JP2006115495A - コンピュータネットワークシステム及びコンピュータネットワークの構成方法 - Google Patents
コンピュータネットワークシステム及びコンピュータネットワークの構成方法 Download PDFInfo
- Publication number
- JP2006115495A JP2006115495A JP2005289900A JP2005289900A JP2006115495A JP 2006115495 A JP2006115495 A JP 2006115495A JP 2005289900 A JP2005289900 A JP 2005289900A JP 2005289900 A JP2005289900 A JP 2005289900A JP 2006115495 A JP2006115495 A JP 2006115495A
- Authority
- JP
- Japan
- Prior art keywords
- computer network
- security system
- security
- network system
- primary
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/2002—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where interconnections or communication control functionality are redundant
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/40—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass for recovering from a failure of a protocol instance or entity, e.g. service redundancy protocols, protocol state redundancy or protocol service redirection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】セキュリティシステムに不具合が発生しても,安定的に運用することのできるネットワークセキュリティシステムとその使用方法を提供すること。
【解決手段】パケットを処理するプライマリセキュリティシステムであって,パケット処理を行う複数の装置に用いられるフロー情報を保持するように動作するプライマリセキュリティシステムを構成し,フェイルオーバー時にパケットを処理するセカンダリセキュリティシステムを指定し,プライマリセキュリティシステムからのフローレコードをセカンダリセキュリティシステムと共用することを特徴とするコンピュータネットワークの構成方法。
【選択図】 図1
【解決手段】パケットを処理するプライマリセキュリティシステムであって,パケット処理を行う複数の装置に用いられるフロー情報を保持するように動作するプライマリセキュリティシステムを構成し,フェイルオーバー時にパケットを処理するセカンダリセキュリティシステムを指定し,プライマリセキュリティシステムからのフローレコードをセカンダリセキュリティシステムと共用することを特徴とするコンピュータネットワークの構成方法。
【選択図】 図1
Description
ファイヤウォールと侵入検知システムは,無権限または破壊的なユーザーからコンピュータネットワークを保護するために使用される装置である。
ファイヤウォールはローカル・エリア・ネットワークの外側のユーザーからローカル・エリア・ネットワークを守るのに使用される。
ファイヤウォールはローカル・エリア・ネットワークの外側のユーザーのもとへ,あるいはそのユーザーから送られたメッセージ全てにつき,検査をし,経路制御を行い,頻繁にラベル付けを行う。
侵入検知システム(IDS)は疑わしい振る舞いパターンを認識するために,ネットワーク内に通信されている情報を検査するために使用される。
IDSによって得られた情報はネットワークへのアクセスから無権限または破壊的なユーザーをブロックするために使用することができる。
侵入防御システム(IPS)はIDSのインラインバージョンである。
IPSはネットワーク内に通信されている情報を検査し,疑わしい振る舞いパターンを認識するために使用される。
フローベースのルーター(FBR)は,ネットワーク・アドミニストレータがパケット転送と経路制御を,ネットワーク・アドミニストレータによって定義されたネットワークポリシーによって実装することを可能にする。
FBRは,ネットワーク・アドミニストレータが,パケットがネットワーク中の特定のパスを通るよう選択的に経路制御するポリシーを実装することを可能にする。
また,FBRは,特定のタイプのパケットが,経路制御される際に,個別の望ましいサービスを受けることを保証するために使用することができる。
従来のルーターは,利用可能なルーティング情報に基づき,パケットを目的アドレスに転送することができる。
FBRによって,宛先アドレスのみに基づいて経路制御する代わりに,ネットワーク・アドミニストレータが,アプリケーション,プロトコル,パケットサイズおよびエンド・システムのアイデンティティを含むいくつかの基準に基づいて,パケットを許可するか拒絶するかにかかるルーティングポリシーを実装することができるようになる。
信頼されていないネットワークによる攻撃から信頼されたネットワークを守るため,パケットフィルターはネットワークレイヤー中のデータについて動作する。
例えば,パケットフィルターは,プロトコルタイプ,送信元および宛先インターネット・プロトコル(IP)アドレス,および送信元と宛先ポートの番号等を含むところの,Transmission
Control Protocol/Internet Protocol(TCP/IP)のヘッダのフィールドを検査する。
Control Protocol/Internet Protocol(TCP/IP)のヘッダのフィールドを検査する。
パケットフィルターのデメリットは,低速であること,複雑なセキュリティ・ポリシーを備えた大きなネットワークにおける管理の困難性である。
プロキシサーバーは,信頼されていないネットワークから信頼されたネットワークを隔離するため,アプリケーション層に運ばれた値を基に動作することができる。
アプリケーションプロキシサーバーでは,2つのTransmission Control Protocol(TCP)コネクションが確立され得る。ひとつは,パケット送信元とプロキシサーバーの間,いまひとつはプロキシサーバーとパケットの宛先の間である。
アプリケーションプロキシサーバーは宛先サーバーを代理して,到着パケットを受け取る。アプリケーションデータはプロキシサーバーによってアセンブルされ,検査される。
また,第2のTCPコネクションは,宛先サーバーへ許可パケットを中継するため,プロキシサーバーと宛先サーバーとの間で開かれる。
プロキシサーバーは,アプリケーション層でパケットを検査するのに必要な付加的なプロトコル・スタック・オーバーヘッドによって,動作が遅くなることがある。
更に,一義的なプロキシーが各アプリケーション毎に必要になるので,プロキシサーバーの実装は複雑で,かつ新アプリケーションサポートの修正が困難である。
さらに,プロキシサーバーは,単にアプリケーション・パケットを検査するのみであり,プロキシサーバーはTCPまたはネットワークレイヤーで試みられたネットワーク・セキュリティー侵入を検知しないかもしれない。
従来のネットワークセキュリティシステムは,不具合が発生したときに,安定的にセキュリティシステムを運用することができないという問題があった。
そこで,本発明は,上述の問題を鑑みてなされたものであり,セキュリティシステムに不具合が発生しても,安定的に運用することのできるネットワークセキュリティシステムとその使用方法を提供することを目的とする。
上記課題を解決するため,本発明においては,パケットを処理するプライマリセキュリティシステムであって,パケット処理を行う複数の装置に用いられるフロー情報を保持するように動作するプライマリセキュリティシステムを構成し,フェイルオーバー時(故障時)にパケットを処理するセカンダリセキュリティシステムを指定し,プライマリセキュリティシステムからのフローレコードをセカンダリセキュリティシステムと共用することを特徴とするコンピュータネットワークの構成方法が提供される。
さらに,本発明においては,第1のセキュリティ装置と,コンピュータネットワークから受信したパケットにかかるフロー情報を保持し,前記第1のセキュリティ装置に特有のフロー情報を共用する第1のモジュールと,第2の装置との間でフロー情報を交換することを可能とする通信インターフェースとから構成される第1の装置を有することを特徴とするコンピュータネットワークシステムが提供される
さらに,本発明においては,処理パケットを受信するように構成されたプライマリセキュリティ装置であって,前記プライマリセキュリティ装置に含まれる複数の装置のフロー情報を保持する手段を有するプライマリセキュリティ装置と,フェイルオーバーイベントが発生した場合に前記プライマリセキュリティ装置の処理パケットを受信するよう構成されたセカンダリセキュリティ装置であって,複数の装置のフロー情報を共用する手段を有するセカンダリセキュリティ装置と,前記プライマリセキュリティ装置のフローレコードを前記セカンダリセキュリティ装置と共用する手段を有することを特徴とするコンピュータネットワークシステムが提供される
本発明のコンピュータネットワークシステム及びコンピュータネットワークの構成方法は,セキュリティシステムに不具合が発生しても,安定的に運用することが可能となる。
図1は,サーバー102,いくつかのワークステーション(W/S)104a-104c(まとめて104で示す)およびセキュリティシステム124を含むローカル・エリア・ネットワーク(LAN)100を含む典型的なネットワークトポロジーである。
セキュリティシステム124はセッション・モジュール122および他のセキュリティ装置のグループを含んでいる。
上記実装においては,セキュリティシステム124は2つのセキュリティ装置,すなわち,第1のセキュリティ装置106および第2のセキュリティ装置108を含む。LAN 100はセキュリティシステム124によって,外部ネットワーク(例えばインターネット114b)に接続される。LAN 100も外部ネットワーク(例えばインターネット114a)を通り別のLAN 116に接続される。
第2のLAN 116はウェブサーバー110,電子メールサーバー112,サーバー138,いくつかのワークステーション134a-134f(まとめて134で示す)およびセキュリティシステム124を含んでいる。LAN 116はセキュリティシステム126によってインターネット114aに接続される。
セキュリティシステム126は第1のセキュリティ装置128,第2のセキュリティ装置130およびセッション・モジュール132を含んでいる。
コンピューター,サーバーおよびLANの中の他のデバイスは,例えばワイヤー,光ファイバーおよび電波のような多くのデータ伝送媒体を使用して相互に連結される。
セキュリティシステム124およびセキュリティシステム126は同様の方法で動作する。セキュリティシステム124を使用した例においては,セッション・モジュール122は,ネットワーク内に通信されているパケットをモニタする。
ある実装においては,第1のセキュリティ装置106はファイヤウォールであってもよい。
また,第2のセキュリティ装置108はIPSであってもよい。
セッション・モジュール122は,試みられたネットワーク・セキュリティー侵入にかかるパケットのブロックをするために,第1のセキュリティ装置106および第2のセキュリティ装置108と共に動作する。
図2は,セッション・モジュール122のセッション・モジュールブロック図の一例を示す。
セッション・モジュール122はパケットを受け取る着信パケットインターフェース205を含む。セッション・モジュール132も同様の方法で動作する。
受け取られたパケットはフロー処理エンジン(FPE)202により分析され,試みられたネットワーク・セキュリティー侵入が侵入中か否かを判断する。
セッション・モジュール122はさらにフローテーブル215を含む。
フローテーブル215は受信パケットのフロー情報を格納するために使用される。
セッション・モジュール122は,さらにネットワーク上の他のセキュリティ装置へのインターフェースを含む。
ある実装においては,セッション・モジュール122はファイヤウォールインターフェース220,IPSインターフェース225およびフローベースのルーター・インターフェース230を含む。
セキュリティ装置インターフェース218は,セッション・モジュール122によって使用され,受信パケットが許可されるか修正されるべきかどうかを決めるため,受信パケットにかかる情報およびそのパケットにかかるフロー情報を得るために使用される。
セキュリティ装置インターフェース218は,さらに,パケット処理をするキュリティ装置によって使用されるフロー情報を通信するため,セッション・モジュール122によって使用される。
図3は,本発明の原理にかかる実装で使用されるフローテーブル215の構造を示す。
フローテーブル215は現在のTCP/IPフローに関するフローレコード302a-302e(まとめて302で示す)を含む。
TCP/IPフローは,送信元と宛先との間の一方向情報通信データ・パケットのシーケンスを含む。フローレコードはインデックスキー305を用いてインデックス付けされている。
インデックスキー305は,受信パケットにかかる適切なフローレコードを格納し検索するために使用される。
ある実装においては,インデックスキー305はハッシュ・キーであってもよい。また,フローテーブル215はハッシュ・テーブルとして実装されてもよい。
セッション・モジュール122(図2)は,ネットワーク上の2以上のセキュリティ装置に対するインストラクションを,一つのフローレコード内に保存する。
セッション・モジュール122のある実装においては,3つのセキュリティ装置(例えば装置310,315および320)の命令は,フローレコード302に格納されてもよい。
フローレコード302は他の情報とともに,ポリシー情報(例えばファイヤウォールポリシー,IPSポリシーなどそのフローに適用されるポリシー情報)も格納する。
ここに,他の情報とは,暗号化パラメーター,アドレス変換パラメーター,ブックキーピング情報および統計等であり,これらは各セキュリティ装置によって使用されてもよい。
フローレコード302は,さらにパケットが許可されるかどうか決定するため,セッション・モジュール122に使用のたされるフロー情報325を含むことができる。
これら情報には,ネットワークポリシーを実装するのに必要な情報を含むことができる。これらは,例えば,接続タイム・アウト,時間課金,帯域幅使用法等である。
フロー,セッションおよびフローテーブルは,「マルチ・メソッド,ゲートウェイベース・ネットワーク・セキュリティー・システムズおよびその方法」という表題の,米国特許出願10/072,683に、より詳しく記述されている。
それらの内容は,すべてここに組み入れられるものとする。
図4は,本発明の原理に基づく実装における,FPE 202(図2)の動作のフローチャートの一例である。
着信パケットはセッション・モジュール122(ステップ400)によって受け取られる。IPパケットはデフラグ(ステップ402)される。
IPヘッダは各IPパケットにつき有効化される(ステップ403)。403にて,与えられたパケットにかかるIPヘッダが抽出され,基本的瑕疵の有無が検査される。
パケットがTCPパケット(404)である場合,TCPヘッダが有効化され(ステップ405),TCPパケットはアセンブリされる(ステップ410)。有効化プロセスはTCPヘッダ・データを抽出し基本的瑕疵の有無にかかるヘッダの評価を含む。
ステップ410で生成された疑似アセンブリ情報は,セッション・モジュール122によって他のセキュリティ装置に送信され,これらセキュリティ装置でパケットの処理がされる。アセンブリについては,米国特許出願10/072,683および10/072,683により非常に詳しく記述されている。
415では,FPE 202は,与えられた受信パケットにかかるTCP/IPヘッダ・データを使用して,セッション分類ステップを実行する。
セッション・モジュール122は,パケットが許可されるかどうかを,受信パケットにかかるフローテーブル・エントリー(ステップ420)から検索されたTCP/IPフローの情報に基づいて決定する。
さらに,セッション・モジュール122は,他のセキュリティ装置,例えばファイヤウォール(425),IPS(ステップ430),フローベースルーター(ステップ435)のうちの1つから戻された情報を使用してもよい。
さらに,セッション・モジュール122は,与えられたパケットを処理するためのそれぞれのデバイスにフロー情報を伝えることにより,セキュリティ装置の動作を行ってもよい。
最後に,パケットが許可されれば(ステップ440),FPE 202はパケットを転送する。
それ以外の場合には,パケットは他の処理をする(ステップ445)。他の処理には,パケットに関する特別の情報のログ,パケットの保持する,あるいはパケットの修正しまたは破棄を含んでもよい。
図5は,セッション分類(図4のステップ415)にかかる処理のフローチャート例である。
セッション分類ステップはパケット(500)を受け取り,パケットが許可されるかどうか決めるために使用される情報を抽出する。抽出された情報は送信元および宛先IPアドレス,送信元および宛先ポート番号,およびプロトコを含む(ステップ505)。
抽出された情報はパケットが既知のセッション・フローに関係しているかどうか判断するために,フローテーブル215(ステップ510)を検索するために使用さる。
既知のセッション・フローについては,ステップ510は,フローテーブル215(ステップ515)中の一致するフローレコードを生成する。
一致するフローレコードが見つかった場合,FPE 202(図2)は一致するフローレコードから受信パケットのTCP/IPセッション情報を抽出する(ステップ520)。
FPE 202は,受信パケットが許可されるか否かを,ステップ520で得られたTCP/IPセッション情報を使用して決定する。
より具体的には,FPE 202は一致するフローレコードから情報を抽出し,セキュリティ装置へ情報を渡す(例えば,フローレコードからのセッションIDおよびTCP/IPセッション情報,さらには他のセキュリティ装置特有の情報を送信する)(ステップ525)。セキュリティ装置からの戻される結果に基づき,FPE 202は与えられたパケット(ステップ530)を転送,破棄,記録,格納,修正または他の処理を行う。
ステップ515において,一致するフローレコードがフローテーブル215で見つからない場合,受信パケットは新しいTCP/IPセッション(ステップ532)に関係している。
新しいTCP/IPセッションの場合,FPE 202はその新しいセッションにセッションIDを割り当てる。
また,新しいセッションにかかるパケット用のセキュリティ・ポリシーを決定するために,FPE 202は,他のセキュリティ装置(例えばファイヤウォール,IPS,フロー・ルーター)と通信する。
例えば,FPE202は新しいセッションにかかる受信パケットが許可されるか否かを決めるため,ファイヤウォール(ステップ540)から情報を得る。
FPE 202は,既知の試みられたネットワーク・セキュリティー侵入の攻撃署名と一致するとして,受信パケットをブロックすべきか決定するため,IPS(ステップ545)と通信してもよい。
FPE 202は,フロー・ルーター(ステップ550)からの新セッションにかかるネットワークポリシーも得てもよい。
FPE 202は,異なるセキュリティ装置間の調停者の役割をする。
FPE 202は,パケットが新しいTCP/IPセッションと関係すれば許可されるであろうことを決定するため,セキュリティ装置から個々にあるいはこれらの組合せによって得られた情報を利用してもよい。
FPE 202は,新しいフローレコードを作成するためにセキュリティ装置から得た情報を使用し,フローテーブル215(ステップ555)に新しいフローレコードを格納する。
新しいフローレコードは,受信パケットに関連した新しいセッションのTCP/IPセッション情報および他のセキュリティ装置特有の情報を含む。
その後,FPE202は,図4に記載された与えられたTCP/IPセッションにかかる受信パケットの処理を行う。
その処理とは,対応するフローレコードからのセキュリティ装置にセッションID,TCP/IPセッション情報およびセキュリティ装置特有の情報を伝えることを含む。
受信パケットが様々なセキュリティ装置を使用して,試みられたネットワーク・セキュリティー侵入に関係しているかどうか判断することに加えて,セッション・モジュール122(図2)は,さらに図4に記述されるような受信TCP/IPパケットの疑似アセンブリを行なってもよい。
図6は,セッション・モジュール122によって生成される疑似リアセンブリ情報を示す。疑似リアセンブリ情報は,メモリ中の与えられたパケット600の位置へのポインター,およびフロー605中のパケットの相対的地位を含む情報へのポインターを含む。
ひとつの実装において,IPSは受動的TCP/IPリアセンブリを行なうかもしれない。また,パケット600の位置へのポインターはIPSの内のパケットを見つけるために使用されてもよい。
他実装においては,フローのパケットの相対的地位を含んでいる情報へのポインター605は,パケットにかかるTCP/IPヘッダに含まれるTCP/IPシーケンス番号を得るために使用されてもよい。
その疑似リアセンブリ情報は,セッション・モジュール122(図2)に接続されたセキュリティ装置に伝えられてもよい。セキュリティ装置は,受信パケットを処理するために疑似リアセンブリ情報を使用する。
上記セッション・モジュール122は,多くの異なるネットワークトポロジーの中で使用されてもよい。
図7は,セッション・モジュール122がファイヤウォール705へ統合される場合のネットワークトポロジーである。
ファイヤウォール705は,ルーター720およびIPS 715へのインターフェースを含む。ファイヤウォール705は外部ネットワークインターフェース700からパケットを受け取る。
受信パケットが既知の攻撃シグネチャに基づいてブロックされるべきかどうかを決定するため,ファイヤウォール705はIPS 715と通信する。
ファイヤウォール705およびIPS 715が,パケットの通過を許可する際,ファイヤウォール705は,ルーター720に受信パケットを送る。ルーター720は,ルーターに格納されたネットワークポリシーに基づいて,内部ネットワークインターフェース725を使用して,望む宛先へ送信パケットを転送するかもしれない。
図8は,セッション・モジュール122を使用して,コンピュータネットワークセキュリティを実装する他の配置例を示す。
この配置では,セッション・モジュール820は,ファイヤウォール805,IPS 810およびルーター815からなる直列配置にて作動する。外部ネットワークインターフェース800を通じて受け取られたパケットは,ルーター815に通信される前に,ファイヤウォール805によって遮断されることがある。ファイヤウォール805は,さらにIPS 810に受信パケットにかかる情報を送る。
IPS 810は受信パケットを検査し,既知の攻撃シグネチャに基づき,受信パケットがブロックされるべきときは,セッション・モジュール820に通知する。
ルーター815は次の処理のためにセッション・モジュール820にパケットを送る。
受信パケットが許可されるべきことをセッション・モジュール820が決定する場合,セッション・モジュール820は内部ネットワークインターフェース825を使用して,所望の宛先へ受信パケットを転送する。
図9は,セッション・モジュール122を使用して,コンピュータネットワークセキュリティを実装する高利用率な配置の例を示す。この配置では,ネットワークトポロジーは,外部ネットワークインターフェース902a,内部ネットワークインターフェース904aおよび第1のセキュリティシステム924aを含むローカル・エリア・ネットワーク(LAN)900からなる。
第1のセキュリティシステム924aはセッション・モジュール122aおよび他のセキュリティ装置のグループを含む。
ここに示された実装においては,第1のセキュリティシステム924aは2台のセキュリティ装置,すなわち,ファイヤウォール装置905aおよびIPSデバイス910aを含んでいる。
他の実装例では,第1のセキュリティシステム924aは例えば1のファイヤウォール905aのように,より多くより少数のセキュリティ装置のみからなり,IPSは含まなくてもよい。
LAN 900は外部ネットワークインターフェース902aによって第1のセキュリティシステム924aを通じて外部ネットワーク(例えばインターネット)に接続される。
LAN 900は,さらに,外部ネットワークインターフェース902bによって第2のセキュリティシステム924bを通じて外部ネットワーク(例えばインターネット)に接続される。
第2のセキュリティシステム924bはセッション・モジュール122bおよびセキュリティ・モジュールのグループを含んでいる。
ここに示された実装においては,第2のセキュリティシステム924bは2つのセキュリティ装置,すなわち,ファイヤウォール905bおよびIPSデバイス910bと,内部ネットワークインターフェース904bを有している。
他の実装例では,第1のセキュリティシステム924bは例えば1のファイヤウォール905bのように,より多くより少数のセキュリティ装置のみからなり,IPSは含まなくてもよい。
第1と第2セキュリティ装置924a/bは同様に構成される。
第1と第2セキュリティシステム924a/bはリンク929によって接続されている。
リンク929はセキュアリンクである。
リンク929はセキュアリンクである。
リンク929は,LAN900の内部リンクでもよく,もしくは,外部ネットワークの一部のリンクでもよい。
第2のセキュリティシステム924bは,外部ネットワークインターフェース902bを使用して,外部ネットワーク(例えばインターネット)に直接つながってもよい。あるいは,第2のセキュリティシステム924bは第1のセキュリティシステム924aを通じて外部ネットワークにつながってもよい。同様に,第1と第2セキュリティシステム924a/bは単一の内部ネットワークインターフェースを共有してもよい。
LAN 900の中のコンピューター,サーバーおよび他のデバイスは多くのデータ伝送媒体を使用して,相互に連結されてもよい。これら媒体は,ワイヤー,光ファイバー,電波のみに制限されるものではない。高利用率のネットワークトポロジーの他の構成も可能である。
いずれの構成においても,第1のセキュリティシステム924aによって処理されたトラフィックをサポートするために,第2のセキュリティシステム924bはフェイルオーバー(動作停止用の予備)となる。
本発明の原理にかかるある実装例においては,第2のセキュリティシステム924bはセキュリティシステムのプールとして提供される。
そのプールでは,少なくとも1つのセキュリティシステムがプライマリフェイルオーバーシステムであるとみなされる。
プール中の他の1つ以上のセキュリティシステムは予備的なフェイルオーバーシステムであるとみなされる。
第2のセキュリティシステムの各々は,受動的(すなわち,フェイルオーバーイベントまではアイドル状態),もしくは,それ自身のネットワーク必要条件を満たすため,能動的にパケットパケット処理をする。
本発明の原理にかかる別の実装例では,第1及び第2のセキュリティシステムは各々他方にフェイルオーバープロテクションを供給する。
そのような実装においてはフェイルオーバーデータは2つのセキュリティシステム間で交換される。
フェイルオーバーに先立ち,かつ,これをサポートするセキュリティシステムの動作について,以下に詳述する。
図9に示す高利用率の実装においては,第2のセキュリティシステム924bは第1のセキュリティシステム924aのフェイルオーバーとして作動するように構成される。
フェイルオーバーは,第1のセキュリティシステム924aあるいは第1のセキュリティシステム924aへのリンクのいずれかが故障した場合に開始される。
フェイルオーバーは,キープアライブ信号(正常動作を示す信号),データあるいは他のステータス情報の受信の誤作動等から,第2のセキュリティシステム924bによって検出される。
本発明の原理にかかる一実装例では,第1のセキュリティシステム924aはフェイルオーバーエンジン930を含む。
フェイルオーバーエンジン930は2つのセキュリティシステムを同期させるように,別のセキュリティシステム(例えば第2のセキュリティシステム924b)にフェイルオーバーデータを送信するよう動作する。
本発明の原理に基づく一実装例では,フェイルオーバーデータは,それぞれのセキュリティシステム(例えば第1のセキュリティシステム924a)にかかるフローテーブル215(セッション・モジュール122の一部)からのデータを含む。
より具体的には,フェイルオーバーの後,第2のセキュリティシステム(例えば第2のセキュリティシステム924b)は,経路制御のために,さらに,第1のセキュリティシステム(例えば第1のセキュリティシステム924b)によって処理する通常予定された処理(つまり,故障により処理できなかったもの)のためにパケットを受信する。
受け取られたパケットのうちのいくつかは,以前に第1のセキュリティシステム中で処理され識別されたセッションかかる。
フェイルオーバーに先立ってフロー情報を共有することは,それらが受け取られるとともに第2のセキュリティシステムがシームレスに既存のフロー用パケットを処理することを可能にする。
