DE102005001150B4 - Verfahren zur Einrichtung von verteilten Filtern in einem Paket-orientierten Netz basierend auf abstrakten Sicherheits-Vorgaben - Google Patents

Verfahren zur Einrichtung von verteilten Filtern in einem Paket-orientierten Netz basierend auf abstrakten Sicherheits-Vorgaben Download PDF

Info

Publication number
DE102005001150B4
DE102005001150B4 DE102005001150A DE102005001150A DE102005001150B4 DE 102005001150 B4 DE102005001150 B4 DE 102005001150B4 DE 102005001150 A DE102005001150 A DE 102005001150A DE 102005001150 A DE102005001150 A DE 102005001150A DE 102005001150 B4 DE102005001150 B4 DE 102005001150B4
Authority
DE
Germany
Prior art keywords
network
security
network elements
configuration
filters
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE102005001150A
Other languages
English (en)
Other versions
DE102005001150A1 (de
Inventor
Joachim Dr. Charzinski
Birger Toedtmann
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nokia Solutions and Networks GmbH and Co KG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE102005001150A priority Critical patent/DE102005001150B4/de
Priority to CNA2006800019980A priority patent/CN101116307A/zh
Priority to US11/795,046 priority patent/US20090249468A1/en
Priority to PCT/EP2006/050053 priority patent/WO2006072618A1/de
Priority to EP06707669A priority patent/EP1839422A1/de
Publication of DE102005001150A1 publication Critical patent/DE102005001150A1/de
Application granted granted Critical
Publication of DE102005001150B4 publication Critical patent/DE102005001150B4/de
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • H04L63/0218Distributed architectures, e.g. distributed firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Verfahren zur Einrichtung von verteilten Filtern in einem Paket-orientierten Netz basierend auf Sicherheits-Vorgaben demzufolge
– nach Maßgabe vorgegebener, formal formulierter Sicherheits-Vorgaben dafür relevante Netzelemente des Netzes ausgewählt werden,
– die Sicherheits-Eigenschaften der Netzelemente bereitgestellt werden,
– für einen Paket-Fluss die Netzelemente lokalisiert werden, die eine Umsetzung der Sicherheits-Vorgaben erbringen,
– in den lokalisierten Netzelementen den Sicherheits-Vorgaben entsprechende Filter aktiviert werden und
– für einen Paket-Fluss auf Basis der Netz-Topologie alle möglichen Pfade zusammenstellt und für alle möglichen Kombinationen von Filtern entsprechend der Fähigkeiten der Netzelemente für diesen Pfad die Güte der Sicherheits-Vorgabe bestimmt werden.

