The present invention, generally speaking, provides a firewall that
achieves maximum network security and maximum user convenience. The
firewall employs "envoys" that exhibit the security robustness of
prior-art proxies and the transparency and ease-of-use of prior-art packet
filters, combining the best of both worlds. No traffic can pass through
the firewall unless the firewall has established an envoy for that
traffic. Both connection-oriented (e.g., TCP) and connectionless (e.g.,
UDP-based) services may be handled using envoys. Establishment of an envoy
may be subjected to a myriad of tests to "qualify" the user, the requested
communication, or both. Therefore, a high level of security may be
achieved. The usual added burden of prior-art proxy systems is avoided in
such a way as to achieve fall transparency-the user can use standard
applications and need not even know of the existence of the firewall. To
achieve full transparency, the firewall is configured as two or more sets
of virtual hosts. The firewall is, therefore, "multi-homed," each home
being independently configurable. One set of hosts responds to addresses
on a first network interface of the firewall. Another set of hosts
responds to addresses on a second network interface of the firewall. In
one aspect, programmable transparency is achieved by establishing DNS
mappings between remote hosts to be accessed through one of the network
interfaces and respective virtual hosts on that interface. In another
aspect, automatic transparency may be achieved using code for dynamically
mapping remote hosts to virtual hosts in accordance with a technique
referred to herein as dynamic DNS, or DDNS.
Η παρούσα εφεύρεση, γενικά, παρέχει μια αντιπυρική ζώνη που επιτυγχάνει τη μέγιστη ασφάλεια δικτύων και τη μέγιστη ευκολία χρηστών. Η αντιπυρική ζώνη υιοθετεί "envoys" ότι έκθεμα η ευρωστία ασφάλειας των πληρεξούσιων προγενέστερος-τέχνης και της διαφάνειας και ease-of-use των φίλτρων πακέτων προγενέστερος-τέχνης, συνδυάζοντας το καλύτερο και των δύο κόσμων. Καμία κυκλοφορία δεν μπορεί να περάσει μέσω της αντιπυρικής ζώνης εκτός αν η αντιπυρική ζώνη έχει καθιερώσει έναν απεσταλμένο για εκείνη την κυκλοφορία. Και οι προσανατολισμένες προς τη σύνδεση (π.χ., TCP) και χωρίς σύνδεση (π.χ., uδπ-βασισμένος) υπηρεσίες μπορούν να είναι αντιμετωπισμένη χρησιμοποίηση envoys. Η καθιέρωση ενός απεσταλμένου μπορεί να υποβληθεί σε μια μυριάδα των δοκιμών για "να είναι κατάλληλη" το χρήστη, τη ζητούμενη επικοινωνία, ή και των δύο. Επομένως, ένα υψηλό επίπεδο ασφάλειας μπορεί να επιτευχθεί. Το συνηθισμένο προστιθέμενο φορτίο των συστημάτων πληρεξούσιου προγενέστερος-τέχνης αποφεύγεται με τέτοιο τρόπο ώστε να επιτευχθεί η πτώση που ο διαφάνεια- χρήστης μπορεί να χρησιμοποιήσει τις τυποποιημένες εφαρμογές και να μην χρειαστεί να ξέρει ακόμη και για την ύπαρξη της αντιπυρικής ζώνης. Για να επιτύχει την πλήρη διαφάνεια, η αντιπυρική ζώνη διαμορφώνεται ως δύο ή περισσότερα σύνολα εικονικών οικοδεσποτών. Η αντιπυρική ζώνη είναι, επομένως, "πολυ-κατευθυνμένος αυτομάτως," κάθε σπίτι που είναι ανεξάρτητα διαμορφώσιμο. Ένα σύνολο οικοδεσποτών αποκρίνεται στις διευθύνσεις σε μια πρώτη διεπαφή δικτύων της αντιπυρικής ζώνης. Ένα άλλο σύνολο οικοδεσποτών αποκρίνεται στις διευθύνσεις σε μια δεύτερη διεπαφή δικτύων της αντιπυρικής ζώνης. Σε μια πτυχή, η προγραμματίσημη διαφάνεια επιτυγχάνεται με την καθιέρωση dns των χαρτογραφήσεων μεταξύ των μακρινών οικοδεσποτών που προσεγγίζονται μέσω μιας από τις διεπαφές δικτύων και των αντίστοιχων εικονικών οικοδεσποτών σε εκείνη την διεπαφή. Σε μια άλλη πτυχή, η αυτόματη διαφάνεια μπορεί να επιτευχθεί χρησιμοποιώντας τον κώδικα για δυναμικά να χαρτογραφήσει τους μακρινούς οικοδεσπότες στους εικονικούς οικοδεσπότες στη συμφωνία με μια τεχνική καλούμενη εν τω παρόντι δυναμικό dns, ή DDNS.
