KR101531472B1 - 방화벽 클러스터에서의 애플리케이션 상태 공유 - Google Patents

방화벽 클러스터에서의 애플리케이션 상태 공유 Download PDF

Info

Publication number
KR101531472B1
KR101531472B1 KR1020147006134A KR20147006134A KR101531472B1 KR 101531472 B1 KR101531472 B1 KR 101531472B1 KR 1020147006134 A KR1020147006134 A KR 1020147006134A KR 20147006134 A KR20147006134 A KR 20147006134A KR 101531472 B1 KR101531472 B1 KR 101531472B1
Authority
KR
South Korea
Prior art keywords
node
connection
firewall cluster
state data
application state
Prior art date
Application number
KR1020147006134A
Other languages
English (en)
Other versions
KR20140058615A (ko
Inventor
스펜서 미니어
폴 메이어
Original Assignee
맥아피 인코퍼레이티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 맥아피 인코퍼레이티드 filed Critical 맥아피 인코퍼레이티드
Publication of KR20140058615A publication Critical patent/KR20140058615A/ko
Application granted granted Critical
Publication of KR101531472B1 publication Critical patent/KR101531472B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • H04L63/0218Distributed architectures, e.g. distributed firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/16Arrangements for providing special services to substations
    • H04L12/18Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/16Arrangements for providing special services to substations
    • H04L12/18Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
    • H04L12/1813Arrangements for providing special services to substations for broadcast or conference, e.g. multicast for computer conferences, e.g. chat rooms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0654Management of faults, events, alarms or notifications using network fault recovery
    • H04L41/0668Management of faults, events, alarms or notifications using network fault recovery by dynamic selection of recovery network elements, e.g. replacement by the most appropriate element after failure
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Multimedia (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

3개 이상의 노드를 갖는 방화벽 클러스터에서 접속을 수신하고, 제1 노드에서 수신된 접속의 패킷들을 모니터링하고 모니터링된 패킷들로부터 접속과 연관된 애플리케이션 상태 데이터를 결정하고, 방화벽 클러스터 내의 적어도 또 다른 노드와 애플리케이션 상태 데이터를 공유하도록 동작가능한 제1 노드를 포함하는 방화벽 클러스터 시스템.

Description

방화벽 클러스터에서의 애플리케이션 상태 공유{APPLICATION STATE SHARING IN A FIREWALL CLUSTER}
관련된 출원들에 대한 교차 참조
본 출원은, 참조에 의해 본원에 포함된, 2011년 9월 8일 출원된 U.S 출원 번호 13/227,825에 대해 우선권을 주장한다.
기술분야
본 발명은 일반적으로 방화벽 동작에 관한 것이고, 보다 구체적으로는 일 실시예에서 방화벽 클러스터에서의 애플리케이션 상태 공유에 관한 것이다.
제한된 저작권 포기
본 특허 문헌의 공개의 일부는 저작권 보호의 청구 대상이 되는 자료를 포함한다. US 특허청 파일 또는 기록들에 나타나는 한, 저작권자는 임의의 사람에 의한 본 특허 문헌 또는 본 특허 공개의 복사 재생산에 이의가 없지만, 모든 그외의 권리들은 무엇이든 보유한다.
컴퓨터들은, 컴퓨터 네트워크들을 통해 그외의 컴퓨터 시스템들과 통신하고 정보를 검색하는 그것들의 능력에 대해 일반적으로 가치가 있는 도구들이다. 네트워크들은 전형적으로, 정보를 컴퓨터에서 컴퓨터로 전송하기 위한 능력을 컴퓨터들에 제공하기 위해, 와이어, 광섬유, 라디오, 또는 그외의 데이터 송신 수단들에 의해 링크된, 컴퓨터들의 상호접속된 그룹을 포함한다. 인터넷은 아마 가장 잘 공지된 컴퓨터 네트워크이고, 예를 들어, 수백만 명의 사람들이, 웹 페이지들을 보고, 이메일을 보내고, 또는 그외의 컴퓨터 대 컴퓨터 통신을 수행함으로써 수백만 개의 그외의 컴퓨터에 액세스하는 것을 가능하게 한다.
그러나, 인터넷의 규모는 매우 크고 인터넷 사용자들은 그들의 관심사들에 있어서 매우 다양하기 때문에, 악의적인 사용자들 또는 장난치는 사람들이 그외의 사용자들에게 위험을 일으키는 방식으로 그외의 사용자들의 컴퓨터들과 통신하려고 시도하는 것은 드물지 않다. 예를 들어, 해커는 정보를 훔치거나, 삭제하거나, 또는 변경하기 위해 기업의 컴퓨터에 로그인하려고 시도할 수 있다. 컴퓨터 바이러스들 또는 트로이 목마 프로그램들은 그외의 컴퓨터들에 유포될 수 있거나, 또는 많은 수의 컴퓨터 사용자에 의해 모르고 다운로드되거나 또는 실행될 수 있다. 또한, 기업과 같은 조직 내의 컴퓨터 사용자들은, 파일 공유 프로그램들을 실행하는 것 또는 기업 기밀들을 회사의 네트워크 내부로부터 인터넷에 송신하는 것과 같은, 비인가 네트워크 통신들을 수행하려고 시도할 때가 있을 수 있다.
이러한, 및 그외의 이유들로, 많은 기업들, 기관들, 및 심지어 가정 사용자들도 그들의 로컬 네트워크와 인터넷 사이에 네트워크 방화벽 또는 유사한 디바이스를 사용한다. 방화벽은 전형적으로 그것을 통과하는 네트워크 트래픽을 검사하고, 규칙들의 세트에 기초하여 원하는 네트워크 트래픽의 통과를 허가하는 컴퓨터화된 네트워크 디바이스이다.
방화벽들은, TCP/IP 또는 그외의 네트워크 프로토콜 패킷들과 같은, 통신 패킷들을 관찰하고, 소스 및 목적지 네트워크 어드레스들, 어떤 포트들이 사용되고 있는지, 및 접속의 상태 또는 이력과 같은 특성들을 검사함으로써 그것들의 필터링 기능들을 수행한다. 일부 방화벽들은 또한 특정 애플리케이션으로, 또는 특정 애플리케이션으로부터 이동하는 패킷들을 검사하거나, 또는 보호된 사용자와 외부의 네트워크형(networked) 컴퓨터들 사이에서 선택된 네트워크 요청들을 프로세스하고 포워딩(forwarding)함으로써 프록시 디바이스로서 작동한다.
방화벽은 전형적으로, 다양한 포트들, 소켓들, 및 프로토콜들 사이의 접속들을 모니터링함으로써, 예를 들어, 방화벽에서 네트워크 트래픽을 검사함으로써 네트워크 정보의 흐름을 제어한다. 소켓, 포트, 애플리케이션, 및 그외의 정보에 기초한 규칙들은 데이터를 선택적으로 필터링 또는 통과시키고, 네트워크 활동을 로그(log)하는데 사용된다. 방화벽 규칙들은 전형적으로, 종래의 FTP 포트를 통해 수신된 임의의 것을 바이러스 스캐닝하는 동안 파일 공유 프로그램들을 위해 사용되는 것으로 공지된 포트들 상의 트래픽을 차단하고, 특정 애플리케이션들 또는 사용자들이, 그외의 것들이 그러한 작업들을 수행하는 것을 허용하는 동안, 일부 작업들을 수행하는 것을 차단하고, 공통 IP 어드레스로부터 상이한 포트들을 향해 반복되는 쿼리(query)들과 같은 공지된 공격 패턴들에 기초하여 트래픽을 차단하는 것과 같이, 금지되거나, 또는 특정한 그외의 제한들이 적용될 특정 타입의 네트워크 트래픽을 식별하도록 구성된다.
그러나, 다수의 컴퓨터 시스템에 걸쳐 분산된 경우 그러한 접속들을 관리하는 방화벽의 능력은, 접속에 대한 지식이 전형적으로 그 접속을 핸들링하는 시스템에만 저장된다는 점에서 제한된다. 따라서 클러스터에서의 개선된 방화벽 분산이 요구된다.
본 발명의 다양한 예시의 실시예들은, 3개 이상의 노드를 갖는 방화벽 클러스터의 제1 노드에서의 접속을 수신하고, 제1 노드에서 수신된 접속의 패킷들을 모니터링하고 모니터링된 패킷들로부터 접속과 연관된 애플리케이션 상태 데이터를 결정하고, 방화벽 클러스터 내의 적어도 또 다른 노드와 애플리케이션 상태 데이터를 공유하도록 동작가능한 제1 노드를 포함하는 방화벽 클러스터 시스템을 포함한다. 또 다른 노드는 애플리케이션 상태 데이터를 사용하여, 예를 들어, 제1 노드가 실패하면 접속을 프로세스하는 것을 계속하거나, 또는 부하 균형(load balancing)을 제공할 수 있다.
도 1은, 본 발명의 일부 실시예들을 실시하는 데 사용될 수 있는, 방화벽을 포함하는 예시의 네트워크를 도시하는 도면.
도 2는, 본 발명의 일부 실시예들을 실시하는 데 사용될 수 있는, 다수의 방화벽 노드를 포함하는 방화벽 클러스터를 포함하는 예시의 네트워크를 도시하는 도면.
도 3은, 본 발명의 예시의 실시예와 일치하는, 방화벽 클러스터에서의 공유된 애플리케이션 상태 데이터를 사용하는 방법을 예시하는 흐름도.
이하의 본 발명의 예시의 실시예들의 상세한 설명에서, 도면들 및 예시들을 통해 특정 예시들에 대해 참조한다. 이러한 예시들은 본 기술 분야에 숙련된 자들이 본 발명을 실시할 수 있게 하기 위해 충분히 상세히 설명되고, 본 발명이 다양한 목적들 또는 실시예들에 어떻게 적용될 수 있는지를 예시하는 데 도움이 된다. 본 발명의 그외의 실시예들은 본 발명의 범위 내에 존재하고 속하며, 논리적, 기계적, 전기적, 및 그외의 변화들이 본 발명의 주제 또는 범위로부터 벗어나지 않고 행해질 수 있다. 본원에 설명된 본 발명의 다양한 실시예들의 특징들 또는 한정들은, 그것들이 포함되는 예시의 실시예들에 필수적이라 해도, 본 발명을 전체로서 한정하지 않으며, 본 발명, 그의 엘리먼트들, 동작, 및 응용에 대한 임의의 참조는 본 발명을 전체로서 한정하지 않고 이러한 예시의 실시예들을 정의하는 데만 도움이 된다. 이하의 상세한 설명은, 따라서, 첨부된 특허청구범위에 의해서만 정의되는 본 발명의 범위를 한정하지 않는다.
도 1은, 인터넷(101)과 같은 공중(public) 네트워크, 사설 네트워크(102), 및 103에 도시된, 방화벽 및 침입 방지 기능들을 제공하도록 동작가능한 컴퓨터 네트워크 디바이스를 포함하는, 전형적인 컴퓨터 네트워크 환경을 예시한다. 이러한 특정 예시에서, 컴퓨터 네트워크 디바이스(103)는 인터넷과 사설 네트워크 사이에 위치하고, 사설 네트워크와 공중 네트워크 사이의 트래픽의 흐름을 조절한다.
네트워크 디바이스(103)는 다양한 실시예들에서 방화벽 디바이스, 및 침입 방지 디바이스이거나, 또는 양쪽 모두로서 기능한다. 네트워크 디바이스 내의 방화벽 디바이스 또는 모듈은, 네트워크 패킷들을 검사하는 것 및 방화벽 필터링 규칙들의 세트를 충족하는 네트워크 패킷들을 드롭(dropping) 또는 거부하는 것과 같은, 다양한 네트워크 흐름 제어 기능들을 제공한다. 전술한 바와 같이, 방화벽들은 전형적으로, TCP/IP 또는 그외의 네트워크 프로토콜 패킷들과 같은, 통신 패킷들을 관찰하고, 소스 및 목적지 네트워크 어드레스들, 어느 포트들이 사용되고 있는지, 및 접속의 상태 또는 이력과 같은 특성들을 검사함으로써 그것들의 필터링 기능들을 수행한다. 일부 방화벽들은 또한 패킷들을 검사하여 어느 애플리케이션이 접속을 확립했는지를 판정하거나, 또는 보호된 사용자와 외부의 네트워크형 컴퓨터들 사이에서 선택된 네트워크 요청들을 프로세스 및 포워딩함으로써 프록시 디바이스로서 작동한다. 방화벽들은 종종 원하지 않는 트래픽의 "서명" 또는 그외의 특성들을 사용하여, 유해한 것으로 간주되거나 또는 그렇지 않으면 원하지 않는 트래픽을 검출 및 차단한다.
방화벽들은 전형적으로, 트래픽을 필터링하기 위한 규칙들의 세트들을 사용해서, 네트워크 데이터의 임의의 특정 엘리먼트에 무엇이 발생할지는 그 특정 데이터에 규칙 세트가 어떻게 적용될지에 의존하게 된다. 예를 들어 포트 6346으로 향하는 모든 트래픽을 차단하는 규칙은 보호된 네트워크 내의 서버 상의 그 포트를 향하여 들어오는 트래픽을 차단할 것이지만, 상이한 포트 번호 상에서 동일한 서버로 가는 그외의 데이터는 차단하지 않을 것이다. 마찬가지로, Shareaza와 같은 파일 공유 프로그램으로부터 비롯된 트래픽을 차단하는 규칙은 트래픽의 패턴들을 사용하여 포트 6346 상에서 Shareaza 트래픽을 차단할 것이지만, 포트 6346 상에서 그외의 트래픽은 허용할 것이다.
그러나, 대형 또는 복잡한 시스템에서와 같이, 방화벽이 다수의 컴퓨터 또는 노드들에 걸쳐 분산된 시스템으로서 구현되는 환경에서, 접속을 공유하기 위한 다수의 노드의 능력은, 소켓 정보, 애플리케이션 정보, 접속에 관한 것 등과 같은, 접속에 관한 관리 노드의 정보에 의해 제한된다. 본 발명의 일부 실시예들은 따라서 애플리케이션 타입 또는 그외의 그러한 접속 데이터와 같은 상태 정보를 클러스터 방화벽 내의 그외의 시스템들과 공유하기 위한 메커니즘을 제공하여, 방화벽 클러스터 내의 다수의 노드가 동일한 접속을 프로세스할 수 있게 한다. 이는, 시스템들 사이에서 접속 책임을 이전함으로써 부하의 균형을 유지하고, 그것들의 접속들을 또 다른 머신으로 이전함으로써 클러스터 내의 노드의 실패를 관리하고, 그외의 그러한 기능들을 수행하는 능력을 클러스터에 제공한다.
하나의 그러한 예시에서, 방화벽 또는 침입 방지 시스템은 방화벽을 통해 흐르는 트래픽을 프로세스하는 것을 공유하는 노드들의 접속된 그룹 또는 클러스터로서 구현된다. 도 2는, 본 발명의 일부 실시예들을 실시하는 데 사용될 수 있는 바와 같은, 분산형 방화벽을 갖는 네트워크를 도시한다. 여기에서, 인터넷(201)과 같은 네트워크는 방화벽(203)에 의해 내부 네트워크(202)에 결합된다. 방화벽(203)은 부하 균형 및 그외의 방화벽 관리 기능들과 같은 기능들을 수행할 수 있는 유입 트래픽 모듈(204) 및 유출 트래픽 모듈(205)을 포함한다. 방화벽 또는 침입 방지 규칙들은, 도시된 바와 같이 네트워크 접속들에 의해 서로 접속되는, 방화벽 노드들(206)에서 적용된다.
여기에서 도시된 5개의 노드는 각각, 트래픽에 규칙들을 적용하여 인터넷(201)과 내부 네트워크(202) 사이에서 흐르는 트래픽을 선택적으로 허가 또는 차단하도록 동작할 수 있는, 방화벽 또는 관련된 소프트웨어의 인스턴스를 실행하는 분리된 컴퓨터 시스템을 포함한다. 대안의 실시예에서, 노드 1, 2, 및 3과 같은 일부 노드들은 방화벽 애플리케이션을 실행하지만, 4 및 5와 같은 그외의 노드들은 IPS(intrusion protection system) 애플리케이션을 실행한다. 노드들(204 및 205)은 방화벽 노드들(206)로 라우팅된 트래픽의 부하 균형과 같은 기능들을 수행하는 것을 책임져서, 노드들이 단일 노드보다 더 높은 처리 능력을 제공하도록 효과적으로 함께 작동할 수 있다는 것을 보장하게 된다.
일부 방화벽 실시예들은, 포트, IP, 및 그외의 그러한 규칙들을 데이터 스트림에 단순히 적용하는 것을 넘어서는 복잡한 접속 식별 기능들을 수행한다. 예를 들어, 일부 방화벽 예시들은 새로운 접속의 처음의 몇몇 패킷들을 모니터링하고, 애플리케이션 통신 프로필 정보에 기초하여 접속을 개시한 애플리케이션을 식별하도록 동작가능한 애플리케이션 식별 모듈을 포함한다. 애플리케이션이 결정되면, 애플리케이션 특정 규칙들이 접속에 적용될 수 있어, 방화벽을 통해 흐르는 데이터를 제어하기 위한 향상된 능력을 제공하게 된다.
206의 방화벽 노드가 실패하면, 또 다른 노드가 접속을 간단히 픽 업(pick up)하고, 포트, IP 어드레스, 및 그외의 그러한 특성들에 기초하여 동일한 기존의 방화벽 규칙들을 적용할 수 있다. 그러나, 도 2의 206의 5개의 상이한 방화벽 노드가 포트 및 IP 어드레스와 같은 식별 가능한 특성들에 기초하여 접속에 동일한 규칙들을 적용할 수 있지만, 그것들은 애플리케이션 기반 규칙들을 접속에 적용하도록 미리 확립된 링크의 처음의 몇몇 패킷들을 재검사할 수 없다.
따라서 본 발명의 일부 실시예들은 방화벽 클러스터 내의 노드들에 걸친 애플리케이션 상태 공유를 위한 메커니즘을 제공하여, 예를 들면, 부하 균형을 위해 또는 실패한 클러스터 노드로부터 복구하기 위해, 방화벽이, 애플리케이션 기반 규칙들에 따르는 접속을 또 다른 노드로 이전시킬 수 있게 한다. 이러한 상태 공유는 일 실시예에서, 도 2에 도시된 바와 같이, 방화벽 클러스터 내의 노드들을 서로 링크하는 네트워크 접속을 통해 핸들링된다. 애플리케이션 정보를 포함하는 접속들에 대한 세션(session) 정보가 노드들에 걸쳐 공유되기 때문에, 식별된 애플리케이션을 갖는 확립된 접속을 수신하는 노드는 방화벽 구성에 의해 판정된 바와 같이 트래픽을 허용 또는 거부할지에 대해 애플리케이션 특정 규칙들을 적용할 수 있다.
일부 실시예들에서 상태 공유는, 그외의 노드들 각각이 그외의 노드들 상의 접속들의 애플리케이션 상태의 지식을 갖도록 상태 정보를 방화벽 클러스터 내의 모든 그외의 노드들에 브로드캐스트하는 것을 포함한다. 대안의 실시예에서, 마스터 노드는 애플리케이션 상태 데이터를 수신하고 그 데이터를 저장하여, 클러스터 내의 적어도 2개의 노드가 애플리케이션 상태 데이터가 식별된 접속들에 대한 애플리케이션 상태 데이터를 갖게 한다. 따라서 마스터 노드는 그것의 애플리케이션 상태 데이터를 백업 마스터 노드 또는 그외의 지정된 노드와 공유할 수 있어, 마스터 노드의 실패가 애플리케이션 상태 데이터의 손실을 야기하지 않을 것이다. 계속하여 그외의 예시들에서, 마스터 노드는 애플리케이션 상태 정보를 수신하고 이후 그 정보를 그외의 노드들에 브로드캐스트한다.
도 3은, 본 발명의 예시의 실시예와 일치하는, 실패한 노드로부터 복구하도록 방화벽 내의 노드들에 걸쳐 애플리케이션 상태 공유를 사용하는 것의 예시를 도시한다. 301에서, 링크는 로컬 네트워크(202) 내의 컴퓨터와 인터넷(201) 사이에서 개시된다. 노드들 사이의 링크는, 302에서 네트워크 접속이 확립되자마자 소스 및 목적지 포트 및 IP 어드레스와 같은 상태 정보를 공유하는, 노드 1에 의해 핸들링된다. 데이터의 몇몇 패킷들이 로컬 컴퓨터와 인터넷 서버 사이에서 교환된 이후, 303에서 방화벽은 패킷들의 데이터 패턴들을 공지된 애플리케이션들과 연관된 데이터 패턴들과 비교하여, 많은 경우에서 어느 애플리케이션이 접속을 개시했는지를 결정할 수 있다. 방화벽 노드 1은 이후 304에서 그외의 노드들과, 접속에 대한 이러한 애플리케이션 상태 데이터를 공유하고, 305에서 애플리케이션 상태 데이터를 사용하여 애플리케이션 특정 규칙들을 방화벽에 적용한다.
306에서, 노드 1은 실패하고, 307에서 접속은 노드 2에 리다이렉트(redirect)된다. 노드 2가 접속에 관한 애플리케이션 상태 데이터를 노드 1로부터 이전에 수신했기 때문에, 308에서 노드 2는 애플리케이션 특정 규칙들을 접속에 적용하는 것을 포함하는, 데이터 스트림을 필터링하는 것을 재개할 수 있다.
이러한 예시는 노드가 실패한 이후 노드가 접속을 필터링하는 것을 재개할 수 있는 방법을 예시하지만, 부하 균형, 또는 상이한 작업들로의 노드들의 재배정과 같은 애플리케이션들을 위해 분산형 방화벽 클러스터에서 접속들을 하나의 노드에서 또 다른 것으로 이전시키기 위해 유사한 방법들이 이용될 수 있다.
하나의 그러한 예시에서, 방화벽 노드 1은 실패하지 않지만, 그러한 노드들 둘 중 하나인(도시되지 않음) 침입 방지 시스템 노드가 실패한다. 시스템은 방화벽 서비스를 제공하는 많은 수의 노드와 침입 방지를 제공하는 많은 수의 노드 사이에서 일정한 균형을 유지하기를 원하고, 이러한 예시에서 침입 방지 시스템은 그것의 두 개의 노드 중 하나가 실패하는 경우 그것의 용량의 절반을 잃는다. 시스템은 따라서 실패한 침입 방지 노드를 대체하도록 방화벽 노드 1을 재배정하여, 이전에는 방화벽 노드 1에 의해 핸들링되던 접속들을, 도 2에 도시된 바와 같은, 방화벽 노드들 2-5에 걸쳐 재분배되게 한다.
이러한 예시들은, 방화벽 클러스터에서 애플리케이션 상태 데이터를 공유하는 것이 어떻게 방화 벽 클러스터 내의 부하 균형, 페일오버(failover), 및 그외의 기능들을 용이하게 하여, 방화벽 클러스터에서 네트워크 트래픽의 애플리케이션 기반 필터링을 더 관리 가능하고 신뢰할 수 있게 만들 수 있는지를 예시한다.
특정 실시예들이 본원에 예시되고 설명되었지만, 동일한 목적을 달성하도록 산출된 임의의 배열이 도시된 특정 실시예들을 대체할 수 있다는 것은 본 기술 분야에 숙련된 자들에게 이해될 것이다. 본 출원서는 본원에 설명된 본 발명의 예시의 실시예들의 임의의 적응들 또는 변형들을 포함하도록 의도된다. 본 발명은 특허청구범위, 및 그들의 등가물들의 완전한 범위에 의해서만 한정되는 것으로 의도되었다.
일 예시의 실시예에서, 방화벽 클러스터를 동작시키는 방법은, 3개 이상의 노드를 갖는 방화벽 클러스터의 제1 노드에서 접속을 수신하는 단계, 제1 노드에서 수신된 접속의 패킷들을 모니터링하고 모니터링된 패킷들로부터 접속과 연관된 애플리케이션 상태 데이터를 결정하는 단계, 및 방화벽 클러스터 내의 적어도 또 다른 노드와 애플리케이션 상태 데이터를 공유하는 단계로 구성되는 프로세스를 포함한다. 이러한 예시는 접속을 수신한 이후, 그러나 애플리케이션 상태 데이터를 공유하기 이전에, 수신된 접속에 관한 접속 정보를 방화벽 클러스터 내의 적어도 또 다른 노드와 더 공유할 수 있다. 옵션으로 방화벽 클러스터는 접속과 연관된 애플리케이션의 아이덴티티(identity)를 포함하는 애플리케이션 상태 데이터를 유지할 수 있다. 애플리케이션 상태 데이터를 공유하는 단계는 애플리케이션 상태 데이터를 방화벽 클러스터 내의 그외의 노드들에 브로드캐스트하거나 또는 애플리케이션 상태 데이터를 마스터 노드에 보내는 단계를 포함할 수 있다. 마스터 노드는 또한 애플리케이션 상태 데이터를 방화벽 클러스터 내의 그외의 노드들에 브로드캐스트하도록 구성될 수 있다. 방화벽 클러스터는 또한, 제1 노드의 실패 시에 또 다른 노드에서 접속을 필터링하도록, 접속과 연관된 공유된 애플리케이션 상태 데이터를 사용하거나 또는 방화벽 클러스터에 부하 균형을 제공하기 위해 또 다른 노드에서 접속을 필터링하도록, 접속과 연관된 공유된 애플리케이션 상태 데이터를 사용할 수 있다.
또 다른 예시에서, 방화벽 클러스터는 3개 이상의 노드를 갖는 방화벽 클러스터에서 접속을 수신하고, 제1 노드에서 수신된 접속의 패킷들을 모니터링하고 모니터링된 패킷들로부터 접속과 연관된 애플리케이션 상태 데이터를 결정하고, 방화벽 클러스터 내의 적어도 또 다른 노드와 애플리케이션 상태 데이터를 공유하도록 동작가능한 제1 노드를 포함할 수 있다. 제1 노드는 또한 접속을 수신한 이후, 그러나 애플리케이션 상태 데이터를 공유하기 이전에, 수신된 접속에 관한 접속 정보를 방화벽 클러스터 내의 적어도 또 다른 노드와 공유하도록 더 동작가능할 수 있다. 이러한 예시는 물론 이전의 예시에 설명된 일부 또는 모든 엘리먼트들을 포함한다.

Claims (40)

  1. 방화벽 클러스터를 동작시키는 방법으로서,
    3개 이상의 노드를 갖는 방화벽 클러스터의 제1 노드에 의해 접속 정보를 수신하는 단계;
    접속을 확립할 때 방화벽 클러스터 상태 정보를 공유하는 단계;
    상기 접속에서 수신된 패킷들 내의 데이터 패턴들을 공지된 데이터 패턴과 비교하여 애플리케이션 상태 데이터를 생성하는 단계 - 상기 애플리케이션 상태 데이터는 상기 제1 노드와 통신하는 애플리케이션의 아이덴티티(identity)를 나타냄 -; 및
    상기 방화벽 클러스터 내의 적어도 하나의 다른 노드와 애플리케이션 상태 데이터를 공유하는 단계
    를 포함하는, 방화벽 클러스터 동작 방법.
  2. 제1항에 있어서,
    애플리케이션 상태 데이터를 공유하기 이전에, 상기 방화벽 클러스터 내의 적어도 하나의 다른 노드와 상기 접속 정보를 공유하는 단계를 더 포함하는, 방화벽 클러스터 동작 방법.
  3. 제1항에 있어서,
    애플리케이션 상태 데이터는 상기 접속을 통해 상기 방화벽 클러스터와 통신하는 애플리케이션의 상기 아이덴티티를 포함하는, 방화벽 클러스터 동작 방법.
  4. 제1항에 있어서,
    상기 애플리케이션 상태 데이터를 공유하는 단계는 상기 애플리케이션 상태 데이터를 상기 방화벽 클러스터 내의 그외의 노드들에 브로드캐스트하는 단계를 포함하는, 방화벽 클러스터 동작 방법.
  5. 제1항에 있어서,
    상기 애플리케이션 상태 데이터를 공유하는 단계는 상기 애플리케이션 상태 데이터를 마스터 노드에 보내는 단계를 포함하는, 방화벽 클러스터 동작 방법.
  6. 제5항에 있어서,
    상기 마스터 노드가 상기 애플리케이션 상태 데이터를 상기 방화벽 클러스터 내의 그외의 노드들에 브로드캐스트하는 단계를 더 포함하는, 방화벽 클러스터 동작 방법.
  7. 제1항에 있어서,
    상기 제1 노드의 실패 시에 또 다른 노드에서 상기 접속을 필터링하도록 상기 공유된 애플리케이션 상태 데이터를 사용하는 단계를 더 포함하는, 방화벽 클러스터 동작 방법.
  8. 제1항에 있어서,
    상기 방화벽 클러스터에 부하 균형을 제공하기 위해 또 다른 노드에서 상기 접속을 필터링하도록 상기 공유된 애플리케이션 상태 데이터를 사용하는 단계를 더 포함하는, 방화벽 클러스터 동작 방법.
  9. 3개 이상의 노드를 갖는 방화벽 클러스터로서,
    복수의 프로세서 - 상기 방화벽 클러스터의 각각의 노드는 상기 복수의 프로세서 중 하나 이상의 프로세서 상에서 실행되도록 구성됨 -; 및
    상기 복수의 프로세서 중 하나 이상의 프로세서에 통신적으로 결합된 메모리
    를 포함하고,
    제1 노드는 접속 정보를 수신하도록 동작가능하고, 상기 제1 노드는, 접속을 확립할 때 방화벽 클러스터 상태 정보를 공유하고, 상기 접속에서 수신된 패킷들 내의 데이터 패턴들을 공지된 데이터 패턴과 비교하여 애플리케이션 상태 데이터를 생성하고, 상기 방화벽 클러스터 내의 적어도 하나의 다른 노드와 상기 애플리케이션 상태 데이터를 공유하도록 동작가능하고, 상기 애플리케이션 상태 데이터는 상기 제1 노드와 통신하는 애플리케이션의 아이덴티티를 나타내는, 3개 이상의 노드를 갖는 방화벽 클러스터.
  10. 제9항에 있어서,
    상기 제1 노드는, 애플리케이션 상태 데이터를 공유하기 이전에, 상기 방화벽 클러스터 내의 적어도 하나의 다른 노드와 상기 접속 정보를 공유하도록 더 동작가능한, 3개 이상의 노드를 갖는 방화벽 클러스터.
  11. 삭제
  12. 제9항에 있어서,
    상기 애플리케이션 상태 데이터를 공유하는 것은 상기 애플리케이션 상태 데이터를 상기 방화벽 클러스터 내의 그외의 노드들에 브로드캐스트하는 것을 포함하는, 3개 이상의 노드를 갖는 방화벽 클러스터.
  13. 제9항에 있어서,
    마스터 노드를 더 포함하고, 상기 애플리케이션 상태 데이터를 공유하는 것은 상기 애플리케이션 상태 데이터를 상기 마스터 노드에 보내는 것을 포함하는, 3개 이상의 노드를 갖는 방화벽 클러스터.
  14. 제13항에 있어서,
    상기 마스터 노드는 상기 애플리케이션 상태 데이터를 상기 방화벽 클러스터 내의 그외의 노드들에 브로드캐스트하도록 더 동작가능한, 3개 이상의 노드를 갖는 방화벽 클러스터.
  15. 제9항에 있어서,
    상기 제1 노드의 실패 시에 또 다른 노드에서 상기 접속을 필터링하도록 상기 접속과 연관된 상기 공유된 애플리케이션 상태 데이터를 사용하도록 동작가능한 제2 노드를 더 포함하는, 3개 이상의 노드를 갖는 방화벽 클러스터.
  16. 제9항에 있어서,
    상기 방화벽 클러스터에 부하 균형을 제공하기 위해 또 다른 노드에서 상기 접속을 필터링하도록 상기 접속과 연관된 상기 공유된 애플리케이션 상태 데이터를 사용하도록 동작가능한 제2 노드를 더 포함하는, 3개 이상의 노드를 갖는 방화벽 클러스터.
  17. 방화벽 클러스터를 동작시키는 방법으로서,
    3개 이상의 노드를 갖는 방화벽 클러스터의 제1 노드에서 접속 정보를 수신하는 단계;
    상기 방화벽 클러스터 내의 적어도 하나의 다른 노드와 접속을 확립할 때 방화벽 클러스터 상태 정보를 공유하는 단계;
    상기 접속에서 수신된 패킷들 내의 데이터 패턴들을 공지된 데이터 패턴과 비교하여 애플리케이션 아이덴티티와 연관된 데이터를 결정하는 단계; 및
    상기 애플리케이션 아이덴티티와 연관된 데이터 및 상기 접속과 연관된 데이터의 적어도 일부를 상기 방화벽 클러스터 내의 2개 이상의 그외의 노드와 공유하는 단계
    를 포함하는, 방화벽 클러스터 동작 방법.
  18. 제17항에 있어서,
    상기 제1 노드의 실패 시에 상기 방화벽 클러스터의 또 다른 노드에서 상기 접속을 필터링하도록 상기 접속과 연관된 데이터 및 상기 애플리케이션 아이덴티티와 연관된 데이터를 사용하는 단계를 더 포함하는, 방화벽 클러스터 동작 방법.
  19. 제17항에 있어서,
    상기 방화벽 클러스터에 부하 균형을 제공하기 위해 상기 방화벽 클러스터의 또 다른 노드에서 상기 접속을 필터링하도록 상기 접속과 연관된 데이터 및 상기 애플리케이션 아이덴티티와 연관된 데이터를 사용하는 단계를 더 포함하는, 방화벽 클러스터 동작 방법.
  20. 컴퓨터 실행가능한 명령어들을 포함하는 하나 이상의 컴퓨터 판독가능한 매체로서, 상기 컴퓨터 실행가능한 명령어들은 실행될 때 하나 이상의 프로세서로 하여금,
    3개 이상의 노드를 갖는 방화벽 클러스터의 제1 노드에 의해, 패킷과 연관된 접속 정보를 처리하고,
    접속을 확립하고,
    상기 방화벽 클러스터 내의 적어도 하나의 백업 노드에 상기 접속과 연관된 상태 데이터를 제공하고,
    상기 제1 노드의 실패에 응답하여, 상기 클러스터의 제2 노드로 상기 접속을 전환하고,
    상기 백업 노드로부터 상기 제2 노드로 상기 상태 데이터를 제공하게 하는 하나 이상의 컴퓨터 판독가능한 매체.
  21. 제20항에 있어서,
    상기 명령어들은 실행될 때 하나 이상의 프로세서로 하여금 상기 방화벽 클러스터 내의 다른 노드들로 상기 상태 데이터를 브로드캐스트하게 하는 명령어들을 더 포함하는 하나 이상의 컴퓨터 판독가능한 매체.
  22. 제20항에 있어서,
    상기 명령어들은 실행될 때 하나 이상의 프로세서로 하여금 상기 방화벽 클러스터의 마스터 노드에 상기 상태 데이터를 제공하게 하는 명령어들을 더 포함하는 하나 이상의 컴퓨터 판독가능한 매체.
  23. 제20항에 있어서,
    상기 명령어들은 실행될 때 하나 이상의 프로세서로 하여금 상기 방화벽 클러스터에 부하 균형을 제공하기 위해 또 다른 노드에서 상기 접속을 필터링하게 하는 명령어들을 더 포함하는 하나 이상의 컴퓨터 판독가능한 매체.
  24. 제20항에 있어서,
    상기 명령어들은 실행될 때 하나 이상의 프로세서로 하여금,
    상기 적어도 하나의 백업 노드에 애플리케이션 상태 데이터를 제공하고,
    상기 제1 노드의 실패에 응답하여 상기 제2 노드에 상기 애플리케이션 상태 데이터를 제공하게 하는 하나 이상의 컴퓨터 판독가능한 매체.
  25. 3개 이상의 노드를 갖는 방화벽 클러스터의 제1 노드에 의해, 패킷과 연관된 접속 정보를 처리하는 단계;
    접속을 확립하는 단계;
    상기 방화벽 클러스터 내의 적어도 하나의 백업 노드에 상기 접속과 연관된 상태 데이터를 제공하는 단계;
    상기 제1 노드의 실패에 응답하여, 상기 클러스터의 제2 노드로 상기 접속을 전환하는 단계; 및
    상기 백업 노드로부터 상기 제2 노드로 상기 상태 데이터를 제공하는 단계
    를 포함하는 방법.
  26. 제25항에 있어서,
    상기 방화벽 클러스터의 다른 노드들로 상기 상태 데이터를 브로드캐스트하는 단계를 더 포함하는 방법.
  27. 제25항에 있어서,
    상기 방화벽 클러스터의 마스터 노드에 상기 상태 데이터를 제공하는 단계를 더 포함하는 방법.
  28. 제25항에 있어서,
    상기 방화벽 클러스터에 부하 균형을 제공하기 위해 또 다른 노드에서 상기 접속을 필터링하는 단계를 더 포함하는 방법.
  29. 제25항에 있어서,
    상기 적어도 하나의 백업 노드에 애플리케이션 상태 데이터를 제공하는 단계; 및
    상기 제1 노드의 실패에 응답하여 상기 제2 노드에 상기 애플리케이션 상태 데이터를 제공하는 단계
    를 더 포함하는 방법.
  30. 3개 이상의 노드를 갖는 방화벽 클러스터로서,
    복수의 프로세서 - 상기 방화벽 클러스터의 각각의 노드는 상기 복수의 프로세서 중 하나 이상의 프로세서 상에서 실행되도록 구성됨 -; 및
    상기 복수의 프로세서 중 하나 이상의 프로세서에 통신적으로 결합된 메모리
    를 포함하고,
    상기 방화벽 클러스터의 제1 노드는,
    패킷과 연관된 접속 정보를 처리하고, 접속을 확립하고, 상기 방화벽 클러스터의 적어도 하나의 백업 노드에 상기 접속과 연관된 상태 데이터를 제공하도록 동작가능하고,
    상기 백업 노드는,
    상기 제1 노드의 실패에 응답하여 상기 제1 노드로부터 상기 방화벽 클러스터의 제2 노드로 상기 접속을 전환하고, 상기 제2 노드에 상기 상태 데이터를 제공하도록 동작가능한, 3개 이상의 노드를 갖는 방화벽 클러스터.
  31. 제30항에 있어서,
    상기 제1 노드는 상기 방화벽 클러스터 내의 다른 노드들로 상기 상태 데이터를 브로드캐스트하도록 더 동작가능한, 3개 이상의 노드를 갖는 방화벽 클러스터.
  32. 제30항에 있어서,
    상기 제1 노드는 상기 방화벽 클러스터의 마스터 노드에 상기 상태 데이터를 제공하도록 더 동작가능한, 3개 이상의 노드를 갖는 방화벽 클러스터.
  33. 제32항에 있어서,
    상기 마스터 노드는 상기 방화벽 클러스터 내의 다른 노드들로 상기 상태 데이터를 브로드캐스트하도록 동작가능한, 3개 이상의 노드를 갖는 방화벽 클러스터.
  34. 제32항에 있어서,
    상기 마스터 노드는 상기 방화벽 클러스터에 부하 균형을 제공하기 위해 또 다른 노드에서 상기 접속을 필터링하도록 더 동작가능한, 3개 이상의 노드를 갖는 방화벽 클러스터.
  35. 제30항에 있어서,
    상기 제1 노드는 상기 적어도 하나의 백업 노드에 애플리케이션 상태 데이터를 제공하도록 더 동작가능하고,
    상기 백업 노드는 상기 제1 노드의 실패에 응답하여 상기 애플리케이션 상태 데이터를 상기 제2 노드에 제공하도록 더 동작가능한, 3개 이상의 노드를 갖는 방화벽 클러스터.
  36. 3개 이상의 노드를 갖는 방화벽 클러스터로서,
    하나 이상의 프로세서; 및
    명령어들을 저장한 메모리 - 상기 메모리는, 실행될 때 하나 이상의 프로세서로 하여금, 상기 방화벽 클러스터의 제1 노드에 의해 확립된 접속과 연관된 상태 데이터를 수신하고, 상기 상태 데이터를 저장하고, 상기 제1 노드의 실패에 응답하여 상기 제1 노드로부터 상기 방화벽 클러스터의 제2 노드로 상기 접속을 전환하고, 상기 상태 데이터를 상기 제2 노드에 제공하게 하는 명령어들을 포함함 -
    를 포함하는, 3개 이상의 노드를 갖는 방화벽 클러스터.
  37. 제36항에 있어서,
    상기 명령어들은 실행될 때 하나 이상의 프로세서로 하여금 상기 방화벽 클러스터 내의 다른 노드들로 상기 상태 데이터를 브로드캐스트하게 하는 명령어들을 더 포함하는, 3개 이상의 노드를 갖는 방화벽 클러스터.
  38. 제36항에 있어서,
    상기 명령어들은 실행될 때 하나 이상의 프로세서로 하여금 상기 방화벽 클러스터의 마스터 노드에 상기 상태 데이터를 제공하게 하는 명령어들을 더 포함하는, 3개 이상의 노드를 갖는 방화벽 클러스터.
  39. 제36항에 있어서,
    상기 명령어들은 실행될 때 하나 이상의 프로세서로 하여금 상기 방화벽 클러스터에 부하 균형을 제공하기 위해 또 다른 노드에서 상기 접속을 필터링하게 하는 명령어들을 더 포함하는, 3개 이상의 노드를 갖는 방화벽 클러스터.
  40. 제36항에 있어서,
    상기 명령어들은 실행될 때 하나 이상의 프로세서로 하여금,
    상기 제1 노드로부터 애플리케이션 상태 데이터를 수신하고,
    상기 제1 노드의 실패에 응답하여 상기 제2 노드에 상기 애플리케이션 상태 데이터를 제공하게 하는 명령어들을 더 포함하는, 3개 이상의 노드를 갖는 방화벽 클러스터.
KR1020147006134A 2011-09-08 2012-09-06 방화벽 클러스터에서의 애플리케이션 상태 공유 KR101531472B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US13/227,825 2011-09-08
US13/227,825 US8763106B2 (en) 2011-09-08 2011-09-08 Application state sharing in a firewall cluster
PCT/US2012/053971 WO2013036646A1 (en) 2011-09-08 2012-09-06 Application state sharing in a firewall cluster

Publications (2)

Publication Number Publication Date
KR20140058615A KR20140058615A (ko) 2014-05-14
KR101531472B1 true KR101531472B1 (ko) 2015-06-24

Family

ID=47831092

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020147006134A KR101531472B1 (ko) 2011-09-08 2012-09-06 방화벽 클러스터에서의 애플리케이션 상태 공유

Country Status (6)

Country Link
US (2) US8763106B2 (ko)
EP (1) EP2754264A4 (ko)
JP (2) JP5816374B2 (ko)
KR (1) KR101531472B1 (ko)
CN (2) CN103858382B (ko)
WO (1) WO2013036646A1 (ko)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8887263B2 (en) 2011-09-08 2014-11-11 Mcafee, Inc. Authentication sharing in a firewall cluster
US8763106B2 (en) 2011-09-08 2014-06-24 Mcafee, Inc. Application state sharing in a firewall cluster
US9176838B2 (en) * 2012-10-19 2015-11-03 Intel Corporation Encrypted data inspection in a network environment
US9477500B2 (en) 2013-03-15 2016-10-25 Avi Networks Managing and controlling a distributed network service platform
US9106610B2 (en) * 2013-06-07 2015-08-11 International Business Machines Corporation Regional firewall clustering in a networked computing environment
WO2017036535A1 (en) * 2015-09-03 2017-03-09 Huawei Technologies Co., Ltd. Distributed connection tracking
CN106603471B (zh) * 2015-10-16 2019-09-13 北京启明星辰信息安全技术有限公司 一种防火墙策略检测方法及装置
CN108370325B (zh) * 2015-12-09 2021-05-07 华为技术有限公司 一种通过连接跟踪对网络的管理
EP3349137A1 (en) * 2017-01-11 2018-07-18 Sap Se Client-side attack detection in web applications
CN107835099B (zh) * 2017-11-29 2021-09-03 新华三信息安全技术有限公司 一种信息同步方法及装置
US11258760B1 (en) * 2018-06-22 2022-02-22 Vmware, Inc. Stateful distributed web application firewall
US10771318B1 (en) 2018-10-24 2020-09-08 Vmware, Inc High availability on a distributed networking platform
CN110809330B (zh) * 2019-12-16 2023-07-14 腾讯科技(深圳)有限公司 多终端的连接建立方法和装置、存储介质及电子装置
CN111506480B (zh) * 2020-04-23 2024-03-08 上海达梦数据库有限公司 集群中组件的状态检测方法、装置和系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050177869A1 (en) * 2004-02-10 2005-08-11 Savage James A. Firewall permitting access to network based on accessing party identity
US20090113051A1 (en) * 2007-10-30 2009-04-30 Modern Grids, Inc. Method and system for hosting multiple, customized computing clusters
US7844731B1 (en) * 2003-11-14 2010-11-30 Symantec Corporation Systems and methods for address spacing in a firewall cluster

Family Cites Families (38)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6880089B1 (en) 2000-03-31 2005-04-12 Avaya Technology Corp. Firewall clustering for multiple network servers
US6772226B1 (en) 2000-08-15 2004-08-03 Avaya Technology Corp. VPN device clustering using a network flow switch and a different mac address for each VPN device in the cluster
US7131140B1 (en) 2000-12-29 2006-10-31 Cisco Technology, Inc. Method for protecting a firewall load balancer from a denial of service attack
US7130305B2 (en) * 2001-07-02 2006-10-31 Stonesoft Oy Processing of data packets within a network element cluster
US7107609B2 (en) 2001-07-20 2006-09-12 Hewlett-Packard Development Company, L.P. Stateful packet forwarding in a firewall cluster
EP1449093A4 (en) * 2001-10-18 2005-06-08 Univ Nebraska ERROR TOLERANT FIREWALL LAYER STRUCTURES
US8001279B2 (en) * 2001-12-21 2011-08-16 International Business Machines Corporation Method of synchronizing firewalls in a communication system based upon a server farm
US7734752B2 (en) * 2002-02-08 2010-06-08 Juniper Networks, Inc. Intelligent integrated network security device for high-availability applications
US7447901B1 (en) 2002-06-25 2008-11-04 Cisco Technology, Inc. Method and apparatus for establishing a dynamic multipoint encrypted virtual private network
AU2003292116A1 (en) * 2002-11-27 2004-06-18 Fujitsu Siemens Computers, Inc. Method and appliance for distributing data packets sent by a computer to a cluster system
EP1592189A4 (en) * 2003-02-05 2012-05-23 Nippon Telegraph & Telephone FIREWALL DEVICE
US7266715B1 (en) 2003-04-29 2007-09-04 Cisco Technology, Inc. Methods and apparatus for maintaining a virtual private network connection
JP2005128792A (ja) * 2003-10-23 2005-05-19 Trend Micro Inc 通信装置、プログラムおよび記憶媒体
US7389510B2 (en) 2003-11-06 2008-06-17 International Business Machines Corporation Load balancing of servers in a cluster
US20050240989A1 (en) 2004-04-23 2005-10-27 Seoul National University Industry Foundation Method of sharing state between stateful inspection firewalls on mep network
CN1317853C (zh) * 2004-07-20 2007-05-23 联想网御科技(北京)有限公司 一种网络安全设备及其组成的实现高可用性的系统及方法
JP2006054770A (ja) * 2004-08-16 2006-02-23 Yokogawa Electric Corp ファイアウォール装置
US8146145B2 (en) 2004-09-30 2012-03-27 Rockstar Bidco Lp Method and apparatus for enabling enhanced control of traffic propagation through a network firewall
US8037517B2 (en) 2004-12-22 2011-10-11 Wake Forest University Method, systems, and computer program products for implementing function-parallel network firewall
US7870602B2 (en) 2005-09-14 2011-01-11 At&T Intellectual Property I, L.P. System and method for reducing data stream interruption during failure of a firewall device
US9137204B2 (en) * 2006-02-02 2015-09-15 Check Point Software Technologies Ltd. Network security smart load balancing
US8533808B2 (en) * 2006-02-02 2013-09-10 Check Point Software Technologies Ltd. Network security smart load balancing using a multiple processor device
US8353020B2 (en) * 2006-06-14 2013-01-08 Microsoft Corporation Transparently extensible firewall cluster
US20080098113A1 (en) * 2006-10-19 2008-04-24 Gert Hansen Stateful firewall clustering for processing-intensive network applications
US8255985B2 (en) 2006-11-13 2012-08-28 At&T Intellectual Property I, L.P. Methods, network services, and computer program products for recommending security policies to firewalls
JP2008141618A (ja) * 2006-12-04 2008-06-19 Tohoku Univ ネットワークアプリケーション弁別方法、ならびに不正アクセス検出システム
CN101030946A (zh) * 2007-04-12 2007-09-05 华为技术有限公司 一种实现数据业务的方法及系统
WO2009108593A1 (en) * 2008-02-28 2009-09-03 Level 3 Communications, Llc Load-balancing cluster
CN101350773A (zh) * 2008-06-20 2009-01-21 中兴通讯股份有限公司 一种移动分组网络架构及其多个防火墙负载均衡接入方法
US8782286B2 (en) * 2008-09-12 2014-07-15 Cisco Technology, Inc. Optimizing state sharing between firewalls on multi-homed networks
CN101651680A (zh) * 2009-09-14 2010-02-17 杭州华三通信技术有限公司 一种网络安全部署方法和一种网络安全设备
US8493902B2 (en) 2010-08-16 2013-07-23 Florida Institute for Human and Machine Cognition Opportunistic listening system and method
US8406233B2 (en) * 2010-09-07 2013-03-26 Check Point Software Technologies Ltd. Predictive synchronization for clustered devices
US8776207B2 (en) 2011-02-16 2014-07-08 Fortinet, Inc. Load balancing in a network with session information
US8887263B2 (en) 2011-09-08 2014-11-11 Mcafee, Inc. Authentication sharing in a firewall cluster
US8763106B2 (en) 2011-09-08 2014-06-24 Mcafee, Inc. Application state sharing in a firewall cluster
US9319459B2 (en) 2011-09-19 2016-04-19 Cisco Technology, Inc. Services controlled session based flow interceptor
US20130152156A1 (en) 2011-12-12 2013-06-13 Mcafee, Inc. Vpn support in a large firewall cluster

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7844731B1 (en) * 2003-11-14 2010-11-30 Symantec Corporation Systems and methods for address spacing in a firewall cluster
US20050177869A1 (en) * 2004-02-10 2005-08-11 Savage James A. Firewall permitting access to network based on accessing party identity
US20090113051A1 (en) * 2007-10-30 2009-04-30 Modern Grids, Inc. Method and system for hosting multiple, customized computing clusters

Also Published As

Publication number Publication date
WO2013036646A1 (en) 2013-03-14
US9876763B2 (en) 2018-01-23
JP6069717B2 (ja) 2017-02-01
EP2754264A4 (en) 2015-05-13
CN103858382B (zh) 2018-01-16
CN103858382A (zh) 2014-06-11
EP2754264A1 (en) 2014-07-16
CN104601597A (zh) 2015-05-06
KR20140058615A (ko) 2014-05-14
JP5816374B2 (ja) 2015-11-18
US20150082412A1 (en) 2015-03-19
CN104601597B (zh) 2018-10-26
JP2016028501A (ja) 2016-02-25
US20130067556A1 (en) 2013-03-14
US8763106B2 (en) 2014-06-24
JP2014529259A (ja) 2014-10-30

Similar Documents

Publication Publication Date Title
KR101531472B1 (ko) 방화벽 클러스터에서의 애플리케이션 상태 공유
US10721209B2 (en) Timing management in a large firewall cluster
KR101586972B1 (ko) 방화벽 클러스터에서의 인증 공유
EP1817685B1 (en) Intrusion detection in a data center environment
US20130152156A1 (en) Vpn support in a large firewall cluster
JP2006339933A (ja) ネットワークアクセス制御方法、およびシステム
CN111385326B (zh) 轨道交通通信系统
US8677471B2 (en) Port allocation in a firewall cluster
Ramsurrun et al. The stateful cluster security gateway (CSG) architecture for robust switched Linux cluster security

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20190611

Year of fee payment: 5