CN101438534B - 分布式防火墙实现和控制 - Google Patents
分布式防火墙实现和控制 Download PDFInfo
- Publication number
- CN101438534B CN101438534B CN2007800161088A CN200780016108A CN101438534B CN 101438534 B CN101438534 B CN 101438534B CN 2007800161088 A CN2007800161088 A CN 2007800161088A CN 200780016108 A CN200780016108 A CN 200780016108A CN 101438534 B CN101438534 B CN 101438534B
- Authority
- CN
- China
- Prior art keywords
- equipment
- firewall
- network
- traffic
- firewall services
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
Abstract
网络上的一个或多个设备可被配置成为该网络上的其他设备提供防火墙服务。每个防火墙服务提供者都可发布其对于防火墙服务的能力并且服务接收者可发布其对于防火墙服务的要求。管理器功能可作为中间人来安排请求和提议以匹配服务和要求。可将默认防火墙服务提供给未发布其要求的设备。网络拓扑结构可被重新配置成首先将定址到一设备的话务路由到其相应的防火墙服务提供者。
Description
背景
连接到一网络的计算机容易受到来自该网络上的其他计算机的攻击。如果该网络是因特网,则攻击可包括从获取对计算机的访问的恶意尝试、到安装“僵尸”代码、到服务拒绝攻击的各种动作。获取对计算机的访问的恶意尝试可具有发现个人数据的意图,而僵尸代码可用于通过用来自多个计算机的高话务量来压垮网站而发动服务拒绝攻击。攻击者可包括有组织的罪犯、经验丰富但恶意的计算机专家和读取并重复已发布的对已知漏洞的袭击的“脚本小子”。
大多数计算机具有用于发送和接收数据的可寻址端口。某些端口可被指定为用于特定种类的话务。例如,在因特网协议(IP)网络中,端口80经常被指定为用于超文本协议(http)话务,而端口443经常被指定为用于安全http(https)话务。其他端口可按需被指定为用于不同的服务。在这些指定端口上的非指定话务以及在未使用的端口上的任何话务可指示攻击者获取对计算机的访问的尝试。
可以使用防火墙来将端口话务限于特定协议并关闭未使用的端口以阻挡所有外部话务。防火墙可被置于寻求保护的计算机之间的网络和诸如因特网等“开放”网络上,或可整合到计算机。在公司或其他大型专用网络中,防火墙还可用于限制商业单元之间的话务。防火墙可在指定端口处阻断具有错误协议的话务,例如,可在端口80上阻断文件传输协议(FTP)。类似地,防火墙可阻断未使用端口上的所有话务。防火墙的硬件和软件实现都是可用的。
概述
诸如具有各种电子设备的局域网等网络可具有能够提供防火墙服务的第一组设备以及具有有限或没有防火墙能力的第二组设备。通过发布具有这一能力的那些设备的防火墙服务能力或通过发布需要防火墙服务的设备的防火墙要求,或发布这两者,网络可被配置成允许第一组向第二组设备提供防火墙服务。
为了支持这一分布式防火墙服务,设备需要使其提供防火墙服务的兴趣/能力被知晓的能力。同样,另一个设备需要发布其对于防火墙服务的需求的能力。需要实现网络路由改变以重新路由数据话务以使得可呈现远程滚动(farroll)服务并且需要管理器功能来将能力与要求相匹配并引导数据话务重新路由。此外,管理器功能可对没有发布其要求,或其发布的能力不满足其他系统级最低要求的那些设备强制实施最低级别的防火墙服务。管理器功能可独立于网络中诸如路由器等其他设备,或可被结合到提供或使用防火墙服务的设备之一中。
附图简述
图1是适于在支持分布式防火墙环境的网络中使用的计算机的框图;
图2是能够支持分布式防火墙实现的计算机网络的框图;
图3是分布式防火墙实现的一个实施例的逻辑视图;
图4是图3的分布式防火墙实现的实施例的另一个逻辑视图;
图5是示出分布式防火墙实现的另一个实施例的计算机网络的框图;
图6是图5的实施例的逻辑视图;
图7是分布式防火墙实现的又一个实施例的视图;
图8是适于参与分布式防火墙实现的计算机的代表性框图;以及
图9是适于参与分布式防火墙实现的另一个计算机的代表性框图。
详细描述
尽管以下正文陈述了众多不同实施例的详细描述,但是应当理解,该描述的法律范围由本申请所附的权利要求书的言辞来限定。该详细描述应被解释为仅是示例性的,且不描述每一可能的实施例,因为描述每一可能的实施例即使不是不可能的也是不切实际的。可使用现有技术或在本申请提交日之后开发的技术来实现众多替换实施例,而这仍落入权利要求书的范围之内。
也应理解,在本专利中,除非使用句子“如此处所使用的,术语‘____’特此被定义为意指......”或者类似句子来明确地定义一个术语,否则不管是明确地还是含蓄地,没有限制该术语意义超出其平常或普通意义的意图,并且,这一术语不应该被解释为被限制在基于本专利的任何部分中(除了权利要求书的语言之外)所做的任何陈述的范围中。就本专利所附的权利要求书中引用的任何术语在本专利中以与单数意义相一致的方式来引用而言,这是为简明起见而如此做的,仅仅是为了不使读者感到混淆,且这类权利要求术语并不旨在隐含地或以其它方式限于该单数意义。最后,除非一权利要求要素是通过叙述单词“装置”和功能而没有叙述任何结构来定义的,否则任何权利要求要素的范围并不旨在基于35U.S.C.§112第6段的应用来解释。
许多发明性功能和许多发明性原理最佳地使用或利用软件程序或指令以及诸如专用IC等集成电路(IC)来实现。期望本领域的普通技术人员虽然可能要进行大量的工作和由例如可用时间、现有技术以及经济问题促动的许多设计选择,但是当受到此处所公开的概念和原理的指引时仍能够容易地以最小的实验来生成这些软件指令和程序以及IC。因此,为了简明以及最小化使根据本发明的原理和概念晦涩的任何风险,对这些软件和IC(如果有的话)的进一步讨论将限于对于较佳实施例的原理和概念所必需的那些讨论。
图1示出了可参与分布式防火墙系统的计算机110形式的计算设备。计算机110的组件可包括但不限于,处理单元120、系统存储器130以及将包括系统存储器的各类系统组件耦合至处理单元120的系统总线121。系统总线121可以是几种类型的总线结构中的任何一种,包括存储器总线或存储控制器、外围总线、以及使用各种总线体系结构中的任一种的局部总线。作为示例,而非限制,这样的体系结构包括工业标准体系结构(ISA)总线、微通道体系结构(MCA)总线、增强型ISA(EISA)总线、视频电子技术标准协会(VESA)局部总线和外围部件互连(PCI)总线(也称为夹层(Mezzanine)总线)。
计算机110通常包括各种计算机可读介质。计算机可读介质可以是能由计算机110访问的任何可用介质,而且包含易失性、非易失性介质以及可移动和不可移动介质。作为示例而非局限,计算机可读介质可以包括计算机存储介质和通信介质。计算机存储介质包括以用于存储诸如计算机可读指令、数据结构、程序模块或其它数据等信息的任何方法或技术来实现的易失性和非易失性、可移动和不可移动介质。计算机存储介质包括,但不限于,RAM、ROM、EEPROM、闪存或其它存储器技术、CD-ROM、数字多功能盘(DVD)或其它光盘存储、磁带盒、磁带、磁盘存储或其它磁性存储设备、或能用于存储所需信息且可以由计算机110访问的任何其它介质。通信介质通常以诸如载波或其它传输机制等已调制数据信号来体现计算机可读指令、数据结构、程序模块或其它数据,并包括任意信息传送介质。术语“已调制数据信号”指的是其一个或多个特征以在信号中编码信息的方式被设定或更改的信号。作为示例而非局限,通信介质包括有线介质,如有线网络或直接连线连接,以及无线介质,如声学、RF、红外和其它无线介质。上述任一个的组合也应包括在计算机可读介质的范围之内。
系统存储器130包括易失性和/或非易失性存储器形式的计算机存储介质,如只读存储器(ROM)131和随机存取存储器(RAM)132。基本输入/输出系统133(BIOS)包含有助于诸如启动时在计算机110中的元件之间传递信息的基本例程,它通常被存储在ROM131中。RAM132通常包含处理单元120可以立即访问和/或目前正在其上操作的数据和/或程序模块。作为示例,而非限制,图1示出了操作系统134、应用程序135、其它程序模块136和程序数据137。
计算机110也可以包括其它可移动/不可移动、易失性/非易失性计算机存储介质。仅作为示例,图1示出了从不可移动、非易失性磁介质中读取或向其写入的硬盘驱动器140,从可移动、非易失性磁盘151中读取或向其写入的磁盘驱动器152,以及从诸如CD ROM或其它光学介质等可移动、非易失性光盘155中读取或向其写入的光盘驱动器156。可以在示例性操作环境中使用的其它可移动/不可移动、易失性/非易失性计算机存储介质包括但不限于,磁带盒、闪存卡、数字多功能盘、数字录像带、固态RAM、固态ROM等等。硬盘驱动器141通常通过不可移动存储器接口,诸如接口140连接至系统总线121,磁盘驱动器151和光盘驱动器155通常通过可移动存储器接口,诸如接口150连接至系统总线121。
上文讨论并在图1中示出的驱动器及其相关联的计算机存储介质为计算机110提供了计算机可读指令、数据结构、程序模块和其它数据的存储。例如,在图1中,硬盘驱动器141被示为存储操作系统144、应用程序145、其它程序模块146和程序数据147。注意,这些组件可以与操作系统134、应用程序135、其它程序模块136和程序数据137相同,也可以与它们不同。操作系统144、应用程序145、其它程序模块146和程序数据147在这里被标注了不同的标号是为了说明至少它们是不同的副本。用户可以通过输入设备,诸如键盘162和定点设备161(通常指鼠标、跟踪球或触摸垫)向计算机110输入命令和信息。另一个输入设备可以是用于通过因特网发送图像的摄像头,被称为网络摄像头163。其它输入设备(未示出)可以包括话筒、操纵杆、游戏手柄、圆盘式卫星天线、扫描仪等。这些和其它输入设备通常由耦合至系统总线的用户输入接口160连接至处理单元120,但也可以由其它接口或总线结构,诸如并行端口、游戏端口或通用串行总线(USB)连接。监视器191或其它类型的显示设备也经由接口,诸如视频接口190连接至系统总线121。除监视器以外,计算机也可以包括其它外围输出设备,诸如扬声器197和打印机196,它们可以通过输出外围接口195连接。
计算机110可使用至一个或多个远程计算机,如远程计算机180的逻辑连接在网络化环境中操作。远程计算机180可以是个人计算机、服务器、路由器、网络PC、对等设备或其它常见网络节点,且通常包括上文相对于计算机110描述的许多或所有元件,尽管在图1中只示出存储器存储设备181。图1中所示的逻辑连接包括局域网(LAN)171和广域网(WAN)173,但也可以包括其它网络。这样的联网环境在办公室、企业范围计算机网络、内联网和因特网中是常见的。
当在LAN联网环境中使用时,计算机110通过网络接口或适配器170连接至LAN171。网络接口或适配器170可包括如将在以下进一步讨论的防火墙能力。当在WAN联网环境中使用时,计算机110通常包括调制解调器172或用于通过诸如因特网等WAN173建立通信的其它装置。调制解调器172可以是内置或外置的,它可以通过用户输入接口160或其它适当的机制连接至系统总线121。在网络化环境中,相对于计算机110所描述的程序模块或其部分可被储存在远程存储器存储设备中。作为示例,而非限制,图1示出了远程应用程序185驻留在存储器设备181上。可以理解,所示的网络连接是示例性的,且可以使用在计算机之间建立通信链路的其它手段。
图2示出了能够支持分布式防火墙实现的计算机网络200。诸如因特网等外部网络201可通过诸如路由器或因特网网关设备(IGD)202等网络接口连接到计算机网络200。IGD202与网络201之间的连接可被称为IGD202的上游连接。IGD202的对侧可以是一个或多个下游连接。第一下游连接204可耦合到在计算机网络200上共享的打印机206,然而它也可对外部网络201上的资源可用。第二下游连接208可首先耦合到计算机210并随后耦合到计算机211。在该配置中,计算机210可通过诸如可通过微软的WindowsTM操作系统获得的因特网连接共享(ICS)等工具通过网络连接213与计算机211共享其连接。来自IGD202的另一个下游连接212可耦合到无线接入点214,其支持通过无线传输220对诸如智能电话/个人数字助理(PDA)等无线设备216和膝上型计算机218的网络访问。
在一常规的现有技术实现中,IGD202还可包括防火墙,并对IGD202的下游侧上的所有设备执行该功能。这可导致所有下游连接204、208、212以及各自相关联的设备具有相同的防火墙设置。基于IGD的防火墙中的设置可默认为最低级别的保护或者可不考虑某些设备相对于其他设备的不同要求,诸如打印机206对无线设备216。除了防火墙服务之外,现有技术的IGD还经常执行网络地址转换(NAT)。支持IPv6的IGD将不再提供NAT并且还可能最小化对防火墙服务的支持,使得提供防火墙服务的分布式方法即使不是必需的也更具吸引力。
防火墙服务可包括提供各种保护性能力的多个功能。大多数防火墙具有字段未使用的端口,即,拒绝当前未与特定应用程序或服务相关联的端口上的任何传入话务的能力。在指定端口上,防火墙可将话务限于诸如http(超文本传输协议)或ftp(文件传输协议)等授权协议。此外,防火墙可将外出话务限于特定端口、服务或应用程序。例如,web浏览器可能不能够在除了端口80之外的端口上发送外出请求。可阻断具有未知源的任何活动。例如,对于防火墙未知的间谍软件程序可被阻断发送或接收话务。防火墙还可在各网络之间进行区分,即,局域网可具有使其话务与诸如因特网等广域网不同地对待。防火墙可担当对于诸如虚拟个人网络(VPN)第4层等安全通道的端点。在某些情况下,防火墙可能需要安全通道来用于某些连接或应用程序。防火墙可对特定指令作出反应以在应用程序或服务请求连接时阻断或允许话务。
图3是使用图2的网络200的分布式防火墙实现的一个实施例的逻辑视图。在IGD202不为诸如无线设备216等设备提供合适的防火墙服务的情况下,计算机210以及IGD202可被配置成提供更合适的防火墙服务。这可通过将无线接入点214逻辑地连接到计算机210的下游,使得针对无线设备216的所有话务可首先经由下游连接208和逻辑连接224路由通过计算机210来实现。
对于无线设备216的话务可包括网际协议语音(VoIP)或因特网分组。(网络灵活智能电话可在诸如Wi-Fi等较低成本的网络可用时选择该网络。)计算机210可提供在一个或多个指定端口上将话务限于VoIP或将因特网话务限于指定的无线接入协议(WAP)端口的防火墙服务。计算机210也可为其自身提供防火墙服务。在这一情况下,计算机210可发布不需要服务,因此上游设备或控制器不向其分配另一个设备上的默认防火墙服务。逻辑连接224将在以下参考图4更详细地讨论。
图4是图3的分布式防火墙实现的实施例的另一个逻辑视图。在操作中,逻辑连接224可通过IGD202和计算机210两者中的改变来实现。从网络201到达的去往无线设备216的话务可首先通过逻辑连接226(物理连接208)被路由至设备210。该话务可以在计算机210中过滤,重定址到无线设备216并经由逻辑连接228发送至IGD202。在IGD202处,经过滤的话务可经由逻辑连接230被重新路由到无线设备216。IGD因此可取决于源来区别对待定址到无线设备216的分组。来自网络201的定址到无线设备216的分组可被路由到计算机210,而始发于计算机210的定址到无线设备216的分组被路由到无线设备216。逻辑连接230可对应于从IGD202到无线接入点214的物理连接212以及从无线接入点214到无线设备216的空中连接220。
在一个实施例中,无线设备216可发布对防火墙服务的请求。计算机210可响应该请求并与无线设备216达成协议以提供所请求的服务。IGD202可接受来自或者无线设备216或者计算机210的指令以按需重新路由话务。在某些情况下,IGD可以只接受来自其话务正被重新路由的设备的指令。密码认证对于IGD202接受这些指令可能是必需的。在另一个实施例中,计算机210可发布其提供防火墙服务的能力并且无线设备216可用一请求来响应。在这两个实施例中,所发布的数据可以使用对等网络发现协议来交换防火墙服务信息。
在又一个实施例中,IGD202或其他下游设备中的一个可结合发现防火墙服务要求和防火墙服务能力并使用该信息来匹配设备的管理器。该管理器可结合用于例如按照类型来为每个设备标识最低防火墙服务要求的规则。即使当设备具有某些防火墙能力,但例如未满足最低防火墙服务要求时,管理器也可将防火墙服务提供者与该设备相匹配。
图5是示出分布式防火墙实现的另一个实施例的计算机网络的框图。在该示例性实施例中,膝上型计算机218向打印机206提供防火墙服务。打印机206可具有可编程元件,或诸如字体或颜色转换等基本处理能力。打印机206然后可通过发布请求来请求合适的防火墙服务以将话务限于用于打印作业的端口80和用于处理字体或转换请求的端口443。膝上型计算机218可响应来自打印机206的对防火墙服务的请求并且打印机206可接受。在接收来自打印机206的确认之后,如图6所示,膝上型计算机218可指示IGD202重新路由对应于该打印机的话务。简单地转向图6,来自网络201的去往打印机206的话务可首先通过逻辑连接232被定向到膝上型计算机218。如上所述,膝上型计算机218可代表打印机206执行所请求的防火墙服务并通过逻辑连接234将经过滤的话务转发到IGD202。IGD202然后可通过逻辑连接236将该话务路由到打印机206。
回到图5,在一替换实施例中,IGD202可具有防火墙能力。膝上型计算机218可识别打印机206对于专用防火墙服务的需求并指示IGD202为打印机206提供必需的服务。在这种情况下,膝上型计算机218担当指示者,但不主动管理话务。在指示者的角色中,膝上型计算机218还可监视和管理防火墙活动的其他方面。例如,膝上型计算机218可用家长控制来编程,从而允许防火墙设置按照用户或按照一天中的时间来改变。图5和6的实施例使用打印机206和膝上型计算机218作为示例性网络元件。各原理同等地应用于诸如计算机210、PDA216等其他设备,或诸如附连到网络的存储设备等未具体描绘的其他设备。
用于服务供应的防火墙服务发现和协议的其他序列也是可能的,如以上参考图4所讨论的。
图7是分布式防火墙实现的又一个实施例的视图。计算机210被示为经由IGD202通过连接208耦合到网络201。计算机210还被示为通过网络连接213与计算机211共享其因特网连接。如上所述,这可以通过计算机210中的因特网连接共享工具来进行并且可涉及两个网络端口,一个支持连接208而另一个支持连接213。计算机211可发布对防火墙服务的请求并且计算机210可用其提供所请求的服务的能力来响应。这两个计算机210、211然后可就与提供所请求的服务相关联的条款达成一致。这些条款可包括合同或金钱考虑事项,但也可能简单地是计算机210将提供满足计算机211的需求,或网络200的最低要求的防火墙服务的协议。逻辑上,在IGD202处接收到的定址到计算机211的话务可通过逻辑连接238被传输到计算机210,在计算机210处过滤并通过逻辑连接240转发。来自计算机211的数据可经由逻辑链路242来发送并经由逻辑链路244被转发至IGD202并最终输出到网络201。
如图2所示,其他设备可存在于IGD202的下游侧,包括在网络连接208上。由计算机210提供的防火墙服务可提供不仅针对来自网络201的话务,而且来自这些本地连接的设备的不合需要或非授权话务的保护。
图8是适于参与分布式防火墙实现的计算机的代表性框图。广域网802可具有到路由器806或其他因特网网关连接的网络连接804。路由器806可通过连接807耦合到计算机808。计算机808可具有支持到路由器806的连接807的网络连接810。计算机808还可具有耦合到网络连接810和防火墙服务提供者814的管理器812或控制器。管理器812可用于监视来自诸如电子设备816等另一个设备的所发布的对于防火墙服务的请求。管理器812然后可将网络连接810配置成支持接收定址到电子设备816的话务并将其路由到防火墙服务814。当定址到电子设备816的话务到达时,它可被路由到防火墙服务814并根据达成一致的防火墙服务要求来处理,得到经过滤的话务。网络连接810结合管理器812然后可将经过滤的话务从防火墙服务814返回到路由器806以便通过网络连接818传送到电子设备816。如果计算机808也具有某些路由能力,则它可通过连接820将经过滤的话务直接发送至电子设备816。定址到计算机808的话务也可由防火墙服务814来处理。
在某些情况下,管理器812可取决于遵守标准策略或管理规则的要求来改变所提供的防火墙服务的级别。在许多情况下,所提供的防火墙服务可能比电子设备816所请求的防火墙服务的限制性要大得多,然而限制性较小的防火墙服务也是适用的。例如,限制性较小的防火墙服务在管理器812知晓降低本地需求的上游防火墙服务(未描绘)的时候可能是合适的。
图9是适于参与分布式防火墙实现的另一个计算机的代表性框图。在与图7所示的网络配置相对应的示例性实施例中,诸如因特网等网络902被示为通过网络连接904耦合到计算机906。计算机906具有第一网络连接908、管理器910或控制器,以及类似于参考图8描述的防火墙服务的防火墙服务912。计算机906还被示为具有通过连接916耦合到网络918并随后耦合到电子设备920的第二网络连接914。电子设备920可请求防火墙服务,可响应计算机906的提供防火墙服务的已发布的提议,或当计算机906不能够确定电子设备920的防火墙能力时被分配一默认防火墙服务。
到达网络连接908的定址到电子设备920的话务可由管理器910定向到其中可代表设备920执行过滤的防火墙服务912。管理器910然后可将经过滤的话务定向到网络连接914以便传送到电子设备920。
虽然现有网络和设备期望从上述装置和技术中获益,但是使用较低成本和较低级功能因特网网关设备来转换为IPv6的网络甚至可能是更大的受益者。此外,根据管理规则和现有网络体系结构使用智能管理器来评估防火墙服务需求和要求可允许功能的较少重复,同时维持或超过由先前防火墙体系结构提供的保护。
尽管以上正文陈述了本发明的众多不同实施例的详细描述,但是应当理解,本发明的范围由本专利所附的权利要求书的言辞来定义。该详细描述应被解释为仅是示例性的,且不描述本发明的每一可能的实施例,因为描述每一可能的实施例即使不是不可能的也是不切实际的。可使用现有技术或在本专利提交日之后开发的技术来实现众多替换实施例,这仍将落入定义本发明的权利要求书的范围之内。
由此,可在此处所描述和示出的技术和结构上作出许多修改和变化而不脱离本发明的精神和范围。因此,应当理解,此处所描述的方法和装置仅是说明性的,且不限制本发明的范围。
Claims (18)
1.一种在具有多个设备的网络中配置防火墙服务的方法,所述方法包括:
确定所述网络中的第一设备的防火墙能力;
确定所述网络中的第二设备的防火墙服务要求;
配置路由器以将所述第二设备逻辑地放置于所述第一设备之后;
根据所述第二设备的防火墙服务要求和所述第一设备的防火墙能力来配置所述第一设备以便为其自身和所述第二设备提供防火墙服务;
通过所述网络在所述路由器处接收发往所述第一设备或所述第二设备中的一个的话务;
将通过所述网络在所述路由器处接收到且发往所述第一设备和所述第二设备中的一个的所述话务路由至所述第一设备;
当所述话务是发往所述第一设备时,根据所述第一设备的所述防火墙服务要求来在所述第一设备处过滤所述话务,而当所述话务是发往所述第二设备时,根据所述第二设备的所述防火墙服务请求在所述第一设备处过滤所述话务;
将经过滤的发往所述第二设备的话务重定址到所述第二设备;
将所述经重定址的话务从所述第一设备传送到所述路由器;以及
将所述经重定址的话务从所述路由器重新路由至所述第二设备。
2.如权利要求1所述的方法,其特征在于,确定所述第一设备的防火墙能力包括监视对应于所述第一设备的防火墙能力的已发布的信息。
3.如权利要求1所述的方法,其特征在于,确定所述防火墙服务要求包括监视来自所述第二设备的已发布的对防火墙服务的请求。
4.如权利要求3所述的方法,其特征在于,管理设置要求所述防火墙服务的限制性比来自所述第二设备的已发布的对对防火墙服务的请求更高。
5.如权利要求1所述的方法,其特征在于,确定所述防火墙服务要求包括当没有已发布的信息可从所述第二设备中获得时为所述第二设备选择默认防火墙服务。
6.如权利要求1所述的方法,其特征在于,上游设备在下游设备具有满足最低防火墙能力的防火墙能力时为其防火墙服务设置开放访问。
7.一种具有适于可配置防火墙保护的多个设备的网络,所述网络包括:
路由器,所述路由器具有上游侧和用于定向与所述网络上的设备的数据话务的下游侧;
耦合到所述路由器的下游侧的第一设备,所述第一设备具有提供至少一种防火墙能力的能力;以及
耦合到所述路由器的下游侧的第二设备,所述第二设备适于发布对防火墙服务的请求,其中当所述第一设备的至少一种防火墙能力满足对所述防火墙服务的请求的要求时所述第一设备响应于来自所述第二设备的请求提供所述至少一种防火墙能力,并且
其中在从所述路由器的上游侧接收到发往所述第一设备或所述第二设备中的一个的话务之际,所述路由器将所述话务重新路由至所述第一设备,所述第一设备将所述至少一种防火墙能力应用于从所述路由器重新路由至所述第一设备的话务,以根据所述至少一种防火墙能力提供经过滤的数据,并且其中所述第一设备重定址关于发往所述第二设备的话务的经过滤的数据,并将所述经重定址的经过滤的数据传送到所述路由器,并且所述路由器将所述经过滤的数据重新路由至所述第二设备。
8.如权利要求7所述的网络,其特征在于,所述要求蕴含在所述请求中。
9.如权利要求7所述的网络,其特征在于,所述路由器接受将定址到所述第二设备的传入话务定向到所述第一设备以满足对所述防火墙服务的请求的信号。
10.如权利要求7所述的网络,其特征在于,所述第一设备将网络连接共享给所述第二设备。
11.如权利要求7所述的网络,其特征在于,所述第一设备发布所述提供所述至少一种防火墙能力的能力。
12.如权利要求11所述的网络,其特征在于,所述第二设备从所述第一设备接收已发布的提供所述至少一种防火墙能力的能力并将对所述防火墙服务的请求定向到所述第一设备。
13.如权利要求7所述的网络,其特征在于,还包括控制器,用于监视防火墙能力和所述适于可配置防火墙保护的多个设备中的每一个的防火墙服务要求。
14.如权利要求13所述的网络,其特征在于,所述控制器被结合在所述第一设备和所述路由器中的一个中。
15.如权利要求13所述的网络,其特征在于,所述控制器具有用于向所述多个设备中的每一个发布防火墙服务要求的通信功能。
16.如权利要求15所述的网络,其特征在于,当所述已发布的防火墙服务要求的限制性比来自所述第二设备的对防火墙服务的请求更高时,所述第一设备提供限制性比来自所述第二设备的对防火墙服务的请求更高的所述至少一种防火墙能力。
17.如权利要求13所述的网络,其特征在于,所述控制器将默认防火墙服务分配给未发布对防火墙服务的请求的第三设备。
18.一种被安排并适于向其他电子设备提供防火墙服务的计算机,所述计算机包括:
支持与上游网络的双向数据话务的第一网络连接;
耦合到所述第一网络连接的管理器,用于监视来自所述其他电子设备的已发布的对防火墙服务的请求,以及响应于所述请求,配置所述第一网络连接以将所述其他电子设备逻辑地放置于所述计算机的下游,并确定提供给所述其他电子设备的防火墙服务级别;
