本发明涉及共同未决的,共同转让申请,名称为“Web-BasedAdministration of IP Filtering on因特网Firewalls”,T.Shrader,序列号773543,于96年12.23日递交,在本申请中被作为参考文献。
本发明可以在许多计算机或计算机组的大量不同操作系统下运行。例如,计算机可以是个人机、小型机、大型计算机或在其它计算机的分布式网络中运行的计算机。尽管计算机的选择受处理器速度和磁盘存储需求的限制,但IBM PC系列的计算机仍可用于本发明。IBM个人机可以运行的一个操作系统是IBM的OS/2 Warp4.0。此外,计算机系统也可以是运行在AIX(TM)上的IBM RISC Sytem/6000(TM)计算机系列。
在图1中,用框图形式描述了一台计算机,它包含系统单元11、键盘12、鼠标13和显示器14。系统单元11包括联接不同部分的一条系统总线或多个系统总线21,通过它们可以完成不同部分之间的通信。微处理器22联接在系统总线21上并由同样联接在系统总线21上的只读存储器(ROM)23和随机存取存储器(RAM)24支持。IBM PC计算机系列的微处理器是包括386、486或Pentium微处理器在内的Intel微处理器家族之一。但是并不限于此,其它微处理器有包括诸如68000、68020或68030微处理器在内的Motorola微处理器家族以及由IBM生产的PowerPC芯片的不同精简指令系统计算机(RISC)微处理器。由HewlettPackard、Sun、Motorola和其它厂家生产的RISC芯片也可以在专用计算机中使用。
ROM 23含有控制交互作用和磁盘驱动器以及键盘等基本硬件操作的基本输入输出系统(BIOS)的其它代码。RAM 24是装有操作系统和应用程序的主存储器。存储器管理芯片25联接在系统总线21上并控制包括在RAM 24和硬盘驱动器26及软盘驱动器27之间传递数据等在内的直接存储器访问操作。同样联接在系统总线21上的CD ROM 32用来存储大量数据,例如多媒体程序或其表示。
同样联接在这条系统总线21上的还有不同的I/O控制器:键盘控制器28、鼠标控制器29、视频控制器30以及音频控制器31。正如可以想象的,键盘控制器28提供键盘12的硬件接口,鼠标控制器29提供鼠标13的硬件接口,视频控制器30是显示器14的硬件接口,而音频控制器31是扬声器15的硬件接口。诸如令牌环适配器等I/O控制器40使得一个网络46和其它同样配置的数据处理系统之间可以进行通信。
本发明最佳的实现之一是作为按照以上所述一般配置的一个或多个计算机系统的随机存取存储器24中所装的指令集50-58。在计算机系统需要之前,指令集可以一直存储在另一计算机的可读存储器中,例如放在硬盘驱动器26中,或放在诸如最终在CD-ROM 32中使用的光盘或最终在软盘驱动器27中使用的软盘等可移动存储器中。此外,指令集可以存储在另一台计算机的存储器中并且可以在用户需要的时候通过局域网或诸如因特网等广域网进行传递。熟练的技术人员将会理解指令集的物理存储物理地改变了电子存储、磁存储或化学存储的媒体,从而使得媒体携带有计算机可读信息。尽管用指令、符号、字符之类的术语来描述本发明很方便,但读者们应该记住这些术语以及类似的术语应该与合适的物理因素联系起来。
另外,本发明经常按照比较或确认或者其它可以与真人操作者相联系的术语来描述。在此所述的组成本发明一部分的任何操作都不需要真人操作者的任何动作;这些操作是机器操作,它们处理电子信号并生成其它的电子信号。
因特网防火墙产品,例如IBM的Secure Way Firewall(SWF),允许管理员在一内部、安全网络和外部、因特网不安全网络之间创建一物理防火墙。除防火墙机器上的物理联接之外,此防火墙产品还提供大量的功能来帮助系统管理员控制进出安全网络的信息流。这些功能包括远程通信和FTP服务、SOCKS服务、具体域名服务、穿过安全网络之间的互联网的IP通道(tunneling)以及确定哪些IP信息包应该被允许或拒绝进出安全网络的过滤器规则的实现。
这种过滤器规则之一可以防止IP电子欺骗,即防止攻击者改变IP信息包来使得显示来源的IP地址与攻击者的工作站地址不一致。管理员可以设置一IP过滤器规则来拒绝那些具有安全网络内部的源IP地址但却来自外部非安全网络的IP信息包。
图2描述了一个使用双宿主主机配置的示例防火墙配置。在此,只有壁垒机器110包含在防火墙中,而通过这台机器,所有的IP信息包可以从非安全网络110发送到安全网络120,反之亦可。防火墙机器100安装有一个筛选过滤器或IP过滤器并带有防火墙上被允许或禁止的应用网关的防火墙替换物。
