CN105407099B - 防火墙群集中的验证共享 - Google Patents
防火墙群集中的验证共享 Download PDFInfo
- Publication number
- CN105407099B CN105407099B CN201510869336.6A CN201510869336A CN105407099B CN 105407099 B CN105407099 B CN 105407099B CN 201510869336 A CN201510869336 A CN 201510869336A CN 105407099 B CN105407099 B CN 105407099B
- Authority
- CN
- China
- Prior art keywords
- node
- status information
- connection
- firewall
- cluster
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0254—Stateful filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
- H04L67/1004—Server selection for load balancing
- H04L67/1008—Server selection for load balancing based on parameters of servers, e.g. available memory or workload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
- H04L67/1036—Load balancing of requests to servers for services different from user content provisioning, e.g. load balancing across domain name servers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
- H04L67/1027—Persistence of sessions during load balancing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请涉及“防火墙群集中的验证共享”。防火墙群集系统包括第一节点,其能操作成在具有三个或以上节点的防火墙群集中接收连接、确定与该连接关联的用户数据以及与防火墙群集中的至少另一个节点共享用户数据。
Description
本分案申请的母案申请日为2012年9月6日、申请号为 201280043917.9、发明名称为“防火墙群集中的验证共享”。
相关申请的交叉引用
本申请要求2011年9月8日提交的美国申请号13/227,848的优先权,其通过引用合并于此。
技术领域
本发明大体上涉及防火墙操作,并且更具体地在一个实施例中涉及防火墙群集中的验证共享。
有限版权豁免
该专利文献的公开的一部分包含进行版权保护的权利要求所针对的材料。版权所有者不反对被任何人拓制专利文献或专利公开,如它在美国专利和商标局文件或记录中出现的那样,但无论怎样都保留所有其他版权。
背景技术
计算机由于它们与其他计算机系统通信并且通过计算机网络检索信息的能力而在很大程度上是有价值的工具。网络典型地包括通过线路、光纤、无线电或其他数据传送工具而链接的互连计算机组,用于对计算机提供在计算机间传输信息的能力。因特网或许是最知名的计算机网络,并且使数百万的人能够例如通过查看web页面、发送e-mail或通过执行其他计算机-到-计算机通信而接入其他计算机。
但是,因为因特网的大小如此的大并且因特网用户在他们的兴趣方面如此多样化,恶意用户或恶作剧者试图采用对其他用户构成危险的方式与其他用户的计算机通信,这不是罕见的。例如,黑客可试图登录企业计算机来窃取、删除或改变信息。计算机病毒或木马程序可分布到其他计算机,或不知不觉地被大量计算机用户下载或执行。此外,例如企业等组织内的计算机用户可偶尔尝试执行未经授权的网络通信,例如运行文件共享程序或将企业机密从企业网络内传送到因特网。
由于这些和其他原因,许多企业、机构以及甚至家庭用户在他们的本地网络与因特网之间使用网络防火墙或相似的装置。防火墙典型地是计算机化的网络装置,其检查经过它的网络业务、基于规则集容许期望的网络业务通过。
防火墙通过观察通信分组(例如TCP/IP或其他网络协议分组)并且检查例如源和目标网络地址、使用什么端口以及连接的状态或历史等特性来执行它们的过滤功能。一些防火墙还检查行进到特定应用或从特定应用行进的分组,或通过处理选择的网络请求并且在受保护用户与外部联网的计算机之间转发选择的请求而充当代理装置。
防火墙典型地通过监测各种端口、插座和协议之间的连接(例如通过检查防火墙中的网络业务)来控制网络信息的流。基于插座、端口、应用和其他信息的规则用于选择性地过滤或传递数据,以及记录网络活动。防火墙规则典型地配置成识别要被禁止或应施加某些其他限制的某些类型的网络业务:例如阻断已知用于文件共享程序的端口上的业务同时对在传统的FTP端口上接收的任何事物进行病毒扫描;阻断某些应用或用户执行一些任务,同时允许其他人执行这样的任务;以及基于例如对来自公共IP地址的不同端口的重复查询等已知攻击模式阻断业务。
但是,防火墙在跨多个计算机系统分布时管理这样的连接的能力在连接的知识典型地仅存储在处理连接的系统中的方面受到限制。因此期望群集中改进的防火墙分布。
发明内容
本发明的各种示例实施例包括防火墙群集系统,该防火墙群集系统包括第一节点,其能操作成在具有三个或以上节点的防火墙群集中接收连接、确定与该连接关联的用户数据以及与防火墙群集中的至少另一个节点共享用户数据。另一个节点可以使用该应用状态数据来继续处理连接(例如如果第一节点失效),或提供负载平衡。
附图说明
图1示出如可用于实践本发明的一些实施例的示例网络,其包括防火墙。
图2示出如可用于实践本发明的一些实施例的示例网络,其包括防火墙群集,该防火墙群集包括多个防火墙节点。
图3是图示与本发明的示例实施例一致的在防火墙群集中使用共享用户护照信息的流程图。
具体实施方式
在本发明的示例实施例的下列详细描述中,通过图和说明的方式参考特定示例。充分详细地描述这些示例以使本领域内技术人员能够实践本发明,并且起到说明本发明可如何应用于各种目的或实施例的作用。存在本发明的其他实施例并且它们在本发明的范围内,并且可进行逻辑、机械、电和其他改变而不偏离本发明的主旨或范围。然而,本文描述的本发明的各种实施例的特征或限制对于它们所并入的示例实施例必不可少,它们未整体上限制本发明,并且对本发明、它的要素、操作和应用的任何引用未整体上限制本发明而仅起到限定这些示例实施例的作用。下列详细描述因此未限制本发明的范围,其仅由附上的权利要求限定。
图1图示典型的计算机网络环境,其包括例如在101处的因特网等公共网络、专用网络102和在103处示出的计算机网络装置,其能操作成提供防火墙和入侵保护功能。在该特定示例中,计算机网络装置103安置在因特网与专用网络之间,并且调节专用网络与公共网络之间的业务流。
网络装置103在各种实施例中是防火墙装置,和入侵保护装置,或起到两者的作用。网络装置内的防火墙装置或模块提供各种网络流控制功能,例如检查网络分组并且丢弃或拒绝满足防火墙过滤规则集的网络分组。如之前描述的,防火墙典型地通过观察通信分组(例如TCP/IP或其他网络协议分组)并且检查例如源和目标网络地址、使用什么端口以及连接的状态或历史等特性来执行它们的过滤功能。一些防火墙还检查分组来确定什么应用已建立连接,或通过处理选择的网络请求并且在受保护用户与外部联网的计算机之间转发选择的网络请求而充当代理装置。防火墙通常使用“签名”或非期望业务的其他特性来检测并且阻断被认为是有害或用别的方式而不期望的业务。
防火墙典型地使用规则集来过滤业务,使得网络数据的任何特定要素发生了什么取决于规则集如何应用于该特定数据。例如,阻断到端口6346的所有业务的规则将阻断在受保护网络内的服务器上要到该端口去的入站业务,但将不阻断前往不同端口号上的相同服务器的其他数据。相似地,阻断源于文件共享程序(例如Shareaza)的业务的规则将使用业务中的模式来阻断端口6346上的Shareaza业务,但允许端口6346上的其他业务。
但是,在其中防火墙实现为跨多个计算机或节点分布的系统(例如在大的或复杂的系统中)的环境中,多个节点共享连接的能力受到关于连接的每个节点信息(例如插座信息、应用信息及关于连接的诸如此类)的限制。本发明的一些实施例因此提供用于与群集防火墙中的其他系统共享状态信息(例如用户或其他这样的连接数据)从而使防火墙群集中的多个节点能够处理相同连接的机制。这通过使连接责任在系统之间移动而对群集提供负载平衡、通过使它的连接移到另一个机器来管理群集中的节点的失效以及执行其他这样的功能的能力。
在一个这样的示例中,防火墙或入侵保护系统实现为群集或连接的节点组,其共享流过防火墙的处理业务。图2示出如可用于实践本发明的一些实施例的具有分布式防火墙的网络。在这里,例如因特网201等网络通过防火墙203耦合于内部网络202。防火墙203包括入站业务模块204和出站业务模块205,其可以执行例如负载平衡和其他防火墙管理功能等功能。防火墙或入侵保护规则在防火墙节点206中应用,其通过网络连接而连接到彼此(如示出的)。
在这里,示出的五个节点每个包括运行防火墙或有关软件实例的独立计算机系统,其能操作成对业务应用规则以选择性地容许或阻断在因特网201与内部网络202之间流动的业务。在备选实施例中,例如节点1、2和3等一些节点执行防火墙应用,而例如4和5等其他节点执行入侵保护系统(IPS)应用。节点204和205负责执行例如路由到防火墙节点206的负载平衡业务等功能,从而确保节点能够在一起高效工作以比单个节点提供更高的吞吐能力。
一些防火墙实施例执行复杂的连接识别功能,其超越端口、IP和其他这样的规则对数据流的简单应用。例如,一些防火墙示例包括用户“护照”,其通过使用对于防火墙的用户验证或使用例如Microsoft域服务器登录或其他用户证书(其可以被防火墙读取)等间接用户验证而使用户与特定连接关联。该护照使识别的用户与特定IP地址、MAC地址或其他标识符关联使得来自用户的连接可以识别为属于用户。
然后可以在防火墙中执行基于用户的过滤。例如,防火墙可知道Alice是管理组的成员,而Bob是雇员组而非管理的成员。两个用户都登录计算机并且运行Skype来加入视频会议,并且防火墙确定两个用户都被容许使用Skype来通过防火墙发送视频会议业务,例如到与外部供应商或顾客的视频会议。
Bob试图使用Skype发送文件,并且防火墙应用仅容许管理者组的成员使用Skype发送出站文件这一规则。防火墙使用与Bob的连接关联的护照用户和IP地址信息来确定Bob是试图发送文件的人,并且因此阻断Bob的文件。Alice然后尝试使用Skype发送相同的文件,并且与Alice的连接关联的护照将Alice识别为与连接关联的用户并且容许发送文件。
但是,如果防火墙跨多个节点分布,将适当的规则应用于连接变得更困难,因为尽管每个节点具有相同的防火墙规则,仅管理连接的节点知道对于连接的用户信息,例如用户名字和IP地址(或护照)。
本发明的一些实施例因此包括使得用户护照信息在防火墙群集中的节点之间分布,例如通过将用户护照信息多播或将用户护照信息发送到主节点用于分布。
图3是图示与本发明的示例实施例一致的在防火墙群集中使用共享用户护照信息的流程图。在301处,在本地网络202中的计算机与因特网201之间发起链接。节点之间的链接被节点1处理,网络连接一在302处建立,该节点1就例如从Microsoft域服务器登录或直接到防火墙的用户登录检索用户护照信息。防火墙节点1然后在303处将对于连接的该用户护照数据与其他节点共享,并且在304处使用用户护照数据来将用户特定的规则应用于防火墙。
在305处,节点1失效,并且在306处将连接重定向到节点2。因为节点2之前已经从节点1接收关于连接的用户护照数据,节点2能够在308处重新开始过滤数据流,其包括将用户特定的规则应用于连接。
尽管该示例说明在节点失效后节点如何可以重新开始过滤连接,可以采用相似的方法以在分布式防火墙群集中对于例如负载平衡或对不同任务的节点再分配等应用将连接从一个节点移到另一个。
在一个这样的示例中,防火墙节点1未失效,但是是两个这样的节点(未绘出)中的一个的入侵保护系统节点失效。系统期望在提供防火墙服务的节点数量与提供入侵保护的节点数量之间维持一定的平衡,并且在该示例中,入侵保护系统在它两个节点中的一个失效时已经失去其一半的能力。系统因此再分配防火墙节点1来替换失效的入侵保护节点,从而导致之前被防火墙节点1处理的连接跨防火墙节点2-5再分配,如在图2中示出的。
这些示例说明防火墙群集中的共享用户护照数据如何可以促进负载平衡、失效转移和防火墙群集内的其他功能,从而使得防火墙群集中基于用户的网络业务过滤更可管理和可靠。
尽管已经在本文图示和描述特定实施例,本领域内技术人员将意识到计算以实现同样目的的任何布置可代替示出的特定实施例。该申请意在涵盖本文描述的本发明的示例实施例的任何改编或变化。规定本发明仅由权利要求和其等同物的全范围限制。
已经公开如上文描述的操作的方法以及采用某些方式配置的防火墙。例如,操作防火墙群集的方法可以包括:在具有三个或以上节点的防火墙群集的第一节点中接收连接;确定与该连接关联的用户数据;以及与防火墙群集中的至少另一个节点共享用户数据。另外,防火墙群集可以在接收连接之后但在共享用户数据之前与防火墙群集中的至少另一个节点共享关于接收的连接的连接信息。用户数据可以包括用户的身份以及连接的IP地址。共享可以包括将用户数据广播到防火墙群集中的其他节点或将用户数据发送到主节点。该主节点还可以被配置用于将用户数据广播到防火墙群集中的其他节点。可选地,防火墙群集还可以在第一节点失效时使用与连接关联的共享用户数据来在另一个节点中过滤连接或在另一个节点中过滤连接以在防火墙群集中提供负载平衡。
Claims (24)
1.一个或多个非暂时性存储介质,其包括存储在其上的指令,所述指令在由一个或多个处理器执行时使所述一个或多个处理器:
处理连接请求来建立连接,所述连接请求在具有三个或以上节点的防火墙集群的第一节点处接收,所述第一节点执行防火墙任务;
与所述防火墙集群中的至少另一个节点共享与建立的连接关联的状态信息;
共享的状态信息要由备份节点使用来处理建立的连接;以及
响应于配置成执行入侵保护任务的第二节点的失效而再分配所述第一节点来执行入侵保护任务。
2.如权利要求1所述的存储介质,进一步包括指令,所述指令使所述一个或多个处理器在接收所述连接请求之后但在共享所述状态信息之前与所述防火墙集群中的至少另一个节点共享关于接收的连接请求的连接信息。
3.如权利要求1所述的存储介质,其中所述状态信息包括用户的身份和IP地址,其中每个与所述连接请求关联。
4.如权利要求1-3中任一项所述的存储介质,其中使所述一个或多个处理器共享所述状态信息的指令包括用于将所述状态信息广播到所述防火墙集群中的多个其它节点的指令。
5.如权利要求1-3中任一项所述的存储介质,其中使所述一个或多个处理器共享状态信息的指令包括用于向所述备份节点发送所述状态信息的指令。
6.如权利要求5所述的存储介质,进一步包括使所述一个或多个处理器将所述状态信息从所述备份节点广播到所述防火墙集群中的其它节点的指令。
7.如权利要求1-3中任一项所述的存储介质,进一步包括使所述一个或多个处理器使用与建立的连接关联的共享的状态信息以在所述第一节点失效时过滤另一个节点中对应的随后建立的连接的指令。
8.如权利要求1-3中任一项所述的存储介质,进一步包括使所述一个或多个处理器使用与建立的连接关联的共享的状态信息来过滤另一个节点中对应的随后建立的连接以在所述防火墙集群中提供负载平衡的指令。
9.如权利要求1-3中任一项所述的存储介质,其中使所述一个或多个处理器处理所述连接请求的指令包括使所述一个或多个处理器在形成建立的连接之前确定共享的状态信息的指令。
10.一种操作节点集群的方法,包括:
在具有三个或以上节点的节点集群中的第一节点处接收连接请求,所述第一节点执行防火墙任务;
处理所述连接请求来建立连接;
与所述节点集群中的至少另一个节点共享与建立的连接关联的状态信息,共享的状态信息供备份节点使用以处理建立的连接;以及
响应于配置成执行入侵保护任务的第二节点的失效而再分配所述第一节点来执行入侵保护任务。
11.如权利要求10所述的方法,进一步包括:
在接收所述连接请求之后但在共享所述状态信息之前与所述节点集群中的至少另一个节点共享关于接收的连接请求的连接信息。
12.如权利要求10所述的方法,其中所述状态信息包括用户的身份和IP地址,每个与所述连接请求关联。
13.如权利要求10-12中任一项所述的方法,其中共享所述状态信息包括:
将所述状态信息广播到所述集群中的多个其它节点。
14.如权利要求10-12中任一项所述的方法,其中共享所述状态信息包括:
向所述备份节点发送所述状态信息。
15.如权利要求14所述的方法,其中共享所述状态信息进一步包括:
将所述状态信息从所述备份节点广播到所述集群中的其它节点。
16.如权利要求10-12中任一项所述的方法,进一步包括:
通过使用与建立的连接关联的共享的状态信息过滤另一个节点中对应的随后建立的连接来使所述防火墙集群负载平衡。
17.如权利要求10-12中任一项所述的方法,其中处理所述连接请求包括在建立所述连接之前确定所述状态信息。
18.一种防火墙集群,包括:
耦合在一起的第一、第二和第三节点,其中所述第一节点配置成执行防火墙任务并且所述第三节点配置成执行入侵保护任务;
其中所述第一节点进一步配置成:
接收连接请求;
处理所述连接请求来建立连接;
与所述第二节点共享与建立的连接关联的状态信息以用于使用共享的状态信息来处理建立的连接;
响应于所述第三节点的失效再分配所述第一节点来执行入侵保护任务。
19.如权利要求18所述的防火墙集群,其中所述第一节点进一步配置成:
在接收所述连接请求之后但在共享所述状态信息之前与所述防火墙集群中的至少另一个节点共享关于接收的连接请求的连接信息。
20.如权利要求18所述的防火墙集群,其中所述第一节点配置成通过将所述状态信息广播到所述防火墙集群中的多个其它节点来共享所述状态信息。
21.如权利要求18-20中任一项所述的防火墙集群,其中所述第二节点配置成将共享的状态信息广播到所述防火墙集群中的其它节点。
22.如权利要求18-20中任一项所述的防火墙集群,进一步包括:
负载平衡器,配置成通过使用共享的状态信息过滤另一个节点中随后建立的连接而在所述防火墙集群中提供负载平衡。
23.如权利要求18-20中任一项所述的防火墙集群,其中所述第一节点进一步配置成在形成建立的连接之前确定共享的状态信息。
24.如权利要求18-20中任一项所述的防火墙集群,其中所述第二节点进一步配置成在所述第一节点失效时过滤另一个节点中随后建立的连接。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/227,848 US8887263B2 (en) | 2011-09-08 | 2011-09-08 | Authentication sharing in a firewall cluster |
| US13/227848 | 2011-09-08 | ||
| CN201280043917.9A CN103858383B (zh) | 2011-09-08 | 2012-09-06 | 防火墙群集中的验证共享 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201280043917.9A Division CN103858383B (zh) | 2011-09-08 | 2012-09-06 | 防火墙群集中的验证共享 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105407099A CN105407099A (zh) | 2016-03-16 |
| CN105407099B true CN105407099B (zh) | 2019-01-08 |
Family
ID=47831093
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201280043917.9A Active CN103858383B (zh) | 2011-09-08 | 2012-09-06 | 防火墙群集中的验证共享 |
| CN201510869336.6A Active CN105407099B (zh) | 2011-09-08 | 2012-09-06 | 防火墙群集中的验证共享 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201280043917.9A Active CN103858383B (zh) | 2011-09-08 | 2012-09-06 | 防火墙群集中的验证共享 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US8887263B2 (zh) |
| EP (2) | EP2754266B1 (zh) |
| JP (1) | JP5908090B2 (zh) |
| KR (2) | KR101529839B1 (zh) |
| CN (2) | CN103858383B (zh) |
| WO (1) | WO2013036651A1 (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8887263B2 (en) | 2011-09-08 | 2014-11-11 | Mcafee, Inc. | Authentication sharing in a firewall cluster |
| US8763106B2 (en) | 2011-09-08 | 2014-06-24 | Mcafee, Inc. | Application state sharing in a firewall cluster |
| CN103475577B (zh) * | 2013-09-29 | 2017-02-08 | 小米科技有限责任公司 | 一种获得特征信息的方法、装置及网络设备 |
| US10554760B2 (en) | 2013-09-29 | 2020-02-04 | Xiaomi Inc. | Method and networking equipment for acquiring feature information |
| US9609031B1 (en) * | 2013-12-17 | 2017-03-28 | Amazon Technologies, Inc. | Propagating state information to network nodes |
| US10594656B2 (en) * | 2015-11-17 | 2020-03-17 | Zscaler, Inc. | Multi-tenant cloud-based firewall systems and methods |
| US10757105B2 (en) | 2017-06-12 | 2020-08-25 | At&T Intellectual Property I, L.P. | On-demand network security system |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101014048A (zh) * | 2007-02-12 | 2007-08-08 | 杭州华为三康技术有限公司 | 分布式防火墙系统及实现防火墙内容检测的方法 |
| CN101179514A (zh) * | 2007-12-18 | 2008-05-14 | 杭州华三通信技术有限公司 | 分布式网络处理系统mac表项维护方法和维护装置 |
| CN102025735A (zh) * | 2010-12-08 | 2011-04-20 | 北京航空航天大学 | 基于防御策略的Linux分布式网络防火墙系统 |
Family Cites Families (40)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6791947B2 (en) * | 1996-12-16 | 2004-09-14 | Juniper Networks | In-line packet processing |
| US6880089B1 (en) | 2000-03-31 | 2005-04-12 | Avaya Technology Corp. | Firewall clustering for multiple network servers |
| US6772226B1 (en) | 2000-08-15 | 2004-08-03 | Avaya Technology Corp. | VPN device clustering using a network flow switch and a different mac address for each VPN device in the cluster |
| JP3663121B2 (ja) * | 2000-10-30 | 2005-06-22 | シャープ株式会社 | ノード構成情報管理方法及び無線ネットワークシステム |
| US7131140B1 (en) * | 2000-12-29 | 2006-10-31 | Cisco Technology, Inc. | Method for protecting a firewall load balancer from a denial of service attack |
| US7130305B2 (en) | 2001-07-02 | 2006-10-31 | Stonesoft Oy | Processing of data packets within a network element cluster |
| US7107609B2 (en) | 2001-07-20 | 2006-09-12 | Hewlett-Packard Development Company, L.P. | Stateful packet forwarding in a firewall cluster |
| JP4716473B2 (ja) * | 2001-08-08 | 2011-07-06 | 独立行政法人電子航法研究所 | 無線通信ネットワークシステム |
| WO2003034237A1 (en) * | 2001-10-18 | 2003-04-24 | The Board Of Regents Of The University Of Nebraska | Fault tolerant firewall sandwiches |
| US7447901B1 (en) | 2002-06-25 | 2008-11-04 | Cisco Technology, Inc. | Method and apparatus for establishing a dynamic multipoint encrypted virtual private network |
| US6874031B2 (en) * | 2002-10-07 | 2005-03-29 | Qualcomm Inc. | Method and apparatus for sharing authentication session state in a global distributed network |
| AU2003292116A1 (en) * | 2002-11-27 | 2004-06-18 | Fujitsu Siemens Computers, Inc. | Method and appliance for distributing data packets sent by a computer to a cluster system |
| US7735129B2 (en) * | 2003-02-05 | 2010-06-08 | Nippon Telegraph And Telephone Corporation | Firewall device |
| US7266715B1 (en) | 2003-04-29 | 2007-09-04 | Cisco Technology, Inc. | Methods and apparatus for maintaining a virtual private network connection |
| US7844731B1 (en) | 2003-11-14 | 2010-11-30 | Symantec Corporation | Systems and methods for address spacing in a firewall cluster |
| US20050240989A1 (en) | 2004-04-23 | 2005-10-27 | Seoul National University Industry Foundation | Method of sharing state between stateful inspection firewalls on mep network |
| JP2006054770A (ja) * | 2004-08-16 | 2006-02-23 | Yokogawa Electric Corp | ファイアウォール装置 |
| US8146145B2 (en) | 2004-09-30 | 2012-03-27 | Rockstar Bidco Lp | Method and apparatus for enabling enhanced control of traffic propagation through a network firewall |
| CA2594020C (en) | 2004-12-22 | 2014-12-09 | Wake Forest University | Method, systems, and computer program products for implementing function-parallel network firewall |
| US7870602B2 (en) * | 2005-09-14 | 2011-01-11 | At&T Intellectual Property I, L.P. | System and method for reducing data stream interruption during failure of a firewall device |
| US8533808B2 (en) * | 2006-02-02 | 2013-09-10 | Check Point Software Technologies Ltd. | Network security smart load balancing using a multiple processor device |
| US9137204B2 (en) * | 2006-02-02 | 2015-09-15 | Check Point Software Technologies Ltd. | Network security smart load balancing |
| US8353020B2 (en) | 2006-06-14 | 2013-01-08 | Microsoft Corporation | Transparently extensible firewall cluster |
| US20080098113A1 (en) * | 2006-10-19 | 2008-04-24 | Gert Hansen | Stateful firewall clustering for processing-intensive network applications |
| US8255985B2 (en) | 2006-11-13 | 2012-08-28 | At&T Intellectual Property I, L.P. | Methods, network services, and computer program products for recommending security policies to firewalls |
| US7685274B2 (en) * | 2006-12-22 | 2010-03-23 | General Electric Company | Method and apparatus for clustered filtering in an RFID infrastructure |
| US7822841B2 (en) | 2007-10-30 | 2010-10-26 | Modern Grids, Inc. | Method and system for hosting multiple, customized computing clusters |
| CA2716818C (en) * | 2008-02-28 | 2014-06-17 | Level 3 Communications, Llc | Load-balancing cluster |
| CN101350773A (zh) * | 2008-06-20 | 2009-01-21 | 中兴通讯股份有限公司 | 一种移动分组网络架构及其多个防火墙负载均衡接入方法 |
| US7936685B2 (en) * | 2009-01-15 | 2011-05-03 | Vss Monitoring, Inc. | Intelligent fast switch-over network tap system and methods |
| CN101651680A (zh) * | 2009-09-14 | 2010-02-17 | 杭州华三通信技术有限公司 | 一种网络安全部署方法和一种网络安全设备 |
| US8493902B2 (en) | 2010-08-16 | 2013-07-23 | Florida Institute for Human and Machine Cognition | Opportunistic listening system and method |
| US8406233B2 (en) * | 2010-09-07 | 2013-03-26 | Check Point Software Technologies Ltd. | Predictive synchronization for clustered devices |
| US8776207B2 (en) * | 2011-02-16 | 2014-07-08 | Fortinet, Inc. | Load balancing in a network with session information |
| US9047441B2 (en) * | 2011-05-24 | 2015-06-02 | Palo Alto Networks, Inc. | Malware analysis system |
| US9978040B2 (en) * | 2011-07-08 | 2018-05-22 | Box, Inc. | Collaboration sessions in a workspace on a cloud-based content management system |
| US8887263B2 (en) | 2011-09-08 | 2014-11-11 | Mcafee, Inc. | Authentication sharing in a firewall cluster |
| US8763106B2 (en) | 2011-09-08 | 2014-06-24 | Mcafee, Inc. | Application state sharing in a firewall cluster |
| US9319459B2 (en) | 2011-09-19 | 2016-04-19 | Cisco Technology, Inc. | Services controlled session based flow interceptor |
| US20130152156A1 (en) | 2011-12-12 | 2013-06-13 | Mcafee, Inc. | Vpn support in a large firewall cluster |
-
2011
- 2011-09-08 US US13/227,848 patent/US8887263B2/en not_active Expired - Fee Related
-
2012
- 2012-09-06 EP EP12830232.0A patent/EP2754266B1/en active Active
- 2012-09-06 WO PCT/US2012/053976 patent/WO2013036651A1/en active Application Filing
- 2012-09-06 CN CN201280043917.9A patent/CN103858383B/zh active Active
- 2012-09-06 JP JP2014529857A patent/JP5908090B2/ja active Active
- 2012-09-06 KR KR1020147006135A patent/KR101529839B1/ko active IP Right Grant
- 2012-09-06 EP EP15190769.8A patent/EP2991276B1/en active Active
- 2012-09-06 CN CN201510869336.6A patent/CN105407099B/zh active Active
- 2012-09-06 KR KR1020147037044A patent/KR101586972B1/ko active IP Right Grant
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101014048A (zh) * | 2007-02-12 | 2007-08-08 | 杭州华为三康技术有限公司 | 分布式防火墙系统及实现防火墙内容检测的方法 |
| CN101179514A (zh) * | 2007-12-18 | 2008-05-14 | 杭州华三通信技术有限公司 | 分布式网络处理系统mac表项维护方法和维护装置 |
| CN102025735A (zh) * | 2010-12-08 | 2011-04-20 | 北京航空航天大学 | 基于防御策略的Linux分布式网络防火墙系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2991276A1 (en) | 2016-03-02 |
| KR20140058616A (ko) | 2014-05-14 |
| EP2754266A4 (en) | 2015-05-13 |
| CN105407099A (zh) | 2016-03-16 |
| US8887263B2 (en) | 2014-11-11 |
| JP5908090B2 (ja) | 2016-04-26 |
| KR20150015027A (ko) | 2015-02-09 |
| US20130067557A1 (en) | 2013-03-14 |
| EP2754266B1 (en) | 2019-01-09 |
| WO2013036651A1 (en) | 2013-03-14 |
| CN103858383B (zh) | 2017-04-19 |
| JP2014526739A (ja) | 2014-10-06 |
| EP2991276B1 (en) | 2022-04-06 |
| CN103858383A (zh) | 2014-06-11 |
| EP2754266A1 (en) | 2014-07-16 |
| KR101586972B1 (ko) | 2016-02-02 |
| KR101529839B1 (ko) | 2015-06-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104601597B (zh) | 用于防火墙群集中状态数据共享的设备和方法 | |
| CN105407099B (zh) | 防火墙群集中的验证共享 | |
| CN107257332B (zh) | 大型防火墙集群中的定时管理 | |
| WO2009132047A2 (en) | Collaborative and proactive defense of networks and information systems | |
| WO2013089935A1 (en) | Vpn support in a large firewall cluster | |
| JP2004302538A (ja) | ネットワークセキュリティシステム及びネットワークセキュリティ管理方法 | |
| Kavitha et al. | Identifying legitimate user in DDoS attack using Petri net | |
| Kannan et al. | T op H at: Topology-Based Host-Level Attribution for Multi-stage Attacks in Enterprise Systems Using Software Defined Networks | |
| Al-Hamami et al. | Security Concepts, Developments, and Future Trends | |
| Ouyang et al. | MLCC: A Multi Layered Correlative Control Mechanism for the VPN Topology |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: American California Patentee after: McAfee limited liability company Address before: American California Patentee before: Mai Kefei company |
|
| CP01 | Change in the name or title of a patent holder |