KR20020092972A - 패킷 필터링과 프로세싱을 가속화하는 시스템, 장치 및방법 - Google Patents

패킷 필터링과 프로세싱을 가속화하는 시스템, 장치 및방법 Download PDF

Info

Publication number
KR20020092972A
KR20020092972A KR1020027011384A KR20027011384A KR20020092972A KR 20020092972 A KR20020092972 A KR 20020092972A KR 1020027011384 A KR1020027011384 A KR 1020027011384A KR 20027011384 A KR20027011384 A KR 20027011384A KR 20020092972 A KR20020092972 A KR 20020092972A
Authority
KR
South Korea
Prior art keywords
packet
firewall
connection
allowed
network
Prior art date
Application number
KR1020027011384A
Other languages
English (en)
Inventor
코넨 핀크
아미르 하러쉬
Original Assignee
첵크 포인트 소프트웨어 테크놀러지스 리미티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 첵크 포인트 소프트웨어 테크놀러지스 리미티드 filed Critical 첵크 포인트 소프트웨어 테크놀러지스 리미티드
Publication of KR20020092972A publication Critical patent/KR20020092972A/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0254Stateful filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Abstract

프리필터링 모듈(30)을 갖는 파이어월(18)을 설치하여 패킷 필터링 방법, 장치 및 시스템이 구현된다. 프리필터링 모듈(30)은 패킷을 특정 커넥션에서 수신했느지의 여부에 따라 이 패킷에 관한 제한된 행동을 실행한다. 그렇지 않으면, 이들 패킷은 파이어월(18)로 보내진다.

Description

패킷 필터링과 프로세싱을 가속화하는 시스템, 장치 및 방법{SYSTEM, DEVICE AND METHOD FOR RAPID PACKET FILTERING AND PROCESSING}
연결성과 보안성은 컴퓨터 환경에서 서로 상충되는 대상이다. 통상의 현대 컴퓨터 시스템은 네트웍 통신망 주변에 설치되어, 여러가지 서비스에 대한 투명한 접속을 허용한다. 이런 서비스들에 대한 글로벌 이용은 아마도 현대 컴퓨터 솔루션들의 가장 중요한 특징의 하나일 것이다. 연결성에 대한 요구는 조직내에서는 물론 외부로부터 온다.
인가되지 않은 사용에 대해 네트웍 서비스를 보호하는 것은 모든 조직에 대해 아주 중요한 것이다. 보안성에 대한 필요성이 증가할수록, 네트웍 리소스에 대한 접속을 통제하는 수단이 우선적인 관리사항이 되었다. 비용을 절감하고 생산성을 유지하기 위해 접속통제는 구성이 간단해야되고 사용자와 애플리케이션에 대해 투명해야만 한다. 셋업 비용의 최적화와 고장시간 역시 중요한 요소들이다.
패킷 필터링은 트래픽을 조정하여 연결성을 제공하면서도 보안성을 유지함으로써, 싱글 네트웍 내부와 연결네트웍들 사이 모두에서 불법적인 통신시도를 차단하는 방법이다.
미국특허 5,835,726(1996년 6월 17일 출원)과 미국특허 5,606,668(1993년 12월 5일 출원) 둘다 본 발명에 참고된 것으로서, 컴퓨터 네트웍내의 내향/외향 데이터 패킷 흐름을 조정하여 네트웍 보안성을 강화하는 방법을 설명하고 있다. 패킷의 흐름은 패킷 필터링에 의해 조정되고, 뒤에 필터 언어 명령어 세트로 변환될 사용자 생성 규칙에 따라 실행된다. 규칙 베이스의 규칙으로는 소스, 수신처, 서비스, 패킷의 허용여부 및 이벤트의 로그, 암호화 및/또는 인가 여부 등이 있다. 필터 언어 명령어 세트는 파이어월로 기능하는 컴퓨터에 설치된 검사엔진에 설치되어 실행된다. 검사엔진은 파이어월을 통해 패킷을 받아들일지의 여부를 결정하기 위해 스테이트풀(stateful) 검사를 실행한다. 보호해야 할 네트웍으로 입출될 모든 트래픽이 강제로 파이어월을 통과하도록 컴퓨터 네트웍 내부에 파이어월을 위치시킨다. 따라서, 규칙베이스의 규칙에 따라 네트웍에 패킷들이 출입하면서 패킷들이 필터링된다.
이런 기준에 따라, 검사엔진은 패킷의 허용 여부에 대한 패킷 기준들에 따라 패킷을 결정하는 가상 패킷 필터링 장치로 기능한다. 패킷이 거부되면, 이 패킷은 버려진다. 패킷이 받아들여지면, 이 패킷은 수정될 수 있다. 수정이란 암호화, 해독, 사인생성, 사인확인 또는 주소번역등을 포함한다. 모든 수정들은 규칙베이스의 내용에 따라 실시된다.
불행히도, 이런 방법의 단점은, 파이어월을 작동시키는 컴퓨터에 큰 부하가걸린다는 것이다. 전술한 패킷 필터링 방법들에서는 패킷들을 각각 별도로 분석하고, 파이어월을 통해 어떤 패킷 엔트리가 결정되는가에 따라 규칙 세트들과 각각 비교해야 한다. 그러나, 두개의 노드들 사이에 파이어월을 통해 설정되는 세션이나 커넥션이 일단 허용된 것으로 유효하다면, 대부분의 경우 더이상의 분석은 불필요할 수 있다. 따라서, 허용된 커넥션으로부터의 패킷들의 계속적인 분석을 축소하거나 배제한다면, 파이어월에 의한 부하를 상당히 낮출 수 있고 패킷 필터링 과정을 가속화하면서도, 보호시스템의 보안성을 여전히 유지할 수 있을 것이다.
따라서, 허용된 커넥션으로부터 패킷을 수신할 경우 완벽한 패킷 분석 요구를 낮추거나 배제하면서도, 수정과정의 하드웨어 가속을 통해 신속하고 효율적으로 패킷을 수정할 능력을 유지할 수 있도록 패킷을 수신하는 커넥션에 따른 패킷 필터링을 가속화하는 시스템, 장치 및 방법에 대한 필요성이 있고, 만약 이런 것이 있다면 유용할 것이다.
본 발명은 패킷-스위치 네트웍에서 패킷 필터링을 가속화하는 시스템, 장치 및 방법에 관한 것으로, 구체적으로는 세션을 기본으로한 필터링을 통해 패킷 필터링의 효율을 향상시키는 시스템, 장치 및 방법에 관한 것이다.
도 1은 본 발명에 따른 시스템의 개략적 블록도;
도 2는 본 발명에 따른 도 1의 프리필터링 모듈의 일례의 개략적 블록도;
도 3은 본 발명에 따른 방법의 플로어차트.
본 발명은 프리필터링(pre-filtering) 모듈을 구비한 파이어월을 이용해 패킷-스위치 네트웍, 바람직하게는 IP 네트웍에서 패킷 필터링을 가속화하는 시스템, 장치 및 방법에 관한 것이다. 프리필터링 모듈은 파이어월에 의해 전에 허용되었던 커넥션으로부터 패킷이 수신되는지의 여부에 따라 이 패킷에 관해 한정된 행위를 수행한다. 허용된 커넥션에서 패킷이 수신되면, 프리필터링 모듈은 이 패킷을 수신처로 보내고, 이 패킷에 하나 이상의 행위를 실시한다. 그렇지 않으면, 이들 패킷은 파이어월로 보내진다. 일단 파이어월이 프리필터링 모듈에 대한 커넥션의 전송책임을 가지거나 이 커넥션을 "오프로드(off-load)"하면, 파이어월은 커넥션이 타임아웃될 때 까지 커넥션에서 더이상의 패킷들을 수신하지 않거나, 특정 세션-제어 필드값(이 값은 세션이 끝났음을 표시함)을 갖는 패킷이 수신되지 않으므로, 커넥션이 종료된다.
예컨대, IP 네트웍을 갖는 본 발명의 바람직한 실시예의 경우, 이런 세션-제어 필드값은 패킷용으로 설정된 FIN/RST 플래그이다.
허용 커넥션으로부터의 패킷들에 필요한 분석량을 낮추거나 배제하면 좋은 점은, 파이어월을 하드웨어 가속으로 공급할 수 있다는 것이다. 이런 하드웨어 가속은 소프트웨어 패킷처리보다 속도가 훨씬 빨라, 파이어월 시스템의 효율을 크게 증가시킬 수 있다. 또, 수정과정의 하드웨어 가속에 의해 고속이고 효율적으로 패킷들을 수정하는 성능을 유지할 수도 있는데, 이는 이 수정과정이 패킷 수정에 "인텔리전스"를 덜 필요로 하면서도 속도가 더 빠르기 때문이고, 한편 그 반대 특성들은 패킷 분석과정에 필요하다. 따라서, 프리필터링 모듈을 하드웨어로 구현하는 것이 바람직하다.
본 발명에 따르면, 패킷 필터링 가속화 시스템에 있어서: (a) 패킷을 전송하기 위한 소스노드; (b) 상기 패킷을 수신하기 위한 수신노드; (c) 상기 소스노드와 수신노드 사이에 배치되어 하나 이상의 규칙에 따라 패킷 필터링을 실행하는 파이어월; 및 (d) 상기 파이어월과 통신하고, 상기 파이어월로부터 하나 이상의 명령어를 수신하고 파이어월보다 먼저 상기 패킷을 수신하여, 상기 명령어에 따라 패킷이 허용되면 패킷을 취급하고 그렇지 않으면 패킷을 파이어월로 보내 취급하도록 하는프리필터링 모듈;을 포함하는 시스템이 제공된다.
본 발명의 다른 실시예에 따르면, 네트웍에서 패킷을 가속 필터링하기 위한 시스템에 있어서: (a) 하나 이상의 규칙에 따라 패킷을 필터링하도록 네트웍상에 배치된 파이어월; 및 (b) 네트웍상에 배치되어 상기 파이어월과 통신하고, 상기 파이어월로부터 단순비교를 결정하는 하나 이상의 명령어를 수신하며, 파이어월보다 먼저 네트웍상에 수신된 패킷을 수신하여, 상기 단순비교에 따라 이 패킷이 허용되면 이 패킷을 네트웍상에서 송신하는 프리필터링 모듈;을 포함하는 시스템이 제공된다.
본 발명의 또다른 실시예에 따르면, 패킷 필터링을 가속화하고, 패킷 전송용 네트웍과 패킷 필터링용의 네트웍상의 파이어월을 포함하는 시스템에 사용하기 위해 파이어월보다 먼저 패킷을 수신하는 장치에 있어서: (a) 패킷의 하나 이상의 매개변수를 분석하기 위해 파이어월로부터의 하나 이상의 명령어를 저장하고, 상기 명령어는 패킷 식별을 위한 상기 매개변수를 포함하는 메모리; 및 (b) 패킷의 적어도 일부분을 분석하고, 상기 명령어에 따라 상기 매개변수와 상기 패킷 일부분을 비교하기 위한 분류엔진;을 포함하는 장치가 제공된다.
본 발명의 또다른 실시예에 따르면, 파이어월과 통신하면서 네트웍에서 패킷 필터링을 가속화하는 방법에 있어서: (a) 파이어월보다 먼저 패킷을 수신하기 위한 프리필터링 모듈을 제공하는 단계; (b) 상기 프리필터링 모듈이 상기 패킷을 수신하는 단계; (c) 상기 패킷의 허용여부를 결정하는 단계; 및 (d) 상기 패킷이 허용되면 프리필터링 모듈이 이 패킷을 취급하는 단계;를 포함하는 방법이 제공된다.
이하, "네트웍"은 데이터 전송을 허용하는 두개 이상의 모든 컴퓨터장치들 사이의 커넥션을 포함한다.
이하, "컴퓨터장치"란 운영시스템이 Window, Linux 등인 PC; 매킨토시 컴퓨터; 운영시스템이 JAVA-OS인 컴퓨터, Sun Microsystems과 Silicon Graphic의 컴퓨터와 같은 웍스테이션, Sun Microsystems의 AIX, SOLARIS와 같은 UNIX 운영시스템을 갖는 기타 컴퓨터; 기타 종래의 운영시스템; 모든 형태의 컴퓨터; 패킷-스위치 네트웍에 연결될 수 있고 운영시스템으로서 CxWorks, PSOS 등을 갖는 모든 장치; 또는 패킷-스위치 네트웍에 연결되어 패킷을 송수신할 수 있고 브리지, 스위치, 라우터 등을 포함한 네트웍 프로세서나 데이터 프로세서를 갖는 기타 장치를 포함한다. 여기서, "Windows"는 Windows NT, Windows98, Windows2000, Windows CE, 기타 마이크로사의 운영시스템의 업그레이드판을 포함하지만, 이에 한정되는 것은 아니다.
본 발명의 방법은 데이터 프로세서에 의해 실행되는 일련의 단계로 설명될 수 있고, 소프트웨어, 하드웨어, 펌웨어, 또는 이들의 조합으로 구현될 수 있다. 본 발명에 있어서, 소프트웨어 애플리케이션은 당업자라면 쉽게 선택할 수 있는 모든 적당한 프로그래밍 언어로 작성될 수 있다. 선택된 프로그래밍 언어는 이 소프트웨어 애플리케이션을 실행하는 컴퓨터 장치와 호환될 수 있어야 한다. 적당한 플그래밍 언어로는 C, C++, Java 등이 있지만, 이에 한정되는 것은 아니다.
이하, 첨부 도면들을 참조하여 본 발명의 바람직한 실시예들에 대해 자세히 설명하면 다음과 같다.
본 발명은 파이어월에 프리필터링 모듈을 보강하여 패킷 필터링을 가속화하는 시스템, 장치 및 방법에 관한 것이다. 프리필터링 모듈은 예컨대 파이어월에 의해 전에 허용되었던 커넥션으로부터 패킷들을 수신했지의 여부에 따라 패킷들에 대한 간단한 비교를 실시한다. 이런 허용된 커넥션으로부터 패킷들이 수신되면, 프리필터링 모듈은 이들 패킷을 수신지로 보내, 패킷들에 하나 이상의 행위들을 실시한다. 그렇지 않으면, 패킷들을 파이어월로 보내 조작한다. 또, 이들 패킷들이 파이어월의 중재를 필요로 하는 특별한 세션-제어 필드값들을 가지면 조정을 위해 파이어월로 보내지는 것이 바람직하다. 예컨대, IP 네트웍, 특히 TCP/IP 트래픽을 갖는 본 발명의 바람직한 구현을 위해, 이런 세션-제어 필드값들은 패킷용으로 SYN/FIN/RST 플래그 세트를 포함한다. 이런 세션-제어 필드값들은 커넥션 상태를 중심으로 정보를 자리올림하여 커넥션 상태를 결정하도록 수신 및 분석하기 위해 파이어월에 중요한 패킷들을 표시한다. 한편, 프리필터링 모듈이 IP 네트웍, 특히 IP 트래픽을 갖는 본 발명의 바람직한 실시예를 위한 가상 최적화와 같은 기능들을 수행할 수 없을 경우 단편 패킷들이 파이어월로 보내지기도 한다.
파이어월이 접속을 허용하기로 결정했거나 단순 비교를 하기 위한 하나 이상의 매개변수를 결정했으면, 새로 허용된 패킷들의 상세내역을 갖는 프리필터링 모듈에 메시지를 보내는 것이 바람직하다. 일단 파이어월이 프리필터링 모듈에 대한 커넥션을 위한 전송된 권한을 가지거나 이 커넥션을 "오프로드"했으면, 파이어월은 이 커넥션에 대한 타임아웃이 발생할 때까지 이 커넥션으로부터 더이상의 패킷들을 수신하지 않거나, IP 네트웍에 의한 바람직한 구현을 위한 FIN/RST 플래그 세트를 갖는 등에 의해 세션이 끝났음을 표시하는 특정 세션-제어 필드값들을 갖는 패킷이 수신되어, 커넥션을 종료한다. 파이어월에 의해 소정 기간동안 패킷이 전혀 수신되지 않았으면 "타임아웃"이 일어난다.
프리필터링 모듈은 하드웨어처럼 구현되어 하드웨어 가속의 장점을 취하는 것이 바람직하다. 이런 하드웨어 가속의 장점은 소프트웨어에 의한 패킷처리보다 속도가 훨씬 빠르다는데 있다. 따라서, 프리필터링 모듈을 하드웨어 장치처럼 구현하는 것이 바람직하긴 하지만, 소프트웨어나 펌웨어처럼 구현할 수도 있다. 한편, 프리필터링 모듈과 파이어월을 복합장치로 구현할 수도 있는데, 이 복합장치는 설치와 구동을 쉽게 하기 위해 네트웍의 게이트웨이 노드에 추가되거나 이를 대체한 "블랙박스"일 수도 있다.
본 발명에 따른 시스템, 장치 및 방법의 원리와 동작에 대해 첨부 도면들을 참조하여 설명하겠지만, 이들 도면들은 단지 예를 든 것일 뿐이고 본 발명이 이에 한정된다는 것은 아니다. 다음 설명은 주로 IP 네트웍, 특히 TCP/IP 패킷 트래픽을 중심으로 하겠지만, 이는 단지 설명의 편의상일 뿐이고 이에 한정되는 것은 아니다.
도 1은 본 발명에 따른 시스템의 개략적 블록도이다. 시스템(10)은 패킷-스위치 네트웍인 보호 네트웍(12)을 특징으로 하므로, 패킷 형태로 데이터가 전송된다. 보호네트웍(12)은 게이트웨이(16)에 의해 외부 패킷-스위치 네트웍(14)에서 분리되고, 게이트웨이는 어떤 형태의 컴퓨터장치도 가능하며, 여기서는 "중간노드"라고 불리기도 한다. 외부 네트웍(14)은 인터넷일 수도 있다. 게이트웨이(16)는 NIC(17) 등의 하드웨어 커넥터를 통해 외부네트웍(14)과 보호네트웍(12)에 연결된다.
게이트웨이(16)는 패킷의 분석과 필터링을 위해 파이어월(18)을 작동시킨다. 외부네트웍(14)에서 게이트웨이(16)를 통과하도록 허용된 패킷들은 보호네트웍(12)에 연결된 다수의 보호노드들(20)중 하나로 수신된다. 이런 네트웍 트래픽은 통상 양방향성이므로, 패킷들은 보호네트웍(12)에서 게이트웨이(16)를 통해 수신되어 외부네트웍(14)으로 전송되거나 그 반대로 된다.
파이어월(18)은 미국특허 5,835,726, 5,606,668에서 전술한 바와 같이 구현되는 것이 바람직하다. 파이어월(18)은 패킷 필터링을 위한 패킷 필터(22)를 포함한다. 패킷필터(22)는 패킷 분석을 위한 분석모듈(24)과, 규칙베이스(26)로 구성되는 것이 바람직하다. 규칙베이스(26)는 시스템 관리자나 기타 사용자의 선호도에 따라 정의되는 하나 이상의 규칙들을 갖는 것이 좋다. 분석모듈(24)은 분석된 패킷의 내용들을 추출하여 규칙베이스(26)의 규칙들과 비교한다. 비교결과 패킷이 규칙베이스(26)에 허용되면, 패킷필터(22)는 이 패킷의 보호네트웍(12)으로의 진입을 허용한다.
한편, 패킷이 규칙베이스(26)에 허용되지 않으면, 패킷이 버려질 수도 있다. 규칙베이스(26)가 특별히 패킷의 통과를 허락하지 않을 경우 패킷이 허용되지 않도록 결정될 수도 있다.
또, 선택적이면서도 바람직하게, 패킷필터(22)는 가능하다면 패킷을 수정하기 위한 수정모듈(28)을 포함할 수도 있다.
파이어월(18)의 다른 선택적 특징으로는 특정 커넥션에 속하는 모든 패킷들에서 전송될 데이터량을 결정하기 위해 패킷을 어카운트하는 능력; 패킷내의 주소(들)을 수정하는 능력; 및 패킷을 암호화하는 능력이다. 특히 패킷 암호화는 미국특허 5,835,726에 관련해 전술한바 있다. 요컨대, 패킷들을 두개의 파이어월(18) 사이의 전송을 위해 선택적으로 암호화하여, 외부 네트웍(14)을 통과하도록 할 수 있다. 암호화는 또한 파이어월(18)과 외부 네트웍(14)의 노드 사이의 통신에 사용될 수도 있다. 암호화된 패킷들은 수신 파이어월(18)에서 해독되어 보호네트웍(12)으로 보내진다. 따라서, 암호화와 전송 프로세서는 자동화되고, 통신소프트웨어에 투명한 방식으로 실행될 수 있다.
이런 파이어월(18) 특징들은 미국특허 5,835,726, 5,606,668에 설명된 바와 같이 구현되는 것이 바람직하다. 그러나, 게이트웨이(16)로 진입하기 전에 파이어월(18)을 통과하는 모든 패킷들은 파이어월(18)에 큰 컴퓨터부하를 발생시킨다. 따라서, 본 발명에 따르면, 게이트웨이(16) 역시 파이어월(18)에 앞서 패킷들을 수신하면서도 보호네트웍(12)에 직접 연결되는 프리필터링 모듈(30)을 갖는 것이 바람직하다. 프리필터링 모듈(30) 역시 보호네트웍(12)으로의 진입이 허용된 패킷들에관한 명령어들을 파이어월(18)로부터 수신하는 것이 바람직하다. 이들 명령어는 하나 이상의 앞서 수신된 관련 패킷들의 분석을 통해 파이어월(18)에 의해 결정되는 것이 더 바람직하므로, 앞서 수신한 관련 패킷들이 보호네트웍(12)으로의 진입이 허용되었으면, 현재의 패킷들도 보호 네트웍(12)으로의 진입이 허용되어야 한다. 그러므로, 프리필터링 모듈(30)이 현재 패킷의 진입을 허용하기로 결정하면, 프리필터링 모듈(30)은 패킷을 직접 보호네트웍(12)으로 보낸다.
프리필터링 모듈(30)의 동작 효율을 향상시키기 위해, 프리필터링 모듈이 각 패킷의 제한된 분석만을 실행할 수 있도록 하는 것이 바람직하다. 특히, 각 패킷의 일부만을 프리필터링 모듈로 분석하는 것이 더 바람직하다. 가장 바람직한 것은, 단순비교에 관련해서만 프리필터링 모듈(30)이 각 패킷을 분석하는 것이다. "단순비교"란, 미리 정의된 매개변수 패턴에 비교되는 하나 이상의 매개변수 형태로 정보를 추출함을 의미한다.
특히 바람직한 단순비교의 예로는, 허용된 데이터 전송부로부터 패킷을 수신했는지의 여부를 프리필터링 모듈(30)이 판단할 수 있을 때까지 이 패킷을 분석만 하는 것이다. 이런 허용된 전송부는, 외부 네트웍(14)으로부터의 연결을 개시하는 소스노드와 이 연결을 받아들이는 수신노드인 보호노드(20) 사이의 연결이라고 할 수 있다. 일단 연결이 설정되면, 소스노드와 수신지 사이의 통신은 양방향으로 될 수 있다.
패킷 분석과 관련하여, "커넥션"이란 패킷이 속하는 데이터 전송을 설명하는 하나 이상, 바람직하게는 다수의 매개변수에 따라 정의된다. 이런 매개변수로는 패킷의 소스 주소와 포트; 패킷의 수신주소와 포트; 패킷의 프로토콜과 패킷이 수신되는 인터페이스 등이 있지만 이에 한정되는 것은 아니다. 이 커넥션은 패킷을 분류하는데 이용되고, 패킷의 보호네트웍(12)에 대한 입출의 허용 여부를 결정하는데 이용된다.
파이어월(18)은 하나 이상의 앞서 수신되고 검사된 패킷들의 분석을 통해 각 커넥션을 정의한다. 파이어월(18)은 이들 패킷의 내용을 검사하고, 규칙베이스(26)를 갖는 분석모듈(24)의 출력을 기초로 대응 커넥션으로부터의 패킷들의 보호네트웍(12)에 대한 입출 허용 여부를 결정한다. 또, 규칙베이스(26)에 저장된 규칙들로부터, 각 커넥션과 관련되는 하나 이상의 행동들을 분석모듈(24)이 결정할 수 있다. 이런 행동들의 예로는 패킷내의 데이터량을 카운트하기 위한 어카운팅 행동, 패킷의 암호화/해독화, 주소필드의 재기입에 의한 NAT(network address translation) 등이 있지만 이에 한정되는 것은 아니다. 패킷을 수정하는 바람직한 예로는 파이어월(18)의 명령어에 따라 프리필터링 모듈(30)이 패킷에 우선번호를 할당하여 패킷을 표시하는 것이 있다. 우선번호는 패킷의 전송 순서와 "우선권"을 결정한다.
파이어월(18)은 이어서 그 패킷의 보호네트웍(12)으로의 진입을 허용할지 여부에 관한 관련 명령어을 보내고, 더 바람직하기로는 이 커넥션으로부터 프리필터링 모듈(30)로의 후속 패킷들에 취해야 하는 행동을 한다.
선택적이면서도 바람직하게, 프리필터링 모듈(30)은 AS(anti-spoofing) 방식을 실행한다. 프리필터링 모듈(30)이 다수의 네트웍에 연결될 수 있기때문에, 이들네트웍중 어디로부터도 패킷들이 전송될 수 있다. AS 방식은 소정 네트웍에서 온 것이라고 표시된 IP 패킷이 실제로 그 네트웍에서 보내진 것인지 여부를 판단한다. 프리필터링 모듈(30)은 어떤 네트웍이 어떤 인터페이스에 연결되었는지를 알기 때문에, 프리필터링 모듈(30)은 특정 인터페이스에서 수신된 패킷이 허용된 것인지 여부를 결정할 수 있다.
프리필터링 모듈(30)과 같은 가속기에서 AS 방식을 실현하는 기장 쉬운 방법은, 프리필터링 모듈(30)에 이용할 수 있는 연결정보의 일부분에 네트웍 인터페이스에 관한 정보를 포함시키는 것이다. 따라서, 허가된 소스노드로부터 패킷이 수신되어 허가된 수신처로 전송되고 예상 인터페이스를 통해 도달되면, 이 패킷을 프리필터링 모듈(30)이 처리할 수 있다. 다른 한편 선택적이기는 하지만, 인터페이스만 올바르지 않을 경우, 프리필터링 모듈(30)은 이 패킷이 위반했다는 것을 결정할 수 있고, 이 위반사항은 유효성을 위해 파이어월(18)에 의해 더 검사되어야만 한다. 프리필터링 모듈(30)의 저장된 명령어의 일부로서 인터페이스 관련 정보를 포함시키지 않고 AS 방식을 구현하는 다른 방법도 있는데, 이 방법 역시 본 발명의 범위에 포함된다고 할 수 있다.
도 2에 도시된 프리필터링 모듈(30)의 바람직한 예에서, 프리필터링 모듈(30)을 순수히 소프트웨어보다는 하드웨어, 적어도 펌웨어로 구현한다. 하드웨어의 장점은, 필요한 행동을 하는데 있어 소프트웨어보다 훨씬 빠르다는데 있다. 도 2의 개략적 블록도는 구조적이라기 보다는 로직을 근거로 한 프리필터링 모듈(30)의 구성요소들을 보여준다. 예컨대, 구성요소들 사이의 물리적 연결관계는구체화하지 않았고, 구성요소들 전체가 위치한 PCI 버스일 수 있다. 한편, 이들 구성요소는 내부 및/또는 외부 버스 등의 형태와 연결될 수 있다.
본 실시예에서, 프리필터링 모듈(30)은 메모리(36)를 특징으로 하는 "장치"로서 설명될 수도 있다. 프리필터링 모듈(30)은 파이어월(18)로부터의 관련 명령어를 저장하기 위한 커넥션 데이터베이스(32)를 포함하고, 이들 명령어는 메모리(36)에 저장된다. 커넥션 데이터베이스(32)는 연결을 정의하는데 필요한 패킷의 매개변수들을 저장하지만, 이 커넥션으로부터 패킷에 실행되어야만 할 하나 이상의 행동들을 저장하는 것이 바람직할 수 있다.
프리필터링 모듈(30)은 패킷으로부터의 정보의 적어도 일부를 분석하고 커넥션 데이터베이스(32)로부터의 정보를 수신하기 위해 데이터 프로세서를 포함한 분류엔진(38)을 구비하는 것이 바람직하다. 프리필터링 모듈(30)은 또한 전술한 바와 같이 커넥션 데이터베이스(32)에 저장되고 이 커넥션으로부터 패킷의 관련 행동(들)을 수행하기 위해 수정기(34)를 구비하는 것이 바람직하다.
프리필터링 모듈(30)은 또한 적어도 하나의 패킷에 관한 소정의 선택된 정보를 파이어월(18)로 전송하는 것이 바람직할 수도 있다. 선택된 정보는 패킷 분석을 위해 전술한 매개변수들중 하나 이상을 포함하는 것이 바람직할 수 있지만, 이에 한정되는 것은 아니다. 프리필터링 모듈(30)과 파이어월(18) 사이의 통신은 여러가지 실시예들중 하나에 따라 실시된다. 첫번째 실시예에서, 프리필터링 모듈(30)은 이런 정보를 수신했을 때 상태 또는 이벤트 구동 유형으로 파이어월(18)에 능동적으로 통지한다. 한편, 두번째 실시예에서는, 파이어월(18)이 폴링 유형으로 프리필터링 모듈(30)에 문의한다. 예컨대, 소정 시간이 경과한 뒤에 또는 시스템 관리자 등으로부터 이런 정보에 대한 사용자 문의에 따라 폴링을 실행할 수도 있다.
또, 프리필터링 모듈(30)은 MAC(media access control)(40)와 같은 네트웍 인터페이스를 하나 이상, 바람직하게는 여러개 포함하는 것이 바람직할 수 있는바, 이런 인터페이스는 물리적 네트웍(도시 안됨)으로부터 패킷을 송수신하기 위한 하드웨어이다. 프리필터링 모듈(30)은 파이어월(도시 안됨)에 대해 패킷들을 송수신하기 위한 파이어월 인터페이스(42)를 포함하는 것이 더 바람직하다.
동작 순서는 다음과 같다. 패킷들이 "MAC one"으로 표시된 MAC(40)에서 수신되어, 분류엔진(38)으로 보내진다. 메모리(36)의 데이터베이스(32)에서 수신된 정보와 명령어들의 도움으로, 분류엔진(38)은 각 패킷의 정보의 적어도 일부분을 분석하고, 이 패킷을 허용할 것인지를 결정한다. 패킷이 허용되면, 파이어월(도시 안됨)의 적어도 하나의 명령어에 따른 선택적인 수정을 위해 수정기(34)로 보내지고, 수정이 불필요할 경우 하나 이상의 관련 명령어가 파이어월로부터 보내지지 않는다.
파이어월은 예컨대 특정 MAC(40)으로 패킷을 전송하는 인터페이스를 결정할 수 있다. 그러나, 파이어월이 이 패킷을 특정 인터페이스로 보내라로 프리필터링 모듈(30)에 명령할 수는 있지만, 경로가 지원되면 파이어월(도시 안됨)의 명령에 따르지 않고 이런 경로를 이용해 패킷을 보낼 수도 있음을 알아야 한다.
한편, 패킷을 파이어월로 보내는 것은 선택적일 수도 바람직할 수도 있다. 다른 한편으로는, 뒤에 자세히 설명할 소정 환경에서, 패킷, 특히 파이어월 인터페이스(42)에서 수신되어 비슷하게 분석되는 패킷들은 버릴 수도 있다. IP 패킷이 아닐 수도 있는 패킷들을 버리는 것을 피하기 위해, 바람직하게는 하나 이상의 "디폴트" 패킷 타입에 관한 정보를 데이터베이스(32)에 저장하고, 이런 정보가 데이터베이스(32)에 저장되지 않으면 이 패킷을 "허용불가"로 정의할 수도 있다. 이런 디폴트 패킷 타입의 일례로는 ARP(address resolution protocol) 패킷이 있다.
도 2의 프리필터링 모듈(30)에 관해 알 수 있듯이, 패킷들은 MAC(40)와 같은 외부 소스로부터 프리필터링 모듈(30)에 도착되거나, 파이어월 인터페이스(42)로부터 수신될 수 있다. 파이어월 인터페이스(42)로부터 패킷이 수신되면, 이 패킷은 파이어월 자체에서 생성된 것이거나, 호스트의 IP 스택에서 생성된 것이다. 따라서, 파이어월 인터페이스(42)를 통해 수신된 이런 패킷을 위해, 이들 패킷이 허용되지 않아 파이어월로 보내지지 않는다면, 프리필터링 모듈(30)이 이들 패킷을 버릴 수 있다. 그러므로, 프리필터링 모듈(30)이 패킷을 버릴지 또는 보낼지의 여부를 결정하는 것은 부분적으로는 이들 패킷이 통과하는 인터페이스에 따라 이루어질 수 있다.
물론, 다른 방식의 프리필터링 모듈(30)도 가능하고 본 발명의 범위에 있을 수 있다.
도 3은 본 발명의 동작방식의 일례를 보여주는 플로어차트이다. 단계 1에서, 프리필터링 모듈이 패킷을 수신한다. 단계 2에서, 이 패킷의 하나 이상의 매개변수를 프리필터링 모듈이 검색한다. 단계 3에서, 하나 이상의 매개변수를 이용해 기존의 커넥션들을 검사하되, 이런 기존 커넥션 테이블을 살펴보면서 검사하는 것이 바람직하다.
단계 4a에서, 패킷의 엔트리가 발견되면, 이 커넥션을 위한 행위(들)이 프리필터링 모듈에 의해 실행된다. 단계 5a에서, 패킷이 수신처로 보내진다. 패킷이 IP 네트웍을 통해 전송된 패킷을 위한 SYN/FIN/RST 플래그 세트와 같은 소정 세션-제어필드값을 갖지 않으면 단계 4a, 5a는 실행되지 않으며, 이 경우 패킷을 파이어월로 보내 취급하는 것이 바람직하다. 이런 세션-제어 필드값들은 커넥션 상태에 관한 정보를 반송하는 패킷들을 표시하고, 따라서 이 필드값들은 커넥션 상태를 결정하기 위해 파이어월이 수신/분석하는데 중요하다.
한편, 프리필터링 모듈이 IP 네트웍, 특히 TCP/IP 트래픽을 갖는 본 발명의 바람직한 실시예를 위한 가상 최적화와 같은 소정 기능을 실시할 수 없을 경우에는 단편 패킷들을 파이어월로 보낼 수 있다. 가상 최적화는 IP 패킷이 너무 커 전송할 수 없게 된 뒤에 실행되고, 따라서 단편이라 불리우는 여러개의 작은 패킷들로 분할된다. 가상 최적화란 수신된 단편들 전부를 원래의 큰 패킷들로 재조립하는 과정이다.
단편들로 시도될 수 있는 각종 공격들을 방어하려면, 파이어월이 아닌 본 발명의 프리필터링 모듈이 복제 패킷 단편들을 버리는 것이 바람직하다. 다시말해, 앞서 수신된 단편이 재수신되면, 이 단편을 버린다.
도 3의 플로어차트에 따르면, 단계 4b에서, 패킷의 엔트리를 커넥션 테이블에서 발견하지 못하면, 이 패킷을 파이어월로 보낸다. 단계 5b에서, 파이어월이 패킷이 속하는 커넥션을 허용하기로 결정하면, 새로운 커넥션에 관해 필요한 정보를담고 있는 메시지를 프리필터링 모듈로 보낸다. 이런 메시지는 새로운 커넥션을 식별하기 위한 키, 주소번역에 관한 정보, 및 정보관련 암호를 포함하는 것이 바람직하고, 이들 모두 패킷 자체의 수정에 관한 프로세스이다. 새로운 커넥션을 식별하기 위한 키는 소스 IP 주소와 포트, 수신처 IP 주소와 포트, 프로토콜 필드, 및 AS 보호를 위해 패킷이 수신되리라고 예상되는 인터페이스에 관한 정보를 포함하는 것이 바람직하다. 주소번역정보는 번역된 소스 IP 주소와 포트, 수신처 IP 주소와 포트를 포함한다.
본 발명의 바람직한 실시예들에 따르면, 파이어월이 이 메시지를 프리필터링 모듈로 보냈으면, 커넥션이 프리필터링 모듈로 "오프로드"되어, 파이어월은 이 커넥션을 위한 어떤 패킷도 더이상 수신하지 않는다. 바람직하게, 파이어월은 소정 세션-제어 필드값을 갖는 패킷을 이 커넥션을 위해 수신할 때까지는 더이상의 어떤 패킷도 수신하지 않으며, 이는 세션이 끝났음을 의미한다. 예컨대, IP 네트웍을 위해 이런 값들은 FIN/RST 플래그 세트를 갖는다.
더 바람직하게, 소정 기간내에 특정 커넥션용 패킷이 전혀 수신되지 않으면 타임아웃이 일어난다. 파이어월은 오프로드된 커넥션에 대해서는 어떤 패킷도 보지 않기때문에, 이 커넥션용 패킷이 수신된 최종 시간에 대해 프리필터링 모듈에 문의한다. 수신된 응답에 따라, 파이어월은 커넥션을 유지할 것인가 삭제할 것인가를 결정한다. 파이어월이 커넥션을 삭제하면, 프리필터링 모듈의 테이블에서 삭제되는 것이 바람직하다.
본 발명의 다른 바람직한 실시예들에 따르면, 파이어월은 프리필터링 모듈로부터 정기적으로 업데이트된 어카운팅 정보를 수신한다. 이 정보는 파이어월이 프리필터링 모듈을 폴링해서가 아니라 프리필터링 모듈에 의해 파이어월로 푸시되는 것이 바람직할 수 있다. 어카운팅 정보는 특정 커넥션을 위해 어카운팅 정보가 업데이트된 최종 시간과 프리필터링 모듈이 패킷을 수신한 최종 시간 이후로 이 커넥션을 위해 프리필터링 모듈이 수신한 패킷과 바이트의 갯수를 포함하는 것이 바람직하다. 한편, 프리필터링 모듈이 커넥션을 삭제하면, 프리필터링 모듈은 이 커넥션에 관한 최종 어카운팅 정보를 파이어월로 푸시하는 것이 바람직할 수 있다.
이상의 설명은 단지 예를 든 것일 뿐이고, 본 발명의 정신과 범위내에서 다른 많은 실시예들도 가능할 수 있다.

Claims (30)

  1. 패킷 필터링 가속화 시스템에 있어서:
    (a) 패킷을 전송하기 위한 소스노드;
    (b) 상기 패킷을 수신하기 위한 수신노드;
    (c) 상기 소스노드와 수신노드 사이에 배치되어 하나 이상의 규칙에 따라 패킷 필터링을 실행하는 파이어월; 및
    (d) 상기 파이어월과 통신하고, 상기 파이어월로부터 하나 이상의 명령어를 수신하고 파이어월보다 먼저 상기 패킷을 수신하여, 상기 명령어에 따라 패킷이 허용되면 패킷을 취급하고 그렇지 않으면 패킷을 파이어월로 보내 취급하도록 하는 프리필터링 모듈;을 포함하는 것을 특징으로 하는 시스템.
  2. 제1항에 있어서, 상기 소스노드와 수신노드 사이의 패킷 전송에 의해 커넥션이 형성되고, 상기 파이어월은 이 커넥션의 허용 여부를 결정하고, 상기 명령어는 허용된 커넥션을 식별하기 위한 상기 패킷의 하나 이상의 매개변수를 포함하며, 상기 커넥션이 허용될 경우 프리필터링 모듈이 상기 패킷을 취급하는 것을 특징으로 하는 시스템.
  3. 제2항에 있어서, 상기 허용된 커넥션으로부터의 패킷이 선택된 세션-제어 필드값을 가질 경우 상기 파이어월이 프리필터링 모듈로부터 상기 패킷을 수신하는것을 특징으로 하는 시스템.
  4. 제2항에 있어서, 상기 허용된 커넥션을 식별하기 위한 하나 이상의 매개변수에는 상기 패킷용의 소스주소와 수신주소가 포함되는 것을 특징으로 하는 시스템.
  5. 제4항에 있어서, 상기 허용된 커넥션을 식별하기 위한 하나 이상의 매개변수에는 상기 패킷용의 소스포트와 수신포트가 더 포함되는 것을 특징으로 하는 시스템.
  6. 제2항에 있어서, 소정 기간 이후 상기 허용된 커넥션을 위한 추가 패킷이 수신되지 않으면 상기 파이어월에 의해 이 커넥션이 삭제되는 것을 특징으로 하는 시스템.
  7. 제2항에 있어서, 커넥션 상태에 관한 정보를 표시하는 특정 세션-제어 필드값을 갖는 패킷이 상기 허용된 커넥션용으로 수신되면 상기 패킷이 파이어월로 보내지는 것을 특징으로 하는 시스템.
  8. 제2항에 있어서, 상기 프리필터링 모듈이
    (i) 상기 허용된 커넥션을 식별하기 위한 패킷의 하나 이상의 매개변수를 저장하기 위한 커넥션 데이터베이스를 더 포함하는 것을 특징으로 하는 시스템.
  9. 제8항에 있어서, 상기 프리필터링 모듈이
    (ii) 상기 패킷의 적어도 일부분을 분석하고 상기 일부분을 상기 하나 이상의 매개변수와 비교하기 위한 분류엔진을 더 포함하는 것을 특징으로 하는 시스템.
  10. 제9항에 있어서, 상기 프리필터링 모듈이
    (iii) 상기 패킷이 허용된 커넥션으로부터 수신되면 이 패킷에 대해 파이어월로부터의 명령어에 따라 정의된 하나 이상의 동작을 실행하기 위한 수정기를 더 포함하는 것을 특징으로 하는 시스템.
  11. 제10항에 있어서, 상기 프리필터링 모듈이 하드웨어 장치로 구현되는 것을 특징으로 하는 시스템.
  12. 제10항에 있어서,
    (e) 상기 소스노드와 수신노드 사이에 배치되어 프리필터링 모듈과 파이어월을 작동시키는 컴퓨터장치를 더 포함하는 것을 특징으로 하는 시스템.
  13. 네트웍에서 패킷을 가속 필터링하기 위한 시스템에 있어서:
    (a) 하나 이상의 규칙에 따라 패킷을 필터링하도록 네트웍상에 배치된 파이어월; 및
    (b) 네트웍상에 배치되어 상기 파이어월과 통신하고, 상기 파이어월로부터 단순비교를 결정하는 하나 이상의 명령어를 수신하며, 파이어월보다 먼저 네트웍상에 수신된 패킷을 수신하여, 상기 단순비교에 따라 이 패킷이 허용되면 이 패킷을 네트웍상에서 송신하는 프리필터링 모듈;을 포함하는 것을 특징으로 하는 시스템.
  14. 제13항에 있어서, 상기 패킷이 허용되지 않으면 이 패킷이 네트웍에서 수신되었을 경우 상기 프리필터링 모듈이 이 패킷을 파이어월로 보내고, 그렇지 않으면 이 패킷이 파이어월로부터 수신되었을 경우 프리필터링 모듈이 이 패킷을 버리는 것을 특징으로 하는 시스템.
  15. 제13항에 있어서,
    (c) 패킷 전송을 위한 소스노드; 및
    (d) 패킷 수신을 위한 수신노드;를 더 포함하고,
    상기 소스노드와 수신노드 사이의 패킷전송이 커넥션을 형성하고, 상기 파이어월은 이 커넥션의 허용 여부를 결정하고, 상기 명령어는 허용된 커넥션을 식별하기 위한 상기 패킷의 하나 이상의 매개변수를 포함하며, 상기 커넥션이 허용될 경우 프리필터링 모듈이 이 패킷을 네트웍상에서 송신하는 것을 특징으로 하는 시스템.
  16. 제15항에 있어서, 상기 커넥션이 허용된 커넥션이 아닐경우 프리필터링 모듈이 이 패킷을 버리는 것을 특징으로 하는 시스템.
  17. 패킷 필터링을 가속화하고, 패킷 전송용 네트웍과 패킷 필터링용의 네트웍상의 파이어월을 포함하는 시스템에 사용하기 위해 파이어월보다 먼저 패킷을 수신하는 장치에 있어서:
    (a) 패킷의 하나 이상의 매개변수를 분석하기 위해 파이어월로부터의 하나 이상의 명령어를 저장하고, 상기 명령어는 패킷 식별을 위한 상기 매개변수를 포함하는 메모리; 및
    (b) 패킷의 적어도 일부분을 분석하고, 상기 명령어에 따라 상기 매개변수와 상기 패킷 일부분을 비교하기 위한 분류엔진;을 포함하는 것을 특징으로 하는 장치.
  18. 제17항에 있어서,
    (c) 상기 패킷이 허용되면, 파이어월로부터의 명령어에 따라 정의된 하나 이상의 동작을 상기 패킷에 대해 실행하기 위한 수정기를 더 포함하는 것을 특징으로 하는 장치.
  19. 파이어월과 통신하면서 네트웍에서 패킷 필터링을 가속화하는 방법에 있어서:
    (a) 파이어월보다 먼저 패킷을 수신하기 위한 프리필터링 모듈을 제공하는단계;
    (b) 상기 프리필터링 모듈이 상기 패킷을 수신하는 단계;
    (c) 상기 패킷의 허용여부를 결정하는 단계; 및
    (d) 상기 패킷이 허용되면 프리필터링 모듈이 이 패킷을 취급하는 단계;를 포함하는 것을 특징으로 하는 방법.
  20. 제19항에 있어서,
    (e) 상기 패킷이 허용되지 않으면 이 패킷을 파이어월로 보내는 단계를 더 포함하는 것을 특징으로 하는 방법.
  21. 제20항에 있어서, 상기 단계 (e)는 상기 패킷이 네트웍으로부터 수신되면 실행되는 것을 특징으로 하는 방법.
  22. 제21항에 있어서, 상기 패킷이 파이어월로부터 수신되면 그 패킷을 버리는 것을 특징으로 하는 방법.
  23. 제19항에 있어서, 상기 단계 (d)는 우선번호로 상기 패킷을 표시하는 단계를 포함하는 것을 특징으로 하는 방법.
  24. 제19항에 있어서, 상기 패킷이 다수의 단편으로 수신되면, 단계 (d)는 이 단편이 복제단편인지 여부를 결정하는 단계를 포함하고;
    상기 단편이 복제 단편일 경우
    (e) 상기 복제단편을 버리는 단계를 더 포함하는 것을 특징으로 하는 방법.
  25. 제19항에 있어서, 상기 단계 (c)가 파이어월에서 수신된 하나 이상의 명령어에 따라 결정되는 것을 특징으로 하는 방법.
  26. 제25항에 있어서, 상기 패킷이 수신주소를 갖고, 상기 단계 (d)가 이 수신주소로 상기 패킷을 보내는 단계를 포함하는 것을 특징으로 하는 방법.
  27. 제26항에 있어서, 상기 단계 (d)가 파이어월로부터의 명령어에 따라 결정되는 하나 이상의 동작을 프리필터링 모듈에 의해 상기 패킷에 대해 실시하는 단계를 포함하는 것을 특징으로 하는 방법.
  28. 제25항에 있어서, 상기 패킷은 하나 이상의 매개변수를 포함하고, 상기 하나 이상의 명령어는 상기 매개변수에 따라 이 패킷을 허용된 패킷으로 식별하며, 상기 단계 (c)는 상기 매개변수를 검색하기 위해 패킷을 분석하는 단계를 포함하는 것을 특징으로 하는 방법.
  29. 제28항에 있어서, 상기 파이어월은 하나 이상의 앞서 수신된 패킷의 소스주소와 수신주소에 따라 상기 앞서 수신된 패킷을 분류하고, 상기 소스주소와 수신주소가 공동으로 커넥션을 형성하며, 파이어월은 상기 소스주소와 수신주소를 전송하여 상기 커넥션이 상기 명령어처럼 프리필터링 모듈에 대한 허용된 커넥션으로 식별하는 것을 특징으로 하는 방법.
  30. 제29항에 있어서, 네트웍이 다수의 인터페이스와 통신하고, 상기 프리필터링 모듈은 다수의 인터페이스 각각에 커넥션되며, 상기 단계 (c)는 상기 패킷이 상기 허용된 커넥션과 허용된 인터페이스로부터 수신된 것인지 여부를 결정하여 이 패킷이 허용 인터페이스를 통해 허용 커넥션으로부터 수신될 경우에만 패킷을 허용하는 단계를 포함하는 것을 특징으로 하는 방법.
KR1020027011384A 2000-03-02 2001-02-26 패킷 필터링과 프로세싱을 가속화하는 시스템, 장치 및방법 KR20020092972A (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US09/517,276 US6496935B1 (en) 2000-03-02 2000-03-02 System, device and method for rapid packet filtering and processing
US09/517,276 2000-03-02
PCT/US2001/005925 WO2001065343A1 (en) 2000-03-02 2001-02-26 System, device and method for rapid packet filtering and processing

Publications (1)

Publication Number Publication Date
KR20020092972A true KR20020092972A (ko) 2002-12-12

Family

ID=24059131

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020027011384A KR20020092972A (ko) 2000-03-02 2001-02-26 패킷 필터링과 프로세싱을 가속화하는 시스템, 장치 및방법

Country Status (17)

Country Link
US (1) US6496935B1 (ko)
EP (1) EP1266277B1 (ko)
JP (1) JP3954385B2 (ko)
KR (1) KR20020092972A (ko)
CN (1) CN100474213C (ko)
AT (1) ATE312463T1 (ko)
AU (2) AU4171701A (ko)
BR (1) BR0109035A (ko)
CA (1) CA2401577C (ko)
DE (1) DE60115615T2 (ko)
EA (1) EA004423B1 (ko)
HU (1) HUP0300039A2 (ko)
IL (2) IL151522A0 (ko)
NO (1) NO324958B1 (ko)
NZ (1) NZ520984A (ko)
PL (1) PL357181A1 (ko)
WO (1) WO2001065343A1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100753815B1 (ko) * 2005-08-31 2007-08-31 한국전자통신연구원 패킷 차단 장치 및 그 방법

Families Citing this family (194)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7089588B2 (en) * 2000-01-19 2006-08-08 Reynolds And Reynolds Holdings, Inc. Performance path method and apparatus for exchanging data among systems using different data formats
US6854063B1 (en) * 2000-03-03 2005-02-08 Cisco Technology, Inc. Method and apparatus for optimizing firewall processing
US6732209B1 (en) * 2000-03-28 2004-05-04 Juniper Networks, Inc. Data rate division among a plurality of input queues
DE10025929B4 (de) * 2000-05-26 2006-02-16 Harman Becker Automotive Systems (Becker Division) Gmbh Verfahren zum Übertragen von Daten
US7120931B1 (en) * 2000-08-31 2006-10-10 Cisco Technology, Inc. System and method for generating filters based on analyzed flow data
US8250357B2 (en) 2000-09-13 2012-08-21 Fortinet, Inc. Tunnel interface for securing traffic over a network
US7111072B1 (en) 2000-09-13 2006-09-19 Cosine Communications, Inc. Packet routing system and method
US7487232B1 (en) 2000-09-13 2009-02-03 Fortinet, Inc. Switch management system and method
US7389358B1 (en) * 2000-09-13 2008-06-17 Fortinet, Inc. Distributed virtual system to support managed, network-based services
US7272643B1 (en) 2000-09-13 2007-09-18 Fortinet, Inc. System and method for managing and provisioning virtual routers
US7574495B1 (en) 2000-09-13 2009-08-11 Fortinet, Inc. System and method for managing interworking communications protocols
US7054930B1 (en) * 2000-10-26 2006-05-30 Cisco Technology, Inc. System and method for propagating filters
US6922786B1 (en) * 2000-10-31 2005-07-26 Nortel Networks Limited Real-time media communications over firewalls using a control protocol
US7131140B1 (en) * 2000-12-29 2006-10-31 Cisco Technology, Inc. Method for protecting a firewall load balancer from a denial of service attack
US6731652B2 (en) * 2001-02-14 2004-05-04 Metro Packet Systems Inc. Dynamic packet processor architecture
ATE324736T1 (de) * 2001-02-20 2006-05-15 Eyeball Networks Inc Verfahren und vorrichtung zur zulassung der datenübertragung über firewalls
US7664119B2 (en) * 2001-03-30 2010-02-16 Intel Corporation Method and apparatus to perform network routing
US7277953B2 (en) * 2001-04-18 2007-10-02 Emc Corporation Integrated procedure for partitioning network data services among multiple subscribers
US6816455B2 (en) * 2001-05-09 2004-11-09 Telecom Italia S.P.A. Dynamic packet filter utilizing session tracking
JP2002358239A (ja) * 2001-06-04 2002-12-13 Fuji Electric Co Ltd 著作権保護システム
US7181547B1 (en) 2001-06-28 2007-02-20 Fortinet, Inc. Identifying nodes in a ring network
US20040001433A1 (en) * 2001-07-18 2004-01-01 Gram Charles Andrew Interactive control of network devices
US7134012B2 (en) * 2001-08-15 2006-11-07 International Business Machines Corporation Methods, systems and computer program products for detecting a spoofed source address in IP datagrams
EP1433066B1 (en) * 2001-09-14 2010-08-11 Nokia Inc. Device and method for packet forwarding
US7409706B1 (en) 2001-10-02 2008-08-05 Cisco Technology, Inc. System and method for providing path protection of computer network traffic
KR100452143B1 (ko) * 2001-10-16 2004-10-08 주식회사 플랜티넷 비대칭 트래픽 흐름 방식을 이용한 웹 필터링 장치 및방법
JP2003242714A (ja) * 2001-10-24 2003-08-29 Fuji Electric Co Ltd 情報記録媒体、その媒体の製造方法、情報処理装置、並びに、著作権管理システム
US9392002B2 (en) * 2002-01-31 2016-07-12 Nokia Technologies Oy System and method of providing virus protection at a gateway
US7216260B2 (en) * 2002-03-27 2007-05-08 International Business Machines Corporation Method, system and program product for dynamically detecting errant data sequences and performing corresponding actions
US7185365B2 (en) * 2002-03-27 2007-02-27 Intel Corporation Security enabled network access control
CN1152531C (zh) * 2002-04-23 2004-06-02 华为技术有限公司 分片报文的网络访问控制方法
US20030200463A1 (en) * 2002-04-23 2003-10-23 Mccabe Alan Jason Inter-autonomous system weighstation
US7120797B2 (en) * 2002-04-24 2006-10-10 Microsoft Corporation Methods for authenticating potential members invited to join a group
AUPS214802A0 (en) * 2002-05-01 2002-06-06 Firebridge Systems Pty Ltd Firewall with stateful inspection
US20030212901A1 (en) * 2002-05-13 2003-11-13 Manav Mishra Security enabled network flow control
US7340535B1 (en) * 2002-06-04 2008-03-04 Fortinet, Inc. System and method for controlling routing in a virtual router system
US7161904B2 (en) * 2002-06-04 2007-01-09 Fortinet, Inc. System and method for hierarchical metering in a virtual router based network switch
US7116665B2 (en) * 2002-06-04 2006-10-03 Fortinet, Inc. Methods and systems for a distributed provider edge
US7376125B1 (en) 2002-06-04 2008-05-20 Fortinet, Inc. Service processing switch
US7177311B1 (en) * 2002-06-04 2007-02-13 Fortinet, Inc. System and method for routing traffic through a virtual router-based network switch
US7203192B2 (en) 2002-06-04 2007-04-10 Fortinet, Inc. Network packet steering
US9088494B2 (en) * 2002-06-26 2015-07-21 Avaya Communication Israel Ltd. Packet fragmentation prevention
US7146638B2 (en) * 2002-06-27 2006-12-05 International Business Machines Corporation Firewall protocol providing additional information
US6983323B2 (en) * 2002-08-12 2006-01-03 Tippingpoint Technologies, Inc. Multi-level packet screening with dynamically selected filtering criteria
US7096383B2 (en) 2002-08-29 2006-08-22 Cosine Communications, Inc. System and method for virtual router failover in a network routing system
US20100138909A1 (en) * 2002-09-06 2010-06-03 O2Micro, Inc. Vpn and firewall integrated system
US7315890B2 (en) * 2002-10-02 2008-01-01 Lockheed Martin Corporation System and method for managing access to active devices operably connected to a data network
US7440573B2 (en) * 2002-10-08 2008-10-21 Broadcom Corporation Enterprise wireless local area network switching system
US20040078422A1 (en) * 2002-10-17 2004-04-22 Toomey Christopher Newell Detecting and blocking spoofed Web login pages
US7266120B2 (en) 2002-11-18 2007-09-04 Fortinet, Inc. System and method for hardware accelerated packet multicast in a virtual routing system
TW200412101A (en) * 2002-12-23 2004-07-01 Shaw-Hwa Hwang Directly peer-to peer transmission protocol between two virtual network
MY141160A (en) * 2003-01-13 2010-03-31 Multimedia Glory Sdn Bhd System and method of preventing the transmission of known and unknown electronic content to and from servers or workstations connected to a common network
JP4257151B2 (ja) * 2003-02-28 2009-04-22 富士通株式会社 パケット制御システム、パケット制御装置、パケット中継装置およびパケット制御プログラム
TW200420021A (en) * 2003-03-19 2004-10-01 Etrunk Technologies Inc Network packet routing control device
US7325002B2 (en) * 2003-04-04 2008-01-29 Juniper Networks, Inc. Detection of network security breaches based on analysis of network record logs
US7760729B2 (en) 2003-05-28 2010-07-20 Citrix Systems, Inc. Policy based network address translation
WO2004107130A2 (en) 2003-05-28 2004-12-09 Caymas Systems, Inc. Multilayer access control security system
US7260840B2 (en) * 2003-06-06 2007-08-21 Microsoft Corporation Multi-layer based method for implementing network firewalls
US7509673B2 (en) * 2003-06-06 2009-03-24 Microsoft Corporation Multi-layered firewall architecture
US7308711B2 (en) * 2003-06-06 2007-12-11 Microsoft Corporation Method and framework for integrating a plurality of network policies
US6985920B2 (en) * 2003-06-23 2006-01-10 Protego Networks Inc. Method and system for determining intra-session event correlation across network address translation devices
US20050022017A1 (en) 2003-06-24 2005-01-27 Maufer Thomas A. Data structures and state tracking for network protocol processing
US7620070B1 (en) * 2003-06-24 2009-11-17 Nvidia Corporation Packet processing with re-insertion into network interface circuitry
US7305705B2 (en) * 2003-06-30 2007-12-04 Microsoft Corporation Reducing network configuration complexity with transparent virtual private networks
US20050144290A1 (en) * 2003-08-01 2005-06-30 Rizwan Mallal Arbitrary java logic deployed transparently in a network
US7522594B2 (en) * 2003-08-19 2009-04-21 Eye Ball Networks, Inc. Method and apparatus to permit data transmission to traverse firewalls
US7720095B2 (en) 2003-08-27 2010-05-18 Fortinet, Inc. Heterogeneous media packet bridging
US7464181B2 (en) * 2003-09-11 2008-12-09 International Business Machines Corporation Method for caching lookups based upon TCP traffic flow characteristics
US7594018B2 (en) * 2003-10-10 2009-09-22 Citrix Systems, Inc. Methods and apparatus for providing access to persistent application sessions
US20050100019A1 (en) * 2003-11-10 2005-05-12 Sahita Ravi L. Rule based packet processing engine
US7978716B2 (en) 2003-11-24 2011-07-12 Citrix Systems, Inc. Systems and methods for providing a VPN solution
US7792147B1 (en) * 2004-02-09 2010-09-07 Symantec Corporation Efficient assembly of fragmented network traffic for data security
KR100609170B1 (ko) * 2004-02-13 2006-08-02 엘지엔시스(주) 네트워크 보안 시스템 및 그 동작 방법
US6972226B2 (en) * 2004-03-31 2005-12-06 Infineon Technologies Ag Charge-trapping memory cell array and method for production
US20050268331A1 (en) * 2004-05-25 2005-12-01 Franck Le Extension to the firewall configuration protocols and features
US8739274B2 (en) 2004-06-30 2014-05-27 Citrix Systems, Inc. Method and device for performing integrated caching in a data communication network
US7757074B2 (en) 2004-06-30 2010-07-13 Citrix Application Networking, Llc System and method for establishing a virtual private network
US8495305B2 (en) 2004-06-30 2013-07-23 Citrix Systems, Inc. Method and device for performing caching of dynamically generated objects in a data communication network
EP1771998B1 (en) 2004-07-23 2015-04-15 Citrix Systems, Inc. Systems and methods for optimizing communications between network nodes
KR20070037649A (ko) 2004-07-23 2007-04-05 사이트릭스 시스템스, 인크. 게이트웨이에서 종단으로 패킷을 라우팅하기 위한 방법 및시스템
US7865944B1 (en) * 2004-09-10 2011-01-04 Juniper Networks, Inc. Intercepting GPRS data
GB0420684D0 (en) * 2004-09-17 2004-10-20 Oostendorp Jeroen Platform for intelligent Email distribution
US7499419B2 (en) 2004-09-24 2009-03-03 Fortinet, Inc. Scalable IP-services enabled multicast forwarding with efficient resource utilization
US7748032B2 (en) 2004-09-30 2010-06-29 Citrix Systems, Inc. Method and apparatus for associating tickets in a ticket hierarchy
US7711835B2 (en) 2004-09-30 2010-05-04 Citrix Systems, Inc. Method and apparatus for reducing disclosure of proprietary data in a networked environment
US8613048B2 (en) 2004-09-30 2013-12-17 Citrix Systems, Inc. Method and apparatus for providing authorized remote access to application sessions
KR100624483B1 (ko) * 2004-10-06 2006-09-18 삼성전자주식회사 네트워크에서의 차등 침입탐지 장치 및 방법
US7808904B2 (en) 2004-11-18 2010-10-05 Fortinet, Inc. Method and apparatus for managing subscriber profiles
JP2006174350A (ja) * 2004-12-20 2006-06-29 Fujitsu Ltd 通信装置
US8700695B2 (en) 2004-12-30 2014-04-15 Citrix Systems, Inc. Systems and methods for providing client-side accelerated access to remote applications via TCP pooling
US8549149B2 (en) 2004-12-30 2013-10-01 Citrix Systems, Inc. Systems and methods for providing client-side accelerated access to remote applications via TCP multiplexing
US8954595B2 (en) 2004-12-30 2015-02-10 Citrix Systems, Inc. Systems and methods for providing client-side accelerated access to remote applications via TCP buffering
US8706877B2 (en) 2004-12-30 2014-04-22 Citrix Systems, Inc. Systems and methods for providing client-side dynamic redirection to bypass an intermediary
US7810089B2 (en) 2004-12-30 2010-10-05 Citrix Systems, Inc. Systems and methods for automatic installation and execution of a client-side acceleration program
US8255456B2 (en) 2005-12-30 2012-08-28 Citrix Systems, Inc. System and method for performing flash caching of dynamically generated objects in a data communication network
US8024568B2 (en) 2005-01-28 2011-09-20 Citrix Systems, Inc. Method and system for verification of an endpoint security scan
US7665128B2 (en) 2005-04-08 2010-02-16 At&T Corp. Method and apparatus for reducing firewall rules
US7634584B2 (en) 2005-04-27 2009-12-15 Solarflare Communications, Inc. Packet validation in virtual network interface architecture
US20070097976A1 (en) * 2005-05-20 2007-05-03 Wood George D Suspect traffic redirection
US7881291B2 (en) * 2005-05-26 2011-02-01 Alcatel Lucent Packet classification acceleration using spectral analysis
US8631483B2 (en) * 2005-06-14 2014-01-14 Texas Instruments Incorporated Packet processors and packet filter processes, circuits, devices, and systems
CN100448227C (zh) * 2005-08-30 2008-12-31 杭州华三通信技术有限公司 业务流的识别方法
US8347373B2 (en) 2007-05-08 2013-01-01 Fortinet, Inc. Content filtering of remote file-system access protocols
CA2632235A1 (en) 2005-12-02 2007-06-07 Citrix Systems, Inc. Method and apparatus for providing authentication credentials from a proxy server to a virtualized computing environment to access a remote resource
JP4545085B2 (ja) * 2005-12-08 2010-09-15 富士通株式会社 ファイアウォール装置
US8730834B2 (en) * 2005-12-23 2014-05-20 General Electric Company Intelligent electronic device with embedded multi-port data packet controller
US8301839B2 (en) 2005-12-30 2012-10-30 Citrix Systems, Inc. System and method for performing granular invalidation of cached dynamically generated objects in a data communication network
US7921184B2 (en) 2005-12-30 2011-04-05 Citrix Systems, Inc. System and method for performing flash crowd caching of dynamically generated objects in a data communication network
US8584226B2 (en) 2006-01-26 2013-11-12 Iorhythm, Inc. Method and apparatus for geographically regulating inbound and outbound network communications
US7606225B2 (en) * 2006-02-06 2009-10-20 Fortinet, Inc. Integrated security switch
US7784086B2 (en) * 2006-03-08 2010-08-24 Panasonic Corporation Method for secure packet identification
JP4823728B2 (ja) * 2006-03-20 2011-11-24 富士通株式会社 フレーム中継装置及びフレーム検査装置
US8151323B2 (en) * 2006-04-12 2012-04-03 Citrix Systems, Inc. Systems and methods for providing levels of access and action control via an SSL VPN appliance
US8122492B2 (en) * 2006-04-21 2012-02-21 Microsoft Corporation Integration of social network information and network firewalls
US8079073B2 (en) * 2006-05-05 2011-12-13 Microsoft Corporation Distributed firewall implementation and control
US8176157B2 (en) * 2006-05-18 2012-05-08 Microsoft Corporation Exceptions grouping
US7603333B2 (en) * 2006-06-14 2009-10-13 Microsoft Corporation Delayed policy evaluation
US7865878B2 (en) * 2006-07-31 2011-01-04 Sap Ag Method and apparatus for operating enterprise software from a detachable storage device
US8533846B2 (en) 2006-11-08 2013-09-10 Citrix Systems, Inc. Method and system for dynamically associating access rights with a resource
US7688821B2 (en) * 2006-11-21 2010-03-30 O2Micro International Ltd. Method and apparatus for distributing data packets by using multi-network address translation
US8984620B2 (en) * 2007-07-06 2015-03-17 Cyberoam Technologies Pvt. Ltd. Identity and policy-based network security and management system and method
US10540651B1 (en) * 2007-07-31 2020-01-21 Intuit Inc. Technique for restricting access to information
US8060927B2 (en) * 2007-10-31 2011-11-15 Microsoft Corporation Security state aware firewall
JP5223376B2 (ja) * 2008-02-29 2013-06-26 日本電気株式会社 リモートアクセスシステム、方法及びプログラム
US20090235355A1 (en) * 2008-03-17 2009-09-17 Inventec Corporation Network intrusion protection system
US8336094B2 (en) * 2008-03-27 2012-12-18 Juniper Networks, Inc. Hierarchical firewalls
JP5153480B2 (ja) * 2008-06-27 2013-02-27 三菱電機株式会社 ゲートウェイ装置およびパケットフィルタリング方法
US7908376B2 (en) * 2008-07-31 2011-03-15 Broadcom Corporation Data path acceleration of a network stack
US8769665B2 (en) * 2009-09-29 2014-07-01 Broadcom Corporation IP communication device as firewall between network and computer system
CN105376167A (zh) * 2009-10-28 2016-03-02 惠普公司 分布式分组流检查和处理
US8656492B2 (en) * 2011-05-16 2014-02-18 General Electric Company Systems, methods, and apparatus for network intrusion detection
WO2012163587A1 (en) * 2011-05-31 2012-12-06 Alcatel Lucent Distributed access control across the network firewalls
US8881258B2 (en) * 2011-08-24 2014-11-04 Mcafee, Inc. System, method, and computer program for preventing infections from spreading in a network environment using dynamic application of a firewall policy
US8681794B2 (en) 2011-11-30 2014-03-25 Broadcom Corporation System and method for efficient matching of regular expression patterns across multiple packets
US8724496B2 (en) * 2011-11-30 2014-05-13 Broadcom Corporation System and method for integrating line-rate application recognition in a switch ASIC
US9503327B2 (en) * 2012-07-24 2016-11-22 Nec Corporation Filtering setting support device, filtering setting support method, and medium
KR101563059B1 (ko) * 2012-11-19 2015-10-23 삼성에스디에스 주식회사 안티 멀웨어 시스템 및 안티 멀웨어 시스템에서의 데이터 처리 방법
US9319351B1 (en) * 2012-11-26 2016-04-19 Marvell Israel (M.I.S.L.) Ltd. Mechanism for wire-speed stateful packet inspection in packet processors
US10033693B2 (en) 2013-10-01 2018-07-24 Nicira, Inc. Distributed identity-based firewalls
US9215214B2 (en) 2014-02-20 2015-12-15 Nicira, Inc. Provisioning firewall rules on a firewall enforcing device
US9755981B2 (en) 2014-03-11 2017-09-05 Vmware, Inc. Snooping forwarded packets by a virtual machine
US9384033B2 (en) 2014-03-11 2016-07-05 Vmware, Inc. Large receive offload for virtual machines
US9742682B2 (en) 2014-03-11 2017-08-22 Vmware, Inc. Large receive offload for virtual machines
US9503427B2 (en) 2014-03-31 2016-11-22 Nicira, Inc. Method and apparatus for integrating a service virtual machine
US9215210B2 (en) 2014-03-31 2015-12-15 Nicira, Inc. Migrating firewall connection state for a firewall service virtual machine
US9906494B2 (en) 2014-03-31 2018-02-27 Nicira, Inc. Configuring interactions with a firewall service virtual machine
US9825913B2 (en) 2014-06-04 2017-11-21 Nicira, Inc. Use of stateless marking to speed up stateful firewall rule processing
US9774707B2 (en) 2014-06-04 2017-09-26 Nicira, Inc. Efficient packet classification for dynamic containers
US9729512B2 (en) 2014-06-04 2017-08-08 Nicira, Inc. Use of stateless marking to speed up stateful firewall rule processing
US10110712B2 (en) 2014-06-04 2018-10-23 Nicira, Inc. Efficient packet classification for dynamic containers
WO2015187201A1 (en) * 2014-06-04 2015-12-10 Nicira, Inc. Use of stateless marking to speed up stateful firewall rule processing
US9692698B2 (en) 2014-06-30 2017-06-27 Nicira, Inc. Methods and systems to offload overlay network packet encapsulation to hardware
US9419897B2 (en) 2014-06-30 2016-08-16 Nicira, Inc. Methods and systems for providing multi-tenancy support for Single Root I/O Virtualization
US9692727B2 (en) 2014-12-02 2017-06-27 Nicira, Inc. Context-aware distributed firewall
US9891940B2 (en) 2014-12-29 2018-02-13 Nicira, Inc. Introspection method and apparatus for network access filtering
US9806948B2 (en) 2015-06-30 2017-10-31 Nicira, Inc. Providing firewall rules for workload spread across multiple data centers
US10324746B2 (en) 2015-11-03 2019-06-18 Nicira, Inc. Extended context delivery for context-based authorization
CN112087519A (zh) 2016-04-12 2020-12-15 伽德诺克斯信息技术有限公司 具有被配置为实现安全锁定的相关设备的特别编程的计算系统及其使用方法
US10348685B2 (en) 2016-04-29 2019-07-09 Nicira, Inc. Priority allocation for distributed service rules
US10135727B2 (en) 2016-04-29 2018-11-20 Nicira, Inc. Address grouping for distributed service rules
US11171920B2 (en) 2016-05-01 2021-11-09 Nicira, Inc. Publication of firewall configuration
US11425095B2 (en) 2016-05-01 2022-08-23 Nicira, Inc. Fast ordering of firewall sections and rules
US11258761B2 (en) 2016-06-29 2022-02-22 Nicira, Inc. Self-service firewall configuration
US11082400B2 (en) 2016-06-29 2021-08-03 Nicira, Inc. Firewall configuration versioning
US11115385B1 (en) * 2016-07-27 2021-09-07 Cisco Technology, Inc. Selective offloading of packet flows with flow state management
US10938837B2 (en) 2016-08-30 2021-03-02 Nicira, Inc. Isolated network stack to manage security for virtual machines
US9762619B1 (en) 2016-08-30 2017-09-12 Nicira, Inc. Multi-layer policy definition and enforcement framework for network virtualization
US10193862B2 (en) 2016-11-29 2019-01-29 Vmware, Inc. Security policy analysis based on detecting new network port connections
US10609160B2 (en) 2016-12-06 2020-03-31 Nicira, Inc. Performing context-rich attribute-based services on a host
US11032246B2 (en) 2016-12-22 2021-06-08 Nicira, Inc. Context based firewall services for data message flows for multiple concurrent users on one machine
US10805332B2 (en) 2017-07-25 2020-10-13 Nicira, Inc. Context engine model
US10802858B2 (en) 2016-12-22 2020-10-13 Nicira, Inc. Collecting and processing contextual attributes on a host
US10812451B2 (en) 2016-12-22 2020-10-20 Nicira, Inc. Performing appID based firewall services on a host
US10803173B2 (en) 2016-12-22 2020-10-13 Nicira, Inc. Performing context-rich attribute-based process control services on a host
US10581960B2 (en) 2016-12-22 2020-03-03 Nicira, Inc. Performing context-rich attribute-based load balancing on a host
US10313926B2 (en) 2017-05-31 2019-06-04 Nicira, Inc. Large receive offload (LRO) processing in virtualized computing environments
US10778651B2 (en) 2017-11-15 2020-09-15 Nicira, Inc. Performing context-rich attribute-based encryption on a host
US10802893B2 (en) 2018-01-26 2020-10-13 Nicira, Inc. Performing process control services on endpoint machines
US10862773B2 (en) 2018-01-26 2020-12-08 Nicira, Inc. Performing services on data messages associated with endpoint machines
US11388141B1 (en) * 2018-03-28 2022-07-12 Juniper Networks, Inc Apparatus, system, and method for efficiently filtering packets at network devices
US11310202B2 (en) 2019-03-13 2022-04-19 Vmware, Inc. Sharing of firewall rules among multiple workloads in a hypervisor
US11539718B2 (en) 2020-01-10 2022-12-27 Vmware, Inc. Efficiently performing intrusion detection
US11962518B2 (en) 2020-06-02 2024-04-16 VMware LLC Hardware acceleration techniques using flow selection
US11108728B1 (en) 2020-07-24 2021-08-31 Vmware, Inc. Fast distribution of port identifiers for rule processing
US20220038372A1 (en) * 2020-08-02 2022-02-03 Mellanox Technologies Tlv Ltd. Stateful filtering systems and methods
US11593278B2 (en) 2020-09-28 2023-02-28 Vmware, Inc. Using machine executing on a NIC to access a third party storage not supported by a NIC or host
US20220100432A1 (en) 2020-09-28 2022-03-31 Vmware, Inc. Distributed storage services supported by a nic
US11875172B2 (en) 2020-09-28 2024-01-16 VMware LLC Bare metal computer for booting copies of VM images on multiple computing devices using a smart NIC
US11792134B2 (en) 2020-09-28 2023-10-17 Vmware, Inc. Configuring PNIC to perform flow processing offload using virtual port identifiers
US11636053B2 (en) 2020-09-28 2023-04-25 Vmware, Inc. Emulating a local storage by accessing an external storage through a shared port of a NIC
US11863376B2 (en) 2021-12-22 2024-01-02 Vmware, Inc. Smart NIC leader election
US11928367B2 (en) 2022-06-21 2024-03-12 VMware LLC Logical memory addressing for network devices
US11899594B2 (en) 2022-06-21 2024-02-13 VMware LLC Maintenance of data message classification cache on smart NIC
US11928062B2 (en) 2022-06-21 2024-03-12 VMware LLC Accelerating data message classification with smart NICs

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5400331A (en) * 1993-04-28 1995-03-21 Allen-Bradley Company, Inc. Communication network interface with screeners for incoming messages
US5623601A (en) * 1994-11-18 1997-04-22 Milkway Networks Corporation Apparatus and method for providing a secure gateway for communication and data exchanges between networks
US5802320A (en) * 1995-05-18 1998-09-01 Sun Microsystems, Inc. System for packet filtering of data packets at a computer network interface
US5648965A (en) * 1995-07-07 1997-07-15 Sun Microsystems, Inc. Method and apparatus for dynamic distributed packet tracing and analysis
US5801753A (en) * 1995-08-11 1998-09-01 General Instrument Corporation Of Delaware Method and apparatus for providing an interactive guide to events available on an information network
US6147976A (en) * 1996-06-24 2000-11-14 Cabletron Systems, Inc. Fast network layer packet filter
US5828833A (en) * 1996-08-15 1998-10-27 Electronic Data Systems Corporation Method and system for allowing remote procedure calls through a network firewall
US6119236A (en) * 1996-10-07 2000-09-12 Shipley; Peter M. Intelligent network security device and method
US6073178A (en) * 1996-12-09 2000-06-06 Sun Microsystems, Inc. Method and apparatus for assignment of IP addresses
US5848233A (en) * 1996-12-09 1998-12-08 Sun Microsystems, Inc. Method and apparatus for dynamic packet filter assignment
US6070242A (en) * 1996-12-09 2000-05-30 Sun Microsystems, Inc. Method to activate unregistered systems in a distributed multiserver network environment
US5835727A (en) * 1996-12-09 1998-11-10 Sun Microsystems, Inc. Method and apparatus for controlling access to services within a computer network
US6208651B1 (en) * 1997-06-10 2001-03-27 Cornell Research Foundation, Inc. Method and system for masking the overhead of protocol layering
US6158008A (en) * 1997-10-23 2000-12-05 At&T Wireless Svcs. Inc. Method and apparatus for updating address lists for a packet filter processor
US6092110A (en) * 1997-10-23 2000-07-18 At&T Wireless Svcs. Inc. Apparatus for filtering packets using a dedicated processor
EP1062785A2 (en) * 1998-03-18 2000-12-27 Secure Computing Corporation System and method for controlling interactions between networks
US6092108A (en) * 1998-03-19 2000-07-18 Diplacido; Bruno Dynamic threshold packet filtering of application processor frames
WO2000010297A1 (en) * 1998-08-17 2000-02-24 Vitesse Semiconductor Corporation Packet processing architecture and methods

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100753815B1 (ko) * 2005-08-31 2007-08-31 한국전자통신연구원 패킷 차단 장치 및 그 방법

Also Published As

Publication number Publication date
CA2401577A1 (en) 2001-09-07
AU2001241717B2 (en) 2005-12-22
CN100474213C (zh) 2009-04-01
JP3954385B2 (ja) 2007-08-08
EA004423B1 (ru) 2004-04-29
BR0109035A (pt) 2003-06-03
IL151522A (en) 2007-12-03
NO20024113L (no) 2002-11-01
PL357181A1 (en) 2004-07-26
JP2003525557A (ja) 2003-08-26
EP1266277A1 (en) 2002-12-18
US6496935B1 (en) 2002-12-17
CA2401577C (en) 2007-09-18
EP1266277B1 (en) 2005-12-07
NZ520984A (en) 2003-02-28
NO20024113D0 (no) 2002-08-29
NO324958B1 (no) 2008-01-14
DE60115615T2 (de) 2006-07-06
WO2001065343A1 (en) 2001-09-07
DE60115615D1 (de) 2006-01-12
EP1266277A4 (en) 2003-07-02
HUP0300039A2 (en) 2003-05-28
IL151522A0 (en) 2003-04-10
CN1406351A (zh) 2003-03-26
EA200200814A1 (ru) 2003-02-27
ATE312463T1 (de) 2005-12-15
AU4171701A (en) 2001-09-12

Similar Documents

Publication Publication Date Title
KR20020092972A (ko) 패킷 필터링과 프로세싱을 가속화하는 시스템, 장치 및방법
AU2001241717A1 (en) System, device and method for rapid packet filtering and processing
EP3382989B1 (en) Network interface device
US9674146B2 (en) Network security module for Ethernet-receiving industrial control devices
EP1634175B1 (en) Multilayer access control security system
KR100641279B1 (ko) 필터 코드를 이용하여 아이피 보안 정책 관리를 수행하기위한 방법 및 장치
US8060927B2 (en) Security state aware firewall
US20070022474A1 (en) Portable firewall
US20070022479A1 (en) Network interface and firewall device
MXPA04005464A (es) Arquitectura de la pared de fuego estratificada.
WO2005117327A2 (en) A system, method, and computer program product for updating the states of a firewall
JP2004304752A (ja) 攻撃防御システムおよび攻撃防御方法
US20220337555A1 (en) Firewall offloading
KR20010095337A (ko) 임베디드 하드웨어와 범용 컴퓨터가 결합된 방화벽 시스템
US8336093B2 (en) Abnormal IPSec packet control system using IPSec configuration and session data, and method thereof
JP2020017809A (ja) 通信装置及び通信システム
US20230291803A1 (en) Systems and methods for virtual multiplexed connections
US11973783B1 (en) Attack prevention in internet of things networks
US11960944B2 (en) Interprocessor procedure calls
Li et al. Dynamical Immune Intrusion Detection System for IPv6
KR20050002348A (ko) 인트라넷 보안 시스템 및 방법

Legal Events

Date Code Title Description
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid