JPH09224053A - コンピュータ・ネットワーク・インタフェースにおけるデータ・パケットのパケット・フィルタリング・システム - Google Patents
コンピュータ・ネットワーク・インタフェースにおけるデータ・パケットのパケット・フィルタリング・システムInfo
- Publication number
- JPH09224053A JPH09224053A JP8147881A JP14788196A JPH09224053A JP H09224053 A JPH09224053 A JP H09224053A JP 8147881 A JP8147881 A JP 8147881A JP 14788196 A JP14788196 A JP 14788196A JP H09224053 A JPH09224053 A JP H09224053A
- Authority
- JP
- Japan
- Prior art keywords
- network
- packet
- screen system
- module
- screen
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
(57)【要約】
【課題】 プライベート・ネットワークなどの保護する
ネットワークと公衆ネットワークなどの他のネットワー
クとの間で伝送されるデータ・パケットをスクリーニン
グするシステムを提供する。 【解決手段】 このシステムは、プライベート・ネット
ワークおよび公衆ネットワークのそれぞれに接続され、
プライベート・ネットワーク上にあるホストおよびサー
ビスのサブセットをミラーリングすることができる所定
の数のホストおよびサービスを含む代行ネットワークに
接続された複数(特に3つ)のタイプのネットワーク・
ポートを有する専用コンピュータを備える。代行ネット
ワークはプライベート・ネットワークから分離されてお
り、したがって侵入者の出発点として使用することがで
きない。
ネットワークと公衆ネットワークなどの他のネットワー
クとの間で伝送されるデータ・パケットをスクリーニン
グするシステムを提供する。 【解決手段】 このシステムは、プライベート・ネット
ワークおよび公衆ネットワークのそれぞれに接続され、
プライベート・ネットワーク上にあるホストおよびサー
ビスのサブセットをミラーリングすることができる所定
の数のホストおよびサービスを含む代行ネットワークに
接続された複数(特に3つ)のタイプのネットワーク・
ポートを有する専用コンピュータを備える。代行ネット
ワークはプライベート・ネットワークから分離されてお
り、したがって侵入者の出発点として使用することがで
きない。
Description
【0001】
【発明の属する技術分野】本発明は、1つのコンピュー
タ・ネットワークから他のコンピュータ・ネットワーク
に送信されるデータ・パケットのスクリーニングに関す
る。テルネット・セッション、ftp(ファイル転送プ
ロトコル)セッション、eメール(電子メール)など、
公衆ネットワーク上のユーザがプライベート・ネットワ
ーク上のホスト機と対話する多くの方法がある。さら
に、要求者の端末を直接接続するほかに、所与のターゲ
ット・ネットワーク上のコンピュータがそのネットワー
クの外部のユーザから特定の操作を実行するように要求
されることがある。
タ・ネットワークから他のコンピュータ・ネットワーク
に送信されるデータ・パケットのスクリーニングに関す
る。テルネット・セッション、ftp(ファイル転送プ
ロトコル)セッション、eメール(電子メール)など、
公衆ネットワーク上のユーザがプライベート・ネットワ
ーク上のホスト機と対話する多くの方法がある。さら
に、要求者の端末を直接接続するほかに、所与のターゲ
ット・ネットワーク上のコンピュータがそのネットワー
クの外部のユーザから特定の操作を実行するように要求
されることがある。
【0002】
【従来の技術】図1に、プライベート・ネットワーク2
0、公衆ネットワーク30、および他のプライベート・
ネットワーク40を含む従来のインターネットワーク1
0を図示する。プライベート・ネットワーク20および
40は、ファイヤーウォールを備えていないときわめて
侵入を受けやすくなる。
0、公衆ネットワーク30、および他のプライベート・
ネットワーク40を含む従来のインターネットワーク1
0を図示する。プライベート・ネットワーク20および
40は、ファイヤーウォールを備えていないときわめて
侵入を受けやすくなる。
【0003】図3に、ネットワーク・インタフェース1
60および170を制御する論理(回路、または典型的
には関連するメモリを有するプロセッサ)150によっ
て制御されるルータまたはブリッジ130を介してプラ
イベート・ネットワーク120が他のプライベート・ネ
ットワーク140と通信することができるインターネッ
トワーク110を図示する。ネットワーク140から、
ホストに宛ててネットワーク120上のポートを指定す
るデータ・パケットが着信すると、そのデータ・パケッ
トはユニット180によってそのホストおよびポートに
対応づけられ、インタフェース160を介してネットワ
ーク120上の該当する宛先に送信される。図3では、
セキュリティは設けられておらず、したがっていつでも
攻撃目標とされる可能性がある。
60および170を制御する論理(回路、または典型的
には関連するメモリを有するプロセッサ)150によっ
て制御されるルータまたはブリッジ130を介してプラ
イベート・ネットワーク120が他のプライベート・ネ
ットワーク140と通信することができるインターネッ
トワーク110を図示する。ネットワーク140から、
ホストに宛ててネットワーク120上のポートを指定す
るデータ・パケットが着信すると、そのデータ・パケッ
トはユニット180によってそのホストおよびポートに
対応づけられ、インタフェース160を介してネットワ
ーク120上の該当する宛先に送信される。図3では、
セキュリティは設けられておらず、したがっていつでも
攻撃目標とされる可能性がある。
【0004】したがって、公衆ネットワーク80を介し
てプライベート・ネットワーク60と100が互いに通
信することができるがそれぞれファイヤウォール70お
よび90を備える、図2に示すシステム50におけるよ
うなコンピュータ・ファイヤウォールが開発されてい
る。現在使用されている従来のコンピュータ・ファイヤ
ウォール(および図3のブリッジ130のようなルータ
またはブリッジ)の問題点は、ファイヤウォールがIP
(インターネット・プロトコル)トランザクションに関
与し、その際にそれらをIP機として識別する情報を発
生し、それによってそれらが侵入者に認識されて攻撃目
標となる点である。ファイヤウォールに関するこのタイ
プおよびその他のタイプの問題の詳細な説明について
は、たとえば、参照により本明細書に組み込まれるCh
eswickとBellovinによる参考資料Fir
ewalls and Internet Secur
ity(Addison Wesley 1994)と
SiyanおよびHareによるInternet F
irewalls and Network Secu
rity(New Riders Publishin
g 1995)を参照されたい。
てプライベート・ネットワーク60と100が互いに通
信することができるがそれぞれファイヤウォール70お
よび90を備える、図2に示すシステム50におけるよ
うなコンピュータ・ファイヤウォールが開発されてい
る。現在使用されている従来のコンピュータ・ファイヤ
ウォール(および図3のブリッジ130のようなルータ
またはブリッジ)の問題点は、ファイヤウォールがIP
(インターネット・プロトコル)トランザクションに関
与し、その際にそれらをIP機として識別する情報を発
生し、それによってそれらが侵入者に認識されて攻撃目
標となる点である。ファイヤウォールに関するこのタイ
プおよびその他のタイプの問題の詳細な説明について
は、たとえば、参照により本明細書に組み込まれるCh
eswickとBellovinによる参考資料Fir
ewalls and Internet Secur
ity(Addison Wesley 1994)と
SiyanおよびHareによるInternet F
irewalls and Network Secu
rity(New Riders Publishin
g 1995)を参照されたい。
【0005】ファイヤウォールおよびパケット・フィル
タリング・システムは、攻撃するために用いることがで
きる方法の数を最小限にするように、侵入者にとって認
識不能であって、それにもかかわらず適切な機能を満た
すのが理想的である。
タリング・システムは、攻撃するために用いることがで
きる方法の数を最小限にするように、侵入者にとって認
識不能であって、それにもかかわらず適切な機能を満た
すのが理想的である。
【0006】現在のネットワーク・セキュリティ解決策
は、ファイヤウォールを設けるほかにネットワークに変
更を加える必要があることが多く、複雑で費用が高くつ
くことがある。ネットワークを実質的に変更することな
くネットワークに接続可能であって、保護ネットワーク
の外部からの侵入に対してはセキュリティを実現するシ
ステムが必要である。
は、ファイヤウォールを設けるほかにネットワークに変
更を加える必要があることが多く、複雑で費用が高くつ
くことがある。ネットワークを実質的に変更することな
くネットワークに接続可能であって、保護ネットワーク
の外部からの侵入に対してはセキュリティを実現するシ
ステムが必要である。
【0007】通例ルータとして機能し、保護ネットワー
クに結合された1つのポートまたはネットワーク・イン
タフェース及び他のネットワークまたはインターネット
に結合された他のポートを有するパケット・フィルタリ
ング・システムが、ネットワークにセキュリティを与え
るために現在使用されている。ルータとして、このよう
なシステムはIPコマンドに応答し、特にそれらのシス
テムのIPアドレスを使用してデータ・パケットに応答
するえあろう。これによって、侵入者はそれらのシステ
ムを識別と攻撃の目標とすることができる。
クに結合された1つのポートまたはネットワーク・イン
タフェース及び他のネットワークまたはインターネット
に結合された他のポートを有するパケット・フィルタリ
ング・システムが、ネットワークにセキュリティを与え
るために現在使用されている。ルータとして、このよう
なシステムはIPコマンドに応答し、特にそれらのシス
テムのIPアドレスを使用してデータ・パケットに応答
するえあろう。これによって、侵入者はそれらのシステ
ムを識別と攻撃の目標とすることができる。
【0008】
【発明が解決しようとする課題】保護ネットワーク内の
アドレスがそのネットワークの外部のユーザに知られた
場合にも、同じタイプの攻撃を受ける。したがって、ネ
ットワーク内のフィルタリング・システムに関するIP
アドレス情報もホストに関するIPアドレス情報も明ら
かにせずにネットワークの外部からのデータ・パケット
に応答することができるシステムを設けると有利であ
る。
アドレスがそのネットワークの外部のユーザに知られた
場合にも、同じタイプの攻撃を受ける。したがって、ネ
ットワーク内のフィルタリング・システムに関するIP
アドレス情報もホストに関するIPアドレス情報も明ら
かにせずにネットワークの外部からのデータ・パケット
に応答することができるシステムを設けると有利であ
る。
【0009】
【課題を解決するための手段】本発明は、従来の意味で
のファイヤウォールとシグネチャレス・パケット・フィ
ルタリング・システムの両方の機能を果たすスクリーン
・システムに向けられている。たとえば公衆ネットワー
クと攻撃目標になることから保護するプライベート・ネ
ットワークとの間のネットワーク接続部にスクリーンを
設置する。その2つのネットワークのそれぞれについて
ポートまたはネットワーク・インタフェースを設け、さ
らに、1つまたは複数の代行ネットワークに対して1つ
または複数の追加的ポートを設ける。
のファイヤウォールとシグネチャレス・パケット・フィ
ルタリング・システムの両方の機能を果たすスクリーン
・システムに向けられている。たとえば公衆ネットワー
クと攻撃目標になることから保護するプライベート・ネ
ットワークとの間のネットワーク接続部にスクリーンを
設置する。その2つのネットワークのそれぞれについて
ポートまたはネットワーク・インタフェースを設け、さ
らに、1つまたは複数の代行ネットワークに対して1つ
または複数の追加的ポートを設ける。
【0010】このスクリーン・システムは、各着信パケ
ットを検査してエンジンに送るパケット・フィルタリン
グ・サブシステムまたはモジュールを備え、エンジンは
パケット検査機構およびその他の情報に基づいて、その
パケットに対してどのような処置をとるべきかを決定す
る。パケットは処置サブシステムまたはモジュールに渡
され、その処置サブシステムまたはモジュールが適切な
処置を実行する。
ットを検査してエンジンに送るパケット・フィルタリン
グ・サブシステムまたはモジュールを備え、エンジンは
パケット検査機構およびその他の情報に基づいて、その
パケットに対してどのような処置をとるべきかを決定す
る。パケットは処置サブシステムまたはモジュールに渡
され、その処置サブシステムまたはモジュールが適切な
処置を実行する。
【0011】パケットの意図された宛先がプライベート
・ネットワーク上のホスト機である場合は、代わりに代
行ネットワーク上の事前構成済みホスト機にそらして送
ることができ、そのホスト機が、実ホストが実行するは
ずの適切な操作を実行するか、または所望により異なる
操作を実行する。代行ホストは、実ホストのIPアドレ
スを使用して応答を生成するため、代行ネットワークの
存在は検知することができない。このスクリーン・シス
テムはルータではなく、したがってそれ自身のIPアド
レスは持たないため、スクリーン・システムもこのよう
にして検出することができず、trace_rout
e、ping、fingerなどの操作の対象とならな
い。
・ネットワーク上のホスト機である場合は、代わりに代
行ネットワーク上の事前構成済みホスト機にそらして送
ることができ、そのホスト機が、実ホストが実行するは
ずの適切な操作を実行するか、または所望により異なる
操作を実行する。代行ホストは、実ホストのIPアドレ
スを使用して応答を生成するため、代行ネットワークの
存在は検知することができない。このスクリーン・シス
テムはルータではなく、したがってそれ自身のIPアド
レスは持たないため、スクリーン・システムもこのよう
にして検出することができず、trace_rout
e、ping、fingerなどの操作の対象とならな
い。
【0012】このスクリーン・システムは、プライベー
ト・ネットワークまたは公衆ネットワークの変更を必要
とせず、ネットワーク接続でインライン接続することが
でき、所望の数のホストによって代行ネットワークをセ
ット・アップすることができ、それによってプライベー
ト・ネットワークの再構成またはネットワーク・ソフト
ウェアの変更を行わずにセキュリティが設けられる。
ト・ネットワークまたは公衆ネットワークの変更を必要
とせず、ネットワーク接続でインライン接続することが
でき、所望の数のホストによって代行ネットワークをセ
ット・アップすることができ、それによってプライベー
ト・ネットワークの再構成またはネットワーク・ソフト
ウェアの変更を行わずにセキュリティが設けられる。
【0013】このスクリーン・システムは、すべて所定
の基準に照らして、エラー・メッセージ付きまたはエラ
ー・メッセージなしでパケットを除去する、パケットを
記録する、パケットまたはそのヘッダを変更するなど、
パケットに対して広範囲なその他の処置を実行するよう
に事前構成することができる。以上のおよびその他の処
置はスクリーン・システムを匿名のままで実行できる。
の基準に照らして、エラー・メッセージ付きまたはエラ
ー・メッセージなしでパケットを除去する、パケットを
記録する、パケットまたはそのヘッダを変更するなど、
パケットに対して広範囲なその他の処置を実行するよう
に事前構成することができる。以上のおよびその他の処
置はスクリーン・システムを匿名のままで実行できる。
【0014】
本発明のハードウェア 図4に、本発明の実施に適したインターネットワーク・
システムを示す。公衆ネットワーク200(またはイン
ターネットなど、ネットワークのネットワーク)は、た
とえばエンジニアリング・ドメイン・ネットワーク22
0および会社ドメイン・ネットワーク230などを含む
プライベート・ネットワークまたはインターネットワー
ク210と通信することができる。図のようにネットワ
ーク220とネットワーク230および200との間に
従来のファイヤウォール240を配置する。ファイヤウ
ォールは図のように、所与のプライベート・ネットワー
ク(220)と公衆ネットワーク(200)との間のほ
か、プライベート・ネットワーク200とそのプライベ
ート・ネットワーク自体のプライベート・インターネッ
トワーク上の他のネットワーク(210など)との間に
も設置することができることに留意されたい。ネットワ
ーク化ハードウェアおよびソフトウェアは、イーサネッ
トなど任意の適合する従来のネットワーク化システムと
することができる。
システムを示す。公衆ネットワーク200(またはイン
ターネットなど、ネットワークのネットワーク)は、た
とえばエンジニアリング・ドメイン・ネットワーク22
0および会社ドメイン・ネットワーク230などを含む
プライベート・ネットワークまたはインターネットワー
ク210と通信することができる。図のようにネットワ
ーク220とネットワーク230および200との間に
従来のファイヤウォール240を配置する。ファイヤウ
ォールは図のように、所与のプライベート・ネットワー
ク(220)と公衆ネットワーク(200)との間のほ
か、プライベート・ネットワーク200とそのプライベ
ート・ネットワーク自体のプライベート・インターネッ
トワーク上の他のネットワーク(210など)との間に
も設置することができることに留意されたい。ネットワ
ーク化ハードウェアおよびソフトウェアは、イーサネッ
トなど任意の適合する従来のネットワーク化システムと
することができる。
【0015】ファイヤウォール240は、実施者の所望
により、単一の機械として構成することも、一方が着信
データ・パケットを処理し他方がネットワーク220か
らの送出データ・パケットを処理する別々の機械として
構成することもできる。さらに、会社ドメイン・ネット
ワーク230専用の他のファイヤウォールが通常は使用
されることになるが、この図には図示していない。
により、単一の機械として構成することも、一方が着信
データ・パケットを処理し他方がネットワーク220か
らの送出データ・パケットを処理する別々の機械として
構成することもできる。さらに、会社ドメイン・ネット
ワーク230専用の他のファイヤウォールが通常は使用
されることになるが、この図には図示していない。
【0016】ネットワーク200または230から送信
されたデータ・パケットは、接続300または280を
介してファイヤウォール240に送られる。このファイ
ヤウォール240は、以下に記載する点以外は従来通り
とすることができる。ファイヤウォール240は、許可
されたデータ・パケットを接続250を介してネットワ
ーク220に渡す。
されたデータ・パケットは、接続300または280を
介してファイヤウォール240に送られる。このファイ
ヤウォール240は、以下に記載する点以外は従来通り
とすることができる。ファイヤウォール240は、許可
されたデータ・パケットを接続250を介してネットワ
ーク220に渡す。
【0017】同様に、ネットワーク220からネットワ
ーク200内またはネットワーク230の宛先に宛てら
れたデータ・パケットは、接続270を介してファイヤ
ウォール240に送られ、ファイヤウォール240は要
求に応じて、セキュリティ条件を条件として接続310
(ネットワーク200宛ての場合)または接続290
(ネットワーク230宛ての場合)を介して渡す。接続
250および270〜310はすべて、たとえばケーブ
ル、光ファイバ、または同様のものなど、従来のネット
ワーク接続とすることができる。
ーク200内またはネットワーク230の宛先に宛てら
れたデータ・パケットは、接続270を介してファイヤ
ウォール240に送られ、ファイヤウォール240は要
求に応じて、セキュリティ条件を条件として接続310
(ネットワーク200宛ての場合)または接続290
(ネットワーク230宛ての場合)を介して渡す。接続
250および270〜310はすべて、たとえばケーブ
ル、光ファイバ、または同様のものなど、従来のネット
ワーク接続とすることができる。
【0018】図5は、インターネットワーク・システム
320で実施することができる本発明のパケット・スク
リーン・システム340の論理ブロック図である。別法
として、このインターネットワーク・システム320は
図4に示すようなインターネットワークでもよく、した
がってファイヤウォール240は、従来のファイヤウォ
ール機能のすべてに加えて以下に述べるスクリーニング
機能を扱うように構成されたスクリーン・システム34
0に置き換えることができる。
320で実施することができる本発明のパケット・スク
リーン・システム340の論理ブロック図である。別法
として、このインターネットワーク・システム320は
図4に示すようなインターネットワークでもよく、した
がってファイヤウォール240は、従来のファイヤウォ
ール機能のすべてに加えて以下に述べるスクリーニング
機能を扱うように構成されたスクリーン・システム34
0に置き換えることができる。
【0019】図5には、標準ネットワーク・インタフェ
ース410を介してパケット・スクリーン・システム
(または単に「スクリーン」)340に結合された単一
のプライベート・ネットワーク330が図示されてい
る。さらに、他の標準ネットワーク・インタフェース4
25を介して公衆ネットワーク350がスクリーン34
0に結合されている。第3のネットワークである代行ネ
ットワーク430が、ネットワーク・インタフェース4
20を介してスクリーン340に結合されている。
ース410を介してパケット・スクリーン・システム
(または単に「スクリーン」)340に結合された単一
のプライベート・ネットワーク330が図示されてい
る。さらに、他の標準ネットワーク・インタフェース4
25を介して公衆ネットワーク350がスクリーン34
0に結合されている。第3のネットワークである代行ネ
ットワーク430が、ネットワーク・インタフェース4
20を介してスクリーン340に結合されている。
【0020】図4および図5に示すようなファイヤウォ
ール接続を使用して、任意の数Nのプライベート・ネッ
トワーク(この場合は代行ネットワークを含むものとみ
なすことができる)を本発明の複数のスクリーン340
を介して相互に結合することができ、任意の所望の数M
の公衆ネットワークに接続することができる。したがっ
て、NxMのスクリーン・システムを形成することがで
き、図5の例ではN=2でM=1である。以下の図8A
の説明も参照されたい。
ール接続を使用して、任意の数Nのプライベート・ネッ
トワーク(この場合は代行ネットワークを含むものとみ
なすことができる)を本発明の複数のスクリーン340
を介して相互に結合することができ、任意の所望の数M
の公衆ネットワークに接続することができる。したがっ
て、NxMのスクリーン・システムを形成することがで
き、図5の例ではN=2でM=1である。以下の図8A
の説明も参照されたい。
【0021】N=M=1で、データ・パケットを一方向
または双方向にIPアドレスの変更なしで通過させる
か、または何らかの変更を加えるが、スクリーン・シス
テム自体のIPアドレスまたはその他のネットワーク・
アドレスを追加しない、代行ネットワークのない本発明
のシステムも同様に構築することが可能である。このよ
うなシステムについては図8Bに関して後述する。
または双方向にIPアドレスの変更なしで通過させる
か、または何らかの変更を加えるが、スクリーン・シス
テム自体のIPアドレスまたはその他のネットワーク・
アドレスを追加しない、代行ネットワークのない本発明
のシステムも同様に構築することが可能である。このよ
うなシステムについては図8Bに関して後述する。
【0022】図6にユニプロセッサ・ベースまたはマル
チプロセッサ・ベースのシステムとすることができるス
クリーン340を詳細に示す。この実施形態では、本発
明によって実行される動作を実行するために必要な命令
を記憶する1つまたは複数の従来のメモリ(たとえばR
AM、ROM、EPROM、ディスク記憶装置など)4
00に結合された単一プロセッサ390が図示されてい
る。ネットワーク・インタフェース410〜425はプ
ロセッサ390によって従来の方式で制御される。
チプロセッサ・ベースのシステムとすることができるス
クリーン340を詳細に示す。この実施形態では、本発
明によって実行される動作を実行するために必要な命令
を記憶する1つまたは複数の従来のメモリ(たとえばR
AM、ROM、EPROM、ディスク記憶装置など)4
00に結合された単一プロセッサ390が図示されてい
る。ネットワーク・インタフェース410〜425はプ
ロセッサ390によって従来の方式で制御される。
【0023】プライベート・ネットワークは、典型的に
は多くの異なるホストを含む。例としては、eメール・
ホスト360、ftp接続を管理するftp(ファイル
転送プロトコル)ホスト370、およびWWW(ワール
ドワイド・ウェッブ)サーバなどのその他サービスのた
めのホスト380、rlogin(リモート・ログイ
ン)、およびrshellのためのホストなどがある。
は多くの異なるホストを含む。例としては、eメール・
ホスト360、ftp接続を管理するftp(ファイル
転送プロトコル)ホスト370、およびWWW(ワール
ドワイド・ウェッブ)サーバなどのその他サービスのた
めのホスト380、rlogin(リモート・ログイ
ン)、およびrshellのためのホストなどがある。
【0024】代行ネットワーク430は代行(または仮
想)ホスト435を含む。代行ホスト435は別個のコ
ンピュータ・システムであることが好ましい。好ましい
実施形態では、代行ネットワーク430は、プライベー
ト・ネットワーク330にあるホストのサブセット(ま
たはすべて)のそれぞれを、後述のようにしてミラーリ
ング(すなわちその代行として機能する)仮想ホストを
備える。
想)ホスト435を含む。代行ホスト435は別個のコ
ンピュータ・システムであることが好ましい。好ましい
実施形態では、代行ネットワーク430は、プライベー
ト・ネットワーク330にあるホストのサブセット(ま
たはすべて)のそれぞれを、後述のようにしてミラーリ
ング(すなわちその代行として機能する)仮想ホストを
備える。
【0025】この実施形態では、二重化したい各実ホス
トについて1つずつの仮想(代行)ホスト、すなわち、
代行メール・サーバ440、代行ftpサーバ450、
およびその他の仮想ホスト460を含む上記のような仮
想ホストが示されている。二重化する各実ホストには、
実ホストのうちの一部または全部を含めることができ
る。代行ホストは、実際のターゲット・ホスト360〜
380ではなくそれらのホストの動作を模倣するという
意味で「仮想」である。しかし、代行ホストは代行ネッ
トワークにおいては実際のハードウェアまたはソフトウ
ェアあるいはその両方である。
トについて1つずつの仮想(代行)ホスト、すなわち、
代行メール・サーバ440、代行ftpサーバ450、
およびその他の仮想ホスト460を含む上記のような仮
想ホストが示されている。二重化する各実ホストには、
実ホストのうちの一部または全部を含めることができ
る。代行ホストは、実際のターゲット・ホスト360〜
380ではなくそれらのホストの動作を模倣するという
意味で「仮想」である。しかし、代行ホストは代行ネッ
トワークにおいては実際のハードウェアまたはソフトウ
ェアあるいはその両方である。
【0026】代行ネットワークに固有のホストも含める
ことができる。たとえば、代行ネットワーク430は、
代行サーバに固有の、すなわち、単なるネットワーク3
