A firewall isolates computer and network resources inside the firewall from networks, computers and computer applications outside the firewall. Typically, the inside resources could be privately owned databases and local area networks (LAN's), and outside objects could include individuals and computer applications operating through public communication networks such as the Internet. Usually, a firewall allows for an inside user or object to originate connection to an outside object or network, but does not allow for connections to be generated in the reverse direction; i.e. from outside in. The disclosed invention provides a special "tunneling" mechanism, operating on both sides of a firewall, for establishing such "outside in" connections when they are requested by certain "trusted" individuals or objects or applications outside the firewall. The intent here is to minimize the resources required for establishing "tunneled" connections (connections through the firewall that are effectively requested from outside), while also minimizing the security risk involved in permitting such connections to be made at all. The mechanism includes special tunneling applications, running on interface servers inside and outside the firewall, and a special table of "trusted sockets" created and maintained by the inside tunneling application. Entries in the trusted sockets table define objects inside the firewall consisting of special inside ports, a telecommunication protocol to be used at each port, and a host object associated with each port. Each entry is "trusted" in the sense that it is supposedly known only by individuals authorized to have "tunneling" access through the firewall from outside. These applications use the table to effect connections through the firewall in response to outside requests identifying valid table entries.

Un cortafuego aísla recursos de la computadora y de la red dentro del cortafuego de redes, de computadoras y de aplicaciones informáticas fuera del cortafuego. Típicamente, los recursos interiores podrían ser bases de datos y las redes de área local privado poseídas (LAN's), y los objetos del exterior podrían incluir los individuos y las aplicaciones informáticas que funcionaban a través de redes de comunicaciones públicas tales como el Internet. Generalmente, un cortafuego permite para que un usuario o un objeto interior origine la conexión a un objeto o a una red exterior, pero no permite para que las conexiones sean generadas en la dirección contraria; es decir. de exterior adentro. La invención divulgada proporciona un mecanismo especial el "hacer un túnel", funcionando en ambos lados de un cortafuego, para establecer tal "afuera en" conexiones cuando son solicitadas por los ciertos individuos u objetos o usos "confiados en" fuera del cortafuego. El intento aquí es reducir al mínimo los recursos requeridos para establecer "tunneled" las conexiones (las conexiones a través del cortafuego que se preguntan con eficacia exterior), mientras que también reduce al mínimo el riesgo de la seguridad implicado en el permiso que de tales conexiones sean hechas en todos. El mecanismo incluye usos especiales el hacer un túnel, funcionando en los servidores del interfaz dentro y fuera del cortafuego, y una tabla especial de "confiaba en los zócalos" creados y mantenidos por el uso el hacer un túnel del interior. Las entradas en la tabla confiada en de los zócalos definen objetos dentro del cortafuego que consiste en puertos interiores especiales, un protocolo de la telecomunicación que se utilizarán en cada puerto, y un objeto del anfitrión asociado a cada puerto. Cada entrada es "confiado en" en el sentido que supuesto es sabida solamente por los individuos autorizados a tener acceso el "hacer un túnel" a través del cortafuego del exterior. Estos usos utilizan la tabla para efectuar conexiones a través del cortafuego en respuesta a las peticiones del exterior que identifican entradas válidas de la tabla.