專利名稱:客戶機協(xié)助的防火墻配置的制作方法
客戶機協(xié)助的防火墻配置相關(guān)申請的交叉引用〖0001本申請要求享受2004年12月21日提交的、題目為"CL正NT ASSISTED FIREWALL CONTFIGURATION"的美國臨時申請No. 60/638,271的優(yōu)先權(quán)���,美國臨時申請No. 60/638,271全文以引用方式 加入本申請����。發(fā)明領(lǐng)域
防火墻一般位于入口點����,它掃描進入的業(yè)務(wù),將其與預(yù)定標(biāo)準(zhǔn) 進行比較����。與預(yù)定標(biāo)準(zhǔn)不匹配的業(yè)務(wù)將會被阻斷或丟棄���。根據(jù)可容忍 的復(fù)雜度和期望的保護級別,預(yù)定標(biāo)準(zhǔn)可以包括多種參數(shù)�����,例如端口 號��、應(yīng)用ID���、源、目的�����、內(nèi)容過濾器�����、IP地址�、機器名、TCP/IP標(biāo) 志以及其它參數(shù)���。判斷是否讓分組通過的匹配參數(shù)的個數(shù)確立了保護 粒度��。粒度較粗的防火墻可能會不經(jīng)意地阻斷預(yù)期的進入業(yè)務(wù)��,因為 這些業(yè)務(wù)被誤認(rèn)為是非預(yù)期的���,與此同時它可能還不足以防止非預(yù)期 的業(yè)務(wù)���。0005安全策略可由位于中心點的網(wǎng)絡(luò)管理員來定義和/或?qū)嵤km 然不同的用戶可能會有不同的網(wǎng)絡(luò)訪問偏好和需求��,但用戶仍有可能 無法選擇對于他們的終端而言哪些業(yè)務(wù)是可用的和/或禁用的���。不同 的用戶可能想要不同類型的業(yè)務(wù)流�。這些流受網(wǎng)絡(luò)安全策略的影響��。例如���, 一個用戶可能想阻斷來自特定傳輸控制協(xié)議/網(wǎng)際協(xié)議(TCP/IP) 網(wǎng)絡(luò)地址的傳輸��,而另一用戶則可能正想接收這樣的傳輸����。 一個用戶 可能想得到來自網(wǎng)絡(luò)的某一特定子網(wǎng)地址的傳輸,而另一用戶則想得 到來自該網(wǎng)絡(luò)地址的所有傳輸��。其他用戶可能想得到發(fā)往某一特定端 口或應(yīng)用的消息業(yè)務(wù)���,而一個不同的用戶則可能想阻斷所有進入的連 接��,而只允許出去的連接����。
根據(jù)另一個實施例的是一種用于配置網(wǎng)絡(luò)防火墻的移動設(shè)備�����。 該移動設(shè)備包括處理器����,其分析與為了減少業(yè)務(wù)量而配置防火墻有 關(guān)的信息���;存儲器����,其可操作地連接到所述處理器。該移動設(shè)備還可 以包括建立器��,其與外部信源建立通信��;指定器����,其指定與從所述 外部信源接收到的分組有關(guān)的參數(shù),并將所述參數(shù)傳送到防火墻�。該 移動設(shè)備還包括無效器,其請求撤消至少一個參數(shù)的通行����。在一些實 施例中,該移動設(shè)備可以包括發(fā)射機��,其向防火墻傳送至少一個策 略更新�����;接收機����,其從防火墻接收對所述策略的確認(rèn)或拒絕。
此外�,各個實施例是圍繞著用戶站進行描述的��。用戶站也可以 稱為系統(tǒng)��、用戶單元��、用戶站���、移動站、移動設(shè)備���、主機�����、手機����、遠 方站�、接入點���、基站�����、遠程終端�、接入終端、用戶終端�����、終端����、用戶 代理或用戶設(shè)備。用戶設(shè)備可以是蜂窩電話�、無繩電話、會話啟動協(xié) 議(SIP)電話����、無線本地環(huán)路(WLL)站、個人數(shù)字處理(PDA)�����、 具有無線通信功能的手持設(shè)備或其它連接到無線調(diào)制解調(diào)器的處理 設(shè)備�����。00321此外�����,本申請中描述的各個方面或特征可以實現(xiàn)成方法、裝置 或使用標(biāo)準(zhǔn)編程和/或工程技術(shù)的制品���。本申請中使用的術(shù)語"制品" 涵蓋可從計算機可讀器件����、載體或介質(zhì)訪問的計算機程序�。例如,計 算機可讀介質(zhì)可以包括��、但不限于磁存儲器件(例如��,硬盤�����、軟盤��、 磁帶等)���,光盤(例如,CD�����、 DVD等),智能卡��,閃存器件(例如�, 卡、棒�、鑰匙驅(qū)動器等)。0033各個實施例都是圍繞著包括多個部件���、模塊等的系統(tǒng)而展開 的����。應(yīng)當(dāng)理解和認(rèn)識的是�,各種系統(tǒng)可以包括附加的部件、模塊等和 /或可以不包括圖中所示的所有部件���、模塊等�。也可以使用這些方法 的組合�����。0034下面參照附圖��,
圖1的框圖示出了利用防火墻技術(shù)的通信系統(tǒng) 100,它可用便攜式設(shè)備或終端�����、便攜式(移動)電話��、個人數(shù)字助 理����、個人計算機(臺式機或膝上機)或其它電子和/或通信設(shè)備來實 現(xiàn)。系統(tǒng)100包括防火墻102�,防火墻102對進入的數(shù)據(jù)和/或出去的 數(shù)據(jù)進行過濾,進入的數(shù)據(jù)和/或出去的數(shù)據(jù)被稱為數(shù)據(jù)或網(wǎng)絡(luò)分組 104和106�����。防火墻102可以運行于網(wǎng)絡(luò)運營商���、基礎(chǔ)設(shè)施裝備等處����。 分組104和106可以是任何類型的通信消息��,包括從一個設(shè)備發(fā)送和 /或傳送到另一個設(shè)備的一組數(shù)據(jù)���。防火墻技術(shù)檢査每個分組(進入 的數(shù)據(jù))����,對每個分組進行分類����,根據(jù)檢查和/或分類結(jié)果,執(zhí)行一個 或多個動作�����。典型的動作有以特定的方式讓分組通過����、攔截分組和 /或為分組尋徑。當(dāng)進行分類時�����,有狀態(tài)的分組過濾器也可以考慮先 前看到的分組�。
00351防火墻102可以允許從發(fā)送方108發(fā)出的數(shù)據(jù)分組104傳輸?shù)?接收方110,發(fā)送方108位于防火墻102的一側(cè)��,接收方110位于防 火墻102的另一側(cè),但這出于舉例目的而非限制目的���。由發(fā)送方108 傳送的預(yù)定抵達接收方110的分組104被中繼���,或者被準(zhǔn)許通過防火 墻102。對于接收方110來說不是預(yù)定的和/或不是合法的分組104被 防火墻102攔截��,從而不會被中繼到接收方110��。這樣��,接收方IIO 就意識不到��、也不會收到接收方110非預(yù)期的分組和/或不想要的分 組�。0036接收方110能夠與防火墻102通信,從而提供一套策略規(guī)則��, 這些規(guī)則關(guān)于發(fā)送方108和/或接收方110希望防火墻102讓其通過 的分組104以及接收方110希望防火墻102將其攔截的分組��。這樣���, 接收方110充當(dāng)服務(wù)器��。換言之����,接收方110可能想讓外部的發(fā)送方 108聯(lián)系接收方110。因此����,接收方110能夠直接與防火墻102通信�, 從而動態(tài)地更新策略。0037接收方IIO還能夠通過檢查被動套接字列表�,自動地判斷哪些 流或分組104是想要的。例如�,接收方IIO可以打開或創(chuàng)建一個被動 套接字,以充當(dāng)服務(wù)器�。接收方110通知防火墻102,發(fā)往該套接字 的分組104應(yīng)當(dāng)傳輸?shù)浇邮辗?10���。如果接收方關(guān)閉與web服務(wù)器的 聯(lián)系��,先前創(chuàng)建的被動套接字就關(guān)掉��。接收方110可以將被動套接字 關(guān)掉通知防火墻102���,并請求防火墻102拒絕發(fā)往該被動套接字的其 他所有業(yè)務(wù)。0038接收方110也可以將分組106通過防火墻102中繼到發(fā)送方 108���。這樣�����,接收方110充當(dāng)客戶機�����,防火墻102可以根據(jù)各種協(xié)議 和技術(shù)��,阻斷分組106��,或者允許將分組106傳送到發(fā)送方108���。例 如��,防火墻102可以根據(jù)網(wǎng)絡(luò)提供商預(yù)定的標(biāo)準(zhǔn)��,讓分組106通過或 將其拒絕����。防火墻102還可以根據(jù)該分組的原定接收方(這種情況下 為發(fā)送方108)確立的策略�,為分組106尋徑。因此�,防火墻102可 以為不同設(shè)備維持不同的規(guī)則或策略集�����。00391圖2示出了客戶機協(xié)助的防火墻配置的系統(tǒng)200����。系統(tǒng)200包 括可能正在通信的防火墻202和主機204 (例如����,移動設(shè)備)�。例如, 主機204可以是蜂窩電話�����、智能電話����、膝上電腦、手持通信設(shè)備���、手 持計算設(shè)備����、衛(wèi)星無線電設(shè)備、全球定位系統(tǒng)����、PDA和/或通過無線 網(wǎng)絡(luò)200通信的其它合適設(shè)備。雖然系統(tǒng)200中可包括多個防火墻 202和主機204��,但是��,應(yīng)當(dāng)理解的是�,為簡單起見,在圖中僅繪出 了單個防火墻202��,它向單個主機204發(fā)送通信數(shù)據(jù)信號�。0040主機204包括一個發(fā)射機206,主機204可以通過發(fā)射機206 發(fā)起數(shù)據(jù)流或通信會話和/或請求對防火墻202維護的策略進行更新。 主機還可以包括接收機208�,主機204可以通過接收機208從防火墻 202接收對策略的確認(rèn)或拒絕和/或可以接收數(shù)據(jù)流或分組。響應(yīng)���。當(dāng)主機202發(fā)出數(shù)據(jù)流時��,它起的作用^似于客戶機���,故被視 為"主動的"。當(dāng)主機202對數(shù)據(jù)流給予響應(yīng)時���,它起的作用類似于 服務(wù)器��,故被視為"被動的"�。主動流被視為出去的,而被動流是進 入的��。
存儲器412可以存儲與預(yù)期分組�、分組流、發(fā)送方����、通信類型 等有關(guān)的協(xié)議,并采取措施去控制主機和防火墻402之間的通信等����, 從而�,系統(tǒng)400可以使用存儲的協(xié)議和/或算法,降低無線網(wǎng)絡(luò)中的 通信業(yè)務(wù)量����,如上所述。應(yīng)當(dāng)理解的是�����,這里描述的數(shù)據(jù)存儲(例如, 存儲器)部件可以是揮發(fā)性存儲器�����,也可以是非揮發(fā)性存儲器�����,還可 以包括揮發(fā)性存儲器和非揮發(fā)性存儲器�����。非揮發(fā)性存儲器可包括只讀 存儲器(ROM)��、可編程ROM (PROM)��、電可編程ROM (EPROM)����、 電可擦除ROM(EEPROM)或者閃存,這些只是舉例�����,而無限制意味����。 揮發(fā)性存儲器可包括隨機訪問存儲器(RAM)���,它充當(dāng)外置的高速緩沖 存儲器。RAM的形式很多�����,例如����,同步RAM(DRAM)、動態(tài)RAM (DRAM)���、同步DRAM (SDRAM)��、雙數(shù)據(jù)速率SDRAM (DDR SDRAM)、增強型的SDRAM (ESDRAM)��、同步鏈路DRAM (SLDRAM) 和直接Rambus RAM (DRRAM)���,這些只是舉例���,而無限制意味����。