Description

  • Der Anmeldungsgegenstand bezieht sich auf eine automatisierte Entwicklung und Einsatz effizienter verteilter Filter in paketorientierten heterogenen Netzen
  • Der Anmeldungsgegenstand betrifft ein Verfahren zur Einrichtung von verteilten Filtern in einem Paket-orientierten Netz basierend auf Sicherheits-Vorgaben mit den Merkmalen des Anspruchs 1.
  • In paketorientierten Netzen (z.B. Ethernet-Netze oder IP-Netze), die mit weiteren Netzen verbunden sind, müssen Schutzmechanismen eingesetzt werden, um
    • • die Endkunden der Netze vor Angriffen (z.B. Viren, Würmer, Eindringversuche in Rechner, Distributed Denial of Service (D)DoS) über das Netz zu schützen
    • • die Netzelemente vor Angriffen zu schützen
  • Dazu werden an ausgewählten Stellen des Netzes sog. Firewalls eingesetzt, aber auch Paketfilter in Routern, Dienste-Servern (z.B. Softswitch) oder Ethernet Switches (auch Digital Subscriber Line Access Modul DSLAM) konfiguriert. Die Konfigurationen all dieser Filter sollten aufeinander abgestimmt sein, damit
    • • kein Netzelement ungeschützt bleibt, d.h. das Schutzziel wirklich erreicht wird
    • • nicht die Fehlkonfiguration eines Netzelementes zur Umgehung der Filter anderer Netzelemente genutzt werden kann
    • • Filter in einem heterogenen Netz auf denjenigen Netzelementen konfiguriert werden, die die entsprechenden Funktionen unterstützen können
    • • in einem Netzelement nicht mehr Filter konfiguriert werden müssen als dieses unterstützen kann (entweder wegen harter Grenzen, z.B. von Tabellen- oder Listengrößen, oder aus Performance-Gründen)
    • • Funktionen nicht unnötigerweise redundant und mehrfach ausgeführt werden
  • Die Abstimmung der Konfigurationen, die Erstellung der jeweiligen Konfigurationsdateien und die Durchführung der Konfiguration werden heute von Hand durchgeführt. Es gibt Management-Systeme, die für eine Klasse von Netzelementen (z.B. für die Firewalls eines Herstellers in einem Netz) eine koordinierte Konfiguration anbieten.
  • Aus der EP 1 484 860 A1 ist ein System zur automatischen Ermittlung und Konfigurierung externer Sicherheits-Netztopologien bekannt, wobei insbesondere in Software realisiere Firewalls mittels eines broadcast Mechanismus' adressiert werden.
  • Aus der US 2004/0044780 A1 ist ein System zum Inhaltsbasierten Routen von Daten bekannt, bei dem in dazwischen liegenden Zugangsknoten Filter nach Maßgabe der Daten von Interesse konfigurierbar sind.
  • Aus der US 2003/0014665 A1 ist eine Bereitstellung von Filtern in Netzelementen im Sinne einer Einrichtung von verteilten Filtern zur Abwehr von DDoS-(Distributed Denial of Service) Angriffen bekannt.
    •
  • Dem Anmeldungsgegenstand liegt das Problem zugrunde, ein System zu schaffen, das eine koordinierte Konfiguration für mehrere Klassen von Netzelementen, für die Elemente verschiedener Hersteller und mit automatischer Optimierung der Verteilung der Funktionen unter Bestimmung der Güte der Sicherheits-Vorgabe bewerkstelligt.
  • Das Problem wird durch die Merkmale des Anspruchs 1 gelöst.
  • Der Netzbetreiber muss keine langwierigen und fehlerträchtigen Konfigurationen von Sicherheitsfunktionen von Hand erstellen. Er muss nicht von Hand versuchen, die Funktionen passend auf die Netzelemente zu verteilen. Über die Bestimmung der Güte erhält er ein Maß für die Einhaltung der Sicherheits-Vorgabe.
  • Vorteilhafte Weiterbildungen des Anmeldungsgegenstandes sind in den Unteransprüchen angegeben.
    •
  • Der Anmeldungsgegenstand wird im Folgenden als Ausführungsbeispiel in einem zum Verständnis erforderlichen Umfang anhand von Figuren näher erläutert. Dabei zeigen:
  • 1 eine erfindungsgemäße Anordnung zum Einrichten einer Zugangs-Sicherheits-Vorgabe und
  • 2 eine Implementierung der Anordnung zum Einrichten einer Zugangs-Sicherheits-Vorgabe in einem Netz.
