JPH11508753A - インターネット・プロトコル・フィルタ - Google Patents
インターネット・プロトコル・フィルタInfo
- Publication number
- JPH11508753A JPH11508753A JP9537534A JP53753497A JPH11508753A JP H11508753 A JPH11508753 A JP H11508753A JP 9537534 A JP9537534 A JP 9537534A JP 53753497 A JP53753497 A JP 53753497A JP H11508753 A JPH11508753 A JP H11508753A
- Authority
- JP
- Japan
- Prior art keywords
- network
- packet
- node
- address
- destination
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4604—LAN interconnection over a backbone network, e.g. Internet, Frame Relay
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2514—Translation of Internet protocol [IP] addresses between local and global IP addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2517—Translation of Internet protocol [IP] addresses using port numbers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
Abstract
(57)【要約】
本発明のIPフィルタ(12)は、公衆ネットワーク(14)またはインターネット(16)アクセスをプライベート・ネットワーク(10)のノードに提供するために設計された通信デバイスである。ネットワーク上のプライベート・ノードを公衆インターネット・アドレスに登録する必要性がない利点がある。IPフィルタはインターネットに単一のIPアドレスを与え、複数のIPポートを使ってIPアドレス管理の問題を解決している。これはプライベート側のIPセッションをIPフィルタの公衆アドレスの単一ポートに割り当てることによってセッションを始める。IPフィルタはプライベート・ネットワーク向けのソース・ポート番号と、公衆ネットワーク向けの宛先ポート番号間の翻訳を行う。IPフィルタの利点はプライベート・ノード・セキュリティ、インターネットに登録されたアドレス管理にある。
Description
【発明の詳細な説明】発明の名称
インターネット・プロトコル・フィルタ発明の分野
本発明は一般的に、インターネット・ファイアウォールに関する。特に、プラ
イベート・インターネット・プロトコル(IP)ネットワーク・ドメインを公衆
インターネット上の単一IPアドレスにマッピングするインターネット・プロト
コル・フィルタに関する。背景技術
ファイアウォールは、一般的に、プライベート・ネットワークのドメイン内の
ノードをインターネットのような公衆ネットワーク内のノードに結びつける機能
を有するコンピュータサーバとして知られ、特徴づけられる。公知のファイアウ
ォール製品の欠点として、セッションの同時発生または公衆ノードとプライベー
ト・ノード間の相互作用に対して、独自の公衆IPアドレスが必要になることが
知られている。このため、公衆IPアドレスを管理するファイアウォールが望ま
れていた。発明の概要
本発明の目的は、2つのネットワーク間の通信を結合する新しい改良された装
置を提供することにある。
本発明の第1の側面によると、本発明は、公衆ネットワーク内で知られたアド
レスを有するフィルタ・ノードを介してプライベート・データ通信ネットワーク
と公衆データ通信ネットワークをインタフェースする方法において:プライベー
ト・ネットワーク内のノードからフィルタ・ノードへ宛先情報とソース情報を含
んだデータ・パケットをルーティングし、この宛先情報は、公衆ネットワーク内
のノードに対応する宛先アドレスと宛先ポートを含み、そのソース情報は、各プ
ライベート・ネットワーク・ノードのソース・アドレスとソース・ポート含み、
フィルタ・ノードでプライベート・ネットワークから受信された各データ・パケ
ットは、フィルタ・ノードのポートを表わす単一の値と相関関係のあるデータ・
パケットから抽出されたソース情報を含み、データ・パケット内でソース・アド
レスをフィルタ・ノード・アドレスに置き換え、ソース・ポートをフィルタ・ノ
ード・ポート値に置き換え、公衆ネットワーク内で、各宛先情報に従って、置き
換えられたソース情報を含むデータ・パケットをフィルタ・ノードから対応の公
衆ネットワーク・ノードにルーティングするように構成される。
本発明の第2の側面によれば、本発明は、プライベート・データ通信ネットワ
ークと公衆データ通信ネットフークをフィルタ・ノードを介してインタフェース
する方法において:(a)フィルタ・ノードで、公衆ネットワーク内のノードに
対応した宛先アドレスと、プライベート・ネットワーク内のノードに対応したソ
ース・アドレスを有するデータ・パケットをプライベート・ネットワークから受
信し、(b)フィルタ・ノードで、データ・パケットから抽出したソース・アド
レスを維持し、(c)データ・パケット内で、ソース・アドレスをフィルタ・ノ
ードのアドレスと置き換え、(d)公衆ネットワーク内で、宛先アドレスに従っ
て、置き換えられたソース・アドレスを有するデータ・パケットをフィルタ・ノ
ードから対応する公衆ネットワーク・ノードにルーティングし、(e)置き換え
られたソース情報を有するデータ・パケットに応答して公衆ネットワークからの
戻りパケットを待ち、(f)戻りパケット内で、宛先アドレスを維持されたソー
ス・アドレスと置き換え、(g)プライベート・ネットワーク内で、置き換えら
れた宛先アドレスを有する戻りパケットをフィルタ・ノードから対応するプライ
ベート・ネットワーク・ノードへルーティングするように構成される。
本発明の第3の側面によれば、本発明は、第1のデータ通信ネットワークおよ
び第2のデータ通信ネットワークをインタフェースするフィルタ・ノードを動作
させる方法において:宛先情報とソース情報を有するデータパケットを第1のネ
ットワークから受信し、その宛先情報は、第2のネットワーク内のノードに対応
する宛先アドレスと宛先ポートを有し、そのソース情報は、第1のネットワーク
内のノードに対応するソース・アドレスとソース・ポートを有し、フィルタ・ノ
ードのポートを表わす唯一の値と相関関係のあるデータ・パケットから抽出され
たソース情報を維持し、データ・パケット内で、ソース・アドレスをフィルタ・
ノードのアドレスに置き換え、ソース・ポートをフィルタ・ノード・ポート値と
置き換え、置き換えられたソース情報を有するデータ・パケットを第2のネット
ワークに送り、それによってそのパケットは宛先情報に従って対応する第2のネ
ットワーク・ノードにルーティングされるように構成される。
本発明の第4の側面によれば、本発明は、第1と第2のデータ通信をインタフ
ェースするフィルタ・ノードを提供する。このフィルタ・ノードは、フィルタ・
ノードのアドレスを有するデータ・パケットを宛先アドレスとして第2のネット
ワークから受信する手段と、データ・パケット内の宛先情報の宛先ポートを、保
持されている特定のソース情報に相関させる手段と、データ・パケット内で、宛
先情報を特定のソース情報と置き換える手段と、置き換えられた宛先情報を有す
るデータ・パケットを第1のネットワークに送り、それによってそのパケットを
宛先情報に従って対応の第1のネットワーク・ノードにルーティングする手段と
を備えるように構成される。
本発明で実現されるIPフィルタは、公衆ネットワークやインターネット・ア
クセスをプライベート・ネットワークのノードに供給するために設計された通信
デバイスである。IPフィルタは、ネットワーク上でプライベート・ノードを必
要とせず、公衆インターネット・アドレスに登録できることを利点とする。IP
フィルタはインターネットに単一IPアドレスを与え、複数のIPポートを使っ
てIPアドレス管理の問題を解決する。IPフィルタはプライベート側のIPセ
ッションをIPフィルタの公衆アドレスの単一ポートに割り当てることによって
セッションを開始する。これによって最大で64,512(65,536-1,024 ポート)の
同時セッションが単一IPアドレスでサポートされる。IPフィルタはプライベ
ート・ネットワーク用のソース・ポート番号と、公衆ネットワーク用の宛先ポー
ト番号間で通信を行うための翻訳を行う。IPフィルタはプライベート・ノード
のセキュリティ、インターネットに登録されたアドレス管理などに利点がある。
特定の実施の形態として、IPフィルタはインターネット・プロトコル上で3
つのデータ伝送プロトコルをサポートできる。送信コントロールプロトコル(T
CP)、ユーザ・データグラム・プロトコル(UDP)、およびインターネット
制御メッセージ・プロトコル(ICMP)の3つである。他のプロトコルのパケ
ットは無視される。
TCPプロトコルはTCPヘッダをデータ・パケットに付加する。ソース・ポ
ートと宛先ポートの番号はこのヘッダ内に含まれる。ソース・ノードと宛先ノー
ドのインターネット・アドレスはIPヘッダ内に含まれる。各パケットから抽出
されたIPアドレスとポート情報を使って、IPフィルタはこのパケットをどこ
にルーティングするかを決定する。
IPフィルタは各TCP接続上で情報のルックアップ・テーブルを保持する。
この情報にはプライベート・ノードからのポート、プライベートIPアドレス、
宛先ノードの割り当てポート番号、IPフィルタのポート番号をインデックスの
形で含んでいる。パケットをプライベート・ネットワークから受け取ると、この
パケットに対応するエントリがテーブル中に見つからず、TCPヘッダが「これ
は新しい接続リクエストである」ことを示した場合、プライベート・アドレスと
ボート番号は新しいエントリとしてテーブルに追加される。その後、パケット・
ヘッダ内のソース・アドレスとポート番号はIPフィルタのIPアドレスとポー
ト番号に置き換えられ、パケットはインターネットに送信される。
IPフィルタは、インターネットからパケットを受け取ると、宛先ポート番号
を使ってルックアップ・テーブルにインデックスを付ける。対応のテーブル・エ
ントリが見つかると、宛先アドレスとポート番号はプライベート・ネットワーク
のIPアドレスとポート番号に置き換えられ、パケットはプライベート・ネット
ワークに送信される。受け取ったパケットのソース・ポートがテーブルに記録さ
れたポートと異なる場合、またパケット・ヘッダ情報が「このパケットは接続上
で最初の応答である」ことを示した場合、ルックアップ・テーブルは必要に応じ
てインターネット・ノードによって割り当てられたポート番号で更新される。
IPフィルタがパケット内で送信コードの終わりを検出すると、ルックアップ
・テーブル・エントリは0にリセットされる。IPフィルタがIPフィルタ・ポ
ートに対応するルックアップ・テーブルの中にエントリを持たないインターネッ
トからパケットを受け取ると、IPフィルタはそのパケットを無視する。
UDPプロトコルはTCPとは逆に、接続レス、または接続指向プロトコルで
ある。UDPヘッダは初期接続または送信終了を制御するコードを含まない。U
DPヘッダ内で関係のあるデータはソース・ポートと宛先ポートである。この情
報はIPヘッダに含まれたインターネット情報を共に使用され、IPフィルタが
どこにパケットをルーティングするかを決める。
IPフィルタは各UDPセッション上で情報のルックアップ・テーブルを保持
する。IPフィルタがプライベート・ネットワークからUDPパケットを受け取
ると、IPフィルタはソース・アドレス、ソース・ポート番号、宛先ポート番号
、および割り当てられたIPフィルタ・ポート番号をテーブルのインデックスと
して記録する。次にパケット・ヘッダ内のプライベート・ノード・アドレスとポ
ート番号は、IPフィルタのアドレスと割り当てポート番号に置き換えられる。
その後、パケットはインターネットに送信される。
IPフィルタがインターネットからUDPパケットを受け取ると、IPフィル
タはUDPルックアップ・テーブルにインデックスをつけ、パケットの宛先情報
つまりIPフィルタ・アドレスと割り当てポート番号を、ルックアップ・テーブ
ルからのプライベート・アドレスとポート番号に置き換える。ルックアップ・テ
ーブルは、また、標準UDPの実行によって受け取ったデータグラム・パケット
上の経過タイマの期間表示を保持する。IPフィルタがIPフィルタ・ポートに
対応するルックアップ・テーブルの中でエントリを持たないインターネットから
のパケットを受け取ると、フィルタはそのパケットを無視する。
ICMPパケットはソース・ポート番号も宛先ポート番号も持っていないので
、プライベート・ネットワークから受け取ったICMPパケットは1度に1つだ
け、追加ICMPパケットのバッファリングで処理される。IPフィルタはパケ
ット・ヘッダからプライベート・アドレスを読み、それをIPフィルタのアドレ
スと置き換える。パケットはインターネットに送信され、IPフィルタは応答を
待つ。IPフィルタが応答パケットを受け取ると、パケット・ヘッダ内の宛先ア
ドレスはIPフィルタの宛先アドレスからプライベート・ネットワーク上のノー
ドの宛先アドレスに変わる。次にIPフィルタはこのパケットをプライベート・
ネットワークに送信する。
IPプロトコル上でパケットを問題なく送信するためには、各ノードは他のホ
ストのIPアドレスとイーサネットベースのデータ通信ネットワーク内のそれに
対応するイーサネット・アドレスのテーブルを保持していなければならない。ノ
ードは実際にはIPアドレスとイーサネット・アドレスを使ってパケットをアド
レスする。この2つのアドレスの関係はダイナミックであり、すなわち、IPア
ドレスを有するノードはイーサネット・アドレスを変えることができる。アドレ
ス・テーブル内の情報は、ARPパケットのノードの放送に対する応答から得ら
れる。ソース・ノードはARPパケットを放送し、宛先ノードのIPが与えられ
ると、宛先ノードのイーサネット・アドレスをリクエストする。宛先ノードがパ
ケットを受け取ると、その宛先ノードはリクエストされた情報を有する応答パケ
ットを送る。
IPフィルタは、真のARPテーブルを保持していないが、TCPとUDPの
パケット通過と同じ方法で、ARPパケットを送る。IPフィルタが公衆ネット
ワークの宛先を有するプライベート・ネットワーク上のノードからARPパケッ
トを受け取ると、ソース・アドレス情報をフィルタのアドレス情報に置き換える
。プライベート・ノードのIPアドレスとターゲットIPアドレスはルックアッ
プ・テーブルの中に入れられる。ターゲット・ノードがそれ自身のイーサネット
・アドレスで応答すると、宛先アドレス情報はIPフィルタの情報からプライベ
ート・ノードの情報に変わり、その後パケットがプライベート・ノードに送信さ
れる。プライベート・ノード・アドレス情報はテーブルから得られる。ARPパ
ケットがファイアウォールに向けられていると、ARPパケットはIPフィルタ
を通らず、フィルタと相手のネットワークの間で通信が遮断される。
IPフィルタによって生じるイベントやエラーはログとして登録され、たとえ
ば、テキスト・ファイルの中に記録される。
理想的には、IPフィルタはネットワークからパケットを受け取ってすぐに処
理するのが望ましいが、ネットワーク通信が過負荷の場合、IPフィルタはパケ
ットをプライベート・ネットワーク用とインターネット用の2つの待ち行列の中
にバッファリングする。
2つのソース・ルックアップ・テーブルと宛先ルックアップ・テーブルを、前
者はTCPパケット用、後者はUDPパケット用に使用してもよい。各テーブル
は、通信セッションに割り当てられたIPフィルタ・ポート番号によって直接イ
ンデックスされる。テーブルのエントリはプライベート・ノードのIPアドレス
、プライベート・ノードのソース・ポート、およびインターネット・ノードの宛
先ポートを含む。特定のIPフィルタ・ポートに接続がない場合、テーブル中の
対応のエントリは0にリセットされる。プライベート・ネットワークとインター
ネットの両方から到着したパケットは同じルックアップ・テーブルを使って処理
される。この構成では、使用可能なIPフィルタ通信ポートの中でパケットのい
くつかの宛先がUDPに、いくつかの宛先がTCPに指定されていると仮定して
いる。図面の簡単な説明
本発明は、添付の図面および次の説明から理解される。
図1はプライベート・ネットワークと公衆ネットワークを結合する1つのイン
ターネット・プロトコルフィルタを表す概略図である。
図2はフィルタ内部のコンポーネントを表わすブロック図である。発明の実施の形態
図1は、インターネット・プロトコル(IP)フィルタ12を通じて公衆ネッ
トワーク14に接続されるプライベート・ネットワーク10を示す図である。こ
の公衆ネットワーク14はインターネット16とも呼ばれるグローバル・データ
・ネットワークの一部を形成する。プライベート・ネットワーク10は、ローカ
ルエリア・ネットワーク(LAN)のような既存のデータ通信ネットワークを表
し、プライベート・ネットワークのドメイン内で単一のIPアドレスによって識
別される複数のノード18を有する。公衆ネットワーク14とインターネット1
6は公衆ドメインデータ通信ネットワークを表し、それぞれ対応するIPアドレ
スを有する複数のノード20を有する。
IPフィルタ12はゲートウェイとして機能し、そこを通してデータ・パケッ
トがプライベート・ネットワーク10と公衆ネットワーク14間で交換され、そ
れによってプライベート・ネットワーク10のノード18にインターネット・ア
クセスを行う。IPフィルタ12はプライベート・ネットワーク・ノード18の
1つを構成し、インターネットに登録された公衆IPアドレスを有する唯一のノ
ードである。これによってIPフィルタ12は本質的に公衆ノード20の1つを
も構成し、そのIPアドレスは公衆ドメイン内で知られる。他のプライベート・
ネットワーク・ノード18のIPアドレスはプライベート・ネットワーク10に
対して保存され、公衆インターネット・アドレス・ドメイン内では知られず、登
録もされない。従来と同様、IPフィルタ12の関連IPアドレスは複数のIP
ポートであり、全部で65,536あり、そのうち特に64,512は既定のプロトコル用に
保存されず、アドレスの翻訳のために使うことができる。
プライベート・ネットワーク10上のノード18間の通信は、IPフィルタ1
2の存在によって影響を受けることはないが、公衆ネットワーク14、特にその
中のノード20にアクセスするために、プライベート・ノード18はすべての通
信リクエストを、IPフィルタ12を通してルーティングする。IPフィルタ1
2は、プライベート・ノード18とインターネット・ノード20間の通信を、プ
ライベート・ネットワーク10から受け取ったデータ・パケットのヘッダ情報を
修正することによって管理し、その後各通信を公衆ネットワーク14に送信する
。この修正によりプライベート・ノード18と公衆インターネット・ノード20
間の通信は、実際にはIPフィルタ12とインターネット・ノード20間の通信
になり、すべての戻り通信をIPフィルタ12にルーティングし、次に、戻りデ
ータ・パケットをプライベート・ノード18にルーティングする。
IPフィルタ12は、公衆ネットワーク14からは接続リクエストを受け取ら
ない。プライベート・ノード18と公衆ノード20間の通信はすべて、プライベ
ート・ノード18によって始められる。IPフィルタ12はインターネット・プ
ロトコル上でTCP、UDPおよびICMPメッセージの3つのデータ伝送プロ
トコルをサポートするように設計されており、他のプロトコルのパケットは拒否
されるか無視される。
翻訳テーブルはIPフィルタ12によって保持され、プライベート・ネットワ
ーク10から受信した公衆ネットワーク14向けのパケットに対するアドレスと
ポートをマッピングする。翻訳テーブルは各エントリに対して以下の項目を含む
。
プライベートIPアドレス (pIP)
プライベートポート (pPort)
インターネット(公衆)IPアドレス (iIP)
インターネット(公衆)ポート (iPort)
タイマ
セッションのタイプ/状態
イーサネット・アドレス
基本的な翻訳は、プライベート・ネットワーク側からのIPアドレスとポート
をIPフィルタのIPアドレスとポートに置き換え、これによってプライベート
・ネットワーク10上のすべてのノードを公衆ネットワーク14から隠す。
プライベート・ネットワーク側からのパケットは、ソースと宛先(pIP、p
Port − iIP、iPort)を指定する。
これは「ソケット」を定義し、その中で接続の両端(ソースと宛先)はIPヘ
ッダ内のIPアドレスとTCPまたはUDPヘッダ内のポートによって定義され
る。
IPフィルタ12は上記を(frIP、frPort − iIP、iPor
t)のように翻訳する。
ここでfrIPは公衆ネットワーク14上のIPフィルタ12のIPアドレス
であり、frPortは翻訳テーブル+オフセット値へのインデックスである。
このオフセット値は、たとえば、1024であり、よく知られたポートを使ってスキ
ップする。frPortは任意のポートを表わす。
インターネット・ノード20は次のパケットで返答する。
(iIP、iPort − frIP、frPort)
これをIPフィルタ12が受け取り、次のように翻訳する。
(iIP、iPort − pIP、pPort)
一般的にプライベート側から翻訳するには、(プロトコルタイプ、pIP、p
Port、iIP、iPort)の値は翻訳テーブルの中になければならない。
これはハッシュ・テーブルを参照して行う必要がある。
公衆側からの翻訳は、直接テーブルを表をして行うことができる。frPor
t−1024はテーブルへのインデックスであるからである。パケット内の(i
IP、iPort)がテーブル中の対応するエントリにマッチしていない場合、
承認されていないアクセスは登録され、パケットは捨てられる。
翻訳パケット内でポートがTCPまたはUDPヘッダ内で置き換えられると、
TCP/UCPとIPヘッダ内のチェックサムを再計算しなければならない。I
PアドレスがIPヘッダの中で置き換えられると、IPヘッダチェックサムを再
計算しなければならない。
以下はIPフィルタ12がサポートする異なるプロトコルについて、特に注意
すべき点である。
TCPの場合、SYNパケットをプライベート・ネットワーク10から受け取
ると、IPフィルタ12は使われていないエントリをテーブル中に入れ、その中
を埋め、タイプをTCPに、状態をSYNに設定する。その後パケットは上記の
一般的な構成によって送られる。テーブル中に空のエントリがないとパケットは
捨てられ、イベントが登録される。
SYNパケットを公衆ネットワーク14インタフェースから受け取ると、それ
は、認可されないものとして扱われ、登録される(但し、以下のようなFTPの
特別のケースは除く)。しかし、翻訳テーブル・エントリの状態がSYNの場合
にはSYN+ACKパケットが送られる。このようなパケットを送った後、状態
はOPENに設定される。
IPフィルタがFINパケットを受け取り、翻訳テーブル内の状態がFINで
なかった場合、その状態はFINに設定され、そのパケットは送られる。状態が
FINの場合、パケットは送られ翻訳テーブル・エントリは0に設定することに
よって削除される。FINはそれぞれの側に送られ、TCP接続は終了する。R
STパケットを受け取ると、翻訳テーブル・エントリは削除される。
UDPプロトコルに関し、いずれかのUDPパケットをプライベート・ネット
ワーク10側から受け取ると、IPフィルタ12は、まず標準的な参照を試みる
。翻訳テーブル・エントリが見つからない場合には、使われないエントリが設定
され、状態はOPENに設定される。空のエントリがブランク中に見つからない
場合には、パケットを捨てる代わりにテーブル中のランダムUDPが上書きされ
る。UDPは非接続で信頼できない送信であるので、エントリの上書きが必要で
あったパケットを公衆ネットワーク14から受け取ると、そのパケットは捨てら
れ、プライベート側上のノード18は再度試みを行う。
FTPに関し、FTPクライアントは、ポート21などの特定のポート上のF
TPサーバとTCP「制御」接続を確立する。しかしながら、データを送信する
必要がある場合、FTPサーバは、たとえば、デフォルトでは20になっている
「データ」ポートからのTCP接続を、クライアントが指定した宛先ポートにオ
ープンにする。
これをサポートするために、プライベート・ネットワーク10からポート20
に送られたパケットは、IPフィルタ12でFTP「ポート」コマンドに対して
分析される必要がある。検出された場合、テーブル中の新しいエントリを、pP
ortを用いて、FTPポート・コマンド内の値に設定しなければならない。F
TPコマンド内のIPアドレスとポート番号は、パケットを送る前に、IPフィ
ルタのアドレスとポートに変換しなければならない。状態はFTPDATAに設
定される。
SYNパケットを公衆ネットワーク14から受け取り、テーブル・エントリが
存在してFTPDATA状態にある場合、パケットは送られ、状態はOPENに
設定される。
ICMPプロトコルに関し、ICMPパケットをプライベート・ネットワーク
10から受け取ると、そのパケットがエコー・リクエスト(ピング)の場合、I
Pフィルタ12は、新しいエントリを翻訳テーブルの中に置く。パケットのシー
ケンス・フィールドはテーブル中のpPortに保存され、テーブル・インデッ
クスはパケットのシーケンス・フィールド内に置かれる。ICMPチェックサム
は再計算され、標準IPヘッダの置換が行われる。このタイプはICMP、状態
はPINGに設定され、タイマは1分に設定される。
エコー応答(ピング)を公衆ネットワーク14のインタフェースから受け取る
と、シーケンス・フィールドはテーブルへのインデックスとして使われる。状態
がPINGの場合、テーブル中のpPortはパケットのシーケンス・フィール
ドに置き換えられ、ICMPチェックサムが再計算され、標準IPヘッダの置き
換えが行われる。その後、テーブル・エントリは削除される。
エコー・リクエスト(ピング)を公衆ネットフーク14から受信すると、IP
フィルタ12が応答する。これによってインターネット・アクセスが可能になり
IPフィルタ12に到達し、IPフィルタ12が実行されていることが確認でき
る。
宛先に到達できなかったパケットを公衆ネットワーク14から受け取ると、含
まれているヘッダ情報が抽出される。プロトコルがTCPまたはUDPであった
場合、送信側のパケットの(frIP、frPort − iIP、iPort
)が決定され翻訳テーブル・エントリの位置が決められる。ICMPから抽出さ
れたIPアドレスが、テーブル中のアドレスにマッチしていた場合、IPフィル
タ12は、標準の構成を使ってパケットをプライベート・ネットワーク10に送
る。その他のICMPパケットは、どちらの側から送られたものでも捨てられ、
登録される。
ほとんどのデータ通信プロトコルはUDPプロトコルまたはTCPプロトコル
に基づいているので、クライアントへの戻り接続をサーバにオープンさせるFT
Pのように交渉を始めない限り、これらの他のプロトコルはIPフィルタ12と
互換性がある。他に互換性のあるプロトコルは、Telnet、TFTP(小さ
なファイル送信プロトコル)、DNS(ドメイン名サービス)、およびウェブブ
ラウザなどである。
パケットはどちらの方向に送られても、翻訳テーブル・エントリ内のタイマ・
フィールドは計算タイムアウト値(ピングを除く)に設定される。テーブル中に
あるすべてのアクティブ・エントリのタイマ・フィールドは1分きざみで減少し
、0になると、翻訳テーブル・エントリは削除される。これによって、もはや使
われていないUDPエントリとPINGエントリ、また、不正に終了してFIN
をどちらの側にも送っていないTCPエントリが消去される。使われていないエ
ントリをテーブル中に長く置いておくと安全上問題になる可能性がある。適切な
計算タイムアウト値は、典型的なTCPの時間より少しだけ長いものである。
特定の実施の形態では、プライベート・ネットワーク10と公衆ネットワーク
14はイーサネットベースのLANである。IPフィルタ12は、データ処理プ
ラットフォームによって実行され、このプラットフォームはそれぞれネットワー
ク10と14に接続された2つの既存のイーサネット・ハードウェア・インタフ
ェースを備えており、適当なソフトウェアを備え、IPフィルタ12の機能を実
行する。
図2は、データ処理プラットフォームによって実行できるソフトウェアという
点から見たIPフィルタ12の内部コンポーネントを示す図である。内部コンポ
ーネントは2つのパケットドライバ30と32、アドレス解像プロトコル(AR
P)テーブル34、イーサネット・アドレス・テーブル36、IPハンドラ38
、アドレス翻訳器40およびユーザ・インタフェース42を含む。パケットドラ
イバ30と32はイーサネット・ハードウェア・インタフェースを制御し、それ
ぞれプライベート・ネットワーク10と公衆ネットワーク14と通信する。IP
ハンドラ38はメッセージを送受信するためのルータ機能を提供し、ARPテー
ブル34とイーサネット・テーブル36を保持する。アドレス翻訳器40は、プ
ラ
イベート・ネットワーク10からのソース・ポート番号と、公衆ネットワーク側
14上の宛先ポート番号間の翻訳を行う。
ユーザ・インタフェース42は、処理プラットフォームに付属したキーボード
とディスプレイ端末を用いてオペレータがIPフィルタ12にインタフェースす
ることを可能にする。ファンクションキーは、IPフィルタを計算したり、ログ
ファイルを見たり、コピーしたり、状態を表示したりする。ログファイルはTC
PまたはUDPセッションの接続時間、入出力トラフィックの統計、IPフィル
タ12への無効アクセスを含む。ログファイルが大きくなりすぎるのを防ぐため
に、情報は日付が変わると新しいファイルに登録される。
パケットとIPフィルタ12間のルーティングについては、公衆ネットワーク
14の視点からは公衆インタフェースについて、プライベート・ネットワーク1
0の視点からはプライベート・インタフェースについて、以下に記述する。
公衆インタフェースは、LANセグメント上でホストとして機能する。公衆イ
ンタフェースはパケットを送るために、宛先IPがローカルLANセグメント上
にあるかどうかを確認する。ローカルLANセグメント上にあった場合、公衆イ
ンタフェースはその中のARPテーブル中でイーサネット・アドレスを探す。A
RPテーブル中にエントリがない場合、公衆インタフェースはパケットを待ち行
列に置き、ARPリクエストを送ってイーサネット・アドレスを取得しなければ
ならない。ARPテーブル・エントリの標準エージングアウトを実行する必要が
ある。IP宛先がLANセグメント上にない場合、公衆インタフェースはパケッ
トを計算されたデフォルトのルータに送る。デフォルトルータから送られたIC
MPリダイレクトメッセージは無視される。
プライベート・インタフェースは、パケットを1つまたは複数のルータに送り
遠隔クライアントのステーションと通信する必要があるため、ルータの機能に影
響を与える。大きな遠隔クライアント・ネットワークは、複数のルータマシンに
アクセスする場合がある。以前のルート割り当てではルート割り当てエントリが
サブネット・アドレスではなくホスト・アドレスになっていたため、ルート割り
当てテーブルも大きくなる可能性があった。すなわち、クライアントがルータ1
またはルータ2からアクセスできるように設定されているネットワークでは、ど
のルータもクライアント・ステーションがあるサブネットのルータにはなれない
ということである。ルート・テーブルをプライベート・ネットワーク上のすべて
のルータからRIPを通じて取得するこれまでのルータでは、接続された各遠隔
クライアントは大きなホスト・アドレス・テーブルを必要とした。これはルート
を探すために必要な検索時間、巨大なテーブルに必要なメモリ、すべてのルータ
間のLANセグメント上のRIPトラフィックの性能に影響を与える可能性もあ
る。
この環境の中でルーティングを行うために、IPフィルタはイーサネット・テ
ーブルを保持する。プライベート側から公衆側に送られるすべてのパケットに対
して翻訳エントリが存在している場合は、イーサネット・インデックスを使って
入ってきたパケットのイーサネット・ソース・アドレスと比較する。2つが一致
すれば、他の作業は必要ない。一致しなければ、イーサネット・テーブルを検索
してソース・イーサネット・アドレスを探し、見つからない場合には新しいイー
サネット・テーブル・エントリを追加する。その後、イーサネット・テーブルへ
のインデックスは、翻訳テーブル・エントリの中に保存される。その後、パケッ
トが公衆側からプライベート側へ翻訳されると、イーサネット・アドレスは翻訳
テーブルのインデックスから直接検索することができる。このようにしてパケッ
トはルータへルーティングされ、このルータはパケットをIPフィルタに送る。
当業者であれば、本発明の特許請求の範囲から逸れることなく、本発明の実施
の形態に対して、さまざまな修正、変更、応用が可能である。したがって、各実
施の形態に関し特定の制限がない場合、請求項は上記の実施の形態に制限される
ことはない。
【手続補正書】特許法第184条の8第1項
【提出日】1998年4月20日
【補正内容】
明細書発明の名称
インターネット・プロトコル・フィルタ発明の分野
本発明は一般的に、インターネット・ファイアウォールに関する。特に、プラ
イベート・インターネット・プロトコル(IP)ネットワーク・ドメインを公衆
インターネット上の単一IPアドレスにマッピングするインターネット・プロト
コル・フィルタに関する。背景技術
ファイアウォールは、一般的に、プライベート・ネットワークのドメイン内の
ノードをインターネットのような公衆ネットワーク内のノードに結びつける機能
を有するコンピュータサーバとして知られ、特徴づけられる。
エゲバング等は、1994年5月、アメリカのインターネットエンジニアリン グ・タスクフォースの、論文「IPネットワーク・アドレス・トランスレータ(N AT)」中で、ファイアウォールとして機能するネットワークアドレストランスレ ータ(NAT)を発表した。このNATは、たとえば、プライベートネットワー クのようなIPスタブ・ドメイン、およびインターネットのような公衆ネットワ ークドメインの端に置かれる。NAT内のテーブルは一対のローカルIPアドレ ス、すなわち、スタブ・ドメインに対してはローカルで、グローバルには唯一の アドレスであるホストのアドレスから成り立っている。スタブドメイン内のロー カルIPアドレスはグローバルには唯一ではない。スタブドメイン内のホストが 公衆ネットワークドメインを介した通信を必要とする場合、そのローカルIPア ドレスは、テーブルからグローバルに唯一なIPアドレスの1つとペアになって いる。ペアになっているグローバルに唯一なIPアドレスは、ホストのローカル IPアドレスの代わりに公衆ネットワークドメイン内の通信に使われ、これによ って、一定レベルのセキュリティをホストに提供する。
公知のファイアウォール製品の欠点として、セッションの同時発生または公衆
ノードとプライベート・ノード間の相互作用に対して、独自の公衆IPアドレス
が必要になることが知られている。このため、公衆IPアドレスを管理するファ
イアウォールが望まれていた。発明の概要
本発明の目的は、2つのネットワーク間の通信を結合する新しい改良された装
置を提供することにある。
本発明の第1の側面によると、本発明は、第1のデータ通信ネットワークおよ び第2のデータ通信ネットワークをインタフェースするフィルタ・ノードを動作 させる方法において:宛先情報とソース情報を有するデータパケットを第1のネ ットワークから受信し、その宛先情報は、第2のネットワーク内のノードに対応 する宛先アドレスと宛先ポートを有し、そのソース情報は、第1のネットワーク 内のノードに対応するソース・アドレスとソース・ポートを有し、フィルタ・ノ ードのポートを表わす唯一の値と相関関係のあるデータ・パケットから抽出され たソース情報を維持し、データ・パケット内で、ソース・アドレスをフィルタ・ ノードのアドレスに置き換え、ソース・ポートをフィルタ・ノード・ポート値と 置き換え、置き換えられたソース情報を有するデータ・パケットを第2のネット ワークに送り、それによってそのパケットは宛先情報に従って対応する第2のネ ットワーク・ノードにルーティングされるように構成される。 本発明の第2の側面によれば、本発明は、第1のデータ通信ネットワークと第 2のデータ通信ネットワークをインタフェースするフィルタ・ノードを動作させ る方法において:(a)第2のネットワーク内のノードに対応する宛先アドレスと 第1のネットワーク中のノードに対応するソース・アドレスとを有するデータ・ パケットを第1のネットワークから受信し、(b)データ・パケットから抽出され たソース・アドレスを維持し、(c)データ・パケット内で、ソース・アドレスを フィルタ・ノードのアドレスと置き換え、(d)置き換えられたソース・アドレス を有するデータ・パケットを第2のネットワークに送り、それによってそのパケ ットは対応の第2のネットワーク・ノードにルーティングされ、(e)置き換えら れたソース情報を有するデータ・パケットに応じて、第2のネットワークからの 戻りパケットを受信し、(f)戻りパケット内で、宛先アドレスと維持されたソー ス・アドレスとを置き換え、(g)置き換えられた宛先アドレスを有する戻りパケ ットを第1のネットワークに送り、それによってそのパケットは対応の第1のネ ットワーク・ノードにルーティングされるように構成される。 本発明の第3の側面によれば、本発明は、第1のデータ通信ネットワークと第 2のデータ通信ネットワークをインタフェースするフィルタ・ノードにおいて: 第2のネットワーク内のノードに対応する宛先アドレスと宛先ポートを有する宛 先情報と、第1のネットワーク内のノードに対応するソース・アドレスとソース ・ポートを有するソース情報とを有するデータパケットを第1のネットワークか ら受信する手段と、フィルタ・ノードのポートを表わす唯一の値と相関関係のあ るデータ・パケットから抽出されたソース情報を維持する手段と、データ・パケ ット内で、ソース・アドレスをフィルタ・ノードのアドレスに置き換え、ソース ・ポートをフィルタ・ノード・ポート値と置き換える手段と、置き換えられたソ ース情報を有するデータ・パケットを第2のネットワークに送り、それによって そのパケットを宛先情報に従って対応の第2のネットワーク・ノードにルーティ ングする手段とを備えるように構成される。 本発明の第4の側面によると、本発明は、第1のデータ通信ネットワークと第 2のデータ通信ネットワークをインタフェースするフィルタ・ノードにおいて: (a)第2のネットワーク内のノードに対応する宛先アドレスと第1のネットワ ーク中のノードに対応するソース・アドレスとを有するデータ・パケットを第1 のネットワークから受信する手段と、(b)データ・パケットから抽出されたソー ス・アドレスを維持する手段と、(c)データ・パケット内で、ソース・アドレス をフィルタ・ノードのアドレスと置き換える手段と、(d)置き換えられたソース ・アドレスを有するデータ・パケットを第2のネットワークに送り、それによっ てそのパケットを対応の第2のネットワーク・ノードにルーティングする手段と 、(e)置き換えられたソース情報を有するデータ・パケットに応じて、第2のネ ットワークからの戻りパケットを受信する手段と、(f)戻りパケット内で、宛先 アドレスと維持されたソース・アドレスとを置き換える手段と、(g)置き換えら れた宛先アドレスを有する戻りパケットを第1のネットワークに送り、それによ ってそのパケットを対応の第1のネットワーク・ノードにルーティングする手段 とを備えるように構成される。
本発明で実現されるIPフィルタは、公衆ネットワークやインターネット・ア
クセスをプライベート・ネットワークのノードに供給するために設計された通信
デバイスである。IPフィルタは、ネットワーク上でプライベート・ノードを必
要とせず、公衆インターネット・アドレスに登録できることを利点とする。IP
フィルタはインターネットに単一IPアドレスを与え、複数のIPポートを使っ
てIPアドレス管理の問題を解決する。IPフィルタはプライベート側のIPセ
ッションをIPフィルタの公衆アドレスの単一ポートに割り当てることによって
セッションを開始する。これによって最大で64,512(65,536-1,024ポート)の同時
セッションが単一IPアドレスでサポートされる。IPフィルタはプライベート
・ネットワーク用のソース・ポート番号と、公衆ネットワーク用の宛先ポート番
号間で通信を行うための翻訳を行う。
請求の範囲1.
第1のデータ通信ネットワークおよび第2のデータ通信ネットワークをイ
ンタフェースするフィルタ・ノードを動作させる方法において:
宛先情報とソース情報を有するデータパケットを第1のネットワークから受
信し、その宛先情報は、第2のネットワーク内のノードに対応する宛先アドレス
と宛先ポートを有し、そのソース情報は、第1のネットワーク内のノードに対応
するソース・アドレスとソース・ポートを有し、
フィルタ・ノードのポートを表わす唯一の値と相関関係のあるデータ・パケ
ットから抽出されたソース情報を維持し、
データ・パケット内で、ソース・アドレスをフィルタ・ノードのアドレスに
置き換え、ソース・ポートをフィルタ・ノード・ポート値と置き換え、
置き換えられたソース情報を有するデータ・パケットを第2のネットワーク
に送り、それによってそのパケットは宛先情報に従って対応する第2のネットワ
ーク・ノードにルーティングされることを特徴とする通信ネットワークをインタ
フェースするフィルタ・ノードを動作させる方法。2.
請求項1記載の方法において:
フィルタ・ノードのアドレスを有するデータ・パケットを宛先アドレスとし
て第2のネットワークから受信し、
データ・パケット内の宛先情報の宛先ポートを、保持されている特定のソー
ス情報に相関させ、
データ・パケット内で、宛先情報を特定のソース情報と置き換え、
置き換えられた宛先情報を有するデータ・パケットを第1のネットワークに
送り、それによってそのパケットが宛先情報に従って対応の第1のネットワー
ク・ノードにルーティングされることを特徴とする通信ネットワークをインタフ
ェースするフィルタ・ノードを動作させる方法。3.
請求項2記載の方法において:
そのデータ・パケット内の宛先情報の宛先ポートが、維持されたソース情報
と相関がなかった場合、第2のネットワークから受信されたデータ・パケットを
無視することを特徴とする通信ネットワークをインタフェースするフィルタ・ノ
ードを動作させる方法。4.
請求項3記載の方法において:
ソース情報を維持するステップは、データ・パケットからのソース情報をル
ックアップ・テーブルにエントリとしてストアし、ソース情報に相関するフィル
タ・ノード・ポート値は、エントリ用のテーブルにインデックスを構成すること
を特徴とする通信ネットワークをインタフェースするフィルタ・ノードを動作さ
せる方法。5.
請求項4記載の方法において:
データ・パケットはインターネット・プロトコル(IP)上で送信制御プロ
トコル(TCP)に従ったパケットを含むことを特徴とする通信ネットワークを
インタフェースするフィルタ・ノードを動作させる方法。6
. 請求項5記載の方法において:
第1のネットワークからTCPパケットを受信し、そのTCPパケットに対
応するエントリがルックアップ・テーブルに見つからず、そのTCPパケットが
「これは接続リクエストである」と示した場合、ソース情報をTCPパケットか
らの宛先情報と共に、ルックアップ・テーブル内の新しいエントリとしてストア
することを特徴とする通信ネットワークをインタフェースするフィルタ・ノード
を動作させる方法。7.
請求項6記載の方法において:
第2のネットワークからTCPパケットを受信し、受信されたTCPパケッ
ト内のソース・ポートが、TCPパケット内の宛先ポートによってインデックス
されたルックアップ・テーブルのソース情報エントリ内の宛先ポートと異なり、
またTCPパケットが「このパケットが接続リクエストに対する最初の応答であ
る」ことを示した場合には、テーブル・エントリ内の宛先ポートを受信したTC
Pパケットからのソース・ポートで更新することを特徴とする通信ネットワーク
をインタフェースするフィルタ・ノードを動作させる方法。8.
請求項7記載の方法において:
パケット内の送信コードの終端を有するTCPパケットを受信し、受信され
たTCPパケットに対応するルックアップ・テーブル内のエントリをゼロにする
ことことを特徴とする通信ネットワークをインタフェースするフィルタ・ノード
を動作させる方法。9.
請求項4記載の方法において:
データ・パケットはインターネット・プロトコル(IP)上でデータグラム・プ
ロトコル(UDP)に従ったパケットを含むことを特徴とする通信ネットワーク
をインタフェースするフィルタ・ノードを動作させる方法。10.
請求項9記載の方法において:
第1のネットワークからのUDPデータ・パケットを受信し、ルックアップ・
テーブル内の新しいエントリとして、UDPパケットからのソース情報と宛先情
報を経過タイマの期間表示と共に追加することを特徴とする通信ネットワークを
インタフェースするフィルタ・ノードを動作させる方法。11.
第1のデータ通信ネットワークと第2のデータ通信ネットワークをイン
タフェースするフィルタ・ノードを動作させる方法において:
(a) 第2のネットワーク内のノードに対応する宛先アドレスと第1のネ
ットワーク中のノードに対応するソース・アドレスとを有するデータ・パケット
を第1のネットワークから受信し、
(b) データ・パケットから抽出されたソース・アドレスを維持し、
(c) データ・パケット内で、ソース・アドレスをフィルタ・ノードのア
ドレスと置き換え、
(d) 置き換えられたソース・アドレスを有するデータ・パケットを第2
のネットワークに送り、それによってそのパケットは対応の第2のネットワーク
・ノードにルーティングされ、
(e) 置き換えられたソース情報を有するデータ・パケットに応じて、第
2のネットワークからの戻りパケットを受信し、
(f) 戻りパケット内で、宛先アドレスと維持されたソース・アドレスと
を置き換え、
(g) 置き換えられた宛先アドレスを有する戻りパケットを第1のネット
ワークに送り、それによってそのパケットは対応の第1のネットワーク・ノード
にルーティングされることを特徴とする通信ネットワークをインタフェースする
フィルタ・ノードを動作させる方法。12.
請求項11記載の方法において:
戻りパケットを待つ間に第1のネットワークから受信されたータ・パケット
をバッファリングし、バッファされたパケットがあった場合には、それぞれに対
しステップ(b)から(g)を繰り返すことを特徴とする通信ネットワークをイ
ンタフェースするフィルタ・ノードを動作させる方法。13.
請求項12記載の方法において:
データ・パケットはインターネット制御メッセージ・プロトコル(ICMP)
に従ったパケットを含むことを特徴とする通信ネットワークをインタフェースす
るフィルタ・ノードを動作させる方法。14.
第1のデータ通信ネットワークと第2のデータ通信ネットワークをイン
タフェースするフィルタ・ノードにおいて:
第2のネットワーク内のノードに対応する宛先アドレスと宛先ポートを有す
る宛先情報と、第1のネットワーク内のノードに対応するソース・アドレスとソ
ース・ポートを有するソース情報とを有するデータパケットを第1のネットワー
クから受信する手段と、
フィルタ・ノードのポートを表わす唯一の値と相関関係のあるデータ・パケ
ットから抽出されたソース情報を維持する手段と、
データ・パケット内で、ソース・アドレスをフィルタ・ノードのアドレスに
置き換え、ソース・ポートをフィルタ・ノード・ポート値と置き換える手段と、
置き換えられたソース情報を有するデータ・パケットを第2のネットワーク
に送り、それによってそのパケットを宛先情報に従って対応の第2のネットワー
ク・ノードにルーティングする手段とを備えたことを特徴とするフィルタ・ノー
ド。15.
請求項14記載のフィルタ・ノードにおいて:
フィルタ・ノードのアドレスを有するデータ・パケットを宛先アドレスとし
て第2のネットワークから受信する手段と、
データ・パケット内の宛先情報の宛先ポートを、保持されている特定のソー
ス情報に相関させる手段と、
データ・パケット内で、宛先情報を特定のソース情報と置き換える手段と、
置き換えられた宛先情報を有するデータ・パケットを第1のネットワークに
送り、それによってそのパケットを宛先情報に従って対応の第1のネットワーク
・ノードにルーティングする手段とを備えたことを特徴とするフィルタ・ノード
。16.
請求項15記載のフィルタ・ノードにおいて:
そのデータ・パケット内の宛先情報の宛先ポートが、維持されたソース情報
と相関がなかった場合、第2のネットワークから受信されたデータ・パケットを
無視する手段を備えたことを特徴とするフィルタ・ノード。17.
請求項16記載のフィルタ・ノードにおいて:
ソース情報を維持するステップは、データ・パケットからのソース情報をル
ックアップ・テーブルにエントリとしてストアする手段を備え、そのソース情報
に相関するフィルタ・ノード・ポート値は、エントリ用のテーブルにインデック
スを構成することを特徴とするフィルタ・ノード。18.
第1のデータ通信ネットワークと第2のデータ通信ネットワークをイン
タフェースするフィルタ・ノードにおいて:
(a) 第2のネットワーク内のノードに対応する宛先アドレスと第1のネ
ットフーク中のノードに対応するソース・アドレスとを有するデータ・パケット
を第1のネットワークから受信する手段と、
(b) データ・パケットから抽出されたソース・アドレスを維持する手段
と、
(c) データ・パケット内で、ソース・アドレスをフィルタ・ノードのア
ドレスと置き換える手段と、
(d) 置き換えられたソース・アドレスを有するデータ・パケットを第2
のネットワークに送り、それによってそのパケットを対応の第2のネットワーク
・ノードにルーティングする手段と、
(e) 置き換えられたソース情報を有するデータ・パケットに応じて、第
2のネットワークからの戻りパケットを受信する手段と、
(f) 戻りパケット内で、宛先アドレスと維持されたソース・アドレスと
を置き換える手段と、
(g) 置き換えられた宛先アドレスを有する戻りパケットを第1のネット
ワークに送り、それによってそのパケットを対応の第1のネットワーク・ノード
にルーティングする手段とを備えたことを特徴とするフィルタ・ノード。19.
請求項18記載のフィルタ・ノードにおいて:
戻りパケットを待つ間に第1のネットワークから受信されたデータ・パケッ
トをバッファリングし、バッファされたパケットがあった場合には、それぞれに
対しステップ(b)から(g)を繰り返す手段を備えたことを特徴とするフィル
タ・ノード。
─────────────────────────────────────────────────────
フロントページの続き
(51)Int.Cl.6 識別記号 FI
H04L 29/06
(72)発明者 コルビン・ウイリアム・ジー.
カナダ国,エル9ティー 4ジェイ6,オ
ンタリオ,ミルトン,チャイルズドライブ
874
Claims (1)
- 【特許請求の範囲】 1. 公衆ネットワーク内で知られたアドレスを有するフィルタ・ノードを介し てプライベート・データ通信ネットワーク(10)と公衆データ通信ネットワー ク(14)をインタフェースする方法において: プライベート・ネットワーク内のノード(18)からフィルタ・ノードへ宛 先情報とソース情報を含んだデータ・パケットをルーティングし、この宛先情報 は、公衆ネットワーク内のノード(20)に対応する宛先アドレスと宛先ポート を含み、そのソース情報は、各プライベート・ネットワーク・ノードのソース・ アドレスとソース・ポート含み、 フィルタ・ノードでプライベート・ネットワークから受信された各データ・ パケットは、フィルタ・ノードのポートを表わす単一の値と相関関係のあるデー タ・パケットから抽出されたソース情報を含み、データ・パケット内でソース・ アドレスをフィルタ・ノード・アドレスに置き換え、ソース・ポートをフィルタ ・ノード・ポート値に置き換え、 公衆ネットワーク内で、各宛先情報に従って、置き換えられたソース情報を 含むデータ・パケットをフィルタ・ノードから対応の公衆ネットワーク・ノード にルーティングすることを特徴とする通信ネットワーク・インタフェース方法。 2. 請求項1記載の方法において: フィルタ・ノードのアドレスを有するデータ・パケット・アドレスを宛先ア ドレスとして公衆ネットワーク内のノードからフィルタ・ノードにルーティング し、 フィルタ・ノード、公衆ネットワークから受信した各データ・パケットに対 して、データ・パケット内の宛先情報の宛先ポートを特定のソース情報に相関さ せ、データ・パケット内で、宛先情報を特定のソース情報で置き換え、 プライベート・ネットワーク内で、置き換えられた宛先情報を有するデータ ・パケットをフィルタ・ノードから対応するプライベート・ネットワーク・ノー ドにルーティングすることを特徴とする通信ネットワーク・インタフェース方 法。 3. 請求項2記載の方法において: データ・パケット内の宛先情報の宛先ポートが、維持されているソース情報 と相関がない場合は、フィルタ・ノードは公衆ネットワークから受信したデータ ・パケットを無視することを特徴とする通信ネットワーク・インタフェース方法 。 4. 請求項3記載の方法において: ソース情報を保持するステップは、 各データ・パケットからのソース情報をルックアップ・テーブル中にエントリ としてストアし、ソース情報に相関するフィルタ・ノード・ポート値は、エント リ用のテーブル中にインデックスを構成することを特徴とする通信ネットワーク ・インタフェース方法。 5. 請求項4記載の方法において: データ・パケットはインターネット・プロトコル(IP)上で送信制御プロ トコル(TCP)に従ったパケットを含むことを特徴とする通信ネットワーク・ インタフェース方法。 6. 請求項5記載の方法において: フィルタ・ノードで、プライベート・ネットワークからのTCPパケットを 受信し、TCPパケットに対応するエントリがルックアップ・テーブルに見つか らず、TCPパケットが「これは接続リクエストである」と示した場合、ソース 情報とTCPパケットからの宛先情報を新しいエントリとしてルックアップ・テ ーブルにストアすることを特徴とする通信ネットワーク・インタフェース方法。 7. 請求項6記載の方法において: フィルタ・ノードで、公衆ネットワークからのTCPパケットを受信し、受 信されたTCPパケット内のソース・ポートがTCPパケット内の宛先ポートに よってインデックスされたルックアップ・テーブルのソース情報エントリ内の宛 先ポートと異なり、TCPパケットが「このパケットは接続リクエストに対する 最初の応答である」と示した場合、フィルタ・ノードはテーブル・エントリ内の 宛先ポートをTCPパケットから受信されたソース・ポートに更新することを特 徴とする通信ネットワーク・インタフェース方法。 8. 請求項7記載の方法において: フィルタ・ノードで、パケット内に送信コードの終端を有するTCPパケッ トを受信し、受信されたTCPパケットに対応するルックアップ・テーブル内の エントリをゼロにすることを特徴とする通信ネットワーク・インタフェース方法 。 9. 請求項4記載の方法において: データ・パケットはインターネット・プロトコル(IP)上でユーザ・デー タグラム・プロトコル(UDP)に従ったパケットを含むことを特徴とする通信 ネットワーク・インタフェース方法。 10. 請求項9記載の方法において: フィルタ・ノードで、プライベート・ネットワークからのUDPデータ・パ ケットを受信し、ルックアップ・テーブル内の新しいエントリとして、UDPパ ケットからのソース情報と宛先情報を経過タイマの期間表示と共に追加すること を特徴とする通信ネットワーク・インタフェース方法・ 11. プライベート・データ通信ネットワーク(10)と公衆データ通信ネッ トワーク(14)をフィルタ・ノードを介してインタフェースする方法において : (a) フィルタ・ノードで、公衆ネットワーク内のノード(20)に対応 した宛先アドレスと、プライベート・ネットワーク内のノード(18)に対応し たソース・アドレスを有するデータ・パケットをプライベート・ネットワークか ら受信し、 (b) フィルタ・ノードで、データ・パケットから抽出したソース・アド レスを維持し、 (c) データ・パケット内で、ソース・アドレスをフィルタ・ノードのア ドレスと置き換え、 (d) 公衆ネットワーク内で、宛先アドレスに従って、置き換えられたソ ース・アドレスを有するデータ・パケットをフィルタ・ノードから対応する公衆 ネットワーク・ノードにルーティングし、 (e) 置き換えられたソース情報を有するデータ・パケットに応答して公 衆ネットワークからの戻りパケットを待ち、 (f) 戻りパケット内で、宛先アドレスを維持されたソース・アドレスと 置き換え、 (g) プライベート・ネットワーク内で、置き換えられた宛先アドレスを 有する戻りパケットをフィルタ・ノードから対応するプライベート・ネットワー ク・ノードへルーティングすることを特徴とする通信ネットワーク・インタフェ ース方法。 12. 請求項11記載の方法において: フィルタ・ノードにおいて、戻りパケットを待っている間に、プライベート ・ネットワークから受信されたデータ・パケットをさらにバッファリングし、バ ッファされたパケットがあればそのパケットに対して、ステップ(b)から(g )を繰り返すことを特徴とする通信ネットワーク・インタフェース方法。 13. 請求項12記載の方法において: データ・パケットはインターネット制御メッセージ・プロトコル(ICMP )に従ったパケットを含むことを特徴とする通信ネットワーク・インタフェース 方法。 14. 第1のデータ通信ネットワーク(10)および第2のデータ通信ネット ワーク(14)をインタフェースするフィルタ・ノード(12)を動作させる方 法において: 宛先情報とソース情報を有するデータパケットを第1のネットワークから受 信し、その宛先情報は、第2のネットワーク内のノード(20)に対応する宛先 アドレスと宛先ポートを有し、そのソース情報は、第1のネットワーク内のノー ド(18)に対応するソース・アドレスとソース・ポートを有し、 フィルタ・ノードのポートを表わす唯一の値と相関関係のあるデータ・パケ ットから抽出されたソース情報を維持し、 データ・パケット内で、ソース・アドレスをフィルタ・ノードのアドレスに 置き換え、ソース・ポートをフィルタ・ノード・ポート値と置き換え、 置き換えられたソース情報を有するデータ・パケットを第2のネットワーク に送り、それによってそのパケットは宛先情報に従って対応する第2のネットワ ーク・ノードにルーティングされることを特徴とする通信ネットワークをインタ フェースするフィルタ・ノードを動作させる方法。 15. 請求項14記載の方法において: フィルタ・ノードのアドレスを有するデータ・パケットを宛先アドレスとし て第2のネットワークから受信し、 データ・パケット内の宛先情報の宛先ポートを、保持されている特定のソー ス情報に相関させ、 データ・パケット内で、宛先情報を特定のソース情報と置き換え、 置き換えられた宛先情報を有するデータ・パケットを第1のネットワークに 送り、それによってそのパケットが宛先情報に従って対応の第1のネットワーク ・ノードにルーティングされることを特徴とする通信ネットワークをインタフェ ースするフィルタ・ノードを動作させる方法。 16. 請求項15記載の方法において: そのデータ・パケット内の宛先情報の宛先ポートが、維持されたソース情報 と相関がなかった場合、第2のネットワークから受信されたデータ・パケットを 無視することを特徴とする通信ネットワークをインタフェースするフィルタ・ノ ードを動作させる方法。 17. 請求項16記載の方法において: ソース情報を維持するステップは、データ・パケットからのソース情報をル ックアップ・テーブルにエントリとしてストアし、ソース情報に相関するフィル タ・ノード・ポート値は、エントリ用のテーブルにインデックスを構成すること を特徴とする通信ネットワークをインタフェースするフィルタ・ノードを動作さ せる方法。 18. 請求項17記載の方法において: データ・パケットはインターネット・プロトコル(IP)上で送信制御プロ トコル(TCP)に従ったパケットを含むことを特徴とする通信ネットワークを インタフェースするフィルタ・ノードを動作させる方法。 19. 請求項18記載の方法において: 第1のネットワークからTCPパケットを受信し、そのTCPパケットに対 応するエントリがルックアップ・テーブルに見つからず、そのTCPパケットが 「これは接続リクエストである」と示した場合、ソース情報をTCPパケットか らの宛先情報と共に、ルックアップ・テーブル内の新しいエントリとしてストア することを特徴とする通信ネットワークをインタフェースするフィルタ・ノード を動作させる方法。 20. 請求項19記載の方法において: 第2のネットワークからTCPパケットを受信し、受信されたTCPパケッ ト内のソース・ポートが、TCPパケット内の宛先ポートによってインデックス されたルックアップ・テーブルのソース情報エントリ内の宛先ポートと異なり、 またTCPパケットが「このパケットが接続リクエストに対する最初の応答であ る」ことを示した場合には、テーブル・エントリ内の宛先ポートを受信したTC Pパケットからのソース・ポートで更新することを特徴とする通信ネットワーク をインタフェースするフィルタ・ノードを動作させる方法。 21. 請求項20記載の方法において: パケット内の送信コードの終端を有するTCPパケットを受信し、受信され たTCPパケットに対応するルックアップ・テーブル内のエントリをゼロにする ことことを特徴とする通信ネットワークをインタフェースするフィルタ・ノード を動作させる方法。 22. 請求項17記載の方法において: データ・パケットはインターネット・プロトコル(IP)上でデータグラム ・プロトコル(UDP)に従ったパケットを含むことを特徴とする通信ネットワ ークをインタフェースするフィルタ・ノードを動作させる方法。 23. 請求項22記載の方法において: 第1のネットワークからのUDPデータ・パケットを受信し、ルックアップ ・テーブル内の新しいエントリとして、UDPパケットからのソース情報と宛先 情報を経過タイマの期間表示と共に追加することを特徴とする通信ネットワーク をインタフェースするフィルタ・ノードを動作させる方法。 24. 第1のデータ通信ネットワーク(10)と第2のデータ通信ネットワー ク(14)をインタフェースするフィルタ・ノード(14)を動作させる方法に おいて: (a) 第2のネットワーク内のノード(20)に対応する宛先アドレスと 第1のネットワーク中のノード(18)に対応するソース・アドレスとを有する データ・パケットを第1のネットワークから受信し、 (b) データ・パケットから抽出されたソース・アドレスを維持し、 (c) データ・パケット内で、ソース・アドレスをフィルタ・ノードのア ドレスと置き換え、 (d) 置き換えられたソース・アドレスを有するデータ・パケットを第2 のネットワークに送り、それによってそのパケットは対応の第2のネットワーク ・ノードにルーティングされ、 (e) 置き換えられたソース情報を有するデータ・パケットに応じて、第 2のネットワークからの戻りパケットを受信し、 (f) 戻りパケット内で、宛先アドレスと維持されたソース・アドレスと を置き換え、 (g) 置き換えられた宛先アドレスを有する戻りパケットを第1のネット ワークに送り、それによってそのパケットは対応の第1のネットワーク・ノード にルーティングされることを特徴とする通信ネットワークをインタフェースする フィルタ・ノードを動作させる方法。 25. 請求項24記載の方法において: 戻りパケットを待つ間に第1のネットワークから受信されたータ・パケット をバッファリングし、バッファされたパケットがあった場合には、それぞれに対 しステップ(b)から(g)を繰り返すことを特徴とする通信ネットワークをイ ンタフェースするフィルタ・ノードを動作させる方法。 26. 請求項25記載の方法において: データ・パケットはインターネット制御メッセージ・プロトコル(ICMP )に従ったパケットを含むことを特徴とする通信ネットワークをインタフェース するフィルタ・ノードを動作させる方法。 27. 第1のデータ通信ネットワーク(10)と第2のデータ通信ネットワー ク(14)をインタフェースするフィルタ・ノード(12)において: 第2のネットワーク内のノード(20)に対応する宛先アドレスと宛先ポー トを有する宛先情報と、第1のネットワーク内のノード(18)に対応するソー ス・アドレスとソース・ポートを有するソース情報とを有するデータパケットを 第1のネットワークから受信する手段と、 フィルタ・ノードのポートを表わす唯一の値と相関関係のあるデータ・パケ ットから抽出されたソース情報を維持する手段と、 データ・パケット内で、ソース・アドレスをフィルタ・ノードのアドレスに 置き換え、ソース・ポートをフィルタ・ノード・ポート値と置き換える手段と、 置き換えられたソース情報を有するデータ・パケットを第2のネットワーク に送り、それによってそのパケットを宛先情報に従って対応の第2のネットワー ク・ノードにルーティングする手段とを備えたことを特徴とするフィルタ・ノー ド。 28. 請求項27記載のフィルタ・ノードにおいて: フィルタ・ノードのアドレスを有するデータ・パケットを宛先アドレスとし て第2のネットワークから受信する手段と、 データ・パケット内の宛先情報の宛先ポートを、保持されている特定のソー ス情報に相関させる手段と、 データ・パケット内で、宛先情報を特定のソース情報と置き換える手段と、 置き換えられた宛先情報を有するデータ・パケットを第1のネットワークに 送り、それによってそのパケットを宛先情報に従って対応の第1のネットワーク ・ノードにルーティングする手段とを備えたことを特徴とするフィルタ・ノード 。 29. 請求項28記載のフィルタ・ノードにおいて: そのデータ・パケット内の宛先情報の宛先ポートが、維持されたソース情報 と相関がなかった場合、第2のネットワークから受信されたデータ・パケットを 無視する手段を備えたことを特徴とするフィルタ・ノード。 30. 請求項29記載のフィルタ・ノードにおいて: ソース情報を維持するステップは、データ・パケットからのソース情報をル ックアップ・テーブルにエントリとしてストアする手段を備え、そのソース情報 に相関するフィルタ・ノード・ポート値は、エントリ用のテーブルにインデック スを構成することを特徴とするフィルタ・ノード。 31. 第1のデータ通信ネットワーク(10)と第2のデータ通信ネットワー ク(14)をインタフェースするフィルタ・ノード(12)において: (a) 第2のネットワーク内のノード(20)に対応する宛先アドレスと 第1のネットワーク中のノード(18)に対応するソース・アドレスとを有する データ・パケットを第1のネットワークから受信する手段と、 (b) データ・パケットから抽出されたソース・アドレスを維持する手段 と、 (c) データ・パケット内で、ソース・アドレスをフィルタ・ノードのア ドレスと置き換える手段と、 (d) 置き換えられたソース・アドレスを有するデータ・パケットを第2 のネットワークに送り、それによってそのパケットを対応の第2のネットワーク ・ノードにルーティングする手段と、 (e) 置き換えられたソース情報を有するデータ・パケットに応じて、第 2のネットワークからの戻りパケットを受信する手段と、 (f) 戻りパケット内で、宛先アドレスと維持されたソース・アドレスと を置き換える手段と、 (g) 置き換えられた宛先アドレスを有する戻りパケットを第1のネット ワークに送り、それによってそのパケットを対応の第1のネットワーク・ノード にルーティングする手段とを備えたことを特徴とするフィルタ・ノード。 32. 請求項31記載のフィルタ・ノードにおいて: 戻りパケットを待つ間に第1のネットワークから受信されたデータ・パケッ トをバッファリングし、バッファされたパケットがあった場合には、それぞれに 対しステップ(b)から(g)を繰り返す手段を備えたことを特徴とするフィル タ・ノード。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US1594596P | 1996-04-24 | 1996-04-24 | |
US60/015,945 | 1996-04-24 | ||
PCT/CA1997/000269 WO1997040610A2 (en) | 1996-04-24 | 1997-04-23 | Internet protocol filter |
Publications (1)
Publication Number | Publication Date |
---|---|
JPH11508753A true JPH11508753A (ja) | 1999-07-27 |
Family
ID=21774476
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP9537534A Pending JPH11508753A (ja) | 1996-04-24 | 1997-04-23 | インターネット・プロトコル・フィルタ |
Country Status (9)
Country | Link |
---|---|
US (1) | US6128298A (ja) |
EP (1) | EP0895684B1 (ja) |
JP (1) | JPH11508753A (ja) |
KR (1) | KR100317443B1 (ja) |
CN (1) | CN1216657A (ja) |
AU (1) | AU707905B2 (ja) |
CA (1) | CA2248577C (ja) |
DE (1) | DE69708281T2 (ja) |
WO (1) | WO1997040610A2 (ja) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001345854A (ja) * | 2000-03-27 | 2001-12-14 | Matsushita Electric Ind Co Ltd | ネットワーク間のパケット通信方法及びシステム並びに装置 |
JP2003526270A (ja) * | 2000-03-03 | 2003-09-02 | ネクスランド インコーポレイテッド | ローカルipアドレスと変換不可能なポートアドレスとを用いたローカルエリアネットワークのためのネットワークアドレス変換ゲートウェイ |
JP2004506385A (ja) * | 2000-08-08 | 2004-02-26 | フランス テレコム | パケット網におけるユーザーのインストレーション端末の識別子の変換 |
JP2004535096A (ja) * | 2001-04-11 | 2004-11-18 | サフェイ カンパニー リミテッド | 外部からのアクセスを規制するための方法およびシステム |
KR100689540B1 (ko) * | 2000-03-20 | 2007-03-08 | 삼성전자주식회사 | 사설 아이피 네트워크를 통한 다중 통화 장치 및 방법 |
Families Citing this family (180)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP0968596B1 (en) | 1997-03-12 | 2007-07-18 | Nomadix, Inc. | Nomadic translator or router |
JP3038650B2 (ja) * | 1997-04-28 | 2000-05-08 | 日本電気株式会社 | 移動体パケット通信システムのインターネット通信方法と装置 |
US6006258A (en) * | 1997-09-12 | 1999-12-21 | Sun Microsystems, Inc. | Source address directed message delivery |
US6092110A (en) * | 1997-10-23 | 2000-07-18 | At&T Wireless Svcs. Inc. | Apparatus for filtering packets using a dedicated processor |
US6353614B1 (en) * | 1998-03-05 | 2002-03-05 | 3Com Corporation | Method and protocol for distributed network address translation |
FI110987B (fi) | 1998-03-31 | 2003-04-30 | Nokia Corp | Menetelmä tiedonsiirtovirtausten kytkemiseksi |
US6876654B1 (en) * | 1998-04-10 | 2005-04-05 | Intel Corporation | Method and apparatus for multiprotocol switching and routing |
US6370147B1 (en) | 1998-04-23 | 2002-04-09 | 3Com Corporation | Method for addressing of passive network hosts in a data-over-cable system |
US6636485B1 (en) | 1998-05-14 | 2003-10-21 | 3Com Corporation | Method and system for providing quality-of-service in a data-over-cable system |
US6510162B1 (en) | 1998-05-27 | 2003-01-21 | 3Com Corporation | System and method for managing channel usage in a data over cable system |
US6775276B1 (en) | 1998-05-27 | 2004-08-10 | 3Com Corporation | Method and system for seamless address allocation in a data-over-cable system |
US6442158B1 (en) | 1998-05-27 | 2002-08-27 | 3Com Corporation | Method and system for quality-of-service based data forwarding in a data-over-cable system |
US6560203B1 (en) | 1998-05-27 | 2003-05-06 | 3Com Corporation | Method for changing type-of-service in a data-over-cable system |
SE519523C2 (sv) | 1998-06-30 | 2003-03-11 | Ericsson Telefon Ab L M | Mobilt LAN där värddatorer anslutna till LANet kan genomföra paketdatakommunikation med värddatorer i externa nät |
US6717949B1 (en) * | 1998-08-31 | 2004-04-06 | International Business Machines Corporation | System and method for IP network address translation using selective masquerade |
US6892229B1 (en) | 1998-09-30 | 2005-05-10 | 3Com Corporation | System and method for assigning dynamic host configuration protocol parameters in devices using resident network interfaces |
US6728885B1 (en) * | 1998-10-09 | 2004-04-27 | Networks Associates Technology, Inc. | System and method for network access control using adaptive proxies |
US6570875B1 (en) | 1998-10-13 | 2003-05-27 | Intel Corporation | Automatic filtering and creation of virtual LANs among a plurality of switch ports |
US6667968B1 (en) * | 1998-12-03 | 2003-12-23 | Telefonaktiebolaget L M Ericsson (Publ) | System and method for providing multiple endpoints in a device disposed in a packet-switched network |
US8266266B2 (en) | 1998-12-08 | 2012-09-11 | Nomadix, Inc. | Systems and methods for providing dynamic network authorization, authentication and accounting |
US8713641B1 (en) | 1998-12-08 | 2014-04-29 | Nomadix, Inc. | Systems and methods for authorizing, authenticating and accounting users having transparent computer access to a network using a gateway device |
US7194554B1 (en) | 1998-12-08 | 2007-03-20 | Nomadix, Inc. | Systems and methods for providing dynamic network authorization authentication and accounting |
US6662135B1 (en) | 1998-12-09 | 2003-12-09 | 3Com Corporation | Method and apparatus for reflective mixer testing of a cable modem |
US6657991B1 (en) * | 1998-12-21 | 2003-12-02 | 3Com Corporation | Method and system for provisioning network addresses in a data-over-cable system |
US6584096B1 (en) * | 1998-12-30 | 2003-06-24 | Nortel Networks Limited | Method and apparatus for connecting a home network to the internet |
JP3495625B2 (ja) * | 1999-01-11 | 2004-02-09 | 三洋電機株式会社 | デジタル放送受信機におけるtsデータフィルタリング回路 |
US6577642B1 (en) | 1999-01-15 | 2003-06-10 | 3Com Corporation | Method and system for virtual network administration with a data-over cable system |
US6738382B1 (en) * | 1999-02-24 | 2004-05-18 | Stsn General Holdings, Inc. | Methods and apparatus for providing high speed connectivity to a hotel environment |
US7240368B1 (en) * | 1999-04-14 | 2007-07-03 | Verizon Corporate Services Group Inc. | Intrusion and misuse deterrence system employing a virtual network |
US6563824B1 (en) | 1999-04-20 | 2003-05-13 | 3Com Corporation | Apparatus and methods for determining the correct workstation within a LAN for a LAN modem to route a packet |
US6654387B1 (en) | 1999-05-21 | 2003-11-25 | 3Com Corporation | Method for network address table maintenance in a data-over-cable system using a network device registration procedure |
GB2350259B (en) * | 1999-05-21 | 2003-10-08 | Chung-Nan Tien | Method for enabling a remote user at a remote computer to access a computer selectively connected to a local computer network |
US6697862B1 (en) * | 1999-05-21 | 2004-02-24 | 3Com Corporation | System and method for network address maintenance using dynamic host configuration protocol messages in a data-over-cable system |
US6754622B1 (en) | 1999-05-24 | 2004-06-22 | 3Com Corporation | Method for network address table maintenance in a data-over-cable system using destination reachibility |
US6785292B1 (en) | 1999-05-28 | 2004-08-31 | 3Com Corporation | Method for detecting radio frequency impairments in a data-over-cable system |
US6957346B1 (en) * | 1999-06-15 | 2005-10-18 | Ssh Communications Security Ltd. | Method and arrangement for providing security through network address translations using tunneling and compensations |
JP2001053794A (ja) * | 1999-08-09 | 2001-02-23 | Nec Corp | Ip通信のリアルタイムバックアップ通信方法 |
AU7053400A (en) * | 1999-09-03 | 2001-04-10 | Broadcom Corporation | Apparatus and method for enabling voice over ip support for a network switch |
US6553568B1 (en) | 1999-09-29 | 2003-04-22 | 3Com Corporation | Methods and systems for service level agreement enforcement on a data-over cable system |
NL1013273C2 (nl) * | 1999-10-12 | 2001-04-17 | Koninkl Kpn Nv | Werkwijze en systeem voor het verzenden van IP berichten. |
US6698021B1 (en) * | 1999-10-12 | 2004-02-24 | Vigilos, Inc. | System and method for remote control of surveillance devices |
US8190708B1 (en) | 1999-10-22 | 2012-05-29 | Nomadix, Inc. | Gateway device having an XML interface and associated method |
US6581108B1 (en) * | 1999-11-30 | 2003-06-17 | Lucent Technologies Inc. | Managing multiple private data networks using network and payload address translation |
JP3436906B2 (ja) * | 1999-12-10 | 2003-08-18 | パナソニック コミュニケーションズ株式会社 | エラー通知装置およびエラー通知方法 |
US7336790B1 (en) | 1999-12-10 | 2008-02-26 | Sun Microsystems Inc. | Decoupling access control from key management in a network |
US6870842B1 (en) | 1999-12-10 | 2005-03-22 | Sun Microsystems, Inc. | Using multicasting to provide ethernet-like communication behavior to selected peers on a network |
US6798782B1 (en) | 1999-12-10 | 2004-09-28 | Sun Microsystems, Inc. | Truly anonymous communications using supernets, with the provision of topology hiding |
US7765581B1 (en) | 1999-12-10 | 2010-07-27 | Oracle America, Inc. | System and method for enabling scalable security in a virtual private network |
US6970941B1 (en) | 1999-12-10 | 2005-11-29 | Sun Microsystems, Inc. | System and method for separating addresses from the delivery scheme in a virtual private network |
US6977929B1 (en) | 1999-12-10 | 2005-12-20 | Sun Microsystems, Inc. | Method and system for facilitating relocation of devices on a network |
US6879593B1 (en) * | 1999-12-20 | 2005-04-12 | Intel Corporation | Connections of nodes on different networks |
US7925693B2 (en) * | 2000-01-24 | 2011-04-12 | Microsoft Corporation | NAT access control with IPSec |
US7072933B1 (en) * | 2000-01-24 | 2006-07-04 | Microsoft Corporation | Network access control using network address translation |
US20020112076A1 (en) * | 2000-01-31 | 2002-08-15 | Rueda Jose Alejandro | Internet protocol-based computer network service |
AU2001259065A1 (en) * | 2000-04-14 | 2001-10-30 | Stratus Technologies International, S.A.R.L. | Robust, secure service network |
US6804262B1 (en) | 2000-04-28 | 2004-10-12 | 3Com Corporation | Method and apparatus for channel determination through power measurements |
US7075927B2 (en) | 2000-05-05 | 2006-07-11 | Fujitsu Limited | Method and system for quality of service (QoS) support in a packet-switched network |
US7151773B1 (en) | 2000-05-05 | 2006-12-19 | Fujitsu Limited | System and method for connectionless/connection oriented signal transport |
US7058730B2 (en) * | 2000-05-05 | 2006-06-06 | Fujitsu Limited | Unique address space and method for a transport network |
US7047176B2 (en) | 2000-05-05 | 2006-05-16 | Fujitsu Limited | Method and system for hardware simulation |
US6775229B1 (en) | 2000-05-05 | 2004-08-10 | Fujitsu Network Communications, Inc. | Method and system for providing a protection path for connection-oriented signals in a telecommunications network |
US6515966B1 (en) | 2000-05-05 | 2003-02-04 | Fujitsu Network Communications, Inc. | System and method for application object transport |
US7133403B1 (en) | 2000-05-05 | 2006-11-07 | Fujitsu Limited | Transport network and method |
US7385917B1 (en) | 2000-05-05 | 2008-06-10 | Fujitsu Limited | Method and system for providing a protection path for connectionless signals in a telecommunications network |
US6693909B1 (en) | 2000-05-05 | 2004-02-17 | Fujitsu Network Communications, Inc. | Method and system for transporting traffic in a packet-switched network |
US7173912B2 (en) | 2000-05-05 | 2007-02-06 | Fujitsu Limited | Method and system for modeling and advertising asymmetric topology of a node in a transport network |
US6862267B1 (en) * | 2000-05-08 | 2005-03-01 | Nortel Networks Limited | Determining network addresses and ports using table from a description file |
GB2362482A (en) * | 2000-05-15 | 2001-11-21 | Ridgeway Systems & Software Lt | Direct slave addressing to indirect slave addressing |
US6718385B1 (en) * | 2000-05-19 | 2004-04-06 | Galaxy Computer Services, Inc. | System for controlling movement of information using an information diode between a source network and a destination network |
IT1319279B1 (it) * | 2000-05-31 | 2003-10-10 | Cit Alcatel | Metodo e dispositivo per tradurre indirizzi ip di reti pertelecomunicazioni usando una memoria con oblio controllato. |
US6816500B1 (en) | 2000-07-10 | 2004-11-09 | 3Com Corporation | Apparatus, method and system for multimedia access network channel management |
US20030093430A1 (en) * | 2000-07-26 | 2003-05-15 | Mottur Peter A. | Methods and systems to control access to network devices |
US7382397B2 (en) * | 2000-07-26 | 2008-06-03 | Smiths Detection, Inc. | Systems and methods for controlling devices over a network |
US7199817B2 (en) | 2000-07-26 | 2007-04-03 | Smiths Detection Inc. | Methods and systems for networked camera control |
GB2365256A (en) | 2000-07-28 | 2002-02-13 | Ridgeway Systems & Software Lt | Audio-video telephony with port address translation |
WO2002015463A1 (en) | 2000-08-15 | 2002-02-21 | Polycom Israel Ltd. | A multimedia communication control unit as a secure device for multimedia communication between lan users and other network users |
AU2001280235A1 (en) * | 2000-08-23 | 2002-03-04 | Great Human Software Co., Ltd. | Method and system for establishing connections between terminals connected to network environments having different ip-addressing schemes |
KR100689034B1 (ko) * | 2000-08-26 | 2007-03-08 | 삼성전자주식회사 | 외부 네트워크에서 사설 아이피주소를 갖는 노드에접속하기 위한 네트워크 주소변환시스템과 방법 및 그방법을 기록한 컴퓨터로 읽을수 있는 기록매체 |
KR100645960B1 (ko) * | 2000-08-29 | 2006-11-14 | 삼성전자주식회사 | 사설망의 네트워크 노드에 접속하기 위한 시스템과 방법 |
US6981278B1 (en) * | 2000-09-05 | 2005-12-27 | Sterling Commerce, Inc. | System and method for secure dual channel communication through a firewall |
US7836498B2 (en) * | 2000-09-07 | 2010-11-16 | Riverbed Technology, Inc. | Device to protect victim sites during denial of service attacks |
US20020101859A1 (en) * | 2000-09-12 | 2002-08-01 | Maclean Ian B. | Communicating between nodes in different wireless networks |
US6661799B1 (en) * | 2000-09-13 | 2003-12-09 | Alcatel Usa Sourcing, L.P. | Method and apparatus for facilitating peer-to-peer application communication |
FI112308B (fi) * | 2000-09-14 | 2003-11-14 | Nokia Corp | Protokollan käsittelyn jakaminen |
US7054930B1 (en) | 2000-10-26 | 2006-05-30 | Cisco Technology, Inc. | System and method for propagating filters |
DE10053951B4 (de) * | 2000-10-31 | 2005-04-21 | Siemens Ag | Verfahren und Router zur Einrichtung einer Verbindung über ein IP-orientiertes Netz |
SE519251C2 (sv) * | 2000-11-08 | 2003-02-04 | Icomera Ab | En metod och ett system för överföring av paket mellan två olika enheter |
GB2369746A (en) * | 2000-11-30 | 2002-06-05 | Ridgeway Systems & Software Lt | Communications system with network address translation |
FI20002822A (fi) | 2000-12-21 | 2002-06-22 | Nokia Corp | Osoitteen jakaminen |
KR100464487B1 (ko) * | 2000-12-27 | 2004-12-31 | 엘지전자 주식회사 | 에이디에스엘 모뎀의 패킷 검사를 통한 보안장치 및 그 방법 |
US6775235B2 (en) * | 2000-12-29 | 2004-08-10 | Ragula Systems | Tools and techniques for directing packets over disparate networks |
GB2371186A (en) * | 2001-01-11 | 2002-07-17 | Marconi Comm Ltd | Checking packets |
KR100393273B1 (ko) * | 2001-02-12 | 2003-07-31 | (주)폴리픽스 | 사설통신망 상의 온라인정보 교환시스템 및 그 교환방법 |
US7167472B2 (en) * | 2001-04-18 | 2007-01-23 | Brocade Communications Systems, Inc. | Fibre channel zoning by device name in hardware |
US7366194B2 (en) | 2001-04-18 | 2008-04-29 | Brocade Communications Systems, Inc. | Fibre channel zoning by logical unit number in hardware |
US7151778B2 (en) | 2001-04-18 | 2006-12-19 | Brocade Communications Systems, Inc. | Frame filtering of fibre channel packets |
US20020154635A1 (en) * | 2001-04-23 | 2002-10-24 | Sun Microsystems, Inc. | System and method for extending private networks onto public infrastructure using supernets |
KR20020093398A (ko) * | 2001-06-08 | 2002-12-16 | (주)바네트 | 초고속 인터넷 공인 ip 주소의 제한적 공유 방법 |
US7068655B2 (en) | 2001-06-14 | 2006-06-27 | Nortel Networks Limited | Network address and/or port translation |
US6987765B2 (en) * | 2001-06-14 | 2006-01-17 | Nortel Networks Limited | Changing media sessions |
US20030009561A1 (en) * | 2001-06-14 | 2003-01-09 | Sollee Patrick N. | Providing telephony services to terminals behind a firewall and /or network address translator |
US7684317B2 (en) | 2001-06-14 | 2010-03-23 | Nortel Networks Limited | Protecting a network from unauthorized access |
US6513122B1 (en) | 2001-06-29 | 2003-01-28 | Networks Associates Technology, Inc. | Secure gateway for analyzing textual content to identify a harmful impact on computer systems with known vulnerabilities |
US7426208B2 (en) * | 2001-08-30 | 2008-09-16 | Siemens Aktiengesellschaft | Pre-processing of NAT addresses |
US20040048610A1 (en) * | 2001-09-28 | 2004-03-11 | Kim Soo Hwan | Method and system for matching subscriber states in network in which public land mobile network and wired/wireless private network are interworked |
GB0123371D0 (en) * | 2001-09-28 | 2001-11-21 | Nokia Corp | Improved interconnection of IP networks |
US20030069981A1 (en) * | 2001-10-09 | 2003-04-10 | Koninklijke Philips Electronics N.V. | IP hopping for secure data transfer |
US7006436B1 (en) * | 2001-11-13 | 2006-02-28 | At&T Corp. | Method for providing voice-over-IP service |
US7512084B2 (en) * | 2001-11-28 | 2009-03-31 | Nokia Corporation | Event driven filter monitoring for IP multicast services |
US20040133669A1 (en) * | 2001-11-28 | 2004-07-08 | Esa Jalonen | Event or polling driven DVB-T filter detection |
US7227864B2 (en) * | 2001-12-17 | 2007-06-05 | Microsoft Corporation | Methods and systems for establishing communications through firewalls and network address translators |
US7114005B2 (en) * | 2002-02-05 | 2006-09-26 | Cisco Technology, Inc. | Address hopping of packet-based communications |
KR20030069729A (ko) * | 2002-02-22 | 2003-08-27 | 삼성전자주식회사 | 이동통신 시스템에서 이동단말기의 패킷데이터를라우팅하는 방법 |
US7668306B2 (en) | 2002-03-08 | 2010-02-23 | Intel Corporation | Method and apparatus for connecting packet telephony calls between secure and non-secure networks |
KR20030075810A (ko) * | 2002-03-20 | 2003-09-26 | 유디에스 주식회사 | 공인네트워크와 비공인네트워크 사이에서의 데이터 통신시스템 및 그 방법 |
US7475145B2 (en) * | 2002-04-26 | 2009-01-06 | International Business Machines Corporation | Dynamic invocation of web services |
WO2003094366A2 (en) | 2002-05-06 | 2003-11-13 | Qualcomm Incorporated | System and method for registering ip address of wireless communication device |
JP3674634B2 (ja) * | 2002-05-23 | 2005-07-20 | 松下電器産業株式会社 | 情報処理システム |
US7657616B1 (en) | 2002-06-10 | 2010-02-02 | Quest Software, Inc. | Automatic discovery of users associated with screen names |
US7113763B2 (en) | 2002-06-03 | 2006-09-26 | Nokia Corporation | Bluetooth access point and remote bluetooth modules for powerline based networking |
US7428590B2 (en) * | 2002-06-10 | 2008-09-23 | Akonix Systems, Inc. | Systems and methods for reflecting messages associated with a target protocol within a network |
US7707401B2 (en) * | 2002-06-10 | 2010-04-27 | Quest Software, Inc. | Systems and methods for a protocol gateway |
US7774832B2 (en) * | 2002-06-10 | 2010-08-10 | Quest Software, Inc. | Systems and methods for implementing protocol enforcement rules |
CA2488731A1 (en) | 2002-06-10 | 2003-12-18 | Akonix Systems, Inc. | Systems and methods for a protocol gateway |
JP4346869B2 (ja) * | 2002-06-26 | 2009-10-21 | パナソニック株式会社 | 電子機器、及び情報処理方法 |
TW200408242A (en) | 2002-09-06 | 2004-05-16 | Matsushita Electric Ind Co Ltd | Home terminal apparatus and communication system |
EP2028802B1 (en) * | 2002-09-30 | 2013-01-23 | Panasonic Corporation | Information processing System, server and method for equipment identifier management |
US20040083388A1 (en) * | 2002-10-25 | 2004-04-29 | Nguyen The Vinh | Method and apparatus for monitoring data packets in a packet-switched network |
US7454499B2 (en) * | 2002-11-07 | 2008-11-18 | Tippingpoint Technologies, Inc. | Active network defense system and method |
US20040139226A1 (en) * | 2002-12-13 | 2004-07-15 | Dany Margalit | Method for assigning an IP address to a network connectable device |
US7216359B2 (en) * | 2002-12-19 | 2007-05-08 | International Business Machines Corporation | Secure communication overlay using IP address hopping |
US20050013274A1 (en) * | 2003-03-05 | 2005-01-20 | Harri Pekonen | System and method for data transmission and reception |
CN102170406B (zh) * | 2003-03-17 | 2014-04-23 | 易邮服务公司 | 消息和文档管理系统及方法 |
US7627640B2 (en) * | 2003-03-17 | 2009-12-01 | Epostal Services, Inc. | Messaging and document management system and method |
US7535878B2 (en) * | 2003-03-28 | 2009-05-19 | Intel Corporation | Method, apparatus and system for ensuring reliable access to a roaming mobile node |
WO2004100500A2 (en) * | 2003-05-05 | 2004-11-18 | Thomson Licensing S.A. | System and method for communicating with a display device via a network |
US7694021B1 (en) * | 2003-05-28 | 2010-04-06 | Cisco Technology, Inc. | Firewall for gateway network elements between IP based networks |
US7573867B1 (en) * | 2003-07-17 | 2009-08-11 | Sprint Spectrum L.P. | Method and system for maintaining a radio link connection during absence of real-time packet data communication |
US20050041631A1 (en) * | 2003-08-20 | 2005-02-24 | Naveen Aerrabotu | Apparatus and method for primary link packet control |
US7715326B2 (en) * | 2003-08-22 | 2010-05-11 | Eutech Cybernetics Pte. Ltd. | Webserver alternative for increased security |
CN100440886C (zh) * | 2003-09-02 | 2008-12-03 | 华为技术有限公司 | 多媒体协议穿越网络地址转换设备的实现方法 |
US20050053063A1 (en) * | 2003-09-04 | 2005-03-10 | Sajeev Madhavan | Automatic provisioning of network address translation data |
US20050102704A1 (en) * | 2003-11-07 | 2005-05-12 | Rudy Prokupets | Multiregional security system integrated with digital video recording and archiving |
TWI257217B (en) * | 2003-11-10 | 2006-06-21 | Inst Information Industry | Method to detect the form of network address translation |
CN1270481C (zh) * | 2003-12-08 | 2006-08-16 | 华为技术有限公司 | 一种无线局域网接入关口及其实现保障网络安全的方法 |
US7305706B2 (en) * | 2004-01-15 | 2007-12-04 | Cisco Technology, Inc. | Establishing a virtual private network for a road warrior |
US7430203B2 (en) * | 2004-01-29 | 2008-09-30 | Brocade Communications Systems, Inc. | Fibre channel zoning hardware for directing a data packet to an external processing device |
WO2005074207A1 (ja) * | 2004-01-30 | 2005-08-11 | Matsushita Electric Industrial Co., Ltd. | 通信システム、情報処理システム、情報処理装置、トンネル管理装置、情報処理方法、トンネル管理方法およびプログラム |
US20050177859A1 (en) * | 2004-02-09 | 2005-08-11 | Valentino Henry Iii | Video surveillance system and methods of use and doing business |
CN100525202C (zh) * | 2004-05-28 | 2009-08-05 | 中兴通讯股份有限公司 | 一种基于h.323协议的私网终端向网守注册的方法 |
CN1299476C (zh) * | 2004-05-28 | 2007-02-07 | 中兴通讯股份有限公司 | 一种h.323代理服务器代理网络地址转换后的终端向网守注册的方法 |
CN1756259B (zh) * | 2004-09-27 | 2011-04-20 | 国际商业机器公司 | 因特网协议网络中使用网络地址翻译的方法和系统 |
US8059562B2 (en) * | 2004-10-18 | 2011-11-15 | Nokia Corporation | Listener mechanism in a distributed network system |
US8464299B1 (en) | 2004-11-17 | 2013-06-11 | Rockstar Consortium Us Lp | Resource conservation for packet television services |
KR20060059292A (ko) * | 2004-11-26 | 2006-06-01 | 한국전자통신연구원 | 양방향 위성 통신 시스템에서의 네트워크 운용 방법 |
US20060215649A1 (en) * | 2005-03-08 | 2006-09-28 | Chris Morrall | Network address converting apparatus using SSW tree |
US20060221955A1 (en) * | 2005-04-05 | 2006-10-05 | Mark Enright | IP addressing in joined private networks |
US8064439B2 (en) | 2005-06-30 | 2011-11-22 | Cisco Technology, Inc. | Method and system for call processing |
EP1946217A2 (en) * | 2005-11-03 | 2008-07-23 | Akonix Systems, Inc. | Systems and methods for remote rogue protocol enforcement |
US7451145B1 (en) * | 2005-12-13 | 2008-11-11 | At&T Corp. | Method and apparatus for recursively analyzing log file data in a network |
JP4759389B2 (ja) * | 2006-01-10 | 2011-08-31 | アラクサラネットワークス株式会社 | パケット通信装置 |
JP4634320B2 (ja) * | 2006-02-28 | 2011-02-16 | 株式会社日立製作所 | 対異常通信防御を行うための装置とネットワークシステム |
JP4594258B2 (ja) * | 2006-03-10 | 2010-12-08 | 富士通株式会社 | システム分析装置およびシステム分析方法 |
US7704617B2 (en) * | 2006-04-03 | 2010-04-27 | Bloom Energy Corporation | Hybrid reformer for fuel flexibility |
JP4780413B2 (ja) * | 2007-01-12 | 2011-09-28 | 横河電機株式会社 | 不正アクセス情報収集システム |
US8046492B1 (en) * | 2007-11-06 | 2011-10-25 | Juniper Networks, Inc. | Offset independent filtering |
DE102008012559A1 (de) * | 2008-03-04 | 2009-09-17 | Jochen Schumacher | Verfahren zur Einrichtung einer Kommunikationsstrecke zwischen Teilnehmergeräten in einem Daten-Netzwerk |
CN101286895B (zh) * | 2008-05-22 | 2010-08-18 | 上海交通大学 | 可动态配置的分布式网络数据监控系统及方法 |
WO2010054471A1 (en) | 2008-11-17 | 2010-05-20 | Sierra Wireless, Inc. | Method and apparatus for network port and network address translation |
US8924486B2 (en) | 2009-02-12 | 2014-12-30 | Sierra Wireless, Inc. | Method and system for aggregating communications |
US8326919B1 (en) * | 2009-12-22 | 2012-12-04 | Emc Corporation | Network address translation auto-discovery in data storage networks |
EP2630774A1 (en) * | 2010-10-22 | 2013-08-28 | Telefonaktiebolaget L M Ericsson (PUBL) | Differentiated handling of network traffic using network address translation |
US8904036B1 (en) * | 2010-12-07 | 2014-12-02 | Chickasaw Management Company, Llc | System and method for electronic secure geo-location obscurity network |
EP2673927A4 (en) | 2011-02-08 | 2016-08-24 | Sierra Wireless Inc | METHOD AND DATA-TRANSFER SYSTEM BETWEEN NETWORK DEVICES |
CN102209124B (zh) * | 2011-06-08 | 2014-03-12 | 杭州华三通信技术有限公司 | 私网与公网通信的方法及网络地址转换设备 |
CA2842459C (en) * | 2011-07-20 | 2017-09-26 | Neil EULIANO | Wetness sensors, wetness monitoring system, and related methods |
US9634911B2 (en) * | 2013-07-30 | 2017-04-25 | Avaya Inc. | Communication device event captures |
US9832196B2 (en) | 2014-09-15 | 2017-11-28 | Bank Of America Corporation | Network monitoring device |
US11057342B2 (en) * | 2014-12-09 | 2021-07-06 | Telefonaktiebolaget L M Ericsson (Publ) | Network address translation |
CN104579939B (zh) * | 2014-12-29 | 2021-02-12 | 网神信息技术(北京)股份有限公司 | 网关的保护方法和装置 |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5383179A (en) * | 1988-12-15 | 1995-01-17 | Laboratoire Europeen De Recherches Electroniques Avancees | Message routing method in a system having several different transmission channels |
US5309437A (en) * | 1990-06-29 | 1994-05-03 | Digital Equipment Corporation | Bridge-like internet protocol router |
US5400334A (en) * | 1993-08-10 | 1995-03-21 | Ungermann-Bass, Inc. | Message security on token ring networks |
US5835726A (en) * | 1993-12-15 | 1998-11-10 | Check Point Software Technologies Ltd. | System for securing the flow of and selectively modifying packets in a computer network |
US5606668A (en) * | 1993-12-15 | 1997-02-25 | Checkpoint Software Technologies Ltd. | System for securing inbound and outbound data packet flow in a computer network |
US5416842A (en) * | 1994-06-10 | 1995-05-16 | Sun Microsystems, Inc. | Method and apparatus for key-management scheme for use with internet protocols at site firewalls |
US5623601A (en) * | 1994-11-18 | 1997-04-22 | Milkway Networks Corporation | Apparatus and method for providing a secure gateway for communication and data exchanges between networks |
US5793763A (en) * | 1995-11-03 | 1998-08-11 | Cisco Technology, Inc. | Security system for network address translation systems |
US5781550A (en) * | 1996-02-02 | 1998-07-14 | Digital Equipment Corporation | Transparent and secure network gateway |
US5826014A (en) * | 1996-02-06 | 1998-10-20 | Network Engineering Software | Firewall system for protecting network elements connected to a public network |
US5778174A (en) * | 1996-12-10 | 1998-07-07 | U S West, Inc. | Method and system for providing secured access to a server connected to a private computer network |
-
1997
- 1997-04-23 CN CN97194075A patent/CN1216657A/zh active Pending
- 1997-04-23 KR KR1019980708503A patent/KR100317443B1/ko not_active IP Right Cessation
- 1997-04-23 WO PCT/CA1997/000269 patent/WO1997040610A2/en active IP Right Grant
- 1997-04-23 DE DE69708281T patent/DE69708281T2/de not_active Expired - Lifetime
- 1997-04-23 CA CA002248577A patent/CA2248577C/en not_active Expired - Lifetime
- 1997-04-23 AU AU25632/97A patent/AU707905B2/en not_active Expired
- 1997-04-23 JP JP9537534A patent/JPH11508753A/ja active Pending
- 1997-04-23 EP EP97917189A patent/EP0895684B1/en not_active Expired - Lifetime
- 1997-04-24 US US08/842,328 patent/US6128298A/en not_active Expired - Lifetime
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003526270A (ja) * | 2000-03-03 | 2003-09-02 | ネクスランド インコーポレイテッド | ローカルipアドレスと変換不可能なポートアドレスとを用いたローカルエリアネットワークのためのネットワークアドレス変換ゲートウェイ |
KR100689540B1 (ko) * | 2000-03-20 | 2007-03-08 | 삼성전자주식회사 | 사설 아이피 네트워크를 통한 다중 통화 장치 및 방법 |
US7447804B2 (en) | 2000-03-20 | 2008-11-04 | Samsung Electronics Co., Ltd. | System and method for multi-telecommunication over local IP network |
JP2001345854A (ja) * | 2000-03-27 | 2001-12-14 | Matsushita Electric Ind Co Ltd | ネットワーク間のパケット通信方法及びシステム並びに装置 |
JP2004506385A (ja) * | 2000-08-08 | 2004-02-26 | フランス テレコム | パケット網におけるユーザーのインストレーション端末の識別子の変換 |
JP4696440B2 (ja) * | 2000-08-08 | 2011-06-08 | フランス・テレコム | パケット網におけるユーザーのインストレーション端末の識別子の変換 |
JP2004535096A (ja) * | 2001-04-11 | 2004-11-18 | サフェイ カンパニー リミテッド | 外部からのアクセスを規制するための方法およびシステム |
Also Published As
Publication number | Publication date |
---|---|
EP0895684B1 (en) | 2001-11-14 |
CN1216657A (zh) | 1999-05-12 |
KR100317443B1 (ko) | 2002-01-16 |
AU707905B2 (en) | 1999-07-22 |
WO1997040610A2 (en) | 1997-10-30 |
CA2248577A1 (en) | 1997-10-30 |
US6128298A (en) | 2000-10-03 |
AU2563297A (en) | 1997-11-12 |
DE69708281T2 (de) | 2002-05-16 |
WO1997040610A3 (en) | 1997-11-27 |
DE69708281D1 (de) | 2001-12-20 |
KR20000010612A (ko) | 2000-02-25 |
CA2248577C (en) | 2002-11-05 |
EP0895684A2 (en) | 1999-02-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JPH11508753A (ja) | インターネット・プロトコル・フィルタ | |
EP1234246B1 (en) | System and method for network access without reconfiguration | |
US7139828B2 (en) | Accessing an entity inside a private network | |
JP4519214B2 (ja) | クライアント構成方法 | |
US6128664A (en) | Address-translating connection device | |
US6857009B1 (en) | System and method for network access without reconfiguration | |
US20070094411A1 (en) | Network communications system and method | |
EP1057309B1 (en) | System and method for using domain names to route data sent to a destination on a network | |
US8090843B2 (en) | Creating a public identity for an entity on a network | |
WO1999030237A1 (en) | Methods for interfacing a computer or network to a wide area network, such as the internet | |
JPH11252172A (ja) | パケット生成方法およびその機能を有する情報処理装置並びにパケット生成プログラムを記録した記録媒体 | |
Cisco | IP Routing and Bridging | |
Cisco | IP Commands | |
Cisco | IP Commands | |
Cisco | IP Commands | |
Cisco | IP Commands | |
Cisco | Internet Protocols (IP) | |
Hughes | Review of IPv4 | |
Davies | TCP/IP Fundamentals for Microsoft Windows | |
Yanowitz | Under the hood of the Internet: an overview of the TCP/IP protocol suite | |
Wei et al. | Performance analysis of IP masquerade on linux workstation | |
Mariën | Internet Infrastructure KU Leuven 2009-2010 Part 1: Networking | |
Kostick | IP Masquerading with Linux: How to enable and configure IP masquerading with Linux | |
Davenport | Notes on\TCP/IP Illustrated" Version 5 | |
Davenport | Notes on “TCP/IP Illustrated” Version 10 (with changes noted) |