一種計算機防火墻的設置方法及其系統的制作方法

專利名稱：一種計算機防火墻的設置方法及其系統的制作方法
技術領域：
本發明涉及一種計算機數據保護的方法及其系統，尤指一種計算機防火墻的設備方法及其系統。
也正因為如此，計算機黑客利用前述的公開技術，撰寫病毒侵入計算機，造成被侵入的計算機的數據被任意刪除、修改、損毀、甚至是系統失常或整個硬盤被破壞，這一直是計算機用戶所最擔心的。近年來由于互聯網的迅速發展，計算機黑客更是利用網際網絡上的各種媒介(例如電子郵件或下載網絡上資料等)傳遞病毒或入侵他人計算機，致使任何人在任何時間均可能中毒或被入侵。因此而興起的防毒軟件根據病毒的進化而不斷推陳出新，卻仍然無法跟得上病毒的進化速度，因為寫一個兼容性好的防毒軟件或應用軟件程序可能很難，但是寫一個不符合規則的病毒程序則相對容易得多。
更何況，除了病毒或計算機黑客會造成計算機資料或系統的變動或損毀外，在個人或公司自行設置的局域網上(多臺計算機互相聯機并分享某些資源)，也有相當大的可能遭致無意或惡意的篡改或刪除。

發明內容
因此，本發明要解決的技術問題為提供一種計算機防火墻的設置方法及其系統，在任何裝有硬盤控制器的計算機中，具有隨時防止程序侵入的功能，達到保護需保護的資料(如操作系統及特定分區)的目的。
為解決以上技術問題，本發明提供一種計算機防火墻的設置方法及其系統，將計算機的硬盤劃分成寫一次分區、寫警告分區及自由分區，并將此位置數據記錄在一記錄裝置中，任何來自系統端程序的欲存取分區須通過一分區比較器與前述位置數據相比較，若其為寫一次分區，則予以完全拒絕；若其為寫警告分區，則先拒絕，在輸入密碼并確認無誤后才被允許寫入；若其為自由分區，則任其自由存取；并且在拒絕寫入或密碼輸入錯誤時，可通知防火墻固件程序以聲音或畫面方式通知使用者；該防火墻系統能有效地防止因計算機病毒、計算機黑客、無意刪除或惡意刪除、破壞造成的計算機資料損失，因而可使計算機使用者能安心地使用計算機，本發明的上述目的及其結構與功能上的特性，將依據附圖及較佳實施例予以說明。
如

圖1所示，本發明實施例包括一介于原硬盤控制器10與硬盤驅動器60間的分區比較器30、一與分區比較器30連接的電可擦除只讀存儲器20、及一串接于分區比較器30及中斷控制器40末端的“基本輸入輸出系統及防火墻固件程序”(BIOS & FWF)50。
圖1中的電可擦除只讀存儲器20用于記錄寫一次分區(操作系統區)100的分區位置數據、寫警告分區(應用程序區)200的分區位置數據及該寫警告分區200的進入密碼；存儲器只需32字節即可，表1所示為該存儲器的內容表1

再者，該電可擦除只讀存儲器20的數據寫入，是通過IC間接口(I2C，Inter IC的簡寫)來完成的；而為防止入侵者改寫該電可擦除只讀存儲器20的內容，可在該存儲器外部，增加一個作為改寫防止手段的防寫(Write Disable)插腳70，當使用者想重新劃分分區時(例如更新Windows操作系統的版本)，須先跳接此具有寫使能(Write Enable)功能的防寫插腳70才能完成，因此，除非打開計算機機殼，否則是絕不可能利用軟件侵入來破壞的，即使是使用者想重新劃分硬盤、重新安裝或更新Windows操作系統時，也必須打開計算機機箱，將防寫插腳70予以跳接，才能進行重新劃分、重新安裝或更新等操作。
分區比較器30可自動獲取記錄于電可擦除只讀存儲器20中的寫一次及寫警告兩分區100、200的分區位置數據，與來自系統端程序欲存取的分區位置數據相比較；若系統端進來的分區位置數據屬于寫一次分區100(操作系統區)的分區范圍，則關掉(Disable)硬盤驅動器接口的寫入信號(IO_WR-)，并輸出中斷至中斷控制器40。
若系統端進來的分區位置數據屬于寫警告分區200(應用程序區)的分區范圍，則使能中斷發生器，由使用者確定是否要寫入，并以密碼方式來完成。
而若該電可擦除只讀存儲器20中并無任何資料，表示使用者并不保護硬盤驅動器的資料，則按一般方式使用計算機，分區比較器30將不再比較分區資料。
