KR20090006164A - 방화벽 서비스들을 구성하기 위한 방법, 구성가능한 방화벽보호를 위해 구성된 복수의 장치들을 갖는 네트워크, 및 다른 전자 장치에 방화벽 서비스들을 제공하도록 배치되고 구성된 컴퓨터 - Google Patents

방화벽 서비스들을 구성하기 위한 방법, 구성가능한 방화벽보호를 위해 구성된 복수의 장치들을 갖는 네트워크, 및 다른 전자 장치에 방화벽 서비스들을 제공하도록 배치되고 구성된 컴퓨터 Download PDF

Info

Publication number
KR20090006164A
KR20090006164A KR1020087026936A KR20087026936A KR20090006164A KR 20090006164 A KR20090006164 A KR 20090006164A KR 1020087026936 A KR1020087026936 A KR 1020087026936A KR 20087026936 A KR20087026936 A KR 20087026936A KR 20090006164 A KR20090006164 A KR 20090006164A
Authority
KR
South Korea
Prior art keywords
firewall
network
service
computer
services
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Abandoned
Application number
KR1020087026936A
Other languages
English (en)
Inventor
데이비드 에이. 로버츠
Original Assignee
마이크로소프트 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 마이크로소프트 코포레이션 filed Critical 마이크로소프트 코포레이션
Publication of KR20090006164A publication Critical patent/KR20090006164A/ko
Abandoned legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • H04L63/0218Distributed architectures, e.g. distributed firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Drying Of Semiconductors (AREA)

Abstract

향상된 선택도(selectivity)를 가진 구조 물질의 존재하에서 타깃 물질을 에칭하기 위한 방법은 증기 에천트 및 코에천트(vapor phase etchant and co-ethchant)를 사용한다. 본 방법의 실시예들은 코에천트를 사용하지 않는 유사한 에칭 프로세스와 비교하여 적어도 2배 내지 적어도 100배의 향상된 선택도를 나타낸다. 몇몇 실시예에서, 타깃 물질은 증기 에천트로 에칭가능한 금속을 포함한다. 본 방법의 실시예들은 특히 MEMS장치들, 예를 들어, 간섭계 변조기(interferometric modulator)의 제조에 유용하다. 몇몇 실시예에서, 타깃 물질은 증기 에천트로 에칭가능한 금속을 포함하고, 예를 들어, 몰리브덴 및 구조 물질은, 예를 들어, 이산화규소와 같은 유전체를 포함한다.
방화벽 서비스, 방화벽 기능, 요구사항, 네트워크

Description

방화벽 서비스들을 구성하기 위한 방법, 구성가능한 방화벽 보호를 위해 구성된 복수의 장치들을 갖는 네트워크, 및 다른 전자 장치에 방화벽 서비스들을 제공하도록 배치되고 구성된 컴퓨터{DISTRIBUTED FIREWALL IMPLEMENTATION AND CONTROL}
네트워크에 연결된 컴퓨터는 그 네트워크의 다른 컴퓨터들로부터의 공격에 대해 취약하다. 네트워크가 인터넷인 경우, 공격은 컴퓨터에 대한 액세스를 얻거나, "좀비" 코드("zombie" code)를 설치하거나, 서비스 거부 공격(denial of service attack)을 하려는 악의적인 시도들로 인한 일련의 동작들을 포함할 수 있다. 컴퓨터에 대한 액세스를 얻으려는 악의적인 시도는 개인 데이터를 발견하려는 의도를 가질 수 있고, 한편 좀비 코드는 다수의 컴퓨터로부터의 고 트래픽양(high traffic volume)으로 웹 사이트를 압도함으로써(overwhelm) 서비스 거부 공격을 개시하는 데 사용될 수 있다. 공격자들은 조직적인 범죄자들, 노련하지만 악의적인 컴퓨터 전문가, 및 알려진 취약성에 대한 게시된 비난(assault)을 읽고 따라하는 "스크립트 키디(script kiddies)"를 포함할 수 있다.
대부분의 컴퓨터는 데이터를 송신하고 수신하기 위한 어드레스 가능한(addressable) 포트를 갖는다. 포트들 중 일부는 특정한 종류의 트래픽용으로 지정된 것일 수 있다. 예를 들어, 인터넷 프로토콜(IP) 네트워크에서, 포트 80은 종종 하이퍼텍스트 프로토콜(http) 트래픽용으로 지정되고, 한편 포트 443은 종종 보안(secure) http(https) 트래픽용으로 지정된다. 다른 포트들은 다른 서비스들에 대한 필요에 따라 지정될 수 있다. 이러한 지정된 포트에서의 비지정된 트래픽(non-designated traffic) 및 사용되지 않는 포트 상의 임의의 트래픽은 컴퓨터에 대한 액세스를 얻으려는 공격자들의 시도를 나타낼 수 있다.
방화벽은 포트 트래픽을 특정 프로토콜로 제한하고 사용되지 않는 포트들을 모든 외부 트래픽으로부터 차단하는 데 사용될 수 있다. 방화벽은 보호를 얻으려고 하는 컴퓨터들 사이의 네트워크 및 인터넷과 같은 "오픈(open)" 네트워크에 위치할 수 있고, 또는 컴퓨터에 통합될 수 있다(integral to the computer). 회사 또는 기타 대규모 사설 네트워크에서, 방화벽은 사업 단위들(business units) 사이의 트래픽을 제한하는 데 사용될 수도 있다. 방화벽은 지정된 포트에서 잘못된 프로토콜을 갖는 트래픽을 막을 수 있고, 예를 들어, 포트 80에서 파일 전송 프로토콜(FTP)이 차단될 수 있다. 마찬가지로, 방화벽은 사용되지 않는 포트 상의 모든 트래픽을 차단할 수 있다. 방화벽의 하드웨어 및 소프트웨어 구현 모두 사용가능하다.
<발명의 요약>
다양한 전자 장치들이 있는 근거리 통신망과 같은 네트워크는 방화벽 서비스를 제공하는 것이 가능한 장치들의 제1 그룹뿐 아니라, 방화벽 기능이 제한되어 있거나 또는 방화벽 기능이 없는 장치들의 제2 그룹을 포함할 수 있다. 이러한 기능을 갖는 이들 장치들의 방화벽 서비스 기능을 게시(publish)하거나 방화벽 서비스 를 필요로 하는 장치들의 방화벽 요구사항들을 게시함으로써, 또는 이 둘 모두를 통해, 네트워크는 제1 그룹이 제2 그룹의 장치들에게 방화벽 서비스를 제공할 수 있도록 구성될 수 있다.
이러한 분산된 방화벽 서비스를 지원하기 위해, 장치는 방화벽 서비스를 제공하기 위한 자신의 관심(interest)/능력(ability)을 알리는 기능을 필요로 할 수 있다. 또한, 또 다른 장치는 방화벽 서비스에 대한 자신의 요구를 게시하기 위한 기능을 필요로 할 수 있다. 파 롤 서비스(far roll service)가 렌더링되도록 데이터 트래픽을 재라우팅(reroute)하기 위해 네트워크 라우팅 변경이 이루어질 필요가 있을 수 있고, 기능(capability)을 필요(need)와 매칭하고 데이터 트래픽 재라우팅을 지시하기 위해 관리자 기능(manager function)이 필요할 수 있다. 또한, 관리자 기능은 필요를 게시하지 않은 장치들에 대해, 또는 게시된 기능이 다른 시스템-레벨 최소 요구사항을 만족시키지 못하는 장치들에 대해 방화벽 서비스의 최소 레벨에 대한 규칙들을 실시(enforce)할 수 있다. 관리자 기능은, 라우터에서와 같이, 네트워크의 다른 장치들에 대해 독립적일 수 있고, 또는 방화벽 서비스들을 제공하거나 사용하는 장치들 중 하나에 통합될 수 있다.
도 1은 분산된 방화벽 환경을 지원하는 네트워크에서의 사용에 적합한 컴퓨터에 대한 블록도이다.
도 2는 분산된 방화벽 구현을 지원할 수 있는 컴퓨터 네트워크의 블록도이다.
도 3은 분산된 방화벽 구현의 일 실시예에 대한 논리적 도면(logical view)이다.
도 4는 도 3의 분산된 방화벽 구현의 실시예에 대한 또 다른 논리적 도면이다.
도 5는 분산된 방화벽 구현의 또 다른 실시예를 나타내는 컴퓨터 네트워크의 블록도이다.
도 6은 도 5의 실시예에 대한 논리적 도면이다.
도 7은 분산된 방화벽 구현의 또 다른 실시예에 대한 도면이다.
도 8은 분산된 방화벽 구현에 참여하기에 적합한 컴퓨터에 대한 전형적인(representative) 블록도이다.
도 9는 분산된 방화벽 구현에 참여하기에 적합한 또 다른 컴퓨터에 대한 전형적인 블록도이다.
이하에서는 다수의 상이한 실시예에 대한 상세한 설명을 개시하지만, 이러한 설명의 법률적 범위는 본 명세서의 끝 부분에 개시되는 특허청구범위의 용어들에 의해 제한된다는 점이 이해되어야 한다. 상세한 설명은 단지 예시적인 것으로 고려되어야 하고, 모든 가능한 실시예들을 설명하는 것은 아니며, 이는 비록 불가능하지 않더라도 모든 가능한 실시예들을 설명한다는 것은 실용적이지 않기 때문이다. 현재의 기술 또는 본 특허의 출원일 이후에 개발된 기술들을 사용하여 다수의 대안적인 실시예들이 구현될 수 있지만, 이러한 것들도 역시 본 발명의 특허청 구범위의 범위에 포함되는 것이다.
"본 명세서에서 사용될 때, 용어 '____'는 ...을 의미하도록 여기에서 정의된다"라는 문장 또는 이와 유사한 문장을 사용하여 본 명세서에서 명시적으로 정의되지 않는 한, 이러한 용어는 명시적으로든 또는 암시적으로든, 그것의 일반적인 의미 또는 보통의 의미 이상으로, 그 용어의 의미를 제한하려는 의도는 아니며, 이러한 용어가 본 명세서의 임의의 섹션에 있는 임의의 문장(청구항의 언어가 아니라)에 기초하여 범위가 제한되도록 해석되어서는 안 된다는 것 또한 이해할 것이다. 본 명세서의 끝 부분에 있는 청구범위에 언급된 임의의 용어가 단일 의미로 일관된 방식으로 본 명세서에서 지칭되는 점에서, 이는 단지 독자들을 혼동시키지 않도록 단순 명료하게 기술한 것으로, 이러한 청구범위의 용어가 암시적으로든 또는 다르게든, 그 단일 의미로 제한되는 것은 아니다. 마지막으로, 임의의 구조의 언급 없이 "수단"이라는 단어와 기능을 언급함으로써 청구항의 구성요소가 정의되지 않는다면, 임의의 청구항의 구성요소의 범위가 35 U.S.C.§112, 6번째 항의 적용에 기초하여 해석되어야 하는 것은 아니다.
다수의 진보성이 있는 기능성 및 원리들은 소프트웨어 프로그램들 또는 명령어들 및 주문형 집적 회로와 같은 집적 회로와 함께, 또는 이들에 의해 가장 잘 구현된다. 당업자라면, 예를 들어, 사용가능한 시간, 현재 기술 및 경제적인 고려들에 의해 동기부여가 되는 상당한 노력 및 많은 설계 선택 사항들에도 불구하고, 본 명세서에 개시되는 개념들 및 원리들에 도움을 받을 때, 최소한의 실험으로 이러한 소프트웨어 명령어들과 프로그램들 및 IC들을 용이하게 생성할 수 있을 것이다. 따라서, 간결화 및 본 발명에 따른 원리들 및 개념들을 모호하게 하는 임의의 위험성을 최소화하는 관점에서, 이러한 소프트웨어 및 IC들에 대한 더 이상의 논의는 혹시 존재하더라도 바람직한 실시예의 원리들 및 개념들에 대하여 본질적인 것들로 제한될 것이다.
도 1은 분산된 방화벽 시스템에 관여할 수 있는 컴퓨팅 장치를 컴퓨터(110)의 형태로 도시한다. 컴퓨터(110)의 컴포넌트들은 처리 장치(120), 시스템 메모리(130), 및 시스템 메모리를 비롯한 각종 시스템 컴포넌트들을 처리 장치(120)에 연결시키는 시스템 버스(121)를 포함하지만 이에 제한되는 것은 아니다. 시스템 버스(121)는 메모리 버스 또는 메모리 컨트롤러, 주변 장치 버스 및 각종 버스 아키텍처 중 임의의 것을 이용하는 로컬 버스를 비롯한 몇몇 유형의 버스 구조 중 어느 것이라도 될 수 있다. 예로서, 이러한 아키텍처는 ISA(industry standard architecture) 버스, MCA(micro channel architecture) 버스, EISA(Enhanced ISA) 버스, VESA(video electronics standards association) 로컬 버스, 그리고 메자닌 버스(mezzanine bus)로도 알려진 PCI(peripheral component interconnect) 버스 등을 포함하지만 이에 제한되는 것은 아니다.
컴퓨터(110)는 통상적으로 각종 컴퓨터 판독가능 매체를 포함한다. 컴퓨터(110)에 의해 액세스 가능한 매체는 그 어떤 것이든지 컴퓨터 판독가능 매체가 될 수 있고, 이러한 컴퓨터 판독가능 매체는 휘발성 및 비휘발성 매체, 이동식 및 비이동식 매체를 포함한다. 예로서, 컴퓨터 판독가능 매체는 컴퓨터 저장 매체 및 통신 매체를 포함하지만 이에 제한되는 것은 아니다. 컴퓨터 저장 매체는 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈 또는 기타 데이터와 같은 정보를 저장하는 임의의 방법 또는 기술로 구현되는 휘발성 및 비휘발성, 이동식 및 비이동식 매체를 포함한다. 컴퓨터 저장 매체는 RAM, ROM, EEPROM, 플래시 메모리 또는 기타 메모리 기술, CD-ROM, DVD(digital versatile disk) 또는 기타 광 디스크 저장 장치, 자기 카세트, 자기 테이프, 자기 디스크 저장 장치 또는 기타 자기 저장 장치, 또는 컴퓨터(110)에 의해 액세스되고 원하는 정보를 저장할 수 있는 임의의 기타 매체를 포함하지만 이에 제한되는 것은 아니다. 통신 매체는 통상적으로 반송파(carrier wave) 또는 기타 전송 메커니즘(transport mechanism)과 같은 피변조 데이터 신호(modulated data signal)에 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈 또는 기타 데이터 등을 구현하고 모든 정보 전달 매체를 포함한다. "피변조 데이터 신호"라는 용어는, 신호 내에 정보를 인코딩하도록 그 신호의 특성들 중 하나 이상을 설정 또는 변경시킨 신호를 의미한다. 예로서, 통신 매체는 유선 네트워크 또는 직접 배선 접속(direct-wired connection)과 같은 유선 매체, 그리고 음향, RF, 적외선, 기타 무선 매체와 같은 무선 매체를 포함한다. 상술된 매체들의 모든 조합이 또한 컴퓨터 판독가능 매체의 영역 안에 포함되는 것으로 한다.
시스템 메모리(130)는 판독 전용 메모리(ROM)(131) 및 랜덤 액세스 메모리(RAM)(132)와 같은 휘발성 및/또는 비휘발성 메모리 형태의 컴퓨터 저장 매체를 포함한다. 시동 중과 같은 때에, 컴퓨터(110) 내의 구성요소들 사이의 정보 전송을 돕는 기본 루틴을 포함하는 기본 입/출력 시스템(BIOS)(133)은 통상적으로 ROM(131)에 저장되어 있다. RAM(132)은 통상적으로 처리 장치(120)가 즉시 액세스 할 수 있고 및/또는 현재 동작시키고 있는 데이터 및/또는 프로그램 모듈을 포함한다. 예로서, 도 1은 운영 체제(134), 애플리케이션 프로그램(135), 기타 프로그램 모듈(136) 및 프로그램 데이터(137)를 도시하고 있지만 이에 제한되는 것은 아니다.
컴퓨터(110)는 또한 기타 이동식/비이동식, 휘발성/비휘발성 컴퓨터 저장매체를 포함한다. 단지 예로서, 도 1은 비이동식·비휘발성 자기 매체에 기록을 하거나 그로부터 판독을 하는 하드 디스크 드라이브(141), 이동식·비휘발성 자기 디스크(152)에 기록을 하거나 그로부터 판독을 하는 자기 디스크 드라이브(151), CD-ROM 또는 기타 광 매체 등의 이동식·비휘발성 광 디스크(156)에 기록을 하거나 그로부터 판독을 하는 광 디스크 드라이브(155)를 포함한다. 예시적인 운영 환경에서 사용될 수 있는 기타 이동식/비이동식, 휘발성/비휘발성 컴퓨터 저장 매체로는 자기 테이프 카세트, 플래시 메모리 카드, DVD, 디지털 비디오 테이프, 고상(solid state) RAM, 고상 ROM 등이 있지만 이에 제한되는 것은 아니다. 하드 디스크 드라이브(141)는 통상적으로 인터페이스(140)와 같은 비이동식 메모리 인터페이스를 통해 시스템 버스(121)에 접속되고, 자기 디스크 드라이브(151) 및 광 디스크 드라이브(155)는 통상적으로 인터페이스(150)와 같은 이동식 메모리 인터페이스에 의해 시스템 버스(121)에 접속된다.
위에서 설명되고 도 1에 도시된 드라이브들 및 이들과 관련된 컴퓨터 저장 매체는, 컴퓨터(110)를 위해, 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모 듈 및 기타 데이터를 저장한다. 도 1에서, 예를 들어, 하드 디스크 드라이브(141)는 운영 체제(144), 애플리케이션 프로그램(145), 기타 프로그램 모듈(146), 및 프로그램 데이터(147)를 저장하는 것으로 도시되어 있다. 여기서 주의할 점은 이들 컴포넌트가 운영 체제(134), 애플리케이션 프로그램(135), 기타 프로그램 모듈(136), 및 프로그램 데이터(137)와 동일하거나 그와 다를 수 있다는 것이다. 운영 체제(144), 애플리케이션 프로그램(145), 기타 프로그램 모듈(146) 및 프로그램 데이터(147)에 다른 번호가 부여되어 있다는 것은 적어도 이들이 다른 사본(copy)이라는 것을 나타내기 위한 것이다. 사용자는 키보드(162), 및 일반적으로 마우스, 트랙볼(trackball) 또는 터치 패드로 불리는 포인팅 장치(161) 등의 입력 장치를 통해 명령 및 정보를 컴퓨터(110)에 입력할 수 있다. 또 다른 입력 장치는 인터넷을 통해 이미지를 전송하기 위한 웹 캠(163)이라 알려진 카메라일 수 있다. 다른 입력 장치(도시되지 않음)로는 마이크, 조이스틱, 게임 패드, 위성 안테나, 스캐너 등을 포함할 수 있다. 이들 및 기타 입력 장치는 종종 시스템 버스에 결합된 사용자 입력 인터페이스(160)를 통해 처리 장치(120)에 접속되지만, 병렬 포트, 게임 포트 또는 USB(universal serial bus) 등의 다른 인터페이스 및 버스 구조에 의해 접속될 수도 있다. 모니터(191) 또는 다른 유형의 디스플레이 장치도 비디오 인터페이스(190) 등의 인터페이스를 통해 시스템 버스(121)에 접속될 수 있다. 모니터 외에, 컴퓨터는 스피커(197) 및 프린터(196) 등의 기타 주변 출력 장치를 포함할 수 있고, 이들은 출력 주변장치 인터페이스(195)를 통해 접속될 수 있다.
컴퓨터(110)는 원격 컴퓨터(180)와 같은 하나 이상의 원격 컴퓨터로의 논리 적 접속을 사용하여 네트워크화된 환경에서 동작할 수 있다. 원격 컴퓨터(180)는 개인용 컴퓨터, 서버, 라우터, 네트워크 PC, 피어 장치 또는 기타 통상의 네트워크 노드일 수 있고, 도 1에는 메모리 저장 장치(181)만이 도시되었지만, 통상적으로 컴퓨터(110)와 관련하여 상술된 구성요소들의 대부분 또는 그 전부를 포함한다. 도 1에 도시된 논리적 접속으로는 LAN(171) 및 WAN(173)이 있지만, 기타 네트워크를 포함할 수도 있다. 이러한 네트워킹 환경은 사무실, 전사적 컴퓨터 네트워크(enterprise-wide computer network), 인트라넷, 및 인터넷에서 일반적인 것이다.
LAN 네트워킹 환경에서 사용될 때, 컴퓨터(110)는 네트워크 인터페이스 또는 어댑터(170)를 통해 LAN(171)에 접속된다. 아래에 더 상세히 설명되는 바와 같이, 네트워크 인터페이스 또는 어댑터(170)는 방화벽 기능을 포함할 수 있다. WAN 네트워킹 환경에서 사용될 때, 컴퓨터(110)는 통상적으로 인터넷과 같은 WAN(173)을 통해 통신을 설정하기 위한 모뎀(172) 또는 기타 수단을 포함한다. 내장형 또는 외장형일 수 있는 모뎀(172)은 사용자 입력 인터페이스(160) 또는 기타 적절한 메커니즘을 통해 시스템 버스(121)에 접속될 수 있다. 네트워크화된 환경에서, 컴퓨터(110) 또는 그의 일부와 관련하여 기술된 프로그램 모듈은 원격 메모리 저장 장치에 저장될 수 있다. 예로서, 도 1은 원격 애플리케이션 프로그램(185)이 메모리 장치(181)에 있는 것으로 도시하고 있지만 이에 제한되는 것은 아니다. 도시된 네트워크 접속은 예시적인 것이며 이 컴퓨터들 사이에 통신 링크를 설정하는 기타 수단이 사용될 수 있다는 것을 이해할 것이다.
도 2는 분산된 방화벽 구현을 지원할 수 있는 컴퓨터 네트워크(200)를 도시한다. 인터넷과 같은 외부 네트워크(external network)(201)는 라우터 또는 인터넷 게이트웨이 장치(IGD)(202)와 같은 네트워크 인터페이스를 통해 컴퓨터 네트워크(200)에 연결될 수 있다. IGD(202)와 네트워크(201) 사이의 연결은 IGD(202)의 업스트림 연결(upstream connection)이라고 부를 수 있다. IGD(202)의 반대편에는 하나 이상의 다운스트림 연결들이 있을 수 있다. 제1 다운스트림 연결(204)은 컴퓨터 네트워크(200)에서 공유되는 프린터(206)에 연결될 수 있지만, 또한 외부 네트워크(201)의 리소스들에도 사용가능할 수 있다. 제2 다운스트림 연결(208)은 먼저 컴퓨터(210)에 연결되고 이어서 컴퓨터(211)에 연결될 수 있다. 이 구성에서, 컴퓨터(210)는 마이크로소프트사의 WindowsTM 운영 체제를 통해 사용가능한 인터넷 연결 공유(Internet connection sharing, ICS)와 같은 설비(facility)를 통한 네트워크 연결(213)을 통해 컴퓨터(211)와의 연결을 공유할 수 있다. IGD(202)로부터의 또 다른 다운스트림 연결(212)은 무선 전송(220)을 통해 스마트폰/PDA(personal digital assistant)와 같은 무선 장치(216) 및 랩톱(218)으로의 네트워크 액세스를 지원하는 무선 액세스 포인트(214)에 연결될 수 있다.
기존의 종래 기술 구현에서, IGD(202)는 또한 방화벽을 포함할 수 있고, IGD(202)의 다운스트림 측에 있는 모든 장치들에 대해 그 기능을 수행할 수 있다. 이는 모든 다운스트림 연결들(204, 208, 212) 및 각 관련된 장치들이 동일한 방화벽 설정들을 갖는 결과를 가져올 수 있다. IGD-기반 방화벽의 설정들은 보호의 최 소 레벨로 디폴트되거나, 또는, 프린터(206) 대 무선 장치(216)에서와 같이, 일부 장치들과 다른 몇몇 장치들의 서로 다른 필요를 책임지지 못할 수 있다. 방화벽 서비스에 더해, 현재 IGD 기술은 종종 NAT(network address translation)를 수행한다. IPv6를 지원하는 IGD는 더이상 NAT를 제공하지 않을 것이고 또한 방화벽 서비스에 대한 지원을 최소화할 수 있으며, 따라서, 반드시 필요한 것은 아니더라도, 이는 방화벽 서비스를 제공하기 위한 분산된 접근법을 더 바람직한 것으로 만든다.
방화벽 서비스는 일련의 보호 기능들을 제공하는 다수의 기능을 포함할 수 있다. 대부분의 방화벽은 사용되지 않는 포트를 차단할 수 있는 능력, 즉, 현재 특정 애플리케이션 또는 서비스와 관련되지 않은 포트 상의 임의의 들어오는 트래픽(incoming traffic)을 거부(reject)할 수 있는 능력을 갖는다. 지정된 포트들에서, 방화벽은 트래픽을 http(hypertext transfer protocol) 또는 ftp(file transfer protocol)와 같은 권한 있는 프로토콜로 제한할 수 있다. 또한, 방화벽은 아웃바운드 트래픽(outbound traffic)을 특정 포트, 서비스 또는 애플리케이션으로 제한할 수 있다. 예를 들어, 웹 브라우저는 포트 80 이외의 다른 포트에 아웃바운드 요청을 전송하지 못할 수 있다. 알려지지 않은 소스를 갖는 임의의 활동은 차단될 수 있다. 예를 들어, 방화벽에 알려지지 않은 스파이웨어(spyware) 프로그램은 트래픽을 송신하거나 수신하는 것으로부터 차단될 수 있다. 방화벽은 또한 네트워크들 간을 구별할 수 있는데, 즉, LAN의 트래픽은 인터넷과 같은 WAN에서와 다르게 취급될 수 있다. 방화벽은 계층 4 VPN(virtual private network)과 같은 보안 터널(secure tunnel)에 대해 종점(endpoint)으로서 동작할 수 있다. 몇몇 경우에서, 방화벽은 몇몇 연결 또는 애플리케이션들에 대해 보안 터널을 요구할 수 있다. 방화벽은 애플리케이션 또는 서비스들이 연결을 요청함에 따라 트래픽을 차단하거나 허락하도록 하는 특정 명령들에 반응할 수 있다.
도 3은 도 2의 네트워크를 사용하는 분산된 방화벽 구현의 실시예에 대한 논리적 도면이다. IGD(202)가, 예를 들어, 무선 장치(216)와 같은 장치에 대해 적절한 방화벽 서비스를 제공하지 못하는 경우, IGD(202)뿐 아니라 컴퓨터(210)는 더 적절한 방화벽 서비스를 제공하도록 구성될 수 있다. 이는 무선 액세스 포인트(214)를 컴퓨터(210)로부터 논리적으로 다운스트림에 연결하여, 무선 장치(216)에 대해 의도된 모든 트래픽이 먼저 다운스트림 연결(208)을 경유하여 컴퓨터(210)를 통해, 그리고 논리적 연결(224)을 통해 라우팅되도록 함으로써 달성될 수 있다.
무선 장치(216)에 대한 트래픽은 VOIP(voice over IP) 또는 인터넷 패킷을 포함할 수 있다. (네트워크 애자일(agile) 스마트폰들은 사용가능한 경우 WiFi와 같은 저비용의 네트워크를 선택할 수 있다.) 컴퓨터(210)는 하나 이상의 지정된 포트들에서 트래픽을 VOIP로 제한하거나 인터넷 트래픽을 지정된 무선 액세스 프로토콜(wireless access protocol, WAP) 포트로 제한하는 방화벽 서비스를 제공할 수 있다. 컴퓨터(210)는 또한 자기 자신을 위한 방화벽 서비스를 제공할 수 있다. 이러한 경우, 컴퓨터는 어떤 서비스도 필요하지 않음을 게시할 수 있고, 따라서 업스트림 장치 또는 컨트롤러는 다른 장치에서 그에게 디폴트 방화벽 서비스를 할당하지 않는다. 논리적 연결(224)은 도 4와 관련하여 아래에서 더 상세히 설명된다.
도 4는 도 3의 분산된 방화벽 구현의 실시예에 대한 또 다른 논리적 도면이 다. 동작 중에, 논리적 연결(224)은 IGD(202)와 컴퓨터(210) 둘 다의 변경에 의해 달성될 수 있다. 무선 장치(216)로 향하는, 네트워크(201)로부터 오는 트래픽은 논리적 연결(226)(물리적 연결(208))을 통해 먼저 장치(210)로 라우팅될 수 있다. 트래픽은 컴퓨터(210)에서 필터링될 수 있고, 무선 장치(216)로 다시 어드레스(re-addressed)되고 논리적 연결(228)을 통해 IGD(202)로 전송될 수 있다. IGD(202)에서, 필터링된 트래픽은 논리적 연결(230)을 통해 무선 장치(216)로 재라우팅될(rerouted) 수 있다. 따라서 IGD는 무선 장치(216)로 어드레스된 패킷들을 소스에 따라 다르게 취급할 수 있다. 네트워크(201)로부터 오는, 무선 장치(216)로 어드레스된 패킷들은 컴퓨터(210)로 라우팅될 수 있고, 한편 컴퓨터(210)로부터 송신된, 무선 장치(216)로 어드레스된 패킷들은 무선 장치(216)로 라우팅된다. 논리적 연결(230)은 IGD(202)로부터 무선 액세스 포인트(214)로의 물리적 연결(212) 및 무선 액세스 포인트(214)로부터 무선 장치(216)로의 오버-더-에어 연결(over-the-air connection)(220)에 대응될 수 있다.
일 실시예에서, 무선 장치(216)는 방화벽 서비스에 대한 요청을 게시할 수 있다. 컴퓨터(210)는 요청에 응답하고 요청된 서비스들을 제공하도록 무선 장치(216)와 합의(agreement)에 도달할 수 있다. IGD(202)는 요청된 바에 따라 트래픽을 재라우팅하도록 무선 장치(216) 또는 컴퓨터(210)로부터 명령을 받아들일 수 있다. 몇몇 경우에서 IGD는 트래픽이 재라우팅되고 있는 장치로부터의 명령만을 받아들인다. 이러한 명령들을 받아들이기 위해 IGD(202)에 대해 암호화 인증(cryptographic authentication)이 요구될 수 있다. 또 다른 실시예에서, 컴퓨 터(210)는 방화벽 서비스들을 제공할 수 있는 자신의 능력을 게시할 수 있고 무선 장치(216)는 요청으로써 응답할 수 있다. 두 실시예 모두에서, 게시된 데이터는 방화벽 서비스 정보를 교환하기 위해 피어 투 피어 네트워크 검색 프로토콜(peer-to-peer network discovery protocol)을 사용할 수 있다.
또 다른 실시예에서, IGD(202) 또는 다른 다운스트림 장치들 중 하나는 방화벽 서비스 요구사항 및 방화벽 서비스 기능들을 발견하고 그 정보를 이용하여 장치들을 매칭하는 관리자를 통합할 수 있다. 관리자는, 예를 들어, 유형에 의해, 각 장치에 대한 최소 방화벽 서비스 요구사항들을 식별하기 위한 규칙들을 통합할 수 있다. 관리자는 장치가 어떤 방화벽 기능을 갖지만, 예를 들어, 최소 방화벽 서비스 요구사항을 만족하지 못하는 경우에도, 방화벽 서비스 제공자(provider)들을 장치에 매칭할 수 있다.
도 5는 분산된 방화벽 구현의 또 다른 실시예를 나타내는 컴퓨터 네트워크의 블록도이다. 이 예시적인 실시예에서, 랩톱(218)은 방화벽 서비스들을 프린터(206)에 제공한다. 프린터(206)는 프로그램가능한 구성요소, 또는 글꼴 또는 색 변환과 같은 초보적인 프로세스 기능(rudimentary processing capability)을 가질 수 있다. 그러면, 프린터(206)는 인쇄 작업을 위한 트래픽은 포트 80으로, 글꼴 또는 변환 요청을 프로세스하기 위한 트래픽은 포트 443으로 제한하기 위한 요청을 게시함으로써 적절한 방화벽 서비스들을 요청할 수 있다. 랩톱(218)은 프린터(206)로부터의 방화벽 서비스에 대한 요청에 응답할 수 있고 프린터(206)는 받아들일(accept) 수 있다. 프린터(206)로부터 확인을 수신하고난 후, 도 6에 도시된 바와 같이, 랩톱(218)은 프린터를 위해 트래픽을 재라우팅하도록 IGD(202)에 지시할 수 있다. 잠시 도 6을 보면, 프린터(206)로 향하는, 네트워크(201)로부터의 트래픽은 논리적 연결(232)을 통해 먼저 랩톱(218)으로 지향될 수 있다. 상기와 같이, 랩톱(218)은 프린터(206)를 대신해 요청된 방화벽 서비스들을 수행할 수 있고, 논리적 연결(234)을 통해 필터링된 트래픽을 IGD(202)에 포워딩(forward)할 수 있다. 다음, IGD(202)는 논리적 연결(236)을 통해 트래픽을 프린터(206)로 라우팅할 수 있다.
다시 도 5를 보면, 대안적인 실시예에서, IGD(202)는 방화벽 기능을 가질 수 있다. 랩톱(218)은 프린터(206)를 위한 특수화된 방화벽 서비스(specialized firewall service)에 대한 필요를 인식할 수 있고, IGD(202)로 하여금 프린터(206)를 위해 필요한 서비스들을 제공하도록 지시할 수 있다. 이 경우에, 랩톱(218)은 디렉터(director)로서 동작하지만, 트래픽을 능동적으로 관리하지는 않는다. 디렉터의 역할로서, 랩톱(218)은 또한 방화벽 활동(activity)의 다른 양상들을 모니터링하고 관리할 수 있다. 예를 들어, 랩톱(218)은 자녀 보호 기능(parental control)으로 프로그래밍되어, 방화벽 설정들이 사용자에 따라 또는 하루 중의 시간에 따라 변경될 수 있도록 한다. 도 5 및 도 6의 실시예는 예시적인 네트워크 구성요소들로서 프린터(206)와 랩톱(218)을 사용한다. 본 발명의 원리는 컴퓨터(210), PDA(216), 또는 NAS(network-attached storage) 장치와 같은, 구체적으로 도시되지 않은 다른 장치 등의 다른 장치들에 대해서도 동일하게 적용된다.
도 4와 관련하여 상술된 바와 같이, 방화벽 서비스 발견 및 서비스 제공에 대한 동의(agreement)를 위한 다른 시퀀스(sequence)도 가능하다.
도 7은 분산된 방화벽 구현의 실시예에 대한 또 다른 도면이다. 컴퓨터(210)는 연결(208)을 거쳐 IGD(202)를 통해 네트워크(201)에 연결된 것으로 도시된다. 컴퓨터(210)는 또한 자신의 인터넷 연결을 네트워크 연결(213)을 통해 컴퓨터(211)와 공유하고 있는 것으로 도시된다. 위에서 언급된 바와 같이, 이는 컴퓨터(210) 내의 인터넷 연결 공유 설비에 의한 것일 수 있으며, 하나는 연결(208)을 지원하고 다른 하나는 연결(213)을 지원하는, 두 개의 네트워크 포트를 포함할 수 있다. 컴퓨터(211)는 방화벽 서비스에 대한 요청을 게시할 수 있고, 컴퓨터(210)는 요청된 서비스들을 제공할 수 있는 자신의 능력을 응답할 수 있다. 그러면, 두 컴퓨터(210, 211)는 요청된 서비스들을 제공하는 것과 관련된 조건들에 동의할 수 있다. 이러한 조건들은 계약상의(contractual) 또는 금전적(monetary)인 사항들을 포함할 수 있지만, 간단히, 컴퓨터(210)가 컴퓨터(211)의 필요를 만족하는 방화벽 서비스들을 제공할 것이라는 동의(agreement), 또는 네트워크(200)의 최소 요구사항일 수도 있다. 논리적으로, 컴퓨터(211)로 어드레스된, IGD(202)에서 수신된 트래픽은 논리적 연결(238)을 통해 컴퓨터(210)에 전송될 수 있고, 컴퓨터(210)에서 필터링되고, 논리적 연결(240)을 통해 포워딩될 수 있다. 컴퓨터(211)로부터의 데이터는 논리적 링크(242)를 통해 전송되고 논리적 링크(244)를 통해 IGD(202)로 포워딩되고 결국 네트워크(201)로 전송될 수 있다.
도 2에 도시된 바와 같이, 네트워크 연결(208) 상도 포함하여, IGD(202)의 다운스트림 측에 다른 장치들이 존재할 수 있다. 컴퓨터(210)에 의해 제공되는 방 화벽 서비스들은 네트워크(201) 상의 트래픽으로부터의 보호를 제공할 뿐 아니라, 이들 로컬 연결된 장치들로부터의 원하지 않는 또는 권한 없는 트래픽으로부터의 보호도 제공한다.
도 8은 분산된 방화벽 구현에 참여하기에 적합한 컴퓨터에 대한 전형적인 블록도이다. WAN(802)은 라우터(806) 또는 다른 인터넷 게이트웨이 연결로의 네트워크 연결(804)을 가질 수 있다. 라우터(806)는 연결(807)을 통해 컴퓨터(808)에 연결될 수 있다. 컴퓨터(808)는 라우터(806)로의 연결(807)을 지원하는 네트워크 연결(810)을 가질 수 있다. 컴퓨터(808)는 또한 네트워크 연결(810) 및 방화벽 서비스 제공자(814)와 연결된 관리자(812) 또는 컨트롤러를 가질 수 있다. 관리자(812)는 전자 장치(816)와 같은 다른 장치로부터 게시된 방화벽 서비스에 대한 요청을 모니터링할 수 있다. 다음, 관리자(812)는 전자 장치(816)로 어드레스된 트래픽의 수신을 지원하고 이를 방화벽 서비스(814)로 라우팅하도록 네트워크 연결(810)을 구성할 수 있다. 전자 장치(816)로 어드레스된 트래픽이 도착하면, 이는 방화벽 서비스(814)로 라우팅되고, 동의된 방화벽 서비스 요구사항들에 따라 프로세스되어, 결과적으로 필터링된 트래픽을 생성한다. 다음, 네트워크 연결(810)은 관리자(812)와 함께, 필터링된 트래픽을, 네트워크 연결(818)을 통해 전자 장치(816)로 전달하기 위해서, 방화벽 서비스(814)로부터 라우터(806)로 반환할 수 있다. 컴퓨터(808) 또한 어떤 라우팅 기능을 갖는 경우, 컴퓨터(808)는 연결(820)을 통해 필터링된 트래픽을 직접 전자 장치(816)에 전송할 수 있다. 컴퓨터(808)로 어드레스된 트래픽도 방화벽 서비스(814)에 의해 프로세스될 수 있다.
몇몇 경우에서, 관리자(812)는, 효력 있는 정책(standing policy) 또는 관리 규칙에 따르기 위한 요구사항들에 따라, 제공되는 방화벽 서비스의 레벨을 변경할 수 있다. 많은 경우에, 덜 제한적인 방화벽 서비스들이 적합할 수 있더라도, 제공되는 방화벽 서비스들은 전자 장치(816)에 의해 요청된 것들보다 더 제한적일 수 있다. 예를 들어, 덜 제한적인 방화벽 서비스들은, 관리자(812)가 로컬 요구사항을 감소시키는 업스트림 방화벽 서비스들(도시되지 않음)에 대해 인식하고 있는 경우에 적합할 수 있다.
도 9는 분산된 방화벽 구현에 참여하기에 적합한 또 다른 컴퓨터에 대한 전형적인 블록도이다. 도 7에 도시된 네트워크 구성에 대응되는 예시적인 실시예에서, 인터넷과 같은 네트워크(902)는 네트워크 연결(904)을 통해 컴퓨터(906)와 연결된 것으로 도시된다. 컴퓨터(906)는, 도 8과 관련하여 설명된 것과 유사한, 제1 네트워크 연결(908), 관리자(910) 또는 컨트롤러, 및 방화벽 서비스(912)를 포함한다. 컴퓨터(906)는 또한 연결(916)을 통해 네트워크(918)와 연결된 제2 네트워크 연결(914)을 갖는 것으로 도시된다. 전자 장치(920)는 방화벽 서비스에 요청할 수 있고, 방화벽 서비스를 제공하도록 컴퓨터(906)에 의해 게시된 제안(offer)에 응답할 수 있고, 또는 컴퓨터(906)가 전자 장치(920)의 방화벽 기능을 결정할 수 없는 경우에는 디폴트 방화벽 서비스가 할당될 수 있다.
전자 장치(920)로 어드레스된, 네트워크 연결(908)에 도착하는 트래픽은 관리자(910)에 의해 방화벽 서비스(912)로 지향(direct)될 수 있고, 여기서 장치(920)를 대신해 필터링이 수행될 수 있다. 다음, 관리자(910)는 전자 장치(920) 로의 전달을 위해 필터링된 트래픽을 네트워크 연결(914)로 지향(direct)시킬 수 있다.
현재 네트워크 및 장치들은 상술된 장치 및 기술들로부터 이득을 얻을 것으로 예상되지만, 더 낮은 비용 및 더 낮은 기능 인터넷 게이트웨이 장치들을 사용하는 IPv6로 변환된 네트워크들이 더 큰 수혜자일 수 있다. 또한, 관리 규칙 및 현재 네트워크 아키텍처에 비추어, 방화벽 서비스 필요 및 요구사항들을 산정하기 위한 지능형 관리자의 사용은, 기존 방화벽 아키텍처에 의해 제공되는 보호를 유지하거나 뛰어넘으면서, 기능의 중복이 적게 일어나도록 할 수 있다.
앞선 설명에서는 다수의 상이한 실시예에 대한 상세한 설명을 개시하지만, 본 발명의 범위는 본 특허의 끝 부분에 개시되는 특허청구범위의 용어들에 의해 정의된다는 점이 이해되어야 한다. 상세한 설명은 단지 예시적인 것으로 고려되어야 하고, 본 발명의 모든 가능한 실시예들을 설명하는 것은 아니며, 이는 비록 불가능하지 않더라도 모든 가능한 실시예들을 설명한다는 것은 실용적이지 않기 때문이다. 현재의 기술 또는 본 특허의 출원일 이후에 개발된 기술들을 사용하여 다수의 대안적인 실시예들이 구현될 수 있지만, 이러한 것들도 역시 본 발명의 특허청구범위의 범위에 포함되는 것이다.
따라서, 본 발명의 정신 및 범위를 벗어나지 않고, 여기에 설명되고 도시된 기술 및 구조들에 많은 변경 및 변화가 이루어질 수 있다. 따라서, 여기에 설명된 방법 및 장치들은 예시적인 것일 뿐이며 본 발명의 범위를 제한하는 것이 아니라는 것을 이해해야 한다.

Claims (20)

  1. 복수의 장치를 갖는 네트워크(200)에서 방화벽 서비스들을 구성하기 위한 방법으로서,
    네트워크(200)의 제1 장치(210)에 대해 방화벽 기능(firewall capability)을 결정하는 단계;
    네트워크(200)의 제2 장치(216)에 대한 방화벽 서비스 요구사항을 결정하는 단계; 및
    상기 제1 장치(210)가 자신(210)을 위한 방화벽 서비스를 제공하고, 상기 제2 장치(216)의 방화벽 서비스 요구사항 및 상기 제1 장치(210)의 방화벽 기능에 따라 상기 제2 장치(216)를 위한 방화벽 서비스를 제공하도록 구성하는 단계
    를 포함하는 방화벽 서비스들을 구성하기 위한 방법.
  2. 제1항에 있어서,
    논리적으로 상기 제2 장치(216)를 상기 제1 장치(210) 뒤에 위치시키도록 라우터(202)를 구성하는 단계를 더 포함하는, 방화벽 서비스들을 구성하기 위한 방법.
  3. 제1항에 있어서,
    상기 제1 장치(210)에 대해 방화벽 기능을 결정하는 단계는 상기 제1 장 치(210)의 상기 방화벽 기능에 대응되는 게시된 정보를 모니터링하는 단계를 포함하는, 방화벽 서비스들을 구성하기 위한 방법.
  4. 제1항에 있어서,
    상기 방화벽 서비스 요구사항을 결정하는 단계는 상기 제2 장치(216)로부터 게시된 방화벽 서비스들에 대한 요청을 모니터링하는 단계를 포함하는, 방화벽 서비스들을 구성하기 위한 방법.
  5. 제4항에 있어서,
    관리 설정(administrative setting)은 상기 방화벽 서비스로 하여금 상기 제2 장치(216)로부터 게시된 방화벽 서비스들에 대한 요청보다 더 제한적일 것을 요구하는, 방화벽 서비스들을 구성하기 위한 방법.
  6. 제1항에 있어서,
    상기 방화벽 서비스 요구사항을 결정하는 단계는 상기 제2 장치(216)로부터 게시된 정보가 사용가능하지 않은 경우, 상기 제2 장치(216)에 대해 디폴트 방화벽 서비스(default firewall service)를 선택하는 단계를 포함하는, 방화벽 서비스들을 구성하기 위한 방법.
  7. 제1항에 있어서,
    다운스트림 장치(downstream device)(210)가 최소 방화벽 기능(minimum firewall capability)을 만족하는 방화벽 기능을 갖는 경우, 업스트림 장치(202)가 자신의 방화벽 서비스에 대한 액세스를 개방(set open access)하는 단계를 포함하는, 방화벽 서비스들을 구성하기 위한 방법.
  8. 구성가능한 방화벽 보호(configurable firewall protection)를 위해 구성된(adapted) 복수의 장치들을 갖는 네트워크(200)로서,
    네트워크 상의 장치들로 데이터 트래픽을 지향(direct)시키기 위한 업스트림 측(upstream side)(804) 및 다운스트림 측(downstream side)(807, 818)을 포함하는 라우터(806);
    상기 라우터의 상기 다운스트림 측(807)과 연결된 제1 장치(808) -상기 제1 장치(808)는 적어도 하나의 방화벽 기능을 제공할 수 있는 능력을 가짐-; 및
    상기 라우터(818)의 상기 다운스트림 측과 연결된 제2 장치(816) -상기 제2 장치(816)는 방화벽 서비스에 대한 요청을 게시하도록 구성되고, 상기 제1 장치(808)의 상기 적어도 하나의 방화벽 기능이 상기 방화벽 서비스에 대한 요청의 요구사항을 만족하는 경우, 상기 제1 장치(808)는 상기 제2 장치(816)로부터의 요청에 응답하여 상기 적어도 하나의 방화벽 기능을 제공함-;
    를 포함하는, 구성가능한 방화벽 보호를 위해 구성된 복수의 장치들을 갖는 네트워크.
  9. 제8항에 있어서,
    상기 요구사항은 상기 요청에 내재하는(implicit) 것인, 구성가능한 방화벽 보호를 위해 구성된 복수의 장치들을 갖는 네트워크.
  10. 제8항에 있어서,
    상기 라우터(806)는, 상기 방화벽 서비스에 대한 요청을 이행하기 위해, 상기 제2 장치(816)로 어드레스된(addressed) 들어오는 트래픽(incoming traffic)을 상기 제1 장치(808)로 지향(direct)시키기 위한 신호를 수신하는, 구성가능한 방화벽 보호를 위해 구성된 복수의 장치들을 갖는 네트워크.
  11. 제8항에 있어서,
    상기 제1 장치(808)는 상기 제2 장치(816, 920)로의 네트워크 연결(820, 916)을 공유하는(shares out a network connection to the second device), 구성가능한 방화벽 보호를 위해 구성된 복수의 장치들을 갖는 네트워크.
  12. 제8항에 있어서,
    상기 제1 장치(808)는 상기 적어도 하나의 방화벽 기능을 제공할 수 있는 능력을 게시하는, 구성가능한 방화벽 보호를 위해 구성된 복수의 장치들을 갖는 네트워크.
  13. 제12항에 있어서,
    상기 제2 장치(816)는 상기 제1 장치(808)로부터 상기 적어도 하나의 방화벽 기능을 제공할 수 있는 상기 게시된 능력을 수신하고, 상기 방화벽 서비스에 대한 요청을 상기 제1 장치(808)로 지향시키는, 구성가능한 방화벽 보호를 위해 구성된 복수의 장치들을 갖는 네트워크.
  14. 제8항에 있어서,
    구성가능한 방화벽 보호를 위해 구성된 상기 복수의 장치들 각각에 대한 방화벽 서비스 요구사항 및 방화벽 기능을 모니터링하기 위한 컨트롤러(812)를 더 포함하는, 구성가능한 방화벽 보호를 위해 구성된 복수의 장치들을 갖는 네트워크.
  15. 제14항에 있어서,
    상기 컨트롤러(812)는 상기 제1 장치(808) 및 상기 라우터(806) 중 하나에 통합되는, 구성가능한 방화벽 보호를 위해 구성된 복수의 장치들을 갖는 네트워크.
  16. 제14항에 있어서,
    상기 컨트롤러(812)는 상기 복수의 장치들 각각에 방화벽 서비스 요구사항을 게시하기 위한 통신 기능을 갖는, 구성가능한 방화벽 보호를 위해 구성된 복수의 장치들을 갖는 네트워크.
  17. 제16항에 있어서,
    상기 게시된 방화벽 서비스 요구사항이 상기 제2 장치(816)로부터의 상기 방화벽 서비스에 대한 요청보다 더 제한적인(restrictive) 경우, 상기 제1 장치(808)는 상기 적어도 하나의 방화벽 기능이 상기 제2 장치(816)로부터의 방화벽 서비스에 대한 요청보다 더 제한적이도록 하여 제공하는, 구성가능한 방화벽 보호를 위해 구성된 복수의 장치들을 갖는 네트워크.
  18. 제14항에 있어서,
    상기 컨트롤러(812)는 방화벽 서비스에 대한 요청을 게시하지 않는 제3 장치(206)에 대해 디폴트 방화벽 서비스를 할당하는, 구성가능한 방화벽 보호를 위해 구성된 복수의 장치들을 갖는 네트워크.
  19. 다른 전자 장치(816)에 방화벽 서비스들을 제공하도록 배치되고(arranged) 구성된(adapted) 컴퓨터(808)로서,
    업스트림 네트워크(804)로 양방향의 데이터 트래픽을 지원하는 네트워크 연결(810);
    상기 네트워크 연결(810)에 연결되어, 상기 다른 전자 장치(816)로부터의 방화벽 서비스에 대한 게시된 요청들을 모니터링할 수 있고, 상기 요청에 응답하여, 상기 다른 전자 장치(816)를 상기 컴퓨터(808)의 다운스트림에 논리적으로 위치시키도록 상기 네트워크 연결(810)을 구성할 수 있고, 상기 다른 전자 장치(816)에 제공할 방화벽 서비스의 레벨을 결정할 수 있는 관리자(812); 및
    상기 관리자(812) 및 상기 네트워크 연결(810)에 연결된 방화벽 서비스 제공자(814) -상기 방화벽 서비스 제공자는 상기 컴퓨터(808)에게 방화벽 서비스를 지원하고 상기 관리자(812)에 의해 결정된 레벨에 따라 상기 다른 전자 장치(816)로 어드레스된 데이터 트래픽에 대한 방화벽 서비스를 제공함-
    를 포함하는, 다른 전자 장치(816)에 방화벽 서비스들을 제공하도록 배치되고 구성된 컴퓨터(808).
  20. 제19항에 있어서,
    제2 네트워크 연결(916)을 더 포함하고, 상기 다른 전자 장치(920)로 어드레스된 상기 네트워크 연결 상의 데이터 트래픽은 방화벽 서비스의 레벨에 따라 필터링되고 상기 제2 네트워크 연결(916)을 통해 라우팅되는, 다른 전자 장치(816)에 방화벽 서비스들을 제공하도록 배치되고 구성된 컴퓨터(808).
KR1020087026936A 2006-05-05 2007-05-07 방화벽 서비스들을 구성하기 위한 방법, 구성가능한 방화벽보호를 위해 구성된 복수의 장치들을 갖는 네트워크, 및 다른 전자 장치에 방화벽 서비스들을 제공하도록 배치되고 구성된 컴퓨터 Abandoned KR20090006164A (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US11/429,476 2006-05-05
US11/429,476 US8079073B2 (en) 2006-05-05 2006-05-05 Distributed firewall implementation and control

Publications (1)

Publication Number Publication Date
KR20090006164A true KR20090006164A (ko) 2009-01-14

Family

ID=38662645

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020087026936A Abandoned KR20090006164A (ko) 2006-05-05 2007-05-07 방화벽 서비스들을 구성하기 위한 방법, 구성가능한 방화벽보호를 위해 구성된 복수의 장치들을 갖는 네트워크, 및 다른 전자 장치에 방화벽 서비스들을 제공하도록 배치되고 구성된 컴퓨터

Country Status (9)

Country Link
US (1) US8079073B2 (ko)
EP (1) EP2016708A4 (ko)
JP (1) JP5031826B2 (ko)
KR (1) KR20090006164A (ko)
CN (1) CN101438534B (ko)
BR (1) BRPI0710933A8 (ko)
MX (1) MX2008013659A (ko)
RU (1) RU2432695C2 (ko)
WO (1) WO2008100265A2 (ko)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8122492B2 (en) * 2006-04-21 2012-02-21 Microsoft Corporation Integration of social network information and network firewalls
US8079073B2 (en) 2006-05-05 2011-12-13 Microsoft Corporation Distributed firewall implementation and control
US8176157B2 (en) * 2006-05-18 2012-05-08 Microsoft Corporation Exceptions grouping
KR20080046512A (ko) * 2006-11-22 2008-05-27 삼성전자주식회사 네트워크 리소스 공유 방법 및 그 장치
EP2109841B1 (en) * 2007-01-16 2017-09-20 Absolute Software Corporation A security module having a secondary agent in coordination with a host agent
US8069230B2 (en) * 2007-10-31 2011-11-29 Affinegy, Inc. System and method of configuring a network
US20100199343A1 (en) * 2009-02-03 2010-08-05 Aruba Networks, Inc. Classification of wired traffic based on vlan
US9264369B2 (en) * 2010-12-06 2016-02-16 Qualcomm Incorporated Technique for managing traffic at a router
US8966601B2 (en) * 2011-09-23 2015-02-24 Hewlett-Packard Development Company, L.P. Connection of peripheral devices to wireless networks
EP2854335A1 (en) * 2013-09-30 2015-04-01 British Telecommunications public limited company Data network management
US20150358289A1 (en) * 2014-06-10 2015-12-10 Christopher Michael Ball Preconfigured transparent firewall with stateful inspection for embedded devices
US9912641B2 (en) * 2014-07-03 2018-03-06 Juniper Networks, Inc. System, method, and apparatus for inspecting online communication sessions via polymorphic security proxies
US10623956B2 (en) 2014-08-21 2020-04-14 Hewlett-Packard Development Company, L.P. Request for network credential
CN104202333A (zh) * 2014-09-16 2014-12-10 浪潮电子信息产业股份有限公司 一种分布式防火墙的实现方法
EP3439259B1 (de) * 2017-08-02 2019-11-27 Siemens Aktiengesellschaft Härten eines kommunikationsgerätes
US11184384B2 (en) * 2019-06-13 2021-11-23 Bank Of America Corporation Information technology security assessment model for process flows and associated automated remediation

Family Cites Families (94)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5835726A (en) 1993-12-15 1998-11-10 Check Point Software Technologies Ltd. System for securing the flow of and selectively modifying packets in a computer network
US5606668A (en) 1993-12-15 1997-02-25 Checkpoint Software Technologies Ltd. System for securing inbound and outbound data packet flow in a computer network
JPH08129507A (ja) 1994-10-31 1996-05-21 Ricoh Co Ltd 情報保管管理システム
US6009469A (en) * 1995-09-25 1999-12-28 Netspeak Corporation Graphic user interface for internet telephony application
US6152803A (en) 1995-10-20 2000-11-28 Boucher; John N. Substrate dicing method
JP3165366B2 (ja) 1996-02-08 2001-05-14 株式会社日立製作所 ネットワークセキュリティシステム
US6003084A (en) 1996-09-13 1999-12-14 Secure Computing Corporation Secure network proxy for connecting entities
US7634529B2 (en) * 1996-11-29 2009-12-15 Ellis Iii Frampton E Personal and server computers having microchips with multiple processing units and internal firewalls
US6009475A (en) 1996-12-23 1999-12-28 International Business Machines Corporation Filter rule validation and administration for firewalls
US5987611A (en) 1996-12-31 1999-11-16 Zone Labs, Inc. System and methodology for managing internet access on a per application basis for client computers connected to the internet
US5974549A (en) 1997-03-27 1999-10-26 Soliton Ltd. Security monitor
US6212558B1 (en) 1997-04-25 2001-04-03 Anand K. Antur Method and apparatus for configuring and managing firewalls and security devices
US5968176A (en) 1997-05-29 1999-10-19 3Com Corporation Multilayer firewall system
US6154775A (en) 1997-09-12 2000-11-28 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with dynamic rule processing with the ability to dynamically alter the operations of rules
US6003133A (en) 1997-11-17 1999-12-14 Motorola, Inc. Data processor with a privileged state firewall and method therefore
US6480959B1 (en) 1997-12-05 2002-11-12 Jamama, Llc Software system and associated methods for controlling the use of computer programs
US6088804A (en) 1998-01-12 2000-07-11 Motorola, Inc. Adaptive system and method for responding to computer network security attacks
US6131163A (en) 1998-02-17 2000-10-10 Cisco Technology, Inc. Network gateway mechanism having a protocol stack proxy
US6253321B1 (en) 1998-06-19 2001-06-26 Ssh Communications Security Ltd. Method and arrangement for implementing IPSEC policy management using filter code
US6219706B1 (en) 1998-10-16 2001-04-17 Cisco Technology, Inc. Access control for networks
US6149585A (en) * 1998-10-28 2000-11-21 Sage Health Management Solutions, Inc. Diagnostic enhancement method and apparatus
US6466976B1 (en) * 1998-12-03 2002-10-15 Nortel Networks Limited System and method for providing desired service policies to subscribers accessing the internet
US6611875B1 (en) 1998-12-31 2003-08-26 Pmc-Sierra, Inc. Control system for high speed rule processors
US6631466B1 (en) 1998-12-31 2003-10-07 Pmc-Sierra Parallel string pattern searches in respective ones of array of nanocomputers
CA2296989C (en) 1999-01-29 2005-10-25 Lucent Technologies Inc. A method and apparatus for managing a firewall
US6643776B1 (en) 1999-01-29 2003-11-04 International Business Machines Corporation System and method for dynamic macro placement of IP connection filters
US6636898B1 (en) 1999-01-29 2003-10-21 International Business Machines Corporation System and method for central management of connections in a virtual private network
JP3314749B2 (ja) * 1999-02-17 2002-08-12 株式会社デンソー 電子制御装置
US6721890B1 (en) 1999-05-04 2004-04-13 Microsoft Corporation Application specific distributed firewall
US6792615B1 (en) 1999-05-19 2004-09-14 New Horizons Telecasting, Inc. Encapsulated, streaming media automation and distribution system
EP1145519B1 (en) 1999-06-10 2005-08-31 Alcatel Internetworking, Inc. System and method for policy-based network management of virtual private networks
US6347376B1 (en) 1999-08-12 2002-02-12 International Business Machines Corp. Security rule database searching in a network security environment
US7016980B1 (en) 2000-01-18 2006-03-21 Lucent Technologies Inc. Method and apparatus for analyzing one or more firewalls
GB2364477B (en) 2000-01-18 2003-11-05 Ericsson Telefon Ab L M Virtual private networks
WO2001065381A1 (en) 2000-02-29 2001-09-07 Boyd John E A computer-based networking service and method and system for performing the same
US6496935B1 (en) 2000-03-02 2002-12-17 Check Point Software Technologies Ltd System, device and method for rapid packet filtering and processing
GB2365256A (en) 2000-07-28 2002-02-13 Ridgeway Systems & Software Lt Audio-video telephony with port address translation
GB2366163A (en) * 2000-08-14 2002-02-27 Global Knowledge Network Ltd Inter-network connection through intermediary server
US7120931B1 (en) 2000-08-31 2006-10-10 Cisco Technology, Inc. System and method for generating filters based on analyzed flow data
RU2214623C2 (ru) * 2000-12-29 2003-10-20 Купреенко Сергей Витальевич Вычислительная сеть с межсетевым экраном и межсетевой экран
US6931529B2 (en) 2001-01-05 2005-08-16 International Business Machines Corporation Establishing consistent, end-to-end protection for a user datagram
US7280540B2 (en) 2001-01-09 2007-10-09 Stonesoft Oy Processing of data packets within a network element cluster
WO2002057917A2 (en) * 2001-01-22 2002-07-25 Sun Microsystems, Inc. Peer-to-peer network computing platform
CA2435912A1 (en) * 2001-01-26 2002-08-01 Bridicum A/S System for providing services and virtual programming interface
EP1368726A4 (en) 2001-02-06 2005-04-06 En Garde Systems DEVICE AND METHOD FOR PROVIDING A SAFE NETWORK COMMUNICATION
US6941474B2 (en) * 2001-02-20 2005-09-06 International Business Machines Corporation Firewall subscription service system and method
US6697810B2 (en) 2001-04-19 2004-02-24 Vigilance, Inc. Security system for event monitoring, detection and notification system
US7024460B2 (en) 2001-07-31 2006-04-04 Bytemobile, Inc. Service-based compression of content within a network communication system
US6938155B2 (en) 2001-05-24 2005-08-30 International Business Machines Corporation System and method for multiple virtual private network authentication schemes
US20030005328A1 (en) 2001-06-29 2003-01-02 Karanvir Grewal Dynamic configuration of IPSec tunnels
US6513122B1 (en) 2001-06-29 2003-01-28 Networks Associates Technology, Inc. Secure gateway for analyzing textual content to identify a harmful impact on computer systems with known vulnerabilities
US7016901B2 (en) 2001-07-31 2006-03-21 Ideal Scanners & Systems, Inc. System and method for distributed database management of graphic information in electronic form
US20030028806A1 (en) 2001-08-06 2003-02-06 Rangaprasad Govindarajan Dynamic allocation of ports at firewall
US20030084331A1 (en) 2001-10-26 2003-05-01 Microsoft Corporation Method for providing user authentication/authorization and distributed firewall utilizing same
JP2003140994A (ja) * 2001-11-01 2003-05-16 Hitachi Ltd ファイアウォール計算機システム
US20030110379A1 (en) 2001-12-07 2003-06-12 Tatu Ylonen Application gateway system, and method for maintaining security in a packet-switched information network
US7342876B2 (en) 2001-12-20 2008-03-11 Sri International Interference mitigation and adaptive routing in wireless ad-hoc packet-switched networks
US6845452B1 (en) 2002-03-12 2005-01-18 Reactivity, Inc. Providing security for external access to a protected computer network
AU2003237096A1 (en) 2002-04-22 2003-11-03 Mfc Networks, Inc. Process for monitoring, filtering and caching internet connections
CN1160899C (zh) * 2002-06-11 2004-08-04 华中科技大学 分布式网络动态安全保护系统
US7120930B2 (en) 2002-06-13 2006-10-10 Nvidia Corporation Method and apparatus for control of security protocol negotiation
US7146638B2 (en) 2002-06-27 2006-12-05 International Business Machines Corporation Firewall protocol providing additional information
NO317294B1 (no) 2002-07-11 2004-10-04 Birdstep Tech Asa Sømløs Ip-mobilitet på tvers av sikkerhetsgrenser
FI20021407L (fi) 2002-07-24 2004-01-25 Tycho Technologies Oy Tietoliikenteen suodattaminen
US20040148439A1 (en) 2003-01-14 2004-07-29 Motorola, Inc. Apparatus and method for peer to peer network connectivty
US7213235B2 (en) 2003-02-21 2007-05-01 Sap Ag Method for using a business model user interface
US7200860B2 (en) 2003-03-05 2007-04-03 Dell Products L.P. Method and system for secure network service
JP4352728B2 (ja) 2003-03-11 2009-10-28 株式会社日立製作所 サーバ装置、端末制御装置及び端末認証方法
FR2852754B1 (fr) * 2003-03-20 2005-07-08 At & T Corp Systeme et methode de protection d'un reseau de transmission ip contre les attaques de deni de service
US7308711B2 (en) 2003-06-06 2007-12-11 Microsoft Corporation Method and framework for integrating a plurality of network policies
US7260840B2 (en) 2003-06-06 2007-08-21 Microsoft Corporation Multi-layer based method for implementing network firewalls
US7409707B2 (en) 2003-06-06 2008-08-05 Microsoft Corporation Method for managing network filter based policies
US7418486B2 (en) * 2003-06-06 2008-08-26 Microsoft Corporation Automatic discovery and configuration of external network devices
US7509673B2 (en) 2003-06-06 2009-03-24 Microsoft Corporation Multi-layered firewall architecture
US7559082B2 (en) 2003-06-25 2009-07-07 Microsoft Corporation Method of assisting an application to traverse a firewall
US7237260B2 (en) 2003-07-08 2007-06-26 Matsushita Electric Industrial Co., Ltd. Method for dynamic selection for secure and firewall friendly communication protocols between multiple distributed modules
US20050079858A1 (en) 2003-10-09 2005-04-14 Rosen Eric C. Method and apparatus for restricting media communication in a communication network
US20050091068A1 (en) 2003-10-23 2005-04-28 Sundaresan Ramamoorthy Smart translation of generic configurations
US20050138380A1 (en) 2003-12-22 2005-06-23 Fedronic Dominique L.J. Entry control system
WO2005064429A1 (en) 2003-12-23 2005-07-14 Telefonaktiebolaget Lm Ericsson (Publ) Method and device for taking an access control policy decision
US8195835B2 (en) 2004-01-28 2012-06-05 Alcatel Lucent Endpoint address change in a packet network
JP2005217757A (ja) 2004-01-29 2005-08-11 Oki Techno Creation:Kk ファイアウオール管理システム、ファイアウオール管理方法、およびファイアウオール管理プログラム
US20050182967A1 (en) * 2004-02-13 2005-08-18 Microsoft Corporation Network security device and method for protecting a computing device in a networked environment
US7610621B2 (en) 2004-03-10 2009-10-27 Eric White System and method for behavior-based firewall modeling
US20050229246A1 (en) 2004-03-31 2005-10-13 Priya Rajagopal Programmable context aware firewall with integrated intrusion detection system
US7567560B1 (en) 2004-04-28 2009-07-28 Cisco Technology, Inc. System and method for securing a communication network
CA2467603A1 (en) 2004-05-18 2005-11-18 Ibm Canada Limited - Ibm Canada Limitee Visualization firewall rules in an auto provisioning environment
JP4341517B2 (ja) 2004-06-21 2009-10-07 日本電気株式会社 セキュリティポリシー管理システム、セキュリティポリシー管理方法およびプログラム
US8265060B2 (en) 2004-07-15 2012-09-11 Qualcomm, Incorporated Packet data filtering
US7489781B2 (en) 2004-10-29 2009-02-10 Research In Motion Limited Secure peer-to-peer messaging invitation architecture
US7966654B2 (en) 2005-11-22 2011-06-21 Fortinet, Inc. Computerized system and method for policy-based content filtering
US8122492B2 (en) 2006-04-21 2012-02-21 Microsoft Corporation Integration of social network information and network firewalls
US8079073B2 (en) 2006-05-05 2011-12-13 Microsoft Corporation Distributed firewall implementation and control
US8176157B2 (en) 2006-05-18 2012-05-08 Microsoft Corporation Exceptions grouping

Also Published As

Publication number Publication date
US20070261111A1 (en) 2007-11-08
JP5031826B2 (ja) 2012-09-26
WO2008100265A2 (en) 2008-08-21
RU2008143609A (ru) 2010-05-10
BRPI0710933A2 (pt) 2011-05-31
JP2009536405A (ja) 2009-10-08
US8079073B2 (en) 2011-12-13
WO2008100265A3 (en) 2008-12-18
MX2008013659A (es) 2008-11-04
RU2432695C2 (ru) 2011-10-27
WO2008100265A8 (en) 2009-06-25
EP2016708A4 (en) 2009-06-03
CN101438534B (zh) 2013-04-10
EP2016708A2 (en) 2009-01-21
CN101438534A (zh) 2009-05-20
BRPI0710933A8 (pt) 2017-01-17

Similar Documents

Publication Publication Date Title
KR20090006164A (ko) 방화벽 서비스들을 구성하기 위한 방법, 구성가능한 방화벽보호를 위해 구성된 복수의 장치들을 갖는 네트워크, 및 다른 전자 장치에 방화벽 서비스들을 제공하도록 배치되고 구성된 컴퓨터
US10986094B2 (en) Systems and methods for cloud based unified service discovery and secure availability
US10375024B2 (en) Cloud-based virtual private access systems and methods
US10701103B2 (en) Securing devices using network traffic analysis and software-defined networking (SDN)
US10432673B2 (en) In-channel event processing for network agnostic mobile applications in cloud based security systems
US8370919B2 (en) Host firewall integration with edge traversal technology
US8533780B2 (en) Dynamic content-based routing
US8549613B2 (en) Reverse VPN over SSH
JP5535229B2 (ja) 直接アクセスネットワークのためのネットワーク位置決定
US11363022B2 (en) Use of DHCP for location information of a user device for automatic traffic forwarding
JP2005318584A (ja) デバイスのセキュリティ状況に基づいたネットワーク・セキュリティのための方法および装置
CN1972297A (zh) 用于基于策略的内容过滤的计算机系统与方法
EP3247082B1 (en) Cloud-based virtual private access systems and methods
EP3306900B1 (en) Dns routing for improved network security
US7474655B2 (en) Restricting communication service
US20070078996A1 (en) Method for managing a network appliance and transparent configurable network appliance
US12355589B2 (en) Systems and methods for Virtual Private Network (VPN) brokering to enterprise resources
US7735139B1 (en) In-line scanning of network data in an asymmetric routing environment
Fitzgerald et al. MASON: Mobile autonomic security for network access controls
Landry et al. Exploring zero trust network architectures for building secure networks
Frahim et al. Cisco ASA: All-in-One Firewall, IPS, Anti-X, and VPN Adaptive Security Appliance
US20250227110A1 (en) Systems and methods for enforcing policy based on assigned user risk scores in a cloud-based system
US20250193025A1 (en) Systems and methods for automated certificate generation and management inside zero trust private networks
US12368697B2 (en) Private service edge nodes in a cloud-based system for private application access
US20250240272A1 (en) Cyber Protections of Remote Networks Via Selective Policy Enforcement at a Central Network

Legal Events

Date Code Title Description
PA0105 International application

Patent event date: 20081103

Patent event code: PA01051R01D

Comment text: International Patent Application

PG1501 Laying open of application
A201 Request for examination
PA0201 Request for examination

Patent event code: PA02012R01D

Patent event date: 20120427

Comment text: Request for Examination of Application

PC1902 Submission of document of abandonment before decision of registration
SUBM Surrender of laid-open application requested