专利名称:客户机协助的防火墙配置的制作方法
客户机协助的防火墙配置相关申请的交叉引用〖0001本申请要求享受2004年12月21日提交的、题目为"CL正NT ASSISTED FIREWALL CONTFIGURATION"的美国临时申请No. 60/638,271的优先权,美国临时申请No. 60/638,271全文以引用方式 加入本申请。发明领域
防火墙一般位于入口点,它扫描进入的业务,将其与预定标准 进行比较。与预定标准不匹配的业务将会被阻断或丢弃。根据可容忍 的复杂度和期望的保护级别,预定标准可以包括多种参数,例如端口 号、应用ID、源、目的、内容过滤器、IP地址、机器名、TCP/IP标 志以及其它参数。判断是否让分组通过的匹配参数的个数确立了保护 粒度。粒度较粗的防火墙可能会不经意地阻断预期的进入业务,因为 这些业务被误认为是非预期的,与此同时它可能还不足以防止非预期 的业务。0005安全策略可由位于中心点的网络管理员来定义和/或实施。虽 然不同的用户可能会有不同的网络访问偏好和需求,但用户仍有可能 无法选择对于他们的终端而言哪些业务是可用的和/或禁用的。不同 的用户可能想要不同类型的业务流。这些流受网络安全策略的影响。例如, 一个用户可能想阻断来自特定传输控制协议/网际协议(TCP/IP) 网络地址的传输,而另一用户则可能正想接收这样的传输。 一个用户 可能想得到来自网络的某一特定子网地址的传输,而另一用户则想得 到来自该网络地址的所有传输。其他用户可能想得到发往某一特定端 口或应用的消息业务,而一个不同的用户则可能想阻断所有进入的连 接,而只允许出去的连接。
根据另一个实施例的是一种用于配置网络防火墙的移动设备。 该移动设备包括处理器,其分析与为了减少业务量而配置防火墙有 关的信息;存储器,其可操作地连接到所述处理器。该移动设备还可 以包括建立器,其与外部信源建立通信;指定器,其指定与从所述 外部信源接收到的分组有关的参数,并将所述参数传送到防火墙。该 移动设备还包括无效器,其请求撤消至少一个参数的通行。在一些实 施例中,该移动设备可以包括发射机,其向防火墙传送至少一个策 略更新;接收机,其从防火墙接收对所述策略的确认或拒绝。
此外,各个实施例是围绕着用户站进行描述的。用户站也可以 称为系统、用户单元、用户站、移动站、移动设备、主机、手机、远 方站、接入点、基站、远程终端、接入终端、用户终端、终端、用户 代理或用户设备。用户设备可以是蜂窝电话、无绳电话、会话启动协 议(SIP)电话、无线本地环路(WLL)站、个人数字处理(PDA)、 具有无线通信功能的手持设备或其它连接到无线调制解调器的处理 设备。00321此外,本申请中描述的各个方面或特征可以实现成方法、装置 或使用标准编程和/或工程技术的制品。本申请中使用的术语"制品" 涵盖可从计算机可读器件、载体或介质访问的计算机程序。例如,计 算机可读介质可以包括、但不限于磁存储器件(例如,硬盘、软盘、 磁带等),光盘(例如,CD、 DVD等),智能卡,闪存器件(例如, 卡、棒、钥匙驱动器等)。0033各个实施例都是围绕着包括多个部件、模块等的系统而展开 的。应当理解和认识的是,各种系统可以包括附加的部件、模块等和 /或可以不包括图中所示的所有部件、模块等。也可以使用这些方法 的组合。0034下面参照附图,
图1的框图示出了利用防火墙技术的通信系统 100,它可用便携式设备或终端、便携式(移动)电话、个人数字助 理、个人计算机(台式机或膝上机)或其它电子和/或通信设备来实 现。系统100包括防火墙102,防火墙102对进入的数据和/或出去的 数据进行过滤,进入的数据和/或出去的数据被称为数据或网络分组 104和106。防火墙102可以运行于网络运营商、基础设施装备等处。 分组104和106可以是任何类型的通信消息,包括从一个设备发送和 /或传送到另一个设备的一组数据。防火墙技术检査每个分组(进入 的数据),对每个分组进行分类,根据检查和/或分类结果,执行一个 或多个动作。典型的动作有以特定的方式让分组通过、拦截分组和 /或为分组寻径。当进行分类时,有状态的分组过滤器也可以考虑先 前看到的分组。
00351防火墙102可以允许从发送方108发出的数据分组104传输到 接收方110,发送方108位于防火墙102的一侧,接收方110位于防 火墙102的另一侧,但这出于举例目的而非限制目的。由发送方108 传送的预定抵达接收方110的分组104被中继,或者被准许通过防火 墙102。对于接收方110来说不是预定的和/或不是合法的分组104被 防火墙102拦截,从而不会被中继到接收方110。这样,接收方IIO 就意识不到、也不会收到接收方110非预期的分组和/或不想要的分 组。0036接收方110能够与防火墙102通信,从而提供一套策略规则, 这些规则关于发送方108和/或接收方110希望防火墙102让其通过 的分组104以及接收方110希望防火墙102将其拦截的分组。这样, 接收方110充当服务器。换言之,接收方110可能想让外部的发送方 108联系接收方110。因此,接收方110能够直接与防火墙102通信, 从而动态地更新策略。0037接收方IIO还能够通过检查被动套接字列表,自动地判断哪些 流或分组104是想要的。例如,接收方IIO可以打开或创建一个被动 套接字,以充当服务器。接收方110通知防火墙102,发往该套接字 的分组104应当传输到接收方110。如果接收方关闭与web服务器的 联系,先前创建的被动套接字就关掉。接收方110可以将被动套接字 关掉通知防火墙102,并请求防火墙102拒绝发往该被动套接字的其 他所有业务。0038接收方110也可以将分组106通过防火墙102中继到发送方 108。这样,接收方110充当客户机,防火墙102可以根据各种协议 和技术,阻断分组106,或者允许将分组106传送到发送方108。例 如,防火墙102可以根据网络提供商预定的标准,让分组106通过或 将其拒绝。防火墙102还可以根据该分组的原定接收方(这种情况下 为发送方108)确立的策略,为分组106寻径。因此,防火墙102可 以为不同设备维持不同的规则或策略集。00391图2示出了客户机协助的防火墙配置的系统200。系统200包 括可能正在通信的防火墙202和主机204 (例如,移动设备)。例如, 主机204可以是蜂窝电话、智能电话、膝上电脑、手持通信设备、手 持计算设备、卫星无线电设备、全球定位系统、PDA和/或通过无线 网络200通信的其它合适设备。虽然系统200中可包括多个防火墙 202和主机204,但是,应当理解的是,为简单起见,在图中仅绘出 了单个防火墙202,它向单个主机204发送通信数据信号。0040主机204包括一个发射机206,主机204可以通过发射机206 发起数据流或通信会话和/或请求对防火墙202维护的策略进行更新。 主机还可以包括接收机208,主机204可以通过接收机208从防火墙 202接收对策略的确认或拒绝和/或可以接收数据流或分组。响应。当主机202发出数据流时,它起的作用^似于客户机,故被视 为"主动的"。当主机202对数据流给予响应时,它起的作用类似于 服务器,故被视为"被动的"。主动流被视为出去的,而被动流是进 入的。
存储器412可以存储与预期分组、分组流、发送方、通信类型 等有关的协议,并采取措施去控制主机和防火墙402之间的通信等, 从而,系统400可以使用存储的协议和/或算法,降低无线网络中的 通信业务量,如上所述。应当理解的是,这里描述的数据存储(例如, 存储器)部件可以是挥发性存储器,也可以是非挥发性存储器,还可 以包括挥发性存储器和非挥发性存储器。非挥发性存储器可包括只读 存储器(ROM)、可编程ROM (PROM)、电可编程ROM (EPROM)、 电可擦除ROM(EEPROM)或者闪存,这些只是举例,而无限制意味。 挥发性存储器可包括随机访问存储器(RAM),它充当外置的高速缓冲 存储器。RAM的形式很多,例如,同步RAM(DRAM)、动态RAM (DRAM)、同步DRAM (SDRAM)、双数据速率SDRAM (DDR SDRAM)、增强型的SDRAM (ESDRAM)、同步链路DRAM (SLDRAM) 和直接Rambus RAM (DRRAM),这些只是举例,而无限制意味。所 公开实施例的存储器412意在涵盖这些类型和其它任何合适类型的 存储器,但不限于此。00581图5所示的系统500用于配置防火墙和降低网络业务量。图示 的模块可以是功能块,其代表用处理器、软件或其组合(例如,固件) 实现的功能。系统500可以包括检测器502,后者可检测网络中的一 个或多个防火墙。通信器504可以与检测到的防火墙通信。这样的通 信可以包括、但不限于请求建立会话、指明让指定进入流通行、撤 消一个或多个进入流、或其它类型的通信。系统500还包括更新器 506,后者能够更新与防火墙相关的策略。更新策略可以包括由系统 500自动确定的对现有策略的改变或者由用户手工输入系统500的改变。[0059在一些实施例中,系统500还可以包括检查器508和指定器510。检査器508能够检查打开的网络套接字的列表,这些套接字可 以是打开的被动网络套接字。当侦听被动套接字时,指定器510能够 对防火墙产生合适的请求,当被动套接字关闭时,可以产生撤消。如 果系统500正在从断开的或终止的会话中恢复,则当前列表中的被动 套接字可以列举出来,以产生合适的请求。!0060对于以上所述的示例性系统,参照图6—8有助于更好地理解 可以根据各个实施例的一个或多个方面实现的方法。虽然为了便于说 明而将方法描述和显示成一系列的动作(或者,功能块),但应当理 解的是,动作的次序不会对方法构成限制,这是因为,根据这些方法, 一些动作可以按不同的次序发生和/或与图示之外的其它动作同时发 生。此外,为了实现根据所述实施例的一个或多个方面的方法,并不 需要执行图示的所有动作。应当理解的是,各种动作可以用软件、硬 件、软硬件组合或执行与这些动作相关功能的其它合适的手段(例如, 设备、系统、过程、部件)来实现。还应当理解的是,这些动作只是 以简要的方式说明本申请的特定方面,而这些方面也可以用较少和/ 或较多数量的动作来加以说明。此夕卜,为了实现以下方法,并不需要 执行图示的所有动作。本领域普通技术人员将会明白, 一种方法当然 也可以表示成一系列相关的状态或事件,例如在状态图中。0061图6是动态地准许合法进入数据流通行的方法600的流程图。合法进入数据流是设备事先请求过的。例如,设备根据先前接收的流 可以知道或者推断出,如果它收到特定类型的业务、来源特定的业务 等,就将丢弃该流,或者在设备收到时就将拒绝接收该业务。设备还 可以根据用户指定的参数,得到该信息。不是等待直到在设备处接收 到这些非预期和/或非预定流为止,设备可以在将流发送到设备之前 识别这些流(例如,类型、源等),从而利用宝贵的带宽和资源。0062方法600始于602,其中,接收到通行请求。通信请求包括的 信息关于类型、信源(移动设备希望从中接收通信)等。该信息可由 设备预定,并保存在网络外围或防火墙上。如果已经收到某些业务流 的通行请求,则将其发送到设备。如果没有收到某些业务流的通行i青 求,则在将其发往设备之前就将其拦截。
