CN103858383A - 防火墙群集中的验证共享 - Google Patents

防火墙群集中的验证共享 Download PDF

Info

Publication number
CN103858383A
CN103858383A CN201280043917.9A CN201280043917A CN103858383A CN 103858383 A CN103858383 A CN 103858383A CN 201280043917 A CN201280043917 A CN 201280043917A CN 103858383 A CN103858383 A CN 103858383A
Authority
CN
China
Prior art keywords
fire compartment
node
trooped
compartment wall
user data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201280043917.9A
Other languages
English (en)
Other versions
CN103858383B (zh
Inventor
T.阿里斯安
A.托马斯
A.尼斯森
M.J.斯伯萨克
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
McAfee LLC
Original Assignee
Mai Kefei Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mai Kefei Co filed Critical Mai Kefei Co
Priority to CN201510869336.6A priority Critical patent/CN105407099B/zh
Publication of CN103858383A publication Critical patent/CN103858383A/zh
Application granted granted Critical
Publication of CN103858383B publication Critical patent/CN103858383B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • H04L63/0218Distributed architectures, e.g. distributed firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • H04L67/1036Load balancing of requests to servers for services different from user content provisioning, e.g. load balancing across domain name servers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0254Stateful filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • H04L67/1004Server selection for load balancing
    • H04L67/1008Server selection for load balancing based on parameters of servers, e.g. available memory or workload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • H04L67/1027Persistence of sessions during load balancing

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

防火墙群集系统包括第一节点,其能操作成在具有三个或以上节点的防火墙群集中接收连接、确定与该连接关联的用户数据以及与防火墙群集中的至少另一个节点共享用户数据。

Description

防火墙群集中的验证共享
相关申请的交叉引用
本申请要求2011年9月8日提交的美国申请号13/227,848的优先权,其通过引用合并于此。
技术领域
本发明大体上涉及防火墙操作,并且更具体地在一个实施例中涉及防火墙群集中的验证共享。
有限版权豁免
该专利文献的公开的一部分包含进行版权保护的权利要求所针对的材料。版权所有者不反对被任何人拓制专利文献或专利公开,如它在美国专利和商标局文件或记录中出现的那样,但无论怎样都保留所有其他版权。
背景技术
计算机由于它们与其他计算机系统通信并且通过计算机网络检索信息的能力而在很大程度上是有价值的工具。网络典型地包括通过线路、光纤、无线电或其他数据传送工具而链接的互连计算机组,用于对计算机提供在计算机间传输信息的能力。因特网或许是最知名的计算机网络,并且使数百万的人能够例如通过查看web页面、发送e-mail或通过执行其他计算机-到-计算机通信而接入其他计算机。
但是,因为因特网的大小如此的大并且因特网用户在他们的兴趣方面如此多样化,恶意用户或恶作剧者试图采用对其他用户构成危险的方式与其他用户的计算机通信,这不是罕见的。例如,黑客可试图登录企业计算机来窃取、删除或改变信息。计算机病毒或木马程序可分布到其他计算机,或不知不觉地被大量计算机用户下载或执行。此外,例如企业等组织内的计算机用户可偶尔尝试执行未经授权的网络通信,例如运行文件共享程序或将企业机密从企业网络内传送到因特网。
由于这些和其他原因,许多企业、机构以及甚至家庭用户在他们的本地网络与因特网之间使用网络防火墙或相似的装置。防火墙典型地是计算机化的网络装置,其检查经过它的网络业务、基于规则集容许期望的网络业务通过。
防火墙通过观察通信分组(例如TCP/IP或其他网络协议分组)并且检查例如源和目标网络地址、使用什么端口以及连接的状态或历史等特性来执行它们的过滤功能。一些防火墙还检查行进到特定应用或从特定应用行进的分组,或通过处理选择的网络请求并且在受保护用户与外部联网的计算机之间转发选择的请求而充当代理装置。
防火墙典型地通过监测各种端口、插座和协议之间的连接(例如通过检查防火墙中的网络业务)来控制网络信息的流。基于插座、端口、应用和其他信息的规则用于选择性地过滤或传递数据,以及记录网络活动。防火墙规则典型地配置成识别要被禁止或应施加某些其他限制的某些类型的网络业务:例如阻断已知用于文件共享程序的端口上的业务同时对在传统的FTP端口上接收的任何事物进行病毒扫描;阻断某些应用或用户执行一些任务,同时允许其他人执行这样的任务;以及基于例如对来自公共IP地址的不同端口的重复查询等已知攻击模式阻断业务。
但是,防火墙在跨多个计算机系统分布时管理这样的连接的能力在连接的知识典型地仅存储在处理连接的系统中的方面受到限制。因此期望群集中改进的防火墙分布。
发明内容
本发明的各种示例实施例包括防火墙群集系统,该防火墙群集系统包括第一节点,其能操作成在具有三个或以上节点的防火墙群集中接收连接、确定与该连接关联的用户数据以及与防火墙群集中的至少另一个节点共享用户数据。另一个节点可以使用该应用状态数据来继续处理连接(例如如果第一节点失效),或提供负载平衡。
附图说明
图1示出如可用于实践本发明的一些实施例的示例网络,其包括防火墙。
图2示出如可用于实践本发明的一些实施例的示例网络,其包括防火墙群集,该防火墙群集包括多个防火墙节点。
图3是图示与本发明的示例实施例一致的在防火墙群集中使用共享用户护照信息的流程图。
具体实施方式
在本发明的示例实施例的下列详细描述中,通过图和说明的方式参考特定示例。充分详细地描述这些示例以使本领域内技术人员能够实践本发明,并且起到说明本发明可如何应用于各种目的或实施例的作用。存在本发明的其他实施例并且它们在本发明的范围内,并且可进行逻辑、机械、电和其他改变而不偏离本发明的主旨或范围。然而,本文描述的本发明的各种实施例的特征或限制对于它们所并入的示例实施例必不可少,它们未整体上限制本发明,并且对本发明、它的要素、操作和应用的任何引用未整体上限制本发明而仅起到限定这些示例实施例的作用。下列详细描述因此未限制本发明的范围,其仅由附上的权利要求限定。
图1图示典型的计算机网络环境,其包括例如在101处的因特网等公共网络、专用网络102和在103处示出的计算机网络装置,其能操作成提供防火墙和入侵保护功能。在该特定示例中,计算机网络装置103安置在因特网与专用网络之间,并且调节专用网络与公共网络之间的业务流。
网络装置103在各种实施例中是防火墙装置,和入侵保护装置,或起到两者的作用。网络装置内的防火墙装置或模块提供各种网络流控制功能,例如检查网络分组并且丢弃或拒绝满足防火墙过滤规则集的网络分组。如之前描述的,防火墙典型地通过观察通信分组(例如TCP/IP或其他网络协议分组)并且检查例如源和目标网络地址、使用什么端口以及连接的状态或历史等特性来执行它们的过滤功能。一些防火墙还检查分组来确定什么应用已建立连接,或通过处理选择的网络请求并且在受保护用户与外部联网的计算机之间转发选择的网络请求而充当代理装置。防火墙通常使用“签名”或非期望业务的其他特性来检测并且阻断被认为是有害或用别的方式而不期望的业务。
防火墙典型地使用规则集来过滤业务,使得网络数据的任何特定要素发生了什么取决于规则集如何应用于该特定数据。例如,阻断到端口6346的所有业务的规则将阻断在受保护网络内的服务器上要到该端口去的入站业务,但将不阻断前往不同端口号上的相同服务器的其他数据。相似地,阻断源于文件共享程序(例如Shareaza)的业务的规则将使用业务中的模式来阻断端口6346上的Shareaza业务,但允许端口6346上的其他业务。
但是,在其中防火墙实现为跨多个计算机或节点分布的系统(例如在大的或复杂的系统中)的环境中,多个节点共享连接的能力受到关于连接的每个节点信息(例如插座信息、应用信息及关于连接的诸如此类)的限制。本发明的一些实施例因此提供用于与群集防火墙中的其他系统共享状态信息(例如用户或其他这样的连接数据)从而使防火墙群集中的多个节点能够处理相同连接的机制。这通过使连接责任在系统之间移动而对群集提供负载平衡、通过使它的连接移到另一个机器来管理群集中的节点的失效以及执行其他这样的功能的能力。
在一个这样的示例中,防火墙或入侵保护系统实现为群集或连接的节点组,其共享流过防火墙的处理业务。图2示出如可用于实践本发明的一些实施例的具有分布式防火墙的网络。在这里,例如因特网201等网络通过防火墙203耦合于内部网络202。防火墙203包括入站业务模块204和出站业务模块205,其可以执行例如负载平衡和其他防火墙管理功能等功能。防火墙或入侵保护规则在防火墙节点206中应用,其通过网络连接而连接到彼此(如示出的)。
在这里,示出的五个节点每个包括运行防火墙或有关软件实例的独立计算机系统,其能操作成对业务应用规则以选择性地容许或阻断在因特网201与内部网络202之间流动的业务。在备选实施例中,例如节点1、2和3等一些节点执行防火墙应用,而例如4和5等其他节点执行入侵保护系统(IPS)应用。节点204和205负责执行例如路由到防火墙节点206的负载平衡业务等功能,从而确保节点能够在一起高效工作以比单个节点提供更高的吞吐能力。
一些防火墙实施例执行复杂的连接识别功能,其超越端口、IP和其他这样的规则对数据流的简单应用。例如,一些防火墙示例包括用户“护照”,其通过使用对于防火墙的用户验证或使用例如Microsoft域服务器登录或其他用户证书(其可以被防火墙读取)等间接用户验证而使用户与特定连接关联。该护照使识别的用户与特定IP地址、MAC地址或其他标识符关联使得来自用户的连接可以识别为属于用户。
然后可以在防火墙中执行基于用户的过滤。例如,防火墙可知道Alice是管理组的成员,而Bob是雇员组而非管理的成员。两个用户都登录计算机并且运行Skype来加入视频会议,并且防火墙确定两个用户都被容许使用Skype来通过防火墙发送视频会议业务,例如到与外部供应商或顾客的视频会议。
Bob试图使用Skype发送文件,并且防火墙应用仅容许管理者组的成员使用Skype发送出站文件这一规则。防火墙使用与Bob的连接关联的护照用户和IP地址信息来确定Bob是试图发送文件的人,并且因此阻断Bob的文件。Alice然后尝试使用Skype发送相同的文件,并且与Alice的连接关联的护照将Alice识别为与连接关联的用户并且容许发送文件。
但是,如果防火墙跨多个节点分布,将适当的规则应用于连接变得更困难,因为尽管每个节点具有相同的防火墙规则,仅管理连接的节点知道对于连接的用户信息,例如用户名字和IP地址(或护照)。
本发明的一些实施例因此包括使得用户护照信息在防火墙群集中的节点之间分布,例如通过将用户护照信息多播或将用户护照信息发送到主节点用于分布。
图3是图示与本发明的示例实施例一致的在防火墙群集中使用共享用户护照信息的流程图。在301处,在本地网络202中的计算机与因特网201之间发起链接。节点之间的链接被节点1处理,网络连接一在302处建立,该节点1就例如从Microsoft域服务器登录或直接到防火墙的用户登录检索用户护照信息。防火墙节点1然后在303处将对于连接的该用户护照数据与其他节点共享,并且在304处使用用户护照数据来将用户特定的规则应用于防火墙。
在305处,节点1失效,并且在306处将连接重定向到节点2。因为节点2之前已经从节点1接收关于连接的用户护照数据,节点2能够在308处重新开始过滤数据流,其包括将用户特定的规则应用于连接。
尽管该示例说明在节点失效后节点如何可以重新开始过滤连接,可以采用相似的方法以在分布式防火墙群集中对于例如负载平衡或对不同任务的节点再分配等应用将连接从一个节点移到另一个。
在一个这样的示例中,防火墙节点1未失效,但是是两个这样的节点(未绘出)中的一个的入侵保护系统节点失效。系统期望在提供防火墙服务的节点数量与提供入侵保护的节点数量之间维持一定的平衡,并且在该示例中,入侵保护系统在它两个节点中的一个失效时已经失去其一半的能力。系统因此再分配防火墙节点1来替换失效的入侵保护节点,从而导致之前被防火墙节点1处理的连接跨防火墙节点2-5再分配,如在图2中示出的。
这些示例说明防火墙群集中的共享用户护照数据如何可以促进负载平衡、失效转移和防火墙群集内的其他功能,从而使得防火墙群集中基于用户的网络业务过滤更可管理和可靠。
尽管已经在本文图示和描述特定实施例,本领域内技术人员将意识到计算以实现同样目的的任何布置可代替示出的特定实施例。该申请意在涵盖本文描述的本发明的示例实施例的任何改编或变化。规定本发明仅由权利要求和其等同物的全范围限制。
已经公开如上文描述的操作的方法以及采用某些方式配置的防火墙。例如,操作防火墙群集的方法可以包括:在具有三个或以上节点的防火墙群集的第一节点中接收连接;确定与该连接关联的用户数据;以及与防火墙群集中的至少另一个节点共享用户数据。另外,防火墙群集可以在接收连接之后但在共享用户数据之前与防火墙群集中的至少另一个节点共享关于接收的连接的连接信息。用户数据可以包括用户的身份以及连接的IP地址。共享可以包括将用户数据广播到防火墙群集中的其他节点或将用户数据发送到主节点。该主节点还可以被配置用于将用户数据广播到防火墙群集中的其他节点。可选地,防火墙群集还可以在第一节点失效时使用与连接关联的共享用户数据来在另一个节点中过滤连接或在另一个节点中过滤连接以在防火墙群集中提供负载平衡。 

Claims (19)

1.一种操作防火墙群集的方法,包括:
在具有三个或以上节点的防火墙群集的第一节点中接收连接;
确定与所述连接关联的用户数据;以及
与所述防火墙群集中的至少另一个节点共享所述用户数据。
2.如权利要求1所述的操作防火墙群集的方法,进一步包括在接收所述连接之后但在共享所述用户数据之前与所述防火墙群集中的至少另一个节点共享关于接收的连接的连接信息。
3.如权利要求1所述的操作防火墙群集的方法,其中所述用户数据包括所述用户的身份以及所述连接的IP地址。
4.如权利要求1所述的操作防火墙群集的方法,其中共享用户数据包括将所述用户数据广播到所述防火墙群集中的其他节点。
5.如权利要求1所述的操作防火墙群集的方法,其中共享用户数据包括将所述用户数据发送到主节点。
6.如权利要求5所述的操作防火墙群集的方法,进一步包括所述主节点将所述用户数据广播到所述防火墙群集中的其他节点。
7.如权利要求1所述的操作防火墙群集的方法,进一步包括在所述第一节点失效时使用与所述连接关联的共享用户数据来在另一个节点中过滤所述连接。
8.如权利要求1所述的操作防火墙群集的方法,进一步包括使用与所述连接关联的共享用户数据来在另一个节点中过滤所述连接以在所述防火墙群集中提供负载平衡。
9.一种防火墙群集,包括:
第一节点,其能操作成在具有三个或以上节点的防火墙群集中接收连接、确定与所述连接关联的用户数据以及与所述防火墙群集中的至少另一个节点共享所述用户数据。
10.如权利要求9所述的防火墙群集,所述第一节点进一步能操作成在接收所述连接之后但在共享用户数据之前与所述防火墙群集中的至少另一个节点共享关于接收的连接的连接信息。
11.如权利要求9所述的防火墙群集,其中用户数据包括用户的身份以及与所述连接关联的IP地址。
12.如权利要求9所述的防火墙群集,其中共享用户数据包括将所述用户数据广播到所述防火墙群集中的其他节点。
13.如权利要求9所述的防火墙群集,进一步包括主节点,并且其中共享用户数据包括将所述用户数据发送到所述主节点。
14.如权利要求13所述的防火墙群集,所述主节点进一步能操作成将所述用户数据广播到所述防火墙群集中的其他节点。
15.如权利要求9所述的防火墙群集,进一步包括第二节点,所述第二节点能操作成在所述第一节点失效时使用与所述连接关联的共享用户数据来在另一个节点中过滤所述连接。
16.如权利要求9所述的防火墙群集,进一步包括第二节点,所述第二节点能操作成使用与所述连接关联的共享用户数据来在另一个节点中过滤所述连接以在所述防火墙群集中提供负载平衡。
17.一种操作防火墙群集的方法,包括:
在具有三个或以上节点的防火墙群集的第一节点中接收连接;
与所述防火墙群集中的至少另一个节点共享关于接收的连接的连接数据;
确定与所述连接关联的用户数据;以及
与所述防火墙群集中的两个或以上其他节点共享与所述连接关联的用户数据。
18.如权利要求17所述的操作防火墙群集的方法,进一步包括在所述第一节点失效时使用所述共享用户数据来在另一个节点中过滤所述连接。
19.如权利要求17所述的操作防火墙群集的方法,进一步包括使用所述共享用户数据来在另一个节点中过滤所述连接以在所述防火墙群集中提供负载平衡。
CN201280043917.9A 2011-09-08 2012-09-06 防火墙群集中的验证共享 Active CN103858383B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510869336.6A CN105407099B (zh) 2011-09-08 2012-09-06 防火墙群集中的验证共享

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US13/227,848 2011-09-08
US13/227,848 US8887263B2 (en) 2011-09-08 2011-09-08 Authentication sharing in a firewall cluster
US13/227848 2011-09-08
PCT/US2012/053976 WO2013036651A1 (en) 2011-09-08 2012-09-06 Authentication sharing in a firewall cluster

Related Child Applications (1)

Application Number Title Priority Date Filing Date
CN201510869336.6A Division CN105407099B (zh) 2011-09-08 2012-09-06 防火墙群集中的验证共享

Publications (2)

Publication Number Publication Date
CN103858383A true CN103858383A (zh) 2014-06-11
CN103858383B CN103858383B (zh) 2017-04-19

Family

ID=47831093

Family Applications (2)

Application Number Title Priority Date Filing Date
CN201510869336.6A Active CN105407099B (zh) 2011-09-08 2012-09-06 防火墙群集中的验证共享
CN201280043917.9A Active CN103858383B (zh) 2011-09-08 2012-09-06 防火墙群集中的验证共享

Family Applications Before (1)

Application Number Title Priority Date Filing Date
CN201510869336.6A Active CN105407099B (zh) 2011-09-08 2012-09-06 防火墙群集中的验证共享

Country Status (6)

Country Link
US (1) US8887263B2 (zh)
EP (2) EP2991276B1 (zh)
JP (1) JP5908090B2 (zh)
KR (2) KR101529839B1 (zh)
CN (2) CN105407099B (zh)
WO (1) WO2013036651A1 (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8763106B2 (en) 2011-09-08 2014-06-24 Mcafee, Inc. Application state sharing in a firewall cluster
US8887263B2 (en) 2011-09-08 2014-11-11 Mcafee, Inc. Authentication sharing in a firewall cluster
US10554760B2 (en) 2013-09-29 2020-02-04 Xiaomi Inc. Method and networking equipment for acquiring feature information
CN103475577B (zh) * 2013-09-29 2017-02-08 小米科技有限责任公司 一种获得特征信息的方法、装置及网络设备
US9609031B1 (en) 2013-12-17 2017-03-28 Amazon Technologies, Inc. Propagating state information to network nodes
US10594656B2 (en) * 2015-11-17 2020-03-17 Zscaler, Inc. Multi-tenant cloud-based firewall systems and methods
US10757105B2 (en) 2017-06-12 2020-08-25 At&T Intellectual Property I, L.P. On-demand network security system

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060075478A1 (en) * 2004-09-30 2006-04-06 Nortel Networks Limited Method and apparatus for enabling enhanced control of traffic propagation through a network firewall
US20070180226A1 (en) * 2006-02-02 2007-08-02 Check Point Software Technologies Ltd. Network security smart load balancing field and background of the invention
CN101350773A (zh) * 2008-06-20 2009-01-21 中兴通讯股份有限公司 一种移动分组网络架构及其多个防火墙负载均衡接入方法
CN101651680A (zh) * 2009-09-14 2010-02-17 杭州华三通信技术有限公司 一种网络安全部署方法和一种网络安全设备

Family Cites Families (39)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6791947B2 (en) * 1996-12-16 2004-09-14 Juniper Networks In-line packet processing
US6880089B1 (en) 2000-03-31 2005-04-12 Avaya Technology Corp. Firewall clustering for multiple network servers
US6772226B1 (en) 2000-08-15 2004-08-03 Avaya Technology Corp. VPN device clustering using a network flow switch and a different mac address for each VPN device in the cluster
JP3663121B2 (ja) * 2000-10-30 2005-06-22 シャープ株式会社 ノード構成情報管理方法及び無線ネットワークシステム
US7131140B1 (en) 2000-12-29 2006-10-31 Cisco Technology, Inc. Method for protecting a firewall load balancer from a denial of service attack
US7130305B2 (en) 2001-07-02 2006-10-31 Stonesoft Oy Processing of data packets within a network element cluster
US7107609B2 (en) 2001-07-20 2006-09-12 Hewlett-Packard Development Company, L.P. Stateful packet forwarding in a firewall cluster
JP4716473B2 (ja) * 2001-08-08 2011-07-06 独立行政法人電子航法研究所 無線通信ネットワークシステム
WO2003034237A1 (en) * 2001-10-18 2003-04-24 The Board Of Regents Of The University Of Nebraska Fault tolerant firewall sandwiches
US7447901B1 (en) 2002-06-25 2008-11-04 Cisco Technology, Inc. Method and apparatus for establishing a dynamic multipoint encrypted virtual private network
US6874031B2 (en) * 2002-10-07 2005-03-29 Qualcomm Inc. Method and apparatus for sharing authentication session state in a global distributed network
CN1754365A (zh) * 2002-11-27 2006-03-29 富士通西门子电脑公司 从计算机发送到集群系统的数据包的分发方法和设备
EP1592189A4 (en) * 2003-02-05 2012-05-23 Nippon Telegraph & Telephone FIREWALL DEVICE
US7266715B1 (en) 2003-04-29 2007-09-04 Cisco Technology, Inc. Methods and apparatus for maintaining a virtual private network connection
US7844731B1 (en) 2003-11-14 2010-11-30 Symantec Corporation Systems and methods for address spacing in a firewall cluster
US20050240989A1 (en) 2004-04-23 2005-10-27 Seoul National University Industry Foundation Method of sharing state between stateful inspection firewalls on mep network
JP2006054770A (ja) * 2004-08-16 2006-02-23 Yokogawa Electric Corp ファイアウォール装置
WO2006093557A2 (en) 2004-12-22 2006-09-08 Wake Forest University Method, systems, and computer program products for implementing function-parallel network firewall
US7870602B2 (en) * 2005-09-14 2011-01-11 At&T Intellectual Property I, L.P. System and method for reducing data stream interruption during failure of a firewall device
US8533808B2 (en) * 2006-02-02 2013-09-10 Check Point Software Technologies Ltd. Network security smart load balancing using a multiple processor device
US8353020B2 (en) 2006-06-14 2013-01-08 Microsoft Corporation Transparently extensible firewall cluster
US20080098113A1 (en) * 2006-10-19 2008-04-24 Gert Hansen Stateful firewall clustering for processing-intensive network applications
US8255985B2 (en) 2006-11-13 2012-08-28 At&T Intellectual Property I, L.P. Methods, network services, and computer program products for recommending security policies to firewalls
US7685274B2 (en) * 2006-12-22 2010-03-23 General Electric Company Method and apparatus for clustered filtering in an RFID infrastructure
CN101014048B (zh) * 2007-02-12 2010-05-19 杭州华三通信技术有限公司 分布式防火墙系统及实现防火墙内容检测的方法
US7822841B2 (en) 2007-10-30 2010-10-26 Modern Grids, Inc. Method and system for hosting multiple, customized computing clusters
CN101179514B (zh) * 2007-12-18 2010-08-18 杭州华三通信技术有限公司 分布式网络处理系统mac表项维护方法和维护装置
US8015298B2 (en) * 2008-02-28 2011-09-06 Level 3 Communications, Llc Load-balancing cluster
US7936685B2 (en) * 2009-01-15 2011-05-03 Vss Monitoring, Inc. Intelligent fast switch-over network tap system and methods
US8493902B2 (en) 2010-08-16 2013-07-23 Florida Institute for Human and Machine Cognition Opportunistic listening system and method
US8406233B2 (en) * 2010-09-07 2013-03-26 Check Point Software Technologies Ltd. Predictive synchronization for clustered devices
CN102025735B (zh) * 2010-12-08 2013-04-24 北京航空航天大学 基于防御策略的Linux分布式网络防火墙系统
US8776207B2 (en) * 2011-02-16 2014-07-08 Fortinet, Inc. Load balancing in a network with session information
US9047441B2 (en) * 2011-05-24 2015-06-02 Palo Alto Networks, Inc. Malware analysis system
US9978040B2 (en) * 2011-07-08 2018-05-22 Box, Inc. Collaboration sessions in a workspace on a cloud-based content management system
US8887263B2 (en) 2011-09-08 2014-11-11 Mcafee, Inc. Authentication sharing in a firewall cluster
US8763106B2 (en) 2011-09-08 2014-06-24 Mcafee, Inc. Application state sharing in a firewall cluster
US9319459B2 (en) 2011-09-19 2016-04-19 Cisco Technology, Inc. Services controlled session based flow interceptor
US20130152156A1 (en) 2011-12-12 2013-06-13 Mcafee, Inc. Vpn support in a large firewall cluster

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060075478A1 (en) * 2004-09-30 2006-04-06 Nortel Networks Limited Method and apparatus for enabling enhanced control of traffic propagation through a network firewall
US20070180226A1 (en) * 2006-02-02 2007-08-02 Check Point Software Technologies Ltd. Network security smart load balancing field and background of the invention
CN101350773A (zh) * 2008-06-20 2009-01-21 中兴通讯股份有限公司 一种移动分组网络架构及其多个防火墙负载均衡接入方法
CN101651680A (zh) * 2009-09-14 2010-02-17 杭州华三通信技术有限公司 一种网络安全部署方法和一种网络安全设备

Also Published As

Publication number Publication date
KR101529839B1 (ko) 2015-06-17
EP2754266A4 (en) 2015-05-13
EP2754266B1 (en) 2019-01-09
EP2991276A1 (en) 2016-03-02
JP2014526739A (ja) 2014-10-06
EP2991276B1 (en) 2022-04-06
KR20150015027A (ko) 2015-02-09
KR101586972B1 (ko) 2016-02-02
JP5908090B2 (ja) 2016-04-26
US8887263B2 (en) 2014-11-11
CN103858383B (zh) 2017-04-19
CN105407099B (zh) 2019-01-08
WO2013036651A1 (en) 2013-03-14
EP2754266A1 (en) 2014-07-16
CN105407099A (zh) 2016-03-16
US20130067557A1 (en) 2013-03-14
KR20140058616A (ko) 2014-05-14

Similar Documents

Publication Publication Date Title
CN103858382A (zh) 防火墙群集中的应用状态共享
CN103858383A (zh) 防火墙群集中的验证共享
US10721209B2 (en) Timing management in a large firewall cluster
US20130152156A1 (en) Vpn support in a large firewall cluster
CN101115010B (zh) 扩展安全系统的方法、安全系统及安全处理设备
Kugisaki et al. Bot detection based on traffic analysis
JP2010505196A (ja) 効率的に拡張可能なコンピューティングのための複数のピアグループ
Gital et al. On consistency and security issues in collaborative virtual environment systems
Kushko et al. Method of hiding the architecture and configuration of the sensor network based on the dynamic topology
Shanmughapriya et al. Bot net of things–a survey
Rabadi et al. Building a Secured XML Real-Time Interactive Data Exchange Architecture

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP01 Change in the name or title of a patent holder
CP01 Change in the name or title of a patent holder

Address after: American California

Patentee after: McAfee limited liability company

Address before: American California

Patentee before: Mai Kefei company