JP2005505175A - L2装置でのレイヤ3/レイヤ7・ファイアウォール実施方法及び装置 - Google Patents

L2装置でのレイヤ3/レイヤ7・ファイアウォール実施方法及び装置 Download PDF

Info

Publication number
JP2005505175A
JP2005505175A JP2003533141A JP2003533141A JP2005505175A JP 2005505175 A JP2005505175 A JP 2005505175A JP 2003533141 A JP2003533141 A JP 2003533141A JP 2003533141 A JP2003533141 A JP 2003533141A JP 2005505175 A JP2005505175 A JP 2005505175A
Authority
JP
Japan
Prior art keywords
packet
layer
zone
packets
controller
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2003533141A
Other languages
English (en)
Other versions
JP4332033B2 (ja
Inventor
ユー ミン マオ,
ロージャー ジャ−イ リアン,
ガンソン ハン,
リー チック チェン,
Original Assignee
ネットスクリーン・テクノロジーズ・インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=25513451&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=JP2005505175(A) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by ネットスクリーン・テクノロジーズ・インコーポレイテッド filed Critical ネットスクリーン・テクノロジーズ・インコーポレイテッド
Publication of JP2005505175A publication Critical patent/JP2005505175A/ja
Application granted granted Critical
Publication of JP4332033B2 publication Critical patent/JP4332033B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

パケット交換通信システムにおいてパケットを転送するための方法及び装置である。受信した各パケットに対して、この受信パケットを検査するかどうかを判定するためのコントローラ(204)と、前記コントローラ(204)によって識別されたパケットをゾーン固有のポリシーを使用して検査しフィルタリングするように動作可能な検査装置(210)と、検査したパケットをL2プロトコルを使用してL2ヘッダ情報にしたがって転送するためのL2コントローラ(230)とを備えるL2装置(106)を含むシステム(100)が提供される。
【選択図】図2a

Description

【背景】
【0001】
本発明は一般にデータルーティングシステムに関し、より詳細にはネットワーク上で安全な通信を提供するための方法及び装置に関する。
【0002】
パケット交換通信システムは、複数のユーザを接続する1つ以上のスイッチ又はルータのネットワークを含む。パケットは、パケット交換通信システムにおける転送の基本単位である。ユーザは個人のユーザ端末か又は別のネットワークである。
【0003】
レイヤ2(L2)スイッチは、データ又は制御情報を含むパケットをあるポートで受信し、そのパケット内に含まれる媒体アクセス接続(MAC)アドレスに基づいて、当該パケットを別のポートにスイッチするスイッチング装置である。従来のL2スイッチは、パケット内に含まれるレイヤ2(L2)ヘッダ情報を評価して特定のパケットのための適切な出力ポートを決定することによって、このスイッチング機能を実行する。L2スイッチは、MACアドレスを出力ポートにマップしたテーブルを含む。MACアドレスが未知の場合(即ち、テーブルに対応するエントリがない場合)、パケット交換通信システムの別のコンポーネントがMACアドレスを認識している(そして当該パケットを送るL2スイッチに情報を戻してテーブルを更新する)ことを期待して、対応するパケットを全ての出力ポートに同報通信する。他の種類のL2装置は、ブリッジを含む。
【0004】
ルータは、データ又は制御情報を含むパケットをあるポートで受信し、そのパケットに含まれる宛先情報に基づいて、当該パケットを宛先への次のホップへとルートするスイッチング装置である。従来のルータは、パケットに含まれるレイヤ3(L3)ヘッダ情報を評価してその特定のパケットのための次のホップを決定することによって、このスイッチング機能を実行する。レイヤ3情報は、パケットの意図する宛先に関連付けられたIPアドレス(及び発信元アドレス)を含む。
【0005】
ユーザを連結するネットワークは、イントラネット、即ちローカルエリアネットワーク(LAN)といった1つ以上のプライベートサーバを接続するネットワークである。或いは、ネットワークはインターネットなどのパブリックネットワークでもよく、そのネットワークではデータパケットは信頼されていない通信リンクを介して渡される。ネットワーク構造は、パブリックネットワークとプライベートネットワークとの組合せを含むことができる。例えば、各端末を有する2つ又はそれより多いLANを、インターネットなどのパブリックネットワークを用いて連結することができる。パブリックネットワークとプライベートネットワークをリンクさせたり異なるネットワークを連結させたりする場合に、データセキュリティの問題が生じることがある。例えばパブリックネットワークとプライベートネットワークとのリンクを含む従来のパケット交換通信システムは典型的に、ネットワークアクセス制御とデータの完全性を保証するためのセキュリティ手段を含む。
【0006】
各パケットのセキュリティを保証するために、パケット交換通信システムは暗号化/解読サービスを含むことができる。信頼されているネットワーク(又はネットワークの一部)を離れる前に各パケットを暗号化し、そのパケットが信頼されていない(例えば、パブリック)ネットワーク(又はその一部)を介して転送される際のデータ損失の可能性が最小になるようにする。宛先又は通信システムの別の信頼されている部分(例えば、宛先の直前のファイアウォール)でパケットを受信すると、このパケットを解読し、引き続いてその意図する宛先へと送る。暗号化及び解読を使用することによって、信頼されていない通信リンクによって分離されているユーザ間に仮想プライベートネットワーク(VPN)を形成することができる。
【0007】
通信システムのパブリック部分を介して転送されるデータのセキュリティに関する問題の他に、プライベートネットワークとパブリックネットワークとのインタフェースに設けられるゲートウェイからの侵入に対して、ネットワークのプライベート部分を保護しなければならない。ファイアウォールは、パブリックネットワークから受信したパケットをスクリーニングするために、パブリックネットワークとプライベートネットワークとの間にインラインで連結できる装置である。ファイアウォールは、ポリシー及びフィルタリング機能を実施するために使用可能な特定の種類のL3/L4装置である。ファイアウォールは、受信パケットの検査、フィルタリング、認証、暗号化、解読、又はその他の方法による操作のために1つ以上のエンジンを含むことができる。従来のファイアウォールは、処理中の所与のパケットの発信元及び宛先に関連付けられたIPアドレスを含むL3及びL4ヘッダ情報を使用する。受信パケットは検査され、その後所与のドメインに関連付けられたポリシーにしたがって送られたりドロップされたりする。
【概要】
【0008】
一態様では、本発明はパケット交換通信システムにおけるL2装置を提供する。このパケット交換通信システムは複数のゾーンを有し、各ゾーンは別々のセキュリティドメインを表し、関連するゾーンを出入りするパケットを検査するために使用する関連するポリシーを有する。L2装置は、第1のセキュリティゾーンに含まれる端末ユニットに連結される少なくとも1つのポートと、第2のセキュリティゾーンに含まれる端末ユニットに連結される少なくとも1つのポートと、受信した各パケットに対して、この受信パケットを別のゾーンへ向けるかどうかを判定するコントローラと、ゾーン固有のポリシーを使用してインターゾーンパケットを検査しフィルタリングするように動作可能なファイアウォールエンジンと、L2スイッチングエンジンとを含む。このL2スイッチングエンジンは、L2装置を通過する全てのイントラゾーンパケットを、MACアドレスと対応するポートのテーブルを使用してポートへと直ちにルートし、ファイアウォールエンジンによる検査後も保持されているインターゾーンパケットのみをポートへとルートするように動作可能である。
【0009】
別の態様では、本発明はパケット交換通信システムにおけるL2装置を提供する。このL2装置は、受信した各パケットに対して、この受信パケットをイントラゾーン又はインターゾーンのどちらに転送するかを判定するためのコントローラと、インターゾーンパケットをゾーン固有のポリシーを使用して検査しフィルタリングするように動作可能なファイアウォールエンジンと、L2装置を通過する全てのイントラゾーンパケットを、MACアドレスと対応するポートのテーブルを使用してポートへと直ちにルートし、ファイアウォールエンジンによる検査後も保持されているインターゾーンパケットのみをポートへとルートするように動作可能なL2スイッチングエンジンとを含む。
【0010】
別の態様では、本発明はパケット交換通信システムにおけるL2装置を提供し、このL2装置は、受信した各パケットに対して、この受信パケットをインターゾーンに転送するかどうかを判定するためのコントローラと、インターゾーンパケットを、L2プロトコルを使用してルートする前に、ゾーン固有のポリシーを使用して検査しフィルタリングするように動作可能なファイアウォールエンジンとを含む。
【0011】
別の態様では、本発明はパケット交換通信システムにおけるL2装置を提供し、このL2装置は、受信した各パケットに対して、この受信パケットをインターゾーンに転送するかどうかを判定するためのコントローラと、インターゾーンパケットを、L2プロトコルを使用してルートする前に、ゾーン固有のポリシーを使用して検査しフィルタリングするように動作可能な検査装置とを含む。
【0012】
別の態様では、本発明はパケット交換通信システムにおけるL2装置を提供し、このL2装置は、受信した各パケットに対して、この受信パケットを検査するかどうかを判定するコントローラと、該コントローラによって識別されたパケットをゾーン固有のポリシーを使用して検査しフィルタリングするように動作可能な検査装置と、検査したパケットを、L2プロトコルを使用してL2ヘッダ情報にしたがって転送するためのL2コントローラとを含む。
【0013】
本発明の態様は、以下の特徴のうちの1つ以上を含むことができる。検査装置は、レイヤ3ファイアウォール装置、レイヤ4ファイアウォール装置及びレイヤ7ファイアウォール装置を含むファイアウォールであり得る。検査装置は、レイヤ2ヘッダ情報以外のレイヤ情報に基づいてフィルタリングするファイアウォールであり得る。コントローラは、セキュリティゾーン間を渡される各パケットを判定することができ、検査装置はインターゾーントラフィックのみを処理する。コントローラは単一のセキュリティゾーンに留まる各パケットを判定することができ、検査装置はイントラゾーンパケットを直ちにルートする。この装置は、所与のパケットのレイヤ2ヘッダのMACアドレスを使用してトラフィックをルートし、そのパケットがルートされる装置の出口を決定することができる。
【0014】
この装置は、検査されるパケットを記憶するための記憶要素と、装置を通過するようにパケットを転送するためのL2コントローラとを含むことができ、このL2コントローラは、所与のパケットを転送するための出口を、この所与のパケット中のその宛先MACアドレスを使用して決定するステップと、MACアドレスと関連する出口ノードのマッピングを含むMACアドレステーブルとを含む。記憶要素は、第1の部分及び第2の部分を含むことができる。第1の部分は、装置を通過するように転送されるパケットを記憶させることができ、第2の部分は検査待ちのパケットを記憶させることができる。この装置は、L2スイッチ又はL2ブリッジであり得る。
【0015】
別の態様では、本発明は通信ネットワークにおいてパケットを転送する方法を提供し、この方法は、L2装置でパケットを受信するステップと、受信パケットをインターゾーンに転送するかどうかを判定するステップと、インターゾーンパケットを、L2プロトコルを使用してルートする前に、ゾーン固有のポリシーを使用して検査しフィルタリングするステップとを含む。
【0016】
別の態様では、本発明は通信ネットワークにおいてパケットを転送する方法を提供し、この方法は、L2装置でパケットを受信するステップと、受信パケットを検査するかどうかを判定するステップと、識別したパケットを、L2プロトコルを使用してL2装置を通過するように転送する前に、ゾーン固有のポリシーを使用して検査しフィルタリングするステップとを含む。
【0017】
別の態様では、本発明は通信ネットワークにおいてパケットをスイッチするための方法を提供し、この方法は、L2装置のインタフェースでパケットを受信するステップと、受信パケットに関連付けられた宛先MACアドレスが既知であるかどうかを判定し、既知でない場合、この受信パケットをL2装置のいずれかのポートに転送せずに所定の時間だけ保持するステップと、未知のMACアドレスを含むプローブパケットを形成するステップと、このプローブパケットを、受信したインタフェースを除く全てのインタフェースに同報通信するステップとを含む。
【0018】
本発明の態様は、以下の特徴のうちの1つ以上を含むことができる。プローブパケットは、IPヘッダに活動時間(TTL)フィールドを含むことができ、この方法は、未知のMACアドレスを有しプローブセルを受信した下流ノードが期限切れのメッセージをL2装置に戻すように、TTLフィールドの値を設定するステップを含むことができる。この方法は、所定の時間の満了後にパケットをドロップするステップを含むことができる。MACアドレスが未知の場合、このパケットをドロップすることができる。この方法は、同報通信インタフェースの1つから応答を受信するステップと、未知だったMACアドレスが応答したインタフェースに関連付けられたことを示すようにテーブルを更新するステップとを含むことができる。
【0019】
別の態様では、本発明は、各ユーザ側に暗号化サービス及び解読サービスを必要とせずに、ユーザ間の安全な通信を提供する方法を提供する。この方法は、第1のユーザ及び第2のユーザを識別するステップと、通信ネットワークにわたって、第1のユーザ及び第2のユーザを2つ又はそれより多いL2装置を介して連結するステップと、第1のユーザと第2のユーザとの通信のための仮想プライベートネットワークを指定するステップとを含む。仮想プライベートネットワークは、ネットワーク上の第1のL2装置と第2のL2装置との間に画成される。この方法は、第1のL2装置又は第2のL2装置のいずれかでパケットを受信するステップと、受信パケットが仮想プライベートネットワークに関連付けられるかどうかを判定するステップと、識別したパケットを、L2プロトコルを使用してL2装置を通過するように転送する前に、ローカルな暗号化サービス及び解読サービスを使用して必要に応じて暗号化及び解読するステップとを含む。
【0020】
本発明の態様は、以下の特徴のうちの1つ以上を含むことができる。判定ステップは、パケットに関連付けられた宛先MACアドレスを使用して仮想プライベートネットワークを識別するステップを含むことができる。
【0021】
別の態様では、本発明は、各ユーザ側に暗号化サービス及び解読サービスを必要とせずに、ユーザ間の安全な通信を提供するための仮想プライベートネットワークを提供する。仮想プライベートネットワークは、通信ネットワークにわたって第1のユーザと第2のユーザとを連結させる第1のL2装置及び第2のL2装置を含み、これら第1のL2装置及び第2のL2装置のそれぞれは、受信パケットが仮想プライベートネットワークに関連付けられるかどうかを判定するスクリーニングメカニズムと、L2プロトコルを使用してL2装置を通過するようにパケットを転送する前に、仮想プライベートネットワークに関連付けられたこのパケットに対して作動する暗号化サービス及び解読サービスとを含む。
【0022】
本発明の態様は、以下の利点のうちの1つ以上を含むことができる。ネットワーク又は端末の構造を変える必要なく、単一の装置内に複数のセキュリティゾーンを形成できるパケット交換通信システムが提供される。各ゾーン間では、端末ユニットは、L2スイッチングや以下に説明するようなレイヤ7までのセキュリティフィルタリングに気づかずに(しかしこの利点は受けている)、他の端末ユニットと通信することができる。L2スイッチ及びファイアウォールの機能性を含むパケット交換通信システムが提供される。パケット交換通信システムは、全てのイントラゾーン通信に対してMACアドレスに基づいて送信/フィルタリングを行うIEEE 802.1Q VLAN L2の従来のスイッチとして作動する。パケット交換通信システムによって、所与のセキュリティゾーン内の多数のポート間のL2スイッチングが可能になる。L2スイッチはまた、TCPステイトフル検査、syn−attack保護、ポリシーベースの制御、負荷分散及び各データストリームに対する他の機能性を含むレイヤ7までのセキュリティファイアウォール保護を、インターゾーン又はイントラゾーントラフィックのために必要に応じて提供する。一実施形態では、多数のIEEE 802.1Q VLANベースのL2透過ドメインを含むようにパケット交換通信システムを構成することができる。ユーザは、それぞれがファイアウォール制御に対して固有のポリシーを有する多数のVLANを形成することができる。さらに、遠隔クライアントをL2ドメインに接続するVPNトンネル機能のための方法が提供される。この方法は、ゾーンにわたる情報の同報通信、及び処理中のMACアドレスが認識されていない場合の1つ以上のセキュリティ制約の侵害に対する保護のために提供される。この方法は、プローブパケットを同報通信して未知のMAC宛先のトポロジー情報を発見するステップを含む。
【0023】
本発明の1つ以上の実施形態の詳細を、添付図面と以下の記述で説明する。本発明の他の特徴、目的及び利点は、この記述及び図面並びに特許請求の範囲から明らかになるであろう。
【0024】
種々の図面において、同一参照符号は同一要素を示す。
【詳細な説明】
【0025】
図1を参照すると、パケット交換通信ネットワーク100は、複数のゾーン104に構成され、1つ以上のスイッチ106によって連結された複数の端末ユニット102を含む。
【0026】
一実施形態では、各端末ユニット102は独立型のコンピュータ(例えば、パーソナルコンピュータ、ラップトップ又はワークステーション)の形態である。或いは、1つ以上の端末ユニットは、パーソナルデジタルアシスタント(PDA)、ウェブパッド、双方向ページャ、携帯電話又は通信若しくは演算環境における他の端末若しくは遠隔装置の形態でもよい。一実施形態では、各端末は別のネットワーク又は端末ユニットのグループ(例えば、LAN又はサーバのプール)へのゲートウェイである。
【0027】
各ゾーン104は、通信システムのセキュリティドメインを表している。各セキュリティドメインは、別々のポリシー、トラフィック監理、アカウンティング並びに管理用の定義及び機能を含むことができる。セキュリティポリシー、トラフィック監理及び他のフィルタリング機能をゾーン間で、またゾーン内で実施することができる。一実施形態では、セキュリティポリシーはゾーン間で実施され、その一方でイントラゾーンの通信はセキュリティの制約を受けない。一実施形態では、ゾーンがオーバーラップしている。ゾーンがオーバーラップしている場合、親ゾーンに関連付けられたポリシーが、1つ以上のサブゾーンに関連付けられたポリシーのスーパーセット(それぞれが全体的なポリシーのサブセットを含む)となることができる。或いは、親ゾーンに関連付けられたポリシーは各サブゾーンのポリシーとは切り離されていて、これと異なるものでもよい。例えば一実施形態では、ゾーンは1つ以上のサブゾーンを含むことができ、各サブゾーンはポリシーの別々のセットを含む。
【0028】
一実施形態では、各ゾーンは物理的境界又は通信システムの他のセグメンテーションに関連付けられる。或いは、特定の端末ユニットをゾーンに割り当てることによって、ビジネス構造におけるグルーピング又はコンビネーションを表してもよい(例えば、ビジネスの組織における種々の機能エンティティを分離するために使用するゾーン)。或いは、ゾーンは物理的境界と特に関係がなくてもよい。各ゾーンの端末ユニット間、及びゾーン内の端末ユニット間の通信は、スイッチ106に関して以下に説明するプロトコルにしたがって制御される。
【0029】
スイッチ106は種々の種類であってよい。一実施形態では、各スイッチ106はレイヤ2(L2)装置として構成され、複数のポートを有する。このポートで通信ネットワークからのパケットを受信し、L2プロトコルにしたがって転送する。各スイッチ106は、受信パケットのスイッチングを決定するために使用する媒体アクセス接続(MAC)テーブルを含む。MACテーブルは、MACアドレスをスイッチ106のポートに関連付ける。パケットは、各スイッチ106のポートに到着すると、所与のパケット内に含まれるL2ヘッダ情報にしたがって処理される。パケットは、MACアドレスに応じてMACテーブルで指定された適切な出力ポートへとスイッチされる。
【0030】
セキュリティドメインの制約を実施するために、1つ以上のスイッチ106が構成される。例えば、1つ以上のスイッチ106をL2ファイアウォール使用可能セキュリティスイッチ(以下「セキュリティスイッチ」とする)として構成する。図2を参照すると、セキュリティスイッチ200は複数のポート202、スイッチ構造220及びL2コントローラ230を含む。各ポート202は、バス206によってセキュリティコントローラ204に連結されている。セキュリティコントローラ204は1つ以上の記憶要素208に連結されている。一実施形態では(図示せず)、各ポート202が別々のセキュリティコントローラ204及び記憶要素208に関連付けられる。或いは、セキュリティコントローラの機能性を、(図示するように)単一の又は少ない数のセキュリティコントローラユニットに結合させることもできる。さらに、全てのポート202に関連付けられたパケットを(図示するように)単一の記憶要素208に記憶させることもできる。セキュリティスイッチ200はまたファイアウォール装置210も含み、このファイアウォール装置はセキュリティバス211によって(各)記憶要素208に連結されている。
【0031】
L2コントローラ230は、L2スイッチングプロトコルをサポートする。パケットは直接処理されるか(例えば、イントラゾーンパケット)又は以下により詳細に説明するように(例えばインターゾーンパケットの場合は)セキュリティスクリーニングの後に処理される。L2コントローラ230には、MACテーブル235が関連付けられる。MACテーブル235は複数のエントリを含み、各エントリはMACアドレスとこれに関連付けられたポート202のインジケータを含む。スイッチ構造220は、記憶要素208から各ポート202へのトラフィックを、バス221を使用してL2コントローラ230の制御下でルートするために使用される。
【0032】
記憶要素208は2つの部分に区分される。第1の部分215は、ポート202から受信した、セキュリティスクリーニングされていないパケットを記憶するために使用される。例えば一実施形態では、同じセキュリティゾーン(例えば、イントラゾーンのトラフィック)の端末ユニットから受信したパケットはセキュリティスクリーニングされない。スクリーニングされないパケットは、直接L2コントローラ230で処理され、L2プロトコルにしたがってMACテーブル235で指定されたポートに送られる。第2の部分217は、ファイアウォール装置210によってスクリーニングされるパケットを記憶するために使用される。
【0033】
セキュリティコントローラ204は、スクリーニングエンジン240を含む。スクリーニングエンジン240は、各ポート202から受信した各パケットを調べ、セキュリティスクリーニングを実行するかどうかを判定する。一実施形態では、スクリーニングエンジン240は各パケットのL2ヘッダを調べ、スクリーニングに基づいてそのパケットを記憶要素208の第1の部分215又は第2の部分217のいずれかに送る。L2ヘッダは宛先MACアドレスを含み、このアドレスはMACテーブル235を使用して装置の出口にマップされる。入口及び出口のそれぞれには、セキュリティゾーン識別子が関連付けられる。セキュリティゾーン識別子は、ポート識別子(id)によって索引が付けられたゾーン識別子のテーブル(図示せず)に記憶させることができる。スクリーニングエンジン240は、処理中のパケットに関連付けられたセキュリティゾーン識別子(処理中のパケットのヘッダの宛先MACアドレスを使用してMACテーブルから出口を識別することによって決定される)と、そのパケットが受信された装置のポートに関連付けられたセキュリティゾーン識別子とを比較する。この比較に基づいて、スクリーニングエンジン240はそのパケットを別のゾーンへ向けるかどうか(即ち、イントラゾーン通信とインターゾーン通信のどちらを構築するか)を判定することができる。
【0034】
パケットのスクリーニングは、各端末ユニットに関する知識の有る無しに関わらず可能である。セキュリティスイッチ200には、ユーザインタフェース(図示せず)と1つ以上のセキュリティゾーンを構築するための関連する管理ツール(図示せず)が関連付けられる。一実施形態では、セキュリティゾーンは受信したパケットのL2ヘッダに含まれる宛先MACアドレスに基づいて決定される。より具体的に言うと、各出口はセキュリティゾーンに割り当てられ、このゾーンに関連付けられたセキュリティゾーン識別子を有することができる。或いは、セキュリティスイッチ200の異なるポートに連結された複数のユーザのためにセキュリティゾーンを形成することもできる。例えば、3つのポートを含むようにセキュリティスイッチ200を構成することができ、そこでは、これらのポートのうちの最初の2つに関連付けられた端末ユニットが第1のゾーンに割り当てられ、第3のポートに関連付けられた端末ユニットが第2のゾーンに割り当てられる。他の構造も可能である。ゾーンの割り当て及び区分を以下により詳細に説明する。ユーザインタフェースによって、管理者又はユーザはセキュリティスイッチ200を構成することができる。複数のセキュリティゾーンを形成し1つ以上のインタフェースを各ゾーンに関連付けるように、セキュリティスイッチ200を構成することができる。そして、パケットがセキュリティスイッチ200を通過したときにこのパケットを検査又はそうでなければスクリーニングするためのポリシーを確立することができる。
【0035】
ファイアウォール装置208は、セキュリティスイッチ200を通るようにパケットをルートする前にパケットスクリーニングを実行するための複数のエンジンを含む。ファイアウォール装置208は、ファイアウォールエンジン270、これに関連するポリシー271、認証エンジン272、暗号化エンジン274、解読エンジン276及びファイアウォールコントローラ278を含む。
【0036】
ファイアウォールコントローラ278は、記憶要素208の第2の部分217からパケットを抽出する。ファイアウォールコントローラ278は、ファイアウォール装置内のパケットの分布と各エンジン間の調整を監督する。各パケットは、1つ以上の考慮すべき事項に基づくポリシーにしたがって評価され処理される。例えば、発信元、宛先又はその両方に基づいてパケットをスクリーニングすることができる。1つ以上のポリシー271をファイアウォールエンジン270で検索して使用することで、パケットを検査する。パケットの検査には、暗号化サービス、解読サービス及び認証サービスも必要になる。暗号化エンジン272、解読エンジン274及び認証エンジン276のうちの1つ以上を、ファイアウォールコントローラ278によって検査プロセスの一部として起動させることができる。さらに、仮想プライベートネットワーク終端サービス、セッションの設定並びに種々の他のトラフィック監理及びセキュリティ関連機能を含めた他のサービスを提供することができる。スクリーニングサービスの例を以下により詳細に説明する。検査の後、パケットを必要に応じてネットワークに送ったりドロップしたりすることができる。一実施形態では、送られるべき(例えば、検査に通った)パケットを必要に応じて準備し(例えば、暗号化し)、そして記憶要素208の第1の部分215へと送る。或いは、パケットを記憶要素208の第2の部分217へと戻し、スクリーニングされたものとしてマークしてもよい。一実施形態では、スクリーニングされたパケットはL2コントローラ230で処理するための待ち行列に送られる。そしてスクリーニングされたパケットはL2コントローラ230で処理され、従来のL2処理プロトコルにしたがって適切な出力ポートへとスイッチされる。
【0037】
複数のセキュリティゾーンを形成するように各セキュリティスイッチ200を構成することができる。例えば、セキュリティスイッチ200を有する通信ネットワークを図2bに示す。通信ネットワークは、3つのゾーンを有するVLAN構造である。セキュリティスイッチ200は、ユーザインタフェースと、各セキュリティゾーンを形成し、ポリシー及び各ゾーンを画成し管理するための他の基準を指定するための管理用制御メカニズムとを含む。セキュリティスイッチ200によって実施されるセキュリティゾーンは、エンドユーザには見えなくてもよい。即ち、セキュリティドメインに関連付けられた全ての動作パラメータの仕様を含めて、セキュリティゾーンをセキュリティスイッチ200に確立することができる。各ゾーンのユーザは、ゾーンの構造に気づかずに他のユーザと従来の方法で通信することができる。例えば、暗号化サービス及び解読サービスを含む仮想プライベートネットワークを、各エンドユーザ側の実際の暗号化及び解読サポートを必要とせずに、ユーザ間で形成することができる(例えば、暗号化サービス及び解読サービスを2人のユーザ間に配置された安全なスイッチに設けることができる)。したがって、システムの管理者は、第1のセキュリティゾーンの遠隔ユーザと第2のセキュリティゾーンの別のユーザとの間に仮想プライベートネットワークを形成することができ、そのネットワークでは、各ユーザはVPNサービスに気づかず、暗号化サービス又は解読サービスをローカルに含める必要がない。一実施形態では、管理者が用意したVPNサービスを同じゾーンの遠隔ユーザに対して指定する。
【0038】
或いは、ユーザがセキュリティ構造に気づき、他のユーザに転送されるパケットにインジケータ(例えば、ゾーン識別子)を含めてもよい。各ユーザは自身のカスタムL2ゾーンと、ネットワークセキュリティ要件のためのインターゾーンポリシーを定義することができる。例えば図2bに示すセキュリティスイッチ200は、v1−trustゾーン、v1−untrustゾーン及びv1−dmzゾーンを含むVLANを表している。V1−trustは、ユーザ291及びユーザ292を含めた2人のユーザを含むゾーンを画成する。V1−untrustは、単一のユーザ293を含むゾーンを画成する。V1−dmzは、ユーザ291、292及び294の3人のユーザを含むゾーンを画成する。これら3つのゾーン間の通信のために、別々のポリシーを実施することができる。例えばユーザ291とユーザ292との間のイントラゾーンの通信には検査は必要ないため、この通信はセキュリティスイッチ200によって従来のL2プロトコルにしたがって処理される。ユーザ291からユーザ293への通信では、V1−trustとV1−untrustとの間の通信のためにセキュリティシステムの設計者(例えば、ユーザ291、292又はこれらユーザの管理者)によって定義された検査プロセスを起動させる。同様に、ユーザ294とユーザ291との間の通信では、V1−dmzとV1−trustとの間の通信のための検査プロセス(例えば、可能性としてはより小さなスクリーン)を起動させる。
【0039】
多数のインタフェースが各ゾーン内で実施可能である。イントラゾーンのトラフィックの場合、セキュリティスイッチ200は、所与のパケットを宛先MACアドレスに基づいて送る典型的なL2ブリッジのように作動する。一実施形態では、イントラゾーンのトラフィックにはファイアウォール保護メカニズムを適用しない。
【0040】
インターゾーンのトラフィックの場合、標準的なファイアウォール検査(上述のようなポリシーの検査、TCPステイトフル検査などを含む)が各入力パケットに対して実行される。全ての場合において、出口インタフェースはそのインタフェースで既に学習済みの宛先MACアドレスによって決定される。
パケットの流れ
【0041】
図3を参照すると、セキュリティスイッチ200によって起動される、パケットを処理するための方法300が示されている。説明するこの方法は、ステップを実行する特定のハードウェア要素を特に参照して構成したものではない。例示的なハードウェア構造は上に示した。しかしながらこの方法を、他の構造を有するL2スイッチで実施することもできる。この方法は、パケットの受信(302)から始まる。パケットは評価されて検査するかどうかを判定する(304)。検査する場合、このパケットを必要に応じて前処理し(305)、1つ以上のポリシーを検索する(306)。パケットの前処理には、解読サービス及び認証サービスが含まれる。ポリシーの検索には、そのパケットが転送されるゾーンの識別が含まれる。ゾーン間を移動するパケットを、セキュリティポリシーを使用して検査することができる。イントラゾーンの通信は検査しなくてもよい。一実施形態では、イントラゾーンの通信に対してポリシーを実行することもできる。ポリシーの検索には、MACテーブルにおける受信パケットのMAC宛先アドレスのMACルックアップを行って、MACアドレスに関連付けられた出口と当然ながらセキュリティゾーンを判定することが含まれる。パケットの入口及び出口に関連付けられたセキュリティゾーンを比較して、パケットを別のゾーンに渡すかどうかを判定する。検査を行うと仮定すると、適切なポリシーが(即ち、入口識別子及び出口識別子並びにそれぞれのセキュリティゾーンに基づいて)検索される。その後パケットを検査する(308)。パケットの検査には、必要に応じてパケットをスクリーニングしたりドロップしたりすることが含まれる。パケットをネットワークに送ろうとする場合(309)、必要に応じて後処理動作を起動する(310)。或いは、パケットはドロップされる(311)。後処理動作には、セッションの設定、暗号化及び他の機能が含まれる。その後、パケットをステップ312から始まる従来のL2プロトコルにしたがって処理する。
【0042】
ステップ312では、パケットは検査に通った状態か又は検査を必要としなかった状態のいずれかである。どちらの場合においても、L2ヘッダ情報が抽出されてパケットに関連付けられたMACアドレスを判定する。MACアドレスのルックアップが実行され(314)、パケットは適切な出力ポートへとルートされる(316)。そして処理が終了する。
【0043】
再度図2を参照して、本発明のハードウェアの一実施形態に関して処理ステップを説明する。パケットはポート202で受信される。各パケットはバス205でセキュリティコントローラ204へと転送され、また該セキュリティコントローラ204を通るようにルートされ、記憶バス209を経て記憶要素208に記憶される。セキュリティコントローラ204は各パケットを評価して検査が必要かどうか判定し、このパケットを記憶装置208の適切な部分へと送る。検査されないパケット(即ち、記憶装置208の第1の部分215に記憶されたパケット)は、L2コントローラ230によって処理される。L2コントローラ230が使用可能になると、パケットが取り出されて処理され、そのパケットが送られるべきポートを決定する。L2コントローラ230はパケットに関連付けられたMACアドレスを評価し、MACテーブル235を使用してルーティングのためにポートを決定する。L2コントローラ230による処理の後、決定された出力ポート202へとルートするために、パケットはスイッチ構造220への適切なリンクへと送られる。
【0044】
検査されるパケットは、セキュリティコントローラ204によって記憶要素208の第2の部分217へと転送される。ファイアウォールエンジン210が使用可能になると、パケットが取り出されて処理され、パケットを検査するのに使用するセキュリティポリシーを決定する。ファイアウォールエンジン270は、パケットに関連付けられたIPアドレスを評価し、必要に応じてトラフィックの制御及び監理機能を実施する。送られるべき(即ち、検査に通った)パケットは、記憶要素208に戻される。その後パケットは、決定された出力ポート202へとルートするために、スイッチ構造220への適切なリンクへと送られる。他のパケットはドロップされるかそうでなければ所与のセキュリティゾーンに対して定義されたポリシーにしたがって処理される。
【0045】
上述したように、ファイアウォール装置210の検査に通った全てのパケット及び検査をする必要のない全てのパケットが、L2コントローラ230によって従来のL2プロトコルにしたがって処理される。一実施形態では、L2コントローラによるパケットの処理をセキュリティゾーンを維持するように変更する。より具体的に言うと、上述のように、従来のL2スイッチは認識されていないMACアドレスを有するパケットを全てのポートに同報通信する。この種の同報通信は、通信ネットワークの所与のゾーンに適した1つ以上のセキュリティポリシーを当然侵害するおそれがある。したがって、一実施形態では、テストパケットを各ポートに同報通信する。テストパケットの同報通信について、図4に関連させてより詳細に説明する。
【0046】
図4を参照すると、L2コントローラによってパケットを処理するための方法400が示されており、この方法は処理されるパケットを受信するステップ(402)を含む。このパケットのMACアドレスを抽出する(404)。抽出されたMACアドレスに対応するエントリをMACアドレステーブルで見つけるチェックを行う(406)。一致するものが見つかった場合(407)、そのパケットを一致したエントリに関連付けられた出力ポートへとルートする(408)。一致するものが見つからなかった場合(410)、そのパケットをドロップする。一実施形態では、一致しなかったMACアドレスに関する情報を受信することを期待して、パケットを所与の時間だけ単に保持する。一致するものが見つからなかった場合、プローブパケットを形成する(412)。プローブパケットは、処理中のパケット(即ち、元の入力パケット)に関連付けられたMACアドレスを含む。一実施形態では、プローブパケットは、1に設定されたIP TTLフィールドを有する「ICMP PING」パケットである。各パケットは、MACアドレスを見つけられなかった入力パケットと同じMACアドレス(L2)と発信元/宛先IP(L3)を含む。次いでプローブパケットを全てのポートに同報通信する(414)。セキュリティ装置のポートのいずれかで応答を受信したかどうかをチェックする(416)。ICMP PINGパケットによって、元の入力パケットを受信し送ることになっていた正しいゲートウェイが、「ICMP TTL期限切れ」のメッセージパケットによってこの装置のL2コントローラに応答する。この期限切れパケットから、システムは受信したMACアドレスに関連付けられた適切な出口/ゾーンを識別することができる。この方法によって、元の入力パケットの情報が漏れないことが保証される。(受信ポートに連結されている装置が識別されたMACアドレスを有するパケットを処理するように構成されていることを示す)応答を受信すると、MACテーブルは、そのMACアドレスを有するエントリ及び応答を受信したポートを示すポート識別子を含むように更新される(418)。そしてこのプロセスは終了する。
【0047】
本発明の多数の実施形態を説明してきた。しかしながら、本発明の趣旨及び範囲を逸脱しない限り、種々の変更を行うことができることが理解されるであろう。例えば、L3レイヤレベルでスクリーニングするという点から、ファイアウォール装置を説明してきた。或いは、レイヤ7(L7)処理まで及びそれを含んでいるレイヤを含む他のレベルで他のスクリーニングを起動させることもできる。したがって、他の実施形態も以下の特許請求の範囲内にある。
【図面の簡単な説明】
【0048】
【図1】L2ファイアウォール使用可能スイッチを含むパケット交換通信システムのブロック図である。
【図2a】L2ファイアウォール使用可能スイッチの概略図である。
【図2b】単一のセキュリティスイッチによって区分された複数のゾーンを含む例示的な通信ネットワークを示す。
【図3】図2aのセキュリティスイッチにおけるパケットの処理方法の流れ図である。
【図4】図2aのセキュリティスイッチにおける未認識パケットの処理方法の流れ図である。

Claims (27)

  1. それぞれが別々のセキュリティドメインを表し、関連するゾーンを出入りするパケットの検査に用いられる関連するポリシーを有する複数のゾーンを有するパケット交換通信システムにおけるレイヤ2装置であって、
    第1のセキュリティゾーンに含まれる端末ユニットに連結される少なくとも1つのポートと、
    第2のセキュリティゾーンに含まれる端末ユニットに連結される少なくとも1つのポートと、
    受信した各パケットに対して、前記受信パケットを別のゾーンへ向けるかどうかを判定するコントローラと、
    インターゾーンパケットをゾーン固有のポリシーを使用して検査しフィルタリングするファイアウォールエンジンと、
    前記レイヤ2装置を通過する全てのイントラゾーンパケットを、MACアドレスと対応するポートのテーブルを使用してポートへと直ちに転送するレイヤ2スイッチングエンジンとを備え、
    前記ファイアウォールエンジンによる検査後も保持されているインターゾーンパケットのみをポートへ転送する、
    レイヤ2装置。
  2. それぞれが別々のセキュリティドメインを表し、関連するゾーンを出入りするパケットの検査に用いられる関連するポリシーを有する複数のゾーンを有するパケット交換通信システムにおけるレイヤ2装置であって、
    受信した各パケットに対して、前記受信パケットをイントラゾーン又はインターゾーンのどちらへ転送するかを判定するコントローラと、
    インターゾーンパケットをゾーン固有のポリシーを使用して検査しフィルタリングするファイアウォールエンジンと、
    レイヤ2スイッチングエンジンとを備え、前記レイヤ2スイッチングエンジンは、
    前記レイヤ2装置を通過する全てのイントラゾーンパケットを、MACアドレスと対応するポートのテーブルを使用してポートへと直ちにルートし、
    前記ファイアウォールエンジンによる検査後も保持されているインターゾーンパケットのみをポートへルートするように動作可能な
    レイヤ2装置。
  3. それぞれが別々のセキュリティドメインを表す複数のゾーンを有するパケット交換通信システムにおけるレイヤ2装置であって、
    受信した各パケットに対して、前記受信パケットをインターゾーンに転送するかどうかを判定するコントローラと、
    インターゾーンパケットを、レイヤ2プロトコルを使用してルートする前に、ゾーン固有のポリシーを使用して検査しフィルタリングするファイアウォールエンジンと、
    を備えるレイヤ2装置。
  4. それぞれが別々のセキュリティドメインを表す複数のゾーンを有するパケット交換通信システムにおけるレイヤ2装置であって、
    受信した各パケットに対して、前記受信パケットをインターゾーンに転送するかどうかを判定するコントローラと、
    インターゾーンパケットを、レイヤ2プロトコルを使用してルートする前に、ゾーン固有のポリシーを使用して検査しフィルタリングする検査装置と、
    を備えるレイヤ2装置。
  5. それぞれが別々のセキュリティドメインを表す複数のゾーンを有するパケット交換通信システムにおけるレイヤ2装置であって、
    受信した各パケットに対して、前記受信パケットを検査するかどうかを判定するコントローラと、
    前記コントローラによって識別されたパケットをゾーン固有のポリシーを使用して検査しフィルタリングする検査装置と、
    検査したパケットを、レイヤ2プロトコルを使用してレイヤ2ヘッダ情報にしたがって転送するレイヤ2コントローラと、
    を備えるレイヤ2装置。
  6. 前記検査装置がファイアウォールである、請求項5記載の装置。
  7. 前記検査装置がレイヤ3ファイアウォール装置である、請求項5記載の装置。
  8. 前記検査装置がレイヤ4ファイアウォール装置である、請求項5記載の装置。
  9. 前記検査装置がレイヤ7ファイアウォール装置である、請求項5記載の装置。
  10. 前記検査装置が、レイヤ2ヘッダ情報以外のレイヤ情報に基づいてフィルタリングするファイアウォールである、請求項5記載の装置。
  11. 前記コントローラはセキュリティゾーン間を渡される各パケットを判定し、前記検査装置はインターゾーントラフィックのみを処理する、請求項5記載の装置。
  12. 前記コントローラは単一のセキュリティゾーンに留まる各パケットを判定し、前記検査装置はイントラゾーンパケットを直ちに転送する、請求項5記載の装置。
  13. 前記装置は、所与のパケットのレイヤ2ヘッダのMACアドレスを使用して、そのパケットを転送する前記装置の出口を決定する、請求項12記載の装置。
  14. 検査されるパケットを記憶する記憶要素と、
    装置を通過するようにパケットを転送するレイヤ2コントローラとをさらに備え、前記レイヤ2コントローラは、
    所与のパケットを転送するための出口を、前記所与のパケット中のその宛先MACアドレスを使用して決定するステップと、
    MACアドレスと関連する出口ノードのマッピングを含むMACアドレステーブルと、
    を含む、請求項5記載の装置。
  15. 前記記憶要素は第1の部分及び第2の部分を含み、前記第1の部分は前記装置を通過するように転送されるパケットを記憶し、前記第2の部分は検査待ちのパケットを記憶する、請求項14記載の装置。
  16. 前記装置がレイヤ2スイッチである、請求項5記載の装置。
  17. 前記装置がレイヤ2ブリッジである、請求項5記載の装置。
  18. それぞれが別々のセキュリティドメインを表す複数のゾーンを含む通信ネットワークにおいてパケットを転送する方法であって、
    レイヤ2装置でパケットを受信するステップと、
    前記受信パケットをインターゾーンに転送するかどうかを判定するステップと、
    インターゾーンパケットを、レイヤ2プロトコルを使用してルートする前に、ゾーン固有のポリシーを使用して検査しフィルタリングするステップと、
    を含む方法。
  19. それぞれが別々のセキュリティドメインを表す複数のゾーンを含む通信ネットワークにおいてパケットを転送する方法であって、
    レイヤ2装置でパケットを受信するステップと、
    前記受信パケットを検査するかどうかを判定するステップと、
    識別したパケットを、レイヤ2プロトコルを使用して前記レイヤ2装置を通過するように転送する前に、ゾーン固有のポリシーを使用して検査しフィルタリングするステップと、
    を含む方法。
  20. それぞれが別々のセキュリティドメインを表す複数のゾーンを含む通信ネットワークにおいてパケットをスイッチする方法であって、
    レイヤ2装置のインタフェースでパケットを受信するステップと、
    前記受信パケットに関連付けられた宛先MACアドレスが既知であるかどうかを判定し、既知でない場合、
    前記受信パケットを前記レイヤ2装置のいずれのポートへも転送せずに所定の時間だけ保持するステップと、
    未知のMACアドレスを含むプローブパケットを形成するステップと、
    前記プローブパケットを、前記受信インタフェースを除く全てのインタフェースに同報通信するステップと、
    を含む方法。
  21. 前記プローブパケットはIPヘッダに活動時間(TTL)フィールドを含み、
    前記方法は、前記未知のMACアドレスを有し前記プローブパケットを受信した下流ノードが期限切れのメッセージを前記レイヤ2装置に戻すように、前記TTLフィールドの値を設定するステップを含む、請求項20記載の方法。
  22. 前記所定の時間の満了後に前記パケットをドロップするステップをさらに含む、請求項20記載の方法。
  23. 前記MACアドレスが未知である場合、前記パケットをドロップする、請求項20記載の方法。
  24. 同報通信インタフェースの1つから応答を受信するステップと、
    未知だったMACアドレスが応答したインタフェースに関連付けられたことを示すようにテーブルを更新するステップとをさらに含む、請求項20記載の方法。
  25. 各ユーザ側に暗号化サービス及び解読サービスを必要とせずに、ユーザ間の安全な通信を提供する方法であって、
    第1のユーザ及び第2のユーザを識別するステップと、
    通信ネットワークにわたって、前記第1のユーザと前記第2のユーザとを2つ以上のレイヤ2装置を介して連結するステップと、
    前記ネットワークの第1のレイヤ2装置と第2のレイヤ2装置との間に画成される、前記第1のユーザと前記第2のユーザとの通信のための仮想プライベートネットワークを指定するステップと、
    前記第1のレイヤ2装置又は前記第2のレイヤ2装置のいずれかでパケットを受信するステップと、
    前記受信パケットが前記仮想プライベートネットワークに関連付けられるかどうかを判定するステップと、
    識別したパケットを、レイヤ2プロトコルを使用して前記レイヤ2装置を通過するように転送する前に、ローカルな暗号化サービス及び解読サービスを使用して必要に応じて暗号化し、また解読するステップとを含む方法。
  26. 前記判定ステップが、前記パケットに関連付けられた宛先MACアドレスを使用して仮想プライベートネットワークを識別するステップを含む、請求項25記載の方法。
  27. 各ユーザ側に暗号化サービス及び解読サービスを必要とせずに、ユーザ間の安全な通信を提供する仮想プライベートネットワークであって、
    通信ネットワークにわたって第1のユーザと第2のユーザとを連結する第1のレイヤ2装置及び第2のレイヤ2装置を備え、前記第1のレイヤ2装置及び第2のレイヤ2装置のそれぞれは、
    受信パケットが前記仮想プライベートネットワークに関連付けられるかどうかを判定するスクリーニングメカニズムと、
    レイヤ2プロトコルを使用して前記レイヤ2装置を通過するようにパケットを転送する前に、前記仮想プライベートネットワークに関連付けられたこのパケットに対して作動する暗号化サービス及び解読サービスと、を含む
    仮想プライベートネットワーク。
JP2003533141A 2001-09-28 2002-09-26 L2装置でのレイヤ3/レイヤ7・ファイアウォール実施方法及び装置 Expired - Lifetime JP4332033B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US09/967,878 US7302700B2 (en) 2001-09-28 2001-09-28 Method and apparatus for implementing a layer 3/layer 7 firewall in an L2 device
PCT/US2002/030835 WO2003030004A1 (en) 2001-09-28 2002-09-26 Method and apparatus for implementing a layer 3/layer 7 firewall in an l2 device

Publications (2)

Publication Number Publication Date
JP2005505175A true JP2005505175A (ja) 2005-02-17
JP4332033B2 JP4332033B2 (ja) 2009-09-16

Family

ID=25513451

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003533141A Expired - Lifetime JP4332033B2 (ja) 2001-09-28 2002-09-26 L2装置でのレイヤ3/レイヤ7・ファイアウォール実施方法及び装置

Country Status (8)

Country Link
US (5) US7302700B2 (ja)
EP (2) EP1438670B1 (ja)
JP (1) JP4332033B2 (ja)
CN (1) CN100437543C (ja)
AU (1) AU2002327757B2 (ja)
CA (1) CA2461866A1 (ja)
IL (2) IL161112A0 (ja)
WO (1) WO2003030004A1 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007318582A (ja) * 2006-05-29 2007-12-06 Nippon Telegr & Teleph Corp <Ntt> ブリッジ装置
JP2012023591A (ja) * 2010-07-15 2012-02-02 Panasonic Corp ラージスケールnat検出装置、アプリケーション切替装置、ラージスケールnat検出方法およびアプリケーション切替方法
JP2022511404A (ja) * 2018-11-30 2022-01-31 シスコ テクノロジー,インコーポレイテッド 動的なインテントベースのファイアウォール

Families Citing this family (106)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2362482A (en) * 2000-05-15 2001-11-21 Ridgeway Systems & Software Lt Direct slave addressing to indirect slave addressing
GB2365256A (en) 2000-07-28 2002-02-13 Ridgeway Systems & Software Lt Audio-video telephony with port address translation
GB2369746A (en) * 2000-11-30 2002-06-05 Ridgeway Systems & Software Lt Communications system with network address translation
US7437753B2 (en) * 2001-03-01 2008-10-14 Lsi Technologies Israel Ltd. Storage area network (SAN) security
US7302700B2 (en) 2001-09-28 2007-11-27 Juniper Networks, Inc. Method and apparatus for implementing a layer 3/layer 7 firewall in an L2 device
US7571239B2 (en) * 2002-01-08 2009-08-04 Avaya Inc. Credential management and network querying
US20030163692A1 (en) * 2002-01-31 2003-08-28 Brocade Communications Systems, Inc. Network security and applications to the fabric
US8201252B2 (en) * 2002-09-03 2012-06-12 Alcatel Lucent Methods and devices for providing distributed, adaptive IP filtering against distributed denial of service attacks
WO2004047375A1 (en) * 2002-11-15 2004-06-03 Infineon Technologies Ag Reducing the memory requirements of a data switch
US7386889B2 (en) * 2002-11-18 2008-06-10 Trusted Network Technologies, Inc. System and method for intrusion prevention in a communications network
US7591001B2 (en) * 2004-05-14 2009-09-15 Liquidware Labs, Inc. System, apparatuses, methods and computer-readable media for determining the security status of a computer before establishing a network connection
US20060098649A1 (en) * 2004-11-10 2006-05-11 Trusted Network Technologies, Inc. System, apparatuses, methods, and computer-readable media for determining security realm identity before permitting network connection
US7549159B2 (en) * 2004-05-10 2009-06-16 Liquidware Labs, Inc. System, apparatuses, methods and computer-readable media for determining the security status of a computer before establishing connection thereto
US7660980B2 (en) * 2002-11-18 2010-02-09 Liquidware Labs, Inc. Establishing secure TCP/IP communications using embedded IDs
US20040123130A1 (en) * 2002-12-20 2004-06-24 Inrange Technologies Corporation Method and apparatus for distributing and activating security parameters
MY141160A (en) * 2003-01-13 2010-03-31 Multimedia Glory Sdn Bhd System and method of preventing the transmission of known and unknown electronic content to and from servers or workstations connected to a common network
US7697568B1 (en) * 2003-03-03 2010-04-13 Cisco Technology, Inc. Method and system for automatic modem bandwidth detection in a router
US7631351B2 (en) * 2003-04-03 2009-12-08 Commvault Systems, Inc. System and method for performing storage operations through a firewall
US20040210754A1 (en) * 2003-04-16 2004-10-21 Barron Dwight L. Shared security transform device, system and methods
US7562390B1 (en) 2003-05-21 2009-07-14 Foundry Networks, Inc. System and method for ARP anti-spoofing security
US7516487B1 (en) 2003-05-21 2009-04-07 Foundry Networks, Inc. System and method for source IP anti-spoofing security
US7900240B2 (en) * 2003-05-28 2011-03-01 Citrix Systems, Inc. Multilayer access control security system
US20040255154A1 (en) * 2003-06-11 2004-12-16 Foundry Networks, Inc. Multiple tiered network security system, method and apparatus
KR100503422B1 (ko) * 2003-06-13 2005-07-22 한국전자통신연구원 이더넷 스위치, 포트다중화장치 및 방법
US7426577B2 (en) * 2003-06-19 2008-09-16 Avaya Technology Corp. Detection of load balanced links in internet protocol netwoks
US7876772B2 (en) * 2003-08-01 2011-01-25 Foundry Networks, Llc System, method and apparatus for providing multiple access modes in a data communications network
US7735114B2 (en) * 2003-09-04 2010-06-08 Foundry Networks, Inc. Multiple tiered network security system, method and apparatus using dynamic user policy assignment
US7774833B1 (en) * 2003-09-23 2010-08-10 Foundry Networks, Inc. System and method for protecting CPU against remote access attacks
US7606916B1 (en) * 2003-11-10 2009-10-20 Cisco Technology, Inc. Method and apparatus for load balancing within a computer system
US7844731B1 (en) * 2003-11-14 2010-11-30 Symantec Corporation Systems and methods for address spacing in a firewall cluster
US8146148B2 (en) * 2003-11-19 2012-03-27 Cisco Technology, Inc. Tunneled security groups
US8528071B1 (en) 2003-12-05 2013-09-03 Foundry Networks, Llc System and method for flexible authentication in a data communications network
EP1571799B1 (en) * 2004-03-02 2008-11-05 Alcatel Lucent A method to grant access to a data communication network and related device
CN1298141C (zh) * 2004-05-20 2007-01-31 中国科学院软件研究所 实现安全交换网络数据的方法
US7624435B1 (en) * 2004-07-26 2009-11-24 Trend Micro Incorporated Method and apparatus for managing digital assets
US7636841B2 (en) 2004-07-26 2009-12-22 Intercall, Inc. Systems and methods for secure data exchange in a distributed collaborative application
GB2418110B (en) * 2004-09-14 2006-09-06 3Com Corp Method and apparatus for controlling traffic between different entities on a network
US8261337B1 (en) 2004-11-17 2012-09-04 Juniper Networks, Inc. Firewall security between network devices
US8631450B1 (en) * 2004-12-02 2014-01-14 Entropic Communications, Inc. Broadband local area network
JP4381448B2 (ja) * 2005-03-16 2009-12-09 富士通株式会社 Ipネットワークにおけるマルチキャストツリー監視方法およびシステム
US7881325B2 (en) * 2005-04-27 2011-02-01 Cisco Technology, Inc. Load balancing technique implemented in a storage area network
US7647434B2 (en) 2005-05-19 2010-01-12 Cisco Technology, Inc. Technique for in order delivery of traffic across a storage area network
KR100719118B1 (ko) * 2005-10-27 2007-05-17 삼성전자주식회사 특정 영역에서의 디바이스 기능 제한 방법 및 시스템
WO2007055684A2 (en) * 2005-11-09 2007-05-18 Trusted Network Technologies, Inc. Determining security realm identity before permitting network connection
JP4482630B2 (ja) * 2005-11-21 2010-06-16 インターナショナル・ビジネス・マシーンズ・コーポレーション 通信装置および通信方法
US7649875B2 (en) * 2005-12-23 2010-01-19 Beecher Phillip E Networking layer extension
US20070214502A1 (en) * 2006-03-08 2007-09-13 Mcalister Donald K Technique for processing data packets in a communication network
JP4823728B2 (ja) * 2006-03-20 2011-11-24 富士通株式会社 フレーム中継装置及びフレーム検査装置
US9001645B2 (en) * 2006-05-17 2015-04-07 Rajant Corporation System and method for packet delivery backtracking
US7522595B2 (en) * 2006-06-16 2009-04-21 Cisco Technology, Inc. Communicating packets between forwarding contexts using virtual interfaces
US8009566B2 (en) 2006-06-26 2011-08-30 Palo Alto Networks, Inc. Packet classification in a network security device
US8281360B2 (en) * 2006-11-21 2012-10-02 Steven Adams Flewallen Control of communication ports of computing devices using policy-based decisions
US8594085B2 (en) * 2007-04-11 2013-11-26 Palo Alto Networks, Inc. L2/L3 multi-mode switch including policy processing
US8341277B2 (en) * 2007-07-03 2012-12-25 International Business Machines Corporation System and method for connecting closed, secure production network
US8040888B1 (en) * 2007-12-17 2011-10-18 Integrated Device Technology, Inc. Packet switch with port route tables
US8640143B2 (en) * 2008-02-12 2014-01-28 International Business Machines Corporation Method and system for providing preemptive response routing
US8307422B2 (en) * 2008-08-14 2012-11-06 Juniper Networks, Inc. Routing device having integrated MPLS-aware firewall
US8316435B1 (en) * 2008-08-14 2012-11-20 Juniper Networks, Inc. Routing device having integrated MPLS-aware firewall with virtual security system support
US8713627B2 (en) * 2008-08-14 2014-04-29 Juniper Networks, Inc. Scalable security services for multicast in a router having integrated zone-based firewall
US8175101B2 (en) * 2008-08-15 2012-05-08 Raytheon Company Multicasting in a network using neighbor information
US8873556B1 (en) 2008-12-24 2014-10-28 Palo Alto Networks, Inc. Application based packet forwarding
US20100265955A1 (en) * 2009-04-17 2010-10-21 Park Sung I Cross layer routing (xrp) protocol
CN102035821A (zh) * 2009-09-29 2011-04-27 凹凸电子(武汉)有限公司 防火墙/虚拟专用网集成系统以及电路
US8127365B1 (en) 2009-11-16 2012-02-28 Trend Micro Incorporated Origination-based content protection for computer systems
US8424091B1 (en) 2010-01-12 2013-04-16 Trend Micro Incorporated Automatic local detection of computer security threats
JP5382451B2 (ja) 2010-01-29 2014-01-08 日本電気株式会社 フロントエンドシステム、フロントエンド処理方法
US8687649B2 (en) * 2011-03-08 2014-04-01 International Business Machines Corporation Message forwarding toward a source end node in a converged network environment
US9047441B2 (en) 2011-05-24 2015-06-02 Palo Alto Networks, Inc. Malware analysis system
US8695096B1 (en) 2011-05-24 2014-04-08 Palo Alto Networks, Inc. Automatic signature generation for malicious PDF files
US8516241B2 (en) 2011-07-12 2013-08-20 Cisco Technology, Inc. Zone-based firewall policy model for a virtualized data center
US8640251B1 (en) 2011-12-14 2014-01-28 Trend Micro Incorporated Methods and systems for classifying computer documents into confidential levels using log information
US8826452B1 (en) 2012-01-18 2014-09-02 Trend Micro Incorporated Protecting computers against data loss involving screen captures
US9419941B2 (en) * 2012-03-22 2016-08-16 Varmour Networks, Inc. Distributed computer network zone based security architecture
CN103650430B (zh) 2012-06-21 2016-06-22 华为技术有限公司 报文处理方法、装置、主机和网络系统
JP5445626B2 (ja) * 2012-06-25 2014-03-19 横河電機株式会社 ネットワーク管理システム
US9100366B2 (en) * 2012-09-13 2015-08-04 Cisco Technology, Inc. Early policy evaluation of multiphase attributes in high-performance firewalls
US11301514B2 (en) 2013-03-02 2022-04-12 Leon Guzenda System and method to identify islands of nodes within a graph database
US10789294B2 (en) * 2013-03-02 2020-09-29 Leon Guzenda Method and system for performing searches of graphs as represented within an information technology system
US9083732B2 (en) 2013-04-12 2015-07-14 Lenovo Enterprise Solutions (Singapore) Pte. Ltd. Establishing communication between entities in a shared network
US9917849B2 (en) * 2013-05-01 2018-03-13 Fortinet, Inc. Security system for physical or virtual environments
WO2015041706A1 (en) * 2013-09-23 2015-03-26 Mcafee, Inc. Providing a fast path between two entities
US9973472B2 (en) 2015-04-02 2018-05-15 Varmour Networks, Inc. Methods and systems for orchestrating physical and virtual switches to enforce security boundaries
US9560081B1 (en) 2016-06-24 2017-01-31 Varmour Networks, Inc. Data network microsegmentation
US20170006082A1 (en) * 2014-06-03 2017-01-05 Nimit Shishodia Software Defined Networking (SDN) Orchestration by Abstraction
DE102015002574B4 (de) * 2015-02-27 2018-06-21 Audi Ag Kraftfahrzeug- Kommunikationsnetzwerk mit Switchvorrichtung
US9467476B1 (en) 2015-03-13 2016-10-11 Varmour Networks, Inc. Context aware microsegmentation
US9609026B2 (en) 2015-03-13 2017-03-28 Varmour Networks, Inc. Segmented networks that implement scanning
US10178070B2 (en) 2015-03-13 2019-01-08 Varmour Networks, Inc. Methods and systems for providing security to distributed microservices
US9438634B1 (en) 2015-03-13 2016-09-06 Varmour Networks, Inc. Microsegmented networks that implement vulnerability scanning
US9756015B2 (en) * 2015-03-27 2017-09-05 International Business Machines Corporation Creating network isolation between virtual machines
US9525697B2 (en) 2015-04-02 2016-12-20 Varmour Networks, Inc. Delivering security functions to distributed networks
US10171507B2 (en) * 2016-05-19 2019-01-01 Cisco Technology, Inc. Microsegmentation in heterogeneous software defined networking environments
US9892622B2 (en) * 2016-05-27 2018-02-13 At&T Intellectual Property I, L.P. Emergency event virtual network function deployment and configuration
US9787639B1 (en) 2016-06-24 2017-10-10 Varmour Networks, Inc. Granular segmentation using events
US10972437B2 (en) * 2016-08-08 2021-04-06 Talari Networks Incorporated Applications and integrated firewall design in an adaptive private network (APN)
US10298491B2 (en) * 2016-08-25 2019-05-21 Cisco Technology, Inc. Efficient path detection and validation between endpoints in large datacenters
US10645123B1 (en) * 2016-12-28 2020-05-05 Juniper Networks, Inc. Network traffic switching for virtual machines
US10791091B1 (en) * 2018-02-13 2020-09-29 Architecture Technology Corporation High assurance unified network switch
DE102018216959B4 (de) * 2018-10-02 2020-11-12 Continental Automotive Gmbh Verfahren zur Absicherung eines Datenpakets durch eine Vermittlungsstelle in einem Netzwerk, Vermittlungsstelle und Kraftfahrzeug
DE102019210224A1 (de) * 2019-07-10 2021-01-14 Robert Bosch Gmbh Vorrichtung und Verfahren für Angriffserkennung in einem Rechnernetzwerk
US11336694B2 (en) * 2019-08-05 2022-05-17 Cisco Technology, Inc. Scalable security policy architecture with segregated forwarding and security plane and hierarchical classes
CN110830301B (zh) * 2019-11-11 2022-04-22 国网江苏省电力有限公司检修分公司 基于安全加密的电力二次系统站控层拓扑扫描方法及装置
US11343234B2 (en) * 2019-12-10 2022-05-24 Cisco Technology, Inc. Multi-domain extension to cloud security
US11777993B2 (en) 2021-01-30 2023-10-03 Netskope, Inc. Unified system for detecting policy enforcement issues in a cloud-based environment
US11848949B2 (en) * 2021-01-30 2023-12-19 Netskope, Inc. Dynamic distribution of unified policies in a cloud-based policy enforcement system
US11831605B2 (en) * 2021-03-29 2023-11-28 Nokia Solutions And Networks Oy Router firewall

Family Cites Families (66)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH06311161A (ja) 1993-04-23 1994-11-04 Matsushita Electric Works Ltd Lan用ハブ装置
US5485455A (en) * 1994-01-28 1996-01-16 Cabletron Systems, Inc. Network having secure fast packet switching and guaranteed quality of service
US5544322A (en) * 1994-05-09 1996-08-06 International Business Machines Corporation System and method for policy-based inter-realm authentication within a distributed processing system
US5617421A (en) 1994-06-17 1997-04-01 Cisco Systems, Inc. Extended domain computer network using standard links
US5608726A (en) * 1995-04-25 1997-03-04 Cabletron Systems, Inc. Network bridge with multicast forwarding table
US5889953A (en) * 1995-05-25 1999-03-30 Cabletron Systems, Inc. Policy management and conflict resolution in computer networks
US5684800A (en) * 1995-11-15 1997-11-04 Cabletron Systems, Inc. Method for establishing restricted broadcast groups in a switched network
US5781550A (en) 1996-02-02 1998-07-14 Digital Equipment Corporation Transparent and secure network gateway
US5918018A (en) * 1996-02-09 1999-06-29 Secure Computing Corporation System and method for achieving network separation
US5768501A (en) * 1996-05-28 1998-06-16 Cabletron Systems Method and apparatus for inter-domain alarm correlation
US5842040A (en) 1996-06-18 1998-11-24 Storage Technology Corporation Policy caching method and apparatus for use in a communication device based on contents of one data unit in a subset of related data units
CA2214911C (en) 1996-09-11 2001-12-25 Nippon Telegraph And Telephone Corporation Contents transmission control method with user authentication functions and recording medium with the method recorded thereon
US6101170A (en) * 1996-09-27 2000-08-08 Cabletron Systems, Inc. Secure fast packet switch having improved memory utilization
US5708654A (en) * 1996-11-27 1998-01-13 Arndt; Manfred R. Method for detecting proxy ARP replies from devices in a local area network
US5905859A (en) * 1997-01-09 1999-05-18 International Business Machines Corporation Managed network device security method and apparatus
US6591303B1 (en) 1997-03-07 2003-07-08 Sun Microsystems, Inc. Method and apparatus for parallel trunking of interfaces to increase transfer bandwidth
US6301257B1 (en) * 1997-03-19 2001-10-09 Nortel Networks Limited Method and apparatus for transmitting data frames between switches in a meshed data network
US6212558B1 (en) * 1997-04-25 2001-04-03 Anand K. Antur Method and apparatus for configuring and managing firewalls and security devices
US5968176A (en) * 1997-05-29 1999-10-19 3Com Corporation Multilayer firewall system
US6088356A (en) 1997-06-30 2000-07-11 Sun Microsystems, Inc. System and method for a multi-layer network element
US5909686A (en) 1997-06-30 1999-06-01 Sun Microsystems, Inc. Hardware-assisted central processing unit access to a forwarding database
US6049528A (en) 1997-06-30 2000-04-11 Sun Microsystems, Inc. Trunking ethernet-compatible networks
US6775692B1 (en) 1997-07-31 2004-08-10 Cisco Technology, Inc. Proxying and unproxying a connection using a forwarding agent
US6104700A (en) * 1997-08-29 2000-08-15 Extreme Networks Policy based quality of service
US6041058A (en) * 1997-09-11 2000-03-21 3Com Corporation Hardware filtering method and apparatus
US6141749A (en) 1997-09-12 2000-10-31 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with stateful packet filtering
US6154775A (en) 1997-09-12 2000-11-28 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with dynamic rule processing with the ability to dynamically alter the operations of rules
US6170012B1 (en) 1997-09-12 2001-01-02 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with cache query processing
US7143438B1 (en) 1997-09-12 2006-11-28 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with multiple domain support
US6098172A (en) 1997-09-12 2000-08-01 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with proxy reflection
US6131120A (en) 1997-10-24 2000-10-10 Directory Logic, Inc. Enterprise network management directory containing network addresses of users and devices providing access lists to routers and servers
US6172981B1 (en) * 1997-10-30 2001-01-09 International Business Machines Corporation Method and system for distributing network routing functions to local area network stations
US6182226B1 (en) * 1998-03-18 2001-01-30 Secure Computing Corporation System and method for controlling interactions between networks
US6141755A (en) * 1998-04-13 2000-10-31 The United States Of America As Represented By The Director Of The National Security Agency Firewall security apparatus for high-speed circuit switched networks
US6456597B1 (en) * 1998-05-04 2002-09-24 Hewlett Packard Co. Discovery of unknown MAC addresses using load balancing switch protocols
JP4080599B2 (ja) * 1998-06-17 2008-04-23 富士通株式会社 通信制御装置およびマルチキャスト対応lanに適用される通信制御方法
US6233688B1 (en) 1998-06-30 2001-05-15 Sun Microsystems, Inc. Remote access firewall traversal URL
US6430188B1 (en) * 1998-07-08 2002-08-06 Broadcom Corporation Unified table for L2, L3, L4, switching and filtering
US6304973B1 (en) * 1998-08-06 2001-10-16 Cryptek Secure Communications, Llc Multi-level security network system
US6438133B1 (en) * 1998-09-09 2002-08-20 Cisco Technology, Inc. Load balancing mechanism for a translational bridge environment
US6556541B1 (en) * 1999-01-11 2003-04-29 Hewlett-Packard Development Company, L.P. MAC address learning and propagation in load balancing switch protocols
IL128814A (en) * 1999-03-03 2004-09-27 Packet Technologies Ltd Local network security
US7197044B1 (en) 1999-03-17 2007-03-27 Broadcom Corporation Method for managing congestion in a network switch
US7643481B2 (en) 1999-03-17 2010-01-05 Broadcom Corporation Network switch having a programmable counter
US6735169B1 (en) 1999-07-02 2004-05-11 Cisco Technology, Inc. Cascading multiple services on a forwarding agent
US6742045B1 (en) 1999-07-02 2004-05-25 Cisco Technology, Inc. Handling packet fragments in a distributed network service environment
US6549516B1 (en) 1999-07-02 2003-04-15 Cisco Technology, Inc. Sending instructions from a service manager to forwarding agents on a need to know basis
US6970913B1 (en) 1999-07-02 2005-11-29 Cisco Technology, Inc. Load balancing using distributed forwarding agents with application based feedback for different virtual machines
US6704278B1 (en) 1999-07-02 2004-03-09 Cisco Technology, Inc. Stateful failover of service managers
US6606315B1 (en) 1999-07-02 2003-08-12 Cisco Technology, Inc. Synchronizing service instructions among forwarding agents using a service manager
US6633560B1 (en) 1999-07-02 2003-10-14 Cisco Technology, Inc. Distribution of network services among multiple service managers without client involvement
US6650641B1 (en) 1999-07-02 2003-11-18 Cisco Technology, Inc. Network address translation using a forwarding agent
US7051066B1 (en) 1999-07-02 2006-05-23 Cisco Technology, Inc. Integrating service managers into a routing infrastructure using forwarding agents
US6684253B1 (en) * 1999-11-18 2004-01-27 Wachovia Bank, N.A., As Administrative Agent Secure segregation of data of two or more domains or trust realms transmitted through a common data channel
US6754716B1 (en) * 2000-02-11 2004-06-22 Ensim Corporation Restricting communication between network devices on a common network
US7263719B2 (en) * 2000-05-15 2007-08-28 Hewlett-Packard Development Company, L.P. System and method for implementing network security policies on a common network infrastructure
US7031297B1 (en) * 2000-06-15 2006-04-18 Avaya Communication Israel Ltd. Policy enforcement switching
US20020053020A1 (en) * 2000-06-30 2002-05-02 Raytheon Company Secure compartmented mode knowledge management portal
US7047561B1 (en) * 2000-09-28 2006-05-16 Nortel Networks Limited Firewall for real-time internet applications
JP3474548B2 (ja) * 2001-04-09 2003-12-08 アライドテレシス株式会社 集合建築物
US7212534B2 (en) 2001-07-23 2007-05-01 Broadcom Corporation Flow based congestion control
US20030033463A1 (en) 2001-08-10 2003-02-13 Garnett Paul J. Computer system storage
US7302700B2 (en) 2001-09-28 2007-11-27 Juniper Networks, Inc. Method and apparatus for implementing a layer 3/layer 7 firewall in an L2 device
JP2005215935A (ja) * 2004-01-29 2005-08-11 Vodafone Kk ファイアウォール
US7895431B2 (en) 2004-09-10 2011-02-22 Cavium Networks, Inc. Packet queuing, scheduling and ordering
US7535907B2 (en) 2005-04-08 2009-05-19 Oavium Networks, Inc. TCP engine

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007318582A (ja) * 2006-05-29 2007-12-06 Nippon Telegr & Teleph Corp <Ntt> ブリッジ装置
JP2012023591A (ja) * 2010-07-15 2012-02-02 Panasonic Corp ラージスケールnat検出装置、アプリケーション切替装置、ラージスケールnat検出方法およびアプリケーション切替方法
JP2022511404A (ja) * 2018-11-30 2022-01-31 シスコ テクノロジー,インコーポレイテッド 動的なインテントベースのファイアウォール
JP7332689B2 (ja) 2018-11-30 2023-08-23 シスコ テクノロジー,インコーポレイテッド 動的なインテントベースのファイアウォール
US11870755B2 (en) 2018-11-30 2024-01-09 Cisco Technology, Inc. Dynamic intent-based firewall

Also Published As

Publication number Publication date
WO2003030004A1 (en) 2003-04-10
US20140215600A1 (en) 2014-07-31
EP2595357A2 (en) 2013-05-22
AU2002327757B2 (en) 2008-11-06
EP2595357A3 (en) 2014-08-20
IL161112A0 (en) 2004-08-31
EP1438670A1 (en) 2004-07-21
US8689316B2 (en) 2014-04-01
EP1438670B1 (en) 2017-06-14
US7779459B2 (en) 2010-08-17
US20100281533A1 (en) 2010-11-04
CN100437543C (zh) 2008-11-26
JP4332033B2 (ja) 2009-09-16
CA2461866A1 (en) 2003-04-10
US20030065944A1 (en) 2003-04-03
CN1575462A (zh) 2005-02-02
US20130007839A1 (en) 2013-01-03
US9407605B2 (en) 2016-08-02
IL161112A (en) 2010-06-16
US20080034414A1 (en) 2008-02-07
US8291114B2 (en) 2012-10-16
US7302700B2 (en) 2007-11-27
EP2595357B1 (en) 2018-08-29
EP1438670A4 (en) 2010-12-15

Similar Documents

Publication Publication Date Title
JP4332033B2 (ja) L2装置でのレイヤ3/レイヤ7・ファイアウォール実施方法及び装置
AU2002327757A1 (en) Method and apparatus for implementing a layer 3/layer 7 firewall in an L2 device
US10116624B2 (en) Intelligent sorting for N-way secure split tunnel
US7496955B2 (en) Dual mode firewall
US20100100616A1 (en) Method and apparatus for controlling traffic between different entities on a network
US20050257256A1 (en) Firewall load balancing using a single physical device
US20030200463A1 (en) Inter-autonomous system weighstation
US7394756B1 (en) Secure hidden route in a data network
US20040030765A1 (en) Local network natification
US7567522B2 (en) Suppression of router advertisement
Cisco Configuring IP Services
Cisco Introduction to Cisco MPLS VPN Technology
Cisco Network Protocols Configuration Guide, Part 2 Cisco IOS Release 11.3 AppleTalk, Novell IPX
Cisco Introduction to Cisco MPLS VPN Technology
KR20030018018A (ko) 패킷 컨트롤 시스템과 방법
Miroshnichenko Design and configuration of a company network: Case study AstraZeneca Russia
Donohue Ccnp Switch 642-813 Quick Reference
Ee et al. Simplifying Access Control in Enterprise Networks
Jiang et al. Measuring and evaluating the current BGP policy model

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050916

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A712

Effective date: 20050916

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20050916

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20050916

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20080121

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080129

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080430

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20080430

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080630

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080820

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20081021

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20081219

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090609

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090619

R150 Certificate of patent or registration of utility model

Ref document number: 4332033

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120626

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130626

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

EXPY Cancellation because of completion of term