JP2002064543A - Packet processing method and its system, and recording medium with packet processing program recorded thereon - Google Patents
Packet processing method and its system, and recording medium with packet processing program recorded thereonInfo
- Publication number
- JP2002064543A JP2002064543A JP2000245990A JP2000245990A JP2002064543A JP 2002064543 A JP2002064543 A JP 2002064543A JP 2000245990 A JP2000245990 A JP 2000245990A JP 2000245990 A JP2000245990 A JP 2000245990A JP 2002064543 A JP2002064543 A JP 2002064543A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- processing
- packet processing
- firewall
- packets
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
Description
【0001】[0001]
【発明の属する技術分野】本発明は、パケット式通信ネ
ットワークにおけるファイアウォール装置のための技術
に関する。The present invention relates to a technology for a firewall device in a packet communication network.
【0002】[0002]
【従来の技術】図1に、ファイアウォール装置を有する
パケット式通信ネットワークの例を示す。同図に示すよ
うに自組織のネットワーク(イントラネットを含む)
を、インターネットをはじめとする広域ネットワークと
接続する場合、外部からの種々の攻撃を防ぐために境界
点にファイアウォールを設置することが一般的である。
ファイアウォールはパケット単位もしくはコネクション
単位のアクセス制御を行い、あらかじめファイアウォー
ル装置に作りこまれたアクセス制御機能に関する設定を
行うことによって、決められたアクセス制御機能を利用
することができる。2. Description of the Related Art FIG. 1 shows an example of a packet communication network having a firewall device. As shown in the figure, your organization's network (including intranet)
In general, when connecting to a wide area network such as the Internet, a firewall is generally installed at a boundary point to prevent various attacks from the outside.
The firewall performs access control on a packet basis or on a connection basis, and can make use of a predetermined access control function by setting in advance the access control function built in the firewall device.
【0003】従来技術において、ファイアウォールで利
用される代表的な機能として以下のものがある。In the prior art, there are the following typical functions used in a firewall.
【0004】パケットフィルタリング:パケットの情報
(IP、UDP、TCPヘッダ)を参照し、パケットの
通過/廃棄をステートレス(パケット単位)に決定す
る。[0004] Packet filtering: Refers to packet information (IP, UDP, TCP header) and determines whether to pass or discard the packet in a stateless (packet unit) manner.
【0005】NAT(Network Address
Translation):イントラネット側のエン
ドホストで利用しているIPv4アドレス(ポートを含
む場合もある)を、1つ以上の共有しているグローバル
のIPv4アドレスに変換し、内部で使われているアド
レス情報を隠蔽する。[0005] NAT (Network Address)
Translation): Converts an IPv4 address (which may include a port) used by an end host on the intranet side into one or more shared global IPv4 addresses, and converts address information used internally. Conceal.
【0006】ステートフルインスぺクション:受け取っ
たパケットの情報を一部保持し、そこからコネクション
情報やトラフィックパターンを取得し、あらかじめ持っ
ている攻撃方法の情報と比較することによってステート
フルなパケットの検査を実施する。その結果に基づきパ
ケットの通過/廃棄などの処置を実施する。Stateful Inspection: Stateful packet inspection is carried out by holding part of received packet information, obtaining connection information and traffic patterns therefrom, and comparing the obtained information with information on an attack method which is already provided. I do. Based on the result, measures such as passing / discarding of the packet are performed.
【0007】サーキットレベルプロクシ:受け取ったパ
ケットをトランスポート層(TCP)の情報(セッショ
ン情報など)を元に検査し、中継/廃棄を実施する。[0007] Circuit level proxy: A received packet is inspected based on information (such as session information) of a transport layer (TCP), and relaying / discarding is performed.
【0008】アプリケーションプロクシ:受け取ったパ
ケットをアプリケーション層の情報(アプリケーション
が定めたプロトコルに基づいた情報)を元に検査し、様
々な処理を実施する。[0008] Application proxy: A received packet is inspected based on information of an application layer (information based on a protocol defined by an application), and various processes are performed.
【0009】これらの機能は相互補完的であり、セキュ
リティレベルを向上させるためや利便性を維持するため
に、これらの機能は組み合わせて利用される。例えば、
パケットフィルタリング械能とNAT機能を組み合わせ
たファイアウォール製品やステートフルインスペクショ
ン機能とNAT機能を組み合わせたファイアウォール製
品などが提供されている。さらに、ステートフルインス
ペクションファイアウォール製品とサーキットレベルプ
ロクシ製品やアプリケーションゲートウェイ製品を組み
合わせた運用なども一般的に行われている。[0009] These functions are complementary to each other, and are used in combination to improve the security level and maintain the convenience. For example,
A firewall product combining a packet filtering function and a NAT function and a firewall product combining a stateful inspection function and a NAT function are provided. In addition, it is common practice to combine stateful inspection firewall products with circuit-level proxy products and application gateway products.
【0010】パケット式通信ネットワークにおいては、
ファイアウォールに限らず、セキュリティレベルを維持
するために常に最新の情報や機能を追加しなければなら
ない。例えば新しいクラッキング手法やDoS(Den
ial of Service)攻撃が発見された場合
や新しいサービスを提供するためには、それに対応した
機能を追加することが必要である。現状ではファイアウ
ォールの機能は個別のハードウェアやソフトウェアによ
って提供されており、新機能の追加のためにはハードウ
ェアの入れ替えやソフトウェアのバージョンアップをす
ることになる。その際、新しい攻撃への対処が施される
たびにハードウェアやソフトウェアを入れ替えるとその
コストは非常に大きくなってしまう。In a packet communication network,
Not only firewalls, but always the latest information and functions must be added to maintain the security level. For example, new cracking methods and DoS (Den
When an ial of service attack is found or a new service is provided, it is necessary to add a function corresponding to the attack. Currently, the functions of firewalls are provided by individual hardware and software. To add new functions, hardware replacement and software version upgrades are required. At that time, replacing hardware and software each time a new attack is dealt with would increase the cost.
【0011】[0011]
【発明が解決しようとする課題】上記に示したように、
ファイアウォールでの機能追加を行う場合には、ハード
ウェアやソフトウェアの入れ替えが必要であるため、新
しいセキュリティホールが発生したり、サービスを追加
する度にシステム全体の入れ替えを行わなければなら
ず、大きなコストや手間がかかるという問題点がある。As described above, as described above,
When adding functions in a firewall, hardware and software must be replaced, so a new security hole will occur or the entire system will have to be replaced every time a service is added. And it takes time and effort.
【0012】本発明は、上記の点に鑑みてなされたもの
であり、ハードウェアやソフトウェアを含むシステム全
体を入れ替えることなしにファイアウォールとしての新
機能の追加を可能としたパケット処理技術を提供するこ
とを目的とする。SUMMARY OF THE INVENTION The present invention has been made in view of the above points, and provides a packet processing technique which enables addition of a new function as a firewall without replacing the entire system including hardware and software. With the goal.
【0013】[0013]
【課題を解決するための手段】上記の目的を達成するた
めに、本発明は次のように構成することができる。In order to achieve the above object, the present invention can be configured as follows.
【0014】本発明は、パケット式通信ネットワーク内
のファイアウォールにおけるパケット処理方法であっ
て、パケット処理用コードを受け取る段階と、パケット
をネットワークインターフェースから受け取る段階と、
パケットを蓄積する段階と、必要に応じてパケット群を
再構築する段階と、再構築したパケットを前記パケット
処理用コードに従って処理し、出力する段階とを有す
る。The present invention is a method of processing a packet in a firewall in a packet communication network, comprising the steps of receiving a packet processing code, receiving a packet from a network interface,
The method includes a step of accumulating packets, a step of reconstructing a packet group as necessary, and a step of processing and outputting the reconstructed packets according to the packet processing code.
【0015】本発明によれば、パケット処理用コードに
従ってパケットを処理することとしたので、機能追加す
る場合にはパケット処理用コードを変更もしくは追加す
ればよく、ハードウェアやソフトウェアを含むシステム
全体を入れ替えることなしにファイアウォールとしての
新機能の追加が可能となる。According to the present invention, a packet is processed according to a packet processing code. Therefore, when a function is added, the packet processing code may be changed or added, and the entire system including hardware and software may be added. A new function as a firewall can be added without replacement.
【0016】また、本発明は次のように構成することも
できる。The present invention can also be configured as follows.
