帮助应用穿越防火墙的方法技术

一种用于察觉性防火墙的应用的方法，它将其期望传送给防火墙而不需要防火墙改变其策略或危及网络安全。为应用软件提供应用ＡＰＩ来将应用的需求通知一个或多个防火墙，并提供将应用的需求通知一个或多个防火墙的防火墙ＡＰＩ。拦截模块监视由应用和服务对本地计算机上的网络堆栈的连接和监听尝试。拦截模块捕获这些尝试并确定什么用户在进行尝试、什么应用或服务在进行尝试，并实施防火墙策略查找来确定是否允许该用户和／或应用或服务连接到网络。如果这样，拦截模块可命令主机和／或边界防火墙为所请求的连接配置自己。

【技术实现步骤摘要】
帮助应用穿越防火墙的方法
本专利技术通常涉及计算机或网络上的安全性，特别涉及防火墙及其与应用有关的使用。
技术介绍
通常，防火墙是防止未经授权的用户访问网络或计算机上的某些文件的电子边界。可以作为用户计算机上的防火墙代码(“主机防火墙”)来提供防火墙。可供选择地，还可在网络边缘提供专用防火墙机构(“边界防火墙”)，它与网络外的计算机接口并具有内建的特殊安全预防措施，以便保护网络内计算机上的敏感文件。这个想法就是要保护一群较松散管理的机器，使它们对于网络外计算机用户是隐藏在边界防火墙之后的。边界防火墙所位于的机器常常称为“网关”或“专用网关”。如果配置用于保护网络不受因特网侵害，该机器常常称为“因特网网关设备”。防火墙使用至少三种不同方法中的一个或多个来控制进出网络的通信流。在第一个方法中，称为静态信息包过滤，依靠一组过滤器来分析信息包。由过滤器批准的信息包被送往请求系统；所有其它的信息包被丢弃。在第二个方法中，称为代理服务，由防火墙从因特网取回信息，对照策略来评估信息，随后送往请求系统，反之亦然。在较新的第三种方法中，称为全状态检查(statefulinspection)，不检查信息包内容，而是将信息包的关键部分与可信信息(trusted information)数据库比较。对从防火墙内部向外部的传播的信息以特殊定义的特征监控，然后将流入信息与这些特征比较。如果比较产生了合理的匹配，则允许信息通过。否则它被丢弃。防火墙是可定制的，意味着可根据若干条件添加或删除过滤器。作为例子，因特网协议(“IP”)地址可用来限制或阻止通信。作为例子，如果网络外部的某个IP地址正从服务器读取过多的文件，则防火墙可以阻塞所有到和/或从那个地址的通信。作为另一个例子，防火墙可阻塞所有对某个域名的访问，或只允许对特定域名的访问。作为又一个例子，公司可能设置一个网络，其中只有一-->台或两台机器处理一个或多个特定协议，并在所有其它机器上禁止那些协议。还有另一个例子是使用端口来限制通信。例如，如果服务器机器正运行着Web(HTTP)服务器和FTP服务器，则Web服务器一般在端口80可用，而FTP服务器在端口21可用。公司可能在网络上除一台之外的所有机器上阻止端口21的访问。因而，防火墙通过检查网络通信并只允许与已在防火墙内设置的策略一致的通信来确保安全。但是，尽管上述的通信控制方法用于过滤某些通信时工作良好，但为防火墙设置的规则或策略可能并不符合网络内一些应用的需求。因为防火墙不能具有所有现有和将来的应用的全部知识，所以防火墙执行试探法来区分安全的通信和潜在危险的通信。例如，防火墙可选择允许从可信网络内发起的连接，但不允许那些从可信网络外部发起的连接(例如，从因特网发起的)。尽管试探法简化了防火墙策略设计，但一些应用与防火墙试探法不一致。结果，由这样一个应用来通信的尝试将失败，促使防火墙设计者实现和测试用于各个和每个失败的应用的专用工作环境。这些工作环境增加了防火墙复杂性和代码难度。最近努力设计的防火墙控制协议(“FCP”)由于基本安全冲突而没有成功，该协议允许应用在专设的基础上修改防火墙策略。防火墙策略是由可信实体(例如，网络管理员)创建和管理的，而应用可能运行在不可信节点或端点上。允许不可信应用修改公司网络策略与防火墙的安全目标是不一致的。专利技术概述为了提供本专利技术的基本理解，以下提出了本专利技术一些实施例的简略概述。这个概述不是本专利技术的广泛概览。并不期望确定本专利技术的关键/重要元素或描述本专利技术的范围。它的唯一目的是以简化形式提出本专利技术的一些实施例作为稍后提出的更为详细的描述的序言。按照本专利技术的一个实施例，提供了一种用于察觉性防火墙应用的方法，它将其期望传达给防火墙而不需要防火墙改变其策略或危及网络安全的方法。为此目的，可为应用程序提供应用应用编程接口(“API”)来将应用的需求通知一个或多个防火墙，描述它们当前或预期的活动，并描述对由应用发送或接收的网络数据的处理要求。-->按照本专利技术的另一个实施例，提供了将应用的需求通知一个或多个防火墙的防火墙API。应用API和防火墙API可通过作为例如计算机系统的操作系统的一部分提供的网络子系统来交互。按照本专利技术的另一个实施例，提供实施模块以允许用户创建简单的防火墙策略或网络访问策略来允许或拒绝他们计算机上的非察觉性防火墙的应用和服务连接到网络。另外，实施模块允许这些策略是在每用户基础上的。用户不需要了解或使用用于端口、协议或IP地址的规则来使应用能够通过防火墙。为此目的，提供了套接字应用编程接口，它允许应用或服务用IP地址、子网信息或连接范围来描述其关于入网或出网限制的需求。用户还可定义通信安全级别(例如，认证和/或加密)。按照本专利技术的另一个实施例，实施模块允许应用通过防火墙的透明穿越。实施模块包括拦截模块，它监视应用和服务对本地计算机上的网络堆栈的连接和监听尝试。拦截模块捕获这些尝试并确定什么用户在进行尝试、什么应用或服务在进行尝试，并实施防火墙策略查找来确定是否允许用户和/或应用或服务连接到网络。如果这样，拦截模块可命令主机和/或边界防火墙为所请求的连接配置自己。本专利技术的其它特征在结合附图从以下详细描述中将变得显而易见，这些附图为：附图说明图1是说明由网络连接的计算机的示意图；图2是示意图，概括地说明可用于实现本专利技术实施例的示例性计算机系统。图3是方框图，说明可按照本专利技术实施例使用的图2计算机系统的结构细节；图4所示的是流程图，说明察觉性防火墙的应用请求从诸如远程计算机之类的一个已知端点接收单一连接的过程的一个例子；图5所示的是方框图，概括地表示图2计算机系统的部件及其与按照本专利技术实施例的拦截模块的交互；图6所示的是方框图，示出图5的拦截模块的一般部件；图7所示的是按照本专利技术的一个实施例可在失败的连接尝试后呈现给用户-->的用户界面；图8所示的是流程图，说明图5的拦截模块如何能够允许非察觉性防火墙的应用穿越防火墙的例子；以及图9所示的是流程图，说明服务或应用如何能够将服务的网络需求通知防火墙代码和/或边界防火墙。详细描述在下列描述中，将描述本专利技术的各种实施例。为了说明，阐述了特定的配置和细节，以便提供实施例的彻底理解。但是，对于本领域的一个熟练技术人员而言，可以在没有这些特定细节的情况下实现本专利技术也是显而易见的。而且，为了突出所述实施例，可省略或简化众所周知的特征。在进行本专利技术各种实施例的描述之前，先提供在其中本专利技术的各种实施例可以实现的计算机和网络环境的描述。尽管不是必要的，但本专利技术将在由计算机执行的诸如程序模块的计算机可执行指令通用环境中描述。通常，程序包括执行特定任务或实现特定抽象数据类型的例程、对象、组件、数据结构等等。这里所用的术语“程序”或“模块”可指单个程序模块或共同行动的多个程序模块。这里所用的术语“计算机”和“计算设备”包括任何以电子方式执行一个或多个程序的设备，诸如个人计算机(PC)、手持设备、多处理器系统、基于微处理器的可编程消费电子产品、网络PC、小型机、板式PC、膝上型计算机、具有微处理器或微控制器的消费用具、路由器、网关、集线器等等。本专利技术还可在分布式计算环境中使用，其中任务由通过通信网络链接的远程处理设备执行。在分布式计算环境中，本文档来自技高网...

【技术保护点】
一种计算机实现的方法，其特征在于，包括：通过应用编程接口从应用接收调用，所述调用具有参数用于所述应用想要建立的、至一个端点的连接；从所述应用接收一个指示，它表示所述应用想要建立所述连接；以及对防火墙进行调用，以按照所 述参数建立所述连接。

【技术特征摘要】
US 2003-6-25 10/603,6481.一种计算机实现的方法，其特征在于，包括：通过应用编程接口从应用接收调用，所述调用具有参数用于所述应用想要建立的、至一个端点的连接；从所述应用接收一个指示，它表示所述应用想要建立所述连接；以及对防火墙进行调用，以按照所述参数建立所述连接。2.如权利要求1所述的方法，其特征在于，还包括，在所述防火墙，以相关策略评估所述参数，并且如果所述参数符合所述策略，按照所述参数建立所述网络连接。3.如权利要求1所述的方法，其特征在于，所述参数包括所述应用愿意被连接到的已知端点。4.如权利要求3所述的方法，其特征在于，所述参数还包括将所述连接限制于一个单一连接的请求。5.如权利要求4所述的方法，其特征在于，还包括，在已经建立所述连接之后，按照所述请求关闭所述连接。6.如权利要求1所述的方法，其特征在于，所述参数包括对用于所述连接的连接阻塞的带宽请求。7.如权利要求1所述的方法，其特征在于，所述参数将所述连接限制于接口、本地地址或远程地址或它们的组合的一个子集。8.如权利要求1所述的方法，其特征在于，所述参数包括用于所述连接的超时策略。9.如权利要求1所述的方法，其特征在于，所述参数包括关闭或打开特定的协议选项。10.如权利要求1所述的方法，其特征在于，所述参数包括与请求特别处理的流程的属性有关的信息。11.如权利要求10所述的方法，其特征在于，所述信息包括对认证或加密的请求。12.如权利要求1所述的方法，其特征在于，所述指示包括打开一监听套接字。13.如权利要求1所述的方法，其特征在于，所述指示包括连接至一套接字。14.如权利要求1所述的方法，其特征在于，所述对防火墙的调用是通过防火墙应用编程接口进行的。15.如权利要求1所述的方法，其特征在于，所述防火墙位于具有所述应用的计算机上。16.如权利要求1所述的方法，其特征在于，所述防火墙包括一边界防火墙，并且还包括一个代理以将有关所述连接的信息传送至所述边界防火墙。17.如权利要求1所述的方法，其特征在于，所述防火墙包括一边界防火墙，并且还包括一个认证过的协议以将有关所述连接的信息传送至所述边界防火墙。18.具有用于执行如权利要求1所述的方法的计算机可执行指令的计算机可读介质。19.一种计算机系统，其特征在于，包括：一操作系统；一与所述操作系统相关联的应用编程接口，配置并适合于从一应用接收调用，所述调用具有参数用于所述应用想要建立的、至一个端点的连接；以及一与所述操作系统相关联的实施模块，配置并适应于：从所述应用接收一个指示，它表示所述应用想要建立所述连接；以及对防火墙进行调用，以按照所述参数建立所述连接。20.如权利要求19所述的计算机系统，其特征在于，还包括防火墙应用编程接口用于对所述防火墙进行所述调用。21.一种计算机实现的方法，其特征在于，包括：建立用于至端点的连接的策略；从一应...

【专利技术属性】
技术研发人员：D莫根，A加弗里莱斯库，JL布尔斯泰因，A舍莱斯特，D莱布兰克，
申请(专利权)人：微软公司，
类型：发明
国别省市：US[美国]