JP2003525557A - 迅速なパケット・フィルタリング及びパケット・プロセシングのためのシステム、デバイス及び方法 - Google Patents

迅速なパケット・フィルタリング及びパケット・プロセシングのためのシステム、デバイス及び方法

Info

Publication number
JP2003525557A
JP2003525557A JP2001563973A JP2001563973A JP2003525557A JP 2003525557 A JP2003525557 A JP 2003525557A JP 2001563973 A JP2001563973 A JP 2001563973A JP 2001563973 A JP2001563973 A JP 2001563973A JP 2003525557 A JP2003525557 A JP 2003525557A
Authority
JP
Japan
Prior art keywords
packet
firewall
filtering module
connection
authorized
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2001563973A
Other languages
English (en)
Other versions
JP3954385B2 (ja
JP2003525557A5 (ja
Inventor
フィンク ゴネン
ハウルシュ アミアー
Original Assignee
チェック ポイント ソフトウェア テクノロジース リミテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by チェック ポイント ソフトウェア テクノロジース リミテッド filed Critical チェック ポイント ソフトウェア テクノロジース リミテッド
Publication of JP2003525557A publication Critical patent/JP2003525557A/ja
Publication of JP2003525557A5 publication Critical patent/JP2003525557A5/ja
Application granted granted Critical
Publication of JP3954385B2 publication Critical patent/JP3954385B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0254Stateful filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Abstract

(57)【要約】 プレ・フィルタリング・モジュール(30)を用いてファイアウォール(18)を設置することによる、パケットフィルタ処理(図1)のための方法、デバイス、及びシステムである。プレ・フィルタリング・モジュール(30)は、ある特定の接続からパケットが受信されたか否かに従って、パケットに関するある特定の一連のアクションを実行し、さもなければ、パケットは処理の為ファイアウォールに転送される。

Description

【発明の詳細な説明】
【0001】 (本発明の分野及び背景) 本発明は、パケット交換ネットワーク上での迅速なパケット・フィルタリング
のためのシステム、デバイス及び方法であり、より具体的には、パケット・フィ
ルタリングの効率がセッション・ベースのフィルタリングにより増すシステム、
デバイス及び方法である。
【0002】 接続性とセキュリティは、ほとんどの組織のコンピュータ環境における2つの
矛盾する目的である。典型的な現代のコンピューティング・システムは、サービ
スの多数のトランスペアレントなアクセスを供給する、ネットワーク通信の周辺
で構築される。 これらサービスの全体的な有効性は、おそらく現代のコンピュータ問題解決方
法の唯一最も重要な特徴である。接続性の需要は組織の内外の両方から起こる。
【0003】 無許可の使用からネットワーク・サービスを保護することは、どの組織にも最
も重要である。セキュリティを強化することの必要性が増大すると共に、ネット
ワーク資源へのアクセスを制御する手段は管理上の優先事項になっている。コス
トを削減し、生産力を維持するために、アクセス制御は構成が簡単で、ユーザと
アプリケーションに対しトランスペアレントでなければならない。さらに、構成
コスト及びダウン期間の最小化は、また重要な要素である。
【0004】 パケット・フィルタリングは、接続性を可能とし、更には通過されたトラヒッ
クを制御することによりセキュリティを提供する方法であり、従って単一ネット
ワーク内及び接続しているネットワーク間の両方での不法な通信の試みを防ぐ。
【0005】 ここで、全てが開示されるように、参考として参照される米国特許第5,835,72
6号(1996年6月17日出願)及び第5,606,668号(1993年12月15日
出願)は、コンピュータ・ネットワークにおける入出するデータ・パケットフロ
ーの制御によるネットワーク・セキュリティを提供する方法について記載する。 パケットのフローは、その後一連のフィルタ言語通知に変換されるユーザが作
り出した規則ベースに従って実行されるパケット・フィルタリングによって制御
される。 規則ベースにおける各規則は、パケットを受理するか拒絶するか、イベントを
記録するか暗号化及び/又は認証化するソース、宛先、サービスを含んでいる。
一連のフィルタ言語通知は、インストールされ、又その通知は、ファイアウォー
ルの役割をするようコンピュータに置かれる検査エンジン上で実行される。 検査エンジンは、パケットがファイアウォールを通して入ることが認可される
かどうか決定するためにステートフル・インスペクションを実行する。 ファイアウォールは、保護されるべきネットワークへ入出する全てのトラヒッ
クがファイアウォールを通過することを強いられることで、コンピュータ・ネッ
トワークの中に位置する。従って、パケットは、規則ベースからなる規則に従っ
てネットワークの内外をフローするようにフィルタにかけられる。
【0006】 これらの参照によれば、検査エンジンは、拒絶するべきか、受理するべきかを
パケット・ベースによりパケットで決定する仮想パケット・フィルタリング・マ
シーンの役割をする。もしパケットが拒絶されたなら、それはドロップされる。
もしパケットが受理されるなら、パケットは変更することもできる。変更は暗号
化、解読、署名作成、署名立証又はアドレスコード変換を含むこともできる。変
更は全て規則ベースの内容に従って実行される。
【0007】 不運にも、示された方法の1つの欠点は、ファイアウォールを操作するコンピ
ュータに大きな計算上の負担がかかることである。以前に示されたパケット・フ
ィルタ処理のプロセスは、ファイアウォールを通したどのパケット・エントリー
が決定されるかに従った一連の規則への様々な比較と共に、分割して解析するこ
とを各パケットに要求する。 しかしながら、一旦、ファイアウォールによって確立される2つのノード間の
セッション又は接続が有効になったならば、その後、ほとんどの場合、さらに集
中的な解析は必要ではない。 従って、保護されたシステムのセキュリティを維持している一方で、認可され
た接続からのパケットの連続的な解析のための要求を減少あるいは均一に削除す
ることは、ファイアウォールによって課された計算の負担を著しく減らし、パケ
ット・フィルタリングのプロセスを高速化するであろう。
【0008】 もしパケットが認可された接続から受信されたならば、随意に変更プロセスの
ハードウェアの高速化を通じて、急速かつ効率的に変更されたパケットはさらに
維持される一方で、完全なパケット解析のための要求は減少するか均一に削除さ
れ、受信されたパケットに従った急速なパケット・フィルタ処理のためのシステ
ム、デバイス及び方法の必要性があり、持っていることは有用である。
【0009】 (発明の要約) 本発明は、システム、デバイス及びパケット交換のネットワーク上でのパケッ
ト・フィルタ処理を高速化する方法であり、好ましくは、プレ・フィルタリング
・モジュールを備えたファイアウォールの補足によるIPネットワークである。 プレ・フィルタリング・モジュールは、ファイアウォールによって以前に可能
となった接続からパケットが受信されるかどうかに従ったパケットに関し制限さ
れた一連のアクションを実行する。 もしパケットがそのような可能になった接続から受信されるなら、プレ・フィ
ルタリング・モジュールは、パケット上で随意に1又はそれ以上のアクションを
実行して、それらの宛先へパケットを転送する。 そうでなければ、パケットは処理のためにファイアウォールへ転送される。好
ましくは1度ファイアウォールが、プレ・フィルタリング・モジュールの接続に
対する責任を移す、あるいは接続を「オフロードされる」ならば、接続の間にタ
イムアウトが生じるまで、もしくはセッションが終了したことを示す特定のセッ
ション制御フィールド値で受信されるまで、ファイアウォールがさらなるパケッ
トを受信しない、つまりパケットは接続が閉じられる。
【0010】 例えば、IPネットワークを備えた本発明の好ましい実施については、そのよう
なセッション・コントロール・フィールド値はパケットのために用意されている
FIN/RSTフラッグである。
【0011】 可能な接続からのパケットのために必要になる解析の量を減少する、あるいは
削除することの1つの利点は、ハードウェア高速化が随意にファイアウォールを
補うことができることである。 そのようなハードウェアの高速化はソフトウェアに基づいたパケット処理より
迅速、従って著しくファイアウォール・システムの効率を増加させることができ
るという長所がある。さらに、修正プロセスのハードウェア高速化は、修正プロ
セスがより少ない「知能」だがより速い処理を要求するので、パケットを迅速に
効率良く修正する能力を維持することができ、一方パケット解析のプロセスのた
めの反対の特性もまた真実である。それゆえに、随意に好ましく、プレ・フィル
タリング・モジュールはハードウェアとして実施される。
【0012】 本発明に従って、パケット・フィルタリングを高速化するためのシステムが提
供され、システムは(a)パケットを転送するためのソース・ノード、(b)パ
ケットを受信するための宛先ノード、(c)少なくとも1つのルールに従ってパ
ケット・フィルタリングを行うための、ソース・ノードと宛先ノードの間に置か
れたファイアウォール、(d)もしパケットが少なくとも1つの通知に従い認可
されており、プレ・フィルタリング・モジュールはパケットを処理し、あるいは
またプレ・フィルタリング・モジュールは処理のためにパケットをファイアウォ
ールへ転送するので、ファイアウォールから少なくとも1つの通知を受信し、フ
ァイアウォールの前にパケットを受信するためにファイアウォールと通信を取り
合い、プレ・フィルタリングを行うモジュール、からなる。
【0013】 本発明の他の実施例に従って、ネットワーク上でパケットの加速したフィルタ
リングのためのシステムが提供され、システムは(a)少なくとも1つのルール
に従ったパケットでのパケット・フィルタリング、(b)もしパケットが単純な
比較に従って認可されたら、プレ・フィルタリング・モジュールは少なくともネ
ットワークでパケットを転送するので、単純な比較を決定し、ファイアウォール
の前にネットワークで転送されたパケットを受信するためのファイアウォールか
ら少なくとも1つの通知を受信しネットワークに配されファイアウォールと通信
を取り合うプレ・フィルタリング・モジュール、からなる。
【0014】 本発明の更に別の実施例によると、パケット・フィルタ処理を高速化するため
のシステムで用いられるための、パケットを送るためのネットワーク及びパケッ
トをフィルタリングするためのネットワーク上のファイアウォール、ファイアウ
ォールの前にパケットを受信するためのデバイスに特徴付けられるシステムが提
供され、デバイスは(a)ファイアウォールからのパケットの少なくとも1つの
パラメータを解析するための、少なくとも1つの通知を格納するためのメモリ、
少なくとも1つの通知は、パケットを識別するための、少なくとも1つのパラメ
ータを含む、(b)パケットの少なくとも1つの部分を解析するため及び少なく
とも1つの通知に従った、少なくとも1つのパラメータに対するパケットの少な
くとも1つの部分を比較するための分類エンジン、からなる。
【0015】 本発明の更に別の実施例によれば、ネットワーク上でファイアウォールと共に
パケット・フィルタリングを高速化するための方法が提供され、方法は(a)フ
ァイアウォールの前にパケットを受信するためのプレ・フィルタリング・モジュ
ール、(b)プレ・フィルタリング・モジュールによってパケットを受信する、
(c)パケットが認可されているかどうかを決定する、(d)もしパケットが認
可されているならば、プレ・フィルタリング・モジュールによってパケットを処
理する、の段階からなる。
【0016】 以下、「ネットワーク」は、データ通信を可能にする、2もしくはそれ以上の
どのような計算デバイスの接続を含む。
【0017】 以下、用語「計算デバイス」は、Windows(登録商標)、Linux(登録商標)、
Macintosh(登録商標)コンピュータ、のようなオペレーティング・システムを
持つパーソナル・コンピュータ(PC)、オペレーティング・システムとしてJAVA
(登録商標)コンピュータ、サンマイクロシステムズ(登録商標)及びシリコン
グラフィックス(登録商標)のコンピュータのようなワークステーション及びサ
ンマイクロシステムズ(登録商標)のAIX(登録商標)あるいはSOLARIS(登録商
標)のようなユニックス・オペレーティング・システムのあるバージョンを持つ
他のコンピュータ、他の既知及び利用可能なオペレーティング・システム、どの
ようなタイプのコンピュータ、オペレーティング・システムがVxWorks(登録商
標)及びPSOS(登録商標)を含むがこれに限定されないパケット交換網に接続す
ることができるどのようなデバイス、パケットを転送及び受信する能力があり、
例えば、ブリッジ、スイッチ及びルータを含むがこれに限定されない、ネットワ
ーク処理デバイスのような、少なくともデータ処理デバイスを持つ、パケット交
換網に接続可能な、デバイスを含むが、これに限定されない。 以下、用語「Windows(登録商標)」はWindows (登録商標)NT、Windows(登
録商標)98、Windows(登録商標)2000、Windows(登録商標)CE及びこれらマイ
クロソフト社(米国)によるオペレーティング・システムのアップグレード・バ
ージョンを含むが、これに限定されない。
【0018】 本発明の方法は、一連のデータ処理デバイスによって実行された段階と記載す
ることができ、ソフトウェア、ハードウェア、ファームウェアあるいはそのコン
ビネーションとして随意に実行することができる。 本発明は、当業者が容易に選択できる、本質的に任意の適切なプログラミング
言語でソフトウェア・アプリケーションを書くことができる。選ばれたプログラ
ミング言語は、ソフトウェア・アプリケーションと計算デバイスと互換性を持つ
べきである。適切なプログラミング言語の例はC、C++及びJava(登録商標)を含
むが、これに限定されない。
【0019】 (発明の詳細な説明) 記載したもの及び他の目的、側面及び利点は、図を参照し、以下の実施の形態
の詳細な説明により、より良く理解される。 本発明は、プレ・フィルタリング・モジュールを備えたファイアウォールの設
置により、パケットのフィルタリングを高速化するためのシステム、デバイス及
び方法に関する。プレ・フィルタリング・モジュールはパケットに関し、例えば
パケットは、前回のファイアウォールによって認可された接続から受信されたか
どうかに従って、パケットに関する単純な比較を実行する。パケットがこのよう
に認可された接続から受信されている場合、プレ・フィルタリング・モジュール
はパケットの宛先へパケットを転送し、随意で1あるいはそれ以上のアクション
をパケット上に実行する。そうでなければ、パケットは処理のためにファイアウ
ォールへ転送される。付け加えて、さらに好ましくは、これらのパケットが、フ
ァイアウォールによる介入を必要とする特定のセッション制御フィールド値を持
つ場合、パケットは処理のためにこのファイアウォールへ転送される。例えば、
IPネットワーク、特にTCP/IPトラヒックを備えた本発明の好ましい実施
にとって、パケットのための一連のSYN/FIN/RSTフラッグを含む。このようなセ
ッション制御フィールド値は、接続状態についての情報を運ぶパケットを表示し
、従ってこれらは、ファイアウォールが接続状態を決定するために、これらのパ
ケットを受信し解析するのが重要である。随意で、フラグメント・パケットはま
た、プレ・フィルタリング・モジュールが、IPネットワーク、特にIPトラヒ
ックを備えた本発明の好ましい実施の形態のための、仮想フラグメントテーショ
ン解消のような特定機能を実行できない場合、ファイアウォールへ転送される。
【0020】 ひとたびファイアウォールは接続が認可されたと判断すると、あるいは単純な
比較を実行するための少なくとも1つのパラメータを決定すると、ファイアウォ
ールは好ましくは、プレ・フィルタリング・モジュールへ、新しく認可されたパ
ケットの詳細と共にメッセージを送信する。好ましくは、ひとたびファイアウォ
ールが接続の責任をプレ・フィルタリング・モジュールへ移動させると、あるい
は接続を“オフ・ロードされた”にすると、ファイアウォールは、接続が終了さ
れるために、接続の間にタイムアウトが生じるまで、あるいはパケットが、セッ
ションが終了したことを表示する特定のセッション制御フィールド値(例えばI
Pネットワークを備えた好ましい実施のためにFIN/RSTフラッグがセットされる
こと)と共に、これらの接続からさらなるパケットを受信しない。“タイムアウ
ト”は、パケットが前もって定められた期間の間ファイアウォールによって受信
されない場合に生じる。
【0021】 プレ・フィルタリング・モジュールは好ましくは、ハードウェアの高速化の利
益を享受するために、ハードウェアとして実行される。このようなハードウェア
の高速化は、ソフトウェアに基づいたパケット処理よりもさらに迅速であるとい
う利点を有する。それゆえ、プレ・フィルタリング・モジュールは、プレ・フィ
ルタリング・モジュールがソフトウェアあるいはファームウェアとして実行され
るにもかかわらず、好ましくはハードウェアに基づいたデバイスとして実施され
る。随意で、プレ・フィルタリング・モジュール及びファイアウォールは、設置
及び操作の容易さのために、ネットワークのゲートウェイ・ノードに加えられる
“ブラックボックス”、あるいはその代替となる複合デバイスである。
【0022】 本発明によるシステム、デバイス及び方法の原義と作用は、図面と添付の説明
を参照することでよりよく理解され、またこれらの図面が例示の目的のためのみ
に与えられており、限定するものでないことが理解される。以下の説明がIPネ
ットワークに集中しており、特にTCP/IPトラヒックに集中しているが、こ
れらはただ例示の目的のためであり、ともかく限定するものであると意図されな
いことが理解される。
【0023】 図面を参照すると、図1は本発明によるシステムの概略ブロック図である。シ
ステム10は、データがパケットの形態で送られるように、パケット・スイッチ
ング・ネットワークとなっている保護されたネットワーク12を特徴とする。保
護されたネットワーク12は、随意でいかなるタイプの計算デバイスでもあり、
ここでは“中間ノード”と称されるゲートウェイ16によって外部のパケット・
スイッチング・ネットワーク14から切り離されている。外部ネットワーク14
は随意で、例えばインターネットでありうる。ゲートウェイ16は、ここではN
IC17として示されるハードウェア・コネクタを通じて、外部ネットワーク1
4、保護されたネットワーク12の各々に接続される。
【0024】 ゲートウェイ16は、パケット解析及びパケットのフィルタリングを実行する
ためのファイアウォール18を作動させる。外部ネットワーク14からゲートウ
ェイ16を通過することが認可されたパケットは、保護されたネットワーク12
に接続される、保護された複数のノード20のうち1つによって受信される。こ
のようなネットワーク・トラヒックは外部ネットワーク14へ送るために、保護
されたネットワーク12からゲートウェイ16によってパケットが受信されるよ
うに、そしてその逆もまた同様であるように、典型的には双方向である。
【0025】 ファイアウォール18は好ましくは、米国特許第5,835,726号及び第
5,606,668号に前述されているように実施される。ファイアウォール1
8は、パケットのフィルタリング処理を実行するためのパケット・フィルター2
2を特徴とする。パケット・フィルター22は次に、パケットを解析するための
解析モジュール24及び規則ベース26からなる。規則ベース26は好ましくは
、システム管理者あるいは他の制御ユーザの選択に従って定められる、1つある
いはそれ以上の規則を含む。解析モジュール24は解析されるパケットの内容を
抽出し、規則ベース26の規則と比較する。比較の結果、パケットが規則ベース
26により認可される場合、パケット・フィルター22はパケットが保護された
ネットワーク22に入ることを認可する。
【0026】 また、パケットが規則ベース26により認可されない場合、パケットは随意で
ドロップされる。パケットはまた随意で、規則ベース26が特にパケットが通過
するのを許可しない場合、認可されないように判断する。
【0027】 また随意で、パケット・フィルター22は、パケットが受理される場合、パケ
ットを変更するための変更モジュール28を特徴とする。
【0028】 ファイアウォール18のその他の随意的な特徴は、特定の接続に属する全ての
パケット上の移動されたデータ量を決定するために、パケットの明確化を実行す
る能力、パケット内のアドレスを変更する能力、及びパケットを暗号化する能力
を含む。パケットの暗号化はより詳しくは、米国特許第5,835,726号に
詳述されている。簡潔には、パケットは随意で、パケットが外部ネットワーク1
4を通過するために暗号化されるように、2つのファイアウォール18間の転送
のために暗号化される。暗号化はまた随意で、例えばファイアウォール18と外
部ネットワーク14との間の通信のために用いられる。暗号化されたパケットは
、ファイアウォール18を受信することによって暗号解読され、保護されたネッ
トワーク12にパスされる。従って、暗号化及び送信のプロセスは自動化され、
通信ソフトウェアに対し通過可能な方法で実行される。
【0029】 ファイアウォール18のこれらの特徴は、好ましくは米国特許第5,835,
726号及び第5,606,668号に前述されたように実施される。しかしな
がら、ゲートウェイ16に入ることを認可される前に、全てのパケットにファイ
アウォール18を通過させることは、ファイアウォール18上に多大な計算上の
負荷を生じる。それゆえ、本発明により、ゲートウェイ16は、ファイアウォー
ル18よりも前にパケットを受信し、好ましくは保護されたネットワーク12に
直接接続された、プレ・フィルタリング・モジュール30を特徴とする。また、
プレ・フィルタリング・モジュール30は好ましくは、保護されたネットワーク
12に入ることを認可されたパケットに関して、ファイアウォール18から通知
を受信する。これらの通知は、前に受信され、関連したパケットが保護されたネ
ットワーク12に入ることを認可された場合、現在のパケットもまた、保護され
たネットワーク12に入ることを認可されるように、さらに好ましくは、1つあ
るいはそれ以上の、前に受信され、関連するパケットの解析からファイアウォー
ル18によって決定される。従って、プレ・フィルタリング・モジュール30が
、現在のパケットが入ることは認可されると決定する場合、プレ・フィルタリン
グ・モジュール30は好ましくはそのパケットを直接、保護されたネットワーク
12へパスする。
【0030】 プレ・フィルタリング・モジュール30の操作効率を増加させるために、好ま
しくは、プレ・フィルタリング・モジュール30は各パケットの限定された解析
しか実行することができない。明確には、さらに好ましくは、各パケットの1部
分のみがプレ・フィルタリング・モジュール30によって解析される。最も好ま
しくは、プレ・フィルタリング・モジュール30は、各パケットを単純な比較に
関してのみ解析する。“単純な比較”によって、情報は、1つあるいはそれ以上
の前もって定められたパラメータの前もって定められたパターンと比較される該
パラメータによって引き出されることが意図される。
【0031】 特に好ましい単純な比較の例において、パケットはプレ・フィルタリング・モ
ジュール30が、そのパケットが認可されたデータ転送から受信されたかどうか
決定することができるまで、ただ解析されるのみである。このような認可された
送信は、接続を開始するソース・ノード(例えば外部ネットワーク14)から、
接続を受理する宛先ノード(例えば保護されたノード20)との間の接続と称さ
れる。ひとたび接続が確立されると、ソース・ノードと宛先の間の接続は随意で
双方向になる。
【0032】 パケット解析に関して、“接続”は、データ送信をパケットが属するところに
表示する、少なくとも1つの、好ましくは複数のパラメータによって決定される
。これらのパラメータの例は、これに限定されないが、ソース・アドレス及びパ
ケットのポート、宛先アドレス及びパケットのポート、及びパケットのプロトコ
ル及びパケットがそこから受信されるインタフェースを含む。接続はパケットを
分類するために、及びパケットが保護されたネットワーク12に入る、あるいは
そこから出ることを認可されたかどうか決定するために用いられる。
【0033】 ファイアウォール18は、1つあるいはそれ以上の前に受信され調べられたパ
ケットの解析から各接続を決定する。ファイアウォール18は、このようなパケ
ット(複数可)の内容を検査し、規則ベース26を伴った解析モジュール24の
出力に基づいて、対応する接続からのパケットが保護されたネットワーク12に
入ること、及び/又はそこから出ることが認可されるかどうかを決定する。さら
に、規則ベース26中の格納された規則から、解析モジュール24は、接続と関
連付けられる1つあるいはそれ以上のアクションを決定することができる。この
ようなアクションの例はこれらに限定されないが、パケット中のデータ量を計算
するための計算アクション、パケットの暗号化/暗号解読、及びアドレス・フィ
ールドの再書き込みによるネットワーク・アドレス転送(NAT)の実行等を含
む。パケットを変更するための好ましい例は、ファイアウォール18の通知に従
って、プレ・フィルタリング・モジュール30により、優先番号をパケットに割
り当てることによって、パケットをマークすることである。この優先番号は、パ
ケットの転送の順番を決定し、したがって“優先順位”を決定する。
【0034】 ファイアウォール18は、少なくともパケットが保護されたネットワーク12
に入ることが認可されたかどうかについて関連する通知をパスし、さらに好まし
くはこのアクションは、この接続からプレ・フィルタリング・モジュール30へ
、その後に続くパケットに対しても取られるべきである。
【0035】 随意に、及び好ましくは、プレ・フィルタリング・モジュール30は対なりす
まし方法を実行する。プレ・フィルタリング・モジュール30は随意で複数のネ
ットワークに接続されるので、パケットはこれらのいかなるネットワークからも
やって来る。対なりすまし方法は、あるネットワークから来たと示されるIPパ
ケットが、本当にそのネットワークから到着したかどうか決定する。プレ・フィ
ルタリング・モジュール30は、どのネットワークがどのインタフェースに接続
されているか認識しているので、プレ・フィルタリング・モジュール30は、特
定のインタフェースから受信されたパケットが認可されるかどうか決定すること
ができる。
【0036】 プレ・フィルタリング・モジュール30等のアクセラレータに於ける対なりす
まし方法を実施する最も容易な方法は、ネットワーク・インタフェースをプレ・
フィルタリング・モジュール30にとって利用可能な接続情報の部分とみなす情
報を包含することである。このように、もしパケットが認可されたソース・ノー
ドから発生し、許可された宛先へ送られ、予想されたインタフェースをとおり辿
り着いたとするならば、パケットは、プレ・フィルタリング・モジュール30に
よって処理されることになる。代替的及び選択的に、例え唯一インタフェースが
正確ではなくても、プレ・フィルタリング・モジュール30は、有効性のために
ファイアウォール18によって更に検査される侵害をパケットが表示することを
決定することができる。本発明の範疇で考え出され、プレ・フィルタリング・モ
ジュール30のために格納された通知部分としてインタフェースに関する情報を
含有しない対なりすまし方法を実施する他の方法が存在する。
【0037】 図2に示されたプレ・フィルタリング・モジュール30の好ましい実施形態に
於いて、プレ・フィルタリング・モジュール30は、ハードウェア中若しくはソ
フトウェアとして純粋というよりもむしろ少なくともファームウェア中で具現化
される。ハードウェアの有利性は、要求された働きを実行するためのソフトウェ
アよりもかなり高速なことである。図2の略ブロック図は、構造的というよりも
むしろ理論を基礎としたプレ・フィルタリング・モジュール30の構成要素の説
明図である。例えば、構成要素間の物理的接続は特定はしないが、例えば全ての
構成要素を位置付けるPCIバス上でもよい。選択的には、構成要素は、例えば
、内部及び/又は外部バスのどのようなタイプとも実質的に接続されることがで
きる。
【0038】 この実施にとって、プレ・フィルタリング・モジュール30は「デバイス」と
して、好ましくはメモリ36を特徴付けるものとして、詳述される。プレ・フィ
ルタリング・モジュール30は、ファイアウォール18から関連性の通知を格納
するための、メモリ36に格納される接続データベース32を特徴付ける。接続
データベース32は、接続を定義するために要求されたパケットの少なくとも1
つのパラメータ若しくは複数のパラメータを格納し、しかも、該接続からのパケ
ットでの実行される少なくとも1つのアクションを好ましく格納する。
【0039】 プレ・フィルタリング・モジュール30はまた、パケットからの情報を少なく
とも部分的に解析するため及び接続データベース32からの情報を復元するため
に、データ・プロセッサを包含する分類エンジン38を好ましく特徴付ける。プ
レ・フィルタリング・モジュール30はまた、前に記載されたとして接続データ
ベース32の中に好ましく格納され、該接続からのパケットのための関連される
1つのアクション若しくは複数のアクションを実行するために、変更子34を好
ましく特徴付ける。
【0040】 プレ・フィルタリング・モジュール30はまた選択的に且つ好ましくは、少な
くとも1つのパケットに関して確かな選択された情報をファイアウォール18に
通信する。選択された情報は、パケットを解析するために前に記述されたパラメ
ータを、特に限定はされないが、少なくとも1つ包含している。プレ・フィルタ
リング・モジュール30及びファイアウォール18間の通信は、複数の実施形態
の1つによると、選択的に及び好ましくは実行される。第1実施形態に於いて、
プレ・フィルタリング・モジュール30は、1つの状態若しくはイベント・ドリ
ブン実施中に於いて、そのような情報の受信上でファイアウォール18に活動的
に知らせる。第2実施形態に於いて、代替的に、ファイアウォール18は、ポー
リング実施に於いて、プレ・フィルタリング・モジュール30を疑う。例えば、
ポーリングは、選択的に、時間の特定間隔が過ぎ去った後、若しくは、代替的に
、そのような情報、例えば、システム管理者からの情報のためにユーザの疑いに
従って実施される。
【0041】 加えて、プレ・フィルタリング・モジュール30はまた、物理的ネットワーク
(図示せず)からのパケットを送信及び受信するためのハードウェアであるMA
C(メディア・アクセス制御)40として示めされた、ネットワーク・インタフ
ェースの少なくとも1つ更に好ましくは複数を特徴付ける。更に好ましくは、プ
レ・フィルタリング・モジュール30は、パケットをファイアウォール(図示せ
ず)に送信すること及びファイアウォール(図示せず)からのパケットを受信す
ることのためのファイアウォール・インタフェース42を特徴とする。
【0042】 操作の流れは次に示されることが好ましい。パケットは、「MAC1番」と名
付けられたMAC40から選択的に受信され、そして分類エンジン38へ送られ
る。メモリ36中にあるデータベース32から復元された情報及び通知の助けを
借りて、それから分類エンジン38はそれぞれのパケットに於ける情報の少なく
とも一部分を解析し、更にパケットが許可されているかどうか決定する。もしパ
ケットが許可されていれば、そうなるとファイアウォール(図示せず)からの少
なくとも1つの通知に従って任意改修が変更子34へ送られる。例えば、改修が
必要なければ、そうなれば少なくとも1つの関連性のある通知がファイアウォー
ルから送信される。
【0043】 ファイアウォールは、選択的に、パケットが送信される例えばMAC40等の
インタフェースを決定する。しかしながら、ファイアウォールがパケットを特定
のインタフェースへ送信させるためにプレ・フィルタリング・モジュール30へ
通知することができるのだが、もし経路指定が支持されていれば、そうなればそ
のような経路指定はパケットの経路を決めるために使用されるがファイアウォー
ル(図示せず)からの通知は使用しないことを注意されたし。
【0044】 代替的に、パケットは、選択的に及び好ましくファイアウォールへ転送される
。更に代替的には、以下により詳しく述べられる幾つかの環境下に於いて、選択
的に同じように解析され、ファイアウォール・インタフェース42から受信され
たパケットに関して特にドロップされる。IPパケットではありえないパケット
をドロップすることを避けるために、選択的に及び好ましくは、1つ若しくはそ
れ以上の「デフォルト」パケットとみなす情報をデータベース32へ格納する、
例えばもしそのような情報がデータベース32へ格納されなければ、パケットは
「不認可である」として定義される。そのようなデフォルト・パケット型の1つ
の例はARP(アドレス解決プロトコル)パケットである。
【0045】 図2に於けるプレ・フィルタリング・モジュール30の実施に関して参照する
、パケットは、選択的に、例えばMAC40のような外部ソースからプレ・フィ
ルタリング・モジュール30へ到達するか、代替的にファイアウォール・インタ
フェース42から受信される。もしパケットがファイアウォール・インタフェー
ス42から受信されれば、ファイアウォールそれ自体によってそれが生じる、若
しくは代替的に、ホストのIPスタックによって転送若しくは発生させられる。
それ故、選択的に更に好ましくはファイアウォール・インタフェース42を通り
受信されたそのようなパケットのために、プレ・フィルタリング・モジュール3
0は、もしパケットが認可されていなければ、ファイアウォールへそれらを転送
するよりもむしろ、そのようなパケットをドロップさせることができる。このよ
うにして、プレ・フィルタリング・モジュール30によってパケットをドロップ
する若しくは転送するかどうかの決定は、選択的に及び好ましくパケットが受信
されるためにとおるインタフェースに従って少なくとも部分的に実行される。
【0046】 勿論、プレ・フィルタリング・モジュール30の別の実施は可能であり且つ本
発明の範囲内で考慮される。
【0047】 図3は、本発明を操作するための初歩的な方法のフローチャートである。ステ
ップ1では、パケットが、プレ・フィルタリング・モジュールによって受信され
る。ステップ2では、パケットの少なくとも1つのパラメータが、プレ・フィル
タリング・モジュールによって修復される。ステップ3では、少なくとも1つの
パラメータが、好ましくはそのような既知の接続の表に於ける探索を実行するこ
とによって、既知の接続を試験するために使用される。
【0048】 ステップ4aでは、パケットのための入場が発見されれば、そうなるとこの接
続の間に定義される1つのアクション若しくは複数のアクションが、プレ・フィ
ルタリング・モジュールによって実行される。ステップ5aでは、パケットがそ
の宛先へ転送する。もしパケットがあるセッション制御フィールド値、例えばIP
ネットワーク上で転送されたパケットのための一連のSYN/FIN/RSTフラッグなど
、を有すれば、そのようなパケットは操作によってファイアウォールへ好ましく
転送される場合に於いて、ステップ4a及び5aは実行されない。そのようなセ
ッション制御フィールド値は接続状態についての情報を運ぶパケットを暗示して
おり、且つ、接続の状態を決定するために、それ故ファイアウォールが受信及び
解析することは重要である。
【0049】 選択的に、もしプレ・フィルタリング・モジュールがある機能、例えばIPネッ
トワーク及び特にTCP/IPトラヒックでの本発明の好ましい実施形態のための事実
上のフラグメンテーション解消など、を実行できない壊れたパケットもまたファ
イアウォールへ転送される。仮想フラグメンテーション解消は、IPパケットが膨
大になりすぎて送ることができなくなった後実行され、そしてそれ故フラグメン
トと呼ばれる複数のより小さいパケットへ分割される。仮想フラグメンテーショ
ン解消は、受信されたフラグメントの全てを元の大きなパケットへ再組立てされ
ることによるプロセスである。
【0050】 フラグメントを試みることができる攻撃の様々な種類を防御するために、好ま
しくは本発明のプレ・フィルタリング・モジュール、しかし代替的にファイアウ
ォールが、二重のパケット・フラグメントをドロップさせる。言い換えれば、も
し前に受信されたフラグメントが再度受信されれば、フラグメントはドロップさ
れる。
【0051】 再度図3のフローチャートへ話を戻せば、代替的に、ステップ4bでは、もし
パケットための入場が接続の表に於いて発見されれば、パケットは、操作に於い
てファイアウォールへ転送される。ステップ5bでは、もしファイアウォールが
パケットが属する接続が認可されれば、そしてファイアウォールが選択的に、メ
ッセージをプレ・フィルタリング・モジュールへ新しい接続に関する必要な情報
を伴い送信される。そのようなメッセージは好ましくは、新しい接続を識別する
鍵、アドレス・コード変換に関する情報及び選択的にコード化に関する情報、パ
ケットそれ自体の変更を含むプロセスである両方を含む。新しい接続を認識する
ための鍵は、ソースIPアドレスとポート、宛先IPアドレスとポート、プロトコル
・フィールドと選択的にパケットが受信されると予想されるインタフェースなど
の情報を、対なりすまし保護のために好ましくは含んでいる。アドレス・コード
変換の情報は、コード変換されたソースIPアドレスとポート、宛先IPアドレスと
ポートを含んでいる。
【0052】 本発明の好ましい実施形態に従って、一度ファイアウォールがこのメッセージ
をプレ・フィルタリング・モジュールへ送信すると、接続は、ファイアウォール
がもはやこの接続の間にパケットは受信されない、つまり、プレ・フィルタリン
グ・モジュールへ「オフロードされる」。好ましくは、ファイアウォールは、あ
るセッション制御フィールド値を有するパケットがこの接続の間に受信されるま
で、つまりセッションが終了することを意図するのだが、さらなるパケットを受
信することはあり得ない。例えば、IPネットワークに於いてそのような値は一連
のFIN/RSTフラッグを有することを含んでいる。
【0053】 更に好ましくは、タイムアウトが、パケットがあるタイム期間内に特定の接続
の間は受信されない時、起こる。ファイアウォールはオフロードされた接続の間
にパケットを見ることはないので、ファイアウォールは、接続の間にパケットが
受信される最新の時間についてプレ・フィルタリング・モジュールを疑う。受信
された応答に従って、ファイアウォールは、接続を保持するか削除するか決定す
る。もしファイアウォールが接続を削除すれば、接続は、プレ・フィルタリング
・モジュールの表から好ましく削除される。
【0054】 本発明の他の好ましい実施形態に従って、ファイアウォールは、通常間隔でプ
レ・フィルタリング・モジュールから更新されるアカウント情報を受信する。こ
の情報は、選択的であり且つ好ましくは、ファイアウォールがプレ・フィルタリ
ング・モジュールを調査させることによるよりむしろ、プレ・フィルタリング・
モジュールによってファイアウォールへと押される。アカウント情報が更新され
た最新の時刻及びパケットがこの特定の接続の間にプレ・フィルタリング・モジ
ュールによって受信された最新の時刻から特定の接続の間にプレ・フィルタリン
グ・モジュールによって受信されたパケット及びバイト数をアカウント情報は好
ましくは含んでいる。この情報は、そしてプレ・フィルタリング・モジュール内
でリセットされる。選択的に且つ更に好ましくは、もしプレ・フィルタリング・
モジュールが接続を削除すれば、そうなればプレ・フィルタリング・モジュール
はこの接続についての最新のアカウント情報をファイアウォールへと押し出す。
【0055】 上述した内容は、例として従事させたのみであること、及び多くの他の実施形
態が本発明の意思と範囲の中で可能であることが深く考慮されるべきである。
【図面の簡単な説明】
【図1】 本発明に沿ったシステムの、略ブロック図である。
【図2】 本発明に沿った図1のプレ・フィルタリング・モジュールの典型的な実施の形
態の略ブロック図である。
【図3】 本発明に沿った典型的な方法のフローチャートである。
【手続補正書】特許協力条約第34条補正の翻訳文提出書
【提出日】平成13年12月7日(2001.12.7)
【手続補正1】
【補正対象書類名】明細書
【補正対象項目名】特許請求の範囲
【補正方法】変更
【補正の内容】
【特許請求の範囲】
───────────────────────────────────────────────────── フロントページの続き (81)指定国 EP(AT,BE,CH,CY, DE,DK,ES,FI,FR,GB,GR,IE,I T,LU,MC,NL,PT,SE,TR),OA(BF ,BJ,CF,CG,CI,CM,GA,GN,GW, ML,MR,NE,SN,TD,TG),AP(GH,G M,KE,LS,MW,MZ,SD,SL,SZ,TZ ,UG,ZW),EA(AM,AZ,BY,KG,KZ, MD,RU,TJ,TM),AE,AG,AL,AM, AT,AU,AZ,BA,BB,BG,BR,BY,B Z,CA,CH,CN,CR,CU,CZ,DE,DK ,DM,DZ,EE,ES,FI,GB,GD,GE, GH,GM,HR,HU,ID,IL,IN,IS,J P,KE,KG,KP,KR,KZ,LC,LK,LR ,LS,LT,LU,LV,MA,MD,MG,MK, MN,MW,MX,MZ,NO,NZ,PL,PT,R O,RU,SD,SE,SG,SI,SK,SL,TJ ,TM,TR,TT,TZ,UA,UG,US,UZ, VN,YU,ZA,ZW Fターム(参考) 5K030 GA01 GA15 HA08 HD03 HD06 LC13

Claims (30)

    【特許請求の範囲】
  1. 【請求項1】 パケット・フィルタリングを高速化するためのシステムであっ
    て、 (a)パケットを転送するためのソース・ノード、 (b)前記パケットを受信するための、宛先ノード、 (c)少なくとも1つの規則に従ったパケット・フィルタリングを実行するた
    めの前記ソース・ノードと前記宛先ノードとの間に置かれるファイアウォール、 (d)前記ファイアウォールから前記少なくとも1つの通知を受信し前記ファ
    イアウォールよりも先に前記パケットを受信するために、もし前記パケットが少
    なくとも1つの通知に従って認可されるならば前記プレ・フィルタリング・モジ
    ュールが前記パケットを処理するように、もしくは前記プレ・フィルタリング・
    モジュールが前記パケットを前記ファイアウォールに対し処理するために転送す
    るように、前記ファイアウォールと通信を行うプレ・フィルタリング・モジュー
    ル、 からなるシステム。
  2. 【請求項2】 前記少なくとも1つの通知が、認可された接続を識別するため
    の前記パケットの少なくとも1つのパラメータを含むように、またもし前記接続
    が認可されるならば前記プレ・フィルタリング・モジュールが前記パケットを処
    理するように、前記ソース・ノードと前記宛先ノードとの間のパケット転送が接
    続を形成し、前記ファイアウォールは、前記接続が認可されたかどうかを決定す
    ることを特徴とする、請求項1記載のシステム。
  3. 【請求項3】 前記ファイアウォールは、もし前記パケットが選択されたセッ
    ション制御フィールド値を有していれば、パケットを前記プレ・フィルタリング
    ・モジュールからの前記認可された接続から受信することを特徴とする、請求項
    2記載のシステム。
  4. 【請求項4】 前記認可された接続を認識するための、前記少なくとも1つの
    パラメータが前記パケットのためのソース・アドレス及び宛先アドレスを含むこ
    とを特徴とする、請求項2記載のシステム。
  5. 【請求項5】 前記認可された接続を認識するための前記少なくとも1つのパ
    ラメータが、更に前記パケットのためにソース・ポート及び宛先ポートを含むこ
    とを特徴とする、請求項4記載のシステム。
  6. 【請求項6】 予め決めていた時間後、もし追加のパケットが前記認可された
    接続のために受信されていないならば、前記接続は前記ファイアウォールによっ
    て削除されることを特徴とする、請求項2記載のシステム。
  7. 【請求項7】 もし接続状態の情報を示す特定のセッション制御フィールド値
    を備えたパケットが前記認可された接続のために受信されたなら、前記パケット
    は前記ファイアウォールに転送されることを特徴とする、請求項2記載のシステ
    ム。
  8. 【請求項8】 前記プレ・フィルタリング・モジュールがさらに、 (i)前記認可された接続を認識するための前記パケットの前記少なくとも1つ
    のパラメータを格納するための接続データベースからなることを特徴とする、請
    求項2記載のシステム。
  9. 【請求項9】 前記プレ・フィルタリング・モジュールがさらに、 (ii)前記パケットの少なくとも1つの部分を解析して、前記パケットの前記少
    なくとも一部分と前記少なくとも1つのパラメータを比較するための分類エンジ
    ンからなることを特徴とする、請求項8記載のシステム。
  10. 【請求項10】 前記プレ・フィルタリング・モジュールが更に、 (iii)もし前記パケットが前記認可された接続から受信されるなら、少なくと
    も1つのアクションを前記パケット上で実行するための変更子であって、前記少
    なくとも1つのアクションは前記ファイアウォールからの通知に従って決定され
    るところの変更子、 からなることを特徴とする、請求項8記載のシステム。
  11. 【請求項11】 前記プレ・フィルタリング・モジュールがハードウェア・デ
    バイスとして実施されることを特徴とする、請求項10記載のシステム。
  12. 【請求項12】 (e)前記ソース・ノードと前記宛先ノード間に置かれる計算デバイスであっ
    て、この前記計算デバイスによって前記プレ・フィルタリング・モジュール及び
    前記ファイアウォールが作動する前記計算デバイス、 から更になる、請求項10記載のシステム。
  13. 【請求項13】 (a)少なくとも1つの規則に従って、パケット上でパケットのフィルタリン
    グを実行するためのネットワーク上に設置されたファイアウォール、 (b)単純な比較を決定する少なくとも1つの通知を前記ファイアウォールか
    ら受信するため、及び前記ファイアウォールよりも前にネットワーク上に送られ
    るパケットを受信するために、もしパケットが前記単純な比較に従って認可され
    るなら、前記プレ・フィルタリング・モジュールが少なくともパケットをネット
    ワーク上で送るように、ネットワーク上に設置され、前記ファイアウォールと通
    信状態にあるプレ・フィルタリング・モジュール、 からなるネットワーク上の、パケットの高速化されたフィルタリングのための
    システム。
  14. 【請求項14】 パケットが認可されない場合に、もしパケットがネットワー
    クから受信されるなら、前記プレ・フィルタリング・モジュールが処理のために
    そのパケットを前記プレ・フィルタリング・モジュールへ転送し、あるいは、も
    しパケットが前記ファイアウォールから受信されるなら、そのパケットをドロッ
    プすることを特徴とする、請求項13記載のシステム。
  15. 【請求項15】 (c)パケットを送るためのソース・ノード、及び (d)パケットを受信するための宛先ノード、 から更になり、前記少なくとも1つの通知が認可された接続を識別するための
    パケットの少なくとも1つのパラメータを含むように、又もしもし前記接続が認
    可されるなら前記プレ・フィルタリング・モジュールが少なくともパケットをネ
    ットワーク上で送るように、前記ソース・ノードと前記宛先ノード間でのパケッ
    ト送信が接続を形成し、前記ファイアウォールは前記接続が認可されるかどうか
    を決定することを特徴とする、請求項13記載のシステム。
  16. 【請求項16】 もし前記接続が認可された接続ではないなら、前記プレ・フ
    ィルタリング・モジュールがパケットをドロップすることを特徴とする、請求項
    15記載のシステム。
  17. 【請求項17】 パケットを送るためのネットワーク、及びパケットのフィル
    タリングのためのネットワーク上のファイアウォールを特徴とし、高速化された
    パケットのフィルタ処理のためのシステムにおける使用のためのデバイスであっ
    て、 (a)ファイアウォールからのパケットの少なくとも1つのパラメータを解析
    するための、前記パケットを確認するための前記少なくとも1つのパラメータを
    含む、少なくとも1つの通知を格納するためのメモリ;及び、 (b)パケットの少なくとも一部分を解析するため、及び前記少なくとも1つ
    の通知に従って、前記少なくとも1つのパラメータと、パケットの前記少なくと
    も一部分とを比較するための前記分類エンジン; からなることを特徴とする、ファイアウォールよりも前にパケットを受信する
    ための前記デバイス。
  18. 【請求項18】 (c)もしそのパケットが認可されているならばパケット上で少なくとも1つ
    のアクションを実行するための変更子であって、前記少なくとも1つのアクショ
    ンはファイアウォールからの前記少なくとも1つの通知に従って定義されるとこ
    ろの変更子、 から更になることを特徴とする、請求項17記載のデバイス。
  19. 【請求項19】 ファイアウォールと関連する、ネットワーク上での高速化さ
    れたパケットのフィルタ処理のための方法であって、 (a)ファイアウォールよりも前にパケットを受信するためのプレ・フィルタ
    リング・モジュールを提供するステップ; (b)前記プレ・フィルタリング・モジュールに従って前記パケットを受信す
    るステップ; (c)前記パケットが認可されるかどうか決定するステップ;及び、 (d)もし前記パケットが認可されるなら、前記プレ・フィルタリング・モジ
    ュールによって前記パケットを処理するステップ: からなる方法。
  20. 【請求項20】 あるいは、前記パケットをファイアウォールへ転送するステップ(e)、 から更になる、請求項19記載の方法。
  21. 【請求項21】 もし前記パケットがネットワークから受信されるなら、ステ
    ップ(e)が実行されることを特徴とする、請求項20記載の方法。
  22. 【請求項22】 もし前記パケットがファイアウォールから受信されるなら、
    前記パケットをドロップすることを特徴とする、請求項21記載の方法。
  23. 【請求項23】 ステップ(d)が優先番号を有する前記パケットをマーキン
    グするステップを含むことを特徴とする、請求項19記載の方法。
  24. 【請求項24】 もしパケットが複数のフラグメントとして受信されるなら、
    ステップ(d)は、フラグメントが二重のフラグメントであるかどうか決定する
    ステップを含み、もしフラグメントが二重のフラグメントであるなら更に、 (e)前記二重のフラグメントをドロップするステップ を含むことを特徴とする、請求項19記載の方法。
  25. 【請求項25】 ステップ(c)はファイアウォールからの受信された少なく
    とも1つの通知に従って決定されることを特徴とする、請求項19記載の方法。
  26. 【請求項26】 前記パケットが宛先アドレスを有することを特徴とすると共
    に、ステップ(d)が前記パケットを前記宛先アドレスへ転送するステップを含
    むことを特徴とする、請求項25記載の方法。
  27. 【請求項27】 ステップ(d)は前記プレ・フィルタリング・モジュールに
    よって前記パケット上に於ける少なくとも1つのアクションを実行するステップ
    を含み、前記少なくとも1つのアクションは、ファイアウォールからの通知に従
    って決定されることを特徴とする、請求項26記載の方法。
  28. 【請求項28】 前記パケットが少なくとも1つのパラメータを特徴付け、ス
    テップ(c)が前記少なくとも1つのパラメータを復元する前記パケットを解析
    するステップを含むように、前記少なくとも1つの通知が前記少なくとも1つの
    パラメータに従って認可されたパケットとして前記パケットを識別することを特
    徴とする、請求項25記載の方法。
  29. 【請求項29】 ファイアウォールが、前記プレ・フィルタリング・モジュー
    ルへ認可された接続として前記接続を識別するための前記ソース・アドレス及び
    前記宛先アドレスを前記少なくとも1つの通知として送信するように、ファイア
    ウォールは、前記少なくとも1つの前に受信されたパケットの少なくともソース
    ・アドレス及び宛先アドレスに従って少なくとも1つの前に受信されたパケット
    を分類し、前記ソース・アドレス及び前記宛先アドレスはお互いに接続を形成す
    ることを特徴とする、請求項28記載の方法。
  30. 【請求項30】 前記パケットが前記認可されたインタフェースを通り前記認
    可された接続から受信される場合にのみ前記パケットが認可されるように、ステ
    ップ(c)は前記パケットが認可された接続及び認可されたインタフェースから
    受信されるかどうか決定するステップを含むように、ネットワークは複数のイン
    タフェースと通信すると共に前記プレ・フィルタリング・モジュールは前記複数
    のインタフェースと夫々に接続されていることを特徴とする、請求項29記載の
    方法。
JP2001563973A 2000-03-02 2001-02-26 迅速なパケット・フィルタリング及びパケット・プロセシングのためのシステム、デバイス及び方法 Expired - Lifetime JP3954385B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US09/517,276 US6496935B1 (en) 2000-03-02 2000-03-02 System, device and method for rapid packet filtering and processing
US09/517,276 2000-03-02
PCT/US2001/005925 WO2001065343A1 (en) 2000-03-02 2001-02-26 System, device and method for rapid packet filtering and processing

Publications (3)

Publication Number Publication Date
JP2003525557A true JP2003525557A (ja) 2003-08-26
JP2003525557A5 JP2003525557A5 (ja) 2006-10-12
JP3954385B2 JP3954385B2 (ja) 2007-08-08

Family

ID=24059131

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001563973A Expired - Lifetime JP3954385B2 (ja) 2000-03-02 2001-02-26 迅速なパケット・フィルタリング及びパケット・プロセシングのためのシステム、デバイス及び方法

Country Status (17)

Country Link
US (1) US6496935B1 (ja)
EP (1) EP1266277B1 (ja)
JP (1) JP3954385B2 (ja)
KR (1) KR20020092972A (ja)
CN (1) CN100474213C (ja)
AT (1) ATE312463T1 (ja)
AU (2) AU4171701A (ja)
BR (1) BR0109035A (ja)
CA (1) CA2401577C (ja)
DE (1) DE60115615T2 (ja)
EA (1) EA004423B1 (ja)
HU (1) HUP0300039A2 (ja)
IL (2) IL151522A0 (ja)
NO (1) NO324958B1 (ja)
NZ (1) NZ520984A (ja)
PL (1) PL357181A1 (ja)
WO (1) WO2001065343A1 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007251906A (ja) * 2006-03-20 2007-09-27 Fujitsu Ltd フレーム中継装置及びフレーム検査装置
JP2009207094A (ja) * 2008-02-29 2009-09-10 Nec Corp リモートアクセスシステム、方法及びプログラム
JP2009278635A (ja) * 2002-05-01 2009-11-26 Firebridge Systems Pty Ltd ステートフル・インスペクションを備えるファイアウォール

Families Citing this family (192)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7089588B2 (en) * 2000-01-19 2006-08-08 Reynolds And Reynolds Holdings, Inc. Performance path method and apparatus for exchanging data among systems using different data formats
US6854063B1 (en) * 2000-03-03 2005-02-08 Cisco Technology, Inc. Method and apparatus for optimizing firewall processing
US6732209B1 (en) * 2000-03-28 2004-05-04 Juniper Networks, Inc. Data rate division among a plurality of input queues
DE10025929B4 (de) * 2000-05-26 2006-02-16 Harman Becker Automotive Systems (Becker Division) Gmbh Verfahren zum Übertragen von Daten
US7120931B1 (en) * 2000-08-31 2006-10-10 Cisco Technology, Inc. System and method for generating filters based on analyzed flow data
US8250357B2 (en) 2000-09-13 2012-08-21 Fortinet, Inc. Tunnel interface for securing traffic over a network
US7111072B1 (en) 2000-09-13 2006-09-19 Cosine Communications, Inc. Packet routing system and method
US7487232B1 (en) 2000-09-13 2009-02-03 Fortinet, Inc. Switch management system and method
US7389358B1 (en) * 2000-09-13 2008-06-17 Fortinet, Inc. Distributed virtual system to support managed, network-based services
US7272643B1 (en) 2000-09-13 2007-09-18 Fortinet, Inc. System and method for managing and provisioning virtual routers
US7574495B1 (en) 2000-09-13 2009-08-11 Fortinet, Inc. System and method for managing interworking communications protocols
US7054930B1 (en) * 2000-10-26 2006-05-30 Cisco Technology, Inc. System and method for propagating filters
US6922786B1 (en) * 2000-10-31 2005-07-26 Nortel Networks Limited Real-time media communications over firewalls using a control protocol
US7131140B1 (en) * 2000-12-29 2006-10-31 Cisco Technology, Inc. Method for protecting a firewall load balancer from a denial of service attack
US6731652B2 (en) * 2001-02-14 2004-05-04 Metro Packet Systems Inc. Dynamic packet processor architecture
ATE324736T1 (de) * 2001-02-20 2006-05-15 Eyeball Networks Inc Verfahren und vorrichtung zur zulassung der datenübertragung über firewalls
US7664119B2 (en) * 2001-03-30 2010-02-16 Intel Corporation Method and apparatus to perform network routing
US7277953B2 (en) * 2001-04-18 2007-10-02 Emc Corporation Integrated procedure for partitioning network data services among multiple subscribers
US6816455B2 (en) * 2001-05-09 2004-11-09 Telecom Italia S.P.A. Dynamic packet filter utilizing session tracking
JP2002358239A (ja) * 2001-06-04 2002-12-13 Fuji Electric Co Ltd 著作権保護システム
US7181547B1 (en) 2001-06-28 2007-02-20 Fortinet, Inc. Identifying nodes in a ring network
US20040001433A1 (en) * 2001-07-18 2004-01-01 Gram Charles Andrew Interactive control of network devices
US7134012B2 (en) * 2001-08-15 2006-11-07 International Business Machines Corporation Methods, systems and computer program products for detecting a spoofed source address in IP datagrams
EP1433066B1 (en) * 2001-09-14 2010-08-11 Nokia Inc. Device and method for packet forwarding
US7409706B1 (en) 2001-10-02 2008-08-05 Cisco Technology, Inc. System and method for providing path protection of computer network traffic
KR100452143B1 (ko) * 2001-10-16 2004-10-08 주식회사 플랜티넷 비대칭 트래픽 흐름 방식을 이용한 웹 필터링 장치 및방법
JP2003242714A (ja) * 2001-10-24 2003-08-29 Fuji Electric Co Ltd 情報記録媒体、その媒体の製造方法、情報処理装置、並びに、著作権管理システム
US9392002B2 (en) * 2002-01-31 2016-07-12 Nokia Technologies Oy System and method of providing virus protection at a gateway
US7216260B2 (en) * 2002-03-27 2007-05-08 International Business Machines Corporation Method, system and program product for dynamically detecting errant data sequences and performing corresponding actions
US7185365B2 (en) * 2002-03-27 2007-02-27 Intel Corporation Security enabled network access control
CN1152531C (zh) * 2002-04-23 2004-06-02 华为技术有限公司 分片报文的网络访问控制方法
US20030200463A1 (en) * 2002-04-23 2003-10-23 Mccabe Alan Jason Inter-autonomous system weighstation
US7120797B2 (en) * 2002-04-24 2006-10-10 Microsoft Corporation Methods for authenticating potential members invited to join a group
US20030212901A1 (en) * 2002-05-13 2003-11-13 Manav Mishra Security enabled network flow control
US7340535B1 (en) * 2002-06-04 2008-03-04 Fortinet, Inc. System and method for controlling routing in a virtual router system
US7161904B2 (en) * 2002-06-04 2007-01-09 Fortinet, Inc. System and method for hierarchical metering in a virtual router based network switch
US7116665B2 (en) * 2002-06-04 2006-10-03 Fortinet, Inc. Methods and systems for a distributed provider edge
US7376125B1 (en) 2002-06-04 2008-05-20 Fortinet, Inc. Service processing switch
US7177311B1 (en) * 2002-06-04 2007-02-13 Fortinet, Inc. System and method for routing traffic through a virtual router-based network switch
US7203192B2 (en) 2002-06-04 2007-04-10 Fortinet, Inc. Network packet steering
US9088494B2 (en) * 2002-06-26 2015-07-21 Avaya Communication Israel Ltd. Packet fragmentation prevention
US7146638B2 (en) * 2002-06-27 2006-12-05 International Business Machines Corporation Firewall protocol providing additional information
US6983323B2 (en) * 2002-08-12 2006-01-03 Tippingpoint Technologies, Inc. Multi-level packet screening with dynamically selected filtering criteria
US7096383B2 (en) 2002-08-29 2006-08-22 Cosine Communications, Inc. System and method for virtual router failover in a network routing system
US20100138909A1 (en) * 2002-09-06 2010-06-03 O2Micro, Inc. Vpn and firewall integrated system
US7315890B2 (en) * 2002-10-02 2008-01-01 Lockheed Martin Corporation System and method for managing access to active devices operably connected to a data network
US7440573B2 (en) * 2002-10-08 2008-10-21 Broadcom Corporation Enterprise wireless local area network switching system
US20040078422A1 (en) * 2002-10-17 2004-04-22 Toomey Christopher Newell Detecting and blocking spoofed Web login pages
US7266120B2 (en) 2002-11-18 2007-09-04 Fortinet, Inc. System and method for hardware accelerated packet multicast in a virtual routing system
TW200412101A (en) * 2002-12-23 2004-07-01 Shaw-Hwa Hwang Directly peer-to peer transmission protocol between two virtual network
MY141160A (en) * 2003-01-13 2010-03-31 Multimedia Glory Sdn Bhd System and method of preventing the transmission of known and unknown electronic content to and from servers or workstations connected to a common network
JP4257151B2 (ja) * 2003-02-28 2009-04-22 富士通株式会社 パケット制御システム、パケット制御装置、パケット中継装置およびパケット制御プログラム
TW200420021A (en) * 2003-03-19 2004-10-01 Etrunk Technologies Inc Network packet routing control device
US7325002B2 (en) * 2003-04-04 2008-01-29 Juniper Networks, Inc. Detection of network security breaches based on analysis of network record logs
US7760729B2 (en) 2003-05-28 2010-07-20 Citrix Systems, Inc. Policy based network address translation
WO2004107130A2 (en) 2003-05-28 2004-12-09 Caymas Systems, Inc. Multilayer access control security system
US7260840B2 (en) * 2003-06-06 2007-08-21 Microsoft Corporation Multi-layer based method for implementing network firewalls
US7509673B2 (en) * 2003-06-06 2009-03-24 Microsoft Corporation Multi-layered firewall architecture
US7308711B2 (en) * 2003-06-06 2007-12-11 Microsoft Corporation Method and framework for integrating a plurality of network policies
US6985920B2 (en) * 2003-06-23 2006-01-10 Protego Networks Inc. Method and system for determining intra-session event correlation across network address translation devices
US20050022017A1 (en) 2003-06-24 2005-01-27 Maufer Thomas A. Data structures and state tracking for network protocol processing
US7620070B1 (en) * 2003-06-24 2009-11-17 Nvidia Corporation Packet processing with re-insertion into network interface circuitry
US7305705B2 (en) * 2003-06-30 2007-12-04 Microsoft Corporation Reducing network configuration complexity with transparent virtual private networks
US20050144290A1 (en) * 2003-08-01 2005-06-30 Rizwan Mallal Arbitrary java logic deployed transparently in a network
US7522594B2 (en) * 2003-08-19 2009-04-21 Eye Ball Networks, Inc. Method and apparatus to permit data transmission to traverse firewalls
US7720095B2 (en) 2003-08-27 2010-05-18 Fortinet, Inc. Heterogeneous media packet bridging
US7464181B2 (en) * 2003-09-11 2008-12-09 International Business Machines Corporation Method for caching lookups based upon TCP traffic flow characteristics
US7594018B2 (en) * 2003-10-10 2009-09-22 Citrix Systems, Inc. Methods and apparatus for providing access to persistent application sessions
US20050100019A1 (en) * 2003-11-10 2005-05-12 Sahita Ravi L. Rule based packet processing engine
US7978716B2 (en) 2003-11-24 2011-07-12 Citrix Systems, Inc. Systems and methods for providing a VPN solution
US7792147B1 (en) * 2004-02-09 2010-09-07 Symantec Corporation Efficient assembly of fragmented network traffic for data security
KR100609170B1 (ko) * 2004-02-13 2006-08-02 엘지엔시스(주) 네트워크 보안 시스템 및 그 동작 방법
US6972226B2 (en) * 2004-03-31 2005-12-06 Infineon Technologies Ag Charge-trapping memory cell array and method for production
US20050268331A1 (en) * 2004-05-25 2005-12-01 Franck Le Extension to the firewall configuration protocols and features
US8739274B2 (en) 2004-06-30 2014-05-27 Citrix Systems, Inc. Method and device for performing integrated caching in a data communication network
US7757074B2 (en) 2004-06-30 2010-07-13 Citrix Application Networking, Llc System and method for establishing a virtual private network
US8495305B2 (en) 2004-06-30 2013-07-23 Citrix Systems, Inc. Method and device for performing caching of dynamically generated objects in a data communication network
EP1771998B1 (en) 2004-07-23 2015-04-15 Citrix Systems, Inc. Systems and methods for optimizing communications between network nodes
KR20070037649A (ko) 2004-07-23 2007-04-05 사이트릭스 시스템스, 인크. 게이트웨이에서 종단으로 패킷을 라우팅하기 위한 방법 및시스템
US7865944B1 (en) * 2004-09-10 2011-01-04 Juniper Networks, Inc. Intercepting GPRS data
GB0420684D0 (en) * 2004-09-17 2004-10-20 Oostendorp Jeroen Platform for intelligent Email distribution
US7499419B2 (en) 2004-09-24 2009-03-03 Fortinet, Inc. Scalable IP-services enabled multicast forwarding with efficient resource utilization
US7748032B2 (en) 2004-09-30 2010-06-29 Citrix Systems, Inc. Method and apparatus for associating tickets in a ticket hierarchy
US7711835B2 (en) 2004-09-30 2010-05-04 Citrix Systems, Inc. Method and apparatus for reducing disclosure of proprietary data in a networked environment
US8613048B2 (en) 2004-09-30 2013-12-17 Citrix Systems, Inc. Method and apparatus for providing authorized remote access to application sessions
KR100624483B1 (ko) * 2004-10-06 2006-09-18 삼성전자주식회사 네트워크에서의 차등 침입탐지 장치 및 방법
US7808904B2 (en) 2004-11-18 2010-10-05 Fortinet, Inc. Method and apparatus for managing subscriber profiles
JP2006174350A (ja) * 2004-12-20 2006-06-29 Fujitsu Ltd 通信装置
US8700695B2 (en) 2004-12-30 2014-04-15 Citrix Systems, Inc. Systems and methods for providing client-side accelerated access to remote applications via TCP pooling
US8549149B2 (en) 2004-12-30 2013-10-01 Citrix Systems, Inc. Systems and methods for providing client-side accelerated access to remote applications via TCP multiplexing
US8954595B2 (en) 2004-12-30 2015-02-10 Citrix Systems, Inc. Systems and methods for providing client-side accelerated access to remote applications via TCP buffering
US8706877B2 (en) 2004-12-30 2014-04-22 Citrix Systems, Inc. Systems and methods for providing client-side dynamic redirection to bypass an intermediary
US7810089B2 (en) 2004-12-30 2010-10-05 Citrix Systems, Inc. Systems and methods for automatic installation and execution of a client-side acceleration program
US8255456B2 (en) 2005-12-30 2012-08-28 Citrix Systems, Inc. System and method for performing flash caching of dynamically generated objects in a data communication network
US8024568B2 (en) 2005-01-28 2011-09-20 Citrix Systems, Inc. Method and system for verification of an endpoint security scan
US7665128B2 (en) 2005-04-08 2010-02-16 At&T Corp. Method and apparatus for reducing firewall rules
US7634584B2 (en) 2005-04-27 2009-12-15 Solarflare Communications, Inc. Packet validation in virtual network interface architecture
US20070097976A1 (en) * 2005-05-20 2007-05-03 Wood George D Suspect traffic redirection
US7881291B2 (en) * 2005-05-26 2011-02-01 Alcatel Lucent Packet classification acceleration using spectral analysis
US8631483B2 (en) * 2005-06-14 2014-01-14 Texas Instruments Incorporated Packet processors and packet filter processes, circuits, devices, and systems
CN100448227C (zh) * 2005-08-30 2008-12-31 杭州华三通信技术有限公司 业务流的识别方法
KR100753815B1 (ko) * 2005-08-31 2007-08-31 한국전자통신연구원 패킷 차단 장치 및 그 방법
US8347373B2 (en) 2007-05-08 2013-01-01 Fortinet, Inc. Content filtering of remote file-system access protocols
CA2632235A1 (en) 2005-12-02 2007-06-07 Citrix Systems, Inc. Method and apparatus for providing authentication credentials from a proxy server to a virtualized computing environment to access a remote resource
JP4545085B2 (ja) * 2005-12-08 2010-09-15 富士通株式会社 ファイアウォール装置
US8730834B2 (en) * 2005-12-23 2014-05-20 General Electric Company Intelligent electronic device with embedded multi-port data packet controller
US8301839B2 (en) 2005-12-30 2012-10-30 Citrix Systems, Inc. System and method for performing granular invalidation of cached dynamically generated objects in a data communication network
US7921184B2 (en) 2005-12-30 2011-04-05 Citrix Systems, Inc. System and method for performing flash crowd caching of dynamically generated objects in a data communication network
US8584226B2 (en) 2006-01-26 2013-11-12 Iorhythm, Inc. Method and apparatus for geographically regulating inbound and outbound network communications
US7606225B2 (en) * 2006-02-06 2009-10-20 Fortinet, Inc. Integrated security switch
US7784086B2 (en) * 2006-03-08 2010-08-24 Panasonic Corporation Method for secure packet identification
US8151323B2 (en) * 2006-04-12 2012-04-03 Citrix Systems, Inc. Systems and methods for providing levels of access and action control via an SSL VPN appliance
US8122492B2 (en) * 2006-04-21 2012-02-21 Microsoft Corporation Integration of social network information and network firewalls
US8079073B2 (en) * 2006-05-05 2011-12-13 Microsoft Corporation Distributed firewall implementation and control
US8176157B2 (en) * 2006-05-18 2012-05-08 Microsoft Corporation Exceptions grouping
US7603333B2 (en) * 2006-06-14 2009-10-13 Microsoft Corporation Delayed policy evaluation
US7865878B2 (en) * 2006-07-31 2011-01-04 Sap Ag Method and apparatus for operating enterprise software from a detachable storage device
US8533846B2 (en) 2006-11-08 2013-09-10 Citrix Systems, Inc. Method and system for dynamically associating access rights with a resource
US7688821B2 (en) * 2006-11-21 2010-03-30 O2Micro International Ltd. Method and apparatus for distributing data packets by using multi-network address translation
US8984620B2 (en) * 2007-07-06 2015-03-17 Cyberoam Technologies Pvt. Ltd. Identity and policy-based network security and management system and method
US10540651B1 (en) * 2007-07-31 2020-01-21 Intuit Inc. Technique for restricting access to information
US8060927B2 (en) * 2007-10-31 2011-11-15 Microsoft Corporation Security state aware firewall
US20090235355A1 (en) * 2008-03-17 2009-09-17 Inventec Corporation Network intrusion protection system
US8336094B2 (en) * 2008-03-27 2012-12-18 Juniper Networks, Inc. Hierarchical firewalls
JP5153480B2 (ja) * 2008-06-27 2013-02-27 三菱電機株式会社 ゲートウェイ装置およびパケットフィルタリング方法
US7908376B2 (en) * 2008-07-31 2011-03-15 Broadcom Corporation Data path acceleration of a network stack
US8769665B2 (en) * 2009-09-29 2014-07-01 Broadcom Corporation IP communication device as firewall between network and computer system
CN105376167A (zh) * 2009-10-28 2016-03-02 惠普公司 分布式分组流检查和处理
US8656492B2 (en) * 2011-05-16 2014-02-18 General Electric Company Systems, methods, and apparatus for network intrusion detection
WO2012163587A1 (en) * 2011-05-31 2012-12-06 Alcatel Lucent Distributed access control across the network firewalls
US8881258B2 (en) * 2011-08-24 2014-11-04 Mcafee, Inc. System, method, and computer program for preventing infections from spreading in a network environment using dynamic application of a firewall policy
US8681794B2 (en) 2011-11-30 2014-03-25 Broadcom Corporation System and method for efficient matching of regular expression patterns across multiple packets
US8724496B2 (en) * 2011-11-30 2014-05-13 Broadcom Corporation System and method for integrating line-rate application recognition in a switch ASIC
US9503327B2 (en) * 2012-07-24 2016-11-22 Nec Corporation Filtering setting support device, filtering setting support method, and medium
KR101563059B1 (ko) * 2012-11-19 2015-10-23 삼성에스디에스 주식회사 안티 멀웨어 시스템 및 안티 멀웨어 시스템에서의 데이터 처리 방법
US9319351B1 (en) * 2012-11-26 2016-04-19 Marvell Israel (M.I.S.L.) Ltd. Mechanism for wire-speed stateful packet inspection in packet processors
US10033693B2 (en) 2013-10-01 2018-07-24 Nicira, Inc. Distributed identity-based firewalls
US9215214B2 (en) 2014-02-20 2015-12-15 Nicira, Inc. Provisioning firewall rules on a firewall enforcing device
US9755981B2 (en) 2014-03-11 2017-09-05 Vmware, Inc. Snooping forwarded packets by a virtual machine
US9384033B2 (en) 2014-03-11 2016-07-05 Vmware, Inc. Large receive offload for virtual machines
US9742682B2 (en) 2014-03-11 2017-08-22 Vmware, Inc. Large receive offload for virtual machines
US9503427B2 (en) 2014-03-31 2016-11-22 Nicira, Inc. Method and apparatus for integrating a service virtual machine
US9215210B2 (en) 2014-03-31 2015-12-15 Nicira, Inc. Migrating firewall connection state for a firewall service virtual machine
US9906494B2 (en) 2014-03-31 2018-02-27 Nicira, Inc. Configuring interactions with a firewall service virtual machine
US9825913B2 (en) 2014-06-04 2017-11-21 Nicira, Inc. Use of stateless marking to speed up stateful firewall rule processing
US9774707B2 (en) 2014-06-04 2017-09-26 Nicira, Inc. Efficient packet classification for dynamic containers
US9729512B2 (en) 2014-06-04 2017-08-08 Nicira, Inc. Use of stateless marking to speed up stateful firewall rule processing
US10110712B2 (en) 2014-06-04 2018-10-23 Nicira, Inc. Efficient packet classification for dynamic containers
WO2015187201A1 (en) * 2014-06-04 2015-12-10 Nicira, Inc. Use of stateless marking to speed up stateful firewall rule processing
US9692698B2 (en) 2014-06-30 2017-06-27 Nicira, Inc. Methods and systems to offload overlay network packet encapsulation to hardware
US9419897B2 (en) 2014-06-30 2016-08-16 Nicira, Inc. Methods and systems for providing multi-tenancy support for Single Root I/O Virtualization
US9692727B2 (en) 2014-12-02 2017-06-27 Nicira, Inc. Context-aware distributed firewall
US9891940B2 (en) 2014-12-29 2018-02-13 Nicira, Inc. Introspection method and apparatus for network access filtering
US9806948B2 (en) 2015-06-30 2017-10-31 Nicira, Inc. Providing firewall rules for workload spread across multiple data centers
US10324746B2 (en) 2015-11-03 2019-06-18 Nicira, Inc. Extended context delivery for context-based authorization
CN112087519A (zh) 2016-04-12 2020-12-15 伽德诺克斯信息技术有限公司 具有被配置为实现安全锁定的相关设备的特别编程的计算系统及其使用方法
US10348685B2 (en) 2016-04-29 2019-07-09 Nicira, Inc. Priority allocation for distributed service rules
US10135727B2 (en) 2016-04-29 2018-11-20 Nicira, Inc. Address grouping for distributed service rules
US11171920B2 (en) 2016-05-01 2021-11-09 Nicira, Inc. Publication of firewall configuration
US11425095B2 (en) 2016-05-01 2022-08-23 Nicira, Inc. Fast ordering of firewall sections and rules
US11258761B2 (en) 2016-06-29 2022-02-22 Nicira, Inc. Self-service firewall configuration
US11082400B2 (en) 2016-06-29 2021-08-03 Nicira, Inc. Firewall configuration versioning
US11115385B1 (en) * 2016-07-27 2021-09-07 Cisco Technology, Inc. Selective offloading of packet flows with flow state management
US10938837B2 (en) 2016-08-30 2021-03-02 Nicira, Inc. Isolated network stack to manage security for virtual machines
US9762619B1 (en) 2016-08-30 2017-09-12 Nicira, Inc. Multi-layer policy definition and enforcement framework for network virtualization
US10193862B2 (en) 2016-11-29 2019-01-29 Vmware, Inc. Security policy analysis based on detecting new network port connections
US10609160B2 (en) 2016-12-06 2020-03-31 Nicira, Inc. Performing context-rich attribute-based services on a host
US11032246B2 (en) 2016-12-22 2021-06-08 Nicira, Inc. Context based firewall services for data message flows for multiple concurrent users on one machine
US10805332B2 (en) 2017-07-25 2020-10-13 Nicira, Inc. Context engine model
US10802858B2 (en) 2016-12-22 2020-10-13 Nicira, Inc. Collecting and processing contextual attributes on a host
US10812451B2 (en) 2016-12-22 2020-10-20 Nicira, Inc. Performing appID based firewall services on a host
US10803173B2 (en) 2016-12-22 2020-10-13 Nicira, Inc. Performing context-rich attribute-based process control services on a host
US10581960B2 (en) 2016-12-22 2020-03-03 Nicira, Inc. Performing context-rich attribute-based load balancing on a host
US10313926B2 (en) 2017-05-31 2019-06-04 Nicira, Inc. Large receive offload (LRO) processing in virtualized computing environments
US10778651B2 (en) 2017-11-15 2020-09-15 Nicira, Inc. Performing context-rich attribute-based encryption on a host
US10802893B2 (en) 2018-01-26 2020-10-13 Nicira, Inc. Performing process control services on endpoint machines
US10862773B2 (en) 2018-01-26 2020-12-08 Nicira, Inc. Performing services on data messages associated with endpoint machines
US11388141B1 (en) * 2018-03-28 2022-07-12 Juniper Networks, Inc Apparatus, system, and method for efficiently filtering packets at network devices
US11310202B2 (en) 2019-03-13 2022-04-19 Vmware, Inc. Sharing of firewall rules among multiple workloads in a hypervisor
US11539718B2 (en) 2020-01-10 2022-12-27 Vmware, Inc. Efficiently performing intrusion detection
US11962518B2 (en) 2020-06-02 2024-04-16 VMware LLC Hardware acceleration techniques using flow selection
US11108728B1 (en) 2020-07-24 2021-08-31 Vmware, Inc. Fast distribution of port identifiers for rule processing
US20220038372A1 (en) * 2020-08-02 2022-02-03 Mellanox Technologies Tlv Ltd. Stateful filtering systems and methods
US11593278B2 (en) 2020-09-28 2023-02-28 Vmware, Inc. Using machine executing on a NIC to access a third party storage not supported by a NIC or host
US20220100432A1 (en) 2020-09-28 2022-03-31 Vmware, Inc. Distributed storage services supported by a nic
US11875172B2 (en) 2020-09-28 2024-01-16 VMware LLC Bare metal computer for booting copies of VM images on multiple computing devices using a smart NIC
US11792134B2 (en) 2020-09-28 2023-10-17 Vmware, Inc. Configuring PNIC to perform flow processing offload using virtual port identifiers
US11636053B2 (en) 2020-09-28 2023-04-25 Vmware, Inc. Emulating a local storage by accessing an external storage through a shared port of a NIC
US11863376B2 (en) 2021-12-22 2024-01-02 Vmware, Inc. Smart NIC leader election
US11928367B2 (en) 2022-06-21 2024-03-12 VMware LLC Logical memory addressing for network devices
US11899594B2 (en) 2022-06-21 2024-02-13 VMware LLC Maintenance of data message classification cache on smart NIC
US11928062B2 (en) 2022-06-21 2024-03-12 VMware LLC Accelerating data message classification with smart NICs

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5400331A (en) * 1993-04-28 1995-03-21 Allen-Bradley Company, Inc. Communication network interface with screeners for incoming messages
US5623601A (en) * 1994-11-18 1997-04-22 Milkway Networks Corporation Apparatus and method for providing a secure gateway for communication and data exchanges between networks
US5802320A (en) * 1995-05-18 1998-09-01 Sun Microsystems, Inc. System for packet filtering of data packets at a computer network interface
US5648965A (en) * 1995-07-07 1997-07-15 Sun Microsystems, Inc. Method and apparatus for dynamic distributed packet tracing and analysis
US5801753A (en) * 1995-08-11 1998-09-01 General Instrument Corporation Of Delaware Method and apparatus for providing an interactive guide to events available on an information network
US6147976A (en) * 1996-06-24 2000-11-14 Cabletron Systems, Inc. Fast network layer packet filter
US5828833A (en) * 1996-08-15 1998-10-27 Electronic Data Systems Corporation Method and system for allowing remote procedure calls through a network firewall
US6119236A (en) * 1996-10-07 2000-09-12 Shipley; Peter M. Intelligent network security device and method
US6073178A (en) * 1996-12-09 2000-06-06 Sun Microsystems, Inc. Method and apparatus for assignment of IP addresses
US5848233A (en) * 1996-12-09 1998-12-08 Sun Microsystems, Inc. Method and apparatus for dynamic packet filter assignment
US6070242A (en) * 1996-12-09 2000-05-30 Sun Microsystems, Inc. Method to activate unregistered systems in a distributed multiserver network environment
US5835727A (en) * 1996-12-09 1998-11-10 Sun Microsystems, Inc. Method and apparatus for controlling access to services within a computer network
US6208651B1 (en) * 1997-06-10 2001-03-27 Cornell Research Foundation, Inc. Method and system for masking the overhead of protocol layering
US6158008A (en) * 1997-10-23 2000-12-05 At&T Wireless Svcs. Inc. Method and apparatus for updating address lists for a packet filter processor
US6092110A (en) * 1997-10-23 2000-07-18 At&T Wireless Svcs. Inc. Apparatus for filtering packets using a dedicated processor
EP1062785A2 (en) * 1998-03-18 2000-12-27 Secure Computing Corporation System and method for controlling interactions between networks
US6092108A (en) * 1998-03-19 2000-07-18 Diplacido; Bruno Dynamic threshold packet filtering of application processor frames
WO2000010297A1 (en) * 1998-08-17 2000-02-24 Vitesse Semiconductor Corporation Packet processing architecture and methods

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009278635A (ja) * 2002-05-01 2009-11-26 Firebridge Systems Pty Ltd ステートフル・インスペクションを備えるファイアウォール
JP2007251906A (ja) * 2006-03-20 2007-09-27 Fujitsu Ltd フレーム中継装置及びフレーム検査装置
JP2009207094A (ja) * 2008-02-29 2009-09-10 Nec Corp リモートアクセスシステム、方法及びプログラム
US8151320B2 (en) 2008-02-29 2012-04-03 Nec Corporation Remote access system, method and program

Also Published As

Publication number Publication date
CA2401577A1 (en) 2001-09-07
AU2001241717B2 (en) 2005-12-22
CN100474213C (zh) 2009-04-01
KR20020092972A (ko) 2002-12-12
JP3954385B2 (ja) 2007-08-08
EA004423B1 (ru) 2004-04-29
BR0109035A (pt) 2003-06-03
IL151522A (en) 2007-12-03
NO20024113L (no) 2002-11-01
PL357181A1 (en) 2004-07-26
EP1266277A1 (en) 2002-12-18
US6496935B1 (en) 2002-12-17
CA2401577C (en) 2007-09-18
EP1266277B1 (en) 2005-12-07
NZ520984A (en) 2003-02-28
NO20024113D0 (no) 2002-08-29
NO324958B1 (no) 2008-01-14
DE60115615T2 (de) 2006-07-06
WO2001065343A1 (en) 2001-09-07
DE60115615D1 (de) 2006-01-12
EP1266277A4 (en) 2003-07-02
HUP0300039A2 (en) 2003-05-28
IL151522A0 (en) 2003-04-10
CN1406351A (zh) 2003-03-26
EA200200814A1 (ru) 2003-02-27
ATE312463T1 (de) 2005-12-15
AU4171701A (en) 2001-09-12

Similar Documents

Publication Publication Date Title
JP2003525557A (ja) 迅速なパケット・フィルタリング及びパケット・プロセシングのためのシステム、デバイス及び方法
US7386889B2 (en) System and method for intrusion prevention in a communications network
AU2001241717A1 (en) System, device and method for rapid packet filtering and processing
DE19741246C2 (de) Vorrichtung und Verfahren zur Erhöhung der Sicherheit in Netzwerken
US8964747B2 (en) System and method for restricting network access using forwarding databases
US7856016B2 (en) Access control method, access control system, and packet communication apparatus
JP4743894B2 (ja) データ・パケットを伝送しながらセキュリティを改良するための方法及び装置
EP1231754B1 (en) Handling information about packet data connections in a security gateway element
JP2002512487A (ja) ネットワークでパケットをフィルタリングするためにデジタル署名を使用する方法および装置
MXPA04005464A (es) Arquitectura de la pared de fuego estratificada.
JP2004362590A (ja) ネットワークファイアウォールを実装するための多層ベースの方法
CN111586025A (zh) 一种基于sdn的sdp安全组实现方法及安全系统
US8336093B2 (en) Abnormal IPSec packet control system using IPSec configuration and session data, and method thereof
EP1574009B1 (en) Systems and apparatuses using identification data in network communication
JP2022554101A (ja) パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体
US11695837B2 (en) Systems and methods for virtual multiplexed connections
JP2004062417A (ja) 認証サーバ装置、サーバ装置、およびゲートウェイ装置
CN1521993A (zh) 网络控制方法和设备
JP2006013732A (ja) ルーティング装置および情報処理装置の認証方法
JP4027213B2 (ja) 侵入検知装置およびその方法
JP2004363915A (ja) DoS攻撃対策システムおよび方法およびプログラム
JP2002537689A (ja) ファイアウォールを通してメッセージを送るデータ通信方法

Legal Events

Date Code Title Description
A529 Written submission of copy of amendment under article 34 pct

Free format text: JAPANESE INTERMEDIATE CODE: A529

Effective date: 20020902

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040219

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20060511

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060517

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060811

A524 Written submission of copy of amendment under article 19 pct

Free format text: JAPANESE INTERMEDIATE CODE: A524

Effective date: 20060811

A524 Written submission of copy of amendment under article 19 pct

Free format text: JAPANESE INTERMEDIATE CODE: A524

Effective date: 20060811

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20061122

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070216

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070216

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20070323

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070418

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070426

R150 Certificate of patent or registration of utility model

Ref document number: 3954385

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110511

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110511

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120511

Year of fee payment: 5

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130511

Year of fee payment: 6

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130511

Year of fee payment: 6

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

EXPY Cancellation because of completion of term