[发明专利]用于通过网络安全地更新脆弱系统的装置和方法

权利要求书

1.一种用于通过网络安全地更新脆弱系统的装置，该装置位于该系统和该网络之间，并实现为专用硬件，该装置包括：

与该系统连接的内部接口；

与该网络连接的外部接口；以及

至少一个过滤模块，用于过滤掉特定的传入网络包以阻挡可能的网络攻击。

2.根据权利要求1的装置，还包括物理开关，用于控制所述过滤模块的过滤级别。

3.根据权利要求1或2的装置，还包括监视模块，用于监视所有由该系统发起的传出连接。

4.根据权利要求2的装置，其中所述过滤级别包括：

过滤掉所有传入的TCP SYN包；以及

过滤掉所有传入的TCP SYN包和所有传入的UDP包。

5.根据权利要求3的装置，其中所述过滤级别包括：

过滤掉所有传入的TCP SYN包；

过滤掉所有传入的TCP SYN包和所有传入的UDP包；以及

仅允许与所述监视模块监视到的由该系统发起的任何传出连接相关的包进入该系统。

6.根据权利要求5的装置，其中所述过滤级别还包括：

仅允许与特定安全更新相关的包进入该系统。

7.根据权利要求1-6中任何一个权利要求的装置，其中该装置可使用物理存在证据来激活/去激活。

8.根据权利要求7的装置，其中所述物理存在证据是物理开关中的档位或BIOS设置中的选项。

9.根据权利要求1-6中任何一个权利要求的装置，其中所述过滤模块为ASIC芯片。

10.根据权利要求1-6中任何一个权利要求的装置，其中所述过滤模块为固件。

11.根据权利要求1-10的装置，其中该装置为独立设备。

12.根据权利要求11的装置，其中该独立设备为位于网络接口卡和电缆之间的插座插头对。

13.根据权利要求11的装置，其中该独立设备为特殊的网络电缆。

14.根据权利要求1-10的装置，其中该装置为网络接口卡内的嵌入模块。

15.根据权利要求11或14的装置，其中该装置位于所述脆弱系统处。

16.根据权利要求11或14的装置，其中该装置位于多个脆弱系统的网关处。

17.一种用于通过网络安全地更新脆弱系统的方法，该方法包括以下步骤：

在该系统和该网络之间设置根据权利要求1-16中任何一个的装置；以及

经由该装置通过网络对该系统进行安全更新。

18.一种用于通过网络安全地更新脆弱系统的方法，包括以下步骤：

由该脆弱系统通过网络向更新服务器发出更新请求，来进行更新；以及

过滤掉特定的传入网络包以阻挡可能的网络攻击。

19.根据权利要求18的方法，其中该方法由位于网络接口卡和电缆之间的插座插头对、特殊的网络电缆、网络接口卡内的嵌入模块中的任何一个执行。

20.根据权利要求19的方法，其中所述过滤步骤包括过滤掉所有传入的TCP SYN包。

21.根据权利要求19或20的方法，其中所述过滤步骤还包括过滤掉所有传入的UDP包。

22.根据权利要求19的方法，还包括监视所有由该脆弱系统发起的传出连接的步骤；并且所述过滤步骤包括仅允许与监视到的由该脆弱系统发起的任何传出连接相关的包进入该系统。

23.根据权利要求22的方法，其中所述过滤步骤还包括仅允许与特定安全更新相关的包进入该系统。