CN102685104A - 用于包过滤的基于片上系统的装置及其包过滤方法 - Google Patents
用于包过滤的基于片上系统的装置及其包过滤方法 Download PDFInfo
- Publication number
- CN102685104A CN102685104A CN2012100717585A CN201210071758A CN102685104A CN 102685104 A CN102685104 A CN 102685104A CN 2012100717585 A CN2012100717585 A CN 2012100717585A CN 201210071758 A CN201210071758 A CN 201210071758A CN 102685104 A CN102685104 A CN 102685104A
- Authority
- CN
- China
- Prior art keywords
- rule
- rules
- list
- regular
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Business, Economics & Management (AREA)
- Business, Economics & Management (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Small-Scale Networks (AREA)
Abstract
一种用于包过滤的基于片上系统的装置及其包过滤方法。提供了一种装置,包括:芯片,包括存储用于包过滤的规则DB的第一存储单元以及通过应用规则DB来允许或阻止包的发送/接收的防火墙引擎;规则转换器,从用户接收用于包过滤的规则并将所述规则转换为用于将所述规则存储在规则列表中的格式,其中,所述芯片接收由规则转换器转换的规则列表并将规则列表作为规则DB存储在第一存储单元中。
Description
本申请要求于2011年3月16日在美国专利商标局提交的第61/453,290号美国临时专利申请的优先权,该申请的公开通过引用全部包含于此。
技术领域
与示例性实施例一致的设备和方法涉及一种可提供包过滤的基于片上系统(SOC)的装置及其包过滤方法,更具体地说,涉及一种可通过设置根据网络应用的进程来允许或阻止包的防火墙来提供包过滤的基于SOC的装置及其包过滤方法。
背景技术
随着互联网的广泛使用,出现各种形式的恶意软件(诸如蠕虫、木马、病毒或DDoS),并且由恶意软件造成的损害正在增加。因此,需要一种用于应对网络攻击的方法和保护网络上的信息的相关装置。
特别地,移动装置具有有限的可用资源并因而需要在使用最少的资源的同时高速过滤包的高速过滤技术。
发明内容
示例性实施例的一个或多个方面提供一种方法和装置,该方法和装置使用规则转换器转换由用户通过用户接口输入的规则并以规则列表的格式存储该规则。
示例性实施例的一个或多个方面提供一种装置及其包过滤方法,该装置设置防火墙以根据网络应用的进程允许或阻止包,从而允许或阻止由相应进程产生的所有包。
示例性实施例的一个或多个方面提供一种装置及其包过滤方法,该装置可在设置用于包过滤的规则时,通过提供配置帮助器来针对用户期望的服务更容易地执行防火墙设置作业。
根据示例性实施例的一方面,提供了一种装置,包括:芯片,包括存储用于包过滤的规则DB的第一存储单元以及通过应用规则DB来允许或阻止包的发送/接收的防火墙引擎;规则转换器,从用户接收用于包过滤的规则并将所述规则转换为用于将所述规则存储在规则列表中的格式,其中,所述芯片接收由规则转换器转换的规则列表并将规则列表作为规则DB存储在第一存储单元中。
根据另一示例性实施例的一方面,提供了一种其上安装了具有防火墙功能的芯片的装置的包过滤方法,所述包过滤方法包括:由所述装置从用户接收用于包过滤的规则并将所述规则转换为规则列表的格式;由所述芯片从所述装置接收规则列表并以规则DB的格式存储所述规则列表;由所述芯片使用规则DB来允许或阻止包的发送/接收。
示例性实施例的另外的方面和优点将在详细描述中被阐述,从详细描述中将是明显的,或者可通过实施示例性实施例而被得知。
附图说明
通过参照附图详细地描述示例性实施例,上述和其它特点和优点将变得更加清楚,在附图中:
图1是用于说明根据示例性实施例的安装有SOC的装置的示图;
图2是用于说明根据示例性实施例的安装有SOC的装置的示图;
图3是用于说明根据示例性实施例的由防火墙接口提供的规则设置屏幕的示图;
图4是用于说明根据示例性实施例的配置帮助器的功能的示图;
图5用于说明根据示例性实施例的用于设置基本规则的规则设置屏幕的示图;
图6是用于说明根据示例性实施例的根据进程设置规则的规则设置屏幕的示图;
图7是示出根据示例性实施例规则转换器的操作的流程图;
图8是用于说明根据示例性实施例的用于存储被转换的规则的方法的示图;
图9是用于说明根据示例性实施例的图2的装置的包过滤方法的流程图。
具体实施方式
现在将参照附图更充分地描述示例性实施例以阐明本发明构思的多个方面、特征和优点。然而,示例性实施例可以多种不同形式被实施,并且不应被解释为限制于这里阐述的示例性实施例。而是,提供示例性实施例从而本公开将是彻底和完整的,并将向本领域普通技术人员充分传达本申请的范围。将理解,当组件、层或区域被表示为在另一组件、层或区域“之上”时,该组件、层或区域可直接在另一组件、层或区域之上或插入多个组件、层或区域之间。
这里使用的术语仅是为了描述特定示例性实施例的目的,而不意图是限制性的。如在此所使用的,单数形式还意图包括复数形式,除非上下文明确地指出。还将理解,当术语“包括”在本说明书中被使用时,所述术语不排除一个或多个其它部件的存在或添加。
在下文,将参照附图更详细地描述示例性实施例。在描述中定义的事物(诸如详细的结构和组件)被提供以帮助全面理解示例性实施例。然而,明显的是,本领域普通技术人员可在没有那些专门定义的事物的情况下实现示例性实施例。在示例性实施例的描述中,当认为现有技术的特定详细说明会不必要地模糊本发明构思的实质时,省略现有技术的特定详细说明。
图1是用于说明根据示例性实施例的安装有SOC的装置的示图。
参照图1,根据示例性实施例的装置1包括在其上安装的SOC 3并具有用于过滤包的防火墙功能。
装置1可包括用于防火墙操作的用户接口(UI)应用,UI应用可向用户提供用于包过滤的规则的状态并可从用户接收新规则。
装置1还可包括规则转换器和规则列表存储装置。规则转换器将通过UI从用户接收的规则转换为可存储在装置1中的格式,并将该规则添加到现有规则列表。规则列表可被存储在装置1的内部存储装置或外部存储装置中。
存储在规则列表存储装置中的规则列表被发送到SOC 3。SOC 3将规则列表加载到其自身的存储器或将规则列表作为规则数据库(DB)存储在存储装置中,并且防火墙引擎通过参照规则DB针对包执行过滤操作。
装置1可包括使用通过网络发送/接收的包的至少一个网络应用,并且每个应用可包括至少一个进程。为了方便说明,通过将特定包发送到外部装置或从外部装置接收特定包来使用所述包的进程被称为所述包的“主进程”。根据示例性实施例,每个进程被分配标识(ID)从而多个进程可彼此区分开。每个包包括使用所述包的主进程的进程ID。因此,使用所述包的主进程可通过包括在所述包中的进程ID被识别。
根据示例性实施例,SOC 3可包括网络接口卡(NIC),从而装置1可通过SOC 3将包发送到外部装置并可通过SOC 3从外部装置接收包。
如果SOC 3包括NIC并且装置1通过NIC与外部装置进行包的发送/接收,则装置1识别将被发送/接收的包的主进程,并且将主进程的进程ID和包一起发送到SOC 3。
根据示例性实施例,SOC 3的防火墙引擎通过参照规则DB确定将被发送/接收的包的主进程是否被允许发送/接收包,并仅在确定主进程被允许发送/接收包的情况下允许包通过。
此外,如果将被发送到外部装置的包的主进程不被允许将包发送到外部装置,则装置1可停止执行包的主进程。
虽然在图1中没有示出,但是SOC 3可包括硬件或软件资源,包括:中央处理单元(CPU)、存储器、存储器控制器和规则DB存储单元。虽然在本说明书中没有明确说明用于驱动程序所必需的资源(诸如CPU、存储器、存储器控制器和规则DB存储单元),但是应理解,包括了用于驱动程序及其操作所必需的硬件和软件资源。
例如,包括在SOC 3中的防火墙引擎可包括将规则DB和包进行匹配的匹配器和操作匹配器的固件。然而,虽然没有明确提到匹配器和所述固件,但是应理解,在SOC 3中包括存储所述固件的存储单元和将所述固件加载到存储器的CPU。
类似地,如果装置1被描述为包括特定应用或驱动器,则应理解,包括了用于操作所述应用或驱动器的硬件和/或软件资源。
装置1可以是诸如智能电话或个人数字助理(PDA)的移动装置。然而,这仅是示例,装置1可以是诸如桌上型计算机的固定类型的装置。
图2是用于说明根据示例性实施例的安装有SOC的装置的示图。在图2中,基于SOC实现防火墙功能,并且防火墙功能被安装在装置200中。
如图2中所示,装置200可被划分为应用层、内核层、SOC层和NIC层。根据示例性实施例,可省略这些功能层中的一些或可添加另外的功能层。此外,每个功能层的详细组件可被修改。因此,图2的配置只是示例,本公开不应被限制于图2。
参照图2,装置200可包括防火墙UI应用201和各种网络应用203。
防火墙UI应用201提供与防火墙操作有关的用户接口。例如,防火墙UI应用201可提供防火墙操作作业(job)、防火墙停止作业、规则添加作业、规则改变作业、特定规则移除作业、全部规则移除作业、规则状态显示作业、输出应用于每个规则的包日志的作业以及改变基本规则设置的作业。
防火墙UI应用201可从用户接收用于包过滤的规则,并可为用户显示通过防火墙引擎229进行的包过滤的结果。防火墙UI应用201可执行用于包过滤的规则的添加和/或更新。
根据示例性实施例,防火墙UI应用201可为用户显示通过微端口驱动器217进行的针对每个进程的包过滤的结果,或可通过从用户接收针对每个进程的规则来更新规则DB。
规则转换器204将用户输入的规则转换为在装置200中使用的规则格式,并扫描是否在多个规则之间发生抵触。如果在多个规则之间发生抵触,则规则转换器204可通知防火墙UI应用201抵触的结果,并可从用户接收附加命令。
规则列表存储装置205以列表的格式存储由规则转换器204转换的规则,并可以是非易失性存储器之一。
反恶意软件SOC流接口驱动器211(在下文,被称为“流接口驱动器”)可从防火墙UI应用201接收数据,并将该数据发送到SOC的AP驱动器221,并可从AP驱动器221接收数据并将该数据发送到防火墙UI应用201。
防火墙管理器227处理通过防火墙UI应用201输入的用户命令,并且防火墙管理器227在SOC上被实现。防火墙管理器227可根据用户命令将规则存储在规则DB 224中,并且可读出规则DB 224的当前状态并将规则DB 224的当前状态发送到防火墙UI应用201,从而将当前状态显示给用户。
网络应用203包括使用将被包过滤的包数据的应用203。例如,网络应用201可以是web浏览器203-1、telnet 203-2、文件传输协议(FTP)服务器203-3中的至少一个,或可以是使用预定包数据的应用之一。
根据示例性实施例的装置200的内核层可将装置200从外部装置接收的包数据内的信息发送到应用层,或可根据来自应用层的请求产生包数据并将包数据发送到外部装置。
如图2中所示,如果传输控制协议/互联网协议(TCP/IP)被用于发送/接收包数据,则装置200包括TCP/IP驱动器215。此外,如果装置200使用Windows作为操作系统(OS),则装置200包括WinSock 213。由于TCP/IP驱动器215和WinSock 213的操作是公知的,因此省略对其的详细描述。
如果装置200使用TCP/IP以外的不同协议,则装置200可包括用于使用该不同协议的驱动器,并且,如果装置200使用Windows操作系统以外的不同操作系统,则装置200可包括WinSock 213以外的组件。也就是说,根据示例性实施例,WinSock 213和TCP/IP驱动器215可被其它组件替换。
内核层还可包括网络驱动器接口规范(NDIS)218,NDIS 218可包括反恶意软件SOC微端口驱动器217(在下文,被称为“微端口驱动器”)。
微端口驱动器217可从网络应用203接收包数据并将包数据发送到AP驱动器221,或可从AP驱动器221接收包数据并将包数据发送到上层。
根据示例性实施例,微端口驱动器217可在将包数据发送到AP驱动器221之前根据进程过滤包数据。例如,在根据进程设置的规则包括在用于包过滤的规则中的情况下,如果微端口驱动器217从网络应用203接收到包数据,则微端口驱动器217识别包的主进程并将主进程与根据该进程设置的规则相比较,从而确定是否使该包通过。可选择地,微端口驱动器27识别包的主进程,然后将包与指示主进程的信息(例如,进程ID)一起发送到SOC,SOC确定是否使该包通过。
AP驱动器221从微端口驱动器217接收包数据并将包数据发送到防火墙引擎229。防火墙引擎229执行包验证处理并执行包过滤。包验证处理用于防止诸如Syn泛洪(Syn Flooding)的攻击。
防火墙229将用于包过滤的规则应用于包并确定是允许还是阻止包,并根据确定的结果允许或阻止包。这时,防火墙SOC包括规则DB 224并使用存储在规则DB 224中的规则执行包过滤。
如果包将被发送到装置200的外部,则防火墙引擎229仅将作为包过滤的结果的被确定为“允许”的包发送到NIC驱动器228。NIC驱动器228将从防火墙引擎229接收的包发送到NIC 231。之后,NIC 231将包发送到外部网络。
如果装置200从外部装置接收到包,则防火墙引擎229仅将作为包过滤的结果的被确定为“允许”的包发送到AP驱动器221,AP驱动器221将包发送到微端口驱动器217。
NIC 231可将包数据发送到包网络或从包网络接收包数据,并可作为一部分被安装在SOC上。例如,NIC 231可通过有线或无线LAN接收包数据。
图3是用于说明根据示例性实施例的由防火墙接口提供的规则设置屏幕的示图。
根据示例性实施例,装置200的防火墙UI应用201可将用户输入的规则发送到规则转换器204,规则的格式由规则转换器204转换,并且规则被添加到预先存储的规则列表并被存储在规则列表存储装置205中。
参照图3,规则设置屏幕500包括三个子窗口,即,基本设置窗口510、基本规则设置窗口520和针对每个进程的设置的窗口530。用户可在规则设置屏幕500上选择三个子窗口之一来设置规则。在这些之中,图3示出基本设置窗口510作为被选择的一个窗口。
例如,如果用户希望允许或阻止与某个特定IP地址或特定网络段的IP地址相应的站点,则显示基本设置窗口510。
在图3中,基本设置窗口510包括用于提供配置帮助器511的功能的输入框512,并在输入框512之下包括用于填入各种字段(诸如规则名称、IP、协议和端口)的输入框。
配置帮助器511帮助对网络毫无了解的用户。根据示例性实施例,配置帮助器511提供网络应用的列表,如果用户从包括在该列表中的网络应用中选择了至少一个网络应用,则配置帮助器511可将用于执行所选网络应用所必需的IP、协议和端口中的至少一个自动地显示在相应字段的输入框中。
例如,如果用户选择了配置帮助器511的输入框512的按钮,则如图4所示显示菜单。如果用户选择显示的网络应用之一,则诸如图3中的配置帮助器511之下的规则名称、IP、协议和端口的字段被自动填入。
虽然图4的列表包括信使、P2P、游戏,但是根据示例性实施例,诸如ftp、http、telnet、ssh的协议和打印机可包括在列表中以被选择。
由于普通用户对特定协议或特定服务的端口毫无了解,因此提供配置帮助器511。此外,即使用户很了解网络,该用户也可能不知道为了通过MSN信使发送/接收文件应该允许端口6891~6900和端口41800~41899,直到用户找到相关文档。因此,通过为普通用户提供配置帮助器511,用户可针对他/她希望的服务容易地执行防火墙设置作业。
参照回图3,在配置帮助器511之下的各个字段具有如下含义:
-规则名称:输入规则的名称的字段。
-互联网协议:设置应用了规则的IP的字段。
-协议:设置应用了规则的协议的字段。在示例性实施例中,如果按下协议按钮,则可显示诸如“所有(ALL)”、“TCP”、“UDP”和“ICMP”的菜单列表。除了基本协议之外,可支持其它协议。
-端口:设置应用了规则的端口的字段。用户可直接输入或可通过按下菜单按钮来进行选择。如果菜单按钮被按下,则显示诸如ftp、http、telnet、ssh的协议字符串。如果选择了这些之一,则最小端口数和最大端口数可被自动输入或可由用户输入。
-方向:指定应用了规则的包的方向的字段。在示例性实施例中,如果按钮被按下,则可显示诸如“所有”、“内→外(In→Out)”、“外→内(Out→In)”的菜单列表。“内→外”表示规则仅应用于被发送到装置200的外部的包。“外→内”表示规则仅应用于被装置200接收的包,“所有”表示规则应用于被发送和接收的所有包。
-本地装置:设置应用了规则的网络接口IP的字段。例如,如果装置200包括两个NIC并且规则将被应用于通过特定NIC输入的包,则所述特定NIC的IP被输入到该字段。如果该字段的按钮被按下,则“所有”或本地装置的IP列表被显示以被选择。
-MAC地址:设置应用了规则的MAC地址的字段。
-动作:设置如果与规则匹配的包被输入则将采取什么动作的字段。动作可包括“无”、“允许”、“阻止”和“登记”。“登记”是留下关于应用了规则的包的日志的记录的功能。
参照图5,将说明根据示例性实施例的设置基本规则的方法。图5是说明根据示例性实施例的用于设置基本规则的规则设置屏幕500的示图。图5示出基本规则设置窗口520作为被选择的一个窗口。
基本规则是在包不符合如图3中示出的由用户设置的规则的情况下将被应用的规则。参照图5,基本规则设置窗口520可包括说明基本规则的框521和显示当前规则状态的框522,并可包括阻止所有按钮523和允许所有按钮524。
说明基本规则的框521是用于向用户说明基本规则设置的含义的说明框,显示当前基本规则状态的框522显示当前设置的基本规则的状态。
在示例性实施例中,作为基本默认值的基本规则可被设置以允许被发送到外部的包(向外的包)并阻止被输入到装置的包(向内的包)。阻止所有按钮523和允许所有按钮524用于分别设置作为“阻止”或“允许”所有向外的包和向内的包的这种基本规则设置。
图6是用于说明根据示例性实施例的根据进程设置规则的规则设置屏幕的示图,在示图中选择设置窗口530。
针对每个进程的设置的窗口530是用于输入规则的区域,并可包括进程列表531、选择框532、阻止按钮533和允许按钮534,其中,所述规则根据应用的进程将包定义为被允许或被阻止。
用户可通过设置窗口530将与某些特定应用的进程相关的防火墙设置为“允许”,从而允许由该进程产生的所有包的通过,并可将与某些特定应用的进程相关的防火墙设置为“阻止”,从而阻止由该进程产生的所有包。
虽然在以上示例性实施例中,以应用(程序)的进程为单位将包设置为被允许或被阻止或者停止进程本身的执行,但是可以程序而不是以进程为单位执行以上操作。例如,针对被阻止的包,被该包使用的程序可被识别,并且该程序的执行可被停止。
参照图7和图8,将说明规则转换操作。
图7是示出根据示例性实施例的规则转换器的操作的流程图。在操作S701,防火墙UI应用201从用户接收规则。
例如,用户可通过由防火墙UI应用201提供的设置屏幕500输入用于包过滤的至少一个规则。例如,下面的表1示出由用户输入的多个规则:
【表1】
| 名称 | IP | 协议 | 最小端口 | 最大端口 | 方向 | 本地装置 | Mac | 动作 |
| In 0 | 192.168.0.* | * | * | * | * | 192.168.0.1 | * | 允许 |
| In 1 | 192.168.1.4/255.255.255.240 | * | * | * | * | 192.168.1.1 | * | 允许 |
| In 2 | 192.168.2.111/27 | * | * | * | * | * | * | 允许 |
| NetBIOS | 192.168.*.* | * | 137 | 139 | * | * | * | 允许 |
| ftp服务器 | * | TCP | 20 | 21 | * | * | * | 允许 |
| web服务器 | * | TCP | 80 | 80 | * | * | * | 允许 |
| 远程桌面 | * | TCP | 3389 | 3389 | 向内 | 192.168.0.1 | * | 允许 |
| nateon | 211.47.69.16 | TCP | 5004 | 5010 | 向内 | * | * | 允许 |
| msn | 207.68.172.246 | * | 1863 | 1863 | * | * | * | 允许 |
| msn文件 | 207.68.172.246 | * | 6891 | 6900 | * | * | * | 允许 |
| fortress | 211.117.60.11/24 | TCP | 41800 | 41899 | * | * | 允许 | |
| ICMP | * | ICMP | * | * | 向内 | * | * | 阻止 |
在表1中,标记“*”表示“所有”。
之后,如果由用户输入的规则被发送到规则转换器204,则在操作S703,规则转换器204转换规则。在操作S703,由用户输入的规则可被转换为装置200可接受的规则格式,例如,被转换为可被存储在规则列表存储装置205中的规则格式。
可根据预定转换规定转换规则。例如,在规则的多个字段中,可根据下面的转换规定转换“协议”、“包方向”和“动作”。
【表2】
例如,如果根据包括以上转换规定的预定转换规定来转换“In 2”的规则(表1的从顶部往下的第三行的规则),则该规则可被如下转换:
【表3】
此外,如果根据预定转换规定来转换关于表1的从底部往上的第五行“nateon”的规则,则规则可被如下转换:
【表4】
规则转换器204以上述方法转换由用户输入的所有规则,因此,表1的规则被规则转换器204如下转换:
【表5】
被转换的用户输入的规则以规则列表的格式存储在存储装置205中,图8说明根据示例性实施例的用于存储被转换的规则的方法。
如图8中所示,被转换之后的规则可以链接列表的格式被存储。链接列表采用数据结构方案来将数据彼此连接并管理数据,每个数据存储在被称为节点的存储单元中。例如,如果三个规则如图8中所示被转换,则第一至第三转换的规则被分别存储在节点81、节点82和节点83中。
节点81、节点82和节点83中的每个包括指示每个节点的下一节点的位置的指针P。在图8的示例中,根据每个指针P的指示以第一转换的规则、第二转换的规则和第三转换的规则的顺序存储规则。因此,在之后提交包时以相同顺序将规则应用到每个包。
如以上示例性实施例中所描述的,由于管理效率,因此以列表数据结构的格式而不是以DB的格式管理被转换的规则。如果单独的DB被用于管理规则,则需要用于DB的库。然而,这会导致兼容性或大小的问题。具体地,由于规则的数量小,因此如果以DB的格式管理规则,则DB代码的大小大于规则大小,从而减小了效率。此外,如果使用单独的DB,则在规则被输入不同的操作系统时还应输入所述DB。
如果在操作S703转换了用户输入的规则,则在操作S705,规则转换器204在将被转换的规则添加到现有规则列表之前检查被转换的规则是否与现有规则相抵触。
以各种方法检查抵触。根据示例性实施例,规则转换器204可检查被转换的规则是否与包括在现有规则列表中的每个规则相抵触。也就是说,可通过执行将由用户新输入的规则与所有已登记的规则相比较的抵触检查算法来检查规则。
在操作S707,如果在将被新添加的用户输入的规则和预先存储的规则之间存在抵触,则规则转换器204根据预定优先级确定插入用户输入的规则的位置,并将该用户输入的规则添加到该位置。
根据示例性实施例可根据各种标准来预先设置优先级。例如,抵触规则中的首先输入的规则可具有优先级从而可在过滤包时被首先应用,或者最后输入的规则可具有优先级从而可在过滤包时被首先应用。
可选择地,如果发生规则抵触,则规则转换器204可通知用户该抵触情况。在这种情况下,在规则转换器204通知用户该抵触之后,用户可选择是否再次手动设置规则,或可选择是否由规则转换器204自动确定规则的优先级或者是否将丢弃规则。
在操作S707,如果用户输入的规则被添加到规则列表并被存储在规则列表存储装置205中,则在操作S709,规则转换器204根据用户命令或预定事件将规则列表发送到SOC。在图2的示例性实施例中,规则转换器204可将规则列表发送到SOC的防火墙管理器227。
在操作S711,防火墙管理器227将规则列表存储在规则DB 224中,并随后根据规则过滤包。由防火墙管理器227接收的规则列表是具有链接列表格式的数据,从而防火墙管理器227可将规则列表转换为规则数据库格式并将规则列表存储在规则DB 224中。
图9是示出根据示例性实施例的图2的包过滤方法的流程图,并示出在过滤包时如何应用用户输入的规则的示例。
图9示出在装置200将包发送到外部的情况下的包过滤处理,并假设用户输入的规则在如图7中说明的已被规则转换器204转换并被存储在规则列表存储装置205中之后被存储在SOC的规则DB 224中。
参照图9,在操作S901,包由特定网络应用203产生并在被发送到装置200的外部之前被微端口驱动器217接收。
在操作S903,微端口驱动器217识别该包的主进程。在示例性实施例中,可由包括在包中的主进程ID识别主进程。
在操作S905,识别包的主进程的信息被产生并与包一起被发送到SOC。识别信息可以是进程ID。
包和识别信息(例如,进程ID)被发送到SOC的防火墙引擎229,并且在操作S907,防火墙引擎229确定主进程是否被允许将包发送到外部。在确定步骤中,可使用针对每个进程的规则DB。也就是说,根据进程将包定义为被允许或被阻止的规则可包括在规则DB 224中,并且根据允许和/或阻止规则确定主进程是否被允许发送/接收包,所述允许和/或阻止规则根据进程被设置并被存储在规则DB 224中。
如果在操作S907确定主进程被允许发送包,则方法执行操作S909,并且在操作S909防火墙引擎229执行包过滤。也就是说,可执行过滤作业(诸如根据存储在规则DB 224中的包过滤规则确定是允许还是阻止包),并且根据确定的结果允许或阻止该包。
可选择地,可在确定操作(操作S907)之前执行包过滤操作(操作S909)。也就是说,可仅针对通过包过滤操作的包执行确定操作(操作S907)。
如果在操作S907主进程不被允许发送包,则方法执行操作S911并且在操作S911防火墙引擎229不将包发送到NIC驱动器228。在示例性实施例中,防火墙引擎229可丢弃该包。在附加操作S913中,防火墙引擎229可将用于停止执行主进程的信号发送到上层。
参照图9描述的包过滤方法仅是通过应用规则DB 224来过滤包的方法之一,可执行使用DB 224的其它包过滤方法。
根据可选的示例性实施例,为了使装置200与外部装置进行通信而提供的NIC 231可被布置在装置200而不是SOC中,因此,NIC 231可被布置在内核层的NDIS 218上。
根据该示例性实施例,发送到装置200的外部的所有包和从外部接收的所有包可被发送到微端口驱动器217。微端口驱动器217识别被发送或接收的所有包的主进程的ID,并将主进程ID与包一起发送到SOC。之后,防火墙引擎229可将包括针对每个进程的规则的规则DB应用到所有包。
以上描述的实施例可由计算机可读存储介质上的计算机可读代码来实现。计算机可读存储介质包括存储可由计算机系统读取的数据的所有类型的记录设备。计算机可读存储介质的示例是只读存储器(ROM)、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光学数据存储装置,并还可包括以载波形式实现的存储装置(例如,通过互联网的传输)。计算机可读存储介质被分布通过网络连接的计算机系统上,并可以分布方式存储和执行可由计算机读取的代码。
根据示例性实施例的一个或多个方面,由用户通过用户接口输入的规则被规则转换器转换并以规则列表的格式被存储。
根据示例性实施例的一个或多个方面,防火墙被设置为根据网络应用的进程允许或阻止包,从而允许或阻止由进程产生的所有包。
根据示例性实施例的一个或多个方面,在设置用于包过滤的规则时,可通过提供配置帮助器来针对用户期望的服务容易地执行防火墙设置作业。
虽然以上已具体示出并描述了示例性实施例,但是本领域的普通技术人员将理解,在不脱离由权利要求限定的本发明的精神和范围的情况下,可对其进行形式和细节上的各种改变。
Claims (16)
1.一种装置,包括:
芯片,包括存储用于包过滤的规则DB的第一存储单元以及通过应用规则DB来允许或阻止包的发送/接收的防火墙引擎;
规则转换器,从用户接收用于包过滤的规则并将所述规则转换为用于将所述规则存储在规则列表中的格式,
其中,所述芯片接收由规则转换器转换的规则列表并将规则列表作为规则DB存储在第一存储单元中。
2.如权利要求1所述的装置,还包括:第二存储单元,存储由规则转换器转换的规则列表。
3.如权利要求2所述的装置,其中,如果从用户接收的且被转换的用于包过滤的新规则被添加到预先存储在第二存储单元中的规则列表,则规则转换器检查新规则是否与包括在预先存储的规则列表中的规则相抵触。
4.如权利要求3所述的装置,其中,所述规则转换器检查新规则是否与包括在规则列表中的每个规则相抵触,所述规则列表预先存储在第二存储单元中。
5.如权利要求1所述的装置,其中,所述规则列表按照链接列表的格式被配置。
6.如权利要求1所述的装置,其中,所述芯片还包括:防火墙管理器,
其中,规则转换器将规则列表发送到防火墙管理器,并且防火墙管理器将规则列表转换为规则DB的格式并将规则DB存储在第一存储单元中。
7.如权利要求1所述的装置,还包括:防火墙用户接口,提供规则设置屏幕,所述规则设置屏幕包括用于从用户接收IP、协议和端口中的至少一个的信息的区域,
其中,规则转换器将用户通过规则设置屏幕输入的规则转换为规则列表的格式。
8.如权利要求7所述的装置,其中,规则设置屏幕包括配置帮助器,
其中,配置帮助器提供网络应用列表,如果包括在网络应用列表中的至少一个应用被用户选择,则配置帮助器将执行选择的应用所必需的IP、协议和端口中的至少一个输入到所述区域中。
9.如权利要求8所述的装置,其中,规则设置屏幕包括这样的区域,通过所述区域输入针对每个进程的规则,所述针对每个进程的规则根据进程将包定义为被允许或被阻止。
10.一种其上安装了具有防火墙功能的芯片的装置的包过滤方法,所述包过滤方法包括:
由所述装置从用户接收用于包过滤的规则并将所述规则转换为规则列表的格式;
由所述芯片从所述装置接收规则列表并以规则DB的格式存储所述规则列表;
由所述芯片使用规则DB来允许或阻止包的发送或接收。
11.如权利要求10所述的包过滤方法,还包括:由所述装置将所述规则列表存储在所述装置的存储单元中。
12.如权利要求11所述的包过滤方法,其中,如果从用户接收的且被转换的用于包过滤的新规则被添加到预先存储在存储单元中的规则列表,则所述装置检查新规则是否与包括在预先存储的规则列表中的规则相抵触。
13.如权利要求12所述的包过滤方法,其中,所述装置检查新规则是否与包括在规则列表中的每个规则相抵触,所述规则列表预先存储在存储单元中。
14.如权利要求10所述的包过滤方法,其中,规则列表按照链接列表的格式被配置。
15.如权利要求10所述的包过滤方法,还包括:由所述装置提供规则设置屏幕,所述规则设置屏幕包括用于从用户接收IP、协议和端口中的至少一个的信息的区域,
其中,所述装置将用户通过规则设置屏幕输入的规则转换为规则列表的格式。
16.如权利要求15所述的包过滤方法,其中,规则设置屏幕包括配置帮助器,
其中,配置帮助器提供网络应用列表,如果包括在网络应用列表中的至少一个应用被用户选择,则配置帮助器将执行选择的应用所必需的IP、协议和端口中的至少一个输入到所述区域中。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201161453290P | 2011-03-16 | 2011-03-16 | |
| US61/453,290 | 2011-03-16 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102685104A true CN102685104A (zh) | 2012-09-19 |
Family
ID=45841343
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2012100717585A Pending CN102685104A (zh) | 2011-03-16 | 2012-03-16 | 用于包过滤的基于片上系统的装置及其包过滤方法 |
| CN201210071759.XA Expired - Fee Related CN102737177B (zh) | 2011-03-16 | 2012-03-16 | 用于包过滤的基于soc的装置及其包过滤方法 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210071759.XA Expired - Fee Related CN102737177B (zh) | 2011-03-16 | 2012-03-16 | 用于包过滤的基于soc的装置及其包过滤方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (2) | US20120240186A1 (zh) |
| EP (2) | EP2500838A1 (zh) |
| JP (2) | JP5519718B2 (zh) |
| KR (2) | KR101339512B1 (zh) |
| CN (2) | CN102685104A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109088886A (zh) * | 2018-09-29 | 2018-12-25 | 郑州云海信息技术有限公司 | 在防火墙上监控策略的管理方法和装置 |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014077615A1 (en) * | 2012-11-19 | 2014-05-22 | Samsung Sds Co., Ltd. | Anti-malware system, method of processing packet in the same, and computing device |
| US9600441B2 (en) * | 2013-03-11 | 2017-03-21 | Samsung Electronics Co., Ltd. | Apparatus and method for controlling network access for applications on mobile terminals |
| US9391955B2 (en) * | 2014-06-04 | 2016-07-12 | Bank Of America Corporation | Firewall policy converter |
| US9667596B2 (en) | 2014-06-04 | 2017-05-30 | Bank Of America Corporation | Firewall policy comparison |
| US9450916B2 (en) * | 2014-08-22 | 2016-09-20 | Honeywell International Inc. | Hardware assist for redundant ethernet network |
| CN105791234A (zh) * | 2014-12-23 | 2016-07-20 | 宇龙计算机通信科技(深圳)有限公司 | 用于终端的数据共享方法、数据共享装置和终端 |
| US10560475B2 (en) | 2016-03-07 | 2020-02-11 | Chengdu Haicun Ip Technology Llc | Processor for enhancing network security |
| US10489590B2 (en) | 2016-03-07 | 2019-11-26 | Chengdu Haicun Ip Technology Llc | Processor for enhancing computer security |
| US10673890B2 (en) * | 2017-05-30 | 2020-06-02 | Akamai Technologies, Inc. | Systems and methods for automatically selecting an access control entity to mitigate attack traffic |
| US10714172B2 (en) | 2017-09-21 | 2020-07-14 | HangZhou HaiCun Information Technology Co., Ltd. | Bi-sided pattern processor |
| US11182163B1 (en) * | 2018-08-31 | 2021-11-23 | Splunk Inc. | Customizable courses of action for responding to incidents in information technology environments |
| KR102156600B1 (ko) * | 2019-11-20 | 2020-09-16 | (주)케이사인 | 네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하는 시스템 및 방법 |
| DE102020103546B3 (de) | 2020-02-12 | 2021-07-01 | Audi Aktiengesellschaft | Verfahren zur Konfiguration eines Netzwerks, insbesondere in einem Kraftfahrzeug |
| KR102280845B1 (ko) | 2020-11-24 | 2021-07-22 | 한국인터넷진흥원 | 네트워크 내의 비정상 행위 탐지 방법 및 그 장치 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1392035A2 (en) * | 2002-08-23 | 2004-02-25 | Koninklijke Philips Electronics N.V. | Packet filtering method |
| US20040123150A1 (en) * | 2002-12-18 | 2004-06-24 | Michael Wright | Protection of data accessible by a mobile device |
| US20060282878A1 (en) * | 2005-06-14 | 2006-12-14 | Stanley James C | Expression of packet processing policies using file processing rules |
| CN101895529A (zh) * | 2010-05-31 | 2010-11-24 | 上海网宿科技股份有限公司 | 一种在驱动层判断tcp/ip包所属进程的方法 |
Family Cites Families (53)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6205552B1 (en) | 1998-12-31 | 2001-03-20 | Mci Worldcom, Inc. | Method and apparatus for checking security vulnerability of networked devices |
| US6868450B1 (en) * | 2000-05-17 | 2005-03-15 | Hewlett-Packard Development Company, L.P. | System and method for a process attribute based computer network filter |
| KR100383224B1 (ko) | 2000-05-19 | 2003-05-12 | 주식회사 사이젠텍 | 리눅스 기반의 네트워크 통합 보안 시스템 및 그의 방법과이를 장착한 반도체 장치 |
| JP2004530958A (ja) | 2000-11-28 | 2004-10-07 | フォースパス インコーポレイテッド | 無線アプリケーションを保持および配信する方法およびシステム |
| JP2002244755A (ja) * | 2001-02-16 | 2002-08-30 | Sony Corp | データ処理方法、半導体回路およびプログラム |
| JP2003067271A (ja) * | 2001-08-27 | 2003-03-07 | Hitachi Ltd | 統合管理システム |
| KR100557022B1 (ko) | 2001-10-06 | 2006-03-03 | 주식회사 비즈모델라인 | 무선 바이러스 차단 방법 및 시스템 |
| US7316029B1 (en) | 2001-10-25 | 2008-01-01 | Sprint Communications Company L.P. | Network security services architecture |
| US7373659B1 (en) * | 2001-12-20 | 2008-05-13 | Mcafee, Inc. | System, method and computer program product for applying prioritized security policies with predetermined limitations |
| KR20030056652A (ko) * | 2001-12-28 | 2003-07-04 | 한국전자통신연구원 | 정책기반 네트워크 보안제어시스템에서의 블랙리스트관리장치 및 관리방법 |
| US7254562B2 (en) | 2002-07-11 | 2007-08-07 | Hewlett-Packard Development Company, L.P. | Rule-based packet selection, storage, and access method and system |
| JP3794491B2 (ja) * | 2002-08-20 | 2006-07-05 | 日本電気株式会社 | 攻撃防御システムおよび攻撃防御方法 |
| US20100138909A1 (en) * | 2002-09-06 | 2010-06-03 | O2Micro, Inc. | Vpn and firewall integrated system |
| US20040059943A1 (en) | 2002-09-23 | 2004-03-25 | Bertrand Marquet | Embedded filtering policy manager using system-on-chip |
| US20040143751A1 (en) | 2003-01-17 | 2004-07-22 | Cyrus Peikari | Protection of embedded processing systems with a configurable, integrated, embedded firewall |
| US20050216770A1 (en) | 2003-01-24 | 2005-09-29 | Mistletoe Technologies, Inc. | Intrusion detection system |
| KR20040090373A (ko) | 2003-04-15 | 2004-10-22 | 주식회사 안철수연구소 | 무선 단말기에서 실시간 바이러스 감시/진단/치료 방법 |
| JP4222184B2 (ja) * | 2003-04-24 | 2009-02-12 | 日本電気株式会社 | セキュリティ管理支援システム、セキュリティ管理支援方法およびプログラム |
| US7549055B2 (en) | 2003-05-19 | 2009-06-16 | Intel Corporation | Pre-boot firmware based virus scanner |
| US7971250B2 (en) | 2003-10-08 | 2011-06-28 | At&T Intellectual Property I, L.P. | System and method for providing data content analysis in a local area network |
| US20050138416A1 (en) * | 2003-12-19 | 2005-06-23 | Microsoft Corporation | Object model for managing firewall services |
| EP1551145A1 (en) * | 2003-12-29 | 2005-07-06 | Alcatel Canada Inc. | Embedded filtering policy manager using system-on-chip |
| US7840763B2 (en) | 2004-03-12 | 2010-11-23 | Sca Technica, Inc. | Methods and systems for achieving high assurance computing using low assurance operating systems and processes |
| US7490350B1 (en) * | 2004-03-12 | 2009-02-10 | Sca Technica, Inc. | Achieving high assurance connectivity on computing devices and defeating blended hacking attacks |
| US7523500B1 (en) | 2004-06-08 | 2009-04-21 | Symantec Corporation | Filtered antivirus scanning |
| KR100468374B1 (ko) | 2004-07-06 | 2005-01-31 | 주식회사 잉카인터넷 | 네트워크 유해 트래픽 제어 장치 및 방법 |
| US7418253B2 (en) | 2004-07-19 | 2008-08-26 | Telefonaktiebolaget Lm Ericsson (Publ) | Method, security system control module and policy server for providing security in a packet-switched telecommunications system |
| JP2006157313A (ja) | 2004-11-26 | 2006-06-15 | Nec Corp | 経路作成システム、経路作成装置及び経路作成プログラム |
| US20070022479A1 (en) | 2005-07-21 | 2007-01-25 | Somsubhra Sikdar | Network interface and firewall device |
| JP4641794B2 (ja) * | 2004-12-28 | 2011-03-02 | 富士通株式会社 | パケットフィルタ同期方法及びパケット中継システム |
| US7839854B2 (en) | 2005-03-08 | 2010-11-23 | Thomas Alexander | System and method for a fast, programmable packet processing system |
| US8667106B2 (en) | 2005-05-20 | 2014-03-04 | At&T Intellectual Property Ii, L.P. | Apparatus for blocking malware originating inside and outside an operating system |
| US7784094B2 (en) | 2005-06-30 | 2010-08-24 | Intel Corporation | Stateful packet content matching mechanisms |
| US8869270B2 (en) | 2008-03-26 | 2014-10-21 | Cupp Computing As | System and method for implementing content and network security inside a chip |
| US7970899B2 (en) | 2006-03-03 | 2011-06-28 | Barracuda Networks Inc | Integrated data flow packet admission and traffic management apparatus |
| US8413209B2 (en) | 2006-03-27 | 2013-04-02 | Telecom Italia S.P.A. | System for enforcing security policies on mobile communications devices |
| KR100750377B1 (ko) * | 2006-05-09 | 2007-08-17 | 한정보통신 주식회사 | SoC기반의 네트워크 보안 시스템 및 그 방법 |
| JP2007329876A (ja) * | 2006-06-09 | 2007-12-20 | Canon Inc | デバイス制御装置及びそのネットワークセキュリティー方法 |
| KR101206542B1 (ko) | 2006-12-18 | 2012-11-30 | 주식회사 엘지씨엔에스 | 하드웨어 기반의 동적공격 탐지 및 차단을 지원하는네트워크 보안 장치 및 방법 |
| CN1997074A (zh) * | 2006-12-27 | 2007-07-11 | 华为技术有限公司 | 实现基于策略的路由方式的系统、装置及方法 |
| KR100878895B1 (ko) | 2007-02-08 | 2009-01-15 | 삼성전자주식회사 | 휴대단말 악성코드 처리장치 및 그 처리 방법 |
| US8416773B2 (en) | 2007-07-11 | 2013-04-09 | Hewlett-Packard Development Company, L.P. | Packet monitoring |
| US8079084B1 (en) | 2007-08-10 | 2011-12-13 | Fortinet, Inc. | Virus co-processor instructions and methods for using such |
| US7911990B2 (en) * | 2007-10-26 | 2011-03-22 | Microsoft Corporation | Ad hoc wireless networking |
| US8037532B2 (en) | 2007-12-11 | 2011-10-11 | International Business Machines Corporation | Application protection from malicious network traffic |
| US20090240874A1 (en) * | 2008-02-29 | 2009-09-24 | Fong Pong | Framework for user-level packet processing |
| JP5275673B2 (ja) * | 2008-04-23 | 2013-08-28 | トヨタ自動車株式会社 | マルチコアシステム、車両用ゲートウェイ装置 |
| US8245296B2 (en) | 2008-05-23 | 2012-08-14 | Verizon Patent And Licensing Inc. | Malware detection device |
| JP5176983B2 (ja) * | 2008-09-22 | 2013-04-03 | 富士通株式会社 | フィルタ装置、フィルタプログラム及び方法 |
| US8146134B2 (en) | 2008-10-28 | 2012-03-27 | Yahoo! Inc. | Scalable firewall policy management platform |
| US8914878B2 (en) | 2009-04-29 | 2014-12-16 | Juniper Networks, Inc. | Detecting malicious network software agents |
| KR101279213B1 (ko) * | 2010-07-21 | 2013-06-26 | 삼성에스디에스 주식회사 | 시스템 온 칩 기반의 안티-멀웨어 서비스를 제공할 수 있는 디바이스 및 그 방법과 인터페이스 방법 |
| US8539545B2 (en) * | 2010-07-22 | 2013-09-17 | Juniper Networks, Inc. | Domain-based security policies |
-
2012
- 2012-03-15 EP EP12159676A patent/EP2500838A1/en not_active Withdrawn
- 2012-03-16 US US13/422,393 patent/US20120240186A1/en not_active Abandoned
- 2012-03-16 KR KR1020120027051A patent/KR101339512B1/ko not_active IP Right Cessation
- 2012-03-16 JP JP2012059744A patent/JP5519718B2/ja active Active
- 2012-03-16 US US13/422,672 patent/US8726362B2/en not_active Expired - Fee Related
- 2012-03-16 CN CN2012100717585A patent/CN102685104A/zh active Pending
- 2012-03-16 JP JP2012060195A patent/JP5475041B2/ja not_active Expired - Fee Related
- 2012-03-16 KR KR1020120027053A patent/KR101404312B1/ko not_active IP Right Cessation
- 2012-03-16 CN CN201210071759.XA patent/CN102737177B/zh not_active Expired - Fee Related
- 2012-03-16 EP EP12159780A patent/EP2501101A1/en not_active Withdrawn
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1392035A2 (en) * | 2002-08-23 | 2004-02-25 | Koninklijke Philips Electronics N.V. | Packet filtering method |
| US20040123150A1 (en) * | 2002-12-18 | 2004-06-24 | Michael Wright | Protection of data accessible by a mobile device |
| US20060282878A1 (en) * | 2005-06-14 | 2006-12-14 | Stanley James C | Expression of packet processing policies using file processing rules |
| CN101895529A (zh) * | 2010-05-31 | 2010-11-24 | 上海网宿科技股份有限公司 | 一种在驱动层判断tcp/ip包所属进程的方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109088886A (zh) * | 2018-09-29 | 2018-12-25 | 郑州云海信息技术有限公司 | 在防火墙上监控策略的管理方法和装置 |
| CN109088886B (zh) * | 2018-09-29 | 2021-10-01 | 郑州云海信息技术有限公司 | 在防火墙上监控策略的管理方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20120106640A (ko) | 2012-09-26 |
| JP5475041B2 (ja) | 2014-04-16 |
| CN102737177A (zh) | 2012-10-17 |
| JP2012195943A (ja) | 2012-10-11 |
| US20120240215A1 (en) | 2012-09-20 |
| JP5519718B2 (ja) | 2014-06-11 |
| CN102737177B (zh) | 2016-11-09 |
| US20120240186A1 (en) | 2012-09-20 |
| KR101339512B1 (ko) | 2013-12-10 |
| JP2012195940A (ja) | 2012-10-11 |
| US8726362B2 (en) | 2014-05-13 |
| KR20120106641A (ko) | 2012-09-26 |
| EP2501101A1 (en) | 2012-09-19 |
| KR101404312B1 (ko) | 2014-06-27 |
| EP2500838A1 (en) | 2012-09-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102685104A (zh) | 用于包过滤的基于片上系统的装置及其包过滤方法 | |
| JP6623279B2 (ja) | (S)Gi−LANにおけるMTCサービス選択 | |
| EP4113940A1 (en) | Capability exposure for service instantiation | |
| US9509628B2 (en) | Managing devices in a heterogeneouus network | |
| US20130309973A1 (en) | System and method for persistent wireless docking | |
| US10417061B2 (en) | Operating method of routing device, routing device, and terminal device | |
| WO2017215446A1 (zh) | 接口扩展设备的配置信息通告方法、配置方法及相应装置 | |
| EP3129873A1 (en) | Service enabler function | |
| US20180115467A1 (en) | Device and method for adding an m2m service | |
| WO2014172600A1 (en) | White listing for binding in ad-hoc mesh networks | |
| CN111885680A (zh) | 一种建立网络连接的方法、系统及核心设备 | |
| CN112039920A (zh) | 通信方法、装置、电子设备及存储介质 | |
| CN110324193A (zh) | 一种终端升级管理方法及装置 | |
| CN102299834A (zh) | 局域网数据共享方法、设备及系统 | |
| US20200351156A1 (en) | Method and system for fast onboarding new device into existing iot network | |
| US8134987B2 (en) | Methods and apparatus for split policy enforcement in wireless networks | |
| CN113892247A (zh) | 中继装置、车辆、通信方法以及通信程序 | |
| EP3297389B1 (en) | Techniques for discovery of wi-fi serial bus and wi-fi docketing services | |
| EP4274116A1 (en) | Method and device to provide a relay for use in wireless configuration | |
| JP7318802B2 (ja) | サーバ装置、無線基地局、通信制御方法、通信制御プログラム及び通信システム | |
| CN112738907B (zh) | 无线网络系统 | |
| JP5731964B2 (ja) | 機器管理システム、機器管理方法および機器管理プログラム | |
| CN107635244A (zh) | 应用于物联网终端的省电控制方法及装置 | |
| WO2022070546A1 (ja) | コアネットワークノード、User Equipment、及びこれらの方法 | |
| WO2024161611A1 (ja) | 通信装置及び通信方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| AD01 | Patent right deemed abandoned |
Effective date of abandoning: 20170630 |
|
| AD01 | Patent right deemed abandoned |