图3描述了一个备用配置,它把壁垒机器130放在另一台含有筛选过滤器的防火墙机器140的后面。由于IP信息包在被壁垒机器上的应用网关处理之前必须首先被允许通过防火墙,所以这种配置提供了更多的防火墙保护。非安全网络和安全网络分别在150和160进行描述。
IP通道是互联网防火墙的特征,是本发明的主题。管理员可以在IP信息包应该流过的两个互联网防火墙之间定义一个通道。根据管理员对IP通道的定义,此通道可以在源和目标地址之间施加鉴权以及对流过防火墙之间的互联网的IP信息包进行加密。
对IP通道的充分描述由虚拟私人网络(VPN)上的互联网工程师任务组织(IETF)说明书提供。
因为技术已广为人知,所以防火墙进行IP通道创建和过滤的处理在以下的详细讨论中没有涉及。此外,它们根据特别的防火墙技术以及硬件依赖也会有所不同。以下讨论的基于网的接口将只通过API或其它软件接口调用防火墙来执行响应用户输入所需的功能。而这是不实际的,因为防火墙的功能在构成接口的网页上有重复。
与现有技术中一般必须位于防火墙计算机本身的接口相比,本发明的基于网的接口可以位于网络上任何的计算机上,只要满足管理员系统和防火墙系统之间可以提供合适的安全即可。尽管接口可以在防火墙或安全网络中其它系统上,但也有可能防火墙的管理可以发生在安全网络外边某一个可信地址上。但是由于安全原因,这并非一种最佳装置。然而,此接口是可移动的而且允许管理员拥有目前技术并不允许的灵活程度。
如上所述,现有技术的接口是典型的命令线,管理员被迫需要学会大量的秘密命令。本发明使用了基于网的用户接口框架。IP通道的管理员任务被分成了IP通道的定义、IP通道的图形显示、IP通道的查询、带有IP通道定义的IP过滤器规则查询。在一种最佳实施方式中,用户接口被分成了以下的网页:※IP通道定义页※IP通道图形页※IP通道查询页※IP通道/过滤器查询页这些网页将在下面更为详细地加以描述。
由于管理员并不必要安装或使用基于网的管理浏览器的所有特征集,所以本发明是在设计上的标准组件。如果管理员只对过滤器规则的管理感兴趣,那么导向诸如SOCKS服务器和IP通道等其它管理特征的路径可以不必参考。其它特征在需要时可以即插即用。
本发明在基于网的防火墙框架上增加了许多在当前技术接口中不可用的IP通道特征,而保持了它的稍低层次的页布局的一致性。模块水平下的每一页都被分成了窗格(或框),而每一窗格将显示与页无关的某一种类型的信息。因此,管理员可以根据信息在页上的位置预测信息的上下文。
一个典型页的布局如下所示。请参考图4中所示的IP通道定义页。一个导航窗格200穿过页的顶部。从这个窗格中,管理员可以选择文本或图标来导向管理模块的其它部分或防火墙接口的其它模块。
在导航窗格200下是显示窗格210和显示动作窗格220。显示窗格210为页提供一个位置来显示入口字段212或按钮214来启动功能。附加的入口字段上可带有滚动条216。在其它面板中,在此位置显示的是有关页的主要信息的图形描述。对于IP通道图形页,此窗格将用图形方式给出安全网络之间的联接。
显示动作窗格220提供管理员可通过按钮222开始的动作,例如改变或保存显示窗格中的一个对象的定义,或查看由管理员开始的动作(没显示)的结果。
页的下一水平被分成计数窗格230、列表窗格240以及列表动作窗格250。在此水平上的主窗格为列表窗格240,它允许管理员查看所有与已知窗格有关的入口。对IP通道定义页来说,列表窗格将向管理员给出一个已定义的IP通道列表242。滚动条244、246是可选特征,用来显示与入口有关的更多入口或信息。列表动作窗格250的操作方式与显示动作窗格一样。通过启动按钮252,管理员可以从与列表窗格中的入口有关的动作列表中进行选择,例如存储一个完整的IP过滤器规则列表或输出IP通道定义列表到目标终点防火墙。
计数窗格230用图形或文本显示与显示窗格开始的统计数字或列表窗格中的复合统计数字有关的信息。在通道定义页中将显示跟踪路径、远程连通测试(ping)或远程使用者查询(finger)程序的输出。
信息带窗格260位于页的底部。这个窗格向管理员提供与页上的入口和目标有关的动态、统计信息。信息自右向左滚动并且当管理员启动页上的动作时进行改动。
在最佳实施方式中,基于网的管理员页可被用于任何支持html和Java(TM)applet的网浏览器,例如Netscape Navigator(TM)浏览器。从参考附图可以看到,所有网页都向管理员提供一致、因而也是相似的布局。
IP通道定义页将给以更加详细的描述。IP通道定义页向管理员提供可以执行以下动作的能力:※查看防火墙上存储的IP通道定义,※创建新的IP通道定义,※修改存储的IP通道定义,※装入和保存IP通道定义,※分布存储IP通道定义,※分布存储IP通道定义,※启动或释放存储的IP通道定义,※关闭IP通道定义,以及※确认两个防火墙之间的IP通道定义。
利用显示窗格210中的入口字段212和列表框214和显示动作窗格222中的按钮222动作,管理员可以创建或修改IP通道定义。列表窗格240显示为互联网防火墙定义的所有IP通道定义。管理员可以在它们之间滚动,高亮度显示一个IP通道定义进行修改或删除,并通过列表动作窗格250上的按钮252选择一个动作执行有关IP通道定义的操作,例如把它们输出到防火墙。
如果管理员可以访问网管理浏览器运行的主机的目标IP地址,那么通过按下入口字段旁边的合适按钮,管理员也可以远程连通测试、跟踪路径和远程使用者查询目标IP地址。例如,如果管理员按下了源地址旁边的远程连通测试按钮,那么接口将执行源地址字段中的远程连通测试处理。这些动作的输出将以不同的方式出现在计数窗格230和信息带窗格260中。这项功能为管理员提供了一种很方便的装置,使得在不必离开接口的情况下可以确定IP地址是否是可到达的或可标识的。信息带窗格在没有用来显示远程连通测试或远程使用者查询功能的输出时,也将显示有关IP通道定义的统计信息,例如在相同源和目的地址间定义的通道的数目。
并非所有从此图所示的接口可开始的系统动作都进行了描述,但它们是可在此网页中执行的动作的典型代表。
图5中所描述的IP通道图形页为管理员提供了可以图形查看两个互联网防火墙之间的被定义IP通道的能力。网页在显示窗格310中给出了图形312,显示窗格310在窗格的左边带有一个表示防火墙源地址的框313以及在窗格的右边带有表示目标防火墙的目的地址的框314、315、316。在两个地址间定义IP通道的地方,网页在两个框之间划了一条线317并用符号318给此线加标签来表示哪个地址启动了此通道以及IP通道的ID。这些线用不同的灰度画出以表示诸如安全状态,即通道是否已能够加密或授权或某些它们的组合等内容。通过按下按钮322、324、326,显示动作窗格320允许管理员看到所有已定义的IP通道定义、只有那些防火墙上活动的IP通道定义或只有那些防火墙上不活动的IP通道定义。
计数窗格330显示显示窗格里的IP通道线的说明333。在一种最佳实施方式中,这一窗格也显示其它的动态信息。
列表窗格将显示为防火墙定义的所有IP通道定义的一个可滚动列表342。管理员可以在显示窗格310中选择一条IP通道线,使得网页高亮度显示并在列表窗格340中给出完整的通道定义342。列表动作窗格350通过按钮352允许管理员装入或保存防火墙上的一个IP通道定义列表以及启动、释放、编辑或删除一个选择的IP通道定义。
并非此图中显示的所有动作都被加以描述,但它们是可以在这一网页执行的动作的典型代表。
IP通道查询页在图6中加以描述并向管理员提供对存储的IP通道定义集合运行查询的能力以便可以看到符合查询的所有定义。查询也支持通配符。例如,管理员可以指定带有一个通配符的目的地址,它将返回符合在任何目的的查询中指定的其它标准的所有IP通道定义。
管理员可以在查询页的显示窗格410中定义查询。它也提供通道ID、源地址、目的地址、和加密算法和策略等入口字段。在一种最佳实施方式中,前面的查询可以作为新查询的模板保存、检索和显示或者不做任何改变重新运行。保存一个希望重复运行的查询是有好处的。取自列表中的IP通道值的选择列表给出了一个IP通道ID列表或来自ID集合的地址和IP通道列表中的地址。如图所示,显示动作窗格420向管理员提供两个动作,一个按钮422用来清除显示窗格,另一个按钮424用来运行在显示窗格中定义的查询。显示动作窗格420也显示一个大的数字426用来表示符合查询测试的IP通道定义的数目。
计数窗格430显示一个图形条432,它可视地表明匹配的IP通道定义的分布。符合查询的IP通道定义用与其它条不同的颜色标明。条432称为分散条,因为它可视地且快速地给出了符合查询的IP通道的定义以及它们在IP通道定义列表中的分布。紧挨分散条432的一个小长条434用作位置提示来表明列表窗格440中当前显示的IP通道定义。小长条434或第二个小长条也可以用来表明找到的符合或大多数符合通道定义在列表中的区域。
列表窗格440也将显示为防火墙定义的所有IP通道定义的一个可滚动列表442。符合查询的IP通道定义被用不同颜色或高亮度显示。管理员可以选择(或高亮度显示)一个入口来编辑它或将其从IP通道定义列表中删除。为了易读,IP通道入口将被分成列,使得所有的源地址水平排列等等。
列表动作窗格450允许管理员通过启动装入通道列表按钮452将一个IP通道定义列表装入到防火墙上。而且,它也允许管理员通过启动编辑入口按钮454对选择的IP通道定义进行编辑。按下编辑入口按钮将把管理员带回到显示有被选入口定义的IP通道定义页中。
