CN1972297A - 用于基于策略的内容过滤的计算机系统与方法 - Google Patents
用于基于策略的内容过滤的计算机系统与方法 Download PDFInfo
- Publication number
- CN1972297A CN1972297A CNA2006101457109A CN200610145710A CN1972297A CN 1972297 A CN1972297 A CN 1972297A CN A2006101457109 A CNA2006101457109 A CN A2006101457109A CN 200610145710 A CN200610145710 A CN 200610145710A CN 1972297 A CN1972297 A CN 1972297A
- Authority
- CN
- China
- Prior art keywords
- firewall
- computer
- readable medium
- allocation plan
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001914 filtration Methods 0.000 title claims abstract description 14
- 238000000034 method Methods 0.000 title claims description 41
- 238000004891 communication Methods 0.000 claims description 29
- 230000008569 process Effects 0.000 claims description 17
- 230000008676 import Effects 0.000 claims description 15
- 238000012545 processing Methods 0.000 claims description 14
- 230000015654 memory Effects 0.000 claims description 12
- 101001094649 Homo sapiens Popeye domain-containing protein 3 Proteins 0.000 claims description 4
- 101000608234 Homo sapiens Pyrin domain-containing protein 5 Proteins 0.000 claims description 4
- 101000578693 Homo sapiens Target of rapamycin complex subunit LST8 Proteins 0.000 claims description 4
- 102100027802 Target of rapamycin complex subunit LST8 Human genes 0.000 claims description 4
- 230000009471 action Effects 0.000 claims description 3
- 229910002056 binary alloy Inorganic materials 0.000 claims 1
- 230000006870 function Effects 0.000 abstract description 8
- 230000007246 mechanism Effects 0.000 abstract 1
- 230000005540 biological transmission Effects 0.000 description 15
- 239000003795 chemical substances by application Substances 0.000 description 9
- 238000005516 engineering process Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 7
- 238000012546 transfer Methods 0.000 description 6
- 241000700605 Viruses Species 0.000 description 3
- 238000010276 construction Methods 0.000 description 3
- 238000003672 processing method Methods 0.000 description 3
- 230000008878 coupling Effects 0.000 description 2
- 238000010168 coupling process Methods 0.000 description 2
- 238000005859 coupling reaction Methods 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000008521 reorganization Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- RYGMFSIKBFXOCR-UHFFFAOYSA-N Copper Chemical compound [Cu] RYGMFSIKBFXOCR-UHFFFAOYSA-N 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 150000001875 compounds Chemical class 0.000 description 1
- 229910052802 copper Inorganic materials 0.000 description 1
- 239000010949 copper Substances 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000004069 differentiation Effects 0.000 description 1
- 230000002349 favourable effect Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000004321 preservation Methods 0.000 description 1
- 230000006798 recombination Effects 0.000 description 1
- 238000005215 recombination Methods 0.000 description 1
- 230000002787 reinforcement Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000000682 scanning probe acoustic microscopy Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 description 1
- 238000003756 stirring Methods 0.000 description 1
- 230000007306 turnover Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
防火墙和其他过滤网关已经成为了改善计算机网络安全的通用安全设备。随着这些设备添加了更多的特性和功能,对它们的配置也变得非常复杂。通过关联配置方案和防火墙策略,在没有降低灵活性的同时简化了配置。管理员根据流量类型和数据源有了更多的选择以过滤不同的数据流。通过将认证机制和各种过滤选项捆绑,增加了能够基于每个用户需要过滤流量的灵活性。
Description
技术领域
本发明涉及网络安全,尤其涉及使用防火墙的网络内容处理方法。
背景技术
近十年来,对网络安全的威胁演变地非常快,从网络层针对连接的攻击发展成应用层基于代理的攻击。常规的网络设备(防火墙)能够进行网络层数据处理;例如,常规防火墙可以阻止不是来自有效数据源的数据,同时VPN网关可以加密传输中的数据,使其安全通过互联网进行传输。但是当前严重的网络威胁,比如病毒和蠕虫,是嵌入到数据流的应用层内容中的。检测并阻止这些应用层的攻击需要巨大的处理能力,通过从多个数据包中提取内容,重建原始内容,以及扫描其中攻击指示特征或者不适当内容等处理方法。
防火墙的典型应用是作为具有多个用于向内和向外的网络流量的物理网络接口的硬件/软件设备。防火墙可以通过软件实现,安装到孤立的计算机上,或者可以是放置在网络中用于过滤多台计算机和/或互联网之间的流量的全面的硬件设备。网络流量进入其中一个接口,经过过滤和其他适当的处理,路由到通常与不同物理接口连接的远程主机。
在防火墙中,网络流量的处理是根据一套整体形成一个防火墙策略的具体规则执行的。防火墙策略指示防火墙应该怎样处理与比如网页浏览器、电子邮件信息或者telnet等这样具体程序有关的网络流量。示例性规则包括过滤禁忌词汇,屏蔽具体的URL,屏蔽具体一些文件类型的传输,病毒扫描,垃圾邮件屏蔽等等。防火墙策略通常由网络管理员创建,并且是基于各个公司的信息安全策略。
常规的防火墙能够在数据包层屏蔽流量但是没有足够智能化检测到这些数据包的内容并防止应用层的攻击。当今的防火墙具有检测各种网络流量流内容的能力并能够对流量流内容中传输的威胁采取适当的行动。随着防火墙功能的加强,也增加了网络管理员需要配置以确保网络安全的各种选项和设置。
现今很多防火墙系统都使用全局配置设置,比如统一的URL屏蔽列表,垃圾邮件地址列表,病毒、垃圾邮件扫描选项,以及其他类似的参数。这些设置将统一应用到防火墙的所有策略中。然而这种方法留给管理员的灵活性不大。例如,屏蔽虽然不含有不良内容但是会导致工作分心的某些网站,使公司一般员工不能访问,这样的设置也是比较好的。另一方面,对员工经理则不需要设置接入这些网站的限制。使用全局配置选项实现上述防火墙配置比较困难。换句话说,现有通常使用全局设置配置的防火墙系统,倾向于对通过防火墙的所有网络内容应用相同的防火墙配置方案。
因此,需要一种对应用到各种网络内容的过滤和/或处理的配置参数提供灵活有效控制的防火墙系统。这种系统将在不泄漏被保护网络安全的情况下达到最佳的内容处理性能。
发明内容
本发明的目的在于提供一种方法和系统,能够充分消除一个或更多上述或其他与配置防火墙过滤和/或处理网络内容的传统技术相关的问题。
本发明的一个方面提供了一种方法,用于计算机编程产品和处理网络内容的计算机系统。根据本发明的方法,接收的传入连接带有源网络地址、目标网络地址和网络服务协议。然后本发明的系统判断传入连接的网络服务协议并基于源网络地址、目标网络地址和网络服务协议确定匹配策略。本发明的系统进一步获取一个或多个与匹配策略相关的配置方案,并根据获取的一个或多个配置方案处理与传入连接相关的网络流量。
本发明的另一个方面提供了一种包含配置方案的计算机可读介质,该配置方案用于配置计算机化的防火墙系统以处理与传入连接相关的网络流量。本发明的配置方案包括关于一个或者多个通信协议的信息以及对每个通信协议的一项或者多项设置。本发明的防火墙系统一经收到传入连接,将根据与传入连接相关的源网络地址、目标网络地址和网络服务协议配置计算机化防火墙系统,应用一个或者多个配置方案。
本发明的再一个方面提供了一种包含用于与计算机化防火墙系统连接的防火墙策略的计算机可读介质。本发明的防火墙策略包括至少一个源网络地址,至少一个目标网络地址,至少一个服务网络协议,至少一个将防火墙策略和相应的配置方案关联的配置方案标识符以及当策略被调用时确定将要采取动作的信息。本发明的防火墙一经收到传入连接,将根据至少一个源网络地址、至少一个目标网络地址和至少一个网络服务协议调用防火墙策略。
本发明的又一个方面提供了包含用于与计算机化防火墙系统连接的配置数据库的计算机可读介质。本发明的配置数据库存储了配置方案和与配置方案连接的防火墙策略。本发明的防火墙系统一经收到传入连接,就调用存储的防火墙策略并应用存储的配置方案。
本发明的另一个方面提供了一种用于处理网络流量的防火墙系统。本发明的防火墙系统包括一个用于接收网络连接的网络接口,一个网络子系统,一个用于支持一个或者多个网络协议的代理子系统;以及一个用于存储防火墙策略和防火墙配置方案的配置数据库。网络子系统将网络连接重新定向到基于防火墙策略的代理子系统,该防火墙策略根据防火墙配置方案处理与网络连接相关的网络流量。
有关本发明的其他方面将在下面进行介绍,并且将明显地来自本发明的描述,或者通过本发明的应用获得。本发明的各个方面可以通过各种原件的独立和组合的方式以及下文的详细描述和附加的权利要求中具体指出的方面了解和获得。
应该理解,本文前后文中描述的实施例仅仅作为示例,并不作为对本发明权利要求或者发明应用的方式的限制。
附图说明
附图是根据本发明的实施例做出的说明,结合文字说明用于解释和描述本发明的原理。
图1是根据本发明的实施例的防火墙系统的总体框图;
图2是与建立基本网络通信会话相关的本发明防火墙系统的实施例的操作流程示意图;
图3和图4是用于定义一个或多个配置方案的图形用户界面的实施例示意图;
图5和图6是用于显示和调整防火墙策略参数的图形用户界面的实施例示意图;
图7和图8是本发明防火墙系统的用户界面的另一个实施例示意图;
图9是本发明防火墙系统的实施例的操作流程示意图;
图10是本发明防火墙系统的实施例的另一个操作流程示意图;和
图11是实现本发明方法的实施例的计算机平台示意图。
具体实施方式
下面将参考附图进行说明,附图中相同的功能元件使用相同的编号。上述附图用于解释本发明,并不作为对本发明的限制,具体实施例和应用与本发明的原理是一致的。所描述的详细的应用是用于本领域的技术人员实践本发明,应该理解,在不脱离本发明的精神和范围内,可以做其他应用以及对各种元件做出结构修改和/或替换。因此,下面的描述并不用于限制本发明。另外,本发明所述的各种实施例可以以运行于通用计算机中的软件,专门的硬件或者软件和硬件的组合方式来执行,
发明人认同提供一种能够对防火墙设置实现更细节性控制的方法和系统将更具优势。在现有技术下并不允许这种配置灵活性。
通常,防火墙策略的目的是控制通过防火墙的网络流量的流动。一个典型的防火墙策略定义了一套应用于处理全部通过网络的流量或者其中任何指定部分的规则。对网络流量中的一部分可以使用专门预定的防火墙策略,例如,源设备的网络地址,目标设备的网络地址和传输中使用的网络协议。对于不同的传输协议可以指定不同的防火墙策略,这些传输协议依次执行不同的网络服务。
当发起一个具体网络连接时,该连接通常含有相关的源网络地址、目标网络地址和服务端口标识符。防火墙收集这些信息并与现有防火墙策略进行匹配。如果发现连接信息与具体的防火墙策略匹配,防火墙就对该连接应用相应策略。
低层,网络层防火墙通常仅仅允许或拒绝通过的网络流量,典型地,在网络数据包层,它们根据源地址和目标地址以及单个IP数据包中相关网络端口来判断对该流量采取的动作。在这些防火墙中,与防火墙策略相关的一套规则通常指明哪些网络流量是允许处理的以及哪些是拒绝的,并且这些防火墙策略是根据源IP地址和目标IP地址以及相关的通信端口定义的。这些信息包含在单个IP数据包中,防火墙可以通过数据包检测获得。
较高层,内容过滤应用层防火墙通常是运行代理服务器的主机,这些主机不允许网络间的直接流量,并且对通过它们的流量做详细的日志记录和审查。因为代理应用程序是运行在防火墙中的软件组件,所以它们用于执行日志记录和访问控制。在这样的系统中,防火墙策略可以对网络流量的处理提供一种额外的选择,包括重新定向指定数据包到另一个例行步骤或者程序,比如一个代理,执行对数据包的指定操作或者收集数据包的内容用于更深入的检测和/或日志记录。由于在代理中处理网络流量更具灵活性,所以代理的配置包括大量的配置参数。
根据本发明的实施例,在一个具有重新定向通信流量到代理程序能力的防火墙系统中,每个防火墙策略都拥有设置的相关集合。这些设置通常包括,但不限于,各种过滤器。通过将设置集合(下文指“配置方案”)与单个防火墙策略建立联系的功能,本发明防火墙系统管理员对各种通信路径怎样被过滤有了更强的控制能力。
在本发明防火墙系统的实施例中,一种配置方案与具体的防火墙策略之间是通过方案标识符方法建立联系的,方案标识符是一种存储在与防火墙策略相关的、称为“策略结构”的数据结构中的变量。策略结构可以设置在防火墙计算机系统的内核中。当与特殊的防火墙策略匹配的新的通信会话发起时,该会话从对应的策略结构中继承方案标识符值。然后,通信连接重新定向到的代理程序从通信连接结构获得标识符值并使用它来从配置数据库或者,另一个选择是,从本地缓存中查找方案配置。本发明的配置数据库可以和保存信息记录的文本文件一样简单,或者和一个功能齐备的数据库系统一样复杂。
图1所示为根据本发明的实施例的防火墙保护下的网络100的拓扑。两个网络实体104和105连接到监视它们之间网络流量108、109的物理设备(防火墙)101的反面。防火墙可以根据一套预定的规则丢弃或者改变一些流量。因此,网络流量108的内容可以和流量109的内容不同。根据本发明技术的实施例,两个网络实体104和105通过直接的链接连接到防火墙101。在另一个实施例中,该连接可以通过一个路由的网络(没有示出)实现。
如图1所示,防火墙101设置在两个用户系统104和105之间的网络通信通道中并监视它们之间的网络数据包交换。正如熟悉本领域的技术人员所知,对于一些公知协议,比如传输控制协议(Transfer Control Protocol,TCP),传输的数据包通过一个或多个扫描引擎检查已知攻击或者可疑内容。当检测到一个数据包和已知的特征码之一相匹配时,本发明的防火墙系统就产生日志信息或者发出警告,而这个数据包可能被丢弃。在本发明系统的实施例中,两个用户之间的整个连接也可能被丢弃。
也正如熟悉本领域的技术人员所知,很多情况下,用于检测可疑数据的规则或者特征码不能用于单个数据包。数据流协议,比如TCP,在传输过程中将数据分割为小的数据块,但是启发式扫描必须应用于整个数据流而不是单个数据包。因此,在本发明的系统中,数据将先被防火墙101缓存以提取数据流,然后对数据流应用过滤规则。很多情况下,数据包将被防火墙101的内核的网络子系统106重新定向发送到建立或者解析数据缓存器的用户空间应用程序(代理)107。
图1所述的防火墙系统包括物理网络接口102和103,以及上述的作为防火墙设备101的操作系统的内核的一部分实现的网络子系统106。网络子系统106路由物理接口102和103之间数据包并且在防火墙系统101的各种逻辑子系统之间传输数据。几种基于数据流的数据将被网络子系统106截取并被代理模块107缓存用于进一步处理。应该注意的是,图1仅仅示出了物理接口,在本发明防火墙的另一个实施例中,接口102和103中一个或者全部可以是逻辑接口。
网络子系统106可以通过配置用于截取以各种网络协议传输的数据,包括但不限于,SMB/CIFS、即时通信(Instant Message,IM)协议(比如AIM,MSN信使,Yahoo信使,Skype),以及点对点(Point to Point,P2P)传输协议(比如FastTrack,BEEP,gnutella,Acalanche,BitTorrent)。另外,还有SMTP、POP3、IMAP、HTTP、FTP、telnet等。被截取的数据包路由到代理模块107进行数据重组、检测或者其他处理。
在本发明的实施例中,代理模块107的功能可以在OS内核中实现。在另一个实施例中,代理107以一种应用程序的形式实现,在防火墙设备101的操作系统提供的用户空间中执行。代理模块107根据收到的传输内容使用的通信协议,组装网络子系统106截取的格式化数据包。根据所使用的通信协议的具体情况,本发明系统的实施例可以在传输重组前或者传输重组中重新排列数据包。
配置数据库110存储防火墙系统101使用的各种防火墙策略、配置方案和其他参数。代理107可以从数据库110中获取存储的参数。在本发明系统的实施例中,可以配置代理模块107支持一种网络协议。在这种应用中,如果系统设定为处理多种网络协议,那么就要提供多个代理子系统。另外地或者可选地,执行代理107的多种实施例可以用于支持相同网络协议或者不同网络协议。此外,代理107可以设定为支持各个协议的全部或者其中任何部分的通信语言。最后,代理107可以使用外部程序从数据库110获取各种配置设置。同样,外部程序可以对代理107处理的网络传输内容应用各种过滤服务。
图2所示为与基本网络通信会话建立相关的本发明防火墙系统的操作流程。防火墙内核的网络子系统106在查找了可应用的防火墙策略之后接受传入连接201。所示流程中,策略指示会话应该重新定向(在202)到用户层代理107。代理107执行任何需要的初始化,然后向内核(在203)请求以获得与会话相关的配置方案。一旦获得了方案标识符(在204),代理在配置数据库(110)查询(在205)以获取与具体标识符匹配的配置方案的设置。一旦获得设置(在206),代理107就可以继续任何执行过滤任务或者其他处理网络会话必要的任务。
在本发明的实施例中,网络管理员使用,比如,图形用户界面或者防火墙系统101的命令行界面,可以指定多种配置方案。管理员指定的设置,还有其他适当的参数,存储在配置数据库110中用于后续获取。在本发明技术的实施例中,每一个创建的配置方案都设定了一个唯一的标识符值,该值可以对管理员显示或者不显示。标识符值按顺序存储在一个或者多个与相应防火墙策略相关的数据结构中,并且用于获取适当的配置方案。
配置数据库110可以作为防火墙101的一部分在相同的计算机平台上实现。实现该数据库可以使用任何适当的数据库系统,比如Oracle公司、IBM公司和微软公司发布的通用关系型数据库系统。在本发明的另一个实施例中,应用了特殊用途的嵌入式数据库。在又一个实施例中,实现配置数据库可以使用防火墙101的文件系统设备。最后,数据库系统110可以在防火墙101中独立的计算机硬件上实现。
图3和图4所示为本发明防火墙系统的管理员使用的用于定义一个或者多个配置方案的图形用户界面的实施例。具体地,图3所示的界面300显示了现有配置方案301-304的列表。方案301-304的每一个都设定了一个用于简单引用的唯一的名称或者别名。使用界面300可以创建新的方案以及修改或者删除现有方案。
图4所示的界面400显示了一个具体配置方案的详细内容。显示的示例方案400被排列到单独协议部分(401-406栏)。每一个这样的部分可以包含与具体协议对应的多种配置设置。图4所示的协议包括HTTP、FTP、SMTP、IMAP、POP3、SMB/CIFS。然后,本发明并不仅仅限于所示协议。可以使用任何其他适当的协议。正常情况下,本发明的界面400仅仅显示防火墙101的代理引擎107支持的协议。然而,因为代理功能可以扩展到支持额外的网络协议,所以可以手动或者自动配置图形用户界面400以显示这些额外的协议。
正如熟悉本领域的技术人员所知,并不是所有配置设置适用于所有协议。因此,在本发明的界面400中,一些设置对于一些协议并不可用。例如,垃圾电子邮件屏蔽并不适用于非电子邮件协议。网络管理员使用界面400通过拨动选项(选中功能框)、指定选项(下拉组合框)、多项选择以及基于数字和文本的输入这些方法可以输入或者调整显示的具体配置方案的各种参数。配置方案可以包括各种条目的列表,比如禁忌词汇的列表或者屏蔽的HTTP的URL的列表。这些列表可以连接到界面400中的适当图形,比如图4所示的408-410项。当管理员选择了适当的图形,对应的列表就可以显示并且管理员可以添加或者修改它的内容。
正如熟悉本领域的技术人员所知,本发明并不仅仅限于所示的参数和设置。通过界面300和界面400可以显示并适当地配置各种其他设置和参数。而且,当界面400检测到防火墙101的代理模块107的功能增强以支持新的协议以及新的过滤和其他内容处理能力时,界面400可以自动配置以显示新的参数与配置选项。
除了创建和/或修改防火墙配置方案的功能,本发明系统的实施例还拥有一个图形用户界面,或者另一个选择是,使管理员能够指定或者说明多种防火墙策略的命令行界面。策略设置也可以存储在配置数据库110中。在本发明的实施例中,至少部分策略设置的信息描述存储在防火墙101的内核中。
本发明防火墙系统101的策略设置图形用户界面示例如图5和图6所示。具体地,图5所示的界面500显示了所有有效的防火墙策略的列表。所示界面500和分别与防火墙策略中编号1、2和5对应的501、502和503行中的每一个形成表格形式。504、505和507列的参数指明了源网络地址、目标网络地址和具体列表中的策略适用的传输协议。506列指明具体策略生效的时间。508列包含指明对应网络流量怎样处理的设置。509列指明每个有效策略的配置方案。网络管理员可以启动或者禁止以及修改或者删除任何具体策略,见510列和511列。
图6所示为用于显示和调整具体防火墙策略的各种单个参数的图形用户界面600。包含在界面600中的策略参数通常对应于界面500的纵列。使用界面600管理员可以修改任何适当的策略设置。
如上所示,任何具体的防火墙策略都有一个相关的配置方案,这样该策略支持的网络协议就可以根据配置方案的设置被过滤或者被处理。当会话创建时确定相关配置方案并指定给该会话。此时,配置方案识别符写进内核中的策略结构,从而当新会话连接时它可以被传输到新的会话结构。如果定义了多个策略,不同的策略可能使用相同的配置方案、全部不同的配置方案或者以上的任意组合。在本发明的实施例中,也允许对一个策略不应用任何配置方案。这种情况中,该策略就变成了不具有过滤功能的常规防火墙策略。在本发明的另一个实施例中,对一个防火墙策略可以指定多种配置方案。
在本发明的另一个实施例中,基于过滤器的策略使用用户认证组实现。具体地,某些防火墙策略可以利用用户认证的形式。为启动这些策略的使用,网络中的一个或者多个用户可以一起组成一个或者多个命名的用户组,比如会计组。某些组中可以仅仅包含一个用户。可以对一个用户组或者一个用户分配具体防火墙配置方案。正如本领域技术人员所知,使用基于用户组的防火墙策略以及相关的配置方案增强了对不同用户组的各种网络服务设置中不同用户使用级别的灵活性。
图7和图8所示为本发明防火墙系统的用户界面的另一个实施例。在图7所示的界面中,在相同的页面中显示了多种配置方案和它们的参数。701行和702行中每个都对应一个具体配置方案,同时703-707列中每列都显示了对应的具体网络协议的设置。另一方面,图8所示的界面800可以用于编辑与具体配置方案相关的各种参数。在界面800中,如图所示,各种协议按照协议类型分组,包括web协议801、邮件协议802和文件传输协议803。在图8中显示的配置方案参数通常对应于包含在图7中701行和702行中每个的参数。
图9所示为本发明防火墙系统101的实施例的示例操作流程900。一经收到传入连接,在步骤902,本发明防火墙系统101就使用连接信息确定可用的防火墙策略,见步骤903。相关连接信息可以包括,但不限于,连接源地址和目标地址,还有根据连接端口号信息决定使用的连接服务协议。必要的连接信息可以从内核的网络子系统106截取的网络数据包中提取。
在步骤904,系统应用数据包层防火墙规则以判断是否允许连接。不兼容的连接在909步骤中被拒绝。允许的连接根据代理107支持的服务代理列表进行核对检查,见步骤905。根据非支持的协议,格式化的内容在步骤908中直接发送到目的地。如果连接协议是代理107支持的,在步骤906中,系统查看是否具体的配置方案分配到了该连接,并且,如果分配了,在步骤907中应用该方案。在步骤910中,系统检查传输内容是否需要修改,如果需要就在步骤911中修改。
图10所示为本发明防火墙系统101的另一个实施例的示例操作流程1000。流程1000和流程900的不同之处在于对网络连接应用了额外的认证步骤1005和1006。具体地,一经断定,在步骤904中,该连接满足数据包层规则,系统就对用户进行认证,如果认证失败就拒绝连接,分别见步骤1005和1006。另外,在图10所示的流程中,在步骤1007中,本发明的系统根据对现有连接应用的防火墙策略依次查找索要对于用户/用户组对应的配置方案。在步骤907中应用找到的方案。流程1000的剩余步骤等同于图9中流程900的对应步骤。
下面介绍本发明的硬件平台。图11所示为一个计算机平台1100,通过该平台可以实现本发明所述技术的方法。系统1100包括计算机/服务器平台1101,外围设备1102和网络资源1103。
计算机平台1101包括数据总线1104或者其他用于计算机平台1101内各部分之间或者内部通信的通信装置,以及与总线1101一起用于处理信息和执行其他计算和控制任务的处理器1105。计算机平台1101还包括易失性存储1106,比如随机访问存储器(RAM)或者其他动态存储设备,与总线1104连接用于存储处理器1105所执行的各种信息与指令。易失性存储1106也可以用于存储处理器1105执行指令过程中临时的变量和其他中间性信息。计算机平台1101可以进一步包括只读存储器(ROM或者EPROM)1107或者其他静态存储装置,与总线1104连接用于存储处理器1105所需的静态信息和指令,比如基本输入输出系统(BIOS),以及各种系统配置参数。永久性存储装置1108,比如磁盘、光盘或者固态闪存装置,与总线1101连接用于存储信息和指令。
计算机平台1101通过总线1104与显示器1109相连接,比如阴极射线管(CRT)、等离子显示器或者液晶显示器(LCD),用于对计算机平台1101的系统管理员或者用户显示信息。包含文字数字和其他键的输入设备1110连接到总线1101,用于与处理器1105之间的通信和命令选择。另一种用户输入设备为光标控制设备1111,比如鼠标、轨迹球或者光标方向键,用于与处理器1104传递方向信息、选择命令和控制光标在显示器1109上的移动。这种输入设备典型地具有两维自由度,第一轴(比如x)和第二轴(比如y),允许设备在平面内定位。
外部存储装置1112通过总线1104与计算机平台1101连接,对计算机平台1101提供额外或者移动存储功能。在计算机系统1100的实施例中,外部移动存储装置1112可以用于加速与其他计算机系统的数据交换。
下面介绍实现本发明的技术的计算机系统1100。在实施例中,本发明的内容处理系统300和400载入到例如计算机平台1101的装置中。在实施例中,数据库313可以配置在例如计算机平台1101的装置中。根据本发明的实施例,通过计算机系统1100对处理器1105执行存储在易失性内存1106中的一个或多个指令的一个或者多个流程做出反应来执行所述技术。这些指令可以从其他计算机可读介质,比如永久性存储装置1108,读入易失性内存1106中。易失性内存1106中的指令的流程的执行使处理器1105执行所述的处理步骤。在另一个实施例中,硬线电路可以用于替换或者和软件指令组合来实现本发明。这样,本发明的实施例并不限于任何具体的硬线电路和软件的组合。
这里所述的“计算机可读介质”一词是指任何用于向处理器1105提供所执行指令的介质。计算机可读介质只是机读介质中一种,可以加载指令实现任何所述方法和/或技术。这种介质有多种格式,包括但不限于,非易失性介质、易失性介质和传输介质。非易失性介质包括,比如,光盘或者磁盘,例如存储装置1108。易失性存储介质包括动态存储器,比如易失性存储器1106。传输介质包括同轴电缆、铜线和光纤,其包括组成数据总线1104的线缆。传输介质也可以采取声波或者光波的形式,比如无线以及红外线数据通信产生的波。
一般形式的计算机可读介质包括,比如,软盘、软碟、硬盘、磁带或者任何其他磁性介质、CD-ROM、任何其他光学介质、打孔卡片、纸带、任何其他有孔的物理介质、RAM、PROM、EPROM、FLASH-EPROM、闪存驱动器、记忆卡、任何其他记忆片或者卡盘、如前所述的载波或者任何其他计算机可读的介质。
各种形式的计算机可读介质可以承载处理器1105执行的一个或者多个指令的一个或者多个流程。例如,指令最初是加载在远程计算机的磁盘中。或者,远程计算机可以下载指令到它的动态内存中并使用调制解调器通过电话线发送指令。计算机系统1100的本地调制解调器可以在电话线上接收数据并使用红外线转换器将数据转换成红外信号。红外检测器可以接收红外信号加载的数据并且适当的电路可以将数据置于数据总线1104上。总线1104将数据传输到易失性存储1106,处理器1105从易失性存储1106获取并执行指令。易失性存储1106接收的指令可能随意地在处理器1105执行之前或者之后存储在永久性存储装置1108中。指令还可以通过因特网使用本领域公知的各种网络数据通信协议下载到计算机平台1101。
计算机平台1101还包括通信接口,比如与数据总线1104连接的网络接口卡1113。通信接口1113与连接到本地网络1115的网络链路1114连接,提供了双向数据通信。例如,通信接口1113可以是向相应类型的电话线提供数据通信连接的综合业务数字网(ISDN)卡或者调制解调器。另外的示例中,通信接口1113可以是向兼容的LAN提供数据通信连接的局域网接口卡(LANNIC)。无线链路,比如公知的802.11a、802.11b、802.11g以及蓝牙,也可以用于网络应用。上述任何应用中,通信接口1113发送和接收载有表示各种类型信息的数字数据流的电子、电磁或者光信号。
网络链路1113典型地通过一个或者多个网络向其他网络资源提供数据通信。例如,网络链路1114可以通过本地网络1115提供到主机1116或者网络存储/服务器1117的连接。额外地或者另一个选择是,网络链路1113可以通过网关1117连接到广域或者全球网络1118,比如因特网。这样,计算机平台1101可以访问位于网络1118上任何位置的网络资源,比如远程网络存储/服务器1119。另一方面,计算机平台1101也可以被位于局域网1115和/或因特网1118上任何位置的客户端访问。网络客户端1120和1121可以基于与计算机平台1101相似的平台实现其自身。
本地网络1115和因特网1118都使用载有数字数据流的电子、电磁或者光信号传递数据信息。通过各种网络和在网络链路1114上以及通过网络接口1113的信号,加载着进出计算机平台1101的数字数据,这是载波传输信息的示范性形式。
计算机平台1101可以通过包括因特网1118、局域网1115、网络链路1114和通信接口1113的各种网络发送信息和接收数据,包括程序代码。在因特网示例中,当系统1101作为网络服务器时,可以通过因特网1118、网关1117、本地网络1115和通信接口1113为运行在客户端1120和/或1121的应用程序传输请求的代码或者数据。同样,它也可以从其他网络资源接收代码。
接收的代码可以被处理器1105接收即执行,和/或分别存储在永久性或易失性存储装置1108和1106中,或者其他非易失性存储器中稍后执行。这种情况下,计算机系统1101可以以载波的形式获得应用程序代码。
应该注意,本发明并不限于任何具体防火墙系统。本发明的基于策略的内容处理系统可以运行于三种防火墙操作模式NAT、路由与透明模式中的任意一种。
最后,应该理解,本文所述的处理方法和技术并不固定涉及任何特殊设备,并且可以通过任何组件的适当组合实现。此外,可以根据本文所述的指导使用各种类型的通用设备。也证明了构建专门的设备执行本文所述的方法步骤是很有利的。本发明结合具体的示例进行描述,这些示例用于解释本发明而不是限制本发明。本领域的技术人员可以使用多种不同的硬件、软件和固件的组合实现本发明。例如,所述软件可以用各种编程或者脚本语言实现,比如Assembler、C/C++、perl、shell、PHP以及Java等。
而且,从对说明的理解和本发明的实践来看,本发明的其他实现方式对本领域的技术人员是显而易见的。所述实施例的各个方面和/或组件可以以单独或者组合的形式用于计算机网络内容处理系统。本文中的说明和示例只是在所附权利要求所指的本发明的精神及其实质内示例性的。
Claims (46)
1、一种用于处理网络内容的计算机可执行方法,所述方法包括:
a.接收传入连接,所述传入连接具有源网络地址、目标网络地址和网络服务协议的特征;
b.判断所述传入连接的所述网络服务协议;
c.根据所述源网络地址、所述目标网络地址和所述网络服务协议确定匹配策略;
d.获取与所述匹配策略相关的一个或者多个配置方案;
e.根据所述获取的一个或者多个配置方案处理与所述传入连接相关的网络内容。
2、根据权利要求1所述的方法,其特征在于,所述网络服务协议包括由HTTP、FTP、SMTP、POP3、IMAP和SMB/CIFS协议组成的组中的至少一个。
3、根据权利要求1所述的方法,其特征在于,在所述确定过程中,所述匹配策略是从多个预定策略中选择的。
4、根据权利要求3所述的方法,其特征在于,如果所述多个预定策略不包含所述匹配策略,则默认策略被确定为所述匹配策略。
5、根据权利要求1所述的方法,其特征在于,在所述获取的过程中,所述一个或者多个配置方案是从多个预定配置方案中选择的。
6、根据权利要求1所述的方法,其特征在于,进一步包括认证与所述传入连接相关的用户,以及如果所述认证失败就拒绝所述该传入连接。
7、根据权利要求6所述的方法,其特征在于,所述被认证的用户是和一个或者多个用户组相关的。
8、根据权利要求7所述的方法,其特征在于,所述获取的配置方案将分配给所述一个或者多个用户组。
9、根据权利要求6所述的方法,其特征在于,所述获取的配置方案是由所述被认证的用户的身份确定的。
10、一种包含用于配置计算机化的防火墙系统以处理与传入连接相关的网络内容的配置方案的计算机可读介质,所述配置方案包括:
关于一个或者多个通信协议的信息;和
用于每个通信协议的一个或者多个设置;其特征在于,所述计算机化的防火墙系统一经接收到所述传入连接,就根据与所述传入连接相关的源网络地址、目标网络地址和网络服务协议,应用所述配置方案的所述一个或者多个设置配置所述计算机化的防火墙系统。
11、根据权利要求10所述的计算机可读介质,其特征在于,所述一个或者多个通信协议包括由HTTP、FTP、SMTP、POP3、IMAP和SMB/CIFS协议组成的组中的至少一个。
12、根据权利要求10所述的计算机可读介质,其特征在于,所述一个或者多个设置包括由拨动开关、列表、文本条目、选项框和多选框组成的组中的至少一个。
13、根据权利要求10所述的计算机可读介质,其特征在于,使用图形用户界面配置所述一个或者多个设置。
14、根据权利要求10所述的计算机可读介质,其特征在于,使用命令行界面配置所述一个或者多个设置。
15、根据权利要求10所述的计算机可读介质,其特征在于,所述一个或者多个设置可以组合成一个或者多个组。
16、根据权利要求10所述的计算机可读介质,包含额外的配置方案。
17、根据权利要求10所述的计算机可读介质,其特征在于,所述配置方案是可以修改的。
18、一种包含用在与计算机化的防火墙系统连接的防火墙策略的计算机可读介质,所述防火墙策略包括:
至少一个源网络地址;
至少一个目标网络地址;
至少一个服务网络协议;
至少一个关联所述防火墙策略与相应配置方案的配置方案标识符;和
当调用所述策略时识别将要采取的动作的信息;其特征在于,所述计算机化的防火墙系统一经接收到所述传入连接,就根据所述至少一个源网络地址、所述至少一个目标网络地址和所述至少一个网络服务协议调用所述防火墙策略。
19、根据权利要求18所述的计算机可读介质,其特征在于,所述防火墙策略进一步包括用于认证的至少一个用户组的信息。
20、根据权利要求18所述的计算机可读介质,包括额外的防火墙策略。
21、根据权利要求20所述的计算机可读介质,其特征在于,所述至少一个配置方案标识符将分配给一个或者多个策略。
22、根据权利要求20所述的计算机可读介质,其特征在于,每个防火墙策略具有一个不同的配置方案标识符。
23、根据权利要求18所述的计算机可读介质,其特征在于,所述防火墙策略是可以修改的。
24、根据权利要求18所述的计算机可读介质,其特征在于,所述至少一个配置方案标识符包含数字信息。
25、根据权利要求18所述的计算机可读介质,其特征在于,所述至少一个配置方案标识符包含字符信息。
26、根据权利要求18所述的计算机可读介质,其特征在于,所述至少一个配置方案标识符包含一个或者多个二进制字节。
27、一种包含用在与计算机化的防火墙系统连接的配置数据库的计算机可读介质,所述配置数据库包括:
至少一个配置方案;和
至少一个防火墙策略;其特征在于,所述至少一个防火墙策略链接到所述至少一个配置方案;和所述计算机化的防火墙系统一经接收到传入连接,所述计算机化的防火墙系统就调用所述至少一个防火墙策略并应用所述至少一个配置方案。
28、根据权利要求27所述的计算机可读介质,其特征在于,所述配置数据库进一步包括用于所述至少一个配置策略的策略设置。
29、根据权利要求28所述的计算机可读介质,其特征在于,使用包含图形用户界面和命令行界面的组中的至少一个能够对所述策略设置进行配置。
30、根据权利要求28所述的计算机可读介质,其特征在于,所述策略设置包括至少一个源网络地址、至少一个目标网络地址和至少一个网络服务协议。
31、根据权利要求28所述的计算机可读介质,其特征在于,所述计算机化的防火墙系统内部执行的软件可以访问所述策略设置。
32、根据权利要求27所述的计算机可读介质,其特征在于,所述配置数据库进一步包括用于所述至少一个防火墙策略的配置方案设置。
33、根据权利要求32所述的计算机可读介质,其特征在于,使用包含图形用户界面和命令行界面的组中的至少一个能够对所述配置方案设置进行配置。
34、根据权利要求32所述的计算机可读介质,其特征在于,所述计算机化的防火墙系统内部执行的软件可以访问所述配置方案。
35、一种用于处理网络内容的防火墙系统,所述防火墙系统包括:
用于接收网络连接的网络接口;
网络子系统;
支持一个或者多个网络协议的代理子系统;和
存储至少一个防火墙策略和至少一个防火墙配置方案的配置数据库;其特征在于,所述网络子系统根据所述至少一个防火墙策略重新定向所述网络连接到所述代理,以及所述代理子系统根据所述至少一个防火墙配置方案处理与所述网络连接相关的所述网络内容。
36、根据权利要求35所述的防火墙系统,其特征在于,所述代理子系统从所述配置数据库获取所述至少一个防火墙配置方案。
37、根据权利要求36所述的防火墙系统,其特征在于,所述代理子系统根据与网络会话相关的配置方案标识符获取所述至少一个防火墙配置方案。
38、根据权利要求37所述的防火墙系统,其特征在于,所述配置方案标识符通过所述网络子系统分配给所述网络会话。
39、根据权利要求35所述的防火墙系统,其特征在于,所述代理子系统对网络内容的所述处理包括对所述网络内容应用过滤服务。
40、根据权利要求35所述的防火墙系统,包括额外的代理子系统,其特征在于,多个代理子系统支持所述一个或者多个网络协议。
41、根据权利要求35所述的防火墙系统,其特征在于,所述代理子系统的多个实例用于每一个所述一个或者多个网络协议。
42、根据权利要求35所述的防火墙系统,其特征在于,所述代理子系统支持所述一个或者多个网络协议的所述全部通信语言。
43、根据权利要求35所述的防火墙系统,其特征在于,所述代理子系统支持所述一个或者多个网络协议的至少部分所述通信语言。
44、根据权利要求35所述的防火墙系统,其特征在于,所述代理子系统包括存储所述至少一个防火墙配置方案的所述配置设置的高速缓冲存储器。
45、根据权利要求35所述的防火墙系统,其特征在于,所述配置数据库包括外部数据库系统。
46、根据权利要求35所述的防火墙系统,其特征在于,所述代理子系统利用外部程序获取并对与网络会话相关的所述网络内容应用过滤服务。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US11/283,891 | 2005-11-22 | ||
US11/283,891 US7966654B2 (en) | 2005-11-22 | 2005-11-22 | Computerized system and method for policy-based content filtering |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1972297A true CN1972297A (zh) | 2007-05-30 |
CN1972297B CN1972297B (zh) | 2011-02-09 |
Family
ID=38054930
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2006101457109A Active CN1972297B (zh) | 2005-11-22 | 2006-11-14 | 用于基于策略的内容过滤的计算机系统与方法 |
Country Status (2)
Country | Link |
---|---|
US (8) | US7966654B2 (zh) |
CN (1) | CN1972297B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102571751A (zh) * | 2010-12-24 | 2012-07-11 | 佳能It解决方案股份有限公司 | 中继处理装置及其控制方法 |
CN102591791A (zh) * | 2011-12-31 | 2012-07-18 | 深圳市中兴昆腾有限公司 | 一种定义策略减少数据存储量的系统及方法 |
WO2017114200A1 (zh) * | 2015-12-31 | 2017-07-06 | 阿里巴巴集团控股有限公司 | 报文清洗方法及装置 |
CN112636953A (zh) * | 2020-12-07 | 2021-04-09 | 杭州迪普科技股份有限公司 | 一种策略命令下发方法、装置及电子设备 |
Families Citing this family (139)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4386732B2 (ja) | 2002-01-08 | 2009-12-16 | セブン ネットワークス, インコーポレイテッド | モバイルネットワークの接続アーキテクチャ |
CN102355466B (zh) | 2004-04-30 | 2016-01-20 | 黑莓有限公司 | 处理数据传输的系统和方法 |
US8438633B1 (en) | 2005-04-21 | 2013-05-07 | Seven Networks, Inc. | Flexible real-time inbox access |
WO2006136660A1 (en) | 2005-06-21 | 2006-12-28 | Seven Networks International Oy | Maintaining an ip connection in a mobile network |
US7966654B2 (en) * | 2005-11-22 | 2011-06-21 | Fortinet, Inc. | Computerized system and method for policy-based content filtering |
US8468589B2 (en) | 2006-01-13 | 2013-06-18 | Fortinet, Inc. | Computerized system and method for advanced network content processing |
US20080276302A1 (en) | 2005-12-13 | 2008-11-06 | Yoggie Security Systems Ltd. | System and Method for Providing Data and Device Security Between External and Host Devices |
US8869270B2 (en) | 2008-03-26 | 2014-10-21 | Cupp Computing As | System and method for implementing content and network security inside a chip |
US8381297B2 (en) | 2005-12-13 | 2013-02-19 | Yoggie Security Systems Ltd. | System and method for providing network security to mobile devices |
US8561127B1 (en) * | 2006-03-01 | 2013-10-15 | Adobe Systems Incorporated | Classification of security sensitive information and application of customizable security policies |
GB2432933B (en) * | 2006-03-14 | 2008-07-09 | Streamshield Networks Ltd | A method and apparatus for providing network security |
US8122492B2 (en) * | 2006-04-21 | 2012-02-21 | Microsoft Corporation | Integration of social network information and network firewalls |
US8079073B2 (en) * | 2006-05-05 | 2011-12-13 | Microsoft Corporation | Distributed firewall implementation and control |
US8176157B2 (en) * | 2006-05-18 | 2012-05-08 | Microsoft Corporation | Exceptions grouping |
GB2444514A (en) * | 2006-12-04 | 2008-06-11 | Glasswall | Electronic file re-generation |
US8166534B2 (en) | 2007-05-18 | 2012-04-24 | Microsoft Corporation | Incorporating network connection security levels into firewall rules |
US8365272B2 (en) * | 2007-05-30 | 2013-01-29 | Yoggie Security Systems Ltd. | System and method for providing network and computer firewall protection with dynamic address isolation to a device |
US8805425B2 (en) | 2007-06-01 | 2014-08-12 | Seven Networks, Inc. | Integrated messaging |
US8984620B2 (en) * | 2007-07-06 | 2015-03-17 | Cyberoam Technologies Pvt. Ltd. | Identity and policy-based network security and management system and method |
WO2009008003A2 (en) * | 2007-07-10 | 2009-01-15 | Bhavin Turakhia | Method and system for restricting access of one or more users to a service |
US8132248B2 (en) | 2007-07-18 | 2012-03-06 | Trend Micro Incorporated | Managing configurations of a firewall |
JP2009044230A (ja) * | 2007-08-06 | 2009-02-26 | Toshiba Corp | 通信装置およびネットワーク接続管理プログラム |
US9002828B2 (en) | 2007-12-13 | 2015-04-07 | Seven Networks, Inc. | Predictive content delivery |
US8862657B2 (en) | 2008-01-25 | 2014-10-14 | Seven Networks, Inc. | Policy based content service |
US20090193338A1 (en) | 2008-01-28 | 2009-07-30 | Trevor Fiatal | Reducing network and battery consumption during content delivery and playback |
US20090270141A1 (en) * | 2008-04-29 | 2009-10-29 | Sony Ericsson Mobile Communications Ab | Apparatus having input means with rugged surface |
US9769053B2 (en) * | 2008-07-30 | 2017-09-19 | Tekelec Global, Inc. | Methods, systems, and computer readable media for implementing a policy for a router |
US8631488B2 (en) | 2008-08-04 | 2014-01-14 | Cupp Computing As | Systems and methods for providing security services during power management mode |
US8909759B2 (en) | 2008-10-10 | 2014-12-09 | Seven Networks, Inc. | Bandwidth measurement |
WO2010059747A2 (en) | 2008-11-18 | 2010-05-27 | Workshare Technology, Inc. | Methods and systems for exact data match filtering |
WO2010059864A1 (en) | 2008-11-19 | 2010-05-27 | Yoggie Security Systems Ltd. | Systems and methods for providing real time access monitoring of a removable media device |
US9494931B2 (en) * | 2009-09-23 | 2016-11-15 | Fisher-Rosemount Systems, Inc. | Dynamic hyperlinks for process control systems |
US9350705B2 (en) | 2010-06-25 | 2016-05-24 | Salesforce.Com, Inc. | Methods and systems for providing a token-based application firewall correlation |
US9160710B2 (en) | 2010-06-25 | 2015-10-13 | Salesforce.Com, Inc. | Methods and systems for context-based application firewalls |
EP2599003B1 (en) | 2010-07-26 | 2018-07-11 | Seven Networks, LLC | Mobile network traffic coordination across multiple applications |
US8838783B2 (en) | 2010-07-26 | 2014-09-16 | Seven Networks, Inc. | Distributed caching for resource and mobile network traffic management |
WO2012060995A2 (en) | 2010-11-01 | 2012-05-10 | Michael Luna | Distributed caching in a wireless network of content delivered for a mobile application over a long-held request |
US8843153B2 (en) | 2010-11-01 | 2014-09-23 | Seven Networks, Inc. | Mobile traffic categorization and policy for network use optimization while preserving user experience |
US8484314B2 (en) | 2010-11-01 | 2013-07-09 | Seven Networks, Inc. | Distributed caching in a wireless network of content delivered for a mobile application over a long-held request |
US8903954B2 (en) | 2010-11-22 | 2014-12-02 | Seven Networks, Inc. | Optimization of resource polling intervals to satisfy mobile device requests |
US11030163B2 (en) | 2011-11-29 | 2021-06-08 | Workshare, Ltd. | System for tracking and displaying changes in a set of related electronic documents |
US20120136862A1 (en) | 2010-11-29 | 2012-05-31 | Workshare Technology, Inc. | System and method for presenting comparisons of electronic documents |
US10783326B2 (en) | 2013-03-14 | 2020-09-22 | Workshare, Ltd. | System for tracking changes in a collaborative document editing environment |
EP2661697B1 (en) | 2011-01-07 | 2018-11-21 | Seven Networks, LLC | System and method for reduction of mobile network traffic used for domain name system (dns) queries |
US9578030B2 (en) | 2011-02-07 | 2017-02-21 | Tufin Software Technologies Ltd. | Method and system for analyzing security ruleset by generating a logically equivalent security rule-set |
US8806569B2 (en) * | 2011-02-07 | 2014-08-12 | Tufin Software Technologies Ltd. | Method and system for analyzing security ruleset by generating a logically equivalent security rule-set |
EP2700020A4 (en) | 2011-04-19 | 2015-01-07 | Seven Networks Inc | SHARING DEVICE RESOURCES FOR NETWORK RESOURCE CONSERVATION |
GB2496537B (en) | 2011-04-27 | 2014-10-15 | Seven Networks Inc | System and method for making requests on behalf of a mobile device based on atmoic processes for mobile network traffic relief |
US8621075B2 (en) | 2011-04-27 | 2013-12-31 | Seven Metworks, Inc. | Detecting and preserving state for satisfying application requests in a distributed proxy and cache system |
US10574729B2 (en) * | 2011-06-08 | 2020-02-25 | Workshare Ltd. | System and method for cross platform document sharing |
US9170990B2 (en) | 2013-03-14 | 2015-10-27 | Workshare Limited | Method and system for document retrieval with selective document comparison |
US9948676B2 (en) | 2013-07-25 | 2018-04-17 | Workshare, Ltd. | System and method for securing documents prior to transmission |
US10880359B2 (en) | 2011-12-21 | 2020-12-29 | Workshare, Ltd. | System and method for cross platform document sharing |
US9613340B2 (en) | 2011-06-14 | 2017-04-04 | Workshare Ltd. | Method and system for shared document approval |
US10963584B2 (en) | 2011-06-08 | 2021-03-30 | Workshare Ltd. | Method and system for collaborative editing of a remotely stored document |
US8881258B2 (en) * | 2011-08-24 | 2014-11-04 | Mcafee, Inc. | System, method, and computer program for preventing infections from spreading in a network environment using dynamic application of a firewall policy |
US9161226B2 (en) | 2011-10-17 | 2015-10-13 | Blackberry Limited | Associating services to perimeters |
US9613219B2 (en) * | 2011-11-10 | 2017-04-04 | Blackberry Limited | Managing cross perimeter access |
WO2013086214A1 (en) | 2011-12-06 | 2013-06-13 | Seven Networks, Inc. | A system of redundantly clustered machines to provide failover mechanisms for mobile traffic management and network resource conservation |
US8918503B2 (en) | 2011-12-06 | 2014-12-23 | Seven Networks, Inc. | Optimization of mobile traffic directed to private networks and operator configurability thereof |
US9277443B2 (en) | 2011-12-07 | 2016-03-01 | Seven Networks, Llc | Radio-awareness of mobile device for sending server-side control signals using a wireless network optimized transport protocol |
US9208123B2 (en) * | 2011-12-07 | 2015-12-08 | Seven Networks, Llc | Mobile device having content caching mechanisms integrated with a network operator for traffic alleviation in a wireless network and methods therefor |
WO2013090212A1 (en) | 2011-12-14 | 2013-06-20 | Seven Networks, Inc. | Mobile network reporting and usage analytics system and method using aggregation of data in a distributed traffic optimization system |
US8909202B2 (en) | 2012-01-05 | 2014-12-09 | Seven Networks, Inc. | Detection and management of user interactions with foreground applications on a mobile device in distributed caching |
US8812695B2 (en) | 2012-04-09 | 2014-08-19 | Seven Networks, Inc. | Method and system for management of a virtual network connection without heartbeat messages |
US10263899B2 (en) | 2012-04-10 | 2019-04-16 | Seven Networks, Llc | Enhanced customer service for mobile carriers using real-time and historical mobile application and traffic or optimization data associated with mobile devices in a mobile network |
US9348927B2 (en) | 2012-05-07 | 2016-05-24 | Smart Security Systems Llc | Systems and methods for detecting, identifying and categorizing intermediate nodes |
US10778659B2 (en) | 2012-05-24 | 2020-09-15 | Smart Security Systems Llc | System and method for protecting communications |
US9325676B2 (en) | 2012-05-24 | 2016-04-26 | Ip Ghoster, Inc. | Systems and methods for protecting communications between nodes |
US9369466B2 (en) | 2012-06-21 | 2016-06-14 | Blackberry Limited | Managing use of network resources |
WO2014011216A1 (en) | 2012-07-13 | 2014-01-16 | Seven Networks, Inc. | Dynamic bandwidth adjustment for browsing or streaming activity in a wireless network based on prediction of user behavior when interacting with mobile applications |
IL221175A (en) * | 2012-07-29 | 2017-08-31 | Verint Systems Ltd | A system and method for automating the creation of a multi-stage, statutory communication filter |
US9100366B2 (en) | 2012-09-13 | 2015-08-04 | Cisco Technology, Inc. | Early policy evaluation of multiphase attributes in high-performance firewalls |
US9602539B1 (en) * | 2012-09-28 | 2017-03-21 | Palo Alto Networks, Inc. | Externally defined objects in security policy |
US9973501B2 (en) | 2012-10-09 | 2018-05-15 | Cupp Computing As | Transaction security systems and methods |
US9161258B2 (en) | 2012-10-24 | 2015-10-13 | Seven Networks, Llc | Optimized and selective management of policy deployment to mobile clients in a congested network to prevent further aggravation of network congestion |
KR101563059B1 (ko) * | 2012-11-19 | 2015-10-23 | 삼성에스디에스 주식회사 | 안티 멀웨어 시스템 및 안티 멀웨어 시스템에서의 데이터 처리 방법 |
US20140177497A1 (en) | 2012-12-20 | 2014-06-26 | Seven Networks, Inc. | Management of mobile device radio state promotion and demotion |
US9241314B2 (en) | 2013-01-23 | 2016-01-19 | Seven Networks, Llc | Mobile device with application or context aware fast dormancy |
US8874761B2 (en) | 2013-01-25 | 2014-10-28 | Seven Networks, Inc. | Signaling optimization in a wireless network for traffic utilizing proprietary and non-proprietary protocols |
US8750123B1 (en) | 2013-03-11 | 2014-06-10 | Seven Networks, Inc. | Mobile device equipped with mobile network congestion recognition to make intelligent decisions regarding connecting to an operator network |
US11567907B2 (en) | 2013-03-14 | 2023-01-31 | Workshare, Ltd. | Method and system for comparing document versions encoded in a hierarchical representation |
US11157976B2 (en) | 2013-07-08 | 2021-10-26 | Cupp Computing As | Systems and methods for providing digital content marketplace security |
US9065765B2 (en) | 2013-07-22 | 2015-06-23 | Seven Networks, Inc. | Proxy server associated with a mobile carrier for enhancing mobile traffic management in a mobile network |
US10911492B2 (en) | 2013-07-25 | 2021-02-02 | Workshare Ltd. | System and method for securing documents prior to transmission |
KR102005408B1 (ko) | 2013-08-08 | 2019-07-30 | 삼성전자주식회사 | 무선 통신 시스템에서 기기 등록 및 인증을 수행하는 방법 및 장치 |
CN104580078B (zh) * | 2013-10-15 | 2018-04-17 | 北京神州泰岳软件股份有限公司 | 一种网络访问控制方法和系统 |
CN103580919B (zh) * | 2013-11-04 | 2017-11-17 | 复旦大学 | 一种利用邮件服务器日志进行邮件用户标记的方法与系统 |
US10382595B2 (en) | 2014-01-29 | 2019-08-13 | Smart Security Systems Llc | Systems and methods for protecting communications |
WO2015123611A2 (en) | 2014-02-13 | 2015-08-20 | Cupp Computing As | Systems and methods for providing network security using a secure digital device |
US9215213B2 (en) | 2014-02-20 | 2015-12-15 | Nicira, Inc. | Method and apparatus for distributing firewall rules |
CN105141571A (zh) * | 2014-06-09 | 2015-12-09 | 中兴通讯股份有限公司 | 分布式虚拟防火墙装置及方法 |
EP3002718A1 (en) * | 2014-10-02 | 2016-04-06 | Deborah Pinard | Methods and systems for walkie-talkie communications |
US10133723B2 (en) | 2014-12-29 | 2018-11-20 | Workshare Ltd. | System and method for determining document version geneology |
US11182551B2 (en) | 2014-12-29 | 2021-11-23 | Workshare Ltd. | System and method for determining document version geneology |
US9264370B1 (en) | 2015-02-10 | 2016-02-16 | Centripetal Networks, Inc. | Correlating packets in communications networks |
CN106161378A (zh) * | 2015-04-13 | 2016-11-23 | 中国移动通信集团公司 | 安全服务装置、方法以及业务处理装置、方法和系统 |
US9866576B2 (en) | 2015-04-17 | 2018-01-09 | Centripetal Networks, Inc. | Rule-based network-threat detection |
US9806948B2 (en) | 2015-06-30 | 2017-10-31 | Nicira, Inc. | Providing firewall rules for workload spread across multiple data centers |
US11763013B2 (en) | 2015-08-07 | 2023-09-19 | Workshare, Ltd. | Transaction document management system and method |
US9723027B2 (en) * | 2015-11-10 | 2017-08-01 | Sonicwall Inc. | Firewall informed by web server security policy identifying authorized resources and hosts |
US9860259B2 (en) | 2015-12-10 | 2018-01-02 | Sonicwall Us Holdings Inc. | Reassembly free deep packet inspection for peer to peer networks |
US11102238B2 (en) | 2016-04-22 | 2021-08-24 | Sophos Limited | Detecting triggering events for distributed denial of service attacks |
US11277416B2 (en) | 2016-04-22 | 2022-03-15 | Sophos Limited | Labeling network flows according to source applications |
US10938781B2 (en) | 2016-04-22 | 2021-03-02 | Sophos Limited | Secure labeling of network flows |
US10986109B2 (en) | 2016-04-22 | 2021-04-20 | Sophos Limited | Local proxy detection |
US11165797B2 (en) | 2016-04-22 | 2021-11-02 | Sophos Limited | Detecting endpoint compromise based on network usage history |
US10348685B2 (en) | 2016-04-29 | 2019-07-09 | Nicira, Inc. | Priority allocation for distributed service rules |
US10944722B2 (en) | 2016-05-01 | 2021-03-09 | Nicira, Inc. | Using activities to manage multi-tenant firewall configuration |
US11171920B2 (en) | 2016-05-01 | 2021-11-09 | Nicira, Inc. | Publication of firewall configuration |
US20170359306A1 (en) | 2016-06-10 | 2017-12-14 | Sophos Limited | Network security |
US11258761B2 (en) * | 2016-06-29 | 2022-02-22 | Nicira, Inc. | Self-service firewall configuration |
US11082400B2 (en) | 2016-06-29 | 2021-08-03 | Nicira, Inc. | Firewall configuration versioning |
US10608881B2 (en) * | 2016-09-22 | 2020-03-31 | Nicira, Inc. | Application-based network segmentation in a virtualized computing environment |
DE102016222740A1 (de) * | 2016-11-18 | 2018-05-24 | Continental Automotive Gmbh | Verfahren für ein Kommunikationsnetzwerk und elektronische Kontrolleinheit |
CN108243168B (zh) * | 2016-12-27 | 2021-07-09 | 比亚迪股份有限公司 | 报文解析、组包方法和装置及报文处理系统 |
CN107425997B (zh) * | 2017-03-27 | 2019-08-06 | 烽火通信科技股份有限公司 | 类人网的网络架构及实现方法 |
CN106936719A (zh) * | 2017-05-17 | 2017-07-07 | 济南浪潮高新科技投资发展有限公司 | 一种ip报文策略匹配方法 |
US11093624B2 (en) | 2017-09-12 | 2021-08-17 | Sophos Limited | Providing process data to a data recorder |
US10659482B2 (en) | 2017-10-25 | 2020-05-19 | Bank Of America Corporation | Robotic process automation resource insulation system |
US10616280B2 (en) | 2017-10-25 | 2020-04-07 | Bank Of America Corporation | Network security system with cognitive engine for dynamic automation |
US10437984B2 (en) | 2017-10-26 | 2019-10-08 | Bank Of America Corporation | Authentication protocol elevation triggering system |
US10503627B2 (en) | 2017-10-30 | 2019-12-10 | Bank Of America Corporation | Robotic process automation enabled file dissection for error diagnosis and correction |
US10686684B2 (en) | 2017-11-02 | 2020-06-16 | Bank Of America Corporation | Individual application flow isotope tagging within a network infrastructure |
US10575231B2 (en) | 2017-11-03 | 2020-02-25 | Bank Of America Corporation | System for connection channel adaption using robotic automation |
US10606687B2 (en) | 2017-12-04 | 2020-03-31 | Bank Of America Corporation | Process automation action repository and assembler |
US11368474B2 (en) | 2018-01-23 | 2022-06-21 | Rapid7, Inc. | Detecting anomalous internet behavior |
US11194930B2 (en) | 2018-04-27 | 2021-12-07 | Datatrendz, Llc | Unobtrusive systems and methods for collecting, processing and securing information transmitted over a network |
US10862895B2 (en) * | 2018-09-28 | 2020-12-08 | Fortinet, Inc. | Logical network abstraction for network access control |
US11012518B2 (en) | 2018-12-20 | 2021-05-18 | Beijing Didi Infinity Technology And Development Co., Ltd. | Systems and methods for managing networked communication sessions |
WO2020131063A1 (en) * | 2018-12-20 | 2020-06-25 | Didi Research America, Llc | Systems and methods for managing networked communication sessions |
CN109525613B (zh) * | 2019-01-16 | 2021-11-09 | 湖南快乐阳光互动娱乐传媒有限公司 | 一种请求处理系统及方法 |
US11310202B2 (en) | 2019-03-13 | 2022-04-19 | Vmware, Inc. | Sharing of firewall rules among multiple workloads in a hypervisor |
US11405424B1 (en) | 2019-05-14 | 2022-08-02 | Juniper Networks, Inc. | Displaying a firewall policy interface |
US11516242B2 (en) * | 2019-08-27 | 2022-11-29 | Illumio, Inc. | Virtual patching in a label-based segmented network environment |
CN111277586A (zh) * | 2020-01-17 | 2020-06-12 | 武汉思普崚技术有限公司 | 一种防火墙安全策略的调整方法及装置 |
US20220046057A1 (en) * | 2020-06-04 | 2022-02-10 | Palo Alto Networks, Inc. | Deep learning for malicious url classification (urlc) with the innocent until proven guilty (iupg) learning framework |
CN112437058B (zh) * | 2020-11-11 | 2022-02-08 | 中国电子科技集团公司第三十研究所 | 基于会话流量日志的防火墙安全策略自动生成方法 |
CN113079185B (zh) * | 2021-06-07 | 2021-09-24 | 北京网藤科技有限公司 | 实现深度数据包检测控制的工业防火墙控制方法及设备 |
Family Cites Families (39)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4688250A (en) | 1986-01-29 | 1987-08-18 | Rca Corporation | Apparatus and method for effecting a key change via a cryptographically protected link |
US5864683A (en) | 1994-10-12 | 1999-01-26 | Secure Computing Corporartion | System for providing secure internetwork by connecting type enforcing secure computers to external network for limiting access to data based on user and process access rights |
US5708780A (en) | 1995-06-07 | 1998-01-13 | Open Market, Inc. | Internet server access control and monitoring systems |
US5757924A (en) | 1995-09-18 | 1998-05-26 | Digital Secured Networks Techolognies, Inc. | Network security device which performs MAC address translation without affecting the IP address |
US5826029A (en) | 1995-10-31 | 1998-10-20 | International Business Machines Corporation | Secured gateway interface |
US5790548A (en) | 1996-04-18 | 1998-08-04 | Bell Atlantic Network Services, Inc. | Universal access multimedia data network |
US5983350A (en) | 1996-09-18 | 1999-11-09 | Secure Computing Corporation | Secure firewall supporting different levels of authentication based on address or encryption status |
US6098172A (en) | 1997-09-12 | 2000-08-01 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with proxy reflection |
US6058420A (en) | 1998-02-27 | 2000-05-02 | Netsolve, Inc. | Alarm server systems, apparatus, and processes |
US6393565B1 (en) | 1998-08-03 | 2002-05-21 | Entrust Technologies Limited | Data management system and method for a limited capacity cryptographic storage unit |
US6728885B1 (en) | 1998-10-09 | 2004-04-27 | Networks Associates Technology, Inc. | System and method for network access control using adaptive proxies |
US6167445A (en) | 1998-10-26 | 2000-12-26 | Cisco Technology, Inc. | Method and apparatus for defining and implementing high-level quality of service policies in computer networks |
US6466976B1 (en) | 1998-12-03 | 2002-10-15 | Nortel Networks Limited | System and method for providing desired service policies to subscribers accessing the internet |
US6516053B1 (en) | 1999-06-21 | 2003-02-04 | National Instruments Corporation | System and method for testing telecommunication service installations |
US7076650B1 (en) | 1999-12-24 | 2006-07-11 | Mcafee, Inc. | System and method for selective communication scanning at a firewall and a network node |
US7171492B1 (en) | 2000-02-24 | 2007-01-30 | Utstarcom, Inc. | Method and application programming interface for assigning multiple network addresses |
US20040015725A1 (en) * | 2000-08-07 | 2004-01-22 | Dan Boneh | Client-side inspection and processing of secure content |
US20020078382A1 (en) * | 2000-11-29 | 2002-06-20 | Ali Sheikh | Scalable system for monitoring network system and components and methodology therefore |
US7778981B2 (en) | 2000-12-01 | 2010-08-17 | Netapp, Inc. | Policy engine to control the servicing of requests received by a storage server |
US7958237B2 (en) * | 2001-01-23 | 2011-06-07 | Pearl Software, Inc. | Method for managing computer network access |
US7284267B1 (en) * | 2001-03-08 | 2007-10-16 | Mcafee, Inc. | Automatically configuring a computer firewall based on network connection |
US7093280B2 (en) * | 2001-03-30 | 2006-08-15 | Juniper Networks, Inc. | Internet security system |
US7441017B2 (en) | 2001-06-29 | 2008-10-21 | Thomas Lee Watson | System and method for router virtual networking |
US20030115075A1 (en) * | 2001-12-19 | 2003-06-19 | Aladdin Knowledge Systems Ltd. | Communication ameliorator employing the Bluetooth protocol |
CN1301607C (zh) * | 2002-02-01 | 2007-02-21 | 联想网御科技(北京)有限公司 | 实现支持虚拟局域网防火墙的方法 |
CN100339845C (zh) * | 2002-08-15 | 2007-09-26 | 联想网御科技(北京)有限公司 | 基于状态检测的链路层统一资源定位符过滤的方法 |
CN1190924C (zh) * | 2002-12-03 | 2005-02-23 | 北京朗通环球科技有限公司 | 一种对无线局域网内用户进行隔离的方法 |
US7246156B2 (en) | 2003-06-09 | 2007-07-17 | Industrial Defender, Inc. | Method and computer program product for monitoring an industrial network |
US7631086B2 (en) | 2003-09-30 | 2009-12-08 | Onlex Technologies, Inc. | Virtual dedicated connection system and method |
FR2861195B1 (fr) | 2003-10-21 | 2006-04-07 | Thomas Fraisse | Procede et dispositif de filtrage de contenus en ligne |
US7467409B2 (en) | 2003-12-12 | 2008-12-16 | Microsoft Corporation | Aggregating trust services for file transfer clients |
US20050193429A1 (en) | 2004-01-23 | 2005-09-01 | The Barrier Group | Integrated data traffic monitoring system |
US8136149B2 (en) * | 2004-06-07 | 2012-03-13 | Check Point Software Technologies, Inc. | Security system with methodology providing verified secured individual end points |
GB2418326B (en) | 2004-09-17 | 2007-04-11 | Hewlett Packard Development Co | Network vitrualization |
US7409709B2 (en) * | 2005-02-14 | 2008-08-05 | Etsec, Inc. | Systems and methods for automatically reconfiguring a network device |
US8474031B2 (en) * | 2005-06-28 | 2013-06-25 | Hewlett-Packard Development Company, L.P. | Access control method and apparatus |
US8166474B1 (en) | 2005-09-19 | 2012-04-24 | Vmware, Inc. | System and methods for implementing network traffic management for virtual and physical machines |
US7966654B2 (en) * | 2005-11-22 | 2011-06-21 | Fortinet, Inc. | Computerized system and method for policy-based content filtering |
US8234361B2 (en) | 2006-01-13 | 2012-07-31 | Fortinet, Inc. | Computerized system and method for handling network traffic |
-
2005
- 2005-11-22 US US11/283,891 patent/US7966654B2/en active Active
-
2006
- 2006-11-14 CN CN2006101457109A patent/CN1972297B/zh active Active
-
2011
- 2011-05-24 US US13/114,292 patent/US8205251B2/en active Active
-
2012
- 2012-06-18 US US13/526,510 patent/US8656479B2/en active Active
-
2013
- 2013-11-29 US US14/093,142 patent/US20140090014A1/en not_active Abandoned
- 2013-11-29 US US14/093,133 patent/US8813215B2/en active Active
-
2014
- 2014-08-05 US US14/452,292 patent/US9729508B2/en active Active
-
2015
- 2015-07-04 US US14/791,422 patent/US9762540B2/en active Active
-
2017
- 2017-08-07 US US15/670,254 patent/US10084750B2/en active Active
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102571751A (zh) * | 2010-12-24 | 2012-07-11 | 佳能It解决方案股份有限公司 | 中继处理装置及其控制方法 |
CN102571751B (zh) * | 2010-12-24 | 2014-12-31 | 佳能It解决方案株式会社 | 中继处理装置及其控制方法 |
CN102591791A (zh) * | 2011-12-31 | 2012-07-18 | 深圳市中兴昆腾有限公司 | 一种定义策略减少数据存储量的系统及方法 |
CN102591791B (zh) * | 2011-12-31 | 2016-08-03 | 深圳市中兴昆腾有限公司 | 一种定义策略减少数据存储量的系统及方法 |
WO2017114200A1 (zh) * | 2015-12-31 | 2017-07-06 | 阿里巴巴集团控股有限公司 | 报文清洗方法及装置 |
US10924457B2 (en) | 2015-12-31 | 2021-02-16 | Alibaba Group Holding Limited | Packet cleaning method and apparatus |
CN112636953A (zh) * | 2020-12-07 | 2021-04-09 | 杭州迪普科技股份有限公司 | 一种策略命令下发方法、装置及电子设备 |
Also Published As
Publication number | Publication date |
---|---|
US20140090013A1 (en) | 2014-03-27 |
CN1972297B (zh) | 2011-02-09 |
US20150312220A1 (en) | 2015-10-29 |
US7966654B2 (en) | 2011-06-21 |
US20140351918A1 (en) | 2014-11-27 |
US10084750B2 (en) | 2018-09-25 |
US20170339107A1 (en) | 2017-11-23 |
US8205251B2 (en) | 2012-06-19 |
US9762540B2 (en) | 2017-09-12 |
US20070118893A1 (en) | 2007-05-24 |
US20140090014A1 (en) | 2014-03-27 |
US8813215B2 (en) | 2014-08-19 |
US8656479B2 (en) | 2014-02-18 |
US20110225646A1 (en) | 2011-09-15 |
US9729508B2 (en) | 2017-08-08 |
US20120254978A1 (en) | 2012-10-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN1972297B (zh) | 用于基于策略的内容过滤的计算机系统与方法 | |
US11388200B2 (en) | Scalable network security detection and prevention platform | |
US6484261B1 (en) | Graphical network security policy management | |
US10412103B2 (en) | Techniques for sharing network security event information | |
US8701176B2 (en) | Integrated computer security management system and method | |
EP2283611B1 (en) | Distributed security provisioning | |
EP3494682B1 (en) | Security-on-demand architecture | |
EP1231754B1 (en) | Handling information about packet data connections in a security gateway element | |
CN101009704A (zh) | 一种处理高级网络内容的计算机系统与方法 | |
US5960177A (en) | System for performing remote operation between firewall-equipped networks or devices | |
EP1382154B1 (en) | System and method for computer security using multiple cages | |
US20120272331A1 (en) | Method and system for abuse route aggregation and distribution | |
JP4546998B2 (ja) | 通信制御システム | |
CN105187378A (zh) | 处理网络流量的计算机系统及方法 | |
US20050177562A1 (en) | Universal search engine | |
EP1639781B1 (en) | Security checking program for communication between networks | |
CN101106748A (zh) | 一种移动网络的内容过滤系统、装置及方法 | |
WO2001006373A1 (en) | System and method for generating fictitious content for a computer | |
US20060041935A1 (en) | Methodology for configuring network firewall | |
JPH09269930A (ja) | ネットワークシステムの防疫方法及びその装置 | |
US7225255B2 (en) | Method and system for controlling access to network resources using resource groups | |
CN108900543A (zh) | 管理防火墙规则的方法和装置 | |
GB2317793A (en) | System and method of electronic mail filtering | |
US20220103526A1 (en) | Policy integration for cloud-based explicit proxy | |
Topala | Cybersecurity system for enterprise telecommunications resources |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
ASS | Succession or assignment of patent right |
Owner name: FORTINET INC. Free format text: FORMER OWNER: FORTINET INFORMATION TECHNOLOGY (BEIJING) CO., LTD. Effective date: 20090925 |
|
C41 | Transfer of patent application or patent right or utility model | ||
TA01 | Transfer of patent application right |
Effective date of registration: 20090925 Address after: California, USA Applicant after: Fortinet, Inc. Address before: Room 7, digital media building, No. 507 information road, Beijing, Haidian District, China: 100085 Applicant before: Fortinet,Inc. |
|
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |