CN105187378A - 处理网络流量的计算机系统及方法 - Google Patents
处理网络流量的计算机系统及方法 Download PDFInfo
- Publication number
- CN105187378A CN105187378A CN201510369654.6A CN201510369654A CN105187378A CN 105187378 A CN105187378 A CN 105187378A CN 201510369654 A CN201510369654 A CN 201510369654A CN 105187378 A CN105187378 A CN 105187378A
- Authority
- CN
- China
- Prior art keywords
- virtual domain
- network
- service processes
- information
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Abstract
本发明公开了一种用于处理与多个虚拟域相关的网络内容的计算机化的系统及方法。所述处理包括反恶意程序扫描和/或内容过滤。与多个虚拟域相关的网络内容可以在同一系统进程中处理。响应来自虚拟域的连接请求,所述服务进程创建相对独立的套接字与每个虚拟域通信。使用一全局配置管理模块将每个会话的配置参数提供给服务进程。一日志管理器处理全局日志及每个虚拟域的日志。作为选择地,服务进程可发起另一服务进程以处理来自一个或多个虚拟域的引入连接,以便在多CPU环境中更好地使用资源。可利用不同的服务进程处理网络内容的不同方面,例如,一服务进程可以用于反恶意程序的扫描,而另一服务进程可用于处理内容过滤。
Description
本案是申请号:200710000178.6,申请人:飞塔公司,发明名称:《处理网络流量的计算机系统及方法》的申请的分案申请。
技术领域
本发明涉及计算机网络,尤其涉及网络系统安全性和/或可升级性的实现。
背景技术
近十年来,对网络安全的威胁演变地非常快,其从网络层针对连接的攻击发展成应用层基于代理的攻击。常规的网络设备(防火墙)能够进行网络层数据包的处理;例如,常规防火墙可以阻止不是来自有效数据源的数据包,以及VPN网关可以加密传输中的数据包使其安全穿过互联网。但是,当前严重的网络威胁,比如包括间谍软件、病毒和蠕虫等恶意程序嵌入到数据包流的应用层内容中。通过从多个数据包中提取内容,重建原始内容,以及扫描其中的攻击指示标志或者不适当内容等处理方法来检测并阻止这些应用层的攻击需要很强的处理能力。
针对这些新的安全挑战,现今的防火墙必须能够提供应用层内容的实时处理,特别是随着现在(及将来)不断增长网络速度而产生的实时应用程序(如网页浏览)。
在防火墙中,网络流量的处理由一系列整体形成一防火墙策略的具体规则来确定。防火墙策略指示了防火墙应该怎样处理如网页、电子邮件或者远程登录等具体应用的网络流量。示例性的规则包括过滤禁忌词汇、阻止具体的URL、阻止具体文件类型的传输、反恶意程序扫描,垃圾邮件阻止等等。每一防火墙策略通常具有关联防火墙配置内容表,通过该配置内容表配置防火墙处理网络内容。防火墙策略通常由网络管理员创建,并且是基于各组织的信息安全策略。
防火墙通常实现为具有多个用于网络流量的流入及流出的物理网络接口的硬件/软件装置。网络流量进入这些接口中的一个,经过过滤及其它适当的处理后被路由到通常是与不同物理接口相连接的一远程主机。在一些情况下,防火墙也可配置具有逻辑接口,如虚拟局域网络(VLAN)或点对点协议(PPP)接口。这样的逻辑接口完全是通过软件实现的,并不直接映射到物理接口。举例说明,在VLAN配置中,PC机、服务器以及其它的网络设备可以实现并显现在同一个物理LAN网段相互通信,即使它们可能并不是位于相同的物理LAN网段。VLAN配置下的网络实体可以分布在多个物理网络中,但是对于防火墙而言这些网络实体如同全都是通过一单个(逻辑)网络接口连接的。
具有多个不同计算机系统的大型网络可以划分为两个或更多不相交的虚拟网络,称为“虚拟域”。每一所述虚拟域都具有其自己的路由设置、网络管理设置、访问权限设置以及网络完全策略与配置。利用虚拟域,相互独立的组织可以共享相同的防火墙/路由硬件,该虚拟域的网络接口可以被划分成不相交的可由不同用户管理的路由域。从一个这样虚拟域发出的网络流量只能在同一个虚拟域中路由。
但是,现有的防火墙系统在利用可升级且有效的方法来处理不相交路由及配置的域方面的能力不足。因此,需要能够以有效的方法管理虚拟网络域的可升级的防火墙系统。
发明内容
本发明的目的在于提供一种方法和系统,其能够充分消除传统技术在虚拟域中处理内容相关的一个或多个上述或其他问题。
本发明的一个方面提供了一种用于处理与多个虚拟域相关的网络内容的方法、计算机编程产品以及计算机系统。根据本发明的方法,需要定义多个接口,其中的每个接口对应一个虚拟域。然后系统根据具体的内容处理策略发起用于处理网络数据包的服务进程。当接收到涉及与虚拟域相关联的网络实体的网络连接请求时,系统将在服务进程与内核之间开放一通信信道。开放的通道用于在服务进程与防火墙系统内核之间传输与虚拟域相关的网络内容。根据起作用的内容处理策略,在服务进程中处理传输的网络内容。
根据本发明的一个特点,当接收到涉及与第二虚拟域相关联的第二网络实体的第二网络连接请求时,系统在服务进程与对应于所述第二虚拟域的第二接口之间开放一第二通信信道。然后该系统使用所述第二开放通信信道在服务进程与第二接口之间传输第二网络内容。与第二虚拟域相关的网络内容根据起作用的内容处理策略在相同的服务进程中进行处理。
根据本发明的另一特点,为每一虚拟域提供一相对独立的内容处理策略。
根据本发明的又一特点,所述通信通道是套接字。
根据本发明的又一特点,所述接口可以是物理接口或逻辑接口。
根据本发明的又一特点,所述内容处理策略可包括反恶意程序扫描。内容处理策略还可以包括内容过滤、虚拟专用网(VPN)处理以及网络监控与日志记录。
根据本发明的又一特点,服务进程可以是一系统进程。
根据本发明的又一特点,根据一信息交换协议传输所述网络内容。
根据本发明的又一特点,所述处理包括获取与虚拟域相对应的配置设置。所述配置设置可以通过与虚拟域相对应的开放通信通道的至少一个属性获得。这样的属性可以包括,例如,套接字标识符,其可用于获得虚拟域标识符,反过来,该虚拟域标识符可以用于从数据库或其它存储系统中查询适当的配置设置。
根据本发明的又一特点,可利用同样的服务进程处理与其它虚拟域相关的数据。
根据本发明的又一特点,一经收到与第二虚拟域相关的第二连接请求时,系统发起用以处理与第二虚拟域相关的网络内容的第二个服务进程。不同的服务进程在不同的CPU上执行。
根据本发明的又一特点,第二服务进程可由第一个服务进程发起。服务进程之间可通过消息交换来进行通信。该消息可以包括系统接收的第三连接请求的信息。该第三连接请求可从前两个虚拟域中或从一第三虚拟域中发出。
根据本发明的又一特点,系统可提供有一集中配置存储装置,用于对服务进程提供配置信息。系统进一步包括一日志管理器,用于处理从服务进程接收的日志信息。
根据本发明的又一特点,虚拟域状态信息可以缓存在服务进程中。
有关本发明的其他方面部分地在下面的描述中介绍,部分地通过说明书显而易见或可通过对本发明的实施获得。本发明的各个方面可以通过要件及各要件的组合、以及下文的详细描述和所附的权利要求中具体指出的方面了解和获得。
应该理解,上文和后文中的描述只是示例性和说明性的,并不用于以任何方式对要求保护的本发明或其应用进行限制。
附图说明
附图被结合进来并构成说明书的一部分,其示例性地说明了本发明的实施例,且与文字说明一起用于解释和描述本发明技术的原理。具体地:
图1示出了虚拟局域网络(VLAN)配置的方框示意图;
图2示出了虚拟域配置的方框示意图;
图3示出了根据本发明一实施例的用于在虚拟域环境下处理网络内容的计算机系统的方框示意图;
图4示出了是根据本发明的另一实施例,用于在虚拟域环境中处理网络内容的计算机系统的方框示意图;及
图5示出了可用于实现本发明的内容处理系统的计算机平台的示范性实施例。
具体实施方式
下面将参考附图进行详细说明,其中,附图中相同的功能元件使用相同的标记。上述的附图示出了与本发明的原理一致的具体实施例及其实现,其用于解释本发明,并不作为对本发明的限制。本文对所述的实施例的实现进行了详细描述以使得本领域的技术人员能够实施本发明。应该理解,可以采用其它的实施方式以及对各种元件做出结构变化和/或替换而不脱离本发明的精神和范围。因此,下面的描述并不用于限制本发明。另外,本发明所述的各种实施例可以以运行于通用计算机中的软件、专门的硬件、或者软件和硬件的组合方式来执行。
发明人认为提供一种机制,在该机制中利用可升级且有效的方式管理多个虚拟域的网络内容是具有优势的。特别地,本发明的一实施例能够同时处理与多个虚拟域相关的网络内容。
图1示出了示例性的VLAN网络配置100。参照图1,物理局域网络(LAN)122,123及124通过防火墙装置101的物理接口连接。物理LAN122到124包括与防火墙101各个网络接口连接的局域网络实体104到115。局域网络实体104到115可以包括PC设备、网络存储装置等。局域网络实体104-115分为三个VLAN,分别是116、117与118。这三个VLAN在防火墙101中分别通过逻辑接口119,120及121连接。防火墙101通过一不同的物理接口125与互联网(internet)102连接。在互联网102中的远程主机103与局域实体104到115中的任何一台之间传输的网络内容由防火墙101根据有效的防火墙策略进行处理。这样的处理包括反恶意程序扫描和/或内容过滤。
图2示出了示例性的具有多个虚拟域的网络配置200。具体地,位于物理网络122与123中的局域网络实体104到111分为两个VLAN216与217,如上所述。在防火墙101中,VLAN216与217分别与逻辑接口219和220相连接。局域网络实体112-115设置在物理网络124中,与防火墙的物理接口225连接。逻辑接口219、220以及物理接口225(以及所有连接的网络实体)被分为两个相互不相交(disjoint)的网络或虚拟域226与227。从每个虚拟域内发出的网络流量只能在同一个虚拟域内路由。互联网102中的远程主机103与虚拟域226及227中的实体之间传输的网络内容由防火墙101进行处理。每个虚拟域226及227可以具有不同的生效的内容处理策略(未示出)以处理与各个虚拟域有关的网络内容。虚拟域226与227具有不相交的路由,包括到互联网的路由。因此,设置有额外的路由器(或逻辑接口)228及229以便将每个虚拟域到互联网之间的流量进行分离。另外,远程主机103在正常情况下允许连接到虚拟域226及227其中的一个,但不能同时与该二者连接。
图3示出了根据本发明一个方面的网络内容处理系统的实施例。参照图3,所示的实施例防火墙系统300包括逻辑接口219、220以及物理接口225。逻辑接口220与物理接口225一起形成一虚拟域227。虚拟域226与单一逻辑接口219相连接。局域网络实体104-115根据各自连接的接口组被分为虚拟域226与227。
通过防火墙传输的网络流量由防火墙系统进程305和306进行处理。具体地,在所示的实施例中,服务系统进程305对虚拟域226与227执行内容过滤的同时对内容进行反恶意程序扫描。服务进程305与306通过独立的通信信道特别是套接字315-318与接口219、220及225进行通信。在本发明系统的实施例中,每个这样的套接字都具有其自身的接收缓存以使得从一个虚拟域发出的信息包不会使其它虚拟域对应的缓存溢出。因此,对应一特定域的缓存的溢出不会影响其它虚拟域中的流量。
在图3所示的本发明的实施例中,系统进程305与306将来自多个虚拟域226与227的套接字聚集(aggregate),从而减少每个虚拟域执行系统进程305与306的相关的资源开销。在该配置中,当多个虚拟域发出的连接被聚集在同一个系统进程中时,系统进程305与306需要识别正在处理的虚拟域的身份。在本发明的一实施例中,该步骤是通过检查关联套接字的属性及具体的套接字标识符(socket_id)来完成的。因为在如图3所示的配置中,与虚拟域由连接的另一端的逻辑或物理接口是虚拟域的唯一识别特征,虚拟域的识别信息可以从各套接字的套接字识别符socket_id中获得。
图4所示是本发明的另一实施例的防火墙系统400,在该实施例中所述多个系统进程405与406用于将来自不同虚拟域的网络内容处理任务分配到多个可用的CPU资源407及408,有益于系统的负载均衡。图4所示的实施例可包括用于处理不同方面内容的第二套系统进程(图中没有示出)。作为选择地,可利用图中所示的系统进程405与406处理所有方面的内容。
此外,将多个虚拟域的服务集中在单个的系统进程中时需要其频繁地获取虚拟域状态以及其它的配置信息。为了实现这个目的,图3与图4所示的本发明实施例的系统包括一配置管理服务器307,用于提供集中的配置信息、多个虚拟域的管理以及升级通告。配置服务器307同步管理所有虚拟域的配置,并对系统300及400中的系统进程305及306中的任何一个发出的配置信息查询提供应用程序接口(API)。
在所示的本发明的实施例中,配置管理服务器307引用一关联的配置信息数据库313,该数据库中存储有系统300中的其它模块的配置信息;系统300的全局参数,该参数在多个虚拟域中是通用的;以及每个独立虚拟域226及227的配置信息。存储在数据库313中的域配置信息包括对虚拟域采用的内容处理策略的详细内容。数据库313可实现为一本地或远程的实际数据库,或者,作为选择地,其可实现为一配置文件或一系列这样的配置文件。配置服务器307也可提供一系列API,用于管理存储在关联的配置数据库313中的配置数据。
多数情况下,上述的配置数据库313只能通过一系列的配置服务器API来修改,这些API根据用户的配置权限对用户提供限制级访问。这些配置权限可以被充分细化设置,例如,可以根据每个虚拟域进行分配。配置管理服务器307确保了一个虚拟域的管理员不能够更改影响其它不相交虚拟域的参数。在本发明的一实施例中,采用一种不单独存储每个虚拟域的数据的优化格式组织配置服务器307的内部状态。但是,配置数据仍将在API级别呈现在每个虚拟域中。
因为不同的管理员可能负责管理不同的虚拟域,所以在本发明的一个实施例中在防火墙系统中至少设定一个用户帐号拥有增加或删除虚拟域的权限。增加或删除虚拟域时,将对所有的有关的应用程序,如防火墙系统中(具有一定的权限)的系统进程305与306发出一通知信息以通知其该事件。这些应用程序可以采取任何必要的动作来响应该通知(例如,为新虚拟域添加管理员或清除旧的虚拟域的状态)。当存储在数据库313中一现有虚拟域的配置被修改时,将发送相似的通知信息告知相关的应用程序该修改。正如本领域的技术人员所知道的,由于虚拟域可单独管理,所以希望在一个虚拟域中发生的配置改变不影响导致一全局的动作,例如导致系统的重新启动。
日志服务器308可将多个虚拟域226及227服务的多个系统进程305及306的日志信息进行聚集。从应用进程305与306接收的每一日志信息310及312可以被分类为全局信息,或者在该日志信息中可包含指定该信息是关于哪个虚拟域的属性信息。在本发明的一个实施例中,日志服务器308对每条日志信息所执行的动作(例如,丢弃、本地存储或转发到外部服务器)可根据日志的类型不同而不同。在本发明的一实施例中,为了便于以后日志信息的存档与存储,将关于每一虚拟域的日志信息存储在单独的文件夹中。在另一实施例中,利用单独的文件夹存储不同类别的日志。由于激活的日志文件与套接字的数目可能超过了操作系统的限制,一实施例的日志服务器308中保留有对应每一激活的日志文件的打开文件描述符表格,并关闭非活动日志文件的文件描述符,如本领域的技术人员所熟知的最近最少使用算法(LRU,LeastRecentlyUsedalgorithm)所指示的。具体地,根据上述的LRU算法,本发明系统的一实施例首先关闭最近最少使用的文件描述符。为达到这个目标,系统使用上述的文件描述符表格来跟踪确定哪个日志文件被使用以及最后是什么时间使用的。在另一实施例中使用伪LRU算法,在该算法中采用一几乎总是丢弃最近最少使用过的条目的概率方案。
在本发明的一实施例中,用于为多个虚拟域进行内容过滤和/或反恶意程序服务的系统进程305与306将与其所有虚拟域相关的内部变量汇集成一称作虚拟域状态的结构。系统进程305或306可以创建或管理多个该结构的实例,每一该实例对应一不同的虚拟域。
每个系统进程305与306的全局引用(或指针)变量是设置用来指向与当前活动的虚拟域相对应的上述虚拟域状态数据结构的实例。每一进入系统服务进程的入口点,例如从一套接字里读取数据的模块、事件通知处理器、信号处理器等,根据所接收到信息中的属性将该指针更新到当前的虚拟域。或者,当前活动的虚拟域的信息可以从如上所述的信息本身获得。举例说明,如套接字描述符,系统进程可根据与套接字相关联的socket_id变量的值来查找关联的虚拟域的身份。
对于所添加的容错,系统进程可选择性地在每个退出点重新设置所述的当前虚拟域引用变量。在系统进行模块的一实施例中,通过上述当前虚拟域引用变量的间接引用,各种函数能够访问与活动虚拟域相关的任何变量,就如同这些变量是全局变量。另外,系统进程模块可以提供一系列调用函数来处理新虚拟域状态的创建以响应增加虚拟域的消息,虚拟域状态的移除以响应一删除消息,以及虚拟域状态的改变以响应对配置的更改。
在本发明防火墙系统的一实施例中,一些系统进程可以充当服务器进程,产生子进程来处理具体的输入连接。在某些熟悉的协议中(例如PPTP、L2TP或HTTP),甚至子进程还可以产生其子进程。本发明技术的一实施例中,为了减少系统的进程开销,不仅将虚拟域的服务器程序汇集而且将子进程也汇集将更有利。这通过利用从父进程发到子进程的另外的通知消息来实现。当新会话创建时,父进程会将该会话分配给已经存在子进程而不会产生新的子进程。具体地,父进程将所有的初始状态参数封装到一消息中发送给其子进程。然后该子进程创建一会话状态结构,该状态结构类似于所述的虚拟域状态,并使用所述的方法完成对多个同步会话的处理。将来自单个虚拟域的所有会话分配给同一个子进程不是必需的,但是如这样做的话性能上会比较有优势。为了能够在子进程间适当地分配连接,在本发明的一实施例中,当一个会话断开时父进程接收到通告信息,这使得父进程能够跟踪为其每个子进程打开的会话的数目。
本发明的防火墙系统还可包括用于处理与所管理的任一虚拟域不相关联的网络内容的功能。这样的带外网络内容包括在高可用集群(HA)中的多个节点之间的通信,与板外(off-board)的网络驱动的硬件如服务器底架管理系统之间的通信,或来自终端服务器的连接。多数情况下,从这些网络发来的连接应该与来自其它网络的流量分开。在允许路由的情况下,为了避免将带外的流量与过滤的网络内容相混合,在本发明的一实施例中,将提供一独立的虚拟域以包含这些带外管理流量。
图5所示为用于实现本发明方法一实施例的计算机/服务器系统500的实施例。系统500包括计算机/服务器平台501,外围设备502和网络资源503。
计算机平台501包括数据总线504或者其他用于在计算机平台501内的各部分之间传输通信信息或者将信息传输通过该计算机平台的通信装置,以及与总线501结合用于处理信息和执行其他计算和控制任务的处理器505。计算机平台501还包括与总线504连接的易失性存储装置506,比如随机访问存储器(RAM)或者其他动态存储设备,用于存储处理器505所执行的各种信息与指令。易失性存储装置506也可以用于存储处理器505执行指令过程中的临时变量或其他中间信息。计算机平台501可以进一步包括与总线504连接的只读存储器(ROM或者EPROM或其它固件存储装置)507或者其他静态存储装置,用于存储处理器505所需的静态信息和指令,如基本输入输出系统(BIOS),以及各种系统配置参数。还设置有永久存储装置508,如磁盘、光盘或者固态闪存装置,与总线501相连接,用于存储信息和指令。
计算机平台501可通过总线504与显示装置509相连接,比如阴极射线管(CRT)、等离子显示装置或者液晶显示装置(LCD),用于向计算机平台501的系统管理员或者用户显示信息。包括文字数字及其他键的输入设备510连接到总线501,用于与处理器505进行消息通信和命令选择。另一种用户输入设备为光标控制设备511,比如鼠标、轨迹球或者光标方向键,用于将方向信息和命令选择传送给处理器504,并用于控制光标在显示器509上的移动。这种输入设备典型地在两轴上具有两维自由度,第一轴(比如x轴)和第二轴(比如y轴),允许设备在平面内定位。
外部存储装置512通过总线504与计算机平台501连接,用于为计算机平台501提供额外的或者可移动的存储容量。在计算机系统500的实施例中,外部移动存储装置512可以使得与其他计算机系统的数据交换更便利。
本发明涉及用于实现本文描述的技术的计算机系统500的使用。在一实施例中,本发明的内容处理系统300和400可设置在如计算机平台501的装置中。在实施例中,数据库313可以配置在如计算机平台501的装置中。根据本发明的一实施例,在此描述的技术通过计算机系统500来执行以响应处理器505执行存储在易失性存储装置506中的一个或多个指令中的一个或者多个序列。这些指令可以从其他计算机可读介质如永久性存储装置508中读入易失性存储装置506中。易失性存储装置506中的指令序列的执行导致处理器505执行在此描述的处理步骤。在另一实施例中,硬线电路可以用于代替软件指令或者与软件指令相结合来实现本发明。因而,本发明的实施例并不局限于任何具体的硬线电路和软件的结合。
在此描述的“计算机可读介质”一词是指任何参与向处理器505提供执行指令的介质。计算机可读介质只是机器可读介质中的一个例子,其可承载用于实现在此描述的任何方法和/或技术的指令。这种介质有多种格式,包括但不限于,非易失性介质、易失性介质和传输介质。非易失性介质包括,例如,光盘或者磁盘,例如存储装置508。易失性介质包括动态存储器,如易失性存储器506。传输介质包括同轴电缆、铜线和光纤,其包括包含数据总线504的线缆。传输介质也可以采取声波或者光波的形式,比如在无线电波通信以及红外线数据通信中产生的波。
一般形式的计算机可读介质包括,比如,软盘、软碟、硬盘、磁带或者任何其他磁性介质、CD-ROM、任何其他光学介质、打孔卡片、纸带、任何其他有孔的物理介质、RAM、PROM、EPROM、FLASH-EPROM、闪存驱动器、记忆卡、任何其他记忆片或者卡带、如下文描述的载波或者任何计算机可读的其它介质。
各种形式的计算机可读介质可承载处理器505执行的一个或者多个指令的一个或者多个序列。例如,指令最初可以是承载在远程计算机的磁盘中。或者,远程计算机可以将指令上载到它的动态内存中并使用调制解调器通过电话线发送指令。计算机系统500的本地调制解调器可以接收电话线上的数据并使用红外线转换器将数据转换成红外信号。红外检测器可以接收承载在红外信号上的数据且适当的电路可以将数据置于数据总线504上。总线504将数据传输到易失性存储装置506,处理器505从易失性存储装置506获取指令并执行。易失性存储装置506接收的指令可能在处理器505执行之前或者之后可选择地存储在永久存储装置508中。指令还可以通过互联网使用本领域公知的各种网络数据通信协议下载到计算机平台501中。
计算机平台501还包括通信接口,如与数据总线504连接的网络接口卡513。通信接口513与连接到局域网络515的网络链路514可进行双向数据通信。例如,通信接口513可以是向相应类型的电话线提供数据通信连接的综合服务数字网(ISDN)卡或者调制解调器。另外的示例中,通信接口513可以是向兼容的LAN提供数据通信连接的局域网接口卡(LANNIC)。无线链路,如公知的802.11a、802.11b、802.11g以及蓝牙,也可以用于网络实现。上述任何实现中,通信接口513发送和接收载有代表各种类型信息的数字数据流的电信号、电磁信号或者光信号。
网络链路514典型地通过一个或者多个网络向其他网络资源提供数据通信。例如,网络链路514可以通过局域网515提供到主机516或者网络存储器/服务器517的连接。另外或者作为选择地,网络链路514可以通过网关/防火墙517连接到广域网或者全球网518,如互联网。这样,计算机平台501可以访问位于互联网518上任何位置的网络资源,如远程网络存储器/网络服务器519。另一方面,计算机平台501也可以被位于局域网515和/或互联网518上任何位置的客户端访问。网络客户端520和521自身也可以基于与计算机平台501相似的平台来实现。
局域网络515和互联网518都使用载有数字数据流的电信号、电磁信号或光信号。承载着进出计算机平台501的数字数据的通过各种网络的信号、在网络链路514上的信号、以及通过网络接口513的信号,是传输信息的载波的示例性形式。
计算机平台501可以通过包括互联网518、局域网515、网络链路514以及通信接口513的各种网络发送信息和接收数据,包括程序代码。以互联网为例,当系统501作为网络服务器时,其可通过互联网518、网关/防火墙517、局域网络515以及通信接口513为运行在客户端520和/或521的应用程序传输请求的代码或数据。类似地,它也可以从其他网络资源接收代码。
接收的代码可以在其被接收时即由处理器505执行,和/或分别存储在永久性或易失性存储装置508和506中,或者可存储在其他非易失性存储器中稍后执行。这种情况下,计算机系统501可以以载波的形式获得应用程序代码。
应该注意,本发明并不限于任何具体防火墙系统。本发明的基于策略的内容处理系统可以运行于任何防火墙模式中,包括但不限于网络地址翻译模式(NAT)、路由模式及透明模式。
最后,应该理解,本文所述的处理方法和技术并不固定涉及任何特殊装置,且其可通过任何组件的适当组合实现。此外,根据本文所述的指导可使用各种类型的通用目的装置。可证明构建专门的装置来执行本文所述的方法步骤是很有益的。本发明结合具体的示例进行描述,这些示例用于解释本发明而不是用于进行限制。本领域的技术人员将认识到硬件、软件和固件的多种不同的组合可适用于实施本发明。例如,所述软件可以用各种编程或者脚本语言实现,如Assembler、C/C++、perl、shell、PHP以及Java等。
而且,从本文对本发明的说明和实施的描述来考虑,本发明的其他实现方式对本领域的技术人员是显而易见的。所述实施例的各个方面和/或组件可以以单独或者以任何组合的形式用于计算机网络内容处理系统。本文中的说明和示例只是示例性的。本发明的精神及其实际的保护范围由所附的权利要求书示出。
Claims (41)
1.一种用于处理与多个虚拟域相关的网络流量的计算机可执行的方法,其特征在于,包括:
a.定义多个接口,每一所述接口对应所述多个虚拟域中的一个虚拟域;
b.根据预先设定的策略发起一用于处理网络流量的服务进程;
c.响应涉及与虚拟域有关的网络实体的连接请求,在服务进程与内核之间开放一通信通道;
d.使用开放的通信信道在服务进程与内核之间传输至少一部分与虚拟域相关的网络流量;以及
e.根据策略在服务进程中处理所述传输的网络流量。
2.根据权利要求1所述方法,其特征在于,进一步包括:
响应涉及与第二虚拟域相关联的网络实体的第二连接请求,在服务进程与第二接口之间开放与第二虚拟域相对应的第二通信通道;
使用开放的第二通信通道在服务进程与内核之间传输第二网络流量;
根据策略在服务进程中处理传输的第二网络流量。
3.根据权利要求1所述方法,其特征在于,所述第一通信信道是套接字。
4.根据权利要求1所述方法,其特征在于,所述多个接口包括至少一个物理接口及至少一个逻辑接口。
5.根据权利要求1所述方法,其特征在于,所述策略包括反恶意程序扫描、内容过滤、虚拟专用网处理、网络监控及网络日志记录中的至少一项。
6.根据权利要求1所述方法,其特征在于,所述的处理包括将传输的网络流量中数据包的内容进行聚集。
7.根据权利要求1所述方法,其特征在于,所述网络流量是根据一信息交换协议进行传输的。
8.根据权利要求1所述方法,其特征在于,所述的处理包括获取与所述虚拟域相对应的配置设置。
9.根据权利要求8所述方法,其特征在于,所述配置设置是通过配置服务器使用开放通信通道的至少一个属性从配置数据库中查找获得的。
10.根据权利要求9所述方法,其特征在于,所述通信信道包括套接字,所述属性包括套接字标识符。
11.根据权利要求1所述方法,其特征在于,进一步包括使用服务进程处理与所述多个虚拟域中的其它虚拟域相关的数据。
12.根据权利要求1所述方法,其特征在于,进一步包括发起第二服务进程以响应涉及位于第二虚拟域中的第二网络实体的第二连接请求,其中,所述第二服务进程处理与所述第二虚拟域相关的第二网络流量。
13.根据权利要求12所述方法,其特征在于,所述服务进程在第一CPU中执行,所述第二服务进程在第二CPU中执行。
14.根据权利要求12所述方法,其特征在于,所述第二服务进程由所述服务进程发起。
15.根据权利要求12所述方法,其特征在于,进一步包括从所述服务进程发送至少一消息到所述第二服务进程。
16.根据权利要求15所述方法,其特征在于,所述至少一信息包括在接收的第三连接请求的信息。
17.根据权利要求1所述方法,其特征在于,进一步包括设置用于向服务进程提供配置信息的集中配置存储装置。
18.根据权利要求1所述方法,其特征在于,所述处理包括使用日志管理器对至少一部分的网络内容记录到一日志存储装置中。
19.根据权利要求18所述方法,其特征在于,使用多个日志文件记录所述网络内容,其中,所述日志管理器打开及关闭与多个日志文件相关联的日志文件描述符以使得最近最少使用的日志文件描述符首先被关闭。
20.根据权利要求1所述方法,其特征在于,进一步包括在所述服务进程中存储虚拟域状态信息。
21.根据权利要求1所述方法,其特征在于,进一步包括将多个虚拟域的虚拟域状态信息存储在一虚拟域状态数据结构中。
22.根据权利要求21所述方法,其特征在于,进一步包括将一变量与所述服务进程相关联,所述变量指向所述虚拟域状态数据结构的一个实例,所述实例包括所述虚拟域状态的信息。
23.根据权利要求1所述方法,其特征在于,进一步包括为每一虚拟域提供单独的策略。
24.根据权利要求1所述方法,其特征在于,所述多个虚拟域中的至少一个与带外网络流量相关联。
25.一种用于处理与多个虚拟域相关的网络流量的计算机系统,其特征在于,包括:
a.多个接口,每一所述接口与多个虚拟域中的一个虚拟域相对应;以及
b.CPU,执行用于根据预先设定的策略处理网络流量的内核与服务进程;其中,作为对涉及与虚拟域相关联的网络实体的连接请求的响应,CPU将:
i.在服务进程与内核之间开放一通信通道;
ii.使用开放的通道在服务进程与内核之间传输与虚拟域相关的网络流量;以及
iii.根据所述策略在服务进程中处理传输的网络流量。
26.一种用于处理与多个虚拟域相关的网络流量的计算机的系统,其特征在于,包括:
a.多个接口,每一所述接口与多个虚拟域中的一个虚拟域相对应;
b.处理单元,执行根据预先设定的策略处理网络流量的内核与服务进程;
c.配置服务器,用于将配置信息提供给服务进程以响应来自服务进程的配置请求;以及
d.日志服务器,用于记录日志信息以响应来自服务进程的日志记录请求。
27.根据权利要求26所述的系统,其特征在于,进一步包括与所述配置服务器连接的配置数据库,用于存储与所述多个虚拟域中至少一个虚拟域相关联的配置信息。
28.根据权利要求26所述的系统,其特征在于,进一步包括用于存储日志文件的日志存储装置。
29.根据权利要求26所述的系统,其特征在于,所述多个虚拟域中的每个包括多个独立路由的网络实体。
30.根据权利要求26所述的计算机可执行的系统,其特征在于,所述多个虚拟域中的每个包括多个独立管理的网络实体。
31.根据权利要求26所述的系统,其特征在于,所述网络流量的处理包括反恶意程序扫描、内容过滤、虚拟专用网处理、网络监控及网络日志记录中的至少一项。
32.根据权利要求26所述的系统,其特征在于,进一步包括服务进程与内核之间的一个通信信道,用于传输至少一部分与所述多个虚拟域中的一个相关的网络流量。
33.根据权利要求32所述的系统,其特征在于,进一步包括服务进程与内核之间的第二通信信道,用于传输至少一部分与所述多个虚拟域中的第二虚拟域相关的网络流量。
34.根据权利要求26所述的系统,其特征在于,所述处理单元执行用于根据预先设定的策略处理网络流量的第二服务进程。
35.根据权利要求26所述的系统,其特征在于,所述处理包括将所述传输的网络流量中的数据包内容进行聚集。
36.根据权利要求26所述的系统,其特征在于,进一步包括第二处理单元,用于执行根据预先设定的策略处理用户网络流量的第二服务进程。
37.根据权利要求26所述的系统,其特征在于,所述日志服务器包含一个打开日志文件描述符的表格,其中,所述日志服务器可关闭至少一个所述打开文件描述符以使得最近最少使用的日志文件描述符首先被关闭。
38.根据权利要求26所述的系统,其特征在于,进一步包括一虚拟域状态结构,用于存储多个虚拟域的虚拟域状态信息。
39.根据权利要求38所述的系统,其特征在于,所述服务进程与一变量相关联,所述变量指向所述虚拟域状态数据结构的一个实例,所述实例包括所述虚拟域的状态信息。
40.根据权利要求26所述的系统,其特征在于,所述多个虚拟域中的至少一个与带外网络流量相关,其中,所述服务进程根据一独立的策略处理与该多个虚拟域中的至少一个虚拟域相关的网络流量。
41.一种用于处理与多个虚拟域相关的网络流量的计算机的系统,其特征在于,该系统包括计算机平台,外围设备和网络资源,该计算机平台包括:
数据总线;
处理器,该处理器与该数据总线结合用于处理信息和执行计算和控制任务;
易失性存储装置,与该数据总线连接,用于存储该处理器执行指令过程中的临时变量或中间信息;
只读存储器,与该数据总线连接,用于存储该处理器所需的静态信息和指令;
永久存储装置,与该数据总线相连接。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US11/331031 | 2006-01-13 | ||
US11/331,031 US8234361B2 (en) | 2006-01-13 | 2006-01-13 | Computerized system and method for handling network traffic |
CNA2007100001786A CN101009683A (zh) | 2006-01-13 | 2007-01-05 | 处理网络流量的计算机系统及方法 |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA2007100001786A Division CN101009683A (zh) | 2006-01-13 | 2007-01-05 | 处理网络流量的计算机系统及方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105187378A true CN105187378A (zh) | 2015-12-23 |
Family
ID=38264567
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510369654.6A Pending CN105187378A (zh) | 2006-01-13 | 2007-01-05 | 处理网络流量的计算机系统及方法 |
CNA2007100001786A Pending CN101009683A (zh) | 2006-01-13 | 2007-01-05 | 处理网络流量的计算机系统及方法 |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA2007100001786A Pending CN101009683A (zh) | 2006-01-13 | 2007-01-05 | 处理网络流量的计算机系统及方法 |
Country Status (2)
Country | Link |
---|---|
US (3) | US8234361B2 (zh) |
CN (2) | CN105187378A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115733721A (zh) * | 2021-08-31 | 2023-03-03 | 台湾联想环球科技股份有限公司 | 网络管理设备、网络管理系统及网络管理方法 |
Families Citing this family (50)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9130954B2 (en) | 2000-09-26 | 2015-09-08 | Brocade Communications Systems, Inc. | Distributed health check for global server load balancing |
US7657629B1 (en) | 2000-09-26 | 2010-02-02 | Foundry Networks, Inc. | Global server load balancing |
US7454500B1 (en) | 2000-09-26 | 2008-11-18 | Foundry Networks, Inc. | Global server load balancing |
US7676576B1 (en) | 2002-08-01 | 2010-03-09 | Foundry Networks, Inc. | Method and system to clear counters used for statistical tracking for global server load balancing |
US7086061B1 (en) | 2002-08-01 | 2006-08-01 | Foundry Networks, Inc. | Statistical tracking of global server load balancing for selecting the best network address from ordered list of network addresses based on a set of performance metrics |
US7574508B1 (en) | 2002-08-07 | 2009-08-11 | Foundry Networks, Inc. | Canonical name (CNAME) handling for global server load balancing |
US9584360B2 (en) | 2003-09-29 | 2017-02-28 | Foundry Networks, Llc | Global server load balancing support for private VIP addresses |
US7496651B1 (en) | 2004-05-06 | 2009-02-24 | Foundry Networks, Inc. | Configurable geographic prefixes for global server load balancing |
US7584301B1 (en) * | 2004-05-06 | 2009-09-01 | Foundry Networks, Inc. | Host-level policies for global server load balancing |
US7423977B1 (en) * | 2004-08-23 | 2008-09-09 | Foundry Networks Inc. | Smoothing algorithm for round trip time (RTT) measurements |
US7966654B2 (en) | 2005-11-22 | 2011-06-21 | Fortinet, Inc. | Computerized system and method for policy-based content filtering |
US8234361B2 (en) | 2006-01-13 | 2012-07-31 | Fortinet, Inc. | Computerized system and method for handling network traffic |
US20070266433A1 (en) * | 2006-03-03 | 2007-11-15 | Hezi Moore | System and Method for Securing Information in a Virtual Computing Environment |
EP1931085B1 (en) | 2006-12-06 | 2012-07-18 | Genexis B.V. | Modular network connection equipment |
US7796594B2 (en) | 2007-02-14 | 2010-09-14 | Marvell Semiconductor, Inc. | Logical bridging system and method |
US20090328193A1 (en) * | 2007-07-20 | 2009-12-31 | Hezi Moore | System and Method for Implementing a Virtualized Security Platform |
EP1973270B1 (en) * | 2007-03-22 | 2018-01-03 | PacketFront Software Solutions AB | Broadband service delivery |
EP1998505B1 (en) * | 2007-05-29 | 2010-05-12 | PacketFront Systems AB | Method of connecting VLAN systems to other networks via a router |
DE602007003015D1 (de) * | 2007-08-08 | 2009-12-10 | Packetfront Systems Ab | VLAN-Datenrahmen und -übertragung |
US8250641B2 (en) * | 2007-09-17 | 2012-08-21 | Intel Corporation | Method and apparatus for dynamic switching and real time security control on virtualized systems |
EP2048848B1 (en) | 2007-10-12 | 2013-12-18 | PacketFront Network Products AB | Optical data communications |
ATE464733T1 (de) | 2007-10-12 | 2010-04-15 | Packetfront Systems Ab | Konfiguration von routern für dhcp-dienstanfragen |
US20090100162A1 (en) * | 2007-10-15 | 2009-04-16 | Microsoft Corporation | Sharing Policy and Workload among Network Access Devices |
US20090328077A1 (en) * | 2008-06-25 | 2009-12-31 | International Business Machines Corporation | Software Appliances not Requiring Virtual Machines |
CN101345711B (zh) * | 2008-08-13 | 2012-08-08 | 成都市华为赛门铁克科技有限公司 | 一种报文处理方法、防火墙设备及网络安全系统 |
US8826138B1 (en) * | 2008-10-29 | 2014-09-02 | Hewlett-Packard Development Company, L.P. | Virtual connect domain groups |
EP2497234B1 (en) * | 2009-11-02 | 2018-09-19 | Marvell World Trade Ltd. | Network device and method based on virtual interfaces |
US20110282981A1 (en) * | 2010-05-11 | 2011-11-17 | Alcatel-Lucent Canada Inc. | Behavioral rule results |
US8365287B2 (en) * | 2010-06-18 | 2013-01-29 | Samsung Sds Co., Ltd. | Anti-malware system and operating method thereof |
US8964742B1 (en) | 2010-07-28 | 2015-02-24 | Marvell Israel (M.I.S.L) Ltd. | Linked list profiling and updating |
US8549148B2 (en) | 2010-10-15 | 2013-10-01 | Brocade Communications Systems, Inc. | Domain name system security extensions (DNSSEC) for global server load balancing |
US9100443B2 (en) * | 2011-01-11 | 2015-08-04 | International Business Machines Corporation | Communication protocol for virtual input/output server (VIOS) cluster communication |
US10110417B1 (en) | 2012-07-06 | 2018-10-23 | Cradlepoint, Inc. | Private networks overlaid on cloud infrastructure |
US10880162B1 (en) | 2012-07-06 | 2020-12-29 | Cradlepoint, Inc. | Linking logical broadcast domains |
US10135677B1 (en) * | 2012-07-06 | 2018-11-20 | Cradlepoint, Inc. | Deployment of network-related features over cloud network |
US10601653B2 (en) | 2012-07-06 | 2020-03-24 | Cradlepoint, Inc. | Implicit traffic engineering |
US10560343B1 (en) | 2012-07-06 | 2020-02-11 | Cradlepoint, Inc. | People centric management of cloud networks via GUI |
US10177957B1 (en) | 2012-07-06 | 2019-01-08 | Cradlepoint, Inc. | Connecting a cloud network to the internet |
US11126720B2 (en) | 2012-09-26 | 2021-09-21 | Bluvector, Inc. | System and method for automated machine-learning, zero-day malware detection |
US9292688B2 (en) * | 2012-09-26 | 2016-03-22 | Northrop Grumman Systems Corporation | System and method for automated machine-learning, zero-day malware detection |
WO2014077615A1 (en) * | 2012-11-19 | 2014-05-22 | Samsung Sds Co., Ltd. | Anti-malware system, method of processing packet in the same, and computing device |
US9477500B2 (en) | 2013-03-15 | 2016-10-25 | Avi Networks | Managing and controlling a distributed network service platform |
CN103428301B (zh) * | 2013-08-05 | 2016-08-10 | 北京神州绿盟信息安全科技股份有限公司 | 一种接口系统及其对数据包进行处理的方法 |
US9832216B2 (en) | 2014-11-21 | 2017-11-28 | Bluvector, Inc. | System and method for network data characterization |
CN106656717B (zh) * | 2015-10-28 | 2019-06-28 | 华耀(中国)科技有限公司 | 一种划分网络域的方法 |
CN106453553A (zh) * | 2016-10-11 | 2017-02-22 | 深圳市百盛佳信息咨询有限公司 | 一种dms系统数据接口方法及系统 |
US11258760B1 (en) * | 2018-06-22 | 2022-02-22 | Vmware, Inc. | Stateful distributed web application firewall |
US10771318B1 (en) | 2018-10-24 | 2020-09-08 | Vmware, Inc | High availability on a distributed networking platform |
CN113132969B (zh) * | 2021-03-03 | 2024-04-12 | 翱捷科技股份有限公司 | 一种多卡手机实现多个虚拟独立电话系统的方法及装置 |
US11843630B2 (en) * | 2021-04-08 | 2023-12-12 | EMC IP Holding Company LLC | NANON support for antivirus jobs in clustered storage |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1592189A1 (en) * | 2003-02-05 | 2005-11-02 | Nippon Telegraph and Telephone Corporation | Firewall device |
Family Cites Families (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5864683A (en) * | 1994-10-12 | 1999-01-26 | Secure Computing Corporartion | System for providing secure internetwork by connecting type enforcing secure computers to external network for limiting access to data based on user and process access rights |
US5752003A (en) | 1995-07-14 | 1998-05-12 | 3 Com Corporation | Architecture for managing traffic in a virtual LAN environment |
US5826029A (en) * | 1995-10-31 | 1998-10-20 | International Business Machines Corporation | Secured gateway interface |
US6085238A (en) * | 1996-04-23 | 2000-07-04 | Matsushita Electric Works, Ltd. | Virtual LAN system |
US6453345B2 (en) * | 1996-11-06 | 2002-09-17 | Datadirect Networks, Inc. | Network security and surveillance system |
US6633916B2 (en) | 1998-06-10 | 2003-10-14 | Hewlett-Packard Development Company, L.P. | Method and apparatus for virtual resource handling in a multi-processor computer system |
US6182226B1 (en) * | 1998-03-18 | 2001-01-30 | Secure Computing Corporation | System and method for controlling interactions between networks |
US6674756B1 (en) | 1999-02-23 | 2004-01-06 | Alcatel | Multi-service network switch with multiple virtual routers |
US6691146B1 (en) | 1999-05-19 | 2004-02-10 | International Business Machines Corporation | Logical partition manager and method |
US7171492B1 (en) * | 2000-02-24 | 2007-01-30 | Utstarcom, Inc. | Method and application programming interface for assigning multiple network addresses |
US7039720B2 (en) | 2001-01-25 | 2006-05-02 | Marconi Intellectual Property (Ringfence) , Inc. | Dense virtual router packet switching |
US7441017B2 (en) * | 2001-06-29 | 2008-10-21 | Thomas Lee Watson | System and method for router virtual networking |
US7200662B2 (en) * | 2001-07-06 | 2007-04-03 | Juniper Networks, Inc. | Integrated rule network management system |
US7711844B2 (en) * | 2002-08-15 | 2010-05-04 | Washington University Of St. Louis | TCP-splitter: reliable packet monitoring methods and apparatus for high speed networks |
JP2004297792A (ja) | 2003-03-13 | 2004-10-21 | Ricoh Co Ltd | 画像形成装置及び機能キー割り付け方法 |
US20040249973A1 (en) * | 2003-03-31 | 2004-12-09 | Alkhatib Hasan S. | Group agent |
US7246156B2 (en) * | 2003-06-09 | 2007-07-17 | Industrial Defender, Inc. | Method and computer program product for monitoring an industrial network |
US7631086B2 (en) * | 2003-09-30 | 2009-12-08 | Onlex Technologies, Inc. | Virtual dedicated connection system and method |
GB2418326B (en) * | 2004-09-17 | 2007-04-11 | Hewlett Packard Development Co | Network vitrualization |
US8166474B1 (en) * | 2005-09-19 | 2012-04-24 | Vmware, Inc. | System and methods for implementing network traffic management for virtual and physical machines |
US8234361B2 (en) | 2006-01-13 | 2012-07-31 | Fortinet, Inc. | Computerized system and method for handling network traffic |
-
2006
- 2006-01-13 US US11/331,031 patent/US8234361B2/en active Active
-
2007
- 2007-01-05 CN CN201510369654.6A patent/CN105187378A/zh active Pending
- 2007-01-05 CN CNA2007100001786A patent/CN101009683A/zh active Pending
-
2012
- 2012-07-26 US US13/558,822 patent/US8495200B2/en active Active
-
2013
- 2013-07-23 US US13/948,341 patent/US10038668B2/en active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1592189A1 (en) * | 2003-02-05 | 2005-11-02 | Nippon Telegraph and Telephone Corporation | Firewall device |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115733721A (zh) * | 2021-08-31 | 2023-03-03 | 台湾联想环球科技股份有限公司 | 网络管理设备、网络管理系统及网络管理方法 |
Also Published As
Publication number | Publication date |
---|---|
US20130305343A1 (en) | 2013-11-14 |
US10038668B2 (en) | 2018-07-31 |
US8495200B2 (en) | 2013-07-23 |
US20070168547A1 (en) | 2007-07-19 |
CN101009683A (zh) | 2007-08-01 |
US20120291117A1 (en) | 2012-11-15 |
US8234361B2 (en) | 2012-07-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105187378A (zh) | 处理网络流量的计算机系统及方法 | |
CN1972297B (zh) | 用于基于策略的内容过滤的计算机系统与方法 | |
CN103917967B (zh) | 用于配置中间盒的网络控制系统 | |
CN103119907B (zh) | 提供用于访问控制的智能组的系统和方法 | |
US7099912B2 (en) | Integrated service management system | |
EP3449598B1 (en) | A data driven orchestrated network with installation control using a light weight distributed controller | |
US10999312B2 (en) | Systems and methods for protecting a service mesh from external attacks on exposed software vulnerabilities | |
US7693980B2 (en) | Integrated service management system | |
US7159125B2 (en) | Policy engine for modular generation of policy for a flat, per-device database | |
CN1855817B (zh) | 网络服务基础设施系统和方法 | |
CN106953837A (zh) | 具有威胁可视化的集成安全系统 | |
CN108616490A (zh) | 一种网络访问控制方法、装置及系统 | |
US20070094729A1 (en) | Secure self-organizing and self-provisioning anomalous event detection systems | |
WO2020106464A1 (en) | Method and apparatus to have entitlement follow the end device in network | |
CN105684391A (zh) | 基于标签的访问控制规则的自动生成 | |
CN101009704A (zh) | 一种处理高级网络内容的计算机系统与方法 | |
CN102780758A (zh) | 分布策略管理方法和系统 | |
US20200322181A1 (en) | Scalable cloud switch for integration of on premises networking infrastructure with networking services in the cloud | |
JP2011160419A (ja) | 基礎となるネットワーク技術とは無関係にサービスを管理するネットワークモデル、方法及びプログラム製品 | |
CN100438427C (zh) | 网络控制方法和设备 | |
CN110226155A (zh) | 在主机上收集和处理上下文属性 | |
KR101527377B1 (ko) | Sdn 기반의 서비스 체이닝 시스템 | |
JP2000216780A (ja) | ネットワ―ク管理システム | |
WO2004081800A1 (ja) | メッセージ配信装置及びその方法並びにシステム及びプログラム | |
JP3649180B2 (ja) | セキュリティ管理システムおよび経路指定プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20151223 |
|
RJ01 | Rejection of invention patent application after publication |