图7中所示为IP通道/过滤器查询页。本页将两个独立的定义组IP通道和IP过滤器定义同时放在一互联网防火墙上。IP过滤器组在结合了上述参考资料的交叉引用、共同未决申请中做了描述。它允许管理员对基于类似于IP通道图形页中所示的IP通道图形所做选择的IP过滤器规则列表执行查询。此图512示于显示窗格510中。在图中选择一条IP通道线514,显示动作窗格中的运行查询按钮524将生成对防火墙过滤器规则列表的一个查询。IP过滤器规则不必包含IP通道定义,但管理员可以定义一个接受过滤器规则来确定通过加密定义的某个IP通道的一个指定源地址、目的地址中所有IP信息包的路线和端口数。
显示动作窗格520为管理员提供了两个动作选择,按钮522用来清除显示窗格中高亮度显示的IP通道选择,另一按钮524用来运行在显示窗格中定义的基于被选IP通道线的查询。显示动作窗格也显示被选IP通道的ID526和一个大写字体的数字528用来表示符合查询测试的IP过滤器规则的数目。
同在IP通道查询页中一样,计数窗格530显示一个图形条532,而在这种情况下是可视地表示匹配的IP过滤器规则的分布。符合查询的IP过滤器规则用与其它条不同的颜色标识。条532称为分散条,因为它可视地且快速地给出了符合查询的IP过滤器规则以及它们在IP过滤器规则列表中的分布。紧挨分散条的一个小长条534用作位置提示来表示在列表窗格540中当前显示的IP过滤器规则。
列表窗格540给出了在防火墙上定义的所有IP过滤器规则的一个列表542。一旦管理员在显示窗格510中选择了一条代表一个IP通道定义的线514,网页将把列表542中用同一IP通道ID定义的所有IP过滤器规则加上彩色。相对于高亮度显示入口,符合查询的IP过滤器规则较好地用不同颜色显示,因为高亮度显示被保留作接口中的选择之用。管理员可以选择列表中的一个入口并在过滤器列表中对其进行编辑。
列表动作窗格550允许管理员通过按下装入过滤器列表按钮552把一个IP过滤器规则列表装入到防火墙上。此外,它还允许管理员通过按下编辑按钮554来编辑选择的一个IP过滤器规则。对过滤器规则的编辑在过滤器定义页的交叉引用申请中加以描述。IP通道页的数据结构IP通道表结构IP通道结构数IP通道结构的指针IP通道结构通道ID目的地址
本地地址
加密算法
会话键生命期
会话键刷新时间
启动程序
鉴权策略
加密策略
<…其它对每一防火墙可定制的变量…>
注释IP通道定义页数据结构
列表窗格改变状态位
列表窗格IP通道表结构
显示窗格改变状态位
显示窗格IP通道结构IP通道图形页数据结构
显示窗格IP通道表结构
列表窗格IP通道表结构
临时IP通道结构IP通道查询页数据结构
显示窗格IP通道结构
显示动作窗格匹配通道数
计数窗格上限
计数窗格匹配IP通道表
列表窗格IP通道表结构
临时IP通道结构IP通道/过滤器查询页数据结构
显示窗格IP通道表结构
显示动作窗格匹配过滤器数
计数窗格上限
计数窗格匹配过滤器规则表结构
列表窗格过滤器表结构
临时过滤器规则结构
以上所列的数据结构包括IP通道表结构,这一结构包含了防火墙上定义的所有的IP通道。IP通道结构表示了单个通道定义的所有属性。例如,一个通道定义中的本地和目标地址用来建立IP通道终点的源和目的防火墙机器。附加的IP通道属性包括为通过IP通道的IP信息包建立的加密算法和鉴权策略的类型。
IP通道定义页数据结构包含用于显示和跟踪此页中信息的数据结构。列表窗格改变状态位表明在通道定义装入到接口中之后通道定义是否已被加入到IP通道列表中。列表窗格IP通道表是从防火墙装入的通道定义的集合。显示窗格改变状态位表明管理员是否改变了显示窗格的任何信息。显示窗格IP通道结构包含在显示窗格自身中显示的所有值。
IP通道图形页数据结构包含用于显示和跟踪此页中信息的数据结构。显示窗格IP通道表是从防火墙装入的通道定义的集合,此信息用来画出这一窗格中的通道的图形。列表窗格IP通道是从防火墙装入的通道定义的集合。临时IP通道结构用来包含作为管理员在此页的一个动作的结果把信息传送到IP通道定义页时使用的一个被选IP通道定义。
IP通道查询页数据结构包含用于显示和跟踪此页中信息的数据结构。显示窗格IP通道包含在显示窗格自身中显示的所有值。显示动作窗格匹配通道数目是接口中装入的符合在显示窗格中指定的IP通道查询的通道定义的数目。计数窗格上限是接口中装入的通道定义的数目。计数窗格匹配IP通道表是接口中装入的符合在显示窗格中指定的IP通道查询的通道定义的集合。列表窗格IP通道表是从防火墙中装入的通道定义的集合。临时IP通道结构用来包含作为管理员在此页的一个动作的结果把信息传送到IP通道定义页时使用的一个被选IP通道定义。
IP通道/过滤器查询页数据结构包含用于显示和跟踪此页中信息的数据结构。显示窗格IP通道表是从防火墙装入的通道定义的集合,此信息用来画出这一窗格中的通道的图形。显示动作窗格匹配过滤器数目是接口中装入的符合在显示窗格中选择的IP通道ID的IP过滤器规则的数目。计数窗格上限是接口中装入的过滤器规则的数目。计数窗格匹配过滤器规则表是接口中装入的符合在显示窗格中选择的IP通道ID的过滤器规则的集合。列表窗格过滤器规则表是从防火墙中装入的IP过滤器规则的集合。临时过滤器规则结构用来包含作为管理员在此页的一个动作的结果把信息传送到IP过滤器定义页时使用的一个被选过滤器规则。
熟练的技术人员会意识到在备用的实施方式中可以使用结合了其它数据的其它数据结构。
图8中所描述的是系统响应IP通道定义页的显示窗格中的用户输入所做的处理。处理从步骤1000开始,在此系统等待用户输入。在步骤1005,系统确定窗格按钮是否被按下。如果是,在1010取得来自有关入口字段的值。在步骤1015的测试确定有关入口字段中是否有一个值。若答案为否,系统返回到步骤1000。如果在入口字段中有一个值,那么在步骤1020远程连通测试程序以此值运行。处理执行到步骤1025,在此远程连通测试程序的输出在命令运行期间被送到计数窗格。用这种装置管理员可以查看远程连通测试程序是成功还是失败。处理返回到步骤1000来等待进一步的用户动作。
如果步骤1005的测试结果为否,那么在步骤1030的测试将确定跟踪路径按钮是否被按下。如果是,那么在步骤1035将取得来自一个入口字段的值。接着,在步骤1040将确定入口字段中是否有一个值。如果答案为否,处理返回到步骤1000。如果在步骤1045有一个值,那么跟踪路径程序将以此值运行。处理执行到步骤1025,在此跟踪路径程序的输出在命令运行期间被送到计数窗格。处理返回到步骤1000。
如果在步骤1030的测试结果为否,那么在步骤1055的测试将确定远程使用者查询按钮是否按下。如果是,在步骤1060将取得来自一个入口字段的值。在步骤1065的测试将确定入口字段中是否有一个值,如果答案为否,处理返回到步骤1000。如果有的话,那么在步骤1070远程使用者查询程序将以此值运行。处理执行到步骤1025,在此远程使用者查询程序的结果在命令运行期间被送到计数窗格。处理返回到步骤1000。
如果在步骤1075远程使用者查询按钮没被按下,将运行一个测试来确定显示窗格中的某个入口是否已被改动。如果是,在步骤1080将设置改动位,处理返回到步骤1000。如果没有任何入口被改动,那么这是一项未被认定的动作,在步骤1085系统将不做任何动作。处理返回到步骤1000等待用户输入。
图9中描述的是响应在IP通道定义页的显示动作窗格中的用户输入所作的处理。处理从步骤1100开始,在此系统等待用户动作。步骤1105的测试将确定清除按钮是否被按下。如果是,那么步骤1110的测试将确定是否设置了显示窗格改变位。如果是,那么在步骤1115将询问管理员是否要存储入口。如果答案为否,那么在步骤1120将把IP通道定义从显示窗格中移走而把每个字段置为空。处理返回到步骤1100等待进一步的用户输入。但是,如果管理员指明应该存储入口,处理将执行到步骤1177,在此将确认显示窗格中的值。
如果在步骤1125清除按钮没被按下,那么将执行一项测试来确定是否按下了改变被选入口按钮。如果是,那么在步骤1130,显示窗格中的值将被确认。在步骤1135将运行一项测试来确定确认中是否有错。如果是的话,错误将被传送到计数窗格而系统则返回到1100等待进一步的用户动作。如果确认中没有错误,那么在步骤1145,确认成功将显示在计数窗格中。处理执行到步骤1150,在此运行一项测试来确定在引导的列表窗格中是否有一项入口被选择。如果是,那么将用来自显示窗格的值来代替在列表窗格中被选择的入口,处理返回到步骤1100。如果在列表窗格中没有任何入口被选择,步骤1160将确定是否有相同IP通道ID的列表入口。如果有,那么在列表窗格中将用显示窗格值来代替带有相同ID的IP通道入口。处理重新开始,等待用户动作。如果没有IP通道ID相同的入口,在步骤1170,显示窗格中的值将作为一个新行加到列表窗格中。处理返回到步骤1100。
在步骤1175将运行一项测试来确定增加被选入口按钮是否被按下。如果是,在步骤1177,显示窗格中的值将被确认。在步骤1180将运行一项测试来确定确认中是否有错。如果有错的话,在步骤1185,错误将被传送到计数窗格,处理返回到1100。如果确认中没有错误,那么在步骤1190,确认成功将显示在计数窗格中。处理执行到步骤1160。
如果步骤1105、1125、1175所做的测试没有一项成功,那么处理将认为这是一项未被认可的动作,在步骤1195不做任何动作。处理返回到步骤1100等待用户输入。
图10中所描述的是响应用户在IP通道定义页的列表窗格中的输入所做的处理。处理从步骤1200开始,在此系统等待用户动作。步骤1205的测试将确定是否选择了一个列表窗格入口。如果是,那么步骤1210的测试将确定是否设置了显示窗格改变位。如果是,那么在步骤1215将询问管理员是否要存储显示窗格值。如果答案为否,那么在步骤1213将把显示窗格的内容用来自列表窗格的被选入口代替,系统返回到1200。如果管理员指明应该存储显示窗格值,在步骤1220显示窗格中的值将被确认。步骤1225的测试将确定确认中是否有错。如果有的话,在步骤1230,这些错误将被传送到计数窗格,处理则返回到1200。如果没有错误,那么在步骤1235,确认成功将显示在计数窗格中。在步骤1240将进行一项测试来确定是否有与显示窗格中的通道ID相同的列表入口。如果有,那么在步骤1245,在列表窗格中将用显示窗格值来代替带有相同ID的IP通道入口。在这种情况下,管理员将修改已经存在的通道定义。如果1240的测试结果为否,那么在步骤1250显示窗格中的值将作为一个新行加入到列表窗格中。
如果步骤1205的结果为否,那么在步骤1255动作未被认可,处理继续回到步骤1200。
图11A和11B所示为响应用户在IP通道定义页的列表动作窗格中的输入所做的处理。在步骤1300,系统等待用户输入。在步骤1303的测试将确定删除入口按钮是否被按下。如果是,那么在步骤1305,系统确定在列表窗格中是否选择了一项入口。如果不是,那么系统将返回到步骤1300等待进一步的用户输入。如果一项入口在步骤1310被选择,那么被选入口将被从列表窗格中移走。在步骤1313,将把入口的删除传送到IP通道定义页的计数窗格中。处理返回到步骤1300。
在步骤1315将确定用户是否按下了启动入口按钮。如果启动按钮被按下,那么在步骤1320,系统将确定是否在列表窗格中选择了一项入口。如果没选择,处理将返回到步骤1300。如果在步骤1325有被选入口,那么被选IP通道入口的活动属性将被置为活动。处理返回等待用户动作。活动通道是这样一种通道,在过滤器规则被定义为通过此IP通道按规定路线发送匹配信息包时,防火墙可以通过它来发送IP信息包。一个IP通道可以是被定义但没被启动来接受IP信息包。
在步骤1330的测试确定释放入口按钮是否被按下。如果是,那么在步骤1333的测试将确定列表窗格中是否选择了一项入口。如果没有,系统返回到1300等待用户动作。如果选择了一项入口,那么在步骤1335被选IP通道入口的活动属性将被置为不活动,处理返回到步骤1300。
步骤1339的测试将确定从防火墙装入按钮是否被按下。如果是,那么在步骤1340将询问管理员从哪一防火墙装入IP通道定义。在步骤1345将装入来自指定防火墙的IP通道定义。步骤1350的测试将确定装入时是否有错。如果有错,在步骤1355,错误将被传送到计数窗格。如果没有错,在步骤1360,装入成功将被传送到计数窗格。在步骤1365,将用装入的IP通道列表代替列表窗格入口。在步骤1369清除显示窗格入口。在步骤1370,显示窗格改变位被置为关。处理返回到步骤1300等待用户输入。
在步骤1373,系统确定保存到防火墙按钮是否被按下。如果是,在步骤1375将询问管理员应该将IP通道定义保存到哪一防火墙。在步骤1377,IP通道定义将被保存到指定的防火墙中。在步骤1379,保存结果将被传送到计数窗格中。接着,处理返回到步骤1300。
现在参考图11B,步骤1380的测试将确定关闭防火墙按钮是否被按下。如果这一按钮被按下,那么在步骤1385,防火墙上的所有IP通道定义将都被改变或置为不活动。在步骤1387的改变结果将在步骤1395传送到计数窗格中。
在步骤1390,系统将确定防火墙件的确认按钮是否被按下。如果是,那么在步骤1393,防火墙间的通道定义、源防火墙和目标防火墙将在IP通道列表中被确认。确认的结果将在步骤1395被传送到计数窗格中。确认处理与防火墙提供的处理一样。在步骤1397,系统将确定此动作是一未被认可动作且不做任何处理。在此点,处理将返回到步骤1300等待进一步的用户输入。
图12中所描述的是响应IP通道图形页的显示动作窗格的用户输入所采取的系统动作。处理从步骤1400开始,在此,系统等待用户动作。在步骤1405,系统确定显示所有按钮是否被按下。如果是,那么在步骤1410,显示窗格中的图形将被重绘来显示所有的IP通道。处理返回到步骤1400。在步骤1415,系统确定显示活动按钮是否被按下。如果是,那么在步骤1420,显示窗格中的图形将被重绘,高亮度显示活动的IP通道联接。处理返回到步骤1400。在步骤1425,系统确定显示不活动按钮是否被按下。如果是,那么在步骤1430,显示窗格中的图形将被重绘,高亮度显示不活动的IP通道联接。在步骤1435,系统把用户输入归类为未知动作并返回到步骤1400等待进一步的用户输入。
图13A和13B所示为响应IP通道图形页的列表动作窗格中的用户输入所采取的系统动作。处理从步骤1500开始,在此系统等待用户动作。在步骤1503,系统确定增加的入口按钮是否被按下。如果是,步骤1505的测试将确定列表窗格中的某项入口是否被选择。如果没有,系统返回到步骤1500等待用户输入。如果有,在步骤1507,被选入口的内容将被存储进一个临时的IP通道定义结构中。在步骤1509将显示IP通道定义页。在步骤1510,临时的IP通道定义的内容被显示在显示窗格中,处理转到图11、12、13A和13B所述的IP通道定义页动作。
在步骤1515,系统确定删除入口按钮是否被按下。如果是,在步骤1517将确定列表窗格中的某项入口是否被选择。如果没有,处理将返回到步骤1500等待用户输入。如果有,在步骤1519,被选入口将被从列表窗格中移走,而在步骤1520,列表窗格改变位将被置为开启。在步骤1523,IP通道图形将被重绘以便反映列表窗格的新内容。处理返回到步骤1500等待用户输入。
在步骤1525,系统确定启动入口按钮是否被按下。如果是,在步骤1529,系统将确定列表窗格中的某项入口是否被选择。如果是,被选入口的IP通道定义将在步骤1530被启动,处理返回到步骤1520。
在步骤1535,系统确定释放入口按钮是否被按下。如果是,那么在步骤1539将确定列表窗格中的某项入口是否被选择。如果是,那么在步骤1540,被选入口的IP通道定义将被置为不活动。处理返回到步骤1520设置列表窗格改变按钮,在步骤1523,IP通道图形被重绘。
在步骤1545,系统确定从防火墙装入按钮是否被按下。如果是,步骤1550将确定列表窗格改变位是否为开。如果为否,在步骤1553,管理员将被询问从哪一防火墙装入。在步骤1555装入来自指定防火墙的IP通道定义。步骤1560的测试将确定装入时是否有错。如果有,在步骤1563,错误将被传送到信息带窗格中,处理返回到步骤1500。如果装入时没有错误,在步骤1565,把装入成功传送到信息带窗格中。在步骤1570,用装入的IP通道列表代替列表窗格中的IP通道列表。在步骤1573,列表窗格改变位被置为关闭。处理返回到步骤1523,显示窗格中的IP通道图形被重绘。
在步骤1575,管理员被询问是否保存当前的列表窗格内容。如果管理员指明要保存列表窗格内容,那么在步骤1580,这些内容将被保存为目标防火墙上的一个IP通道表。在步骤1583,结果被传送到信息带窗格中。在此点,处理返回到步骤1553去询问管理员从哪一防火墙装入。
现在参考图13B,步骤1585的测试确定保存到防火墙按钮是否被按下。如果是,在步骤1590,管理员被询问保存到哪一防火墙。在步骤1593,列表窗格中的IP通道定义被保存到指定防火墙中。保存结果在步骤1595被传送递到信息带窗格中。处理返回到步骤1500等待用户输入。在步骤1597,动作被归类为未知动作,处理返回到步骤1500等待用户输入。
图14所示为响应用户在IP通道查询页的显示动作窗格中的输入而采取的系统动作的流程图。处理从步骤1600开始,在此系统等待用户动作。在步骤1605,系统确定清除按钮是否被按下。在步骤1610,IP通道值被从显示窗格中移走,即入口字段为非空。在步骤1615,计数窗格的联接列表被清除并显示计数窗格。在步骤1625,显示0作为显示动作窗格中匹配的数目。处理返回到步骤1600等待用户动作。
在步骤1630,系统确定运行查询按钮是否被按下。如果是,那么在步骤1635,计数窗格联接列表被清除,用来增加通过IP通道表的计数器的变量“i”被置为1。在步骤1640。处理确定“i”是否大于IP通道表中的IP通道数目。如果为否,步骤1640将确定IP通道表是否符合在IP通道入口中指定的查询。这是通过把显示窗格中的入口与列表窗格中的索引行进行比较来完成的。在步骤1650,由“i”索引的IP通道表被加到计数窗格联接列表中。在步骤1655,“i”加1,处理返回到步骤1640。如果“i”超过了IP通道表中的IP通道数,步骤1660将确定计数窗格联接列表是否有入口。如果有,在步骤1665,匹配入口在计数窗格中将被变暗。在步骤1670的信息带窗格中将显示一个结果,而在步骤1675,匹配的数目将被显示在显示动作窗格中。处理返回到步骤1600等待用户动作。在步骤1680,动作未知,处理返回到步骤1600。
图15所示为响应IP通道查询页的列表窗格的用户输入而采取的系统动作。在步骤1700,系统等待用户输入。在步骤1705,系统确定是否选择了某项入口。如果是,在步骤1710,入口在显示窗格中被取代。显示动作匹配数在步骤1715变为“0”。接着,在步骤1720,计数窗格联接列表被清除,计数窗格中的变暗部分也被清除。处理返回到步骤1700等待用户动作。
在步骤1725,系统确定列表窗格中的列表是否有滚动。如果有,在步骤1730将改变计数窗格中垂直条上的位置队列以便与步骤1730的列表窗格中的显示相符。处理返回到步骤1700。在步骤1735,系统确定动作未知并不做任何动作。因此,处理返回到步骤1700等待用户动作。
图16中描述的是响应IP通道查询页的列表动作窗格中的用户输入而采取的系统动作。在步骤1800,系统等待用户输入。在步骤1805,系统确定编辑按钮是否被按下。如果是,步骤1810的一项测试将确定在列表窗格中是否有某项入口以及此入口是否被选择。如果没有,系统返回到步骤1800。如果有,在步骤1815,被选入口的内容将被存储到临时的IP通道定义结构中。在步骤1820显示IP通道定义页,而在步骤1825,临时的IP通道定义结构的内容将被放到显示窗格中。接着,系统转到步骤1830的IP通道定义页动作,此处理与图10、11、12、13A和13B相连已被讨论过。
在步骤1835的测试将确定装入IP通道按钮是否被按下。如果是,那么在步骤1840防火墙上的装入IP通道定义将被存储起来。在步骤1845,新的IP通道表将显示在列表窗格中。处理返回到步骤1800。
在步骤1850,系统确定动作为未知并不做任何动作。处理返回到步骤1800等待用户输入。
图17中所描述的是响应用户在IP通道/过滤器查询页的显示动作窗格中的输入而采取的系统动作。系统在步骤1900等待用户输入。在步骤1905的系统测试确定清除按钮是否被按下。如果是,那么在步骤1910,高亮度显示部分被从图形和显示窗格中移走。在步骤1915,计数窗格联接列表被清除,计数窗格重新显示。在步骤1920,信息带窗格被清除。在步骤1925,0作为显示动作窗格中匹配的过滤器数目以及显示的被选IP通道数目被显示,处理返回到步骤1900。
在步骤1930,系统确定运行一个查询按钮是否被按下。如果是,那么在步骤1935,计数窗格联接列表被清除,变量“i”被置为1。在步骤1940的测试确定“i”是否大于列表窗格中的IP过滤器规则的数目。如果为否,将执行步骤1945来确定IP过滤器表是否有一个通道ID与显示窗格中的被选ID通道相符。如果有,在步骤1950,IP过滤器表中由“i”索引的通道定义将被加到计数窗格联接列表中。接着在步骤1955,变量“i”加1。
在步骤1960,系统测试计数窗格联接列表是否有入口。如果有,那么在步骤1965,符合查询定义的计数列表入口在计数窗格中将变暗。接着,在步骤1970,结果将被显示在信息带窗格中。在步骤1975,匹配的过滤器数目将被显示在显示动作窗格中。处理返回到步骤1900。
在步骤1980,系统碰到一未知动作。它返回到步骤1900等待进一步的用户动作。
图18中描述的是响应用户在列表窗格和IP通道/过滤器查询页中的输入而采取的系统动作。系统在步骤2000等待用户输入。在步骤2005,系统确定是否选择了某项入口。如果是,在步骤2010,显示动作装置数目变为“0”。被选IP通道被从显示动作窗格中移走。在步骤2015,计数窗格联接列表被清除,计数窗格被重新显示。在步骤2020,高亮度显示部分从显示窗格中的被选入口中被移走。
步骤2025的测试确定列表是否有滚动。如果有,那么在步骤2030将改变计数窗格中垂直条上的位置队列以便与列表窗格中的显示相符。在步骤2035,系统碰到一未知动作。处理返回到步骤2000等待用户输入。
图19中所示为响应用户在IP通道/过滤器查询页的列表动作窗格中的输入而采取的动作。在步骤2100,系统等待用户动作。步骤2105的测试确定编辑入口按钮是否被按下。如果是,在步骤2110的测试确定列表窗格中的某项入口是否被选择。如果为否,系统将返回到步骤2100等待用户动作。在步骤2115,被选入口的内容被存储进一个暂时的IP过滤器规则结构中。步骤2120显示IP过滤器定义页。在步骤2125,暂时的IP过滤器规则结构的内容被显示在显示窗格中,而在步骤2130,系统转向在与上述参考资料相结合的共同未决、交叉引用申请中所讨论的IP过滤器定义页动作。
步骤2135的测试确定装入过滤器列表按钮是否被按下。如果是,步骤2140将存储这些来自防火墙的IP/过滤器定义。在步骤2145,新的IP过滤器表显示在列表窗格中。处理返回到步骤2100等待用户输入。在步骤2150,系统碰到一未知动作并且不采取任何动作。处理返回到步骤2100。
尽管以上描述与IP通道和滤除,即由不同的因特网主体传播的通道和过滤器规则有关,但本发明还是申请所有可以在安全和非安全网络间采用的通道和过滤器规则集合。例如,强调最初由Microsoft公司提议的通道协议的要点可以由带有最小适应性的本发明来管理。
尽管根据特别的实施方式对本发明进行了表示和描述,但熟练的技术人员可以理解本发明可以实际用于有所改变的其它环境。例如,尽管上面所述的本发明可以方便地应用于有选择地从配置或由软件确定的通用计算机中,但熟练的技术人员将会认识到,本发明在硬件、固件或在软件、固件或包括为执行上述发明而特别设计的特定目的装置的硬件的结合体中也可以实现。因此,在形式和细节上所做的改变不会偏离所附的权利要求书中提出的本发明的思想和范围。