JP2005524285A - データフィルタ群を管理するためのデバイス - Google Patents
データフィルタ群を管理するためのデバイス Download PDFInfo
- Publication number
- JP2005524285A JP2005524285A JP2004500468A JP2004500468A JP2005524285A JP 2005524285 A JP2005524285 A JP 2005524285A JP 2004500468 A JP2004500468 A JP 2004500468A JP 2004500468 A JP2004500468 A JP 2004500468A JP 2005524285 A JP2005524285 A JP 2005524285A
- Authority
- JP
- Japan
- Prior art keywords
- primary
- data
- rule
- meta
- identifier
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 claims description 34
- 230000008569 process Effects 0.000 claims description 15
- 238000012986 modification Methods 0.000 claims 1
- 230000004048 modification Effects 0.000 claims 1
- 238000003672 processing method Methods 0.000 claims 1
- 238000001914 filtration Methods 0.000 description 11
- 230000006870 function Effects 0.000 description 8
- 230000009471 action Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 230000000153 supplemental effect Effects 0.000 description 2
- 101150012579 ADSL gene Proteins 0.000 description 1
- 102100020775 Adenylosuccinate lyase Human genes 0.000 description 1
- 108700040193 Adenylosuccinate lyases Proteins 0.000 description 1
- 101001094649 Homo sapiens Popeye domain-containing protein 3 Proteins 0.000 description 1
- 101000608234 Homo sapiens Pyrin domain-containing protein 5 Proteins 0.000 description 1
- 101000578693 Homo sapiens Target of rapamycin complex subunit LST8 Proteins 0.000 description 1
- 101150030531 POP3 gene Proteins 0.000 description 1
- 102100027802 Target of rapamycin complex subunit LST8 Human genes 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 230000003213 activating effect Effects 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000011144 upstream manufacturing Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Business, Economics & Management (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Measurement And Recording Of Electrical Phenomena And Electrical Characteristics Of The Living Body (AREA)
- Image Processing (AREA)
- Circuits Of Receivers In General (AREA)
- Communication Control (AREA)
Abstract
本発明は、1次データを受信し、制御手段5を介して、1次規則群に基づいて特定の処理操作を適用した後に前記1次データを伝送することができるコンピュータサーバに組み込まれたデータ処理デバイス1に関する。前記デバイス1は、1次メタ規則と呼ばれる少なくとも1つの1次規則のセットを、パラメータ化できる形で、対応する1次識別子に対して格納する第1のテーブルT1と、制御手段5に結合され、サーバ2による2次データの受信後、制御手段5によって送られた運用パラメータを表す補助データを受け取ると、第1のテーブルT1から複数の1次識別子の少なくとも1つを選択し、その1次識別子に補助データを関連付けて、特定の処理操作を定義するようにする管理手段8とを含む。
Description
本発明の分野は、データ処理の分野であり、より詳細には、別の公共ネットワークまたは私設ネットワーク、あるいはユーザ端末装置に接続された公共ネットワークまたは私設ネットワークにおけるあるポイントでデータを濾過することの分野である。
データの濾過は、一般に、ファイアウォールと呼ばれる処理デバイスを備えたデータ処理サーバ群によって提供される。ファイアウォールは、通常、私設(つまり内部)ローカルエリアネットワーク(LAN)、および孤立したユーザ端末装置を、インターネットなどの公共(つまり外部)ワイドエリアネットワーク(WAN)を一般に起点とする外部の攻撃または侵入から保護することを目的とする。また、ファイアウォールは、私設ネットワークのユーザによる公共ネットワークへのアクセスを制限し、かつ/または内部ネットワークおよび外部ネットワークからサーバを保護するのにも使用することができる。
ファイアウォールは、前述した諸機能の少なくとも1つを提供するように、つまり、ファイアウォールが導入されているサーバによって受信されるデータパケットを濾過することができるように構成されなければならない。フィルタ群を定義する1次(つまり基本)規則が、一般に、この目的で使用される。したがって、ファイアウォールを構成することは、(数学的な意味で)順序付き配列のアクティブなフィルタ群をファイアウォールに適用することに存する。データパケットを受信すると、パケットの特性が、順序付き配列のフィルタ群の特性と比較され、フィルタ群の特性に適合する特性を有するパケットだけが、通過することを許される。
ファイアウォールを構成することは、ファイアウォールが属するネットワークの管理者によって手動で行われる困難な作業である。この静的な手動の介入のため、もたらされる構成は、機能的には正しいが、不適切である、または最適ではない可能性がある。構成は、誤っている可能性さえある。これらすべてのケースで、サーバの性能は一般に低下する。
ネットワークは頻繁に進化するので、ファイアウォールは、定期的に再構成されなければならず、これにより、誤りまたは不適切さのリスクが高まるだけでなく、ネットワーク管理者の時間が多大に奪われる。
このため、本発明の1つの目的は、ネットワーク、またはネットワークによって提供されるサービスのパラメータの変更および進化、ならびに予測できないイベントをリアルタイムで考慮に入れるファイアウォールフィルタ管理デバイスを提案することにより、前述した欠点の一部またはすべてを克服することである。
この目的で、本発明は、1次データ(つまりデータパケット)を受信し、ファイアウォールタイプの制御手段によって1次規則に基づいて専用処理を適用した後、前記1次データを伝送するようになされたデータ処理サーバに組み込まれるようになされたデータ処理デバイスを提案する。
