JP2003525557A - 迅速なパケット・フィルタリング及びパケット・プロセシングのためのシステム、デバイス及び方法 - Google Patents
迅速なパケット・フィルタリング及びパケット・プロセシングのためのシステム、デバイス及び方法Info
- Publication number
- JP2003525557A JP2003525557A JP2001563973A JP2001563973A JP2003525557A JP 2003525557 A JP2003525557 A JP 2003525557A JP 2001563973 A JP2001563973 A JP 2001563973A JP 2001563973 A JP2001563973 A JP 2001563973A JP 2003525557 A JP2003525557 A JP 2003525557A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- firewall
- filtering module
- connection
- authorized
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001914 filtration Methods 0.000 title claims abstract description 135
- 238000000034 method Methods 0.000 title claims abstract description 47
- 238000012545 processing Methods 0.000 title claims abstract description 17
- 230000009471 action Effects 0.000 claims abstract description 19
- 239000012634 fragment Substances 0.000 claims description 13
- 230000008569 process Effects 0.000 claims description 12
- 238000004891 communication Methods 0.000 claims description 8
- 239000003607 modifier Substances 0.000 claims description 5
- 238000012546 transfer Methods 0.000 claims description 5
- 230000005540 biological transmission Effects 0.000 claims description 4
- 238000012986 modification Methods 0.000 description 8
- 230000004048 modification Effects 0.000 description 8
- 230000001133 acceleration Effects 0.000 description 6
- 230000008901 benefit Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 4
- 238000007689 inspection Methods 0.000 description 4
- 238000006243 chemical reaction Methods 0.000 description 2
- 238000012937 correction Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 238000013519 translation Methods 0.000 description 2
- XUIMIQQOPSSXEZ-UHFFFAOYSA-N Silicon Chemical compound [Si] XUIMIQQOPSSXEZ-UHFFFAOYSA-N 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000000523 sample Substances 0.000 description 1
- 229910052710 silicon Inorganic materials 0.000 description 1
- 239000010703 silicon Substances 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0254—Stateful filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Abstract
Description
のためのシステム、デバイス及び方法であり、より具体的には、パケット・フィ
ルタリングの効率がセッション・ベースのフィルタリングにより増すシステム、
デバイス及び方法である。
矛盾する目的である。典型的な現代のコンピューティング・システムは、サービ
スの多数のトランスペアレントなアクセスを供給する、ネットワーク通信の周辺
で構築される。 これらサービスの全体的な有効性は、おそらく現代のコンピュータ問題解決方
法の唯一最も重要な特徴である。接続性の需要は組織の内外の両方から起こる。
も重要である。セキュリティを強化することの必要性が増大すると共に、ネット
ワーク資源へのアクセスを制御する手段は管理上の優先事項になっている。コス
トを削減し、生産力を維持するために、アクセス制御は構成が簡単で、ユーザと
アプリケーションに対しトランスペアレントでなければならない。さらに、構成
コスト及びダウン期間の最小化は、また重要な要素である。
クを制御することによりセキュリティを提供する方法であり、従って単一ネット
ワーク内及び接続しているネットワーク間の両方での不法な通信の試みを防ぐ。
6号(1996年6月17日出願)及び第5,606,668号(1993年12月15日
出願)は、コンピュータ・ネットワークにおける入出するデータ・パケットフロ
ーの制御によるネットワーク・セキュリティを提供する方法について記載する。 パケットのフローは、その後一連のフィルタ言語通知に変換されるユーザが作
り出した規則ベースに従って実行されるパケット・フィルタリングによって制御
される。 規則ベースにおける各規則は、パケットを受理するか拒絶するか、イベントを
記録するか暗号化及び/又は認証化するソース、宛先、サービスを含んでいる。
一連のフィルタ言語通知は、インストールされ、又その通知は、ファイアウォー
ルの役割をするようコンピュータに置かれる検査エンジン上で実行される。 検査エンジンは、パケットがファイアウォールを通して入ることが認可される
かどうか決定するためにステートフル・インスペクションを実行する。 ファイアウォールは、保護されるべきネットワークへ入出する全てのトラヒッ
クがファイアウォールを通過することを強いられることで、コンピュータ・ネッ
トワークの中に位置する。従って、パケットは、規則ベースからなる規則に従っ
てネットワークの内外をフローするようにフィルタにかけられる。
パケット・ベースによりパケットで決定する仮想パケット・フィルタリング・マ
シーンの役割をする。もしパケットが拒絶されたなら、それはドロップされる。
もしパケットが受理されるなら、パケットは変更することもできる。変更は暗号
化、解読、署名作成、署名立証又はアドレスコード変換を含むこともできる。変
更は全て規則ベースの内容に従って実行される。
ュータに大きな計算上の負担がかかることである。以前に示されたパケット・フ
ィルタ処理のプロセスは、ファイアウォールを通したどのパケット・エントリー
が決定されるかに従った一連の規則への様々な比較と共に、分割して解析するこ
とを各パケットに要求する。 しかしながら、一旦、ファイアウォールによって確立される2つのノード間の
セッション又は接続が有効になったならば、その後、ほとんどの場合、さらに集
中的な解析は必要ではない。 従って、保護されたシステムのセキュリティを維持している一方で、認可され
た接続からのパケットの連続的な解析のための要求を減少あるいは均一に削除す
ることは、ファイアウォールによって課された計算の負担を著しく減らし、パケ
ット・フィルタリングのプロセスを高速化するであろう。
ハードウェアの高速化を通じて、急速かつ効率的に変更されたパケットはさらに
維持される一方で、完全なパケット解析のための要求は減少するか均一に削除さ
れ、受信されたパケットに従った急速なパケット・フィルタ処理のためのシステ
ム、デバイス及び方法の必要性があり、持っていることは有用である。
ト・フィルタ処理を高速化する方法であり、好ましくは、プレ・フィルタリング
・モジュールを備えたファイアウォールの補足によるIPネットワークである。 プレ・フィルタリング・モジュールは、ファイアウォールによって以前に可能
となった接続からパケットが受信されるかどうかに従ったパケットに関し制限さ
れた一連のアクションを実行する。 もしパケットがそのような可能になった接続から受信されるなら、プレ・フィ
ルタリング・モジュールは、パケット上で随意に1又はそれ以上のアクションを
実行して、それらの宛先へパケットを転送する。 そうでなければ、パケットは処理のためにファイアウォールへ転送される。好
ましくは1度ファイアウォールが、プレ・フィルタリング・モジュールの接続に
対する責任を移す、あるいは接続を「オフロードされる」ならば、接続の間にタ
イムアウトが生じるまで、もしくはセッションが終了したことを示す特定のセッ
ション制御フィールド値で受信されるまで、ファイアウォールがさらなるパケッ
トを受信しない、つまりパケットは接続が閉じられる。
なセッション・コントロール・フィールド値はパケットのために用意されている
FIN/RSTフラッグである。
削除することの1つの利点は、ハードウェア高速化が随意にファイアウォールを
補うことができることである。 そのようなハードウェアの高速化はソフトウェアに基づいたパケット処理より
迅速、従って著しくファイアウォール・システムの効率を増加させることができ
るという長所がある。さらに、修正プロセスのハードウェア高速化は、修正プロ
セスがより少ない「知能」だがより速い処理を要求するので、パケットを迅速に
効率良く修正する能力を維持することができ、一方パケット解析のプロセスのた
めの反対の特性もまた真実である。それゆえに、随意に好ましく、プレ・フィル
タリング・モジュールはハードウェアとして実施される。
供され、システムは(a)パケットを転送するためのソース・ノード、(b)パ
ケットを受信するための宛先ノード、(c)少なくとも1つのルールに従ってパ
ケット・フィルタリングを行うための、ソース・ノードと宛先ノードの間に置か
れたファイアウォール、(d)もしパケットが少なくとも1つの通知に従い認可
されており、プレ・フィルタリング・モジュールはパケットを処理し、あるいは
またプレ・フィルタリング・モジュールは処理のためにパケットをファイアウォ
ールへ転送するので、ファイアウォールから少なくとも1つの通知を受信し、フ
ァイアウォールの前にパケットを受信するためにファイアウォールと通信を取り
合い、プレ・フィルタリングを行うモジュール、からなる。
リングのためのシステムが提供され、システムは(a)少なくとも1つのルール
に従ったパケットでのパケット・フィルタリング、(b)もしパケットが単純な
比較に従って認可されたら、プレ・フィルタリング・モジュールは少なくともネ
ットワークでパケットを転送するので、単純な比較を決定し、ファイアウォール
の前にネットワークで転送されたパケットを受信するためのファイアウォールか
ら少なくとも1つの通知を受信しネットワークに配されファイアウォールと通信
を取り合うプレ・フィルタリング・モジュール、からなる。
のシステムで用いられるための、パケットを送るためのネットワーク及びパケッ
トをフィルタリングするためのネットワーク上のファイアウォール、ファイアウ
ォールの前にパケットを受信するためのデバイスに特徴付けられるシステムが提
供され、デバイスは(a)ファイアウォールからのパケットの少なくとも1つの
パラメータを解析するための、少なくとも1つの通知を格納するためのメモリ、
少なくとも1つの通知は、パケットを識別するための、少なくとも1つのパラメ
ータを含む、(b)パケットの少なくとも1つの部分を解析するため及び少なく
とも1つの通知に従った、少なくとも1つのパラメータに対するパケットの少な
くとも1つの部分を比較するための分類エンジン、からなる。
パケット・フィルタリングを高速化するための方法が提供され、方法は(a)フ
ァイアウォールの前にパケットを受信するためのプレ・フィルタリング・モジュ
ール、(b)プレ・フィルタリング・モジュールによってパケットを受信する、
(c)パケットが認可されているかどうかを決定する、(d)もしパケットが認
可されているならば、プレ・フィルタリング・モジュールによってパケットを処
理する、の段階からなる。
どのような計算デバイスの接続を含む。
Macintosh(登録商標)コンピュータ、のようなオペレーティング・システムを
持つパーソナル・コンピュータ(PC)、オペレーティング・システムとしてJAVA
(登録商標)コンピュータ、サンマイクロシステムズ(登録商標)及びシリコン
グラフィックス(登録商標)のコンピュータのようなワークステーション及びサ
ンマイクロシステムズ(登録商標)のAIX(登録商標)あるいはSOLARIS(登録商
標)のようなユニックス・オペレーティング・システムのあるバージョンを持つ
他のコンピュータ、他の既知及び利用可能なオペレーティング・システム、どの
ようなタイプのコンピュータ、オペレーティング・システムがVxWorks(登録商
標)及びPSOS(登録商標)を含むがこれに限定されないパケット交換網に接続す
ることができるどのようなデバイス、パケットを転送及び受信する能力があり、
例えば、ブリッジ、スイッチ及びルータを含むがこれに限定されない、ネットワ
ーク処理デバイスのような、少なくともデータ処理デバイスを持つ、パケット交
換網に接続可能な、デバイスを含むが、これに限定されない。 以下、用語「Windows(登録商標)」はWindows (登録商標)NT、Windows(登
録商標)98、Windows(登録商標)2000、Windows(登録商標)CE及びこれらマイ
クロソフト社(米国)によるオペレーティング・システムのアップグレード・バ
ージョンを含むが、これに限定されない。
ることができ、ソフトウェア、ハードウェア、ファームウェアあるいはそのコン
ビネーションとして随意に実行することができる。 本発明は、当業者が容易に選択できる、本質的に任意の適切なプログラミング
言語でソフトウェア・アプリケーションを書くことができる。選ばれたプログラ
ミング言語は、ソフトウェア・アプリケーションと計算デバイスと互換性を持つ
べきである。適切なプログラミング言語の例はC、C++及びJava(登録商標)を含
むが、これに限定されない。
の詳細な説明により、より良く理解される。 本発明は、プレ・フィルタリング・モジュールを備えたファイアウォールの設
置により、パケットのフィルタリングを高速化するためのシステム、デバイス及
び方法に関する。プレ・フィルタリング・モジュールはパケットに関し、例えば
パケットは、前回のファイアウォールによって認可された接続から受信されたか
どうかに従って、パケットに関する単純な比較を実行する。パケットがこのよう
に認可された接続から受信されている場合、プレ・フィルタリング・モジュール
はパケットの宛先へパケットを転送し、随意で1あるいはそれ以上のアクション
をパケット上に実行する。そうでなければ、パケットは処理のためにファイアウ
ォールへ転送される。付け加えて、さらに好ましくは、これらのパケットが、フ
ァイアウォールによる介入を必要とする特定のセッション制御フィールド値を持
つ場合、パケットは処理のためにこのファイアウォールへ転送される。例えば、
IPネットワーク、特にTCP/IPトラヒックを備えた本発明の好ましい実施
