专利名称:计算机维护方法和系统的制作方法
技术领域:
本发明涉及计算机系统和方法的领域,并且具体地说(但不限于), 涉及远程维护计算机系统的领域。
背景技术:
现代经济的显著趋势;U良务重要性的增加高于物质商品。不仅是服务 部门在工业经济中的份额增大,而且许多物质商品以组合了物质商品成分与服务成分并增强了服务成分的产品的形式来提供。例如,由供应商组织 提供给客户组织的高级计算机系统通常随计算机系统的维护合同 一起被购 买,根据该合同,供应商或独立的提供服务的组织^4旦计算机系统的后续 操作责任。所述责任可以包括执行定期的预防性维护任务,监视计算机系 统的持续运行,以及在发生故障时提供维修服务并更换设备。对于提供服务的组织,执行其维护服务的一种方法是将服务技术人员 派遣到客户组织处。虽然对于诸如全面更换计算机系统之类的特定任务, 服务技术人员必须到达现场,但是亲临计算机系统所在的客户组织是成本 高昂的。能够远程维护计算机系统将节约大量服务成本,因为通过使用此 类方法,在许多情况下不必将服务技术人员派遣到客户组织处。由于能够节约大量成本,远程维护的计算机系统在计算机行业中变得 越来越普遍。传统的解决方案包括将调制解调器连接到计算机系统并将调 制解调器连接到公用电话线。服务提供商通过公用电话线从维护计算机拨 入调制解调器并通过调制解调器连接远程地维护计算机系统。以这种方式 远程执行的典型维护任务包括微代码更新、检查和纠正错误、配置计算机 系统、远程支持客户组织执行其任务,以及帮助解决问题。但是,更新和更复杂的计算机系统需要越来越多的带宽来执行此类远 程维护,而调制解调器因为其数据传输带宽有限而变得不能胜任此类工作。 同时,一般的组织拥有包含因特网接入点的快速专用网络或企业内部网络, 这些网络由专用防火墙来保护。获得用于远程维护的更高带宽的一种方法 是使用虚拟专用网络,虛拟专用网络允许提供服务的组织通过因特网和客通常,客户组织不愿意使用此类连接,因为所述连接将通过其专用网 络进行路由。它们主要关心的是专用网络可能補入侵并且如果允许提供服 务的组织控制专用网络内部的计算机,会对网络安全性构成威胁。在许多情况下,要维护的计算机系统是具备诸如AIX、 Linux或Microsoft Windows 之类的通用操作系统的个人计算机。为了执行维护任务,远程连接的服务 技术人员需要获取这些操作系统的超级访问权限,其称为超级用户权限或 管理员权限,具体取决于操作系统。这为客户组织带来了风险,因为连接 到客户组织专用网络的计算机系统可能针对专用网络中的其他计算机执行 许多潜在有害的操作。尽管可以配置计算机系统以限制其执行此类操作的术人员恢复或避开此类配置或引入恢复或避开此类配置的有害软件。同时,客户组织经常关注将计算机系统连接到其专用网络,以便允许 系统管理员M户组织内的管理计算机远程地管理计算机系统。根据客户 组织的安全性策略,允许提供服务的组织访问与客户组织的专用网络连接 的计算机系统(即使是通过调制解调器)被看作一种对客户组织专用网络 的无法接受的风险。W0 2005/047991披露了一种用于通过维护计算机来维护现场设备的方 法,所述维护计算机布置在现场设备制造商的公司网络内并通过所述公司 网络、公用网络和客户网络与所述现场设备连接。公用网络具备目录服务 器,客户单元和维护计算机在所述目录服务器内注册,并且在客户请求时, 所述目录服务器分配M标识号、选择与公用网络连接的中继服务器的网 络地址以及将所述地址传输到客户单元和维护计算机。所述中继服务器和会话标识号允许设置线对间(pair-to-pair)连接,以便在客户单元与维 护计算机之间以这样的方式进行有关现场设备的数据交换所述线对间连 接使得可以通过保护客户网络和公司网络的防火墙计算机进行通信。美国专利申请20030079121披露了一种允许与供应商企业关联的雇员 从位于半导体制造设施内的由供应商控制的计算机设备来访问供应商拥有 的企业内部网络的方法。