デバイスは、i)「1次メタ規則」と呼ばれる1次規則セットの「定義/原型(prototype)」をパラメータ化できる形で、1次識別子に対応する関係で格納する(各1次メタ規則、つまりセットは、少なくとも1つの1次規則を含む)第1のテーブルと、ii)制御手段に結合され、第1のテーブルの中にある一部の(certaine)第1識別子を選択することができ、サーバによる2次データの受信後、制御手段によって送られた運用パラメータを表す補助データを受け取ると、第1のテーブルの中にある複数の1次識別子の少なくとも1つを選択し、補助データをその1次識別子に関連付けて専用プロセスを定義するようになされた管理手段とを含むことを特徴とする。
上記の文脈で、「補助データ」という表現は、サーバによる2次データの受信後、ファイアウォールなどの制御手段において実施されるべきメタ規則の1次規則群の運用パラメータに割り当てられなければならないデータ(または値)を意味する。また、上記の文脈で、「2次データ」という表現は、制御手段の再構成の要求として内容が解釈されるサーバ(またはサーバの制御手段)によって受信されるあらゆる情報を意味する。この表現は、1次データパケットの中に含まれるデータ(またはフィールド)、またはネットワークにおいて生じているイベント、例えば、カードの追加を指していることが可能である。
したがって、管理手段は、制御手段を再構成することを、再構成が必要であることが明らかになるたびに毎回、動的に、人間の介入なしに、第1のテーブルの中で定義され、格納されている1次メタ規則、およびサーバによって供給された情報(補助データ)に基づいて行うことができる。
本発明の別の特徴によれば、デバイスは、補助データに関連する少なくとも1つの選択された(つまりアクティブ化された)、(つまり、補助データによって表される運用パラメータで制御手段において適用されるメタ規則を示す)1次識別子にそれぞれが対応する関係で2次識別子群が格納される、管理手段がアクセスすることができる(好ましくは、第1のテーブルと同様に管理手段に組み込まれた)第2のテーブルを含むことが可能である。この場合、管理手段が、補助データを受け取ると、対応する選択された2次識別子群が第2のテーブルの中に既に存在するかどうかを判定して、専用プロセスを適応させることを目的とする新たな補助データを2次識別子に関連付けるようにすることができることが有利である。これは、構成全体ではなく、構成の変更される必要のある部分だけが変更されることを意味する。
第2のテーブルの中にある一部の選択された1次メタ規則群をグループ化して、補助データに関連する2次識別子によってやはり表される2次メタ規則群にすることができる。
2次識別子は、1次識別子と同一であっても、そうでなくてもよい。例えば、1次メタ規則は、ファイアウォールにおいて単一のパラメータセット(つまり、補助データセット)の下でだけ実行される場合、第1のテーブルと第2のテーブルの中で同一の(1次)識別子を有することが可能である。反対に、1次メタ規則は、ファイアウォールにおいて異なるパラメータセットの下で実行される場合、1次識別子とは異なる2次識別子が付いていなければならない。
これらの(1次)メタ規則群および「超」(2次)メタ規則群により、(再)構成時間がさらに短くなる。
管理手段は、好ましくは、1つまたは複数の1次メタ規則または2次メタ規則との補助データの関連を管理することをそれぞれが目的とする複数の管理サブモジュールを含み(重要なことは、サブモジュール群が、担当する1次メタ規則群または2次メタ規則群を分割することである)、補助データを受け取ると、複数の管理サブモジュールのいずれがその補助データに対応するかを判定するようになされている。これにより、再構成が容易になり、短くなる。
さらに、管理手段は、ある補助データを受け取ると、第2のテーブルから格納されている複数の2次識別子の少なくとも1つを削除するようになされていることが可能である(これは、制御手段のレベルで1次メタ規則または2次メタ規則を選択解除する、つまり非アクティブ化することに相当する)。同様に、管理手段は、サーバによって通信された補足的なデータを受け取ると、1次メタ規則または2次メタ規則、あるいは1次メタ規則または2次メタ規則に関連する第2のテーブルの中の補助データを適応させる、削除する、または変更するようになされていることも可能である。
さらに、管理手段およびテーブルは、好ましくは、サーバに備わり、制御手段を含むファイアウォールを管理する「メタファイアウォール」の一部である。
また、本発明は、前述したタイプのデバイスを備えたファイアウォールも提供する。
本発明は、データを動的に処理する方法をさらに提供し、方法は、1次規則群に依拠してデータ処理サーバによって受信された1次データに専用プロセスを適用して、受信された1次データが処理されてから、サーバによって伝送されるようにすることに存する。
この方法は、「1次メタ規則」と呼ばれる少なくとも1つの1次規則のセットが、パラメータ化できる形で、1次識別子群に対応する関係で第1のテーブルの中に格納され、2次データの受信後、サーバによって送られた運用パラメータを表す補助データが受け取られると、第1のテーブルの中の複数の1次識別子の少なくとも1つが選択され、補助データが1次識別子に関連付けられて専用プロセスが定義される予備ステップを含むことを特徴とする。
本発明の別の特徴によれば、予備ステップ中、補助データに関連する少なくとも1つの選択された1次識別子にそれぞれが対応する関係にある2次識別子群が、第2のテーブルの中に格納される。
第2のテーブルの中の一部の1次メタ規則をグループ化して、2次識別子群によって表される2次メタ規則群にすることができる。
本発明の別の特徴によれば、第1のテーブルの中の1次メタ規則群または2次メタ規則群の選択と、選択された1次メタ規則群または2次メタ規則群を表す2次識別子に関連する第2のテーブルの中の補助データの変更は、並行して実行される。
さらに、方法は、ある補助データが受け取られた場合、第2のテーブルの中に格納されている1次メタ規則群または2次メタ規則群の少なくとも1つを削除することができる。同様に、1次メタ規則群または2次メタ規則群は、サーバによって通信された補足データが受け取られると、第2のテーブルに追加する、第2のテーブルから削除する、または第2のテーブルの中で変更することができる。
本発明によるデバイスおよび方法は、公共遠隔通信ネットワークおよび私設遠隔通信ネットワークにおけるデータの濾過に特に、ただし、排他的にではなく適している。
本発明のその他の特徴および利点は、以下の詳細な説明を読み、添付の図面を考査することで明白となる。
添付の図面は、大方、特定の性質のものであり、したがって、本発明の説明の一部を成すとともに、必要な場合、本発明を定義することに寄与している。
以下の説明は、図1に示すとおり、公共(つまり外部)ネットワーク3と私設(つまり内部)ネットワーク4の間の接続ノード(つまりポイント)に設置されたデータ処理サーバ2に組み込まれたデータ処理デバイス1を参照する。ただし、サーバは、他の多くの場所に、例えば、サービスプロバイダまたはケーブル事業者のところに設置されることも可能である。
例えば、公共ネットワーク3は、インターネットであり、私設ネットワーク4は、多数のユーザ端末装置に接続されたローカルエリアネットワーク(LAN)である。
もちろん、デバイス1は、サーバ2に接続される補助装置タイプの外部ユニットに組み込まれることも可能であり、その場合、サーバ2は、外部ネットワーク(インターネット)に直接に接続される。
図示する例では、サーバは、着信データパケットと発信(1次)データパケットが、実質的に同一であるという意味で、「ルータ」タイプである。例えば、サーバ2は、音声データを交換するようになされている。例えば、サーバ2は、インターネット網4を介して通信する複数の電子回路カードを備えている。それらのカードの1つは、外部ネットワーク3(この場合、インターネット)にアクセスし、したがって、WANインタフェース(ADSL、ISDN、イーサネット(登録商標))を組み込んでいる。各カードは、内部ネットワークのその他のデータ処理ハードウェアを所与として、特に、内部ネットワーク4上で生じさせることができるトラフィックのタイプに関して、独自の特権を有する。
サーバ2は、好ましくは、構成可能な、またはパラメータ化できるサービス、例えば、電子メールモジュール、イントラネットモジュール、仮想プライベートネットワーク(VPN)モジュールなどもホストする。
サーバ2は、当業者には知られており、入出力インタフェース6を介して外部ネットワーク3から、または入出力インタフェース7を介して内部ネットワーク4から受信された1次データパケットを濾過することを主に目的とするファイアウォール5も備えている。
したがって、ファイアウォール5は、ユーザ端末装置Ti、または、この場合、私設ネットワーク4を外部ネットワーク3を起点とする侵害または攻撃から保護する。
サーバ2によって受信された1次データパケットに対するパラメータ化できる基本(つまり1次)規則群の適用に基づくという条件付きで、あらゆるタイプの濾過を構想することができる。濾過は、ネットワーク全体に広く適用しても、ネットワークの諸部分に適用しても、あるいは各ユーザに適合させてもよい。各ユーザに適合される場合、濾過は、ユーザの認証にも同様に適用される。
もちろん、ファイアウォールは、濾過以外の諸機能を提供するように構成することもできる。ファイアウォールは、特に、ユーザ端末装置群と外部ネットワークの間で交換される一部の情報を格納することができる。これは、一般に、以前に受け入れられた接続の座標(ユーザアドレス、様々なWebサイト上で訪れたページのアドレス(例えば、URL)、訪れた日時)を適切なメモリの中に保存することに関わる。また、ファイアウォールは、例えば、ファイアウォールが、アプリケーションレイヤの諸要素に応じてパケットを受け入れるか、または拒否するかを決めることができるように、ファイアウォールのOSIモデルのより高いレベルにデータパケット解析を供給するように構成することもできる。さらに、ファイアウォールは、交換される一部のパケットのトレースを保持するように(「LOG」モード)、かつ/または一部のパケットの内容を変更するように(ネットワークアドレス変換(NAT)モード、例えば、内部ネットワークのIPアドレスをマスクするために)構成することもできる。また、ファイアウォールは、ウイルスを検出するように構成することもできる。
図示する例では、ファイアウォール5は、本発明によるデバイス1の一部分を形成している。しかし、デバイス1は、代わりに、ファイアウォールの構成を動的に管理し、制御するために、「在来の(natif)」ファイアウォールに単に結合することもできる。
次に、本発明の処理デバイス1の一例を図2を参照して詳細に説明する。
前述したとおり、この例では、デバイス1は、第1に、ファイアウォール5を形成する制御モジュールを含む。このファイアウォールは、標準の(つまり在来の)ファイアウォールと実質的に同一であり、詳細に説明することはしない。特に、ファイアウォールの階層構造は、当業者が完全に熟知しているので、以下の説明では無視する。
ファイアウォールモジュール5は、パラメータ化することができる基本(つまり1次)規則群に依拠して定義される専用処理(つまり濾過)動作を1次データパケットに適用するために、自らの入出力インタフェース6および7のいずれかを介してサーバ2から1次データパケットを受信することを目的とする。
より正確には、ファイアウォールモジュール5は、アクティブなフィルタ群を定義するパラメータ化できる1次規則群の順序付き配列を導入することによって最初に構成され、送信元アドレスおよび宛先アドレス、入力ネットワークアドレスおよび出力ネットワークアドレス、TCP、UDP、またはICMPなどのIP上の交換プロトコル(例えば、インターネットの場合)などのパケットの独自の特性に応じて、あるいはTCPおよびUDPの場合の送信元ポートおよび宛先ポート、またはICMPの場合のパケットタイプなどの交換プロトコルに適合したパラメータに応じて、順次に、秩序正しい形でパケットに前記フィルタ群が適用されることが可能であるようになる。
ファイアウォールの構成は、一般に、デフォルトですべてのトラフィックを禁止しなければならず、アクティブなフィルタ群は、許可されなければならないトラフィックのあるサブセットだけを許可しなければならない。例えば、内部ネットワークをインターネットに接続するルータは、以下の単純化された規則群を適用することができる。すなわち、
・以前に受け入れられたパケットに関連するパケットを受け入れる
・内部ネットワーク(LAN)に由来し、インターネットに向かうパケットは、例えば、HTTP(TCP/80)タイプまたはHTTPS(TCP443)タイプである場合、受け入れる
・LANに由来し、ルータに向かうパケットは、DNS(UDP/53)タイプまたはEcho Request(ICMP,request echo)タイプである場合、受け入れる
・指定されたアドレス「*@*」における企業LAN上のメールサーバに関連するパケット、例えば、インターネットに由来し、LAN上のアドレス「*@*」に向かうSMTP(TCP/25)パケット、またはアドレス「*@*」に由来し、インターネットに向かうSMTP(TCP/25)パケットおよびPOP3(TCP/110)パケットを受け入れる。
・以前に受け入れられたパケットに関連するパケットを受け入れる
・内部ネットワーク(LAN)に由来し、インターネットに向かうパケットは、例えば、HTTP(TCP/80)タイプまたはHTTPS(TCP443)タイプである場合、受け入れる
・LANに由来し、ルータに向かうパケットは、DNS(UDP/53)タイプまたはEcho Request(ICMP,request echo)タイプである場合、受け入れる
・指定されたアドレス「*@*」における企業LAN上のメールサーバに関連するパケット、例えば、インターネットに由来し、LAN上のアドレス「*@*」に向かうSMTP(TCP/25)パケット、またはアドレス「*@*」に由来し、インターネットに向かうSMTP(TCP/25)パケットおよびPOP3(TCP/110)パケットを受け入れる。
濾過の結果に応じて、ファイアウォールモジュール5は、処理済みの1次データ、すなわち、濾過された場合の、適宜、補完され、かつ/または変更された1次データか、または受信された1次データを拒否するメッセージをサーバ2に送る。もちろん、1次データは、ファイアウォールモジュール5によって受け入れられた後、単にサーバを通過することも可能である。
デバイス1は、サーバの構成を定義する基本規則群の順序付き配列を最適化するための、ただし、より重要なこととして、サーバ2(またはサーバのファイアウォール5)が、例えば、内部ネットワーク4上の変更、または内部ネットワーク4上または外部ネットワーク3上の予期されなかったイベントに対応する2次データを受信するたびに毎回、サーバを動的に、最適な形で再構成することを可能にするため、ならびにサーバに高いレベルのセキュリティを提供するための管理モジュール8を含む。
より正確には、管理モジュール8は、第1に、サーバ2の物理的(つまりハードウェア)特性、例えば、サーバ2が含む電子回路カードの数、カードのタイプ、内部ネットワーク4のトポロジに対して、第2に、サーバの動作構成に対して、例えば、適宜、特定の端末装置に関して、かつ/またはユーザライセンスの存在について特定の制約を伴って、進化しやすい一部のパラメータ化できる内部サービスおよび/または外部サービスをサーバが提供することができるように、第3に、リストされている攻撃またはリストされていない攻撃、例えば、ホストされるサービス(http、VPN、telnet)に接続しようとする試みやポートスキャンの試み、インターネットサイトまたはインターネットサービスへの接続/接続解除、遠隔の端末装置とのリンク、または認証プロセスに関連するセキュリティで保護された(つまり暗号化された)トンネルの出現/消滅などのLAN/WANインタフェースにおけるトラフィックの変化、またはサービスまたはカードによるタスクの実行中に生じさせられた刺激などの予期されなかった内部イベントおよび/または外部イベントの出現に対して、ファイアウォールモジュール5の構成を動的に適応させることを目的とする。
前述した諸機能を実現するため、管理モジュール8は、「メタファイアウォール」モジュールとも呼ばれ、ファイアウォールモジュール5に結合された第2の「接続」モジュール10に結合された第1の構成モジュール9を含む。
サーバ2は、物理的(つまりハードウェア)特性の変更、サービスパラメータ(の変更)、または「コンテキスト」情報(刺激)に関連する2次データを受信した場合、管理モジュール8を宛先とする補助(つまり補足的)データを生成して、サーバ2のファイアウォールモジュール5を(再)構成するようにモジュール8に要求する。この補助データを受け取ると、管理モジュール8は、そのデータを自らの第1の構成モジュール9に通信する。
構成モジュール9は、ファイアウォールモジュール5の現在の構成に対して変更を行う機会について判断を行う判断ユニットであり、メタファイアウォール10は、その判断の実際的な実施を担う。
メタファイアウォール10は、ファイアウォールモジュール5、ならびにパラメータ化できる基本(つまり1次)規則群を定義するデータと1次識別子群の間における対応の第1のテーブルT1が格納されている少なくとも1つの第1のメモリ12に結合されたインタフェース(または「エンジン」)サブモジュールを含む。
より正確には、(1次)メタ規則と呼ばれる基本(つまり1次)規則のセット(またはクラス)の定義/原型が、第1のテーブルの中に格納される。各メタ規則は、選択された濾過カテゴリに固有である。各セットまたは各クラス(つまり1次メタ規則)は、少なくとも1つの基本規則つまり1次規則を含むが、一般に、フィルタを定義するのに複数の基本規則が要求される。
1次識別子が、各1次メタ規則、つまり規則のクラスに関連付けられている。したがって、メタ規則はそれぞれ、第1のテーブルT1の中に格納されている定義(または原型)を有する。それらの定義は、好ましくは、デバイスの設計段階中、ファイアウォールモジュール5およびその使用を考慮に入れて、コンパイルツールの助けを借りて作成される。実際、コンパイルツールは、内容がファイアウォールモジュール5に適合する(またはファイアウォールモジュール5が理解することができる等価の1次規則群に反映されることが可能な)メタ規則群を作成する。
第1の構成モジュール9は、メタ規則群の1次識別子のリスト、および1次識別子が対応する補助データのタイプを知っている。このため、補助データ(例えば、新たなISDNタイプのIP接続が内部ネットワーク4の端末装置によって要求されたことを示す)を受け取ると、第1の構成モジュール9は、その補助データから、第1に、データタイプを導き出すことができ、したがって、ファイアウォールモジュール5が(再)構成されるために補助データに関連付けなければならないメタ規則を導き出すことができる。次に、構成モジュール9は、メタファイアウォール10のエンジン11に1次識別子および関連する補助データ(またはパラメータ値)を供給する。
第1の実施形態では、1次識別子および補助データ(つまりパラメータ値)を受け取ると、エンジン11は、第1のテーブルT1から関連する定義を抽出し、指定された1次メタ規則群のパラメータに受け取られた値(つまり補助データ)を割り当てる。このようにして、エンジン11は、自らがファイアウォールモジュール5に送る1つまたは複数の新たな1次メタ規則を作成して、それらのメタ規則が、不適切になった規則に取って代わる、または追加されるようにする。
この実施形態は、サーバ2によって供給される補助データに関連するファイアウォールモジュール5の構成の部分だけを変更し、ファイアウォールモジュール5が、自らの構成パラメータを簡単で迅速に供給することができる場合、有利である。その場合、エンジン11は、いずれの構成がファイアウォールモジュール5における現在の構成であるかを見分けることができ、変化したパラメータだけを変更する。しかし、この第1の実施形態は、ファイアウォールモジュール5が、自らの構成パラメータを供給するように設計されていない場合、または簡単で迅速にそうすることができない場合、最適でない可能性がある。実際、ファイアウォールモジュール5においてアクティブ化されている1次メタ規則が知られていないので、供給されたパラメータ値を使用してファイアウォールモジュール5のすべての規則を再び計算する必要があり、この計算は、クラスが多数の基本規則を含む場合、いくぶん長いプロセスになる可能性がある。この計算は、特にランダムなイベントの場合、困難である、または不可能でさえある可能性がある。というのは、この計算は、すべてのイベントのすべての特性データを保存すること、およびファイアウォールモジュール5の1次規則群のパラメータを設定することを前提とし、これを行うことは、以下に説明するとおり、テーブルT2を上流の処理レベルに移すことに等しいからである。
したがって、本発明のデバイスは、図2に示したものとはわずかに異なる形をとることが可能である。この第2の実施形態では、メタファイアウォール10は、エンジン11に結合され、2次識別子群と1次識別子群の間の対応の第2のテーブルT2を格納する第2のメモリ13を含み、第1の識別子群は、「アクティブ化された」(つまり選択された)1次メタ規則群を示す。というのは、この1次メタ規則群は、ファイアウォールモジュール5の現在の構成の一部であり、その構成の一部であるこのメタ規則群のパラメータの現在の値を定義する補助データに関連しているからである。つまり、第2のメモリ13は、ファイアウォールモジュール5の現在の構成を格納する。
一部の2次識別子群は、例えば、1次メタ規則が、ファイアウォールモジュール5において単一セットのパラメータ(つまり単一セットの補助データ)だけで使用される場合、一部の1次識別子群と同一であることが可能である。しかし、2次識別子は、対応する1次メタ規則が、ファイアウォールモジュール5においていくつかの異なるセットのパラメータで使用される場合、1次識別子とは異なる。
第1の構成モジュール9は、好ましくは、第2の識別子群のリスト、および第2の識別子群が対応する補助データのタイプを知っている。このため、第1の構成モジュール9によって供給された第2の識別子および値を受け取ると、エンジン11はまず、第2のテーブルT2を調べて、第2のテーブルT2が、適宜、受け取られたものとは異なる補助データ(つまり値)に対応する関係にある前記2次識別子を含むかどうかを判定する。
含まない場合、エンジン11は、第1の実施形態の場合と同様の手順をとる。したがって、エンジン11は、第1のテーブルT1から、受け取られた2次識別子または1次識別子に関連するメタ規則の定義を抽出し、受け取られた値(つまり補助データ)をそのメタ規則のパラメータに割り当てる。また、エンジン11は、第2のテーブルT2からメタ規則を削除することを決定することもできる。その場合、エンジン11はまず、古い補助データに関連する1次規則のセットを再構成し、それらの規則をファイアウォールモジュール5から削除する。メタ規則を変更することも、ファイアウォールモジュール5が、アクティブ化された1次規則群を特定する簡単な手段を提供しない場合(メタファイアウォールが、2次識別子を使用してメタ規則群を特定する簡単な手段を提供するので、これが該当すると考えることができる)、メタ規則の古いバージョンをあらかじめ削除することを前提とする。
このようにして、新たな基本規則のクラスが作成され、ファイアウォールモジュール5に送られて、不適切になったメタ規則に取って代わるか、既にアクティブ化されているメタ規則群に追加される。次に、メタ規則の第2の識別子および関連する補助データが第2のテーブルT2の中に格納される。というのは、以降、これらの識別子およびデータが、現在の構成の一部を定義するからである。
しかし、1次識別子または2次識別子が第2のテーブルT2の中に存在する場合、1次識別子に関連する補助データが抽出され、変更されなければならないデータだけが置き換えられる。もちろん、補助データ(つまり値)は、新たなパラメータが第1の構成モジュール9によって導入されている場合にも追加されることが可能である。次に、ファイアウォールモジュール5に変更されたメタ規則またはパラメータ化された新たなメタ規則が送られて、そのメタ規則が、不適切になったメタ規則に取って代わるか、または追加されるようになる。次に、新たな補助データが、関連する2次識別子および1次識別子に対応する関係で第2のテーブルT2の中に格納される。というのは、以降、この補助データが、現在の構成の一部を定義するからである。
再構成処理をさらに加速させるため、2次メタ規則群を形成するクラス(つまり1次メタ規則のクラス)のクラスも、第2のテーブルT2の中で形成することができる。その場合、それらの2次メタ規則群は、それらの2次メタ規則群が、補助データを使用してアクティブ化された(選択された)場合に、関連する1次識別子群および補助データに対応する関係で第2のテーブルT2の中にやはり格納されている2次識別子に関連付けられる。
1次メタ規則の規則群の間、または2次メタ規則の1次メタ規則群の間、あるいは1次メタ規則群の間または2次メタ規則群の間の優先レベルも、対応するテーブルの中に入れることができる。
エンジン11は、好ましくは、第1の構成モジュール9の命令で、ファイアウォールモジュール5においてもはやアクティブでない1次メタ規則群に関連する2次識別子群を第2のテーブルT2から削除するようになされている。エンジン11は、好ましくは、第1の構成モジュール9の命令で、新たな1次メタ規則群または2次メタ規則群に関連する2次識別子群を第2のテーブルT2の中で追加する、または変更する、または1つまたは複数の1次メタ規則を2次メタ規則に追加する、または2次メタ規則から除去するようにもなされている。また、エンジン11は、コマンドで、少なくとも2つの異なる1次メタ規則または2次メタ規則に属する1次メタ規則群または2次メタ規則群を同一の2次メタ規則の中で結合し、または1次メタ規則または2次メタ規則を少なくとも2つの1次メタ規則または2次メタ規則に分割して、新たなフィルタ定義を作成するようにもなされていることが可能である。
第1の構成モジュール11によって送られるコマンドは、好ましくは、サーバ2から受け取られたコマンド(または補足的データ)の結果である。
第2のテーブルT2の中にデータを保存することの2つの例示的な例を次に説明する。前述したとおり、第1のテーブルT1は、1次識別子に対応する関係で1次メタ規則の定義または原型を含む。例えば、1次識別子「Email」が、3つの1次規則原型の以下のセットを示す。
・規則1:Flow=FromLanToWan Source=$1 Protocol=tcp DestinationPort=smtp Action=ACCEPT
・規則2:Flow=FromLanToWan Source=$1 Protocol=tcp DestinationPort=pop3 Action=ACCEPT
・規則3:Flow=FromWanToLan Destination=$1 Protocol=tcp DestinationPort=smtp Action=ACCEPT
・規則1:Flow=FromLanToWan Source=$1 Protocol=tcp DestinationPort=smtp Action=ACCEPT
・規則2:Flow=FromLanToWan Source=$1 Protocol=tcp DestinationPort=pop3 Action=ACCEPT
・規則3:Flow=FromWanToLan Destination=$1 Protocol=tcp DestinationPort=smtp Action=ACCEPT
このEmailメタ規則は、内部ネットワーク(LAN)上の電子メールサーバとインターネット上のISPサーバの間で電子メールを交換するのに使用される。このメタ規則は、LAN上の電子メールサーバのISPアドレスに対応する1つのパラメータ(補助データ)「$1」だけを含む。
このパラメータは、その3つの1次規則原型に固有の構文を使用して送られる。
1次規則群を特徴付けるその他のパラメータ(「Protocol=tcp」、「DestinationPort=smtp」、または「FromLanToWan」)は、第1のテーブルのエントリの中で静的に定義される。
サーバアドレス10.0.0.1(または補助データ)を有する1次メタ規則、Emailをアクティブ化することが所望される場合、アドレス10.0.0.1に関連する1次識別子Emailが、この例ではやはりEmailであることが可能な2次識別子に対応する関係で、第2のテーブルT2の中に保存される。第2のテーブルT2の中で、これは、「Email−>Email 10.0.0.1」という形で表現されることが可能である。
保存は、「metafirewall add Email 10.0.0.1」タイプの命令を使用して実行されることが可能である。
サーバアドレスを後に変更しなければならない、またはメタ規則、Emailを後に削除しなければならない場合、命令「metafirewall add Email 20.0.0.1」および命令「metafirewall delete Email」がそれぞれ、発せられる。
例えば、アドレス「10.0.0.2」を有する第2の電子メールサーバを含むように設備が進化し、単一の2次メタ規則を使用して両方のサーバを管理することが所望される場合、2次識別子「サーバ」をその2次メタ規則に関連付けることができる。
2次メタ規則を示すこの2次識別子、および関連する補助データを第2のテーブルT2の中に保存するため、「metafirewall addin Server Email 10.0.0.1」および「metafirewall appendin Server Email 10.0.0.2」コマンドが発せられる。
第2のテーブルT2の中で、これは、以下の形で表現されることが可能である。
・Server−> Email 10.0.0.1
Email 10.0.0.2
・Server−> Email 10.0.0.1
Email 10.0.0.2
必要となった場合、メタ規則サーバは、「metafirewall delete Server」コマンドで削除することができる。
必須ではないが、第1の構成モジュール9は、(1次および/または2次)メタ規則の別個のセットのパラメータ(補助パラメータ)をアクティブ化し、設定することをそれぞれが担う複数の構成サブモジュールに分割されて、1次データが受け取られると、その1次データに関連するモジュールだけが呼び出されるようにすることができる。その場合、各サブモジュールは、第1のテーブルT1の一部分に結合されたエンジン11の一部分を対象とするようになされる。モジュール間で依存関係リンクが存在することが可能である。その場合、あるモジュールを呼び出すことは、そのモジュール自体、自らが依存する、または自らが関連しているモジュール群を呼び出すことを必然的に伴う。これにより、再構成を計算するのに必要な時間がさらに短縮される。
構成モジュール9およびメタファイアウォール10は、以上では、2つの、結合されているが、別個のモジュールの形態で説明してきた。しかし、構成モジュール9およびメタファイアウォール10は、単一のモジュール8を形成することも可能である。
さらに、それ自体でファイアウォールを形成するデバイスを説明してきた。しかし、ファイアウォールモジュールが、固有の形態でサーバ2の中に既に導入されている場合、本発明のデバイスがファイアウォールモジュール5を含まないことも可能である。したがって、その場合、本発明のデバイスは、管理モジュール8だけから成り、管理モジュール8をサーバ2の中に導入して、サーバ2内部で固有のファイアウォールモジュールに結合されるようにしなければならない。
さらに、第1の構成モジュール9やエンジン11などのデバイス1の一部のモジュールは、ソフトウェアモジュールの形態をとることも可能である。しかし、それらのモジュールは、少なくとも部分的に、電子回路(ハードウェア)の形態、またはソフトウェアモジュールと電子回路の組み合わせの形態で実施することも同様に可能である。ソフトウェアモジュールは、例えば、Java(登録商標)、C、またはC++で書くことができる。
また、メタファイアウォール10の諸機能(特にテーブルT1およびT2を介する規則群の名指し)を標準のファイアウォール5に組み込むこともできる。
本発明は、データ処理サーバ12によって受信された1次データに、1次規則群に基づいて専用プロセスを適用して、受信された1次データが処理されてから、前記サーバによって伝送されるようにするためのデータを動的に処理する方法も提供する。
この方法は、前述したデバイスを使用して実施することができる。この方法のステップによって提供される主な機能および下位機能、ならびにオプションの機能は、前述したデバイスを形成する様々な手段によって提供される諸機能と実質的に同一であるため、本発明による方法の主な機能を実施するステップだけを以下に説明する。
方法は、第1の規則のセット(「1次メタ規則」と呼ばれ、少なくとも1つの1次規則から成る)が、パラメータ化できる形で、1次識別子に対応する関係で第1のテーブルT1の中に格納され、その後、第1のテーブルT1の中でいくつかの1次識別子が選択され、2次データの受信後、サーバ2によって送られた運用パラメータを表す補助データが受け取られると、第1のテーブルの中で複数の1次識別子の少なくとも1つが選択され、補助データがその1次識別子に関連付けられて、専用プロセスが定義される予備ステップを含む。
さらに、予備ステップ中、補助データに関連する少なくとも1つ選択された1次識別子にそれぞれが対応する関係で、複数の2次識別子が第2のテーブルT2の中に格納されることが可能である。
さらに、第1のテーブルT1における1次メタ規則の選択と、第2のテーブルT2における選択された1次メタ規則または2次メタ規則を表す2次識別子に関連する補助データの変更が、並行に実行されることが可能である。
本発明は、単に例として以上に説明したデバイスおよび方法の実施形態に限定されず、添付の特許請求の範囲に含まれる当業者が構想することができるすべての変形形態を包含する。
Claims (14)
- 1次データを受信し、制御手段(5)が1次規則に基づいて専用処理を適用した後、前記1次データを伝送するようになされたデータ処理サーバ(2)に組み込まれるようになされたデータ処理デバイス(1)であって、
i)「1次メタ規則」と呼ばれる少なくとも1つの1次規則のセットをパラメータ化できる形で、1次識別子に対応する関係で格納する第1のテーブル(T1)と、
ii)前記制御手段(5)に結合され、前記サーバ(2)による2次データの受信後、前記制御手段(5)によって送られた運用パラメータを表す補助データを受け取ると、第1のテーブル(T1)の中にある複数の1次識別子の少なくとも1つを選択し、前記補助データを該少なくとも1つの1次識別子に関連付けて前記専用プロセスを定義するようになされた管理手段(8)とを含むことを特徴とする、データ処理デバイス。 - 補助データに関連する少なくとも1つの選択された1次識別子にそれぞれが対応する関係で複数の2次識別子が格納される、前記管理手段(8)がアクセスすることができる第2のテーブル(T2)を含むことを特徴とする請求項1に記載のデバイス。
- 前記管理手段(8)が、前記補助データを受け取ると、該補助データに対応する選択された1次識別子が第2のテーブル(T2)の中に存在するかどうかを判定して、前記専用プロセスを適応させることを目的とする新たな補助データを該1次識別子に関連付けるようになされていることを特徴とする請求項2に記載のデバイス。
- 第2のテーブル(T2)の中にある一部の選択された1次メタ規則群をグループ化して、2次識別子によって表される2次メタ規則群にすることを特徴とする請求項2に記載のデバイス。
- 前記管理手段(8)が、i)少なくとも1つの1次メタ規則または2次メタ規則との補助データの関連を管理するようにそれぞれがなされた複数の管理サブモジュールを含み、ii)前記補助データを受け取ると、前記管理サブモジュールのいずれが該補助データに対応するかを判定するようになされていることを特徴とする請求項1に記載のデバイス。
- 前記管理手段(8)が、サーバ(2)によって通信された前記補助データを受け取ると、1次メタ規則または2次メタ規則、または補助データを前記1次メタ規則または前記2次メタ規則に関連する第2のテーブル(2)に追加するか、第2のテーブルから削除するか、または第2のテーブルの中で変更するようになされていることを特徴とする請求項2に記載のデバイス。
- 前記管理手段(8)および前記テーブル(T1、T2)が、前記サーバ(2)に備わったファイアウォールを管理するようになされたメタファイアウォールの一部であることを特徴とする請求項1に記載のデバイス。
- 請求項1から7のいずれか一項に記載のデバイス(1)を含むことを特徴とするファイアウォール。
- データ処理サーバ(2)によって受信された1次データに1次規則群に基づいて専用プロセスを適用して、受信された1次データが処理されてから前記サーバによって伝送されるようにすることに存するデータ処理方法であって、
i)「1次メタ規則」と呼ばれる少なくとも1つの1次規則のセットがパラメータ化できる形で、1次識別子群に対応する関係で第1のテーブル(T1)の中に格納され、(ii)2次データの受信後、サーバ(2)によって送られた運用パラメータを表す補助データが受け取られると、第1のテーブル(T1)の中の複数の1次識別子の少なくとも1つが選択され、前記補助データが前記1次識別子に関連付けられて前記専用プロセスが定義される、予備ステップを含むことを特徴とする方法。 - 予備ステップ中、補助データに関連する少なくとも1つの選択された1次識別子にそれぞれが対応する関係にある2次識別子群が、第2のテーブル(T2)の中に格納されることを特徴とする請求項9に記載の方法。
- 補助データが受け取られると、該補助データに対応する選択された1次識別子が第2のテーブル(T2)の中に存在するかどうかを判定して、前記専用プロセスを適応させるようになされた新たな補助データを該1次識別子に関連付けるようにすることを特徴とする請求項10に記載の方法。
- 第2のテーブル(T2)の中にある一部の1次メタ規則群がグループ化して、2次識別子によって表される2次メタ規則群にすることを特徴とする請求項10に記載の方法。
- i)第1のテーブル(T1)における1次メタ規則群または2次メタ規則群の選択と、ii)選択された1次メタ規則群または2次メタ規則群を表す2次識別子に関連する第2のテーブル(T2)における補助データの変更が、並行に実行されることを特徴とする請求項9に記載の方法。
- 前記サーバ(2)によって通信された補足的データが受信されると、1次メタ規則群または2次メタ規則群が第2のテーブル(T2)に追加されるか、第2のテーブルから削除されるか、または第2のテーブルの中で変更されることを特徴とする請求項9に記載の方法。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR0205091A FR2838843B1 (fr) | 2002-04-23 | 2002-04-23 | Dispositif d'adaptation dynamique de filtres de donnees |
| PCT/FR2003/001267 WO2003092241A1 (fr) | 2002-04-23 | 2003-04-22 | Dispositif de gestion de filtres de donnees |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005524285A true JP2005524285A (ja) | 2005-08-11 |
| JP4308753B2 JP4308753B2 (ja) | 2009-08-05 |
Family
ID=28686310
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004500468A Expired - Fee Related JP4308753B2 (ja) | 2002-04-23 | 2003-04-22 | データフィルタ群を管理するためのデバイス |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US8914339B2 (ja) |
| EP (1) | EP1357724B1 (ja) |
| JP (1) | JP4308753B2 (ja) |
| CN (1) | CN100550893C (ja) |
| AT (1) | ATE500674T1 (ja) |
| DE (1) | DE60336188D1 (ja) |
| FR (1) | FR2838843B1 (ja) |
| WO (1) | WO2003092241A1 (ja) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100388676C (zh) * | 2004-12-06 | 2008-05-14 | 中兴通讯股份有限公司 | 电信设备性能报表的自动生成方法 |
| CN100372331C (zh) * | 2005-12-12 | 2008-02-27 | 华为技术有限公司 | 一种过滤数据的方法及系统 |
| CN101083607B (zh) * | 2006-05-30 | 2010-12-08 | 倪海生 | 一种用于内外网络隔离的因特网访问服务器及其处理方法 |
| US9667442B2 (en) * | 2007-06-11 | 2017-05-30 | International Business Machines Corporation | Tag-based interface between a switching device and servers for use in frame processing and forwarding |
| US8559429B2 (en) * | 2007-06-11 | 2013-10-15 | International Business Machines Corporation | Sequential frame forwarding |
| US8867341B2 (en) * | 2007-11-09 | 2014-10-21 | International Business Machines Corporation | Traffic management of client traffic at ingress location of a data center |
| WO2009061973A1 (en) * | 2007-11-09 | 2009-05-14 | Blade Network Technologies, Inc. | Session-less load balancing of client traffic across servers in a server group |
| US8458769B2 (en) * | 2009-12-12 | 2013-06-04 | Akamai Technologies, Inc. | Cloud based firewall system and service |
| CN101834843B (zh) * | 2010-03-18 | 2012-12-05 | 吉林大学 | 建立防火墙吞吐率与过滤规则条数和排列顺序关系的方法 |
| CN101977235B (zh) * | 2010-11-03 | 2013-03-27 | 北京北信源软件股份有限公司 | 一种针对https加密网站访问的网址过滤方法 |
| US9203704B2 (en) * | 2011-08-22 | 2015-12-01 | Verizon Patent And Licensing Inc. | Discovering a server device, by a non-DLNA device, within a home network |
| KR101913313B1 (ko) * | 2011-12-28 | 2018-10-31 | 삼성전자주식회사 | 게이트웨이에서 인터넷 프로토콜 기반 네트워크를 이용하여 컨텐츠 중심 네트워크를 구현하는 방법 및 그 게이트웨이 |
| CN103259773A (zh) * | 2012-02-21 | 2013-08-21 | 精品科技股份有限公司 | 一种因特网的数据封包防护系统及其方法 |
| US9426067B2 (en) | 2012-06-12 | 2016-08-23 | International Business Machines Corporation | Integrated switch for dynamic orchestration of traffic |
Family Cites Families (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6173364B1 (en) * | 1997-01-15 | 2001-01-09 | At&T Corp. | Session cache and rule caching method for a dynamic filter |
| US5983270A (en) * | 1997-03-11 | 1999-11-09 | Sequel Technology Corporation | Method and apparatus for managing internetwork and intranetwork activity |
| US6243815B1 (en) * | 1997-04-25 | 2001-06-05 | Anand K. Antur | Method and apparatus for reconfiguring and managing firewalls and security devices |
| NO305420B1 (no) * | 1997-09-02 | 1999-05-25 | Ericsson Telefon Ab L M | Anordning ved datakommunikasjonssystem, spesielt ved kommunikasjon via brannmurer |
| US7143438B1 (en) * | 1997-09-12 | 2006-11-28 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with multiple domain support |
| US6170012B1 (en) * | 1997-09-12 | 2001-01-02 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with cache query processing |
| US6691168B1 (en) * | 1998-12-31 | 2004-02-10 | Pmc-Sierra | Method and apparatus for high-speed network rule processing |
| US6463474B1 (en) * | 1999-07-02 | 2002-10-08 | Cisco Technology, Inc. | Local authentication of a client at a network device |
| US6704873B1 (en) * | 1999-07-30 | 2004-03-09 | Accenture Llp | Secure gateway interconnection in an e-commerce based environment |
| US6718535B1 (en) * | 1999-07-30 | 2004-04-06 | Accenture Llp | System, method and article of manufacture for an activity framework design in an e-commerce based environment |
| US6839680B1 (en) * | 1999-09-30 | 2005-01-04 | Fujitsu Limited | Internet profiling |
| US6901578B1 (en) * | 1999-12-06 | 2005-05-31 | International Business Machines Corporation | Data processing activity lifecycle control |
| US6904449B1 (en) * | 2000-01-14 | 2005-06-07 | Accenture Llp | System and method for an application provider framework |
| US6941355B1 (en) * | 2000-09-08 | 2005-09-06 | Bbnt Solutions Llc | System for selecting and disseminating active policies to peer device and discarding policy that is not being requested |
| CA2347304C (en) * | 2001-05-10 | 2010-10-05 | Atreus Systems, Inc. | Broadband network service delivery method and device |
| US20050086325A1 (en) * | 2001-06-12 | 2005-04-21 | Slipp Mark W. | Method and apparatus for network content insertion and phase insertion |
| US6978383B2 (en) * | 2001-07-18 | 2005-12-20 | Crystal Voice Communications | Null-packet transmission from inside a firewall to open a communication window for an outside transmitter |
| US7222359B2 (en) * | 2001-07-27 | 2007-05-22 | Check Point Software Technologies, Inc. | System methodology for automatic local network discovery and firewall reconfiguration for mobile computing devices |
| US7131141B1 (en) * | 2001-07-27 | 2006-10-31 | At&T Corp. | Method and apparatus for securely connecting a plurality of trust-group networks, a protected resource network and an untrusted network |
| US7822970B2 (en) * | 2001-10-24 | 2010-10-26 | Microsoft Corporation | Method and apparatus for regulating access to a computer via a computer network |
-
2002
- 2002-04-23 FR FR0205091A patent/FR2838843B1/fr not_active Expired - Fee Related
-
2003
- 2003-04-22 DE DE60336188T patent/DE60336188D1/de not_active Expired - Lifetime
- 2003-04-22 AT AT03290980T patent/ATE500674T1/de not_active IP Right Cessation
- 2003-04-22 JP JP2004500468A patent/JP4308753B2/ja not_active Expired - Fee Related
- 2003-04-22 CN CN03808919.XA patent/CN100550893C/zh not_active Expired - Fee Related
- 2003-04-22 WO PCT/FR2003/001267 patent/WO2003092241A1/fr active Application Filing
- 2003-04-22 EP EP03290980A patent/EP1357724B1/fr not_active Expired - Lifetime
- 2003-04-22 US US10/511,898 patent/US8914339B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| US20050182815A1 (en) | 2005-08-18 |
| JP4308753B2 (ja) | 2009-08-05 |
| WO2003092241A1 (fr) | 2003-11-06 |
| FR2838843B1 (fr) | 2004-12-17 |
| ATE500674T1 (de) | 2011-03-15 |
| DE60336188D1 (de) | 2011-04-14 |
| EP1357724B1 (fr) | 2011-03-02 |
| FR2838843A1 (fr) | 2003-10-24 |
| CN1647486A (zh) | 2005-07-27 |
| US8914339B2 (en) | 2014-12-16 |
| CN100550893C (zh) | 2009-10-14 |
| EP1357724A1 (fr) | 2003-10-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1326393B1 (en) | Validation of the configuration of a Firewall | |
| US7003562B2 (en) | Method and apparatus for network wide policy-based analysis of configurations of devices | |
| JP4308753B2 (ja) | データフィルタ群を管理するためのデバイス | |
| US8490171B2 (en) | Method of configuring a security gateway and system thereof | |
| US8135815B2 (en) | Method and apparatus for network wide policy-based analysis of configurations of devices | |
| Purdy | Linux iptables Pocket Reference: Firewalls, NAT & Accounting | |
| US6321336B1 (en) | System and method for redirecting network traffic to provide secure communication | |
| US9203808B2 (en) | Method and system for management of security rule set | |
| US7882540B2 (en) | System and method for on-demand dynamic control of security policies/rules by a client computing device | |
| US20060041935A1 (en) | Methodology for configuring network firewall | |
| EP1450511A1 (en) | Device and method for simulating network traffic treatments of a network using policy rules | |
| US9948680B2 (en) | Security configuration file conversion with security policy optimization | |
| US8955128B1 (en) | Systems and methods for selectively regulating network traffic | |
| JP2006527939A (ja) | ネットワーク間の通信のためのセキュリティ・チェック・プログラム | |
| US20090249468A1 (en) | Method for establishing distributed filters in a packet-oriented network, based on abstract security defaults | |
| Cisco | Working With Security Policies | |
| Thwin et al. | Classification and discovery on intra-firewall policy anomalies | |
| Müller | Analysis and Control of Middleboxes in the Internet | |
| EP4295528A1 (en) | Cloud-based egress filtering system | |
| Foces Vivancos | Securing the border gateway protocol BGPv4 | |
| CN116980196A (zh) | 安全防护的方法、装置及电子设备 | |
| CN111262833A (zh) | 一种网络安全处理方法、终端及存储介质 | |
| Headquarters | Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module Configuration Guide | |
| CN117223250A (zh) | 基于云的外出过滤系统 | |
| Ahmed et al. | Role Based Network Security Model: A Forward Step Towards Firewall Management |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060420 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080411 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080415 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20080711 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20080718 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20081007 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090414 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090501 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4308753 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120515 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130515 Year of fee payment: 4 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |