[发明专利]客户机协助的防火墙配置

说明书

相关申请的交叉引用

[0001]本申请要求享受2004年12月21日提交的、题目为“CLIENTASSISTED FIREWALL CONFIGURATION”的美国临时申请No.60/638,271的优先权，美国临时申请No.60/638,271全文以引用方式加入本申请。

发明领域

[0002]概括地说，本发明涉及数据通信，具体地说，本发明涉及如何配置防火墙和减少网络业务量。

背景技术

[0003]防火墙是保护网络免受不法访问和恶意攻击的安全设备。不法访问可能要获取敏感信息或破坏网络的功能。传统的防火墙将网络分为两段：内部段和外部段，内部段位于防火墙后面，外部段位于防火墙外面。为防止不法访问，防火墙需要检查分组和会话，以此判断是应将这些分组和会话传输到既定目的地，还是应阻断或丢弃它们。

[0004]防火墙一般位于入口点，它扫描进入的业务，将其与预定标准进行比较。与预定标准不匹配的业务将会被阻断或丢弃。根据可容忍的复杂度和期望的保护级别，预定标准可以包括多种参数，例如端口号、应用ID、源、目的、内容过滤器、IP地址、机器名、TCP/IP标志以及其它参数。判断是否让分组通过的匹配参数的个数确立了保护粒度。粒度较粗的防火墙可能会不经意地阻断预期的进入业务，因为这些业务被误认为是非预期的，与此同时它可能还不足以防止非预期的业务。

[0005]安全策略可由位于中心点的网络管理员来定义和/或实施。虽然不同的用户可能会有不同的网络访问偏好和需求，但用户仍有可能无法选择对于他们的终端而言哪些业务是可用的和/或禁用的。不同的用户可能想要不同类型的业务流。这些流受网络安全策略的影响。例如，一个用户可能想阻断来自特定传输控制协议/网际协议(TCP/IP)网络地址的传输，而另一用户则可能正想接收这样的传输。一个用户可能想得到来自网络的某一特定子网地址的传输，而另一用户则想得到来自该网络地址的所有传输。其他用户可能想得到发往某一特定端口或应用的消息业务，而一个不同的用户则可能想阻断所有进入的连接，而只允许出去的连接。

[0006]防火墙充当看门人。每个设备就近的防火墙在每个终端或移动设备周围设置了一道防火墙。在这种情形下，非法分组在抵达终端或移动设备之前不被丢弃。因此，无线网络中极其宝贵的网络带宽就这样被白白浪费掉了，因为该分组已经消耗了传输该分组所需的无线资源。浪费掉的这些资源最好能再分配给其它连接而得到更好的利用。资源浪费会增加用户成本，因为它增加了消息传输，并会降低总吞吐量，因为在无线链路上传输分组需要使用资源。

[0007]为了克服上述以及其它缺点，我们需要这样一种技术：将不想要的或不期望的分组在向设备传输之前就阻断掉，从而减少网络业务量。我们还需要这样一种技术：使设备能动态地修改一种或多种防火墙策略，以使设备可以指定特定的分组、发送方和/或其它分组标准。配置好的防火墙可以远离通信端点或设备。为了提供保护作用，还需要在通信过程中自动撤消防火墙策略的能力。

发明内容

[0008]下面简单地概括一个或多个实施例，以便对这些实施例的方方面面有一个基本的理解。发明内容部分不是对这一个或多个实施例的泛泛概述，既不是要确定这些实施例的关键或重要组成部分，也不是要界定这些实施例的保护范围。其唯一的目的是简要地阐释上述实施例的一些构思，以此作为后面详细说明的前奏。

[0009]根据一个或多个实施例及其相应的说明，公开了配置防火墙和/或减少网络业务量的各个方面。根据一个实施例的是一种为了减少不想要的网络业务量而由移动设备用来配置防火墙的方法。该方法包括：与网络防火墙建立网络连接；与网络防火墙进行通信，以管理网络业务量。根据一些实施例，该方法可以包括：检测是否已经创建了被动套接字；请求网络防火墙准许发往被动套接字的流通过。在一些实施例中，该方法可以包括：关闭web服务器；关闭被动套接字。可以用关闭的被动套接字信息联系防火墙，可以请求防火墙拒绝发往被关闭被动套接字的流通过。如果关闭了被动套接字，该方法可以自动撤消让防火墙准许发往被动套接字的流通过的请求。

[0010]根据另一个实施例的是一种让主机从断开或终止的会话中自动恢复的方法。该方法包括：请求远程防火墙准许发往至少一个打开的套接字的分组通行；检测断开的会话；撤消发往至少一个打开的套接字的分组请求。该方法还可以包括：重建新的会话；请求让预期流通过。根据一些实施例，请求准许发往至少一个打开的套接字的分组通行包括：生成当前打开套接字的列表。