MX2008013659A - Implementacion y control de muro contra incendios distribuido. - Google Patents
Implementacion y control de muro contra incendios distribuido.Info
- Publication number
- MX2008013659A MX2008013659A MX2008013659A MX2008013659A MX2008013659A MX 2008013659 A MX2008013659 A MX 2008013659A MX 2008013659 A MX2008013659 A MX 2008013659A MX 2008013659 A MX2008013659 A MX 2008013659A MX 2008013659 A MX2008013659 A MX 2008013659A
- Authority
- MX
- Mexico
- Prior art keywords
- fire wall
- network
- service
- computer
- capacity
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Drying Of Semiconductors (AREA)
Abstract
Un método para grabar al agua fuerte un material objetivo en presencia de un material estructural con selectividad mejorada utiliza agua fuerte de fase de vapor y co-agua fuerte. Las modalidades del método exhiben selectividades mejoradas desde al menos aproximadamente 2-veces hasta al menos aproximadamente 100-veces comparado con un procedimiento de grabado al agua fuerte similar que no utiliza co-agua fuerte. En algunas modalidades, el material objetivo comprende un metal que se puede grabar al agua fuerte por el agua fuerte de fase de vapor. Las modalidades del método son particularmente útiles en la fabricación de dispositivos de MEMS, por ejemplo, moduladores interferométricos. En algunas modalidades, el material objetivo comprende un metal que se puede grabar al agua fuerte por el agua fuerte de fase de vapor, por ejemplo, molibdeno y el material estructural comprende un dieléctrico, por ejemplo dióxido de silicio.
Description
IMPLEMENTACION Y CONTROL DE MURO CONTRA INCENDIOS DISTRIBUIDO
ANTECEDENTES
Una computadora conectada a una red es vulnerable a ataque de otras computadoras en esa red. Si la red es Internet, los ataques pueden incluir una variedad de actos de intentos malignos para obtener acceso a la computadora, para instalar código "zombi", para rechazar ataques malignos. Intentos malignos para tener acceso a la computadora pueden tener la intención de descubrir datos personales, mientras el código de zombi puede utilizarse para iniciar rechazo de ataques de servicio al abrumar un sitio web con altos volúmenes de tráfico de un número de computadoras. Los atacantes pueden incluir criminales organizados, expertos de computadora sofisticados pero malignos, y "descodif icador inexperto" cuando lee y repite asaltos publicados en vulnerabilidades conocidas. La mayoría de las computadoras tienen puertos dirigibles para enviar y recibir datos. Algunos de los puertos pueden designarse para ciertas clases de tráfico. Por ejemplo, en una red de Protocolo de Internet (IP), el puerto 80 frecuentemente se designa para tráfico de protocolo de hipertexto (http), mientras el cuarto 443 frecuentemente se designa para tráfico de http seguro (https). Otros puertos pueden designarse como se necesite para diferentes servicios. Tráfico no designado en tales puertos de datos y cualquier tráfico en puertos no utilizados puede indicar intentos por atacantes para obtener acceso a la computadora. Un muro contra incendios puede utilizarse para limitar tráfico de puerto a ciertos protocolos y para cerrar puertos no utilizados de todo el tráfico exterior. El muro contra incendios puede colocarse en una red entre computadoras que buscan protección y redes "abiertas", tal como Internet, o puede ser integral a la computadora. En corporaciones, u otras grandes redes privadas, los muros contra incendio también pueden utilizarse para limitar tráfico entre unidades de negocio. El muro contra incendios puede bloquear tráfico en un puerto designado que tiene el protocolo incorrecto, por ejemplo, protocolo de transferencia de archivo (FTP) puede bloquearse en el puerto 80. Similarmente, el muro contra incendio puede bloquear todo el tráfico en un puerto no utilizado. Tanto las implementaciones de hardware como de software de muros contra incendio están disponibles.
BREVE DESCRIPCION DE LA INVENCION
Una red, tal como una red de área local dentro de una variedad de dispositivos electrónicos, puede tener un primer grupo de dispositivos capaces de proporcionar servicios de muro contra incendios asi como un segundo grupo de dispositivos con capacidad limitada o no de muro contra incendios. Al publicar las capacidades de servicio de muro contra incendios de aquellos dispositivos que tienen tal capacidad o al publicar los requerimientos de dispositivos que necesitan servicios de muro contra incendios, o ambos, la red puede configurarse para permitir que el primer grupo proporcione servicio de muro contra incendios a dispositivos del segundo grupo. Para soportar tal servicio de muro contra incendios distribuido, un dispositivo puede necesitar una capacidad de conocer sus intereses/capacidad de proporcionar servicios de muro contraincendios. También, otro dispositivo puede necesitar una capacidad de publicar su deseo por servicios de muro contra incendios. Los cambios de enrutamiento de red pueden necesitar realizarse para reenrutar tráfico de datos tan lejos que los servicios de rol pueden presentarse y una función de administrador puede necesitarse para hacer coincidir capacidades con necesidades y para dirigir reenrutamiento de tráfico de datos directo. Además, la función de administrador puede imponer reglas para niveles mínimos de servicios de muro contra incendios para aquellos dispositivos que pueden no publicar sus necesidades, o cuyas capacidades publicadas no satisfacen otros requerimientos mínimos de nivel de sistema. La función de administrador puede ser independiente de otros dispositivos en la red, tal como en un enrutador, o pueden incorporarse en uno de los dispositivos que proporciona o utiliza servicios de muro contra incendios.
BREVE DESCRIPCION DE LOS DIBUJOS
La Figura 1 es un diagrama de bloques de una computadora adecuada para uso en una red que soporta un ambiente de muro contra incendios distribuido; la Figura 2 es un diagrama de bloques de una red de computadora capaz de soportar una implementacion de muro contra incendios distribuida; la Figura 3 es una vista lógica de una modalidad de la implementacion de muro contra incendios distribuida; la Figura 4 es otra vista lógica de la modalidad de la implementacion de muro contra incendios distribuida de la Figura 3; la Figura 5 es un diagrama de bloques de una red de computadora que muestra otra modalidad de la implementacion de muro contra incendios distribuida; la Figura 6 es una vista lógica de la modalidad de la Figura 5; la Figura 7 es una vista de incluso otra modalidad de una implementacion de muro contra incendios distribuida; la Figura 8 es un diagrama de bloques representativo de una computadora adecuada para participación en una implementacion de muro contra incendios distribuida; y la Figura 9 es un diagrama de bloques representativo de otra computadora adecuada para participación en una implementación de muro contra incendios distribuida.
DESCRIPCION DETALLADA
Aunque el siguiente texto menciona sólo una descripción detallada de numerosas modalidades diferentes, se debe entender que el alcance legal de la descripción se define por las palabras de las reivindicaciones mencionadas al final de esta descripción. La descripción detallada debe construirse como ilustrativa solamente y no describe toda modalidad posible ya que describir toda modalidad posible sería impráctico, si no es que imposible. Deben implementarse numerosas modalidades alternativas, al utilizar ya sea la tecnología actual o la tecnología desarrollada después de la fecha de presentación de esta patente, que aún cae dentro del alcance de las reivindicaciones. También se debe entender que, a menos que se defina un término expresamente en esta patente que utiliza la oración "Como se utiliza aquí, el término ' ' se define aquí para significar..." o una oración similar, no existe la intención de limitar el significado de ese término, ya sea expresamente o por implicación, más allá de su plan o significado ordinario, y tal término no debe interpretarse para limitarse en alcance basándose a cualquier declaración hecha en cualquier sección de esta patente (diferente al lenguaje de las reivindicaciones). Hasta la extensión que cualquier término mencionado en las reivindicaciones al final de esta patente se denomina en esta patente en una forma consistente con un significado individual, esto se hace para la búsqueda de claridad solamente para no confundir al lector, y no se pretende que tal término de reivindicaciones este limitado, por implicación o de otra forma, a ese significado individual. Finalmente, a menos que se defina un elemento de reivindicación al mencionar la palabra "significa" y una función sin la mención de ninguna estructura, no se pretende que el alcance de cualquier elemento de reivindicación se interprete basándose en la aplicación de 35 U.S.C. § 112, sexto párrafo . Gran parte de la funcionalidad inventiva y muchos de los principios inventivos se implementan mejor con o en programas de software o instrucciones y circuitos integrados (ICs) tal como ICs específicos de aplicación. Se espera que un experto en la técnica, sin importar el esfuerzo posiblemente significante y muchas elecciones de diseño motivadas, por ejemplo, por tiempo disponible, tecnología actual, y consideraciones económicas, cuando se guían por los conceptos y principios aquí descritos serán capaces fácilmente de generar tales instrucciones de software y programas e ICs con experimentación mínima. Por lo tanto, en el interés de brevedad y minimización de cualquier riesgo de obscurecer los principios y conceptos de acuerdo con la presente invención, discusión adicional de tal software e ICs, si hay alguna, se limitarán a lo esencial con respecto a los principios y conceptos de las modalidades preferidas. La Figura 1 ilustra un dispositivo de cómputo en la forma de una computadora 110 que puede participar en un sistema de muro contra incendios distribuido. Los componentes de la computadora 110 pueden incluir, pero no se limitan a una unidad de procesamiento 120, una memoria de sistema 130, y un conductor común de sistema 121 que se acopla varios componentes de sistema que incluyen la memoria de sistema a la unidad de procesamiento 120. El conductor común de sistema 121 puede ser cualquiera de varios tipos de estructuras de conductor común que incluyen un conductor común de memoria o controlador de memoria, un conductor común periférico, y un conductor común local que utiliza cualquiera de una variedad de arquitecturas de conductor común. A manera de ejemplo, y no de limitación, tales arquitecturas incluyen conductor común de Arquitectura Industrial Estándar (ISA), conductor común de Arquitectura de Micro canal (MCA), conductor común ISA Mejorado (EISA), conductor común local de Asociación de Estándares Electrónicos de Video (VESA), y el conductor común de Interconexión de Componente Periférico (PCI) también conocido como conductor común de Mezzanine. La computadora 110 típicamente incluye una variedad de medios legibles por computadora. Los medios legibles por computadora pueden ser cualquier medio disponible que puede accederse por la computadora 110 e incluye tanto medios volátiles como no volátiles, medios removibles y no removibles. A manera de ejemplo, y no de limitación, los medios legibles por computadora pueden comprender medios de almacenamiento por computadora y medios de comunicación. Los medios de almacenamiento por computadora incluyen medios volátiles y no volátiles, removibles y no removibles ¡mplementados en cualquier método o tecnología para almacenamiento de información tal como instrucciones legibles por computadora, estructuras de datos, módulos de programa u otros datos. Los medios de almacenamiento por computadora incluyen, pero no se limitan a, RAM, ROM, EEPROM, memoria FLASH u otra tecnología de memoria, CD-ROM, discos versátiles digitales (DVD) u otro almacenamiento de disco óptico, cassettes magnéticos, cinta magnética, almacenamiento de disco magnético u otros dispositivos de almacenamiento magnético, o cualquier otro medio que puede utilizarse para almacenar la información deseada y que puede accederse por la computadora 110. Los medios de comunicación típicamente representan instrucciones legibles por computadora, estructuras de datos, módulos de programa u otros datos en una señal de datos modulada tal como una onda portadora u otro mecanismo de transporte e incluye cualquier medio de entrega de información. El término "señal de datos modulada" significa una señal que tiene una o más de sus características establecidas o cambiadas de tal forma para codificar información en la señal. A manera de ejemplo, y no de limitación, los medios de comunicación incluyen medios cableados tal como una red cableada o conexión cableada directa, y medios inalámbricos tal como medios acústicos, de radiofrecuencia, infrarrojos u otros medios inalámbricos. Las combinaciones de cualquiera de los anteriores también deben incluirse dentro del alcance de medios legibles por computadora.
La memoria de sistema 130 incluye medios de almacenamiento por computadora en la forma de memoria volátil y/o no volátil tal como memoria sólo de lectura (ROM) 131 y memoria de acceso aleatorio (RAM) 132. Un sistema de entrada/salida básico 133 (BIOS), que contiene las rutinas básicas que ayudan a transferir información entre elementos dentro de la computadora 110, tal como durante el arranque, típicamente se almacena en ROM 131. La RAM 132 típicamente contiene datos y/o módulos de programa que son inmediatamente accesibles a y/o actualmente se operan por la unidad de procesamiento 120. A manera de ejemplo, y no de limitación, la Figura 1 ilustra el sistema operativo 134, programas de aplicación 135, otros módulos de programa 136, y datos de programa 137. La computadora 110 también puede incluir otros medios de almacenamiento de computadora removibles/no removibles, volátiles/no volátiles. A manera de ejemplo solamente, la Figura 1 ilustra una unidad de disco duro 140 que lee de o escribe a medios magnéticos no removibles, no volátiles, una unidad de disco magnético 151 que lee de o escribe a un disco magnético removible, no volátil 152, y una unidad de disco óptico 155 que lee de o escribe a un disco óptico removible, no volátil 156 tal como un CD ROM u otros medios ópticos. Otros medios de almacenamiento por computadora removibles/no removibles, volátiles/no volátiles que pueden utilizarse en el ambiente operativo ilustrativo incluyen, pero no se limitan a, cassettes de cinta magnética, tarjetas de memoria flash, discos versátiles digitales, cinta de video digital, RAM de 1 o estado sólido, ROM de estado sólido, y similares. La unidad de disco duro 141 típicamente se conecta al conductor común de sistema 121 a través de una interfase de memoria no removible tal como interfase 140, y unidad de disco magnético 151 y unidad de disco óptico 155 que típicamente se conectan al conductor común de sistema 121 a través de una interfase de memoria removible, tal como interfase 150. Las unidades y sus medios de almacenamiento por computadora asociados discutidos anteriormente e ilustrados en la Figura 1, proporcionan almacenamiento de instrucciones legibles por computadora, estructuras de datos, módulos de programa y otros datos para la computadora 110. La Figura 1, por ejemplo, la unidad de disco duro 141 se ilustra como almacenando el sistema operativo 144, programas de aplicación 145, otros módulos de programa 146, y datos de programa 147. Se nota que estos componentes pueden ser los mismos o diferentes del sistema operativo 134, programas de aplicación 135, otros módulos de programa 136, y datos de programa 137. El sistema operativo 144, programas de aplicación 145, otros módulos de programa 146, y datos de programa 147 se les proporciona aquí números diferentes para ilustrar que, en un mínimo, son copias diferentes. Un usuario puede ingresar comandos e información en la computadora 110 a través de los dispositivos de entrada tal como un teclado 162 y dispositivo de señalamiento 161, comúnmente denominados como un ratón, seguibola o almohadilla sensible al tacto. Otro dispositivo de entrada puede ser una cámara para enviar imágenes en Internet, conocido como una cámara web 163. Otros dispositivos de entrada (no mostrados) pueden incluir un micrófono, palanca de mandos, almohadilla de juegos, antena parabólica, escáner, o similares. Estos y otros dispositivos de entrada frecuentemente se conectan a la unidad de procesamiento 120 a través de una interfase de entrada de usuario 160 que se acopla al conductor común de sistema, pero puede conectarse por otra interfase y estructuras de conductor común, tal como un puerto paralelo, puerto de juegos o un conductor común en serie universal (USB). Un monitor 191 u otro tipo de dispositivo de presentación también se conecta al conductor común de sistema 121 a través de una interfase, tal como una interfase de video 190. Además del monitor, las computadoras también pueden incluir otros dispositivos de salida periféricos tal como bocinas 197 e impresora 196, que pueden conectarse a través de una interfase periférica de salida 195.
La computadora 110 puede operar en un ambiente en red que utiliza conexiones lógicas a una o más computadoras remotas, tal como una computadora remota 180. La computadora remota 180 puede ser una computadora personal, un servidor, un enrutador, una PC de red, un dispositivo par u otro nodo de red común, y típicamente incluye muchos o todos los elementos descritos anteriormente relativos a la computadora 110, aunque se ilustró sólo un dispositivo de almacenamiento en memoria 181 en la Figura 1. Las conexiones lógicas ilustradas en la Figura 1 incluyen una red de área local (LAN) 171 y una red de área amplia (WAN) 173, pero también pueden incluir otras redes. Tales ambientes en red comúnmente están ubicados en oficinas, en redes de computadora extendidas en empresas, intranets e Internet. Cuando se utiliza en un ambiente en red LAN, la computadora 110 se conecta a la LAN 171 a través de una interfase de red o adaptador 170. La interfase de red o adaptador 170 puede incluir una capacidad de muro contra incendios, como se discutió adicionalmente más adelante. Cuando se utiliza en un ambiente en red WAN, la computadora 110 típicamente incluye un módem 172 u otros medios para establecer comunicaciones en la WAN 173, tal como Internet. El módem 172, que puede ser interno o externo, puede conectarse al conductor común de sistema 121 a través de la interfase de entrada de usuario 160, u otro mecanismo apropiado. En un ambiente en red, los módulos de programa ilustrados relativos a la computadora 110, o porciones de los mismos, pueden almacenarse en el dispositivo de almacenamiento de memoria remota. A manera de ejemplo, y no de limitación, la Figura 1 ilustra programas de aplicación remotos 185 como residentes en el dispositivo de memoria 181. Se apreciará que las conexiones en red mostradas son ilustrativas y pueden utilizarse otros medios para establecer un enlace de comunicaciones entre las computadoras. La Figura 2 ilustra una red de computadora 200 capaz de soportar una implementación de muro contra incendios distribuida. Una red externa 201, tal como Internet, puede conectarse a la red de computadora 200 por una interfase de red, tal como enrutador o dispositivo de acceso de Internet (IGD) 202. La conexión entre el IGD 202 y la red 201 puede denominarse como la conexión ascendente del IGD 202. En el lado opuesto del IGD 202 puede estar una o más conexiones descendentes. Una primera conexión descendente 204 puede acoplarse a una impresora 206 compartida en la red de computadora 200, aunque también puede hacerse disponible para recursos en la red externa 201. Una segunda conexión descendente 208 puede acoplarse primero a una computadora 210 y subsecuentemente a una computadora 211. En esta configuración, la computadora 210 puede compartir su conexión con la computadora 211 en la conexión de red 213 a través de instalaciones tal como participación de conexión de Internet (ICS) disponible a través del sistema operativo de Windows™ de Microsoft. Otra conexión descendente 212 del IGD 202 puede acoplarse a un punto de acceso inalámbrico 214 que soporta el acceso de red a un dispositivo inalámbrico 216, tal como un teléfono inteligente/ asistente digital personal (PDA) y laptop 218 en un transporte inalámbrico 220. En una implementación tradicional, de la técnica previa, el IGD 202 también puede incluir un muro contra incendios y realizar esa función para todos los dispositivos en el lado descendente del IGD 202. Esto puede resultar en todas las conexiones descendentes 204 208 212 y cada dispositivo asociado que tiene las mismas configuraciones de muro contra incendios. Las configuraciones en un muro contra incendios basado en IGD puede predeterminarse a un nivel mínimo de protección o puede no contar para las diferentes necesidades de algunos dispositivos sobre otros, tal como impresora 206 contra un dispositivo inalámbrico 216. IGD de técnica actual, además de servicios de muro contra incendios, frecuentemente realizan traducción de dirección de red (NAT). IGD que soporta IPv6 ya no proporcionarán NAT y también pueden minimizar soporte para servicios de muro contra incendios, lo que hace que el acercamiento distribuido proporcione servicios de muro contra incendios más atractivos, si no es una necesidad. Los servicios de muro contra incendios pueden incluir un número de funciones que proporciona una variedad de capacidades protectoras. La mayoría de los muros contra incendios tienen la capacidad de bloquear puertos no utilizados, es decir, rechazar cualquier tráfico entrante en un puerto que actualmente no está asociado con una aplicación o servicio particular. En puertos designados, el muro contra incendios puede restringir tráfico a protocolo autorizado, tal como http (protocolo de transferencia de hipertexto) o ftp (protocolo de transferencia de archivo). Adicionalmente, un muro contra incendios puede restringir tráfico de salida a puertos específicos, servicios o aplicaciones. Por ejemplo, un navegador web puede no ser capaz de enviar una solicitud de salida en un puerto diferente a ese puerto 80. Cualquier actividad con una fuente desconocida puede bloquearse. Por ejemplo, un programa de software espía que es desconocido para el muro contra puede bloquearse de enviar o recibir tráfico. Los muros contra incendios pueden distinguir también entre redes, es decir, una red de área local puede tener su tráfico tratado de forma diferente de una red de área ancha, tal como Internet. Un muro contra incendios puede actuar como un punto final para un túnel seguro, tal como una red privada virtual (VPN) de cuatro capas. En algunos casos, el muro contra incendios puede requerir túnel seguro para algunas conexiones o aplicaciones. El muro contra incendios puede reaccionar a instrucciones específicas para bloquear o permitir tráfico como aplicaciones o servicios que solicitan conexiones. La Figura 3 es una vista lógica de una modalidad de una implementación de muro contra incendios distribuida que utiliza la red 200 de la Figura 2. En un caso en donde el IGD 202 no proporciona servicios de muro contra incendios adecuados para un dispositivo, tal como un dispositivo inalámbrico 216, computadora 210, así como IGD 202, puede configurarse para proporcionar servicio de muro contra incendios más apropiado. Esto puede realizarse al conectar lógicamente el punto de acceso inalámbrico 214 descendente de la computadora 210, para que todo el tráfico pretendido para el dispositivo inalámbrico 216 primero pueda enrutarse a través de la computadora 210 a través de la conexión descendente 208 y conexión lógica 224. El tráfico para el dispositivo inalámbrico 216 puede incluir voz en IP (VOIP) o paquetes de Internet. (Teléfonos inteligentes ágiles de red pueden seleccionar una red de costo inferior tal como Wi F¡ cuando está disponible). La computadora 210 puede proporcionar servicios de muro contra incendios que restringen tráfico a VOlP en uno o más puertos designados o tráfico de Internet a un puerto de protocolo de acceso inalámbrico designado (WAP). La computadora 210 puede proporcionar servicios de muro contra incendios para sí mismo también. En tal caso, puede publicar que no se requieren servicios, así un dispositivo ascendente o controlador no asigna su servicios de muro contra incendios en otro dispositivo. La conexión lógica 224 se discute en más detalle siguiendo con respecto a la Figura 4. La Figura 4 es otra vista lógica de la modalidad de la implementación de muro contra incendios distribuida de la Figura 3. En operación, la conexión lógica 224 puede realizarse por cambios tanto en IGD 202 y computadora 210. El tráfico que llega de la red 201 destinado para el dispositivo inalámbrico 216 puede enrutarse primero al dispositivo 210 sobre conexión lógica 226 (conexión física 208). El tráfico puede filtrarse en la computadora 210, re-dirigirse al dispositivo inalámbrico 216 y transmitirse al IGD 202 a través de la conexión lógica 228. En el IGD 202, el tráfico filtrado puede reenrutarse a través de la conexión lógica 230 al dispositivo inalámbrico 216. El IDG por lo tanto puede tratar paquetes dirigidos al dispositivo inalámbrico 216 de forma diferente, dependiendo de la fuente. Los paquetes dirigidos al dispositivo inalámbrico 216 que vienen de la red 201 pueden enrutarse a la computadora 210, mientras los paquetes dirigidos al dispositivo inalámbrico 216 que se originan en la computadora 210 se enrutan al dispositivo inalámbrico 216. La conexión lógica 230 puede corresponder a la conexión física 212 del IGD 202 al punto de acceso inalámbrico 214 y la conexión en el aire 220 del punto de acceso inalámbrico 214 al dispositivo inalámbrico 214. En una modalidad, el dispositivo inalámbrico 216 puede publicar una solicitud para servicios de muro contra incendios. La computadora 210 puede responder a la solicitud y alcanzar acuerdo con el dispositivo inalámbrico 216 para proporcionar los servicios solicitados. El IGD 202 puede aceptar instrucciones de cualquiera del dispositivo inalámbrico 216 o la computadora 210 para enrutar tráfico como se requirió. En algunos casos el IGD puede aceptar instrucciones sólo del dispositivo cuyo tráfico se enruta. La verificación criptográfica puede requerirse para el IGD 202 para aceptar tales instrucciones. En otra modalidad, la computadora 210 puede publicar su capacidad para proporcionar servicios de muro contra incendios y el dispositivo inalámbrico 216 puede responder con una solicitud. En ambas modalidades, los datos publicados pueden utilizar un protocolo de descubrimiento de red de par a par para intercambiar información de servicios de muro contra incendios. Incluso en otra modalidad, el IGD 202, o uno de los dispositivos descendentes, puede incorporar un administrador que descubre requerimientos de servicio de muro contra incendios y capacidades de servicio de muro contra incendios y coincide con dispositivos que utilizan esa información. El administrador puede incorporar reglas para identificar requerimientos de servicio de muro contra incendios mínimos para cada dispositivo, por ejemplo, por tipo. El administrador puede coincidir con proveedores de servicio de muro contra incendios con dispositivos incluso cuando el dispositivo tiene alguna capacidad de muro contra incendios, pero, por ejemplo, no satisface el requerimiento de servicio de muro contra incendios mínimo. La Figura 5 es un diagrama de bloques de una red de computadora que muestra otra modalidad de la implementación de muro contra incendios distribuida. En esta modalidad ilustrativa, la laptop 218 proporciona servicios de muro contra incendios a la impresora 206. La impresora 206 puede tener elementos programables, o una capacidad de procesamiento rudimentaria, tal como una fuente o traducción de color. La impresora 206 entonces puede solicitar servicios de muro contra incendios apropiados al publicar una solicitud para limitar tráfico a puerto 80 para imprimir trabajos y puerto 443 para procesar fuente y solicitudes de traducción. La laptop 218 puede responder a la solicitud para servicios de muro contra incendios de la impresora 206 y la impresora 206 puede aceptarlos. Después de recibir confirmación de la impresora 206, la laptop 218 puede dirigir el IGD 202 para enrutar tráfico de la impresora como se muestra en la Figura 6. Al cambiar brevemente a la Figura 6, el tráfico de la red 201 destinada para la impresora 206 puede dirigirse primero a la laptop 218 sobre conexión lógica 232. Como anteriormente, la laptop 218 puede realizar los servicios de muro contra incendios solicitados a beneficio de la impresora 206 y hacia el tráfico filtrado al IGD 202 cobre conexión lógica 234. El IGD 202 entonces puede enrutar el tráfico a la impresora 206 sobre conexión lógica 236. Regresando a la Figura 5, en una modalidad alterna, el IGD 202 puede tener una capacidad de muro contra incendios. La laptop 218 puede reconocer la necesidad de servicios de muro contra incendios especializados para la impresora 206 y dirigir el IGD 202 para proporcionar los servicios necesarios para la impresora 206. En este caso, la laptop 218 actúa como un director, pero no maneja activamente tráfico. En el papel del director, la laptop 218 también puede verificar y manejar otros aspectos de actividad de muro contra incendios. Por ejemplo, el laptop 218 puede programarse con controles parentales, que permiten que las configuraciones de muro contra incendios cambien por usuario o por tiempo de día. La modalidad de las Figuras 5 y 6 utilizan impresora 206 y laptop 218 como elementos de red ilustrativos. Los principios aplican igualmente a otros dispositivos tal como computadora 210, PDA 216, u otros dispositivos no ilustrados específicamente, tal como dispositivo de almacenamiento unido a red. Otra secuencia para descubrimiento y acuerdo de servicio de muro contra incendios para provisión que son posibles, como se discutió anteriormente con respecto a la Figura 4. La Figura 7 es una vista de incluso otra modalidad de una implementación de muro contra incendios distribuida. La computadora 210 se muestra acoplada a la red 201 sobre la conexión 208 a través de IGD 202. La computadora 210 también se muestra compartiendo su conexión de Internet con la computadora 211 sobre la conexión de red 213. Como se mencionó anteriormente, esto puede ser a través de una conexión de Internet que comparte instalación en computadora 210 y puede involucrar dos puertos de red, uno que soporta conexión 208 y el otro que soporta conexión 213. La computadora 211 puede publicar una solicitud para servicios de muro contra incendios y computadora 210 puede responder con su capacidad para proporcionar los servicios solicitados. Las dos computadoras 210 211 entonces pueden acordar los términos asociados con proporcionar los servicios solicitados. Tales términos pueden incluir consideraciones contractuales o monetarias, pero también ser simplemente un acuerdo que la computadora 210 proporcionará servicios de muro contra incendios que satisfacen las necesidades de computadora 211, o un requerimiento mínimo de la red 200. Lógicamente, tráfico recibido en IGD 202 dirigido a computadora 211 puede transportarse a la computadora 210 sobre conexión lógica 238, filtrado en computadora 210 y dirigido sobre conexión lógica 240. Los datos de la computadora 211 pueden enviarse a través del enlace lógico 242 y dirigido a través del enlace lógico 244 al IGD 202 y eventualmente fuera a la red 201. Como se muestra en la Figura 2, otros dispositivos pueden existir en el lado descendente del IGD 202, que incluye en conexión de red 208. Los servicios de muro contra incendios proporcionados por la computadora 210 pueden ofrecer protección no sólo de tráfico en red 201, pero también de tráfico indeseado y no autorizado de estos dispositivos localmente conectados. La Figura 8 es un diagrama de bloques representativo de una computadora adecuada para participación en una implementacion de muro contra incendios distribuida. Una red de área ancha 802 puede tener una conexión de red 804 a un enrutador 806 u otra conexión de acceso de Internet. El enrutador 806 puede acoplarse a una computadora 808 a través de una conexión 807. La computadora 808 puede tener una conexión de red 810 que soporta la conexión 807 al enrutador 806. La computadora 808 también puede tener un administrador 812 o controlador acoplado a la conexión de red 810 e a un proveedor de servicio 814. El administrador 812 puede ser operable para verificar solicitudes publicadas para servicios de muro contra incendios desde otro dispositivo, tal como dispositivo electrónico 816. El administrador 812 entonces puede configurar la conexión de red 810 para soportar recepción de tráfico dirigido al dispositivo electrónico 816 y lo enruta al servicio de muro contra incendios 814. Cuando el tráfico dirigido al dispositivo electrónico 816 llega, puede enrutarse al servicio de muro contra incendios 814 y procesarse de acuerdo con lo acordado en requerimientos de servicio de muro contra incendios, que resulta en tráfico filtrado. La conexión de red 810, en conjunto con el administrador 812, entonces puede regresar el tráfico filtrado del servicio de muro contra incendios 814 al enrutador 806 para entregar en la conexión de red 818 al dispositivo electrónico 816. Si la computadora 808 también tiene capacidad de enrutamiento, puede enviar el tráfico filtrado directamente al dispositivo electrónico 816 sobre conexión 820. El tráfico dirigido a la computadora 808 también puede procesarse por el servicio de muro contra incendios 814. En algunos casos, el administrador 812 puede cambiar el nivel de servicios de muro contra incendios proporcionado, dependiendo de los requerimientos para cumplimiento con políticas fijas o reglas administrativas. En muchos casos, los servicios de muro contra incendios proporcionados pueden ser más restrictivos que aquellos solicitados por el dispositivo electrónico 816, aunque pueden aplicar servicios de muro contra incendios menos restrictivos. Por ejemplo, servicios de muro contra incendios menos restrictivos pueden ser apropiados cuando el administrador 812 está consciente de servicios de muros contra incendios ascendentes (no ilustrados) que reducen un requerimiento local. La Figura 9 es un diagrama de bloques representativo de otra computadora adecuada para participación en una implementacion de muro contra incendios distribuida. En una modalidad ilustrativa correspondiente a la configuración de red mostrada en la Figura 7, una red 902, tal como Internet, se muestra acoplado a computadora 906 a través de conexión de red 904. La computadora 906 tiene una primera conexión de red 908, un administrador 910 o controlador, y un servicio de muro contra incendios 912 similar a aquellos descritos con respecto a la Figura 8. La computadora 906 también se muestra teniendo una segunda conexión de red 914 acoplada a través de la conexión 916 a una red 918. y subsecuentemente a dispositivo electrónico 920. El dispositivo electrónico 920 puede solicitar al servicio de muro contra incendios, puede responder a una oferta publicada para proporcionar servicio de muro contra incendios por computadora 906, o puede asignarse un servicio de muro contra incendios predeterminado cuando la computadora 906 no puede determinar la capacidad de muro contra incendios del dispositivo electrónico 920. El tráfico dirigido al dispositivo electrónico 920 que llega en la conexión de red 908 puede dirigirse por el administrador 910 al servicio de muro contra incendios 912 en donde el filtrado puede realizarse a beneficio del dispositivo 920. El administrador 910 entonces puede dirigir el tráfico filtrado a la conexión de red 914 para entrega al dispositivo electrónico 920. Mientras las redes actuales y dispositivos se espera que se beneficien del aparato y técnicas descritas anteriormente, las redes convertidas a IPv6 que utilizan dispositivos de acceso de Internet de costo inferior o función inferior pueden ser beneficiarios incluso más grandes. Adicionalmente, el uso de un administrador inteligente para evaluar necesidades y requerimientos de servicio de muro contra incendios, en vista de reglas administrativas y arquitectura de red actual, puede permitir menos duplicado de funcionalidad mientras mantiene o excede protección proporcionada por arquitecturas de muro contra incendios precias. Aunque el texto anterior menciona descripción detallada de numerosas modalidades diferentes de la invención, se debe entender que el alcance de la invención se define por las palabras de las reivindicaciones mencionadas al final de esta patente. La descripción detallada se debe interpretar como ilustrativo solamente y no describe toda modalidad posible de la invención ya que describir toda modalidad posible sería impráctico, si no es que imposible. Pueden ¡mplementarse numerosas modalidades alternativas, que utilizan ya sea tecnología actual o tecnología desarrollada después de la fecha de presentación de esta patente, que aún caerá dentro del alcance de las reivindicaciones que definen la invención. De esa forma, pueden hacerse muchas modificaciones y variaciones en las técnicas y estructuras descritas e ilustradas aquí sin apartarse del espíritu y alcance de la presente invención. Por consiguiente, se debe entender que los métodos y aparatos aquí descritos son ilustrativos solamente y no son limitantes en el alcance de la invención.
Claims (9)
1.- Un método para configurar servicios de muro contra incendios en una red 200 que tiene una pluralidad de dispositivos, comprende: determinar una capacidad de muro contra incendios para un primer dispositivo 210 en la red 200; determinar un requerimiento de servicio de muro contra incendios para un segundo dispositivo 216 en la red; y configurar el primer dispositivo 210 para proporcionar servicio de muro contra incendios para sí mismo 210 y para el segundo dispositivo 216 de acuerdo con el requerimiento de servicio de muro contra incendios del segundo dispositivo 216 y la capacidad de muro contra incendios del primer dispositivo 210.
2.- El método de acuerdo con la reivindicación 1, que además comprende configurar un enrutador 202 para colocar lógicamente el segundo dispositivo 216 detrás del primer dispositivo 210.
3. - El método de acuerdo con la reivindicación 1 , en donde determinar la capacidad de muro contra incendios para el primer dispositivo 210 comprende verificar información publicada que corresponde a la capacidad de muro contra incendios del primer dispositivo.
4. - El método de acuerdo con la reivindicación 1 , en donde determinar el requerimiento de servicio de muro contra incendios comprende verificar una solicitud publicada para servicios de muro contra incendios del segundo dispositivo 216.
5. - El método de acuerdo con la reivindicación 4, en donde una configuración administrativa requiere que el servicio de muro contra incendios sea más restrictivo que la solicitud publicada para servicios de muro contra incendios desde el segundo dispositivo 216.
6. - El método de acuerdo con la reivindicación 1, en donde determinar el requerimiento de servicio de muro contra incendios comprende seleccionar un servicio de muro contra incendios predeterminado para el segundo dispositivo 216 cuando no está disponible información publicada del segundo dispositivo 216.
7. - El método de acuerdo con la reivindicación 1, en donde un dispositivo ascendente 202 establece acceso abierto para su servicio de muro contra incendios cuando un dispositivo descendente 210 tiene una capacidad de muro contra incendios que satisface una capacidad de muro contra incendios mínima.
8. - Una red 200 que tiene una pluralidad de dispositivos adaptados para protección de muro contra incendios configurable que comprende: un enrutador 806 con un lado ascendente 804 y un lado descendente 807 818 para dirigir tráfico de datos con dispositivos en la red; un primer dispositivo 808 acoplado al lado descendente 807 del enrutador, el primer dispositivo 808 teniendo una capacidad de proveer al menos una capacidad de muro contra incendios; y un segundo dispositivo 816 acoplado al lado descendente del enrutador 818, el segundo dispositivo 816 adaptado para publicar una solicitud para un servicio de muro contra incendios, en donde el primer dispositivo 808 provee al menos una capacidad de muro contra incendios en respuesta a la solicitud del segundo dispositivo 816 cuando al menos una capacidad de muro contra incendios del primer dispositivo 808 satisface un requerimiento de la solicitud para el servicio de muro contra incendios. 9 - La red de acuerdo con la reivindicación 8, en donde el requerimiento está implícito en la solicitud. 10.- La red de acuerdo con la reivindicación 8, en donde el enrutador 806 acepta una señal para dirigir tráfico entrante dirigido al segundo dispositivo 816 al primer dispositivo 808 para cumplir la solicitud para el servicio de muro contra incendios. 11. - La red de acuerdo con la reivindicación 8, en donde el primer dispositivo 808 comparte una conexión de red 820 916 al segundo dispositivo 816 920. 12. - La red de acuerdo con la reivindicación 8, en donde el primer dispositivo 808 publica la capacidad de proveer al menos una capacidad de muro contra incendios. 13.- La red de acuerdo con la reivindicación 12, en donde el segundo dispositivo 816 recibe del primer dispositivo 808 la capacidad publicada para proveer al menos una capacidad de muro contra incendios y dirige la solicitud para el servicio de muro contra incendios al primer dispositivo 808. 14.- La red de acuerdo con la reivindicación 8, que además comprende un controlador 812 para verificar una capacidad de muro contra incendios y un requerimiento de servicio de muro contra incendios para cada uno de la pluralidad de dispositivos adaptados para protección de muro contra incendios conf igurable. 15.- La red de acuerdo con la reivindicación 14, en donde el controlador 812 se incorpora en uno del primer dispositivo 808 y el enrutador 806. 16. - La red de acuerdo con la reivindicación 14, en donde el controlador 812 tiene una función de comunicación para publicar un requerimiento de servicio de muro contra incendios para cada uno de la pluralidad de dispositivos. 17. - La red de acuerdo con la reivindicación 16, en donde el primer dispositivo 808 provee al menos una capacidad de muro contra incendios para ser más restrictivo que la solicitud para servicio de muro contra incendios del segundo dispositivo 816 cuando el requerimiento de servicio de muro contra incendios publicado sea más restrictivo que la solicitud para servicio de muro contra incendios del segundo dispositivo 816. 18. - La red de acuerdo con la reivindicación 14, en donde el controlador 812 asigna un servicio de muro contra incendios predeterminado para un tercer dispositivo 206 que no publica una solicitud para servicio de muro contra incendios. 1
9. - Una computadora 808 distribuida y adaptada para proporcionar servicios de muro contra incendios a otro dispositivo electrónico 816 que comprende: una conexión de red 810 que soporta tráfico de datos bidireccionales con una red ascendente 804; un administrador 812 acoplado con la conexión de red 807 operable para verificar solicitudes publicadas para servicios de muro contra incendios de otro dispositivo electrónico 816, y, en respuesta a la solicitud, configurar la conexión de red 810 para colocar el otro dispositivo electrónico 816 lógicamente descendente de la computadora 808, y determinar un nivel de servicio de muro contra incendios para proporcionar el otro dispositivo electrónico 816; y un proveedor de servicio de muro contra incendios 814 acoplado al administrador 812 y la conexión de red 810, en donde el proveedor de servicio de muro contra incendios soporta servicio de muro contra incendios para sí mismo 808 y proporciona servicio de muro contra incendios para tráfico de datos dirigidos al otro dispositivo electrónico 816 de acuerdo con el nivel determinado por el administrador 812. 20.- La computadora de acuerdo con la reivindicación 19, que además comprende una segunda conexión de red 916 en donde el tráfico de datos en la conexión de red dirigida al otro dispositivo electrónico 920 se filtra de acuerdo con el nivel de servicio de muro contra incendios y se enruta a través de la segunda conexión de red 916.
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/429,476 US8079073B2 (en) | 2006-05-05 | 2006-05-05 | Distributed firewall implementation and control |
| PCT/US2007/011053 WO2008100265A2 (en) | 2006-05-05 | 2007-05-07 | Distributed firewall implementation and control |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| MX2008013659A true MX2008013659A (es) | 2008-11-04 |
Family
ID=38662645
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| MX2008013659A MX2008013659A (es) | 2006-05-05 | 2007-05-07 | Implementacion y control de muro contra incendios distribuido. |
Country Status (9)
| Country | Link |
|---|---|
| US (1) | US8079073B2 (es) |
| EP (1) | EP2016708A4 (es) |
| JP (1) | JP5031826B2 (es) |
| KR (1) | KR20090006164A (es) |
| CN (1) | CN101438534B (es) |
| BR (1) | BRPI0710933A8 (es) |
| MX (1) | MX2008013659A (es) |
| RU (1) | RU2432695C2 (es) |
| WO (1) | WO2008100265A2 (es) |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8122492B2 (en) * | 2006-04-21 | 2012-02-21 | Microsoft Corporation | Integration of social network information and network firewalls |
| US8079073B2 (en) | 2006-05-05 | 2011-12-13 | Microsoft Corporation | Distributed firewall implementation and control |
| US8176157B2 (en) * | 2006-05-18 | 2012-05-08 | Microsoft Corporation | Exceptions grouping |
| KR20080046512A (ko) * | 2006-11-22 | 2008-05-27 | 삼성전자주식회사 | 네트워크 리소스 공유 방법 및 그 장치 |
| WO2008090470A2 (en) * | 2007-01-16 | 2008-07-31 | Absolute Software Corporation | A security module having a secondary agent in coordination with a host agent |
| US8069230B2 (en) * | 2007-10-31 | 2011-11-29 | Affinegy, Inc. | System and method of configuring a network |
| US20100199343A1 (en) * | 2009-02-03 | 2010-08-05 | Aruba Networks, Inc. | Classification of wired traffic based on vlan |
| US9264369B2 (en) | 2010-12-06 | 2016-02-16 | Qualcomm Incorporated | Technique for managing traffic at a router |
| US8966601B2 (en) * | 2011-09-23 | 2015-02-24 | Hewlett-Packard Development Company, L.P. | Connection of peripheral devices to wireless networks |
| EP2854335A1 (en) * | 2013-09-30 | 2015-04-01 | British Telecommunications public limited company | Data network management |
| US20150358289A1 (en) * | 2014-06-10 | 2015-12-10 | Christopher Michael Ball | Preconfigured transparent firewall with stateful inspection for embedded devices |
| US9912641B2 (en) * | 2014-07-03 | 2018-03-06 | Juniper Networks, Inc. | System, method, and apparatus for inspecting online communication sessions via polymorphic security proxies |
| WO2016028304A1 (en) | 2014-08-21 | 2016-02-25 | Hewlett-Packard Development Company, L.P. | Request for network credential |
| CN104202333A (zh) * | 2014-09-16 | 2014-12-10 | 浪潮电子信息产业股份有限公司 | 一种分布式防火墙的实现方法 |
| EP3439259B1 (de) * | 2017-08-02 | 2019-11-27 | Siemens Aktiengesellschaft | Härten eines kommunikationsgerätes |
| US11184384B2 (en) * | 2019-06-13 | 2021-11-23 | Bank Of America Corporation | Information technology security assessment model for process flows and associated automated remediation |
Family Cites Families (93)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5606668A (en) * | 1993-12-15 | 1997-02-25 | Checkpoint Software Technologies Ltd. | System for securing inbound and outbound data packet flow in a computer network |
| US5835726A (en) * | 1993-12-15 | 1998-11-10 | Check Point Software Technologies Ltd. | System for securing the flow of and selectively modifying packets in a computer network |
| JPH08129507A (ja) * | 1994-10-31 | 1996-05-21 | Ricoh Co Ltd | 情報保管管理システム |
| US6009469A (en) * | 1995-09-25 | 1999-12-28 | Netspeak Corporation | Graphic user interface for internet telephony application |
| US6152803A (en) * | 1995-10-20 | 2000-11-28 | Boucher; John N. | Substrate dicing method |
| JP3165366B2 (ja) * | 1996-02-08 | 2001-05-14 | 株式会社日立製作所 | ネットワークセキュリティシステム |
| US6003084A (en) * | 1996-09-13 | 1999-12-14 | Secure Computing Corporation | Secure network proxy for connecting entities |
| US7634529B2 (en) * | 1996-11-29 | 2009-12-15 | Ellis Iii Frampton E | Personal and server computers having microchips with multiple processing units and internal firewalls |
| US6009475A (en) * | 1996-12-23 | 1999-12-28 | International Business Machines Corporation | Filter rule validation and administration for firewalls |
| US5987611A (en) * | 1996-12-31 | 1999-11-16 | Zone Labs, Inc. | System and methodology for managing internet access on a per application basis for client computers connected to the internet |
| US5974549A (en) * | 1997-03-27 | 1999-10-26 | Soliton Ltd. | Security monitor |
| US6212558B1 (en) * | 1997-04-25 | 2001-04-03 | Anand K. Antur | Method and apparatus for configuring and managing firewalls and security devices |
| US5968176A (en) * | 1997-05-29 | 1999-10-19 | 3Com Corporation | Multilayer firewall system |
| US6154775A (en) * | 1997-09-12 | 2000-11-28 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with dynamic rule processing with the ability to dynamically alter the operations of rules |
| US6003133A (en) * | 1997-11-17 | 1999-12-14 | Motorola, Inc. | Data processor with a privileged state firewall and method therefore |
| US6480959B1 (en) * | 1997-12-05 | 2002-11-12 | Jamama, Llc | Software system and associated methods for controlling the use of computer programs |
| US6088804A (en) * | 1998-01-12 | 2000-07-11 | Motorola, Inc. | Adaptive system and method for responding to computer network security attacks |
| US6131163A (en) * | 1998-02-17 | 2000-10-10 | Cisco Technology, Inc. | Network gateway mechanism having a protocol stack proxy |
| US6253321B1 (en) * | 1998-06-19 | 2001-06-26 | Ssh Communications Security Ltd. | Method and arrangement for implementing IPSEC policy management using filter code |
| US6219706B1 (en) * | 1998-10-16 | 2001-04-17 | Cisco Technology, Inc. | Access control for networks |
| US6149585A (en) * | 1998-10-28 | 2000-11-21 | Sage Health Management Solutions, Inc. | Diagnostic enhancement method and apparatus |
| US6466976B1 (en) * | 1998-12-03 | 2002-10-15 | Nortel Networks Limited | System and method for providing desired service policies to subscribers accessing the internet |
| US6611875B1 (en) * | 1998-12-31 | 2003-08-26 | Pmc-Sierra, Inc. | Control system for high speed rule processors |
| US6631466B1 (en) * | 1998-12-31 | 2003-10-07 | Pmc-Sierra | Parallel string pattern searches in respective ones of array of nanocomputers |
| US6643776B1 (en) * | 1999-01-29 | 2003-11-04 | International Business Machines Corporation | System and method for dynamic macro placement of IP connection filters |
| US6636898B1 (en) | 1999-01-29 | 2003-10-21 | International Business Machines Corporation | System and method for central management of connections in a virtual private network |
| CA2296989C (en) | 1999-01-29 | 2005-10-25 | Lucent Technologies Inc. | A method and apparatus for managing a firewall |
| JP3314749B2 (ja) * | 1999-02-17 | 2002-08-12 | 株式会社デンソー | 電子制御装置 |
| US6721890B1 (en) * | 1999-05-04 | 2004-04-13 | Microsoft Corporation | Application specific distributed firewall |
| US6792615B1 (en) * | 1999-05-19 | 2004-09-14 | New Horizons Telecasting, Inc. | Encapsulated, streaming media automation and distribution system |
| ATE350829T1 (de) * | 1999-06-10 | 2007-01-15 | Alcatel Internetworking Inc | System und verfahren zur einheitlichen regelverwaltung mit integriertem regelumsetzer |
| US6347376B1 (en) * | 1999-08-12 | 2002-02-12 | International Business Machines Corp. | Security rule database searching in a network security environment |
| US7016980B1 (en) | 2000-01-18 | 2006-03-21 | Lucent Technologies Inc. | Method and apparatus for analyzing one or more firewalls |
| GB2364477B (en) * | 2000-01-18 | 2003-11-05 | Ericsson Telefon Ab L M | Virtual private networks |
| US6963900B2 (en) * | 2000-02-29 | 2005-11-08 | John Edward Boyd | Computer-based networking service and method and system for performing the same |
| US6496935B1 (en) * | 2000-03-02 | 2002-12-17 | Check Point Software Technologies Ltd | System, device and method for rapid packet filtering and processing |
| GB2365256A (en) * | 2000-07-28 | 2002-02-13 | Ridgeway Systems & Software Lt | Audio-video telephony with port address translation |
| GB2366163A (en) * | 2000-08-14 | 2002-02-27 | Global Knowledge Network Ltd | Inter-network connection through intermediary server |
| US7120931B1 (en) * | 2000-08-31 | 2006-10-10 | Cisco Technology, Inc. | System and method for generating filters based on analyzed flow data |
| US6931529B2 (en) * | 2001-01-05 | 2005-08-16 | International Business Machines Corporation | Establishing consistent, end-to-end protection for a user datagram |
| US7280540B2 (en) * | 2001-01-09 | 2007-10-09 | Stonesoft Oy | Processing of data packets within a network element cluster |
| WO2002057917A2 (en) * | 2001-01-22 | 2002-07-25 | Sun Microsystems, Inc. | Peer-to-peer network computing platform |
| NZ527660A (en) * | 2001-01-26 | 2005-03-24 | Bridicum Security Group As | System for providing services and virtual programming interface |
| CA2437548A1 (en) * | 2001-02-06 | 2002-11-28 | En Garde Systems | Apparatus and method for providing secure network communication |
| US6941474B2 (en) * | 2001-02-20 | 2005-09-06 | International Business Machines Corporation | Firewall subscription service system and method |
| US6697810B2 (en) * | 2001-04-19 | 2004-02-24 | Vigilance, Inc. | Security system for event monitoring, detection and notification system |
| US7024460B2 (en) * | 2001-07-31 | 2006-04-04 | Bytemobile, Inc. | Service-based compression of content within a network communication system |
| US6938155B2 (en) * | 2001-05-24 | 2005-08-30 | International Business Machines Corporation | System and method for multiple virtual private network authentication schemes |
| US20030005328A1 (en) * | 2001-06-29 | 2003-01-02 | Karanvir Grewal | Dynamic configuration of IPSec tunnels |
| US6513122B1 (en) * | 2001-06-29 | 2003-01-28 | Networks Associates Technology, Inc. | Secure gateway for analyzing textual content to identify a harmful impact on computer systems with known vulnerabilities |
| US7016901B2 (en) * | 2001-07-31 | 2006-03-21 | Ideal Scanners & Systems, Inc. | System and method for distributed database management of graphic information in electronic form |
| US20030028806A1 (en) * | 2001-08-06 | 2003-02-06 | Rangaprasad Govindarajan | Dynamic allocation of ports at firewall |
| US20030084331A1 (en) * | 2001-10-26 | 2003-05-01 | Microsoft Corporation | Method for providing user authentication/authorization and distributed firewall utilizing same |
| JP2003140994A (ja) * | 2001-11-01 | 2003-05-16 | Hitachi Ltd | ファイアウォール計算機システム |
| US20030110379A1 (en) * | 2001-12-07 | 2003-06-12 | Tatu Ylonen | Application gateway system, and method for maintaining security in a packet-switched information network |
| US7342876B2 (en) * | 2001-12-20 | 2008-03-11 | Sri International | Interference mitigation and adaptive routing in wireless ad-hoc packet-switched networks |
| US6845452B1 (en) * | 2002-03-12 | 2005-01-18 | Reactivity, Inc. | Providing security for external access to a protected computer network |
| US20110099621A1 (en) | 2002-04-22 | 2011-04-28 | Nicholas Lizarraga | Process for monitoring, filtering and caching internet connections |
| CN1160899C (zh) * | 2002-06-11 | 2004-08-04 | 华中科技大学 | 分布式网络动态安全保护系统 |
| US7120930B2 (en) * | 2002-06-13 | 2006-10-10 | Nvidia Corporation | Method and apparatus for control of security protocol negotiation |
| US7146638B2 (en) * | 2002-06-27 | 2006-12-05 | International Business Machines Corporation | Firewall protocol providing additional information |
| NO317294B1 (no) * | 2002-07-11 | 2004-10-04 | Birdstep Tech Asa | Sømløs Ip-mobilitet på tvers av sikkerhetsgrenser |
| FI20021407A (fi) | 2002-07-24 | 2004-01-25 | Tycho Technologies Oy | Tietoliikenteen suodattaminen |
| US20040148439A1 (en) * | 2003-01-14 | 2004-07-29 | Motorola, Inc. | Apparatus and method for peer to peer network connectivty |
| US7213235B2 (en) * | 2003-02-21 | 2007-05-01 | Sap Ag | Method for using a business model user interface |
| US7200860B2 (en) * | 2003-03-05 | 2007-04-03 | Dell Products L.P. | Method and system for secure network service |
| JP4352728B2 (ja) * | 2003-03-11 | 2009-10-28 | 株式会社日立製作所 | サーバ装置、端末制御装置及び端末認証方法 |
| FR2852754B1 (fr) * | 2003-03-20 | 2005-07-08 | At & T Corp | Systeme et methode de protection d'un reseau de transmission ip contre les attaques de deni de service |
| US7308711B2 (en) * | 2003-06-06 | 2007-12-11 | Microsoft Corporation | Method and framework for integrating a plurality of network policies |
| US7409707B2 (en) * | 2003-06-06 | 2008-08-05 | Microsoft Corporation | Method for managing network filter based policies |
| US7260840B2 (en) * | 2003-06-06 | 2007-08-21 | Microsoft Corporation | Multi-layer based method for implementing network firewalls |
| US7509673B2 (en) * | 2003-06-06 | 2009-03-24 | Microsoft Corporation | Multi-layered firewall architecture |
| US7418486B2 (en) | 2003-06-06 | 2008-08-26 | Microsoft Corporation | Automatic discovery and configuration of external network devices |
| US7559082B2 (en) * | 2003-06-25 | 2009-07-07 | Microsoft Corporation | Method of assisting an application to traverse a firewall |
| US7237260B2 (en) * | 2003-07-08 | 2007-06-26 | Matsushita Electric Industrial Co., Ltd. | Method for dynamic selection for secure and firewall friendly communication protocols between multiple distributed modules |
| US20050079858A1 (en) * | 2003-10-09 | 2005-04-14 | Rosen Eric C. | Method and apparatus for restricting media communication in a communication network |
| US20050091068A1 (en) * | 2003-10-23 | 2005-04-28 | Sundaresan Ramamoorthy | Smart translation of generic configurations |
| US20050138380A1 (en) * | 2003-12-22 | 2005-06-23 | Fedronic Dominique L.J. | Entry control system |
| WO2005064429A1 (en) * | 2003-12-23 | 2005-07-14 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and device for taking an access control policy decision |
| US8195835B2 (en) * | 2004-01-28 | 2012-06-05 | Alcatel Lucent | Endpoint address change in a packet network |
| JP2005217757A (ja) | 2004-01-29 | 2005-08-11 | Oki Techno Creation:Kk | ファイアウオール管理システム、ファイアウオール管理方法、およびファイアウオール管理プログラム |
| US20050182967A1 (en) * | 2004-02-13 | 2005-08-18 | Microsoft Corporation | Network security device and method for protecting a computing device in a networked environment |
| US7610621B2 (en) * | 2004-03-10 | 2009-10-27 | Eric White | System and method for behavior-based firewall modeling |
| US20050229246A1 (en) * | 2004-03-31 | 2005-10-13 | Priya Rajagopal | Programmable context aware firewall with integrated intrusion detection system |
| US7567560B1 (en) * | 2004-04-28 | 2009-07-28 | Cisco Technology, Inc. | System and method for securing a communication network |
| CA2467603A1 (en) * | 2004-05-18 | 2005-11-18 | Ibm Canada Limited - Ibm Canada Limitee | Visualization firewall rules in an auto provisioning environment |
| JP4341517B2 (ja) * | 2004-06-21 | 2009-10-07 | 日本電気株式会社 | セキュリティポリシー管理システム、セキュリティポリシー管理方法およびプログラム |
| US8265060B2 (en) * | 2004-07-15 | 2012-09-11 | Qualcomm, Incorporated | Packet data filtering |
| US7489781B2 (en) * | 2004-10-29 | 2009-02-10 | Research In Motion Limited | Secure peer-to-peer messaging invitation architecture |
| US7966654B2 (en) * | 2005-11-22 | 2011-06-21 | Fortinet, Inc. | Computerized system and method for policy-based content filtering |
| US8122492B2 (en) * | 2006-04-21 | 2012-02-21 | Microsoft Corporation | Integration of social network information and network firewalls |
| US8079073B2 (en) | 2006-05-05 | 2011-12-13 | Microsoft Corporation | Distributed firewall implementation and control |
| US8176157B2 (en) * | 2006-05-18 | 2012-05-08 | Microsoft Corporation | Exceptions grouping |
-
2006
- 2006-05-05 US US11/429,476 patent/US8079073B2/en not_active Expired - Fee Related
-
2007
- 2007-05-07 BR BRPI0710933A patent/BRPI0710933A8/pt not_active Application Discontinuation
- 2007-05-07 MX MX2008013659A patent/MX2008013659A/es not_active Application Discontinuation
- 2007-05-07 EP EP07872511A patent/EP2016708A4/en not_active Withdrawn
- 2007-05-07 KR KR1020087026936A patent/KR20090006164A/ko not_active IP Right Cessation
- 2007-05-07 RU RU2008143609/09A patent/RU2432695C2/ru not_active IP Right Cessation
- 2007-05-07 CN CN2007800161088A patent/CN101438534B/zh not_active Expired - Fee Related
- 2007-05-07 JP JP2009509784A patent/JP5031826B2/ja not_active Expired - Fee Related
- 2007-05-07 WO PCT/US2007/011053 patent/WO2008100265A2/en active Application Filing
Also Published As
| Publication number | Publication date |
|---|---|
| CN101438534A (zh) | 2009-05-20 |
| RU2432695C2 (ru) | 2011-10-27 |
| JP2009536405A (ja) | 2009-10-08 |
| WO2008100265A8 (en) | 2009-06-25 |
| WO2008100265A3 (en) | 2008-12-18 |
| US20070261111A1 (en) | 2007-11-08 |
| BRPI0710933A8 (pt) | 2017-01-17 |
| WO2008100265A2 (en) | 2008-08-21 |
| BRPI0710933A2 (pt) | 2011-05-31 |
| JP5031826B2 (ja) | 2012-09-26 |
| EP2016708A4 (en) | 2009-06-03 |
| EP2016708A2 (en) | 2009-01-21 |
| CN101438534B (zh) | 2013-04-10 |
| US8079073B2 (en) | 2011-12-13 |
| RU2008143609A (ru) | 2010-05-10 |
| KR20090006164A (ko) | 2009-01-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| MX2008013659A (es) | Implementacion y control de muro contra incendios distribuido. | |
| US20180145949A1 (en) | Method to enable deep packet inspection (dpi) in openflow-based software defined network (sdn) | |
| US20180013797A1 (en) | End-To-End Secure Cloud Computing | |
| US8533780B2 (en) | Dynamic content-based routing | |
| EP1859354B1 (en) | System for protecting identity in a network environment | |
| US8812730B2 (en) | Method and apparatus for network port and network address translation | |
| US20180234454A1 (en) | Securing devices using network traffic analysis and software-defined networking (sdn) | |
| US8549613B2 (en) | Reverse VPN over SSH | |
| US20070078996A1 (en) | Method for managing a network appliance and transparent configurable network appliance | |
| US20040111461A1 (en) | Managing and controlling user applications with network switches | |
| JP2005318584A (ja) | デバイスのセキュリティ状況に基づいたネットワーク・セキュリティのための方法および装置 | |
| KR20110062994A (ko) | 디엔에스 패킷 변조를 통한 인터넷 접속 경로 우회 유도시스템 및 그 방법 | |
| US20230198987A1 (en) | Systems and methods for controlling accessing and storing objects between on-prem data center and cloud | |
| JP2020533906A (ja) | ファイアウォールにipアドレスを追加するための方法、システム、および媒体 | |
| US7420973B2 (en) | Context selection in a network element through subscriber flow switching | |
| EP3166262B1 (en) | Control device, control system, control method, and control program | |
| US11463404B2 (en) | Quarantined communications processing at a network edge | |
| JP2004048340A (ja) | 広域コンピュータ通信ネットワークへのアクセス・接続品質制御システム | |
| US20050216598A1 (en) | Network access system and associated methods | |
| JP4587868B2 (ja) | ルータおよびルータプログラム | |
| US20230319684A1 (en) | Resource filter for integrated networks | |
| Tanceska et al. | Simulation Analysis of DoS, MITM and CDP Security Attacks and Countermeasures |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| FA | Abandonment or withdrawal |