CN1152531C - 分片报文的网络访问控制方法 - Google Patents
分片报文的网络访问控制方法 Download PDFInfo
- Publication number
- CN1152531C CN1152531C CNB021172846A CN02117284A CN1152531C CN 1152531 C CN1152531 C CN 1152531C CN B021172846 A CNB021172846 A CN B021172846A CN 02117284 A CN02117284 A CN 02117284A CN 1152531 C CN1152531 C CN 1152531C
- Authority
- CN
- China
- Prior art keywords
- message
- information
- layers
- fragment
- access control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/166—IP fragmentation; TCP segmentation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
- H04L69/32—Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
- H04L69/322—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
- H04L69/325—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the network layer [OSI layer 3], e.g. X.25
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种网络访问控制技术中的分片报文的网络访问控制方法。包括:首先,根据需要记录分片报文中首片报文的属性信息及分片标识;然后,分片报文中的后续分片报文根据其分片标识,查询与该后续分片报文分片标识相同的首片报文的属性信息;最后,根据上述查询结果确定该后续分片报文的网络可访问性。由上述技术方案可以看出,本发明解决了现有网络访问控制技术所存在无法保证对分片报文访问网络进行有效控制的缺点,实现了分片报文的网络访问控制也可以与普通报文或首片报文的网络访问控制一样方便,从而更好地保证了网络的安全性。
Description
技术领域
本发明涉及一种网络访问控制技术,尤其涉及一种对分片报文进行网络访问控制的方法。
背景技术
网络访问控制技术是一种根据报文的特征信息对其访问的目的进行控制的技术,通常用于将内部网和公众网络(如互联网)分开,网络访问控制技术可以为两个进行通信的网络设置一个访问控制标准。在基于互联网协议(IP)的网络中,通常是根据IP报文的源地址和目的地址、应用的协议类型以及IP报文所承载的传输控制协议/用户数据报协议(TCP/UDP)端口号对网络间的访问进行控制。目前被广泛应用的是根据所需要的网络访问控制要求配置一组可对报文进行匹配的访问控制列表(ACL),每个ACL中包含了多条规则,每条规则里包含了允许或者禁止的报文的特征信息。例如:允许网络123.1.0.0使用文件传输协议(FTP)使用21号端口访问主机150.0.0.1;允许IP地址为202.103.1.18和202.103.1.14的用户使用23号端口远程登录(Telnet)到主机150.0.0.2上;允许任何地址的电子邮件(E-mail)使用25号端口进入主机150.0.0.3等;对报文特征信息的描述能力决定网络访问控制能够处理报文的能力。对于正常的IP报文,现有技术的报文特征信息描述能力可以满足要求,但是,对于较大的IP报文由于包含了分片的特性,并且对于IP报文所承载的更高层的信息的描述则是仅仅包含在首片IP报文分片中,例如传输控制协议(TCP)的信息,因此报文的某些特征信息描述因分片报文中无相应信息与其匹配,而无法对分片报文进行网络访问控制,例如端口描述等三层以外信息。
目前对分片报文的访问控制主要有两种:一种是对于所有的分片报文采取全部通过或者全部禁止的方法。这种方法存在很大的安全隐患和应用限制;当全部通过的时候,黑客很容易构造分片报文实施流量攻击;当全部禁止的时候,所有的分片报文,包括合法的报文都将被拒绝丢弃,这在实际应用中是不允许的。另一种网络访问控制方法中所应用ACL尽管也包含有三层信息及三层以外信息,例如包含源目的地址信息、协议类型以及三层以外信息,其中三层以外信息包括TCP/用户数据协议(UDP)端口号,互联网控制报文协议(ICMP)类型、代码,但对分片报文仅进行三层信息的规则匹配,以确定分片报文的网络可访问性,其承载的三层以外信息被忽略,这种方法无法保证分片报文的网络访问控制的有效性,黑客构造分片报文实施流量攻击的可能性仍然存在,因而,网络的安全性无法得到更好地保证。
发明内容
本发明的目的是提供一种分片报文的网络访问控制方法,可对分片报文的网络访问进行有效地控制,以提高网络的安全性。
本发明的目的是这样实现的:分片报文的网络访问控制方法,包括:
(1)根据需要记录分片报文中首片报文的属性信息及分片标识;
(2)分片报文中的后续分片报文根据其分片标识,查询与该后续分片报文分片标识相同的首片报文的属性信息;
(3)根据上述查询结果确定该后续分片报文的网络可访问性。
所述的步骤(1)包括:
(21)判断报文是否为分片报文中的首片报文,如果是,执行步骤(22),否则,执行步骤(23);
(22)根据需要记录该首片报文的属性信息及分片标识;
(23)结束本次判断过程。
所述的属性信息为首片报文的网络可访问性信息。
所述的报文为互联网协议(IP)报文,判断报文是否为分片报文中的首片报文是根据判断报文的分片标志和分片偏移量进行判断的。
所述的属性信息为首片报文的三层以外信息。
所述的根据需要记录分片报文中首片报文的属性信息及分片标识,包括:
(61)将首片报文的三层信息及三层以外信息与相应的访问控制规则进行匹配,判断该首片报文是否可以进行相应的访问,如可以进行相应的访问,执行步骤(62),否则,执行步骤(63);
(62)记录该首片报文的三层以外信息和分片标识;
(63)结束本次操作。
所述的三层信息包括:网络地址信息、协议类型信息;所述的三层以外信息包括:传输控制协议/用户数据报协议(TCP/UDP)端口号、互联网控制报文协议(ICMP)类型、代码。
所述的步骤(62)中记录的三层以外信息和分片标识采用散列树数据结构进行保存。
所述的以散列树数据结构保存三层以外信息和分片标识,包括:
(91)发生需要记录的首片报文的三层以外信息和分片标识;
(92)判断以散列树数据结构组建的状态信息表是否允许添加新的表项,如果允许,执行步骤(93),否则,执行步骤(94);
(93)将首片报文的三层以外信息和分片标识记录到状态信息表中;
(94)结束本次操作。
由上述技术方案可以看出,本发明可以记录下分片报文中的首片报文的三层以外信息或网络可访问性及分片标识,然后分片报文可以通过所记录的属性信息确定其网络可访问性。本发明解决了现有网络访问控制技术所存在无法保证对分片报文访问网络进行有效控制的缺点,实现了分片报文的网络访问控制也可以与普通报文或首片报文的网络访问控制一样,由访问控制列表中所记录的三层信息及三层以外信息的可访问性确定,从而更好地保证了网络的安全性。
附图说明
图1为包含有分片报文的IP报文结构示意图;
图2为分片报文的网络访问控制方法流程图;
图3为状态信息表的结构示意图。
具体实施方式
为了实现对网络访问的有效控制,通常采用在ACL中描述更多的报文特征信息的方式实现,目前针对IP报文设计的ACL中包含有报文的三层信息及三层以外信息,具体包含有源目的地址信息、协议类型以及三层以外信息,三层以外信息包括TCP/UDP端口号、ICMP类型、代码等信息。上述ACL可以很好地实现对不包含有分片报文的IP报文的网络访问控制,但对于部分较大的IP报文,在传输过程中往往包含分片报文,如图1所示,分片报文中只承载有报文的三层信息,没有承载报文的三层以外信息,因此无法利用ACL中的三层以外信息对分片报文进行网络访问控制。本发明所提供的技术方案可以有效利用ACL中的三层以外信息对分片报文进行网络访问控制。
本发明是针对网络访问控制中所应用的ACL中包含有三层以外信息的情况设计的,本发明采用记录首片报文三层以外信息的方法,以满足分片报文进行相应信息的ACL规则匹配。本发明的实现主要可以包括:判断分片报文是否首分片报文,如果是,则记录三层以外的信息;如果是后续分片报文,则以分片标识为检索关键字检索已经记录的属性信息,若检索到,则三层以外信息全部获得,执行普通报文的匹配操作便可实现对分片报文的网络访问进行控制。
为了提高效率和安全性,由于后续分片报文的匹配行为取决于首片分片报文的行为,对于后续分片来说,仅当其首片报文被允许的情况下,ACL中的包含三层以外匹配的规则对后续分片报文作用才有效,才有记录属性信息的必要;因此,当首片报文被ACL允许的时候,才记录该报文的三层以外信息,当首片被ACL规则项禁止的时候,不记录任何信息。另外,后续分片报文的网络可访问性同首片报文是一致的,我们也可以仅通过记录首片报文的网络可访问性信息确定分片报文的网络可访问性,以进一步提高分片报文网络访问控制的效率。
本发明所述的分片报文的网络访问控制方法的具体实现方式,参见图2,如下所述:
步骤1:接收包含有分片特性的IP报文;
步骤2:根据报文的分片标志和分片偏移量判断是否为分片报文中的首片报文,如果是,执行步骤3,否则,执行步骤5;
步骤3:将首片报文的三层信息及三层以外信息与相应的访问控制规则进行匹配,判断该首片报文是否可以进行相应的访问,如可以进行相应的访问,执行步骤4,否则,不做任何记录,执行步骤1;
步骤4:记录该首片报文的三层以外信息和分片标识,执行步骤1;
记录的三层以外信息和分片标识采用散列树数据结构进行保存,首先利用散列树数据结构组织建立状态信息表,参见图3;状态信息表中的每一个表项中记录了一个首分片报文的三层以外信息以或者ACL对其过滤行为(允许或者禁止)的信息,线性表存放分片报文的分片标识经过散列运算后的散列序号,相同散列序号的表项再组成一个双向链表;
然后,当发生需要记录的首片报文的三层以外信息和分片标识时,判断以散列树数据结构组建的状态信息表是否允许添加新的表项,如果允许,则将首片报文的三层以外信息和分片标识记录到状态信息表中,否则无法记录首片报文的三层以外信息及分片标识;
考虑额外风险,对状态信息表进行了保护,包括:限制最大允许记录项总数;限制在散列非均匀分布的情况下,对每个散列支中记录项的数目;提供记录项的时间老化功能,即当在非正常情况下,当记录项不能正常删除的时候,通过超时时间限制来删除,以提高对分片报文进行网络访问控制的可靠性;
步骤5:则该报文为后续分片报文,根据后续分片报文的分片标识查询是否存在与其分片标识对应的三层以外信息,如存在,执行步骤6,否则,执行步骤7;
步骤6:根据所记录的关于该后续分片报文的三层以外信息及后续分片报文所承载的三层信息,确定该后续分片报文的网络可访问性;
三层信息包括:网络地址信息、协议类型信息;三层以外信息包括:传输控制协议/用户数据报协议(TCP/UDP)端口号、互联网控制报文协议(ICMP)类型、代码;
确定后续分片报文的网络可访问性与确定普通报文的网络可访问性相同,将关于该后续分片报文的三层信息及三层以外信息与相应的ACL规则进行匹配,根据匹配的结果确定其网络可访问性;
步骤7:禁止该后续分片报文进行相应的访问。
上述具体实施方案中还可以将步骤3省去,即当确定该分片报文为首片报文后,直接记录该首片报文的三层以外信息及分片标识,与该首片报文对应的后续分片报文则可以根据所记录的相应的三层以外信息及分片标识确定其网络可访问性。
本发明所述的分片报文的网络访问控制方法还可以在确定了首片报文的可访问性后,仅将首片报文的可访问性信息及其分片标识记录下来,后续分片报文可以根据分片标识查询与其对应的首片报文的可访问性信息,以确定后续分片报文的网络可访问性;后续分片报文的网络可访问性与所查询到的,与其对应的首片报文的可访问性相同。这一实施方案只记录首片报文的网络可访问性信息和分片标识,减少了记录的信息量,同时也使后续分片报文无需再一次进行规则匹配,从而使分片报文的网络访问控制过程更为方便、快捷。
Claims (9)
1、一种分片报文的网络访问控制方法,包括:
(1)根据需要记录分片报文中首片报文的属性信息及分片标识;
(2)分片报文中的后续分片报文根据其分片标识,查询与该后续分片报文分片标识相同的首片报文的属性信息;
(3)根据上述查询结果确定该后续分片报文的网络可访问性。
2、根据权利要求1所述的分片报文的网络访问控制方法,其特征在于所述的步骤(1)包括:
(21)判断报文是否为分片报文中的首片报文,如果是,执行步骤(22),否则,执行步骤(23);
(22)根据需要记录该首片报文的属性信息及分片标识;
(23)结束本次判断过程。
3、根据权利要求1所述的分片报文的网络访问控制方法,其特征在于所述的属性信息为首片报文的网络可访问性信息。
4、根据权利要求2所述的分片报文的网络访问控制方法,其特征在于所述的报文为互联网协议IP报文,判断报文是否为分片报文中的首片报文是根据判断报文的分片标志和分片偏移量进行判断的。
5、根据权利要求4所述的分片报文的网络访问控制方法,其特征在于所述的属性信息为首片报文的三层以外信息。
6、根据权利要求5所述的分片报文的网络访问控制方法,其特征在于所述的根据需要记录分片报文中首片报文的属性信息及分片标识,包括:(61)将首片报文的三层信息及三层以外信息与相应的访问控制规则进行匹配,判断该首片报文是否可以进行相应的访问,如可以进行相应的访问,执行步骤(62),否则,执行步骤(63);
(62)记录该首片报文的三层以外信息和分片标识;
(63)结束本次操作。
7、根据权利要求6所述的分片报文的网络访问控制方法,其特征在于所述的三层信息包括:网络地址信息、协议类型信息;所述的三层以外信息包括:传输控制协议TCP/用户数据报协议UDP端口号、互联网控制报文协议ICMP类型、代码。
8、根据权利要求6所述的分片报文的网络访问控制方法,其特征在于:所述的步骤(62)中记录的三层以外信息和分片标识采用散列树数据结构进行保存。
9、根据权利要求8所述的分片报文的网络访问控制方法,其特征在于所述的以散列树数据结构保存三层以外信息和分片标识,包括:
(91)发生需要记录的首片报文的三层以外信息和分片标识;
(92)判断以散列树数据结构组建的状态信息表是否允许添加新的表项,如果允许,执行步骤(93),否则,执行步骤(94);
(93)将首片报文的三层以外信息和分片标识记录到状态信息表中;
(94)结束本次操作。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB021172846A CN1152531C (zh) | 2002-04-23 | 2002-04-23 | 分片报文的网络访问控制方法 |
| EP03008904A EP1357722A1 (en) | 2002-04-23 | 2003-04-16 | Method for controlling network access for fragments |
| US10/418,771 US20030220996A1 (en) | 2002-04-23 | 2003-04-18 | Method for controlling network access for fragments |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB021172846A CN1152531C (zh) | 2002-04-23 | 2002-04-23 | 分片报文的网络访问控制方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1411218A CN1411218A (zh) | 2003-04-16 |
| CN1152531C true CN1152531C (zh) | 2004-06-02 |
Family
ID=4744375
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB021172846A Expired - Fee Related CN1152531C (zh) | 2002-04-23 | 2002-04-23 | 分片报文的网络访问控制方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20030220996A1 (zh) |
| EP (1) | EP1357722A1 (zh) |
| CN (1) | CN1152531C (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8155117B2 (en) | 2004-06-29 | 2012-04-10 | Qualcomm Incorporated | Filtering and routing of fragmented datagrams in a data network |
| CN1777174B (zh) * | 2004-11-15 | 2010-06-23 | 中兴通讯股份有限公司 | 因特网安全协议高速处理ip分片的方法 |
| CN100433715C (zh) * | 2005-08-19 | 2008-11-12 | 华为技术有限公司 | 给数据流提供不同的服务质量策略的方法 |
| CN1921477A (zh) * | 2006-09-01 | 2007-02-28 | 华为数字技术有限公司 | 一种对分片报文进行复杂流分类的方法及系统 |
| CN101771575B (zh) * | 2008-12-29 | 2014-04-16 | 华为技术有限公司 | 一种处理ip分片报文的方法、装置及系统 |
| US7826458B2 (en) * | 2009-03-05 | 2010-11-02 | Juniper Networks, Inc. | Tracking fragmented data flows |
| US9282038B2 (en) * | 2012-03-15 | 2016-03-08 | Telefonaktiebolaget Lm Ericsson (Publ) | Policy control enforcement at a packet gateway |
