JP2005505175A - L2装置でのレイヤ3/レイヤ7・ファイアウォール実施方法及び装置 - Google Patents
L2装置でのレイヤ3/レイヤ7・ファイアウォール実施方法及び装置 Download PDFInfo
- Publication number
- JP2005505175A JP2005505175A JP2003533141A JP2003533141A JP2005505175A JP 2005505175 A JP2005505175 A JP 2005505175A JP 2003533141 A JP2003533141 A JP 2003533141A JP 2003533141 A JP2003533141 A JP 2003533141A JP 2005505175 A JP2005505175 A JP 2005505175A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- layer
- zone
- packets
- controller
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
【選択図】図2a
Description
【0001】
本発明は一般にデータルーティングシステムに関し、より詳細にはネットワーク上で安全な通信を提供するための方法及び装置に関する。
【0002】
パケット交換通信システムは、複数のユーザを接続する1つ以上のスイッチ又はルータのネットワークを含む。パケットは、パケット交換通信システムにおける転送の基本単位である。ユーザは個人のユーザ端末か又は別のネットワークである。
【0003】
レイヤ2(L2)スイッチは、データ又は制御情報を含むパケットをあるポートで受信し、そのパケット内に含まれる媒体アクセス接続(MAC)アドレスに基づいて、当該パケットを別のポートにスイッチするスイッチング装置である。従来のL2スイッチは、パケット内に含まれるレイヤ2(L2)ヘッダ情報を評価して特定のパケットのための適切な出力ポートを決定することによって、このスイッチング機能を実行する。L2スイッチは、MACアドレスを出力ポートにマップしたテーブルを含む。MACアドレスが未知の場合(即ち、テーブルに対応するエントリがない場合)、パケット交換通信システムの別のコンポーネントがMACアドレスを認識している(そして当該パケットを送るL2スイッチに情報を戻してテーブルを更新する)ことを期待して、対応するパケットを全ての出力ポートに同報通信する。他の種類のL2装置は、ブリッジを含む。
【0004】
ルータは、データ又は制御情報を含むパケットをあるポートで受信し、そのパケットに含まれる宛先情報に基づいて、当該パケットを宛先への次のホップへとルートするスイッチング装置である。従来のルータは、パケットに含まれるレイヤ3(L3)ヘッダ情報を評価してその特定のパケットのための次のホップを決定することによって、このスイッチング機能を実行する。レイヤ3情報は、パケットの意図する宛先に関連付けられたIPアドレス(及び発信元アドレス)を含む。
【0005】
ユーザを連結するネットワークは、イントラネット、即ちローカルエリアネットワーク(LAN)といった1つ以上のプライベートサーバを接続するネットワークである。或いは、ネットワークはインターネットなどのパブリックネットワークでもよく、そのネットワークではデータパケットは信頼されていない通信リンクを介して渡される。ネットワーク構造は、パブリックネットワークとプライベートネットワークとの組合せを含むことができる。例えば、各端末を有する2つ又はそれより多いLANを、インターネットなどのパブリックネットワークを用いて連結することができる。パブリックネットワークとプライベートネットワークをリンクさせたり異なるネットワークを連結させたりする場合に、データセキュリティの問題が生じることがある。例えばパブリックネットワークとプライベートネットワークとのリンクを含む従来のパケット交換通信システムは典型的に、ネットワークアクセス制御とデータの完全性を保証するためのセキュリティ手段を含む。
【0006】
各パケットのセキュリティを保証するために、パケット交換通信システムは暗号化/解読サービスを含むことができる。信頼されているネットワーク(又はネットワークの一部)を離れる前に各パケットを暗号化し、そのパケットが信頼されていない(例えば、パブリック)ネットワーク(又はその一部)を介して転送される際のデータ損失の可能性が最小になるようにする。宛先又は通信システムの別の信頼されている部分(例えば、宛先の直前のファイアウォール)でパケットを受信すると、このパケットを解読し、引き続いてその意図する宛先へと送る。暗号化及び解読を使用することによって、信頼されていない通信リンクによって分離されているユーザ間に仮想プライベートネットワーク(VPN)を形成することができる。
【0007】
通信システムのパブリック部分を介して転送されるデータのセキュリティに関する問題の他に、プライベートネットワークとパブリックネットワークとのインタフェースに設けられるゲートウェイからの侵入に対して、ネットワークのプライベート部分を保護しなければならない。ファイアウォールは、パブリックネットワークから受信したパケットをスクリーニングするために、パブリックネットワークとプライベートネットワークとの間にインラインで連結できる装置である。ファイアウォールは、ポリシー及びフィルタリング機能を実施するために使用可能な特定の種類のL3/L4装置である。ファイアウォールは、受信パケットの検査、フィルタリング、認証、暗号化、解読、又はその他の方法による操作のために1つ以上のエンジンを含むことができる。従来のファイアウォールは、処理中の所与のパケットの発信元及び宛先に関連付けられたIPアドレスを含むL3及びL4ヘッダ情報を使用する。受信パケットは検査され、その後所与のドメインに関連付けられたポリシーにしたがって送られたりドロップされたりする。
【概要】
【0008】
一態様では、本発明はパケット交換通信システムにおけるL2装置を提供する。このパケット交換通信システムは複数のゾーンを有し、各ゾーンは別々のセキュリティドメインを表し、関連するゾーンを出入りするパケットを検査するために使用する関連するポリシーを有する。L2装置は、第1のセキュリティゾーンに含まれる端末ユニットに連結される少なくとも1つのポートと、第2のセキュリティゾーンに含まれる端末ユニットに連結される少なくとも1つのポートと、受信した各パケットに対して、この受信パケットを別のゾーンへ向けるかどうかを判定するコントローラと、ゾーン固有のポリシーを使用してインターゾーンパケットを検査しフィルタリングするように動作可能なファイアウォールエンジンと、L2スイッチングエンジンとを含む。このL2スイッチングエンジンは、L2装置を通過する全てのイントラゾーンパケットを、MACアドレスと対応するポートのテーブルを使用してポートへと直ちにルートし、ファイアウォールエンジンによる検査後も保持されているインターゾーンパケットのみをポートへとルートするように動作可能である。
【0009】
別の態様では、本発明はパケット交換通信システムにおけるL2装置を提供する。このL2装置は、受信した各パケットに対して、この受信パケットをイントラゾーン又はインターゾーンのどちらに転送するかを判定するためのコントローラと、インターゾーンパケットをゾーン固有のポリシーを使用して検査しフィルタリングするように動作可能なファイアウォールエンジンと、L2装置を通過する全てのイントラゾーンパケットを、MACアドレスと対応するポートのテーブルを使用してポートへと直ちにルートし、ファイアウォールエンジンによる検査後も保持されているインターゾーンパケットのみをポートへとルートするように動作可能なL2スイッチングエンジンとを含む。
【0010】
別の態様では、本発明はパケット交換通信システムにおけるL2装置を提供し、このL2装置は、受信した各パケットに対して、この受信パケットをインターゾーンに転送するかどうかを判定するためのコントローラと、インターゾーンパケットを、L2プロトコルを使用してルートする前に、ゾーン固有のポリシーを使用して検査しフィルタリングするように動作可能なファイアウォールエンジンとを含む。
【0011】
別の態様では、本発明はパケット交換通信システムにおけるL2装置を提供し、このL2装置は、受信した各パケットに対して、この受信パケットをインターゾーンに転送するかどうかを判定するためのコントローラと、インターゾーンパケットを、L2プロトコルを使用してルートする前に、ゾーン固有のポリシーを使用して検査しフィルタリングするように動作可能な検査装置とを含む。
【0012】
別の態様では、本発明はパケット交換通信システムにおけるL2装置を提供し、このL2装置は、受信した各パケットに対して、この受信パケットを検査するかどうかを判定するコントローラと、該コントローラによって識別されたパケットをゾーン固有のポリシーを使用して検査しフィルタリングするように動作可能な検査装置と、検査したパケットを、L2プロトコルを使用してL2ヘッダ情報にしたがって転送するためのL2コントローラとを含む。
【0013】
本発明の態様は、以下の特徴のうちの1つ以上を含むことができる。検査装置は、レイヤ3ファイアウォール装置、レイヤ4ファイアウォール装置及びレイヤ7ファイアウォール装置を含むファイアウォールであり得る。検査装置は、レイヤ2ヘッダ情報以外のレイヤ情報に基づいてフィルタリングするファイアウォールであり得る。コントローラは、セキュリティゾーン間を渡される各パケットを判定することができ、検査装置はインターゾーントラフィックのみを処理する。コントローラは単一のセキュリティゾーンに留まる各パケットを判定することができ、検査装置はイントラゾーンパケットを直ちにルートする。この装置は、所与のパケットのレイヤ2ヘッダのMACアドレスを使用してトラフィックをルートし、そのパケットがルートされる装置の出口を決定することができる。
【0014】
この装置は、検査されるパケットを記憶するための記憶要素と、装置を通過するようにパケットを転送するためのL2コントローラとを含むことができ、このL2コントローラは、所与のパケットを転送するための出口を、この所与のパケット中のその宛先MACアドレスを使用して決定するステップと、MACアドレスと関連する出口ノードのマッピングを含むMACアドレステーブルとを含む。記憶要素は、第1の部分及び第2の部分を含むことができる。第1の部分は、装置を通過するように転送されるパケットを記憶させることができ、第2の部分は検査待ちのパケットを記憶させることができる。この装置は、L2スイッチ又はL2ブリッジであり得る。
【0015】
別の態様では、本発明は通信ネットワークにおいてパケットを転送する方法を提供し、この方法は、L2装置でパケットを受信するステップと、受信パケットをインターゾーンに転送するかどうかを判定するステップと、インターゾーンパケットを、L2プロトコルを使用してルートする前に、ゾーン固有のポリシーを使用して検査しフィルタリングするステップとを含む。
【0016】
別の態様では、本発明は通信ネットワークにおいてパケットを転送する方法を提供し、この方法は、L2装置でパケットを受信するステップと、受信パケットを検査するかどうかを判定するステップと、識別したパケットを、L2プロトコルを使用してL2装置を通過するように転送する前に、ゾーン固有のポリシーを使用して検査しフィルタリングするステップとを含む。
【0017】
別の態様では、本発明は通信ネットワークにおいてパケットをスイッチするための方法を提供し、この方法は、L2装置のインタフェースでパケットを受信するステップと、受信パケットに関連付けられた宛先MACアドレスが既知であるかどうかを判定し、既知でない場合、この受信パケットをL2装置のいずれかのポートに転送せずに所定の時間だけ保持するステップと、未知のMACアドレスを含むプローブパケットを形成するステップと、このプローブパケットを、受信したインタフェースを除く全てのインタフェースに同報通信するステップとを含む。
【0018】
本発明の態様は、以下の特徴のうちの1つ以上を含むことができる。プローブパケットは、IPヘッダに活動時間(TTL)フィールドを含むことができ、この方法は、未知のMACアドレスを有しプローブセルを受信した下流ノードが期限切れのメッセージをL2装置に戻すように、TTLフィールドの値を設定するステップを含むことができる。この方法は、所定の時間の満了後にパケットをドロップするステップを含むことができる。MACアドレスが未知の場合、このパケットをドロップすることができる。この方法は、同報通信インタフェースの1つから応答を受信するステップと、未知だったMACアドレスが応答したインタフェースに関連付けられたことを示すようにテーブルを更新するステップとを含むことができる。
【0019】
別の態様では、本発明は、各ユーザ側に暗号化サービス及び解読サービスを必要とせずに、ユーザ間の安全な通信を提供する方法を提供する。この方法は、第1のユーザ及び第2のユーザを識別するステップと、通信ネットワークにわたって、第1のユーザ及び第2のユーザを2つ又はそれより多いL2装置を介して連結するステップと、第1のユーザと第2のユーザとの通信のための仮想プライベートネットワークを指定するステップとを含む。仮想プライベートネットワークは、ネットワーク上の第1のL2装置と第2のL2装置との間に画成される。この方法は、第1のL2装置又は第2のL2装置のいずれかでパケットを受信するステップと、受信パケットが仮想プライベートネットワークに関連付けられるかどうかを判定するステップと、識別したパケットを、L2プロトコルを使用してL2装置を通過するように転送する前に、ローカルな暗号化サービス及び解読サービスを使用して必要に応じて暗号化及び解読するステップとを含む。
【0020】
本発明の態様は、以下の特徴のうちの1つ以上を含むことができる。判定ステップは、パケットに関連付けられた宛先MACアドレスを使用して仮想プライベートネットワークを識別するステップを含むことができる。
【0021】
別の態様では、本発明は、各ユーザ側に暗号化サービス及び解読サービスを必要とせずに、ユーザ間の安全な通信を提供するための仮想プライベートネットワークを提供する。仮想プライベートネットワークは、通信ネットワークにわたって第1のユーザと第2のユーザとを連結させる第1のL2装置及び第2のL2装置を含み、これら第1のL2装置及び第2のL2装置のそれぞれは、受信パケットが仮想プライベートネットワークに関連付けられるかどうかを判定するスクリーニングメカニズムと、L2プロトコルを使用してL2装置を通過するようにパケットを転送する前に、仮想プライベートネットワークに関連付けられたこのパケットに対して作動する暗号化サービス及び解読サービスとを含む。
