TW201501487A

TW201501487A - 無網路位址之端點管理資訊設備

Info

Publication number: TW201501487A
Application number: TW102123408A
Authority: TW
Inventors: Chenta Cheng-Da Lee; Tony Sheng-Tong Hsu; Bear Wei-Xiang Hsiung; Travis Ming-Xun Wu
Original assignee: Ibm
Priority date: 2013-06-28
Filing date: 2013-06-28
Publication date: 2015-01-01
Also published as: US20150007254A1; US9591025B2

Abstract

本發明揭示一種於一資訊設備中接收管理指令以配置一網路安全防護策略的方法，及實施該方法之資訊設備及程式產品，其中於該資訊設備連結至一被保護之網路端點裝置時，提供該網路端點裝置之網路安全防護作業。該方法包含以下步驟：接收來自安全防護設備的封包；檢查是否該封包含有一特定識別符；及回應於收到的封包含有該特定識別符，由該封包之承載資料中取得管理指令，而對該資訊設備作相應配置。

Description

無網路位址之端點管理資訊設備

本發明係關於一種執行網路安全防護作業的裝置，特別是關於提供一包含一”無IP網路位址之管理模組”以接收管理指令(management command)之資訊設備(appliance)，而可以配置網路安全防護策略，以於該資訊設備連結至一網路端點裝置時提供該網路端點裝置之網路安全防護作業。

圖1所示為一般習知之企業網路示意圖。外部端點(End-points)101使用者透過外部網路103進入作為非管制區105(Demilitarized Zone,DMZ)中企業之網路連結裝置106。網路連結裝置106可為交換器、橋接器、路由器等可控制網路封包流向的裝置。一般網路安全防護設備(如防火牆、入侵偵測(IDS)或入侵預防系統(IPS)等)也可置於非管制區105中，與該網路連結裝置106耦接。網路連結裝置106中之架構可參考例如Cisco公司的交換器產品Cisco Catalyst 3550 Series Switch。內部網路資源107不限制為特定的資訊設備(appliances)或是伺服器，且內部網路資源107可各自包含不限數目的資訊設備或是伺服器或是其組合。例如內部網路資源107可代表一區域網路(LAN)。資訊設備，通常也稱之為網際網路設備(Internet Appliance)，為內建有網路能力且具有某一特定功能的裝置。相對於通用型(General Purpose)的電腦裝置，由於資訊設備一般係根據特定目的或特定服務而設計，以進行特定的交易 (transaction)，因而具有較高的效能。

內部網路資源107可為一虛擬區域網路(Virtual Local Area Network，VLAN)。對於在企業或組織的內部資源中，透過虛擬區域網路的技術，網管人員可以對不同實體區域網路中的設備進行邏輯上的分群(Grouping)，而提供更完整的資訊安全保障。

另一方面，一般企業或組織中，為了確保內部資料的安全性，會採取虛擬私人網路(VPN)，而提供一虛擬私人網路伺服器於非管制區105中，供使用者從外部連線存取內部的資源。例如可參考申請人之官方網站上所發表的技術文件WebSphere Everyplace Connection Manager：increasing mobile security,reducing wireless costs。該虛擬私人網路伺服器耦接網路連結裝置106。外部端點101使用者需先登入虛擬私人網路伺服器，經過認證及授權後，可透過虛擬私人網路(VPN)連結網路連結裝置106。需說明的是，在一些實施例中，虛擬私人網路伺服器並非必要，也就是說，外部端點101使用者不一定要透過虛擬私人網路VPN連結網路連結裝置106與內部網路資源107。需說明的是，雖未繪示但其他硬體及軟體組件(例如額外電腦系統、路由器、防火牆等)可設置於虛擬私人網路伺服器(或網路連結裝置106)與外部端點101之間的網路103中。

更多相關資料，可參考由Andrew Jones等人在申請人之官方網站上所發表的技術文件IBM SmartCloud Enterprise tip：Build multiple VPNs and VLANs：VPN and VLAN features and capabilities in IBM SmartCloud Enterprise 2.0以及IBM SmartCloud Enterprise tip：Span virtual local area networks Provision and configure an instance that spans a public and private VLAN。

一般企業或組織中，為了確保內部資料的安全性，也會在連結至企業網路(intranet)內部端點(end-points)中，提供網路安全防護策略(security policies)，如防火牆、防毒軟體、入侵偵測(IDS)或入侵預防系統(IPS)等安全防護設備，以確保網路通訊上之安全。該內部端點可以為一電腦主機(如路由器、工作站或伺服器)，或也可以為一數據電路端設備 (DCE)(如橋接器、交換機等)。

若要提供網路安全防護策略至一端點，通常需於該端點上安裝一軟體代理(software agent)，即一端點管理代理(end-point management agent)，如IBM Tivoli® Composite Application Management(ITCAM)，IBM Tivoli® Endpoint Manager for Security and Compliance或Symantec Endpoint Protection(SEP)等。但是，一軟體代理有下列缺點：

1.一軟體代理通常依賴作業系統(OS dependent)，因而使用者不易安裝。另，也不易支援各種不同之作業系統，如Solaris或客製化嵌入式Linux核心(如Linux TV box)。

2.一軟體代理本身可能被一惡意軟體(malware)汙染。

3.一軟體代理可以由使用者手動終止(stopped)。

4.一軟體代理將消耗系統資源，如CPU及記憶體。

此外，也可使用一硬體安全防護裝置，以提供網路安全防護策略至一端點。如路由器、入侵預防系統(IPS)或家用閘道。然而由於一硬體安全防護裝置通常為路由器層級之裝置而需求一額外之IP網路位址，以供管理該硬體安全防護裝置。

因此若能提供一不需額外之IP網路位址且無軟體代理之缺點的解決方案，則是有利的。

本發明提供一小的能直接耦接至端點之資訊設備(appliance)。此處該小資訊設備可稱之為一迷你盒(mini-box)。該迷你盒至少提供下列特徵：

1.無IP網路位址之管理。雖因該迷你盒係直接耦接至端點設備之網路連接埠(如Ethernet埠)，而不需額外指派一IP網路位址，但仍能對該迷你盒佈署一網路安全防護策略或軟體/韌體(software/firmware)之更新，以執行網路安全防護作業。

2. IPS分載(off-loading)。如代替IPS系統於企業網路內部端點處阻檔惡意訊務(malicious traffic)，因此惡意訊務可於其起始端被阻檔，不致使汙染擴散。此外，也可擔任企業網路內部IPS系統。

3.可擔任企業網路內部防火牆。

4.不佔用系統資源，如CPU及記憶體。

5.無法由使用者手動終止網路安全防護策略。

6.非依賴作業系統(OS-independent)。

由於本發明之迷你盒係非依賴作業系統而為非軟體代理方式實施安全防護策略，使用者不需要於其作業系統上安裝任何軟體代理，且該迷你盒可容易地藉升級軟體組件而延伸其功能。

根據本發明一實施例，其揭示一種於一資訊設備中接收管理指令以配置一網路安全防護策略的方法，其中於該資訊設備連結至一被保護之網路端點裝置時，提供該網路端點裝置之網路安全防護作業。該方法包含以下步驟：接收來自安全防護設備的封包；檢查是否該封包含有一特定識別符；及回應於收到的封包含有該特定識別符，由該封包之承載資料中取得管理指令，而對該資訊設備作相應配置。

根據本發明另一實施例，其揭示一種電腦程式產品，其包含一儲存有程式碼之電腦可讀媒體，供於一資訊設備上執行時，實施如前述之方法，以於一資訊設備中接收管理指令以配置一網路安全防護策略，其中於該資訊設備連結至一被保護之網路端點裝置時，提供該網路端點裝置之網路安全防護作業。

根據本發明另一實施例，其揭示一種資訊設備，包含：一匯流排；一記憶體，連接到該匯流排，其中該記憶體包含一組指令；一連接到該匯流排之處理單元，其中該處理單元執行該組指令，以執行如前述之方法，以於該資訊設備中接收管理指令以配置一網路安全防護策略，其中於該資訊設備連結至一被保護之網路端點裝置時，提供該網路端點裝置之網路安全防護作業

本說明書中所提及的特色、優點、或類似表達方式並不表示，可以本發明實現的所有特色及優點應在本發明之任何單一的具體實施例內。而是應明白，有關特色及優點的表達方式是指結合具體實施例所述的特定特色、優點、或特性係包含在本發明的至少一具體實施例內。因此，本說明書中對於特色及優點、及類似表達方式的論述與相同具體實施例有關，但亦非必要。

參考以下說明及隨附申請專利範圍或利用如下文所提之本發明的實施方式，即可更加明瞭本發明的這些特色及優點。

101‧‧‧外部端點

103‧‧‧外部網路

105‧‧‧非管制區(Demilitarized Zone,DMZ)

106‧‧‧網路連結裝置

107‧‧‧內部網路資源

200‧‧‧資訊設備(迷你盒)

210‧‧‧處理器

220‧‧‧記憶體

240‧‧‧輸入/輸出(I/O)單元

250‧‧‧硬碟機

260‧‧‧區域網路(LAN)配接器

230‧‧‧網路

301‧‧‧接收來自安全防護設備的封包

303‧‧‧檢查是否該封包含有特定識別符

305‧‧‧取得該封包之承載資料，而作相應配置

307‧‧‧依安全防護策略而檢查是否可轉送該封包

309‧‧‧轉送該封包至被保護之端點裝置

311‧‧‧丟棄該封包

401A、401B、401C、401D‧‧‧企業網路內部端點

403A、403B、403C、403D‧‧‧迷你盒

405‧‧‧交換機

407‧‧‧安全防護設備(如防火牆及/或IPS系統)

411 413 421 423 431 433 435 441 443 445‧‧‧箭頭

為了立即瞭解本發明的優點，請參考如附圖所示的特定具體實施例，詳細說明上文簡短敘述的本發明。在瞭解這些圖示僅描繪本發明的典型具體實施例並因此不將其視為限制本發明範疇的情況下，參考附圖以額外的明確性及細節來說明本發明，圖式中：

圖1 為一般習知之企業網路示意圖。

圖2A一種依據本發明一具體實施例之迷你盒硬體架構。

圖2B為結合網路連接埠而形成一於前後端分別有一供連接器(如RJ45)插入之網路連接埠之母端插座(埠0、埠1)的迷你盒。

圖2C為結合網路連接埠且可直接安置在牆壁上，而露出前端供連接器(如RJ45)插入之網路連接埠之母端插座(埠0、埠1)的迷你盒。

圖3為依據本發明一具體實施例之迷你盒內”無網路位址之管理模組”的方法流程圖。

圖4A為依據本發明一具體實施例之迷你盒的第一IPS分載應用例。

圖4B為依據本發明一具體實施例之迷你盒的第二IPS分載應用例。

圖4C為依據本發明一具體實施例之迷你盒的第三IPS分載應用例。

圖4D為依據本發明一具體實施例之作為企業網路內部防火牆之迷你盒的應用例。

本說明書中「一實施例」或類似表達方式的引用是指結合該具體實施例所述的特定特色、結構、或特性係包括在本發明的至少一具體實施例中。因此，在本說明書中，「在一具體實施例中」及類似表達方式之用語的出現未必指相同的具體實施例。

熟此技藝者當知，本發明可實施為電腦系統、方法或作為電腦程式產品之電腦可讀媒體。因此，本發明可以實施為各種形式，例如完全的硬體實施例、完全的軟體實施例(包含韌體、常駐軟體、微程式碼等)，或者亦可實施為軟體與硬體的實施形式，在以下會被稱為「電路」、「模組」或「系統」。此外，本發明亦可以任何有形的媒體形式實施為電腦程式產品，其具有電腦可使用程式碼儲存於其上。

一個或更多個電腦可使用或可讀取媒體的組合都可以利用。舉例來說，電腦可使用或可讀取媒體可以是(但並不限於)電子的、磁的、光學的、電磁的、紅外線的或半導體的系統、裝置、設備或傳播媒體。更具體的電腦可讀取媒體實施例可以包括下列所示(非限定的例示)：由一個或多個連接線所組成的電氣連接、可攜式的電腦磁片、硬碟機、隨機存取記憶體(RAM)、唯讀記憶體(ROM)、可抹除程式化唯讀記憶體(EPROM或快閃記憶體)、光纖、可攜式光碟片(CD-ROM)、光學儲存裝置、傳輸媒體(例如網際網路(Internet)或內部網路(intranet)之基礎連接)、或磁儲存裝置。需注意的是，電腦可使用或可讀取媒體更可以為紙張或任何可用於將程式列印於其上而使得該程式可以再度被電子化之適當媒體，例如藉由光學掃描該紙張或其他媒體，然後再編譯、解譯或其他合適的必要處理方式，然後可再度被儲存於電腦記憶體中。在本文中，電腦可使用或可讀取媒體可以是任何用於保持、儲存、傳送、傳播或傳輸程式碼的媒體，以供與其相連接的指令執行系統、裝置或設備來處理。電腦可使用媒體可包括其中儲存有電腦可使用程式碼的傳播資料訊號，不論是以基頻(baseband)或是部分載波的型態。電腦可使用程式碼之傳輸可以使用任何適體的媒體，包括(但並不限於)無線、有線、光纖纜線、射頻(RF)等。

用於執行本發明操作的電腦程式碼可以使用一種或多種程式語言的組合來撰寫，包括物件導向程式語言(例如Java、SMRlltalk、C++或其他類似者)以及傳統程序程式語言(例如C程式語言或其他類似的程式語言)。

於以下本發明的相關敘述會參照依據本發明具體實施例之系統、裝置、方法及電腦程式產品之流程圖及/或方塊圖來進行說明。當可理解每一個流程圖及/或方塊圖中的每一個方塊，以及流程圖及/或方塊圖中方塊的任何組合，可以使用電腦程式指令來實施。這些電腦程式指令可供通用型電腦或特殊電腦的處理器或其他可程式化資料處理裝置所組成的機器來執行，而指令經由電腦或其他可程式化資料處理裝置處理以便實施流程圖及/或方塊圖中所說明之功能或操作。

這些電腦程式指令亦可被儲存在電腦可讀取媒體上，以便指示電腦或其他可程式化資料處理裝置來進行特定的功能，而這些儲存在電腦可讀取媒體上的指令構成一製成品，其內包括之指令可實施流程圖及/或方塊圖中所說明之功能或操作。

電腦程式指令亦可被載入到電腦上或其他可程式化資料處理裝置，以便於電腦或其他可程式化裝置上進行一系統操作步驟，而於該電腦或其他可程式化裝置上執行該指令時產生電腦實施程序以達成流程圖及/或方塊圖中所說明之功能或操作。

其次，請參照圖2至圖4圖式中顯示依據本發明各種實施例的系統、方法及電腦程式產品可實施的架構、功能及操作之流程圖及方塊圖。因此，流程圖或方塊圖中的每個方塊可表示一模組、區段、或部分的程式碼，其包含一個或多個可執行指令，以實施指定的邏輯功能。另當注意者，某些其他的實施例中，方塊所述的功能可以不依圖中所示之順序進行。舉例來說，兩個圖示相連接的方塊事實上亦可以皆執行，或依所牽涉到的功能在某些情況下亦可以依圖示相反的順序執行。此外亦需注意者，每個方塊圖及/或流程圖的方塊，以及方塊圖及/或流程圖中方塊之組合，可藉由基於特殊目的硬體的系統來實施，或者藉由特殊目的硬體與電腦指令的組合，來執行特定的功能或操作。

<硬體環境>

圖2A顯示一實施例中之迷你盒之硬體架構。在一實施例中，該迷你盒可以是類似Raspberry Pi，而為內建有網路能力且具有某一特定功能的裝置之特定的小資訊設備(appliances)。該Raspberry Pi是一基於系統之只有一張信用卡大小之單板(single-board)電腦。更多Raspberry Pi相關資料，可參考以下網站資料：http：//en.wikipedia.org/wiki/Raspberry__Pi或http：//www.Raspberrypi.org/

如圖2A所示，該迷你盒200可具有處理器210、記憶體220與輸入/輸出(I/O)單元240。該輸入/輸出(I/O)匯流排可為一高速串接匯流排，例如PCI-e匯流排，但其它的匯流排架構亦可以被使用。其它對輸入/輸出(I/O)匯流排的連接可以藉由直接元件互連，或是透過附加卡的方式。輸入/輸出(I/O)單元也可耦接至一硬碟機或記憶卡(如SD、SDHC、MMC等)250、區域網路(LAN)配接器260。透過該區域網路配接器260，資訊設備200能經由一網路230與任何端點設備通信。網路亦可實施為任何型式之連線，包括固定連接之區域網路(LAN)或廣域網路(WAN)連線，或利用網際網路服務提供者來暫時撥接至網際網路，亦不限於有線無線等各種連接方式，例如透過GSM、或Wi-Fi等無線網路與端點設備電腦通信。然而應了解，雖未繪示但其他硬體及軟體組件(例如額外電腦系統、路由器、防火牆等)可包含於網路之中。記憶體220可包含隨機存取記憶體(RAM)、唯讀記憶體(ROM)、可抹除程式化唯讀記憶體(EPROM或快閃記憶體)。記憶體220用以存放作業系統、專屬的主程式AP之程式碼及各種資訊。作業系統在處理器210上執行，用來協調並提供資訊設備200中各種元件的控制，而處理器210可存取記憶體220，以執行主程式AP。

該主程式AP可至少包括一本發明之”無網路位址之管理模組”。該管理模組包括程式模組及指令，供接收管理指令(management command)，以配置網路安全防護策略，而於該迷你盒連結至一網路端點裝置時提供該網路端點裝置之網路安全防護作業。因此，藉由該迷你盒，可依需求將部分網路安全防護設備的功能，如防火牆、防毒軟體、入侵偵測(IDS)或入侵預防系統(IPS)等網路安全防護策略之軟體模組安裝在該迷你盒中，且該迷你盒可容易地藉升級軟體組件而延伸其功能。

由於本發明之迷你盒係非依賴作業系統而為非軟體代理方式實施安全防護策略，使用者不需要於被保護之端點裝置之作業系統上安裝任何軟體代理。

該等處理模組或軟體模組可以是應用程式內之模組，或以常駐程式(Daemon)之方式實施。但在其他實施例中，亦可以用其他形式之程式型態來實施。該”無網路位址之管理模組”包括用於實施下文所說明之圖3內所說明之程序之代碼。

熟此技藝者應可知，圖2A中所述迷你盒200的硬體可以依照不同的實施例而有各種變化。亦有其它的內部硬體或週邊裝置，例如快閃唯讀記憶體(Flash ROM)、等效的非揮發記憶體、或光碟機等等，可以附加或取代圖2A所示的硬體。

該迷你盒因係直接耦接至各自相應之內部端點之網路連接埠，不需額外指派一IP網路位址，而可視為係一可檢視(inspect)經該迷你盒傳輸之訊務的透明(transparent)裝置。因此，封包會流經該迷你盒，然使用者並不會注意到它的存在。

依據本發明之一具體實施例，該迷你盒可實施為，在桌上之如同IP網路電話之獨立盒或桌下網路連接埠(如Ethernet埠)之一部分。如圖2B所示，該迷你盒結合網路連接埠而形成一於前後端分別有一供連接器(如RJ45)插入(plugged in)之網路連接埠之母端插座(埠0、埠1)的獨立盒。如圖2C所示，該迷你盒結合網路連接埠且可直接安置在牆壁上，而露出前端供連接器(如RJ45)插入之網路連接埠的母端插座(埠0、埠1)。

<無IP網路位址之管理模組>

圖3為依據本發明一具體實施例之迷你盒內”無網路位址之管理模組”的方法流程圖。該管理模組包括程式模組及指令，供接收管理指令，以配置網路安全防護策略，而於該迷你盒連結至一網路端點裝置時提供該網路端點裝置之網路安全防護作業。藉由檢視接收到的封包，該模組可自行檢查(introspect)是否該封包含有管理指令，以配置網路安全防護策略。

●步驟301：接收來自安全防護設備(如防火牆及/或IPS系統)的封包。該安全防護設備連結至該迷你盒之第一網路連接埠，如Ethernet埠之埠0。

●步驟303：檢查是否該封包含有特定識別符，以確定是否該封包含有管理指令。例如，可檢查封包之IP標頭(header)是否包含新ToS(Type of Service)，承載資料(payload)中是否含有特別代碼(magic number)、是否含有特定之封包長度、或是否來自特定之埠、或是否有特定之MAC位址等。因此，只要知道要被保護之特定端點裝置的IP網路位址，便可透過此模組自行檢查是否接收到之封包含有管理指令，以配置網路安全防護策略，或佈署新的網路安全防護策略、或藉升級軟體組件而更新/延伸其功能。該被保護之特定端點裝置將不會收到這些含有管理指令的封包。

●步驟305：當確定收到的封包含有特定識別符，因此由該封包之承載資料中取得管理指令，而對該資訊設備作相應配置。

●步驟307：若收到的封包不含有特定識別符，則依現存安全防護策略，檢查是否可轉送該封包。

●步驟309：若步驟307判定為安全的封包，則轉送該封包至被保護之網路端點裝置。該被保護之網路端點裝置連結至該迷你盒之第二網路連接埠，如Ethernet埠之埠1。

●步驟311：否則，丟棄該封包。

<IPS分載(off-loading)>

本發明之迷你盒可與非管制區之安全防護設備(如防火牆及/或IPS系統)共同合作而作為一安全防護代理以執行網路安全防護作業，因而可分擔習知安全防護設備的負載。

<第一變化應用例>

圖4A為依據本發明一具體實施例之迷你盒的第一應用例。圖式中包含4台企業網路(intranet)內部端點(401A、401B、401C、401D)，其分別耦接4台本發明具體實施例之迷你盒(403A、403B、403C、403D)。每台企業網路內部端點(401A、401B、401C、401D)各自被指派一唯一的IP網路位址。該迷你盒耦接至一交換機405，繼而透過一安全防護設備407(如防火牆及/或IPS系統)而與外部網路資源連結。圖式中雖僅繪示4台企業網路內部端點，但應可知本發明並不限制端點之數量。該迷你盒不需額外指派一IP網路位址，然因係直接耦接至各自相應之內部端點之網路連接埠(如Ethernet埠)，因而仍能透過前述之管理命令，對該迷你盒佈署一網路安全防護策略或軟體/韌體之更新，以執行網路安全防護作業。

假設端點401A已受到惡意軟體汙染，當安全防護設備407偵測到來自端點401A之封包已受到惡意軟體汙染，因而送出一偵測到攻擊之通知至該迷你盒403A(箭頭411)，指示該迷你盒403A阻擋來自端點401A之封包(箭頭413)。因而可代替IPS系統於企業網路內部端點處阻檔惡意封包，即惡意封包可於其來源端之起始處被阻檔。如此本發明之迷你盒可分擔習知安全防護設備的負載，而減輕其負擔。

當然，若本發明之迷你盒配置(configure)有習知安全防護設備的功能，如防火牆及/或IPS系統，則此處之惡意封包可直接於其起始端被阻檔。因而更能減輕習知安全防護設備407的負擔。該配置可由前述之管理命令完成。因此，本發明之迷你盒要分載多少安全防護設備的功能是可依需求而定。

<第二變化應用例>

圖4B為依據本發明一具體實施例之迷你盒的第二應用例。假設端點401B未知是否已受到惡意軟體汙染，且迷你盒配置有傳輸之封包計數之統計功能。當安全防護設備407偵測來自端點401B之封包一預定之數目皆未受到惡意軟體汙染(如10K位元組)，該安全防護設備407將因此預設該來自端點401B之封包傳輸為安全(箭頭421)。而後將來自端點401B之封包傳輸作業設定為低優先權。若傳輸至該安全防護設備407之封包擁擠，則來自端點401B之封包直接繞過(bypass)該安全防護設備407，而不需偵測(箭頭423)。因此也可減輕習知安全防護設備407的負擔。

<第三變化應用例>

圖4C為依據本發明一具體實施例之迷你盒的第三應用例。假設端點401A已受到惡意軟體汙染，當端點401A傳輸封包至端點401B(箭頭431)，藉由習知鏡射埠(mirror port)機制，安全防護設備407偵測到交換機405中迷你盒403A之相應埠上來自端點401A之封包的備份為已受到惡意軟體汙染之封包，因而送出一偵測到攻擊之通知至該迷你盒403A(箭頭433)，指示該迷你盒403A阻擋來自端點401A之封包(箭頭435)。因而此時迷你盒之功能就如同係為一企業網路內部IPS系統。而也可減輕習知安全防護設備407的負擔。

<企業網路內部防火牆>

圖4D為依據本發明一具體實施例之作為企業網路內部防火牆之迷你盒的應用例。首先，以前述之管理命令將網路安全防護策略配置至每一迷你盒(403A、403B、403C、403D)中(箭頭441)。依本發明此例，假設該策略基於安全性之考量，設定為允許端點401A進行FTP傳輸至端點401B(箭頭443)，然不允許端點401D進行FTP傳輸至端點401B(箭頭443)。因此，本發明之迷你盒可用作企業網路內部端點之內部防火牆供過濾企業網路內部訊務。

需說明的是，由於本發明之迷你盒係非依賴作業系統而為非軟體代理方式實施安全防護策略，使用者不需要於其作業系統上安裝任何軟體代理，且該迷你盒可容易地藉升級軟體組件而延伸其功能。

此外，本發明之迷你盒並不僅限於用在企業網路內部端點，網際網路上之任何端點設備皆可透過本發明之迷你盒獲得服務供應商之安全防護的加值服務。

在不脫離本發明精神或必要特性的情況下，可以其他特定形式來體現本發明。應將所述具體實施例各方面僅視為解說性而非限制性。因此，本發明的範疇如隨附申請專利範圍所示而非如前述說明所示。所有落在申請專利範圍之等效意義及範圍內的變更應視為落在申請專利範圍的範疇內。