30内のWWWサーバのミラーまたは代行ではないWW
Wサーバ445を含むことができる。この場合、ネット
ワーク350からユーザが、http://www.<private.netw
ork>.comへの接続を要求すると、そのユーザはWWWサ
ーバ445に接続される。代行ネットワーク430に固
有の他のサーバ455も設けることができる。
ことができる。たとえば、代行ネットワーク430は、
代行サーバに固有の、すなわち、単なるネットワーク3
30内のWWWサーバのミラーまたは代行ではないWW
Wサーバ445を含むことができる。この場合、ネット
ワーク350からユーザが、http://www.<private.netw
ork>.comへの接続を要求すると、そのユーザはWWWサ
ーバ445に接続される。代行ネットワーク430に固
有の他のサーバ455も設けることができる。
【0027】したがって、代行ネットワークは、実ホス
トを表す代行ホスト、または固有サーバを有する代行ホ
スト、あるいはその両方を、任意の組合せ(それぞれゼ
ロから数個まで)で含むことができる。いずれの構成を
採用する場合も、プライベート・ネットワーク330と
代行ネットワーク430が合わさって単一の論理ネット
ワークまたは見かけのネットワーク345、すなわち、
公衆ネットワーク350上のユーザなど部外者の視点か
ら見て単一の見かけのドメインを形成し、ユーザがプラ
イベート・ネットワークのサービスまたはホストにアク
セスしようと試みた場合、その要求を代行ネットワーク
の方にそらしてミラリング代行ホストまたは固有代行ホ
ストに送ることができ、その際そのユーザにはこれが行
われたということをまったく示さない。「代行ホスト」
とは、実ホストの代行を意味することも、固有ホストで
あるにもかかわらず代行ネットワーク上のホストである
ことを意味する場合もあることに留意されたい。
トを表す代行ホスト、または固有サーバを有する代行ホ
スト、あるいはその両方を、任意の組合せ(それぞれゼ
ロから数個まで)で含むことができる。いずれの構成を
採用する場合も、プライベート・ネットワーク330と
代行ネットワーク430が合わさって単一の論理ネット
ワークまたは見かけのネットワーク345、すなわち、
公衆ネットワーク350上のユーザなど部外者の視点か
ら見て単一の見かけのドメインを形成し、ユーザがプラ
イベート・ネットワークのサービスまたはホストにアク
セスしようと試みた場合、その要求を代行ネットワーク
の方にそらしてミラリング代行ホストまたは固有代行ホ
ストに送ることができ、その際そのユーザにはこれが行
われたということをまったく示さない。「代行ホスト」
とは、実ホストの代行を意味することも、固有ホストで
あるにもかかわらず代行ネットワーク上のホストである
ことを意味する場合もあることに留意されたい。
【0028】図7に、本発明のシステムの代替実施形
態、すなわち、代行ネットワーク430全体がスクリー
ン340のメモリ400に記憶されているプログラム命
令で実施されるか、または1つまたは複数のメモリに記
憶されているプログラム命令によって制御される追加の
プロセッサおよびメモリとして実施されているシステム
325を示す。この場合、図6に示すスクリーン340
と代行ネットワーク430は、別々の論理実体を構成す
るが、別々の物理実体ではない(ただし、命令、デー
タ、コマンド、信号など自体は別々の物理実体ではあ
る)。つまり、スクリーン340と代行ネットワークは
単一のユニットであることができる。この実施形態で
は、代行ホスト360〜380はプログラム命令によっ
てエミュレートされ、いずれの実ホストの動作も、仮想
代行ホスト・モジュールによって模倣することができ
る。本開示の残りの部分では図5〜図6を参照するが、
図7の実施形態にも同様に適用されるものと理解された
い。
態、すなわち、代行ネットワーク430全体がスクリー
ン340のメモリ400に記憶されているプログラム命
令で実施されるか、または1つまたは複数のメモリに記
憶されているプログラム命令によって制御される追加の
プロセッサおよびメモリとして実施されているシステム
325を示す。この場合、図6に示すスクリーン340
と代行ネットワーク430は、別々の論理実体を構成す
るが、別々の物理実体ではない(ただし、命令、デー
タ、コマンド、信号など自体は別々の物理実体ではあ
る)。つまり、スクリーン340と代行ネットワークは
単一のユニットであることができる。この実施形態で
は、代行ホスト360〜380はプログラム命令によっ
てエミュレートされ、いずれの実ホストの動作も、仮想
代行ホスト・モジュールによって模倣することができ
る。本開示の残りの部分では図5〜図6を参照するが、
図7の実施形態にも同様に適用されるものと理解された
い。
【0029】図8Aは、図5〜図6に示すスクリーン3
40を詳細に示した、本発明のシステムを実施するハー
ドウェアのブロック図である。図中の同様の番号が付い
た要素は同様のものである。したがって、図8Aにはさ
らに従来のディスク記憶装置500と、スマート・カー
ド、キーボード、マウス、モニタ、その他の標準I/O
装置などのI/O(入出力)装置510、ならびに所望
のその他の従来の記憶装置またはメモリ520が追加さ
れて備えている様子が図示されているのがわかるであろ
う。メモリ400に記憶されている命令またはプログラ
ム・モジュールが、スクリーン340の動作を制御す
る。
40を詳細に示した、本発明のシステムを実施するハー
ドウェアのブロック図である。図中の同様の番号が付い
た要素は同様のものである。したがって、図8Aにはさ
らに従来のディスク記憶装置500と、スマート・カー
ド、キーボード、マウス、モニタ、その他の標準I/O
装置などのI/O(入出力)装置510、ならびに所望
のその他の従来の記憶装置またはメモリ520が追加さ
れて備えている様子が図示されているのがわかるであろ
う。メモリ400に記憶されている命令またはプログラ
ム・モジュールが、スクリーン340の動作を制御す
る。
【0030】1つの実施形態では、スクリーンは従来の
ユーザ・レベルのアクセスを行えない、すなわち、標準
キーボードやモニタを備えない。これは、スクリーンの
構成に改変が加えられるのを防止するセキュリティ機能
である。このような実施形態では、スクリーンは、認証
され、暗号化され、専用の特殊目的管理プロトコルに従
った通信に対してのみ応答する、秘密IP(またはその
他のプロトコル)アドレスを持つ専用ネットワーク・ポ
ートを介して遠隔管理される。このようなプロトコル
と、使用する暗号化方式、および認証方式は、スクリー
ン管理者が開発または選定、あるいはその両方を行う。
ユーザ・レベルのアクセスを行えない、すなわち、標準
キーボードやモニタを備えない。これは、スクリーンの
構成に改変が加えられるのを防止するセキュリティ機能
である。このような実施形態では、スクリーンは、認証
され、暗号化され、専用の特殊目的管理プロトコルに従
った通信に対してのみ応答する、秘密IP(またはその
他のプロトコル)アドレスを持つ専用ネットワーク・ポ
ートを介して遠隔管理される。このようなプロトコル
と、使用する暗号化方式、および認証方式は、スクリー
ン管理者が開発または選定、あるいはその両方を行う。
【0031】図8Aに示すように、スクリーン340
は、公衆ネットワークに接続された(図5のような)単
一ポート425の代わりに、複数ポート427を備える
複数の公衆ネットワークにそれぞれ接続するとができ、
他のプライベート・ネットワーク335に接続された1
つまたは複数の追加ポート415を備えることもでき
る。たとえば、プライベート・ネットワーク335を1
つの会社内のエンジニアリング・ドメインeng.su
n.comとすることができ、プライベート・ネットワ
ーク330を同じ会社内の会社ドメインcorp.su
n.comとすることができる。eng.sun.co
mドメインとcorp.sun.comドメインは、接
続337を介して相互に(所望の場合は、図示されてい
ない追加の本発明のスクリーンをまたは従来のファイヤ
ウォールを通して)通信することができ、単一のプライ
ベート・インターネットワーク355を形成すると同時
に、これらのドメインは両方ともスクリーン340によ
って公衆ネットワーク350からの侵入から保護され
る。この実施形態の代行ネットワーク430は、en
g.sun.comドメインとcorp.sun.co
mドメインの両方の代行を備える。
は、公衆ネットワークに接続された(図5のような)単
一ポート425の代わりに、複数ポート427を備える
複数の公衆ネットワークにそれぞれ接続するとができ、
他のプライベート・ネットワーク335に接続された1
つまたは複数の追加ポート415を備えることもでき
る。たとえば、プライベート・ネットワーク335を1
つの会社内のエンジニアリング・ドメインeng.su
n.comとすることができ、プライベート・ネットワ
ーク330を同じ会社内の会社ドメインcorp.su
n.comとすることができる。eng.sun.co
mドメインとcorp.sun.comドメインは、接
続337を介して相互に(所望の場合は、図示されてい
ない追加の本発明のスクリーンをまたは従来のファイヤ
ウォールを通して)通信することができ、単一のプライ
ベート・インターネットワーク355を形成すると同時
に、これらのドメインは両方ともスクリーン340によ
って公衆ネットワーク350からの侵入から保護され
る。この実施形態の代行ネットワーク430は、en
g.sun.comドメインとcorp.sun.co
mドメインの両方の代行を備える。
【0032】したがって、本明細書の説明の以下で述べ
る通信は、単一の公衆ネットワーク350と単一のプラ
イベート・ネットワーク330の間で行われるものと仮
定するが、本発明の特徴は、スクリーン340を介して
複数の公衆ネットワーク350に接続された複数のプラ
イベート・ネットワーク330、335にも等しく適用
可能である。
る通信は、単一の公衆ネットワーク350と単一のプラ
イベート・ネットワーク330の間で行われるものと仮
定するが、本発明の特徴は、スクリーン340を介して
複数の公衆ネットワーク350に接続された複数のプラ
イベート・ネットワーク330、335にも等しく適用
可能である。
【0033】図8Bに示すシステム530では、プライ
ベート・ネットワーク540は本発明にクリーン・シス
テム540が設けられているが、代行ネットワークはな
い。この実施形態および他の実施形態では、データ・パ
ケットはいずれの方向にも、それぞれのIPアドレスの
変更なしで、あるいは何らかの変更は行われるがスクリ
ーン・システム自体のIPアドレスまたはその他のネッ
トワーク・アドレスを追加せずに送信される。アドレス
を変更するか否かの決定は、所定の基準に従ってパケッ
トごとに行うことができる。
ベート・ネットワーク540は本発明にクリーン・シス
テム540が設けられているが、代行ネットワークはな
い。この実施形態および他の実施形態では、データ・パ
ケットはいずれの方向にも、それぞれのIPアドレスの
変更なしで、あるいは何らかの変更は行われるがスクリ
ーン・システム自体のIPアドレスまたはその他のネッ
トワーク・アドレスを追加せずに送信される。アドレス
を変更するか否かの決定は、所定の基準に従ってパケッ
トごとに行うことができる。
【0034】したがって、本発明のシステム(5〜9の
実施形態のいずれをも含む)では、パケットとともに提
供される送信元アドレスと宛先アドレスは、(変更され
るか否かを問わず)そのパケットに関連する唯一のホス
ト識別子またはアドレスのままとなる。この実施形態の
代替案では、スクリーン・システムは送信元アドレスま
たは宛先アドレス(あるいはその両方)の代わりに他の
ネットワーク・アドレスを用いることができ、その場
合、新たに代用されたアドレスは、偽であるかまたはス
クリーン・システム以外のホストのものである。いずれ
の場合も、データ・パケットには、スクリーン・システ
ムに関係するネットワーク・アドレスは付加されない。
実施形態のいずれをも含む)では、パケットとともに提
供される送信元アドレスと宛先アドレスは、(変更され
るか否かを問わず)そのパケットに関連する唯一のホス
ト識別子またはアドレスのままとなる。この実施形態の
代替案では、スクリーン・システムは送信元アドレスま
たは宛先アドレス(あるいはその両方)の代わりに他の
ネットワーク・アドレスを用いることができ、その場
合、新たに代用されたアドレスは、偽であるかまたはス
クリーン・システム以外のホストのものである。いずれ
の場合も、データ・パケットには、スクリーン・システ
ムに関係するネットワーク・アドレスは付加されない。
【0035】前述のように、スクリーン・システムはI
Pアドレスまたはその他のネットワーク・アドレスすら
も持たないことが好ましく、IPプロトコルを「解釈」
することはできるが、IP要求に応答しないように構成
される。
Pアドレスまたはその他のネットワーク・アドレスすら
も持たないことが好ましく、IPプロトコルを「解釈」
することはできるが、IP要求に応答しないように構成
される。
【0036】以下に、図5〜図6のシステムの動作につ
いて図9〜図11に関連して詳述するが、本発明の他の
実施形態にも適用されるものと理解されたい。上記およ
び以下で述べている本発明のシステムによって実行され
る動作、処置、または機能のそれぞれは、プログラム命
令またはモジュール、ハードウェア(たとえばASIC
またはその他の回路、ROMなど)、またはそれらの何
らかの組合せとして実施することができる。
いて図9〜図11に関連して詳述するが、本発明の他の
実施形態にも適用されるものと理解されたい。上記およ
び以下で述べている本発明のシステムによって実行され
る動作、処置、または機能のそれぞれは、プログラム命
令またはモジュール、ハードウェア(たとえばASIC
またはその他の回路、ROMなど)、またはそれらの何
らかの組合せとして実施することができる。
【0037】データ・パケットの一般的処理 図6で、公衆ネットワーク350からホストまたはサー
バ360〜380のうちの1つに宛てられたデータ・パ
ケットが着信すると、スクリーン340によってインタ
セプトされる。このようなパケットは一般に送信元アド
レス、宛先アドレス、要求操作またはサービスあるいは
その両方、およびメッセージ(電子メールの場合)、操
作対象データなどのその他の情報が含まれている。
バ360〜380のうちの1つに宛てられたデータ・パ
ケットが着信すると、スクリーン340によってインタ
セプトされる。このようなパケットは一般に送信元アド
レス、宛先アドレス、要求操作またはサービスあるいは
その両方、およびメッセージ(電子メールの場合)、操
作対象データなどのその他の情報が含まれている。
【0038】スクリーン340は、着信(および送出)
データ・パケットに対して取る処置の制御を司る命令を
メモリ400に記憶している。これらの命令は、データ
・パケットの前記の内容(送信元アドレスおよび宛先ア
ドレス、サービスのタイプ、またはデータ・パケットか
ら入手可能なその他の情報)と、パケットの送信時刻ま
たはスクリーンによる受信時刻、公衆ネットワークとプ
ライベート・ネットワークの間の接続状態(またはプラ
イベート・ネットワーク内の特定のホストまたはサービ
スとの接続状態)、および送信元アドレスが予期された
(インター)ネットワーク場所から出たものであるか否
かなどのより間接的に入手可能な情報などその他の情報
とに基づく所定の1組の基準を含む。これは、送信元ホ
ストが予期されたドメイン内にあるか否かを判断するこ
とによって行うか、またはパケットがそのパケットのた
めに予期されていたネットワーク・インタフェースに着
信したか否かを判断することによって行うことができ
る。たとえば、送信元アドレスがプライベート・ネット
ワーク330上のホストであると識別されたパケット
は、公衆ネットワーク350用のネットワーク・インタ
フェース425(図6)に着信してはならない。着信す
る場合は、侵入者がトラステッド・ホストを装ってその
プライベート・ネットワークに侵入しようとしている可
能性があるという標識である。その場合、スクリーン3
40は応答せずにパケットを除去しなければならない。
データ・パケットに対して取る処置の制御を司る命令を
メモリ400に記憶している。これらの命令は、データ
・パケットの前記の内容(送信元アドレスおよび宛先ア
ドレス、サービスのタイプ、またはデータ・パケットか
ら入手可能なその他の情報)と、パケットの送信時刻ま
たはスクリーンによる受信時刻、公衆ネットワークとプ
ライベート・ネットワークの間の接続状態(またはプラ
イベート・ネットワーク内の特定のホストまたはサービ
スとの接続状態)、および送信元アドレスが予期された
(インター)ネットワーク場所から出たものであるか否
かなどのより間接的に入手可能な情報などその他の情報
とに基づく所定の1組の基準を含む。これは、送信元ホ
ストが予期されたドメイン内にあるか否かを判断するこ
とによって行うか、またはパケットがそのパケットのた
めに予期されていたネットワーク・インタフェースに着
信したか否かを判断することによって行うことができ
る。たとえば、送信元アドレスがプライベート・ネット
ワーク330上のホストであると識別されたパケット
は、公衆ネットワーク350用のネットワーク・インタ
フェース425(図6)に着信してはならない。着信す
る場合は、侵入者がトラステッド・ホストを装ってその
プライベート・ネットワークに侵入しようとしている可
能性があるという標識である。その場合、スクリーン3
40は応答せずにパケットを除去しなければならない。
【0039】このようなスクリーニング基準は、データ
・パケットの内容の検査、外部データ(接続状況および
時刻など)の参照、および所定のテーブルまたは基準を
実現するのに有用なその他の情報の参照によって実現す
ることができ、メモリ400に記憶することができる。
たとえば、使用が許可されている操作およびサービスの
タイプと相関するネットワーク330と通信することが
許可されているすべての送信元アドレス、接続またはパ
ケットの受け渡しが許可された時刻、送信元のために予
期されている場所(予期されていない送信元からの接続
はセキュリティ問題を示している可能性があるため)、
送信元がトランザクションの開始を許可されている回
数、特定の送信元がネットワーク330のサービスの使
用を許可されている(たとえば1日または1月当たり
の)合計時間などのテーブルを設けることができる。
・パケットの内容の検査、外部データ(接続状況および
時刻など)の参照、および所定のテーブルまたは基準を
実現するのに有用なその他の情報の参照によって実現す
ることができ、メモリ400に記憶することができる。
たとえば、使用が許可されている操作およびサービスの
タイプと相関するネットワーク330と通信することが
許可されているすべての送信元アドレス、接続またはパ
ケットの受け渡しが許可された時刻、送信元のために予
期されている場所(予期されていない送信元からの接続
はセキュリティ問題を示している可能性があるため)、
送信元がトランザクションの開始を許可されている回
数、特定の送信元がネットワーク330のサービスの使
用を許可されている(たとえば1日または1月当たり
の)合計時間などのテーブルを設けることができる。
【0040】このスクリーニング基準の適用によって、
スクリーン340は各データ・パケットに対して1つま
たは複数の事前定義された処置をとることになる。以下
に、これらの処置について述べる。
スクリーン340は各データ・パケットに対して1つま
たは複数の事前定義された処置をとることになる。以下
に、これらの処置について述べる。
【0041】パケットに対してとる処置 スクリーン・システム340は、前述の基準と、特定の
セキュリティ・プロトコル、およびシステム管理者によ
ってあらかじめ決められた当該パケットのレベルに基づ
いて、各データ・パケットに対する処置をとる。たとえ
ば、あらかじめ許可されていない送信元からの(または
そのような送信元への)パケットは通過させないことに
することができる。その場合、他の送信元からの(また
は他の送信元への)パケットは、それ以上の処置を行わ
ずにスクリーン340によって除去され、その際、エラ
ー・メッセージまたはその他の通信を送信側に戻す場合
も戻さない場合もある。送信側にはパケットに何が起こ
ったのかは示されず、「偽の」メッセージも出さない。
セキュリティ・プロトコル、およびシステム管理者によ
ってあらかじめ決められた当該パケットのレベルに基づ
いて、各データ・パケットに対する処置をとる。たとえ
ば、あらかじめ許可されていない送信元からの(または
そのような送信元への)パケットは通過させないことに
することができる。その場合、他の送信元からの(また
は他の送信元への)パケットは、それ以上の処置を行わ
ずにスクリーン340によって除去され、その際、エラ
ー・メッセージまたはその他の通信を送信側に戻す場合
も戻さない場合もある。送信側にはパケットに何が起こ
ったのかは示されず、「偽の」メッセージも出さない。
【0042】これによってシステムに対する攻撃が防止
される。たとえば、パケットに応答する正規のIP手続
きに従わずにtrace_routeパケットを受信し
た場合、本発明のスクリーンはそれを単に破棄するだけ
であり、このようにしてtrace_routeコマン
ドの発行者はスクリーンを検知することができない。
される。たとえば、パケットに応答する正規のIP手続
きに従わずにtrace_routeパケットを受信し
た場合、本発明のスクリーンはそれを単に破棄するだけ
であり、このようにしてtrace_routeコマン
ドの発行者はスクリーンを検知することができない。
【0043】トポロジ隠蔽、すなわちパケットがスクリ
ーンを通過したときのパケットのネットワーク・アドレ
スの変更を行って、パケットが多数の送信元から送られ
た場合であっても、スクリーンから出たパケットがすべ
て同じホストから送られたように見えるようにすること
ができる。これにより、部外者がプライベート・ネット
ワーク内のユーザID、ホスト名などを知ることによっ
て入手することができる知識を利用しようとする試みが
阻止される。
ーンを通過したときのパケットのネットワーク・アドレ
スの変更を行って、パケットが多数の送信元から送られ
た場合であっても、スクリーンから出たパケットがすべ
て同じホストから送られたように見えるようにすること
ができる。これにより、部外者がプライベート・ネット
ワーク内のユーザID、ホスト名などを知ることによっ
て入手することができる知識を利用しようとする試みが
阻止される。
【0044】他の処置は、当然、単にパケットを通過さ
せてその宛先に渡すことであり、その際、所定の基準に
基づいて何らかの変更を行う場合も行わない場合もあ
る。たとえば、プライベート・ネットワーク330内の
所与のホストから送られたすべてのパケットがユーザI
DまたはホストIDが除去されているようにし、パケッ
トが他の何らかのIP送信元アドレスを付けて渡される
ように、前もって決めることができる。
せてその宛先に渡すことであり、その際、所定の基準に
基づいて何らかの変更を行う場合も行わない場合もあ
る。たとえば、プライベート・ネットワーク330内の
所与のホストから送られたすべてのパケットがユーザI
DまたはホストIDが除去されているようにし、パケッ
トが他の何らかのIP送信元アドレスを付けて渡される
ように、前もって決めることができる。
【0045】システム管理者によって定義された基準に
従って、特定のデータ・パケットについて暗号化と暗号
解読を自動的に行うこともできる。これに加えて、参照
により本明細書に組み込まれる1994年9月15日出
願のSystem forSignatureless
Transmission and Receipt
ion of Data Packets Betwe
en Computer Networksという名称
の出願人の同時係属の米国特許出願第08/30633
7号の事例で述べられているように、パケットをカプセ
ル化し、パケットに新しいIPアドレスが入った新しい
ヘッダを付けることが望ましい。
従って、特定のデータ・パケットについて暗号化と暗号
解読を自動的に行うこともできる。これに加えて、参照
により本明細書に組み込まれる1994年9月15日出
願のSystem forSignatureless
Transmission and Receipt
ion of Data Packets Betwe
en Computer Networksという名称
の出願人の同時係属の米国特許出願第08/30633
7号の事例で述べられているように、パケットをカプセ
ル化し、パケットに新しいIPアドレスが入った新しい
ヘッダを付けることが望ましい。
【0046】パケットは、時刻、送信元および宛先のア
ドレス、要求された操作、各パケットに対してとられた
その他の処置、当該送信元からそれまでに送られた要求
の数など、システム管理者が重要であると決めた任意の
情報を含めて(特に失敗した試行または要求)、通常ロ
グ・ファイル記憶域640に記録される。
ドレス、要求された操作、各パケットに対してとられた
その他の処置、当該送信元からそれまでに送られた要求
の数など、システム管理者が重要であると決めた任意の
情報を含めて(特に失敗した試行または要求)、通常ロ
グ・ファイル記憶域640に記録される。
【0047】パケット数をカウントし、それによって特
定の期間に処理された現在合計数を記録することもでき
る。
定の期間に処理された現在合計数を記録することもでき
る。
【0048】上記でアドレス書き換えについて述べた。
パケットによって搬送されるデータまたはメッセージの
書き換えまたはその他の方法による変更など所定の処置
によって、パケットの他の内容も自動的に書き換えるこ
とができる。
パケットによって搬送されるデータまたはメッセージの
書き換えまたはその他の方法による変更など所定の処置
によって、パケットの他の内容も自動的に書き換えるこ
とができる。
【0049】パケットに関する状態情報も、処置によっ
て判断し、所望であれば記録し、変更することができ
る。たとえば、所望に応じてTCP/IP(伝送制御プ
ロトコル/インターネット・プロトコル)状況を変更し
て接続の確立、維持、または終了を行うことができる。
一般に、スクリーンは、各パケットがどのような状態に
あるかに関する情報を記憶し、どのパケットが初期要求
だったか、応答はどれであるかなどに関する情報の維持
を含む、その状態に応じた処置をとることができる。し
たがって、以前の事象を一定期間のあいだ記憶していな
ければならないことがあるが、その場合はスクリーンが
一連のトランザクションの全履歴を判断し、その都度適
切な処置をとることができる。
て判断し、所望であれば記録し、変更することができ
る。たとえば、所望に応じてTCP/IP(伝送制御プ
ロトコル/インターネット・プロトコル)状況を変更し
て接続の確立、維持、または終了を行うことができる。
一般に、スクリーンは、各パケットがどのような状態に
あるかに関する情報を記憶し、どのパケットが初期要求
だったか、応答はどれであるかなどに関する情報の維持
を含む、その状態に応じた処置をとることができる。し
たがって、以前の事象を一定期間のあいだ記憶していな
ければならないことがあるが、その場合はスクリーンが
一連のトランザクションの全履歴を判断し、その都度適
切な処置をとることができる。
【0050】セキュリティのための重要な処置は、あた
かも代行ホストが実際の意図された宛先サーバであるか
のようにパケットに対して操作を実行する前述のような
サーバ/ホストを備えた代行ネットワーク430に、パ
ケットをそらして送信する処置である。このような操作
の実行時、代行ホストは所与のパケットを送信側に戻す
こと、すなわち元の送信側アドレスを宛先としてパケッ
トを送信することができる。そのパケットは次にスクリ
ーン340を通り、スクリーン340は、たとえば公衆
ネットワーク350から、スクリーンで最初に受け取っ
たときと同じように、パケットを所定の検査基準にかけ
る。この基準は一般に、代行ネットワーク430または
プライベート・ネットワーク330から送られたパケッ
トについて異なる結果をもたらす。たとえば、公衆ネッ