所 公開實施例的存儲器412意在涵蓋這些類型和其它任何合適類型的 存儲器���,但不限于此�。00581圖5所示的系統(tǒng)500用于配置防火墻和降低網(wǎng)絡(luò)業(yè)務(wù)量���。圖示 的模塊可以是功能塊����,其代表用處理器��、軟件或其組合(例如���,固件) 實現(xiàn)的功能�����。系統(tǒng)500可以包括檢測器502�����,后者可檢測網(wǎng)絡(luò)中的一 個或多個防火墻�����。通信器504可以與檢測到的防火墻通信����。這樣的通 信可以包括、但不限于請求建立會話�����、指明讓指定進入流通行��、撤 消一個或多個進入流�����、或其它類型的通信��。系統(tǒng)500還包括更新器 506���,后者能夠更新與防火墻相關(guān)的策略。更新策略可以包括由系統(tǒng) 500自動確定的對現(xiàn)有策略的改變或者由用戶手工輸入系統(tǒng)500的改變�。[0059在一些實施例中,系統(tǒng)500還可以包括檢查器508和指定器510。檢査器508能夠檢查打開的網(wǎng)絡(luò)套接字的列表�,這些套接字可 以是打開的被動網(wǎng)絡(luò)套接字。當(dāng)偵聽被動套接字時��,指定器510能夠 對防火墻產(chǎn)生合適的請求����,當(dāng)被動套接字關(guān)閉時,可以產(chǎn)生撤消����。如 果系統(tǒng)500正在從斷開的或終止的會話中恢復(fù),則當(dāng)前列表中的被動 套接字可以列舉出來�����,以產(chǎn)生合適的請求����。!0060對于以上所述的示例性系統(tǒng),參照圖6—8有助于更好地理解 可以根據(jù)各個實施例的一個或多個方面實現(xiàn)的方法����。雖然為了便于說 明而將方法描述和顯示成一系列的動作(或者,功能塊)�����,但應(yīng)當(dāng)理 解的是,動作的次序不會對方法構(gòu)成限制����,這是因為,根據(jù)這些方法����, 一些動作可以按不同的次序發(fā)生和/或與圖示之外的其它動作同時發(fā) 生。此外�����,為了實現(xiàn)根據(jù)所述實施例的一個或多個方面的方法�����,并不 需要執(zhí)行圖示的所有動作���。應(yīng)當(dāng)理解的是�,各種動作可以用軟件�����、硬 件、軟硬件組合或執(zhí)行與這些動作相關(guān)功能的其它合適的手段(例如�����, 設(shè)備��、系統(tǒng)�、過程�、部件)來實現(xiàn)。還應(yīng)當(dāng)理解的是�����,這些動作只是 以簡要的方式說明本申請的特定方面����,而這些方面也可以用較少和/ 或較多數(shù)量的動作來加以說明。此夕卜���,為了實現(xiàn)以下方法���,并不需要 執(zhí)行圖示的所有動作。本領(lǐng)域普通技術(shù)人員將會明白��, 一種方法當(dāng)然 也可以表示成一系列相關(guān)的狀態(tài)或事件,例如在狀態(tài)圖中����。0061圖6是動態(tài)地準(zhǔn)許合法進入數(shù)據(jù)流通行的方法600的流程圖。合法進入數(shù)據(jù)流是設(shè)備事先請求過的����。例如,設(shè)備根據(jù)先前接收的流 可以知道或者推斷出�,如果它收到特定類型的業(yè)務(wù)、來源特定的業(yè)務(wù) 等���,就將丟棄該流�����,或者在設(shè)備收到時就將拒絕接收該業(yè)務(wù)����。設(shè)備還 可以根據(jù)用戶指定的參數(shù)�,得到該信息。不是等待直到在設(shè)備處接收 到這些非預(yù)期和/或非預(yù)定流為止�����,設(shè)備可以在將流發(fā)送到設(shè)備之前 識別這些流(例如,類型�����、源等)����,從而利用寶貴的帶寬和資源����。0062方法600始于602,其中��,接收到通行請求�����。通信請求包括的 信息關(guān)于類型�����、信源(移動設(shè)備希望從中接收通信)等����。該信息可由 設(shè)備預(yù)定����,并保存在網(wǎng)絡(luò)外圍或防火墻上����。如果已經(jīng)收到某些業(yè)務(wù)流 的通行請求,則將其發(fā)送到設(shè)備����。如果沒有收到某些業(yè)務(wù)流的通行i青 求,則在將其發(fā)往設(shè)備之前就將其攔截�。
00631可以用各種標(biāo)準(zhǔn)來指定流,流應(yīng)當(dāng)匹配傳輸標(biāo)準(zhǔn)����。在有些實施 例中,各種標(biāo)準(zhǔn)可以是流不應(yīng)當(dāng)匹配的信息�。例如,標(biāo)準(zhǔn)可以是分組 報頭中的一些或所有字段����。報頭是消息的一部分,其包含的信息指導(dǎo) 消息如何到達正確的目的地����。報頭中包括發(fā)送方地址��、接收方地址�、 優(yōu)先級�����、路由指令��、同步脈沖等等�。IP分組可以具有較高層協(xié)議報頭��, 例如���,網(wǎng)際控制消息協(xié)議(ICMP)���、用戶數(shù)據(jù)報協(xié)議(UDP)和/或傳輸控 制協(xié)議等(TCP)。標(biāo)準(zhǔn)可以包括準(zhǔn)確值��、值列表和/或值域���。0064在604中���,判斷是否已經(jīng)收到撤消請求�����。撤消請求可以針對指 定的流�����,或者����,它可以針對先前請求過的所有流�����。如果604的判斷結(jié) 果為沒有收到撤消請求("否")���,則方法600繼續(xù)進行到606���,于是 允許流傳送到設(shè)備。如果604的判斷結(jié)果為已經(jīng)收到撤消請求 ("是")����,則方法600繼續(xù)進行到608,于是,在向設(shè)備發(fā)送之前攔 截通行�。圖7是自動恢復(fù)數(shù)據(jù)流的方法700的流程圖。在有些情況下�����, 由于各種原因��,通過請求遠程防火墻準(zhǔn)許發(fā)往至少一個打開套接字通 行而建立的會話可能會斷開��、中斷或終止����,這時需要提供自動恢復(fù)。 在702中����,主機和/或防火墻檢測到斷開的會話�����。由于協(xié)議定期地在 兩個方向上交換(例如����,進入、外出)分組,所以��,主機和防火墻都 能及時意識到斷開的會話���,在多數(shù)情況下�����,幾乎與會話斷開出現(xiàn)時間 相同�����。這樣的意識可能是沒有觀察到來自對等方設(shè)備的業(yè)務(wù)所致���。這 可以作為協(xié)議本身的一部分執(zhí)行,或者�����,由下層的傳輸(例如��,TCP 存活段)來提供�。上面的描述包括一個或多個實施例的舉例。當(dāng)然�,我們不可能 為了描述這些實施例而描述部件或方法的所有可能的結(jié)合�,但是本領(lǐng) 域普通技術(shù)人員應(yīng)該認(rèn)識到���,這些實施例可以做進一步的結(jié)合和變 換�。因此��,本申請中描述的實施例旨在涵蓋落入所附權(quán)利要求書的精 神和保護范圍內(nèi)的所有改變����、修改和變形。此外����,就說明書或權(quán)利要 求書中使用的"包含"一詞而言,該詞的涵蓋方式類似于"包括"一 詞�����,就如同"包括" 一詞在權(quán)利要求中用作銜接詞所解釋的那樣���。
權(quán)利要求
1、 一種為了減少不想要的網(wǎng)絡(luò)業(yè)務(wù)量而由移動設(shè)備用來配置防 火墻的方法��,包括與網(wǎng)絡(luò)防火墻建立網(wǎng)絡(luò)連接�����;以及 與所述網(wǎng)絡(luò)防火墻進行通信,以管理網(wǎng)絡(luò)業(yè)務(wù)量�����。
2�、 權(quán)利要求1的方法,還包括 檢測是否已經(jīng)創(chuàng)建了被動套接字����;以及 請求所述網(wǎng)絡(luò)防火墻準(zhǔn)許發(fā)往所述被動套接字的流通過。
3���、 權(quán)利要求2的方法����,還包括 關(guān)閉web服務(wù)器����; 消滅所述被動套接字; 聯(lián)系所述防火墻����;以及請求所述防火墻拒絕發(fā)往所述被動套接字的流通過����。
4�����、 權(quán)利要求2的方法��,還包括 判斷所述被動套接字是打開的還是關(guān)閉的����;以及 如果所述套接字是打開的,則準(zhǔn)許發(fā)往所述被動套接字的其它通信通過����。
5、 權(quán)利要求2的方法���,還包括-判斷所述被動套接字是打開的還是關(guān)閉的����;以及 自動撤消讓所述防火墻準(zhǔn)許發(fā)往所述被動套接字的流通過的請
6��、 一種讓主機從斷開的會話中自動恢復(fù)的方法��,包括請求遠程防火墻準(zhǔn)許發(fā)往至少一個打開的套接字的分組通行;檢測到斷開的會話�����; 撤消發(fā)往至少一個打開的套接字的分組請求�����;重建新的會話��;以及請求讓預(yù)期流通行�。
7、 權(quán)利要求6的方法�����,請求準(zhǔn)許發(fā)往至少一個打開的套接字的 分組通行包括生成當(dāng)前打開套接字的列表���。
8���、 權(quán)利要求6的方法,請求讓預(yù)期流通行包括 再生所述打開套接字列表�。
9、 權(quán)利要求6的方法��,檢測到斷開的會話包括確定所述至少一個打開的套接字是關(guān)閉的。
10�、 權(quán)利要求6的方法,檢測到斷開的會話包括 沒有觀察到來自對等方設(shè)備的業(yè)務(wù)量�。
11、 一種用于配置網(wǎng)絡(luò)防火墻的移動設(shè)備��,包括處理器����,其分析與為了減少業(yè)務(wù)量而配置防火墻有關(guān)的信息;以及存儲器�,其可操作地連接到所述處理器。
12�����、 權(quán)利要求ll的移動設(shè)備�,還包括 建立器,其與外部信源建立通信�����;以及指定器��,其指定與從所述外部信源接收的分組有關(guān)的參數(shù),并將 所述參數(shù)傳送到防火墻����。
13��、 權(quán)利要求12的移動設(shè)備�,所述外部信源是web服務(wù)器。
14��、 權(quán)利要求12的移動設(shè)備��,所述參數(shù)是打開的被動套接字����。
15、 權(quán)利要求12的移動設(shè)備�,還包括 無效器,其請求撤消至少一個參數(shù)的通行�。
16、 權(quán)利要求11的移動設(shè)備�,還包括發(fā)射機,其向防火墻傳送至少一個策略更新�;以及接收機,其從防火墻接收對所述策略的確認(rèn)或拒絕��。
17���、 一種在移動設(shè)備中用于減少網(wǎng)絡(luò)業(yè)務(wù)量的裝置��,包括 檢測模塊��,其檢測至少一個防火墻�����;通信模塊�����,其與所述至少一個防火墻通信����;以及更新模塊,其動態(tài)地更新與所述至少一個防火墻有關(guān)的策略���。
18�、 權(quán)利要求17的裝置�����,還包括 監(jiān)視模塊,其監(jiān)視被動套接字的列表��。
19�、 權(quán)利要求17的裝置,還包括指定模塊��,其指定預(yù)期的進入流��。
20���、 一種用在移動設(shè)備中的計算機可讀介質(zhì),所述介質(zhì)包括用于 以下操作的計算機可執(zhí)行指令建立網(wǎng)絡(luò)連接�����;檢測與所建立的網(wǎng)絡(luò)連接有關(guān)的被動套接字����; 聯(lián)系防火墻;以及請求所述防火墻準(zhǔn)許發(fā)往所述被動套接字的流通過����。
21、 權(quán)利要求20的計算機可讀介質(zhì)���,還包括用于以下操作的計 算機可執(zhí)行指令斷開所述網(wǎng)絡(luò)連接���; 消滅所述被動套接字���; 聯(lián)系所述防火墻;以及請求所述防火墻拒絕發(fā)往所消滅的被動套接字的流通過�����。
22���、 權(quán)利要求20的計算機可讀介質(zhì)��,還包括用于以下操作的計 算機可執(zhí)行指令判斷所述被動套接字是打開的還是關(guān)閉的�;以及 如果所述套接字是打開的�����,則準(zhǔn)許發(fā)往所述被動套接字的其它通 信通過���。
23�、 權(quán)利要求20的計算機可讀介質(zhì)�,還包括用于以下操作的計 算機可執(zhí)行指令判斷所述被動套接字是打開的還是關(guān)閉的��;以及 如果所述被動套接字是關(guān)閉的���,則自動撤消讓所述防火墻準(zhǔn)許發(fā) 往所述被動套接字的流通過的請求。
24���、 一種用在移動設(shè)備中的處理器���,用于執(zhí)行動態(tài)地更新防火墻策略的指令,所述指令包括 檢測至少一個防火墻�;與所述至少一個防火墻通信��;以及 動態(tài)地更新與所述至少一個防火墻有關(guān)的策略�����。
25�、 權(quán)利要求24的處理器,所述指令還包括 與斷開會話大約同時��,自動撤消所述策略�����。
26、 一種動態(tài)地配置防火墻的手機���,包括-初始化器���,其與防火墻建立會話;指定器�,其指定至少一個流,并將所述至少一個流傳送到防火墻;以及無效器����,其能撤消所述至少一個流的通行。
27����、 權(quán)利要求26的手機,所述指定器指定與至少一個分組相關(guān) 的參數(shù)����。
28、 權(quán)利要求27的手機��,所述參數(shù)包括以下之一 準(zhǔn)確值�����、值列表、值域和打開的套接字����。
29、 權(quán)利要求27的手機���,所述無效器撤消所述至少一個分組的 通行����。
30����、 權(quán)利要求26的手機,所述指定器請求來自一個或多個發(fā)送 方的分組�����。
31�����、 權(quán)利要求30的手機�,所述無效器撤消從一個或多個發(fā)送方 請求分組�����。
32、 權(quán)利要求26的手機�����,所述無效器根據(jù)至少一個分組參數(shù)��, 自動撤消所述通行����。
33、 權(quán)利要求26的手機���,所述無效器根據(jù)用戶輸入���,撤消所述 通行。
全文摘要
本發(fā)明描述了配置防火墻和/或減少網(wǎng)絡(luò)業(yè)務(wù)量的技術(shù)���。根據(jù)一個實施例的一種方法用來配置防火墻���,以減少不想要的網(wǎng)絡(luò)業(yè)務(wù)量。該方法包括運行web服務(wù)器��;檢測是否已經(jīng)創(chuàng)建了被動套接字。該方法還包括與防火墻建立聯(lián)系��;請求防火墻讓發(fā)往被動套接字的流通過���。根據(jù)有些實施例�����,該方法可以包括關(guān)閉web服務(wù)器���;關(guān)閉被動套接字?����?梢杂盟P(guān)閉的被動套接字的信息���,聯(lián)系防火墻�,并向其發(fā)送不讓發(fā)往所關(guān)閉被動套接字的流通過的請求�。如果關(guān)閉了被動套接字����,該方法可以自動撤消發(fā)給防火墻的讓發(fā)往被動套接字的流通過的請求��。
文檔編號H04L29/06GK101124801SQ200580048443
公開日2008年2月13日 申請日期2005年12月21日 優(yōu)先權(quán)日2004年12月21日
發(fā)明者G·G·羅絲, M·帕登, P·M·霍克斯 申請人:高通股份有限公司