在一个实施例中,该方法包括使用虛拟专用网 络技术在节点与集线器/防火墙之间建立通过"&施拥有的企业内部网络的 隔离管道;生成从计算设备登录到供应商拥有的企业内部网络的请求;使 用安全因特网协议设置请求格式,以便将请求分为多个分组,其中每个分 组至少包括标头部分和加密的数据部分;以及通过隔离管道在设施拥有的 企业内部网络上将格式化的请求传输到集线器/防火墙,然后利用端到端加 密,通过^S用因特网传输到供应商拥有的企业内部网络。发明内容根据本发明,提供了 一种从维护计算机远程地维护连接到第一组织的 第一专用网络的计算机系统的方法,所述维护计算机连接到第二组织的第 二专用网络。所述第一和第二专用网络连接到公用网络并且通过各自的第 一和第二外部防火墙防止来自所述公用网络的侵害。所述方法包括使用隔离防火墙将所述第一专用网络与所述计算机系统 隔离,所述隔离防火墙配置为阻止在所述计算机系统处发起并导向所述第 一专用网络的网络业务。使用虛拟专用网^^支术,建立了通过所述第一专 用网络从所述隔离防火墙延伸到所述第一外部防火墙的隔离管道。然后使 用所述建立的隔离管道,以便通过所述隔离管道将登录所述计算机系统的 请求从所述维护计算机传输到所述计算机系统。本发明是有利的,因为它使得第二组织的服务技术人员能够远程地维 护计算机系统,同时考虑了第一組织(将不赞成授予第二組织对第一专用 网络的完全访问权限)的安全策略和关注。由于服务技术人员能够在很高限来登录计算机系统,因此本发明允许执行全面的远程维护和支持程序, 从而使第二組织节约了与派遣服务技术人员到第 一组织处相关的高额成 本。由于即使计算机系统上的超级访问权限也没有伴随着对隔离防火墙配 置的访问权限,因此本发明使第 一组织能够防止第二组织恢复或避开隔离 防火墙为第一专用网络提供的保护。才艮据本发明的实施例,所述隔离防火墙4皮配置为允许在所述第一专用 网络处发起的网络业务通过。此实施例特别有利,因为它允许第一组织从 自己拥有的第一专用网络访问计算机系统,而不必许可第二组织对第一专 用网络的访问以便作为交换,从第二组织的远程维护和支持获益。将计算 机系统连接到第 一专用网络对于第 一组织是有利的,因为它允许从第 一组 织中连接到第一专用网络的任意数量的客户端计算机来管理计算机系统。 取决于计算机系统的用途和设计,从第一专用网络访问计算机系统进一步 是向第一组织提供服务(例如提供与客户端计算机的数据库连接)所不可 缺少的。根据一个实施例,所述隔离防火墙被配置为阻止在第一专用网络处发 起的网络业务。此实施例通过保护计算机系统免受来自第一专用网络内的 可能攻击而提供了额外的优点。特别有利的是进一步的实施例,其中将所 述隔离防火墙配置为允许在第一专用网络处发起并导向可用于管理计算机 系统的网络端口的网络业务通过。通过这种方式,可以在阻止其他端口上 的业务以保护计算机系统免受非法访问的同时,从第一专用网络中的客户 端计算机远程地访问计算机系统以便管理。根据进一步的实施例,将所述 隔离防火墙配置为允许在第一专用网络中的特定客户端计算机处发起并导 向计算机系统的网络业务通过。特殊的优点在于根据做出访问的客户端计算机的身份(例如,通过允许来自计算机系统的一组选定管理员的个A^: 户端计算机的访问)而允许来自第一专用网络内的选定访问。根据本发明的一个实施例,隔离管道还通过第一外部防火墙在公用网 络上延伸,然后通过第二外部防火墙在第二专用网络上延伸到与所述第二 专用网络相连的中继服务器。此实施例特别有利,因为它允许以高度受限并且因此为安全的方式配置隔离防火墙和第 一外部防火墙,只有在网络业 务的目的地是中继服务器的情况下,才允许建立隔离管道所需的网络业务 通过隔离防火墙进入第一专用网络以及通过第一外部防火墙进入公用网 络。通常,对隔离防火墙和第一外部防火墙的配置方式的限制性越高,第 一组织的网络安全管理者对解决方案的接受程度就越高。此实施例具有进 一步的优点,因为隔离管道通过第二防火墙延伸到第二专用网络,所以可 以通过公用网络在维护计算机与计算机系统之间安全地传输任何业务。根据一个实施例,所述中继服务器包括第二专用网络的一组网络地址 并且在建立隔离管道时将所述一组网络地址中的一个地址分配给计算机系 统。维护计算机从中继服务器检索已分配的网络地址。