KR20020092972A - 패킷 필터링과 프로세싱을 가속화하는 시스템, 장치 및방법 - Google Patents
패킷 필터링과 프로세싱을 가속화하는 시스템, 장치 및방법 Download PDFInfo
- Publication number
- KR20020092972A KR20020092972A KR1020027011384A KR20027011384A KR20020092972A KR 20020092972 A KR20020092972 A KR 20020092972A KR 1020027011384 A KR1020027011384 A KR 1020027011384A KR 20027011384 A KR20027011384 A KR 20027011384A KR 20020092972 A KR20020092972 A KR 20020092972A
- Authority
- KR
- South Korea
- Prior art keywords
- packet
- firewall
- connection
- allowed
- network
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 40
- 238000001914 filtration Methods 0.000 title claims abstract description 30
- 238000012545 processing Methods 0.000 title description 3
- 239000012634 fragment Substances 0.000 claims description 13
- 230000001133 acceleration Effects 0.000 claims description 8
- 230000005540 biological transmission Effects 0.000 claims description 8
- 239000003607 modifier Substances 0.000 claims description 4
- 238000012986 modification Methods 0.000 description 10
- 230000004048 modification Effects 0.000 description 10
- 230000009471 action Effects 0.000 description 9
- 238000011045 prefiltration Methods 0.000 description 8
- 230000008569 process Effects 0.000 description 7
- 230000008901 benefit Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 238000013519 translation Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 3
- 238000007689 inspection Methods 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 230000003190 augmentative effect Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 230000002457 bidirectional effect Effects 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- UPPPRUGHDBCPEF-UHFFFAOYSA-N Nic 17 Natural products CC(C(O)CC(=O)C)c1ccc2C3C4OC4C5(O)CC=CC(=O)C5(C)C3CCc2c1 UPPPRUGHDBCPEF-UHFFFAOYSA-N 0.000 description 1
- XUIMIQQOPSSXEZ-UHFFFAOYSA-N Silicon Chemical compound [Si] XUIMIQQOPSSXEZ-UHFFFAOYSA-N 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 230000001276 controlling effect Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 229910052710 silicon Inorganic materials 0.000 description 1
- 239000010703 silicon Substances 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0254—Stateful filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Abstract
프리필터링 모듈(30)을 갖는 파이어월(18)을 설치하여 패킷 필터링 방법, 장치 및 시스템이 구현된다. 프리필터링 모듈(30)은 패킷을 특정 커넥션에서 수신했느지의 여부에 따라 이 패킷에 관한 제한된 행동을 실행한다. 그렇지 않으면, 이들 패킷은 파이어월(18)로 보내진다.
Description
연결성과 보안성은 컴퓨터 환경에서 서로 상충되는 대상이다. 통상의 현대 컴퓨터 시스템은 네트웍 통신망 주변에 설치되어, 여러가지 서비스에 대한 투명한 접속을 허용한다. 이런 서비스들에 대한 글로벌 이용은 아마도 현대 컴퓨터 솔루션들의 가장 중요한 특징의 하나일 것이다. 연결성에 대한 요구는 조직내에서는 물론 외부로부터 온다.
인가되지 않은 사용에 대해 네트웍 서비스를 보호하는 것은 모든 조직에 대해 아주 중요한 것이다. 보안성에 대한 필요성이 증가할수록, 네트웍 리소스에 대한 접속을 통제하는 수단이 우선적인 관리사항이 되었다. 비용을 절감하고 생산성을 유지하기 위해 접속통제는 구성이 간단해야되고 사용자와 애플리케이션에 대해 투명해야만 한다. 셋업 비용의 최적화와 고장시간 역시 중요한 요소들이다.
패킷 필터링은 트래픽을 조정하여 연결성을 제공하면서도 보안성을 유지함으로써, 싱글 네트웍 내부와 연결네트웍들 사이 모두에서 불법적인 통신시도를 차단하는 방법이다.
미국특허 5,835,726(1996년 6월 17일 출원)과 미국특허 5,606,668(1993년 12월 5일 출원) 둘다 본 발명에 참고된 것으로서, 컴퓨터 네트웍내의 내향/외향 데이터 패킷 흐름을 조정하여 네트웍 보안성을 강화하는 방법을 설명하고 있다. 패킷의 흐름은 패킷 필터링에 의해 조정되고, 뒤에 필터 언어 명령어 세트로 변환될 사용자 생성 규칙에 따라 실행된다. 규칙 베이스의 규칙으로는 소스, 수신처, 서비스, 패킷의 허용여부 및 이벤트의 로그, 암호화 및/또는 인가 여부 등이 있다. 필터 언어 명령어 세트는 파이어월로 기능하는 컴퓨터에 설치된 검사엔진에 설치되어 실행된다. 검사엔진은 파이어월을 통해 패킷을 받아들일지의 여부를 결정하기 위해 스테이트풀(stateful) 검사를 실행한다. 보호해야 할 네트웍으로 입출될 모든 트래픽이 강제로 파이어월을 통과하도록 컴퓨터 네트웍 내부에 파이어월을 위치시킨다. 따라서, 규칙베이스의 규칙에 따라 네트웍에 패킷들이 출입하면서 패킷들이 필터링된다.
이런 기준에 따라, 검사엔진은 패킷의 허용 여부에 대한 패킷 기준들에 따라 패킷을 결정하는 가상 패킷 필터링 장치로 기능한다. 패킷이 거부되면, 이 패킷은 버려진다. 패킷이 받아들여지면, 이 패킷은 수정될 수 있다. 수정이란 암호화, 해독, 사인생성, 사인확인 또는 주소번역등을 포함한다. 모든 수정들은 규칙베이스의 내용에 따라 실시된다.
불행히도, 이런 방법의 단점은, 파이어월을 작동시키는 컴퓨터에 큰 부하가걸린다는 것이다. 전술한 패킷 필터링 방법들에서는 패킷들을 각각 별도로 분석하고, 파이어월을 통해 어떤 패킷 엔트리가 결정되는가에 따라 규칙 세트들과 각각 비교해야 한다. 그러나, 두개의 노드들 사이에 파이어월을 통해 설정되는 세션이나 커넥션이 일단 허용된 것으로 유효하다면, 대부분의 경우 더이상의 분석은 불필요할 수 있다. 따라서, 허용된 커넥션으로부터의 패킷들의 계속적인 분석을 축소하거나 배제한다면, 파이어월에 의한 부하를 상당히 낮출 수 있고 패킷 필터링 과정을 가속화하면서도, 보호시스템의 보안성을 여전히 유지할 수 있을 것이다.
따라서, 허용된 커넥션으로부터 패킷을 수신할 경우 완벽한 패킷 분석 요구를 낮추거나 배제하면서도, 수정과정의 하드웨어 가속을 통해 신속하고 효율적으로 패킷을 수정할 능력을 유지할 수 있도록 패킷을 수신하는 커넥션에 따른 패킷 필터링을 가속화하는 시스템, 장치 및 방법에 대한 필요성이 있고, 만약 이런 것이 있다면 유용할 것이다.
본 발명은 패킷-스위치 네트웍에서 패킷 필터링을 가속화하는 시스템, 장치 및 방법에 관한 것으로, 구체적으로는 세션을 기본으로한 필터링을 통해 패킷 필터링의 효율을 향상시키는 시스템, 장치 및 방법에 관한 것이다.
도 1은 본 발명에 따른 시스템의 개략적 블록도;
도 2는 본 발명에 따른 도 1의 프리필터링 모듈의 일례의 개략적 블록도;
도 3은 본 발명에 따른 방법의 플로어차트.
본 발명은 프리필터링(pre-filtering) 모듈을 구비한 파이어월을 이용해 패킷-스위치 네트웍, 바람직하게는 IP 네트웍에서 패킷 필터링을 가속화하는 시스템, 장치 및 방법에 관한 것이다. 프리필터링 모듈은 파이어월에 의해 전에 허용되었던 커넥션으로부터 패킷이 수신되는지의 여부에 따라 이 패킷에 관해 한정된 행위를 수행한다. 허용된 커넥션에서 패킷이 수신되면, 프리필터링 모듈은 이 패킷을 수신처로 보내고, 이 패킷에 하나 이상의 행위를 실시한다. 그렇지 않으면, 이들 패킷은 파이어월로 보내진다. 일단 파이어월이 프리필터링 모듈에 대한 커넥션의 전송책임을 가지거나 이 커넥션을 "오프로드(off-load)"하면, 파이어월은 커넥션이 타임아웃될 때 까지 커넥션에서 더이상의 패킷들을 수신하지 않거나, 특정 세션-제어 필드값(이 값은 세션이 끝났음을 표시함)을 갖는 패킷이 수신되지 않으므로, 커넥션이 종료된다.
예컨대, IP 네트웍을 갖는 본 발명의 바람직한 실시예의 경우, 이런 세션-제어 필드값은 패킷용으로 설정된 FIN/RST 플래그이다.
허용 커넥션으로부터의 패킷들에 필요한 분석량을 낮추거나 배제하면 좋은 점은, 파이어월을 하드웨어 가속으로 공급할 수 있다는 것이다. 이런 하드웨어 가속은 소프트웨어 패킷처리보다 속도가 훨씬 빨라, 파이어월 시스템의 효율을 크게 증가시킬 수 있다. 또, 수정과정의 하드웨어 가속에 의해 고속이고 효율적으로 패킷들을 수정하는 성능을 유지할 수도 있는데, 이는 이 수정과정이 패킷 수정에 "인텔리전스"를 덜 필요로 하면서도 속도가 더 빠르기 때문이고, 한편 그 반대 특성들은 패킷 분석과정에 필요하다. 따라서, 프리필터링 모듈을 하드웨어로 구현하는 것이 바람직하다.
본 발명에 따르면, 패킷 필터링 가속화 시스템에 있어서: (a) 패킷을 전송하기 위한 소스노드; (b) 상기 패킷을 수신하기 위한 수신노드; (c) 상기 소스노드와 수신노드 사이에 배치되어 하나 이상의 규칙에 따라 패킷 필터링을 실행하는 파이어월; 및 (d) 상기 파이어월과 통신하고, 상기 파이어월로부터 하나 이상의 명령어를 수신하고 파이어월보다 먼저 상기 패킷을 수신하여, 상기 명령어에 따라 패킷이 허용되면 패킷을 취급하고 그렇지 않으면 패킷을 파이어월로 보내 취급하도록 하는프리필터링 모듈;을 포함하는 시스템이 제공된다.
본 발명의 다른 실시예에 따르면, 네트웍에서 패킷을 가속 필터링하기 위한 시스템에 있어서: (a) 하나 이상의 규칙에 따라 패킷을 필터링하도록 네트웍상에 배치된 파이어월; 및 (b) 네트웍상에 배치되어 상기 파이어월과 통신하고, 상기 파이어월로부터 단순비교를 결정하는 하나 이상의 명령어를 수신하며, 파이어월보다 먼저 네트웍상에 수신된 패킷을 수신하여, 상기 단순비교에 따라 이 패킷이 허용되면 이 패킷을 네트웍상에서 송신하는 프리필터링 모듈;을 포함하는 시스템이 제공된다.