| CN103685030A (zh) * | 2013-12-24 | 2014-03-26 | 大唐移动通信设备有限公司 | 一种数据处理方法和设备 |
| TWI584620B (zh) * | 2015-02-17 | 2017-05-21 | 圓展科技股份有限公司 | 檔案傳輸方法 |
| CN110198290B (zh) * | 2018-03-14 | 2021-11-19 | 腾讯科技(深圳)有限公司 | 一种信息处理方法、设备、装置及存储介质 |
| CN109726144B (zh) * | 2018-12-27 | 2021-11-02 | 新华三技术有限公司 | 一种数据报文的处理方法和装置 |
| CN116055586B (zh) * | 2022-08-15 | 2023-09-01 | 荣耀终端有限公司 | 分片报文的匹配方法、路由器及存储介质 |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5802320A (en) * | 1995-05-18 | 1998-09-01 | Sun Microsystems, Inc. | System for packet filtering of data packets at a computer network interface |
| US5852719A (en) * | 1995-12-20 | 1998-12-22 | Tandem Computers Incorporated | System for transferring data over a network in which a data source sends only a descriptor which a data sink uses to retrieve data |
| US5842040A (en) * | 1996-06-18 | 1998-11-24 | Storage Technology Corporation | Policy caching method and apparatus for use in a communication device based on contents of one data unit in a subset of related data units |
| US6173364B1 (en) * | 1997-01-15 | 2001-01-09 | At&T Corp. | Session cache and rule caching method for a dynamic filter |
| US6098172A (en) * | 1997-09-12 | 2000-08-01 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with proxy reflection |
| AUPP362498A0 (en) * | 1998-05-19 | 1998-06-11 | Curtin University Of Technology | Method and apparatus for transfer of real time signals over packet network |
| US6658002B1 (en) * | 1998-06-30 | 2003-12-02 | Cisco Technology, Inc. | Logical operation unit for packet processing |
| US6370583B1 (en) * | 1998-08-17 | 2002-04-09 | Compaq Information Technologies Group, L.P. | Method and apparatus for portraying a cluster of computer systems as having a single internet protocol image |
| US6804251B1 (en) * | 1998-11-12 | 2004-10-12 | Broadcom Corporation | System and method for multiplexing data from multiple sources |
| US6798788B1 (en) * | 1999-11-24 | 2004-09-28 | Advanced Micro Devices, Inc. | Arrangement determining policies for layer 3 frame fragments in a network switch |
| GB2357166B (en) * | 1999-12-07 | 2001-10-31 | Marconi Comm Ltd | Memory access system |
| US6496935B1 (en) * | 2000-03-02 | 2002-12-17 | Check Point Software Technologies Ltd | System, device and method for rapid packet filtering and processing |
| US7031297B1 (en) * | 2000-06-15 | 2006-04-18 | Avaya Communication Israel Ltd. | Policy enforcement switching |
| US7355970B2 (en) * | 2001-10-05 | 2008-04-08 | Broadcom Corporation | Method and apparatus for enabling access on a network switch |
| US7403999B2 (en) * | 2001-12-28 | 2008-07-22 | International Business Machines Corporation | Classification support system and method for fragmented IP packets |
| US20030128701A1 (en) * | 2002-01-09 | 2003-07-10 | Nokia Corporation | Method of and apparatus for directing packet entities |
-
2002
- 2002-04-23 CN CNB021172846A patent/CN1152531C/zh not_active Expired - Fee Related
-
2003
- 2003-04-16 EP EP03008904A patent/EP1357722A1/en not_active Withdrawn
- 2003-04-18 US US10/418,771 patent/US20030220996A1/en not_active Abandoned
Also Published As
| Publication number | Publication date |
|---|---|
| US20030220996A1 (en) | 2003-11-27 |
| CN1411218A (zh) | 2003-04-16 |
| EP1357722A1 (en) | 2003-10-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10764320B2 (en) | Structuring data and pre-compiled exception list engines and internet protocol threat prevention | |
| US6574666B1 (en) | System and method for dynamic retrieval loading and deletion of packet rules in a network firewall | |
| CN1152531C (zh) | 分片报文的网络访问控制方法 | |
| US7702785B2 (en) | Methods, systems and computer program products for selectively allowing users of a multi-user system access to network resources | |
| US8001254B1 (en) | Translating switch and method | |
| JP3568850B2 (ja) | データパケットフィルタの動作方法 | |
| US20020016826A1 (en) | Firewall apparatus and method of controlling network data packet traffic between internal and external networks | |
| US8635686B2 (en) | Integrated privilege separation and network interception | |
| EP0856974A2 (en) | Session cache and rule caching method for a dynamic filter | |
| EP3523940B1 (en) | Enforcing network security policy using pre-classification | |
| US20070168552A1 (en) | Method and system for controlling access to data communication applications | |
| Berghel | Hiding data, forensics, and anti-forensics | |
| US9065850B1 (en) | Phishing detection systems and methods | |
| CN101094236A (zh) | 地址解析协议报文处理方法及通讯系统及转发平面处理器 | |
| US8272056B2 (en) | Efficient intrusion detection | |
| AU2004200909B2 (en) | Network zones | |
| CN101116052A (zh) | 网络接口及防火墙设备 | |
| CN1852263A (zh) | 一种报文的访问控制方法及一种网络设备 | |
| US20070016685A1 (en) | Buffer overflow proxy | |
| CN1503952A (zh) | 限制外来访问的方法和系统 | |
| CN112187806A (zh) | 一种基于网页资源地址动态跳变的防御方法 | |
| US20030126467A1 (en) | Network security devices and methods | |
| CN1630252A (zh) | 宽带ip接入设备及在该设备中实现用户日志的方法 | |
| Chakraborty et al. | Building new generation firewall including artificial intelligence | |
| Suresh et al. | Predictive Modelling of Tree Rule Firewall for the Efficient Packet Filtering |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20040602 Termination date: 20150423 |
|
| EXPY | Termination of patent right or utility model |