JPH11168511A - パケット検証方法 - Google Patents

パケット検証方法

Info

Publication number
JPH11168511A
JPH11168511A JP10252832A JP25283298A JPH11168511A JP H11168511 A JPH11168511 A JP H11168511A JP 10252832 A JP10252832 A JP 10252832A JP 25283298 A JP25283298 A JP 25283298A JP H11168511 A JPH11168511 A JP H11168511A
Authority
JP
Japan
Prior art keywords
packet
firewall
network
security policy
protocol
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP10252832A
Other languages
English (en)
Other versions
JP3492920B2 (ja
Inventor
Michael John Coss
ジョン コス マイケル
David L Majette
エル.マジェット デヴィッド
Ronald L Sharp
エル.シャープ ロナルド
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nokia of America Corp
Original Assignee
Lucent Technologies Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=25454664&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=JPH11168511(A) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by Lucent Technologies Inc filed Critical Lucent Technologies Inc
Publication of JPH11168511A publication Critical patent/JPH11168511A/ja
Application granted granted Critical
Publication of JP3492920B2 publication Critical patent/JP3492920B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0254Stateful filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

(57)【要約】 【課題】 単一のファイアウォールが、それぞれ別々の
セキュリティポリシーを有する複数のユーザをサポート
することを可能にする。 【解決手段】 ファイアウォールは、パケットに対する
セッションキーを導出し、セッションキーに基づいて複
数のセキュリティポリシーのうちから少なくとも1つの
セキュリティポリシーを選択し、選択されたセキュリテ
ィポリシーを用いてパケットを検証する。実施例では、
セッションキーはパケットのヘッダ情報から導出される
項目を含む。この項目としては、例えば、IPソース/
デスティネーションアドレス、次のレベルのプロトコ
ル、該プロトコルに関係づけられたソース/デスティネ
ーションポートがある。また、次のレベルのプロトコル
は、例えば、TCPまたはUDPである。セキュリティ
ポリシーは、相異なるグループ、あるいは、与えられた
グループ内の相異なるサブグループに対応する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、コンピュータネッ
トワークにおける権限のないアクセスの防止に関し、特
に、コンピュータネットワーク内のファイアウォール保
護に関する。
【0002】
【従来の技術】コンピュータネットワークでは、情報
は、通常、パケットの形で伝送される。あるサイトにあ
る情報は、そのサイトまたは別のサイトのコマンドで、
別のサイトからアクセスされ、あるいは、別のサイトへ
送信される。従って、例えば情報が財産である場合、権
限のないアクセスに対する保護の必要がある。このため
に、ファイアウォールとして知られるワークプロセッサ
コンポーネントで実行される、パケットフィルタリング
という技術が開発され市販されている。ファイアウォー
ルでは、パケットは検査されフィルタリングされる。す
なわち、あらかじめ定義されたアクセスルールのセット
に従っているかどうかに応じて、パケットは、通過し、
あるいは、廃棄される。通常、このルールセットは表形
式で表される。
【0003】一般に、ファイアウォールアドミニストレ
ータは、ファイアウォールの一方の側から他方の側へ
は、同意された広範なアクセスを許容するが、アクティ
ブなネットワークセッションの一部ではない逆向きの伝
送は遮断する。例えば、会社の「内部」の従業員はファ
イアウォールを通じてインターネットのような「外部」
のネットワークに無制限にアクセスすることができる
が、インターネットからのアクセスは、特別に権限を与
えられていなければ遮断される。このような、会社とイ
ンターネットの境界にあるファイアウォールに加えて、
ファイアウォールは、ネットワークドメイン間にも置か
れることがあり、また、ドメイン内でも、サブドメイン
を保護するために用いられることがある。それぞれの場
合において、異なるセキュリティポリシーが関係してい
る。
【0004】いくつかの複雑なネットワークプロトコル
では、外部からユーザへ戻る別個の追加のネットワーク
セッションが必要とされる。そのような複雑なプロトコ
ルの1つは、RealAudioという商品名で知られているサ
ービスによって用いられている。特別の処置がなけれ
ば、この別個のセッションに対する要求はファイアウォ
ールによって遮断されてしまう。
【0005】このような複雑なプロトコルに対して、ユ
ーザの代わりにファイアウォールプロセッサ上で並行し
て走る別個の「プロキシ」プロセスが開発されている。
プロキシプロセスは、別の特殊目的アプリケーション、
例えば、認証、メール処理、およびウィルススキャンの
ようなサービスを実行するためにも、開発されている。
【0006】
【発明が解決しようとする課題】ファイアウォールプロ
セッサが並行プロセスをサポートする容量には限界があ
るので、並行して走らせることができるセッションの数
を最大にするためには、ファイアウォール上のプロキシ
プロセスに対する需要を最小にすることが好ましい。さ
らに、このような最小化は、全伝送レートに関しても、
好ましい。その理由は、入力データが別々のプロセスを
通ると伝送が遅くなるためである。
【0007】
【課題を解決するための手段】本発明は、処理効率を改
善し、セキュリティを改善し、アクセスルール自由度を
増大させ、複雑なプロトコルを扱うファイアウォールの
能力を高めるように、コンピュータネットワークのファ
イアウォールを実現する技術を提供する。本発明の第1
の特徴によれば、コンピュータネットワークファイアウ
ォールは、与えられたパケットに対していくつかの別個
のアクセスルールセットのうちのいずれかを適用するこ
とによって、(a)複数のセキュリティポリシー、
(b)複数のユーザ、または、(c)複数のセキュリテ
ィポリシーおよび複数のユーザの両方をサポートするこ
とができる。パケットに対して適用されるルールセット
は、入出力ネットワークインタフェースや、ネットワー
クのソースおよびデスティネーションのアドレスのよう
な情報に基づいて決定される。
【0008】本発明の第2の特徴によれば、コンピュー
タネットワークファイアウォールは、パケットに適用さ
れるルール処理の結果を記憶することによって性能を改
善する「状態付き」パケットフィルタリングを利用する
ように構成される。状態付きパケットフィルタリング
は、パケットに対するルール処理結果をキャッシュし、
キャッシュされた結果を利用して後続の同種のパケット
に対するルール処理を迂回することによって実現され
る。例えば、あるネットワークセッションの特定のパケ
ットにルールセットを適用した結果をキャッシュし、同
じネットワークセッションからの後続のパケットがファ
イアウォールに到着したときに、キャッシュされている
前のパケットからの結果を、その後続パケットに対して
用いる。これにより、それぞれの入力パケットにそのル
ールセットを適用する必要がなくなる。
【0009】本発明の第3の特徴によれば、コンピュー
タネットワークファイアウォールは、ソースホストアド
レス、デスティネーションホストアドレス、およびサー
ビスタイプのようなセッションデータ項目に基づいて設
定することが可能な依存関係マスクを用いて、ネットワ
ークセッションを認証あるいは阻止する。依存関係マス
クを用いて、ファイアウォールによって処理されている
アクティブセッションのキャッシュに問合せをすること
が可能であり、それにより、問合せを満たすセッション
の数を識別することができる。この問合せを、アクセス
ルールに対応させ、特定のルールのセッションが、その
問合せに適合する数に依存するようにすることが可能で
ある。
【0010】本発明の第4の特徴によれば、コンピュー
タネットワークファイアウォールは、パケットを処理す
るためのアクセスルールのセットに追加された動的ルー
ルを利用することが可能である。動的ルールによれば、
与えられたルールセットは、ルールセット全体をリロー
ドすることを要求せずに、ネットワークにおいて起こる
イベントに基づいて修正される。動的ルールの例として
は、単一のセッションに対してのみ用いられる「ワンタ
イム」ルール、指定された期間に対してのみ用いられる
時限ルール、および、ある条件が満たされたときにのみ
用いられるしきい値ルールがある。他のタイプの動的ル
ールとしては、ホストグループを定義するルールがあ
る。この動的ルールによれば、アクセスルールセットの
他の事項を変更せずに、ホストを追加あるいは削除する
ようにホストグループを変更することができる。
【0011】本発明の第5の特徴によれば、アプリケー
ションプロキシのファイアウォールの負担を軽減するよ
うに、処理のための別のサーバにネットワークセッショ
ンをリダイレクトするようコンピュータネットワークフ
ァイアウォールに対して指令することができる。この別
サーバは、リダイレクトされたネットワークセッション
を処理した後、そのセッションを、ファイアウォールを
通じて、もとの意図されたデスティネーションへ渡す。
【0012】本発明のコンピュータネットワークファイ
アウォールにより、広範囲の重要なアプリケーションで
のファイアウォール処理が可能となる。例えば、本発明
は、ダイヤルアップアクセスゲートウェイに実装可能で
ある。本発明の別の実施例では、ファイアウォールの第
1部分がネットワークに存在し、ファイアウォールの第
2部分がセットトップボックス、コンピュータあるいは
その他の、家庭または会社にあるユーザ端末にあるとい
うように分散的にも実装可能である。後者の実施例によ
れば、本発明のファイアウォール技術は、例えば、家庭
においてインターネットとビデオアクセスの親による制
御を提供することが可能である。
【0013】
【発明の実施の形態】ファイアウォールにおいて、例え
ば、別個のローカルエリアネットワーク(LAN)間あ
るいはLANのサブネット間でのデータの流れを制御す
る好ましい技術が実現される。以下で、本発明の実施例
は、プロセスに関して説明する。このようなプロセスの
効率的なプロトタイプは、汎用PCハードウェア上に実
装するためにプログラミング言語Cを用いて、コンピュ
ータシステムソフトウェアとして実現されている。専用
のファームウェアあるいはハードウェアのコンピュータ
システム実装により、さらに効率を向上させることも可
能である。
【0014】1.複数のセキュリティドメインのサポー
ト 複数のセキュリティドメインをサポートする能力によ
り、単一のファイアウォールが、それぞれ別々のセキュ
リティポリシーを有する複数のユーザをサポートするこ
とが可能となる。また、相異なるセキュリティポリシー
をサブサイト間の通信に適用することができるため、こ
のような能力は、サイト内でも使用可能である。それぞ
れの構成を図1および図2に例示する。
【0015】図1に、インターネット105への接続に
ファイアウォールを有する4つのユーザサイト101〜
104(例として、会社A〜D)を示す。このような保
護は、ファイアウォール設備によって提供される。ファ
イアウォール設備は、ここではLAN110の形態であ
り、ファイアウォールプロセッサ111、113および
114、アドミニストレータプロセッサ115、ルータ
116ならびにウェブサーバ117を有する。ファイア
ウォールプロセッサ113および114はそれぞれ単一
のサイト(すなわち、それぞれサイト103および10
4)専用である。ファイアウォールプロセッサ111
は、2つのサイト101および102にサービスするよ
うに設定される。ファイアウォールプロセッサ111
は、2つのサイトそれぞれとインターネット105との
間、および、2つのサイト間の通信に、別々のファイア
ウォールポリシーを実装する。ファイアウォールプロセ
ッサ111の好ましい動作のためのプロセスについて、
複数のファイアウォールポリシーのうちからの適切な選
択を含めて、図5および図6を参照して後述する。
【0016】図2に、ファイアウォールプロセッサ21
1を通じてインターネット105に接続されたユーザサ
イト201を示す。アドミニストレータプロセッサ21
5およびルータ216は、ファイアウォールプロセッサ
211に接続される。ルータ216は、ユーザサイト2
01の内部にある別のファイアウォールプロセッサ21
2および213に接続される。ファイアウォールプロセ
ッサ212は、単一のサブサイト223(例として人事
(HR))を保護する。ファイアウォール213は、2
つのサブサイト(例として、給与(P)および支払
(D))を、サイト201の残りの部分に対して、およ
び、サブサイト221と222の間の通信に関して、保
護するように設定される。これは、ファイアウォールプ
ロセッサ213において、図5および図6で例示される
プロセスを用いることによって達成される。
【0017】セキュリティポリシーは、アクセスルール
のセットによって表現される。アクセスルールのセット
は、表(テーブル)形式で表され、ファイアウォールア
ドミニストレータによってファイアウォールにロードさ
れる。図3に示すように、このようなテーブルは、ルー
ル番号、ソースおよびデスティネーションのホストの名
称、パケットで要求されることが可能な特殊サービスの
名称、および、パケットに対してなされるアクションの
指定を含むカテゴリに対して与えられる。特殊サービス
には、例えば、プロキシサービス、ネットワークアドレ
ス翻訳、および、暗号化が含まれる。図3では、「ソー
スホスト」、「デスティネーションホスト」および「サ
ービス」というカテゴリは、パケットに対して指定され
たアクションがなされるために、そのパケットに含まれ
るデータが満たさなければならない条件を課している。
他の条件を含めることも可能であり、そのような条件
は、必ずしも、パケットに含まれるデータに関係する必
要はない。例えば、ルールの適用は、日時に関して条件
づけられることも可能である。
【0018】あるルールにおいて、ルールテーブルに与
えられたカテゴリが無関係である場合、対応するテーブ
ルエントリは「ワイルドカード」とマークされる。これ
は、任意のカテゴリあるいはカテゴリの組合せに適用可
能である。図3などでは、ワイルドカードエントリにア
ステリスク(*)を用いている。「FTP」はファイル
転送プロトコル(file transfer protocol)を表す。
【0019】パケットに対するルール処理において、パ
ケットによって満たされるルールが見つかるまで(また
は、ルールテーブルの最後まで。その場合、そのパケッ
トは廃棄される。)、ルールは順に適用される。ルール
を満たすパケットに対して、そのルールに含まれる各条
件が満たされなければならない。例えば、図3におい
て、ソースホストAからデスティネーションホストDへ
の、メールを表すパケットは、ルール20により廃棄さ
れる。以下は、本発明による例示的なルールセットカテ
ゴリのさらに詳細なリストである。最初の5個のカテゴ
リ名は、図3のカテゴリに対応する。
【0020】カテゴリ名:ルール番号 説明:ドメイン内のルールの番号。ルール番号は、一意
的である必要はないが、一般に、単一のサービス(例え
ばFTP)を表すべきである。
【0021】カテゴリ名:ソースホスト 説明:ソースホストグループの識別子またはIPアドレ
ス。
【0022】カテゴリ名:デスティネーションホスト 説明:デスティネーションホストグループの識別子また
はIPアドレス。
【0023】カテゴリ名:サービス 説明:サービスのグループまたはプロトコル/デスティ
ネーションポート/ソースポート。
【0024】カテゴリ名:アクション 説明:ルールアクション、例えば、「通過」、「廃棄」
または「プロキシ」。
【0025】カテゴリ名:廃棄通知 説明:YESの場合、アクションが「廃棄」であれば、
インターネット制御メッセージプロトコル(ICMP)
メッセージが送出される。
【0026】カテゴリ名:キャッシュタイムアウト 説明:セッションエントリがキャッシュから除去される
までのアクティビティなしの秒数。
【0027】カテゴリ名:リセットセッション 説明:YESの場合、TCPセッションに対して、キャ
ッシュタイムアウト時にコネクションの両端にTCPリ
セットを送る。
【0028】カテゴリ名:ルールタイムアウト 説明:ルールがルールリストから除去されるまでのアク
ティビティなしの秒数。
【0029】カテゴリ名:開始期間 説明:ルールに対する開始アクティブ期間。
【0030】カテゴリ名:終了期間 説明:ルールに対する終了アクティブ期間。
【0031】カテゴリ名:期間終了時セッション消去 説明:YESの場合、このルールによって許可されたセ
ッションは期間終了時に消去(kill)される。
【0032】カテゴリ名:依存関係マスク 説明:依存関係マスク名。
【0033】カテゴリ名:入力インタフェース 説明:受信時に一致すべきインタフェース名。
【0034】カテゴリ名:出力インタフェース 説明:パケットが送信されるインタフェース名。
【0035】カテゴリ名:監査セッション 説明:監査記録生成。YESの場合、セッションの開始
時および終了時に監査記録が生成される。
【0036】カテゴリ名:アラームコード 説明:ルールを特定のアラームに結び付けるために用い
られるアラームコード値。
【0037】カテゴリ名:ソースホストマップグループ 説明:IPアドレス、または、マップ先のホストIPア
ドレスを含むホストグループ。
【0038】カテゴリ名:ソースホストマップタイプ 説明:実行されるマッピングのタイプ(例えば、「プー
ル」あるいは「直接」)。
【0039】カテゴリ名:デスティネーションホストマ
ップグループ 説明:IPアドレス、または、マップ先のホストIPア
ドレスを含むホストグループ。
【0040】カテゴリ名:デスティネーションホストマ
ップタイプ 説明:実行されるマッピングのタイプ(例えば、「プー
ル」あるいは「直接」)。
【0041】カテゴリ名:サービスマップグループ 説明:マップ先のデスティネーションポート番号または
デスティネーションポートを含むサービスグループ。参
照されるサービスグループ内のプロトコルおよびソース
ポートは無視される。
【0042】カテゴリ名:サービスマップタイプ 説明:実行されるマッピングのタイプ(例えば、「プー
ル」あるいは「直接」)。
【0043】カテゴリ名:最大使用総数 説明:このルールが使用されることが可能な最大回数。
この限界に達するとルールは除去される。
【0044】カテゴリ名:最大使用並行数 説明:与えられた時刻にアクティブであることが可能
な、このルールによって許可されるセッションの最大
数。この数が、指定された値を下回るまで、ルールはイ
ナクティブである。
【0045】カテゴリ名:コピー先アドレス 説明:パケットのコピーが送られるアプリケーションの
アドレス。セッションキャプチャに用いられる。
【0046】カテゴリ名:トンネルデスティネーション 説明:トンネルを設定し、それをこのデスティネーショ
ンアドレスおよびプロトコルに送る。新しいIPヘッダ
がパケットに追加される。
【0047】カテゴリ名:トンネル条件 説明:トンネリングが必要となるときを示す。NULL
の場合、チェックは不要である。INの場合、入力セッ
ションはトンネリングされていなければならない。OU
Tの場合、パケットをトンネリングするアクションを開
始する。BOTHの場合、両方を行う。
【0048】カテゴリ名:IPSEC条件 説明:IPセキュリティ(IPSEC(IP Security))
処理が必要となるときを示す。NULLの場合、チェッ
クは不要である。INの場合、入力セッションはIPS
ECを用いて保護されていなければならない。OUTの
場合、IPSEC保護を追加するアクションを開始す
る。BOTHの場合、両方を行う。
【0049】カテゴリ名:シーケンス番号ランダム化 説明:TCPシーケンス番号をランダム化するオプショ
ン。デフォルトはNOである。
【0050】カテゴリ名:Syn Storm保護 説明:Syn Storm攻撃からの保護を提供する。デフォル
トはNOである。
【0051】カテゴリ名:復帰チャネル許可 説明:YESの場合、初期パケットは同じアクションで
キャッシュに順チャネルおよび逆チャネルを生成する。
デフォルトはYESである。
【0052】2.状態付きパケットフィルタリング 本発明によるコンピュータネットワークファイアウォー
ルは、「状態付き」パケットフィルタリングを利用する
ように設定することができる。状態付きパケットフィル
タリングは、パケットに適用されたルール処理の結果を
キャッシュに記憶することによって性能を改善する。状
態付きパケットフィルタリングは、受信パケットに対す
るルール処理結果をキャッシュし、その後、キャッシュ
された結果を利用して、同様のパケットに対するルール
処理を迂回することにより実現される。例えば、与えら
れたネットワークセッションのパケットにルールセット
を適用した結果をキャッシュし、同じネットワークセッ
ションからの後続のパケットがファイアウォールに到着
したときに、前のパケットからのキャッシュされた結果
をその後続パケットに対して使用するようにする。これ
によって、入力パケットのそれぞれにルールセットを適
用する必要がなくなることにより、従来のファイアウォ
ールに比べて大幅な性能向上が実現する。
【0053】キャッシュエントリの数はルールの数の何
倍にもなり得るため、キャッシュの効率的使用は、(例
えばハッシュテーブルを用いた)索引付けを必要とする
ことがある。図4に示すように、キャッシュは「セッシ
ョンキー」、ハードウェアアドレス情報、インタフェー
ス情報、適用可能なルールの数、アラームコード、統計
情報、および適用可能なアクションを含むことが可能で
ある。セッションキーは、パケット内で送信されるデー
タに付加された少なくとも1つのヘッダ項目を含み、実
施例では、(i)インターネットプロトコル(IP)ソ
ースアドレス、(ii)IPデスティネーションアドレ
ス、(iii)次のレベルのプロトコル(例えば、伝送
制御プロトコル(TCP)またはユーザデータグラムプ
ロトコル(UDP))、(iv)プロトコルに関連づけ
られたソースポート、および(v)プロトコルに関連づ
けられたデスティネーションポート、を含む。図4で
は、セッションキーに対して、項目(i)および(i
i)は個別に示されている。項目(iii)〜(v)
は、略して「TELNET」および「MAIL」で表さ
れている。
【0054】ファイアウォールでは、ここで「ドメイン
サポートエンジン(DSE(domainsupport engine))と
呼ぶ判断モジュール(エンジン)が、新しいネットワー
クセッションに対していずれのセキュリティポリシーを
使用すべきかを判断する。新しいセッションはそれぞ
れ、ソースドメインおよびデスティネーションドメイン
のセキュリティポリシーによって承認されなければなら
ない。インターネットへ向かうコネクションでは、単一
のドメインの検査のみが実行される可能性が高い。DS
Eは、入力または出力ネットワークインタフェースと、
各パケットのソースまたはデスティネーションネットワ
ークアドレスに基づいて、ドメイン選択を行う。ソース
またはデスティネーションのアドレスをパケットに含め
ることにより、複数のユーザが、単一のネットワークイ
ンタフェースによってサポートされることが可能とな
る。入力または出力ネットワークインタフェースは、ネ
ットワークインタフェースカード(NIC)(例えばイ
ンテル社(Intel Corporation)から市販されているIntel
EtherExpress Pro 100Bカード)の形態のものが可能で
ある。
【0055】図5および図6は、複数のドメインをサポ
ートするファイアウォールによるパケット処理の全体流
れ図である。このような処理は、パケットが行くドメイ
ンを判断し、適用可能なルールを検査してパケットが通
ってもよいかどうかを確認し、特殊処理が必要稼働かを
判断することを含む。ファイアウォールでは、各ドメイ
ンには1つ以上のネットワークインタフェースが関係づ
けられる。複数のドメインをサポートするインタフェー
スは、IPアドレスレンジを用いて、パケットを区別す
るように分離される。以下のステップが含まれる。
【0056】501:IPパケットがインタフェースで
ファイアウォールにより受信される。
【0057】502:パケットのIPヘッダからセッシ
ョンキーが取得される。
【0058】503:いずれのインタフェースがパケッ
トを受信したか、および、受信パケットのソースIPア
ドレスに基づいて、ソースドメインが、図7および図8
に関して別に後述するように判定される。ドメインが見
つからない場合、プロセスはステップ505に飛ぶ。
【0059】504:ステップ502からのセッション
キーを用いて、ソースドメインのキャッシュでの一致を
探索する。キャッシュ内に一致があり、アクションが
「廃棄」の場合、パケットは廃棄され、プロセスはステ
ップ501に戻る。キャッシュ内に一致がない場合、ソ
ースドメインのルールセットで一致を探索する。ルール
で一致があり、アクションが「廃棄」でない場合、プロ
セスはステップ505に進む。ルールで一致があり、ア
クションが「廃棄」の場合、対応するエントリがキャッ
シュに含められ、パケットは廃棄され、プロセスはステ
ップ501に戻る。ルールで一致がない場合、パケット
は廃棄され、プロセスはステップ501に戻る。
【0060】505:パケットのローカルエリアネット
ワーク(LAN)アドレスを用いて、しかも、ソースド
メインルールがデスティネーションインタフェースを指
定している場合には、そのデスティネーションインタフ
ェースおよびルーティングテーブルを用いて、デスティ
ネーションインタフェースが決定される。
【0061】506:デスティネーションインタフェー
スおよびパケットのデスティネーションアドレスを用い
て、デスティネーションドメインが決定される。デステ
ィネーションドメインが見つからない場合、または、デ
スティネーションドメインが直前に検査したドメインと
一致する場合、プロセスはステップ508に進む。
【0062】507:ソースドメインに関してステップ
504で用いられるのと同様にして、デスティネーショ
ンドメインに関して、キャッシュルックアップと、必要
であればルールセットルックアップを行う。
【0063】508:パケットに適用されるルールがア
ドレス変更(例えば、プロキシへの)を要求する場合、
あるいは、あるパケットを別のパケット内に挿入するこ
と(「トンネルオプション」)を要求する場合、プロセ
スは、変更されたデスティネーションに基づく処理のた
めにステップ505に戻る。
【0064】509:パケットがいずれのドメインに関
しても処理されなかった場合、ファイアウォール所有者
はいずれのアクセスルールにも従わないインタフェース
間の通信をサポートすることには関心がないので、その
パケットは廃棄可能である。
【0065】510:すべてのアクションの結果が「通
過」であった場合、パケットは適当なネットワークイン
タフェースへ送出される。
【0066】各ネットワークインタフェースからドメイ
ンへの簡便なリンクのために、ドメインテーブルが用い
られる。インタフェースが複数のドメインによって共有
されている場合、アドレスレンジが含められる。これは
図7に例示されている。図7には、重複のないアドレス
レンジが示されている。
【0067】図8に、上記のステップ503および50
6で実行されるようなドメインテーブル処理を例示す
る。これには以下のステップが含まれる。
【0068】701:ドメインテーブルでインタフェー
ス名が一致するものを探索する。
【0069】702:一致するテーブルエントリが見つ
かった場合、しかも、IPアドレスレンジが一致するテ
ーブルエントリにある場合、パケットアドレスがそのレ
ンジ内にあるかどうかを検査する。レンジ内にある場
合、指定されたドメインが選択される。レンジ内にない
場合、次のテーブルから探索を継続する。
【0070】703:一致するものがないままテーブル
の終端に到達した場合、何のアクションもとらない。
【0071】3.依存関係マスク 例えばRealAudioによって用いられるプロトコルのよう
な、外部からユーザに戻る別個の追加のネットワークセ
ッションを要求するタイプのプロトコルの場合、ルール
は、ユーザに戻るコネクションを許可する条件あるいは
マスクを含むことが可能である。ただしそれは、並行し
てアクティブである正当な順方向のコネクション(すな
わち、ソースとデスティネーションのアドレスを入れ替
えたコネクション)がある場合に限る。その結果、ファ
イアウォール上に別個のあるいはプロキシのアプリケー
ションが不要となる。
【0072】本発明による依存関係マスクは、セッショ
ンキャッシュに向けられた問合せを定義することができ
る。マスクで定義されるすべてのフィールドを、キャッ
シュ内の対応するフィールドと比較することによって、
一致の有無が判定される。マスク内の空フィールドは比
較に用いられない。
【0073】依存関係マスクは、(a)パケット内の情
報、(b)そのパケットのソースインタフェース、およ
び(c)そのパケットが通過するために満たさなければ
ならない1つまたはいくつかの依存条件、を用いて、ネ
ットワークセッションの最初のパケットに対するルール
で定義することが可能である。このような最初のパケッ
トがファイアウォールによって処理されると、対応する
エントリがキャッシュに作られる。
【0074】図9に、図3のものと同様のフォーマット
で、依存関係マスク(「ヒットカウント」)を有するル
ールを示す。以下のような特殊な記号が、いくつかのホ
スト名にある。(i)「ドット」記号(.)は、対応す
るカテゴリのパケットデータを含めることを要求し、
(ii)キャレット記号(^)は、代わりに異なるカテ
ゴリからのパケットデータを含めることを要求する。
「ヒットカウント」は、指定されたアクションがとられ
るためにキャッシュ内に見つからなければならない一致
の数を示す。例えば、「REALAUDIO」という名
前の依存関係マスクでは、1個の必須のTCPセッショ
ンがアクティブである限り、UDPパケットを通過させ
るためにはカウント1が用いられる。依存関係マスク
「TELNET」では、リソースの過負荷を防ぐために
パケットを廃棄するように、カウント10が用いられ
る。
【0075】図10に依存関係マスク処理を例示する。
これは以下のステップを含む。
【0076】901:パケットを取得し、セッションキ
ーを抽出する。
【0077】902:プロセスはルールセットエントリ
を順に処理する。与えられたルールで一致が見つからな
い場合、プロセスはセット内の次のルールに進む。ルー
ルセットの終端まで一致が見つからない場合、パケット
は廃棄される。一致が見つかり、依存関係マスクフィー
ルドが空の場合、プロセスはステップ905に飛ぶ。
【0078】903:パケットおよびインタフェース情
報が、キャッシュ探索構造体(例えば、問合せ)の形成
に含められる。依存関係マスクにおいてユーザ認証フラ
グがセットされている場合、キャッシュ探索構造体にお
ける対応するフラグがセットされる。このステップは、
ルールの問合せ部分を定義している。
【0079】904:キャッシュで、キャッシュ探索構
造体と一致するものを探索し、一致のカウントを積算す
る。このステップは、ルールの問合せ部分を処理してい
る。
【0080】905:積算カウントがヒットカウント以
上である場合、ルールは選択され、そのルールに対応す
るアクションが実行される。このようなアクションは、
通過、廃棄あるいはプロキシを含むことが可能である。
また、対応するエントリがキャッシュに作られる。キャ
ッシュにおいて一致が見つからない場合、または、キャ
ッシュに見つかったエントリが「ヒットカウント」より
少ない場合、プロセスはステップ902に戻り、次のル
ールに進む。このステップは、問合せの結果に基づいて
ルールのアクション部分を処理している。
【0081】上記の依存関係マスク処理を含むルール処
理は、ネットワークセッションの最初のパケットに対し
てのみ実行される。他のすべてのパケットのアクション
は、最初のパケットの処理後にセッションキャッシュに
保存されているので、他のすべてのパケットは、このル
ール探索機能を迂回する。
【0082】4.動的ルール 動的ルールは、例えばルール処理エンジンによって、ア
クセスルールとともに処理するために、必要が生ずるの
に応じてアクセスルールとともに含められるルールであ
る。動的ルールは、例えば、特定のソースおよびデステ
ィネーションのポート番号のような、固有の現在の情報
を含むことが可能である。動的ルールは、信頼されたパ
ーティ、例えば、信頼されたアプリケーション、リモー
トプロキシあるいはファイアウォールアドミニストレー
タによって、特定のネットワークセッションに権限を与
えるためにいつでもロードされることが可能である。動
的ルールは、単一セッション用に設定されることも可能
であり、あるいは、その使用は期限付きとすることも可
能である。動的ルールによれば、ルールセット全体をリ
ロードすることを要求することなく、与えられたルール
セットを、ネットワークで起こるイベントに基づいて修
正することが可能となる。
【0083】動的ルールの例としては、単一のセッショ
ンに対してのみ用いられる「ワンタイム」ルール、指定
された期間に対してのみ用いられる時限ルール、およ
び、ある条件が満たされたときにのみ用いられるしきい
値ルールがある。他のタイプの動的ルールとしては、ホ
ストグループを定義するルールがある。この動的ルール
によれば、アクセスルールセットの他の事項を変更せず
に、ホストを追加あるいは削除するようにホストグルー
プを変更することができる。他の動的ルールとしては、
ある特定のタイプの処理アプリケーションにおけるルー
ルセットアップを容易にするために用いられるものがあ
る。例えば、FTPプロキシアプリケーションは、動的
ルールを用いて、データ要求に応じてFTPデータチャ
ネルの確立の権限を与えることが可能である。この例に
おける動的ルールは、一般に、FTP制御セッションを
通じてデータ要求がなされるまではロードされず、ま
た、1回の使用に限定され、制限された期間の間のみア
クティブとされる。従って、ルールセットは、すべての
要求とともに用いられる別個のデータチャネルルールを
含む必要がない。その結果、ルール仕様およびルール処
理が単純化されるとともに、セキュリティが改善され
る。
【0084】5.プロキシ反射 本発明によるプロキシ反射とは、ネットワークセッショ
ンを、処理のために他の「リモート」プロキシサーバに
リダイレクトした後、ファイアウォールを通じて目的の
デスティネーションへ渡すものである。新しいセッショ
ンがファイアウォールに入ると、プロキシサーバによる
サービスが要求されているかどうかが判定される。プロ
キシサーバによるサービスが要求されている場合、ファ
イアウォールは、パケット内のデスティネーションアド
レスを、プロキシアプリケーションのホストアドレスで
置き換える。必要であれば、ファイアウォールは、サー
ビスポートも変更することが可能である。プロキシアプ
リケーションは、そのセッションを受け取ると、デステ
ィネーションへのコネクションの権限が与えられている
かどうかを判定するために、ファイアウォールに対し
て、そのセッションのもとのデスティネーションアドレ
スを要求する。その後、プロキシが、自己のIPアドレ
スを用いてそのデスティネーションへのコネクションを
形成する場合、ファイアウォールによって提供されるサ
ービスを「単一反射」あるいは「一方向反射」という。
【0085】ユーザおよびプロキシアプリケーションに
よっては、デスティネーションにおいてコネクションが
リモートシステムではなくもとのソースから来ているよ
うに見えなければならない場合がある。これは、例え
ば、ソースIPアドレスを検査して、要求されたサービ
スに対してサインアップしたユーザに一致するかどうか
を確認するサービスの場合に当てはまる。この能力は、
「二重反射」(あるいは「双方向反射」)によって提供
される。この場合、出コネクションのソースアドレスは
リモートプロキシからもとのユーザのソースアドレスに
変更される(戻される)。この変更は、各パケットがプ
ロキシから受信されてデスティネーションへ送られると
きに、ファイアウォールで行われる。
【0086】二重反射能力を提供するため、プロキシア
プリケーションは、ファイアウォールに対して、もとの
入ネットワークセッションの詳細を要求する。ファイア
ウォールは、出コネクションで用いるポート番号を返
す。このポート番号は固有のものであり、これによりフ
ァイアウォールは、ソースアドレスを正しいユーザソー
スアドレスにマッピングすることができるように、正し
い出コネクションを識別することができる。その結果、
プロキシアプリケーションは両方のパーティには見えな
い。
【0087】プロキシ反射を実現する際に、図11およ
び図12を参照して以下で説明する実施例のように、動
的ルールを用いることが可能である。
【0088】図11に、プロキシ反射処理を例示する。
これは、ファイアウォールにおける以下のステップを含
む。
【0089】1001:パケットがファイアウォールに
よって受信される。
【0090】1002:適当なセッションキャッシュを
調べることによって、あるいは、キャッシュ内に見つか
らなければ、適当なルールセットを調べることによっ
て、パケットに関係づけられたアクションが判定され
る。アクションが「通過」または「プロキシ」である場
合、パケット処理は継続される。アクションが「廃棄」
である場合、パケットは廃棄される。
【0091】1003:アクションが、ファイアウォー
ル上でローカルにサポートされるプロキシアプリケーシ
ョンを示している場合、パケットは、プロトコルスタッ
クを通じて、待機中のプロキシアプリケーションへ送ら
れる。
【0092】1004:アクションがリモートプロキシ
を示している場合、パケットのデスティネーションアド
レスがリモートプロキシのアドレスで置き換えられる。
設定により、デスティネーションポートを変更すること
も可能である。もとのパケットヘッダデータが、変更さ
れた値とともにセッションキャッシュに記録される。
【0093】1005:パケットはリモートプロキシサ
ーバへ転送される。
【0094】図12に、リモートプロキシにおける、ス
テップ1005に続く処理を例示する。これは以下のス
テップを含む。
【0095】1006:パケットはリモートプロキシサ
ーバアプリケーションで受信される。
【0096】1007:リモートプロキシは、ファイア
ウォールに対して、パケットのもとのセッションキーを
要求する。
【0097】1008:リモートプロキシアプリケーシ
ョンは、もとのセッションキーを用いて自己の機能(例
えば、自己のセキュリティモデルに基づいてコネクショ
ンを廃棄する、要求されたサービスを実行する、あるい
は、ユーザに代わってもとのデスティネーションアドレ
スと通信する)を実行する。リモートプロキシが単一反
射を用いている場合、プロセスはステップ1011に飛
ぶ。
【0098】1009:リモートプロキシアプリケーシ
ョンは、暗号化されたチャネルを通じて、ファイアウォ
ールに対して二重反射能力を要求する。
【0099】1010:ファイアウォールは、サーバか
らのコネクションの固有性を保証する新しいデスティネ
ーションポート番号を決定する。ファイアウォールはこ
の新しいポート番号およびもとのセッションキーをプロ
キシアプリケーションに返す。
【0100】1011:リモートプロキシアプリケーシ
ョンは、ファイアウォールに対して、自己からもとのデ
スティネーションへのコネクションに対する許可を要求
する。
【0101】1012:ファイアウォールは、動的ルー
ルをロードしてこのアクションを実行する。
【0102】1013:リモートプロキシは、パケット
をファイアウォールに送る。ステップ1012でロード
された動的ルールに基づいて、ファイアウォールはパケ
ットをもとのデスティネーションへ転送する。二重反射
の場合、プロキシは、ステップ1010でファイアウォ
ールによって決定されたデスティネーションポートを使
用し、パケットがファイアウォール通過するときに、I
Pヘッダ値はもとの値に戻される。
【0103】同じセッションに関係づけられた後続のす
べてのパケットは、ステップ1007および1009〜
1012を飛ばすことが可能であることを除いては、同
様に処理される。これは、セッションが生きている間、
同じ動的ルールが適用されるからである。
【0104】本発明は、広範囲のアプリケーションで実
施することができる。例えば、本発明は、ダイヤルアッ
プアクセスゲートウェイにおけるファイアウォール性能
を改善するために使用可能である。本発明の別の実施例
では、ファイアウォールの第1部分がネットワークに存
在し、ファイアウォールの第2部分がセットトップボッ
クス、コンピュータあるいはその他の、家庭または会社
にあるユーザ端末にあるというように分散的にも実装可
能である。後者の実施例によれば、本発明のファイアウ
ォール技術は、例えば、家庭においてインターネットと
ビデオアクセスの親による制御を提供することが可能で
ある。
【0105】
【発明の効果】以上述べたごとく、本発明によれば、複
数のセキュリティドメインをサポートする能力により、
単一のファイアウォールが、それぞれ別々のセキュリテ
ィポリシーを有する複数のユーザをサポートすることが
可能となる。また、相異なるセキュリティポリシーをサ
ブサイト間の通信に適用することができるため、このよ
うな能力は、サイト内でも使用可能である。
【図面の簡単な説明】
【図1】ユーザサイトに対するファイアウォール保護を
提供するローカルエリアネットワークを通じてインター
ネットに接続されたいくつかのユーザサイトあるいはド
メインの図である。
【図2】インターネットに接続され内部ファイアウォー
ルを有するユーザサイトの図である。
【図3】ルールテーブルを例示する図である。
【図4】キャッシュを例示する図である。
【図5】複数のドメインに対するファイアウォール処理
の全体流れ図である。
【図6】複数のドメインに対するファイアウォール処理
の全体流れ図である。
【図7】ドメインテーブルを例示する図である。
【図8】複数のドメインに対するファイアウォール処理
の一部の流れ図である。
【図9】依存関係マスクを例示する図である。
【図10】依存関係マスク処理の流れ図である。
【図11】ファイアウォールにおけるプロキシ反射処理
の流れ図である。
【図12】リモートプロキシにおけるプロキシ反射処理
の流れ図である。
【符号の説明】
101 ユーザサイト 102 ユーザサイト 103 ユーザサイト 104 ユーザサイト 105 インターネット 110 LAN 111 ファイアウォールプロセッサ 113 ファイアウォールプロセッサ 114 ファイアウォールプロセッサ 115 アドミニストレータプロセッサ 116 ルータ 117 ウェブサーバ 201 ユーザサイト 211 ファイアウォールプロセッサ 212 ファイアウォールプロセッサ 213 ファイアウォールプロセッサ 215 アドミニストレータプロセッサ 216 ルータ 221 サブサイト 222 サブサイト 223 サブサイト
───────────────────────────────────────────────────── フロントページの続き (71)出願人 596077259 600 Mountain Avenue, Murray Hill, New Je rsey 07974−0636U.S.A. (72)発明者 デヴィッド エル.マジェット アメリカ合衆国,07924 ニュージャージ ー,バーナーズヴィル,マレンズ レイン 73 (72)発明者 ロナルド エル.シャープ アメリカ合衆国,07830 ニュージャージ ー,キャリフォン,ギャリー レイン,レ イルロード2 ボックス 245

Claims (26)

    【特許請求の範囲】
  1. 【請求項1】 コンピュータネットワークにおけるパケ
    ットを検証する方法において、該方法は、 前記パケットに対するセッションキーを導出するステッ
    プと、 前記セッションキーの関数として複数のセキュリティポ
    リシーのうちから少なくとも1つのセキュリティポリシ
    ーを選択する選択ステップと、 選択されたセキュリティポリシーを用いて前記パケット
    を検証するステップとからなることを特徴とするパケッ
    ト検証方法。
  2. 【請求項2】 前記セッションキーは、前記パケット内
    のデータに付加されるヘッダ情報から導出される項目を
    含むことを特徴とする請求項1に記載の方法。
  3. 【請求項3】 前記セッションキーは、 (i)ソースアドレス、 (ii)デスティネーションアドレス、 (iii)次のレベルのプロトコル、 (iv)プロトコルに関係づけられたソースポート、お
    よび (v)該プロトコルに関係づけられたデスティネーショ
    ンポート、 からなるセットからの少なくとも1つの項目を含むこと
    を特徴とする請求項1に記載の方法。
  4. 【請求項4】 前記セッションキーは、 (i)インターネットプロトコル(以下「IP」とい
    う。)ソースアドレス、 (ii)IPデスティネーションアドレス、 (iii)次のレベルのプロトコル、 (iv)該プロトコルに関係づけられたソースポート、
    および (v)該プロトコルに関係づけられたデスティネーショ
    ンポート、 からなるセットからの少なくとも1つの項目を含むこと
    を特徴とする請求項1に記載の方法。
  5. 【請求項5】 前記次のレベルのプロトコルは、伝送制
    御プロトコルTCPまたはユーザデータグラムプロトコ
    ルUDPであることを特徴とする請求項3に記載の方
    法。
  6. 【請求項6】 前記ネットワークは複数のネットワーク
    インタフェースを含み、 前記選択ステップは、要求が受信されたインタフェース
    を判定するステップを含むことを特徴とする請求項1に
    記載の方法。
  7. 【請求項7】 前記ネットワークは複数のネットワーク
    インタフェースを含み、 前記選択ステップは、要求の送信先のインタフェースを
    判定するステップを含むことを特徴とする請求項1に記
    載の方法。
  8. 【請求項8】 コンピュータネットワークにおけるパケ
    ットを検証する方法において、該方法は、 それぞれアクセスルールのセットを含む複数の独立のセ
    キュリティポリシーを指定するステップと、 前記パケットにはいずれのセキュリティポリシーが適当
    であるかを判定するステップと、 判定されたセキュリティポリシーのアクセスルールのセ
    ットを用いて前記パケットを検証するステップとからな
    ることを特徴とするパケット検証方法。
  9. 【請求項9】 複数のセキュリティポリシーの少なくと
    も一部は、単一のファイアウォールに関連づけられた相
    異なるグループに対応することを特徴とする請求項8に
    記載の方法。
  10. 【請求項10】 複数のセキュリティポリシーの少なく
    とも一部は、与えられたグループ内の相異なるサブグル
    ープに対応することを特徴とする請求項8に記載の方
    法。
  11. 【請求項11】 与えられたグループのアドミニストレ
    ータのみが、該グループのセキュリティポリシーのルー
    ルを修正する権限を有することを特徴とする請求項8に
    記載の方法。
  12. 【請求項12】 コンピュータネットワークのファイア
    ウォールでパケットを検証する際に用いられる装置にお
    いて、 前記ファイアウォールは複数の独立のセキュリティポリ
    シーを指定し、各セキュリティポリシーはアクセスルー
    ルのセットを含み、 前記装置は、 前記ファイアウォールにおいて、(i)前記パケットに
    はいずれのセキュリティポリシーが適当であるかを判定
    し、(ii)判定されたセキュリティポリシーのアクセ
    スルールのセットを用いて前記パケットを検証する、プ
    ロセッサを有することを特徴とする、パケットを検証す
    る際に用いられる装置。
  13. 【請求項13】 複数のセキュリティポリシーの少なく
    とも一部は、単一のファイアウォールに関連づけられた
    相異なるグループに対応することを特徴とする請求項1
    2に記載の装置。
  14. 【請求項14】 複数のセキュリティポリシーの少なく
    とも一部は、与えられたグループ内の相異なるサブグル
    ープに対応することを特徴とする請求項12に記載の装
    置。
  15. 【請求項15】 与えられたグループのアドミニストレ
    ータのみが、該グループのセキュリティポリシーのルー
    ルを修正する権限を有することを特徴とする請求項12
    に記載の装置。
  16. 【請求項16】 コンピュータネットワークにおけるフ
    ァイアウォールを提供する方法において、該方法は、 アクセスルールを複数のドメインに分割するステップ
    と、 与えられたドメインのアドミニストレータのみが該ドメ
    インのセキュリティポリシーのルールを修正する権限を
    有するように前記アクセスルールを管理するステップと
    からなることを特徴とする、ファイアウォールを提供す
    る方法。
  17. 【請求項17】 コンピュータネットワークにおけるパ
    ケット検証を行うコンピュータシステムにおいて、該コ
    ンピュータシステムは、 セッションを求める要求から少なくとも1つのデータ項
    目を取得する手段と、 前記データ項目の関数として複数のセキュリティポリシ
    ーのうちから少なくとも1つのセキュリティポリシーを
    選択する選択手段と、 選択されたセキュリティポリシーを用いて前記セッショ
    ンのパケットを検証する手段とからなることを特徴とす
    るコンピュータシステム。
  18. 【請求項18】 前記ネットワークは複数のネットワー
    クインタフェースを含み、 前記選択手段は、要求が受信されたインタフェースを判
    定する判定手段を含むことを特徴とする請求項17に記
    載のコンピュータシステム。
  19. 【請求項19】 前記判定手段は、前記要求に含まれる
    ソースIPアドレスを参照する手段を含むことを特徴と
    する請求項18に記載のコンピュータシステム。
  20. 【請求項20】 前記ネットワークは複数のネットワー
    クインタフェースを含み、 前記選択手段は、要求の送信先のインタフェースを判定
    する判定手段を含むことを特徴とする請求項17に記載
    のコンピュータシステム。
  21. 【請求項21】 前記判定手段は、前記要求に含まれる
    デスティネーションIPアドレスを参照する手段を含む
    ことを特徴とする請求項20に記載のコンピュータシス
    テム。
  22. 【請求項22】 コンピュータネットワークにおけるパ
    ケット検証方法において、該方法は、 セッションを求める要求から少なくとも1つのデータ項
    目を取得するステップと、 前記データ項目の関数として複数のセキュリティポリシ
    ーのうちから少なくとも1つのセキュリティポリシーを
    選択する選択ステップと、 選択されたセキュリティポリシーを用いて前記セッショ
    ンのパケットを検証するステップとからなることを特徴
    とするパケット検証方法。
  23. 【請求項23】 前記ネットワークは複数のネットワー
    クインタフェースを含み、 前記選択ステップは、要求が受信されたインタフェース
    を判定する判定ステップを含むことを特徴とする請求項
    22に記載の方法。
  24. 【請求項24】 前記判定ステップは、前記要求に含ま
    れるソースIPアドレスを参照するステップを含むこと
    を特徴とする請求項23に記載の方法。
  25. 【請求項25】 前記ネットワークは複数のネットワー
    クインタフェースを含み、 前記選択ステップは、要求の送信先のインタフェースを
    判定する判定ステップを含むことを特徴とする請求項2
    2に記載の方法。
  26. 【請求項26】 前記判定ステップは、前記要求に含ま
    れるデスティネーションIPアドレスを参照するステッ
    プを含むことを特徴とする請求項25に記載の方法。
JP25283298A 1997-09-12 1998-09-07 パケット検証方法 Expired - Lifetime JP3492920B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US08/927,382 US7143438B1 (en) 1997-09-12 1997-09-12 Methods and apparatus for a computer network firewall with multiple domain support
US08/927382 1997-09-12

Publications (2)

Publication Number Publication Date
JPH11168511A true JPH11168511A (ja) 1999-06-22
JP3492920B2 JP3492920B2 (ja) 2004-02-03

Family

ID=25454664

Family Applications (1)

Application Number Title Priority Date Filing Date
JP25283298A Expired - Lifetime JP3492920B2 (ja) 1997-09-12 1998-09-07 パケット検証方法

Country Status (3)

Country Link
US (1) US7143438B1 (ja)
EP (1) EP0909074B1 (ja)
JP (1) JP3492920B2 (ja)

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001060968A (ja) * 1999-08-23 2001-03-06 Maspro Denkoh Corp ケーブルモデムシステム
JP2001142816A (ja) * 1999-11-10 2001-05-25 Sharp Corp 情報フィルタリング装置、情報フィルタリング方法および情報フィルタリングプログラムを記録した媒体
JP2001237895A (ja) * 2000-01-18 2001-08-31 Lucent Technol Inc ネットワークゲートウェイの解析方法及び装置
JP2001313640A (ja) * 2000-05-02 2001-11-09 Ntt Data Corp 通信ネットワークにおけるアクセス種別を判定する方法及びシステム、記録媒体
JP2002359631A (ja) * 2001-05-24 2002-12-13 Ricoh Co Ltd コネクションセキュリティに基づいてネットワークリソースへのアクセスを制御する方法及びシステム
JP2003309607A (ja) * 2002-04-17 2003-10-31 Ntt Data Corp アンチプロファイリング装置およびアンチプロファイリングプログラム
JP2004532543A (ja) * 2001-03-14 2004-10-21 ジェムプリュス ホストプラットフォームにおけるパケットトラフィックを保護する携帯用デバイス
WO2007041918A1 (fr) * 2005-10-10 2007-04-19 Huawei Technologies Co., Ltd. Méthode et système d’obtention de clé hôte ssh de dispositif géré
US7260830B2 (en) 2000-06-01 2007-08-21 Asgent, Inc. Method and apparatus for establishing a security policy, and method and apparatus for supporting establishment of security policy
WO2009098819A1 (ja) * 2008-02-04 2009-08-13 Nec Corporation 通信システム
JP2009217841A (ja) * 2001-03-27 2009-09-24 Fujitsu Ltd パケット中継処理装置
US8151340B2 (en) 2007-09-04 2012-04-03 Fujitsu Limited Data relay device and data relay method
JP2013522786A (ja) * 2010-03-22 2013-06-13 トムソン ライセンシング 方法を実行するデバイスを介してアクセス可能なデータまたはサービスに対するアクセスのセキュリティを保護する方法、およびそれに対応するデバイス
JP2015154322A (ja) * 2014-02-17 2015-08-24 Kddi株式会社 ファイアウォール装置の制御装置及びプログラム
JP2017505942A (ja) * 2013-12-20 2017-02-23 マカフィー, インコーポレイテッド インテリジェントファイアウォールアクセスルール

Families Citing this family (80)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6791947B2 (en) 1996-12-16 2004-09-14 Juniper Networks In-line packet processing
US7283561B1 (en) * 1997-12-12 2007-10-16 Level 3 Communications, Llc Secure network architecture with quality of service
EP1062785A2 (en) * 1998-03-18 2000-12-27 Secure Computing Corporation System and method for controlling interactions between networks
US6701432B1 (en) * 1999-04-01 2004-03-02 Netscreen Technologies, Inc. Firewall including local bus
US7032022B1 (en) 1999-06-10 2006-04-18 Alcatel Statistics aggregation for policy-based network
EP1143665B1 (en) * 1999-06-10 2007-01-03 Alcatel Internetworking, Inc. Unified policy management system and method with integrated policy enforcer
WO2000078004A2 (en) * 1999-06-10 2000-12-21 Alcatel Internetworking, Inc. Policy based network architecture
US8074256B2 (en) 2000-01-07 2011-12-06 Mcafee, Inc. Pdstudio design system and method
FR2806179B1 (fr) * 2000-03-09 2003-06-27 Nilcom Organe de controle d'acces sur internet pour permettre des autorisations ou interdictions d'acces
MXPA02008919A (es) * 2000-03-17 2003-02-12 Decode Genetics Ehf Sistema automatico de proteccion de identidad con verificacion remota de terceras partes.
US20020093527A1 (en) * 2000-06-16 2002-07-18 Sherlock Kieran G. User interface for a security policy system and method
US7917647B2 (en) 2000-06-16 2011-03-29 Mcafee, Inc. Method and apparatus for rate limiting
WO2001099373A2 (en) * 2000-06-16 2001-12-27 Securify, Inc. System and method for security policy
US6950947B1 (en) 2000-06-20 2005-09-27 Networks Associates Technology, Inc. System for sharing network state to enhance network throughput
US6981278B1 (en) 2000-09-05 2005-12-27 Sterling Commerce, Inc. System and method for secure dual channel communication through a firewall
GB2371186A (en) * 2001-01-11 2002-07-17 Marconi Comm Ltd Checking packets
US7290283B2 (en) * 2001-01-31 2007-10-30 Lancope, Inc. Network port profiling
SE520437C2 (sv) * 2001-03-22 2003-07-08 Columbitech Ab Metod för minimering av antalet öppningar i en brandvägg belägen mellan ett privat och ett offentligt nätverk
SE520393C2 (sv) * 2001-03-22 2003-07-01 Columbitech Ab Metod för kommunikation genom brandvägg
US7095716B1 (en) 2001-03-30 2006-08-22 Juniper Networks, Inc. Internet security device and method
US7093280B2 (en) * 2001-03-30 2006-08-15 Juniper Networks, Inc. Internet security system
US7640434B2 (en) * 2001-05-31 2009-12-29 Trend Micro, Inc. Identification of undesirable content in responses sent in reply to a user request for content
US7302700B2 (en) 2001-09-28 2007-11-27 Juniper Networks, Inc. Method and apparatus for implementing a layer 3/layer 7 firewall in an L2 device
US10129273B2 (en) 2001-11-30 2018-11-13 Cisco Technology, Inc. System and methods for computer network security involving user confirmation of network connections
US8185943B1 (en) * 2001-12-20 2012-05-22 Mcafee, Inc. Network adapter firewall system and method
US7761605B1 (en) 2001-12-20 2010-07-20 Mcafee, Inc. Embedded anti-virus scanner for a network adapter
US7734752B2 (en) 2002-02-08 2010-06-08 Juniper Networks, Inc. Intelligent integrated network security device for high-availability applications
US7650634B2 (en) * 2002-02-08 2010-01-19 Juniper Networks, Inc. Intelligent integrated network security device
US8370936B2 (en) 2002-02-08 2013-02-05 Juniper Networks, Inc. Multi-method gateway-based network security systems and methods
FR2838843B1 (fr) * 2002-04-23 2004-12-17 Cit Alcatel Dispositif d'adaptation dynamique de filtres de donnees
JP3564117B2 (ja) 2002-07-01 2004-09-08 株式会社バッファロー 無線lan装置
FR2844415B1 (fr) * 2002-09-05 2005-02-11 At & T Corp Systeme pare-feu pour interconnecter deux reseaux ip geres par deux entites administratives differentes
GB0227049D0 (en) * 2002-11-20 2002-12-24 Bae Sys Defence Sys Ltd Management of network security domains
US9003048B2 (en) * 2003-04-01 2015-04-07 Microsoft Technology Licensing, Llc Network zones
US7325002B2 (en) 2003-04-04 2008-01-29 Juniper Networks, Inc. Detection of network security breaches based on analysis of network record logs
US7509674B2 (en) * 2003-10-07 2009-03-24 Alcatel Lucent Access control listing mechanism for routers
WO2005067260A1 (en) * 2003-12-31 2005-07-21 Applied Identity Method and system for delegating access to computer network resources
US9461825B2 (en) 2004-01-30 2016-10-04 Broadcom Corporation Method and system for preventing revocation denial of service attacks
US20050172132A1 (en) 2004-01-30 2005-08-04 Chen Sherman (. Secure key authentication and ladder system
US9094699B2 (en) * 2004-02-05 2015-07-28 Broadcom Corporation System and method for security key transmission with strong pairing to destination client
US7668074B2 (en) 2004-03-31 2010-02-23 Lg Electronics Inc. Home network system
US20060059558A1 (en) * 2004-09-15 2006-03-16 John Selep Proactive containment of network security attacks
JPWO2006049072A1 (ja) * 2004-11-04 2008-05-29 日本電気株式会社 ファイアウォール検査システムおよびファイアウォール情報抽出システム
CN100461690C (zh) * 2005-07-21 2009-02-11 华为技术有限公司 通用网管安全管理系统及其方法
US7746862B1 (en) 2005-08-02 2010-06-29 Juniper Networks, Inc. Packet processing in a multiple processor system
WO2007072245A2 (en) * 2005-12-21 2007-06-28 Koninklijke Philips Electronics N.V. Dynamic firewall rule definition
US20080071770A1 (en) * 2006-09-18 2008-03-20 Nokia Corporation Method, Apparatus and Computer Program Product for Viewing a Virtual Database Using Portable Devices
US8099774B2 (en) 2006-10-30 2012-01-17 Microsoft Corporation Dynamic updating of firewall parameters
GB2446624A (en) * 2007-02-13 2008-08-20 Ali Guryel Secure network used in educational establishments
US7953895B1 (en) 2007-03-07 2011-05-31 Juniper Networks, Inc. Application identification
US20080244723A1 (en) * 2007-03-27 2008-10-02 Microsoft Corporation Firewall Restriction Using Manifest
US7941838B2 (en) * 2007-05-09 2011-05-10 Microsoft Corporation Firewall control with multiple profiles
US8621552B1 (en) * 2007-05-22 2013-12-31 Skybox Security Inc. Method, a system, and a computer program product for managing access change assurance
US8195806B2 (en) * 2007-07-16 2012-06-05 International Business Machines Corporation Managing remote host visibility in a proxy server environment
JP4964735B2 (ja) * 2007-10-24 2012-07-04 株式会社日立製作所 ネットワークシステム、管理計算機、及びフィルタ再構成方法
US8806605B1 (en) 2008-01-11 2014-08-12 Juniper Networks, Inc. Provisioning network access through a firewall
US8805949B2 (en) 2008-01-16 2014-08-12 Netapp, Inc. System and method for populating a cache using behavioral adaptive policies
FR2944117B1 (fr) * 2009-04-06 2014-05-09 Airbus France Procedes et dispositifs de gestion d'evenements lies a la securite des systemes informatiques d'aeronefs
EP2256658A1 (en) * 2009-05-26 2010-12-01 Gemalto SA Method of executing an application embedded in a portable electronic device
US9621516B2 (en) * 2009-06-24 2017-04-11 Vmware, Inc. Firewall configured with dynamic membership sets representing machine attributes
US9531674B2 (en) * 2009-11-11 2016-12-27 Microsoft Technology Licensing, Llc Virtual host security profiles
US9565213B2 (en) 2012-10-22 2017-02-07 Centripetal Networks, Inc. Methods and systems for protecting a secured network
US9137205B2 (en) 2012-10-22 2015-09-15 Centripetal Networks, Inc. Methods and systems for protecting a secured network
US9203806B2 (en) 2013-01-11 2015-12-01 Centripetal Networks, Inc. Rule swapping in a packet network
US9124552B2 (en) 2013-03-12 2015-09-01 Centripetal Networks, Inc. Filtering network data transfers
US9094445B2 (en) 2013-03-15 2015-07-28 Centripetal Networks, Inc. Protecting networks from cyber attacks and overloading
US9961096B1 (en) 2013-09-17 2018-05-01 Cisco Technology, Inc. Distributed behavior based anomaly detection
US9264370B1 (en) 2015-02-10 2016-02-16 Centripetal Networks, Inc. Correlating packets in communications networks
CN104683341B (zh) * 2015-02-27 2018-09-25 努比亚技术有限公司 应用登录方法和系统
US9866576B2 (en) 2015-04-17 2018-01-09 Centripetal Networks, Inc. Rule-based network-threat detection
CN106549793B (zh) * 2015-09-23 2020-08-07 华为技术有限公司 流量控制方法及设备
US9917856B2 (en) 2015-12-23 2018-03-13 Centripetal Networks, Inc. Rule-based network-threat detection for encrypted communications
US11729144B2 (en) 2016-01-04 2023-08-15 Centripetal Networks, Llc Efficient packet capture for cyber threat analysis
US10320748B2 (en) 2017-02-23 2019-06-11 At&T Intellectual Property I, L.P. Single packet authorization in a cloud computing environment
US10503899B2 (en) 2017-07-10 2019-12-10 Centripetal Networks, Inc. Cyberanalysis workflow acceleration
US11233777B2 (en) 2017-07-24 2022-01-25 Centripetal Networks, Inc. Efficient SSL/TLS proxy
US10284526B2 (en) 2017-07-24 2019-05-07 Centripetal Networks, Inc. Efficient SSL/TLS proxy
US10333898B1 (en) 2018-07-09 2019-06-25 Centripetal Networks, Inc. Methods and systems for efficient network protection
US11362996B2 (en) 2020-10-27 2022-06-14 Centripetal Networks, Inc. Methods and systems for efficient adaptive logging of cyber threat incidents
US11159546B1 (en) 2021-04-20 2021-10-26 Centripetal Networks, Inc. Methods and systems for efficient threat context-aware packet filtering for network protection

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5606668A (en) * 1993-12-15 1997-02-25 Checkpoint Software Technologies Ltd. System for securing inbound and outbound data packet flow in a computer network
WO1997000471A2 (en) 1993-12-15 1997-01-03 Check Point Software Technologies Ltd. A system for securing the flow of and selectively modifying packets in a computer network
US5835726A (en) * 1993-12-15 1998-11-10 Check Point Software Technologies Ltd. System for securing the flow of and selectively modifying packets in a computer network
US5623601A (en) * 1994-11-18 1997-04-22 Milkway Networks Corporation Apparatus and method for providing a secure gateway for communication and data exchanges between networks
US5550984A (en) * 1994-12-07 1996-08-27 Matsushita Electric Corporation Of America Security system for preventing unauthorized communications between networks by translating communications received in ip protocol to non-ip protocol to remove address and routing services information
US5802320A (en) 1995-05-18 1998-09-01 Sun Microsystems, Inc. System for packet filtering of data packets at a computer network interface
US5751971A (en) 1995-07-12 1998-05-12 Cabletron Systems, Inc. Internet protocol (IP) work group routing
US5898830A (en) * 1996-10-17 1999-04-27 Network Engineering Software Firewall providing enhanced network security and user transparency
US5826014A (en) * 1996-02-06 1998-10-20 Network Engineering Software Firewall system for protecting network elements connected to a public network
US5842040A (en) 1996-06-18 1998-11-24 Storage Technology Corporation Policy caching method and apparatus for use in a communication device based on contents of one data unit in a subset of related data units
US5848233A (en) 1996-12-09 1998-12-08 Sun Microsystems, Inc. Method and apparatus for dynamic packet filter assignment
US6173364B1 (en) 1997-01-15 2001-01-09 At&T Corp. Session cache and rule caching method for a dynamic filter
US6154775A (en) * 1997-09-12 2000-11-28 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with dynamic rule processing with the ability to dynamically alter the operations of rules
US6170012B1 (en) * 1997-09-12 2001-01-02 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with cache query processing
US6098172A (en) * 1997-09-12 2000-08-01 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with proxy reflection

Cited By (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001060968A (ja) * 1999-08-23 2001-03-06 Maspro Denkoh Corp ケーブルモデムシステム
JP2001142816A (ja) * 1999-11-10 2001-05-25 Sharp Corp 情報フィルタリング装置、情報フィルタリング方法および情報フィルタリングプログラムを記録した媒体
JP2001237895A (ja) * 2000-01-18 2001-08-31 Lucent Technol Inc ネットワークゲートウェイの解析方法及び装置
JP4658340B2 (ja) * 2000-01-18 2011-03-23 アルカテル−ルーセント ユーエスエー インコーポレーテッド ネットワークゲートウェイの解析方法及び装置
JP2001313640A (ja) * 2000-05-02 2001-11-09 Ntt Data Corp 通信ネットワークにおけるアクセス種別を判定する方法及びシステム、記録媒体
US7823206B2 (en) 2000-06-01 2010-10-26 Asgent, Inc. Method and apparatus for establishing a security policy, and method and apparatus of supporting establishment of security policy
US7260830B2 (en) 2000-06-01 2007-08-21 Asgent, Inc. Method and apparatus for establishing a security policy, and method and apparatus for supporting establishment of security policy
US8250624B2 (en) 2001-03-14 2012-08-21 Gemalto Sa Portable device for securing packet traffic in a host platform
JP2004532543A (ja) * 2001-03-14 2004-10-21 ジェムプリュス ホストプラットフォームにおけるパケットトラフィックを保護する携帯用デバイス
JP2009217841A (ja) * 2001-03-27 2009-09-24 Fujitsu Ltd パケット中継処理装置
JP2002359631A (ja) * 2001-05-24 2002-12-13 Ricoh Co Ltd コネクションセキュリティに基づいてネットワークリソースへのアクセスを制御する方法及びシステム
JP2003309607A (ja) * 2002-04-17 2003-10-31 Ntt Data Corp アンチプロファイリング装置およびアンチプロファイリングプログラム
US7792939B2 (en) 2005-10-10 2010-09-07 Huawei Technologies Co., Ltd. Method and system for obtaining secure shell host key of managed device
WO2007041918A1 (fr) * 2005-10-10 2007-04-19 Huawei Technologies Co., Ltd. Méthode et système d’obtention de clé hôte ssh de dispositif géré
US8151340B2 (en) 2007-09-04 2012-04-03 Fujitsu Limited Data relay device and data relay method
WO2009098819A1 (ja) * 2008-02-04 2009-08-13 Nec Corporation 通信システム
JP2013522786A (ja) * 2010-03-22 2013-06-13 トムソン ライセンシング 方法を実行するデバイスを介してアクセス可能なデータまたはサービスに対するアクセスのセキュリティを保護する方法、およびそれに対応するデバイス
JP2017505942A (ja) * 2013-12-20 2017-02-23 マカフィー, インコーポレイテッド インテリジェントファイアウォールアクセスルール
US10367787B2 (en) 2013-12-20 2019-07-30 Mcafee, Llc Intelligent firewall access rules
US10904216B2 (en) 2013-12-20 2021-01-26 Mcafee, Llc Intelligent firewall access rules
US11997069B2 (en) 2013-12-20 2024-05-28 Mcafee, Llc Intelligent firewall access rules
JP2015154322A (ja) * 2014-02-17 2015-08-24 Kddi株式会社 ファイアウォール装置の制御装置及びプログラム

Also Published As

Publication number Publication date
EP0909074B1 (en) 2017-02-22
US7143438B1 (en) 2006-11-28
EP0909074A1 (en) 1999-04-14
JP3492920B2 (ja) 2004-02-03

Similar Documents

Publication Publication Date Title
JP3298832B2 (ja) ファイアウォールサービス提供方法
JP3492920B2 (ja) パケット検証方法
JP3464610B2 (ja) パケット検証方法
JP3459183B2 (ja) パケット検証方法
JP3443529B2 (ja) ファイアウォールサービスを提供する方法と、ファイアウォールサービスを提供するコンピュータシステム
US20230164116A1 (en) Multi-tenant cloud-based firewall systems and methods
US9100364B2 (en) Intelligent integrated network security device
US7735116B1 (en) System and method for unified threat management with a relational rules methodology
US7428590B2 (en) Systems and methods for reflecting messages associated with a target protocol within a network
US7818565B2 (en) Systems and methods for implementing protocol enforcement rules
US7707401B2 (en) Systems and methods for a protocol gateway
US20040088423A1 (en) Systems and methods for authentication of target protocol screen names
EP1284558B1 (en) Method and apparatus for protecting electronic commerce sites from distributed denial-of-service attacks
Mohammed et al. Honeypots and Routers: Collecting internet attacks
US20040030765A1 (en) Local network natification
Bhagchandka Classification of firewalls and proxies
McGann IPv6 packet filtering
Young et al. IP and Layer 2 Protocols

Legal Events

Date Code Title Description
R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20081114

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20081114

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20091114

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101114

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20111114

Year of fee payment: 8

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20121114

Year of fee payment: 9

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131114

Year of fee payment: 10

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

EXPY Cancellation because of completion of term