にとって、パケットのための一連のSYN/FIN/RSTフラッグを含む。このようなセ
ッション制御フィールド値は、接続状態についての情報を運ぶパケットを表示し
、従ってこれらは、ファイアウォールが接続状態を決定するために、これらのパ
ケットを受信し解析するのが重要である。随意で、フラグメント・パケットはま
た、プレ・フィルタリング・モジュールが、IPネットワーク、特にIPトラヒ
ックを備えた本発明の好ましい実施の形態のための、仮想フラグメントテーショ
ン解消のような特定機能を実行できない場合、ファイアウォールへ転送される。
比較を実行するための少なくとも1つのパラメータを決定すると、ファイアウォ
ールは好ましくは、プレ・フィルタリング・モジュールへ、新しく認可されたパ
ケットの詳細と共にメッセージを送信する。好ましくは、ひとたびファイアウォ
ールが接続の責任をプレ・フィルタリング・モジュールへ移動させると、あるい
は接続を“オフ・ロードされた”にすると、ファイアウォールは、接続が終了さ
れるために、接続の間にタイムアウトが生じるまで、あるいはパケットが、セッ
ションが終了したことを表示する特定のセッション制御フィールド値(例えばI
Pネットワークを備えた好ましい実施のためにFIN/RSTフラッグがセットされる
こと)と共に、これらの接続からさらなるパケットを受信しない。“タイムアウ
ト”は、パケットが前もって定められた期間の間ファイアウォールによって受信
されない場合に生じる。
益を享受するために、ハードウェアとして実行される。このようなハードウェア
の高速化は、ソフトウェアに基づいたパケット処理よりもさらに迅速であるとい
う利点を有する。それゆえ、プレ・フィルタリング・モジュールは、プレ・フィ
ルタリング・モジュールがソフトウェアあるいはファームウェアとして実行され
るにもかかわらず、好ましくはハードウェアに基づいたデバイスとして実施され
る。随意で、プレ・フィルタリング・モジュール及びファイアウォールは、設置
及び操作の容易さのために、ネットワークのゲートウェイ・ノードに加えられる
“ブラックボックス”、あるいはその代替となる複合デバイスである。
を参照することでよりよく理解され、またこれらの図面が例示の目的のためのみ
に与えられており、限定するものでないことが理解される。以下の説明がIPネ
ットワークに集中しており、特にTCP/IPトラヒックに集中しているが、こ
れらはただ例示の目的のためであり、ともかく限定するものであると意図されな
いことが理解される。
ステム10は、データがパケットの形態で送られるように、パケット・スイッチ
ング・ネットワークとなっている保護されたネットワーク12を特徴とする。保
護されたネットワーク12は、随意でいかなるタイプの計算デバイスでもあり、
ここでは“中間ノード”と称されるゲートウェイ16によって外部のパケット・
スイッチング・ネットワーク14から切り離されている。外部ネットワーク14
は随意で、例えばインターネットでありうる。ゲートウェイ16は、ここではN
IC17として示されるハードウェア・コネクタを通じて、外部ネットワーク1
4、保護されたネットワーク12の各々に接続される。
ためのファイアウォール18を作動させる。外部ネットワーク14からゲートウ
ェイ16を通過することが認可されたパケットは、保護されたネットワーク12
に接続される、保護された複数のノード20のうち1つによって受信される。こ
のようなネットワーク・トラヒックは外部ネットワーク14へ送るために、保護
されたネットワーク12からゲートウェイ16によってパケットが受信されるよ
うに、そしてその逆もまた同様であるように、典型的には双方向である。
5,606,668号に前述されているように実施される。ファイアウォール1
8は、パケットのフィルタリング処理を実行するためのパケット・フィルター2
2を特徴とする。パケット・フィルター22は次に、パケットを解析するための
解析モジュール24及び規則ベース26からなる。規則ベース26は好ましくは
、システム管理者あるいは他の制御ユーザの選択に従って定められる、1つある
いはそれ以上の規則を含む。解析モジュール24は解析されるパケットの内容を
抽出し、規則ベース26の規則と比較する。比較の結果、パケットが規則ベース
26により認可される場合、パケット・フィルター22はパケットが保護された
ネットワーク22に入ることを認可する。
ドロップされる。パケットはまた随意で、規則ベース26が特にパケットが通過
するのを許可しない場合、認可されないように判断する。
ットを変更するための変更モジュール28を特徴とする。
パケット上の移動されたデータ量を決定するために、パケットの明確化を実行す
る能力、パケット内のアドレスを変更する能力、及びパケットを暗号化する能力
を含む。パケットの暗号化はより詳しくは、米国特許第5,835,726号に
詳述されている。簡潔には、パケットは随意で、パケットが外部ネットワーク1
4を通過するために暗号化されるように、2つのファイアウォール18間の転送
のために暗号化される。暗号化はまた随意で、例えばファイアウォール18と外
部ネットワーク14との間の通信のために用いられる。暗号化されたパケットは
、ファイアウォール18を受信することによって暗号解読され、保護されたネッ
トワーク12にパスされる。従って、暗号化及び送信のプロセスは自動化され、
通信ソフトウェアに対し通過可能な方法で実行される。
726号及び第5,606,668号に前述されたように実施される。しかしな
がら、ゲートウェイ16に入ることを認可される前に、全てのパケットにファイ
アウォール18を通過させることは、ファイアウォール18上に多大な計算上の
負荷を生じる。それゆえ、本発明により、ゲートウェイ16は、ファイアウォー
ル18よりも前にパケットを受信し、好ましくは保護されたネットワーク12に
直接接続された、プレ・フィルタリング・モジュール30を特徴とする。また、
プレ・フィルタリング・モジュール30は好ましくは、保護されたネットワーク
12に入ることを認可されたパケットに関して、ファイアウォール18から通知
を受信する。これらの通知は、前に受信され、関連したパケットが保護されたネ
ットワーク12に入ることを認可された場合、現在のパケットもまた、保護され
たネットワーク12に入ることを認可されるように、さらに好ましくは、1つあ
るいはそれ以上の、前に受信され、関連するパケットの解析からファイアウォー
ル18によって決定される。従って、プレ・フィルタリング・モジュール30が
、現在のパケットが入ることは認可されると決定する場合、プレ・フィルタリン
グ・モジュール30は好ましくはそのパケットを直接、保護されたネットワーク
12へパスする。
しくは、プレ・フィルタリング・モジュール30は各パケットの限定された解析
しか実行することができない。明確には、さらに好ましくは、各パケットの1部
分のみがプレ・フィルタリング・モジュール30によって解析される。最も好ま
しくは、プレ・フィルタリング・モジュール30は、各パケットを単純な比較に
関してのみ解析する。“単純な比較”によって、情報は、1つあるいはそれ以上
の前もって定められたパラメータの前もって定められたパターンと比較される該
パラメータによって引き出されることが意図される。
ジュール30が、そのパケットが認可されたデータ転送から受信されたかどうか
決定することができるまで、ただ解析されるのみである。このような認可された
送信は、接続を開始するソース・ノード(例えば外部ネットワーク14)から、
接続を受理する宛先ノード(例えば保護されたノード20)との間の接続と称さ
れる。ひとたび接続が確立されると、ソース・ノードと宛先の間の接続は随意で
双方向になる。
表示する、少なくとも1つの、好ましくは複数のパラメータによって決定される
。これらのパラメータの例は、これに限定されないが、ソース・アドレス及びパ
ケットのポート、宛先アドレス及びパケットのポート、及びパケットのプロトコ
ル及びパケットがそこから受信されるインタフェースを含む。接続はパケットを
分類するために、及びパケットが保護されたネットワーク12に入る、あるいは
そこから出ることを認可されたかどうか決定するために用いられる。
ケットの解析から各接続を決定する。ファイアウォール18は、このようなパケ
ット(複数可)の内容を検査し、規則ベース26を伴った解析モジュール24の
出力に基づいて、対応する接続からのパケットが保護されたネットワーク12に
入ること、及び/又はそこから出ることが認可されるかどうかを決定する。さら
に、規則ベース26中の格納された規則から、解析モジュール24は、接続と関
連付けられる1つあるいはそれ以上のアクションを決定することができる。この
ようなアクションの例はこれらに限定されないが、パケット中のデータ量を計算
するための計算アクション、パケットの暗号化/暗号解読、及びアドレス・フィ
ールドの再書き込みによるネットワーク・アドレス転送(NAT)の実行等を含
む。パケットを変更するための好ましい例は、ファイアウォール18の通知に従
って、プレ・フィルタリング・モジュール30により、優先番号をパケットに割
り当てることによって、パケットをマークすることである。この優先番号は、パ
ケットの転送の順番を決定し、したがって“優先順位”を決定する。
に入ることが認可されたかどうかについて関連する通知をパスし、さらに好まし
くはこのアクションは、この接続からプレ・フィルタリング・モジュール30へ
、その後に続くパケットに対しても取られるべきである。
まし方法を実行する。プレ・フィルタリング・モジュール30は随意で複数のネ
ットワークに接続されるので、パケットはこれらのいかなるネットワークからも
やって来る。対なりすまし方法は、あるネットワークから来たと示されるIPパ
ケットが、本当にそのネットワークから到着したかどうか決定する。プレ・フィ
ルタリング・モジュール30は、どのネットワークがどのインタフェースに接続
されているか認識しているので、プレ・フィルタリング・モジュール30は、特
定のインタフェースから受信されたパケットが認可されるかどうか決定すること
ができる。
まし方法を実施する最も容易な方法は、ネットワーク・インタフェースをプレ・
フィルタリング・モジュール30にとって利用可能な接続情報の部分とみなす情
報を包含することである。このように、もしパケットが認可されたソース・ノー
ドから発生し、許可された宛先へ送られ、予想されたインタフェースをとおり辿
り着いたとするならば、パケットは、プレ・フィルタリング・モジュール30に
よって処理されることになる。代替的及び選択的に、例え唯一インタフェースが
正確ではなくても、プレ・フィルタリング・モジュール30は、有効性のために
ファイアウォール18によって更に検査される侵害をパケットが表示することを
決定することができる。本発明の範疇で考え出され、プレ・フィルタリング・モ
ジュール30のために格納された通知部分としてインタフェースに関する情報を
含有しない対なりすまし方法を実施する他の方法が存在する。
於いて、プレ・フィルタリング・モジュール30は、ハードウェア中若しくはソ
フトウェアとして純粋というよりもむしろ少なくともファームウェア中で具現化
される。ハードウェアの有利性は、要求された働きを実行するためのソフトウェ
アよりもかなり高速なことである。図2の略ブロック図は、構造的というよりも
むしろ理論を基礎としたプレ・フィルタリング・モジュール30の構成要素の説
明図である。例えば、構成要素間の物理的接続は特定はしないが、例えば全ての
構成要素を位置付けるPCIバス上でもよい。選択的には、構成要素は、例えば
、内部及び/又は外部バスのどのようなタイプとも実質的に接続されることがで
きる。
して、好ましくはメモリ36を特徴付けるものとして、詳述される。プレ・フィ
ルタリング・モジュール30は、ファイアウォール18から関連性の通知を格納
するための、メモリ36に格納される接続データベース32を特徴付ける。接続
データベース32は、接続を定義するために要求されたパケットの少なくとも1
つのパラメータ若しくは複数のパラメータを格納し、しかも、該接続からのパケ
ットでの実行される少なくとも1つのアクションを好ましく格納する。
とも部分的に解析するため及び接続データベース32からの情報を復元するため
に、データ・プロセッサを包含する分類エンジン38を好ましく特徴付ける。プ
レ・フィルタリング・モジュール30はまた、前に記載されたとして接続データ
ベース32の中に好ましく格納され、該接続からのパケットのための関連される
1つのアクション若しくは複数のアクションを実行するために、変更子34を好
ましく特徴付ける。
くとも1つのパケットに関して確かな選択された情報をファイアウォール18に
通信する。選択された情報は、パケットを解析するために前に記述されたパラメ
ータを、特に限定はされないが、少なくとも1つ包含している。プレ・フィルタ
リング・モジュール30及びファイアウォール18間の通信は、複数の実施形態
の1つによると、選択的に及び好ましくは実行される。第1実施形態に於いて、
プレ・フィルタリング・モジュール30は、1つの状態若しくはイベント・ドリ
ブン実施中に於いて、そのような情報の受信上でファイアウォール18に活動的
に知らせる。第2実施形態に於いて、代替的に、ファイアウォール18は、ポー
リング実施に於いて、プレ・フィルタリング・モジュール30を疑う。例えば、
ポーリングは、選択的に、時間の特定間隔が過ぎ去った後、若しくは、代替的に
、そのような情報、例えば、システム管理者からの情報のためにユーザの疑いに
従って実施される。
(図示せず)からのパケットを送信及び受信するためのハードウェアであるMA
C(メディア・アクセス制御)40として示めされた、ネットワーク・インタフ
ェースの少なくとも1つ更に好ましくは複数を特徴付ける。更に好ましくは、プ
レ・フィルタリング・モジュール30は、パケットをファイアウォール(図示せ
ず)に送信すること及びファイアウォール(図示せず)からのパケットを受信す
ることのためのファイアウォール・インタフェース42を特徴とする。
付けられたMAC40から選択的に受信され、そして分類エンジン38へ送られ
る。メモリ36中にあるデータベース32から復元された情報及び通知の助けを
借りて、それから分類エンジン38はそれぞれのパケットに於ける情報の少なく
とも一部分を解析し、更にパケットが許可されているかどうか決定する。もしパ
ケットが許可されていれば、そうなるとファイアウォール(図示せず)からの少
なくとも1つの通知に従って任意改修が変更子34へ送られる。例えば、改修が
必要なければ、そうなれば少なくとも1つの関連性のある通知がファイアウォー
ルから送信される。
インタフェースを決定する。しかしながら、ファイアウォールがパケットを特定
のインタフェースへ送信させるためにプレ・フィルタリング・モジュール30へ
通知することができるのだが、もし経路指定が支持されていれば、そうなればそ
のような経路指定はパケットの経路を決めるために使用されるがファイアウォー
ル(図示せず)からの通知は使用しないことを注意されたし。
。更に代替的には、以下により詳しく述べられる幾つかの環境下に於いて、選択
的に同じように解析され、ファイアウォール・インタフェース42から受信され
たパケットに関して特にドロップされる。IPパケットではありえないパケット
をドロップすることを避けるために、選択的に及び好ましくは、1つ若しくはそ
れ以上の「デフォルト」パケットとみなす情報をデータベース32へ格納する、
例えばもしそのような情報がデータベース32へ格納されなければ、パケットは
「不認可である」として定義される。そのようなデフォルト・パケット型の1つ
の例はARP(アドレス解決プロトコル)パケットである。
、パケットは、選択的に、例えばMAC40のような外部ソースからプレ・フィ
ルタリング・モジュール30へ到達するか、代替的にファイアウォール・インタ
フェース42から受信される。もしパケットがファイアウォール・インタフェー
ス42から受信されれば、ファイアウォールそれ自体によってそれが生じる、若
しくは代替的に、ホストのIPスタックによって転送若しくは発生させられる。
それ故、選択的に更に好ましくはファイアウォール・インタフェース42を通り