トワークの外部のホストはプライベート・ネットワーク
とのテルネット・セッションを確立することができない
が、プライベート・ネットワーク内のホストはプライベ
ート・ネットワークの外部のホストとのテルネット・セ
ッションを確立することが「できる」ものと決めること
ができる。
かも代行ホストが実際の意図された宛先サーバであるか
のようにパケットに対して操作を実行する前述のような
サーバ/ホストを備えた代行ネットワーク430に、パ
ケットをそらして送信する処置である。このような操作
の実行時、代行ホストは所与のパケットを送信側に戻す
こと、すなわち元の送信側アドレスを宛先としてパケッ
トを送信することができる。そのパケットは次にスクリ
ーン340を通り、スクリーン340は、たとえば公衆
ネットワーク350から、スクリーンで最初に受け取っ
たときと同じように、パケットを所定の検査基準にかけ
る。この基準は一般に、代行ネットワーク430または
プライベート・ネットワーク330から送られたパケッ
トについて異なる結果をもたらす。たとえば、公衆ネッ
トワークの外部のホストはプライベート・ネットワーク
とのテルネット・セッションを確立することができない
が、プライベート・ネットワーク内のホストはプライベ
ート・ネットワークの外部のホストとのテルネット・セ
ッションを確立することが「できる」ものと決めること
ができる。
【0051】スクリーン・システムは(IPまたはその
他の)ネットワーク・アドレスを持たないことによっ
て、そのセキュリティ機能を匿名で実行することがで
き、特に、従来のネットワーク・ブリッジとして機能し
ない。スクリーン340がブリッジの機能を備えている
とすれば、IPコマンドに応答しなければならないこと
になり、したがって検知可能となり攻撃目標となる。
他の)ネットワーク・アドレスを持たないことによっ
て、そのセキュリティ機能を匿名で実行することがで
き、特に、従来のネットワーク・ブリッジとして機能し
ない。スクリーン340がブリッジの機能を備えている
とすれば、IPコマンドに応答しなければならないこと
になり、したがって検知可能となり攻撃目標となる。
【0052】代行ネットワークはさらに、部外者が決し
て実際にプライベート・ネットワーク330に侵入でき
ないようにするという利点を有する。ユーザがいったん
プライベート・ネットワークへのアクセスまたは接続を
許可されると、アクセスがまったく許可されない場合と
比較して、そのユーザのアクションを制限することはは
るかに困難になる。代行ネットワーク内のプライベート
・ネットワークのサービスの一部の、複製またはミラー
リングされた機能、または、代行ネットワーク内の固有
ホストまたはその他のサービス(ハードウェアまたはソ
フトウェア、あるいはその両方)の機能、あるいはその
両方によって、外部ユーザの要求が満たされると同時
に、そのユーザが実際にプライベート・ネットワークに
アクセスするのを、見えない方式で防ぐ。
て実際にプライベート・ネットワーク330に侵入でき
ないようにするという利点を有する。ユーザがいったん
プライベート・ネットワークへのアクセスまたは接続を
許可されると、アクセスがまったく許可されない場合と
比較して、そのユーザのアクションを制限することはは
るかに困難になる。代行ネットワーク内のプライベート
・ネットワークのサービスの一部の、複製またはミラー
リングされた機能、または、代行ネットワーク内の固有
ホストまたはその他のサービス(ハードウェアまたはソ
フトウェア、あるいはその両方)の機能、あるいはその
両方によって、外部ユーザの要求が満たされると同時
に、そのユーザが実際にプライベート・ネットワークに
アクセスするのを、見えない方式で防ぐ。
【0053】さらに、代行パケットはシステムによる
「信用度」が高いため、代行ネットワークからのパケッ
トはスクリーンによる再送信のために乗り越えなければ
ならないハードルが一般に低くなるので、プライベート
・ネットワークのセキュリティを危険にさらす可能性が
あるセッションを代行ネットワークからはまったく確立
できないようにすることもできる。代行ネットワークが
TCPセッションを開始することができるようにする
と、システムの外部からの侵入者は、公衆ネットワーク
からセッションを開始しなくても、代行ネットワークに
TCPセッションを開始させる方法を見つけ出すことが
できた場合、ファイヤウォール・セキュリティを事実上
迂回することができる。
「信用度」が高いため、代行ネットワークからのパケッ
トはスクリーンによる再送信のために乗り越えなければ
ならないハードルが一般に低くなるので、プライベート
・ネットワークのセキュリティを危険にさらす可能性が
あるセッションを代行ネットワークからはまったく確立
できないようにすることもできる。代行ネットワークが
TCPセッションを開始することができるようにする
と、システムの外部からの侵入者は、公衆ネットワーク
からセッションを開始しなくても、代行ネットワークに
TCPセッションを開始させる方法を見つけ出すことが
できた場合、ファイヤウォール・セキュリティを事実上
迂回することができる。
【0054】プライベート・ネットワーク「から」公衆
ネットワーク「への」特定の接続を確立することができ
るようにし、その逆はできないようにすることが望まし
い場合がある。たとえば、公衆ネットワーク350への
TCPセッション(テルネットまたはftpなど)は、
プライベート・ネットワーク330内のユーザによって
は開始することができるが、公衆ネットワークからプラ
イベート・ネットワークへは遮断される。
ネットワーク「への」特定の接続を確立することができ
るようにし、その逆はできないようにすることが望まし
い場合がある。たとえば、公衆ネットワーク350への
TCPセッション(テルネットまたはftpなど)は、
プライベート・ネットワーク330内のユーザによって
は開始することができるが、公衆ネットワークからプラ
イベート・ネットワークへは遮断される。
【0055】一般に、代行ネットワークによって行われ
るすべての処置は、代行ネットワークまたはその中のホ
ストを別個のIP実体として識別することなく、パケッ
トを受け渡しする。したがって、パケットは処理後に受
け渡しされるか戻されると、指定された宛先ホストによ
って実際に処理されたように見えるか(実際に代行ホス
トがそれを処理した場合)、または宛先アドレス(戻り
パケットの送信元アドレス)を除去、変更またはその他
の方法でわからないようにするように処理される。いず
れの場合も、代行ホスト用のIPアドレスは存在せず、
いかなるパケットに追加されることもない。
るすべての処置は、代行ネットワークまたはその中のホ
ストを別個のIP実体として識別することなく、パケッ
トを受け渡しする。したがって、パケットは処理後に受
け渡しされるか戻されると、指定された宛先ホストによ
って実際に処理されたように見えるか(実際に代行ホス
トがそれを処理した場合)、または宛先アドレス(戻り
パケットの送信元アドレス)を除去、変更またはその他
の方法でわからないようにするように処理される。いず
れの場合も、代行ホスト用のIPアドレスは存在せず、
いかなるパケットに追加されることもない。
【0056】スクリーン・システムの機能アーキテクチ
ャ 図9は、図8に対応する機能ブロック図であるが、スク
リーン340によって使用される機能モジュールが示さ
れている。好ましい実施形態では、これらのモジュール
は、前記のように、メモリ400に記憶されていてプロ
セッサ390によって実行されるプログラム命令モジュ
ールである。
ャ 図9は、図8に対応する機能ブロック図であるが、スク
リーン340によって使用される機能モジュールが示さ
れている。好ましい実施形態では、これらのモジュール
は、前記のように、メモリ400に記憶されていてプロ
セッサ390によって実行されるプログラム命令モジュ
ールである。
【0057】図9に示すモジュールは、各ネットワーク
・インタフェース410〜425用のプロセス602〜
606を有するパケット検査機能600と、規則620
を有するエンジンと610と、処置630およびログ・
ファイル記憶域640と、従来のハッシュ・テーブルで
あるパケット状態テーブル650と、キャッシュ分割モ
ジュール670(図のような分割迂回路を有する)と、
各ネットワーク・インタフェース410〜425に結合
されたパケット分割機能660と、学習ブリッジ・テー
ブル680とを含む。図9に示す接続は、本発明の特定
の物理的実施態様に応じて、論理(ソフトウェア)命令
またはハードウェア命令、あるいはその両方を指す。
・インタフェース410〜425用のプロセス602〜
606を有するパケット検査機能600と、規則620
を有するエンジンと610と、処置630およびログ・
ファイル記憶域640と、従来のハッシュ・テーブルで
あるパケット状態テーブル650と、キャッシュ分割モ
ジュール670(図のような分割迂回路を有する)と、
各ネットワーク・インタフェース410〜425に結合
されたパケット分割機能660と、学習ブリッジ・テー
ブル680とを含む。図9に示す接続は、本発明の特定
の物理的実施態様に応じて、論理(ソフトウェア)命令
またはハードウェア命令、あるいはその両方を指す。
【0058】パケット検査機能600は、前述の基準に
基づいて着信パケットの内容を検査する命令を備える。
つまり、どこからであっても着信データ・パケットが送
られてくると、各着信パケットはパケット検査機能60
0によるパケット検査を受ける。
基づいて着信パケットの内容を検査する命令を備える。
つまり、どこからであっても着信データ・パケットが送
られてくると、各着信パケットはパケット検査機能60
0によるパケット検査を受ける。
【0059】エンジン610が着信パケットを処理して
処置630に渡し、前述のようにそれらのパケットに対
して適切な操作が行われる。処置モジュール630は、
これらの操作の実行専用のモジュールである。
処置630に渡し、前述のようにそれらのパケットに対
して適切な操作が行われる。処置モジュール630は、
これらの操作の実行専用のモジュールである。
【0060】ログ・ファイル記憶域640を使用して、
前述のように、スクリーン340で受信されたデータ・
パケットに関する情報が記憶される。同時にパケット状
態テーブル650を使用して、受信パケットの状態に関
する情報が記憶される。
前述のように、スクリーン340で受信されたデータ・
パケットに関する情報が記憶される。同時にパケット状
態テーブル650を使用して、受信パケットの状態に関
する情報が記憶される。
【0061】分割機能660は従来の方式で機能して所
定の最大伝送単位(MTU)より大きいパケットを分割
する。これは、たとえばスクリーンがパケットに情報を
追加してその大きさがこの許容最大サイズを超える大き
さにした場合に起こることがある。分割キャッシュ67
0を従来の方式で使用してパケットの分割と再構成を行
う。一般に分割パケットは、主にまたは単にIPヘッダ
情報とデータのみを含み(特に、ポート番号は含まれな
い)、スクリーン340は分割キャッシュを使用してパ
ケットを必要に応じて再構築する。つまり、最初の分割
パケットが分割キャッシュに記憶され、それ以降の分割
パケットも同様に記憶されて、最後の分割パケットを受
信してから、そのパケットが再構成される。
定の最大伝送単位(MTU)より大きいパケットを分割
する。これは、たとえばスクリーンがパケットに情報を
追加してその大きさがこの許容最大サイズを超える大き
さにした場合に起こることがある。分割キャッシュ67
0を従来の方式で使用してパケットの分割と再構成を行
う。一般に分割パケットは、主にまたは単にIPヘッダ
情報とデータのみを含み(特に、ポート番号は含まれな
い)、スクリーン340は分割キャッシュを使用してパ
ケットを必要に応じて再構築する。つまり、最初の分割
パケットが分割キャッシュに記憶され、それ以降の分割
パケットも同様に記憶されて、最後の分割パケットを受
信してから、そのパケットが再構成される。
【0062】分割迂回路675は、分割キャッシュ67
0内で情報が見つかった分割パケットのエンジン操作を
パケット検査機能が迂回するために使用される。したが
って、一連の分割パケットの中の2番目以降の分割パケ
ットを受信すると、そのことはパケット検査機能600
が分割キャッシュ670を調べたときに検出される。そ
の場合、新たに受信した分割パケットは、エンジン61
0を介さずに迂回路675を介して処置630に送られ
る。
0内で情報が見つかった分割パケットのエンジン操作を
パケット検査機能が迂回するために使用される。したが
って、一連の分割パケットの中の2番目以降の分割パケ
ットを受信すると、そのことはパケット検査機能600
が分割キャッシュ670を調べたときに検出される。そ
の場合、新たに受信した分割パケットは、エンジン61
0を介さずに迂回路675を介して処置630に送られ
る。
【0063】学習ブリッジ・テーブル680によって、
スクリーン340は従来の学習ブリッジとして機能する
ことができる。すなわち、どのホストがスクリーンのど
ちら側にあるかを追跡し、スクリーンのポート(ネット
ワーク・インタフェース)のそれぞれに一方のホストま
たは他方のホストからパケットが着信すると、この情報
のテーブルのメンテナンスを行う。
スクリーン340は従来の学習ブリッジとして機能する
ことができる。すなわち、どのホストがスクリーンのど
ちら側にあるかを追跡し、スクリーンのポート(ネット
ワーク・インタフェース)のそれぞれに一方のホストま
たは他方のホストからパケットが着信すると、この情報
のテーブルのメンテナンスを行う。
【0064】スクリーン・システムの動作 図10〜図11は、本発明の方法の好ましい実施形態を
示すフロー・チャートである。たとえば公衆ネットワー
ク350のホストによってパケットが送られると、その
パケットはスクリーン340のポート(インタフェー
ス)425で受けられる。図10のボックス800を参
照されたい。パケット検査機能が前述のようにパケット
の内容を検査する(ボックス810)。
示すフロー・チャートである。たとえば公衆ネットワー
ク350のホストによってパケットが送られると、その
パケットはスクリーン340のポート(インタフェー
ス)425で受けられる。図10のボックス800を参
照されたい。パケット検査機能が前述のようにパケット
の内容を検査する(ボックス810)。
【0065】パケットを拒否する場合、(送信元アドレ
スの)学習ブリッジ・テーブル680を使用してそれを
行うと効率的である。
スの)学習ブリッジ・テーブル680を使用してそれを
行うと効率的である。
【0066】パケット検査を実施するのに適した1つの
実施形態を、図11のフロー・チャートに示すが、多く
の変更態様が可能である。この例示のフロー・チャート
では、パケットを受け取ると(ボックス900)、各パ
ケット・ヘッダが順に検査される(ボックス910)。
すなわち、物理リンク(IPなど)、IPヘッダ(TC
Pか否か)、TCPヘッダ(どのポートが指定されてい
るか、および既存の接続か新規の接続かに関して)など
が検査される。
実施形態を、図11のフロー・チャートに示すが、多く
の変更態様が可能である。この例示のフロー・チャート
では、パケットを受け取ると(ボックス900)、各パ
ケット・ヘッダが順に検査される(ボックス910)。
すなわち、物理リンク(IPなど)、IPヘッダ(TC
Pか否か)、TCPヘッダ(どのポートが指定されてい
るか、および既存の接続か新規の接続かに関して)など
が検査される。
【0067】ボックス920および940で、否定の判
断であればボックス930に進んで適切な処置がとられ
る。肯定の判断であればボックス950に進み、指定さ
れているポートが判断され、ボックス960に進み、ヘ
ッダ情報のほか、パケットの内容、送信元、宛先、およ
び前述のその他の情報など、パケット検査機能が自由に
使える情報を考慮して、その特定の接続が許可されるか
否かが判断される。
断であればボックス930に進んで適切な処置がとられ
る。肯定の判断であればボックス950に進み、指定さ
れているポートが判断され、ボックス960に進み、ヘ
ッダ情報のほか、パケットの内容、送信元、宛先、およ
び前述のその他の情報など、パケット検査機能が自由に
使える情報を考慮して、その特定の接続が許可されるか
否かが判断される。
【0068】その接続が許可されない場合は遮断される
が(ボックス970)、許可される場合は、この方法は
それが初期接続であるか否かを調べる(ボックス98
0)。初期接続の場合は、ボックス990でその接続が
確立され、ボックス995で状態テーブル650(図9
参照)に情報が格納されて、その新しい接続が識別され
る。初期接続でない場合は、ボックス1010で接続が
検査され、更新情報(たとえば接続に関する新しい情
報)があればそれがテーブル650に格納される。
が(ボックス970)、許可される場合は、この方法は
それが初期接続であるか否かを調べる(ボックス98
0)。初期接続の場合は、ボックス990でその接続が
確立され、ボックス995で状態テーブル650(図9
参照)に情報が格納されて、その新しい接続が識別され
る。初期接続でない場合は、ボックス1010で接続が
検査され、更新情報(たとえば接続に関する新しい情
報)があればそれがテーブル650に格納される。
【0069】この方法は、ステップ990または102
0からボックス1000に進む。すなわち図10のボッ
クス810に戻る。
0からボックス1000に進む。すなわち図10のボッ
クス810に戻る。
【0070】前述のように図11は、パケット検査段階
で行うことができる多くの可能な検査および操作の順序
の、1つの実施形態に過ぎないことが理解されよう。図
11で実行される動作は、(たとえばボックス920、
940、960、および980での)パケット検査の結
果に基づいてエンジン600によって行われる。
で行うことができる多くの可能な検査および操作の順序
の、1つの実施形態に過ぎないことが理解されよう。図
11で実行される動作は、(たとえばボックス920、
940、960、および980での)パケット検査の結
果に基づいてエンジン600によって行われる。
【0071】図10のボックス820に進んで、パケッ
トはエンジン610に渡され、エンジン610は前述の
事前定義された適切な操作を実行する。一般に、ファイ
ヤウォール/スクリーン340の場合、これにはパケッ
トの遮断または通過が伴い、通過させる場合にはパケッ
トは代行ネットワーク430内の代行ホストによって操
作されるようにそらすことができる。
トはエンジン610に渡され、エンジン610は前述の
事前定義された適切な操作を実行する。一般に、ファイ
ヤウォール/スクリーン340の場合、これにはパケッ
トの遮断または通過が伴い、通過させる場合にはパケッ
トは代行ネットワーク430内の代行ホストによって操
作されるようにそらすことができる。
【0072】したがって、現行パケットは適切な処置の
実行のために処置モジュール630に渡され(ボックス
830)、ボックス840でエンジンは、パケット検査
機能の結果とどの処置をとるのが適切であったかという
エンジン自身の判断とに基づいて、とるべき処置が他に
ないかどうかを判断する。所与のパケットの最初の通過
時には、(たとえばパケットを除去してそれ以上の処置
を行わない場合などそれが「唯一の」処置である場合で
あっても)取るべき処置が少なくとも1つあることにな
り、したがって最初の通過時にはボックス840からボ
ックス850に進み、最初の処置がとられる。
実行のために処置モジュール630に渡され(ボックス
830)、ボックス840でエンジンは、パケット検査
機能の結果とどの処置をとるのが適切であったかという
エンジン自身の判断とに基づいて、とるべき処置が他に
ないかどうかを判断する。所与のパケットの最初の通過
時には、(たとえばパケットを除去してそれ以上の処置
を行わない場合などそれが「唯一の」処置である場合で
あっても)取るべき処置が少なくとも1つあることにな
り、したがって最初の通過時にはボックス840からボ
ックス850に進み、最初の処置がとられる。
【0073】この方法は次にボックス830に戻り、こ
のループはエンジンによって判断されたすべての処置が
処置モジュールによって行われると完了する。その時点
で、ボックス840の次にボックス860に進み、スク
リーン340が、入力ポート(ネットワーク・インタフ
ェース)の1つに他のパケットがあるか否かを判断す
る。ある場合には、この方法はボックス800で新たに
開始し、ない場合にはこの方法はボックス870で終了
する。新しいパケットを受信するといつでも再び開始す
ることができる。
のループはエンジンによって判断されたすべての処置が
処置モジュールによって行われると完了する。その時点
で、ボックス840の次にボックス860に進み、スク
リーン340が、入力ポート(ネットワーク・インタフ
ェース)の1つに他のパケットがあるか否かを判断す
る。ある場合には、この方法はボックス800で新たに
開始し、ない場合にはこの方法はボックス870で終了
する。新しいパケットを受信するといつでも再び開始す
ることができる。
【図1】 2つのコンピュータ・ネットワークを公衆ネ
ットワークを介して接続するシステムのブロック図であ
る。
ットワークを介して接続するシステムのブロック図であ
る。
【図2】 介在ファイヤウォールを使用して、2つのコ
ンピュータ・ネットワークを公衆ネットワークを介して
接続するシステムのブロック図である。
ンピュータ・ネットワークを公衆ネットワークを介して
接続するシステムのブロック図である。
【図3】 2つのコンピュータ・ネットワーク間にブリ
ッジを備える従来のシステムを示す図である。
ッジを備える従来のシステムを示す図である。
【図4】 ファイヤウォールを介した、プライベート・
ネットワークおよび公衆ネットワークから他のプライベ
ート・ネットワークへの接続例を示すブロック図であ
る。
ネットワークおよび公衆ネットワークから他のプライベ
ート・ネットワークへの接続例を示すブロック図であ
る。
【図5】 本発明によるパケット・スクリーン・システ
ムを備えるコンピュータ・インターネットワークのブロ
ック図である。
ムを備えるコンピュータ・インターネットワークのブロ
ック図である。
【図6】 インターネットワーク上の本発明のパケット
・スクリーン・システムを示す機能ブロック図である。
・スクリーン・システムを示す機能ブロック図である。
【図7】 本発明のパケット・スクリーン・システムの
代替実施形態を示すブロック図である。
代替実施形態を示すブロック図である。
【図8】 本発明を実施するハードウェアのブロック図
である。
である。
【図9】 本発明の機能ブロック図である。
【図10】 本発明の好ましい実施形態によるパケット
・スクリーニングの方法を示すフロー・チャートであ
る。
・スクリーニングの方法を示すフロー・チャートであ
る。
【図11】 本発明の好ましい実施形態によるパケット
・スクリーニングの方法を示すフロー・チャートであ
る。
・スクリーニングの方法を示すフロー・チャートであ
る。
320 インターネットワーク・システム 330 プライベート・ネットワーク 340 スクリーン・システム 345 論理ネットワーク 350 公衆ネットワーク 410 ネットワーク・インタフェース 420 ネットワーク・インタフェース 425 ネットワーク・インタフェース 430 代行ネットワーク
───────────────────────────────────────────────────── フロントページの続き (72)発明者 ウィリアム・ダニエルソン アメリカ合衆国 94040 カリフォルニア 州・マウンテンビュー・カトリーナ ウェ イ・2728 (72)発明者 トーマス・エル・ライアン アメリカ合衆国 94301 カリフォルニア 州・パロ アルト・エッジウッド ドライ ブ・1400 (72)発明者 ジェフリー・マリガン アメリカ合衆国 94555 カリフォルニア 州・フレモント・ウィンブラル コート・ 3330 (72)発明者 マーティン・パターソン フランス国 38000グルノーブル・リュ ドゥ ボストン・5 (72)発明者 グレン・シイ・スコット アメリカ合衆国 93561 カリフォルニア 州・テハチャピ・ムーン ドライブ・ 19700 (72)発明者 キャロライン・タービフィル アメリカ合衆国 95030 カリフォルニア 州・ロス ガトス・アーモンド ヒル コ ート・105
Claims (8)
- 【請求項1】 第1のコンピュータ・ネットワークと第
2のコンピュータ・ネットワークの間に接続されたスク
リーン・システムに着信したデータ・パケットをスクリ
ーニングし、スクリーン・システムに接続された代行シ
ステムで処置を実行する方法であって、 (1)第1のネットワークから第2のネットワークに向
けて送られた第1の前記パケットを現行パケットとして
受信するステップと、 (2)現行パケットの内容から現行パケットが第2のネ
ットワークに渡すことを許可される所定のタイプのパケ
ットであるか否かを判断するステップと、 (3)ステップ(2)の判断が肯定の場合、現行パケッ
トによって指定された第2のネットワーク内の宛先アド
レスを判断し、現行パケットを前記宛先アドレスの代わ
りとなる代行システム内の代用アドレスに渡すステップ
と、 (4)現行パケットによって要求された少なくとも1つ
の処置が許可するようにあらかじめ決められたタイプで
あるか否かを判断し、そうでない場合には現行パケット
を拒否してステップ(6)に進み、そうである場合には
ステップ(5)に進むステップと、 (5)現行パケットによって指定された処置をスクリー
ン・システムと代行システムのうちの少なくとも1つに
おいて行うステップと、 (6)他のパケットがスクリーン・システムに着信した
か否かを判断し、着信した場合にはそのパケットを現行
パケットとして受け取ってステップ(1)に進み、着信
していない場合にはこの方法を終了するステップとを含
む方法。 - 【請求項2】 ステップ(5)において、前記宛先アド
レスの少なくとも一部を処置の実行場所の唯一の識別子
として使用して、代行システムから第1のネットワーク
に応答データ・パケットを伝送するステップを含む請求
項1に記載の方法。 - 【請求項3】 第1のコンピュータ・ネットワークと第
2のコンピュータ・ネットワークに接続され、第1と第
2のネットワークの間で伝送されるデータ・パケットを
スクリーニングするスクリーン・システムであって、 プロセッサと、 プロセッサに結合されたメモリと、 前記第1と第2のネットワークの間でそれぞれデータ・
パケットの送信および受信を行う入力回路および出力回
路と、 第1と第の2ネットワークの間のデータ・パケットの流
れを制御する前記メモリに記憶されたプログラム命令と
を含むシステムであって、 前記プログラム命令は、 第1のネットワークから第2のネットワークに伝送され
る第1のデータ・パケットが所定の基準を満たしている
か否かを判断する第1のプログラム・モジュールと、 所定の基準を満たしている場合には第1のデータ・パケ
ットを第2のネットワークに渡す第2のプログラム・モ
ジュールと、 所定の基準を満たしていない場合には第1のデータ・パ
ケットを第2のネットワークまで通過させないようにす
る第3のプログラム・モジュールとを備えるシステム。 - 【請求項4】 第1のコンピュータ・ネットワークと第
2のコンピュータ・ネットワークに接続されたスクリー
ン・システムに着信したデータ・パケットをスクリーニ
ングし、スクリーン・システムに接続された代行システ
ムで処置を実行する方法であって、 (1)第1のネットワークからの第1の前記パケットを
第2のネットワークで現行パケットとして受信するステ
ップと、 (2)第1のデータ・パケットの内容から第1のデータ
・パケットの要求された操作と送信元アドレスと宛先ア
ドレスとを判断するステップと、 (3)少なくとも1つの所定の基準に基づいて、要求さ
れた操作に応答してとる処置を判断するステップと、 (4)代行ホストが代行システムにあり、前記宛先アド
レスの代わりとなる代行ホストに現行パケットを渡すス
テップと、 (5)代行システムにおいて、判断された処置をとるス