基本輸入輸出系統(BIOS)及防火墻固件程序(FWF)50中的防火墻固件程序用于處理來自中斷控制器40的中斷要求，并以聲音或畫面顯示方式警告使用者。事實上，防火墻固件程序僅是基本輸入輸出系統中中斷服務程序的修改，其中，個人計算機硬盤驅動器的中斷序號為14(INT_14)。
如圖1、圖2所示，所述的寫一次分區100用于存放磁盤操作系統(Disk Operation System)、或者Windows系統。該寫一次分區100在操作系統安裝完成后，就變成只讀分區，任何程序若試圖改寫均會被分區比較器30檢測出而被拒絕并發出警告。
在分區位置數據寫入電可擦除只讀存儲器20后，分區比較器30將會隨時將此數據與來自系統端程序欲存取的分區位置數據作比較，若符合，則關掉(Disable)IO_WR-(寫入)信號，同時發出中斷信號通知防火墻固件程序，以聲音或畫面顯示方式來通知、警告使用者。
所述的寫警告分區200用于存放應用軟件。對于此一寫警告分區200，任何程序若試圖寫入本分區時均會被警告，并讓使用者進行確認，確認的方法為有三次或指定次數的機會來輸入密碼，不符合規定則拒絕寫入動作；分區比較器30會同時發出中斷信號通知防火墻固件程序以聲音或畫面顯示來通知或警告使用者。
此外，該寫警告分區也可當作自由分區300的備份區。
所述的自由分區300用以存放應用軟件或各種資料，且對于任何程序或任何資料均可自由存取，有如一般的硬盤一樣，也是唯一可能被入侵的分區。
本發明對于各種計算機及各種硬盤驅動器接口均適用，因為本發明防火墻系統主要設置于個人計算機的硬盤控制器中或硬盤驅動器內部的電路內；此外，該原理也可用于任何具有硬盤控制器的計算機，例如蘋果計算機公司的I-Mac等計算機產品中；更進一步，該原理也適用于一般為IDE或SCSI等硬盤驅動器接口的計算機，只須把分區比較器發出的中斷要求(Interrupt Request)信號改為直接存儲器存取要求信號(DMARequest)即可，當然，防火墻固件程序此時應存放于直接存儲器存取處理程序中(DMA handler)。
本發明防火墻系統也可設置于硬盤驅動器內部的電路內，此時所有控制均由硬盤驅動器內部的CPU處理；當然，硬盤驅動器內部也需具有一個電可擦除只讀存儲器。
本發明實施例中所述的電可擦除只讀存儲器20，是用于記錄特定分區的位置數據，也可使用其它的記錄裝置來完成此功能，例如快閃存儲器(Flash Memory)、或可編程陣列邏輯(Programmable Array Logic)等等；甚至直接以基本輸入輸出系統(BIOS)來取代也可，但是基本輸入輸出系統也必須具備非使用者無法改寫的功能。
本發明實施例中的電可擦除只讀存儲器20僅以32個字節來記錄一個硬盤驅動器60的特定分區，當然也可用更大的存儲容量來記錄更多的分區及硬盤驅動器，或者更多的分區種類。
本較佳實施例雖將硬盤驅動器60劃分為寫一次分區100、寫警告分區200及自由分區300，然而使用者可根據需要進行調整，例如，寫一次分區100并不一定僅放置操作系統，也可放置應用程序或資料；換言之，分區的定義在于數據的保護方式，而非數據的內容。
本發明將硬盤驅動器60劃分為幾個分區(Partition Area)，而其分區范圍與個人計算機中所謂的硬盤分區表(Partition Table)并不排斥；換言之，硬盤分區表(Partition Table)中每一個硬盤分區(Partition)的起始柱面及結束柱面，可以相同或相異于本發明的分區(PartionArea)；甚至，每一個硬盤分區也可以有幾個本發明的分區(PartitionArea)。當然，若要簡單的使用本系統，只需讓硬盤分區(Partition Table)與本發明的分區(Partition Area)相同即可。
由上可知本發明具有保護操作系統不致被破壞的功能，不管通過BIOS的Disk I/O處理程序，或者通過操作系統的處理程序，或者直接存取硬盤，本發明均可中途攔截并予以拒絕或/及警告。
本發明保留自由分區300供任何程序或資料的自由存取；當此分區被破壞時，也可利用寫警告分區200進行資料回復操作。雖然自由分區300中的部份新資料可能因病毒入侵而喪失，但適當時間的管理備份卻可使損失降至最低。
本發明雖然在硬盤控制器上增加了少許邏輯，但就現今集成電路的整合度(Integration)及制作方法(Process)而言，成本是不會增加的。
綜上所述，本發明所提供的一種計算機防火墻的設置方法及其系統，確可在任何試圖寫入寫一次分區(可用于存放操作系統)及寫警告分區(可用于存放應用程序或資料)時予以中途攔截且加以拒絕、警告，除能保護要保護的計算機資料外，也可使計算機用戶能放心地使用計算機，將計算機病毒、計算機黑客、無意刪除或惡意刪除、破壞計算機數據等的可能降至最低。
以上所述僅為本發明的一較佳實施例，凡在本發明基礎上所作的等同變化，皆應包含于權利要求的保護范圍內。
權利要求
1.一種計算機防火墻的設置方法，應用于一計算機中，其特征是包括將硬盤驅動器劃分為幾個分區，并將該分區的位置數據寫入一存儲裝置的步驟，該步驟可根據需要將各分區分別定義為只可寫入一次且寫入一次后即變成只讀型式的寫一次分區、任何試圖寫入的動作均會被警告并要求確認的寫警告分區，或可自由存取的自由分區等；將系統端程序欲存取的分區位置數據經一分區比較器與前述存儲裝置內的分區位置數據作比較的步驟；及根據比較結果進行處理的步驟，該步驟可對如下動作進行選擇，若所述系統端程序欲存取的分區屬于寫一次分區，則關掉硬盤驅動器的寫入信號，并由分區比較器發出通知信號，通知防火墻固件程序以聲音或畫面等方式通知使用者；若所述系統端程序欲存取的分區屬于寫警告分區，則發出警告并要求使用者輸入密碼以進行確認，否則將拒絕寫入動作，并由分區比較器同時發出通知信號，通知防火墻固件程序以聲音或畫面等方式通知使用者；若所述系統端程序欲存取的分區屬于自由分區則任其自由存取。
2.如權利要求1所述的計算機防火墻的設置方法，其特征在于所述的分區比較器發出的通知信號可為一中斷要求信號或為一直接內存存取要求信號。
3.一種計算機防火墻系統，應用于一計算機中，其特征是還包括一記錄裝置，用于記錄分區的位置數據；一分區比較器，用于自動獲取所述記錄裝置中的分區位置數據，并與來自系統端程序欲存取的分區位置數據相比較；以及一防火墻固件程序，用于處理所述分區比較器的通知信號，并以聲音或畫面顯示方式警告使用者。
4.如權利要求3所述的計算機防火墻系統，其特征在于所述的記錄裝置上設有一改寫防止裝置。
5.如權利要求4所述的計算機防火墻系統，其特征在于所述的改寫防止裝置為在所述的記錄裝置外部增設的一個防寫插腳。
6.如權利要求3、4或5所述的計算機防火墻系統，其特征在于所述的記錄裝置可為電可擦除只讀存儲器、快閃存儲器或可編輯陣列邏輯等。
7.如權利要求3、4或5所述的計算機防火墻系統，其特征在于所述的記錄裝置為計算機的基本輸入輸出系統，且該基本輸入輸出系統具備只有使用者才能改寫的功能。
8.如權利要求3、4或5所述的計算機防火墻系統，其特征在于所述的記錄裝置及分區比較器可置于硬盤控制器中，或硬盤驅動器內部的電路內。
9.如權利要求3、4或5所述的計算機防火墻系統，其特征在于所述的防火墻固件程序可放置于基本輸入輸出系統中，或放置于直接存儲器存取處理程序中。
全文摘要
本發明涉及一種計算機防火墻的設置方法及其系統，主要由電可擦除只讀存儲器、分區比較器、中斷輸出及防火墻固件程序所構成，放置在硬盤控制器中或硬盤驅動器內部電路內，該方法將硬盤劃分為幾個分區，監督程序對各分區的存取，以防止操作系統毀損，并保護需保護的資料或特定分區，因而可使計算機使用者能安心地使用計算機，將計算機病毒、黑客、無意或惡意刪除、破壞計算機數據的可能降至最低。
文檔編號G06F12/14GK1427344SQ01144618
公開日2003年7月2日 申請日期2001年12月20日 優先權日2001年12月20日
發明者余文郎 申請人:梅捷企業股份有限公司