CN102737177A - 用于包过滤的基于soc的装置及其包过滤方法 - Google Patents
用于包过滤的基于soc的装置及其包过滤方法 Download PDFInfo
- Publication number
- CN102737177A CN102737177A CN201210071759XA CN201210071759A CN102737177A CN 102737177 A CN102737177 A CN 102737177A CN 201210071759X A CN201210071759X A CN 201210071759XA CN 201210071759 A CN201210071759 A CN 201210071759A CN 102737177 A CN102737177 A CN 102737177A
- Authority
- CN
- China
- Prior art keywords
- bag
- rule
- sent
- soc
- allowed
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Small-Scale Networks (AREA)
Abstract
提供了用于包过滤的基于SOC的装置及其包过滤方法。提供了一种包括芯片和驱动器的装置,所述芯片包括防火墙引擎,其中,驱动器识别将被发送的包的主进程,并仅在所述主进程被允许将所述包发送到外部装置的情况下将所述包发送到芯片,其中,芯片通过将用于包过滤的规则应用于从驱动器接收的包来执行过滤。
Description
本申请要求于2011年3月16日提交到美国专利商标局的第61/453,290号美国临时专利申请的优先权,所述申请的公开通过引用其全部合并于此。
技术领域
与示例性实施例一致的设备和方法涉及一种可提供包过滤的基于片上系统(SOC)的装置及其包过滤方法,更具体地讲,涉及一种可通过设置根据网络应用的进程来允许或阻止包的防火墙来提供包过滤的基于SOC的装置及其包过滤方法。
背景技术
随着互联网的广泛使用,出现了各种形式的恶意软件(诸如蠕虫、木马、病毒或DDoS)并且由恶意软件造成的破坏正在增加。因此,需要一种用于应对网络攻击来保护网络上的信息的方法和相关装置。
具体地讲,移动装置具有有限的可用资源,并且因此需要高速过滤技术来对包进行高速过滤,同时使用最少的资源。
发明内容
示例性实施例的一个或多个方面提供了一种装置及其包过滤方法,所述装置设置防火墙以根据网络应用的进程允许或阻止包,从而允许或阻止由所述进程产生的所有包。
示例性实施例的一个或多个方面提供了一种装置及其包过滤方法,所述装置能够在设置用于包过滤的规则时通过提供配置帮助器来针对用户期望的服务更容易地执行防火墙设置作业。
根据示例性实施例的一方面,提供了一种包括芯片和驱动器的装置,所述芯片包括防火墙引擎,其中,驱动器识别将被发送的包的主进程,并仅在所述主进程被允许将所述包发送到外部装置的情况下将包发送到芯片,其中,芯片通过将用于包过滤的规则应用于从驱动器接收的包来执行过滤。
根据另一示例性实施例的一方面,提供了一种安装有SOC并包括网络进程的装置的包过滤方法,所述包过滤方法包括:由所述装置识别将被发送的包的主进程,并仅在将被发送的包的主进程被允许将包发送到外部装置的情况下将所述包发送到SOC;由SOC通过应用用于包过滤的规则来对从所述装置发送的包进行过滤。
根据另一示例性实施例的一方面,提供了一种包括芯片和驱动器的装置,所述芯片包括防火墙引擎,其中,驱动器获得将被发送到外部装置的包的主进程ID,并将所述包和所述包的主进程ID发送到芯片,其中,芯片的防火墙引擎使用用于包过滤的规则DB对从驱动器发送的包进行过滤。
示例性实施例的另外的方面和优点将在详细的描述中被阐述,从详细的描述中将是显而易见的或者可通过实施示例性实施例而得知。
附图说明
通过参照附图详细描述示例性实施例,上述和其他特点和优点将变得更加清楚:
图1是用于解释根据示例性实施例的安装有SOC的装置的示图;
图2是用于解释根据示例性实施例的安装有SOC的装置的示图;
图3A和3B是用于解释根据示例性实施例的装置2的包过滤方法的流程图;
图4是用于解释根据另一示例性实施例的安装有SOC的装置的示图;
图5是用于解释根据示例性实施例的由防火墙接口提供的规则设置屏幕的示图;
图6是用于解释根据示例性实施例的配置帮助器的功能的示图;
图7是用于解释根据示例性实施例的用于设置基本规则的规则设置屏幕的示图;
图8是用于解释根据示例性实施例的根据进程来设置规则的规则设置屏幕的示图;
图9是用于解释根据另一示例性实施例的安装有SOC的装置的示图;
图10是示出根据示例性实施例的图9的包过滤方法的流程图;
图11是用于解释根据另一示例性实施例的安装有SOC的装置的示图;
图12是示出根据示例性实施例的图11的包过滤方法的流程图;
图13是用于解释根据另一示例性实施例的安装有SOC的装置的示图。
具体实施方式
现在将参照附图更充分地描述示例性实施例以阐明本发明构思的多个方面、特点和优点。然而,示例性实施例以多种不同的形式被实现,并且不应该被解释为限于在此阐述的示例性实施例。而是,提供示例性实施例从而本公开将是彻底和完整的,并将本申请的范围充分传达给本领域的普通技术人员。将理解,当元件、层或区域被称为在另一元件、层或区域“之上”时,所述元件、层或区域可直接在另一元件、层或区域上,或者介于元件、层或区域之间。
在此使用的术语仅是为了描述具体示例性实施例的目的且并不意图是限制性的。如在此所使用的,除非上下文另有明确指示,否则单数形式还意图包括复数形式。还将理解,当术语“包括(comprises)”和/或“由...组成(comprising)”在说明书中被使用时,所述术语不排除一个或多个其他部件的存在或添加。
在下文中,将参照附图更详细地描述示例性实施例。提供描述中定义的事物(诸如详细的结构和元件)以帮助全面理解示例性实施例。然而,清楚的是:本领域的普通技术人员可在没有那些特别定义的事物的情况下实现示例性实施例。在示例性实施例的描述中,当认为现有技术的特定详细解释可能不必要地使本发明构思的要点模糊时,省略现有技术的特定详细解释。
图1是用于解释根据示例性实施例的安装有SOC的装置的示图。
参照图1,根据示例性实施例的装置1包括安装在其上的SOC 3并具有用于过滤包的防火墙功能。
装置1可包括使用通过网络发送/接收的包的至少一个应用,每个应用可包括至少一个进程。为了方便解释,通过将特定包发送到外部装置或者从外部装置接收特定包来使用所述特定包的进程被称为包的“主进程(ownerprocess)”。根据示例性实施例,每个进程被分配有标识(ID),从而多个进程可彼此区分开。每个包包括使用所述包的主进程的进程ID。因此,使用所述包的主进程可通过所述包中包括的进程ID而被识别。
根据示例性实施例,SOC 3可包括网络接口卡(NIC),并且因此装置1可通过SOC 3将包发送到外部装置并可通过SOC 3从外部装置接收包。
SOC 3可包括:存储单元,存储作为确定允许包或阻止包所基于的标准的规则;防火墙引擎,通过应用规则来允许包被发送/接收或者阻止包。如果SOC 3按照该配置从装置1接收到包,则SOC 3通过应用存储在SOC中的规则数据库(DB)将包发送到外部装置或者阻止包。另外,如果SOC 3从外部装置接收到包,则SOC 3可通过应用规则DB来将包发送到装置1或者阻止包。
装置1可在将包发送到外部装置时执行以下操作。
如果SOC 3包括NIC并且装置1通过NIC与外部装置进行包的发送/接收,则装置1识别将被发送的包的主进程,并仅在将被发送的包的主进程被允许将所述包发送到外部装置的情况下,将所述包发送到SOC 3。
SOC 3将预定义的规则存储在规则DB中,并通过应用规则来允许包被发送到外部装置或者阻止包。为实现这点,SOC 3可包括以硬件和/或软件水平配置的防火墙引擎。
装置1可包括针对每个进程的规则DB,所述针对每个进程的规则DB根据进程将包定义为被允许或被阻止。另外,装置1获得将被发送到外部装置的包中包括的主进程的进程ID,并通过参照针对每个进程的规则DB来确定主进程是否被允许将所述包发送到外部装置。仅在主进程被允许发送包的情况下,装置1将包发送到SOC 3。
另外,如果作为将针对每个进程的规则应用于将被发送的包的结果,将被发送的包的主进程不被允许将包发送到外部装置,则装置1不将所述包发送到SOC 3。
另外,如果将被发送的包的主进程不被允许将包发送到外部装置,则装置1可停止执行所述包的主进程。
装置1可在从外部装置接收到包时执行以下操作。
如果SOC 3包括NIC并通过NIC从外部装置接收到包,则SOC 3通过应用SOC 3的规则DB来确定是允许还是阻止从外部装置接收的包。
仅在作为应用所述规则的结果所述包被允许通过的情况下,SOC 3才将所述包发送到装置1。
根据示例性实施例,装置1包括针对每个进程的规则DB,其中,所述针对每个进程的规则DB根据进程将包定义为被允许或被阻止。因此,装置1可在将从SOC 3接收的包发送到主进程之前,将针对每个进程的规则应用于所述从SOC 3接收的包。
