[go: up one dir, main page]

FR2809255A1 - Procede et appareil de fourniture et d'administration de services sur le reseau internet - Google Patents

Procede et appareil de fourniture et d'administration de services sur le reseau internet Download PDF

Info

Publication number
FR2809255A1
FR2809255A1 FR0006529A FR0006529A FR2809255A1 FR 2809255 A1 FR2809255 A1 FR 2809255A1 FR 0006529 A FR0006529 A FR 0006529A FR 0006529 A FR0006529 A FR 0006529A FR 2809255 A1 FR2809255 A1 FR 2809255A1
Authority
FR
France
Prior art keywords
services
service
internet
sep
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR0006529A
Other languages
English (en)
Other versions
FR2809255B1 (fr
Inventor
Alexandre Krivine
Thierry Tessalonikos
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Right Vision SA
Original Assignee
Right Vision SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Right Vision SA filed Critical Right Vision SA
Priority to FR0006529A priority Critical patent/FR2809255B1/fr
Publication of FR2809255A1 publication Critical patent/FR2809255A1/fr
Application granted granted Critical
Publication of FR2809255B1 publication Critical patent/FR2809255B1/fr
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4523Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using lightweight directory access protocol [LDAP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4552Lookup mechanisms between a plurality of directories; Synchronisation of directories, e.g. metadirectories
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/51Discovery or management thereof, e.g. service location protocol [SLP] or web services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/329Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

La présente invention concerne un procédé et un appareil de fourniture et d'administration de services sur le réseau Internet, dans lequel les services étant organisés en plusieurs couches, on fournit simultanément ou séquentiellement plusieurs services programmés parmi les services suivants : accès au réseau Internet par l'intermédiaire du réseau numérique téléphonique, service de gestion d'abonnés, service de serveur sur Internet, service de serveur de messagerie, service de serveur d'informations, service de serveur d'imprimante, service de calendrier, service de routeur, gestion de fichiers, service de serveur VPN, service de sécurité. Toutes ces fournitures de services sont réalisées à partir du seul appareil, un annuaire central étant agencé pour fédérer l'ensemble des fournitures de services ainsi proposées.

Description

PROCEDE ET APPAREIL DE FOURNITURE ET D'ADMINISTRATION DE SERVICES SUR LE RESEAU INTERNET La présente invention concerne un procède de fourniture et d'administration de services le réseau Internet, dans lequel les services étant organisés en plusieurs couches, de façon connue en elle même, on fournit simultanément ou séquentiellement, à un ou plusieurs utilisateurs, plusieurs services programmés parmi les services suivants . accès au réseau Internet par l'intermédiaire du réseau numérique téléphonique, service de gestion d'abonnés, service de serveur sur Internet, service de serveur de messagerie, service de serveur d'informations, service de serveur d'imprimante, service de calendrier, service de routeur, gestion de fichiers, service de serveur VPN, service de sécurité.
Par VPN (initiales anglo-saxonnes pour Virtual Private Network) on entend un réseau privé virtuel, c'est-à-dire une émulation d'un réseau privé élargi ou WAN (initiales anglo-saxonnes de Wide Area Network) parfois qualifié d'Intranet et s'étendant par exemple sur plusieurs sites via le réseau Internet.
Elle concerne également un appareil pour la mise en oeuvre d'un tel procédé.
Elle trouve une application particulièrement importante bien que non exclusive dans le domaine de la fourniture de services multiples pour une même entreprise, susceptible d'être mis en #uvre facilement par des non-techniciens.
on connaît déjà des procédés et systèmes mettant en oeuvre des services via Internet. Ces procédés nécessitent l'intervention d'informaticiens spécialistes, l'utilisation de plusieurs materiels (serveur, routeur, modem...) et des logiciels associés (NT , Unix, logiciels serveurs...), qui est coûteux et présente des risques de mauvais fonctionnement, par exemple en cas d'interfaces incompatibles.
La présente invention vise à fournir un procedé et un appareil de fourniture et d'administration de services sur le réseau Internet répondant mieux que ceux antérieurement connus aux exigences de la pratique, notamment en ce qu'elle permet, avec un seul dispositif simple et aisément configurable par un non spécialiste, une connexion rapide sur Internet pour de nombreux utilisateurs par exemple appartenant à une même entreprise, en ce qu'elle permet simultanément d'héberger un site " web " en toute sécurité, sans passer par un fournisseur d'accès externe, en ce qu'elle met également à disposition des services de messagerie, de mise à disposition de documents et permet de plus la création d'un réseau privé virtuel ou VPN.
Grâce à l'invention, tous ou sensiblement tous les services Internet actuellement proposés sur le marché vont pouvoir être rendus par le biais d'un seul appareil.
Dans ce but la présente invention propose notamment un procédé de fourniture et d'administration de services sur le réseau Internet dans lequel les services étant organisés en plusieurs couches, de façon connue en elle même, on fournit simultanément ou séquentiellement plusieurs services programmés parmi les services suivants : accès réseau Internet par le biais du réseau numérique téléphonique, service de gestion d'abonnés, service de serveur sur Internet, service de serveur de messagerie, service de serveur d'informations, service de serveur d'imprimante, service de calendrier, service de routeur, gestion de fichiers, service de serveur VPN, service de sécurité, ledit procédé étant caractérisé en ce que on réalise toutes ces fournitures de services à partir d'un seul appareil programmé en conséquence et connecté d'un coté au réseau Internet et de l'autre coté à au moins un réseau local, et en ce que, pour administrer ces fournitures, utilise un annuaire central agencé pour fédérer l'ensemble des fournitures de services ainsi proposées.
Avantageusement on contrôle le fonctionnement l'administration de services par le biais de moyens visuels et/ou sonores, comme par exemple des diodes électroluminescentes un écran LCD etc. Par fédération de l'ensemble des fournitures de services, on entend notamment la centralisation tous les paramètres de fonctionnement d'identification des services fournis par le procédé selon l'invention dans l'annuaire, entraînant le déport des paramètres habituellement sauvegardés dans les services et dans le système d'exploitation, au sein dudit annuaire.
On obtient ainsi l'indépendance du procédé vis à vis du système d'exploitation et des services mis en oeuvre, ce qui va permettre une évolution facile du procédé vis à vis dudit système d'exploitation, et/ou son changement sans nécessité de tout réécrire et organiser. Dans un mode de réalisation avantageux, l'annuaire central est conforme au protocole LDAP.
Le protocole LDAP, (initiales anglo-saxonnes de LIGHT WEIGHT DIRECTORY ACCESS CONTROL) est décrit notamment dans les RFC 1777 , 1823 et 1959 (RFC sont les initiales anglo-saxonnes de Request For Comments) Dans des modes de réalisation avantageux, on a de plus recours à l'une et/ou à l'autre des dispositions suivantes - on configure l'appareil à travers un navigateur de réseau, de manière locale et/ou par le réseau Internet.
Le navigateur de réseau ou navigateur web peut, par exemple, mais de façon non limitative, être le navigateur NETSCAPE NAVIGATOR de la société américaine NETSCAPE ; - on utilise une interface utilisateur type HTML ou DHTML, permettant aux utilisateurs accès direct à tous les services au travers du navigateur de réseau.
Une telle interface permet d'utiliser le concept de bureau virtuel qui sera décrit plus precisément par la suite ; - le service de sécurité est fourni en effectuant simultanément, en série, un filtrage de paquets et une déconnexion physique entre le réseau local et le réseau Internet par le biais d'un appareil dit " proxy ", de séparation des réseaux entre ; - l'annuaire central est organisé, pour une société, sous la forme de l'arborescence suivante
Figure img00050005

Avec Admin Group : Groupe des administrateurs du procédé, définissant de 1 à N administrateurs. User Group i : Groupe d'utilisateurs i, avec ' entier variant de 1 à N, User, User 1, ... User N : les utilisateurs de 1 à N Group : La branche groupe des branches " User Group i ", regroupant les utilisateurs 1 à N.
L'invention propose également un appareil de fourniture et d'administration de services sur le réseau Internet, comportant un processeur de calcul et de traitement de données, au moins une mémoire comportant un système d'exploitation et des programmes d'application résidents, des moyens d'interface de communication et des moyens d'affichage d'informations, caractérisé en ce que l'appareil comporte un boîtier unique, intégré, propre à être connecté d'un coté au réseau Internet et de l'autre coté à moins un réseau local, en ce que les programmes d'application et les moyens d'interfaces comprennent des moyens pour administrer et fournir simultanément ou séquentiellement plusieurs services programmés parmi les services suivants: accès au réseau numérique téléphonique, service de gestion d'abonnés, service de serveur sur Internet, service de serveur de messagerie, service de serveur d'informations, service de serveur d'imprimante, service de calendrier, service de routeur, gestion de fichiers, service de serveur VPN, service de sécurité, et en ce qu'il comporte, pour administrer ces fournitures, un annuaire central agencé pour féderer l'ensemble des fournitures de services ainsi proposés.
Avantageusement, l'annuaire central est conforme au protocole LDAP.
Egalement avantageusement, l'appareil comporte des moyens agencés pour configurer ledit appareil à travers un navigateur de réseau, de manière locale et/ou par le réseau Internet.
Dans un mode de réalisation avantageux il comporte une interface utilisateur de type HTML ou DHTML, permettant audit utilisateur l'accès direct à tous les services au travers du navigateur de réseau, via un écran d'ordinateur externe.
Egalement avantageusement il comporte des moyens agencés pour fournir le service de sécurité comprenant des moyens de filtrage de paquets au moins un appareil dit " proxy " de séparation entre le réseau local et le réseau Internet.
L'invention sera mieux comprise à la lecture la description qui suit de modes de réalisation donnes à titre d'exemples non limitatifs. La description se réfère aux dessins qui l'accompagnent dans lesquels La figure 1 montre les huit couches de services mis en #uvre dans un mode de réalisation du procédé selon l'invention.
La figure 2 donne l'arborescence montrant l'organisation interne de l'annuaire LDAP utilisé dans le mode de réalisation de l'invention plus particulièrement décrit ici.
La figure 3 illustre schématiquement mode de réalisation du principe sécurité mise en #uvre dans la couche de service correspondante selon l'invention.
La figure 4 est un schéma de principe d un mode de réalisation d'un appareil selon l'invention montrant ses principales connexions avec l'extérieur.
La figure 5 est un schéma bloc fonctionnel général montrant l'organisation des flux de interface administration de l'appareil, selon le mode de réalisation de l'invention plus particulièrement décrit ici.
La figure 6 est un diagramme bloc donnant un mode de réalisation des différents modules bloc dit " System and Networks libs " de la figure 5.
La figure 7 est un diagramme donnant l'architecture des tables " system "de l'annuaire représenté par le bloc " global LDAP database " de la figure 5.
La figure 8 est un schéma fonctionnel général montrant l'organisation des flux de 'interface utilisateur avec l'appareil, mettant #uvre le procédé de fourniture et d'administration de services selon le mode de réalisation de l'invention plus particulièrement décrit ici. figure 9 est un schéma d'écran montrant le concept de bureau virtuel mis en #uvre dans un mode de realisation de l'invention.
figure 10 une vue schématique, en perspective, du boîtier ouvert de l'appareil, selon un mode de réalisation de l'invention.
figure 1 montre les couches de services mises en oeuvre dans le mode de réalisation de 'appareil et du procédé selon l'invention plus particulièrement décrit ici, et permettant l'administration des services par un ou plusieurs administrateurs.
accès à chaque service par les administrateurs et/ou les utilisateurs est base sur une authentification de type classique (login et mot de passe) par exemple avec la possibilité d'une connexion sécurisée.
Il se fait par le biais d'un des differents outils navigateurs du marché (Internet Explorer, Netscape Communicator...),chaque service fournissant par ailleurs un support pour la supervision, ainsi que des journaux et des statistiques, accessibles aux administrateurs du site.
Plus précisément, et en référence à figure 1, différentes couches réseau mises #uvre avec 'invention sont au nombre de huit couches, dont une première couche 1, dite couche Linux.
Linux est un système d'exploitation UNIX respectant les standards POSIX et dont 'utilisation est régie par des licences particulières (GPL). Dans un mode de réalisation il est par exemple utilisé le noyau ou kernel version 2.2.x comme point de départ de la couche 1, permettant de nombreuses fonctionnalités intéressantes au niveau du protocole TCP/IP, La couche 1 comporte ainsi et notamment les fonctionnalités de synchronisation d'horloge.
La deuxième couche est la couche 2 des services de transport. Ces services sont ceux qui vont permettre de véhiculer les informations d'un point à un autre des réseaux internes et externes connectés, y compris le réseau Internet.
Ils sont les mêmes que ceux de l'Internet, savoir - transport sur un réseau local(LAN - initiales anglosaxonnés de Local Area Network), - accès à distance au système d'information l'appareil (également parfois nommé ci-après " appliance ") notamment pour les utilisateurs nomades de l'entreprise, - accès à Internet, - interconnexion LAN/WAN, - utilisation des protocoles et mécanismes de réseau (couches 1 à 4 de l'architecture OSI).
On notera que les moyens d'interconnexion WAN sont fonction des normes de chaque opérateur, par exemple en France des normes de l'opérateur FranceTelecom. Il sera donc nécessaire à l'homme du métier de prévoir une adaptation, s'il y a lieu pour correspondre aux normes de l'opérateur concerné.
Concernant l'Interconnexion de réseaux LAN/WAN, on va pouvoir avec l'invention gérer les aspects LAN WAN de manière simultanée, le couple système d'exploitation Linux + Serveur Hardware (carte mère cartes E/S, cartes LAN/WAN,...) étant en effet configuré pour former un appareil unique et d'une seule pièce qui est dédié à l'interconnexion et au routage IP, en supportant d'une part des interfaces LAN (Ethernet, Gigabit,...) et d'autre part des interfaces WAN (RNIS, Liaisons Spécialisées FranceTelecom,...) L'appareil selon le mode de réalisation plus particulièrement décrit ici permet en particulier d'interconnecter deux réseaux locaux en mode permanent (dial-in ou call-back) ou pseudo permanent : (dial-out+dial-in) grâce au service RNIS de FranceTelecom (FT).
Enfin la couche 2 de service Transport comporte des fonctionnalités de liaisons (encapsulation de niveau 2).
Plus précisément, l'appareil selon le mode de réalisation de l'invention décrit ici et qui intègre Linux, permet à une société de se connecter au Réseau Internet via un fournisseur d'accès INTERNET ou de constituer son Réseau Privé (virtuel ou non) Intranet/Extranet en utilisant les services de FT (LS ou Numéris) et ceux du fournisseur d'accès Internet. En France, FT et les fournisseurs Internet utilisent deux protocoles d'encapsulation IP (et ses extensions dans le cadre d'agrégation igne : MPP) ou " Frame-Relay " (et ses extensions dans le cadre du type et de la spécificité protocoles encapsulés tel que X.25 ou SNA).
Mais d'autres protocoles existent comme protocole HDLC (version standard ou propriétaire sociétés américaines CISCO ou IBM). L'appareil selon le mode de réalisation 'invention plus particulièrement décrit ici présente egalement des fonctions de routeur IP.
Chaque interface est affectée d'une adresse avec masque de sous réseau conformément aux règles routage en vigueur (support des masques de sous réseaux de taille variable et des règles de routage CIDR : Classless Inter-Domain Routing). interfaces wan ne doivent par contre pas être non numérotées (unumbered) . L'appareil est ainsi agence pour permettre le routage IP statique et utilise exemple les protocoles de routage IP dynamiques suivants : RIP(v2), OSPF(v2), BGP(v4). Dans le mode réalisation plus particulièrement décrit ici fonctions de routage reposent sur l'OS Linux et des ajouts ou " add-on " disponibles sur Internet.
La couche 2 prévoit enfin une fonctionnalité de QOS réseau.
La QOS ou " Quality Of Service " dans les services réseaux recouvre un ensemble de notions, correspondant à =plusieurs paramètres quantitatifs Délai: temps écoulé entre l'envoi d'un paquet par un émetteur et sa réception par le destinataire. Le délai tient compte du délai de propagation le long chemin et<B>du</B> délai de transmission induit par la mise en file d'attente des paquets dans les systèmes intermédiaires.
Gigue : variation du délai de bout en bout, Bande passante ou débit maximum: taux de transfert maximum pouvant être maintenu entre deux points terminaux, Disponibilité : taux moyen d'erreur d'une liaison. La problématique est la suivante : le rapport entre les débits côté LAN et les débits côté WAN compris entre 100 et 1000 ( par exemple Ethernet 100 Mb/s versus LS 1 Mb/s). Par conséquent, il est facile de saturer la liaison WAN de sortie et de constater des disfonctionnement applicatifs importants (forte croissance des temps de réponse : délais et/ou gigue).
Certaines applications ne supportant pas un temps de réponse trop grand, elles s'arrêtent alorsde fonctionner au delà d'un délais maximum, (time out). D'autres encore sont sensibles aux variations de délais (type mulitmedia : VoIP,...) et deviennent aussi inutilisables. D'autres sont non sensibles aux temps de réponse élevé, ou aux variations de temps réponse (gigue), mais sont très " gourmandes ", elles cherchent à consommer ce qu'il y a de disponible à un instant donné, inconvénient du " Best effort " ( cas de FTP par exemple), donc elles impactent par là-même les autres applications.
Enfin, on doit aussi prendre en compte le fait que certaines applications (ou certains services réseaux Internet ou Intranet) sont critiques pour une entreprise. En terminologie anglosaxonne la messagerie mail, la réplication de base de données la transaction électronique peuvent être fortement liés à l'activité économique de l'entreprise plus à la navigation web, sur le transfert de fichiers de news.
Par conséquent, si on laisse les applications et leurs contraintes associées s'auto-gérer, dans le mode du " Best effort ", on n'obtient rarement les résultats souhaités.
Partant de cette problématique, l'inventeur a alors adopté une approche QOS relative, qui consiste à aider les mécanismes de file d'attente et d'ordonnancement, tout en rendant prioritaire un flux par rapport à un autre.
Plus particulièrement il s'est attaché à résoudre deux problèmes - "assurer le bon fonctionnement" des applications critiques et pour ce faire être capable de rendre prioritaires des flux identifiés soit par le couple (adresse IP source, adresse IP destination), soit par le couple (port source, port destination), soit par un quadruplet formé des deux couples precédents. Rendre prioritaire signifie affecter un flux à un niveau de priorité (dite relative), et donc avoir défini au préalable plusieurs niveaux de priorités, appellés ici les " classes de services " (mécanisme basé sur la gestion de différentes files attente ordonnancées ) - " Lisser " l'utilisation de la bande passante pour absorber ou éviter les pics (congestions) et donc retarder (en utilisant mieux la bande passante) le moment où il faut améliorer la capacité coùteuse des liens WAN.
Ceci a pour effet induit d'optimiser les temps de réponse moyens des applications TCP grâce à la recherche d'un optimum entre la taille des fenêtres de connexion et de congestion TCP.
La couche 2 de transport comporte également des fonctionnalités de translation d'adresses (1-1 et N-1) Elles sont de deux types o : permet d'écrire par dessus l'adresse source ou l'adresse destination afin de masquer le plan d'adressage du réseau interne et de la DMZ.
1-N : permet de masquer un réseau complet protégé. Toutes les requêtes provenant de tous les utilisateurs du réseau protégé seront vues comme venant d'une seule et même adresse, celle de l'appliance. I1 ne sera donc pas possible d'établir une connexion d'un ordinateur distant (de l'internet) vers un des ordinateurs du LAN protégé par l'appliance.
L'appareil selon l'invention étant une base qui a pour objectif d'être spécialisée pour différentes utilisations (Routeur + QOS + Sécurité, Serveurs Internet/Intranet, E-Commerce,...), doit donc pouvoir s'intégrer dans une architecture plus ou moins complexe .
Le nombre d'interfaces LAN ou WAN est donc également prévu pour varier en nombre et en type.
En fonction des types de LAN existants dans les entreprises, et en fonction du mode utilisation interne de l'appareil, Intranet par exemple, les besoins en bande passante varient (Ethernet 10 Mb/s, Ethernet 100 Mb/s, Token-Ring 4 Mb/s, Token Ring 16 Mb/s, FDDI 100 Mb/s, ATM 25 Mb/s, 155 Mb/s, Gibabit Ethernet,...), l'appareil est donc configuré en conséquence.
La couche Suivante est la couche 3 services d'administration, qui permet la fourniture des services d'administration et de gestion de l'appareil.
On y trouve deux composants, a savoir - la supervision, - l'administration générale des services de l'appareil et l'administration les utilisateurs (propre à chaque utilisateur).
Dans le mode de réalisation plus particulièrement décrit ici l'administration de l'appareil se fait uniquement à travers un navigateur web.
Pour ce faire on différencie ce qui relève de - L'administration de l'appareil -même, - L'administration d'une organisation/société sur l'appareil, - Les possibilités restreintes d'administration pour l'utilisateur final.
La configuration des utilisateurs alors agencée pour pouvoir être réalisée à plusieurs niveaux : niveau administrateur, niveau utilisateur et niveau partenaire externe (Extranet). Plus précisément la définition des administrateurs pour le compte d'une société/organisation est prévue dans l'appareil et est par exemple rendue accessible intégralement en HTTP.
Plus précisément, la couche administration est par exemple programmée pour permettre à l'administrateur de . - Créer, consulter, modifier, invalider et supprimer des groupes d'utilisateurs et des utilisateurs.
- Gérer les droits d'accès aux différents services par groupe et par utilisateur.
- Créer, modifier et supprimer des groupes de discussions.
- Arrêter et relancer les services utilisés.
- Mettre à jour les sites web par FTP et Frontpage. - Gérer les droits d'accès aux répertoires et aux fichiers de son site WEB et de son site FTP. - Accéder et gérer les journaux des services. - Accéder et gérer les statistiques des services. - Gérer les droits d'accès aux répertoires et aux fichiers. - Fixer et gérer les quotas par organisation. Une configuration des administrateurs délégués (gestion d'acl au niveau de l'annuaire) est également prévue. Un utilisateur pourra ainsi être un administrateur délégué dans des cas précis comme la gestion d'un serveur web. Il se verra alors déleguer des droits liés à l'administration de son serveur web (démarrage, arrêt du service, modification des pages HTML, modification des scripts cgi, PERL,...).
La délégation d'une partie de l'administration au niveau d'un groupe de personnes modifiables non modifiables ('accès internet interdit' non modifiable par exemple) est également possible.
Enfin, l'administrateur, par une programmation adéquate, va pouvoir configurer l'annuaire du bottier (ex : ajout d'attribut dans l'annuaire, attribut non prévu au départ de la conception de l'annuaire...) , la composante de configuration utilisateur devant être vue comme un portail (différents services pouvant être accédés à travers l'interface web).
Ainsi seront configurés les éléments suivants pour chaque.société: - La configuration de groupe d'ACL auquel rattacher les utilisateurs , - Le nom de domaine. - Le serveur Web. L'Administration propre à l'utilisateur final de société/organisation est enfin également possible. Il est ici et par exemple prévu 'affecter aux utilisateurs des composantes supplémentaires, autres celles de simples utilisateurs unix (ie comptes, mots de passe, quotas disque pour messagerie, droits de modification sur un serveur web, autorisations de chiffrement...), notamment en indiquant tout ce qui concerne l'annuaire (ie numéro téléphone, GSM, fax, photographies, position dans 'organigramme).
Enfin l'utilisateur pourra lui aussi en fonction ACLs, modifier un certain nombre de champ le concernant sans intervention de l'administrateur .
La couche suivante est la couche 4 fourniture services de sécurité.
Dans le procédé et l'appareil selon 'invention, cette couche propose une solution particulièrement efficace concernant la sécurité et délivre des messages en cas de tentative de piratage système.
Des messages prévenant si le login a déjà été utilisé, ou si il y a eu une tentative de piratage (message de tcpwrap,...) sont ainsi prévus. Dans la couche proposée, il est également possible de forcer la saisie du mot de passe " admin " à chaque modification importante, de permettre de bloquer des adresses IP( ou noms de domaine) de 1 extérieur, d'invalider un compte d'utilisateur (ci-après parfois également appelé " user " en terminologie anglo- saxonne), ou encore d'invalider un service utilisé par un utilisateur.
Diverses fonctionnalités de la couche sont par ailleurs explicitées ci-après.
<U>Les fonctionnalités de sécurité</U> IP La méthode de filtrage et d'inspection de paquets est par exemple implémentée ici à partir des éléments du système d'exploitation.
Les règles de filtrages et analyses suivantes doivent alors s'appliquer - Par interface (Ethernet0 IN, PPPO IN, FRO OUT, PPP1 OUT...), - Par protocole : ICMP, IGMP, IP, TCP, UDP, - Par option ou type relativement à un protocole : ICMP : echo request ; ICMP echo reply (par exemple), - Par adresse IP source et adresse IP destination (les règles d' anti-spoofing doivent être automatiquement générées et visibles), - Par port source et port destination, - Par option du protocole de niveau 4 (le service) . transfert de zone DNS/UDP interdit par exemple (ceci sous entend une analyse de contenu de niveau 4 et une bonne gestion de la fragmentation/défragmentation). <U>L'Authentification</U> L'authentification est également un des points importants du service de sécurité de l'Intranet proposés par l'invention.
Elle repose sur l'annuaire LDAP.
Ce choix sera fait par l'administrateur et devra pouvoir être précisé par utilisateur ou par nom de domaine (ACL).
Dans un mode de réalisation on peut également utiliser des moyens de sécurisation par carte à puce comme celui connu sous la dénommination ActivCard et produit par la société américaine ACTIVCARD.
Le service fournit par ailleurs un accès Internet authentifié, qui permet de ne donner accès à l'Internet ou à certains services Internet qu'aux utilisateurs proprement identifiés. <U>Le "</U> firewall <U>" ou filtrage</U> <B>il</B> offre des services comparables un " fireWall " PIX (de la société américaine CISCO) et permet la détection des attaques de base : scan de port, scan d'adresse, de façon connue en elle-meme. VPN (IPSEC. PPTP) La couche 4 de services propose également un service dit VPN (initiales anglosaxonnes pour Virtual Private Network), dans le mode de réalisation de l'invention plus particulièrement décrit ici.
Si tous les sites du VPN appartiennent à la meure entreprise, le VPN peut alors être assimilé à un Intranet d'entreprise. Autrement, le terme extranet est souvent utilisé pour désigner un réseau dans lequel deux ou plusieurs entreprises ont un accès réciproque mais limité à leur base de donnees respectives.
Le VPN implémenté dans l'appareil présente par exemple et avantageusement les fonctionnalités suivantes .
Transport opaque de paquets Accès à des utilisateurs éloignés Sécurité des données sans que ces dernières ne soient obligatoirement cryptées # Indépendance des couches du réseau. Le VPN est ainsi capable de faire transiter un trafic multiprotocole # Performance Les performances d'un VPN dépendent du partage des ressources et des problèmes de trafic tels que la programmation du trafic, le contrôle d'accès et la largeur de bande prévue.
des avantage de l'invention repose sur la notion de VPN et sa capacité à permettre ainsi la création d'un Intranet sur une infrastructure de type publique Internet.
Avantageusement l'appareil offre deux types de . un utilisé entre deux réseaux (ex : deux LAN reliés par Internet), l'autre utilisé entre une station (Pc nomade par exemple) et le de l'entreprise.
Dans le premier cas, on peut par exemple utiliser le protocole IPSEC (initiales anglo-saxonnes pour.......) pour réaliser le chiffrement du tunnel (de bits jusqu'à 128 bits) et ainsi supporter plusieurs algorithmes possibles (DES, 3DES, 2 fish, ... ).
Dans le cas du Pc nomade, l'authentification sera par exemple faite sur le serveur LDAP du boîtier ou sur un autre serveur précisé dans l'annuaire par l'administrateur.
Proxy-cache (HTTP/FTP/NNTP) La couche 4 propose également la fonction de proxy-cache-, qui a deux buts - accélérer l'accès à l'Internet pour l'ut' isateur du réseau local à travers la création d'un cache local au boîtier contenant les dernieres pages vues par les utilisateurs LAN, - permettre un contrôle d'accès aux services de 1 Internet pour les utilisateurs du de l'entreprise.
Avantageusement, la couche sécurité est complétée par une surcouche intitulée Linux Firewall. Le Linux Firewall ou LF constitue une sur couche fonctionnelle à l'appareil.
Ce à pour objectif de - Sécuriser les machines des LAN internes du Clients vis à vis d'Internet (aussi bien les postes clients que les serveurs), - Sécuriser et contrôler les échanges (ou flux) entre l'intérieur de la société Cliente Internet, - Permettre d'échanger des informations sensibles entre différents sites d'une même société Client ou avec différents partenaires a travers le réseaux Internet mondial de manière sûr. Il s'agit de technologie VPN permettant mettre en place des Intranet ou des Extranet niveau mondial. De manière générale on entend par sécuriser assurer l'intégrité des machines Clients, assurer confidentialité de données qui y sont traitées et assurer un protection contre les dénis de services vis à vis de l'Extérieur (uniquement).
En référence à la figure 4, la topologie et l'Architecture du LCPE sur l'appareil 15 selon l'invention est de type suivant.
Topologie Le LF comprend - - une interface WAN (LS ou RNIS) ppp0 externe 16 (INTERNET), - une interface 19 LAN interne (eth0) 20, - une interface 17 LAN DMZ optionnel (ethl) 18, - quatre interfaces tunnels logiques (non représentés) <U>Architecture</U> (Adressage, Services et Flux) Adressage .
- Le plan d'adressage Interne est privé (par exemple correspondant à la norme RF RFC1918).
- Le plan d'adressage DMZ est public, (fourni par l' ISP initiales anglo-saxonnes de .......) ou privé grâce à des mécanisme de re-direction ports/adresses.
- Le plan d'adressage WAN est public, fourni par l'ISP. Services . Ceux-ci correspondent notamment aux normes sigles suivants, connus de l'homme de métier. - DNS, - HTTP, - SMTP, - ICMP (seulement certaines requêtes précisées dans les modes opératoires), - POP3, - IMAP4, - SSL (SHTTP), - Real Audio/Video Flux En appelant la zone Interne les BON, Internet MAUVAIS, les flux correspondant aux sens des échanges dans un sens précis sont comme suit
Figure img00260001
- <SEP> BON->MAUVAIS,
<tb> - <SEP> MAUVAIS->BON,
<tb> - <SEP> BON->DMZ,
<tb> - <SEP> DMZ->BON,
<tb> - <SEP> MAUVAIS->DMZ,
<tb> - <SEP> DMZ->MAUVAIS
<tb> Dans <SEP> le <SEP> mode <SEP> de <SEP> réalisation <SEP> préféré <SEP> du <SEP> service
<tb> sécurité <SEP> représenté <SEP> en <SEP> figure <SEP> 3, <SEP> celui-ci <SEP> met
<tb> #uvre <SEP> une <SEP> double <SEP> protection <SEP> 10 <SEP> entre <SEP> l'extérieur <SEP> 11
<tb> et <SEP> l'intérieur <SEP> 12.
<tb>
Cette <SEP> double <SEP> protection <SEP> comprend <SEP> deux <SEP> systèmes <SEP> de
<tb> filtrage <SEP> 13, <SEP> qui <SEP> consistent <SEP> à <SEP> autoriser <SEP> des <SEP> échanges
<tb> sur <SEP> la <SEP> base <SEP> de <SEP> l'analyse <SEP> des <SEP> protocoles <SEP> ICMP,IP, <SEP> TCP
<tb> UDP, <SEP> par <SEP> filtrage <SEP> de <SEP> paquets, <SEP> montés <SEP> en <SEP> série <SEP> de <SEP> part
<tb> et <SEP> d'autre <SEP> d'une <SEP> barrière <SEP> logique <SEP> 14 <SEP> empêchant <SEP> toute
<tb> connexion <SEP> (ou <SEP> échange) <SEP> directe <SEP> entre <SEP> l'intérieur
<tb> l'extérieur.
<tb>
I1 <SEP> n'y <SEP> a <SEP> donc <SEP> jamais <SEP> de <SEP> connexion <SEP> directe <SEP> entre
<tb> l'intérieur <SEP> 12 <SEP> et <SEP> l'extérieur <SEP> 11, <SEP> les <SEP> connexions
<tb> étant <SEP> relayées <SEP> par <SEP> des <SEP> " <SEP> proxies <SEP> ". <SEP> Ce <SEP> faisant, <SEP> les
<tb> " <SEP> proxies <SEP> " <SEP> masquent <SEP> le <SEP> plan <SEP> d'adressage <SEP> IP <SEP> interne.
<tb>
Les <SEP> règles <SEP> de <SEP> filtrage <SEP> et <SEP> analyse <SEP> de <SEP> paquets <SEP> qui
<tb> s'appliquent, <SEP> dans <SEP> un <SEP> mode <SEP> de <SEP> réalisation, <SEP> le <SEP> seront
<tb> par <SEP> exemple <SEP> comme <SEP> suit
<tb> - <SEP> Par <SEP> interface <SEP> (Ethernet0 <SEP> IN, <SEP> PPPO <SEP> IN, <SEP> FRO <SEP> OUT,
<tb> PPP1 <SEP> OUT...),
<tb> - <SEP> Par <SEP> protocole <SEP> : <SEP> ICMP, <SEP> IGMP, <SEP> IP, <SEP> TCP, <SEP> UDP,
<tb> - <SEP> Par <SEP> option <SEP> ou <SEP> type <SEP> relativement <SEP> à <SEP> un <SEP> protocole
<tb> ICMP <SEP> : <SEP> echo <SEP> request <SEP> ; <SEP> ICMP <SEP> echo <SEP> reply <SEP> (par <SEP> exemple), - Par adresse IP source et adresse IP destination (les règles d'anti-spoofing doivent etre automatiquement générer et visible), - Par port source et port destination, - Par option du protocole de niveau 4 (le service) . transfert de zone DNS/UDP interdit par exemple - D'autres fonctions des modules de sécurité sont également proposées dans le mode de réalisation plus particulièrement décrit ici.
- " Camouflage " d'adresses IP source soit par une implémentation de type NAT (initiales anglosaxones de Network Address Translat' , conformément aux RFC IETF) ou un système de masquage " IP Masquarading " propriétaire Linux.
- Redirection de ports/adresses destination de manière transparente - Gestion des options TCP (connexions, réponses, fragmentation), - Possibilité d'absorber silencieusement les paquets non acceptés, ou au contraire, en avertissant la source en ICMP d'une destination non atteignable, - Mise à disposition des modules de statistique, de logs et de repporting complets gestion des alertes, gestion des fichiers de logs et de leur archivage, outils de génération de tableaux de bords,...), - Gestion des échanges basés sur des protocoles sans état et non connectés type ICMP, UDP, Mulitcasting,... - Capacité de détection des encapsulations (tunneling, IP dans IP, PPP dans IP,...).
Toujours en référence à la figure 1, la couche suivante est la couche 5 propre à fournir les services de partage de l'information.
Cette couche décrit ce qui permet d'archiver et de restituer les informations que doit contenir 1'Intranet et plus précisemment l'appareil (ou appliance).
On peut distinguer trois types de services - les services de stockage et d'accès, - serveurs de fichiers, - serveurs de base de données, - serveurs de documents, - les services de production et de publication de l'information.
- les services de sauvegarde de l'information liés au stockage.
Plus précisément, ces services peuvent être détaillés comme suit <U>Serveurs de fichiers</U> Dans le mode de réalisation plus particulièrement décrit ici, ce service repose sur le serveur de fichier proposé en standard par Linux.
On utilise ainsi les trois types de systèmes de partage de fichiers, à savoir SMB (accès domaine NT ou 95-98),NFS (pour supporter d'autres systèmes de diques Unix ou les systèmes stockage supplémentaire de Right Vision) et AppleShare.
L'administrateur définit s'il désire utiliser l'un ou l'autre des protocoles, ce qu'il peut faire par domaine (entreprise) uniquement.
Des fonctions de limitation d'espace disque peuvent par ailleurs être proposées à l'administrateur en fonction de la capacité disque totale disponible pour le serveur Intranet.
L'administrateur doit ensuite allouer la capacité disque par société utilisatrice, puis domaine, puis ensuite par classe d'utilisateur. Il peut également limiter la capacité à un utilisateur particulier.
Dans le cas bien précis des courriers électroniques (" mails " en terminologie anglo- saxonne) reçus de l'Internet, une réception des messages est garantie même si la capacité maximale est atteinte, grâce à une capacité suffisante du disque principal ou des disques secondaires.
L' administrateur peut également générer des sauvegardes de l'environnement total et ce de manière périodique et programmable.
Pour les données bien spécifiques de l'annuaire, la sauvegarde peut par exemple être effectuée sous la forme d'un fichier excel exportable sur un disque réseau de la même manière ou en FTP. <U>Serveurs de documents</U> Les serveurs de documents sont élément indispensable d'un Intranet d'entreprise.
Ils permettent à l'utilisateur de rechercher et de consulter l'ensemble des documents produits par l'entreprise et pour l'entreprise. Ils sont couplés à des moyens de recherche sans être pour autant obligatoirement couplés à des moteurs de recherche.
Selon le mode de réalisation de l'invention plus particulièrement décrit ici la consultation des documents s'effectue à travers un navigateur web.
L'utilisateur peut donc consulter l'ensemble des fichiers stockés sur l'Intranet à travers ledit navigateur web et effectuer des recherches sur ces fichiers à travers une interface web . fichier modifié le 15 août 1999, fichier dont titre est Inventaire " ...) .
L'utilisateur peut également décider ici de rendre visible un de ces fichiers à l'ensemble des utilisateurs de l'Intranet sur une zone partagée accessible soit à travers un site web privé de l'Intranet, soit à travers le navigateur en se connectant à une URL particulière. <U>Serveurs de production et de publication de</U> <U>l'information</U> Ces serveurs (cartes) sont agencés pour permettre à l'utilisateur de l'Intranet de publier des documents, de mettre à jour un site Web ou toutes autres manipulations sur les fichiers de l'appareil. Pour ce faire l'utilisateur bénéficie plusieurs outils, comme par exemple les mécanismes de mise à jour accessibles en LAN ou par l'Internet et autorisant: - Un accès simple au système de fichiers en LAN (copie de fichier, déplacement fichiers basés sur les règles du système de fichier Linux et sur les autorisations des utilisateurs).
- Un accès ftp basé sur l'annuaire pour l'Internet ou d'une entreprise à l'autre sur le LAN. - Une gestion des extensions frontpage 97/98/2000, <U>Services de sauvegarde</U> Chaque service des différentes couches doit pouvoir être sauvegardé on-line et off-line, la restauration étant sélective pour chaque service.
La sixième couche est la couche 6 de fourniture de services de communication et de travail coopératif. (Messagerie, discussions ou " news ", en terminologie anglo-saxonne, serveur web et serveurs multimédia) Les fonctionnalités de la couche 6 sont par exemple les suivantes - Serveur SMTP (initiales anctlo-saxonnes pour.... ) - - Accès POP3, l'accès POP3 se fera à partir de l'annuaire LDAP, - Accès IMAP4, l'accès IMAP4 se fera - partir de l'annuaire LDAP, - Serveur HTTP/HTTPS : définition de la zone privée et de la zone public, le serveur intégrera mod perl, mod php3 avec des accès à bases libres de droits, - Serveur telnet, tftp,ftp, - Serveur de news privé, authentifié., - Serveur de certificat X509, - Serveur de profils Netscape pour les utilisateurs itinérants, - Gestion d'agenda et de calendrier. <U>Serveur</U> web Dans l'exemple de réalisation plus particulièrement décrit ici, le service d'hébergement de site web de l'appareil repose sur le serveur HTTP APACHE, agencé pour permettre des sites statiques et dynamiques Les répertoires sont publics ou privés avec une fonction d'indexation.
Les pages ASP sont autorisés ainsi que les CGI. L'architecture du serveur est par ailleurs et par exemple basée sur le profil de site suivant - 30 organisations, 50 sites - 20 pages dynamiques simultanées - ie 5% d'un site - 10 pages statiques, -<B>1000</B> documents indexés.
- Nombre de connexions simultanées ASP maximum 20% des utilisateurs.
- ces 20% ,5 % effectuent une recherche et 1 % un 'out de document.
Avantageusement, chaque utilisateur peut créer son site web, Grâce à des " templates "ou instructions prédéfinies, ledit site étant visible en Intranet, sur l'Internet ou les deux au choix de l'administrateur.
Dans mode de réalisation plus particulièrement décrit les " templates " sont éditables pour modifier des options telles que les polices de caractère les tailles de caractères, les couleurs...
Les modifications de pages HTML sont quant à elles effectuées par FTP directement sur le navigateur, la mise à j du site étant également possible par " Frontpage ".
Par ailleurs le serveur web met en oeuvre le système PERL v5.0 et les scripts CGI associés. Les extensions de type MIME, les " mappings " dynamiques d'URL, ainsi que le renvoi sous forme miroir (mirroring en terminologie anglo-saxonne) du site web sur un autre serveur et/ou sur un autre appareil sont prévus. <U>Serveur de messagerie</U> Les serveurs SMTP, POP 3 et IMAP 4 sont installés sur l'appareil qui est capable d'envoyer des mails, de recevoir des mails et de les stocker selon les protocoles et formats imposés par SMTP/POP3/IMAP4.
L'architecture du serveur de l'appareil est par ailleurs et par exemple basé sur les données suivantes . - 100 utilisateurs par organisation maximum, - 10 messages/jour par utilisateur soit total de<B>10000</B> messages/jour, - Message de 5 Ko en moyenne avec un maximum de 5 Mo, - Taille maximum d'une boite à lettre Mo, - Nombre de connexions simultanées maximum en SMTP : 10% des utilisateurs (soit<B>100</B> simultannée maximum), - Nombre de connexions simultanées maximum en P03 et IMAP4 10% des utilisateurs (soit 100 simultannée maximum), - 30 messages /sec en entrée et en sortie. Des quotas peuvent avantageusement s'appliquer au niveau organisation et utilisateur avec avertissement en cas de dépassement.
Le service de messagerie intègre de plus une possibilité de vérification anti-virus, les messages en entrée devant également pouvoir être refusés suivant leur origine (filtre sur adresse IP et nom de domaine). Le service de messagerie est également même de gérer les alias de façon connue en elle-même En particulier dans le cas d'une connexion à internet, seuls les utilisateurs autorisés doivent pouvoir envoyer et recevoir des messages extérieurs, l'envoi et la réception des mails étant liés à un utilisateur d'un domaine (DNS) particulier.
Ex : dupont@right.com est habilité à envoyer et recevoir des mails en fonction de ses droits définis dans l'annuaire. L'utilisateur a également la possibilité de choisir le protocole de réception de ses messages, i.e. POP3 ou IMAP4 .
L'administrateur est quant à lui autorisé ' créer des listes de diffusion(alias ou mailing list) utilisables par les utilisateur de l'Intranet (ex tous utilisateurs, management, comptabilité..).
Enfin, il est prévu qu'un utilisateur est unique par domaine. Ex : dupont@riaht.com ne devra aucun cas empêcher dupont@trial.com.
En revanche, il faudra laisser au même utilisateur la possibilité de faire un alias d'une boîte à une autre. Ex . dupont@right.com peut choisir avoir également une autre adresse dupont@trial.com et de ne recevoir les messages que dans une seule boîte de réception.
Il peut cependant choisir avec quelle identification d'utilisateur (identité) il envoie un message. Dans le cadre d'un accès permanent sur Internet, une configuration standard est par ailleurs prévue pour le routage des mails depuis et vers Internet. De plus, l'utilisateur a à sa disposition, dans un mode avantageux de réalisation de l'invention des services d'avance automatique de mails, ainsi que des mécanismes de réponse automatique en cas d'abscence. Cette fonctionnalité est liée à celle du calendrier, et est accessible à travers la fonction de profil personnalisé.
Des fonctions de contrôle des messages entrants par domaine sont également proposées dans cette couche qui permettent par exemple de restreindre les messages que doit traiter le serveur SMTP en fonction des domaines qui l'ont envoyé ou en fonction des domaines à qui ils sont envoyés.
La fonctionnalité de routage de mail est également proposée (ex : validation d'un document).
Enfin l'utilisateur pourra envoyer des messages (mails) en interne (Intranet) ou sur l'Internet en fonction de ses droits. I1 pourra également les envoyer de manière sécurisée. <U>Serveur de</U> news Les groupes de discussions (news) seront de type public ou privé par groupe d'utilisateurs, exemple avec une fonction modératrice et indexation du contenu.
Les messages peuvent contenir des documents attachés aux formats classiques.
Une politique d'expiration des messages est fixée, par exemple à 15 jours en standard, mais peut être modifiée par l'administrateur.
A noter que dans le cas d'une connexion à Internet, seuls les utilisateurs autorisés doivent pouvoir accéder aux forums Internet.
L'architecture du serveur de l'appareil est quant à elle et par exemple basée sur le profil suivant - Message de 5 Ko en moyenne avec un maximum 100 Ko, - Nombre de connexions simultanées maximum . des utilisateurs, - Chaque utilisateur poste deux messages/jour moyenne et en consulte 15/jour, <U>Serveur</U> FTP Le service FTP propose un répertoire public et des répertoires privés par groupe d'utilisateurs avec une fonction d'indexation.
La gestion des quotas est réalisé par l'administrateur lors de la configuration. <U>Serveur de profil</U> Dans le cas ou le navigateur utilisé est un navigateur Netscape, le serveur Intranet pourra proposer à ces utilisateurs une sauvegarde sur serveur de leur profil, tout comme une sauvegarde leurs préferences (bookmarks).
I1 est ainsi possible de conserver son environnement en changeant de poste client. La couche suivante est la couche 7 de fourniture de services d'annuaire. (Annuaire des utilisateurs, des serveurs et services, des informations, des informations réseau).
- L'annuaire des utilisateurs constitue la pierre angulaire du procédé mis en rouvre ici, pour les autres services qui sont fédérés autour de lui. Selon le mode de réalisation plus particulièrement décrit ici, l'annuaire est de plus prevu interrogeable par le protocole LDAP. La couche 7 prévoit aussi les services de Serveur/clients DNS et souvent client DHCP - On va maintenant décrire plus précisément l'annuaire LDAP -<U>Annuaire</U> LDAP L'annuaire LDAP constitue la base du serveur Intranet selon l'invention.
Il contient l'ensemble des informations disponibles dans l'Intranet sur les entreprises, domaines et les utilisateurs.
I1 est défini en tenant compte de l'arborescence 9 correspondant à la figure 2.
L'annuaire possède ainsi un schéma extensible qui permet une fourniture de services multiples dans des temps et avec des contraintes acceptables. De plus la séparation proposée permet une étanchéité d'une branche par rapport à une autre et donc un fonctionnement sécurisé. I1 dispose par ailleurs et par exemple d'une fonction d'import/export au format texte et permet aussi d'effectuer une vérification sur l'adresse mail pour éviter tout doublons. <U>Serveur</U> DNS La couche 7 permet également la fourniture d` service serveur DNS autorisant la libre gestion pour l'entreprise de ces domaines et services associés.
Ainsi dans le cas ou l'entreprise souhaite gérer ses serveurs primaires et secondaires, elle peut disposer d'une connexion permanente à l'Internet de type call-back.
Par contre, dans le cas où le protocole DHCP est utilisé, l'adresse de l'appareil concerné est automatiquement chargée dans le DNS. <U>Serveur</U> DHCP La couche 7 fournit également un service serveur Intranet donnant la possibilité d'utiliser DHCP comme protocole d'assignation des adresses IP de manière dynamique.
L'administrateur peut décider de ce choix pour une entreprise par exemple.
La couche suivante est la couche 8 d'accès informations et aux applications.
Cette couche permet de décrire l'interface client web et ses possibilités, Elle définit par exemple et en particulier éléments suivants . - Accès WebNews, - Accès WebMail, gestion de quota au mieux pour l'utilisateur (au niveau Intranet et Internet , - Gestion des fichiers des utilisateurs par navigateur web, - Moteur de recherche des informations contenus dans l'appareil, - Module de statistiques, aussi bien applicatif, que réseau (authentification échouée, tentative d'attaque), - Consultation de l'annuaire de l'entreprise.
- Aide contextuelle pour l'interface web HTML type flash, c'est-à-dire disponible en passant souris directement sur les chapitres concernés.
Les utilisateurs stockent ainsi leurs fichiers sur l'Intranet grâce au navigateur web et possèdent des fonctions intégrées de recherche de fichiers par nom, type ou mots clés.
Des recherches de fichiers privés ou publiques par groupe d'utilisateurs ou par entreprise sont également possibles.
En ce qui concerne le module de statistiques, celui-ci met en oeuvre le standard MRTG pour tout ce qui concerne les aspects réseaux et permet par exemple de visualiser en temps réel les informations suivantes - nombre d'accès (utilisateurs connectés au système), - utilisation des ressources systèmes et des ressources réseaux...
La figure 5 est un diagramme de flux montrant l'interface de gestion et d'administration 30 de l'appareil mettant oeuvre le procédé selon mode de réalisation de l'invention plus particulièrement décrit ici.
Le navigateur client 31 charge les pages web HTML 32 contenant le code JAVA et/ou JAVA Script 33 à partir d'une console externe 34 qui peut exemple être un micro-ordinateur PC, pour se connecter en 35 au moteur de Servlet, " Servlet Engine " 36, et à la base annuaire LDAP 37.
Plus précisément l'applet JAVA 38 (programme d'application) se connecte au moteur de Servlet 36. Grâce à cette connexion, l'applet JAVA 38 peut ensuite lire et écrire (liaison 39) dans la base annuaire LDAP 37.
L'applet JAVA 38 utilise donc le moteur 36 comme intermédiaire pour accéder en lecture ou ecriture à la base LDAP 37.
Les pages HTML dynamiques demandent alors l'exécution du code PHP, bloc 33, (le langage PHP ,initiales anglo-saxonnes de Personal Home Page étant décrit notamment sur le site www.PHP. ) via la connexion 40 avec le module serveur http 41 de l'appareil.
Il est ainsi possible de se connecter via la liaison 42, le moteur 36 et la liaison<B>1</B> à la base LDAP et plus particulièrement à la table system 43 représentée en figure 6, et qui sert de fédérateur à tous les services proposés.
Ce mécanisme permet ainsi la visualisation directe des paramètres de configuration des services de l'appareil dans le navigateur, ces paramètres etant dans la base LDAP.
Les flèches 40 et 42 correspondent quant à elles aux lecture/écritures des paramètres des services dans la base.
Après modification de la configuration des services (flèches 40 et 42), des programmes CGI (initiales anglo-saxonnes de Common Gateway Interface) sont lancés sur le serveur http 41 Ces CGI lisent les tables système 43 dans la base LDAP et effectuent un traitement qui consiste à réaliser une traduction syntaxique et grammaticale du contenu de la base, c'est-à-dire que les tables de la base sont transcrites dans la syntaxe ou le langage des systèmes d'exploitation (OS) de l'appareil.
Les CGI effectuent alors des lectures (flèches 44 et 45) dans la base 37 et traduisent les tables 43 en fichiers de configuration 46 (représenté sur la ligne 5 par le bloc " Systeme and Network Libs ", qui va être précisé ci-après en référence à la figure 7), pour les services 47 de l'OS 48.
Un flux 49 de remontée des codes de retour est alors généré, indiquant les résultats des traitements et l'état dés services vers le navigateur. La figure 6 donne un exemple de contenu des tables système 43, comprenant notamment le module de services 50 organisé en couches comme déjà décrit, et mettant en #uvre une série de protocoles et/ou normes applicables et notamment les suivants : Ftpd, DNS, SMB, SMTP, POP, IMAP, HTTPD, FireWall, DHCP, NFS, Caching...
Le système de table comprend également différents modules qui ne seront pas détaillés, à savoir un système hôte 51 (host allow), un système de management 52, un système de nommage 53 un module réseau 56 (interfaces Netconf, LAN, WAN, etc...) ; On a représenté sur la figure 7 le contenu du bloc 46 " Systems and Networks Libs " de la figure 5. Celui-ci comporte un fichier central 101 contenant les fonctions utilisatrices pour les autres modules, la gestion des erreurs et un fichier de configuration.
Plus précisément, on a repris ci-après l'identification de différents fichiers représentée sur le diagramme de la figure 7.
Les fichiers 102 à 107, 108, 112 à 115, 121 à 124, 127 et 129 sont directement reliés au fichier central 101.
Le fichier 102 est quant à lui relié aux fichiers 130 à 133, le fichier 121 aux fichiers 119 et 120, le ficher 115 aux fichiers 116 à 118. Le fichier 127 est également relié au fichier 126, lui-même relié au fichier 125, le fichier 129 étant quant à lui relié au fichier 128.
Les fichiers référencés de 101 à 123 ont par ailleurs les significations suivantes 101 : fonctions utilitaires pour les autres modules, gestion des erreurs, fichier de configuration. (perl- RVSetup-0.9-x ) 102 librairie de configuration des statistiques systemes, web et ftp. (perl-RVSetupStats-0.9-x) 103 librairie de configuration des interfaces réseaux LAN (perl-RVSetupLAN-0.9-x) 104 . librairie de gestion des utilisateurs (login, groupe, mots de passe,...) (perl-RVSetupSYS-0.9-x) 105 : librairie de configuration des serveurs web et des certificats SSL. (perl-RVSetupHTTP-0.9-x) 106 librairie de configuration du service FTP (perl-RVSetupFTP-0.9-x). 107 : librairie de configuration des tunnels virtuels sécurisés (perl-RVSetupIPSec-0.9-x). 108 librairie de configuration du service DNS (perl-RVSetupDNS-0.9-x).
109 .. gestion du LCD affichage des menus du boot (lcdinit). 110 gestion du LCD gestion du boitier et affichage des statistiques du boitier(lcd). 111 : gestion du LCD : indication ce l'autorisation d'arret du boitier(lcd-end). 112 : gestion des mails : SMTP, POP, IMAP(mail). <B>113</B> : gestion de la mise à jour du boitier(update). 114 : gestion de la date et l'heure(rvtime). <B>115</B> contient les fichiers de la base LDAP, les fichiers backup-restore et le fichier d'export de 1 annuaire. (RPMopenldap) 116 permet la configuration du service SAMBA (RPMSmb) . 117 permet la configuration du Firewall(RPMFirewall).
118 : permet de configurer le service NAT(RPMNAT). 119 . librairie de fonctions utilitaires pour gerer les cartes Eicon(EiconCardServices). 120 . Librairie de routage pour les cartes Eicon. (EiconCardRouter) 121 . librairie de configuration des cartes ISDN et LS. (rvWAN) 122 . librairie de configuration des routes TCP/IP. (RvStaticRoute) 123 : permet de mettre à jour les adresses IP dans les differents services lors du changement d'adresse IP d'une interface LAN(rvUpdateIP).
124 : noyau Linux spécialement optimisé pour l'Eye- Box contenant le module Streams et les drivers Eicon. (rvKernel)
Figure img00450028
125, <SEP> 126 <SEP> : <SEP> gestion <SEP> des <SEP> pseudo-terminaux <SEP> unix(perl <SEP> IO TTY-.02-2, <SEP> perl-IO-STTY-.02-2). 127 librairie de pilotage non interactif d'un processus unix(perl-Expect.pm-1.07-2). 128 : librairie de calcul de valeur de hash MD5(perl- Digest-MD5-2.05-2) 129 . librairie permettant de générer les mots de passe unix cryptés en utilisant MD5(perl-Crypt- PasswdMD5-1.0-1) Non représenté librairie d'interrogation et de configuration d'un serveur DNS. (perl-Net-DNS-0.12-1) 130 : moniteur système surveillant le fonctionnement des différents services(mon-0.38.18-2). 131 : librairie d'accès en PERL à la librairie gtop. (perl-GTop-0.10-1) 132 outils pour recolter les paramètres de fonctionnement de l'appliance, les consolider et générer des graphes(rrdtool-1.0.13-1.6.0).
133 outil de statistique pour les serveurs web(webalizer-2.00.06-2). La figure 8 montre le diagramme 60 de flux de l'interface utilisateur de l'appareil.
Quand il y a lieu, on a utilisé les mêmes numéros de référence pour présenter les mêmes éléments ceux de la figure 6.
Le navigateur charge tout d'abord le bureau virtuel (flèche 61) et le code associé (JAVA Script JAVA, ... ) dans la console d'interface 34. Après authentification de l'utilisateur (flèche 62), le navigateur exécute (flèche 63) sur le serveur http, le code PHP permettant de vérifier les droits et les propriétés de l'utilisateur en se connectant (flèche 64) à la base LDAP. Le navigateur permet alors (flèche 61) de lancer une application web du bureau virtuel, ce qui donne à l'utilisateur la possibilité d'utiliser les services de l'appareil, conformément à ses droits et ' ses propriétés précédemment vérifiés dans la base.
Par exemple, l'application " webmail " va être lancée du bureau virtuel et permet d'utiliser les services de la messagerie SMTP, POP, IMAP du boltier.
Un flux de rentrée des codes d'arrêt et d'erreur est par ailleurs remonté vers le navigateur.
On a représenté sur la figure 9 une image graphique 65 du bureau virtuel 66, permettant par simple clic de l'utilisateur sur les objets , 68, 69, ... du bureau, d'avoir respectivement accès aux services mail, agenda, adresse, etc...représentés visuellement sur un écran d'ordinateur 70.
La figure 10 montre un boîtier ouvert 80 d'appareil 81 selon l'invention, comportant un processeur 82 de calcul et de traitement de données, au moins une mémoire 83 comportant un système d'exploitation et des programmes d'application résidents, des moyens 84, 85 d'interface de communication et des moyens 86 d'affichage d'informations.
Ces moyens d'affichage comprennent par exemple un écran LCD 87 et des diodes électroluminescentes 88. Les programmes d'application et les moyens d'interfaces comprennent des moyens pour administrer et fournir simultanément ou séquentiellement plusieurs services programmés parmi les services suivants : accès au réseau numérique téléphonique, service de gestion d'abonnés, service de serveur sur Internet, service de serveur de messagerie, service de serveur d'informations, service de serveur d'imprimante, service de calendrier, service de routeur, gestion de fichiers, service de serveur VPN, service de sécurité, ces services ayant éte plus particulièrement décrits ci-avant.
L'appareil 81 comporte, pour administrer ces fournitures, un fichier annuaire central par exemple conforme au protocole LDAP, agencé pour fédérer l'ensemble des fournitures de services ainsi proposées.
On va maintenant décrire le fonctionnement de l'appareil 81 selon l'invention.
Au démarrage de l'appareil celui-ci demande d'introduire une adresse IP (sa propre adresse , une adresse de passerelle (si nécessaire) et un netmask de réseau. Ceci lui permettra de booter et de démarrer le service web d'administration qui sera ensuite accessible grâce à une URL de type.
Un mot de passe est également demandé sur 1 écran LCD 87 au démarrage.
Ce mot de passe permettra de restreindre l'accès à l'écran LCD de contrôle ainsi que de restreindre l'accès à la console d'administration web du boîtier (URL précitée).
De façon générale la configuration du boîtier doit permettre d'attribuer les paramètres de base nécessaires à chaque périphériques réseau - la définition de la sécurité, - les flux de données autorisés, - des comptes de bases (mot de passe...), - la fonction générale associée boîtier dans le cas où le boîtier est pré-configurable , - un moyen de réinitialiser le boîtier (revenir à configuration de départ). Cette option est très importante pour réinitialiser facilement boîtier. Elle est indispensable dans le cadre de boîtier mis en place chez le client, ou de boîtier mise en place chez des ISP, éventuellement avec une combinaison non triviale de touche ou à travers l'interface web cliente.
Plus précisément le boîtier 80 de l'appareil comporte également de façon connue en elle même un bouton RESET 89 ou une combinaison de touches 90 situées sur la face avant, qui vont permettre de remettre à zéro l'OS du boîtier et redémarrer l'appliance.
Avantageusement une autre combinaison de touches, permettant de remettre le boîtier dans sa configuration d'usine, est prévue.
Enfin, comme on l'a vu, le boîtier comporte deux réseaux de led verticaux 88 en face avant et quatre leds indépendants également en face avant Les cartes réseaux 91 qui incorporent les différents moyens nécessaires selon 'invention, comportent également chacune une led permettant visualiser les activités Tx/Rx. La led éclairée permanence indiquera par exemple une connexion réseau. En général et par exemple les deux rangées de led en face avant indiqueront l'activité réseau de la machine et l'activité CPU.
Les quatre autres leds en face avant indiqueront les activités suivantes - activité disque, - activité web, - activité mail, - Activité filtrage et sécurité.
Dans ce mode de réalisation le boîtier possède en face avant un écran de contrôle indiquant les informations suivantes .
- à l'allumage, indique des informations sur nom de la machine , - durant la phase de boot, indique les différentes activités (extraites des logs de boot de Linux), - Une fois le système démarré pour la première fois, pose un certain nombre de questions sur config réseau de base.
Un menu défilant est proposé sur cet écran permettant de réaliser un certain nombre de fonctions de base (rebooter le système, visualiser des infos sur la charge de la machine, sur les applicatifs démarrés, sur le nombre d'utilisateur, sur des infos de base réseau (bande passante consommée...), arrêter système,...), Certaines facilités sont également prévues pour permettre de configurer l'appareil appliance à distance par le réseau Internet. Cette configuration sera une sous-partie des configurations utilisateur administrateur et fera partie du profil l'utilisateur (annuaire LDAP).
Comme il va de soi et comme il résulte d'ailleurs de ce qui précède, la présente invention ne se limite pas au modes de réalisation plus particulièrement décrit ici, mais en embrasse au contraire toutes variantes et notamment celles où un autre navigateur est utilisé

Claims (6)

Avec . Admin Group : Groupe des administrateurs du procédé définissant de 1 à N administrateurs. User Group i : Groupe d'utilisateurs i, avec i entier variant de 1 à N, User, User 1,... User N : les utilisateurs de 1 à N Group : La branche groupe des branches " User Group i ", regroupant les utilisateurs 1 à N. 7. Procédé selon l'une quelconque revendications précédentes, caractérisé en ce qu' configure l'appareil en utilisant une interface administrateur dans laquelle on peut définir modifier tous les services fournis à destination des utilisateurs. 8. Appareil de fourniture et d'administration de services sur le réseau Internet, comportant un processeur de calcul et de traitement de données, au moins une mémoire comportant un système d'exploitation et des programmes d'application résidents, des moyens d'interface de communication des moyens d'affichage d'informations, caractérisé ce que l'appareil comporte un boîtier unique intégré, propre à être connecté d'un coté au réseau Internet et de l'autre coté à au moins un réseau local, en ce que les programmes d'application et les moyens d'interfaces comprennent des moyens pour administrer et fournir simultanément ou séquentiellement plusieurs services programmés parmi les services suivants : accès au réseau Internet par l'intermédiaire du réseau numérique téléphonique, service de gestion d'abonnés, service de serveur sur Internet, service de serveur de messagerie, service de serveur d'informations, service de serveur d'imprimante, service de calendrier, service de routeur, gestion de fichiers, service de serveur VPN, service de sécurité, et en ce qu'il comporte, pour administrer ces fournitures, un annuaire central agencé pour féderer l'ensemble des fournitures de services ainsi proposées. 9. Appareil selon la revendication 8, caractérisé en ce que l'annuaire est conforme au protocole LDAP. 10. Appareil selon l'une quelconque des revendications 8 et 9, caractérisé en ce 'il comporte des moyens agencés pour configurer ledit appareil à travers un navigateur de réseau de manière locale et/ou par le réseau Internet. 11. Appareil selon la revendication 10, caractérisé en ce qu'il comporte une interface utilisateur de type HTML ou DHTML, permettant audit utilisateur l'accès direct à tous les services au travers dudit navigateur de réseau. 12. Appareil selon l'une quelconque des revendications 8 à 11, caractérisé en ce 'il comporte des moyens agencés pour fournir le service de sécurité comprenant des moyens de filtrage de paquets et moins un appareil proxy de déconnexion entre le réseau local et le réseau Internet. 13. Appareil selon l'une quelconque des revendications 8 à 12, caractérisé en ce que les moyens affichage comportent des diodes électroluminescentes. REVENDICATIONS
1. Procédé de fourniture et d'administration de services sur le réseau Internet, dans lequel les services étant organisés en plusieurs couches, de façon connue en elle même, on fournit simultanément ou séquentiellement plusieurs services programmés parmi les services suivants . accès réseau Internet par l'intermédiaire du réseau numérique téléphonique, service de gestion d'abonnés service de serveur sur Internet, service de serveur de messagerie, service de serveur d'informations, service de serveur d'imprimante, service de calendrier, service de routeur, gestion de fichiers, service de serveur VPN, service de sécurité, ledit procédé étant caractérisé en ce que on réalise toutes ces fournitures de services à partir d'un seul appareil programmé en conséquence et connecté d'un coté au réseau Internet et l'autre coté à au moins un réseau local, et en ce que, pour administrer ces fournitures, on utilise un annuaire central agencé pour fédérer l'ensemble des fournitures de services ainsi proposées.
2. Procédé selon la revendication 1, caractérisé en ce que l'annuaire central est conforme au protocole LPAD .
3. Procédé selon l'une quelconque des revendications précédentes, caractérisé ce qu'on configure ledit appareil à travers un navigateur de réseau, de manière locale et/ou par le réseau Internet.
4. Procédé selon la revendication 3, caractérisé en ce qu'on utilise une interface utilisateur de type HTML ou DHTML, permettant audit utilisateur l'accès direct de tous les services au travers dudit navigateur de réseau.
5. Procédé selon l'une quelconque des revendications précédentes, caractérise en ce que le service de sécurité est fourni effectuant simultanément, en série, un filtrage de paquets et une déconnexion physique entre le réseau local et le réseau Internet par le biais d'un appareil proxy.
6. Procédé selon l'une quelconque des revendications précédentes, appliqué à la fourniture et à l'administration de services pour une société, caractérisé en ce que l'annuaire central est organisé sous la forme d'arborescence suivante
FR0006529A 2000-05-22 2000-05-22 Procede et appareil de fourniture et d'administration de services sur le reseau internet Expired - Fee Related FR2809255B1 (fr)

Priority Applications (1)

Application Number Priority Date Filing Date Title
FR0006529A FR2809255B1 (fr) 2000-05-22 2000-05-22 Procede et appareil de fourniture et d'administration de services sur le reseau internet

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR0006529A FR2809255B1 (fr) 2000-05-22 2000-05-22 Procede et appareil de fourniture et d'administration de services sur le reseau internet

Publications (2)

Publication Number Publication Date
FR2809255A1 true FR2809255A1 (fr) 2001-11-23
FR2809255B1 FR2809255B1 (fr) 2004-07-09

Family

ID=8850488

Family Applications (1)

Application Number Title Priority Date Filing Date
FR0006529A Expired - Fee Related FR2809255B1 (fr) 2000-05-22 2000-05-22 Procede et appareil de fourniture et d'administration de services sur le reseau internet

Country Status (1)

Country Link
FR (1) FR2809255B1 (fr)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1517509A1 (fr) * 2003-09-18 2005-03-23 France Telecom Insertion d'une aide dans une réponse à une requête pour bureau virtuel
WO2013050674A1 (fr) * 2011-10-06 2013-04-11 Cassidian Sas Boîtier informatique d'accès sécurisé à un système d'information
FR2981178A1 (fr) * 2011-10-06 2013-04-12 Cassidian Passerelle d'acces securise a un systeme d'information

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5387901A (en) * 1992-12-10 1995-02-07 Compaq Computer Corporation Led indicating light assembly for a computer housing
WO1998026540A1 (fr) * 1996-12-10 1998-06-18 Whistle Communications Corporation Mise en place automatique de services destines aux utilisateurs d'un systeme informatique
WO1998026548A1 (fr) * 1996-12-10 1998-06-18 Whistle Communications Corporation Configuration automatique pour dispositif d'acces a internet

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5387901A (en) * 1992-12-10 1995-02-07 Compaq Computer Corporation Led indicating light assembly for a computer housing
WO1998026540A1 (fr) * 1996-12-10 1998-06-18 Whistle Communications Corporation Mise en place automatique de services destines aux utilisateurs d'un systeme informatique
WO1998026548A1 (fr) * 1996-12-10 1998-06-18 Whistle Communications Corporation Configuration automatique pour dispositif d'acces a internet

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
DAVIS J ET AL: "AN IMPLEMENTATION OF MLS ON NETWORK OF WORKSTATIONS USING X500/509", PHOENIX/TEMPE, FEB. 5 - 7, 1997,NEW YORK, IEEE,US, 5 February 1997 (1997-02-05), pages 546 - 553, XP000753724, ISBN: 0-7803-3874-X *
GRALLA P: "HOW FIREWALLS WORK", HOW INTRANETS WORK,XX,XX, 1996, pages 73 - 85, XP002922638 *

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1517509A1 (fr) * 2003-09-18 2005-03-23 France Telecom Insertion d'une aide dans une réponse à une requête pour bureau virtuel
FR2860112A1 (fr) * 2003-09-18 2005-03-25 France Telecom Insertion d'une aide dans une reponse a une requete pour bureau virtuel
US7472128B2 (en) 2003-09-18 2008-12-30 France Telecom Inserting an aid into an answer to a request for a virtual office
WO2013050674A1 (fr) * 2011-10-06 2013-04-11 Cassidian Sas Boîtier informatique d'accès sécurisé à un système d'information
FR2981177A1 (fr) * 2011-10-06 2013-04-12 Cassidian Boitier informatique d'acces securise a un systeme d'information
FR2981178A1 (fr) * 2011-10-06 2013-04-12 Cassidian Passerelle d'acces securise a un systeme d'information
WO2014053710A1 (fr) * 2011-10-06 2014-04-10 Cassidian Sas Passerelle d'accès sécurisé a un système d'information

Also Published As

Publication number Publication date
FR2809255B1 (fr) 2004-07-09

Similar Documents

Publication Publication Date Title
JP4734592B2 (ja) クライアントリダイレクトによるプライベートネットワークへの安全なアクセス提供方法およびシステム
Harold Java network programming
US6944183B1 (en) Object model for network policy management
US9087319B2 (en) System and method for designing, developing and implementing internet service provider architectures
US7412447B2 (en) Remote file management using shared credentials for remote clients outside firewall
US7657638B2 (en) Routing client requests to back-end servers
EP3354000B1 (fr) Equipement pour offrir des services de résolution de noms de domaine
US20030182423A1 (en) Virtual host acceleration system
FR2847752A1 (fr) Methode et systeme pour gerer l&#39;echange de fichiers joints a des courriers electroniques
FR2923969A1 (fr) Procede de gestion de trames dans un reseau global de communication, produit programme d&#39;ordinateur, moyen de stockage et tete de tunnel correspondants
WO2007087109A2 (fr) Système et procédé destinés à reproduire de manière efficace des environnements et des données spécifiques à une application et à accéder à ces environnements et ces données
FR2801697A1 (fr) Procede d&#39;acces selon divers protocoles a des objets d&#39;un arbre representatif d&#39;au moins une ressource de systeme
WO2001031880A1 (fr) Terminal securise muni d&#39;un lecteur de carte a puce destine a communiquer avec un serveur via un reseau de type internet
WO2014199102A1 (fr) Procede d&#39;authentification d&#39;un terminal par une passerelle d&#39;un reseau interne protege par une entite de securisation des acces
US20110099621A1 (en) Process for monitoring, filtering and caching internet connections
US20020194295A1 (en) Scalable data-sharing architecture
FR2809255A1 (fr) Procede et appareil de fourniture et d&#39;administration de services sur le reseau internet
EP1051009A1 (fr) Serveur virtuel fournissant des services de sécurité
FR2828362A1 (fr) Procede de communication pour echanger de maniere controlee des donnees entre un terminal client et un reseau de sites hotes et ensemble serveur de protection pour la mise en oeuvre de ce procede
FR3093258A1 (fr) Procede de protection d’un reseau prive d’ordinateurs
Hunt Internet—services, facilities, protocols and architecture
US20240422168A1 (en) System and Method for Efficient Replication of and Access to Application Specific Environments and Data
WO2010034928A1 (fr) Plate-forme de reseau informatique
EP1764748A1 (fr) Système d&#39;affranchissement avec un serveur Web dans un réseau local
Peinl et al. Infrastructure

Legal Events

Date Code Title Description
ST Notification of lapse

Effective date: 20150130