专利名称:外部网络装置的自动发现和配置的制作方法
技术领域:
本发明一般涉及一种用于自动发现和配置网络安全工具的系统和方法,尤其涉及一种用于将发现联网网关服务器上可得的硬件和软件防火墙工具以及自动配置外部网络网关装置或服务器软件以保护网络的能力动态组合的系统和方法。
背景随着在私人、商业、机构和政府环境以及其它环境中计算机网络变得越来越普及,保护本地网络不受外部实体渗透或攻击的要求已变得越发重要。例如,本地网络常具有网关或其它实体,本地网络上的客户可以通过这些实体访问诸如因特网的广域网(WAN)。此安排在很多方面是有益的。在商业环境中,例如商业企业希望其员工出于商业原因访问因特网,但需要控制或监控该访问。网关可以执行这种控制或监控功能。此外,由于本地网络上的计算机仅经由一个或几个端口暴露于因特网中,网络管理员可以更方便地监控从因特网侵害局域网的威胁或可疑活动。
与软件网关相比,优选诸如因特网网关装置(IGD)的硬件网关装置,这种软件网关有时配置在用作网关的服务器上。这方面,当前硬件装置盛行的原因有许多,但硬件网关装置的某些主要优点包括购置成本和配置成本。
但是,除非首先进行识别并适当地配置,否则这种硬件网关或其它硬件出入点不能适当地维护或监控本地网络。特别是,在结构和设计方面,网络环境变化很大,且可以认为可疑的通信类型随网络环境不同而变化。为此,通常在投入使用前进行安装的时候配置硬件网络网关和本地网络的其它硬件接入点。目前,要手动地进行硬件网关的发现和配置以及这种装置的重新配置。例如,网络管理员知道一新安装的装置并专门与该装置连通(诸如通过本地网络上的配置应用程序)并对其进行配置。这不仅需要管理员知道配置的硬件网关,管理员还必须了解有关的每个装置的特殊设定程序和要求。
发明概述在本发明的实施例中,配置系统和方法允许软件或硬件防火墙解决方案与任一方案的自动配置之间的无缝动态选择。特别是,UPnP架构用来提供外部装置的发现而在软件解决方案的情况中使用公共应用程序接口(API)。在这两种情况中,配置信息可以通过相同的两种技术(UPnP或公共API)进行交换。配置系统和方法可以简单地发现和配置因特网网关装置。特别是,开发通用即插即用(UPNP)架构来提供外部装置的发现,并为这种装置交换配置信息。此外,如果在目标装置上实现动态主机配置协议(DHCP),则在本发明实施例内的配置期间可以使用该协议。
用于保护网络的服务的选择包括用UPnP在本地装置之外进行查找来发现其它联网装置,和使用API来发现主机可用的软件能力。在本发明的实施例中,可以用广播机制来促进装置的发现,同时用API来执行相应软件性能的发现。发现和配置过程包括本发明实施例中的三个一般步骤。首先,对于硬件解决方案用UPnP而对于软件方案用公共API来发现装置和软件。第二,在硬件情况中,装置将其身份、性能等发送到被发现的单元,而在软件情况中,可以有附加的API调用以便确定软件防火墙的性能和当前配置。最后,配置硬件和软件解决方案。在硬件情况中,发送的装置信息被用来配置所述装置,而在软件情况中,API被用来根据所选择的配置信息配置软件。在本发明实施例中,轮询机制用于确保装置或软件的配置不改变,或者如果改变也可以快速的复位到其原先状态。
以下说明性实施例的详细描述并结合附图将使本发明的其它特点和优点将变得更加明显。
附图概述虽然所附权利要求书阐述了本发明的特点,但本发明及其目的和优点可以通过以下的详细描述并结合附图得到最佳理解效果。
图1是可用于实现本发明实施例的计算装置的示意图;图2是可以实施本发明实施例的计算机网络环境的示意图;图3A是示出本发明实施例中为了保护本地网络而执行的步骤的流程图;图3B是示出本发明实施例中为了保护本地网络而执行的后续步骤的流程图;以及图4是根据本发明实施例的装置配置工具软件应用程序(deviceconfiguration facilitation application)及其接口的示意图。
具体实施例方式
回到附图,其中相同的标号表示相同的元件,示出在合适的计算环境中实施本发明。虽然没有要求,但将以计算机可执行指令的普通环境(诸如计算机执行的程序模块)描述本发明。通常,程序模块包括例程、程序、对象、组件、数据结构等,它们执行特殊任务或实现特殊抽象数据类型。此外,本技术领域中熟练的技术人员将理解,可以用其它计算机程序结构实施本发明,它们包括手持装置、多处理器系统、基于微处理器的或可编程的消费电子产品、网络PC、迷你计算机、主机架计算机等等。本发明可以在分布计算环境中实施,在该环境中由通过通信网络链接的远程处理装置执行任务。在分布计算环境中,程序模块位于本地和远程存储器存储装置中。
该描述将以用于实现本发明的实例性系统中使用的通用计算装置的描述开始,之后将参考随后的附图更详细地描述本发明。现在回到图1,以常规计算机20的形式示出通用计算装置,计算机20包括处理单元21、系统存储器22和系统总线23,系统总线23将包含系统存储器的各种系统部件耦合到处理单元21。系统总线23可以是几种总线结构中的任何一种,包括存储器总线或存储器控制器、外围总线和使用任何一种总线架构的局部总线。系统存储器包括只读存储器(ROM)24和随机存取存储器(RAM)25。包含基本例程的基本输入/输出系统(BIOS)26存储在ROM24内,该基本例程帮助诸如启动期间计算机20内元件之间信息的传输。计算机20进一步包括用于对硬盘60进行读写的硬盘驱动器27、用于对可移动磁盘29进行读写的磁盘驱动器28和用于对可移动光盘31进行读写的光盘驱动器30,其中所述光盘CD ROM或其它光学介质。
硬盘驱动器27、磁盘驱动器28和光盘驱动器30分别通过硬盘驱动接口32、磁盘驱动接口33和光盘驱动接口34链接到系统总线23。驱动器和其有关的计算机可读介质提供了计算机可读指令、数据结构、程序模块和计算机20的其它数据的非易失性存储。虽然这里描述的实例性环境采用了硬盘60、可移动磁盘29和可移动光盘31,但本技术领域内其它熟练的技术人员可以理解,其它类型的计算机可读介质也可以在实例性的操作环境中使用,这些介质可以存储可由计算机访问的数据,诸如磁带盒、闪存卡、数字视频光盘、Bernoulli卡盒、随机访问存储器、只读存储器、存储区域网络等。
大量程序模块可以存储在硬盘60、磁盘29、光盘31、ROM24或ROM25上,它们包括操作系统35、一个或多个应用程序36、其它程序模块37和程序数据38。用户可以通过诸如键盘40和定点装置42的输入装置将命令和信息输入计算机20。其它输入装置(未示出)可以包括麦克风、操纵杆、游戏板、卫星盘、扫描仪等。这些和其它输入装置常通过耦合到系统总线的串行端接口46连接到处理单元21,但也可以由其它接口进行连接,诸如并行端口、游戏端口或通用串行总线(USB)或网络接口卡。监视器47或其它类型的显示装置也经由诸如视频适配器48的接口连接到系统总线23。除了监视器,许多计算机还包括其它外围输出设备(未示出),诸如扬声器和打印机。
计算机20优选在逻辑连接到一个或多个远程计算机(诸如远程计算机49)的联网环境中工作。远程计算机49可以是个人计算机、服务器、路由器、网络PC、对等装置或其它公共的网络节点,并通常包括计算机20有关的许多或所有的上述元件,虽然在图1中仅示出存储器存储装置50。在本发明的实施例中,远程计算机49是UPNP启用的因特网网关装置(IGD)并具有这种装置有关的典型特点,这将是本技术领域内熟练的技术人员所理解的。图1中描述的逻辑连接包括局域网(LAN)51和广域网(WAN)52。这种联网环境在办公室、企业计算机网络、内联网和因特网中是普通的。
当在LAN联网环境中使用时,计算机20通过网络接口或适配器53连接到本地网络51。当在WAN联网环境中使用时,计算机20通常包括调制解调器54或其它用于在WAN52上建立通信的装置。内置或外置的调制解调器54经由串行端接口46连接到系统总线23。如果存在远程存储器存储装置,则针对计算机20描述的程序模块或其一部分可以存储在远程存储器存储装置中。可以理解,所示的网络连接是实例性的,并可以使用在计算机之间建立通信链接的其它装置。
在以下的描述中,将参考一个或多个计算机执行的操作的动作和符号表示来描述本发明,除非另外加以说明。这样,将理解,有时称为被计算机执行的这种动作和操作包括由计算机处理单元处理以结构形式表示数据的电信号。该处理转换数据或将其保持在计算机存储系统中的位置处,它以本技术领域内熟练技术人员已知的方式重新配置或者改变计算机的操作。保持数据的数据结构是存储器的物理位置,它具有由数据格式限定的特殊属性。但是,虽然在前述环境中描述了本发明,但其不限于此,如本技术领域内熟练技术人员理解的,以下描述的动作和操作也可以在硬件中实现。
转到图2,示出了可以实现本发明实施例的实例性操作环境201。特别是,IGD或其它硬件网关207和/或网关计算机208上可得的防火墙软件性能保护本地网络205不受来自诸如远程计算机211的计算机的非正常访问,其中远程计算机211可以经由广域网(WAN)209访问网络205。WAN209可以是任何类型的广域网,通常虽然不必要,还包括因特网。本地网络205可以包括任意数量和类型的计算机和/或装置,但为了便于说明仅示出单个计算机203。在本发明的实施例中计算机208是小型商用服务器。这种服务器的实例包括电子邮件服务器、网络(web)服务器等等。本地网络205可以包括附加资源,诸如目录、数据库等。
在常规使用情况中,计算机208是电子邮件服务器,服务器208经由WAN209将电子邮件从本地网络205上的客户端发送给接收者,诸如远程计算机211。服务器208还将从WAN209(诸如从远程计算机211)接收的电子邮件送到本地网络205上的期待的接收者。电子邮件服务器可以具有针对图1的计算机20所讨论的许多特点。在常规使用情况中,计算机208是网络服务器,服务器208寄宿了一个或多个网站,它们可以由诸如WAN209上的远程计算机211访问。这种站点可以是商业上的、教育上的等等。除了图2所示的网关207,操作环境201中还可以有任意数量的其它网关。将参考图3更详细地描述诸如装置207的硬件网关装置以及诸如驻留在网关计算机208上的软件防火墙的发现和配置。
图3A和3B包括流程图,示出根据本发明实施例发现和配置硬件网关装置和/或软件防火墙所采用的步骤。图3A和3B中的讨论还将在合适时参考图2架构的元件。从步骤301开始,如果要使用,通过连接到本地网络205来物理安装诸如标准IGD的UPNP启用的网关装置207。该步骤通常需要电缆的物理连接等等,从而网关装置207能在本地网络205上发送和接收传输。此时,新安装的装置207还不能保护本地网络205。
在步骤303到347中,将更详细地分别进行讨论,这里称作连接“指南”的连接工具软件应用程序发现新安装的装置207和/或软件防火墙工具并根据用户的选择通过上述指南配置该装置和/或软件防火墙。图4中示意性地示出发现机构的架构内连接指南的实例性结构。特别是,连接指南401是一应用程序,它访问主机205的操作系统403以执行UPNP操作。连接指南401优选还能用主机405的网络连接工具407发送和接收传输。用于连接指南401的主机405可以置于本地网络205上的任何地方,并例如可以是计算机203。
再次参考图3A的流程图,在步骤302,连接指南401通过主机405的所有网络适配器(即连接工具407)将查找消息组播到简单查找和发现协议(SSDP)组播地址。组播可以以预定间隔周期性地自动开始或者可以在用户命令或请求后自动启动。在步骤303,确定是否检测到任何硬件网关装置。如果没有,则过程转到图3B的接合处A。否则,过程进入步骤304,在步骤304处使得用户指示是否应使用检测到的硬件网关装置。如果在步骤304处确定不应使用检测到的网关装置,则过程转到图3B的接合处A。否则,过程移到步骤305,其中只有应使用能够的那些网关装置参加到这个以及随后的步骤中。假定新安装的网关装置207与有效IP地址关联,则在步骤305中它通过将URL发送到主机405处的连接指南401来响应,以便用于获得装置描述信息。可以理解,连接指南401处可以接收超过一个装置的URL。
在步骤307处,连接指南401向主机405的用户呈现所发现的装置的列表。在步骤309中用户选择要配置的装置(在该实例中诸如装置207)后,在步骤311处,连接指南401将HTTP GET请求发送到步骤305中由装置发送的URL。应注意,如果步骤309中用户没有选择装置,则过程直接移到图3B的接合处A。在步骤313处,装置207响应以便发送包含子装置和根装置中包含的服务以及可用来配置所述子装置和服务的URL的XML文件。在步骤315处,连接指南401向用户呈现子装置和服务的配置选项并接收子装置和服务的用户配置选择。通常,特定的配置将包括一组特定的端口映象。
在步骤317处,连接指南401安置诸如所发现的装置207支持的WANIpConnection服务配置服务以及与WANIpConnection服务关联的配置URL。WANIpConnection服务以及有关的URL两者都可以安置在步骤313中从装置接收的列表中。最后,在步骤319处,连接指南401将简单对象访问协议(SOAP)请求发送到配置URL以便根据用户选择的配置实现端口映象。从而,发现并由用户方便地配置了新安装的装置207,且现在按照用户选择的配置由装置207保护网络。在步骤319后,过程进行到图3B的接合处A,以便发现和配置将使用的任意一个或多个软件防火墙。在本发明的实施例中,如果硬件防火墙已如上所述进行了配置,则在步骤319后过程终止而不配置软件防火墙。
在步骤329处,过程确定,相对于简单地作为本地网络205上的客户端,诸如网关计算机208表示的服务器是否被配置成用作网关计算机。如果确定该服务器被配置成用作网关计算机,则在步骤331处,连接指南401调用已知的API以发现服务器上可得的软件防火墙性能。在本发明的实施例中,支持两种软件防火墙解决方案。在本发明的该实施例中,首先调用微软公司的微软因特网安全和加速服务器(Microsoft Internet Security and Acceleration Server)(ISA)API来确定是否安装了ISA。如果没有安装ISA则调用微软视窗服务器路由和远程访问服务器(Microsoft Windows Server Routing and Remote Access Service)API。如果确定服务器没有被配置成用作网关计算机,则从步骤329起终止过程。
在步骤333处,过程确定有关机构上是否发现任何软件防火墙性能。如果没有,则过程终止。否则,过程进入步骤335,这里提示用户指明是否应使用所发现的软件防火墙性能。如果确定不应使用所发现的软件防火墙性能,则过程终止。否则,过程进入步骤337,这里连接指南401使用上述已知的API收集关于发现的软件防火墙性能的描述信息。
在步骤339处,连接指南401向主机的用户呈现发现的软件防火墙列表。在步骤341处,用户选择用于配置的软件防火墙。随后,在步骤343处,连接指南401调用已知的API以便收集关于所选防火墙的子装置和服务的信息。在步骤345处,连接指南401向用户呈现配置选项并接收所选防火墙的子装置和服务的用户配置选择。最后,在步骤347处,连接指南401调用API以便根据用户选择配置软件防火墙子装置和服务。
在本发明的实施例中,新安装的装置207支持的一项服务是动态主机配置协议(DHCP)(Dynamic Host Configuration Protocol)。DHCP是通常用于配置使用TCP/IP的计算机的因特网协议。DHCP可以用来分配IP地址,提供堆栈配置信息,以及提供其它配置信息。如果装置207支持DHCP,则也可以配置该工作情况。
在本发明的实施例中,连接指南401周期性地轮询本地网络205以确定是否添加了任何新的外部硬件网络装置。通常,即使当这种装置是UPNP启用的时,在安装新装置时也不会给出通知。在本发明进一步的实施例中,连接指南401周期性地评估已知装置的配置信息来检测配置中可能危害网络205的安全性的任何变化。如果检测到配置变化,则连接指南401将有关装置重新配置成用户选择的配置。
虽然本技术领域内熟练的技术人员可以理解,上述API可以由任何合适的API代替,以下是实例性的已知微软路由和远程访问服务(Routing and Remote AccessService)API的列表,它们在实现本发明实施例中是很有用的。
MprAdminBufferFreeMprAdminDeregisterConnectionNotificationMprAdminGetErrorStringMprAdminInterfaceConnectMprAdminInterfaceCreateMprAdminInterfaceDeleteMprAdminInterfaceDeviceGctInfoMprAdminInterfaceDeviceSetInfoMprAdminInterfaceDisconpectMprAdminInterfaceEnumMprAdminInterfaceGetCredentiaisMprAdminInterfaceGetCredentialsExMprAdminInterfaceGetHandleMprAdminInterfaceGetInfoMprAdminIpterfaceOuervUpdateResultMprAdminInterfaceSetCredentialsMprAdminInterfaceSetCredentialsExMprAdminInterfaceSetInfoMprAdminInterfaceTransportAddMprAdminInterfacTransportGetInfoMprAdminInterfaceTransportRemoveMprAdminInterfaceTransportSetInfoMprAdminInterfaceUpdatePhonebookInfoMprAdminInterfaceUpateRoutesMprAdminIsServiceRunningMprAdminRegisterConnectionNotificationMprAdminServerConnectMprAdminServerIDisconnectMprAdminServerGetCredentialsMprAdminServerGetInfoMprAdminServerSetCredentialsMprAdminTransportCreateMprAdminTransportGetInfoMprAdminTransportSetInfoMprConfigBufferFreeMprConfigGetFriendlyNameMprConfigGetGuidNameMprConfigInterfaceCreateMprConfigInterfaceDeleteMprConfigInterfaceEnumMprConfigInterfaceGetHandleMprConfigInterfaceGetInfoMprConfigInterfaceSetInfoMprConfigInterfaceTransportAddMprConfigInterfaceTrangportEnumMprConfigInterfaceTransportGetHandleMprConfigInterfaceTransportGetInfoMprConfigInterfaceTransportRemoveMprConfigInterfaceTransportSetInfoMprConfigServerBackupMprConfigServerConnectMprConfigServerDisconnectMprConfigServerGetInfoMprConfigServerInstallMprConfigServerRestore
MprConfigTransportCreateMprConfigTransportDeleteMprConfigTransportEnumMprConfigTransportGetHandleMprConfigTransportGetInfoMprConfigTransportSetInfo虽然本技术领域内熟练的技术人员可以理解,上述API可以由任何合适的API代替,以下是实例性的已知微软因特网安全和加速(Internet Security andAcceleration)COM接口的列表,它们每一个都包括一个或多个API,这些API在实现本发明实施例中是很有用的。
FPC ObjectFPCAcccssControlEntrv ObjectFPCAccessControIList CollectionFPCAccount ObjectFPCAecounts CollectionFPCActiveCacheConfiguration ObjectFPCAdapter ObjectFPCAdapters CollectionFPCAlert ObjectFPCAlerts CollectionFPCAlertAction ObjectFPCAlertActions CollectionFPCAlertInto ObjectFPCAlertNotification ObjectFPCApplicationFilter ObjectFPCApplicationFilters CollectionFPCArray ObjectFPCArrays CollectionFPCArrayPolicyConfig ObjectFPCArrayPolicyConfigs CollectionFPCAutoDial ObjectFPCBackupRoute ObjectFPCBandwidthPriority ObjectFPCBandwidthPriorities CollectionFPCBandwidthRule ObjectFPCBandwidthRules CollectionFPCCache ObjectFPCCacheConfiguration ObjectFPCCacheContents ObjectFPCCacheDrive ObjectFPCCacheDrives Collection
FPCClientAddressSet ObjectFPCClientAddressSets CollectionFPCClientAutoScript ObjectFPCClientBackupRoute ObjectFPCClientConfig ObjectFPCClientConfigSettings CollectionFPCClientSettingsSection ObjectFPCContentGroup ObjectFPCContentGroups CollectionFPCCredentials ObjectFPCDenicdMethod ObjectFPCDcniedMethods CollectionFPCDestination ObjectFPCDestinationSet CollectionFPCDestinationSets CollectionFPCDialupEntry ObjectFPCDialupEntries CollectionFPCDialupNetworkConnections CollectionFPCDirectAddressDestination ObjectFPCDirectAddressDestinations CollectionFPCDirectIpDestination ObjectFPCDirectIpDestinations CollectionFPCDiskDrive ObjectFPCDisiDrives CollectionFPCEnterprise ObjectFPCEnterprisePolicy ObjectFPCEnterprisePolicies CollectionFPCEventDefinition ObjectFPCEventDefinitions CollectionFPCExtensions ObjectFPCFilterProtocol ObjectFPCFilterProtocols CollectionFPCFirewallClientConfig ObjectFPCFirewallChaining ObjectFPCFirewallSession ObjectFPCFirewallSessions CollectionFPCFirewallSessionConnection ObjectFPCFirewallSessionConnections CollectionFPCFTPCacheConfiguration ObjectFPCHTTPCacheConfiguration ObjectFPCIpPacketFilter ObjectFPCIpPacketFilters CollectionFPCIpRange ObjectFPCLAT CollectionFPCLATEntry ObjectFPCLDT Collection
FPCLDTEntry ObjectFPCListenEntry ObjectFPCListenEntries CollectionFPCLog ObjectFPCLogs CollectionFPCNetworkConfiguration ObjectFPCPolicyElements ObjectFPCPrimarvRoute ObjectFPCProtocolConnection ObjectFPCProtocolConnections CollectionFPCProtocolDefinition ObjectFPCProtocolDefinitions CollectionFPCProtocolRule ObjectFPCProtocolRules CollectionFPCScrverPublishingRule ObjectFPCScrverPublishingRules CollectionFPCPublishing ObjectFPCRef ObjectFPCRefs CollectionFPCRoutingRule ObjectFPCRoutingRules CollectionFPCSchedule ObjectFPCSchedules CollectionFPCScheduledContentDownload CollectionFPCScheduledContentDownloadConfig ObjectFPCSecurityDescriptor ObjectFPCServer ObjectFPCServers CollectionFPCSignaledAlert ObjectFPCSignaledAlerts CollectionFPCSiteAndContentRule ObjectFPCSiteAndContentRules CollectionFPCSnapinNode ObjectFPCSSLCertificate ObjectFPCSSLCertificates CollectionFPCTunnelPortRange ObjectFPCTunnelPortRanges CollectionFPCVendorParametersSet ObjectFPCVendor ParametersSets CollectionFPCWebBrowserClientConfig ObjectFPCWebFilter ObjectFPCWebFilters CollectionFPCWebProxy ObjectFPCWebPublishingRule ObjectFPCWebPublishingRules CollectionFPCWebRequestConfiguration ObjectFPCWebSession ObjectFPCWebSessions CollectionFPCWebSessionAdditionalInfo Object
可以理解,描述了一种用于发现和配置安全网络拓扑的改进系统和方法,它响应于现有网络环境并包含合适硬件或软件解决方案的动态检测和配置。鉴于可以应用本发明原理的许多实施例,应理解,这里参考附图描述的实施例仅仅是说明性的而不构成本发明范围的限制。例如,本技术领域内的熟练技术人员将理解,软件中示出的说明实施例的某些元件可以在硬件中实现,反之亦然,或者所说明的实施例可以在结构和细节上进行修改而不背离本发明的精神。因此,这里描述的发明内容涉及所有这些实施例,它们都可以在以下权利要求书和其等效内容的范围内。
权利要求
1.一种相对于广域计算机网保障本地计算机网络的方法,其特征在于,所述方法包括检测在本地计算机网络和广域计算机网络之间是否安装了可使用的硬件网关装置;如果确定安装了可使用的硬件网关装置,则在本地网络上与所述硬件网关装置通信以检索关于所述装置的描述信息,将关于所述装置描述信息的信息呈现给用户,接收用户选择来配置所述装置,并根据用户选择自动地配置所述装置;以及如果确定没有安装可使用的硬件网关装置,则检测所述本地计算机网络和所述广域计算机网络之间是否安装了可使用的软件防火墙,如果安装了可使用的软件防火墙,则收集关于所述防火墙的描述信息,将关于所述防火墙描述信息的信息呈现给用户,接收用户选择来配置所述防火墙,并根据用户选择自动地配置所述防火墙。
2.如权利要求1所述的方法,其特征在于,检测本地计算机网络和广域计算机网络之间是否安装了可使用的硬件网关装置的步骤还包括通过本地网络自动发送组播发现传输;以及从网关装置接收对组播发现传输的响应,其中所述响应包括定位器,它用于在本地网络上联系所述网关装置。
3.如权利要求2所述的方法,其特征在于,在本地网络上与硬件网关装置通信以检索关于所述装置的描述信息的步骤进一步包括经由本地网络将装置描述请求自动发送给网关装置;以及响应于所述装置描述请求传输,从所述网关装置接收由所述网关装置支持的服务列表。
4.如权利要求1所述的方法,其特征在于,所述网关装置支持的服务列表进一步包括所述网关装置支持的子装置的列表。
5.如权利要求2所述的方法,其特征在于,检测本地计算机网络和广域计算机网络之间是否安装了可使用的硬件网关装置的步骤进一步包括接收硬件网关装置的可用性的用户指示。
6.如权利要求3所述的方法,其特征在于,所述网关装置支持的服务列表进一步包括与每项服务关联的各定位器,由此所述与服务相关的各定位器可用于配置该服务。
7.如权利要求6所述的方法,其特征在于,与每项服务相关的各定位器包括URL。
8.如权利要求2所述的方法,其特征在于,经由本地网络自动发送组播发现传输的步骤包括等待预定周期期满;以及所述预定周期一期满,经由本地网络发送组播发现传输。
9.如权利要求3所述的方法,其特征在于,由网关装置支持的服务列表包括对应于动态主机配置协议的列表。
10.如权利要求1所述的方法,其特征在于,检测本地计算机网络和广域计算机网络之间是否安装了可使用的软件防火墙的步骤进一步包括接收软件防火墙的可用性的用户指示。
11.如权利要求1所述的方法,其特征在于,收集关于防火墙的描述信息的步骤进一步包括调用API和响应于调用API接收描述信息。
12.如权利要求1所述的方法,其特征在于,根据用户选择自动配置防火墙的步骤进一步包括调用API,其中对API的调用包括配置信息。
13.一种其上存储有用于执行权利要求1所述的方法的计算机可读指令的计算机可读介质。
14.一种其上存储有用于执行权利要求6所述的方法的计算机可读指令的计算机可读介质。
15.一种其上存储有用于执行权利要求8所述的方法的计算机可读指令的计算机可读介质。
16.如权利要求1所述的方法,其特征在于,接收对组播发现传输的响应的步骤包括从包括网关装置的多个装置接收多个响应。
17.如权利要求16所述的方法,其特征在于,经由本地网络将装置描述请求自动发送到网关装置的步骤进一步包括向主机的用户呈现所述多个装置的列表;并从主机的用户接收所述网关装置的选择。
全文摘要
一种用于发现和配置安全网络拓扑的改进的系统和方法响应于现有的网络环境并包括合适硬件或软件解决方案的动态检测和配置。在本发明的实施例中,广播机构用于提供硬件装置的发现同时应用程序接口提供软件防火墙的发现。在进一步的实施例中,轮询技术用于确保网关装置的结构不改变,而威胁被保护的网络。
文档编号G06F17/00GK1574763SQ20041004884
公开日2005年2月2日 申请日期2004年6月7日 优先权日2003年6月6日
发明者D·K·布鲁巴切尔, H·G·高克 申请人:微软公司