TW200915126A - Systems, methods, and media for firewall control via process interrogation - Google Patents

Description

200915126 九、發明說明： 【發明所屬之技術領域】 本發明係狀捕處㈣統之倾，具體言之，係屬於 施回應程序訊狀防火牆控辩、統⑽統、方法、及媒體、。、 【先前技術】 ，腦系統係f知技術’且已廣泛使用於提供今日現代生活 向之计异能力。隨著半導體製程之進步，以及電腦結 腦硬體效能，許多彻此高魏硬體之更精密的 ϊίϊ繼產生’使得電腦系統持續增加其複雜度及能力。 电自系統㈤化絲極端精密H而可能有許多不同之設 腦纽通倾崎纟職錢_鱗接稍其他電腦系 j接、棘資訊或其他#源或執行錄與雜、個人銀行、 :商務^或其他事務有關之工作項目。然而，經由網際網 路連接到其他電《統转來遭受㈣腦係統讀存於其中 、病蟲、特洛伊木馬程式、‘轉財或其他種類 L旦之知人風險。系統開發者通常利祕火牆控制進出網路之 里乂幫助保s蒦電腦系統免於外界攻擊並控制 訊之進出。 防火牆產品’其通常以軟體應用程式形式散佈，可視為落 也、大項、或中.公司網路防火牆及個人防火牆。公司網路防火 ^，亦稱為^網路防火牆或非個人防*牆）監視網路瓶頸之流 里例如么司内部網路與網際網路之介面處。在此位置，公司 200915126 内部網路之所有電腦可被保護’而免於内部網路之外來自網際 網路之威脅。對公司或其他組織而言，此係具成本效益且有效 率之％决方案，因為防火牆產品僅需被安裝，且管理於網際網 路及内部網路間之一或多個關鍵網路介面。公司網路防火牆亦 可監視網路瓶頸之流量，例如公司總網路與高安全性之公司網 路（如實驗室或研發組織）交界之處。 弟一大類之防火牆產品係個人防火牆而直接作用於單一 電腦系統。有些係以獨立之應用程式方式散佈或提供，而有些 係女裝於作業系統内’例如微軟公司之Microsoft® Windows 防火)fej。^個人防火牆保護電腦糸統免於外來之無線或有限網 路”面之威脅時，其設定、偏好及效能通常較為有限（與公司 網路防火牆相比）。 〃 此些防火牆提供某些客制化之能力以限制、允許或監視特 疋耘式之嘗試傳送或取得資料。目前此些決定可根據該使用者 I 連接之網路子集、日期或時間、是否要求資料進入或送出、是 否要求資料係與某些通訊協定（TCP、UDP、TCP及UDP、 以及ICMP)有關、接受或傳送資料或使用之通訊埠號碼、π 位置或要求資料被傳送或所從接收之網路、以及所使用之使用 者網路配接器’而有不同之回應。某-用於具有WiFi存取處 ，，決方案’係要求❹者在使用WlFi連接之前，先透過割 覽器驗證（如利用信用卡付款）。此解決方案需要使用者知道 該程式，而先啟動以進行驗證，且僅提供簡單之允許/拒絕防 200915126 火牆回應。減地，此些麟转僅提供麵歧之控制，而 未對於通雜火狀龍封包贿精密及鱗之控制。 【發明内容】 r\ /上述之問題大部分可由實施回應程序訊問之防火牆控制 糸統之系統、方法及雜㈣得解決。本發露—種控制使 用者電腦祕之防火牆的方法。本方法之實_可包含於防火 牆接收讀請求’龍請求與❹者電腦系統之—程式相關 t目本亦可包含枚此相_之程式是否存有程 2則’其中程序規則包含使用者電·統之程序所欲符合之 條=。本方法之實施例亦可包含因應決定程序酬確實存在， 定蚊程序讀關方法，叹決定錄权現時狀態。 ^法之實施例亦包含根據程序現時狀態決定是否符合程序 庳1扣及利用心的鑑定方法。本方法之實施例亦可包含因 =決疋疋否符合程序規則的條件，以執行—或多個防火牆行 動。 =m施例提供-電腦程式產品，其包含電腦可使用之媒 ㈣二可讀取程式’其中當該電腦可讀取程式於電腦 =ΓΓ會使電腦執行—連串動作以控制防火牆。此一連串 Ϊ=Ι包含於防火牆接收㈣請求，蹄料請求與該使用者 ::程式關聯。此-連串動作亦可包含亦決定此相關 統之裎i二二則^中程序規則包含使用者電腦系 人心〇之彳1木件。此一連串動作亦可包含因應決定程 200915126 序規則確#存在，以決定歡程序之狀㈣方法，以及決定此 程序之現時狀態。此一連串動作亦包含根據程序現時狀態決定 是否符合程序酬’以及利収定的鑑定方法。此—連串動作 亦可包含0應財是否符合程序制的條件，吨行 防火牆行動。 ^ 戸'例杈供貫她於電腦系統之防火牆系統。該防火牆 糸統可包含網路堆4，用以訊問進人及送出之f料封包，且^ ”應用-或多個防火舰則，以允許或拒絕該觸封包對程式 防火牆系統亦可包含程序訊問控制器，用以與該_ 包進厂步控制資料封包之存取。程序訊問控制器可 J二Ξ 程序儲存介面模組、程序狀態分析器、以及 仃動㈣器。程序監控料蚊使用者電腦纽之 2狀儲存介面模組可接收與特定程式相關聯的程序

U 的條件、It _包含個者電料統之蚊程序所欲符合 程序❹讀器可根触序猶狀態，決定是否符合 口應疋否符合程序之程序規則的決定。 【實施方式】 本發明將伴隨圖式詳述如下 描述僅係為了清姑 j 丁之貝鉍例以此詳細方式 發明可預如，\ _之細節並非意於限制本 味4之交化，相反地，本發明 所描述之為本發—月應/函盍所有申請專利範圍 月‘神及粑圍所涵I之所有修正、均等、或替 200915126 換。下述描述係供熟此技藝者能對實施例清楚地了解。 大體而言，本發明減祕喊财 系統之系統、方法以及媒體。方法 =订防火控制 用者電腦系統之-程式相關聯。 其中程序規則包含電腦使用者系統之程序 本方权錢解私含目應蚊此相 有:序確實存在，以決雜枝序之狀態的方法，以 ί ^ ί Γ法之#施财包含轉料爾狀態決 疋疋否付5私序規則，以及利用決定的鑑定方法。本方法 ^例亦可包含因應蚊是否符合程序賴的條件， ^ 多個防火牆行動。 τ ^ 所揭露實_之系統與方法藉由制者電腦系統之 私序訊.提供有效且有效率的控制，進而根據目前執行於使 纽之特定程序及其狀態，，微調”防火牆控制。根據所 揭路之貫域之防火牆具有能力檢測錢者電㈣統之有效 私士的狀悲’以執行防火牆行動(例如允許或禁止存取、重 將貝料封包導向另-個系統、或以開始監視作為回應）。因此 可較精細地控制防火牆’特別是對於個別程式之控制防火牆使 用率。往返特定程式的將流可因此根據執行於使用者電^系 統的其他程序而受到控制。舉例而言，若一或多個高頻寬程式 (好比微軟NetMeetmg或遠端控制程式)正在執行時，防火牆可 200915126 =阻擔特定點對點（peertopeer，p2p)傳遞之資料。所揭露系 統對於所有軸之軟體防火牆均有效，包含個人以及非個父 (網路）防火牆。 言，實施本發明實施例所執行之例行程序可為特定 =程式、元件、程式、模組 '物件或指令序列之—部分 Ο 機心買取之格式，而因此係可執行之指令。 財轉、在織針或麵錢置_之 外，觸叙乡_式可基 是;應瞭義 供用於任何_頓===^應受限於僅 ，描述如後之特定實施例參照硬體或軟體 等：技藝軟者體==實施，_其‘ 發明可《整個硬體實施例、整=^i3f何組合。本 中，其包含但贼行於軟趙 使用多個分離系统(如 (如具有平行處理能力之單—系^專）或—内多工處理架構 200915126 此處所描述本發明之各面向 取媒體以及可電子式地散佈於網 ϋ 敢佈於電腦可讀 網路。本發明特別之資料結構及資料他網路’例如無線 亦涵蓋於本發明之範圍中。此外，、=(包含無線之傳輪） (提供程柄餘觸讀取媒體

C 或電腦可讀取媒體，係可以是任何可包含儲，可使用媒體 或傳輸用於或與該指令執m 通訊、傳播 體可以是電子的、磁性的、井與的、=裝置有關之程式。媒 體系統（或裝置或执備）切:、電磁的、紅外線的或半導 包含半導體或固態記㈣、磁册取媒體之例子 fRAivn ^ 移除電辦碟、隨機存取 u體（RAM)、唯讀記憶體（R〇M) 目前現行之光學碟之例子包含光磾唯 4先子碟。 (CO-K/W) ；；Dtt " Ο 處描述之每—錄體程式可以任何麵之資料處理系 =:資料處理系統，係可包含至少一處理器直接或 =、、、先匯k排與記憶體元件編I記㈣元件可包含用於執行 =碼、大量儲存之本區記憶體，α及提供至少某些程式碼之 曰谓存（峨少程序碼所f從大魏存裝置取得資料之時 e^夬取5己憶體。輸入/輸出裝置1/0 (包含但不限於鍵盤、 指向裝置等）可直接地或透過中介1/0控制器而柄接 〜網路配接器也可耦接於系統，以使該資料處理裴置可 200915126 以與其他資料處理系統或遠端印表機或儲存裳置，透過中 人或公共網路（包含無線網路）_接。數 以及乙太網路卡為目前可使用之網路配接器的幾個=據械 产产f 卜圖1顯示本㈣實_之防火牆控制系統之 =级儲存ΐ使，者電腦系統、防火牆、複數個標的飼服器以 火=:r。。包含使用 者雷腦㈣…、透過火 與網路104聯繫。使用 腦系統102可勺If過防火牆120與網路4 〇4通訊。使用者電 於網路104。使^^1多=程式m ’以傳送或接收資訊往返 在一特定時咖ϋ Γ2亦可具有一或多個程序114, 使用者雷腦条Μ ,，、上。如下坪述，防火牆120可跟執行於 114，㈣往_定程式出的 之程序需求相存器1G8(其包含特定程式112 線作間接通5啦接通訊’或透過網路104或其他連 元件之Ϊ 或者程序儲存器刚可包含於防火牆120或其 使用者電腦系鲚1Λ 程式112，或者_； 02之使用者可在其一般使用期間使用 程式112之次2可自動執行而無須使用者介入。往返 的控制。程^12$；⑽輸與触可有利齡顺火牆U0 覽器、點對點客戶/ί任何類型的軟體應用程式，其包含劉 應用程式、網際網郵件程式、齡移轉程式、桌上型 兒。舌C、用裎式、遠端控制應用程式、視訊 200915126 會議應用程式、或任何類型的應 軟體程序，執行於處理器，或可包含任何 憶體，並可包含與程式112 __ 式、作業系統程序、或任何其他程序 、他女王程 根據本實施例’使用者可使 牆12〇存取網路刚，以傳送或接收資訊。使用 其他於執行電腦程式之電== :個膝上型電腦、桌上型 ㈤OP box)，如同圖2之相關描述电例如盒 使用者介面與使用者電腦系統10 p以透過 112相關聯的程序114。 冑《%與特定程式 網路104可卩私何麵之㈣聯 合改通道之例為·'網際網路、區域網路、_、二 網路、無線網路、電話網路、專有 乙太 —實施例中，網際網路可作為網路1〇4，線網路。在 使用者電腦系統102免於來自網際 、@ 120可保護 瞭解本發明於此之描述，將可利用;^之威脅。熟此技藝者將 其組合，而不悖離本發明之範圍及精神。奴貪料聯繫通道或 防火牆120可為實施於好比使用者電腦 統的軟體嶋(麵罐牆 14 200915126 系統之電腦系統的軟體防火牆(作為企業防火牆）。範例防火牆 包含赛門鐵克公司、Checkpoint®軟體科技有限公司、微軟公 司McAfee公司、以及Lavasoft等所提供的防火牆。非個人 防火牆供應商包含好比思科系統公司、NetGear有限公司、 Unksys (其為思科公司之一部門）、以及TRENDnet等公司。 如洳述，防火牆120可控制使用者電腦系統102與網路1〇4 間之資料封包流。防火牆12〇可包含網路堆疊122與處理訊問 控制。。124。網路堆疊122係防火牆軟體的構件之一，其訊問 - *出㈣封包’並對其施以許㈣火牆規則，以允許或禁止進 f主機的封包存取。防火牆規則包含根據使用者目前所連線的 網路子組、曰期或時間、請求資料係進入或離開資料、請求資 料係屬於某—協定(TCP、UDP、TCP與UDP、以及ICMP)'、 接收或傳送資料的通訊埠號碼、傳送或接收請求資料的正位 址或網路、以及使用者所使狀網路配料，而允許或禁 止封包存取。