  • 2 zeigt eine schematische Darstellung eines mit Knoten/Netzelementen gebildeten Netzes, das ein Management System aufweist. Die Netzelemente können sich nach Hardware-Plattform, Betriebssystem, installierten Filtern/installierter Filtersoftware und darüber hinaus nach der installierten Version der Software unterscheiden, womit das Netz eine heterogene Struktur aufweist.
  • 1 zeigt eine prinzipielle Anordnung für das Zusammenwirken eines Netzes, das einen Zugangs-Sicherheits-Vorgabe Ausführungs-Punkt APEP (für: access policy enforcment point) aufweist, mit einer Netzmanagementeinrichtung NM und einem Zugangs-Sicherheits-Vorgabe -Einrichtungs-Punkt APCP (für: access policy configuration point). Auf Ansteuerung einer Netzmanagement-Steuerung NMC (für: Network-Management-Control) analysiert eine Netz-Aufklärungs-Einrichtung ND (für: Network-Discovery) die Struktur des Netzes und übergibt die Ergebnisse in eine Topology-Datenbank TDB (für: Topology-Data-Base). In dem Zugangs-Sicherheits-Vorgabe -Einrichtungs-Punkt wird zu Beginn (Start) in dem Aktionspunkt ITDB (für: Import Technology Data Base) die Daten aus der Topology-Datenbasis des Netzwork Managements verfügbar gemacht. In dem Entscheidungspunkt CTDB (für: Cababilities in Topology-Data Base) wird abgefragt, ob für die einzelnen Netzelemente die Fähigkeiten ihrer Sicherheitsmaßnahmen abgespeichert sind.
  • Wenn die Abfrage in dem Entscheidungspunkt CTDB positiv ist (yes) wird in dem Aktionspunkt PFP (für: Parth Filter Policy) unter Berücksichtigung einer von außen zugeführten Sicherheitsrichtlinie Polcfg (für: Policy Configuration) eine formale Formulierung dieser Richtlinien erstellt. In dem Aktionsfeld CC (für: Call Classifier) wird eine Liste der relevanten Netzelemente als gültig für die weitere Bearbeitung unter Berücksichtigung der vorliegenden Zugangsvorgabe erstellt. Die Funktion Call Classifier liefert beispielsweise auf die Zuordnungsvorgabe „Alle Router" einen Satz von IP-Adressen und Schnittstellennamen, wobei die Funktion die Topology-Datenbasis abfragt, um die erforderlichen IP-Adressen zu erhalten. Beispielsweise wird die Vorgabe „Alle Router und Management Server" übersetzt in 10.0.0/8 und 10.1.1. Hierbei werden die Präfixe in vorteilhafter Weise aggregiert, um eine aussagekräftige Beschreibung für „Alle Router" zu erhalten. In dem Aktionspunkt PPS (für Parth Protokoll Specification) wird die Protokoll-Spezifikations-Datenbasis Protocfg abgefragt, um einen gültigen Ausdruck für Aussagen wie „über Management Protokoll" zu erhalten was eine invariante Vorgabe ist, die entsprechend dem verwendeten Protokoll substantiiert werden muss. In dem Aktionsfeld CFL (für: Computed Filter Location) werden die besten Filter-Plazierungen ermittelt, die für einen spezifischen Paketfluss geeignet sind. Nachdem die Pfade, über die die zugangskontrollierten Paketflüsse laufen sich mit der Änderung des Netzwerk-internen Routings ändern können berücksichtigt die CFL mehrere Pfade und fügt weiteren Knoten weitere Filter zu. Die Filterplatzierungsfunktion mag eine Einschätzung über die Sicherheitseigenschaften der vorgeschlagenen Konfiguration geben und darüber hinaus eine Abschätzung wie sich diese Eigenschaften bei einer Änderung des Routings verändern. In dem Aktionspunkt Filter Syntax Bestimmung CFS (für: Compute Filter Syntax) werden mit Unterstützung einer Syntax Datenbasis SDB (für: Syntax Data Base) die korrekte Syntax Specifikation für die Plattform und das Betriebssystem der einzelnen Knoten, wo die Filter angeordnet werden, ermittelt, um die bislang noch unvollständigen Filterstatements auf reale, arbeitsfähige Filterregeln umzusetzen. Hierzu kann in vorteilhafter Weise XML stylesheet formating eingesetzt werden für die Umsetzung auf syntaktisch korrekte Regeln. In dem Aktionspunkt EFS (für: Export Filter Statement) werden die syntaktisch korrekten Filterregeln in die Topology-Datenbasis des Network-Managements gegeben, von wo sie über eine Knotenkonfigurationseinrichtung NC (für: Note Configurator) zu den jeweiligen Knoten weitergeleitet werden, wo die Filterregeln implementiert werden.
  • Das erfindungsgemäße System erlaubt es einem Netzbetreiber, Sicherheitsrichtlinien in einer abstrakten Formulierung vorzugeben und das System dann
    • • nach einer Analyse einer Netzkonfiguration und der vorhandenen Netzelemente
    • • die Realisierung dieser Sicherheitsrichtlinien automatisch auf die Möglichkeiten der verschiedenen Netzelemente abbildet
    • • die Verteilung der verschiedenen Sicherheitsfunktionen in den verschiedenen Netzelementen so optimiert, dass (1) das Schutzziel erreicht wird, (2) kein Netzelement zu viele Konfigurationseinträge erhält und (3) Funktionen nicht redundant implementiert werden
  • Das System bekommt z.B. von einem Netzmanagementsystem NM eine Netzbeschreibung (Topologie, Adressen, Netzelemente) geliefert. Zusätzlich benötigt es eine Abbildungsvorschrift, die allgemein angibt, welche Funktionen welches Netzelement unterstützt (z.B. Paketfilter, stateful firewall, Filterung auf MAC-Adressen-Ebene). Außerdem enthält das System Abbildungsvorschriften für die Konfiguration von Funktionen für Netzelemente in der jeweiligen Konfigurationssprache (z.B. Command line interface CLI für verschiedene Netzelemente wie Router von Cisco, Juniper M/T, Juniper E, Ethernet Switch von Siemens, Firewall von Checkpoint, etc.).
  • Das System erstellt (falls nötig) in einem ersten Schritt aus der abstrakten Formulierung der Sicherheitsrichtlinien eine formale Formulierung dieser Richtlinien, optimiert dann die Verteilung der Funktionen auf die Netzelemente und generiert schließlich für jedes Netzelement in dessen Konfigurationssprache eine Konfigurationsdatei.
  • Optionen und Erweiterungen
    • a. Vorgabe einer Klassifizierung der Netzelemente mit Prioritäten, welche Arten von Funktionen vorzugsweise in welcher Art von Netzelementen durchgeführt werden sollen
    • b. Vorgabe einer Abbildungsfunktion, die im Sinne einer Zielfunktion einer Optimierung eine Qualität angibt als Funktion der relativen Füllung von Filtertabellen bezüglich ihrer Grenzen und/oder als Funktion der Anzahl von Filteroperationen oder -regeln.
    • c. automatische Berechnung einer Gütefunktion zur Bewertung des Grades der Erreichung des Schutzzieles auf der Basis der erzeugten Konfigurationen
    • d. Verwendung der Gütefunktion von Option c als Zielfunktion einer Optimierung
    • e. automatische Konfiguration durch das System oder durch ein angeschlossenes Netzmanagementsystem
    • f. Möglichkeit, gezielt eine Komponente der Sicherheitsrichtlinie zeitweise zu deaktivieren und automatische Erstellung der entsprechenden Konfigurationskommandos
    • g. Vorgabe einer bestehenden Konfiguration mit der Maßgabe, das Schutzziel mit möglichst wenig Änderungen im Vergleich zur bestehenden Konfiguration vorzunehmen
    • h. Kombination des Systems mit einem System zur automatischen Generierung eines Adressenplans
    • i. Verwendung des Systems zur optimierten Positionierung beispielsweise von Firewall-Systemen (Netzplanung zur Bereitstellung von Sicherheitsfunktionen)
    • j. Einsatz des Systems in einem Netz, in dem nur Ethernet-Switches oder nur IP-Router zu konfigurieren sind.
    • k. Kombination mit einem System zur automatischen formalen Verifikation der Konfiguration im Bezug auf die vorgegebenen Sicherheitsrichtlinien
    • l. Realisierung der Optionen c und d durch einen Mechanismus, der auf Basis der Topologie alle denkbaren Pfade zusammenstellt und für alle möglichen Kombinationen von Filtern entsprechend der Fähigkeiten der Netzelemente auf diesen Pfad die Güte der Lösung bewertet
    • m. Realisierung von Option l mit geeigneten Heuristiken zur Beschränkung des Lösungsraumes

Claims (16)

  1. Verfahren zur Einrichtung von verteilten Filtern in einem Paket-orientierten Netz basierend auf Sicherheits-Vorgaben demzufolge – nach Maßgabe vorgegebener, formal formulierter Sicherheits-Vorgaben dafür relevante Netzelemente des Netzes ausgewählt werden, – die Sicherheits-Eigenschaften der Netzelemente bereitgestellt werden, – für einen Paket-Fluss die Netzelemente lokalisiert werden, die eine Umsetzung der Sicherheits-Vorgaben erbringen, – in den lokalisierten Netzelementen den Sicherheits-Vorgaben entsprechende Filter aktiviert werden und – für einen Paket-Fluss auf Basis der Netz-Topologie alle möglichen Pfade zusammenstellt und für alle möglichen Kombinationen von Filtern entsprechend der Fähigkeiten der Netzelemente für diesen Pfad die Güte der Sicherheits-Vorgabe bestimmt werden.
  2. Verfahren nach Anspruch 1 dadurch gekennzeichnet, dass die Aktivierung der Filter für jedes Netzelement durch Generierung einer Konfigurationsdatei in dessen Konfigurationssprache erfolgt.
  3. Verfahren nach einem der vorstehenden Ansprüche dadurch gekennzeichnet dass der Grad an Sicherheit, die ein Filter bietet, schrittweise reduziert wird bis eine Sicherheits-Vorgabe noch eingehalten wird.
  4. Verfahren nach einem der vorstehenden Ansprüche dadurch gekennzeichnet, dass die formale Formulierung der Sicherheits-Vorgaben aus einer abstrakten Formulierung der Sicherheits-Vorgaben abgeleitet wird.
  5. Verfahren nach einem der vorstehenden Ansprüche gekennzeichnet durch eine Vorgabe einer Klassifizierung der Netzelemente mit Prioritäten, welche Arten von Funktionen in welcher Art von Netzelementen durchgeführt werden sollen.
  6. Verfahren nach einem der vorstehenden Ansprüche gekennzeichnet durch die Vorgabe einer Abbildungsfunktion, die im Sinne einer Zielfunktion einer Optimierung eine Qualität angibt als Funktion der relativen Füllung von Filtertabellen bezüglich ihrer Grenzen und/oder als Funktion der Anzahl von Filteroperationen oder -regeln.
  7. Verfahren nach einem der vorstehenden Ansprüche gekennzeichnet durch eine automatische Berechnung einer Gütefunktion zur Bewertung des Grades der Erreichung der Sicherheits-Vorgabe auf der Basis der erzeugten Konfiguration.
  8. Verfahren nach Anspruch 7 gekennzeichnet durch die Verwendung der Gütefunktion als Zielfunktion einer Optimierung.
  9. Verfahren nach einem der vorstehenden Ansprüche gekennzeichnet durch eine automatische Konfiguration durch das Netzmanagementsystem.
  10. Verfahren nach einem der vorstehenden Ansprüche gekennzeichnet durch zeitweises Deaktivieren einer Komponente der Sicherheits-Vorgabe zur automatischen Erstellung entsprechender Konfigurations kommandos.
  11. Verfahren nach einem der vorstehenden Ansprüche gekennzeichnet durch Vorgabe einer bestehenden Konfiguration mit der Maßgabe, die Sicherheits-Vorgabe mit wenigen Änderungen im Vergleich zur bestehenden Konfiguration vorzunehmen.
  12. Verfahren nach einem der vorstehenden Ansprüche dadurch gekennzeichnet, dass es mit einem System zur automatischen Generierung eines Adressenplans zusammenwirkt.
  13. Verfahren nach einem der vorstehenden Ansprüche dadurch gekennzeichnet, dass eine Positionierung eines Firewall-Systemes erfolgt.
  14. Verfahren nach einem der vorstehenden Ansprüche dadurch gekennzeichnet, dass es in dem nur mit Ethernet-Switches gebildeten Netz durchgeführt wird.
  15. Verfahren nach einem der vorstehenden Ansprüche 1 bis 13 dadurch gekennzeichnet, dass es in dem nur mit IP-Routern gebildeten Netz durchgeführt wird.
  16. Verfahren nach einem der vorstehenden Ansprüche dadurch gekennzeichnet, dass es mit einem System zur automatischen Verifikation der Konfiguration im Bezug auf die vorgegebenen Sicherheits-Vorgaben zusammenwirkt.
DE102005001150A 2005-01-10 2005-01-10 Verfahren zur Einrichtung von verteilten Filtern in einem Paket-orientierten Netz basierend auf abstrakten Sicherheits-Vorgaben Expired - Fee Related DE102005001150B4 (de)

Priority Applications (5)

Application Number Priority Date Filing Date Title
DE102005001150A DE102005001150B4 (de) 2005-01-10 2005-01-10 Verfahren zur Einrichtung von verteilten Filtern in einem Paket-orientierten Netz basierend auf abstrakten Sicherheits-Vorgaben
CNA2006800019980A CN101116307A (zh) 2005-01-10 2006-01-05 用于基于抽象的安全设定在面向分组的网络中设置分布式过滤器的方法
US11/795,046 US20090249468A1 (en) 2005-01-10 2006-01-05 Method for establishing distributed filters in a packet-oriented network, based on abstract security defaults
PCT/EP2006/050053 WO2006072618A1 (de) 2005-01-10 2006-01-05 Verfahren zur einrichtung von verteilten filtern in einem paket-orientierten netz basierend auf abstrakten sicherheitsvorgaben
EP06707669A EP1839422A1 (de) 2005-01-10 2006-01-05 Verfahren zur einrichtung von verteilten filtern in einem paket-orientierten netz basierend auf abstrakten sicherheitsvorgaben

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102005001150A DE102005001150B4 (de) 2005-01-10 2005-01-10 Verfahren zur Einrichtung von verteilten Filtern in einem Paket-orientierten Netz basierend auf abstrakten Sicherheits-Vorgaben

Publications (2)

Publication Number Publication Date
DE102005001150A1 DE102005001150A1 (de) 2006-07-20
DE102005001150B4 true DE102005001150B4 (de) 2006-11-16

Family

ID=36102991

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102005001150A Expired - Fee Related DE102005001150B4 (de) 2005-01-10 2005-01-10 Verfahren zur Einrichtung von verteilten Filtern in einem Paket-orientierten Netz basierend auf abstrakten Sicherheits-Vorgaben

Country Status (5)

Country Link
US (1) US20090249468A1 (de)
EP (1) EP1839422A1 (de)
CN (1) CN101116307A (de)
DE (1) DE102005001150B4 (de)
WO (1) WO2006072618A1 (de)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102006014793A1 (de) * 2006-03-29 2007-10-04 Siemens Ag Sicherheitsanalysator eines Kommunikationsnetzes
JP4964735B2 (ja) * 2007-10-24 2012-07-04 株式会社日立製作所 ネットワークシステム、管理計算機、及びフィルタ再構成方法
CN101729544B (zh) * 2009-05-21 2013-03-20 中兴通讯股份有限公司 一种安全能力协商方法和系统
US9954845B2 (en) * 2013-01-09 2018-04-24 Ventus Networks Llc Multi-user multi-router network management method and system
CN108776628B (zh) * 2018-05-29 2021-10-15 郑州云海信息技术有限公司 一种避免ctdb数据恢复时崩溃的方法、装置及介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030014665A1 (en) * 2001-07-03 2003-01-16 Anderson Todd A. Apparatus and method for secure, automated response to distributed denial of service attacks
US20040044780A1 (en) * 2002-08-28 2004-03-04 Bryant Eastham Content-based routing of data from a provider to a requestor
EP1484860A1 (de) * 2003-06-06 2004-12-08 Microsoft Corporation Automatische Entdeckung und Konfiguration von externen Netzwerkeinrichtungen

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5968176A (en) * 1997-05-29 1999-10-19 3Com Corporation Multilayer firewall system
JP2004105668A (ja) * 2002-09-13 2004-04-08 Uni Charm Corp 月齢対応使い捨てオムツ
US20040059943A1 (en) * 2002-09-23 2004-03-25 Bertrand Marquet Embedded filtering policy manager using system-on-chip

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030014665A1 (en) * 2001-07-03 2003-01-16 Anderson Todd A. Apparatus and method for secure, automated response to distributed denial of service attacks
US20040044780A1 (en) * 2002-08-28 2004-03-04 Bryant Eastham Content-based routing of data from a provider to a requestor
EP1484860A1 (de) * 2003-06-06 2004-12-08 Microsoft Corporation Automatische Entdeckung und Konfiguration von externen Netzwerkeinrichtungen

Also Published As

Publication number Publication date
CN101116307A (zh) 2008-01-30
US20090249468A1 (en) 2009-10-01
WO2006072618A1 (de) 2006-07-13
EP1839422A1 (de) 2007-10-03
DE102005001150A1 (de) 2006-07-20

Similar Documents

Publication Publication Date Title
DE60111089T2 (de) Verfahren und Vorrichtung zum Analysieren von einer oder mehrerer Firewalls
DE602005002374T2 (de) System und Verfahren zur unnumerierten Netzwerkverbindung-Erkennung
DE10249428B4 (de) Verfahren zum Definieren der Sicherheitsanfälligkeiten eines Computersystems
DE102005001150B4 (de) Verfahren zur Einrichtung von verteilten Filtern in einem Paket-orientierten Netz basierend auf abstrakten Sicherheits-Vorgaben
US7853687B2 (en) Access control list generation and validation tool
DE60216218T2 (de) Persönlicher Firewall mit Platzabhängiger Funktionalität
US7406534B2 (en) Firewall configuration validation
DE60102934T2 (de) Verfahren und system für sitzungsbasierte berechtigung und zugangskontrolle für vernetzte anwendungsobjekte
DE60100671T2 (de) Verfahren zum Verteilen von Diensten und Verfahren zum Konfigurieren von einem Netzelementen in einem Kommunikationsnetzwerk
DE60214993T2 (de) Firewall zur dynamischen Zugangsgewährung und -verweigerung auf Netzwerkressoursen
DE69929268T2 (de) Verfahren und System zur Überwachung und Steuerung der Netzzugriffe
DE602004011689T2 (de) Verfahren und System zur Handhabung der Übermittlung von Inhalten in Kommunikationsnetzen
US20030014644A1 (en) Method and system for security policy management
DE602004004991T2 (de) Automatisierte Installation von Netzgeräten mit Informationen über Regeln, Authentifizierung und gerätespezische Daten
DE10249427A1 (de) System und Verfahren zum Definieren des Sicherheitszustands eines Computersystems
EP1328102A1 (de) Verfahren und System zum Verwalten des Zugriffs auf ein Kommunikations-Netzwerk basierend auf Beglaubigungs-Daten
JP4308753B2 (ja) データフィルタ群を管理するためのデバイス
DE102011080467A1 (de) Zugangsregelung für Daten oder Applikationen eines Netzwerks
WO2014191179A1 (de) Verfahren und vorrichtung zum filtern eines datenpaketes
Cisco Essential Terminology and Concepts
Cisco Working with Security Policies
EP2436166B1 (de) Service interface
Cisco Working With Security Policies
DE60031004T2 (de) Elektronisches sicherheitssystem und verfahren für ein kommunikationsnetz
WO2004008783A1 (de) Ermittlung einer ursache einer dienst-minderleistung in einem kommunikationsnetz

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8364 No opposition during term of opposition
8327 Change in the person/name/address of the patent owner

Owner name: NOKIA SIEMENS NETWORKS GMBH & CO.KG, 81541 MUE, DE

R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee

Effective date: 20110802