본 발명의 또다른 실시예에 따르면, 패킷 필터링을 가속화하고, 패킷 전송용 네트웍과 패킷 필터링용의 네트웍상의 파이어월을 포함하는 시스템에 사용하기 위해 파이어월보다 먼저 패킷을 수신하는 장치에 있어서: (a) 패킷의 하나 이상의 매개변수를 분석하기 위해 파이어월로부터의 하나 이상의 명령어를 저장하고, 상기 명령어는 패킷 식별을 위한 상기 매개변수를 포함하는 메모리; 및 (b) 패킷의 적어도 일부분을 분석하고, 상기 명령어에 따라 상기 매개변수와 상기 패킷 일부분을 비교하기 위한 분류엔진;을 포함하는 장치가 제공된다.
본 발명의 또다른 실시예에 따르면, 파이어월과 통신하면서 네트웍에서 패킷 필터링을 가속화하는 방법에 있어서: (a) 파이어월보다 먼저 패킷을 수신하기 위한 프리필터링 모듈을 제공하는 단계; (b) 상기 프리필터링 모듈이 상기 패킷을 수신하는 단계; (c) 상기 패킷의 허용여부를 결정하는 단계; 및 (d) 상기 패킷이 허용되면 프리필터링 모듈이 이 패킷을 취급하는 단계;를 포함하는 방법이 제공된다.
이하, "네트웍"은 데이터 전송을 허용하는 두개 이상의 모든 컴퓨터장치들 사이의 커넥션을 포함한다.
이하, "컴퓨터장치"란 운영시스템이 Window, Linux 등인 PC; 매킨토시 컴퓨터; 운영시스템이 JAVA-OS인 컴퓨터, Sun Microsystems과 Silicon Graphic의 컴퓨터와 같은 웍스테이션, Sun Microsystems의 AIX, SOLARIS와 같은 UNIX 운영시스템을 갖는 기타 컴퓨터; 기타 종래의 운영시스템; 모든 형태의 컴퓨터; 패킷-스위치 네트웍에 연결될 수 있고 운영시스템으로서 CxWorks, PSOS 등을 갖는 모든 장치; 또는 패킷-스위치 네트웍에 연결되어 패킷을 송수신할 수 있고 브리지, 스위치, 라우터 등을 포함한 네트웍 프로세서나 데이터 프로세서를 갖는 기타 장치를 포함한다. 여기서, "Windows"는 Windows NT, Windows98, Windows2000, Windows CE, 기타 마이크로사의 운영시스템의 업그레이드판을 포함하지만, 이에 한정되는 것은 아니다.
본 발명의 방법은 데이터 프로세서에 의해 실행되는 일련의 단계로 설명될 수 있고, 소프트웨어, 하드웨어, 펌웨어, 또는 이들의 조합으로 구현될 수 있다. 본 발명에 있어서, 소프트웨어 애플리케이션은 당업자라면 쉽게 선택할 수 있는 모든 적당한 프로그래밍 언어로 작성될 수 있다. 선택된 프로그래밍 언어는 이 소프트웨어 애플리케이션을 실행하는 컴퓨터 장치와 호환될 수 있어야 한다. 적당한 플그래밍 언어로는 C, C++, Java 등이 있지만, 이에 한정되는 것은 아니다.
이하, 첨부 도면들을 참조하여 본 발명의 바람직한 실시예들에 대해 자세히 설명하면 다음과 같다.
본 발명은 파이어월에 프리필터링 모듈을 보강하여 패킷 필터링을 가속화하는 시스템, 장치 및 방법에 관한 것이다. 프리필터링 모듈은 예컨대 파이어월에 의해 전에 허용되었던 커넥션으로부터 패킷들을 수신했지의 여부에 따라 패킷들에 대한 간단한 비교를 실시한다. 이런 허용된 커넥션으로부터 패킷들이 수신되면, 프리필터링 모듈은 이들 패킷을 수신지로 보내, 패킷들에 하나 이상의 행위들을 실시한다. 그렇지 않으면, 패킷들을 파이어월로 보내 조작한다. 또, 이들 패킷들이 파이어월의 중재를 필요로 하는 특별한 세션-제어 필드값들을 가지면 조정을 위해 파이어월로 보내지는 것이 바람직하다. 예컨대, IP 네트웍, 특히 TCP/IP 트래픽을 갖는 본 발명의 바람직한 구현을 위해, 이런 세션-제어 필드값들은 패킷용으로 SYN/FIN/RST 플래그 세트를 포함한다. 이런 세션-제어 필드값들은 커넥션 상태를 중심으로 정보를 자리올림하여 커넥션 상태를 결정하도록 수신 및 분석하기 위해 파이어월에 중요한 패킷들을 표시한다. 한편, 프리필터링 모듈이 IP 네트웍, 특히 IP 트래픽을 갖는 본 발명의 바람직한 실시예를 위한 가상 최적화와 같은 기능들을 수행할 수 없을 경우 단편 패킷들이 파이어월로 보내지기도 한다.
파이어월이 접속을 허용하기로 결정했거나 단순 비교를 하기 위한 하나 이상의 매개변수를 결정했으면, 새로 허용된 패킷들의 상세내역을 갖는 프리필터링 모듈에 메시지를 보내는 것이 바람직하다. 일단 파이어월이 프리필터링 모듈에 대한 커넥션을 위한 전송된 권한을 가지거나 이 커넥션을 "오프로드"했으면, 파이어월은 이 커넥션에 대한 타임아웃이 발생할 때까지 이 커넥션으로부터 더이상의 패킷들을 수신하지 않거나, IP 네트웍에 의한 바람직한 구현을 위한 FIN/RST 플래그 세트를 갖는 등에 의해 세션이 끝났음을 표시하는 특정 세션-제어 필드값들을 갖는 패킷이 수신되어, 커넥션을 종료한다. 파이어월에 의해 소정 기간동안 패킷이 전혀 수신되지 않았으면 "타임아웃"이 일어난다.
프리필터링 모듈은 하드웨어처럼 구현되어 하드웨어 가속의 장점을 취하는 것이 바람직하다. 이런 하드웨어 가속의 장점은 소프트웨어에 의한 패킷처리보다 속도가 훨씬 빠르다는데 있다. 따라서, 프리필터링 모듈을 하드웨어 장치처럼 구현하는 것이 바람직하긴 하지만, 소프트웨어나 펌웨어처럼 구현할 수도 있다. 한편, 프리필터링 모듈과 파이어월을 복합장치로 구현할 수도 있는데, 이 복합장치는 설치와 구동을 쉽게 하기 위해 네트웍의 게이트웨이 노드에 추가되거나 이를 대체한 "블랙박스"일 수도 있다.
본 발명에 따른 시스템, 장치 및 방법의 원리와 동작에 대해 첨부 도면들을 참조하여 설명하겠지만, 이들 도면들은 단지 예를 든 것일 뿐이고 본 발명이 이에 한정된다는 것은 아니다. 다음 설명은 주로 IP 네트웍, 특히 TCP/IP 패킷 트래픽을 중심으로 하겠지만, 이는 단지 설명의 편의상일 뿐이고 이에 한정되는 것은 아니다.
도 1은 본 발명에 따른 시스템의 개략적 블록도이다. 시스템(10)은 패킷-스위치 네트웍인 보호 네트웍(12)을 특징으로 하므로, 패킷 형태로 데이터가 전송된다. 보호네트웍(12)은 게이트웨이(16)에 의해 외부 패킷-스위치 네트웍(14)에서 분리되고, 게이트웨이는 어떤 형태의 컴퓨터장치도 가능하며, 여기서는 "중간노드"라고 불리기도 한다. 외부 네트웍(14)은 인터넷일 수도 있다. 게이트웨이(16)는 NIC(17) 등의 하드웨어 커넥터를 통해 외부네트웍(14)과 보호네트웍(12)에 연결된다.
게이트웨이(16)는 패킷의 분석과 필터링을 위해 파이어월(18)을 작동시킨다. 외부네트웍(14)에서 게이트웨이(16)를 통과하도록 허용된 패킷들은 보호네트웍(12)에 연결된 다수의 보호노드들(20)중 하나로 수신된다. 이런 네트웍 트래픽은 통상 양방향성이므로, 패킷들은 보호네트웍(12)에서 게이트웨이(16)를 통해 수신되어 외부네트웍(14)으로 전송되거나 그 반대로 된다.
파이어월(18)은 미국특허 5,835,726, 5,606,668에서 전술한 바와 같이 구현되는 것이 바람직하다. 파이어월(18)은 패킷 필터링을 위한 패킷 필터(22)를 포함한다. 패킷필터(22)는 패킷 분석을 위한 분석모듈(24)과, 규칙베이스(26)로 구성되는 것이 바람직하다. 규칙베이스(26)는 시스템 관리자나 기타 사용자의 선호도에 따라 정의되는 하나 이상의 규칙들을 갖는 것이 좋다. 분석모듈(24)은 분석된 패킷의 내용들을 추출하여 규칙베이스(26)의 규칙들과 비교한다. 비교결과 패킷이 규칙베이스(26)에 허용되면, 패킷필터(22)는 이 패킷의 보호네트웍(12)으로의 진입을 허용한다.
한편, 패킷이 규칙베이스(26)에 허용되지 않으면, 패킷이 버려질 수도 있다. 규칙베이스(26)가 특별히 패킷의 통과를 허락하지 않을 경우 패킷이 허용되지 않도록 결정될 수도 있다.
또, 선택적이면서도 바람직하게, 패킷필터(22)는 가능하다면 패킷을 수정하기 위한 수정모듈(28)을 포함할 수도 있다.
파이어월(18)의 다른 선택적 특징으로는 특정 커넥션에 속하는 모든 패킷들에서 전송될 데이터량을 결정하기 위해 패킷을 어카운트하는 능력; 패킷내의 주소(들)을 수정하는 능력; 및 패킷을 암호화하는 능력이다. 특히 패킷 암호화는 미국특허 5,835,726에 관련해 전술한바 있다. 요컨대, 패킷들을 두개의 파이어월(18) 사이의 전송을 위해 선택적으로 암호화하여, 외부 네트웍(14)을 통과하도록 할 수 있다. 암호화는 또한 파이어월(18)과 외부 네트웍(14)의 노드 사이의 통신에 사용될 수도 있다. 암호화된 패킷들은 수신 파이어월(18)에서 해독되어 보호네트웍(12)으로 보내진다. 따라서, 암호화와 전송 프로세서는 자동화되고, 통신소프트웨어에 투명한 방식으로 실행될 수 있다.
이런 파이어월(18) 특징들은 미국특허 5,835,726, 5,606,668에 설명된 바와 같이 구현되는 것이 바람직하다. 그러나, 게이트웨이(16)로 진입하기 전에 파이어월(18)을 통과하는 모든 패킷들은 파이어월(18)에 큰 컴퓨터부하를 발생시킨다. 따라서, 본 발명에 따르면, 게이트웨이(16) 역시 파이어월(18)에 앞서 패킷들을 수신하면서도 보호네트웍(12)에 직접 연결되는 프리필터링 모듈(30)을 갖는 것이 바람직하다. 프리필터링 모듈(30) 역시 보호네트웍(12)으로의 진입이 허용된 패킷들에관한 명령어들을 파이어월(18)로부터 수신하는 것이 바람직하다. 이들 명령어는 하나 이상의 앞서 수신된 관련 패킷들의 분석을 통해 파이어월(18)에 의해 결정되는 것이 더 바람직하므로, 앞서 수신한 관련 패킷들이 보호네트웍(12)으로의 진입이 허용되었으면, 현재의 패킷들도 보호 네트웍(12)으로의 진입이 허용되어야 한다. 그러므로, 프리필터링 모듈(30)이 현재 패킷의 진입을 허용하기로 결정하면, 프리필터링 모듈(30)은 패킷을 직접 보호네트웍(12)으로 보낸다.
프리필터링 모듈(30)의 동작 효율을 향상시키기 위해, 프리필터링 모듈이 각 패킷의 제한된 분석만을 실행할 수 있도록 하는 것이 바람직하다. 특히, 각 패킷의 일부만을 프리필터링 모듈로 분석하는 것이 더 바람직하다. 가장 바람직한 것은, 단순비교에 관련해서만 프리필터링 모듈(30)이 각 패킷을 분석하는 것이다. "단순비교"란, 미리 정의된 매개변수 패턴에 비교되는 하나 이상의 매개변수 형태로 정보를 추출함을 의미한다.
특히 바람직한 단순비교의 예로는, 허용된 데이터 전송부로부터 패킷을 수신했는지의 여부를 프리필터링 모듈(30)이 판단할 수 있을 때까지 이 패킷을 분석만 하는 것이다. 이런 허용된 전송부는, 외부 네트웍(14)으로부터의 연결을 개시하는 소스노드와 이 연결을 받아들이는 수신노드인 보호노드(20) 사이의 연결이라고 할 수 있다. 일단 연결이 설정되면, 소스노드와 수신지 사이의 통신은 양방향으로 될 수 있다.
패킷 분석과 관련하여, "커넥션"이란 패킷이 속하는 데이터 전송을 설명하는 하나 이상, 바람직하게는 다수의 매개변수에 따라 정의된다. 이런 매개변수로는 패킷의 소스 주소와 포트; 패킷의 수신주소와 포트; 패킷의 프로토콜과 패킷이 수신되는 인터페이스 등이 있지만 이에 한정되는 것은 아니다. 이 커넥션은 패킷을 분류하는데 이용되고, 패킷의 보호네트웍(12)에 대한 입출의 허용 여부를 결정하는데 이용된다.
파이어월(18)은 하나 이상의 앞서 수신되고 검사된 패킷들의 분석을 통해 각 커넥션을 정의한다. 파이어월(18)은 이들 패킷의 내용을 검사하고, 규칙베이스(26)를 갖는 분석모듈(24)의 출력을 기초로 대응 커넥션으로부터의 패킷들의 보호네트웍(12)에 대한 입출 허용 여부를 결정한다. 또, 규칙베이스(26)에 저장된 규칙들로부터, 각 커넥션과 관련되는 하나 이상의 행동들을 분석모듈(24)이 결정할 수 있다. 이런 행동들의 예로는 패킷내의 데이터량을 카운트하기 위한 어카운팅 행동, 패킷의 암호화/해독화, 주소필드의 재기입에 의한 NAT(network address translation) 등이 있지만 이에 한정되는 것은 아니다. 패킷을 수정하는 바람직한 예로는 파이어월(18)의 명령어에 따라 프리필터링 모듈(30)이 패킷에 우선번호를 할당하여 패킷을 표시하는 것이 있다. 우선번호는 패킷의 전송 순서와 "우선권"을 결정한다.
파이어월(18)은 이어서 그 패킷의 보호네트웍(12)으로의 진입을 허용할지 여부에 관한 관련 명령어을 보내고, 더 바람직하기로는 이 커넥션으로부터 프리필터링 모듈(30)로의 후속 패킷들에 취해야 하는 행동을 한다.
선택적이면서도 바람직하게, 프리필터링 모듈(30)은 AS(anti-spoofing) 방식을 실행한다. 프리필터링 모듈(30)이 다수의 네트웍에 연결될 수 있기때문에, 이들네트웍중 어디로부터도 패킷들이 전송될 수 있다. AS 방식은 소정 네트웍에서 온 것이라고 표시된 IP 패킷이 실제로 그 네트웍에서 보내진 것인지 여부를 판단한다. 프리필터링 모듈(30)은 어떤 네트웍이 어떤 인터페이스에 연결되었는지를 알기 때문에, 프리필터링 모듈(30)은 특정 인터페이스에서 수신된 패킷이 허용된 것인지 여부를 결정할 수 있다.
프리필터링 모듈(30)과 같은 가속기에서 AS 방식을 실현하는 기장 쉬운 방법은, 프리필터링 모듈(30)에 이용할 수 있는 연결정보의 일부분에 네트웍 인터페이스에 관한 정보를 포함시키는 것이다. 따라서, 허가된 소스노드로부터 패킷이 수신되어 허가된 수신처로 전송되고 예상 인터페이스를 통해 도달되면, 이 패킷을 프리필터링 모듈(30)이 처리할 수 있다. 다른 한편 선택적이기는 하지만, 인터페이스만 올바르지 않을 경우, 프리필터링 모듈(30)은 이 패킷이 위반했다는 것을 결정할 수 있고, 이 위반사항은 유효성을 위해 파이어월(18)에 의해 더 검사되어야만 한다. 프리필터링 모듈(30)의 저장된 명령어의 일부로서 인터페이스 관련 정보를 포함시키지 않고 AS 방식을 구현하는 다른 방법도 있는데, 이 방법 역시 본 발명의 범위에 포함된다고 할 수 있다.
도 2에 도시된 프리필터링 모듈(30)의 바람직한 예에서, 프리필터링 모듈(30)을 순수히 소프트웨어보다는 하드웨어, 적어도 펌웨어로 구현한다. 하드웨어의 장점은, 필요한 행동을 하는데 있어 소프트웨어보다 훨씬 빠르다는데 있다. 도 2의 개략적 블록도는 구조적이라기 보다는 로직을 근거로 한 프리필터링 모듈(30)의 구성요소들을 보여준다. 예컨대, 구성요소들 사이의 물리적 연결관계는구체화하지 않았고, 구성요소들 전체가 위치한 PCI 버스일 수 있다. 한편, 이들 구성요소는 내부 및/또는 외부 버스 등의 형태와 연결될 수 있다.
본 실시예에서, 프리필터링 모듈(30)은 메모리(36)를 특징으로 하는 "장치"로서 설명될 수도 있다. 프리필터링 모듈(30)은 파이어월(18)로부터의 관련 명령어를 저장하기 위한 커넥션 데이터베이스(32)를 포함하고, 이들 명령어는 메모리(36)에 저장된다. 커넥션 데이터베이스(32)는 연결을 정의하는데 필요한 패킷의 매개변수들을 저장하지만, 이 커넥션으로부터 패킷에 실행되어야만 할 하나 이상의 행동들을 저장하는 것이 바람직할 수 있다.
프리필터링 모듈(30)은 패킷으로부터의 정보의 적어도 일부를 분석하고 커넥션 데이터베이스(32)로부터의 정보를 수신하기 위해 데이터 프로세서를 포함한 분류엔진(38)을 구비하는 것이 바람직하다. 프리필터링 모듈(30)은 또한 전술한 바와 같이 커넥션 데이터베이스(32)에 저장되고 이 커넥션으로부터 패킷의 관련 행동(들)을 수행하기 위해 수정기(34)를 구비하는 것이 바람직하다.
프리필터링 모듈(30)은 또한 적어도 하나의 패킷에 관한 소정의 선택된 정보를 파이어월(18)로 전송하는 것이 바람직할 수도 있다. 선택된 정보는 패킷 분석을 위해 전술한 매개변수들중 하나 이상을 포함하는 것이 바람직할 수 있지만, 이에 한정되는 것은 아니다. 프리필터링 모듈(30)과 파이어월(18) 사이의 통신은 여러가지 실시예들중 하나에 따라 실시된다. 첫번째 실시예에서, 프리필터링 모듈(30)은 이런 정보를 수신했을 때 상태 또는 이벤트 구동 유형으로 파이어월(18)에 능동적으로 통지한다. 한편, 두번째 실시예에서는, 파이어월(18)이 폴링 유형으로 프리필터링 모듈(30)에 문의한다. 예컨대, 소정 시간이 경과한 뒤에 또는 시스템 관리자 등으로부터 이런 정보에 대한 사용자 문의에 따라 폴링을 실행할 수도 있다.
또, 프리필터링 모듈(30)은 MAC(media access control)(40)와 같은 네트웍 인터페이스를 하나 이상, 바람직하게는 여러개 포함하는 것이 바람직할 수 있는바, 이런 인터페이스는 물리적 네트웍(도시 안됨)으로부터 패킷을 송수신하기 위한 하드웨어이다. 프리필터링 모듈(30)은 파이어월(도시 안됨)에 대해 패킷들을 송수신하기 위한 파이어월 인터페이스(42)를 포함하는 것이 더 바람직하다.
동작 순서는 다음과 같다. 패킷들이 "MAC one"으로 표시된 MAC(40)에서 수신되어, 분류엔진(38)으로 보내진다. 메모리(36)의 데이터베이스(32)에서 수신된 정보와 명령어들의 도움으로, 분류엔진(38)은 각 패킷의 정보의 적어도 일부분을 분석하고, 이 패킷을 허용할 것인지를 결정한다. 패킷이 허용되면, 파이어월(도시 안됨)의 적어도 하나의 명령어에 따른 선택적인 수정을 위해 수정기(34)로 보내지고, 수정이 불필요할 경우 하나 이상의 관련 명령어가 파이어월로부터 보내지지 않는다.
파이어월은 예컨대 특정 MAC(40)으로 패킷을 전송하는 인터페이스를 결정할 수 있다. 그러나, 파이어월이 이 패킷을 특정 인터페이스로 보내라로 프리필터링 모듈(30)에 명령할 수는 있지만, 경로가 지원되면 파이어월(도시 안됨)의 명령에 따르지 않고 이런 경로를 이용해 패킷을 보낼 수도 있음을 알아야 한다.
한편, 패킷을 파이어월로 보내는 것은 선택적일 수도 바람직할 수도 있다. 다른 한편으로는, 뒤에 자세히 설명할 소정 환경에서, 패킷, 특히 파이어월 인터페이스(42)에서 수신되어 비슷하게 분석되는 패킷들은 버릴 수도 있다. IP 패킷이 아닐 수도 있는 패킷들을 버리는 것을 피하기 위해, 바람직하게는 하나 이상의 "디폴트" 패킷 타입에 관한 정보를 데이터베이스(32)에 저장하고, 이런 정보가 데이터베이스(32)에 저장되지 않으면 이 패킷을 "허용불가"로 정의할 수도 있다. 이런 디폴트 패킷 타입의 일례로는 ARP(address resolution protocol) 패킷이 있다.
도 2의 프리필터링 모듈(30)에 관해 알 수 있듯이, 패킷들은 MAC(40)와 같은 외부 소스로부터 프리필터링 모듈(30)에 도착되거나, 파이어월 인터페이스(42)로부터 수신될 수 있다. 파이어월 인터페이스(42)로부터 패킷이 수신되면, 이 패킷은 파이어월 자체에서 생성된 것이거나, 호스트의 IP 스택에서 생성된 것이다. 따라서, 파이어월 인터페이스(42)를 통해 수신된 이런 패킷을 위해, 이들 패킷이 허용되지 않아 파이어월로 보내지지 않는다면, 프리필터링 모듈(30)이 이들 패킷을 버릴 수 있다. 그러므로, 프리필터링 모듈(30)이 패킷을 버릴지 또는 보낼지의 여부를 결정하는 것은 부분적으로는 이들 패킷이 통과하는 인터페이스에 따라 이루어질 수 있다.
물론, 다른 방식의 프리필터링 모듈(30)도 가능하고 본 발명의 범위에 있을 수 있다.
도 3은 본 발명의 동작방식의 일례를 보여주는 플로어차트이다. 단계 1에서, 프리필터링 모듈이 패킷을 수신한다. 단계 2에서, 이 패킷의 하나 이상의 매개변수를 프리필터링 모듈이 검색한다. 단계 3에서, 하나 이상의 매개변수를 이용해 기존의 커넥션들을 검사하되, 이런 기존 커넥션 테이블을 살펴보면서 검사하는 것이 바람직하다.
단계 4a에서, 패킷의 엔트리가 발견되면, 이 커넥션을 위한 행위(들)이 프리필터링 모듈에 의해 실행된다. 단계 5a에서, 패킷이 수신처로 보내진다. 패킷이 IP 네트웍을 통해 전송된 패킷을 위한 SYN/FIN/RST 플래그 세트와 같은 소정 세션-제어필드값을 갖지 않으면 단계 4a, 5a는 실행되지 않으며, 이 경우 패킷을 파이어월로 보내 취급하는 것이 바람직하다. 이런 세션-제어 필드값들은 커넥션 상태에 관한 정보를 반송하는 패킷들을 표시하고, 따라서 이 필드값들은 커넥션 상태를 결정하기 위해 파이어월이 수신/분석하는데 중요하다.
한편, 프리필터링 모듈이 IP 네트웍, 특히 TCP/IP 트래픽을 갖는 본 발명의 바람직한 실시예를 위한 가상 최적화와 같은 소정 기능을 실시할 수 없을 경우에는 단편 패킷들을 파이어월로 보낼 수 있다. 가상 최적화는 IP 패킷이 너무 커 전송할 수 없게 된 뒤에 실행되고, 따라서 단편이라 불리우는 여러개의 작은 패킷들로 분할된다. 가상 최적화란 수신된 단편들 전부를 원래의 큰 패킷들로 재조립하는 과정이다.
단편들로 시도될 수 있는 각종 공격들을 방어하려면, 파이어월이 아닌 본 발명의 프리필터링 모듈이 복제 패킷 단편들을 버리는 것이 바람직하다. 다시말해, 앞서 수신된 단편이 재수신되면, 이 단편을 버린다.
도 3의 플로어차트에 따르면, 단계 4b에서, 패킷의 엔트리를 커넥션 테이블에서 발견하지 못하면, 이 패킷을 파이어월로 보낸다. 단계 5b에서, 파이어월이 패킷이 속하는 커넥션을 허용하기로 결정하면, 새로운 커넥션에 관해 필요한 정보를담고 있는 메시지를 프리필터링 모듈로 보낸다. 이런 메시지는 새로운 커넥션을 식별하기 위한 키, 주소번역에 관한 정보, 및 정보관련 암호를 포함하는 것이 바람직하고, 이들 모두 패킷 자체의 수정에 관한 프로세스이다. 새로운 커넥션을 식별하기 위한 키는 소스 IP 주소와 포트, 수신처 IP 주소와 포트, 프로토콜 필드, 및 AS 보호를 위해 패킷이 수신되리라고 예상되는 인터페이스에 관한 정보를 포함하는 것이 바람직하다. 주소번역정보는 번역된 소스 IP 주소와 포트, 수신처 IP 주소와 포트를 포함한다.
본 발명의 바람직한 실시예들에 따르면, 파이어월이 이 메시지를 프리필터링 모듈로 보냈으면, 커넥션이 프리필터링 모듈로 "오프로드"되어, 파이어월은 이 커넥션을 위한 어떤 패킷도 더이상 수신하지 않는다. 바람직하게, 파이어월은 소정 세션-제어 필드값을 갖는 패킷을 이 커넥션을 위해 수신할 때까지는 더이상의 어떤 패킷도 수신하지 않으며, 이는 세션이 끝났음을 의미한다. 예컨대, IP 네트웍을 위해 이런 값들은 FIN/RST 플래그 세트를 갖는다.
더 바람직하게, 소정 기간내에 특정 커넥션용 패킷이 전혀 수신되지 않으면 타임아웃이 일어난다. 파이어월은 오프로드된 커넥션에 대해서는 어떤 패킷도 보지 않기때문에, 이 커넥션용 패킷이 수신된 최종 시간에 대해 프리필터링 모듈에 문의한다. 수신된 응답에 따라, 파이어월은 커넥션을 유지할 것인가 삭제할 것인가를 결정한다. 파이어월이 커넥션을 삭제하면, 프리필터링 모듈의 테이블에서 삭제되는 것이 바람직하다.
본 발명의 다른 바람직한 실시예들에 따르면, 파이어월은 프리필터링 모듈로부터 정기적으로 업데이트된 어카운팅 정보를 수신한다. 이 정보는 파이어월이 프리필터링 모듈을 폴링해서가 아니라 프리필터링 모듈에 의해 파이어월로 푸시되는 것이 바람직할 수 있다. 어카운팅 정보는 특정 커넥션을 위해 어카운팅 정보가 업데이트된 최종 시간과 프리필터링 모듈이 패킷을 수신한 최종 시간 이후로 이 커넥션을 위해 프리필터링 모듈이 수신한 패킷과 바이트의 갯수를 포함하는 것이 바람직하다. 한편, 프리필터링 모듈이 커넥션을 삭제하면, 프리필터링 모듈은 이 커넥션에 관한 최종 어카운팅 정보를 파이어월로 푸시하는 것이 바람직할 수 있다.
이상의 설명은 단지 예를 든 것일 뿐이고, 본 발명의 정신과 범위내에서 다른 많은 실시예들도 가능할 수 있다.
Claims (30)
- 패킷 필터링 가속화 시스템에 있어서:(a) 패킷을 전송하기 위한 소스노드;(b) 상기 패킷을 수신하기 위한 수신노드;(c) 상기 소스노드와 수신노드 사이에 배치되어 하나 이상의 규칙에 따라 패킷 필터링을 실행하는 파이어월; 및(d) 상기 파이어월과 통신하고, 상기 파이어월로부터 하나 이상의 명령어를 수신하고 파이어월보다 먼저 상기 패킷을 수신하여, 상기 명령어에 따라 패킷이 허용되면 패킷을 취급하고 그렇지 않으면 패킷을 파이어월로 보내 취급하도록 하는 프리필터링 모듈;을 포함하는 것을 특징으로 하는 시스템.
- 제1항에 있어서, 상기 소스노드와 수신노드 사이의 패킷 전송에 의해 커넥션이 형성되고, 상기 파이어월은 이 커넥션의 허용 여부를 결정하고, 상기 명령어는 허용된 커넥션을 식별하기 위한 상기 패킷의 하나 이상의 매개변수를 포함하며, 상기 커넥션이 허용될 경우 프리필터링 모듈이 상기 패킷을 취급하는 것을 특징으로 하는 시스템.
- 제2항에 있어서, 상기 허용된 커넥션으로부터의 패킷이 선택된 세션-제어 필드값을 가질 경우 상기 파이어월이 프리필터링 모듈로부터 상기 패킷을 수신하는것을 특징으로 하는 시스템.
- 제2항에 있어서, 상기 허용된 커넥션을 식별하기 위한 하나 이상의 매개변수에는 상기 패킷용의 소스주소와 수신주소가 포함되는 것을 특징으로 하는 시스템.
- 제4항에 있어서, 상기 허용된 커넥션을 식별하기 위한 하나 이상의 매개변수에는 상기 패킷용의 소스포트와 수신포트가 더 포함되는 것을 특징으로 하는 시스템.
- 제2항에 있어서, 소정 기간 이후 상기 허용된 커넥션을 위한 추가 패킷이 수신되지 않으면 상기 파이어월에 의해 이 커넥션이 삭제되는 것을 특징으로 하는 시스템.
- 제2항에 있어서, 커넥션 상태에 관한 정보를 표시하는 특정 세션-제어 필드값을 갖는 패킷이 상기 허용된 커넥션용으로 수신되면 상기 패킷이 파이어월로 보내지는 것을 특징으로 하는 시스템.
- 제2항에 있어서, 상기 프리필터링 모듈이(i) 상기 허용된 커넥션을 식별하기 위한 패킷의 하나 이상의 매개변수를 저장하기 위한 커넥션 데이터베이스를 더 포함하는 것을 특징으로 하는 시스템.
- 제8항에 있어서, 상기 프리필터링 모듈이(ii) 상기 패킷의 적어도 일부분을 분석하고 상기 일부분을 상기 하나 이상의 매개변수와 비교하기 위한 분류엔진을 더 포함하는 것을 특징으로 하는 시스템.
- 제9항에 있어서, 상기 프리필터링 모듈이(iii) 상기 패킷이 허용된 커넥션으로부터 수신되면 이 패킷에 대해 파이어월로부터의 명령어에 따라 정의된 하나 이상의 동작을 실행하기 위한 수정기를 더 포함하는 것을 특징으로 하는 시스템.
- 제10항에 있어서, 상기 프리필터링 모듈이 하드웨어 장치로 구현되는 것을 특징으로 하는 시스템.
- 제10항에 있어서,(e) 상기 소스노드와 수신노드 사이에 배치되어 프리필터링 모듈과 파이어월을 작동시키는 컴퓨터장치를 더 포함하는 것을 특징으로 하는 시스템.
- 네트웍에서 패킷을 가속 필터링하기 위한 시스템에 있어서:(a) 하나 이상의 규칙에 따라 패킷을 필터링하도록 네트웍상에 배치된 파이어월; 및(b) 네트웍상에 배치되어 상기 파이어월과 통신하고, 상기 파이어월로부터 단순비교를 결정하는 하나 이상의 명령어를 수신하며, 파이어월보다 먼저 네트웍상에 수신된 패킷을 수신하여, 상기 단순비교에 따라 이 패킷이 허용되면 이 패킷을 네트웍상에서 송신하는 프리필터링 모듈;을 포함하는 것을 특징으로 하는 시스템.
- 제13항에 있어서, 상기 패킷이 허용되지 않으면 이 패킷이 네트웍에서 수신되었을 경우 상기 프리필터링 모듈이 이 패킷을 파이어월로 보내고, 그렇지 않으면 이 패킷이 파이어월로부터 수신되었을 경우 프리필터링 모듈이 이 패킷을 버리는 것을 특징으로 하는 시스템.
- 제13항에 있어서,(c) 패킷 전송을 위한 소스노드; 및(d) 패킷 수신을 위한 수신노드;를 더 포함하고,상기 소스노드와 수신노드 사이의 패킷전송이 커넥션을 형성하고, 상기 파이어월은 이 커넥션의 허용 여부를 결정하고, 상기 명령어는 허용된 커넥션을 식별하기 위한 상기 패킷의 하나 이상의 매개변수를 포함하며, 상기 커넥션이 허용될 경우 프리필터링 모듈이 이 패킷을 네트웍상에서 송신하는 것을 특징으로 하는 시스템.
- 제15항에 있어서, 상기 커넥션이 허용된 커넥션이 아닐경우 프리필터링 모듈이 이 패킷을 버리는 것을 특징으로 하는 시스템.
- 패킷 필터링을 가속화하고, 패킷 전송용 네트웍과 패킷 필터링용의 네트웍상의 파이어월을 포함하는 시스템에 사용하기 위해 파이어월보다 먼저 패킷을 수신하는 장치에 있어서:(a) 패킷의 하나 이상의 매개변수를 분석하기 위해 파이어월로부터의 하나 이상의 명령어를 저장하고, 상기 명령어는 패킷 식별을 위한 상기 매개변수를 포함하는 메모리; 및(b) 패킷의 적어도 일부분을 분석하고, 상기 명령어에 따라 상기 매개변수와 상기 패킷 일부분을 비교하기 위한 분류엔진;을 포함하는 것을 특징으로 하는 장치.
- 제17항에 있어서,(c) 상기 패킷이 허용되면, 파이어월로부터의 명령어에 따라 정의된 하나 이상의 동작을 상기 패킷에 대해 실행하기 위한 수정기를 더 포함하는 것을 특징으로 하는 장치.
- 파이어월과 통신하면서 네트웍에서 패킷 필터링을 가속화하는 방법에 있어서:(a) 파이어월보다 먼저 패킷을 수신하기 위한 프리필터링 모듈을 제공하는단계;(b) 상기 프리필터링 모듈이 상기 패킷을 수신하는 단계;(c) 상기 패킷의 허용여부를 결정하는 단계; 및(d) 상기 패킷이 허용되면 프리필터링 모듈이 이 패킷을 취급하는 단계;를 포함하는 것을 특징으로 하는 방법.
- 제19항에 있어서,(e) 상기 패킷이 허용되지 않으면 이 패킷을 파이어월로 보내는 단계를 더 포함하는 것을 특징으로 하는 방법.
- 제20항에 있어서, 상기 단계 (e)는 상기 패킷이 네트웍으로부터 수신되면 실행되는 것을 특징으로 하는 방법.
- 제21항에 있어서, 상기 패킷이 파이어월로부터 수신되면 그 패킷을 버리는 것을 특징으로 하는 방법.
- 제19항에 있어서, 상기 단계 (d)는 우선번호로 상기 패킷을 표시하는 단계를 포함하는 것을 특징으로 하는 방법.
- 제19항에 있어서, 상기 패킷이 다수의 단편으로 수신되면, 단계 (d)는 이 단편이 복제단편인지 여부를 결정하는 단계를 포함하고;상기 단편이 복제 단편일 경우(e) 상기 복제단편을 버리는 단계를 더 포함하는 것을 특징으로 하는 방법.
- 제19항에 있어서, 상기 단계 (c)가 파이어월에서 수신된 하나 이상의 명령어에 따라 결정되는 것을 특징으로 하는 방법.
- 제25항에 있어서, 상기 패킷이 수신주소를 갖고, 상기 단계 (d)가 이 수신주소로 상기 패킷을 보내는 단계를 포함하는 것을 특징으로 하는 방법.
- 제26항에 있어서, 상기 단계 (d)가 파이어월로부터의 명령어에 따라 결정되는 하나 이상의 동작을 프리필터링 모듈에 의해 상기 패킷에 대해 실시하는 단계를 포함하는 것을 특징으로 하는 방법.
- 제25항에 있어서, 상기 패킷은 하나 이상의 매개변수를 포함하고, 상기 하나 이상의 명령어는 상기 매개변수에 따라 이 패킷을 허용된 패킷으로 식별하며, 상기 단계 (c)는 상기 매개변수를 검색하기 위해 패킷을 분석하는 단계를 포함하는 것을 특징으로 하는 방법.
- 제28항에 있어서, 상기 파이어월은 하나 이상의 앞서 수신된 패킷의 소스주소와 수신주소에 따라 상기 앞서 수신된 패킷을 분류하고, 상기 소스주소와 수신주소가 공동으로 커넥션을 형성하며, 파이어월은 상기 소스주소와 수신주소를 전송하여 상기 커넥션이 상기 명령어처럼 프리필터링 모듈에 대한 허용된 커넥션으로 식별하는 것을 특징으로 하는 방법.
- 제29항에 있어서, 네트웍이 다수의 인터페이스와 통신하고, 상기 프리필터링 모듈은 다수의 인터페이스 각각에 커넥션되며, 상기 단계 (c)는 상기 패킷이 상기 허용된 커넥션과 허용된 인터페이스로부터 수신된 것인지 여부를 결정하여 이 패킷이 허용 인터페이스를 통해 허용 커넥션으로부터 수신될 경우에만 패킷을 허용하는 단계를 포함하는 것을 특징으로 하는 방법.
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US09/517,276 US6496935B1 (en) | 2000-03-02 | 2000-03-02 | System, device and method for rapid packet filtering and processing |
US09/517,276 | 2000-03-02 | ||
PCT/US2001/005925 WO2001065343A1 (en) | 2000-03-02 | 2001-02-26 | System, device and method for rapid packet filtering and processing |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20020092972A true KR20020092972A (ko) | 2002-12-12 |
Family
ID=24059131
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020027011384A KR20020092972A (ko) | 2000-03-02 | 2001-02-26 | 패킷 필터링과 프로세싱을 가속화하는 시스템, 장치 및방법 |
Country Status (17)
Country | Link |
---|---|
US (1) | US6496935B1 (ko) |
EP (1) | EP1266277B1 (ko) |
JP (1) | JP3954385B2 (ko) |
KR (1) | KR20020092972A (ko) |
CN (1) | CN100474213C (ko) |
AT (1) | ATE312463T1 (ko) |
AU (2) | AU4171701A (ko) |
BR (1) | BR0109035A (ko) |
CA (1) | CA2401577C (ko) |
DE (1) | DE60115615T2 (ko) |
EA (1) | EA004423B1 (ko) |
HU (1) | HUP0300039A2 (ko) |
IL (2) | IL151522A0 (ko) |
NO (1) | NO324958B1 (ko) |
NZ (1) | NZ520984A (ko) |
PL (1) | PL357181A1 (ko) |
WO (1) | WO2001065343A1 (ko) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100753815B1 (ko) * | 2005-08-31 | 2007-08-31 | 한국전자통신연구원 | 패킷 차단 장치 및 그 방법 |
Families Citing this family (194)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7089588B2 (en) * | 2000-01-19 | 2006-08-08 | Reynolds And Reynolds Holdings, Inc. | Performance path method and apparatus for exchanging data among systems using different data formats |
US6854063B1 (en) * | 2000-03-03 | 2005-02-08 | Cisco Technology, Inc. | Method and apparatus for optimizing firewall processing |
US6732209B1 (en) * | 2000-03-28 | 2004-05-04 | Juniper Networks, Inc. | Data rate division among a plurality of input queues |
DE10025929B4 (de) * | 2000-05-26 | 2006-02-16 | Harman Becker Automotive Systems (Becker Division) Gmbh | Verfahren zum Übertragen von Daten |
US7120931B1 (en) * | 2000-08-31 | 2006-10-10 | Cisco Technology, Inc. | System and method for generating filters based on analyzed flow data |
US8250357B2 (en) | 2000-09-13 | 2012-08-21 | Fortinet, Inc. | Tunnel interface for securing traffic over a network |
US7111072B1 (en) | 2000-09-13 | 2006-09-19 | Cosine Communications, Inc. | Packet routing system and method |
US7487232B1 (en) | 2000-09-13 | 2009-02-03 | Fortinet, Inc. | Switch management system and method |
US7389358B1 (en) * | 2000-09-13 | 2008-06-17 | Fortinet, Inc. | Distributed virtual system to support managed, network-based services |
US7272643B1 (en) | 2000-09-13 | 2007-09-18 | Fortinet, Inc. | System and method for managing and provisioning virtual routers |
US7574495B1 (en) | 2000-09-13 | 2009-08-11 | Fortinet, Inc. | System and method for managing interworking communications protocols |
US7054930B1 (en) * | 2000-10-26 | 2006-05-30 | Cisco Technology, Inc. | System and method for propagating filters |
US6922786B1 (en) * | 2000-10-31 | 2005-07-26 | Nortel Networks Limited | Real-time media communications over firewalls using a control protocol |
US7131140B1 (en) * | 2000-12-29 | 2006-10-31 | Cisco Technology, Inc. | Method for protecting a firewall load balancer from a denial of service attack |
US6731652B2 (en) * | 2001-02-14 | 2004-05-04 | Metro Packet Systems Inc. | Dynamic packet processor architecture |
ATE324736T1 (de) * | 2001-02-20 | 2006-05-15 | Eyeball Networks Inc | Verfahren und vorrichtung zur zulassung der datenübertragung über firewalls |
US7664119B2 (en) * | 2001-03-30 | 2010-02-16 | Intel Corporation | Method and apparatus to perform network routing |
US7277953B2 (en) * | 2001-04-18 | 2007-10-02 | Emc Corporation | Integrated procedure for partitioning network data services among multiple subscribers |
US6816455B2 (en) * | 2001-05-09 | 2004-11-09 | Telecom Italia S.P.A. | Dynamic packet filter utilizing session tracking |
JP2002358239A (ja) * | 2001-06-04 | 2002-12-13 | Fuji Electric Co Ltd | 著作権保護システム |
US7181547B1 (en) | 2001-06-28 | 2007-02-20 | Fortinet, Inc. | Identifying nodes in a ring network |
US20040001433A1 (en) * | 2001-07-18 | 2004-01-01 | Gram Charles Andrew | Interactive control of network devices |
US7134012B2 (en) * | 2001-08-15 | 2006-11-07 | International Business Machines Corporation | Methods, systems and computer program products for detecting a spoofed source address in IP datagrams |
EP1433066B1 (en) * | 2001-09-14 | 2010-08-11 | Nokia Inc. | Device and method for packet forwarding |
US7409706B1 (en) | 2001-10-02 | 2008-08-05 | Cisco Technology, Inc. | System and method for providing path protection of computer network traffic |
KR100452143B1 (ko) * | 2001-10-16 | 2004-10-08 | 주식회사 플랜티넷 | 비대칭 트래픽 흐름 방식을 이용한 웹 필터링 장치 및방법 |
JP2003242714A (ja) * | 2001-10-24 | 2003-08-29 | Fuji Electric Co Ltd | 情報記録媒体、その媒体の製造方法、情報処理装置、並びに、著作権管理システム |
US9392002B2 (en) * | 2002-01-31 | 2016-07-12 | Nokia Technologies Oy | System and method of providing virus protection at a gateway |
US7216260B2 (en) * | 2002-03-27 | 2007-05-08 | International Business Machines Corporation | Method, system and program product for dynamically detecting errant data sequences and performing corresponding actions |
US7185365B2 (en) * | 2002-03-27 | 2007-02-27 | Intel Corporation | Security enabled network access control |
CN1152531C (zh) * | 2002-04-23 | 2004-06-02 | 华为技术有限公司 | 分片报文的网络访问控制方法 |
US20030200463A1 (en) * | 2002-04-23 | 2003-10-23 | Mccabe Alan Jason | Inter-autonomous system weighstation |
US7120797B2 (en) * | 2002-04-24 | 2006-10-10 | Microsoft Corporation | Methods for authenticating potential members invited to join a group |
AUPS214802A0 (en) * | 2002-05-01 | 2002-06-06 | Firebridge Systems Pty Ltd | Firewall with stateful inspection |
US20030212901A1 (en) * | 2002-05-13 | 2003-11-13 | Manav Mishra | Security enabled network flow control |
US7340535B1 (en) * | 2002-06-04 | 2008-03-04 | Fortinet, Inc. | System and method for controlling routing in a virtual router system |
US7161904B2 (en) * | 2002-06-04 | 2007-01-09 | Fortinet, Inc. | System and method for hierarchical metering in a virtual router based network switch |
US7116665B2 (en) * | 2002-06-04 | 2006-10-03 | Fortinet, Inc. | Methods and systems for a distributed provider edge |
US7376125B1 (en) | 2002-06-04 | 2008-05-20 | Fortinet, Inc. | Service processing switch |
US7177311B1 (en) * | 2002-06-04 | 2007-02-13 | Fortinet, Inc. | System and method for routing traffic through a virtual router-based network switch |
US7203192B2 (en) | 2002-06-04 | 2007-04-10 | Fortinet, Inc. | Network packet steering |
US9088494B2 (en) * | 2002-06-26 | 2015-07-21 | Avaya Communication Israel Ltd. | Packet fragmentation prevention |
US7146638B2 (en) * | 2002-06-27 | 2006-12-05 | International Business Machines Corporation | Firewall protocol providing additional information |
US6983323B2 (en) * | 2002-08-12 | 2006-01-03 | Tippingpoint Technologies, Inc. | Multi-level packet screening with dynamically selected filtering criteria |
US7096383B2 (en) | 2002-08-29 | 2006-08-22 | Cosine Communications, Inc. | System and method for virtual router failover in a network routing system |
US20100138909A1 (en) * | 2002-09-06 | 2010-06-03 | O2Micro, Inc. | Vpn and firewall integrated system |
US7315890B2 (en) * | 2002-10-02 | 2008-01-01 | Lockheed Martin Corporation | System and method for managing access to active devices operably connected to a data network |
US7440573B2 (en) * | 2002-10-08 | 2008-10-21 | Broadcom Corporation | Enterprise wireless local area network switching system |
US20040078422A1 (en) * | 2002-10-17 | 2004-04-22 | Toomey Christopher Newell | Detecting and blocking spoofed Web login pages |
US7266120B2 (en) | 2002-11-18 | 2007-09-04 | Fortinet, Inc. | System and method for hardware accelerated packet multicast in a virtual routing system |
TW200412101A (en) * | 2002-12-23 | 2004-07-01 | Shaw-Hwa Hwang | Directly peer-to peer transmission protocol between two virtual network |
MY141160A (en) * | 2003-01-13 | 2010-03-31 | Multimedia Glory Sdn Bhd | System and method of preventing the transmission of known and unknown electronic content to and from servers or workstations connected to a common network |
JP4257151B2 (ja) * | 2003-02-28 | 2009-04-22 | 富士通株式会社 | パケット制御システム、パケット制御装置、パケット中継装置およびパケット制御プログラム |
TW200420021A (en) * | 2003-03-19 | 2004-10-01 | Etrunk Technologies Inc | Network packet routing control device |
US7325002B2 (en) * | 2003-04-04 | 2008-01-29 | Juniper Networks, Inc. | Detection of network security breaches based on analysis of network record logs |
US7760729B2 (en) | 2003-05-28 | 2010-07-20 | Citrix Systems, Inc. | Policy based network address translation |
WO2004107130A2 (en) | 2003-05-28 | 2004-12-09 | Caymas Systems, Inc. | Multilayer access control security system |
US7260840B2 (en) * | 2003-06-06 | 2007-08-21 | Microsoft Corporation | Multi-layer based method for implementing network firewalls |
US7509673B2 (en) * | 2003-06-06 | 2009-03-24 | Microsoft Corporation | Multi-layered firewall architecture |
US7308711B2 (en) * | 2003-06-06 | 2007-12-11 | Microsoft Corporation | Method and framework for integrating a plurality of network policies |
US6985920B2 (en) * | 2003-06-23 | 2006-01-10 | Protego Networks Inc. | Method and system for determining intra-session event correlation across network address translation devices |
US20050022017A1 (en) | 2003-06-24 | 2005-01-27 | Maufer Thomas A. | Data structures and state tracking for network protocol processing |
US7620070B1 (en) * | 2003-06-24 | 2009-11-17 | Nvidia Corporation | Packet processing with re-insertion into network interface circuitry |
US7305705B2 (en) * | 2003-06-30 | 2007-12-04 | Microsoft Corporation | Reducing network configuration complexity with transparent virtual private networks |
US20050144290A1 (en) * | 2003-08-01 | 2005-06-30 | Rizwan Mallal | Arbitrary java logic deployed transparently in a network |
US7522594B2 (en) * | 2003-08-19 | 2009-04-21 | Eye Ball Networks, Inc. | Method and apparatus to permit data transmission to traverse firewalls |
US7720095B2 (en) | 2003-08-27 | 2010-05-18 | Fortinet, Inc. | Heterogeneous media packet bridging |
US7464181B2 (en) * | 2003-09-11 | 2008-12-09 | International Business Machines Corporation | Method for caching lookups based upon TCP traffic flow characteristics |
US7594018B2 (en) * | 2003-10-10 | 2009-09-22 | Citrix Systems, Inc. | Methods and apparatus for providing access to persistent application sessions |
US20050100019A1 (en) * | 2003-11-10 | 2005-05-12 | Sahita Ravi L. | Rule based packet processing engine |
US7978716B2 (en) | 2003-11-24 | 2011-07-12 | Citrix Systems, Inc. | Systems and methods for providing a VPN solution |
US7792147B1 (en) * | 2004-02-09 | 2010-09-07 | Symantec Corporation | Efficient assembly of fragmented network traffic for data security |
KR100609170B1 (ko) * | 2004-02-13 | 2006-08-02 | 엘지엔시스(주) | 네트워크 보안 시스템 및 그 동작 방법 |
US6972226B2 (en) * | 2004-03-31 | 2005-12-06 | Infineon Technologies Ag | Charge-trapping memory cell array and method for production |
US20050268331A1 (en) * | 2004-05-25 | 2005-12-01 | Franck Le | Extension to the firewall configuration protocols and features |
US8739274B2 (en) | 2004-06-30 | 2014-05-27 | Citrix Systems, Inc. | Method and device for performing integrated caching in a data communication network |
US7757074B2 (en) | 2004-06-30 | 2010-07-13 | Citrix Application Networking, Llc | System and method for establishing a virtual private network |
US8495305B2 (en) | 2004-06-30 | 2013-07-23 | Citrix Systems, Inc. | Method and device for performing caching of dynamically generated objects in a data communication network |
EP1771998B1 (en) | 2004-07-23 | 2015-04-15 | Citrix Systems, Inc. | Systems and methods for optimizing communications between network nodes |
KR20070037649A (ko) | 2004-07-23 | 2007-04-05 | 사이트릭스 시스템스, 인크. | 게이트웨이에서 종단으로 패킷을 라우팅하기 위한 방법 및시스템 |
US7865944B1 (en) * | 2004-09-10 | 2011-01-04 | Juniper Networks, Inc. | Intercepting GPRS data |
GB0420684D0 (en) * | 2004-09-17 | 2004-10-20 | Oostendorp Jeroen | Platform for intelligent Email distribution |
US7499419B2 (en) | 2004-09-24 | 2009-03-03 | Fortinet, Inc. | Scalable IP-services enabled multicast forwarding with efficient resource utilization |
US7748032B2 (en) | 2004-09-30 | 2010-06-29 | Citrix Systems, Inc. | Method and apparatus for associating tickets in a ticket hierarchy |
US7711835B2 (en) | 2004-09-30 | 2010-05-04 | Citrix Systems, Inc. | Method and apparatus for reducing disclosure of proprietary data in a networked environment |
US8613048B2 (en) | 2004-09-30 | 2013-12-17 | Citrix Systems, Inc. | Method and apparatus for providing authorized remote access to application sessions |
KR100624483B1 (ko) * | 2004-10-06 | 2006-09-18 | 삼성전자주식회사 | 네트워크에서의 차등 침입탐지 장치 및 방법 |
US7808904B2 (en) | 2004-11-18 | 2010-10-05 | Fortinet, Inc. | Method and apparatus for managing subscriber profiles |
JP2006174350A (ja) * | 2004-12-20 | 2006-06-29 | Fujitsu Ltd | 通信装置 |
US8700695B2 (en) | 2004-12-30 | 2014-04-15 | Citrix Systems, Inc. | Systems and methods for providing client-side accelerated access to remote applications via TCP pooling |
US8549149B2 (en) | 2004-12-30 | 2013-10-01 | Citrix Systems, Inc. | Systems and methods for providing client-side accelerated access to remote applications via TCP multiplexing |
US8954595B2 (en) | 2004-12-30 | 2015-02-10 | Citrix Systems, Inc. | Systems and methods for providing client-side accelerated access to remote applications via TCP buffering |
US8706877B2 (en) | 2004-12-30 | 2014-04-22 | Citrix Systems, Inc. | Systems and methods for providing client-side dynamic redirection to bypass an intermediary |
US7810089B2 (en) | 2004-12-30 | 2010-10-05 | Citrix Systems, Inc. | Systems and methods for automatic installation and execution of a client-side acceleration program |
US8255456B2 (en) | 2005-12-30 | 2012-08-28 | Citrix Systems, Inc. | System and method for performing flash caching of dynamically generated objects in a data communication network |
US8024568B2 (en) | 2005-01-28 | 2011-09-20 | Citrix Systems, Inc. | Method and system for verification of an endpoint security scan |
US7665128B2 (en) | 2005-04-08 | 2010-02-16 | At&T Corp. | Method and apparatus for reducing firewall rules |
US7634584B2 (en) | 2005-04-27 | 2009-12-15 | Solarflare Communications, Inc. | Packet validation in virtual network interface architecture |
US20070097976A1 (en) * | 2005-05-20 | 2007-05-03 | Wood George D | Suspect traffic redirection |
US7881291B2 (en) * | 2005-05-26 | 2011-02-01 | Alcatel Lucent | Packet classification acceleration using spectral analysis |
US8631483B2 (en) * | 2005-06-14 | 2014-01-14 | Texas Instruments Incorporated | Packet processors and packet filter processes, circuits, devices, and systems |
CN100448227C (zh) * | 2005-08-30 | 2008-12-31 | 杭州华三通信技术有限公司 | 业务流的识别方法 |
US8347373B2 (en) | 2007-05-08 | 2013-01-01 | Fortinet, Inc. | Content filtering of remote file-system access protocols |
CA2632235A1 (en) | 2005-12-02 | 2007-06-07 | Citrix Systems, Inc. | Method and apparatus for providing authentication credentials from a proxy server to a virtualized computing environment to access a remote resource |
JP4545085B2 (ja) * | 2005-12-08 | 2010-09-15 | 富士通株式会社 | ファイアウォール装置 |
US8730834B2 (en) * | 2005-12-23 | 2014-05-20 | General Electric Company | Intelligent electronic device with embedded multi-port data packet controller |
US8301839B2 (en) | 2005-12-30 | 2012-10-30 | Citrix Systems, Inc. | System and method for performing granular invalidation of cached dynamically generated objects in a data communication network |
US7921184B2 (en) | 2005-12-30 | 2011-04-05 | Citrix Systems, Inc. | System and method for performing flash crowd caching of dynamically generated objects in a data communication network |
US8584226B2 (en) | 2006-01-26 | 2013-11-12 | Iorhythm, Inc. | Method and apparatus for geographically regulating inbound and outbound network communications |
US7606225B2 (en) * | 2006-02-06 | 2009-10-20 | Fortinet, Inc. | Integrated security switch |
US7784086B2 (en) * | 2006-03-08 | 2010-08-24 | Panasonic Corporation | Method for secure packet identification |
JP4823728B2 (ja) * | 2006-03-20 | 2011-11-24 | 富士通株式会社 | フレーム中継装置及びフレーム検査装置 |
US8151323B2 (en) * | 2006-04-12 | 2012-04-03 | Citrix Systems, Inc. | Systems and methods for providing levels of access and action control via an SSL VPN appliance |
US8122492B2 (en) * | 2006-04-21 | 2012-02-21 | Microsoft Corporation | Integration of social network information and network firewalls |
US8079073B2 (en) * | 2006-05-05 | 2011-12-13 | Microsoft Corporation | Distributed firewall implementation and control |
US8176157B2 (en) * | 2006-05-18 | 2012-05-08 | Microsoft Corporation | Exceptions grouping |
US7603333B2 (en) * | 2006-06-14 | 2009-10-13 | Microsoft Corporation | Delayed policy evaluation |
US7865878B2 (en) * | 2006-07-31 | 2011-01-04 | Sap Ag | Method and apparatus for operating enterprise software from a detachable storage device |
US8533846B2 (en) | 2006-11-08 | 2013-09-10 | Citrix Systems, Inc. | Method and system for dynamically associating access rights with a resource |
US7688821B2 (en) * | 2006-11-21 | 2010-03-30 | O2Micro International Ltd. | Method and apparatus for distributing data packets by using multi-network address translation |
US8984620B2 (en) * | 2007-07-06 | 2015-03-17 | Cyberoam Technologies Pvt. Ltd. | Identity and policy-based network security and management system and method |
US10540651B1 (en) * | 2007-07-31 | 2020-01-21 | Intuit Inc. | Technique for restricting access to information |
US8060927B2 (en) * | 2007-10-31 | 2011-11-15 | Microsoft Corporation | Security state aware firewall |
JP5223376B2 (ja) * | 2008-02-29 | 2013-06-26 | 日本電気株式会社 | リモートアクセスシステム、方法及びプログラム |
US20090235355A1 (en) * | 2008-03-17 | 2009-09-17 | Inventec Corporation | Network intrusion protection system |
US8336094B2 (en) * | 2008-03-27 | 2012-12-18 | Juniper Networks, Inc. | Hierarchical firewalls |
JP5153480B2 (ja) * | 2008-06-27 | 2013-02-27 | 三菱電機株式会社 | ゲートウェイ装置およびパケットフィルタリング方法 |
US7908376B2 (en) * | 2008-07-31 | 2011-03-15 | Broadcom Corporation | Data path acceleration of a network stack |
US8769665B2 (en) * | 2009-09-29 | 2014-07-01 | Broadcom Corporation | IP communication device as firewall between network and computer system |
CN105376167A (zh) * | 2009-10-28 | 2016-03-02 | 惠普公司 | 分布式分组流检查和处理 |
US8656492B2 (en) * | 2011-05-16 | 2014-02-18 | General Electric Company | Systems, methods, and apparatus for network intrusion detection |
WO2012163587A1 (en) * | 2011-05-31 | 2012-12-06 | Alcatel Lucent | Distributed access control across the network firewalls |
US8881258B2 (en) * | 2011-08-24 | 2014-11-04 | Mcafee, Inc. | System, method, and computer program for preventing infections from spreading in a network environment using dynamic application of a firewall policy |
US8681794B2 (en) | 2011-11-30 | 2014-03-25 | Broadcom Corporation | System and method for efficient matching of regular expression patterns across multiple packets |
US8724496B2 (en) * | 2011-11-30 | 2014-05-13 | Broadcom Corporation | System and method for integrating line-rate application recognition in a switch ASIC |
US9503327B2 (en) * | 2012-07-24 | 2016-11-22 | Nec Corporation | Filtering setting support device, filtering setting support method, and medium |
KR101563059B1 (ko) * | 2012-11-19 | 2015-10-23 | 삼성에스디에스 주식회사 | 안티 멀웨어 시스템 및 안티 멀웨어 시스템에서의 데이터 처리 방법 |
US9319351B1 (en) * | 2012-11-26 | 2016-04-19 | Marvell Israel (M.I.S.L.) Ltd. | Mechanism for wire-speed stateful packet inspection in packet processors |
US10033693B2 (en) | 2013-10-01 | 2018-07-24 | Nicira, Inc. | Distributed identity-based firewalls |
US9215214B2 (en) | 2014-02-20 | 2015-12-15 | Nicira, Inc. | Provisioning firewall rules on a firewall enforcing device |
US9755981B2 (en) | 2014-03-11 | 2017-09-05 | Vmware, Inc. | Snooping forwarded packets by a virtual machine |
US9384033B2 (en) | 2014-03-11 | 2016-07-05 | Vmware, Inc. | Large receive offload for virtual machines |
US9742682B2 (en) | 2014-03-11 | 2017-08-22 | Vmware, Inc. | Large receive offload for virtual machines |
US9503427B2 (en) | 2014-03-31 | 2016-11-22 | Nicira, Inc. | Method and apparatus for integrating a service virtual machine |
US9215210B2 (en) | 2014-03-31 | 2015-12-15 | Nicira, Inc. | Migrating firewall connection state for a firewall service virtual machine |
US9906494B2 (en) | 2014-03-31 | 2018-02-27 | Nicira, Inc. | Configuring interactions with a firewall service virtual machine |
US9825913B2 (en) | 2014-06-04 | 2017-11-21 | Nicira, Inc. | Use of stateless marking to speed up stateful firewall rule processing |
US9774707B2 (en) | 2014-06-04 | 2017-09-26 | Nicira, Inc. | Efficient packet classification for dynamic containers |
US9729512B2 (en) | 2014-06-04 | 2017-08-08 | Nicira, Inc. | Use of stateless marking to speed up stateful firewall rule processing |
US10110712B2 (en) | 2014-06-04 | 2018-10-23 | Nicira, Inc. | Efficient packet classification for dynamic containers |
WO2015187201A1 (en) * | 2014-06-04 | 2015-12-10 | Nicira, Inc. | Use of stateless marking to speed up stateful firewall rule processing |
US9692698B2 (en) | 2014-06-30 | 2017-06-27 | Nicira, Inc. | Methods and systems to offload overlay network packet encapsulation to hardware |
US9419897B2 (en) | 2014-06-30 | 2016-08-16 | Nicira, Inc. | Methods and systems for providing multi-tenancy support for Single Root I/O Virtualization |
US9692727B2 (en) | 2014-12-02 | 2017-06-27 | Nicira, Inc. | Context-aware distributed firewall |
US9891940B2 (en) | 2014-12-29 | 2018-02-13 | Nicira, Inc. | Introspection method and apparatus for network access filtering |
US9806948B2 (en) | 2015-06-30 | 2017-10-31 | Nicira, Inc. | Providing firewall rules for workload spread across multiple data centers |
US10324746B2 (en) | 2015-11-03 | 2019-06-18 | Nicira, Inc. | Extended context delivery for context-based authorization |
CN112087519A (zh) | 2016-04-12 | 2020-12-15 | 伽德诺克斯信息技术有限公司 | 具有被配置为实现安全锁定的相关设备的特别编程的计算系统及其使用方法 |
US10348685B2 (en) | 2016-04-29 | 2019-07-09 | Nicira, Inc. | Priority allocation for distributed service rules |
US10135727B2 (en) | 2016-04-29 | 2018-11-20 | Nicira, Inc. | Address grouping for distributed service rules |
US11171920B2 (en) | 2016-05-01 | 2021-11-09 | Nicira, Inc. | Publication of firewall configuration |
US11425095B2 (en) | 2016-05-01 | 2022-08-23 | Nicira, Inc. | Fast ordering of firewall sections and rules |
US11258761B2 (en) | 2016-06-29 | 2022-02-22 | Nicira, Inc. | Self-service firewall configuration |
US11082400B2 (en) | 2016-06-29 | 2021-08-03 | Nicira, Inc. | Firewall configuration versioning |
US11115385B1 (en) * | 2016-07-27 | 2021-09-07 | Cisco Technology, Inc. | Selective offloading of packet flows with flow state management |
US10938837B2 (en) | 2016-08-30 | 2021-03-02 | Nicira, Inc. | Isolated network stack to manage security for virtual machines |
US9762619B1 (en) | 2016-08-30 | 2017-09-12 | Nicira, Inc. | Multi-layer policy definition and enforcement framework for network virtualization |
US10193862B2 (en) | 2016-11-29 | 2019-01-29 | Vmware, Inc. | Security policy analysis based on detecting new network port connections |
US10609160B2 (en) | 2016-12-06 | 2020-03-31 | Nicira, Inc. | Performing context-rich attribute-based services on a host |
US11032246B2 (en) | 2016-12-22 | 2021-06-08 | Nicira, Inc. | Context based firewall services for data message flows for multiple concurrent users on one machine |
US10805332B2 (en) | 2017-07-25 | 2020-10-13 | Nicira, Inc. | Context engine model |
US10802858B2 (en) | 2016-12-22 | 2020-10-13 | Nicira, Inc. | Collecting and processing contextual attributes on a host |
US10812451B2 (en) | 2016-12-22 | 2020-10-20 | Nicira, Inc. | Performing appID based firewall services on a host |
US10803173B2 (en) | 2016-12-22 | 2020-10-13 | Nicira, Inc. | Performing context-rich attribute-based process control services on a host |
US10581960B2 (en) | 2016-12-22 | 2020-03-03 | Nicira, Inc. | Performing context-rich attribute-based load balancing on a host |
US10313926B2 (en) | 2017-05-31 | 2019-06-04 | Nicira, Inc. | Large receive offload (LRO) processing in virtualized computing environments |
US10778651B2 (en) | 2017-11-15 | 2020-09-15 | Nicira, Inc. | Performing context-rich attribute-based encryption on a host |
US10802893B2 (en) | 2018-01-26 | 2020-10-13 | Nicira, Inc. | Performing process control services on endpoint machines |
US10862773B2 (en) | 2018-01-26 | 2020-12-08 | Nicira, Inc. | Performing services on data messages associated with endpoint machines |
US11388141B1 (en) * | 2018-03-28 | 2022-07-12 | Juniper Networks, Inc | Apparatus, system, and method for efficiently filtering packets at network devices |
US11310202B2 (en) | 2019-03-13 | 2022-04-19 | Vmware, Inc. | Sharing of firewall rules among multiple workloads in a hypervisor |
US11539718B2 (en) | 2020-01-10 | 2022-12-27 | Vmware, Inc. | Efficiently performing intrusion detection |
US11962518B2 (en) | 2020-06-02 | 2024-04-16 | VMware LLC | Hardware acceleration techniques using flow selection |
US11108728B1 (en) | 2020-07-24 | 2021-08-31 | Vmware, Inc. | Fast distribution of port identifiers for rule processing |
US20220038372A1 (en) * | 2020-08-02 | 2022-02-03 | Mellanox Technologies Tlv Ltd. | Stateful filtering systems and methods |
US11593278B2 (en) | 2020-09-28 | 2023-02-28 | Vmware, Inc. | Using machine executing on a NIC to access a third party storage not supported by a NIC or host |
US20220100432A1 (en) | 2020-09-28 | 2022-03-31 | Vmware, Inc. | Distributed storage services supported by a nic |
US11875172B2 (en) | 2020-09-28 | 2024-01-16 | VMware LLC | Bare metal computer for booting copies of VM images on multiple computing devices using a smart NIC |
US11792134B2 (en) | 2020-09-28 | 2023-10-17 | Vmware, Inc. | Configuring PNIC to perform flow processing offload using virtual port identifiers |
US11636053B2 (en) | 2020-09-28 | 2023-04-25 | Vmware, Inc. | Emulating a local storage by accessing an external storage through a shared port of a NIC |
US11863376B2 (en) | 2021-12-22 | 2024-01-02 | Vmware, Inc. | Smart NIC leader election |
US11928367B2 (en) | 2022-06-21 | 2024-03-12 | VMware LLC | Logical memory addressing for network devices |
US11899594B2 (en) | 2022-06-21 | 2024-02-13 | VMware LLC | Maintenance of data message classification cache on smart NIC |
US11928062B2 (en) | 2022-06-21 | 2024-03-12 | VMware LLC | Accelerating data message classification with smart NICs |
Family Cites Families (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5400331A (en) * | 1993-04-28 | 1995-03-21 | Allen-Bradley Company, Inc. | Communication network interface with screeners for incoming messages |
US5623601A (en) * | 1994-11-18 | 1997-04-22 | Milkway Networks Corporation | Apparatus and method for providing a secure gateway for communication and data exchanges between networks |
US5802320A (en) * | 1995-05-18 | 1998-09-01 | Sun Microsystems, Inc. | System for packet filtering of data packets at a computer network interface |
US5648965A (en) * | 1995-07-07 | 1997-07-15 | Sun Microsystems, Inc. | Method and apparatus for dynamic distributed packet tracing and analysis |
US5801753A (en) * | 1995-08-11 | 1998-09-01 | General Instrument Corporation Of Delaware | Method and apparatus for providing an interactive guide to events available on an information network |
US6147976A (en) * | 1996-06-24 | 2000-11-14 | Cabletron Systems, Inc. | Fast network layer packet filter |
US5828833A (en) * | 1996-08-15 | 1998-10-27 | Electronic Data Systems Corporation | Method and system for allowing remote procedure calls through a network firewall |
US6119236A (en) * | 1996-10-07 | 2000-09-12 | Shipley; Peter M. | Intelligent network security device and method |
US6073178A (en) * | 1996-12-09 | 2000-06-06 | Sun Microsystems, Inc. | Method and apparatus for assignment of IP addresses |
US5848233A (en) * | 1996-12-09 | 1998-12-08 | Sun Microsystems, Inc. | Method and apparatus for dynamic packet filter assignment |
US6070242A (en) * | 1996-12-09 | 2000-05-30 | Sun Microsystems, Inc. | Method to activate unregistered systems in a distributed multiserver network environment |
US5835727A (en) * | 1996-12-09 | 1998-11-10 | Sun Microsystems, Inc. | Method and apparatus for controlling access to services within a computer network |
US6208651B1 (en) * | 1997-06-10 | 2001-03-27 | Cornell Research Foundation, Inc. | Method and system for masking the overhead of protocol layering |
US6158008A (en) * | 1997-10-23 | 2000-12-05 | At&T Wireless Svcs. Inc. | Method and apparatus for updating address lists for a packet filter processor |
US6092110A (en) * | 1997-10-23 | 2000-07-18 | At&T Wireless Svcs. Inc. | Apparatus for filtering packets using a dedicated processor |
EP1062785A2 (en) * | 1998-03-18 | 2000-12-27 | Secure Computing Corporation | System and method for controlling interactions between networks |
US6092108A (en) * | 1998-03-19 | 2000-07-18 | Diplacido; Bruno | Dynamic threshold packet filtering of application processor frames |
WO2000010297A1 (en) * | 1998-08-17 | 2000-02-24 | Vitesse Semiconductor Corporation | Packet processing architecture and methods |
-
2000
- 2000-03-02 US US09/517,276 patent/US6496935B1/en not_active Expired - Lifetime
-
2001
- 2001-02-26 EA EA200200814A patent/EA004423B1/ru not_active IP Right Cessation
- 2001-02-26 EP EP01912998A patent/EP1266277B1/en not_active Expired - Lifetime
- 2001-02-26 WO PCT/US2001/005925 patent/WO2001065343A1/en active IP Right Grant
- 2001-02-26 AT AT01912998T patent/ATE312463T1/de not_active IP Right Cessation
- 2001-02-26 NZ NZ520984A patent/NZ520984A/xx unknown
- 2001-02-26 AU AU4171701A patent/AU4171701A/xx active Pending
- 2001-02-26 CA CA002401577A patent/CA2401577C/en not_active Expired - Fee Related
- 2001-02-26 PL PL01357181A patent/PL357181A1/xx unknown
- 2001-02-26 JP JP2001563973A patent/JP3954385B2/ja not_active Expired - Lifetime
- 2001-02-26 CN CNB018058892A patent/CN100474213C/zh not_active Expired - Fee Related
- 2001-02-26 IL IL15152201A patent/IL151522A0/xx active IP Right Grant
- 2001-02-26 KR KR1020027011384A patent/KR20020092972A/ko not_active Application Discontinuation
- 2001-02-26 BR BR0109035-6A patent/BR0109035A/pt not_active Application Discontinuation
- 2001-02-26 DE DE60115615T patent/DE60115615T2/de not_active Expired - Lifetime
- 2001-02-26 HU HU0300039A patent/HUP0300039A2/hu unknown
- 2001-02-26 AU AU2001241717A patent/AU2001241717B2/en not_active Ceased
-
2002
- 2002-08-28 IL IL151522A patent/IL151522A/en unknown
- 2002-08-29 NO NO20024113A patent/NO324958B1/no not_active IP Right Cessation
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100753815B1 (ko) * | 2005-08-31 | 2007-08-31 | 한국전자통신연구원 | 패킷 차단 장치 및 그 방법 |
Also Published As
Publication number | Publication date |
---|---|
CA2401577A1 (en) | 2001-09-07 |
AU2001241717B2 (en) | 2005-12-22 |
CN100474213C (zh) | 2009-04-01 |
JP3954385B2 (ja) | 2007-08-08 |
EA004423B1 (ru) | 2004-04-29 |
BR0109035A (pt) | 2003-06-03 |
IL151522A (en) | 2007-12-03 |
NO20024113L (no) | 2002-11-01 |
PL357181A1 (en) | 2004-07-26 |
JP2003525557A (ja) | 2003-08-26 |
EP1266277A1 (en) | 2002-12-18 |
US6496935B1 (en) | 2002-12-17 |
CA2401577C (en) | 2007-09-18 |
EP1266277B1 (en) | 2005-12-07 |
NZ520984A (en) | 2003-02-28 |
NO20024113D0 (no) | 2002-08-29 |
NO324958B1 (no) | 2008-01-14 |
DE60115615T2 (de) | 2006-07-06 |
WO2001065343A1 (en) | 2001-09-07 |
DE60115615D1 (de) | 2006-01-12 |
EP1266277A4 (en) | 2003-07-02 |
HUP0300039A2 (en) | 2003-05-28 |
IL151522A0 (en) | 2003-04-10 |
CN1406351A (zh) | 2003-03-26 |
EA200200814A1 (ru) | 2003-02-27 |
ATE312463T1 (de) | 2005-12-15 |
AU4171701A (en) | 2001-09-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR20020092972A (ko) | 패킷 필터링과 프로세싱을 가속화하는 시스템, 장치 및방법 | |
AU2001241717A1 (en) | System, device and method for rapid packet filtering and processing | |
EP3382989B1 (en) | Network interface device | |
US9674146B2 (en) | Network security module for Ethernet-receiving industrial control devices | |
EP1634175B1 (en) | Multilayer access control security system | |
KR100641279B1 (ko) | 필터 코드를 이용하여 아이피 보안 정책 관리를 수행하기위한 방법 및 장치 | |
US8060927B2 (en) | Security state aware firewall | |
US20070022474A1 (en) | Portable firewall | |
US20070022479A1 (en) | Network interface and firewall device | |
MXPA04005464A (es) | Arquitectura de la pared de fuego estratificada. | |
WO2005117327A2 (en) | A system, method, and computer program product for updating the states of a firewall | |
JP2004304752A (ja) | 攻撃防御システムおよび攻撃防御方法 | |
US20220337555A1 (en) | Firewall offloading | |
KR20010095337A (ko) | 임베디드 하드웨어와 범용 컴퓨터가 결합된 방화벽 시스템 | |
US8336093B2 (en) | Abnormal IPSec packet control system using IPSec configuration and session data, and method thereof | |
JP2020017809A (ja) | 通信装置及び通信システム | |
US20230291803A1 (en) | Systems and methods for virtual multiplexed connections | |
US11973783B1 (en) | Attack prevention in internet of things networks | |
US11960944B2 (en) | Interprocessor procedure calls | |
Li et al. | Dynamical Immune Intrusion Detection System for IPv6 | |
KR20050002348A (ko) | 인트라넷 보안 시스템 및 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
WITN | Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid |