Устройство разграничения доступа между двумя сетями передачи данных в протоколе ip-межсетевой экран без операционной системы (варианты)

Авторы патента:

Полезная модель относится к области защиты сетевых устройств и компьютеров от несанкционированного доступа из внешней сети, неавторизованного вмешательства в работу операционных систем сетевых устройств и компьютеров с использованием уязвимостей, наличие которых неизбежно в системах высокой сложности, которыми являются упомянутые операционные системы.

Техническим результатом полезной модели является создание надежного межсетевого экрана с гарантированной безопасностью.

Технический результат достигается за счет того, что устройство разграничения доступа между двумя сетями передачи данных в протоколе IP состоит из двух произвольных сетевых интерфейсов, соединенных с этими сетями, и модуля фильтрации между контроллерами ввода-вывода этих интерфейсов, предназначенное для фильтрации пакетов при передаче из одной сети в другую по соответствию IР адресов отправителей пакетов заданному набору разрешенных сетевых адресов. Модуль фильтрации выполнен в виде вычислителя без операционной системы, состоящего из портов связи с контроллерами сетевых интерфейсов, блока сравнения, блока памяти для набора масок и интерфейса ввода-вывода для связи с внешним программатором и выполнен с возможностью производить побитовое сравнение значений контролируемых адресов и других полей в IP пакете с набором масок разрешенных адресов и значений полей, которые заносятся в память вычислителя администратором с помощью внешнего программатора, подключаемого к устройству через электрический интерфейс.

По второму варианту выполнения устройства технический результат достигается за счет того, что модуль фильтрации выполнен без операционной системы и содержит набор электромеханических переключателей при помощи которых выставляются значения бит в одной или нескольких масках (электромеханические переключатели обеспечивают возможность только авторизованного доступа к их изменению и контролю за неизменностью их состояния в процессе штатной работы - механическая защита).

По третьему варианту выполнения устройства технический результат достигается за счет того, что модуль фильтрации выполнен без операционной системы и содержит блок памяти и набор электромеханических переключателей, при помощи которых выставляются значения бит в одной или нескольких масках и производится выбор определенного набора из масок и/или алгоритмов, записанных в блоке памяти.

В настоящее время большинство локальных вычислительных сетей (ЛВС) подключены к сети Интернет. Расширение спектра и повышение требований к уровню конфиденциальности сетевых приложений требует использования специальных технических средств разграничения доступа к информационным ресурсам и контроля обмена данными между различными компьютерными сетями. В качестве таких средств защиты широко применяются межсетевые экраны, называемые в англоязычной литературе фаэрволами (firewall). Межсетевой экран представляет собой специализированное сетевое устройство, которое включается между двумя сегментами ЛВС таким образом, что весь обмен сетевыми пакетами между этими сегментами ограничивается с помощью специальных правил фильтрации входящих и исходящих потоков данных. Такое устройство может быть также установлено между защищаемым сегментом ЛВС и маршрутизатором, один из портов которого подключен к сети Интернет либо между маршрутизатором и Интернет. При этом используемые правила фильтрации пакетного трафика могут включать запрет на передачу информации как изнутри, так и вовнутрь защищаемого сегмента ЛВС, включая контроль определенных пользователей в установленные интервалы времени суток, недель или месяцев.

Известна система защиты для двух компьютерных сетей, описанная в российской патентной заявке А 96118130/09. Эта система защиты содержит две сетевые материнские платы и предназначена для предотвращения несанкционированных обменов данных между первой и второй компьютерными сетями. Каждая из указанных плат имеет сетевой интерфейсный адаптер для обмена данными с указанными выше сетями. При этом каждая из указанных материнских плат также имеет адаптер передачи данных для обмена информации с адаптером другой сетевой материнской платы и использует специальные программные средства для предотвращения передачи информации об услугах маршрутизации между сетевыми интерфейсными адаптерами и адаптером передачи данных. Каждая сетевая материнская плата дополнительно содержит программные средства преобразования протокола, препятствующие прохождению информации о

функционировании протокола верхнего уровня и информации об адресе источника и адресе назначения между указанным выше сетевым интерфейсным адаптером и указанным адаптером передачи данных каждой сетевой материнской платы. При этом одна из сетевых материнских плат имеет специальные программные средства поддержания интерфейса взаимодействия на прикладном уровне для выполняемых соответствующих задач.

Описанная выше система защиты по выполняемым функциям может быть классифицирована как сервер-представитель (proxy-сервер) или узел компьютерной сети, устанавливающий соединения от имени и по поручению зарегистрированного сетевого клиента.

При использовании proxy-сервера в качестве межсетевого экрана требуется, чтобы сетевой клиент осуществлял ряд дополнительных сеансов связи по установлению сетевых соединений, что приводит к снижению общей сетевой производительности и увеличению задержек передачи пакетов, особенно в случае последовательного соединения нескольких компьютерных сетей, разделенных между собой межсетевыми экранами указанного типа.

Эти недостатки преодолены в изобретении, раскрытом в патенте US 5898830, которое является наиболее близким к настоящему изобретению. Этот межсетевой экран будучи установленным в канал информационного обмена между двумя компьютерными сетями, обеспечивает прозрачность межсетевого взаимодействия для пользователей защищенного сегмента. Для этого межсетевой экран поддерживает конфигурацию двух наборов виртуальных абонентов. Первый набор абонентов может быть адресован только со стороны защищенного, а второй - со стороны открытого сегментов сети.

Рассматриваемые наборы виртуальных абонентов программно связаны между собой с помощью таблицы соответствия их сетевых адресов аналогично тому, как это делается при использовании DNS серверов. Передача или запрет передачи пакетов от виртуального абонента одного набора адресов к виртуальному абоненту из другого набора адресов осуществляется в соответствии с правилами фильтрации пакетов, сохраняемыми в конфигурационном файле межсетевого экрана.

Виртуальные абоненты, за исключением одного, который специально выделен для этой цели, не имеют доступа к файловой системе и другим системным ресурсам устройства, на котором фактически реализован межсетевой экран. Управляющий программный модуль осуществляет конфигурацию межсетевого экрана, в частности генерацию виртуальных абонентов в соответствии с записанным конфигурационными файлами при первоначальном старте данного устройства. Доступ к конфигурационным файлам осуществляется с использованием правил с функциями авторизации через

специального виртуального абонента, адресуемого из компьютерной сети. Эти правила включают проверку подлинности и авторизацию запрашивающего доступ абонента. Когда доступ запрашивающему абоненту предоставлен, в конфигурационный файл межсетевого экрана, контролирующего информационный обмен между компьютерными сетями, могут быть внесены изменения.

Упомянутая выше прозрачность экрана по отношению к протоколам сетевого уровня не означает, что экран не может быть обнаружен при применении специальных программных средств. Так как набор защищаемых сетевых узлов экранируется одним сетевым интерфейсом рассматриваемого устройства защиты, то на канальном уровне межсетевого взаимодействия каждый из этих узлов идентифицируется по соответствующему физическому адресу этого же сетевого интерфейса.

Процедура проверки подлинности абонента сети, уполномоченного на получение доступа к конфигурационному файлу, уязвима для злоумышленников, что подразумевает возможность несанкционированного доступа вследствие подбора паролей или использования не выявленного несовершенства программного обеспечения применяемого устройства защиты.

Наличие программного продукта во всех известных межсетевых экранах делает их уязвимыми.

Задачей настоящей полезной модели является создание устройства, в котором отсутствует системное программное обеспечение (операционная система).

Технический результат достигается за счет того, что устройство разграничения доступа между двумя сетями передачи данных в протоколе IP (Межсетевой экран - МСЭ) состоит из двух произвольных сетевых интерфейсов, соединенных с этими сетями, и модуля фильтрации между контроллерами ввода-вывода этих интерфейсов, предназначенное для фильтрации пакетов при передаче из одной сети в другую по соответствию DP адресов отправителей пакетов заданному набору разрешенных сетевых адресов. Модуль фильтрации выполнен в виде вычислителя без операционной системы, состоящего из портов связи с контроллерами сетевых интерфейсов, блока сравнения, блока памяти для набора масок и интерфейса ввода-вывода для связи с внешним программатором и выполнен с возможностью производить побитовое сравнение значений контролируемых адресов и других полей в IР пакете с набором масок разрешенных адресов и значений полей, которые заносятся в память вычислителя администратором с

помощью внешнего программатора, подключаемого к устройству через электрический интерфейс.

По второму варианту выполнения устройства технический результат достигается за счет того, что устройство разграничения доступа между двумя сетями передачи данных в протоколе IP состоящее из двух произвольных сетевых интерфейсов, соединенных с этими сетями и модуля фильтрации между контроллерами ввода-вывода этих интерфейсов, предназначенного для фильтрации пакетов при передаче из одной сети в другую по соответствию IP адресов отправителей и получателей пакетов, а также значений других полей пакета заданному набору разрешенных сетевых адресов и значений полей, модуль фильтрации выполнен без операционной системы и содержит набор электромеханических переключателей при помощи которых выставляются значения бит в одной или нескольких масках (электромеханические переключатели обеспечивают возможность только авторизованного доступа к их изменению и контролю за неизменностью их состояния в процессе штатной работы - механическая защита).

По третьему варианту выполнения устройства технический результат достигается за счет того, что устройство разграничения доступа между двумя сетями передачи данных в протоколе IP состоящее из двух произвольных сетевых интерфейсов, соединенных с этими сетями и модуля фильтрации между контроллерами ввода-вывода этих интерфейсов, предназначенного для фильтрации пакетов при передаче из одной сети в другую по соответствию IP адресов отправителей и получателей пакетов, а также значений других полей пакета заданному набору разрешенных сетевых адресов и значений полей, модуль фильтрации выполнен без операционной системы и содержит блок памяти и набор электромеханических переключателей, при помощи которых выставляются значения бит в одной или нескольких масках и производится выбор определенного набора из масок и/или алгоритмов, записанных в блоке памяти.

Программатор может быть выполнен в виде любой вычислительной машины с блоками ввода и отображения информации, памяти и вычисления с произвольной операционной системой, позволяющей использовать графические и любые другие программы для формирования, хранения и контроля наборов масок, загружаемых в фильтры межсетевых экранов.

При фильтрации сравнение с заданным набором масок происходит для значений бит в полях (адрес получателя, тип транспортного протокола, номер порта и т.п.), положение и возможные бинарные значения которых в IP пакете известны в соответствии со стандартом протокола или другими соглашениями, а идентификация поля, сравнение и

фильтрация выполняются с помощью бинарной логики, которая реализуется на аппаратном уровне без использования операционной системы.

Фильтрация производится для произвольных протоколов, структура пакетов для которых известна, при этом маски могут быть сформированы и загружены в фильтр с помощью внешнего программатора.

Устройство разграничения доступа между двумя сетями передачи данных может быть выполнено в виде карты ввода-вывода для персонального компьютера, а в качестве второго сетевого интерфейса может выступать внутренняя шина компьютера, через которую также может обеспечиваться электропитание устройства.

Устройство разграничения доступа между двумя сетями передачи данных может быть выполнено в виде съемного модуля ввода-вывода для любого специализированного сетевого устройства (маршрутизатора, коммутатора, мультиплексора и т.п.) со специфицированным внутренним разъемом для подключения данного модуля.

Устройство разграничения доступа между двумя сетями передачи данных может быть выполнено в виде внутреннего фильтра в составе любого сетевого устройства, и не иметь внешних сетевых интерфейсов, а взаимодействует с другими элементами устройства путем пропускания через себя пакетов сетевого протокола.

Вычислитель может дополнительно выполнять взаимно-однозначную трансляцию адресов и преобразование других полей в обоих направлениях по логическим правилам, заданными масками.

Вычислитель может содержать дополнительный блок памяти, доступ к которому возможен только локально с помощью программатора для записи одного или нескольких алгоритмов сравнения, фильтрации и преобразования пакетов протокола передачи данных в соответствии с масками.

Устройство кроме фильтрации может производить взаимно однозначное преобразование значений бит в полях пакета по правилам, определяемым занесенными в память масками и/или алгоритмами

Как правило, МСЭ строятся на базе универсальных или специализированных ЭВМ, включающих весьма развитые и сложные операционные системы, которые, с одной стороны, расширяют возможности администраторов по анализу проходящих через них потоков информации и выбору способов контроля допустимых и недопустимых адресов, протоколов и т.п., но с другой стороны, в силу сложности операционных систем, содержат недокументированные уязвимости, которые могут использоваться злоумышленниками для вмешательства в работу МСЭ.

Предлагаемое устройство исключает возможность вмешательства в работу МСЭ через сеть, поскольку использует реализованные аппаратно неизменяемые алгоритмы, а маски, используемые этими алгоритмами для сравнения и фильтрации могут быть изменены только администратором, находящимся в непосредственной близости от устройства путем физического подключения к нему.

Состав и исполнение логических процессов происходящих в устройстве строго определены его аппартной конфигурацией и не могут быть изменены без физического взаимодействия с ним через локальный интерфейс.

Отсутствие сетевого адреса и операционной системы, которая могла бы выполнять процессы и задачи, отличные от заданных локально, исключают возможность вмешательства в его работу через сеть.

Способы контроля доступа и операций администратора с устройством через локальный интерфейс, а также отсутствия вмешательств в работу устройства помимо администратора, могут быть сугубо административными и не включают вопросы вмешательства через сеть.

На фигуре 1 схематически изображено устройство разграничения доступа между двумя сетями передачи данных в протоколе IР (далее, межсетевой экран - МСЭ)

На фигуре 2 схематически изображена настройка МСЭ.

МСЭ состоит из двух произвольных сетевых интерфейсов 1 и 2, соединенных с этими сетями и модуля фильтрации 3 между контроллерами ввода-вывода этих интерфейсов.

Модуль фильтрации 3 предназначен для фильтрации пакетов при передаче из одной сети в другую по соответствию IP адресов отправителей пакетов заданному набору разрешенных сетевых адресов.

По первому варианту исполнения модуль фильтрации (на рисунке 1 пункт 3) выполнен в виде вычислителя без операционной системы. Модуль фильтрации состоит из портов связи с контроллерами сетевых интерфейсов, блока сравнения, блока памяти для набора масок и интерфейса ввода-вывода для связи с программатором. Модуль фильтрации 3 производит побитовое сравнение значений контролируемых адресов и полей в IР пакете с набором масок разрешенных адресов и значений полей, которые занесены в память вычислителя. Набор масок разрешенных адресов заносятся в память вычислителя администратором с помощью внешнего программатора, который подключается к МСЭ через электрический интерфейс.

По второму варианту исполнения модуль фильтрации 3 выполнен без операционной системы и содержит набор электромеханических переключателей при помощи которых выставляются значения бит в одной или нескольких масках

По третьему варианту исполнения модуль фильтрации выполнен без операционной системы и содержит блок памяти и набор электромеханических переключателей, при помощи которых выставляются значения бит в одной или нескольких масках и производится выбор определенного набора из масок и/или алгоритмов, записанных в блоке памяти.

Программатор выполнен в виде вычислительной машины (например, компьютера с одним процессором Intel Pentium IV, тактовой частотой не менее 1,7 GHz, оперативной памятью не менее 256 MB и дисковой подсистемой не менее 5 Gb, с использованием известного программного обеспечения операционной системы, например, Microsoft Windows или Linux) с блоками ввода и отображения информации, памяти и вычисления с произвольной операционной системой, позволяющей использовать графические и любые другие программы для формирования, хранения и контроля наборов масок, загружаемых в фильтры межсетевых экранов.

При фильтрации данных происходит сравнение с заданным набором масок для значений бит в полях, положение и возможные бинарные значения которых в IP пакете известны в соответствии со стандартом протокола или другими соглашениями, а идентификация поля, сравнение и фильтрация выполняются с помощью бинарной логики, которая реализуется на аппаратном уровне без использования операционной системы.

Фильтрация может производиться для произвольных протоколов, структура пакетов для которых известна.

МСЭ может быть выполнен в виде карты ввода-вывода для персонального компьютера, а в качестве второго сетевого интерфейса выступает внутренняя шина компьютера, через которую также обеспечивается электропитание устройства.

МСЭ может быть выполнен в виде съемного модуля ввода-вывода для любого специализированного сетевого устройства (маршрутизатора, коммутатора, мультиплексора и т.п.) со специфицированным внутренним разъемом для подключения данного модуля.

МСЭ может быть выполнен в виде внутреннего фильтра в составе любого сетевого устройства, и не имеет внешних сетевых интерфейсов, а взаимодействует с другими элементами устройства путем пропускания через себя пакетов сетевого протокола.

Вычислитель дополнительно выполняет взаимно-однозначную трансляцию адресов и преобразование других полей в обоих направлениях по логическим правилам, заданными масками.

При необходимости вычислитель может содержать дополнительный блок памяти. Доступ к нему ограничен и возможен только локально с помощью программатора для записи одного или нескольких алгоритмов сравнения, фильтрации и преобразования пакетов протокола передачи данных в соответствии с масками.

МСЭ работает следующим образом:

1. МСЭ может быть встроен в компьютер или выполнен в виде отдельного блока, или части какого-либо устройства. В зависимости от конструкторского исполнения МСЭ подключается тем или иным способом к устройству, подключенному к сети для его защиты от несанкционированного проникновения из сети.

2. В память МСЭ (по первому и третьему вариантам) загружаются маски и/или алгоритмы разрешенных адресов. Маски и/или алгоритмы разрешенных адресов загружаются при помощи компьютера или электромеханических переключателей. МСЭ не содержит операционной системы.

3. По второму варианту маски и/или алгоритмы разрешенных адресов выставляются при помощи электромеханических переключателей после чего блок закрывается и опечатывается.

Устройство готово к работе - к фильтрации пакетов данных.

4. После этого устройству (ЭВМ) с МСЭ подключается к сети (локальной или всемирной - Internet).

При работе ЭВМ в сети постоянно происходит обмен информацией между находящимися в ней ЭВМ, а так же она подвергается атакам с попыткой проникнуть в те или иные файлы компьютера. МСЭ производит фильтрацию данных с целью недопущения проникновения в компьютер неразрешенных пользователей.

При фильтрации данных происходит сравнение с заданным набором масок для значений бит в полях (адрес получателя, тип транспортного протокола, номер порта и т.п.), положение и возможные бинарные значения которых в IP пакете известны в соответствии со стандартом протокола или другими соглашениями, а идентификация поля, сравнение и фильтрация выполняются с помощью бинарной логики, которая реализуется на аппаратном уровне без использования операционной системы.

Фильтрация производиться для произвольных протоколов, структура пакетов для которых известна.

Предлагаемое устройство полностью исключает возможность вмешательства в работу МСЭ через сеть, поскольку использует реализованные аппаратно неизменяемые алгоритмы, а маски, используемые этими алгоритмами для сравнения и фильтрации могут быть изменены только администратором, находящимся в непосредственной близости от устройства путем физического подключения к нему.

1. Устройство разграничения доступа между двумя сетями передачи данных в протоколе IP, состоящее из двух произвольных сетевых интерфейсов, соединенных с этими сетями и модуля фильтрации между контроллерами ввода-вывода этих интерфейсов, предназначенного для фильтрации пакетов при передаче из одной сети в другую по соответствию IP адресов отправителей пакетов заданному набору разрешенных сетевых адресов, отличающееся тем, что модуль фильтрации выполнен в виде вычислителя без операционной системы, состоящего из портов связи с контроллерами сетевых интерфейсов, блока сравнения, блока памяти для набора масок и интерфейса ввода-вывода для связи с программатором и выполненного с возможностью производить побитовое сравнение значений контролируемых адресов в IP пакете с набором масок разрешенных адресов, которые заносятся в память вычислителя администратором с помощью внешнего программатора, подключаемого к устройству через электрический интерфейс.

2. Устройство по п.1, отличающееся тем, что программатор выполнен в виде вычислительной машины с блоками ввода и отображения информации, памяти и вычисления с произвольной операционной системой, позволяющей использовать графические и любые другие программы для формирования, хранения и контроля наборов масок, загружаемых в фильтры межсетевых экранов.

3. Устройство по п.1, отличающееся тем, что при фильтрации сравнение с заданным набором масок происходит для значений бит в полях, положение и возможные бинарные значения которых в IP пакете известны в соответствии со стандартом протокола или другими соглашениями, а идентификация поля, сравнение и фильтрация выполняются с помощью бинарной логики, которая реализуется на аппаратном уровне без использования операционной системы.

4. Устройство по пп.1 и 2, отличающееся тем, фильтрация производится для произвольных протоколов, структура пакетов для которых известна, при этом маски могут быть сформированы и загружены в фильтр с помощью внешнего программатора.

5. Устройство по п.1, отличающееся тем, что оно выполнено в виде карты ввода-вывода для персонального компьютера, а в качестве второго сетевого интерфейса выступает внутренняя шина компьютера, через которую также обеспечивается электропитание устройства.

6. Устройство по пп.1-3, отличающееся тем, что оно выполнено в виде съемного модуля ввода-вывода для любого специализированного сетевого устройства со специфицированным внутренним разъемом для подключения данного модуля.

7. Устройство по пп.1-3, отличающееся тем, что оно выполнено в виде внутреннего фильтра в составе любого сетевого устройства, и не имеет внешних сетевых интерфейсов, а взаимодействует с другими элементами устройства путем пропускания через себя пакетов сетевого протокола.

8. Устройство по пп.1-3, отличающееся тем, что вычислитель дополнительно выполняет взаимно однозначную трансляцию адресов и преобразование других полей в обоих направлениях по логическим правилам, заданными масками.

9. Устройство по пп.1-3, отличающееся тем, что вычислитель содержит дополнительный блок памяти, доступ к которому возможен только локально с помощью программатора для записи одного или нескольких алгоритмов сравнения, фильтрации и преобразования пакетов протокола передачи данных в соотсветствии с масками.

10. Устройство по пп.1-3, отличающееся тем, что кроме фильтрации происходит взаимно однозначное преобразование значений бит в полях пакета по правилам, определяемым занесенными в память масками и/или алгоритмами.

11. Устройство разграничения доступа между двумя сетями передачи данных в протоколе IP, состоящее из двух произвольных сетевых интерфейсов, соединенных с этими сетями и модуля фильтрации между контроллерами ввода-вывода этих интерфейсов, предназначенного для фильтрации пакетов при передаче из одной сети в другую по соответствию IP адресов отправителей пакетов заданному набору разрешенных сетевых адресов, отличающееся тем, что модуль фильтрации выполнен без операционной системы и содержит набор электромеханических переключателей, при помощи которых выставляются значения бит в одной или нескольких масках.

12. Устройство по п.11, отличающееся тем, что при фильтрации сравнение с заданным набором масок происходит для значений бит в полях, положение и возможные бинарные значения которых в IP пакете известны в соответствии со стандартом протокола или другими соглашениями, а идентификация поля, сравнение и фильтрация выполняются с помощью бинарной логики, которая реализуется на аппаратном уровне без использования операционной системы.

13. Устройство по п.11, отличающееся тем, что оно выполнено в виде карты ввода-вывода для персонального компьютера, а в качестве второго сетевого интерфейса выступает внутренняя шина компьютера, через которую также обеспечивается электропитание устройства.

14. Устройство по пп.11-13, отличающееся тем, что оно выполнено в виде съемного модуля ввода-вывода для любого специализированного сетевого устройства со специфицированным внутренним разъемом для подключения данного модуля.

15. Устройство по пп.11-13, отличающееся тем, что оно выполнено в виде внутреннего фильтра в составе любого сетевого устройства, и не имеет внешних сетевых интерфейсов, а взаимодействует с другими элементами устройства путем пропускания через себя пакетов сетевого протокола.

16. Устройство по пп.11-13, отличающееся тем, что модуль фильтрации дополнительно выполняет взаимно однозначную трансляцию адресов и преобразование других полей в обоих направлениях по логическим правилам, заданными масками.

17. Устройство по пп.11-13, отличающееся тем, что кроме фильтрации происходит взаимно однозначное преобразование значений бит в полях пакета по правилам, определяемым занесенными в память масками и/или алгоритмами либо положениями электромеханических переключателей.

18. Устройство разграничения доступа между двумя сетями передачи данных в протоколе IP, состоящее из двух произвольных сетевых интерфейсов, соединенных с этими сетями и модуля фильтрации между контроллерами ввода-вывода этих интерфейсов, предназначенного для фильтрации пакетов при передаче из одной сети в другую по соответствию IP адресов отправителей пакетов заданному набору разрешенных сетевых адресов, отличающееся тем, что модуль фильтрации выполнен без операционной системы и содержит блок памяти и набор электромеханических переключателей, при помощи которых выставляются значения бит в одной или нескольких масках и производится выбор определенного набора из масок и/или алгоритмов, записанных в блоке памяти.

19. Устройство по п.18, отличающееся тем, что при фильтрации сравнение с заданным набором масок происходит для значений бит в полях, положение и возможные бинарные значения которых в DP пакете известны в соответствии со стандартом протокола или другими соглашениями, а идентификация поля, сравнение и фильтрация выполняются с помощью бинарной логики, которая реализуется на аппаратном уровне без использования операционной системы.

20. Устройство по пп.18 и 19, отличающееся тем, что фильтрация производится для произвольных протоколов, структура пакетов для которых известна, при этом маски могут быть сформированы и загружены в фильтр с помощью внешнего программатора.

21. Устройство по пп.18 и 19, отличающееся тем, что оно выполнено в виде карты ввода-вывода для персонального компьютера, а в качестве второго сетевого интерфейса выступает внутренняя шина компьютера, через которую также обеспечивается электропитание устройства.

22. Устройство по пп.18 и 19, отличающееся тем, что оно выполнено в виде съемного модуля ввода-вывода для любого специализированного сетевого устройства со специфицированным внутренним разъемом для подключения данного модуля.

23. Устройство по пп.18 и 19, отличающееся тем, что оно выполнено в виде внутреннего фильтра в составе любого сетевого устройства, и не имеет внешних сетевых интерфейсов, а взаимодействует с другими элементами устройства путем пропускания через себя пакетов сетевого протокола.

24. Устройство по пп.18 и 19, отличающееся тем, что модуль фильтрации дополнительно выполняет взаимно однозначную трансляцию адресов и преобразование других полей в обоих направлениях по логическим правилам, заданными масками.

25. Устройство по пп.18 и 19, отличающееся тем, что модуль фильтрации содержит дополнительный блок памяти, доступ к которому возможен только локально с помощью программатора для записи одного или нескольких алгоритмов сравнения, фильтрации и преобразования пакетов протокола передачи данных в соответствии с масками.

26. Устройство по пп.18 и 19, отличающееся тем, что кроме фильтрации происходит взаимно однозначное преобразование значений бит в полях пакета по правилам, определяемым занесенными в память масками и/или алгоритмами либо положениями электромеханических переключателей.