BG105087A - Устройство за контролиран достъп и метод за управление на трафика на пакет от мрежови данни между вътрешни и външни мрежи - Google Patents

Устройство за контролиран достъп и метод за управление на трафика на пакет от мрежови данни между вътрешни и външни мрежи Download PDF

Info

Publication number
BG105087A
BG105087A BG105087A BG10508700A BG105087A BG 105087 A BG105087 A BG 105087A BG 105087 A BG105087 A BG 105087A BG 10508700 A BG10508700 A BG 10508700A BG 105087 A BG105087 A BG 105087A
Authority
BG
Bulgaria
Prior art keywords
packet
address
rule
access device
internal
Prior art date
Application number
BG105087A
Other languages
English (en)
Inventor
Mikael SUNDSTROEM
Olof Johansson
Joel Lindholm
Andrej Brodnik
Svante Carlsson
Original Assignee
Effnet Group Ab
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Effnet Group Ab filed Critical Effnet Group Ab
Publication of BG105087A publication Critical patent/BG105087A/bg

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Business, Economics & Management (AREA)
  • Business, Economics & Management (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

Устройството за контролиран достъп (3) за управление на трафика на пакет мрежови данни между вътрешни и външни мрежи (1, 5, 4) съдържа филтриращи средства, селектиращи правило от цяло множество от правила в зависимост от съдържащите се в полетата данни на пакет от данни, предаван между мрежите. Правилото е приложимо към пакета данни за блокиране на пакета данни или препращането му през устройството за контролиран достъп (3). Двудименсионното адресно търсещо средство (8) изпълнява двудименсионнотърсене на адресите на източника и местоназначението на пакета в множество от адресни префикси. Всеки префикс има подмножество от правила на общото множество от правила, с цел да се открие префикс чрез изображението му, свързано с адресите на източника и местоназначението, и средство за подбор на правило (10) въз основа на съдържанията на полетатаданни, за да се открие правилото, приложимо към пакета данни.

Description

ОБЛАСТ НА ТЕХНИКАТА
Настоящето изобретение се отнася основно до устройство за контролиран достъп и метод за управление на трафика на мрежови данни между вътрешни и външни мрежи и по-специално до устройство за контролиран достъп, съдържащо 10 филтриращи средства за селектиране от пълното множество от правила, в зависимост от съдържанията в полетата данни на пакета данни, който е за предаване между мрежите, на правило, приложимо към пакета данни, за да блокира пакета или да препрати пакета през устройството за контролиран достъп и 15 метод за него.
ПРЕДШЕСТВУВАЩО СЪСТОЯНИЕ НА ТЕХНИКАТА
Важен въпрос за повечето свързани с Интернет организации е сигурността и вследствие на това устройствата 20 за контролиран достъп стават важна част в повечето компютърни и мрежови стратегии за сигурност в повечето организации. Достъпът на потребителите до уебсървъра или други обществени услуги на организацията не трябва да бъде в състояние да осигури достъп до вътрешни услуги и други 25 възможности по отношение информация от компанията. Обслужването на системите не трябва да бъде прекъсвано сървърите и работните станции трябва да бъдат защитени срещу отказ на услуга (DOS-denial of service), вследствие от потребители на Интернет.
1725/00-фС
Устройството за контролиран достъп или филтриращ рутер е устройство, което работи основно по същия начин като рутер. Това означава, че то приема пакети по входящ интерфейс, контролира адресите по предназначение на 5 пакетите и пропуска пакета по коректния (по отношение на «адреса по местоназначение) изходящ интерфейс. Но устройството за контролиран достъп изпълнява много повече основен контрол на всеки пакет. Адресът на източника и местоназначението и портове на източник и местоназначение, 10 протоколно поле, флагове и опции също са контролирани и сравнявани по списък от правила за контролиран достъп. В зависимост от това по кои правила е настроен пакета, контролираният достъп може да реши да не пропусне пакета, например, ако е настроено блокиращо правило.
В допълнение към неоторизирания достъп съществуват други заплахи, които се проявяват когато организация е свързана към Интернет. Долната граница е, че приетите данни от непознати източници не могат да бъдат допуснати. Сканирането за вируси и троянски коне в електронната поща и 20 уебстраниците са задължения, изпълнявани от някои устройства за контролиран достъп от нивото на техниката.
Освен това, когато мрежовата честотна лента се увеличава, характеристиката на устройствата за контролиран достъп става важен показател.
Устройствата за контролиран достъп могат да работят при много различни нива и осигуряват различен тип функционалност за сканираните данни, преминаващи през тях. Но основната функция на всички устройства с контролиран достъп е да осъществяват филтриране, основано на
1725/00-фС съдържанията на мрежовите (IP=Internet Protocol) и транспортиращи (UDP=User Datagram Protocol, TCP transmission Control Protocol и ICMP=Control Message Protocol) слоеве информация за адресите. Без такова IP5 филтриране всяка друга функция, такава като сканиране на данни, е безполезна, тъй като потребителите на вътрешната мрежа биха могли само като конфигурират техните мрежови приложения да не минат през скенера, да се свържат към отдалечени сървъри и по този да заобиколят всякакви мерки за 10 сигурност.
Компаниите и организациите се свързват към Интернет по различни причини, например, за да публикуват информация за компанията, нейните продукти и услуги в мрежата, да достигнат до информация, достъпна по Интернет и да 15 кореспондират чрез електронна поща.
Компанията често има вътрешна информация, до която потребителите на Интернет не трябва да могат да имат достъп, такива като Интранет информационните сървъри, файлови сървъри и т.н. Най-обикновената конфигурация е да позволи 20 връзки от Интернет до група сървъри (web, email и други обществени услуги, но да откаже достъп до други компютри, свързани в мрежата (например Интранет сървъри). За постигане на това е установена „демилититаризирана зона“ (DMZ). Връзките до компютрите в DMZ могат да бъдат осъществени от
Интернет, както и от Интранет, но достъпът до Интранет от Интернет е ограничен. В съществуващите мрежи вътрешна мрежа, такава като Интранет, се свързва към демилитаризираната зона през устройство за контролиран достъп и DMZ се свързва към Интернет през рутер.
1725/00-фС
Следователно, трафикът на мрежата може да мине свободно между Интернет и DMZ, която изцяло е незащитена от потребители на Интранет. Причината за това е, че устройствата за контролиран достъп от предшествуващото състояние на 5 техниката също така са лишени от възможността за свързване • на повече от две мрежи - вътрешна и външна мрежа.
Други устройства за ограничен достъп имат три мрежови интерфейса. Тук могат да бъдат направени Ф ограничения по отношение на трафика между Интернет и DMZ, както и Интранет. Някои ограничения могат да бъдат направени за трафика към и от компютрите в DMZ, например мрежовият сървър се нуждае само да бъде достъпен по HTTP (Hypertext transfer Protocol)-nopTa. Потребителите на Интернет не трябва да могат да се свързват към някакви други услуги. Но 15 потребителите на Интранет могат да искат да имат възможност за достъп до мрежовия сървър по редица начини в сравнение с потребителите на Интернет за административни цели, като по този начин трябва да бъде осигурен по-широк достъп между © тези две мрежи. Подобни правила са необходими за сървъра за електронна поща. SMTP (Simple Mail Transfer Ргоюсо1)-връзките трябва да бъдат разрешавани от Интернет, но четенето на електронното писмо (email) трябва да бъде възможно само за някои разрешени компютри в интранет и също така възможно от някои компютри в Интернет.
В областта на устройствата с контролиран достъп броят на машините в DMZ е например 30. Правилата за машините в DMZ могат да бъдат различни за всяка машина, но броят на правилата за машина е сравнително малък, например 10-15. Много правила би могло да се приложат за трафика от
1725/00-фС
Интранет към DMZ, но е вероятно те да бъдат по-общи. По този начин сравнително малък брой правила са валидни за всички машини в DMZ.
Освен това правилата по отношение на трафика между 5 Интернет и Интранет (е) в повечето случай са малко, дори никакви. По-голямата част от трафика трябва да бъде блокиран. Но трафик, започнат от Интранет, може да бъде разрешен.
С нарастване на броя на потребителите на Интернет Q общодостъпните сървъри ще бъдат посещавани по-често, което води до по-голям трафик.Трафикът към и от Интранет нараства като Интранет-потребителите участвуват в нарастването на количествата информация, достъпна по Интернет. Следователно, изискванията за честотна лента се увеличават. Това поставя по-високи изисквания към характеристиката на 15 използуваните устройства за контролиран достъп.
По този начин главната задача за устройството с контролиран достъп е филтриране в пакет, което представлява IP-пакет и набор от правила, кое от тези правила трябва да бъде © използувано в този пакет? Ако няколко правила са подходящи към този пакет, необходимо е да бъде определена методика за спецификата кое правило да бъде избрано. Съществуват две решения от предшествуващото ниво на техниката по този проблем. Едното решение е да се избере правилото, което подхожда на най-голям брой полета от пакета и ако две правила 25 подхождат на същия брой от полета, но различни, необходимо е да бъде определен точен порядък между тях. Това се използува в алгоритъма за класификация на пакет от Borg и Flogin, Borg, Ν. Flodin, Malin, packet classification, юни 1997; Borg N.. A Packet Classifier for IP Networks, Masters Lie., Технологичен университет fflWMMItHWi
1725/00-фС
Lulea, февруари 1998. Друго решение е да се определи порядък между правилата и използуване на този порядък за определяне кое правило да се избере. Предимство на второто решение е това, че то дава по-голяма гъвкавост, когато се определят 5 правилата за филтър и кода на устройството с контролиран . достъп NetBSD, описан на адрес: wwwnetbsd.org., използуващо този метод.
Правилото за филтъра включва множество от критерии, Ф които трябва да бъдат изпълнени и действие за изпълнение, 10 когато те не са изпълнени. Критериите са основани върху адресите на източник и местоназначение (32-битови префикси), IP протоколно поле (8 битово число), независимо дали пакетът има или няма набор от IP-опции и какви са тези опции (цяло число), в зависимост от броя на портовете на 1РЯСР-източник и 15 местоназначение (адрес) (2 16-битови обхвата), ТСРИеа0ег(информация за адреса на местоназначението) флагове (3 бита), ICMP header тип и кодови полета (2 8-битови числа), от какъв интерфейс чете пакета (8 + 8 бита), към какъв интерфейс Ф ще бъде насочен пакета (8 + 8 бита).
Повечето устройства за контролиран достъп понастоящем не се занимават с проблема за съвместимостта на правилото. Обичайно е да има свързан списък (или масив) от правила, сравняващи пакета с всяко или което и да е от тях, докато се намери подходящо. Но това не е ефективно. Друг подход е hashing (преработване) на правилата. Освен това, ако методът е за решаване неопределеностите сред правилата, тоест две правила подхождат на същия пакет, повечето изпълнения решават проблема посредством определяне на първото или последното подходящо правило като такова за
Μ··
Ί 1725/00-ФС следване.
Устройството за контролиран достъп от предшествуващото състояние на техниката, устройство за контролиран достъп ΡΙΧ на Cisco Systems ТМ, описано на адрес 5 в мрежата: www.cisco.com, посетена на 25 юни 1998 г., е ориентирано към връзка предпазно устройство, което защитава вътрешна мрежа от външна мрежа. Устройството за контролиран достъп PIX е много скъпо устройство и то има горна граница от около 16000 едновременни връзки. Основната 10 част на устройството за контролиран достъп PIX е схема за защита, основана на адаптивния алгоритъм за сигурност (ASA), който предлага ориентирана към цялостното състояние на връзката защита. ASA следи адреса на източника и местоназначението, номерата на ТСР-последователността, 15 номерата на портовете и допълнителни TCP-флаговете на всеки пакет. Тази информация се запомня в таблица и всички входящи и изходящи пакети се сравняват спрямо записите в таблицата. Следователно, трябва да бъде записана информация за всяка установена връзка по време на продължителността на 20 връзката и по този начин броят на връзките е възможно да се определи посредством достъпния капацитет на паметта. Цялостно натовареното устройство за контролиран достъп Cisco PIX може да работи при около 90 Mbite/s. Но устройството за контролиран достъп Cisco PIX също така поддържа port 25 address translation (РАТ)-порт за адресно предаване, чрез което повече от 64000 вътрешни hosts/свързани към мрежа компютри/ могат да бъдат обслужвани посредством самостоятелен IPадрес.
Филтърен пакет от предшествуващо състояние,
1725/00-фС наречен · ipf (IP-филтър), се включва със стандартно разпределение на мрежа BSD 1.3.
Множествата от правила в ipf са разделени по интерфейси, за които те са валидни. Освен това правилата са 5 проверени двойно, първо, когато пакетът постъпва в мрежов , компютър и второ, когато той напуска мрежовия компютър. Правила, валидни само за входящи пакети, не са включени в списъка от правила, проверени в изходящия порт и обратно. Структурата данни е основно оптимизирано свързан списък.
Exokernel, Engler D., Kaashoek, M.F., O’Tool Jr.,
Exokernel: An operating system architecture..., се обсъжда на 15тия АСМ-симпозиум по принципите на операционни системи, декември 1995. Тук се използува различен подход за управляемо пакетно демултиплексиране, наречено DPF, Angler
D., Kaashoek, М. F., DPF: бързо, гъвкаво демултиплексиране на съобщение..., Engler, D. Kaashoek, М. F. , Computer Communication Review, Vo. 26, N 4, октомври 1996. Правилата са написани на специален програмен език и след това са съставени. Съставителят познава всички особени правила, 20 генерираният код може да бъде оптимизиран за очакваните патенти за трафика.
ТЕХНИЧЕСКА СЪЩНОСТ НА ИЗОБРЕТЕНИЕТО
Задачата на настоящето изобретение е да осигури подобрено устройство за контролиран достъп и метод за управление на мрежовия трафик между вътрешни и външни мрежи, осигуряващи ефективен процес на адресно търсене и процес на подбиране на правило, за да се постигне ефективно и бързо филтриране на IP-пакет и неограничен брой възможни
1725/00-фС
№ връзки през устройството за контролиран достъп.
Тази задача се решава посредством устройство за контролиран достъп и метод съгласно изобретението, при което множеството от правила, които е необходимо да бъдат 5 изследвани, се намалява последователно посредством сегментиране (разделяне) на множеството от правила. Устройството за контролиран достъп съгласно изобретението съдържа 2-дименсионално адресно търсещо средство, изпълняващо два етапа на търсене, първо на източника и 10 адреса на местоназначение на пакета в множество от адресни префикси. Всеки префикс е свързан с подмножество от правила на общото множество от правила. Изпълнява се линейно търсене на получавания подмножество от правила, за да се намери правилото, което приложимо към наличния пакет данни.
Друга задача на настоящето изобретение е да осигури фрагментираща машина, която може да филтрира всички фрагменти във фрагментирания пакет.
Още една друга задача на изобретението е да осигури средство за предаване на мрежов адрес, което предава 20 адресите от вътрешен източник към адресите от външен източник на пакет, предаван от устройството за контролиран достъп или адресите от външен източник към адресите на вътрешен източник на пакет, предаван в устройство за контролиран достъп.
Друга допълнителна задача на изобретението е да осигури предавателно средство на мрежов адрес, което да предава адреси от вътрешен източник към адресите на външен източник на пакет, предаван от вътрешна мрежа към външна мрежа, или адресите от външен източник към адресите на
1725/00-ФС вътрешен източник на пакет, предаван от външната мрежа към вътрешната мрежа.
Още една друга задача на изобретението е да осигури средство за перфориране на отвор, изпълняващо временно 5 изключване от блокиращо правило от външно към вътрешно, за , връзка, инициализирана от вътрешната мрежа, при което се създава обратен канал през устройството за контролиран достъп за пакети, предавани от външната мрежа към © вътрешната мрежа.
Друга задача на изобретението е да осигури устройство за контролиран достъп, което може да функционира при поне 1000 различни правила.
Предимство на устройството за контролиран достъп и метода за него съгласно настоящето изобретение са 15 неограниченият брой на възможни едновременни връзки, бързото IP-филтриране и голям брой на възможни поддържани правила.
Друга задача на устройството за контролиран достъп © съгласно изобретението е да осигури устройство за 20 контролиран достъп, съдържащо рутер (устройство за подбор на маршрут).
ПОЯСНЕНИЯ ЗА ПРИЛОЖЕНИТЕ ФИГУРИ
За да се обясни изобретението в повече подробности и предимствата и признаците на изобретението, ще бъдат описани предпочитани примерни изпълнения подробно понадолу, като е направено позоваване към приложените чертежи, на които:
фиг. 1 показва обикновено мрежова топология,
1725/00-фС съдържаща устройство за контролиран достъп съгласно изобретението;
фиг. 2 е блокова схема на устройство за контролиран достъп съгласно изобретението;
фиг. 3 е илюстративно изображение на разделяне на двудименсионален плътен отрязък;
фиг.4 е илюстративно изображение на структура на данни съгласно изобретението;
Q фиг. 5 е илюстративно изображение на клас (0, 0) памет;
фиг. бе илюстративно изображение на клас (1, 1) памет;
фиг. 7 е илюстративно изображение на клас (1, 2) памет;
фиг. 8 е илюстративно изображение на клас (2, 1) памет;
фиг. 9 е илюстративно изображение на клас (1, 3+) памет;
Ф фиг. 10 е илюстративно изображение на клас (3+, 1) памет;
фиг. 11 е илюстративно изображение на клас (2+, 2+) памет;
фиг. 12 показва пример на неуспешно търсене на особен ключ за въпрос в дървото на Patricia, съдържащо шест 25 ключа;
фиг. 13 показва дървото на Patricia, получаващо се от въвеждането на ключ за въпрос от неуспешното търсене съгласно фиг. 12.
1725/00-ФС
ПРИМЕРИ ЗА ИЗПЪЛНЕНИЕ НА ИЗОБРЕТЕНИЕТО
На фиг. 1 е показан пример на топология на модерна мрежа от гледна точка на компания или организация. Вътрешна мрежа 1, такава като Интранет, съдържа няколко възлови точки
2, такива като PCs, работни станции, файлови сървъри и т. н., , които са свързани към устройство за контролиран достъп 3.
Компании или организации, свързани към външна мрежа 4 (Интернет), възнамеряват да публикуват свързана с компанията информация, такава като продукти и услуги, в мрежата, да имат 10 достъп до информация, публикувана от други компании или организации по Интернет и да кореспондират чрез електронна поща. Но компанията може да има вътрешна информация, за която на ползувателите на Интернет не е разрешено да имат достъп, например, информация, достъпна през информационни 15 сървъри на Интранет, файлови сървъри и т.н. По такъв начин, за да се позволи на ползувателите на Интернет достъп до публична информация, те се допускат да бъдат свързвани до ограничена група сървъри, например Web, emai и т.н., и са лишени от достъп до информация до други мрежови компютри, такива като 20 Интранет-сървъри. Публичните сървъри са достъпни в „Demilitarised Zone“ (DMZ) 5, която е свързана към устройството за контролиран достъп 3. Освен това, устройството за контролиран достъп 3 е свързано към Интернет през рутер 6 и, следователно, могат да бъдат осъществени връзки към 25 възловите точки в DMZ 5 от външната мрежа или Интернет 4, както и от Интранет 1, но достъпът до Интранет 1 от Интернет 4 е ограничен.
В следващото описание са предвидени многобройните специфични детайли подробно, за да се даде по-пълно описание
1725/00-ФС на настоящето изобретение. За специалиста в областта ще бъде очевидно, че настоящето изобретение може да бъде осъществено без тези специфични детайли. Някои общо известни характеристики не са описани в подробности, така че да не направят настоящето изобретение неясно.
Едно примерно изпълнение на устройството за контролиран достъп и различните модули по бързия маршрут и как филтрираният пакет протича в съответствие с изобретението е показано на фиг. 2.
В един прост случай се приема пакет от мрежа 1, 4 или във входящата връзка 7 на устройството за контролиран достъп и се подава на входа на 2-дименсионалното адресно търсещо средство или 2d-SFT блок 8. Междинна връзка 9 свързва 2d-SFT и средството за подбор на правило (блок) 10, 15 при което пакетът или преминава (надолу) или се блокира в5.
Но, за да работи коректно, устройството за контролиран достъп съгласно изобретението има определен брой допълнителни модули.
В това примерно изпълнение търсенето на адрес на източник и адрес на местоназначение се изпълняват в 2d-SFT блок 8, вследствие на което се получава правило или кратък списък от правила. Списъкът от правила остава в средството за подбор на правило 10 докато се претърсва списъка и се открие подходящо правило.
В допълнение от търсенето на 2d-SFT се генерира или не информация дали пакетът може да има нужда да бъде обработван от други модули. Някои от тези решения се извличат по време подбора на правилото, което означава, че подборът на правило в действителност стартира преди
1725/00-фС постъпване в блок 10, както е илюстрирано на фиг. 2. Блок 2dSFT 8 се описва подробно по-надолу.
Когато пакет, който трябва да бъда изпратен през връзка, е много голям, той се фрагментира. Това означава, че 5 всичко, което следва IP header (информация за адреса на , местоназначението) се нарязва на парчета (фрагменти) и всеки фрагмент се подава с неговия собствен IP header, флагът на допълнителните фрагменти и фрагмент за изместване се поставя във всеки фрагмент за индикация дали това е 10 последния фрагмент или не и за запис къде данните на фрагмента се наместват в оригиналния (нефрагментиран) пакет.
Когато се фрагментира пакет, само първият фрамент, фрагментният header, съдържа транспортния header (TCP, UDP или ICMP header). Това означава, че следващите фрагменти не 15 могат да бъдат напасвани към правило, което се въвежда за примерните портове.
Съгласно изобретението фрагментираща машина 11 събира фрагменти от всеки фрагментиран пакет, докато пристига фрагментният header (фрагментът не пристига 20 непременно по ред). След това парчетата информация, които присъствуват само във фрагментирания header, се записват във входа, свързан с този фрагментиран пакет и събраните фрагменти се подават към изход о1, свързан, към връзка 7, с фрагментирания header първо. Всеки фрагмент, който е 25 предаден от фрагментиращата машина, се доставя с информация за фрагментирания header, така че той може да бъде обработван посредством филтъра, точно като че той е бил нефрагментиран пакет.флагът на допълнителните фрагменти и изместването на фрагмента се проверяват, за да се определи
1725/00-ФС дали пакетът е подаден към входа 11, свързан към входа 7 на фрагментиращата машина 11, или не.
Когато всички фрагменти на фрагментиран пакет са получени във фрагментиращата машина 11, се премахва входът за пакета.
В някои точки фрагментиращата машина може също така да реши да блокира фрагментите. Това се получава, когато пристигат прекъснати фрагментирани пакети (може би като резултат на атака), ако броят на събраните фрагменти надвиши 10 определена граница или просто като резултат на остатъчна колекция (стари входове са премахнати, за да направят място на нови такива)
Предаване на мрежов адрес (NAT) обикновено се използува, когато компания има мрежа с много вътрешни IP15 адреси и само малко външни (действителни) IP-адреси. Някои части на IP-адресно пространство са запазени за вътрешни адреси, такива като 10.*.*.*, 192.168.*.*, и 172.16.*.*. Тези адреси могат свободно да бъдат използувани във вътрешна/частна мрежа. Но те не трябва никога да бъдат 20 видими във външната. Следователно, устройството за контролиран достъп се настройва да предава адреси на вътрешен източник към адреси на външен източник, като пакетът тръгва от вътрешната към външната мрежа. За пакети, тръгващи от друга посока, се предава адресът на външното 25 местоназначение към вътрешен адрес, като пакетите минават през устройството за контролиран достъп. За да се разпределят повече вътрешни адреси към малко външни адреси, също така се използуват портове.
Например, устройството за контролиран достъп се
1725/00-фС настройва да разпредели вътрешни адреси от 10.1.0.0 до
10.1.255.255 (216 адреса) към външни адреси 194.22.187.0 до
194.22.187.255 (28 адреса) като се използуват портове 20000 до 20255 (28 порта).
Когато се инициализира връзка от 10.1.1.1 порт 4000 до , 130.240.64.46 порт 6000, адрес а и порт р, така че (а, р) не се сблъсква с никаква друга NAT-връзка, се взема от адресният и портовият обхват. След това всеки изходящ, вътрешен или © външен (12Х) пакет от тази връзка, адресът на източника 10.1.1.1 и порта 4000 се заместват от а и р съответно. За всеки постъпващ, външен към вътрешен (X2I) пакет, адресът на местоназначението и порт р се заместват от 10.1.1.1 и 4000, съответно.
По този начин 256-те външни адреса, заедно с 256 15 порта могат да представят 65536-те адреса на вътрешната мрежа.
Като резултат от търсенето на 2d-SFT се добива информация също така дали пакет е обект на външно към ® вътрешно предаване и пакетът се подава на входа 12 на блок
X2I-NAT 12, който изпълнява предаването на външен към вътрешен адрес. Следователно, адресната информация за изпълнение на Х21-МАТ-търсене се премахва към всички пакети, които не изискват предаване. За пакети, където се изпълнява X2l-NAT-rbpceHe, пакетите се изпращат към средството за бавен маршрут 13, през неговия изход за бавен маршрут s2 в случай на повреда, тъй като въвеждането на данни на NATструктурата данни е осъществено вътрешно. Когато е изпълнено успешно Х21-МАТ-търсене, адресите и портовете се сменят и се намира правило, подхождащо на нова двойка
1725/00-ФС източник-местоназначение, преди пакетът да е изпратен към следващия етап на филтриране през изход о2.
Също така като резултат от 20-8ЕТ-търсенето или от X2I-NAT търсенето е ясно дали пакетът е обект на вътрешно към 5 външно адресно предаване (I2X). Това се изпълнява основно по същия начин като X2I-NAT, но се изпълнява като последната фаза на филтриране. Пакет, подложен на вътрешно - външно адресно предаване (I2X), получен от изходящата връзка 15 на блока за подбор на адресно правило 10, се подава на входа 15 10 на I2X-NAT блок 14, като се изпълнява вътрешното - външно адресно предаване. За пакетите, където се изпълнява 12X-NAT търсене, пакетите се изпращат към средството за бавен маршрут 13, през неговия бавен контурен изход s5 в случай на повреда, тъй като постъпването на данни на NAT-структурата се 15 изпълнява в него. Когато се осъществи успешно I2X-NATтърсене, адресите и портовете се сменят и пакетът се предава към подходящата мрежа през неговия изход о2 и изходящата връзка 15.
Причината за наличието на X2I-NAT като първа стъпка 20 след 2d-SFT-TbpceHeTO и I2X-NAT като последната стъпка е тази, че правилата за филтриране са дадени по отношение на вътрешните адреси, които са фиксирани и не на NAT-адресите, които присвояват динамично.
Обикновено по-голямата част от трафика, която минава 25 от външна мрежа 4 към вътрешна мрежа 1, е блокирана за защита на вътрешната мрежа. Но мрежовите компютри във вътрешната мрежа обикновено могат да имат достъп до мрежови компютри във външната мрежа 4. За да се приеме някакъв обратен трафик от външната, трябва да бъде направено
1725/00-ФС временно Изключване от блокиращото правило от външно към вътрешно за връзките, инициализирани от вътрешната мрежа. Това се обяснява като „перфориране на отвор“ (HP), т.е. перфорира се отвор през устройството за контролиран достъп 5 за обратните пакети. Отворът съществува само по време на . продължаване на връзката и въздействува само на пакетите от връзката.
Пробиването на отвор също така запазва пътеката за номера на TCP-последователността, за да защити пробития 10 отвор за връзките от нерегламентирано използуване.
Следователно, необходимо е да се изпълни и HP-търсене на изпращаните (I2X) пакети, изпълнено от 12Х-НР-блок 16 и на входящите (X2I) пакети, изпълнено от Х21-НР-блок 17.
Като резултат от 2d-SFT-rbpceHeTO или от X2I-NAT15 търсенето ние знаем дали пакетът е подложен на вътрешно към външно (I2X) или външно към вътрешно (X2I) пробиване на отвор. Това означава, че ние можем да изключим информацията за адреси от пакета от изпълнение на HP-търсения на пакетите, които не могат да бъдат подложени на пробиване на отвор.
Изходящият пакет, подложен на пробиване на отвор, се подава към вход 13 на I2X-HP блок 16, при което адресите на източник и местоназначение и портовете, и протокола се проверяват, за да се намери съществуващо състояние. Ако не съществува такова състояние, пакетът се изпраща към средството за бавен 25 маршрут 13 през неговия изход за бавен контур S3, където НРструктурата данни се възобновява и се създава статус. Ако намери подходящ статус, номерата на ТСР-последователността и т.н. се възобновяват преди пакетът да е изпратен към следващата стъпка на филтриране през другия изход оЗ.
1725/00-ФС
X2I-HP се изпълнява по същия начин. Входящият пакет, подложен на пробиване на отвор, се подава към вход 14 на X2IНР блок 17, при което адресите на източника и местоназначението и портовете, и протокола се проверяват за 5 да се открие съществуващ статус. Ако не съществува такъв статус, се осъществява опит за изпращане на пакета през несъщестуващ отвор в блокиращото правило и пакетът се блокира в негови изход Ь4. Ако е открит подходящ статус, той се възобновява преди пакетът да е изпратен към следващата 10 стъпка на филтриране през друг изход о4.
Отново, обръщайки се към 2d-SFT блок 8, в зависимост от съдържанията в полетата данни на пакета данни, който ще бъде предаден между мрежите, приложимото правило към пакета данни се избира от пълното множество от правила, при 15 което пакетът се блокира или пропуска през устройството за контролиран достъп. За да се намали множеството от правила, които да бъдат изследвани линейно, множеството от правила се разделя. В съответствие с изобретението това се изпълнява посредством 2-дименсионална проверка на адресите на 20 източника и местоназначението на пакета в комплекта от адресни префикси, в който всеки префикс има подмножество от правила на пълното множество от правила, за да се намери префикс, свързан с адресите на източника и местоназначението. След това, въз основа на съдържанията на 25 полетата данни, се изпълнява подходящо правило от средството за подбор на правила 10, за да се намери правилото, което е приложимо към пакета данни.
Когато се изпълнява 2-дименсионалното търсене на адреси, всяко правило е разглеждано като покриващо
1725/00-ФС правоъгълна област на 2-дименсионален план, в който изместването и размера на правоъгълника се определя посредством адресните префикси и дължината на префиксите.
Следователно, търсенето се смята да бъде същия проблем като намирането на правоъгълника, обхващащ точка в плана. За , опростяване на търсенето е направено ограничение, за гарантиране, че всяка точка в плана се покрива от един и само един правоъгълник, което води до по-лесна процедура на търсене.
След като 2-дименсионалното адресно търсене е изпълнено, търсенето продължава с получаващото се подмножество от правила, свързано с текущия открит префикс. Адресните полета обаче, не са използувани в крайния подбор на правило. Така, ако правило не валидно за адресите на текущия 15 пакет, то не е в списъка на правила, получаващи се от адресното търсене.
Тъй като всяко правило се представя посредством правоъгълно покритие на част от общото адресно пространство и могат да бъдат приложими няколко правила за същите адреси, правоъгълниците могат да се застъпват. Но, за да се изпълни метода съгласно изобретението, така че да работи по точен начин, не се допустими припокриващите правоъгълници. Следователно, за да изпълни критерия за неприпокриване, трябва да бъдат изпълнени следните етапи:
1. За всяко правило се създава правоъгълника в адресното пространство.
2. Създава се множество, съдържащо само току-що създаден правоъгълник. Това множество ще бъде наречено сравнително множество.
1725/00-фС
3. За всеки от правоъгълниците, вече в равнината, се осъществява сравнение с всеки правоъгълник в сравнителното множество.
4. Ако те се припокриват, се изрязват неприпокриващите се части. Списъкът от правила за припокриващите се части посочва правилото от новия правоъгълник, добавен в неговия край.
5. За всички части - ако частта е била част на правоъгълник, който вече е в равнината, я връщаме в равнината.
Ако не е, добавяме я към множеството правоъгълници, които да бъдат сравнявани.
6. Ако множеството за сравнение не е празно, се връщаме към етап 3. Правоъгълници, които вече са в равнината и които вече са били сравнявани, могат да бъдат изпуснати.
7. При това състояние множеството за сравнение е празно. Ако някои правоъглници са припокрили новия такъв, те се разделят на по-малки части, ако е необходимо, с прости части, които имат списъци от правила, съдържащи новото правило.
В друг метод, за да се изпълни критерия без припокриване, не съществува точно множество от правоъгълници в равнината. Вместо това, всеки правоъгълник съдържа, освен своите координати и индекс на списък с правила, множество от правоъгълници или производни 25 правоъгълници. Всеки от производните правоъгълници има допълнителен комплект от производни правоъгълници. Но понякога е необходимо да се насочим към същия производен правоъгълник и да пресече насочената Ациклична диаграма (DAG) за височина на правоъгълници.
1725/00-ФС
Винаги съществува един основен (коренен) правоъгълник, покриващ цялата равнина. Това представлява отказ за търсене, ако всяко друго сравнение е пропаднало. Действието на правилото или е блокирано, или позволява да се 5 премине, в зависимост от конфигурацията.
: Правоъгълник, наречен основен, е основният правоъгълник, към който ще се добави нов правоъгълник.
Ако основният правоъгълник и новите правоъгълници са от същия размер, правилата в новия правоъгълник се добавят 10 към списъка правила с основния правоъгълник.
Повтаря се многократно за всички производни правоъгълници на основния правоъгълник. Ако новият правоъгълник може да бъде изцяло покрит от всеки от тези, се прави многократно позоваване на производния правоъгълник, 15 вместо основния и след това връщане.
Още веднъж се прави многократно повторение за всички производни правоъгълници в основния правоъгълник.
Ако производен правоъгълник може да бъде изцяло включен в новия правоъгълник, той се измества от основния 20 правоъгълник в новия правоъгълник. Списъкът с правила за производните правоъгълници и всички правоъгълници според него трябва да бъде видоизменен да включва също така правилото за новия правоъгълник.
Ако производния правоъгълник се пресича с новия правоъгълник, се създава нов правоъгълник, съдържащ общите части на двата. Списъкът с правила на пресечния правоъгълник е комбинация на оригиналните такива. След това се добавя новият правоъгълник към оригиналния производен правоъгълник и новия правоъгълник.
1725/00-ФС
Щом като се добавят всички правоъгълници към DAG, графиката може да бъде пресечена и списъкът от префикси определени правоъгълници, който е необходим при двудименсионалното търсене на формиращ код, може да бъде генериран. Пресечният правоъгълник ще бъде точният префикс, дефиниращ правоъгълник, но остатъкът на обхващащия правоъгълник, след като производните правоъгълници са били изрязани, не може за бъде точно дефиниран от префикси.
Когато се използува структурата данни за филтриращо търсене, както е описано по-горе, търсенето се прави на два етапа. Първо, изпълнява се двудименсионално адресно търсене, от което се получава цяло число. Това цяло число е индекс в редица от правила, при което всяко правило определя точно кои полета да се сравняват и какво действие да се изпълни, ако открито е подходящо. Всяко правило има следващо поле, индициращо кое правило да се продължи, в случай на липса на подходящо. Прекосяването на списъка с правила продължава докато се открие подходящо и когато са взети правилни действия, за да се блокира или пропусне пакета.
Двудименсионалният проблем с префикса се решава както следва.
Адресното пространство или вселена и е 2дименсионално пространство състоящо се от цели части (s, d), удовлетворяващи:
0<s<232,0<d <232.
Подмножеството R на U удовлетворява: (s, d) е R, ако so < s < Sj, do < d < dh при което (so, do), (^, ф) e u е наречено правоъгълник. Освен това двойката точки [(so, do) , (s^ d^J единствено определя R.
1725/00-ФС
Правоъгълник, определен от [ (so, do), (s^ d^J, където s1so =s1-as* Ις = 2IS и dr do = d.! -2,d* kj = 2ld за някои неотрицателни цели числа is, id, ks, и е наречен префикс.
Дадена точка (s, d) е U и група от префикси Р = {Pl5 Р2,
...Рп}, такъв като Р, е подразделение на U, като 2t дименсионалният проблем за подбор на префикс е проблем за изчисляване на I, такова, че (s, d) е Р,.
Частта източник - местоназначение на проблема за филтриране на устройството за контролиран достъп се 10 представя като 2-дименсионален подбор на префикс, където комплектът Р се получава чрез конвертиране на маршрутната таблица и филтриращите правила в подразделение на префикси. Тъй като всеки пакет, който ще бъде филтриран, изисква подбор на префикс, става необходимо да се намери 15 представяне на Р, такова че подборът на префикса може да бъде изчислен ефективно.
Броят на префиксите, който ограждат малка 32 х 32 бита вселена е показан на фиг. 3. Черните квадрати 18 представят множество битове (изображения), а белите квадрати 20 19 не представят множество битове. Забележете: точка (0, 0) се разполага в горния ляв ъгъл на фиг. 3.
За всеки префикс Р = [(so, do), (s^ d^] е P , а точката Po= (so. do)ce избира като образ на Р. Освен това нека р = {ръ р2......Рп} = { (si, dj), (s2, d^, ...» (sn, dn)} означава групата от образи на префиксите в Р.
Дадена точка (sd, dd) е U за всяко (s, d) е U , такова като sd > s и dd > d, (sd, dd), е доминираща точка на (s, d), или алтернативно (s, d) е доминирана от (sd, dd).
Дадена двойка точки (s^ d^, (s2, d^ е U, а разстоянието
1725/00-ФС между точките при нормата U се дава чрез:
= max
Сега в дадена точка р = (s, d) проблемът за откриване на подходящия префикс в Р е еквивалентен на проблема за откриване на най-близката доминираща точка р в р под нормата U, т.е. доминиращата точка на pi е р за р, минимизираща Loo10 разстоянието между pj и р. Следователно, достатъчно е да се представят само доминиращите точки вместо префиксите сами за себе си.
Както е показано на фиг. 4, групата р като понятие е представена като 232 х 232 -точки битова матрица, където бит р е 15 определен, ако р е р. За намаляване на пространството, необходимо за представяне, ние в действителност представяме ο . о р като четвърто ниво на 2 -значно дърво. Всяко ниво (отново) като понятие е представено с 28 х 28-битова матрица, където бит (s, d) е определен, ако съществува доминираща точка в 20 производното дърво по-долу. Това означава, че при ниво 1 (горното ниво), бит (s, d) представя наличието или отсъствието на доминираща точка в правоъгълника [ (224*s, 224*d), (224*(s+1), 224*(d+1))] на U.
Действителното представяне на ниво е 225 дименсионален плътен модел или просто 2d-MOfleA. Как и кога ниво може да бъде представено от 1-дименсионален плътен модел се разисква по-късно. 2d-MOfleA се състои от 32 х 32 запаметяващи елементи, където всеки елемент представлява 8 х 8 бита. Тъй като точките, определящи запаметяващ елемент,
1725/00-ФС са доминиращи точки на префикси, са възможни всичките 264 вида от запаметяващи елементи. В действителност ние използуваме ограничение върху запаметяващите елементи, така че са възможни само 677 различни типа.
Ако съществува точка в запаметяващ елемент Т (точка
. на някакво вторично -субпространство, представено от един от битовете в паметта), притежаваща нейна най-близка доминираща точка в друг запаметяващ елемент Td, тогава всички точки в Т имат техни най-близки доминиращи точки в Td. 10 Дефиницията на доминираща точка се разпростира до доминиращ запаметяващ елемент. Запаметяващият елемент Td е наречен доминиращ запаметяващ елемент на Т или, алтернативно, запаметяващият елемент Т е доминиран от запаметяващия елемент Td.
За да се изпълни изискването на предходната дефиниция, е необходима следната лема.
Ако Р = [ (so, do), (s-f, dj] е префикс, удовлетворяващ sr s0 >1, то [(s0, dj, (so +a, d,)] и [(s0 +a, do), (s,, di)], при което SrSt^1 за някое неотрицателно цяло число, са също така 20 префикси. Лемата за друго измерение е симетрична.
Посредством лемата по-горе, може да бъде разделен на 2 части префикс, когато е необходимо. Следователно, дадена група от префикси Pd, с изображение в запаметяващ елемент Td, може повторно да се раздели, докато всеки от префиксите 25 има своя крайна точка в същия запаметяващ елемент, в двете измерения, за изпълнение на горното изискване. Това е наречено критична част на съставянето на правила с плътност 2d.
Различните видове запаметяващи елементи са
Haas?·
1725/00-фС разделени на седем класа, показани на фиг. 5-11. За всеки клас е показан запаметяващ елемент като битова матрица в него (звездичките представят битове, които могат да бъдат 0 или 1). За всяка група битове (не *) и клас на запаметяващ елемент 5 съществуват също така линии, индициращи гарантирани граници на подмножество, доминирано от този бит (точка). Ще отбележим, че бит на множество в запаметяващ елемент може обикновено да доминира точки в други запаметяващи елементи вдясно и долу. Ние също така даваме броя на различните 10 видове запаметяващи елементи в класа и разграничение между естествени и ограничени класове запаметяващ елемент. Накрая, ние описваме как запаметяващите елементи са представени/кодирани в правилото с плътност 2d.
Запаметяващ елемент от клас (0,0) е показан на фиг. 5.
Не е установен бит: естествен, 1 тип и винаги доминиран от запаметяващ елемент Td от клас (1,1), (1, 2), (2, 1), (1, 3+) или (3+, 1). Намирането на доминираща точка за точка в бит (sb, db) в запаметяващ елемент от клас (0, 0) е точно същото като намирането на доминиращата точка на съответната точка в бит 20 (sb, db) на нейния запаметяващ елемент Td. Следователно, клас (0, 0) запаметяващ елемент може, и трябва, винаги да бъде закодиран точно като неговия доминиращ запаметяващ елемент Td.
Клас (1, 1) запаметяващ елемент е показан на фиг. 6. 25 Един бит е установен: естествен, 1 тип и вероятно доминира клас (0, 0) запаметяващи елементи вдясно и надолу. Тъй като всички точки в този запаметяващ елемент имат същата найблизка доминираща точка, ние закодираме връзка към тази точка вътре в самия запаметяващ елемент.
1725/00-ФС
Клас (1, 2) запаметяващ елемент е показан на фиг. 7.
Установени са два бита в първия ред (1, 2) (D-измерение):
естествен, 1 тип и вероятно доминира клас (0, 0) запаметяващ елемент надолу. Не може да доминира клас (0, 0) запаметяващи елементи надясно.
, Съществуват две най-близки доминиращи точки за точките от този запаметяващ елемент, една за точките в лявата половина и една за точките в дясната половина. Ние закодираме връзките към тези две доминиращи точки като масив с дължина 10 2 и след това лявата/дясната половина на въпросната точка може да се използуват като индекси.
Клас (2, 1) запаметяващ елемент е показан на фиг. 8. Установени са два бита в първата колона (s-измерение): естествен, 1 тип и вероятно доминира клас (0, 0) запаметяващи 15 елементи надясно. Не може да доминира клас (0, 0) запаметяващи елементи отдолу. Съществуват две най-близки доминиращи точки за точките в този запаметяващ елемент, една за точките в горната половина и една за точките в долната половина. Връзките към тези две доминиращи точки са 20 закодирани като масив с дължина 2 и тогава горната/долната половина на въпросната точка може да се използува като индекси.
Клас (1, +3) запаметяващ елемент е показан на фиг 9.
Установени са три или повече бита в първата редица: естествен,
24 типа и вероятно доминира клас (0,0) запаметяващи елементи надолу. Не може да доминира клас (0, 0) запаметяващи елементи надясно. Възможно е да има доминиращи точки за точките в този клас на запаметяващите елементи. Необходимо е да се закодира типа на запаметяващия елементи, тъй като
1725/00-ФС съществуват 24 различни типа запаметяващи елементи. Освен това за всеки бит, установен в първата редица, се закодира указател към доминираща точка надолу (ако съществува само една) или към следващото ниво на елемента (ако там доминират 5 няколко точки). Накрая се закодира връзка към първия указател (основен указател). По този начин доминиращата точка (или връзка към следващо ниво на елемента) за въпросна точка (s, d) може да бъде открита посредством просто разглеждане в коя колона е d и заедно с вида на правилото се изпълнява търсене в 10 таблица за намиране на разклонение на указател х и накрая се намира указател х, който е на разстояние от основния указател. Забележете, че всяко следващо ниво на елемент е необходимо да бъде едно (D-) измерение, тъй като всички изображения в запаметяващия елемент се разполагат в същата S-координата.
Клас (3+, 1) запаметяващ елемент е показан на фиг. 10.
Установени са три или повече бита в първата колона: естествен, 24 типа и вероятно доминира клас (0,0) запаметяващи елементи надясно. Не може да доминира клас (0, 0) запаметяващи елементи надолу. Могат да бъдат повече доминиращи точки за 20 точките в този клас запаметяващи елементи. Необходимо е да се закодира типа на запаметяващия елемент, тъй като съществуват 24 различни типа. Освен това за всеки бит, установен в първата редица, се закодира указател към доминираща точка надолу (ако съществува само една) или към 25 следващото ниво на елемента (ако там доминират няколко точки). Накрая се закодира връзка към първия указател (основен указател). По този начин доминиращата точка (или връзка към следващо ниво на елемента) за въпросна точка (s, d) може да бъде открита посредством просто разглеждане в коя
1725/00-ФС колона е d и заедно с вида на правилото се изпълнява търсене в таблица за намиране на разклонение на указател х и накрая се намира указател х, който е на разстояние от основния указател. Забележете, че всяко следващо ниво на елемент е необходимо да бъде едно (S-) измерение, тъй като всички изображения в запаметяващия елемент се разполагат същата D-координата.
Клас (2+, 2+) запаметяващ елемент е показан на фиг.
11. Установени са два или повече бита в първата редица и първата колона: ограничен, 625 типа, не може да доминира друг 10 запаметяващ елемент и не могат да бъдат доминирани от друг запаметяващ елемент. Обикновено съществуват повече доминиращи точки в този клас запаметяващи елементи.
Закодирането се изпълнява точно като за клас (1, 3+) и (3+, 1) запаметяващи елементи. Но се въвежда ограничение за 15 намаляване броя на различните типове преди изпълнение на действителното кодиране. Първата задача е да се въведе ограничение, подобно на Дефиниция 8 върху всеки бит. Тогава се изчислява двойка от битови вектори с дължина 8, Sv и Dv, при което:
Sj = 1, ако съществува бит, установен в i-тата редица и
0, в противен случай;
Dj = 1, ако съществува бит, установен в i-тата колона и
0, в противен случай;
Накрая се създава нов запаметяващ елемент 25 посредством изчисление на продукта от Sv и Df v като се използува матрично умножение и закодиране.
Както в клас (1, 3+) и (3+, 1) запаметяващи елементи, също така могат да бъдат осигурени вторични нива за този случай. Проверява се дали всеки образ в бит, съдържащ повече
1725/00-ФС от един образ, е в същата редица в U, което означава, че Sизмерението пропада, или в същата колона в U, което означава, че D-измерението пропада.
Допълнително описание на структурата данни, използувани в устройството за контролиран достъп, за представяне на NAT и HP записи.
В два случая двойката IP-адреси saddr и daddr, двойката портове sport и dport и протокола proto на обработвания пакет са използувани като ключ в търсенето. 10 Първият етап в търсенето е да се изчисли Hash-стойност (контролна стойност). Това се осъществява като се използуват много бързи и прости инструкции, такива като bit shifts (изместване) bit-wise (поразрядно умножение) логически оператори. Като се използува hash-стойността като индекс, 15 след това се възстановява 16 битов указател от голям масив (Hash-таблицата).
Указателят е или 0, което означава, че търсенето е пропаднало (празно), или препраща към маршрут на дърво Patricia, което е много ефективна структура данни за 20 представяне на малки групи ключове. Ако указателят отпраща към дърво Patricia, се образува ключ посредством операция concatenating (обединение) на битови образци на saddr, daddr, sport, dport и proto. В такъв случай се използува ключът, когато се изследва дървото Patricia, както е описано в следващия 25 раздел.
Дърво Patricia е бинарно (двоично) дърво, което се отнася до въпросни ключове като битови масиви и използува битов индекс във всеки вътрешен възел за ориентиране на разклонението. Търсенето се изпълнява посредством
1725/00-ФС прекосяване на дървото от корена до листото. При посещение на вътрешен възел с битов индекс i, бит i на въпросния ключ се проверява за определяне дали да продължи търсенето в лявото (ако битът е 0) или в дясното (ако битът е 1) производно дърво.
Прекосяването спира, когато се стигне до лист. За определяне , дали въпросният ключ е представен в таблицата или не въпросният ключ след това се сравнява с ключа, записан в този лист. Ако двата ключа са равни, търсенето е успешно.
фиг. 12 илюстрира пример на неуспешно търсене за 10 въпросен ключ 001111 в дърво Patricia, съдържащо шест ключа. Битове номера: 0, 2 и 3 са контролирани по време на прекосяването, което приключва в листото с ключ 011101. Когато въпросният ключ и листовите ключове са сравнени, се детектира липса на съвпадение в бит номер 1.
По отношение на битовите индекси, записани във вътрешни възли, дървото на Patricia е случайно подредено. Това означава, че всеки вътрешен възел, с изключение на корена, има битов индекс, по-голям от битовия индекс на неговия родител. Следва, че всички ключове, записани в производно 20 дърво, насочено към възел с битов индекс i, са идентични до и включват бит i-1.
Изпълнява се вмъкване посредством първо изпълнение на неуспешно търсене и записване на индекса i на първия несъвпадащ бит при сравнението на въпроса и листовия ключ. 25 След това се създават два нови възела, нов вътрешен възел, с индекс i и листов възел за въпросния ключ. В зависимост от това дали i-ият бит на въпросния ключ е 0 или 1 листът се записва като лявото или дясното производно дърво, съответно, на вътрешния възел. Посредством използуване на другото поле
1725/00-ФС на производното дърво като свързващо поле вътрешният възел след това се въвежда директно над възела с най-малкия битов индекс, по-голям от i в маршрута, прекосен от корена към листото.
фиг. 13 показва дървото на Patricia, получаващо се от въвеждането на въпросния ключ от неуспешното търсене за предходния пример на фиг. 12. Създава се нов вътрешен възел с битов индекс 1 и се въвежда между възлите с битови индекси 0 и 2 в траекторията, пресечена от корена.
Хеширането (организация на структурата данни) по
Patricia, използувано за перфориране на отвор, работи точно, както е описано по-горе - проста Hash-таблица за търсене, последвано от дърво Patricia за търсене. По-често се достига листо директно, което означава, че не е необходимо да се 15 образува битов масив от параметрите - те са сравнени директно за съответните полета в структурата, съдържаща/изобразяваща листото на Patricia.
Предвидена е една функция за търсене hpjookup(iaddr, xaddr, iport, xport, proto), която е използувана за I2X и X2I-HP.
Единствената разликата между тях е порядъкът, в който са дадени параметрите. За I2X-HP функцията повикване е hpjookup (saddr, daddr, sport, dport, dport, proto) и за X2I-HP повикването e hpjookup(daddr, saddr, dport, sport, proto).
Търсещата функция отговаря на връзката към структура, съдържаща листовия ключ Patricia, т.е. iaddr, xaddr, iport, и proto и двойка от други полета, представящи състоянието на връзката, например числа на ТСРпоследователност.
Хеширането по Patricia (организация на структура
1725/00-ФС данни) за NAT е малко по-усложнено, отколкото за HP. Причината за това са въведените три различни адреса и портове iaddr, naddr, xaddr, iport, nport, xport, докато е обратно за HP, където са въведени само два адреса и портове. Това 5 означава, че разликата между I2X и X2I става малко по, несигурна, в сравнение само с размяна на адресите и портове при търсенето.
Проблемът се решава посредством допускане да се отрази най-малкия значим бит на hash-стойността, ако 10 търсенето е I2X или X2I (това е по същество същото, както използуване на две hash-таблици). Структурата, съдържаща ключове Patricia leaf за NAT-връзка, е същата за I2X и X2I и тя съдържа всичките три адреса и портове.
Съществуват две функции на търсене, nat_i2x_iookup (saddr, daddr, sport, dport, proto) и nat_x2i_!ookup (saddr, daddr, sport,dport, proto). И двете функции използуват аргументите за изчисляване на hash-стойност, когато е установен най-малкия бит в съответствие с това. Ако получаващият се указател се отнася до възел Patricia (вътрешен възел), адресите, портовете 20 и протоколът са конкатинирани (обединени) за създаване битов масив, необходим за прекосяване дървото на Patricia. Когато се достигне листна структура, адресите, портовете и протоколът се сравняват за съответствуващи полета в листото.
Когато пакет е подложен на I2X-NAT:
saddr (на пакета) се сравнява с iaddr (на листната структура) daddr се сравнява с xaddr sportce сравнява с iport
1725/00-ФС dportce сравнява с xport proto се сравнява с proto
Ако всички от тях си подхождат, търсенето е успешно и адресът на източника и порта, saddr и sport на пакета се заместват от naddr и nprot (на листната структура), съответно, преди пакетът да се пропусне.
Когато пакет е подложен на X2I-NAT:
saddr (на пакета) се сравнява с xaddr (на листната структура) daddrce сравнява с naddr sport се сравнява с xport dportce сравнява с nport proto се сравнява с proto
Ако всички от тях си подхождат, търсенето е успешно и адресът на местоназначението и порта, daddr и dport на пакета се заместват от iaddr и iport (на листовата структура), 20 съответно, преди пакетът да е изпратен към следващата стъпка на обработка.
Модификации HP и NAT на структурата данни се изпълняват посредством пропускане на EffNIX-ядрото (предварително NetBSD) по BSP (процесор 1), но повечето от 25 търсенията се изпълняват посредством предварително ядро, преминаващо по АР (процесор 2). Съществува само един пример на HP-структура данни и един пример на NAT-структура данни. Те се намират в заделена памет и са достъпни чрез двата процесора едновременно. Това води до много интересен ‘«wMB
1725/00-ФС проблем по синхронизацията - един записващ и един четящ елемент. Тази синхронизация се постига посредством допускане модифицирани програми, които не потвърждават листовите и коренните структури преди изменение на какво и да е (записване). Програмите за търсене проверяват, че , достъпните листа и корени са валидни, преди и след като те са били достъпни и също така, че те не са били изменени по време на достъпа. Ако се получи изпреварване и се детектира (всички опасни условия са детектирани), търсенето пропада и пакетът 10 се изпраща към BSP и там се вземат мерки (или се изпълнява неуспешно търсене, последвано от обработка, или структурата данни се модифицира).
Трябва да бъде очевидно, че настоящето изобретение осигурява устройство за контролиран достъп и метод за 15 управление на трафика на мрежови данни между вътрешна и външна мрежи, което напълно удовлетворява целите и предимствата, изложени по-горе.
Въпреки че изобретението беше описано във връзка със специфично негово изпълнение, това изобретение се 20 поддава на изпълнения в различни форми, с разбирането, че настоящето описание ще бъде считано като онагледяване на принципите на изобретението и не е предназначено за ограничаване на изобретението до онагледеното специфично изпълнение.

Claims (10)

  1. ПАТЕНТНИ ПРЕТЕНЦИИ
    1. Устройство за контролиран достъп (3) за управление
    5 на трафика на пакет данни между вътрешни и външни мрежи (1,
    5,4), съдържащо филтриращи средства за селектиране от общо множество от правила, в зависимост от съдържанията на полетата данни на пакета данни, който е предаван между мрежите, правило, което е приложимо към пакета данни, за да 10 блокира пакета или да пропусне пакета през устройството за контролиран достъп, характеризиращо се чрез средство за търсене в 2-дименсионална таблица на адресите на източник и местоназначение на пакета в множество от адресни префикси, като всеки адресен префикс притежава подмножество от 15 правила на пълното множество от правила, за да се открие адресен префикс, чрез неговото представяне, свързано с адресите на източника и местоназначението, и чрез средство за подбиране на правило (10), за съчетаване на правило, въз основа на съдържанията на полетата данни, за да се намери 20 правилото, което е приложимо към пакета данни.
  2. 2. Устройство за контролиран достъп съгласно претенция 1, характеризиращо се с това, че средството за търсене в 2-дименсионална таблица (8) съдържа средства за
    25 откриване на префикса, свързан с адресите на източника и местоназначението, посредством определяне на най-близката доминираща точка р в р под нормата U т.е. доминиращата точка на Р( е р за р, минимизираща Ц,-разстоянието между р, и Р38
    1725/00-ФС
  3. 3. Устройство за контролиран достъп съгласно претенция 2, характеризиращо се с това, че адресите на източника и местоназначението са представени посредством 5 точка (s, d) е U, при което U е 2-дименсионално адресно ; пространство, представено посредством двойка цели числа (s, d), удовлетворяваща:
    0 < s < 232,0 < d < 232, като префиксите Р = {Ρυ Рг>-Рп} са деление на
    10 адресното пространство U, и всеки префикс Pi е логически правоъгълник R в адресното пространство U, дефиниран от [(so, do), fo, dO], където s^Sq = * ks = 2IS и d^do = d^^ * kd = 2,d за някои неотрицателни цели числа is, id, kg, и kd,
    15 като логическият правоъгълник R е подмножество на U, удовлетворяващо: (s, d) е R, ако so < s < Sf, do < d < db при което (so, do), fo, dO g U, и двойката точки [(so, do), fo, d^J единствено дефинират правоъгълника R.
    20
  4. 4. Устройство за контролиран достъп съгласно претенция 2 или 3, характеризиращо се с това, че за всеки префикс Р = [(so, do), (s^ d^ g P, точката po = (so, do) е изображение на P и p = {p-,, p2, ...,pn} = {s^ d^, (s2, d2), .... (sn, dn)} е множеството на изображенията на префиксите в Р, 25 при което дадена точка (sd, dd) е U за всяко (s, d) g U, при което sd < s и dd dh (s, d) е доминирано от (sd, dd).
  5. 5. Устройство за контролиран достъп съгласно претенция 3, характеризиращо се с това, че дадена двойка
    1725/00-ФС точки (s1, d1), (s2, d2) e U, а разстоянието между точките под нормата U е дадено посредством:
    'бЬтИ--= I)
  6. 6. Устройство за контролиран достъп съгласно която и 10 да е от предходните претенции, характеризиращо се с това, че включва фрагментираща машина (11), съдържаща събирателни средства за фрагменти, за събиране на пакетни фрагменти от фрагментиран пакет докато се получава фрагмент, съдържащ адресна информация на пакета, освен това включва записващо 15 средство за фрагмент, съдържащ адресна информация, за записване във входно средство на информация, присъстваща в поле на пакета за адресна информация, както и средство за пропускане на фрагмента, съдържащ адресна информация, стартиращо с фрагмента на адресната информация, при което 20 всеки фрагмент е обработван от филтриращи средства като обикновен нефрагментиран пакет.
  7. 7. Устройство за контролиран достъп съгласно която и да е предходна претенция , характеризиращо се посредством
    25 мрежови адресни предавателни средства (12,14) за предаване, в зависимост от информацията в префикса, на адреси на вътрешен източник към адреси на външен източник на пакет, предаден навън през устройството за контролиран достъп (3) или адреси на външен източник към адреси на вътрешен
    1725/00-фС източник на пакет, предаден навътре през устройството за контролиран достъп (3).
  8. 8. Устройство за контролиран достъп съгласно която и
    5 да е претенция 1 - 6, характеризиращо се посредством средства . за предаване на мрежов адрес (12, 14), за предаване, в зависимост от информацията в префикса на адресите на вътрешен източник към адресите на външен източник, на пакет, предаден от вътрешната мрежа (1) към външната мрежа (4), или 10 адресите на външен източник към адресите на вътрешен източник, на пакет, предаден от външната мрежа (4) към вътрешната мрежа (1).
  9. 9. Устройство за контролиран достъп съгласно някоя от
    15 предходните претенции, характеризиращо посредством перфориращи средства (16, 17) за определяне, въз основа на информацията в префикса, дали пакетът е подложен на временно изключване от блокиращото правило от външно към вътрешно, за връзка, инициализирана от вътрешната мрежа, 20 при което за пакети, предадени от външната мрежа (4) към вътрешната мрежа (1), се установява обратен канал през устройството за контролиран достъп по време на продължителността на връзката.
    25 10. Устройство за контролиран достъп за управление на пакет мрежови данни между вътрешни и външни мрежи (1, 5, 4), съдържащо филтриращи средства за селектиране от цялото множество от правила, в зависимост от съдържанията на полетата данни на пакет, който се предава между мрежите, на
    1725/00-ФС правило, което е приложимо към пакета данни, за да блокира пакета или да пропусне пакета през устройството за контролиран достъп (3), характеризиращо с това, че съдържа фрагментираща машина (11), включваща събиращи фрагмент 5 средства за събиране на пакетни фрагменти от фрагментиран пакет докато се получава фрагмент на информация за адреси на пакета, включващо освен това записващи средства за фрагмента на адресната информация, за записване във входно средство на информация, която присъства в поле на пакета за 10 фрагмента на адресната информация, както и включващо средства за пропускане на фрагмент, за пропускане на пакетни фрагменти, снабдени с фрагмента за адресна информация, стартиращо с фрагмента на адресната информация, при което всеки фрагмент се обработва от филтриращите средства като 15 обикновен нефрагментиран пакет.
    11. Метод за управление на трафика на пакет мрежови данни между вътрешни (1, 5) и външни мрежи (4) през устройство за контролиран достъп (3), включващ етапите на:
    20 селектиране от пълното множество от правила, в зависимост от съдържанията в полетата данни на пакета данни, който се предава между мрежите, на правило, което е приложимо към пакета данни, прилагане на правилото върху пакета, и
    25 в зависимост от правилото, блокиране на пакета или пропускане на пакета през устройството за конролиран достъп (3), характеризиращо се с това, че филтрирането съдържа допълнително етапите на:
    изпълнение на търсене в 2-дименсионална таблица на
    A. .|htoj
    ........»|ГГ«иЛД
    42 1725/00-ФС адреси на източник и местоназначение на пакета, за да се намери префикс, чрез неговото изображение, свързано със адресите на източника и местоназначението в множество от адресни префикси, като всеки префикс притежава 5 подмножество от правила на общото множество от правила, . и въз основа на съдържанията на полетата данни на пакета изпълнение на правило, подхождащо на подмножеството от правила, за намиране на правилото, което е приложимо към пакета данни.
    12. Метод съгласно претенция 11, характеризиращ се с това, че преди етапа на селектиране на правило, приложимо към пакета данни, съдържа допълнително етапите на:
    събиране на фрагменти на пакет от фрагментиран 15 пакет докато се получава фрагмент, съдържащ адресна информация, записване във входящо средство на информация, присъствуваща в полето за адресна информация на пакета, и пропускане на пакетни фрагменти с информация за 20 адресите на пакета, стартиращо с фрагмента за адресна информация, при което всеки фрагмент се обработва от филтриращите средства като обикновена, нефрагментирана информация.
    25 13. Метод съгласно претенция 11 или 12, характеризиращ се с това, че преди етапа на изпълнение на подходящо правило той включва допълнително етапа на:
    в зависимост от информацията в префикса, предаване на адреса на външен източник към адреса на вътрешен
    1725/00-ФС източник на пакета, който да бъде предаден входящо през устройството за контролиран достъп (3).
    14. Метод съгласно някоя от предходните претенции от
    5 11-13, характеризиращ се с това, че преди етапа на изпълнение на подходящо правило той включва допълнителния етап на:
    в зависимост от информацията в префикса, на предаване на адреса на външен източник към адреса на вътрешен източник на пакет, който да бъде предаден от 10 външната мрежа (4) към вътрешната мрежа (1,5).
    15. Метод съгласно която и да е от предходните претенции 11-14, характеризиращ се посредством допълнителния етап на:
    15 в зависимост от информацията в префикса, предаване на адреса на вътрешен източник към адреса на външен източник на пакет, който да бъде предаден изходящо през устройството за контролиран достъп (3).
    20 16. Метод съгласно която и да предходна претенция 1115, характеризиращ се посредством допълнителния етап на:
    в зависимост от информацията в префикса, предаване на адреса на вътрешен източник към адреса на външен източник на пакет, който да бъде предаден от вътрешната 25 мрежа (1) към външната мрежа (4).
    17. Метод съгласно някоя предходна претенция 11-16, характеризиращ се с това, че етапът на обработка за изпълнение на подходящо правило съдържа допълнително
    1725/00-ФС етапите на:
    въз основа на информацията в префикса, определяне дали пакетът е подложен на временно изключване от блокиращото правило „външен към вътрешен“ за връзка, 5 инициализирана от вътрешната мрежа (1), . ако е така, се установява обратен канал за пакети, предадени от външната мрежа (4) към вътрешната мрежа (1) през устройството за контролиран достъп (3), притежаващ времетраене, съответствуващо на продължителността на 10 връзката.
    18. Метод за управление на трафик на пакет мрежови данни между вътрешни и външни мрежи (1,5,4) през устройство за контролиран достъп (3), включващ етапите на:
    15 в зависимост от съдържанията на полетата данни в пакета на данни, който е предаван между мрежите, селектиране от цялото множество от правила на правило, приложимо към пакета данни, прилагане на правилото върху пакета
    20 ив зависимост от правилото, блокиране на пакета или пропускане на пакета през устройството за контролиран достъп (3), характеризиращ се с това, че етапът на обработка за селектиране на правило, подходящо към пакета данни, включва допълнително етапите на:
    25 събирана на пакетни фрагменти от фрагментиран пакет по времето, когато се получава фрагмент за адресна информация, записване във входно средство на информация, която присъствува в поле на фрагмент с адресна информация на
    1725/00-фС пакета, и пропускане на фрагментирани пакети, снабдени с фрагментирана адресна информация, стартиращо с фрагмента с адресна информация, при което всеки фрагмент се обработва 5 посредством филтриращите средства като обикновен, нефрагментиран пакет.
    19. Метод съгласно някоя от предходните претенции 1118, характеризиращ се с това, че етапът на изпълнение на 2-
  10. 10 дименсионално търсене на адресите на източник и местоназначение на пакета съдържа допълнително етапа на:
    намиране на най-близката доминираща точка р в р под нормата L», т.е. на доминиращата точка на Pj е р, която минимизира Lo-разстоянието между Pj и р.
    20. Метод съгласно претенция 19, характеризиращ се с това, че адресите на източника и местоназначение са представени посредством точка (s, d) е U, при което U е 220 дименсионално адресно пространство, представено от двойка цели числа (s, d), удовлетворяваща θ < θ < 0 < d <
    множеството от префикси Р = {Ръ Р2.....Ρη} θ деление на адресното пространство U,
    25 всеки префикс Pi е логически правоъгълник R в адресното пространство U, определено от [(so, do) , (s1, d1)], където srso = sr2,d * k8 = 2,s и d^do = d^ * Ις, = 2,d за някои неотрицателни цели числа is, id, kg, и kd, като логическият правоъгълник R е подмножество на U, удовлетворяващо: (s, d) е
    1725/00-ФС
    R, ако so < s < Si, do < d < dh при което (so, do), fo, d^ e U, и двойката точки [(so, do), (s^ d^] единствено дефинират правоъгълника R, за всеки префикс Р = [ (so, do), (s1f d^] е P, точката (so, 5 do) е изображение на P и p = {ph p2.....pn} = {(s^ d^ , (s2, d^,..., , (sn, dn)} са множеството на изображенията на префиксите в Р, при което дадена точка (sd, dd) е U за всяко (s, d) е U, при което sd > s и dd > d-ι, (s, d) е доминирано от (sd, dd), и дадена двойка от точки fo, dj, (s2, d^ е U, a
    10 разстоянието между точките под нормата L> се дава от:
    L1
BG105087A 1998-07-02 2000-12-22 Устройство за контролиран достъп и метод за управление на трафика на пакет от мрежови данни между вътрешни и външни мрежи BG105087A (bg)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
SE9802415A SE513828C2 (sv) 1998-07-02 1998-07-02 Brandväggsapparat och metod för att kontrollera nätverksdatapakettrafik mellan interna och externa nätverk
PCT/SE1999/001202 WO2000002114A2 (en) 1998-07-02 1999-07-02 Firewall apparatus and method of controlling network data packet traffic between internal and external networks

Publications (1)

Publication Number Publication Date
BG105087A true BG105087A (bg) 2001-08-31

Family

ID=20411974

Family Applications (1)

Application Number Title Priority Date Filing Date
BG105087A BG105087A (bg) 1998-07-02 2000-12-22 Устройство за контролиран достъп и метод за управление на трафика на пакет от мрежови данни между вътрешни и външни мрежи

Country Status (18)

Country Link
US (1) US20020016826A1 (bg)
EP (1) EP1127302A2 (bg)
JP (1) JP2002520892A (bg)
KR (1) KR20010072661A (bg)
CN (1) CN1317119A (bg)
AU (1) AU4948499A (bg)
BG (1) BG105087A (bg)
CA (1) CA2336113A1 (bg)
EA (1) EA200100099A1 (bg)
EE (1) EE200000783A (bg)
HU (1) HUP0103814A2 (bg)
ID (1) ID29386A (bg)
IL (1) IL140481A0 (bg)
NO (1) NO20006668L (bg)
PL (1) PL345701A1 (bg)
SE (1) SE513828C2 (bg)
SK (1) SK20232000A3 (bg)
WO (1) WO2000002114A2 (bg)

Families Citing this family (61)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU2001243364A1 (en) * 2000-03-01 2001-09-12 Sun Microsystems, Inc. System and method for avoiding re-routing in a computer network during secure remote access
US20040073617A1 (en) * 2000-06-19 2004-04-15 Milliken Walter Clark Hash-based systems and methods for detecting and preventing transmission of unwanted e-mail
US6950947B1 (en) 2000-06-20 2005-09-27 Networks Associates Technology, Inc. System for sharing network state to enhance network throughput
US7031267B2 (en) 2000-12-21 2006-04-18 802 Systems Llc PLD-based packet filtering methods with PLD configuration data update of filtering rules
US7013482B1 (en) 2000-07-07 2006-03-14 802 Systems Llc Methods for packet filtering including packet invalidation if packet validity determination not timely made
GB2371186A (en) * 2001-01-11 2002-07-17 Marconi Comm Ltd Checking packets
JP3963690B2 (ja) * 2001-03-27 2007-08-22 富士通株式会社 パケット中継処理装置
US7640434B2 (en) * 2001-05-31 2009-12-29 Trend Micro, Inc. Identification of undesirable content in responses sent in reply to a user request for content
US7117533B1 (en) * 2001-08-03 2006-10-03 Mcafee, Inc. System and method for providing dynamic screening of transient messages in a distributed computing environment
US6993660B1 (en) 2001-08-03 2006-01-31 Mcafee, Inc. System and method for performing efficient computer virus scanning of transient messages using checksums in a distributed computing environment
JP3864743B2 (ja) * 2001-10-04 2007-01-10 株式会社日立製作所 ファイアウォール装置、情報機器および情報機器の通信方法
US7298745B2 (en) * 2001-11-01 2007-11-20 Intel Corporation Method and apparatus to manage packet fragmentation with address translation
US7761605B1 (en) 2001-12-20 2010-07-20 Mcafee, Inc. Embedded anti-virus scanner for a network adapter
US8185943B1 (en) 2001-12-20 2012-05-22 Mcafee, Inc. Network adapter firewall system and method
KR20030080412A (ko) * 2002-04-08 2003-10-17 (주)이카디아 외부네트워크 및 내부네트워크로부터의 침입방지방법
AU2003227123B2 (en) * 2002-05-01 2007-01-25 Firebridge Systems Pty Ltd Firewall with stateful inspection
AUPS214802A0 (en) 2002-05-01 2002-06-06 Firebridge Systems Pty Ltd Firewall with stateful inspection
US7676579B2 (en) * 2002-05-13 2010-03-09 Sony Computer Entertainment America Inc. Peer to peer network communication
US7243141B2 (en) * 2002-05-13 2007-07-10 Sony Computer Entertainment America, Inc. Network configuration evaluation
US8224985B2 (en) * 2005-10-04 2012-07-17 Sony Computer Entertainment Inc. Peer-to-peer communication traversing symmetric network address translators
US8060626B2 (en) 2008-09-22 2011-11-15 Sony Computer Entertainment America Llc. Method for host selection based on discovered NAT type
US8234358B2 (en) * 2002-08-30 2012-07-31 Inpro Network Facility, Llc Communicating with an entity inside a private network using an existing connection to initiate communication
FR2844949B1 (fr) * 2002-09-24 2006-05-26 Radiotelephone Sfr Procede de gestion d'une configuration d'une passerelle par un utilisateur de la passerelle
AU2003233838A1 (en) * 2003-06-04 2005-01-04 Inion Ltd Biodegradable implant and method for manufacturing one
CN100345118C (zh) * 2003-11-07 2007-10-24 趋势株式会社 数据包内容过滤装置及方法
US7669240B2 (en) * 2004-07-22 2010-02-23 International Business Machines Corporation Apparatus, method and program to detect and control deleterious code (virus) in computer network
JP4405360B2 (ja) * 2004-10-12 2010-01-27 パナソニック株式会社 ファイアウォールシステム及びファイアウォール制御方法
KR100582555B1 (ko) * 2004-11-10 2006-05-23 한국전자통신연구원 네트워크 트래픽 이상 상태 검출/표시 장치 및 그 방법
US7769858B2 (en) * 2005-02-23 2010-08-03 International Business Machines Corporation Method for efficiently hashing packet keys into a firewall connection table
US20060268852A1 (en) * 2005-05-12 2006-11-30 David Rosenbluth Lens-based apparatus and method for filtering network traffic data
US20070174207A1 (en) * 2006-01-26 2007-07-26 Ibm Corporation Method and apparatus for information management and collaborative design
US8903763B2 (en) 2006-02-21 2014-12-02 International Business Machines Corporation Method, system, and program product for transferring document attributes
CN101014048B (zh) * 2007-02-12 2010-05-19 杭州华三通信技术有限公司 分布式防火墙系统及实现防火墙内容检测的方法
US8392981B2 (en) * 2007-05-09 2013-03-05 Microsoft Corporation Software firewall control
US7995478B2 (en) * 2007-05-30 2011-08-09 Sony Computer Entertainment Inc. Network communication with path MTU size discovery
US20080298354A1 (en) * 2007-05-31 2008-12-04 Sonus Networks, Inc. Packet Signaling Content Control on a Network
EP2171983B1 (de) * 2007-06-25 2012-02-29 Siemens Aktiengesellschaft Verfahren zum weiterleiten von daten in einem dezentralen datennetz
US7933273B2 (en) 2007-07-27 2011-04-26 Sony Computer Entertainment Inc. Cooperative NAT behavior discovery
CN101110830A (zh) * 2007-08-24 2008-01-23 张建中 创建多维地址协议的方法、装置和系统
CN101861722A (zh) * 2007-11-16 2010-10-13 法国电信公司 用于对分组进行归类的方法和装置
US8171123B2 (en) 2007-12-04 2012-05-01 Sony Computer Entertainment Inc. Network bandwidth detection and distribution
US7856506B2 (en) 2008-03-05 2010-12-21 Sony Computer Entertainment Inc. Traversal of symmetric network address translator for multiple simultaneous connections
CN101827070A (zh) * 2009-03-06 2010-09-08 英华达股份有限公司 可携式通讯装置
US9407602B2 (en) * 2013-11-07 2016-08-02 Attivo Networks, Inc. Methods and apparatus for redirecting attacks on a network
US11507663B2 (en) 2014-08-11 2022-11-22 Sentinel Labs Israel Ltd. Method of remediating operations performed by a program and system thereof
US9710648B2 (en) 2014-08-11 2017-07-18 Sentinel Labs Israel Ltd. Method of malware detection and system thereof
US20160094659A1 (en) * 2014-09-25 2016-03-31 Ricoh Company, Ltd. Information processing system and information processing method
US9692727B2 (en) 2014-12-02 2017-06-27 Nicira, Inc. Context-aware distributed firewall
US11277387B2 (en) 2015-12-22 2022-03-15 Hirschmann Automation And Control Gmbh Network with partly unidirectional data transmission
US11115385B1 (en) * 2016-07-27 2021-09-07 Cisco Technology, Inc. Selective offloading of packet flows with flow state management
US10193862B2 (en) 2016-11-29 2019-01-29 Vmware, Inc. Security policy analysis based on detecting new network port connections
US11616812B2 (en) 2016-12-19 2023-03-28 Attivo Networks Inc. Deceiving attackers accessing active directory data
US11695800B2 (en) 2016-12-19 2023-07-04 SentinelOne, Inc. Deceiving attackers accessing network data
US10462171B2 (en) 2017-08-08 2019-10-29 Sentinel Labs Israel Ltd. Methods, systems, and devices for dynamically modeling and grouping endpoints for edge networking
US11470115B2 (en) 2018-02-09 2022-10-11 Attivo Networks, Inc. Implementing decoys in a network environment
JP7278423B2 (ja) 2019-05-20 2023-05-19 センチネル ラブス イスラエル リミテッド 実行可能コード検出、自動特徴抽出及び位置独立コード検出のためのシステム及び方法
US11190489B2 (en) 2019-06-04 2021-11-30 OPSWAT, Inc. Methods and systems for establishing a connection between a first device and a second device across a software-defined perimeter
CN112364360B (zh) * 2020-11-11 2022-02-11 南京信息职业技术学院 一种财务数据安全管理系统
US11579857B2 (en) 2020-12-16 2023-02-14 Sentinel Labs Israel Ltd. Systems, methods and devices for device fingerprinting and automatic deployment of software in a computing network using a peer-to-peer approach
US11899782B1 (en) 2021-07-13 2024-02-13 SentinelOne, Inc. Preserving DLL hooks
CN113783974B (zh) * 2021-09-09 2023-06-13 烽火通信科技股份有限公司 一种动态下发map域规则的方法及装置

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0594196B1 (en) * 1992-10-22 1999-03-31 Cabletron Systems, Inc. Address lookup in packet data communications link, using hashing and content-addressable memory
US5606668A (en) * 1993-12-15 1997-02-25 Checkpoint Software Technologies Ltd. System for securing inbound and outbound data packet flow in a computer network
WO1997000471A2 (en) * 1993-12-15 1997-01-03 Check Point Software Technologies Ltd. A system for securing the flow of and selectively modifying packets in a computer network
US5757924A (en) * 1995-09-18 1998-05-26 Digital Secured Networks Techolognies, Inc. Network security device which performs MAC address translation without affecting the IP address
US5918018A (en) * 1996-02-09 1999-06-29 Secure Computing Corporation System and method for achieving network separation
US5889958A (en) * 1996-12-20 1999-03-30 Livingston Enterprises, Inc. Network access control system and process

Also Published As

Publication number Publication date
HUP0103814A2 (hu) 2002-03-28
NO20006668D0 (no) 2000-12-27
SE9802415D0 (sv) 1998-07-02
JP2002520892A (ja) 2002-07-09
WO2000002114A3 (en) 2000-02-17
US20020016826A1 (en) 2002-02-07
SE9802415L (sv) 2000-01-03
PL345701A1 (en) 2002-01-02
SK20232000A3 (sk) 2001-09-11
NO20006668L (no) 2001-03-01
AU4948499A (en) 2000-01-24
ID29386A (id) 2001-08-30
CA2336113A1 (en) 2000-01-13
EA200100099A1 (ru) 2001-06-25
IL140481A0 (en) 2002-02-10
CN1317119A (zh) 2001-10-10
KR20010072661A (ko) 2001-07-31
SE513828C2 (sv) 2000-11-13
EP1127302A2 (en) 2001-08-29
WO2000002114A2 (en) 2000-01-13
EE200000783A (et) 2001-10-15

Similar Documents

Publication Publication Date Title
BG105087A (bg) Устройство за контролиран достъп и метод за управление на трафика на пакет от мрежови данни между вътрешни и външни мрежи
US7143438B1 (en) Methods and apparatus for a computer network firewall with multiple domain support
US6141749A (en) Methods and apparatus for a computer network firewall with stateful packet filtering
US6170012B1 (en) Methods and apparatus for a computer network firewall with cache query processing
US6098172A (en) Methods and apparatus for a computer network firewall with proxy reflection
JP3443529B2 (ja) ファイアウォールサービスを提供する方法と、ファイアウォールサービスを提供するコンピュータシステム
US7127739B2 (en) Handling information about packet data connections in a security gateway element
KR100333250B1 (ko) 패킷 중계 장치
US7072933B1 (en) Network access control using network address translation
EP0836780B1 (en) Network addressing arrangement for backward compatible routing of an expanded address space
US20080133774A1 (en) Method for implementing transparent gateway or proxy in a network
CN1575462A (zh) 在第2层装置中实现第3层/第7层防火墙的方法和设备
KR20010068051A (ko) 패킷 차단방식 방화벽 시스템에서의 고속 정책 판별 방법
US6615358B1 (en) Firewall for processing connection-oriented and connectionless datagrams over a connection-oriented network
US11997203B2 (en) Systems and methods for privacy preserving accurate analysis of network paths
CN106254152A (zh) 一种流量控制策略处理方法和装置
US20080104688A1 (en) System and method for blocking anonymous proxy traffic
US6795816B2 (en) Method and device for translating telecommunication network IP addresses by a leaky-controlled memory
US8873555B1 (en) Privilege-based access admission table
US6996573B2 (en) Screening of data packets in a gateway
CN1210919C (zh) 一种数据接入设备中的数据流量控制方法
JP2007104472A (ja) 統計データ取得装置及び統計データ取得方法
KR100615851B1 (ko) 다양한 서비스에 대한 아이피 패킷 포워딩을 위한 병렬룩업제어방법 및 포워딩 엔진장치
Li et al. Trie-based observations on the routing tables
Boshoff et al. Increasing firewall reliability by recording routes