JP2002507295A - 多層型ファイアウオールシステム - Google Patents

多層型ファイアウオールシステム

Info

Publication number
JP2002507295A
JP2002507295A JP50087899A JP50087899A JP2002507295A JP 2002507295 A JP2002507295 A JP 2002507295A JP 50087899 A JP50087899 A JP 50087899A JP 50087899 A JP50087899 A JP 50087899A JP 2002507295 A JP2002507295 A JP 2002507295A
Authority
JP
Japan
Prior art keywords
node
nodes
network
security
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
JP50087899A
Other languages
English (en)
Inventor
ダニー エム ネセット
ウィリアム ポール シェラー
Original Assignee
3コム コーポレイション
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 3コム コーポレイション filed Critical 3コム コーポレイション
Publication of JP2002507295A publication Critical patent/JP2002507295A/ja
Ceased legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • H04L63/0218Distributed architectures, e.g. distributed firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles

Abstract

(57)【要約】 多数のプロトコル層で働くセキュリティ機能を有するノードを含むネットワーク(10)にセキュリティを確立するシステムが提供される。リモートアクセス装置(13)、ルータ(14)、スイッチ(12)、中継器(16)、及びセキュリティ機能を有するネットワークカード(15)のような多数のネットワーク装置は、ネットワークに分散されたファイアウオール機能の実施に貢献するように構成される。種々のネットワーク装置においてネットワークの多数の層全体にわたりファイアウオール機能を分散することにより、浸透したファイアウオールが実施される。浸透した多層ファイアウオールは、ファイアウオールがいかに振舞うべきかを定義するポリシーデータを受け入れるポリシー定義要素(11)を備えている。又、多層ファイアウオールは、定義されたポリシーを実施するのに使用されるネットワークデバイスの集合を含む。ネットワークデバイスのこの集合において多数のプロトコル層にわたって動作するセキュリティ機能は、ポリシー定義要素により整合され、特定のデバイスがネツトワークの当該部分に関与するポリシーの部分を実施するようにする。

Description

【発明の詳細な説明】 多層型ファイアウオールシステム発明の分野 本発明は、ネットワークのセキュリティ機能を確立して実施することに係り、 より詳細には、複数のプロトコル層にセキュリティ機能を確立してネットワーク に多層型ファイアウオールを確立するシステムに係る。先行技術の説明 セキュリティは、いわゆるイントラネットを操作する企業内部と、世界的規模 のグローバルデータネットワークとの両面で、ネットワークユーザにとって益々 重要なものとなってきている。ネットワークのセキュリティを確保する目的で、 著しい技術が開発されている。開発されたセキュリティの特徴は、少なくとも、 次の製品分類を含む。(1)フィルタリング、(2)アクセス制御、(3)保護 通信、(4)セキュリティ支援、及び(5)セキュリティポリシー管理。 フィルタリングは、パケット又はフレームをそれらのヘッダ又はデータ内の値 に基づいてドロップし又は変換することを含む。アクセス制御は、ユーザ又はユ ーザが開始した通信に、特定の計算リソースへのアクセスを与えねばならないか どうか判断することを含む。保護通信は、制御情報又はデータが変更もされない し無許可の個人によって読み取られもしないよう確保するプロセスを指す。セキ ュリティ支援製品形式は、ネットワークデバイスにおいてシステムの他の部分の セキュリティを確保するための支援を与える。セキュリティポリシー管理は、ネ ットワークにおいてセキュリティのポリシーを定義するデータを管理することを 指す。 このような種類のセキュリティ特徴は、現在のシステムでは、特定のネットワ ークデバイスにおいて実施される。セキュリティが実施されるネットワークデバ イスは、通常のターミナルや最終システムに加えて、次のようなデバイスを含む 。(1)ネットワークインターフェイスカード(NIC)及びモデム、(2)中 継器、(3)スイッチ、(4)ルータ、(5)ラインサーバ、パケットサーバ及 びアクセスサーバを含むリモートアクセス装置、及び(6)ネットワークマネー ジメントシステム。特定の製品ファミリーにセキュリティを確立するための製品 は存 在するが、ネットワークに見られる種々の全ての装置分類において製品の利点を 採り入れるシステムは、膨大な管理を必要とする。種々様々なネットワーク中間 装置及びターミナルを伴うネットワークにおいては、全ての種々のプロトコルレ ベル及び全ての種々のシステムにおいてセキュリティポリシーの確立を管理する ためのアドミニストレータが必要とされる。 例えば、ある公知システムでは、仮想ローカルエリアネットワーク(VLAN )と称する構成を確立することができる。VLANを構成することにより、グル ープのメンバーシップが制御される。例えば、ポート番号、媒体アクセス制御ア ドレス、層3プロトコル形式、層3アドレス、及び層3パケットのパターンに一 致するユーザ定義基準を使用して、このような装置におけるVLANメンバーシ ップを定義することができる。同様のパターンマッチングは、例えば、層3ない し7のプロトコルデータを含んでもよい。他のシステムは、リモートアクセスシ ステムにおいてコールごとのフィルタリングをサポートする。これは、顧客が色 々な種類のトラフィックをユーザごとに許可又は拒絶できるようにする。種々様 々な他のセキュリティシステムも市場で入手できる。 しかしながら、種々のセキュリティ特徴、種々のデバイス、及びそれらが動作 するプロトコルレベルは、セキュリティ特徴の利用者にとって著しい管理の問題 を引き起こす。複雑であるために、ネットワークの全ての層及びデバイス形式に わたって整合したセキュリティポリシーを確立することは困難であると共に、こ れが首尾良く実施されたとしてもこのようなシステムを維持することは特に困難 である。 更に、ネットワークの進歩に伴い、特定のセキュリティ機能に参加することの できない遺産的システムとしばしば称される古い装置が残される。それ故、ネッ トワークに追加されるセキュリティ機能は、ネットワーク全体に首尾良く浸透で きないことがある。或いは又、ネットワークにおける遺産的システムの存在が、 セキュリティシステムの整合及び実施を更に複雑なものにする。 従来、専用ネットワークを外部からの侵入に対して保護するルータ及びアプリ ケーションプロキシーゲートウェイのような境界装置としてファイアウオールが 実施されている。しかしながら、おそらく、企業の損失の50%ないし80%は 、 内部の者の侵入、例えば、不満を抱えた又は機会に恵まれた従業員によるもので ある。従って、会社のイントラネットに関するほとんどのセキュリティ要求は、 内部侵入に対する保護である。 更に、現代企業の経営は、その経済性から、会社にとって外注先での作業や他 の会社との共同運営が益々必要になっている。現代企業では情報技術が業務の実 施に日に日に浸透してきているので、このような外注作業や共同運営は、会社が 電子的手段を用いて互いに情報を共用することを必須とする。この情報が、会社 の情報財産の他部分を保持するものから分離された装置において入手できること は稀である。従って、外注作業や共同運営には、会社にとってそのイントラネッ トの一部分へ別の会社がアクセスするのを許可することが必要となる。更に、各 々の外注作業や共同運営の構成は、通常、会社の異なる部門や子会社を伴う。こ れは、少なくとも1つの外部関係者によりアクセスできる会社の情報財産の割合 が著しく大きくなることを意味する。 従来の境界ファイアウオールは、2つの事柄、即ち内部の者による脅迫や、広 く分散したデータの外部共用によって生じるセキュリティ要件を満足するのにほ とんど適していない。境界ファイアウオールは、内部の者による脅迫に対処する のには全く不適である。それらは、外部の侵入者が会社のイントラネットに侵入 するのを排除することを意味するが、内部の者がそれを行うのを阻止することは できない。 会社の情報への外部アクセスを受け入れるためには、必要な情報を流せるよう に境界ファイアウオールに「ホール」を形成しなければならない。極端な場合に 、各部門は、会社のファイアウオールを全く簡単にバイパスして、外注先や共同 経営の会社、又はその社員へ直接接続することができる。 これらの要件を満足する1つの解決策は、会社のイントラネットを多数の部分 に分割し、そしてそれらの間に境界ファイアウオールを配置することである。こ の解決策は、価値があるが、会社のイントラネットにボトルネックが生じること になる。即ち、内部のファイアウオールが会社内の業務遂行に悪影響を及ぼす。 区画化がより細かくなるにつれて、ファイアウオール区画の外部のリソースへの アクセスは、その遂行性が益々悪くなる。 この問題に対する別の解決策は、ファイアウオールの機能をプロトコルハイア ラーキーの下位層へと分散することである。従って、例えば、ネットワークイン ターフェイスカード、中継器及びスイッチが、あるファイアウオールパケットフ ィルタリング作業を行う場合には、従来パケットフィルタリングを行っていたル ータにおいて相当の処理が軽減され、それ故、所与のコストに対して良好な性能 を発揮することができる。更に、ファイアウオールの分散化は、規模編成の良好 な機会を与える。即ち、ネットワークが成長するにつれて、フィルタリングを実 行するのに使用できるリソースも当然成長する。これは、例えば、内部の境界フ ァイアウオールにおいて生じることのあるチョークポイントの発生を防止する。 通常、公知技術では、パケットフィルタリングのようなファイアウオール機能 は、単一のノード、又は同じファイアウオールルールを伴う同様のノードのグル ープに設けられる。これらのノードは、ネットワークの外部からの侵入に対して ネットワークを保護するためにネットワークの境界に展開される傾向にある。し かしながら、この解決策は、ネットワークの拡張につれて充分に規模を広げるこ とができない。更に、ネットワークセキュリティに対して制御の粒度が非常に粗 くなる。実施することのできる種々の異なる解決策は、個々のシステムがネット ワーク内でいかに相互作用するか理解することが困難である。更に、これらの個 々のシステムは、ネットワーク内部の無許可の行為から保護するために適用した ときには、通常、著しい性能上の問題を引き起こす。(例えば、「インターネット ファイアウオールの構築(Building Internet Firewalls)」、チャプマン氏等著 、オーレイリ&アソシエーツ、1995年9月;「インターネットファイアウオ ール及びセキュリティ(Internet Firewall and Security)」、3コム・テクニカ ルレポート、1996年、セメリア著を参照されたい)。 従って、ネットワークシステムの多数の層にわたり整合されたセキュリティポ リシーを実行することのできるシステムの実施が要望される。発明の要旨 本発明は、多数のプロトコル層で動作しそしてセキュリティ機能を有するノー ドを備えたネットワークにおいてセキュリティを与えるシステムを提供する。ル ータ、リモートアクセス装置、スイッチ、中継器及びネットワークカードのよう な多数のネットワークデバイス、並びにセキュリティ機能を有する最終システム プロセスは、ネットワークにおける分散型ファイアウオール機能の実施に貢献す るように構成される。ネットワークのファイアウオール機能を種々のネットワー クデバイス及び最終システムに分散することにより、浸透したファイアウオール が実施される。浸透した多層型ファイアウオールは、ファイアウオールがいかに 振舞わねばならないかを定義するポリシーデータを受け入れるポリシー定義要素 を含む。このポリシー定義要素は、集中化された要素であってもよいし、又はネ ットワークにわたって分散された要素でもよい。又、多層型ファイアウオールは 、定義されたポリシーを実施するのに使用されるネットワークデバイスの集合も 含む。多数のプロトコル層にわたりネットワークデバイスのこの集合において動 作するセキュリティ機能は、特定のデバイスが、ネットワークの当該部分に関与 するポリシーの部分を実施するように、ポリシー定義要素により整合される。 例えば、ネットワークのルータは、トラフィックがルータを横切るところのシ ステム及びネットワークデバイスに関与するポリシーの部分を実施する。スイッ チは、トラフィックがスイッチを横切るところのシステム及びネットワークデバ イスに関与するポリシーの部分を実施する。中継器は、トラフィックが中継器を 横切るところのシステム及びネットワークデバイスに関与するポリシーの部分を 実施する。ネットワークインターフェイスカードは、それが接続されたシステム 又はデバイスに関与するポリシーの部分を実施する。更に、多層型ファイアウオ ールにはネットワークの他の部分が含まれ、例えば、最終システムのオペレーテ ィングシステム及びアプリケーションや、ネットワークトラフィックを制御しそ してネットワークトラフィックを監視するリモートアクセス装置のネットワーク マネージメントシステムや、他の補助的なシステム、例えば、本発明の浸透した 多層型ファイアウオールが実施されるネットワークデバイスの集合に含まれるネ ームサーバ及びファイルサーバが含まれる。 本発明は、多数のネットワークデバイス及び最終システムにおいて整合された アクセス制御、協働保護通信特徴、及び全体的なセキュリティポリシー管理を与 える。セキュリティアドミニストレータには、ネットワークのセキュリティ特性 を監視できるようにする便利で且つ明確な制御システムが設けられる。更に、本 発明は、セキュリティサービスにおける不必要な冗長性を減少できるようにし、 遺産的システムサポートのエリアにおいて著しい顧客の要求を満足し、コスト効 率を与え、そして複雑さを低減させる。 従って、本発明は、1つの観点によれば、ノードを含むネットワークにセキュ リティを与えるシステムを特徴とすることができる。ネットワークのノードセッ トにおけるノードは、1つ又は多数のプロトコル層で動作するセキュリティ機能 を含み、そしてノードの各形式に適応されたフォーマットを有する構成データに 応答してこのようなセキュリティ機能を実行する。システムは、ネットワークの ノードセットにおいて動作するセキュリティ機能に関する情報及びネットワーク におけるノードの相互接続に関する情報を記憶するトポロジーデータ記憶装置を 備えている。このトポロジーデータ記憶装置にはコンフィギュレーションインタ ーフェイスが接続される。このインターフェイスは、ネットワークのノード間で 実施されるべきセキュリティポリシーを指示するセキュリティポリシーステート メントを受け取るための入力を含む。ネットワーク、コンフィギュレーションイ ンターフェイス及びトポロジーデータ記憶装置にはコンフィギュレーションドラ イバーが接続される。このコンフィギュレーションドライバーは、セキュリティ ポリシーステートメントを、ネットワークのノードに必要なフォーマットのコン フィギュレーションデータへと変換するリソースであって、各ノードに対して使 用できる通信チャンネルを用いてコンフィギュレーションデータをノードへ送信 するリソースを含む。 本発明の種々の観点によれば、ノードは、媒体アクセス制御MAC層を含む多 数のプロトコル層を実行し、そしてノードセットは、フィルタパラメータに基づ いてMAC層のフィルタリングを与えるノードを含む。コンフィギュレーション データは、MAC層のフィルタリングに対するフィルタパラメータを含む。別の 観点において、多数のプロトコル層は、インターネットプロトコルIP層のよう なネットワーク層を含む。この観点によれば、ノードセットは、フィルタパラメ ータに基づいてネットワーク層フィルタリングを与えるノードを含む。コンフィ ギュレーションデータは、このようなノードにおけるネットワーク層フィルタリ ングのためのフィルタパラメータを含む。別の観点によれば、多数のプロトコル 層は、インターネットプロトコルを介して動作する搬送制御プロトコルTCPの ような搬送層機能を含む。この観点によれば、コンフィギュレーションドライバ ーは、セキュリティポリシーステートメントを、フィルタリングのような搬送層 機能、フィルタリングのようなアプリケーション層機能及び/又はプロトコルス タックの上位層における機能に対するコンフィギュレーションデータに変換する リソースを含む。このような上位層機能は、例えば、認証プロトコル、許可プロ トコル、オーデットプロトコル及び他のセキュリティ機能を含む。フィルタリン ク、アクセス制御、保護通信及びセキュリティ支援特徴を実行する種々のデバイ スは、ネットワークインフラストラクチャーにおいて分散され、そして本発明に より整合形態で管理される。 本発明の他の観点によれば、コンフィギュレーションインターフェイスは、セ キュリティポリシーステートメントを決定するためにスクリプト言語を解読する スクリプトインタープリターを含む。スクリプト言語は、キーボード又はグラフ ィックユーザインターフェイスによって入力することができる。スクリプト言語 のサポートにおいて、トポロジーデータ記憶装置は、セキュリティポリシーを実 施することのできるネットワーク内の能動的ノードと、セキュリティポリシーを 実施できないか又はそれを実施する信頼のない受動的ノードとを指示するデータ を含む。更に、トポロジーデータ記憶装置は、セキュリティフレームワーク内の ノードセットの外部のノードへ至るネットワークリンクに接続されたノードを指 示するデータも含む。セキュリティポリシーステートメントは、最終システムの セキュリティポリシーを指示する。能動的ノード、受動的ノード、及びセキュリ ティネットワークの外部のノードへ至るネットワークリンクに接続されたノード は、ポリシーを実行するように構成される。本発明の別の観点によれば、スクリ プト言語は、ソースノード又はソースグループのためのソース識別子と、行先ノ ード又は行先グループのための行先識別子と、通信アクティビティ識別子と、識 別されたソースと識別された行先との間の識別された通信アクティビティのため のルールとを含むセキュリティポリシーステートメントを特定するシンタックス を含む。本発明の1つの観点によれば、シンタックスは、更に、ルールを実施す べき位置(即ち、ソース、行先、ソース及び行先の両方、或いは中間ノード)の 識別子を含む。 本発明の更に別の観点によれば、セキュリティポリシーステートメントは、ネ ットワーク内の1つ以上の最終ステーションを含むソースセットと、ネットワー ク内の1つ以上の最終ステーションを含む行先セットとの間で通信するためのセ キュリティポリシーを指示する。コンフィギュレーションドライバーは、ネット ワークのノードセット内の指示されたセキュリティポリシーを実施することので きるノードのカット頂点セットを識別すると共にそのカット頂点セット内のノー ドにおいてコンフィギュレーションデータを確立するためのリソースを含み、こ こで、カット頂点セットは、ネットワークから除去された場合にソースセットを 行先セットから分離する能動的ノードより成る。最適な実施形態においては、カ ット頂点セットは、最小のカット頂点セットより成る。 本発明の更に別の観点によれば、コンフィギュレーションドライバーは、受動 的ノードにリンクされた能動的ノードに対してコンフィギュレーションデータを 発生することにより受動的ノードのセキュリティポリシーを実施するためのリソ ースを含む。又、コンフィギュレーションドライバーのリソースは、トポロジー 記憶装置のデータに基づいて実施できないセキュリティポリシーステートメント を識別する。 トポロジーデータ記憶装置は、1つの好ましい観点においては、セキュリティ フレームワーク内に入るノードセット内の特定ノードに関する情報を与えるデー タ構造体を含む。このデータ構造体は、ネットワーク層アドレス、MAC層アド レス、上位層ユーザ識別子、搬送層のポート及びソケット番号、特定のノードが セキュリティポリシーを実施する信頼があるかどうか、ノードが実施できるセキ ュリティポリシーの形式、ポリシーを実施するのに使用される構造、セキュリテ ィ構造に必要なコンフィギュレーションデータのフォーマット、及びノードとネ ットワーク内の他のノードとの接続のような情報を含む。 本発明の更に別の観点によれば、コンフィギュレーションドライバーは、ネッ トワークに分散されたセキュリティ機能のためのコンフィギュレーションデータ を発生する。コンフィギュレーションデータは、永続的な記憶能力を有するコン フィギュレーション記憶装置に記憶され、これは、コンフィギュレーションデー タに関連したノードセットにおける特定のノードと通信する。ネットワーク内の あるデバイスのコンフィギュレーション記憶装置は、例えば、不揮発性のプログ ラマブルメモリの形態でデバイス自体に含まれる。別のシステムでは、コンフィ ギュレーション記憶装置は、ポリシーが実施されるノード以外のネットワーク内 のノードに設けられ、そして通信リンクによってポリシーが実施される特定のノ ードに接続される。本発明のこの観点によれば、コンフィギュレーションドライ バーは、更新されたコンフィギュレーションデータをコンフィギュレーション記 憶装置に送信し、その後、セキュリティ機能が実行されるノードに、記憶装置の コンフィギュレーションが更新されたことを通知する。このノードは、次いで、 更新されたコンフィギュレーションデータを読み取り、そして更新されたポリシ ーの実行を開始する。 又、本発明は、より一般的には、ネットワークにファイアウオールシステムを 確立する方法を特徴とすることができる。この方法は、ネットワーク内のノード において動作するセキュリティ機能と、ネットワーク内のノードの相互接続とに 関する情報を含むトポロジーデータを与えることを含む。次いで、この方法は、 当該ノードの形式(1つ又は複数)に合致するフォーマット及び通信チャンネル を使用して、セキュリティ確保されたネットワーク内の最終システム間で実施さ れるべきセキュリティポリシーを含むセキュリティポリシーステートメントを与 えることを含む。次いで、この方法は、トポロジーデータに応答して、セキュリ ティーポリシーステートメントを、ネットワーク内で動作するセキュリティ機能 のためのコンフィギュレーションデータに変換することを含む。最終的に、この 方法は、ノードの種々の形式に合致するフォーマット及び通信チャンネルを使用 して、ネットワーク内の能動的なノードにおいてセキュリティ機能のコンフィギ ュレーションデータを確立することを含む。セキュリティ機能が1つの別の形態 で動作するところの多数のプロトコル層は、少なくとも2つのプロトコル層、例 えば、データリンク層、ネットワーク層、搬送層、並びにそのアプリケーション 又は等効物の少なくとも2つを含む。 従って、本発明は、ネットワークインターフェイスカード、スイッチ、ルータ 及びリモートアクセスシステムに設けられたセキュリティ機能の利点を取り入れ 、 そしてファイアウオール機能をネットワーク内の種々のデバイスへと移動して、 浸透した多層型ファイアウオールを形成する機会をシステムアドミニストレータ ーに与える。セキュリティ特徴は、多数のデバイスに対して多数の層に分散し、 そしてコヒレントなセキュリテイポリシーマネージメントインターフェイスを用 いて管理することができ、このインターフェイスは、ネットワークのセキュリテ ィ特性を介して便利で且つ明確な制御をセキュリティアドミニストレーターに与 える。分散された機能と、便利で且つ明確な制御は、分散型リモート監視drM ONのようなシステム、又は単一目的機能に向けられた他の精巧なネットワーク システムに対してのみ現存するファイアウオールの利点を拡張できるようにする 。 フィルタリングルール及び保護通信インフラストラクチャー情報セットのよう なセキュリティポリシーデータを含むネットワークデバイスの数が増加するにつ れて、コヒレントで且つ整合されたデータ管理を与えることが益々重要となる。 本発明は、種々の多層ネットワークにおいてセキュリティポリシー実施データを 管理及び分散するためのコヒレントな解決策を提供する。 本発明の他の特徴及び効果は、添付図面、その詳細な説明及び請求の範囲から 明らかとなろう。図面の簡単な説明 図1は、本発明による多層型ファイアウオールシステムを含むネットワークを 示す簡単な図である。 図2は、本発明の多層型ファイアウオールシステムに含まれる種々のネットワ ーク要素を示す図である。 図3は、本発明による多層型ファイアウオールを実施するプロセスを示すフロ ーチャートである。 図4は、本発明による多層型ファイアウオール機能を実施するための別の技術 を示すフローチャートである。 図5は、本発明の多層型ファイアウオールシステムによりネットワーク内のノ ードにコンフィギュレーションデータを確立するのに含まれる段階を示すフロー チャートである。 図6及び7は、図2の変形であって、本発明による例示的なセキュリティフレ ームワークを強調して示した図である。好ましい実施形態の詳細な説明 先ず、図1ないし5を参照して本発明を詳細に説明する。図1は、概観図であ る。 図1において、ネットワーク10は複数のノードを含む。ネットワーク内の少 なくとも1つのノードは、ネットワークマネージメントステーション11又は他 のセキュリティポリシーサーバを含む。ネットワーク内の他のノードは、スイッ チ12と、リモートアクセス装置13と、ルータ14と、ネットワークインター フェイスカード及びそれをサポートするドライバーソフトウェを含む最終ステー ション15と、中継器16とを備えている。従って、ネットワーク10には種々 のネットワークデバイスが含まれる。スイッチ12、リモートアクセス装置13 、ルータ14、最終ステーションのネットワークインターフェイスカード15及 び中継器16は、全て、セキュリティポリシーマネージメントエージェント22 、23、24、25及び26を各々含む。これらセキュリティポリシーマネージ メントエージェント22−26は、種々のプロトコル層においてセキュリティ機 能を実行する。エージェントが実施される特定のネットワークデバイスを横断す るプロトコル層と、他の構造的特徴とに基づいて、セキュリティ機能に使用され る構造は、デバイス形式ごとに変化する。 図1に示す実施形態では、ネットワークマネージメントステーション11は、 トポロジーデータ記憶装置30と、コンフィギュレーションインターフェイスの 前端31と、コンフィギュレーションドライバーを構成するセキュリティポリシ ーマネージメント後端32とを備えている。トポロジーデータ記憶装置30は、 ネットワークのノードにおいて多数のプロトコル層で動作するセキュリティポリ シーマネージメントエージェント22−262より実行されるセキュリティ機能 に関する情報を記憶する。又、このトポロジーデータベースは、ネットワークに おけるノードの相互接続も指示する。 コンフィギュレーションインターフェイスの前端31は、トポロジーデータベ ース30に接続される。これは、セキュリティポリシーステートメントを受け取 るための入力を含み、例えば、セキュリティポリシー言語のスクリプトを与え、 このスクリプトをインタープリター34により解読して、セキュリティポリシー ステートメントを形成する。セキュリティポリシーマネージメントの後端32は 、コンフィギュレーションインターフェイスの前端31及びトポロジーデータベ ース30に接続され、セキュリティポリシーステートメントをネットワーク内の ノードのコンフィギュレーションデータへと変換するリソースを含む。セキュリ ティポリシーマネージメントの後端32は、セキュリティポリシーステートメン トを実施すべきネットワーク内のノードにおいてセキュリティポリシーマネージ メントエージェント22−26へのコンフィギュレーションデータを確立するコ ンフィギュレーションドライバーを構成する。 コンフィギュレーションインターフェイスの前端31は、1つの実施形態にお いては、セキュリティポリシー言語のスクリプトをシステムに入力するところの テキスト入力デバイスを含む。別の実施形態では、コンフィギュレーションシス テムインターフェイスの前端31は、ユーザがセキュリティポリシーステートメ ントを特定するところのグラフィックユーザインターフェイスを含む。各々の解 決策において、セキュリティポリシーステートメントを、そのポリシーが実施さ れるネットワーク内のノードの適当なプロトコルレベル及びデバイス形式に対す るコンフィギュレーションデータへと変換することのできるシンタックスを有す るセキュリティポリシースクリプトが与えられる。 セキュリティポリシー言語及びセキュリティポリシー言語前端 セキュリティポリシー言語は、ネットワーク内のアクティビティに対する制約 を特定するのに使用される。このようなアクティビティは、中継器、スイッチ、 ルータ、リモートアクセス装置等のネットワークデバイスと、ネットワークの最 終システムとの両方によって行なわれるアクティビティを含む。多層ファイアウ オールは、特定の設備に適したセキュリティポリシー言語で実施できるが、1つ の言語を以下に例示する。 各最終システム及び能動的ネットワークデバイスは、そのセキュリティポリシ ーマネージメントエージェントに関連した1つ以上のネットワークアドレスを有 し、そして1つ以上の他のネットワークデバイスに接続される。この情報は、セ キュリティポリシー言語前端によりシステムアドミニストレータとの対話を介し て得られると共に、トポロジーデータベースから得られる。システムアドミニス トレータとの対話は、ユーザインターフェイスを経て行なわれるか、或いはファ イルや他の記憶リソース、例えば、ドメインネームシステム(DNS)、ネットワ ークインフォメーションサービス(NIS)又は他のベースの読み取りによって 行なわれる。最終システムは、それらが常にトポロジーデータベースから形成さ れたグラフに放置されるという点でネットワークデバイスとは区別される。 「ノード」という一般的な表現は、最終システム又はネットワークデバイスのい ずれかを指す。最終システム(akaホスト)は、ポリシーステートメントにお いて識別されるノードである。例えば、管理の目的でネットワークデバイスがア クセスされるときには特殊なケースが生じる。このケースでは、ネットワークデ バイスが最終システムの役割を果たす。 ネットワークの最終システムは、グループに属してもよい。グループは、名前 が付けられ、そしてそれらのメンバーシップは、システムアドミニストレータ等 によるか又はトポロジーデータベースで実施される別の形態においてセキュリテ ィポリシー言語前端への入力で確立される。この場合も、この入力は、ユーザイ ンターフェイスの対話によるか、又はセキュリティポリシー言語前端がファイル 又は他のデータベースを読み取ることにより得ることができる。最終システムの グループは、個々の最終システム又は最終システムの他のグループを含むものと して特定されてもよい。最終的に、通信リンクを経て、セキュリティが適用され るネットワークの外部の他のノードへ接続されるノードは、トポロジーデータベ ースに記入される。1つの実施形態において、シンタックスは、多層ファイアウ オールのマネージメントドメイン以外の最終システムを表わす「外部」という名 前の特殊な「仮想」ノードを与える。従って、トポロジーは、そのトポロジーに おける特定のノードが特殊なノード「外部」に接続されたかどうかを指示する。 別の実施形態では、名前の付いた外部ノードが2つ以上存在することも考えられ る。これは、多層ファイアウオールが、2つ以上の他の外部多層ファイアウオー ルと通信するためのポリシーを定義できるようにする。 又、セキュリティポリシー言語前端は、他の情報、例えば、ユーザ識別子、ユ ーザ識別子のグループ、行先へのアクセスがソースによって許される時間長さに 対する時間仕様、行先へのアクセスが許される時間間隔の仕様、等々を管理し、 又はそれらを特定する前端として働くのが好ましい。 セキュリティポリシー言語それ自体は、ネットワーク内の最終システム間に許 されたアクティビティを特定するセキュリティポリシーステートメントのセット を書き込むのに使用される。例示的なルールベース及びシンタックスは、次の通 りである。 トポロジー情報データベース トポロジー情報データベースは、ノード及びそれらがいかに相互接続されたか に関する情報を含む。ノードに特有の情報は、1つの例では、そのネットワーク アドレス(1つ又は複数)と、そのMACアドレス(1つ又は複数)と、その許 された関連ユーザ識別子と、そのポート又はソケット番号と、セキュリティポリ シーを実施する信頼があるかどうかと、実施できるのはどんな形式の実施ルール かと、ノードにおけるセキュリティ構造のフォーマットと、ネットワークにおけ るノード間の相互接続とを含む。 ノードがいかに接続されるかの情報は、各ノード又はノードネットワークイン ターフェイスの識別子と、どのノードがどのノードインターフェイスを経て他の どのノードに直接接続されるかを特定するグラフ情報とを含む。又、この情報は 、「外部」ノード、或いは外部接続を指示する別のファイアウオールシステム又は 別のデータ構造体に接続されたノードも含む。1つの拡張において、情報は、物 理的ノード内の個々のプロセスを識別する。 トポロジーデータベースは、一例において、単一のデータベースマネージメン トシステムによって管理されるか、或いは個々のノード又はノードの集合におい てデータベース前端システムにより管理される多数のデータベースから構成され る。多数のデータベースにおけるデータは、例えば、RMON及びdRMONデ ータと、最終システム及びネットワークデバイスにより管理されるセキュリティ 情報と、ネットワークを通して分散されたネットワークマネージメントシステム により得られる接続情報とを含む。 セキュリティポリシーマネージメント後端 セキュリティポリシーマネージメント後端は、セキュリティポリシー前端コン フィギュレーションインターフェイス及びトポロジーデータベースからの情報を 使用して、セキュリティポリシーステートメントにより特定されたセキュリティ ポリシーを形成、記憶、更新、分配及び実施する。後端は、スタンドアローンマ ネージメントシステム、永続的記憶システム及びノードにおけるエレメントより 成る。セキュリティポリシーマネージメント後端は、トポロジーデータベースに おける情報のコンテクストにおいてセキュリティポリシーステートメントで特定 されたルールを変換し、そしてノード特有のセキュリティポリシーコンフィギュ レーションデータを構成し、それが選択したネットワークノードへ分配する。セ キュリティポリシーマネージメント後端は、セキュリティポリシーステートメン トを、特定のノードで実施できるコンフィギュレーションデータのセットにいか に区画化するかを判断し、そしてセキュリティポリシーステートメントのルール を、その選択されたノードで実施できるノード特有のコンフィギュレーションデ ータへと変換する。 ノード特有のセキュリティポリシーコンフィギュレーションデータは、ノード のフィルタリングエンジンを駆動するフィルタリングルールのような静的なデー タを含むか、又はジャバ、ソース又はバイトコードのような動的なデータリンク プログラムや、TCL、ピアール、Cシェルスクリプトのようなスクリプト言語 で表わされたプログラムを含む。特定のノードで実施されるセキュリティポリシ ーステートメントを表すコンフィギュレーションデータのフォーマットは、特定 のノード及びそのセキュリティポリシー実施エージェントに基づく。 1つの別の形態において、セキュリティポリシーマネージメント後端は、セキ ュリティポリシーステートメントが上記のシンタックスに基づいて表わされると 仮定すれば、セキュリティポリシーステートメント及びトポロジーデータベース 情報を分析して、次のプロセスに基づきデバイス特有のセキュリティポリシーコ ンフィギュレーションデータを駆動する。 1.ノードは、2つの分類に分けられる。1)ポリシーを実施できないか又は 実施する信頼性がないためにポリシーを実施することのできない受動的ノード、 及び2)ポリシーを実施することのできる能動的ノード。 2.各能動的ノードごとに、それに直結されるか、又は受動的ノードから他の 受動的ノードを経て能動的ノードへ至る経路が存在するところの全ての受動的ノ ードのリストを形成する。このリストにおける各受動的ノードは、能動的ノード の関連ノードと称される。 3.各セキュリティポリシールールに対して、ソースノードのセットを形成し (即ちリストが個々のノードのみを含むまでソースセットにおけるノードの全グ ループを繰り返し拡張することにより)、そして行先ノードのセットを決定する( ソースセットにおけるノードではなく行先セットにおけるノードを使用すること 以外は同じ分解アルゴリズムを使用して)。 4.各セキュリティポリシールールに対して、次の計算を実行する。ソースノ ードセットにおける各受動的ノードごとに、そこから、能動的ノードを横断しな い行先ノードセットの受動的ノードへ至る経路が存在するかどうか決定する。も しそうであれば、ルールを実施できないことを通知する。 5.ルールが、ソースにおいて実施すべきであることを特定する場合には、 − ソースノードセットにおいて関連ノードを伴う能動的ノードのセットを 決定する。 − これら能動的ノードの各々に対し、ルールで特定されたセキュリティポ リシーステートメントを、ノードが実施できるセキュリティポリシーコ ンフィギュレーションデータ、即ちそれ自身のセキュリティポリシー言 語のルールへと変換する。 − ノード特有の通信チャンネルを使用してノードにおいてこれらルールを 確立する。 6.ルールが、行先ノードセットにおいて実施すべきであることを特定する場 合には、 − 行先ノードセットにおける関連ノードを使用する以外は、上記5の場合 と同じことを行う。 7.ルールが、ソースノードセット及び行先ノードセットの両方において実施 すべきことを特定する場合には、 − 上記5及び6の両方を行う。 上述したルールに基づくセキュリティポリシーの実施は、図2及び3を参照し て良く理解することができよう。図2は、本発明によるセキュリティポリシーが 多数の層において実施されるネットワークの要素を詳細に例示する。図3は、分 散型多層ファイアウオールの実施を示す全体的なフローチャートである。 図2から明らかなように、代表的なネットワークは、種々様々なネットワーク デバイス及び最終システムを備えている。従って、図2は、ノードのセットを含 むネットワークを示し、ノードセットにおけるノードは、多数のプロトコル層に セキュリティ機能を与える。ネットワークは、汎用のワイドエリアネットワーク WANファシリティ100を備えている。ワイドエリアネットワーク100は、 第1のプライベートネットワーク101及び第2のプライベートネットワーク1 02に接続される。第1のプライベートネットワーク101の要素は詳細に示さ れているが、第2のプライベートネットワーク102は雲の形で示されている。 又、ワイドエリアネットワークファシリティ100は、スタンドアローンのルー タ型の最終システム103と、公衆交換電話ネットワーク(PSTN)105に 接続されたラインサーバ104と、これもPSTN105に接続されたアクセス サーバ106とに接続される。図2に示すように、WANファシリティ100は 、サイトルータ107、パケットサーバ108及び別のサイトルータ109を経 てプライベートネットワーク101に接続される。 PSTN105は、モデム110を経てスタンドアローンのダイアルアップ最 終システム111に接続される。又、PSTN105は、リモートアクセスルー タ112に接続される。リモートアクセスルータ112は、最終システム113 及び114に接続される。又、リモートアクセスルータ112は、ターミナルサ ーバ115に接続され、これは、次いで、最終システム116及び117に接続 される。 第1のプライベートネットワーク101において、パケットサーバ108は、 この例では中継器又はスイッチの機能を与えるハブ120に接続される。ハブは 、次いで、サイトルータ107及びサイトルータ109に接続される。サイトル ータ107、109の各々は、ワイドエリアネットワークファシリティ100に も接続される。サイトルータ107は、アクセスサーバ121に接続され、これ は、PSTN105に接続される。又、サイトルータ107は、スイッチ122 及びスイッチ123を含むスイッチセットに接続される。サイトルータ109は 、スイッチ124に接続される。スイッチ124は、中継器125で表わされた 中継器セットに接続される。中継器125は、図1のノード11に対応するセキ ュリティポリシーマネージメントリソースを含む最終ステーション126に接続 される。 又、プライベートネットワーク101は、スイッチ122及び123に接続さ れた要素で表わされた多数の他のデバイスも含む。スイッチ122は、中継器1 30及び最終システム131のネットワークインターフェイスカードNICへの 接続を含む構成で示されている。中継器130は、ネットワークインターフェイ スカードを含む最終システム132を備えた最終システムセットにも接続される 。 スイッチ123は、中継器133に接続され、これは、次いで、最終システム 134を含む多数の最終システムに接続される。スイッチ123は、図中雲の形 で一般的に示されたスイッチネットワーク140に接続される。スイッチネット ワーク140は、スイッチ141に接続される。スイッチ141は、中継器14 2に接続され、これは、次いで、ネットワークインターフェイスカードNICを 含む最終システム143に接続される。 図2において、セキュリティポリシー実施エージェントが配置されたノードは 、水平のバーでコード化される。従って、図の左上の隅から始めて、モデム11 0、リモートアクセスルータ112、ターミナルサーバ115、アクセスサーバ 106、ラインサーバ104、パケットサーバ108、サイトルータ107、サ イトルータ109、スイッチ122、スイッチ123、中継器133、及び最終 システム131、132のネットワークインターフェイスカードは、全て、セキ ュリティポリシーを実施するエージェントを含む。ポリシーマネージメントステ ーション126は、上述したコンフィギュレーションインターフェイス、トポロ ジーデータベース、及びコンフィギュレーションドライバ後端を形成するリソー スを備えている。 本発明に基づいてセキュリティポリシーを実施できる典型的なネットワークに おけるデバイスの概要を以下に説明する。次いで、図3−6を参照して、本発明 のプロセス全体を説明する。 ネットワークインターフェイスカード及びモデム ノードセットにおける最も基本的な製品は、ネットワークインターフェイスカ ード(NIC)及びモデムである。NICは、内部I/Oバスを経て最終システ ムに取り付けられて、イーサネット、高速イーサネット、ギガビットイーサネッ ト、トークンリング、FDDI及びATMのようなローカルエリアネットワーク への最終システムアクセスを与えるI/Oデバイスである。ATMの場合には、 あるNICは、ATMのワイドエリアネットワークにアクセスすることができる 。 モデムは、シリアル又はパラレルインターフェイスを経て最終システムに取り 付けられる外部装置である。一般に、それらは、最終システムがPSTN又は非 交換式の地上ラインを使用してデータを移動できるようにする。 従来、NIC及びモデムは、特徴ではなくて性能に対して最適化された簡単な 装置である。 おそらく、広範囲な受け入れを得るための第1のNICセキュリティ特徴は、 NICブートROMである。ネットワークサーバからディスクなしでブートでき るように最初に意図されたブートROMは、信頼性のあるブートコードの実行を 保証するという関心のあるセキュリティ副作用を有する。ある支援ソフトウェア と共にこれを使用して、信頼性のあるコードを最終システムへロードし、このシ ステムがNICを確実に動作するよう構成する。 セキュリティの実施と共に益々普及した特徴は、フィルタリングである。フィ ルタリングの使用は、多数の目的により動機付けされる。LANレベルにおいて フィルタリングを使用して、フレームの無制限な送信から生じるリソース欠乏の 問題からNIC及びハブが保護される。この形式のフィルタリングを与えるため に開発された構造は、VLANとして知られている。層2より上で動作するより 一般的な機構は、ルータを横切ってフィルタリングを行えるようにする。これら の機構は、VNETとして一般に知られている。 フィルタリングをセキュリティの目的に使用することは、NIC、スイッチ、 中継器、ルータ及びリモートアクセス装置で行うことができる。NIC内でのフ ィルタリングは、それが送信するソースMACアドレスが有効であることを保証 すると共に、それが受信するソースアドレスが信頼性のある最終システムからの ものであることを保証するようために使用できる。しかしながら、NICフィル タリングは、他の等しく有効な目的にも使用でき、例えば、ハブからVLANの 実行処理の負荷を除去し、浸透した多層ファイアウオールを実施し、そして高レ ベルセキュリティプロトコルに対するハードウェアサポートを与えるのに使用で きる。 NIC及びモデムにとって独特の1つの保護通信特徴は、ある物理的な通信チ ャンネルによって与えられる高レベルの流出セキュリティである。特に、光ファ イバラインの使用は、侵入者による受動的な盗聴のおそれを低減する。 更に、多くの顧客は、彼等の内部ネットワークが、通信ポート及び最終システ ムへの物理的なアクセスを得ようとする侵入者に対して益々抵抗力のない状態に なりつつある。例えば、慎重さを要する資産的情報を保持する会社のイントラネ ットは、広い地域にわたって延びていて、遠隔のエンジニアリング及びセールス オフィスがそれらに接続されている。これらの遠隔オフィスは、典型的な会社の 構内に見られる同じレベルの物理的セキュリティを与えるものではない。 NIC及びモデムは、両方ともネットワークアクセス制御をサポートする特徴 を与えることができる。モデムは、出ダイヤルシーケンスを実行する前に、ユー ザがパスワードを与え、トークンカードを使用し、又はさもなくば、接続を開始 することが許されたという証拠を示すことを必要とする。又、モデムは、許可さ れた電話番号からの接続だけを許すアクセスサーバにおいてコールバック機能を サポートすることもできる。 セキュリティポリシーの後端は、例えば、更新されたNICブートコードを関 連ネットワークサーバに記憶し、そしてNICに再ブートするよう通知すること により、NICにセキュリティルールを確立する。モデムにおいては、ドライバ ーコードが更新されるか、又はモデムマネージメントコードとの通信により新た な値がコンフィギュレーションレジスタに書き込まれる。 中継器 ハブは、他の最終システムにフレームを送信しそしてプロトコルハイアラーキ ーの層2に接続を与えるためにNICが接続されるスターネットワーク装置であ る。ハブを相互接続して相互接続ツリーを形成することによりハイアラーキーネ ットワークを構築することができそしてそのようにするのが一般的である。 中継器は、それが受信したフレームをそれらの全てのライン(フレームが到着 したラインを除いて)に放送するハブである。中継器は、低廉な相互接続組織を 構築するのに有用である。しかしながら、相互接続された中継器の数が増加する につれて、接続された最終システム間の干渉も増加する。それ故、中継器を使用 して直接接続できる最終システムの数には限度がある。 中継器は、一般にコストを減少するために特徴を最小限に抑える基本的な放送 デバイスである。しかしながら、それらにおいてセキュリティ特徴が実施されて いる。 層2における保護通信は、本来セキュリティに問題があるが、中継器によって 少なくとも部分的に対処することができる。とりわけ、ある中継器は、フレーム がアドレスされないセグメントにわたって放送されたフレーム内のデータを歪曲 する。これは、これらセグメントに取り付けられた探知機がこれらフレーム内の データを見ることができないよう確保すると共に、衝突検出アルゴリズムが適切 に働き続けるよう保証する。 高端中継器は、IEEE802.10規格で定義されたような精巧な保護通信 機構又はあまり複雑でない他の機構を実施することができる。このような機構は 、フレームに保持されるデータを保護するために暗号化技術を使用する。このよ うな保護は、浸透した多層ファイアウオール及びネットワークアクセス制御機構 のようなシステムセキュリティ特徴を実施しそして最終システムデータの保護を 与えるのに有用である。 従って、セキュリティポリシー後端は、隣接マネージメントノード又はマネー ジメントリソースを中継器自身において更新することにより中継器にコンフィギ ュレーションデータを確立する。 スイッチ スイッチは、フレームのソース及び行先アドレス(並びにおそらくは他の情報 )を検査して、それらのラインのどれを使用して受信フレームを転送すべきか決 定するハブである。中継器に勝るスイッチの利点は、行先への経路上にあるライ ンのみを経てフレームを送信することにより最終システムへのトラフィックを減 少することである。放送されたフレームの場合には、スイッチは、スイッチ内に 保持されたポリシー情報に基づきあるラインを経てそれらを中継しないように決 定することができる。 ATM、イーサネット、高速イーサネット及びトークンリングスイッチを含む 種々の能力及びコストのスイッチが製造される。ATMスイッチは、他のRAN 形式に対して作られたスイッチより著しく複雑である。特に、ATMスイッチが 相互接続されるときには、スイッチが最終システム間に確立した仮想回路を経て フレームを移動する。これは、最終システムからスイッチへ及びスイッチ間での 制御情報の移動を必要とする。この形式のトラフィックは、他のアクセス技術の スイッチでは必要とされない。 又、中継器により実施される全ての機能は、スイッチでも実施できる(前記の 説明を参照)。加えて、スイッチは、種々のフィルタリング機能を実行するのに 適した場所である。あるスイッチは、VLANサポートの形態でこれを既に行う ことができる。セキュリティを与えるのに加えて、VLANは、VLANメンバ ーのないセグメントを経てフレームが放送されるのを阻止することによりスイッ チ/中継器通信組織に流れるトラフィックの量を減少する。 フィルタリング機構は、従来、フィルタリングが適用されるフレームの種々の 特性に基づいて受け入れ判断を行う。しかしながら、フレームの制御及び/又は データを変換するというフィルタリングのより精巧な使い方がある。例えば、浸 透した多層ファイアウオールを実施するには、フレームを別の保護フレーム内に カプセル化し、層2のセキュリティトンネルを実施することが必要となる。層2 のトンネルは、ATMスイッチ(LANエミュレーション)と、LANトラフィ ック搬送ATMセル(CIF)とによって既に実施されている。セキュリティト ンネルの概念は、トンネル媒体を通過するときにトンネルトラフィックを保護す ることによりこれらの機構を拡張する。変換フィルタリングの別の分類は、層2 アドレス変換であり、これは、浸透したファイアウオールの実施に有用である。 スイッチは、RADIUS、TACACS+及びネットウェアNDSのような 認証、許可及びオーデット(AAA)サーバとの代理対話のようなヘッド端ネッ トワークアクセス制御機能を入れるための本来の場所である。スイッチは、中継 器に関連して、ポートの切断及び再接続を監視し、これらをネットワークマネー ジメントアプリケーションに報告することができる。 又、スイッチは、セキュリティ支援特徴を入れるための便利な場所でもある。 例えば、スイッチは、信頼のあるサーバのみがブート像を最終システムへ供給す るよう確保するためにシステム認証プロトコルを実施することができる。スイッ チは、承認ハイアラーキーの最上位の公開キーを含む公開キー暗号化に使用され るトップレベル承認のようなあるセキュリティーインフラストラクチャー情報を 保持しそして分配することができる。 セキュリティポリシー後端は、スイッチにおいて実施されるSNMPのような マネージメント通信チャンネルを使用するか、又はアプリケーション層のピアー ピア通信プロトコルを使用してスイッチのセキュリティ構造を更新する。ルータ ルータは、それらのインターフェイス間でパケットを移動し、これらパケット をソースと行先との間で進行させるための装置である。ルート指定の判断は、通 常、パケットのソース及び行先ネットワーク層アドレス、及び他の情報(例えば 、パケットのサービスクオリティ、セキュリティオプションデータ及びホップカ ウント)に基づく。ルータは、次のことを含む多数の特性によりスイッチから区 別される。即ち、1)ルータは、異なるアクセス媒体に接続されたインターフェ イス間でデータを移動し、2)層2制御情報に基づくのではなく、層3パケット に保持された情報に基づいてルート指定を行い、そして3)通常フレームを全て のインターフェイスに放送しない。 しかしながら、ネットワーク業界における最近の傾向は、スイッチング及びル ート指定を同じネットワークデバイスに一体化することである。多数のネットワ ーク会社は、異なるアクセス媒体フレームフォーマット間を切り換えるスイッチ を製造し、従って、これらスイッチは、異なるアクセス技術に接続されたインタ ーフェイス間でデータを移動することができる。更に、IPマルチキャストのよ うな層3放送プロトコルが益々普及してきている。その結果、ルータは、現在、 スイッチに非常に類似した放送機能を遂行する。従って、ルータとスイッチとの 間に残された1つの重要な区別は、その機能を遂行するためにその情報を得る場 所(プロトコル層)であると考えられる。 ルータとスイッチとの相違がこのように緩和したのに加えて、同じ装置でルー ト指定及びスイッチングの両方を遂行する多数の会社の製品が市場に出回ってい る。これについて特に注目すべきは、トラフィックパターンを追跡してIPパケ ットをルート指定するカリフォルニア州、サニーベールのイプシロンネットワー クス社のルータ/スイッチである。特定のソースと行先との間のトラフィックが 特定のスレッシュホールドに到達した場合には、ルータは、これらシステム間の パケットが比較的高価なIPルート指定プロセスをバイパスできるようにするカ ットスルー層2接続を設定する。 ルータは、スイッチと同じ多数のセキュリティサービスを与えるが、プロトコ ルハイアラーキーの層3ではこれを行なわない。層3の保護通信特徴を定義する 現在の活動は非常に多数ある。この活動は、IETFのIPSECワーキンググ ループを中心とする。IPSECは、公表されると共に間発中である1組の規格 であって、最終システム及びルータがIPプロトコルに対して認証、完全性及び 機密性サービスをいかに提供するかを規定する。このようなサービスを利用し、 端−端保護と、中間ルータ間及びルータと最終システムとの間のトンネルの保護 との両方を与えることができる。 又、ルータにより与えられる従来のフィルタリングサービスは、それらがファ イアウオールの要素として働くことができるようにする。一般に、ファイアウオ ールは、ネットワーク層、搬送層及びアプリケーション層におけるパケットフイ ルタリングと、アプリケーション代行との2つの機能を遂行する。ルータは、一 般に、最初のサービスしか与えない。しかしながら、ファイアウオール技術は、 ルータ内に状態マシンを設けて、FTP制御トラフィック及びTCP接続開放パ ケットのような、それを通して転送されるパケットを追跡し、そしてこの保持さ れた状態を使用して、フィルタリングプロセスを推し進めるという傾向である。 この特徴は、パケットフィルタリングとアプリケーション代行との間の区別を不 明瞭にする。 フィルタリングを適切に使用すると、顧客は、仮想ネットワーク(VNET) を実施することができる。VNETは、VLANの層3等効物である。それらは 、層3の通信組織を経て移動されたトラフィックを個別のドメインに分離する。 VNETに属さない最終システム及びLANセグメントには、そのトラフィック が見えない。 セキュリティポリシー後端とルータとの問の通信は、通常、アプリケーション 層におけるピアーピア通信である。もちろん、SNMPのようなマネージメント チャンネルを使用することができる。 リモートアクセス装置 リモートアクセス装置は、シリアルラインを経て送られる通信を、ルート指定 されたトラフィックに変換する。更に、それらは、SPXキープ・アライブ、ロ ーカルノードエミュレーション、等のプロトコル代理処理をサポートする。 最終システムは、リモートアクセス装置(例えば、ターミナルサーバ)に直結 することもできるし、又は公衆交換電話ネットワーク(PSTN)を経て接続す ることもできる。より一般的な状態は、PSTNを通る接続であり、これは、ア クセスサーバの使用を必要とする。 アクセスサーバ装置には2つの主たる使用目的がある。その第1は、プライベ ートイントラネットへのリモートアクセスを与えることである。この場合、アク セスサーバは、プライベートイントラネット内に配置され、スタンドアローンの 最終システム及びリモートオフィスルータがPSTNを経てリモートアクセスで きるようにする。リモートアクセス製品の第2の使用目的は、インターネットサ ービスプロバイダー(ISP)ネットワーク内である。これらは、ISPの包含 装置及びISPのインターネット接続への加入者アクセスを与える。これら2つ の使用目的は、若干異なるセキュリティ要求を有し、これについて以下に詳細に 述べる。 リモートアクセス装置の2つの機能、即ちラインサービス及びパケット処理は 、従来、同じシャーシ内で実施されている。最近の顧客要求の変化、特に、公衆 WANを使用してプライベート仮想ネットワークを実施するという要望に伴い、 売主は、これらの機能を、ラインサーバ及びパケットサーバの2つの異なる製品 に分離するようになった。顧客がこれらの製品を使用するときには、ラインサー バは、一方の側では、PSTNに接続され(又はおそらく最終システムに直接接 続され)、そして他方の側では、WANに接続される。パケットサーバは、一方 の側では、プライベートイントラネット又はISPファシリティに接続され、そ して他方の側では、WANに接続される。各接続に対して、ラインサーバは、W ANを通して(通常、暗号化技術を使用して)パケットサーバへ至る保護トンネ ルを形成する。ラインサーバへの接続は、スタンドアローンの最終システム又は リモートオフィスのルータ装置から到来する。 3つのリモートアクセスコンフィギュレーションが代表的である。 第1のWANアクセスは、公衆交換電話ネットワーク(PSTN)を経てそれ らの内部リソース及びインターネットへのアクセスを与えるためにISPにより 使用される。アクセスサーバがPSTNに接続され、スタンドアローンの最終シ ステムをもつクライアントに接続することができる。 第2は、リモートオフィス及びテレコミュニケーション装置にプライベートネ ットワークへのアクセスを与えるリモートオフィスアクセスコンフイギュレーシ ョンである。リモートアクセスルータは、PSTNを使用して、会社の構内又は 他の組織のアクセスサーバに接続する。アクセスサーバは、次いで、リモートア クセスルータからプライベートイントラネットへネットワークトラフィックを転 送する。 第3のコンフィギュレーション、即ちスプリットサーバアクセスは、ラインサ ーバ及びパケットサーバ機能を個別の装置に分離する。ラインサーバは、シリア ルラインマネージメント及びデータ通信問題を取り扱い、一方、パケットサーバ は、WANとプライベートイントラネットとの間のインターフェイスを取り扱う 。 3つのコンフィギュレーションは、全て、ある種のネットワークアクセス制御 を必要とする。WANアクセスの場合には、WANへのアクセスを与える前に、 ユーザを認証しそして許可を与える。インターネットアクセスに加えて、ローカ ルリソース(例えば、ローカルで管理される内容、e−メールサービス、ウェブ ページ)へのアクセスも与えるISPも、ユーザがローカルリソースを使用でき る前に、ユーザを認証しそして許可を与える。 リモートオフィスアクセスは、プライベートイントラネットを経てトラフィッ クを流せる前に、リモートオフィスを認証しそして許可を与えることを必要とす る。ルータは、それ自体、ユーザを代表するものでないので、初期の接続シーケ ンス中に認証及び許可を与えねばならない。通常、これは、ユーザ(システムア ドミニストレータの役割を果たす)がリモートアクセス装置に対して認証を行い 、そしてこの装置が、認証チェックを遂行した後に、プライベートイントラネッ トへの経路を開くことを必要とする。 スプリットサービスアクセスは、2つのネットワークアクセス制御判断を必要 とする。その第1は、ラインサーバへのユーザアクセスを許し、そしてその第2 は、パケットサーバ、ひいては、プライベートイントラネットへのユーザアクセ スを許すことである。二重ログインでユーザに負担をかけるのを回避するために 、スプリットサービスアクセスに使用されるネットワーク機構は、パケットサー バ又はプライベートイントラネットにより管理されたアクセス制御リソースを使 用 して、ラインサーバへユーザを入れることができる。このような場合に、ライン サーバとパケットサーバ/プライベートイントラネットは、両サーバへのユーザ の入場を許可するように協働する。 リモートアクセスにとって重要な別のセキュリティサービスは、フィルタリン グである。アクセスサーバ(一体的コンフィギュレーション又はスプリットコン フィギュレーションのいずれか)は、ファイアウオール機能を入れるための本来 のポイントである。これは、2つの形式の一方をとることができる。最も簡単な ものは、アクセスサーバ及びパケットサーバ(スプリットサービスアクセスの場 合に)において従来のファイアウオールパケットフィルタリングを行うことであ る。このようなフィルタリングルールは、装置を通過する全てのトラフィックに 適用される。 より進歩したフィルタリング形式は、接続ごとのベースで適用されるフイルタ リングルールを確立することである。即ち、ユーザがアクセスサーバを経て接続 を確立するときに、そのユーザに特有の1組のフィルタリングルールがフィルタ リングデータベースから引き出される。これらルールは、次いで、アクセスサー バにインストールされ、アクセスサーバは、その接続を経て進行するトラフィッ クのみにそれを適用する。 更に、保護通信は、リモートアクセスによって与えられる重要なサービスであ る。これは、2つの段階で行なわれる。ある状態においては、PSTNによって 与えられる物理的なセキュリティでは、ユーザ/プライベートイントラネットに 適切な保証を与えるのに不充分である。このような場合に、モデム/リモートア クセスルータは、アクセス/ラインサーバとの通信を暗号技術で保護することが できる。これは、シリアルラインにわたって実行される暗号プロトコルを必要と する。 より一般的なケースは、WANにわたる通信を保護する必要性から生じる。こ の状態においては、WANにわたりシリアルライントラフィックを移動するのに 必要なトンネルプロトコルが暗号化によって保護される。これは、トンネルプロ トコル内でのセキュリティサポートの結果として生じるか、又はWANに使用さ れるネットワークプロトコルにより与えられるセキュリティ特徴を使用する結果 として生じる。後者の重要な例は、IPSECを使用して、IP WANの通信 を保護し、これにより、仮想プライベートネットワークを形成することである。 ネットワークマネージメント 実質上全てのネットワーク中間システム及びNICは、あるやり方で構成され るか、さもなくば、管理されねばらない。一般に、これは、簡単なネットワーク マネージメントプロトコル(SNMP)を介して遂行され、これは、管理される 各デバイスがリモートマネージメントソフトウェアにより制御されるエージェン ト機能を実施することを仮定する。通常、多数のエージェントが所与のマネージ メントステーションにより管理される。 ネットワークデバイスは、通常、SNMPマネージャーからの「ゲット・アン ド・セット」要求に応答するSNMPエージェントを構成し、これは、サイトア ドミニストレーターが、デバイスごとではなく一体化されたシステムの観点から ネットワーク装置を管理できるようにする。 あるネットワークマネージメントシステムの1つの重要な特性は、分散型リモ ート監視(dRMON)を与えることである。リモート監視は、LAN装置に接 続された「プローブ」から統計学的情報及びアラーム情報をネットワークマネー ジャーに与える。しかしながら、LANセグメントの数が増加するにつれて、プ ローブのリソースがその能力を越えてストレスを受け、不完全な情報がマネージ メントステーションソフトウェアに送られることになる。この問題に対処するた めに、dRMONは、プローブ機能の若干をNIC及びハブに分配し、これは、 LANのサイズが成長するにつれてリモート監視機能を拡張できるようにする。 2つのネットワークマネージメントの問題は、重要なセキュリティの観点によ って特徴付けされる。その第1は、ネットワークマネージメントセキュリティで あり、即ちネットワークマネージメントサブシステムが破壊されないよう確保す ることである。重要なことは、アクセス制御機能であるVLAN、VNET又は 他のグループ形成をいかに確実に実施するかである。一般に、この活動の一部分 は中央で管理され、そして一部分がユーザの判断に委ねられる。従って、グルー プメンバーシップに対するアクセス制御は、2段階プロセスである。第1段階で は、システムアドミニストレータは、グループを形成し、そしてユーザ又はシス テムが参加するところのポリシーを確立する。第2段階では、ユーザは、グルー プに参加することを判断するか、又はシステムをグループに入れることを判断す る。次いで、アクセス制御マシンは、グループに関連したポリシーデータを調査 し、提案されたメンバーシップ要求が有効であるかどうか決定する。このアクセ ス制御判断の各段階は、機密保持されねばならない。 他の形式のネットワークマネージメントセキュリティは、マネージメント情報 ベース(MIB)へのアクセスを制御し、捕獲されたパケットのような重要なネ ットワークマネージメントデータの保護通信を行い、そしてネットワークマネー ジメントステーションへのアクセスを与えることである。 第2の重要なネットワークマネージメント問題は、セキュリティポリシーマネ ージメントである。上記の製品分類の各々は、正しく且つ機密保持されたオペレ ーションのためにポリシーデータを必要とするセキュリティ特徴を有する。NI C、スイッチ、ルータ及びリモートアクセス装置に対するフィルタリングルール が形成され、流布され、変更されそして検討される。中間サイズのネットワーク の場合、これらのマネージメント機能は、フィルタリングデータに対して整合さ れた制御がない限り、支持できないことになる。これは、確実且つ頑丈なセキュ リティポリシーマネージメントシステムの使用を必要とする。保護通信、アクセ ス制御及びセキュリティ支援特徴に関連したセキュリティポリシーデータを管理 するためには同様の要求が存在する。 フィルタリングパラメータ及び保護通信インフラストラクチャー情報のような セキュリティポリシーデータを含むネットワークデバイスの数が増加するにつれ て、そのセキュリティポリシーデータのコヒレントで且つ整合されたマネージメ ントを与えることが益々重要となる。本発明によれば、アドミニストレータがセ キュリティポリシーステートメントを入力できるようにするツールが設けられ、 このようなステートメントに対応するデータは、そのポリシーが実施されるネッ トワークに分散されたエージェントへと分布される。 ネットワーク内の種々のデバイスを制御するセキュリティポリシーデータは、 種々のやり方で相互作用する。従って、コンフィギュレーションインターフェイ スは、ファイアウオール機能の多数の層を正しく管理するのに重要な異なるビュ ーをアドミニストレータに与えるのが好ましい。例えば、ルータのフィルタリン グデータは、ソースアドレス、TCPヘッダ情報、又はソース/行先アドレス対 によって表示される。各ビューは、トラフィックが拒絶されるか、許可されるか 又は変換されることに関する異なる情報をアドミニストレータに与える。 本発明のコンフィギュレーションドライバーは、所望の振舞いを記述する高レ ベルのセキュリティポリシーデータを、個々のネットワークデバイスのセキュリ ティポリシーデータへとマップする。従って、高レベルの記述ポリシーステート メントが低レベルコンフィギュレーションデータのセットへとコンパイルされる 。次いで、コンフィギュレーションデータは、例えば、簡単なネットワークマネ ージメントプロトコル(SNMP)状のプロトコル、テルネット、トリビアルフ ァイル転送プロトコル(TFTP)、又は他のデバイス特有のプロトコルを使用し て適当なネットワークデバイスへと分配される。従って、ネットワークトポロジ ーデータベースは、コンフィギュレーションインターフェイスに与えられるセキ ュリティポリシーステートメントに基づいてコンフィギュレーションデータをコ ンパイルしそして分配する目的で重要である。 簡単なネットワークの場合、システムアドミニストレータは、トポロジー情報 を手で入力することができる。しかしながら、いかなるサイズのほとんどのネッ トワークについても、これは実用的なオプションでない。従って、必要なトポロ ジー情報を維持する従来のネットワークマネージメントツールは、本発明のコン フィギュレーションドライバーに使用するようにトポロジーデータベース情報を コンパイルするのに使用できる。従来のネットワークマネージメントツールによ って収集されたトポロジー情報と、本発明のセキュリティポリシー実施戦略との 間に必要とされる相互作用のレベルは、実施される多層ファイアウオールの精巧 さに依存する。例えば、ネットワークトポロジーに対する変更は、高レベルセキ ュリティポリシーデータと、要素デバイスに分配されるセキュリティポリシーデ ータとの間のマッピングを無効化することがある。精巧な多層ファイアウオール は、トポロジーに変化が生じたときにネットワークマネージメントシステムから 通知を受け取り、そしてそれに応じてポリシーデータ及びその要素デバイスを再 構成するようにされる。 更に、セキュリティポリシーマネージメントツールは、侵入者がそれを使用し てネットワークに侵入できないように保護される。これは、セキュリティポリシ ーコンフィギュレーションドライバーと、ネットワークに分散されたエージェン トとの間の保護通信を適当なアクセス制御手順に基づいて使用することを必要と する。 ネットワークの多数の要素がアクセス制御をサポートする。しかしながら、全 ての要素が同じ種類のアクセス制御機構をサポートするのではない。共通のネッ トワークアクセス制御機能を、ネットワーク内のできるだけ多くのデバイスに与 えるのが好ましい。例えば、広範囲に配備された認証、許可及び会計サーバーを 、種々様々なネットワークデバイスを管理するように適応させることができる。 更に、ネットウェアのようなネットワークオペレーティングシステムは、あるA AAサービスを与える。 更に、ネットワークデバイスは、本発明に基づいてアクセス制御判断を分担す ることができる。簡単な例では、ラインサーバへのアクセス制御は、スプリット アクセスコンフィギュレーションにおいてそれに関連したパケットサーバに委任 することができる。これは、分散型リモートアクセスシステムの一貫した振舞い を確保するだけでなく、その複雑さを低減しそして信頼性を高める。 従来のセキュリティ原理は、保護通信を端から端まで行なわねばならないとし ている。しかしながら、動作条件によって時にはこれが最適でないこともある。 例えば、資産的装置は、端−端セキュリティプロトコルをサポートできない。こ れらのシステム間、又はそれらシステムと非資産的システムとの間の通信のセキ ュリティを確保するためには、資産的システムの代理として働くルータやスイッ チャーのような非侵入の保護機構を必要とする。この解決策は、本来、端−端で はない。 高いセキュリティを必要とする共通の物理的環境においてある装置を共通配置 することができる。このような環境では、境界の外側の装置とその内側の装置と の間に端−端保護を与えることは有益でない。コストを最小限に抑えるために、 保護を物理的セキュリティの境界で終わらせ、全ての内部システムの高価なハー ドウェア及びソフトウェアをサポートする必要性を排除することができる。 セキュリティプロトコルをサポートするには、高価な暗号化ハードウェアを使 用することが必要となる。ある場合には、このハードウェアを全てのシステムに 経済的に設置することができない。これは、データの最終的な行先より前のどこ かで暗号化ハードウェアを実施するシステム又はデバイスでは保護通信経路を終 わらせねばならないことを意味する。 これらの状態を受け入れるために、ソースと行先との間の経路の構成セグメン トにおいて異なる手段により保護通信を行うことが必要である。幾つかのセグメ ントは、層3の保護通信を使用し、一方、他のセグメントは、層2の保護を使用 する。各セグメントにより与えられる保護を、充分な端−端セキュリティを確保 するように整合するには、これらのセグメントが互いに協働することが必要にな る。本発明は、このような協働を管理できるツールを提供する。 図3は、本発明による多層ファイアウオールを実行するのに使用されるプロセ スのフローチャートである。上述したように、図3に示すノードは、ネットワー ク内の多数のプロトコルレベルで動作する種々様々なネットワークデバイス、最 終システム、並びにこれらネットワークデバイス及び最終システムで実行される 機能に対応する。 図3に示すように、第1段階は、ネットワークトポロジー及びセキュリティル ールを決定する(ステップ300)。この情報は、図1のシステムにおいてコンフ ィギュレーションインターフェイス及びトポロジーデータ記憶装置によって与え られる。 次いで、ネットワーク内の全ての能動的ノード及び受動的ノードが識別される (ステップ301)。各能動的なノードに対し、能動的なノードを介在せずに能動 的なノードに接続された受動的なノードが識別される(ステップ302)。これは 、能動的ノードのセットを、コンフィギュレーションデータのコンパイルに使用 されるべき関連する受動的ノードと共に定義する。例えば、図2を参照すれば、 能動的ノードは、ポリシーを実施することのできるノードを含む。受動的ノード は、ポリシーの実施が与えられないか又は信頼されないノードを含む。従って、 受動的ノードは、最終システム143、中継器142、スイッチ141、スイッ チネットワーク140、スイッチ124、中継器125、及びネットワーク 内の他のデバイスを含む。 各セキュリティポリシールールに対し、最終ステーションのソース及び行先セ ットが識別される(ステップ303)。ソース及び行先セットは、各々、単一の最 終ステーション又は最終ステーションのグループを含む。次いで、プロセスは、 ルールを実施できるかどうか決定する(ステップ304)。上述したように、これ は、例えば、ソースセットの受動的ノードから行先セットの受動的ノードへ至る 経路であって、ルールを実施すべきプロトコル層において動作する能動的ノード を横断しない経路があるかどうか決定することを含む。ソース及び行先セットに おいて受動的ノード間の接続が見つかった場合には、ルールを実施することがで きない。従って、ルールを実施できない場合には、セキュリティプロセスに通知 され(ステップ305)、そしてアルゴリズムは、コンパイルされるべきルールが まだあるかどうか決定する(ステップ306)。コンパイルされるべきルールがそ れ以上残されていない場合には、ステップ307で示すように、アルゴリズムは 終了となる。更にルールがセキュリティポリシーに存在する場合には、アルゴリ ズムは、ステップ303へループして戻る。 ステップ304において、セット内の識別された能動的ノードでルールを実施 できることが決定された場合には、次いで、そのルールがソースで実施されるか 、行先で実施されるか又はその両方で実施されるよう意図されたかどうか決定さ れる。ルールがソースで実施されるべきであることを指定する場合には、ソース セットのノードと行先セットのノードとの間に介在する能動的ノードが識別され 、そしてルールは、ソースノードの1つがその関連セットにあるところの能動的 ノードのコンフィギュレーションデータに変換され、そしてこれらノードにおい て確立される(ステップ310)。 ルールを行先において実施するか又は行先及びソースの両方において実施すべ き場合には、行先セットのノードに関連した各能動的ノードに対し、ルールは、 その能動的ノードのコンフィギュレーションデータに変換され、次いで、そのノ ードにおいて確立される(ステップ311)。 ステップ310及び311の少なくとも1つの後に、アルゴリズムは、変換さ れるべきルールがもっとあるかどうか決定する(ステップ312)。それ以上の ルールがない場合には、アルゴリズムは終了となる(ステップ307)。変換され るべきルールがもっとある場合には、アルゴリズムは、ステップ303へループ して戻り、プロセスを続ける。 ソース及び行先セットが識別されると、行先セットのノードに到達するために 能動的ノードを横断する必要のない経路が受動的ノード間にあるかどうかを決定 するプロセスは、WAN100に接続されたプライベートネットワーク102及 びスタンドアローン最終システム103を考慮することによって理解することが できる。これらネットワークセグメントにおけるノードは、ポリシーを実施でき ないか、又はポリシーを実施する信頼がない。従って、プライベートネットワー ク102及びスタンドアローンのルータ型最終システム103のノードが、特定 のルールに対し、ソース及び行先ノードセットに各々存在する場合には、そのル ールをこれらノード間で実施することができない。しかしながら、ノード103 及びプライベートネットワーク102の両方が、特定のルールに対してソースノ ードセットに存在するが、プライベートネットワーク101の全てのノードが、 特定のルールに対して行先セットに存在する場合には、おそらくルールを実施で きることになる。というのは、ソースセットと行先セットとの間を通信するため に、全ての通信がルータ107、パケットサーバ108又はルータ109のいず れかを横断しなければならず、これらは全てポリシーを実施できるからである。 図4は、ある環境において多層ファイアウオールを改良することのできるプロ セスを示す。例えば、図3のステップ303において、プロセスは、ソース及び 行先セットのノード間の経路(1つ又は複数)において能動的ノードの「最小カ ット頂点セット」を識別するように分岐する(ステップ400)。カット頂点セッ トとは、除去された場合にソースセットと行先セットとを分離する能動的ノード のセットより成る。最小カット頂点セットとは、所与のソース及び行先セットに 対して最小数のノードを有するセットである。従って、図2を参照すれば、例え ば、ソースセットが最終ステーション113、114、116及び117を含み 、そして行先セットがスタンドアローンのルータ型最終システム103である場 合に、能動的ノードの最小カット頂点セットは、リモートアクセスルータ112 より成る。 リモートアクセスルータ112を通る各経路には、ソースセットに関連した能 動的ノード(112及び115)及び行先セットに関連した能動的ノード(10 4及び106)に見られるものより少数の能動的ノードしかないので、ある場合 には、最小カット頂点セットの能動的ノードでのセキュリティポリシーの実施を 、セキュリティポリシーをソース及び行先セットの全ての能動的ノードへ分配し て実施するものよりも効率的に行うことができる。従って、アルゴリズムは、次 いで、最小カット頂点セットの能動的ノードにおいてルールを効率的に実施でき るかどうか決定する(ステップ401)。もしそうでなければ、アルゴリズムは、 ステップ402で示されたように、図3のステップ304へ復帰する。最小カッ ト頂点セットの能動的ノードにおいてルールを実施できる場合には、ルールが、 カット頂点セットにおける能動的ノードのコンフィギュレーションデータに変換 され、そしてこのようなノードにおいて確立される(ステップ403)。ステップ 403の後に、プロセスは、図3のアルゴリズムのステップ304へ復帰する。 図5は、ネットワークを通して分散されたセキュリティポリシーエージェント においてコンフィギュレーションデータを確立するためのプロセスを示す。 より詳細には、ノードにルールを確立するプロセスは、コンフィギュレーショ ンデータをノードに転送し、それを永続的記憶装置に記憶し、そして新たなルー ルを実行できるようにデータが更新されたことをノードに確認させることを含む 。しかしながら、ネットワークに分散された全てのセキュリティエージェントが 、ディスクドライブや不揮発性フラッシュメモリデバイスのような永続的記憶装 置に直接接続されるのではない。例えば、中継器133は、永続的記憶能力をも たないことが考えられる。しかしながら、スイッチ123、又は更に好ましくは 、ポリシーマネージメントステーションの一部分を形成する最終ステーション1 26は、ディスクドライブ又は他の永続的記憶能力を有する。この状態において 、コンフィギュレーションデータをスイッチ123、最終ステーション126又 はネットワーク内の別のサーバに与え、そしてコンフィギュレーションデータが 更新されたことを中継器133に通知することができる。中継器133に関連し たマネージメントエージェントは、次いで、再ブートの際に、又はコンフィギュ レーションデータを更新する必要のある他のプロセスの間に、スイッチ123又 は 最終ステーション126からコンフィギュレーションデータを検索する。 従って、ノードにルールを確立するプロセスが図5に示され、ステップ500 で始まる。このプロセスは、先ず、コンフィギュレーションデータの対象ノード が永続的なコンフィギュレーション記憶装置を含むかどうか決定する(ステップ 501)。もしそうであれば、コンフィギュレーションデータがそのノードの永 続的な記憶装置へ送られる(ステップ502)。ノードが永続的な記憶装置を含ま ない場合には、コンフィギュレーションデータの対象ノードによってアクセスで きるノードの永続的な記憶装置にコンフィギュレーションデータが送られる(ス テップ503)。次いで、コンフィギュレーションデータの対象であるノードに 変化を示す信号が送られる(ステップ504)。変化が生じたという信号を受信し た後に、ノードは、更新されたコンフィギュレーションデータを検索する(ステ ップ505)。ステップ502又はステップ505のいずれかによってコンフィ ギュレーションデータがノードに送られた後に、ノードは、それが受け取ったコ ンフィギュレーションデータに基づいて新たなルールを実行する(ステップ50 6)。 従って、セキュリティポリシーマネージメントコンフィギュレーションドライ バーは、これらルールのコンフィギュレーションデータをノードに通信すること によりノードにルールを確立する。例えば、ノードが永続的な記憶装置を有する 場合には、セキュリティポリシーマネージメントコンフィギュレーションドライ バーは、テルネット又はトリビアル・ファイル搬送プロトコル(TFTP)のよ うな標準的なプロトコルを使用してルールをノードへ直接通信するか、又は多層 ファイアウオールの一部分としてこの目的のために特に指定されたプロトコルを 使用する。ノードが永続的な記憶装置をもたない場合には、セキュリティポリシ ーマネージメントコンフィギュレーションドライバーは、ノードによってアクセ スできる永続的な記憶装置にルールを通信し、次いで、例えば、SNMP又は別 のプロトコルを用いてノードに信号を送り、セキュリティポリシールールが更新 されたことをノードに通知する。次いで、ノードは、新たなセキュリティポリシ ールールを永続的な記憶装置から検索することができる。更に、別のシステムに おけるセキュリティポリシーマネージメントコンフィギュレーションドライバー が分散型データベース解決策を用いてノードポリシーを更新する。例えば、セキ ュリティポリシーマネージメントコンフィギュレーションドライバーは、ノード がキャッシュコピーを有するところのファイル又はデータベースエントリーにデ ータを書き込むことができる。この分散型データベースキャッシュコヒレンシー アルゴリズムは、次いで、そのキャッシュコピーがもはや有効でないことをノー ドに通知し、マスターコピーを再読み取りするよう動機付ける。 各能動的ノードにおいてルールを実施すべきかどうか決定するための上記アル ゴリズムは、本発明の多層ファイアウオールシステムの能力を例示するものに過 ぎない。他のアルゴリズムも考えられる。例えば、セキュリティポリシーステー トメントは、特定のセキュリティポリシールールにおいて、異なる能動的ノード で実施される部分に分解することができる。これは、ソースセットのノードと行 先セットのノードとの間の経路を分析し、この経路における各能動的ノードにサ ポートされる意味を決定し、そしてこのセットの能動的ノードにおいてポリシー ルールの種々のセグメント又はポリシールールの冗長バージョンを実施すること を必要とする。これらの能動的ノードにおいてセキュリティポリシールールを順 次に適用すると、ソース、行先、又はカット頂点セットの能動的ノードにおいて 実施することのできないポリシーを実施できるので、分散形態でルールを実施す るこの解決策は、より効率的なファイアウオールを与えることができる。更に、 ノードの順次経路に沿ってポリシールールの実施を分解することにより、ソース 、行先又はカット頂点セットの能動的ノードにおける実施では考えられない効率 を与えることができる。 図6及び7(図2と同様)を参照して説明する2つの例は、多層ファイアウオ ールが実際にいかに作用するかを示す。図6及び7において、ホストグループ1 (600)は、中継器(604及び605)及びスイッチ(606及び607) を経て2つのサイトルータ608の一方に接続された多数の最終システム601 、602、603…より成る。ホストグループ2(610)は、中継器613及 びスイッチ614を経て他のサイトルータ615に接続された2つの最終システ ム(611及び612)より成る。2つのサイトルータは、スイッチ620を経 て相互接続される。 両方の例において、多層ファイアウオールは、1つのポリシールールで構成さ れる。 このルールは、多層ファイアウオールポリシーマネージメントステーション6 25においてセキュリティアドミニストレータによって入力される。 第1の例(図6)においては、2つのスイッチ606及び607は、中継器6 04及び605を経てホストグループ1(600)に接続され、ファイアウオー ルルールの実施を行うことができ、そしてスイッチ614及び中継器613によ りホストグループ2(610)に接続されたサイトルータ615も、ファイアウ オールルールの実施を行うことができる。 多層ファイアウオールポリシーマネージメントステーション625は、多層フ ァイアウオールポリシールールを2つのノード特有のポリシールールに分解し、 その一方は、サイトルータ615に対するものであり、そしてその他方は、2つ のスイッチ606及び607に対するものである(両スイッチは、同じデバイス 特有のポリシールールを受け入れると仮定する)。「実施場所」の項は、「両方」 を指定しているので、多層ファイアウオールポリシーマネージメントステーショ ン625は、ノード特有のポリシールールを、TFTPのようなプロトコルを使 用するサイトルータ615と、TFTPのようなプロトコル又は下位層SNMP を使用する2つのスイッチ606及び607との両方にダウンロードする。「実 施場所」の項が「ソース」を指定する場合には、多層ファイアウオールポリシー マネージメントステーション625は、サイトルータ615に対するポリシール ールのみをダウンロードする。「実施場所」の項が「行先」を指定する場合には 、多層ファイアウオールポリシーマネージメントステーション625は、スイッ チ606及び607に対するポリシールールのみをダウンロードする。 第2の例(図7)は、第1の例と同じネットワークトポロジーを有する。しか しながら、ポリシーの実施は、第1の例とは異なるやり方で行なわれる。特に、 中継器604及び605を経てホストグループ1(600)の最終システムに接 続されたスイッチと、これらの最終システムにおけるNICとの両方は、ノード 特有のポリシールールを実施することができる。加えて、中継器613を経てホ ストグループ2(610)に接続されたスイッチ614は、ノード特有のポリシ ールールを実施できるが、サイトルータ615は、実施できない。 多層ファイアウオールポリシーマネージメントステーション625は、多層フ ァイアウオールのポリシールールを2つのノード特有のポリシールールに分解し 、その一方は、中継器を経てホストグループ2(610)に接続されたスイッチ 614に対するものであり、そしてその他方は、ホストグループ1(600)に 接続された2つのスイッチ606及び607に対するものである(この場合も、 これらスイッチの両方が、同じデバイス特有のポリシールールを受け入れると仮 定する)。「実施場所」の項は、「両方」を指定しているので、多層ファイアウオ ールポリシーマネージメントステーション625は、ノード特有のポリシールー ルを、ホストグループ2(610)のスイッチ614と、ホストグループ1(6 00)の2つのスイッチ606及び607との両方にダウンロードする。「実施 場所」の項が「ソース」を指定する場合には、多層ファイアウオールポリシーマ ネージメントステーション625は、適当なポリシールールをホストグループ2 (610)のスイッチ614のみにダウンロードする。「実施場所」の項が「行 先」を指定する場合には、多層ファイアウオールポリシーマネージメントステー ション625は、適当なポリシールールをホストグループ1(600)のスイッ チ606及び607のみにダウンロードする。 この例は、NICが多層ファイアウオールに参加する1つの方法も示している 。ホストグループ1(600)に関連した各スイッチ606及び607は、その ノード特有のポリシールールを受け取ると、それが接続されたホストグループ1 (600)の各最終システム601、602及び603へポリシールール情報を放 送する。例えば、ホストグループ1(600)のスイッチ606及び607に対 するノード特有のポリシールールは、次のようになる。 このテーブルにおいて、ホストグループ2(610)の各最終システム611 及び612は、行先であるホストグループ1(600)の各ホストに対するソー スとして特にリストされている。実際の場合には、ホストグループ2(610) 及びホストグループ1(600)の最終システムに関連したサブネットアドレス をリストすることによりこれらルールをより効率的に表すことができる。 最終システム601のNICのような各NICは、これらのルールを受け取る と、その最終システム(例えば、601)が行先ではないところのノード特有の ポリシールールを全て破棄する。次いで、残りのルールを使用して、最終システ ム(例えば、601)に到着するパケットをフィルタする。この例では、ノード 特有のポリシールールを実施するNICを伴う最終システム601、602及び 603は、ホストグループ2(610)における最終システム611及び612 からのFTP要求以外のトラフィックを受け取ることができない。 ホストグループ1(600)のスイッチ606及び607は、これらのルール を使用するが、ホストグループ1(600)の最終システム601、602及び 603から到来するトラフィックに対してのみである。特に、それらは、ホスト グループ2(610)の最終システム611及び612を行先とするFTP応答 ではない全てのパケットをドロップする。これらのスイッチ606及び607は 、それらが中継器604及び605を経て接続されない最終システムの行先アド レスを特定するノード特有のルールを破棄する。 この例において示される効果は、NICがインバウンドトラフィックに対して 多層ファイアウオールポリシールールを実施する役割を果たし、一方、スイッチ がアウトバウンドトラフィックに対してそれを実施する役割を果たすことである 。この実施に対する役割を分割することにより、ホストグループ1(600)の スイッチ606及び607からある処理の負荷を取り去る。敵対するトラフィッ ク に対して最終システムを保護するようにNICに依存することによりこれが行な われる。 両方の例において、多層ファイアウオールマネージメントステーション625 は、デバイス特有のポリシールールをデバイスへ直接通信する。この解決策は、 説明を簡略化するが、多層ファイアウオールマネージメントプロトコルに複雑さ をもたらす。他の実施戦略も考えられ、望ましいものがある。例えば、ノード特 有のポリシールールをデバイスに直接分配するのではなく、多層ファイアウオー ルマネージメントステーション625は、それらを永続的記憶装置に記憶し、そ して新たなポリシーを検索するように各デバイスに通知することができる。第2 の例では、ホストグループ1(600)のスイッチ606及び607は、最終シ ステム601、602及び603のNICにノード特有のポリシーを直接放送す るのではなく、永続的な記憶装置から新たなポリシーを検索すべきであることを 通知するメッセージをそれらに放送してもよい。 本発明の多層ファイアウオール機能は、1つの実施形態では、オブジェクトベ ースのマネージメントシステムとして実施され、そして他の実施形態では、分散 型多層ファイアウオールの構成を与える目的で他のプログラミング技術で実施さ れる。 本発明は、種々様々なネットワークデバイス及び最終システムより成るネット ワークにおいて整合された多層型の浸透したファイアウオールを形成するフレー ムワークを提供する。このシステムは、セキュリティポリシールールを高レベル で指定するコンフィギュレーションインターフェイスをベースとする管理し易い 前端を与える。これらのルールは、次いで、ルールによって作用を受けるネット ワーク内のノードに対する実際のコンフィギュレーションデータに分解される。 このコンフィギュレーションデータは、次いで、ルールを実施するためにネット ワークのノードにおいて確立される。ネットワークのトポロジー及びネットワー クのノードで実行されるセキュリティ機能の形式に関する情報を使用して、この プロセスをルールごとに実行することにより、整合された浸透した多層ファイア ウオールシステムが提供される。本発明によれば、ファイアウオールの種々の要 素の役割分担が、好ましくは、グラフィックユーザインターフェイス及び高レベ ルスクリプトのような使い易い特徴を実施する1つ以上のインテリジェントマネ ージメントシステムに集合される。 本発明の多層ファイアウオールは、無類の融通性をもつネットワークシステム のセキュリティインフラストラクチャーを提供する。更に、種々様々なネットワ ークにおける多数のデバイスの複雑な管理を可能にするコヒレントな前端が提供 される。 本発明の好ましい実施形態の以上の説明は、本発明を単に例示するものに過ぎ ない。本発明は、これに限定されるものではなく、請求の範囲に記載した本発明 の範囲内で多数の種々の変更がなされ得ることが当業者に明らかであろう。

Claims (1)

  1. 【特許請求の範囲】 1.複数の形式のノードを含むネットワークにセキュリティを与えるシステム であって、ネットワーク内のノードセットのノードは、対応するノード形式に適 応したコンフィギュレーションデータに応答して実行されるセキュリティ機能を 含むようなシステムにおいて、 ネットワーク内のノードセットにおいて働くセキュリティ機能と、ノードセッ ト内のノードの相互接続とに関する情報を記憶するトポロジーデータ記憶装置と 、 上記トポロジーデータ記憶装置に接続され、ネットワーク内のノード間で実施 されるべきセキュリティポリシーを指示するセキュリティポリシーステートメン トを受け取る入力を含むコンフィギュレーションインターフェイスと、 上記ネットワーク、コンフィギュレーションインターフェイス及びトポロジー データ記憶装置に接続され、セキュリティポリシーステートメントを、ネットワ ーク内の複数の形式のノードに対するコンフィギュレーションデータに変換し、 そしてそのコンフィギュレーションデータをノードへと搬送するリソースを含む コンフィギュレーションドライバーと、 を備えたことを特徴とするシステム。 2.上記ノードセットは、フィルタパラメータに基づいて媒体アクセス制御M AC層フィルタリングを与えるノードを含み、そしてコンフィギュレーションデ ータは、MAC層フィルタリングのためのフィルタパラメータを含む請求項1に 記載のシステム。 3.上記ノードセットは、フィルタパラメータに基づいてネットワーク層フィ ルタリングを与えるノードを含み、そしてコンフィギュレーションデータは、ネ ットワーク層フィルタリングのためのフィルタパラメータを含む請求項1に記載 のシステム。 4.上記ノードセットは、フィルタパラメータに基づいて搬送層フィルタリン グを与えるノードを含み、そしてコンフィギュレーションデータは、搬送層フィ ルタリングのためのフィルタパラメータを含む請求項1に記載のシステム。 5.上記ノードセットは、フィルタパラメータに基づきアプリケーション層フ ィルタリングを与えるノードを含み、そしてコンフィギュレーションデータは、 アプリケーション層フィルタリングのためのフィルタパラメータを含む請求項1 に記載のシステム。 6.上記セキュリティ機能は、認証プロトコルを含む請求項1に記載のシステ ム。 7.上記セキュリティ機能は、オーデットを含む請求項1に記載のシステム。 8.上記セキュリティ機能は、許可を含む請求項1に記載のシステム。 9.上記ノードセットは、中継器の機能を実行するノードを含み、そして上記 セキュリティ機能は、中継器の機能に媒体アクセス制御MAC層フィルタリング を含む請求項1に記載のシステム。 10.上記ノードセットは、データリンク層スイッチの機能を実行するノード を含み、そして上記セキュリティ機能は、スイッチ機能に媒体アクセス制御MA C層フィルタリングを含む請求項1に記載のシステム。 11.上記ノードセットは、ネットワーク層ルート指定機能を実行するノード を含み、そして上記セキュリティ機能は、ルート指定機能にネットワーク層フィ ルタリングを含む請求項1に記載のシステム。 12.上記ノードセットは、多数のプロトコル層ルート指定機能を実行するノ ードを含み、そして上記セキュリティ機能は、認証機構を含む請求項1に記載の システム。 13.上記ノードセットは、ネットワーク層ルート指定機能を実行するノード 及びデータリンク層スイッチ機能を実行するノードを含み、そして上記セキュリ ティ機能は、媒体アクセス制御MAC層フィルタリング及びネットワーク層フィ ルタリングを含む請求項1に記載のシステム。 14.上記ノードセットは、多数のプロトコル層ルート指定機能を実行するノ ードを含み、そして上記セキュリティ機能は、認証を含む請求項13に記載のシ ステム。 15.上記トポロジーデータ記憶装置は、ノードセットの外部のノードへ至る ネットワークリンクに接続されたノードを指示するデータを含む請求項1に記載 のシステム。 16.上記トポロジーデータ記憶装置は、ノードセットの外部のノードへ至る ネットワークリンクに接続されたノードと、セキュリティポリシーを実施できる 能動的ノードと、セキュリティポリシーを実施できないか又は実施する信頼性の ない受動的ノードとを指示するデータを含み、そして 上記セキュリティポリシーステートメントは、能動的ノードと、受動的ノード と、ノードセットの外部のノードへ至るネットワークリンクに進行する通信とに 対してセキュリティポリシーを指示する請求項1に記載のシステム。 17.上記コンフィギュレーションインターフェイスは、スクリプト言語を解 読してセキュリティポリシーステートメントを決定するスクリプトインタープリ ターを含む請求項1に記載のシステム。 18.上記トポロジーデータ記憶装置は、セキュリティポリシーを実施できる 能動的ノードと、セキュリティポリシーを実施できないか又は実施する信頼性の ない受動的ノードとを指示するデータを含む請求項1に記載のシステム。 19.上記セキュリティポリシーステートメントは、1つ以上の最終ステーシ ョンのソースセットと、1つ以上の最終ステーションの行先セットとの間の通信 に対するセキュリティポリシーを指示する請求項18に記載のシステム。 20.上記コンフィギュレーションドライバは、受動的ノードにリンクされた 能動的ノードに対してコンフィギュレーションデータを発生することにより受動 的ノードのセキュリティポリシーを実施するリソースを含む請求項18に記載の システム。 21.上記スクリプト言語は、ソースセット識別子、行先セット識別子、通信 アクティビティ識別子、及び識別されたソースセットと識別された行先セットと の間の識別された通信アクティビティに対するルールを含むセキュリティポリシ ーステートメントを指定するシンタックスを含む請求項17に記載のシステム。 22.上記シンタックスは、更に、ルールを実施すべき位置の識別子を含む請 求項21に記載のシステム。 23.上記コンフィギュレーションドライバーは、トポロジーデータ記憶装置 のデータに基づいて実施できないセキュリティポリシーステートメントを識別す るためのリソースを含む請求項21に記載のシステム。 24.ノードセットの特定ノードと通信する永続的記憶能力を有するコンフィ ギュレーション記憶装置を備え、そして上記コンフイギュレーションドライバー は、特定ノードに対するコンフィギュレーションデータをコンフィギュレーショ ン記憶装置に送信する請求項1に記載のシステム。 25.上記コンフィギュレーション記憶装置は、通信リンクによって特定ノー ドに接続される請求項24に記載のシステム。 26.上記トポロジーデータ記憶装置は、ネットワーク層アドレス、媒体アク セス制御MAC層アドレス、ユーザ識別子、特定ノードがセキュリティポリシー を実施する信頼があるかどうか、実施できるセキュリティポリシーの形式、及び 他のノードへのその接続を含む特定ノードの情報を与えるデータ構造体を備えて いる請求項1に記載のシステム。 27.上記セキュリティポリシーステートメントは、ネットワークの1つ以上 の最終ステーションを含むソースセットと、ネットワークの1つ以上の最終ステ ーションを含む行先セットとの間の通信に対するセキュリティポリシーを指示し 、そして上記コンフィギュレーションドライバーは、ネットワークのノードセッ ト内の指示されたセキュリティポリシーを実施することのできるカット頂点セッ トのノードを識別しそしてカット頂点セットのノードにコンフィギュレーション データを確立するためのリソースを含む請求項1に記載のシステム。 28.上記カット頂点セットは、最小のカット頂点セットより成る請求項27 に記載のシステム。 29.複数の形式のノードを含むネットワークにセキュリティを与えるシステ ムであって、ネットワーク内のノードセットのノードは、対応するノード形式に 適応したコンフィギュレーションデータに応答して実行されるセキュリティ機能 を含むようなシステムにおいて、 ネットワーク内のノードセットのセキュリティ機能と、ノードセット内のノー ドの相互接続とに関する情報を記憶するトポロジーデータ記憶装置であって、1 つ以上のプロトコル層におけるアドレス、特定ノードがセキュリティポリシーを 実施する信頼性があるかどうか、特定ノードが実施できるセキュリティポリシー の形式、及び特定ノードと他のノードとの接続を含む特定ノードの情報を与える データ構造体を有するトポロジーデータ記憶装置と、 上記トポロジーデータ記憶装置に接続されたコンフィギュレーションインター フェイスであって、このインターフェイスは、ネットワークにおける1つ以上の 終端ステーションのソースセットと1つ以上の終端ステーションの行先セットと の間で実施されるべきセキュリティポリシーを指示するセキュリティポリシース テートメントを受け取る入力と、スクリプト言語を解読してセキュリティポリシ ーステートメントを決定するためのスクリプトインタープリターとを含み、上記 スクリプト言語は、ソースセット識別子、行先セット識別子、通信アクティビテ ィ識別子、及び識別されたソースセットと識別された行先セットとの間の識別さ れた通信アクティビティに対するルールを含むセキュリティポリシーステートメ ントを指定するシンタックスを含むようなコンフィギュレーションインターフェ イスと、 上記ネットワーク、コンフィギュレーションインターフェイス及びトポロジー データ記憶装置に接続され、セキュリティポリシーステートメントを、ネットワ ーク内の種々の形式のノードに対するコンフィギュレーションデータに変換し、 そしてそのコンフィギュレーションデータをノードへと搬送するリソースを含む コンフィギュレーションドライバーと、 を備えたことを特徴とするシステム。 30.上記ノードセットは、フィルタパラメータに基づいて媒体アクセス制御 MAC層フィルタリングを与えるノードを含み、そしてコンフィギュレーション データは、MAC層フィルタリングのためのフィルタパラメータを含む請求項2 9に記載のシステム。 31.上記ノードセットは、フィルタパラメータに基づいてネットワーク層フ ィルタリングを与えるノードを含み、そしてコンフィギュレーションデータは、 ネットワーク層フィルタリングのためのフィルタパラメータを含む請求項29に 記載のシステム。 32.上記ノードセットは、フィルタリングパラメータに基づいて搬送層フィ ルタリングを与えるノードを含み、そしてコンフィギュレーションデータは、搬 送層フィルタリングのためのフィルタパラメータを含む請求項29に記載のシス テム。 33.上記ノードセットは、フィルタパラメータに基づきアプリケーション層 フィルタリングを与えるノードを含み、そしてコンフィギュレーションデータは 、アプリケーション層フィルタリングのためのフィルタパラメータを含む請求項 29に記載のシステム。 34.上記トポロジーデータ記憶装置は、セキュリティポリシーを実施できる 能動的ノードと、セキュリティポリシーを実施できないか又は実施する信頼性の ない受動的ノードとを指示するデータを含む請求項29に記載のシステム。 35.上記トポロジーデータ記憶装置は、ノードセットの外部のノードへ至る ネットワークリンクに接続されたノードを指示するデータを含む請求項29に記 載のシステム。 36.上記セキュリティポリシーステートメントは、ノードセットの外部のノ ードへ至るネットワークリンクに進行する通信に対するセキュリティポリシーを 指示する請求項35に記載のシステム。 37.上記シンタックスは、更に、ルールを実施すべき位置の識別子を含む請 求項29に記載のシステム。 38.上記コンフィギュレーションドライバーは、トポロジーデータ記憶装置 のデータに基づいて実施できないセキュリティポリシーステートメントを識別す るためのリソースを備えている請求項29に記載のシステム。 39.ノードセットの特定ノードと通信する永続的記憶能力を有するコンフィ ギュレーション記憶装置を備え、そして上記コンフィギュレーションドライバー は、特定ノードに対するコンフィギュレーションデータをコンフィギュレーショ ン記憶装置に送信する請求項29に記載のシステム。 40.上記コンフィギュレーション記憶装置は、通信リンクにより特定のノー ドに接続される請求項39に記載のシステム。 41.上記コンフィギュレーションドライバーは、指示されたセキュリティポ リシーを実施することのできるカット頂点セットのノードを識別しそしてカット 頂点セットのノードにコンフィギュレーションデータを確立するためのリソース を含む請求項29に記載のシステム。 42.上記カット頂点セットは、最小のカット頂点セットより成る請求項41 に記載のシステム。 43.複数の形式のノードのセットを含むネットワークにファイアウオールシ ステムを確立する方法であって、ネットワーク内の上記ノードセットのノードは 、対応するノードに適応したコンフィギュレーションデータに応答して実行され るセキュリティ機能を含み、上記方法は、 上記ノードセットのノードにおいて働くセキュリティ機能と、上記ノードセッ トのノードの相互接続とに関する情報を含むトポロジーデータを与え、 上記ノードセットの最終システム間で実施されるべきセキュリティポリシーを 指示するセキュリティポリシーステートメントを与え、 上記トポロジーデータに応答して、セキュリティポリシーステートメントを、 ノードセットのノードにおいて働くセキュリティ機能に対するコンフィギュレー ションデータへと変換し、そして ネットワーク内のノードにおいてセキュリティ機能にコンフィギュレーション データを確立する、 という段階を備えたことを特徴とする方法。 44.上記トポロジーデータは、1つ以上のプロトコル層のアドレス、特定ノ ードがセキュリティポリシーを実施する信頼があるかどうか、特定ノードが実施 できるセキュリティポリシーの形式、及び特定ノードと他のノードとの接続を含 む特定ノードの情報を与えるデータ構造体を備えている請求項43に記載の方法 。 45.セキュリティポリシーステートメントを与える上記段階は、スクリプト 言語を解読して、セキュリティポリシーステートメントを決定することを含み、 上記スクリプト言語は、ソース識別子、行先識別子、通信アクティビティ識別子 、及び識別されたソースと識別された行先との間の識別された通信アクティビテ ィに対するルールを含むセキュリティポリシーステートメントを指定するための シンタックスを含む請求項43に記載の方法。 46.上記シンタックスは、更に、ルールを実施すべき位置の識別子を含む請 求項45に記載の方法。 47.上記確立段階は、ノードと通信する永続的な記憶装置にネットワークの コンフィギュレーションデータを送信することを含む請求項43に記載の方法。 48.少なくとも1つのノードに対し、ノードと通信する永続的な記憶装置は 、ノードにとってローカルであり、そして少なくとも1つの他のノードに対し、 ノードと通信する永続的な記憶装置は、ノードから離れている請求項47に記載 の方法。 49.少なくとも1つのノードに対し、ノードと通信する永続的な記憶装置は 、ノードから離れており、ノードにコンフィギュレーションデータを確立する上 記段階は、永続的な記憶装置にコンフィギュレーションデータを送信した後に、 コンフィギュレーションデータが変化したことをノードのセキュリティ機能に通 知することを含む請求項47に記載の方法。 50.上記トポロジーデータは、セキュリティポリシーを実施できる能動的ノ ードと、セキュリティポリシーを実施できないか又は実施する信頼性のない受動 的ノードとを指示するデータを含む請求項43に記載の方法。 51.上記トポロジーデータは、ノードセットの外部のノードへ至るネットワ ークリンクに接続されたノードを指示するデータを含む請求項50に記載の方法 。 52.上記セキュリティポリシーステートメントは、ノードセットの外部のノ ードへ至るネットワークリンクに進行する通信に対してセキュリティポリシーを 指示する請求項51に記載の方法。 53.上記変換段階は、受動的ノードのセキュリティポリシーを実施するため に、受動的ノードにリンクされた能動的ノードのコンフィギュレーションデータ を発生することを含む請求項50に記載の方法。 54.上記変換段階は、トポロジーデータ記憶装置のデータに基づいて実施で きないセキュリティポリシーステートメントを識別することを含む請求項43に 記載の方法。 55.上記ノードセットは、フィルタパラメータに基づいてMAC層フィルタ リングを与えるノードを含み、そしてコンフィギュレーションデータは、MAC 層フィルタリングのためのフィルタパラメータを含む請求項43に記載の方法。 56.上記ノードセットは、フィルタパラメータに基づいてネットワーク層フ ィルタリングを与えるノードを含み、そしてコンフィギュレーションデータは、 ネットワーク層フィルタリングのためのフィルタパラメータを含む請求項43に 記載の方法。 57.上記ノードセットは、フィルタパラメータに基づいて搬送層フィルタリ ングを与えるノードを含み、そしてコンフィギュレーションデータは、搬送層フ ィルタリングのためのフィルタパラメータを含む請求項43に記載の方法。 58.上記ノードセットは、フィルタパラメータに基づきアプリケーション層 フィルタリングを与えるノードを含み、そしてコンフィギュレーションデータは 、アプリケーション層フィルタリングのためのフィルタパラメータを含む請求項 43に記載の方法。 59.上記セキュリティ機能は、許可を含む請求項43に記載の方法。 60.上記セキュリティ機能は、認証を含む請求項43に記載の方法。 61.上記セキュリティ機能は、オーデットを含む請求項43に記載の方法。 62.上記ノードセットは、インターネットプロトコルIPフィルタパラメー タに基づいてネットワーク層フィルタリングを与えるノードを含み、そしてコン フィギュレーションデータは、IPフィルタパラメータを含む請求項43に記載 の方法。 63.上記ノードセットは、インターネットプロトコル及び搬送制御プロトコ ルTCP/IPフィルタパラメータに基づいてフィルタリングを与えるノードを 含み、そしてコンフィギュレーションデータは、TCP/IPフィルタパラメー タを含む請求項43に記載の方法。 64.複数の形式のノードのセットを含むネットワークにファイアウオールシ ステムを確立する方法であって、ネットワーク内の上記ノードセットのノードは 、対応するノードに適応したコンフィギュレーションデータに応答して実行され るセキュリティ機能を含み、上記方法は、 上記ノードセットのノードにおいて働くセキュリティ機能と、上記ノードセッ トのノードの相互接続とに関する情報を含むトポロジーデータを与え、 上記ノードセットにおける最終ステーションのソースセットと最終ステーショ ンの行先セットとの間で実施されるべきセキュリティポリシーを指示するセキュ リティポリシーステートメントを与え、 トポロジーデータ及びセキュリティポリシーステートメントに応答して、セキ ュリティポリシーステートメントを実施できるノードより成るカット頂点セット のノードを識別し、これは、ネットワークから除去された場合に、ソースセット を行先セットから分離するものであり、 識別されたカット頂点セット及びセキュリティポリシーステートメントに応答 して、カット頂点セットのノードにおいて働くセキュリティ機能に対するコンフ ィギュレーションデータへと変換し、そして カット頂点セットのノードにおいてセキュリティ機能にコンフィギュレーショ ンデータを確立する、 という段階を備えたことを特徴とする方法。 65.上記トポロジーデータは、アドレス、特定ノードがセキュリティポリシ ーを実施する信頼があるかどうか、特定ノードが実施できるセキュリティポリシ ーの形式、及び特定ノードと他のノードとの接続を含む特定ノードの情報を与え るデータ構造体を備えている請求項64に記載の方法。 66.セキュリティポリシーステートメントを与える上記段階は、スクリプト 言語を解読して、セキュリティポリシーステートメントを決定することを含み、 上記スクリプト言語は、ソース識別子、行先識別子、通信アクティビティ識別子 、及び識別されたソースと識別された行先との間の識別された通信アクティビテ ィに対するルールを含むセキュリティポリシーステートメントを指定するための シンタックスを含む請求項64に記載の方法。 67.上記確立段階は、カット頂点セットのノードと通信する永続的な記憶装 置にネットワークのコンフィギュレーションデータを送信することを含む請求項 64に記載の方法。 68.少なくとも1つのノードに対し、ノードと通信する永続的な記憶装置は 、ノードにとってローカルであり、そして少なくとも1つの他のノードに対し、 ノードと通信する永続的な記憶装置は、ノードから離れている請求項67に記載 の方法。 69.上記ノードセットは、インターネットプロトコルIPフイルタパラメー タに基づいてネットワーク層フィルタリングを与えるノードを含み、そしてコン フィギュレーションデータは、IPフィルタパラメータを含む請求項64に記載 の方法。 70.上記ノードセットは、インターネットプロトコル及び搬送制御プロトコ ルTCP/IPフィルタパラメータに基づいてフィルタリングを与えるノードを 含み、そしてコンフィギュレーションデータは、TCP/IPフィルタパラメー タを含む請求項64に記載の方法。 71.上記カット頂点セットは、最小のカット頂点セットより成る請求項64 に記載の方法。
JP50087899A 1997-05-29 1998-05-28 多層型ファイアウオールシステム Ceased JP2002507295A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US08/865,482 1997-05-29
US08/865,482 US5968176A (en) 1997-05-29 1997-05-29 Multilayer firewall system
PCT/US1998/010817 WO1998054644A1 (en) 1997-05-29 1998-05-28 Multilayer firewall system

Publications (1)

Publication Number Publication Date
JP2002507295A true JP2002507295A (ja) 2002-03-05

Family

ID=25345607

Family Applications (1)

Application Number Title Priority Date Filing Date
JP50087899A Ceased JP2002507295A (ja) 1997-05-29 1998-05-28 多層型ファイアウオールシステム

Country Status (8)

Country Link
US (1) US5968176A (ja)
EP (1) EP0990206B1 (ja)
JP (1) JP2002507295A (ja)
AT (1) ATE343818T1 (ja)
CA (1) CA2291158A1 (ja)
DE (1) DE69836271T2 (ja)
GB (1) GB2342020B (ja)
WO (1) WO1998054644A1 (ja)

Cited By (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001237895A (ja) * 2000-01-18 2001-08-31 Lucent Technol Inc ネットワークゲートウェイの解析方法及び装置
JP2006146891A (ja) * 2004-11-19 2006-06-08 Microsoft Corp セキュリティポリシーを配布するための方法およびシステム
JP2007529917A (ja) * 2004-02-20 2007-10-25 アシシュ エイ パンドヤ 分散型ネットワークセキュリティシステム及びそのためのハードウエアプロセッサ
JP2008219149A (ja) * 2007-02-28 2008-09-18 Nippon Telegr & Teleph Corp <Ntt> トラヒック制御システムおよびトラヒック制御方法
JP2009105716A (ja) * 2007-10-24 2009-05-14 Hitachi Ltd ネットワークシステム、管理計算機、及びフィルタ再構成方法
JP2009525711A (ja) * 2006-03-31 2009-07-09 インテル・コーポレーション 階層型信頼に基づいたポスチャレポーティング及びポリシー施行
JP2009187587A (ja) * 2003-03-31 2009-08-20 Intel Corp セキュリティポリシーを管理する方法及びシステム
US7653747B2 (en) 2001-10-16 2010-01-26 Microsoft Corporation Resolving virtual network names
US7676540B2 (en) 2001-10-16 2010-03-09 Microsoft Corporation Scoped referral statements
JP2010061675A (ja) * 2002-07-11 2010-03-18 Thomson Licensing アプリケーションレベルゲートウェイ及びファイアウォールのルールセットのダウンロードの許可
US7730094B2 (en) 2001-10-16 2010-06-01 Microsoft Corporation Scoped access control metadata element
US7752431B2 (en) 2001-10-16 2010-07-06 Microsoft Corporation Virtual distributed security system
US7899047B2 (en) 2001-11-27 2011-03-01 Microsoft Corporation Virtual network with adaptive dispatcher
JP2016522919A (ja) * 2013-04-10 2016-08-04 イルミオ, インコーポレイテッドIllumio,Inc. 論理的多次元ラベルベースのポリシーモデルを使用した分散型ネットワークマネージメント
US9882919B2 (en) 2013-04-10 2018-01-30 Illumio, Inc. Distributed network security using a logical multi-dimensional label-based policy model
US10027650B2 (en) 2011-08-09 2018-07-17 CloudPassage, Inc. Systems and methods for implementing security
US10153906B2 (en) 2011-08-09 2018-12-11 CloudPassage, Inc. Systems and methods for implementing computer security
US11323417B2 (en) 2018-03-01 2022-05-03 Fujitsu Limited Network management apparatus, network management method, and non-transitory computer-readable storage medium

Families Citing this family (514)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10361802B1 (en) 1999-02-01 2019-07-23 Blanding Hovenweep, Llc Adaptive pattern recognition based control system and method
US5864683A (en) * 1994-10-12 1999-01-26 Secure Computing Corporartion System for providing secure internetwork by connecting type enforcing secure computers to external network for limiting access to data based on user and process access rights
US8606851B2 (en) 1995-06-06 2013-12-10 Wayport, Inc. Method and apparatus for geographic-based communications service
US5835061A (en) 1995-06-06 1998-11-10 Wayport, Inc. Method and apparatus for geographic-based communications service
US7037426B2 (en) * 2000-05-04 2006-05-02 Zenon Environmental Inc. Immersed membrane apparatus
US5918018A (en) 1996-02-09 1999-06-29 Secure Computing Corporation System and method for achieving network separation
EP0968596B1 (en) 1997-03-12 2007-07-18 Nomadix, Inc. Nomadic translator or router
US6453334B1 (en) 1997-06-16 2002-09-17 Streamtheory, Inc. Method and apparatus to allow remotely located computer programs and/or data to be accessed on a local computer in a secure, time-limited manner, with persistent caching
DE69819927D1 (de) * 1997-09-05 2003-12-24 Sun Microsystems Inc Nachschlagtabelle und verfahren zur datenspeicherung darin
US6308216B1 (en) * 1997-11-14 2001-10-23 International Business Machines Corporation Service request routing using quality-of-service data and network resource information
US6330610B1 (en) * 1997-12-04 2001-12-11 Eric E. Docter Multi-stage data filtering system employing multiple filtering criteria
US7283561B1 (en) * 1997-12-12 2007-10-16 Level 3 Communications, Llc Secure network architecture with quality of service
US7032242B1 (en) * 1998-03-05 2006-04-18 3Com Corporation Method and system for distributed network address translation with network security features
US6321336B1 (en) * 1998-03-13 2001-11-20 Secure Computing Corporation System and method for redirecting network traffic to provide secure communication
US6738814B1 (en) * 1998-03-18 2004-05-18 Cisco Technology, Inc. Method for blocking denial of service and address spoofing attacks on a private network
US6182226B1 (en) * 1998-03-18 2001-01-30 Secure Computing Corporation System and method for controlling interactions between networks
US6202056B1 (en) * 1998-04-03 2001-03-13 Audiosoft, Inc. Method for computer network operation providing basis for usage fees
US7051004B2 (en) * 1998-04-03 2006-05-23 Macrovision Corporation System and methods providing secure delivery of licenses and content
US6141755A (en) * 1998-04-13 2000-10-31 The United States Of America As Represented By The Director Of The National Security Agency Firewall security apparatus for high-speed circuit switched networks
US6226751B1 (en) * 1998-04-17 2001-05-01 Vpnet Technologies, Inc. Method and apparatus for configuring a virtual private network
US7143151B1 (en) * 1998-05-19 2006-11-28 Hitachi, Ltd. Network management system for generating setup information for a plurality of devices based on common meta-level information
US6219790B1 (en) * 1998-06-19 2001-04-17 Lucent Technologies Inc. Centralized authentication, authorization and accounting server with support for multiple transport protocols and multiple client types
US6363422B1 (en) * 1998-06-24 2002-03-26 Robert R. Hunter Multi-capability facilities monitoring and control intranet for facilities management system
US6182228B1 (en) * 1998-08-17 2001-01-30 International Business Machines Corporation System and method for very fast IP packet filtering
US6317837B1 (en) * 1998-09-01 2001-11-13 Applianceware, Llc Internal network node with dedicated firewall
US6438612B1 (en) * 1998-09-11 2002-08-20 Ssh Communications Security, Ltd. Method and arrangement for secure tunneling of data between virtual routers
US6728885B1 (en) * 1998-10-09 2004-04-27 Networks Associates Technology, Inc. System and method for network access control using adaptive proxies
US7293107B1 (en) 1998-10-09 2007-11-06 Netmotion Wireless, Inc. Method and apparatus for providing mobile and other intermittent connectivity in a computing environment
US7778260B2 (en) 1998-10-09 2010-08-17 Netmotion Wireless, Inc. Method and apparatus for providing mobile and other intermittent connectivity in a computing environment
US8078727B2 (en) 1998-10-09 2011-12-13 Netmotion Wireless, Inc. Method and apparatus for providing mobile and other intermittent connectivity in a computing environment
US6546425B1 (en) 1998-10-09 2003-04-08 Netmotion Wireless, Inc. Method and apparatus for providing mobile and other intermittent connectivity in a computing environment
US8060656B2 (en) 1998-10-09 2011-11-15 Netmotion Wireless, Inc. Method and apparatus for providing mobile and other intermittent connectivity in a computing environment
US6195682B1 (en) * 1998-10-27 2001-02-27 International Business Machines Corporation Concurrent server and method of operation having client-server affinity using exchanged client and server keys
GB2385969B (en) * 1998-10-28 2004-01-14 Crosslogix Inc Providing access to securable components
US6460141B1 (en) 1998-10-28 2002-10-01 Rsa Security Inc. Security and access management system for web-enabled and non-web-enabled applications and content on a computer network
US7673323B1 (en) 1998-10-28 2010-03-02 Bea Systems, Inc. System and method for maintaining security in a distributed computer network
US6158010A (en) * 1998-10-28 2000-12-05 Crosslogix, Inc. System and method for maintaining security in a distributed computer network
US7730089B2 (en) * 1998-11-16 2010-06-01 Punch Networks Corporation Method and system for providing remote access to the facilities of a server computer
US6301613B1 (en) * 1998-12-03 2001-10-09 Cisco Technology, Inc. Verifying that a network management policy used by a computer system can be satisfied and is feasible for use
US8713641B1 (en) 1998-12-08 2014-04-29 Nomadix, Inc. Systems and methods for authorizing, authenticating and accounting users having transparent computer access to a network using a gateway device
US6636894B1 (en) 1998-12-08 2003-10-21 Nomadix, Inc. Systems and methods for redirecting users having transparent computer access to a network using a gateway device having redirection capability
US7194554B1 (en) 1998-12-08 2007-03-20 Nomadix, Inc. Systems and methods for providing dynamic network authorization authentication and accounting
US8266266B2 (en) 1998-12-08 2012-09-11 Nomadix, Inc. Systems and methods for providing dynamic network authorization, authentication and accounting
US6480888B1 (en) * 1998-12-29 2002-11-12 At&T Corp. Virtual path concentrator node with loopback
US6718137B1 (en) * 1999-01-05 2004-04-06 Ciena Corporation Method and apparatus for configuration by a first network element based on operating parameters of a second network element
US6954775B1 (en) 1999-01-15 2005-10-11 Cisco Technology, Inc. Parallel intrusion detection sensors with load balancing for high speed networks
CA2296989C (en) * 1999-01-29 2005-10-25 Lucent Technologies Inc. A method and apparatus for managing a firewall
IL128814A (en) * 1999-03-03 2004-09-27 Packet Technologies Ltd Local network security
JP3732672B2 (ja) * 1999-03-10 2006-01-05 株式会社東芝 ネットワークセキュリティルール管理システム及びネットワークセキュリティルール管理装置
US6542993B1 (en) * 1999-03-12 2003-04-01 Lucent Technologies Inc. Security management system and method
JP2000278290A (ja) * 1999-03-29 2000-10-06 Matsushita Electric Ind Co Ltd ネットワーク管理システム
US6738908B1 (en) * 1999-05-06 2004-05-18 Watchguard Technologies, Inc. Generalized network security policy templates for implementing similar network security policies across multiple networks
US6678827B1 (en) * 1999-05-06 2004-01-13 Watchguard Technologies, Inc. Managing multiple network security devices from a manager device
WO2000072169A1 (en) * 1999-05-24 2000-11-30 Hewlett-Packard Company Congestion management in distributed computer system
US7318102B1 (en) 1999-05-24 2008-01-08 Hewlett-Packard Development Company, L.P. Reliable datagram
GB9912494D0 (en) 1999-05-28 1999-07-28 Hewlett Packard Co Configuring computer systems
JP2000347866A (ja) * 1999-06-04 2000-12-15 Nec Corp 分散システムとアクセス制御装置及び方法、並びにアクセス制御用プログラムを記録した記録媒体
US7882247B2 (en) 1999-06-11 2011-02-01 Netmotion Wireless, Inc. Method and apparatus for providing secure connectivity in mobile and other intermittent computing environments
US7346677B1 (en) 1999-07-02 2008-03-18 Cisco Technology, Inc. Method and apparatus for creating policies for policy-based management of quality of service treatments of network data traffic flows
US7836153B1 (en) * 1999-08-06 2010-11-16 Occam Networks, Inc. Method and system to facilitate management of a distributed network
CA2284298A1 (en) * 1999-09-27 2001-03-27 Nortel Networks Corporation Architectures for communication networks
US7206833B1 (en) * 1999-09-30 2007-04-17 Intel Corporation Platform independent alert detection and management
US6922722B1 (en) 1999-09-30 2005-07-26 Intel Corporation Method and apparatus for dynamic network configuration of an alert-based client
US7318089B1 (en) 1999-09-30 2008-01-08 Intel Corporation Method and apparatus for performing network-based control functions on an alert-enabled managed client
US6643783B2 (en) * 1999-10-27 2003-11-04 Terence T. Flyntz Multi-level secure computer with token-based access control
US6832321B1 (en) * 1999-11-02 2004-12-14 America Online, Inc. Public network access server having a user-configurable firewall
IL149356A0 (en) 1999-11-03 2002-11-10 Wayport Inc Distributed network communication system which enables multiple network providers to use a common distributed network infrastructure
US7376827B1 (en) * 1999-11-05 2008-05-20 Cisco Technology, Inc. Directory-enabled network elements
US6901051B1 (en) * 1999-11-15 2005-05-31 Fujitsu Limited Server-based network performance metrics generation system and method
US6684253B1 (en) * 1999-11-18 2004-01-27 Wachovia Bank, N.A., As Administrative Agent Secure segregation of data of two or more domains or trust realms transmitted through a common data channel
US6788647B1 (en) 1999-11-19 2004-09-07 Cisco Technology, Inc. Automatically applying bi-directional quality of service treatment to network data flows
WO2001039418A2 (en) * 1999-11-22 2001-05-31 Diversified High Technologies, Inc. Network security data management system and method
GB2357229B (en) * 1999-12-08 2004-03-17 Hewlett Packard Co Security protocol
US7836494B2 (en) * 1999-12-29 2010-11-16 Intel Corporation System and method for regulating the flow of information to or from an application
US6779120B1 (en) * 2000-01-07 2004-08-17 Securify, Inc. Declarative language for specifying a security policy
US6871284B2 (en) * 2000-01-07 2005-03-22 Securify, Inc. Credential/condition assertion verification optimization
US8074256B2 (en) * 2000-01-07 2011-12-06 Mcafee, Inc. Pdstudio design system and method
US6839766B1 (en) * 2000-01-14 2005-01-04 Cisco Technology, Inc. Method and apparatus for communicating cops protocol policies to non-cops-enabled network devices
US7249186B1 (en) * 2000-01-20 2007-07-24 Cisco Technology, Inc. System and method for identifying a subscriber for connection to a communication network
US7216175B1 (en) * 2000-01-20 2007-05-08 Cisco Systems, Inc. System and method for determining subscriber information
FR2804564B1 (fr) * 2000-01-27 2002-03-22 Bull Sa Relais de securite multiapplicatif
US6606659B1 (en) * 2000-01-28 2003-08-12 Websense, Inc. System and method for controlling access to internet sites
US20020078198A1 (en) * 2000-02-25 2002-06-20 Buchbinder John E. Personal server technology with firewall detection and penetration
US20070214262A1 (en) * 2000-02-25 2007-09-13 Anywheremobile, Inc. Personal server technology with firewall detection and penetration
US20020156860A1 (en) * 2000-02-25 2002-10-24 Finke Alan D. Personal server system
CA2300066A1 (en) * 2000-03-03 2001-09-03 Paul A. Ventura High speed, high security remote access system
US6631417B1 (en) 2000-03-29 2003-10-07 Iona Technologies Plc Methods and apparatus for securing access to a computer
US6799220B1 (en) * 2000-04-13 2004-09-28 Intel Corporation Tunneling management messages over a channel architecture network
US20010037384A1 (en) * 2000-05-15 2001-11-01 Brian Jemes System and method for implementing a virtual backbone on a common network infrastructure
US7020718B2 (en) 2000-05-15 2006-03-28 Hewlett-Packard Development Company, L.P. System and method of aggregating discontiguous address ranges into addresses and masks using a plurality of repeating address blocks
US7024686B2 (en) * 2000-05-15 2006-04-04 Hewlett-Packard Development Company, L.P. Secure network and method of establishing communication amongst network devices that have restricted network connectivity
US7263719B2 (en) * 2000-05-15 2007-08-28 Hewlett-Packard Development Company, L.P. System and method for implementing network security policies on a common network infrastructure
US7171484B1 (en) 2000-05-24 2007-01-30 Krause Michael R Reliable datagram transport service
US6870331B2 (en) * 2000-05-31 2005-03-22 Sarnoff Corporation Space-saving cathode ray tube employing a non-self-converging deflection yoke
US7055171B1 (en) * 2000-05-31 2006-05-30 Hewlett-Packard Development Company, L.P. Highly secure computer system architecture for a heterogeneous client environment
US6931550B2 (en) 2000-06-09 2005-08-16 Aramira Corporation Mobile application security system and method
US7269845B1 (en) 2000-06-09 2007-09-11 Aramira Corporation Mobile application security system and method
WO2001099371A2 (en) * 2000-06-16 2001-12-27 Securify, Inc. Credential/condition assertion verification optimization
US7917647B2 (en) 2000-06-16 2011-03-29 Mcafee, Inc. Method and apparatus for rate limiting
US7302704B1 (en) * 2000-06-16 2007-11-27 Bbn Technologies Corp Excising compromised routers from an ad-hoc network
US6950947B1 (en) 2000-06-20 2005-09-27 Networks Associates Technology, Inc. System for sharing network state to enhance network throughput
US6675017B1 (en) 2000-06-30 2004-01-06 Bellsouth Intellectual Property Corporation Location blocking service for wireless networks
US8041817B2 (en) 2000-06-30 2011-10-18 At&T Intellectual Property I, Lp Anonymous location service for wireless networks
US7031267B2 (en) 2000-12-21 2006-04-18 802 Systems Llc PLD-based packet filtering methods with PLD configuration data update of filtering rules
US7185192B1 (en) * 2000-07-07 2007-02-27 Emc Corporation Methods and apparatus for controlling access to a resource
US7013482B1 (en) * 2000-07-07 2006-03-14 802 Systems Llc Methods for packet filtering including packet invalidation if packet validity determination not timely made
US6959332B1 (en) * 2000-07-12 2005-10-25 Cisco Technology, Inc. Basic command representation of quality of service policies
US7152240B1 (en) * 2000-07-25 2006-12-19 Green Stuart D Method for communication security and apparatus therefor
US20060031456A1 (en) * 2000-07-31 2006-02-09 Marcos Della Method and apparatus for transmitting data between devices in a web networking environment
US7099932B1 (en) 2000-08-16 2006-08-29 Cisco Technology, Inc. Method and apparatus for retrieving network quality of service policy information from a directory in a quality of service policy management system
US7120931B1 (en) * 2000-08-31 2006-10-10 Cisco Technology, Inc. System and method for generating filters based on analyzed flow data
US6823462B1 (en) * 2000-09-07 2004-11-23 International Business Machines Corporation Virtual private network with multiple tunnels associated with one group name
US7836498B2 (en) * 2000-09-07 2010-11-16 Riverbed Technology, Inc. Device to protect victim sites during denial of service attacks
US20020032871A1 (en) * 2000-09-08 2002-03-14 The Regents Of The University Of Michigan Method and system for detecting, tracking and blocking denial of service attacks over a computer network
US20020035698A1 (en) * 2000-09-08 2002-03-21 The Regents Of The University Of Michigan Method and system for protecting publicly accessible network computer services from undesirable network traffic in real-time
US6941355B1 (en) * 2000-09-08 2005-09-06 Bbnt Solutions Llc System for selecting and disseminating active policies to peer device and discarding policy that is not being requested
US6807576B1 (en) * 2000-09-08 2004-10-19 International Business Machines Corporation Method and system for determining and graphically representing frame classification rule relationships
US7188366B2 (en) * 2000-09-12 2007-03-06 Nippon Telegraph And Telephone Corporation Distributed denial of service attack defense method and device
US6826698B1 (en) * 2000-09-15 2004-11-30 Networks Associates Technology, Inc. System, method and computer program product for rule based network security policies
US9525696B2 (en) * 2000-09-25 2016-12-20 Blue Coat Systems, Inc. Systems and methods for processing data flows
US7047561B1 (en) * 2000-09-28 2006-05-16 Nortel Networks Limited Firewall for real-time internet applications
US7096260B1 (en) 2000-09-29 2006-08-22 Cisco Technology, Inc. Marking network data packets with differentiated services codepoints based on network load
US6822940B1 (en) 2000-09-29 2004-11-23 Cisco Technology, Inc. Method and apparatus for adapting enforcement of network quality of service policies based on feedback about network conditions
AU2002213367A1 (en) * 2000-10-20 2002-05-06 Nomadix, Inc. Systems and methods for providing dynamic network authorization, authentication and accounting
US7054930B1 (en) 2000-10-26 2006-05-30 Cisco Technology, Inc. System and method for propagating filters
JP2002132665A (ja) * 2000-10-30 2002-05-10 Jepro:Kk 電子メール管理システム、電子メール管理方法
US6988133B1 (en) 2000-10-31 2006-01-17 Cisco Technology, Inc. Method and apparatus for communicating network quality of service policy information to a plurality of policy enforcement points
US20020059415A1 (en) 2000-11-01 2002-05-16 Chang William Ho Manager for device-to-device pervasive digital output
US10860290B2 (en) 2000-11-01 2020-12-08 Flexiworld Technologies, Inc. Mobile information apparatuses that include a digital camera, a touch sensitive screen interface, support for voice activated commands, and a wireless communication chip or chipset supporting IEEE 802.11
US10915296B2 (en) 2000-11-01 2021-02-09 Flexiworld Technologies, Inc. Information apparatus that includes a touch sensitive screen interface for managing or replying to e-mails
US9965233B2 (en) 2000-11-20 2018-05-08 Flexiworld Technologies, Inc. Digital content services or stores over the internet that transmit or stream protected or encrypted digital content to connected devices and applications that access the digital content services or stores
US11204729B2 (en) 2000-11-01 2021-12-21 Flexiworld Technologies, Inc. Internet based digital content services for pervasively providing protected digital content to smart devices based on having subscribed to the digital content service
US8831995B2 (en) 2000-11-06 2014-09-09 Numecent Holdings, Inc. Optimized server for streamed applications
US7062567B2 (en) 2000-11-06 2006-06-13 Endeavors Technology, Inc. Intelligent network streaming and execution system for conventionally coded applications
SE519251C2 (sv) * 2000-11-08 2003-02-04 Icomera Ab En metod och ett system för överföring av paket mellan två olika enheter
US8180870B1 (en) 2000-11-28 2012-05-15 Verizon Business Global Llc Programmable access device for a distributed network access system
US7657628B1 (en) 2000-11-28 2010-02-02 Verizon Business Global Llc External processor for a distributed network access system
US7046680B1 (en) * 2000-11-28 2006-05-16 Mci, Inc. Network access system including a programmable access device having distributed service control
US8185615B1 (en) 2000-11-28 2012-05-22 Verizon Business Global Llc Message, control and reporting interface for a distributed network access system
US20020078382A1 (en) * 2000-11-29 2002-06-20 Ali Sheikh Scalable system for monitoring network system and components and methodology therefore
US7050396B1 (en) 2000-11-30 2006-05-23 Cisco Technology, Inc. Method and apparatus for automatically establishing bi-directional differentiated services treatment of flows in a network
US7346928B1 (en) * 2000-12-01 2008-03-18 Network Appliance, Inc. Decentralized appliance virus scanning
US7778981B2 (en) * 2000-12-01 2010-08-17 Netapp, Inc. Policy engine to control the servicing of requests received by a storage server
US20020069271A1 (en) * 2000-12-06 2002-06-06 Glen Tindal Event manager for network operating system
US7249170B2 (en) 2000-12-06 2007-07-24 Intelliden System and method for configuration, management and monitoring of network resources
US7054946B2 (en) * 2000-12-06 2006-05-30 Intelliden Dynamic configuration of network devices to enable data transfers
US6978301B2 (en) 2000-12-06 2005-12-20 Intelliden System and method for configuring a network device
US8219662B2 (en) 2000-12-06 2012-07-10 International Business Machines Corporation Redirecting data generated by network devices
US7296292B2 (en) * 2000-12-15 2007-11-13 International Business Machines Corporation Method and apparatus in an application framework system for providing a port and network hardware resource firewall for distributed applications
US20020144143A1 (en) * 2000-12-15 2002-10-03 International Business Machines Corporation Method and system for network management capable of restricting consumption of resources along endpoint-to-endpoint routes throughout a network
US7116977B1 (en) 2000-12-19 2006-10-03 Bellsouth Intellectual Property Corporation System and method for using location information to execute an action
US7245925B2 (en) 2000-12-19 2007-07-17 At&T Intellectual Property, Inc. System and method for using location information to execute an action
US7130630B1 (en) 2000-12-19 2006-10-31 Bellsouth Intellectual Property Corporation Location query service for wireless networks
US7428411B2 (en) * 2000-12-19 2008-09-23 At&T Delaware Intellectual Property, Inc. Location-based security rules
US7181225B1 (en) 2000-12-19 2007-02-20 Bellsouth Intellectual Property Corporation System and method for surveying wireless device users by location
US7224978B2 (en) 2000-12-19 2007-05-29 Bellsouth Intellectual Property Corporation Location blocking service from a wireless service provider
US7110749B2 (en) 2000-12-19 2006-09-19 Bellsouth Intellectual Property Corporation Identity blocking service from a wireless service provider
US7085555B2 (en) 2000-12-19 2006-08-01 Bellsouth Intellectual Property Corporation Location blocking service from a web advertiser
US20020080784A1 (en) * 2000-12-21 2002-06-27 802 Systems, Inc. Methods and systems using PLD-based network communication protocols
US20020083344A1 (en) * 2000-12-21 2002-06-27 Vairavan Kannan P. Integrated intelligent inter/intra networking device
US20020083331A1 (en) * 2000-12-21 2002-06-27 802 Systems, Inc. Methods and systems using PLD-based network communication protocols
US20020124069A1 (en) * 2000-12-28 2002-09-05 Hatalkar Atul N. Broadcast communication system with dynamic client-group memberships
US6965939B2 (en) * 2001-01-05 2005-11-15 International Business Machines Corporation Method and apparatus for processing requests in a network data processing system based on a trust association between servers
US7188145B2 (en) * 2001-01-12 2007-03-06 Epicrealm Licensing Llc Method and system for dynamic distributed data caching
US7035911B2 (en) 2001-01-12 2006-04-25 Epicrealm, Licensing Llc Method and system for community data caching
US20020097419A1 (en) 2001-01-19 2002-07-25 Chang William Ho Information apparatus for universal data output
EP1356653B1 (en) * 2001-01-24 2011-07-20 Broadcom Corporation Method for processing multiple security policies applied to a data packet structure
US20020116644A1 (en) * 2001-01-30 2002-08-22 Galea Secured Networks Inc. Adapter card for wirespeed security treatment of communications traffic
FI20010267A0 (fi) * 2001-02-13 2001-02-13 Stonesoft Oy Tietoturvagatewayn tilatietojen synkronointi
DE60212599D1 (de) * 2001-03-01 2006-08-03 Storeage Networking Technologi Sicherheit für ein san (storage area network)
US7284267B1 (en) * 2001-03-08 2007-10-16 Mcafee, Inc. Automatically configuring a computer firewall based on network connection
US6928465B2 (en) * 2001-03-16 2005-08-09 Wells Fargo Bank, N.A. Redundant email address detection and capture system
US7882555B2 (en) * 2001-03-16 2011-02-01 Kavado, Inc. Application layer security method and system
US6920493B1 (en) * 2001-03-19 2005-07-19 Networks Associates Technology, Inc. System and method for communicating coalesced rule parameters in a distributed computing environment
US7150037B2 (en) * 2001-03-21 2006-12-12 Intelliden, Inc. Network configuration manager
US7181017B1 (en) 2001-03-23 2007-02-20 David Felsher System and method for secure three-party communications
US20020184525A1 (en) * 2001-03-29 2002-12-05 Lebin Cheng Style sheet transformation driven firewall access list generation
US20020144150A1 (en) * 2001-04-03 2002-10-03 Hale Douglas Lavell Providing access control via the layer manager
JP3474548B2 (ja) * 2001-04-09 2003-12-08 アライドテレシス株式会社 集合建築物
US7350078B1 (en) 2001-04-26 2008-03-25 Gary Odom User selection of computer login
US7143441B2 (en) * 2001-05-08 2006-11-28 Aramira Corporation Wireless device mobile application security system
US20020198994A1 (en) * 2001-05-15 2002-12-26 Charles Patton Method and system for enabling and controlling communication topology, access to resources, and document flow in a distributed networking environment
US7536715B2 (en) * 2001-05-25 2009-05-19 Secure Computing Corporation Distributed firewall system and method
US20050198379A1 (en) 2001-06-13 2005-09-08 Citrix Systems, Inc. Automatically reconnecting a client across reliable and persistent communication sessions
GB2376854A (en) * 2001-06-19 2002-12-24 Hewlett Packard Co Centralised security service for ISP environment
US7315892B2 (en) * 2001-06-27 2008-01-01 International Business Machines Corporation In-kernel content-aware service differentiation
US7039532B2 (en) * 2001-06-28 2006-05-02 Hunter Robert R Method and apparatus for reading and controlling utility consumption
US6622097B2 (en) * 2001-06-28 2003-09-16 Robert R. Hunter Method and apparatus for reading and controlling electric power consumption
US6513122B1 (en) 2001-06-29 2003-01-28 Networks Associates Technology, Inc. Secure gateway for analyzing textual content to identify a harmful impact on computer systems with known vulnerabilities
US7065783B2 (en) 2001-07-06 2006-06-20 Aramira Corporation Mobile application access control list security system
US7546629B2 (en) * 2002-03-06 2009-06-09 Check Point Software Technologies, Inc. System and methodology for security policy arbitration
US20040107360A1 (en) * 2002-12-02 2004-06-03 Zone Labs, Inc. System and Methodology for Policy Enforcement
US7590684B2 (en) * 2001-07-06 2009-09-15 Check Point Software Technologies, Inc. System providing methodology for access control with cooperative enforcement
US20040001433A1 (en) * 2001-07-18 2004-01-01 Gram Charles Andrew Interactive control of network devices
US7131141B1 (en) * 2001-07-27 2006-10-31 At&T Corp. Method and apparatus for securely connecting a plurality of trust-group networks, a protected resource network and an untrusted network
CA2456118C (en) * 2001-08-03 2008-10-28 Networks Associates Technology, Inc. System and method for providing passive screening of transient messages in a distributed computing environment
US7461403B1 (en) 2001-08-03 2008-12-02 Mcafee, Inc. System and method for providing passive screening of transient messages in a distributed computing environment
EP1417820B1 (de) * 2001-08-07 2017-02-08 PHOENIX CONTACT Cyber Security AG Verfahren und computersystem zur sicherung der kommunikation in netzwerken
US7178165B2 (en) * 2001-08-20 2007-02-13 Lenovo (Signapore) Pte Ltd. Additional layer in operating system to protect system from hacking
US8296400B2 (en) 2001-08-29 2012-10-23 International Business Machines Corporation System and method for generating a configuration schema
US7200548B2 (en) * 2001-08-29 2007-04-03 Intelliden System and method for modeling a network device's configuration
US20030046583A1 (en) * 2001-08-30 2003-03-06 Honeywell International Inc. Automated configuration of security software suites
US7269649B1 (en) * 2001-08-31 2007-09-11 Mcafee, Inc. Protocol layer-level system and method for detecting virus activity
US6986160B1 (en) * 2001-08-31 2006-01-10 Mcafee, Inc. Security scanning system and method utilizing generic IP addresses
US7003514B2 (en) * 2001-09-13 2006-02-21 International Business Machines Corporation Method and apparatus for restricting a fan-out search in a peer-to-peer network based on accessibility of nodes
JP2003099341A (ja) * 2001-09-20 2003-04-04 Canon Inc ネットワークデバイス管理装置、管理システム及び管理方法、並びにネットワークデバイス
US7302700B2 (en) * 2001-09-28 2007-11-27 Juniper Networks, Inc. Method and apparatus for implementing a layer 3/layer 7 firewall in an L2 device
US8868715B2 (en) 2001-10-15 2014-10-21 Volli Polymer Gmbh Llc Report generation and visualization systems and methods and their use in testing frameworks for determining suitability of a network for target applications
US8543681B2 (en) * 2001-10-15 2013-09-24 Volli Polymer Gmbh Llc Network topology discovery systems and methods
US7536712B2 (en) * 2001-10-16 2009-05-19 Microsoft Corporation Flexible electronic message security mechanism
US20030074579A1 (en) * 2001-10-16 2003-04-17 Microsoft Corporation Virtual distributed security system
US20030079053A1 (en) * 2001-10-23 2003-04-24 Kevin Burns System and method for evaluating effectiveness of network configuration management tools
US7316029B1 (en) * 2001-10-25 2008-01-01 Sprint Communications Company L.P. Network security services architecture
US20030084331A1 (en) * 2001-10-26 2003-05-01 Microsoft Corporation Method for providing user authentication/authorization and distributed firewall utilizing same
US7317699B2 (en) 2001-10-26 2008-01-08 Research In Motion Limited System and method for controlling configuration settings for mobile communication devices and services
US7197762B2 (en) 2001-10-31 2007-03-27 Hewlett-Packard Development Company, L.P. Method, computer readable medium, and node for a three-layered intrusion prevention system for detecting network exploits
US20030084319A1 (en) * 2001-10-31 2003-05-01 Tarquini Richard Paul Node, method and computer readable medium for inserting an intrusion prevention system into a network stack
JP2003140890A (ja) 2001-10-31 2003-05-16 Asgent Inc 電子機器設定情報作成方法及び装置並びにセキュリティポリシー作成方法及び関連装置
US6978446B2 (en) * 2001-11-01 2005-12-20 International Business Machines Corporation System and method for protecting against leakage of sensitive information from compromising electromagnetic emanations from computing systems
US7370353B2 (en) * 2001-11-05 2008-05-06 Cisco Technology, Inc. System and method for managing dynamic network sessions
US7065562B2 (en) * 2001-11-26 2006-06-20 Intelliden, Inc. System and method for generating a representation of a configuration schema
US7418484B2 (en) * 2001-11-30 2008-08-26 Oracle International Corporation System and method for actively managing an enterprise of configurable components
US20030126464A1 (en) * 2001-12-04 2003-07-03 Mcdaniel Patrick D. Method and system for determining and enforcing security policy in a communication session
US7350226B2 (en) * 2001-12-13 2008-03-25 Bea Systems, Inc. System and method for analyzing security policies in a distributed computer network
CA2365441C (en) * 2001-12-19 2010-02-16 Diversinet Corp. Method of establishing secure communications in a digital network using pseudonymic digital identifiers
US8185943B1 (en) 2001-12-20 2012-05-22 Mcafee, Inc. Network adapter firewall system and method
US7761605B1 (en) 2001-12-20 2010-07-20 Mcafee, Inc. Embedded anti-virus scanner for a network adapter
US7127441B2 (en) 2002-01-03 2006-10-24 Scott Abram Musman System and method for using agent-based distributed case-based reasoning to manage a computer network
US7543056B2 (en) 2002-01-15 2009-06-02 Mcafee, Inc. System and method for network vulnerability detection and reporting
US7257630B2 (en) 2002-01-15 2007-08-14 Mcafee, Inc. System and method for network vulnerability detection and reporting
US7099319B2 (en) * 2002-01-23 2006-08-29 International Business Machines Corporation Virtual private network and tunnel gateway with multiple overlapping, remote subnets
US20030163692A1 (en) * 2002-01-31 2003-08-28 Brocade Communications Systems, Inc. Network security and applications to the fabric
US7174566B2 (en) * 2002-02-01 2007-02-06 Intel Corporation Integrated network intrusion detection
US7506147B2 (en) * 2002-02-04 2009-03-17 Sonus Networks, Inc. Policy distribution point for setting up network-based services
US7855972B2 (en) * 2002-02-08 2010-12-21 Enterasys Networks, Inc. Creating, modifying and storing service abstractions and role abstractions representing one or more packet rules
US6892309B2 (en) * 2002-02-08 2005-05-10 Enterasys Networks, Inc. Controlling usage of network resources by a user at the user's entry point to a communications network based on an identity of the user
US6990592B2 (en) 2002-02-08 2006-01-24 Enterasys Networks, Inc. Controlling concurrent usage of network resources by multiple users at an entry point to a communications network based on identities of the users
US7333432B1 (en) 2002-02-12 2008-02-19 Cisco Technology, Inc. Method and apparatus for configuring network elements to support real time applications
US7477600B1 (en) 2002-02-12 2009-01-13 Cisco Technology, Inc. Method and apparatus for configuring network elements to support real time applications based on meta-templates
US7984157B2 (en) 2002-02-26 2011-07-19 Citrix Systems, Inc. Persistent and reliable session securely traversing network components using an encapsulating protocol
US7661129B2 (en) 2002-02-26 2010-02-09 Citrix Systems, Inc. Secure traversal of network components
US7624434B2 (en) * 2002-03-01 2009-11-24 3Com Corporation System for providing firewall capabilities to a communication device
US9426178B1 (en) * 2002-03-25 2016-08-23 Dell Software Inc. Method and apparatus for centralized policy programming and distributive policy enforcement
ATE389640T1 (de) * 2002-03-28 2008-04-15 Wisys Technology Found Inc Angstlösende wirkstoffe mit verminderten beruhigenden und ataktischen nebenwirkungen
IL149583A0 (en) * 2002-05-09 2003-07-06 Kavado Israel Ltd Method for automatic setting and updating of a security policy
US7398321B2 (en) * 2002-05-14 2008-07-08 The Research Foundation Of Suny Segment protection scheme for a network
US6959329B2 (en) * 2002-05-15 2005-10-25 Intelliden System and method for transforming configuration commands
WO2003105015A1 (en) * 2002-06-01 2003-12-18 Akonix Systems, Inc. Systems and methods for a protocol gateway
US7657616B1 (en) 2002-06-10 2010-02-02 Quest Software, Inc. Automatic discovery of users associated with screen names
US7428590B2 (en) * 2002-06-10 2008-09-23 Akonix Systems, Inc. Systems and methods for reflecting messages associated with a target protocol within a network
US7707401B2 (en) * 2002-06-10 2010-04-27 Quest Software, Inc. Systems and methods for a protocol gateway
US7818565B2 (en) * 2002-06-10 2010-10-19 Quest Software, Inc. Systems and methods for implementing protocol enforcement rules
US20080196099A1 (en) * 2002-06-10 2008-08-14 Akonix Systems, Inc. Systems and methods for detecting and blocking malicious content in instant messages
US7774832B2 (en) * 2002-06-10 2010-08-10 Quest Software, Inc. Systems and methods for implementing protocol enforcement rules
US7631107B2 (en) * 2002-06-11 2009-12-08 Pandya Ashish A Runtime adaptable protocol processor
WO2003104943A2 (en) 2002-06-11 2003-12-18 Ashish A Pandya High performance ip processor for tcp/ip, rdma and ip storage applications
US7325140B2 (en) * 2003-06-13 2008-01-29 Engedi Technologies, Inc. Secure management access control for computers, embedded and card embodiment
US7496950B2 (en) * 2002-06-13 2009-02-24 Engedi Technologies, Inc. Secure remote management appliance
US20040003067A1 (en) * 2002-06-27 2004-01-01 Daniel Ferrin System and method for enabling a user interface with GUI meta data
US7194767B1 (en) * 2002-06-28 2007-03-20 Sprint Communications Company L.P. Screened subnet having a secured utility VLAN
US7464145B2 (en) 2002-07-11 2008-12-09 Intelliden, Inc. Repository-independent system and method for asset management and reconciliation
US20050254652A1 (en) * 2002-07-16 2005-11-17 Haim Engler Automated network security system and method
US7017186B2 (en) * 2002-07-30 2006-03-21 Steelcloud, Inc. Intrusion detection system using self-organizing clusters
US7143283B1 (en) * 2002-07-31 2006-11-28 Cisco Technology, Inc. Simplifying the selection of network paths for implementing and managing security policies on a network
US7461158B2 (en) 2002-08-07 2008-12-02 Intelliden, Inc. System and method for controlling access rights to network resources
US7366893B2 (en) * 2002-08-07 2008-04-29 Intelliden, Inc. Method and apparatus for protecting a network from attack
US7327690B2 (en) * 2002-08-12 2008-02-05 Harris Corporation Wireless local or metropolitan area network with intrusion detection features and related methods
US7225461B2 (en) * 2002-09-04 2007-05-29 Hitachi, Ltd. Method for updating security information, client, server and management computer therefor
US20100138909A1 (en) * 2002-09-06 2010-06-03 O2Micro, Inc. Vpn and firewall integrated system
WO2004023307A1 (en) * 2002-09-06 2004-03-18 O2Micro, Inc. Vpn and firewall integrated system
US7558847B2 (en) * 2002-09-13 2009-07-07 Intelliden, Inc. System and method for mapping between and controlling different device abstractions
US20040059943A1 (en) * 2002-09-23 2004-03-25 Bertrand Marquet Embedded filtering policy manager using system-on-chip
US7735134B2 (en) * 2002-10-16 2010-06-08 Aramira Corporation Jumping application security system
US7861242B2 (en) * 2002-10-16 2010-12-28 Aramira Corporation Mobile application morphing system and method
US6850943B2 (en) * 2002-10-18 2005-02-01 Check Point Software Technologies, Inc. Security system and methodology for providing indirect access control
US7308706B2 (en) * 2002-10-28 2007-12-11 Secure Computing Corporation Associative policy model
US8233392B2 (en) 2003-07-29 2012-07-31 Citrix Systems, Inc. Transaction boundary detection for reduction in timeout penalties
US7616638B2 (en) 2003-07-29 2009-11-10 Orbital Data Corporation Wavefront detection and disambiguation of acknowledgments
US7630305B2 (en) 2003-07-29 2009-12-08 Orbital Data Corporation TCP selective acknowledgements for communicating delivered and missed data packets
US8270423B2 (en) 2003-07-29 2012-09-18 Citrix Systems, Inc. Systems and methods of using packet boundaries for reduction in timeout prevention
US7552470B2 (en) * 2002-11-21 2009-06-23 Honeywell International Inc. Generic security infrastructure for COM based systems
FR2848046B1 (fr) * 2002-12-02 2005-02-18 Arkoon Network Security Procede et dispositif d'acces pour securiser l'acces aux systemes d'information
US20040117437A1 (en) * 2002-12-16 2004-06-17 Exanet, Co. Method for efficient storing of sparse files in a distributed cache
US7356601B1 (en) * 2002-12-18 2008-04-08 Cisco Technology, Inc. Method and apparatus for authorizing network device operations that are requested by applications
US20040123130A1 (en) * 2002-12-20 2004-06-24 Inrange Technologies Corporation Method and apparatus for distributing and activating security parameters
US8239942B2 (en) 2002-12-30 2012-08-07 Cisco Technology, Inc. Parallel intrusion detection sensors with load balancing for high speed networks
US20040128545A1 (en) * 2002-12-31 2004-07-01 International Business Machines Corporation Host controlled dynamic firewall system
US7134015B2 (en) * 2003-01-16 2006-11-07 International Business Machines Corporation Security enhancements for pervasive devices
US7219131B2 (en) * 2003-01-16 2007-05-15 Ironport Systems, Inc. Electronic message delivery using an alternate source approach
US7512703B2 (en) * 2003-01-31 2009-03-31 Hewlett-Packard Development Company, L.P. Method of storing data concerning a computer network
US9818136B1 (en) 2003-02-05 2017-11-14 Steven M. Hoffberg System and method for determining contingent relevance
JP4120415B2 (ja) * 2003-02-10 2008-07-16 株式会社日立製作所 トラフィック制御計算装置
US7536456B2 (en) 2003-02-14 2009-05-19 Preventsys, Inc. System and method for applying a machine-processable policy rule to information gathered about a network
US7627891B2 (en) 2003-02-14 2009-12-01 Preventsys, Inc. Network audit and policy assurance system
US7529754B2 (en) * 2003-03-14 2009-05-05 Websense, Inc. System and method of monitoring and controlling application files
US7185015B2 (en) 2003-03-14 2007-02-27 Websense, Inc. System and method of monitoring and controlling application files
US7558790B1 (en) 2003-03-18 2009-07-07 Troux Technologies Method and system for querying an applied data model
US8136155B2 (en) * 2003-04-01 2012-03-13 Check Point Software Technologies, Inc. Security system with methodology for interprocess communication control
US7277546B2 (en) * 2003-04-09 2007-10-02 New Jersey Institute Of Technology Methods and apparatus for multi-level dynamic security system
US20040210663A1 (en) * 2003-04-15 2004-10-21 Paul Phillips Object-aware transport-layer network processing engine
EP1634175B1 (en) * 2003-05-28 2015-06-24 Citrix Systems, Inc. Multilayer access control security system
US20060206615A1 (en) * 2003-05-30 2006-09-14 Yuliang Zheng Systems and methods for dynamic and risk-aware network security
US7260840B2 (en) * 2003-06-06 2007-08-21 Microsoft Corporation Multi-layer based method for implementing network firewalls
US7509673B2 (en) * 2003-06-06 2009-03-24 Microsoft Corporation Multi-layered firewall architecture
US7308711B2 (en) * 2003-06-06 2007-12-11 Microsoft Corporation Method and framework for integrating a plurality of network policies
US7685254B2 (en) * 2003-06-10 2010-03-23 Pandya Ashish A Runtime adaptable search processor
US20050108518A1 (en) * 2003-06-10 2005-05-19 Pandya Ashish A. Runtime adaptable security processor
US7788726B2 (en) * 2003-07-02 2010-08-31 Check Point Software Technologies, Inc. System and methodology providing information lockbox
TWI243555B (en) * 2003-07-09 2005-11-11 Hon Hai Prec Ind Co Ltd Apparatus and method of firewall
US8238241B2 (en) 2003-07-29 2012-08-07 Citrix Systems, Inc. Automatic detection and window virtualization for flow control
US8437284B2 (en) 2003-07-29 2013-05-07 Citrix Systems, Inc. Systems and methods for additional retransmissions of dropped packets
US7356587B2 (en) * 2003-07-29 2008-04-08 International Business Machines Corporation Automatically detecting malicious computer network reconnaissance by updating state codes in a histogram
US8432800B2 (en) 2003-07-29 2013-04-30 Citrix Systems, Inc. Systems and methods for stochastic-based quality of service
EP1517473B1 (en) * 2003-09-22 2006-11-29 Alcatel Method for control of communications from an edge device of an access network and edge device and network management module for performing said method
WO2005032042A1 (en) 2003-09-24 2005-04-07 Infoexpress, Inc. Systems and methods of controlling network access
US7349966B2 (en) * 2003-09-30 2008-03-25 International Business Machines Corporation Method, system, and storage medium for providing context-based dynamic policy assignment in a distributed processing environment
US7594224B2 (en) 2003-10-10 2009-09-22 Bea Systems, Inc. Distributed enterprise security system
US20050257245A1 (en) * 2003-10-10 2005-11-17 Bea Systems, Inc. Distributed security system with dynamic roles
US7346483B2 (en) * 2003-10-10 2008-03-18 Synopsys, Inc. Dynamic FIFO for simulation
US7644432B2 (en) * 2003-10-10 2010-01-05 Bea Systems, Inc. Policy inheritance through nested groups
US7444678B2 (en) * 2003-10-28 2008-10-28 Aol Llc Securing resources from untrusted scripts behind firewalls
US20050138416A1 (en) * 2003-12-19 2005-06-23 Microsoft Corporation Object model for managing firewall services
US7472356B2 (en) * 2004-02-11 2008-12-30 Microsoft Corporation Collapsible container with semi-collapsed view
EP1716676B1 (en) 2004-02-17 2012-06-13 Cisco Technology, Inc. Collecting, aggregating, and managing information relating to electronic messages
US7895648B1 (en) * 2004-03-01 2011-02-22 Cisco Technology, Inc. Reliably continuing a secure connection when the address of a machine at one end of the connection changes
US8468337B2 (en) * 2004-03-02 2013-06-18 International Business Machines Corporation Secure data transfer over a network
US7564976B2 (en) * 2004-03-02 2009-07-21 International Business Machines Corporation System and method for performing security operations on network data
US20050201391A1 (en) * 2004-03-11 2005-09-15 Hung-Fang Ma Network address translation router and related method
US8782654B2 (en) 2004-03-13 2014-07-15 Adaptive Computing Enterprises, Inc. Co-allocating a reservation spanning different compute resources types
US8201257B1 (en) 2004-03-31 2012-06-12 Mcafee, Inc. System and method of managing network security risks
US8230480B2 (en) * 2004-04-26 2012-07-24 Avaya Inc. Method and apparatus for network security based on device security status
US8161520B1 (en) * 2004-04-30 2012-04-17 Oracle America, Inc. Methods and systems for securing a system in an adaptive computer environment
US20050261970A1 (en) * 2004-05-21 2005-11-24 Wayport, Inc. Method for providing wireless services
US7756930B2 (en) 2004-05-28 2010-07-13 Ironport Systems, Inc. Techniques for determining the reputation of a message sender
US8166310B2 (en) 2004-05-29 2012-04-24 Ironport Systems, Inc. Method and apparatus for providing temporary access to a network device
US7849142B2 (en) 2004-05-29 2010-12-07 Ironport Systems, Inc. Managing connections, messages, and directory harvest attacks at a server
US7917588B2 (en) * 2004-05-29 2011-03-29 Ironport Systems, Inc. Managing delivery of electronic messages using bounce profiles
US7873695B2 (en) 2004-05-29 2011-01-18 Ironport Systems, Inc. Managing connections and messages at a server by associating different actions for both different senders and different recipients
US7870200B2 (en) 2004-05-29 2011-01-11 Ironport Systems, Inc. Monitoring the flow of messages received at a server
US7526792B2 (en) * 2004-06-09 2009-04-28 Intel Corporation Integration of policy compliance enforcement and device authentication
US7774824B2 (en) * 2004-06-09 2010-08-10 Intel Corporation Multifactor device authentication
US7640317B2 (en) * 2004-06-10 2009-12-29 Cisco Technology, Inc. Configuration commit database approach and session locking approach in a two-stage network device configuration process
US7853676B1 (en) 2004-06-10 2010-12-14 Cisco Technology, Inc. Protocol for efficient exchange of XML documents with a network device
US7660882B2 (en) * 2004-06-10 2010-02-09 Cisco Technology, Inc. Deploying network element management system provisioning services
US7748038B2 (en) * 2004-06-16 2010-06-29 Ironport Systems, Inc. Method and apparatus for managing computer virus outbreaks
JP4379223B2 (ja) * 2004-06-18 2009-12-09 日本電気株式会社 動作モデル作成システム、動作モデル作成方法および動作モデル作成プログラム
US20070266388A1 (en) 2004-06-18 2007-11-15 Cluster Resources, Inc. System and method for providing advanced reservations in a compute environment
WO2006002108A2 (en) 2004-06-21 2006-01-05 Musman Scott A Computer network management using agent-based distributed reasoning
US7617501B2 (en) 2004-07-09 2009-11-10 Quest Software, Inc. Apparatus, system, and method for managing policies on a computer having a foreign operating system
FR2872983A1 (fr) * 2004-07-09 2006-01-13 Thomson Licensing Sa Systeme de pare-feu protegeant une communaute d'appareils, appareil participant au systeme et methode de mise a jour des regles de pare-feu au sein du systeme
US7540016B2 (en) * 2004-07-21 2009-05-26 Beachhead Solutions, Inc. System and method for lost data destruction of electronic data stored on a portable electronic device which communicates with servers that are inside of and outside of a firewall
US7543144B2 (en) * 2004-07-21 2009-06-02 Beachhead Solutions System and method for lost data destruction of electronic data stored on portable electronic devices
US7421589B2 (en) * 2004-07-21 2008-09-02 Beachhead Solutions, Inc. System and method for lost data destruction of electronic data stored on a portable electronic device using a security interval
GB2416879B (en) 2004-08-07 2007-04-04 Surfcontrol Plc Device resource access filtering system and method
US20060031928A1 (en) * 2004-08-09 2006-02-09 Conley James W Detector and computerized method for determining an occurrence of tunneling activity
US8725521B2 (en) * 2004-08-13 2014-05-13 International Business Machines Corporation System and method for designing secure business solutions using patterns
US8176490B1 (en) 2004-08-20 2012-05-08 Adaptive Computing Enterprises, Inc. System and method of interfacing a workload manager and scheduler with an identity manager
GB2418108B (en) 2004-09-09 2007-06-27 Surfcontrol Plc System, method and apparatus for use in monitoring or controlling internet access
GB2418037B (en) 2004-09-09 2007-02-28 Surfcontrol Plc System, method and apparatus for use in monitoring or controlling internet access
US7561515B2 (en) * 2004-09-27 2009-07-14 Intel Corporation Role-based network traffic-flow rate control
US20060075481A1 (en) * 2004-09-28 2006-04-06 Ross Alan D System, method and device for intrusion prevention
US7711835B2 (en) 2004-09-30 2010-05-04 Citrix Systems, Inc. Method and apparatus for reducing disclosure of proprietary data in a networked environment
US8613048B2 (en) 2004-09-30 2013-12-17 Citrix Systems, Inc. Method and apparatus for providing authorized remote access to application sessions
US7748032B2 (en) 2004-09-30 2010-06-29 Citrix Systems, Inc. Method and apparatus for associating tickets in a ticket hierarchy
US7421739B2 (en) * 2004-10-04 2008-09-02 American Express Travel Related Services Company, Inc. System and method for monitoring and ensuring data integrity in an enterprise security system
CA2586763C (en) 2004-11-08 2013-12-17 Cluster Resources, Inc. System and method of providing system jobs within a compute environment
EP1834448B1 (en) * 2004-12-30 2016-03-16 Telecom Italia S.p.A. Admission control in a telecommunication network
DE102005001150B4 (de) * 2005-01-10 2006-11-16 Siemens Ag Verfahren zur Einrichtung von verteilten Filtern in einem Paket-orientierten Netz basierend auf abstrakten Sicherheits-Vorgaben
US7620974B2 (en) * 2005-01-12 2009-11-17 Symantec Distributed traffic scanning through data stream security tagging
US8077632B2 (en) * 2005-01-20 2011-12-13 Citrix Systems, Inc. Automatic LAN/WAN port detection
US8024568B2 (en) 2005-01-28 2011-09-20 Citrix Systems, Inc. Method and system for verification of an endpoint security scan
US8863143B2 (en) 2006-03-16 2014-10-14 Adaptive Computing Enterprises, Inc. System and method for managing a hybrid compute environment
US9231886B2 (en) 2005-03-16 2016-01-05 Adaptive Computing Enterprises, Inc. Simple integration of an on-demand compute environment
US20060212422A1 (en) * 2005-03-21 2006-09-21 Anil Khilani Efficiently executing commands against a large set of servers with near real time feedback of execution and presentation of the output of the commands
US8024523B2 (en) 2007-11-07 2011-09-20 Endeavors Technologies, Inc. Opportunistic block transmission with time constraints
US20060230279A1 (en) * 2005-03-30 2006-10-12 Morris Robert P Methods, systems, and computer program products for establishing trusted access to a communication network
US20060230278A1 (en) * 2005-03-30 2006-10-12 Morris Robert P Methods,systems, and computer program products for determining a trust indication associated with access to a communication network
EP3203374B1 (en) 2005-04-07 2021-11-24 III Holdings 12, LLC On-demand access to compute resources
US8234223B1 (en) 2005-04-28 2012-07-31 Troux Technologies, Inc. Method and system for calculating cost of an asset using a data model
US20060265737A1 (en) * 2005-05-23 2006-11-23 Morris Robert P Methods, systems, and computer program products for providing trusted access to a communicaiton network based on location
US7434041B2 (en) * 2005-08-22 2008-10-07 Oracle International Corporation Infrastructure for verifying configuration and health of a multi-node computer system
US7590733B2 (en) * 2005-09-14 2009-09-15 Infoexpress, Inc. Dynamic address assignment for access control on DHCP networks
JP4489676B2 (ja) * 2005-09-28 2010-06-23 富士通株式会社 通信システム
US8874477B2 (en) 2005-10-04 2014-10-28 Steven Mark Hoffberg Multifactorial optimization system and method
US8615578B2 (en) * 2005-10-07 2013-12-24 Oracle International Corporation Using a standby data storage system to detect the health of a cluster of data storage servers
EP1946217A2 (en) * 2005-11-03 2008-07-23 Akonix Systems, Inc. Systems and methods for remote rogue protocol enforcement
US8347373B2 (en) 2007-05-08 2013-01-01 Fortinet, Inc. Content filtering of remote file-system access protocols
US7904949B2 (en) 2005-12-19 2011-03-08 Quest Software, Inc. Apparatus, systems and methods to provide authentication services to a legacy application
US8087075B2 (en) 2006-02-13 2011-12-27 Quest Software, Inc. Disconnected credential validation using pre-fetched service tickets
US20070192858A1 (en) * 2006-02-16 2007-08-16 Infoexpress, Inc. Peer based network access control
US7890755B2 (en) * 2006-02-28 2011-02-15 The Boeing Company High-assurance web-based configuration of secure network server
US8635388B2 (en) * 2006-03-31 2014-01-21 Broadcom Corporation Method and system for an OS virtualization-aware network interface card
GB2468799B (en) * 2006-03-31 2011-04-06 Intel Corp Hierarchical trust based posture reporting and policy enforcement
US20070250932A1 (en) * 2006-04-20 2007-10-25 Pravin Kothari Integrated enterprise-level compliance and risk management system
US8122492B2 (en) * 2006-04-21 2012-02-21 Microsoft Corporation Integration of social network information and network firewalls
US8079073B2 (en) * 2006-05-05 2011-12-13 Microsoft Corporation Distributed firewall implementation and control
US8176157B2 (en) * 2006-05-18 2012-05-08 Microsoft Corporation Exceptions grouping
US8214877B1 (en) * 2006-05-22 2012-07-03 Troux Technologies System and method for the implementation of policies
US8726020B2 (en) * 2006-05-31 2014-05-13 Microsoft Corporation Updating configuration information to a perimeter network
US8429712B2 (en) 2006-06-08 2013-04-23 Quest Software, Inc. Centralized user authentication system apparatus and method
US8020206B2 (en) 2006-07-10 2011-09-13 Websense, Inc. System and method of analyzing web content
US8615800B2 (en) 2006-07-10 2013-12-24 Websense, Inc. System and method for analyzing web content
US20080071770A1 (en) * 2006-09-18 2008-03-20 Nokia Corporation Method, Apparatus and Computer Program Product for Viewing a Virtual Database Using Portable Devices
US8086710B2 (en) 2006-10-30 2011-12-27 Quest Software, Inc. Identity migration apparatus and method
US8533846B2 (en) 2006-11-08 2013-09-10 Citrix Systems, Inc. Method and system for dynamically associating access rights with a resource
US8281360B2 (en) 2006-11-21 2012-10-02 Steven Adams Flewallen Control of communication ports of computing devices using policy-based decisions
US9654495B2 (en) 2006-12-01 2017-05-16 Websense, Llc System and method of analyzing web addresses
US9141557B2 (en) 2006-12-08 2015-09-22 Ashish A. Pandya Dynamic random access memory (DRAM) that comprises a programmable intelligent search memory (PRISM) and a cryptography processing engine
US7996348B2 (en) 2006-12-08 2011-08-09 Pandya Ashish A 100GBPS security and search architecture using programmable intelligent search memory (PRISM) that comprises one or more bit interval counters
GB2445764A (en) 2007-01-22 2008-07-23 Surfcontrol Plc Resource access filtering system and database structure for use therewith
US8015174B2 (en) 2007-02-28 2011-09-06 Websense, Inc. System and method of controlling access to the internet
US8316427B2 (en) * 2007-03-09 2012-11-20 International Business Machines Corporation Enhanced personal firewall for dynamic computing environments
US7730200B2 (en) * 2007-03-14 2010-06-01 Hewlett-Packard Development Company, L.P. Synthetic bridging for networks
US8024486B2 (en) 2007-03-14 2011-09-20 Hewlett-Packard Development Company, L.P. Converting data from a first network format to non-network format and from the non-network format to a second network format
US8695081B2 (en) * 2007-04-10 2014-04-08 International Business Machines Corporation Method to apply network encryption to firewall decisions
US7941837B1 (en) * 2007-04-18 2011-05-10 Juniper Networks, Inc. Layer two firewall with active-active high availability support
US20080034408A1 (en) * 2007-04-23 2008-02-07 Sachin Duggal Network-Based Computing Service On A Streamed Virtual Computer
US8756293B2 (en) 2007-04-23 2014-06-17 Nholdings Sa Providing a user with virtual computing services
US8584227B2 (en) * 2007-05-09 2013-11-12 Microsoft Corporation Firewall with policy hints
US7941838B2 (en) * 2007-05-09 2011-05-10 Microsoft Corporation Firewall control with multiple profiles
ATE472476T1 (de) * 2007-05-11 2010-07-15 Sca Hygiene Prod Ab Verpackungs- und versorgungsvorrichtung zum gruppieren von produktobjekten
US8166534B2 (en) * 2007-05-18 2012-04-24 Microsoft Corporation Incorporating network connection security levels into firewall rules
GB0709527D0 (en) 2007-05-18 2007-06-27 Surfcontrol Plc Electronic messaging system, message processing apparatus and message processing method
US7853992B2 (en) * 2007-05-31 2010-12-14 Microsoft Corporation Configuring security mechanisms utilizing a trust system
EP2026529A1 (en) 2007-07-12 2009-02-18 Wayport, Inc. Device-specific authorization at distributed locations
US8908700B2 (en) 2007-09-07 2014-12-09 Citrix Systems, Inc. Systems and methods for bridging a WAN accelerator with a security gateway
US8041773B2 (en) 2007-09-24 2011-10-18 The Research Foundation Of State University Of New York Automatic clustering for self-organizing grids
US7783666B1 (en) 2007-09-26 2010-08-24 Netapp, Inc. Controlling access to storage resources by using access pattern based quotas
US8027956B1 (en) 2007-10-30 2011-09-27 Troux Technologies System and method for planning or monitoring system transformations
US8892738B2 (en) 2007-11-07 2014-11-18 Numecent Holdings, Inc. Deriving component statistics for a stream enabled application
US8365276B1 (en) * 2007-12-10 2013-01-29 Mcafee, Inc. System, method and computer program product for sending unwanted activity information to a central system
US9507784B2 (en) 2007-12-21 2016-11-29 Netapp, Inc. Selective extraction of information from a mirrored image file
US8566839B2 (en) 2008-03-14 2013-10-22 William J. Johnson System and method for automated content presentation objects
US8897742B2 (en) 2009-11-13 2014-11-25 William J. Johnson System and method for sudden proximal user interface
US8639267B2 (en) 2008-03-14 2014-01-28 William J. Johnson System and method for location based exchanges of data facilitating distributed locational applications
US8761751B2 (en) 2008-03-14 2014-06-24 William J. Johnson System and method for targeting data processing system(s) with data
US8600341B2 (en) 2008-03-14 2013-12-03 William J. Johnson System and method for location based exchanges of data facilitating distributed locational applications
US8634796B2 (en) 2008-03-14 2014-01-21 William J. Johnson System and method for location based exchanges of data facilitating distributed location applications
WO2010002816A1 (en) 2008-06-30 2010-01-07 Websense, Inc. System and method for dynamic and real-time categorization of webpages
US20100011432A1 (en) * 2008-07-08 2010-01-14 Microsoft Corporation Automatically distributed network protection
US8978104B1 (en) 2008-07-23 2015-03-10 United Services Automobile Association (Usaa) Access control center workflow and approval
US8707397B1 (en) 2008-09-10 2014-04-22 United Services Automobile Association Access control center auto launch
US8850525B1 (en) 2008-09-17 2014-09-30 United Services Automobile Association (Usaa) Access control center auto configuration
US8490187B2 (en) 2009-03-20 2013-07-16 Microsoft Corporation Controlling malicious activity detection using behavioral models
BRPI1010897A2 (pt) 2009-05-19 2019-02-19 Nholdings Sa método e sistema para prover um dispositivo local com serviços de computador de um provedor remoto e método e sistema para anunciar um usuário de uma máquina virtual hospedada por um servido remoto
AU2010254269A1 (en) 2009-05-26 2011-12-22 Websense, Inc. Systems and methods for efficient detection of fingerprinted data and information
US8255984B1 (en) 2009-07-01 2012-08-28 Quest Software, Inc. Single sign-on system for shared resource environments
US8489685B2 (en) 2009-07-17 2013-07-16 Aryaka Networks, Inc. Application acceleration as a service system and method
US9442810B2 (en) * 2009-07-31 2016-09-13 Paypal, Inc. Cloud computing: unified management console for services and resources in a data center
US20110047381A1 (en) * 2009-08-21 2011-02-24 Board Of Regents, The University Of Texas System Safemashups cloud trust broker
US20110072487A1 (en) 2009-09-23 2011-03-24 Computer Associates Think, Inc. System, Method, and Software for Providing Access Control Enforcement Capabilities in Cloud Computing Systems
US9876735B2 (en) 2009-10-30 2018-01-23 Iii Holdings 2, Llc Performance and power optimized computer system architectures and methods leveraging power optimized tree fabric interconnect
US20130107444A1 (en) 2011-10-28 2013-05-02 Calxeda, Inc. System and method for flexible storage and networking provisioning in large scalable processor installations
US9465771B2 (en) 2009-09-24 2016-10-11 Iii Holdings 2, Llc Server on a chip and node cards comprising one or more of same
US8599863B2 (en) 2009-10-30 2013-12-03 Calxeda, Inc. System and method for using a multi-protocol fabric module across a distributed server interconnect fabric
US9077654B2 (en) * 2009-10-30 2015-07-07 Iii Holdings 2, Llc System and method for data center security enhancements leveraging managed server SOCs
US20110103391A1 (en) 2009-10-30 2011-05-05 Smooth-Stone, Inc. C/O Barry Evans System and method for high-performance, low-power data center interconnect fabric
US9054990B2 (en) 2009-10-30 2015-06-09 Iii Holdings 2, Llc System and method for data center security enhancements leveraging server SOCs or server fabrics
US9680770B2 (en) 2009-10-30 2017-06-13 Iii Holdings 2, Llc System and method for using a multi-protocol fabric module across a distributed server interconnect fabric
US9648102B1 (en) 2012-12-27 2017-05-09 Iii Holdings 2, Llc Memcached server functionality in a cluster of data processing nodes
US11720290B2 (en) 2009-10-30 2023-08-08 Iii Holdings 2, Llc Memcached server functionality in a cluster of data processing nodes
US9311269B2 (en) 2009-10-30 2016-04-12 Iii Holdings 2, Llc Network proxy for high-performance, low-power data center interconnect fabric
US10877695B2 (en) 2009-10-30 2020-12-29 Iii Holdings 2, Llc Memcached server functionality in a cluster of data processing nodes
US9215236B2 (en) * 2010-02-22 2015-12-15 Avaya Inc. Secure, policy-based communications security and file sharing across mixed media, mixed-communications modalities and extensible to cloud computing such as SOA
US9485218B2 (en) * 2010-03-23 2016-11-01 Adventium Enterprises, Llc Device for preventing, detecting and responding to security threats
US9491052B2 (en) * 2010-03-26 2016-11-08 Bladelogic, Inc. Topology aware smart merge
US8918856B2 (en) 2010-06-24 2014-12-23 Microsoft Corporation Trusted intermediary for network layer claims-enabled access control
US8839346B2 (en) 2010-07-21 2014-09-16 Citrix Systems, Inc. Systems and methods for providing a smart group
US8528069B2 (en) * 2010-09-30 2013-09-03 Microsoft Corporation Trustworthy device claims for enterprise applications
US8635592B1 (en) 2011-02-08 2014-01-21 Troux Technologies, Inc. Method and system for tailoring software functionality
DE112012003293T5 (de) * 2011-08-10 2014-05-08 Gita Srivastava Vorrichtung und Verfahren zur Verbesserung der Datensicherheit in einer Host-Computer-Vorrichtung und einer Peripherie-Vorrichtung
US9537891B1 (en) * 2011-09-27 2017-01-03 Palo Alto Networks, Inc. Policy enforcement based on dynamically attribute-based matched network objects
US8930529B1 (en) 2011-09-27 2015-01-06 Palo Alto Networks, Inc. Policy enforcement with dynamic address object
US9047109B1 (en) 2012-06-20 2015-06-02 Palo Alto Networks, Inc. Policy enforcement in virtualized environment
US9092594B2 (en) 2011-10-31 2015-07-28 Iii Holdings 2, Llc Node card management in a modular and large scalable server system
CA2879180A1 (en) 2012-03-07 2013-09-12 Snap Trends, Inc. Methods and systems of aggregating information of social networks based on geographical locations via a network
US9442778B2 (en) * 2012-10-01 2016-09-13 Salesforce.Com, Inc. Method and system for secured inter-application communication in mobile devices
US9083749B1 (en) * 2012-10-17 2015-07-14 Amazon Technologies, Inc. Managing multiple security policy representations in a distributed environment
US9117054B2 (en) 2012-12-21 2015-08-25 Websense, Inc. Method and aparatus for presence based resource management
US9280581B1 (en) 2013-03-12 2016-03-08 Troux Technologies, Inc. Method and system for determination of data completeness for analytic data calculations
US9106610B2 (en) 2013-06-07 2015-08-11 International Business Machines Corporation Regional firewall clustering in a networked computing environment
US9477991B2 (en) 2013-08-27 2016-10-25 Snap Trends, Inc. Methods and systems of aggregating information of geographic context regions of social networks based on geographical locations via a network
US9894489B2 (en) 2013-09-30 2018-02-13 William J. Johnson System and method for situational proximity observation alerting privileged recipients
EP3066581B1 (en) * 2013-11-04 2019-06-26 Illumio, Inc. Distributed network security using a logical multi-dimensional label-based policy model
US9548897B2 (en) 2014-01-17 2017-01-17 Amazon Technologies, Inc. Network entity registry for network entity handles included in network traffic policies enforced for a provider network
US9215214B2 (en) 2014-02-20 2015-12-15 Nicira, Inc. Provisioning firewall rules on a firewall enforcing device
US20160021143A1 (en) * 2014-07-21 2016-01-21 David Browning Device federation
WO2016053304A1 (en) * 2014-09-30 2016-04-07 Hewlett Packard Enterprise Development Lp Topology based management with compliance policies
US10834065B1 (en) 2015-03-31 2020-11-10 F5 Networks, Inc. Methods for SSL protected NTLM re-authentication and devices thereof
US9806948B2 (en) 2015-06-30 2017-10-31 Nicira, Inc. Providing firewall rules for workload spread across multiple data centers
US10263847B2 (en) 2015-07-31 2019-04-16 Vmware, Inc. Policy validation
GB2544292A (en) * 2015-11-10 2017-05-17 Virtuosys Ltd Communication unit employed as a remote router and method for enforcement
US9992232B2 (en) * 2016-01-14 2018-06-05 Cisco Technology, Inc. Policy block creation with context-sensitive policy line classification
US10404698B1 (en) 2016-01-15 2019-09-03 F5 Networks, Inc. Methods for adaptive organization of web application access points in webtops and devices thereof
US10348685B2 (en) 2016-04-29 2019-07-09 Nicira, Inc. Priority allocation for distributed service rules
US10135727B2 (en) 2016-04-29 2018-11-20 Nicira, Inc. Address grouping for distributed service rules
US11171920B2 (en) 2016-05-01 2021-11-09 Nicira, Inc. Publication of firewall configuration
US11425095B2 (en) 2016-05-01 2022-08-23 Nicira, Inc. Fast ordering of firewall sections and rules
DE102016110723A1 (de) 2016-06-10 2017-12-14 Endress+Hauser Process Solutions Ag Verfahren zum Verhindern eines unerlaubten Zugriffs auf Softwareanwendungen in Feldgeräten
US11258761B2 (en) 2016-06-29 2022-02-22 Nicira, Inc. Self-service firewall configuration
US11088990B2 (en) 2016-06-29 2021-08-10 Nicira, Inc. Translation cache for firewall configuration
JP2018019207A (ja) * 2016-07-27 2018-02-01 富士ゼロックス株式会社 連携管理装置及び通信システム
US10778722B2 (en) * 2016-11-08 2020-09-15 Massachusetts Institute Of Technology Dynamic flow system
US10038671B2 (en) * 2016-12-31 2018-07-31 Fortinet, Inc. Facilitating enforcement of security policies by and on behalf of a perimeter network security device by providing enhanced visibility into interior traffic flows
US10721275B2 (en) * 2017-01-23 2020-07-21 Fireeye, Inc. Automated enforcement of security policies in cloud and hybrid infrastructure environments
CN108418776B (zh) * 2017-02-09 2021-08-20 上海诺基亚贝尔股份有限公司 用于提供安全业务的方法和设备
US10826931B1 (en) 2018-03-29 2020-11-03 Fireeye, Inc. System and method for predicting and mitigating cybersecurity system misconfigurations
US11310202B2 (en) 2019-03-13 2022-04-19 Vmware, Inc. Sharing of firewall rules among multiple workloads in a hypervisor
US11563722B2 (en) 2019-08-22 2023-01-24 Hewlett Packard Enterprise Development Lp Firewall coordination in a network
US11165649B1 (en) * 2020-09-21 2021-11-02 Cradlepoint, Inc. Filter-based composition of networking device configuration
CN114915436B (zh) * 2021-02-08 2024-02-23 中国电信股份有限公司 安全系统以及安全防护方法
EP4089975A1 (de) * 2021-05-12 2022-11-16 ise Individuelle Software und Elektronik GmbH Gesicherter zugriff auf netzwerke
US20230112579A1 (en) * 2021-10-11 2023-04-13 Hewlett Packard Enterprise Development Lp Automatic policy engine selection
CN114006760B (zh) * 2021-11-01 2023-07-18 西安思源学院 一种数据库信息安全防控系统

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4881263A (en) * 1987-09-25 1989-11-14 Digital Equipment Corporation Apparatus and method for secure transmission of data over an unsecure transmission channel
US5577209A (en) * 1991-07-11 1996-11-19 Itt Corporation Apparatus and method for providing multi-level security for communication among computers and terminals on a network
US5828893A (en) * 1992-12-24 1998-10-27 Motorola, Inc. System and method of communicating between trusted and untrusted computer systems
US5606668A (en) * 1993-12-15 1997-02-25 Checkpoint Software Technologies Ltd. System for securing inbound and outbound data packet flow in a computer network
US5740375A (en) * 1996-02-15 1998-04-14 Bay Networks, Inc. Forwarding internetwork packets by replacing the destination address

Cited By (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001237895A (ja) * 2000-01-18 2001-08-31 Lucent Technol Inc ネットワークゲートウェイの解析方法及び装置
JP4658340B2 (ja) * 2000-01-18 2011-03-23 アルカテル−ルーセント ユーエスエー インコーポレーテッド ネットワークゲートウェイの解析方法及び装置
US7676540B2 (en) 2001-10-16 2010-03-09 Microsoft Corporation Scoped referral statements
US7752431B2 (en) 2001-10-16 2010-07-06 Microsoft Corporation Virtual distributed security system
US8015204B2 (en) 2001-10-16 2011-09-06 Microsoft Corporation Scoped access control metadata element
US7809938B2 (en) 2001-10-16 2010-10-05 Microsoft Corporation Virtual distributed security system
US7752442B2 (en) 2001-10-16 2010-07-06 Microsoft Corporation Virtual distributed security system
US7653747B2 (en) 2001-10-16 2010-01-26 Microsoft Corporation Resolving virtual network names
US8302149B2 (en) 2001-10-16 2012-10-30 Microsoft Corporation Virtual distributed security system
US7730094B2 (en) 2001-10-16 2010-06-01 Microsoft Corporation Scoped access control metadata element
US7899047B2 (en) 2001-11-27 2011-03-01 Microsoft Corporation Virtual network with adaptive dispatcher
JP2010061675A (ja) * 2002-07-11 2010-03-18 Thomson Licensing アプリケーションレベルゲートウェイ及びファイアウォールのルールセットのダウンロードの許可
JP2009187587A (ja) * 2003-03-31 2009-08-20 Intel Corp セキュリティポリシーを管理する方法及びシステム
JP2007529917A (ja) * 2004-02-20 2007-10-25 アシシュ エイ パンドヤ 分散型ネットワークセキュリティシステム及びそのためのハードウエアプロセッサ
JP2006146891A (ja) * 2004-11-19 2006-06-08 Microsoft Corp セキュリティポリシーを配布するための方法およびシステム
JP2009525711A (ja) * 2006-03-31 2009-07-09 インテル・コーポレーション 階層型信頼に基づいたポスチャレポーティング及びポリシー施行
JP4620070B2 (ja) * 2007-02-28 2011-01-26 日本電信電話株式会社 トラヒック制御システムおよびトラヒック制御方法
JP2008219149A (ja) * 2007-02-28 2008-09-18 Nippon Telegr & Teleph Corp <Ntt> トラヒック制御システムおよびトラヒック制御方法
JP2009105716A (ja) * 2007-10-24 2009-05-14 Hitachi Ltd ネットワークシステム、管理計算機、及びフィルタ再構成方法
US10153906B2 (en) 2011-08-09 2018-12-11 CloudPassage, Inc. Systems and methods for implementing computer security
US10601807B2 (en) 2011-08-09 2020-03-24 CloudPassage, Inc. Systems and methods for providing container security
US10454916B2 (en) 2011-08-09 2019-10-22 CloudPassage, Inc. Systems and methods for implementing security
US10027650B2 (en) 2011-08-09 2018-07-17 CloudPassage, Inc. Systems and methods for implementing security
US9942102B2 (en) 2013-04-10 2018-04-10 Illumio, Inc. Handling changes in a distributed network management system that uses a logical multi-dimensional label-based policy model
JP2016522919A (ja) * 2013-04-10 2016-08-04 イルミオ, インコーポレイテッドIllumio,Inc. 論理的多次元ラベルベースのポリシーモデルを使用した分散型ネットワークマネージメント
US9882783B2 (en) 2013-04-10 2018-01-30 Illumio, Inc. Distributed network management using a logical multi-dimensional label-based policy model
US9882919B2 (en) 2013-04-10 2018-01-30 Illumio, Inc. Distributed network security using a logical multi-dimensional label-based policy model
US10701090B2 (en) 2013-04-10 2020-06-30 Illumio, Inc. Distributed network security using a logical multi-dimensional label-based policy model
US10897403B2 (en) 2013-04-10 2021-01-19 Illumio, Inc. Distributed network management using a logical multi-dimensional label-based policy model
US10917309B2 (en) 2013-04-10 2021-02-09 Illumio, Inc. Distributed network management using a logical multi-dimensional label-based policy model
US10924355B2 (en) 2013-04-10 2021-02-16 Illumio, Inc. Handling changes in a distributed network management system that uses a logical multi-dimensional label-based policy model
US11503042B2 (en) 2013-04-10 2022-11-15 Illumio, Inc. Distributed network security using a logical multi-dimensional label-based policy model
US11323417B2 (en) 2018-03-01 2022-05-03 Fujitsu Limited Network management apparatus, network management method, and non-transitory computer-readable storage medium

Also Published As

Publication number Publication date
WO1998054644A1 (en) 1998-12-03
EP0990206A4 (en) 2005-08-03
ATE343818T1 (de) 2006-11-15
DE69836271T2 (de) 2007-09-13
GB2342020A (en) 2000-03-29
EP0990206B1 (en) 2006-10-25
GB2342020B (en) 2002-10-23
CA2291158A1 (en) 1998-12-03
EP0990206A1 (en) 2000-04-05
DE69836271D1 (de) 2006-12-07
US5968176A (en) 1999-10-19
GB9928175D0 (en) 2000-01-26

Similar Documents

Publication Publication Date Title
JP2002507295A (ja) 多層型ファイアウオールシステム
US10595215B2 (en) Reducing redundant operations performed by members of a cooperative security fabric
US7099947B1 (en) Method and apparatus providing controlled access of requests from virtual private network devices to managed information objects using simple network management protocol
US6079020A (en) Method and apparatus for managing a virtual private network
US7526480B2 (en) Method and apparatus for controlled access of requests from virtual private network devices to managed information objects using simple network management protocol and multi-topology routing
US7389358B1 (en) Distributed virtual system to support managed, network-based services
EP1438670B1 (en) Method and apparatus for implementing a layer 3/layer 7 firewall in an l2 device
US6154839A (en) Translating packet addresses based upon a user identifier
US6678835B1 (en) State transition protocol for high availability units
US8041946B2 (en) Data transfer between networks operating at different security levels
US20020083344A1 (en) Integrated intelligent inter/intra networking device
US6877041B2 (en) Providing secure access to network services
US7890755B2 (en) High-assurance web-based configuration of secure network server
US20040093492A1 (en) Virtual private network management with certificates
US20040196843A1 (en) Protection of network infrastructure and secure communication of control information thereto
US11805011B2 (en) Bulk discovery of devices behind a network address translation device
Nessett et al. The multilayer firewall
CN112751701B (zh) 用于管理网络装置的系统、方法及计算机可读介质
Cisco Introduction to Cisco MPLS VPN Technology
Cisco Internetworking Case Studies
Terada et al. Access control for inter-organizational computer network environment
Kizza et al. Network Basics and Securing the Network Infrastructure
Paul et al. AMÉLIORATION DES TECHNIQUES DE GESTION DES ROUTEURS FILTRANTS AU MOYEN DE MÉTHODES AUTOMATIQUES ET DYNAMIQUES
Headquarters Services Ready Small Branch Network System Assurance Guide
Headquarters Services Ready Medium Branch Network System Assurance Guide

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050509

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080507

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20080807

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20080912

A313 Final decision of rejection without a dissenting response from the applicant

Free format text: JAPANESE INTERMEDIATE CODE: A313

Effective date: 20081229

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20090303