一种数据处理装置(1),安装在一数据处理服务器(2)中,适于接收一次数据,并在通过控制装置(5)施用基于一次规则的专用处理的之后,传送所述一次数据。该装置首先包括一个第一表(T1),其中以可参数化的形式并以与一次标识符对应的关系,存储称为“一次元规则”的至少一个一次规则的集合,并其次包括一管理装置(8),其用来连接到控制装置(5),并适于在由二次数据的服务器(2)接收之后,在接收表示由所述控制装置(5)提供的操作参数的辅助数据时,选择第一表(T1)中至少一个一次标识符,并使辅助数据与其相关联,以定义所述专用过程。(*该技术在2023年保护过期,可自由使用*)
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术的领域是数据处理领域,更具体来说是在连接到其他公共或专用网络或用户终端的公用或专用网络中的一点过滤数据的领域。
技术介绍
数据过滤一般是由装有称为防火墙的处理装置的数据处理服务器提供的。防火墙通常是为了保护专用(或内部)局域网(LAN)及孤立用户终端,免受一般来源于公共(或外部)广域网(WAN)诸如因特网的外部攻击或入侵。其还可用来限制专用网用户对公共网的访问和/或对内部或外部网络保护服务器。防火墙必须配置为提供上述功能至少之一,或换言之能够过滤由装有防火墙的服务器接收的数据包。定义过滤器的一次(或基本)规则一般是为用于这一目的。因而配置防火墙就在于向其施加主动过滤器(active filter)的一个排序的序列(按术语的数学意义)。在接收数据包时,包的特征与排序序列的过滤器的特征比较,并只允许具备与过滤器特征可比特征的数据包通过。配置防火墙是一种困难的操作,这要由其所属的网络的管理员人工进行。因为这一静态的人工干预,所得的配置可能在功能上正确,但可能是不适当或并非最优。其甚至是错误的。所有这些情形下,服务器的性能都要通常降低。由于网络频繁地演变,防火墙必须经常重新配置,这不仅增加了出错或失当的危险,而且还占用网络管理员大量的时间。
技术实现思路
于是,本专利技术的一个目的是要通过提出一种防火墙管理装置而克服某些或所有上述缺陷,该装置实时考虑网络的参数或由网络提供的服务的修改和演变,以及不可预见的事件。为此,提出了一种适于安装在数据处理服务器中的数据处理装置,该服务器适于接收一次数据(或数据包),并在通过防火墙型的控制装置基于一次规则施用专用处理之后传送所述一次数据。该装置的特征在于,其包括i)第一表,该表以可参数化的形式并以与一次标识符对应的关系,存储称为“一次元规则”的一次规则集的“定义/原型”(每一一次元规则或集合包括至少一个一次规则),以及ii)管理装置,其适于连接到该控制装置,并在由二次数据的服务器接收之后,在接收表示由控制装置提供的操作参数的辅助数据时,选择第一表中至少一个一次标识符,并使辅助数据与其相关联,以定义专用过程。在本文中,表述“辅助数据”是指在服务器接收二次数据之后,必须分配给要在控制装置诸如防火墙中实现的元规则的一次规则操作参数的数据(或值)。并且本文中,表述“二次数据”是指,任何由服务器(或其控制装置)接收的、其内容被解释为对于重新配置控制装置的要求的信息。这可以指包含在一次数据包中的数据(或字段)或在网络中发生的事件,例如添加插件(card)。这样,每当证明必要时,基于在第一表中定义并存储的一次元规则以及由服务器提供的信息(辅助数据),该管理装置能够动态地、且无须人工干预重新配置控制装置。根据本专利技术的另一特点,该装置可包括管理装置可访问的一个第二表(并如第一表那样最好结合在其中),其中以对至少一个选择的(或激活的)与辅助数据相关的一次标识符对应的关系存储二次标识符(即指定在控制装置中采用的元规则,带有由辅助数据表示的操作参数)。这种情形下,如果管理装置在接收辅助数据时能够确定,在第二表中是否已存在对应的选择的二次标识符,以便使其与要适应专用过程的新的辅助数据相关联。这意味着,被修改的仅仅是需要修改的配置部分,而不是整个的配置。在第二表中一定的选择的一次元规则,可被分组为也由与辅助数据相关联的第二标识符表示的二次元规则。二次标识符可以或可以不与一次标识符等同。例如,如果其仅在防火墙中单一参数集合(或辅助数据集)下执行,则一次元规则在第一表和第二表中可具有相同的(一次)标识符。反之,如果其在防火墙中不同的参数集合下执行,则一次元规则应当带有与其一次标识符不同的二次标识符。这些(一次)元规则与“超级”(二次)元规则进一步减少了(重新)配置时间。管理装置最好包括多个管理子模块,每一个用于管理辅助数据与一个或多个一次或二次元规则的相关联(重要的是子模块划分了它们负责的一次或二次元规则),并适于在接收辅助数据时确定哪些管理子模块对应于它们。这便于并缩短了重新配置。此外,管理装置在接收一定的辅助数据时,适于从第二表删除至少一个存储的二次标识符(这相当于在控制装置级不选择或停用一次的或二次的元规则)。该管理装置在接收由服务器通信的补充数据时,可等同地适于适配,删除或修改一次或二次元规则,或在与一次或二次元规则相关联的第二表中的辅助数据。此外,管理装置与表最好是一个“元防火墙”的部分,其管理配备于服务器并包括控制装置的防火墙。本专利技术还提供了配备上述类型装置的防火墙。本专利技术进而提供了动态处理数据的方法,该方法在于基于一次规则,对由数据处理服务器接收的一次数据施用专用过程,使得接收的一次数据在其由服务器传送之前被处理。这一方法的特征在于,其包括一个预先步骤,在该步骤以可参数化的形式并与一次标识符对应的关系,在第一表存储称为“一次元规则”的至少一个一次规则,并在接收到二次数据之后接收由服务器传送的表示操作参数的辅助数据时,选择第一表中至少一个一次标识符,并使辅助数据与一次标识符相关联,以定义专用过程。根据本专利技术的另一特征,在预先步骤中,在一个第二表中存储二次标识符,其每一个与至少一个选择的同辅助数据相关联的一次标识符有对应关系。第二表中一定的一次元规则可分组为由二次标识符表示的二次元规则。根据本专利技术的另一特征,并行地进行第一表中一次或二次元规则的选择,及二次表中与表示选择的一次或二次元规则的二次标识符相关联的辅助数据的修改。此外,当收到一定的辅助数据时,该方法可删除存储在第二表中的一次或二次元规则至少之一。类似地,在收到由服务器传送的补充数据时,可向第二表添加,从其删除或修改一次或二次元规则。根据本专利技术的装置和方法,虽然不是唯一的,但却特别适合用于过滤公共和专用远程通信网中的数据。附图说明在阅读以下详细的说明并研究附图时,本专利技术的其他特征和先进性将是明显可见的,其中图1很简略地示出与公共和专用网连接并装有根据本专利技术的装置的一服务器,以及图2是根据本专利技术的装置的一个实施例的框图。具体实施例方式附图是针对大部分特性的,因而构成了本专利技术描述的部分,如果必要也有助于本专利技术的定义。以下的描述涉及安装在一个数据处理服务器2中的数据处理装置1,该服务器安装在公共(或外部)网络3与专用(或内部)网络4之间的连接结点(或点),如图1所示。然而,该服务器可安装在许多其他地方,例如在服务供应商或有线运营者处。例如,公共网3是因特网,而专用网4是连接到多个用户终端的局域网(LAN)。当然,装置1可安装在与服务器2连接的辅助设备类的一个外部单元,这时它将直接连接到外部网络(因特网)。在所示的例子中,就流入和流出(一次)的数据包基本上等同的意义上来说,服务器是“路由器”型的。例如,服务器2适于交换语音数据。例如,其装有通过内部网络4通信的多个电子电路卡。这些卡之一提供对外部网络3(这里是因特网)的访问,因而装有WAN接口(ADSL,ISDN,以太网)。每个卡有其自己的特许,特别是关于其可在内部网4上产生,给予内部网其他数据处理硬件的通信量类型。服务器2最好还主控可配置或可参数化服务,例如电子邮件模块,因特网模块,虚拟专用网(VPN)模块等等。服务器2还装有业内专业人员所周知的防火墙5,并主要是为过滤通过输入/本文档来自技高网...
【技术保护点】
一种数据处理装置(1),适于安装在一数据处理服务器(2)中,该服务器适于接收一次数据,并在通过控制装置(5)基于一次规则施用专用处理之后传送所述一次数据,该装置的特征在于,其包括i)第一表(T1),该表以可参数化的形式并以与一次标识符对应的关系,存储称为“一次元规则”的至少一个一次规则的集合,以及ii)管理装置(8),其适于连接到所述控制装置(5),并在由二次数据的服务器(2)接收之后,在接收表示由所述控制装置(5)提供的操作参数的辅助数据时,选择第一表(T1)中至少一个一次标识符,并使辅助数据与其相关联,以定义所述专用过程。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:加埃唐奥弗雷多,弗雷德里克佩内拉特,
申请(专利权)人:阿尔卡特公司,
类型:发明
国别省市:FR[法国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。