CN104601597B - 用于防火墙群集中状态数据共享的设备和方法 - Google Patents
用于防火墙群集中状态数据共享的设备和方法 Download PDFInfo
- Publication number
- CN104601597B CN104601597B CN201510061714.8A CN201510061714A CN104601597B CN 104601597 B CN104601597 B CN 104601597B CN 201510061714 A CN201510061714 A CN 201510061714A CN 104601597 B CN104601597 B CN 104601597B
- Authority
- CN
- China
- Prior art keywords
- node
- fire wall
- connection
- operable
- firewall group
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/16—Arrangements for providing special services to substations
- H04L12/18—Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/16—Arrangements for providing special services to substations
- H04L12/18—Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
- H04L12/1813—Arrangements for providing special services to substations for broadcast or conference, e.g. multicast for computer conferences, e.g. chat rooms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0654—Management of faults, events, alarms or notifications using network fault recovery
- H04L41/0668—Management of faults, events, alarms or notifications using network fault recovery by dynamic selection of recovery network elements, e.g. replacement by the most appropriate element after failure
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Multimedia (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请的发明名称为“防火墙群集中的应用状态共享”。防火墙群集系统包括第一节点,其能操作成在具有三个或以上节点的防火墙群集中接收连接、监测接收的连接的分组并且确定与来自第一节点中的被监测分组的连接关联的应用状态数据以及与防火墙群集中的至少另一个节点共享应用状态数据。
Description
相关申请的交叉引用
本申请要求2011年9月8日提交的美国申请号13/227,825的优先权,其通过引用合并于此。
技术领域
本发明大体上涉及防火墙操作,并且更具体地在一个实施例中涉及防火墙群集中的应用状态共享。
有限版权豁免
该专利文献的公开的一部分包含进行版权保护的权利要求所针对的材料。版权所有者不反对被任何人拓制专利文献或专利公开,如它在美国专利和商标局文件或记录中出现的那样,但无论怎样都保留所有其他版权。
背景技术
计算机由于它们与其他计算机系统通信并且通过计算机网络检索信息的能力而在很大程度上是有价值的工具。网络典型地包括通过线路、光纤、无线电或其他数据传送工具而链接的互连计算机组,用于对计算机提供在计算机间传输信息的能力。因特网或许是最知名的计算机网络,并且使数百万的人能够例如通过查看web页面、发送e-mail或通过执行其他计算机-到-计算机通信而接入其他计算机。
但是,因为因特网的大小如此的大并且因特网用户在他们的兴趣方面如此多样化,恶意用户或恶作剧者试图采用对其他用户构成危险的方式与其他用户的计算机通信,这不是罕见的。例如,黑客可试图登录企业计算机来窃取、删除或改变信息。计算机病毒或木马程序可分布到其他计算机,或不知不觉地被大量计算机用户下载或执行。此外,例如企业等组织内的计算机用户可偶尔尝试执行未经授权的网络通信,例如运行文件共享程序或将企业机密从企业网络内传送到因特网。
由于这些和其他原因,许多企业、机构以及甚至家庭用户在他们的本地网络与因特网之间使用网络防火墙或相似的装置。防火墙典型地是计算机化的网络装置,其检查经过它的网络业务、基于规则集容许期望的网络业务通过。
防火墙通过观察通信分组(例如TCP/IP或其他网络协议分组)并且检查例如源和目标网络地址、使用什么端口以及连接的状态或历史等特性来执行它们的过滤功能。一些防火墙还检查行进到特定应用或从特定应用行进的分组,或通过处理选择的网络请求并且在受保护用户与外部联网的计算机之间转发选择的请求而充当代理装置。
防火墙典型地通过监测各种端口、插座和协议之间的连接(例如通过检查防火墙中的网络业务)来控制网络信息的流。基于插座、端口、应用和其他信息的规则用于选择性地过滤或传递数据,以及记录网络活动。防火墙规则典型地配置成识别要被禁止或应施加某些其他限制的某些类型的网络业务:例如阻断已知用于文件共享程序的端口上的业务同时对在传统的FTP端口上接收的任何事物进行病毒扫描;阻断某些应用或用户执行一些任务,同时允许其他人执行这样的任务;以及基于例如对来自公共IP地址的不同端口的重复查询等已知攻击模式阻断业务。
但是,防火墙在跨多个计算机系统分布时管理这样的连接的能力在连接的知识典型地仅存储在处理连接的系统中的方面受到限制。因此期望群集中改进的防火墙分布。
发明内容
本发明的各种示例实施例包括防火墙群集系统,该防火墙群集系统包括第一节点,其能操作成在具有三个或以上节点的防火墙群集的第一节点中接收连接、监测接收的连接的分组并且确定与来自第一节点中的被监测分组的连接关联的应用状态数据以及与防火墙群集中的至少另一个节点共享应用状态数据。另一个节点可以使用该应用状态数据来继续处理连接(例如如果第一节点失效),或提供负载平衡。
附图说明
图1示出如可用于实践本发明的一些实施例的示例网络,其包括防火墙。
图2示出如可用于实践本发明的一些实施例的示例网络,其包括防火墙群集,该防火墙群集包括多个防火墙节点。
图3是图示与本发明的示例实施例一致的在防火墙群集中使用共享应用状态数据的方法的流程图。
具体实施方式
在本发明的示例实施例的下列详细描述中,通过图和说明的方式参考特定示例。充分详细地描述这些示例以使本领域内技术人员能够实践本发明,并且起到说明本发明可如何应用于各种目的或实施例的作用。存在本发明的其他实施例并且它们在本发明的范围内,并且可进行逻辑、机械、电和其他改变而不偏离本发明的主旨或范围。然而,本文描述的本发明的各种实施例的特征或限制对于它们所并入的示例实施例必不可少,它们未整体上限制本发明,并且对本发明、它的要素、操作和应用的任何引用未整体上限制本发明而仅起到限定这些示例实施例的作用。下列详细描述因此未限制本发明的范围,其仅由附上的权利要求限定。
图1图示典型的计算机网络环境,其包括例如在101处的因特网等公共网络、专用网络102和在103处示出的计算机网络装置,其能操作成提供防火墙和入侵保护功能。在该特定示例中,计算机网络装置103安置在因特网与专用网络之间,并且调节专用网络与公共网络之间的业务流。
网络装置103在各种实施例中是防火墙装置,和入侵保护装置,或起到两者的作用。网络装置内的防火墙装置或模块提供各种网络流控制功能,例如检查网络分组并且丢弃或拒绝满足防火墙过滤规则集的网络分组。如之前描述的,防火墙典型地通过观察通信分组(例如TCP/IP或其他网络协议分组)并且检查例如源和目标网络地址、使用什么端口以及连接的状态或历史等特性来执行它们的过滤功能。一些防火墙还检查分组来确定什么应用已建立连接,或通过处理选择的网络请求并且在受保护用户与外部联网的计算机之间转发选择的网络请求而充当代理装置。防火墙通常使用“签名”或非期望业务的其他特性来检测并且阻断被认为是有害或用别的方式而不期望的业务。
防火墙典型地使用规则集来过滤业务,使得网络数据的任何特定要素发生了什么取决于规则集如何应用于该特定数据。例如,阻断到端口6346的所有业务的规则将阻断在受保护网络内的服务器上要到该端口去的入站业务,但将不阻断前往不同端口号上的相同服务器的其他数据。相似地,阻断源于文件共享程序(例如Shareaza)的业务的规则将使用业务中的模式来阻断端口6346上的Shareaza业务,但允许端口6346上的其他业务。
但是,在其中防火墙实现为跨多个计算机或节点分布的系统(例如在大的或复杂的系统中)的环境中,多个节点共享连接的能力受到关于连接的管理节点信息(例如插座信息、应用信息及关于连接的诸如此类)的限制。本发明的一些实施例因此提供用于与群集防火墙中的其他系统共享状态信息(例如应用类型或其他这样的连接数据)从而使防火墙群集中的多个节点能够处理相同连接的机制。这通过使连接责任在系统之间移动而对群集提供负载平衡、通过使它的连接移到另一个机器来管理群集中的节点的失效以及执行其他这样的功能的能力。
在一个这样的示例中,防火墙或入侵保护系统实现为群集或连接的节点组,其共享流过防火墙的处理业务。图2示出如可用于实践本发明的一些实施例的具有分布式防火墙的网络。在这里,例如因特网201等网络通过防火墙203耦合于内部网络202。防火墙203包括入站业务模块204和出站业务模块205,其可以执行例如负载平衡和其他防火墙管理功能等功能。防火墙或入侵保护规则在防火墙节点206中应用,其通过网络连接而连接到彼此(如示出的)。
在这里,示出的五个节点每个包括运行防火墙或有关软件实例的独立计算机系统,其能操作成对业务应用规则以选择性地容许或阻断在因特网201与内部网络202之间流动的业务。在备选实施例中,例如节点1、2和3等一些节点执行防火墙应用,而例如4和5等其他节点执行入侵保护系统(IPS)应用。节点204和205负责执行例如路由到防火墙节点206的负载平衡业务等功能,从而确保节点能够在一起高效工作以比单个节点提供更高的吞吐能力。
一些防火墙实施例执行复杂的连接识别功能,其超越端口、IP和其他这样的规则对数据流的简单应用。例如,一些防火墙示例包括应用识别模块,其能操作成监测新连接的前几个分组,并且基于应用通信简档信息识别发起连接的应用。一旦应用被确定,应用特定的规则可以应用于连接,从而提供增强的能力来控制流过防火墙的数据。
如果206处的防火墙节点失效,另一个节点可以简单地取得连接并且基于端口、IP地址和其他这样的特性来应用相同的传统防火墙规则。但是,尽管图2中206处的五个不同的防火墙节点可以基于可识别的特性(例如端口和IP地址)将相同的规则应用于连接,它们无法重新检查已经建立的链接的前几个分组来将基于应用的规则应用于连接。
本发明的一些实施例因此提供对于跨防火墙群集中的节点的应用状态共享从而使防火墙能够将经受基于应用的规则的连接移到另一个节点(例如用于负载平衡)或从失效群集节点恢复的机制。该状态共享在一个实施例中经由使防火墙群集中的节点彼此链接的网络连接而处理,例如在图2中示出的。因为对于连接的会话信息(其包括应用信息)跨节点共享,用识别的应用来接收建立的连接的节点可以应用应用特定的规则来允许或拒绝如由防火墙配置确定的业务。
状态共享在一些实施例中包括将状态信息广播到防火墙群集中的所有其他节点,使得其他节点每个了解其他节点上的连接的应用状态。在备选实施例中,主节点接收应用状态数据并且存储数据,使得群集中的至少两个节点具有对于连接(其中已经识别应用状态数据)的应用状态数据。该主节点可因此与后备主节点或其他指定节点共享它的应用状态数据,使得主节点的失效将不导致应用状态数据的丢失。在再其他示例中,主节点接收应用状态信息并且然后将该信息广播到其他节点。
图3示出与本发明的示例实施例一致的跨防火墙中的节点使用应用状态共享来从失效节点恢复的示例。在301处,在本地网络202中的计算机与因特网201之间发起链接。节点之间的链接由节点1处理,网络连接一在302处建立,该节点1就共享例如源和目标端口以及IP地址等状态信息。在已经在本地计算机与因特网服务器之间交换几个数据分组后,防火墙可以在303处将分组中的数据模式与关联于已知应用的数据模式相比较,从而在许多实例中确定是什么应用发起连接。防火墙节点1然后在304处将对于连接的该应用状态数据与其他节点共享,并且在305处使用应用状态数据来将应用特定的规则应用于防火墙。
在306处,节点1失效,并且在307处将连接重定向到节点2。因为节点2之前已经从节点1接收关于连接的应用状态数据,节点2能够在308处重新开始过滤数据流,其包括将应用特定的规则应用于连接。
尽管该示例说明在节点失效后节点如何可以重新开始过滤连接,可以采用相似的方法以在分布式防火墙群集中对于例如负载平衡或对不同任务的节点再分配等应用将连接从一个节点移到另一个。
在一个这样的示例中,防火墙节点1未失效,但是是两个这样的节点(未绘出)中的一个的入侵保护系统节点失效。系统期望在提供防火墙服务的节点数量与提供入侵保护的节点数量之间维持一定的平衡,并且在该示例中,入侵保护系统在它两个节点中的一个失效时已经失去其一半的能力。系统因此再分配防火墙节点1来替换失效的入侵保护节点,从而导致之前被防火墙节点1处理的连接跨防火墙节点2-5再分配,如在图2中示出的。
这些示例说明防火墙群集中的共享应用状态数据如何可以促进负载平衡、失效转移和防火墙群集内的其他功能,从而使得防火墙群集中基于应用的网络业务过滤更可管理和可靠。
尽管已经在本文图示和描述特定实施例,本领域内技术人员将意识到计算以实现同样目的的任何布置可代替示出的特定实施例。该申请意在涵盖本文描述的本发明的示例实施例的任何改编或变化。规定本发明仅由权利要求和其等同物的全范围限制。
在一个示例实施例中,操作防火墙群集的方法包括这样的过程,其由以下组成:在具有三个或以上节点的防火墙群集的第一节点中接收连接;监测接收的连接的分组并且确定与来自第一节点中的被监测分组的连接关联的应用状态数据;以及与防火墙群集中的至少另一个节点共享应用状态数据。该示例可以在接收连接之后但在共享应用状态数据之前进一步与防火墙群集中的至少另一个节点共享关于接收的连接的连接信息。可选地,防火墙群集可维持应用状态数据,其包含与连接关联的应用的身份。共享应用状态数据可以包括将应用状态数据广播到防火墙群集中的其他节点或将应用状态数据发送到主节点。该主节点还可以被配置用于将应用状态数据广播到防火墙群集中的其他节点。防火墙群集还可以在第一节点失效时使用与连接关联的共享应用状态数据来在另一个节点中过滤所述连接或使用与连接关联的共享应用状态数据来在另一个节点中过滤所述连接以在防火墙群集中提供负载平衡。
在另一个示例中,防火墙群集可以包括第一节点,其能操作成在具有三个或以上节点的防火墙群集中接收连接、监测接收的连接的分组并且确定与来自第一节点中的被监测分组的连接关联的应用状态数据以及与防火墙群集中的至少另一个节点共享应用状态数据。第一节点还可以进一步能操作成在接收连接之后但在共享应用状态数据之前与防火墙群集中的至少另一个节点共享关于接收的连接的连接信息。该示例当然可以包括在之前的示例中描述的一些或全部要素。
Claims (19)
1.一种用于防火墙群集中状态数据共享的设备,包括:
用于由具有三个或更多节点的防火墙群集的第一节点处理与分组关联的连接信息的部件;
用于建立连接的部件;
用于向所述防火墙群集中的至少一个后备节点提供与所述连接关联的状态数据的部件;
用于响应于所述第一节点的失效而将所述连接转移到所述群集的第二节点的部件;以及
用于将所述状态数据从所述后备节点提供到所述第二节点的部件。
2.如权利要求1所述的设备,其中还包括用于将所述状态数据广播到所述防火墙群集中的其他节点的部件。
3.如权利要求1所述的设备,其中还包括用于在另一个节点中过滤所述连接以在所述防火墙群集中提供负载平衡的部件。
4.如权利要求1所述的设备,其中还包括
用于向所述至少一个后备节点提供应用状态数据的部件;以及
用于向所述第二节点提供所述应用状态数据的部件。
5.一种用于防火墙群集中状态数据共享的方法,包括:
由具有三个或更多节点的防火墙群集的第一节点处理与分组关联的连接信息;
建立连接;
向所述防火墙群集中的至少一个后备节点提供与所述连接关联的状态数据;
响应于所述第一节点的失效,将所述连接转移到所述群集的第二节点;以及
将所述状态数据从所述后备节点提供到所述第二节点。
6.如权利要求5所述的方法,还包括:
将所述状态数据广播到所述防火墙群集中的其他节点。
7.如权利要求5所述的方法,还包括:
向所述防火墙群集的主节点提供所述状态数据。
8.如权利要求5所述的方法,还包括:
在另一个节点中过滤所述连接以在所述防火墙群集中提供负载平衡。
9.如权利要求5所述的方法,还包括:
向所述至少一个后备节点提供应用状态数据;以及
向所述第二节点提供所述应用状态数据。
10.一种具有三个或更多节点的防火墙群集,
其中所述防火墙群集的第一节点可操作以:
处理与分组关联的连接信息;
建立连接;以及
向所述防火墙群集的至少一个后备节点提供与所述连接关联的状态数据;并且
其中所述防火墙群集可操作以:
响应于所述第一节点的失效,将所述连接从所述第一节点转移到所述防火墙群集的第二节点;以及
其中所述后备节点可操作以:
向所述第二节点提供所述状态数据。
11.如权利要求10所述的防火墙群集,其中所述第一节点还可操作以将所述状态数据广播到所述防火墙群集中的其他节点。
12.如权利要求10所述的防火墙群集,其中所述第一节点还可操作以向所述防火墙群集的主节点提供所述状态数据。
13.如权利要求12所述的防火墙群集,其中所述主节点可操作以将所述状态数据广播到所述防火墙群集中的其他节点。
14.如权利要求12所述的防火墙群集,其中所述主节点还可操作以在另一个节点中过滤所述连接以在所述防火墙群集中提供负载平衡。
15.如权利要求10所述的防火墙群集,
其中所述第一节点还可操作以向至少一个后备节点提供应用状态数据,并且
其中所述后备节点还可操作以响应于所述第一节点的所述失效,向所述第二节点提供所述应用状态数据。
16.一种具有三个或更多节点的防火墙群集的主节点,可操作以:
接收与所述防火墙群集的第一节点建立的连接关联的状态数据;
存储所述状态数据;
将所述状态数据提供到所述防火墙群集的第二节点;
其中所述防火墙群集配置成响应于所述第一节点的失效,将所述连接从所述第一节点转移到所述防火墙群集的所述第二节点。
17.如权利要求16所述的节点,其中主节点还可操作以:
将所述状态数据广播到所述防火墙群集中的其他节点。
18.如权利要求16所述的节点,其中所述防火墙群集可操作以:
在另一个节点中过滤所述连接以在所述防火墙群集中提供负载平衡。
19.如权利要求16所述的节点,其中主节点还可操作以:
从所述第一节点接收应用状态数据;并且
响应于所述第一节点的失效,向所述第二节点提供所述应用状态数据。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US13/227,825 US8763106B2 (en) | 2011-09-08 | 2011-09-08 | Application state sharing in a firewall cluster |
US13/227825 | 2011-09-08 | ||
CN201280043666.4A CN103858382B (zh) | 2011-09-08 | 2012-09-06 | 用于防火墙群集中的应用状态共享的方法和装置 |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201280043666.4A Division CN103858382B (zh) | 2011-09-08 | 2012-09-06 | 用于防火墙群集中的应用状态共享的方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104601597A CN104601597A (zh) | 2015-05-06 |
CN104601597B true CN104601597B (zh) | 2018-10-26 |
Family
ID=47831092
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201280043666.4A Active CN103858382B (zh) | 2011-09-08 | 2012-09-06 | 用于防火墙群集中的应用状态共享的方法和装置 |
CN201510061714.8A Active CN104601597B (zh) | 2011-09-08 | 2012-09-06 | 用于防火墙群集中状态数据共享的设备和方法 |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201280043666.4A Active CN103858382B (zh) | 2011-09-08 | 2012-09-06 | 用于防火墙群集中的应用状态共享的方法和装置 |
Country Status (6)
Country | Link |
---|---|
US (2) | US8763106B2 (zh) |
EP (1) | EP2754264A4 (zh) |
JP (2) | JP5816374B2 (zh) |
KR (1) | KR101531472B1 (zh) |
CN (2) | CN103858382B (zh) |
WO (1) | WO2013036646A1 (zh) |
Families Citing this family (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8887263B2 (en) | 2011-09-08 | 2014-11-11 | Mcafee, Inc. | Authentication sharing in a firewall cluster |
US8763106B2 (en) | 2011-09-08 | 2014-06-24 | Mcafee, Inc. | Application state sharing in a firewall cluster |
US9176838B2 (en) * | 2012-10-19 | 2015-11-03 | Intel Corporation | Encrypted data inspection in a network environment |
US9477500B2 (en) | 2013-03-15 | 2016-10-25 | Avi Networks | Managing and controlling a distributed network service platform |
US9106610B2 (en) * | 2013-06-07 | 2015-08-11 | International Business Machines Corporation | Regional firewall clustering in a networked computing environment |
WO2017036535A1 (en) * | 2015-09-03 | 2017-03-09 | Huawei Technologies Co., Ltd. | Distributed connection tracking |
CN106603471B (zh) * | 2015-10-16 | 2019-09-13 | 北京启明星辰信息安全技术有限公司 | 一种防火墙策略检测方法及装置 |
CN108370325B (zh) * | 2015-12-09 | 2021-05-07 | 华为技术有限公司 | 一种通过连接跟踪对网络的管理 |
EP3349137A1 (en) * | 2017-01-11 | 2018-07-18 | Sap Se | Client-side attack detection in web applications |
CN107835099B (zh) * | 2017-11-29 | 2021-09-03 | 新华三信息安全技术有限公司 | 一种信息同步方法及装置 |
US11258760B1 (en) * | 2018-06-22 | 2022-02-22 | Vmware, Inc. | Stateful distributed web application firewall |
US10771318B1 (en) | 2018-10-24 | 2020-09-08 | Vmware, Inc | High availability on a distributed networking platform |
CN110809330B (zh) * | 2019-12-16 | 2023-07-14 | 腾讯科技(深圳)有限公司 | 多终端的连接建立方法和装置、存储介质及电子装置 |
CN111506480B (zh) * | 2020-04-23 | 2024-03-08 | 上海达梦数据库有限公司 | 集群中组件的状态检测方法、装置和系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1725702A (zh) * | 2004-07-20 | 2006-01-25 | 联想网御科技(北京)有限公司 | 一种网络安全设备及其组成的实现高可用性的系统及方法 |
US7254834B2 (en) * | 2001-10-18 | 2007-08-07 | The Board Of Regents Of The University Of Nebraska | Fault tolerant firewall sandwiches |
CN101651680A (zh) * | 2009-09-14 | 2010-02-17 | 杭州华三通信技术有限公司 | 一种网络安全部署方法和一种网络安全设备 |
Family Cites Families (38)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6880089B1 (en) | 2000-03-31 | 2005-04-12 | Avaya Technology Corp. | Firewall clustering for multiple network servers |
US6772226B1 (en) | 2000-08-15 | 2004-08-03 | Avaya Technology Corp. | VPN device clustering using a network flow switch and a different mac address for each VPN device in the cluster |
US7131140B1 (en) | 2000-12-29 | 2006-10-31 | Cisco Technology, Inc. | Method for protecting a firewall load balancer from a denial of service attack |
US7130305B2 (en) * | 2001-07-02 | 2006-10-31 | Stonesoft Oy | Processing of data packets within a network element cluster |
US7107609B2 (en) | 2001-07-20 | 2006-09-12 | Hewlett-Packard Development Company, L.P. | Stateful packet forwarding in a firewall cluster |
US8001279B2 (en) * | 2001-12-21 | 2011-08-16 | International Business Machines Corporation | Method of synchronizing firewalls in a communication system based upon a server farm |
US7734752B2 (en) * | 2002-02-08 | 2010-06-08 | Juniper Networks, Inc. | Intelligent integrated network security device for high-availability applications |
US7447901B1 (en) | 2002-06-25 | 2008-11-04 | Cisco Technology, Inc. | Method and apparatus for establishing a dynamic multipoint encrypted virtual private network |
WO2004049669A2 (en) * | 2002-11-27 | 2004-06-10 | Fujitsu Siemens Computers, Inc. | Method and appliance for distributing data packets sent by a computer to a cluster system |
WO2004071038A1 (ja) * | 2003-02-05 | 2004-08-19 | Nippon Telegraph And Telephone Corporation | ファイアウォール装置 |
US7266715B1 (en) | 2003-04-29 | 2007-09-04 | Cisco Technology, Inc. | Methods and apparatus for maintaining a virtual private network connection |
JP2005128792A (ja) * | 2003-10-23 | 2005-05-19 | Trend Micro Inc | 通信装置、プログラムおよび記憶媒体 |
US7389510B2 (en) | 2003-11-06 | 2008-06-17 | International Business Machines Corporation | Load balancing of servers in a cluster |
US7844731B1 (en) * | 2003-11-14 | 2010-11-30 | Symantec Corporation | Systems and methods for address spacing in a firewall cluster |
US8214481B2 (en) * | 2004-02-10 | 2012-07-03 | Seagate Technology Llc | Firewall permitting access to network based on accessing party identity |
US20050240989A1 (en) | 2004-04-23 | 2005-10-27 | Seoul National University Industry Foundation | Method of sharing state between stateful inspection firewalls on mep network |
JP2006054770A (ja) * | 2004-08-16 | 2006-02-23 | Yokogawa Electric Corp | ファイアウォール装置 |
US8146145B2 (en) | 2004-09-30 | 2012-03-27 | Rockstar Bidco Lp | Method and apparatus for enabling enhanced control of traffic propagation through a network firewall |
CA2594020C (en) | 2004-12-22 | 2014-12-09 | Wake Forest University | Method, systems, and computer program products for implementing function-parallel network firewall |
US7870602B2 (en) | 2005-09-14 | 2011-01-11 | At&T Intellectual Property I, L.P. | System and method for reducing data stream interruption during failure of a firewall device |
US9137204B2 (en) * | 2006-02-02 | 2015-09-15 | Check Point Software Technologies Ltd. | Network security smart load balancing |
US8533808B2 (en) * | 2006-02-02 | 2013-09-10 | Check Point Software Technologies Ltd. | Network security smart load balancing using a multiple processor device |
US8353020B2 (en) * | 2006-06-14 | 2013-01-08 | Microsoft Corporation | Transparently extensible firewall cluster |
US20080098113A1 (en) * | 2006-10-19 | 2008-04-24 | Gert Hansen | Stateful firewall clustering for processing-intensive network applications |
US8255985B2 (en) | 2006-11-13 | 2012-08-28 | At&T Intellectual Property I, L.P. | Methods, network services, and computer program products for recommending security policies to firewalls |
JP2008141618A (ja) * | 2006-12-04 | 2008-06-19 | Tohoku Univ | ネットワークアプリケーション弁別方法、ならびに不正アクセス検出システム |
CN101030946A (zh) * | 2007-04-12 | 2007-09-05 | 华为技术有限公司 | 一种实现数据业务的方法及系统 |
US7822841B2 (en) * | 2007-10-30 | 2010-10-26 | Modern Grids, Inc. | Method and system for hosting multiple, customized computing clusters |
US8015298B2 (en) * | 2008-02-28 | 2011-09-06 | Level 3 Communications, Llc | Load-balancing cluster |
CN101350773A (zh) * | 2008-06-20 | 2009-01-21 | 中兴通讯股份有限公司 | 一种移动分组网络架构及其多个防火墙负载均衡接入方法 |
US8782286B2 (en) * | 2008-09-12 | 2014-07-15 | Cisco Technology, Inc. | Optimizing state sharing between firewalls on multi-homed networks |
US8493902B2 (en) | 2010-08-16 | 2013-07-23 | Florida Institute for Human and Machine Cognition | Opportunistic listening system and method |
US8406233B2 (en) * | 2010-09-07 | 2013-03-26 | Check Point Software Technologies Ltd. | Predictive synchronization for clustered devices |
US8776207B2 (en) | 2011-02-16 | 2014-07-08 | Fortinet, Inc. | Load balancing in a network with session information |
US8887263B2 (en) | 2011-09-08 | 2014-11-11 | Mcafee, Inc. | Authentication sharing in a firewall cluster |
US8763106B2 (en) | 2011-09-08 | 2014-06-24 | Mcafee, Inc. | Application state sharing in a firewall cluster |
US9319459B2 (en) | 2011-09-19 | 2016-04-19 | Cisco Technology, Inc. | Services controlled session based flow interceptor |
US20130152156A1 (en) | 2011-12-12 | 2013-06-13 | Mcafee, Inc. | Vpn support in a large firewall cluster |
-
2011
- 2011-09-08 US US13/227,825 patent/US8763106B2/en active Active
-
2012
- 2012-09-06 CN CN201280043666.4A patent/CN103858382B/zh active Active
- 2012-09-06 CN CN201510061714.8A patent/CN104601597B/zh active Active
- 2012-09-06 WO PCT/US2012/053971 patent/WO2013036646A1/en active Application Filing
- 2012-09-06 EP EP20120829364 patent/EP2754264A4/en not_active Withdrawn
- 2012-09-06 KR KR1020147006134A patent/KR101531472B1/ko active IP Right Grant
- 2012-09-06 JP JP2014529854A patent/JP5816374B2/ja active Active
-
2014
- 2014-06-09 US US14/299,551 patent/US9876763B2/en active Active
-
2015
- 2015-09-25 JP JP2015188965A patent/JP6069717B2/ja active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7254834B2 (en) * | 2001-10-18 | 2007-08-07 | The Board Of Regents Of The University Of Nebraska | Fault tolerant firewall sandwiches |
CN1725702A (zh) * | 2004-07-20 | 2006-01-25 | 联想网御科技(北京)有限公司 | 一种网络安全设备及其组成的实现高可用性的系统及方法 |
CN101651680A (zh) * | 2009-09-14 | 2010-02-17 | 杭州华三通信技术有限公司 | 一种网络安全部署方法和一种网络安全设备 |
Also Published As
Publication number | Publication date |
---|---|
US20130067556A1 (en) | 2013-03-14 |
CN103858382A (zh) | 2014-06-11 |
JP5816374B2 (ja) | 2015-11-18 |
EP2754264A1 (en) | 2014-07-16 |
JP2014529259A (ja) | 2014-10-30 |
CN104601597A (zh) | 2015-05-06 |
KR101531472B1 (ko) | 2015-06-24 |
US8763106B2 (en) | 2014-06-24 |
EP2754264A4 (en) | 2015-05-13 |
KR20140058615A (ko) | 2014-05-14 |
JP2016028501A (ja) | 2016-02-25 |
JP6069717B2 (ja) | 2017-02-01 |
CN103858382B (zh) | 2018-01-16 |
US20150082412A1 (en) | 2015-03-19 |
US9876763B2 (en) | 2018-01-23 |
WO2013036646A1 (en) | 2013-03-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104601597B (zh) | 用于防火墙群集中状态数据共享的设备和方法 | |
CN103858383B (zh) | 防火墙群集中的验证共享 | |
US10721209B2 (en) | Timing management in a large firewall cluster | |
Khalaf et al. | A simulation study of syn flood attack in cloud computing environment | |
Kugisaki et al. | Bot detection based on traffic analysis | |
WO2017013894A1 (ja) | フィルタリングシステム、管理装置、フィルタリング方法及び管理プログラム | |
Gital et al. | On consistency and security issues in collaborative virtual environment systems | |
Al-Hamami et al. | Security Concepts, Developments, and Future Trends | |
Daskapan et al. | Designing cyber warfare information infrastructure resilience |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CP01 | Change in the name or title of a patent holder |
Address after: American California Patentee after: McAfee limited liability company Address before: American California Patentee before: Mai Kefei company |
|
CP01 | Change in the name or title of a patent holder |