JP4690480B2 - ファイアウォールサービス提供方法 - Google Patents

ファイアウォールサービス提供方法 Download PDF

Info

Publication number
JP4690480B2
JP4690480B2 JP2009215303A JP2009215303A JP4690480B2 JP 4690480 B2 JP4690480 B2 JP 4690480B2 JP 2009215303 A JP2009215303 A JP 2009215303A JP 2009215303 A JP2009215303 A JP 2009215303A JP 4690480 B2 JP4690480 B2 JP 4690480B2
Authority
JP
Japan
Prior art keywords
firewall
service
request
remote server
destination
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2009215303A
Other languages
English (en)
Other versions
JP2009295187A (ja
Inventor
ジョン コス マイケル
エル.マジェット デヴィッド
エル.シャープ ロナルド
Original Assignee
アルカテル−ルーセント ユーエスエー インコーポレーテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=25456779&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=JP4690480(B2) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by アルカテル−ルーセント ユーエスエー インコーポレーテッド filed Critical アルカテル−ルーセント ユーエスエー インコーポレーテッド
Publication of JP2009295187A publication Critical patent/JP2009295187A/ja
Application granted granted Critical
Publication of JP4690480B2 publication Critical patent/JP4690480B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0254Stateful filtering

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は、コンピュータネットワークにおける権限のないアクセスの防止に関し、特に、コンピュータネットワーク内のファイアウォール保護に関する。
コンピュータネットワークでは、情報は、通常、パケットの形で伝送される。あるサイトにある情報は、そのサイトまたは別のサイトのコマンドで、別のサイトからアクセスされ、あるいは、別のサイトへ送信される。従って、例えば情報が財産である場合、権限のないアクセスに対する保護の必要がある。このために、ファイアウォールとして知られるワークプロセッサコンポーネントで実行される、パケットフィルタリングという技術が開発され市販されている。ファイアウォールでは、パケットは検査されフィルタリングされる。すなわち、あらかじめ定義されたアクセスルールのセットに従っているかどうかに応じて、パケットは、通過し、あるいは、廃棄される。通常、このルールセットは表形式で表される。
一般に、ファイアウォールアドミニストレータは、ファイアウォールの一方の側から他方の側へは、同意された広範なアクセスを許容するが、アクティブなネットワークセッションの一部ではない逆向きの伝送は遮断する。例えば、会社の「内部」の従業員はファイアウォールを通じてインターネットのような「外部」のネットワークに無制限にアクセスすることができるが、インターネットからのアクセスは、特別に権限を与えられていなければ遮断される。このような、会社とインターネットの境界にあるファイアウォールに加えて、ファイアウォールは、ネットワークドメイン間にも置かれることがあり、また、ドメイン内でも、サブドメインを保護するために用いられることがある。それぞれの場合において、異なるセキュリティポリシーが関係している。
いくつかの複雑なネットワークプロトコルでは、外部からユーザへ戻る別個の追加のネットワークセッションが必要とされる。そのような複雑なプロトコルの1つは、RealAudioという商品名で知られているサービスによって用いられている。特別の処置がなければ、この別個のセッションに対する要求はファイアウォールによって遮断されてしまう。
このような複雑なプロトコルに対して、ユーザの代わりにファイアウォールプロセッサ上で並行して走る別個の「プロキシ」プロセスが開発されている。プロキシプロセスは、別の特殊目的アプリケーション、例えば、認証、メール処理、およびウィルススキャンのようなサービスを実行するためにも、開発されている。
ファイアウォールプロセッサが並行プロセスをサポートする容量には限界があるので、並行して走らせることができるセッションの数を最大にするためには、ファイアウォール上のプロキシプロセスに対する需要を最小にすることが好ましい。さらに、このような最小化は、全伝送レートに関しても、好ましい。その理由は、入力データが別々のプロセスを通ると伝送が遅くなるためである。
本発明は、処理効率を改善し、セキュリティを改善し、アクセスルール自由度を増大させ、複雑なプロトコルを扱うファイアウォールの能力を高めるように、コンピュータネットワークのファイアウォールを実現する技術を提供する。本発明の第1の特徴によれば、コンピュータネットワークファイアウォールは、与えられたパケットに対していくつかの別個のアクセスルールセットのうちのいずれかを適用することによって、(a)複数のセキュリティポリシー、(b)複数のユーザ、または、(c)複数のセキュリティポリシーおよび複数のユーザの両方をサポートすることができる。パケットに対して適用されるルールセットは、入出力ネットワークインタフェースや、ネットワークのソースおよびデスティネーションのアドレスのような情報に基づいて決定される。
本発明の第2の特徴によれば、コンピュータネットワークファイアウォールは、パケットに適用されるルール処理の結果を記憶することによって性能を改善する「状態付き」パケットフィルタリングを利用するように構成される。状態付きパケットフィルタリングは、パケットに対するルール処理結果をキャッシュし、キャッシュされた結果を利用して後続の同種のパケットに対するルール処理を迂回することによって実現される。例えば、あるネットワークセッションの特定のパケットにルールセットを適用した結果をキャッシュし、同じネットワークセッションからの後続のパケットがファイアウォールに到着したときに、キャッシュされている前のパケットからの結果を、その後続パケットに対して用いる。これにより、それぞれの入力パケットにそのルールセットを適用する必要がなくなる。
本発明の第3の特徴によれば、コンピュータネットワークファイアウォールは、ソースホストアドレス、デスティネーションホストアドレス、およびサービスタイプのようなセッションデータ項目に基づいて設定することが可能な依存関係マスクを用いて、ネットワークセッションを認証あるいは阻止する。依存関係マスクを用いて、ファイアウォールによって処理されているアクティブセッションのキャッシュに問合せをすることが可能であり、それにより、問合せを満たすセッションの数を識別することができる。この問合せを、アクセスルールに対応させ、特定のルールのセッションが、その問合せに適合する数に依存するようにすることが可能である。
本発明の第4の特徴によれば、コンピュータネットワークファイアウォールは、パケットを処理するためのアクセスルールのセットに追加された動的ルールを利用することが可能である。動的ルールによれば、与えられたルールセットは、ルールセット全体をリロードすることを要求せずに、ネットワークにおいて起こるイベントに基づいて修正される。動的ルールの例としては、単一のセッションに対してのみ用いられる「ワンタイム」ルール、指定された期間に対してのみ用いられる時限ルール、および、ある条件が満たされたときにのみ用いられるしきい値ルールがある。他のタイプの動的ルールとしては、ホストグループを定義するルールがある。この動的ルールによれば、アクセスルールセットの他の事項を変更せずに、ホストを追加あるいは削除するようにホストグループを変更することができる。
本発明の第5の特徴によれば、アプリケーションプロキシのファイアウォールの負担を軽減するように、処理のための別のサーバにネットワークセッションをリダイレクトするようコンピュータネットワークファイアウォールに対して指令することができる。この別サーバは、リダイレクトされたネットワークセッションを処理した後、そのセッションを、ファイアウォールを通じて、もとの意図されたデスティネーションへ渡す。
本発明のコンピュータネットワークファイアウォールにより、広範囲の重要なアプリケーションでのファイアウォール処理が可能となる。例えば、本発明は、ダイヤルアップアクセスゲートウェイに実装可能である。本発明の別の実施例では、ファイアウォールの第1部分がネットワークに存在し、ファイアウォールの第2部分がセットトップボックス、コンピュータあるいはその他の、家庭または会社にあるユーザ端末にあるというように分散的にも実装可能である。後者の実施例によれば、本発明のファイアウォール技術は、例えば、家庭においてインターネットとビデオアクセスの親による制御を提供することが可能である。
ユーザサイトに対するファイアウォール保護を提供するローカルエリアネットワークを通じてインターネットに接続されたいくつかのユーザサイトあるいはドメインの図である。 インターネットに接続され内部ファイアウォールを有するユーザサイトの図である。 ルールテーブルを例示する図である。 キャッシュを例示する図である。 複数のドメインに対するファイアウォール処理の全体流れ図である。 複数のドメインに対するファイアウォール処理の全体流れ図である。 ドメインテーブルを例示する図である。 複数のドメインに対するファイアウォール処理の一部の流れ図である。 依存関係マスクを例示する図である。 依存関係マスク処理の流れ図である。 ファイアウォールにおけるプロキシ反射処理の流れ図である。 リモートプロキシにおけるプロキシ反射処理の流れ図である。
ファイアウォールにおいて、例えば、別個のローカルエリアネットワーク(LAN)間あるいはLANのサブネット間でのデータの流れを制御する好ましい技術が実現される。以下で、本発明の実施例は、プロセスに関して説明する。このようなプロセスの効率的なプロトタイプは、汎用PCハードウェア上に実装するためにプログラミング言語Cを用いて、コンピュータシステムソフトウェアとして実現されている。専用のファームウェアあるいはハードウェアのコンピュータシステム実装により、さらに効率を向上させることも可能である。
1.複数のセキュリティドメインのサポート
複数のセキュリティドメインをサポートする能力により、単一のファイアウォールが、それぞれ別々のセキュリティポリシーを有する複数のユーザをサポートすることが可能となる。また、相異なるセキュリティポリシーをサブサイト間の通信に適用することができるため、このような能力は、サイト内でも使用可能である。それぞれの構成を図1および図2に例示する。
図1に、インターネット105への接続にファイアウォールを有する4つのユーザサイト101〜104(例として、会社A〜D)を示す。このような保護は、ファイアウォール設備によって提供される。ファイアウォール設備は、ここではLAN110の形態であり、ファイアウォールプロセッサ111、113および114、アドミニストレータプロセッサ115、ルータ116ならびにウェブサーバ117を有する。ファイアウォールプロセッサ113および114はそれぞれ単一のサイト(すなわち、それぞれサイト103および104)専用である。ファイアウォールプロセッサ111は、2つのサイト101および102にサービスするように設定される。ファイアウォールプロセッサ111は、2つのサイトそれぞれとインターネット105との間、および、2つのサイト間の通信に、別々のファイアウォールポリシーを実装する。ファイアウォールプロセッサ111の好ましい動作のためのプロセスについて、複数のファイアウォールポリシーのうちからの適切な選択を含めて、図5および図6を参照して後述する。
図2に、ファイアウォールプロセッサ211を通じてインターネット105に接続されたユーザサイト201を示す。アドミニストレータプロセッサ215およびルータ216は、ファイアウォールプロセッサ211に接続される。ルータ216は、ユーザサイト201の内部にある別のファイアウォールプロセッサ212および213に接続される。ファイアウォールプロセッサ212は、単一のサブサイト223(例として人事(HR))を保護する。ファイアウォール213は、2つのサブサイト(例として、給与(P)および支払(D))を、サイト201の残りの部分に対して、および、サブサイト221と222の間の通信に関して、保護するように設定される。これは、ファイアウォールプロセッサ213において、図5および図6で例示されるプロセスを用いることによって達成される。
セキュリティポリシーは、アクセスルールのセットによって表現される。アクセスルールのセットは、表(テーブル)形式で表され、ファイアウォールアドミニストレータによってファイアウォールにロードされる。図3に示すように、このようなテーブルは、ルール番号、ソースおよびデスティネーションのホストの名称、パケットで要求されることが可能な特殊サービスの名称、および、パケットに対してなされるアクションの指定を含むカテゴリに対して与えられる。特殊サービスには、例えば、プロキシサービス、ネットワークアドレス翻訳、および、暗号化が含まれる。図3では、「ソースホスト」、「デスティネーションホスト」および「サービス」というカテゴリは、パケットに対して指定されたアクションがなされるために、そのパケットに含まれるデータが満たさなければならない条件を課している。他の条件を含めることも可能であり、そのような条件は、必ずしも、パケットに含まれるデータに関係する必要はない。例えば、ルールの適用は、日時に関して条件づけられることも可能である。
あるルールにおいて、ルールテーブルに与えられたカテゴリが無関係である場合、対応するテーブルエントリは「ワイルドカード」とマークされる。これは、任意のカテゴリあるいはカテゴリの組合せに適用可能である。図3などでは、ワイルドカードエントリにアステリスク(*)を用いている。「FTP」はファイル転送プロトコル(file transfer protocol)を表す。
パケットに対するルール処理において、パケットによって満たされるルールが見つかるまで(または、ルールテーブルの最後まで。その場合、そのパケットは廃棄される。)、ルールは順に適用される。ルールを満たすパケットに対して、そのルールに含まれる各条件が満たされなければならない。例えば、図3において、ソースホストAからデスティネーションホストDへの、メールを表すパケットは、ルール20により廃棄される。以下は、本発明による例示的なルールセットカテゴリのさらに詳細なリストである。最初の5個のカテゴリ名は、図3のカテゴリに対応する。
カテゴリ名:ルール番号
説明:ドメイン内のルールの番号。ルール番号は、一意的である必要はないが、一般に、単一のサービス(例えばFTP)を表すべきである。
カテゴリ名:ソースホスト
説明:ソースホストグループの識別子またはIPアドレス。
カテゴリ名:デスティネーションホスト
説明:デスティネーションホストグループの識別子またはIPアドレス。
カテゴリ名:サービス
説明:サービスのグループまたはプロトコル/デスティネーションポート/ソースポート。
カテゴリ名:アクション
説明:ルールアクション、例えば、「通過」、「廃棄」または「プロキシ」。
カテゴリ名:廃棄通知
説明:YESの場合、アクションが「廃棄」であれば、インターネット制御メッセージプロトコル(ICMP)メッセージが送出される。
カテゴリ名:キャッシュタイムアウト
説明:セッションエントリがキャッシュから除去されるまでのアクティビティなしの秒数。
カテゴリ名:リセットセッション
説明:YESの場合、TCPセッションに対して、キャッシュタイムアウト時にコネクションの両端にTCPリセットを送る。
カテゴリ名:ルールタイムアウト
説明:ルールがルールリストから除去されるまでのアクティビティなしの秒数。
カテゴリ名:開始期間
説明:ルールに対する開始アクティブ期間。
カテゴリ名:終了期間
説明:ルールに対する終了アクティブ期間。
カテゴリ名:期間終了時セッション消去
説明:YESの場合、このルールによって許可されたセッションは期間終了時に消去(kill)される。
カテゴリ名:依存関係マスク
説明:依存関係マスク名。
カテゴリ名:入力インタフェース
説明:受信時に一致すべきインタフェース名。
カテゴリ名:出力インタフェース
説明:パケットが送信されるインタフェース名。
カテゴリ名:監査セッション
説明:監査記録生成。YESの場合、セッションの開始時および終了時に監査記録が生成される。
カテゴリ名:アラームコード
説明:ルールを特定のアラームに結び付けるために用いられるアラームコード値。
カテゴリ名:ソースホストマップグループ
説明:IPアドレス、または、マップ先のホストIPアドレスを含むホストグループ。
カテゴリ名:ソースホストマップタイプ
説明:実行されるマッピングのタイプ(例えば、「プール」あるいは「直接」)。
カテゴリ名:デスティネーションホストマップグループ
説明:IPアドレス、または、マップ先のホストIPアドレスを含むホストグループ。
カテゴリ名:デスティネーションホストマップタイプ
説明:実行されるマッピングのタイプ(例えば、「プール」あるいは「直接」)。
カテゴリ名:サービスマップグループ
説明:マップ先のデスティネーションポート番号またはデスティネーションポートを含むサービスグループ。参照されるサービスグループ内のプロトコルおよびソースポートは無視される。
カテゴリ名:サービスマップタイプ
説明:実行されるマッピングのタイプ(例えば、「プール」あるいは「直接」)。
カテゴリ名:最大使用総数
説明:このルールが使用されることが可能な最大回数。この限界に達するとルールは除去される。
カテゴリ名:最大使用並行数
説明:与えられた時刻にアクティブであることが可能な、このルールによって許可されるセッションの最大数。この数が、指定された値を下回るまで、ルールはイナクティブである。
カテゴリ名:コピー先アドレス
説明:パケットのコピーが送られるアプリケーションのアドレス。セッションキャプチャに用いられる。
カテゴリ名:トンネルデスティネーション
説明:トンネルを設定し、それをこのデスティネーションアドレスおよびプロトコルに送る。新しいIPヘッダがパケットに追加される。
カテゴリ名:トンネル条件
説明:トンネリングが必要となるときを示す。NULLの場合、チェックは不要である。INの場合、入力セッションはトンネリングされていなければならない。OUTの場合、パケットをトンネリングするアクションを開始する。BOTHの場合、両方を行う。
カテゴリ名:IPSEC条件
説明:IPセキュリティ(IPSEC(IP Security))処理が必要となるときを示す。NULLの場合、チェックは不要である。INの場合、入力セッションはIPSECを用いて保護されていなければならない。OUTの場合、IPSEC保護を追加するアクションを開始する。BOTHの場合、両方を行う。
カテゴリ名:シーケンス番号ランダム化
説明:TCPシーケンス番号をランダム化するオプション。デフォルトはNOである。
カテゴリ名:Syn Storm保護
説明:Syn Storm攻撃からの保護を提供する。デフォルトはNOである。
カテゴリ名:復帰チャネル許可
説明:YESの場合、初期パケットは同じアクションでキャッシュに順チャネルおよび逆チャネルを生成する。デフォルトはYESである。
2.状態付きパケットフィルタリング
本発明によるコンピュータネットワークファイアウォールは、「状態付き」パケットフィルタリングを利用するように設定することができる。状態付きパケットフィルタリングは、パケットに適用されたルール処理の結果をキャッシュに記憶することによって性能を改善する。状態付きパケットフィルタリングは、受信パケットに対するルール処理結果をキャッシュし、その後、キャッシュされた結果を利用して、同様のパケットに対するルール処理を迂回することにより実現される。例えば、与えられたネットワークセッションのパケットにルールセットを適用した結果をキャッシュし、同じネットワークセッションからの後続のパケットがファイアウォールに到着したときに、前のパケットからのキャッシュされた結果をその後続パケットに対して使用するようにする。これによって、入力パケットのそれぞれにルールセットを適用する必要がなくなることにより、従来のファイアウォールに比べて大幅な性能向上が実現する。
キャッシュエントリの数はルールの数の何倍にもなり得るため、キャッシュの効率的使用は、(例えばハッシュテーブルを用いた)索引付けを必要とすることがある。図4に示すように、キャッシュは「セッションキー」、ハードウェアアドレス情報、インタフェース情報、適用可能なルールの数、アラームコード、統計情報、および適用可能なアクションを含むことが可能である。セッションキーは、パケット内で送信されるデータに付加された少なくとも1つのヘッダ項目を含み、実施例では、(i)インターネットプロトコル(IP)ソースアドレス、(ii)IPデスティネーションアドレス、(iii)次のレベルのプロトコル(例えば、伝送制御プロトコル(TCP)またはユーザデータグラムプロトコル(UDP))、(iv)プロトコルに関連づけられたソースポート、および(v)プロトコルに関連づけられたデスティネーションポート、を含む。図4では、セッションキーに対して、項目(i)および(ii)は個別に示されている。項目(iii)〜(v)は、略して「TELNET」および「MAIL」で表されている。
ファイアウォールでは、ここで「ドメインサポートエンジン(DSE(domain support engine))と呼ぶ判断モジュール(エンジン)が、新しいネットワークセッションに対していずれのセキュリティポリシーを使用すべきかを判断する。新しいセッションはそれぞれ、ソースドメインおよびデスティネーションドメインのセキュリティポリシーによって承認されなければならない。インターネットへ向かうコネクションでは、単一のドメインの検査のみが実行される可能性が高い。DSEは、入力または出力ネットワークインタフェースと、各パケットのソースまたはデスティネーションネットワークアドレスに基づいて、ドメイン選択を行う。ソースまたはデスティネーションのアドレスをパケットに含めることにより、複数のユーザが、単一のネットワークインタフェースによってサポートされることが可能となる。入力または出力ネットワークインタフェースは、ネットワークインタフェースカード(NIC)(例えばインテル社(Intel Corporation)から市販されているIntel EtherExpress Pro 100Bカード)の形態のものが可能である。
図5および図6は、複数のドメインをサポートするファイアウォールによるパケット処理の全体流れ図である。このような処理は、パケットが行くドメインを判断し、適用可能なルールを検査してパケットが通ってもよいかどうかを確認し、特殊処理が必要稼働かを判断することを含む。ファイアウォールでは、各ドメインには1つ以上のネットワークインタフェースが関係づけられる。複数のドメインをサポートするインタフェースは、IPアドレスレンジを用いて、パケットを区別するように分離される。以下のステップが含まれる。
501:IPパケットがインタフェースでファイアウォールにより受信される。
502:パケットのIPヘッダからセッションキーが取得される。
503:いずれのインタフェースがパケットを受信したか、および、受信パケットのソースIPアドレスに基づいて、ソースドメインが、図7および図8に関して別に後述するように判定される。ドメインが見つからない場合、プロセスはステップ505に飛ぶ。
504:ステップ502からのセッションキーを用いて、ソースドメインのキャッシュでの一致を探索する。キャッシュ内に一致があり、アクションが「廃棄」の場合、パケットは廃棄され、プロセスはステップ501に戻る。キャッシュ内に一致がない場合、ソースドメインのルールセットで一致を探索する。ルールで一致があり、アクションが「廃棄」でない場合、プロセスはステップ505に進む。ルールで一致があり、アクションが「廃棄」の場合、対応するエントリがキャッシュに含められ、パケットは廃棄され、プロセスはステップ501に戻る。ルールで一致がない場合、パケットは廃棄され、プロセスはステップ501に戻る。
505:パケットのローカルエリアネットワーク(LAN)アドレスを用いて、しかも、ソースドメインルールがデスティネーションインタフェースを指定している場合には、そのデスティネーションインタフェースおよびルーティングテーブルを用いて、デスティネーションインタフェースが決定される。
506:デスティネーションインタフェースおよびパケットのデスティネーションアドレスを用いて、デスティネーションドメインが決定される。デスティネーションドメインが見つからない場合、または、デスティネーションドメインが直前に検査したドメインと一致する場合、プロセスはステップ508に進む。
507:ソースドメインに関してステップ504で用いられるのと同様にして、デスティネーションドメインに関して、キャッシュルックアップと、必要であればルールセットルックアップを行う。
508:パケットに適用されるルールがアドレス変更(例えば、プロキシへの)を要求する場合、あるいは、あるパケットを別のパケット内に挿入すること(「トンネルオプション」)を要求する場合、プロセスは、変更されたデスティネーションに基づく処理のためにステップ505に戻る。
509:パケットがいずれのドメインに関しても処理されなかった場合、ファイアウォール所有者はいずれのアクセスルールにも従わないインタフェース間の通信をサポートすることには関心がないので、そのパケットは廃棄可能である。
510:すべてのアクションの結果が「通過」であった場合、パケットは適当なネットワークインタフェースへ送出される。
各ネットワークインタフェースからドメインへの簡便なリンクのために、ドメインテーブルが用いられる。インタフェースが複数のドメインによって共有されている場合、アドレスレンジが含められる。これは図7に例示されている。図7には、重複のないアドレスレンジが示されている。
図8に、上記のステップ503および506で実行されるようなドメインテーブル処理を例示する。これには以下のステップが含まれる。
701:ドメインテーブルでインタフェース名が一致するものを探索する。
702:一致するテーブルエントリが見つかった場合、しかも、IPアドレスレンジが一致するテーブルエントリにある場合、パケットアドレスがそのレンジ内にあるかどうかを検査する。レンジ内にある場合、指定されたドメインが選択される。レンジ内にない場合、次のテーブルから探索を継続する。
703:一致するものがないままテーブルの終端に到達した場合、何のアクションもとらない。
3.依存関係マスク
例えばRealAudioによって用いられるプロトコルのような、外部からユーザに戻る別個の追加のネットワークセッションを要求するタイプのプロトコルの場合、ルールは、ユーザに戻るコネクションを許可する条件あるいはマスクを含むことが可能である。ただしそれは、並行してアクティブである正当な順方向のコネクション(すなわち、ソースとデスティネーションのアドレスを入れ替えたコネクション)がある場合に限る。その結果、ファイアウォール上に別個のあるいはプロキシのアプリケーションが不要となる。
本発明による依存関係マスクは、セッションキャッシュに向けられた問合せを定義することができる。マスクで定義されるすべてのフィールドを、キャッシュ内の対応するフィールドと比較することによって、一致の有無が判定される。マスク内の空フィールドは比較に用いられない。
依存関係マスクは、(a)パケット内の情報、(b)そのパケットのソースインタフェース、および(c)そのパケットが通過するために満たさなければならない1つまたはいくつかの依存条件、を用いて、ネットワークセッションの最初のパケットに対するルールで定義することが可能である。このような最初のパケットがファイアウォールによって処理されると、対応するエントリがキャッシュに作られる。
図9に、図3のものと同様のフォーマットで、依存関係マスク(「ヒットカウント」)を有するルールを示す。以下のような特殊な記号が、いくつかのホスト名にある。(i)「ドット」記号(.)は、対応するカテゴリのパケットデータを含めることを要求し、(ii)キャレット記号(^)は、代わりに異なるカテゴリからのパケットデータを含めることを要求する。「ヒットカウント」は、指定されたアクションがとられるためにキャッシュ内に見つからなければならない一致の数を示す。例えば、「REALAUDIO」という名前の依存関係マスクでは、1個の必須のTCPセッションがアクティブである限り、UDPパケットを通過させるためにはカウント1が用いられる。依存関係マスク「TELNET」では、リソースの過負荷を防ぐためにパケットを廃棄するように、カウント10が用いられる。
図10に依存関係マスク処理を例示する。これは以下のステップを含む。
901:パケットを取得し、セッションキーを抽出する。
902:プロセスはルールセットエントリを順に処理する。与えられたルールで一致が見つからない場合、プロセスはセット内の次のルールに進む。ルールセットの終端まで一致が見つからない場合、パケットは廃棄される。一致が見つかり、依存関係マスクフィールドが空の場合、プロセスはステップ905に飛ぶ。
903:パケットおよびインタフェース情報が、キャッシュ探索構造体(例えば、問合せ)の形成に含められる。依存関係マスクにおいてユーザ認証フラグがセットされている場合、キャッシュ探索構造体における対応するフラグがセットされる。このステップは、ルールの問合せ部分を定義している。
904:キャッシュで、キャッシュ探索構造体と一致するものを探索し、一致のカウントを積算する。このステップは、ルールの問合せ部分を処理している。
905:積算カウントがヒットカウント以上である場合、ルールは選択され、そのルールに対応するアクションが実行される。このようなアクションは、通過、廃棄あるいはプロキシを含むことが可能である。また、対応するエントリがキャッシュに作られる。キャッシュにおいて一致が見つからない場合、または、キャッシュに見つかったエントリが「ヒットカウント」より少ない場合、プロセスはステップ902に戻り、次のルールに進む。このステップは、問合せの結果に基づいてルールのアクション部分を処理している。
上記の依存関係マスク処理を含むルール処理は、ネットワークセッションの最初のパケットに対してのみ実行される。他のすべてのパケットのアクションは、最初のパケットの処理後にセッションキャッシュに保存されているので、他のすべてのパケットは、このルール探索機能を迂回する。
4.動的ルール
動的ルールは、例えばルール処理エンジンによって、アクセスルールとともに処理するために、必要が生ずるのに応じてアクセスルールとともに含められるルールである。動的ルールは、例えば、特定のソースおよびデスティネーションのポート番号のような、固有の現在の情報を含むことが可能である。動的ルールは、信頼されたパーティ、例えば、信頼されたアプリケーション、リモートプロキシあるいはファイアウォールアドミニストレータによって、特定のネットワークセッションに権限を与えるためにいつでもロードされることが可能である。動的ルールは、単一セッション用に設定されることも可能であり、あるいは、その使用は期限付きとすることも可能である。動的ルールによれば、ルールセット全体をリロードすることを要求することなく、与えられたルールセットを、ネットワークで起こるイベントに基づいて修正することが可能となる。
動的ルールの例としては、単一のセッションに対してのみ用いられる「ワンタイム」ルール、指定された期間に対してのみ用いられる時限ルール、および、ある条件が満たされたときにのみ用いられるしきい値ルールがある。他のタイプの動的ルールとしては、ホストグループを定義するルールがある。この動的ルールによれば、アクセスルールセットの他の事項を変更せずに、ホストを追加あるいは削除するようにホストグループを変更することができる。他の動的ルールとしては、ある特定のタイプの処理アプリケーションにおけるルールセットアップを容易にするために用いられるものがある。例えば、FTPプロキシアプリケーションは、動的ルールを用いて、データ要求に応じてFTPデータチャネルの確立の権限を与えることが可能である。この例における動的ルールは、一般に、FTP制御セッションを通じてデータ要求がなされるまではロードされず、また、1回の使用に限定され、制限された期間の間のみアクティブとされる。従って、ルールセットは、すべての要求とともに用いられる別個のデータチャネルルールを含む必要がない。その結果、ルール仕様およびルール処理が単純化されるとともに、セキュリティが改善される。
5.プロキシ反射
本発明によるプロキシ反射とは、ネットワークセッションを、処理のために他の「リモート」プロキシサーバにリダイレクトした後、ファイアウォールを通じて目的のデスティネーションへ渡すものである。新しいセッションがファイアウォールに入ると、プロキシサーバによるサービスが要求されているかどうかが判定される。プロキシサーバによるサービスが要求されている場合、ファイアウォールは、パケット内のデスティネーションアドレスを、プロキシアプリケーションのホストアドレスで置き換える。必要であれば、ファイアウォールは、サービスポートも変更することが可能である。プロキシアプリケーションは、そのセッションを受け取ると、デスティネーションへのコネクションの権限が与えられているかどうかを判定するために、ファイアウォールに対して、そのセッションのもとのデスティネーションアドレスを要求する。その後、プロキシが、自己のIPアドレスを用いてそのデスティネーションへのコネクションを形成する場合、ファイアウォールによって提供されるサービスを「単一反射」あるいは「一方向反射」という。
ユーザおよびプロキシアプリケーションによっては、デスティネーションにおいてコネクションがリモートシステムではなくもとのソースから来ているように見えなければならない場合がある。これは、例えば、ソースIPアドレスを検査して、要求されたサービスに対してサインアップしたユーザに一致するかどうかを確認するサービスの場合に当てはまる。この能力は、「二重反射」(あるいは「双方向反射」)によって提供される。この場合、出コネクションのソースアドレスはリモートプロキシからもとのユーザのソースアドレスに変更される(戻される)。この変更は、各パケットがプロキシから受信されてデスティネーションへ送られるときに、ファイアウォールで行われる。
二重反射能力を提供するため、プロキシアプリケーションは、ファイアウォールに対して、もとの入ネットワークセッションの詳細を要求する。ファイアウォールは、出コネクションで用いるポート番号を返す。このポート番号は固有のものであり、これによりファイアウォールは、ソースアドレスを正しいユーザソースアドレスにマッピングすることができるように、正しい出コネクションを識別することができる。その結果、プロキシアプリケーションは両方のパーティには見えない。
プロキシ反射を実現する際に、図11および図12を参照して以下で説明する実施例のように、動的ルールを用いることが可能である。
図11に、プロキシ反射処理を例示する。これは、ファイアウォールにおける以下のステップを含む。
1001:パケットがファイアウォールによって受信される。
1002:適当なセッションキャッシュを調べることによって、あるいは、キャッシュ内に見つからなければ、適当なルールセットを調べることによって、パケットに関係づけられたアクションが判定される。アクションが「通過」または「プロキシ」である場合、パケット処理は継続される。アクションが「廃棄」である場合、パケットは廃棄される。
1003:アクションが、ファイアウォール上でローカルにサポートされるプロキシアプリケーションを示している場合、パケットは、プロトコルスタックを通じて、待機中のプロキシアプリケーションへ送られる。
1004:アクションがリモートプロキシを示している場合、パケットのデスティネーションアドレスがリモートプロキシのアドレスで置き換えられる。設定により、デスティネーションポートを変更することも可能である。もとのパケットヘッダデータが、変更された値とともにセッションキャッシュに記録される。
1005:パケットはリモートプロキシサーバへ転送される。
図12に、リモートプロキシにおける、ステップ1005に続く処理を例示する。これは以下のステップを含む。
1006:パケットはリモートプロキシサーバアプリケーションで受信される。
1007:リモートプロキシは、ファイアウォールに対して、パケットのもとのセッションキーを要求する。
1008:リモートプロキシアプリケーションは、もとのセッションキーを用いて自己の機能(例えば、自己のセキュリティモデルに基づいてコネクションを廃棄する、要求されたサービスを実行する、あるいは、ユーザに代わってもとのデスティネーションアドレスと通信する)を実行する。リモートプロキシが単一反射を用いている場合、プロセスはステップ1011に飛ぶ。
1009:リモートプロキシアプリケーションは、暗号化されたチャネルを通じて、ファイアウォールに対して二重反射能力を要求する。
1010:ファイアウォールは、サーバからのコネクションの固有性を保証する新しいデスティネーションポート番号を決定する。ファイアウォールはこの新しいポート番号およびもとのセッションキーをプロキシアプリケーションに返す。
1011:リモートプロキシアプリケーションは、ファイアウォールに対して、自己からもとのデスティネーションへのコネクションに対する許可を要求する。
1012:ファイアウォールは、動的ルールをロードしてこのアクションを実行する。
1013:リモートプロキシは、パケットをファイアウォールに送る。ステップ1012でロードされた動的ルールに基づいて、ファイアウォールはパケットをもとのデスティネーションへ転送する。二重反射の場合、プロキシは、ステップ1010でファイアウォールによって決定されたデスティネーションポートを使用し、パケットがファイアウォール通過するときに、IPヘッダ値はもとの値に戻される。
同じセッションに関係づけられた後続のすべてのパケットは、ステップ1007および1009〜1012を飛ばすことが可能であることを除いては、同様に処理される。これは、セッションが生きている間、同じ動的ルールが適用されるからである。
本発明は、広範囲のアプリケーションで実施することができる。例えば、本発明は、ダイヤルアップアクセスゲートウェイにおけるファイアウォール性能を改善するために使用可能である。本発明の別の実施例では、ファイアウォールの第1部分がネットワークに存在し、ファイアウォールの第2部分がセットトップボックス、コンピュータあるいはその他の、家庭または会社にあるユーザ端末にあるというように分散的にも実装可能である。後者の実施例によれば、本発明のファイアウォール技術は、例えば、家庭においてインターネットとビデオアクセスの親による制御を提供することが可能である。
[発明の効果]
以上述べたごとく、本発明によれば、アプリケーションプロキシのファイアウォールの負担を軽減するように、処理のための別のサーバにネットワークセッションをリダイレクトするようコンピュータネットワークファイアウォールに対して指令することができる。この別サーバは、リダイレクトされたネットワークセッションを処理した後、そのセッションを、ファイアウォールを通じて、もとの意図されたデスティネーションへ渡す。
101 ユーザサイト
102 ユーザサイト
103 ユーザサイト
104 ユーザサイト
105 インターネット
110 LAN
111 ファイアウォールプロセッサ
113 ファイアウォールプロセッサ
114 ファイアウォールプロセッサ
115 アドミニストレータプロセッサ
116 ルータ
117 ウェブサーバ
201 ユーザサイト
211 ファイアウォールプロセッサ
212 ファイアウォールプロセッサ
213 ファイアウォールプロセッサ
215 アドミニストレータプロセッサ
216 ルータ
221 サブサイト
222 サブサイト
223 サブサイト

Claims (25)

  1. コンピュータネットワークでファイアウォールサービスを提供する方法において、該方法は、
    ファイアウォールにおいて、ソースからデスティネーションまでの所与のセッションと関連づけられた要求を受信するステップと、
    前記ファイアウォールが前記要求を許可するには、リモートサーバが実行可能なサービスが必要であるかどうかを確認する確認ステップと、
    前記ファイアウォールが前記要求を許可するにはリモートサーバが実行可能なサービスが必要である場合、前記リモートサーバへ前記要求に関連する1つもしくは複数のパケットをリダイレクトして、前記所与のセッションが前記リモートサーバに対してリダイレクトされるようにするステップであって、前記1もしくは複数のパケットのそれぞれのヘッダーの少なくとも一部分を修正する処理からなるステップと、を含むことを特徴とするファイアウォールサービス提供方法。
  2. 前記確認ステップは、セッションキーデータを使用するステップを含むことを特徴とする請求項1に記載の方法。
  3. 前記確認ステップは、セッションキーデータを使用してテーブル参照を行うステップを含むことを特徴とする請求項1に記載の方法。
  4. コンピュータネットワークでファイアウォールサービスを提供する方法において、該方法は、
    ファイアウォールにおいて、ソースからデスティネーションまでの所与のセッションと関連づけられた要求を受信するステップと、
    前記ファイアウォールが前記要求を許可するには、リモートサーバが提供可能なサービスを必要とするかどうかを確認する確認ステップと、
    前記ファイアウォールが前記要求を許可するにはリモートサーバが提供可能なサービスが必要である場合、該サービスを該リモートサーバが提供することができるように、前記要求に関連する1つもしくは複数のパケットを前記リモートサーバにリダイレクトして、前記所与のセッションが前記リモートサーバに対してリダイレクトされるようにするステップであって、前記1もしくは複数のパケットのそれぞれのヘッダーの少なくとも一部分を修正する処理からなるステップと、を含むことを特徴とするファイアウォールサービス提供方法。
  5. 前記確認ステップは、セッションキーデータを使用するステップを含むことを特徴とする請求項4に記載の方法。
  6. 前記確認ステップは、セッションキーデータを使用してテーブル参照を行うステップを含むことを特徴とする請求項4に記載の方法。
  7. コンピュータネットワークでファイアウォールサービスを提供する方法において、該方法は、
    ファイアウォールにおいて、ソースからデスティネーションまでの所与のセッションと関連づけられた要求を受信するステップと、
    前記ファイアウォールが前記要求を許可するには、リモートプロキシが実行可能なサービスが必要であるかどうかを確認する確認ステップと、
    前記ファイアウォールが前記要求を許可するにはリモートプロキシが実行可能なサービスが必要である場合、前記リモートプロキシへ前記要求に関連する1つもしくは複数のパケットをリダイレクトして、前記所与のセッションが前記リモートプロキシに対してリダイレクトされるようにするステップとであって、前記1もしくは複数のパケットのそれぞれのヘッダーの少なくとも一部分を修正する処理からなるステップと、を含むことを特徴とするファイアウォールサービス提供方法。
  8. 前記確認ステップは、セッションキーデータを使用するステップを含むことを特徴とする請求項7に記載の方法。
  9. 前記確認ステップは、セッションキーデータを使用してテーブル参照を行うステップを含むことを特徴とする請求項7に記載の方法。
  10. コンピュータネットワークでファイアウォールサービスを提供する方法において、該方法は、
    ファイアウォールにおいて、ソースからデスティネーションまでの所与のセッションと関連づけられた要求を受信するステップと、
    前記ファイアウォールが前記要求を許可するには、リモートプロキシが提供可能なサービスを必要とするかどうかを確認する確認ステップと、
    前記ファイアウォールが前記要求を許可するにはリモートプロキシが提供可能なサービスが必要である場合、該サービスを該リモートプロキシが提供することができるように、前記要求に関連する1つもしくは複数のパケットを前記リモートプロキシにリダイレクトして、前記所与のセッションが前記リモートプロキシに対してリダイレクトされるようにするステップであって、前記1もしくは複数のパケットのそれぞれのヘッダーの少なくとも一部分を修正する処理からなるステップと、を含むことを特徴とするファイアウォールサービス提供方法。
  11. 前記確認ステップは、セッションキーデータを使用するステップを含むことを特徴とする請求項10に記載の方法。
  12. 前記確認ステップは、セッションキーデータを使用してテーブル参照を行うステップを含むことを特徴とする請求項10に記載の方法。
  13. コンピュータネットワークでファイアウォールサービスを提供するコンピュータシステムにおいて、該コンピュータシステムは、
    ソースからデスティネーションまでの所与のセッションと関連づけられた要求を取得する手段と、
    前記要求は、リモートサーバが実行可能なサービスを必要とするかどうかを確認する確認手段と、
    前記サービスを前記リモートサーバが実行することができるように、前記リモートサーバへ前記要求に関連する1つもしくは複数のパケットをリダイレクトして、前記所与のセッションが前記リモートサーバに対してリダイレクトされるようにする手段であって、前記1もしくは複数のパケットのそれぞれのヘッダーの少なくとも一部分を修正するよう動作する手段と、を含むことを特徴とするコンピュータシステム。
  14. 前記リモートサーバに前記デスティネーションを通知する手段と、
    実行されるサービスに関連するパケットを前記リモートサーバから前記デスティネーションへ送るサービス送信手段とをさらに有することを特徴とする請求項13に記載のコンピュータシステム。
  15. 前記確認手段は、セッションキーデータを使用する手段を含むことを特徴とする請求項13に記載のコンピュータシステム。
  16. 前記確認手段は、セッションキーデータを使用してテーブル参照を行う手段を含むことを特徴とする請求項13に記載のコンピュータシステム。
  17. コンピュータネットワークでファイアウォールサービスを提供するコンピュータシステムにおいて、該コンピュータシステムは、
    ソースからデスティネーションまでの所与のセッションと関連づけられた要求を取得し、
    前記要求は、リモートサーバが実行可能なサービスを必要とするかどうかを確認し、
    前記要求はリモートサーバが実行可能なサービスを必要とする場合、前記サービスを前記リモートサーバが実行することができるように、前記リモートサーバへ前記要求に関連する1つもしくは複数のパケットをリダイレクトして、前記所与のセッションが前記リモートサーバに対してリダイレクトされるようにし、および前記1もしくは複数のパケットのそれぞれのヘッダーの少なくとも一部分を修正するよう動作することが可能なプロセッサを含むことを特徴とするコンピュータシステム。
  18. 前記プロセッサは、
    前記リモートサーバに前記デスティネーションを通知し、
    実行されるサービスに関連するパケットを前記リモートサーバから前記デスティネーションへ送る
    ように動作することも可能であることを特徴とする請求項17に記載のコンピュータシステム。
  19. 前記確認動作のために、前記プロセッサは、セッションキーデータを使用するように動作することが可能であることを特徴とする請求項17に記載のコンピュータシステム。
  20. 前記確認動作のために、前記プロセッサは、セッションキーデータを使用してテーブル参照を行うように動作することが可能であることを特徴とする請求項17に記載のコンピュータシステム。
  21. コンピュータネットワークでファイアウォールサービスを提供する方法において、該方法は、
    ファイアウォールにおいて、ソースからデスティネーションまでの所与のセッションと関連づけられた要求を受信するステップと、
    前記ファイアウォールが前記要求を許可するには、リモートプロキシが提供可能なサービスを必要とするかどうかを確認するステップと、
    前記ファイアウォールが前記要求を許可するにはリモートプロキシが提供可能なサービスが必要である場合、該サービスを該リモートプロキシが実行することができるように、前記要求に関連する1つもしくは複数のパケットを前記リモートプロキシに反射させて、前記所与のセッションが前記リモートプロキシに対して反射されるようにするステップとであって、前記1もしくは複数のパケットのそれぞれのヘッダーの少なくとも一部分を修正する処理からなるステップと、を含むことを特徴とするファイアウォールサービス提供方法。
  22. 前記リモートプロキシに前記デスティネーションを通知するステップと、
    実行されるサービスに関連するパケットを前記リモートプロキシから前記デスティネーションへ送るステップとをさらに有することを特徴とする請求項21に記載の方法。
  23. コンピュータネットワークでファイアウォールサービスを提供する方法において、該方法は、
    ソースからデスティネーションまでの所与のセッションと関連づけられた要求を取得するステップと、
    前記要求は、リモートサーバが実行可能なサービスを必要とするかどうかを確認するステップと、
    前記サービスを前記リモートサーバが実行することができるように、前記リモートサーバへ前記要求に関連する1つもしくは複数のパケットを反射させて、前記所与のセッションが前記リモートサーバに対して反射されるようにするステップであって、前記1もしくは複数のパケットのそれぞれのヘッダーの少なくとも一部分を修正する処理からなるステップと、を含むことを特徴とするファイアウォールサービス提供方法。
  24. コンピュータネットワークでファイアウォールサービスを提供する装置において、該装置は、
    ファイアウォールにおいて、ソースからデスティネーションまでの所与のセッションと関連づけられた要求を受信し、
    前記ファイアウォールが前記要求を許可するには、リモートプロキシが提供可能なサービスを必要とするかどうかを確認し、
    前記ファイアウォールが前記要求を許可するにはリモートプロキシが提供可能なサービスが必要である場合、該サービスを該リモートプロキシが実行することができるように、前記要求に関連する1つもしくは複数のパケットを前記リモートプロキシに反射させて、前記所与のセッションが前記リモートプロキシに対して反射されるようにし、前記1もしくは複数のパケットのそれぞれのヘッダーの少なくとも一部分を修正するよう動作することが可能な少なくとも1つのプロセッサを有することを特徴とするファイアウォールサービス提供装置。
  25. コンピュータネットワークでファイアウォールサービスを提供する装置において、該装置は、
    ソースからデスティネーションまでの所与のセッションと関連づけられた要求を取得し、
    前記要求は、リモートサーバが実行可能なサービスを必要とするかどうかを確認し、
    前記サービスを前記リモートサーバが実行することができるように、前記リモートサーバへ前記要求に関連する1つもしくは複数のパケットを反射させて、前記所与のセッションが前記リモートサーバに対して反射されるようにし、前記1もしくは複数のパケットのそれぞれのヘッダーの少なくとも一部分を修正するよう動作することが可能な少なくとも1つのプロセッサを有することを特徴とするファイアウォールサービス提供装置。
JP2009215303A 1997-09-12 2009-09-17 ファイアウォールサービス提供方法 Expired - Lifetime JP4690480B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US08/928,797 US6098172A (en) 1997-09-12 1997-09-12 Methods and apparatus for a computer network firewall with proxy reflection
US08/928797 1997-09-12

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2001348967A Division JP2002215478A (ja) 1997-09-12 2001-11-14 ファイアウォールサービス提供方法

Publications (2)

Publication Number Publication Date
JP2009295187A JP2009295187A (ja) 2009-12-17
JP4690480B2 true JP4690480B2 (ja) 2011-06-01

Family

ID=25456779

Family Applications (3)

Application Number Title Priority Date Filing Date
JP25282898A Expired - Lifetime JP3298832B2 (ja) 1997-09-12 1998-09-07 ファイアウォールサービス提供方法
JP2001348967A Pending JP2002215478A (ja) 1997-09-12 2001-11-14 ファイアウォールサービス提供方法
JP2009215303A Expired - Lifetime JP4690480B2 (ja) 1997-09-12 2009-09-17 ファイアウォールサービス提供方法

Family Applications Before (2)

Application Number Title Priority Date Filing Date
JP25282898A Expired - Lifetime JP3298832B2 (ja) 1997-09-12 1998-09-07 ファイアウォールサービス提供方法
JP2001348967A Pending JP2002215478A (ja) 1997-09-12 2001-11-14 ファイアウォールサービス提供方法

Country Status (3)

Country Link
US (1) US6098172A (ja)
EP (1) EP0909073A3 (ja)
JP (3) JP3298832B2 (ja)

Families Citing this family (217)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
SE506853C2 (sv) * 1996-06-20 1998-02-16 Anonymity Prot In Sweden Ab Metod för databearbetning
US6791947B2 (en) 1996-12-16 2004-09-14 Juniper Networks In-line packet processing
BR9808014B1 (pt) 1997-03-12 2013-06-25 “Mídia legível por computador, não transitória e sistema de rede externa”
US6775692B1 (en) * 1997-07-31 2004-08-10 Cisco Technology, Inc. Proxying and unproxying a connection using a forwarding agent
US7143438B1 (en) * 1997-09-12 2006-11-28 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with multiple domain support
US6301645B1 (en) * 1998-01-20 2001-10-09 Micron Technology, Inc. System for issuing device requests by proxy
US6779118B1 (en) 1998-05-04 2004-08-17 Auriq Systems, Inc. User specific automatic data redirection system
JPH11338798A (ja) * 1998-05-27 1999-12-10 Ntt Communication Ware Kk ネットワークシステムおよびプログラムを記録したコンピュータ読み取り可能な記録媒体
US6289384B1 (en) * 1998-06-05 2001-09-11 I2 Technologies, Inc. System and method for event notification through a firewall
US6745243B2 (en) * 1998-06-30 2004-06-01 Nortel Networks Limited Method and apparatus for network caching and load balancing
US6266707B1 (en) * 1998-08-17 2001-07-24 International Business Machines Corporation System and method for IP network address translation and IP filtering with dynamic address resolution
US6182228B1 (en) * 1998-08-17 2001-01-30 International Business Machines Corporation System and method for very fast IP packet filtering
US6687732B1 (en) * 1998-09-28 2004-02-03 Inktomi Corporation Adaptive traffic bypassing in an intercepting network driver
US6728885B1 (en) * 1998-10-09 2004-04-27 Networks Associates Technology, Inc. System and method for network access control using adaptive proxies
US6219706B1 (en) * 1998-10-16 2001-04-17 Cisco Technology, Inc. Access control for networks
JP2000132473A (ja) * 1998-10-23 2000-05-12 Oki Electric Ind Co Ltd ファイアウォール動的制御方式を用いたネットワークシステム
US6226677B1 (en) * 1998-11-25 2001-05-01 Lodgenet Entertainment Corporation Controlled communications over a global computer network
US7194554B1 (en) 1998-12-08 2007-03-20 Nomadix, Inc. Systems and methods for providing dynamic network authorization authentication and accounting
US6636894B1 (en) 1998-12-08 2003-10-21 Nomadix, Inc. Systems and methods for redirecting users having transparent computer access to a network using a gateway device having redirection capability
US8713641B1 (en) 1998-12-08 2014-04-29 Nomadix, Inc. Systems and methods for authorizing, authenticating and accounting users having transparent computer access to a network using a gateway device
US8266266B2 (en) 1998-12-08 2012-09-11 Nomadix, Inc. Systems and methods for providing dynamic network authorization, authentication and accounting
US6226372B1 (en) * 1998-12-11 2001-05-01 Securelogix Corporation Tightly integrated cooperative telecommunications firewall and scanner with distributed capabilities
US6249575B1 (en) 1998-12-11 2001-06-19 Securelogix Corporation Telephony security system
US6735291B1 (en) 1998-12-11 2004-05-11 Securelogix Corporation Virtual private switched telephone network
US6760420B2 (en) * 2000-06-14 2004-07-06 Securelogix Corporation Telephony security system
US20050025302A1 (en) * 2002-07-23 2005-02-03 Greg Schmid Virtual private switched telecommunications network
US6687353B1 (en) 1998-12-11 2004-02-03 Securelogix Corporation System and method for bringing an in-line device on-line and assuming control of calls
US6879671B2 (en) * 2003-08-27 2005-04-12 Securelogix Corporation Virtual private switched telecommunications network
US7133511B2 (en) * 1998-12-11 2006-11-07 Securelogix Corporation Telephony security system
US6700964B2 (en) 2001-07-23 2004-03-02 Securelogix Corporation Encapsulation, compression and encryption of PCM data
US6701432B1 (en) * 1999-04-01 2004-03-02 Netscreen Technologies, Inc. Firewall including local bus
US20030229809A1 (en) * 1999-04-15 2003-12-11 Asaf Wexler Transparent proxy server
US7305473B2 (en) * 1999-05-28 2007-12-04 The Coca-Cola Company Provision of transparent proxy services to a user of a client device
US7185114B1 (en) 1999-08-07 2007-02-27 Shrikumar Hariharasubrahmanian Virtual memory systems and methods
AU7757000A (en) * 1999-08-07 2002-02-05 Shrikumar Hariharasubrahmanian Systems and methods for transmitting data packets
JP4316737B2 (ja) * 1999-08-23 2009-08-19 マスプロ電工株式会社 ケーブルモデムシステム
AU779137B2 (en) * 1999-10-22 2005-01-06 Nomadix, Inc. Systems and methods for providing dynamic network authorization, authentication and accounting
EP1903830A1 (en) 1999-11-01 2008-03-26 White. Cell, Inc. Cellular data system security method
ATE383722T1 (de) * 1999-11-01 2008-01-15 White Cell Inc Verfahren für sicherheit in einem zellularen datensystem
US6912570B1 (en) * 1999-11-12 2005-06-28 Cisco Technology, Inc. Self modifying state graphs for quality of service classification
CA2399014A1 (en) * 2000-01-28 2001-08-02 At&T Corp. Method and apparatus for firewall with multiple addresses
US7140035B1 (en) * 2000-02-01 2006-11-21 Teleran Technologies, Inc. Rule based security policy enforcement
US20020023209A1 (en) * 2000-02-14 2002-02-21 Lateca Computer Inc. N.V.United Encryption and decryption of digital messages in packet transmitting networks
US6760720B1 (en) 2000-02-25 2004-07-06 Pedestrian Concepts, Inc. Search-on-the-fly/sort-on-the-fly search engine for searching databases
US7380272B2 (en) * 2000-05-17 2008-05-27 Deep Nines Incorporated System and method for detecting and eliminating IP spoofing in a data transmission network
US7058976B1 (en) 2000-05-17 2006-06-06 Deep Nines, Inc. Intelligent feedback loop process control system
US6930978B2 (en) * 2000-05-17 2005-08-16 Deep Nines, Inc. System and method for traffic management control in a data transmission network
US6914905B1 (en) 2000-06-16 2005-07-05 Extreme Networks, Inc. Method and system for VLAN aggregation
US6950947B1 (en) 2000-06-20 2005-09-27 Networks Associates Technology, Inc. System for sharing network state to enhance network throughput
ATE336847T1 (de) * 2000-06-26 2006-09-15 Tenovis Gmbh & Co Kg Firewall-vorrichtung
SE519317C2 (sv) * 2000-07-07 2003-02-11 Ericsson Telefon Ab L M Förfarande och kommunikationsenhet för att blockera oönskad trafik i ett datakommunikationssystem
US6826698B1 (en) * 2000-09-15 2004-11-30 Networks Associates Technology, Inc. System, method and computer program product for rule based network security policies
AU2002213367A1 (en) * 2000-10-20 2002-05-06 Nomadix, Inc. Systems and methods for providing dynamic network authorization, authentication and accounting
US7054930B1 (en) * 2000-10-26 2006-05-30 Cisco Technology, Inc. System and method for propagating filters
SE519251C2 (sv) * 2000-11-08 2003-02-04 Icomera Ab En metod och ett system för överföring av paket mellan två olika enheter
US8150013B2 (en) * 2000-11-10 2012-04-03 Securelogix Corporation Telephony security system
US20020066038A1 (en) * 2000-11-29 2002-05-30 Ulf Mattsson Method and a system for preventing impersonation of a database user
US20020069366A1 (en) * 2000-12-01 2002-06-06 Chad Schoettger Tunnel mechanis for providing selective external access to firewall protected devices
US6912592B2 (en) * 2001-01-05 2005-06-28 Extreme Networks, Inc. Method and system of aggregate multiple VLANs in a metropolitan area network
US7284267B1 (en) * 2001-03-08 2007-10-16 Mcafee, Inc. Automatically configuring a computer firewall based on network connection
US20020138596A1 (en) * 2001-03-09 2002-09-26 Matthew Darwin Method to proxy IP services
US20020133717A1 (en) * 2001-03-13 2002-09-19 Ciongoli Bernard M. Physical switched network security
US6732279B2 (en) * 2001-03-14 2004-05-04 Terry George Hoffman Anti-virus protection system and method
US20020133709A1 (en) 2001-03-14 2002-09-19 Hoffman Terry George Optical data transfer system - ODTS; Optically based anti-virus protection system - OBAPS
US7093280B2 (en) * 2001-03-30 2006-08-15 Juniper Networks, Inc. Internet security system
US7095716B1 (en) 2001-03-30 2006-08-22 Juniper Networks, Inc. Internet security device and method
US7283494B2 (en) 2001-04-18 2007-10-16 Skypilot Networks, Inc. Network channel access protocol-interference and load adaptive
US20020161904A1 (en) * 2001-04-30 2002-10-31 Xerox Corporation External access to protected device on private network
US7124173B2 (en) * 2001-04-30 2006-10-17 Moriarty Kathleen M Method and apparatus for intercepting performance metric packets for improved security and intrusion detection
US7016358B2 (en) * 2001-05-14 2006-03-21 Canon Kabushiki Kaisha Interface device with network isolation
EP1400061B1 (en) * 2001-06-14 2012-08-08 Cisco Technology, Inc. Stateful distributed event processing and adaptive security
US6986018B2 (en) * 2001-06-26 2006-01-10 Microsoft Corporation Method and apparatus for selecting cache and proxy policy
US6513122B1 (en) 2001-06-29 2003-01-28 Networks Associates Technology, Inc. Secure gateway for analyzing textual content to identify a harmful impact on computer systems with known vulnerabilities
US20030014659A1 (en) * 2001-07-16 2003-01-16 Koninklijke Philips Electronics N.V. Personalized filter for Web browsing
US6975602B2 (en) 2001-07-26 2005-12-13 Ericsson, Inc. Methods and systems of blocking and/or disregarding data and related wireless terminals and wireless service providers
US7023861B2 (en) 2001-07-26 2006-04-04 Mcafee, Inc. Malware scanning using a network bridge
US7523492B2 (en) * 2001-08-21 2009-04-21 Telefonaktiebolaget L M Ericsson (Publ) Secure gateway with proxy service capability servers for service level agreement checking
US7302700B2 (en) * 2001-09-28 2007-11-27 Juniper Networks, Inc. Method and apparatus for implementing a layer 3/layer 7 firewall in an L2 device
US7370353B2 (en) * 2001-11-05 2008-05-06 Cisco Technology, Inc. System and method for managing dynamic network sessions
US20030110379A1 (en) * 2001-12-07 2003-06-12 Tatu Ylonen Application gateway system, and method for maintaining security in a packet-switched information network
US7373659B1 (en) * 2001-12-20 2008-05-13 Mcafee, Inc. System, method and computer program product for applying prioritized security policies with predetermined limitations
US7139565B2 (en) 2002-01-08 2006-11-21 Seven Networks, Inc. Connection architecture for a mobile network
US7644436B2 (en) * 2002-01-24 2010-01-05 Arxceo Corporation Intelligent firewall
US9392002B2 (en) 2002-01-31 2016-07-12 Nokia Technologies Oy System and method of providing virus protection at a gateway
US7734752B2 (en) 2002-02-08 2010-06-08 Juniper Networks, Inc. Intelligent integrated network security device for high-availability applications
US7650634B2 (en) 2002-02-08 2010-01-19 Juniper Networks, Inc. Intelligent integrated network security device
US8370936B2 (en) * 2002-02-08 2013-02-05 Juniper Networks, Inc. Multi-method gateway-based network security systems and methods
US7719980B2 (en) * 2002-02-19 2010-05-18 Broadcom Corporation Method and apparatus for flexible frame processing and classification engine
US6845452B1 (en) * 2002-03-12 2005-01-18 Reactivity, Inc. Providing security for external access to a protected computer network
CN1152531C (zh) * 2002-04-23 2004-06-02 华为技术有限公司 分片报文的网络访问控制方法
US7467406B2 (en) * 2002-08-23 2008-12-16 Nxp B.V. Embedded data set processing
US20040131059A1 (en) * 2002-09-19 2004-07-08 Ram Ayyakad Single-pass packet scan
US20040146006A1 (en) * 2003-01-24 2004-07-29 Jackson Daniel H. System and method for internal network data traffic control
WO2004075515A2 (en) * 2003-02-16 2004-09-02 Securelogix Corporation An improved telephony security system
JP4581104B2 (ja) * 2003-03-28 2010-11-17 学校法人明治大学 ネットワークセキュリティシステム
US7325002B2 (en) * 2003-04-04 2008-01-29 Juniper Networks, Inc. Detection of network security breaches based on analysis of network record logs
US7327746B1 (en) * 2003-08-08 2008-02-05 Cisco Technology, Inc. System and method for detecting and directing traffic in a network environment
US7792963B2 (en) * 2003-09-04 2010-09-07 Time Warner Cable, Inc. Method to block unauthorized network traffic in a cable data network
US20050131835A1 (en) * 2003-12-12 2005-06-16 Howell James A.Jr. System for pre-trusting of applications for firewall implementations
KR20070003890A (ko) * 2004-03-02 2007-01-05 코닌클리케 필립스 일렉트로닉스 엔.브이. 적어도 두 대의 계산장치 사이에서의 연결설정시 주소와포트번호의 요약
US20050240758A1 (en) * 2004-03-31 2005-10-27 Lord Christopher J Controlling devices on an internal network from an external network
US20050235065A1 (en) 2004-04-15 2005-10-20 Nokia Corporation Method, network element, and system for providing security of a user session
CA2467603A1 (en) * 2004-05-18 2005-11-18 Ibm Canada Limited - Ibm Canada Limitee Visualization firewall rules in an auto provisioning environment
US20050261970A1 (en) 2004-05-21 2005-11-24 Wayport, Inc. Method for providing wireless services
US7581248B2 (en) * 2004-06-28 2009-08-25 International Business Machines Corporation Federated identity brokering
US8578441B2 (en) 2004-07-22 2013-11-05 Hewlett-Packard Development Company, L.P. Enforcing network security policies with packet labels
US7475424B2 (en) * 2004-09-02 2009-01-06 International Business Machines Corporation System and method for on-demand dynamic control of security policies/rules by a client computing device
US20060059558A1 (en) * 2004-09-15 2006-03-16 John Selep Proactive containment of network security attacks
US20060190998A1 (en) * 2005-02-17 2006-08-24 At&T Corp Determining firewall rules for reverse firewalls
US20070174271A1 (en) * 2005-02-18 2007-07-26 Ulf Mattsson Database system with second preprocessor and method for accessing a database
EP1864226B1 (en) * 2005-03-28 2013-05-15 Wake Forest University Methods, systems, and computer program products for network firewall policy optimization
JP4575219B2 (ja) * 2005-04-12 2010-11-04 株式会社東芝 セキュリティゲートウェイシステムとその方法およびプログラム
US8438633B1 (en) 2005-04-21 2013-05-07 Seven Networks, Inc. Flexible real-time inbox access
WO2006136660A1 (en) 2005-06-21 2006-12-28 Seven Networks International Oy Maintaining an ip connection in a mobile network
US7746862B1 (en) 2005-08-02 2010-06-29 Juniper Networks, Inc. Packet processing in a multiple processor system
US20070079366A1 (en) * 2005-10-03 2007-04-05 Microsoft Corporation Stateless bi-directional proxy
US20080248879A1 (en) * 2005-10-12 2008-10-09 Wms Gaming Inc. Gaming Device Firewall
WO2007048656A1 (de) * 2005-10-25 2007-05-03 Nokia Siemens Networks Gmbh & Co. Kg Flexible anpassung von zum schutz von kommunikationsnetzen eingesetzten filtern
US7966654B2 (en) 2005-11-22 2011-06-21 Fortinet, Inc. Computerized system and method for policy-based content filtering
US8468589B2 (en) 2006-01-13 2013-06-18 Fortinet, Inc. Computerized system and method for advanced network content processing
US7814540B1 (en) * 2005-12-23 2010-10-12 Trend Micro Inc. Systems and methods for implementing source transparent email gateways
US20070174207A1 (en) * 2006-01-26 2007-07-26 Ibm Corporation Method and apparatus for information management and collaborative design
US8924335B1 (en) 2006-03-30 2014-12-30 Pegasystems Inc. Rule-based user interface conformance methods
US20070240208A1 (en) * 2006-04-10 2007-10-11 Ming-Che Yu Network appliance for controlling hypertext transfer protocol (HTTP) messages between a local area network and a global communications network
DE102006020093A1 (de) * 2006-04-26 2007-10-31 IHP GmbH - Innovations for High Performance Microelectronics/Institut für innovative Mikroelektronik Geschütztes Ausführen einer Datenverarbeitungsanwendung eines Diensteanbieters für einen Nutzer durch eine vertrauenswürdige Ausführungsumgebung
US8024787B2 (en) * 2006-05-02 2011-09-20 Cisco Technology, Inc. Packet firewalls of particular use in packet switching devices
JP7179035B2 (ja) * 2006-06-16 2022-11-28 ハー・ルンドベック・アクチエゼルスカベット 認識機能障害(cognitive impairment)を治療するための、組み合わされたセロトニン再取り込み、5-HT3および5-HT1A活性を有する化合物としての1-[2-(2,4-ジメチルフェニルスルファニル)-フェニル]ピペラジン
CN100531158C (zh) * 2006-06-29 2009-08-19 华为技术有限公司 一种无线接入网关支持透明代理的系统及方法
US20080134300A1 (en) 2006-07-08 2008-06-05 David Izatt Method for Improving Security of Computer Networks
US7836495B2 (en) * 2006-07-28 2010-11-16 Microsoft Corporation Remote configuration of software component using proxy
US8351327B1 (en) * 2006-08-28 2013-01-08 Juniper Networks, Inc. Intermediate network device applying application-layer quality of service to channels within a communication session
US8099774B2 (en) * 2006-10-30 2012-01-17 Microsoft Corporation Dynamic updating of firewall parameters
US8250525B2 (en) 2007-03-02 2012-08-21 Pegasystems Inc. Proactive performance management for multi-user enterprise software systems
US7953895B1 (en) 2007-03-07 2011-05-31 Juniper Networks, Inc. Application identification
US8340090B1 (en) 2007-03-08 2012-12-25 Cisco Technology, Inc. Interconnecting forwarding contexts using u-turn ports
US8805425B2 (en) 2007-06-01 2014-08-12 Seven Networks, Inc. Integrated messaging
US20100031321A1 (en) 2007-06-11 2010-02-04 Protegrity Corporation Method and system for preventing impersonation of computer system user
US8135007B2 (en) * 2007-06-29 2012-03-13 Extreme Networks, Inc. Method and mechanism for port redirects in a network switch
EP2026529A1 (en) 2007-07-12 2009-02-18 Wayport, Inc. Device-specific authorization at distributed locations
US9002828B2 (en) 2007-12-13 2015-04-07 Seven Networks, Inc. Predictive content delivery
US8862657B2 (en) 2008-01-25 2014-10-14 Seven Networks, Inc. Policy based content service
US20090193338A1 (en) 2008-01-28 2009-07-30 Trevor Fiatal Reducing network and battery consumption during content delivery and playback
WO2010001188A1 (en) * 2008-07-01 2010-01-07 Thomson Licensing Transparent web proxy
CN101674321A (zh) * 2008-09-12 2010-03-17 华为技术有限公司 一种消息处理方法、装置和系统
US8909759B2 (en) 2008-10-10 2014-12-09 Seven Networks, Inc. Bandwidth measurement
US8843435B1 (en) 2009-03-12 2014-09-23 Pegasystems Inc. Techniques for dynamic data processing
US8468492B1 (en) 2009-03-30 2013-06-18 Pegasystems, Inc. System and method for creation and modification of software applications
US8458766B2 (en) * 2009-05-18 2013-06-04 Tufin Software Technologies Ltd. Method and system for management of security rule set
US8468113B2 (en) 2009-05-18 2013-06-18 Tufin Software Technologies Ltd. Method and system for management of security rule set
US8495725B2 (en) * 2009-08-28 2013-07-23 Great Wall Systems Methods, systems, and computer readable media for adaptive packet filtering
US9531674B2 (en) * 2009-11-11 2016-12-27 Microsoft Technology Licensing, Llc Virtual host security profiles
CN101820391A (zh) * 2010-03-17 2010-09-01 中兴通讯股份有限公司 用于ip网络的路由转发方法及网络设备
JP5620578B2 (ja) 2010-07-26 2014-11-05 セブン ネットワークス インコーポレイテッド 複数のアプリケーションにわたるモバイルネットワークトラフィック調整
US8838783B2 (en) 2010-07-26 2014-09-16 Seven Networks, Inc. Distributed caching for resource and mobile network traffic management
US8843153B2 (en) 2010-11-01 2014-09-23 Seven Networks, Inc. Mobile traffic categorization and policy for network use optimization while preserving user experience
WO2012060995A2 (en) 2010-11-01 2012-05-10 Michael Luna Distributed caching in a wireless network of content delivered for a mobile application over a long-held request
US8484314B2 (en) 2010-11-01 2013-07-09 Seven Networks, Inc. Distributed caching in a wireless network of content delivered for a mobile application over a long-held request
EP2636268B1 (en) 2010-11-22 2019-02-27 Seven Networks, LLC Optimization of resource polling intervals to satisfy mobile device requests
US8914841B2 (en) 2010-11-24 2014-12-16 Tufin Software Technologies Ltd. Method and system for mapping between connectivity requests and a security rule set
GB2501416B (en) 2011-01-07 2018-03-21 Seven Networks Llc System and method for reduction of mobile network traffic used for domain name system (DNS) queries
US8880487B1 (en) * 2011-02-18 2014-11-04 Pegasystems Inc. Systems and methods for distributed rules processing
US8650495B2 (en) 2011-03-21 2014-02-11 Guest Tek Interactive Entertainment Ltd. Captive portal that modifies content retrieved from designated web page to specify base domain for relative link and sends to client in response to request from client for unauthorized web page
EP2700019B1 (en) 2011-04-19 2019-03-27 Seven Networks, LLC Social caching for device resource sharing and management
US8621075B2 (en) 2011-04-27 2013-12-31 Seven Metworks, Inc. Detecting and preserving state for satisfying application requests in a distributed proxy and cache system
WO2012149221A2 (en) 2011-04-27 2012-11-01 Seven Networks, Inc. System and method for making requests on behalf of a mobile device based on atomic processes for mobile network traffic relief
US8977755B2 (en) 2011-12-06 2015-03-10 Seven Networks, Inc. Mobile device and method to utilize the failover mechanism for fault tolerance provided for mobile traffic management and network/device resource conservation
US8918503B2 (en) 2011-12-06 2014-12-23 Seven Networks, Inc. Optimization of mobile traffic directed to private networks and operator configurability thereof
US9009250B2 (en) * 2011-12-07 2015-04-14 Seven Networks, Inc. Flexible and dynamic integration schemas of a traffic management system with various network operators for network traffic alleviation
US9277443B2 (en) 2011-12-07 2016-03-01 Seven Networks, Llc Radio-awareness of mobile device for sending server-side control signals using a wireless network optimized transport protocol
WO2013090212A1 (en) 2011-12-14 2013-06-20 Seven Networks, Inc. Mobile network reporting and usage analytics system and method using aggregation of data in a distributed traffic optimization system
US9195936B1 (en) 2011-12-30 2015-11-24 Pegasystems Inc. System and method for updating or modifying an application without manual coding
US8909202B2 (en) 2012-01-05 2014-12-09 Seven Networks, Inc. Detection and management of user interactions with foreground applications on a mobile device in distributed caching
US8812695B2 (en) 2012-04-09 2014-08-19 Seven Networks, Inc. Method and system for management of a virtual network connection without heartbeat messages
US10263899B2 (en) 2012-04-10 2019-04-16 Seven Networks, Llc Enhanced customer service for mobile carriers using real-time and historical mobile application and traffic or optimization data associated with mobile devices in a mobile network
US9137281B2 (en) 2012-06-22 2015-09-15 Guest Tek Interactive Entertainment Ltd. Dynamically enabling guest device supporting network-based media sharing protocol to share media content over local area computer network of lodging establishment with subset of in-room media devices connected thereto
US8775631B2 (en) 2012-07-13 2014-07-08 Seven Networks, Inc. Dynamic bandwidth adjustment for browsing or streaming activity in a wireless network based on prediction of user behavior when interacting with mobile applications
US9178861B2 (en) 2012-10-16 2015-11-03 Guest Tek Interactive Entertainment Ltd. Off-site user access control
US9565213B2 (en) 2012-10-22 2017-02-07 Centripetal Networks, Inc. Methods and systems for protecting a secured network
US9137205B2 (en) 2012-10-22 2015-09-15 Centripetal Networks, Inc. Methods and systems for protecting a secured network
US9161258B2 (en) 2012-10-24 2015-10-13 Seven Networks, Llc Optimized and selective management of policy deployment to mobile clients in a congested network to prevent further aggravation of network congestion
US9467326B2 (en) * 2012-12-03 2016-10-11 Hewlett-Packard Development Company, L.P. Rate limiting mechanism based on device load/capacity or traffic content
US20140177497A1 (en) 2012-12-20 2014-06-26 Seven Networks, Inc. Management of mobile device radio state promotion and demotion
US8954495B2 (en) 2013-01-04 2015-02-10 Netfilx, Inc. Proxy application with dynamic filter updating
US9203806B2 (en) 2013-01-11 2015-12-01 Centripetal Networks, Inc. Rule swapping in a packet network
US9271238B2 (en) 2013-01-23 2016-02-23 Seven Networks, Llc Application or context aware fast dormancy
US8874761B2 (en) 2013-01-25 2014-10-28 Seven Networks, Inc. Signaling optimization in a wireless network for traffic utilizing proprietary and non-proprietary protocols
US8750123B1 (en) 2013-03-11 2014-06-10 Seven Networks, Inc. Mobile device equipped with mobile network congestion recognition to make intelligent decisions regarding connecting to an operator network
US9124552B2 (en) 2013-03-12 2015-09-01 Centripetal Networks, Inc. Filtering network data transfers
US9094445B2 (en) 2013-03-15 2015-07-28 Centripetal Networks, Inc. Protecting networks from cyber attacks and overloading
US20140294006A1 (en) * 2013-03-29 2014-10-02 Alcaltel-Lucent Canada Inc. Direct service mapping for nat and pnat
CA2851709A1 (en) 2013-05-16 2014-11-16 Peter S. Warrick Dns-based captive portal with integrated transparent proxy to protect against user device caching incorrect ip address
US9065765B2 (en) 2013-07-22 2015-06-23 Seven Networks, Inc. Proxy server associated with a mobile carrier for enhancing mobile traffic management in a mobile network
US9853974B2 (en) * 2014-01-27 2017-12-26 Cryptography Research, Inc. Implementing access control by system-on-chip
US10482275B2 (en) * 2014-01-27 2019-11-19 Cryptography Research, Inc. Implementing access control by system-on-chip
US9276904B2 (en) * 2014-02-20 2016-03-01 Nicira, Inc. Specifying point of enforcement in a firewall rule
US20150304450A1 (en) * 2014-04-17 2015-10-22 Alcatel Lucent Canada,Inc. Method and apparatus for network function chaining
US10469396B2 (en) 2014-10-10 2019-11-05 Pegasystems, Inc. Event processing with enhanced throughput
US9264370B1 (en) 2015-02-10 2016-02-16 Centripetal Networks, Inc. Correlating packets in communications networks
US9866576B2 (en) 2015-04-17 2018-01-09 Centripetal Networks, Inc. Rule-based network-threat detection
JP2017038211A (ja) * 2015-08-10 2017-02-16 富士ゼロックス株式会社 通信制御プログラム及び情報処理装置
US9917856B2 (en) 2015-12-23 2018-03-13 Centripetal Networks, Inc. Rule-based network-threat detection for encrypted communications
US11729144B2 (en) 2016-01-04 2023-08-15 Centripetal Networks, Llc Efficient packet capture for cyber threat analysis
US10698599B2 (en) 2016-06-03 2020-06-30 Pegasystems, Inc. Connecting graphical shapes using gestures
US10698647B2 (en) 2016-07-11 2020-06-30 Pegasystems Inc. Selective sharing for collaborative application usage
US10291750B1 (en) 2016-12-13 2019-05-14 Juniper Networks, Inc. Aggregating data sessions between autonomous systems
US10320748B2 (en) 2017-02-23 2019-06-11 At&T Intellectual Property I, L.P. Single packet authorization in a cloud computing environment
CN107071034B (zh) * 2017-04-20 2019-10-11 网宿科技股份有限公司 一种数据包传输方法和系统
US10503899B2 (en) 2017-07-10 2019-12-10 Centripetal Networks, Inc. Cyberanalysis workflow acceleration
US11233777B2 (en) 2017-07-24 2022-01-25 Centripetal Networks, Inc. Efficient SSL/TLS proxy
US10284526B2 (en) 2017-07-24 2019-05-07 Centripetal Networks, Inc. Efficient SSL/TLS proxy
JP6973122B2 (ja) * 2018-01-26 2021-11-24 トヨタ自動車株式会社 車載ネットワークシステム
US10333898B1 (en) 2018-07-09 2019-06-25 Centripetal Networks, Inc. Methods and systems for efficient network protection
US11048488B2 (en) 2018-08-14 2021-06-29 Pegasystems, Inc. Software code optimizer and method
JP7225729B2 (ja) * 2018-11-21 2023-02-21 株式会社デンソー 中継装置及び中継方法
US11567945B1 (en) 2020-08-27 2023-01-31 Pegasystems Inc. Customized digital content generation systems and methods
US11362996B2 (en) 2020-10-27 2022-06-14 Centripetal Networks, Inc. Methods and systems for efficient adaptive logging of cyber threat incidents
US11159546B1 (en) 2021-04-20 2021-10-26 Centripetal Networks, Inc. Methods and systems for efficient threat context-aware packet filtering for network protection

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1997000471A2 (en) * 1993-12-15 1997-01-03 Check Point Software Technologies Ltd. A system for securing the flow of and selectively modifying packets in a computer network
US5606668A (en) * 1993-12-15 1997-02-25 Checkpoint Software Technologies Ltd. System for securing inbound and outbound data packet flow in a computer network
US5835726A (en) * 1993-12-15 1998-11-10 Check Point Software Technologies Ltd. System for securing the flow of and selectively modifying packets in a computer network
JP3371549B2 (ja) * 1994-06-28 2003-01-27 富士ゼロックス株式会社 ファクシミリ通信システム及び通信システム
US5623601A (en) * 1994-11-18 1997-04-22 Milkway Networks Corporation Apparatus and method for providing a secure gateway for communication and data exchanges between networks
US5802320A (en) * 1995-05-18 1998-09-01 Sun Microsystems, Inc. System for packet filtering of data packets at a computer network interface
US5751971A (en) * 1995-07-12 1998-05-12 Cabletron Systems, Inc. Internet protocol (IP) work group routing
US5689566A (en) * 1995-10-24 1997-11-18 Nguyen; Minhtam C. Network with secure communications sessions
US5793763A (en) * 1995-11-03 1998-08-11 Cisco Technology, Inc. Security system for network address translation systems
JP3502876B2 (ja) * 1995-12-22 2004-03-02 株式会社日立製作所 データパッシング方法
US5781550A (en) * 1996-02-02 1998-07-14 Digital Equipment Corporation Transparent and secure network gateway
US5898830A (en) * 1996-10-17 1999-04-27 Network Engineering Software Firewall providing enhanced network security and user transparency
US5673322A (en) * 1996-03-22 1997-09-30 Bell Communications Research, Inc. System and method for providing protocol translation and filtering to access the world wide web from wireless or low-bandwidth networks
US5842040A (en) * 1996-06-18 1998-11-24 Storage Technology Corporation Policy caching method and apparatus for use in a communication device based on contents of one data unit in a subset of related data units
US5828833A (en) * 1996-08-15 1998-10-27 Electronic Data Systems Corporation Method and system for allowing remote procedure calls through a network firewall
US6003084A (en) * 1996-09-13 1999-12-14 Secure Computing Corporation Secure network proxy for connecting entities
US5848233A (en) * 1996-12-09 1998-12-08 Sun Microsystems, Inc. Method and apparatus for dynamic packet filter assignment
US5845068A (en) * 1996-12-18 1998-12-01 Sun Microsystems, Inc. Multilevel security port methods, apparatuses, and computer program products
US6173364B1 (en) * 1997-01-15 2001-01-09 At&T Corp. Session cache and rule caching method for a dynamic filter

Also Published As

Publication number Publication date
JPH11167537A (ja) 1999-06-22
EP0909073A3 (en) 2003-06-04
JP3298832B2 (ja) 2002-07-08
US6098172A (en) 2000-08-01
EP0909073A2 (en) 1999-04-14
JP2002215478A (ja) 2002-08-02
JP2009295187A (ja) 2009-12-17

Similar Documents

Publication Publication Date Title
JP4690480B2 (ja) ファイアウォールサービス提供方法
JP3464610B2 (ja) パケット検証方法
JP3492920B2 (ja) パケット検証方法
JP3459183B2 (ja) パケット検証方法
JP3443529B2 (ja) ファイアウォールサービスを提供する方法と、ファイアウォールサービスを提供するコンピュータシステム
AU687575B2 (en) Security system for interconnected computer networks
US7570663B2 (en) System and method for processing packets according to concurrently reconfigurable rules
US7114008B2 (en) Edge adapter architecture apparatus and method
US6070242A (en) Method to activate unregistered systems in a distributed multiserver network environment
CN1199418C (zh) 安全会话定序的代理系统及其方法
US20220021653A1 (en) Network security device
Mohammed et al. Honeypots and Routers: Collecting internet attacks
McGann IPv6 packet filtering
Boshoff Securing Host and Application Information in the TCP/IP Protocol Suite
Khan DNS Security

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090918

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20091016

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100628

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20100928

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20101001

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20101028

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20101102

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20101228

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20101228

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110124

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110217

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140225

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

EXPY Cancellation because of completion of term