浐庠：':;：上，其詳述程序訊問控制器124 ’根據所述實施例， ‘資料封:1:124係可與網路堆疊122通訊，並可進-步提 出、，傳輸^接 每::料封包可具有相關聯之程式 程2 料封包相關聯的程錢否具有一儲存的 統102之特定^存丨的程序規則可包含—或多個使用者電腦系 見貝1决疋耘序丨丨4現時狀態，並可根據 200915126 2不’決疋是否符合程序規則的條件。在作此(符 合或不付合的)決定後，程序訊問控制器m亦可運作一或多 例如若正在執行某程序114或否，則限制資料 Γ 者，可包含任何類型的儲存裝置或其結合 或非揮發儲存器’例如硬碟機、儲存區網路、記 ^程序贿^或其他儲雜置。在某些實施例 中程序規則的加密資料庫。程序細丨 係由产任㈣-、:〜w置 作為個別單獨構件(可能 使用於遠端飼服器或網路伺服器）、或作為 使用者_糸統102或防火牆12〇的一部分。 人個ί^ΓΓ制器124可實施於任何類型的防火牆12〇，包 二，防火Μ用者防⑽。針對個人防火牆而 。防火版120與程序訊問控制器12 所保護的使用者雷腦备紡彳…# μ订XI万火‘ 120 辦用參系統1〇2。猎此’程序訊問控制器124可 人使用去It系統1〇2之程序114的資訊作存取。針對保護多 i腦糸統102的非個人防火牆(好 與路由器防火牆)而言， \匕止業防火牆叹備 端使用者電腦系賴要訊問遠 運作所揭霖之功〜人#5^ 序 ^非個人防火牆 γ ,以做。月“業或“他組織型的實施可提供有效的手 、Ά規則，並將其應用在任何程序Π2供許多不同的 16 200915126 使用者使用。舉例而t^ / 士 流，可能會因鮮理錢=^的/= 特纽式112的資料 統二=二示=:步_所揭露之防火牆控制系 遠端杵制六 右〃、间頻見程式(好比視訊會議軟體或 制私式)相關聯的料m正 态I24可阻擋資料往返點伽玄“山+』枉斤關控制 認可的防毒套裝軟體目1:戶：。在另-範例中’若公司 期），則程庠定時間内岛未更新(好比二星 了那此㊉要124可阻擔資料往返所有程式112(除 -Ι2；；ί：： ^ 用\呈1比p 返使用者電腦系統102，直到所有安全應 全臣透過其程序114作偵訊），好比防毒程式、安 王血栓耘式、監控阻擋器、及其類似者。 圖2顯示適用於作為防火牆控制系統丨〇 〇之元 之實施例之方塊圖，例如使用者電腦系統1〇2。電腦系 有其他的可能實施例，包含具有此處所描述外之能力 可此超過此能力）之電腦’且在其他實施例中，可以是任 合’如工作站、祠服器、電腦主機、筆記型或膝 至！DA、行動電話、無線裝置、機上盒或類似裝置。 緣200之某些元件可被钱於—多層級平面型主 =或^板（其本身可被裝於支架上），以提供電腦系統· 凡件之電連接。電腦系統200可用於執行—或多個標的飼服 200915126 器106、使用者電腦系、统1〇2、防火牆⑽且/或程序儲存哭應。 在所示實施例中，電腦系統200包含處理器2〇2、記憶體\〇6、 使用者介面配接器208、以及連接於匯流排212或其他連接妒 置之顯示配接器⑽。匯流排犯幫助處理器脱與電腦系: 2〇〇之其他元件間之聯繫’各元件間之聯繫亦如是。處理哭搬 可包含-或多個系統中央處理單^ ( cpu)或執行指令^處理 器，例如IBM®之PowerPCTM處理器、Imel pemmm⑧處理器、 Advance Micro Device公司之處理器或任何其他適用之處理 =該處理器2〇2可利用儲存裝置綱，其可具有非揮發儲存 裝置如-或多個硬碟、磁帶機、磁碟機、光碟機、dvd_r

裝置或其他類似褒置。處理器2Q2亦可透過匯流排犯而連 於記憶體206，例如透過記憶體控制集線器、（M = 206可包含揮發性記憶體，例如隨機存取記憶體⑽⑷ 或雙倍資料速率（DDR)同步動態隨機存取$ ) (SDRAM)。例如，在所揭露錢中，處理器观可執触人 以執行防火牆12G之功能（包含程序訊問控制器124)，例: =使用者電腦系統搬之程序，以及分析其 時或永久地儲存船μ存 或§己憶體206中暫 =水久，貝,[例如’在執行其例行程序期間 ‘之程序訊問控制器124可儲存於記憶體2〇6。 $ 使用者介面配接1 208可以使用者介面 或鍵盤222,而連接處理器202。 士 π乳22〇 連接1他種類之使用者矜入”丨面配接器期亦可 安/、他㈣之使用者輸人衣置、例如觸控版 命 200915126 子筆、麥可風等。請求應用程s 112傳送資料的使用者電腦系 統=2之使用者可利用鍵盤222及滑鼠22〇與電腦系統互動] 匯，排212亦可透過顯示配接器210,而連接處理器202與顯 不斋，如LCD顯示器或crt監視器。 …、 圖3係-概念圖，顯示本發明某些實施例之 器=之軟體元件。程序訊問控制器124可執行於如圖2 Γ示 糸統20。中，包含於使用者電腦系統搬（作為個人防 火^之-部分）或於—伺服器（作為網路或其他非個人防火牆 部分)。如前述，程序訊問控制請可與網路堆疊12口2 ;4可3提:資，之進一步存取控制她^^^ 件組態=2含模組302 '條 柱纾皿控為306、程序儲存介面模组3〇8、 程序狀態分析器310、防火牆介面模組320、以及防火牆行動 官理器322。熟此技藝者將瞭解程序訊問控制器a#之^一元 =之功能’射被結合灿_方式魏，且此處 用於便利解釋某些實施例。 义1係 制者介面模組3〇2可促進往返使用者之通訊，其包含與 防火膈120的官理者或使用者電腦系統1〇 接收請求。條件簡㈣4可#特定 === 條件組態模組‘= 曰私式2 ,又疋私序規貝卜在其他實施例中，停且 304可替特定程式112設定標準或預設程序規則好^據管 19 200915126 者的Q好或應用私式供應者的喜好。程序監控器施可監控 ^用者電腦系統搬之程序114現時狀態，包含程序114是否 效’以及其運作的特定細節(例如病毒組態檀的日期）。程序 儲存介面模組308可促進往訪程序儲存器⑽的通訊，其包含 =程序儲存H⑽中之特定應用程式m儲存程序規則的辨 識，以及«程序狀態分析H則之請求存取程序規則。 f

程序狀態分析器310可根據程序規則之程序114現時狀態 ，、疋私序酬的條件。為了完成此任務，程雜態分析器⑽ ^利用程序監控器306所收集的狀態資訊，以及條件組態模組 Μ所建立並儲存於程序儲存器應巾的程序規則。程序狀離 ’刀析器310可因此比對程序規則與使用者電腦系統1〇2之程序 114現時狀態，以“微調”防火牆12〇的控制。此比對節攘 运到防火踏行動管理器322，供防火牆控制之用。 在作過比對之後’防火牆行動管理$ 322彳接著運作許多 防火牆行動作為對槪對_應，例如允許或禁止資料存取， 監控資料封包，或賊導引資料封包辦—裝置。允呼或林止 資料存取可針_式m之部分或全部的流量進行(不管^進 入流量或流出流量或兩者）。資料的重新料(在資料封包轉呈 往返於-特料鱗，亦稱鱗轉呈)亦可作為防火牆行^管 理器322的其中之-動作。防火牆行動管理器322可因此反鹿 使用者電腦系、统10 2目前的有效程序！】4，例如當沒有執 些程序(好比最新防毒軟體)或執行某些程序(好比高資源性的 200915126 應用程式)時，某程度的限制資料封包。防火牆介面模組32〇 可作為程序訊問控制器124與防火牆之其他構件(例如網路堆 疊122)間的介面。 圖4緣示某實施歌態特定財之防火牆之控制的流程 圖400的範例。在一實施例中，流程圖4〇〇的方法可由程序訊 問控制器124之各構件執行。

制的Γ 元件4〇2探查使用者電腦系統中欲被招 ==序。在此元件中，程序監控g 3()6可訊 離=以決定執行於使用者電腦系統之許多程序叫⑽ ί稱=術1 在方法運作其間的任何一時間點運作，- 序訊問控制器124可於元件404接_， 之掉準=3求。此請求係可根據運作控制所欲先決定

者於兀件條，程序訊問控制器124可 之心不’以作為特定程式η2 矛序114 错存於程序儲存器舰之程式條=例如存取 住何方式建畴求中。使用者可以 單，選自擋案系統中所正:行中的程序清 業系統，或其他方l二仃w，珣問已知程序的作 執行檔清單可獨立不=效能;案系統中所找到的 他制心4無須等待冗長的探查作業之—完成k使心序訊 200915126 114於凡，4〇8 ’程序訊問控制器124可決定鑑定一特定程序 却狀悲的方法。決定此方法的來源資訊可能包含執行槽資 的曰案大小、版本、最終修改日期等等）、呼叫程式112 ω ^ΡΙ作業系統貪料庫詢問(好比透過微軟管理介面(WMI) —疋的微=視窗暫存器）、或程序資訊查詢(例如透過規

!定二路獲、優先順序、大小、寫入資料等等)。 114 U4本身(若其為有效，若其為無效）、程序 此方、、、或其他方法。於蚊方塊410， 回到元否而要更多的程序作為條件，若是，則此方法 作為條件之程ΓΓ^ΐίΓ。，以提供建立包含複數個程序114 序114之麻± 24可指派一或多個滿足程 =14之條件時所欲運作的防火牆行動。類似地，於， 私序讯問控制器124可指派—或多個、 所欲運作的防火沪扞動。牲a '私序n4之條件時 114的料赌火牆行動可包含在控制程序 〜表中、或可接收自使用者或管理者 心派防火牆行動之後’程序訊問控制器' 124可儲=°在 的指不、條件、以及防火牆行動於程序儲存哭⑽子^序m 糸、、先102中不同程幻12的程序規則， 吏用者4 程式結合的多使用者系統、個人、或群組程、问使用者/ 程式讯問控制防火 圖5係顯示本發明某些實施例中，根據 22 200915126 牆120的流程圖500之範例。在一實施例中，流裎5〇〇可被防 火牆120的各構件（如程序訊問控制器124)所執行。流程5〇〇 於元件502開始，從防火牆120接收一資料請求。在一實施例 中’元件502可包含程序訊問控制器124，於網路堆疊122接 收所接收封包之指示。資料請求可包含資料封包以及傳送或接 收資料封包、而因此與資料請求有關之特定程式丨12之指示。 Γ ^在收到資料請求後’程序訊問控制器124可決定與此資料 π求相關聯之程序114是否存有—或多個程序規則。若沒有程 序規則’則防火牆12〇(及其網路堆4 122)可根據現有的防火 骑步驟在7〇件518處理資料請求，並在元件52G處理此資料請 求’爾後此方法結束’並回到元件502作進一步的處理。現有 防火牆規則可與方法5〇〇的防火牆行動同時存在。元件训 可選擇性的在方法湖的其他元件前先行運作，或與其他元件 2步運作’而料元件健據程序訊問使雜火牆行動之元 件。在某些實施例中，舉例而言，元件518可以平行的方 =架構下财法其他元件私。在其他實關中，不同 2件可貫施為獨立線程，侧步執行，其中 件可觸發其他線程的取消作業。 A双俅 目，丨„ 糸於兀件520，可根據防火牆規 則而允許'禁止、或部分允許資料請求。 口沉 t關聯的程式m有程序規則存在 定!定相關裎序114之狀態的方法 於兀件508決定使用者電腦系統現時的程序狀態。於步驟 200915126 序可(利用所決定的鑑定方法)根據程 -沒有符合任觸條件。紗決定方塊 啟動一或多個不符合條件日124可於元件514 ^ /、牛卞所欲進行的防火牆行動。於元件 私H控繼12何設定任何旗幟來雌符合條件時所 ㈣(轉動倾在滿足其他敎牆規則時才

义防火牆120可接著根據現有的防火牆步驟於元件训，利 用則述7L件516之任何旗蛾，處理資料請求。流程圖5〇〇方法 因此透過促進特定程式黯計畫，根據每—程式㈣資料流， 進而改進防火牆120的控制。

熟此技藝者當可透過本揭露了解本發喊触序訊問實施防 火牆控制益統之方法、系統、及媒體。需要知道的是，本發明 ^描述與㈣7之形式僅供範游考。以下請求項當以最廣義之 解釋涵蓋在此所揭露之實施例的各種潤飾及變化。 【圖式簡單說明】 經由閱讀前述詳細說明以及參閱相應圖式，本發明之實施 例之各面向將更為清楚。於圖式中類似之參考資料可代表相似 之元件。 圖1顯示依據本發明某些實施例之具有使用者電腦系 統、防火牆、複數個標的伺服器、以及驗證儲存的防火牆控制 系統之環境； 24 200915126 統之圖實柄火_統之元件之電腦系 圖3係顯示本發明某些實施例之程序控制 之一概念圖； 上 圖 器的軟體構件 的控制:二：^實施例中"態特定裎式之防火 牆 圖 〇 牆之流程圖範例 ㈣些實撕根物輸制防火 ϋ 【主要元件符號說明】 100 防火牆控制系統 102 使用者電腦系統 104 網路 108 程序儲存器 112 程式 114 程序 120 防火牆 122 網路堆疊 124 程序訊問控制器 200 電腦系統 202 處理器 204 儲存裝置 206 記憶體 208 使用者介面配接器 25 200915126 210 顯示配接器 212 匯流排 214 顯示器 220 滑鼠 222 鍵盤 302 使用者介面模組 304 條件組態模組 306 程序監控器 308 程序儲存介面模組 310 程序狀態分析器 320 防火牆介面模組 322 防火牆行動管理器

Claims (1)

1. 200915126 十、申請專利範圍： 1. 一種控制一使用者電腦系統之一防火牆之方法，該方法包 含·· 在一防火牆接收一資料請求，該資料請求係與該使用者電 腦系統之一程式相關聯； 決定泫相關聯之程式是否存有一程序規則，該程序規則包 含該使用者電腦系統之—程序所欲符合之一條件； 〇 因應決定該相_之程式存有-程序酬，以決n監定 -該程序之-狀態之方法，以及決定該程序之一現時狀態； 利用該決疋之鐘定方法，根據該程序之該現時狀態，決定 是否符合該程序規則之該條件；以及 因應決定是否符合該程序規則之該條件，以執行一或多個 2.如請求項1所述之方法， 理該貢料請求。 更包含根據現有的防火牆步驟處 U 根據現有的防卿驟處理 仃或夕個防火牆行動之前執行。 4.如請求項2所述 該資料請求，係在執 ^根據現有的防火牆步驟處理 轨仃一或多個防火牆行動之後執行。处埋 據現有的防火牆步驟處理 如請求項2所述之方法，其中根 200915126 "玄資料明求，係與執行一或多個防火牆行動同時執行。 6·如清求項1所述之方法，更包含探詢該使用者電腦系統之 程序。 7.如請求項1所述之方法，更包含·· 序’接收—控制絲式之請求；以及 f據是否*合該程序之—條件，指派—或^麟火牆行動 進行執行。 ^ ^求項丨所述之方法，其中執行—或多個防火牆行動包 含· 進行雜序酬之條件，卿發—或辣防火牆行動 9. 如明求項丨所述之方法，其中執 含設定標旗，以在符合該料規則 鑛域仃動包 火牆行動進行執行。 、“牛盼’觸發-或多個防 10. 如請求項1所述之方法，盆中热 含藉由該程絲改_資料請求乡瓣火牆行動包 行—或多個防火牆行動包 11 ·如請求項1所述之方法，其中執 含阻擋該資料請求之傳輸。 28 200915126 電腦可使用媒體，該媒體具 電腦中執行該電腦可讀取程 该資料請求係與該使用者電 12· —種電腦程式產品，係包含— 有一電腦可讀取程式，其中當在— 式時，會使該電腦： 在一防火牆接收一資料請求， 腦系統之一程式相關聯； 決定該相關聯之程式是否存有—程序規則，該程序規則包 含該使用者電職統之—程序所欲符合之一條件；

   …因應決定該相關聯之程式存有一程序規則，以決定一鏗定 抓序之-録之方法，以及決定該程序之—現時狀態； 日=用軸定之蚊方法，根據雜序之該現時狀態，決定 疋否付合該程序規則之該條件；以及 因應決定是否符合該程序規則之該條件，以執行一或多個 防火牆行動。 13·^睛求項12所述之f腦程式產品，更包含根據現有的防火 牆步驟處理該資料請求。 所述之電腦程式產品’更包含探詢該使用者電 15. 一種實施於一電腦系統之一防火牆系統，該防火牆系統包 含： 、’罔路堆疊，係訊問進入與送出之資料封包，以及對該資 ΤΤ 包》/¾ m ^ 或夕個防火牆規則，以允許或拒絕該資料封包一 29 200915126 使用麵腦錢之-程叙存取；以及 次—秩序訊問控制器，係與該網路堆疊通π 祕 =之存取，該程序訊問控制器隹包且含通—進-步控制 現時 狀態’·表序監控器，係決拉使用者電腦系統之程序之- 條件； 曰不Z序條件分析器，係根據一程序之該現時狀態，以、、” 疋否付S該程序規則之條件；以及 、’、疋 -防火牆行動管翻，翻應—歧特定程 規則，以執行一或多個防火牆行動。 、σ壬 項15所述之防火牆系統’更包含-條件組態模組， 你根據使用者輸人’替—程式設定—或多個程序規則。 如請求項15所述之防火牆系統，其中每—程序規則包含鑑 定〜程序之狀態的一方法，以及根據該程序之該狀態所欲執行 之〜或多個防火牆行動。 如請求項15所述之防火牆系統’其中實施該防火牆系统之 讀電腦系統係該使用者電腦系統。 19·如請求項15所述之防火牆系統，其中實施該防火牆系統之 30 200915126 該電腦系統係與該使用者電腦系統分離之一伺服器電腦系統。 20.如請求項15所述之防火牆系統，其中該網路堆疊與程序訊 問控制器係以平行的方式執行於一平行處理架構。

   31