【0022】
本発明の態様は、以下の利点のうちの1つ以上を含むことができる。ネットワーク又は端末の構造を変える必要なく、単一の装置内に複数のセキュリティゾーンを形成できるパケット交換通信システムが提供される。各ゾーン間では、端末ユニットは、L2スイッチングや以下に説明するようなレイヤ7までのセキュリティフィルタリングに気づかずに(しかしこの利点は受けている)、他の端末ユニットと通信することができる。L2スイッチ及びファイアウォールの機能性を含むパケット交換通信システムが提供される。パケット交換通信システムは、全てのイントラゾーン通信に対してMACアドレスに基づいて送信/フィルタリングを行うIEEE 802.1Q VLAN L2の従来のスイッチとして作動する。パケット交換通信システムによって、所与のセキュリティゾーン内の多数のポート間のL2スイッチングが可能になる。L2スイッチはまた、TCPステイトフル検査、syn−attack保護、ポリシーベースの制御、負荷分散及び各データストリームに対する他の機能性を含むレイヤ7までのセキュリティファイアウォール保護を、インターゾーン又はイントラゾーントラフィックのために必要に応じて提供する。一実施形態では、多数のIEEE 802.1Q VLANベースのL2透過ドメインを含むようにパケット交換通信システムを構成することができる。ユーザは、それぞれがファイアウォール制御に対して固有のポリシーを有する多数のVLANを形成することができる。さらに、遠隔クライアントをL2ドメインに接続するVPNトンネル機能のための方法が提供される。この方法は、ゾーンにわたる情報の同報通信、及び処理中のMACアドレスが認識されていない場合の1つ以上のセキュリティ制約の侵害に対する保護のために提供される。この方法は、プローブパケットを同報通信して未知のMAC宛先のトポロジー情報を発見するステップを含む。
【0023】
本発明の1つ以上の実施形態の詳細を、添付図面と以下の記述で説明する。本発明の他の特徴、目的及び利点は、この記述及び図面並びに特許請求の範囲から明らかになるであろう。
【0024】
種々の図面において、同一参照符号は同一要素を示す。
【詳細な説明】
【0025】
図1を参照すると、パケット交換通信ネットワーク100は、複数のゾーン104に構成され、1つ以上のスイッチ106によって連結された複数の端末ユニット102を含む。
【0026】
一実施形態では、各端末ユニット102は独立型のコンピュータ(例えば、パーソナルコンピュータ、ラップトップ又はワークステーション)の形態である。或いは、1つ以上の端末ユニットは、パーソナルデジタルアシスタント(PDA)、ウェブパッド、双方向ページャ、携帯電話又は通信若しくは演算環境における他の端末若しくは遠隔装置の形態でもよい。一実施形態では、各端末は別のネットワーク又は端末ユニットのグループ(例えば、LAN又はサーバのプール)へのゲートウェイである。
【0027】
各ゾーン104は、通信システムのセキュリティドメインを表している。各セキュリティドメインは、別々のポリシー、トラフィック監理、アカウンティング並びに管理用の定義及び機能を含むことができる。セキュリティポリシー、トラフィック監理及び他のフィルタリング機能をゾーン間で、またゾーン内で実施することができる。一実施形態では、セキュリティポリシーはゾーン間で実施され、その一方でイントラゾーンの通信はセキュリティの制約を受けない。一実施形態では、ゾーンがオーバーラップしている。ゾーンがオーバーラップしている場合、親ゾーンに関連付けられたポリシーが、1つ以上のサブゾーンに関連付けられたポリシーのスーパーセット(それぞれが全体的なポリシーのサブセットを含む)となることができる。或いは、親ゾーンに関連付けられたポリシーは各サブゾーンのポリシーとは切り離されていて、これと異なるものでもよい。例えば一実施形態では、ゾーンは1つ以上のサブゾーンを含むことができ、各サブゾーンはポリシーの別々のセットを含む。
【0028】
一実施形態では、各ゾーンは物理的境界又は通信システムの他のセグメンテーションに関連付けられる。或いは、特定の端末ユニットをゾーンに割り当てることによって、ビジネス構造におけるグルーピング又はコンビネーションを表してもよい(例えば、ビジネスの組織における種々の機能エンティティを分離するために使用するゾーン)。或いは、ゾーンは物理的境界と特に関係がなくてもよい。各ゾーンの端末ユニット間、及びゾーン内の端末ユニット間の通信は、スイッチ106に関して以下に説明するプロトコルにしたがって制御される。
【0029】
スイッチ106は種々の種類であってよい。一実施形態では、各スイッチ106はレイヤ2(L2)装置として構成され、複数のポートを有する。このポートで通信ネットワークからのパケットを受信し、L2プロトコルにしたがって転送する。各スイッチ106は、受信パケットのスイッチングを決定するために使用する媒体アクセス接続(MAC)テーブルを含む。MACテーブルは、MACアドレスをスイッチ106のポートに関連付ける。パケットは、各スイッチ106のポートに到着すると、所与のパケット内に含まれるL2ヘッダ情報にしたがって処理される。パケットは、MACアドレスに応じてMACテーブルで指定された適切な出力ポートへとスイッチされる。
【0030】
セキュリティドメインの制約を実施するために、1つ以上のスイッチ106が構成される。例えば、1つ以上のスイッチ106をL2ファイアウォール使用可能セキュリティスイッチ(以下「セキュリティスイッチ」とする)として構成する。図2を参照すると、セキュリティスイッチ200は複数のポート202、スイッチ構造220及びL2コントローラ230を含む。各ポート202は、バス206によってセキュリティコントローラ204に連結されている。セキュリティコントローラ204は1つ以上の記憶要素208に連結されている。一実施形態では(図示せず)、各ポート202が別々のセキュリティコントローラ204及び記憶要素208に関連付けられる。或いは、セキュリティコントローラの機能性を、(図示するように)単一の又は少ない数のセキュリティコントローラユニットに結合させることもできる。さらに、全てのポート202に関連付けられたパケットを(図示するように)単一の記憶要素208に記憶させることもできる。セキュリティスイッチ200はまたファイアウォール装置210も含み、このファイアウォール装置はセキュリティバス211によって(各)記憶要素208に連結されている。
【0031】
L2コントローラ230は、L2スイッチングプロトコルをサポートする。パケットは直接処理されるか(例えば、イントラゾーンパケット)又は以下により詳細に説明するように(例えばインターゾーンパケットの場合は)セキュリティスクリーニングの後に処理される。L2コントローラ230には、MACテーブル235が関連付けられる。MACテーブル235は複数のエントリを含み、各エントリはMACアドレスとこれに関連付けられたポート202のインジケータを含む。スイッチ構造220は、記憶要素208から各ポート202へのトラフィックを、バス221を使用してL2コントローラ230の制御下でルートするために使用される。
【0032】
記憶要素208は2つの部分に区分される。第1の部分215は、ポート202から受信した、セキュリティスクリーニングされていないパケットを記憶するために使用される。例えば一実施形態では、同じセキュリティゾーン(例えば、イントラゾーンのトラフィック)の端末ユニットから受信したパケットはセキュリティスクリーニングされない。スクリーニングされないパケットは、直接L2コントローラ230で処理され、L2プロトコルにしたがってMACテーブル235で指定されたポートに送られる。第2の部分217は、ファイアウォール装置210によってスクリーニングされるパケットを記憶するために使用される。
【0033】
セキュリティコントローラ204は、スクリーニングエンジン240を含む。スクリーニングエンジン240は、各ポート202から受信した各パケットを調べ、セキュリティスクリーニングを実行するかどうかを判定する。一実施形態では、スクリーニングエンジン240は各パケットのL2ヘッダを調べ、スクリーニングに基づいてそのパケットを記憶要素208の第1の部分215又は第2の部分217のいずれかに送る。L2ヘッダは宛先MACアドレスを含み、このアドレスはMACテーブル235を使用して装置の出口にマップされる。入口及び出口のそれぞれには、セキュリティゾーン識別子が関連付けられる。セキュリティゾーン識別子は、ポート識別子(id)によって索引が付けられたゾーン識別子のテーブル(図示せず)に記憶させることができる。スクリーニングエンジン240は、処理中のパケットに関連付けられたセキュリティゾーン識別子(処理中のパケットのヘッダの宛先MACアドレスを使用してMACテーブルから出口を識別することによって決定される)と、そのパケットが受信された装置のポートに関連付けられたセキュリティゾーン識別子とを比較する。この比較に基づいて、スクリーニングエンジン240はそのパケットを別のゾーンへ向けるかどうか(即ち、イントラゾーン通信とインターゾーン通信のどちらを構築するか)を判定することができる。
【0034】
パケットのスクリーニングは、各端末ユニットに関する知識の有る無しに関わらず可能である。セキュリティスイッチ200には、ユーザインタフェース(図示せず)と1つ以上のセキュリティゾーンを構築するための関連する管理ツール(図示せず)が関連付けられる。一実施形態では、セキュリティゾーンは受信したパケットのL2ヘッダに含まれる宛先MACアドレスに基づいて決定される。より具体的に言うと、各出口はセキュリティゾーンに割り当てられ、このゾーンに関連付けられたセキュリティゾーン識別子を有することができる。或いは、セキュリティスイッチ200の異なるポートに連結された複数のユーザのためにセキュリティゾーンを形成することもできる。例えば、3つのポートを含むようにセキュリティスイッチ200を構成することができ、そこでは、これらのポートのうちの最初の2つに関連付けられた端末ユニットが第1のゾーンに割り当てられ、第3のポートに関連付けられた端末ユニットが第2のゾーンに割り当てられる。他の構造も可能である。ゾーンの割り当て及び区分を以下により詳細に説明する。ユーザインタフェースによって、管理者又はユーザはセキュリティスイッチ200を構成することができる。複数のセキュリティゾーンを形成し1つ以上のインタフェースを各ゾーンに関連付けるように、セキュリティスイッチ200を構成することができる。そして、パケットがセキュリティスイッチ200を通過したときにこのパケットを検査又はそうでなければスクリーニングするためのポリシーを確立することができる。
【0035】
ファイアウォール装置208は、セキュリティスイッチ200を通るようにパケットをルートする前にパケットスクリーニングを実行するための複数のエンジンを含む。ファイアウォール装置208は、ファイアウォールエンジン270、これに関連するポリシー271、認証エンジン272、暗号化エンジン274、解読エンジン276及びファイアウォールコントローラ278を含む。
【0036】
ファイアウォールコントローラ278は、記憶要素208の第2の部分217からパケットを抽出する。ファイアウォールコントローラ278は、ファイアウォール装置内のパケットの分布と各エンジン間の調整を監督する。各パケットは、1つ以上の考慮すべき事項に基づくポリシーにしたがって評価され処理される。例えば、発信元、宛先又はその両方に基づいてパケットをスクリーニングすることができる。1つ以上のポリシー271をファイアウォールエンジン270で検索して使用することで、パケットを検査する。パケットの検査には、暗号化サービス、解読サービス及び認証サービスも必要になる。暗号化エンジン272、解読エンジン274及び認証エンジン276のうちの1つ以上を、ファイアウォールコントローラ278によって検査プロセスの一部として起動させることができる。さらに、仮想プライベートネットワーク終端サービス、セッションの設定並びに種々の他のトラフィック監理及びセキュリティ関連機能を含めた他のサービスを提供することができる。スクリーニングサービスの例を以下により詳細に説明する。検査の後、パケットを必要に応じてネットワークに送ったりドロップしたりすることができる。一実施形態では、送られるべき(例えば、検査に通った)パケットを必要に応じて準備し(例えば、暗号化し)、そして記憶要素208の第1の部分215へと送る。或いは、パケットを記憶要素208の第2の部分217へと戻し、スクリーニングされたものとしてマークしてもよい。一実施形態では、スクリーニングされたパケットはL2コントローラ230で処理するための待ち行列に送られる。そしてスクリーニングされたパケットはL2コントローラ230で処理され、従来のL2処理プロトコルにしたがって適切な出力ポートへとスイッチされる。
【0037】
複数のセキュリティゾーンを形成するように各セキュリティスイッチ200を構成することができる。例えば、セキュリティスイッチ200を有する通信ネットワークを図2bに示す。通信ネットワークは、3つのゾーンを有するVLAN構造である。セキュリティスイッチ200は、ユーザインタフェースと、各セキュリティゾーンを形成し、ポリシー及び各ゾーンを画成し管理するための他の基準を指定するための管理用制御メカニズムとを含む。セキュリティスイッチ200によって実施されるセキュリティゾーンは、エンドユーザには見えなくてもよい。即ち、セキュリティドメインに関連付けられた全ての動作パラメータの仕様を含めて、セキュリティゾーンをセキュリティスイッチ200に確立することができる。各ゾーンのユーザは、ゾーンの構造に気づかずに他のユーザと従来の方法で通信することができる。例えば、暗号化サービス及び解読サービスを含む仮想プライベートネットワークを、各エンドユーザ側の実際の暗号化及び解読サポートを必要とせずに、ユーザ間で形成することができる(例えば、暗号化サービス及び解読サービスを2人のユーザ間に配置された安全なスイッチに設けることができる)。したがって、システムの管理者は、第1のセキュリティゾーンの遠隔ユーザと第2のセキュリティゾーンの別のユーザとの間に仮想プライベートネットワークを形成することができ、そのネットワークでは、各ユーザはVPNサービスに気づかず、暗号化サービス又は解読サービスをローカルに含める必要がない。一実施形態では、管理者が用意したVPNサービスを同じゾーンの遠隔ユーザに対して指定する。
【0038】
或いは、ユーザがセキュリティ構造に気づき、他のユーザに転送されるパケットにインジケータ(例えば、ゾーン識別子)を含めてもよい。各ユーザは自身のカスタムL2ゾーンと、ネットワークセキュリティ要件のためのインターゾーンポリシーを定義することができる。例えば図2bに示すセキュリティスイッチ200は、v1−trustゾーン、v1−untrustゾーン及びv1−dmzゾーンを含むVLANを表している。V1−trustは、ユーザ291及びユーザ292を含めた2人のユーザを含むゾーンを画成する。V1−untrustは、単一のユーザ293を含むゾーンを画成する。V1−dmzは、ユーザ291、292及び294の3人のユーザを含むゾーンを画成する。これら3つのゾーン間の通信のために、別々のポリシーを実施することができる。例えばユーザ291とユーザ292との間のイントラゾーンの通信には検査は必要ないため、この通信はセキュリティスイッチ200によって従来のL2プロトコルにしたがって処理される。ユーザ291からユーザ293への通信では、V1−trustとV1−untrustとの間の通信のためにセキュリティシステムの設計者(例えば、ユーザ291、292又はこれらユーザの管理者)によって定義された検査プロセスを起動させる。同様に、ユーザ294とユーザ291との間の通信では、V1−dmzとV1−trustとの間の通信のための検査プロセス(例えば、可能性としてはより小さなスクリーン)を起動させる。
【0039】
多数のインタフェースが各ゾーン内で実施可能である。イントラゾーンのトラフィックの場合、セキュリティスイッチ200は、所与のパケットを宛先MACアドレスに基づいて送る典型的なL2ブリッジのように作動する。一実施形態では、イントラゾーンのトラフィックにはファイアウォール保護メカニズムを適用しない。
【0040】
インターゾーンのトラフィックの場合、標準的なファイアウォール検査(上述のようなポリシーの検査、TCPステイトフル検査などを含む)が各入力パケットに対して実行される。全ての場合において、出口インタフェースはそのインタフェースで既に学習済みの宛先MACアドレスによって決定される。
パケットの流れ
【0041】
図3を参照すると、セキュリティスイッチ200によって起動される、パケットを処理するための方法300が示されている。説明するこの方法は、ステップを実行する特定のハードウェア要素を特に参照して構成したものではない。例示的なハードウェア構造は上に示した。しかしながらこの方法を、他の構造を有するL2スイッチで実施することもできる。この方法は、パケットの受信(302)から始まる。パケットは評価されて検査するかどうかを判定する(304)。検査する場合、このパケットを必要に応じて前処理し(305)、1つ以上のポリシーを検索する(306)。パケットの前処理には、解読サービス及び認証サービスが含まれる。ポリシーの検索には、そのパケットが転送されるゾーンの識別が含まれる。ゾーン間を移動するパケットを、セキュリティポリシーを使用して検査することができる。イントラゾーンの通信は検査しなくてもよい。一実施形態では、イントラゾーンの通信に対してポリシーを実行することもできる。ポリシーの検索には、MACテーブルにおける受信パケットのMAC宛先アドレスのMACルックアップを行って、MACアドレスに関連付けられた出口と当然ながらセキュリティゾーンを判定することが含まれる。パケットの入口及び出口に関連付けられたセキュリティゾーンを比較して、パケットを別のゾーンに渡すかどうかを判定する。検査を行うと仮定すると、適切なポリシーが(即ち、入口識別子及び出口識別子並びにそれぞれのセキュリティゾーンに基づいて)検索される。その後パケットを検査する(308)。パケットの検査には、必要に応じてパケットをスクリーニングしたりドロップしたりすることが含まれる。パケットをネットワークに送ろうとする場合(309)、必要に応じて後処理動作を起動する(310)。或いは、パケットはドロップされる(311)。後処理動作には、セッションの設定、暗号化及び他の機能が含まれる。その後、パケットをステップ312から始まる従来のL2プロトコルにしたがって処理する。
【0042】
ステップ312では、パケットは検査に通った状態か又は検査を必要としなかった状態のいずれかである。どちらの場合においても、L2ヘッダ情報が抽出されてパケットに関連付けられたMACアドレスを判定する。MACアドレスのルックアップが実行され(314)、パケットは適切な出力ポートへとルートされる(316)。そして処理が終了する。
【0043】
再度図2を参照して、本発明のハードウェアの一実施形態に関して処理ステップを説明する。パケットはポート202で受信される。各パケットはバス205でセキュリティコントローラ204へと転送され、また該セキュリティコントローラ204を通るようにルートされ、記憶バス209を経て記憶要素208に記憶される。セキュリティコントローラ204は各パケットを評価して検査が必要かどうか判定し、このパケットを記憶装置208の適切な部分へと送る。検査されないパケット(即ち、記憶装置208の第1の部分215に記憶されたパケット)は、L2コントローラ230によって処理される。L2コントローラ230が使用可能になると、パケットが取り出されて処理され、そのパケットが送られるべきポートを決定する。L2コントローラ230はパケットに関連付けられたMACアドレスを評価し、MACテーブル235を使用してルーティングのためにポートを決定する。L2コントローラ230による処理の後、決定された出力ポート202へとルートするために、パケットはスイッチ構造220への適切なリンクへと送られる。
【0044】
検査されるパケットは、セキュリティコントローラ204によって記憶要素208の第2の部分217へと転送される。ファイアウォールエンジン210が使用可能になると、パケットが取り出されて処理され、パケットを検査するのに使用するセキュリティポリシーを決定する。ファイアウォールエンジン270は、パケットに関連付けられたIPアドレスを評価し、必要に応じてトラフィックの制御及び監理機能を実施する。送られるべき(即ち、検査に通った)パケットは、記憶要素208に戻される。その後パケットは、決定された出力ポート202へとルートするために、スイッチ構造220への適切なリンクへと送られる。他のパケットはドロップされるかそうでなければ所与のセキュリティゾーンに対して定義されたポリシーにしたがって処理される。
【0045】
上述したように、ファイアウォール装置210の検査に通った全てのパケット及び検査をする必要のない全てのパケットが、L2コントローラ230によって従来のL2プロトコルにしたがって処理される。一実施形態では、L2コントローラによるパケットの処理をセキュリティゾーンを維持するように変更する。より具体的に言うと、上述のように、従来のL2スイッチは認識されていないMACアドレスを有するパケットを全てのポートに同報通信する。この種の同報通信は、通信ネットワークの所与のゾーンに適した1つ以上のセキュリティポリシーを当然侵害するおそれがある。したがって、一実施形態では、テストパケットを各ポートに同報通信する。テストパケットの同報通信について、図4に関連させてより詳細に説明する。
【0046】
図4を参照すると、L2コントローラによってパケットを処理するための方法400が示されており、この方法は処理されるパケットを受信するステップ(402)を含む。このパケットのMACアドレスを抽出する(404)。抽出されたMACアドレスに対応するエントリをMACアドレステーブルで見つけるチェックを行う(406)。一致するものが見つかった場合(407)、そのパケットを一致したエントリに関連付けられた出力ポートへとルートする(408)。一致するものが見つからなかった場合(410)、そのパケットをドロップする。一実施形態では、一致しなかったMACアドレスに関する情報を受信することを期待して、パケットを所与の時間だけ単に保持する。一致するものが見つからなかった場合、プローブパケットを形成する(412)。プローブパケットは、処理中のパケット(即ち、元の入力パケット)に関連付けられたMACアドレスを含む。一実施形態では、プローブパケットは、1に設定されたIP TTLフィールドを有する「ICMP PING」パケットである。各パケットは、MACアドレスを見つけられなかった入力パケットと同じMACアドレス(L2)と発信元/宛先IP(L3)を含む。次いでプローブパケットを全てのポートに同報通信する(414)。セキュリティ装置のポートのいずれかで応答を受信したかどうかをチェックする(416)。ICMP PINGパケットによって、元の入力パケットを受信し送ることになっていた正しいゲートウェイが、「ICMP TTL期限切れ」のメッセージパケットによってこの装置のL2コントローラに応答する。この期限切れパケットから、システムは受信したMACアドレスに関連付けられた適切な出口/ゾーンを識別することができる。この方法によって、元の入力パケットの情報が漏れないことが保証される。(受信ポートに連結されている装置が識別されたMACアドレスを有するパケットを処理するように構成されていることを示す)応答を受信すると、MACテーブルは、そのMACアドレスを有するエントリ及び応答を受信したポートを示すポート識別子を含むように更新される(418)。そしてこのプロセスは終了する。
【0047】
本発明の多数の実施形態を説明してきた。しかしながら、本発明の趣旨及び範囲を逸脱しない限り、種々の変更を行うことができることが理解されるであろう。例えば、L3レイヤレベルでスクリーニングするという点から、ファイアウォール装置を説明してきた。或いは、レイヤ7(L7)処理まで及びそれを含んでいるレイヤを含む他のレベルで他のスクリーニングを起動させることもできる。したがって、他の実施形態も以下の特許請求の範囲内にある。
【図面の簡単な説明】
【0048】
【図1】L2ファイアウォール使用可能スイッチを含むパケット交換通信システムのブロック図である。
【図2a】L2ファイアウォール使用可能スイッチの概略図である。
【図2b】単一のセキュリティスイッチによって区分された複数のゾーンを含む例示的な通信ネットワークを示す。
【図3】図2aのセキュリティスイッチにおけるパケットの処理方法の流れ図である。
【図4】図2aのセキュリティスイッチにおける未認識パケットの処理方法の流れ図である。
Claims (27)
- それぞれが別々のセキュリティドメインを表し、関連するゾーンを出入りするパケットの検査に用いられる関連するポリシーを有する複数のゾーンを有するパケット交換通信システムにおけるレイヤ2装置であって、
第1のセキュリティゾーンに含まれる端末ユニットに連結される少なくとも1つのポートと、
第2のセキュリティゾーンに含まれる端末ユニットに連結される少なくとも1つのポートと、
受信した各パケットに対して、前記受信パケットを別のゾーンへ向けるかどうかを判定するコントローラと、
インターゾーンパケットをゾーン固有のポリシーを使用して検査しフィルタリングするファイアウォールエンジンと、
前記レイヤ2装置を通過する全てのイントラゾーンパケットを、MACアドレスと対応するポートのテーブルを使用してポートへと直ちに転送するレイヤ2スイッチングエンジンとを備え、
前記ファイアウォールエンジンによる検査後も保持されているインターゾーンパケットのみをポートへ転送する、
レイヤ2装置。 - それぞれが別々のセキュリティドメインを表し、関連するゾーンを出入りするパケットの検査に用いられる関連するポリシーを有する複数のゾーンを有するパケット交換通信システムにおけるレイヤ2装置であって、
受信した各パケットに対して、前記受信パケットをイントラゾーン又はインターゾーンのどちらへ転送するかを判定するコントローラと、
インターゾーンパケットをゾーン固有のポリシーを使用して検査しフィルタリングするファイアウォールエンジンと、
レイヤ2スイッチングエンジンとを備え、前記レイヤ2スイッチングエンジンは、
前記レイヤ2装置を通過する全てのイントラゾーンパケットを、MACアドレスと対応するポートのテーブルを使用してポートへと直ちにルートし、
前記ファイアウォールエンジンによる検査後も保持されているインターゾーンパケットのみをポートへルートするように動作可能な
レイヤ2装置。 - それぞれが別々のセキュリティドメインを表す複数のゾーンを有するパケット交換通信システムにおけるレイヤ2装置であって、
受信した各パケットに対して、前記受信パケットをインターゾーンに転送するかどうかを判定するコントローラと、
インターゾーンパケットを、レイヤ2プロトコルを使用してルートする前に、ゾーン固有のポリシーを使用して検査しフィルタリングするファイアウォールエンジンと、
を備えるレイヤ2装置。 - それぞれが別々のセキュリティドメインを表す複数のゾーンを有するパケット交換通信システムにおけるレイヤ2装置であって、
受信した各パケットに対して、前記受信パケットをインターゾーンに転送するかどうかを判定するコントローラと、
インターゾーンパケットを、レイヤ2プロトコルを使用してルートする前に、ゾーン固有のポリシーを使用して検査しフィルタリングする検査装置と、
を備えるレイヤ2装置。 - それぞれが別々のセキュリティドメインを表す複数のゾーンを有するパケット交換通信システムにおけるレイヤ2装置であって、
受信した各パケットに対して、前記受信パケットを検査するかどうかを判定するコントローラと、
前記コントローラによって識別されたパケットをゾーン固有のポリシーを使用して検査しフィルタリングする検査装置と、
検査したパケットを、レイヤ2プロトコルを使用してレイヤ2ヘッダ情報にしたがって転送するレイヤ2コントローラと、
を備えるレイヤ2装置。 - 前記検査装置がファイアウォールである、請求項5記載の装置。
- 前記検査装置がレイヤ3ファイアウォール装置である、請求項5記載の装置。
- 前記検査装置がレイヤ4ファイアウォール装置である、請求項5記載の装置。
- 前記検査装置がレイヤ7ファイアウォール装置である、請求項5記載の装置。
- 前記検査装置が、レイヤ2ヘッダ情報以外のレイヤ情報に基づいてフィルタリングするファイアウォールである、請求項5記載の装置。
- 前記コントローラはセキュリティゾーン間を渡される各パケットを判定し、前記検査装置はインターゾーントラフィックのみを処理する、請求項5記載の装置。
- 前記コントローラは単一のセキュリティゾーンに留まる各パケットを判定し、前記検査装置はイントラゾーンパケットを直ちに転送する、請求項5記載の装置。
- 前記装置は、所与のパケットのレイヤ2ヘッダのMACアドレスを使用して、そのパケットを転送する前記装置の出口を決定する、請求項12記載の装置。
- 検査されるパケットを記憶する記憶要素と、
装置を通過するようにパケットを転送するレイヤ2コントローラとをさらに備え、前記レイヤ2コントローラは、
所与のパケットを転送するための出口を、前記所与のパケット中のその宛先MACアドレスを使用して決定するステップと、
MACアドレスと関連する出口ノードのマッピングを含むMACアドレステーブルと、
を含む、請求項5記載の装置。 - 前記記憶要素は第1の部分及び第2の部分を含み、前記第1の部分は前記装置を通過するように転送されるパケットを記憶し、前記第2の部分は検査待ちのパケットを記憶する、請求項14記載の装置。
- 前記装置がレイヤ2スイッチである、請求項5記載の装置。
- 前記装置がレイヤ2ブリッジである、請求項5記載の装置。
- それぞれが別々のセキュリティドメインを表す複数のゾーンを含む通信ネットワークにおいてパケットを転送する方法であって、
レイヤ2装置でパケットを受信するステップと、
前記受信パケットをインターゾーンに転送するかどうかを判定するステップと、
インターゾーンパケットを、レイヤ2プロトコルを使用してルートする前に、ゾーン固有のポリシーを使用して検査しフィルタリングするステップと、
を含む方法。 - それぞれが別々のセキュリティドメインを表す複数のゾーンを含む通信ネットワークにおいてパケットを転送する方法であって、
レイヤ2装置でパケットを受信するステップと、
前記受信パケットを検査するかどうかを判定するステップと、
識別したパケットを、レイヤ2プロトコルを使用して前記レイヤ2装置を通過するように転送する前に、ゾーン固有のポリシーを使用して検査しフィルタリングするステップと、
を含む方法。 - それぞれが別々のセキュリティドメインを表す複数のゾーンを含む通信ネットワークにおいてパケットをスイッチする方法であって、
レイヤ2装置のインタフェースでパケットを受信するステップと、
前記受信パケットに関連付けられた宛先MACアドレスが既知であるかどうかを判定し、既知でない場合、
前記受信パケットを前記レイヤ2装置のいずれのポートへも転送せずに所定の時間だけ保持するステップと、
未知のMACアドレスを含むプローブパケットを形成するステップと、
前記プローブパケットを、前記受信インタフェースを除く全てのインタフェースに同報通信するステップと、
を含む方法。 - 前記プローブパケットはIPヘッダに活動時間(TTL)フィールドを含み、
前記方法は、前記未知のMACアドレスを有し前記プローブパケットを受信した下流ノードが期限切れのメッセージを前記レイヤ2装置に戻すように、前記TTLフィールドの値を設定するステップを含む、請求項20記載の方法。 - 前記所定の時間の満了後に前記パケットをドロップするステップをさらに含む、請求項20記載の方法。
- 前記MACアドレスが未知である場合、前記パケットをドロップする、請求項20記載の方法。
- 同報通信インタフェースの1つから応答を受信するステップと、
未知だったMACアドレスが応答したインタフェースに関連付けられたことを示すようにテーブルを更新するステップとをさらに含む、請求項20記載の方法。 - 各ユーザ側に暗号化サービス及び解読サービスを必要とせずに、ユーザ間の安全な通信を提供する方法であって、
第1のユーザ及び第2のユーザを識別するステップと、
通信ネットワークにわたって、前記第1のユーザと前記第2のユーザとを2つ以上のレイヤ2装置を介して連結するステップと、
前記ネットワークの第1のレイヤ2装置と第2のレイヤ2装置との間に画成される、前記第1のユーザと前記第2のユーザとの通信のための仮想プライベートネットワークを指定するステップと、
前記第1のレイヤ2装置又は前記第2のレイヤ2装置のいずれかでパケットを受信するステップと、
前記受信パケットが前記仮想プライベートネットワークに関連付けられるかどうかを判定するステップと、
識別したパケットを、レイヤ2プロトコルを使用して前記レイヤ2装置を通過するように転送する前に、ローカルな暗号化サービス及び解読サービスを使用して必要に応じて暗号化し、また解読するステップとを含む方法。 - 前記判定ステップが、前記パケットに関連付けられた宛先MACアドレスを使用して仮想プライベートネットワークを識別するステップを含む、請求項25記載の方法。
- 各ユーザ側に暗号化サービス及び解読サービスを必要とせずに、ユーザ間の安全な通信を提供する仮想プライベートネットワークであって、
通信ネットワークにわたって第1のユーザと第2のユーザとを連結する第1のレイヤ2装置及び第2のレイヤ2装置を備え、前記第1のレイヤ2装置及び第2のレイヤ2装置のそれぞれは、
受信パケットが前記仮想プライベートネットワークに関連付けられるかどうかを判定するスクリーニングメカニズムと、
レイヤ2プロトコルを使用して前記レイヤ2装置を通過するようにパケットを転送する前に、前記仮想プライベートネットワークに関連付けられたこのパケットに対して作動する暗号化サービス及び解読サービスと、を含む
仮想プライベートネットワーク。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US09/967,878 US7302700B2 (en) | 2001-09-28 | 2001-09-28 | Method and apparatus for implementing a layer 3/layer 7 firewall in an L2 device |
PCT/US2002/030835 WO2003030004A1 (en) | 2001-09-28 | 2002-09-26 | Method and apparatus for implementing a layer 3/layer 7 firewall in an l2 device |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2005505175A true JP2005505175A (ja) | 2005-02-17 |
JP4332033B2 JP4332033B2 (ja) | 2009-09-16 |
Family
ID=25513451
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003533141A Expired - Lifetime JP4332033B2 (ja) | 2001-09-28 | 2002-09-26 | L2装置でのレイヤ3/レイヤ7・ファイアウォール実施方法及び装置 |
Country Status (8)
Country | Link |
---|---|
US (5) | US7302700B2 (ja) |
EP (2) | EP1438670B1 (ja) |
JP (1) | JP4332033B2 (ja) |
CN (1) | CN100437543C (ja) |
AU (1) | AU2002327757B2 (ja) |
CA (1) | CA2461866A1 (ja) |
IL (2) | IL161112A0 (ja) |
WO (1) | WO2003030004A1 (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007318582A (ja) * | 2006-05-29 | 2007-12-06 | Nippon Telegr & Teleph Corp <Ntt> | ブリッジ装置 |
JP2012023591A (ja) * | 2010-07-15 | 2012-02-02 | Panasonic Corp | ラージスケールnat検出装置、アプリケーション切替装置、ラージスケールnat検出方法およびアプリケーション切替方法 |
JP2022511404A (ja) * | 2018-11-30 | 2022-01-31 | シスコ テクノロジー,インコーポレイテッド | 動的なインテントベースのファイアウォール |
Families Citing this family (106)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB2362482A (en) * | 2000-05-15 | 2001-11-21 | Ridgeway Systems & Software Lt | Direct slave addressing to indirect slave addressing |
GB2365256A (en) | 2000-07-28 | 2002-02-13 | Ridgeway Systems & Software Lt | Audio-video telephony with port address translation |
GB2369746A (en) * | 2000-11-30 | 2002-06-05 | Ridgeway Systems & Software Lt | Communications system with network address translation |
US7437753B2 (en) * | 2001-03-01 | 2008-10-14 | Lsi Technologies Israel Ltd. | Storage area network (SAN) security |
US7302700B2 (en) | 2001-09-28 | 2007-11-27 | Juniper Networks, Inc. | Method and apparatus for implementing a layer 3/layer 7 firewall in an L2 device |
US7571239B2 (en) * | 2002-01-08 | 2009-08-04 | Avaya Inc. | Credential management and network querying |
US20030163692A1 (en) * | 2002-01-31 | 2003-08-28 | Brocade Communications Systems, Inc. | Network security and applications to the fabric |
US8201252B2 (en) * | 2002-09-03 | 2012-06-12 | Alcatel Lucent | Methods and devices for providing distributed, adaptive IP filtering against distributed denial of service attacks |
WO2004047375A1 (en) * | 2002-11-15 | 2004-06-03 | Infineon Technologies Ag | Reducing the memory requirements of a data switch |
US7386889B2 (en) * | 2002-11-18 | 2008-06-10 | Trusted Network Technologies, Inc. | System and method for intrusion prevention in a communications network |
US7591001B2 (en) * | 2004-05-14 | 2009-09-15 | Liquidware Labs, Inc. | System, apparatuses, methods and computer-readable media for determining the security status of a computer before establishing a network connection |
US20060098649A1 (en) * | 2004-11-10 | 2006-05-11 | Trusted Network Technologies, Inc. | System, apparatuses, methods, and computer-readable media for determining security realm identity before permitting network connection |
US7549159B2 (en) * | 2004-05-10 | 2009-06-16 | Liquidware Labs, Inc. | System, apparatuses, methods and computer-readable media for determining the security status of a computer before establishing connection thereto |
US7660980B2 (en) * | 2002-11-18 | 2010-02-09 | Liquidware Labs, Inc. | Establishing secure TCP/IP communications using embedded IDs |
US20040123130A1 (en) * | 2002-12-20 | 2004-06-24 | Inrange Technologies Corporation | Method and apparatus for distributing and activating security parameters |
MY141160A (en) * | 2003-01-13 | 2010-03-31 | Multimedia Glory Sdn Bhd | System and method of preventing the transmission of known and unknown electronic content to and from servers or workstations connected to a common network |
US7697568B1 (en) * | 2003-03-03 | 2010-04-13 | Cisco Technology, Inc. | Method and system for automatic modem bandwidth detection in a router |
US7631351B2 (en) * | 2003-04-03 | 2009-12-08 | Commvault Systems, Inc. | System and method for performing storage operations through a firewall |
US20040210754A1 (en) * | 2003-04-16 | 2004-10-21 | Barron Dwight L. | Shared security transform device, system and methods |
US7562390B1 (en) | 2003-05-21 | 2009-07-14 | Foundry Networks, Inc. | System and method for ARP anti-spoofing security |
US7516487B1 (en) | 2003-05-21 | 2009-04-07 | Foundry Networks, Inc. | System and method for source IP anti-spoofing security |
US7900240B2 (en) * | 2003-05-28 | 2011-03-01 | Citrix Systems, Inc. | Multilayer access control security system |
US20040255154A1 (en) * | 2003-06-11 | 2004-12-16 | Foundry Networks, Inc. | Multiple tiered network security system, method and apparatus |
KR100503422B1 (ko) * | 2003-06-13 | 2005-07-22 | 한국전자통신연구원 | 이더넷 스위치, 포트다중화장치 및 방법 |
US7426577B2 (en) * | 2003-06-19 | 2008-09-16 | Avaya Technology Corp. | Detection of load balanced links in internet protocol netwoks |
US7876772B2 (en) * | 2003-08-01 | 2011-01-25 | Foundry Networks, Llc | System, method and apparatus for providing multiple access modes in a data communications network |
US7735114B2 (en) * | 2003-09-04 | 2010-06-08 | Foundry Networks, Inc. | Multiple tiered network security system, method and apparatus using dynamic user policy assignment |
US7774833B1 (en) * | 2003-09-23 | 2010-08-10 | Foundry Networks, Inc. | System and method for protecting CPU against remote access attacks |
US7606916B1 (en) * | 2003-11-10 | 2009-10-20 | Cisco Technology, Inc. | Method and apparatus for load balancing within a computer system |
US7844731B1 (en) * | 2003-11-14 | 2010-11-30 | Symantec Corporation | Systems and methods for address spacing in a firewall cluster |
US8146148B2 (en) * | 2003-11-19 | 2012-03-27 | Cisco Technology, Inc. | Tunneled security groups |
US8528071B1 (en) | 2003-12-05 | 2013-09-03 | Foundry Networks, Llc | System and method for flexible authentication in a data communications network |
EP1571799B1 (en) * | 2004-03-02 | 2008-11-05 | Alcatel Lucent | A method to grant access to a data communication network and related device |
CN1298141C (zh) * | 2004-05-20 | 2007-01-31 | 中国科学院软件研究所 | 实现安全交换网络数据的方法 |
US7624435B1 (en) * | 2004-07-26 | 2009-11-24 | Trend Micro Incorporated | Method and apparatus for managing digital assets |
US7636841B2 (en) | 2004-07-26 | 2009-12-22 | Intercall, Inc. | Systems and methods for secure data exchange in a distributed collaborative application |
GB2418110B (en) * | 2004-09-14 | 2006-09-06 | 3Com Corp | Method and apparatus for controlling traffic between different entities on a network |
US8261337B1 (en) | 2004-11-17 | 2012-09-04 | Juniper Networks, Inc. | Firewall security between network devices |
US8631450B1 (en) * | 2004-12-02 | 2014-01-14 | Entropic Communications, Inc. | Broadband local area network |
JP4381448B2 (ja) * | 2005-03-16 | 2009-12-09 | 富士通株式会社 | Ipネットワークにおけるマルチキャストツリー監視方法およびシステム |
US7881325B2 (en) * | 2005-04-27 | 2011-02-01 | Cisco Technology, Inc. | Load balancing technique implemented in a storage area network |
US7647434B2 (en) | 2005-05-19 | 2010-01-12 | Cisco Technology, Inc. | Technique for in order delivery of traffic across a storage area network |
KR100719118B1 (ko) * | 2005-10-27 | 2007-05-17 | 삼성전자주식회사 | 특정 영역에서의 디바이스 기능 제한 방법 및 시스템 |
WO2007055684A2 (en) * | 2005-11-09 | 2007-05-18 | Trusted Network Technologies, Inc. | Determining security realm identity before permitting network connection |
JP4482630B2 (ja) * | 2005-11-21 | 2010-06-16 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 通信装置および通信方法 |
US7649875B2 (en) * | 2005-12-23 | 2010-01-19 | Beecher Phillip E | Networking layer extension |
US20070214502A1 (en) * | 2006-03-08 | 2007-09-13 | Mcalister Donald K | Technique for processing data packets in a communication network |
JP4823728B2 (ja) * | 2006-03-20 | 2011-11-24 | 富士通株式会社 | フレーム中継装置及びフレーム検査装置 |
US9001645B2 (en) * | 2006-05-17 | 2015-04-07 | Rajant Corporation | System and method for packet delivery backtracking |
US7522595B2 (en) * | 2006-06-16 | 2009-04-21 | Cisco Technology, Inc. | Communicating packets between forwarding contexts using virtual interfaces |
US8009566B2 (en) | 2006-06-26 | 2011-08-30 | Palo Alto Networks, Inc. | Packet classification in a network security device |
US8281360B2 (en) * | 2006-11-21 | 2012-10-02 | Steven Adams Flewallen | Control of communication ports of computing devices using policy-based decisions |
US8594085B2 (en) * | 2007-04-11 | 2013-11-26 | Palo Alto Networks, Inc. | L2/L3 multi-mode switch including policy processing |
US8341277B2 (en) * | 2007-07-03 | 2012-12-25 | International Business Machines Corporation | System and method for connecting closed, secure production network |
US8040888B1 (en) * | 2007-12-17 | 2011-10-18 | Integrated Device Technology, Inc. | Packet switch with port route tables |
US8640143B2 (en) * | 2008-02-12 | 2014-01-28 | International Business Machines Corporation | Method and system for providing preemptive response routing |
US8307422B2 (en) * | 2008-08-14 | 2012-11-06 | Juniper Networks, Inc. | Routing device having integrated MPLS-aware firewall |
US8316435B1 (en) * | 2008-08-14 | 2012-11-20 | Juniper Networks, Inc. | Routing device having integrated MPLS-aware firewall with virtual security system support |
US8713627B2 (en) * | 2008-08-14 | 2014-04-29 | Juniper Networks, Inc. | Scalable security services for multicast in a router having integrated zone-based firewall |
US8175101B2 (en) * | 2008-08-15 | 2012-05-08 | Raytheon Company | Multicasting in a network using neighbor information |
US8873556B1 (en) | 2008-12-24 | 2014-10-28 | Palo Alto Networks, Inc. | Application based packet forwarding |
US20100265955A1 (en) * | 2009-04-17 | 2010-10-21 | Park Sung I | Cross layer routing (xrp) protocol |
CN102035821A (zh) * | 2009-09-29 | 2011-04-27 | 凹凸电子(武汉)有限公司 | 防火墙/虚拟专用网集成系统以及电路 |
US8127365B1 (en) | 2009-11-16 | 2012-02-28 | Trend Micro Incorporated | Origination-based content protection for computer systems |
US8424091B1 (en) | 2010-01-12 | 2013-04-16 | Trend Micro Incorporated | Automatic local detection of computer security threats |
JP5382451B2 (ja) | 2010-01-29 | 2014-01-08 | 日本電気株式会社 | フロントエンドシステム、フロントエンド処理方法 |
US8687649B2 (en) * | 2011-03-08 | 2014-04-01 | International Business Machines Corporation | Message forwarding toward a source end node in a converged network environment |
US9047441B2 (en) | 2011-05-24 | 2015-06-02 | Palo Alto Networks, Inc. | Malware analysis system |
US8695096B1 (en) | 2011-05-24 | 2014-04-08 | Palo Alto Networks, Inc. | Automatic signature generation for malicious PDF files |
US8516241B2 (en) | 2011-07-12 | 2013-08-20 | Cisco Technology, Inc. | Zone-based firewall policy model for a virtualized data center |
US8640251B1 (en) | 2011-12-14 | 2014-01-28 | Trend Micro Incorporated | Methods and systems for classifying computer documents into confidential levels using log information |
US8826452B1 (en) | 2012-01-18 | 2014-09-02 | Trend Micro Incorporated | Protecting computers against data loss involving screen captures |
US9419941B2 (en) * | 2012-03-22 | 2016-08-16 | Varmour Networks, Inc. | Distributed computer network zone based security architecture |
CN103650430B (zh) | 2012-06-21 | 2016-06-22 | 华为技术有限公司 | 报文处理方法、装置、主机和网络系统 |
JP5445626B2 (ja) * | 2012-06-25 | 2014-03-19 | 横河電機株式会社 | ネットワーク管理システム |
US9100366B2 (en) * | 2012-09-13 | 2015-08-04 | Cisco Technology, Inc. | Early policy evaluation of multiphase attributes in high-performance firewalls |
US11301514B2 (en) | 2013-03-02 | 2022-04-12 | Leon Guzenda | System and method to identify islands of nodes within a graph database |
US10789294B2 (en) * | 2013-03-02 | 2020-09-29 | Leon Guzenda | Method and system for performing searches of graphs as represented within an information technology system |
US9083732B2 (en) | 2013-04-12 | 2015-07-14 | Lenovo Enterprise Solutions (Singapore) Pte. Ltd. | Establishing communication between entities in a shared network |
US9917849B2 (en) * | 2013-05-01 | 2018-03-13 | Fortinet, Inc. | Security system for physical or virtual environments |
WO2015041706A1 (en) * | 2013-09-23 | 2015-03-26 | Mcafee, Inc. | Providing a fast path between two entities |
US9973472B2 (en) | 2015-04-02 | 2018-05-15 | Varmour Networks, Inc. | Methods and systems for orchestrating physical and virtual switches to enforce security boundaries |
US9560081B1 (en) | 2016-06-24 | 2017-01-31 | Varmour Networks, Inc. | Data network microsegmentation |
US20170006082A1 (en) * | 2014-06-03 | 2017-01-05 | Nimit Shishodia | Software Defined Networking (SDN) Orchestration by Abstraction |
DE102015002574B4 (de) * | 2015-02-27 | 2018-06-21 | Audi Ag | Kraftfahrzeug- Kommunikationsnetzwerk mit Switchvorrichtung |
US9467476B1 (en) | 2015-03-13 | 2016-10-11 | Varmour Networks, Inc. | Context aware microsegmentation |
US9609026B2 (en) | 2015-03-13 | 2017-03-28 | Varmour Networks, Inc. | Segmented networks that implement scanning |
US10178070B2 (en) | 2015-03-13 | 2019-01-08 | Varmour Networks, Inc. | Methods and systems for providing security to distributed microservices |
US9438634B1 (en) | 2015-03-13 | 2016-09-06 | Varmour Networks, Inc. | Microsegmented networks that implement vulnerability scanning |
US9756015B2 (en) * | 2015-03-27 | 2017-09-05 | International Business Machines Corporation | Creating network isolation between virtual machines |
US9525697B2 (en) | 2015-04-02 | 2016-12-20 | Varmour Networks, Inc. | Delivering security functions to distributed networks |
US10171507B2 (en) * | 2016-05-19 | 2019-01-01 | Cisco Technology, Inc. | Microsegmentation in heterogeneous software defined networking environments |
US9892622B2 (en) * | 2016-05-27 | 2018-02-13 | At&T Intellectual Property I, L.P. | Emergency event virtual network function deployment and configuration |
US9787639B1 (en) | 2016-06-24 | 2017-10-10 | Varmour Networks, Inc. | Granular segmentation using events |
US10972437B2 (en) * | 2016-08-08 | 2021-04-06 | Talari Networks Incorporated | Applications and integrated firewall design in an adaptive private network (APN) |
US10298491B2 (en) * | 2016-08-25 | 2019-05-21 | Cisco Technology, Inc. | Efficient path detection and validation between endpoints in large datacenters |
US10645123B1 (en) * | 2016-12-28 | 2020-05-05 | Juniper Networks, Inc. | Network traffic switching for virtual machines |
US10791091B1 (en) * | 2018-02-13 | 2020-09-29 | Architecture Technology Corporation | High assurance unified network switch |
DE102018216959B4 (de) * | 2018-10-02 | 2020-11-12 | Continental Automotive Gmbh | Verfahren zur Absicherung eines Datenpakets durch eine Vermittlungsstelle in einem Netzwerk, Vermittlungsstelle und Kraftfahrzeug |
DE102019210224A1 (de) * | 2019-07-10 | 2021-01-14 | Robert Bosch Gmbh | Vorrichtung und Verfahren für Angriffserkennung in einem Rechnernetzwerk |
US11336694B2 (en) * | 2019-08-05 | 2022-05-17 | Cisco Technology, Inc. | Scalable security policy architecture with segregated forwarding and security plane and hierarchical classes |
CN110830301B (zh) * | 2019-11-11 | 2022-04-22 | 国网江苏省电力有限公司检修分公司 | 基于安全加密的电力二次系统站控层拓扑扫描方法及装置 |
US11343234B2 (en) * | 2019-12-10 | 2022-05-24 | Cisco Technology, Inc. | Multi-domain extension to cloud security |
US11777993B2 (en) | 2021-01-30 | 2023-10-03 | Netskope, Inc. | Unified system for detecting policy enforcement issues in a cloud-based environment |
US11848949B2 (en) * | 2021-01-30 | 2023-12-19 | Netskope, Inc. | Dynamic distribution of unified policies in a cloud-based policy enforcement system |
US11831605B2 (en) * | 2021-03-29 | 2023-11-28 | Nokia Solutions And Networks Oy | Router firewall |
Family Cites Families (66)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH06311161A (ja) | 1993-04-23 | 1994-11-04 | Matsushita Electric Works Ltd | Lan用ハブ装置 |
US5485455A (en) * | 1994-01-28 | 1996-01-16 | Cabletron Systems, Inc. | Network having secure fast packet switching and guaranteed quality of service |
US5544322A (en) * | 1994-05-09 | 1996-08-06 | International Business Machines Corporation | System and method for policy-based inter-realm authentication within a distributed processing system |
US5617421A (en) | 1994-06-17 | 1997-04-01 | Cisco Systems, Inc. | Extended domain computer network using standard links |
US5608726A (en) * | 1995-04-25 | 1997-03-04 | Cabletron Systems, Inc. | Network bridge with multicast forwarding table |
US5889953A (en) * | 1995-05-25 | 1999-03-30 | Cabletron Systems, Inc. | Policy management and conflict resolution in computer networks |
US5684800A (en) * | 1995-11-15 | 1997-11-04 | Cabletron Systems, Inc. | Method for establishing restricted broadcast groups in a switched network |
US5781550A (en) | 1996-02-02 | 1998-07-14 | Digital Equipment Corporation | Transparent and secure network gateway |
US5918018A (en) * | 1996-02-09 | 1999-06-29 | Secure Computing Corporation | System and method for achieving network separation |
US5768501A (en) * | 1996-05-28 | 1998-06-16 | Cabletron Systems | Method and apparatus for inter-domain alarm correlation |
US5842040A (en) | 1996-06-18 | 1998-11-24 | Storage Technology Corporation | Policy caching method and apparatus for use in a communication device based on contents of one data unit in a subset of related data units |
CA2214911C (en) | 1996-09-11 | 2001-12-25 | Nippon Telegraph And Telephone Corporation | Contents transmission control method with user authentication functions and recording medium with the method recorded thereon |
US6101170A (en) * | 1996-09-27 | 2000-08-08 | Cabletron Systems, Inc. | Secure fast packet switch having improved memory utilization |
US5708654A (en) * | 1996-11-27 | 1998-01-13 | Arndt; Manfred R. | Method for detecting proxy ARP replies from devices in a local area network |
US5905859A (en) * | 1997-01-09 | 1999-05-18 | International Business Machines Corporation | Managed network device security method and apparatus |
US6591303B1 (en) | 1997-03-07 | 2003-07-08 | Sun Microsystems, Inc. | Method and apparatus for parallel trunking of interfaces to increase transfer bandwidth |
US6301257B1 (en) * | 1997-03-19 | 2001-10-09 | Nortel Networks Limited | Method and apparatus for transmitting data frames between switches in a meshed data network |
US6212558B1 (en) * | 1997-04-25 | 2001-04-03 | Anand K. Antur | Method and apparatus for configuring and managing firewalls and security devices |
US5968176A (en) * | 1997-05-29 | 1999-10-19 | 3Com Corporation | Multilayer firewall system |
US6088356A (en) | 1997-06-30 | 2000-07-11 | Sun Microsystems, Inc. | System and method for a multi-layer network element |
US5909686A (en) | 1997-06-30 | 1999-06-01 | Sun Microsystems, Inc. | Hardware-assisted central processing unit access to a forwarding database |
US6049528A (en) | 1997-06-30 | 2000-04-11 | Sun Microsystems, Inc. | Trunking ethernet-compatible networks |
US6775692B1 (en) | 1997-07-31 | 2004-08-10 | Cisco Technology, Inc. | Proxying and unproxying a connection using a forwarding agent |
US6104700A (en) * | 1997-08-29 | 2000-08-15 | Extreme Networks | Policy based quality of service |
US6041058A (en) * | 1997-09-11 | 2000-03-21 | 3Com Corporation | Hardware filtering method and apparatus |
US6141749A (en) | 1997-09-12 | 2000-10-31 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with stateful packet filtering |
US6154775A (en) | 1997-09-12 | 2000-11-28 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with dynamic rule processing with the ability to dynamically alter the operations of rules |
US6170012B1 (en) | 1997-09-12 | 2001-01-02 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with cache query processing |
US7143438B1 (en) | 1997-09-12 | 2006-11-28 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with multiple domain support |
US6098172A (en) | 1997-09-12 | 2000-08-01 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with proxy reflection |
US6131120A (en) | 1997-10-24 | 2000-10-10 | Directory Logic, Inc. | Enterprise network management directory containing network addresses of users and devices providing access lists to routers and servers |
US6172981B1 (en) * | 1997-10-30 | 2001-01-09 | International Business Machines Corporation | Method and system for distributing network routing functions to local area network stations |
US6182226B1 (en) * | 1998-03-18 | 2001-01-30 | Secure Computing Corporation | System and method for controlling interactions between networks |
US6141755A (en) * | 1998-04-13 | 2000-10-31 | The United States Of America As Represented By The Director Of The National Security Agency | Firewall security apparatus for high-speed circuit switched networks |
US6456597B1 (en) * | 1998-05-04 | 2002-09-24 | Hewlett Packard Co. | Discovery of unknown MAC addresses using load balancing switch protocols |
JP4080599B2 (ja) * | 1998-06-17 | 2008-04-23 | 富士通株式会社 | 通信制御装置およびマルチキャスト対応lanに適用される通信制御方法 |
US6233688B1 (en) | 1998-06-30 | 2001-05-15 | Sun Microsystems, Inc. | Remote access firewall traversal URL |
US6430188B1 (en) * | 1998-07-08 | 2002-08-06 | Broadcom Corporation | Unified table for L2, L3, L4, switching and filtering |
US6304973B1 (en) * | 1998-08-06 | 2001-10-16 | Cryptek Secure Communications, Llc | Multi-level security network system |
US6438133B1 (en) * | 1998-09-09 | 2002-08-20 | Cisco Technology, Inc. | Load balancing mechanism for a translational bridge environment |
US6556541B1 (en) * | 1999-01-11 | 2003-04-29 | Hewlett-Packard Development Company, L.P. | MAC address learning and propagation in load balancing switch protocols |
IL128814A (en) * | 1999-03-03 | 2004-09-27 | Packet Technologies Ltd | Local network security |
US7197044B1 (en) | 1999-03-17 | 2007-03-27 | Broadcom Corporation | Method for managing congestion in a network switch |
US7643481B2 (en) | 1999-03-17 | 2010-01-05 | Broadcom Corporation | Network switch having a programmable counter |
US6735169B1 (en) | 1999-07-02 | 2004-05-11 | Cisco Technology, Inc. | Cascading multiple services on a forwarding agent |
US6742045B1 (en) | 1999-07-02 | 2004-05-25 | Cisco Technology, Inc. | Handling packet fragments in a distributed network service environment |
US6549516B1 (en) | 1999-07-02 | 2003-04-15 | Cisco Technology, Inc. | Sending instructions from a service manager to forwarding agents on a need to know basis |
US6970913B1 (en) | 1999-07-02 | 2005-11-29 | Cisco Technology, Inc. | Load balancing using distributed forwarding agents with application based feedback for different virtual machines |
US6704278B1 (en) | 1999-07-02 | 2004-03-09 | Cisco Technology, Inc. | Stateful failover of service managers |
US6606315B1 (en) | 1999-07-02 | 2003-08-12 | Cisco Technology, Inc. | Synchronizing service instructions among forwarding agents using a service manager |
US6633560B1 (en) | 1999-07-02 | 2003-10-14 | Cisco Technology, Inc. | Distribution of network services among multiple service managers without client involvement |
US6650641B1 (en) | 1999-07-02 | 2003-11-18 | Cisco Technology, Inc. | Network address translation using a forwarding agent |
US7051066B1 (en) | 1999-07-02 | 2006-05-23 | Cisco Technology, Inc. | Integrating service managers into a routing infrastructure using forwarding agents |
US6684253B1 (en) * | 1999-11-18 | 2004-01-27 | Wachovia Bank, N.A., As Administrative Agent | Secure segregation of data of two or more domains or trust realms transmitted through a common data channel |
US6754716B1 (en) * | 2000-02-11 | 2004-06-22 | Ensim Corporation | Restricting communication between network devices on a common network |
US7263719B2 (en) * | 2000-05-15 | 2007-08-28 | Hewlett-Packard Development Company, L.P. | System and method for implementing network security policies on a common network infrastructure |
US7031297B1 (en) * | 2000-06-15 | 2006-04-18 | Avaya Communication Israel Ltd. | Policy enforcement switching |
US20020053020A1 (en) * | 2000-06-30 | 2002-05-02 | Raytheon Company | Secure compartmented mode knowledge management portal |
US7047561B1 (en) * | 2000-09-28 | 2006-05-16 | Nortel Networks Limited | Firewall for real-time internet applications |
JP3474548B2 (ja) * | 2001-04-09 | 2003-12-08 | アライドテレシス株式会社 | 集合建築物 |
US7212534B2 (en) | 2001-07-23 | 2007-05-01 | Broadcom Corporation | Flow based congestion control |
US20030033463A1 (en) | 2001-08-10 | 2003-02-13 | Garnett Paul J. | Computer system storage |
US7302700B2 (en) | 2001-09-28 | 2007-11-27 | Juniper Networks, Inc. | Method and apparatus for implementing a layer 3/layer 7 firewall in an L2 device |
JP2005215935A (ja) * | 2004-01-29 | 2005-08-11 | Vodafone Kk | ファイアウォール |
US7895431B2 (en) | 2004-09-10 | 2011-02-22 | Cavium Networks, Inc. | Packet queuing, scheduling and ordering |
US7535907B2 (en) | 2005-04-08 | 2009-05-19 | Oavium Networks, Inc. | TCP engine |
-
2001
- 2001-09-28 US US09/967,878 patent/US7302700B2/en not_active Expired - Lifetime
-
2002
- 2002-09-26 IL IL16111202A patent/IL161112A0/xx unknown
- 2002-09-26 WO PCT/US2002/030835 patent/WO2003030004A1/en active Application Filing
- 2002-09-26 CN CNB028213874A patent/CN100437543C/zh not_active Expired - Lifetime
- 2002-09-26 CA CA002461866A patent/CA2461866A1/en not_active Abandoned
- 2002-09-26 EP EP02763764.4A patent/EP1438670B1/en not_active Expired - Lifetime
- 2002-09-26 EP EP13155632.6A patent/EP2595357B1/en not_active Expired - Lifetime
- 2002-09-26 JP JP2003533141A patent/JP4332033B2/ja not_active Expired - Lifetime
- 2002-09-26 AU AU2002327757A patent/AU2002327757B2/en not_active Ceased
-
2004
- 2004-03-25 IL IL161112A patent/IL161112A/en active IP Right Grant
-
2007
- 2007-10-09 US US11/869,287 patent/US7779459B2/en not_active Expired - Lifetime
-
2010
- 2010-07-08 US US12/832,347 patent/US8291114B2/en not_active Expired - Lifetime
-
2012
- 2012-09-14 US US13/615,780 patent/US8689316B2/en not_active Expired - Fee Related
-
2014
- 2014-03-31 US US14/230,210 patent/US9407605B2/en not_active Expired - Lifetime
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007318582A (ja) * | 2006-05-29 | 2007-12-06 | Nippon Telegr & Teleph Corp <Ntt> | ブリッジ装置 |
JP2012023591A (ja) * | 2010-07-15 | 2012-02-02 | Panasonic Corp | ラージスケールnat検出装置、アプリケーション切替装置、ラージスケールnat検出方法およびアプリケーション切替方法 |
JP2022511404A (ja) * | 2018-11-30 | 2022-01-31 | シスコ テクノロジー,インコーポレイテッド | 動的なインテントベースのファイアウォール |
JP7332689B2 (ja) | 2018-11-30 | 2023-08-23 | シスコ テクノロジー,インコーポレイテッド | 動的なインテントベースのファイアウォール |
US11870755B2 (en) | 2018-11-30 | 2024-01-09 | Cisco Technology, Inc. | Dynamic intent-based firewall |
Also Published As
Publication number | Publication date |
---|---|
WO2003030004A1 (en) | 2003-04-10 |
US20140215600A1 (en) | 2014-07-31 |
EP2595357A2 (en) | 2013-05-22 |
AU2002327757B2 (en) | 2008-11-06 |
EP2595357A3 (en) | 2014-08-20 |
IL161112A0 (en) | 2004-08-31 |
EP1438670A1 (en) | 2004-07-21 |
US8689316B2 (en) | 2014-04-01 |
EP1438670B1 (en) | 2017-06-14 |
US7779459B2 (en) | 2010-08-17 |
US20100281533A1 (en) | 2010-11-04 |
CN100437543C (zh) | 2008-11-26 |
JP4332033B2 (ja) | 2009-09-16 |
CA2461866A1 (en) | 2003-04-10 |
US20030065944A1 (en) | 2003-04-03 |
CN1575462A (zh) | 2005-02-02 |
US20130007839A1 (en) | 2013-01-03 |
US9407605B2 (en) | 2016-08-02 |
IL161112A (en) | 2010-06-16 |
US20080034414A1 (en) | 2008-02-07 |
US8291114B2 (en) | 2012-10-16 |
US7302700B2 (en) | 2007-11-27 |
EP2595357B1 (en) | 2018-08-29 |
EP1438670A4 (en) | 2010-12-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4332033B2 (ja) | L2装置でのレイヤ3/レイヤ7・ファイアウォール実施方法及び装置 | |
AU2002327757A1 (en) | Method and apparatus for implementing a layer 3/layer 7 firewall in an L2 device | |
US10116624B2 (en) | Intelligent sorting for N-way secure split tunnel | |
US7496955B2 (en) | Dual mode firewall | |
US20100100616A1 (en) | Method and apparatus for controlling traffic between different entities on a network | |
US20050257256A1 (en) | Firewall load balancing using a single physical device | |
US20030200463A1 (en) | Inter-autonomous system weighstation | |
US7394756B1 (en) | Secure hidden route in a data network | |
US20040030765A1 (en) | Local network natification | |
US7567522B2 (en) | Suppression of router advertisement | |
Cisco | Configuring IP Services | |
Cisco | Introduction to Cisco MPLS VPN Technology | |
Cisco | Network Protocols Configuration Guide, Part 2 Cisco IOS Release 11.3 AppleTalk, Novell IPX | |
Cisco | Introduction to Cisco MPLS VPN Technology | |
KR20030018018A (ko) | 패킷 컨트롤 시스템과 방법 | |
Miroshnichenko | Design and configuration of a company network: Case study AstraZeneca Russia | |
Donohue | Ccnp Switch 642-813 Quick Reference | |
Ee et al. | Simplifying Access Control in Enterprise Networks | |
Jiang et al. | Measuring and evaluating the current BGP policy model |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050916 |
|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A712 Effective date: 20050916 |
|
RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20050916 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20050916 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080121 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080129 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080430 |
|
RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20080430 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080630 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080820 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20081021 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20081219 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090609 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090619 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4332033 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120626 Year of fee payment: 3 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130626 Year of fee payment: 4 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
EXPY | Cancellation because of completion of term |