[发明专利]区段化终端机系统与方法

说明书

技术领域

本发明涉及一种区段化终端机系统与方法，尤其指利用过滤RDP封包的区段化终端机系统与方法。

背景技术

由于病毒或骇客摧毁电脑所造成的威胁有越来越严重的趋势，企业对于功能更强大的防毒软件或防火墙机制的需求也越来越迫切。一般而言，一个需要作好防毒和防骇客措施的网络架构可以分成以下三个不同的阶层：

第一层：网络(SMTP)网关(Internet Gateways)

第二层：伺服器(信息、应用、档案、打印等伺服器)

第三层：客户端(台式及笔记型电脑)

理论上来说，如果能确保第一层的安全，那么病毒就无法进入组织内，对第二和第三层的保护也就没有必要了。

第一层的防护应当包括两个元件：基于规则的政策执行(rules-based policyenforcement)以及病毒的扫描。

通过执行规则，可以根据已知的内容(例如：电子邮件主旨栏上的I LOVEYOU)或是在防毒软件制造商发布病毒码之前，通过建立规则来防堵病毒。此外，我们也可以利用规则来找出一些可能被误以为是“闹剧”的老旧病毒。如一些防病毒厂商把“COKEGIF.EXE”病毒归于闹剧/误报一类，其防毒引擎不再将附有这些病毒档案的email拦截了。

有了第一层的病毒防护，各个公司组织只要在一两个网关上替整个公司捕捉和拦截病毒就可以了。一旦病毒通过了网关，公司就必须依靠伺服器代理程序(server agents)对众多的伺服器进行扫描和修复，而不再只是处理一个网关。倘若由于某种原因病毒穿透了伺服器层，那就必须依靠用户端这一层的防毒软件，这可能会影响到成千上万的节点(nodes)。显然的，立即在第一层阻止病毒是最有效的解决方法。

然而，现实生活中病毒感染或骇客入侵有多种渠道，往往都是发现病毒感染或骇客入侵之后才发觉原来还有漏洞存在，如果永远只是依靠过滤所有的封包来防范病毒感染或骇客入侵的话，那么对广大的用户端来说还是有极高的风险存在。

除此之外，伴随着企业在全球化的发展，在其信息架构的布局也成为这几年来企业信息发展的重点之一。然而，在各分公司之间的远距信息应用上，分散式的信息架构常面临下列挑战：

1.信息安全。

2.频宽需求大与系统效能不佳。

3.系统缺乏扩充弹性。

4.用户端的信息维护成本高，例如软件派送、前端用户服务等。

正是上述的挑战，使得集中式的信息应用架构(即终端机系统)又再度受到各大企业的青睐。

终端机系统除了有以上的好处外，基于本身具有的集中性也能完全地防范病毒感染或骇客入侵。这是因为，在终端机系统中，所有扮演终端机角色的终端机电脑(即采用如Windows XP终端机模式的个人电脑)可连线至终端机伺服器，并只通过终端机伺服器收取电子邮件、下载档案、执行档案等等。如此一来，万一有病毒感染或骇客入侵时，也只会发生在终端机伺服器中。

只是，在传统终端机系统中，虽然最初病毒或骇客只感染或入侵终端机伺服器，但终究还是会通过终端机伺服器扩散至所有的电脑装置。

发明内容

本发明主要目的在于提供一种区段化终端机系统与方法，利用只允许远端数据协议RDP的封包通过，而分隔出区域网络的内部区段与外部区段，进而避免外部区段被病毒感染或骇客入侵时，影响扩散到区域网络中所有的电脑装置。

基于上述目的，本发明区段化终端机系统与方法包括区段化模块、终端机伺服器、终端机电脑。区段化模块是利用只允许远端数据协议RDP的封包通过，而分隔出区域网络的内部区段与外部区段。终端机伺服器设置在区域网络中的外部区段，并可基于远端数据协议的控制命令封包，取得和/或显示对应的要求数据。要求数据是回应控制命令封包的结果。终端机电脑设置在区域网络中的内部区段，并可基于远端数据协议穿过区段化模块并向终端机伺服器发出控制命令封包，以及基于远端数据协议接收和/或显示属于影像的要求数据。

与现有技术相比，本发明具有以下优点：

本发明区段化终端机系统与方法，利用只允许远端数据协议RDP的封包通过，而分隔出区域网络的内部区段与外部区段，进而避免外部区段被病毒感染或骇客入侵时，影响扩散到区域网络中所有的电脑装置，从而达到完全阻止骇客或病毒危害的目的。

附图说明

图1为本发明区段化终端机系统的第一实施例示意图；

图2为本发明区段化终端机系统的第二实施例示意图；

图3为本发明区段化终端机系统的第三实施例示意图；