CN100456729C - 个人远程防火墙 - Google Patents
个人远程防火墙 Download PDFInfo
- Publication number
- CN100456729C CN100456729C CNB038267780A CN03826778A CN100456729C CN 100456729 C CN100456729 C CN 100456729C CN B038267780 A CNB038267780 A CN B038267780A CN 03826778 A CN03826778 A CN 03826778A CN 100456729 C CN100456729 C CN 100456729C
- Authority
- CN
- China
- Prior art keywords
- port
- server
- allowed
- user
- tcp
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
Landscapes
- Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Telephone Function (AREA)
- Lock And Its Accessories (AREA)
- Control Of Eletrric Generators (AREA)
- Transition And Organic Metals Composition Catalysts For Addition Polymerization (AREA)
Abstract
本发明涉及一种方法和虚拟专用网(VPN)网关服务器(10),用于提供在安全隧道连接上对公司网(20)进行无线访问的规则。公司网(20)受防火墙功能的保护,且对于不同的远程用户具有不同的访问配置。VPN网关服务器(10)包括用户数据库(15),为使用安全隧道连接访问公司网(20)的每个用户提供特定的规则。规则包括与各个特定用户相关联的TCP端口的特定集合。网关服务器(10)限制认证用户对公司网(20)的访问,该访问通过网关服务器(10)所提供的到相关联被允许TCP服务器端口的隧道连接来实现。
Description
技术领域
本发明涉及一种方法和虚拟专用网(VPN)网关服务器,用于提供在安全隧道连接上对企业网进行无线访问的规则。
背景技术
近些年,使用无线终端访问因特网的愿望和可能性迅速地增长。移动网运营商已在世界范围引入或即将引入的第三代(3G)移动网络,将大大改善这种访问。此外,近来已经通过附加功能将现有的移动网络升级,以便于进行这种访问,例如,以GPRS(通用分组无线业务)功能升级GSM(全球移动通信***)网络。
同时,有越来越多的雇员希望当他们处于公司外部时使用其无线终端访问其公司的资源,尤其是所引入的无线装置的功能越来越强,使其适合于用作远程工作工具。
随着无线访问因特网的可能性增大,无线访问企业网资源的愿望不断增强,将增加虚拟专用网(VPN)的公司部署,用于向客户提供对公司资源的无线访问。
一般而言,虚拟专用网(VPN)在概念上是在公众网络顶部上构建的安全、专用通信基础设施。逻辑概念VPN隧道取代专用线路,并且隧道可将两个企业网站互连(所谓的站点到站点VPN),或者将远程用户与企业网互连(所谓的远程访问VPN)。
在远程访问VPN中,VPN网关服务器通常将公司网与因特网互连。从而,用户可使用因特网服务供应商提供的拨号因特网连接,以便通过VPN网关服务器与公司网相连。由于用户使用公众网络上的连接,需要采取某些安全措施,通常对连接进行加密并对用户进行认证。当VPN网关服务器在客户机与企业VPN网关之间的加密连接上成功认证用户之后,该用户就可在所谓的安全VPN隧道上访问公司网。使用隧道,用户能访问公司网络中的不同资源。同样,如果用户使用通过无线网络进行因特网访问的无线客户机终端,则可通过无线网络和因特网在无线客户机与VPN网关之间建立安全的VPN隧道,从而能对公司网资源进行无线远程访问。
如上所述,在安全VPN隧道连接上对公司网的访问,暗含对连接加密以及对访问用户的认证。不过,一旦建立了安全的隧道连接,则隧道内不具有针对用户的访问规则。取而代之,隧道使无线客户机能使用对于任何经认证的访问用户一直开放的所有TCP端口。
在安全隧道连接内对所有认证客户机具有一直开放的TCP端口,与使用无线客户机终端的许多雇员仅需访问公司网内部的某些应用的事实不相符。此外,有些雇员甚至没有被授权访问某些企业应用。因此,希望提供一种设计,使公司能通过一种简单的方式,对在安全VPN隧道内允许无线客户机访问公司网的程度进行控制。
发明内容
本发明提供一种具有防火墙功能的VPN网关,能区分不同用户被允许的对公司网访问的类型。
根据本发明的一个方面,提供一种虚拟专用网(VPN)网关服务器的用于提供在安全隧道连接上对公司网的无线访问的规则的方法,所述方法包括:配置服务器的用户数据库,以提供在安全隧道连接上进行访问的用户特定规则,所述配置包括将不同特定用户与被允许TCP服务器端口的各个集合相关联,其中与特定用户相关联的被允许TCP服务器端口为被允许客户机侧TCP服务器端口,所述配置步骤包括配置用户数据库,以将被允许客户机侧TCP服务器端口与服务器侧TCP服务器端口相关联;对连接到安全隧道连接的用户进行认证;通过仅转发在安全隧道中接收的、以用户数据库中与用户相关联的被允许TCP服务器端口集合所包含的端口为目的地的用户数据,限制经认证用户对公司网的访问,从而将在安全隧道中接收的用户数据在单独的TCP连接上转发到与被允许客户机侧TCP服务器端口相关联的服务器侧TCP服务器端口,在该连接中,网关服务器充当客户机。
根据本发明的另一个方面,提供一种虚拟专用网(VPN)网关服务器,用于提供在安全隧道连接上对公司网的无线访问的规则,所述服务器包括:用户数据库,通过存储在不同特定用户与被允许TCP服务器端口的各个集合之间的关联,提供在安全隧道连接上的访问的用户特定规则,其中与特定用户相关联的被允许TCP服务器端口为被允许客户机侧TCP服务器端口,所述用户数据库还将被允许客户机侧TCP服务器端口与服务器侧TCP服务器端口相关联;认证装置,用于对连接到安全隧道连接的用户进行认证;以及端口过滤装置,通过仅转发在安全隧道中接收的、以用户数据库中与用户相关联的被允许TCP服务器端口集合所包含的端口为目的地的用户数据,限制经认证用户对公司网的访问,从而将在安全隧道中接收的用户数据在单独的TCP连接上转发到与被允许客户机侧TCP服务器端口相关联的服务器侧TCP服务器端口,在该连接中,网关服务器充当客户机。
根据本发明的又一个方面,提供一种虚拟专用网(VPN)***,包括:公司网;前述虚拟专用网(VPN)网关服务器,用于在安全隧道连接上提供对公司网的无线访问;和至少一个无线客户机终端,其中,将客户机终端配置成,当在隧道连接上连接至VPN网关服务器时,使用特定TCP服务器端口和IP地址,当访问公司网时,使用隧道连接内TCP服务器端口的特定集合。
本发明所基于的思想是,提供对公司网的无线远程访问,该网络受到防火墙功能的保护,对于不同的远程用户具有不同的访问配置。
根据本发明,VPN网关服务器包括用户数据库,提供为每个用户使用安全隧道对公司网进行访问而特定的规则。该规则包括与各个特定用户相关联的TCP端口的特定集合。网关服务器将限制经认证用户对公司网的访问该访问限制到相关联的被允许TCP服务器端口,其中通过利用网关服务器提供的隧道连接来进行对公司网的访问。
这样,不是允许经认证用户使用安全隧道内的任何可用TCP服务器端口,而是由根据本发明的VPN网关服务器的防火墙功能仅允许用户通过使用与用户数据库中的用户相关联的TCP服务器端口来访问公司网。这意味着,可区分不同用户被允许的对公司网访问的类型。例如,可允许一个用户使用在安全隧道内的所有可用TCP端口,或套接字,从而提供与公司网中各种应用进行远程交互的选择。同时,可以仅允许另一用户使用TCP服务器端口与公司网中电子邮件服务器进程进行远程交互。
最好将安全隧道绑定到网关服务器的特定TCP服务器端口,同时在用户数据库中预先配置在安全隧道内用于实际用户通信的被允许TCP端口。在用户应用中预先配置用于隧道本身的TCP服务器端口。
最好是,用户对公司网的访问涉及两个独立的TCP会话。一个是采用在用户无线客户机终端与网关服务器之间加密连接形式的VPN隧道,一个是在网关服务器与公司网的后端服务器之间的会话。在后者TCP会话中,网关服务器充当相对由被允许TCP服务器端口所定义的服务器套接字的客户机。
用户数据库可采用多种有利方式进行配置,以控制和改善在隧道连接上用户对公司网的访问。下面,描述这些可能配置中的某些配置。
最好是,用户数据库将特定用户的被允许TCP服务器端口号与公司网内特定的IP地址相联系。以此方式,可将使用相同端口协议(或使用同样的众所周知套接字,或使用与相同端口协议相关联的不同TCP端口号)的不同客户机的用户数据,转发到公司网内的不同IP地址目的地。然后,可使用这些目的地区分使用相同访问协议的不同用户的可访问服务和应用。
有利的是,用户的被允许TCP服务器端口是在用户数据库中与各个服务器侧TCP服务器端口相关联的客户机侧TCP服务器端口。这提供了将不同客户机侧TCP服务器端口与相同服务器侧TCP服务器端口相关联的可能性。由于它使得客户机能够针对相同服务器应用进程执行例如客户机应用进程的两个不同的实例,这是有利的。例如,客户机可具有与一个且相同的邮件服务器进程通信的两个不同的同时邮件客户机进程。
还有利的是,对用户数据库进行配置,以便将允许用于特定用户的不同客户机侧TCP端口与相同服务器侧TCP端口,但不同的IP地址相联系。以此方式,通过对不同连接使用不同客户机侧TCP端口,客户机能够具有对公司网中不同IP地址使用相同协议的同时连接。这使得客户机能具有与在不同IP地址上的不同邮件服务器进程进行通信的不同的同时邮件客户机进程。
有利的是,将用户数据库配置成将客户机侧TCP服务器端口与服务器侧TCP服务器端口以及公司网内公司DNS服务器的IP地址相联系。这使得有关客户机能够在隧道连接内使用公司DNS服务。
当特定用户被认证后,最好将隧道内与用户相关联的被允许TCP服务器端口的集合传送到用户。以此方式,在未使用那些被允许TCP服务器端口的信息对客户机进行预先配置的情形中,将通知用户在隧道中允许使用什么样的TCP服务器端口。此外,它使得能够改变用户数据库中的被允许TCP端口,而不必在使用隧道连接之前对客户机进行相应的重新配置。
允许客户机使用的TCP服务器端口可为众所周知的套接字端口,也可为任意端口。在使用任意TCP服务器端口的情形中,本发明的实施例使用户数据库将端口特定协议与被允许TCP服务器端口相联系,并且连同认证后的TCP端口一起,将协议传送到客户机。
下面,将结合关于本发明的多个示例性实施例的描述,更充分地理解本发明的上述以及其他特征和优点。对于本领域技术人员而言,显然应该理解,在获悉此处所给出的概括性教导以及以后的详细描述时,能够想到在本发明精神和范围内的多种修改,变型和不同特征组合。
附图说明
现在将参照附图,描述本发明的示例性实施例,其中:
图1示意性显示其中包括以及可实行本发明实施例的示例性整体***环境;以及
图2示意性显示其中包括以及可实行本发明另一实施例的示例性的相同示例性整体***环境。
具体实施方式
现在,将参照图1更详细地描述本发明。图1显示将公司网20(通常为内部网)与因特网30互连的虚拟专用网(VPN)网关服务器10。将用户的无线客户机终端40显示为经由无线网络50对因特网进行访问。
VPN网关服务器包括用户数据库15,配置为将不同用户与不同用户访问公司网20的特定规则相联系。用户数据库通过将不同用户与当通过VPN隧道连接访问公司网时允许使用的TCP服务器端口的不同集合相联系,来提供用户特定规则。
将VPN网关服务器10配置成使用一个特定TCP服务器端口以提供安全VPN隧道,通过该安全VPN隧道,用户可使用无线客户机终端40访问公司网20。当无线客户机40使用该特定端口启动客户机40与网关服务器10之间的SSL(安全套接字层)加密连接作为自己会话时,就创建了隧道。该会话终止于网关服务器。通过新的非加密的独立TCP会话,提供在网关服务器10与公司网20的后端服务器之间的其他连接。
从而,通过客户机40与网关服务器10之间的特定TCP会话,以及在网关服务器10与后端服务器(具有充当客户机的网关服务器)之间的附加TCP会话,提供用户对公司网20的后端服务器的访问。
VPN网关服务器10还包括:认证装置11,用于对连接到VPN隧道的用户进行认证;端口过滤装置12,用于对隧道中经认证用户的访问进行限制;和发送装置13,用于将被允许TCP服务器端口的集合发送到认证用户。
本领域技术人员应该理解,用户数据库15,认证装置11,端口过滤装置12和发送装置13均由本领域众知的硬件电路来实现,这些硬件电路包括存储器电路,接口电路和微处理器,对其进行配置和控制,以按照本发明进行运作。微处理器执行加载到存储器中的程序指令,该程序指令导致硬件电路得以配置,以按照本发明的各种实施例运作。学习本申请的内容后,编程领域的技术人员将理解这些进程指令的设计。
现在再次参照图1,描述示例性的实施例。在图1中,显示出在用户数据库15中的示例性配置,如图所示,其将用户X与由端口80,110和25组成的被允许TCP端口的集合相关联。本领域技术人员熟知,这些端口分别为用于HTTP(超文本传输协议),POP3(邮局协议-版本3)和SMTP(简单邮件传输协议)协议的套接字。同样,用户Y仅与被允许TCP端口110和25相关联。从而,将用户Y对公司网20的访问配置成被限制到邮件服务器访问,而用户X除邮件服务器访问外,还允许访问公司网内的Web应用。
无线客户机40包括客户机应用,其配置为访问由网关服务器所提供的VPN隧道。为访问该隧道,客户机连接到VPN网关服务器的IP地址和隧道的特定TCP服务器端口。如果该隧道的TCP服务器端口例如为端口83,则在访问VPN隧道时,客户机应用将被预配置成连接至TCP服务器端口83。
现在,将描述如图1所示实施例的操作。根据本发明,用针对使用VPN隧道的TCP服务器端口访问的用户特定规则,首先对用户数据库15进行配置。如上所述,该配置包括,将被允许TCP服务器端口的不同集合与不同用户相关联。以上描述了在该实施例中用户数据库的结果配置,此外在图1中显示出该配置。
当用户想访问公司网时,他使用无线客户机40和VPN网关服务器10的IP地址连接至VPN隧道的TCP服务器端口,即,在此情形中,为端口83。通过使用该端口在客户机40与网关服务器10之间启动SSL加密连接,创建安全VPN隧道。然后,VPN网关服务器10将基于用户在TCP/IP连接上从无线客户机40传递到隧道的TCP服务器端口83的用户识别以及口令信息,对用户进行认证。当用户得到认证时,VPN网关服务器从用户数据库15检索与特定用户相关联的被允许TCP服务器端口。然后,VPN服务器10将客户机会话号和特定被允许TCP服务器端口返回到无线客户机应用,例如,如果连接用户为上述的用户X,则所述端口为端口80,110和25。现在,在隧道中只有这些TCP服务器端口为允许的端口。
当从VPN网关服务器10接收了被允许TCP服务器端口时,无线客户机40将知道在打开的安全隧道中使用什么样的协议。(如果被允许TCP端口不是众所周知的套接字,则服务器10还将向客户机发送用于被允许TCP端口的协议)。现在,用户可以开始使用需要如下协议的应用:该协议与可结合被允许TCP端口一起使用的协议相对应。通常,客户机应用将打开客户机侧TCP端口,并在要连接至被允许服务器侧TCP端口的隧道内发送请求。例如,用户X可使用Web浏览器应用,其打开客户机侧端口1077,并请求连接至被允许服务器侧TCP端口80。客户机将关于连接的该请求路由到隧道内的套接字,即,经由所建立到服务器侧TCP端口83的连接。以此方式,将所有至不同套接字的连接的客户机请求路由到相同打开的服务器套接字连接,即,SSL加密安全隧道的TCP服务器端口83。
当在安全隧道中接收到来自无线客户机的数据时,网关服务器10将数据解密,并通过用户数据库检查用户X是否被允许使用隧道内的TCP服务器端口80。由于他被允许,则网关服务器10将充当客户机,并通过连接至托管公司网中Web应用服务器进程的后端服务器的TCP端口80,建立新的独立的TCP会话。然后,网关服务器10会在该独立的TCP会话上转发解密的用户数据。
现在,假设用户Y要运行公司Web浏览器应用。根据配置,网关服务器10将制止用户Y对公司网的这种访问。当用户Y在隧道中传送对端口80的连接请求时,解密接收数据后,网关服务器将发现不允许用户Y使用所请求的TCP服务器端口。因此,网关服务器10不会建立到后端服务器的端口80的任何TCP会话,且不会将任何数据转发到公司网。然而,如果用户Y尝试访问公司网的邮件服务器,由于它会允许由用户Y在隧道中使用所涉及的TCP服务器端口(端口25和110),网关服务器10将提供这样的访问。从而,网关服务器10限制用户Y对公司网的访问。
现在,将参照图2,描述本发明另一示例性实施例。在该实施例中,用户数据库设置为提供对公司网进行访问的附加用户特定规则。访问VPN隧道的配置与已参照图1所述的配置相符。此外,在图2中,所有与图1中元素的设计和操作相应的元素使用与图1中相同的附图标记。
在该实施例中,与用户相关联的被允许TCP服务器端口是在用户数据库25中与各个服务器侧TCP服务器端口相关联的被允许客户机侧TCP服务器端口。当接收关于在VPN隧道上至被允许客户侧TCP服务器端口的连接的请求时,网关服务器10将通过连接至相关联的服务器侧TCP服务器端口来建立新的TCP会话。然后,在安全隧道中接收并被允许客户机侧TCP服务器端口作为目的地的用户数据被转发到相关联的服务器侧TCP服务器端口。
此外,每个用户的客户机侧TCP服务器端口与IP地址相关联,使得不同用户的相同客户机侧TCP服务器端口号与不同IP地址相关联。
图2显示出涉及用户X和Y的示例性配置。再次假设,在公司网上的应用依照使用这些端口号的公共方式使用端口号,即,端口25用于SMTP协议,端口110用户POP3协议,端口80用于HTTP协议,以及端口53用于域名服务器应用。利用图2中的配置,允许用户X使用客户机侧TCP服务器端口25,26,110和112以访问具有不同IP地址的不同邮件服务器应用。
当对用户X进行认证时,VPN网关服务器在安全隧道上向用户X操作的无线终端40发送被允许客户机侧TCP服务器端口。然后,用户X知道将允许使用什么样的端口。如果端口号不是众所周知套接字,网关服务器还向用户发送端口特定协议,该协议将与特定端口一起使用。或者,用与多个端口号一起使用的那些协议,预配置无线客户机。
由图2中用户数据库25的配置可以看出,通过使用不同的客户机侧TCP服务器端口110和114以及隧道中的POP3协议,允许用户X访问两个不同的POP3服务器进程,它们驻留在公司网上的两个不同的IP地址10.114.2.1和10.114.2.2上。如图2所示,在TCP连接上,将在安全隧道中使用客户机侧TCP服务器端口110来自用户X的传输转发到IP地址10.114.2.1和服务器侧TCP端口110,而将使用客户机侧TCP服务器端口112的传输在TCP连接上转发到IP地址10.114.2.2和服务器侧TCP端口110。
另一方面,仅允许用户Y使用客户机侧TCP服务器端口25和110。从而,将用户Y到公司网的邮件服务器访问被限制到由IP地址为10.114.2.2的邮件服务器用于POP3和SMTP的服务器侧TCP服务器端口。从而,此处,两个不同用户的相同客户机侧TCP服务器端口号(即,端口号110)与相同服务器侧TCP端口号(但具有不同的IP地址)相关联。以此方式,网关服务器能够将来自使用相同通信协议的不同用户的用户数据,转发到不同IP地址目的地的服务器侧TCP端口。
此外,还允许用户X使用与公司网中Web服务器应用和域名服务器的各个服务器侧TCP端口和IP地址相关联的客户机侧TCP服务器端口80和53。用户Y不具有与用于Web服务器应用或域名服务器应用的服务器侧端口相关联的任何客户机侧端口。从而,将用户Y对公司网的访问限制到仅为邮件服务器访问。
应该注意,以上仅以示例性方式详细描述了本发明的不同实施例,因此,这些实施例并不意在限制本发明的范围,而是由所附权利要求定义本发明的范围。尤其应该理解的是,可将所述的不同实施例的特征有利地组合,以产生在所附权利要求范围之内的新实施例。
此外,可知,本领域技术人员在研究权利要求以及详细描述时,显然可以想到处于所附权利要求范围之内以及处于此处给出一般教导的精神和范围之内的其他改变和变型。
Claims (18)
1.一种虚拟专用网(VPN)网关服务器(10)的用于提供在安全隧道连接上对公司网(20)的无线访问的规则的方法,所述方法包括:
配置服务器的用户数据库(15,25),以提供在安全隧道连接上进行访问的用户特定规则,所述配置包括将不同特定用户与被允许TCP服务器端口的各个集合相关联,其中与特定用户相关联的被允许TCP服务器端口为被允许客户机侧TCP服务器端口,所述配置步骤包括配置用户数据库(25),以将被允许客户机侧TCP服务器端口与服务器侧TCP服务器端口相关联;
对连接到安全隧道连接的用户进行认证;
通过仅转发在安全隧道中接收的、以用户数据库(15,25)中与用户相关联的被允许TCP服务器端口集合所包含的端口为目的地的用户数据,限制经认证用户对公司网(20)的访问,从而将在安全隧道中接收的用户数据在单独的TCP连接上转发到与被允许客户机侧TCP服务器端口相关联的服务器侧TCP服务器端口,在该连接中,网关服务器(10)充当客户机。
2.根据权利要求1所述的方法,包括,将安全隧道配置成绑定到网关服务器(10)的特定TCP服务器端口。
3.根据权利要求1所述的方法,其中,所述配置步骤包括,配置用户数据库(15,25),以便将特定用户的被允许TCP服务器端口号与公司网内的特定IP地址相关联,所述方法包括,将安全隧道中接收的用户数据转发到与被允许TCP服务器端口相关联的IP地址。
4.根据权利要求1所述的方法,其中,所述配置步骤包括,配置用户数据库(25),以将与特定用户相关联的不同被允许客户机侧TCP服务器端口与相同服务器侧TCP端口,但不同的各IP地址相关联,所述方法包括,将安全隧道中接收的用户数据转发到与被允许客户机侧TCP服务器端口相关联的IP地址。
5.根据权利要求4所述的方法,其中,配置步骤包括,配置数据库(25),以将不同被允许客户机侧TCP服务器端口与具有各自IP地址的不同电子邮件服务器的服务器侧TCP服务器端口相关联。
6.根据权利要求1所述的方法,其中,配置步骤包括,配置数据库(25),以将被允许客户机侧TCP服务器端口与公司网内公司DNS服务器的服务器侧TCP服务器端口和IP地址相关联。
7.根据权利要求1-6中任何一项所述的方法,包括用于在安全隧道上向经认证用户发送用户数据库(15,25)中与经认证用户相关联的被允许TCP服务器端口的集合的步骤。
8.根据权利要求7所述的方法,其中,配置步骤包括配置用户数据库(15,25),以将端口特定协议与被允许TCP服务器端口相关联,将该端口特定协议与被允许TCP服务器端口一起发送到经认证用户。
9.一种虚拟专用网(VPN)网关服务器(10),用于提供在安全隧道连接上对公司网(20)的无线访问的规则,所述服务器(10)包括:
用户数据库(15,25),通过存储在不同特定用户与被允许TCP服务器端口的各个集合之间的关联,提供在安全隧道连接上的访问的用户特定规则,其中与特定用户相关联的被允许TCP服务器端口为被允许客户机侧TCP服务器端口,所述用户数据库(25)还将被允许客户机侧TCP服务器端口与服务器侧TCP服务器端口相关联;
认证装置(11),用于对连接到安全隧道连接的用户进行认证;以及
端口过滤装置(12),通过仅转发在安全隧道中接收的、以用户数据库(15,25)中与用户相关联的被允许TCP服务器端口集合所包含的端口为目的地的用户数据,限制经认证用户对公司网(20)的访问,从而将在安全隧道中接收的用户数据在单独的TCP连接上转发到与被允许客户机侧TCP服务器端口相关联的服务器侧TCP服务器端口,在该连接中,网关服务器(10)充当客户机。
10.根据权利要求9所述的网关服务器,包括,将安全隧道绑定到网关服务器(10)的特定TCP服务器端口。
11.根据权利要求9所述的网关服务器,其中,所述用户数据库(15,25)将特定用户的被允许TCP服务器端口号与公司网内的特定IP地址相关联,端口过滤装置用于将安全隧道中接收的用户数据转发到与被允许TCP服务器端口相关联的IP地址。
12.根据权利要求9所述的网关服务器,其中,所述用户数据库(25)将与特定用户相关联的不同被允许客户机侧TCP服务器端口与相同服务器侧TCP端口,但不同的各IP地址相关联,其中,端口过滤装置用于将安全隧道中接收的用户数据转发到与被允许客户机侧TCP服务器端口相关联的IP地址。
13.根据权利要求9所述的网关服务器,其中,用户数据库(25)将不同被允许客户机侧TCP服务器端口与具有各自IP地址的不同电子邮件服务器的服务器侧TCP服务器端口相关联。
14.根据权利要求9所述的网关服务器,其中,用户数据库(25)将被允许客户机侧TCP服务器端口与公司网内公司DNS服务器的服务器侧TCP服务器端口和IP地址相关联。
15.根据权利要求9中任何一项所述的网关服务器,包括发送装置,用于在安全隧道上向经认证用户发送用户数据库(15,25)中与经认证用户相关联的被允许TCP服务器端口的集合。
16.根据权利要求15所述的网关服务器,其中,用户数据库(15,25)将端口特定协议与被允许TCP服务器端口相关联,所述发送装置用于将该端口特定协议与被允许TCP服务器端口一起发送到经认证用户。
17.一种虚拟专用网VPN***,包括:
公司网(20);
根据权利要求9-16中任何一项的虚拟专用网VPN网关服务器(10),用于在安全隧道连接上提供对公司网(20)的无线访问;和
至少一个无线客户机终端(40),
其中,将客户机终端配置成,当在隧道连接上连接至VPN网关服务器(10)时,使用特定TCP服务器端口和IP地址,当访问公司网(20)时,使用隧道连接内TCP服务器端口的特定集合。
18.根据权利要求17所述的***,其中,无线客户机终端(40)用于响应发送到网关服务器(10)的认证消息,从网关服务器(10)接收所要在隧道连接内使用的TCP服务器端口。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/IB2003/003606 WO2005022838A1 (en) | 2003-08-29 | 2003-08-29 | Personal remote firewall |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1802821A CN1802821A (zh) | 2006-07-12 |
| CN100456729C true CN100456729C (zh) | 2009-01-28 |
Family
ID=34259870
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB038267780A Expired - Fee Related CN100456729C (zh) | 2003-08-29 | 2003-08-29 | 个人远程防火墙 |
Country Status (11)
| Country | Link |
|---|---|
| US (1) | US7734647B2 (zh) |
| EP (1) | EP1658700B1 (zh) |
| JP (1) | JP4237754B2 (zh) |
| CN (1) | CN100456729C (zh) |
| AT (1) | ATE399415T1 (zh) |
| AU (1) | AU2003255909A1 (zh) |
| BR (1) | BR0318455A (zh) |
| DE (1) | DE60321834D1 (zh) |
| ES (1) | ES2308048T3 (zh) |
| HK (1) | HK1093824A1 (zh) |
| WO (1) | WO2005022838A1 (zh) |
Families Citing this family (43)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2865335A1 (fr) * | 2004-01-16 | 2005-07-22 | France Telecom | Systeme de communication entre reseaux ip prives et publics |
| US8126999B2 (en) | 2004-02-06 | 2012-02-28 | Microsoft Corporation | Network DNA |
| GB2414627A (en) * | 2004-05-27 | 2005-11-30 | Hewlett Packard Development Co | Network administration |
| US20060064397A1 (en) * | 2004-09-17 | 2006-03-23 | Yohko Ohtani | Network device, service using method, service using program product, and computer-readable recording medium recorded with a service using program |
| US20060206922A1 (en) * | 2005-03-08 | 2006-09-14 | Securedatainnovations Ag | Secure Remote Access To Non-Public Private Web Servers |
| US8166538B2 (en) | 2005-07-08 | 2012-04-24 | Microsoft Corporation | Unified architecture for remote network access |
| US7590761B2 (en) * | 2005-12-06 | 2009-09-15 | Avaya Inc | Secure gateway with alarm manager and support for inbound federated identity |
| JP4545085B2 (ja) * | 2005-12-08 | 2010-09-15 | 富士通株式会社 | ファイアウォール装置 |
| US7873032B2 (en) | 2006-03-02 | 2011-01-18 | Tango Networks, Inc. | Call flow system and method use in VoIP telecommunication system |
| US7890096B2 (en) | 2006-03-02 | 2011-02-15 | Tango Networks, Inc. | System and method for enabling call originations using SMS and hotline capabilities |
| US7873001B2 (en) | 2006-03-02 | 2011-01-18 | Tango Networks, Inc. | System and method for enabling VPN-less session setup for connecting mobile data devices to an enterprise data network |
| US8023479B2 (en) * | 2006-03-02 | 2011-09-20 | Tango Networks, Inc. | Mobile application gateway for connecting devices on a cellular network with individual enterprise and data networks |
| US8175053B2 (en) | 2006-03-02 | 2012-05-08 | Tango Networks, Inc. | System and method for enabling VPN-less session setup for connecting mobile data devices to an enterprise data network |
| US11405846B2 (en) | 2006-03-02 | 2022-08-02 | Tango Networks, Inc. | Call flow system and method for use in a legacy telecommunication system |
| WO2008010857A2 (en) * | 2006-03-30 | 2008-01-24 | Seamless Skyy-Fi, Inc. | System and method for secure network browsing |
| JP4752063B2 (ja) * | 2006-04-07 | 2011-08-17 | 国立大学法人信州大学 | アクセス制限を行う公衆回線上の通信システムと端末接続装置およびサーバー接続制限装置 |
| JP4752062B2 (ja) * | 2006-04-07 | 2011-08-17 | 国立大学法人信州大学 | アクセス制限を行う公衆回線上の端末接続装置およびサーバー接続制限装置 |
| JP4752064B2 (ja) * | 2006-04-07 | 2011-08-17 | 国立大学法人信州大学 | アクセス制限を行う公衆回線上の通信システムと端末接続装置およびサーバー接続制限装置 |
| US8775602B2 (en) * | 2006-06-01 | 2014-07-08 | Avaya Inc. | Alarm-driven access control in an enterprise network |
| US8281387B2 (en) * | 2006-06-30 | 2012-10-02 | Intel Corporation | Method and apparatus for supporting a virtual private network architecture on a partitioned platform |
| US8218435B2 (en) * | 2006-09-26 | 2012-07-10 | Avaya Inc. | Resource identifier based access control in an enterprise network |
| US9231911B2 (en) * | 2006-10-16 | 2016-01-05 | Aruba Networks, Inc. | Per-user firewall |
| US20090129301A1 (en) * | 2007-11-15 | 2009-05-21 | Nokia Corporation And Recordation | Configuring a user device to remotely access a private network |
| US8060917B2 (en) * | 2008-04-16 | 2011-11-15 | International Business Machines Corporation | System and method for hosting multiple kerberos service principal names |
| US9008618B1 (en) * | 2008-06-13 | 2015-04-14 | West Corporation | MRCP gateway for mobile devices |
| US20100107240A1 (en) * | 2008-10-24 | 2010-04-29 | Microsoft Corporation | Network location determination for direct access networks |
| CN101511117B (zh) * | 2009-04-08 | 2010-11-10 | 杭州华三通信技术有限公司 | 一种二层跨网段通信的方法、***和设备 |
| CN101778045B (zh) | 2010-01-27 | 2012-07-04 | 成都市华为赛门铁克科技有限公司 | 报文传输方法、装置及网络*** |
| EP2609517B1 (en) * | 2010-08-24 | 2020-04-01 | BlackBerry Limited | Constant access gateway and de-duplicated data cache server |
| US9294308B2 (en) * | 2011-03-10 | 2016-03-22 | Mimecast North America Inc. | Enhancing communication |
| US8984617B1 (en) | 2011-08-04 | 2015-03-17 | Wyse Technology L.L.C. | Client proxy operating in conjunction with server proxy |
| US8862753B2 (en) * | 2011-11-16 | 2014-10-14 | Google Inc. | Distributing overlay network ingress information |
| CN102571817B (zh) * | 2012-02-15 | 2014-12-10 | 华为技术有限公司 | 访问应用服务器的方法及装置 |
| US10200352B2 (en) | 2013-03-15 | 2019-02-05 | Netop Solutions A/S | System and method for secure application communication between networked processors |
| KR102482114B1 (ko) | 2015-12-31 | 2022-12-29 | 삼성전자주식회사 | 보안 통신 방법, 이를 수행하는 시스템 온 칩 및 이를 포함하는 모바일 시스템 |
| US11272366B2 (en) | 2017-02-17 | 2022-03-08 | Tata Communications (Uk) Limited | System and method for accessing a privately hosted application from a device connected to a wireless network |
| CN107465752B (zh) * | 2017-08-22 | 2021-02-05 | 苏州浪潮智能科技有限公司 | 一种连接管理方法及装置 |
| US11635990B2 (en) | 2019-07-01 | 2023-04-25 | Nutanix, Inc. | Scalable centralized manager including examples of data pipeline deployment to an edge system |
| US11501881B2 (en) | 2019-07-03 | 2022-11-15 | Nutanix, Inc. | Apparatus and method for deploying a mobile device as a data source in an IoT system |
| US11652801B2 (en) * | 2019-09-24 | 2023-05-16 | Pribit Technology, Inc. | Network access control system and method therefor |
| US11726764B2 (en) | 2020-11-11 | 2023-08-15 | Nutanix, Inc. | Upgrade systems for service domains |
| US11665221B2 (en) | 2020-11-13 | 2023-05-30 | Nutanix, Inc. | Common services model for multi-cloud platform |
| US11736585B2 (en) | 2021-02-26 | 2023-08-22 | Nutanix, Inc. | Generic proxy endpoints using protocol tunnels including life cycle management and examples for distributed cloud native services and applications |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002050695A1 (en) * | 2000-12-20 | 2002-06-27 | Talk2 Technology, Inc. | Spontaneous virtual private network between portable device and enterprise network |
| US20030087629A1 (en) * | 2001-09-28 | 2003-05-08 | Bluesocket, Inc. | Method and system for managing data traffic in wireless networks |
| WO2003045034A1 (en) * | 2001-10-12 | 2003-05-30 | Mobiwave Pte, Ltd. | Security of data through wireless access points supporting roaming |
| EP1328102A1 (en) * | 2002-01-14 | 2003-07-16 | Alcatel | Method and system for managing the access to a communication network based on authentication data |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6553410B2 (en) * | 1996-02-27 | 2003-04-22 | Inpro Licensing Sarl | Tailoring data and transmission protocol for efficient interactive data transactions over wide-area networks |
| US6158008A (en) * | 1997-10-23 | 2000-12-05 | At&T Wireless Svcs. Inc. | Method and apparatus for updating address lists for a packet filter processor |
| US6396830B2 (en) * | 1998-06-18 | 2002-05-28 | Lucent Technologies Inc. | Implementing network services over the internet through dynamic resolution of personal host names |
| US6754831B2 (en) * | 1998-12-01 | 2004-06-22 | Sun Microsystems, Inc. | Authenticated firewall tunneling framework |
| JP3526435B2 (ja) | 2000-06-08 | 2004-05-17 | 株式会社東芝 | ネットワークシステム |
| US6934799B2 (en) * | 2002-01-18 | 2005-08-23 | International Business Machines Corporation | Virtualization of iSCSI storage |
| JP3782981B2 (ja) * | 2002-04-26 | 2006-06-07 | インターナショナル・ビジネス・マシーンズ・コーポレーション | セッション中継システム、クライアント端末、セッション中継方法、リモートアクセス方法、セッション中継プログラム及びクライアントプログラム |
| US7359933B1 (en) * | 2002-09-26 | 2008-04-15 | Oracle International Corporation | Providing remote access to network applications using a dual proxy |
| US7478427B2 (en) * | 2003-05-05 | 2009-01-13 | Alcatel-Lucent Usa Inc. | Method and apparatus for providing adaptive VPN to enable different security levels in virtual private networks (VPNs) |
| JP3922375B2 (ja) * | 2004-01-30 | 2007-05-30 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 異常検出システム及びその方法 |
| JP4652741B2 (ja) * | 2004-08-02 | 2011-03-16 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 異常検出装置、異常検出方法、異常検出プログラム、及び記録媒体 |
-
2003
- 2003-08-29 CN CNB038267780A patent/CN100456729C/zh not_active Expired - Fee Related
- 2003-08-29 ES ES03818400T patent/ES2308048T3/es not_active Expired - Lifetime
- 2003-08-29 WO PCT/IB2003/003606 patent/WO2005022838A1/en active IP Right Grant
- 2003-08-29 DE DE60321834T patent/DE60321834D1/de not_active Expired - Lifetime
- 2003-08-29 EP EP03818400A patent/EP1658700B1/en not_active Expired - Lifetime
- 2003-08-29 JP JP2005508382A patent/JP4237754B2/ja not_active Expired - Fee Related
- 2003-08-29 BR BRPI0318455-2A patent/BR0318455A/pt not_active IP Right Cessation
- 2003-08-29 AT AT03818400T patent/ATE399415T1/de not_active IP Right Cessation
- 2003-08-29 AU AU2003255909A patent/AU2003255909A1/en not_active Abandoned
-
2004
- 2004-08-30 US US10/931,262 patent/US7734647B2/en not_active Expired - Fee Related
-
2007
- 2007-01-04 HK HK07100097.5A patent/HK1093824A1/xx not_active IP Right Cessation
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2002050695A1 (en) * | 2000-12-20 | 2002-06-27 | Talk2 Technology, Inc. | Spontaneous virtual private network between portable device and enterprise network |
| US20030087629A1 (en) * | 2001-09-28 | 2003-05-08 | Bluesocket, Inc. | Method and system for managing data traffic in wireless networks |
| WO2003045034A1 (en) * | 2001-10-12 | 2003-05-30 | Mobiwave Pte, Ltd. | Security of data through wireless access points supporting roaming |
| EP1328102A1 (en) * | 2002-01-14 | 2003-07-16 | Alcatel | Method and system for managing the access to a communication network based on authentication data |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1802821A (zh) | 2006-07-12 |
| AU2003255909A1 (en) | 2005-03-16 |
| US20050060328A1 (en) | 2005-03-17 |
| HK1093824A1 (en) | 2007-03-09 |
| WO2005022838A1 (en) | 2005-03-10 |
| ATE399415T1 (de) | 2008-07-15 |
| JP2007516625A (ja) | 2007-06-21 |
| EP1658700B1 (en) | 2008-06-25 |
| DE60321834D1 (de) | 2008-08-07 |
| EP1658700A1 (en) | 2006-05-24 |
| US7734647B2 (en) | 2010-06-08 |
| JP4237754B2 (ja) | 2009-03-11 |
| BR0318455A (pt) | 2006-09-12 |
| ES2308048T3 (es) | 2008-12-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100456729C (zh) | 个人远程防火墙 | |
| CN102333075B (zh) | 用于移动设备的具有动态故障转移的多服务vpn网络客户端 | |
| CN102316092B (zh) | 用于移动设备的具有快速重新连接的vpn网络客户端 | |
| CN102316093B (zh) | 用于移动设备的双模式多服务vpn网络客户端 | |
| CN102333110B (zh) | 用于移动设备的具有动态翻译用户主页的vpn网络客户端 | |
| CN102316153B (zh) | 对网页邮件本地接入动态构造显示的vpn网络客户端 | |
| US7954141B2 (en) | Method and system for transparently authenticating a mobile user to access web services | |
| CN100525304C (zh) | 网络***、内部服务器、终端设备、存储介质和分组中继方法 | |
| CN100463452C (zh) | 一种vpn数据转发方法及用于数据转发的vpn设备 | |
| CN101212374A (zh) | 实现校园网资源远程访问的方法和*** | |
| CN102333306A (zh) | 用于移动设备的多服务vpn网络客户端 | |
| US20040088567A1 (en) | Portable device for securing packet traffic in a host platform | |
| CN102316094A (zh) | 用于移动设备的具有集成加速的多服务vpn网络客户端 | |
| JP2004505383A (ja) | 分散ネットワーク認証およびアクセス制御用システム | |
| AU2004306772A1 (en) | A persistent and reliable session securely traversing network components using an encapsulating protocol | |
| CN1981496A (zh) | 连接方法、通信***、装置和程序 | |
| WO2008116306A1 (en) | System and method for implementing a secured and centrally managed virtual ip network over an ip network infrastructure | |
| US20080189773A1 (en) | Securing User Logins with Wv Bindings and Transports | |
| KR20030048145A (ko) | 가상 사설망 | |
| CN114143788B (zh) | 一种基于msisdn实现5g专网认证控制的方法和*** | |
| US20040243837A1 (en) | Process and communication equipment for encrypting e-mail traffic between mail domains of the internet | |
| WO2001041392A2 (en) | Virtual private network selection | |
| US20030226037A1 (en) | Authorization negotiation in multi-domain environment | |
| RU2316126C2 (ru) | Персональный удаленный межсетевой экран | |
| JP3344421B2 (ja) | 仮想私設網 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1093824 Country of ref document: HK |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: GR Ref document number: 1093824 Country of ref document: HK |
|
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090128 Termination date: 20110829 |