JP4677173B2 - ネットワークセキュリティシステム - Google Patents

ネットワークセキュリティシステム Download PDF

Info

Publication number
JP4677173B2
JP4677173B2 JP2002582528A JP2002582528A JP4677173B2 JP 4677173 B2 JP4677173 B2 JP 4677173B2 JP 2002582528 A JP2002582528 A JP 2002582528A JP 2002582528 A JP2002582528 A JP 2002582528A JP 4677173 B2 JP4677173 B2 JP 4677173B2
Authority
JP
Japan
Prior art keywords
config
packet
network
firewall
root
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2002582528A
Other languages
English (en)
Other versions
JP2004531941A (ja
JP2004531941A5 (ja
Inventor
カルバート,パトリック
Original Assignee
ファイアブリッジ システムズ ピーティーワイ リミテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ファイアブリッジ システムズ ピーティーワイ リミテッド filed Critical ファイアブリッジ システムズ ピーティーワイ リミテッド
Publication of JP2004531941A publication Critical patent/JP2004531941A/ja
Publication of JP2004531941A5 publication Critical patent/JP2004531941A5/ja
Application granted granted Critical
Publication of JP4677173B2 publication Critical patent/JP4677173B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0806Configuration setting for initial configuration or provisioning, e.g. plug-and-play
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/22Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Alarm Systems (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は、ネットワークセキュリティ装置に関し、さらに詳しくは、パケットフィルタリングおよびブリッジングを使用するファイアウォール装置に関する。
多くのネットワークサービスが利用可能であることが証明されており、そうするためのツールが初心者にとっても幅広く利用できるようになってきた。情報を損なうことがなくても、サーバまたはネットワークの一時的停電は、長時間の作業が無駄になったり、ビジネスチャンスを逃すことを意味することがあり得る。
企業はインターネットに接続し、ダイヤルアップすなわちISDNや専用回線を介してデータを交換する。さらに、従業員にはリモートアクセスの選択肢が提案される。しかし、全ての受信接続は送信接続をも持つ可能性が高い。
完全に安全なコンピュータネットワークは無い。どんな錠とも同様に、人間が作るものであれば、人間が破ることができる。小さなセキュリティ対策は、それがなければ厄介の種となるアマチュアの大部分を排除することができる。他方、より大きなサイトは前記小さいセキュリティ対策で満足すべきではない。
セキュリティは高価である。専用ハードウェアおよびソフトウェアを購入し、インストールし、構成し、専門職を雇うか、採用するか、または設置することによって維持しなければならない。既存のインフラストラクチャには往々にして変更を加えなければならず、より多くのハードウェアを必要としたり、不稼動時間を生じる。
(用語集)
ブリッジ
データリンク層の情報に基づいてネットワークセグメント間でトラヒックを転送する装置。これらのセグメントは、共通のネットワーク層アドレスを有する。
ファイアウォール
外部ネットワーク、特にインターネット接続およびダイヤルイン回線を処理するために使用される、特別なセキュリティ対策を講じた専用ゲートウェイ機。その後ろに隠されている管理の緩い一群のマシンをクラッカーから保護するという考えである。典型的なファイアウォールは、重要データを持たず、モデムおよび公衆ネットワークポートを備えた、安価なマイクロプロセッサ利用のユニット機であるが、1つだけ注意深く監視される接続がほかの集団へと戻る。
ルータ
ネットワーク間でパケットを転送する装置。転送決定はネットワーク層の情報およびしばしば経路選択プロトコルによって構築される経路選択テーブルに基づく。
パケット
ネットワークで送信されるデータの単位。「パケット」は、OSIプロトコルスタックの任意の層のデータの単位を記述するために使用される総称であるが、最も正確には、アプリケーション層データ単位を記述するために使用される(「アプリケーションプロトコルデータ単位」APDU)。
パケットフィルタ
全てのパケットはルールベースに照らして比較され、一致規則に基づいて決定が実行される。
ルールベース
どのパケットをネットワークに通すかあるいは通さないかを決定する1組のルール。
HTML:ハイパーテキストマークアップ言語
WWWページを記述するために使用される言語。
インターネットのWorld Wide Web上のコンテンツおよび他の文書へのハイパーテキストリンクを指定するために使用される、タグをベースとするASCII言語。次いで任意のオペレーティングシステム(ハードウェアプラットフォーム、モニタ解像度など)用に作られたブラウザを使用して、作成された文書を見たり、リンクに従って他の文書を表示することができる。
ネットワークインタフェースカード(ネットワークカード)
PC内に設置され、それがLANで通信することを可能にするLANアダプタ(印刷回路基板)の名称。この用語は一般的にIBM PCおよびトークンリングユーザによって使用される。
IPアドレス
全てのネットワーク層プロトコルはアドレス形式を持ち、TCP/IPプロトコルの32ビットIPアドレスの場合、アドレスは「199.12.1.1」形式である。これはドット付き10進法と呼ばれ、4つのセクションの各々が、そのネットワークの特定のホストを指定する8ビットのIPアドレスを表す、0から255までの10進数である。
IPアドレス全体に32ビットしか無く、一部のネットワークは他より多数のホストを有するので(かつ少数のより大きいネットワークがあるので)、様々なアドレスクラスがある。これらは、アドレスのネットワークおよびホスト部分に異なる数のビットを割り当てる。
DMZ 非武装地帯
軍事用語から、戦闘が抑制されている2つの敵対者間の領域のこと。
DMZイーサネットは、異なる組織によって制御されるネットワークとコンピュータを接続する。それらは外部でも内部でもよい。外部DMZイーサネットは地域ネットワークをルータにより内部ネットワークにリンクする。内部DMZイーサネットはローカルノードをルータにより地域ネットワークにリンクする。
現行技術
多くの異なるタイプのファイアウォールおよびセキュリティソフトウェアが公知である。それらは3つのカテゴリに分類することができる。(単一の家庭用コンピュータを保護するパーソナルファイアウォールは考慮しない。)
・プロキシベース:このファイアウォールは、ファイアウォールサーバ上の異なるネットワークインタフェースに物理的に接続するシステム間のアプリケーションプロキシとして働く。アプリケーションプロキシはアプリケーションレベルで、ファイアウォールの別の側のエンティティと取引するときに、ファイアウォールの一方の側に存在するエンティティの代理または代用としての役を務める。インタフェース間のこの分離を維持し、かつ絶えずプロトコル検査を行うことによって、非常に安全な環境が得られる。これはCPU時間に対する要求が厳しく、これは高容量サイトでは問題になり得る。
・ステートフル検査:ファイアウォールが接続を開始するパケットを受け取るといつでも、そのパケットはファイアウォールのルールベースに照らして順番に検討される。パケットが受け入れられることなくいずれかのルールを通り抜けると、パケットは拒絶される。接続が受け入れられると、次いでセッションは、メモリに配置されたファイアウォールのステートフル接続テーブルに入れられる。その後の全てのパケットは次いで、ステートフル検査テーブルと比較される。セッションがテーブルにあり、パケットがそのセッションの一部である場合には、パケットは受け入れられる。パケットがそのセッションの一部でない場合には、それは落とされる。全ての単一パケットがルールベースに照らして比較されるわけではないので、これはシステム性能を改善する。
・パケットフィルタ:全てのパケットがルールベースに照らして比較され、一致規則又はルールに基づいて決定が実行される。
ハイエンドのファイアウォールのほとんどは、上述した技術の組合せまたはハイブリッドを提供する。全ての公知の例は、それらが技術的にルータであり、各ネットワークインタフェースに異なるサブネットを持つ必要があるという点で共通している。
ルータ対ブリッジ
ルータは、ネットワーク間でパケットを転送する装置である。ルータは様々なネットワークおよびそこにどのように到達するかを知っている。これは、全ての公知の市販のファイアウォールによって現在使用されている技術である。これは、ファイアウォールの異なる側のホストが異なるネットワークアドレスを持たなければならないことを意味する。さもなければトラヒックはファイアウォールで終わらない。ダイヤルイン装置のみならずLANでもネットワーク変更が必要である。
ブリッジは、データリンク層の情報に基づいてネットワークセグメント間でトラヒックを転送する装置である。それはMACアドレスに基づいて働く。
本発明は、企業がそのダイヤルインサーバを保護することを望む現実的状況から発生したものである。そのサーバはすでに従業員および第三者にネットワークコネクティビティを提供していた。新しい第三者企業がアクセスする必要があったが、その企業のインターネット接続は安全でないことが分かった。
いずれかの種類の従来のファイアウォールを実現することは、ダイヤルインサーバのアドレス指定方式を再設定し、遠く離れた企業と変更を調整することを意味している。
したがって、既存のインフラストラクチャの変更を必要としないセキュリティ装置に対する要求が存在する。
また、完全に透過的なファイアウォールが要求されている。本発明のシステムはネットワークの論理部ではないので、トレースルートに決して現れない。さらに本発明は、それにIPアドレスを割り当てることなく実現することができる。これは、構成のためのコンソールアクセスを意味するが、結果的にアドレスの無いセキュリティ装置が得られる。
したがって、別個のコンピュータを使用する必要の無いネットワークセキュリティ装置が提供される。この装置は好ましくはHTMLインタフェースから構成され、3枚のネットワークカードを使用する。最初の2枚のカードはファイアウォール用に使用される。第3のカードは、公的に経路指定されるIPアドレスではなく、プライベートアドレスを有する管理インタフェースである。第1のネットワークカードはパケットをパケットフィルタに転送する。フィルタを通過したパケットは、第2ネットワークカードに転送され、その後、それらの宛先に転送される。これらのカードはどれも公的に経路指定されるIPアドレスを持たない。この装置は、経路指定またはプロキシするのではなく、ブリッジするパケットフィルタとして働く。それはルータとハブまたはサーバ機との間に配置することができる。
本発明をより容易に理解し実施することができるようにするために、今から添付の図面について説明する。
本発明の実現に必要なものは、例えば以下の通りである。
ハードウェア
最低限200Mhzのプロセッサ
最低限64MBのRAM
64MBの容量の1つの固体ハードドライブ
3枚のネットワークカード10/100/1000
電源装置およびシステム構成のためのLCDパネルと入力装置を備えたケース
ビデオカードを使用しないので、情報をデバッグして始動するためのシリアルポート
ソフトウェア
Linuxカーネルバージョン2.2.20
アパッチウェブサーバ1.3.22 mod perl mod SSL
Perlバージョン5.6.1
OpenSSH+OpenSSL
SYS V Linux OSを実行するために必要なGNUツールおよびユーティリティ
Mod perl、HTMLおよびCSSを使用するウェブインタフェース
インストールは、上記の「ハードウェア」部に記載したハードウェアを使用してコンピュータを作成することによって達成される。詳細なシステムビルド記述は、付属書Aに見ることができる。図4に示す通り、本発明は設定インタフェースを備えており、それは次の2つの部分を含む。
・ファイアウォール設定
・システム監視
(ファイアウォール設定)
1.インタフェース10は、ルールセットを含みCGI50を介して操作される普通テキスト設定ファイル20を使用する。
2.設定ファイルは、HTMLインタフェースを介してアクセスされるPerlスクリプトによって操作される。
3.次いで設定ファイルは、Perlスクリプトによってカーネルルール40に変換30される。
詳細な設定記述は付属書Bに見ることができる。
(システム監視)
1.LOAD状態を監視する。これは、CPUの現在のロードがどれだけかをユーザに知らせる。
2.ディスクスペース状態を監視する。これは、ディスクスペースの利用が現在どのレベルであるかをユーザに知らせる。
3.コンフィギュレーション状態を監視する。これは、ファイアウォールの設定に対して行った変更がファイアウォールに対して完遂されたか否かをユーザに知らせる。
4.パケットが許可されたかあるいは拒絶されたか否かを監視し、記録する。
図2に示す通り、情報の内向きの流れはパケットの流れを含む。
パケットは世界70からネットワーク60内に入ってくる。次いでそれは第1ネットワークカード80を通過する。次いでパケットはパケットフィルタ90によって検査され、ルールと比較される。パケットが受け入れ100られると、次いでそれは第2ネットワークカード110およびネットワーク60に転送される。パケットが拒絶120されると、次いでそれは落とされる130。それは消滅することを意味する。ログは、パケットに何が起きたかを記録することができる。
図3に示す通り、アウトバウンドパケットはネットワーク60から世界70に出て行く。それは次いで第2ネットワークカード110を通過する。次いでパケットはパケットフィルタ90によって検査され、ルールセットと比較される。パケットが受け入れ100られると、次いでそれは第1ネットワークカード80および世界へ転送される。パケットが拒絶120されると、次いでそれは落とされる130。それは消滅することを意味する。ログは、パケットに何が起きたかを記録することができる。
次の表は、本発明の特徴を2つの他の市販品と比較するものである。
Figure 0004677173
ファイアウォールIおよびラプターは、それらを実行する前にオペレーティングシステムを備えた別個のコンピュータを必要とし、したがって他の2つのファイアウォールとは非常に異なる。
本発明は3枚のネットワークカードを使用する。
− ダミーの内部IPアドレスを持つ管理インタフェース
− このネットワークカードは、ファイアウォールを設定するためにだけ使用される。それはファイアウォールの作動には決して使用されず、IPアドレスを持たない。他の2枚のネットワークカード810、110は、それらに署名されたIPアドレスを持たない。
これは、本発明と公知の市販されている全てのファイアウォールとの間の最大の相違である。本発明の解決策はIPアドレスを使用しないので、それはネットワークの論理部ではない。これは、それが検出できないこと、およびそれが既存のインタフェースを切り離し、これを中間に差し込むことによって簡単に実現できることを意味する。他のネットワーク再構成は必要ない。これは、本発明を完全に独自のものにする。
ファイヤボックスTMは3枚のネットワークカードを使用し、3つの関連IPアドレスを必要とする。これは、この製品のインストールを可能にするために、ネットワークを再構成する必要があることを意味する。
ファイアウォールITMおよびラプターTMは2枚のネットワークカードを使用し、2つの関連IPアドレスを必要とする。これは、これらの製品のインストールを可能にするために、ネットワークを再構成する必要があることを意味する。
本発明はパケットを検査し、次いでそれをブリッジする。それは完全に透過的である。ファイヤボックスTMはパケットを検査し、次いでそれを経路指定する。ファイアウォールITMおよびラプターTMはパケットを検査し、次いでそれを経路指定する。ラプターTMは要求を検査し、次いでそれをプロキシする。
3つのファイアウォールは全てパケットを検査する。1つの顕著な相違は、本発明がそれを経路指定するのではなく、ブリッジすることである。
図4に示す通り、ルールセット90は、グラフィカルユーザインタフェース200を通して編集することができる。全てのルール210は順序が与えられている。この順序はいつでも変更することができる。ルール210はコンピュータによって1つづつ順番に検査される。パケットがルール210を満足すると、それはルールによって決定された通りに処置230される。そうでなければ、それはデフォルトルールに進む。ルールセットは評価するのにパケット発信源220、宛先240、関連サービス250、およびログ要件などのオプション260にタブを配置する。グラフィカルボタン270,280は、ユーザの編集または削除を容易にする。
本発明のシステムをどのように構成するかを示す流れ図である。 ネットワークトラヒックが本発明のシステムを通してどのように内部ネットワークに入るかを示す流れ図である。 内部ネットワークトラヒックがどのように本発明のシステムを通過して外界に進むかを示す流れ図である。 パケットフィルタリングルールセットに対する編集制御をユーザに提供するグラフィカルユーザインタフェースの例証である。
付属書A
組込みシステム作成の説明:
組込みLinuxシステムを持つ理由は、Linuxオペレーティングシステムに慣れていないかもしれないユーザの管理間接費を減らすためである。さらに、システムが適切に終了せずに電源が切れたときに、ファイルシステムの破損などの問題を排除する。
我々は別個のマシンを使用してOSを作成している。このシステムは開発環境を含み、我々の生産機のために必要なバイナリおよび共用ライブラリを作成することを可能にする。
ビルド機には、OSの最終宛先をエミュレートする別個のパーティション(固体ドライブ)が存在する。

以下のルートディレクトリ構造が作成されている。
/bin (システムバイナリ)
/boot (カーネルディレクトリ)
/dev (装置のキャラクタ・デバイス)
/etc (設定ファイル)
/home (ホームディレクトリ)
/lib (共用ライブラリ)
/proc (procファイルシステムマウントポイント)
/root (ルート用ホームディレクトリ)
/sbin (システムバイナリ)
/tmp (tmpスペースマウントポイント)
/usr (usrライブラリおよびバイナリ)
/var (varマウントポイント)

/devディレクトリには以下の所要キャラクタファイルを配置する。

crw 1 root root 5, 1 Apr 9 14:34 console
crw 1 root root 5, 64 Feb 26 16:52 cua0
crw 1 root root 5, 65 Feb 26 16:52 cua1
brw-rw 1 root disk 3, 0 Feb 26 16:52 hda
brw-rw 1 root disk 3, 1 Feb 26 16:52 hda1
brw-rw 1 root root 3, 2 Feb 26 16:52 hda2
brw-rw 1 root disk 3, 3 Feb 26 16:52 hda3
brw-rw 1 root disk 3, 4 Feb 26 16:52 hda4
brw-rw 1 root disk 3, 5 Feb 26 16:52 hda5
brw-rw 1 root disk 3, 6 Feb 26 16:52 hda6
brw-rw 1 root disk 3, 7 Feb 26 16:52 hda7
brw-rw 1 root disk 3, 8 Feb 26 16:52 hda8
crw 1 root sys 89, 0 Feb 26 16:52 i2c0
crw 1 root sys 89, 1 Feb 26 16:52 i2c1
prw 1 root root 0 Apr 4 19:54 initctl
crw-r 1 root kmem 1, 2 Feb 26 16:52 kmem
crwxrwxr-x 1 root www 10, 140 Feb 26 16:52 lcd
srw-rw-rw- 1 root root 0 Apr 9 14:34 log
crw-r 1 root kmem 1, 1 Feb 26 16:52 mem
crw-rw-rw- 1 root root1, 3 Feb 26 16:52 null
crw-r 1 root kmem 1, 4 Feb 26 16:52 port
crw-rw-rw- 1 root root5, 2 Apr 10 12:53 ptmx
drwxr-xr-x 2 root root 0 Apr 9 14:34 pts
brw 1 root disk 1, 0 Feb 26 16:52 ram0
brw-rw 1 root disk 1, 1 Feb 26 16:52 ram1
brw-rw 1 root disk 1, 2 Feb 26 16:52 ram2
brw-rw 1 root disk 1, 3 Feb 26 16:52 ram3
brw-rw 1 root disk 1, 4 Feb 26 16:52 ram4
crw-r-r 1 root root1, 8 Feb 26 16:52 random
crw-rw-r 1 root root10, 135 Feb 26 16:52 rtc
Irwxrwxrwx 1 root root 17 Mar 18 21:09 stderr->../proc/self/fd/2
Irwxrwxrwx 1 root root 17 Mar 18 21:09 stdin->../proc/self/fd/0
Irwxrwxrwx 1 root root 17 Mar 18 21:09 stdout->../proc/self/fd/1
crw 1 root root 4, 0 Feb 26 16:52 systty
crw-rw-rw- 1 root root5, 0 Mar 18 20:50 tty
crw 1 root tty 4, 0 Feb 26 16:52 tty0
crw 1 root tty 4, 1 Feb 26 16:52 tty1
crw 1 root tty 4, 2 Feb 26 16:52 tty2
crw 1 root tty 4, 3 Feb 26 16:52 tty3
crw 1 root tty 4, 4 Feb 26 16:52 tty4
crw 1 root tty 4, 5 Feb 26 16:52 tty5
crw 1 root tty 4, 6 Feb 26 16:52 tty6
crw 1 root tty 4, 7 Feb 26 16:52 tty7
crw 1 root tty 4, 8 Feb 26 16:52 tty8
crw 1 uucp uucp 4, 64 Apr 9 14:34 ttyS0
crw-r 1 root tty 4, 65 Feb 26 16:52 ttyS1
crw-r-r 1 root root1, 9 Feb 26 16:52 urandom
crw-r-r 1 root root10, 130 Feb 26 16:52 watchdog
crw-rw-rw- 1 root root1, 5 Feb 26 16:52 zero

我々は、OWセキュリティパッチ(www.openwall.com)で増強されたLinuxカーネル2.2.20(www.kernel.org)を使用する。既存のカーネルブリッジングコードを2.4カーネルコード(bridge.sourceforge.net)と置き換える。

カーネルは次のパラメータにより構成される。
#
# Automatically generated by make menuconfig: don't edit
#
CONFIG_X86=y
#
# Code maturity level options
#
CONFIG_EXPERIMENTAL=y
#
# Processor type and features
#
# CONFIG_M386 is not set
# CONFIG_M486 is not set
# CONFIG_M586 is not set
CONFIG_M586TSC=y
# CONFIG_M686 is not set
CONFIG_X86_WP_WORKS_OK=y
CONFIG_X86_INVLPG=y
CONFIG_X86_BSWAP=y
CONFIG_X86_POPAD_OK=y
CONFIG_X86_TSC=y
# CONFIG_MICROCODE is not set
# CONFIG_X86_MSR is not set
# CONFIG_X86_CPUID is not set
CONFIG_1GB=y
# CONFIG_2GB is not set
# CONFIG_MATH_EMULATION is not set
# CONFIG_MTRR=y
# CONFIG_SMP is not set
#
# Loadable module support
#
# CONFIG_MODULES=y
# CONFIG_MODVERSIONS is not set
CONFIG_KMOD=y
#
# General setup
#
CONFIG_NET=y
CONFIG_PCI=y
# CONFIG_PCI_GOBIOS is not set
CONFIG_PCI_GODIRECT=y
# CONFIG_PCI_GOANY is not set
CONFIG_PCI_DIRECT=y
CONFIG_PCI_QUIRKS=y
# CONFIG_PCI_OPTIMIZE is not set
CONFIG_PCI_OLD_PROC=y
# CONFIG_MCA is not set
# CONFIG_VISWS is not set
CONFIG_COBALT_GEN_III=y
# CONFIG_COBALT_GEN_V is not set
# CONFIG_COBALT_BOOTLOADER is not set
CONFIG_SYSVIPC=y
# CONFIG_BSD_PROCESS_ACCT is not set
CONFIG_SYSCTL=y
CONFIG_BINFMT_AOUT=m
CONFIG_BINFMT_ELF=y
# CONFIG_BINFMT_ELF_AOUT is not set
CONFIG_BINFMT_MISC=m
# CONFIG_BINFMT_JAVA is not set
# CONFIG_PARPORT is not set
# CONFIG_APM is not set
# CONFIG_TOSHIBA is not set
#
# Plug and Play support
#
CONFIG_PNP=y
#
# Block devices
#
# CONFIG_BLK_DEV_FD is not set
CONFIG_BLK_DEV_IDE=y
# CONFIG_BLK_DEV_HD_IDE is not set
CONFIG_BLK_DEV_IDEDISK=y
# CONFIG_BLK_DEV_IDECD is not set
# CONFIG_BLK_DEV_IDETAPE is not set
# CONFIG_BLK_DEV_IDEFLOPPY is not set
# CONFIG_BLK_DEV_IDESCSI is not set
# CONFIG_BLK_DEV_CMD640 is not set
# CONFIG_BLK_DEV_RZ1000 is not set
CONFIG_BLK_DEV_IDEPCI=y
CONFIG_BLK_DEV_IDEDMA=y
# CONFIG_BLK_DEV_OFFBOARD is not set
CONFIG_IDEDMA_AUTO=y
# CONFIG_BLK_DEV_OPTI621 is not set
CONFIG_BLK_DEV_ALI15X3=y
# CONFIG_BLK_DEV_TRM290 is not set
# CONFIG_BLK_DEV_NS87415 is not set
# CONFIG_BLK_DEV_VIA82C586 is not set
# CONFIG_BLK_DEV_CMD646 is not set
# CONFIG_BLK_DEV_CS5530 is not set
# CONFIG_IDE_CHIPSETS is not set
# CONFIG_BLK_DEV_LOOP is not set
# CONFIG_BLK_DEV_NBD is not set
# CONFIG_BLK_DEV_MD is not set
CONFIG_BLK_DEV_RAM=m
CONFIG_BLK_DEV_RAM_SIZE=4096
# CONFIG_BLK_DEV_XD is not set
# CONFIG_BLK_DEV_DAC960 is not set
CONFIG_PARIDE_PARPORT=y
# CONFIG_PARIDE is not set
# CONFIG_BLK_CPQ_DA is not set
# CONFIG_BLK_CPQ_CISS_DA is not set
# CONFIG_BLK_DEV_HD is not set
#
# Networking options
#
CONFIG_PACKET=y
CONFIG_NETLINK=y
# CONFIG_RTNETLINK is not set
CONFIG_NETLINK_DEV=y
CONFIG_FIREWALL=y
# CONFIG_FILTER is not set
CONFIG_UNIX=y
CONFIG_INET=y
# CONFIG_IP_MULTICAST is not set
# CONFIG_IP_ADVANCED_ROUTER is not set
# CONFIG_IP_PNP is not set
CONFIG_IP_FIREWALL=y
# CONFIG_IP_FIREWALL_NETLINK is not set
# CONFIG_IP_TRANSPARENT_PROXY is not set
# CONFIG_IP_MASQUERADE is not set
# CONFIG_IP_ROUTER is not set
# CONFIG_NET_IPIP is not set
# CONFIG_NET_IPGRE is not set
CONFIG_IP_ALIAS=y
CONFIG_SYN_COOKIES=y
# CONFIG_INET_RARP is not set
CONFIG_SKB_LARGE=y
# CONFIG_IPV6 is not set
# CONFIG_IPX is not set
# CONFIG_ATALK is not set
CONFIG_BRIDGE=m
# CONFIG_X25 is not set
# CONFIG_LAPB is not set
# CONFIG_NET_DIVERT is not set
# CONFIG_LLC is not set
# CONFIG_ECONET is not set
# CONFIG_WAN_ROUTER is not set
# CONFIG_NET_FASTROUTE is not set
# CONFIG_NET_HW_FLOWCONTROL is not set
# CONFIG_CPU IS_SLOW is not set
#
#QoS and/or fair queueing
#
# CONFIG_NET_SCHED is not set
#
# Telephony Support
#
# CONFIG_PHONE is not set
# CONFIG_PHONE_IXJ is not set
#
# SCSI support
#
# CONFIG_SCSI is not set
#
# I2O device support
#
# CONFIG_I2O is not set
# CONFIG_I2O_PCI is not set
# CONFIG_I2O_BLOCK is not set
# CONFIG_I2O_SCSI is not set
#
# Network device support
#
CONFIG_NETDEVICES=y
#
# ARCnet devices
#
# CONFIG_ARCNET is not set
# CONFIG_DUMMY is not set
# CONFIG_BONDING is not set
# CONFIG_EQUALIZER is not set
# CONFIG_ETHERTAP is not set
# CONFIG_NET_SB1000 is not set
#
# Ethernet (10 or 100Mbit)
#
CONFIG_NET_ETHERNET=y
CONFIG_NET_VENDOR_3COM=y
# CONFIG_EL1 is not set
# CONFIG_EL2 is not set
# CONFIG_ELPLUS is not set
# CONFIG_EL16 is not set
# CONFIG_EL3 is not set
# CONFIG_3C515 is not set
CONFIG_VORTEX=y
# CONFIG_LANCE is not set
# CONFIG_NET_VENDOR_SMC is not set
# CONFIG_NET_VENDOR_RACAL is not set
# CONFIG_RTL8139 is not set
# CONFIG_RTL8139TOO is not set
# CONFIG_NET_ISA is not set
CONFIG_NET_EISA=y
# CONFIG_PCNET32 is not set
# CONFIG_ADAPTEC_STARFIRE is not set
# CONFIG_AC3200 is not set
# CONFIG_APRICOT is not set
# CONFIG_LP486E is not set
# CONFIG_CS89x0 is not set
# CONFIG_DM9102 is not set
# CONFIG_DE4X5 is not set
# CONFIG_DEC_ELCP is not set
# CONFIG_DEC_ELCP_OLD is not set
# CONFIG_DGRS is not set
CONFIG_EEXPRESS_PRO100=y
# CONFIG_LNE390 is not set
# CONFIG_NE3210 is not set
# CONFIG_NE2K_PCI is not set
# CONFIG_TLAN is not set
# CONFIG_VIA_RHINE is not set
# CONFIG_SIS900 is not set
# CONFIG_ES3210 is not set
# CONFIG_EPIC100 is not set
# CONFIG_ZNET is not set
# CONFIG_NET_POCKET is not set
#
# Ethernet (1000 Mbit)
#
# CONFIG_ACENIC is not set
# CONFIG_HAMACHI is not set
# CONFIG_YELLOWFIN is not set
# CONFIG_SK98LIN is not set
# CONFIG_FDDI is not set
# CONFIG_HIPPI is not set
# CONFIG_PPP is not set
# CONFIG_SLIP is not set
# CONFIG_NET_RADIO is not set
#
# Token ring devices
#
# CONFIG_TR is not set
# CONFIG_NET_FC is not set
# CONFIG_RCPCI is not set
# CONFIG_SHAPER is not set
#
# Wan interfaces
#
# CONFIG_HOSTESS_SV11 is not set
# CONFIG_COSA is not set
# CONFIG_SEALEVEL_4021 is not set
# CONFIG_SYNCLINK_SYNCPPP is not set
# CONFIG_LANMEDIA is not set
# CONFIG_COMX is not set
# CONFIG_HDLC is not set
# CONFIG_DLCI is not set
# CONFIG_XPEED is not set
# CONFIG_SBNI is not set
#
# Amateur Radio support
#
# CONFIG_HAMRADIO is not set
#
# IrDA (infrared) support
#
# CONFIG_IRDA is not set
#
# ISDN subsystem
#
# CONFIG_ISDN is not set
#
# Old CD-ROM drivers (not SCSI, not IDE)
#
# CONFIG_CD_NO_IDESCSI is not set
#
# Character devices
#
CONFIG_VT=y
CONFIG_VT_CONSOLE=y
CONFIG_SERIAL=y
CONFIG_SERIAL_CONSOLE=y
# CONFIG_SERIAL_EXTENDED is not set
# CONFIG_SERIAL_NONSTANDARD is not set
CONFIG_UNIX98_PTYS=y
CONFIG_UNIX98_PTY_COUNT=256
# CONFIG_MOUSE is not set
#
# Joysticks
#
# CONFIG_JOYSTICK is not set
# CONFIG_QIC02_TAPE is not set
CONFIG_WATCHDOG=y
#
# Watchdog cards
#
# CONFIG_WATCHDOG_NOWAYOUT is not set
# CONFIG_ACQUIRE_WDT is not set
# CONFIG_ADVANTECH_WDT is not set
# CONFIG_PCWATCHDOG is not set
# CONFIG_I810_TCO is not set
# CONFIG_MIXCOMWD is not set
# CONFIG_60XX_WDT is not set
CONFIG_SOFT_WATCHDOG=y
# CONFIG_WDT is not set
# CONFIG_WDTPCI is not set
# CONFIG_MACHZ_WDT is not set
# CONFIG_NVRAM is not set
CONFIG_RTC=y
# CONFIG_INTEL_RNG is not set
# CONFIG_AGP is not set
# CONFIG_DRM is not set
CONFIG_COBALT_LCD=y
#
# Video For Linux
#
CONFIG_VIDEO_DEV=m
# CONFIG_RADIO_RTRACK is not set
# CONFIG_RADIO_RTRACK2 is not set
# CONFIG_RADIO_AZTECH is not set
# CONFIG_RADIO_CADET is not set
# CONFIG_RADIO_GEMTEK is not set
# CONFIG_RADIO_MAESTRO is not set
# CONFIG_RADIO_MIROPCM20 is not set
# CONFIG_RADIO_TRUST is not set
# CONFIG_VIDEO_BT848 is not set
# CONFIG_VIDEO_CPIA is not set
# CONFIG_VIDEO_PMS is not set
# CONFIG_VIDEO_SAA5249 is not set
# CONFIG_RADIO_SF16FMI is not set
# CONFIG_RADIO_TYPHOON is not set
# CONFIG_RADIO_ZOLTRIX is not set
# CONFIG_VIDEO_ZORAN is not set
# CONFIG_VIDEO_BUZ is not set
# CONFIG_DTLK is not set
#
# Ftape, the floppy tape device driver
#
# CONFIG_FTAPE is not set
#
# USB support
#
# CONFIG_USB is not set
#
# Filesystems
#
# CONFIG_QUOTA is not set
# CONFIG_AUTOFS_FS is not set
# CONFIG_ADFS_FS is not set
# CONFIG_AFFS_FS is not set
# CONFIG_HFS_FS is not set
# CONFIG_FAT_FS is not set
# CONFIG_MSDOS_FS is not set
# CONFIG_UMSDOS_FS is not set
# CONFIG_VFAT_FS is not set
# CONFIG_ISO9660_FS is not set
# CONFIG_JOLIET is not set
# CONFIG_MINIX_FS is not set
# CONFIG_NTFS_FS is not set
# CONFIG_HPFS_FS is not set
CONFIG_PROC_FS=y
CONFIG_DEVPTS_FS=y
# CONFIG_QNX4FS_FS is not set
# CONFIG_ROMFS_FS is not set
CONFIG_EXT2_FS=y
# CONFIG_SYSV_FS is not set
# CONFIG_UFS_FS is not set
# CONFIG_EFS_FS is not set
#
# Network File Systems
#
# CONFIG_CODA_FS is not set
# CONFIG_NFS_FS is not set
# CONFIG_NFSD is not set
# CONFIG_SUNRPC is not set
# CONFIG_LOCKD is not set
# CONFIG_SMB_FS is not set
# CONFIG_NCP_FS is not set
#
# Partition Types
#
# CONFIG_BSD_DISKLABEL is not set
# CONFIG_MAC_PARTITION is not set
# CONFIG_MINIX_SUBPARTITION is not set
# CONFIG_SMD_DISKLABEL is not set
# CONFIG_SOLARIS_X86_RARTITION is not set
# CONFIG_UNIXWARE_DISKLABEL is not set
# CONFIG_NLS is not set
#
# Console drivers
#
# CONFIG_VGA_CONSOLE is not set
# CONFIG_VIDEO_SELECT is not set
# CONFIG_MDA_CONSOLE is not set
# CONFIG_FB is not set
#
# Sound
#
# CONFIG_SOUND is not set
#
# Security options
#
# CONFIG_SECURE_STACK is not set
# CONFIG_SECURE_LINK is not set
# CONFIG_SECURE_FIFO is not set
# CONFIG_SECURE_PROC is not set
# CONFIG_SECURE_FD_0_1_2 is not set
# CONFIG_SECURE_RLIMIT_NPROC is not set
# CONFIG_SECURE_SHM is not set
#
# Kernel hacking
#
# CONFIG_MAGIC_SYSRQ is not set

我々は生産カーネルを作成し、それを/bootディレクトリの宛先パーティションに配置する。
次いで我々は、有効に機能するSYS V Linuxシステム、ウェブサーバ、および希望する他のツールをを得るために、必要に応じて支援バイナリを作成し始める。
これらのバイナリ作成後、それらは必要な共用ライブラリおよび設定ファイルに沿って宛先パーティションに配置される。
全ての必要なバイナリが作成され、有効に機能すると、我々は以下のステップを使用する。
ブートプロセス中に、システムが書込み作業のために使用する以下のRAMドライブを生成する。明らかに、RAMは揮発性であり、シャットダウンシーケンスは、リブートまたは停電後に利用可能であることが必要な情報を格納することに注意を払う。各RAMドライブは始動時に形成されフォーマットされるので、異常シャットダウンによりファイルシステムが破壊される機会は無い。

ドライブ マウント名称
/dev/ram0 swap
/dev/ram1 /tmp
/dev/ram2 /var
/dev/ram3 /usr/local/firebridge/http

swap: 物理的RAMが低レベルで作動するときにOSによって使用される。(RAMにスワップスペースを生成することによって、メモリのその部分をスワップ用に確保する。)
/tmp: 管理インタフェースによって一時ファイルのために使用される。
/var: ロギングのために使用される(現在ログファイルはリブート時に保存されないことに注意されたい。永久ロギングを達成するために、loghostにログできるsyslogを設けている。)
/usr/…/http: ウェブサーバのウェブページおよびグラフィックス用に使用される。高速アクセスを達成し、インタフェース性能を高めるために、これらのグラフィックスをRAMから提供する。そうするとアクセス時間が他の装置からよりずっと早くなる。
付属書B
管理インタフェースおよびファイアウォール設定ファイル:

CGIインタフェースはmod perlを使用して、ウェブブラウザでユーザが見るものを取り扱う*.cgiファイルと、ユーザ入力を検査し設定ファイルを操作する*−lib.plファイルの2種類のファイルを区別する。動的コンテンツおよびプレゼンテーション用のフレームワークとして使用される静的htmlファイル、画像、およびカスケーディングスタイルシートがある。

構成ファイルを操作するために、以下のファイルが使用される。

-fb-cgilib.pl (全てのスクリプトに使用される一般的な機能)
-ipcalc-lib.pl (ipカルキュレータライブラリ)
-ipcalc.cgi (ipカルキュレータプレゼンテーション)
*bridgeview (これは読出し専用バージョンを含む)
vwgroups.cgi
vwnetobjects.cgi
vwrules.cgi
vwservices.cgi
*fw
-fwconf-lib.pl (ルールに基づきipchains互換性設定を書く)
-fwconf.cgi (設定を起動/ロールバックする)
-groups-lib.pl (グループファイルを操作する)
-groups.cgi (グループファイルのプレゼンテーション)
-netobjects-lib.pl (ネットワークオブジェクトファイルを操作する)
-netobjects.cgi (ネットワークオブジェクトファイルのプレゼンテーション)
-rules-lib.pl (ルールファイルを操作する)
-rules.cgi (ルールファイルのプレゼンテーション)
-services-lib.pl (サービスファイルを操作する)
-services.cgi (サービスファイルのプレゼンテーション)
*logvw
-logvw.cgi (現在のログファイルを表示する)
*options
-fbgconf-lib.pl (グローバル設定オプションを操作する)
-fbgconf.cgi (グローバル設定オプションのプレゼンテーション)
*status
-confstatus.cgi (現在の設定がアクティブと同じかどうかを検査する)
-loadstatus.cgi (ボックスのロードを検査する)
*wizard
-wizard.cgi (ルールおよび関連オブジェクトの段階的作成)

ファイヤブリッジは以下の設定ファイルを使用する。
Actions (ルールに対して可能な処置)
nr:action
fbgcfg (グローバル設定オプション)
option=value (真または偽)
fbrules (数字によるルール)
nr:allow/deny:source-name:destination-name:service-name:action-nr:comment
(発信源/宛先/サービスをグループ名にすることができることに注意されたい)
groups (グループ)
name:type:member-name,member-name,member-name:comment
netobjects (ネットワークエンティティ)
name:address/mask
protocols (数字によるipプロトコル)
nr:name:comment
name:description:protocol-nr:source-port:destination-port
(ポートはダッシュで区切られた範囲とすることができる。例:1024−65535)

ファイヤブリッジはその設定のために次のディレクトリを使用する。
/usr/local/firebridge/fwconfig/active
/usr/local/firebridge/fwconfig/config
ブート後、システムは./activeからのファイルを物理的に/var ラムドライブ上に所在する./configに書き込む(上記名前へのシンボリックリンク)。ユーザがファイアウォールに変更を行うと、これらは./configディレクトリに記録される。ひとたびユーザが全ての変更に満足すると、ユーザは次に管理インタフェース内のactivate configを選択する。
システムは次いで./configからのファイルを全て取り出し、./activeにファイルを上書きする。次いでipchains互換性出力を作成し、グループを希望に応じて複数のルールに変換し始める。全てのルールが無事に書かれると、それらがipchainsで起動する。
代替的に、ユーザは、システムが./activeからのファイルを取り出し、ファイルを./configに上書きするロールバックを選択することができる。


Claims (9)

  1. 内部ネットワークへのパケットの出入りの流れを制御するネットワークセキュリティ装置であって、公的に経路指定されるIPアドレスを持たない第1および第2のネットワークカード、パケットフィルターを含むファイアウォール、および管理インタフェースであり、公的に経路指定されるIPアドレスではなく、私的なアドレスでファイアウォールを設定するために使用されるアドレスを有する第3のネットワークカードを有しており、
    パケットの流入の際には第1ネットワークカードが各パケットを検査のためにパケットフィルターに転送し、そこでパケットが内部ネットワークに受け入れ許可か、拒絶されたかを決定するルールセットと比較され、
    (a)もしパケットが受け入れ許可であればパケットは第2ネットワークカードさらに内部ネットワークに転送され、
    (b)もしパケットが受け入れ拒絶であればパケットは落とされて消滅し、パケットの流出の際にはアウトバウンドパケットは第2ネットワークカード経由でパケットフィルターを通過し、そこで検査され、ルールセットと比較され、もしパケットが許可されれば第1ネットワークカードへ転送されて装置から送出され、もし拒絶されれば落とされて消滅する、IPアドレスを使用せずブリッジ方式を使用することにより、パケットデータ転送のための別個のコンピュータを使用する必要がなく、前記パケットフィルターは、検査されたパケットを、経路指定またはプロキシするのではなく、ブリッジすることを特徴とするネットワークセキュリティ装置。
  2. 前記装置がルータとハブまたはサーバ機との間に配置されるように適応された、請求項1に記載の装置。
  3. 前記装置がHTMLインタフェースから構成可能である、請求項1に記載の装置。
  4. 前記装置が、前記装置と共に供給されるHTMLインタフェースにより構成される、請求項1に記載の装置。
  5. ロード状態を提供し、CPUの現在のロードがどれだけかについての図形による通知をユーザに提供するためのロードモニタをさらに備えた、請求項1に記載の装置。
  6. ファイアウォールの設定に対して行った変更がファイアウォールに対して完遂されたか否かについての図形による通知をユーザに提供する、コンフィギュレーション状態モニタをさらに備えた、請求項1に記載の装置。
  7. パケットが許可されたかあるいは拒絶されたか否かについての図形による指示を提供するモニタおよびログをさらに備えた、請求項1に記載の装置。
  8. 追加ソフトウェアをインストールすることなく、HTMLブラウザを有しネットワーク接続されたどのコンピュータからでも設定できるように、設定のためのHTMLインタフェースをさらに備えた、請求項1に記載の装置。
  9. 前記第1および第2ネットワークカードがそれらに割り当てられたIPアドレスを持たず、あるいは必要としない、請求項1に記載の装置。
JP2002582528A 2001-04-11 2002-04-11 ネットワークセキュリティシステム Expired - Fee Related JP4677173B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
AUPR4355A AUPR435501A0 (en) 2001-04-11 2001-04-11 Network security system
PCT/AU2002/000499 WO2002084916A2 (en) 2001-04-11 2002-04-11 Network security system

Publications (3)

Publication Number Publication Date
JP2004531941A JP2004531941A (ja) 2004-10-14
JP2004531941A5 JP2004531941A5 (ja) 2005-08-04
JP4677173B2 true JP4677173B2 (ja) 2011-04-27

Family

ID=3828354

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002582528A Expired - Fee Related JP4677173B2 (ja) 2001-04-11 2002-04-11 ネットワークセキュリティシステム

Country Status (7)

Country Link
US (1) US7451306B2 (ja)
EP (1) EP1389377B1 (ja)
JP (1) JP4677173B2 (ja)
AT (1) ATE339841T1 (ja)
AU (1) AUPR435501A0 (ja)
DE (1) DE60214702D1 (ja)
WO (1) WO2002084916A2 (ja)

Families Citing this family (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7778999B1 (en) 2003-01-24 2010-08-17 Bsecure Technologies, Inc. Systems and methods for multi-layered packet filtering and remote management of network devices
TW586709U (en) * 2003-02-18 2004-05-01 Channel Inc W Device for observing network packets
US20040162992A1 (en) * 2003-02-19 2004-08-19 Sami Vikash Krishna Internet privacy protection device
RU2005139594A (ru) * 2005-12-19 2007-06-27 Григорий Гемфриевич Дмитриев (RU) Устройство разграничения доступа между двумя сетями передачи данных в протоколе ip-межсетевой экран без операционной системы (варианты)
US7716472B2 (en) 2005-12-29 2010-05-11 Bsecure Technologies, Inc. Method and system for transparent bridging and bi-directional management of network data
US8484733B2 (en) * 2006-11-28 2013-07-09 Cisco Technology, Inc. Messaging security device
JP4985246B2 (ja) * 2007-09-04 2012-07-25 富士通株式会社 データ中継装置、データ中継方法、および、当該データ中継装置としてのコンピュータに実行される管理プログラム
US20150304395A1 (en) * 2012-04-18 2015-10-22 Nec Corporation Information processing apparatus, information processing method and program
JP6107817B2 (ja) * 2012-04-18 2017-04-05 日本電気株式会社 設計支援装置、設計支援方法およびプログラム
US9137205B2 (en) 2012-10-22 2015-09-15 Centripetal Networks, Inc. Methods and systems for protecting a secured network
US9565213B2 (en) 2012-10-22 2017-02-07 Centripetal Networks, Inc. Methods and systems for protecting a secured network
US9203806B2 (en) 2013-01-11 2015-12-01 Centripetal Networks, Inc. Rule swapping in a packet network
US9124552B2 (en) 2013-03-12 2015-09-01 Centripetal Networks, Inc. Filtering network data transfers
US9094445B2 (en) 2013-03-15 2015-07-28 Centripetal Networks, Inc. Protecting networks from cyber attacks and overloading
US9264370B1 (en) 2015-02-10 2016-02-16 Centripetal Networks, Inc. Correlating packets in communications networks
US9866576B2 (en) 2015-04-17 2018-01-09 Centripetal Networks, Inc. Rule-based network-threat detection
US9787722B2 (en) * 2015-05-19 2017-10-10 Cisco Technology, Inc. Integrated development environment (IDE) for network security configuration files
US9917856B2 (en) 2015-12-23 2018-03-13 Centripetal Networks, Inc. Rule-based network-threat detection for encrypted communications
US11729144B2 (en) 2016-01-04 2023-08-15 Centripetal Networks, Llc Efficient packet capture for cyber threat analysis
US9692784B1 (en) 2016-10-25 2017-06-27 Fortress Cyber Security, LLC Security appliance
US10503899B2 (en) 2017-07-10 2019-12-10 Centripetal Networks, Inc. Cyberanalysis workflow acceleration
US10284526B2 (en) 2017-07-24 2019-05-07 Centripetal Networks, Inc. Efficient SSL/TLS proxy
US11233777B2 (en) 2017-07-24 2022-01-25 Centripetal Networks, Inc. Efficient SSL/TLS proxy
US10333898B1 (en) 2018-07-09 2019-06-25 Centripetal Networks, Inc. Methods and systems for efficient network protection
CN110875910B (zh) * 2018-08-31 2022-10-28 阿里巴巴集团控股有限公司 一种获取网络传输信息的方法、装置及系统
CN112491789B (zh) * 2020-10-20 2022-12-27 苏州浪潮智能科技有限公司 一种基于OpenStack框架的虚拟防火墙构建方法及存储介质
US11362996B2 (en) 2020-10-27 2022-06-14 Centripetal Networks, Inc. Methods and systems for efficient adaptive logging of cyber threat incidents
US11159546B1 (en) 2021-04-20 2021-10-26 Centripetal Networks, Inc. Methods and systems for efficient threat context-aware packet filtering for network protection

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5606668A (en) * 1993-12-15 1997-02-25 Checkpoint Software Technologies Ltd. System for securing inbound and outbound data packet flow in a computer network
US5802320A (en) * 1995-05-18 1998-09-01 Sun Microsystems, Inc. System for packet filtering of data packets at a computer network interface
US5818838A (en) * 1995-10-12 1998-10-06 3Com Corporation Method and apparatus for transparent intermediate system based filtering on a LAN of multicast packets
US6477648B1 (en) * 1997-03-23 2002-11-05 Novell, Inc. Trusted workstation in a networked client/server computing system
IL128814A (en) * 1999-03-03 2004-09-27 Packet Technologies Ltd Local network security
US6493752B1 (en) * 1999-05-06 2002-12-10 Watchguard Technologies Device and method for graphically displaying data movement in a secured network
JP2003505934A (ja) * 1999-07-15 2003-02-12 サン・マイクロシステムズ・インコーポレイテッド 安全なネットワーク・スイッチ

Also Published As

Publication number Publication date
WO2002084916A2 (en) 2002-10-24
JP2004531941A (ja) 2004-10-14
EP1389377A4 (en) 2006-03-22
EP1389377B1 (en) 2006-09-13
WO2002084916A3 (en) 2002-12-05
DE60214702D1 (de) 2006-10-26
ATE339841T1 (de) 2006-10-15
EP1389377A2 (en) 2004-02-18
US20040172529A1 (en) 2004-09-02
US7451306B2 (en) 2008-11-11
AUPR435501A0 (en) 2001-05-17

Similar Documents

Publication Publication Date Title
JP4677173B2 (ja) ネットワークセキュリティシステム
US7512781B2 (en) Firewall with stateful inspection
US7882540B2 (en) System and method for on-demand dynamic control of security policies/rules by a client computing device
US7181542B2 (en) Method and system for managing and configuring virtual private networks
EP0713311A1 (en) Secure gateway and method for communication between networks
JPH09505719A (ja) 相互接続コンピュータネットワークの機密保護装置
Aggarwal Network Security with pfSense: Architect, deploy, and operate enterprise-grade firewalls
WO2001082533A2 (en) Method and system for managing and configuring virtual private networks
Cisco Cisco PIX Firewall Version 2.7.14 Release Notes
Cisco Cisco PIX Firewall Version 2.7.14 Release Notes
Cisco PIX Firewall Series Version 4.1.5 Release Notes
Cisco Cisco PIX Firewall Version 2.7.14 Release Notes
Cisco Cisco PIX Firewall Version 2.7.14 Release Notes
Cisco Cisco PIX Firewall Version 2.7.14 Release Notes
Cisco Cisco PIX Firewall Version 2.7.14 Release Notes
Cisco Release Note for the Cisco 11000 Series Secure Content Accelerator (Software Version 3.2.0)
Cisco PIX Firewall Series Version 4.1.2 Release Notes
Cisco PIX Firewall Series Version 4.1.2 Release Notes
Cisco PIX Firewall Series Version 4.1.2 Release Notes
Cisco PIX Firewall Series Version 4.1.2 Release Notes
Cisco PIX Firewall Series Version 4.1.4 Release Notes
Cisco PIX Firewall Series Version 4.1.5 Release Notes
Cisco Release Note for the Cisco 11000 Series Secure Content Accelerator (Software Version 3.1.0)
Cisco Cisco PIX Firewall Version 2.7.14 Release Notes
AU2002248989B2 (en) Network security system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050407

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20070129

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070220

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20070518

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20070525

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070918

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20071128

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20071212

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20080117

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20080124

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080218

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20080812

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20081117

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20081217

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20090128

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20090220

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110131

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140204

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

LAPS Cancellation because of no payment of annual fees