用于确定数据流的系统和方法
【专利摘要】描述了一种用于确定数据流的方法。该方法包括:生成包括地图的图形用户接口;接收对所述地图上的点的选择;当接收到对所述点的选择时,显示多个结果;接收对所述结果之一的选择;以及向所述点分派所述结果之一。
【专利说明】用于确定数据流的系统和方法
[0001]本申请为申请号200780013323.2、申请日2007年2月16日、名称为“用于确定数据流的系统和方法”的分案申请。
【技术领域】
[0002]本发明一般地涉及计算机网络,并且更特别地,涉及用于确定数据流的系统和方法。
【背景技术】
[0003]常规的基于规则的计算机安全防火墙基于变化复杂的规则集合或“规则库”。将进入这样的防火墙的数据分组与一个或多个规则库中的信息和规则进行比较,以便确定是否应当允许该数据分组通过防火墙。围绕逻辑比较的概念,例如布尔逻辑,以及通过规则列表的顺序规则流来构造规则库。随着规则库变得越来越复杂,其要求更多的系统和处理器开销。因此,使用防火墙的组织常常在规则库复杂性与所意识到的所需数据吞吐量之间进行折衷,牺牲某些安全性来支持性能。
【发明内容】
[0004]在一个方面中,描述了一种用于确定数据流的方法。该方法包括:确定包括第一集合内第一数目的至少一个比特的分组是否基于所述第一集合内的所述至少一个比特而被分派分类值,以及当确定所述分组被分派所述分类值时,确定将要应用于所述分组的结果。该方法进一步包括:当确定所述分组不能够基于所述分组的所述第一数目的至少一个比特而被分派所述分类值时,通过处理器来分析所述分组的第二集合内第二数目的至少一个比特。
[0005]在另一方面中,描述了一种处理器。所述处理器被配置以便确定包括第一集合内第一数目的至少一个比特的分组是否基于所述第一集合内的所述至少一个比特而被分派分类值,以及当确定所述分组被分派所述分类值时,确定将要应用于所述分组的结果。所述处理器进一步被配置以便当确定所述分组不能够基于所述分组的所述第一数目的至少一个比特而被分派所述分类值时,分析所述分组的第二集合内第二数目的至少一个比特。
[0006]在又一方面中,描述了一种计算机可读介质。所述计算机可读介质被编码于计算机程序内,其被配置以便确定包括第一集合内第一数目的至少一个比特的分组是否基于所述第一集合内的所述至少一个比特而被分派分类值,当确定所述分组被分派所述分类值时确定将要应用于所述分组的结果,以及当确定所述分组不能够基于所述分组的所述第一数目的至少一个比特而被分派所述分类值时,分析所述分组的第二集合内第二数目的至少一个比特。
[0007]在再一方面中,描述了一种用于确定数据流的方法。所述方法包括生成包括地图的图形用户接口,接收对所述地图上的点的选择,在接收到对所述点的选择时显示多个结果,接收对所述结果之一的选择,以及将所述结果之一分派给所述点。
【专利附图】
【附图说明】
[0008]图1是用于确定数据流的系统的一实施例的框图;
[0009]图2是用于确定数据流的系统的一实施例的详细框图;
[0010]图3是用于确定数据流的系统的另一实施例的框图;
[0011]图4是由图3的系统的处理器接收的数据分组的一实施例的示图;
[0012]图5是用于确定数据流的方法的一实施例的流程图;以及
[0013]图6是用于创建多个表格的图形用户接口(GUI)的一实施例。
【具体实施方式】
[0014]图1是用于确定数据流的系统10的一实施例的框图。系统10包括服务器系统12和连接到服务器系统12的多个用户设备14。如文中所使用的,术语“服务器”并不仅限于本领域中被称为计算机的那些集成电路,而是广泛地指代处理器、微控制器、微型计算机、可编程逻辑控制器、专用集成电路、任何其它的可编程电路,以及硬件和软件的任何组合,并且在文中可互换地使用这些术语。在一个实施例中,用户设备14是包括Web浏览器的计算机,并且服务器系统12经由网络(例如,局域网(LAN)和广域网(WAN))可访问用户设备14。LAN可以包括内联网并且WAN可以包括因特网。
[0015]用户设备14通过很多接口(包括拨号连接、线缆调制解调器以及高速综合业务数字网(ISDN)线路)互连至网络。可选地,用户设备14包括基于Web的电话或其它基于Web的可连接设备,其能够互连至网络。服务器系统12包括连接到中央数据库18的数据库服务器16,中央数据库18包括用于确定数据流的方法。
[0016]在一个实施例中,中央数据库18存储在数据库服务器16上,并且可以借助于通过用户设备14之一登录到服务器系统12,由用户设备14之一处的潜在用户来访问。在一个实施例中,远离服务器系统12来存储中央数据库18。
[0017]图2是用于确定数据流的系统22的一实施例的详细框图。系统22包括服务器系统23。服务器系统23是服务器系统12的例子。服务器系统23包括数据库服务器16、应用服务器24、Web服务器26、传真服务器28、目录服务器30以及邮件服务器32。盘存储单元34 (其是单个数据库)耦合于数据库服务器16和目录服务器30。
[0018]服务器16、24、26、28、30和32耦合于局域网(LAN)36中。可选地,WAN可用于替代LAN36。另外,系统管理员工作站38、用户工作站40和监管工作站42耦合于LAN36。每个工作站38、40和42均是具有Web浏览器的个人计算机。
[0019]服务器系统23在通信上耦合于由个人或职员操作的各种工作站52和54。个人或用户操作工作站52可以访问服务器系统23。工作站52和54是具有Web浏览器的个人计算机。工作站54位于远程位置。服务器系统23也经由因特网服务提供商(ISP)连接48在通信上耦合于工作站46。
[0020]此外,传真服务器28通过电话链路与工作站52以及任何远程位置的用户系统(包括工作站56)进行通信。每个工作站38、40、42、46、52、54和56都是用户设备14的例子。传真服务器28也与其它工作站38、40和42通信。服务器系统23执行文中所描述的方法以便确定数据流。
[0021]示例性实施例中的通信被描述为通过因特网来实现,然而,在其它实施例中可以利用任何其它的广域网(WAN)类型通信。用于确定数据流的系统和方法并不限于通过因特网来实施。在一个实施例中,用于确定数据流的方法被存储在盘存储单元34,其是计算机可读介质的例子,并且通过服务器16、24、26、28、30和32中的任何一个来执行。计算机可读介质的其它例子包括软盘、只读光盘存储器(CD-ROM)以及数字视频盘(DVD)。
[0022]图3是用于确定数据流的系统100的一实施例的框图。系统100包括处理器102、存储设备104、输入设备106以及输出设备108。处理器102可以是操作Linux?操作系统的x86体系结构或操作Linux?操作系统的x86_64体系结构。x86体系结构可从Intel?公司获得,并且x86_64体系结构可从Advanced Micro Devices?(AMD)公司获得。存储设备104的例子包括随机访问存储器(RAM)和只读存储器(ROM)。输入设备106的例子包括鼠标和键盘。输出设备108的例子包括阴极射线管(CRT)和液晶显示器(LCD)。如文中所使用的,术语“处理器”并不仅限于本领域中被称为处理器的那些集成电路,而是广泛地指代计算机、微控制器、微型计算机、可编程逻辑控制器、专用集成电路以及任何其它的可编程电路。
[0023]处理器102执行用于确定数据流的方法。在一个实施例中,处理器102是基于安全策略防止数据分组在两个网络(例如因特网和内联网)之间通信的防火墙。
[0024]图4是通过处理器102接收的数据分组150的一实施例的示图。分组150包括版本152、网际协议(IP)网络地址以及数据156。版本152的例子包括IP网络地址的IPv4版本和IPv6版本。分组150的IP网络地址的例子包括源地址或目的地址。源地址是分组150的发送源(例如工作站52)的地址。目的地址包括分组150的接收方或目的地(例如工作站38或40)的地址。在一个实施例中,分组150还包括分组150的报头的报头长度、将要提供给分组150的服务类型、分组150的总长度、由处理器102用来确定报头的所有比特是否都有效的报头校验和、分组150的生存时间、用于确定是否对分组150进行分段的多个标志,以及由处理器102用来确定分组150是否是IP数据报的一部分的分段偏移。在一个实施例中,如果分组150的IP网络地址是源地址,则分组150进一步包括目的地址,并且如果分组150的IP网络地址是目的地址,则分组150包括源地址。
[0025]图5是用于确定数据流的方法200的一实施例的流程图。处理器102接收202分组150,并且从分组150获得204或提取N个比特。N的例子包括3、4、6、8或10。N个比特的另一例子包括小于分组150的IP网络地址的32个比特。而N的其它例子包括小于分组150的IP网络地址的128个比特。N个比特的另外其它的例子包括除了分组150的IP网络地址的8个最高有效比特(MSB)中的3个最低有效比特(LSB)和3个MSB之外的2个比特。N的其它例子包括分组150的IP网络地址的8个MSB中的2个LSB。处理器102基于分组150的版本152确定分组150的IP网络地址位于分组150的比特β之前以及比特α之后,并且从分组150的IP网络地址中提取在比特α与比特β之间的N个比特。作为另一例子,处理器102基于分组150的版本152确定数据156位于分组150的比特η之前以及比特Y之后,并且从数据156中提取在Y和η比特之间的N个比特。作为又一例子,处理器102基于分组150的版本152确定端口地址位于分组150的比特ω之前以及比特σ之后,并且从端口地址中提取在σ和ω比特之间的N个比特。端口地址的例子包括由源执行的源计算机应用的源端口地址(例如,传输控制协议(TCP)或用户数据报协议(UDP)端口号),以及由目的地执行的目的地计算机应用的目的端口地址(例如,TCP或UDP端口号)。作为另一例子,处理器102从分组150的IP网络地址中提取N个比特中的一些并且从端口地址中提取N个比特的其余部分。
[0026]处理器102基于分组150的N个比特确定206分组150是否可以被分类。处理器102通过将N个比特与经由输入设备106由用户提供给存储设备104的表1进行比较而确定206分组150是否可以被分类。
【权利要求】
1.一种用于确定数据流的方法,所述方法包括: 生成包括地图的图形用户接口; 接收对所述地图上的点的选择; 当接收到对所述点的选择时,显示多个结果; 接收对所述结果之一的选择;以及 向所述点分派所述结果之一。
2.根据权利要求1所述的方法,其中所述向所述点分派所述结果之一包括:将所述结果之一应用于从所述点表示的物理位置接收的分组。
3.根据权利要求1所述的方法,其进一步包括显示世界地图。
4.根据权利要求1所述的方法,其中所述结果之一包括:拒绝分组通过防火墙、允许所述分组通过所述防火墙,以及向所述分组分派优先级。
【文档编号】G06F21/55GK104079555SQ201410214881
【公开日】2014年10月1日 申请日期:2007年2月16日 优先权日:2006年2月16日
【发明者】D·E·梅斯塔斯, B·L·库珀 申请人:技术卫士安全有限责任公司