技術領域

本發明涉及一種因特網的數據封包防護系統，特別是關于一種防止不具權限的計算機系統連接進入局域網絡的防護系統及其方法。

背景技術

伴隨著科技進步，企業經營逐漸發展利用一種企業資源計劃系統(Enterprise?Resource?Planning，以下簡稱ERP系統)進行整合式管理，其主要內涵是應用信息系統技術，對企業的各種資源，例如物流、資金流、信息流、人力資源等進行整合集成管理，結合各種資源形成一供銷鏈管理，即是將企業經營的每一個環節交由科學管理，使企業資源得到最佳化配置。

參見圖1，是EPR系統10的架構主要由客戶端(client)12及伺服終端(server)14以網絡接口連接兩端進行數據傳輸，另外伺服終端14連接數據庫主機16。客戶端12發出查詢需求給伺服終端14，伺服終端14再將查詢到的數據傳回給客戶端12。有些EPR系統10的架構還包含在客戶端12與伺服終端14中間加入中介軟件(middleware)(未圖標)負責聯系兩端的溝通，減少兩端的負荷并增加效能。此種架構下，每一客戶端12的計算機系統不需分別安裝存取接口軟件，只需負責執行使用者接口即可。

目前，市面上使用的ERP系統20的系統架構為多層式(n-tier)架構，使用者透過瀏覽器讀取網頁(web-based)的方式來執行，如圖2所示。使用者透過網絡應用入口(Web?Application?Portal)22登入，透過信息流引擎(Information?Flow?Engine)24導向到中介軟件26，連接到中央數據庫28，利用因特網的數據封包進行數據傳輸。

由于EPR系統是利用網絡間連接的結果，安全性對于連接的伺服終端以及網絡相當重要，未經授權而存取公司數據網絡可能導致公司重要的信息遺失，或者受到外部計算機入侵竊取數據。現有技術中有許多方法用來加強網絡安全，包含使用身分認證許可(Identification?and?Authentication，I&A)、加密系統(cryptography)等。

然而，身分認證許可經常發生人為設定漏洞的疏失，一旦員工離職后，若未將帳號密碼移除，則可能發生管理漏洞，使離職員工利用未經授權的計算機系統進入伺服終端竊取公司內部重要信息，或有人將帳號密碼泄漏或遭竊取，上述缺失將使得公司內部重要信息的安全遭受危機。

發明內容

本發明實施例的目的是針對上述現有技術的缺陷，提供一種，因特網的數據封包防護系統，特別是關于一種防止未經授權的計算機系統連接進入局域網絡，進而修改或存取內部數據的防護系統。

為了實現上述目的本發明采取的技術方案是：

本發明提供一種因特網的數據封包防護系統，其包含多個第一計算機系統(即客戶端計算機系統)，其操作系統包含一過濾單元。所述過濾單元可攔截由操作系統輸出的數據封包，并于數據封包的TCP/IP文件頭的空白處加入一識別記號。另外包含第二計算機系統(即伺服終端計算機系統)，其操作系統包含一控制單元。所述控制單元可過濾及監控由第一計算機系統輸出的數據封包。第一計算機系統透過網絡傳輸所述數據封包至第二計算機系統，而第二計算機系統的控制單元確認所述數據封包的TCP/IP文件頭的空白處是否具有識別記號。若該數據封包的TCP/IP文件頭的空白處具有識別記號，則通過該數據封包；若該數據封包的TCP/IP文件頭的空白處不具有識別記號，則阻擋該數據封包。

本發明另提供一種因特網的數據封包防護系統，其包含一處理單元，耦合于一網絡接口單元，通過因特網與多個使用者終端連接，用以接收由多個使用者終端的計算機系統透過該網絡接口單元傳輸的數據封包；以及一控制單元，耦合于所述處理單元，主要執行過濾及監控該數據封包。所述控制單元確認所述數據封包的TCP/IP文件頭的空白處是否具有識別記號。若該數據封包的TCP/IP文件頭具有識別記號，則通過數據封包。反之若該數據封包的TCP/IP文件頭不具有識別記號，則阻擋數據封包。

本發明還提供一種因特網的數據封包防護系統，其包含一處理單元，耦合于一網絡接口單元，通過因特網與一伺服終端連接，用以傳輸一數據封包到所述伺服終端；以及一過濾單元，其攔截由所述處理單元傳輸的數據封包，并于傳輸到伺服終端前在該數據封包的TCP/IP文件頭的空白處加入一識別記號。