00631可以用各种标准来指定流,流应当匹配传输标准。在有些实施 例中,各种标准可以是流不应当匹配的信息。例如,标准可以是分组 报头中的一些或所有字段。报头是消息的一部分,其包含的信息指导 消息如何到达正确的目的地。报头中包括发送方地址、接收方地址、 优先级、路由指令、同步脉冲等等。IP分组可以具有较高层协议报头, 例如,网际控制消息协议(ICMP)、用户数据报协议(UDP)和/或传输控 制协议等(TCP)。标准可以包括准确值、值列表和/或值域。0064在604中,判断是否已经收到撤消请求。撤消请求可以针对指 定的流,或者,它可以针对先前请求过的所有流。如果604的判断结 果为没有收到撤消请求("否"),则方法600继续进行到606,于是 允许流传送到设备。如果604的判断结果为已经收到撤消请求 ("是"),则方法600继续进行到608,于是,在向设备发送之前拦 截通行。图7是自动恢复数据流的方法700的流程图。在有些情况下, 由于各种原因,通过请求远程防火墙准许发往至少一个打开套接字通 行而建立的会话可能会断开、中断或终止,这时需要提供自动恢复。 在702中,主机和/或防火墙检测到断开的会话。由于协议定期地在 两个方向上交换(例如,进入、外出)分组,所以,主机和防火墙都 能及时意识到断开的会话,在多数情况下,几乎与会话断开出现时间 相同。这样的意识可能是没有观察到来自对等方设备的业务所致。这 可以作为协议本身的一部分执行,或者,由下层的传输(例如,TCP 存活段)来提供。上面的描述包括一个或多个实施例的举例。当然,我们不可能 为了描述这些实施例而描述部件或方法的所有可能的结合,但是本领 域普通技术人员应该认识到,这些实施例可以做进一步的结合和变 换。因此,本申请中描述的实施例旨在涵盖落入所附权利要求书的精 神和保护范围内的所有改变、修改和变形。此外,就说明书或权利要 求书中使用的"包含"一词而言,该词的涵盖方式类似于"包括"一 词,就如同"包括" 一词在权利要求中用作衔接词所解释的那样。
权利要求
1、 一种为了减少不想要的网络业务量而由移动设备用来配置防 火墙的方法,包括与网络防火墙建立网络连接;以及 与所述网络防火墙进行通信,以管理网络业务量。
2、 权利要求1的方法,还包括 检测是否已经创建了被动套接字;以及 请求所述网络防火墙准许发往所述被动套接字的流通过。
3、 权利要求2的方法,还包括 关闭web服务器; 消灭所述被动套接字; 联系所述防火墙;以及请求所述防火墙拒绝发往所述被动套接字的流通过。
4、 权利要求2的方法,还包括 判断所述被动套接字是打开的还是关闭的;以及 如果所述套接字是打开的,则准许发往所述被动套接字的其它通信通过。
5、 权利要求2的方法,还包括-判断所述被动套接字是打开的还是关闭的;以及 自动撤消让所述防火墙准许发往所述被动套接字的流通过的请
6、 一种让主机从断开的会话中自动恢复的方法,包括请求远程防火墙准许发往至少一个打开的套接字的分组通行;检测到断开的会话; 撤消发往至少一个打开的套接字的分组请求;重建新的会话;以及请求让预期流通行。
7、 权利要求6的方法,请求准许发往至少一个打开的套接字的 分组通行包括生成当前打开套接字的列表。
8、 权利要求6的方法,请求让预期流通行包括 再生所述打开套接字列表。
9、 权利要求6的方法,检测到断开的会话包括确定所述至少一个打开的套接字是关闭的。
10、 权利要求6的方法,检测到断开的会话包括 没有观察到来自对等方设备的业务量。
11、 一种用于配置网络防火墙的移动设备,包括处理器,其分析与为了减少业务量而配置防火墙有关的信息;以及存储器,其可操作地连接到所述处理器。
12、 权利要求ll的移动设备,还包括 建立器,其与外部信源建立通信;以及指定器,其指定与从所述外部信源接收的分组有关的参数,并将 所述参数传送到防火墙。
13、 权利要求12的移动设备,所述外部信源是web服务器。
14、 权利要求12的移动设备,所述参数是打开的被动套接字。
15、 权利要求12的移动设备,还包括 无效器,其请求撤消至少一个参数的通行。
16、 权利要求11的移动设备,还包括发射机,其向防火墙传送至少一个策略更新;以及接收机,其从防火墙接收对所述策略的确认或拒绝。
17、 一种在移动设备中用于减少网络业务量的装置,包括 检测模块,其检测至少一个防火墙;通信模块,其与所述至少一个防火墙通信;以及更新模块,其动态地更新与所述至少一个防火墙有关的策略。
18、 权利要求17的装置,还包括 监视模块,其监视被动套接字的列表。
19、 权利要求17的装置,还包括指定模块,其指定预期的进入流。
20、 一种用在移动设备中的计算机可读介质,所述介质包括用于 以下操作的计算机可执行指令建立网络连接;检测与所建立的网络连接有关的被动套接字; 联系防火墙;以及请求所述防火墙准许发往所述被动套接字的流通过。
21、 权利要求20的计算机可读介质,还包括用于以下操作的计 算机可执行指令断开所述网络连接; 消灭所述被动套接字; 联系所述防火墙;以及请求所述防火墙拒绝发往所消灭的被动套接字的流通过。
22、 权利要求20的计算机可读介质,还包括用于以下操作的计 算机可执行指令判断所述被动套接字是打开的还是关闭的;以及 如果所述套接字是打开的,则准许发往所述被动套接字的其它通 信通过。
23、 权利要求20的计算机可读介质,还包括用于以下操作的计 算机可执行指令判断所述被动套接字是打开的还是关闭的;以及 如果所述被动套接字是关闭的,则自动撤消让所述防火墙准许发 往所述被动套接字的流通过的请求。
24、 一种用在移动设备中的处理器,用于执行动态地更新防火墙策略的指令,所述指令包括 检测至少一个防火墙;与所述至少一个防火墙通信;以及 动态地更新与所述至少一个防火墙有关的策略。
25、 权利要求24的处理器,所述指令还包括 与断开会话大约同时,自动撤消所述策略。
26、 一种动态地配置防火墙的手机,包括-初始化器,其与防火墙建立会话;指定器,其指定至少一个流,并将所述至少一个流传送到防火墙;以及无效器,其能撤消所述至少一个流的通行。
27、 权利要求26的手机,所述指定器指定与至少一个分组相关 的参数。
28、 权利要求27的手机,所述参数包括以下之一 准确值、值列表、值域和打开的套接字。
29、 权利要求27的手机,所述无效器撤消所述至少一个分组的 通行。
30、 权利要求26的手机,所述指定器请求来自一个或多个发送 方的分组。
31、 权利要求30的手机,所述无效器撤消从一个或多个发送方 请求分组。
32、 权利要求26的手机,所述无效器根据至少一个分组参数, 自动撤消所述通行。
33、 权利要求26的手机,所述无效器根据用户输入,撤消所述 通行。
全文摘要
本发明描述了配置防火墙和/或减少网络业务量的技术。根据一个实施例的一种方法用来配置防火墙,以减少不想要的网络业务量。该方法包括运行web服务器;检测是否已经创建了被动套接字。该方法还包括与防火墙建立联系;请求防火墙让发往被动套接字的流通过。根据有些实施例,该方法可以包括关闭web服务器;关闭被动套接字。可以用所关闭的被动套接字的信息,联系防火墙,并向其发送不让发往所关闭被动套接字的流通过的请求。如果关闭了被动套接字,该方法可以自动撤消发给防火墙的让发往被动套接字的流通过的请求。
文档编号H04L29/06GK101124801SQ200580048443
公开日2008年2月13日 申请日期2005年12月21日 优先权日2004年12月21日
发明者G·G·罗丝, M·帕登, P·M·霍克斯 申请人:高通股份有限公司