传送给比较单元;和第二过滤装置,用于按照相应的过滤规定检查第二数据包并且用于相应地将至少一个第二过滤结果传送给比较单元;
-比较单元,用于如果与容差范围有偏差的比较结果根据第一过滤结果和至少所述第二过滤结果是可识别的则阻断数据包。
[0041]此外,该网络过滤装置按照一个构建方案还包括用于实施按照上面所提到的实施形式或者扩展方案的方法步骤之一的监控单元。
【附图说明】
[0042]接下来,本发明利用实施例依据附图进一步被解释。尽管本发明详细地通过实施例进一步被图解说明并且被描述,本发明也不由所公开的例子限制,并且其它的变型方案可以由本领域技术人员从中导出,而不离开本发明的保护范围。
[0043]图1示出了按照本发明的第一实施例的网络过滤装置的示意图;
图2示出了按照本发明的第二实施方案的方法的示意图;
图3示出了按照本发明的第二实施例的网络过滤装置的示意图。
[0044]在附图中,只要不另外说明,功能相同的要素就被配备有同一参考符号。
【具体实施方式】
[0045]在图1中描绘了网络过滤装置100,所述网络过滤装置100包括倍增单元200以及比较单元300以及第一过滤装置FWl和第二过滤装置FW2。倍增单元200在端口上从第一网络NWl获得数据包10。第一网