如果作为应用针对每个进程的规则的结果,从SOC 3接收的包的主进程被禁止接收,则装置1不将所述包发送到主进程并舍弃所述包。根据示例性实施例,装置1可停止执行舍弃的包的主进程。
装置1可提供规则设置屏幕以从用户接收对规则的设置。规则设置屏幕可包括用于从用户接收IP、协议和端口中的至少一个的信息的区域。稍后将描述规则设置屏幕。
装置1可将用户通过规则设置屏幕输入的规则发送到SOC 3,SOC 3可将从装置1发送的规则反映到在SOC 3的存储单元中存储的规则DB。
在用户输入的规则中,装置1可不将针对每个进程的规则发送到SOC 3并可将针对每个进程的规则存储在装置1的存储单元(未示出)中。其后,装置1可使用存储在装置1的存储单元(未示出)中的针对每个进程的规则,根据进程来允许或阻止包。
尽管在图1中没有示出,但是SOC3可包括硬件和/或软件资源,其中,所述硬件和/或软件资源包括中央处理单元(CPU)、存储器、存储器控制器和规则DB存储单元。尽管用于驱动程序所必要的资源(诸如CPU、存储器、存储器控制器和规则DB存储单元)没有在本说明书中被清楚地解释,但应该理解,所述用于驱动程序及其操作所必要的硬件和软件资源被包括。例如,SOC 3中包括的防火墙引擎可包括用于将规则DB与包进行匹配的匹配器以及用于操作所述匹配器的固件。然而,尽管没有清楚地提到匹配器和所述固件,但是应该理解,用于存储所述固件的存储单元以及用于将所述固件加载到存储器中的CPU被包括在SOC 3中。
类似地,如果装置1被描述为包括特定应用或驱动器,则应该理解,用于操作所述应用或驱动器的硬件和/或软件资源被包括。
装置1可以是诸如智能电话或个人数字助理(PDA)的移动装置。然而,这仅是示例,装置1可以是诸如桌上型计算机的固定类型的装置。
图2是用于解释根据示例性实施例的安装有SOC的装置的示图。在图2的示例性实施例中,基于SOC识别防火墙,并且所述防火墙被安装在装置200上。
如图2中所示,装置200可被划分为应用层、内核层、SOC层和NIC层。根据示例性实施例,这些功能层中的一些可被省略或者另外的功能层可被添加。另外,每个功能层的详细元素可被修改。因此,图2的配置仅是示例,并且本公开不应该限于图2。在下文中,基于图2的实施例来解释本公开。
参照图2,应用层可包括应用203。应用层是装置200的最上层的功能层并包括使用将被包过滤的包数据的应用203。例如,应用203可以是web浏览器203-1、远程登录(telnet)203-2和FTP服务器203-3中的至少一个,并且可以是使用预定包数据的应用之一。
在图2的示例性实施例中,装置200的内核层可将由装置200从外部装置接收的包数据内的信息发送到应用层,或者可根据应用层的请求产生包数据并将所述包数据发送到外部装置。
如果如图2中所示传输控制协议/互联网协议(TCP/IP)被用于发送/接收包数据,则装置200包括TCP/IP驱动器215。另外,如果装置200使用Windows作为操作系统(OS),则装置200包括WinSock 213。由于TCP/IP驱动器215和WinSock 213的操作是公知的,因此将省略其详细描述。
如果装置200使用TCP/IP以外的不同的协议,则装置200可包括用于使用不同协议的驱动器,并且如果装置200使用Windows操作系统以外的不同操作系统,则装置200可包括WinSock 213以外的元件。
内核层还可包括网络驱动程序接口规范(NDIS),NDIS 218可包括反恶意软件SOC微端口驱动器217(在下文中,称为“微端口驱动器(miniportdriver)”)。
微端口驱动器217可从应用203接收包数据并将所述包数据发送到AP驱动器221,或者可从AP驱动器221接收包数据并将所述包数据发送到上层。
根据示例性实施例,微端口驱动器217可在将包数据发送到AP驱动器221之前根据进程对包数据进行过滤。如果根据进程设置的规则被包括在由用户设置的规则中,则所述规则被存储在由内核层管理的区域中。在该示例性实施例中,针对每个进程的规则可被存储在规则DB 219中。规则DB 219可仅存储针对每个进程的规则并还可存储用于对包进行过滤的规则。如果从应用203接收到包数据,则微端口驱动器217识别主进程,并通过参照针对每个进程的规则确定是否允许包。将参照图3详细描述该操作。
图2的装置200上安装的SOC包括AP驱动器221、防火墙引擎229、NIC驱动器228和NIC 231。
AP驱动器221从微端口驱动器217接收数据并将所述数据发送到防火墙引擎229。防火墙引擎229经受包验证处理并执行包过滤。包验证处理用于防止诸如Syn泛洪(Syn Flooding)的攻击。
防火墙引擎229通过将过滤规则应用于包数据来确定是允许还是阻止包数据,并根据确定结果执行过滤(即,允许包数据或阻止包数据)。SOC包括规则DB 224并且防火墙引擎229使用存储在规则DB 224中的规则来执行包过滤。
如果包将被发送到装置200的外部,则防火墙引擎229仅将作为包过滤的结果的被确定为“允许”的包发送到NIC驱动器228。NIC驱动器228将从防火墙引擎229接收的包发送到NIC 231。其后,NIC 231将所述包发送到外部网络。
如果装置200从外部装置接收到包,则防火墙引擎229仅将作为包过滤的结果的被确定为“允许”的包发送到AP驱动器221,AP驱动器221将所述包发送到微端口驱动器217。
NIC 231可将包数据发送到包数据网络或从包数据网络接收包数据,并可作为一部分被安装在SOC中。例如,NIC 231可通过有线LAN或无线LAN接收包数据。
将参照图3A和图3B解释根据示例性实施例的上述配置的包过滤操作。
图3A和图3B是用于解释根据示例性实施例的包过滤方法的流程图。具体地,图3A是示出在包被发送到外部装置的情况下的包过滤方法的流程图,图3B是示出在从外部装置接收到包的情况下的包过滤方法的流程图。
参照图3A,在步骤S101,由应用203产生包,并且所述包在被发送到装置200的外部之前由微端口驱动器217接收。
在操作S103,微端口驱动器217识别该包的主进程。根据示例性实施例,所述主进程可通过所述包中包括的进程ID被识别。
在操作S105,确定主进程是否被允许将包发送到外部。在该确定操作中,针对每个进程的规则DB可被使用。也就是说,装置200可包括根据进程来将包定义为被允许或被阻止的规则DB 219,并且根据存储在规则DB 219中的针对每个进程的规则来确定主进程是否被允许发送包。
如果在操作S105确定主进程被允许发送包,则在操作S107,微端口驱动器217将包发送到SOC。
如果SOC从装置200接收到包,则在操作S109,SOC执行包过滤。例如,防火墙引擎229执行包过滤并根据包过滤的结果允许或阻止包。此时,防火墙引擎229可通过应用存储在规则DB 224中的预定义的规则来执行过滤。
另一方面,如果在操作S105确定主进程不被允许发送包,则在操作S111,微端口驱动器217不将包发送到SOC。也就是说,根据示例性实施例,微端口驱动器217可舍弃包。另外,在操作S113,微端口驱动器217可停止执行主进程。
如果装置200从外部装置接收到包,则可如图3B中所示执行包过滤。
参照图3B,在操作S201,装置200的微端口驱动器217从外部装置接收包。尽管在图2的实施例中,包经过SOC被发送到微端口驱动器217,但是根据示例性实施例,包可不经过SOC。如果包经过SOC,则SOC的防火墙引擎229执行包过滤,并且通过包过滤而被允许通过的包被发送到微端口驱动器217。然而,根据示例性实施例,包可在没有被防火墙引擎229过滤的情况下被发送到微端口驱动器217。
在操作S203,微端口驱动器217识别包的主进程。根据示例性实施例,可通过所述包中包括的进程ID来识别主进程。
在操作S205,确定主进程是否被允许接收包。在该确定操作中,可使用针对每个进程的规则DB。也就是说,如果装置200包括规则DB 219,则根据规则DB 219中存储的针对每个进程的规则来确定主进程是否被允许接收包。
如果在操作S205确定主进程被允许接收包,则在操作S207,微端口驱动器217将包发送到主进程。
然而,如果在操作S205确定主进程不被允许接收包,则在操作S209,微端口驱动器217不将包发送到主进程。根据示例性实施例,微端口驱动器217可舍弃包。另外,在操作S211,微端口驱动器217可停止执行主进程。
图4是用于解释根据另一示例性实施例的安装有SOC的装置的示图。
与图2的装置相比,根据图4的实施例的装置200还包括防火墙用户接口(UI)应用201和反恶意软件(AM)SOC流接口驱动器211,并且所述SOC还包括防火墙管理器227。其他元件及其功能与图2的那些相同或与图2的那些相似。
防火墙UI应用201提供与防火墙操作相关的UI。例如,防火墙UI应用201可提供防火墙操作作业(job)、防火墙停止作业、规则添加作业、规则改变作业、特定规则移除作业、全部规则移除作业、规则状态显示作业、输出应用于每个规则的包日志的作业以及改变基本规则设置的作业。
防火墙UI应用201可从用户接收用于包数据过滤的规则,并可为用户显示通过防火墙引擎229进行的包数据过滤的结果。防火墙UI应用201可针对规则DB 224执行更新。
根据示例性实施例,防火墙UI应用201可为每个用户显示由微端口驱动器217进行的针对每个进程的包过滤的结果,并可通过从用户接收针对每个进程的规则来更新规则DB 219。
AM SOC流接口驱动器211(在下文中,称为“流接口驱动器”)可从防火墙UI应用201接收数据并将所述数据发送到SOC的AP驱动器221,并可从AP驱动器221接收数据并将所述数据发送到防火墙UI应用201。
防火墙管理器227处理通过防火墙UI应用201输入的用户命令。例如,防火墙管理器227可根据用户命令将规则添加到规则DB 224或改变规则DB224,并可读出规则DB 224的状态并将所述状态发送到防火墙UI应用201,从而为用户显示当前状态。
由于除防火墙UI应用201、流接口驱动器211和防火墙管理器227以外的其他元件或它们的功能与图2的那些相同或与图2的那些相似,因此省略详细描述。
在图4的配置中,如将参照图5至图8描述的,用户可通过防火墙UI应用201改变规则DB 219和/或规则DB 224的规则设置。
图5是用于解释根据示例性实施例的由防火墙接口提供的规则设置屏幕的示图。
根据示例性实施例,装置200的防火墙UI应用201可提供规则设置屏幕500,以用于用户设置规则DB 219和/或规则DB 224。
装置200将用户通过规则设置屏幕500输入的规则发送到SOC,SOC可将从装置200发送的规则反映到SOC的存储单元中存储的规则DB。
参照图5,规则设置屏幕500包括三个子窗口,即,基本设置窗口510、基本规则设置窗口520以及针对每个进程的设置的窗口530。用户可选择规则设置屏幕500上的三个子窗口之一来设置规则。在这些子窗口中,图5示出基本设置窗口510作为被选择的窗口。
如果用户想要允许或阻止与某个特定IP地址或特定网络段的IP地址相应的站点(site),则基本设置窗口510被显示。
在图5的示例性实施例中,基本设置窗口510包括用于提供配置帮助器511的功能的输入框512,并在配置帮助器511下方包括用于填入各种字段(诸如规则名称、IP、协议和端口)的输入框。
配置帮助器511帮助对网络一无所知的用户。根据示例性实施例,配置帮助器511提供网络应用的列表,并且如果用户从该列表中包括的网络应用中选择了至少一个网络应用,则配置帮助器511可在相应字段的输入框上自动显示用于执行选择的网络应用所必要的IP、协议和端口中的至少一个。
例如,如果配置帮助器511的输入框512的按钮被用户选择,则如图6中所示显示菜单。如果用户选择显示的网络应用之一,则图5中的配置帮助器511下方的诸如规则名称、IP、协议和端口的字段被自动填入。
尽管图6的列表包括信使服务、P2P、游戏,但是根据示例性实施例,诸如ftp、http、telnet(远程登录)、ssh的协议和打印机可被包括在所述列表中以被选择。
由于一般用户对于特定协议以及特定服务的端口一无所知,因此提供配置帮助器511。另外,即使用户熟知网络,该用户也可能不知道端口6891-6900以及端口41800-41899应该被允许以通过MSN信使服务发送/接收文件,直到用户发现相关文档为止。因此,通过为一般用户提供配置帮助器511,用户可针对他/她希望的服务容易地执行防火墙设置作业。
参照回图5,在配置帮助器511下方的各种字段将被解释:
-规则名称:用于输入规则的名称的字段。
-互联网协议:用于设置被应用有规则的IP。在示例性实施例中,IP字段可按照以下类型被设置:
在表1的输入示例中,标记“*”可如在“192.168.*.*”中被使用。标记“192.168.*.*”与标记“192.168.0.0/255.255.0.0”或“192.168.0.0/16”相同之处在于其表示特定网络段。然而,比起“192.168.0.0/255.255.0.0”或“192.168.0.0/16”,一般用户可更容易理解“192.168.*.*”,因此“192.168.*.*”在该示例性实施例中被允许。
然而,如果通过标记“192.168.*.*”指定网络段,则子网掩码不能被指定。因此可并行使用标记“192.168.0.0/255.255.0.0”或“192.168.0.0/16”。
另外,在表1的输入示例中,网络掩码字段不存在,而是其被合并至IP字段。即使用户对网络一无所知,他/她也可能了解IP和端口。然而,对网络一无所知的用户很可能不知道网络掩码的含义。
-协议:用于设置被应用有规则的协议的字段。在示例性实施例中,如果协议按钮被按下,则诸如“所有(ALL)”、“TCP”、“UDP”和“ICMP”的菜单列表可被显示。除基本协议之外,可支持其他协议。
-端口:用于设置被应用有规则的端口的字段。用户可直接输入或可通过按下菜单按钮进行选择。如果菜单按钮被按下,则协议字符串(诸如ftp、http、telnet、ssh)被显示。如果这些协议中的一个被选择,则最小端口数量和最大端口数量可被自动输入或者可由用户输入。
-方向:用于指定被应用有规则的包的方向的字段。在示例性实施例中,如果按钮被按下,则诸如“所有”、“内→外(In→Out)”、“外→内(Out→In)”的菜单列表可被显示。“内→外(In→Out)”意思是规则仅被应用于被发送到装置200的外部的包,“外→内(Out→In)”意思是规则仅被应用于由装置200接收的包,“所有”意思是规则被应用于发送和接收的所有包。
-本地装置:用于设置被应用有规则的网络接口IP的字段。例如,如果装置200包括两个NIC并且规则将被应用于通过特定NIC输入的包,则所述特定NIC的IP被输入到该字段中。如果该字段的按钮被按下,则“所有”或本地装置的IP列表被显示以被选择。
-MAC地址:用于设置被应用有规则的MAC地址的字段;
-动作:用于设置在与规则匹配的包被输入的情况下将采取的动作的字段。所述动作可包括“无”、“允许”、“阻止”和“记录(Logging)”。所述“记录”是留下关于被应用有规则的包的日志的记录的功能。
参照图7,将解释根据示例性实施例的设置基本规则的方法。图7是用于解释根据示例性实施例的用于设置基本规则的规则设置屏幕500的示图。图7示出基本规则设置窗口520作为被选择的窗口。
基本规则是在不符合如图5中示出的由用户设置的规则的包被输入的情况下将被应用的规则。参照图7,基本规则设置窗口520可包括用于解释基本规则的框521和显示当前基本规则状态的框522,并可包括阻止所有按钮523和允许所有按钮524。
解释基本规则的框521是用于对用户解释基本规则设置的含义的解释框,显示当前基本规则状态的框522显示当前设置的基本规则的状态。
在示例性实施例中,作为基本默认值的基本规则可被设置为允许被发送到外部的包(向外输出的包)并阻止被输入到装置的包(向内输入的包)。阻止所有按钮523和允许所有按钮524被用于将这样的基本规则设置分别设置为“阻止”或“允许”所有的向外输出的包和向内输入的包。
由用户通过规则设置屏幕500的基本设置窗口510或基本规则设置窗口520输入的规则设置信息通过流接口驱动器211被发送到SOC的防火墙管理器227,并由防火墙管理器227反映到规则DB 224中,从而所述规则DB被更新。
图8是用于解释根据示例性实施例的根据进程来设置规则的规则设置屏幕的示图,其中,设置窗口530被选择。
针对每个进程的设置的窗口530是用于输入针对每个进程的规则的区域,并可包括进程列表531、选择框532、阻止按钮533和允许按钮534,其中,所述针对每个进程的规则根据应用的进程来将包定义为被允许或被阻止。
用户可通过设置窗口530将关于某个特定应用的进程的防火墙设置为“允许”,从而允许由所述进程产生的所有包通过,并可将关于某个特定应用的进程的防火墙设置为“阻止”,从而阻止由所述进程产生的所有包。
根据示例性实施例,用户通过设置屏幕500的设置窗口530输入的规则设置信息被流接口驱动器211反映到规则DB 219,从而针对每个进程的规则DB被更新。然而,可选择地,规则DB 219可由防火墙UI应用201或其他元件更新。
图9是用于解释根据另一示例性实施例的安装有SOC的装置的示图。
与图4的装置相比,图9的示例性实施例中的内核层的规则DB 219是可选的。因此,假设在图9中没有提供规则DB 219。其他元件的功能或作用与图4的那些相同或与图4的那些相似,因此省略详细描述。
在图9的示例性实施例中,微端口驱动器217不执行从规则DB接收针对每个进程的规则DB的操作以及比较包和规则DB的操作。而是,例如,如果装置200将包发送到外部装置,则微端口驱动器217接收所述包,识别所述包的主进程的ID并将所述进程ID与所述包一起发送到SOC,SOC将针对每个进程的规则DB应用于所述包。
也就是说,在图9的示例性实施例中,规则DB 224还包括针对每个进程的规则DB,并且针对每个进程的规则DB包括根据进程将包定义为被允许或被阻止的规则DB。因此,如果包被发送到防火墙引擎229,则防火墙引擎229根据存储在规则DB 224中的针对每个进程的规则来确定包的主进程是否被允许发送和接收包,并根据确定的结果允许或阻止包并且还可请求停止执行所述主进程。
将参照图10解释这样的包过滤操作。
图10是用于解释根据示例性实施例的在装置200将包发送到外部装置的情况下的图9的装置的包过滤方法的流程图。
参照图10,在操作S1001,由特定应用203产生包,并且所述包在被发送到装置200的外部之前被发送到微端口驱动器217。
在操作S1003,微端口驱动器217识别包的主进程。根据示例性实施例,可通过所述包中包括的进程ID来识别主进程。
在操作S1005,使用包来识别主进程的信息被产生并与所述包一起被发送到SOC。此时,标识信息可以是例如进程ID。
包和标识信息(例如,进程ID)被发送到SOC的防火墙引擎229,并且在操作S1007,防火墙引擎229确定主进程是否被允许将包发送到外部装置。在该确定操作中,针对每个进程的规则DB可被使用。也就是说,规则DB 224可包括根据进程将包定义为被允许或被阻止的规则,并且根据针对每个进程的规则确定主进程是否被允许发送包。
如果在操作S1007确定主进程被允许发送包,则在操作S1009,防火墙引擎229执行包过滤。也就是说,可执行过滤作业,诸如根据存储在规则DB224中的包过滤规则来确定是允许包还是阻止包,并且根据确定的结果允许包或阻止包。
可选择地,包过滤操作(操作S1009)可在确定操作(操作S1007)之前被执行。也就是说,可仅针对经过包过滤操作的包执行确定操作(S1007)。
如果在操作S1007,主进程不被允许发送包。则在操作S1011,防火墙引擎229不将包发送到NIC驱动器228。根据示例性实施例,防火墙引擎229可舍弃包。另外,在操作S1013,防火墙引擎229可将用于停止执行主进程的信号发送到内核层。
图11是用于解释根据另一示例性实施例的安装有SOC的装置的示图。
与图9的装置相比,NIC驱动器228的位置和为了装置200与外部装置进行通信而提供的NIC 231的位置不同。参照图11,NIC 231位于装置200的主体而不是位于SOC,NIC驱动器228也位于内核层的NDIS 218。其他元件的功能和作用与图9的那些相同或与图9的那些相似,因此省略详细描述。
根据图11的示例性实施例,从装置200被发送到外部装置的包或者由装置200从外部装置接收的包可被发送到微端口驱动器217。因此,微端口驱动器217识别发送的或接收的每个包的主进程的ID,并将进程ID与所述包一起发送到SOC,SOC将针对每个进程的规则DB应用于所述包。
将参照图12解释这样的包过滤操作。图12是示出根据示例性实施例图11的装置的包过滤方法的流程图。
参照图12,在操作S1201,发送的或接收的包被发送到微端口驱动器217,并且在操作S1203,微端口驱动器217识别包的主进程。根据示例性实施例,可通过包括在包中的进程ID来识别主进程。
使用包来识别主进程的信息被产生,并与所述包一起被发送到SOC。此时,标识信息可以是例如进程ID。
包和标识信息(例如,进程ID)被发送到SOC的防火墙引擎229,并且在操作S1207,防火墙引擎229使用针对每个进程的规则DB来确定主进程是否被允许发送或接收包。也就是说,如果包将被发送到外部装置,则确定所述包的主进程是否被允许发送包,如果从外部装置接收到包,则确定所述包的主进程是否被允许接收所述包。
如果在操作S1207确定主进程被允许发送或接收包,则在操作S1209,防火墙引擎229执行包过滤。也就是说,可根据存储在规则DB 224中的包过滤规则来执行包过滤作业,并且所述包根据包过滤的结果而被允许或被阻止。可选择地,包过滤操作(操作S1209)可在确定操作(操作S1207)之前被执行。
如果在操作S1207确定将被发送到外部装置的包的主进程不被允许发送包,在操作S1211,防火墙引擎229不将包发送到NIC驱动器228。根据示例性实施例,防火墙引擎229可舍弃包。另外,在操作S1213,防火墙引擎229可将用于停止执行主进程的信号发送到内核层。
如果在操作S1207确定从外部装置接收的包的主进程不被允许接收包,则在操作S1211,防火墙引擎229不将包发送到应用203。根据示例性实施例,防火墙引擎229可舍弃包。另外,在操作S1213,防火墙引擎229可将用于停止执行主进程的信号发送到内核层。
图13是用于解释根据另一示例性实施例的安装有SOC的装置的示图。
图13与图11不同之处在于SOC仅包括硬件元件。也就是说,图13的SOC包括用于与装置200的内核层进行通信的防火墙引擎229以及AP驱动器221。根据示例性实施例,防火墙引擎229可包括存储器241和匹配器242。
存储器241加载存储在装置200的存储装置中的规则DB并临时存储所述规则DB,并且存储器241可以是易失性存储装置。匹配器242可通过将包与规则DB的包过滤规则和/或针对每个进程的规则进行比较来确定是允许包还是阻止包。其他元件的功能或作用与图11的那些相同或与图11的那些相似,因此省略其详细描述。
图13的装置的包过滤操作与图12的那些相同或与图12的那些相似。然而,在通过防火墙引擎229执行包过滤之前,存储在装置200的存储装置中的规则DB 219被加载到SOC的存储器241。其后,微端口驱动器217识别发送的或接收的包中的每一个的主进程的ID,并将进程ID与所述包一起发送到SOC,并且SOC的防火墙引擎229应用包括针对每个进程的规则的包过滤规则。
尽管在上述示例性实施例中,以应用(程序)的“进程”为单位将包设置为被允许或被阻止或者停止进程本身的执行,但上述操作可以以程序而非进程为单位被执行。例如,针对被阻止的包,所述包的主程序(owner program)可被识别并且所述程序的执行可被停止。也就是说,即使“进程”被“程序”取代,上述实施例也可包括在本公开中。
上述实施例可由计算机可读记录介质上的计算机可读代码来实现。计算机可读记录介质包括存储计算机系统可读的数据的所有种类的记录设备。计算机可读记录介质的示例是只读存储器(ROM)、随机存取存储器(RAM)、CD-ROM、磁带、软盘、光学数据存储装置,并还可包括以载波形式实现的存储装置(例如,通过互联网的传输)。计算机可读记录介质分布在通过网络连接的计算机系统上,并可以以分布式方式存储和执行计算机可读的代码。
根据示例性实施例的一个或多个方面,防火墙被设置为根据网络应用的进程允许包或阻止包,从而允许或阻止由进程产生的所有包。
根据示例性实施例的一个或多个方面,可通过在设置用于包过滤的规则时提供配置帮助器,来针对用户期望的服务更容易地执行防火墙设置作业。
尽管以上已经具体显示和描述了示例性实施例,但是本领域的普通技术人员将理解,在不脱离权利要求所限定的本发明的精神和范围的情况下,可以对其进行形式和细节上的各种改变。
Claims (22)
1.一种包括芯片和驱动器的装置,所述芯片包括防火墙引擎,
其中,驱动器识别将被发送的包的主进程,并仅在所述主进程被允许将所述包发送到外部装置的情况下将所述包发送到芯片,
其中,芯片通过将用于包过滤的规则应用于从驱动器接收的包来执行过滤。
2.如权利要求1所述的装置,还包括:存储单元,存储针对每个进程的规则DB,所述针对每个进程的规则DB根据进程将包定义为被允许或被阻止,
其中,驱动器获得包括在将被发送的包中的主进程ID,并通过参照针对每个进程的规则DB确定具有所述主进程ID的进程是否被允许将包发送到外部装置,并且仅在所述进程被允许发送包的情况下将所述包发送到芯片。
3.如权利要求1所述的装置,其中,如果将被发送的包的主进程不被允许将包发送到外部装置,则驱动器不将包发送到芯片。
4.如权利要求3所述的装置,其中,如果将被发送的包的主进程不被允许将包发送到外部装置,则驱动器停止执行所述主进程。
5.如权利要求1所述的装置,其中,所述芯片还包括网络接口卡,并通过将所述规则应用于通过网络接口卡接收的包来将所述包发送到驱动器,或者不将所述包发送到驱动器。
6.如权利要求5所述的装置,其中,驱动器识别从芯片接收的包的主进程,并仅在从芯片接收的包的主进程被允许从外部装置接收包的情况下将所述包发送到所述主进程。
7.如权利要求1所述的装置,还包括:防火墙用户接口,提供包括用于从用户接收IP、协议和端口中的至少一个的信息的区域的规则设置屏幕,
其中,防火墙用户接口将用户通过规则设置屏幕输入的规则发送到芯片,并且所述芯片使用从防火墙用户接口接收的规则来执行包过滤。
8.如权利要求7所述的装置,其中,规则设置屏幕包括配置帮助器,
其中,所述配置帮助器提供网络应用的列表,并且如果用户从所述列表中包括的网络应用中选择了至少一个网络应用,则所述配置帮助器将用于执行选择的网络应用所必要的IP、协议和端口中的至少一个输入到所述区域。
9.如权利要求7所述的装置,其中,规则设置屏幕包括用于输入针对每个进程的规则的区域,所述针对每个进程的规则根据进程将包定义为被允许或被阻止。
10.一种安装有片上系统(SOC)并包括网络进程的装置的包过滤方法,所述包过滤方法包括:
由所述装置识别将被发送的包的主进程,并仅在将被发送的包的主进程被允许将所述包发送到外部装置的情况下将所述包发送到SOC;
由SOC通过应用用于包过滤的规则来对从所述装置发送的包进行过滤。
11.如权利要求10所述的包过滤方法,其中,所述装置存储针对每个进程的规则DB,所述针对每个进程的规则DB根据进程将包定义为被允许或被阻止,
其中,所述装置获得包括在包中的主进程ID,并通过参照针对每个进程的规则DB确定具有所述主进程ID的进程是否被允许将包发送到外部装置,并且仅在所述进程被允许将所述包发送到外部装置的情况下将所述包发送到SOC。
12.如权利要求10所述的包过滤方法,其中,如果将被发送的包的主进程不被允许将包发送到外部装置,则所述装置不将包发送到SOC。
13.如权利要求12所述的包过滤方法,其中,如果将被发送的包的主进程不被允许将包发送到外部装置,则所述装置停止执行所述主进程。
14.如权利要求10所述的包过滤方法,其中,所述SOC还包括网络接口卡,并且所述SOC通过将规则应用于通过网络接口卡接收的包来执行包过滤。
15.如权利要求14所述的包过滤方法,其中,所述装置识别从SOC接收的包的主进程,并仅在从SOC接收的包的主进程被允许接收包的情况下将所述包发送到所述主进程。
16.如权利要求10所述的包过滤方法,还包括:
由所述装置提供规则设置屏幕,所述规则设置屏幕包括用于从用户接收IP、协议和端口中的至少一个的信息的区域,
由所述装置将用户通过规则设置屏幕输入的规则发送到SOC,并且由SOC使用从所述装置发送的规则来对包进行过滤。
17.如权利要求16所述的包过滤方法,其中,规则设置屏幕包括配置帮助器,
其中,所述配置帮助器提供网络应用的列表,并且如果用户从所述列表中包括的网络应用中选择了至少一个网络应用,则所述配置帮助器将用于执行选择的网络应用所必要的IP、协议和端口中的至少一个输入到所述区域。
18.如权利要求17所述的包过滤方法,其中,规则设置屏幕包括用于输入针对每个进程的规则的区域,所述针对每个进程的规则根据进程将包定义为被允许或被阻止。
19.一种包括芯片和驱动器的装置,所述芯片包括防火墙引擎,
其中,驱动器获得将被发送到外部装置的包的主进程ID,并将所述包和所述包的主进程ID发送到芯片,
其中,芯片的防火墙引擎使用用于包过滤的规则DB对从驱动器发送的包进行过滤。
20.如权利要求19所述的装置,其中,所述芯片的防火墙引擎通过应用用于包过滤的规则DB来确定具有从驱动器发送的主进程ID的进程是否被允许将所述包发送到外部装置。
21.如权利要求19所述的装置,还包括:网络接口卡,
其中,驱动器获得通过网络接口卡接收的包的主进程ID并将所述主进程ID和包发送到芯片。
22.如权利要求19所述的装置,其中,规则DB包括:针对每个进程的规则,所述针对每个进程的规则根据进程将包定义为被允许或被阻止。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201161453290P | 2011-03-16 | 2011-03-16 | |
| US61/453,290 | 2011-03-16 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102737177A true CN102737177A (zh) | 2012-10-17 |
| CN102737177B CN102737177B (zh) | 2016-11-09 |
Family
ID=45841343
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2012100717585A Pending CN102685104A (zh) | 2011-03-16 | 2012-03-16 | 用于包过滤的基于片上系统的装置及其包过滤方法 |
| CN201210071759.XA Expired - Fee Related CN102737177B (zh) | 2011-03-16 | 2012-03-16 | 用于包过滤的基于soc的装置及其包过滤方法 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2012100717585A Pending CN102685104A (zh) | 2011-03-16 | 2012-03-16 | 用于包过滤的基于片上系统的装置及其包过滤方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (2) | US8726362B2 (zh) |
| EP (2) | EP2500838A1 (zh) |
| JP (2) | JP5475041B2 (zh) |
| KR (2) | KR101339512B1 (zh) |
| CN (2) | CN102685104A (zh) |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014077615A1 (en) * | 2012-11-19 | 2014-05-22 | Samsung Sds Co., Ltd. | Anti-malware system, method of processing packet in the same, and computing device |
| US9600441B2 (en) * | 2013-03-11 | 2017-03-21 | Samsung Electronics Co., Ltd. | Apparatus and method for controlling network access for applications on mobile terminals |
| US9667596B2 (en) | 2014-06-04 | 2017-05-30 | Bank Of America Corporation | Firewall policy comparison |
| US9391955B2 (en) * | 2014-06-04 | 2016-07-12 | Bank Of America Corporation | Firewall policy converter |
| US9450916B2 (en) * | 2014-08-22 | 2016-09-20 | Honeywell International Inc. | Hardware assist for redundant ethernet network |
| CN105791234A (zh) * | 2014-12-23 | 2016-07-20 | 宇龙计算机通信科技(深圳)有限公司 | 用于终端的数据共享方法、数据共享装置和终端 |
| US10560475B2 (en) | 2016-03-07 | 2020-02-11 | Chengdu Haicun Ip Technology Llc | Processor for enhancing network security |
| US10489590B2 (en) | 2016-03-07 | 2019-11-26 | Chengdu Haicun Ip Technology Llc | Processor for enhancing computer security |
| US10673891B2 (en) | 2017-05-30 | 2020-06-02 | Akamai Technologies, Inc. | Systems and methods for automatically selecting an access control entity to mitigate attack traffic |
| US10714172B2 (en) | 2017-09-21 | 2020-07-14 | HangZhou HaiCun Information Technology Co., Ltd. | Bi-sided pattern processor |
| US11182163B1 (en) * | 2018-08-31 | 2021-11-23 | Splunk Inc. | Customizable courses of action for responding to incidents in information technology environments |
| CN109088886B (zh) * | 2018-09-29 | 2021-10-01 | 郑州云海信息技术有限公司 | 在防火墙上监控策略的管理方法和装置 |
| KR102156600B1 (ko) * | 2019-11-20 | 2020-09-16 | (주)케이사인 | 네트워크에서 수집된 패킷과 엔드포인트 컴퓨팅 장치의 프로세스 간의 연관관계를 생성하는 시스템 및 방법 |
| DE102020103546B3 (de) | 2020-02-12 | 2021-07-01 | Audi Aktiengesellschaft | Verfahren zur Konfiguration eines Netzwerks, insbesondere in einem Kraftfahrzeug |
| KR102280845B1 (ko) | 2020-11-24 | 2021-07-22 | 한국인터넷진흥원 | 네트워크 내의 비정상 행위 탐지 방법 및 그 장치 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6868450B1 (en) * | 2000-05-17 | 2005-03-15 | Hewlett-Packard Development Company, L.P. | System and method for a process attribute based computer network filter |
| EP1551145A1 (en) * | 2003-12-29 | 2005-07-06 | Alcatel Canada Inc. | Embedded filtering policy manager using system-on-chip |
| US7308703B2 (en) * | 2002-12-18 | 2007-12-11 | Novell, Inc. | Protection of data accessible by a mobile device |
| CN102346825A (zh) * | 2010-07-21 | 2012-02-08 | 三星Sds株式会社 | 提供基于片上系统的反恶意软件服务的装置和方法 |
Family Cites Families (53)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6205552B1 (en) | 1998-12-31 | 2001-03-20 | Mci Worldcom, Inc. | Method and apparatus for checking security vulnerability of networked devices |
| KR100383224B1 (ko) | 2000-05-19 | 2003-05-12 | 주식회사 사이젠텍 | 리눅스 기반의 네트워크 통합 보안 시스템 및 그의 방법과이를 장착한 반도체 장치 |
| AU2002226995A1 (en) | 2000-11-28 | 2002-06-11 | 4Thpass Inc. | Method and system for maintaining and distributing wireless applications |
| JP2002244755A (ja) * | 2001-02-16 | 2002-08-30 | Sony Corp | データ処理方法、半導体回路およびプログラム |
| JP2003067271A (ja) * | 2001-08-27 | 2003-03-07 | Hitachi Ltd | 統合管理システム |
| KR100557022B1 (ko) | 2001-10-06 | 2006-03-03 | 주식회사 비즈모델라인 | 무선 바이러스 차단 방법 및 시스템 |
| US7316029B1 (en) | 2001-10-25 | 2008-01-01 | Sprint Communications Company L.P. | Network security services architecture |
| US7373659B1 (en) * | 2001-12-20 | 2008-05-13 | Mcafee, Inc. | System, method and computer program product for applying prioritized security policies with predetermined limitations |
| KR20030056652A (ko) * | 2001-12-28 | 2003-07-04 | 한국전자통신연구원 | 정책기반 네트워크 보안제어시스템에서의 블랙리스트관리장치 및 관리방법 |
| US7254562B2 (en) | 2002-07-11 | 2007-08-07 | Hewlett-Packard Development Company, L.P. | Rule-based packet selection, storage, and access method and system |
| JP3794491B2 (ja) * | 2002-08-20 | 2006-07-05 | 日本電気株式会社 | 攻撃防御システムおよび攻撃防御方法 |
| US7467406B2 (en) * | 2002-08-23 | 2008-12-16 | Nxp B.V. | Embedded data set processing |
| US20100138909A1 (en) * | 2002-09-06 | 2010-06-03 | O2Micro, Inc. | Vpn and firewall integrated system |
| US20040059943A1 (en) | 2002-09-23 | 2004-03-25 | Bertrand Marquet | Embedded filtering policy manager using system-on-chip |
| US20040143751A1 (en) | 2003-01-17 | 2004-07-22 | Cyrus Peikari | Protection of embedded processing systems with a configurable, integrated, embedded firewall |
| US20050216770A1 (en) | 2003-01-24 | 2005-09-29 | Mistletoe Technologies, Inc. | Intrusion detection system |
| KR20040090373A (ko) | 2003-04-15 | 2004-10-22 | 주식회사 안철수연구소 | 무선 단말기에서 실시간 바이러스 감시/진단/치료 방법 |
| JP4222184B2 (ja) * | 2003-04-24 | 2009-02-12 | 日本電気株式会社 | セキュリティ管理支援システム、セキュリティ管理支援方法およびプログラム |
| US7549055B2 (en) | 2003-05-19 | 2009-06-16 | Intel Corporation | Pre-boot firmware based virus scanner |
| US7971250B2 (en) | 2003-10-08 | 2011-06-28 | At&T Intellectual Property I, L.P. | System and method for providing data content analysis in a local area network |
| US20050138416A1 (en) * | 2003-12-19 | 2005-06-23 | Microsoft Corporation | Object model for managing firewall services |
| US7490350B1 (en) * | 2004-03-12 | 2009-02-10 | Sca Technica, Inc. | Achieving high assurance connectivity on computing devices and defeating blended hacking attacks |
| US7840763B2 (en) | 2004-03-12 | 2010-11-23 | Sca Technica, Inc. | Methods and systems for achieving high assurance computing using low assurance operating systems and processes |
| US7523500B1 (en) | 2004-06-08 | 2009-04-21 | Symantec Corporation | Filtered antivirus scanning |
| KR100468374B1 (ko) * | 2004-07-06 | 2005-01-31 | 주식회사 잉카인터넷 | 네트워크 유해 트래픽 제어 장치 및 방법 |
| US7418253B2 (en) | 2004-07-19 | 2008-08-26 | Telefonaktiebolaget Lm Ericsson (Publ) | Method, security system control module and policy server for providing security in a packet-switched telecommunications system |
| JP2006157313A (ja) | 2004-11-26 | 2006-06-15 | Nec Corp | 経路作成システム、経路作成装置及び経路作成プログラム |
| US20070022479A1 (en) | 2005-07-21 | 2007-01-25 | Somsubhra Sikdar | Network interface and firewall device |
| JP4641794B2 (ja) * | 2004-12-28 | 2011-03-02 | 富士通株式会社 | パケットフィルタ同期方法及びパケット中継システム |
| US7839854B2 (en) | 2005-03-08 | 2010-11-23 | Thomas Alexander | System and method for a fast, programmable packet processing system |
| US8667106B2 (en) | 2005-05-20 | 2014-03-04 | At&T Intellectual Property Ii, L.P. | Apparatus for blocking malware originating inside and outside an operating system |
| US20060282878A1 (en) * | 2005-06-14 | 2006-12-14 | Stanley James C | Expression of packet processing policies using file processing rules |
| US7784094B2 (en) | 2005-06-30 | 2010-08-24 | Intel Corporation | Stateful packet content matching mechanisms |
| US8869270B2 (en) | 2008-03-26 | 2014-10-21 | Cupp Computing As | System and method for implementing content and network security inside a chip |
| US7970899B2 (en) * | 2006-03-03 | 2011-06-28 | Barracuda Networks Inc | Integrated data flow packet admission and traffic management apparatus |
| WO2007110094A1 (en) | 2006-03-27 | 2007-10-04 | Telecom Italia S.P.A. | System for enforcing security policies on mobile communications devices |
| KR100750377B1 (ko) * | 2006-05-09 | 2007-08-17 | 한정보통신 주식회사 | SoC기반의 네트워크 보안 시스템 및 그 방법 |
| JP2007329876A (ja) * | 2006-06-09 | 2007-12-20 | Canon Inc | デバイス制御装置及びそのネットワークセキュリティー方法 |
| KR101206542B1 (ko) | 2006-12-18 | 2012-11-30 | 주식회사 엘지씨엔에스 | 하드웨어 기반의 동적공격 탐지 및 차단을 지원하는네트워크 보안 장치 및 방법 |
| CN1997074A (zh) * | 2006-12-27 | 2007-07-11 | 华为技术有限公司 | 实现基于策略的路由方式的系统、装置及方法 |
| KR100878895B1 (ko) | 2007-02-08 | 2009-01-15 | 삼성전자주식회사 | 휴대단말 악성코드 처리장치 및 그 처리 방법 |
| US8416773B2 (en) | 2007-07-11 | 2013-04-09 | Hewlett-Packard Development Company, L.P. | Packet monitoring |
| US8079084B1 (en) | 2007-08-10 | 2011-12-13 | Fortinet, Inc. | Virus co-processor instructions and methods for using such |
| US7911990B2 (en) * | 2007-10-26 | 2011-03-22 | Microsoft Corporation | Ad hoc wireless networking |
| US8037532B2 (en) | 2007-12-11 | 2011-10-11 | International Business Machines Corporation | Application protection from malicious network traffic |
| US20090240874A1 (en) * | 2008-02-29 | 2009-09-24 | Fong Pong | Framework for user-level packet processing |
| JP5275673B2 (ja) * | 2008-04-23 | 2013-08-28 | トヨタ自動車株式会社 | マルチコアシステム、車両用ゲートウェイ装置 |
| US8245296B2 (en) | 2008-05-23 | 2012-08-14 | Verizon Patent And Licensing Inc. | Malware detection device |
| JP5176983B2 (ja) * | 2008-09-22 | 2013-04-03 | 富士通株式会社 | フィルタ装置、フィルタプログラム及び方法 |
| US8146134B2 (en) * | 2008-10-28 | 2012-03-27 | Yahoo! Inc. | Scalable firewall policy management platform |
| US8914878B2 (en) | 2009-04-29 | 2014-12-16 | Juniper Networks, Inc. | Detecting malicious network software agents |
| CN101895529B (zh) * | 2010-05-31 | 2014-05-21 | 上海网宿科技股份有限公司 | 一种在驱动层判断tcp/ip包所属进程的方法 |
| US8539545B2 (en) * | 2010-07-22 | 2013-09-17 | Juniper Networks, Inc. | Domain-based security policies |
-
2012
- 2012-03-15 EP EP12159676A patent/EP2500838A1/en not_active Withdrawn
- 2012-03-16 KR KR1020120027051A patent/KR101339512B1/ko not_active IP Right Cessation
- 2012-03-16 KR KR1020120027053A patent/KR101404312B1/ko not_active IP Right Cessation
- 2012-03-16 CN CN2012100717585A patent/CN102685104A/zh active Pending
- 2012-03-16 US US13/422,672 patent/US8726362B2/en not_active Expired - Fee Related
- 2012-03-16 US US13/422,393 patent/US20120240186A1/en not_active Abandoned
- 2012-03-16 JP JP2012060195A patent/JP5475041B2/ja not_active Expired - Fee Related
- 2012-03-16 CN CN201210071759.XA patent/CN102737177B/zh not_active Expired - Fee Related
- 2012-03-16 JP JP2012059744A patent/JP5519718B2/ja active Active
- 2012-03-16 EP EP12159780A patent/EP2501101A1/en not_active Withdrawn
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6868450B1 (en) * | 2000-05-17 | 2005-03-15 | Hewlett-Packard Development Company, L.P. | System and method for a process attribute based computer network filter |
| US7308703B2 (en) * | 2002-12-18 | 2007-12-11 | Novell, Inc. | Protection of data accessible by a mobile device |
| EP1551145A1 (en) * | 2003-12-29 | 2005-07-06 | Alcatel Canada Inc. | Embedded filtering policy manager using system-on-chip |
| CN102346825A (zh) * | 2010-07-21 | 2012-02-08 | 三星Sds株式会社 | 提供基于片上系统的反恶意软件服务的装置和方法 |
Non-Patent Citations (4)
| Title |
|---|
| KRISTEN ACCARDI, TONY BOCK, FRANK HADY, JON KRUEGER: "Network Processor Acceleration for a Linux* Netfilter Firewall", 《ANCS’05》 * |
| XTREEMOS: "《Specification of application firewall D3.5.8》", 4 June 2008, XTREEMOS * |
| 孟英博,2007 - 南京航空航天大学:计算机应用技术: "《嵌入式防火墙的研究与实现》", 15 January 2008 * |
| 陈日午等: "一种嵌入式安全网卡总体设计", 《西北工业大学学报》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| US20120240215A1 (en) | 2012-09-20 |
| CN102685104A (zh) | 2012-09-19 |
| JP5475041B2 (ja) | 2014-04-16 |
| KR101339512B1 (ko) | 2013-12-10 |
| JP5519718B2 (ja) | 2014-06-11 |
| EP2501101A1 (en) | 2012-09-19 |
| KR20120106641A (ko) | 2012-09-26 |
| JP2012195940A (ja) | 2012-10-11 |
| US20120240186A1 (en) | 2012-09-20 |
| KR20120106640A (ko) | 2012-09-26 |
| US8726362B2 (en) | 2014-05-13 |
| EP2500838A1 (en) | 2012-09-19 |
| KR101404312B1 (ko) | 2014-06-27 |
| CN102737177B (zh) | 2016-11-09 |
| JP2012195943A (ja) | 2012-10-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102737177A (zh) | 用于包过滤的基于soc的装置及其包过滤方法 | |
| JP5257815B2 (ja) | 通信インターフェースの評価 | |
| CN106063229B (zh) | 用于转发数据的方法和系统 | |
| CN106487556B (zh) | 业务功能sf的部署方法及装置 | |
| CN103580980A (zh) | 虚拟网络自动发现和自动配置的方法及其装置 | |
| JP2007520797A (ja) | 継承セキュリティ属性を使用したセキュアネットワーク上のプロキシ要求を管理するためのシステム及び方法 | |
| CN105430059A (zh) | 智能客户端路由 | |
| CN109547250B (zh) | 云蜜网装置及云蜜网配置方法、系统、设备、计算机介质 | |
| EP2866392A1 (en) | Information processing system, information processing method, and communication device | |
| US10657093B2 (en) | Managing actions of a network device based on policy settings corresponding to a removable wireless communication device | |
| JP2008219643A (ja) | 携帯端末装置、携帯電話機、vpn接続システム、vpn接続方法、およびプログラム | |
| CN103262473A (zh) | 在通用即插即用环境中在远程访问客户端之间共享媒体 | |
| US20230006967A1 (en) | Machine learning capable mac filtering for enforcing edge security over mac randomization in wlan networks | |
| CN109218415B (zh) | 一种分布式节点管理的方法、节点及存储介质 | |
| EP3882779B1 (en) | Internet connection management system for information communication device, method therefor, and internet connection management program installed in information communication device | |
| CN105471594B (zh) | 管理资源的方法和设备 | |
| EP4124090A1 (en) | Method, apparatuses and computer program product to provide wireless configuration | |
| EP4164270A1 (en) | Method and device to provide wireless configuration | |
| JP2006319873A (ja) | 仮想プライベートネットワーク接続方法ならびにそれを利用した仮想プライベートネットワーク接続装置、無線端末装置および仮想プライベートネットワークシステム | |
| CN118449847A (zh) | 组网方法、装置、电子设备、存储介质及计算机程序产品 | |
| US8606939B1 (en) | Method of configuring an on-demand secure connection between a control site and a client network | |
| CN117459582A (zh) | 为不支持远程访问服务的设备提供远程访问的方法及系统 | |
| JP2018032234A (ja) | ネットワークセキュリティーシステム | |
| Van | Methods and systems for remote device configuration | |
| CN102843281A (zh) | 一种访问局域网的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20161109 Termination date: 20200316 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |