JPH11353258A - ファイアウォ―ルセキュリティ方法および装置 - Google Patents

ファイアウォ―ルセキュリティ方法および装置

Info

Publication number
JPH11353258A
JPH11353258A JP11079042A JP7904299A JPH11353258A JP H11353258 A JPH11353258 A JP H11353258A JP 11079042 A JP11079042 A JP 11079042A JP 7904299 A JP7904299 A JP 7904299A JP H11353258 A JPH11353258 A JP H11353258A
Authority
JP
Japan
Prior art keywords
security
firewall
computer
network
packets
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP11079042A
Other languages
English (en)
Inventor
William Roberts Cheswick
ロバーツ チェスウィック ウィリアム
Edward G Whitten
ジー. ホイットン エドワード
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nokia of America Corp
Original Assignee
Lucent Technologies Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Lucent Technologies Inc filed Critical Lucent Technologies Inc
Publication of JPH11353258A publication Critical patent/JPH11353258A/ja
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • G06F15/163Interprocessor communication
    • G06F15/17Interprocessor communication using an input/output type connection, e.g. channel, I/O port

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

(57)【要約】 【課題】本発明は、コンピュータネットワークで使用さ
れるファイアウォール式セキュリティ技術に関する。 【解決手段】 クライアントベースのファイアウォール
を交付する技術。ファイアウォールセキュリティ装置
は、個別クライアント、たとえばパーソナルコンピュー
タに接続して、ファイアウォールセキュリティ基準をク
ライアントに提供するように構成される。ファイアウォ
ールセキュリティ装置は、クライアントの外部通信ポー
ト、たとえばパラレル通信ポートに取り付けられる電子
ドングルとして構成される。たとえば公衆ネットワーク
からクライアントへの着信通信ストリームは、ファイア
ウォールセキュリティ装置を通過する。このようにし
て、ファイアウォールセキュリティ装置は、1組の標準
ネットワークセキュリティ基準を適用、交付し、それに
より、公衆ネットワークから受信される通信ストリーム
でトリガされるセキュリティ破りからクライアントを保
護する。好適には、ファイアウォールは、独立したファ
イアウォールサーバーの介在、使用または接続なしに、
クライアントによって直接交付される。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、ネットワークセキ
ュリティに関し、特にコンピュータネットワークで使用
されるファイアウォール式セキュリティ技術に関する。
【0002】
【従来の技術及び発明が解決しようとする課題】通信技
術の進歩と、パワフルなデスクトップ型コンピュータハ
ードウェアの入手し易さは、公然と利用できるさまざま
なコンピュータネットワークにアクセスするコンピュー
タの使用を増大させた。たとえば、デジタルビットスト
リームをアナログ信号に変換するのに使用されるものと
して知られている通信装置であるモデムの速度がかなり
増加し、それにより、たとえば公衆交換電話網(PST
N)を横断する情報の高速交換が提供された。現在で
は、ものすごい量の情報が、公衆コンピュータネットワ
ーク、たとえばインターネットを介して世界中の個人ユ
ーザー間で交換されている。ユーザークラスの1つは、
私人と、構内ネットワーク、たとえば会社イントラネッ
トを介して相互接続された専門ユーザーとを含む。
【0003】構内コンピュータネットワークと公衆コン
ピュータネットワーク間の情報交換は、構内コンピュー
タネットワークにおける情報の保護と公衆コンピュータ
ネットワーク自体の機能全体とに関するさまざまな重要
なセキュリティ問題を生じた。“ハッカー"として知ら
れている人についての多くの公表されている報告があ
る。ハッカーは、構内コンピュータネットワークのセキ
ュリティを不正に破り、ひどいダメージを引き起こし
た。特に、最も凝ったタイプのセキュリティ脅威の中に
は、ネットワークコンピューティングシステム内のいく
つかの弱みを利用するプログラムによってもたらされる
ものがある。いくつかに名前をつけると、これらのプロ
グラム関連セキュリティ脅威は、たとえば、W.Stalling
s,Network and Internetwork Security Principles and
Practice,Prentice-Hall,Inc.,Englewood Cliffs,NJ,1
995で開示されているように、周知のロジック爆弾、ト
ラップドア、トロイの木馬、ウィルスおよび虫を含む。
このような周知のソフトウェアプログラム脅威は、独立
して働いてそれらが望むセキュリティ破りを達成する
(たとえば虫)か、または、ホストプログラムの呼び出
しが引き起こされて、望ましい破壊動作を実行する(た
とえば、トラップドア、ロジック爆弾、トロイの木馬ま
たはウィルス)かのどちらかである。このようなダメー
ジは、構内コンピュータネットワークの動作または構内
ネットワークに接続されたコンピュータハードウェアに
影響を及ぼす、電子ファイルの破壊、データベースの改
変、またはコンピュータウィルスの導入を含む。
【0004】最小限のコンピュータネットワークセキュ
リティは、コンピューティングおよびネットワーキング
リソースの確実な動作を保証し、未承認の開示またはア
クセスから構内ネットワーク内の情報を保護することに
向けられている。構内コンピュータネットワークの動作
に責任があるネットワーク管理者は、さまざまなセキュ
リティ処置を使用して、未承認ユーザーによる外部セキ
ュリティ破りからネットワークを保護している。周知技
術の1つは、いわゆる“ファイアウォール"を使用す
る。このセキュリティ方式は、本質的に、構内ネットワ
ークと公衆ネットワーク、たとえばインターネットとの
間に独立したコンピュータシステム、すなわちファイア
ウォールを配置する。通常、これらのファイアウォール
は、ソフトウェアベースのゲートウェイであり、典型的
に、独立したサーバーに設置され、アウトサイダー、す
なわち未承認ユーザーによる攻撃から構内ネットワーク
内のローカルエリアネットワーク(“LAN")上のコ
ンピュータを保護する。
【0005】詳細には、ファイアウォールサーバーは、
構内ネットワークからの通信および構内ネットワークへ
の通信の制御を維持する。本質的に、ファイアウォール
サーバーは、構内ネットワークを使用する全ユーザーに
いくつかのセキュリティ処置を賦課する。たとえば、フ
ァイアウォールは、周知のワールドワイドウェブ(“W
WW")上の新たなインターネットサービスまたはサイ
トへのアクセスを遮断することができる。なぜなら、こ
のファイアウォール形態によるセキュリティ結果は、知
られていないかまたは考慮されていないからである。フ
ァイアウォールの可能な設置形態の1つは、WWWクラ
イアントがもはやWWWサーバーに直接接触できないこ
とである。典型的に、これは、拘束しすぎと判明し、ネ
ットワーク管理者は、いわゆる“代理サーバー"を使用
している。代理サーバーは、WWWクライアントからの
要求をファイアウォールを介して転送し、それにより、
インターネット上のサーバーへの及びサーバーからの通
信フローを与えることを提供するいくつかの特徴を伴っ
て設計される。
【0006】図1は、たとえば構内ネットワーク130
にファイアウォールセキュリティを交付するための独立
したサーバー、たとえばファイアウォールサーバー12
0と代理サーバー140を使用する従来技術のネットワ
ーク形態100を示す。図1に示されているように、フ
ァイアウォールサーバー120は、公衆ネットワーク1
10と構内ネットワーク130の間に設置され、ネット
ワーク間で交換される通信にネットワークセキュリティ
処置を交付する独立したコンピュータシステムである。
ハードウェア、設備管理およびネットワーク管理展望か
ら図1のサーバーベースのファイアウォールを交付する
際の投資が重要であることがわかるだろう。もちろん、
非常に大規模な構内ネットワークについては、このよう
な専用サーバーベースのファイアウォールを設置して維
持するコストは、ネットワークセキュリティ破りが構内
ネットワーク内部で加えることができるダメージの可能
性を考慮して正当化される。しかしながら、小/中規模
サイズのネットワークと個別のコンピュータユーザーに
ついては、サーバーベースのファイアウォールセキュリ
ティ形態のコストは、ひどく高くなることがある。した
がって、たとえば構内ネットワーク内のネットワークセ
キュリティを提供するクライアントベースのファイアウ
ォール技術の必要性がある。
【0007】
【課題を解決するための手段】本発明は、クライアント
ベースのファイアウォールを交付するための技術を提供
する。本発明によれば、ファイアウォールセキュリティ
装置は、個別のクライアント、たとえばパーソナルコン
ピュータへ接続してファイアウォールセキュリティ基準
をクライアントに直接提供するように構成される。本発
明の好適な実施例によれば、ファイアウォールセキュリ
ティ装置は、クライアントの通信ポート、たとえばパラ
レル通信ポートに取り付けられる電子ドングル(don
gle)として構成される。本発明によれば、たとえば
公衆ネットワークからクライアントへの着信通信ストリ
ームは、ファイアウォールセキュリティ装置を通過す
る。このようにして、ファイアウォールセキュリティ装
置は、1組の標準セキュリティルーチンを適用、交付す
ることにより、公衆ネットワークから受信される通信ト
ラフィックでトリガされるセキュリティ破りからクライ
アントを保護する。例として、1組のセキュリティルー
チンは、クライアントによって交換される全通信が従う
ことにより、クライアントが相互接続される構内ネット
ワームの一体性を保証する少なくとも1つのセキュリテ
ィレベルを定義する。好適には、本発明によれば、ファ
イアウォールは、独立したファイアウォールサーバーの
介在、使用または接続なしにクライアントによって直接
交付される。
【0008】電子ドングル装置は新しいものではない。
ドングルは、従来、個別のソフトウェアプログラムの保
護および制御のために使用されている。このようなドン
グルは、たとえば、周辺装置用の再構成可能なコネクタ
が開示されている、オー・オクティ(O.Oktay)
に発行された“再構成可能なコネクタ"と題する米国特
許第5,668,419号や、一定のソフトウェアライ
センス制限を強いる装置が開示されている、ディー・エ
ル・ディビス(D.L.Davis)に発行された“あ
るノードから他のノードへ移動するソフトウエアライセ
ンスを提供する方法"と題する米国特許題5,568,
552号に開示されている。従来のドングルの使用法の
1つは、個別ユーザーによって購入または実施許諾され
た特定のソフトウェアパッケージと共にこのような装置
をパッキングすることであった。典型的には、ドングル
は、ユーザーのパーソナルコンピュータのパラレルポー
トに接続されていた。その後、ユーザーによるソフトウ
ェアの実行中何度も、ソフトウェアプログラムは、コン
ピュータの外部通信ポートに認証メッセージを送る。こ
のようなメッセージの受信に基づいて、(もしあれば)
ドングルは、唯一の識別子、たとえばトークンを発生
し、実行中のソフトウェアプログラムへ返送する。ドン
グルがなければ、ソフトウェアプログラムは終了する。
さもなければ、ソフトウェアプログラムは、トークンを
内部に格納された識別子と比較し、レスポンスが整合し
た場合のみ、その後の実行を許す。
【0009】このように、ドングルは、認証されたユー
ザーによる個別プログラムへのアクセスと実行を制御す
る周知の装置である。しかしながら、ここでは、発明者
にとって、このような装置は、クライアントベースのフ
ァイアウォールを、さまざまな異なるネットワーク間の
通信の広く行き渡った交換から生じる現在の複雑なコン
ピュータネットワーク配置におけるコンピュータネット
ワークセキュリティ破りのリスクを減らすために交付す
ることができるという優れたツールを提供するというこ
とを認めることになった。
【0010】
【発明の実施の形態】本発明は、クライアントベースの
ファイアウォールを交付する技術を提供する。本発明に
よれば、ファイアウォールセキュリティ装置は、クライ
アントの通信ポート、たとえばパラレル通信ポートに取
り付けられる電子ドングルとして構成される。本発明に
よれば、たとえば公衆ネットワークからクライアントへ
の着信通信ストリームは、ファイアウォールセキュリテ
ィ装置を通過する。このようにして、ファイアウォール
セキュリティ装置は、1組の標準セキュリティルーチン
を適用、交付することにより、公衆ネットワークから受
信される通信トラフィックでトリガされるセキュリティ
破りからクライアントを保護する。例として、1組のセ
キュリティルーチンは、クライアントによって交換され
る全通信が従うことにより、クライアントが相互接続さ
れる構内ネットワークの一体性を保証する少なくとも1
つのセキュリティレベルを定義する。好適には、本発明
によれば、ファイアウォールは、独立したファイアウォ
ールサーバーの介在、使用または接続なしにクライアン
トによって直接交付される。
【0011】図2は、本発明の原理にしたがって構成さ
れた例示的なファイアウォールセキュリティ装置200
を示す。より詳細には、ファイアウォールセキュリティ
装置200は、プロセッサ205、通信バッファ21
0、周辺装置I/Oインターフェース215、メモリ素
子220(ランダムアクセスメモリ(RAM)225お
よび不揮発性メモリ230からなる)、ファイアウォー
ルルーチン235、暗号化ルーチン240およびコネク
タ245を含む。コネクタ245は、たとえば、パーソ
ナルコンピュータの標準的なパラレル通信ポートに接続
するための従来のパラレル型コネクタ(たとえば、DB
−25コネクタ)である。本発明の好適な実施例によれ
ば、ファイアウォールセキュリティ装置200は、従来
のように、たとえばこのファイアウォールセキュリティ
装置200が接続されるパラレル通信ポートから電源が
供給される。本発明の他の実施例によれば、電源は、装
置自体に内蔵された従来のバッテリー電源からファイア
ウォールセキュリティ装置200に供給される。メモリ
素子220は、さらに、プロセッサ205から従来のや
り方で発生するデータ、たとえばいくつかの計算結果を
格納するためのRAM225を含むことがわかるだろ
う。
【0012】しばらく注意を図3に向けると、パラレル
通信ポート305にファイアウォールセキュリティ装置
200を接続する(矢印310の方向を参照)ことによ
って、ファイアウォールセキュリティ装置200を備え
たユーザー端末、たとえばパーソナルコンピュータ30
0を構成する本発明の実施例が示されている。このよう
な形態の本発明によるファイアウォールセキュリティ装
置200は、以下にさらに説明されるような完全なクラ
イアントベースのファイアウォールセキュリティ配置を
パーソナルコンピュータ300に提供する。ユーザー端
末は、装置自体または装置が相互接続されるネットワー
クへの未承認アクセスからの同一レベルのセキュリティ
保護を必要とするどんなハードウェア装置(たとえば、
スタンドアローン型パーソナルコンピュータ、ネットワ
ーク型パーソナルコンピュータ、ネットワーク端末な
ど)でも良いことがわかるだろう。好適には、本発明に
したがって、クライアントベースのファイアウォール
は、ユーザー端末、たとえばパーソナルコンピュータ3
00がファイアウォールセキュリティ基準の交付のため
の構内ネットワークに独立したサーバーと接続する必要
なしに交付される。
【0013】次に、注意を図2に戻すと、周辺装置I/
Oインターフェース215は、本発明によるファイアウ
ォールセキュリティ装置200を通る通信ストリームの
転送を容易にする。通信ストリームは、たとえばパーソ
ナルコンピュータによる従来の情報交換のどれかを意味
することが分かるだろう。たとえば、通信ストリーム
は、従来のモデム装置を介して交換される一連のデータ
ビットまたは複数の転送制御プロトコル/インターネッ
トプロトコル(TCP/IP)パケットでも良い。した
がって、本発明の原理は、さまざま通信ストリームに適
用して、本発明の種々のセキュリティ態様を交付する。
通信ストリームは、本発明の種々の実施例にしたがっ
て、ユーザー端末とネットワークリソース間の従来のT
CP/IP接続によって交換されるデータであること
は、容易に理解されるだろう。周知のように、TCP/
IPは、情報がインターネットを横断して転送される方
法を説明する際に使用されるプロトコルである。本質的
に、TCP/IPは、情報を個々のパケットに分離し、
これらのパケットを送信コンピュータ、たとえばサーバ
ーと受信コンピュータ、たとえばクライアントの間で中
継する。TCP/IPおよびインターネット通信は、た
とえば、D.Comer.,Internetworking with TCP/IP,Third
Edition,Prentice-Hall,Englewood Cliffs,NJ,1995で
より詳細に説明されている。
【0014】すなわち、ファイアウォールセキュリティ
装置200が、たとえば図3に示されるように、ユーザ
ー端末に接続された場合、ユーザー端末へのおよびユー
ザー端末からの全ての通信トラフィックは、ファイアウ
ォールセキュリティ装置200を通過する。したがっ
て、周辺装置I/Oインターフェース215は、ファイ
アウォールセキュリティ装置200と、ファイアウォー
ルセキュリティ装置200が接続されたユーザー端末
と、何かの外部ネットワーク、たとえばインターネット
との間のデータ通信の交換を容易にする。データ通信交
換自体は、従来の仕方で、たとえば、コンピュータハー
ドウェア装置間の周知のパラレルデータ通信転送にした
がって起こる。本発明の好適な実施例によれば、ファイ
アウォールセキュリティ装置200が接続されたユーザ
ー端末は、ファイアウォールセキュリティ装置200を
通してユーザー端末により交換される全通信トラフィッ
クの管理を容易にするためのいくつかの従来のソフトウ
ェアドライバを有する。本発明の好適な実施例によれ
ば、このようなソフトウェアドライバは、周知のダイナ
ミック リンク ライブラリ(DLL)ドライバの形に
なっている。DLLは、アプリケーションがコンパイル
時間に対抗する実行時間においてリンクする機能の周知
のライブラリであり、より詳細には、A.King,Inside Wi
ndows TM95,Microsoft Press,Redmond,Washington,1994
で開示されている。したがって、本発明の好適な実施例
によれば、DLLは、ファイアウォールセキュリティ装
置200を通してユーザー端末で交換される全通信トラ
フィックの管理の容易さを提供する。
【0015】たとえば、DLLは、従来のTCP/IP
階層において、ユーザー端末とIP層またはIP層と周
知のTCP/UDP層のどちらかの間に追加の層を提供
して、本発明にしたがってパケットを中断したり、そら
したり、および/または遮断したりすることができる。
より詳細には、しばらく図6に注意を向けると、ファイ
アウォールセキュリティ装置200を用いて構成された
クライアント(たとえば、図3に示されるクライアント
形態を参照)のための例示的なTCP/IP階層600
が示される。クライアント、たとえばパーソナルコンピ
ュータ300にあるTCP/IP階層600は、イーサ
ネット層630、IP層650、TCP層660、応用
層670などの種々の従来の層を有する。これらの層
は、それぞれ、標準的なTCP/IP階層の周知のネッ
トワークインターフェース層、ネットワーク(インター
ネット)層、トランスポート層、および応用層に対応し
ていることが理解されるだろう。本発明のこの実施例に
よれば、TCP/IP階層600は、さらに、上記に説
明された、本発明の種々のセキュリティ態様を交付する
ためのファイアウォールセキュリティ装置200を通し
てクライアントによって交換される全通信トラフィック
の管理を容易にするDLLにより実行されるファイアウ
ォールセキュリティ層640も含む。
【0016】たとえば、図6に示されるように、(たと
えば、パーソナルコンピュータ300で受信されるよう
な)着信通信ストリーム610は、イーサネット層63
0を介して受信されて処理され、次いで、本発明による
クライアントベースのファイアウォールの交付のため
に、ファイアウォールセキュリティ装置200に直接送
られる。着信通信ストリーム610の管理は、TCP/
IP階層600を上がる着信通信ストリーム610のさ
らなる伝送と処理ばかりでなくファイアウォールセキュ
リティ層640によって容易になる。また、クライアン
ト、たとえばパーソナルコンピュータ300からの発信
通信ストリーム620は、TCP/IP600階層を下
がってファイアウォールセキュリティ装置200に送ら
れ、本発明のクライアントベースのファイアウォールに
したがって発信送信のセキュリティを保証する。上述の
ように、本発明の好適な実施例によれば、クライアント
とファイアウォールセキュリティ装置200間の通信の
交換は、クライアントのパラレル通信ポートへのセキュ
リティ装置の直接接続によって可能になる。
【0017】本発明の種々の実施例において、通信バッ
ファ210、たとえばファストイン-ファストアウト
(FIFO)バッファは、従来のように、ファイアウォ
ールセキュリティ装置200に着信通信ストリームの列
を作るために使用される。本発明の他の実施例におい
て、たとえば、プロセッサ205の速度または構成がい
ずれかのこのようなデータのバッファリングの必要性を
排除した場合は、通信バッファ210の必要性はなくな
ることがわかるだろう。プロセッサ205は、ファイア
ウォールルーチン235および暗号化ルーチン240と
共に、本発明の原理によるクライアントベースのファイ
アウォールの交付を容易にする。
【0018】すなわち、本発明の好適な実施例によれ
ば、ファイアウォールルーチン235および暗号化ルー
チン240は、ファイアウォールセキュリティ装置20
0が接続される特定のユーザーユーザー端末、たとえば
パーソナルコンピュータ300を介して送信中のどんな
通信ストリームにも適用されるだろうファイアウォール
セキュリティ基準を左右する。前述したように、ファイ
アウォールルーチン235および/または暗号化ルーチ
ン240は、ユーザー端末の通信ストリームが従わなけ
ればならない少なくとも1つのセキュリティレベルを定
義する。例として、ファイアウォールルーチン235
は、パケット、回路、および/またはアプリケーション
レベルにおける通信ストリームのろ波や検査のような従
来のファイアウォール機能を提供する市販のファイアウ
ォール アプリケーションソフトウェア、たとえばルー
セント テクノロジー社から市販されているルーセント
管理型ファイアウォールで交付される。さらに、暗号化
ルーチン240は、たとえば、周知のデータ暗号化規格
(DES)ルーチンなどの対称暗号化ルーチン、また
は、周知のリベスト(Rivest)―シャミール(S
hamir)―アドルマン(Adleman)(RS
A)ルーチンなどの非対称暗号化ルーチンを含む。ファ
イアウォールルーチン235および暗号化ルーチン24
0は、ファイアウォールセキュリティ装置200のユー
ザーによって、または、中央ソース、たとえばインター
ネット上のサーバーからいくつかの更新されたルーチン
をダウンロードすることによって、直接定期的に更新す
ることができることがわかるだろう。
【0019】本発明によれば、ファイアウォールルーチ
ン235は、たとえば、接続されるユーザー端末へのフ
ァイアウォールセキュリティ装置200によるファイア
ウォールセキュリティ基準の交付を容易にする。たとえ
ば、ファイアウォールセキュリティ装置200は、全て
の発信TCP接続を許すが、全ての着信TCP接続(電
子メールを除く)を遮断しかつ周知のドメインネームサ
ービス(DNS)パケットを除く全ての従来のユーザー
データグラム プロトコル(UDP)パケットも遮断
する、パケットまたは回路フィルタを交付することがで
きる。さらに、例として、ファイアウォールセキュリテ
ィ装置200は、適当なアドレス方式、ファイルサイズ
および/またはコンピュータウィルスの存在に対してた
とえばパーソナルコンピュータ300へ/から送信され
る電子メールのアドレスと内容を照合するための応用レ
ベルフィルタを交付することもできる。本発明によれ
ば、ファイアウォールセキュリティ装置200は、ネッ
トワークセキュリティ破りを検出して防ぐ際に役立つ幅
広いさまざまなファイアウォールろ波配置を交付するよ
うに構成することができることがわかるだろう。
【0020】図4は、本発明の原理によるファイアウォ
ールセキュリティ装置200(図2参照)によって実行
される動作例のフローチャートである。詳細には、ファ
イアウォールセキュリティ装置200が接続されている
ユーザー端末によって交換される通信ストリームは、フ
ァイアウォールセキュリティ装置200で受信される
(ブロック400参照)。上述のように、本発明の種々
の実施例にしたがって、通信ストリームは、ソースマシ
ンから宛先マシンへ中継されている複数のTCP/IP
パケットである。そこで、ファイアウォールセキュリテ
ィ装置200は、ファイアウォールルーチン235で定
義される特定のセキュリティ基準を通信ストリームに適
用する(ブロック405参照)。したがって、ファイア
ウォールルーチン235および/または暗号化ルーチン
240の適用により、ファイアウォールセキュリティ装
置200は、通信ストリームが、ファイアウォールセキ
ュリティ装置235が接続されているクライアントにと
って望ましいセキュリティレベルに従っているか否かを
決定するために使用可能になる。さらに、本発明にした
がって、ファイアウォールセキュリティ装置200は、
通信ストリーム内に含まれる特定のセキュリティ違反お
よび/またはセキュリティ破りに至ることがある疑わし
い通信の検出(ブロック410)を提供する。このよう
なセキュリティ違反が検出されない場合は、通信トラフ
ィックは、ユーザー端末へのさらなる送信のために通過
し続ける(ブロック425参照)。さもなければ、セキ
ュリティ違反が検出された場合、個々の従わないパケッ
トが識別され、ユーザー端末内のさらなる送信から遮断
され(ブロック415参照)、それにより、どんな可能
性のあるセキュリティ破りからもユーザー端末が保護さ
れる。本発明の他の実施例において、セキュリティ破り
のアドレス時の後続の治療処置のために、たとえばネッ
トワークセキュリティ管理者へのセキュリティ警報を発
生する(ブロック420参照)ことも望ましい。
【0021】本発明の理解をさらに容易にするために、
上述の発明の記載に続いて、図5は、本発明のクライア
ントベースのファイアウォールを組み込んだシステムの
一例を示す。図5に示されるように、このシステムは、
公衆ネットワーク500、たとえばインターネットと、
ネットワークリソース505,510,515,520
および525を含む。例として、ネットワークリソース
505乃至525は、周知のハイパーテキスト マーク
アップ ランゲージ(HTML)に書き込まれることに
より周知のWWWを表すファイルを用いて互いにリンク
することができる。WWWとHTMLは、たとえば、B.
White,HTML and the Art of Authoringfor the World W
ide Web,Kluwer Academic Publishers,Norwell,MA,1996
でより詳細に開示されている。例として、構内ネット
ワーク530は、特定のユーザーサイト、たとえば会社
の本社ビル内にあり、各々が本発明にしたがってファイ
アウォールセキュリティ装置200で構成され、LAN
545で互いにリンクされたユーザー端末535−1,
535−2,535−3および535−4を備えたネッ
トワークである。後で分かるように、ユーザー端末53
5−1乃至535−4は、たとえばスタンドアローン型
パーソナルコンピュータやネットワーク端末でも良い。
ここでは説明を簡単にするために、このようなLAN形
態が1つだけ図5に示されているが、構内ネットワーク
530は、LAN545と事実上同じいくつかのこのよ
うなLAN形態を含むことができることがわかるだろ
う。
【0022】ユーザー端末535−1乃至535−4の
うちのどれか1つの特定ユーザーは、ユーザー端末上で
実行中のクライアントプログラムに、WWW上で利用で
きるいくつかのリソース、たとえばネットワークリソー
ス505−525を要求させることができる。前述のよ
うに、構内ネットワーク530からのインターネットを
介するWWWへのこのような要求は、構内ネットワーク
530とユーザー端末535−1乃至535−4の両方
に対していくつかのセキュリティリスクを持ち出す。し
たがって、図5に示されるように、ユーザー端末535
−1,535−2,535−3および535−4は各
々、本発明によるいくつかのセキュリティ特徴の交付の
ためのファイアウォールセキュリティ装置200を備え
るように構成され(同様に図3参照)、構内ネットワー
ク530とその多数の計算用リソースが保護される。例
として、ファイアウォールセキュリティ装置200は、
局部的に、たとえばユーザー端末535−1により直接
的に、または中央ソース、たとえば通信サーバー550
からのどちらかで構成される。好適には、本発明にした
がって、構内ネットワーク530と公衆ネットワーク5
60、たとえばインターネットとの間の独立したファイ
アウォールコンピュータシステムの必要性が、完全にな
くなる。
【0023】すなわち、ユーザー端末535−1乃至5
35−4の各々に取り付けられたファイアウォールセキ
ュリティ装置200が、端末からおよび端末への通信上
の制御を監視して維持する。より詳細には、本発明のク
ライアントベースのファイアウォールは、まず、構内ネ
ットワーク内のユーザー端末と公衆ネットワークと間で
要求された接続が認証されているかどうかを判定する。
クライアントベースのファイアウォールは、構内ネット
ワーク内のユーザー端末と公衆ネットワークと間の媒介
物として役立ち、もし接続が認証されているならば、2
つのネットワーク間で必要な接続を促進する。反対に、
接続が認証されていなければ、クライアントベースのフ
ァイアウォールは、送信を遮断し、前述したようにネッ
トワーク間で何らかの接続が発生するのを防ぐ。
【0024】例として、ユーザー端末535−3を使用
するユーザーは、ウェブブラウザ540を使用してWW
W上のいくつかのウェブページにアクセスすることがで
きる。ウェブブラウザは、周知のソフトウェアアプリケ
ーションプログラム(たとえば、ネットスケープ コミ
ュニケーションズから入手できるNetscape(登
録商標)v.5.0)であり、これにより、ユーザー
は、WWWをあちこち動き回って、WWWのいたる所で
利用できる莫大な量の情報にアクセスすることが可能に
なる。したがって、ウェブブラウザ540は、ユーザー
端末535−3のユーザーから入力された要求を受信
し、公衆ネットワーク500を介してWWW上の適当な
リソース、たとえばネットワークリソース505との接
続を確立することによって、WWW上の情報を捜し出そ
うとする。ユーザー端末535−3とネットワークリソ
ース505間で認証された通信は、ファイアウォールセ
キュリティ装置200によりユーザー端末535−3に
接続されるものとして確立される。より詳細には、ウェ
ブブラウザ540と共に、またウェブブラウザ540に
代わって働くファイアウォールセキュリティ装置200
は、ユーザー端末535−3とネットワークリソース5
05間の従来のTCP/IP接続の確立を制御するだろ
う。この実施例によれば、ユーザー端末535−3とネ
ットワークリソース505間のTCP/IP接続は、通
信サーバー550を使用して、それぞれ通信チャンネル
555および560を横切って行われる。
【0025】図5から分かるように、公衆ネットワーク
500と、構内ネットワーク530のユーザー端末53
5−1乃至535−4との間の全通信トラフィックは、
必然的に、ユーザー端末に接続された特定のファイアウ
ォールセキュリティ装置200を通過する。この通信ト
ラフィック特質の承認時、我々は、電子ドングル装置形
態のファイアウォールセキュリティ装置200が、我々
の発明のセキュリティ利点を実行するのに好適な形態を
提供することを実現した。しかしながら、本発明の原理
は、他のネットワーク環境や形態においても実現される
ことが分かるだろう。
【0026】たとえば、本発明の他の実施例によれば、
携帯用パーソナルコンピュータ536は、それに接続さ
れるファイアウォールセキュリティ装置200を含む。
例として、構内ネットワーク530へのアクセスを要求
する遠方のユーザー、たとえば出張中の会社幹部は、従
来のやり方で、公衆ネットワーク、たとえばインターネ
ットから通信サーバー550へのアクセスを得ることが
できる。通信サーバー550との接続の確立に基づい
て、携帯用パーソナルコンピュータ36のユーザーは、
上述のように、たとえばインターネットから情報をダウ
ンロードするために公衆ネットワーク500にアクセス
することができる。このような遠隔接続は、構内ネット
ワーク530の物理的形態内に配置されたユーザー端末
535−1乃至535−4のどれかから発するネットワ
ークリソース要求で起こるのと同じネットワークセキュ
リティ論点を提起するのが分かるだろう。好適には、本
発明にしたがって、携帯用パーソナルコンピュータ53
6へのファイアウォールセキュリティ装置200の接続
によって促進されるクライアントベースのファイアウォ
ールは、このようなネットワークセキュリティ問題を軽
減する。
【0027】我々の発明は、専用ネットワークファイア
ウォールサーバーに接続される必要なしに、構内ネット
ワーク内部または外部のどちらかの認証された全てのユ
ーザーへのファイアウォールセキュリティ基準の交付を
考慮している。したがって、本発明によって交付される
セキュリティ特徴は、図5のシステム形態を含むがこれ
に限らない種々のネットワーク、ハードウェアおよびソ
フトウェア形態において実現される。たとえば、本発明
にしたがって構成されたファイアウォールセキュリティ
装置は、ローカルエリアネットワークとバックボーン、
たとえばワイドエリアネットワークとの間のメッセージ
交換に使用される周知の装置であるルーターにファイア
ウォール能力を与えるのに使用することができる。
【0028】上述のものは、単に本発明の原理を示して
いる。したがって、本発明は、そのより広い態様におい
て、ここに示され説明された特定の細部に限らない。当
業者は、ここには明確に示され説明されていないが、そ
の原理を実施し、その精神と範囲内にある多くの配置を
工夫することができる。
【図面の簡単な説明】
【図1】従来技術のサーバーベースのファイアウォール
を有するネットワーク形態を示す図である。
【図2】本発明の原理により構成されたファイアウォー
ルセキュリティ装置の一例を示す図である。
【図3】本発明によるクライアントベースのファイアウ
ォールを交付するために図2のファイアウォールセキュ
リティ装置を用いて構成されたクライアントの一例を示
す図である。
【図4】本発明にしたがって、図2のファイアウォール
セキュリティ装置で実行される動作例を示す流れ図であ
る。
【図5】図2および図3で例示的に示された本発明のク
ライアントベースのファイアウォールを組み込んだシス
テムの一例を示す図である。
【図6】図3に示されるファイアウォールセキュリティ
装置を用いて構成されたTCP/IP階層配置の一例を
示す図である。
───────────────────────────────────────────────────── フロントページの続き (72)発明者 エドワード ジー. ホイットン アメリカ合衆国 30208 ジョージア,コ ンヤーズ,スプリング レイク ドライヴ 3205

Claims (28)

    【特許請求の範囲】
  1. 【請求項1】 少なくとも1つのセキュリティ必要条件
    を定義する複数のセキュリティルーチンを格納するメモ
    リと、 コンピュータセキュリティ装置をユーザー端末に接続す
    るコネクタと、 少なくとも1つのセキュリティルーチンを上記ユーザー
    端末の通信ストリームに適用するプロセッサとからな
    り、上記通信ストリームの少なくとも一部が、上記コン
    ピュータセキュリティ装置を介して送信されるコンピュ
    ータセキュリティ装置。
  2. 【請求項2】 請求項1記載のコンピュータセキュリテ
    ィ装置において、前記通信ストリームは、前記ユーザー
    端末で公衆ネットワークから受信されるコンピュータセ
    キュリティ装置。
  3. 【請求項3】 請求項2記載のコンピュータセキュリテ
    ィ装置において、前記コネクタは、前記ユーザー端末の
    通信ポートに接続されるコンピュータセキュリティ装
    置。
  4. 【請求項4】 請求項2記載のコンピュータセキュリテ
    ィ装置において、さらに、前記公衆ネットワークから受
    信される通信ストリームを格納するバッファを含むコン
    ピュータセキュリティ装置。
  5. 【請求項5】 少なくとも1つのセキュリティ必要条件
    を定義する複数のファイアウォールセキュリティルーチ
    ンを格納するメモリと、 ファイアウォールセキュリティ装置をユーザー端末に接
    続するコネクタと、 少なくとも1つのファイアウォールセキュリティルーチ
    ンを上記ファイアウォールセキュリティ装置を介して送
    信される複数のパケットに適用し、上記複数のパケット
    のうちの特定のパケットが、上記少なくとも1つのセキ
    ュリティ必要条件に従っているか否かを判定するプロセ
    ッサとからなるファイアウォールセキュリティ装置。
  6. 【請求項6】 請求項5記載のファイアウォールセキュ
    リティ装置において、前記ユーザー端末へのファイアセ
    キュリティ装置の接続は、前記ユーザー端末のパラレル
    通信ポートによって行われるファイアウォールセキュリ
    ティ装置。
  7. 【請求項7】 請求項6記載のファイアウォールセキュ
    リティ装置において、前記メモリは、さらに、前記複数
    のパケットのうちの特定のパケットが、少なくとも1つ
    のセキュリティ必要条件に従っているか否かを判定する
    際に使用される複数の暗号化ルーチンを含むファイアウ
    ォールセキュリティ装置。
  8. 【請求項8】 通信ポートを有するコンピュータと共に
    使用されるファイアウォールセキュリティ装置であっ
    て、 少なくとも1つのセキュリティレベルを定義する複数の
    ファイアウォールセキュリティルーチンを含むファイア
    ウォールセキュリティ アプリケーションプログラムを
    格納するメモリと、 ファイアウォールセキュリティ装置を上記コンピュータ
    の通信ポートに接続するコネクタと、 上記ファイアウォールセキュリティ アプリケーション
    プログラムを実行し、公衆ネットワークから上記コンピ
    ュータへ送信される複数のパケットが上記セキュリティ
    レベルに従っているか否かを判定するプロセッサとから
    なり、上記複数のパケットは、上記コンピュータによる
    いずれかの後続処理に先立って上記ファイアウォールセ
    キュリティ装置を介して送信されるファイアウォールセ
    キュリティ装置。
  9. 【請求項9】 請求項8記載のファイアウォールセキュ
    リティ装置において、さらに、前記複数のパケットを格
    納し、前記コンピュータによる後続処理から、前記セキ
    ュリティレベルに従っていないと前記コンピュータで判
    定された前記複数のパケットのうちの特定のパケットを
    遮断するバッファを含むファイアウォールセキュリティ
    装置。
  10. 【請求項10】 請求項8記載のファイアウォールセキ
    ュリティ装置において、前記通信ポートはパラレル通信
    ポートであるファイアウォールセキュリティ装置。
  11. 【請求項11】 請求項9記載のファイアウォールセキ
    ュリティ装置において、前記セキュリティレベルは、前
    記コンピュータが接続される構内ネットワーク形態の機
    能として決定されるファイアウォールセキュリティ装
    置。
  12. 【請求項12】 クライアントベースのファイアウォー
    ルを提供するドングルであって、 少なくとも1つのセキュリティレベルを定義する複数の
    ファイアウォールセキュリティルーチンを格納するメモ
    リと、 上記ドングルをクライアントコンピュータに接続するコ
    ネクタと、 少なくとも1つのファイアウォールセキュリティルーチ
    ンを上記ドングルを介して送信される複数のパケットに
    適用し、上記複数のパケットのうちの特定のパケット
    が、上記少なくとも1つのセキュリティレベルに従って
    いるか否かを判定するプロセッサとからなるドングル。
  13. 【請求項13】 請求項12記載のドングルにおいて、
    前記少なくとも1つのセキュリティレベルに従っている
    と判定された、前記複数のパケットのうちの特定のパケ
    ットは、後続処理のために前記クライアントコンピュー
    タへ送信されるドングル。
  14. 【請求項14】 請求項13記載のドングルにおいて、
    前記複数のパケットは、前記クライアントコンピュータ
    による受信に基づいて前記ドングルに送信されるドング
    ル。
  15. 【請求項15】 少なくとも1つの通信ポートを有する
    コンピュータと、 上記少なくとも1つの通信ポートに接続されたファイア
    ウォールセキュリティドングルとからなり、上記ファイ
    アウォールセキュリティ ドングルは、 少なくとも1つのセキュリティレベルを定義する複数の
    ファイアウォールセキュリティルーチンを格納するメモ
    リと、 上記ファイアウォールセキュリティ ドングルを介して
    送信されるデータ通信ストリームに上記少なくとも1つ
    のファイアウォールセキュリティルーチンを適用し、上
    記データ通信ストリームが、上記セキュリティレベルに
    従っているか否かを判定するプロセッサとを含むクライ
    アントベースのファイアウォールシステム。
  16. 【請求項16】 請求項15記載のクライアントベース
    のファイアウォールシステムにおいて、前記データ通信
    ストリームは、複数のTCP/IPパケットを含むクラ
    イアントベースのファイアウォールシステム。
  17. 【請求項17】 請求項15記載のクライアントベース
    のファイアウォールシステムにおいて、前記ファイアウ
    ォールセキュリティ ドングルは、前記セキュリティレ
    ベルに従っていない、前記パケットのうちの特定のパケ
    ットを遮断するクライアントベースのファイアウォール
    システム。
  18. 【請求項18】 請求項16記載のクライアントベース
    のファイアウォールシステムにおいて、前記セキュリテ
    ィレベルは、前記コンピュータが接続される構内ネット
    ワーク形態の機能として決定されるクライアントベース
    のファイアウォールシステム。
  19. 【請求項19】 クライアントベースのファイアウォー
    ルを提供する方法であって、 複数のネットワークセキュリティルーチンを含み、構内
    ネットワーク内の複数のクライアントコンピュータのう
    ちの特定のクライアントコンピュータの通信ポートに接
    続されているファイアウォールセキュリティ ドングル
    において、通信ストリームの送信を受信するステップ
    と、 上記通信ストリームに少なくとも1つのネットワークセ
    キュリティルーチンを適用するステップと、 上記通信ストリームが、上記少なくとも1つのネットワ
    ークセキュリティルーチンで定義されるセキュリティレ
    ベルに従っているか否かを判定するステップとからなる
    方法。
  20. 【請求項20】 請求項19記載の方法において、さら
    に、前記通信ストリームが、前記セキュリティレベルに
    従っている場合は、前記ファイアウォールセキュリティ
    ドングルから前記クライアントコンピュータへの前記
    通信ストリームの送信を継続し、さもなければ、前記ク
    ライアントコンピュータによる後続処理から前記通信ス
    トリームの送信を遮断するステップを含む方法。
  21. 【請求項21】 請求項20記載の方法において、前記
    通信ストリームの送信の遮断は、さらに、セキュリティ
    警報を発生するステップを含む方法。
  22. 【請求項22】 請求項20記載の方法において、前記
    通信ストリームの送信は、公衆ネットワークから構内ネ
    ットワークへ送信される複数のパケットを含む方法。
  23. 【請求項23】 請求項22記載の方法において、前記
    セキュリティレベルは、前記構内ネットワークの形態の
    機能として決定される方法。
  24. 【請求項24】 コンピュータネットワークセキュリテ
    ィ方法であって、 構内ネットワーク内で相互接続されている複数のコンピ
    ュータのうちの少なくとも1つのコンピュータに、少な
    くとも1つのネットワークセキュリティレベルを定義す
    る少なくとも1組のセキュリティルーチンを含むセキュ
    リティ装置を接続するステップと、 少なくとも1つのコンピュータで受信される複数のパケ
    ットを、それに接続された上記セキュリティ装置を介し
    て送信するステップと、 上記セキュリティ装置を介して送信される上記複数のパ
    ケットが、上記ネットワークセキュリティレベルに従っ
    ているかどうかを判定するステップとからなる方法。
  25. 【請求項25】 請求項24記載の方法において、さら
    に、前記判定ステップが、前記複数のパケットのうちの
    どのパケットも前記ネットワークセキュリティレベルに
    従っていないことを見出した場合、前記コンピュータに
    よる前記複数のパケットのさらなる送信を遮断するステ
    ップを含む方法。
  26. 【請求項26】 請求項25記載の方法において、前記
    コンピュータで受信される前記複数のパケットは、前記
    公衆ネットワークからのものである方法。
  27. 【請求項27】 請求項26記載の方法において、前記
    公衆ネットワークからの前記複数のパケットは、前記公
    衆ネットワーク内の特定のリソースにアクセスするため
    に前記構内ネットワークからの要求の機能として送信さ
    れる方法。
  28. 【請求項28】 請求項26記載の方法において、さら
    に、中央ソースから前記1組のセキュリティルーチンを
    更新するステップを含む方法。
JP11079042A 1998-03-24 1999-03-24 ファイアウォ―ルセキュリティ方法および装置 Pending JPH11353258A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US09/047,207 USH1944H1 (en) 1998-03-24 1998-03-24 Firewall security method and apparatus
US09/047207 1998-03-24

Publications (1)

Publication Number Publication Date
JPH11353258A true JPH11353258A (ja) 1999-12-24

Family

ID=21947652

Family Applications (1)

Application Number Title Priority Date Filing Date
JP11079042A Pending JPH11353258A (ja) 1998-03-24 1999-03-24 ファイアウォ―ルセキュリティ方法および装置

Country Status (6)

Country Link
US (1) USH1944H1 (ja)
EP (1) EP0952715A2 (ja)
JP (1) JPH11353258A (ja)
KR (1) KR19990078198A (ja)
CA (1) CA2261553A1 (ja)
TW (1) TW414876B (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001245056A (ja) * 2000-01-12 2001-09-07 Lucent Technol Inc 通信方法及び通信システム
JP2006309504A (ja) * 2005-04-28 2006-11-09 Kwok-Yan Leung 拡充コネクタ
JP2006309501A (ja) * 2005-04-28 2006-11-09 Kwok-Yan Leung リモートコントロール装置
JP2009070338A (ja) * 2007-09-18 2009-04-02 Fuji Xerox Co Ltd 情報処理装置、情報処理システムおよび情報処理プログラム
JP2019096150A (ja) * 2017-11-24 2019-06-20 オムロン株式会社 セキュリティ監視装置

Families Citing this family (55)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6317837B1 (en) * 1998-09-01 2001-11-13 Applianceware, Llc Internal network node with dedicated firewall
US6763467B1 (en) * 1999-02-03 2004-07-13 Cybersoft, Inc. Network traffic intercepting method and system
US7117532B1 (en) * 1999-07-14 2006-10-03 Symantec Corporation System and method for generating fictitious content for a computer
US6981155B1 (en) * 1999-07-14 2005-12-27 Symantec Corporation System and method for computer security
US7461402B1 (en) * 1999-07-14 2008-12-02 Symantec Corporation System and method for preventing detection of a selected process running on a computer
US7203962B1 (en) * 1999-08-30 2007-04-10 Symantec Corporation System and method for using timestamps to detect attacks
US6971028B1 (en) * 1999-08-30 2005-11-29 Symantec Corporation System and method for tracking the source of a computer attack
DE19952527C2 (de) 1999-10-30 2002-01-17 Ibrixx Ag Fuer Etransaction Ma Verfahren und Transaktionsinterface zum gesicherten Datenaustausch zwischen unterscheidbaren Netzen
US20020108059A1 (en) * 2000-03-03 2002-08-08 Canion Rodney S. Network security accelerator
US20020010800A1 (en) * 2000-05-18 2002-01-24 Riley Richard T. Network access control system and method
CA2310538A1 (en) * 2000-06-09 2001-12-09 Christopher Kirchmann Data line interrupter switch
US7127738B1 (en) * 2000-10-18 2006-10-24 Nortel Networks Limited Local firewall apparatus and method
US7117527B1 (en) * 2000-12-29 2006-10-03 Cisco Technology, Inc. Device, system, and method for capturing email borne viruses
US20020116644A1 (en) * 2001-01-30 2002-08-22 Galea Secured Networks Inc. Adapter card for wirespeed security treatment of communications traffic
FR2825489B1 (fr) * 2001-06-05 2003-09-05 Marguerite Paolucci Procede d'authentification individuelle securisee de connexion a un serveur internet/intranet par acces distant furtif
US20030014659A1 (en) * 2001-07-16 2003-01-16 Koninklijke Philips Electronics N.V. Personalized filter for Web browsing
EP1417820B1 (de) * 2001-08-07 2017-02-08 PHOENIX CONTACT Cyber Security AG Verfahren und computersystem zur sicherung der kommunikation in netzwerken
US7134140B2 (en) * 2001-09-27 2006-11-07 Mcafee, Inc. Token-based authentication for network connection
US7360242B2 (en) 2001-11-19 2008-04-15 Stonesoft Corporation Personal firewall with location detection
US7325248B2 (en) 2001-11-19 2008-01-29 Stonesoft Corporation Personal firewall with location dependent functionality
US8185943B1 (en) * 2001-12-20 2012-05-22 Mcafee, Inc. Network adapter firewall system and method
US7761605B1 (en) 2001-12-20 2010-07-20 Mcafee, Inc. Embedded anti-virus scanner for a network adapter
US6944772B2 (en) * 2001-12-26 2005-09-13 D'mitri Dozortsev System and method of enforcing executable code identity verification over the network
US7644436B2 (en) * 2002-01-24 2010-01-05 Arxceo Corporation Intelligent firewall
US20040103290A1 (en) * 2002-11-22 2004-05-27 Mankins David P. System and method for controlling the right to use an item
US20040133772A1 (en) * 2003-01-07 2004-07-08 Battelle Memorial Institute Firewall apparatus and method for voice over internet protocol
US7548848B1 (en) 2003-01-08 2009-06-16 Xambala, Inc. Method and apparatus for semantic processing engine
TWI220947B (en) * 2003-01-10 2004-09-11 Acer Inc Protection system and method used to be coupled with plug and play device over customer end
MY141160A (en) * 2003-01-13 2010-03-31 Multimedia Glory Sdn Bhd System and method of preventing the transmission of known and unknown electronic content to and from servers or workstations connected to a common network
US20040162992A1 (en) * 2003-02-19 2004-08-19 Sami Vikash Krishna Internet privacy protection device
US7797752B1 (en) 2003-12-17 2010-09-14 Vimal Vaidya Method and apparatus to secure a computing environment
US8613091B1 (en) * 2004-03-08 2013-12-17 Redcannon Security, Inc. Method and apparatus for creating a secure anywhere system
JP2006013747A (ja) * 2004-06-24 2006-01-12 Murata Mach Ltd 電子メールサーバ装置および電子メールネットワークシステム
KR100640561B1 (ko) * 2004-08-02 2006-10-31 삼성전자주식회사 근거리 무선 통신 시스템, 근거리 무선 통신 방법 및 이를수행하는 기록매체
US7950044B2 (en) * 2004-09-28 2011-05-24 Rockwell Automation Technologies, Inc. Centrally managed proxy-based security for legacy automation systems
US7734799B1 (en) * 2004-11-15 2010-06-08 LogMeln, Inc. Method and system for performing a server-assisted file transfer
US20060282539A1 (en) * 2005-06-14 2006-12-14 Cisco Technology, Inc. (A California Corporation) Method and apparatus for conveying data through an ethernet port
US8170020B2 (en) 2005-12-08 2012-05-01 Microsoft Corporation Leveraging active firewalls for network intrusion detection and retardation of attack
US8381297B2 (en) 2005-12-13 2013-02-19 Yoggie Security Systems Ltd. System and method for providing network security to mobile devices
US8869270B2 (en) * 2008-03-26 2014-10-21 Cupp Computing As System and method for implementing content and network security inside a chip
US20080276302A1 (en) * 2005-12-13 2008-11-06 Yoggie Security Systems Ltd. System and Method for Providing Data and Device Security Between External and Host Devices
US20070266421A1 (en) * 2006-05-12 2007-11-15 Redcannon, Inc. System, method and computer program product for centrally managing policies assignable to a plurality of portable end-point security devices over a network
US20080134300A1 (en) 2006-07-08 2008-06-05 David Izatt Method for Improving Security of Computer Networks
US20080071770A1 (en) * 2006-09-18 2008-03-20 Nokia Corporation Method, Apparatus and Computer Program Product for Viewing a Virtual Database Using Portable Devices
US20080098478A1 (en) * 2006-10-20 2008-04-24 Redcannon, Inc. System, Method and Computer Program Product for Administering Trust Dependent Functional Control over a Portable Endpoint Security Device
US7992206B1 (en) * 2006-12-14 2011-08-02 Trend Micro Incorporated Pre-scanner for inspecting network traffic for computer viruses
US8365272B2 (en) * 2007-05-30 2013-01-29 Yoggie Security Systems Ltd. System and method for providing network and computer firewall protection with dynamic address isolation to a device
US8631488B2 (en) 2008-08-04 2014-01-14 Cupp Computing As Systems and methods for providing security services during power management mode
WO2010059864A1 (en) 2008-11-19 2010-05-27 Yoggie Security Systems Ltd. Systems and methods for providing real time access monitoring of a removable media device
US20130275282A1 (en) * 2012-04-17 2013-10-17 Microsoft Corporation Anonymous billing
EP2907043B1 (en) 2012-10-09 2018-09-12 Cupp Computing As Transaction security systems and methods
WO2015006375A1 (en) 2013-07-08 2015-01-15 Cupp Computing As Systems and methods for providing digital content marketplace security
US9762614B2 (en) 2014-02-13 2017-09-12 Cupp Computing As Systems and methods for providing network security using a secure digital device
US10243971B2 (en) * 2016-03-25 2019-03-26 Arbor Networks, Inc. System and method for retrospective network traffic analysis
US10944820B2 (en) 2018-11-07 2021-03-09 Phacil, Llc System and method for secure deployment and information mobility

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4609777A (en) 1984-02-22 1986-09-02 Gordian Systems, Inc. Solid state key for controlling access to computer software
US4685055A (en) 1985-07-01 1987-08-04 Thomas Richard B Method and system for controlling use of protected software
US4771462A (en) * 1987-02-18 1988-09-13 Hannan Forrest A Communication port encryption/decryption method and apparatus
US5081675A (en) 1989-11-13 1992-01-14 Kitti Kittirutsunetorn System for protection of software in memory against unauthorized use
JPH07507412A (ja) 1992-11-12 1995-08-10 ニュー・メディア・コーポレーション コンピュータと周辺装置との間の再構成可能インターフェイス
US5386369A (en) 1993-07-12 1995-01-31 Globetrotter Software Inc. License metering system for software applications
US5666411A (en) 1994-01-13 1997-09-09 Mccarty; Johnnie C. System for computer software protection
US5473692A (en) 1994-09-07 1995-12-05 Intel Corporation Roving software license for a hardware agent
US5668419A (en) 1995-06-30 1997-09-16 Canon Information Systems, Inc. Reconfigurable connector
US5706426A (en) 1996-02-07 1998-01-06 United Microelectronics Corporation Software protection method and apparatus
US5987611A (en) * 1996-12-31 1999-11-16 Zone Labs, Inc. System and methodology for managing internet access on a per application basis for client computers connected to the internet

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001245056A (ja) * 2000-01-12 2001-09-07 Lucent Technol Inc 通信方法及び通信システム
JP2006309504A (ja) * 2005-04-28 2006-11-09 Kwok-Yan Leung 拡充コネクタ
JP2006309501A (ja) * 2005-04-28 2006-11-09 Kwok-Yan Leung リモートコントロール装置
JP2009070338A (ja) * 2007-09-18 2009-04-02 Fuji Xerox Co Ltd 情報処理装置、情報処理システムおよび情報処理プログラム
JP4502141B2 (ja) * 2007-09-18 2010-07-14 富士ゼロックス株式会社 情報処理装置、情報処理システムおよび情報処理プログラム
US8479277B2 (en) 2007-09-18 2013-07-02 Fuji Xerox Co., Ltd. Information processing apparatus, information processing system, and computer readable medium
JP2019096150A (ja) * 2017-11-24 2019-06-20 オムロン株式会社 セキュリティ監視装置
US11397806B2 (en) 2017-11-24 2022-07-26 Omron Corporation Security monitoring device

Also Published As

Publication number Publication date
KR19990078198A (ko) 1999-10-25
USH1944H1 (en) 2001-02-06
EP0952715A2 (en) 1999-10-27
TW414876B (en) 2000-12-11
CA2261553A1 (en) 1999-09-24

Similar Documents

Publication Publication Date Title
JPH11353258A (ja) ファイアウォ―ルセキュリティ方法および装置
JP3009737B2 (ja) 相互接続コンピュータネットワークの機密保護装置
US6205551B1 (en) Computer security using virus probing
US7316028B2 (en) Method and system for transmitting information across a firewall
US7428590B2 (en) Systems and methods for reflecting messages associated with a target protocol within a network
US7360244B2 (en) Method for authenticating a user access request
US9167000B2 (en) Dynamic threat event management system and method
US6981143B2 (en) System and method for providing connection orientation based access authentication
US7707401B2 (en) Systems and methods for a protocol gateway
US20010044820A1 (en) Method and system for website content integrity assurance
US20130074154A1 (en) Public network access server having a user-configurable firewall
KR20050120875A (ko) 서버 보안 솔루션과 네트워크 보안 솔루션을 이용한시스템 보안 방법 및 이를 구현하는 보안시스템
Reinhardt An architectural overview of UNIX network security
Labuschagne et al. The use of real-time risk analysis to enable dynamic activation of countermeasures
Hutchins et al. Enhanced Internet firewall design using stateful filters final report
Atkins Design and implementation of a hardened distributed network endpoint security system for improving the security of internet protocol-based networks
Deverick A Framework for Active Firewalls
Frommer et al. On Firewalls and Tunneling
Fan A survey of the Internet security and firewalls and strengthening the security on the CS Internetwork at the University of Nevada, Reno
MXPA96002964A (en) Security system for interconnected computer networks
Richards System Insecurity-Firewalls