[发明专利]通过对设备的动态地址隔离来提供网络和计算机防火墙保护的系统和方法

权利要求书

1.一种计算机，包含：

与应用地址相关联的应用；

网络接口，其被耦合用于从外部网络接收传入数据分组并向外部网络 发送传出数据分组；

网络地址翻译引擎，其被配置用于在所述应用地址和公开地址之间进 行翻译；

驱动器，其被耦合用于将所述传出数据分组自动转发到所述网络地址 翻译引擎以将所述应用地址翻译成所述公开地址，并用于将所述传入数据 分组自动转发到所述网络地址翻译引擎以将所述公开地址翻译成所述应用 地址，并且

所述驱动器耦合来将所述传入数据分组定向到防火墙，所述防火墙配 置来分析所述传入数据分组以寻找恶意代码，根据安全策略如果发现所述 传入数据分组包括恶意内容则丢弃所述传入数据分组并防止所述传入数据 分组前进到所述应用，并且根据所述安全策略如果没有发现所述传入数据 分组包括恶意内容则允许所述传入数据分组前进到所述应用。

2.如权利要求1所述的计算机，其中所述网络地址翻译引擎是所述驱 动器的一部分。

3.如权利要求1所述的计算机，其中所述网络地址翻译引擎是所述防 火墙的一部分。

4.如权利要求3所述的计算机，其中所述防火墙位于移动安全系统 上，配置来实现所述安全策略。

5.如权利要求1所述的计算机，其中所述网络地址翻译引擎被配置为 使用动态主机配置协议来将所述应用地址翻译成所述公开地址并且将所述 公开地址翻译成所述应用地址。

6.如权利要求1所述的计算机，其中所述计算机被配置为将标识所述 应用的数据分组发送到防火墙，并且所述防火墙被配置为处理网络级别安 全性和应用级别安全性两者。

7.一种用于通过对设备的动态地址隔离来提供网络和计算机防火墙保 护的系统，该系统包括：

网络接口，耦合到外部网络；

与所述网络接口通信的防火墙，其被配置为处理网络级别安全性和应 用级别安全性两者；以及

与所述防火墙通信的计算机，其具有一个或多个应用，所述一个或多 个应用中的每个应用与至少一个应用地址相关联，并且所述计算机被配置 为将所述一个或多个应用的至少一个应用地址翻译成公开地址，从而动态 地将所述一个或多个应用与所述外部网络相隔离；以及将标识所述一个或 多个应用的数据分组定向到所述防火墙，

所述防火墙被配置来：

分析所述数据分组以寻找恶意内容；根据安全策略如果发现所述数据 分组包括恶意内容则丢弃所述数据分组，并且

根据所述安全策略如果没有发现所述数据分组包括恶意内容则允许所 述数据分组被传递到所述一个或多个应用。

8.如权利要求7所述的系统，其中：

每个数据分组与所述一个或多个应用中的一个应用相关联；并且

每个数据分组包含标识与该数据分组相关联的应用的数据。

9.如权利要求8所述的系统，其中所述防火墙被配置为使用标识与所 述数据分组相关联的应用的所述数据来处理应用级别安全性，通过从所述 数据分组中删除标识应用的所述数据来创建数据分组子集，并且将所述数 据分组子集发送到外部网络。

10.如权利要求7所述的系统，其中所述网络接口被配置为从外部网 络接收传入数据，并将所述传入数据路由到所述防火墙。

11.如权利要求7所述的系统，其中所述防火墙被配置为通过使用动 态主机配置协议来动态地将所述应用地址与所述外部网络相隔离。