專利名稱:控制從計(jì)算機(jī)終端訪問(wèn)網(wǎng)絡(luò)的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及的技術(shù)用于監(jiān)視和控制由連接到網(wǎng)絡(luò)的計(jì)算機(jī)終端 等所進(jìn)行的通信。
背景技術(shù):
近來(lái),已經(jīng)禁止了從未授權(quán)計(jì)算機(jī)訪問(wèn)公司等的內(nèi)聯(lián)網(wǎng)等,以便 防止信息泄漏和計(jì)算機(jī)病毒擴(kuò)散。此外,也限制了未安裝防毒軟件的 計(jì)算機(jī)訪問(wèn)內(nèi)聯(lián)網(wǎng)。例如,當(dāng)不具有正規(guī)授權(quán)的計(jì)算機(jī)連接到網(wǎng)絡(luò)時(shí), 從該計(jì)算機(jī)發(fā)送的所有信息包都在網(wǎng)絡(luò)中被阻塞,以防止該計(jì)算機(jī)訪
問(wèn)。另外,當(dāng)未安裝防毒軟件的計(jì)算機(jī),或者未應(yīng)用最新的病毒模式 文件的計(jì)算機(jī)連接到網(wǎng)絡(luò)時(shí),僅僅允許該計(jì)算機(jī)連接到與反病毒軟件 有關(guān)的服務(wù)器,并且僅僅允許下載病毒模式文件。在這種情況下,禁 止了該計(jì)算機(jī)訪問(wèn)該服務(wù)器以外的網(wǎng)絡(luò)資源。不僅如此,當(dāng)連接到網(wǎng) 絡(luò)的計(jì)算機(jī)未將最新的補(bǔ)丁應(yīng)用到微軟(注冊(cè)商標(biāo))公司的視窗(注
冊(cè)商標(biāo))操作系統(tǒng)(OS)時(shí),如果這種情況被檢測(cè)到,那么也禁止該
計(jì)算機(jī)訪問(wèn)網(wǎng)絡(luò)資源,除非是為了下載補(bǔ)丁。
在國(guó)際商用機(jī)器公司(注冊(cè)商標(biāo))為專利申請(qǐng)而提交的專利文獻(xiàn) l中,公開了如下的技術(shù),用于控制連接到網(wǎng)絡(luò)的計(jì)算機(jī)訪問(wèn)該網(wǎng)絡(luò)。 確切地說(shuō),從該計(jì)算機(jī)發(fā)送的信息包受到監(jiān)視,當(dāng)判定該計(jì)算機(jī)將要
進(jìn)行的通信必須受到限制時(shí),就向該計(jì)算機(jī)發(fā)送地址解析協(xié)議(ARP ) 信息(ARP請(qǐng)求或ARP應(yīng)答),以便使該計(jì)算機(jī)重寫其自己的ARP 表,并且來(lái)自該計(jì)算機(jī)的信息包也被定向至由ARP信息所指示的地 址。結(jié)果,禁止了該計(jì)算機(jī)對(duì)網(wǎng)絡(luò)的訪問(wèn)。另外,通過(guò)選擇性地允許 該計(jì)算機(jī)的信息包經(jīng)過(guò)網(wǎng)絡(luò),在這種技術(shù)中限制了對(duì)網(wǎng)絡(luò)的訪問(wèn)。
不過(guò),當(dāng)病毒模式文件的容量增大時(shí),或者從利用ARP信息限
制訪問(wèn)網(wǎng)絡(luò)的計(jì)算機(jī)所發(fā)送的視窗OS補(bǔ)丁的下栽數(shù)據(jù)量增大時(shí),從
連接到網(wǎng)絡(luò)的其他計(jì)算機(jī)監(jiān)視信息包就變得困難。然而,在對(duì)計(jì)算機(jī)
訪問(wèn)網(wǎng)絡(luò)強(qiáng)加了限制時(shí),同樣在為了獲取病毒模式文件和/或視窗OS
的補(bǔ)丁文件而由計(jì)算機(jī)下載的數(shù)據(jù)量增大時(shí),從連接到網(wǎng)絡(luò)的其他計(jì) 算機(jī)監(jiān)視信息包會(huì)變得困難。確切地說(shuō),為了檢測(cè)未授權(quán)的計(jì)算機(jī),
必須捕獲該計(jì)算機(jī)發(fā)送的信息包(尤其是ARP請(qǐng)求)。不過(guò),隨著下 栽數(shù)據(jù)量的增加,捕獲信息包時(shí)出現(xiàn)錯(cuò)誤的概率變得更高。不僅如此, 控制這種目的連接以外的其他連接的數(shù)據(jù)發(fā)送等也變得困難。下載數(shù) 據(jù)量的增加更可能造成在捕獲信息包時(shí)的錯(cuò)誤,并且也使為了控制這 臺(tái)計(jì)算機(jī)以外的其他計(jì)算機(jī)的連接而發(fā)送數(shù)據(jù)等工作難以進(jìn)行。所以, 令人擔(dān)憂的是由連接到網(wǎng)絡(luò)的計(jì)算機(jī)終端所進(jìn)行通信的管理和控制可 能出現(xiàn)功能故障。不僅如此,隨著吉比特以太網(wǎng)支持已經(jīng)變?yōu)榭蛻粲?jì) 算機(jī)上的標(biāo)準(zhǔn)特征,然后預(yù)期網(wǎng)絡(luò)帶寬增加,這種功能故障預(yù)料會(huì)變 得更為顯著。
[專利文獻(xiàn)1已
公開日本專利申請(qǐng),公開號(hào)2006-74705
發(fā)明內(nèi)容
[本發(fā)明要解決的問(wèn)題
本發(fā)明提供了 一個(gè)系統(tǒng),無(wú)論其訪問(wèn)網(wǎng)絡(luò)受到限制的計(jì)算機(jī)所下 載的數(shù)據(jù)如何增加,該系統(tǒng)均維持網(wǎng)絡(luò)監(jiān)視和控制的功能。 I解決問(wèn)題的手段
為了解決上述問(wèn)題,在本發(fā)明中提議了一種控制從計(jì)算機(jī)終端訪 問(wèn)網(wǎng)絡(luò)的系統(tǒng)。所述系統(tǒng)包括第一接口,包括向網(wǎng)絡(luò)發(fā)送數(shù)據(jù)和從 網(wǎng)絡(luò)接收數(shù)據(jù)的功能;第二接口,包括向網(wǎng)絡(luò)發(fā)送數(shù)據(jù)和從網(wǎng)絡(luò)接收 數(shù)據(jù)的功能;判斷裝置,判斷由所述第一接口收到的網(wǎng)絡(luò)數(shù)據(jù)是否來(lái) 自第一終端設(shè)備;第一創(chuàng)建裝置,響應(yīng)由所述判斷裝置做出的所述網(wǎng) 絡(luò)數(shù)據(jù)是從所述笫一終端設(shè)備所發(fā)送的判斷結(jié)果,創(chuàng)建使所述第一終 端設(shè)備的表中的所述網(wǎng)絡(luò)數(shù)據(jù)的發(fā)送目的地地址改變?yōu)樗龅诙涌?的地址的信息;第一發(fā)送裝置,發(fā)送使發(fā)送目的地地址改變?yōu)樗龅?br>
二接口的地址的信息;以及限制裝置,將通過(guò)所述第二接口的網(wǎng)絡(luò)數(shù) 據(jù)帶寬限制為預(yù)定值。根據(jù)所述系統(tǒng),網(wǎng)絡(luò)由第一接口監(jiān)視,而下栽 安全補(bǔ)丁的帶寬由第二接口控制。以這種方式,不損害從PC終端訪 問(wèn)網(wǎng)絡(luò)的控制功能,
圖l顯示了涉及網(wǎng)絡(luò)保證系統(tǒng)的硬件配置概要;
圖2顯示了網(wǎng)絡(luò)環(huán)境的實(shí)例,其中網(wǎng)絡(luò)保證系統(tǒng)控制著以未授權(quán) 的方式連接的終端設(shè)備等的網(wǎng)絡(luò)連接;
圖3例示了網(wǎng)絡(luò)保證系統(tǒng)功能配置的概要;
圖4是示范流程圖,其中網(wǎng)絡(luò)保證系統(tǒng)處理以未授權(quán)方式連接的 PC終端或者違反安全設(shè)置的PC終端的信息包;
圖5例示了在網(wǎng)絡(luò)中服務(wù)器或PC終端中包括的ARP表;
圖6A和圖6B是帶寬控制的示范流程圖7A到圖7C例示了網(wǎng)絡(luò)保證系統(tǒng)與為了管理的電路等的連接
模式;
圖8例示了網(wǎng)絡(luò)保證系統(tǒng)和具有不同連接模式的網(wǎng)絡(luò)。
具體實(shí)施例方式
圖i例示了涉及網(wǎng)絡(luò)保證系統(tǒng)的硬件配置ioo的概要,該系統(tǒng)控 制著以未授權(quán)方式連接的終端設(shè)備的網(wǎng)絡(luò)連接。這種控制通過(guò)檢測(cè)和
監(jiān)視終端設(shè)備執(zhí)行,比如以未授權(quán)方式連接到網(wǎng)絡(luò)的計(jì)算機(jī)。CPU 101 (中央處理單元)在多種操作系統(tǒng)控制下執(zhí)行多種程序。CPU 101通 過(guò)總線102與存儲(chǔ)器103、磁盤104、顯示適配器105和用戶接口互連。 磁盤104包括軟件——使計(jì)算機(jī)工作所需要的操作系統(tǒng)和執(zhí)行本 發(fā)明所用的程序等。這些程序被讀入存儲(chǔ)器,并在需要時(shí)由CPU執(zhí)行。 在磁盤104中存儲(chǔ)著數(shù)據(jù)比如通過(guò)監(jiān)視而捕獲的網(wǎng)絡(luò)數(shù)據(jù)(包),以 及已經(jīng)收到了正規(guī)授權(quán)的計(jì)算機(jī)終端等的網(wǎng)絡(luò)地址等。應(yīng)當(dāng)指出,可 以用閃存等替換磁盤104,并且對(duì)于本領(lǐng)域技術(shù)人員來(lái)說(shuō),顯然任何
可記錄介質(zhì)都將足以作為磁盤104,并且磁盤104不限于硬盤。
本發(fā)明的系統(tǒng)通過(guò)顯示適配器105連接到顯示設(shè)備107;通過(guò)用 戶接口 106連接到鍵盤108和鼠標(biāo)109;以及通過(guò)網(wǎng)絡(luò)接口 110和111 連接到網(wǎng)絡(luò)。這種系統(tǒng)用鍵盤108和鼠標(biāo)109進(jìn)行操作,并且在顯示 設(shè)備107上顯示處理的中間狀態(tài)和結(jié)果。網(wǎng)卡等連接到第一接口 110 和第二接口 iii。網(wǎng)絡(luò)數(shù)據(jù)基本上通過(guò)第一網(wǎng)絡(luò)接口 IIO獲取和發(fā)送。
帶寬由第二網(wǎng)絡(luò)接口 111限制。交換集線器等被連接到第一接口 110 和第二接口 iii。
在某些情況下,本發(fā)明可以通過(guò)網(wǎng)絡(luò)在分布式環(huán)境中實(shí)施。注意, 這種硬件配置IOO僅僅是計(jì)算機(jī)系統(tǒng)、總線布局和網(wǎng)絡(luò)連接的一個(gè)實(shí) 施例的示范。本發(fā)明的特點(diǎn)能夠以多種系統(tǒng)配置的任何一種實(shí)現(xiàn),以 提供多個(gè)相同配置部件的形式或以進(jìn)一步在網(wǎng)絡(luò)上分布的形式。
圖2是網(wǎng)絡(luò)環(huán)境的實(shí)例,網(wǎng)絡(luò)保證系統(tǒng)在此運(yùn)行,以控制以未授 權(quán)方式等連接的終端設(shè)備的網(wǎng)絡(luò)連接。網(wǎng)絡(luò)保證系統(tǒng)201通過(guò)第一網(wǎng) 絡(luò)接口 211和第二網(wǎng)絡(luò)接口 212連接到交換集線器202。在交換集線 器202的上層中存在著路由器203。網(wǎng)絡(luò)保證系統(tǒng)201存在于每個(gè)網(wǎng) 段中。這樣做的目的是為了控制廣播數(shù)據(jù)的數(shù)據(jù)目的地。例如,以上 述方法以外的方法能夠控制數(shù)據(jù)目的地時(shí),它不限于這種連接配置。 服務(wù)器A204和B205以及PC A206、 B207和C208連接到這個(gè)網(wǎng)段。 假設(shè)服務(wù)器A204是用于一般操作的服務(wù)器,而服務(wù)器B205是將下載 安全補(bǔ)丁的服務(wù)器。
這里做出假設(shè),已確認(rèn)PC-206A是終端設(shè)備,它的安全設(shè)置沒(méi) 有任何問(wèn)題,它已經(jīng)收到了正規(guī)的連接授權(quán),并且配備了反病毒軟件 等。PC-A206可以連接到網(wǎng)絡(luò)中的服務(wù)器A204以及服務(wù)器B205。相 反,當(dāng)判定PC-B207是以未授權(quán)方式連接的PC終端、沒(méi)有收到正規(guī) 授權(quán)時(shí),網(wǎng)絡(luò)保證系統(tǒng)201將來(lái)自PC-B207的數(shù)據(jù)或來(lái)自另一個(gè)網(wǎng)絡(luò) 設(shè)備的數(shù)據(jù)定向到流入網(wǎng)絡(luò)保證系統(tǒng)201。因此,該數(shù)據(jù)受到阻塞, 使其不被發(fā)送到另一個(gè)服務(wù)器或終端設(shè)備。通常,這種數(shù)據(jù)的阻塞由 第二網(wǎng)絡(luò)接口 211執(zhí)行。另外,當(dāng)PC-C208已經(jīng)收到了正規(guī)授權(quán)而沒(méi)
有足夠的安全設(shè)置時(shí),那么就判定PC-C208為違反安全設(shè)置的PC終 端,例如在反病毒軟件的模式文件未被更新到最新的模式文件的情況 下。在這種情況下,網(wǎng)絡(luò)保證系統(tǒng)201控制著PC-C208,使PC-C208 只能連接到提供安全補(bǔ)丁或模式文件的服務(wù)器B205。通過(guò)將要發(fā)送的 數(shù)據(jù)定向到經(jīng)過(guò)第二網(wǎng)絡(luò)接口 212而控制了 PC-C208與下載安全補(bǔ)丁 服務(wù)器之間的數(shù)據(jù)。
圖3例示了網(wǎng)絡(luò)保證系統(tǒng)301功能配置的概要。網(wǎng)絡(luò)保證系統(tǒng)301 通過(guò)接口 311和321連接到交換集線器303。
例如,信息包發(fā)送和接收單元312通過(guò)接口 311和321捕獲然后 發(fā)送信息包數(shù)據(jù)。信息包發(fā)送和接收單元312可以是操作系統(tǒng)(OS) 網(wǎng)絡(luò)堆棧的功能。信息包判斷單元313通過(guò)判斷PC終端的安全設(shè)置 是否足夠,或者是否未授權(quán)的計(jì)算機(jī)終端連接到該網(wǎng)絡(luò)而監(jiān)視該網(wǎng)絡(luò)。 這種判斷是基于信息包發(fā)送和接收單元312所捕獲的信息包數(shù)據(jù)。進(jìn) 行這種監(jiān)視是通過(guò)檢測(cè)以未授權(quán)方式連接的PC終端利用廣播發(fā)送的 ARP信息包、來(lái)自未授權(quán)方式連接的PC的非ARP信息包或者來(lái)自 違反安全設(shè)置的PC終端的信息包,從而做出了監(jiān)視網(wǎng)絡(luò)的判斷。
當(dāng)信息包數(shù)據(jù)定向單元314檢測(cè)出來(lái)自違反安全設(shè)置的PC終端 (第一終端設(shè)備)或者以未授權(quán)方式連接的PC終端(第二終端設(shè)備) 的ARP信息包時(shí),數(shù)據(jù)定向單元314創(chuàng)建包括偽造連接目的地的ARP 信息,以重新定向信息包數(shù)據(jù)。以未授權(quán)方式連接的PC終端或者違 反安全設(shè)置的PC終端都以這種方式,不連接到另一個(gè)服務(wù)器或PC 終端。這種偽造的ARP信息由信息包發(fā)送和接收單元發(fā)送。應(yīng)當(dāng)指出, 當(dāng)使用這種包括鏡像功能的中繼器HUB或高功能的HUB時(shí),除了能 夠捕獲ARP信息包,也有可能捕獲所有的信息包。因此,有可能從非 ARP信息包中檢測(cè)出以未授權(quán)方式連接的PC終端或者違反安全設(shè)置 的PC終端。
關(guān)于偽造的ARP信息,例如,每個(gè)服務(wù)器或每臺(tái)PC終端的因 特網(wǎng)協(xié)議(IP)地址對(duì)應(yīng)的媒介訪問(wèn)控制地址(MAC地址)被偽造 為第一網(wǎng)絡(luò)接口 311和或第二網(wǎng)絡(luò)接口 321的MAC地址.另外,優(yōu)
選情況下,通過(guò)發(fā)送偽造的ARP信息,以便將連接目的地的服務(wù)器或 PC終端的ARP表中的以未授權(quán)方式連接的PC終端或者違反安全設(shè) 置的PC終端的MAC地址設(shè)置為網(wǎng)絡(luò)保證系統(tǒng)的MAC地址,防止了 連接目的地的服務(wù)器或PC終端與以未授權(quán)方式連接的PC終端或者 違反安全設(shè)置的PC終端直接通信。附帶提一句,在信息包數(shù)據(jù)涉及以未授權(quán)方式連接的PC終端的 情況下,該信息包數(shù)據(jù)被定向到第一網(wǎng)絡(luò)接口 311。此外,在信息包 數(shù)據(jù)涉及違反安全設(shè)置的PC終端的情況下,優(yōu)選情況下,涉及與服 務(wù)器B205通信的信息包數(shù)據(jù)被定向到第二網(wǎng)絡(luò)接口 321,而其他信息 包數(shù)據(jù)被定向到第一網(wǎng)絡(luò)接口 311。使用分開接口作為信息包數(shù)據(jù)定 向目的地的理由是為了確保檢測(cè)出來(lái)自以未授權(quán)方式連接的PC終端 的信息包數(shù)據(jù),然后在違反安全設(shè)置的PC終端通過(guò)第二接口 321下 載安全補(bǔ)丁時(shí)阻塞該信息包數(shù)據(jù)。不過(guò),當(dāng)不必檢測(cè)并阻塞來(lái)自以未 授權(quán)方式連接的PC終端的全部信息包時(shí),該信息包數(shù)據(jù)可以被定向 到第二網(wǎng)絡(luò)接口 321。此外,偽造的ARP信息被發(fā)送到變?yōu)橐晕词跈?quán) 方式連接的PC終端或違反安全設(shè)置的PC終端的通信對(duì)方的服務(wù)器 或PC終端。如果檢測(cè)的信息包是來(lái)自以未授權(quán)方式連接的PC終端的非ARP 信息包,或者目的地不是下載安全補(bǔ)丁的服務(wù)器的信息包,該信息包 從違反安全設(shè)置的PC發(fā)送,信息包數(shù)據(jù)訪問(wèn)控制器315通過(guò)丟棄信 息包數(shù)據(jù)而阻塞到網(wǎng)絡(luò)的連接。應(yīng)當(dāng)指出,如果檢測(cè)的信息包為目的 地不是下載安全補(bǔ)丁的服務(wù)器的信息包,該信息包從違反安全設(shè)置的 PC終端發(fā)送,數(shù)據(jù)訪問(wèn)控制器315就將該信息包數(shù)據(jù)重新定向至網(wǎng) 絡(luò)服務(wù)器等,以顯示表明安全設(shè)置不足的警告。信息包發(fā)送和接收單元322通過(guò)第二網(wǎng)絡(luò)接口 321捕獲或發(fā)送信 息包數(shù)據(jù)。信息包發(fā)送和接收單元322包括類似于信息包發(fā)送和接收 單元312的若干功能。當(dāng)違反安全設(shè)置的PC終端為了下載安全補(bǔ)丁而連接到網(wǎng)絡(luò)中的 服務(wù)器或PC終端時(shí),信息包數(shù)據(jù)訪問(wèn)控制器323限制對(duì)網(wǎng)絡(luò)中服務(wù)
器或PC終端的訪問(wèn)。換句話說(shuō),當(dāng)違反安全設(shè)置的PC終端不是為 了修改違反安全的設(shè)置而連接到網(wǎng)絡(luò)中的服務(wù)器或PC終端時(shí),信息 包數(shù)據(jù)訪問(wèn)控制器323限制對(duì)網(wǎng)絡(luò)中服務(wù)器或PC終端的訪問(wèn)。該限 制包括丟棄全部信息包數(shù)據(jù),或者將該信息包數(shù)據(jù)重新定向到網(wǎng)絡(luò)服 務(wù)器等,以顯示表明安全設(shè)置不足的警告。帶寬控制器324被配置為當(dāng)安全補(bǔ)丁被下載到違反安全設(shè)置的 PC終端,則數(shù)據(jù)的流量會(huì)增加,從而出現(xiàn)網(wǎng)絡(luò)中的帶寬被占據(jù)的擔(dān) 憂時(shí)限制帶寬。實(shí)現(xiàn)這樣的限制也可以通過(guò)重寫分發(fā)安全補(bǔ)丁的服務(wù) 器的ARP表。圖4例示了流程圖400,網(wǎng)絡(luò)保證系統(tǒng)在此處理以未授權(quán)方式連 接的PC終端的信息包,或者違反安全設(shè)置的PC終端的信息包。該 處理流程在很大程度上分在第一網(wǎng)絡(luò)接口和第二網(wǎng)絡(luò)接口中。處理流 程400以步驟401開始。在步驟402中,捕獲信息包數(shù)據(jù)。在步驟403 中,判斷所捕獲的信息包數(shù)據(jù)是不是從以未授權(quán)方式連接的PC終端 請(qǐng)求連接目的地服務(wù)器或PC終端MAC地址的ARP信息包。通常, 這樣的ARP信息包通過(guò)廣播等方式在初始連接時(shí)在網(wǎng)絡(luò)中發(fā)送。在步 驟403中,當(dāng)判定信息包是來(lái)自以未授權(quán)方式連接的PC終端的ARP 信息包時(shí)(是),該過(guò)程進(jìn)至步驟404。例如可以根據(jù)信息包數(shù)據(jù)發(fā) 送源的MAC地址做出它是不是以未授權(quán)方式連接的PC終端的判斷。在步驟404中,為了阻塞以未授權(quán)方式連接的PC終端所涉及的 通信而發(fā)送偽造的ARP信息。這種偽造的ARP信息用于重寫以未授 權(quán)方式連接的PC終端的ARP表,以及與未授權(quán)方式連接的PC終端 進(jìn)行通信的服務(wù)器或PC終端的ARP表。至于將被重寫的ARP表的 內(nèi)容,例如在以未授權(quán)方式連接的PC終端的ARP表的情況下,該表 中的MAC地址被改變?yōu)榫W(wǎng)絡(luò)保證系統(tǒng)第一網(wǎng)絡(luò)接口的MAC地址, 使以未授權(quán)方式連接的PC終端無(wú)法直接地向服務(wù)器或另一個(gè)PC終 端等發(fā)送信息包數(shù)據(jù)。在與未授權(quán)方式連接的PC終端進(jìn)行通信的服 務(wù)器或不同的PC終端的ARP表的情況下,該表中的以未授權(quán)方式連 接的PC終端的MAC地址被改變?yōu)榫W(wǎng)絡(luò)保證系統(tǒng)第一網(wǎng)絡(luò)接口的
MAC地址,以使服務(wù)器或不同的PC終端無(wú)法直接地向以未授權(quán)方式 連接的PC終端發(fā)送信息包數(shù)據(jù)。在步驟404之后,該過(guò)程返回步驟 402處理下一個(gè)信息包數(shù)據(jù)。在步驟403中,當(dāng)判定信息包不是來(lái)自未授權(quán)方式連接的PC終 端的ARP信息包時(shí)(否),該過(guò)程進(jìn)至步驟405。在步驟405中,判 斷所捕獲的信息包數(shù)據(jù)是不是來(lái)自以未授權(quán)方式連接的PC終端的一 般信息包,也就是說(shuō),所捕獲的數(shù)據(jù)是不是非ARP信息包。在步驟 405中,當(dāng)判定所捕獲的信息包是來(lái)自未授權(quán)方式連接的PC終端的 非ARP信息包時(shí)(是),丟棄該信息包數(shù)據(jù)。此后,該過(guò)程返回步驟 402處理下一個(gè)信息包數(shù)據(jù)。在步驟405中,當(dāng)判定所捕獲的信息包不是來(lái)自以未授權(quán)方式連 接的PC終端的非ARP信息包時(shí)(否),該過(guò)程進(jìn)至步驟407。在步 驟407中,判斷所捕獲的信息包數(shù)據(jù)是不是來(lái)自違反安全設(shè)置的PC 終端的報(bào)告信息包。這種報(bào)告信息包是在PC終端中存在著違反安全 設(shè)置的情況下,代理式的程序通報(bào)網(wǎng)絡(luò)保證系統(tǒng)PC終端中的違反安 全設(shè)置時(shí)所使用的信息包。也有可能使用某種配置,其中從下載安全 補(bǔ)丁對(duì)該服務(wù)器的訪問(wèn)歷史判斷PC終端是否違反安全設(shè)置,而不是 使代理在PC終端中運(yùn)行。不過(guò),為了在提高精度的同時(shí)檢查包括詳 細(xì)設(shè)置的安全設(shè)置,優(yōu)選情況下,通過(guò)利用能夠?qū)嶋H檢查PC終端中 的設(shè)置等的代理程序接收帶有報(bào)告信息包的報(bào)告。在步驟訓(xùn)7中,判 定所捕獲的信息包數(shù)據(jù)是來(lái)自違反安全設(shè)置的PC終端的報(bào)告信息包 時(shí)(是),該過(guò)程進(jìn)至步驟408。在步驟408中,為了控制違反安全設(shè)置的PC終端所涉及的通信 而發(fā)送偽造的ARP信息。這種偽造的ARP信息用于重寫與違反安全 設(shè)置的PC終端進(jìn)行通信的服務(wù)器或PC終端的ARP表。至于將被重 寫的內(nèi)容,例如在違反安全設(shè)置的PC終端的ARP表的情況下,該表 中下載安全補(bǔ)丁的服務(wù)器的MAC地址被改變?yōu)榫W(wǎng)絡(luò)保證系統(tǒng)的第二 網(wǎng)絡(luò)接口 ,而其他MAC地址被改變?yōu)榫W(wǎng)絡(luò)保證系統(tǒng)的第一網(wǎng)絡(luò)接口 , 使違反安全設(shè)置的PC終端無(wú)法直接地向服務(wù)器或其他PC終端發(fā)送
信息包數(shù)據(jù)。
在服務(wù)器用于下載安全補(bǔ)丁并與違反安全設(shè)置的PC終端進(jìn)行通 信的情況下,該ARP表中違反安全設(shè)置的PC終端的MAC地址被改 變?yōu)榫W(wǎng)絡(luò)保證系統(tǒng)的第二網(wǎng)絡(luò)接口,以使其變得易于限制下載數(shù)據(jù)的 帶寬,比如第二網(wǎng)絡(luò)接口中的安全補(bǔ)丁。不僅如此,在不同的服務(wù)器 或PC終端的情況下,該ARP表中違反安全設(shè)置的PC終端的MAC 地址被改變?yōu)榫W(wǎng)絡(luò)保證系統(tǒng)的第一網(wǎng)絡(luò)接口,以使不同的服務(wù)器或PC 終端無(wú)法直接地向違反安全設(shè)置的PC終端發(fā)送信息包數(shù)據(jù)。
在步驟408中,由于偽造了 ARP表使違反安全設(shè)置的PC終端 與下栽安全補(bǔ)丁的服務(wù)器通過(guò)第二網(wǎng)絡(luò)接口彼此進(jìn)行通信,所以重新 定向過(guò)程在第二網(wǎng)絡(luò)接口中開始。結(jié)果,該過(guò)程進(jìn)至步驟421,在與 笫一網(wǎng)絡(luò)接口并行的第二網(wǎng)絡(luò)接口中執(zhí)行重新定向過(guò)程。在步驟408 之后,該過(guò)程返回步驟402處理下一個(gè)信息包數(shù)據(jù)。
在步驟407中,判定所捕獲的信息包不是來(lái)自違反安全設(shè)置的 PC終端的報(bào)告信息包時(shí)(否),該過(guò)程進(jìn)至步驟410。在步驟410中, 違反安全設(shè)置的PC終端的信息包數(shù)據(jù)原封不動(dòng)地丟棄,或者根據(jù)需 要將該信息包數(shù)據(jù)重新定向至網(wǎng)絡(luò)服務(wù)器,以顯示表明該P(yáng)C終端違 反安全設(shè)置的警告。之后,該過(guò)程返回步驟402處理下一個(gè)信息包數(shù) 據(jù)。
第二網(wǎng)絡(luò)接口中的處理在步驟421中開始,在步驟422中,捕獲 了信息包。在步驟423中,為了重新定向到服務(wù)器或PC終端,重新 發(fā)送了該信息包。應(yīng)當(dāng)指出,從網(wǎng)絡(luò)負(fù)載的觀點(diǎn)考慮,可以根據(jù)需要 限制帶寬。第二網(wǎng)絡(luò)接口中處理流程的詳細(xì)情況將在后面介紹。
應(yīng)當(dāng)指出,盡管也收到了圖4中表達(dá)的信息包數(shù)據(jù)以外的信息包 數(shù)據(jù),但是仍然按照正常的協(xié)議規(guī)則處理所收到的信息包數(shù)據(jù)。例如, 當(dāng)遠(yuǎn)程控制網(wǎng)絡(luò)保證系統(tǒng)時(shí),在網(wǎng)絡(luò)保證系統(tǒng)中按照正常過(guò)程處理了 用于控制的信息包數(shù)據(jù)。
圖5例示了網(wǎng)絡(luò)中服務(wù)器或PC終端中包括的ARP表。注意, 由于PC終端等在ARP表中不需要具有網(wǎng)絡(luò)中全部設(shè)備所對(duì)應(yīng)的mac地址,所以對(duì)本領(lǐng)域技術(shù)人員來(lái)說(shuō)顯然圖5僅僅是本實(shí)例的一 個(gè)方面。在圖5中,假設(shè)了 pc-b是以未授權(quán)方式連接的pc終端, 而pc-c是違反安全設(shè)置的pc終端。另外,假設(shè)了服務(wù)器b是用于 下載安全補(bǔ)丁的服務(wù)器。圖5的arp表中由粗線表明的mac地址是 已經(jīng)被重寫的mac地址。確切地說(shuō),這些mac地址是使用偽造arp 信息的偽造mac地址。第一網(wǎng)絡(luò)接口的mac地址是00:00:00:01, 笫二網(wǎng)絡(luò)接口的mac地址是00:00:00:02,服務(wù)器a的mac地址是 00:00:00:03,服務(wù)器b的mac地址是00:00:00:04, pc-a的mac 地址是00:00:00:05,pc-b的mac地址是00:00:00:06, pc-c的mac 地址是00:00:00:07。例如,pc-b和pc-c的mac地址都以第一網(wǎng)絡(luò)接口的mac地 址重寫和替換。利用這種重寫過(guò)程,從服務(wù)器a向網(wǎng)絡(luò)保證系統(tǒng)的第 一網(wǎng)絡(luò)接口發(fā)送了地址指向pc-B和pc-c的信息包數(shù)據(jù)。此外,還 用第一網(wǎng)絡(luò)接口的mac地址重寫和替換了以未授權(quán)方式連接的pc 終端pc-b的arp表中包括服務(wù)器a的網(wǎng)絡(luò)中全部設(shè)備的mac地址。 因而來(lái)自pc-b的信息包數(shù)據(jù)無(wú)法直接發(fā)送到網(wǎng)絡(luò)上的全部設(shè)備。用第一網(wǎng)絡(luò)接口的mac地址重寫和替換了下栽安全補(bǔ)丁的服務(wù) 器b的arp表中pc-b的mac地址。還用第二網(wǎng)絡(luò)接口的mac地 址重寫和替換了違反安全設(shè)置的pc終端pc-c的mac地址。此夕卜, 在pc-c的arp表中,用第二網(wǎng)絡(luò)接口的mac地址重寫和替換了服 務(wù)器b的mac地址。利用這樣的重寫過(guò)程,由pc-b為下載安全補(bǔ) 丁而要執(zhí)行的通信限制到第二網(wǎng)絡(luò)接口 ,從而可以容易地限制帶寬。在路由器的arp表中,用第一網(wǎng)絡(luò)接口的mac地址重寫和替 換了以未授權(quán)方式連接的pc終端pc-b的mac地址,所以無(wú)法從路 由器向pc-b直接發(fā)送信息包數(shù)據(jù)。同樣,用第一網(wǎng)絡(luò)接口的mac 地址重寫和替換了 pc-b的arp表中路由器的mac地址,所以無(wú)法 從pc-b向路由器直接發(fā)送信息包數(shù)據(jù)。另外,用第二網(wǎng)絡(luò)接口的mac 地址重寫和替換了路由器的arp表中違反安全設(shè)置的pc終端pc-c 的mac地址。當(dāng)下栽安全補(bǔ)丁的服務(wù)器只在這個(gè)子網(wǎng)絡(luò)之外才存在
時(shí),執(zhí)行這樣的重寫過(guò)程。當(dāng)下載安全補(bǔ)丁的服務(wù)器只在子網(wǎng)絡(luò)之內(nèi)才存在時(shí),用第一網(wǎng)絡(luò)接口的MAC地址重寫和替換路由器的ARP表 中PC-C的MAC地址,以使PC-C的信息包數(shù)據(jù)無(wú)法發(fā)送到該子網(wǎng) 絡(luò)之外。
圖6例示了存在多臺(tái)下載安全補(bǔ)丁等的服務(wù)器時(shí),控制在第二網(wǎng) 絡(luò)接口處信息包數(shù)據(jù)的流量帶寬的處理流程圖。提供圖6是為了進(jìn)一 步詳細(xì)地解釋圖4中所顯示的第二網(wǎng)絡(luò)接口的處理流程。圖6A顯示 了對(duì)每個(gè)服務(wù)器的信息包進(jìn)行帶寬控制處理的實(shí)例。該過(guò)程以步驟 601開始。在步驟603中,捕獲了信息包。在步驟605中,判斷所捕 獲的信息包是不是涉及安全補(bǔ)丁的信息包。如果在步驟605中判定該 信息包是涉及服務(wù)器l的安全補(bǔ)丁信息包(是),該過(guò)程進(jìn)至步驟607, 并且將該信息包數(shù)據(jù)重新定向而不控制帶寬。注意,在例如具有高優(yōu) 先級(jí)的安全補(bǔ)丁由服務(wù)器1所分發(fā)的情況下,不執(zhí)行帶寬控制。此后, 該過(guò)程返回步驟603處理下一個(gè)信息包。
如果在步驟605中判定該信息包不是涉及服務(wù)器1的安全補(bǔ)丁信 息包(否),該過(guò)程進(jìn)至步驟609。在步驟609中,判斷所捕獲的信 息包是不是涉及服務(wù)器2安全補(bǔ)丁的信息包。如果在步驟609中判定 該信息包是涉及服務(wù)器2的安全補(bǔ)丁的信息包(是),該過(guò)程進(jìn)至步 驟611,然后重新定向該安全補(bǔ)丁的信息包數(shù)據(jù),同時(shí)以帶寬A控制 帶寬。此后,該過(guò)程返回步驟603處理下一個(gè)信息包。
如果在步驟609中判定該信息包不是涉及服務(wù)器2的安全補(bǔ)丁信 息包時(shí)(否),該過(guò)程進(jìn)至步驟613。在步驟613中,判斷所捕獲的 信息包是不是涉及服務(wù)器3安全補(bǔ)丁的信息包。
如果在步驟613中判定該信息包是涉及服務(wù)器3的安全補(bǔ)丁信息 包,該過(guò)程進(jìn)至步驟615。在步驟615中,重新定向該信息包數(shù)據(jù), 同時(shí)以帶寬B控制帶寬。此后,該過(guò)程返回步驟603處理下一個(gè)信息 包。
如果在步驟615中判定該信息包不是涉及服務(wù)器3的安全補(bǔ)丁信 息包(否),該過(guò)程進(jìn)至步驟617。在步驟617中,由于該信息包數(shù)
據(jù)不涉及安全補(bǔ)丁,可以丟棄該信息包,或者將該信息包數(shù)據(jù)重新定 向到網(wǎng)絡(luò)服務(wù)器,它根據(jù)需要發(fā)布表明該信息包是來(lái)自違反安全設(shè)置的PC終端的警告。在步驟605、 609和613的各自判斷框中,不限于對(duì)來(lái)自服務(wù)器 的信息包數(shù)據(jù)和去往服務(wù)器的信息包數(shù)據(jù)做出判斷。換句話說(shuō),不限 于在雙方向?qū)π畔鼣?shù)據(jù)做出判斷。不過(guò)優(yōu)選情況下,在雙方向?qū)π?息包數(shù)據(jù)做出判斷。這是因?yàn)榉?wù)器和違反安全設(shè)置的PC終端兩者 的ARP表都是偽造的。優(yōu)選情況下,在適宜時(shí)在信息包往返服務(wù)器的 方向執(zhí)行丟棄和重新定向信息包數(shù)據(jù)。圖6B顯示了對(duì)每個(gè)端口號(hào)進(jìn)行帶寬控制的實(shí)例。注意,由于除 了帶寬控制的過(guò)程取決于對(duì)端口號(hào)的判斷而發(fā)生變化之外,該過(guò)程與 圖6A中顯示的過(guò)程相同,所以省略了詳細(xì)說(shuō)明。不僅如此,自不待 言對(duì)于本領(lǐng)域技術(shù)人員顯然通過(guò)利用圖6A和圖6B中所顯示的這種過(guò) 程,對(duì)服務(wù)器和端口號(hào)兩者的組合可以容易地執(zhí)行帶寬控制。圖7A到圖7C例示了網(wǎng)絡(luò)保證系統(tǒng)與用于管理等的電路的連接 模式。在當(dāng)前情況下,由于通過(guò)廣播進(jìn)行的ARP信息包等發(fā)送限制在 子網(wǎng)之內(nèi),所以對(duì)每個(gè)子網(wǎng)都需要安裝網(wǎng)絡(luò)保證系統(tǒng)。在大型公司的 大規(guī)模內(nèi)聯(lián)網(wǎng)中存在許多子網(wǎng)。因此,隨著子網(wǎng)數(shù)目變大網(wǎng)絡(luò)保證系 統(tǒng)的數(shù)目也變大。在這種情況下,網(wǎng)絡(luò)保證系統(tǒng)需要受到有效管理, 而且與用于管理的電路的連接變?yōu)槿舾芍攸c(diǎn)之一。在圖7A顯示的連接模式中,網(wǎng)絡(luò)保證系統(tǒng)通過(guò)用于管理的網(wǎng)絡(luò) 接口連接到管理服務(wù)器。由于管理網(wǎng)絡(luò)與PC終端等所使用的一般網(wǎng) 絡(luò)是分開的,所以即使用于管理的數(shù)據(jù)被混合到了重新定向過(guò)程中, 在監(jiān)視信息包數(shù)據(jù)或獲得管理數(shù)據(jù)中也不會(huì)造成錯(cuò)誤。因此,在安全 方面假定問(wèn)題不大。網(wǎng)絡(luò)保證系統(tǒng)通過(guò)用于管理的網(wǎng)絡(luò)接口發(fā)送用于 管理的信息包數(shù)據(jù)。在圖7B顯示的連接模式中,網(wǎng)絡(luò)保證系統(tǒng)通過(guò)用于管理的網(wǎng)絡(luò) 接口連接到管理服務(wù)器。不過(guò)在這種管理模式中,該網(wǎng)絡(luò)自身也與PC 終端等連接到同一網(wǎng)絡(luò)。這是為了在難以提供新的網(wǎng)絡(luò)電路時(shí),確保 由用于管理的網(wǎng)絡(luò)接口發(fā)送和接收數(shù)據(jù)。因此,即使數(shù)據(jù)混入到該監(jiān) 視或重新定向的過(guò)程內(nèi),數(shù)據(jù)變得不可管理的概率也降低了。在圖7C顯示的連接模式中,第一網(wǎng)絡(luò)接口既用于管理所用的網(wǎng) 絡(luò)接口,又用于監(jiān)視該網(wǎng)絡(luò)的接口。在這種連接模式中,即使管理所 用的數(shù)據(jù)信息包混入到安全補(bǔ)丁內(nèi),丟失該信息包的概率也降低了 。正如到目前的介紹,根據(jù)本發(fā)明可以控制下栽安全補(bǔ)丁等的帶 寬,同時(shí)對(duì)用于監(jiān)視網(wǎng)絡(luò)的數(shù)據(jù)發(fā)送和接收的影響保持最小。通過(guò)將 信息包分別定向到用于監(jiān)視網(wǎng)絡(luò)的網(wǎng)絡(luò)接口和控制下載安全補(bǔ)丁等帶 寬的網(wǎng)絡(luò)接口而進(jìn)行這種控制。圖8例示了網(wǎng)絡(luò)保證系統(tǒng)和網(wǎng)絡(luò)包括不同連接模式的情況。利用 APR信息定向了以未授權(quán)方式連接的PC 807的信息包,使之流向第 三網(wǎng)絡(luò)接口 813,從而通過(guò)由第三網(wǎng)絡(luò)接口 813對(duì)以未授權(quán)方式連接 的PC 807的信息包進(jìn)行丟棄等而使該連接受到控制。不僅如此,當(dāng) 違反安全設(shè)置的終端設(shè)備808試圖連接到用于下載安全補(bǔ)丁的服務(wù)器 805以外的服務(wù)器或PC終端時(shí),優(yōu)選情況下,該信息包被定向到流 入第三網(wǎng)絡(luò)接口 813。在圖8的情況下,圖3的信息包數(shù)據(jù)訪問(wèn)控制 器315被用作第三網(wǎng)絡(luò)接口 813。通過(guò)釆用這種結(jié)構(gòu),執(zhí)行訪問(wèn)控制 的第三網(wǎng)絡(luò)接口813的信息包與捕獲信息包或發(fā)送ARP信息的第一網(wǎng) 絡(luò)接口 811的信息包或?qū)τ蛇`反安全設(shè)置的PC下栽安全補(bǔ)丁進(jìn)行控 制等的第二網(wǎng)絡(luò)接口 812的信息包被分開。因此,這些網(wǎng)絡(luò)接口的每 種功能都不那么容易受到數(shù)據(jù)相互發(fā)送和接收的影響。以上已經(jīng)通過(guò)使用這個(gè)實(shí)施例介紹了本發(fā)明。同時(shí),本發(fā)明的技 術(shù)范圍不限于在以上實(shí)施例中所介紹的范圍。對(duì)于本領(lǐng)域的技術(shù)人員, 顯然可以向以上實(shí)施例加入多種變更和改進(jìn)。從權(quán)利要求書范圍中的 描述顯而易見(jiàn),加入了這些變更或改進(jìn)的實(shí)施例也能夠被包括在本發(fā) 明的技術(shù)范圍中。
權(quán)利要求
1.一種控制從計(jì)算機(jī)終端訪問(wèn)網(wǎng)絡(luò)的系統(tǒng),所述系統(tǒng)包括第一接口,包括向所述網(wǎng)絡(luò)發(fā)送數(shù)據(jù)和從所述網(wǎng)絡(luò)接收數(shù)據(jù)的功能;第二接口,包括向所述網(wǎng)絡(luò)發(fā)送數(shù)據(jù)和從所述網(wǎng)絡(luò)接收數(shù)據(jù)的功能;判斷裝置,判斷由所述第一接口收到的網(wǎng)絡(luò)數(shù)據(jù)是否是從第一終端設(shè)備發(fā)送的;第一創(chuàng)建裝置,響應(yīng)由所述判斷裝置做出的所述網(wǎng)絡(luò)數(shù)據(jù)是從所述第一終端設(shè)備發(fā)送的判斷結(jié)果,創(chuàng)建使所述第一終端設(shè)備的表中的所述網(wǎng)絡(luò)數(shù)據(jù)的發(fā)送目的地地址改變?yōu)樗龅诙涌诘牡刂返男畔?;第一發(fā)送裝置,向所述第一終端設(shè)備發(fā)送使所述網(wǎng)絡(luò)數(shù)據(jù)的發(fā)送目的地地址改變?yōu)樗龅诙涌诘牡刂返男畔?;以及限制裝置,將通過(guò)所述第二接口的網(wǎng)絡(luò)數(shù)據(jù)帶寬限制為預(yù)定值。
2. 根據(jù)權(quán)利要求l的系統(tǒng),其中,所述第一創(chuàng)建裝置進(jìn)一步包括第二創(chuàng)建裝置,響應(yīng)由所述判斷裝 置做出的所述網(wǎng)絡(luò)數(shù)據(jù)是從第二終端設(shè)備發(fā)送的判斷結(jié)果,創(chuàng)建使所 述第二終端設(shè)備的表中的所述網(wǎng)絡(luò)數(shù)據(jù)的發(fā)送目的地地址改變?yōu)樗?第一接口的地址的信息;以及所述第一發(fā)送裝置進(jìn)一步包括第二發(fā)送裝置,向所述第二終端設(shè) 備發(fā)送使所述網(wǎng)絡(luò)數(shù)據(jù)的發(fā)送目的地地址改變?yōu)樗龅?一接口的地址 的信息;以及第一丟棄裝置,丟棄所述第二終端設(shè)備的網(wǎng)絡(luò)數(shù)據(jù),所述網(wǎng)絡(luò)數(shù) 據(jù)通過(guò)所述第一接口。
3. 根據(jù)權(quán)利要求1的系統(tǒng),進(jìn)一步包括第三接口,它發(fā)送和接 收用于管理的網(wǎng)絡(luò)數(shù)據(jù)。
4. 根據(jù)權(quán)利要求1的系統(tǒng),其中,所述限制裝置設(shè)置不同的預(yù) 定值,以限制每個(gè)服務(wù)器與所述第一終端設(shè)備進(jìn)行通信的帶寬。
5. 根據(jù)權(quán)利要求l的系統(tǒng),其中,所述第 一創(chuàng)建裝置進(jìn)一步包括第三創(chuàng)建裝置,響應(yīng)由所述判斷裝 置做出的所述網(wǎng)絡(luò)數(shù)據(jù)是從第二終端設(shè)備發(fā)送的判斷結(jié)果,創(chuàng)建使所 述第二終端設(shè)備的表中的所述網(wǎng)絡(luò)數(shù)據(jù)的發(fā)送目的地地址改變?yōu)樗龅谌涌诘牡刂返男畔ⅲ灰约八龅谝话l(fā)送裝置進(jìn)一步包括第三發(fā)送裝置,向所述第二終端設(shè) 備發(fā)送使所述網(wǎng)絡(luò)數(shù)據(jù)的發(fā)送目的地地址改變?yōu)樗龅谌涌诘牡刂?的信息;以及第二丟棄裝置,丟棄通過(guò)所述第一接口向所述第二終端設(shè)備發(fā)送 的網(wǎng)絡(luò)數(shù)據(jù)。
6. 根據(jù)權(quán)利要求l的系統(tǒng),其中, 所述第一終端設(shè)備是違反安全設(shè)置的終端設(shè)備;以及所述系統(tǒng)進(jìn)一步包括訪問(wèn)控制器,當(dāng)所述第 一終端設(shè)備為了修改 所述安全設(shè)置以外的目的而試圖連接到另 一個(gè)網(wǎng)絡(luò)設(shè)備時(shí),所述訪問(wèn) 控制器在所述第二接口中丟棄來(lái)自所述第 一終端設(shè)備的網(wǎng)絡(luò)數(shù)據(jù)。
7. 根據(jù)權(quán)利要求1到6中任何一條的系統(tǒng),其中,所述表是ARP表。
8. 根據(jù)權(quán)利要求3到6中任何一條的系統(tǒng),其中,所述第二終 端設(shè)備是以未授權(quán)方式連接的終端設(shè)備。
9. 一種控制從計(jì)算機(jī)終端訪問(wèn)網(wǎng)絡(luò)的方法,所述方法包括以下步驟由第一接口捕獲網(wǎng)絡(luò)數(shù)據(jù);判斷所述捕獲的數(shù)據(jù)是否是從第 一終端設(shè)備發(fā)送的; 響應(yīng)在所述判斷步驟中做出的所述網(wǎng)絡(luò)數(shù)據(jù)是從所述第一終端 設(shè)備發(fā)送的判斷結(jié)果,發(fā)送使所述第一終端設(shè)備的表中的網(wǎng)絡(luò)數(shù)據(jù)的 發(fā)送目的地地址改變?yōu)樗龅诙涌诘牡刂返男畔?;以?將通過(guò)所述第二接口的網(wǎng)絡(luò)數(shù)據(jù)帶寬限制為預(yù)定值。
10. 根據(jù)權(quán)利要求9的方法,進(jìn)一步包括以下步驟 響應(yīng)在所述判斷步驟中做出的所述網(wǎng)絡(luò)數(shù)據(jù)是從所述第二終端 設(shè)備發(fā)送的判斷結(jié)果,發(fā)送使所述第二終端設(shè)備的表中的網(wǎng)絡(luò)數(shù)據(jù)的發(fā)送目的地地址改變?yōu)樗龅谝唤涌诘牡刂返男畔?;以及丟棄從所述第二終端設(shè)備通過(guò)所述第 一接口發(fā)送的網(wǎng)絡(luò)數(shù)據(jù)。
11. 根據(jù)權(quán)利要求9的方法,其中,所述帶寬限制步驟使用不同 的預(yù)定值限制每個(gè)服務(wù)器與所述第 一終端設(shè)備進(jìn)行通信的帶寬。
12. 根據(jù)權(quán)利要求9的方法,進(jìn)一步包括以下步驟 響應(yīng)在所述判斷步驟中做出的所述網(wǎng)絡(luò)數(shù)據(jù)是從所述第二終端設(shè)備發(fā)送的判斷結(jié)果,發(fā)送使所述第二終端設(shè)備的表中的網(wǎng)絡(luò)數(shù)據(jù)的 發(fā)送目的地地址改變?yōu)樗龅谌涌诘牡刂返男畔?;以及丟棄通過(guò)所述第三接口向所述第二終端設(shè)備發(fā)送的網(wǎng)絡(luò)數(shù)據(jù)。
13. 根據(jù)權(quán)利要求9的方法,其中,所述第一終端設(shè)備是違反安 全設(shè)置的終端設(shè)備;以及所述方法進(jìn)一步包括以下步驟當(dāng)所述違反安全設(shè)置的終端設(shè)備 為了修改所述安全設(shè)置的目的以外的目的而試圖連接到另一個(gè)網(wǎng)絡(luò)設(shè) 備時(shí),在所述第二接口中丟棄來(lái)自違反安全設(shè)置的終端設(shè)備的網(wǎng)絡(luò)數(shù) 據(jù)。
14. 根據(jù)權(quán)利要求9到13中任何一條的方法,其中,所述表是 ARP表。
15. 根據(jù)權(quán)利要求9到13中任何一條的方法,其中,所述第二 終端設(shè)備是以未授權(quán)方式連接的終端設(shè)備。
全文摘要
公開了控制從計(jì)算機(jī)終端訪問(wèn)網(wǎng)絡(luò)的方法和系統(tǒng)。所提供的系統(tǒng)無(wú)論其訪問(wèn)網(wǎng)絡(luò)受到限制的計(jì)算機(jī)所下載的數(shù)據(jù)如何增加,均維持網(wǎng)絡(luò)監(jiān)視和控制的功能。所述系統(tǒng)包括第一接口,包括向網(wǎng)絡(luò)發(fā)送數(shù)據(jù)和從網(wǎng)絡(luò)接收數(shù)據(jù)的功能;第二接口,包括向網(wǎng)絡(luò)發(fā)送數(shù)據(jù)和從網(wǎng)絡(luò)接收數(shù)據(jù)的功能;判斷裝置,判斷從所述第一接口收到的網(wǎng)絡(luò)數(shù)據(jù)是否來(lái)自第一終端設(shè)備;第一創(chuàng)建裝置,響應(yīng)由所述判斷裝置做出的所述網(wǎng)絡(luò)數(shù)據(jù)是從所述第一終端設(shè)備發(fā)送的判斷結(jié)果,創(chuàng)建使所述第一終端設(shè)備的表中的所述網(wǎng)絡(luò)數(shù)據(jù)的發(fā)送目的地地址改變?yōu)樗龅诙涌诘牡刂返男畔?;第一發(fā)送裝置,發(fā)送使發(fā)送目的地地址改變?yōu)樗龅诙涌诘牡刂返男畔?;以及限制裝置,將通過(guò)所述第二接口的網(wǎng)絡(luò)數(shù)據(jù)帶寬限制為預(yù)定值。
文檔編號(hào)H04L9/32GK101159552SQ20071013701
公開日2008年4月9日 申請(qǐng)日期2007年7月19日 優(yōu)先權(quán)日2006年10月4日
發(fā)明者島田克彥, 杉山秀紀(jì), 森谷之信, 清水直人, 青木賢太郎 申請(qǐng)人:國(guó)際商業(yè)機(jī)器公司