JP3298832B2 - ファイアウォールサービス提供方法 - Google Patents
ファイアウォールサービス提供方法Info
- Publication number
- JP3298832B2 JP3298832B2 JP25282898A JP25282898A JP3298832B2 JP 3298832 B2 JP3298832 B2 JP 3298832B2 JP 25282898 A JP25282898 A JP 25282898A JP 25282898 A JP25282898 A JP 25282898A JP 3298832 B2 JP3298832 B2 JP 3298832B2
- Authority
- JP
- Japan
- Prior art keywords
- service
- firewall
- request
- destination
- remote server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0254—Stateful filtering
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
トワークにおける権限のないアクセスの防止に関し、特
に、コンピュータネットワーク内のファイアウォール保
護に関する。
は、通常、パケットの形で伝送される。あるサイトにあ
る情報は、そのサイトまたは別のサイトのコマンドで、
別のサイトからアクセスされ、あるいは、別のサイトへ
送信される。従って、例えば情報が財産である場合、権
限のないアクセスに対する保護の必要がある。このため
に、ファイアウォールとして知られるワークプロセッサ
コンポーネントで実行される、パケットフィルタリング
という技術が開発され市販されている。ファイアウォー
ルでは、パケットは検査されフィルタリングされる。す
なわち、あらかじめ定義されたアクセスルールのセット
に従っているかどうかに応じて、パケットは、通過し、
あるいは、廃棄される。通常、このルールセットは表形
式で表される。
ータは、ファイアウォールの一方の側から他方の側へ
は、同意された広範なアクセスを許容するが、アクティ
ブなネットワークセッションの一部ではない逆向きの伝
送は遮断する。例えば、会社の「内部」の従業員はファ
イアウォールを通じてインターネットのような「外部」
のネットワークに無制限にアクセスすることができる
が、インターネットからのアクセスは、特別に権限を与
えられていなければ遮断される。このような、会社とイ
ンターネットの境界にあるファイアウォールに加えて、
ファイアウォールは、ネットワークドメイン間にも置か
れることがあり、また、ドメイン内でも、サブドメイン
を保護するために用いられることがある。それぞれの場
合において、異なるセキュリティポリシーが関係してい
る。
では、外部からユーザへ戻る別個の追加のネットワーク
セッションが必要とされる。そのような複雑なプロトコ
ルの1つは、RealAudioという商品名で知られているサ
ービスによって用いられている。特別の処置がなけれ
ば、この別個のセッションに対する要求はファイアウォ
ールによって遮断されてしまう。
ーザの代わりにファイアウォールプロセッサ上で並行し
て走る別個の「プロキシ」プロセスが開発されている。
プロキシプロセスは、別の特殊目的アプリケーション、
例えば、認証、メール処理、およびウィルススキャンの
ようなサービスを実行するためにも、開発されている。
セッサが並行プロセスをサポートする容量には限界があ
るので、並行して走らせることができるセッションの数
を最大にするためには、ファイアウォール上のプロキシ
プロセスに対する需要を最小にすることが好ましい。さ
らに、このような最小化は、全伝送レートに関しても、
好ましい。その理由は、入力データが別々のプロセスを
通ると伝送が遅くなるためである。
善し、セキュリティを改善し、アクセスルール自由度を
増大させ、複雑なプロトコルを扱うファイアウォールの
能力を高めるように、コンピュータネットワークのファ
イアウォールを実現する技術を提供する。本発明の第1
の特徴によれば、コンピュータネットワークファイアウ
ォールは、与えられたパケットに対していくつかの別個
のアクセスルールセットのうちのいずれかを適用するこ
とによって、(a)複数のセキュリティポリシー、
(b)複数のユーザ、または、(c)複数のセキュリテ
ィポリシーおよび複数のユーザの両方をサポートするこ
とができる。パケットに対して適用されるルールセット
は、入出力ネットワークインタフェースや、ネットワー
クのソースおよびデスティネーションのアドレスのよう
な情報に基づいて決定される。
タネットワークファイアウォールは、パケットに適用さ
れるルール処理の結果を記憶することによって性能を改
善する「状態付き」パケットフィルタリングを利用する
ように構成される。状態付きパケットフィルタリング
は、パケットに対するルール処理結果をキャッシュし、
キャッシュされた結果を利用して後続の同種のパケット
に対するルール処理を迂回することによって実現され
る。例えば、あるネットワークセッションの特定のパケ
ットにルールセットを適用した結果をキャッシュし、同
じネットワークセッションからの後続のパケットがファ
イアウォールに到着したときに、キャッシュされている
前のパケットからの結果を、その後続パケットに対して
用いる。これにより、それぞれの入力パケットにそのル
ールセットを適用する必要がなくなる。
タネットワークファイアウォールは、ソースホストアド
レス、デスティネーションホストアドレス、およびサー
ビスタイプのようなセッションデータ項目に基づいて設
定することが可能な依存関係マスクを用いて、ネットワ
ークセッションを認証あるいは阻止する。依存関係マス
クを用いて、ファイアウォールによって処理されている
アクティブセッションのキャッシュに問合せをすること
が可能であり、それにより、問合せを満たすセッション
の数を識別することができる。この問合せを、アクセス
ルールに対応させ、特定のルールのセッションが、その
問合せに適合する数に依存するようにすることが可能で
ある。
タネットワークファイアウォールは、パケットを処理す
るためのアクセスルールのセットに追加された動的ルー
ルを利用することが可能である。動的ルールによれば、
与えられたルールセットは、ルールセット全体をリロー
ドすることを要求せずに、ネットワークにおいて起こる
イベントに基づいて修正される。動的ルールの例として
は、単一のセッションに対してのみ用いられる「ワンタ
イム」ルール、指定された期間に対してのみ用いられる
時限ルール、および、ある条件が満たされたときにのみ
用いられるしきい値ルールがある。他のタイプの動的ル
ールとしては、ホストグループを定義するルールがあ
る。この動的ルールによれば、アクセスルールセットの
他の事項を変更せずに、ホストを追加あるいは削除する
ようにホストグループを変更することができる。
ションプロキシのファイアウォールの負担を軽減するよ
うに、処理のための別のサーバにネットワークセッショ
ンをリダイレクトするようコンピュータネットワークフ
ァイアウォールに対して指令することができる。この別
サーバは、リダイレクトされたネットワークセッション
を処理した後、そのセッションを、ファイアウォールを
通じて、もとの意図されたデスティネーションへ渡す。
アウォールにより、広範囲の重要なアプリケーションで
のファイアウォール処理が可能となる。例えば、本発明
は、ダイヤルアップアクセスゲートウェイに実装可能で
ある。本発明の別の実施例では、ファイアウォールの第
1部分がネットワークに存在し、ファイアウォールの第
2部分がセットトップボックス、コンピュータあるいは
その他の、家庭または会社にあるユーザ端末にあるとい
うように分散的にも実装可能である。後者の実施例によ
れば、本発明のファイアウォール技術は、例えば、家庭
においてインターネットとビデオアクセスの親による制
御を提供することが可能である。
ば、別個のローカルエリアネットワーク(LAN)間あ
るいはLANのサブネット間でのデータの流れを制御す
る好ましい技術が実現される。以下で、本発明の実施例
は、プロセスに関して説明する。このようなプロセスの
効率的なプロトタイプは、汎用PCハードウェア上に実
装するためにプログラミング言語Cを用いて、コンピュ
ータシステムソフトウェアとして実現されている。専用
のファームウェアあるいはハードウェアのコンピュータ
システム実装により、さらに効率を向上させることも可
能である。
ト 複数のセキュリティドメインをサポートする能力によ
り、単一のファイアウォールが、それぞれ別々のセキュ
リティポリシーを有する複数のユーザをサポートするこ
とが可能となる。また、相異なるセキュリティポリシー
をサブサイト間の通信に適用することができるため、こ
のような能力は、サイト内でも使用可能である。それぞ
れの構成を図1および図2に例示する。
ファイアウォールを有する4つのユーザサイト101〜
104(例として、会社A〜D)を示す。このような保
護は、ファイアウォール設備によって提供される。ファ
イアウォール設備は、ここではLAN110の形態であ
り、ファイアウォールプロセッサ111、113および
114、アドミニストレータプロセッサ115、ルータ
116ならびにウェブサーバ117を有する。ファイア
ウォールプロセッサ113および114はそれぞれ単一
のサイト(すなわち、それぞれサイト103および10
4)専用である。ファイアウォールプロセッサ111
は、2つのサイト101および102にサービスするよ
うに設定される。ファイアウォールプロセッサ111
は、2つのサイトそれぞれとインターネット105との
間、および、2つのサイト間の通信に、別々のファイア
ウォールポリシーを実装する。ファイアウォールプロセ
ッサ111の好ましい動作のためのプロセスについて、
複数のファイアウォールポリシーのうちからの適切な選
択を含めて、図5および図6を参照して後述する。
1を通じてインターネット105に接続されたユーザサ
イト201を示す。アドミニストレータプロセッサ21
5およびルータ216は、ファイアウォールプロセッサ
211に接続される。ルータ216は、ユーザサイト2
01の内部にある別のファイアウォールプロセッサ21
2および213に接続される。ファイアウォールプロセ
ッサ212は、単一のサブサイト223(例として人事
(HR))を保護する。ファイアウォール213は、2
つのサブサイト(例として、給与(P)および支払
(D))を、サイト201の残りの部分に対して、およ
び、サブサイト221と222の間の通信に関して、保
護するように設定される。これは、ファイアウォールプ
ロセッサ213において、図5および図6で例示される
プロセスを用いることによって達成される。
のセットによって表現される。アクセスルールのセット
は、表(テーブル)形式で表され、ファイアウォールア
ドミニストレータによってファイアウォールにロードさ
れる。図3に示すように、このようなテーブルは、ルー
ル番号、ソースおよびデスティネーションのホストの名
称、パケットで要求されることが可能な特殊サービスの
名称、および、パケットに対してなされるアクションの
指定を含むカテゴリに対して与えられる。特殊サービス
には、例えば、プロキシサービス、ネットワークアドレ
ス翻訳、および、暗号化が含まれる。図3では、「ソー
スホスト」、「デスティネーションホスト」および「サ
ービス」というカテゴリは、パケットに対して指定され
たアクションがなされるために、そのパケットに含まれ
るデータが満たさなければならない条件を課している。
他の条件を含めることも可能であり、そのような条件
は、必ずしも、パケットに含まれるデータに関係する必
要はない。例えば、ルールの適用は、日時に関して条件
づけられることも可能である。
えられたカテゴリが無関係である場合、対応するテーブ
ルエントリは「ワイルドカード」とマークされる。これ
は、任意のカテゴリあるいはカテゴリの組合せに適用可
能である。図3などでは、ワイルドカードエントリにア
ステリスク(*)を用いている。「FTP」はファイル
転送プロトコル(file transfer protocol)を表す。
ケットによって満たされるルールが見つかるまで(また
は、ルールテーブルの最後まで。その場合、そのパケッ
トは廃棄される。)、ルールは順に適用される。ルール
を満たすパケットに対して、そのルールに含まれる各条
件が満たされなければならない。例えば、図3におい
て、ソースホストAからデスティネーションホストDへ
の、メールを表すパケットは、ルール20により廃棄さ
れる。以下は、本発明による例示的なルールセットカテ
ゴリのさらに詳細なリストである。最初の5個のカテゴ
リ名は、図3のカテゴリに対応する。
的である必要はないが、一般に、単一のサービス(例え
ばFTP)を表すべきである。
ス。
はIPアドレス。
ネーションポート/ソースポート。
または「プロキシ」。
インターネット制御メッセージプロトコル(ICMP)
メッセージが送出される。
までのアクティビティなしの秒数。
ッシュタイムアウト時にコネクションの両端にTCPリ
セットを送る。
ティビティなしの秒数。
ッションは期間終了時に消去(kill)される。
時および終了時に監査記録が生成される。
られるアラームコード値。
ドレスを含むホストグループ。
ル」あるいは「直接」)。
ップグループ 説明:IPアドレス、または、マップ先のホストIPア
ドレスを含むホストグループ。
ップタイプ 説明:実行されるマッピングのタイプ(例えば、「プー
ル」あるいは「直接」)。
デスティネーションポートを含むサービスグループ。参
照されるサービスグループ内のプロトコルおよびソース
ポートは無視される。
ル」あるいは「直接」)。
この限界に達するとルールは除去される。
な、このルールによって許可されるセッションの最大
数。この数が、指定された値を下回るまで、ルールはイ
ナクティブである。
アドレス。セッションキャプチャに用いられる。
ンアドレスおよびプロトコルに送る。新しいIPヘッダ
がパケットに追加される。
の場合、チェックは不要である。INの場合、入力セッ
ションはトンネリングされていなければならない。OU
Tの場合、パケットをトンネリングするアクションを開
始する。BOTHの場合、両方を行う。
処理が必要となるときを示す。NULLの場合、チェッ
クは不要である。INの場合、入力セッションはIPS
ECを用いて保護されていなければならない。OUTの
場合、IPSEC保護を追加するアクションを開始す
る。BOTHの場合、両方を行う。
ン。デフォルトはNOである。
トはNOである。
キャッシュに順チャネルおよび逆チャネルを生成する。
デフォルトはYESである。
ルは、「状態付き」パケットフィルタリングを利用する
ように設定することができる。状態付きパケットフィル
タリングは、パケットに適用されたルール処理の結果を
キャッシュに記憶することによって性能を改善する。状
態付きパケットフィルタリングは、受信パケットに対す
るルール処理結果をキャッシュし、その後、キャッシュ
された結果を利用して、同様のパケットに対するルール
処理を迂回することにより実現される。例えば、与えら
れたネットワークセッションのパケットにルールセット
を適用した結果をキャッシュし、同じネットワークセッ
ションからの後続のパケットがファイアウォールに到着
したときに、前のパケットからのキャッシュされた結果
をその後続パケットに対して使用するようにする。これ
によって、入力パケットのそれぞれにルールセットを適
用する必要がなくなることにより、従来のファイアウォ
ールに比べて大幅な性能向上が実現する。
倍にもなり得るため、キャッシュの効率的使用は、(例
えばハッシュテーブルを用いた)索引付けを必要とする
ことがある。図4に示すように、キャッシュは「セッシ
ョンキー」、ハードウェアアドレス情報、インタフェー
ス情報、適用可能なルールの数、アラームコード、統計
情報、および適用可能なアクションを含むことが可能で
ある。セッションキーは、パケット内で送信されるデー
タに付加された少なくとも1つのヘッダ項目を含み、実
施例では、(i)インターネットプロトコル(IP)ソ
ースアドレス、(ii)IPデスティネーションアドレ
ス、(iii)次のレベルのプロトコル(例えば、伝送
制御プロトコル(TCP)またはユーザデータグラムプ
ロトコル(UDP))、(iv)プロトコルに関連づけ
られたソースポート、および(v)プロトコルに関連づ
けられたデスティネーションポート、を含む。図4で
は、セッションキーに対して、項目(i)および(i
i)は個別に示されている。項目(iii)〜(v)
は、略して「TELNET」および「MAIL」で表さ
れている。
サポートエンジン(DSE(domainsupport engine))と
呼ぶ判断モジュール(エンジン)が、新しいネットワー
クセッションに対していずれのセキュリティポリシーを
使用すべきかを判断する。新しいセッションはそれぞ
れ、ソースドメインおよびデスティネーションドメイン
のセキュリティポリシーによって承認されなければなら
ない。インターネットへ向かうコネクションでは、単一
のドメインの検査のみが実行される可能性が高い。DS
Eは、入力または出力ネットワークインタフェースと、
各パケットのソースまたはデスティネーションネットワ
ークアドレスに基づいて、ドメイン選択を行う。ソース
またはデスティネーションのアドレスをパケットに含め
ることにより、複数のユーザが、単一のネットワークイ
ンタフェースによってサポートされることが可能とな
る。入力または出力ネットワークインタフェースは、ネ
ットワークインタフェースカード(NIC)(例えばイ
ンテル社(Intel Corporation)から市販されているIntel
EtherExpress Pro 100Bカード)の形態のものが可能で
ある。
ートするファイアウォールによるパケット処理の全体流
れ図である。このような処理は、パケットが行くドメイ
ンを判断し、適用可能なルールを検査してパケットが通
ってもよいかどうかを確認し、特殊処理が必要稼働かを
判断することを含む。ファイアウォールでは、各ドメイ
ンには1つ以上のネットワークインタフェースが関係づ
けられる。複数のドメインをサポートするインタフェー
スは、IPアドレスレンジを用いて、パケットを区別す
るように分離される。以下のステップが含まれる。
ファイアウォールにより受信される。
ョンキーが取得される。
トを受信したか、および、受信パケットのソースIPア
ドレスに基づいて、ソースドメインが、図7および図8
に関して別に後述するように判定される。ドメインが見
つからない場合、プロセスはステップ505に飛ぶ。
キーを用いて、ソースドメインのキャッシュでの一致を
探索する。キャッシュ内に一致があり、アクションが
「廃棄」の場合、パケットは廃棄され、プロセスはステ
ップ501に戻る。キャッシュ内に一致がない場合、ソ
ースドメインのルールセットで一致を探索する。ルール
で一致があり、アクションが「廃棄」でない場合、プロ
セスはステップ505に進む。ルールで一致があり、ア
クションが「廃棄」の場合、対応するエントリがキャッ
シュに含められ、パケットは廃棄され、プロセスはステ
ップ501に戻る。ルールで一致がない場合、パケット
は廃棄され、プロセスはステップ501に戻る。
ワーク(LAN)アドレスを用いて、しかも、ソースド
メインルールがデスティネーションインタフェースを指
定している場合には、そのデスティネーションインタフ
ェースおよびルーティングテーブルを用いて、デスティ
ネーションインタフェースが決定される。
スおよびパケットのデスティネーションアドレスを用い
て、デスティネーションドメインが決定される。デステ
ィネーションドメインが見つからない場合、または、デ
スティネーションドメインが直前に検査したドメインと
一致する場合、プロセスはステップ508に進む。
504で用いられるのと同様にして、デスティネーショ
ンドメインに関して、キャッシュルックアップと、必要
であればルールセットルックアップを行う。
ドレス変更(例えば、プロキシへの)を要求する場合、
あるいは、あるパケットを別のパケット内に挿入するこ
と(「トンネルオプション」)を要求する場合、プロセ
スは、変更されたデスティネーションに基づく処理のた
めにステップ505に戻る。
しても処理されなかった場合、ファイアウォール所有者
はいずれのアクセスルールにも従わないインタフェース
間の通信をサポートすることには関心がないので、その
パケットは廃棄可能である。
過」であった場合、パケットは適当なネットワークイン
タフェースへ送出される。
ンへの簡便なリンクのために、ドメインテーブルが用い
られる。インタフェースが複数のドメインによって共有
されている場合、アドレスレンジが含められる。これは
図7に例示されている。図7には、重複のないアドレス
レンジが示されている。
6で実行されるようなドメインテーブル処理を例示す
る。これには以下のステップが含まれる。
ス名が一致するものを探索する。
かった場合、しかも、IPアドレスレンジが一致するテ
ーブルエントリにある場合、パケットアドレスがそのレ
ンジ内にあるかどうかを検査する。レンジ内にある場
合、指定されたドメインが選択される。レンジ内にない
場合、次のテーブルから探索を継続する。
の終端に到達した場合、何のアクションもとらない。
な、外部からユーザに戻る別個の追加のネットワークセ
ッションを要求するタイプのプロトコルの場合、ルール
は、ユーザに戻るコネクションを許可する条件あるいは
マスクを含むことが可能である。ただしそれは、並行し
てアクティブである正当な順方向のコネクション(すな
わち、ソースとデスティネーションのアドレスを入れ替
えたコネクション)がある場合に限る。その結果、ファ
イアウォール上に別個のあるいはプロキシのアプリケー
ションが不要となる。
ンキャッシュに向けられた問合せを定義することができ
る。マスクで定義されるすべてのフィールドを、キャッ
シュ内の対応するフィールドと比較することによって、
一致の有無が判定される。マスク内の空フィールドは比
較に用いられない。
報、(b)そのパケットのソースインタフェース、およ
び(c)そのパケットが通過するために満たさなければ
ならない1つまたはいくつかの依存条件、を用いて、ネ
ットワークセッションの最初のパケットに対するルール
で定義することが可能である。このような最初のパケッ
トがファイアウォールによって処理されると、対応する
エントリがキャッシュに作られる。
で、依存関係マスク(「ヒットカウント」)を有するル
ールを示す。以下のような特殊な記号が、いくつかのホ
スト名にある。(i)「ドット」記号(.)は、対応す
るカテゴリのパケットデータを含めることを要求し、
(ii)キャレット記号(^)は、代わりに異なるカテ
ゴリからのパケットデータを含めることを要求する。
「ヒットカウント」は、指定されたアクションがとられ
るためにキャッシュ内に見つからなければならない一致
の数を示す。例えば、「REALAUDIO」という名
前の依存関係マスクでは、1個の必須のTCPセッショ
ンがアクティブである限り、UDPパケットを通過させ
るためにはカウント1が用いられる。依存関係マスク
「TELNET」では、リソースの過負荷を防ぐために
パケットを廃棄するように、カウント10が用いられ
る。
これは以下のステップを含む。
ーを抽出する。
を順に処理する。与えられたルールで一致が見つからな
い場合、プロセスはセット内の次のルールに進む。ルー
ルセットの終端まで一致が見つからない場合、パケット
は廃棄される。一致が見つかり、依存関係マスクフィー
ルドが空の場合、プロセスはステップ905に飛ぶ。
報が、キャッシュ探索構造体(例えば、問合せ)の形成
に含められる。依存関係マスクにおいてユーザ認証フラ
グがセットされている場合、キャッシュ探索構造体にお
ける対応するフラグがセットされる。このステップは、
ルールの問合せ部分を定義している。
造体と一致するものを探索し、一致のカウントを積算す
る。このステップは、ルールの問合せ部分を処理してい
る。
上である場合、ルールは選択され、そのルールに対応す
るアクションが実行される。このようなアクションは、
通過、廃棄あるいはプロキシを含むことが可能である。
また、対応するエントリがキャッシュに作られる。キャ
ッシュにおいて一致が見つからない場合、または、キャ
ッシュに見つかったエントリが「ヒットカウント」より
少ない場合、プロセスはステップ902に戻り、次のル
ールに進む。このステップは、問合せの結果に基づいて
ルールのアクション部分を処理している。
理は、ネットワークセッションの最初のパケットに対し
てのみ実行される。他のすべてのパケットのアクション
は、最初のパケットの処理後にセッションキャッシュに
保存されているので、他のすべてのパケットは、このル
ール探索機能を迂回する。
クセスルールとともに処理するために、必要が生ずるの
に応じてアクセスルールとともに含められるルールであ
る。動的ルールは、例えば、特定のソースおよびデステ
ィネーションのポート番号のような、固有の現在の情報
を含むことが可能である。動的ルールは、信頼されたパ
ーティ、例えば、信頼されたアプリケーション、リモー
トプロキシあるいはファイアウォールアドミニストレー
タによって、特定のネットワークセッションに権限を与
えるためにいつでもロードされることが可能である。動
的ルールは、単一セッション用に設定されることも可能
であり、あるいは、その使用は期限付きとすることも可
能である。動的ルールによれば、ルールセット全体をリ
ロードすることを要求することなく、与えられたルール
セットを、ネットワークで起こるイベントに基づいて修
正することが可能となる。
ンに対してのみ用いられる「ワンタイム」ルール、指定
された期間に対してのみ用いられる時限ルール、およ
び、ある条件が満たされたときにのみ用いられるしきい
値ルールがある。他のタイプの動的ルールとしては、ホ
ストグループを定義するルールがある。この動的ルール
によれば、アクセスルールセットの他の事項を変更せず
に、ホストを追加あるいは削除するようにホストグルー
プを変更することができる。他の動的ルールとしては、
ある特定のタイプの処理アプリケーションにおけるルー
ルセットアップを容易にするために用いられるものがあ
る。例えば、FTPプロキシアプリケーションは、動的
ルールを用いて、データ要求に応じてFTPデータチャ
ネルの確立の権限を与えることが可能である。この例に
おける動的ルールは、一般に、FTP制御セッションを
通じてデータ要求がなされるまではロードされず、ま
た、1回の使用に限定され、制限された期間の間のみア
クティブとされる。従って、ルールセットは、すべての
要求とともに用いられる別個のデータチャネルルールを
含む必要がない。その結果、ルール仕様およびルール処
理が単純化されるとともに、セキュリティが改善され
る。
ンを、処理のために他の「リモート」プロキシサーバに
リダイレクトした後、ファイアウォールを通じて目的の
デスティネーションへ渡すものである。新しいセッショ
ンがファイアウォールに入ると、プロキシサーバによる
サービスが要求されているかどうかが判定される。プロ
キシサーバによるサービスが要求されている場合、ファ
イアウォールは、パケット内のデスティネーションアド
レスを、プロキシアプリケーションのホストアドレスで
置き換える。必要であれば、ファイアウォールは、サー
ビスポートも変更することが可能である。プロキシアプ
リケーションは、そのセッションを受け取ると、デステ
ィネーションへのコネクションの権限が与えられている
かどうかを判定するために、ファイアウォールに対し
て、そのセッションのもとのデスティネーションアドレ
スを要求する。その後、プロキシが、自己のIPアドレ
スを用いてそのデスティネーションへのコネクションを
形成する場合、ファイアウォールによって提供されるサ
ービスを「単一反射」あるいは「一方向反射」という。
よっては、デスティネーションにおいてコネクションが
リモートシステムではなくもとのソースから来ているよ
うに見えなければならない場合がある。これは、例え
ば、ソースIPアドレスを検査して、要求されたサービ
スに対してサインアップしたユーザに一致するかどうか
を確認するサービスの場合に当てはまる。この能力は、
「二重反射」(あるいは「双方向反射」)によって提供
される。この場合、出コネクションのソースアドレスは
リモートプロキシからもとのユーザのソースアドレスに
変更される(戻される)。この変更は、各パケットがプ
ロキシから受信されてデスティネーションへ送られると
きに、ファイアウォールで行われる。
プリケーションは、ファイアウォールに対して、もとの
入ネットワークセッションの詳細を要求する。ファイア
ウォールは、出コネクションで用いるポート番号を返
す。このポート番号は固有のものであり、これによりフ
ァイアウォールは、ソースアドレスを正しいユーザソー
スアドレスにマッピングすることができるように、正し
い出コネクションを識別することができる。その結果、
プロキシアプリケーションは両方のパーティには見えな
い。
び図12を参照して以下で説明する実施例のように、動
的ルールを用いることが可能である。
これは、ファイアウォールにおける以下のステップを含
む。
よって受信される。
調べることによって、あるいは、キャッシュ内に見つか
らなければ、適当なルールセットを調べることによっ
て、パケットに関係づけられたアクションが判定され
る。アクションが「通過」または「プロキシ」である場
合、パケット処理は継続される。アクションが「廃棄」
である場合、パケットは廃棄される。
ル上でローカルにサポートされるプロキシアプリケーシ
ョンを示している場合、パケットは、プロトコルスタッ
クを通じて、待機中のプロキシアプリケーションへ送ら
れる。
を示している場合、パケットのデスティネーションアド
レスがリモートプロキシのアドレスで置き換えられる。
設定により、デスティネーションポートを変更すること
も可能である。もとのパケットヘッダデータが、変更さ
れた値とともにセッションキャッシュに記録される。
ーバへ転送される。
テップ1005に続く処理を例示する。これは以下のス
テップを含む。
ーバアプリケーションで受信される。
ウォールに対して、パケットのもとのセッションキーを
要求する。
ョンは、もとのセッションキーを用いて自己の機能(例
えば、自己のセキュリティモデルに基づいてコネクショ
ンを廃棄する、要求されたサービスを実行する、あるい
は、ユーザに代わってもとのデスティネーションアドレ
スと通信する)を実行する。リモートプロキシが単一反
射を用いている場合、プロセスはステップ1011に飛
ぶ。
ョンは、暗号化されたチャネルを通じて、ファイアウォ
ールに対して二重反射能力を要求する。
らのコネクションの固有性を保証する新しいデスティネ
ーションポート番号を決定する。ファイアウォールはこ
の新しいポート番号およびもとのセッションキーをプロ
キシアプリケーションに返す。
ョンは、ファイアウォールに対して、自己からもとのデ
スティネーションへのコネクションに対する許可を要求
する。
ルをロードしてこのアクションを実行する。
をファイアウォールに送る。ステップ1012でロード
された動的ルールに基づいて、ファイアウォールはパケ
ットをもとのデスティネーションへ転送する。二重反射
の場合、プロキシは、ステップ1010でファイアウォ
ールによって決定されたデスティネーションポートを使
用し、パケットがファイアウォール通過するときに、I
Pヘッダ値はもとの値に戻される。
べてのパケットは、ステップ1007および1009〜
1012を飛ばすことが可能であることを除いては、同
様に処理される。これは、セッションが生きている間、
同じ動的ルールが適用されるからである。
施することができる。例えば、本発明は、ダイヤルアッ
プアクセスゲートウェイにおけるファイアウォール性能
を改善するために使用可能である。本発明の別の実施例
では、ファイアウォールの第1部分がネットワークに存
在し、ファイアウォールの第2部分がセットトップボッ
クス、コンピュータあるいはその他の、家庭または会社
にあるユーザ端末にあるというように分散的にも実装可
能である。後者の実施例によれば、本発明のファイアウ
ォール技術は、例えば、家庭においてインターネットと
ビデオアクセスの親による制御を提供することが可能で
ある。
プリケーションプロキシのファイアウォールの負担を軽
減するように、処理のための別のサーバにネットワーク
セッションをリダイレクトするようコンピュータネット
ワークファイアウォールに対して指令することができ
る。この別サーバは、リダイレクトされたネットワーク
セッションを処理した後、そのセッションを、ファイア
ウォールを通じて、もとの意図されたデスティネーショ
ンへ渡す。
提供するローカルエリアネットワークを通じてインター
ネットに接続されたいくつかのユーザサイトあるいはド
メインの図である。
ルを有するユーザサイトの図である。
の全体流れ図である。
の全体流れ図である。
の一部の流れ図である。
の流れ図である。
の流れ図である。
Claims (13)
- 【請求項1】 コンピュータネットワークでファイアウ
ォールサービスを提供する方法において、該方法は、 (A) ファイアウォールにおいて、ソースからデステ
ィネーションまでのセッションを求める要求を受信する
ステップと、 (B) 前記ファイアウォールが前記要求を許可するに
は、リモートサーバが実行可能なサービスが必要である
かどうかを確認する確認ステップと、 (C) 前記ファイアウォールが前記要求を許可するに
はリモートサーバが実行可能なサービスが必要である場
合、前記リモートサーバへ前記要求に関連するパケット
をリダイレクトするステップとからなり、前記(C)リダイレクトするステップは、前記サービス
が実行される際に、前記デスティネーションには、前記
サービスが前記ソースから来るように見えるようにする
ことを特徴とするファイアウォールサービス提供方法。 - 【請求項2】 コンピュータネットワークでファイアウ
ォールサービスを提供する方法において、該方法は、 (A) ファイアウォールにおいて、ソースからデステ
ィネーションまでのセッションを求める要求を受信する
ステップと、 (B) 前記ファイアウォールが前記要求を許可するに
は、リモートサーバが提供可能なサービスを必要とする
かどうかを確認する確認ステップと、 (C) 前記ファイアウォールが前記要求を許可するに
はリモートサーバが提供可能なサービスが必要である場
合、該サービスを該リモートサーバが提供することがで
きるように、前記要求に関連するパケットを前記リモー
トサーバにリダイレクトするステップと、 (D) 前記サービスが実行される際に、前記デスティ
ネーションには、前記サービスに関連するパケットが前
記ソースから来るように見えるようにするステップとか
らなることを特徴とするファイアウォールサービス提供
方法。 - 【請求項3】 コンピュータネットワークでファイアウ
ォールサービスを提供する方法において、該方法は、 (A) ファイアウォールにおいて、ソースからデステ
ィネーションまでのセッションを求める要求を受信する
ステップと、 (B) 前記ファイアウォールが前記要求を許可するに
は、リモートプロキシが実行可能なサービスが必要であ
るかどうかを確認する確認ステップと、 (C) 前記ファイアウォールが前記要求を許可するに
はリモートプロキシが実行可能なサービスが必要である
場合、前記リモートプロキシへ前記要求に関連するパケ
ットをリダイレクトするステップとからなり、前記(C)リダイレクトするステップは、前記サービス
が実行される際に、前記デスティネーションには、前記
サービスが前記ソースから来るように見えるようにする
ことを特徴とするファイアウォールサービス提供方法。 - 【請求項4】 コンピュータネットワークでファイアウ
ォールサービスを提供する方法において、該方法は、 (A) ファイアウォールにおいて、ソースからデステ
ィネーションまでのセッションを求める要求を受信する
ステップと、 (B) 前記ファイアウォールが前記要求を許可するに
は、リモートプロキシが提供可能なサービスを必要とす
るかどうかを確認する確認ステップと、 (C) 前記ファイアウォールが前記要求を許可するに
はリモートプロキシが提供可能なサービスが必要である
場合、該サービスを該リモートプロキシが提供すること
ができるように、前記要求に関連するパケットを前記リ
モートプロキシにリダイレクトするステップと (D) 前記サービスが実行される際に、前記デスティ
ネーションには、前記サービスに関連するパケットが前
記ソースから来るように見えるようにするステップとか
らなることを特徴とするファイアウォールサービス提供
方法。 - 【請求項5】 コンピュータネットワークでファイアウ
ォールサービスを提供する方法において、該方法は、 (A) ファイアウォールにおいて、ソースからデステ
ィネーションまでのセッションを求める要求を受信する
ステップと、 (B) 前記ファイアウォールが前記要求を許可するに
は、リモートプロキシが実行可能なサービスが必要であ
るかどうかを確認する確認ステップと、 (C) 前記ファイアウォールが前記要求を許可するに
はリモートプロキシが実行可能なサービスが必要である
場合、前記ソースから前記デスティネーションまでの直
接のコネクションがあるように見えることを可能にする
動的ルールを設定するステップとからなることを特徴と
するファイアウォールサービス提供方法。 - 【請求項6】 前記(B)確認ステップは、セッション
キーデータを使用するステップを含むことを特徴とする
請求項5に記載の方法。 - 【請求項7】 前記(B)確認ステップは、セッション
キーデータを使用してテーブル参照を行うステップを含
むことを特徴とする請求項5に記載の方法。 - 【請求項8】 (D) 前記サービスが実行される際
に、前記デスティネーションには、前記サービスに関連
するパケットが前記ソースから来るように見えるように
するステップをさらに有することを特徴とする請求項5
に記載の方法。 - 【請求項9】 コンピュータネットワークでファイアウ
ォールサービスを提供するコンピュータシステムにおい
て、該コンピュータシステムは、 ソースからデスティネーションまでのセッションを求め
る要求を取得する手段と、 前記要求は、リモートサーバが実行可能なサービスを必
要とするかどうかを確認する確認手段と、 前記サービスを前記リモートサーバが実行することがで
きるように、前記リモートサーバへ前記要求に関連する
パケットをリダイレクトする手段と前記リモートサーバに前記デスティネーションを通知す
る手段と、 実行されるサービスに関連するパケットを前記リモート
サーバから前記デスティネーションへ送るサービス送信
手段と からなり、前記サービス送信手段は、動的ルールを参照する手段を
含む ことを特徴とするコンピュータシステム。 - 【請求項10】 コンピュータネットワークでファイア
ウォールサービスを提供するコンピュータシステムにお
いて、該コンピュータシステムは、 ソースからデスティネーションまでのセッションを求め
る要求を取得する手段と、 前記要求は、リモートサーバが実行可能なサービスを必
要とするかどうかを確認する確認手段と、 前記サービスを前記リモートサーバが実行することがで
きるように、前記リモートサーバへ前記要求に関連する
パケットをリダイレクトする手段と前記リモートサーバ
に前記デスティネーションを通知する手段と、 実行されるサービスに関連するパケットを前記リモート
サーバから前記デスティネーションへ送るサービス送信
手段と からなり、前記サービス送信手段は、前記デスティネーションに
は、実行されるサービスに関連するパケットが前記ソー
スから来るように見えるようにする手段を含む ことを特
徴とするコンピュータシステム。 - 【請求項11】 コンピュータネットワークでファイア
ウォールサービスを提供するコンピュータシステムにお
いて、該コンピュータシステムは、 ソースからデスティネーションまでのセッションを求め
る要求を取得し、 前記要求は、リモートサーバが実行可能なサービスを必
要とするかどうかを確認し、 前記要求はリモートサーバが実行可能なサービスを必要
とする場合、前記サービスを前記リモートサーバが実行
することができるように、前記リモートサーバへ前記要
求に関連するパケットをリダイレクトし、前記リモートサーバに前記デスティネーションを通知
し、 実行されるサービスに関連するパケットを前記リモート
サーバから前記デスティネーションへ送り、 実行されるサービスに関連するパケットを前記デスティ
ネーションへ送るため に、動的ルールを参照する ように
動作することが可能なプロセッサを含むことを特徴とす
るコンピュータシステム。 - 【請求項12】 コンピュータネットワークでファイア
ウォールサービスを提供するコンピュータシステムにお
いて、該コンピュータシステムは、 ソースからデスティネーションまでのセッションを求め
る要求を取得し、 前記要求は、リモートサーバが実行可能なサービスを必
要とするかどうかを確認し、 前記要求はリモートサーバが実行可能なサービスを必要
とする場合、前記サービスを前記リモートサーバが実行
することができるように、前記リモートサーバへ前記要
求に関連するパケットをリダイレクトし、前記リモートサーバに前記デスティネーションを通知
し、 実行されるサービスに関連するパケットを前記リモート
サーバから前記デスティネーションへ送り、 実行されるサービスに関連するパケットを前記デスティ
ネーションへ送る際に、前記デスティネーションには、
実行されるサービスに関連するパケットが前記ソースか
ら来るように見えるようにする ように動作することが可
能なプロセッサを含むことを特徴とするコンピュータシ
ステム。 - 【請求項13】 コンピュータネットワークでファイア
ウォールサービスを提供する装置において、該装置は、 ファイアウォールにおいて、ソースからデスティネーシ
ョンまでのセッションを求める要求を受信し、 前記ファイアウォールが前記要求を許可するには、リモ
ートプロキシが提供可能なサービスを必要とするかどう
かを確認し、 前記ファイアウォールが前記要求を許可するにはリモー
トプロキシが提供可能なサービスが必要である場合、該
サービスを該リモートプロキシが実行することができる
ように、前記要求に関連するパケットを前記リモートプ
ロキシに反射させ、前記リモートプロキシに前記デスティネーションを通知
し、 実行されるサービスに関連するパケットを前記リモート
プロキシから前記デスティネーションへ送る ように動作
することが可能な少なくとも1つのプロセッサを有する
ことを特徴とするファイアウォールサービス提供装置。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US08/928797 | 1997-09-12 | ||
US08/928,797 US6098172A (en) | 1997-09-12 | 1997-09-12 | Methods and apparatus for a computer network firewall with proxy reflection |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2001348967A Division JP2002215478A (ja) | 1997-09-12 | 2001-11-14 | ファイアウォールサービス提供方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JPH11167537A JPH11167537A (ja) | 1999-06-22 |
JP3298832B2 true JP3298832B2 (ja) | 2002-07-08 |
Family
ID=25456779
Family Applications (3)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP25282898A Expired - Lifetime JP3298832B2 (ja) | 1997-09-12 | 1998-09-07 | ファイアウォールサービス提供方法 |
JP2001348967A Pending JP2002215478A (ja) | 1997-09-12 | 2001-11-14 | ファイアウォールサービス提供方法 |
JP2009215303A Expired - Lifetime JP4690480B2 (ja) | 1997-09-12 | 2009-09-17 | ファイアウォールサービス提供方法 |
Family Applications After (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2001348967A Pending JP2002215478A (ja) | 1997-09-12 | 2001-11-14 | ファイアウォールサービス提供方法 |
JP2009215303A Expired - Lifetime JP4690480B2 (ja) | 1997-09-12 | 2009-09-17 | ファイアウォールサービス提供方法 |
Country Status (3)
Country | Link |
---|---|
US (1) | US6098172A (ja) |
EP (1) | EP0909073A3 (ja) |
JP (3) | JP3298832B2 (ja) |
Families Citing this family (217)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
SE506853C2 (sv) * | 1996-06-20 | 1998-02-16 | Anonymity Prot In Sweden Ab | Metod för databearbetning |
US6791947B2 (en) | 1996-12-16 | 2004-09-14 | Juniper Networks | In-line packet processing |
BR9808014B1 (pt) | 1997-03-12 | 2013-06-25 | Mídia legível por computador, não transitória e sistema de rede externa | |
US6775692B1 (en) * | 1997-07-31 | 2004-08-10 | Cisco Technology, Inc. | Proxying and unproxying a connection using a forwarding agent |
US7143438B1 (en) * | 1997-09-12 | 2006-11-28 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with multiple domain support |
US6301645B1 (en) * | 1998-01-20 | 2001-10-09 | Micron Technology, Inc. | System for issuing device requests by proxy |
US6779118B1 (en) * | 1998-05-04 | 2004-08-17 | Auriq Systems, Inc. | User specific automatic data redirection system |
JPH11338798A (ja) * | 1998-05-27 | 1999-12-10 | Ntt Communication Ware Kk | ネットワークシステムおよびプログラムを記録したコンピュータ読み取り可能な記録媒体 |
US6289384B1 (en) * | 1998-06-05 | 2001-09-11 | I2 Technologies, Inc. | System and method for event notification through a firewall |
US6745243B2 (en) * | 1998-06-30 | 2004-06-01 | Nortel Networks Limited | Method and apparatus for network caching and load balancing |
US6182228B1 (en) * | 1998-08-17 | 2001-01-30 | International Business Machines Corporation | System and method for very fast IP packet filtering |
US6266707B1 (en) * | 1998-08-17 | 2001-07-24 | International Business Machines Corporation | System and method for IP network address translation and IP filtering with dynamic address resolution |
US6687732B1 (en) * | 1998-09-28 | 2004-02-03 | Inktomi Corporation | Adaptive traffic bypassing in an intercepting network driver |
US6728885B1 (en) * | 1998-10-09 | 2004-04-27 | Networks Associates Technology, Inc. | System and method for network access control using adaptive proxies |
US6219706B1 (en) * | 1998-10-16 | 2001-04-17 | Cisco Technology, Inc. | Access control for networks |
JP2000132473A (ja) * | 1998-10-23 | 2000-05-12 | Oki Electric Ind Co Ltd | ファイアウォール動的制御方式を用いたネットワークシステム |
US6226677B1 (en) * | 1998-11-25 | 2001-05-01 | Lodgenet Entertainment Corporation | Controlled communications over a global computer network |
US7194554B1 (en) | 1998-12-08 | 2007-03-20 | Nomadix, Inc. | Systems and methods for providing dynamic network authorization authentication and accounting |
US8266266B2 (en) | 1998-12-08 | 2012-09-11 | Nomadix, Inc. | Systems and methods for providing dynamic network authorization, authentication and accounting |
US6636894B1 (en) | 1998-12-08 | 2003-10-21 | Nomadix, Inc. | Systems and methods for redirecting users having transparent computer access to a network using a gateway device having redirection capability |
US8713641B1 (en) | 1998-12-08 | 2014-04-29 | Nomadix, Inc. | Systems and methods for authorizing, authenticating and accounting users having transparent computer access to a network using a gateway device |
US6687353B1 (en) | 1998-12-11 | 2004-02-03 | Securelogix Corporation | System and method for bringing an in-line device on-line and assuming control of calls |
US20050025302A1 (en) * | 2002-07-23 | 2005-02-03 | Greg Schmid | Virtual private switched telecommunications network |
US6760420B2 (en) * | 2000-06-14 | 2004-07-06 | Securelogix Corporation | Telephony security system |
US6735291B1 (en) * | 1998-12-11 | 2004-05-11 | Securelogix Corporation | Virtual private switched telephone network |
US6226372B1 (en) * | 1998-12-11 | 2001-05-01 | Securelogix Corporation | Tightly integrated cooperative telecommunications firewall and scanner with distributed capabilities |
US7133511B2 (en) * | 1998-12-11 | 2006-11-07 | Securelogix Corporation | Telephony security system |
US6879671B2 (en) * | 2003-08-27 | 2005-04-12 | Securelogix Corporation | Virtual private switched telecommunications network |
US6249575B1 (en) | 1998-12-11 | 2001-06-19 | Securelogix Corporation | Telephony security system |
US6701432B1 (en) * | 1999-04-01 | 2004-03-02 | Netscreen Technologies, Inc. | Firewall including local bus |
US20030229809A1 (en) * | 1999-04-15 | 2003-12-11 | Asaf Wexler | Transparent proxy server |
US7305473B2 (en) * | 1999-05-28 | 2007-12-04 | The Coca-Cola Company | Provision of transparent proxy services to a user of a client device |
AU6758000A (en) * | 1999-08-07 | 2001-09-17 | Shrikumar Hariharasubrahmanian | Virtual memory systems and methods |
US7185114B1 (en) | 1999-08-07 | 2007-02-27 | Shrikumar Hariharasubrahmanian | Virtual memory systems and methods |
JP4316737B2 (ja) * | 1999-08-23 | 2009-08-19 | マスプロ電工株式会社 | ケーブルモデムシステム |
CA2388623C (en) * | 1999-10-22 | 2010-06-22 | Nomadix,Inc. | Systems and methods for redirecting users attempting to access a network site |
EP1903830A1 (en) | 1999-11-01 | 2008-03-26 | White. Cell, Inc. | Cellular data system security method |
ATE383722T1 (de) * | 1999-11-01 | 2008-01-15 | White Cell Inc | Verfahren für sicherheit in einem zellularen datensystem |
US6912570B1 (en) * | 1999-11-12 | 2005-06-28 | Cisco Technology, Inc. | Self modifying state graphs for quality of service classification |
CA2399014A1 (en) * | 2000-01-28 | 2001-08-02 | At&T Corp. | Method and apparatus for firewall with multiple addresses |
US7140035B1 (en) * | 2000-02-01 | 2006-11-21 | Teleran Technologies, Inc. | Rule based security policy enforcement |
US20020023209A1 (en) * | 2000-02-14 | 2002-02-21 | Lateca Computer Inc. N.V.United | Encryption and decryption of digital messages in packet transmitting networks |
US6760720B1 (en) | 2000-02-25 | 2004-07-06 | Pedestrian Concepts, Inc. | Search-on-the-fly/sort-on-the-fly search engine for searching databases |
US6930978B2 (en) * | 2000-05-17 | 2005-08-16 | Deep Nines, Inc. | System and method for traffic management control in a data transmission network |
US7058976B1 (en) | 2000-05-17 | 2006-06-06 | Deep Nines, Inc. | Intelligent feedback loop process control system |
US7380272B2 (en) * | 2000-05-17 | 2008-05-27 | Deep Nines Incorporated | System and method for detecting and eliminating IP spoofing in a data transmission network |
US6914905B1 (en) | 2000-06-16 | 2005-07-05 | Extreme Networks, Inc. | Method and system for VLAN aggregation |
US6950947B1 (en) | 2000-06-20 | 2005-09-27 | Networks Associates Technology, Inc. | System for sharing network state to enhance network throughput |
DE60030099T2 (de) * | 2000-06-26 | 2007-05-24 | Tenovis Gmbh & Co. Kg | Firewall-Vorrichtung |
SE519317C2 (sv) * | 2000-07-07 | 2003-02-11 | Ericsson Telefon Ab L M | Förfarande och kommunikationsenhet för att blockera oönskad trafik i ett datakommunikationssystem |
US6826698B1 (en) * | 2000-09-15 | 2004-11-30 | Networks Associates Technology, Inc. | System, method and computer program product for rule based network security policies |
WO2002035797A2 (en) * | 2000-10-20 | 2002-05-02 | Nomadix, Inc. | Systems and methods for providing dynamic network authorization, authentication and accounting |
US7054930B1 (en) * | 2000-10-26 | 2006-05-30 | Cisco Technology, Inc. | System and method for propagating filters |
SE519251C2 (sv) * | 2000-11-08 | 2003-02-04 | Icomera Ab | En metod och ett system för överföring av paket mellan två olika enheter |
US8150013B2 (en) * | 2000-11-10 | 2012-04-03 | Securelogix Corporation | Telephony security system |
US20020066038A1 (en) * | 2000-11-29 | 2002-05-30 | Ulf Mattsson | Method and a system for preventing impersonation of a database user |
US20020069366A1 (en) * | 2000-12-01 | 2002-06-06 | Chad Schoettger | Tunnel mechanis for providing selective external access to firewall protected devices |
US6912592B2 (en) * | 2001-01-05 | 2005-06-28 | Extreme Networks, Inc. | Method and system of aggregate multiple VLANs in a metropolitan area network |
US7284267B1 (en) * | 2001-03-08 | 2007-10-16 | Mcafee, Inc. | Automatically configuring a computer firewall based on network connection |
US20020138596A1 (en) * | 2001-03-09 | 2002-09-26 | Matthew Darwin | Method to proxy IP services |
US20020133717A1 (en) * | 2001-03-13 | 2002-09-19 | Ciongoli Bernard M. | Physical switched network security |
US20020133709A1 (en) | 2001-03-14 | 2002-09-19 | Hoffman Terry George | Optical data transfer system - ODTS; Optically based anti-virus protection system - OBAPS |
US6732279B2 (en) * | 2001-03-14 | 2004-05-04 | Terry George Hoffman | Anti-virus protection system and method |
US7095716B1 (en) | 2001-03-30 | 2006-08-22 | Juniper Networks, Inc. | Internet security device and method |
US7093280B2 (en) * | 2001-03-30 | 2006-08-15 | Juniper Networks, Inc. | Internet security system |
WO2002087176A2 (en) * | 2001-04-18 | 2002-10-31 | Skypilot Network, Inc. | Network channel access protocol - interference and load adaptive |
US7124173B2 (en) * | 2001-04-30 | 2006-10-17 | Moriarty Kathleen M | Method and apparatus for intercepting performance metric packets for improved security and intrusion detection |
US20020161904A1 (en) * | 2001-04-30 | 2002-10-31 | Xerox Corporation | External access to protected device on private network |
US7016358B2 (en) * | 2001-05-14 | 2006-03-21 | Canon Kabushiki Kaisha | Interface device with network isolation |
JP4373779B2 (ja) * | 2001-06-14 | 2009-11-25 | シスコ テクノロジー インコーポレイテッド | ステイトフル分散型イベント処理及び適応保全 |
US6986018B2 (en) * | 2001-06-26 | 2006-01-10 | Microsoft Corporation | Method and apparatus for selecting cache and proxy policy |
US6513122B1 (en) | 2001-06-29 | 2003-01-28 | Networks Associates Technology, Inc. | Secure gateway for analyzing textual content to identify a harmful impact on computer systems with known vulnerabilities |
US20030014659A1 (en) * | 2001-07-16 | 2003-01-16 | Koninklijke Philips Electronics N.V. | Personalized filter for Web browsing |
WO2003010946A1 (en) * | 2001-07-23 | 2003-02-06 | Securelogix Corporation | Encapsulation, compression and encryption of pcm data |
US7023861B2 (en) * | 2001-07-26 | 2006-04-04 | Mcafee, Inc. | Malware scanning using a network bridge |
US6975602B2 (en) * | 2001-07-26 | 2005-12-13 | Ericsson, Inc. | Methods and systems of blocking and/or disregarding data and related wireless terminals and wireless service providers |
ATE457585T1 (de) * | 2001-08-21 | 2010-02-15 | Ericsson Telefon Ab L M | Ein sicheres gateway mit proxydienstfähigen servern um service level agreements (sla) zu überprüfen |
US7302700B2 (en) | 2001-09-28 | 2007-11-27 | Juniper Networks, Inc. | Method and apparatus for implementing a layer 3/layer 7 firewall in an L2 device |
US7370353B2 (en) * | 2001-11-05 | 2008-05-06 | Cisco Technology, Inc. | System and method for managing dynamic network sessions |
US20030110379A1 (en) * | 2001-12-07 | 2003-06-12 | Tatu Ylonen | Application gateway system, and method for maintaining security in a packet-switched information network |
US7373659B1 (en) * | 2001-12-20 | 2008-05-13 | Mcafee, Inc. | System, method and computer program product for applying prioritized security policies with predetermined limitations |
US7305700B2 (en) | 2002-01-08 | 2007-12-04 | Seven Networks, Inc. | Secure transport for mobile communication network |
US7644436B2 (en) * | 2002-01-24 | 2010-01-05 | Arxceo Corporation | Intelligent firewall |
US9392002B2 (en) | 2002-01-31 | 2016-07-12 | Nokia Technologies Oy | System and method of providing virus protection at a gateway |
US7734752B2 (en) | 2002-02-08 | 2010-06-08 | Juniper Networks, Inc. | Intelligent integrated network security device for high-availability applications |
US7650634B2 (en) * | 2002-02-08 | 2010-01-19 | Juniper Networks, Inc. | Intelligent integrated network security device |
US8370936B2 (en) | 2002-02-08 | 2013-02-05 | Juniper Networks, Inc. | Multi-method gateway-based network security systems and methods |
US7719980B2 (en) * | 2002-02-19 | 2010-05-18 | Broadcom Corporation | Method and apparatus for flexible frame processing and classification engine |
US6845452B1 (en) * | 2002-03-12 | 2005-01-18 | Reactivity, Inc. | Providing security for external access to a protected computer network |
CN1152531C (zh) * | 2002-04-23 | 2004-06-02 | 华为技术有限公司 | 分片报文的网络访问控制方法 |
US7467406B2 (en) * | 2002-08-23 | 2008-12-16 | Nxp B.V. | Embedded data set processing |
US20040131059A1 (en) * | 2002-09-19 | 2004-07-08 | Ram Ayyakad | Single-pass packet scan |
US20040146006A1 (en) * | 2003-01-24 | 2004-07-29 | Jackson Daniel H. | System and method for internal network data traffic control |
WO2004075515A2 (en) * | 2003-02-16 | 2004-09-02 | Securelogix Corporation | An improved telephony security system |
JP4581104B2 (ja) * | 2003-03-28 | 2010-11-17 | 学校法人明治大学 | ネットワークセキュリティシステム |
US7325002B2 (en) | 2003-04-04 | 2008-01-29 | Juniper Networks, Inc. | Detection of network security breaches based on analysis of network record logs |
US7327746B1 (en) * | 2003-08-08 | 2008-02-05 | Cisco Technology, Inc. | System and method for detecting and directing traffic in a network environment |
US7792963B2 (en) * | 2003-09-04 | 2010-09-07 | Time Warner Cable, Inc. | Method to block unauthorized network traffic in a cable data network |
US20050131835A1 (en) * | 2003-12-12 | 2005-06-16 | Howell James A.Jr. | System for pre-trusting of applications for firewall implementations |
US20070168551A1 (en) * | 2004-03-02 | 2007-07-19 | Koninklijke Philips Electronics, N.V. | Address and port number abstraction when setting up a connection between at least two computational devices |
US20050240758A1 (en) * | 2004-03-31 | 2005-10-27 | Lord Christopher J | Controlling devices on an internal network from an external network |
US20050235065A1 (en) | 2004-04-15 | 2005-10-20 | Nokia Corporation | Method, network element, and system for providing security of a user session |
CA2467603A1 (en) * | 2004-05-18 | 2005-11-18 | Ibm Canada Limited - Ibm Canada Limitee | Visualization firewall rules in an auto provisioning environment |
US20050261970A1 (en) | 2004-05-21 | 2005-11-24 | Wayport, Inc. | Method for providing wireless services |
US7581248B2 (en) * | 2004-06-28 | 2009-08-25 | International Business Machines Corporation | Federated identity brokering |
US8578441B2 (en) * | 2004-07-22 | 2013-11-05 | Hewlett-Packard Development Company, L.P. | Enforcing network security policies with packet labels |
US7475424B2 (en) * | 2004-09-02 | 2009-01-06 | International Business Machines Corporation | System and method for on-demand dynamic control of security policies/rules by a client computing device |
US20060059558A1 (en) * | 2004-09-15 | 2006-03-16 | John Selep | Proactive containment of network security attacks |
US20060190998A1 (en) | 2005-02-17 | 2006-08-24 | At&T Corp | Determining firewall rules for reverse firewalls |
US20070174271A1 (en) * | 2005-02-18 | 2007-07-26 | Ulf Mattsson | Database system with second preprocessor and method for accessing a database |
CA2600236C (en) * | 2005-03-28 | 2014-08-12 | Wake Forest University | Methods, systems, and computer program products for network firewall policy optimization |
JP4575219B2 (ja) * | 2005-04-12 | 2010-11-04 | 株式会社東芝 | セキュリティゲートウェイシステムとその方法およびプログラム |
US8438633B1 (en) | 2005-04-21 | 2013-05-07 | Seven Networks, Inc. | Flexible real-time inbox access |
WO2006136660A1 (en) | 2005-06-21 | 2006-12-28 | Seven Networks International Oy | Maintaining an ip connection in a mobile network |
US7746862B1 (en) | 2005-08-02 | 2010-06-29 | Juniper Networks, Inc. | Packet processing in a multiple processor system |
US20070079366A1 (en) * | 2005-10-03 | 2007-04-05 | Microsoft Corporation | Stateless bi-directional proxy |
WO2007047223A2 (en) * | 2005-10-12 | 2007-04-26 | Wms Gaming Inc. | Gaming device firewall |
WO2007048656A1 (de) * | 2005-10-25 | 2007-05-03 | Nokia Siemens Networks Gmbh & Co. Kg | Flexible anpassung von zum schutz von kommunikationsnetzen eingesetzten filtern |
US8468589B2 (en) | 2006-01-13 | 2013-06-18 | Fortinet, Inc. | Computerized system and method for advanced network content processing |
US7966654B2 (en) | 2005-11-22 | 2011-06-21 | Fortinet, Inc. | Computerized system and method for policy-based content filtering |
US7814540B1 (en) * | 2005-12-23 | 2010-10-12 | Trend Micro Inc. | Systems and methods for implementing source transparent email gateways |
US20070174207A1 (en) * | 2006-01-26 | 2007-07-26 | Ibm Corporation | Method and apparatus for information management and collaborative design |
US8924335B1 (en) | 2006-03-30 | 2014-12-30 | Pegasystems Inc. | Rule-based user interface conformance methods |
US20070240208A1 (en) * | 2006-04-10 | 2007-10-11 | Ming-Che Yu | Network appliance for controlling hypertext transfer protocol (HTTP) messages between a local area network and a global communications network |
DE102006020093A1 (de) * | 2006-04-26 | 2007-10-31 | IHP GmbH - Innovations for High Performance Microelectronics/Institut für innovative Mikroelektronik | Geschütztes Ausführen einer Datenverarbeitungsanwendung eines Diensteanbieters für einen Nutzer durch eine vertrauenswürdige Ausführungsumgebung |
US8024787B2 (en) * | 2006-05-02 | 2011-09-20 | Cisco Technology, Inc. | Packet firewalls of particular use in packet switching devices |
JP7179035B2 (ja) * | 2006-06-16 | 2022-11-28 | ハー・ルンドベック・アクチエゼルスカベット | 認識機能障害(cognitive impairment)を治療するための、組み合わされたセロトニン再取り込み、5-HT3および5-HT1A活性を有する化合物としての1-[2-(2,4-ジメチルフェニルスルファニル)-フェニル]ピペラジン |
CN100531158C (zh) | 2006-06-29 | 2009-08-19 | 华为技术有限公司 | 一种无线接入网关支持透明代理的系统及方法 |
US20080134300A1 (en) | 2006-07-08 | 2008-06-05 | David Izatt | Method for Improving Security of Computer Networks |
US7836495B2 (en) * | 2006-07-28 | 2010-11-16 | Microsoft Corporation | Remote configuration of software component using proxy |
US8351327B1 (en) * | 2006-08-28 | 2013-01-08 | Juniper Networks, Inc. | Intermediate network device applying application-layer quality of service to channels within a communication session |
US8099774B2 (en) * | 2006-10-30 | 2012-01-17 | Microsoft Corporation | Dynamic updating of firewall parameters |
US8250525B2 (en) | 2007-03-02 | 2012-08-21 | Pegasystems Inc. | Proactive performance management for multi-user enterprise software systems |
US7953895B1 (en) | 2007-03-07 | 2011-05-31 | Juniper Networks, Inc. | Application identification |
US8340090B1 (en) | 2007-03-08 | 2012-12-25 | Cisco Technology, Inc. | Interconnecting forwarding contexts using u-turn ports |
US8805425B2 (en) | 2007-06-01 | 2014-08-12 | Seven Networks, Inc. | Integrated messaging |
US20100031321A1 (en) | 2007-06-11 | 2010-02-04 | Protegrity Corporation | Method and system for preventing impersonation of computer system user |
US8135007B2 (en) * | 2007-06-29 | 2012-03-13 | Extreme Networks, Inc. | Method and mechanism for port redirects in a network switch |
EP2026529A1 (en) | 2007-07-12 | 2009-02-18 | Wayport, Inc. | Device-specific authorization at distributed locations |
US9002828B2 (en) | 2007-12-13 | 2015-04-07 | Seven Networks, Inc. | Predictive content delivery |
US8862657B2 (en) | 2008-01-25 | 2014-10-14 | Seven Networks, Inc. | Policy based content service |
US20090193338A1 (en) | 2008-01-28 | 2009-07-30 | Trevor Fiatal | Reducing network and battery consumption during content delivery and playback |
US9002923B2 (en) | 2008-07-01 | 2015-04-07 | Thomson Licensing | Transparent web proxy |
CN101674321A (zh) * | 2008-09-12 | 2010-03-17 | 华为技术有限公司 | 一种消息处理方法、装置和系统 |
US8909759B2 (en) | 2008-10-10 | 2014-12-09 | Seven Networks, Inc. | Bandwidth measurement |
US8843435B1 (en) | 2009-03-12 | 2014-09-23 | Pegasystems Inc. | Techniques for dynamic data processing |
US8468492B1 (en) | 2009-03-30 | 2013-06-18 | Pegasystems, Inc. | System and method for creation and modification of software applications |
US8458766B2 (en) * | 2009-05-18 | 2013-06-04 | Tufin Software Technologies Ltd. | Method and system for management of security rule set |
US8468113B2 (en) * | 2009-05-18 | 2013-06-18 | Tufin Software Technologies Ltd. | Method and system for management of security rule set |
US8495725B2 (en) * | 2009-08-28 | 2013-07-23 | Great Wall Systems | Methods, systems, and computer readable media for adaptive packet filtering |
US9531674B2 (en) * | 2009-11-11 | 2016-12-27 | Microsoft Technology Licensing, Llc | Virtual host security profiles |
CN101820391A (zh) * | 2010-03-17 | 2010-09-01 | 中兴通讯股份有限公司 | 用于ip网络的路由转发方法及网络设备 |
US8838783B2 (en) | 2010-07-26 | 2014-09-16 | Seven Networks, Inc. | Distributed caching for resource and mobile network traffic management |
JP5620578B2 (ja) | 2010-07-26 | 2014-11-05 | セブン ネットワークス インコーポレイテッド | 複数のアプリケーションにわたるモバイルネットワークトラフィック調整 |
WO2012060995A2 (en) | 2010-11-01 | 2012-05-10 | Michael Luna | Distributed caching in a wireless network of content delivered for a mobile application over a long-held request |
US8484314B2 (en) | 2010-11-01 | 2013-07-09 | Seven Networks, Inc. | Distributed caching in a wireless network of content delivered for a mobile application over a long-held request |
US8843153B2 (en) | 2010-11-01 | 2014-09-23 | Seven Networks, Inc. | Mobile traffic categorization and policy for network use optimization while preserving user experience |
GB2500327B (en) | 2010-11-22 | 2019-11-06 | Seven Networks Llc | Optimization of resource polling intervals to satisfy mobile device requests |
US8914841B2 (en) | 2010-11-24 | 2014-12-16 | Tufin Software Technologies Ltd. | Method and system for mapping between connectivity requests and a security rule set |
GB2501416B (en) | 2011-01-07 | 2018-03-21 | Seven Networks Llc | System and method for reduction of mobile network traffic used for domain name system (DNS) queries |
US8880487B1 (en) * | 2011-02-18 | 2014-11-04 | Pegasystems Inc. | Systems and methods for distributed rules processing |
US8650495B2 (en) | 2011-03-21 | 2014-02-11 | Guest Tek Interactive Entertainment Ltd. | Captive portal that modifies content retrieved from designated web page to specify base domain for relative link and sends to client in response to request from client for unauthorized web page |
US8316098B2 (en) | 2011-04-19 | 2012-11-20 | Seven Networks Inc. | Social caching for device resource sharing and management |
GB2493473B (en) | 2011-04-27 | 2013-06-19 | Seven Networks Inc | System and method for making requests on behalf of a mobile device based on atomic processes for mobile network traffic relief |
GB2505585B (en) | 2011-04-27 | 2015-08-12 | Seven Networks Inc | Detecting and preserving state for satisfying application requests in a distributed proxy and cache system |
US8934414B2 (en) | 2011-12-06 | 2015-01-13 | Seven Networks, Inc. | Cellular or WiFi mobile traffic optimization based on public or private network destination |
EP2789138B1 (en) | 2011-12-06 | 2016-09-14 | Seven Networks, LLC | A mobile device and method to utilize the failover mechanisms for fault tolerance provided for mobile traffic management and network/device resource conservation |
US9208123B2 (en) * | 2011-12-07 | 2015-12-08 | Seven Networks, Llc | Mobile device having content caching mechanisms integrated with a network operator for traffic alleviation in a wireless network and methods therefor |
WO2013086447A1 (en) | 2011-12-07 | 2013-06-13 | Seven Networks, Inc. | Radio-awareness of mobile device for sending server-side control signals using a wireless network optimized transport protocol |
US20130159511A1 (en) | 2011-12-14 | 2013-06-20 | Seven Networks, Inc. | System and method for generating a report to a network operator by distributing aggregation of data |
US9195936B1 (en) | 2011-12-30 | 2015-11-24 | Pegasystems Inc. | System and method for updating or modifying an application without manual coding |
US8909202B2 (en) | 2012-01-05 | 2014-12-09 | Seven Networks, Inc. | Detection and management of user interactions with foreground applications on a mobile device in distributed caching |
US8812695B2 (en) | 2012-04-09 | 2014-08-19 | Seven Networks, Inc. | Method and system for management of a virtual network connection without heartbeat messages |
US20130268656A1 (en) | 2012-04-10 | 2013-10-10 | Seven Networks, Inc. | Intelligent customer service/call center services enhanced using real-time and historical mobile application and traffic-related statistics collected by a distributed caching system in a mobile network |
US9137281B2 (en) | 2012-06-22 | 2015-09-15 | Guest Tek Interactive Entertainment Ltd. | Dynamically enabling guest device supporting network-based media sharing protocol to share media content over local area computer network of lodging establishment with subset of in-room media devices connected thereto |
US8775631B2 (en) | 2012-07-13 | 2014-07-08 | Seven Networks, Inc. | Dynamic bandwidth adjustment for browsing or streaming activity in a wireless network based on prediction of user behavior when interacting with mobile applications |
US9178861B2 (en) | 2012-10-16 | 2015-11-03 | Guest Tek Interactive Entertainment Ltd. | Off-site user access control |
US9565213B2 (en) | 2012-10-22 | 2017-02-07 | Centripetal Networks, Inc. | Methods and systems for protecting a secured network |
US9137205B2 (en) | 2012-10-22 | 2015-09-15 | Centripetal Networks, Inc. | Methods and systems for protecting a secured network |
US9161258B2 (en) | 2012-10-24 | 2015-10-13 | Seven Networks, Llc | Optimized and selective management of policy deployment to mobile clients in a congested network to prevent further aggravation of network congestion |
US10263916B2 (en) * | 2012-12-03 | 2019-04-16 | Hewlett Packard Enterprise Development Lp | System and method for message handling in a network device |
US20140177497A1 (en) | 2012-12-20 | 2014-06-26 | Seven Networks, Inc. | Management of mobile device radio state promotion and demotion |
US8954495B2 (en) | 2013-01-04 | 2015-02-10 | Netfilx, Inc. | Proxy application with dynamic filter updating |
US9203806B2 (en) | 2013-01-11 | 2015-12-01 | Centripetal Networks, Inc. | Rule swapping in a packet network |
US9241314B2 (en) | 2013-01-23 | 2016-01-19 | Seven Networks, Llc | Mobile device with application or context aware fast dormancy |
US8874761B2 (en) | 2013-01-25 | 2014-10-28 | Seven Networks, Inc. | Signaling optimization in a wireless network for traffic utilizing proprietary and non-proprietary protocols |
US9326185B2 (en) | 2013-03-11 | 2016-04-26 | Seven Networks, Llc | Mobile network congestion recognition for optimization of mobile traffic |
US9124552B2 (en) | 2013-03-12 | 2015-09-01 | Centripetal Networks, Inc. | Filtering network data transfers |
US9094445B2 (en) | 2013-03-15 | 2015-07-28 | Centripetal Networks, Inc. | Protecting networks from cyber attacks and overloading |
US20140294006A1 (en) * | 2013-03-29 | 2014-10-02 | Alcaltel-Lucent Canada Inc. | Direct service mapping for nat and pnat |
CA2851709A1 (en) | 2013-05-16 | 2014-11-16 | Peter S. Warrick | Dns-based captive portal with integrated transparent proxy to protect against user device caching incorrect ip address |
US9065765B2 (en) | 2013-07-22 | 2015-06-23 | Seven Networks, Inc. | Proxy server associated with a mobile carrier for enhancing mobile traffic management in a mobile network |
US10482275B2 (en) * | 2014-01-27 | 2019-11-19 | Cryptography Research, Inc. | Implementing access control by system-on-chip |
US9853974B2 (en) * | 2014-01-27 | 2017-12-26 | Cryptography Research, Inc. | Implementing access control by system-on-chip |
US9215213B2 (en) * | 2014-02-20 | 2015-12-15 | Nicira, Inc. | Method and apparatus for distributing firewall rules |
US20150304450A1 (en) * | 2014-04-17 | 2015-10-22 | Alcatel Lucent Canada,Inc. | Method and apparatus for network function chaining |
US10469396B2 (en) | 2014-10-10 | 2019-11-05 | Pegasystems, Inc. | Event processing with enhanced throughput |
US9264370B1 (en) | 2015-02-10 | 2016-02-16 | Centripetal Networks, Inc. | Correlating packets in communications networks |
US9866576B2 (en) | 2015-04-17 | 2018-01-09 | Centripetal Networks, Inc. | Rule-based network-threat detection |
JP2017038211A (ja) * | 2015-08-10 | 2017-02-16 | 富士ゼロックス株式会社 | 通信制御プログラム及び情報処理装置 |
US9917856B2 (en) | 2015-12-23 | 2018-03-13 | Centripetal Networks, Inc. | Rule-based network-threat detection for encrypted communications |
US11729144B2 (en) | 2016-01-04 | 2023-08-15 | Centripetal Networks, Llc | Efficient packet capture for cyber threat analysis |
US10698599B2 (en) | 2016-06-03 | 2020-06-30 | Pegasystems, Inc. | Connecting graphical shapes using gestures |
US10698647B2 (en) | 2016-07-11 | 2020-06-30 | Pegasystems Inc. | Selective sharing for collaborative application usage |
US10291750B1 (en) | 2016-12-13 | 2019-05-14 | Juniper Networks, Inc. | Aggregating data sessions between autonomous systems |
US10320748B2 (en) | 2017-02-23 | 2019-06-11 | At&T Intellectual Property I, L.P. | Single packet authorization in a cloud computing environment |
CN107071034B (zh) * | 2017-04-20 | 2019-10-11 | 网宿科技股份有限公司 | 一种数据包传输方法和系统 |
US10503899B2 (en) | 2017-07-10 | 2019-12-10 | Centripetal Networks, Inc. | Cyberanalysis workflow acceleration |
US11233777B2 (en) | 2017-07-24 | 2022-01-25 | Centripetal Networks, Inc. | Efficient SSL/TLS proxy |
US10284526B2 (en) | 2017-07-24 | 2019-05-07 | Centripetal Networks, Inc. | Efficient SSL/TLS proxy |
JP6973122B2 (ja) * | 2018-01-26 | 2021-11-24 | トヨタ自動車株式会社 | 車載ネットワークシステム |
US10333898B1 (en) | 2018-07-09 | 2019-06-25 | Centripetal Networks, Inc. | Methods and systems for efficient network protection |
US11048488B2 (en) | 2018-08-14 | 2021-06-29 | Pegasystems, Inc. | Software code optimizer and method |
JP7225729B2 (ja) * | 2018-11-21 | 2023-02-21 | 株式会社デンソー | 中継装置及び中継方法 |
US11567945B1 (en) | 2020-08-27 | 2023-01-31 | Pegasystems Inc. | Customized digital content generation systems and methods |
US11362996B2 (en) | 2020-10-27 | 2022-06-14 | Centripetal Networks, Inc. | Methods and systems for efficient adaptive logging of cyber threat incidents |
US11159546B1 (en) | 2021-04-20 | 2021-10-26 | Centripetal Networks, Inc. | Methods and systems for efficient threat context-aware packet filtering for network protection |
Family Cites Families (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5606668A (en) * | 1993-12-15 | 1997-02-25 | Checkpoint Software Technologies Ltd. | System for securing inbound and outbound data packet flow in a computer network |
US5835726A (en) * | 1993-12-15 | 1998-11-10 | Check Point Software Technologies Ltd. | System for securing the flow of and selectively modifying packets in a computer network |
WO1997000471A2 (en) * | 1993-12-15 | 1997-01-03 | Check Point Software Technologies Ltd. | A system for securing the flow of and selectively modifying packets in a computer network |
JP3371549B2 (ja) * | 1994-06-28 | 2003-01-27 | 富士ゼロックス株式会社 | ファクシミリ通信システム及び通信システム |
US5623601A (en) * | 1994-11-18 | 1997-04-22 | Milkway Networks Corporation | Apparatus and method for providing a secure gateway for communication and data exchanges between networks |
US5802320A (en) * | 1995-05-18 | 1998-09-01 | Sun Microsystems, Inc. | System for packet filtering of data packets at a computer network interface |
US5751971A (en) * | 1995-07-12 | 1998-05-12 | Cabletron Systems, Inc. | Internet protocol (IP) work group routing |
US5689566A (en) * | 1995-10-24 | 1997-11-18 | Nguyen; Minhtam C. | Network with secure communications sessions |
US5793763A (en) * | 1995-11-03 | 1998-08-11 | Cisco Technology, Inc. | Security system for network address translation systems |
JP3502876B2 (ja) * | 1995-12-22 | 2004-03-02 | 株式会社日立製作所 | データパッシング方法 |
US5781550A (en) * | 1996-02-02 | 1998-07-14 | Digital Equipment Corporation | Transparent and secure network gateway |
US5898830A (en) * | 1996-10-17 | 1999-04-27 | Network Engineering Software | Firewall providing enhanced network security and user transparency |
US5673322A (en) * | 1996-03-22 | 1997-09-30 | Bell Communications Research, Inc. | System and method for providing protocol translation and filtering to access the world wide web from wireless or low-bandwidth networks |
US5842040A (en) * | 1996-06-18 | 1998-11-24 | Storage Technology Corporation | Policy caching method and apparatus for use in a communication device based on contents of one data unit in a subset of related data units |
US5828833A (en) * | 1996-08-15 | 1998-10-27 | Electronic Data Systems Corporation | Method and system for allowing remote procedure calls through a network firewall |
US6003084A (en) * | 1996-09-13 | 1999-12-14 | Secure Computing Corporation | Secure network proxy for connecting entities |
US5848233A (en) * | 1996-12-09 | 1998-12-08 | Sun Microsystems, Inc. | Method and apparatus for dynamic packet filter assignment |
US5845068A (en) * | 1996-12-18 | 1998-12-01 | Sun Microsystems, Inc. | Multilevel security port methods, apparatuses, and computer program products |
US6173364B1 (en) * | 1997-01-15 | 2001-01-09 | At&T Corp. | Session cache and rule caching method for a dynamic filter |
-
1997
- 1997-09-12 US US08/928,797 patent/US6098172A/en not_active Expired - Lifetime
-
1998
- 1998-09-01 EP EP98306995A patent/EP0909073A3/en not_active Withdrawn
- 1998-09-07 JP JP25282898A patent/JP3298832B2/ja not_active Expired - Lifetime
-
2001
- 2001-11-14 JP JP2001348967A patent/JP2002215478A/ja active Pending
-
2009
- 2009-09-17 JP JP2009215303A patent/JP4690480B2/ja not_active Expired - Lifetime
Non-Patent Citations (1)
Title |
---|
エドワード・アモロソ ロナルド・シャープ,ファイアウォールを知る インターネット/イントラネットのセキュリティ戦略,日本,株式会社プレンティスホール出版,1996年12月 1日,初版,p.43−p.50,p.63−p.66 |
Also Published As
Publication number | Publication date |
---|---|
JP4690480B2 (ja) | 2011-06-01 |
EP0909073A2 (en) | 1999-04-14 |
JPH11167537A (ja) | 1999-06-22 |
JP2002215478A (ja) | 2002-08-02 |
EP0909073A3 (en) | 2003-06-04 |
US6098172A (en) | 2000-08-01 |
JP2009295187A (ja) | 2009-12-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP3298832B2 (ja) | ファイアウォールサービス提供方法 | |
JP3464610B2 (ja) | パケット検証方法 | |
JP3492920B2 (ja) | パケット検証方法 | |
JP3459183B2 (ja) | パケット検証方法 | |
JP3443529B2 (ja) | ファイアウォールサービスを提供する方法と、ファイアウォールサービスを提供するコンピュータシステム | |
US7441262B2 (en) | Integrated VPN/firewall system | |
US7428590B2 (en) | Systems and methods for reflecting messages associated with a target protocol within a network | |
US6182226B1 (en) | System and method for controlling interactions between networks | |
US7474655B2 (en) | Restricting communication service | |
US6345299B2 (en) | Distributed security system for a communication network | |
US20140259146A1 (en) | Intelligent integrated network security device | |
US20040088423A1 (en) | Systems and methods for authentication of target protocol screen names | |
US20040109518A1 (en) | Systems and methods for a protocol gateway | |
US20040103318A1 (en) | Systems and methods for implementing protocol enforcement rules | |
EP0744107A1 (en) | Security system for interconnected computer networks | |
Mohammed et al. | Honeypots and Routers: Collecting internet attacks | |
US20040030765A1 (en) | Local network natification | |
Roeckl et al. | Stateful inspection firewalls | |
McGann | IPv6 packet filtering | |
Bhagchandka | Classification of firewalls and proxies | |
Bielski | Design and Implementation of Self-Securing Network Interface Applications | |
Young et al. | IP and Layer 2 Protocols | |
Held | Protecting a Network from Spoofing and Denial of Service Attacks | |
JP2002223254A (ja) | 電子メール・セキュア配送システム | |
WO2004023760A1 (en) | Method, system and computer program product for transmitting a media stream between client terminals |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20080419 Year of fee payment: 6 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090419 Year of fee payment: 7 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100419 Year of fee payment: 8 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110419 Year of fee payment: 9 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110419 Year of fee payment: 9 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120419 Year of fee payment: 10 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120419 Year of fee payment: 10 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130419 Year of fee payment: 11 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130419 Year of fee payment: 11 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140419 Year of fee payment: 12 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
EXPY | Cancellation because of completion of term |