テップとを含む方法。 - 【請求項5】 少なくとも1つのデータ・パケットが、
データ・パケットの意図された受信システムを指定する
第1のフィールドを含み、前記意図された受信システム
に対して要求された操作を指定する第2のフィールドを
さらに含む、第1のコンピュータ・ネットワークと第2
のコンピュータ・ネットワークの間に結合され、前記第
1のネットワークから前記第2のネットワークに送信さ
れた前記データ・パケットをスクリーニングする代行シ
ステムであって、 プロセッサと、 前記プロセッサに接続され、前記プロセッサによって実
行される操作を指定する命令モジュールを記憶するよう
に構成されたメモリと、 第1のデータ・パケットの内容に関する所定の基準に基
づいて、前記スクリーン・システムで受信された少なく
とも前記第1の前記データ・パケットについてとるべき
所定の1組の処置を指定する命令を含む前記メモリに記
憶された複数の処置モジュールと、 前記第1のデータ・パケットの前記第2のコンピュータ
・ネットワークへの通過をスクリーン・システムが遮断
する命令を含むスクリーニング・モジュールと、 前記要求された操作の代わりに前記代行システム・プロ
セッサによって行われるべき前記処置のうちの1つを選
択するように前記複数の処置モジュールを制御する操作
モジュールとを備える代行システム。 - 【請求項6】 第1のコンピュータ・ネットワークと第
2のコンピュータ・ネットワークの間に結合されたスク
リーン・システムが攻撃目標となるのを阻止する方法で
あって、 データ・パケットが第1のネットワークを識別する送信
元アドレスと第2のネットワークを識別する宛先アドレ
スとを含んでいて、スクリーン・システムが、第1のネ
ットワークから第2のネットワークに向けて送られた少
なくとも1つの前記データ・パケットを受信するステッ
プと、 所定の基準に基づいてパケットを検査するステップと、 所定の基準が満たされている場合、送信元アドレスと宛
先アドレスを変更せずにパケットを第2のネットワーク
に渡すステップと、 所定の基準が満たされていない場合、パケットを破棄す
ると同時にスクリーン・システムによる第1のネットワ
ークに対するいかなる応答も阻止するステップとを含む
方法。 - 【請求項7】 第1のコンピュータ・ネットワークと第
2のコンピュータ・ネットワークの間に結合されたスク
リーン・システムが攻撃目標となるのを阻止する保護シ
ステムであって、前記スクリーン・システムが、プロセ
ッサと、そのプロセッサに結合されてプロセッサによっ
て実行可能な命令モジュールを記憶するメモリと、スク
リーン・システムを第1のネットワークに結合する第1
のネットワーク・インタフェースと、スクリーン・シス
テムを第2のネットワークに結合する第2のネットワー
ク・インタフェースとを備えていて、前記命令モジュー
ルがデータ・パケットが第1のネットワークを識別する
送信元アドレスと第2のネットワークを識別する宛先ア
ドレスとを含み、第1のネットワークから第2のネット
ワークに向けて送られた少なくとも1つのデータ・パケ
ットを受け取るように構成された第1のモジュールと、 所定の基準に基づいてパケットを検査するように構成さ
れた第2のモジュールと、 所定の基準が満たされている場合、送信元アドレスと宛
先アドレスを変更せずに第2のネットワークにパケット
を渡すように構成された第3のモジュールと、 所定の基準が満たされていない場合、パケットを破棄す
ると同時にスクリーン・システムによる第1のネットワ
ークに対するいかなる応答も阻止するように構成された
第4のモジュールとを備える保護システム。 - 【請求項8】 第1のコンピュータ・ネットワークが攻
撃目標となるのを阻止するシステムであって、 第1のコンピュータ・ネットワークと第2のコンピュー
タ・ネットワークの間に結合されたスクリーン・システ
ムを有し、そのスクリーン・システムが、プロセッサ
と、スクリーン・システムを第1のネットワークに結合
する第1のネットワーク・インタフェースと、スクリー
ン・システムを第2のネットワークに結合する第2のネ
ットワーク・インタフェースとを備え、さらに第3のネ
ットワーク・インタフェースを介してスクリーン・シス
テムに結合された代行ネットワークを備え、その代行ネ
ットワークは第1のコンピュータ・ネットワークと共有
のドメインを有するインターネットワーク・アドレスを
持つ少なくとも1つの代行ホストを備え、 前記スクリーン・システムは、プロセッサによって実行
可能な命令モジュールを記憶する、プロセッサに結合さ
れたメモリをさらに備え、その命令モジュールが、 前記ドメインを含む宛先アドレスを含むデータ・パケッ
トを第1のネットワーク・インタフェースを介して受信
する第1のモジュールと、 前記宛先アドレスが前記代行ホストに関係する場合、前
記代行ホストにデータ・パケットを渡す第2のモジュー
ルとを含むシステム。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US444351 | 1989-12-01 | ||
US08/444,351 US5802320A (en) | 1995-05-18 | 1995-05-18 | System for packet filtering of data packets at a computer network interface |
Publications (1)
Publication Number | Publication Date |
---|---|
JPH09224053A true JPH09224053A (ja) | 1997-08-26 |
Family
ID=23764545
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP8147881A Withdrawn JPH09224053A (ja) | 1995-05-18 | 1996-05-20 | コンピュータ・ネットワーク・インタフェースにおけるデータ・パケットのパケット・フィルタリング・システム |
Country Status (4)
Country | Link |
---|---|
US (3) | US5802320A (ja) |
EP (1) | EP0743777A3 (ja) |
JP (1) | JPH09224053A (ja) |
SG (1) | SG73981A1 (ja) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006515698A (ja) * | 2003-02-20 | 2006-06-01 | ノキア コーポレイション | 通信システム |
US7464407B2 (en) | 2002-08-20 | 2008-12-09 | Nec Corporation | Attack defending system and attack defending method |
US7664042B2 (en) | 2003-09-17 | 2010-02-16 | Toshiba Storage Device Corporation | Storage control apparatus, storage apparatus, storage control method, and computer-readable recording medium for executing a command based on data in received packet |
JP2010531484A (ja) * | 2007-06-06 | 2010-09-24 | エアバス・オペレーションズ | オープンドメインからアビオニクスドメインまでの通信のオンボードアクセス制御システム |
JP2014502068A (ja) * | 2010-10-07 | 2014-01-23 | エレクトリシテ・ドゥ・フランス | 安全なデータ転送のための方法および装置 |
Families Citing this family (385)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5864683A (en) | 1994-10-12 | 1999-01-26 | Secure Computing Corporartion | System for providing secure internetwork by connecting type enforcing secure computers to external network for limiting access to data based on user and process access rights |
US6515968B1 (en) | 1995-03-17 | 2003-02-04 | Worldcom, Inc. | Integrated interface for real time web based viewing of telecommunications network call traffic |
JP3262689B2 (ja) * | 1995-05-19 | 2002-03-04 | 富士通株式会社 | 遠隔操作システム |
US5778367A (en) | 1995-12-14 | 1998-07-07 | Network Engineering Software, Inc. | Automated on-line information service and directory, particularly for the world wide web |
US6032184A (en) * | 1995-12-29 | 2000-02-29 | Mci Worldcom, Inc. | Integrated interface for Web based customer care and trouble management |
US6859783B2 (en) | 1995-12-29 | 2005-02-22 | Worldcom, Inc. | Integrated interface for web based customer care and trouble management |
US5826014A (en) * | 1996-02-06 | 1998-10-20 | Network Engineering Software | Firewall system for protecting network elements connected to a public network |
US5870550A (en) * | 1996-02-26 | 1999-02-09 | Network Engineering Software | Web server employing multi-homed, moldular framework |
US5898830A (en) * | 1996-10-17 | 1999-04-27 | Network Engineering Software | Firewall providing enhanced network security and user transparency |
US5913024A (en) | 1996-02-09 | 1999-06-15 | Secure Computing Corporation | Secure server utilizing separate protocol stacks |
US5867647A (en) * | 1996-02-09 | 1999-02-02 | Secure Computing Corporation | System and method for securing compiled program code |
US5918018A (en) * | 1996-02-09 | 1999-06-29 | Secure Computing Corporation | System and method for achieving network separation |
US7240023B1 (en) | 1996-02-20 | 2007-07-03 | Softcard Systems, Inc. | System and method for distributing coupons through a system of computer networks |
US8117298B1 (en) | 1996-02-26 | 2012-02-14 | Graphon Corporation | Multi-homed web server |
FR2745967B1 (fr) * | 1996-03-07 | 1998-04-17 | Bull Cp8 | Procede de securisation des acces d'une station a au moins un serveur et dispositif mettant en oeuvre le procede |
US6111883A (en) * | 1996-07-12 | 2000-08-29 | Hitachi, Ltd. | Repeater and network system utilizing the same |
US6754212B1 (en) | 1996-07-12 | 2004-06-22 | Hitachi, Ltd. | Repeater and network system utililzing the same |
US5805820A (en) * | 1996-07-15 | 1998-09-08 | At&T Corp. | Method and apparatus for restricting access to private information in domain name systems by redirecting query requests |
US6003084A (en) * | 1996-09-13 | 1999-12-14 | Secure Computing Corporation | Secure network proxy for connecting entities |
US5983350A (en) * | 1996-09-18 | 1999-11-09 | Secure Computing Corporation | Secure firewall supporting different levels of authentication based on address or encryption status |
US5950195A (en) * | 1996-09-18 | 1999-09-07 | Secure Computing Corporation | Generalized security policy management system and method |
US6144934A (en) * | 1996-09-18 | 2000-11-07 | Secure Computing Corporation | Binary filter using pattern recognition |
US6072942A (en) * | 1996-09-18 | 2000-06-06 | Secure Computing Corporation | System and method of electronic mail filtering using interconnected nodes |
JP3492865B2 (ja) * | 1996-10-16 | 2004-02-03 | 株式会社東芝 | 移動計算機装置及びパケット暗号化認証方法 |
JP3651721B2 (ja) * | 1996-11-01 | 2005-05-25 | 株式会社東芝 | 移動計算機装置、パケット処理装置及び通信制御方法 |
US6453345B2 (en) * | 1996-11-06 | 2002-09-17 | Datadirect Networks, Inc. | Network security and surveillance system |
US5923854A (en) * | 1996-11-22 | 1999-07-13 | International Business Machines Corporation | Virtual internet protocol (IP) addressing |
US7506020B2 (en) | 1996-11-29 | 2009-03-17 | Frampton E Ellis | Global network computers |
US8225003B2 (en) | 1996-11-29 | 2012-07-17 | Ellis Iii Frampton E | Computers and microchips with a portion protected by an internal hardware firewall |
US7926097B2 (en) | 1996-11-29 | 2011-04-12 | Ellis Iii Frampton E | Computer or microchip protected from the internet by internal hardware |
US6725250B1 (en) * | 1996-11-29 | 2004-04-20 | Ellis, Iii Frampton E. | Global network computers |
US6167428A (en) | 1996-11-29 | 2000-12-26 | Ellis; Frampton E. | Personal computer microprocessor firewalls for internet distributed processing |
US7805756B2 (en) | 1996-11-29 | 2010-09-28 | Frampton E Ellis | Microchips with inner firewalls, faraday cages, and/or photovoltaic cells |
US20050180095A1 (en) | 1996-11-29 | 2005-08-18 | Ellis Frampton E. | Global network computers |
US5917817A (en) * | 1996-12-06 | 1999-06-29 | International Business Machines Corporation | User invocation of services in public switched telephone network via parallel data networks |
US5915087A (en) * | 1996-12-12 | 1999-06-22 | Secure Computing Corporation | Transparent security proxy for unreliable message exchange protocols |
JP3841233B2 (ja) * | 1996-12-18 | 2006-11-01 | ソニー株式会社 | 情報処理装置および情報処理方法 |
US6041355A (en) | 1996-12-27 | 2000-03-21 | Intel Corporation | Method for transferring data between a network of computers dynamically based on tag information |
JP3497338B2 (ja) | 1997-01-08 | 2004-02-16 | 株式会社日立製作所 | 分散ログ一括管理機能付きネットワークシステム |
US5968133A (en) * | 1997-01-10 | 1999-10-19 | Secure Computing Corporation | Enhanced security network time synchronization device and method |
EP0858201A3 (en) * | 1997-02-06 | 1999-01-13 | Sun Microsystems, Inc. | Method and apparatus for allowing secure transactions through a firewall |
CA2229652C (en) * | 1997-02-14 | 2002-05-21 | Naoki Mori | Atm network with a filtering table for securing communication |
US7821926B2 (en) * | 1997-03-10 | 2010-10-26 | Sonicwall, Inc. | Generalized policy server |
US6408336B1 (en) | 1997-03-10 | 2002-06-18 | David S. Schneider | Distributed administration of access to information |
US8914410B2 (en) | 1999-02-16 | 2014-12-16 | Sonicwall, Inc. | Query interface to policy server |
DE19809824C2 (de) * | 1997-03-12 | 2003-01-16 | Mannesmann Ag | Verfahren zum Betreiben von virtuellen privaten Netzen auf einem gemeinsamen Datenpaketvermittlungsnetz und Vorrichtung zum Durchführen des Verfahrens |
BR9808014B1 (pt) | 1997-03-12 | 2013-06-25 | Mídia legível por computador, não transitória e sistema de rede externa | |
US6237031B1 (en) * | 1997-03-25 | 2001-05-22 | Intel Corporation | System for dynamically controlling a network proxy |
US6345303B1 (en) * | 1997-03-25 | 2002-02-05 | Intel Corporation | Network proxy capable of dynamically selecting a destination device for servicing a client request |
US6104716A (en) * | 1997-03-28 | 2000-08-15 | International Business Machines Corporation | Method and apparatus for lightweight secure communication tunneling over the internet |
EP0974218A4 (en) * | 1997-04-09 | 2005-04-13 | Alcatel Australia | CLUSTER GROUP OF INTERNET USERS |
JPH10290251A (ja) * | 1997-04-15 | 1998-10-27 | Yazaki Corp | ネットワークにおける異常復旧装置 |
JP3977484B2 (ja) * | 1997-05-08 | 2007-09-19 | 矢崎総業株式会社 | 状態情報の管理方法及び通信システム |
US6173399B1 (en) * | 1997-06-12 | 2001-01-09 | Vpnet Technologies, Inc. | Apparatus for implementing virtual private networks |
US6067569A (en) * | 1997-07-10 | 2000-05-23 | Microsoft Corporation | Fast-forwarding and filtering of network packets in a computer system |
US7136359B1 (en) | 1997-07-31 | 2006-11-14 | Cisco Technology, Inc. | Method and apparatus for transparently proxying a connection |
US6006268A (en) * | 1997-07-31 | 1999-12-21 | Cisco Technology, Inc. | Method and apparatus for reducing overhead on a proxied connection |
US6473406B1 (en) | 1997-07-31 | 2002-10-29 | Cisco Technology, Inc. | Method and apparatus for transparently proxying a connection |
US5991810A (en) * | 1997-08-01 | 1999-11-23 | Novell, Inc. | User name authentication for gateway clients accessing a proxy cache server |
US6034957A (en) * | 1997-08-29 | 2000-03-07 | Extreme Networks, Inc. | Sliced comparison engine architecture and method for a LAN switch |
US6912222B1 (en) * | 1997-09-03 | 2005-06-28 | Internap Network Services Corporation | Private network access point router for interconnecting among internet route providers |
US6473407B1 (en) | 1997-09-05 | 2002-10-29 | Worldcom, Inc. | Integrated proxy interface for web based alarm management tools |
US6170012B1 (en) | 1997-09-12 | 2001-01-02 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with cache query processing |
US7143438B1 (en) * | 1997-09-12 | 2006-11-28 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with multiple domain support |
US6154775A (en) * | 1997-09-12 | 2000-11-28 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with dynamic rule processing with the ability to dynamically alter the operations of rules |
US6098172A (en) * | 1997-09-12 | 2000-08-01 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with proxy reflection |
US6141749A (en) * | 1997-09-12 | 2000-10-31 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with stateful packet filtering |
