JPH09224053A - コンピュータ・ネットワーク・インタフェースにおけるデータ・パケットのパケット・フィルタリング・システム - Google Patents

コンピュータ・ネットワーク・インタフェースにおけるデータ・パケットのパケット・フィルタリング・システム

Info

Publication number
JPH09224053A
JPH09224053A JP8147881A JP14788196A JPH09224053A JP H09224053 A JPH09224053 A JP H09224053A JP 8147881 A JP8147881 A JP 8147881A JP 14788196 A JP14788196 A JP 14788196A JP H09224053 A JPH09224053 A JP H09224053A
Authority
JP
Japan
Prior art keywords
network
packet
screen system
module
screen
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP8147881A
Other languages
English (en)
Inventor
Geoffrey G Baehr
ジェフリー・ジイ・ベール
William Danielson
ウィリアム・ダニエルソン
Thomas L Lyon
トーマス・エル・ライアン
Geoffrey Mulligan
ジェフリー・マリガン
Martin Patterson
マーティン・パターソン
Glenn C Scott
グレン・シイ・スコット
Carolyn Turbyfill
キャロライン・タービフィル
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sun Microsystems Inc
Original Assignee
Sun Microsystems Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sun Microsystems Inc filed Critical Sun Microsystems Inc
Publication of JPH09224053A publication Critical patent/JPH09224053A/ja
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

(57)【要約】 【課題】 プライベート・ネットワークなどの保護する
ネットワークと公衆ネットワークなどの他のネットワー
クとの間で伝送されるデータ・パケットをスクリーニン
グするシステムを提供する。 【解決手段】 このシステムは、プライベート・ネット
ワークおよび公衆ネットワークのそれぞれに接続され、
プライベート・ネットワーク上にあるホストおよびサー
ビスのサブセットをミラーリングすることができる所定
の数のホストおよびサービスを含む代行ネットワークに
接続された複数(特に3つ)のタイプのネットワーク・
ポートを有する専用コンピュータを備える。代行ネット
ワークはプライベート・ネットワークから分離されてお
り、したがって侵入者の出発点として使用することがで
きない。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、1つのコンピュー
タ・ネットワークから他のコンピュータ・ネットワーク
に送信されるデータ・パケットのスクリーニングに関す
る。テルネット・セッション、ftp(ファイル転送プ
ロトコル)セッション、eメール(電子メール)など、
公衆ネットワーク上のユーザがプライベート・ネットワ
ーク上のホスト機と対話する多くの方法がある。さら
に、要求者の端末を直接接続するほかに、所与のターゲ
ット・ネットワーク上のコンピュータがそのネットワー
クの外部のユーザから特定の操作を実行するように要求
されることがある。
【0002】
【従来の技術】図1に、プライベート・ネットワーク2
0、公衆ネットワーク30、および他のプライベート・
ネットワーク40を含む従来のインターネットワーク1
0を図示する。プライベート・ネットワーク20および
40は、ファイヤーウォールを備えていないときわめて
侵入を受けやすくなる。
【0003】図3に、ネットワーク・インタフェース1
60および170を制御する論理(回路、または典型的
には関連するメモリを有するプロセッサ)150によっ
て制御されるルータまたはブリッジ130を介してプラ
イベート・ネットワーク120が他のプライベート・ネ
ットワーク140と通信することができるインターネッ
トワーク110を図示する。ネットワーク140から、
ホストに宛ててネットワーク120上のポートを指定す
るデータ・パケットが着信すると、そのデータ・パケッ
トはユニット180によってそのホストおよびポートに
対応づけられ、インタフェース160を介してネットワ
ーク120上の該当する宛先に送信される。図3では、
セキュリティは設けられておらず、したがっていつでも
攻撃目標とされる可能性がある。
【0004】したがって、公衆ネットワーク80を介し
てプライベート・ネットワーク60と100が互いに通
信することができるがそれぞれファイヤウォール70お
よび90を備える、図2に示すシステム50におけるよ
うなコンピュータ・ファイヤウォールが開発されてい
る。現在使用されている従来のコンピュータ・ファイヤ
ウォール(および図3のブリッジ130のようなルータ
またはブリッジ)の問題点は、ファイヤウォールがIP
(インターネット・プロトコル)トランザクションに関
与し、その際にそれらをIP機として識別する情報を発
生し、それによってそれらが侵入者に認識されて攻撃目
標となる点である。ファイヤウォールに関するこのタイ
プおよびその他のタイプの問題の詳細な説明について
は、たとえば、参照により本明細書に組み込まれるCh
eswickとBellovinによる参考資料Fir
ewalls and Internet Secur
ity(Addison Wesley 1994)と
SiyanおよびHareによるInternet F
irewalls and Network Secu
rity(New Riders Publishin
g 1995)を参照されたい。
【0005】ファイヤウォールおよびパケット・フィル
タリング・システムは、攻撃するために用いることがで
きる方法の数を最小限にするように、侵入者にとって認
識不能であって、それにもかかわらず適切な機能を満た
すのが理想的である。
【0006】現在のネットワーク・セキュリティ解決策
は、ファイヤウォールを設けるほかにネットワークに変
更を加える必要があることが多く、複雑で費用が高くつ
くことがある。ネットワークを実質的に変更することな
くネットワークに接続可能であって、保護ネットワーク
の外部からの侵入に対してはセキュリティを実現するシ
ステムが必要である。
【0007】通例ルータとして機能し、保護ネットワー
クに結合された1つのポートまたはネットワーク・イン
タフェース及び他のネットワークまたはインターネット
に結合された他のポートを有するパケット・フィルタリ
ング・システムが、ネットワークにセキュリティを与え
るために現在使用されている。ルータとして、このよう
なシステムはIPコマンドに応答し、特にそれらのシス
テムのIPアドレスを使用してデータ・パケットに応答
するえあろう。これによって、侵入者はそれらのシステ
ムを識別と攻撃の目標とすることができる。
【0008】
【発明が解決しようとする課題】保護ネットワーク内の
アドレスがそのネットワークの外部のユーザに知られた
場合にも、同じタイプの攻撃を受ける。したがって、ネ
ットワーク内のフィルタリング・システムに関するIP
アドレス情報もホストに関するIPアドレス情報も明ら
かにせずにネットワークの外部からのデータ・パケット
に応答することができるシステムを設けると有利であ
る。
【0009】
【課題を解決するための手段】本発明は、従来の意味で
のファイヤウォールとシグネチャレス・パケット・フィ
ルタリング・システムの両方の機能を果たすスクリーン
・システムに向けられている。たとえば公衆ネットワー
クと攻撃目標になることから保護するプライベート・ネ
ットワークとの間のネットワーク接続部にスクリーンを
設置する。その2つのネットワークのそれぞれについて
ポートまたはネットワーク・インタフェースを設け、さ
らに、1つまたは複数の代行ネットワークに対して1つ
または複数の追加的ポートを設ける。
【0010】このスクリーン・システムは、各着信パケ
ットを検査してエンジンに送るパケット・フィルタリン
グ・サブシステムまたはモジュールを備え、エンジンは
パケット検査機構およびその他の情報に基づいて、その
パケットに対してどのような処置をとるべきかを決定す
る。パケットは処置サブシステムまたはモジュールに渡
され、その処置サブシステムまたはモジュールが適切な
処置を実行する。
【0011】パケットの意図された宛先がプライベート
・ネットワーク上のホスト機である場合は、代わりに代
行ネットワーク上の事前構成済みホスト機にそらして送
ることができ、そのホスト機が、実ホストが実行するは
ずの適切な操作を実行するか、または所望により異なる
操作を実行する。代行ホストは、実ホストのIPアドレ
スを使用して応答を生成するため、代行ネットワークの
存在は検知することができない。このスクリーン・シス
テムはルータではなく、したがってそれ自身のIPアド
レスは持たないため、スクリーン・システムもこのよう
にして検出することができず、trace_rout
e、ping、fingerなどの操作の対象とならな
い。
【0012】このスクリーン・システムは、プライベー
ト・ネットワークまたは公衆ネットワークの変更を必要
とせず、ネットワーク接続でインライン接続することが
でき、所望の数のホストによって代行ネットワークをセ
ット・アップすることができ、それによってプライベー
ト・ネットワークの再構成またはネットワーク・ソフト
ウェアの変更を行わずにセキュリティが設けられる。
【0013】このスクリーン・システムは、すべて所定
の基準に照らして、エラー・メッセージ付きまたはエラ
ー・メッセージなしでパケットを除去する、パケットを
記録する、パケットまたはそのヘッダを変更するなど、
パケットに対して広範囲なその他の処置を実行するよう
に事前構成することができる。以上のおよびその他の処
置はスクリーン・システムを匿名のままで実行できる。
【0014】
【発明の実施の形態】
本発明のハードウェア 図4に、本発明の実施に適したインターネットワーク・
システムを示す。公衆ネットワーク200(またはイン
ターネットなど、ネットワークのネットワーク)は、た
とえばエンジニアリング・ドメイン・ネットワーク22
0および会社ドメイン・ネットワーク230などを含む
プライベート・ネットワークまたはインターネットワー
ク210と通信することができる。図のようにネットワ
ーク220とネットワーク230および200との間に
従来のファイヤウォール240を配置する。ファイヤウ
ォールは図のように、所与のプライベート・ネットワー
ク(220)と公衆ネットワーク(200)との間のほ
か、プライベート・ネットワーク200とそのプライベ
ート・ネットワーク自体のプライベート・インターネッ
トワーク上の他のネットワーク(210など)との間に
も設置することができることに留意されたい。ネットワ
ーク化ハードウェアおよびソフトウェアは、イーサネッ
トなど任意の適合する従来のネットワーク化システムと
することができる。
【0015】ファイヤウォール240は、実施者の所望
により、単一の機械として構成することも、一方が着信
データ・パケットを処理し他方がネットワーク220か
らの送出データ・パケットを処理する別々の機械として
構成することもできる。さらに、会社ドメイン・ネット
ワーク230専用の他のファイヤウォールが通常は使用
されることになるが、この図には図示していない。
【0016】ネットワーク200または230から送信
されたデータ・パケットは、接続300または280を
介してファイヤウォール240に送られる。このファイ
ヤウォール240は、以下に記載する点以外は従来通り
とすることができる。ファイヤウォール240は、許可
されたデータ・パケットを接続250を介してネットワ
ーク220に渡す。
【0017】同様に、ネットワーク220からネットワ
ーク200内またはネットワーク230の宛先に宛てら
れたデータ・パケットは、接続270を介してファイヤ
ウォール240に送られ、ファイヤウォール240は要
求に応じて、セキュリティ条件を条件として接続310
(ネットワーク200宛ての場合)または接続290
(ネットワーク230宛ての場合)を介して渡す。接続
250および270〜310はすべて、たとえばケーブ
ル、光ファイバ、または同様のものなど、従来のネット
ワーク接続とすることができる。
【0018】図5は、インターネットワーク・システム
320で実施することができる本発明のパケット・スク
リーン・システム340の論理ブロック図である。別法
として、このインターネットワーク・システム320は
図4に示すようなインターネットワークでもよく、した
がってファイヤウォール240は、従来のファイヤウォ
ール機能のすべてに加えて以下に述べるスクリーニング
機能を扱うように構成されたスクリーン・システム34
0に置き換えることができる。
【0019】図5には、標準ネットワーク・インタフェ
ース410を介してパケット・スクリーン・システム
(または単に「スクリーン」)340に結合された単一
のプライベート・ネットワーク330が図示されてい
る。さらに、他の標準ネットワーク・インタフェース4
25を介して公衆ネットワーク350がスクリーン34
0に結合されている。第3のネットワークである代行ネ
ットワーク430が、ネットワーク・インタフェース4
20を介してスクリーン340に結合されている。
【0020】図4および図5に示すようなファイヤウォ
ール接続を使用して、任意の数Nのプライベート・ネッ
トワーク(この場合は代行ネットワークを含むものとみ
なすことができる)を本発明の複数のスクリーン340
を介して相互に結合することができ、任意の所望の数M
の公衆ネットワークに接続することができる。したがっ
て、NxMのスクリーン・システムを形成することがで
き、図5の例ではN=2でM=1である。以下の図8A
の説明も参照されたい。
【0021】N=M=1で、データ・パケットを一方向
または双方向にIPアドレスの変更なしで通過させる
か、または何らかの変更を加えるが、スクリーン・シス
テム自体のIPアドレスまたはその他のネットワーク・
アドレスを追加しない、代行ネットワークのない本発明
のシステムも同様に構築することが可能である。このよ
うなシステムについては図8Bに関して後述する。
【0022】図6にユニプロセッサ・ベースまたはマル
チプロセッサ・ベースのシステムとすることができるス
クリーン340を詳細に示す。この実施形態では、本発
明によって実行される動作を実行するために必要な命令
を記憶する1つまたは複数の従来のメモリ(たとえばR
AM、ROM、EPROM、ディスク記憶装置など)4
00に結合された単一プロセッサ390が図示されてい
る。ネットワーク・インタフェース410〜425はプ
ロセッサ390によって従来の方式で制御される。
【0023】プライベート・ネットワークは、典型的に
は多くの異なるホストを含む。例としては、eメール・
ホスト360、ftp接続を管理するftp(ファイル
転送プロトコル)ホスト370、およびWWW(ワール
ドワイド・ウェッブ)サーバなどのその他サービスのた
めのホスト380、rlogin(リモート・ログイ
ン)、およびrshellのためのホストなどがある。
【0024】代行ネットワーク430は代行(または仮
想)ホスト435を含む。代行ホスト435は別個のコ
ンピュータ・システムであることが好ましい。好ましい
実施形態では、代行ネットワーク430は、プライベー
ト・ネットワーク330にあるホストのサブセット(ま
たはすべて)のそれぞれを、後述のようにしてミラーリ
ング(すなわちその代行として機能する)仮想ホストを
備える。
【0025】この実施形態では、二重化したい各実ホス
トについて1つずつの仮想(代行)ホスト、すなわち、
代行メール・サーバ440、代行ftpサーバ450、
およびその他の仮想ホスト460を含む上記のような仮
想ホストが示されている。二重化する各実ホストには、
実ホストのうちの一部または全部を含めることができ
る。代行ホストは、実際のターゲット・ホスト360〜
380ではなくそれらのホストの動作を模倣するという
意味で「仮想」である。しかし、代行ホストは代行ネッ
トワークにおいては実際のハードウェアまたはソフトウ
ェアあるいはその両方である。
【0026】代行ネットワークに固有のホストも含める
ことができる。たとえば、代行ネットワーク430は、
代行サーバに固有の、すなわち、単なるネットワーク3
30内のWWWサーバのミラーまたは代行ではないWW
Wサーバ445を含むことができる。この場合、ネット
ワーク350からユーザが、http://www.<private.netw
ork>.comへの接続を要求すると、そのユーザはWWWサ
ーバ445に接続される。代行ネットワーク430に固
有の他のサーバ455も設けることができる。
【0027】したがって、代行ネットワークは、実ホス
トを表す代行ホスト、または固有サーバを有する代行ホ
スト、あるいはその両方を、任意の組合せ(それぞれゼ
ロから数個まで)で含むことができる。いずれの構成を
採用する場合も、プライベート・ネットワーク330と
代行ネットワーク430が合わさって単一の論理ネット
ワークまたは見かけのネットワーク345、すなわち、
公衆ネットワーク350上のユーザなど部外者の視点か
ら見て単一の見かけのドメインを形成し、ユーザがプラ
イベート・ネットワークのサービスまたはホストにアク
セスしようと試みた場合、その要求を代行ネットワーク
の方にそらしてミラリング代行ホストまたは固有代行ホ
ストに送ることができ、その際そのユーザにはこれが行
われたということをまったく示さない。「代行ホスト」
とは、実ホストの代行を意味することも、固有ホストで
あるにもかかわらず代行ネットワーク上のホストである
ことを意味する場合もあることに留意されたい。
【0028】図7に、本発明のシステムの代替実施形
態、すなわち、代行ネットワーク430全体がスクリー
ン340のメモリ400に記憶されているプログラム命
令で実施されるか、または1つまたは複数のメモリに記
憶されているプログラム命令によって制御される追加の
プロセッサおよびメモリとして実施されているシステム
325を示す。この場合、図6に示すスクリーン340
と代行ネットワーク430は、別々の論理実体を構成す
るが、別々の物理実体ではない(ただし、命令、デー
タ、コマンド、信号など自体は別々の物理実体ではあ
る)。つまり、スクリーン340と代行ネットワークは
単一のユニットであることができる。この実施形態で
は、代行ホスト360〜380はプログラム命令によっ
てエミュレートされ、いずれの実ホストの動作も、仮想
代行ホスト・モジュールによって模倣することができ
る。本開示の残りの部分では図5〜図6を参照するが、
図7の実施形態にも同様に適用されるものと理解された
い。
【0029】図8Aは、図5〜図6に示すスクリーン3
40を詳細に示した、本発明のシステムを実施するハー
ドウェアのブロック図である。図中の同様の番号が付い
た要素は同様のものである。したがって、図8Aにはさ
らに従来のディスク記憶装置500と、スマート・カー
ド、キーボード、マウス、モニタ、その他の標準I/O
装置などのI/O(入出力)装置510、ならびに所望
のその他の従来の記憶装置またはメモリ520が追加さ
れて備えている様子が図示されているのがわかるであろ
う。メモリ400に記憶されている命令またはプログラ
ム・モジュールが、スクリーン340の動作を制御す
る。
【0030】1つの実施形態では、スクリーンは従来の
ユーザ・レベルのアクセスを行えない、すなわち、標準
キーボードやモニタを備えない。これは、スクリーンの
構成に改変が加えられるのを防止するセキュリティ機能
である。このような実施形態では、スクリーンは、認証
され、暗号化され、専用の特殊目的管理プロトコルに従
った通信に対してのみ応答する、秘密IP(またはその
他のプロトコル)アドレスを持つ専用ネットワーク・ポ
ートを介して遠隔管理される。このようなプロトコル
と、使用する暗号化方式、および認証方式は、スクリー
ン管理者が開発または選定、あるいはその両方を行う。
【0031】図8Aに示すように、スクリーン340
は、公衆ネットワークに接続された(図5のような)単
一ポート425の代わりに、複数ポート427を備える
複数の公衆ネットワークにそれぞれ接続するとができ、
他のプライベート・ネットワーク335に接続された1
つまたは複数の追加ポート415を備えることもでき
る。たとえば、プライベート・ネットワーク335を1
つの会社内のエンジニアリング・ドメインeng.su
n.comとすることができ、プライベート・ネットワ
ーク330を同じ会社内の会社ドメインcorp.su
n.comとすることができる。eng.sun.co
mドメインとcorp.sun.comドメインは、接
続337を介して相互に(所望の場合は、図示されてい
ない追加の本発明のスクリーンをまたは従来のファイヤ
ウォールを通して)通信することができ、単一のプライ
ベート・インターネットワーク355を形成すると同時
に、これらのドメインは両方ともスクリーン340によ
って公衆ネットワーク350からの侵入から保護され
る。この実施形態の代行ネットワーク430は、en
g.sun.comドメインとcorp.sun.co
mドメインの両方の代行を備える。
【0032】したがって、本明細書の説明の以下で述べ
る通信は、単一の公衆ネットワーク350と単一のプラ
イベート・ネットワーク330の間で行われるものと仮
定するが、本発明の特徴は、スクリーン340を介して
複数の公衆ネットワーク350に接続された複数のプラ
イベート・ネットワーク330、335にも等しく適用
可能である。
【0033】図8Bに示すシステム530では、プライ
ベート・ネットワーク540は本発明にクリーン・シス
テム540が設けられているが、代行ネットワークはな
い。この実施形態および他の実施形態では、データ・パ
ケットはいずれの方向にも、それぞれのIPアドレスの
変更なしで、あるいは何らかの変更は行われるがスクリ
ーン・システム自体のIPアドレスまたはその他のネッ
トワーク・アドレスを追加せずに送信される。アドレス
を変更するか否かの決定は、所定の基準に従ってパケッ
トごとに行うことができる。
【0034】したがって、本発明のシステム(5〜9の
実施形態のいずれをも含む)では、パケットとともに提
供される送信元アドレスと宛先アドレスは、(変更され
るか否かを問わず)そのパケットに関連する唯一のホス
ト識別子またはアドレスのままとなる。この実施形態の
代替案では、スクリーン・システムは送信元アドレスま
たは宛先アドレス(あるいはその両方)の代わりに他の
ネットワーク・アドレスを用いることができ、その場
合、新たに代用されたアドレスは、偽であるかまたはス
クリーン・システム以外のホストのものである。いずれ
の場合も、データ・パケットには、スクリーン・システ
ムに関係するネットワーク・アドレスは付加されない。
【0035】前述のように、スクリーン・システムはI
Pアドレスまたはその他のネットワーク・アドレスすら
も持たないことが好ましく、IPプロトコルを「解釈」
することはできるが、IP要求に応答しないように構成
される。
【0036】以下に、図5〜図6のシステムの動作につ
いて図9〜図11に関連して詳述するが、本発明の他の
実施形態にも適用されるものと理解されたい。上記およ
び以下で述べている本発明のシステムによって実行され
る動作、処置、または機能のそれぞれは、プログラム命
令またはモジュール、ハードウェア(たとえばASIC
またはその他の回路、ROMなど)、またはそれらの何
らかの組合せとして実施することができる。
【0037】データ・パケットの一般的処理 図6で、公衆ネットワーク350からホストまたはサー
バ360〜380のうちの1つに宛てられたデータ・パ
ケットが着信すると、スクリーン340によってインタ
セプトされる。このようなパケットは一般に送信元アド
レス、宛先アドレス、要求操作またはサービスあるいは
その両方、およびメッセージ(電子メールの場合)、操
作対象データなどのその他の情報が含まれている。
【0038】スクリーン340は、着信(および送出)
データ・パケットに対して取る処置の制御を司る命令を
メモリ400に記憶している。これらの命令は、データ
・パケットの前記の内容(送信元アドレスおよび宛先ア
ドレス、サービスのタイプ、またはデータ・パケットか
ら入手可能なその他の情報)と、パケットの送信時刻ま
たはスクリーンによる受信時刻、公衆ネットワークとプ
ライベート・ネットワークの間の接続状態(またはプラ
イベート・ネットワーク内の特定のホストまたはサービ
スとの接続状態)、および送信元アドレスが予期された
(インター)ネットワーク場所から出たものであるか否
かなどのより間接的に入手可能な情報などその他の情報
とに基づく所定の1組の基準を含む。これは、送信元ホ
ストが予期されたドメイン内にあるか否かを判断するこ
とによって行うか、またはパケットがそのパケットのた
めに予期されていたネットワーク・インタフェースに着
信したか否かを判断することによって行うことができ
る。たとえば、送信元アドレスがプライベート・ネット
ワーク330上のホストであると識別されたパケット
は、公衆ネットワーク350用のネットワーク・インタ
フェース425(図6)に着信してはならない。着信す
る場合は、侵入者がトラステッド・ホストを装ってその
プライベート・ネットワークに侵入しようとしている可
能性があるという標識である。その場合、スクリーン3
40は応答せずにパケットを除去しなければならない。
【0039】このようなスクリーニング基準は、データ
・パケットの内容の検査、外部データ(接続状況および
時刻など)の参照、および所定のテーブルまたは基準を
実現するのに有用なその他の情報の参照によって実現す
ることができ、メモリ400に記憶することができる。
たとえば、使用が許可されている操作およびサービスの
タイプと相関するネットワーク330と通信することが
許可されているすべての送信元アドレス、接続またはパ
ケットの受け渡しが許可された時刻、送信元のために予
期されている場所(予期されていない送信元からの接続
はセキュリティ問題を示している可能性があるため)、
送信元がトランザクションの開始を許可されている回
数、特定の送信元がネットワーク330のサービスの使
用を許可されている(たとえば1日または1月当たり
の)合計時間などのテーブルを設けることができる。
【0040】このスクリーニング基準の適用によって、
スクリーン340は各データ・パケットに対して1つま
たは複数の事前定義された処置をとることになる。以下
に、これらの処置について述べる。
【0041】パケットに対してとる処置 スクリーン・システム340は、前述の基準と、特定の
セキュリティ・プロトコル、およびシステム管理者によ
ってあらかじめ決められた当該パケットのレベルに基づ
いて、各データ・パケットに対する処置をとる。たとえ
ば、あらかじめ許可されていない送信元からの(または
そのような送信元への)パケットは通過させないことに
することができる。その場合、他の送信元からの(また
は他の送信元への)パケットは、それ以上の処置を行わ
ずにスクリーン340によって除去され、その際、エラ
ー・メッセージまたはその他の通信を送信側に戻す場合
も戻さない場合もある。送信側にはパケットに何が起こ
ったのかは示されず、「偽の」メッセージも出さない。
【0042】これによってシステムに対する攻撃が防止
される。たとえば、パケットに応答する正規のIP手続
きに従わずにtrace_routeパケットを受信し
た場合、本発明のスクリーンはそれを単に破棄するだけ
であり、このようにしてtrace_routeコマン
ドの発行者はスクリーンを検知することができない。
【0043】トポロジ隠蔽、すなわちパケットがスクリ
ーンを通過したときのパケットのネットワーク・アドレ
スの変更を行って、パケットが多数の送信元から送られ
た場合であっても、スクリーンから出たパケットがすべ
て同じホストから送られたように見えるようにすること
ができる。これにより、部外者がプライベート・ネット
ワーク内のユーザID、ホスト名などを知ることによっ
て入手することができる知識を利用しようとする試みが
阻止される。
【0044】他の処置は、当然、単にパケットを通過さ
せてその宛先に渡すことであり、その際、所定の基準に
基づいて何らかの変更を行う場合も行わない場合もあ
る。たとえば、プライベート・ネットワーク330内の
所与のホストから送られたすべてのパケットがユーザI
DまたはホストIDが除去されているようにし、パケッ
トが他の何らかのIP送信元アドレスを付けて渡される
ように、前もって決めることができる。
【0045】システム管理者によって定義された基準に
従って、特定のデータ・パケットについて暗号化と暗号
解読を自動的に行うこともできる。これに加えて、参照
により本明細書に組み込まれる1994年9月15日出
願のSystem forSignatureless
Transmission and Receipt
ion of Data Packets Betwe
en Computer Networksという名称
の出願人の同時係属の米国特許出願第08/30633
7号の事例で述べられているように、パケットをカプセ
ル化し、パケットに新しいIPアドレスが入った新しい
ヘッダを付けることが望ましい。
【0046】パケットは、時刻、送信元および宛先のア
ドレス、要求された操作、各パケットに対してとられた
その他の処置、当該送信元からそれまでに送られた要求
の数など、システム管理者が重要であると決めた任意の
情報を含めて(特に失敗した試行または要求)、通常ロ
グ・ファイル記憶域640に記録される。
【0047】パケット数をカウントし、それによって特
定の期間に処理された現在合計数を記録することもでき
る。
【0048】上記でアドレス書き換えについて述べた。
パケットによって搬送されるデータまたはメッセージの
書き換えまたはその他の方法による変更など所定の処置
によって、パケットの他の内容も自動的に書き換えるこ
とができる。
【0049】パケットに関する状態情報も、処置によっ
て判断し、所望であれば記録し、変更することができ
る。たとえば、所望に応じてTCP/IP(伝送制御プ
ロトコル/インターネット・プロトコル)状況を変更し
て接続の確立、維持、または終了を行うことができる。
一般に、スクリーンは、各パケットがどのような状態に
あるかに関する情報を記憶し、どのパケットが初期要求
だったか、応答はどれであるかなどに関する情報の維持
を含む、その状態に応じた処置をとることができる。し
たがって、以前の事象を一定期間のあいだ記憶していな
ければならないことがあるが、その場合はスクリーンが
一連のトランザクションの全履歴を判断し、その都度適
切な処置をとることができる。
【0050】セキュリティのための重要な処置は、あた
かも代行ホストが実際の意図された宛先サーバであるか
のようにパケットに対して操作を実行する前述のような
サーバ/ホストを備えた代行ネットワーク430に、パ
ケットをそらして送信する処置である。このような操作
の実行時、代行ホストは所与のパケットを送信側に戻す
こと、すなわち元の送信側アドレスを宛先としてパケッ
トを送信することができる。そのパケットは次にスクリ
ーン340を通り、スクリーン340は、たとえば公衆
ネットワーク350から、スクリーンで最初に受け取っ
たときと同じように、パケットを所定の検査基準にかけ
る。この基準は一般に、代行ネットワーク430または
プライベート・ネットワーク330から送られたパケッ
トについて異なる結果をもたらす。たとえば、公衆ネッ
トワークの外部のホストはプライベート・ネットワーク
とのテルネット・セッションを確立することができない
が、プライベート・ネットワーク内のホストはプライベ
ート・ネットワークの外部のホストとのテルネット・セ
ッションを確立することが「できる」ものと決めること
ができる。
【0051】スクリーン・システムは(IPまたはその
他の)ネットワーク・アドレスを持たないことによっ
て、そのセキュリティ機能を匿名で実行することがで
き、特に、従来のネットワーク・ブリッジとして機能し
ない。スクリーン340がブリッジの機能を備えている
とすれば、IPコマンドに応答しなければならないこと
になり、したがって検知可能となり攻撃目標となる。
【0052】代行ネットワークはさらに、部外者が決し
て実際にプライベート・ネットワーク330に侵入でき
ないようにするという利点を有する。ユーザがいったん
プライベート・ネットワークへのアクセスまたは接続を
許可されると、アクセスがまったく許可されない場合と
比較して、そのユーザのアクションを制限することはは
るかに困難になる。代行ネットワーク内のプライベート
・ネットワークのサービスの一部の、複製またはミラー
リングされた機能、または、代行ネットワーク内の固有
ホストまたはその他のサービス(ハードウェアまたはソ
フトウェア、あるいはその両方)の機能、あるいはその
両方によって、外部ユーザの要求が満たされると同時
に、そのユーザが実際にプライベート・ネットワークに
アクセスするのを、見えない方式で防ぐ。
【0053】さらに、代行パケットはシステムによる
「信用度」が高いため、代行ネットワークからのパケッ
トはスクリーンによる再送信のために乗り越えなければ
ならないハードルが一般に低くなるので、プライベート
・ネットワークのセキュリティを危険にさらす可能性が
あるセッションを代行ネットワークからはまったく確立
できないようにすることもできる。代行ネットワークが
TCPセッションを開始することができるようにする
と、システムの外部からの侵入者は、公衆ネットワーク
からセッションを開始しなくても、代行ネットワークに
TCPセッションを開始させる方法を見つけ出すことが
できた場合、ファイヤウォール・セキュリティを事実上
迂回することができる。
【0054】プライベート・ネットワーク「から」公衆
ネットワーク「への」特定の接続を確立することができ
るようにし、その逆はできないようにすることが望まし
い場合がある。たとえば、公衆ネットワーク350への
TCPセッション(テルネットまたはftpなど)は、
プライベート・ネットワーク330内のユーザによって
は開始することができるが、公衆ネットワークからプラ
イベート・ネットワークへは遮断される。
【0055】一般に、代行ネットワークによって行われ
るすべての処置は、代行ネットワークまたはその中のホ
ストを別個のIP実体として識別することなく、パケッ
トを受け渡しする。したがって、パケットは処理後に受
け渡しされるか戻されると、指定された宛先ホストによ
って実際に処理されたように見えるか(実際に代行ホス
トがそれを処理した場合)、または宛先アドレス(戻り
パケットの送信元アドレス)を除去、変更またはその他
の方法でわからないようにするように処理される。いず
れの場合も、代行ホスト用のIPアドレスは存在せず、
いかなるパケットに追加されることもない。
【0056】スクリーン・システムの機能アーキテクチ
ャ 図9は、図8に対応する機能ブロック図であるが、スク
リーン340によって使用される機能モジュールが示さ
れている。好ましい実施形態では、これらのモジュール
は、前記のように、メモリ400に記憶されていてプロ
セッサ390によって実行されるプログラム命令モジュ
ールである。
【0057】図9に示すモジュールは、各ネットワーク
・インタフェース410〜425用のプロセス602〜
606を有するパケット検査機能600と、規則620
を有するエンジンと610と、処置630およびログ・
ファイル記憶域640と、従来のハッシュ・テーブルで
あるパケット状態テーブル650と、キャッシュ分割モ
ジュール670(図のような分割迂回路を有する)と、
各ネットワーク・インタフェース410〜425に結合
されたパケット分割機能660と、学習ブリッジ・テー
ブル680とを含む。図9に示す接続は、本発明の特定
の物理的実施態様に応じて、論理(ソフトウェア)命令
またはハードウェア命令、あるいはその両方を指す。
【0058】パケット検査機能600は、前述の基準に
基づいて着信パケットの内容を検査する命令を備える。
つまり、どこからであっても着信データ・パケットが送
られてくると、各着信パケットはパケット検査機能60
0によるパケット検査を受ける。
【0059】エンジン610が着信パケットを処理して
処置630に渡し、前述のようにそれらのパケットに対
して適切な操作が行われる。処置モジュール630は、
これらの操作の実行専用のモジュールである。
【0060】ログ・ファイル記憶域640を使用して、
前述のように、スクリーン340で受信されたデータ・
パケットに関する情報が記憶される。同時にパケット状
態テーブル650を使用して、受信パケットの状態に関
する情報が記憶される。
【0061】分割機能660は従来の方式で機能して所
定の最大伝送単位(MTU)より大きいパケットを分割
する。これは、たとえばスクリーンがパケットに情報を
追加してその大きさがこの許容最大サイズを超える大き
さにした場合に起こることがある。分割キャッシュ67
0を従来の方式で使用してパケットの分割と再構成を行
う。一般に分割パケットは、主にまたは単にIPヘッダ
情報とデータのみを含み(特に、ポート番号は含まれな
い)、スクリーン340は分割キャッシュを使用してパ
ケットを必要に応じて再構築する。つまり、最初の分割
パケットが分割キャッシュに記憶され、それ以降の分割
パケットも同様に記憶されて、最後の分割パケットを受
信してから、そのパケットが再構成される。
【0062】分割迂回路675は、分割キャッシュ67
0内で情報が見つかった分割パケットのエンジン操作を
パケット検査機能が迂回するために使用される。したが
って、一連の分割パケットの中の2番目以降の分割パケ
ットを受信すると、そのことはパケット検査機能600
が分割キャッシュ670を調べたときに検出される。そ
の場合、新たに受信した分割パケットは、エンジン61
0を介さずに迂回路675を介して処置630に送られ
る。
【0063】学習ブリッジ・テーブル680によって、
スクリーン340は従来の学習ブリッジとして機能する
ことができる。すなわち、どのホストがスクリーンのど
ちら側にあるかを追跡し、スクリーンのポート(ネット
ワーク・インタフェース)のそれぞれに一方のホストま
たは他方のホストからパケットが着信すると、この情報
のテーブルのメンテナンスを行う。
【0064】スクリーン・システムの動作 図10〜図11は、本発明の方法の好ましい実施形態を
示すフロー・チャートである。たとえば公衆ネットワー
ク350のホストによってパケットが送られると、その
パケットはスクリーン340のポート(インタフェー
ス)425で受けられる。図10のボックス800を参
照されたい。パケット検査機能が前述のようにパケット
の内容を検査する(ボックス810)。
【0065】パケットを拒否する場合、(送信元アドレ
スの)学習ブリッジ・テーブル680を使用してそれを
行うと効率的である。
【0066】パケット検査を実施するのに適した1つの
実施形態を、図11のフロー・チャートに示すが、多く
の変更態様が可能である。この例示のフロー・チャート
では、パケットを受け取ると(ボックス900)、各パ
ケット・ヘッダが順に検査される(ボックス910)。
すなわち、物理リンク(IPなど)、IPヘッダ(TC
Pか否か)、TCPヘッダ(どのポートが指定されてい
るか、および既存の接続か新規の接続かに関して)など
が検査される。
【0067】ボックス920および940で、否定の判
断であればボックス930に進んで適切な処置がとられ
る。肯定の判断であればボックス950に進み、指定さ
れているポートが判断され、ボックス960に進み、ヘ
ッダ情報のほか、パケットの内容、送信元、宛先、およ
び前述のその他の情報など、パケット検査機能が自由に
使える情報を考慮して、その特定の接続が許可されるか
否かが判断される。
【0068】その接続が許可されない場合は遮断される
が(ボックス970)、許可される場合は、この方法は
それが初期接続であるか否かを調べる(ボックス98
0)。初期接続の場合は、ボックス990でその接続が
確立され、ボックス995で状態テーブル650(図9
参照)に情報が格納されて、その新しい接続が識別され
る。初期接続でない場合は、ボックス1010で接続が
検査され、更新情報(たとえば接続に関する新しい情
報)があればそれがテーブル650に格納される。
【0069】この方法は、ステップ990または102
0からボックス1000に進む。すなわち図10のボッ
クス810に戻る。
【0070】前述のように図11は、パケット検査段階
で行うことができる多くの可能な検査および操作の順序
の、1つの実施形態に過ぎないことが理解されよう。図
11で実行される動作は、(たとえばボックス920、
940、960、および980での)パケット検査の結
果に基づいてエンジン600によって行われる。
【0071】図10のボックス820に進んで、パケッ
トはエンジン610に渡され、エンジン610は前述の
事前定義された適切な操作を実行する。一般に、ファイ
ヤウォール/スクリーン340の場合、これにはパケッ
トの遮断または通過が伴い、通過させる場合にはパケッ
トは代行ネットワーク430内の代行ホストによって操
作されるようにそらすことができる。
【0072】したがって、現行パケットは適切な処置の
実行のために処置モジュール630に渡され(ボックス
830)、ボックス840でエンジンは、パケット検査
機能の結果とどの処置をとるのが適切であったかという
エンジン自身の判断とに基づいて、とるべき処置が他に
ないかどうかを判断する。所与のパケットの最初の通過
時には、(たとえばパケットを除去してそれ以上の処置
を行わない場合などそれが「唯一の」処置である場合で
あっても)取るべき処置が少なくとも1つあることにな
り、したがって最初の通過時にはボックス840からボ
ックス850に進み、最初の処置がとられる。
【0073】この方法は次にボックス830に戻り、こ
のループはエンジンによって判断されたすべての処置が
処置モジュールによって行われると完了する。その時点
で、ボックス840の次にボックス860に進み、スク
リーン340が、入力ポート(ネットワーク・インタフ
ェース)の1つに他のパケットがあるか否かを判断す
る。ある場合には、この方法はボックス800で新たに
開始し、ない場合にはこの方法はボックス870で終了
する。新しいパケットを受信するといつでも再び開始す
ることができる。
【図面の簡単な説明】
【図1】 2つのコンピュータ・ネットワークを公衆ネ
ットワークを介して接続するシステムのブロック図であ
る。
【図2】 介在ファイヤウォールを使用して、2つのコ
ンピュータ・ネットワークを公衆ネットワークを介して
接続するシステムのブロック図である。
【図3】 2つのコンピュータ・ネットワーク間にブリ
ッジを備える従来のシステムを示す図である。
【図4】 ファイヤウォールを介した、プライベート・
ネットワークおよび公衆ネットワークから他のプライベ
ート・ネットワークへの接続例を示すブロック図であ
る。
【図5】 本発明によるパケット・スクリーン・システ
ムを備えるコンピュータ・インターネットワークのブロ
ック図である。
【図6】 インターネットワーク上の本発明のパケット
・スクリーン・システムを示す機能ブロック図である。
【図7】 本発明のパケット・スクリーン・システムの
代替実施形態を示すブロック図である。
【図8】 本発明を実施するハードウェアのブロック図
である。
【図9】 本発明の機能ブロック図である。
【図10】 本発明の好ましい実施形態によるパケット
・スクリーニングの方法を示すフロー・チャートであ
る。
【図11】 本発明の好ましい実施形態によるパケット
・スクリーニングの方法を示すフロー・チャートであ
る。
【符号の説明】
320 インターネットワーク・システム 330 プライベート・ネットワーク 340 スクリーン・システム 345 論理ネットワーク 350 公衆ネットワーク 410 ネットワーク・インタフェース 420 ネットワーク・インタフェース 425 ネットワーク・インタフェース 430 代行ネットワーク
───────────────────────────────────────────────────── フロントページの続き (72)発明者 ウィリアム・ダニエルソン アメリカ合衆国 94040 カリフォルニア 州・マウンテンビュー・カトリーナ ウェ イ・2728 (72)発明者 トーマス・エル・ライアン アメリカ合衆国 94301 カリフォルニア 州・パロ アルト・エッジウッド ドライ ブ・1400 (72)発明者 ジェフリー・マリガン アメリカ合衆国 94555 カリフォルニア 州・フレモント・ウィンブラル コート・ 3330 (72)発明者 マーティン・パターソン フランス国 38000グルノーブル・リュ ドゥ ボストン・5 (72)発明者 グレン・シイ・スコット アメリカ合衆国 93561 カリフォルニア 州・テハチャピ・ムーン ドライブ・ 19700 (72)発明者 キャロライン・タービフィル アメリカ合衆国 95030 カリフォルニア 州・ロス ガトス・アーモンド ヒル コ ート・105

Claims (8)

    【特許請求の範囲】
  1. 【請求項1】 第1のコンピュータ・ネットワークと第
    2のコンピュータ・ネットワークの間に接続されたスク
    リーン・システムに着信したデータ・パケットをスクリ
    ーニングし、スクリーン・システムに接続された代行シ
    ステムで処置を実行する方法であって、 (1)第1のネットワークから第2のネットワークに向
    けて送られた第1の前記パケットを現行パケットとして
    受信するステップと、 (2)現行パケットの内容から現行パケットが第2のネ
    ットワークに渡すことを許可される所定のタイプのパケ
    ットであるか否かを判断するステップと、 (3)ステップ(2)の判断が肯定の場合、現行パケッ
    トによって指定された第2のネットワーク内の宛先アド
    レスを判断し、現行パケットを前記宛先アドレスの代わ
    りとなる代行システム内の代用アドレスに渡すステップ
    と、 (4)現行パケットによって要求された少なくとも1つ
    の処置が許可するようにあらかじめ決められたタイプで
    あるか否かを判断し、そうでない場合には現行パケット
    を拒否してステップ(6)に進み、そうである場合には
    ステップ(5)に進むステップと、 (5)現行パケットによって指定された処置をスクリー
    ン・システムと代行システムのうちの少なくとも1つに
    おいて行うステップと、 (6)他のパケットがスクリーン・システムに着信した
    か否かを判断し、着信した場合にはそのパケットを現行
    パケットとして受け取ってステップ(1)に進み、着信
    していない場合にはこの方法を終了するステップとを含
    む方法。
  2. 【請求項2】 ステップ(5)において、前記宛先アド
    レスの少なくとも一部を処置の実行場所の唯一の識別子
    として使用して、代行システムから第1のネットワーク
    に応答データ・パケットを伝送するステップを含む請求
    項1に記載の方法。
  3. 【請求項3】 第1のコンピュータ・ネットワークと第
    2のコンピュータ・ネットワークに接続され、第1と第
    2のネットワークの間で伝送されるデータ・パケットを
    スクリーニングするスクリーン・システムであって、 プロセッサと、 プロセッサに結合されたメモリと、 前記第1と第2のネットワークの間でそれぞれデータ・
    パケットの送信および受信を行う入力回路および出力回
    路と、 第1と第の2ネットワークの間のデータ・パケットの流
    れを制御する前記メモリに記憶されたプログラム命令と
    を含むシステムであって、 前記プログラム命令は、 第1のネットワークから第2のネットワークに伝送され
    る第1のデータ・パケットが所定の基準を満たしている
    か否かを判断する第1のプログラム・モジュールと、 所定の基準を満たしている場合には第1のデータ・パケ
    ットを第2のネットワークに渡す第2のプログラム・モ
    ジュールと、 所定の基準を満たしていない場合には第1のデータ・パ
    ケットを第2のネットワークまで通過させないようにす
    る第3のプログラム・モジュールとを備えるシステム。
  4. 【請求項4】 第1のコンピュータ・ネットワークと第
    2のコンピュータ・ネットワークに接続されたスクリー
    ン・システムに着信したデータ・パケットをスクリーニ
    ングし、スクリーン・システムに接続された代行システ
    ムで処置を実行する方法であって、 (1)第1のネットワークからの第1の前記パケットを
    第2のネットワークで現行パケットとして受信するステ
    ップと、 (2)第1のデータ・パケットの内容から第1のデータ
    ・パケットの要求された操作と送信元アドレスと宛先ア
    ドレスとを判断するステップと、 (3)少なくとも1つの所定の基準に基づいて、要求さ
    れた操作に応答してとる処置を判断するステップと、 (4)代行ホストが代行システムにあり、前記宛先アド
    レスの代わりとなる代行ホストに現行パケットを渡すス
    テップと、 (5)代行システムにおいて、判断された処置をとるス
    テップとを含む方法。
  5. 【請求項5】 少なくとも1つのデータ・パケットが、
    データ・パケットの意図された受信システムを指定する
    第1のフィールドを含み、前記意図された受信システム
    に対して要求された操作を指定する第2のフィールドを
    さらに含む、第1のコンピュータ・ネットワークと第2
    のコンピュータ・ネットワークの間に結合され、前記第
    1のネットワークから前記第2のネットワークに送信さ
    れた前記データ・パケットをスクリーニングする代行シ
    ステムであって、 プロセッサと、 前記プロセッサに接続され、前記プロセッサによって実
    行される操作を指定する命令モジュールを記憶するよう
    に構成されたメモリと、 第1のデータ・パケットの内容に関する所定の基準に基
    づいて、前記スクリーン・システムで受信された少なく
    とも前記第1の前記データ・パケットについてとるべき
    所定の1組の処置を指定する命令を含む前記メモリに記
    憶された複数の処置モジュールと、 前記第1のデータ・パケットの前記第2のコンピュータ
    ・ネットワークへの通過をスクリーン・システムが遮断
    する命令を含むスクリーニング・モジュールと、 前記要求された操作の代わりに前記代行システム・プロ
    セッサによって行われるべき前記処置のうちの1つを選
    択するように前記複数の処置モジュールを制御する操作
    モジュールとを備える代行システム。
  6. 【請求項6】 第1のコンピュータ・ネットワークと第
    2のコンピュータ・ネットワークの間に結合されたスク
    リーン・システムが攻撃目標となるのを阻止する方法で
    あって、 データ・パケットが第1のネットワークを識別する送信
    元アドレスと第2のネットワークを識別する宛先アドレ
    スとを含んでいて、スクリーン・システムが、第1のネ
    ットワークから第2のネットワークに向けて送られた少
    なくとも1つの前記データ・パケットを受信するステッ
    プと、 所定の基準に基づいてパケットを検査するステップと、 所定の基準が満たされている場合、送信元アドレスと宛
    先アドレスを変更せずにパケットを第2のネットワーク
    に渡すステップと、 所定の基準が満たされていない場合、パケットを破棄す
    ると同時にスクリーン・システムによる第1のネットワ
    ークに対するいかなる応答も阻止するステップとを含む
    方法。
  7. 【請求項7】 第1のコンピュータ・ネットワークと第
    2のコンピュータ・ネットワークの間に結合されたスク
    リーン・システムが攻撃目標となるのを阻止する保護シ
    ステムであって、前記スクリーン・システムが、プロセ
    ッサと、そのプロセッサに結合されてプロセッサによっ
    て実行可能な命令モジュールを記憶するメモリと、スク
    リーン・システムを第1のネットワークに結合する第1
    のネットワーク・インタフェースと、スクリーン・シス
    テムを第2のネットワークに結合する第2のネットワー
    ク・インタフェースとを備えていて、前記命令モジュー
    ルがデータ・パケットが第1のネットワークを識別する
    送信元アドレスと第2のネットワークを識別する宛先ア
    ドレスとを含み、第1のネットワークから第2のネット
    ワークに向けて送られた少なくとも1つのデータ・パケ
    ットを受け取るように構成された第1のモジュールと、 所定の基準に基づいてパケットを検査するように構成さ
    れた第2のモジュールと、 所定の基準が満たされている場合、送信元アドレスと宛
    先アドレスを変更せずに第2のネットワークにパケット
    を渡すように構成された第3のモジュールと、 所定の基準が満たされていない場合、パケットを破棄す
    ると同時にスクリーン・システムによる第1のネットワ
    ークに対するいかなる応答も阻止するように構成された
    第4のモジュールとを備える保護システム。
  8. 【請求項8】 第1のコンピュータ・ネットワークが攻
    撃目標となるのを阻止するシステムであって、 第1のコンピュータ・ネットワークと第2のコンピュー
    タ・ネットワークの間に結合されたスクリーン・システ
    ムを有し、そのスクリーン・システムが、プロセッサ
    と、スクリーン・システムを第1のネットワークに結合
    する第1のネットワーク・インタフェースと、スクリー
    ン・システムを第2のネットワークに結合する第2のネ
    ットワーク・インタフェースとを備え、さらに第3のネ
    ットワーク・インタフェースを介してスクリーン・シス
    テムに結合された代行ネットワークを備え、その代行ネ
    ットワークは第1のコンピュータ・ネットワークと共有
    のドメインを有するインターネットワーク・アドレスを
    持つ少なくとも1つの代行ホストを備え、 前記スクリーン・システムは、プロセッサによって実行
    可能な命令モジュールを記憶する、プロセッサに結合さ
    れたメモリをさらに備え、その命令モジュールが、 前記ドメインを含む宛先アドレスを含むデータ・パケッ
    トを第1のネットワーク・インタフェースを介して受信
    する第1のモジュールと、 前記宛先アドレスが前記代行ホストに関係する場合、前
    記代行ホストにデータ・パケットを渡す第2のモジュー
    ルとを含むシステム。
JP8147881A 1995-05-18 1996-05-20 コンピュータ・ネットワーク・インタフェースにおけるデータ・パケットのパケット・フィルタリング・システム Withdrawn JPH09224053A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US444351 1989-12-01
US08/444,351 US5802320A (en) 1995-05-18 1995-05-18 System for packet filtering of data packets at a computer network interface

Publications (1)

Publication Number Publication Date
JPH09224053A true JPH09224053A (ja) 1997-08-26

Family

ID=23764545

Family Applications (1)

Application Number Title Priority Date Filing Date
JP8147881A Withdrawn JPH09224053A (ja) 1995-05-18 1996-05-20 コンピュータ・ネットワーク・インタフェースにおけるデータ・パケットのパケット・フィルタリング・システム

Country Status (4)

Country Link
US (3) US5802320A (ja)
EP (1) EP0743777A3 (ja)
JP (1) JPH09224053A (ja)
SG (1) SG73981A1 (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006515698A (ja) * 2003-02-20 2006-06-01 ノキア コーポレイション 通信システム
US7464407B2 (en) 2002-08-20 2008-12-09 Nec Corporation Attack defending system and attack defending method
US7664042B2 (en) 2003-09-17 2010-02-16 Toshiba Storage Device Corporation Storage control apparatus, storage apparatus, storage control method, and computer-readable recording medium for executing a command based on data in received packet
JP2010531484A (ja) * 2007-06-06 2010-09-24 エアバス・オペレーションズ オープンドメインからアビオニクスドメインまでの通信のオンボードアクセス制御システム
JP2014502068A (ja) * 2010-10-07 2014-01-23 エレクトリシテ・ドゥ・フランス 安全なデータ転送のための方法および装置

Families Citing this family (385)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5864683A (en) 1994-10-12 1999-01-26 Secure Computing Corporartion System for providing secure internetwork by connecting type enforcing secure computers to external network for limiting access to data based on user and process access rights
US6515968B1 (en) 1995-03-17 2003-02-04 Worldcom, Inc. Integrated interface for real time web based viewing of telecommunications network call traffic
JP3262689B2 (ja) * 1995-05-19 2002-03-04 富士通株式会社 遠隔操作システム
US5778367A (en) 1995-12-14 1998-07-07 Network Engineering Software, Inc. Automated on-line information service and directory, particularly for the world wide web
US6032184A (en) * 1995-12-29 2000-02-29 Mci Worldcom, Inc. Integrated interface for Web based customer care and trouble management
US6859783B2 (en) 1995-12-29 2005-02-22 Worldcom, Inc. Integrated interface for web based customer care and trouble management
US5826014A (en) * 1996-02-06 1998-10-20 Network Engineering Software Firewall system for protecting network elements connected to a public network
US5870550A (en) * 1996-02-26 1999-02-09 Network Engineering Software Web server employing multi-homed, moldular framework
US5898830A (en) * 1996-10-17 1999-04-27 Network Engineering Software Firewall providing enhanced network security and user transparency
US5913024A (en) 1996-02-09 1999-06-15 Secure Computing Corporation Secure server utilizing separate protocol stacks
US5867647A (en) * 1996-02-09 1999-02-02 Secure Computing Corporation System and method for securing compiled program code
US5918018A (en) * 1996-02-09 1999-06-29 Secure Computing Corporation System and method for achieving network separation
US7240023B1 (en) 1996-02-20 2007-07-03 Softcard Systems, Inc. System and method for distributing coupons through a system of computer networks
US8117298B1 (en) 1996-02-26 2012-02-14 Graphon Corporation Multi-homed web server
FR2745967B1 (fr) * 1996-03-07 1998-04-17 Bull Cp8 Procede de securisation des acces d'une station a au moins un serveur et dispositif mettant en oeuvre le procede
US6111883A (en) * 1996-07-12 2000-08-29 Hitachi, Ltd. Repeater and network system utilizing the same
US6754212B1 (en) 1996-07-12 2004-06-22 Hitachi, Ltd. Repeater and network system utililzing the same
US5805820A (en) * 1996-07-15 1998-09-08 At&T Corp. Method and apparatus for restricting access to private information in domain name systems by redirecting query requests
US6003084A (en) * 1996-09-13 1999-12-14 Secure Computing Corporation Secure network proxy for connecting entities
US5983350A (en) * 1996-09-18 1999-11-09 Secure Computing Corporation Secure firewall supporting different levels of authentication based on address or encryption status
US5950195A (en) * 1996-09-18 1999-09-07 Secure Computing Corporation Generalized security policy management system and method
US6144934A (en) * 1996-09-18 2000-11-07 Secure Computing Corporation Binary filter using pattern recognition
US6072942A (en) * 1996-09-18 2000-06-06 Secure Computing Corporation System and method of electronic mail filtering using interconnected nodes
JP3492865B2 (ja) * 1996-10-16 2004-02-03 株式会社東芝 移動計算機装置及びパケット暗号化認証方法
JP3651721B2 (ja) * 1996-11-01 2005-05-25 株式会社東芝 移動計算機装置、パケット処理装置及び通信制御方法
US6453345B2 (en) * 1996-11-06 2002-09-17 Datadirect Networks, Inc. Network security and surveillance system
US5923854A (en) * 1996-11-22 1999-07-13 International Business Machines Corporation Virtual internet protocol (IP) addressing
US7506020B2 (en) 1996-11-29 2009-03-17 Frampton E Ellis Global network computers
US8225003B2 (en) 1996-11-29 2012-07-17 Ellis Iii Frampton E Computers and microchips with a portion protected by an internal hardware firewall
US7926097B2 (en) 1996-11-29 2011-04-12 Ellis Iii Frampton E Computer or microchip protected from the internet by internal hardware
US6725250B1 (en) * 1996-11-29 2004-04-20 Ellis, Iii Frampton E. Global network computers
US6167428A (en) 1996-11-29 2000-12-26 Ellis; Frampton E. Personal computer microprocessor firewalls for internet distributed processing
US7805756B2 (en) 1996-11-29 2010-09-28 Frampton E Ellis Microchips with inner firewalls, faraday cages, and/or photovoltaic cells
US20050180095A1 (en) 1996-11-29 2005-08-18 Ellis Frampton E. Global network computers
US5917817A (en) * 1996-12-06 1999-06-29 International Business Machines Corporation User invocation of services in public switched telephone network via parallel data networks
US5915087A (en) * 1996-12-12 1999-06-22 Secure Computing Corporation Transparent security proxy for unreliable message exchange protocols
JP3841233B2 (ja) * 1996-12-18 2006-11-01 ソニー株式会社 情報処理装置および情報処理方法
US6041355A (en) 1996-12-27 2000-03-21 Intel Corporation Method for transferring data between a network of computers dynamically based on tag information
JP3497338B2 (ja) 1997-01-08 2004-02-16 株式会社日立製作所 分散ログ一括管理機能付きネットワークシステム
US5968133A (en) * 1997-01-10 1999-10-19 Secure Computing Corporation Enhanced security network time synchronization device and method
EP0858201A3 (en) * 1997-02-06 1999-01-13 Sun Microsystems, Inc. Method and apparatus for allowing secure transactions through a firewall
CA2229652C (en) * 1997-02-14 2002-05-21 Naoki Mori Atm network with a filtering table for securing communication
US7821926B2 (en) * 1997-03-10 2010-10-26 Sonicwall, Inc. Generalized policy server
US6408336B1 (en) 1997-03-10 2002-06-18 David S. Schneider Distributed administration of access to information
US8914410B2 (en) 1999-02-16 2014-12-16 Sonicwall, Inc. Query interface to policy server
DE19809824C2 (de) * 1997-03-12 2003-01-16 Mannesmann Ag Verfahren zum Betreiben von virtuellen privaten Netzen auf einem gemeinsamen Datenpaketvermittlungsnetz und Vorrichtung zum Durchführen des Verfahrens
BR9808014B1 (pt) 1997-03-12 2013-06-25 “Mídia legível por computador, não transitória e sistema de rede externa”
US6237031B1 (en) * 1997-03-25 2001-05-22 Intel Corporation System for dynamically controlling a network proxy
US6345303B1 (en) * 1997-03-25 2002-02-05 Intel Corporation Network proxy capable of dynamically selecting a destination device for servicing a client request
US6104716A (en) * 1997-03-28 2000-08-15 International Business Machines Corporation Method and apparatus for lightweight secure communication tunneling over the internet
EP0974218A4 (en) * 1997-04-09 2005-04-13 Alcatel Australia CLUSTER GROUP OF INTERNET USERS
JPH10290251A (ja) * 1997-04-15 1998-10-27 Yazaki Corp ネットワークにおける異常復旧装置
JP3977484B2 (ja) * 1997-05-08 2007-09-19 矢崎総業株式会社 状態情報の管理方法及び通信システム
US6173399B1 (en) * 1997-06-12 2001-01-09 Vpnet Technologies, Inc. Apparatus for implementing virtual private networks
US6067569A (en) * 1997-07-10 2000-05-23 Microsoft Corporation Fast-forwarding and filtering of network packets in a computer system
US7136359B1 (en) 1997-07-31 2006-11-14 Cisco Technology, Inc. Method and apparatus for transparently proxying a connection
US6006268A (en) * 1997-07-31 1999-12-21 Cisco Technology, Inc. Method and apparatus for reducing overhead on a proxied connection
US6473406B1 (en) 1997-07-31 2002-10-29 Cisco Technology, Inc. Method and apparatus for transparently proxying a connection
US5991810A (en) * 1997-08-01 1999-11-23 Novell, Inc. User name authentication for gateway clients accessing a proxy cache server
US6034957A (en) * 1997-08-29 2000-03-07 Extreme Networks, Inc. Sliced comparison engine architecture and method for a LAN switch
US6912222B1 (en) * 1997-09-03 2005-06-28 Internap Network Services Corporation Private network access point router for interconnecting among internet route providers
US6473407B1 (en) 1997-09-05 2002-10-29 Worldcom, Inc. Integrated proxy interface for web based alarm management tools
US6170012B1 (en) 1997-09-12 2001-01-02 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with cache query processing
US7143438B1 (en) * 1997-09-12 2006-11-28 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with multiple domain support
US6154775A (en) * 1997-09-12 2000-11-28 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with dynamic rule processing with the ability to dynamically alter the operations of rules
US6098172A (en) * 1997-09-12 2000-08-01 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with proxy reflection
US6141749A (en) * 1997-09-12 2000-10-31 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with stateful packet filtering
IL121815A (en) * 1997-09-22 2000-09-28 Security 7 Software Ltd Method and system for the identification and the suppression of executable objects
US6029203A (en) * 1997-09-26 2000-02-22 3Com Corporation Apparatus and methods for use therein for an ISDN LAN modem that provides enhanced network activity
US6381644B2 (en) 1997-09-26 2002-04-30 Mci Worldcom, Inc. Integrated proxy interface for web based telecommunications network management
US7225249B1 (en) 1997-09-26 2007-05-29 Mci, Llc Integrated systems for providing communications network management services and interactive generating invoice documents
US6574661B1 (en) 1997-09-26 2003-06-03 Mci Communications Corporation Integrated proxy interface for web based telecommunication toll-free network management using a network manager for downloading a call routing tree to client
US7058600B1 (en) 1997-09-26 2006-06-06 Mci, Inc. Integrated proxy interface for web based data management reports
US6714979B1 (en) 1997-09-26 2004-03-30 Worldcom, Inc. Data warehousing infrastructure for web based reporting tool
US6745229B1 (en) 1997-09-26 2004-06-01 Worldcom, Inc. Web based integrated customer interface for invoice reporting
US6763376B1 (en) 1997-09-26 2004-07-13 Mci Communications Corporation Integrated customer interface system for communications network management
US6023724A (en) * 1997-09-26 2000-02-08 3Com Corporation Apparatus and methods for use therein for an ISDN LAN modem that displays fault information to local hosts through interception of host DNS request messages
US6092110A (en) * 1997-10-23 2000-07-18 At&T Wireless Svcs. Inc. Apparatus for filtering packets using a dedicated processor
US6122670A (en) 1997-10-30 2000-09-19 Tsi Telsys, Inc. Apparatus and method for constructing data for transmission within a reliable communication protocol by performing portions of the protocol suite concurrently
US6330610B1 (en) * 1997-12-04 2001-12-11 Eric E. Docter Multi-stage data filtering system employing multiple filtering criteria
US6085328A (en) * 1998-01-20 2000-07-04 Compaq Computer Corporation Wake up of a sleeping computer using I/O snooping and imperfect packet filtering
US6131163A (en) * 1998-02-17 2000-10-10 Cisco Technology, Inc. Network gateway mechanism having a protocol stack proxy
US6357010B1 (en) 1998-02-17 2002-03-12 Secure Computing Corporation System and method for controlling access to documents stored on an internal network
US6122666A (en) 1998-02-23 2000-09-19 International Business Machines Corporation Method for collaborative transformation and caching of web objects in a proxy network
US6141686A (en) * 1998-03-13 2000-10-31 Deterministic Networks, Inc. Client-side application-classifier gathering network-traffic statistics and application and user names using extensible-service provider plugin for policy-based network control
US6321336B1 (en) 1998-03-13 2001-11-20 Secure Computing Corporation System and method for redirecting network traffic to provide secure communication
US6453419B1 (en) 1998-03-18 2002-09-17 Secure Computing Corporation System and method for implementing a security policy
US6182226B1 (en) 1998-03-18 2001-01-30 Secure Computing Corporation System and method for controlling interactions between networks
US6175867B1 (en) * 1998-03-23 2001-01-16 Mci World Com, Inc. System and method for managing networks addressed via common network addresses
SE9801134L (sv) * 1998-03-31 1999-10-01 Anders Forsberg Förfarande och arrangemang för kommunikation via ett datornätverk
US6725378B1 (en) 1998-04-15 2004-04-20 Purdue Research Foundation Network protection for denial of service attacks
US6779118B1 (en) * 1998-05-04 2004-08-17 Auriq Systems, Inc. User specific automatic data redirection system
US6212560B1 (en) * 1998-05-08 2001-04-03 Compaq Computer Corporation Dynamic proxy server
DE19820525A1 (de) * 1998-05-08 1999-11-11 Alcatel Sa Verfahren, Softwaremodul, Schnittstelleneinrichtung, Endgerät und Server zur Weiterleitungskontrolle von Paketen abgeschlossener Paketsequenzen paketvermittelter Netzwerke
SE521814C2 (sv) * 1998-05-14 2003-12-09 Telia Ab Ett kommunikationsnätverk eller ett ip-nätverk vilket innefattar en paketklassificerare
EP0964558A1 (en) * 1998-06-08 1999-12-15 THOMSON multimedia Method for accessing internet applications from home network devices
US6604143B1 (en) 1998-06-19 2003-08-05 Sun Microsystems, Inc. Scalable proxy servers with plug-in filters
US6876653B2 (en) * 1998-07-08 2005-04-05 Broadcom Corporation Fast flexible filter processor based architecture for a network device
US6615358B1 (en) 1998-08-07 2003-09-02 Patrick W. Dowd Firewall for processing connection-oriented and connectionless datagrams over a connection-oriented network
US7073196B1 (en) 1998-08-07 2006-07-04 The United States Of America As Represented By The National Security Agency Firewall for processing a connectionless network packet
US6311278B1 (en) * 1998-09-09 2001-10-30 Sanctum Ltd. Method and system for extracting application protocol characteristics
SE513255C2 (sv) * 1998-09-11 2000-08-07 Telia Ab Förbättringar i eller relaterade till transmissionssystem
US6434600B2 (en) * 1998-09-15 2002-08-13 Microsoft Corporation Methods and systems for securely delivering electronic mail to hosts having dynamic IP addresses
US6115709A (en) * 1998-09-18 2000-09-05 Tacit Knowledge Systems, Inc. Method and system for constructing a knowledge profile of a user having unrestricted and restricted access portions according to respective levels of confidence of content of the portions
US6757713B1 (en) 1998-09-23 2004-06-29 John W. L. Ogilvie Method for including a self-removing indicator in a self-removing message
US6324569B1 (en) 1998-09-23 2001-11-27 John W. L. Ogilvie Self-removing email verified or designated as such by a message distributor for the convenience of a recipient
US6701347B1 (en) * 1998-09-23 2004-03-02 John W. L. Ogilvie Method for including a self-removing code in a self-removing email message that contains an advertisement
US6711608B1 (en) * 1998-09-23 2004-03-23 John W. L. Ogilvie Method for including a self-removing code in a self-removing message
US6728885B1 (en) 1998-10-09 2004-04-27 Networks Associates Technology, Inc. System and method for network access control using adaptive proxies
ES2259461T3 (es) * 1998-10-26 2006-10-01 Nokia Corporation Sistema y metodo de control de conmutacion por paquetes.
AU1557799A (en) * 1998-10-26 2000-05-15 Nokia Networks Oy Packet switching control system and method
US10511573B2 (en) 1998-10-30 2019-12-17 Virnetx, Inc. Agile network protocol for secure communications using secure domain names
US7418504B2 (en) 1998-10-30 2008-08-26 Virnetx, Inc. Agile network protocol for secure communications using secure domain names
US7188180B2 (en) * 1998-10-30 2007-03-06 Vimetx, Inc. Method for establishing secure communication link between computers of virtual private network
US6502135B1 (en) * 1998-10-30 2002-12-31 Science Applications International Corporation Agile network protocol for secure communications with assured system availability
JP2002529779A (ja) * 1998-10-30 2002-09-10 サイエンス アプリケーションズ インターナショナル コーポレイション 保証されたシステム可用性を有する安全な通信のためのアジル・ネットワーク・プロトコル
US6487538B1 (en) 1998-11-16 2002-11-26 Sun Microsystems, Inc. Method and apparatus for local advertising
US6226677B1 (en) 1998-11-25 2001-05-01 Lodgenet Entertainment Corporation Controlled communications over a global computer network
US8713641B1 (en) 1998-12-08 2014-04-29 Nomadix, Inc. Systems and methods for authorizing, authenticating and accounting users having transparent computer access to a network using a gateway device
US7194554B1 (en) 1998-12-08 2007-03-20 Nomadix, Inc. Systems and methods for providing dynamic network authorization authentication and accounting
US8266266B2 (en) 1998-12-08 2012-09-11 Nomadix, Inc. Systems and methods for providing dynamic network authorization, authentication and accounting
US6240533B1 (en) 1999-02-25 2001-05-29 Lodgenet Entertainment Corporation Method and apparatus for providing uninterrupted communication over a network link
US7596606B2 (en) * 1999-03-11 2009-09-29 Codignotto John D Message publishing system for publishing messages from identified, authorized senders
US7107612B1 (en) * 1999-04-01 2006-09-12 Juniper Networks, Inc. Method, apparatus and computer program product for a network firewall
US6701432B1 (en) * 1999-04-01 2004-03-02 Netscreen Technologies, Inc. Firewall including local bus
US7240368B1 (en) * 1999-04-14 2007-07-03 Verizon Corporate Services Group Inc. Intrusion and misuse deterrence system employing a virtual network
US6804778B1 (en) * 1999-04-15 2004-10-12 Gilian Technologies, Ltd. Data quality assurance
US7146505B1 (en) 1999-06-01 2006-12-05 America Online, Inc. Secure data exchange between date processing systems
US6263371B1 (en) 1999-06-10 2001-07-17 Cacheflow, Inc. Method and apparatus for seaming of streaming content
US6944774B2 (en) * 1999-06-18 2005-09-13 Zoom Telephonics, Inc. Data flow control unit
US6901517B1 (en) * 1999-07-16 2005-05-31 Marconi Communications, Inc. Hardware based security groups, firewall load sharing, and firewall redundancy
TW453072B (en) 1999-08-18 2001-09-01 Alma Baba Technical Res Lab Co System for montoring network for cracker attacic
US7073198B1 (en) 1999-08-26 2006-07-04 Ncircle Network Security, Inc. Method and system for detecting a vulnerability in a network
US6308276B1 (en) 1999-09-07 2001-10-23 Icom Technologies SS7 firewall system
AU7106200A (en) * 1999-09-18 2001-04-24 Genie L. Ogilvie Self-removing email for recipient convenience
GB2354847A (en) 1999-09-28 2001-04-04 Ibm Publish/subscribe data processing with subscription points for customised message processing
US6687833B1 (en) * 1999-09-24 2004-02-03 Networks Associates, Inc. System and method for providing a network host decoy using a pseudo network protocol stack implementation
US7401115B1 (en) 2000-10-23 2008-07-15 Aol Llc Processing selected browser requests
US7739383B1 (en) 1999-10-22 2010-06-15 Nomadix, Inc. Systems and methods for dynamic bandwidth management on a per subscriber basis in a communications network
DE60039248D1 (de) * 1999-10-25 2008-07-31 Ibm Verfahren und system zur prüfung der anforderung eines klienten
US6675193B1 (en) * 1999-10-29 2004-01-06 Invensys Software Systems Method and system for remote control of a local system
US6671357B1 (en) 1999-12-01 2003-12-30 Bellsouth Intellectual Property Corporation Apparatus and method for interrupting data transmissions
US7765581B1 (en) 1999-12-10 2010-07-27 Oracle America, Inc. System and method for enabling scalable security in a virtual private network
US7336790B1 (en) 1999-12-10 2008-02-26 Sun Microsystems Inc. Decoupling access control from key management in a network
US6977929B1 (en) 1999-12-10 2005-12-20 Sun Microsystems, Inc. Method and system for facilitating relocation of devices on a network
US6970941B1 (en) * 1999-12-10 2005-11-29 Sun Microsystems, Inc. System and method for separating addresses from the delivery scheme in a virtual private network
US6674743B1 (en) 1999-12-30 2004-01-06 3Com Corporation Method and apparatus for providing policy-based services for internal applications
US6804254B1 (en) 2000-01-04 2004-10-12 Cisco Technology, Inc. System and method for maintaining a communication link
US7079495B1 (en) 2000-01-04 2006-07-18 Cisco Technology, Inc. System and method for enabling multicast telecommunications
US7006494B1 (en) * 2000-01-04 2006-02-28 Cisco Technology, Inc. System and method for a virtual telephony intermediary
US7069432B1 (en) * 2000-01-04 2006-06-27 Cisco Technology, Inc. System and method for providing security in a telecommunication network
US6957348B1 (en) 2000-01-10 2005-10-18 Ncircle Network Security, Inc. Interoperability of vulnerability and intrusion detection systems
US7925693B2 (en) * 2000-01-24 2011-04-12 Microsoft Corporation NAT access control with IPSec
US7072933B1 (en) 2000-01-24 2006-07-04 Microsoft Corporation Network access control using network address translation
US6496935B1 (en) * 2000-03-02 2002-12-17 Check Point Software Technologies Ltd System, device and method for rapid packet filtering and processing
US6795918B1 (en) 2000-03-07 2004-09-21 Steven T. Trolan Service level computer security
KR100350451B1 (ko) * 2000-03-13 2002-08-28 삼성전자 주식회사 네트워크상의 장치에서의 패킷 필터링방법
WO2001074028A1 (en) * 2000-03-29 2001-10-04 British Telecommunications Public Limited Company System for processing log data
EP1146711B1 (en) * 2000-04-12 2006-09-13 Tenovis GmbH &amp; Co. KG Firewall parser architecture for a given protocol
US20010042202A1 (en) * 2000-04-14 2001-11-15 Horvath Charles J. Dynamically extendible firewall
US6904458B1 (en) * 2000-04-26 2005-06-07 Microsoft Corporation System and method for remote management
US6772214B1 (en) * 2000-04-27 2004-08-03 Novell, Inc. System and method for filtering of web-based content stored on a proxy cache server
US20010037384A1 (en) * 2000-05-15 2001-11-01 Brian Jemes System and method for implementing a virtual backbone on a common network infrastructure
US7020718B2 (en) * 2000-05-15 2006-03-28 Hewlett-Packard Development Company, L.P. System and method of aggregating discontiguous address ranges into addresses and masks using a plurality of repeating address blocks
US7263719B2 (en) * 2000-05-15 2007-08-28 Hewlett-Packard Development Company, L.P. System and method for implementing network security policies on a common network infrastructure
US7024686B2 (en) * 2000-05-15 2006-04-04 Hewlett-Packard Development Company, L.P. Secure network and method of establishing communication amongst network devices that have restricted network connectivity
US8086697B2 (en) 2005-06-28 2011-12-27 Claria Innovations, Llc Techniques for displaying impressions in documents delivered over a computer network
US20020010800A1 (en) * 2000-05-18 2002-01-24 Riley Richard T. Network access control system and method
US7475404B2 (en) 2000-05-18 2009-01-06 Maquis Techtrix Llc System and method for implementing click-through for browser executed software including ad proxy and proxy cookie caching
ATE366443T1 (de) * 2000-05-22 2007-07-15 Infineon Technologies Ag Sicherheits-datenverarbeitungseinheit sowie dazugehöriges verfahren
FI111594B (fi) * 2000-06-05 2003-08-15 Nokia Corp Tilaajatietojen hallinta matkaviestinjärjestelmässä
US7917647B2 (en) * 2000-06-16 2011-03-29 Mcafee, Inc. Method and apparatus for rate limiting
US7031267B2 (en) * 2000-12-21 2006-04-18 802 Systems Llc PLD-based packet filtering methods with PLD configuration data update of filtering rules
US7013482B1 (en) 2000-07-07 2006-03-14 802 Systems Llc Methods for packet filtering including packet invalidation if packet validity determination not timely made
US7181769B1 (en) * 2000-08-25 2007-02-20 Ncircle Network Security, Inc. Network security system having a device profiler communicatively coupled to a traffic monitor
US9280667B1 (en) 2000-08-25 2016-03-08 Tripwire, Inc. Persistent host determination
US8037530B1 (en) * 2000-08-28 2011-10-11 Verizon Corporate Services Group Inc. Method and apparatus for providing adaptive self-synchronized dynamic address translation as an intrusion detection sensor
US7039678B1 (en) 2000-09-07 2006-05-02 Axis Mobile, Ltd. E-mail proxy
US6944673B2 (en) * 2000-09-08 2005-09-13 The Regents Of The University Of Michigan Method and system for profiling network flows at a measurement point within a computer network
US20020032871A1 (en) * 2000-09-08 2002-03-14 The Regents Of The University Of Michigan Method and system for detecting, tracking and blocking denial of service attacks over a computer network
US7093287B1 (en) 2000-10-12 2006-08-15 International Business Machines Corporation Method and system for building dynamic firewall rules, based on content of downloaded documents
WO2002033523A2 (en) * 2000-10-18 2002-04-25 Noriaki Hashimoto Method and system for preventing unauthorized access to a network
US20020138643A1 (en) * 2000-10-19 2002-09-26 Shin Kang G. Method and system for controlling network traffic to a network computer
EP1340338B1 (en) * 2000-11-09 2006-09-27 Accenture LLP Electronic security system and scheme for a communications network
US7254833B1 (en) 2000-11-09 2007-08-07 Accenture Llp Electronic security system and scheme for a communications network
US6986061B1 (en) 2000-11-20 2006-01-10 International Business Machines Corporation Integrated system for network layer security and fine-grained identity-based access control
US6915351B2 (en) * 2000-12-18 2005-07-05 Sun Microsystems, Inc. Community separation control in a closed multi-community node
US7095741B1 (en) * 2000-12-20 2006-08-22 Cisco Technology, Inc. Port isolation for restricting traffic flow on layer 2 switches
US20020080784A1 (en) * 2000-12-21 2002-06-27 802 Systems, Inc. Methods and systems using PLD-based network communication protocols
US20020083331A1 (en) * 2000-12-21 2002-06-27 802 Systems, Inc. Methods and systems using PLD-based network communication protocols
US20020124069A1 (en) * 2000-12-28 2002-09-05 Hatalkar Atul N. Broadcast communication system with dynamic client-group memberships
RU2214623C2 (ru) * 2000-12-29 2003-10-20 Купреенко Сергей Витальевич Вычислительная сеть с межсетевым экраном и межсетевой экран
US6931529B2 (en) 2001-01-05 2005-08-16 International Business Machines Corporation Establishing consistent, end-to-end protection for a user datagram
US20020104016A1 (en) * 2001-01-26 2002-08-01 International Business Machines Corporation Network router
US20020116488A1 (en) * 2001-02-09 2002-08-22 Subramanian Harihara Rama System and method for delivery and usage based billing for data services in telecommunication networks
US7120701B2 (en) * 2001-02-22 2006-10-10 Intel Corporation Assigning a source address to a data packet based on the destination of the data packet
US8200577B2 (en) 2001-03-20 2012-06-12 Verizon Business Global Llc Systems and methods for retrieving and modifying data records for rating and billing purposes
US20030115480A1 (en) * 2001-12-17 2003-06-19 Worldcom, Inc. System, method and apparatus that employ virtual private networks to resist IP QoS denial of service attacks
US6778498B2 (en) * 2001-03-20 2004-08-17 Mci, Inc. Virtual private network (VPN)-aware customer premises equipment (CPE) edge router
US7007169B2 (en) * 2001-04-04 2006-02-28 International Business Machines Corporation Method and apparatus for protecting a web server against vandals attacks without restricting legitimate access
AUPR435501A0 (en) * 2001-04-11 2001-05-17 Firebridge Systems Pty Ltd Network security system
US7080138B1 (en) * 2001-04-11 2006-07-18 Cisco Technology, Inc. Methods and apparatus for content server selection
US20020154635A1 (en) * 2001-04-23 2002-10-24 Sun Microsystems, Inc. System and method for extending private networks onto public infrastructure using supernets
EP1401160A4 (en) * 2001-04-27 2008-07-30 Ntt Data Corp PACKAGE TRACKING SYSTEM
US7124173B2 (en) * 2001-04-30 2006-10-17 Moriarty Kathleen M Method and apparatus for intercepting performance metric packets for improved security and intrusion detection
KR100437169B1 (ko) * 2001-05-04 2004-06-25 이재형 네트워크 트래픽 흐름 제어 시스템
FI112140B (fi) * 2001-05-23 2003-10-31 Nokia Corp Informaation kommunikointi
US6513122B1 (en) 2001-06-29 2003-01-28 Networks Associates Technology, Inc. Secure gateway for analyzing textual content to identify a harmful impact on computer systems with known vulnerabilities
US20030009660A1 (en) * 2001-07-09 2003-01-09 Walker Mark R. Method and ystem for establishing and bridging of semi-private peer networks
US7904454B2 (en) 2001-07-16 2011-03-08 International Business Machines Corporation Database access security
US20030014659A1 (en) * 2001-07-16 2003-01-16 Koninklijke Philips Electronics N.V. Personalized filter for Web browsing
US20040001433A1 (en) * 2001-07-18 2004-01-01 Gram Charles Andrew Interactive control of network devices
US20030069949A1 (en) * 2001-10-04 2003-04-10 Chan Michele W. Managing distributed network infrastructure services
US6999998B2 (en) * 2001-10-04 2006-02-14 Hewlett-Packard Development Company, L.P. Shared memory coupling of network infrastructure devices
US20030074578A1 (en) * 2001-10-16 2003-04-17 Richard Ford Computer virus containment
US20030093689A1 (en) * 2001-11-15 2003-05-15 Aladdin Knowledge Systems Ltd. Security router
JP4051924B2 (ja) 2001-12-05 2008-02-27 株式会社日立製作所 送信制御可能なネットワークシステム
US7761605B1 (en) 2001-12-20 2010-07-20 Mcafee, Inc. Embedded anti-virus scanner for a network adapter
US8185943B1 (en) * 2001-12-20 2012-05-22 Mcafee, Inc. Network adapter firewall system and method
US7076803B2 (en) * 2002-01-28 2006-07-11 International Business Machines Corporation Integrated intrusion detection services
US9392002B2 (en) * 2002-01-31 2016-07-12 Nokia Technologies Oy System and method of providing virus protection at a gateway
US6772345B1 (en) 2002-02-08 2004-08-03 Networks Associates Technology, Inc. Protocol-level malware scanner
US7719980B2 (en) * 2002-02-19 2010-05-18 Broadcom Corporation Method and apparatus for flexible frame processing and classification engine
US7185365B2 (en) * 2002-03-27 2007-02-27 Intel Corporation Security enabled network access control
US7216260B2 (en) * 2002-03-27 2007-05-08 International Business Machines Corporation Method, system and program product for dynamically detecting errant data sequences and performing corresponding actions
DE10217952A1 (de) * 2002-04-22 2003-11-13 Nutzwerk Informationsgmbh Vorrichtung und Verfahren zum Schutz von Datenendgeräten und Datenservern zwischen öffentlichen und privaten Datennetzen
CN1152531C (zh) * 2002-04-23 2004-06-02 华为技术有限公司 分片报文的网络访问控制方法
US7359962B2 (en) * 2002-04-30 2008-04-15 3Com Corporation Network security system integration
AUPS214802A0 (en) * 2002-05-01 2002-06-06 Firebridge Systems Pty Ltd Firewall with stateful inspection
AU2003227123B2 (en) * 2002-05-01 2007-01-25 Firebridge Systems Pty Ltd Firewall with stateful inspection
US7558873B1 (en) 2002-05-08 2009-07-07 Nvidia Corporation Method for compressed large send
US20040162994A1 (en) * 2002-05-13 2004-08-19 Sandia National Laboratories Method and apparatus for configurable communication network defenses
US20040148521A1 (en) * 2002-05-13 2004-07-29 Sandia National Laboratories Method and apparatus for invisible network responder
US20030212901A1 (en) * 2002-05-13 2003-11-13 Manav Mishra Security enabled network flow control
US20030212735A1 (en) * 2002-05-13 2003-11-13 Nvidia Corporation Method and apparatus for providing an integrated network of processors
US20040028047A1 (en) * 2002-05-22 2004-02-12 Sean Hou Switch for local area network
US8060629B2 (en) * 2002-05-30 2011-11-15 Hewlett-Packard Development Company, L.P. System and method for managing information requests
US7685287B2 (en) 2002-05-30 2010-03-23 Microsoft Corporation Method and system for layering an infinite request/reply data stream on finite, unidirectional, time-limited transports
KR100455802B1 (ko) * 2002-07-03 2004-11-06 주식회사 아이콘랩 휴대용 단말장치에 시변 코드를 표시하는 방법 및 장치,및 이를 이용한 결제 및 인증 방법 및 장치
US7260639B2 (en) * 2002-07-09 2007-08-21 Akamai Technologies, Inc. Method and system for protecting web sites from public internet threats
US7437548B1 (en) 2002-07-11 2008-10-14 Nvidia Corporation Network level protocol negotiation and operation
US7412722B1 (en) 2002-08-08 2008-08-12 Verizon Laboratories Inc. Detection of softswitch attacks
US8260961B1 (en) 2002-10-01 2012-09-04 Trustwave Holdings, Inc. Logical / physical address state lifecycle management
US7469418B1 (en) 2002-10-01 2008-12-23 Mirage Networks, Inc. Deterring network incursion
US8819285B1 (en) 2002-10-01 2014-08-26 Trustwave Holdings, Inc. System and method for managing network communications
WO2004034229A2 (en) * 2002-10-10 2004-04-22 Rocksteady Networks, Inc. System and method for providing access control
US20040069109A1 (en) * 2002-10-11 2004-04-15 Sprague Donald G. Free swinging portable cutting work station
US7587512B2 (en) * 2002-10-16 2009-09-08 Eric White System and method for dynamic bandwidth provisioning
US7603341B2 (en) 2002-11-05 2009-10-13 Claria Corporation Updating the content of a presentation vehicle in a computer network
US7454499B2 (en) 2002-11-07 2008-11-18 Tippingpoint Technologies, Inc. Active network defense system and method
US7133420B2 (en) * 2002-11-15 2006-11-07 Tekelec Methods and systems for triggerless screening of wireless message service messages for delivery with differential quality of service
US9805373B1 (en) 2002-11-19 2017-10-31 Oracle International Corporation Expertise services platform
US7397797B2 (en) * 2002-12-13 2008-07-08 Nvidia Corporation Method and apparatus for performing network processing functions
MY141160A (en) * 2003-01-13 2010-03-31 Multimedia Glory Sdn Bhd System and method of preventing the transmission of known and unknown electronic content to and from servers or workstations connected to a common network
US7603549B1 (en) * 2003-02-11 2009-10-13 Cpacket Networks Inc. Network security protocol processor and method thereof
US7490348B1 (en) 2003-03-17 2009-02-10 Harris Technology, Llc Wireless network having multiple communication allowances
EP1628693A1 (en) * 2003-06-04 2006-03-01 Inion Ltd. Biodegradable implant and method for manufacturing one
US7420931B2 (en) * 2003-06-05 2008-09-02 Nvidia Corporation Using TCP/IP offload to accelerate packet filtering
US7620808B2 (en) 2003-06-19 2009-11-17 Nokia Corporation Security of a communication system
US7913294B1 (en) 2003-06-24 2011-03-22 Nvidia Corporation Network protocol processing for filtering packets
US7620070B1 (en) 2003-06-24 2009-11-17 Nvidia Corporation Packet processing with re-insertion into network interface circuitry
US7359983B1 (en) * 2003-06-24 2008-04-15 Nvidia Corporation Fragment processing utilizing cross-linked tables
US7359380B1 (en) 2003-06-24 2008-04-15 Nvidia Corporation Network protocol processing for routing and bridging
TWI227612B (en) * 2003-06-25 2005-02-01 Hon Hai Prec Ind Co Ltd System and method for IP logging
US7769994B2 (en) * 2003-08-13 2010-08-03 Radware Ltd. Content inspection in secure networks
US7624438B2 (en) 2003-08-20 2009-11-24 Eric White System and method for providing a secure connection between networked computers
US20050060538A1 (en) * 2003-09-15 2005-03-17 Intel Corporation Method, system, and program for processing of fragmented datagrams
GB0322891D0 (en) * 2003-09-30 2003-10-29 Nokia Corp Communication method
US7573872B2 (en) * 2003-10-01 2009-08-11 Nortel Networks Limited Selective forwarding of damaged packets
US7701974B2 (en) * 2003-10-21 2010-04-20 Nokia Corporation Routing information processing for network hiding scheme
DE60312235T2 (de) 2003-10-30 2007-11-08 Telecom Italia S.P.A. Verfahren und system zur eindringverhinderung und ablenkung
US7506065B2 (en) * 2003-11-26 2009-03-17 Hewlett-Packard Development Company, L.P. Remote mirroring using IP encapsulation
US8717868B2 (en) 2003-12-19 2014-05-06 Rockstar Consortium Us Lp Selective processing of damaged packets
US20050152331A1 (en) * 2004-01-12 2005-07-14 Shaw Mark E. Security measures in a partitionable computing system
GB0404696D0 (en) 2004-03-02 2004-04-07 Level 5 Networks Ltd Dual driver interface
US7590728B2 (en) 2004-03-10 2009-09-15 Eric White System and method for detection of aberrant network behavior by clients of a network access gateway
US7610621B2 (en) * 2004-03-10 2009-10-27 Eric White System and method for behavior-based firewall modeling
US7509625B2 (en) 2004-03-10 2009-03-24 Eric White System and method for comprehensive code generation for system management
WO2005088938A1 (en) 2004-03-10 2005-09-22 Enterasys Networks, Inc. Method for network traffic mirroring with data privacy
US7665130B2 (en) * 2004-03-10 2010-02-16 Eric White System and method for double-capture/double-redirect to a different location
US20050204022A1 (en) * 2004-03-10 2005-09-15 Keith Johnston System and method for network management XML architectural abstraction
US8543710B2 (en) * 2004-03-10 2013-09-24 Rpx Corporation Method and system for controlling network access
US20050220091A1 (en) * 2004-03-31 2005-10-06 Lavigne Bruce E Secure remote mirroring
US7292573B2 (en) * 2004-03-31 2007-11-06 Hewlett-Packard Development Company, L.P. Methods and apparatus for selection of mirrored traffic
GB0408868D0 (en) 2004-04-21 2004-05-26 Level 5 Networks Ltd Checking data integrity
GB0408870D0 (en) * 2004-04-21 2004-05-26 Level 5 Networks Ltd Processsing packet headers
US9207953B1 (en) * 2004-04-28 2015-12-08 F5 Networks, Inc. Method and apparatus for managing a proxy autoconfiguration in SSL VPN
JP3803680B2 (ja) 2004-06-16 2006-08-02 Necインフロンティア株式会社 不正アクセス防止方法、不正アクセス防止装置及び不正アクセス防止プログラム
US8155117B2 (en) 2004-06-29 2012-04-10 Qualcomm Incorporated Filtering and routing of fragmented datagrams in a data network
US20080028073A1 (en) * 2004-07-09 2008-01-31 France Telecom Method, a Device, and a System for Protecting a Server Against Denial of DNS Service Attacks
DE102004033624A1 (de) * 2004-07-12 2005-11-10 Siemens Ag Sicherheitsmodul für Netzwerke
US7904488B2 (en) 2004-07-21 2011-03-08 Rockwell Automation Technologies, Inc. Time stamp methods for unified plant model
US7624435B1 (en) * 2004-07-26 2009-11-24 Trend Micro Incorporated Method and apparatus for managing digital assets
US7925727B2 (en) * 2004-07-29 2011-04-12 Nortel Networks Limited Method and apparatus for efficient communication of management data in a telecommunications network
US8255413B2 (en) 2004-08-19 2012-08-28 Carhamm Ltd., Llc Method and apparatus for responding to request for information-personalization
US8078602B2 (en) 2004-12-17 2011-12-13 Claria Innovations, Llc Search engine for a computer network
US8819213B2 (en) * 2004-08-20 2014-08-26 Extreme Networks, Inc. System, method and apparatus for traffic mirror setup, service and security in communication networks
GB0420057D0 (en) 2004-09-09 2004-10-13 Level 5 Networks Ltd Dynamic resource allocation
US8477605B2 (en) * 2004-09-29 2013-07-02 Rockstar Consortium Us Lp Preventing illicit communications
US8756521B1 (en) 2004-09-30 2014-06-17 Rockwell Automation Technologies, Inc. Systems and methods for automatic visualization configuration
US20060168057A1 (en) * 2004-10-06 2006-07-27 Habeas, Inc. Method and system for enhanced electronic mail processing
US20060106919A1 (en) 2004-11-12 2006-05-18 David Watkinson Communication traffic control rule generation methods and systems
US8261337B1 (en) 2004-11-17 2012-09-04 Juniper Networks, Inc. Firewall security between network devices
US7693863B2 (en) 2004-12-20 2010-04-06 Claria Corporation Method and device for publishing cross-network user behavioral data
US8266320B1 (en) * 2005-01-27 2012-09-11 Science Applications International Corporation Computer network defense
EP1851905A1 (en) * 2005-02-07 2007-11-07 Adzilla, Inc. Method and system of targeting content
US8527661B1 (en) * 2005-03-09 2013-09-03 Oracle America, Inc. Gateway for connecting clients and servers utilizing remote direct memory access controls to separate data path from control path
GB0505300D0 (en) 2005-03-15 2005-04-20 Level 5 Networks Ltd Transmitting data
EP1861778B1 (en) 2005-03-10 2017-06-21 Solarflare Communications Inc Data processing system
GB0506403D0 (en) 2005-03-30 2005-05-04 Level 5 Networks Ltd Routing tables
US8073866B2 (en) 2005-03-17 2011-12-06 Claria Innovations, Llc Method for providing content to an internet user based on the user's demonstrated content preferences
US7676281B2 (en) 2005-05-13 2010-03-09 Rockwell Automation Technologies, Inc. Distributed database in an industrial automation environment
US7809683B2 (en) * 2005-05-13 2010-10-05 Rockwell Automation Technologies, Inc. Library that includes modifiable industrial automation objects
US8799800B2 (en) 2005-05-13 2014-08-05 Rockwell Automation Technologies, Inc. Automatic user interface generation
US7672737B2 (en) * 2005-05-13 2010-03-02 Rockwell Automation Technologies, Inc. Hierarchically structured data model for utilization in industrial automation environments
US7650405B2 (en) * 2005-05-13 2010-01-19 Rockwell Automation Technologies, Inc. Tracking and tracing across process boundaries in an industrial automation environment
EP1900172A1 (en) * 2005-06-10 2008-03-19 Gatesweeper solutions inc. Anti-hacker system with honey pot
US7804787B2 (en) * 2005-07-08 2010-09-28 Fluke Corporation Methods and apparatus for analyzing and management of application traffic on networks
US7970788B2 (en) * 2005-08-02 2011-06-28 International Business Machines Corporation Selective local database access restriction
US20070067458A1 (en) * 2005-09-20 2007-03-22 Rockwell Software, Inc. Proxy server for integration of industrial automation data over multiple networks
US7881812B2 (en) * 2005-09-29 2011-02-01 Rockwell Automation Technologies, Inc. Editing and configuring device
US7548789B2 (en) 2005-09-29 2009-06-16 Rockwell Automation Technologies, Inc. Editing lifecycle and deployment of objects in an industrial automation environment
US8275680B2 (en) * 2005-09-30 2012-09-25 Rockwell Automation Technologies, Inc. Enabling transactional mechanisms in an automated controller system
US7734590B2 (en) 2005-09-30 2010-06-08 Rockwell Automation Technologies, Inc. Incremental association of metadata to production data
US8484250B2 (en) * 2005-09-30 2013-07-09 Rockwell Automation Technologies, Inc. Data federation with industrial control systems
US8477759B2 (en) * 2005-09-30 2013-07-02 Qualcomm Incorporated Filtering of malformed data packets in wireless communication
US7526794B2 (en) * 2005-09-30 2009-04-28 Rockwell Automation Technologies, Inc. Data perspectives in controller system and production management systems
US7801628B2 (en) 2005-09-30 2010-09-21 Rockwell Automation Technologies, Inc. Industrial operator interfaces interacting with higher-level business workflow
US7660638B2 (en) * 2005-09-30 2010-02-09 Rockwell Automation Technologies, Inc. Business process execution engine
US7933923B2 (en) 2005-11-04 2011-04-26 International Business Machines Corporation Tracking and reconciling database commands
US8347373B2 (en) 2007-05-08 2013-01-01 Fortinet, Inc. Content filtering of remote file-system access protocols
GB0600417D0 (en) 2006-01-10 2006-02-15 Level 5 Networks Inc Virtualisation support
US8041946B2 (en) * 2006-02-28 2011-10-18 The Boeing Company Data transfer between networks operating at different security levels
JP4594258B2 (ja) * 2006-03-10 2010-12-08 富士通株式会社 システム分析装置およびシステム分析方法
US8281123B2 (en) * 2006-03-24 2012-10-02 Intel Corporation Apparatus and method for managing and protecting information during use of semi-trusted interfaces
US20070240208A1 (en) * 2006-04-10 2007-10-11 Ming-Che Yu Network appliance for controlling hypertext transfer protocol (HTTP) messages between a local area network and a global communications network
US20080005315A1 (en) * 2006-06-29 2008-01-03 Po-Ching Lin Apparatus, system and method for stream-based data filtering
JP5292297B2 (ja) 2006-09-29 2013-09-18 ノマディックス インコーポレイテッド コンテンツを挿入するためのシステムおよび方法
US8141100B2 (en) 2006-12-20 2012-03-20 International Business Machines Corporation Identifying attribute propagation for multi-tier processing
US8495367B2 (en) 2007-02-22 2013-07-23 International Business Machines Corporation Nondestructive interception of secure data in transit
US7639625B2 (en) * 2007-03-02 2009-12-29 Cisco Technology, Inc. Tracing connection paths through transparent proxies
US8291495B1 (en) 2007-08-08 2012-10-16 Juniper Networks, Inc. Identifying applications for intrusion detection systems
US20090055267A1 (en) * 2007-08-23 2009-02-26 Robert Roker Internet advertising brokerage apparatus, systems, and methods
US8156541B1 (en) * 2007-10-17 2012-04-10 Mcafee, Inc. System, method, and computer program product for identifying unwanted activity utilizing a honeypot device accessible via VLAN trunking
DE102007052523A1 (de) 2007-11-01 2009-05-14 Phoenix Contact Gmbh & Co. Kg Verbinder und Verfahren zum Bereitstellen eines Zugangs zu einem Datenverarbeitungsnetz für eine Datenverarbeitungseinrichtung
US8112800B1 (en) 2007-11-08 2012-02-07 Juniper Networks, Inc. Multi-layered application classification and decoding
US20090129301A1 (en) * 2007-11-15 2009-05-21 Nokia Corporation And Recordation Configuring a user device to remotely access a private network
US8125796B2 (en) 2007-11-21 2012-02-28 Frampton E. Ellis Devices with faraday cages and internal flexibility sipes
US8667175B2 (en) * 2008-03-13 2014-03-04 Cisco Technology, Inc. Server selection for routing content to a client using application layer redirection
US8261326B2 (en) 2008-04-25 2012-09-04 International Business Machines Corporation Network intrusion blocking security overlay
US8416695B2 (en) * 2008-06-30 2013-04-09 Huawei Technologies Co., Ltd. Method, device and system for network interception
US8572717B2 (en) * 2008-10-09 2013-10-29 Juniper Networks, Inc. Dynamic access control policy with port restrictions for a network security appliance
US8521868B2 (en) * 2008-10-15 2013-08-27 International Business Machines Corporation Platform-level indicators of application performance
US8457128B2 (en) * 2009-04-08 2013-06-04 Ixia Capturing packets with parallel capture engines
US8767565B2 (en) 2008-10-17 2014-07-01 Ixia Flexible network test apparatus
US7953092B2 (en) * 2009-04-08 2011-05-31 Ixia Traffic receiver using parallel capture engines
US9398043B1 (en) * 2009-03-24 2016-07-19 Juniper Networks, Inc. Applying fine-grain policy action to encapsulated network attacks
US20110030037A1 (en) 2009-07-07 2011-02-03 Vadim Olshansky Zone migration in network access
US8769665B2 (en) * 2009-09-29 2014-07-01 Broadcom Corporation IP communication device as firewall between network and computer system
US8127365B1 (en) 2009-11-16 2012-02-28 Trend Micro Incorporated Origination-based content protection for computer systems
US8424091B1 (en) 2010-01-12 2013-04-16 Trend Micro Incorporated Automatic local detection of computer security threats
US20110225645A1 (en) * 2010-01-26 2011-09-15 Ellis Frampton E Basic architecture for secure internet computers
US8429735B2 (en) 2010-01-26 2013-04-23 Frampton E. Ellis Method of using one or more secure private networks to actively configure the hardware of a computer or microchip
US8255986B2 (en) 2010-01-26 2012-08-28 Frampton E. Ellis Methods of securely controlling through one or more separate private networks an internet-connected computer having one or more hardware-based inner firewalls or access barriers
CA2825850A1 (en) * 2010-01-29 2011-08-04 Frampton E. Ellis The basic architecture for secure internet computers
US8484401B2 (en) 2010-04-15 2013-07-09 Rockwell Automation Technologies, Inc. Systems and methods for conducting communications among components of multidomain industrial automation system
US8984533B2 (en) 2010-04-15 2015-03-17 Rockwell Automation Technologies, Inc. Systems and methods for conducting communications among components of multidomain industrial automation system
US9392072B2 (en) 2010-04-15 2016-07-12 Rockwell Automation Technologies, Inc. Systems and methods for conducting communications among components of multidomain industrial automation system
US8650495B2 (en) 2011-03-21 2014-02-11 Guest Tek Interactive Entertainment Ltd. Captive portal that modifies content retrieved from designated web page to specify base domain for relative link and sends to client in response to request from client for unauthorized web page
US9124920B2 (en) 2011-06-29 2015-09-01 The Nielson Company (Us), Llc Methods, apparatus, and articles of manufacture to identify media presentation devices
US8640251B1 (en) 2011-12-14 2014-01-28 Trend Micro Incorporated Methods and systems for classifying computer documents into confidential levels using log information
US8826452B1 (en) 2012-01-18 2014-09-02 Trend Micro Incorporated Protecting computers against data loss involving screen captures
US10091239B2 (en) 2012-01-24 2018-10-02 Ssh Communications Security Oyj Auditing and policy control at SSH endpoints
US9137281B2 (en) 2012-06-22 2015-09-15 Guest Tek Interactive Entertainment Ltd. Dynamically enabling guest device supporting network-based media sharing protocol to share media content over local area computer network of lodging establishment with subset of in-room media devices connected thereto
US9178861B2 (en) 2012-10-16 2015-11-03 Guest Tek Interactive Entertainment Ltd. Off-site user access control
CA2851709A1 (en) 2013-05-16 2014-11-16 Peter S. Warrick Dns-based captive portal with integrated transparent proxy to protect against user device caching incorrect ip address
US20150358289A1 (en) * 2014-06-10 2015-12-10 Christopher Michael Ball Preconfigured transparent firewall with stateful inspection for embedded devices
US20160373360A1 (en) * 2015-06-16 2016-12-22 Saguna Networks Ltd. Methods Circuits Devices Systems and Associated Machine Executable Instructions for Transporting Packetized Data Across a Cellular Communications Network
CN106487742B (zh) * 2015-08-24 2020-01-03 阿里巴巴集团控股有限公司 用于验证源地址有效性的方法及装置
DE102015016616A1 (de) * 2015-12-22 2017-06-22 Giesecke & Devrient Gmbh Vorrichtung und Verfahren zur Verbindung einer Produktionsvorrichtung mit einem Netzwerk
US9917856B2 (en) 2015-12-23 2018-03-13 Centripetal Networks, Inc. Rule-based network-threat detection for encrypted communications
US10075416B2 (en) 2015-12-30 2018-09-11 Juniper Networks, Inc. Network session data sharing
EP3644570B1 (de) * 2018-10-23 2021-07-28 ise Individuelle Software und Elektronik GmbH Firewall für gebäudenetzwerke, ein entsprechendes system und verfahren sowie ein computerlesbares medium
US11593140B2 (en) * 2019-06-28 2023-02-28 Hewlett Packard Enterprise Development Lp Smart network interface card for smart I/O
US11669468B2 (en) * 2019-06-28 2023-06-06 Hewlett Packard Enterprise Development Lp Interconnect module for smart I/O

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4557313A (en) * 1978-06-26 1985-12-10 Navarre Robert L Continuous sequential casting apparatus
US4577313A (en) * 1984-06-04 1986-03-18 Sy Kian Bon K Routing mechanism with encapsulated FCS for a multi-ring local area network
JP3746785B2 (ja) * 1993-07-28 2006-02-15 3コム コーポレイション 多重ネットワーク・アドレスを備えたネットワーク・ステーション
US5559883A (en) * 1993-08-19 1996-09-24 Chipcom Corporation Method and apparatus for secure data packet bus communication
US5606668A (en) * 1993-12-15 1997-02-25 Checkpoint Software Technologies Ltd. System for securing inbound and outbound data packet flow in a computer network
US5623601A (en) * 1994-11-18 1997-04-22 Milkway Networks Corporation Apparatus and method for providing a secure gateway for communication and data exchanges between networks
US5550984A (en) * 1994-12-07 1996-08-27 Matsushita Electric Corporation Of America Security system for preventing unauthorized communications between networks by translating communications received in ip protocol to non-ip protocol to remove address and routing services information

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7464407B2 (en) 2002-08-20 2008-12-09 Nec Corporation Attack defending system and attack defending method
US7958549B2 (en) 2002-08-20 2011-06-07 Nec Corporation Attack defending system and attack defending method
JP2006515698A (ja) * 2003-02-20 2006-06-01 ノキア コーポレイション 通信システム
US7664042B2 (en) 2003-09-17 2010-02-16 Toshiba Storage Device Corporation Storage control apparatus, storage apparatus, storage control method, and computer-readable recording medium for executing a command based on data in received packet
JP2010531484A (ja) * 2007-06-06 2010-09-24 エアバス・オペレーションズ オープンドメインからアビオニクスドメインまでの通信のオンボードアクセス制御システム
JP2014502068A (ja) * 2010-10-07 2014-01-23 エレクトリシテ・ドゥ・フランス 安全なデータ転送のための方法および装置
US8977846B2 (en) 2010-10-07 2015-03-10 Electricite De France Method and device for the secure transfer of data

Also Published As

Publication number Publication date
EP0743777A3 (en) 2002-06-12
SG73981A1 (en) 2000-07-18
US5802320A (en) 1998-09-01
US5884025A (en) 1999-03-16
US5878231A (en) 1999-03-02
EP0743777A2 (en) 1996-11-20

Similar Documents

Publication Publication Date Title
JPH09224053A (ja) コンピュータ・ネットワーク・インタフェースにおけるデータ・パケットのパケット・フィルタリング・システム
DeCusatis et al. Implementing zero trust cloud networks with transport access control and first packet authentication
US9832227B2 (en) System and method for network level protection against malicious software
US7882265B2 (en) Systems and methods for managing messages in an enterprise network
US7664822B2 (en) Systems and methods for authentication of target protocol screen names
CN103907330B (zh) 在网络环境中用于重定向的防火墙发现的系统和方法
US6321336B1 (en) System and method for redirecting network traffic to provide secure communication
US7707401B2 (en) Systems and methods for a protocol gateway
US7818565B2 (en) Systems and methods for implementing protocol enforcement rules
US7213265B2 (en) Real time active network compartmentalization
US20040088409A1 (en) Network architecture using firewalls
US20090265777A1 (en) Collaborative and proactive defense of networks and information systems
US8689319B2 (en) Network security system
US10904288B2 (en) Identifying and deceiving adversary nodes and maneuvers for attack deception and mitigation
JP2005517349A (ja) マルチメッソドゲートウエイに基づいたネットワークセキュリティシステム及び方法
US7596808B1 (en) Zero hop algorithm for network threat identification and mitigation
JP3687782B2 (ja) 不正侵入防止システム
Mohammed et al. Honeypots and Routers: Collecting internet attacks
WO2004047402A1 (en) Management of network security domains
JP2003036243A (ja) 不正侵入防止システム
Mason et al. Cisco secure Internet security solutions
Murray An Introduction to Internet Security and Firewall Policies
Lei Towards Better Kernel and Network Monitoring of Software Actions
Murray Internet Security and Firewall Policies
Xing et al. Cloud security

Legal Events

Date Code Title Description
A761 Written withdrawal of application

Free format text: JAPANESE INTERMEDIATE CODE: A761

Effective date: 20040901