专利名称:网路封包流向控制装置的制作方法
技术领域:
本发明涉及一种控制装置,特别是涉及一种可应用于一设有一防火墙的内部网络而可供特定封包通过并保有防火墙功能的网络封包流向控制装置。
背景技术:
如图1所示,现今一般企业内部网络91与外部的网际网络(internet)92间,通常设有一防火墙单元93,除保护内部网络91不受网际网络92内其它使用者的恶意攻击及入侵外,也可防止企业内部网络91使用者未经授权以电子邮件(email)等方式对外泄密。
除一般过滤性防火墙(filter)及代理性防火墙(proxy)外,具网络地址转换(Network Address Translation,下简称NAT)功能的防火墙机制,由于可使网际网络92内使用者无法得知内部网络91使用者的真实IP地址,并可提供大量虚拟IP而弥补真实IP的不足,所以也是常见的防火墙设计之一。
但是,当内部网络91使用者欲使用网络电话、多方视讯、线上游戏或其它实时(real-time)互动的媒体服务时,除非对外改用为网际网络所共同认知的真实IP,否则就无法使用上述服务,相反地,一但跨越NAT防火墙而直接对外联机,则又有遭受外部攻击的可能。
此外,网络管理人员也可依照网络电话制造者的建议开放部分连接埠,以供该服务的特定封包通过。但是该等连接埠的开放或关闭的设定,不但对一般网管人员造成负担,对规模较小企业或个人更有技术上的困难。
发明内容本发明的主要目的在于提供一种可供特定封包通过并保有防火墙功能的网络封包流向控制装置。
本发明的次一目的在提供一种可直接装设于具防火墙功能的网络环境而易于使用的网络封包流向控制装置。
为实现上述目的,本发明的技术方案如下
一种网络封包流向控制装置,供设置于一网络环境,该网络环境包括一外部网络、一内部网络及一位于该外部及内部网络间的防火墙,该防火墙并具有供信息封包通过的一对内连接埠及一对外连接埠。该控制装置包括一第一连接埠,供连接至该外部网络;一第二连接端口,供连接至该内部网络;一第三连接埠,供连接至该防火墙的对外连接埠;一第四连接埠,供连接至该防火墙的对内连接端口;一储存单元,储存一第一条件及一第二条件;一处理单元,包含一第一过滤模块,判断自该外部网络输入该第一连接端口的信息封包是否符合该第一条件;一第二过滤模块,判断自该内部网络输入该第二连接端口的信息封包是否符合该第二条件;一第一桥接模块,将该第一过滤模块判定符合该第一条件的信息封包桥接至该第二连接端口以供输出至该内部网络,并将该第一过滤模块判定不符合该第一条件的信息封包桥接至该第三连接埠以输出至该防火墙单元;及一第二桥接模块,将该第二过滤模块判定符合该第二条件的信息封包桥接至该第一连接埠以供输出至该外部网络,并将该第二过滤模块判定不符合该第二条件的信息封包桥接至该第四连接埠以输出至该防火墙。
下面通过最佳实施例及附图对本发明的网络封包流向控制装置进行详细说明,
图1是是一现有设有防火墙的网络系统示意图。
图2是本发明网络封包流向控制装置较佳实施例设于一具防火墙机制的网络环境示意图。
图3是该较佳实施例的软、硬件架构示意图。
图4是一网络语音服务的注册封包示意图。
图5是该较佳实施例的实施步骤流程图具体实施方式如图2所示,本发明网络封包流向控制装置10的较佳实施例,是供设置于一现有的网络环境100,该网络环境100包括一外部网路20、一内部网络30及一位于该外部及内部网络20、30间的防火墙40,以于确保内部网络30受防火墙40保护的安全机制下,同时于外部及内部网络20、30间提供互动实时的网络语音(VOIP)服务。
本实施例中外部及内部网络20、30分别以网际网络(internet)及一企业内部网络(intranet)为例,但是如熟习本技艺人士所熟知,外部网络20并不以本实施例所举网际网络等广域网络(WAL)为限,而也可如另一企业内部网络等局域网络(LAN)。
此外,于图2所示的网络环境100中,控制装置10与外部网络20间是借一现有ADSL调制解调器50连接,但是该连接线路也可由如拨接调制解调器(modem)或宽频缆线调制解调器(wideband cable modem)搭配相关线路、ISDN服务线路、T1专线或其它有线或无线网络实体线路系统所提供。
同时,为求简便明示,控制装置10与内部网络30间是直接借一现有以太网络集线器31(Ethernet hub)连接至多数台个人计算机32,但是于其它变化例中,集线器31的作用也可为如令牌环(token ring)网路系统或其它设计所取代。控制装置10与集线器31间则更可设置一企业内部的网络服务器(server),而由网络服务器再连接一或多数集线器31,而且个人计算机32也可为其它位于网络节点上的适当设备所取代。本实施例中防火墙40是以一具网络地址转换(Network AddressTranslation,下简称NAT)功能的现有服务器为例,其并连接另一现有的非军事区(De-Militarily Zone,DMZ)服务器41。
本实施例中控制装置10是以一独立设置于计算机外部的网络网关器(gateway)为例,但是须特别指出的是,控制装置10也可以其它硬体(如一供个人计算机使用的扩充卡)、软件(software)或硬件(hardware)及软件的组合等许多型式实现,而非限于本实施例所举型态。
如图3所示,控制装置10的主要实体架构包含一处理单元11、一储存单元12、一闪存(flash ROM)13、一静态随机存取记忆体(SRAM)14、一第一连接埠151、一第二连接埠152、一第三连接埠153、一第四连接埠154、一第一终端装置连接端口161及一第二终端连接埠162。本实施例中处理单元11为一中央处理器(如Intel 486)或其它适当型式的芯片,储存单元12则以一硬盘机(hard-disk)为例,但是如磁盘片、磁带(tape)等磁性储存装置、光盘片(CD)等光学储存装置或其它固定或抽取式数字(digital)资料储存装置也可适用。
储存单元12主要储存有一操作系统121(如Linux系统)、用以决定信息封包流向的一第一条件122、一第二条件123、一第三条件124及一第四条件125、一管理接口程序126、多数历史记录档案127及其它必要的多数支持程序(图未示)。
如前所述,本实施例是用以于图2中外部及内部网络20、30间建立一不受防火墙机制影响的网络语音(VOIP)联机,而第一及第二条件122、123也就与网络语音封包(packet)特性有关。本实施例中网络语音的呼叫会谈(call session)初始化(initiation)程序是采IEIF制定的会谈初始化协议(Session InitiationProtocol,下简称SIP协议)进行,而于会谈经双方确认建立后,则依照实时应用传输协议(Transport Protocol for Real-Time Application,下简称RTP协议)进行实时语音资料的传输。
依据SIP协议,内部网络30的任一个人计算机32与外部网络20的一会谈对象(图未示)进行网络语音会谈前,双方皆须先行向位于外部网络20后端的一注册服务器(registry server)21登录注册其IP及URL地址。其中,如图4所示,送往该注册服务器21的一典型网络语音服务的UDP(User Datagram Protocol)/IP(InternetProtocol)协议封包60,包括一IP表头(header)段61、一UDP表头段62及一资料(payload)段63。IP表头段61进一步包含一来源地址(如图中例举的163.1.1.1)及一目的地址(如图中140.1.1.1),UDP表头段62包含对应一特定应用程序的一来源连接端口埠号(如图中的6010)及一目的连接埠埠号(如图中的6010),数据段63则包含与注册请求有关的记载(如图中SIP REGISTER)。但是须特别指出的是,上述图4所示的IP地址及UDP连接埠埠号都只供举例说明而不具实质意义,也未必符合SIP协议的相关规定。
配合图3、4所示,本实施例中第一及第二条件122、123的选定是以上述请求注册的UDP/IP封包中的连接埠埠号为例,换句话说,当该封包中UDP表头段62的连接埠埠号均为6010时,就符合第一条件122及第二条件123,也就可判断该封包是属网络语音服务所有。但是须指出的是,上述第一及第二条件122、123也可包含如多数连接埠埠号、TCP(Transport Control Protocol)连接端口端口号、IP地址或其他特定程序格式。而本实施例所举的网络语音也可为其它如线上游戏、实时影像传输及其它实时互动的媒体格式所取代,但是也不以该等媒体为限,而实质可应用于任何实时或非实时传输的应用程序。
处理单元11则具有一第一过滤模块111、一第二过滤模块112、一第一桥接模块113及一第二桥接模块114,以依据操作系统121及第一至第四条件122至125,过滤信息(information)封包并决定其流向,其细节容后详述。
如图2、3所示,第一至第四连接埠151至154分别连接至通往外部网络20的调制解调器50一对应连接端口(图未示)、内部网络30的网络集线器31一对应连接埠(图未示)、防火墙单元40的一对外连接埠(图未示),及防火墙单元40的一对外连接埠(图未示)。本实施例中第一至第四连接端口151至154实体是各以一RJ45接头为例,其于控制装置10内部则设有对应的硬件控制芯片155、156、157及158。
本实施例中第一及第二终端装置连接端口161、162皆以一RS232接头为例,而可视需要分别联机至一终端监视器(monitor)171及一如键盘或其它适当型式的输入装置172,供使用者可透过监视器171配合前述储存单元12储存的管理接口程序126,浏览监看控制装置10的操作状态、各通过控制装置10信息封包的流向,及储存单元12所储存的历史记录档案127等,并可进一步借由输入装置172而作必要的输入修改等管理作业。当然,控制装置10也可透过内部网络30而由内部网络上30一特定计算机(如前述网络服务器)进行管理作业。
以下将配合图5所示本发明较佳实施例的部分实施步骤流程图,就控制装置1O的处理单元11作用进一步详述。首先如步骤701所示,第二连接埠152接收经由集线器31而来自一个人计算机32的多数第二信息封包后,如步骤702所示,处理单元11的第二过滤模块112将判断该第二信息封包是否符合前述储存单元12储存的第二条件123。如步骤703所示,若经判定符合第二条件123(也就是属前述网路语音封包),则再进一步判定是否符合第四条件125(其细节容后详述),若经判定任一封包同时符合第二、第四条件123、125时,第二桥接模块114就如步骤704所示将该封包于第二连接埠152拦除(reject)而抛弃(其细节也容后详述)。若一封包只符合第二条件123而不符第四条件125,如步骤705所示,控制装置10的第二桥接模块114就是将该封包直接桥接至第一连接埠151,而如步骤706所示经调制解调器50将封包传送至外部网络20后的注册服务器21请求注册,也就是完全跨越防火墙40的安全控管机制,而不致因NAT作用而无法与注册服务器21联机。
相反地,如步骤707所示,若经判定该来自个人计算机32的信息封包不符第二条件123(也就是属网络语音以外应用程序的封包),第二桥接模块114就将该封包直接桥接至第四连接埠154,而后如步骤708所示进一步将封包传送至防火墙40,而如步骤709所示由防火墙40进行现有NAT等安全控管。而后,如步骤710所示,防火墙40将把该封包经安全过滤管控后传送至第三连接埠153,再如步骤711所示由第三连接埠153将封包传至第一连接埠151,而后如步骤712所示,将封包经调制解调器50传送至外部网络20中的对应端(图未示)。
此外,为进一步限制内部网络30所在企业内部未经授权的员工私自使用网络语音服务对外联络,本实施例中第三、第四条件124、125就以未经授权员工使用的个人计算机IP地址为依据,也就是任一封包的IP地址为未授权员工个人计算机IP地址时,就符合第三、第四条件124、125。如前述步骤703、704所示,若经判定任一封包同时符合第二、第四条件123、125时,第二桥接模块114就将该封包于第二连接埠152拦除而抛弃。同时,该事件也将记录于储存单元12的历史记录档案127中,以供网管人员管理参考。
同理,由第一连接端口151所接收经过调制解调器50而来自外部网络20的任一第一信息封包,将由处理单元11的第一过滤模块111判断该信息封包是否符合第一条件122。若经判定符合第一条件122(也就是属网络语音封包),控制装置10的第一桥接模块113就将该封包直接桥接至第二连接埠152,而后经过集线器31而由一特定个人计算机32接收。相反地,若经判定该封包不符第一条件122(也就是属网络语音以外应用程序的封包),第一桥接模块113就将该封包桥接至第三连接埠153,而后传送至防火墙40进行安全控管,而后经防火墙40传送至第四连接埠154,再由第四连接埠154传送至第二连接埠152,最后始经集线器31传送至一特定个人计算机32。此外,若经判定任一第一封包同时符合第一、第三条件122、124时,第一桥接模块113同样将该封包于第一连接埠151拦除而抛弃。
另须指出的是,本实施例中为便于说明,第一、第二条件122、123及第三、第四条件124、125是设定两两相同,但于其它变化例中,第一、第二条件122、123及第三、第四条件124、125也可两两部分或全部不同,也就是对控制装置10而言,自内部网络30通往外部网络20及自外部网络20通往内部网络30两相反方向,针对同一应用程序封包所采取的流向控制策略可能不同。
借由上述装置、网络系统配置及实施方法,本发明提供一种网路封包流向控制装置及方法,该装置可直接安装于已设有防火墙设备的内部网络环境中,只需简单的接线就可使用,而无须更改任何防火墙设定或网络系统架构,所以可大幅降低网管人员的负担或更换升级设备所需费用。
同时,于本发明的实施下,仍保持原有防火墙如NAT等安全控管功能,而无遭受外部网络恶意入侵或自内部网络向外泄密的问题。再者,于本发明较佳实施例中,因针对特定连接端口及应用程序开放特定路径传输,所以更可提升整体网络交换速度。
权利要求
1.一种网络封包流向控制装置,供设置于一网络环境,该网络环境包括一外部网络、一内部网络及一位于该外部及内部网络间的防火墙,而供自该外部网络向内部网络传输多数第一资料封包及自该内部网络向外部网络传输多数第二资料封包,该防火墙并具有一对内连接埠及一对外连接端口,该装置包括一第一连接埠、一第二连接埠、一第三连接埠、一第四连接埠、一储存单元及一处理单元,其特征在于该第一连接埠是供连接至该外部网络;该第二连接埠是供连接至该内部网络;该第三连接埠是供连接至该防火墙的对外连接埠;该第四连接埠是供连接至该防火墙的对内连接埠;该储存单元储存有一第一条件;该处理单元包含有一第一过滤模块,判断各该第一信息封包是否符合该第一条件;一第一桥接模块,将该第一过滤模块判定符合该第一条件的各该第一信息封包桥接至该第二连接埠以直接传送至该内部网络,并将该第一过滤模块判定不符合该第一条件的各该第一信息封包桥接至该第三连接埠,以传送至该防火墙的对外连接埠而由该防火墙进行管控。
2.如权利要求1所述的网络封包流向控制装置,其特征在于该储存单元更储存一第二条件,该处理单元则更包含一第二过滤模块及一第二桥接模块,该第二过滤模块是判断各该第二信息封包是否符合该第二条件,该第二桥接模块则将该第二过滤模块判定符合该第二条件的各该第二信息封包桥接至该第一连接端口以传送至该外部网络,并将该第二过滤模块判定不符合该第二条件的各该第二信息封包桥接至该第四连接埠,以传送至该防火墙的对内连接埠而由该防火墙进行管控。
3.如权利要求1所述的网络封包流向控制装置,其特征在于该装置为一网络网关器。
4.如权利要求2所述的网络封包流向控制装置,其特征在于该第一条件包含一预定的连接埠埠号。
5.如权利要求4所述的网络封包流向控制装置,其特征在于该第二条件包含一预定的连接埠埠号。
6.如权利要求5所述的网络封包流向控制装置,其特征在于该第一条件及第二条件相同。
7.如权利要求2所述的网络封包流向控制装置,其特征在于该储存单元更储存一第三条件,而该第一过滤模块更判断各该第一信息封包是否符合该第三条件,该第一桥接模块则更将该第一过滤模块判定同时符合该第一及第三条件的各该第一信息封包于该第一连接埠拦截。
8.如权利要求7所述的网络封包流向控制装置,其特征在于该储存单元更储存一第四条件,而该第二过滤模块更判断各该第二信息封包是否符合该第四条件,该第二桥接模块则更将该第二过滤模块判定同时符合该第二及第四条件的各该第二信息封包于该第二连接埠拦截。
9.一种网络封包流向控制程序,供安装于一网络环境中的一电子装置而使该电子装置得以执行多数流向控制步骤,该网络环境包括一外部网络、一内部网络及一位于该外部及内部网络间的防火墙,而供自该外部网络向内部网络传输多数第一资料封包及自该内部网络向外部网络传输多数第二资料封包,该防火墙并具有一对内连接埠及一对外连接端口,该电子装置则包括一供连接至该外部网络的第一连接端口、一供连接至该内部网络的第二连接埠、一供连接至该防火墙对外连接埠的第三连接埠,及一供连接至该防火墙对内连接埠的第四连接埠,其特征在于该等流向控制步骤包括判断各该第一信息封包是否符合一预定的第一条件;将经判定符合该第一条件的各该第一信息封包桥接至该第二连接端口以直接传送至该内部网络;及将经判定不符合该第一条件的各该第一信息封包桥接至该第三连接埠,以传送至该防火墙的对外连接埠而由该防火墙进行管控。
10.如权利要求9所述的网络封包流向控制程序,其特征在于该等流向控制步骤更包括判断各该第二信息封包是否符合一预定的第二条件;将经判定符合该第二条件的各该第二信息封包桥接至该第一连接端口以传送至该外部网络;及将经判定不符合该第二条件的各该第二信息封包桥接至该第四连接埠,以传送至该防火墙的对内连接埠而由该防火墙进行管控。
11.如权利要求10所述的网络封包流向控制程序,其特征在于该第一条件包含一预定的连接埠埠号。
12.如权利要求11所述的网络封包流向控制程序,其特征在于该第二条件包含一预定的连接埠埠号。
13.如权利要求12所述的网络封包流向控制程序,其特征在于该第一条件与该第二条件相同。
14.如权利要求9所述的网络封包流向控制程序,其特征在于该等流向控制步骤更包括判断各各该第一信息封包是否符合一预定的第三条件;及将经判定同时符合该第一及第三条件的各该第一信息封包于该第一连接埠拦截。
15.如权利要求14所述的网络封包流向控制程序,其特征在于该等流向控制步骤更包括判断各该第二信息封包是否符合一预定的第四条件;及将经判定同时符合该第二及第四条件的各该第一信息封包于该第二连接埠拦截。
16.一种电子装置,其特征在于其安装并可执行如权利要求9所述的程序。
17.如权利要求16所述的电子装置,其特征在于该电子装置为一网络网关器。
18.如权利要求16所述的电子装置,其特征在于该电子装置为一计算机。
19.一种网络监控系统,供设置于一外部网络及一内部网络间,供自该外部网络向内部网络传输多数第一信息封包及自该内部网络向外部网络传输多数第二信息封包,该系统包括一防火墙及一封包流向控制装置、其特征在于该防火墙位于该外部及内部网络间,而具有一对内连接埠及一对外连接埠;该封包流向控制装置具有一第一连接埠,供连接至该外部网络;一第二连接埠,供连接至该内部网络;一第三连接埠,供连接至该防火墙的对外连接埠;一第四连接埠,供连接至该防火墙的对内连接埠;一储存单元,储存一第一条件;一处理单元,包含一第一过滤模块,判断各该第一信息封包是否符合该第一条件;一第一桥接模块,将该第一过滤模块判定符合该第一条件的各该第一信息封包桥接至该第二连接端口以直接传送至该内部网络,并将该第一过滤模块判定不符合该第一条件的各该第一信息封包桥接至该第三连接埠,以传送至该防火墙的对外连接埠而由该防火墙进行管控。
20.如权利要求19所述的网络监控系统,其特征在于该储存单元更储存一第二条件,该处理单元则更包含一第二过滤模块及一第二桥接模块,该第二过滤模块是判断各该第二信息封包是否符合该第二条件,该第二桥接模块则将该第二过滤模块判定符合该第二条件的各该第二信息封包桥接至该第一连接埠以传送至该外部网络,并将该第二过滤模块判定不符合该第二条件的各该第二信息封包桥接至该第四连接埠,以传送至该防火墙的对内连接埠而由该防火墙进行管控。
21.如权利要求20所述的网络监控系统,其特征在于该第一条件包含一预定的连接埠埠号。
22.如权利要求21所述的网络监控系统,其特征在于该第二条件包含一预定的连接埠埠号。
23.如权利要求20所述的网络监控系统,其特征在于该第一条件及第二条件相同。
24.如权利要求20所述的网络监控系统,其特征在于该储存单元更储存一第三条件,而该第一过滤模块更判断各该第一信息封包是否符合该第三条件,该第一桥接模组则更将该第一过滤模块判定同时符合该第一及第三条件的各该第一信息封包于该第一连接埠拦截。
25.如权利要求24所述的网络监控系统,其特征在于该储存单元更储存一第四条件,而该第二过滤模块更判断各该第二信息封包是否符合该第四条件,该第二桥接模组则更将该第二过滤模块判定同时符合该第二及第四条件的各该第二信息封包于该第二连接埠拦截。
全文摘要
一种网络封包流向控制装置,包括一第一连接埠,连接至一外部网络;一第二连接端口,连接至一内部网络;一第三连接埠,连接至一防火墙的对外连接埠;一第四连接埠,连接至防火墙的对内连接端口;一处理单元,包含一第一过滤模块,判断自外部网络输入第一连接端口的信息封包是否符合一第一条件;一第二过滤模块,判断自内部网络输入第二连接端口的信息封包是否符合一第二条件;一第一桥接模块,将符合第一条件的封包桥接至第二连接埠以输出至内部网络,并将不符合第一条件的封包桥接至第三连接埠以输出至防火墙。
文档编号G06F12/14GK1549151SQ0312378
公开日2004年11月24日 申请日期2003年5月21日 优先权日2003年5月21日
发明者王国仲 申请人:镱创科技股份有限公司