JP2009278635A - ステートフル・インスペクションを備えるファイアウォール - Google Patents
ステートフル・インスペクションを備えるファイアウォール Download PDFInfo
- Publication number
- JP2009278635A JP2009278635A JP2009160789A JP2009160789A JP2009278635A JP 2009278635 A JP2009278635 A JP 2009278635A JP 2009160789 A JP2009160789 A JP 2009160789A JP 2009160789 A JP2009160789 A JP 2009160789A JP 2009278635 A JP2009278635 A JP 2009278635A
- Authority
- JP
- Japan
- Prior art keywords
- packet
- network
- firewall
- acceptable
- internal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0254—Stateful filtering
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
【課題】既存のインフラを変更することのないセキュリティ・デバイスを提供する。
【解決手段】内部ネットワークを出入りするパケット・フローを制御するためのネットワーク・セキュリティ・デバイスであって、上記デバイスは第1及び第2のネットワーク・カードとステートフル・インスペクション・ファイアウォールとを含み、パケットが流入する間に、第1のネットワーク・カードは各パケットを既存のセッションの一部であるかないかを検査するためにファイアウォールへ転送し、i)上記パケットが既存のセッションの一部であれば、第2のネットワーク・カードへかつ内部ネットワークへ転送され、ii)上記パケットが既存のセッションの一部でなければ、これは上記パケットが上記ネットワークへ受容可能であるか否かを決定するルールセットと比較される。
【選択図】図2
【解決手段】内部ネットワークを出入りするパケット・フローを制御するためのネットワーク・セキュリティ・デバイスであって、上記デバイスは第1及び第2のネットワーク・カードとステートフル・インスペクション・ファイアウォールとを含み、パケットが流入する間に、第1のネットワーク・カードは各パケットを既存のセッションの一部であるかないかを検査するためにファイアウォールへ転送し、i)上記パケットが既存のセッションの一部であれば、第2のネットワーク・カードへかつ内部ネットワークへ転送され、ii)上記パケットが既存のセッションの一部でなければ、これは上記パケットが上記ネットワークへ受容可能であるか否かを決定するルールセットと比較される。
【選択図】図2
Description
本発明はネットワーク・セキュリティ・デバイスに関し、より特定的にはステートフル・インスペクションのファイアウォール・ブリッジに関する。
多くのネットワーク・サービスはセキュリティホールとなり得ることが判明しており、そのためのツールは、初心者向けのものさえ広く入手可能となっている。危険な情報がない場合でも、サーバまたはネットワークの一時的なブラックアウトは、何時間にも及ぶ作業の喪失及びされたビジネスの機会の逸失を意味する場合がある。
企業はインターネットへ接続することが可能であり、ダイアルアップを介してisdn及びリースされた回線でデータを交換することができる。さらに従業員には、リモート・アクセス・オプションが提供される可能性もある。その上、着信するあらゆる接続は発信する接続も保有しているように思われる。
どんなコンピュータ・ネットワークも、完全に安全であるわけではない。あらゆる鎖錠と同様に、人間が作ったものであれば、それは人間によって破られる可能性がある。ちょっとしたセキュリティ対策でも、そうでなければ厄介ごとをもたらすほとんどのアマチュアを排除することができる。これに対して大規模なサイトは、ちょっとしたセキュリティ対策で甘んじるべきではない。
セキュリティは高価である。専用のハードウェア及びソフトウェアは、専門知識を頼む、雇うまたは作り上げるかすることによって購入され、インストールされ、設定されかつ保全されなければならない。既存のインフラに対しては、さらなるハードウェアを必要とする、または中断時間を発生させる変更を実施しなければならない場合が多い。
用語解説
ブリッジ
データ・リンク層情報を基礎としてネットワーク・セグメント間でトラフィックを転送するデバイス。これらのセグメントは、共通のネットワーク層アドレスを保有する。
ブリッジ
データ・リンク層情報を基礎としてネットワーク・セグメント間でトラフィックを転送するデバイス。これらのセグメントは、共通のネットワーク層アドレスを保有する。
ファイアウォール
特にインターネット接続及びダイアルイン回線である外部ネットワークへのサービスに使用される、その上に特別なセキュリティ予防策を有する専用のゲートウェイ・マシン。その意図は、その背後に隠されたより管理の緩いマシン群をクラッカから保護することにある。典型的なファイアウォールは、重要データを保有しない安価なマイクロプロセッサ・ベースのユニット・マシンであり、モデム及び公衆ネットワーク・ポートをその上に有するが、残りのクラスタに対する慎重に監視された接続は1つしかない。
特にインターネット接続及びダイアルイン回線である外部ネットワークへのサービスに使用される、その上に特別なセキュリティ予防策を有する専用のゲートウェイ・マシン。その意図は、その背後に隠されたより管理の緩いマシン群をクラッカから保護することにある。典型的なファイアウォールは、重要データを保有しない安価なマイクロプロセッサ・ベースのユニット・マシンであり、モデム及び公衆ネットワーク・ポートをその上に有するが、残りのクラスタに対する慎重に監視された接続は1つしかない。
ルータ
ネットワーク間でパケットを転送するデバイス。転送の決定は、ネットワーク層情報と、ルーティング・プロトコルによって構成される場合の多いルーティング・テーブルとを基礎として行われる。
ネットワーク間でパケットを転送するデバイス。転送の決定は、ネットワーク層情報と、ルーティング・プロトコルによって構成される場合の多いルーティング・テーブルとを基礎として行われる。
パケット
ネットワーク上で送信されるデータ・ユニット。「パケット」はOSIプロトコル・スタックの任意の層におけるデータ・ユニットを記述するために使用される総称であるが、最も正確にはアプリケーション層のデータ・ユニット(「アプリケーション・プロトコル・データ・ユニット」、APDU)を記述するために使用される。
ネットワーク上で送信されるデータ・ユニット。「パケット」はOSIプロトコル・スタックの任意の層におけるデータ・ユニットを記述するために使用される総称であるが、最も正確にはアプリケーション層のデータ・ユニット(「アプリケーション・プロトコル・データ・ユニット」、APDU)を記述するために使用される。
ステートフル・インスペクション
ステートフル・インスペクション・プログラムは、接続を開始する全パケットをファイアウォール・ルールベースに照らして順次精査する。パケットが受容されることなく任意のルールを通過すれば、そのパケットは拒否される。接続が受容されれば、そのセッションはファイアウォールのステートフル・インスペクション・テーブルへ入る。そのセッションがテーブルに存在しかつそのパケットがそのセッションの一部であれば、パケットは受容される。パケットがセッションの一部でなければ、これはドロップされる。パケットは悉くルールベースと比較され、マッチング・ルールを基礎として決定が下される。
ステートフル・インスペクション・プログラムは、接続を開始する全パケットをファイアウォール・ルールベースに照らして順次精査する。パケットが受容されることなく任意のルールを通過すれば、そのパケットは拒否される。接続が受容されれば、そのセッションはファイアウォールのステートフル・インスペクション・テーブルへ入る。そのセッションがテーブルに存在しかつそのパケットがそのセッションの一部であれば、パケットは受容される。パケットがセッションの一部でなければ、これはドロップされる。パケットは悉くルールベースと比較され、マッチング・ルールを基礎として決定が下される。
ルールベース
どのパケットがネットワークを介して認可され、または否認されるかを決定するルールセット。
どのパケットがネットワークを介して認可され、または否認されるかを決定するルールセット。
HTML:ハイパーテキスト・マークアップ言語
これは、WWWページを記述するために使用される言語である。
これは、WWWページを記述するために使用される言語である。
インターネット上のワールドワイドウェブ・サーバ上のコンテンツ及び他の文書へのハイパーテキスト・リンクを指定するために使用されるタグ・ベースのASCII言語。そして任意のオペレーティング・システム(ハードウェア・プラットフォーム、モニタ解像度、他)用に作られるブラウザを使用して作成された文書を見る、かつ他の文書を表示するリンクを辿ることができる。
ネットワーク・インタフェース・カード(ネットワーク・カード)
PCにインストールされる、PCがLAN上で通信することを有効化するLANアダプタ(プリンタ基板)の名称。この用語は、IBM PC及びトークン・リングのユーザにより共用されている。
PCにインストールされる、PCがLAN上で通信することを有効化するLANアダプタ(プリンタ基板)の名称。この用語は、IBM PC及びトークン・リングのユーザにより共用されている。
IPアドレス
ネットワーク層のプロトコルは全てアドレス・フォーマットを保有し、TCP/IPプロトコルの32ビットIPアドレスの場合、アドレスは「199.12.1.1」の形式になる。これはドット付き10進数と呼ばれ、4つに区切られた各々は0乃至255の10進数であってIPアドレスの8ビットを表し、そのネットワーク上の特定ホストを指定する。
ネットワーク層のプロトコルは全てアドレス・フォーマットを保有し、TCP/IPプロトコルの32ビットIPアドレスの場合、アドレスは「199.12.1.1」の形式になる。これはドット付き10進数と呼ばれ、4つに区切られた各々は0乃至255の10進数であってIPアドレスの8ビットを表し、そのネットワーク上の特定ホストを指定する。
IPアドレス全体に対して32ビットしか存在せず、またネットワークによっては他のネットワークより遙かに多数のホストを有するものがある(かつ遙かに少数のネットワークもある)ことから、異なるアドレス等級が存在する。これらは、異なるビット数をアドレスのネットワーク及びホスト部分に割り当てる。
DMZ:非武装地帯
敵対する両者間の戦闘が防止されている区域をいう軍事用語。
敵対する両者間の戦闘が防止されている区域をいう軍事用語。
DMZイーサネットは、異なる団体によって制御されるネットワークとコンピュータとを接続する。これらは、外的なものである場合も、内的なものである場合もある。外部のDMZイーサネットは、地域ネットワークを内部ネットワークにルータでリンクする。内部のDMZイーサネットは、ローカル・ノードを地域ネットワークにルータでリンクする。
現行技術
ファイアウォール及びセキュリティ・ソフトウェアは、多くの異なるタイプが周知である。これらは、3つの範疇に分類されることが可能である。(ここでは、単一のホーム・コンピュータを保護するパーソナル・ファイアウォールについては考慮しない。)
・プロキシを基礎とするもの:ファイアウォール・サーバ上の異なるネットワーク・インタフェースに物理的に接続しているシステム間のアプリケーション−プロキシとして機能する。アプリケーション−プロキシは、ファイアウォールの一方の側に存在するエンティティがファイアウォールのもう一方の側のエンティティを相手とする場合にそのアプリケーション・レベルでのエージェントまたは代理として作用する。インタフェース間にこの仕切りを保持しかつ継続的にプロトコルを点検することにより、極めて安全な環境が提供される。これは、CPU時間にとっては厳しいものであり、大容量サイトにおいては問題点となる可能性がある。
・ステートフル・インスペクション:ファイアウォールが接続を開始するパケットを受信するときはいつも、そのパケットはファイアウォール・ルールベースに照らして順次精査される。パケットが受容されることなく任意のルールを通過すれば、そのパケットは拒否される。接続が受容されれば、そのセッションは、メモリ内に位置づけられるファイアウォールのステートフル・インスペクション・テーブルへ入る。これに続くパケットは悉く、このステートフル・インスペクション・テーブルと比較される。そのセッションがテーブルに存在しかつそのパケットがそのセッションの一部であれば、パケットは受容される。パケットがセッションの一部でなければ、これはドロップされる。あらゆる単一のパケットがルールベースと比較されるわけではないことから、これによりシステム・パフォーマンスが向上される。
・パケット・フィルタ:パケットは悉くルールベースと比較され、1つまたは複数のマッチング・ルールを基礎として決定が下される。
ファイアウォール及びセキュリティ・ソフトウェアは、多くの異なるタイプが周知である。これらは、3つの範疇に分類されることが可能である。(ここでは、単一のホーム・コンピュータを保護するパーソナル・ファイアウォールについては考慮しない。)
・プロキシを基礎とするもの:ファイアウォール・サーバ上の異なるネットワーク・インタフェースに物理的に接続しているシステム間のアプリケーション−プロキシとして機能する。アプリケーション−プロキシは、ファイアウォールの一方の側に存在するエンティティがファイアウォールのもう一方の側のエンティティを相手とする場合にそのアプリケーション・レベルでのエージェントまたは代理として作用する。インタフェース間にこの仕切りを保持しかつ継続的にプロトコルを点検することにより、極めて安全な環境が提供される。これは、CPU時間にとっては厳しいものであり、大容量サイトにおいては問題点となる可能性がある。
・ステートフル・インスペクション:ファイアウォールが接続を開始するパケットを受信するときはいつも、そのパケットはファイアウォール・ルールベースに照らして順次精査される。パケットが受容されることなく任意のルールを通過すれば、そのパケットは拒否される。接続が受容されれば、そのセッションは、メモリ内に位置づけられるファイアウォールのステートフル・インスペクション・テーブルへ入る。これに続くパケットは悉く、このステートフル・インスペクション・テーブルと比較される。そのセッションがテーブルに存在しかつそのパケットがそのセッションの一部であれば、パケットは受容される。パケットがセッションの一部でなければ、これはドロップされる。あらゆる単一のパケットがルールベースと比較されるわけではないことから、これによりシステム・パフォーマンスが向上される。
・パケット・フィルタ:パケットは悉くルールベースと比較され、1つまたは複数のマッチング・ルールを基礎として決定が下される。
高性能ファイアウォールのほとんどは、上述の技術を組合せたもの、または混合したものを提供する。周知の例は全て、それらが技術的にはルータであり、各ネットワーク・インタフェース上に異なるサブネットを保有する必要があることにおいて共通している。
ルータ対ブリッジ
ルータは、ネットワーク間でパケットを転送するデバイスである。ルータは、異なるネットワークを認識しかつそこへ到達する方法を認識している。これが、周知の全ての商用ファイアウォールによって現時点で使用されている技術である。これは、ファイアウォールの異なる側にあるホストは異なるネットワーク・アドレスを保有しなければならず、そうでなければトラフィックは絶対にそのファイアウォールで終了しないことを含意する。ネットワークの変更は、ダイアルイン・デバイス上で、及びLAN上でも必要とされる。
ルータは、ネットワーク間でパケットを転送するデバイスである。ルータは、異なるネットワークを認識しかつそこへ到達する方法を認識している。これが、周知の全ての商用ファイアウォールによって現時点で使用されている技術である。これは、ファイアウォールの異なる側にあるホストは異なるネットワーク・アドレスを保有しなければならず、そうでなければトラフィックは絶対にそのファイアウォールで終了しないことを含意する。ネットワークの変更は、ダイアルイン・デバイス上で、及びLAN上でも必要とされる。
ブリッジは、データ・リンク層情報を基礎としてネットワーク・セグメント間でトラフィックを転送するデバイスである。これは、MACアドレスを基礎として作動する。
本発明は、企業がそのダイアルイン・サーバの保護を希望するという現実的状況から発生した。このサーバは、従業員及び第三者には既にネットワーク接続性を供給している。新たな第三者企業はアクセスを必要としていたが、その企業が不確かなインターネット接続を有することは周知であった。
任意の種類の従来型ファイアウォールの実装は、ダイアルイン・サーバのアドレス指定スキームを再構成しかつリモート企業と変更を調整することを意味していたと思われる。
従って、既存のインフラを変更する必要のないセキュリティ・デバイスに対するニーズが存在する。
また、完全に透明なファイアウォールも必要とされている。本発明によるシステムは、ネットワークの論理部分ではないことからトレースルートには絶対に表れない。さらに本発明は、ファイアウォールにIPアドレスを割り当てることなく実装されることが可能である。これは、コンソール・アクセスでの設定を意味するが、結果的に得られるセキュリティ・デバイスにはアドレスがない。
内部ネットワークを出入りするパケット・フローを制御するためのネットワーク・セキュリティ・デバイスであって、上記デバイスは第1及び第2のネットワーク・カードとステートフル・インスペクション・ファイアウォールとを含み、パケットが流入する間に、上記第1のネットワーク・カードは各パケットを上記パケットが既存のセッションの一部であるかないかを決定する検査のために上記ファイアウォールへ転送し、
(i)上記パケットが既存のセッションの一部であれば、これは上記第2のネットワーク・カードへかつ上記内部ネットワークへ転送され、
(ii)上記パケットが既存のセッションの一部でなければ、これは上記パケットが上記ネットワークへ受容可能であるか受容可能でないかを決定するルールセットと比較され、
(a)上記パケットが受容可能であれば、これは上記第2のネットワーク・カードへかつ上記内部ネットワークへ転送されかつ上記セッションは上記ステートフル・インスペクション・テーブルへ入れられ、
(b)上記パケットが受容可能でなければ、これはドロップされて消失し、
パケットが流出する間に、アウトバウンド・パケットは上記第2のネットワーク・カードを通過し、ここでこれが既存のセッションの一部であるかないかを決定するために検査され、そうであればこれは上記デバイスを出るために上記第1のネットワーク・カードへ転送され、そうでなければこれは上記ルールセットと比較され、上記パケットが受容可能であればこれは上記デバイスを出るために上記第1のネットワーク・カードへ転送され、受容可能でなければこれはドロップされて消失する。
(i)上記パケットが既存のセッションの一部であれば、これは上記第2のネットワーク・カードへかつ上記内部ネットワークへ転送され、
(ii)上記パケットが既存のセッションの一部でなければ、これは上記パケットが上記ネットワークへ受容可能であるか受容可能でないかを決定するルールセットと比較され、
(a)上記パケットが受容可能であれば、これは上記第2のネットワーク・カードへかつ上記内部ネットワークへ転送されかつ上記セッションは上記ステートフル・インスペクション・テーブルへ入れられ、
(b)上記パケットが受容可能でなければ、これはドロップされて消失し、
パケットが流出する間に、アウトバウンド・パケットは上記第2のネットワーク・カードを通過し、ここでこれが既存のセッションの一部であるかないかを決定するために検査され、そうであればこれは上記デバイスを出るために上記第1のネットワーク・カードへ転送され、そうでなければこれは上記ルールセットと比較され、上記パケットが受容可能であればこれは上記デバイスを出るために上記第1のネットワーク・カードへ転送され、受容可能でなければこれはドロップされて消失する。
本発明の実装には、例えば下記のものが必要である。
ハードウェア
最低200Mhzのプロセッサ
最低64MBのRAM
容量64MBのソリッドステート・ハードドライブ1基
3×ネットワーク・カード10/100/1000
電源を収容したケース及びシステム構成用入力デバイスを有するLCDパネル
ビデオカードを使用しないことによる、デバッギング及び起動情報用シリアル・ポート
ソフトウェア
Linux Kernelバージョン2.4.x
Apacheウェブ・サーバ1.3.22mod_perl mod_SSL
Perlバージョン5.6.1
OpenSSH+OpenSSL
GNUツール及びSYS V Linux OSの実行に必要なユーティリティ
mod_perl、HTML及びCSSを使用するウェブ・インタフェース
ハードウェア
最低200Mhzのプロセッサ
最低64MBのRAM
容量64MBのソリッドステート・ハードドライブ1基
3×ネットワーク・カード10/100/1000
電源を収容したケース及びシステム構成用入力デバイスを有するLCDパネル
ビデオカードを使用しないことによる、デバッギング及び起動情報用シリアル・ポート
ソフトウェア
Linux Kernelバージョン2.4.x
Apacheウェブ・サーバ1.3.22mod_perl mod_SSL
Perlバージョン5.6.1
OpenSSH+OpenSSL
GNUツール及びSYS V Linux OSの実行に必要なユーティリティ
mod_perl、HTML及びCSSを使用するウェブ・インタフェース
インストールは、上述の「ハードウェア」セクションに列挙されたハードウェアを使用してコンピュータを生成することにより達成される。本発明は、ファイアウォール構成及びシステム監視を含む構成インタフェースを含む。
図1に、ファイアウォール構成をフローチャート形式で示す。インタフェース10は、ルールセットを含む共通ゲートウェイ・インタフェース(50)を介して操作されるプレーン・テキスト構成ファイル(20)を使用する。構成ファイル20は、HTMLインタフェースを介してアクセスされるPerlスクリプトによって操作され、次にPerlスクリプトによってカーネル・ルール40に翻訳される(30)。
以下、好適な管理インタフェース及びファイアウォール構成ファイルについて説明する。
本システムは、
(i)ユーザにCPU上のカレント負荷を知らせる負荷ステータスと、
(ii)ユーザにディスク・スペース利用のカレント・レベルを知らせるディスク・スペース・ステータスと、
(iii)ユーザにユーザがファイアウォール構成に加えた変更がファイアウォールに反映されているかどうかを知らせる構成ステータスと、を監視する。
(i)ユーザにCPU上のカレント負荷を知らせる負荷ステータスと、
(ii)ユーザにディスク・スペース利用のカレント・レベルを知らせるディスク・スペース・ステータスと、
(iii)ユーザにユーザがファイアウォール構成に加えた変更がファイアウォールに反映されているかどうかを知らせる構成ステータスと、を監視する。
本システムはまた、パケットが認可されたか拒否されたかを監視しかつログする。
図2に示すように、情報の内向きのフローは、ワールド70からのパケット・フローを含む。各パケットは、第1のネットワーク・カード80を通過する。パケットは次に、それが既存のセッションの一部であるかどうかを確認するために検査される(90)。パケットは、既存のセッションの一部であれば(100)受容され(110)、次に第2のネットワーク・カード120へ転送され、さらに内部ネットワーク(60)へと転送される。
パケットが既存のセッションの一部でなければ(130)、これはルールセットと比較される。パケットが受容されれば(110)、これは次に第2のネットワーク・カード120へ転送され、さらに内部ネットワーク60へと転送される。このセッションは次にステートフル・インスペクション・テーブルに入れられ、このセッションの一部であるパケットはどれも次に第2のネットワーク・カード120へ転送され、さらにネットワーク60へと転送される。パケットが拒否される(150)か、そのセッションの一部でなければ、これはドロップされ(160)、つまりは消失する。ログは、パケットに発生したことを記録することができる。
図3に示すように、ネットワーク60から外向きへのパケットは第2のネットワーク・カード120を通過する。パケットは次に、それが既存のセッションの一部であるかどうかを確認するために検査される(90)。パケットは、既存のセッションの一部であれば(100)受容され(110)、次に第1のネットワーク・カード80へ転送され、さらにワールド70へと転送される。
パケットが既存のセッションの一部でなければ、これは次にルールセットと比較される。パケットが受容されれば(110)、これは次に第1のネットワーク・カード80へ転送され、さらにワールド70へと転送される。このセッションは次にステートフル・インスペクション・テーブルに入れられ、このセッションの一部であるパケットはどれも次に第1のネットワーク・カード80へ転送され、さらにワールド70へと転送される。パケットが拒否されれば(150)、これはドロップされ(160)、つまりは消失する。ログは、パケットに発生したことを記録することができる。
Firewall I及びRaptorは実行可能となる前にオペレーティング・システムを有する別々のコンピュータを必要とし、よって他の2種のファイアウォールとはかなり異なる。
本発明は、3つのネットワーク・カードを使用する。最初の2つのネットワーク・カード80、110は、割り当てられたIPアドレスを保有しない。第3のネットワーク・カードは、ファイアウォールを構成するためにのみ使用されるダミー内部IPアドレスを有する管理インタフェースである。これは、ファイアウォールのオペレーションには全く使用されず、よってIPアドレスを保有しない。
これは、本発明と市場における任意の周知ファイアウォールとの最大の相違である。本発明的解法は、IPアドレスを使用しないことからネットワークの論理部分ではない。これは、本解法が検出され得ないこと、及び既存のインタフェースの接続を外してこれを間にプラグで接続するだけで実装され得ることを意味する。他のネットワーク再構成は、一切不要である。この点で、本発明は完全に独自的である。
Firebox(商標)は、3つのネットワーク・カードを使用し、かつ3つの関連IPアドレスを必要とする。これは、この製品のインストールのためにネットワークが再構成される必要のあることを意味する。
Firewall I(商標)&Raptor(商標)は、2つのネットワーク・カードを使用し、かつ2つの関連IPアドレスを必要とする。これは、これらの製品のインストールのためにネットワークが再構成される必要のあることを意味する。
本発明はパケットをチェックし、次にこれをブリッジするが、これは完全に透明である。Firebox(商標)はパケットをチェックし、これをルーティングする。
Firewall I(商標)及びRaptor(商標)はパケットをチェックし、これをルーティングする。Raptor(商標)は要求をチェックし、これをプロキシする。
3種のファイアウォールは全て、パケットをチェックする。1つの重要な相違点は、本発明はパケットをルーティングではなくブリッジすることである。
図4に示すように、ルールセット90は、グラフィック・ユーザ・インタフェース200を介して編集されることが可能である。全てのルール210には、順番が与えられる。この順番は、いつでも変更されることが可能である。ルール210は、コンピュータにより一度に1つずつ順番にチェックされる。パケットが1つのルール210を満たせば、これはそのルールによって決定された通りにアクションされ230、満たさなければデフォルト・ルールへと進む。ルールセットは、パケット・ソース220と、宛先240と、関連サービス250と、ロギング要件等のオプション260とを考慮する。グラフィック・ボタンは、簡単なユーザ編集または削除を提供する270、280。
次に、好適な管理インタフェース及びファイアウォール構成ファイルについて説明する。
CGIインタフェースはmod_perlを使用し、かつ2つのファイル・タイプ、即ちユーザがウェブブラウザにおいて何を見るかに対処する*.cgiファイルと、ユーザ入力をチェックし、かつ構成ファイルを操作する関数を含む*−lib.plファイルとを区別する。静的なhtmlファイル、画像及びカスケーディング・スタイルシートが存在し、動的なコンテンツ及びプレゼンテーション用のフレームワークとして使用される。
下記のファイルは、構成ファイルの操作に使用される。
/
− fb−cgilib.pl(全スクリプトにより使用される汎用関数)
− ipcalc−lib.pl(ip計算機ライブラリ)
− ipcalc.cgi(ip計算機プレゼンテーション)
*ブリッジビュー(これは、読取り専用バージョンを含む)
− vwgroups.cgi
− vwnetobject.cgi
− vwrules.cgi
− vwservices.cgi
*fw
− fwconf−lib.pl(ルールに従ってipチェーン互換構成を書き込む)
− fwconf.cgi(構成を起動/ロールバックする)
− groups−lib.pl(グループ・ファイルを操作する)
− groups.cgi(グループ・ファイルのプレゼンテーション)
− netobjects−lib.pl(ネットワーク・オブジェクト・ファイルを操作する)
− netobjects.cgi(ネットワーク・オブジェクト・ファイルのプレゼンテーション)
− rules−lib.pl(ルール・ファイルを操作する)
− rules.cgi(ルール・ファイルのプレゼンテーション)
− services−lib.pl(サービス・ファイルを操作する)
− services.cgi(サービス・ファイルのプレゼンテーション)
*logvw
− logvw.cgi(カレント・ログ・ファイルを見る)
*オプション
− fbgconf−lib.pl(グローバル構成オプションを操作する)
− fbgconf.cgi(グローバル構成オプションのプレゼンテーション)
*ステータス
− confstatus.cgi(カレント構成がアクティブと同一であるかどうかをチェックする)
− loadstatus.cgi(ボックス・ロードをチェックする)
*ウィザード
− wizard.cgi(ルール及び関連オブジェクトの漸次的生成)
/
− fb−cgilib.pl(全スクリプトにより使用される汎用関数)
− ipcalc−lib.pl(ip計算機ライブラリ)
− ipcalc.cgi(ip計算機プレゼンテーション)
*ブリッジビュー(これは、読取り専用バージョンを含む)
− vwgroups.cgi
− vwnetobject.cgi
− vwrules.cgi
− vwservices.cgi
*fw
− fwconf−lib.pl(ルールに従ってipチェーン互換構成を書き込む)
− fwconf.cgi(構成を起動/ロールバックする)
− groups−lib.pl(グループ・ファイルを操作する)
− groups.cgi(グループ・ファイルのプレゼンテーション)
− netobjects−lib.pl(ネットワーク・オブジェクト・ファイルを操作する)
− netobjects.cgi(ネットワーク・オブジェクト・ファイルのプレゼンテーション)
− rules−lib.pl(ルール・ファイルを操作する)
− rules.cgi(ルール・ファイルのプレゼンテーション)
− services−lib.pl(サービス・ファイルを操作する)
− services.cgi(サービス・ファイルのプレゼンテーション)
*logvw
− logvw.cgi(カレント・ログ・ファイルを見る)
*オプション
− fbgconf−lib.pl(グローバル構成オプションを操作する)
− fbgconf.cgi(グローバル構成オプションのプレゼンテーション)
*ステータス
− confstatus.cgi(カレント構成がアクティブと同一であるかどうかをチェックする)
− loadstatus.cgi(ボックス・ロードをチェックする)
*ウィザード
− wizard.cgi(ルール及び関連オブジェクトの漸次的生成)
ファイアブリッジは、下記の構成ファイルを使用する。
Actions(ルールに関する可能アクション)
nr:action
fbgcfg(グローバル構成オプション)
option=value(真または偽)
fbrules(数字によるルール)
nr:allow/deny:source−name:destination−n ame:service−name:action−nr:comment(ソース/宛先/サービスはグループ名であることに注意)
groups(グループ)
name:type:member−name,member−name,member−name:comment
netobjects(ネットワーク・エンティティ)
name:address/mask
protocols(数字によるipプロトコル)
nr:name:comment
name:description:protocol−nr:source−port:destination−port(ポートはダッシュで分離されたレンジであることが可能である。例:1024−65535)
Actions(ルールに関する可能アクション)
nr:action
fbgcfg(グローバル構成オプション)
option=value(真または偽)
fbrules(数字によるルール)
nr:allow/deny:source−name:destination−n ame:service−name:action−nr:comment(ソース/宛先/サービスはグループ名であることに注意)
groups(グループ)
name:type:member−name,member−name,member−name:comment
netobjects(ネットワーク・エンティティ)
name:address/mask
protocols(数字によるipプロトコル)
nr:name:comment
name:description:protocol−nr:source−port:destination−port(ポートはダッシュで分離されたレンジであることが可能である。例:1024−65535)
ファイアブリッジは、その構成に下記のディレクトリを使用する。
/usr/local/firebridge/fwconfig/active
/usr/local/firebridge/fwconfig/config
/usr/local/firebridge/fwconfig/active
/usr/local/firebridge/fwconfig/config
システムは、ブートされると、物理的に/var ramドライブ上で活動する./activeから./configまでのファイルを書き込む(上記名称へのシンボリック・リンク)。ユーザがファイアウォールに変更を加えると、これらが./configディレクトリに記録される。ユーザは、全ての変更に満足すると、管理インタフェース内のactivate configを選択する。
次にシステムは、./configから全ファイルを取り出して./active内のファイルに上書きする。次にこれはipチェーン互換出力の生成を開始し、所望に応じてグループを複数のルールに翻訳する。全てのルールが首尾良く書き込まれると、これらはipチェーンにおいて起動される。
或いは、ユーザはロールバックを選択することも可能であり、これが選択されるとシステムは./activeからファイルを取り出して./configに上書きする。
Claims (17)
- 受容可能なデータパケットをデータリンク層上で伝送するステートフル・インスペクション・ファイアウォール・セキュリティ・デバイスであって、前記デバイスは、
外部ネットワークに接続され、公的にルーティング可能なIPアドレスが割り当てられていない第1のネットワーク・カードと、
内部ネットワークに接続され、公的にルーティング可能なIPアドレスが割り当てられていない第2のネットワーク・カードと、
前記第1及び第2のネットワーク・カードに接続されたステートフル・インスペクション・ファイアウォールとを含み、
(i)前記ファイアウォールは、前記内部及び外部ネットワークのうち一方のネットワークから他方のネットワークへと、データリンク層上を通過して伝送されるデータパケットが、受容可能であるか否かを決定し、
(ii)前記ファイアウォールは、受容可能なデータパケットを、前記内部及び外部ネットワークのうち一方のネットワークから他方のネットワークへと、データリンク層上を通過して伝送し、
前記ステートフル・インスペクション・ファイアウォール・セキュリティ・デバイスは、前記内部又は外部ネットワーク上の他の装置を再構成する必要なく、前記内部及び外部ネットワークの間に透過的に挿入可能なように適合する、デバイス。 - 前記ファイアウォールが、受容可能なデータパケットを決定し、前記内部及び外部ネットワークのうち一方のネットワークから他方のネットワークへと、データリンク層上を通過して伝送する、請求項1に記載のステートフル・インスペクション・ファイアウォール・セキュリティ・デバイスであって、
前記外部ネットワークから前記内部ネットワークへとパケットが流入する間、前記ファイアウォールに保存されたステートフル・インスペクション・テーブルを調べることによって、パケットが既存のセッションの一部であるか否かを決定する検査を行うために、前記第1のネットワーク・カードは、各パケットを前記ファイアウォールへと転送し、
(i)もしパケットが既存のセッションの一部ならば、前記パケットはデータリンク層を通って前記第2のネットワーク・カードへと転送され、さらに前記パケットは前記内部ネットワークへと転送され、
(ii)もしパケットが既存のセッションの一部でなければ、前記パケットは前記内部ネットワークへ受容可能であるか否かを決定するルールセットと比較され、
(a)前記パケットが受容可能ならば、前記パケットはデータリンク層を通って前記第2のネットワーク・カードへと転送され、さらに前記パケットは前記内部ネットワークへと転送され、セッションが前記ステートフル・インスペクション・テーブルへ入れられ、
(b)前記パケットが受容可能でなければ、前記パケットはドロップされて消失し、
前記内部ネットワークから前記外部ネットワークへとパケットが流出する間、流出するパケットは、前記第2のネットワーク・カードを通過して前記ファイアウォールへ向かい、前記流出するパケットは、前記流出するパケットが既存のセッションの一部であるか否かを決定するために検査され、もし前記流出するパケットが既存のセッションの一部ならば、前記流出するパケットは、前記第1のネットワーク・カードへ転送され、前記デバイスを出て前記外部ネットワークへと転送され、もし前記流出するパケットが既存のセッションの一部でなければ、前記流出するパケットは前記ルールセットと比較され、前記流出するパケットが受容可能ならば、前記流出するパケットはデータリンク層を通って前記第1のネットワーク・カードへ転送され、前記デバイスを出て前記外部ネットワークへと転送され、受容可能でなければ、前記流出するパケットはドロップされて消失する、デバイス。 - ネットワーク上で前記デバイスを構成するために使用される公的にルーティングされないプライベートIPアドレスを有する管理インタフェースである第3のネットワーク・カードをさらに含む請求項1記載のデバイス。
- 前記デバイスが、ルータ及びハブ又はサーバ・マシンの、いかなるルーティングされるアドレス又はIPアドレスをも再構成することなく、前記ルータと、前記ハブ又はサーバ・マシンとの間に挿入可能である請求項1記載のデバイス。
- 前記デバイスが、実装するための別個のコンピュータを必要としない請求項1記載のデバイス。
- 前記デバイスが、HTMLインタフェースを有する一般的なウェブブラウザを用いて上記ファイアウォールとの通信が可能である機器設定装置から構成可能である請求項1記載のデバイス。
- 前記デバイスが、前記デバイスを供給されるHTMLインタフェースを有する一般的なウェブブラウザを用いて前記ファイアウォールとの通信が可能である機器設定装置によって構成される請求項1記載のデバイス。
- 負荷ステータスを供給しかつユーザにCPU上のカレント負荷が何であるかのグラフィック通知を供給するための負荷モニタをさらに備える請求項1記載のデバイス。
- ユーザが前記ファイアウォール構成に加えた変更が前記ファイアウォールに反映されているかどうかのグラフィック通知をユーザに供給する構成ステータス・モニタをさらに備える請求項1記載のデバイス。
- パケットが認可されたか拒否されたかのグラフィック表示を供給するモニタ及びログをさらに備える請求項1記載のデバイス。
- 追加のソフトウェアを何らインストールすることなく、HTMLブラウザを有し、前記デバイスがネットワークされる任意のコンピュータから構成されることが可能であるように構成用のHTMLインタフェースをさらに備える請求項1記載のデバイス。
- ネットワーク上の装置を再構成することなく、前記ネットワークにおいてステートフル・インスペクション・ファイアウォール・フィルタリングを提供する方法であって、
(i)ステートフル・インスペクション・ファイアウォール・デバイスが挿入されるネットワークの2つの部分の間の点を選ぶことにより、内部ネットワーク及び外部ネットワークを定義し、
(ii)ステートフル・インスペクション・ファイアウォール・デバイスを前記ネットワークに挿入し、前記デバイスは、少なくとも、外部ネットワークに接続され、公的にルーティング可能なIPアドレスが割り当てられていない第1のネットワーク・カードと、内部ネットワークに接続され、公的にルーティング可能なIPアドレスが割り当てられていない第2のネットワーク・カードと、前記第1及び第2のネットワーク・カードに接続されたステートフル・インスペクション・ファイアウォールとを含み、前記ファイアウォールは、前記内部及び外部ネットワークのうち一方のネットワークから他方のネットワークへと、データリンク層上を通過して伝送されるデータパケットが受容可能であるか否かを決定し、前記ファイアウォールは、受容可能なデータパケットを、前記内部及び外部ネットワークのうち一方のネットワークから他方のネットワークへと、データリンク層上を通過して伝送する方法。 - 前記外部ネットワークから前記ファイアウォールへとデータパケットが流入する間、前記第1のネットワーク・カードは、第3のネットワーク・カードを使用することなく、ステートフル・インスペクション・テーブルを調べることによって、パケットが既存のセッションの一部であるか否かを決定する検査を行うために、各パケットを前記ファイアウォールへと転送し、
(i)もしパケットが既存のセッションの一部ならば、前記パケットはデータリンク層を通って前記第2のネットワーク・カードへと転送され、さらに前記パケットは前記内部ネットワークへと転送され、
(ii)もしパケットが既存のセッションの一部でなければ、前記パケットは前記内部ネットワークへ受容可能であるか否かを決定するルールセットと比較され、
(a)前記パケットが受容可能ならば、前記パケットはデータリンク層を通って前記第2のネットワーク・カードへと転送され、さらに前記パケットは前記内部ネットワークへと転送され、セッションが前記ステートフル・インスペクション・テーブルへ入れられ、
(b)前記パケットが受容可能でなければ、前記パケットはドロップされて消失し、
前記内部ネットワークから前記外部ネットワークへとパケットが流出する間、流出するパケットは、前記第3のネットワーク・カードを使用することなく、前記第2のネットワーク・カードを通過して前記ファイアウォールへ向かい、前記流出するパケットは、前記流出するパケットが既存のセッションの一部であるか否かを決定するために検査され、もし前記流出するパケットが既存のセッションの一部ならば、前記流出するパケットは、前記第1のネットワーク・カードへ転送され、前記デバイスを出て前記外部ネットワークへと転送され、もし前記流出するパケットが既存のセッションの一部でなければ、前記流出するパケットは前記ルールセットと比較され、前記流出するパケットが受容可能ならば、前記流出するパケットはデータリンク層を通って前記第1のネットワーク・カードへ転送され、前記デバイスを出て前記外部ネットワークへと転送され、受容可能でなければ、前記流出するパケットはドロップされて消失するように、前記ステートフル・インスペクション・ファイアウォール・デバイスが、データパケットの検査を行う請求項12記載の方法。 - 前記ステートフル・インスペクション・ファイアウォール・デバイスが第3のネットワークを備え、前記第3のネットワーク・カードがプライベートIPアドレスを有すことにより、前記デバイスが当該第3ネットワーク・インタフェースをこえてアドレス指定され得る、請求項12又は13記載の方法。
- 前記第3のネットワーク・カードのプライベートIPアドレスを介してアクセスされるとき、前記デバイスは、前記第3のネットワーク・カード上のHTMLインタフェースを介して管理されるように適合する、請求項14記載の方法。
- 前記デバイスが、ルータと、サーバ又はハブとの間で、ネットワークに挿入される、請求項12記載の方法。
- 前記ルータが前記外部ネットワークに設置され、前記サーバ又はハブが前記内部ネットワークに設置される、請求項16記載の方法。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
AUPS2148A AUPS214802A0 (en) | 2002-05-01 | 2002-05-01 | Firewall with stateful inspection |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004502575A Division JP2005532713A (ja) | 2002-05-01 | 2003-05-01 | ステートフル・インスペクションを備えるファイアウォール |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2009278635A true JP2009278635A (ja) | 2009-11-26 |
Family
ID=3835721
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004502575A Pending JP2005532713A (ja) | 2002-05-01 | 2003-05-01 | ステートフル・インスペクションを備えるファイアウォール |
JP2009160789A Pending JP2009278635A (ja) | 2002-05-01 | 2009-07-07 | ステートフル・インスペクションを備えるファイアウォール |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004502575A Pending JP2005532713A (ja) | 2002-05-01 | 2003-05-01 | ステートフル・インスペクションを備えるファイアウォール |
Country Status (5)
Country | Link |
---|---|
US (1) | US7512781B2 (ja) |
EP (1) | EP1500250A4 (ja) |
JP (2) | JP2005532713A (ja) |
AU (1) | AUPS214802A0 (ja) |
WO (1) | WO2003094464A1 (ja) |
Families Citing this family (26)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070271613A1 (en) * | 2006-02-16 | 2007-11-22 | Joyce James B | Method and Apparatus for Heuristic/Deterministic Finite Automata |
US8077708B2 (en) * | 2006-02-16 | 2011-12-13 | Techguard Security, Llc | Systems and methods for determining a flow of data |
JP4652285B2 (ja) * | 2006-06-12 | 2011-03-16 | 株式会社日立製作所 | ゲートウェイ選択機能を備えたパケット転送装置 |
JP4680866B2 (ja) * | 2006-10-31 | 2011-05-11 | 株式会社日立製作所 | ゲートウェイ負荷分散機能を備えたパケット転送装置 |
JP5223376B2 (ja) * | 2008-02-29 | 2013-06-26 | 日本電気株式会社 | リモートアクセスシステム、方法及びプログラム |
US8146147B2 (en) * | 2008-03-27 | 2012-03-27 | Juniper Networks, Inc. | Combined firewalls |
US8468220B2 (en) | 2009-04-21 | 2013-06-18 | Techguard Security Llc | Methods of structuring data, pre-compiled exception list engines, and network appliances |
US9894093B2 (en) | 2009-04-21 | 2018-02-13 | Bandura, Llc | Structuring data and pre-compiled exception list engines and internet protocol threat prevention |
US9565213B2 (en) | 2012-10-22 | 2017-02-07 | Centripetal Networks, Inc. | Methods and systems for protecting a secured network |
US9137205B2 (en) | 2012-10-22 | 2015-09-15 | Centripetal Networks, Inc. | Methods and systems for protecting a secured network |
US9203806B2 (en) | 2013-01-11 | 2015-12-01 | Centripetal Networks, Inc. | Rule swapping in a packet network |
US9124552B2 (en) | 2013-03-12 | 2015-09-01 | Centripetal Networks, Inc. | Filtering network data transfers |
US9094445B2 (en) | 2013-03-15 | 2015-07-28 | Centripetal Networks, Inc. | Protecting networks from cyber attacks and overloading |
CN103188355B (zh) * | 2013-04-02 | 2016-03-02 | 汉柏科技有限公司 | 一种通过预判断对报文进行动态匹配的方法 |
US9264370B1 (en) | 2015-02-10 | 2016-02-16 | Centripetal Networks, Inc. | Correlating packets in communications networks |
US9866576B2 (en) | 2015-04-17 | 2018-01-09 | Centripetal Networks, Inc. | Rule-based network-threat detection |
US9917856B2 (en) | 2015-12-23 | 2018-03-13 | Centripetal Networks, Inc. | Rule-based network-threat detection for encrypted communications |
US11729144B2 (en) | 2016-01-04 | 2023-08-15 | Centripetal Networks, Llc | Efficient packet capture for cyber threat analysis |
US10503899B2 (en) | 2017-07-10 | 2019-12-10 | Centripetal Networks, Inc. | Cyberanalysis workflow acceleration |
US10284526B2 (en) | 2017-07-24 | 2019-05-07 | Centripetal Networks, Inc. | Efficient SSL/TLS proxy |
US11233777B2 (en) | 2017-07-24 | 2022-01-25 | Centripetal Networks, Inc. | Efficient SSL/TLS proxy |
CN108924050A (zh) * | 2018-06-29 | 2018-11-30 | 优刻得科技股份有限公司 | 数据转发方法及其装置、存储介质和网卡设备 |
US10333898B1 (en) | 2018-07-09 | 2019-06-25 | Centripetal Networks, Inc. | Methods and systems for efficient network protection |
CN111614689B (zh) * | 2020-05-27 | 2021-02-19 | 北京天融信网络安全技术有限公司 | 一种用于状态防火墙的报文转发方法和装置 |
US11362996B2 (en) | 2020-10-27 | 2022-06-14 | Centripetal Networks, Inc. | Methods and systems for efficient adaptive logging of cyber threat incidents |
US11159546B1 (en) | 2021-04-20 | 2021-10-26 | Centripetal Networks, Inc. | Methods and systems for efficient threat context-aware packet filtering for network protection |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001237895A (ja) * | 2000-01-18 | 2001-08-31 | Lucent Technol Inc | ネットワークゲートウェイの解析方法及び装置 |
WO2001065343A1 (en) * | 2000-03-02 | 2001-09-07 | Check Point Software Technologies Ltd. | System, device and method for rapid packet filtering and processing |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5802320A (en) * | 1995-05-18 | 1998-09-01 | Sun Microsystems, Inc. | System for packet filtering of data packets at a computer network interface |
SE513828C2 (sv) | 1998-07-02 | 2000-11-13 | Effnet Group Ab | Brandväggsapparat och metod för att kontrollera nätverksdatapakettrafik mellan interna och externa nätverk |
IL128814A (en) * | 1999-03-03 | 2004-09-27 | Packet Technologies Ltd | Local network security |
EP1219075A2 (en) | 1999-07-15 | 2002-07-03 | Sun Microsystems, Inc. | Secure network switch |
-
2002
- 2002-05-01 AU AUPS2148A patent/AUPS214802A0/en not_active Abandoned
-
2003
- 2003-05-01 US US10/512,950 patent/US7512781B2/en not_active Expired - Fee Related
- 2003-05-01 WO PCT/AU2003/000527 patent/WO2003094464A1/en active Application Filing
- 2003-05-01 EP EP03747377A patent/EP1500250A4/en not_active Withdrawn
- 2003-05-01 JP JP2004502575A patent/JP2005532713A/ja active Pending
-
2009
- 2009-07-07 JP JP2009160789A patent/JP2009278635A/ja active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001237895A (ja) * | 2000-01-18 | 2001-08-31 | Lucent Technol Inc | ネットワークゲートウェイの解析方法及び装置 |
WO2001065343A1 (en) * | 2000-03-02 | 2001-09-07 | Check Point Software Technologies Ltd. | System, device and method for rapid packet filtering and processing |
JP2003525557A (ja) * | 2000-03-02 | 2003-08-26 | チェック ポイント ソフトウェア テクノロジース リミテッド | 迅速なパケット・フィルタリング及びパケット・プロセシングのためのシステム、デバイス及び方法 |
Also Published As
Publication number | Publication date |
---|---|
WO2003094464A1 (en) | 2003-11-13 |
US7512781B2 (en) | 2009-03-31 |
AUPS214802A0 (en) | 2002-06-06 |
US20060085849A1 (en) | 2006-04-20 |
EP1500250A4 (en) | 2010-11-10 |
JP2005532713A (ja) | 2005-10-27 |
EP1500250A1 (en) | 2005-01-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2009278635A (ja) | ステートフル・インスペクションを備えるファイアウォール | |
JP4677173B2 (ja) | ネットワークセキュリティシステム | |
US8640237B2 (en) | Integrated firewall, IPS, and virus scanner system and method | |
CA2182777C (en) | Security system for interconnected computer networks | |
CA2323766C (en) | Providing secure access to network services | |
US7539769B2 (en) | Automated deployment and management of network devices | |
US20020194497A1 (en) | Firewall configuration tool for automated deployment and management of network devices | |
US8359377B2 (en) | Interface for automated deployment and management of network devices | |
JP2006510976A (ja) | 非トラステッド・サーバ環境におけるsan管理のためのセキュア・システムおよび方法 | |
EP1563664A1 (en) | Management of network security domains | |
CN115865601A (zh) | 一种跨云数据中心的sdn网络通信系统 | |
Cisco | Release Notes for RSM/VIP2 IOS 11.3T Software Release | |
Cisco | Private Internet Exchange Reference Guide | |
Cisco | Private Internet Exchange Reference Guide | |
Cisco | Private Internet Exchange Reference Guide | |
Cisco | Private Internet Exchange Reference Guide | |
Cisco | Private Internet Exchange Reference Guide | |
Cisco | Private Internet Exchange Reference Guide | |
Cisco | Private Internet Exchange Reference Guide | |
Cisco | Private Internet Exchange Reference Guide | |
US20010037384A1 (en) | System and method for implementing a virtual backbone on a common network infrastructure | |
Cisco | Private Internet Exchange Reference Guide | |
Cisco | Private Internet Exchange Reference Guide | |
AU2003227123B2 (en) | Firewall with stateful inspection | |
AU2002248989B2 (en) | Network security system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100901 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110201 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110705 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20120207 |