ES2237585T3 - Dispositivo de control de acceso entre redes atm. - Google Patents

Dispositivo de control de acceso entre redes atm.

Info

Publication number
ES2237585T3
ES2237585T3 ES01956631T ES01956631T ES2237585T3 ES 2237585 T3 ES2237585 T3 ES 2237585T3 ES 01956631 T ES01956631 T ES 01956631T ES 01956631 T ES01956631 T ES 01956631T ES 2237585 T3 ES2237585 T3 ES 2237585T3
Authority
ES
Spain
Prior art keywords
atm
analysis
access control
traffic
signaling
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
ES01956631T
Other languages
English (en)
Inventor
Jean-Louis Simon
Pierre Rolin
Olivier Paul
Maryline Laurent Maknavicius
Sylvain Gombault
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Groupe des Ecoles des Telecommunications
Original Assignee
France Telecom SA
Groupe des Ecoles des Telecommunications
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom SA, Groupe des Ecoles des Telecommunications filed Critical France Telecom SA
Application granted granted Critical
Publication of ES2237585T3 publication Critical patent/ES2237585T3/es
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q11/00Selecting arrangements for multiplex systems
    • H04Q11/04Selecting arrangements for multiplex systems for time-division multiplexing
    • H04Q11/0428Integrated services digital network, i.e. systems for transmission of different types of digitised signals, e.g. speech, data, telecentral, television signals
    • H04Q11/0478Provisions for broadband connections
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/54Store-and-forward switching systems 
    • H04L12/56Packet switching systems
    • H04L12/5601Transfer mode dependent, e.g. ATM
    • H04L2012/5629Admission control
    • H04L2012/563Signalling, e.g. protocols, reference model
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/54Store-and-forward switching systems 
    • H04L12/56Packet switching systems
    • H04L12/5601Transfer mode dependent, e.g. ATM
    • H04L2012/5638Services, e.g. multimedia, GOS, QOS
    • H04L2012/5665Interaction of ATM with other protocols
    • H04L2012/5667IP over ATM
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/54Store-and-forward switching systems 
    • H04L12/56Packet switching systems
    • H04L12/5601Transfer mode dependent, e.g. ATM
    • H04L2012/5687Security aspects

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Dispositivo de control de acceso entre redes ATM, que comprende unos medios de análisis de señalización (4) y unos medios de análisis de tráfico (20, 21) conectados a un conmutador ATM (3) configurado para hacer transitar por los medios de análisis de señalización unos mensajes de señalización ATM intercambiados entre unas redes ATM interna y externa, y para hacer transitar por los medios de análisis de tráfico unas células ATM portadoras de trafico intercambiadas entre la red interna y externa en el marco de conexiones ATM establecidas por medio de dichos mensajes de señalización ATM, comprendiendo el dispositivo además unos medios de gestión de control de acceso (7) para configurar dinámicamente los medios de análisis de tráfico (20, 21) en función de una política de control de acceso y de informaciones recogidas por los medios de análisis de señalización (4) de manera que los medios de análisis de tráfico filtren cada célula ATM de acuerdo con la política de control de acceso.

Description

Dispositivo de control de acceso entre redes ATM.
La presente invención se refiere a las técnicas de control de acceso en las redes ATM ("Asynchronous Transfer Mode").
La tecnología ATM ha sido especificada para asegurar el transporte de flujos de naturalezas diversas que tienen exigencias variadas en términos de calidad de servicio (QoS, "Quality of Service"). Las comunicaciones son orientadas en conexión, siendo estas establecidas, controladas y cerradas por medio de un protocolo de señalización.
La invención prevé proporcionar una herramienta de control de acceso para las redes basadas en la tecnología ATM, es decir tanto en las redes utilizadas para las aplicaciones nativas ATM como para unas redes de paquetes (por ejemplo IP o X25) para las cuales la tecnología ATM es utilizada de forma transparente.
La calidad del control de acceso efectuado en las redes es función de la cantidad de información que es posible recuperar a fin de caracterizar las acciones de los usuarios. Otro punto importante es la capacidad de la herramienta de control de acceso para respetar los compromisos en materia de calidad de servicio tomados por la red con respecto a los usuarios. Siendo los procesos de control de acceso particularmente consumidores de recursos, es necesario realizar un compromiso sobre la cantidad de información que se desea recuperar utilizando al mismo tiempo un proceso de recuperación y de análisis de las informaciones tan rendible como sea posible. Es preciso para ello hacer de manera que el control de acceso se adapte a las utilizaciones de la red ATM, y esto de forma dinámica.
La solución más evidente para realizar el control de acceso en las redes ATM es utilizar un dispositivo parafuego, o "firewall", entre la red a proteger (denominada a continuación red interna) y la red pública no segura (denominada a continuación red externa). Esta solución permite el control de acceso a los niveles paquete, circuito y aplicación. En este caso, la red ATM es considerada como una capa de nivel 2 en el modelo OSI que permite el establecimiento de conexiones por punto. Se establecen dos conexiones, una entre el firewall y el equipo interno y la otra entre el firewall y el equipo externo. Con este tipo de herramienta, el control de acceso al nivel ATM no es posible, y la QoS asociada a las conexiones ATM no está garantizada.
Al nivel IP y al nivel circuito, los paquetes IP son reunidos a partir de las células ATM y el control de acceso se realiza por medio de las informaciones contenidas en los encabezamientos de los paquetes IP ("Internet Protocol", RFC 760, IETF, enero 1980), TCP ("Transmission Control Protocol", RFC 793, IETF, septiembre 1981) y UDP ("User Datagram Protocol", RFC 768, IETF, agosto 1980). Los paquetes son filtrados comparando unos campos del encabezamiento, tales como las direcciones y los puertos fuente y destino, la dirección de los paquetes y las banderas TCP, etc., con una descripción de los paquetes autorizados. Los paquetes no autorizados son destruidos mientras que los paquetes autorizados son transferidos de una red a la otra. Cuando el mismo QoS es negociado a ambos lados del firewall, la calidad de servicio de extremo a extremo puede ser afectada de la manera siguiente:
-
Las operaciones de reunión, de encaminado y de fragmentación aumentan el plazo de tránsito de las células (CTD).
-
Las operaciones efectuadas sobre las informaciones transmitidas pueden aumentar el porcentaje de pérdida de célula (CLR).
-
El tiempo pasado en reunir y fragmentar los paquetes es proporcional a su tamaño. Siendo esta variable, la inestabilidad en la base de tiempos en el plazo de transferencia de las células (CDVT) puede ser modificada.
-
Las acciones de encaminado y de filtrado se realizan de forma lógica, la carga del sistema puede introducir modificaciones en los caudales cresta y mediano.
Las acciones a nivel aplicación son filtradas a nivel aplicativo en unas lógicas denominadas proxies. Como en los niveles IP y circuito, la QoS es perturbada, pero de forma más importante puesto que el tráfico es examinado al nivel aplicación. Además, como el filtrado se realiza generalmente en un entorno multitarea, pueden producirse desincronizaciones entre los flujos filtrados.
Un último problema introducido por este tipo de arquitectura es su incapacidad para soportar unos caudales importantes. Varios estudios (ver "ATM Net Management: Missing Pieces", por J. Abusamra, Data Communications, mayo 1998, o "Firewall Shootout Test Final Report", Keylabs, Networld + Interop'98, mayo 1998) han demostrado que este tipo de arquitectura no podía proporcionar por el momento el servicio de control de acceso de forma satisfactoria a la velocidad de un enlace OC-3 (155 Mbit/s).
El servicio de control de acceso tal como se define por las especificaciones del ATM Forum ("ATM Security Specification Version 1.0", The ATM Forum Technical Committee, febrero 1999) es una extensión del servicio de control de acceso tal como es considerado en los sistemas clasificados A y B del Orange Book. En esta aproximación, un nivel de sensibilidad es asociado a los objetos y un nivel de autorización es asociado a los sujetos. Cada nivel es codificado por medio de dos tipos de parámetro, por una parte un nivel jerárquico (por ejemplo público, confidencial, secreto, muy secreto, ...) y por otra parte un conjunto de campos (por ejemplo gestión, búsqueda, producción, recursos humanos, ...). Un sujeto puede acceder a un objeto si su nivel jerárquico es superior al del objeto y si por lo menos uno de los campos del objeto está incluido en un campo del sujeto.
En las especificaciones del ATM Forum, estos dos niveles están codificados en forma de etiquetas según la norma "Standard Security Label for InformationTransfer" (Federal Information Processing Standards Publication 188, National Institute of Standards and Technology, septiembre 1994). Las etiquetas que caracterizan el nivel de sensibilidad de los datos transmitidos son intercambiadas antes de cualquier intercambio de datos usuario por medio de la señalización ATM o por un protocolo del plan usuario. El control de acceso en sí mismo es realizado por los equipos de la red que verifican que el nivel de sensibilidad de los datos es compatible con el nivel de autorización de los enlaces y de las intercaras sobre los que los datos son transferidos.
La principal ventaja de esta solución es su extensibilidad, puesto que la decisión de control de acceso se realiza en el momento de la apertura de conexión y sin interferencia con los datos de los usuarios. Sin embargo, pueden ser subrayados algunos problemas:
-
todos los equipos de la red son considerados para administrar las etiquetas de seguridad. Los equipos actuales no disponen de dichas funcionalidades;
-
debe ser establecida una conexión para cada nivel de sensibilidad;
-
el control de acceso tal como es considerado en los firewalls tradicionales (acceso a los equipos, a los servicios,...) se deja voluntariamente fuera de las especificaciones.
Las limitaciones descritas anteriormente han sido rápidamente identificadas y se han realizado varias proposiciones a fin de proporcionar el servicio de control de acceso en su sentido tradicional en las redes ATM. Estas soluciones pueden clasificarse en dos categorías: soluciones industriales y soluciones académicas.
El primer tipo de solución industrial ("LightStream 1010 Multiservice ATM Switch Overview", Cisco Corp., 1999) utiliza un conmutador ATM clásico modificado a fin de filtrar las peticiones de conexión ATM en función de las direcciones fuente y destino. El problema principal de esta aproximación es que el servicio de control de acceso no es muy potente teniendo en cuenta los parámetros considerados.
La segunda solución industrial ("Atlas Policy Cache Architecture, White Paper", B. Kowalski, Storagetek Corp., 1997) está también basada en un conmutador ATM, modificado a fin de prestar un servicio de control de acceso al nivel IP. En lugar de reunir las células para examinar los encabezamientos de los paquetes como en un firewall tradicional, esta aproximación busca obtener unas informaciones directamente en la primera célula intercambiada sobre una conexión. Esta aproximación impide la perturbación de la calidad de servicio durante la conmutación de las células. La misma utiliza también una memoria asociada CAM ("Content Addressable Memory") a fin de hacer las búsquedas en la política de control de acceso más rápidas. Esta solución es la primera en tener en cuenta los límites del firewall tradicional. Sin embargo no está exenta de defectos:
-
el control de acceso está limitado a los niveles de red y transporte. Los niveles ATM y aplicación no son considerados;
-
los paquetes IP que incluyen unas opciones no son filtrados al nivel transporte. En efecto, las opciones pueden rechazar las informaciones que se refieren a UDP y TCP en una segunda célula. Esto plantea un problema de seguridad;
-
el equipo es difícil de administrar en particular en el caso de las conexiones dinámicas puesto que la configuración de los filtros se realiza manualmente;
-
las características de este equipo no son muy extensibles. En efecto, una versión OC-12 (622 Mbit/s) de este producto ha sido anunciada en 1996, pero después no ha sido presentada.
Las dos soluciones académicas están basadas en la arquitectura anterior pero introducen algunas mejoras a fin de llenar algunas lagunas de esta solución.
La primera aproximación (J. McHenry, et al., "An FPGA-Based Coprocessor for ATM Firewalls", Proceedings of IEEE FCCM'97, abril 1997) utiliza un circuito especializado de tipo FGPA asociado a un conmutador modificado. Al nivel ATM, el control de acceso al establecimiento de las conexiones es mejorado permitiendo un filtrado basado en las direcciones fuente y destino. Esta solución permite también el filtrado de las informaciones de encaminado PNNI ("Private Network to Network Interface"). En los niveles IP y transporte, el servicio de control de acceso es similar al de la segunda solución industrial citada. Esta solución es la más completa actualmente suministrada. Sin embargo posee algunas limitaciones:
-
los paquetes IP con opciones no son tratados;
-
sólo una parte de las informaciones proporcionadas por la señalización es utilizada;
-
no hay control de acceso al nivel de aplicación.
La segunda solución académica (J. Xu, et al., "Design of a High-Performance ATM Firewall", Rapport technique, The Ohio State University, 1997) es la arquitectura más completa propuesta hasta el presente. Una clasificación del tráfico en cuatro categorías se efectúa en función de la QoS negociada al nivel ATM y del tratamiento a realizar sobre el flujo. Esta clasificación permite asegurar que las comunicaciones que tienen unas obligaciones de calidad de servicio no son perturbadas por unos tratamientos complejos, siendo las otras comunicaciones filtradas y perturbadas de la misma manera que en un firewall. A parte de la clasificación, esta solución introduce también todo un conjunto de ideas de implementación interesantes a fin de reducir los plazos generados por el control de acceso. Esta aproximación presenta sin embargo ciertos inconvenientes:
-
pocos parámetros son considerados a nivel ATM;
-
el control de acceso a nivel de aplicación no es proporcionado para las aplicaciones que tienen unas obligaciones de QoS;
-
las comunicaciones UDP que descansan sobre unas conexiones ATM que tienen unas obligaciones de QoS no son controladas;
-
la arquitectura no permite suprimir las fugas de información puesto que un usuario puede con un complicidad exterior hacer fracasar los mecanismos de control de acceso;
-
la arquitectura es compleja y se puede preguntar cuáles serían los caudales soportados por una aplicación de esta arquitectura;
Un objetivo principal de la presente invención es proporcionar otra solución al problema del control de acceso en las redes ATM, que ofrece amplias posibilidades de control a diferentes niveles. Otro objetivo es facilitar la gestión de la herramienta de control de acceso permitiendo en particular integrar diferentes aspectos de la política de control de acceso a los niveles ATM, IP y transporte. Otro objetivo aún es mejorar el control de acceso a nivel ATM enriqueciendo los parámetros de control de acceso tomados en consideración. Es también deseable proporcionar un servicio rápido de control de acceso a nivel célula.
La invención propone así un dispositivo de control de acceso entre redes ATM, que comprende unos medios de análisis de señalización y unos medios de análisis de tráfico conectados a un conmutador ATM configurado para hacer transitar por los medios de análisis de señalización unos mensajes de señalización ATM intercambiados entre unas redes ATM interna y externa, y para hacer transitar por los medios de análisis de tráfico unas células ATM portadoras de tráfico intercambiadas entre las redes interna y externa en el marco de conexiones ATM establecidas por medio de dichos mensajes de señalización ATM. El dispositivo comprende además unos medios de gestión de control de acceso para configurar dinámicamente los medios de análisis de tráfico en función de una política de control de acceso y de informaciones recogidas por los medios de análisis de señalización de manera que los medios de análisis de tráfico filtran cada célula ATM de acuerdo con la política de control de acceso.
Otras particularidades y ventajas de la presente invención aparecerán con la descripción siguiente de ejemplos de realización no limitativos con referencia a los planos anexos, en los que:
- la figura 1 es un esquema sinóptico de un dispositivo de control de acceso según la invención;
- la figura 2 es un diagrama que ilustra una configuración de un conmutador del dispositivo de la figura 1 con respecto a los mensajes de señalización ATM;
- la figura 3 es un esquema sinóptico de un analizador de señalización del dispositivo de la figura 1;
- la figura 4 es una tabla que describe unas informaciones tratadas por unos analizadores de tráfico del dispositivo de la figura 1;
- la figura 5 es un diagrama que ilustra una configuración del conmutador del dispositivo de la figura 1 con respecto a las células ATM de tráfico; y
- la figura 6 es un diagrama que ilustra un ejemplo de árbol de análisis al cual se refiere un analizador de tráfico del dispositivo de la figura 1.
Como se ha indicado en la figura 1, un dispositivo de control de acceso según la invención puede estar compuesto por dos partes principales 1, 2 que cooperan con un conmutador ATM 3. La primera parte 1 está dedicada a la toma en cuenta de una política de control de acceso y al análisis de la señalización ATM. El resultado de este análisis es utilizado para construir dinámicamente una configuración. Ésta es utilizada por la segunda parte 2 para proporcionar un servicio de control de acceso basado en las informaciones transportadas en las células ATM. Esta segunda parte 2 es capaz de recuperar las informaciones de nivel ATM, IP y transporte a fin de decidir si una conmutación debe ser autorizada o prohibida. La configuración del conjunto se realiza por medio de un lenguaje único.
La parte 1 puede ser realizada por medio de una estación de trabajo, tal como una estación comercializada por la sociedad Sun Microsystem, Inc. El analizador de señalización 4 es el elemento de esta parte 1 que efectúa las acciones de control de acceso a nivel de la señalización ATM en combinación con el gestor de control de acceso 7.
La parte 2 puede ser realizada por medio de una estación del tipo PC que funciona por ejemplo con el sistema de explotación Solaris x86. Esta estación está equipada con tarjetas 20, 21 de análisis en tiempo real de las células ATM, llamadas a continuación tarjetas IFT ("IP Fast Translator"), que aseguran las acciones de control de acceso célula por célula.
A fin de permitir la expresión de políticas de control de acceso, se utiliza un Lenguaje de Definición de Política de Control de Acceso (ACPDL, "Access Control Policy Description Language"). La definición del ACPDL está basada en el Lenguaje de Descripción de Política (PDL) en curso de definición en el seno del grupo de trabajo que trabaja sobre las políticas con el IETF (ver J. Strassner, et al., "Policy Framework Definition Language", draft-letf-policy-framwork-pfdl-00.txt, Internet Engineering Task Force, 17 noviembre 1998). En este lenguaje, una política está definida por un conjunto de reglas, estando cada regla a su vez constituida por un conjunto de condiciones y por una acción que es ejecutada cuando el conjunto de las condiciones es cumplido. La expresión siguiente (expresada en el formalismo Backus Naur, BNF) describe la forma general de una regla:
Rule ::= IF<Conditions> THEN<Action>
Todas las condiciones tienen la misma estructura genérica expresada a continuación por medio del formalismo BNF:
Condition ::= <ACCESS CONTROL PARAMETER> <RELATIONAL OPERATOR> <VALUE>
En función del nivel en la pila de protocolo, pueden ser utilizados varios tipos de parámetros de control de acceso:
-
al nivel ATM los parámetros interesantes están descritos en el artículo de O. Paul, et al., "Manageable parameters to improve access control in ATM networks", HP-OVUA Workshop, Rennes, Francia, abril 1998. Entre estos, se puede elegir el tipo de tráfico, los identificadores de conexión, las informaciones de direccionado, los descriptores de QoS y los descriptores de servicio;
-
al nivel transporte, la mayor parte de los parámetros considerados son los que son utilizados habitualmente a fin de realizar el filtrado de los paquetes en los encaminadores filtrantes (por ejemplo las informaciones de direccionado, los puertos fuente y destino, las banderas en el caso de las conexiones TCP, etc);
-
al nivel aplicación, son considerados dos parámetros genéricos: el identificador del usuario de la aplicación así como el estado de la aplicación;
-
unas informaciones temporales son también incluidas a fin de especificar cuando una regla debe ser aplicada.
Las acciones tienen generalmente una estructura genérica (notación BNF):
Action ::= <ACTION><ACTION LEVEL><LOG LEVEL>
Una acción se descompone en tres partes. La primera indica si la comunicación descrita por las condiciones debe ser autorizada o prohibida. El parámetro <ACTION LEVEL> corresponde a la capa protocolaria en la cual debe ser efectuada la acción. La última parte describe la importancia concedida al suceso de control de acceso y permite una clasificación de los resultados.
El párrafo siguiente muestra como el lenguaje ACPDL puede ser utilizado a fin de expresar un ejemplo de servicio de control de acceso. En este ejemplo, cada equipo está identificado por su dirección fuente (IP_SRC_ADDRESS) y su dirección destino (IP_DST_ADRESS). El servicio WWW es identificado por los puertos fuente (SRC_PORT) y destino (DST_PORT). La segunda línea de mando dada en el ejemplo es utilizada a fin de prohibir las peticiones de conexión sobre el puerto WWW de una estación interna.
100
La política de control de acceso es definida por el oficial de seguridad por medio de una intercara hombre-máquina (IHM) 6 de la estación 1, utilizando el lenguaje ACPDL. La misma es utilizada para configurar las dos partes del controlador. Sin embargo esta política no puede ser utilizada directamente por las dos herramientas de control de acceso 4, 20/21. El gestor 7 es el módulo que permite resolver este problema traduciendo la política de control de acceso en mandos de configuración para las dos herramientas.
Este proceso de traducción puede ser utilizado en dos partes principales. La primera es la traducción de la política en tres configuraciones estáticas:
Al nivel de la señalización ATM, esta configuración comprende una descripción de las comunicaciones que deben ser controladas. Cada comunicación es descrita por un conjunto de elementos de información (IE) y por una acción (Permitir o Prohibir). Esta configuración es enviada al analizador de señalización 4.
Al nivel TCP/IP la configuración comprende una descripción de los paquetes que deben ser controlados. Esta parte de la política puede ser genérica, lo que significa que las reglas que están descritas en la misma no están dedicadas a una conexión ATM particular. Esta parte puede también ser unida a una conexión ATM por la expresión de condiciones que se refieren a unos identificadores de conexión.
Al nivel célula, la configuración comprende una descripción de las células que deben ser controladas. Estas células son divididas según los campos que pueden contener. El conjunto de los valores que cada campo puede tomar se describe por un árbol. Esta configuración es enviada a las tarjetas IFT.
La segunda parte del proceso de configuración tiene lugar cuando se recibe una petición de conexión por el analizador de señalización 4. Una vez que el proceso de control de acceso ha sido realizado, el analizador de señalización 4 envía al gestor 7 las informaciones necesarias para efectuar la configuración dinámica de las tarjetas ITF 20, 21. Esta configuración dinámica es importante puesto que permite disminuir el tamaño de las informaciones de configuración almacenadas en la memoria de las tarjetas ITF 5 en comparación con una configuración estática. Esto es importante puesto que el plazo introducido por las tarjetas IFT en el curso del proceso de análisis depende de este tamaño. Las informaciones proporcionadas por el analizador de señalización 4 comprenden:
-
los identificadores de conexión VPI y VCI ("Virtual Path Identifier", "Virtual Channel Identifier");
-
las direcciones ATM fuente y destino;
-
un descriptor de servicio (Classical IP over ATM (CLIP), Aplicaciones nativas ATM). Cuando una capa adicional es utilizada encima del modelo ATM, el analizador de señalización 4 proporciona también la encapsulación (con o sin encabezamiento SNAP/LLC);
-
la dirección de la comunicación.
En un entorno CLIP, el gestor 7 utiliza las direcciones ATM fuente y destino a fin de encontrar las direcciones IP correspondientes. Esta traducción se efectúa por medio de un fichero que describe las correspondencias entre direcciones IP y ATM. La misma puede también utilizar un servidor de resolución de dirección (ATMARP).
El gestor 7 prueba a continuación encontrar una correspondencia entre las direcciones IP y las reglas genéricas de control de acceso de nivel TCP/IP. El subconjunto de reglas obtenido es instanciado con las direcciones IP y asociado a las otras informaciones (direcciones, encapsulación, identificadores de conexión, dirección). Este conjunto de informaciones es utilizado por el gestor a fin de construir el árbol de análisis que será utilizado para configurar las tarjetas IFT, y es conservado durante toda la vida de la conexión. Al cierre de la conexión, el gestor 7 recibe una señal del analizador de señalización 4 a fin de reconfigurar eventualmente las tarjetas IFT 20, 21 borrando las informaciones relativas a la conexión. El gestor destruye a continuación las informaciones asociadas a la conexión.
El analizador de señalización 4 descansa en dos funciones. La primera es la redirección de los mensajes de señalización que provienen de las redes interna y externa hacia un filtro que pertenece al analizador 4 (figura 3). La segunda es la capacidad de descomponer los mensajes de señalización según la especificación UNI 3.1 de la ATM Forum ("ATM User-Network Interface Specification, Version 3.1", ATM Forum, julio 1994) y transmitir o suprimir estos mensajes en función de la configuración de control de acceso proporcionada por el gestor 7.
La estación 1 está provista de dos tarjetas de intercara ATM 8, 9 respectivamente conectadas a dos intercaras 12, 13 del conmutador 3 (figuras 1, 2 y 5). Las otras intercaras representadas del conmutador 3 están anotadas 10 (red interna), 11 (red externa), 14 y 15 (tarjetas IFT 20 y 21).
A fin de redirigir la señalización, el conmutador ATM 3 es configurado a fin de dirigir los mensajes de señalización hacia la estación 1 como se ha indicado en la figura 2. Esta configuración puede ser realizada desactivando el protocolo de señalización en las intercaras 10, 11, 12 y 13. Un canal virtual (VC) debe ser a continuación construido entre cada par de intercaras para cada canal de señalización. Los canales de señalización están por ejemplo identificados por un identificador de canal virtual (VCI) igual a 5.
Con la configuración anterior, los mensajes de señalización que provienen de la red externa son dirigidos hacia la intercara 13 de la estación 1 mientras que los mensajes que provienen de la red interna son dirigidos hacia la intercara 12. Como se ha indicado en la figura 3, todos los mensajes de señalización son multiplexados por un módulo 16 de tipo Q93B que pertenece al analizador de señalización 4 y que comunica con las intercaras ATM 8 y 9 a través de los módulos respectivos 17, 18 que utilizan los protocolos de fiabilización SSCOP. La función del módulo Q93B es, de forma conocida, establecer, controlar y cerrar las conexiones ATM. A fin de evitar el rechazo de los mensajes de señalización por el módulo Q93B, este debe ser modificado a fin de pasar los mensajes a un filtro 19 al nivel aplicación sin analizarlos. A fin de diferenciar el filtrado realizado sobre los mensajes que vienen del exterior del realizado sobre los mensajes que vienen del interior, los mensajes son asociados a su intercara ATM de origen. Esta información es proporcionada al filtro aplicativo 19 por el módulo Q93B 16.
Cuando unos mensajes de señalización son recibidos por el analizador de señalización 4, estos son descompuestos por un módulo de descomposición de mensajes 24 en elementos de información según la especificación UNI 3.1. Los elementos de información son a continuación descompuestos en informaciones elementales tales como las direcciones, los identificadores de conexión, la referencia de llamada, los descriptores de calidad de servicio y los identificadores de servicio. El analizador 4 busca a continuación si el mensaje puede estar asociado a una conexión existente por medio del tipo del mensaje y de la referencia de llamada. Si la conexión es nueva, se construye un descriptor de conexión que contiene estas informaciones. Cuando la conexión ya existe, el descriptor de conexión es puesto al día. El descriptor de conexión está asociado al estado de conexión y a la intercara de origen. Es identificado por un identificador de conexión. El descriptor es a continuación enviado al filtro 19 a fin de ser analizado.
Cuando el filtro 19 recibe un descriptor de conexión, compara los parámetros que describen la conexión con el conjunto de las comunicaciones descrito por la política de control de acceso. Si se encuentra una correspondencia, el filtro 19 aplica la acción asociada a la comunicación. En caso contrario, aplica la acción por defecto que es prohibir la conexión. Cuando la acción consiste en una prohibición, el filtro 19 destruye el descriptor de conexión. En el caso contrario, envía el descriptor de conexión al módulo de construcción de los mensajes 25. Cuando el descriptor de conexión indica que un mensaje CONNECT ha sido recibido, se envía un subconjunto de los parámetros del descriptor de conexión al gestor 7 como se indica a continuación:
-
los identificadores de conexión VPI/VCI, obtenidos a partir de la IE "Connection identifier";
-
las direcciones ATM fuente y destino, proporcionadas por las IE "Called Party Identifier" y "Calling Party Identifier"
-
los descriptores de servicio, obtenidos a partir de las IE "Broadband Higher Layer Identifier (BHLI)" y "Broadband Lower Layer Identifier (BLLI)";
-
la dirección, proporcionada por el nombre de la intercara asociada al descriptor de conexión.
Cuando el descriptor de conexión indica la recepción de un mensaje RELEASE_COMPLETE, que acaba la liberación de una conexión, el descriptor de conexión es de nuevo enviado al gestor 7. Las comunicaciones entre el gestor 7 y el filtro de señalización 19 pueden realizarse de forma clásica por medio de un segmento de memoria compartido y de señales.
Otra funcionalidad proporcionada por el filtro 19 es su capacidad de modificar la dirección ATM fuente cuando una comunicación proviene de la red ATM interna, a fin de esconder la estructura topológica interna de esta red. Esta funcionalidad es realizada reemplazando la dirección ATM fuente por la dirección de la intercara ATM externa de la estación, a saber la intercara 13.
Cuando el módulo de construcción de mensajes 25 recibe un descriptor de conexión, construye un nuevo mensaje de señalización a partir de las informaciones contenidas en el descriptor. El mensaje es a continuación asociado a una intercara de salida y enviado al módulo Q93B 16. Cuando el estado asociado a la conexión indica que un mensaje RELEASE_COMPLETE ha sido recibido para liberar la conexión, el módulo 16 libera los recursos asociados al descriptor de conexión.
El plazo introducido por el proceso de análisis de la señalización no tiene impacto sobre el desarrollo normal de la conexión puesto que los plazos normalizados son extremadamente largos (por ejemplo 14 segundos entre los mensajes SETUP y CONNECT).
Las tarjetas IFT consideradas aquí para la realización de la invención son del tipo descrito en la solicitud de patente europea nº00400366.1 presentada el 9 de febrero de 2000 por el solicitante. Estas tarjetas han sido ideadas en origen para un módulo de encaminado de alto caudal (ver también EP-A-0 989 502). Estas tarjetas poseen unas características interesantes que hacen que sean bien adaptadas al dispositivo según la invención.
-
las mismas permiten el análisis de la primera célula de cada trama AAL5 ("ATM Adaptation Layer nº 5") y la modificación de las células correspondientes en función del análisis;
-
pueden funcionar a la velocidad de 622 Mbit/s gracias a un procedimiento rápido y flexible de análisis de las células;
-
el plazo introducido por el análisis puede ser marcado y depende de la configuración de la tarjeta;
-
pueden ser configuradas dinámicamente sin interrumpir el proceso de análisis;
-
son integrables en unos equipos de tipo PC bajo Solaris.
La figura 4 describe las informaciones que pueden ser analizadas por las tarjetas IFT 20, 21 en el caso de los protocolos CLIP (CLIP1) y CLIP sin encapsulación SNAP-LLC (CLIP2). Los campos UD y TD indican el inicio de los segmentos de datos para los protocolos UDP y TCP, respectivamente. Esto significa que, en el caso general, las tarjetas IFT tienen acceso a las informaciones de nivel ATM, IP, TCP, UDP y en ciertos casos de nivel de aplicación. Es preciso sin embargo observar que los campos opcionales que pueden encontrarse en el paquete IP no están representados. La presencia de estos campos (de longitud variable) puede rechazar las informaciones de nivel TCP o UDP en la segunda célula ATM.
Como en el caso de la señalización, la primera parte del proceso de control de acceso al nivel célula consiste en redirigir el tráfico que proviene de las redes interna y externa hacia las tarjetas IFT 20, 21. Sin embargo, en este caso, la configuración debe preservar la configuración realizada para el control de la señalización. A título de ejemplo, los canales virtuales identificados por un valor de VCI igual a 31 son voluntariamente dejados libres a fin de permitir al conmutador ATM 3 rechazar las células que pertenecen a una comunicación que debe ser prohibida. El conmutador ATM 3 es entonces configurado a fin de crear un canal virtual para cada valor de VCI diferente de 5 y de 31 entre cada par de intercaras (10, 14) y (11, 15) como se ha ilustrado en la figura 5.
Las tarjetas IFT consideradas sólo permiten el análisis de flujos unidireccionales. Esto significa que los flujos que provienen de las redes interna y externa deben ser separados. Esta operación es particularmente simple en el caso de una capa física de tipo Mono Mode Fiber utilizado por las tarjetas puesto que las fibras de emisión y de recepción están físicamente separadas. La figura 5 muestra como las fibras de recepción y de emisión deben ser conectadas entre las tarjetas IFT y los accesos 14, 15 del conmutador 3.
La segunda parte del proceso de control de acceso es la configuración de las tarjetas IFT 20, 21 a fin de que proporcionen el servicio de control de acceso deseado. Como se ha indicado anteriormente, esta configuración es realizada por el gestor 7. Las tarjetas IFT han sido ideadas en origen para ser administradas a distancia por varios gestores. Una lógica apropiada 27 (démon RPC) es entonces utilizada en la estación 2 para serializar las peticiones dirigidas al circuito de mando 28 (driver) de las tarjetas 20, 21. Del lado del gestor 7, una biblioteca da acceso a las funciones de configuración. Esta biblioteca traduce las llamadas locales en llamadas a distancia en la estación 2. Las comunicaciones entre los dos equipos se realizan por ejemplo a través de una red dedicada de tipo Ethernet.
La configuración de las tarjetas 20, 21 se basa en una descripción de las comunicaciones a controlar en forma de árboles. Cada rama del árbol describe el valor codificado de una cadena binaria, por ejemplo de 4 bits, que puede ser encontrada durante el proceso de análisis. Este proceso consiste en recorrer la porción de célula a analizar por porciones de 4 bits que sirven para acceder al contenido de una memoria asociativa del tipo TRIE incluida en cada tarjeta IFT. Un árbol de análisis, construido a partir de una instrucción de control de acceso proporcionada por el gestor 7, corresponde a un encadenamiento dado de porciones de 4 bits encontradas en unos emplazamientos determinados recorriendo la célula. La raíz del árbol que corresponde a un portero que debe ser reconocido a fin de iniciar el análisis del árbol. Un ejemplo del análisis está representado esquemáticamente en la figura 6. Unas informaciones complementarias pueden ser asociadas a un nudo a fin de permitir el salto de un árbol a otro o la interrupción del análisis permitiendo la modificación de los identificadores de conexión. Para mayores detalles sobre el funcionamiento y la configuración de las tarjetas IFT, se podrá hacer referencia a la solicitud de patente europea nº 00400366.1
citada.
Las funciones de configuración permiten al gestor 7 construir, poner al día y suprimir estos árboles mientras las tarjetas IFT 20, 21 funcionan. La traducción entre las informaciones proporcionadas por el proceso de generación dinámica de la política de control de acceso de nivel célula puede realizarse de la forma siguiente:
-
cada campo posible es codificado por un árbol. Los valores descritos por la política de control de acceso son a continuación recortados en palabras de 4 bits y atribuidos a las ramas del árbol. Los intervalos descritos por varias condiciones sobre un mismo campo son codificados generando una rama para cada valor posible en el intervalo;
-
el ET lógico entre dos condiciones sobre dos campos diferentes es codificado como un salto de un árbol a otro.
La acción de rechazo o de aceptación ("DENY" o "ALLOW") es codificada por medio de un nudo particular que provoca el final del análisis y enviando de nuevo el identificador de conexión que será atribuido a todas las células de la trama AAL 5 correspondiente. La acción "DENY" es codificada dirigiendo la trama hacia el canal no configurado (VCI 31) al nivel del conmutador 3. El VCI 31 es así utilizado como VCI basura para tirar todas las células ATM no conformes con la política de seguridad. La acción "ALLOW" es codificada dejando el identificador de conexión sin cambio.
El dispositivo anterior constituye un firewall ATM que puede ser construido a partir de componentes existentes. Tiene la capacidad de proporcionar un servicio de control de acceso a los niveles ATM, IP y transporte, incluso aplicación, y puede alcanzar la velocidad de 622 Mbit/s en un prototipo que ha sido realizado.
Debido en particular al plazo marcado del proceso de control de acceso al nivel célula, la estructura del dispositivo evita las modificaciones de QoS que son corrientes con los firewalls clásicos. El dispositivo presenta además las ventajas de tener un buen nivel de control de acceso al nivel ATM y una velocidad de análisis al nivel célula compatible con el caudal del canal.
Para enriquecer las capacidades de control de acceso al nivel aplicación, el gestor 7 puede programar las tarjetas IFT a fin de dirigir los flujos producidos por las aplicaciones sin requerimiento de calidad de servicio hacia un firewall clásico que analiza estos flujos de manera profunda, reuniendo y después segmentando de nuevo los paquetes IP. En este caso, el filtro 19 del analizador de señalización 4 es modificado a fin de proporcionar una indicación de petición calidad de servicio al gestor 7 al mismo tiempo que las informaciones indicadas anteriormente. El gestor 7 designa así a las tarjetas IFT 20, 21 las conexiones establecidas sin compromiso de QoS, para que las células correspondientes sean transferidas al firewall exterior y tratadas según la política de control de acceso deseada.
Esta misma solución es utilizable para tratar el problema de los paquetes IP que poseen unas opciones.
La invención ha sido descrita anteriormente en su aplicación preferida a unas redes ATM que soportan unas redes IP. Se observará sin embargo que el gestor 7 y el filtro 19 pueden ser modificados a fin de proporcionar unas capacidades de control de acceso para otros tipos de utilización de las redes ATM, como por ejemplo la emulación de LAN, MPOA, o relevo de trama sobre ATM, y de manera general en cualquier red que utiliza un canal de señalización, como relevo de trama, X.25, o incluso Intserv (que utiliza RSVP para señalización), sin en cambio estar basado en ATM en capa inferior.

Claims (15)

1. Dispositivo de control de acceso entre redes ATM, que comprende unos medios de análisis de señalización (4) y unos medios de análisis de tráfico (20, 21) conectados a un conmutador ATM (3) configurado para hacer transitar por los medios de análisis de señalización unos mensajes de señalización ATM intercambiados entre unas redes ATM interna y externa, y para hacer transitar por los medios de análisis de tráfico unas células ATM portadoras de trafico intercambiadas entre la red interna y externa en el marco de conexiones ATM establecidas por medio de dichos mensajes de señalización ATM, comprendiendo el dispositivo además unos medios de gestión de control de acceso (7) para configurar dinámicamente los medios de análisis de tráfico (20, 21) en función de una política de control de acceso y de informaciones recogidas por los medios de análisis de señalización (4) de manera que los medios de análisis de tráfico filtren cada célula ATM de acuerdo con la política de control de acceso.
2. Dispositivo según la reivindicación 1, en el cual los medios de gestión de control de acceso (7) cooperan con los medios de análisis de señalización (4) de manera que permitan o prohiban el establecimiento de conexiones ATM de acuerdo con la política de control de acceso.
3. Dispositivo según la reivindicación 1 ó 2, en el cual los medios de análisis de señalización (4) están dispuestos para modificar la dirección ATM fuente indicada en cada mensaje de petición de conexión salido de la red ATM interna antes de retransmitir dicho mensaje hacia la red externa.
4. Dispositivo según la reivindicación 3, en el cual los medios de análisis de señalización (4) están dispuestos para remplazar la dirección ATM fuente indicada en cada mensaje de petición de conexión salido de la red ATM interna por una dirección ATM asignada a los medios de análisis de señalización.
5. Dispositivo según cualquiera de las reivindicaciones 1 a 4, en el cual los medios de gestión de control de acceso (7) están dispuestos para mandar a los medios de análisis de tráfico (20, 21) suprimir unos elementos tomados en cuenta en el análisis de células intercambiadas en el marco de una conexión ATM en respuesta a la detección, por los medios de análisis de señalización (4), de la liberación de dicha conexión ATM.
6. Dispositivo según cualquiera de las reivindicaciones 1 a 5, en el cual algunos por lo menos de los filtrados de células ATM efectuados por los medios de análisis de tráfico (20, 21) están condicionados por unos elementos definidos por los medios de gestión de control de acceso (7), que comprenden unos elementos incluidos en los encabezamientos ATM de las células.
7. Dispositivo según la reivindicación 6, en el cual los elementos definidos por los medios de gestión de control de acceso (7) para condicionar algunos por lo menos de los filtrados efectuados por los medios de análisis de tráfico (20, 21) comprenden además unos elementos incluidos en los encabezamientos de paquetes soportados por dichas células.
8. Dispositivo según la reivindicación 7, en el cual los elementos definidos por los medios de gestión de control de acceso (7) para condicionar algunos por lo menos de los filtrados efectuados por los medios de análisis de tráfico (20, 21) comprenden además unos elementos que sobresalen de un protocolo de transporte asociado a los paquetes.
9. Dispositivo según la reivindicación 8, en el cual dichos paquetes son unos paquetes IP y dicho protocolo de transporte es TCP y/o UDP.
10. Dispositivo según cualquiera de las reivindicaciones 7 a 9, en el cual los elementos definidos por los medios de gestión de control de acceso (7) para condicionar algunos por lo menos de los filtrados efectuados por los medios de análisis de tráfico (20, 21) comprenden además unos elementos incluidos en unos encabezamientos de unidades de datos de protocolos de capa aplicación transportados en los paquetes.
11. Dispositivo según cualquiera de las reivindicaciones 1 a 10, en el cual los medios de gestión de control de acceso (7) están dispuestos para mandar los medios de análisis de señalización (4) y/o los medios de análisis de tráfico (20, 21) para aplicar una política de control de acceso proporcionada según un lenguaje unificado para unas operaciones de control de acceso efectuadas a diferentes niveles de protocolo utilizadas en dichas redes ATM.
12. Dispositivo según cualquiera de las reivindicaciones 1 a 11, en el cual los medios de análisis de tráfico (20, 21) están dispuestos para transferir a un dispositivo parafuego de las células ATM que sobresalen de las conexiones ATM designadas por los medios de gestión de control de acceso (7).
13. Dispositivo según cualquiera de las reivindicaciones 1 a 12, en el cual los medios de análisis de tráfico comprenden por lo menos un analizador de tráfico (20) para las células que van de la red interna hacia la red externa y por lo menos un analizador de tráfico (21) para las células que van de la red externa hacia la red interna.
14. Dispositivo según cualquiera de las reivindicaciones 1 a 13, en el cual los medios de gestión de control de acceso (7) configuran los medios de análisis de tráfico (20, 21) proporcionándoles unos árboles de análisis que corresponden a unos valores de cadenas binarias que pueden aparecer en unos emplazamientos determinados en unas células ATM recibidas del conmutador ATM (3), estando los medios de análisis de tráfico (20, 21) dispuestos para detectar las cadenas binarias que tienen dichos valores y, en respuesta a esta detección para cada valor de un árbol de análisis, realizar una acción de control de acceso especificada en la política de control de acceso o proseguir el análisis según un árbol siguiente.
15. Dispositivo según la reivindicación 14, en el cual los medios de análisis de tráfico (20, 21) comprenden por lo menos una memoria asociativa de tipo TRIE para efectuar unos análisis según un conjunto de árboles definido dinámicamente por los medios de gestión de control de acceso (7).
ES01956631T 2000-07-25 2001-07-23 Dispositivo de control de acceso entre redes atm. Expired - Lifetime ES2237585T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0009723A FR2812491B1 (fr) 2000-07-25 2000-07-25 Dispositif de controle d'acces entre des reseaux atm
FR0009723 2000-07-25

Publications (1)

Publication Number Publication Date
ES2237585T3 true ES2237585T3 (es) 2005-08-01

Family

ID=8852879

Family Applications (1)

Application Number Title Priority Date Filing Date
ES01956631T Expired - Lifetime ES2237585T3 (es) 2000-07-25 2001-07-23 Dispositivo de control de acceso entre redes atm.

Country Status (8)

Country Link
US (1) US20040013086A1 (es)
EP (1) EP1303953B1 (es)
AU (1) AU2001278557A1 (es)
CA (1) CA2417198A1 (es)
DE (1) DE60109038T2 (es)
ES (1) ES2237585T3 (es)
FR (1) FR2812491B1 (es)
WO (1) WO2002009367A1 (es)

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2815208B1 (fr) * 2000-10-06 2003-01-03 France Telecom Regie dans une installation terminale privative en mode atm
FR2835991B1 (fr) 2002-02-12 2004-04-23 France Telecom Procede de configuration d'une memoire trie pour le traitement de paquets de donnees, et dispositif de traitement de paquets mettant en oeuvre un tel procede
US20040008697A1 (en) * 2002-05-15 2004-01-15 Xyratex Technology Limited Method and apparatus for enabling filtering of data packets
US7886350B2 (en) 2003-10-03 2011-02-08 Verizon Services Corp. Methodology for measurements and analysis of protocol conformance, performance and scalability of stateful border gateways
US7886348B2 (en) 2003-10-03 2011-02-08 Verizon Services Corp. Security management system for monitoring firewall operation
US7853996B1 (en) * 2003-10-03 2010-12-14 Verizon Services Corp. Methodology, measurements and analysis of performance and scalability of stateful border gateways
US7421734B2 (en) * 2003-10-03 2008-09-02 Verizon Services Corp. Network firewall test methods and apparatus
US8441935B2 (en) * 2004-08-09 2013-05-14 Jds Uniphase Corporation Method and apparatus to distribute signaling data for parallel analysis
US8027251B2 (en) * 2005-11-08 2011-09-27 Verizon Services Corp. Systems and methods for implementing protocol-aware network firewall
US9374342B2 (en) * 2005-11-08 2016-06-21 Verizon Patent And Licensing Inc. System and method for testing network firewall using fine granularity measurements
US8966619B2 (en) * 2006-11-08 2015-02-24 Verizon Patent And Licensing Inc. Prevention of denial of service (DoS) attacks on session initiation protocol (SIP)-based systems using return routability check filtering
US9473529B2 (en) 2006-11-08 2016-10-18 Verizon Patent And Licensing Inc. Prevention of denial of service (DoS) attacks on session initiation protocol (SIP)-based systems using method vulnerability filtering
US8302186B2 (en) * 2007-06-29 2012-10-30 Verizon Patent And Licensing Inc. System and method for testing network firewall for denial-of-service (DOS) detection and prevention in signaling channel
US8522344B2 (en) * 2007-06-29 2013-08-27 Verizon Patent And Licensing Inc. Theft of service architectural integrity validation tools for session initiation protocol (SIP)-based systems
US8302151B2 (en) * 2008-06-02 2012-10-30 International Business Machines Corporation Improving comprehension of information in a security enhanced environment by representing the information in audio form
US8725869B1 (en) * 2011-09-30 2014-05-13 Emc Corporation Classifying situations for system management
US8879558B1 (en) * 2012-06-27 2014-11-04 Juniper Networks, Inc. Dynamic remote packet capture
RU2607997C1 (ru) * 2015-08-05 2017-01-11 Общество с ограниченной ответственностью "Научно-Техническая Компания "Эспадон" Система защиты компьютерных сетей от несанкционированного доступа

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5842040A (en) * 1996-06-18 1998-11-24 Storage Technology Corporation Policy caching method and apparatus for use in a communication device based on contents of one data unit in a subset of related data units
US6754212B1 (en) * 1996-07-12 2004-06-22 Hitachi, Ltd. Repeater and network system utililzing the same
JP3591753B2 (ja) * 1997-01-30 2004-11-24 富士通株式会社 ファイアウォール方式およびその方法
US6141755A (en) * 1998-04-13 2000-10-31 The United States Of America As Represented By The Director Of The National Security Agency Firewall security apparatus for high-speed circuit switched networks
US7073196B1 (en) * 1998-08-07 2006-07-04 The United States Of America As Represented By The National Security Agency Firewall for processing a connectionless network packet
US6615358B1 (en) * 1998-08-07 2003-09-02 Patrick W. Dowd Firewall for processing connection-oriented and connectionless datagrams over a connection-oriented network
US6917619B1 (en) * 1999-01-13 2005-07-12 Avaya Technology Corp. System and method for interconnecting ATM systems over an intermediate ATM network using switch virtual connections
DE60045552D1 (de) * 1999-06-30 2011-03-03 Apptitude Inc Verfahren und gerät um den netzwerkverkehr zu überwachen
US6879593B1 (en) * 1999-12-20 2005-04-12 Intel Corporation Connections of nodes on different networks
AU2001231041A1 (en) * 2000-01-20 2001-07-31 Mci Worldcom, Inc. Intelligent network and method for providing voice telephony over atm and private address translation
US7031267B2 (en) * 2000-12-21 2006-04-18 802 Systems Llc PLD-based packet filtering methods with PLD configuration data update of filtering rules
US20020143914A1 (en) * 2001-03-29 2002-10-03 Cihula Joseph F. Network-aware policy deployment
FR2835991B1 (fr) * 2002-02-12 2004-04-23 France Telecom Procede de configuration d'une memoire trie pour le traitement de paquets de donnees, et dispositif de traitement de paquets mettant en oeuvre un tel procede

Also Published As

Publication number Publication date
EP1303953A1 (fr) 2003-04-23
AU2001278557A1 (en) 2002-02-05
WO2002009367A1 (fr) 2002-01-31
DE60109038T2 (de) 2006-04-13
CA2417198A1 (fr) 2002-01-31
EP1303953B1 (fr) 2005-02-23
FR2812491A1 (fr) 2002-02-01
DE60109038D1 (de) 2005-03-31
US20040013086A1 (en) 2004-01-22
FR2812491B1 (fr) 2003-01-10

Similar Documents

Publication Publication Date Title
ES2237585T3 (es) Dispositivo de control de acceso entre redes atm.
EP1012726B1 (en) Policy caching method and apparatus for use in a communication device
Khosravi et al. Requirements for separation of IP control and forwarding
Lara et al. OpenSec: Policy-based security using software-defined networking
DE602004009356T2 (de) Verfahren und Vorrichtung zum Schutz einer Netzwerkinfrastruktur und zur gesicherten Kommunikation von Kontrollinformationen
Moscola et al. Implementation of a content-scanning module for an internet firewall
US9258227B2 (en) Next hop chaining for forwarding data in a network switching device
US8689316B2 (en) Routing a packet by a device
Lockwood et al. Internet worm and virus protection in dynamically reconfigurable hardware
Xu et al. Design and evaluation of a High-Performance ATM firewall switch and its applications
KR100308593B1 (ko) 패킷스위칭된 트래픽을루팅하는방법
US20100111083A1 (en) Application for non disruptive task migration in a network edge switch
McHenry et al. An FPGA-based coprocessor for ATM firewalls
ES2276021T3 (es) Procedimiento y dispositivo para el tratamiento de paquetes de datos.
JPH10136016A (ja) パケット転送制御方法及びノード装置
da Silveira et al. IEC 61850 network cybersecurity: Mitigating GOOSE message vulnerabilities
CN101588361B (zh) 一种增强组播安全性的方法
Nelson et al. SDNS Architecture and End-to-end Encryption
Tarman et al. Intrusion detection considerations for switched networks
Paul et al. A Full Bandwidth ATМ Firewall
Paul et al. Design and Implementation of a Full Bandwidth ATM Firewall
Paul et al. An asynchronous distributed access control architecture for IP over ATM networks
Katevenis et al. Wormhole IP over (connectionless) ATM
Zhao et al. OpenRouter: A TCP-based lightweight protocol for control plane and forwarding plane communication
Takahashi et al. APE: Fast and secure active networking architecture for active packet editing