KR20060028390A - 다수의 네트워크가 인증되어 서로 통신하고 있는지와 이들 네트워크들 중 두 개로 이루어진 각 조합 간의 통신을 위해 어떤 ip 프로토콜이 사용되는지를 결정하는 방법 및 시스템, 컴퓨터 판독가능 저장 매체 - Google Patents

다수의 네트워크가 인증되어 서로 통신하고 있는지와 이들 네트워크들 중 두 개로 이루어진 각 조합 간의 통신을 위해 어떤 ip 프로토콜이 사용되는지를 결정하는 방법 및 시스템, 컴퓨터 판독가능 저장 매체 Download PDF

Info

Publication number
KR20060028390A
KR20060028390A KR1020057021858A KR20057021858A KR20060028390A KR 20060028390 A KR20060028390 A KR 20060028390A KR 1020057021858 A KR1020057021858 A KR 1020057021858A KR 20057021858 A KR20057021858 A KR 20057021858A KR 20060028390 A KR20060028390 A KR 20060028390A
Authority
KR
South Korea
Prior art keywords
network
networks
combination
destination
protocol
Prior art date
Application number
KR1020057021858A
Other languages
English (en)
Other versions
KR100843537B1 (ko
Inventor
앤드류 존 베르노스
Original Assignee
인터내셔널 비지네스 머신즈 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 인터내셔널 비지네스 머신즈 코포레이션 filed Critical 인터내셔널 비지네스 머신즈 코포레이션
Publication of KR20060028390A publication Critical patent/KR20060028390A/ko
Application granted granted Critical
Publication of KR100843537B1 publication Critical patent/KR100843537B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Business, Economics & Management (AREA)
  • Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Maintenance And Management Of Digital Transmission (AREA)
  • Communication Control (AREA)

Abstract

다수의 네트워크(11,12,13,14)가 인증되어 서로 통신을 하는지와 네트워크들 중 두 개로 이루어진 각 조합 간의 통신을 위해 어떤 IP 프로토콜이 사용되는지를 결정하는 방법이 개시되어 있다. 각 네트워크마다, 컴퓨터 판독가능 데이터 베이스는 (a) 각 네트워크에 사용되도록 허용되는 IP 프로토콜(들) 및 (b) 상기 각 네트워크와의 통신이 허용된 다른 네트워크의 유형을 저장한다. 각 네트워크마다, 컴퓨터 판독가능 데이터 베이스는 각 네트워크에 대한 제각기의 방화벽(21,24) 또는 라우터(23)에 의해 허용되는 IP 프로토콜 및 수신지 및 소스 네트워크의 레코드를 저장한다. 각 네트워크마다, 컴퓨터 판독가능 데이터 베이스는 각 네트워크의 유형의 레코드를 저장한다. 네트워크의 다수의 조합은 자동으로 식별된다. 각각의 조합은 소스 네트워크 및 수신지 네트워크를 포함한다. 각각의 조합마다, 레코드에 기초하여, 각 조합 내의 각 네트워크가 조합 내의 다른 네트워크와 통신이 허용되는지와 각 조합 내의 양 네트워크에 대해 어떤 IP 프로토콜이 공통적인지를 자동으로 결정한다.

Description

다수의 네트워크가 인증되어 서로 통신하고 있는지와 이들 네트워크들 중 두 개로 이루어진 각 조합 간의 통신을 위해 어떤 IP 프로토콜이 사용되는지를 결정하는 방법 및 시스템, 컴퓨터 프로그램 제품{SECURITY CHECKING PROGRAM FOR COMMUNICATION BETWEEN NETWORKS}
본 발명은 일반적으로 컴퓨터 네트워크 간의 통신에 관한 것으로 좀 더 구체적으로 어떤 네트워크가 인증되어 서로 통신하고 있는지와 이러한 네트워크의 구성에 기초한 통신을 위해서는 어떤 IP 프로토콜이 사용되어야 하는지를 결정하는 시스템 및 방법에 관한 것이다.
통신은 하나의 네트워크에서 또 다른 네트워크로 이루어지고, 각 네트워크의 통신 게이트웨이는 통상적으로 방화벽 또는 라우터이다. 방화벽은 원치 않는 메시지를 걸러내는 라우터 및 필터를 포함한다. 상이한 네트워크가 존재한다. 예를 들어, 하나의 기업 내에서 근거리 통신을 위한 인트라넷이 존재한다. 인트라넷의 모든 사용자는 신뢰할 수 있는 것으로 가정하는데, 그 이유는 사용자 모두는 동일한 기업 내에서 근무하기 때문이다. 따라서, 보통, 인트라넷 내에서는 보안에 대 한 관심이 비교적 적다. 그러나, 인트라넷의 사용자는 보통 이 인트라넷의 외부에 존재하는 다른 네트워크 상에 위치하는 또 다른 실체와 통신하기를 원한다. 이러한 다른 실체는 그 기업 내에서 근무하지 않을 수도 있고, 또한 이러한 다른 네트워크는 이 기업의 제어 하에 놓이지 않을 수도 있기 때문에, 이러한 다른 실체 및 네트워크는 전적으로 신뢰할 수는 없다. 따라서, 인트라넷에 대한 게이트웨이에 방화벽이 설치될 수 있다. 방화벽은 입력 통신에 대한 보안 정책을 강제하는 책임을 가지고 있다. 이러한 보안 정책은 인트라넷이 통신하도록 허용되는 네트워크의 유형을 정의할 수 있고, 이 통신에 대해 어떠한 프로토콜이 사용되는지를 정의할 수 있다.
예를 들어, 방화벽은 기업의 "비무장 지대" 즉 "DMZ"를 갖는 통신만을 허용할 수 있다. 기업의 DMZ는 기업에 의해 공급되고 관리되는 서버 및 다른 관련 장치를 포함하나, 민감한 데이터 또는 민감한 데이터의 복사본만은 포함하지 않는다. 따라서, 기업의 DMZ 내의 서버가 또 다른 네트워크로부터의 통신에 의해 오염되어도, 이러한 손상은 복구가 가능하다. 또한, 기업의 DMZ 내의 서버 및 관련 서비스의 관리를 통해 기업은 기업의 DMZ 내에서 보안을 측정할 수 있다. 기업의 DMZ는 신뢰되지 않는 네트워크와 직접 또는 또 다른 기업의 다른 DMZ를 통해 통신하기 위해 인증 과정을 거칠 수 있다. 인트라넷을 그의 방화벽에 직접 또는 하나 이상의 신뢰되지 않는 네트워크를 통해 접속시킬 수 있으며, 또한 인트라넷의 방화벽에 의존하여 보안을 제공할 수 있다. 보안이 덜 중요한 다른 유형의 네트워크는 방화벽을 가지고 있지 않다. 대신, 그들은 라우터를 통해 다른 네트워크에 직접 접속한 다.
가장 일반적인 프로토콜은 TCP, UDP 및 ICMP이다. 각각의 이들 프로토콜은 부가적인 기준, 예를 들어 소정 유형의 요청에 대해 TCP 및 UDP에 의해 사용되는 포트의 범위, 및 ICMP의 유형 및 코드를 포함한다. TCP 및 UDP 포트는 수신 장치에서 어떤 애플리케이션이 요청된 서비스를 제공하는지를 나타낸다. 또한 몇몇 경우에서는, 소정 유형의 통신에 대해 포트의 범위를 제한하는 것이 바람직할 수 있다. 포트의 범위에 대한 제한은 요청된 서비스의 처리를 용이하게 한다. 예를 들어, 임의의 이용가능한 TCP 또는 UDP 포트를 열기 위해 많은 프로그램이 기록된다. 이것은 이러한 포트 어려움을 사용하여 애플리케이션의 식별을 구성한다. 몇몇 이러한 경우에서, 이들 애플리케이션에 이용가능한 포트의 범위를 제한하여 어떤 애플리케이션이 포트를 사용하고 있는지를 식별하는데 도움을 줄 수 있다. 몇몇 네트워크는 상이한 범위의 TCP 또는 UDP 포트를 사용하는 또 다른 네트워크와 통신하지 않는 것이 바람직할 수 있다. 또한, 몇몇 네트워크는 소정 유형의 ICMP 메시지를 받아들이기를 원치 않을 수 있다. 예를 들어, 몇몇 수신지 네트워크는 "라우트 리다이렉트(route redirect)"를 전송하는 장치가 신뢰성이 없을 경우 "라우트 리다이렉트" 메시지를 처리하기를 원치 않을 수 있다. 더 나아가, 몇몇 프로토콜은 다른 프로토콜에 비해 보다 제어가능하다. 예를 들어, TCP는 모든 통신에 대해 "핸드셰이킹(handshaking)"을 제공하는 반면 UDP는 그러하지 못하다. 따라서, TCP는 UDP에 비해 보다 제어가능하며, 따라서 몇몇 네트워크는 UDP 통신을 수용하지 않는 것이 바람직할 수 있다.
방화벽 또는 라우터를 통해 접속된 두 개의 네트워크가 인증되어 서로 통신하고 있는지와, 또한 부가적인 기준을 포함하는 프로토콜들 중 어느 프로토콜이 통신을 위해 인증되는지를 결정하는데 다른 기법이 사용되었다. 예를 들어, 외부 네트워크의 시스템 관리자는 그의 방화벽 또는 라우터를 통해 자신의 방화벽을 갖는 기업과 통신하기를 희망하는 경우, 외부 네트워크의 시스템 관리자는 그의 구성 정보를 그 기업의 시스템 관리자에게 간단히 보낼 수 있다. 이 구성 정보는 외부 네트워크의 유형 및 그것이 지원하는, 각 프로토콜마다 부가적인 기준을 포함하는 프로토콜을 포함할 수 있다. 그런 다음, 기업의 시스템 관리자는 구성 정보를 수동으로 검토하고 이 외부 네트워크가 기업의 방화벽을 통해 그 기업과 통신하도록 허용되어야 하는지, 또한 그러한 경우 어떠한 IP 프로토콜이 사용되는지를 결정한다. 시스템 관리자가 요청된 흐름이 회사 정책에 따라 수용가능하다고 믿는 경우, 시스템 관리자는 부가적인 기준을 포함하는 특정 IP 프로토콜을 갖는 외부 네트워크와의 통신을 허용하도록 기업의 방화벽에 파일을 업데이트한다. 마찬가지로, 외부 네트워크의 시스템 관리자는 부가적인 기준을 포함하는 특정 IP 프로토콜을 갖는 기업 네트워크로부터의 통신을 수신할 수 있도록 방화벽 또는 라우터에 파일을 업데이트할 것이다.
보통 일년에 한번씩, 회사 정책에 따라서는 보다 자주, 모든 필터 룰은 이들이 회사 정책을 여전히 따르고 있는지를 확실히 하기 위해 검증되어야 한다. 전통적으로, 이것은 시스템 관리자에 의해 또는 보안 관리자와 같이 방화벽에 대해 매일 동작을 취하지는 않는 사람에 의해 수동으로 완료된다. 시스템 관리자 또는 보 안 관리자는 각 방화벽 룰을 검토하여 각 IP 어드레스의 네트워크 유형을 확인하고 방화벽 내에서 구성된 흐름이 회사 정책에 따라 수용가능하도록 보장하다. 이러한 기법은 효과적이지만, 이것은 통신을 필요로 하는 각 네트워크로부터 구성 정보에 대한 지겨운, 사람에 의한 검토를 필요로 하며 그러한 네트워크는 다수 존재한다. 또한, 모든 가능한 허용되는 통신을 결정하기보다는 특정 통신의 허용을 체킹하는데 초점을 둔다. 또한, 네트워크의 라우터 및 방화벽은 자주 변경되고, 이것은 앞서 설명한 시스템 관리자 또는 보안 관리자 간의 상호 작용이 반복되도록 요구할 수 있다.
방화벽 또는 라우터를 통해 접속되는 두 네트워크가 인증되어 서로 통신하고 있는지와, 또한 통신을 위해 어떤 프로토콜(부가적인 기준을 포함함)이 인증되는지를 결정하는 또 다른 기법이 존재한다. 이러한 기법에 따르면, 패킷 생성기가 다른 네트워크와의 호환성에 대해 체크되는 시발 네트워크의 방화벽 또는 라우터 내에 위치한다. 패킷 생성기는 네트워크 상으로, 그러나 바람직하게는 비점유 IP 어드레스로 통신 패킷 세트를 전송한다. 각 세트에 대한 통신 패킷은 상이한 부가적인 기준을 갖는, 그러나 시발 네트워크가 지원하는 기준을 갖는 상이한 IP 프로토콜을 가진다. "스니퍼(sniffer)"는 시발 네트워크의 방화벽 또는 라우터 밖에 위치하고 시발 네트워크의 방화벽 또는 라우터를 통한 통과가 허용되는 생성 패킷을 기입(log)한다. "스니퍼"에 의해 기입되는 원시 패킷의 존재 유무에 따라, 방화벽 또는 라우터가 허용하는 트래픽에 관한 보고서가 생성될 수 있다. 이러한 보고서는 기업 보안 표준과 비교될 수 있다. 이러한 기법은 부분적으로 자동화되지만, 그것은 처리할 다수의 통신 패킷을 네트워크에 부가한다. 또한, 이 기법은 시발 네트워크가 통신을 허용해야 하는지에 관해 결정하데 있어서의 기준으로서 수신지 네트워크의 유형을 고려하지 않는다. 즉, 이것은 보고서가 일단 수동으로 생성되면 여전히 수동 작업으로서 남겨진다. 또 다른 관심사는 기업 보안 표준이 자주 변경된다는 것이다.
따라서, 본 발명의 일반적인 목적은 어떠한 유형의 네트워크가 서로 통신할 수 있는지 및 어떠한 IP 프로토콜이 이러한 통신에 적합하게 사용될 수 있는지를 결정하는 기법을 제공하는 것이다.
본 발명의 보다 구체적인 목적은 적어도 부분적으로 자동화되는 앞서 설명한 유형의 기법을 제공하는 것이다.
본 발명은 다수의 네트워크가 인증되어 서로 통신을 하고 있는지와 네트워크들 중 두 개로 이루진 네트워크의 각 조합 간의 통신을 위해 어떤 IP 프로토콜이 사용될 수 있는지를 결정하는 기법에 관한 것이다. 각 네트워크마다, 컴퓨터 판독가능 데이터 베이스는 각 네트워크에 사용되도록 허용된 (a) IP 프로토콜(들) 및 각 네트워크와 통신하도록 허용된 (b) 다른 네트워크의 유형의 레코드를 저장한다. 각 네트워크마다, 컴퓨터 판독가능 데이터 베이스는 각 네트워크에 대한 제각기의 방화벽 또는 라우터에 의해 허용되는 IP 프로토콜 및 수신지 및 소스 네트워크의 레코드를 저장한다. 각 네트워크마다, 컴퓨터 판독가능 데이터 베이스는 각 네트워크의 유형의 레코드를 저장한다. 네트워크의 다수의 조합은 자동으로 식별된다. 각각의 조합은 소스 네트워크 및 수신지 네트워크를 포함한다. 각각의 조합마다, 레코드에 기초하여, 조합 내의 각 네트워크가 조합 내의 다른 네트워크와 통신하도록 허용되는지와 조합 내의 양 네트워크에 대해 공통적인 IP 프로토콜은 어떤 프로토콜인지에 대해 자동으로 결정된다.
본 발명의 일 측면에 따르면, IP 프로토콜과 수신지 및 소스 네트워크의 레코드는 IP 프로토콜과 수신지 어드레스 및 소스 어드레스의 레코드를 포함한다. 각 네트워크 유형의 레코드는 수신지 어드레스를 제각기의 네트워크 유형과 상관시키고 소스 어드레스를 제각기의 네트워크 유형과 상관시키는 테이블을 포함한다.
도 1은 본 발명이 사용될 수 있고, 본 발명에 따라 보안 체킹 프로그램을 실행하는 네트워크 관리자를 포함하는 다수의 상호접속된 네트워크의 블록도,
도 2는 도 1의 보안 체킹 프로그램의 초기화 부분의 동작을 예시하는 흐름도,
도 3(a) 및 (b)은 도 1의 보안 체킹 프로그램의 또 다른 보안 체킹 부분의 동작을 나타내는 흐름도.
유사한 소자를 유사한 참조 번호로 나타내는 도면을 상세히 참조하면, 도 1 은 접속 네트워크(20)를 통해 상호접속된 네 개의 네트워크(11-14)를 도시한다. 도 1의 모든 부분은 이하에서 설명되는 보안 체킹 프로그램(70) 및 관련 테이블(71)을 제외하면 종래 기술 부분에 해당한다. 네트워크(11 및 12)는 네트워크(11 및 12)와 접속 네트워크(20) 사이에 위치한 방화벽(21)을 공유한다. 네트워크(13)는 네트워크(13)와 접속 네트워크(20) 사이에 위치한 라우터(23)를 갖는다. 네트워크(14)는 네트워크(14)와 접속 네트워크(20) 사이에 위치한 방화벽(24)을 갖는다. 방화벽(21), 방화벽(24) 및 라우터(23)는 또한 종래 기술에서 알려져 있다. 예를 들어, 네트워크(11)는 기업 인트라넷이고, 네트워크(12)는 네트워크(11)용 DMZ이며, 네트워크(13)는 네트워크(11)의 관점에서 신뢰성이 없는 네트워크이며, 네트워크(14)는 네트워크(11)의 관점에서 신뢰성이 없는 네트워크이다. 예를 들어, 네트워크(14)는 월드 와이드 웹이고 네트워크(13)는 제 3자 고객 네트워크이다. 그러나, 본 발명은 광범위하고 다양한 네트워크에 사용될 수 있다. 또한, 예를 들어, 접속 네트워크는 LAN, WAN 또는 VPN을 포함한다. 그러나, 접속 네트워크(20)의 특성은 본 발명과 무관하다. 네트워크(11)는 서버(32) 및 사용자 작업 스테이션(30,31) 및 보안 체킹 프로그램(70)을 실행하는 네트워크 관리자 작업 스테이션(34)을 포함한다. 네트워크(12)는 서버 및 "도움 데스크(help desk)"용 사용자 작업 스테이션(40,41)을 포함한다. 네트워크(13)는 사용자 작업 스테이션(50,51) 및 서버(52)를 포함한다. 네트워크(14)는 사용자 작업 스테이션(60,61) 및 서버(62)를 포함한다. 그러나, 보안 체킹 프로그램 및 지금까지는 네트워크가 지원하는 IP 프로토콜을 수행하는 네트워크(11) 내의 네트워크 관리 스테이션을 제 공한다는 점을 제외하면 각 네트워크 내의 작업 스테이션의 배열은 본 발명에 속하는 것은 아니다.
보안 체킹 프로그램(70)은 방화벽(21) 넘어 인트라넷(11) 내의 네트워크 관리자 워크스테이션(34)에서 실행된다. 네트워크 관리자(34)는 방화벽(21)을 통해 DMZ 네트워크(12)와 통신하고 DMZ 네트워크(12) 및 접속 네트워크(20)를 통해 네트워크(13 및 14)와 통신한다. DMZ 네트워크(12)는 방화벽(21), 접속 네트워크(20) 및 라우터(23)를 통해 네트워크(13)와 통신한다. DMZ 네트워크(12)는 방화벽(21), 접속 네트워크(20) 및 방화벽(24)을 통해 네트워크(14)와 통신한다.
도 2는 보안 체킹 프로그램(70) 내의 초기화 기능(68)을 도시하는 흐름도이다. 초기화 기능의 목적은 각 네트워크(11-14)에 보안 정책, 각 네트워크(11-14)의 유형 및 각 네트워크마다 방화벽 또는 라우터를 통해 허용되는 IP 프로토콜을 나타내는 데이터 구조체를 구축하는 것이다. 각 네트워크의 "보안 정책"은 이 네트워크가 통신할 수 있는 다른 네트워크의 유형 및 사용될 수 있는 IP 프로토콜에 대한 규정이다. 도 3(a 및 b)을 참조하여 이하에서 설명되는 보안 프로그램(70)의 나머지 부분(100)은 이 데이터 구조체를 사용하여 어떤 네트워크가 인증되어 서로 통신하는지와 어떤 IP 프로토콜(부가적인 기준을 포함함)이 통신을 위해 사용되어야 하는지를 결정한다. 보안 체킹 프로그램(70)에 대한 후속하는 상세한 설명은 모든 "네트워크 객체", 즉 네트워크, 서브 네트워크 또는 호스트 유형의 각 네트워크에 동일하게 적용되지만, 예시되어 있는 흐름도 및 이들에 대한 상세한 설명에서는 "네트워크"만이 설명될 수 있다.
초기화 기능(68)은 다음과 같이 동작한다. 먼저, 기능(68)은 보안 정책을 탐색한다(단계 72). 이러한 정책은 시스템 관리자에 의해 생성된 파일 내에 저장되었거나, 또는 초기화 기능의 실행에 앞서 시스템 관리자에 의해 수동으로 입력될 수 있다. 일반적으로, 시스템 관리자는 초기화 기능에 의해 검토되고 있는 모든 네트워크(예를 들어, 네트워크(11-14) 간의 통신에 대한 책임과 이들 네트워크의 IP 구성에 대한 소정의 지식을 갖고 있다. 각 네트워크에 대한 보안 정책은 "인트라넷", "DMZ", "고객" 및 "인터넷"과 같은 각 네트워크의 상세히 기록된 기업 보안 정책에 따라 각 네트워크와 통신하도록 허용된 다른 네트워크의 유형, 및 각 네트워크 유형 간에 허용된 트래픽/프로토콜의 유형을 정의한다. 시스템 관리자는 또한 네트워크(11-14)의 라우터 또는 방화벽에 대한 문자 구성 정보를 필요로 한다. 각 라우터 또는 방화벽에 대한 문자 구성 정보는 소스 IP 어드레스(들), 수신지 IP 어드레스(들), IP 프로토콜 및 라우터 또는 방화벽에 의해 허용되는 포트 및 유형을 포함한다. "소스 IP 어드레스"는 라우터 또는 방화벽을 통해 패킷을 전송할 수 있는 네트워크의 IP 어드레스이며, "수신지 IP 어드레스"는 라우터 또는 방화벽을 통해 전송된 패킷을 수신할 수 있는 네트워크의 IP 어드레스이다. 각 라우터 또는 방화벽에 대한 문자 구성 파일에 저장된 "IP 프로토콜"은 소스 IP 어드레스와 수신지 IP 어드레스 간의 각 통신에 대해 지원되는 IP 프로토콜이다. 시스템 관리자는 라우터 또는 방화벽의 디폴트 통신 방법(및 선택에 따라, 프로토콜)을 사용하여 초기화 기능의 실행에 앞서 라우터 또는 방화벽에 대한 문자 구성 파일을 얻는다.
보안 정책이 알려져 있는 경우(결정 단계(74)), 이것은 기능(68)으로 로딩된 다(단계 76). 그렇지 않은 경우, 기능(68)은 임의의 다른 네트워크와의 통신을 허용하지 않는 디폴트 보안 정책을 생성한다(단계 78). 시스템 관리자는 조사(investigation) 하에 네트워크에 대한 보안 정책 파일을 로딩할 것이냐 또는 사용하기 위한 하나의 보안 정책을 생성할 것이냐(단계 79)의 선택사항을 가질 수 있다. 다음으로, 기능(68)은 시스템 관리자가 라우터 또는 방화벽에 대해 위에서 설명한 방화벽 또는 라우터 구성 정보를 입력 또는 로딩하도록 장려한다(단계 80)(단계(80-250)는 각 방화벽 또는 라우터마다 반복된다). 방화벽 또는 라우터 구성은 기능(68)으로 로딩된다(단계 82). 다음으로, 기능(68)은 앞서 말한 보안 정책 및 IP 구성을 나타내는 데이터 구조를 생성한다(단계 84). 다음으로, 기능(68)은 알려져 있는 네트워크 객체에 대한 네트워크 유형을 식별하는 파일이 존재하는지를 결정한다(결정 단계(86)). 이러한 파일은 네트워크(11-14)의 IP 어드레스를 보안 정책 파일 내에 정의된 네트워크 파일에 매핑시킨다. 도시되어 있는 예에서, 가능한 유형은 소스 및/또는 수신지 "인트라넷", 소스 및/또는 수신지 "DMZ" 및 소스 및/또는 수신지 "비신뢰성 네트워크"이다. 네트워크 유형이 이미 저장되어 있는 경우, 기능(68)은 이 정의를 로딩한다(단계 88). 그렇지 않은 경우, 시스템 관리자는 정보를 실시간으로 입력할 필요가 있을 것이다(단계 90). 다음으로, 도 2의 단계에서 수집된 앞서 설명한 정보(즉, 각 네트워크 객체의 IP 어드레스- 이 어드레스가 보안 정책에 매핑되는 경우 "네트워크 객체"는 보안 네트워크, 서브-네트워크 또는 호스트 유형의 각 네트워크임)는 네트워크 객체 데이터 구조에 저장된다(단계 92).
도 3(a 및 b)은 본 발명에 따른 보안 체킹 프로그램(70) 내의 보안 체킹 기능(100)을 도시하는 흐름도이다. 보안 체킹 기능(100)은 또한 네트워크 관리자 스테이션(34) 상에서 시스템 관리자에 의해 실행된다. 보안 체킹 기능(100)은 초기화 기능(68)이 실행된 후 실행된다. 보안 체킹 기능(100)의 목적은 각 네트워크 객체의 규정을 모든 다른 가능한 통신 파트너에 대한 각각의 다른 네트워크 객체의 규정과 비교하여 통신이 인증되는지를 결정하고 그러한 경우 어떤 프로토콜이 인증되는지를 결정한다. 이 인증은 인증 테이블(71) 내에 기록된다.
보안 체킹 기능(100)은 각각의 가능한 "소스" 네트워크 객체(즉, "수신지 네트워크"에 전송된 통신의 각각의 가능한 소스)를 식별함으로써 시작된다(단계 102). 그런 다음, 보안 체킹 기능(100)은 이 소스 네트워크 객체가 도 2에서 설명된 바와 같이 규정된 네트워크 유형을 갖고 있는지를 결정한다(결정 단계(104)). 그렇지 않은 경우, 이 소스 네트워크 객체는 네트워크 객체 데이터구조 내에 "미지(unknown)"로서 기입된다(단계 106). 결정 단계(104)를 다시 참조하면, 소스 네트워크 객체가 정의되어 있는 경우, 이 정의는 보안 체킹 기능(100)에 의해 사용된다(단계 108). 그런 다음, 기능(100)은 각각의 가능한 "수신지" 네트워크 객체(즉, 소스 네트워크로부터의 통신에 대한 각각의 가능한 수신지)를 식별한다(단계 120). 그런 다음, 보안 체킹 프로그램(100)은 이 수신지 네트워크 객체가 도 2에서 설명된 바와 같이 규정된 네트워크 유형을 갖는지를 결정한다(결정 단계 124). 그렇지 않은 경우, 이 수신지 네트워크 객체는 네트워크 객체 데이터구조 내에서 "미지"로서 기입된다(단계 126). 그러한 경우, 이 정의는 보안 체킹 기능(100)에 의해 사 용된다(단계 128).
소스 네트워크 객체 및 수신지 네트워크 객체의 모든 가능한 조합에 대해, 보안 체킹 기능(100)은 기능(68)에 의해 생성된 네트워크 정의에 기초하여 후속하는 것을 수행한다. 보안 체킹 기능(100)은 소스 네트워크 객체 유형 및 수신지 네트워크 객체 유형이 도 2에서 설명한 바와 같이 규정되어 있는지를 결정한다(결정 단계(142)). 소스 또는 수신지 네트워크가 유효 정의된 유형을 가지고 있지 않은 경우, 이것은 테이블(71)에서 에러로서 기록된다.(단계 143). 테이블은 소스 네트워크 및 제각기의 수신지 네트워크의 각 조합에 대한 엔트리 세트를 갖는다. 결정 단계(142)를 다시 참조하면, 정의 내의 양 네트워크가 정의된 경우, 보안 체킹 기능(100)은 조합의 각 네트워크가 이 조합의 다른 네트워크와의 임의의 통신이 허용되는지, 즉 두 유형의 네트워크가 호환이 되는지를 결정한다(단계 144). 그렇지 않은 경우, 에러가 테이블 내에 기록되고(단계 145) 보안 체킹 기능은 단계(120)로 되돌아간다. 그러한 경우, 보안 체킹 기능(100)은 TCP가 각 조합 내의 각각의 소스 네트워크 및 제각기의 수신지 네트워크에 대한 지원 IP 프로토콜로서 정의되는지를 체크한다(단계 147). 방화벽이 이 소스/수신지 네트워크 조합에 대해 정의된 임의의 TCP 흐름을 가지고 있지 않은 경우, 기능(100)은 결정단계(180)로 이동한다. TCP 흐름이 정의되어 있는 경우, 기능(100)은 소스 네트워크 및 제각기의 수신지 네트워크 유형 모두가 TCP의 사용을 허용하는지를 결정한다(결정 단계148). 그렇지 않은 경우, 소스 네트워크 및 수신지 네트워크의 이러한 조합에 대한 테이블에 에러가 기록된다(단계 150). 그러한 경우, 기능(100)은 허용된 TCP 포트에 대한 소스 네트워크 및 수신지 네트워크 모두의 보안 정책을 체크하여(단계 152) TCP 소스 포트가 양 정책과 일치하는지를 결정한다(결정 단계(154)). 그렇지 않은 경우, 기능(100)은 테이블 내에 에러를 기록한다(단계 160). 그러한 경우, 기능(100)은 단계(152)로 되돌아가 현재의 소스 및 수신지 네트워크 흐름에서 다음 TCP 포트를 분석한다.
TCP 소스 포트의 컴플라이언스에 대해 모든 TCP 조합이 분석된 후, 기능(100)은 TCP 수신 포트에 대해 유사한 체크를 수행한다. 따라서, 기능(100)은 TCP 수신지 포트에 대한 각 조합의 소스 네트워크 객체 및 제각기의 수신지 네트워크 객체 모두의 보안 정책을 체크하여(단계 170) TCP 수신지 포트가 그 정책에 일치하는지를 결정한다(결정 단계(172)). 그렇지 않은 경우, 기능(100)은 테이블에 에러를 기록한다(단계 176). 그러한 경우, 기능(100)은 단계(170)로 되돌아가 소스 네트워크 및 수신지 네트워크의 현재의 조합에서 다음 TCP 수신지 포트를 분석한다.
소스 네트워크 및 수신지 네트워크의 현재의 조합에 대한 TCP 포트가 이러한 방식으로 분석된 후, 기능(100)은 현재의 소스 네트워크 객체 및 수신지 네트워크 객체에 대한 방화벽 또는 라우터 구성에 UDP 흐름이 구성되었는지 체크한다(단계 180). 방화벽이 이 소스 및 수신지 네트워크 조합에 대해 정의된 임의의 UDP 흐름을 가지고 있지 않은 경우, 기능(100)은 UDP 흐름이 각 조합의 각각의 소스 네트워크 및 수신지 네트워크에 의해 허용되는지를 결정한다(결정 단계(184)). 그렇지 않은 경우, 기능(100)은 테이블에 에러를 기록하고(단계 186) 계속해서 결정 단계(210)로 진행한다. UDP 흐름이 허용된 경우, 기능(100)은 각 UDP 소스 포트에 대 한 소스 네트워크 및 수신지 네트워크 모두에 관한 보안 정책을 체크하여(단계 188) 이 UDP 소스 포트가 그 정책에 일치하는지를 결정한다(결정 단계(190)). 그렇지 않은 경우, 기능(100)은 테이블에 에러를 기록하고(단계 192) 단계(188)로 되돌아가 현재의 소스 및 수신지 네트워크 조합의 다음 UDP 소스 포트를 분석한다. 그러한 경우, 기능(100)은 단계(188)로 되돌아가 소스 네트워크 및 수신지 네트워크의 현재의 조합에서의 다음 UDP 소스 포트를 분석한다.
UDP 소스 포트의 컴플라이언스에 대해 모든 조합이 분석된 후, 기능(100)은 UDP 수신 포트에 대해 유사한 체크를 수행한다. 기능(100)은 각 UDP 수신지 포트에 대한 소스 네트워크 객체 및 수신지 네트워크 객체 모두의 보안 정책을 체크하여(단계 202) 현재의 소스 네트워크 및 수신지 네트워크에 대한 UDP 수신지 포트가 그 정책에 일치하는지를 결정한다(결정 단계(204)). 그렇지 않은 경우, 기능(100)은 테이블에 에러를 기록한다(단계 176). 그러한 경우, 기능(100)은 단계(170)로 되돌아가 소스 네트워크 및 수신지 네트워크의 현재의 조합에서 다음 TCP 수신지 포트를 분석한다. 그렇지 않은 경우, 기능(100)은 테이블에 에러를 기록하고(단계 206) 그런 다음 단계(202)로 되돌아가 현재의 소스 네트워크 및 수신지 네트워크 조합에 대한 다음 UDP 수신지 포트를 분석한다. 그러한 경우, 기능(100)은 단계(202)로 되돌아가 현재의 소스 네트워크 및 수신지 네워트워크 조합에 대한 다음의 UDP 수신지 포트를 분석한다.
모든 현재 소스 네트워크/수신지 네트워크 조합의 UDP 수신지 포트가 제각기의 조합 내의 양 네트워크의 보안 정책과의 컴플라이언스에 대해 분석된 후, 기능 (100)은 라우터 또는 방화벽이 현재의 소스 네트워크 객체 및 수신지 네트워크 객체 조합에 대해 정의된 ICMP 흐름을 갖고 있는 체크한다(결정 단계(210)). 라우터 또는 방화벽이 구성된 임의의 ICMP 흐름을 가지고 있지 않은 경우, 기능(100)은 결정 단계(240)로 이동한다. ICMP 흐름이 정의되어 있는 경우, 기능(100)은 이 ICMP 흐름이 현재의 조합의 소스 네트워크 객체 및 수신지 네트워크 객체에 대해 허용되는지를 결정한다(결정 단계(214)). 그렇지 않은 경우, 기능(100)은 이 제각기의 조합에 대한 테이블에 에러를 기록한다(단계 216). ICMP 흐름이 정의되어 있는 경우, 기능(100)은 현재의 조합의 소스 네트워크 및 수신지 네트워크에 대한 ICMP 유형을 체크하고(단계 218) 그런 다음 현재의 조합의 소스 네트워크 및 수신지 네트워크에 대한 IMCP 코드를 체크하여(단계 220) 그들이 현재의 조합의 소스 노드 및 수신지 노드의 보안 정책과 일치하는지를 결정한다(결정 단계(230)). 그렇지 않은 경우, 기능(100)은 테이블에 에러를 기록하고(단계 232), 단계(220)로 되돌아가 다음 코드를 분석한다. 각 유형마다 모든 코드가 체크되는 경우, 그것은 되돌아가 다음 코드를 분석한다(단계 218).
다음으로, 기능(100)은 현재의 소스 네트워크 객체 및 제각기의 수신지 네트워크 객체를 체크하여 임의의 다른 IP 프로토콜이 정의되어 있는지를 결정한다(결정 단계(240)). 다른 IP 프로토콜이 정의되어 있지 않으면, 기능(100)은 되돌아가 다음 수신지 네트워크를 분석한다(단계 120). 다른 IP 프로토콜이 구성되어 있는 경우, 기능(100)은 정책이 현재의 소스 네트워크 및 수신지 네트워크에 대한 또 다른 이러한 정의된 IP 프로토콜을 허용하는지를 결정한다(결정 단계(242)). 그렇지 않은 경우, 기능(100)은 테이블에 에러를 기록하고(단계 244) 되돌아가 다음 수신지 네트워크를 분석한다(단계 120). 보안 정책이 소스 네트워크 및 수신지 네트워크의 현재의 조합에 대해 다른 IP 프로토콜을 허용하는 경우(단계 246), 기능(100)은 다른 정의된 IP 프로토콜 중 하나가 현재의 소스 네트워크 및 수신지 네트워크 조합의 정책에 의해 허용되는지를 결정한다(단계 248). 다른 IP 프로토콜이 허용되지 않는 경우, 기능(100)은 테이블에 에러를 기록하고(단계 250) 그런 다음 단계(246)로 되돌아간다.
다음으로, 기능(100)은 단계(120)로 되돌아가 다음 수신지 네트워크에 대한 모든 후속하는 단계를 반복한다. 모든 수신지 네트워크가 분석된 경우, 기능(100)은 단계(102)로 되돌아가 다음 소스 네트워크를 분석하여, 기능 내의 모든 후속하는 단계를 반복한다.
도 3(a 및 b)에 도시되어 있는 앞서 설명한 모든 단계가 수행된 후, 소스 네트워크 객체와 수신지 네트워크 객체 및 IP 프로토콜(부가적인 기준을 포함함)의 각 조합에 대한 테이블 내의 에러 부재는 이러한 통신에 대한 인증을 나타낸다. 네트워크 객체 데이터 구조는 네트워크 정의 파일에 저장된다(단계 300). 그런 다음, 테이블(71)은 각 네트워크에서의 시스템 관리자에 전송되어(단계 301) 그에 따라 그 또는 그녀의 네트워크에서 방화벽 또는 라우터를 업데이트한다(단계 302). 테이블 내의 에러는 각 네트워크에서 디스플레이될 수 있고 따라서 네트워크에서의 중앙 시스템 관리자는 필요로 하는 경우 보안 정책, IP 구성 또는 네트워크의 유형을 교정 또는 변경할 수 있다. 임의의 이러한 변경이 이루어지는 경우, 그들은 네 트워크(11)의 시스템 관리자에 전달되어 보안 체킹 프로그램(70)을 다시 실행한다.
앞선 설명에 기초하여, 네트워크의 보안 정책과의 컴플라이언스를 자동으로 체킹하는 시스템 및 방법을 설명하였다. 그러나, 본 발명의 범주를 벗어나지 않고서 다양한 수정 및 대체가 이루어질 수 있다. 예를 들어, 소스 및 수신지 네트워크 분석에 대한 모든 정의된 네트워크를 루핑하기 보다는, 정의된 소스 네트워크만을 분석하고 그런 다음 각 구성된 데이터 흐름에 대해 구성된 수신지 네트워크만을 분석하는 몇몇 상황을 받아들일 수 있다. 따라서, 본 발명은 제한적이 아닌 예시적으로 설명되었으며, 본 발명의 범주를 결정하는 후속하는 청구항을 참조해야 한다.

Claims (9)

  1. 다수의 네트워크가 인증되어 서로 통신을 하는지와 상기 네트워크들 중 두 개로 이루어진 각 조합 간의 통신을 위해 어떤 IP 프로토콜이 사용되는지를 결정하는 방법에 있어서,
    각 네트워크마다, 컴퓨터 판독가능 데이터 베이스 내에 (a) 상기 각 네트워크에 사용되도록 허용되는 IP 프로토콜(들) 및 (b) 상기 각 네트워크와의 통신이 허용된 다른 네트워크의 유형을 저장하는 단계와,
    상기 각 네트워크마다, 컴퓨터 판독가능 데이터 베이스 내에 상기 각 네트워크에 대한 제각기의 방화벽 또는 라우터에 의해 허용되는 IP 프로토콜 및 수신지 및 소스 네트워크의 레코드를 저장하는 단계와,
    상기 각 네트워크마다, 컴퓨터 판독가능 데이터 베이스 내에 상기 각 네트워크의 유형의 레코드를 저장하는 단계와,
    각각의 조합이 소스 네트워크 및 수신지 네트워크를 포함하는 상기 네트워크의 다수의 조합을 자동으로 식별하는 단계와,
    상기 각각의 조합마다, 상기 레코드에 기초하여, 상기 각 조합 내의 상기 각 네트워크가 상기 조합 내의 다른 네트워크와 통신이 허용되는지와 상기 각 조합 내의 상기 양 네트워크에 대해 어떤 IP 프로토콜이 공통적인지를 자동으로 결정하는 단계
    를 포함하는 방법.
  2. 제 1 항에 있어서,
    IP 프로토콜과 수신지 및 소스 네트워크의 레코드를 저장하는 상기 단계는 IP 프로토콜과 수신지 어드레스 및 소스 어드레스의 레코드를 저장하는 단계를 포함하고, 각 네트워크 유형의 레코드를 저장하는 상기 단계는 상기 수신지 어드레스를 제각기의 네트워크 유형과 상관시키고 상기 소스 어드레스를 제각기의 네트워크 유형과 상관시키는 테이블을 저장하는 단계를 포함하는 방법.
  3. 제 1 항에 있어서,
    조합 내의 상기 두 개의 네트워크의 상기 각 네트워크에 사용되도록 허용되는 상기 IP 프로토콜(들)은 TCP 포트를 포함하고, 상기 결정 단계는 상기 두 개의 네트워크에 대한 상기 TCP 포트의 비교를 포함하는 방법.
  4. 제 1 항에 있어서,
    조합 내의 상기 두 개의 네트워크의 상기 각 네트워크에 사용되도록 허용되는 상기 IP 프로토콜(들)은 UDP 포트를 포함하고, 상기 결정 단계는 상기 두 개의 네트워크에 대한 상기 UDP 포트의 비교를 포함하는 방법.
  5. 제 1 항에 있어서,
    조합 내의 상기 두 개의 네트워크의 상기 각 네트워크에 사용되도록 허용되는 상기 IP 프로토콜(들)은 ICMP 코드 및 유형을 포함하고, 상기 결정 단계는 상기 두 개의 네트워크에 대한 상기 ICMP 코드 및 유형의 비교를 포함하는 방법.
  6. 제 1 항에 있어서,
    상기 각 조합 내의 각각의 상기 네트워크가 상기 각 조합 내의 다른 네트워크와 통신이 허용되는지를 자동으로 결정하는 상기 단계는 상기 다른 네트워크의 유형을 상기 각 네트워크와의 통신이 허용된 다른 네트워크의 유형의 레코드와 비교하는 단계를 포함하는 방법.
  7. 다수의 네트워크가 인증되어 서로 통신을 하는지와 상기 네트워크들 중 두 개로 이루어진 각 조합 간의 통신을 위해 어떤 IP 프로토콜이 사용되는지를 결정하는 시스템에 있어서,
    각 네트워크마다, 컴퓨터 판독가능 데이터 베이스 내에 (a) 상기 각 네트워크에 사용되도록 허용되는 IP 프로토콜(들) 및 (b) 상기 각 네트워크와의 통신이 허용된 다른 네트워크의 유형을 저장하는 수단과,
    상기 각 네트워크마다, 컴퓨터 판독가능 데이터 베이스 내에 상기 각 네트워크에 대한 제각기의 방화벽 또는 라우터에 의해 허용되는 IP 프로토콜 및 수신지 및 소스 네트워크의 레코드를 저장하는 수단과,
    상기 각 네트워크마다, 컴퓨터 판독가능 데이터 베이스 내에 상기 각 네트워크의 유형의 레코드를 저장하는 수단과,
    각각의 조합이 소스 네트워크 및 수신지 네트워크를 포함하는 상기 네트워크의 다수의 조합을 자동으로 식별하는 수단과,
    상기 각각의 조합마다, 상기 레코드에 기초하여, 상기 각 조합 내의 상기 각 네트워크가 상기 조합 내의 다른 네트워크와 통신이 허용되는지와 상기 각 조합 내의 상기 양 네트워크에 대해 어떤 IP 프로토콜이 공통적인지를 자동으로 결정하는 수단
    을 포함하는 시스템.
  8. 제 7 항에 있어서,
    IP 프로토콜과 수신지 및 소스 네트워크의 레코드를 저장하는 상기 수단은 IP 프로토콜과 수신지 어드레스 및 소스 어드레스의 레코드를 저장하는 수단을 포함하고, 각 네트워크 유형의 레코드를 저장하는 상기 수단은 상기 수신지 어드레스를 제각기의 네트워크 유형과 상관시키고 상기 소스 어드레스를 제각기의 네트워크 유형과 상관시키는 테이블을 저장하는 수단을 포함하는 시스템.
  9. 컴퓨터 상에서 실행되는 경우 청구항 1 내지 6항의 방법을 수행하는 소프트웨어 코드 부분을 포함하는, 디지털 컴퓨터의 내부 메모리에 로딩가능한 컴퓨터 프로그램 제품.
KR1020057021858A 2003-06-17 2004-05-28 보안 정책 관리 시스템 KR100843537B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/464,006 2003-06-17
US10/464,006 US7318097B2 (en) 2003-06-17 2003-06-17 Security checking program for communication between networks

Publications (2)

Publication Number Publication Date
KR20060028390A true KR20060028390A (ko) 2006-03-29
KR100843537B1 KR100843537B1 (ko) 2008-07-04

Family

ID=33517190

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020057021858A KR100843537B1 (ko) 2003-06-17 2004-05-28 보안 정책 관리 시스템

Country Status (11)

Country Link
US (2) US7318097B2 (ko)
EP (1) EP1639781B1 (ko)
JP (1) JP4493654B2 (ko)
KR (1) KR100843537B1 (ko)
CN (1) CN100591072C (ko)
AT (1) ATE423422T1 (ko)
CA (1) CA2525343C (ko)
DE (1) DE602004019529D1 (ko)
IL (1) IL172516A0 (ko)
TW (1) TWI323116B (ko)
WO (1) WO2004114622A1 (ko)

Families Citing this family (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8543710B2 (en) * 2004-03-10 2013-09-24 Rpx Corporation Method and system for controlling network access
US8250229B2 (en) * 2005-09-29 2012-08-21 International Business Machines Corporation Internet protocol security (IPSEC) packet processing for multiple clients sharing a single network address
GB2433180B (en) * 2005-12-09 2008-01-30 Oracle Int Corp Communications method
US8472966B2 (en) * 2005-12-30 2013-06-25 Telecom Italia S.P.A. Method of operating a wireless communications network, and wireless communications network implementing the method
US8024787B2 (en) * 2006-05-02 2011-09-20 Cisco Technology, Inc. Packet firewalls of particular use in packet switching devices
JP4333736B2 (ja) * 2006-12-19 2009-09-16 村田機械株式会社 中継サーバおよびクライアント端末
US8340090B1 (en) 2007-03-08 2012-12-25 Cisco Technology, Inc. Interconnecting forwarding contexts using u-turn ports
US8291483B2 (en) * 2007-04-30 2012-10-16 Hewlett-Packard Development Company, L.P. Remote network device with security policy failsafe
US7856522B2 (en) 2007-05-16 2010-12-21 Oracle International Corporation Flash-aware storage optimized for mobile and embedded DBMS on NAND flash memory
FR2924552B1 (fr) * 2007-11-30 2009-11-20 Thales Sa Procede de securisation d'un canal bidirectionnel de communication et dispositif de mise en oeuvre du procede
US8539545B2 (en) * 2010-07-22 2013-09-17 Juniper Networks, Inc. Domain-based security policies
US8560833B2 (en) * 2010-10-29 2013-10-15 Aruba Networks, Inc. Automatic secure client access
US9544293B2 (en) 2013-09-20 2017-01-10 Oracle International Corporation Global unified session identifier across multiple data centers
TWI509456B (zh) * 2014-03-31 2015-11-21 Ibm 電腦裝置以及與電腦裝置通訊連結的安全性管理裝置
US10560975B2 (en) 2014-04-16 2020-02-11 Belkin International, Inc. Discovery of connected devices to determine control capabilities and meta-information
US10158536B2 (en) * 2014-05-01 2018-12-18 Belkin International Inc. Systems and methods for interaction with an IoT device
US10314088B2 (en) 2014-04-16 2019-06-04 Belkin International, Inc. Associating devices and users with a local area network using network identifiers
US9769147B2 (en) 2015-06-29 2017-09-19 Oracle International Corporation Session activity tracking for session adoption across multiple data centers
US10693859B2 (en) 2015-07-30 2020-06-23 Oracle International Corporation Restricting access for a single sign-on (SSO) session
US10505982B2 (en) 2015-10-23 2019-12-10 Oracle International Corporation Managing security agents in a distributed environment
KR101764135B1 (ko) 2016-04-07 2017-08-14 채령 Cctv 감시카메라 내부망을 이용한 자치단체 무선자가통신망 시스템 및 구축 방법
US10623501B2 (en) 2016-09-15 2020-04-14 Oracle International Corporation Techniques for configuring sessions across clients
CN106506491B (zh) * 2016-11-04 2019-08-09 江苏科技大学 网络安全系统
JP2018133721A (ja) 2017-02-16 2018-08-23 クラリオン株式会社 車載ゲートウェイ装置、通信遮断方法
US11050730B2 (en) 2017-09-27 2021-06-29 Oracle International Corporation Maintaining session stickiness across authentication and authorization channels for access management
US11134078B2 (en) 2019-07-10 2021-09-28 Oracle International Corporation User-specific session timeouts

Family Cites Families (43)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5142622A (en) * 1989-01-31 1992-08-25 International Business Machines Corporation System for interconnecting applications across different networks of data processing systems by mapping protocols across different network domains
JP2571655B2 (ja) * 1991-11-27 1997-01-16 インターナショナル・ビジネス・マシーンズ・コーポレイション プロトコル変換機構、交換ネットワーク及びコンピュータ・システム
JP3072933B2 (ja) 1992-02-21 2000-08-07 松下電器産業株式会社 ブリッジ装置及びネットワーク構築方法
IT1259603B (it) 1992-07-02 1996-03-20 Appel Elettronica Srl Sistema integrato di controllo e di trasmissione di informazioni per la gestione di una pluralita' di sottosistemi periferici, in particolare per applicazioni di building automation e simili.
US5280477A (en) * 1992-08-17 1994-01-18 E-Systems, Inc. Network synchronous data distribution system
US6205216B1 (en) 1994-07-29 2001-03-20 British Telecommunications Public Limited Company Apparatus and method for inter-network communication
US5581558A (en) * 1995-03-29 1996-12-03 Lucent Technologies Inc. Apparatus for bridging non-compatible network architectures
US5742602A (en) * 1995-07-12 1998-04-21 Compaq Computer Corporation Adaptive repeater system
US5764887A (en) 1995-12-11 1998-06-09 International Business Machines Corporation System and method for supporting distributed computing mechanisms in a local area network server environment
EP0821505A1 (en) * 1996-07-25 1998-01-28 Hewlett-Packard Company Apparatus providing connectivity between devices attached to different interfaces of the apparatus
US6009247A (en) * 1996-10-29 1999-12-28 International Business Machines Corporation Portable computer network
JP3001440B2 (ja) * 1996-11-25 2000-01-24 日本電気通信システム株式会社 仮想lan方式
US6292900B1 (en) * 1996-12-18 2001-09-18 Sun Microsystems, Inc. Multilevel security attribute passing methods, apparatuses, and computer program products in a stream
US6104716A (en) * 1997-03-28 2000-08-15 International Business Machines Corporation Method and apparatus for lightweight secure communication tunneling over the internet
US6212558B1 (en) * 1997-04-25 2001-04-03 Anand K. Antur Method and apparatus for configuring and managing firewalls and security devices
US6212636B1 (en) * 1997-05-01 2001-04-03 Itt Manufacturing Enterprises Method for establishing trust in a computer network via association
US6058434A (en) * 1997-11-26 2000-05-02 Acuity Imaging, Llc Apparent network interface for and between embedded and host processors
US6272551B1 (en) * 1998-04-08 2001-08-07 Intel Corporation Network adapter for transmitting network packets between a host device and a power line network
JP3736173B2 (ja) * 1998-05-19 2006-01-18 株式会社日立製作所 ネットワーク管理システム
US7143151B1 (en) * 1998-05-19 2006-11-28 Hitachi, Ltd. Network management system for generating setup information for a plurality of devices based on common meta-level information
US6219706B1 (en) * 1998-10-16 2001-04-17 Cisco Technology, Inc. Access control for networks
US6389029B1 (en) 1998-11-10 2002-05-14 Nortel Networks Limited Local area network incorporating universal serial bus protocol
US6243581B1 (en) * 1998-12-11 2001-06-05 Nortel Networks Limited Method and system for seamless roaming between wireless communication networks with a mobile terminal
US6453360B1 (en) * 1999-03-01 2002-09-17 Sun Microsystems, Inc. High performance network interface
FR2802667B1 (fr) * 1999-12-21 2002-01-25 Bull Sa Procede et dispositif de configuration de pare-feu dans un systeme informatique
AU2001238636A1 (en) * 2000-02-22 2001-09-03 I2 Technologies, Inc. Electronic marketplace providing service parts inventory planning and management
TW530506B (en) 2000-07-14 2003-05-01 Mitac Technology Corp Method for achieving remote web input security control using caller ID and apparatus therefor
US7075919B1 (en) * 2000-08-22 2006-07-11 Cisco Technology, Inc. System and method for providing integrated voice, video and data to customer premises over a single network
JP3776705B2 (ja) * 2000-09-28 2006-05-17 株式会社東芝 通信システム、移動端末装置、ゲートウェイ装置及び通信制御方法
US7155518B2 (en) * 2001-01-08 2006-12-26 Interactive People Unplugged Ab Extranet workgroup formation across multiple mobile virtual private networks
US7099675B2 (en) * 2001-02-23 2006-08-29 Telefonaktiebolaget Lm Ericsson (Publ) Location update procedure when roaming from a first communication service domain to a second communications service domain
US20020138596A1 (en) 2001-03-09 2002-09-26 Matthew Darwin Method to proxy IP services
JP3874628B2 (ja) 2001-05-17 2007-01-31 富士通株式会社 パケット転送装置、半導体装置
US20030051163A1 (en) * 2001-09-13 2003-03-13 Olivier Bidaud Distributed network architecture security system
US20030065942A1 (en) * 2001-09-28 2003-04-03 Lineman David J. Method and apparatus for actively managing security policies for users and computers in a network
US20030067874A1 (en) * 2001-10-10 2003-04-10 See Michael B. Central policy based traffic management
US8370936B2 (en) * 2002-02-08 2013-02-05 Juniper Networks, Inc. Multi-method gateway-based network security systems and methods
WO2004025460A2 (en) * 2002-09-13 2004-03-25 Richard Reiner Screening for illegitimate requests to a computer application
US20040162992A1 (en) * 2003-02-19 2004-08-19 Sami Vikash Krishna Internet privacy protection device
US20040260818A1 (en) * 2003-06-23 2004-12-23 Valois Denis Gabriel Network security verification system and method
US7574603B2 (en) * 2003-11-14 2009-08-11 Microsoft Corporation Method of negotiating security parameters and authenticating users interconnected to a network
US8561154B2 (en) * 2003-12-22 2013-10-15 International Business Machines Corporation Method for providing network perimeter security assessment
CN1671240A (zh) * 2004-03-19 2005-09-21 华为技术有限公司 一种实现移动网络接入限制的方法

Also Published As

Publication number Publication date
CN1717912A (zh) 2006-01-04
DE602004019529D1 (de) 2009-04-02
TWI323116B (en) 2010-04-01
EP1639781A1 (en) 2006-03-29
JP2006527939A (ja) 2006-12-07
WO2004114622A1 (en) 2004-12-29
US20070266158A1 (en) 2007-11-15
CA2525343C (en) 2010-10-05
TW200509639A (en) 2005-03-01
JP4493654B2 (ja) 2010-06-30
US7318097B2 (en) 2008-01-08
IL172516A0 (en) 2006-04-10
ATE423422T1 (de) 2009-03-15
CA2525343A1 (en) 2004-12-29
CN100591072C (zh) 2010-02-17
EP1639781B1 (en) 2009-02-18
US7882229B2 (en) 2011-02-01
KR100843537B1 (ko) 2008-07-04
US20040260810A1 (en) 2004-12-23

Similar Documents

Publication Publication Date Title
KR100843537B1 (ko) 보안 정책 관리 시스템
US7406534B2 (en) Firewall configuration validation
US6219786B1 (en) Method and system for monitoring and controlling network access
US8701177B2 (en) Method and apparatus for graphical presentation of firewall security policy
US9203808B2 (en) Method and system for management of security rule set
US7533409B2 (en) Methods and systems for firewalling virtual private networks
US10015140B2 (en) Identifying additional firewall rules that may be needed
US9313175B2 (en) Method and system for mapping between connectivity requests and a security rule set
US20030014644A1 (en) Method and system for security policy management
US9386048B2 (en) Method of managing connectivity between resources in a computer network and system thereof
US20090300748A1 (en) Rule combination in a firewall
US20020103878A1 (en) System for automated configuration of access to the internet
CN110392127B (zh) 网络地址空间识别方法及装置
Cisco Understanding the Network Topology Tree
Cisco Understanding the Network Topology Tree
Cisco Configuring Sensor Nodes
Cisco Populating the Network Topology Tree
Saadaoui et al. Automated and optimized fdd-based method to fix firewall misconfigurations
Alsmadi et al. Network Forensics: Lesson Plans

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120525

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20130524

Year of fee payment: 6

LAPS Lapse due to unpaid annual fee