耦合到所述管理器和所述第一网络连接的防火墙服务提供者,其中所述防火墙服务提供者支持对于其自身的防火墙服务并根据由所述管理器确定的级别来为定址到所述其他电子设备的数据话务提供防火墙服务;
第二网络连接,其中根据防火墙服务的级别过滤所述第二网络连接上被定址到所述其他电子设备的数据话务,并经由所述第二网络连接将其路由至所述其他设备。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/429,476 US8079073B2 (en) | 2006-05-05 | 2006-05-05 | Distributed firewall implementation and control |
| US11/429,476 | 2006-05-05 | ||
| PCT/US2007/011053 WO2008100265A2 (en) | 2006-05-05 | 2007-05-07 | Distributed firewall implementation and control |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101438534A CN101438534A (zh) | 2009-05-20 |
| CN101438534B true CN101438534B (zh) | 2013-04-10 |
Family
ID=38662645
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007800161088A Expired - Fee Related CN101438534B (zh) | 2006-05-05 | 2007-05-07 | 分布式防火墙实现和控制 |
Country Status (9)
| Country | Link |
|---|---|
| US (1) | US8079073B2 (zh) |
| EP (1) | EP2016708A4 (zh) |
| JP (1) | JP5031826B2 (zh) |
| KR (1) | KR20090006164A (zh) |
| CN (1) | CN101438534B (zh) |
| BR (1) | BRPI0710933A8 (zh) |
| MX (1) | MX2008013659A (zh) |
| RU (1) | RU2432695C2 (zh) |
| WO (1) | WO2008100265A2 (zh) |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8122492B2 (en) * | 2006-04-21 | 2012-02-21 | Microsoft Corporation | Integration of social network information and network firewalls |
| US8079073B2 (en) | 2006-05-05 | 2011-12-13 | Microsoft Corporation | Distributed firewall implementation and control |
| US8176157B2 (en) * | 2006-05-18 | 2012-05-08 | Microsoft Corporation | Exceptions grouping |
| KR20080046512A (ko) * | 2006-11-22 | 2008-05-27 | 삼성전자주식회사 | 네트워크 리소스 공유 방법 및 그 장치 |
| KR101524881B1 (ko) * | 2007-01-16 | 2015-06-01 | 앱솔루트 소프트웨어 코포레이션 | 2차 에이전트가 호스트 에이전트와 협동하는 보안모듈 |
| US8069230B2 (en) * | 2007-10-31 | 2011-11-29 | Affinegy, Inc. | System and method of configuring a network |
| US20100199343A1 (en) * | 2009-02-03 | 2010-08-05 | Aruba Networks, Inc. | Classification of wired traffic based on vlan |
| US9264369B2 (en) | 2010-12-06 | 2016-02-16 | Qualcomm Incorporated | Technique for managing traffic at a router |
| US8966601B2 (en) * | 2011-09-23 | 2015-02-24 | Hewlett-Packard Development Company, L.P. | Connection of peripheral devices to wireless networks |
| EP2854335A1 (en) * | 2013-09-30 | 2015-04-01 | British Telecommunications public limited company | Data network management |
| US20150358289A1 (en) * | 2014-06-10 | 2015-12-10 | Christopher Michael Ball | Preconfigured transparent firewall with stateful inspection for embedded devices |
| US9912641B2 (en) * | 2014-07-03 | 2018-03-06 | Juniper Networks, Inc. | System, method, and apparatus for inspecting online communication sessions via polymorphic security proxies |
| WO2016028304A1 (en) | 2014-08-21 | 2016-02-25 | Hewlett-Packard Development Company, L.P. | Request for network credential |
| CN104202333A (zh) * | 2014-09-16 | 2014-12-10 | 浪潮电子信息产业股份有限公司 | 一种分布式防火墙的实现方法 |
| EP3439259B1 (de) * | 2017-08-02 | 2019-11-27 | Siemens Aktiengesellschaft | Härten eines kommunikationsgerätes |
| US11184384B2 (en) * | 2019-06-13 | 2021-11-23 | Bank Of America Corporation | Information technology security assessment model for process flows and associated automated remediation |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1384639A (zh) * | 2002-06-11 | 2002-12-11 | 华中科技大学 | 分布式网络动态安全保护系统 |
| EP1484860A1 (en) * | 2003-06-06 | 2004-12-08 | Microsoft Corporation | Automatic discovery and configuration of external network devices |
| US6941474B2 (en) * | 2001-02-20 | 2005-09-06 | International Business Machines Corporation | Firewall subscription service system and method |
Family Cites Families (90)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5606668A (en) | 1993-12-15 | 1997-02-25 | Checkpoint Software Technologies Ltd. | System for securing inbound and outbound data packet flow in a computer network |
| US5835726A (en) | 1993-12-15 | 1998-11-10 | Check Point Software Technologies Ltd. | System for securing the flow of and selectively modifying packets in a computer network |
| JPH08129507A (ja) | 1994-10-31 | 1996-05-21 | Ricoh Co Ltd | 情報保管管理システム |
| US6009469A (en) * | 1995-09-25 | 1999-12-28 | Netspeak Corporation | Graphic user interface for internet telephony application |
| US6152803A (en) | 1995-10-20 | 2000-11-28 | Boucher; John N. | Substrate dicing method |
| JP3165366B2 (ja) | 1996-02-08 | 2001-05-14 | 株式会社日立製作所 | ネットワークセキュリティシステム |
| US6003084A (en) | 1996-09-13 | 1999-12-14 | Secure Computing Corporation | Secure network proxy for connecting entities |
| US7634529B2 (en) * | 1996-11-29 | 2009-12-15 | Ellis Iii Frampton E | Personal and server computers having microchips with multiple processing units and internal firewalls |
| US6009475A (en) | 1996-12-23 | 1999-12-28 | International Business Machines Corporation | Filter rule validation and administration for firewalls |
| US5987611A (en) | 1996-12-31 | 1999-11-16 | Zone Labs, Inc. | System and methodology for managing internet access on a per application basis for client computers connected to the internet |
| US5974549A (en) | 1997-03-27 | 1999-10-26 | Soliton Ltd. | Security monitor |
| US6212558B1 (en) | 1997-04-25 | 2001-04-03 | Anand K. Antur | Method and apparatus for configuring and managing firewalls and security devices |
| US5968176A (en) | 1997-05-29 | 1999-10-19 | 3Com Corporation | Multilayer firewall system |
| US6154775A (en) | 1997-09-12 | 2000-11-28 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with dynamic rule processing with the ability to dynamically alter the operations of rules |
| US6003133A (en) | 1997-11-17 | 1999-12-14 | Motorola, Inc. | Data processor with a privileged state firewall and method therefore |
| US6480959B1 (en) | 1997-12-05 | 2002-11-12 | Jamama, Llc | Software system and associated methods for controlling the use of computer programs |
| US6088804A (en) | 1998-01-12 | 2000-07-11 | Motorola, Inc. | Adaptive system and method for responding to computer network security attacks |
| US6131163A (en) | 1998-02-17 | 2000-10-10 | Cisco Technology, Inc. | Network gateway mechanism having a protocol stack proxy |
| US6253321B1 (en) | 1998-06-19 | 2001-06-26 | Ssh Communications Security Ltd. | Method and arrangement for implementing IPSEC policy management using filter code |
| US6219706B1 (en) | 1998-10-16 | 2001-04-17 | Cisco Technology, Inc. | Access control for networks |
| US6149585A (en) * | 1998-10-28 | 2000-11-21 | Sage Health Management Solutions, Inc. | Diagnostic enhancement method and apparatus |
| US6466976B1 (en) * | 1998-12-03 | 2002-10-15 | Nortel Networks Limited | System and method for providing desired service policies to subscribers accessing the internet |
| US6611875B1 (en) | 1998-12-31 | 2003-08-26 | Pmc-Sierra, Inc. | Control system for high speed rule processors |
| US6631466B1 (en) | 1998-12-31 | 2003-10-07 | Pmc-Sierra | Parallel string pattern searches in respective ones of array of nanocomputers |
| CA2296989C (en) | 1999-01-29 | 2005-10-25 | Lucent Technologies Inc. | A method and apparatus for managing a firewall |
| US6643776B1 (en) | 1999-01-29 | 2003-11-04 | International Business Machines Corporation | System and method for dynamic macro placement of IP connection filters |
| US6636898B1 (en) | 1999-01-29 | 2003-10-21 | International Business Machines Corporation | System and method for central management of connections in a virtual private network |
| JP3314749B2 (ja) * | 1999-02-17 | 2002-08-12 | 株式会社デンソー | 電子制御装置 |
| US6721890B1 (en) | 1999-05-04 | 2004-04-13 | Microsoft Corporation | Application specific distributed firewall |
| US6792615B1 (en) | 1999-05-19 | 2004-09-14 | New Horizons Telecasting, Inc. | Encapsulated, streaming media automation and distribution system |
| CN100384191C (zh) | 1999-06-10 | 2008-04-23 | 阿尔卡塔尔互联网运行公司 | 基于策略的网络体系结构 |
| US6347376B1 (en) | 1999-08-12 | 2002-02-12 | International Business Machines Corp. | Security rule database searching in a network security environment |
| US7016980B1 (en) | 2000-01-18 | 2006-03-21 | Lucent Technologies Inc. | Method and apparatus for analyzing one or more firewalls |
| GB2364477B (en) | 2000-01-18 | 2003-11-05 | Ericsson Telefon Ab L M | Virtual private networks |
| WO2001065381A1 (en) | 2000-02-29 | 2001-09-07 | Boyd John E | A computer-based networking service and method and system for performing the same |
| US6496935B1 (en) | 2000-03-02 | 2002-12-17 | Check Point Software Technologies Ltd | System, device and method for rapid packet filtering and processing |
| GB2365256A (en) | 2000-07-28 | 2002-02-13 | Ridgeway Systems & Software Lt | Audio-video telephony with port address translation |
| GB2366163A (en) * | 2000-08-14 | 2002-02-27 | Global Knowledge Network Ltd | Inter-network connection through intermediary server |
| US7120931B1 (en) | 2000-08-31 | 2006-10-10 | Cisco Technology, Inc. | System and method for generating filters based on analyzed flow data |
| US6931529B2 (en) | 2001-01-05 | 2005-08-16 | International Business Machines Corporation | Establishing consistent, end-to-end protection for a user datagram |
| US7280540B2 (en) | 2001-01-09 | 2007-10-09 | Stonesoft Oy | Processing of data packets within a network element cluster |
| WO2002057917A2 (en) * | 2001-01-22 | 2002-07-25 | Sun Microsystems, Inc. | Peer-to-peer network computing platform |
| NZ527660A (en) * | 2001-01-26 | 2005-03-24 | Bridicum Security Group As | System for providing services and virtual programming interface |
| US20020162026A1 (en) | 2001-02-06 | 2002-10-31 | Michael Neuman | Apparatus and method for providing secure network communication |
| US6697810B2 (en) | 2001-04-19 | 2004-02-24 | Vigilance, Inc. | Security system for event monitoring, detection and notification system |
| US7024460B2 (en) | 2001-07-31 | 2006-04-04 | Bytemobile, Inc. | Service-based compression of content within a network communication system |
| US6938155B2 (en) | 2001-05-24 | 2005-08-30 | International Business Machines Corporation | System and method for multiple virtual private network authentication schemes |
| US6513122B1 (en) | 2001-06-29 | 2003-01-28 | Networks Associates Technology, Inc. | Secure gateway for analyzing textual content to identify a harmful impact on computer systems with known vulnerabilities |
| US20030005328A1 (en) | 2001-06-29 | 2003-01-02 | Karanvir Grewal | Dynamic configuration of IPSec tunnels |
| US7016901B2 (en) | 2001-07-31 | 2006-03-21 | Ideal Scanners & Systems, Inc. | System and method for distributed database management of graphic information in electronic form |
| US20030028806A1 (en) | 2001-08-06 | 2003-02-06 | Rangaprasad Govindarajan | Dynamic allocation of ports at firewall |
| US20030084331A1 (en) | 2001-10-26 | 2003-05-01 | Microsoft Corporation | Method for providing user authentication/authorization and distributed firewall utilizing same |
| JP2003140994A (ja) * | 2001-11-01 | 2003-05-16 | Hitachi Ltd | ファイアウォール計算機システム |
| US20030110379A1 (en) | 2001-12-07 | 2003-06-12 | Tatu Ylonen | Application gateway system, and method for maintaining security in a packet-switched information network |
| US7342876B2 (en) | 2001-12-20 | 2008-03-11 | Sri International | Interference mitigation and adaptive routing in wireless ad-hoc packet-switched networks |
| US6845452B1 (en) | 2002-03-12 | 2005-01-18 | Reactivity, Inc. | Providing security for external access to a protected computer network |
| WO2003090034A2 (en) | 2002-04-22 | 2003-10-30 | Mfc Networks, Inc. | Process for monitoring, filtering and caching internet connections |
| US7120930B2 (en) | 2002-06-13 | 2006-10-10 | Nvidia Corporation | Method and apparatus for control of security protocol negotiation |
| US7146638B2 (en) | 2002-06-27 | 2006-12-05 | International Business Machines Corporation | Firewall protocol providing additional information |
| NO317294B1 (no) | 2002-07-11 | 2004-10-04 | Birdstep Tech Asa | Sømløs Ip-mobilitet på tvers av sikkerhetsgrenser |
| FI20021407A (fi) | 2002-07-24 | 2004-01-25 | Tycho Technologies Oy | Tietoliikenteen suodattaminen |
| US20040148439A1 (en) | 2003-01-14 | 2004-07-29 | Motorola, Inc. | Apparatus and method for peer to peer network connectivty |
| US7213235B2 (en) | 2003-02-21 | 2007-05-01 | Sap Ag | Method for using a business model user interface |
| US7200860B2 (en) | 2003-03-05 | 2007-04-03 | Dell Products L.P. | Method and system for secure network service |
| JP4352728B2 (ja) | 2003-03-11 | 2009-10-28 | 株式会社日立製作所 | サーバ装置、端末制御装置及び端末認証方法 |
| FR2852754B1 (fr) * | 2003-03-20 | 2005-07-08 | At & T Corp | Systeme et methode de protection d'un reseau de transmission ip contre les attaques de deni de service |
| US7409707B2 (en) | 2003-06-06 | 2008-08-05 | Microsoft Corporation | Method for managing network filter based policies |
| US7509673B2 (en) | 2003-06-06 | 2009-03-24 | Microsoft Corporation | Multi-layered firewall architecture |
| US7260840B2 (en) | 2003-06-06 | 2007-08-21 | Microsoft Corporation | Multi-layer based method for implementing network firewalls |
| US7308711B2 (en) | 2003-06-06 | 2007-12-11 | Microsoft Corporation | Method and framework for integrating a plurality of network policies |
| US7559082B2 (en) | 2003-06-25 | 2009-07-07 | Microsoft Corporation | Method of assisting an application to traverse a firewall |
| US7237260B2 (en) | 2003-07-08 | 2007-06-26 | Matsushita Electric Industrial Co., Ltd. | Method for dynamic selection for secure and firewall friendly communication protocols between multiple distributed modules |
| US20050079858A1 (en) | 2003-10-09 | 2005-04-14 | Rosen Eric C. | Method and apparatus for restricting media communication in a communication network |
| US20050091068A1 (en) | 2003-10-23 | 2005-04-28 | Sundaresan Ramamoorthy | Smart translation of generic configurations |
| US20050138380A1 (en) | 2003-12-22 | 2005-06-23 | Fedronic Dominique L.J. | Entry control system |
| US20070174031A1 (en) | 2003-12-23 | 2007-07-26 | Roman Levenshteyn | Method and device for taking an access control policy decision |
| US8195835B2 (en) | 2004-01-28 | 2012-06-05 | Alcatel Lucent | Endpoint address change in a packet network |
| JP2005217757A (ja) | 2004-01-29 | 2005-08-11 | Oki Techno Creation:Kk | ファイアウオール管理システム、ファイアウオール管理方法、およびファイアウオール管理プログラム |
| US20050182967A1 (en) | 2004-02-13 | 2005-08-18 | Microsoft Corporation | Network security device and method for protecting a computing device in a networked environment |
| US7610621B2 (en) | 2004-03-10 | 2009-10-27 | Eric White | System and method for behavior-based firewall modeling |
| US20050229246A1 (en) | 2004-03-31 | 2005-10-13 | Priya Rajagopal | Programmable context aware firewall with integrated intrusion detection system |
| US7567560B1 (en) | 2004-04-28 | 2009-07-28 | Cisco Technology, Inc. | System and method for securing a communication network |
| CA2467603A1 (en) | 2004-05-18 | 2005-11-18 | Ibm Canada Limited - Ibm Canada Limitee | Visualization firewall rules in an auto provisioning environment |
| JP4341517B2 (ja) | 2004-06-21 | 2009-10-07 | 日本電気株式会社 | セキュリティポリシー管理システム、セキュリティポリシー管理方法およびプログラム |
| US8265060B2 (en) | 2004-07-15 | 2012-09-11 | Qualcomm, Incorporated | Packet data filtering |
| US7489781B2 (en) | 2004-10-29 | 2009-02-10 | Research In Motion Limited | Secure peer-to-peer messaging invitation architecture |
| US7966654B2 (en) | 2005-11-22 | 2011-06-21 | Fortinet, Inc. | Computerized system and method for policy-based content filtering |
| US8122492B2 (en) | 2006-04-21 | 2012-02-21 | Microsoft Corporation | Integration of social network information and network firewalls |
| US8079073B2 (en) | 2006-05-05 | 2011-12-13 | Microsoft Corporation | Distributed firewall implementation and control |
| US8176157B2 (en) | 2006-05-18 | 2012-05-08 | Microsoft Corporation | Exceptions grouping |
-
2006
- 2006-05-05 US US11/429,476 patent/US8079073B2/en not_active Expired - Fee Related
-
2007
- 2007-05-07 WO PCT/US2007/011053 patent/WO2008100265A2/en active Application Filing
- 2007-05-07 KR KR1020087026936A patent/KR20090006164A/ko not_active IP Right Cessation
- 2007-05-07 JP JP2009509784A patent/JP5031826B2/ja not_active Expired - Fee Related
- 2007-05-07 RU RU2008143609/09A patent/RU2432695C2/ru not_active IP Right Cessation
- 2007-05-07 CN CN2007800161088A patent/CN101438534B/zh not_active Expired - Fee Related
- 2007-05-07 EP EP07872511A patent/EP2016708A4/en not_active Withdrawn
- 2007-05-07 BR BRPI0710933A patent/BRPI0710933A8/pt not_active Application Discontinuation
- 2007-05-07 MX MX2008013659A patent/MX2008013659A/es not_active Application Discontinuation
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6941474B2 (en) * | 2001-02-20 | 2005-09-06 | International Business Machines Corporation | Firewall subscription service system and method |
| CN1384639A (zh) * | 2002-06-11 | 2002-12-11 | 华中科技大学 | 分布式网络动态安全保护系统 |
| EP1484860A1 (en) * | 2003-06-06 | 2004-12-08 | Microsoft Corporation | Automatic discovery and configuration of external network devices |
Also Published As
| Publication number | Publication date |
|---|---|
| US8079073B2 (en) | 2011-12-13 |
| EP2016708A2 (en) | 2009-01-21 |
| JP5031826B2 (ja) | 2012-09-26 |
| MX2008013659A (es) | 2008-11-04 |
| CN101438534A (zh) | 2009-05-20 |
| BRPI0710933A8 (pt) | 2017-01-17 |
| EP2016708A4 (en) | 2009-06-03 |
| KR20090006164A (ko) | 2009-01-14 |
| RU2008143609A (ru) | 2010-05-10 |
| US20070261111A1 (en) | 2007-11-08 |
| WO2008100265A2 (en) | 2008-08-21 |
| BRPI0710933A2 (pt) | 2011-05-31 |
| WO2008100265A8 (en) | 2009-06-25 |
| RU2432695C2 (ru) | 2011-10-27 |
| JP2009536405A (ja) | 2009-10-08 |
| WO2008100265A3 (en) | 2008-12-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101438534B (zh) | 分布式防火墙实现和控制 | |
| US8997202B2 (en) | System for secure transfer of information from an industrial control system network | |
| CN108141717B (zh) | 用于数据处理的方法和系统 | |
| US20200076696A1 (en) | Remotely assigned, bandwidth-limiting internet access apparatus and method | |
| JP5864758B2 (ja) | バーチャルスイッチを介してネットワークトラフィックをコントロールするシステム及び方法 | |
| US9304836B2 (en) | Bridging data distribution services domains based on discovery data | |
| CN109462655B (zh) | 一种网络远程协助方法、系统、电子设备和介质 | |
| CN100481832C (zh) | 通信装置、边界路由器装置、服务器装置、通信系统和通信方法 | |
| US20150058925A1 (en) | Secure one-way interface for opc data transfer | |
| EP2378716B1 (en) | Systems for conducting communications among components of multidomain industrial automation system | |
| EP2378741A1 (en) | Systems and Methods for Conducting Communications Among Components of Multidomain Industrial Automation System | |
| CN104272656A (zh) | 软件定义网络中的网络反馈 | |
| CN102197400A (zh) | 用于直接访问网络的网络位置确定 | |
| CN102164078A (zh) | 策略路由方法、装置及系统 | |
| CN102823221A (zh) | 网络资源租赁 | |
| EP2378740A1 (en) | Method for conducting communications among components of multidomain industrial automation system | |
| CN101278521A (zh) | 无状态双向代理 | |
| US20100017500A1 (en) | Methods and systems for peer-to-peer proxy sharing | |
| Grevers Jr et al. | Application Acceleration and WAN Optimization Fundamentals: Appli Accel WAN Optim Funda | |
| CN102652413A (zh) | 通信装置、通信方法、集成电路以及程序 | |
| CN101026531B (zh) | 信息处理系统 | |
| CN104301132A (zh) | 网络可配置的工业装置 | |
| CN105229975A (zh) | 基于应用提供的传输元数据的网络传输调整 | |
| Humble et al. | Software-defined quantum network switching | |
| CN113966595A (zh) | 基于意图的应用结构 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: MICROSOFT TECHNOLOGY LICENSING LLC Free format text: FORMER OWNER: MICROSOFT CORP. Effective date: 20150428 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20150428 Address after: Washington State Patentee after: Micro soft technique license Co., Ltd Address before: Washington State Patentee before: Microsoft Corp. |
|
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130410 Termination date: 20200507 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |