JP2014526739A - ファイアウォールクラスターにおける認証共有 - Google Patents

ファイアウォールクラスターにおける認証共有 Download PDF

Info

Publication number
JP2014526739A
JP2014526739A JP2014529857A JP2014529857A JP2014526739A JP 2014526739 A JP2014526739 A JP 2014526739A JP 2014529857 A JP2014529857 A JP 2014529857A JP 2014529857 A JP2014529857 A JP 2014529857A JP 2014526739 A JP2014526739 A JP 2014526739A
Authority
JP
Japan
Prior art keywords
connection
firewall cluster
node
user data
firewall
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2014529857A
Other languages
English (en)
Other versions
JP5908090B2 (ja
Inventor
アリシオン、テイラー
トーマス、アニシュ
ニッセン、アンドリュー
シルバーサック、マイケル、ジェームズ
Original Assignee
マカフィー, インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by マカフィー, インコーポレイテッド filed Critical マカフィー, インコーポレイテッド
Publication of JP2014526739A publication Critical patent/JP2014526739A/ja
Application granted granted Critical
Publication of JP5908090B2 publication Critical patent/JP5908090B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • H04L63/0218Distributed architectures, e.g. distributed firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0254Stateful filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • H04L67/1004Server selection for load balancing
    • H04L67/1008Server selection for load balancing based on parameters of servers, e.g. available memory or workload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • H04L67/1036Load balancing of requests to servers for services different from user content provisioning, e.g. load balancing across domain name servers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • H04L67/1027Persistence of sessions during load balancing

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

ファイアウォールクラスターシステムが、3つ以上のノードを有するファイアウォールクラスターにおいて接続を受信し、この接続に関連付けられたユーザーデータを特定し、このユーザーデータをファイアウォールクラスター内の少なくとも別のノードと共有するように動作可能な第1のノードを備える。
【選択図】図2

Description

本発明は、包括的にはファイアウォール動作に関し、より詳細には、1つの実施形態において、本発明はファイアウォールクラスターにおける認証共有に関する。
[関連出願の相互参照]
本出願は、2011年9月8日に出願された米国特許出願第l3/227,848号の優先権を主張する。この米国特許出願は、引用することにより本明細書の一部をなす。
[制限付き著作権放棄]
本特許文書の開示の一部は、著作権保護の請求がなされた題材を含む。著作権所有者は、米国特許庁及び商標局のファイル又は記録に見られるように、いかなる者による特許文書又は特許開示のファクシミリ再生に対しても異議はないが、他のいかなる権利についてもそれらの権利の全てを留保する。
コンピューターが有益なツールである所以は主に、コンピューターが他のコンピューターシステムと通信し、コンピューターネットワークを介して情報を取り出すことが可能なことにある。ネットワークは通常、コンピューター間で情報を転送する能力をコンピューターに与える、配線、光ファイバー、無線、又は他のデータ送信手段によってリンクされた、相互接続されたコンピューター群を含む。インターネットは、おそらく最もよく知られたコンピューターネットワークであり、数百万人の人々が、ウェブページを閲覧するか、電子メールを送信するか、又は他のコンピューター間通信を実行すること等によって、数百万個の他のコンピューターにアクセスすることを可能にする。
しかし、インターネットは規模が非常に大きく、インターネットユーザーの関心に非常に多様性があるので、悪意のあるユーザー又は迷惑ユーザー(prankster)が、他のユーザーに危険を課すように他のユーザーのコンピューターと通信することを試みることは珍しくない。例えば、ハッカーは企業のコンピューターにログインして、情報を盗むか、削除するか又は変更するように試みる場合がある。コンピューターウィルス又はトロイの木馬プログラムが他のコンピューターに配信されるか、又は多数のコンピューターユーザーによって知らずにダウンロード若しくは実行される場合がある。さらに、企業等の組織内のコンピューターユーザーは時折、ファイル共有プログラムを実行するか、又は企業のネットワーク内から企業秘密をインターネットに送信する等の認可されていないネットワーク通信を実行しようと試みる場合がある。
これらの理由及び他の理由により、多くの企業、団体、及び更にはホームユーザーが、自身のローカルネットワークとインターネットとの間でネットワークファイアウォール又は同様のデバイスを用いる。ファイアウォールは通常、通過するネットワークトラフィックを調査するコンピューター化されたネットワークデバイスであり、1組の規則に基づいて所望のネットワークトラフィックの通過を許可する。
ファイアウォールは、TCP/IPパケット又は他のネットワークプロトコルパケット等の通信パケットを観察し、ソースネットワークアドレス及び宛先ネットワークアドレス、いずれのポートが用いられているか、及び接続の状態又は履歴等の特性を検査することによってフィルタリング機能を実行する。ファイアウォールによっては、特定のアプリケーションに対し行き来するパケットも検査するものもあるし、保護されたユーザーと外部のネットワーク化されたコンピューターとの間の選択されたネットワーク要求を処理及び転送することによってプロキシデバイスとして働くものもある。
ファイアウォールは通常、ファイアウォール内のネットワークトラフィックを検査すること等によって、様々なポート、ソケット及びプロトコル間の接続を監視することにより、ネットワーク情報のフローを制御する。ソケット、ポート、アプリケーション及び他の情報に基づく規則を用いて、データを選択的にフィルタリングするか又は通過させ、ネットワークアクティビティのログをとる。ファイアウォール規則は通常、ネットワークトラフィックの或る特定のタイプを識別するように構成される。これらのタイプとしては、禁止されるか、又は、或る特定の他の制限が適用されるべき種類のトラフィックであり、ファイル共有プログラムに用いられることがわかっているポート上のトラフィックをブロックする一方で従来のFTPポートを介して受信されるいかなるトラフィックもウィルススキャンすること、或る特定のアプリケーション又はユーザーがいくつかのタスクを実行することをブロックする一方で他のユーザーがそのようなタスクを実行することを可能にすること、及び共通のIPアドレスからの異なるポートに対する反復クエリ等の既知の攻撃パターンに基づいてトラフィックをブロックすること等である。
しかし、ファイアウォールが、複数のコンピューターシステムにわたって分散されたときにそのような接続を管理する能力は、接続の知識が通常、接続をハンドリングするシステムにしか記憶されないという点で限られている。したがって、クラスターにおける改善されたファイアウォール分散が所望されている。
本発明の様々な例示的な実施形態が、第1のノードを備えるファイアウォールクラスターシステムを備え、この第1のノードは、3つ以上のノードを有するファイアウォールクラスターにおいて接続を受信し、この接続に関連付けられたユーザーデータを特定し、このユーザーデータをファイアウォールクラスター内の少なくとも別のノードと共有するように動作可能である。別のノードは、アプリケーション状態データを用いて、第1のノードが故障した場合等に接続の処理を継続するか、又は負荷分散を提供することができる。
本発明のいくつかの実施形態を実施するのに用いることができるような、ファイアウォールを含む例示的なネットワークを示す図である。
本発明のいくつかの実施形態を実施するのに用いることができるような、複数のファイアウォールノードを含むファイアウォールクラスターを含む例示的なネットワークを示す図である。
本発明の例示的な実施形態に従う、ファイアウォールクラスター内の共有されたユーザーパスポート情報の使用を示すフローチャートである。
本発明の例示的な実施形態の以下の詳細な説明において、図示及び説明のために特定の実施例が参照される。これらの実施例は、当業者が本発明を実施することを可能にするのに十分詳細に説明され、本発明を様々な目的又は実施形態にどのように適用することができるかを示す役割を果たす。本発明の他の実施形態が存在し、これらは本発明の範囲内にあり、本発明の主題又は範囲から逸脱することなく、論理的変更、機械的変更、電気的変更及び他の変更を行うことができる。しかしながら、本明細書において説明される本発明の様々な実施形態の特徴及び制限は、それらが組み込まれる例示的な実施形態に必須なものであり、発明を全体として制限するものではなく、本発明、本発明の要素、動作及び用途へのいかなる言及も、本発明を全体として制限するものではなく、これらの例示的な実施形態を定義する役割のみを果たす。したがって、以下の詳細な説明は本発明の範囲を制限せず、本発明の範囲は添付の特許請求の範囲によってのみ定義される。
図1は、101におけるインターネット等の公衆ネットワークと、プライベートネットワーク102と、103に示される、ファイアウォール及び侵入保護機能を提供するように動作可能なコンピューターネットワークデバイスとを備える通常のコンピューターネットワーク環境を示している。この特定の例において、コンピューターネットワークデバイス103は、インターネットとプライベートネットワークとの間に位置決めされ、プライベートネットワークと公衆ネットワークとの間のトラフィックフローを調整する。
ネットワークデバイス103は、様々な実施形態において、ファイアウォールデバイスであり、侵入保護デバイスであり、又はその双方として機能する。ネットワークデバイス内のファイアウォールデバイス又はモジュールは、ネットワークパケットの調査、及び1組のファイアウォールフィルタリング規則を満たすネットワークパケットのドロップ又は拒否等の様々なネットワークフロー制御機能を提供する。上記で説明したように、ファイアウォールは通常、TCP/IPパケット又は他のネットワークプロトコルパケット等の通信パケットを観察し、ソースネットワークアドレス及び宛先ネットワークアドレス、いずれのポートが用いられているか、及び接続の状態又は履歴等の特性を検査することによってフィルタリング機能を実行する。ファイアウォールによっては、いずれのアプリケーションが接続を確立したかを特定するためにパケットも検査するものもあるし、保護されたユーザーと外部のネットワーク化されたコンピューターとの間の選択されたネットワーク要求を処理及び転送することによってプロキシデバイスとして働くものもある。ファイアウォールは多くの場合に、望ましくないトラフィックの「シグネチャ」又は他の特性を用いて、有害であるとみなされるか又は他の形で望ましくないトラフィックを検出しブロックする。
ファイアウォールは通常、1組の規則を用いてトラフィックをフィルタリングし、ネットワークデータの任意の特定の要素に関して行われることが、その特定のデータにどのように規則の組が適用されるかに依拠するようにする。例えば、ポート6346への全てのトラフィックをブロックする規則は、保護されたネットワーク内のサーバー上のそのポートに向けられた着信トラフィックをブロックするが、同じサーバーの異なるポート番号に向かう他のデータはブロックしない。同様に、Shareaza等のファイル共有プログラムから発信されたトラフィックをブロックする規則は、トラフィックにおけるパターンを用いて、ポート6346上のShareazaトラフィックをブロックするが、ポート6346上の他のトラフィックは許可する。
しかし、大型のシステム又は複雑なシステム等の、ファイアウォールが複数のコンピューター又はノードにわたって分散されたシステムとして実施される環境では、複数のノードが接続を共有する能力は、接続に関するソケット情報、アプリケーション情報、ユーザー情報等のような、接続に関する各ノードの情報に限定される。したがって、本発明のいくつかの実施形態は、クラスターファイアウォール内の他のシステムと、ユーザー又は他のそのような接続データ等の状態情報を共有し、ファイアウォールクラスター内の複数のノードが同じ接続を処理することを可能にするメカニズムを提供する。これによって、システム間で接続の担当を移すことによって負荷分散を行い、クラスター内のノードの故障を、そのノードの接続を別のマシンに移すことによって管理し、他のそのような機能を実行する能力がクラスターに与えられる。
1つのそのような例において、ファイアウォール又は侵入保護システムは、ファイアウォールを通って流れる処理トラフィックを共有するノードのクラスター又は接続された群として実装される。図2は、本発明のいくつかの実施形態を実施するのに用いることができるような、分散ファイアウォールを有するネットワークを示している。ここで、インターネット201等のネットワークは、ファイアウォール203によって内部ネットワーク202に結合される。ファイアウォール203は、負荷分散及び他のファイアウォール管理機能等の機能を実行することができる着信トラフィックモジュール204及び発信トラフィックモジュール205を含む。ファイアウォール又は侵入保護規則はファイアウォールノード206において適用され、これらのファイアウォールノードは図示されるようにネットワーク接続によって互いに接続される。
ここで、示される5つのノードはそれぞれ、インターネット201と内部ネットワーク202との間を流れるトラフィックを選択的に許可又はブロックする規則をトラフィックに適用するように動作可能な、ファイアウォール又は関連するソフトウェアのインスタンスを実行する別個のコンピューターシステムを備える。代替の実施形態では、ノード1、ノード2及びノード3等のいくつかのノードがファイアウォールアプリケーションを実行する一方、4及び5等の他のノードは侵入保護システム(IPS)アプリケーションを実行する。ノード204及び205は、ファイアウォールノード206にルーティングされるトラフィックの負荷分散等の機能の実行を担当し、これらのノードが、単一ノードの場合よりも高いスループット能力を提供するように効率的にともに機能することができることを確保する。
いくつかのファイアウォール実施形態は、ポート、IP及び他のそのような規則をデータストリームに単に適用することを超える、複雑な接続識別機能を実行する。例えば、いくつかのファイアウォールの例は、ファイアウォールに対するユーザー認証を用いることによって、又はMicrosoftドメインサーバーログオン若しくはファイアウォールによって読み取ることができる他のユーザー証明書等の間接的な認証を用いることによって、ユーザーを特定の接続と関連付けるユーザー「パスポート」を含む。このパスポートは、識別されたユーザーを、特定のIPアドレス、MACアドレス又は他の識別子と関連付け、ユーザーから到来する接続を、そのユーザーに属するものとして識別することができるようにする。
次に、ファイアウォールにおいて、ユーザーに基づくフィルタリングを行うことができる。例えば、ファイアウォールは、アリスが管理グループのメンバーである一方、ボブは従業員グループのメンバーであるが管理グループのメンバーではないことを知っている場合がある。双方のユーザーがコンピューターにログオンし、ビデオ会議に参加するためにSkypeを実行し、ファイアウォールは、双方のユーザーが、外部のベンダー又は顧客とビデオ会議を行う等のために、Skypeを用いてファイアウォールを通してビデオ会議トラフィックを送信することを許可されると判断する。
ボブは、Skypeを用いてファイルを送信することを試み、ファイアウォールは、管理グループのメンバーのみがSkypeを用いてファイルをアウトバウンド送信することを許可する規則を適用する。ファイアウォールは、ボブの接続に関連付けられたユーザーパスポート及びIPアドレス情報を用いて、ボブがファイルを送信しようと試みている者であることを特定し、したがってボブのファイルをブロックする。次に、アリスがSkypeを用いて同じファイルの送信を試行し、アリスの接続に関連付けられたパスポートは、アリスを接続に関連付けられたユーザーとして識別し、ファイルの送信が許可される。
しかし、ファイアウォールが複数のノードにわたって分散されている場合、各ノードが同じファイアウォール規則を有する一方、接続を管理するノードしかユーザー名及び接続のIPアドレス(又はパスポート)等のユーザー情報を知らないという点で、接続に適切な規則を適用することはより困難である。
したがって、本発明のいくつかの実施形態は、ユーザーパスポート情報をマルチキャストすること、又はユーザーパスポート情報を配信するためにマスターノード送信すること等によって、ファイアウォールクラスター内のノード間でユーザーパスポート情報を配信することを含む。
図3は、本発明の例示的な実施形態に従う、ファイアウォールクラスターにおける共有されたユーザーパスポート情報の使用を示すフローチャートである。301において、ローカルネットワーク202内のコンピューターとインターネット201との間でリンクが開始される。ノード間のリンクはノード1によって処理される。302において、ネットワーク接続が確立されるとすぐに、ノード1がMicrosoftドメインサーバーログイン等からユーザーパスポート情報を取り出すか、又はユーザーがファイアウォールに直接ログインする。次に、303において、ファイアウォールノード1は、接続に関するこのユーザーパスポートデータを他のノードと共有し、304において、このユーザーパスポートデータを用いて、ユーザー固有の規則をファイアウォールに適用する。
305において、ノード1が故障し、306において、接続がノード2にリダイレクトされる。ノード2は、ノード1から接続に関するユーザーパスポートデータを以前に受信しているので、308において、ノード2は、ユーザー固有の規則を接続に適用することを含む、データストリームのフィルタリングを再開することができる。
この例は、ノードが故障した後に、ノードが接続のフィルタリングをどのように再開することができるかを示しているが、負荷分散、又は様々なタスクへのノードの再割当て等の用途で、分散ファイアウォールクラスター内で接続を一のノードから別のノードへと移すのに、同様の方法を用いることができる。
1つのそのような例では、ファイアウォールノード1が故障するのではなく、2つの侵入保護システムノード(図示せず)の一方である侵入保護システムノードが故障する。システムは、ファイアウォールサービスを提供するノード数と、侵入保護を提供するノード数との間で或る特定のバランスを維持することを所望し、この例では、侵入保護システムは、その2つのノードのうちの一方が故障したとき、機能の半分を失っている。したがって、システムは、故障した侵入保護ノードに置き換わるようにファイアウォールノード1を再割当てし、その結果、図2に示すように、以前にファイアウォールノード1によって処理されていた接続は、ファイアウォールノード2〜5にわたって再分散される。
これらの例は、ファイアウォールクラスター内でユーザーパスポートデータを共有することによって、ファイアウォールクラスター内の負荷分散、フェイルオーバー及び他の機能をどのように容易にし、ファイアウォールクラスターにおけるネットワークトラフィックのユーザーに基づくフィルタリングをより扱いやすく信頼性の高いものにすることができるかを示している。
本明細書において、特定の実施形態が示され、説明されたが、当業者であれば、同じ目的を果たすように計算された任意の構成を、示された特定の実施形態に置き換えることができることを理解するであろう。本出願は、本明細書に説明した本発明の例示的な実施形態の任意の適応又は変形を包含するように意図される。本発明は特許請求の範囲及びその等価物の全範囲によってのみ限定されることが意図される。
上記で説明したように、動作方法及び或る特定の方式で構成されるファイアウォールが開示されている。例えば、ファイアウォールクラスターを動作させる方法は、3つ以上のノードを有するファイアウォールクラスターの第1のノードにおいて接続を受信することと、この接続に関連付けられたユーザーデータを特定することと、このユーザーデータを、ファイアウォールクラスター内の少なくとも別のノードと共有することとを含むことができる。さらに、ファイアウォールクラスターは、接続を受信した後であるが、ユーザーデータを共有する前に、受信した接続に関する接続情報をファイアウォールクラスター内の少なくとも別のノードと共有することができる。ユーザーデータは、ユーザーの識別情報及び接続のIPアドレスを含むことができる。共有することは、ユーザーデータを、ファイアウォールクラスター内の他のノードにブロードキャストすること、又はユーザーデータをマスターノードに送信することを含むことができる。マスターノードは、ユーザーデータをファイアウォールクラスター内の他のノードにブロードキャストするように構成することもできる。オプションで、ファイアウォールクラスターは、接続に関連付けられた共有されたユーザーデータを用いて、第1のノードの故障時に別のノードにおいて接続をフィルタリングすることもできるし、別のノードにおいて接続をフィルタリングし、ファイアウォールクラスターにおける負荷分散を提供することもできる。
ボブは、Skypeを用いてファイルを送信することを試み、ファイアウォールは、管理グループのメンバーのみがSkypeを用いてファイルをアウトバウンド送信することを許可する規則を適用する。ファイアウォールは、ボブの接続に関連付けられたパスポートのユーザ情報及びIPアドレス情報を用いて、ボブがファイルを送信しようと試みている者であることを特定し、したがってボブのファイルをブロックする。次に、アリスがSkypeを用いて同じファイルの送信を試行し、アリスの接続に関連付けられたパスポートは、アリスを接続に関連付けられたユーザーとして識別し、ファイルの送信が許可される。

Claims (19)

  1. ファイアウォールクラスターを動作させる方法であって、
    3つ以上のノードを有する前記ファイアウォールクラスターの第1のノードにおいて接続を受信することと、
    前記接続に関連付けられたユーザーデータを特定することと、
    前記ユーザーデータを、前記ファイアウォールクラスター内の少なくとも1つの別のノードと共有することと、を含む、ファイアウォールクラスターを動作させる方法。
  2. 前記接続を受信した後であって、前記ユーザーデータを共有する前に、受信した前記接続に関する接続情報を前記ファイアウォールクラスター内の少なくとも1つの別のノードと共有することを更に含む、請求項1に記載のファイアウォールクラスターを動作させる方法。
  3. 前記ユーザーデータは、前記ユーザーの識別情報及び前記接続のIPアドレスを含む、請求項1又は2に記載のファイアウォールクラスターを動作させる方法。
  4. 前記ユーザーデータを共有することは、前記ユーザーデータを、前記ファイアウォールクラスター内の前記別のノードにブロードキャストすることを含む、請求項1〜3のいずれか1項に記載のファイアウォールクラスターを動作させる方法。
  5. 前記ユーザーデータを共有することは、前記ユーザーデータをマスターノードに送信することを含む、請求項1〜4のいずれか1項に記載のファイアウォールクラスターを動作させる方法。
  6. 前記マスターノードが、前記ユーザーデータを前記ファイアウォールクラスター内の他のノードにブロードキャストすることを更に含む、請求項5に記載のファイアウォールクラスターを動作させる方法。
  7. 前記接続に関連付けられ共有された前記ユーザーデータを用いて、前記第1のノードの故障時に別のノードにおいて前記接続をフィルタリングすることを更に含む、請求項1〜6のいずれか1項に記載のファイアウォールクラスターを動作させる方法。
  8. 前記接続に関連付けられ共有された前記ユーザーデータを用いて、別のノードにおいて前記接続をフィルタリングし、前記ファイアウォールクラスターにおける負荷分散を提供することを更に含む、請求項1〜7のいずれか1項に記載のファイアウォールクラスターを動作させる方法。
  9. ファイアウォールクラスターであって、
    3つ以上のノードを有する前記ファイアウォールクラスターにおいて接続を受信し、前記接続に関連付けられたユーザーデータを特定し、前記ユーザーデータを、前記ファイアウォールクラスター内の少なくとも1つの別のノードと共有するように動作可能な第1のノードを備える、ファイアウォールクラスター。
  10. 前記第1のノードは更に、前記接続を受信した後であって、前記ユーザーデータを共有する前に、受信した前記接続に関する接続情報を前記ファイアウォールクラスター内の少なくとも1つの別のノードと共有するように動作可能である、請求項9に記載のファイアウォールクラスター。
  11. 前記ユーザーデータは、ユーザーの識別情報及び前記接続に関連付けられたIPアドレスを含む、請求項9又は10に記載のファイアウォールクラスター。
  12. 前記ユーザーデータを共有することは、前記ユーザーデータを、前記ファイアウォールクラスター内の前記別のノードにブロードキャストすることを含む、請求項9〜11のいずれか1項に記載のファイアウォールクラスター。
  13. マスターノードを更に備え、
    前記ユーザーデータを共有することは、前記ユーザーデータを前記マスターノードに送信することを含む、請求項9〜12のいずれか1項に記載のファイアウォールクラスター。
  14. 前記マスターノードは更に、前記ユーザーデータを前記ファイアウォールクラスター内の他のノードにブロードキャストするように動作可能である、請求項13に記載のファイアウォールクラスター。
  15. 前記接続に関連付けられ共有された前記ユーザーデータを用いて、前記第1のノードの故障時に別のノードにおいて前記接続をフィルタリングするように動作可能な第2のノードを更に備える、請求項9〜14のいずれか1項に記載のファイアウォールクラスター。
  16. 前記接続に関連付けられ共有された前記ユーザーデータを用いて別のノードにおいて前記接続をフィルタリングし、前記ファイアウォールクラスターにおける負荷分散を提供するように動作可能な第2のノードを更に備える、請求項9〜15のいずれか1項に記載のファイアウォールクラスター。
  17. ファイアウォールクラスターを動作させる方法であって、
    3つ以上のノードを有する前記ファイアウォールクラスターの第1のノードにおいて接続を受信することと、
    受信した前記接続に関する接続データを、前記ファイアウォールクラスター内の少なくとも1つの別のノードと共有することと、
    前記接続に関連付けられたユーザーデータを特定することと、
    前記接続に関連付けられた前記ユーザーデータを、前記ファイアウォールクラスター内の2つ以上の別のノードと共有することと、を含む、ファイアウォールクラスターを動作させる方法。
  18. 前記共有されたユーザーデータを用いて、前記第1のノードの故障時に別のノードにおいて前記接続をフィルタリングすることを更に含む、請求項17に記載のファイアウォールクラスターを動作させる方法。
  19. 共有された前記ユーザーデータを用いて、別のノードにおいて前記接続をフィルタリングし、前記ファイアウォールクラスターにおける負荷分散を提供することを更に含む、請求項17又は18に記載のファイアウォールクラスターを動作させる方法。
JP2014529857A 2011-09-08 2012-09-06 ファイアウォールクラスターにおける認証共有 Active JP5908090B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US13/227,848 US8887263B2 (en) 2011-09-08 2011-09-08 Authentication sharing in a firewall cluster
US13/227,848 2011-09-08
PCT/US2012/053976 WO2013036651A1 (en) 2011-09-08 2012-09-06 Authentication sharing in a firewall cluster

Publications (2)

Publication Number Publication Date
JP2014526739A true JP2014526739A (ja) 2014-10-06
JP5908090B2 JP5908090B2 (ja) 2016-04-26

Family

ID=47831093

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014529857A Active JP5908090B2 (ja) 2011-09-08 2012-09-06 ファイアウォールクラスターにおける認証共有

Country Status (6)

Country Link
US (1) US8887263B2 (ja)
EP (2) EP2754266B1 (ja)
JP (1) JP5908090B2 (ja)
KR (2) KR101529839B1 (ja)
CN (2) CN103858383B (ja)
WO (1) WO2013036651A1 (ja)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8763106B2 (en) 2011-09-08 2014-06-24 Mcafee, Inc. Application state sharing in a firewall cluster
US8887263B2 (en) 2011-09-08 2014-11-11 Mcafee, Inc. Authentication sharing in a firewall cluster
US10554760B2 (en) 2013-09-29 2020-02-04 Xiaomi Inc. Method and networking equipment for acquiring feature information
CN103475577B (zh) * 2013-09-29 2017-02-08 小米科技有限责任公司 一种获得特征信息的方法、装置及网络设备
US9609031B1 (en) 2013-12-17 2017-03-28 Amazon Technologies, Inc. Propagating state information to network nodes
US10594656B2 (en) * 2015-11-17 2020-03-17 Zscaler, Inc. Multi-tenant cloud-based firewall systems and methods
US10757105B2 (en) 2017-06-12 2020-08-25 At&T Intellectual Property I, L.P. On-demand network security system

Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002141903A (ja) * 2000-10-30 2002-05-17 Sharp Corp ノード構成情報管理方法及び無線ネットワークシステム
JP2003052067A (ja) * 2001-08-08 2003-02-21 Electronic Navigation Research Institute 無線通信ネットワークシステム
US20050240989A1 (en) * 2004-04-23 2005-10-27 Seoul National University Industry Foundation Method of sharing state between stateful inspection firewalls on mep network
JP2006502503A (ja) * 2002-10-07 2006-01-19 クゥアルコム・インコーポレイテッド グローバル分散型ネットワークにおいて認証セッション状態を共有する方法及び装置
JP2006054770A (ja) * 2004-08-16 2006-02-23 Yokogawa Electric Corp ファイアウォール装置
US20060075478A1 (en) * 2004-09-30 2006-04-06 Nortel Networks Limited Method and apparatus for enabling enhanced control of traffic propagation through a network firewall
US20070180226A1 (en) * 2006-02-02 2007-08-02 Check Point Software Technologies Ltd. Network security smart load balancing field and background of the invention
US7254834B2 (en) * 2001-10-18 2007-08-07 The Board Of Regents Of The University Of Nebraska Fault tolerant firewall sandwiches
US20080028456A1 (en) * 2000-12-29 2008-01-31 Cisco Technology, Inc. Method for Protecting a Firewall Load Balancer From a Denial of Service Attack
JP2008263581A (ja) * 2006-12-22 2008-10-30 General Electric Co <Ge> Rfidインフラストラクチャにおけるクラスタ化フィルタリングの方法および装置
US20110030049A1 (en) * 2005-09-14 2011-02-03 At&T Intellectual Property I, L.P. System and Method for Reducing Data Stream Interruption During Failure of a Firewall Device
US20120057597A1 (en) * 1998-08-04 2012-03-08 Juniper Networks, Inc. In-line packet processing

Family Cites Families (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6880089B1 (en) 2000-03-31 2005-04-12 Avaya Technology Corp. Firewall clustering for multiple network servers
US6772226B1 (en) 2000-08-15 2004-08-03 Avaya Technology Corp. VPN device clustering using a network flow switch and a different mac address for each VPN device in the cluster
US7130305B2 (en) 2001-07-02 2006-10-31 Stonesoft Oy Processing of data packets within a network element cluster
US7107609B2 (en) 2001-07-20 2006-09-12 Hewlett-Packard Development Company, L.P. Stateful packet forwarding in a firewall cluster
US7447901B1 (en) 2002-06-25 2008-11-04 Cisco Technology, Inc. Method and apparatus for establishing a dynamic multipoint encrypted virtual private network
WO2004049669A2 (en) * 2002-11-27 2004-06-10 Fujitsu Siemens Computers, Inc. Method and appliance for distributing data packets sent by a computer to a cluster system
JP3852017B2 (ja) * 2003-02-05 2006-11-29 日本電信電話株式会社 ファイアウォール装置
US7266715B1 (en) 2003-04-29 2007-09-04 Cisco Technology, Inc. Methods and apparatus for maintaining a virtual private network connection
US7844731B1 (en) 2003-11-14 2010-11-30 Symantec Corporation Systems and methods for address spacing in a firewall cluster
WO2006093557A2 (en) 2004-12-22 2006-09-08 Wake Forest University Method, systems, and computer program products for implementing function-parallel network firewall
US8533808B2 (en) * 2006-02-02 2013-09-10 Check Point Software Technologies Ltd. Network security smart load balancing using a multiple processor device
US8353020B2 (en) 2006-06-14 2013-01-08 Microsoft Corporation Transparently extensible firewall cluster
US20080098113A1 (en) * 2006-10-19 2008-04-24 Gert Hansen Stateful firewall clustering for processing-intensive network applications
US8255985B2 (en) 2006-11-13 2012-08-28 At&T Intellectual Property I, L.P. Methods, network services, and computer program products for recommending security policies to firewalls
CN101014048B (zh) * 2007-02-12 2010-05-19 杭州华三通信技术有限公司 分布式防火墙系统及实现防火墙内容检测的方法
US7822841B2 (en) 2007-10-30 2010-10-26 Modern Grids, Inc. Method and system for hosting multiple, customized computing clusters
CN101179514B (zh) * 2007-12-18 2010-08-18 杭州华三通信技术有限公司 分布式网络处理系统mac表项维护方法和维护装置
EP2248016B1 (en) * 2008-02-28 2016-09-21 Level 3 Communications, LLC Load-balancing cluster
CN101350773A (zh) * 2008-06-20 2009-01-21 中兴通讯股份有限公司 一种移动分组网络架构及其多个防火墙负载均衡接入方法
US7936685B2 (en) * 2009-01-15 2011-05-03 Vss Monitoring, Inc. Intelligent fast switch-over network tap system and methods
CN101651680A (zh) * 2009-09-14 2010-02-17 杭州华三通信技术有限公司 一种网络安全部署方法和一种网络安全设备
US8493902B2 (en) 2010-08-16 2013-07-23 Florida Institute for Human and Machine Cognition Opportunistic listening system and method
US8406233B2 (en) * 2010-09-07 2013-03-26 Check Point Software Technologies Ltd. Predictive synchronization for clustered devices
CN102025735B (zh) * 2010-12-08 2013-04-24 北京航空航天大学 基于防御策略的Linux分布式网络防火墙系统
US8776207B2 (en) * 2011-02-16 2014-07-08 Fortinet, Inc. Load balancing in a network with session information
US9047441B2 (en) * 2011-05-24 2015-06-02 Palo Alto Networks, Inc. Malware analysis system
GB2503625A (en) * 2011-07-08 2014-01-01 Box Inc Collaboration sessions in a workspace on cloud-based content management system
US8887263B2 (en) 2011-09-08 2014-11-11 Mcafee, Inc. Authentication sharing in a firewall cluster
US8763106B2 (en) 2011-09-08 2014-06-24 Mcafee, Inc. Application state sharing in a firewall cluster
US9319459B2 (en) 2011-09-19 2016-04-19 Cisco Technology, Inc. Services controlled session based flow interceptor
US20130152156A1 (en) 2011-12-12 2013-06-13 Mcafee, Inc. Vpn support in a large firewall cluster

Patent Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120057597A1 (en) * 1998-08-04 2012-03-08 Juniper Networks, Inc. In-line packet processing
JP2002141903A (ja) * 2000-10-30 2002-05-17 Sharp Corp ノード構成情報管理方法及び無線ネットワークシステム
US20080028456A1 (en) * 2000-12-29 2008-01-31 Cisco Technology, Inc. Method for Protecting a Firewall Load Balancer From a Denial of Service Attack
JP2003052067A (ja) * 2001-08-08 2003-02-21 Electronic Navigation Research Institute 無線通信ネットワークシステム
US7254834B2 (en) * 2001-10-18 2007-08-07 The Board Of Regents Of The University Of Nebraska Fault tolerant firewall sandwiches
JP2006502503A (ja) * 2002-10-07 2006-01-19 クゥアルコム・インコーポレイテッド グローバル分散型ネットワークにおいて認証セッション状態を共有する方法及び装置
US20050240989A1 (en) * 2004-04-23 2005-10-27 Seoul National University Industry Foundation Method of sharing state between stateful inspection firewalls on mep network
JP2006054770A (ja) * 2004-08-16 2006-02-23 Yokogawa Electric Corp ファイアウォール装置
US20060075478A1 (en) * 2004-09-30 2006-04-06 Nortel Networks Limited Method and apparatus for enabling enhanced control of traffic propagation through a network firewall
US20110030049A1 (en) * 2005-09-14 2011-02-03 At&T Intellectual Property I, L.P. System and Method for Reducing Data Stream Interruption During Failure of a Firewall Device
US20070180226A1 (en) * 2006-02-02 2007-08-02 Check Point Software Technologies Ltd. Network security smart load balancing field and background of the invention
JP2008263581A (ja) * 2006-12-22 2008-10-30 General Electric Co <Ge> Rfidインフラストラクチャにおけるクラスタ化フィルタリングの方法および装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
JPN6015017462; 関原 優 Masaru Sekihara: '既存システムの総点検と一歩進んだ使い方 ファイアウォール最適活用のポイント Fire Wall' N+I NETWORK 第3巻 第8号 第3巻, 20030901, 68〜71ページ, ソフトバンクパブリッシング株式会社 *

Also Published As

Publication number Publication date
EP2754266A1 (en) 2014-07-16
CN103858383B (zh) 2017-04-19
EP2991276B1 (en) 2022-04-06
EP2754266A4 (en) 2015-05-13
CN105407099A (zh) 2016-03-16
CN103858383A (zh) 2014-06-11
JP5908090B2 (ja) 2016-04-26
US8887263B2 (en) 2014-11-11
KR101529839B1 (ko) 2015-06-17
CN105407099B (zh) 2019-01-08
EP2991276A1 (en) 2016-03-02
WO2013036651A1 (en) 2013-03-14
KR101586972B1 (ko) 2016-02-02
KR20150015027A (ko) 2015-02-09
KR20140058616A (ko) 2014-05-14
EP2754266B1 (en) 2019-01-09
US20130067557A1 (en) 2013-03-14

Similar Documents

Publication Publication Date Title
JP6069717B2 (ja) ファイアウォールクラスターにおけるアプリケーション状態共有
JP5908090B2 (ja) ファイアウォールクラスターにおける認証共有
US8887265B2 (en) Named sockets in a firewall
US9282111B1 (en) Application-based network traffic redirection for cloud security service
KR100225574B1 (ko) 상호 연결된 컴퓨터 네트워크를 위한 보안 시스템
JP5062967B2 (ja) ネットワークアクセス制御方法、およびシステム
US20130152156A1 (en) Vpn support in a large firewall cluster
US10721209B2 (en) Timing management in a large firewall cluster
US20070124577A1 (en) Systems and methods for implementing protocol enforcement rules
US8677471B2 (en) Port allocation in a firewall cluster

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20140424

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140418

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150320

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150512

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150714

TRDD Decision of grant or rejection written
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160223

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160223

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160322

R150 Certificate of patent or registration of utility model

Ref document number: 5908090

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250