JP3443529B2 - ファイアウォールサービスを提供する方法と、ファイアウォールサービスを提供するコンピュータシステム - Google Patents
ファイアウォールサービスを提供する方法と、ファイアウォールサービスを提供するコンピュータシステムInfo
- Publication number
- JP3443529B2 JP3443529B2 JP25282998A JP25282998A JP3443529B2 JP 3443529 B2 JP3443529 B2 JP 3443529B2 JP 25282998 A JP25282998 A JP 25282998A JP 25282998 A JP25282998 A JP 25282998A JP 3443529 B2 JP3443529 B2 JP 3443529B2
- Authority
- JP
- Japan
- Prior art keywords
- rule
- firewall
- rule set
- dynamic
- rules
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Description
トワークにおける権限のないアクセスの防止に関し、特
に、コンピュータネットワーク内のファイアウォール保
護に関する。
は、通常、パケットの形で伝送される。あるサイトにあ
る情報は、そのサイトまたは別のサイトのコマンドで、
別のサイトからアクセスされ、あるいは、別のサイトへ
送信される。従って、例えば情報が財産である場合、権
限のないアクセスに対する保護の必要がある。このため
に、ファイアウォールとして知られるワークプロセッサ
コンポーネントで実行される、パケットフィルタリング
という技術が開発され市販されている。ファイアウォー
ルでは、パケットは検査されフィルタリングされる。す
なわち、あらかじめ定義されたアクセスルールのセット
に従っているかどうかに応じて、パケットは、通過し、
あるいは、廃棄される。通常、このルールセットは表形
式で表される。
ータは、ファイアウォールの一方の側から他方の側へ
は、同意された広範なアクセスを許容するが、アクティ
ブなネットワークセッションの一部ではない逆向きの伝
送は遮断する。例えば、会社の「内部」の従業員はファ
イアウォールを通じてインターネットのような「外部」
のネットワークに無制限にアクセスすることができる
が、インターネットからのアクセスは、特別に権限を与
えられていなければ遮断される。このような、会社とイ
ンターネットの境界にあるファイアウォールに加えて、
ファイアウォールは、ネットワークドメイン間にも置か
れることがあり、また、ドメイン内でも、サブドメイン
を保護するために用いられることがある。それぞれの場
合において、異なるセキュリティポリシーが関係してい
る。
では、外部からユーザへ戻る別個の追加のネットワーク
セッションが必要とされる。そのような複雑なプロトコ
ルの1つは、RealAudioという商品名で知られているサ
ービスによって用いられている。特別の処置がなけれ
ば、この別個のセッションに対する要求はファイアウォ
ールによって遮断されてしまう。
ーザの代わりにファイアウォールプロセッサ上で並行し
て走る別個の「プロキシ」プロセスが開発されている。
プロキシプロセスは、別の特殊目的アプリケーション、
例えば、認証、メール処理、およびウィルススキャンの
ようなサービスを実行するためにも、開発されている。
セッサが、並行して走るプロキシプロセスをサポートす
る容量には限界があるので、並行して走らせることがで
きるセッションの数を最大にするためには、ファイアウ
ォール上のプロキシプロセスに対する需要を最小にする
ことが好ましい。さらに、このような最小化は、全伝送
レートに関しても、好ましい。その理由は、入力データ
が別々のプロセスを通ると伝送が遅くなるためである。
善し、セキュリティを改善し、アクセスルール自由度を
増大させ、複雑なプロトコルを扱うファイアウォールの
能力を高めるように、コンピュータネットワークのファ
イアウォールを実現する技術を提供する。本発明の第1
の特徴によれば、コンピュータネットワークファイアウ
ォールは、与えられたパケットに対していくつかの別個
のアクセスルールセットのうちのいずれかを適用するこ
とによって、(a)複数のセキュリティポリシー、
(b)複数のユーザ、または、(c)複数のセキュリテ
ィポリシーおよび複数のユーザの両方をサポートするこ
とができる。パケットに対して適用されるルールセット
は、入出力ネットワークインタフェースや、ネットワー
クのソースおよびデスティネーションのアドレスのよう
な情報に基づいて決定される。
タネットワークファイアウォールは、パケットに適用さ
れるルール処理の結果を記憶することによって性能を改
善する「状態付き」パケットフィルタリングを利用する
ように構成される。状態付きパケットフィルタリング
は、パケットに対するルール処理結果をキャッシュ(一
時記憶)し、キャッシュされた結果を利用して後続の同
種のパケットに対するルール処理を省略することによっ
て実現される。例えば、あるネットワークセッションの
特定のパケットにルールセットを適用した結果をキャッ
シュし、同じネットワークセッションからの後続のパケ
ットがファイアウォールに到着したときに、キャッシュ
されている前のパケットからの結果を、その後続パケッ
トに適用する。これにより、それぞれの入力パケットに
そのルールセットを適用する必要がなくなる。
タネットワークファイアウォールは、ソースホストアド
レス、デスティネーションホストアドレス、およびサー
ビスタイプのようなセッションデータ項目に基づいて設
定することが可能な依存関係マスクを用いて、ネットワ
ークセッションを認証あるいは阻止する。依存関係マス
クを用いて、ファイアウォールによって処理されている
アクティブセッションのキャッシュに問合せをすること
が可能であり、それにより、問合せを満たすセッション
の番号を識別することができる。この問合せを、アクセ
スルールに対応させ、特定のルールのセッションが、そ
の問合せに適合する番号に依存するようにすることが可
能である。
タネットワークファイアウォールは、パケットを処理す
るためのアクセスルールのセットに追加された動的ルー
ルを利用することが可能である。動的ルールによれば、
与えられたルールセットは、ルールセット全体を再ロー
ドすることを必要とせずに、ネットワークにおいて起こ
るイベントに基づいて修正される。動的ルールの例とし
ては、単一のセッションに対してのみ用いられる「ワン
タイム」ルール、指定された期間に対してのみ用いられ
る時限ルール、および、ある条件が満たされたときにの
み用いられるしきい値ルールがある。他のタイプの動的
ルールとしては、ホストグループを定義するルールがあ
る。この動的ルールによれば、アクセスルールセットの
他の事項を変更せずに、ホストを追加あるいは削除する
ようにホストグループを変更することができる。
ションプロキシのファイアウォールの負担を軽減するよ
う処理のために、別のサーバにネットワークセッション
をリダイレクトするようコンピュータネットワークファ
イアウォールに対して指令することができる。この別サ
ーバは、リダイレクトされたネットワークセッションを
処理した後、そのセッションを、ファイアウォールを通
じて、もとの意図されたデスティネーションへ渡す。
アウォールにより、広範囲の重要なアプリケーションで
のファイアウォール処理が可能となる。例えば、本発明
は、ダイヤルアップアクセスゲートウェイに実装可能で
ある。本発明の別の実施例では、ファイアウォールの第
1部分がネットワークに存在し、ファイアウォールの第
2部分がセットトップボックス、コンピュータあるいは
その他の、家庭または会社にあるユーザ端末にあるとい
うように分散的にも実装可能である。後者の実施例によ
れば、本発明のファイアウォール技術は、例えば、家庭
においてインターネットとビデオアクセスの親による制
御を提供することが可能である。
ば、別個のローカルエリアネットワーク(LAN)間あ
るいはLANのサブネット間でのデータの流れを制御す
る好ましい技術が実現される。以下で、本発明の実施例
は、プロセスに関して説明する。このようなプロセスの
効率的なプロトタイプは、汎用PCハードウェア上に実
装するためにプログラミング言語Cを用いて、コンピュ
ータシステムソフトウェアとして実現されている。専用
のファームウェアあるいはハードウェアのコンピュータ
システム実装により、さらに効率を向上させることも可
能である。
ト 複数のセキュリティドメインをサポートする能力によ
り、単一のファイアウォールが、それぞれ別々のセキュ
リティポリシーを有する複数のユーザをサポートするこ
とが可能となる。また、相異なるセキュリティポリシー
をサブサイト間の通信に適用することができるため、こ
のような能力は、サイト内でも使用可能である。それぞ
れの構成を図1および図2に例示する。
ファイアウォールを有する4つのユーザサイト101〜
104(例として、会社A〜D)を示す。このような保
護は、ファイアウォール設備によって提供される。ファ
イアウォール設備は、ここではLAN110の形態であ
り、ファイアウォールプロセッサ111、113および
114、アドミニストレータプロセッサ115、ルータ
116ならびにウェブサーバ117を有する。ファイア
ウォールプロセッサ113および114はそれぞれ単一
のサイト(すなわち、それぞれサイト103および10
4)専用である。ファイアウォールプロセッサ111
は、2つのサイト101および102にサービスするよ
うに設定される。ファイアウォールプロセッサ111
は、2つのサイトそれぞれとインターネット105との
間、および、2つのサイト間の通信に、別々のファイア
ウォールポリシーを実装する。ファイアウォールプロセ
ッサ111の好ましい動作のためのプロセスについて、
複数のファイアウォールポリシーのうちからの適切な選
択を含めて、図5および図6を参照して後述する。
1を通じてインターネット105に接続されたユーザサ
イト201を示す。アドミニストレータプロセッサ21
5およびルータ216は、ファイアウォールプロセッサ
211に接続される。ルータ216は、ユーザサイト2
01の内部にある別のファイアウォールプロセッサ21
2および213に接続される。ファイアウォールプロセ
ッサ212は、単一のサブサイト223(例として人事
(HR))を保護する。ファイアウォール213は、2
つのサブサイト(例として、給与(P)および支払
(D))を、サイト201の残りの部分に対して、およ
び、サブサイト221と222の間の通信に関して、保
護するように設定される。これは、ファイアウォールプ
ロセッサ213において、図5および図6で例示される
プロセスを用いることによって達成される。
のセットによって表現される。アクセスルールのセット
は、表(テーブル)形式で表され、ファイアウォールア
ドミニストレータによってファイアウォールにロードさ
れる。図3に示すように、このようなテーブルは、ルー
ル番号、ソースおよびデスティネーションのホストの名
称、パケットで要求されることが可能な特殊サービスの
名称、および、パケットに対してなされるアクションの
指定を含むカテゴリに対して与えられる。特殊サービス
には、例えば、プロキシサービス、ネットワークアドレ
ス翻訳、および、暗号化が含まれる。図3では、「ソー
スホスト」、「デスティネーションホスト」および「サ
ービス」というカテゴリは、パケットに対して指定され
たアクションがなされるために、そのパケットに含まれ
るデータが満たさなければならない条件を課している。
他の条件を含めることも可能であり、そのような条件
は、必ずしも、パケットに含まれるデータに関係する必
要はない。例えば、ルールの適用は、日時に関して条件
づけられることも可能である。
えられたカテゴリが無関係である場合、対応するテーブ
ルエントリは「ワイルドカード」とマークされる。これ
は、任意のカテゴリあるいはカテゴリの組合せに適用可
能である。図3などでは、ワイルドカードエントリにア
ステリスク(*)を用いている。「FTP」はファイル
転送プロトコル(file transfer protocol)を表す。
ケットによって満たされるルールが見つかるまで(また
は、ルールテーブルの最後まで、満たされない場合に
は、そのパケットは廃棄される。)、ルールは順に適用
される。ルールを満たすパケットに対して、そのルール
に含まれる各条件が満たされなければならない。例え
ば、図3において、ソースホストAからいずれのデステ
ィネーションホストへの、ファイル(FTP)を表すパ
ケットは、ルール20により廃棄される。以下は、本発
明による例示的なルールセットカテゴリのさらに詳細な
リストである。最初の5個のカテゴリ名は、図3のカテ
ゴリに対応する。
的である必要はないが、一般に、単一のサービス(例え
ばFTP)を表すべきである。
ス。
はIPアドレス。
ネーションポート/ソースポート。
または「プロキシ」。
インターネット制御メッセージプロトコル(ICMP)
メッセージが送出される。
までのアクティビティなしの秒数。
ッシュタイムアウト時にコネクションの両端にTCPリ
セットを送る。
ティビティなしの秒数。
ッションは期間終了時に消去(kill)される。
時および終了時に監査記録が生成される。
られるアラームコード値。
ドレスを含むホストグループ。
ル」あるいは「直接」)。
ップグループ 説明:IPアドレス、または、マップ先のホストIPア
ドレスを含むホストグループ。
ップタイプ 説明:実行されるマッピングのタイプ(例えば、「プー
ル」あるいは「直接」)。
デスティネーションポートを含むサービスグループ。参
照されるサービスグループ内のプロトコルおよびソース
ポートは無視される。
ル」あるいは「直接」)。
この限界に達するとルールは除去される。
な、このルールによって許可されるセッションの最大
数。この数が、指定された値を下回るまで、ルールはイ
ナクティブである。
アドレス。セッションキャプチャに用いられる。
ンアドレスおよびプロトコルに送る。新しいIPヘッダ
がパケットに追加される。
の場合、チェックは不要である。INの場合、入力セッ
ションはトンネリングされていなければならない。OU
Tの場合、パケットをトンネリングするアクションを開
始する。BOTHの場合、両方を行う。
処理が必要となるときを示す。NULLの場合、チェッ
クは不要である。INの場合、入力セッションはIPS
ECを用いて保護されていなければならない。OUTの
場合、IPSEC保護を追加するアクションを開始す
る。BOTHの場合、両方を行う。
ン。デフォルトはNOである。
トはNOである。
キャッシュに順チャネルおよび逆チャネルを生成する。
デフォルトはYESである。
ルは、「状態付き」パケットフィルタリングを利用する
ように設定することができる。状態付きパケットフィル
タリングは、パケットに適用されたルール処理の結果を
キャッシュに記憶することによって性能を改善する。状
態付きパケットフィルタリングは、受信パケットに対す
るルール処理結果をキャッシュし、その後、キャッシュ
された結果を利用して、同様のパケットに対するルール
処理を省略することにより実現される。例えば、与えら
れたネットワークセッションのパケットにルールセット
を適用した結果をキャッシュし、同じネットワークセッ
ションからの後続のパケットがファイアウォールに到着
したときに、前のパケットからのキャッシュされた結果
をその後続パケットに対して使用するようにする。これ
によって、入力パケットのそれぞれにルールセットを適
用する必要がなくなることにより、従来のファイアウォ
ールに比べて大幅な性能向上が実現する。
倍にもなり得るため、キャッシュの効率的使用は、(例
えばハッシュテーブルを用いた)索引付けを必要とする
ことがある。図4に示すように、キャッシュは「セッシ
ョンキー」、ハードウェアアドレス情報、インタフェー
ス情報、適用可能なルールの番号、アラームコード、統
計情報、および適用可能なアクションを含むことが可能
である。セッションキーは、パケット内で送信されるデ
ータに付加されたヘッダ項目を含み、実施例では、
(i)インターネットプロトコル(IP)ソースアドレ
ス、(ii)IPデスティネーションアドレス、(ii
i)次のレベルのプロトコル(例えば、伝送制御プロト
コル(TCP)またはユーザデータグラムプロトコル
(UDP))、(iv)プロトコルに関連づけられたソ
ースポート、および(v)プロトコルに関連づけられた
デスティネーションポート、を含む。図4では、セッシ
ョンキーに対して、項目(i)および(ii)は個別に
示されている。項目(iii)〜(v)は、略して「T
ELNET」および「MAIL」で表されている。
サポートエンジン(DSE(domainsupport engine))と
呼ぶ判断モジュール(エンジン)が、新しいネットワー
クセッションに対していずれのセキュリティポリシーを
使用すべきかを判断する。新しいセッションはそれぞ
れ、ソースドメインおよびデスティネーションドメイン
のセキュリティポリシーによって承認されなければなら
ない。インターネットへ向かうコネクションでは、単一
のドメインの検査のみが実行される可能性が高い。DS
Eは、入力または出力ネットワークインタフェースと、
各パケットのソースまたはデスティネーションネットワ
ークアドレスに基づいて、ドメイン選択を行う。ソース
またはデスティネーションのアドレスをパケットに含め
ることにより、複数のユーザが、単一のネットワークイ
ンタフェースによってサポートされることが可能とな
る。入力または出力ネットワークインタフェースは、ネ
ットワークインタフェースカード(NIC)(例えばイ
ンテル社(Intel Corporation)から市販されているIntel
EtherExpress Pro 100Bカード)の形態のものが可能で
ある。
ートするファイアウォールによるパケット処理の全体流
れ図である。このような処理は、パケットが流れて行く
ドメインを判断し、適用可能なルールを検査してパケッ
トが通ってもよいかどうかを確認し、特殊処理が必要か
どうかを判断することを含む。ファイアウォールでは、
各ドメインには1つ以上のネットワークインタフェース
が関係づけられる。複数のドメインをサポートするイン
タフェースは、IPアドレスレンジを用いて、パケット
を区別するように分離される。以下のステップが含まれ
る。
ファイアウォールにより受信される。
ョンキーが取得される。
トを受信したか、および、受信パケットのソースIPア
ドレスに基づいて、ソースドメインが、図7および図8
に関して別に後述するように判定される。ドメインが見
つからない場合、プロセスはステップ505に飛ぶ。
キーを用いて、ソースドメインのキャッシュでの一致を
探索する。キャッシュ内に一致があり、アクションが
「廃棄」の場合、パケットは廃棄され、プロセスはステ
ップ501に戻る。キャッシュ内に一致がない場合、ソ
ースドメインのルールセットで一致を探索する。ルール
で一致があり、アクションが「廃棄」でない場合、プロ
セスはステップ505に進む。ルールで一致があり、ア
クションが「廃棄」の場合、対応するエントリがキャッ
シュに含められ、パケットは廃棄され、プロセスはステ
ップ501に戻る。ルールで一致がない場合、パケット
は廃棄され、プロセスはステップ501に戻る。
ワーク(LAN)アドレスを用いて、しかも、ソースド
メインルールがデスティネーションインタフェースを指
定している場合には、そのデスティネーションインタフ
ェースおよびルーティングテーブルを用いて、デスティ
ネーションインタフェースが決定される。
スおよびパケットのデスティネーションアドレスを用い
て、デスティネーションドメインが決定される。デステ
ィネーションドメインが見つからない場合、または、デ
スティネーションドメインが直前に検査したドメインと
一致する場合、プロセスはステップ508に進む。
504で用いられるのと同様にして、デスティネーショ
ンドメインに関して、キャッシュルックアップと、必要
であればルールセットルックアップを行う。
ドレス変更(例えば、プロキシへの)を要求する場合、
あるいは、あるパケットを別のパケット内に挿入するこ
と(「トンネルオプション」)を要求する場合、プロセ
スは、変更されたデスティネーションに基づく処理のた
めにステップ505に戻る。
しても処理されなかった場合、ファイアウォール所有者
はいずれのアクセスルールにも従わないインタフェース
間の通信をサポートすることには関心がないので、その
パケットは廃棄可能である。
過」であった場合、パケットは適当なネットワークイン
タフェースへ送出される。
ンへの簡便なリンクのために、ドメインテーブルが用い
られる。インタフェースが複数のドメインによって共有
されている場合、アドレスレンジが含められる。これは
図7に例示されている。図7には、重複のないアドレス
レンジが示されている。
6で実行されるようなドメインテーブル処理を例示す
る。これには以下のステップが含まれる。
ス名が一致するものを探索する。
かった場合、しかも、IPアドレスレンジが一致するテ
ーブルエントリにある場合、パケットアドレスがそのレ
ンジ内にあるかどうかを検査する。レンジ内にある場
合、指定されたドメインが選択される。レンジ内にない
場合、次のテーブルから探索を継続する。
の終端に到達した場合、何のアクションもとらない。
な、外部からユーザに戻る別個の追加のネットワークセ
ッションを要求するタイプのプロトコルの場合、ルール
は、ユーザに戻るコネクションを許可する条件あるいは
マスクを含むことが可能である。ただしそれは、並行し
てアクティブである正当な順方向のコネクション(すな
わち、ソースとデスティネーションのアドレスを入れ替
えたコネクション)がある場合に限る。その結果、ファ
イアウォール上に別個のあるいはプロキシのアプリケー
ションが不要となる。
ンキャッシュに向けられた問合せを定義することができ
る。マスクで定義されるすべてのフィールドを、キャッ
シュ内の対応するフィールドと比較することによって、
一致の有無が判定される。マスク内の空フィールドは比
較に用いられない。
報、(b)そのパケットのソースインタフェース、およ
び(c)そのパケットが通過するために満たさなければ
ならない1つまたはいくつかの依存条件、を用いて、ネ
ットワークセッションの最初のパケットに対するルール
で定義することが可能である。このような最初のパケッ
トがファイアウォールによって処理されると、対応する
エントリがキャッシュに作られる。
で、依存関係マスク(「ヒットカウント」)を有するル
ールを示す。以下のような特殊な記号が、いくつかのホ
スト名にある。(i)「ドット」記号(.)は、対応す
るカテゴリのパケットデータを含めることを要求し、
(ii)キャレット記号(^)は、代わりに異なるカテ
ゴリからのパケットデータを含めることを要求する。
「ヒットカウント」は、指定されたアクションがとられ
るためにキャッシュ内に見つからなければならない一致
の数を示す。例えば、「REALAUDIO」という名
前の依存関係マスクでは、1個の必須のTCPセッショ
ンがアクティブである限り、UDPパケットを通過させ
るためにはカウント1が用いられる。依存関係マスク
「TELNET」では、リソースの過負荷を防ぐために
パケットを廃棄するように、カウント10が用いられ
る。
これは以下のステップを含む。
ーを抽出する。
を順に処理する。与えられたルールで一致が見つからな
い場合、プロセスはセット内の次のルールに進む。ルー
ルセットの終端まで一致が見つからない場合、パケット
は廃棄される。一致が見つかり、依存関係マスクフィー
ルドが空の場合、プロセスはステップ905に飛ぶ。
報が、キャッシュ探索構造体(例えば、問合せ)の形成
に含められる。依存関係マスクにおいてユーザ認証フラ
グがセットされている場合、キャッシュ探索構造体にお
ける対応するフラグがセットされる。このステップは、
ルールの問合せ部分を定義している。
造体と一致するものを探索し、一致のカウントを積算す
る。このステップは、ルールの問合せ部分を処理してい
る。
上である場合、ルールは選択され、そのルールに対応す
るアクションが実行される。このようなアクションは、
通過、廃棄あるいはプロキシを含むことが可能である。
また、対応するエントリがキャッシュに作られる。キャ
ッシュにおいて一致が見つからない場合、または、キャ
ッシュに見つかったエントリが「ヒットカウント」より
少ない場合、プロセスはステップ902に戻り、次のル
ールに進む。このステップは、問合せの結果に基づいて
ルールのアクション部分を処理している。
理は、ネットワークセッションの最初のパケットに対し
てのみ実行される。他のすべてのパケットのアクション
は、最初のパケットの処理後にセッションキャッシュに
保存されているので、他のすべてのパケットは、このル
ール探索機能を省略する。
クセスルールとともに処理するために、必要が生ずるの
に応じてアクセスルールとともに含められるルールであ
る。動的ルールは、例えば、特定のソースおよびデステ
ィネーションのポート番号のような、固有の現在の情報
を含むことが可能である。動的ルールは、信頼されたパ
ーティ、例えば、信頼されたアプリケーション、リモー
トプロキシあるいはファイアウォールアドミニストレー
タによって、特定のネットワークセッションに権限を与
えるためにいつでもロードされることが可能である。動
的ルールは、単一セッション用に設定されることも可能
であり、あるいは、その使用は期限付きとすることも可
能である。動的ルールによれば、ルールセット全体を再
ロードすることを必要とすることなく、与えられたルー
ルセットを、ネットワークで起こるイベントに基づいて
修正することが可能となる。
ンに対してのみ用いられる「ワンタイム」ルール、指定
された期間に対してのみ用いられる時限ルール、およ
び、ある条件が満たされたときにのみ用いられるしきい
値ルールがある。他のタイプの動的ルールとしては、ホ
ストグループを定義するルールがある。この動的ルール
によれば、アクセスルールセットの他の事項を変更せず
に、ホストを追加あるいは削除するようにホストグルー
プを変更することができる。他の動的ルールとしては、
ある特定のタイプの処理アプリケーションにおけるルー
ルセットアップを容易にするために用いられるものがあ
る。例えば、FTPプロキシアプリケーションは、動的
ルールを用いて、データ要求に応じてFTPデータチャ
ネルの確立の権限を与えることが可能である。この例に
おける動的ルールは、一般に、FTP制御セッションを
通じてデータ要求がなされるまではロードされず、ま
た、1回の使用に限定され、制限された期間の間のみア
クティブとされる。従って、ルールセットは、すべての
要求とともに用いられる別個のデータチャネルルールを
含む必要がない。その結果、ルール仕様およびルール処
理が単純化されるとともに、セキュリティが改善され
る。
ンを、処理のために他の「リモート」プロキシサーバに
リダイレクトした後、ファイアウォールを通じて目的の
デスティネーションへ渡すものである。新しいセッショ
ンがファイアウォールに入ると、プロキシサーバによる
サービスが要求されているかどうかが判定される。プロ
キシサーバによるサービスが要求されている場合、ファ
イアウォールは、パケット内のデスティネーションアド
レスを、プロキシアプリケーションのホストアドレスで
置き換える。必要であれば、ファイアウォールは、サー
ビスポートも変更することが可能である。プロキシアプ
リケーションは、そのセッションを受け取ると、デステ
ィネーションへのコネクションの権限が与えられている
かどうかを判定するために、ファイアウォールに対し
て、そのセッションのもとのデスティネーションアドレ
スを要求する。その後、プロキシが、自己のIPアドレ
スを用いてそのデスティネーションへのコネクションを
形成する場合、ファイアウォールによって提供されるサ
ービスを「単一反射」あるいは「一方向反射」という。
よっては、デスティネーションにおいてコネクションが
リモートシステムではなくもとのソースから来ているよ
うに見えなければならない場合がある。これは、例え
ば、ソースIPアドレスを検査して、要求されたサービ
スに対してサインアップしたユーザに一致するかどうか
を確認するサービスの場合に当てはまる。この能力は、
「二重反射」(あるいは「双方向反射」)によって提供
される。この場合、出コネクションのソースアドレスは
リモートプロキシからもとのユーザのソースアドレスに
変更される(戻される)。この変更は、各パケットがプ
ロキシから受信されてデスティネーションへ送られると
きに、ファイアウォールで行われる。
プリケーションは、ファイアウォールに対して、もとの
入ネットワークセッションの詳細を要求する。ファイア
ウォールは、出コネクションで用いるポート番号を返
す。このポート番号は固有のものであり、これによりフ
ァイアウォールは、ソースアドレスを正しいユーザソー
スアドレスにマッピングすることができるように、正し
い出コネクションを識別することができる。その結果、
プロキシアプリケーションは両方のパーティには見えな
い。
び図12を参照して以下で説明する実施例のように、動
的ルールを用いることが可能である。
これは、ファイアウォールにおける以下のステップを含
む。
よって受信される。
調べることによって、あるいは、キャッシュ内に見つか
らなければ、適当なルールセットを調べることによっ
て、パケットに関係づけられたアクションが判定され
る。アクションが「通過」または「プロキシ」である場
合、パケット処理は継続される。アクションが「廃棄」
である場合、パケットは廃棄される。
ル上でローカルにサポートされるプロキシアプリケーシ
ョンを示している場合、パケットは、プロトコルスタッ
クを通じて、待機中のプロキシアプリケーションへ送ら
れる。
を示している場合、パケットのデスティネーションアド
レスがリモートプロキシのアドレスで置き換えられる。
設定により、デスティネーションポートを変更すること
も可能である。もとのパケットヘッダデータが、変更さ
れた値とともにセッションキャッシュに記録される。
ーバへ転送される。
テップ1005に続く処理を例示する。これは以下のス
テップを含む。
ーバアプリケーションで受信される。
ウォールに対して、パケットのもとのセッションキーを
要求する。
ョンは、もとのセッションキーを用いて自己の機能(例
えば、自己のセキュリティモデルに基づいてコネクショ
ンを廃棄する、要求されたサービスを実行する、あるい
は、ユーザに代わってもとのデスティネーションアドレ
スと通信する)を実行する。リモートプロキシが単一反
射を用いている場合、プロセスはステップ1011に飛
ぶ。
ョンは、暗号化されたチャネルを通じて、ファイアウォ
ールに対して二重反射能力を要求する。
らのコネクションの固有性を保証する新しいデスティネ
ーションポート番号を決定する。ファイアウォールはこ
の新しいポート番号およびもとのセッションキーをプロ
キシアプリケーションに返す。
ョンは、ファイアウォールに対して、自己からもとのデ
スティネーションへのコネクションに対する許可を要求
する。
ルをロードしてこのアクションを実行する。
をファイアウォールに送る。ステップ1012でロード
された動的ルールに基づいて、ファイアウォールはパケ
ットをもとのデスティネーションへ転送する。二重反射
の場合、プロキシは、ステップ1010でファイアウォ
ールによって決定されたデスティネーションポートを使
用し、パケットがファイアウォール通過するときに、I
Pヘッダ値はもとの値に戻される。
べてのパケットは、ステップ1007および1009〜
1012を飛ばすことが可能であることを除いては、同
様に処理される。これは、セッションが生きている間、
同じ動的ルールが適用されるからである。
施することができる。例えば、本発明は、ダイヤルアッ
プアクセスゲートウェイにおけるファイアウォール性能
を改善するために使用可能である。本発明の別の実施例
では、ファイアウォールの第1部分がネットワークに存
在し、ファイアウォールの第2部分がセットトップボッ
クス、コンピュータあるいはその他の、家庭または会社
にあるユーザ端末にあるというように分散的にも実装可
能である。後者の実施例によれば、本発明のファイアウ
ォール技術は、例えば、家庭においてインターネットと
ビデオアクセスの親による制御を提供することが可能で
ある。
ンピュータネットワークファイアウォールは、パケット
を処理するためのアクセスルールのセットに追加された
動的ルールを利用することが可能である。動的ルールに
よれば、与えられたルールセットは、ルールセット全体
を再ロードすることを必要とせずに、ネットワークにお
いて起こるイベントに基づいて修正される。動的ルール
の例としては、単一のセッションに対してのみ用いられ
る「ワンタイム」ルール、指定された期間に対してのみ
用いられる時限ルール、および、ある条件が満たされた
ときにのみ用いられるしきい値ルールがある。他のタイ
プの動的ルールとしては、ホストグループを定義するル
ールがある。この動的ルールによれば、アクセスルール
セットの他の事項を変更せずに、ホストを追加あるいは
削除するようにホストグループを変更することができ
る。
提供するローカルエリアネットワークを通じてインター
ネットに接続されたいくつかのユーザサイトあるいはド
メインの図である。
ルを有するユーザサイトの図である。
の全体流れ図である。
の全体流れ図である。
の一部の流れ図である。
の流れ図である。
の流れ図である。
Claims (20)
- 【請求項1】 コンピュータネットワークにおけるファ
イアウォールサービスの提供方法において、 (A) 指定された条件下で、現在ロードされているア
クセスルールセット(以下初期アクセスルールセットと
称する)の作用を変更する動的ルールを、前記初期アク
セスルールセットに、含めることによって、前記初期ア
クセスルールセット内の変更する必要のないルールを再
ロードすることなく、拡張ルールセットを形成するステ
ップと、 (B) パケットを検証する際に、前記拡張ルールセッ
トを用いるステップとからなり、 前記動的ルールは、該動的ルールによって参照されるデ
ータセットに関係づけられ、該データセット内のデータ
は、アクセスルール自体を変更することなく、該アクセ
スルールセットの作用を変更するように変更可能である
ことを特徴とするファイアウォールサービス提供方法。 - 【請求項2】 前記ファイアウォールサービスは、ファ
イアウォールによって提供され、 前記初期アクセスルールセットの作用の変更は、前記フ
ァイアウォールを通って存在するいずれのコネクション
を失うことなく実行されることを特徴とする請求項1に
記載の方法。 - 【請求項3】 前記ファイアウォールサービスは、ファ
イアウォールによって提供され、 前記初期アクセスルールセットの作用の変更は、前記フ
ァイアウォールを通って存在するコネクションの大部分
を失うことなく実行されることを特徴とする請求項1に
記載の方法。 - 【請求項4】 前記ファイアウォールサービスは、ファ
イアウォールによって提供され、 前記ファイアウォールは、キャッシュを用いて、前記フ
ァイアウォールを通るパケットを処理し、前記キャッシ
ュの内容は、前記初期アクセスルールセットの作用の変
更によっても不変のままであることを特徴とする請求項
1に記載の方法。 - 【請求項5】 前記ファイアウォールサービスは、ファ
イアウォールサービスを行う複数のドメインによって提
供され、 前記初期アクセスルールセットの作用の変更は、前記複
数のドメインのうちの1つのドメインに関係づけられた
ルールセットに関連して実行され、他のドメインは、前
記変更が実行されるときに前記ファイアウォールを通っ
て存在するすべてのコネクションを失うことなく動作を
継続することを特徴とする請求項1に記載の方法。 - 【請求項6】 前記ファイアウォールサービスは、ファ
イアウォールサービスを行う複数のドメインによって提
供され、 前記初期アクセスルールセットの作用の変更は、前記複
数のドメインのうちの1つのドメインに関係づけられた
ルールセットに関連して実行され、他のドメインは、前
記変更が実行されるときに前記ファイアウォールを通っ
て存在するコネクションの大部分を失うことなく動作を
継続することを特徴とする請求項1に記載の方法。 - 【請求項7】 前記動的ルールは、前記パケットが伝送
のために満たさなければならない時間条件を含むことを
特徴とする請求項1に記載の方法。 - 【請求項8】 前記動的ルールは、寿命が指定されてい
る場合に、該寿命の終了時に削除されることを特徴とす
る請求項1に記載の方法。 - 【請求項9】 前記動的ルールは、単一のネットワーク
セッションに対して作用することを特徴とする請求項1
に記載の方法。 - 【請求項10】 前記動的ルールは、リモートプロキシ
からデスティネーションまでのコネクションに関する情
報を含むことを特徴とする請求項1に記載の方法。 - 【請求項11】 前記動的ルールは、ファイル転送プロ
トコル(FTP)において、データ要求に応答して、フ
ァイル転送プロトコル(FTP)データチャネルを確立
すべきかどうかを判定するためにプロキシによって適用
されることを特徴とする請求項1に記載の方法。 - 【請求項12】 前記動的ルールは、しきい値条件を指
定し、かくして前記動的ルールは、前記しきい値条件が
満たされるときにのみ使用されることを特徴とする請求
項1に記載の方法。 - 【請求項13】 前記データセットはホストグループを
定義し、該ホストグループは、前記アクセスルールセッ
トの他の部分を変更することなく、複数のホストを追加
または削除するように修正可能であることを特徴とする
請求項1に記載の方法。 - 【請求項14】 コンピュータネットワークにファイア
ウォールサービスを提供するコンピュータシステムにお
いて、 (A) アクセスルールセットをロードするメモリと、 (B) 前記メモリに接続され、(i) 指定された条
件下で、現在ロードされているアクセスルールセット
(以下初期アクセスルールセットと称する)の作用を変
更するよう作用する動的ルールを、前記初期アクセスル
ールセットに、含めることによって、前記初期アクセス
ルールセット内の変更する必要のないルールを再ロード
することなく、拡張ルールセットを形成し、(ii)
パケットを検証する際に前記拡張ルールセットを用いる
プロセッサとからなり、 前記動的ルールは、該動的ルールによって参照されるデ
ータセットに関係づけられ、該データセット内のデータ
は、ルール自体を変更することなく該ルールセットの作
用を変更するように変更可能であることを特徴とするコ
ンピュータシステム。 - 【請求項15】 コンピュータネットワークにファイア
ウォールサービスを提供するコンピュータシステムにお
いて、 (A) 指定された条件下で、現在ロードされているア
クセスルールセット(以下初期アクセスルールセットと
称する)の作用を変更するように作用する動的ルール
を、前記現在ロードされている初期アクセスルールセッ
ト内に含めることによって、前記現在ロードされている
初期アクセスルールセットの変更不要のルールを再ロー
ドすることなく、拡張ルールセットを形成する手段と、 (B) パケットを検証するのに前記拡張ルールセット
を用いる手段とからなり、 前記動的ルールは、該動的ルールによって参照されるデ
ータセットに関係づけられ、該データセット内のデータ
は、ルール自体を変更することなく該ルールセットの作
用を変更するように変更可能であることを特徴とするコ
ンピュータシステム。 - 【請求項16】 コンピュータネットワークにファイア
ウォールサービスの提供方法において、 (A) 指定された条件下で、ロードされたアクセスル
ールセット(以下初期アクセスルールセットと称する)
の作用を変更するように作用する動的ルールを、前記ロ
ードされた初期アクセスルールセット内に含めることに
よって、前記ロードされた初期アクセスルールセットの
変更不要のルールを再ロードすることなく、拡張ルール
セットを形成するステップと、 (B) パケットを検証するのに前記拡張ルールセット
を用いるステップとからなり、 前記動的ルールは、該動的ルールによって参照されるデ
ータセットに関係づけられ、該データセット内のデータ
は、ルール自体を変更することなく該ルールセットの作
用を変更するように変更可能であり、 前記初期アクセスルールの動的ルールではない非動的ル
ールは、該非動的ルールによって参照されるデータセッ
トに関係づけられ、該データセット内のデータは、ルー
ル自体を変更することなく該ルールの作用を変更するよ
うに変更可能であることを特徴とするファイアウォール
サービスの提供方法。 - 【請求項17】 前記データセットはホストグループを
定義し、該ホストグループは、前記初期アクセスルール
セットの他の部分を変更することなく、複数のホストを
追加または削除するように修正可能であることを特徴と
する請求項16に記載の方法。 - 【請求項18】 コンピュータネットワークにおけるフ
ァイアウォールサービスの提供方法において、 (A) ルールセットをロードするステップと、 (B) ロードした前記ルールセットの修正されていな
いルールを再ロードすることなく前記ルールセットを修
正する修正ステップとからなり、 前記ルールは、動的ルールであり、前記動的ルールは、
該動的ルールによって参照されるデータセットに関係づ
けられ、該データセット内のデータは、ルール自体を変
更することなく該ルールの作用を変更するように変更可
能であることを特徴とするファイアウォールサービス提
供方法。 - 【請求項19】 コンピュータネットワークにおけるフ
ァイアウォールサービスの提供方法において、 (A) 指定された条件下で、直前にロードされたアク
セスルールセット(以下初期アクセスルールと称する)
の作用を変更するように作用する動的ルールを前記直前
にロードされた初期アクセスルールセットに含めること
によって、前記初期アクセスルールセットの変更不要の
ルールを消去することなく、拡張ルールセットを形成す
るステップと、 (B) パケットを検証するのに前記拡張ルールセット
を用いるステップとからなり、前記動的ルールは、 該動的ルールによって参照されるデ
ータセットに関係づけられ、該データセット内のデータ
は、ルール自体を変更することなく該ルールの作用を変
更するように変更可能であることを特徴とするファイア
ウォールサービス提供方法。 - 【請求項20】 コンピュータネットワークにファイア
ウォールサービスの提供方法において、 (A) 指定された条件下で、すでにロードされたアク
セスルールセット(以下初期アクセスルールセットと称
する)の作用を変更するように作用する動的ルールを、
前記初期アクセスルールセットに含めることによって、
前記すでにロードされた初期アクセスルールセットの変
更不要のルールを消去することなく、拡張ルールセット
を形成するステップと、 (B) パケットを検証するのに前記拡張ルールセット
を用いるステップとからなり、前記動的ルールは、 該動的ルールによって参照されるデ
ータセットに関係づけられ、該データセット内のデータ
は、ルール自体を変更することなく該ルールの作用を変
更するように変更可能であることを特徴とするファイア
ウォールサービスの提供方法。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US08/928,796 US6154775A (en) | 1997-09-12 | 1997-09-12 | Methods and apparatus for a computer network firewall with dynamic rule processing with the ability to dynamically alter the operations of rules |
US08/928796 | 1997-09-12 |
Publications (2)
Publication Number | Publication Date |
---|---|
JPH11167538A JPH11167538A (ja) | 1999-06-22 |
JP3443529B2 true JP3443529B2 (ja) | 2003-09-02 |
Family
ID=25456777
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP25282998A Expired - Lifetime JP3443529B2 (ja) | 1997-09-12 | 1998-09-07 | ファイアウォールサービスを提供する方法と、ファイアウォールサービスを提供するコンピュータシステム |
Country Status (3)
Country | Link |
---|---|
US (1) | US6154775A (ja) |
EP (1) | EP0910197A3 (ja) |
JP (1) | JP3443529B2 (ja) |
Families Citing this family (183)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6791947B2 (en) | 1996-12-16 | 2004-09-14 | Juniper Networks | In-line packet processing |
EP0968596B1 (en) | 1997-03-12 | 2007-07-18 | Nomadix, Inc. | Nomadic translator or router |
US7143438B1 (en) * | 1997-09-12 | 2006-11-28 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with multiple domain support |
US6233618B1 (en) * | 1998-03-31 | 2001-05-15 | Content Advisor, Inc. | Access control of networked data |
US6779118B1 (en) | 1998-05-04 | 2004-08-17 | Auriq Systems, Inc. | User specific automatic data redirection system |
JPH11338798A (ja) * | 1998-05-27 | 1999-12-10 | Ntt Communication Ware Kk | ネットワークシステムおよびプログラムを記録したコンピュータ読み取り可能な記録媒体 |
US6876653B2 (en) * | 1998-07-08 | 2005-04-05 | Broadcom Corporation | Fast flexible filter processor based architecture for a network device |
CA2287813C (en) * | 1998-10-22 | 2005-03-29 | At&T Corp. | System and method for network load balancing |
US6574666B1 (en) * | 1998-10-22 | 2003-06-03 | At&T Corp. | System and method for dynamic retrieval loading and deletion of packet rules in a network firewall |
US6466976B1 (en) * | 1998-12-03 | 2002-10-15 | Nortel Networks Limited | System and method for providing desired service policies to subscribers accessing the internet |
US8266266B2 (en) | 1998-12-08 | 2012-09-11 | Nomadix, Inc. | Systems and methods for providing dynamic network authorization, authentication and accounting |
US7194554B1 (en) | 1998-12-08 | 2007-03-20 | Nomadix, Inc. | Systems and methods for providing dynamic network authorization authentication and accounting |
US8713641B1 (en) | 1998-12-08 | 2014-04-29 | Nomadix, Inc. | Systems and methods for authorizing, authenticating and accounting users having transparent computer access to a network using a gateway device |
US7133511B2 (en) * | 1998-12-11 | 2006-11-07 | Securelogix Corporation | Telephony security system |
US6687353B1 (en) | 1998-12-11 | 2004-02-03 | Securelogix Corporation | System and method for bringing an in-line device on-line and assuming control of calls |
US6226372B1 (en) * | 1998-12-11 | 2001-05-01 | Securelogix Corporation | Tightly integrated cooperative telecommunications firewall and scanner with distributed capabilities |
US6760420B2 (en) * | 2000-06-14 | 2004-07-06 | Securelogix Corporation | Telephony security system |
US6249575B1 (en) | 1998-12-11 | 2001-06-19 | Securelogix Corporation | Telephony security system |
CA2296989C (en) * | 1999-01-29 | 2005-10-25 | Lucent Technologies Inc. | A method and apparatus for managing a firewall |
US6701432B1 (en) * | 1999-04-01 | 2004-03-02 | Netscreen Technologies, Inc. | Firewall including local bus |
US6347376B1 (en) * | 1999-08-12 | 2002-02-12 | International Business Machines Corp. | Security rule database searching in a network security environment |
US6505192B1 (en) * | 1999-08-12 | 2003-01-07 | International Business Machines Corporation | Security rule processing for connectionless protocols |
US6754832B1 (en) * | 1999-08-12 | 2004-06-22 | International Business Machines Corporation | Security rule database searching in a network security environment |
US6715081B1 (en) * | 1999-08-12 | 2004-03-30 | International Business Machines Corporation | Security rule database searching in a network security environment |
JP4316737B2 (ja) * | 1999-08-23 | 2009-08-19 | マスプロ電工株式会社 | ケーブルモデムシステム |
US6751677B1 (en) * | 1999-08-24 | 2004-06-15 | Hewlett-Packard Development Company, L.P. | Method and apparatus for allowing a secure and transparent communication between a user device and servers of a data access network system via a firewall and a gateway |
NO995081D0 (no) * | 1999-10-18 | 1999-10-18 | Ericsson Telefon Ab L M | Anordning for H.323 proxy |
US6792463B1 (en) * | 1999-10-21 | 2004-09-14 | International Business Machines Corporation | System, method and program product for providing invisibility to a proxy-server |
WO2001031885A2 (en) | 1999-10-22 | 2001-05-03 | Nomadix, Inc. | Gateway device having an xml interface and associated method |
AU1224201A (en) | 1999-10-22 | 2001-05-08 | Nomadix, Inc. | Systems and methods for dynamic bandwidth management on a per subscriber basis in a communications network |
US6738901B1 (en) * | 1999-12-15 | 2004-05-18 | 3M Innovative Properties Company | Smart card controlled internet access |
US6779120B1 (en) * | 2000-01-07 | 2004-08-17 | Securify, Inc. | Declarative language for specifying a security policy |
US7143439B2 (en) * | 2000-01-07 | 2006-11-28 | Security, Inc. | Efficient evaluation of rules |
US8074256B2 (en) * | 2000-01-07 | 2011-12-06 | Mcafee, Inc. | Pdstudio design system and method |
US8176551B1 (en) * | 2000-01-27 | 2012-05-08 | Trapware Corporation | Detection of observer programs and countermeasures against observer programs |
US7908652B1 (en) | 2001-12-21 | 2011-03-15 | Trapware Corporation | Detection of observers and countermeasures against observers |
US6675223B1 (en) * | 2000-04-10 | 2004-01-06 | International Business Machines Corporation | Method and apparatus for processing frames using static and dynamic classifiers |
GB0008952D0 (en) | 2000-04-12 | 2000-05-31 | Mitel Corp | Dynamic rule sets for generated logs |
US6931437B2 (en) * | 2000-04-27 | 2005-08-16 | Nippon Telegraph And Telephone Corporation | Concentrated system for controlling network interconnections |
US6914905B1 (en) | 2000-06-16 | 2005-07-05 | Extreme Networks, Inc. | Method and system for VLAN aggregation |
US6950947B1 (en) | 2000-06-20 | 2005-09-27 | Networks Associates Technology, Inc. | System for sharing network state to enhance network throughput |
US7031267B2 (en) * | 2000-12-21 | 2006-04-18 | 802 Systems Llc | PLD-based packet filtering methods with PLD configuration data update of filtering rules |
US7120931B1 (en) * | 2000-08-31 | 2006-10-10 | Cisco Technology, Inc. | System and method for generating filters based on analyzed flow data |
GB0022485D0 (en) * | 2000-09-13 | 2000-11-01 | Apl Financial Services Oversea | Monitoring network activity |
US6826698B1 (en) * | 2000-09-15 | 2004-11-30 | Networks Associates Technology, Inc. | System, method and computer program product for rule based network security policies |
US7227862B2 (en) * | 2000-09-20 | 2007-06-05 | Broadcom Corporation | Network switch having port blocking capability |
US8150013B2 (en) * | 2000-11-10 | 2012-04-03 | Securelogix Corporation | Telephony security system |
US7325058B1 (en) | 2000-11-13 | 2008-01-29 | Cisco Technology, Inc. | Method and system for controlling subscriber access in a network capable of establishing connections with a plurality of domain sites |
US6874030B1 (en) * | 2000-11-13 | 2005-03-29 | Cisco Technology, Inc. | PPP domain name and L2TP tunnel selection configuration override |
US20020078382A1 (en) * | 2000-11-29 | 2002-06-20 | Ali Sheikh | Scalable system for monitoring network system and components and methodology therefore |
US7333505B2 (en) * | 2000-12-18 | 2008-02-19 | Nortel Networks Limited | Transaction management for interworking between disparate networks |
US6912592B2 (en) * | 2001-01-05 | 2005-06-28 | Extreme Networks, Inc. | Method and system of aggregate multiple VLANs in a metropolitan area network |
FI20010267A0 (fi) | 2001-02-13 | 2001-02-13 | Stonesoft Oy | Tietoturvagatewayn tilatietojen synkronointi |
US7139276B1 (en) | 2001-02-27 | 2006-11-21 | Cisco Technology, Inc. | Load sharing between L2TP tunnels |
US7284267B1 (en) | 2001-03-08 | 2007-10-16 | Mcafee, Inc. | Automatically configuring a computer firewall based on network connection |
US7023879B1 (en) | 2001-03-09 | 2006-04-04 | Cisco Technology, Inc. | Dynamic multi-hop ingress to egress L2TP tunnel mapping |
US7093280B2 (en) * | 2001-03-30 | 2006-08-15 | Juniper Networks, Inc. | Internet security system |
US7095716B1 (en) | 2001-03-30 | 2006-08-22 | Juniper Networks, Inc. | Internet security device and method |
EP1413096B1 (en) * | 2001-04-18 | 2010-01-27 | Trilliant Networks, Inc. | Network channel access protocol - interference and load adaptive |
US6816455B2 (en) | 2001-05-09 | 2004-11-09 | Telecom Italia S.P.A. | Dynamic packet filter utilizing session tracking |
US20020198994A1 (en) * | 2001-05-15 | 2002-12-26 | Charles Patton | Method and system for enabling and controlling communication topology, access to resources, and document flow in a distributed networking environment |
US7069330B1 (en) * | 2001-07-05 | 2006-06-27 | Mcafee, Inc. | Control of interaction between client computer applications and network resources |
WO2003010946A1 (en) * | 2001-07-23 | 2003-02-06 | Securelogix Corporation | Encapsulation, compression and encryption of pcm data |
US20030187977A1 (en) * | 2001-07-24 | 2003-10-02 | At&T Corp. | System and method for monitoring a network |
US7165100B2 (en) * | 2001-07-24 | 2007-01-16 | At&T Corp. | Method and apparatus for packet analysis in a network |
US20030037141A1 (en) * | 2001-08-16 | 2003-02-20 | Gary Milo | Heuristic profiler software features |
US7302700B2 (en) * | 2001-09-28 | 2007-11-27 | Juniper Networks, Inc. | Method and apparatus for implementing a layer 3/layer 7 firewall in an L2 device |
US7370353B2 (en) * | 2001-11-05 | 2008-05-06 | Cisco Technology, Inc. | System and method for managing dynamic network sessions |
US20030093689A1 (en) * | 2001-11-15 | 2003-05-15 | Aladdin Knowledge Systems Ltd. | Security router |
US7953087B1 (en) * | 2001-12-28 | 2011-05-31 | The Directv Group, Inc. | Content filtering using static source routes |
US8209756B1 (en) | 2002-02-08 | 2012-06-26 | Juniper Networks, Inc. | Compound attack detection in a computer network |
US8370936B2 (en) * | 2002-02-08 | 2013-02-05 | Juniper Networks, Inc. | Multi-method gateway-based network security systems and methods |
US7734752B2 (en) | 2002-02-08 | 2010-06-08 | Juniper Networks, Inc. | Intelligent integrated network security device for high-availability applications |
US7650634B2 (en) | 2002-02-08 | 2010-01-19 | Juniper Networks, Inc. | Intelligent integrated network security device |
US7719980B2 (en) * | 2002-02-19 | 2010-05-18 | Broadcom Corporation | Method and apparatus for flexible frame processing and classification engine |
US7185365B2 (en) * | 2002-03-27 | 2007-02-27 | Intel Corporation | Security enabled network access control |
US7092527B2 (en) | 2002-04-18 | 2006-08-15 | International Business Machines Corporation | Method, system and program product for managing a size of a key management block during content distribution |
US20040162994A1 (en) * | 2002-05-13 | 2004-08-19 | Sandia National Laboratories | Method and apparatus for configurable communication network defenses |
US20030212901A1 (en) * | 2002-05-13 | 2003-11-13 | Manav Mishra | Security enabled network flow control |
US20040153574A1 (en) * | 2002-05-13 | 2004-08-05 | Sandia National Laboratories | Method and apparatus for specifying communication indication matching and/or responses |
US6800321B1 (en) | 2002-05-29 | 2004-10-05 | The Regents Of The University Of California | Reduced AC losses in HTS coated conductors |
US7657616B1 (en) | 2002-06-10 | 2010-02-02 | Quest Software, Inc. | Automatic discovery of users associated with screen names |
EP1552414A4 (en) * | 2002-06-10 | 2010-11-24 | Akonix Systems Inc | SYSTEM AND METHOD FOR A PROTOCOL GATEWAY |
US7707401B2 (en) * | 2002-06-10 | 2010-04-27 | Quest Software, Inc. | Systems and methods for a protocol gateway |
US7818565B2 (en) | 2002-06-10 | 2010-10-19 | Quest Software, Inc. | Systems and methods for implementing protocol enforcement rules |
US7428590B2 (en) * | 2002-06-10 | 2008-09-23 | Akonix Systems, Inc. | Systems and methods for reflecting messages associated with a target protocol within a network |
US20080196099A1 (en) * | 2002-06-10 | 2008-08-14 | Akonix Systems, Inc. | Systems and methods for detecting and blocking malicious content in instant messages |
US7774832B2 (en) * | 2002-06-10 | 2010-08-10 | Quest Software, Inc. | Systems and methods for implementing protocol enforcement rules |
US6983323B2 (en) * | 2002-08-12 | 2006-01-03 | Tippingpoint Technologies, Inc. | Multi-level packet screening with dynamically selected filtering criteria |
FI20021802A (fi) * | 2002-10-09 | 2004-04-10 | Tycho Technologies Oy | Hajautetun palomuurin hallinta |
US7490348B1 (en) | 2003-03-17 | 2009-02-10 | Harris Technology, Llc | Wireless network having multiple communication allowances |
US20050021683A1 (en) * | 2003-03-27 | 2005-01-27 | Chris Newton | Method and apparatus for correlating network activity through visualizing network data |
US7325002B2 (en) * | 2003-04-04 | 2008-01-29 | Juniper Networks, Inc. | Detection of network security breaches based on analysis of network record logs |
US7308711B2 (en) * | 2003-06-06 | 2007-12-11 | Microsoft Corporation | Method and framework for integrating a plurality of network policies |
US7926113B1 (en) | 2003-06-09 | 2011-04-12 | Tenable Network Security, Inc. | System and method for managing network vulnerability analysis systems |
US7359983B1 (en) * | 2003-06-24 | 2008-04-15 | Nvidia Corporation | Fragment processing utilizing cross-linked tables |
US20050018693A1 (en) * | 2003-06-27 | 2005-01-27 | Broadcom Corporation | Fast filtering processor for a highly integrated network device |
US20060288101A1 (en) * | 2003-08-19 | 2006-12-21 | Key Systems, Inc. | Multipurpose Interface and Control System |
US20050050060A1 (en) * | 2003-08-27 | 2005-03-03 | Gerard Damm | Data structure for range-specified algorithms |
US7792963B2 (en) * | 2003-09-04 | 2010-09-07 | Time Warner Cable, Inc. | Method to block unauthorized network traffic in a cable data network |
US7421734B2 (en) * | 2003-10-03 | 2008-09-02 | Verizon Services Corp. | Network firewall test methods and apparatus |
US7886350B2 (en) | 2003-10-03 | 2011-02-08 | Verizon Services Corp. | Methodology for measurements and analysis of protocol conformance, performance and scalability of stateful border gateways |
US7853996B1 (en) * | 2003-10-03 | 2010-12-14 | Verizon Services Corp. | Methodology, measurements and analysis of performance and scalability of stateful border gateways |
US7886348B2 (en) * | 2003-10-03 | 2011-02-08 | Verizon Services Corp. | Security management system for monitoring firewall operation |
US7787471B2 (en) * | 2003-11-10 | 2010-08-31 | Broadcom Corporation | Field processor for a network device |
US20050131835A1 (en) * | 2003-12-12 | 2005-06-16 | Howell James A.Jr. | System for pre-trusting of applications for firewall implementations |
FR2865337B1 (fr) * | 2004-01-15 | 2006-05-05 | Thomson Licensing Sa | Systeme et procede de securite pour coupe-feu et produit associe |
US20050240758A1 (en) * | 2004-03-31 | 2005-10-27 | Lord Christopher J | Controlling devices on an internal network from an external network |
US20050229246A1 (en) * | 2004-03-31 | 2005-10-13 | Priya Rajagopal | Programmable context aware firewall with integrated intrusion detection system |
US7761918B2 (en) * | 2004-04-13 | 2010-07-20 | Tenable Network Security, Inc. | System and method for scanning a network |
CA2467603A1 (en) | 2004-05-18 | 2005-11-18 | Ibm Canada Limited - Ibm Canada Limitee | Visualization firewall rules in an auto provisioning environment |
US8051207B2 (en) | 2004-06-25 | 2011-11-01 | Citrix Systems, Inc. | Inferring server state in s stateless communication protocol |
US7475424B2 (en) * | 2004-09-02 | 2009-01-06 | International Business Machines Corporation | System and method for on-demand dynamic control of security policies/rules by a client computing device |
US20060059558A1 (en) | 2004-09-15 | 2006-03-16 | John Selep | Proactive containment of network security attacks |
US20070266431A1 (en) * | 2004-11-04 | 2007-11-15 | Nec Corporation | Firewall Inspecting System and Firewall Information Extraction System |
US7937755B1 (en) * | 2005-01-27 | 2011-05-03 | Juniper Networks, Inc. | Identification of network policy violations |
US7797411B1 (en) | 2005-02-02 | 2010-09-14 | Juniper Networks, Inc. | Detection and prevention of encapsulated network attacks using an intermediate device |
US20060190998A1 (en) | 2005-02-17 | 2006-08-24 | At&T Corp | Determining firewall rules for reverse firewalls |
US20060203824A1 (en) * | 2005-02-18 | 2006-09-14 | Song-Huo Yu | Passing values through a memory management unit of a network device |
US20060187936A1 (en) * | 2005-02-18 | 2006-08-24 | Broadcom Corporation | Table searching techniques in a network device |
US20060187924A1 (en) * | 2005-02-18 | 2006-08-24 | Broadcom Corporation | Ingress handling of data in a network device |
US20060187832A1 (en) * | 2005-02-18 | 2006-08-24 | Broadcom Corporation | Filter based range check in a network device |
US20060187919A1 (en) * | 2005-02-18 | 2006-08-24 | Broadcom Corporation | Two stage parser for a network |
US20060187923A1 (en) * | 2005-02-18 | 2006-08-24 | Broadcom Corporation | Dynamic filter processor key generation based on packet type |
US20060187948A1 (en) * | 2005-02-18 | 2006-08-24 | Broadcom Corporation | Layer two and layer three virtual private network support in a network device |
US7665128B2 (en) | 2005-04-08 | 2010-02-16 | At&T Corp. | Method and apparatus for reducing firewall rules |
US8161554B2 (en) * | 2005-04-26 | 2012-04-17 | Cisco Technology, Inc. | System and method for detection and mitigation of network worms |
US8984636B2 (en) | 2005-07-29 | 2015-03-17 | Bit9, Inc. | Content extractor and analysis system |
US7895651B2 (en) | 2005-07-29 | 2011-02-22 | Bit 9, Inc. | Content tracking in a network security system |
US8272058B2 (en) | 2005-07-29 | 2012-09-18 | Bit 9, Inc. | Centralized timed analysis in a network security system |
US7746862B1 (en) | 2005-08-02 | 2010-06-29 | Juniper Networks, Inc. | Packet processing in a multiple processor system |
US8364949B1 (en) * | 2005-11-01 | 2013-01-29 | Juniper Networks, Inc. | Authentication for TCP-based routing and management protocols |
EP1946217A2 (en) * | 2005-11-03 | 2008-07-23 | Akonix Systems, Inc. | Systems and methods for remote rogue protocol enforcement |
US8027251B2 (en) * | 2005-11-08 | 2011-09-27 | Verizon Services Corp. | Systems and methods for implementing protocol-aware network firewall |
US9374342B2 (en) | 2005-11-08 | 2016-06-21 | Verizon Patent And Licensing Inc. | System and method for testing network firewall using fine granularity measurements |
US7869411B2 (en) * | 2005-11-21 | 2011-01-11 | Broadcom Corporation | Compact packet operation device and method |
US8170021B2 (en) * | 2006-01-06 | 2012-05-01 | Microsoft Corporation | Selectively enabled quality of service policy |
US7793094B2 (en) * | 2006-04-18 | 2010-09-07 | Cisco Technology, Inc. | HTTP cookie protection by a network security device |
US8122492B2 (en) * | 2006-04-21 | 2012-02-21 | Microsoft Corporation | Integration of social network information and network firewalls |
US8079073B2 (en) * | 2006-05-05 | 2011-12-13 | Microsoft Corporation | Distributed firewall implementation and control |
US8176157B2 (en) * | 2006-05-18 | 2012-05-08 | Microsoft Corporation | Exceptions grouping |
US8353020B2 (en) * | 2006-06-14 | 2013-01-08 | Microsoft Corporation | Transparently extensible firewall cluster |
US7603333B2 (en) * | 2006-06-14 | 2009-10-13 | Microsoft Corporation | Delayed policy evaluation |
US7886351B2 (en) * | 2006-06-19 | 2011-02-08 | Microsoft Corporation | Network aware firewall |
US7966655B2 (en) * | 2006-06-30 | 2011-06-21 | At&T Intellectual Property Ii, L.P. | Method and apparatus for optimizing a firewall |
WO2008042804A2 (en) | 2006-09-29 | 2008-04-10 | Nomadix, Inc. | Systems and methods for injecting content |
US8099774B2 (en) * | 2006-10-30 | 2012-01-17 | Microsoft Corporation | Dynamic updating of firewall parameters |
US8966619B2 (en) * | 2006-11-08 | 2015-02-24 | Verizon Patent And Licensing Inc. | Prevention of denial of service (DoS) attacks on session initiation protocol (SIP)-based systems using return routability check filtering |
US9473529B2 (en) | 2006-11-08 | 2016-10-18 | Verizon Patent And Licensing Inc. | Prevention of denial of service (DoS) attacks on session initiation protocol (SIP)-based systems using method vulnerability filtering |
US8484733B2 (en) | 2006-11-28 | 2013-07-09 | Cisco Technology, Inc. | Messaging security device |
CA2714549A1 (en) * | 2007-02-09 | 2008-08-14 | Smobile Systems, Inc. | Off-line mms malware scanning system and method |
US7953895B1 (en) | 2007-03-07 | 2011-05-31 | Juniper Networks, Inc. | Application identification |
US8392981B2 (en) * | 2007-05-09 | 2013-03-05 | Microsoft Corporation | Software firewall control |
US8522344B2 (en) * | 2007-06-29 | 2013-08-27 | Verizon Patent And Licensing Inc. | Theft of service architectural integrity validation tools for session initiation protocol (SIP)-based systems |
US8302186B2 (en) | 2007-06-29 | 2012-10-30 | Verizon Patent And Licensing Inc. | System and method for testing network firewall for denial-of-service (DOS) detection and prevention in signaling channel |
JP2009111437A (ja) * | 2007-10-26 | 2009-05-21 | Hitachi Ltd | ネットワークシステム |
ATE536696T1 (de) * | 2009-04-01 | 2011-12-15 | Nokia Siemens Networks Oy | Verfahren und vorrichtung zur umorganisation von filtern |
US20110030037A1 (en) | 2009-07-07 | 2011-02-03 | Vadim Olshansky | Zone migration in network access |
US8438270B2 (en) * | 2010-01-26 | 2013-05-07 | Tenable Network Security, Inc. | System and method for correlating network identities and addresses |
US8302198B2 (en) | 2010-01-28 | 2012-10-30 | Tenable Network Security, Inc. | System and method for enabling remote registry service security audits |
US8707440B2 (en) * | 2010-03-22 | 2014-04-22 | Tenable Network Security, Inc. | System and method for passively identifying encrypted and interactive network sessions |
US8549650B2 (en) | 2010-05-06 | 2013-10-01 | Tenable Network Security, Inc. | System and method for three-dimensional visualization of vulnerability and asset data |
CN102255909B (zh) * | 2011-07-11 | 2014-07-02 | 北京星网锐捷网络技术有限公司 | 监控会话流的方法及装置 |
US9367707B2 (en) | 2012-02-23 | 2016-06-14 | Tenable Network Security, Inc. | System and method for using file hashes to track data leakage and document propagation in a network |
US20130238782A1 (en) * | 2012-03-09 | 2013-09-12 | Alcatel-Lucent Usa Inc. | Method and apparatus for identifying an application associated with an ip flow using dns data |
US9043920B2 (en) | 2012-06-27 | 2015-05-26 | Tenable Network Security, Inc. | System and method for identifying exploitable weak points in a network |
US9088606B2 (en) | 2012-07-05 | 2015-07-21 | Tenable Network Security, Inc. | System and method for strategic anti-malware monitoring |
US9467464B2 (en) | 2013-03-15 | 2016-10-11 | Tenable Network Security, Inc. | System and method for correlating log data to discover network vulnerabilities and assets |
US20140379915A1 (en) * | 2013-06-19 | 2014-12-25 | Cisco Technology, Inc. | Cloud based dynamic access control list management architecture |
US9276904B2 (en) | 2014-02-20 | 2016-03-01 | Nicira, Inc. | Specifying point of enforcement in a firewall rule |
US10110561B2 (en) * | 2014-11-26 | 2018-10-23 | Rockwell Automation Technologies, Inc. | Firewall with application packet classifer |
US9680706B2 (en) | 2015-06-30 | 2017-06-13 | Nicira, Inc. | Federated firewall management for moving workload across data centers |
US9900285B2 (en) | 2015-08-10 | 2018-02-20 | International Business Machines Corporation | Passport-controlled firewall |
US10135727B2 (en) | 2016-04-29 | 2018-11-20 | Nicira, Inc. | Address grouping for distributed service rules |
US10348685B2 (en) | 2016-04-29 | 2019-07-09 | Nicira, Inc. | Priority allocation for distributed service rules |
US11171920B2 (en) | 2016-05-01 | 2021-11-09 | Nicira, Inc. | Publication of firewall configuration |
US10944722B2 (en) | 2016-05-01 | 2021-03-09 | Nicira, Inc. | Using activities to manage multi-tenant firewall configuration |
US11082400B2 (en) | 2016-06-29 | 2021-08-03 | Nicira, Inc. | Firewall configuration versioning |
US11258761B2 (en) | 2016-06-29 | 2022-02-22 | Nicira, Inc. | Self-service firewall configuration |
US10686760B2 (en) * | 2018-02-15 | 2020-06-16 | Wipro Limited | Method and system for generating dynamic rules for computer network firewall |
US11310202B2 (en) | 2019-03-13 | 2022-04-19 | Vmware, Inc. | Sharing of firewall rules among multiple workloads in a hypervisor |
DE102019106543A1 (de) | 2019-03-14 | 2020-09-17 | Anapur Ag | Verfahren und Kommunikationssteuersystem zur Steuerung von Kommunikation in einem Kommunikationsnetzwerk |
US11349875B2 (en) | 2019-08-21 | 2022-05-31 | International Business Machines Corporation | Dynamic balancing of security rules execution in a database protection system |
Family Cites Families (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5006985A (en) * | 1988-07-15 | 1991-04-09 | Kinetic Software, Inc. | Computer system for minimizing body dysfunctions induced by jet travel or shift work |
GB8927623D0 (en) * | 1989-12-06 | 1990-02-07 | Bicc Plc | Repeaters for secure local area networks |
US5481647A (en) * | 1991-03-22 | 1996-01-02 | Raff Enterprises, Inc. | User adaptable expert system |
WO1994019741A2 (en) * | 1993-02-25 | 1994-09-01 | Reticular Systems, Inc. | Real-time rule based processing system |
US5835726A (en) * | 1993-12-15 | 1998-11-10 | Check Point Software Technologies Ltd. | System for securing the flow of and selectively modifying packets in a computer network |
WO1997000471A2 (en) * | 1993-12-15 | 1997-01-03 | Check Point Software Technologies Ltd. | A system for securing the flow of and selectively modifying packets in a computer network |
US5696702A (en) * | 1995-04-17 | 1997-12-09 | Skinner; Gary R. | Time and work tracker |
US5802320A (en) * | 1995-05-18 | 1998-09-01 | Sun Microsystems, Inc. | System for packet filtering of data packets at a computer network interface |
US5751971A (en) * | 1995-07-12 | 1998-05-12 | Cabletron Systems, Inc. | Internet protocol (IP) work group routing |
US5774670A (en) * | 1995-10-06 | 1998-06-30 | Netscape Communications Corporation | Persistent client state in a hypertext transfer protocol based client-server system |
US5826014A (en) * | 1996-02-06 | 1998-10-20 | Network Engineering Software | Firewall system for protecting network elements connected to a public network |
US5898830A (en) * | 1996-10-17 | 1999-04-27 | Network Engineering Software | Firewall providing enhanced network security and user transparency |
US5761683A (en) * | 1996-02-13 | 1998-06-02 | Microtouch Systems, Inc. | Techniques for changing the behavior of a link in a hypertext document |
US5842040A (en) * | 1996-06-18 | 1998-11-24 | Storage Technology Corporation | Policy caching method and apparatus for use in a communication device based on contents of one data unit in a subset of related data units |
US5848233A (en) * | 1996-12-09 | 1998-12-08 | Sun Microsystems, Inc. | Method and apparatus for dynamic packet filter assignment |
US6173364B1 (en) * | 1997-01-15 | 2001-01-09 | At&T Corp. | Session cache and rule caching method for a dynamic filter |
-
1997
- 1997-09-12 US US08/928,796 patent/US6154775A/en not_active Expired - Lifetime
-
1998
- 1998-09-01 EP EP98306992A patent/EP0910197A3/en not_active Withdrawn
- 1998-09-07 JP JP25282998A patent/JP3443529B2/ja not_active Expired - Lifetime
Non-Patent Citations (1)
Title |
---|
エドワード・アモロソ他1名著「ファイアウォールを知るインターネット/イントラネットのセキュリティ戦略」(株)プレンティスホール刊 1996年12月 P60〜P62 |
Also Published As
Publication number | Publication date |
---|---|
EP0910197A2 (en) | 1999-04-21 |
US6154775A (en) | 2000-11-28 |
JPH11167538A (ja) | 1999-06-22 |
EP0910197A3 (en) | 2003-08-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP3443529B2 (ja) | ファイアウォールサービスを提供する方法と、ファイアウォールサービスを提供するコンピュータシステム | |
JP3464610B2 (ja) | パケット検証方法 | |
JP3492920B2 (ja) | パケット検証方法 | |
JP3459183B2 (ja) | パケット検証方法 | |
JP4690480B2 (ja) | ファイアウォールサービス提供方法 | |
US7428590B2 (en) | Systems and methods for reflecting messages associated with a target protocol within a network | |
US7664822B2 (en) | Systems and methods for authentication of target protocol screen names | |
US7707401B2 (en) | Systems and methods for a protocol gateway | |
US7818565B2 (en) | Systems and methods for implementing protocol enforcement rules | |
US7107609B2 (en) | Stateful packet forwarding in a firewall cluster | |
US20040111519A1 (en) | Access network dynamic firewall | |
US20070124577A1 (en) | Systems and methods for implementing protocol enforcement rules | |
EP1269709B1 (en) | Proxy network address translation | |
CN101719899A (zh) | 用于网络安全装置的具有端口限制的动态访问控制策略 | |
Wachs | A secure and resilient communication infrastructure for decentralized networking applications | |
McGann | IPv6 packet filtering | |
Spencer | Sun Feb 10 11: 15: 06 2002 Page 2 pr-l66-w80 draft-richardson-ipsec-opportunistic-05. txt |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20090620 Year of fee payment: 6 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100620 Year of fee payment: 7 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100620 Year of fee payment: 7 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110620 Year of fee payment: 8 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110620 Year of fee payment: 8 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120620 Year of fee payment: 9 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120620 Year of fee payment: 9 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130620 Year of fee payment: 10 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
EXPY | Cancellation because of completion of term |