然后,维护计算机 将登录计算机系统的请求寻址到已分配的网络地址。由于已分配的网络地 址属于中继服务器,因此请求由中继服务器接收,然后从该处通过隔离管 道转发到计算机系统。此实施例特别有利,因为它允许维护计算机在第二 专用网络内的任何地址下注册,包括例如由第二组织的虚拟专用网络网关 分配的地址,从而允许服务技术人员将从第二组织外部连接到第二专用网 络的笔记本计算机用作维护计算机。根据一个实施例,计算机系统连接到第一调制解调器,维护计算机连 接到第二调制解调器,所述第一和第二调制解调器都连接到公用电话线。 服务技术人员通过公用电话线建立从第二调制解调器到第一调制解调器的 拨号电话连接,通过拨号电话连接将建立隔离管道的命令从维护计算机传 输到计算机系统。此实施例特别有利,因为它允许网络技术人员随时开始 建立隔离管道,而不必依赖于收到请求时开始从第 一组织内建立隔离管道 的第一组织的雇员。但是,本发明并不限于如此地维护计算机系统。在其他实施例中,所 述计算机系统与诸如位于第一组织的设施内的现场设备或机器工具之类的 工业设备相连。通过隔离管道登录计算机系统之后,服务技术人员将通过 计算机系统从维护计算机维护工业设备。这些实施例特别有利,因为它们 允许第二組织远程诊断诸如工业设备故障之类的问题、给出如何解决问题的建议,以及决定是否有必要将服务技术人员派遣到第一组织处。
以下仅通过实例的方式参考附图详细描述了本发明的优选实施例,这些附图是图l是本发明的一个实施例的联网系统的示意图,图2是本发明的一个实施例的方法的流程图,图3是本发明的一个实施例的隔离防火墙的方块图,以及图4是本发明的一个实施例的中继服务器的方块图。
具体实施方式
图1是本发明的一个实施例的示意图,其中示出了使用诸如因特网之 类的公用网络112的第一组织104和第二组织110。计算机系统100位于 第一组织104的范围内,所述第一组织l(M可以例如是公司、银行、政府 办公室或制造设施。计算机系统IOO为第一组织提供有用的计算服务。例 如,计算机系统IOO可以是存储服务器、数据库或通信系统。计算机系统 可以进一步与诸如现场设备或机器之类的工业设备136相连,计算机系统 100实现诸如控制或监测工业设备136之类的用途。第一组织104和第二组织IOO拥有各自的第一专用网络或企业内部网 络102和第二专用网络或企业内部网络108。第一专用网络102和第二专 用网络108可以分别包括一个或多个链接的局域网以及在广域网中跨较长 距离的租用线路。第一专用网络102和第二专用网络108通过各自的第一 外部防火墙114和第二外部防火墙116连接到公用网络112。每个防火墙 都配置为保护相应专用网络免受来自公用网络112的侵害。实现此保护的 标准配置是将相应外部防火墙配置为阻止在公用网络112侧发起的网络业 务,同时允许在相应的专用网络侧发起的网络业务通过。取决于相应专用 网络的网络安全管理者的安全性策略,还可以对在相应专用网络侧发起的 网络业务施加限制,并且可以做出例外,从而选择性地允许在公用网络112侧发起的特定种类的网络业务。此类限制或例外通常基于与目的地网络端 口、目的地网络地址或发端网络地址有关的准则。计算机系统100通过隔离防火墙118连接到第一专用网络102,隔离 防火墙118被配置为通过阻止在计算机系统100侧发起并导向第一专用网 络102的网络业务来保护第一专用网络102免受来自计算机系统的侵害。用于远程维护计算机系统100的维护计算机106连接到第二组织110 的笫二专用网络108。第二组织108可以是为第一组织提供计算机系统100 的供应商公司、计算机系统100连接到的工业设备136的提供商、独立的 维护服务提供商,或以其他方式负责维护计算机系统IOO。维护计算机106 可以是使用虚拟专用网络技术连接到第二专用网络108的移动设备,这允 许携带维护计算机106的服务技术人员从任意位置远程地维护计算机系统 100。所述维护计算机还可以连接到与公用电话线134相连的第二调制解调 器132。此外,可以将在维护计算机106与计算机系统100之间转发网络 业务的中继服务器126连接到第二专用网络。在运行中,联网系统用于使用虛拟专用网^4支术建立隔离管道122, 隔离管道122从计算机系统100开始通过隔离防火墙118延伸,然后通过 第一外部防火墙114在第一专用网络102上延伸,然后通过第二防火墙在 公用网络122上延伸,然后通过第二专用网络延伸到中继服务器126。可 以使用许多不同的公知隧道协议来实现隔离管道,包括网际协议安全 (IPSec)、开放式虛拟专用网络、点对点隧道协议(PPTP)、第二层转发 (L2F)、第二层隧道协议(L2TP),以及第二层隧道协议版本3。计算机系统100还可以连接到与公用电话线134相连的第一调制解调 器130。携带维护计算机106的服务技术人员使用连接到维护计算机106 的笫二调制解调器132通过公用电话线134建立与第一调制解调器130的 拨号电话连接,然后通过所述连接发送命令以开始建立隔离管道。图2示出了本发明的一个实施例的方法的流程图。在步骤200,通过 隔离防火墙将第一专用网络与计算机系统隔离,所述隔离防火墙配置为阻 止在计算机系统处发起并导向第一专用网络的网络业务。此步骤是允许第二组织的服务技术人员远程维护计算机系统的基础。优选地,将所述隔离 防火墙置于第 一组织的网络安全管理者的完全控制之下,以便第二组织的 服务技术人员无法更改其配置或以其他方式损害其有效性。
在步骤210,服务技术人员通过公用电话线建立从连接到维护计算机 的调制解调器至连接到计算机系统的调制解调器的拨号调制解调器连接。
备选地,所述连接可以通过无线网络、集成服务数字网络或类似的通信网 络建立。如何、何时以及在何种情况下允许第二组织建立拨号调制解调器 连接的详细信息由第一和第二组织协商确定。
在步骤212,服务技术人员使用拨号调制解调器连接将命令通过所述 拨号调制解调器连接传输到计算机系统,以使所述计算机系统使用虛拟专 用网^^支术建立与第二专用网络内的中继服务器连接的隔离管道。所述隔 离管道可以备选地由位于第 一组织内的计算机系统的系统管理员在第二组 织的服务技术人员发出个人请求时启动。计算机系统IOO可以进一步被配 置为自动建立隔离管道,例如在一天中预先配置的时间,或诸如在计算机 系统中检测到技术问题之类的预先配置的事件发生时建立。
在步骤202,建立从计算机系统延伸到中继服务器的隔离管道,其中 中继服务器可以与维护计算机为同一计算机,也可以与维护计算机分离。 计算机系统和中继服务器的相应网络地址优选地为固定地址并由第 一和第 二组织协商确定。这提高了联网系统的安全性,因为两个组织的隔离防火 墙和外部防火墙都可以配置为将用于建立隔离管道的网络业务限于在计算 机系统的固定地址处发起并导向中继服务器的固定地址的业务。
在建立了隔离管道之后,在步骤206,中继服务器将第二专用网络的 地址分配给计算机系统。为了避免危害第二专用网络的安全,此地址优选 地不允许计算机系统用作第二专用网络上的独立网络主机,但是将在中继 服务器处保留此地址。在步骤208,维护计算机与中继服务器通信并检索 分配给计算机系统的网络地址
在步骤204,服务技术人员将中继服务器分配给计算机系统的网络地 址用作目的地地址以便传输登录计算机系统的请求。由于已分配的网络地址是中继服务器所拥有的第二专用网络的正规网络地址,因此中继服务器 将接收到登录计算机系统的请求。
在步骤214,中继服务器将登录计算机系统的请求的目的地地址替换 为在隔离管道内有效的计算机系统的地址并将请求通过隔离管道重新传输 到计算机系统。所述计算机系统接收请求,验证登录请求并等待从维护计 算机接收更多命令。在步骤216,服务技术人员使用成功登入计算机系统 之后从计算机系统获取的控制来维护与计算机系统相连的工业设备。
被描述为服务技术人员的操作的步骤也可以由安装在维护计算机上的
自动维护系统来执行。
图3示出了本发明的一个实施例的隔离防火墙118的方块图。隔离防 火墙118将第一专用网络102与由计算机系统形成的单独网络区域隔离, 从而产生了计算机系统所在的隔离的网络区域316。在此隔离的区域316 中,可以放置由第二组织维护的其他计算机系统,以便按照与维护计算机 系统100相同的方式进^f亍维护。
隔离防火墙118包括用于阻止在计算机系统处发起并导向第一专用网 络的网络业务308的第一过滤规则300。此规则用于保护第一专用网络免 受在隔离的网络区域316处M的操作的侵害。例如,所述第一过滤规则 防止第一组织的服务技术人员(其远程或本地地完全控制计算机系统)读 取第一专用网络102中的计算机内的敏感数据或防止针对此计算机执行有 害操作。
隔离防火墙118包括允许在计算机系统处发起的用于建立隔离管道的 网络业务310通过的第二过滤规则302。此第二过滤规则302可以例如被 阐述为第一过滤规则300的例外。为了在允许建立隔离管道的同时以可能 的最高级别保护第一专用网络102,优选地尽可能详细地阐述第二过滤规 则302。例如,如果网络业务在计算机系统处发起并被导向中继服务器, 并且被寻址到特定于所使用的虛拟专用网络协议的网络端口 ,则第二过滤 规则302可以允许此网络业务。
隔离防火墙118包括用于阻止在第一专用网络处发起的网络业务312的第三过滤规则304。第三过滤规则304用于保护计算机系统的隔离网络 区域316免受笫一专用网络102中的计算机系统执行的可能有害的操作的侵害。隔离防火墙118包括用于允许在第一专用网络处^并导向可用于管 理计算机系统的计算机系统网络端口的网络业务通过的第四过滤规则 306。以这种方式,可以允许第一组织的系统管理员方便地从其客户端计算 机来管理计算机系统。此第四过滤规则306可以例如被阐述为第三过滤规 则304的例外。为了在允许从第一专用网络管理计算机系统的同时,以可 能的最高级别保护计算机系统的隔离的网络区域306,优选地尽可能详细 地阐述第四过滤规则306。例如,如果网络业务在系统管理员的特定客户 端计算机处发起并被导向计算机系统,并且被寻址到特定于所使用的管理 协议的网络端口,则第四过滤规则306可以允许此网络业务。可以将其他规则添加到隔离防火墙118以考虑计算机系统的特殊用 途、属性和要求。例如,可以允许自动发送电子邮件的网络业务从所述计 算机系统到达第二专用网络中的特定电子邮件服务器。图4示出了本发明的一个实施例的中继服务器126的方块图。所迷中 继服务器包括用于建立从计算机系统延伸到中继服务器126的隔离管道 122的虚拟专用网络服务器组件402。所述中继服务器在一组网络地址400 下进行注册,这些地址是中继服务器自身在第二专用网络118内的有效地 址,以便从第二专用网络118内的计算机寻址到这些地址之一的网络业务 被路由到中继服务器。中继服务器126还包括用于将一组网络地址400中 的一个地址410分配给计算机系统的分配组件404。中继服务器126还包 括用于将一组网络地址中的一个地址410公布给维护计算机的公布组件 (406 ),以及包括用于在维护计算机与计算机系统之间转发网络业务的中 继组件408。在操作中,中继服务器监听第二专用网络108中在计算机系统处Jl^ 并请求建立隔离管道122的网络业务。当接收到此类网络业务时,虚拟专 用网络服务器组件402响应所述计算机系统,从而建立隔离管道122。在中继服务器126侧,虛拟专用网络服务器组件402形成隔离管道的端点。在建立了隔离管道122之后,分配组件404将一组网络地址400中的 一个网络地址410分配给计算机系统并将此地址提供给公布组件406和中 继组件408。现在,已准备好从第二专用网络108中的维护计算机与公布 组件406通信。希望在此阶段远程地维护计算机系统的服务技术人员从维 护计算机与中继服务器126通信并由公布组件406告知已分配的网络地址 410。服务技术人员现在创建登录计算机的请求并通过第二专用网络108, 4吏用网络地址400中的一个网络地址410作为目的地地址来传输此请求。 所述请求由中继服务器126接收,然后由中继组件重新寻址,并通过虚拟 专用网络服务器组件402在隔离管道122上发送到计算机系统。100计算机系统102第一专用网络104第一组织106维护计算机108第二专用网络110第二组织112公用网络114第一外部防火墙116第二外部防火墙118隔离防火墙122隔离管道124登录请求126中继服务器130第一调制解调器132第二调制解调器 标号列表134 ^^用电话线136 工业设备 138客户端计算机200将第一专用网络与计算机系统隔离202建立隔离管道204传输登录请求206 分配网络地址208 检索网络地址210建立电话连接212传输建立隔离管道的命令214将请求转发到计算机系统216 维护工业设备300 第一过滤规则302 第二过滤规则304 第三过滤规则306 第四过滤规则308、 310、 312、 314 网络业务316 计算机系统的隔离的网络区域400 —症且网络地址402虚拟专用网络服务器组件404 分配纟且件406 7>布组件408 中继组件410 —组网络地址中分配给计算机系统的网络地址
权利要求
1.一种从维护计算机(106)远程地维护连接到第一组织(104)的第一专用网络(102)的计算机系统(100)的方法,所述维护计算机(106)连接到第二组织(110)的第二专用网络(108),所述第一和第二专用网络连接到公用网络(112)并且通过各自的第一(114)和第二(116)外部防火墙防止来自所述公用网络的侵害,所述方法包括·使用隔离防火墙(118)将所述第一专用网络与所述计算机系统隔离(200),所述隔离防火墙(118)配置为阻止在所述计算机系统处发起并导向所述第一专用网络的网络业务,·使用虚拟专用网络技术建立(202)通过所述第一专用网络从所述隔离防火墙(118)延伸到所述第一外部防火墙的隔离管道(122),以及·通过所述隔离管道将登录所述计算机系统的请求(124)从所述维护计算机传输(204)到所述计算机系统。
2. 根据权利要求l的方法,其中使用从包含以下项的组选择的隧道协 议来通过所述隔离管道(122)传输请求(124):因特网协议安全性、开 放式虚拟专用网络、点对点隧道协议、第二层转发、笫二层隧道协议,以 及第二层隧道协议版本3。
3. 根据权利要求1或2的方法,其中所述隔离防火墙(118 )被配置 为允许在所述第一专用网络处发起的网络业务通过。
4. 根据权利要求1或2的方法,其中所述隔离防火墙(118 )被配置 为阻止在所述第 一专用网络处发起的网络业务。
5. 根据权利要求4的方法,其中所述隔离防火墙(118)被配置为允 许在所述第一专用网络处发起并导向可用于管理所述计算机系统的计算机 系统(100)的网络端口的网络业务通过。
6. 根据权利要求4或5的方法,其中所述第一专用网络包括客户端计 算机(138 ),所述隔离防火墙被配置为允许在所iij:户端计算机处发起并导向所述计算机系统(100)的网络业务通过。
7. 根据上述权利要求中的任一权利要求的方法,其中所述隔离管道 (122 )还通过所述笫一外部防火墙(ll4 )在所述7〉用网络(ll2 )上延伸,然后通过所述第二外部防火墙(116)在所述第二专用网络(108)上延伸 到与所述第二专用网络相连的中继服务器(U6)。
8. 根据权利要求7的方法,所述中继服务器(126 )包括所述第二专 用网络的一组网络地址(128),所迷方法进一步包括*由所述中继服务器将所述一组网络地址中的一个地址分配(206 )给所述计算机系统,以及 由所述维护计算机(106 )从所述中继服务器检索(208 )所述一组网络地址中的所述一个地址, 其中所述请求(126 )由所述维护计算机使用所述一组网络地址中的所 述一个地址寻址到所述计算机系统(100),并由所述中继服务器通过 所述隔离管道(122)转发(214)到所述计算机系统。
9. 根据上述权利要求中的任一权利要求的方法,所述计算机系统 (100)连接到第一调制解调器(130),所述维护计算机连接到笫二调制解调器(132 ),所述第一和第二调制解调器都连接到公用电话线(134 ), 所述方法进一步包括 建立(210)从所述第二调制解调器到所述第一调制解调器的拨号 电话连接,以及*通过所述拨号电话连接将建立所述隔离管道的命令从所述维护计 算机传输(212)到所述计算机系统。
10. 根据上述权利要求中的任一权利要求的方法,其中所述计算机系 统(100)与位于所述第一组织的设施内的工业设备(136)相连,所述方 法进一步包括通过所述计算机系统从所述维护计算机远程地维护(216 )所 述工业i殳备。
11. 一种允许从维护计算机(106 )远程维护连接到第一组织(104 ) 的第一专用网络(102)的计算机系统(100)的联网系统,所述维护计算机(106)连接到第二组织(110)的第二专用网络(108),所述第一和第 二专用网络连接到公用网络(112 )并且通过各自的第一(114 )和第二( 116 ) 外部防火墙防止来自所述公用网络的侵害,所述联网系统包括*用于将所述第一专用网络与所述计算机系统隔离的隔离防火墙 (118), 用于使用虛拟专用网络技术来建立隔离管道(122)的装置,所述隔离管道通过所述第一专用网络从所述隔离防火墙延伸到所述笫一外部防火墙,以及 用于阻止在所述计算机系统处发起并导向所述第一专用网络的网络业务(308 )的所述隔离防火墙的第一过滤规则(300 ), *用于允许在所述计算机系统处发起的用于建立所述隔离管道的网络业务(310)通过的所述隔离防火墙的第二过滤规则(302 ), 用于通过所述隔离管道将登录所述计算机系统的请求从所述维护计算机传输(204 )到所述计算机系统的装置。
12. 根据权利要求ll的联网系统,所述隔离管道(122)进一步通过 所述第一外部防火墙(114)在所述公用网络(112)上延伸,然后通过所 述第二防火墙(116)在所述第二专用网络(108)上延伸到与所述第二专 用网络相连的中继服务器(126)。
13. 根据权利要求11或12的联网系统,还包括用于阻止在所述第一 专用网络处发起的网络业务(312)的所述隔离防火墙(118)的第三过滤 规则(304 )。
14. 根据权利要求13的联网系统,还包括用于允许在所述第一专用 网络处发起并导向可用于管理所述计算机系统的计算机系统网络端口的网 络业务(314)通过的所述隔离防火墙(118)的第四过滤规则(306 )。
15. 根据权利要求12的联网系统,所述中继服务器(126 )包括*用于将所述第二专用网络的一组网络地址(400 )中的一个地址(410)分配给所述计算机系统的分配組件(404 ), *用于将所述一组网络地址中的所述一个地址乂>布给所述维护计算机的/〉布组件(406 ),以及 *用于将登录所述计算机系统的请求转发到所述计算机系统的中继 组件(408 ),所述请求由所述维护计算;tM吏用所述一组网络地址 中的所述一个地址传输到所述计算机系统。
16. 根据权利要求11到15中的任一权利要求的联网系统,还包括 *连接到所述计算机系统(100)的第一调制解调器(130), *连接到所述维护计算机(106)的第二调制解调器(132), *用于通过公用电话线(134 )建立(210 )从所述第二调制解调器到所述第一调制解调器的拨号电话连接的装置,以及 用于通过所述拨号电话连接将建立所述隔离管道(122)的命令从 所述维护计算机传输(212)到所述计算机系统的装置。
17. 根据权利要求11到16中的任一权利要求的联网系统,还包括 与所述计算机系统(100)相连并位于所述第一组织(104 )的设施内的工业设备(136),以及 *用于通过所述计算机系统从所述维护计算机(106)远程地维护 (216)所述工业设备的装置。
全文摘要
提供了一种从维护计算机远程地维护连接到第一组织的第一专用网络的计算机系统的方法,所述维护计算机连接到第二组织的第二专用网络。所述第一和第二专用网络连接到公用网络并且通过各自的第一和第二外部防火墙防止来自所述公用网络的侵害。使用隔离防火墙将所述第一专用网络与所述计算机系统隔离,所述隔离防火墙配置为阻止在所述计算机系统处发起并导向所述第一专用网络的网络业务。使用虚拟专用网络技术建立通过所述第一专用网络从所述隔离防火墙延伸到所述第一外部防火墙的隔离管道。通过所述隔离管道将登录所述计算机系统的请求从所述维护计算机传输到所述计算机系统。
文档编号H04L29/06GK101243670SQ200680029663
公开日2008年8月13日 申请日期2006年6月22日 优先权日2005年8月16日
发明者H·勒里希 申请人:国际商业机器公司