受信されたそのようなパケットのために、プレ・フィルタリング・モジュール3
0は、もしパケットが認可されていなければ、ファイアウォールへそれらを転送
するよりもむしろ、そのようなパケットをドロップさせることができる。このよ
うにして、プレ・フィルタリング・モジュール30によってパケットをドロップ
する若しくは転送するかどうかの決定は、選択的に及び好ましくパケットが受信
されるためにとおるインタフェースに従って少なくとも部分的に実行される。
発明の範囲内で考慮される。
ップ1では、パケットが、プレ・フィルタリング・モジュールによって受信され
る。ステップ2では、パケットの少なくとも1つのパラメータが、プレ・フィル
タリング・モジュールによって修復される。ステップ3では、少なくとも1つの
パラメータが、好ましくはそのような既知の接続の表に於ける探索を実行するこ
とによって、既知の接続を試験するために使用される。
続の間に定義される1つのアクション若しくは複数のアクションが、プレ・フィ
ルタリング・モジュールによって実行される。ステップ5aでは、パケットがそ
の宛先へ転送する。もしパケットがあるセッション制御フィールド値、例えばIP
ネットワーク上で転送されたパケットのための一連のSYN/FIN/RSTフラッグなど
、を有すれば、そのようなパケットは操作によってファイアウォールへ好ましく
転送される場合に於いて、ステップ4a及び5aは実行されない。そのようなセ
ッション制御フィールド値は接続状態についての情報を運ぶパケットを暗示して
おり、且つ、接続の状態を決定するために、それ故ファイアウォールが受信及び
解析することは重要である。
トワーク及び特にTCP/IPトラヒックでの本発明の好ましい実施形態のための事実
上のフラグメンテーション解消など、を実行できない壊れたパケットもまたファ
イアウォールへ転送される。仮想フラグメンテーション解消は、IPパケットが膨
大になりすぎて送ることができなくなった後実行され、そしてそれ故フラグメン
トと呼ばれる複数のより小さいパケットへ分割される。仮想フラグメンテーショ
ン解消は、受信されたフラグメントの全てを元の大きなパケットへ再組立てされ
ることによるプロセスである。
しくは本発明のプレ・フィルタリング・モジュール、しかし代替的にファイアウ
ォールが、二重のパケット・フラグメントをドロップさせる。言い換えれば、も
し前に受信されたフラグメントが再度受信されれば、フラグメントはドロップさ
れる。
パケットための入場が接続の表に於いて発見されれば、パケットは、操作に於い
てファイアウォールへ転送される。ステップ5bでは、もしファイアウォールが
パケットが属する接続が認可されれば、そしてファイアウォールが選択的に、メ
ッセージをプレ・フィルタリング・モジュールへ新しい接続に関する必要な情報
を伴い送信される。そのようなメッセージは好ましくは、新しい接続を識別する
鍵、アドレス・コード変換に関する情報及び選択的にコード化に関する情報、パ
ケットそれ自体の変更を含むプロセスである両方を含む。新しい接続を認識する
ための鍵は、ソースIPアドレスとポート、宛先IPアドレスとポート、プロトコル
・フィールドと選択的にパケットが受信されると予想されるインタフェースなど
の情報を、対なりすまし保護のために好ましくは含んでいる。アドレス・コード
変換の情報は、コード変換されたソースIPアドレスとポート、宛先IPアドレスと
ポートを含んでいる。
をプレ・フィルタリング・モジュールへ送信すると、接続は、ファイアウォール
がもはやこの接続の間にパケットは受信されない、つまり、プレ・フィルタリン
グ・モジュールへ「オフロードされる」。好ましくは、ファイアウォールは、あ
るセッション制御フィールド値を有するパケットがこの接続の間に受信されるま
で、つまりセッションが終了することを意図するのだが、さらなるパケットを受
信することはあり得ない。例えば、IPネットワークに於いてそのような値は一連
のFIN/RSTフラッグを有することを含んでいる。
の間は受信されない時、起こる。ファイアウォールはオフロードされた接続の間
にパケットを見ることはないので、ファイアウォールは、接続の間にパケットが
受信される最新の時間についてプレ・フィルタリング・モジュールを疑う。受信
された応答に従って、ファイアウォールは、接続を保持するか削除するか決定す
る。もしファイアウォールが接続を削除すれば、接続は、プレ・フィルタリング
・モジュールの表から好ましく削除される。
レ・フィルタリング・モジュールから更新されるアカウント情報を受信する。こ
の情報は、選択的であり且つ好ましくは、ファイアウォールがプレ・フィルタリ
ング・モジュールを調査させることによるよりむしろ、プレ・フィルタリング・
モジュールによってファイアウォールへと押される。アカウント情報が更新され
た最新の時刻及びパケットがこの特定の接続の間にプレ・フィルタリング・モジ
ュールによって受信された最新の時刻から特定の接続の間にプレ・フィルタリン
グ・モジュールによって受信されたパケット及びバイト数をアカウント情報は好
ましくは含んでいる。この情報は、そしてプレ・フィルタリング・モジュール内
でリセットされる。選択的に且つ更に好ましくは、もしプレ・フィルタリング・
モジュールが接続を削除すれば、そうなればプレ・フィルタリング・モジュール
はこの接続についての最新のアカウント情報をファイアウォールへと押し出す。
態が本発明の意思と範囲の中で可能であることが深く考慮されるべきである。
態の略ブロック図である。
Claims (30)
- 【請求項1】 パケット・フィルタリングを高速化するためのシステムであっ
て、 (a)パケットを転送するためのソース・ノード、 (b)前記パケットを受信するための、宛先ノード、 (c)少なくとも1つの規則に従ったパケット・フィルタリングを実行するた
めの前記ソース・ノードと前記宛先ノードとの間に置かれるファイアウォール、 (d)前記ファイアウォールから前記少なくとも1つの通知を受信し前記ファ
イアウォールよりも先に前記パケットを受信するために、もし前記パケットが少
なくとも1つの通知に従って認可されるならば前記プレ・フィルタリング・モジ
ュールが前記パケットを処理するように、もしくは前記プレ・フィルタリング・
モジュールが前記パケットを前記ファイアウォールに対し処理するために転送す
るように、前記ファイアウォールと通信を行うプレ・フィルタリング・モジュー
ル、 からなるシステム。 - 【請求項2】 前記少なくとも1つの通知が、認可された接続を識別するため
の前記パケットの少なくとも1つのパラメータを含むように、またもし前記接続
が認可されるならば前記プレ・フィルタリング・モジュールが前記パケットを処
理するように、前記ソース・ノードと前記宛先ノードとの間のパケット転送が接
続を形成し、前記ファイアウォールは、前記接続が認可されたかどうかを決定す
ることを特徴とする、請求項1記載のシステム。 - 【請求項3】 前記ファイアウォールは、もし前記パケットが選択されたセッ
ション制御フィールド値を有していれば、パケットを前記プレ・フィルタリング
・モジュールからの前記認可された接続から受信することを特徴とする、請求項
2記載のシステム。 - 【請求項4】 前記認可された接続を認識するための、前記少なくとも1つの
パラメータが前記パケットのためのソース・アドレス及び宛先アドレスを含むこ
とを特徴とする、請求項2記載のシステム。 - 【請求項5】 前記認可された接続を認識するための前記少なくとも1つのパ
ラメータが、更に前記パケットのためにソース・ポート及び宛先ポートを含むこ
とを特徴とする、請求項4記載のシステム。 - 【請求項6】 予め決めていた時間後、もし追加のパケットが前記認可された
接続のために受信されていないならば、前記接続は前記ファイアウォールによっ
て削除されることを特徴とする、請求項2記載のシステム。 - 【請求項7】 もし接続状態の情報を示す特定のセッション制御フィールド値
を備えたパケットが前記認可された接続のために受信されたなら、前記パケット
は前記ファイアウォールに転送されることを特徴とする、請求項2記載のシステ
ム。 - 【請求項8】 前記プレ・フィルタリング・モジュールがさらに、 (i)前記認可された接続を認識するための前記パケットの前記少なくとも1つ
のパラメータを格納するための接続データベースからなることを特徴とする、請
求項2記載のシステム。 - 【請求項9】 前記プレ・フィルタリング・モジュールがさらに、 (ii)前記パケットの少なくとも1つの部分を解析して、前記パケットの前記少
なくとも一部分と前記少なくとも1つのパラメータを比較するための分類エンジ
ンからなることを特徴とする、請求項8記載のシステム。 - 【請求項10】 前記プレ・フィルタリング・モジュールが更に、 (iii)もし前記パケットが前記認可された接続から受信されるなら、少なくと
も1つのアクションを前記パケット上で実行するための変更子であって、前記少
なくとも1つのアクションは前記ファイアウォールからの通知に従って決定され
るところの変更子、 からなることを特徴とする、請求項8記載のシステム。 - 【請求項11】 前記プレ・フィルタリング・モジュールがハードウェア・デ
バイスとして実施されることを特徴とする、請求項10記載のシステム。 - 【請求項12】 (e)前記ソース・ノードと前記宛先ノード間に置かれる計算デバイスであっ
て、この前記計算デバイスによって前記プレ・フィルタリング・モジュール及び
前記ファイアウォールが作動する前記計算デバイス、 から更になる、請求項10記載のシステム。 - 【請求項13】 (a)少なくとも1つの規則に従って、パケット上でパケットのフィルタリン
グを実行するためのネットワーク上に設置されたファイアウォール、 (b)単純な比較を決定する少なくとも1つの通知を前記ファイアウォールか
ら受信するため、及び前記ファイアウォールよりも前にネットワーク上に送られ
るパケットを受信するために、もしパケットが前記単純な比較に従って認可され
るなら、前記プレ・フィルタリング・モジュールが少なくともパケットをネット
ワーク上で送るように、ネットワーク上に設置され、前記ファイアウォールと通
信状態にあるプレ・フィルタリング・モジュール、 からなるネットワーク上の、パケットの高速化されたフィルタリングのための
システム。 - 【請求項14】 パケットが認可されない場合に、もしパケットがネットワー
クから受信されるなら、前記プレ・フィルタリング・モジュールが処理のために
そのパケットを前記プレ・フィルタリング・モジュールへ転送し、あるいは、も
しパケットが前記ファイアウォールから受信されるなら、そのパケットをドロッ
プすることを特徴とする、請求項13記載のシステム。 - 【請求項15】 (c)パケットを送るためのソース・ノード、及び (d)パケットを受信するための宛先ノード、 から更になり、前記少なくとも1つの通知が認可された接続を識別するための
パケットの少なくとも1つのパラメータを含むように、又もしもし前記接続が認
可されるなら前記プレ・フィルタリング・モジュールが少なくともパケットをネ
ットワーク上で送るように、前記ソース・ノードと前記宛先ノード間でのパケッ
ト送信が接続を形成し、前記ファイアウォールは前記接続が認可されるかどうか
を決定することを特徴とする、請求項13記載のシステム。 - 【請求項16】 もし前記接続が認可された接続ではないなら、前記プレ・フ
ィルタリング・モジュールがパケットをドロップすることを特徴とする、請求項
15記載のシステム。 - 【請求項17】 パケットを送るためのネットワーク、及びパケットのフィル
タリングのためのネットワーク上のファイアウォールを特徴とし、高速化された
パケットのフィルタ処理のためのシステムにおける使用のためのデバイスであっ
て、 (a)ファイアウォールからのパケットの少なくとも1つのパラメータを解析
するための、前記パケットを確認するための前記少なくとも1つのパラメータを
含む、少なくとも1つの通知を格納するためのメモリ;及び、 (b)パケットの少なくとも一部分を解析するため、及び前記少なくとも1つ
の通知に従って、前記少なくとも1つのパラメータと、パケットの前記少なくと
も一部分とを比較するための前記分類エンジン; からなることを特徴とする、ファイアウォールよりも前にパケットを受信する
ための前記デバイス。 - 【請求項18】 (c)もしそのパケットが認可されているならばパケット上で少なくとも1つ
のアクションを実行するための変更子であって、前記少なくとも1つのアクショ
ンはファイアウォールからの前記少なくとも1つの通知に従って定義されるとこ
ろの変更子、 から更になることを特徴とする、請求項17記載のデバイス。 - 【請求項19】 ファイアウォールと関連する、ネットワーク上での高速化さ
れたパケットのフィルタ処理のための方法であって、 (a)ファイアウォールよりも前にパケットを受信するためのプレ・フィルタ
リング・モジュールを提供するステップ; (b)前記プレ・フィルタリング・モジュールに従って前記パケットを受信す
るステップ; (c)前記パケットが認可されるかどうか決定するステップ;及び、 (d)もし前記パケットが認可されるなら、前記プレ・フィルタリング・モジ
ュールによって前記パケットを処理するステップ: からなる方法。 - 【請求項20】 あるいは、前記パケットをファイアウォールへ転送するステップ(e)、 から更になる、請求項19記載の方法。
- 【請求項21】 もし前記パケットがネットワークから受信されるなら、ステ
ップ(e)が実行されることを特徴とする、請求項20記載の方法。 - 【請求項22】 もし前記パケットがファイアウォールから受信されるなら、
前記パケットをドロップすることを特徴とする、請求項21記載の方法。 - 【請求項23】 ステップ(d)が優先番号を有する前記パケットをマーキン
グするステップを含むことを特徴とする、請求項19記載の方法。 - 【請求項24】 もしパケットが複数のフラグメントとして受信されるなら、
ステップ(d)は、フラグメントが二重のフラグメントであるかどうか決定する
ステップを含み、もしフラグメントが二重のフラグメントであるなら更に、 (e)前記二重のフラグメントをドロップするステップ を含むことを特徴とする、請求項19記載の方法。 - 【請求項25】 ステップ(c)はファイアウォールからの受信された少なく
とも1つの通知に従って決定されることを特徴とする、請求項19記載の方法。 - 【請求項26】 前記パケットが宛先アドレスを有することを特徴とすると共
に、ステップ(d)が前記パケットを前記宛先アドレスへ転送するステップを含
むことを特徴とする、請求項25記載の方法。 - 【請求項27】 ステップ(d)は前記プレ・フィルタリング・モジュールに
よって前記パケット上に於ける少なくとも1つのアクションを実行するステップ
を含み、前記少なくとも1つのアクションは、ファイアウォールからの通知に従
って決定されることを特徴とする、請求項26記載の方法。 - 【請求項28】 前記パケットが少なくとも1つのパラメータを特徴付け、ス
テップ(c)が前記少なくとも1つのパラメータを復元する前記パケットを解析
するステップを含むように、前記少なくとも1つの通知が前記少なくとも1つの
パラメータに従って認可されたパケットとして前記パケットを識別することを特
徴とする、請求項25記載の方法。 - 【請求項29】 ファイアウォールが、前記プレ・フィルタリング・モジュー
ルへ認可された接続として前記接続を識別するための前記ソース・アドレス及び
前記宛先アドレスを前記少なくとも1つの通知として送信するように、ファイア
ウォールは、前記少なくとも1つの前に受信されたパケットの少なくともソース
・アドレス及び宛先アドレスに従って少なくとも1つの前に受信されたパケット
を分類し、前記ソース・アドレス及び前記宛先アドレスはお互いに接続を形成す
ることを特徴とする、請求項28記載の方法。 - 【請求項30】 前記パケットが前記認可されたインタフェースを通り前記認
可された接続から受信される場合にのみ前記パケットが認可されるように、ステ
ップ(c)は前記パケットが認可された接続及び認可されたインタフェースから
受信されるかどうか決定するステップを含むように、ネットワークは複数のイン
タフェースと通信すると共に前記プレ・フィルタリング・モジュールは前記複数
のインタフェースと夫々に接続されていることを特徴とする、請求項29記載の
方法。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US09/517,276 US6496935B1 (en) | 2000-03-02 | 2000-03-02 | System, device and method for rapid packet filtering and processing |
US09/517,276 | 2000-03-02 | ||
PCT/US2001/005925 WO2001065343A1 (en) | 2000-03-02 | 2001-02-26 | System, device and method for rapid packet filtering and processing |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2003525557A true JP2003525557A (ja) | 2003-08-26 |
JP2003525557A5 JP2003525557A5 (ja) | 2006-10-12 |
JP3954385B2 JP3954385B2 (ja) | 2007-08-08 |
Family
ID=24059131
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2001563973A Expired - Lifetime JP3954385B2 (ja) | 2000-03-02 | 2001-02-26 | 迅速なパケット・フィルタリング及びパケット・プロセシングのためのシステム、デバイス及び方法 |
Country Status (17)
Country | Link |
---|---|
US (1) | US6496935B1 (ja) |
EP (1) | EP1266277B1 (ja) |
JP (1) | JP3954385B2 (ja) |
KR (1) | KR20020092972A (ja) |
CN (1) | CN100474213C (ja) |
AT (1) | ATE312463T1 (ja) |
AU (2) | AU4171701A (ja) |
BR (1) | BR0109035A (ja) |
CA (1) | CA2401577C (ja) |
DE (1) | DE60115615T2 (ja) |
EA (1) | EA004423B1 (ja) |
HU (1) | HUP0300039A2 (ja) |
IL (2) | IL151522A0 (ja) |
NO (1) | NO324958B1 (ja) |
NZ (1) | NZ520984A (ja) |
PL (1) | PL357181A1 (ja) |
WO (1) | WO2001065343A1 (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007251906A (ja) * | 2006-03-20 | 2007-09-27 | Fujitsu Ltd | フレーム中継装置及びフレーム検査装置 |
JP2009207094A (ja) * | 2008-02-29 | 2009-09-10 | Nec Corp | リモートアクセスシステム、方法及びプログラム |
JP2009278635A (ja) * | 2002-05-01 | 2009-11-26 | Firebridge Systems Pty Ltd | ステートフル・インスペクションを備えるファイアウォール |
Families Citing this family (192)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7089588B2 (en) * | 2000-01-19 | 2006-08-08 | Reynolds And Reynolds Holdings, Inc. | Performance path method and apparatus for exchanging data among systems using different data formats |
US6854063B1 (en) * | 2000-03-03 | 2005-02-08 | Cisco Technology, Inc. | Method and apparatus for optimizing firewall processing |
US6732209B1 (en) * | 2000-03-28 | 2004-05-04 | Juniper Networks, Inc. | Data rate division among a plurality of input queues |
DE10025929B4 (de) * | 2000-05-26 | 2006-02-16 | Harman Becker Automotive Systems (Becker Division) Gmbh | Verfahren zum Übertragen von Daten |
US7120931B1 (en) * | 2000-08-31 | 2006-10-10 | Cisco Technology, Inc. | System and method for generating filters based on analyzed flow data |
US8250357B2 (en) | 2000-09-13 | 2012-08-21 | Fortinet, Inc. | Tunnel interface for securing traffic over a network |
US7111072B1 (en) | 2000-09-13 | 2006-09-19 | Cosine Communications, Inc. | Packet routing system and method |
US7487232B1 (en) | 2000-09-13 | 2009-02-03 | Fortinet, Inc. | Switch management system and method |
US7389358B1 (en) * | 2000-09-13 | 2008-06-17 | Fortinet, Inc. | Distributed virtual system to support managed, network-based services |
US7272643B1 (en) | 2000-09-13 | 2007-09-18 | Fortinet, Inc. | System and method for managing and provisioning virtual routers |
US7574495B1 (en) | 2000-09-13 | 2009-08-11 | Fortinet, Inc. | System and method for managing interworking communications protocols |
US7054930B1 (en) * | 2000-10-26 | 2006-05-30 | Cisco Technology, Inc. | System and method for propagating filters |
US6922786B1 (en) * | 2000-10-31 | 2005-07-26 | Nortel Networks Limited | Real-time media communications over firewalls using a control protocol |
US7131140B1 (en) * | 2000-12-29 | 2006-10-31 | Cisco Technology, Inc. | Method for protecting a firewall load balancer from a denial of service attack |
US6731652B2 (en) * | 2001-02-14 | 2004-05-04 | Metro Packet Systems Inc. | Dynamic packet processor architecture |
ATE324736T1 (de) * | 2001-02-20 | 2006-05-15 | Eyeball Networks Inc | Verfahren und vorrichtung zur zulassung der datenübertragung über firewalls |
US7664119B2 (en) * | 2001-03-30 | 2010-02-16 | Intel Corporation | Method and apparatus to perform network routing |
US7277953B2 (en) * | 2001-04-18 | 2007-10-02 | Emc Corporation | Integrated procedure for partitioning network data services among multiple subscribers |
US6816455B2 (en) * | 2001-05-09 | 2004-11-09 | Telecom Italia S.P.A. | Dynamic packet filter utilizing session tracking |
JP2002358239A (ja) * | 2001-06-04 | 2002-12-13 | Fuji Electric Co Ltd | 著作権保護システム |
US7181547B1 (en) | 2001-06-28 | 2007-02-20 | Fortinet, Inc. | Identifying nodes in a ring network |
US20040001433A1 (en) * | 2001-07-18 | 2004-01-01 | Gram Charles Andrew | Interactive control of network devices |
US7134012B2 (en) * | 2001-08-15 | 2006-11-07 | International Business Machines Corporation | Methods, systems and computer program products for detecting a spoofed source address in IP datagrams |
EP1433066B1 (en) * | 2001-09-14 | 2010-08-11 | Nokia Inc. | Device and method for packet forwarding |
US7409706B1 (en) | 2001-10-02 | 2008-08-05 | Cisco Technology, Inc. | System and method for providing path protection of computer network traffic |
KR100452143B1 (ko) * | 2001-10-16 | 2004-10-08 | 주식회사 플랜티넷 | 비대칭 트래픽 흐름 방식을 이용한 웹 필터링 장치 및방법 |
JP2003242714A (ja) * | 2001-10-24 | 2003-08-29 | Fuji Electric Co Ltd | 情報記録媒体、その媒体の製造方法、情報処理装置、並びに、著作権管理システム |
US9392002B2 (en) * | 2002-01-31 | 2016-07-12 | Nokia Technologies Oy | System and method of providing virus protection at a gateway |
US7216260B2 (en) * | 2002-03-27 | 2007-05-08 | International Business Machines Corporation | Method, system and program product for dynamically detecting errant data sequences and performing corresponding actions |
US7185365B2 (en) * | 2002-03-27 | 2007-02-27 | Intel Corporation | Security enabled network access control |
CN1152531C (zh) * | 2002-04-23 | 2004-06-02 | 华为技术有限公司 | 分片报文的网络访问控制方法 |
US20030200463A1 (en) * | 2002-04-23 | 2003-10-23 | Mccabe Alan Jason | Inter-autonomous system weighstation |
US7120797B2 (en) * | 2002-04-24 | 2006-10-10 | Microsoft Corporation | Methods for authenticating potential members invited to join a group |
US20030212901A1 (en) * | 2002-05-13 | 2003-11-13 | Manav Mishra | Security enabled network flow control |
US7340535B1 (en) * | 2002-06-04 | 2008-03-04 | Fortinet, Inc. | System and method for controlling routing in a virtual router system |
US7161904B2 (en) * | 2002-06-04 | 2007-01-09 | Fortinet, Inc. | System and method for hierarchical metering in a virtual router based network switch |
US7116665B2 (en) * | 2002-06-04 | 2006-10-03 | Fortinet, Inc. | Methods and systems for a distributed provider edge |
US7376125B1 (en) | 2002-06-04 | 2008-05-20 | Fortinet, Inc. | Service processing switch |
US7177311B1 (en) * | 2002-06-04 | 2007-02-13 | Fortinet, Inc. | System and method for routing traffic through a virtual router-based network switch |
US7203192B2 (en) | 2002-06-04 | 2007-04-10 | Fortinet, Inc. | Network packet steering |
US9088494B2 (en) * | 2002-06-26 | 2015-07-21 | Avaya Communication Israel Ltd. | Packet fragmentation prevention |
US7146638B2 (en) * | 2002-06-27 | 2006-12-05 | International Business Machines Corporation | Firewall protocol providing additional information |
US6983323B2 (en) * | 2002-08-12 | 2006-01-03 | Tippingpoint Technologies, Inc. | Multi-level packet screening with dynamically selected filtering criteria |
US7096383B2 (en) | 2002-08-29 | 2006-08-22 | Cosine Communications, Inc. | System and method for virtual router failover in a network routing system |
US20100138909A1 (en) * | 2002-09-06 | 2010-06-03 | O2Micro, Inc. | Vpn and firewall integrated system |
US7315890B2 (en) * | 2002-10-02 | 2008-01-01 | Lockheed Martin Corporation | System and method for managing access to active devices operably connected to a data network |
US7440573B2 (en) * | 2002-10-08 | 2008-10-21 | Broadcom Corporation | Enterprise wireless local area network switching system |
US20040078422A1 (en) * | 2002-10-17 | 2004-04-22 | Toomey Christopher Newell | Detecting and blocking spoofed Web login pages |
US7266120B2 (en) | 2002-11-18 | 2007-09-04 | Fortinet, Inc. | System and method for hardware accelerated packet multicast in a virtual routing system |
TW200412101A (en) * | 2002-12-23 | 2004-07-01 | Shaw-Hwa Hwang | Directly peer-to peer transmission protocol between two virtual network |
MY141160A (en) * | 2003-01-13 | 2010-03-31 | Multimedia Glory Sdn Bhd | System and method of preventing the transmission of known and unknown electronic content to and from servers or workstations connected to a common network |
JP4257151B2 (ja) * | 2003-02-28 | 2009-04-22 | 富士通株式会社 | パケット制御システム、パケット制御装置、パケット中継装置およびパケット制御プログラム |
TW200420021A (en) * | 2003-03-19 | 2004-10-01 | Etrunk Technologies Inc | Network packet routing control device |
US7325002B2 (en) * | 2003-04-04 | 2008-01-29 | Juniper Networks, Inc. | Detection of network security breaches based on analysis of network record logs |
US7760729B2 (en) | 2003-05-28 | 2010-07-20 | Citrix Systems, Inc. | Policy based network address translation |
WO2004107130A2 (en) | 2003-05-28 | 2004-12-09 | Caymas Systems, Inc. | Multilayer access control security system |
US7260840B2 (en) * | 2003-06-06 | 2007-08-21 | Microsoft Corporation | Multi-layer based method for implementing network firewalls |
US7509673B2 (en) * | 2003-06-06 | 2009-03-24 | Microsoft Corporation | Multi-layered firewall architecture |
US7308711B2 (en) * | 2003-06-06 | 2007-12-11 | Microsoft Corporation | Method and framework for integrating a plurality of network policies |
US6985920B2 (en) * | 2003-06-23 | 2006-01-10 | Protego Networks Inc. | Method and system for determining intra-session event correlation across network address translation devices |
US20050022017A1 (en) | 2003-06-24 | 2005-01-27 | Maufer Thomas A. | Data structures and state tracking for network protocol processing |
US7620070B1 (en) * | 2003-06-24 | 2009-11-17 | Nvidia Corporation | Packet processing with re-insertion into network interface circuitry |
US7305705B2 (en) * | 2003-06-30 | 2007-12-04 | Microsoft Corporation | Reducing network configuration complexity with transparent virtual private networks |
US20050144290A1 (en) * | 2003-08-01 | 2005-06-30 | Rizwan Mallal | Arbitrary java logic deployed transparently in a network |
US7522594B2 (en) * | 2003-08-19 | 2009-04-21 | Eye Ball Networks, Inc. | Method and apparatus to permit data transmission to traverse firewalls |
US7720095B2 (en) | 2003-08-27 | 2010-05-18 | Fortinet, Inc. | Heterogeneous media packet bridging |
US7464181B2 (en) * | 2003-09-11 | 2008-12-09 | International Business Machines Corporation | Method for caching lookups based upon TCP traffic flow characteristics |
US7594018B2 (en) * | 2003-10-10 | 2009-09-22 | Citrix Systems, Inc. | Methods and apparatus for providing access to persistent application sessions |
US20050100019A1 (en) * | 2003-11-10 | 2005-05-12 | Sahita Ravi L. | Rule based packet processing engine |
US7978716B2 (en) | 2003-11-24 | 2011-07-12 | Citrix Systems, Inc. | Systems and methods for providing a VPN solution |
US7792147B1 (en) * | 2004-02-09 | 2010-09-07 | Symantec Corporation | Efficient assembly of fragmented network traffic for data security |
KR100609170B1 (ko) * | 2004-02-13 | 2006-08-02 | 엘지엔시스(주) | 네트워크 보안 시스템 및 그 동작 방법 |
US6972226B2 (en) * | 2004-03-31 | 2005-12-06 | Infineon Technologies Ag | Charge-trapping memory cell array and method for production |
US20050268331A1 (en) * | 2004-05-25 | 2005-12-01 | Franck Le | Extension to the firewall configuration protocols and features |
US8739274B2 (en) | 2004-06-30 | 2014-05-27 | Citrix Systems, Inc. | Method and device for performing integrated caching in a data communication network |
US7757074B2 (en) | 2004-06-30 | 2010-07-13 | Citrix Application Networking, Llc | System and method for establishing a virtual private network |
US8495305B2 (en) | 2004-06-30 | 2013-07-23 | Citrix Systems, Inc. | Method and device for performing caching of dynamically generated objects in a data communication network |
EP1771998B1 (en) | 2004-07-23 | 2015-04-15 | Citrix Systems, Inc. | Systems and methods for optimizing communications between network nodes |
KR20070037649A (ko) | 2004-07-23 | 2007-04-05 | 사이트릭스 시스템스, 인크. | 게이트웨이에서 종단으로 패킷을 라우팅하기 위한 방법 및시스템 |
US7865944B1 (en) * | 2004-09-10 | 2011-01-04 | Juniper Networks, Inc. | Intercepting GPRS data |
GB0420684D0 (en) * | 2004-09-17 | 2004-10-20 | Oostendorp Jeroen | Platform for intelligent Email distribution |
US7499419B2 (en) | 2004-09-24 | 2009-03-03 | Fortinet, Inc. | Scalable IP-services enabled multicast forwarding with efficient resource utilization |
US7748032B2 (en) | 2004-09-30 | 2010-06-29 | Citrix Systems, Inc. | Method and apparatus for associating tickets in a ticket hierarchy |
US7711835B2 (en) | 2004-09-30 | 2010-05-04 | Citrix Systems, Inc. | Method and apparatus for reducing disclosure of proprietary data in a networked environment |
US8613048B2 (en) | 2004-09-30 | 2013-12-17 | Citrix Systems, Inc. | Method and apparatus for providing authorized remote access to application sessions |
KR100624483B1 (ko) * | 2004-10-06 | 2006-09-18 | 삼성전자주식회사 | 네트워크에서의 차등 침입탐지 장치 및 방법 |
US7808904B2 (en) | 2004-11-18 | 2010-10-05 | Fortinet, Inc. | Method and apparatus for managing subscriber profiles |
JP2006174350A (ja) * | 2004-12-20 | 2006-06-29 | Fujitsu Ltd | 通信装置 |
US8700695B2 (en) | 2004-12-30 | 2014-04-15 | Citrix Systems, Inc. | Systems and methods for providing client-side accelerated access to remote applications via TCP pooling |
US8549149B2 (en) | 2004-12-30 | 2013-10-01 | Citrix Systems, Inc. | Systems and methods for providing client-side accelerated access to remote applications via TCP multiplexing |
US8954595B2 (en) | 2004-12-30 | 2015-02-10 | Citrix Systems, Inc. | Systems and methods for providing client-side accelerated access to remote applications via TCP buffering |
US8706877B2 (en) | 2004-12-30 | 2014-04-22 | Citrix Systems, Inc. | Systems and methods for providing client-side dynamic redirection to bypass an intermediary |
US7810089B2 (en) | 2004-12-30 | 2010-10-05 | Citrix Systems, Inc. | Systems and methods for automatic installation and execution of a client-side acceleration program |
US8255456B2 (en) | 2005-12-30 | 2012-08-28 | Citrix Systems, Inc. | System and method for performing flash caching of dynamically generated objects in a data communication network |
US8024568B2 (en) | 2005-01-28 | 2011-09-20 | Citrix Systems, Inc. | Method and system for verification of an endpoint security scan |
US7665128B2 (en) | 2005-04-08 | 2010-02-16 | At&T Corp. | Method and apparatus for reducing firewall rules |
US7634584B2 (en) | 2005-04-27 | 2009-12-15 | Solarflare Communications, Inc. | Packet validation in virtual network interface architecture |
US20070097976A1 (en) * | 2005-05-20 | 2007-05-03 | Wood George D | Suspect traffic redirection |
US7881291B2 (en) * | 2005-05-26 | 2011-02-01 | Alcatel Lucent | Packet classification acceleration using spectral analysis |
US8631483B2 (en) * | 2005-06-14 | 2014-01-14 | Texas Instruments Incorporated | Packet processors and packet filter processes, circuits, devices, and systems |
CN100448227C (zh) * | 2005-08-30 | 2008-12-31 | 杭州华三通信技术有限公司 | 业务流的识别方法 |
KR100753815B1 (ko) * | 2005-08-31 | 2007-08-31 | 한국전자통신연구원 | 패킷 차단 장치 및 그 방법 |
US8347373B2 (en) | 2007-05-08 | 2013-01-01 | Fortinet, Inc. | Content filtering of remote file-system access protocols |
CA2632235A1 (en) | 2005-12-02 | 2007-06-07 | Citrix Systems, Inc. | Method and apparatus for providing authentication credentials from a proxy server to a virtualized computing environment to access a remote resource |
JP4545085B2 (ja) * | 2005-12-08 | 2010-09-15 | 富士通株式会社 | ファイアウォール装置 |
US8730834B2 (en) * | 2005-12-23 | 2014-05-20 | General Electric Company | Intelligent electronic device with embedded multi-port data packet controller |
US8301839B2 (en) | 2005-12-30 | 2012-10-30 | Citrix Systems, Inc. | System and method for performing granular invalidation of cached dynamically generated objects in a data communication network |
US7921184B2 (en) | 2005-12-30 | 2011-04-05 | Citrix Systems, Inc. | System and method for performing flash crowd caching of dynamically generated objects in a data communication network |
US8584226B2 (en) | 2006-01-26 | 2013-11-12 | Iorhythm, Inc. | Method and apparatus for geographically regulating inbound and outbound network communications |
US7606225B2 (en) * | 2006-02-06 | 2009-10-20 | Fortinet, Inc. | Integrated security switch |
US7784086B2 (en) * | 2006-03-08 | 2010-08-24 | Panasonic Corporation | Method for secure packet identification |
US8151323B2 (en) * | 2006-04-12 | 2012-04-03 | Citrix Systems, Inc. | Systems and methods for providing levels of access and action control via an SSL VPN appliance |
US8122492B2 (en) * | 2006-04-21 | 2012-02-21 | Microsoft Corporation | Integration of social network information and network firewalls |
US8079073B2 (en) * | 2006-05-05 | 2011-12-13 | Microsoft Corporation | Distributed firewall implementation and control |
US8176157B2 (en) * | 2006-05-18 | 2012-05-08 | Microsoft Corporation | Exceptions grouping |
US7603333B2 (en) * | 2006-06-14 | 2009-10-13 | Microsoft Corporation | Delayed policy evaluation |
US7865878B2 (en) * | 2006-07-31 | 2011-01-04 | Sap Ag | Method and apparatus for operating enterprise software from a detachable storage device |
US8533846B2 (en) | 2006-11-08 | 2013-09-10 | Citrix Systems, Inc. | Method and system for dynamically associating access rights with a resource |
US7688821B2 (en) * | 2006-11-21 | 2010-03-30 | O2Micro International Ltd. | Method and apparatus for distributing data packets by using multi-network address translation |
US8984620B2 (en) * | 2007-07-06 | 2015-03-17 | Cyberoam Technologies Pvt. Ltd. | Identity and policy-based network security and management system and method |
US10540651B1 (en) * | 2007-07-31 | 2020-01-21 | Intuit Inc. | Technique for restricting access to information |
US8060927B2 (en) * | 2007-10-31 | 2011-11-15 | Microsoft Corporation | Security state aware firewall |
US20090235355A1 (en) * | 2008-03-17 | 2009-09-17 | Inventec Corporation | Network intrusion protection system |
US8336094B2 (en) * | 2008-03-27 | 2012-12-18 | Juniper Networks, Inc. | Hierarchical firewalls |
JP5153480B2 (ja) * | 2008-06-27 | 2013-02-27 | 三菱電機株式会社 | ゲートウェイ装置およびパケットフィルタリング方法 |
US7908376B2 (en) * | 2008-07-31 | 2011-03-15 | Broadcom Corporation | Data path acceleration of a network stack |
US8769665B2 (en) * | 2009-09-29 | 2014-07-01 | Broadcom Corporation | IP communication device as firewall between network and computer system |
CN105376167A (zh) * | 2009-10-28 | 2016-03-02 | 惠普公司 | 分布式分组流检查和处理 |
US8656492B2 (en) * | 2011-05-16 | 2014-02-18 | General Electric Company | Systems, methods, and apparatus for network intrusion detection |
WO2012163587A1 (en) * | 2011-05-31 | 2012-12-06 | Alcatel Lucent | Distributed access control across the network firewalls |
US8881258B2 (en) * | 2011-08-24 | 2014-11-04 | Mcafee, Inc. | System, method, and computer program for preventing infections from spreading in a network environment using dynamic application of a firewall policy |
US8681794B2 (en) | 2011-11-30 | 2014-03-25 | Broadcom Corporation | System and method for efficient matching of regular expression patterns across multiple packets |
US8724496B2 (en) * | 2011-11-30 | 2014-05-13 | Broadcom Corporation | System and method for integrating line-rate application recognition in a switch ASIC |
US9503327B2 (en) * | 2012-07-24 | 2016-11-22 | Nec Corporation | Filtering setting support device, filtering setting support method, and medium |
KR101563059B1 (ko) * | 2012-11-19 | 2015-10-23 | 삼성에스디에스 주식회사 | 안티 멀웨어 시스템 및 안티 멀웨어 시스템에서의 데이터 처리 방법 |
US9319351B1 (en) * | 2012-11-26 | 2016-04-19 | Marvell Israel (M.I.S.L.) Ltd. | Mechanism for wire-speed stateful packet inspection in packet processors |
US10033693B2 (en) | 2013-10-01 | 2018-07-24 | Nicira, Inc. | Distributed identity-based firewalls |
US9215214B2 (en) | 2014-02-20 | 2015-12-15 | Nicira, Inc. | Provisioning firewall rules on a firewall enforcing device |
US9755981B2 (en) | 2014-03-11 | 2017-09-05 | Vmware, Inc. | Snooping forwarded packets by a virtual machine |
US9384033B2 (en) | 2014-03-11 | 2016-07-05 | Vmware, Inc. | Large receive offload for virtual machines |
US9742682B2 (en) | 2014-03-11 | 2017-08-22 | Vmware, Inc. | Large receive offload for virtual machines |
US9503427B2 (en) | 2014-03-31 | 2016-11-22 | Nicira, Inc. | Method and apparatus for integrating a service virtual machine |
US9215210B2 (en) | 2014-03-31 | 2015-12-15 | Nicira, Inc. | Migrating firewall connection state for a firewall service virtual machine |
US9906494B2 (en) | 2014-03-31 | 2018-02-27 | Nicira, Inc. | Configuring interactions with a firewall service virtual machine |
US9825913B2 (en) | 2014-06-04 | 2017-11-21 | Nicira, Inc. | Use of stateless marking to speed up stateful firewall rule processing |
US9774707B2 (en) | 2014-06-04 | 2017-09-26 | Nicira, Inc. | Efficient packet classification for dynamic containers |
US9729512B2 (en) | 2014-06-04 | 2017-08-08 | Nicira, Inc. | Use of stateless marking to speed up stateful firewall rule processing |
US10110712B2 (en) | 2014-06-04 | 2018-10-23 | Nicira, Inc. | Efficient packet classification for dynamic containers |
WO2015187201A1 (en) * | 2014-06-04 | 2015-12-10 | Nicira, Inc. | Use of stateless marking to speed up stateful firewall rule processing |
US9692698B2 (en) | 2014-06-30 | 2017-06-27 | Nicira, Inc. | Methods and systems to offload overlay network packet encapsulation to hardware |
US9419897B2 (en) | 2014-06-30 | 2016-08-16 | Nicira, Inc. | Methods and systems for providing multi-tenancy support for Single Root I/O Virtualization |
US9692727B2 (en) | 2014-12-02 | 2017-06-27 | Nicira, Inc. | Context-aware distributed firewall |
US9891940B2 (en) | 2014-12-29 | 2018-02-13 | Nicira, Inc. | Introspection method and apparatus for network access filtering |
US9806948B2 (en) | 2015-06-30 | 2017-10-31 | Nicira, Inc. | Providing firewall rules for workload spread across multiple data centers |
US10324746B2 (en) | 2015-11-03 | 2019-06-18 | Nicira, Inc. | Extended context delivery for context-based authorization |
CN112087519A (zh) | 2016-04-12 | 2020-12-15 | 伽德诺克斯信息技术有限公司 | 具有被配置为实现安全锁定的相关设备的特别编程的计算系统及其使用方法 |
US10348685B2 (en) | 2016-04-29 | 2019-07-09 | Nicira, Inc. | Priority allocation for distributed service rules |
US10135727B2 (en) | 2016-04-29 | 2018-11-20 | Nicira, Inc. | Address grouping for distributed service rules |
US11171920B2 (en) | 2016-05-01 | 2021-11-09 | Nicira, Inc. | Publication of firewall configuration |
US11425095B2 (en) | 2016-05-01 | 2022-08-23 | Nicira, Inc. | Fast ordering of firewall sections and rules |
US11258761B2 (en) | 2016-06-29 | 2022-02-22 | Nicira, Inc. | Self-service firewall configuration |
US11082400B2 (en) | 2016-06-29 | 2021-08-03 | Nicira, Inc. | Firewall configuration versioning |
US11115385B1 (en) * | 2016-07-27 | 2021-09-07 | Cisco Technology, Inc. | Selective offloading of packet flows with flow state management |
US10938837B2 (en) | 2016-08-30 | 2021-03-02 | Nicira, Inc. | Isolated network stack to manage security for virtual machines |
US9762619B1 (en) | 2016-08-30 | 2017-09-12 | Nicira, Inc. | Multi-layer policy definition and enforcement framework for network virtualization |
US10193862B2 (en) | 2016-11-29 | 2019-01-29 | Vmware, Inc. | Security policy analysis based on detecting new network port connections |
US10609160B2 (en) | 2016-12-06 | 2020-03-31 | Nicira, Inc. | Performing context-rich attribute-based services on a host |
US11032246B2 (en) | 2016-12-22 | 2021-06-08 | Nicira, Inc. | Context based firewall services for data message flows for multiple concurrent users on one machine |
US10805332B2 (en) | 2017-07-25 | 2020-10-13 | Nicira, Inc. | Context engine model |
US10802858B2 (en) | 2016-12-22 | 2020-10-13 | Nicira, Inc. | Collecting and processing contextual attributes on a host |
US10812451B2 (en) | 2016-12-22 | 2020-10-20 | Nicira, Inc. | Performing appID based firewall services on a host |
US10803173B2 (en) | 2016-12-22 | 2020-10-13 | Nicira, Inc. | Performing context-rich attribute-based process control services on a host |
US10581960B2 (en) | 2016-12-22 | 2020-03-03 | Nicira, Inc. | Performing context-rich attribute-based load balancing on a host |
US10313926B2 (en) | 2017-05-31 | 2019-06-04 | Nicira, Inc. | Large receive offload (LRO) processing in virtualized computing environments |
US10778651B2 (en) | 2017-11-15 | 2020-09-15 | Nicira, Inc. | Performing context-rich attribute-based encryption on a host |
US10802893B2 (en) | 2018-01-26 | 2020-10-13 | Nicira, Inc. | Performing process control services on endpoint machines |
US10862773B2 (en) | 2018-01-26 | 2020-12-08 | Nicira, Inc. | Performing services on data messages associated with endpoint machines |
US11388141B1 (en) * | 2018-03-28 | 2022-07-12 | Juniper Networks, Inc | Apparatus, system, and method for efficiently filtering packets at network devices |
US11310202B2 (en) | 2019-03-13 | 2022-04-19 | Vmware, Inc. | Sharing of firewall rules among multiple workloads in a hypervisor |
US11539718B2 (en) | 2020-01-10 | 2022-12-27 | Vmware, Inc. | Efficiently performing intrusion detection |
US11962518B2 (en) | 2020-06-02 | 2024-04-16 | VMware LLC | Hardware acceleration techniques using flow selection |
US11108728B1 (en) | 2020-07-24 | 2021-08-31 | Vmware, Inc. | Fast distribution of port identifiers for rule processing |
US20220038372A1 (en) * | 2020-08-02 | 2022-02-03 | Mellanox Technologies Tlv Ltd. | Stateful filtering systems and methods |
US11593278B2 (en) | 2020-09-28 | 2023-02-28 | Vmware, Inc. | Using machine executing on a NIC to access a third party storage not supported by a NIC or host |
US20220100432A1 (en) | 2020-09-28 | 2022-03-31 | Vmware, Inc. | Distributed storage services supported by a nic |
US11875172B2 (en) | 2020-09-28 | 2024-01-16 | VMware LLC | Bare metal computer for booting copies of VM images on multiple computing devices using a smart NIC |
US11792134B2 (en) | 2020-09-28 | 2023-10-17 | Vmware, Inc. | Configuring PNIC to perform flow processing offload using virtual port identifiers |
US11636053B2 (en) | 2020-09-28 | 2023-04-25 | Vmware, Inc. | Emulating a local storage by accessing an external storage through a shared port of a NIC |
US11863376B2 (en) | 2021-12-22 | 2024-01-02 | Vmware, Inc. | Smart NIC leader election |
US11928367B2 (en) | 2022-06-21 | 2024-03-12 | VMware LLC | Logical memory addressing for network devices |
US11899594B2 (en) | 2022-06-21 | 2024-02-13 | VMware LLC | Maintenance of data message classification cache on smart NIC |
US11928062B2 (en) | 2022-06-21 | 2024-03-12 | VMware LLC | Accelerating data message classification with smart NICs |
Family Cites Families (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5400331A (en) * | 1993-04-28 | 1995-03-21 | Allen-Bradley Company, Inc. | Communication network interface with screeners for incoming messages |
US5623601A (en) * | 1994-11-18 | 1997-04-22 | Milkway Networks Corporation | Apparatus and method for providing a secure gateway for communication and data exchanges between networks |
US5802320A (en) * | 1995-05-18 | 1998-09-01 | Sun Microsystems, Inc. | System for packet filtering of data packets at a computer network interface |
US5648965A (en) * | 1995-07-07 | 1997-07-15 | Sun Microsystems, Inc. | Method and apparatus for dynamic distributed packet tracing and analysis |
US5801753A (en) * | 1995-08-11 | 1998-09-01 | General Instrument Corporation Of Delaware | Method and apparatus for providing an interactive guide to events available on an information network |
US6147976A (en) * | 1996-06-24 | 2000-11-14 | Cabletron Systems, Inc. | Fast network layer packet filter |
US5828833A (en) * | 1996-08-15 | 1998-10-27 | Electronic Data Systems Corporation | Method and system for allowing remote procedure calls through a network firewall |
US6119236A (en) * | 1996-10-07 | 2000-09-12 | Shipley; Peter M. | Intelligent network security device and method |
US6073178A (en) * | 1996-12-09 | 2000-06-06 | Sun Microsystems, Inc. | Method and apparatus for assignment of IP addresses |
US5848233A (en) * | 1996-12-09 | 1998-12-08 | Sun Microsystems, Inc. | Method and apparatus for dynamic packet filter assignment |
US6070242A (en) * | 1996-12-09 | 2000-05-30 | Sun Microsystems, Inc. | Method to activate unregistered systems in a distributed multiserver network environment |
US5835727A (en) * | 1996-12-09 | 1998-11-10 | Sun Microsystems, Inc. | Method and apparatus for controlling access to services within a computer network |
US6208651B1 (en) * | 1997-06-10 | 2001-03-27 | Cornell Research Foundation, Inc. | Method and system for masking the overhead of protocol layering |
US6158008A (en) * | 1997-10-23 | 2000-12-05 | At&T Wireless Svcs. Inc. | Method and apparatus for updating address lists for a packet filter processor |
US6092110A (en) * | 1997-10-23 | 2000-07-18 | At&T Wireless Svcs. Inc. | Apparatus for filtering packets using a dedicated processor |
EP1062785A2 (en) * | 1998-03-18 | 2000-12-27 | Secure Computing Corporation | System and method for controlling interactions between networks |
US6092108A (en) * | 1998-03-19 | 2000-07-18 | Diplacido; Bruno | Dynamic threshold packet filtering of application processor frames |
WO2000010297A1 (en) * | 1998-08-17 | 2000-02-24 | Vitesse Semiconductor Corporation | Packet processing architecture and methods |
-
2000
- 2000-03-02 US US09/517,276 patent/US6496935B1/en not_active Expired - Lifetime
-
2001
- 2001-02-26 EA EA200200814A patent/EA004423B1/ru not_active IP Right Cessation
- 2001-02-26 EP EP01912998A patent/EP1266277B1/en not_active Expired - Lifetime
- 2001-02-26 WO PCT/US2001/005925 patent/WO2001065343A1/en active IP Right Grant
- 2001-02-26 AT AT01912998T patent/ATE312463T1/de not_active IP Right Cessation
- 2001-02-26 NZ NZ520984A patent/NZ520984A/xx unknown
- 2001-02-26 AU AU4171701A patent/AU4171701A/xx active Pending
- 2001-02-26 CA CA002401577A patent/CA2401577C/en not_active Expired - Fee Related
- 2001-02-26 PL PL01357181A patent/PL357181A1/xx unknown
- 2001-02-26 JP JP2001563973A patent/JP3954385B2/ja not_active Expired - Lifetime
- 2001-02-26 CN CNB018058892A patent/CN100474213C/zh not_active Expired - Fee Related
- 2001-02-26 IL IL15152201A patent/IL151522A0/xx active IP Right Grant
- 2001-02-26 KR KR1020027011384A patent/KR20020092972A/ko not_active Application Discontinuation
- 2001-02-26 BR BR0109035-6A patent/BR0109035A/pt not_active Application Discontinuation
- 2001-02-26 DE DE60115615T patent/DE60115615T2/de not_active Expired - Lifetime
- 2001-02-26 HU HU0300039A patent/HUP0300039A2/hu unknown
- 2001-02-26 AU AU2001241717A patent/AU2001241717B2/en not_active Ceased
-
2002
- 2002-08-28 IL IL151522A patent/IL151522A/en unknown
- 2002-08-29 NO NO20024113A patent/NO324958B1/no not_active IP Right Cessation
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009278635A (ja) * | 2002-05-01 | 2009-11-26 | Firebridge Systems Pty Ltd | ステートフル・インスペクションを備えるファイアウォール |
JP2007251906A (ja) * | 2006-03-20 | 2007-09-27 | Fujitsu Ltd | フレーム中継装置及びフレーム検査装置 |
JP2009207094A (ja) * | 2008-02-29 | 2009-09-10 | Nec Corp | リモートアクセスシステム、方法及びプログラム |
US8151320B2 (en) | 2008-02-29 | 2012-04-03 | Nec Corporation | Remote access system, method and program |
Also Published As
Publication number | Publication date |
---|---|
CA2401577A1 (en) | 2001-09-07 |
AU2001241717B2 (en) | 2005-12-22 |
CN100474213C (zh) | 2009-04-01 |
KR20020092972A (ko) | 2002-12-12 |
JP3954385B2 (ja) | 2007-08-08 |
EA004423B1 (ru) | 2004-04-29 |
BR0109035A (pt) | 2003-06-03 |
IL151522A (en) | 2007-12-03 |
NO20024113L (no) | 2002-11-01 |
PL357181A1 (en) | 2004-07-26 |
EP1266277A1 (en) | 2002-12-18 |
US6496935B1 (en) | 2002-12-17 |
CA2401577C (en) | 2007-09-18 |
EP1266277B1 (en) | 2005-12-07 |
NZ520984A (en) | 2003-02-28 |
NO20024113D0 (no) | 2002-08-29 |
NO324958B1 (no) | 2008-01-14 |
DE60115615T2 (de) | 2006-07-06 |
WO2001065343A1 (en) | 2001-09-07 |
DE60115615D1 (de) | 2006-01-12 |
EP1266277A4 (en) | 2003-07-02 |
HUP0300039A2 (en) | 2003-05-28 |
IL151522A0 (en) | 2003-04-10 |
CN1406351A (zh) | 2003-03-26 |
EA200200814A1 (ru) | 2003-02-27 |
ATE312463T1 (de) | 2005-12-15 |
AU4171701A (en) | 2001-09-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2003525557A (ja) | 迅速なパケット・フィルタリング及びパケット・プロセシングのためのシステム、デバイス及び方法 | |
US7386889B2 (en) | System and method for intrusion prevention in a communications network | |
AU2001241717A1 (en) | System, device and method for rapid packet filtering and processing | |
DE19741246C2 (de) | Vorrichtung und Verfahren zur Erhöhung der Sicherheit in Netzwerken | |
US8964747B2 (en) | System and method for restricting network access using forwarding databases | |
US7856016B2 (en) | Access control method, access control system, and packet communication apparatus | |
JP4743894B2 (ja) | データ・パケットを伝送しながらセキュリティを改良するための方法及び装置 | |
EP1231754B1 (en) | Handling information about packet data connections in a security gateway element | |
JP2002512487A (ja) | ネットワークでパケットをフィルタリングするためにデジタル署名を使用する方法および装置 | |
MXPA04005464A (es) | Arquitectura de la pared de fuego estratificada. | |
JP2004362590A (ja) | ネットワークファイアウォールを実装するための多層ベースの方法 | |
CN111586025A (zh) | 一种基于sdn的sdp安全组实现方法及安全系统 | |
US8336093B2 (en) | Abnormal IPSec packet control system using IPSec configuration and session data, and method thereof | |
EP1574009B1 (en) | Systems and apparatuses using identification data in network communication | |
JP2022554101A (ja) | パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体 | |
US11695837B2 (en) | Systems and methods for virtual multiplexed connections | |
JP2004062417A (ja) | 認証サーバ装置、サーバ装置、およびゲートウェイ装置 | |
CN1521993A (zh) | 网络控制方法和设备 | |
JP2006013732A (ja) | ルーティング装置および情報処理装置の認証方法 | |
JP4027213B2 (ja) | 侵入検知装置およびその方法 | |
JP2004363915A (ja) | DoS攻撃対策システムおよび方法およびプログラム | |
JP2002537689A (ja) | ファイアウォールを通してメッセージを送るデータ通信方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A529 | Written submission of copy of amendment under article 34 pct |
Free format text: JAPANESE INTERMEDIATE CODE: A529 Effective date: 20020902 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040219 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20060511 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20060517 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20060811 |
|
A524 | Written submission of copy of amendment under article 19 pct |
Free format text: JAPANESE INTERMEDIATE CODE: A524 Effective date: 20060811 |
|
A524 | Written submission of copy of amendment under article 19 pct |
Free format text: JAPANESE INTERMEDIATE CODE: A524 Effective date: 20060811 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20061122 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070216 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070216 |
|
A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20070323 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20070418 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20070426 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 3954385 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110511 Year of fee payment: 4 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110511 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120511 Year of fee payment: 5 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130511 Year of fee payment: 6 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130511 Year of fee payment: 6 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
EXPY | Cancellation because of completion of term |