Реализация и управление распределенным межсетевым экраном

УРОВЕНЬ ТЕХНИКИ

Компьютер, присоединенный к сети, уязвим для атак с других компьютеров этой сети. Если сетью является сеть Интернет, атаки могут включать в себя ряд действий: от злоумышленных попыток получить доступ к компьютеру, для установки кода «зомби», до атак с целью вызвать отказ в обслуживании. Злоумышленные попытки получить доступ к компьютеру могут иметь намерение раскрытия персональных данных, тогда как код зомби может использоваться для запуска атак с целью вызвать отказ в обслуживании подавлением веб-сайта высокими объемами потоков обмена с некоторого количества компьютеров. Атакующие могут включать в себя организованных преступников, искушенных злонамеренных компьютерных экспертов и «взломщиков-дилетантов», которые считывают и повторяют зарегистрированные нападения на известные слабые места.

Большинство компьютеров имеют адресуемые порты для отправки и приема данных. Некоторые из портов могут быть назначены на определенные виды потока обмена. Например, в сети протокола Интернет (IP), порт 80 часто назначен на поток обмена гипертекстового протокола (http), тогда как порт 443 часто назначен на поток обмена защищенного http (https). Другие порты, по необходимости, могут назначаться на другие услуги. Непредназначенный поток обмена на таких назначенных портах и любой поток обмена на неиспользуемых портах могут служить признаком попытки атакующими получить доступ к компьютеру.

Межсетевой экран может использоваться для ограничения потока обмена порта определенными протоколами и для закрытия неиспользуемых портов от всех внешних потоков обмена. Межсетевой экран может размещаться в сети между компьютерами, прибегающими к защите, и «открытых» сетях, таких как Интернет, или может быть встроенным в компьютер. В корпоративных или других больших частных сетях межсетевые экраны также могут использоваться для ограничения потока обмена между организационными единицами. Межсетевой экран может блокировать поток обмена на назначенном порте, имеющем неверный протокол, например, протокол передачи файлов (FTP) может блокироваться на порте 80. Подобным образом, межсетевой экран может блокировать все потоки обмена на неиспользуемом порте. Пригодны как аппаратные, так и программные реализации межсетевых экранов.

РАСКРЫТИЕ ИЗОБРЕТЕНИЯ

Сеть, такая как локальная сеть с многообразием электронных устройств, может иметь первую группу устройств, способную к предоставлению услуг межсетевого экрана, а также вторую группу устройств с ограниченной или отсутствующей возможностью межсетевого экрана. Посредством опубликования возможностей услуг межсетевого экрана таких устройств, имеющих такую возможность, или опубликования требований к межсетевому экрану устройств, нуждающихся в услугах межсетевого экрана, или того и другого, сеть может конфигурироваться для предоставления первой группе возможности поставлять услугу межсетевого экрана устройствам второй группы.

Для поддержки такой услуги распределенного межсетевого экрана устройству может понадобиться способность делать известной свою заинтересованность/возможность поставлять услуги межсетевого экрана. Также, другому устройству может понадобиться возможность опубликовывать свою потребность в услугах межсетевого экрана. Изменения маршрутизации сети могут понадобиться для осуществления перемаршрутизации информационного потока обмена, из условия, чтобы могли воспроизводиться услуги дальнего развертывания, и функция диспетчера может понадобиться для того, чтобы приводить в соответствие возможности с потребностями и направлять перемаршрутизацию информационного потока обмена. В дополнение, функция диспетчера может принудительно применять правила для минимальных уровней услуг межсетевого экрана для таких устройств, которые могут не опубликовывать свои потребности, или чьи опубликованные возможности не удовлетворяют другим минимальным требованиям системного уровня. Функция диспетчера может быть независимой от других устройств в сети, к примеру, в маршрутизаторе, или может быть включена в одно из устройств, поставляющих или использующих услуги межсетевого экрана.

КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ

Фиг.1 - структурная схема компьютера, пригодного для использования в сети, поддерживающей среду распределенного сетевого экрана;

Фиг.2 - структурная схема компьютерной сети, допускающей поддержку реализации распределенного сетевого экрана;

Фиг.3 - логическое представление одного из вариантов осуществления реализации распределенного сетевого экрана;

Фиг.4 - еще одно логическое представление варианта осуществления реализации распределенного сетевого экрана по Фиг. 3;

Фиг.5 - структурная схема компьютерной сети, показывающая еще один вариант осуществления реализации распределенного сетевого экрана;

Фиг.6 - логическое представление варианта осуществления по фиг.5;

Фиг.7 - представление еще одного другого варианта осуществления реализации распределенного сетевого экрана;

Фиг.8 - показательная структурная схема компьютера, допускающего участие в реализации распределенного сетевого экрана; и

Фиг.9 - показательная структурная схема еще одного компьютера, допускающего участие в реализации распределенного сетевого экрана.

ОСУЩЕСТВЛЕНИЕ ИЗОБРЕТЕНИЯ

Хотя последующий текст излагает осуществление изобретения с подробным описанием многочисленных разных вариантов осуществления, должно быть понятно, что правовой объем описания определен словами формулы изобретения, изложенной в конце этого раскрытия. Осуществление изобретения должно толковаться только как примерное и не описывает каждый возможный вариант осуществления, поскольку описание каждого возможного варианта осуществления было бы непрактичным, если не невозможным. Многочисленные альтернативные варианты осуществления могли бы быть реализованы с использованием современной технологии, либо технологии, разработанной после даты подачи этого патента, каковое по-прежнему подпадало бы под объем формулы изобретения.

Также должно быть понятно, что, если термин не определен в этом патенте явным образом с использованием предложения «В качестве используемого в материалах настоящей заявки, термин '______' определен настоящим, чтобы обозначать …», или подобного предложения, нет никакого намерения ограничивать значение этого термина, в прямой форме или косвенно, вне его плоскости или обычного значения, и такой термин не должен интерпретироваться ограниченным по объему на основании какой-нибудь формулировки, приведенной в любом разделе этого патента (иной, чем язык формулы изобретения). В пределах того, что любой термин, перечисленный в формуле изобретения в конце этого патента, указывается ссылкой в этом патенте некоторым образом, совместимым со взятым в отдельности значением, то есть приведен только ради ясности, с тем, чтобы не путать читателя, и не подразумевается, что такой термин формулы изобретения ограничивается, косвенно или иным образом, таким взятым в отдельности значением. В конечном счете, если элемент формулы изобретения не определен изложением слова «средство» и функцией без подробного изложения какой бы то ни было конструкции, не подразумевается, что объем любого элемента формулы изобретения должен толковаться на основании применения § 112 Раздела 35 Кодекса законов США шестого параграфа.

Значительная часть имеющих признаки изобретения функциональных возможностей и многие из имеющих признаки изобретения принципов наилучшим образом реализуются с помощью или в программно реализованных программах или командах и интегральных схемах (ИС, IC), таких как специализированные ИС. Ожидается, что специалист в данной области техники, несмотря на, возможно, значительное усилие и многие возможности выбора конструкций, например, мотивированные имеющимся в распоряжении временем, современной технологией и экономическими соображениями, руководствуясь концепциями и принципами, раскрытыми в материалах настоящей заявки, будет способен к быстрому формированию таких программно реализованных команд и программ, а также ИС с минимальным экспериментированием. Поэтому, в интересах краткости и минимизации какого бы то ни было риска затенения принципов и концепций в соответствии с настоящим изобретением, дополнительное описание такого программного обеспечения и ИС, если таковые имеют место, будет ограничено основными элементами по принципам и концепциям предпочтительных вариантов осуществления.

Фиг.1 иллюстрирует вычислительное устройство в виде компьютера 110, которое может участвовать в системе распределенного межсетевого экрана. Компоненты компьютера 110 могут включать в себя, но не в качестве ограничения, блок 120 обработки данных, системную память 130 и системную шину 121, которая присоединяет различные компоненты системы, в том числе системную память, к блоку 120 обработки данных. Системная шина 121 может быть любым из некоторых типов шинных структур, в том числе шиной памяти или контроллером памяти, периферийной шиной и локальной шиной, использующим любую из многообразия шинных архитектур. В качестве примера, а не ограничения, такие архитектуры включают в себя шину архитектуры промышленного стандарта (ISA), шину микроканальной архитектуры (MCA), шину расширенной ISA (EISA), локальную шину ассоциации по стандартизации в области видеотехники (VESA) и шину соединения периферийных компонентов (PCI), также известную как мезонинная (Mezzanine) шина.

Компьютер 110 типично включает в себя многообразие машиночитаемых носителей. Машиночитаемые носители могут быть любыми, имеющимися в распоряжении носителями, к которым может осуществляться доступ компьютером 110, и включают в себя как энергозависимые и энергонезависимые носители, так и съемные и несъемные носители. В качестве примера, а не ограничения, машиночитаемые носители могут содержать компьютерные запоминающие носители и среду связи. Компьютерные запоминающие носители включают в себя энергозависимые и энергонезависимые, съемные и несъемные носители, реализованные любым способом или технологией для хранения информации, такой как машиночитаемые инструкции, структуры данных, программные модули или другие данные. Компьютерные запоминающие носители включают в себя, но не в качестве ограничения, ОЗУ (оперативное запоминающее устройство, RAM), ПЗУ (постоянное запоминающее устройство, ROM), ЭСППЗУ (электрически стираемое программируемое ПЗУ, EEPROM), флэш-память или другую технологию памяти, CD-ROM (ПЗУ на компакт-диске), многофункциональные цифровые диски (DVD) или другое оптическое дисковое запоминающее устройство, магнитные кассеты, магнитную ленту, магнитное дисковое запоминающее устройство или другие магнитные запоминающие устройства, или любой другой носитель, который может использоваться для хранения требуемой информации и к которому может осуществляться доступ компьютером 110. Среда связи типично воплощает машиночитаемые инструкции, структуры данных, программные модули или другие данные в модулированном сигнале данных, таком как несущая волна или другой транспортный механизм, и включает в себя любую среду доставки информации. Термин «модулированный сигнал данных» означает сигнал, который обладает одной или более своих характеристик, установленных или изменяемых таким образом, чтобы кодировать информацию в сигнале. Для примера, а не ограничения, среда связи включает в себя проводную среду, такую как проводная сеть или непосредственное проводное соединение, и беспроводную среду, такую как акустическая среда, радиочастота, инфракрасное излучение и другая беспроводная среда. Комбинации любых из вышеприведенных также должны быть включены в объем машиночитаемых носителей.

Системная память 130 включает в себя компьютерные запоминающие носители в виде энергозависимой и/или энергонезависимой памяти, такой как постоянное запоминающее устройство 131 (ПЗУ) и оперативное запоминающее устройство 132 (ОЗУ). Базовая система 133 ввода/вывода (BIOS), содержащая базовые процедуры, которые помогают передавать информацию между элементами в пределах компьютера 110, к примеру, во время запуска, типично хранится в ПЗУ 131. ОЗУ 132 типично содержит данные и/или программные модули, которые доступны непосредственно и/или, собственно, приводятся в действие блоком 120 обработки данных. В качестве примера, а не ограничения, Фиг. 1 иллюстрирует операционную систему 134, прикладные программы 135, другие программные модули 136 и данные 137 программ.

Компьютер 110 также может включать в себя другие съемные/несъемные, энергозависимые/энергонезависимые компьютерные запоминающие носители. Только в качестве примера - фиг.1 иллюстрирует привод 140 жесткого диска, который осуществляет чтение с или запись на несъемные энергонезависимые магнитные носители, привод 151 магнитных дисков, который осуществляет чтение с или запись на съемный энергонезависимый магнитный диск 152, и привод 155 оптических дисков, который осуществляет чтение с или запись на съемный энергонезависимый оптический диск 156, такой как CD-ROM, или другие оптические носители. Другие съемные/несъемные, энергозависимые/энергонезависимые компьютерные запоминающие носители, которые могут использоваться в примерной операционной среде, включают в себя, но не в качестве ограничения, кассеты магнитной ленты, карты флэш-памяти, цифровые многофункциональные диски, магнитную ленту с цифровым видео, твердотельное ОЗУ, твердотельное ПЗУ и тому подобное. Привод 141 жестких дисков типично присоединен к системной шине 121 через интерфейс несъемной памяти, такой как интерфейс 140, а привод 151 магнитных дисков и привод 155 оптических дисков типично присоединены к системной шине 121 интерфейсом съемной памяти, таким как интерфейс 150.

Приводы и их ассоциативно связанные компьютерные запоминающие носители, обсужденные выше и проиллюстрированные на фиг.1, обеспечивают хранение машиночитаемых инструкций, структур данных, программных модулей и других данных для компьютера 110. На фиг.1, например, привод 141 жестких дисков проиллюстрирован в качестве устройства, хранящего операционную систему 144, прикладные программы 145, другие программные модули 146 и данные 147 программ. Отметим, что эти компоненты могут быть либо такими же как, либо отличными от операционной системы 134, прикладных программ 135, других программных модулей 136 и данных 137 программ. Операционная система 144, прикладные программы 145, другие программные модули 146 и данные 147 программ здесь снабжены другими номерами, чтобы проиллюстрировать, что они, как минимум, являются другими копиями. Пользователь может вводить команды и информацию в компьютер 110 через устройства ввода, такие как клавиатура 162 и координатно-указательное устройство 161, обычно указываемое ссылкой как мышь, шаровой манипулятор или сенсорная панель. Другим устройством ввода может быть камера для отправки изображений через сеть Интернет, известная как веб-камера 163. Другие устройства ввода (не показаны) могут включать в себя микрофон, джойстик, игровую панель, спутниковую антенну, сканер или тому подобное. Эти и другие устройства ввода часто присоединены к блоку 120 обработки данных через интерфейс 160 пользовательского ввода, который присоединен к системной шине, но могут присоединяться другими интерфейсными и шинными структурами, такими как параллельный порт, игровой порт или универсальная последовательная шина (USB). Монитор 191, или другой тип устройства отображения, также присоединен к системной шине 121 через интерфейс, такой как видеоинтерфейс 190. В дополнение к монитору, компьютеры также могут включать в себя другие периферийные устройства вывода, такие как громкоговорители 197 и принтер 196, которые могут быть присоединены через периферийный интерфейс 195 вывода.

Компьютер 110 может работать в сетевой среде с использованием логических соединений с одним или более удаленных компьютеров, таких как удаленный компьютер 180. Удаленный компьютер 180 может быть персональным компьютером, сервером, маршрутизатором, сетевым ПК, одноранговым устройством или другим общим сетевым узлом и типично включает в себя многие или все из элементов, описанных выше касательно компьютера 110, хотя только запоминающее устройство 181 памяти было проиллюстрировано на фиг.1. Логические соединения, изображенные на фиг.1, включают в себя локальную сеть (LAN) 171 и глобальную сеть (WAN) 173, но также могут включать в себя другие сети. Такие сетевые среды являются обычными в офисах, корпоративных компьютерных сетях, сетях интранет (локальных сетях, основанных на технологиях сети Интернет) и сети Интернет.

Когда используется в сетевой среде LAN, компьютер 110 присоединен к LAN 171 через сетевой интерфейс или адаптер 170. Сетевой интерфейс или адаптер 170 могут включать в себя возможность межсетевого экрана, как дополнительно обсуждено ниже. Когда используется в сетевой среде WAN, компьютер 110 типично включает в себя модем 172 или другое средство для установления связи через WAN 173, такую как сеть Интернет. Модем 172, который может быть внутренним и внешним, может быть присоединен к системной шине 121 через интерфейс 160 пользовательского ввода или другой подходящий механизм. В сетевой среде программные модули, изображенные относительно компьютера 110, или их части, могут храниться в удаленном запоминающем устройстве памяти. В качестве примера, а не ограничения, фиг.1 иллюстрирует удаленные прикладные программы 185 в качестве находящихся в устройстве 181 памяти. Будет принимать во внимание, что показанные сетевые соединения являются примерными и может использоваться другое средство установления линии связи между компьютерами.

Фиг.2 иллюстрирует компьютерную сеть 200, допускающую поддержку реализации распределенного сетевого экрана. Внешняя сеть 201, такая как сеть Интернет, может быть присоединена к компьютерной сети 200 сетевым интерфейсом, таким как маршрутизатор или шлюзовое устройство 202 сети Интернет (IGD). Соединение между IGD 202 и сетью 201 может указываться ссылкой как входное соединение IGD 202. На противоположной стороне IGD 202 может быть одно или более выходных соединений. Первое выходное соединение 204 может быть присоединено к принтеру 206, совместно используемому в компьютерной сети 200, хотя он также может быть сделан доступным ресурсам во внешней сети 201. Второе выходное соединение 208 сначала может быть присоединено к компьютеру 210, а впоследствии - к компьютеру 211. В этой конфигурации компьютер 210 может совместно использовать свое соединение с компьютером 211 по сетевому соединению 213 через средства обслуживания, такие как служба совместного использования сети Интернет (ICS), имеющиеся в распоряжении благодаря операционной системе Microsoft Windows™ Еще одно выходное соединение 212 из IGD 202 может присоединяться к беспроводной точке 214 доступа, поддерживающей сетевой доступ к беспроводному устройству 216, такому как интеллектуальный сотовый телефон/персональный цифровой секретарь (PDA) и дорожный компьютер 218, через беспроводный транспорт 220.

В традиционной для уровня техники реализации IGD 202 также может включать в себя межсетевой экран и выполнять такую функцию для всех устройств на выходной стороне IGD 202. Это может отражаться на всех выходных соединениях 204, 208, 212 и каждом ассоциативно связанном устройстве, имеющем идентичные настройки межсетевого экрана. Настройки в основанном на IGD межсетевом экране могут устанавливаться по умолчанию на минимальный уровень защиты или могут не учитывать разные потребности некоторых устройств относительно других, таких как принтер 206 в сравнении с беспроводным устройством 216. IGD текущего уровня техники, в дополнение к услугам межсетевого экрана, часто выполняют преобразование сетевых адресов (NAT). IGD, поддерживающие IPv6 (версию 6 межсетевого протокола), больше не предусматривают NAT и также могут минимизировать поддержку для услуг межсетевого экрана, делая распределенный подход к предоставлению услуг межсетевого экрана более привлекательным, если не неизбежным.

Услуги межсетевого экрана могут включать в себя некоторое количество функций, которые предусматривают ряд защитных возможностей. Большинство межсетевых экранов имеют возможность блокировать неиспользуемые порты, то есть отвергать любой поступающий поток обмена в порте, который в текущий момент не связан с конкретным приложением или службой. На назначенных портах межсетевой экран может ограничивать поток обмена авторизованным протоколом, таким как http (протокол передачи гипертекста) или ftp (протокол передачи файлов). Дополнительно, межсетевой экран может ограничивать выходящий поток обмена определенными портами, службами или приложениями. Например, веб-браузер может не быть способным отправлять выходящий запрос на порте, ином, чем порт 80. Любая активность с неизвестным источником может блокироваться. Например, программа шпионящего программного обеспечения, которая неизвестна межсетевому экрану, может блокироваться от отправки или приема потока обмена. Межсетевые экраны также могут проводить различие между сетями, то есть локальная сеть может иметь свой поток обмена, обрабатываемый иначе, чем из глобальной сети, такой как сеть Интернет. Межсетевой экран может действовать в качестве конечной точки для туннеля защиты, такого как виртуальная частная сеть (VPN) уровня 4. В некоторых случаях межсетевой экран может требовать туннеля защиты для некоторых соединений или приложений. Межсетевой экран может реагировать на определенные команды, чтобы блокировать или разрешать поток обмена по мере того, как приложения или службы запрашивают соединения.

Фиг.3 - логическое представление одного из вариантов осуществления реализации распределенного сетевого экрана с использованием сети 200 по фиг.2. В случае, где IGD 202 не предусматривает подходящих услуг межсетевого экрана для устройства, такого как беспроводное устройство 216, компьютер 210, а также IGD 202, могут быть сконфигурированы для предоставления более подходящей услуги межсетевого экрана. Это может достигаться логическим присоединением беспроводной точки 214 доступа по выходу от компьютера 210, из условия, чтобы поток обмена, предназначенный для беспроводного устройства 216, мог сначала маршрутизироваться через компьютер 210, выходное соединение 208 и логическое соединение 224.

Поток обмена для беспроводного устройства 216 может включать в себя пакеты передачи голоса по протоколу IP (VOIP) или сети Интернет. (Сетевые, быстро переналаживаемые интеллектуальные сотовые телефоны могут выбирать менее затратную сеть, такую как WiFi, когда она имеется в распоряжении). Компьютер 210 может предоставлять услуги межсетевого экрана, которые ограничивают поток обмена до VOIP на одном или более назначенных портов или поток обмена сети Интернет назначенным портом протокола беспроводного доступа (WAP). Компьютер 210 также может предусматривать услуги межсетевого экрана для самого себя. В таком случае он может опубликовывать, что никакие услуги не требуются, поэтому устройство или контроллер на входе не назначают ему услуги межсетевого протокола по умолчанию на другом устройстве. Логическое соединение 224 более подробно обсуждено ниже в отношении фиг. 4.

Фиг.4 - еще одно логическое представление варианта осуществления реализации распределенного сетевого экрана по Фиг. 3. В действии логическое соединение 224 может выполняться изменениями и в IGD 202, и компьютере 210. Поток обмена, прибывающий из сети 201, предназначенный для беспроводного устройства 216, сначала может маршрутизироваться на устройство 210 через логическое соединение 226 (физическое соединение 208). Поток обмена может фильтроваться в компьютере 210, переадресовываться на беспроводное устройство 216 и передаваться в IGD 202 через логическое соединение 228. В IGD 202 отфильтрованный поток обмена может перемаршрутизироваться через логическое соединение 230 на беспроводное устройство 216. IDG, поэтому, может обрабатывать пакеты, адресованные беспроводному устройству 216, по-разному, в зависимости от источника. Пакеты, адресованные беспроводному устройству 216, приходящие из сети 201, могут маршрутизироваться на компьютер 210, тогда как пакеты, адресованные беспроводному устройству 216, возникающие на компьютере 210, маршрутизируются на беспроводное устройство 216. Логическое соединение 230 может соответствовать физическому соединению 212 из IGD 202 в беспроводную точку 214 доступа и соединению 220 по эфиру с беспроводной точки доступа 214 на беспроводное устройство 214.

В одном из вариантов осуществления беспроводное устройство 216 может опубликовывать запрос на услуги межсетевого экрана. Компьютер 210 может отвечать на запрос и достигать соглашения с беспроводным устройством 216 для предоставления запрошенных услуг. IGD 202 может принимать команды либо с беспроводного устройства 216, либо компьютера 210 для перемаршрутизации потока обмена по требованию. В некоторых случаях IGD может принимать команды только с устройства, чей поток обмена перемаршрутизируется. Криптографическая аутентификация может потребоваться, чтобы IGD 202 принимал такие команды. В другом варианте осуществления компьютер 210 может опубликовывать свою способность предоставлять услуги межсетевого экрана, а беспроводное устройство 216 может отвечать запросом. В обоих вариантах осуществления опубликованные данные могут использовать протокол обнаружения одноранговой сети для обмена информацией об услугах межсетевого экрана.

В еще одном другом варианте осуществления, IGD 202, или одно из других выходных устройств, могут включать в себя диспетчер, который раскрывает требования к услуге межсетевого экрана и возможности услуги межсетевого экрана и сопоставляет устройства с использованием такой информации. Диспетчер может включать в себя правила для идентификации минимальных требований к услуге межсетевого экрана для каждого устройства, например, по типу. Диспетчер может приводить поставщиков услуг межсетевого экрана в соответствие устройствам, даже когда устройства имеют некоторую возможность межсетевого экрана, но, например, не удовлетворяют минимальному требованию к услуге межсетевого экрана.

Фиг.5 - структурная схема компьютерной сети, показывающая еще один вариант осуществления реализации распределенного сетевого экрана. В этом примерном варианте осуществления дорожный компьютер 218 предоставляет услуги межсетевого экрана принтеру 206. Принтер 206 может содержать программируемые элементы или рудиментарную возможность обработки, такую как преобразование шрифта или цвета. Принтер 206, в таком случае, может запрашивать надлежащие услуги межсетевого экрана, опубликовывая запрос для ограничения потока обмена портом 80 для печати заданий и портом 443 для обработки шрифта или запросов преобразования. Дорожный компьютер 218 может отвечать на запрос на услуги межсетевого экрана с принтера 206, а принтер 206 может их принять. После приема подтверждения от принтера 206 дорожный компьютер 218 может предписывать IGD 202 перемаршрутизировать поток обмена для принтера, как показано на фиг.6. С кратким обращением к фиг.6 поток обмена из сети 201, предназначенный для принтера 206, может сначала направляться на дорожный компьютер 218 через логическое соединение 232. Как и раньше, дорожный компьютер 218 может выполнять запрошенные услуги межсетевого экрана в интересах принтера 206 и пересылать отфильтрованный поток обмена в IGD 202 через логическое соединение 234. IGD 202 затем может маршрутизировать поток обмена на принтер 206 через логическое соединение 236.

Возвращаясь к фиг.5, в альтернативном варианте осуществления, IGD 202 может обладать возможностью межсетевого экрана. Дорожный компьютер 218 может распознавать потребность в специализированных услугах межсетевого экрана для принтера 206 и предписывать IGD 202 предоставлять необходимые услуги для принтера 206. В этом случае дорожный компьютер 218 действует в качестве управляющего устройства, но не осуществляет активное управление потоком обмена. В роли управляющего устройства дорожный компьютер 218 также может отслеживать и управлять другими аспектами деятельности межсетевого экрана. Например, дорожный компьютер 218 может быть запрограммирован элементами родительского надзора, предоставляющими настройкам межсетевого экрана возможность изменяться пользователем или по времени суток. Варианты осуществления по фиг.5 и 6 используют принтер 206 и дорожный компьютер 218 в качестве примерных сетевых элементов. Основные элементы равным образом применяются к другим устройствам, таким как компьютер 210, PDA 216, или другие устройства, не изображенные особо, такие как подключаемое к сети устройство хранения данных.

Возможны другие последовательности для обнаружения и согласования услуги межсетевого экрана ради предоставления услуг, как обсуждено выше в отношении фиг.4.

Фиг.7 - представление еще одного другого варианта осуществления реализации распределенного сетевого экрана. Показан компьютер 210, присоединенный к сети 201 через соединение 208 посредством IGD 202. Компьютер 210 также показан совместно использующим свое соединение сети Интернет с компьютером 211 через сетевое соединение 213. Как упомянуто выше, это может происходить через соединение сети Интернет с совместным использованием средства обслуживания в компьютере 210, и может вовлекать два сетевых порта, один, поддерживающий соединение 208, и другой, поддерживающий соединение 213. Компьютер 211 может опубликовывать запрос на услуги межсетевого экрана, а компьютер 210 может отвечать своей возможностью предоставлять запрошенные услуги. Два компьютера 210, 211 затем могут приходить к соглашению в показателях, ассоциативно связанных с предоставлением запрошенных услуг. Такие показатели могут включать в себя договорные или монетарные соображения, но также могут быть просто соглашением, что компьютер 210 будет предоставлять услуги межсетевого экрана, удовлетворяющие потребностям компьютера 211 или минимальному требованию сети 200. Логически, поток обмена, принимаемый на IGD 202, адресованный компьютеру 211, может транспортироваться на компьютер 210 через логическое соединение 238, фильтроваться на компьютере 210 и пересылаться через логическое соединение 240. Данные из компьютера 211 могут отправляться через логическую линию 242 связи и пересылаться через логическую линию 244 связи в IGD 202, а в конечном счете, наружу, в сеть 201.

Как показано на фиг.2, другие устройства могут существовать на выходной стороне IGD 202, включенной в сетевое соединение 208. Услуги межсетевого экрана, предоставляемые компьютером 210, могут предлагать защиту не только от потока обмена по сети 201, но также от нежелательного или неавторизованного потока обмена из этих локально присоединенных устройств.

Фиг.8 - показательная структурная схема компьютера, пригодного для участия в реализации распределенного сетевого экрана. Глобальная сеть 802 может иметь сетевое соединение 804 с маршрутизатором 806 или другое шлюзовое соединение сети Интернет. Маршрутизатор 806 может быть присоединен к компьютеру 808 через соединение 807. Компьютер 808 может иметь сетевое соединение 810, поддерживающее соединение 807 с маршрутизатором 806. Компьютер 808 также может содержать диспетчер 812 или контроллер, присоединенный к сетевому соединению 810 и к поставщику 814 услуг сетевого экрана. Диспетчер 812 может быть выполнен с возможностью отслеживания опубликованных запросов на услуги межсетевого экрана из другого устройства, такого как электронное устройство 816. Диспетчер 812 затем может конфигурировать сетевое соединение 810 для поддержки приема потока обмена, адресованного электронному устройству 816, и маршрутизировать его на устройство 814 межсетевого экрана. Когда приходит поток обмена, адресованный электронному устройству 816, он может маршрутизироваться на устройство 814 межсетевого экрана и обрабатываться согласно согласованным требованиям к услуге межсетевого экрана, имея следствием фильтрованный поток обмена. Сетевое соединение 810, в сочетании с диспетчером 812, затем может возвращать фильтрованный поток обмена из услуги 814 межсетевого экрана в маршрутизатор 806 для доставки через сетевое соединение 818 на электронное устройство 816. Компьютер 808 также обладает некоторой возможностью маршрутизации, он может отправлять отфильтрованный поток обмена непосредственно на электронное устройство 816 через соединение 820. Поток обмена, адресованный компьютеру 808, также может обрабатываться услугой 814 межсетевого экрана.

В некоторых случаях диспетчер 812 может изменять уровень предоставляемых услуг межсетевого экрана в зависимости от требований для соответствия постоянно действующим политикам или административным правилам. Во многих случаях предоставляемые услуги межсетевого экрана могут быть более ограничительными, чем запрошенные электронным устройством 816, хотя могут применяться менее ограничительные услуги межсетевого экрана. Например, менее ограничительные услуги межсетевого экрана могут быть уместными, когда диспетчер 812 осведомлен об услугах межсетевого экрана на входе (не изображены), которые снижают локальное требование.

Фиг.9 - показательная структурная схема еще одного компьютера, пригодного для участия в реализации распределенного сетевого экрана. В примерном варианте осуществления, соответствующем конфигурации сети на фиг.7, сеть 902, такая как сеть Интернет, показана присоединенной к компьютеру 906 через сетевое соединение 904. Компьютер 906 имеет в распоряжении сетевое соединение 908, диспетчер 910 или контроллер и услугу 912 межсетевого экрана, подобные описанным по фиг.8. Компьютер 906 также показан имеющим в распоряжении сетевое соединение 914, присоединенное через соединение 916 к сети 918, а впоследствии - к электронному устройству 920. Электронное устройство 920 может запрашивать услугу межсетевого экрана, может отвечать на опубликованное предложение предоставлять услугу межсетевого экрана компьютером 906 или может наделяться услугой межсетевого экрана по умолчанию, когда компьютер 906 не может определить возможность межсетевого экрана электронного устройства 920.

Поток обмена, адресованный электронному устройству 920, достигающий сетевого соединения 908, может направляться диспетчером 910 на услугу 912 межсетевого экрана, где может выполняться фильтрация в интересах устройства 920. Диспетчер 910 затем может направлять отфильтрованный поток обмена в сетевое соединение для доставки на электронное устройство 920.

Несмотря на то, что ожидается, что современные сети и устройства должны извлекать пользу из устройства и технологий, описанных выше, сети, обращенные в IPv6 с использованием шлюзовых устройств сети Интернет с меньшей себестоимостью и меньшими функциями, могут быть более выгодными. Дополнительно, использование интеллектуального диспетчера для оценки потребностей в и требований к услугам межсетевого экрана, в свете административных правил и современной сетевой архитектуры, может предоставлять возможность меньшего дублирования функциональных возможностей наряду с сохранением или превышением защиты, предусмотренной прежними архитектурами межсетевых экранов.

Хотя предшествующий текст формулирует осуществление изобретения с подробным описанием многочисленных разных вариантов осуществления изобретения, должно быть понятно, что объем изобретения определен словами формулы изобретения, изложенной в конце этого патента. Подробное описание должно истолковываться только в качестве примерного и не описывает каждый возможный вариант осуществления изобретения, так как описание каждого возможного варианта осуществления было бы непрактичным, если не невозможным. Многочисленные альтернативные варианты осуществления могли бы быть реализованы с использованием либо современной технологии, либо технологии, разработанной после даты подачи этого патента, которые по-прежнему подпадали бы под объем формулы изобретения, определяющей изобретение.

Таким образом, многие модификации и варианты могут быть произведены в технологиях и конструкциях, описанных и проиллюстрированных в материалах настоящей заявки, не выходя за рамки сущности и объема настоящего изобретения. Соответственно, должно быть понятно, что способы и устройство, описанные в материалах настоящей заявки, являются только иллюстративными, а не ограничивающими, относительно объема изобретения.

1. Способ обеспечения услуг межсетевого экрана в сети, имеющей множество устройств, содержащий:
определение возможности межсетевого экрана для первого устройства в сети;
определение требования к услуге межсетевого экрана для второго устройства в сети;
конфигурирование маршрутизатора, чтобы логически поместить второе устройство после первого устройства;
конфигурирование первого устройства для предоставления услуги межсетевого экрана для самого себя и для второго устройства согласно требованию к услуге межсетевого экрана второго устройства и возможности межсетевого экрана первого устройства;
прием трафика в маршрутизаторе по сети, предназначенного для одного из первого устройства и второго устройства;
маршрутизацию трафика, принятого в маршрутизаторе по сети и предназначенного для одного из первого устройства и второго устройства, к первому устройству;
фильтрацию трафика в первом устройстве согласно требованию к услуге межсетевого экрана первого устройства, когда трафик предназначен для первого устройства, и фильтрацию трафика в первом устройстве согласно требованию к услуге межсетевого экрана второго устройства, когда трафик предназначен для второго устройства;
переадресацию отфильтрованного трафика, предназначенного для второго устройства, к второму устройству;
передачу переадресованного трафика от первого устройства к маршрутизатору; и
перенаправление переадресованного трафика от маршрутизатора к второму устройству.

2. Способ по п.1, в котором определение возможности межсетевого экрана для первого устройства содержит отслеживание опубликованной информации, соответствующей возможности межсетевого экрана первого устройства.

3. Способ по п.1, в котором определение требования к услуге межсетевого экрана содержит отслеживание опубликованного запроса на услуги межсетевого экрана со второго устройства.

4. Способ по п.3, в котором административная настройка требует, чтобы услуга межсетевого экрана была более ограничительной, чем опубликованный запрос на услуги межсетевого экрана со второго устройства.

5. Способ по п.1, в котором определение требования к услуге межсетевого экрана содержит выбор по умолчанию услуги межсетевого экрана для второго устройства, когда никакая опубликованная информация не доступна со второго устройства.

6. Способ по п.1, в котором входное устройство устанавливает открытый доступ для своей услуги межсетевого экрана, когда выходное устройство имеет возможность межсетевого экрана, которая удовлетворяет минимальной возможности межсетевого экрана.

7. Сеть, содержащая множество устройств, приспособленных для конфигурируемой защиты межсетевым экраном, содержащая:
маршрутизатор со стороной входа и стороной выхода для направления трафика данных на устройства по сети;
первое устройство, связанное со стороной выхода маршрутизатора, причем первое устройство обладает способностью предоставлять, по меньшей мере, одну возможность межсетевого экрана; и
второе устройство, связанное со стороной выхода маршрутизатора, причем второе устройство приспособлено для опубликования запроса на услугу межсетевого экрана, при этом первое устройство предоставляет, по меньшей мере, одну возможность межсетевого экрана в ответ на запрос со второго устройства, когда, по меньшей мере, одна возможность межсетевого экрана первого устройства удовлетворяет требованию запроса на услугу межсетевого экрана; и
при этом маршрутизатор, после приема трафика от стороны входа маршрутизатора, предназначенного для одного из первого и второго устройств, перенаправляет трафик к первому устройству, первое устройство применяет, по меньшей мере, одну возможность межсетевого экрана к трафику, перенаправленному от маршрутизатора к первому устройству, чтобы обеспечить отфильтрованные данные согласно, по меньшей мере, одной возможности межсетевого экрана, и причем первое устройство переадресует отфильтрованные данные для трафика, предназначенного для второго устройства, и передает переадресованные отфильтрованные данные на маршрутизатор, и маршрутизатор перенаправляет отфильтрованные данные к второму устройству.

8. Сеть по п.7, при этом требование является неявным в запросе.

9. Сеть по п.7, в которой маршрутизатор принимает сигнал для направления входящего трафика, адресованного второму устройству, на первое устройство для удовлетворения запроса на услугу межсетевого экрана.

10. Сеть по п.7, в которой первое устройство совместно использует сетевое соединение со вторым устройством.

11. Сеть по п.7, в которой первое устройство опубликовывает способность предоставлять, по меньшей мере, одну возможность сетевого экрана.

12. Сеть по п.11, в которой второе устройство принимает с первого устройства опубликованную способность предоставлять, по меньшей мере, одну возможность межсетевого экрана и направляет запрос на услугу межсетевого экрана на первое устройство.

13. Сеть по п.7, дополнительно содержащая контроллер для отслеживания возможности межсетевого экрана и требования к услуге межсетевого экрана для каждого из множества устройств, приспособленных для конфигурируемой защиты межсетевым экраном.

14. Сеть по п.13, в которой контроллер включен в состав одного из первого устройства и маршрутизатора.

15. Сеть по п.13, в которой контроллер имеет функцию связи для опубликования требования к услуге межсетевого экрана в отношении каждого из множества устройств.

16. Сеть по п.15, в которой первое устройство предоставляет, по меньшей мере, одну возможность межсетевого экрана, чтобы она была более ограничительной, чем запрос на услугу межсетевого экрана со второго устройства, когда опубликованное требование к услуге межсетевого экрана является более ограничительным, чем запрос на услугу межсетевого экрана со второго устройства.

17. Сеть по п.13, в которой контроллер назначает по умолчанию услугу межсетевого экрана для третьего устройства, которое не опубликовывает запрос на услугу межсетевого экрана.

18. Компьютер, выполненный с возможностью и приспособленный для предоставления услуг межсетевого экрана другому электронному устройству, содержащий:
сетевое соединение, поддерживающее двунаправленный трафик данных с сетью на входе;
диспетчер, связанный с сетевым соединением, выполненный с возможностью отслеживать опубликованные запросы на услуги межсетевого экрана с другого электронного устройства, и, в ответ на запрос конфигурировать сетевое соединение для размещения другого электронного устройства логически по выходу от компьютера и определять уровень услуги межсетевого экрана для предоставления другому электронному устройству; и
поставщик услуг межсетевого экрана, связанный с диспетчером и сетевым соединением, при этом поставщик услуг межсетевого экрана поддерживает услугу межсетевого экрана для себя самого и предоставляет услугу межсетевого экрана для трафика данных, адресованного другому электронному устройству, согласно уровню, определенному диспетчером; и
второе сетевое соединение, при этом трафик данных в сетевом соединении, адресованный другому электронному устройству, фильтруется согласно уровню услуги межсетевого экрана и
маршрутизируется к другому устройству через второе сетевое соединение.