IL121815A (en) * | 1997-09-22 | 2000-09-28 | Security 7 Software Ltd | Method and system for the identification and the suppression of executable objects |
US6029203A (en) * | 1997-09-26 | 2000-02-22 | 3Com Corporation | Apparatus and methods for use therein for an ISDN LAN modem that provides enhanced network activity |
US6381644B2 (en) | 1997-09-26 | 2002-04-30 | Mci Worldcom, Inc. | Integrated proxy interface for web based telecommunications network management |
US7225249B1 (en) | 1997-09-26 | 2007-05-29 | Mci, Llc | Integrated systems for providing communications network management services and interactive generating invoice documents |
US6574661B1 (en) | 1997-09-26 | 2003-06-03 | Mci Communications Corporation | Integrated proxy interface for web based telecommunication toll-free network management using a network manager for downloading a call routing tree to client |
US7058600B1 (en) | 1997-09-26 | 2006-06-06 | Mci, Inc. | Integrated proxy interface for web based data management reports |
US6714979B1 (en) | 1997-09-26 | 2004-03-30 | Worldcom, Inc. | Data warehousing infrastructure for web based reporting tool |
US6745229B1 (en) | 1997-09-26 | 2004-06-01 | Worldcom, Inc. | Web based integrated customer interface for invoice reporting |
US6763376B1 (en) | 1997-09-26 | 2004-07-13 | Mci Communications Corporation | Integrated customer interface system for communications network management |
US6023724A (en) * | 1997-09-26 | 2000-02-08 | 3Com Corporation | Apparatus and methods for use therein for an ISDN LAN modem that displays fault information to local hosts through interception of host DNS request messages |
US6092110A (en) * | 1997-10-23 | 2000-07-18 | At&T Wireless Svcs. Inc. | Apparatus for filtering packets using a dedicated processor |
US6122670A (en) | 1997-10-30 | 2000-09-19 | Tsi Telsys, Inc. | Apparatus and method for constructing data for transmission within a reliable communication protocol by performing portions of the protocol suite concurrently |
US6330610B1 (en) * | 1997-12-04 | 2001-12-11 | Eric E. Docter | Multi-stage data filtering system employing multiple filtering criteria |
US6085328A (en) * | 1998-01-20 | 2000-07-04 | Compaq Computer Corporation | Wake up of a sleeping computer using I/O snooping and imperfect packet filtering |
US6131163A (en) * | 1998-02-17 | 2000-10-10 | Cisco Technology, Inc. | Network gateway mechanism having a protocol stack proxy |
US6357010B1 (en) | 1998-02-17 | 2002-03-12 | Secure Computing Corporation | System and method for controlling access to documents stored on an internal network |
US6122666A (en) | 1998-02-23 | 2000-09-19 | International Business Machines Corporation | Method for collaborative transformation and caching of web objects in a proxy network |
US6141686A (en) * | 1998-03-13 | 2000-10-31 | Deterministic Networks, Inc. | Client-side application-classifier gathering network-traffic statistics and application and user names using extensible-service provider plugin for policy-based network control |
US6321336B1 (en) | 1998-03-13 | 2001-11-20 | Secure Computing Corporation | System and method for redirecting network traffic to provide secure communication |
US6453419B1 (en) | 1998-03-18 | 2002-09-17 | Secure Computing Corporation | System and method for implementing a security policy |
US6182226B1 (en) | 1998-03-18 | 2001-01-30 | Secure Computing Corporation | System and method for controlling interactions between networks |
US6175867B1 (en) * | 1998-03-23 | 2001-01-16 | Mci World Com, Inc. | System and method for managing networks addressed via common network addresses |
SE9801134L (sv) * | 1998-03-31 | 1999-10-01 | Anders Forsberg | Förfarande och arrangemang för kommunikation via ett datornätverk |
US6725378B1 (en) | 1998-04-15 | 2004-04-20 | Purdue Research Foundation | Network protection for denial of service attacks |
US6779118B1 (en) * | 1998-05-04 | 2004-08-17 | Auriq Systems, Inc. | User specific automatic data redirection system |
US6212560B1 (en) * | 1998-05-08 | 2001-04-03 | Compaq Computer Corporation | Dynamic proxy server |
DE19820525A1 (de) * | 1998-05-08 | 1999-11-11 | Alcatel Sa | Verfahren, Softwaremodul, Schnittstelleneinrichtung, Endgerät und Server zur Weiterleitungskontrolle von Paketen abgeschlossener Paketsequenzen paketvermittelter Netzwerke |
SE521814C2 (sv) * | 1998-05-14 | 2003-12-09 | Telia Ab | Ett kommunikationsnätverk eller ett ip-nätverk vilket innefattar en paketklassificerare |
EP0964558A1 (en) * | 1998-06-08 | 1999-12-15 | THOMSON multimedia | Method for accessing internet applications from home network devices |
US6604143B1 (en) | 1998-06-19 | 2003-08-05 | Sun Microsystems, Inc. | Scalable proxy servers with plug-in filters |
US6876653B2 (en) * | 1998-07-08 | 2005-04-05 | Broadcom Corporation | Fast flexible filter processor based architecture for a network device |
US6615358B1 (en) | 1998-08-07 | 2003-09-02 | Patrick W. Dowd | Firewall for processing connection-oriented and connectionless datagrams over a connection-oriented network |
US7073196B1 (en) | 1998-08-07 | 2006-07-04 | The United States Of America As Represented By The National Security Agency | Firewall for processing a connectionless network packet |
US6311278B1 (en) * | 1998-09-09 | 2001-10-30 | Sanctum Ltd. | Method and system for extracting application protocol characteristics |
SE513255C2 (sv) * | 1998-09-11 | 2000-08-07 | Telia Ab | Förbättringar i eller relaterade till transmissionssystem |
US6434600B2 (en) * | 1998-09-15 | 2002-08-13 | Microsoft Corporation | Methods and systems for securely delivering electronic mail to hosts having dynamic IP addresses |
US6115709A (en) * | 1998-09-18 | 2000-09-05 | Tacit Knowledge Systems, Inc. | Method and system for constructing a knowledge profile of a user having unrestricted and restricted access portions according to respective levels of confidence of content of the portions |
US6757713B1 (en) | 1998-09-23 | 2004-06-29 | John W. L. Ogilvie | Method for including a self-removing indicator in a self-removing message |
US6324569B1 (en) | 1998-09-23 | 2001-11-27 | John W. L. Ogilvie | Self-removing email verified or designated as such by a message distributor for the convenience of a recipient |
US6701347B1 (en) * | 1998-09-23 | 2004-03-02 | John W. L. Ogilvie | Method for including a self-removing code in a self-removing email message that contains an advertisement |
US6711608B1 (en) * | 1998-09-23 | 2004-03-23 | John W. L. Ogilvie | Method for including a self-removing code in a self-removing message |
US6728885B1 (en) | 1998-10-09 | 2004-04-27 | Networks Associates Technology, Inc. | System and method for network access control using adaptive proxies |
ES2259461T3 (es) * | 1998-10-26 | 2006-10-01 | Nokia Corporation | Sistema y metodo de control de conmutacion por paquetes. |
AU1557799A (en) * | 1998-10-26 | 2000-05-15 | Nokia Networks Oy | Packet switching control system and method |
US10511573B2 (en) | 1998-10-30 | 2019-12-17 | Virnetx, Inc. | Agile network protocol for secure communications using secure domain names |
US7418504B2 (en) | 1998-10-30 | 2008-08-26 | Virnetx, Inc. | Agile network protocol for secure communications using secure domain names |
US7188180B2 (en) * | 1998-10-30 | 2007-03-06 | Vimetx, Inc. | Method for establishing secure communication link between computers of virtual private network |
US6502135B1 (en) * | 1998-10-30 | 2002-12-31 | Science Applications International Corporation | Agile network protocol for secure communications with assured system availability |
JP2002529779A (ja) * | 1998-10-30 | 2002-09-10 | サイエンス アプリケーションズ インターナショナル コーポレイション | 保証されたシステム可用性を有する安全な通信のためのアジル・ネットワーク・プロトコル |
US6487538B1 (en) | 1998-11-16 | 2002-11-26 | Sun Microsystems, Inc. | Method and apparatus for local advertising |
US6226677B1 (en) | 1998-11-25 | 2001-05-01 | Lodgenet Entertainment Corporation | Controlled communications over a global computer network |
US8713641B1 (en) | 1998-12-08 | 2014-04-29 | Nomadix, Inc. | Systems and methods for authorizing, authenticating and accounting users having transparent computer access to a network using a gateway device |
US7194554B1 (en) | 1998-12-08 | 2007-03-20 | Nomadix, Inc. | Systems and methods for providing dynamic network authorization authentication and accounting |
US8266266B2 (en) | 1998-12-08 | 2012-09-11 | Nomadix, Inc. | Systems and methods for providing dynamic network authorization, authentication and accounting |
US6240533B1 (en) | 1999-02-25 | 2001-05-29 | Lodgenet Entertainment Corporation | Method and apparatus for providing uninterrupted communication over a network link |
US7596606B2 (en) * | 1999-03-11 | 2009-09-29 | Codignotto John D | Message publishing system for publishing messages from identified, authorized senders |
US7107612B1 (en) * | 1999-04-01 | 2006-09-12 | Juniper Networks, Inc. | Method, apparatus and computer program product for a network firewall |
US6701432B1 (en) * | 1999-04-01 | 2004-03-02 | Netscreen Technologies, Inc. | Firewall including local bus |
US7240368B1 (en) * | 1999-04-14 | 2007-07-03 | Verizon Corporate Services Group Inc. | Intrusion and misuse deterrence system employing a virtual network |
US6804778B1 (en) * | 1999-04-15 | 2004-10-12 | Gilian Technologies, Ltd. | Data quality assurance |
US7146505B1 (en) | 1999-06-01 | 2006-12-05 | America Online, Inc. | Secure data exchange between date processing systems |
US6263371B1 (en) | 1999-06-10 | 2001-07-17 | Cacheflow, Inc. | Method and apparatus for seaming of streaming content |
US6944774B2 (en) * | 1999-06-18 | 2005-09-13 | Zoom Telephonics, Inc. | Data flow control unit |
US6901517B1 (en) * | 1999-07-16 | 2005-05-31 | Marconi Communications, Inc. | Hardware based security groups, firewall load sharing, and firewall redundancy |
TW453072B (en) | 1999-08-18 | 2001-09-01 | Alma Baba Technical Res Lab Co | System for montoring network for cracker attacic |
US7073198B1 (en) | 1999-08-26 | 2006-07-04 | Ncircle Network Security, Inc. | Method and system for detecting a vulnerability in a network |
US6308276B1 (en) | 1999-09-07 | 2001-10-23 | Icom Technologies | SS7 firewall system |
AU7106200A (en) * | 1999-09-18 | 2001-04-24 | Genie L. Ogilvie | Self-removing email for recipient convenience |
GB2354847A (en) | 1999-09-28 | 2001-04-04 | Ibm | Publish/subscribe data processing with subscription points for customised message processing |
US6687833B1 (en) * | 1999-09-24 | 2004-02-03 | Networks Associates, Inc. | System and method for providing a network host decoy using a pseudo network protocol stack implementation |
US7401115B1 (en) | 2000-10-23 | 2008-07-15 | Aol Llc | Processing selected browser requests |
US7739383B1 (en) | 1999-10-22 | 2010-06-15 | Nomadix, Inc. | Systems and methods for dynamic bandwidth management on a per subscriber basis in a communications network |
DE60039248D1 (de) * | 1999-10-25 | 2008-07-31 | Ibm | Verfahren und system zur prüfung der anforderung eines klienten |
US6675193B1 (en) * | 1999-10-29 | 2004-01-06 | Invensys Software Systems | Method and system for remote control of a local system |
US6671357B1 (en) | 1999-12-01 | 2003-12-30 | Bellsouth Intellectual Property Corporation | Apparatus and method for interrupting data transmissions |
US7765581B1 (en) | 1999-12-10 | 2010-07-27 | Oracle America, Inc. | System and method for enabling scalable security in a virtual private network |
US7336790B1 (en) | 1999-12-10 | 2008-02-26 | Sun Microsystems Inc. | Decoupling access control from key management in a network |
US6977929B1 (en) | 1999-12-10 | 2005-12-20 | Sun Microsystems, Inc. | Method and system for facilitating relocation of devices on a network |
US6970941B1 (en) * | 1999-12-10 | 2005-11-29 | Sun Microsystems, Inc. | System and method for separating addresses from the delivery scheme in a virtual private network |
US6674743B1 (en) | 1999-12-30 | 2004-01-06 | 3Com Corporation | Method and apparatus for providing policy-based services for internal applications |
US6804254B1 (en) | 2000-01-04 | 2004-10-12 | Cisco Technology, Inc. | System and method for maintaining a communication link |
US7079495B1 (en) | 2000-01-04 | 2006-07-18 | Cisco Technology, Inc. | System and method for enabling multicast telecommunications |
US7006494B1 (en) * | 2000-01-04 | 2006-02-28 | Cisco Technology, Inc. | System and method for a virtual telephony intermediary |
US7069432B1 (en) * | 2000-01-04 | 2006-06-27 | Cisco Technology, Inc. | System and method for providing security in a telecommunication network |
US6957348B1 (en) | 2000-01-10 | 2005-10-18 | Ncircle Network Security, Inc. | Interoperability of vulnerability and intrusion detection systems |
US7925693B2 (en) * | 2000-01-24 | 2011-04-12 | Microsoft Corporation | NAT access control with IPSec |
US7072933B1 (en) | 2000-01-24 | 2006-07-04 | Microsoft Corporation | Network access control using network address translation |
US6496935B1 (en) * | 2000-03-02 | 2002-12-17 | Check Point Software Technologies Ltd | System, device and method for rapid packet filtering and processing |
US6795918B1 (en) | 2000-03-07 | 2004-09-21 | Steven T. Trolan | Service level computer security |
KR100350451B1 (ko) * | 2000-03-13 | 2002-08-28 | 삼성전자 주식회사 | 네트워크상의 장치에서의 패킷 필터링방법 |
WO2001074028A1 (en) * | 2000-03-29 | 2001-10-04 | British Telecommunications Public Limited Company | System for processing log data |
EP1146711B1 (en) * | 2000-04-12 | 2006-09-13 | Tenovis GmbH & Co. KG | Firewall parser architecture for a given protocol |
US20010042202A1 (en) * | 2000-04-14 | 2001-11-15 | Horvath Charles J. | Dynamically extendible firewall |
US6904458B1 (en) * | 2000-04-26 | 2005-06-07 | Microsoft Corporation | System and method for remote management |
US6772214B1 (en) * | 2000-04-27 | 2004-08-03 | Novell, Inc. | System and method for filtering of web-based content stored on a proxy cache server |
US20010037384A1 (en) * | 2000-05-15 | 2001-11-01 | Brian Jemes | System and method for implementing a virtual backbone on a common network infrastructure |
US7020718B2 (en) * | 2000-05-15 | 2006-03-28 | Hewlett-Packard Development Company, L.P. | System and method of aggregating discontiguous address ranges into addresses and masks using a plurality of repeating address blocks |
US7263719B2 (en) * | 2000-05-15 | 2007-08-28 | Hewlett-Packard Development Company, L.P. | System and method for implementing network security policies on a common network infrastructure |
US7024686B2 (en) * | 2000-05-15 | 2006-04-04 | Hewlett-Packard Development Company, L.P. | Secure network and method of establishing communication amongst network devices that have restricted network connectivity |
US8086697B2 (en) | 2005-06-28 | 2011-12-27 | Claria Innovations, Llc | Techniques for displaying impressions in documents delivered over a computer network |
US20020010800A1 (en) * | 2000-05-18 | 2002-01-24 | Riley Richard T. | Network access control system and method |
US7475404B2 (en) | 2000-05-18 | 2009-01-06 | Maquis Techtrix Llc | System and method for implementing click-through for browser executed software including ad proxy and proxy cookie caching |
ATE366443T1 (de) * | 2000-05-22 | 2007-07-15 | Infineon Technologies Ag | Sicherheits-datenverarbeitungseinheit sowie dazugehöriges verfahren |
FI111594B (fi) * | 2000-06-05 | 2003-08-15 | Nokia Corp | Tilaajatietojen hallinta matkaviestinjärjestelmässä |
US7917647B2 (en) * | 2000-06-16 | 2011-03-29 | Mcafee, Inc. | Method and apparatus for rate limiting |
US7031267B2 (en) * | 2000-12-21 | 2006-04-18 | 802 Systems Llc | PLD-based packet filtering methods with PLD configuration data update of filtering rules |
US7013482B1 (en) | 2000-07-07 | 2006-03-14 | 802 Systems Llc | Methods for packet filtering including packet invalidation if packet validity determination not timely made |
US7181769B1 (en) * | 2000-08-25 | 2007-02-20 | Ncircle Network Security, Inc. | Network security system having a device profiler communicatively coupled to a traffic monitor |
US9280667B1 (en) | 2000-08-25 | 2016-03-08 | Tripwire, Inc. | Persistent host determination |
US8037530B1 (en) * | 2000-08-28 | 2011-10-11 | Verizon Corporate Services Group Inc. | Method and apparatus for providing adaptive self-synchronized dynamic address translation as an intrusion detection sensor |
US7039678B1 (en) | 2000-09-07 | 2006-05-02 | Axis Mobile, Ltd. | E-mail proxy |
US6944673B2 (en) * | 2000-09-08 | 2005-09-13 | The Regents Of The University Of Michigan | Method and system for profiling network flows at a measurement point within a computer network |
US20020032871A1 (en) * | 2000-09-08 | 2002-03-14 | The Regents Of The University Of Michigan | Method and system for detecting, tracking and blocking denial of service attacks over a computer network |
US7093287B1 (en) | 2000-10-12 | 2006-08-15 | International Business Machines Corporation | Method and system for building dynamic firewall rules, based on content of downloaded documents |
WO2002033523A2 (en) * | 2000-10-18 | 2002-04-25 | Noriaki Hashimoto | Method and system for preventing unauthorized access to a network |
US20020138643A1 (en) * | 2000-10-19 | 2002-09-26 | Shin Kang G. | Method and system for controlling network traffic to a network computer |
EP1340338B1 (en) * | 2000-11-09 | 2006-09-27 | Accenture LLP | Electronic security system and scheme for a communications network |
US7254833B1 (en) | 2000-11-09 | 2007-08-07 | Accenture Llp | Electronic security system and scheme for a communications network |
US6986061B1 (en) | 2000-11-20 | 2006-01-10 | International Business Machines Corporation | Integrated system for network layer security and fine-grained identity-based access control |
US6915351B2 (en) * | 2000-12-18 | 2005-07-05 | Sun Microsystems, Inc. | Community separation control in a closed multi-community node |
US7095741B1 (en) * | 2000-12-20 | 2006-08-22 | Cisco Technology, Inc. | Port isolation for restricting traffic flow on layer 2 switches |
US20020080784A1 (en) * | 2000-12-21 | 2002-06-27 | 802 Systems, Inc. | Methods and systems using PLD-based network communication protocols |
US20020083331A1 (en) * | 2000-12-21 | 2002-06-27 | 802 Systems, Inc. | Methods and systems using PLD-based network communication protocols |
US20020124069A1 (en) * | 2000-12-28 | 2002-09-05 | Hatalkar Atul N. | Broadcast communication system with dynamic client-group memberships |
RU2214623C2 (ru) * | 2000-12-29 | 2003-10-20 | Купреенко Сергей Витальевич | Вычислительная сеть с межсетевым экраном и межсетевой экран |
US6931529B2 (en) | 2001-01-05 | 2005-08-16 | International Business Machines Corporation | Establishing consistent, end-to-end protection for a user datagram |
US20020104016A1 (en) * | 2001-01-26 | 2002-08-01 | International Business Machines Corporation | Network router |
US20020116488A1 (en) * | 2001-02-09 | 2002-08-22 | Subramanian Harihara Rama | System and method for delivery and usage based billing for data services in telecommunication networks |
US7120701B2 (en) * | 2001-02-22 | 2006-10-10 | Intel Corporation | Assigning a source address to a data packet based on the destination of the data packet |
US8200577B2 (en) | 2001-03-20 | 2012-06-12 | Verizon Business Global Llc | Systems and methods for retrieving and modifying data records for rating and billing purposes |
US20030115480A1 (en) * | 2001-12-17 | 2003-06-19 | Worldcom, Inc. | System, method and apparatus that employ virtual private networks to resist IP QoS denial of service attacks |
US6778498B2 (en) * | 2001-03-20 | 2004-08-17 | Mci, Inc. | Virtual private network (VPN)-aware customer premises equipment (CPE) edge router |
US7007169B2 (en) * | 2001-04-04 | 2006-02-28 | International Business Machines Corporation | Method and apparatus for protecting a web server against vandals attacks without restricting legitimate access |
AUPR435501A0 (en) * | 2001-04-11 | 2001-05-17 | Firebridge Systems Pty Ltd | Network security system |
US7080138B1 (en) * | 2001-04-11 | 2006-07-18 | Cisco Technology, Inc. | Methods and apparatus for content server selection |
US20020154635A1 (en) * | 2001-04-23 | 2002-10-24 | Sun Microsystems, Inc. | System and method for extending private networks onto public infrastructure using supernets |
EP1401160A4 (en) * | 2001-04-27 | 2008-07-30 | Ntt Data Corp | PACKAGE TRACKING SYSTEM |
US7124173B2 (en) * | 2001-04-30 | 2006-10-17 | Moriarty Kathleen M | Method and apparatus for intercepting performance metric packets for improved security and intrusion detection |
KR100437169B1 (ko) * | 2001-05-04 | 2004-06-25 | 이재형 | 네트워크 트래픽 흐름 제어 시스템 |
FI112140B (fi) * | 2001-05-23 | 2003-10-31 | Nokia Corp | Informaation kommunikointi |
US6513122B1 (en) | 2001-06-29 | 2003-01-28 | Networks Associates Technology, Inc. | Secure gateway for analyzing textual content to identify a harmful impact on computer systems with known vulnerabilities |
US20030009660A1 (en) * | 2001-07-09 | 2003-01-09 | Walker Mark R. | Method and ystem for establishing and bridging of semi-private peer networks |
US7904454B2 (en) | 2001-07-16 | 2011-03-08 | International Business Machines Corporation | Database access security |
US20030014659A1 (en) * | 2001-07-16 | 2003-01-16 | Koninklijke Philips Electronics N.V. | Personalized filter for Web browsing |
US20040001433A1 (en) * | 2001-07-18 | 2004-01-01 | Gram Charles Andrew | Interactive control of network devices |
US20030069949A1 (en) * | 2001-10-04 | 2003-04-10 | Chan Michele W. | Managing distributed network infrastructure services |
US6999998B2 (en) * | 2001-10-04 | 2006-02-14 | Hewlett-Packard Development Company, L.P. | Shared memory coupling of network infrastructure devices |
US20030074578A1 (en) * | 2001-10-16 | 2003-04-17 | Richard Ford | Computer virus containment |
US20030093689A1 (en) * | 2001-11-15 | 2003-05-15 | Aladdin Knowledge Systems Ltd. | Security router |
JP4051924B2 (ja) | 2001-12-05 | 2008-02-27 | 株式会社日立製作所 | 送信制御可能なネットワークシステム |
US7761605B1 (en) | 2001-12-20 | 2010-07-20 | Mcafee, Inc. | Embedded anti-virus scanner for a network adapter |
US8185943B1 (en) * | 2001-12-20 | 2012-05-22 | Mcafee, Inc. | Network adapter firewall system and method |
US7076803B2 (en) * | 2002-01-28 | 2006-07-11 | International Business Machines Corporation | Integrated intrusion detection services |
US9392002B2 (en) * | 2002-01-31 | 2016-07-12 | Nokia Technologies Oy | System and method of providing virus protection at a gateway |
US6772345B1 (en) | 2002-02-08 | 2004-08-03 | Networks Associates Technology, Inc. | Protocol-level malware scanner |
US7719980B2 (en) * | 2002-02-19 | 2010-05-18 | Broadcom Corporation | Method and apparatus for flexible frame processing and classification engine |
US7185365B2 (en) * | 2002-03-27 | 2007-02-27 | Intel Corporation | Security enabled network access control |
US7216260B2 (en) * | 2002-03-27 | 2007-05-08 | International Business Machines Corporation | Method, system and program product for dynamically detecting errant data sequences and performing corresponding actions |
DE10217952A1 (de) * | 2002-04-22 | 2003-11-13 | Nutzwerk Informationsgmbh | Vorrichtung und Verfahren zum Schutz von Datenendgeräten und Datenservern zwischen öffentlichen und privaten Datennetzen |
CN1152531C (zh) * | 2002-04-23 | 2004-06-02 | 华为技术有限公司 | 分片报文的网络访问控制方法 |
US7359962B2 (en) * | 2002-04-30 | 2008-04-15 | 3Com Corporation | Network security system integration |
AUPS214802A0 (en) * | 2002-05-01 | 2002-06-06 | Firebridge Systems Pty Ltd | Firewall with stateful inspection |
AU2003227123B2 (en) * | 2002-05-01 | 2007-01-25 | Firebridge Systems Pty Ltd | Firewall with stateful inspection |
US7558873B1 (en) | 2002-05-08 | 2009-07-07 | Nvidia Corporation | Method for compressed large send |
US20040162994A1 (en) * | 2002-05-13 | 2004-08-19 | Sandia National Laboratories | Method and apparatus for configurable communication network defenses |
US20040148521A1 (en) * | 2002-05-13 | 2004-07-29 | Sandia National Laboratories | Method and apparatus for invisible network responder |
US20030212901A1 (en) * | 2002-05-13 | 2003-11-13 | Manav Mishra | Security enabled network flow control |
US20030212735A1 (en) * | 2002-05-13 | 2003-11-13 | Nvidia Corporation | Method and apparatus for providing an integrated network of processors |
US20040028047A1 (en) * | 2002-05-22 | 2004-02-12 | Sean Hou | Switch for local area network |
US8060629B2 (en) * | 2002-05-30 | 2011-11-15 | Hewlett-Packard Development Company, L.P. | System and method for managing information requests |
US7685287B2 (en) | 2002-05-30 | 2010-03-23 | Microsoft Corporation | Method and system for layering an infinite request/reply data stream on finite, unidirectional, time-limited transports |
KR100455802B1 (ko) * | 2002-07-03 | 2004-11-06 | 주식회사 아이콘랩 | 휴대용 단말장치에 시변 코드를 표시하는 방법 및 장치,및 이를 이용한 결제 및 인증 방법 및 장치 |
US7260639B2 (en) * | 2002-07-09 | 2007-08-21 | Akamai Technologies, Inc. | Method and system for protecting web sites from public internet threats |
US7437548B1 (en) | 2002-07-11 | 2008-10-14 | Nvidia Corporation | Network level protocol negotiation and operation |
US7412722B1 (en) | 2002-08-08 | 2008-08-12 | Verizon Laboratories Inc. | Detection of softswitch attacks |
US8260961B1 (en) | 2002-10-01 | 2012-09-04 | Trustwave Holdings, Inc. | Logical / physical address state lifecycle management |
US7469418B1 (en) | 2002-10-01 | 2008-12-23 | Mirage Networks, Inc. | Deterring network incursion |
US8819285B1 (en) | 2002-10-01 | 2014-08-26 | Trustwave Holdings, Inc. | System and method for managing network communications |
WO2004034229A2 (en) * | 2002-10-10 | 2004-04-22 | Rocksteady Networks, Inc. | System and method for providing access control |
US20040069109A1 (en) * | 2002-10-11 | 2004-04-15 | Sprague Donald G. | Free swinging portable cutting work station |
US7587512B2 (en) * | 2002-10-16 | 2009-09-08 | Eric White | System and method for dynamic bandwidth provisioning |
US7603341B2 (en) | 2002-11-05 | 2009-10-13 | Claria Corporation | Updating the content of a presentation vehicle in a computer network |
US7454499B2 (en) | 2002-11-07 | 2008-11-18 | Tippingpoint Technologies, Inc. | Active network defense system and method |
US7133420B2 (en) * | 2002-11-15 | 2006-11-07 | Tekelec | Methods and systems for triggerless screening of wireless message service messages for delivery with differential quality of service |
US9805373B1 (en) | 2002-11-19 | 2017-10-31 | Oracle International Corporation | Expertise services platform |
US7397797B2 (en) * | 2002-12-13 | 2008-07-08 | Nvidia Corporation | Method and apparatus for performing network processing functions |
MY141160A (en) * | 2003-01-13 | 2010-03-31 | Multimedia Glory Sdn Bhd | System and method of preventing the transmission of known and unknown electronic content to and from servers or workstations connected to a common network |
US7603549B1 (en) * | 2003-02-11 | 2009-10-13 | Cpacket Networks Inc. | Network security protocol processor and method thereof |
US7490348B1 (en) | 2003-03-17 | 2009-02-10 | Harris Technology, Llc | Wireless network having multiple communication allowances |
EP1628693A1 (en) * | 2003-06-04 | 2006-03-01 | Inion Ltd. | Biodegradable implant and method for manufacturing one |
US7420931B2 (en) * | 2003-06-05 | 2008-09-02 | Nvidia Corporation | Using TCP/IP offload to accelerate packet filtering |
US7620808B2 (en) | 2003-06-19 | 2009-11-17 | Nokia Corporation | Security of a communication system |
US7913294B1 (en) | 2003-06-24 | 2011-03-22 | Nvidia Corporation | Network protocol processing for filtering packets |
US7620070B1 (en) | 2003-06-24 | 2009-11-17 | Nvidia Corporation | Packet processing with re-insertion into network interface circuitry |
US7359983B1 (en) * | 2003-06-24 | 2008-04-15 | Nvidia Corporation | Fragment processing utilizing cross-linked tables |
US7359380B1 (en) | 2003-06-24 | 2008-04-15 | Nvidia Corporation | Network protocol processing for routing and bridging |
TWI227612B (en) * | 2003-06-25 | 2005-02-01 | Hon Hai Prec Ind Co Ltd | System and method for IP logging |
US7769994B2 (en) * | 2003-08-13 | 2010-08-03 | Radware Ltd. | Content inspection in secure networks |
US7624438B2 (en) | 2003-08-20 | 2009-11-24 | Eric White | System and method for providing a secure connection between networked computers |
US20050060538A1 (en) * | 2003-09-15 | 2005-03-17 | Intel Corporation | Method, system, and program for processing of fragmented datagrams |
GB0322891D0 (en) * | 2003-09-30 | 2003-10-29 | Nokia Corp | Communication method |
US7573872B2 (en) * | 2003-10-01 | 2009-08-11 | Nortel Networks Limited | Selective forwarding of damaged packets |
US7701974B2 (en) * | 2003-10-21 | 2010-04-20 | Nokia Corporation | Routing information processing for network hiding scheme |
DE60312235T2 (de) | 2003-10-30 | 2007-11-08 | Telecom Italia S.P.A. | Verfahren und system zur eindringverhinderung und ablenkung |
US7506065B2 (en) * | 2003-11-26 | 2009-03-17 | Hewlett-Packard Development Company, L.P. | Remote mirroring using IP encapsulation |
US8717868B2 (en) | 2003-12-19 | 2014-05-06 | Rockstar Consortium Us Lp | Selective processing of damaged packets |
US20050152331A1 (en) * | 2004-01-12 | 2005-07-14 | Shaw Mark E. | Security measures in a partitionable computing system |
GB0404696D0 (en) | 2004-03-02 | 2004-04-07 | Level 5 Networks Ltd | Dual driver interface |
US7590728B2 (en) | 2004-03-10 | 2009-09-15 | Eric White | System and method for detection of aberrant network behavior by clients of a network access gateway |
US7610621B2 (en) * | 2004-03-10 | 2009-10-27 | Eric White | System and method for behavior-based firewall modeling |
US7509625B2 (en) | 2004-03-10 | 2009-03-24 | Eric White | System and method for comprehensive code generation for system management |
WO2005088938A1 (en) | 2004-03-10 | 2005-09-22 | Enterasys Networks, Inc. | Method for network traffic mirroring with data privacy |
US7665130B2 (en) * | 2004-03-10 | 2010-02-16 | Eric White | System and method for double-capture/double-redirect to a different location |
US20050204022A1 (en) * | 2004-03-10 | 2005-09-15 | Keith Johnston | System and method for network management XML architectural abstraction |
US8543710B2 (en) * | 2004-03-10 | 2013-09-24 | Rpx Corporation | Method and system for controlling network access |
US20050220091A1 (en) * | 2004-03-31 | 2005-10-06 | Lavigne Bruce E | Secure remote mirroring |
US7292573B2 (en) * | 2004-03-31 | 2007-11-06 | Hewlett-Packard Development Company, L.P. | Methods and apparatus for selection of mirrored traffic |
GB0408868D0 (en) | 2004-04-21 | 2004-05-26 | Level 5 Networks Ltd | Checking data integrity |
GB0408870D0 (en) * | 2004-04-21 | 2004-05-26 | Level 5 Networks Ltd | Processsing packet headers |
US9207953B1 (en) * | 2004-04-28 | 2015-12-08 | F5 Networks, Inc. | Method and apparatus for managing a proxy autoconfiguration in SSL VPN |
JP3803680B2 (ja) | 2004-06-16 | 2006-08-02 | Necインフロンティア株式会社 | 不正アクセス防止方法、不正アクセス防止装置及び不正アクセス防止プログラム |
US8155117B2 (en) | 2004-06-29 | 2012-04-10 | Qualcomm Incorporated | Filtering and routing of fragmented datagrams in a data network |
US20080028073A1 (en) * | 2004-07-09 | 2008-01-31 | France Telecom | Method, a Device, and a System for Protecting a Server Against Denial of DNS Service Attacks |
DE102004033624A1 (de) * | 2004-07-12 | 2005-11-10 | Siemens Ag | Sicherheitsmodul für Netzwerke |
US7904488B2 (en) | 2004-07-21 | 2011-03-08 | Rockwell Automation Technologies, Inc. | Time stamp methods for unified plant model |
US7624435B1 (en) * | 2004-07-26 | 2009-11-24 | Trend Micro Incorporated | Method and apparatus for managing digital assets |
US7925727B2 (en) * | 2004-07-29 | 2011-04-12 | Nortel Networks Limited | Method and apparatus for efficient communication of management data in a telecommunications network |
US8255413B2 (en) | 2004-08-19 | 2012-08-28 | Carhamm Ltd., Llc | Method and apparatus for responding to request for information-personalization |
US8078602B2 (en) | 2004-12-17 | 2011-12-13 | Claria Innovations, Llc | Search engine for a computer network |
US8819213B2 (en) * | 2004-08-20 | 2014-08-26 | Extreme Networks, Inc. | System, method and apparatus for traffic mirror setup, service and security in communication networks |
GB0420057D0 (en) | 2004-09-09 | 2004-10-13 | Level 5 Networks Ltd | Dynamic resource allocation |
US8477605B2 (en) * | 2004-09-29 | 2013-07-02 | Rockstar Consortium Us Lp | Preventing illicit communications |
US8756521B1 (en) | 2004-09-30 | 2014-06-17 | Rockwell Automation Technologies, Inc. | Systems and methods for automatic visualization configuration |
US20060168057A1 (en) * | 2004-10-06 | 2006-07-27 | Habeas, Inc. | Method and system for enhanced electronic mail processing |
US20060106919A1 (en) | 2004-11-12 | 2006-05-18 | David Watkinson | Communication traffic control rule generation methods and systems |
US8261337B1 (en) | 2004-11-17 | 2012-09-04 | Juniper Networks, Inc. | Firewall security between network devices |
US7693863B2 (en) | 2004-12-20 | 2010-04-06 | Claria Corporation | Method and device for publishing cross-network user behavioral data |
US8266320B1 (en) * | 2005-01-27 | 2012-09-11 | Science Applications International Corporation | Computer network defense |
EP1851905A1 (en) * | 2005-02-07 | 2007-11-07 | Adzilla, Inc. | Method and system of targeting content |
US8527661B1 (en) * | 2005-03-09 | 2013-09-03 | Oracle America, Inc. | Gateway for connecting clients and servers utilizing remote direct memory access controls to separate data path from control path |
GB0505300D0 (en) | 2005-03-15 | 2005-04-20 | Level 5 Networks Ltd | Transmitting data |
EP1861778B1 (en) | 2005-03-10 | 2017-06-21 | Solarflare Communications Inc | Data processing system |
GB0506403D0 (en) | 2005-03-30 | 2005-05-04 | Level 5 Networks Ltd | Routing tables |
US8073866B2 (en) | 2005-03-17 | 2011-12-06 | Claria Innovations, Llc | Method for providing content to an internet user based on the user's demonstrated content preferences |
US7676281B2 (en) | 2005-05-13 | 2010-03-09 | Rockwell Automation Technologies, Inc. | Distributed database in an industrial automation environment |
US7809683B2 (en) * | 2005-05-13 | 2010-10-05 | Rockwell Automation Technologies, Inc. | Library that includes modifiable industrial automation objects |
US8799800B2 (en) | 2005-05-13 | 2014-08-05 | Rockwell Automation Technologies, Inc. | Automatic user interface generation |
US7672737B2 (en) * | 2005-05-13 | 2010-03-02 | Rockwell Automation Technologies, Inc. | Hierarchically structured data model for utilization in industrial automation environments |
US7650405B2 (en) * | 2005-05-13 | 2010-01-19 | Rockwell Automation Technologies, Inc. | Tracking and tracing across process boundaries in an industrial automation environment |
EP1900172A1 (en) * | 2005-06-10 | 2008-03-19 | Gatesweeper solutions inc. | Anti-hacker system with honey pot |
US7804787B2 (en) * | 2005-07-08 | 2010-09-28 | Fluke Corporation | Methods and apparatus for analyzing and management of application traffic on networks |
US7970788B2 (en) * | 2005-08-02 | 2011-06-28 | International Business Machines Corporation | Selective local database access restriction |
US20070067458A1 (en) * | 2005-09-20 | 2007-03-22 | Rockwell Software, Inc. | Proxy server for integration of industrial automation data over multiple networks |
US7881812B2 (en) * | 2005-09-29 | 2011-02-01 | Rockwell Automation Technologies, Inc. | Editing and configuring device |
US7548789B2 (en) | 2005-09-29 | 2009-06-16 | Rockwell Automation Technologies, Inc. | Editing lifecycle and deployment of objects in an industrial automation environment |
US8275680B2 (en) * | 2005-09-30 | 2012-09-25 | Rockwell Automation Technologies, Inc. | Enabling transactional mechanisms in an automated controller system |
US7734590B2 (en) | 2005-09-30 | 2010-06-08 | Rockwell Automation Technologies, Inc. | Incremental association of metadata to production data |
US8484250B2 (en) * | 2005-09-30 | 2013-07-09 | Rockwell Automation Technologies, Inc. | Data federation with industrial control systems |
US8477759B2 (en) * | 2005-09-30 | 2013-07-02 | Qualcomm Incorporated | Filtering of malformed data packets in wireless communication |
US7526794B2 (en) * | 2005-09-30 | 2009-04-28 | Rockwell Automation Technologies, Inc. | Data perspectives in controller system and production management systems |
US7801628B2 (en) | 2005-09-30 | 2010-09-21 | Rockwell Automation Technologies, Inc. | Industrial operator interfaces interacting with higher-level business workflow |
US7660638B2 (en) * | 2005-09-30 | 2010-02-09 | Rockwell Automation Technologies, Inc. | Business process execution engine |
US7933923B2 (en) | 2005-11-04 | 2011-04-26 | International Business Machines Corporation | Tracking and reconciling database commands |
US8347373B2 (en) | 2007-05-08 | 2013-01-01 | Fortinet, Inc. | Content filtering of remote file-system access protocols |
GB0600417D0 (en) | 2006-01-10 | 2006-02-15 | Level 5 Networks Inc | Virtualisation support |
US8041946B2 (en) * | 2006-02-28 | 2011-10-18 | The Boeing Company | Data transfer between networks operating at different security levels |
JP4594258B2 (ja) * | 2006-03-10 | 2010-12-08 | 富士通株式会社 | システム分析装置およびシステム分析方法 |
US8281123B2 (en) * | 2006-03-24 | 2012-10-02 | Intel Corporation | Apparatus and method for managing and protecting information during use of semi-trusted interfaces |
US20070240208A1 (en) * | 2006-04-10 | 2007-10-11 | Ming-Che Yu | Network appliance for controlling hypertext transfer protocol (HTTP) messages between a local area network and a global communications network |
US20080005315A1 (en) * | 2006-06-29 | 2008-01-03 | Po-Ching Lin | Apparatus, system and method for stream-based data filtering |
JP5292297B2 (ja) | 2006-09-29 | 2013-09-18 | ノマディックス インコーポレイテッド | コンテンツを挿入するためのシステムおよび方法 |
US8141100B2 (en) | 2006-12-20 | 2012-03-20 | International Business Machines Corporation | Identifying attribute propagation for multi-tier processing |
US8495367B2 (en) | 2007-02-22 | 2013-07-23 | International Business Machines Corporation | Nondestructive interception of secure data in transit |
US7639625B2 (en) * | 2007-03-02 | 2009-12-29 | Cisco Technology, Inc. | Tracing connection paths through transparent proxies |
US8291495B1 (en) | 2007-08-08 | 2012-10-16 | Juniper Networks, Inc. | Identifying applications for intrusion detection systems |
US20090055267A1 (en) * | 2007-08-23 | 2009-02-26 | Robert Roker | Internet advertising brokerage apparatus, systems, and methods |
US8156541B1 (en) * | 2007-10-17 | 2012-04-10 | Mcafee, Inc. | System, method, and computer program product for identifying unwanted activity utilizing a honeypot device accessible via VLAN trunking |
DE102007052523A1 (de) | 2007-11-01 | 2009-05-14 | Phoenix Contact Gmbh & Co. Kg | Verbinder und Verfahren zum Bereitstellen eines Zugangs zu einem Datenverarbeitungsnetz für eine Datenverarbeitungseinrichtung |
US8112800B1 (en) | 2007-11-08 | 2012-02-07 | Juniper Networks, Inc. | Multi-layered application classification and decoding |
US20090129301A1 (en) * | 2007-11-15 | 2009-05-21 | Nokia Corporation And Recordation | Configuring a user device to remotely access a private network |
US8125796B2 (en) | 2007-11-21 | 2012-02-28 | Frampton E. Ellis | Devices with faraday cages and internal flexibility sipes |
US8667175B2 (en) * | 2008-03-13 | 2014-03-04 | Cisco Technology, Inc. | Server selection for routing content to a client using application layer redirection |
US8261326B2 (en) | 2008-04-25 | 2012-09-04 | International Business Machines Corporation | Network intrusion blocking security overlay |
US8416695B2 (en) * | 2008-06-30 | 2013-04-09 | Huawei Technologies Co., Ltd. | Method, device and system for network interception |
US8572717B2 (en) * | 2008-10-09 | 2013-10-29 | Juniper Networks, Inc. | Dynamic access control policy with port restrictions for a network security appliance |
US8521868B2 (en) * | 2008-10-15 | 2013-08-27 | International Business Machines Corporation | Platform-level indicators of application performance |
US8457128B2 (en) * | 2009-04-08 | 2013-06-04 | Ixia | Capturing packets with parallel capture engines |
US8767565B2 (en) | 2008-10-17 | 2014-07-01 | Ixia | Flexible network test apparatus |
US7953092B2 (en) * | 2009-04-08 | 2011-05-31 | Ixia | Traffic receiver using parallel capture engines |
US9398043B1 (en) * | 2009-03-24 | 2016-07-19 | Juniper Networks, Inc. | Applying fine-grain policy action to encapsulated network attacks |
US20110030037A1 (en) | 2009-07-07 | 2011-02-03 | Vadim Olshansky | Zone migration in network access |
US8769665B2 (en) * | 2009-09-29 | 2014-07-01 | Broadcom Corporation | IP communication device as firewall between network and computer system |
US8127365B1 (en) | 2009-11-16 | 2012-02-28 | Trend Micro Incorporated | Origination-based content protection for computer systems |
US8424091B1 (en) | 2010-01-12 | 2013-04-16 | Trend Micro Incorporated | Automatic local detection of computer security threats |
US20110225645A1 (en) * | 2010-01-26 | 2011-09-15 | Ellis Frampton E | Basic architecture for secure internet computers |
US8429735B2 (en) | 2010-01-26 | 2013-04-23 | Frampton E. Ellis | Method of using one or more secure private networks to actively configure the hardware of a computer or microchip |
US8255986B2 (en) | 2010-01-26 | 2012-08-28 | Frampton E. Ellis | Methods of securely controlling through one or more separate private networks an internet-connected computer having one or more hardware-based inner firewalls or access barriers |
CA2825850A1 (en) * | 2010-01-29 | 2011-08-04 | Frampton E. Ellis | The basic architecture for secure internet computers |
US8484401B2 (en) | 2010-04-15 | 2013-07-09 | Rockwell Automation Technologies, Inc. | Systems and methods for conducting communications among components of multidomain industrial automation system |
US8984533B2 (en) | 2010-04-15 | 2015-03-17 | Rockwell Automation Technologies, Inc. | Systems and methods for conducting communications among components of multidomain industrial automation system |
US9392072B2 (en) | 2010-04-15 | 2016-07-12 | Rockwell Automation Technologies, Inc. | Systems and methods for conducting communications among components of multidomain industrial automation system |
US8650495B2 (en) | 2011-03-21 | 2014-02-11 | Guest Tek Interactive Entertainment Ltd. | Captive portal that modifies content retrieved from designated web page to specify base domain for relative link and sends to client in response to request from client for unauthorized web page |
US9124920B2 (en) | 2011-06-29 | 2015-09-01 | The Nielson Company (Us), Llc | Methods, apparatus, and articles of manufacture to identify media presentation devices |
US8640251B1 (en) | 2011-12-14 | 2014-01-28 | Trend Micro Incorporated | Methods and systems for classifying computer documents into confidential levels using log information |
US8826452B1 (en) | 2012-01-18 | 2014-09-02 | Trend Micro Incorporated | Protecting computers against data loss involving screen captures |
US10091239B2 (en) | 2012-01-24 | 2018-10-02 | Ssh Communications Security Oyj | Auditing and policy control at SSH endpoints |
US9137281B2 (en) | 2012-06-22 | 2015-09-15 | Guest Tek Interactive Entertainment Ltd. | Dynamically enabling guest device supporting network-based media sharing protocol to share media content over local area computer network of lodging establishment with subset of in-room media devices connected thereto |
US9178861B2 (en) | 2012-10-16 | 2015-11-03 | Guest Tek Interactive Entertainment Ltd. | Off-site user access control |
CA2851709A1 (en) | 2013-05-16 | 2014-11-16 | Peter S. Warrick | Dns-based captive portal with integrated transparent proxy to protect against user device caching incorrect ip address |
US20150358289A1 (en) * | 2014-06-10 | 2015-12-10 | Christopher Michael Ball | Preconfigured transparent firewall with stateful inspection for embedded devices |
US20160373360A1 (en) * | 2015-06-16 | 2016-12-22 | Saguna Networks Ltd. | Methods Circuits Devices Systems and Associated Machine Executable Instructions for Transporting Packetized Data Across a Cellular Communications Network |
CN106487742B (zh) * | 2015-08-24 | 2020-01-03 | 阿里巴巴集团控股有限公司 | 用于验证源地址有效性的方法及装置 |
DE102015016616A1 (de) * | 2015-12-22 | 2017-06-22 | Giesecke & Devrient Gmbh | Vorrichtung und Verfahren zur Verbindung einer Produktionsvorrichtung mit einem Netzwerk |
US9917856B2 (en) | 2015-12-23 | 2018-03-13 | Centripetal Networks, Inc. | Rule-based network-threat detection for encrypted communications |
US10075416B2 (en) | 2015-12-30 | 2018-09-11 | Juniper Networks, Inc. | Network session data sharing |
EP3644570B1 (de) * | 2018-10-23 | 2021-07-28 | ise Individuelle Software und Elektronik GmbH | Firewall für gebäudenetzwerke, ein entsprechendes system und verfahren sowie ein computerlesbares medium |
US11593140B2 (en) * | 2019-06-28 | 2023-02-28 | Hewlett Packard Enterprise Development Lp | Smart network interface card for smart I/O |
US11669468B2 (en) * | 2019-06-28 | 2023-06-06 | Hewlett Packard Enterprise Development Lp | Interconnect module for smart I/O |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4557313A (en) * | 1978-06-26 | 1985-12-10 | Navarre Robert L | Continuous sequential casting apparatus |
US4577313A (en) * | 1984-06-04 | 1986-03-18 | Sy Kian Bon K | Routing mechanism with encapsulated FCS for a multi-ring local area network |
JP3746785B2 (ja) * | 1993-07-28 | 2006-02-15 | 3コム コーポレイション | 多重ネットワーク・アドレスを備えたネットワーク・ステーション |
US5559883A (en) * | 1993-08-19 | 1996-09-24 | Chipcom Corporation | Method and apparatus for secure data packet bus communication |
US5606668A (en) * | 1993-12-15 | 1997-02-25 | Checkpoint Software Technologies Ltd. | System for securing inbound and outbound data packet flow in a computer network |
US5623601A (en) * | 1994-11-18 | 1997-04-22 | Milkway Networks Corporation | Apparatus and method for providing a secure gateway for communication and data exchanges between networks |
US5550984A (en) * | 1994-12-07 | 1996-08-27 | Matsushita Electric Corporation Of America | Security system for preventing unauthorized communications between networks by translating communications received in ip protocol to non-ip protocol to remove address and routing services information |
-
1995
- 1995-05-18 US US08/444,351 patent/US5802320A/en not_active Expired - Lifetime
-
1996
- 1996-05-15 EP EP96303445A patent/EP0743777A3/en not_active Withdrawn
- 1996-05-17 SG SG1996009828A patent/SG73981A1/en unknown
- 1996-05-20 JP JP8147881A patent/JPH09224053A/ja not_active Withdrawn
-
1997
- 1997-02-04 US US08/795,373 patent/US5884025A/en not_active Expired - Lifetime
- 1997-02-04 US US08/795,374 patent/US5878231A/en not_active Expired - Lifetime
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7464407B2 (en) | 2002-08-20 | 2008-12-09 | Nec Corporation | Attack defending system and attack defending method |
US7958549B2 (en) | 2002-08-20 | 2011-06-07 | Nec Corporation | Attack defending system and attack defending method |
JP2006515698A (ja) * | 2003-02-20 | 2006-06-01 | ノキア コーポレイション | 通信システム |
US7664042B2 (en) | 2003-09-17 | 2010-02-16 | Toshiba Storage Device Corporation | Storage control apparatus, storage apparatus, storage control method, and computer-readable recording medium for executing a command based on data in received packet |
JP2010531484A (ja) * | 2007-06-06 | 2010-09-24 | エアバス・オペレーションズ | オープンドメインからアビオニクスドメインまでの通信のオンボードアクセス制御システム |
JP2014502068A (ja) * | 2010-10-07 | 2014-01-23 | エレクトリシテ・ドゥ・フランス | 安全なデータ転送のための方法および装置 |
US8977846B2 (en) | 2010-10-07 | 2015-03-10 | Electricite De France | Method and device for the secure transfer of data |
Also Published As
Publication number | Publication date |
---|---|
EP0743777A3 (en) | 2002-06-12 |
SG73981A1 (en) | 2000-07-18 |
US5802320A (en) | 1998-09-01 |
US5884025A (en) | 1999-03-16 |
US5878231A (en) | 1999-03-02 |
EP0743777A2 (en) | 1996-11-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JPH09224053A (ja) | コンピュータ・ネットワーク・インタフェースにおけるデータ・パケットのパケット・フィルタリング・システム | |
DeCusatis et al. | Implementing zero trust cloud networks with transport access control and first packet authentication | |
US9832227B2 (en) | System and method for network level protection against malicious software | |
US7882265B2 (en) | Systems and methods for managing messages in an enterprise network | |
US7664822B2 (en) | Systems and methods for authentication of target protocol screen names | |
CN103907330B (zh) | 在网络环境中用于重定向的防火墙发现的系统和方法 | |
US6321336B1 (en) | System and method for redirecting network traffic to provide secure communication | |
US7707401B2 (en) | Systems and methods for a protocol gateway | |
US7818565B2 (en) | Systems and methods for implementing protocol enforcement rules | |
US7213265B2 (en) | Real time active network compartmentalization | |
US20040088409A1 (en) | Network architecture using firewalls | |
US20090265777A1 (en) | Collaborative and proactive defense of networks and information systems | |
US8689319B2 (en) | Network security system | |
US10904288B2 (en) | Identifying and deceiving adversary nodes and maneuvers for attack deception and mitigation | |
JP2005517349A (ja) | マルチメッソドゲートウエイに基づいたネットワークセキュリティシステム及び方法 | |
US7596808B1 (en) | Zero hop algorithm for network threat identification and mitigation | |
JP3687782B2 (ja) | 不正侵入防止システム | |
Mohammed et al. | Honeypots and Routers: Collecting internet attacks | |
WO2004047402A1 (en) | Management of network security domains | |
JP2003036243A (ja) | 不正侵入防止システム | |
Mason et al. | Cisco secure Internet security solutions | |
Murray | An Introduction to Internet Security and Firewall Policies | |
Lei | Towards Better Kernel and Network Monitoring of Software Actions | |
Murray | Internet Security and Firewall Policies | |
Xing et al. | Cloud security |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A761 | Written withdrawal of application |
Free format text: JAPANESE INTERMEDIATE CODE: A761 Effective date: 20040901 |