CN100438427C - 网络控制方法和设备 - Google Patents
网络控制方法和设备 Download PDFInfo
- Publication number
- CN100438427C CN100438427C CNB2004100393596A CN200410039359A CN100438427C CN 100438427 C CN100438427 C CN 100438427C CN B2004100393596 A CNB2004100393596 A CN B2004100393596A CN 200410039359 A CN200410039359 A CN 200410039359A CN 100438427 C CN100438427 C CN 100438427C
- Authority
- CN
- China
- Prior art keywords
- transmission control
- request
- control request
- equipment
- transmission
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
通过将多个防火墙技术结合在一起和让这些技术一起恰当地工作,由于广泛使用总是在线连接因特网和使用Ipv6端到端的通讯而出现的问题就会被解决。这种运用访问控制技术的灵活方式给予公司网络用户很大益处,这产生于总是在线连接因特网和Ipv6的普遍使用和远程办公和虚拟公司的促进。一个在网络中提供的处理来自传输控制设备的控制请求的传输控制计算设备,适当地协调传输控制设备的控制动作。
Description
技术领域
本发明涉及一种互联网中的通讯控制技术,特别是涉及防火墙技术。
技术背景
当连接一个内部网络如公司网络到因特网的时,防火墙通常会置于内部网和因特网之间以预防从因特网到内部网的非法访问。
假定任何从外部网到内部网的访问都是没有经过认证的,防火墙就会操作。目前的情况是,因特网总是连接的以及使用Ipv6端到端通讯等之类的非常普遍,然而无论如何,上述假定正变得和内部网用户的需求越来越矛盾,特别的我们看如下的情况。例如,当旅行中的商人,或者是居家的远程办公人员尝试访问他的或者是她的公司内部网络的时候,防火墙就会认为这些访问都是未经授权的访问。
作为防火墙的一个例子,一种数据包过滤器技术和入侵检测系统一道被申请,这在美国专利No.6233686中已经被公开。附图FIG.6A图解了这个技术的概要。在这个发明中,一个认证服务器连接到数据包过滤器,并且该认证服务器同样连接到数据库,在该数据库中,具体用户的数据包过滤规则已经预先注册并存储。一个尝试进入其感兴趣的局部网中的实体的外部终端用户,首先,必须登陆到认证服务器上。如果认证服务器认为这个请求访问的终端用户是合法的用户,那么这个认证服务器会查询数据库上的有关这个用户的数据包过滤规则。用已注册的用户名的关键字查询数据库。数据库被查询与已注册的用户名相关的数据包过滤规则,并且数据包过滤规则作为结果被返回给认证服务器。认证服务器将这些规则从数据库传递给数据包过滤器。数据包过滤器可以按需要改变请求访问的具体用户的数据包过滤规则。
一个恶意的非法访问的用户可能已经成功登陆,仅在这种情况下,在网络的重要部分通过提供一个数据包检测设备,具有一个符合任何一种预定义的非法访问的数据结构的数据包将会被检测出来。当数据包过滤器检测出一个非法访问的数据包,它发布一个请求加入一条新的过滤规则到数据库,更改相关的过滤规则,并且自动过滤掉这个非法的数据包。来自没有成功登陆的用户的数据包被数据包过滤器丢弃。
学术协商会议论文Steven Bellovin的“分布式防火墙登陆(DistributedFirewalls)”,1999年11月第39页到47页,和Ratul Mahajan、Steve Bellovin等人的“Controlling High Bandwidth Aggregates in the Network”、“计算机通讯回顾(Computer Communications Review)”2002年7月第32卷第3期第62页到73页,公开了一种关于分布式防火墙和聚集拥挤控制的技术。附图FIG.6B图解了上述论文所披露的该技术的概要。对于这些论文所描述的模型,数据包过滤器或者是类似的设备,没有安装在内部网和因特网之间的边界上。而是,终端具有防火墙功能(个人防火墙)如数据包过滤器和一个网络内容过滤器。个人防火墙连接到一个策略服务器上,并且由策略服务器共同管理防火墙的设置和状态。由这些终端检测传输状态(traffic state)。由这些终端检测传输状态的改变。当一个终端检测出不正常的传输(traffic)的时候,该终端就会向策略服务器发送一个过滤策略的请求,以便发送一个过滤策略。这个策略服务器会布置一个预先注册了的过滤策略到这些终端。一旦接收到了过滤策略,终端就会根据策略向一个位于传输流上游的路由器发送一个执行过滤的申请。通过这个程序,当不正常的传输出现时,变执行覆盖整个网络的防火墙功能。
特别地,这种总是因特网连接的以及使用Ipv6端到端通讯将成为大众趋势,其改变了通过因特网的通讯品质。具体地,这些改变包括,即时信息所代表的点到点应用的广泛使用,通过公共的无限LAN网的扩散而映射一些用户到IP地址的困难,多媒体广播和VOIP所代表的所需求的实时通讯的传输的增长,对拒绝服务(DoS)攻击的日益增长的关注,被Ipsec扩散而封装的通讯,以及随着使用IP被连接终端数量的增多,被监视的传输的数量的扩张。
现有的防火墙技术不再适应上述在通讯质量上的改变。例如使用在USP No.6233686中所公布的技术,过滤对于封装着的数据包是不可能的。原因在于,因为不可能确定封装的数据包的内容,认证服务器不能引用用于过滤规则的数据库。甚至上述技术不能抵挡拒绝服务(DoS)攻击。原因是,因为传输控制只能依赖授权认证,一旦一个用户发送了一个欺骗性的数据包并且通过了授权认证,这个用户将可以访问任何在局域网中的资源,即使是不合法的。
甚至在USP No.6233686的发明与一个入侵检测系统相结合的情况下,也几乎不可能做到过滤掉封装的数据包和适应多变的应用。当得出被允许访问内部网络的数据包是欺骗性的,检测非法访问的数据包会努力尝试通过请求传输控制设备(例如路由器)而增加一条过滤规则以阻止欺骗性数据包发送者的访问。然而,在传输控制设备如路由器中,给予数据包发送者访问许可的先前动作一旦被设置,就是有效的。这就很难阻止曾经得到认证的数据包发送者的访问。因此,甚至对于通过USPNo.6233686的发明和入侵检测系统相结合而建立的网络系统来说,也不可能做到过滤掉封装的数据包和适应多变的应用。
接下来,在先前提及的学术协商会议论文中所描述的分布式防火墙结构中,个人防火墙不仅必须被安装在公司网络的终端上,而且还安装在外部终端上。因此,网络规模的变得巨大,并且,随着将被过滤的传输数量的增长,系统的建设费用也随之增长。策略服务器就是一个能够在一条通道上为所有终端分配一个预定过滤策略的设备。因此,如果多个防火墙技术执行不同类型的互相冲突的控制,或者如果使用不同的互相不兼容的数据包过滤技术,由于考虑到网络的兼容性,一些策略服务器将不能执行传输控制。
此外,所有在讨论中的先前描述的技术都涉及了一个问题,即,由于将被过滤的传输数量的增长而导致的过滤规则数量的增长,造成控制设备的负载也不断增长。
正如以上所讨论的,没有哪个防火墙技术可以解决通过因特网通信的同时存在于通信中的这些问题。甚至在多个现有防火墙技术都是一些简单组合的情况下,这些问题都不能被同时解决。原因是,在多个防火墙技术执行不同类型的相互冲突的控制以及不同的数据包过滤技术相互不兼容的情况下,不可能致力于解决这些问题。
对以上问题的解释可以归纳为,当多个设备发布传输控制请求并且传输控制被执行时,请求设备必须做到不仅仅传送它自己的传输控制请求到传输控制设备,而且还要做到阻止从另外的请求设备到相同的传输控制设备的传输控制请求。
发明内容
本发明提供了一种方法,该方法通过在一个点上连接或者集合关于多个防火墙技术的数据以及自动管理这些数据,来解决上述问题。
本发明的网络控制设备包括:传输控制请求检测设备(traffic controlrequest detecting device),其提供以能够确定传输是否被允许通过还是被拒绝的数据;传输控制设备(traffic control device),其实际执行网络传输控制;和传输控制计算设备(traffic control computing device),其处理来自于传输控制设备的控制请求。
当传输控制计算设备从传输控制请求检测设备接收到一个传输控制请求时,首先会将接收到的传输控制请求存储在一个存储设备上。然后,传输控制计算设备计算出怎样才能根据存储在其上的控制信息、传输控制设备的功能、以及当前的控制设置,使被连接到其上的传输控制设备执行传输控制。
与此同时,传输控制计算设备从在它的管理之下的传输控制设备获得关于传输控制的信息(传输控制信息)。获得的传输控制信息被存储在存储设备中。当启动的时候,传输控制计算设备就会获得和学会设定在传输控制设备上的初始设置。
如果多个传输控制设备存在于一个网络中,来自于传输控制设备的控制请求可能会相互冲突。在这样的情况下,传输控制计算设备协调从网络控制设备发出的控制请求,于是整个网络控制设备将保持运行而不被冲突影响。同样,本发明的传输控制计算设备,通过集合处理从多个设备发出的传输控制请求,克服不同的传输控制方法的不兼容的问题。因此,可以提供不同传输控制技术间的亲合力。
附图说明
图1展示了一个简单的广泛使用的数据包过滤器的结构框架;
图2A展示了具有传输控制系统其它组成的实施例1的传输控制计算设备230的硬件配置框架;
图2B是实施例1的传输控制计算设备的功能模块的框架图,该图还显示了传输控制请求检测设备210和215、以及传输控制设备220和225;
图3是说明过程的流程图,在该过程中,传输控制计算设备从传输控制设备获得控制信息;
图4说明过程的流程图,在该过程中,传输控制计算设备根据来自于传输控制请求检测设备的控制请求,控制传输控制设备;
图5展示了根据本发明建立起来的一个网络配置的例子;
图6A和6B是说明现有技术访问控制方法的示意图。
具体实施方式
(实施例1)
下面,具体描述本发明的最佳实施例。
作为在这个实施例中的传输控制请求检测设备的具体例子将会在下文中给于描述,例如,用于检测不正常传输的入侵监测系统、用于用户防火墙认证的用户认证服务器、以及用于分布防火墙的策略服务器是可用的。传输控制设备的具体例子,例如,数据包过滤器、带宽管理器、应用网关、和个人防火墙是可用的。可取的是,通过使用网络进行管理、封装信息等等,在一种可靠的通讯状态下,传输控制计算设备能够与传输请求检测设备、传输控制设备通讯。网络通常属于电信公司或者是公司网络的操作员所有。发明可能安装在一个传输控制系统中,并且可能安装在在此提出的实施例中,因此传输控制系统可能属于电信公司或公司网络操作员,或者作为选择,可能属于提供网络服务的服务提供商。
图1是一个用于说明广泛使用的数据包过滤器设备运行的示意图。当数据包过滤器100从一个通道110接收到一个数据包时,一个输入数据包过滤器120将输入的数据包与所有的输入数据包过滤规则进行对比,并且决定这个数据包是否可以通过。实际上,数据包中所指明的是IP地址、端口号、和协议类型都被与所有的数据包过滤规则进行对比,并且依照对比规则,决定数据包是否可以通过。如果决定数据包是不可以通过的,输入数据包过滤器120将会丢弃这个输入的数据包。如果决定数据包可以通过,数据包路由单元130将会决定输出数据包到一个合适的输出通道接口150。在输出到输出通道接口150之前,输出数据包过滤器140决定是否数据包可以被输出。这种决定是由以与输入数据包相同的方式被应用的标准做出。如果决定数据包将被输出,数据包就会输出到输出通道接口150。通过适当地指定输入数据包过滤规则和输出过滤规则,数据包过滤器可以转发仅正确的数据包从因特网到公司网络。然而,对于通过因特网的连接请求和有异常的访问趋向,很难恰当地设置过滤规则。应用这个设备封装信息是困难的,在这当中,除了发送者和接收者外的任何人都不能看到数据包的内容。
图2A展示了具有传输控制系统其它组成的实施例1的一个传输控制计算设备230的硬件配置结构。传输控制设备220、传输控制请求检测设备210、和传输控制计算设备230通过网络连接。传输控制计算设备230包括:存储设备285,如半导体存储器和硬盘;一个进程处理器289,其可以是一个处理器或一台微型计算机;以及一个为了进行网络连接的物理网络接口290。在图2A中,还展示了用于临时存储通过物理网络接口290接收到的信息数据的缓存器。可是,缓存器可能不是必需的。存储设备285是由一个程序存储设备286和一个数据存储设备287组成,其中程序存储设备286用来存储程序,如图2B中所示,数据存储设备287用以存储数据。在图2A中,用于存储程序的存储设备和用于存储数据的存储设备在物理上是两个不同的实体,但是,在相同存储设备上的空间却可能被分成程序空间和数据空间。进程处理器是用来执行程序的。物理网络接口290是用于传输控制计算设备230与传输控制设备220、传输控制计算检测设备210进行通讯。具体地,象IP数据包和ATM信元这样的信息数据,通过物理网络接口290被输入和输出。
图2B是实施例1的传输控制计算设备配置的一个功能模块的结构图,其中,同样展示了传输控制请求检测设备210和215、以及传输控制设备220和225。实施例1的传输控制计算设备230包括:了一个传输控制请求接口240、一个传输控制接口245、一个传输控制计算管理接口280、和一个仲裁单元295,其中,传输控制请求接口240用于在传输请求检测设备和功能模块之间发送和接收信息,传输控制接口245在传输控制设备和功能模块之间发送和接收信息,传输控制计算管理接口280使网络管理员通过其干预传输控制计算,仲裁单元295执行从外部通讯设备传输的不同的传输控制请求的仲裁。在附图中,仲裁单元295被表示为由点线环绕的区域。特别地,仲裁单元295包括:一个传输控制请求列表250,该列表含有来自于传输控制请求检测设备210和215的传输控制请求;传输控制方法列表255,其根据传输控制方法列表250的内容被计算出;传输控制请求检测设备列表260;传输控制设备列表265;和传输控制计算单元270的功能模块,其努力发挥整个传输控制计算设备的控制。对于传输控制计算单元270,传输控制计算管理接口280和它相连接。所有的接口(240,245和280)和传输控制计算单元270都是通过存储在程序存储设备上的程序得以实现的,在图2A中显示了这一点。程序通过进程处理器289读出并被运行,以及当需要时,它的运行包括通过用于网络连接的物理网络与外部通讯。
传输控制请求检测设备260的列表和传输控制设备265的列表标示在存储在数据存储设备287中的数据表。传输控制检测设备260的列表包含所有连接到传输控制计算设备230的传输控制请求设备(在实施例中的210和215)的标识信息条目。传输控制检测设备265的列表包含所有连接到传输控制计算设备230的传输控制设备的标识条信息条目。作为标识信息,例如,传输控制请求检测设备210和215以及传输控制设备220和225的IP地址、主机名、以及诸如此类,可能会使用。
传输控制检测设备260的列表和传输控制设备265的列表给出了关于在上面的设备中什么样的进程可以被确实执行的信息。同时,传输控制请求列表250给出了关于什么进程是现在被每台传输控制请求检测设备所请求的信息。传输控制方法列表255给出了关于什么进程是现在被每台传输控制设备所执行。传输控制请求检测设备260的列表和传输控制设备265的列表是预防欺骗性的输入的基本信息。传输控制请求列表250和传输控制方法列表255是设备状况管理的基本信息。
在传输控制计算设备230中的所有列表(250,255,260和265)被储存在数据存储设备中,这在附图2A中已经说明。当存储这些列表的时候,所有的列表可能被存储在一个存储设备上,或者多个存储设备可被提供给每一个列表。
传输控制计算设备230同通过传输请求接口240在网络上与其连接的传输控制请求检测设备210和215交换信息。为了做到这一点,理想的是,在传输控制计算设备230和传输控制请求检测设备210和215之间的安全通讯能够得到保证。尤其更可取得地方是,对于上述传输控制请求检测设备210、215和上述计算设备230之间的通讯,使用网络进行管理和封装通讯信息。
类似地,传输控制计算设备230连接到了传输控制设备220和225。传输控制计算设备230同通过传输控制接口245在网络上与其连接的传输控制设备220和225交换信息。
传输控制请求检测设备210、传输控制请求检测设备215,和传输控制设备220、225,通常通过通讯线路、网络、或者其它类似的设备(未示出)相连接。
在接下来的内容里,附图2B中解释了的传输控制计算设备中的功能模块是怎样运作的,并解释了包含传输控制计算设备的整个网络系统是怎样运作的。
传输控制请求检测设备210和215监视和它连接的通道的情况,并且决定什么样的传输控制是必需的。在决定了一个必需的传输控制之后,通过使用控制数据包或者是控制帧(ATM帧,以太帧,等等)的形式,传输控制请求检测设备210和215向传输控制计算设备230通报需要的传输控制。
通过传输控制请求接口240被通报的控制信息得以执行。传输控制请求接口240分析接收的控制信息,并且析取控制信息发送器的ID的信息、传输控制请求的细节的信息、以及这个控制请求的原因的信息。具体地,控制信息是通过物理网络接口290接收,并传送给进程处理器289。进程处理器289从程序存储设备286中检索出相应于传输控制请求接口240的程序,并且运行这个程序以处理接收到的控制信息。每一个提取的信息都是临时地存放在附图2A中所示的位于处理器内部的缓存器或者寄存器中。
每当接收一个传输控制请求,传输控制计算单元270都会更新传输控制请求列表250。传输控制请求列表250包括:传输控制请求检测设备ID域251,以存储连接到传输控制计算设备的传输控制请求检测设备的ID;传输控制请求域252,以存储从接收到的传输控制信息中提取控制请求的细节;传输控制请求原因域253,以存储请求传输控制的原因。这些ID被分配给连接到传输控制计算设备230的传输控制请求检测设备。当列表250被更新的时候,发送请求的检测设备的ID和具体的请求控制细节就会存储到列表中。为什么传输控制是必须的原因也被写入了列表250中。当上述的更新操作实际执行的时候,进程处理器289首先从数据存储设备287检索传输控制请求列表250,并且从程序存储设备286检索出用于更新传输控制请求列表的程序。然后,进程处理器289查阅从请求中提取的并储存在缓存器中的信息,并依照检索的程序执行列表更新操作。
当列表250被更新的时候,传输控制请求检测设备260的列表被查阅。传输控制请求检测设备260的列表也存储在存储器280中的数据存储设备287中。传输控制请求检测设备260的列表包括:传输控制请求检测设备ID域,在这个域中存储了连接传输控制计算设备的传输控制请求检测设备的ID;传输控制请求检测设备功能域,在这个域中存储了可以被连接的传输控制请求检测设备检测到的传输控制请求命令。当更新列表250的时候,传输控制计算单元270查阅列表260,并且,如果已通知的传输控制清求的发送器的ID没有列在列表260中,就会判断出这个控制请求是一个欺骗并且拒绝这个请求。对于列表260所涉及的操作,实际上同样也是通过进程处理器289执行的。
然后,传输控制计算单元270根据存储在列表250中的传输控制请求,计算连接到传输控制计算设备的传输控制设备220和225中的一个设备所需要的传输控制算法。作为选择,依照来自传输控制请求检测设备210和215的其中一个设备的传输控制请求,这样的情况也是可行的,那就是,根据多数被连接的传输控制设备准备多个控制算法和选择一个适当的算法。在这种情况下,一个包含了算法的算法表被包含在数据存储设备287上。算法表包括:标识信息域(例如,ID),以表示一个连接到了传输控制计算设备的传输控制请求设备;传输控制标志域,以标示出一个请求的传输控制;算法域,其中保存了传输控制标志的算法;以及其它域。各自的域被提供给传输控制标志和算法,那是因为一个传输控制请求检测设备可能检测出多个传输控制请求的类型。如果传输控制请求检测设备可以检测一个单一类型的传输控制请求,那么,传输控制标志域可能就会被免除。依靠从程序存储设备286检索的适当的程序,上述计算或者选择算法的操作被进程处理器289执行。
通过传输控制接口280,一个被计算或选择出的算法被传输给传输控制设备220和225的其中一个。根据传输到哪里的控制算法,传输控制设备220或225执行传输控制。具体地,被计算和被选择的算法,首先被临时存储到缓存器中。然后,由传输控制接口280执行的相应于进程的一个程序被从程序存储设备286中检索出来,然后由进程处理器289运行。通过查阅存储在缓存器、传输控制设备265的列表和传输控制方法列表255中的算法,传输控制接口280的进程程序生成了控制信息(在策略控制数据包中、控制帧,等等)。控制信息需要包括它的目标地址,也就是,算法将被发送给的那个传输控制设备的地址。从传输控制设备265的列表中传输控制设备的地址被获得。例如,如果IP地址数据用作ID信息,在表中的特殊传输控制设备的ID会被特别的当作传输控制设备的地址。产生的控制信息通过物理网络接口290传送给目标传输控制设备。
图3的流程图解释了一个流程,在这个流程中,传输控制计算设备230从传输控制设备那里获得信息目标。传输控制计算设备230获得传输控制的细节,这些细节是被每一个列在传输控制设备265的列表中的传输控制设备执行。具体地,传输控制计算设备通过传输控制接口245获得每个传输控制设备的配置定义(步骤300)。如果由传输控制设备执行的控制细节被获得(步骤310),控制细节会被存储在传输控制方法列表255中的传输控制设备的条目中(步骤320)。与此同时,传输控制设备265的列表中的传输控制设备条目的操作标志268被设置成ON(开)(步骤325)。另一方面,在步骤310中,如果由传输控制设备执行的控制细节没有被获得,传输控制设备的传输控制方法条目将会从传输控制方法表255中被删除(步骤330),并且传输控制设备265的列表中的传输控制设备条目的操作标志268被设置成OFF(关)(步骤335)。
图4的流程图解释了一个流程,在这个流程中,传输控制计算设备230处理一个请求,这个请求可能或者不可能从传输控制请求检测设备的列表中的一个设备(具有它们的标识210和215)被发布。当传输控制请求接口240接收到一个传输控制请求时(步骤400),将检测发布请求的传输控制请求检测设备260是否被包含在传输控制请求检测设备260的列表中(步骤410)。如果设备没有被包含在列表中,传输控制请求就会被判断为是一个欺骗并被拒绝(步骤415)。如果设备被包含在列表中,传输控制请求就会被判断为有效。检查先前从传输控制请求检测设备发出的控制请求条目的内容是否与新的输入控制请求发生冲突(步骤420)。如果这样的条目存在,将会确定这个条目是否是来自相同的传输控制请求检测设备的请求(步骤425)。
如果这个条目是来自相同的传输控制请求检测设备的请求,那么这个条目就被新的传输控制请求覆盖(步骤430)。如果条目是来自另外的一个设备的请求,那么,通过管理接口,传输控制计算设备通知一个网络管理员(例如,一个人或者人工智能系统),该网络管理员可以做出冲突请求的更高级别的决定(步骤432)。被通知冲突请求的网络管理员决定拒绝哪个传输控制请求,并通过传输控制计算管理接口280命令哪个请求应该被拒绝(步骤435)。由于该决定(步骤440),如果新的传输控制请求被拒绝,传输控制计算设备230通过传输控制请求接口240,通知发出了已被拒绝的控制请求的传输控制请求检测设备(步骤445)。根据哪个控制请求会被产生,传输控制请求检测设备可能忽略拒绝的通知或者可能使用通知去取消例如用户认证这样的事件。
如果在步骤440中传输控制请求被拒绝,那么,传输控制计算设备230操作,如同作为原有请求发送器的传输控制请求检测设备通过从其输入的直接请求而删除该请求。(步骤430)。在步骤420中,如果没有哪个条目和新的传输控制请求发生冲突,就不会执行特别的处理。在完成了上述的步骤420和之后的步骤以后,除非新的控制请求被拒绝,否则新的传输控制请求就会被加进传输控制请求列表250中(步骤450)。
在步骤450中,在产生一个新的传输控制请求列表之后,传输控制计算单元270计算出已列表的传输控制请求是如何通过使用传输控制设备被完成的,其中,传输控制设备的操作标志268为ON(开),传输控制设备被包括在传输控制设备265的列表中(步骤460)。
当执行这个计算时,在考虑传输控制设备265的列表中的传输控制设备功能267条目以及在传输控制方法列表255中的当前的传输控制方法条目后,传输控制计算单元优化传输控制方法以提供最大的网络传输能力。有可能优化的方法包括传输控制设备之间的负载均衡、在传输控制设备间的功能区别、最小化传输控制规则的数目、以及它们的联合。例如,为了进行传输控制设备之间的负载均衡,传输控制任务将被分配给传输控制设备,这些设备实现传输控制的细节以便一个传输控制信息258目标的相等的序号被分配给每一个在传输控制方法列表中的传输控制设备。为了执行传输控制设备间的区别功能,依照在传输控制信息中的被描述的传输的类型,传输控制任务将被分配给执行任务的传输控制设备;例如,将TCP/UDP过滤着的数据流分配给传输控制设备220,将URL过滤数着的数据流分配给传输控制设备265。哪种优化方法被选择这决定于网络管理者,并且通过传输控制计算管理接口280,它们的定义将预先提供给传输控制计算单元270。
在步骤460中,在计算传输控制的实现方法后,传输控制计算设备230将由计算获得的传输控制方法列表与过去的传输控制方法列表255进行比较,并提取差异(步骤470)。传输控制计算设备请求传输控制设备通过传输控制接口245去另外地执行与他们的功能相关的差异控制任务(步骤480)。最后,传输控制方法列表255被新的传输控制方法列表覆盖掉(步骤490)。因为传输控制设备保留着先前发送给他们的控制算法,所以只有不同数据的控制算法会被重新传输给他们。
(实施例2)
依照本发明,图5展示了一个网络配置的例子。这个公司网络500包括:一个骨干出口路由器510、一个传输控制路由器520、一个认证服务器530、一个入侵检测系统540、一个分布式防火墙策略服务器550、和一个位于分布式防火墙入口的终端560。传输控制计算设备230通过传输控制请求接口240连接到认证服务器530、入侵监测系统540、和位于分布式防火墙入口的终端560,通过传输控制接口245连接到骨干出口路由器510、传输控制路由器520、以及分布式防火墙策略服务器550。
当位于公司网络之外的终端570的用户要访问公司网络内部的终端560的时候,首先,用户必须登陆到认证服务器530上。当登陆是允许的时候,认证服务器将给予用户合适的通讯权利,并通过传输控制请求接口240发送一个请求以允许与传输控制计算设备230的通讯。根据附图4的流程,传输控制计算设备230处理控制请求,并且命令传输控制路由器允许在终端560和终端570之间的通讯,并且也命令分布式防火墙策略服务器550允许终端560和终端570之间的通讯。
接下来,当网络系统550因使用终端570而处于DOS攻击状态时,传输控制计算设备如何操作将得到说明。当入侵检测系统540检测到来自终端570的拒绝服务式攻击(DOS攻击)的时候,入侵检测系统540就会通过传输控制请求接口240发送一个请求以停止与传输控制计算设备230的通讯。当传输控制计算设备230处理该请求时,根据附图4的流程,计算设备会检测到,来自认证服务器530的请求与来自入侵检测系统540的请求发生冲突。这种情况下,传输控制计算设备230就会通过适当的方法如使用传输控制计算管理接口280发送电子邮件警告网络管理员。作为对该警告的响应,网络管理员就会决定选择采取怎样的行动,并通过传输控制计算管理接口280命令传输控制计算设备230采取行动。
例如,如果在这个问题上管理员决定让传输控制路由器520使可疑传输的带宽变窄,由于攻击的不断的复制,管理员就会通过传输控制计算管理接口280向传输控制计算设备输入一个指令以缩小传输的带宽。然后,传输控制路由器520就会根据该指令进行操作。例如,当在终端560中的个人防火墙检测到终端570的用户试图破坏运行在终端560上的系统,该个人防火墙就会向传输控制计算设备230通知这个攻击。这种情况下,通常,传输控制计算设备230不需要特别应用新的传输控制。如果传输控制请求列表250包含大量的相同的请求,将值得去阻止这些通讯。在这样的情况下,当传输控制计算设备230根据附图4的流程执行这个处理的时候,根据来自防火墙的通告,计算设备计算一个可以用来阻止这个通讯的控制方法。结果,计算设备向认证服务器530发送一个指令以取消来自终端570的登陆请求,并且还向传输控制路由器520发送指令以删除数据包过滤规则以便传送数据包从而在终端570和终端560之间进行通讯,并停止不在需要的带宽控制。
通过本发明所介绍的传输控制计算设备,有效的和无效的访问请求的传输控制可以通过结合现有的传输控制设备实现。因此,在从外边使用公司网络的过程中,安全地提高了方便性,并且公司网络用户也可以从普遍使用的始终在线连接和Ipv6、远程办公的促进和虚拟公司的发展中获得益处。
以上描述在本发明人的等同的和改进的设想以及接近发名人设想的考虑方面和方法上是没有限制。
Claims (16)
1.一种传输控制计算设备,包括:
一个传输控制接口,其与网络中控制传输的控制设备相连接;
一个传输控制请求接口,其与能决定传输控制是否必须由所述控制设备执行的传输控制请求检测设备相连接;
一个第一存储设备,其中储存有通过所述传输控制请求接口接收到的传输控制信息;
一个传输控制计算单元,其与所述传输控制接口相连接,并且与所述传输控制请求接口相连接,并与所述第一存储设备相连接;
其中,所述传输控制计算单元根据存储在第一存储设备上的传输控制信息中的传输控制请求计算传输控制算法,并且向所述传输控制接口发送该传输控制算法,当冲突发生时,由传输控制计算单元检查与已接收到的所述传输控制请求相冲突的传输控制请求是否包含在所述第一存储设备中,如果相冲突的传输控制请求包含在所述第一存储设备中,那么将相冲突的传输控制请求的发送器与已接收到的所述传输控制请求的发送器相比较,如果两个发送器是不同的,则将冲突的传输控制请求通知网络管理员,由网络管理员决定拒绝这两个传输控制请求中的一个以解决冲突;如果所述两个发送器是相同的,则使用已接收到的传输控制请求覆盖与其发生冲突的传输控制请求。
2.根据权利要求1所述的传输控制计算设备,进一步包括:
一个信息单元,用来获得关于每一个传输控制设备的传输控制细节的信息目标,所述信息目标与传输控制设备的ID有关,所述信息目标分别由所述传输控制设备执行;
第二存储设备,其中储存有已获得的关于每一个传输控制设备的传输控制细节的信息目标,所述信息目标与传输控制设备的ID有关。
3.根据权利要求1所述的传输控制计算设备,其特征在于,所述传输控制请求检测设备的ID存储于所述第一存储设备。
4.根据权利要求1所述的传输控制计算设备,其特征在于,所述传输控制计算单元比较通过所述传输控制请求接口接收的传输控制请求的发送器与存储在所述第一存储设备中的任何传输控制信息,进行匹配,如果已接收的传输控制请求的发送器没有存储在所述第一存储设备中,则拒绝所述传输控制请求。
5.根据权利要求1所述的传输控制计算设备,进一步包括:
传输控制计算管理接口,其作为与网络管理员通讯的接触点而发挥作用,其结构使得传输控制计算单元检查,与已接收到的所述传输控制请求相冲突的传输控制请求是否包含在所述第一存储设备中,如果相冲突的传输控制请求包含在所述第一存储设备中,那么将相冲突的传输控制请求的发送器与已接收到的所述传输控制请求的发送器相比较,并且,如果两个发送器是不同的,则向传输控制计算管理接口发送一个相冲突请求的通知。
6.根据权利要求2所述的传输控制计算设备,其特征在于,当所述信息单元成功地从一个传输控制设备中获得一个传输控制细节的信息目标时,所述传输控制计算单元的结构能够决定,所述传输控制设备正在操作并将存储于所述第二存储设备中的所述传输控制设备的传输控制细节的信息目标更新成最新获得的传输控制细节的信息目标。
7.根据权利要求2所述的传输控制计算设备,其特征在于,当所述传输控制细节的信息目标未能从一个传输控制设备获得的时候,所述传输控制计算单元判定所述传输控制设备没有进行操作并且从所述第二存储设备中删除传输控制设备的传输控制细节的信息目标以便传输控制设备决定不做任何操作。
8.一种传输控制计算设备,包括:
一个传输控制接口,其与网络中控制传输的控制设备相连接;
一个传输控制请求接口,其与能决定传输控制是否必须由所述控制设备执行的传输控制请求检测设备相连接;
一个传输控制请求列表,其包含关于传输控制的信息目标,且所述信息目标与发送该信息的传输控制请求检测设备的ID相关联;
一个传输控制请求检测设备的列表,其包含与所述传输控制计算设备相连接的传输控制请求检测设备的ID和功能;
一个传输控制设备的列表,其包含与所述传输控制计算设备相连接的传输控制设备的ID和功能;
一个传输控制方法列表,其包含已连接的传输控制设备的ID和由传输控制设备当前执行的控制细节;
一个传输控制计算单元,其根据所述传输控制请求列表中描述的控制请求,计算控制算法,当冲突发生时,由传输控制计算单元检查与已接收到的传输控制请求相冲突的传输控制请求是否包含在所述传输控制请求列表中,如果相冲突的传输控制请求包含在所述传输控制请求列表中,那么将相冲突的传输控制请求的发送器与已接收到的传输控制请求的发送器相比较,如果两个发送器是不同的,则将冲突的传输控制请求通知网络管理员,由网络管理员决定拒绝这两个传输控制请求中的一个以解决冲突;如果所述两个发送器是相同的,则使用已接收到的传输控制请求覆盖与其发生冲突的传输控制请求。
9.一种传输控制方法,包括:
提供一个与网络中控制传输的控制设备相连接的传输控制计算设备,和用于检测网络中什么样的传输控制必须被执行的传输控制请求检测设备;
接收一个传输控制请求;
在存储设备上存储已接收到的传输控制请求和请求发送器信息;
判定已接收到的传输控制请求是否与先前存储在存储设备中的任何控制请求发生冲突,当冲突发生时,将相冲突的传输控制请求的发送器与已接收到的所述传输控制请求的发送器相比较,如果两个发送器是不同的,则将冲突的传输控制请求通知网络管理员,由网络管理员决定拒绝这两个传输控制请求中的一个以解决冲突;如果两个发送器是相同的,则使用已收到的传输控制请求覆盖与其发生冲突的传输控制请求,如果没有冲突发生,计算出一个控制算法以完成所述的控制请求。
10.如权利要求9所述的传输控制方法,进一步包括:
判定已接收的传输控制请求的发送器是否是来自于预先注册的发送器设备:
拒绝来自于不是预先注册的发送器的控制请求。
11.如权利要求10所述的传输控制方法,其特征在于,如果已接收的传输控制请求的发送器就是预先注册的发送器,那么判定已接收到的传输控制请求是否与先前存储在存储设备中的任何控制请求发生冲突的步骤被执行;
12.如权利要求9所述的传输控制方法,进一步包括:
接收关于网络管理员是否已经拒绝了部分还是全部相冲突的控制请求的信息:
将被拒绝的控制请求通知给发送器。
13.如权利要求9所述的传输控制方法,进一步包括:
在存储设备中存储传输控制设备的标识以及当前持有的算法;
将计算出的控制算法与保存的当前持有的算法进行比较;
如果计算出的控制算法没有被传输控制设备所持有,将计算出的控制算法传送给一个适当传输控制设备。
14.一种网络控制方法,包括:
接收一个传输控制请求;
将已接收的传输控制请求和请求发送器信息储存到一个存储设备;
判定已接收到的传输控制请求是否与先前存储在存储设备中的任何控制请求发生冲突,当冲突发生时,将相冲突的传输控制请求的发送器与已接收到的所述传输控制请求的发送器相比较,如果两个发送器是不同的,则将冲突的传输控制请求通知网络管理员,由网络管理员决定拒绝这两个传输控制请求中的一个以解决冲突;如果两个发送器是相同的,则使用已收到的传输控制请求覆盖与其发生冲突的传输控制请求;如果没有冲突发生,计算出一个控制算法以完成所述的控制请求;
根据计算出的控制方法,执行传输控制。
15.一种针对于网络的控制方法,包括:
提供能够控制网络传输的传输控制设备,能够检测网络中什么样的传输控制能被执行的传输控制请求检测设备,能够根据检测到的传输控制要求处理传输控制请求的传输控制计算设备;
通过传输控制计算设备,接收第一信息:传输控制请求检测设备的标识、传输控制请求检测设备的检测功能、当前从传输控制请求检测设备发出的传输控制请求;
将已获得的第一信息存储到一个存储设备;
其中,当接收到来自于一个传输控制请求检测设备的一个新的传输控制请求时,传输控制计算设备判断,新的已接收到的传输控制请求是否与存储在存储设备中的任何一个传输控制请求发生冲突,当冲突发生时,将相冲突的传输控制请求的发送器与已接收到的所述传输控制请求的发送器相比较,如果两个发送器是不同的,则将冲突的传输控制请求通知网络管理员,由网络管理员决定拒绝这两个传输控制请求中的一个以解决冲突;如果两个发送器是相同的,则使用已收到的传输控制请求覆盖与其发生冲突的传输控制请求;如果没有冲突发生,则根据已接收到的传输控制请求计算出一个控制算法,并向一个恰当的传输控制设备发送计算出的控制算法。
16.根据权利要求15所述的针对于网络的控制方法,进一步包括:
获取第二信息,该第二信息包括:传输控制设备的标识、传输控制设备的传输控制功能;
将获得的第二信息储存到存储设备;
其中,如果由传输控制计算设备计算出的控制算法已经被一个控制设备所持有,则传输控制计算设备将不传送已计算出的控制算法。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003031837A JP4120415B2 (ja) | 2003-02-10 | 2003-02-10 | トラフィック制御計算装置 |
| JP2003031837 | 2003-02-10 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1521993A CN1521993A (zh) | 2004-08-18 |
| CN100438427C true CN100438427C (zh) | 2008-11-26 |
Family
ID=32820918
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2004100393596A Expired - Fee Related CN100438427C (zh) | 2003-02-10 | 2004-01-30 | 网络控制方法和设备 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20040158643A1 (zh) |
| JP (1) | JP4120415B2 (zh) |
| CN (1) | CN100438427C (zh) |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7409707B2 (en) | 2003-06-06 | 2008-08-05 | Microsoft Corporation | Method for managing network filter based policies |
| US10862994B1 (en) | 2006-11-15 | 2020-12-08 | Conviva Inc. | Facilitating client decisions |
| US9215207B2 (en) * | 2005-03-07 | 2015-12-15 | Protecting The Kids The World Over (Pktwo) Limited | Method and apparatus for analysing and monitoring an electronic communication |
| US9124601B2 (en) | 2006-11-15 | 2015-09-01 | Conviva Inc. | Data client |
| US9264780B1 (en) | 2006-11-15 | 2016-02-16 | Conviva Inc. | Managing synchronized data requests in a content delivery network |
| US8751605B1 (en) | 2006-11-15 | 2014-06-10 | Conviva Inc. | Accounting for network traffic |
| US8874725B1 (en) | 2006-11-15 | 2014-10-28 | Conviva Inc. | Monitoring the performance of a content player |
| JP4620070B2 (ja) * | 2007-02-28 | 2011-01-26 | 日本電信電話株式会社 | トラヒック制御システムおよびトラヒック制御方法 |
| US8402494B1 (en) | 2009-03-23 | 2013-03-19 | Conviva Inc. | Switching content |
| US9203913B1 (en) | 2009-07-20 | 2015-12-01 | Conviva Inc. | Monitoring the performance of a content player |
| US9009738B2 (en) * | 2011-03-17 | 2015-04-14 | Microsoft Technology Licensing, Llc | Device identification using device functions |
| US10148716B1 (en) | 2012-04-09 | 2018-12-04 | Conviva Inc. | Dynamic generation of video manifest files |
| CN103532917A (zh) * | 2012-07-06 | 2014-01-22 | 天讯天网(福建)网络科技有限公司 | 基于移动互联网和云计算的网址过滤方法 |
| US10182096B1 (en) | 2012-09-05 | 2019-01-15 | Conviva Inc. | Virtual resource locator |
| US9246965B1 (en) | 2012-09-05 | 2016-01-26 | Conviva Inc. | Source assignment based on network partitioning |
| US10178043B1 (en) | 2014-12-08 | 2019-01-08 | Conviva Inc. | Dynamic bitrate range selection in the cloud for optimized video streaming |
| US10305955B1 (en) | 2014-12-08 | 2019-05-28 | Conviva Inc. | Streaming decision in the cloud |
| US11100046B2 (en) * | 2016-01-25 | 2021-08-24 | International Business Machines Corporation | Intelligent security context aware elastic storage |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0854621A1 (en) * | 1997-01-17 | 1998-07-22 | AT&T Corp. | System and method for providing peer level access control on a network |
| WO2000046966A2 (en) * | 1999-02-02 | 2000-08-10 | Casual Technologies, Inc. | System and method for prepaid and anonymous internet access |
| CN1282427A (zh) * | 1997-12-19 | 2001-01-31 | 弗兰普顿·E·埃利斯三世 | 全球计算机网络环境中并行处理的防火墙安全保护 |
| WO2002060117A1 (en) * | 2001-01-25 | 2002-08-01 | Solutionary, Inc. | Method and apparatus for verifying the integrity of computer networks and implementation of counter measures |
| WO2002087155A1 (en) * | 2001-04-23 | 2002-10-31 | Symantec Corporation | System and method for computer security using multiple cages |
Family Cites Families (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4780821A (en) * | 1986-07-29 | 1988-10-25 | International Business Machines Corp. | Method for multiple programs management within a network having a server computer and a plurality of remote computers |
| IT1196791B (it) * | 1986-11-18 | 1988-11-25 | Cselt Centro Studi Lab Telecom | Elemento di commutazione per reti di interconnessione multistadio autoinstradanti a commutazione di pacchetto |
| US4979118A (en) * | 1989-03-10 | 1990-12-18 | Gte Laboratories Incorporated | Predictive access-control and routing system for integrated services telecommunication networks |
| US5889953A (en) * | 1995-05-25 | 1999-03-30 | Cabletron Systems, Inc. | Policy management and conflict resolution in computer networks |
| US5898830A (en) * | 1996-10-17 | 1999-04-27 | Network Engineering Software | Firewall providing enhanced network security and user transparency |
| US5983350A (en) * | 1996-09-18 | 1999-11-09 | Secure Computing Corporation | Secure firewall supporting different levels of authentication based on address or encryption status |
| US6212558B1 (en) * | 1997-04-25 | 2001-04-03 | Anand K. Antur | Method and apparatus for configuring and managing firewalls and security devices |
| US5968176A (en) * | 1997-05-29 | 1999-10-19 | 3Com Corporation | Multilayer firewall system |
| EP0987912B1 (de) * | 1998-09-18 | 2008-11-26 | Siemens Enterprise Communications GmbH & Co. KG | Verfahren und Anordnung zur Schnurloskommunikation mittels mindestens zwei Vermittlungsrechnern |
| US6219706B1 (en) * | 1998-10-16 | 2001-04-17 | Cisco Technology, Inc. | Access control for networks |
| US6519636B2 (en) * | 1998-10-28 | 2003-02-11 | International Business Machines Corporation | Efficient classification, manipulation, and control of network transmissions by associating network flows with rule based functions |
| US6006259A (en) * | 1998-11-20 | 1999-12-21 | Network Alchemy, Inc. | Method and apparatus for an internet protocol (IP) network clustering system |
| US7051365B1 (en) * | 1999-06-30 | 2006-05-23 | At&T Corp. | Method and apparatus for a distributed firewall |
| US6463474B1 (en) * | 1999-07-02 | 2002-10-08 | Cisco Technology, Inc. | Local authentication of a client at a network device |
| US6665701B1 (en) * | 1999-08-03 | 2003-12-16 | Worldcom, Inc. | Method and system for contention controlled data exchange in a distributed network-based resource allocation |
| US6628670B1 (en) * | 1999-10-29 | 2003-09-30 | International Business Machines Corporation | Method and system for sharing reserved bandwidth between several dependent connections in high speed packet switching networks |
| AU2001282477A1 (en) * | 2000-08-24 | 2002-03-04 | Voltaire Advanced Data Security Ltd. | System and method for highly scalable high-speed content-based filtering and load balancing in interconnected fabrics |
| US6954790B2 (en) * | 2000-12-05 | 2005-10-11 | Interactive People Unplugged Ab | Network-based mobile workgroup system |
| US20020090089A1 (en) * | 2001-01-05 | 2002-07-11 | Steven Branigan | Methods and apparatus for secure wireless networking |
| CA2437548A1 (en) * | 2001-02-06 | 2002-11-28 | En Garde Systems | Apparatus and method for providing secure network communication |
| US20020141378A1 (en) * | 2001-03-28 | 2002-10-03 | Bays Robert James | Methods, apparatuses and systems facilitating deployment, support and configuration of network routing policies |
| US20060020688A1 (en) * | 2001-05-14 | 2006-01-26 | At&T Corp. | System having generalized client-server computing |
| US20030035371A1 (en) * | 2001-07-31 | 2003-02-20 | Coke Reed | Means and apparatus for a scaleable congestion free switching system with intelligent control |
| EP1523129B1 (en) * | 2002-01-18 | 2006-11-08 | Nokia Corporation | Method and apparatus for access control of a wireless terminal device in a communications network |
| US7185365B2 (en) * | 2002-03-27 | 2007-02-27 | Intel Corporation | Security enabled network access control |
| US7508825B2 (en) * | 2002-08-05 | 2009-03-24 | Intel Corporation | Data packet classification |
| US20060059558A1 (en) * | 2004-09-15 | 2006-03-16 | John Selep | Proactive containment of network security attacks |
-
2003
- 2003-02-10 JP JP2003031837A patent/JP4120415B2/ja not_active Expired - Fee Related
-
2004
- 2004-01-16 US US10/758,114 patent/US20040158643A1/en not_active Abandoned
- 2004-01-30 CN CNB2004100393596A patent/CN100438427C/zh not_active Expired - Fee Related
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0854621A1 (en) * | 1997-01-17 | 1998-07-22 | AT&T Corp. | System and method for providing peer level access control on a network |
| CN1282427A (zh) * | 1997-12-19 | 2001-01-31 | 弗兰普顿·E·埃利斯三世 | 全球计算机网络环境中并行处理的防火墙安全保护 |
| WO2000046966A2 (en) * | 1999-02-02 | 2000-08-10 | Casual Technologies, Inc. | System and method for prepaid and anonymous internet access |
| WO2000046966A3 (en) * | 1999-02-02 | 2000-12-14 | Casual Technologies Inc | System and method for prepaid and anonymous internet access |
| WO2002060117A1 (en) * | 2001-01-25 | 2002-08-01 | Solutionary, Inc. | Method and apparatus for verifying the integrity of computer networks and implementation of counter measures |
| WO2002087155A1 (en) * | 2001-04-23 | 2002-10-31 | Symantec Corporation | System and method for computer security using multiple cages |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2004242222A (ja) | 2004-08-26 |
| US20040158643A1 (en) | 2004-08-12 |
| CN1521993A (zh) | 2004-08-18 |
| JP4120415B2 (ja) | 2008-07-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100438427C (zh) | 网络控制方法和设备 | |
| JP4630896B2 (ja) | アクセス制御方法、アクセス制御システムおよびパケット通信装置 | |
| KR100437169B1 (ko) | 네트워크 트래픽 흐름 제어 시스템 | |
| EP1438670B1 (en) | Method and apparatus for implementing a layer 3/layer 7 firewall in an l2 device | |
| CN101802837B (zh) | 通过对设备的动态地址隔离来提供网络和计算机防火墙保护的系统和方法 | |
| CN103621028B (zh) | 控制网络访问策略的计算机系统、控制器和方法 | |
| CN101022340B (zh) | 实现城域以太网交换机接入安全的智能控制方法 | |
| CN107925589A (zh) | 将远程设备管理属性分发给服务节点以用于服务规则处理 | |
| CN105791047B (zh) | 一种安全视频专网网络管理系统的控制方法 | |
| JP3419391B2 (ja) | 認証拒否端末に対し特定条件でアクセスを許容するlan | |
| CN105187378A (zh) | 处理网络流量的计算机系统及方法 | |
| JP2000174807A (ja) | ストリ―ムにおけるマルチレベルセキュリティの属性パス方法、装置及びコンピュ―タプログラム製品 | |
| US20060150243A1 (en) | Management of network security domains | |
| CN105187380A (zh) | 一种安全访问方法及系统 | |
| CN107528712A (zh) | 访问权限的确定、页面的访问方法及装置 | |
| US7225255B2 (en) | Method and system for controlling access to network resources using resource groups | |
| JP2004062417A (ja) | 認証サーバ装置、サーバ装置、およびゲートウェイ装置 | |
| US20040030765A1 (en) | Local network natification | |
| JP4550145B2 (ja) | アクセス制御のための方法、装置、およびコンピュータ・プログラム | |
| US20030084317A1 (en) | Reverse firewall packet transmission control system | |
| JP2012070225A (ja) | ネットワーク中継装置及び転送制御システム | |
| CN101729544B (zh) | 一种安全能力协商方法和系统 | |
| JP2004062416A (ja) | 不正アクセス防止方法、セキュリティポリシーダウンロード方法、pc、およびポリシーサーバ | |
| JP2006293708A (ja) | コンテンツアクセス制御装置、コンテンツアクセス制御方法およびコンテンツアクセス制御プログラム | |
| CN114978563A (zh) | 一种封堵ip地址的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20081126 Termination date: 20140130 |