フェイルオーバーに先立ってフロー情報を共有しない従来のシステムは,既存のセッション(フェイルオーバー時に最新だったセッション)に関係があるパケットをすべて破棄する必要があるか,処理ステップを繰り返す必要がある。
上述した,第1のセキュリティシステム924aの内のセッション・モジュール122aはネットワーク内に通信されているパケットをモニタする。
試みられたネットワーク・セキュリティー侵入にかかるパケットのブロックをするため,セッション・モジュール122aは,ファイヤウォール装置905aおよびIPS装置910aと共に作動する。
第2のセキュリティシステム924b(図9)のフェイルオーバーエンジン930は与えられたセキュリティシステムがそのためにフェイルオーバー装置の役割をするように選定され,1つ以上のプライマリセキュリティシステム(例えば第1のセキュリティシステム)の故障を発見するために作動するかもしれない。
フェイルオーバーエンジン930は所定のプライマリセキュリティシステムのリンクか動作の故障を発見するよう動作する。
本発明の原理にかかる一実装例では,与えられたセキュリティシステムは,他の1つ以上のセキュリティシステム用のフェイルオーバーシステムの役割をしてもよい。
フェイルオーバーエンジン930はそれぞれの装置のフローテーブル215の情報の受領及びアップデート制御を行う。より具体的には,フェイルオーバーエンジン930は,プライマリセキュリティシステムからセカンダリセキュリティシステムに同期情報を供給するよう動作する。
フェイルオーバーエンジン930は時間毎に同期情報を更新し,プライマリセキュリティシステムの故障を検知し,第2のセキュリティシステムのパケットの処理を始める。
処理されるパケットとは,検知された失敗がなかったならばプライマリセキュリティシステムによって処理されていたはずのものである。
ここで,図10を参照して,セッション・モジュール122の別の実装例を示す。
セッション・モジュール122のこの実装例はパケットを受け取るために着信パケットインターフェース205を含む。
セッション・モジュール122のこの実装例はパケットを受け取るために着信パケットインターフェース205を含む。
試みられたネットワーク・セキュリティー侵入が進行中かどうか判断するために,受信パケットは,フロー処理エンジン(FPE)202によって分析される。
セッション・モジュール122はさらにフローテーブル215を含む。
フローテーブル215は受信パケットにかかるフローに関する情報を格納するために使用される。
フローテーブル215はプライマリもしくはアクティブ部分1002,およびセカンダリ部分1004を含む。
プライマリ部分1002は,プライマリセキュリティシステとして,与えられたセッション・モジュールの動作にかかる情報を格納するためのフローテーブルの部分である(すなわち,セッション・モジュールがパケット処理を積極的に行うフロー情報を格納)。
第2の部分1004は,セカンダリセキュリティシステとして,与えられたセッション・モジュールの動作にかかる情報を格納するためのフローテーブルの部分である(すなわち,フェイルオーバー・同期情報であって,セッション・モジュールがフェイルオーバー時に処理していたもの)。
一つの実装例では,プライマリ部分1002及びセカンダリ部分1004はフローテーブル215に統合されてもよい。
別の実装例においては,フローテーブル215は,与えられたセッション・モジュールがフェイルオーバーサポートをする多数の主要なセキュリティシステムに対応する多数のセカンダリ部分を格納してもよい。
セッション・モジュール122は,さらに他のセキュリティシステムへの1つ以上のインターフェースと同様にネットワーク上の他のセキュリティ装置へのインターフェースも含む。
本発明の原理に係る一実装例では,セッション・モジュール122はファイヤウォールインターフェース220,IPSインターフェース225およびフェイルオーバーインターフェース1000を含む。
セキュリティ装置インターフェースは受信パケットが許可されるか修正されるべきかどうかを決定するために,パケットに関連したフローに関する受信パケットおよび情報に関する情報を得るため,セッション・モジュール122によって使用される。
パケットの処理を行うためにセキュリティ装置が使用するフロー情報を送るため,セキュリティ装置インターフェースもセッション・モジュール122によって使用される。
フェイルオーバーインターフェース1000はネットワーク中の他のセキュリティシステムに同期情報を送信するために使用される。
本発明の原理にかかる一実装例では,プライマリ及びセカンダリセキュリティシステムの各々は,フェイルオーバーエンジン930を含むセッション・モジュール122を含む。
そのような実装例では,第1のセキュリティシステム924aおよび第2のセキュリティシステム924b(図9)は,セッション・モジュール122の外には別個のフェイルオーバーエンジン930を持たなくてもよい。
第1のセキュリティシステム(つまり通常のパケットを通すよう動作するプライマリセキュリティシステム)の処理ステップにおいては,まず,セッション・モジュール122のフローテーブル215に初期設定をする(ステップ1102)。
初期設定の後,フェイルオーバーエンジン930は,フローテーブル215の初期/現在状況を反映する情報を識別し(ステップ1104),フェイルオーバーインターフェース1000によって第2のセキュリティシステムへ情報を渡す(それが格納される場合,例えば,第2の部分1004に)(ステップ1106)。
初期設定の後に,最初のセキュリティシステムのセッション・モジュール122はパケットを分析し,セッションおよび他の情報を生成する。これらセッション及び情報は,図3-5のとおり,フローテーブルに格納されるか,フローテーブル215から削除される(ステップ1108)。
所定時間が経過すると,フェイルオーバーエンジン930はフローテーブル215から1または複数の第2のセキュリティシステムにフェイルオーバーインターフェース1000を通じて,情報を提供する(ステップ1110)。
このプロセスは,第2のセキュリティシステム(例えばフローテーブル215のそれぞれのセカンダリ部分中)において,フローテーブル215からの現在情報のコピーを維持するように繰り返す。
一実装例では,フローテーブル215は所定時間でその全体が第2のセキュリティシステムにコピーされ提供される。
別の実装例では,フローテーブル215の一部分だけがコピーされてもよい。
一実装例では,セッションが第1のセキュリティシステム中で作られるか破棄されるごとに,メッセージは送信される。
一実装例では,セッションが第1のセキュリティシステム中で作られるか破棄されるごとに,メッセージは送信される。
一実装例では,タイム・アウト情報は新セッション毎に提供される。
この実装例では,第1のセキュリティシステム中の関連するタイマーがリセットされる(つまり,第2のセキュリティシステム中のタイマーをリフレッシュする)場合はいつも,リフレッシュメッセージが第2のセキュリティシステムに送信される。
この実装例では,第1のセキュリティシステム中の関連するタイマーがリセットされる(つまり,第2のセキュリティシステム中のタイマーをリフレッシュする)場合はいつも,リフレッシュメッセージが第2のセキュリティシステムに送信される。
あるいは,タイム・アウト情報は,第2のセキュリティシステムに渡されるセッション情報では送信されなくてもよい。
この構成では,第2のセキュリティシステムはセット・アップと,第1のセキュリティシステムの故障時にリフレッシュメッセージを受け取る。
一実装例では,タイム・アウト情報は新セッションが生成される毎に提供される。
一実装例では,タイム・アウト情報は新セッションが生成される毎に提供される。
第2のセキュリティシステムでは,タイム・アウト機能は無効とされてもよい(つまり,タイム・アウト期間が終了した後も,第2のセキュリティシステムはフローテーブルからセッションを削除しない)。
一実装例では,フェイルオーバー後に第2のセキュリティシステムがパケット処理を引き継ぐ場合に限り,プライマリセキュリティシステムにかかるトラフィックのため,タイマーが活性化される。
第2のセキュリティシステム(例えばフェイルオーバーでプライマリセキュリティシステムからのパケットを処理するために作動するセキュリティシステム)の処理行為は,第2のセキュリティシステムのセッション・モジュール122のフローテーブル215の初期設定動作を含む(ステップ1122)。
フローテーブル215の初期状態を反映する情報は,フェイルオーバーインターフェース1000を通って第2のセキュリティシステムによって受け取られ(ステップ1124),フローテーブル215のセカンダリ部分に格納される(ステップ1126)。
第2のセキュリティシステムは所定間隔で第1のセキュリティシステムから最新版を受け取り続け(ステップ1128),フローテーブル215は更新される(ステップ1126)。
フェイルオーバーがフェイルオーバーエンジン930によって検知される場合(ステップ1130),セカンダリセキュリティシステムのセッション・モジュール122はフローテーブル215を初期化する(ステップ1132)。
フェイルオーバーは,外部エンティティ,あるいは第2のセキュリティシステムによって検知されてもよい。
パケットは,1番目および処理用の第2のセキュリティシステムの両方に供給されるかもしれない。
第2のセキュリティシステムは,もしフェイルオーバーが検知されていなければ,パケットを処理しないように構成されてもよい。
フェイルオーバー検知はpingによってなされるか,キープアライブ信号によってなされる。
一実装例では,第1のセキュリティシステムはkeep-alive信号を第2のセキュリティシステムへ供給する。
あるいは,第2のセキュリティシステムは断続的に第1のセキュリティシステムに対して,第1のセキュリティシステムが使用可能かどうか判断するためにpingを行ってもよい。
他の実装例では,外部エンティティは,第1のセキュリティシステムの動作をモニタしてもよい。
第1のセキュリティシステムあるいはこれに対するコネクションパスのいずれかの欠陥が検出された場合,引き継ぎ信号が生成され,これが適切な第2のセキュリティシステムに渡される。
第2のセキュリティシステムのフローテーブル215の初期化はフローテーブル215の適切なセカンダリ部分1004を活性化することによってなす。
初期設定は,プライマリ部分1002およびセカンダリ部分1004のレコードをそれぞれ統合するフローテーブル215をリオーダーすることにより行ってもよい(例えば第2のセキュリティシステムがフェイルオーバーに先立って積極的に他のパケット処理をサポートしている場合に)。
一実装例では,レコードはそれぞれ,レコードがどのセキュリティシステムに属するかを示すラベルを含む。
ラベルは,容易に,プライマリセキュリティシステムが復旧する際に,第2のセキュリティシステムのフローテーブルのプライマリ部分からのレコードを消去するために使用される。
その後,第2のシステムでのセッション・モジュール122は,図3-5に上述したようにパケットの受信と分析を開始する(フローテーブル215に格納され削除されたセッションおよび他の情報を生成する)。
所定時間において,セッション・モジュール122のフェイルオーバーエンジン930は,フローテーブル215から,一または複数の第3のセキュリティシステムへと,フェイルオーバーインターフェース1000を経由して,情報を提供する(ステップ1134)。
アップデート情報は1つ以上の第3のセキュリティシステムのフローテーブル215の現在情報のコピーを維持するように所定間隔で3番目のセキュリティシステムに供給されてもよい。
一実装例では,フローテーブル215は所定時間でその全体が1つ以上の第3のセキュリティシステムにコピーされ提供される。
別の実装例では,フローテーブル215の一部分だけがコピーされてもよい。
一実装例では,前もって定義したイベントが発生するまで,プロセスはパケット上で実行し続けるかもしれない。
一実装例では,前もって定義したイベントが発生するまで,プロセスはパケット上で実行し続けるかもしれない。
前もって定義したイベントは,例えば,第1のセキュリティシステムの故障からの復旧である。
ここで,図13参照して,セキュリティ・ネットワーク中の高いアベイラビリテイを提供するプロセスを示す。
プライマリセキュリティシステムが識別される(ステップ1152)。また,1つ以上のセカンダリセキュリティシステムが識別される(ステップ1154)。
プライマリセキュリティシステムは,フェイルオーバーのイベントが生じるまで,プライマリセキュリティシステムが受け取るパケットを処理するために作動するセキュリティシステムである。
フェイルオーバーは,プライマリセキュリティシステムの故障のみならず,プライマリセキュリティシステムからネットワークへのリンクの故障も含む。
フェイルオーバーのイベントの後,プライマリセキュリティシステムにかかるパケットのロードの処理に利用可能なものとして,セカンダリセキュリティシステムが指定される。
一実装例では,セカンダリセキュリティシステムは一つ識別される。
他の実装例では,複数のセカンダリセキュリティシステムのプールが識別されてもよい。
プールの一実装例では,一つのセカンダリシステムはマスタとして,一つまたは多数のセカンダリセキュリティシステムがスレーブとして指定されてもよい。
フェイルオーバーでは,マスター・セキュリティシステムは故障したプライマリセキュリティシステムのパケットを処理するために動作する。
スレーブは,マスタ・デバイスの故障時に,マスタに代わる。
高利用率プロセスに戻ると,プライマリセキュリティシステムはフローテーブル215を初期化する(ステップ1156)。また,フローテーブルの初期設定は第2のセキュリティシステムに渡される(ステップ1158)。
パケットは,プライマリセキュリティシステムによって通常通りに処理され,フローテーブル215は更新される(ステップ1160)。
所定時間後,セカンダリシステムのフローテーブル215は,プライマリセキュリティシステムからの情報で更新される(ステップ1162)。
フェイルオーバーイベントが検知されると(ステップ1164),セカンダリセキュリティシステムはセカンダリシステムのフローテーブル215を初期化し,プライマリセキュリティシステムに経路制御されたパケットを処理し始める(ステップ1166)。
一実装例では,フェイルオーバーイベントの訂正によって,プライマリセキュリティシステムが再初期化され,フローテーブル215も更新される。また,パケット処理はプライマリセキュリティシステムによって再開される。
図9に関して上述したように,プライマリ及びセカンダリセキュリティシステムは多数のセキュリティ装置(例えばファイアウォールとIPS)を含んでいるが,個々のデバイスの個別の同期は必要ではない。
従って,それぞれのデバイス間で渡されるデータの量は最小化される。さらに,やりとりされる情報の量を最小化すれば信頼性が増加する。
図9に示される構成では,セキュリティ装置の各々は,一体になったフローテーブル215中の情報を共有する。
他の処理効率の向上も,セカンダリセキュリティシステムによって実現することができる。
例えば,フェイルオーバーにおいて,以前に認識されたフローの一部であると識別されたパケットは,IPSによって処理を回避される。
一実装例では,2つのセキュリティシステムが,互いのためのフェイルオーバー装置(例えば,第1のシステムは,第2のシステムに,第2のシステムは第1のシステムに対して,それぞれフェイルオーバーの役割をする)の役割をしてもよい。
他の実装例では,フェイルオーバー・セキュリティシステムは従来のシステム(つまり,装置中で共有されるフロー情報が存在しない)であってもよい。また,フェイルオーバー・セキュリティシステムによって受け取られるフロー情報は多数のデバイスと共有されてもよい。
本発明の原理に基づく実施例は,ディジタル電子回路中で,コンピューター・ハードウェア,ファームウェア,ソフトウェア,あるいはそれらの組合せ中で実装されてもよい。
実施例は,コンピュータープログラム製品(つまり明確に情報媒体で固定化されたコンピュータープログラム)として実装されてもよい。
情報媒体は,機械可読の記憶装置あるいは転送される信号であってもよく,これらは,プログラマブルプロセッサ,コンピューターあるいは多数のコンピューターのようなデータ処理装置によって実行されこれらを制御する。
コンピュータープログラムはプログラミング言語の任意の形式で書かれるかもしれない。それはコンパイルされた言語あるいは解釈された言語を含んでいる。それは,スタンドアロンプログラム,あるいはモジュール,コンポーネント,サブルーチンあるいはコンピューティング環境で使用するにふさわしい他のユニットとして含む任意の形式で展開される。
コンピュータープログラムは,一地点における一つのコンピューターによって実行され,あるいは多数地点における多数のコンピューター上で横断分配されて展開され通信網によって相互に連結される。
発明の方法は,入力データ上で作動し出力の生成により発明の機能を行なうためにコンピュータープログラムを実行する,1つ以上のプログラム可能なプロセッサによって行なわれてもよい。
発明の方法も,発明の装置も,特定目的論理回路(例えばFPGA,ASIC(特定用途向けIC))(フィールドプログラマブルゲートアレイ)によって行なわれ,実装されてもよい。
コンピュータープログラムの実行にふさわしいプロセッサは,例えば,一般および特定目的マイクロプロセッサー,および各種デジタルコンピューターのプロセッサのいずれでもよい。一般に,プロセッサは,読み取り専用メモリおよびランダムアクセス記憶装置の一方または両方から命令とデータを受ける。
コンピューターの必須要素は,命令を実行するためのプロセッサと,命令とデータを格納するための1以上のメモリ装置である。
コンピューターの必須要素は,命令を実行するためのプロセッサと,命令とデータを格納するための1以上のメモリ装置である。
一般に,コンピューターは,受け取りまたは送信するところの,データを格納する,例えば磁気ディスク,光磁気ディスクあるいは光ディスク等の大記憶装置を含んでいてもよい。コンピュータープログラム命令およびデータを固定化するにふさわしい情報媒体は,EPROM,EEPROM,フラッシュメモリ等の半導体メモリ装置である不揮発性メモリであってもいいし,磁気ディスク(例えば内部ハードディスク,リムーバブル・ディスク);光磁気ディスク;またCD-ROMとDVD-ROMディスクでもよい。
プロセッサとメモリは特定目的論理回路の補助を受け,または,これに組み入れられてもよい。
本発明の原理に基づく実施例は,バックエンド・コンポーネントを含む計算機システム中に(例えばデータ・サーバーとして)実装されるかもしれない。あるいは,ミドルウェア・コンポーネント(例えばアプリケーションサーバ)であってもよい。あるいは,それはフロントエンドのコンポーネント(例えばユーザーが本発明の実装と対話するGUIあるいはウエブブラウザーがあるクライアントコンピュータ)あるいはそのようなバックエンド,ミドルウェアあるいはフロントエンドのコンポーネントのどんな組合せでもよい。
システムのコンポーネントは,任意の形式あるいはデジタルデータ・コミュニケーション(例えば通信網)の媒体によって相互に連結してもよい。通信網の例は例えば,ローカル・エリア・ネットワーク(LAN)および広域ネットワーク(例えばインターネット)(WAN)を含んでいる。
計算機システムはクライアントとサーバーを含んでいてもよい。クライアントとサーバーは離れた場所に位置し,通信網を通ってやりとりするかもしれない。クライアントとサーバーの関係は,それぞれのコンピューター上で作動し,互いとのクライアントサーバ関係を持っているコンピュータープログラムによって発生する。
本発明は特別の実施例に基づき記述された。しかしながら,様々な変更が,本発明の趣旨を逸脱せずになされうることは理解されるだろう。
例えば,発明のステップは異なる順に行なわれても望ましい結果を達成するかもしれない。
さらに,セッション・モジュール,IPS,ファイヤウォールおよびルーターはすべて,図9の中で示される構成のような単一のデバイスに組み入れられるかもしれない。
さらに,1台以上のセキュリティ装置にパッケージにされたセッション・モジュールの他の構成も可能である。
本発明の原理にかかるシステム,装置および方法は,一般的に,コンピュータネットワークセキュリティのコントロールに関係する。本発明のコンピュータネットワークシステム及びコンピュータネットワークの構成方法によれば,セキュリティシステムに不具合が発生しても,安定的に運用することが可能となる。
100 ローカル・エリア・ネットワーク
102 サーバー
104 ワークステーション
106 第1のセキュリティシステム
108 第2のセキュリティシステム
110 ウェブサーバー
112 Eメールサーバー
114 インターネット
116 ローカル・エリア・ネットワーク
118 ルーター
120 衛星
122 セッション・モジュール
124 セキュリティシステム
134 ワークステーション
102 サーバー
104 ワークステーション
106 第1のセキュリティシステム
108 第2のセキュリティシステム
110 ウェブサーバー
112 Eメールサーバー
114 インターネット
116 ローカル・エリア・ネットワーク
118 ルーター
120 衛星
122 セッション・モジュール
124 セキュリティシステム
134 ワークステーション
Claims (39)
- パケットを処理するプライマリセキュリティシステムであって,パケット処理を行う複数の装置に用いられるフロー情報を保持するように動作するプライマリセキュリティシステムを構成し,
フェイルオーバー時にパケットを処理するセカンダリセキュリティシステムを指定し,
プライマリセキュリティシステムからのフローレコードをセカンダリセキュリティシステムと共用することを特徴とするコンピュータネットワークの構成方法。 - 請求項1記載のコンピュータネットワークの構成方法において,フェイルオーバーイベントの発生を検出し,フェイルオーバーイベントが発生したときにはプライマリセキュリティシステムにかえてセカンダリセキュリティシステムでパケットを処理することを特徴とするコンピュータネットワークの構成方法。
- 請求項2記載のコンピュータネットワークの構成方法において,前記フェイルオーバーイベントは,プライマリセキュリティシステムの故障を含むことを特徴とするコンピュータネットワークの構成方法。
- 請求項2記載のコンピュータネットワークの構成方法において,前記フェイルオーバーイベントは,プライマリセキュリティシステムから前記コンピュータネットワークへのリンクの故障を含むことを特徴とするコンピュータネットワークの構成方法。
- 請求項2記載のコンピュータネットワークの構成方法において,前記検出は,セカンダリセキュリティシステムによって実行されることを特徴とするコンピュータネットワークの構成方法。
- 請求項2記載のコンピュータネットワークの構成方法において,前記検出は,キープアライブ信号の不存在を検出することにより行うことを特徴とするコンピュータネットワークの構成方法。
- 請求項2記載のコンピュータネットワークの構成方法において,前記検出は,プライマリセキュリティシステムの動作をモニタし,動作不良がモニタされたらテイクオーバー信号をセカンダリセキュリティシステムに送信することにより行うことを特徴とするコンピュータネットワークの構成方法。
- 請求項2記載のコンピュータネットワークの構成方法において,前記検出は,プライマリセキュリティシステムの動作をモニタし,動作不良がモニタされたらテイクオーバー信号をセカンダリセキュリティシステムに送信することにより行うことを特徴とするコンピュータネットワークの構成方法。
- 請求項1記載のコンピュータネットワークの構成方法において,前記フローレコードの共用は,所定時間間隔毎に,前記プライマリセキュリティシステムと前記セカンダリセキュリティシステムとの間で行うことを特徴とするコンピュータネットワークの構成方法。
- 請求項1記載のコンピュータネットワークの構成方法において,前記フローレコードの共用は,前記セカンダリシステムによってリフレッシュメッセージを受信したときに,前記プライマリセキュリティシステムと前記セカンダリセキュリティシステムとの間で行うことを特徴とするコンピュータネットワークの構成方法。
- 請求項10記載のコンピュータネットワークの構成方法において,セッションが開始されもしくは終了するときに,前記プライマリセキュリティシステムが前記リフレッシュメッセージを送信することを特徴とするコンピュータネットワークの構成方法。
- 請求項2記載のコンピュータネットワークの構成方法において,前記プライマリセキュリティシステムにおけるパケットの受信及び処理は,フェイルオーバーイベントが終了した状態になったときに再開されることを特徴とするコンピュータネットワークの構成方法。
- 請求項2記載のコンピュータネットワークの構成方法において,前記プライマリセキュリティシステムは前記セカンダリセキュリティシステムのフェイルオーバーサポートを行い,前記セカンダリセキュリティシステムは前記プライマリセキュリティシステムのフェイルオーバーサポートを行うことを特徴とするコンピュータネットワークの構成方法。
- 第1のセキュリティ装置と,
コンピュータネットワークから受信したパケットにかかるフロー情報を保持し,前記第1のセキュリティ装置に特有のフロー情報を共用する第1のモジュールと,
第2の装置との間でフロー情報を交換することを可能とする通信インターフェースとから構成される第1の装置を有することを特徴とするコンピュータネットワークシステム。 - 請求項14記載のコンピュータネットワークシステムにおいて,前記第2の装置は,
第2のセキュリティ装置と,
コンピュータネットワークから受信したパケットにかかるフロー情報を保持し,前記第2のセキュリティ装置に特有のフロー情報を共用する第2のモジュールを有することを特徴とするコンピュータネットワークシステム。 - 請求項14記載のコンピュータネットワークシステムにおいて,前記第1の装置又は前記第2の装置のひとつは他の装置のフェイルオーバーイベントの発生を決定するように構成され,このフェイルオーバーイベントの発生が決定されたときには,前記第1の装置又は前記第2の装置は,他の装置のパケット処理を実行するように構成されていることを特徴とするコンピュータネットワークシステム。
- 請求項16記載のコンピュータネットワークシステムにおいて,前記フェイルオーバーイベントが発生した後,前記第1の装置又は前記第2の装置のうち他の装置は,前記フェイルオーバーイベントがクリアされた状態になると,動作を再開することを特徴とするコンピュータネットワークシステム。
- 請求項16記載のコンピュータネットワークシステムにおいて,前記フェイルオーバーイベントは,第1の装置又は第2の装置の故障を含むことを特徴とするコンピュータネットワークシステム。
- 請求項16記載のコンピュータネットワークシステムにおいて,前記フェイルオーバーイベントは,第1の装置又は第2の装置からのリンクの故障を含むことを特徴とするコンピュータネットワークシステム。
- 請求項16記載のコンピュータネットワークシステムにおいて,前記第1の装置は前記第2の装置とフローレコードを共用することを特徴とするコンピュータネットワークシステム。
- 請求項16記載のコンピュータネットワークシステムにおいて,前記第2の装置がリフレッシュメッセージを受信したときに,前記第1の装置は前記第2の装置とフローレコードを共用することを特徴とするコンピュータネットワークシステム。
- 請求項16記載のコンピュータネットワークシステムにおいて,前記第2の装置は前記第1の装置をサポートするキープアライブ信号の不存在を検出することによりフェイルオーバーイベントの発生を決定するように構成されていることを特徴とするコンピュータネットワークシステム。
- 請求項16記載のコンピュータネットワークシステムにおいて,前記第2の装置はテイクオーバー信号を受信することにより,前記フェイルオーバーイベントの発生を決定するよう構成されていることを特徴とするコンピュータネットワークシステム。
- 請求項16記載のコンピュータネットワークシステムにおいて,前記第2の装置は一定時間間隔毎に前記フェイルオーバーイベントの発生の有無を決定するよう構成されていることを特徴とするコンピュータネットワークシステム。
- 請求項23記載のコンピュータネットワークシステムにおいて,前記第1の装置の動作をモニタし,前記第1の装置に関する故障が発見されたときに,前記テイクオーバー信号を前記第2の装置に送信する第3の装置を有することを特徴とするコンピュータネットワークシステム。
- 請求項15記載のコンピュータネットワークシステムにおいて,前記第1の装置及び前記第2の装置は,実質的に同一に構成されていることを特徴とするコンピュータネットワークシステム。
- 請求項21記載のコンピュータネットワークシステムにおいて,前記第1の装置はセッションが開始されまたは終了したときに前記リフレッシュメッセージを送信することを特徴とするコンピュータネットワークシステム。
- 請求項14記載のコンピュータネットワークシステムにおいて,前記第1のセキュリティ装置はファイヤウォール,侵入検知システム又は侵入防御システムのいずれかを含むことを特徴とするコンピュータネットワークシステム。
- 処理パケットを受信するように構成されたプライマリセキュリティ装置であって,前記プライマリセキュリティ装置に含まれる複数の装置のフロー情報を保持する手段を有するプライマリセキュリティ装置と,
フェイルオーバーイベントが発生した場合に前記プライマリセキュリティ装置の処理パケットを受信するよう構成されたセカンダリセキュリティ装置であって,複数の装置のフロー情報を共用する手段を有するセカンダリセキュリティ装置と,
前記プライマリセキュリティ装置のフローレコードを前記セカンダリセキュリティ装置と共用する手段を有することを特徴とするコンピュータネットワークシステム。 - 請求項29記載のコンピュータネットワークシステムにおいて,さらに,プライマリセキュリティ装置のフェイルオーバーイベントの発生を決定する手段と,前記決定する手段が前記フェイルオーバーイベントの発生を決定したときに,前記セカンダリセキュリティ装置が前記プライマリセキュリティ装置のパケット処理を行うようにする手段とを含むことを特徴とするコンピュータネットワークシステム。
- 請求項29記載のコンピュータネットワークシステムにおいて,前記フェイルオーバーイベントは,前記プライマリセキュリティ装置の故障か前記プライマリセキュリティ装置からのリンクの故障を含むことを特徴とするコンピュータネットワークシステム。
- 請求項29記載のコンピュータネットワークシステムにおいて,前記セカンダリセキュリティ装置は前記プライマリセキュリティ装置に係るフェイルオーバーイベントの発生を決定する手段を有することを特徴とするコンピュータネットワークシステム。
- 請求項30記載のコンピュータネットワークシステムにおいて,前記プライマリセキュリティ装置に係るフェイルオーバーイベントの発生を決定する前記手段は,キープアライブ信号の不存在を検出する手段を含むことを特徴とするコンピュータネットワークシステム。
- 請求項30記載のコンピュータネットワークシステムにおいて,前記プライマリセキュリティ装置に係るフェイルオーバーイベントの発生を決定する前記手段は,さらに,プライマリセキュリティ装置の動作をモニタする手段と,前記モニタする手段が故障を検出したときに前記セカンダリセキュリティ装置にテイクオーバー信号を送信する手段とを有することを特徴とするコンピュータネットワークシステム。
- 請求項29記載のコンピュータネットワークシステムにおいて,前記プライマリセキュリティ装置のフローレコードを前記セカンダリセキュリティ装置と共用する前記手段は,所定の時間間隔毎に前記フローレコードを共用する手段を有することを特徴とするコンピュータネットワークシステム。
- 請求項29記載のコンピュータネットワークシステムにおいて,前記プライマリセキュリティ装置のフローレコードを前記セカンダリセキュリティ装置と共用する前記手段は,リフレッシュメッセージを受信したときにフローレコードを共用する手段を有することを特徴とするコンピュータネットワークシステム。
- 請求項36記載のコンピュータネットワークシステムにおいて,前記プライマリセキュリティ装置は,セッションの開始又は終了時に前記リフレッシュメッセージを送信する手段を有することを特徴とするコンピュータネットワークシステム。
- 請求項30記載のコンピュータネットワークシステムにおいて,フェイルオーバーイベントがクリアされた状態のときに,前記プライマリセキュリティ装置にパケット処理を再開させる手段を有することを特徴とするコンピュータネットワークシステム。
- 請求項29記載のコンピュータネットワークシステムにおいて,前記プライマリセキュリティ装置は,さらに,セカンダリセキュリティ装置のフェイルオーバーサポートを行う手段を有することを特徴とするコンピュータネットワークシステム。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/961075 | 2004-10-12 | ||
| US10/961,075 US7734752B2 (en) | 2002-02-08 | 2004-10-12 | Intelligent integrated network security device for high-availability applications |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006115495A true JP2006115495A (ja) | 2006-04-27 |
| JP4782527B2 JP4782527B2 (ja) | 2011-09-28 |
Family
ID=35510976
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005289900A Expired - Fee Related JP4782527B2 (ja) | 2004-10-12 | 2005-10-03 | コンピュータネットワークシステム及びコンピュータネットワークの構成方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (4) | US7734752B2 (ja) |
| EP (1) | EP1648136B1 (ja) |
| JP (1) | JP4782527B2 (ja) |
| CN (2) | CN1761240B (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011077890A (ja) * | 2009-09-30 | 2011-04-14 | Oki Electric Industry Co Ltd | 中継装置及びプログラム、中継システム、並びに通信システム |
| JP2016028501A (ja) * | 2011-09-08 | 2016-02-25 | マカフィー, インコーポレイテッド | ファイアウォールクラスターにおけるアプリケーション状態共有 |
Families Citing this family (61)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8370936B2 (en) | 2002-02-08 | 2013-02-05 | Juniper Networks, Inc. | Multi-method gateway-based network security systems and methods |
| US7734752B2 (en) | 2002-02-08 | 2010-06-08 | Juniper Networks, Inc. | Intelligent integrated network security device for high-availability applications |
| US7650634B2 (en) | 2002-02-08 | 2010-01-19 | Juniper Networks, Inc. | Intelligent integrated network security device |
| US7586838B2 (en) * | 2004-06-22 | 2009-09-08 | Skylead Assets Limited | Flexible M:N redundancy mechanism for packet inspection engine |
| US20070198675A1 (en) * | 2004-10-25 | 2007-08-23 | International Business Machines Corporation | Method, system and program product for deploying and allocating an autonomic sensor network ecosystem |
| US7590868B2 (en) * | 2005-02-09 | 2009-09-15 | Hewlett-Packard Development Company, L.P. | Method and apparatus for managing encrypted data on a computer readable medium |
| US8095983B2 (en) * | 2005-03-15 | 2012-01-10 | Mu Dynamics, Inc. | Platform for analyzing the security of communication protocols and channels |
| US7958560B1 (en) | 2005-03-15 | 2011-06-07 | Mu Dynamics, Inc. | Portable program for generating attacks on communication protocols and channels |
| US20070189273A1 (en) * | 2006-02-10 | 2007-08-16 | 3Com Corporation | Bi-planar network architecture |
| US7464302B2 (en) * | 2005-05-04 | 2008-12-09 | International Business Machines Corporation | Method and apparatus for expressing high availability cluster demand based on probability of breach |
| US7746862B1 (en) | 2005-08-02 | 2010-06-29 | Juniper Networks, Inc. | Packet processing in a multiple processor system |
| US8009566B2 (en) | 2006-06-26 | 2011-08-30 | Palo Alto Networks, Inc. | Packet classification in a network security device |
| US7958230B2 (en) | 2008-09-19 | 2011-06-07 | Mu Dynamics, Inc. | Test driven deployment and monitoring of heterogeneous network systems |
| US8316447B2 (en) * | 2006-09-01 | 2012-11-20 | Mu Dynamics, Inc. | Reconfigurable message-delivery preconditions for delivering attacks to analyze the security of networked systems |
| US7954161B1 (en) | 2007-06-08 | 2011-05-31 | Mu Dynamics, Inc. | Mechanism for characterizing soft failures in systems under attack |
| US9172611B2 (en) * | 2006-09-01 | 2015-10-27 | Spirent Communications, Inc. | System and method for discovering assets and functional relationships in a network |
| CN101115010B (zh) * | 2007-09-04 | 2010-06-02 | 杭州华三通信技术有限公司 | 扩展安全系统的方法、安全系统及安全处理设备 |
| US7774637B1 (en) | 2007-09-05 | 2010-08-10 | Mu Dynamics, Inc. | Meta-instrumentation for security analysis |
| US8117495B2 (en) | 2007-11-26 | 2012-02-14 | Stratus Technologies Bermuda Ltd | Systems and methods of high availability cluster environment failover protection |
| US8365259B2 (en) * | 2008-05-28 | 2013-01-29 | Zscaler, Inc. | Security message processing |
| US8856926B2 (en) * | 2008-06-27 | 2014-10-07 | Juniper Networks, Inc. | Dynamic policy provisioning within network security devices |
| US8010085B2 (en) * | 2008-11-19 | 2011-08-30 | Zscaler, Inc. | Traffic redirection in cloud based security services |
| US8873556B1 (en) | 2008-12-24 | 2014-10-28 | Palo Alto Networks, Inc. | Application based packet forwarding |
| US8954725B2 (en) * | 2009-05-08 | 2015-02-10 | Microsoft Technology Licensing, Llc | Sanitization of packets |
| US8379639B2 (en) * | 2009-07-22 | 2013-02-19 | Cisco Technology, Inc. | Packet classification |
| US20110047413A1 (en) | 2009-08-20 | 2011-02-24 | Mcgill Robert E | Methods and devices for detecting service failures and maintaining computing services using a resilient intelligent client computer |
| CN101699796B (zh) * | 2009-09-09 | 2012-08-22 | 成都飞鱼星科技开发有限公司 | 一种基于流信任的数据报文高速转发的方法、系统及路由器 |
| JP5393380B2 (ja) * | 2009-09-29 | 2014-01-22 | 沖電気工業株式会社 | 信号処理装置及びプログラム、並びに、通信システム |
| US8291258B2 (en) * | 2010-01-08 | 2012-10-16 | Juniper Networks, Inc. | High availability for network security devices |
| US8472311B2 (en) * | 2010-02-04 | 2013-06-25 | Genband Us Llc | Systems, methods, and computer readable media for providing instantaneous failover of packet processing elements in a network |
| US8463860B1 (en) | 2010-05-05 | 2013-06-11 | Spirent Communications, Inc. | Scenario based scale testing |
| US8547974B1 (en) | 2010-05-05 | 2013-10-01 | Mu Dynamics | Generating communication protocol test cases based on network traffic |
| US9106514B1 (en) | 2010-12-30 | 2015-08-11 | Spirent Communications, Inc. | Hybrid network software provision |
| US8464219B1 (en) | 2011-04-27 | 2013-06-11 | Spirent Communications, Inc. | Scalable control system for test execution and monitoring utilizing multiple processors |
| US9047441B2 (en) | 2011-05-24 | 2015-06-02 | Palo Alto Networks, Inc. | Malware analysis system |
| US8695096B1 (en) | 2011-05-24 | 2014-04-08 | Palo Alto Networks, Inc. | Automatic signature generation for malicious PDF files |
| US9185056B2 (en) * | 2011-09-20 | 2015-11-10 | Big Switch Networks, Inc. | System and methods for controlling network traffic through virtual switches |
| US9607512B2 (en) * | 2012-02-13 | 2017-03-28 | Cinch Systems, Inc. | Logical controller for vehicle barrier |
| US8972543B1 (en) | 2012-04-11 | 2015-03-03 | Spirent Communications, Inc. | Managing clients utilizing reverse transactions |
| US9191828B2 (en) | 2012-08-03 | 2015-11-17 | Intel Corporation | High efficiency distributed device-to-device (D2D) channel access |
| US8913518B2 (en) | 2012-08-03 | 2014-12-16 | Intel Corporation | Enhanced node B, user equipment and methods for discontinuous reception in inter-ENB carrier aggregation |
| US9526022B2 (en) * | 2012-08-03 | 2016-12-20 | Intel Corporation | Establishing operating system and application-based routing policies in multi-mode user equipment |
| WO2014022776A1 (en) | 2012-08-03 | 2014-02-06 | Intel Corporation | Method and system for enabling device-to-device communication |
| CN104471876B (zh) | 2012-08-03 | 2018-08-10 | 英特尔公司 | 包含设备触发重呼/替换特征的3gpp/m2m方法和设备 |
| US9036603B2 (en) | 2012-08-03 | 2015-05-19 | Intel Corporation | Network assistance for device-to-device discovery |
| US9774527B2 (en) * | 2012-08-31 | 2017-09-26 | Nasdaq Technology Ab | Resilient peer-to-peer application message routing |
| US8874956B2 (en) * | 2012-09-18 | 2014-10-28 | Datadirect Networks, Inc. | Data re-protection in a distributed replicated data storage system |
| US9258313B1 (en) | 2012-09-28 | 2016-02-09 | Juniper Networks, Inc. | Distributed application awareness |
| US9787567B1 (en) | 2013-01-30 | 2017-10-10 | Big Switch Networks, Inc. | Systems and methods for network traffic monitoring |
| RU2544786C2 (ru) * | 2013-06-03 | 2015-03-20 | Государственное казенное образовательное учреждение высшего профессионального образования Академия Федеральной службы охраны Российской Федерации (Академия ФСО России) | Способ формирования защищенной системы связи, интегрированной с единой сетью электросвязи в условиях внешних деструктивных воздействий |
| US9461967B2 (en) | 2013-07-18 | 2016-10-04 | Palo Alto Networks, Inc. | Packet classification for network routing |
| US10270645B2 (en) | 2014-07-21 | 2019-04-23 | Big Switch Networks, Inc. | Systems and methods for handling link aggregation failover with a controller |
| CN104602281A (zh) * | 2015-01-29 | 2015-05-06 | 深圳市中兴移动通信有限公司 | 移动终端的控制方法、装置、移动终端及系统 |
| US9813323B2 (en) | 2015-02-10 | 2017-11-07 | Big Switch Networks, Inc. | Systems and methods for controlling switches to capture and monitor network traffic |
| US9628504B2 (en) * | 2015-03-09 | 2017-04-18 | International Business Machines Corporation | Deploying a security appliance system in a high availability environment without extra network burden |
| US9525697B2 (en) | 2015-04-02 | 2016-12-20 | Varmour Networks, Inc. | Delivering security functions to distributed networks |
| US20170111272A1 (en) * | 2015-10-14 | 2017-04-20 | Varmour Networks, Inc. | Determining Direction of Network Sessions |
| DE102016205983A1 (de) * | 2016-04-11 | 2017-10-12 | Siemens Aktiengesellschaft | Anordnung zum Überprüfen von wenigstens einer Firewall-Einrichtung und Verfahren zum Schutz wenigstens eines Datenempfängers |
| US11115385B1 (en) * | 2016-07-27 | 2021-09-07 | Cisco Technology, Inc. | Selective offloading of packet flows with flow state management |
| US10419327B2 (en) | 2017-10-12 | 2019-09-17 | Big Switch Networks, Inc. | Systems and methods for controlling switches to record network packets using a traffic monitoring network |
| DE102018120344A1 (de) * | 2018-08-21 | 2020-02-27 | Pilz Gmbh & Co. Kg | Automatisierungssystem zur Überwachung eines sicherheitskritischen Prozesses |
Family Cites Families (85)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5606668A (en) * | 1993-12-15 | 1997-02-25 | Checkpoint Software Technologies Ltd. | System for securing inbound and outbound data packet flow in a computer network |
| US5835726A (en) * | 1993-12-15 | 1998-11-10 | Check Point Software Technologies Ltd. | System for securing the flow of and selectively modifying packets in a computer network |
| US5598410A (en) * | 1994-12-29 | 1997-01-28 | Storage Technology Corporation | Method and apparatus for accelerated packet processing |
| US5781550A (en) | 1996-02-02 | 1998-07-14 | Digital Equipment Corporation | Transparent and secure network gateway |
| US5898830A (en) * | 1996-10-17 | 1999-04-27 | Network Engineering Software | Firewall providing enhanced network security and user transparency |
| US5842040A (en) | 1996-06-18 | 1998-11-24 | Storage Technology Corporation | Policy caching method and apparatus for use in a communication device based on contents of one data unit in a subset of related data units |
| JPH10107795A (ja) | 1996-09-30 | 1998-04-24 | Hitachi Software Eng Co Ltd | ネットワーク管理システム |
| US6119236A (en) * | 1996-10-07 | 2000-09-12 | Shipley; Peter M. | Intelligent network security device and method |
| US6453345B2 (en) * | 1996-11-06 | 2002-09-17 | Datadirect Networks, Inc. | Network security and surveillance system |
| US6591303B1 (en) | 1997-03-07 | 2003-07-08 | Sun Microsystems, Inc. | Method and apparatus for parallel trunking of interfaces to increase transfer bandwidth |
| US6199110B1 (en) * | 1997-05-30 | 2001-03-06 | Oracle Corporation | Planned session termination for clients accessing a resource through a server |
| US6088356A (en) | 1997-06-30 | 2000-07-11 | Sun Microsystems, Inc. | System and method for a multi-layer network element |
| US5909686A (en) | 1997-06-30 | 1999-06-01 | Sun Microsystems, Inc. | Hardware-assisted central processing unit access to a forwarding database |
| US6049528A (en) | 1997-06-30 | 2000-04-11 | Sun Microsystems, Inc. | Trunking ethernet-compatible networks |
| US6775692B1 (en) | 1997-07-31 | 2004-08-10 | Cisco Technology, Inc. | Proxying and unproxying a connection using a forwarding agent |
| US6006264A (en) * | 1997-08-01 | 1999-12-21 | Arrowpoint Communications, Inc. | Method and system for directing a flow between a client and a server |
| US7143438B1 (en) | 1997-09-12 | 2006-11-28 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with multiple domain support |
| US6154775A (en) | 1997-09-12 | 2000-11-28 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with dynamic rule processing with the ability to dynamically alter the operations of rules |
| US6170012B1 (en) | 1997-09-12 | 2001-01-02 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with cache query processing |
| US6141749A (en) | 1997-09-12 | 2000-10-31 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with stateful packet filtering |
| US6098172A (en) | 1997-09-12 | 2000-08-01 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with proxy reflection |
| US6205551B1 (en) * | 1998-01-29 | 2001-03-20 | Lucent Technologies Inc. | Computer security using virus probing |
| US6279113B1 (en) * | 1998-03-16 | 2001-08-21 | Internet Tools, Inc. | Dynamic signature inspection-based network intrusion detection |
| US6466985B1 (en) * | 1998-04-10 | 2002-10-15 | At&T Corp. | Method and apparatus for providing quality of service using the internet protocol |
| US6275942B1 (en) * | 1998-05-20 | 2001-08-14 | Network Associates, Inc. | System, method and computer program product for automatic response to computer system misuse using active response modules |
| US6157955A (en) * | 1998-06-15 | 2000-12-05 | Intel Corporation | Packet processing system including a policy engine having a classification unit |
| US6253321B1 (en) * | 1998-06-19 | 2001-06-26 | Ssh Communications Security Ltd. | Method and arrangement for implementing IPSEC policy management using filter code |
| US6633543B1 (en) * | 1998-08-27 | 2003-10-14 | Intel Corporation | Multicast flow control |
| US6311278B1 (en) * | 1998-09-09 | 2001-10-30 | Sanctum Ltd. | Method and system for extracting application protocol characteristics |
| KR100333250B1 (ko) | 1998-10-05 | 2002-05-17 | 가나이 쓰토무 | 패킷 중계 장치 |
| JP3721880B2 (ja) | 1998-10-05 | 2005-11-30 | 株式会社日立製作所 | パケット中継装置 |
| US6321338B1 (en) * | 1998-11-09 | 2001-11-20 | Sri International | Network surveillance |
| US6499107B1 (en) * | 1998-12-29 | 2002-12-24 | Cisco Technology, Inc. | Method and system for adaptive network security using intelligent packet analysis |
| US6301668B1 (en) * | 1998-12-29 | 2001-10-09 | Cisco Technology, Inc. | Method and system for adaptive network security using network vulnerability assessment |
| US6487666B1 (en) * | 1999-01-15 | 2002-11-26 | Cisco Technology, Inc. | Intrusion detection signature analysis using regular expressions and logical operators |
| US7643481B2 (en) | 1999-03-17 | 2010-01-05 | Broadcom Corporation | Network switch having a programmable counter |
| US6993027B1 (en) | 1999-03-17 | 2006-01-31 | Broadcom Corporation | Method for sending a switch indicator to avoid out-of-ordering of frames in a network switch |
| US6788738B1 (en) * | 1999-05-07 | 2004-09-07 | Xilinx, Inc. | Filter accelerator for a digital signal processor |
| EP1143665B1 (en) | 1999-06-10 | 2007-01-03 | Alcatel Internetworking, Inc. | Unified policy management system and method with integrated policy enforcer |
| US7051066B1 (en) | 1999-07-02 | 2006-05-23 | Cisco Technology, Inc. | Integrating service managers into a routing infrastructure using forwarding agents |
| US6549516B1 (en) | 1999-07-02 | 2003-04-15 | Cisco Technology, Inc. | Sending instructions from a service manager to forwarding agents on a need to know basis |
| US6742045B1 (en) | 1999-07-02 | 2004-05-25 | Cisco Technology, Inc. | Handling packet fragments in a distributed network service environment |
| US6633560B1 (en) | 1999-07-02 | 2003-10-14 | Cisco Technology, Inc. | Distribution of network services among multiple service managers without client involvement |
| US6735169B1 (en) | 1999-07-02 | 2004-05-11 | Cisco Technology, Inc. | Cascading multiple services on a forwarding agent |
| US6970913B1 (en) | 1999-07-02 | 2005-11-29 | Cisco Technology, Inc. | Load balancing using distributed forwarding agents with application based feedback for different virtual machines |
| US6704278B1 (en) * | 1999-07-02 | 2004-03-09 | Cisco Technology, Inc. | Stateful failover of service managers |
| US6650641B1 (en) | 1999-07-02 | 2003-11-18 | Cisco Technology, Inc. | Network address translation using a forwarding agent |
| US6606315B1 (en) | 1999-07-02 | 2003-08-12 | Cisco Technology, Inc. | Synchronizing service instructions among forwarding agents using a service manager |
| US6285656B1 (en) * | 1999-08-13 | 2001-09-04 | Holontech Corporation | Active-passive flow switch failover technology |
| US6851061B1 (en) * | 2000-02-16 | 2005-02-01 | Networks Associates, Inc. | System and method for intrusion detection data collection using a network protocol stack multiplexor |
| US6738826B1 (en) * | 2000-02-24 | 2004-05-18 | Cisco Technology, Inc. | Router software upgrade employing redundant processors |
| US6880089B1 (en) * | 2000-03-31 | 2005-04-12 | Avaya Technology Corp. | Firewall clustering for multiple network servers |
| JP2001313640A (ja) | 2000-05-02 | 2001-11-09 | Ntt Data Corp | 通信ネットワークにおけるアクセス種別を判定する方法及びシステム、記録媒体 |
| US6981158B1 (en) * | 2000-06-19 | 2005-12-27 | Bbnt Solutions Llc | Method and apparatus for tracing packets |
| GB0020488D0 (en) * | 2000-08-18 | 2000-10-11 | Hewlett Packard Co | Trusted status rollback |
| AU2001288463A1 (en) * | 2000-08-30 | 2002-03-13 | Citibank, N.A. | Method and system for internet hosting and security |
| US20020032797A1 (en) * | 2000-09-08 | 2002-03-14 | Wei Xu | Systems and methods for service addressing |
| AU2001293080A1 (en) * | 2000-09-28 | 2002-04-15 | Symantec Corporation | System and method for analyzing protocol streams for a security-related event |
| AU3054102A (en) * | 2000-11-30 | 2002-06-11 | Lancope Inc | Flow-based detection of network intrusions |
| US7155515B1 (en) * | 2001-02-06 | 2006-12-26 | Microsoft Corporation | Distributed load balancing for single entry-point systems |
| FI20010267A0 (fi) * | 2001-02-13 | 2001-02-13 | Stonesoft Oy | Tietoturvagatewayn tilatietojen synkronointi |
| US6985983B2 (en) * | 2001-03-01 | 2006-01-10 | Hewlett-Packard Development Company, L.P. | Translating device adapter having a common command set for interfacing multiple types of redundant storage devices to a host processor |
| US7099350B2 (en) * | 2001-04-24 | 2006-08-29 | Atitania, Ltd. | Method and apparatus for converting data between two dissimilar systems |
| US7543066B2 (en) * | 2001-04-30 | 2009-06-02 | International Business Machines Corporation | Method and apparatus for maintaining session affinity across multiple server groups |
| KR100437169B1 (ko) * | 2001-05-04 | 2004-06-25 | 이재형 | 네트워크 트래픽 흐름 제어 시스템 |
| US7239636B2 (en) | 2001-07-23 | 2007-07-03 | Broadcom Corporation | Multiple virtual channels for use in network devices |
| US7245632B2 (en) | 2001-08-10 | 2007-07-17 | Sun Microsystems, Inc. | External storage for modular computer systems |
| JP2003078549A (ja) * | 2001-08-31 | 2003-03-14 | Hitachi Ltd | パケット転送方法およびその装置 |
| WO2003025766A1 (en) | 2001-09-14 | 2003-03-27 | Nokia Inc. | System and method for packet forwarding |
| US7254834B2 (en) * | 2001-10-18 | 2007-08-07 | The Board Of Regents Of The University Of Nebraska | Fault tolerant firewall sandwiches |
| DE10201655C1 (de) | 2002-01-17 | 2003-07-31 | Amcornet Gmbh | Multifunktions-Server,insbesondere Twin-Firewall-Server |
| US7222366B2 (en) * | 2002-01-28 | 2007-05-22 | International Business Machines Corporation | Intrusion event filtering |
| US20030149887A1 (en) * | 2002-02-01 | 2003-08-07 | Satyendra Yadav | Application-specific network intrusion detection |
| US7174566B2 (en) * | 2002-02-01 | 2007-02-06 | Intel Corporation | Integrated network intrusion detection |
| US7734752B2 (en) | 2002-02-08 | 2010-06-08 | Juniper Networks, Inc. | Intelligent integrated network security device for high-availability applications |
| US8370936B2 (en) | 2002-02-08 | 2013-02-05 | Juniper Networks, Inc. | Multi-method gateway-based network security systems and methods |
| US7650634B2 (en) * | 2002-02-08 | 2010-01-19 | Juniper Networks, Inc. | Intelligent integrated network security device |
| US6856991B1 (en) * | 2002-03-19 | 2005-02-15 | Cisco Technology, Inc. | Method and apparatus for routing data to a load balanced server using MPLS packet labels |
| CN1248460C (zh) * | 2002-10-15 | 2006-03-29 | 华为技术有限公司 | 一种独立于移动终端的个人信息管理方法 |
| US20050102497A1 (en) | 2002-12-05 | 2005-05-12 | Buer Mark L. | Security processor mirroring |
| US6891158B2 (en) * | 2002-12-27 | 2005-05-10 | Revera Incorporated | Nondestructive characterization of thin films based on acquired spectrum |
| US7593346B2 (en) * | 2003-07-31 | 2009-09-22 | Cisco Technology, Inc. | Distributing and balancing traffic flow in a virtual gateway |
| CN1486025A (zh) * | 2003-08-22 | 2004-03-31 | 北京港湾网络有限公司 | PPPoE二层透传端口用户名绑定检查的方法 |
| US7895431B2 (en) | 2004-09-10 | 2011-02-22 | Cavium Networks, Inc. | Packet queuing, scheduling and ordering |
| US7535907B2 (en) | 2005-04-08 | 2009-05-19 | Oavium Networks, Inc. | TCP engine |
-
2004
- 2004-10-12 US US10/961,075 patent/US7734752B2/en active Active
-
2005
- 2005-10-03 JP JP2005289900A patent/JP4782527B2/ja not_active Expired - Fee Related
- 2005-10-12 CN CN200510106769.2A patent/CN1761240B/zh active Active
- 2005-10-12 EP EP05022282.7A patent/EP1648136B1/en active Active
- 2005-10-12 CN CN201210032725.XA patent/CN102647406B/zh active Active
-
2010
- 2010-04-23 US US12/766,773 patent/US8326961B2/en not_active Expired - Lifetime
-
2012
- 2012-09-14 US US13/616,706 patent/US8631113B2/en not_active Expired - Lifetime
-
2013
- 2013-12-30 US US14/143,807 patent/US8959197B2/en not_active Expired - Fee Related
Non-Patent Citations (2)
| Title |
|---|
| JPN6011000427, 橘 喜胤, "高可用性ファイアウォール", 沖電気研究開発, 20000701, 第67巻、第2号, pp.103−106 * |
| JPN6011000428, 松原 宗志 他, "放送情報システム", 東芝レビュー, 19970801, 第52巻、第8号, pp.16−18 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011077890A (ja) * | 2009-09-30 | 2011-04-14 | Oki Electric Industry Co Ltd | 中継装置及びプログラム、中継システム、並びに通信システム |
| JP2016028501A (ja) * | 2011-09-08 | 2016-02-25 | マカフィー, インコーポレイテッド | ファイアウォールクラスターにおけるアプリケーション状態共有 |
Also Published As
| Publication number | Publication date |
|---|---|
| US8959197B2 (en) | 2015-02-17 |
| EP1648136A1 (en) | 2006-04-19 |
| US20100242093A1 (en) | 2010-09-23 |
| EP1648136B1 (en) | 2014-03-05 |
| US7734752B2 (en) | 2010-06-08 |
| CN102647406B (zh) | 2015-04-01 |
| CN1761240A (zh) | 2006-04-19 |
| CN1761240B (zh) | 2012-04-25 |
| US8631113B2 (en) | 2014-01-14 |
| US8326961B2 (en) | 2012-12-04 |
| US20060005231A1 (en) | 2006-01-05 |
| JP4782527B2 (ja) | 2011-09-28 |
| US20140115379A1 (en) | 2014-04-24 |
| CN102647406A (zh) | 2012-08-22 |
| US20130067268A1 (en) | 2013-03-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4782527B2 (ja) | コンピュータネットワークシステム及びコンピュータネットワークの構成方法 | |
| US10084751B2 (en) | Load balancing among a cluster of firewall security devices | |
| TWI582636B (zh) | 用於電腦網路之企業任務管理之系統及方法 | |
| EP2343864B1 (en) | High availability for network security devices | |
| US9270639B2 (en) | Load balancing among a cluster of firewall security devices | |
| US9264402B2 (en) | Systems involving firewall of virtual machine traffic and methods of processing information associated with same | |
| TWI506999B (zh) | 自發地配置一電腦網路之系統及方法 | |
| Keromytis et al. | A holistic approach to service survivability | |
| Chang et al. | Deciduous: Decentralized source identification for network-based intrusions | |
| US10904288B2 (en) | Identifying and deceiving adversary nodes and maneuvers for attack deception and mitigation | |
| Khalaf et al. | A simulation study of syn flood attack in cloud computing environment | |
| KR20230160938A (ko) | 컨테이너화된 애플리케이션 보호 | |
| TWI510956B (zh) | 交換器及用於在將複數個裝置連接至動態電腦網路之交換器中使用之方法 | |
| EP2014018B1 (en) | Configurable resolution policy for data switch feature failures | |
| Ayuso et al. | Demystifying cluster-based fault-tolerant firewalls | |
| JP2004096246A (ja) | データ伝送方法、データ伝送システム及びデータ伝送装置 | |
| Stamatelatos | A measurement study of BGP Blackhole routing performance | |
| Patil et al. | A novel approach to detect extraneous network traffic from the compromised router | |
| Elouafiq et al. | Aggressive and Intelligent Self-Defensive Network: Towards a New Generation of Semi-autonomous Networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080922 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20101222 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110111 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20110411 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20110414 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20110511 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20110516 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110610 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110628 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110707 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140715 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |