JP6069717B2 - ファイアウォールクラスターにおけるアプリケーション状態共有 - Google Patents

ファイアウォールクラスターにおけるアプリケーション状態共有 Download PDF

Info

Publication number
JP6069717B2
JP6069717B2 JP2015188965A JP2015188965A JP6069717B2 JP 6069717 B2 JP6069717 B2 JP 6069717B2 JP 2015188965 A JP2015188965 A JP 2015188965A JP 2015188965 A JP2015188965 A JP 2015188965A JP 6069717 B2 JP6069717 B2 JP 6069717B2
Authority
JP
Japan
Prior art keywords
node
firewall cluster
state data
firewall
application state
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015188965A
Other languages
English (en)
Other versions
JP2016028501A (ja
Inventor
マイナー、スペンサー
マイヤー、ポール
Original Assignee
マカフィー, インコーポレイテッド
マカフィー, インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by マカフィー, インコーポレイテッド, マカフィー, インコーポレイテッド filed Critical マカフィー, インコーポレイテッド
Publication of JP2016028501A publication Critical patent/JP2016028501A/ja
Application granted granted Critical
Publication of JP6069717B2 publication Critical patent/JP6069717B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • H04L63/0218Distributed architectures, e.g. distributed firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/16Arrangements for providing special services to substations
    • H04L12/18Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/16Arrangements for providing special services to substations
    • H04L12/18Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
    • H04L12/1813Arrangements for providing special services to substations for broadcast or conference, e.g. multicast for computer conferences, e.g. chat rooms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0654Management of faults, events, alarms or notifications using network fault recovery
    • H04L41/0668Management of faults, events, alarms or notifications using network fault recovery by dynamic selection of recovery network elements, e.g. replacement by the most appropriate element after failure
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Multimedia (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は、包括的にはファイアウォール動作に関し、より詳細には、1つの実施形態において、本発明はファイアウォールクラスターにおけるアプリケーション状態共有に関する。
[関連出願の相互参照]
本出願は、2011年9月8日に出願された米国特許出願第l3/227,825号の優先権を主張する。この米国特許出願は、引用することにより本明細書の一部をなす。
制限付き著作権放棄
本特許文書の開示の一部は、著作権保護の請求がなされた題材を含む。著作権所有者は、米国特許庁及び商標局のファイル又は記録に見られるように、いかなる者による特許文書又は特許開示のファクシミリ再生に対しても異議はないが、他のいかなる権利についてもそれらの権利の全てを留保する。
コンピューターが有益なツールである所以は主に、コンピューターが他のコンピューターシステムと通信し、コンピューターネットワークを介して情報を取り出すことが可能なことにある。ネットワークは通常、コンピューター間で情報を転送する能力をコンピューターに与える、配線、光ファイバー、無線、又は他のデータ送信手段によってリンクされた、相互接続されたコンピューター群を含む。インターネットは、おそらく最もよく知られたコンピューターネットワークであり、数百万人の人々が、ウェブページを閲覧するか、電子メールを送信するか、又は他のコンピューター間通信を実行すること等によって、数百万個の他のコンピューターにアクセスすることを可能にする。
しかし、インターネットは規模が非常に大きく、インターネットユーザーの関心に非常に多様性があるので、悪意のあるユーザー又は迷惑ユーザー(prankster)が、他のユーザーに危険を課すように他のユーザーのコンピューターと通信することを試みることは珍しくない。例えば、ハッカーは企業のコンピューターにログインして、情報を盗むか、削除するか又は変更するように試みる場合がある。コンピューターウィルス又はトロイの木馬プログラムが他のコンピューターに配信されるか、又は多数のコンピューターユーザーによって知らずにダウンロード若しくは実行される場合がある。さらに、企業等の組織内のコンピューターユーザーは時折、ファイル共有プログラムを実行するか、又は企業のネットワーク内から企業秘密をインターネットに送信する等の認可されていないネットワーク通信を実行しようと試みる場合がある。
これらの理由及び他の理由により、多くの企業、団体、及び更にはホームユーザーが、自身のローカルネットワークとインターネットとの間でネットワークファイアウォール又は同様のデバイスを用いる。ファイアウォールは通常、通過するネットワークトラフィックを調査するコンピューター化されたネットワークデバイスであり、1組の規則に基づいて所望のネットワークトラフィックの通過を許可する。
ファイアウォールは、TCP/IPパケット又は他のネットワークプロトコルパケット等の通信パケットを観察し、ソースネットワークアドレス及び宛先ネットワークアドレス、いずれのポートが用いられているか、及び接続の状態又は履歴等の特性を検査することによってフィルタリング機能を実行する。ファイアウォールによっては、特定のアプリケーションに対し行き来するパケットも検査するものもあるし、保護されたユーザーと外部のネットワーク化されたコンピューターとの間の選択されたネットワーク要求を処理及び転送することによってプロキシデバイスとして働くものもある。
ファイアウォールは通常、ファイアウォール内のネットワークトラフィックを検査すること等によって、様々なポート、ソケット及びプロトコル間の接続を監視することにより、ネットワーク情報のフローを制御する。ソケット、ポート、アプリケーション及び他の情報に基づく規則を用いて、データを選択的にフィルタリングするか又は通過させ、ネットワークアクティビティのログをとる。ファイアウォール規則は通常、ネットワークトラフィックの或る特定のタイプを識別するように構成される。これらのタイプは、禁止されるか、又は或る特定の他の制限が適用されるべきである。他の制限とは、ファイル共有プログラムに用いられることがわかっているポート上のトラフィックをブロックし、一方で従来のFTPポートを介して受信されるいかなるトラフィックもウィルススキャンすること、或る特定のアプリケーション又はユーザーがいくつかのタスクを実行することをブロックし、一方で他のユーザーがそのようなタスクを実行することを可能にすること、及び共通のIPアドレスからの異なるポートに対する反復クエリ等の既知の攻撃パターンに基づいてトラフィックをブロックすること等である。
しかし、ファイアウォールが、複数のコンピューターシステムにわたって分散されたときにそのような接続を管理する能力は、接続の知識が通常、接続をハンドリングするシステムにしか記憶されないという点で限られている。したがって、クラスターにおける改善されたファイアウォール分散が所望されている。
本発明の様々な例示的な実施形態が、3つ以上のノードを有するファイアウォールクラスターの第1のノードにおいて接続を受信し、第1のノードにおいて、受信した接続のパケットを監視するとともに、監視されているパケットから、接続に関連付けられたアプリケーション状態データを特定し、アプリケーション状態データをファイアウォールクラスター内の少なくとも別のノードと共有するように動作可能な第1のノードを含むファイアウォールクラスターシステムを含む。別のノードは、アプリケーション状態データを用いて、第1のノードが故障した場合等に接続の処理を継続するか、又は負荷分散を提供することができる。
本発明のいくつかの実施形態を実施するのに用いることができるような、ファイアウォールを含む例示的なネットワークを示す図である。
本発明のいくつかの実施形態を実施するのに用いることができるような、複数のファイアウォールノードを含むファイアウォールクラスターを含む例示的なネットワークを示す図である。
本発明の例示的な実施形態に従う、ファイアウォールクラスター内の共有アプリケーション状態データを用いる方法を示すフローチャートである。
本発明の例示的な実施形態の以下の詳細な説明において、図示及び説明のために特定の実施例が参照される。これらの実施例は、当業者が本発明を実施することを可能にするのに十分詳細に説明され、本発明を様々な目的又は実施形態にどのように適用することができるかを示す役割を果たす。本発明の他の実施形態が存在し、これらは本発明の範囲内にあり、本発明の主題又は範囲から逸脱することなく、論理的変更、機械的変更、電気的変更及び他の変更を行うことができる。しかしながら、本明細書において説明される本発明の様々な実施形態の特徴及び制限は、それらが組み込まれる例示的な実施形態に必須なものであり、発明を全体として制限するものではなく、本発明、本発明の要素、動作及び用途へのいかなる言及も、本発明を全体として制限するものではなく、これらの例示的な実施形態を定義する役割のみを果たす。したがって、以下の詳細な説明は本発明の範囲を制限せず、本発明の範囲は添付の特許請求の範囲によってのみ定義される。
図1は、101におけるインターネット等の公衆ネットワークと、プライベートネットワーク102と、103に示される、ファイアウォール及び侵入保護機能を提供するように動作可能なコンピューターネットワークデバイスとを備える通常のコンピューターネットワーク環境を示している。この特定の例において、コンピューターネットワークデバイス103は、インターネットとプライベートネットワークとの間に位置決めされ、プライベートネットワークと公衆ネットワークとの間のトラフィックフローを調整する。
ネットワークデバイス103は、様々な実施形態において、ファイアウォールデバイスであり、侵入保護デバイスであり、又はその双方として機能する。ネットワークデバイス内のファイアウォールデバイス又はモジュールは、ネットワークパケットの調査、及び1組のファイアウォールフィルタリング規則を満たすネットワークパケットのドロップ又は拒否等の様々なネットワークフロー制御機能を提供する。上記で説明したように、ファイアウォールは通常、TCP/IPパケット又は他のネットワークプロトコルパケット等の通信パケットを観察し、ソースネットワークアドレス及び宛先ネットワークアドレス、いずれのポートが用いられているか、及び接続の状態又は履歴等の特性を検査することによってフィルタリング機能を実行する。ファイアウォールによっては、いずれのアプリケーションが接続を確立したかを特定するためにパケットも検査するものもあるし、保護されたユーザーと外部のネットワーク化されたコンピューターとの間の選択されたネットワーク要求を処理及び転送することによってプロキシデバイスとして働くものもある。ファイアウォールは多くの場合に、望ましくないトラフィックの「シグネチャ」又は他の特性を用いて、有害であるとみなされるか又は他の形で望ましくないトラフィックを検出しブロックする。
ファイアウォールは通常、1組の規則を用いてトラフィックをフィルタリングし、ネットワークデータの任意の特定の要素に関して行われることが、その特定のデータにどのように規則の組が適用されるかに依拠するようにする。例えば、ポート6346への全てのトラフィックをブロックする規則は、保護されたネットワーク内のサーバー上のそのポートに向けられた着信トラフィックをブロックするが、同じサーバーの異なるポート番号に向かう他のデータはブロックしない。同様に、Shareaza等のファイル共有プログラムから発信されたトラフィックをブロックする規則は、トラフィックにおけるパターンを用いて、ポート6346上のShareazaトラフィックをブロックするが、ポート6346上の他のトラフィックは許可する。
しかし、大型のシステム又は複雑なシステム等の、ファイアウォールが複数のコンピューター又はノードにわたって分散されたシステムとして実施される環境では、複数のノードが接続を共有する能力は、接続に関するソケット情報、アプリケーション情報等のような、接続に関する管理ノードの情報に限定される。したがって、本発明のいくつかの実施形態は、クラスターファイアウォール内の他のシステムと、アプリケーションタイプ又は他のそのような接続データ等の状態情報を共有し、ファイアウォールクラスター内の複数のノードが同じ接続を処理することを可能にするメカニズムを提供する。これによって、システム間で接続の担当を移すことによって負荷分散を行い、クラスター内のノードの故障を、そのノードの接続を別のマシンに移すことによって管理し、他のそのような機能を実行する能力がクラスターに与えられる。
1つのそのような例において、ファイアウォール又は侵入保護システムは、ファイアウォールを通って流れる処理トラフィックを共有するノードのクラスター又は接続された群として実装される。図2は、本発明のいくつかの実施形態を実施するのに用いることができるような、分散ファイアウォールを有するネットワークを示している。ここで、インタネット201等のネットワークは、ファイアウォール203によって内部ネットワーク202に結合される。ファイアウォール203は、負荷分散及び他のファイアウォール管理機能等の機能を実行することができる着信トラフィックモジュール204及び発信トラフィックモジュール205を含む。ファイアウォール又は侵入保護規則はファイアウォールノード206において適用され、これらのファイアウォールノードは図示されるようにネットワーク接続によって互いに接続される。
ここで、示される5つのノードはそれぞれ、インターネット201と内部ネットワーク202との間を流れるトラフィックを選択的に許可又はブロックする規則をトラフィックに適用するように動作可能な、ファイアウォール又は関連するソフトウェアのインスタンスを実行する別個のコンピューターシステムを備える。代替の実施形態では、ノード1、ノード2及びノード3等のいくつかのノードがファイアウォールアプリケーションを実行する一方、4及び5等の他のノードは侵入保護システム(IPS)アプリケーションを実行する。ノード204及び205は、ファイアウォールノード206にルーティングされるトラフィックの負荷分散等の機能の実行を担当し、これらのノードが、単一ノードの場合よりも高いスループット能力を提供するように効率的にともに機能することができることを確保する。
いくつかのファイアウォール実施形態は、ポート、IP及び他のそのような規則をデータストリームに単に適用することを超える、複雑な接続識別機能を実行する。例えば、いくつかのファイアウォールの例は、新たな接続の最初のいくつかのパケットを監視し、アプリケーション通信プロファイル情報に基づいて、接続を開始したアプリケーションを識別するように動作可能なアプリケーション識別モジュールを含む。アプリケーションが特定されると、アプリケーション固有の(application-specific)規則を接続に適用し、ファイアウォールを通って流れるデータを制御する向上した機能を提供することができる。
206におけるファイアウォールノードが故障した場合、単純に別のノードが接続をピックアップし、ポート、IPアドレス及び他のそのような特性に基づいて、同じ従来のファイアウォール規則を適用することができる。しかし、図2の206における5つの異なるファイアウォールノードは、ポート及びIPアドレス等の識別可能な特性に基づいて接続に同じ規則を適用することができるものの、アプリケーションに基づく規則を接続に適用するように既に確立されたリンクの最初のいくつかのパケットを再検査することができない。
したがって、本発明のいくつかの実施形態は、ファイアウォールクラスター内のノードにわたるアプリケーション状態共有のメカニズムを提供し、負荷分散、又は故障したクラスターノードからの復元等のために、ファイアウォールが、アプリケーションに基づく規則が課された接続を別のノードに移すことを可能にする。1つの実施形態において、この状態共有は、図2に示すもの等のように、ファイアウォールクラスター内のノードを互いにリンクするネットワーク接続を介して処理される。アプリケーション情報を含む接続のセッション情報は複数のノードにわたって共有されるので、識別されたアプリケーションとの確立された接続を受信したノードは、ファイアウォール構成によって特定されるようにトラフィックを許可又は拒否するアプリケーション固有の規則を適用することができる。
いくつかの実施形態における状態共有は、状態情報をファイアウォールクラスター内の全ての他のノードにブロードキャストすることを含み、他のノードがそれぞれ、他のノードにおける接続のアプリケーション状態の知識を有するようにする。代替の実施形態では、マスターノードがアプリケーション状態データを受信し、このデータを記憶し、クラスター内の少なくとも2つのノードが、アプリケーション状態データが識別された接続のアプリケーション状態データを有するようにする。したがって、マスターノードは自身のアプリケーション状態データをバックアップマスターノード又は他の指定されたノードと共有し、マスターノードの故障により結果としてアプリケーション状態データが失われないようにすることができる。更に他の例では、マスターノードはアプリケーション状態情報を受信し、次にこの情報を他のノードにブロードキャストする。
図3は、本発明の例示的な実施形態に従って、ファイアウォール内の複数のノードにわたるアプリケーション状態共有を用いて、ノード故障(failed node)から復元する例を示している。301において、ローカルネットワーク202内のコンピューターとインターネット201との間でリンクが開始される。ノード間のリンクは、ノード1によって処理される。302において、ノード1は、ネットワーク接続が確立されるとすぐに、ソースポート及び宛先ポート並びにIPアドレス等の状態情報を共有する。データのいくつかのパケットがローカルコンピューターとインターネットサーバーとの間で交換された後、303において、ファイアウォールはパケット内のデータパターンを、既知のアプリケーションと関連付けられたデータパターンと比較し、多くの場合に、いずれのアプリケーションが接続を開始したのかを特定することができる。次に、304において、ファイアウォールノード1は、接続に関するこのアプリケーション状態データを他のノードと共有し、305において、このアプリケーション状態データを用いて、アプリケーション固有の規則をファイアウォールに適用する。
306において、ノード1が故障し、307において、接続がノード2にリダイレクトされる。ノード2は、ノード1から接続に関するアプリケーション状態データを以前に受信しているので、308において、ノード2は、アプリケーション固有の規則を接続に適用することを含む、データストリームのフィルタリングを再開することができる。
この例は、ノードが故障した後に、ノードが接続のフィルタリングをどのように再開することができるかを示しているが、負荷分散、又は様々なタスクへのノードの再割当て等の用途で、分散ファイアウォールクラスター内で接続をノード間で移すのに、同様の方法を用いることができる。
1つのそのような例では、ファイアウォールノード1が故障するのではなく、2つの侵入保護システムノード(図示せず)の一方である侵入保護システムノードが故障する。システムは、ファイアウォールサービスを提供するノード数と、侵入保護を提供するノード数との間で或る特定のバランスを維持することを所望し、この例では、侵入保護システムは、その2つのノードのうちの一方が故障したとき、機能の半分を失っている。したがって、システムは、故障した侵入保護ノードに置き換わるようにファイアウォールノード1を再割当てし、その結果、図2に示すように、以前にファイアウォールノード1によって処理されていた接続は、ファイアウォールノード2〜5にわたって再分散される。
これらの例は、ファイアウォールクラスター内でアプリケーション状態データを共有することによって、ファイアウォールクラスター内の負荷分散、フェイルオーバー及び他の機能をどのように容易にし、ファイアウォールクラスターにおけるネットワークトラフィックのアプリケーションに基づくフィルタリングをより扱いやすく信頼性の高いものにすることができるかを示している。
本明細書において、特定の実施形態が示され、説明されたが、当業者であれば、同じ目的を果たすように計算された任意の構成を、示された特定の実施形態に置き換えることができることを理解するであろう。本出願は、本明細書に説明した本発明の例示的な実施形態の任意の適応又は変形を包含するように意図される。本発明は特許請求の範囲及びその等価物の全範囲によってのみ限定されることが意図される。
1つの例示的な実施形態では、ファイアウォールクラスターを動作させる方法が、3つ以上のノードを有するファイアウォールクラスターの第1のノードにおいて接続を受信することと、第1のノードにおいて、受信した接続のパケットを監視するとともに、これらの監視されるパケットから、接続に関連付けられたアプリケーション状態データを特定することと、アプリケーション状態データをファイアウォールクラスター内の少なくとも別のノードと共有することとからなるプロセスを含む。この例は、接続を受信した後であるが、アプリケーション状態データを共有する前に、受信した接続に関する接続情報をファイアウォールクラスター内の少なくとも別のノードと更に共有することができる。オプションで、ファイアウォールクラスターは、接続に関連付けられたアプリケーションの識別情報を含むアプリケーション状態データを維持することができる。アプリケーション状態データを共有することは、アプリケーション状態データを、ファイアウォールクラスター内の他のノードにブロードキャストすること、又はアプリケーション状態データをマスターノードに送信することを含むことができる。マスターノードは、アプリケーション状態データをファイアウォールクラスター内の他のノードにブロードキャストするように構成することもできる。ファイアウォールクラスターはまた、接続に関連付けられた共有されたアプリケーション状態データを用いて、第1のノードの故障時に別のノードにおいて接続をフィルタリングすることもできるし、接続に関連付けられた共有されたアプリケーション状態データを用いて、別のノードにおいて接続をフィルタリングし、ファイアウォールクラスターにおける負荷分散を提供することもできる。
別の例では、ファイアウォールクラスターが第1のノードを備えることができ、この第1のノードは、3つ以上のノードを有するファイアウォールクラスターにおいて接続を受信し、この第1のノードにおいて、受信した接続のパケットを監視するとともに、これらの監視されるパケットから、接続に関連付けられたアプリケーション状態データを特定し、アプリケーション状態データをファイアウォールクラスター内の少なくとも別のノードと共有するように動作可能である。第1のノードは、接続を受信した後であるが、アプリケーション状態データを共有する前に、受信した接続に関する接続情報をファイアウォールクラスター内の少なくとも別のノードと共有するように更に動作可能とすることもできる。この例は当然ながら、上記の例において説明したいくつかの要素又は全ての要素を含むことができる。
[項目1]
3つ以上のノードを有するファイアウォールクラスターの第1のノードにおいて接続を受信することと、
前記第1のノードにおいて、前記受信した接続のパケットを監視し、前記監視されるパケットから、前記接続に関連付けられたアプリケーション状態データを特定することと、
アプリケーション状態データを前記ファイアウォールクラスター内の少なくとも別のノードと共有することと、
を含む、ファイアウォールクラスターを動作させる方法。
[項目2]
前記接続を受信した後であるが、アプリケーション状態データを共有する前に、前記受信した接続に関する接続情報を前記ファイアウォールクラスター内の少なくとも別のノードと共有することを更に含む、項目1に記載のファイアウォールクラスターを動作させる方法。
[項目3]
アプリケーション状態データは、前記接続に関連付けられたアプリケーションの識別情報を含む、項目1又は2に記載のファイアウォールクラスターを動作させる方法。
[項目4]
アプリケーション状態データを共有することは、前記アプリケーション状態データを、前記ファイアウォールクラスター内の他のノードにブロードキャストすることを含む、項目1〜3のいずれか1項に記載のファイアウォールクラスターを動作させる方法。
[項目5]
アプリケーション状態データを共有することは、前記アプリケーション状態データをマスターノードに送信することを含む、項目1〜4のいずれか1項に記載のファイアウォールクラスターを動作させる方法。
[項目6]
前記マスターノードが前記アプリケーション状態データを前記ファイアウォールクラスター内の他のノードにブロードキャストすることを更に含む、項目5に記載のファイアウォールクラスターを動作させる方法。
[項目7]
前記接続に関連付けられた前記共有されたアプリケーション状態データを用いて、前記第1のノードの故障時に別のノードにおいて前記接続をフィルタリングすることを更に含む、項目1〜6のいずれか1項に記載のファイアウォールクラスターを動作させる方法。
[項目8]
前記接続に関連付けられた前記共有されたアプリケーション状態データを用いて、別のノードにおいて前記接続をフィルタリングし、前記ファイアウォールクラスターにおける負荷分散を提供することを更に含む、項目1〜7のいずれか1項に記載のファイアウォールクラスターを動作させる方法。
[項目9]
第1のノードであって、3つ以上のノードを有するファイアウォールクラスターにおいて接続を受信し、前記第1のノードにおいて、前記受信した接続のパケットを監視するとともに、前記監視されるパケットから、前記接続に関連付けられたアプリケーション状態データを特定し、アプリケーション状態データを前記ファイアウォールクラスター内の少なくとも別のノードと共有するように動作可能な第1のノードを備える、ファイアウォールクラスター。
[項目10]
前記第1のノードは、前記接続を受信した後であるが、アプリケーション状態データを共有する前に、前記受信した接続に関する接続情報を前記ファイアウォールクラスター内の少なくとも別のノードと共有するように更に動作可能である、項目9に記載のファイアウォールクラスター。
[項目11]
アプリケーション状態データは、前記接続に関連付けられたアプリケーションの識別情報を含む、項目9又は10に記載のファイアウォールクラスター。
[項目12]
アプリケーション状態データを共有することは、前記アプリケーション状態データを、前記ファイアウォールクラスター内の他のノードにブロードキャストすることを含む、項目9〜11のいずれか1項に記載のファイアウォールクラスター。
[項目13]
マスターノードを更に備え、前記アプリケーション状態データを共有することは、前記アプリケーション状態データを前記マスターノードに送信することを含む、項目9〜12のいずれか1項に記載のファイアウォールクラスター。
[項目14]
前記マスターノードは、前記アプリケーション状態データを前記ファイアウォールクラスター内の他のノードにブロードキャストするように更に動作可能である、項目13に記載のファイアウォールクラスター。
[項目15]
前記接続に関連付けられた前記共有されたアプリケーション状態データを用いて、前記第1のノードの故障時に別のノードにおいて前記接続をフィルタリングするように動作可能な第2のノードを更に備える、項目9〜14のいずれか1項に記載のファイアウォールクラスター。
[項目16]
前記接続に関連付けられた前記共有されたアプリケーション状態データを用いて別のノードにおいて前記接続をフィルタリングし、前記ファイアウォールクラスターにおける負荷分散を提供するように動作可能な第2のノードを更に備える、項目9〜15のいずれか1項に記載のファイアウォールクラスター。
[項目17]
ファイアウォールクラスターを動作させる方法であって、
3つ以上のノードを有するファイアウォールクラスターの第1のノードにおいて接続を受信することと、
前記受信した接続に関する接続情報を前記ファイアウォールクラスター内の少なくとも別のノードと共有することと、
前記第1のノードにおいて、前記受信した接続のパケットを監視するとともに、前記監視されるパケットから、前記接続に関連付けられたアプリケーションを特定することと、
前記接続に関連付けられたアプリケーションを示すデータを、前記ファイアウォールクラスター内の2つ以上の他のノードと共有することと、
を含む、ファイアウォールクラスターを動作させる方法。
[項目18]
前記接続に関連付けられた前記アプリケーションを示す前記データを用いて、前記第1のノードの故障時に別のノードにおいて前記接続をフィルタリングすることを更に含む、項目17に記載のファイアウォールクラスターを動作させる方法。
[項目19]
前記接続に関連付けられた前記アプリケーションを示す前記データを用いて、別のノードにおいて前記接続をフィルタリングし、前記ファイアウォールクラスターにおける負荷分散を提供することを更に含む、項目17又は18に記載のファイアウォールクラスターを動作させる方法。
[項目20]
コンピュータに、
3つ以上のノードを有するファイアウォールクラスターの第1のノードによって、パケットに関連付けられた接続情報を処理することと、
接続を確立することと、
前記接続に関連付けられた状態データを前記ファイアウォールクラスター内の少なくとも1つのバックアップノードに提供することと、
前記第1のノードの故障に応じて、前記接続を前記クラスターの第2のノードに転送することと、
前記状態データを前記バックアップノードから前記第2のノードに提供することと
を実行させるためのプログラム。
[項目21]
前記コンピュータに、前記状態データを前記ファイアウォールクラスター内の他の複数のノードにブロードキャストすることをさらに実行させるための、項目20に記載のプログラム。
[項目22]
前記コンピュータに、前記状態データを前記ファイアウォールクラスター内のマスターノードに提供することをさらに実行させるための、項目20又は21に記載のプログラム。
[項目23]
前記コンピュータに、別のノードにおいて前記接続をフィルタリングし、前記ファイアウォールクラスターにおける負荷分散を提供することをさらに実行させるための、項目20〜22のいずれか一項に記載のプログラム。
[項目24]
前記コンピュータに、
アプリケーション状態データを前記少なくとも1つのバックアップノードに提供することと、
前記第1のノードの故障に応じて、前記アプリケーション状態データを前記第2のノードに提供することと
を更に実行させるための、項目20〜23のいずれか一項に記載のプログラム。
[項目25]
3つ以上のノードを有するファイアウォールクラスターの第1のノードによって、パケットに関連付けられた接続情報を処理することと、
接続を確立することと、
前記接続に関連付けられた状態データを前記ファイアウォールクラスター内の少なくとも1つのバックアップノードに提供することと、
前記第1のノードの故障に応じて、前記接続を前記クラスター内の第2のノードに転送することと、
前記状態データを前記バックアップノードから前記第2のノードに提供することと
を含む、方法。
[項目26]
前記状態データを、前記ファイアウォールクラスター内の他の複数のノードにブロードキャストすることを更に含む、項目25に記載の方法。
[項目27]
前記状態データを前記ファイアウォールクラスター内のマスターノードに提供することを更に含む、項目25又は26に記載の方法。
[項目28]
別のノードにおいて前記接続をフィルタリングし、前記ファイアウォールクラスターにおける負荷分散を提供することを更に含む、項目25〜27のいずれか一項に記載の方法。
[項目29]
アプリケーション状態データを前記少なくとも1つのバックアップノードに提供することと、
前記第1のノードの故障に応じて、前記アプリケーション状態データを前記第2のノードに提供することと
を更に含む、項目25〜28のいずれか一項に記載の方法。
[項目30]
3つ以上のノードを有するファイアウォールクラスターであって、
複数のプロセッサと、
前記複数のプロセッサのうちの1以上と通信可能に接続されたメモリと
を備え、
前記ファイアウォールクラスター内のそれぞれのノードは、前記複数のプロセッサのうちの1以上において動作するべく構成されており、
前記ファイアウォールクラスター内の第1のノードは、
パケットに関連付けられた接続情報を処理し、
接続を確立し、
前記接続に関連付けられた状態データを前記ファイアウォールクラスター内の少なくとも1つのバックアップノードに提供するように動作可能であり、
前記バックアップノードは、
前記第1のノードの故障に応じて、前記接続を、前記第1のノードから前記ファイアウォールクラスター内の第2のノードに転送し、
前記状態データを前記第2のノードに提供するように動作可能である、ファイアウォールクラスター。
[項目31]
前記第1のノードは、前記状態データを、前記ファイアウォールクラスター内の他の複数のノードにブロードキャストするように更に動作可能である、項目30に記載のファイアウォールクラスター。
[項目32]
前記第1のノードは、前記状態データを前記ファイアウォールクラスター内のマスターノードに提供するように更に動作可能である、項目30又は31に記載のファイアウォールクラスター。
[項目33]
前記マスターノードは、前記状態データを前記ファイアウォールクラスター内の他の複数のノードにブロードキャストするように動作可能である、項目32に記載のファイアウォールクラスター。
[項目34]
前記マスターノードは、別のノードにおいて前記接続をフィルタリングし、前記ファイアウォールクラスターにおける負荷分散を提供するように更に動作可能である、項目32に記載のファイアウォールクラスター。
[項目35]
前記第1のノードは、アプリケーション状態データを前記少なくとも1つのバックアップノードに提供するように更に動作可能であり、
前記バックアップノードは、前記第1のノードの前記故障に応じて、前記アプリケーション状態データを前記第2のノードに提供するように更に動作可能である、項目30〜34のいずれか一項に記載のファイアウォールクラスター。
[項目36]
3つ以上のノードを有するファイアウォールクラスターのノードであって、
1以上のプロセッサと、
メモリと
を備え、
前記メモリには、実行された場合に、1以上のプロセッサに、
前記ファイアウォールクラスターの第1のノードによって確立された接続に関連付けられた状態データを受信することと、
前記状態データを格納することと、
前記第1のノードの故障に応じて、前記接続を前記第1のノードから前記ファイアウォールクラスターの第2のノードに転送することと、
前記状態データを前記第2のノードに提供することと
を実行させるための命令が格納されている、ノード。
[項目37]
前記命令は、実行された場合に、1以上のプロセッサに、前記状態データを前記ファイアウォールクラスターの他の複数のノードにブロードキャストすることを実行させる命令を更に含む、項目36に記載のノード。
[項目38]
前記命令は、実行された場合に、1以上のプロセッサに、前記状態データを前記ファイアウォールクラスター内のマスターノードに提供することを実行させる命令を更に含む、項目36又は37に記載のノード。
[項目39]
前記命令は、実行された場合に、1以上のプロセッサに、別のノードにおいて前記接続をフィルタリングし、前記ファイアウォールクラスターにおける負荷分散を提供することを実行させる命令を更に含む、項目36〜38のいずれか一項に記載のノード。
[項目40]
前記命令は、実行された場合に、1以上のプロセッサに、
アプリケーション状態データを前記第1のノードから受信することと、
前記第1のノードの故障に応じて、前記アプリケーション状態データを前記第2のノードに提供することと
を実行させる命令を更に含む、項目36〜39のいずれか一項に記載のノード。

Claims (30)

  1. 3つ以上のノードを有するファイアウォールクラスターの第1のノードから、前記ファイアウォールクラスター内の第2のノードに、確立されたネットワーク接続のためのソースポート及び宛先ポートの情報を含む接続状態データを送信することと、
    前記第1のノードによって受信されたパケット内のデータパターンを既知のアプリケーションと関連付けられたデータパターンと比較して、いずれのアプリケーションが前記接続を開始したのかを示すアプリケーション状態データを特定することと、
    前記第1のノードから、前記ファイアウォールクラスター内の前記第2のノードに、前記アプリケーション状態データを送信することと、
    を含む、ファイアウォールクラスターを動作させる方法。
  2. 前記アプリケーション状態データを送信することは、前記アプリケーション状態データを、前記ファイアウォールクラスター内の別のノードにブロードキャストすることを含む、請求項1に記載のファイアウォールクラスターを動作させる方法。
  3. 前記アプリケーション状態データを送信することは、前記アプリケーション状態データをマスターノードに送信することを含む、請求項1又は2に記載のファイアウォールクラスターを動作させる方法。
  4. 前記マスターノードが前記アプリケーション状態データを前記ファイアウォールクラスター内の他のノードにブロードキャストすることを更に含む、請求項3に記載のファイアウォールクラスターを動作させる方法。
  5. 前記第1のノードの故障時に、別のノードにおいて、前記アプリケーション状態データを用いて前記ネットワーク接続のデータストリームのフィルタリングを実行することを更に含む、請求項1〜4のいずれか1項に記載のファイアウォールクラスターを動作させる方法。
  6. 前記アプリケーション状態データを用いて、別のノードにおいて、前記ネットワーク接続のデータストリームのフィルタリングを実行して、前記ファイアウォールクラスターにおける負荷分散を提供することを更に含む、請求項1〜5のいずれか1項に記載のファイアウォールクラスターを動作させる方法。
  7. 前記ファイアウォールクラスターは、3つ以上のファイアウォールノード及び2つの侵入保護システムノードを有し、
    前記第1のノードは、前記ファイアウォールクラスター内の第1のファイアウォールノードであり、
    前記第2のノードは、前記ファイアウォールクラスター内の第2のファイアウォールノードであり、
    前記方法は、
    前記2つの侵入保護システムノードのうちの一方の侵入保護システムノードが故障した場合に、故障した前記侵入保護システムノードに置き換わるように前記第1のファイアウォールノードを再割り当てすることと、
    前記第2のファイアウォールノードにおいて、前記接続状態データ及び前記アプリケーション状態データを用いて前記ネットワーク接続のデータストリームのフィルタリングを実行することと
    をさらに含む、請求項1に記載のファイアウォールクラスターを動作させる方法。
  8. 3つ以上のノードを有するファイアウォールクラスター内の第1のノードであって、確立されたネットワーク接続のソースポート及び宛先ポートの情報を含む接続状態データを前記ファイアウォールクラスター内の第2のノードに送信し、前記第1のノードによって受信されたパケット内のデータパターンを既知のアプリケーションと関連付けられたデータパターンと比較して、いずれのアプリケーションが前記接続を開始したのかを示すアプリケーション状態データを特定し、前記アプリケーション状態データを前記第1のノードから前記ファイアウォールクラスター内の前記第2のノードに送信するように動作可能な第1のノードを備える、ファイアウォールクラスター。
  9. 前記アプリケーション状態データを送信することは、前記アプリケーション状態データを、前記ファイアウォールクラスター内の別のノードにブロードキャストすることを含む、請求項に記載のファイアウォールクラスター。
  10. マスターノードを更に備え、前記アプリケーション状態データを送信することは、前記アプリケーション状態データを前記マスターノードに送信することを含む、請求項又はに記載のファイアウォールクラスター。
  11. 前記マスターノードは、前記アプリケーション状態データを前記ファイアウォールクラスター内の他のノードにブロードキャストするように更に動作可能である、請求項10に記載のファイアウォールクラスター。
  12. 前記第2のノードは、前記第1のノードの故障時に、前記アプリケーション状態データを用いて前記ネットワーク接続のデータストリームのフィルタリングを実行するように動作可能である、請求項11のいずれか1項に記載のファイアウォールクラスター。
  13. 前記第2のノードは、前記アプリケーション状態データを用いて、前記ネットワーク接続のデータストリームのフィルタリングを実行して、前記ファイアウォールクラスターにおける負荷分散を提供するように動作可能である、請求項11のいずれか1項に記載のファイアウォールクラスター。
  14. コンピュータに、
    3つ以上のノードを有するファイアウォールクラスターの第1のノードによって、確立されたネットワーク接続のためのソースポート及び宛先ポートの情報を含む接続状態データを、前記ファイアウォールクラスター内の少なくとも1つのバックアップノードに送信することと、
    前記第1のノードによって受信されるパケット内のデータパターンを既知のアプリケーションと関連付けられたデータパターンと比較して、いずれのアプリケーションが前記接続を開始したのかを示すアプリケーション状態データを特定することと、
    前記第1のノードから、前記ファイアウォールクラスター内の前記バックアップノードに、前記アプリケーション状態データを送信することと
    を実行させるためのプログラム。
  15. 前記コンピュータに、前記アプリケーション状態データを前記ファイアウォールクラスター内の別のノードにブロードキャストすることをさらに実行させるための、請求項14に記載のプログラム。
  16. 前記コンピュータに、前記アプリケーション状態データを前記ファイアウォールクラスターのマスターノードに送信することをさらに実行させるための、請求項14又は15に記載のプログラム。
  17. 前記コンピュータに、第2のノードによって前記ネットワーク接続のデータストリームのフィルタリングを実行し、前記ファイアウォールクラスターにおける負荷分散を提供することをさらに実行させるための、請求項1416のいずれか一項に記載のプログラム。
  18. 3つ以上のノードを有するファイアウォールクラスターの第1のノードから、確立されたネットワーク接続のためのソースポート及び宛先ポートの情報を含む接続状態データを、前記ファイアウォールクラスター内のバックアップノードに送信することと、
    前記第1のノードによって受信されたパケット内のデータパターンを既知のアプリケーションと関連付けられたデータパターンと比較して、いずれのアプリケーションが前記接続を開始したのかを示すアプリケーション状態データを特定することと、
    前記第1のノードから、前記ファイアウォールクラスター内の前記バックアップノードに、前記アプリケーション状態データを送信することと
    を含む、方法。
  19. 前記アプリケーション状態データを、前記ファイアウォールクラスター内の他のノードにブロードキャストすることを更に含む、請求項18に記載の方法。
  20. 前記アプリケーション状態データを前記ファイアウォールクラスターのマスターノードに送信することを更に含む、請求項18又は19に記載の方法。
  21. 第2のノードにおいて前記ネットワーク接続のデータストリームのフィルタリングを実行し、前記ファイアウォールクラスターにおける負荷分散を提供することを更に含む、請求項1820のいずれか一項に記載の方法。
  22. 3つ以上のノードを有するファイアウォールクラスターであって、
    複数のプロセッサと、
    前記複数のプロセッサのうちの1以上と通信可能に接続されたメモリと
    を備え、
    前記ファイアウォールクラスターのそれぞれのノードは、前記複数のプロセッサのうちの1以上において動作するべく構成されており、
    前記ファイアウォールクラスターの第1のノードは、
    確立されたネットワーク接続のためのソースポート及び宛先ポートの情報を含む接続状態データを前記ファイアウォールクラスターのバックアップノードに送信し、前記第1のノードによって受信されたパケット内のデータパターンを既知のアプリケーションと関連付けられたデータパターンと比較して、いずれのアプリケーションが前記接続を開始したのかを示すアプリケーション状態データを特定し、前記アプリケーション状態データを前記ファイアウォールクラスター内の前記バックアップノードに送信するように動作可能である、ファイアウォールクラスター。
  23. 前記第1のノードは、前記アプリケーション状態データを、前記ファイアウォールクラスター内の他のノードにブロードキャストするように更に動作可能である、請求項22に記載のファイアウォールクラスター。
  24. 前記第1のノードは、前記アプリケーション状態データを前記ファイアウォールクラスターのマスターノードに送信するように更に動作可能である、請求項22又は23に記載のファイアウォールクラスター。
  25. 前記マスターノードは、前記アプリケーション状態データを前記ファイアウォールクラスター内の他のノードにブロードキャストするように動作可能である、請求項24に記載のファイアウォールクラスター。
  26. 前記マスターノードは、第2のノードにおいて前記ネットワーク接続のデータストリームのフィルタリングを実行して、前記ファイアウォールクラスターにおける負荷分散を提供するように更に動作可能である、請求項24又は25に記載のファイアウォールクラスター。
  27. 3つ以上のノードを有するファイアウォールクラスターのノードであって、
    1以上のプロセッサと、
    メモリと
    を備え、
    前記メモリには、実行された場合に、1以上のプロセッサに、
    前記ファイアウォールクラスターの第1のノードによって、確立されたネットワーク接続のソースポート及び宛先ポートの情報を含む接続状態データを格納することと、
    前記第1のノードによって受信されたパケット内のデータパターンを既知のアプリケーションと関連付けられたデータパターンと比較して、いずれのアプリケーションが前記接続を開始したのかを示すアプリケーション状態データを特定することと、
    前記第1のノードの故障に応じて、前記接続状態データを前記第1のノードから前記ファイアウォールクラスターの第2のノードに送信することと、
    前記アプリケーション状態データを前記第2のノードに送信することと
    を実行させるための命令が格納されている、ノード。
  28. 前記命令は、実行された場合に、1以上のプロセッサに、前記アプリケーション状態データを前記ファイアウォールクラスター内の他のノードにブロードキャストすることを実行させる命令を更に含む、請求項27に記載のノード。
  29. 前記命令は、実行された場合に、1以上のプロセッサに、前記アプリケーション状態データを前記ファイアウォールクラスターのマスターノードに送信することを実行させる命令を更に含む、請求項27又は28に記載のノード。
  30. 前記命令は、実行された場合に、1以上のプロセッサに、前記第2のノードにおいて前記ネットワーク接続のデータストリームのフィルタリングを実行して、前記ファイアウォールクラスターにおける負荷分散を提供することを実行させる命令を更に含む、請求項2729のいずれか一項に記載のノード。
JP2015188965A 2011-09-08 2015-09-25 ファイアウォールクラスターにおけるアプリケーション状態共有 Active JP6069717B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US13/227,825 2011-09-08
US13/227,825 US8763106B2 (en) 2011-09-08 2011-09-08 Application state sharing in a firewall cluster

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2014529854A Division JP5816374B2 (ja) 2011-09-08 2012-09-06 ファイアウォールクラスターにおけるアプリケーション状態共有

Publications (2)

Publication Number Publication Date
JP2016028501A JP2016028501A (ja) 2016-02-25
JP6069717B2 true JP6069717B2 (ja) 2017-02-01

Family

ID=47831092

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2014529854A Active JP5816374B2 (ja) 2011-09-08 2012-09-06 ファイアウォールクラスターにおけるアプリケーション状態共有
JP2015188965A Active JP6069717B2 (ja) 2011-09-08 2015-09-25 ファイアウォールクラスターにおけるアプリケーション状態共有

Family Applications Before (1)

Application Number Title Priority Date Filing Date
JP2014529854A Active JP5816374B2 (ja) 2011-09-08 2012-09-06 ファイアウォールクラスターにおけるアプリケーション状態共有

Country Status (6)

Country Link
US (2) US8763106B2 (ja)
EP (1) EP2754264A4 (ja)
JP (2) JP5816374B2 (ja)
KR (1) KR101531472B1 (ja)
CN (2) CN103858382B (ja)
WO (1) WO2013036646A1 (ja)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8763106B2 (en) 2011-09-08 2014-06-24 Mcafee, Inc. Application state sharing in a firewall cluster
US8887263B2 (en) 2011-09-08 2014-11-11 Mcafee, Inc. Authentication sharing in a firewall cluster
US9176838B2 (en) 2012-10-19 2015-11-03 Intel Corporation Encrypted data inspection in a network environment
US9483286B2 (en) 2013-03-15 2016-11-01 Avi Networks Distributed network services
US9106610B2 (en) * 2013-06-07 2015-08-11 International Business Machines Corporation Regional firewall clustering in a networked computing environment
WO2017036535A1 (en) * 2015-09-03 2017-03-09 Huawei Technologies Co., Ltd. Distributed connection tracking
CN106603471B (zh) * 2015-10-16 2019-09-13 北京启明星辰信息安全技术有限公司 一种防火墙策略检测方法及装置
WO2017097352A1 (en) * 2015-12-09 2017-06-15 Huawei Technologies Co., Ltd. Managing a network through connection tracking
EP3349137A1 (en) * 2017-01-11 2018-07-18 Sap Se Client-side attack detection in web applications
CN107835099B (zh) * 2017-11-29 2021-09-03 新华三信息安全技术有限公司 一种信息同步方法及装置
US11258760B1 (en) * 2018-06-22 2022-02-22 Vmware, Inc. Stateful distributed web application firewall
US10771318B1 (en) 2018-10-24 2020-09-08 Vmware, Inc High availability on a distributed networking platform
CN110809330B (zh) * 2019-12-16 2023-07-14 腾讯科技(深圳)有限公司 多终端的连接建立方法和装置、存储介质及电子装置
CN111506480B (zh) * 2020-04-23 2024-03-08 上海达梦数据库有限公司 集群中组件的状态检测方法、装置和系统

Family Cites Families (41)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6880089B1 (en) 2000-03-31 2005-04-12 Avaya Technology Corp. Firewall clustering for multiple network servers
US6772226B1 (en) 2000-08-15 2004-08-03 Avaya Technology Corp. VPN device clustering using a network flow switch and a different mac address for each VPN device in the cluster
US7131140B1 (en) 2000-12-29 2006-10-31 Cisco Technology, Inc. Method for protecting a firewall load balancer from a denial of service attack
US7130305B2 (en) * 2001-07-02 2006-10-31 Stonesoft Oy Processing of data packets within a network element cluster
US7107609B2 (en) 2001-07-20 2006-09-12 Hewlett-Packard Development Company, L.P. Stateful packet forwarding in a firewall cluster
WO2003034237A1 (en) * 2001-10-18 2003-04-24 The Board Of Regents Of The University Of Nebraska Fault tolerant firewall sandwiches
US8001279B2 (en) * 2001-12-21 2011-08-16 International Business Machines Corporation Method of synchronizing firewalls in a communication system based upon a server farm
US7734752B2 (en) * 2002-02-08 2010-06-08 Juniper Networks, Inc. Intelligent integrated network security device for high-availability applications
US7447901B1 (en) 2002-06-25 2008-11-04 Cisco Technology, Inc. Method and apparatus for establishing a dynamic multipoint encrypted virtual private network
AU2003292116A1 (en) * 2002-11-27 2004-06-18 Fujitsu Siemens Computers, Inc. Method and appliance for distributing data packets sent by a computer to a cluster system
US7735129B2 (en) * 2003-02-05 2010-06-08 Nippon Telegraph And Telephone Corporation Firewall device
US7266715B1 (en) 2003-04-29 2007-09-04 Cisco Technology, Inc. Methods and apparatus for maintaining a virtual private network connection
JP2005128792A (ja) * 2003-10-23 2005-05-19 Trend Micro Inc 通信装置、プログラムおよび記憶媒体
US7389510B2 (en) 2003-11-06 2008-06-17 International Business Machines Corporation Load balancing of servers in a cluster
US7844731B1 (en) * 2003-11-14 2010-11-30 Symantec Corporation Systems and methods for address spacing in a firewall cluster
US8214481B2 (en) * 2004-02-10 2012-07-03 Seagate Technology Llc Firewall permitting access to network based on accessing party identity
US20050240989A1 (en) 2004-04-23 2005-10-27 Seoul National University Industry Foundation Method of sharing state between stateful inspection firewalls on mep network
CN1317853C (zh) * 2004-07-20 2007-05-23 联想网御科技(北京)有限公司 一种网络安全设备及其组成的实现高可用性的系统及方法
JP2006054770A (ja) * 2004-08-16 2006-02-23 Yokogawa Electric Corp ファイアウォール装置
US8146145B2 (en) 2004-09-30 2012-03-27 Rockstar Bidco Lp Method and apparatus for enabling enhanced control of traffic propagation through a network firewall
CA2594020C (en) 2004-12-22 2014-12-09 Wake Forest University Method, systems, and computer program products for implementing function-parallel network firewall
US7870602B2 (en) 2005-09-14 2011-01-11 At&T Intellectual Property I, L.P. System and method for reducing data stream interruption during failure of a firewall device
US9137204B2 (en) * 2006-02-02 2015-09-15 Check Point Software Technologies Ltd. Network security smart load balancing
US8533808B2 (en) * 2006-02-02 2013-09-10 Check Point Software Technologies Ltd. Network security smart load balancing using a multiple processor device
US8353020B2 (en) * 2006-06-14 2013-01-08 Microsoft Corporation Transparently extensible firewall cluster
US20080098113A1 (en) * 2006-10-19 2008-04-24 Gert Hansen Stateful firewall clustering for processing-intensive network applications
US8255985B2 (en) 2006-11-13 2012-08-28 At&T Intellectual Property I, L.P. Methods, network services, and computer program products for recommending security policies to firewalls
JP2008141618A (ja) * 2006-12-04 2008-06-19 Tohoku Univ ネットワークアプリケーション弁別方法、ならびに不正アクセス検出システム
CN101030946A (zh) * 2007-04-12 2007-09-05 华为技术有限公司 一种实现数据业务的方法及系统
US7822841B2 (en) * 2007-10-30 2010-10-26 Modern Grids, Inc. Method and system for hosting multiple, customized computing clusters
CA2716818C (en) * 2008-02-28 2014-06-17 Level 3 Communications, Llc Load-balancing cluster
CN101350773A (zh) * 2008-06-20 2009-01-21 中兴通讯股份有限公司 一种移动分组网络架构及其多个防火墙负载均衡接入方法
US8782286B2 (en) * 2008-09-12 2014-07-15 Cisco Technology, Inc. Optimizing state sharing between firewalls on multi-homed networks
CN101651680A (zh) * 2009-09-14 2010-02-17 杭州华三通信技术有限公司 一种网络安全部署方法和一种网络安全设备
US8493902B2 (en) 2010-08-16 2013-07-23 Florida Institute for Human and Machine Cognition Opportunistic listening system and method
US8406233B2 (en) * 2010-09-07 2013-03-26 Check Point Software Technologies Ltd. Predictive synchronization for clustered devices
US8776207B2 (en) 2011-02-16 2014-07-08 Fortinet, Inc. Load balancing in a network with session information
US8763106B2 (en) 2011-09-08 2014-06-24 Mcafee, Inc. Application state sharing in a firewall cluster
US8887263B2 (en) 2011-09-08 2014-11-11 Mcafee, Inc. Authentication sharing in a firewall cluster
US9319459B2 (en) 2011-09-19 2016-04-19 Cisco Technology, Inc. Services controlled session based flow interceptor
US20130152156A1 (en) 2011-12-12 2013-06-13 Mcafee, Inc. Vpn support in a large firewall cluster

Also Published As

Publication number Publication date
US20150082412A1 (en) 2015-03-19
CN104601597A (zh) 2015-05-06
JP2014529259A (ja) 2014-10-30
EP2754264A1 (en) 2014-07-16
US20130067556A1 (en) 2013-03-14
JP2016028501A (ja) 2016-02-25
US9876763B2 (en) 2018-01-23
CN103858382A (zh) 2014-06-11
WO2013036646A1 (en) 2013-03-14
KR101531472B1 (ko) 2015-06-24
JP5816374B2 (ja) 2015-11-18
US8763106B2 (en) 2014-06-24
CN104601597B (zh) 2018-10-26
KR20140058615A (ko) 2014-05-14
EP2754264A4 (en) 2015-05-13
CN103858382B (zh) 2018-01-16

Similar Documents

Publication Publication Date Title
JP6069717B2 (ja) ファイアウォールクラスターにおけるアプリケーション状態共有
US10721209B2 (en) Timing management in a large firewall cluster
US7146421B2 (en) Handling state information in a network element cluster
JP5908090B2 (ja) ファイアウォールクラスターにおける認証共有
US20130152156A1 (en) Vpn support in a large firewall cluster
EP2291974A1 (en) Rule combination in a firewall
JP4636345B2 (ja) セキュリティポリシー制御システム、セキュリティポリシー制御方法、及びプログラム
US8677471B2 (en) Port allocation in a firewall cluster

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160810

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160830

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20161116

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20161206

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20161212

R150 Certificate of patent or registration of utility model

Ref document number: 6069717

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250