【0017】すなわち、本発明は、パケット式通信ネッ
トワーク内のファイアウォールにおけるパケット処理方
法であって、パケット処理用コードを事前にインストー
ルしておく段階と、パケットをネットワークインターフ
ェースから受け取る段階と、パケットを蓄積し、必要に
応じてパケット群を再構築する段階と、パケットを仮想
アドレス空間にマッピングする段階と、前記パケット処
理用コードをインタープリタにより解釈し、再構築した
パケットをその解釈に従って処理し、処理したパケット
を適切なネットワークインターフェースから出力する段
階とを有する。That is, the present invention relates to a packet processing method in a firewall in a packet communication network, in which a packet processing code is installed in advance, a packet is received from a network interface, and the packet is stored. And reconstructing the packet group as necessary, mapping the packet to the virtual address space, interpreting the packet processing code with an interpreter, processing the reconstructed packet according to the interpretation, and processing the packet. Outputting the packet from an appropriate network interface.
【0018】本発明によっても上記と同様の効果を得る
ことができる。According to the present invention, the same effects as described above can be obtained.
【0019】また、上記の構成において、前記処理に関
する内容を保持しておく段階と、保持した内容を新たに
入力されたパケットの処理に使用する段階とを更に有す
ることとしてもよい。Further, the above configuration may further comprise a step of holding the contents related to the processing and a step of using the held contents for processing a newly input packet.
【0020】本発明によれば、ステートフルなパケット
処理が可能となる。According to the present invention, stateful packet processing can be performed.
【0021】[0021]
【発明の実施の形態】以下、図面を参照して、本発明の
実施の形態に係るファイアウォール(パケット処理装
置)について詳細に説明する。DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, a firewall (packet processing device) according to an embodiment of the present invention will be described in detail with reference to the drawings.
【0022】まず、本発明の概要を説明する。本発明の
一実施例におけるネットワーク構成は図1に示したもの
と同様である。図2を用いて後述するように、本発明に
おけるファイアウォールは複数のネットワークインター
フェースと仮想計算機を持ち、仮想計算機はネットワー
クインターフェースから受け取ったパケットを処理する
ためのパケット処理用コードを解釈して実行する。ま
た、仮想計算機は、ネットワークインターフェースから
パケットを受け取るインターフェースとパケット処理用
コードを受け取るためのインターフェースとパケット処
理用コードを解釈し実行するためのエンジン部であるイ
ンタープリタとデータを保持する仮想アドレス空間を持
つ。パケット処理用コードは仮想計算磯が解釈可能な疑
似機械語命令で記述される。First, the outline of the present invention will be described. The network configuration in one embodiment of the present invention is the same as that shown in FIG. As will be described later with reference to FIG. 2, the firewall according to the present invention has a plurality of network interfaces and a virtual machine, and the virtual machine interprets and executes a packet processing code for processing a packet received from the network interface. The virtual machine has an interface for receiving a packet from the network interface, an interface for receiving a packet processing code, an interpreter which is an engine unit for interpreting and executing the packet processing code, and a virtual address space for holding data. . The packet processing code is described by a pseudo machine language instruction that can be interpreted by the virtual computer.
【0023】仮想計算機はパケットをネットワークイン
ターフェースから受け取ると、自身が保持する仮想アド
レス空間にパケットの内容をマッピングする。パケット
が分割されている場合には、パケットを再構築してから
仮想アドレス空間にマッピングする。仮想計算機内のイ
ンタープリタはパケット処理用コードを解釈し、その内
容に従って、仮想アドレス空間のデータを操作する形で
パケット処理を行う。ステートフルな処理を実現するた
めに、仮想計算機は仮想アドレス空間に値を不揮発に保
持する領域を用意し、それ以降のパケット処理の時にそ
の領域に保持された値を参照することができる。ユーザ
がファイアウォールに新たに機能を追加する場合には、
この仮想計算機で処理できるパケット処理用コードを実
装することによって実現可能になり、ハードウェアやソ
フトウェアを含むシステム全体を入れ替える必要がなく
なる。When the virtual machine receives the packet from the network interface, it maps the contents of the packet to the virtual address space held by the virtual machine. If the packet is divided, the packet is reconstructed and then mapped to the virtual address space. The interpreter in the virtual machine interprets the packet processing code and performs packet processing by operating data in the virtual address space according to the contents. In order to realize stateful processing, the virtual machine prepares an area for holding a value in a non-volatile manner in a virtual address space, and can refer to the value held in that area at the time of subsequent packet processing. When users add new features to the firewall,
This can be realized by implementing the packet processing code that can be processed by the virtual machine, and there is no need to replace the entire system including hardware and software.
【0024】図2に本発明の実施例の一つであるファイ
アウォール100内のシステムソフトウェア101の構
成を示す。システムソフトウェア101は、パケットの
送受信を行うネットワークインターフェースNI1、N
I2、パケット処理の実行環境である仮想計算機10を
有する。仮想計算機10はインタープリタ11、仮想ア
ドレス空間12、パケット処理用コード13から構成さ
れ、システムソフトウェア101に含まれる。インター
プリタ11はパケット処理コード13を解釈し実行を行
う。仮想アドレス空間12はパケットやデータの保持を
行う。パケット処理用コード13にはパケット処理の内
容が記述される。FIG. 2 shows a configuration of system software 101 in a firewall 100 according to one embodiment of the present invention. The system software 101 includes network interfaces NI1 and N
I2, a virtual machine 10 that is an execution environment for packet processing. The virtual machine 10 includes an interpreter 11, a virtual address space 12, and a code 13 for packet processing, and is included in the system software 101. The interpreter 11 interprets and executes the packet processing code 13. The virtual address space 12 holds packets and data. The packet processing code 13 describes the contents of the packet processing.
【0025】上記のシステムソフトウェアはルータ、ス
イッチ、コンピュータ等において動作し、このシステム
ソフトウェアを搭載したルータ、スイッチ、コンピュー
タ等がファイアウォールとして機能する。また、上記の
仮想計算機は、ルータ、スイッチ、コンピュータ等が有
するCPU、メモリ、ディスク等を使用してその機能を
実現している。The above-described system software operates on a router, a switch, a computer, and the like, and a router, a switch, a computer, and the like having the system software function as a firewall. The functions of the above-described virtual machine are realized using a CPU, a memory, a disk, and the like of a router, a switch, a computer, and the like.
【0026】ネットワークインターフェースNI1、N
I2、インタープリタ11は図示しないCPU及びメモ
リ等で実現できる。また、仮想アドレス空間12は図示
しないメモリ等で実現できる。パケット処理用コード1
3はビット列で構成されており、図示しないメモリやデ
ィスクなどに蓄積される。すなわち、ファイアウォール
100は拡張型ステートフルパケット処理装置を構成す
る。Network interfaces NI1, N
The I2 and the interpreter 11 can be realized by a CPU and a memory (not shown). The virtual address space 12 can be realized by a memory or the like (not shown). Packet processing code 1
Reference numeral 3 denotes a bit string, which is stored in a memory or a disk (not shown). That is, the firewall 100 constitutes an extended stateful packet processing device.
【0027】図3は上記ファイアウォール100の動作
を示すフローチャートである。図3を用いて動作を説明
する。FIG. 3 is a flowchart showing the operation of the firewall 100. The operation will be described with reference to FIG.
【0028】まず、インストールすべきパケット処理用
コードがあるかどうかをチェックする(S11)。イン
ストールすべきパケット処理用コードが存在する場合に
は、当該コードを仮想計算機10にインストールする
(S12)。なお、S11、S12の処理は、システム
管理者等が事前に行っておくようにしてもよい。First, it is checked whether there is a packet processing code to be installed (S11). If there is a packet processing code to be installed, the code is installed in the virtual machine 10 (S12). Note that the processes of S11 and S12 may be performed in advance by a system administrator or the like.
【0029】次に、ネットワークインターフェースNI
1もしくはNI2がパケットを受け取った場合(S1
3)、システムソフトウェア101は仮想計算機10が
持つインタープリタ11にそのパケットを渡す(S1
4)。インタープリタ11は受け取ったパケットが分割
されているかどうかをチェックし(S15)、分割され
ている場合には分割されたパケットのすべてがそろうま
でパケットを蓄積し、そろい次第パケットを再構築する
(S16)。その後インタープリタ11はパケットを仮
想計算機10中の仮想アドレス空間12の適切な領域に
マッピングし(S17)、保持しているパケット処理用
コード13を解釈し、その内容に従って仮想アドレス空
間12内のデータを操作する(S18)。インタープリ
タ11は処理が終了すると、仮想アドレス空間12にマ
ッピングされたパケットを取り出し、適切なネットワー
クインターフェースNI1もしくはNI2に送り出す
(S19)。その後、ファイアウォール100内のシス
テムソフトウェア101は通常の処理を行うことができ
る(S20)。Next, the network interface NI
1 or NI2 receives the packet (S1
3), the system software 101 passes the packet to the interpreter 11 of the virtual machine 10 (S1)
4). The interpreter 11 checks whether or not the received packet is fragmented (S15). If the packet is fragmented, the interpreter 11 accumulates the packet until all the divided packets are collected, and reconstructs the packet as soon as it is prepared (S16). . Thereafter, the interpreter 11 maps the packet to an appropriate area of the virtual address space 12 in the virtual machine 10 (S17), interprets the held packet processing code 13, and converts the data in the virtual address space 12 according to the contents. The operation is performed (S18). When the processing is completed, the interpreter 11 takes out the packet mapped in the virtual address space 12, and sends it out to the appropriate network interface NI1 or NI2 (S19). Thereafter, the system software 101 in the firewall 100 can perform normal processing (S20).
【0030】前述したように、仮想計算機は仮想アドレ
ス空間に値を不揮発に保持する領域を用意し、それ以降
のパケット処理の時にその領域に保持された値を参照す
ることができる。また、ユーザがファイアウォールに新
たに機能を追加する場合には、この仮想計算機で処理で
きるパケット処理用コードを実装すればよく、従来のよ
うにハードウェアやソフトウェアを含むシステム全体を
入れ替える必要がなくなる。As described above, the virtual machine prepares an area for holding the value in the virtual address space in a nonvolatile manner, and can refer to the value held in the area at the time of subsequent packet processing. Also, when a user adds a new function to the firewall, it is sufficient to implement a packet processing code that can be processed by the virtual machine, and it is not necessary to replace the entire system including hardware and software as in the related art.
【0031】パケット処理用コード13による操作の例
としては、機能追加したNATの処理を行う場合のデー
タ操作等がある。また、例えば、ステートフルなパケッ
トの検査を実施する場合には、上記の不揮発領域に保持
された値を参照する等の処理を含む必要な処理を記述し
たパケット処理用コードを用いる。As an example of the operation by the packet processing code 13, there is a data operation or the like when performing the processing of the NAT with added functions. Further, for example, when a stateful packet inspection is performed, a packet processing code that describes necessary processing including processing such as referring to the value held in the non-volatile area is used.
【0032】図4に上記実施例のタイムテーブルを示
す。同図に示す時間順に動作を説明する。FIG. 4 shows a time table of the above embodiment. The operation will be described in the order of time shown in FIG.
【0033】まず、ファイアウォール100内のシステ
ムソフトウェア101において、インタープリタ11に
パケット処理用コード13をインストールする。ネット
ワークインターフェースNI1もしくはNI2はパケッ
トを受信すると、インタープリタ11に受け取ったパケ
ットを渡す。インタープリタ11はパケットを受け取る
と、パケットが分割されている場合にはパケットを再構
築してから、パケットが分割されていない場合にはすぐ
に仮想アドレス空間12内の適切な領域にマッピング
し、その後インタープリタ11はパケット処理用コード
13を解釈し、その内容に従い仮想アドレス空間12が
保持するデータを操作する。処理が終了すると、仮想ア
ドレス空間12内のパケットを取り出し、適切なネット
ワークインターフェースNI1もしくはNI2に送出す
る。First, the packet processing code 13 is installed in the interpreter 11 in the system software 101 in the firewall 100. Upon receiving the packet, the network interface NI1 or NI2 passes the received packet to the interpreter 11. When the interpreter 11 receives the packet, it reconstructs the packet if the packet is divided, and immediately maps the packet to an appropriate area in the virtual address space 12 if the packet is not divided, and thereafter, The interpreter 11 interprets the packet processing code 13 and operates data held in the virtual address space 12 according to the contents. When the processing is completed, the packet in the virtual address space 12 is taken out and sent to the appropriate network interface NI1 or NI2.
【0034】上記のシステムソフトウェア101はルー
タ、スイッチ、コンピュータ等に予めインストールして
おいてもよいし、CD−ROM、フロッピー(登録商
標)ディスク等の記録媒体に格納しておき、その記録媒
体からルータ、スイッチ、コンピュータ等にインストー
ルするようにしてもよい。システムソフトウェア101
がインストールされたルータ、スイッチ、コンピュータ
等は上記ファイアウォール100として使用することが
できる。また、システムソフトウェア101はネットワ
ークを介して配布することも可能である。The system software 101 may be installed in a router, a switch, a computer, or the like in advance, or may be stored in a recording medium such as a CD-ROM or a floppy (registered trademark) disk. You may make it install in a router, a switch, a computer, etc. System software 101
A router, a switch, a computer, or the like in which is installed can be used as the firewall 100. Further, the system software 101 can be distributed via a network.
【0035】本発明は、上記の実施例に限定されること
なく、特許請求の範囲内で種々変更・応用が可能であ
る。The present invention is not limited to the above embodiments, but can be variously modified and applied within the scope of the claims.
【0036】[0036]
【発明の効果】本発明によれば、パケット式通信ネット
ワーク内のファイアウォールにおいて、そこを通過する
パケット群を処理するための処理内容をパケット処理用
コードとして記述し、その記述内容を解釈してパケット
群を処理することとしたので、パケット群をデータ単位
かつステートフルに処理する旨をパケット処理用コード
として記述することによって、ファイアウォールを通過
するパケット群をデータ単位かつステートフルに処理す
ることが可能となる。According to the present invention, in a firewall in a packet communication network, processing contents for processing a group of packets passing therethrough are described as packet processing codes, and the contents of the description are interpreted. Since the group is to be processed, it is possible to process the packet group passing through the firewall in a data unit and in a stateful manner by describing as a packet processing code that the packet group is to be processed in a data unit and in a stateful manner. .
【0037】また、パケット処理用コードを適宜作成、
追加すれば機能追加を行うことができ、従来のように機
能追加のためにハードウェアやソフトウェアを入れ替え
る必要がなくなる。Also, a code for packet processing is appropriately created,
If added, functions can be added, and it is not necessary to replace hardware and software for adding functions as in the related art.
【0038】また、本発明によれば、従来のようにパケ
ットを通過させるか廃棄させるかの処理のみでなく、パ
ケットの内容を操作することができるので、セキュリテ
ィレベルに応じた多様な処理を行うことが可能となる。Further, according to the present invention, not only the processing of passing or discarding a packet as in the related art, but also the contents of the packet can be manipulated, so that various processing according to the security level is performed. It becomes possible.
【図1】ファイアウォール装置を有するパケット式通信
ネットワークの一例を示す図である。FIG. 1 is a diagram illustrating an example of a packet communication network having a firewall device.
【図2】本発明の一実施例におけるファイアウォール1
00内の構成図である。FIG. 2 shows a firewall 1 according to an embodiment of the present invention.
It is a block diagram in 00.
【図3】本発明の一実施例におけるファイアウォール1
00の動作を示すフローチャートである。FIG. 3 is a firewall 1 according to an embodiment of the present invention.
9 is a flowchart showing the operation of the 00.
【図4】本発明の一実施例におけるファイアウォール1
00の動作を示すタイムテーブルである。FIG. 4 is a firewall 1 according to an embodiment of the present invention.
9 is a time table showing the operation of 00.
10 仮想計算機 11 インタープリタ 12 仮想アドレス空間 13 パケット処理用コード 100 ファイアウォール 101 システムソフトウェア NI1、NI2 ネットワークインターフェース Reference Signs List 10 virtual computer 11 interpreter 12 virtual address space 13 packet processing code 100 firewall 101 system software NI1, NI2 network interface
Claims (9)
アウォールにおけるパケット処理方法であって、 パケット処理用コードを受け取る段階と、 パケットをネットワークインターフェースから受け取る
段階と、 パケットを蓄積する段階と、 必要に応じてパケット群を再構築する段階と、 再構築したパケットを前記パケット処理用コードに従っ
て処理し、出力する段階とを有することを特徴とするパ
ケット処理方法。1. A packet processing method in a firewall in a packet communication network, comprising: receiving a packet processing code; receiving a packet from a network interface; storing the packet; A packet processing method comprising: reconstructing a group; and processing and outputting the reconstructed packet according to the packet processing code.
アウォールにおけるパケット処理方法であって、 パケット処理用コードを事前にインストールしておく段
階と、 パケットをネットワークインターフェースから受け取る
段階と、 パケットを蓄積し、必要に応じてパケット群を再構築す
る段階と、 パケットを仮想アドレス空間にマッピングする段階と、 前記パケット処理用コードをインタープリタにより解釈
し、再構築したパケットをその解釈に従って処理し、処
理したパケットを適切なネットワークインターフェース
から出力する段階とを有することを特徴とするパケット
処理方法。2. A method for processing a packet in a firewall in a packet communication network, comprising the steps of: installing a packet processing code in advance; receiving a packet from a network interface; Reconstructing a packet group accordingly; mapping the packet to a virtual address space; interpreting the packet processing code by an interpreter; processing the reconstructed packet according to the interpretation; Outputting from a network interface.
階と、 保持した内容を新たに入力されたパケットの処理に使用
する段階とを更に有する請求項1又は2に記載のパケッ
ト処理方法。3. The packet processing method according to claim 1, further comprising: a step of holding the contents related to the processing; and a step of using the held contents for processing of a newly input packet.
アウォールを構成するパケット処理装置であって、 パケット処理用コードを受け取る手段と、 パケットをネットワークインターフェースから受け取る
手段と、 パケットを蓄積する手段と、 必要に応じてパケット群を再構築する手段と、 再構築したパケットを前記パケット処理用コードに従っ
て処理し、出力する手段とを有することを特徴とするパ
ケット処理装置。4. A packet processing device constituting a firewall in a packet communication network, comprising: means for receiving a packet processing code; means for receiving a packet from a network interface; means for storing a packet; A packet processing apparatus comprising: means for reconstructing a group of packets by means of the packet processing means; and means for processing and outputting the reconstructed packets according to the packet processing code.
アウォールを構成するパケット処理装置であって、 パケット処理用コードをインストールする手段と、 パケットを受け取るネットワークインターフェースと、 パケットを蓄積し、必要に応じてパケット群を再構築す
る手段と、 パケットを仮想アドレス空間にマッピングする手段と、 前記パケット処理用コードを解釈し、再構築したパケッ
トをその解釈に従って処理し、処理したパケットを適切
なネットワークインターフェースから出力する手段とを
有することを特徴とするパケット処理装置。5. A packet processing device constituting a firewall in a packet communication network, comprising: means for installing a packet processing code; a network interface for receiving a packet; Means for reconstructing a packet, means for mapping a packet to a virtual address space, means for interpreting the packet processing code, processing the reconstructed packet according to the interpretation, and outputting the processed packet from an appropriate network interface. A packet processing device comprising:
段と、 保持した内容を新たに入力されたパケットの処理に使用
する手段とを更に有する請求項4又は5に記載のパケッ
ト処理装置。6. The packet processing apparatus according to claim 4, further comprising: means for holding the contents related to the processing; and means for using the held contents for processing a newly input packet.
アウォールを構成する装置にパケット処理を実行させる
プログラムを記録したコンピュータ読み取り可能な記録
媒体であって、 パケット処理用コードを受け取る手順と、 パケットをネットワークインターフェースから受け取る
手順と、 パケットを蓄積する手順と、 必要に応じてパケット群を再構築する手順と、 再構築したパケットを前記パケット処理用コードに従っ
て処理し、出力する手順とを前記装置に実行させるプロ
グラムを記録したコンピュータ読み取り可能な記録媒
体。7. A computer-readable recording medium having recorded thereon a program for causing a device constituting a firewall in a packet communication network to execute a packet process, comprising: a step of receiving a packet processing code; A program for causing the apparatus to execute a receiving procedure, a procedure for accumulating packets, a procedure for reconstructing a packet group as necessary, and a procedure for processing and outputting the reconstructed packets according to the packet processing code. A computer-readable recording medium that has been recorded.
アウォールを構成する装置にパケット処理を実行させる
プログラムを記録したコンピュータ読み取り可能な記録
媒体であって、 パケット処理用コードをインストールする手順と、 パケットをネットワークインターフェースから受け取る
手順と、 パケットを蓄積し、必要に応じてパケット群を再構築す
る手順と、 パケットを仮想アドレス空間にマッピングする手順と、 前記パケット処理用コードを解釈し、再構築したパケッ
トをその解釈に従って処理し、処理したパケットを適切
なネットワークインターフェースから出力する手順とを
前記装置に実行させるプログラムを記録したコンピュー
タ読み取り可能な記録媒体。8. A computer-readable recording medium storing a program for causing a device constituting a firewall in a packet-type communication network to execute packet processing, comprising: a step of installing a packet processing code; Receiving packets from the server, storing packets and reconstructing a group of packets as necessary, mapping the packets to a virtual address space, interpreting the packet processing code, and interpreting the reconstructed packets. And a procedure for outputting the processed packet from an appropriate network interface.
順と、 保持した内容を新たに入力されたパケットの処理に使用
する手順とを更に有する請求項7又は8に記載のプログ
ラムを記録したコンピュータ読み取り可能な記録媒体。9. The computer recording the program according to claim 7, further comprising: a procedure for storing the content related to the processing; and a procedure for using the stored content for processing a newly input packet. A readable recording medium.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000245990A JP2002064543A (en) | 2000-08-14 | 2000-08-14 | Packet processing method and its system, and recording medium with packet processing program recorded thereon |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000245990A JP2002064543A (en) | 2000-08-14 | 2000-08-14 | Packet processing method and its system, and recording medium with packet processing program recorded thereon |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2002064543A true JP2002064543A (en) | 2002-02-28 |
Family
ID=18736406
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000245990A Pending JP2002064543A (en) | 2000-08-14 | 2000-08-14 | Packet processing method and its system, and recording medium with packet processing program recorded thereon |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2002064543A (en) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004362594A (en) * | 2003-06-06 | 2004-12-24 | Microsoft Corp | Method for automatically discovering and configuring external network device |
-
2000
- 2000-08-14 JP JP2000245990A patent/JP2002064543A/en active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004362594A (en) * | 2003-06-06 | 2004-12-24 | Microsoft Corp | Method for automatically discovering and configuring external network device |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6487979B2 (en) | Framework and interface for offload device-based packet processing | |
| CA2502945C (en) | Shared port address translation on a router behaving as nat & nat-pt gateway | |
| US7529852B2 (en) | Method and apparatus for handling IPv4 DNS PTR queries across IPv4 and IPv6 networks | |
| EP1665715B1 (en) | Real-time network monitoring and security | |
| JP4733886B2 (en) | Method and system for extracting protocol characteristics of applications | |
| US8898265B2 (en) | Determining data flows in a network | |
| US20160149748A1 (en) | Network address translation | |
| JP2001517899A (en) | Method and system for identifying and suppressing executable objects | |
| JP6793056B2 (en) | Communication equipment and systems and methods | |
| Ng et al. | A Waypoint Service Approach to Connect Heterogeneous Internet Address Spaces. | |
| US20190215306A1 (en) | Rule processing and enforcement for interleaved layer 4, layer 7 and verb based rulesets | |
| WO2020046961A1 (en) | Flow cache support for crypto operations and offload | |
| Nath et al. | Tcp-ip model in data communication and networking | |
| US9916225B1 (en) | Computer implemented system and method and computer program product for testing a software component by simulating a computing component using captured network packet information | |
| US7680104B2 (en) | Address tagging for network address translation (NAT) traversal | |
| US20190215307A1 (en) | Mechanisms for layer 7 context accumulation for enforcing layer 4, layer 7 and verb-based rules | |
| US20220006782A1 (en) | Efficient matching of feature-rich security policy with dynamic content using user group matching | |
| EP3255844B1 (en) | Packet processing method and forwarding element | |
| JP2002064543A (en) | Packet processing method and its system, and recording medium with packet processing program recorded thereon | |
| CN114389863B (en) | Honeypot interaction method and device, honeypot network, equipment and storage medium | |
| Cisco | Cisco PIX Firewall Version 2.7.14 Release Notes | |
| Cisco | MNLB Feature Set for LocalDirector: Command Reference | |
| Cisco | Cisco PIX Firewall Version 2.7.14 Release Notes | |
| Cisco | Cisco PIX Firewall Version 2.7.14 Release Notes | |
| EP3185510B1 (en) | Method for data packet inspection, related device and computer-program product |