NO324958B1 - System, anordning og fremgangsmate for hurtig filtrering av datapakker - Google Patents
System, anordning og fremgangsmate for hurtig filtrering av datapakker Download PDFInfo
- Publication number
- NO324958B1 NO324958B1 NO20024113A NO20024113A NO324958B1 NO 324958 B1 NO324958 B1 NO 324958B1 NO 20024113 A NO20024113 A NO 20024113A NO 20024113 A NO20024113 A NO 20024113A NO 324958 B1 NO324958 B1 NO 324958B1
- Authority
- NO
- Norway
- Prior art keywords
- packet
- firewall
- connection
- filtering module
- accordance
- Prior art date
Links
- 238000001914 filtration Methods 0.000 title claims abstract description 136
- 238000000034 method Methods 0.000 title claims abstract description 41
- 230000009471 action Effects 0.000 claims abstract description 21
- 239000012634 fragment Substances 0.000 claims description 13
- 230000004048 modification Effects 0.000 claims description 13
- 238000012986 modification Methods 0.000 claims description 13
- 230000007246 mechanism Effects 0.000 claims description 10
- 238000004891 communication Methods 0.000 claims description 9
- 238000012545 processing Methods 0.000 claims description 9
- 230000005540 biological transmission Effects 0.000 claims description 7
- 230000001502 supplementing effect Effects 0.000 abstract 1
- 230000008569 process Effects 0.000 description 9
- 230000001133 acceleration Effects 0.000 description 6
- 230000008901 benefit Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 6
- 238000011045 prefiltration Methods 0.000 description 5
- 238000007689 inspection Methods 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 150000001875 compounds Chemical class 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000009466 transformation Effects 0.000 description 2
- 101100289995 Caenorhabditis elegans mac-1 gene Proteins 0.000 description 1
- UPPPRUGHDBCPEF-UHFFFAOYSA-N Nic 17 Natural products CC(C(O)CC(=O)C)c1ccc2C3C4OC4C5(O)CC=CC(=O)C5(C)C3CCc2c1 UPPPRUGHDBCPEF-UHFFFAOYSA-N 0.000 description 1
- XUIMIQQOPSSXEZ-UHFFFAOYSA-N Silicon Chemical compound [Si] XUIMIQQOPSSXEZ-UHFFFAOYSA-N 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 239000012141 concentrate Substances 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 229910052710 silicon Inorganic materials 0.000 description 1
- 239000010703 silicon Substances 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0254—Stateful filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Image Processing (AREA)
- Auxiliary Devices For And Details Of Packaging Control (AREA)
- Supplying Of Containers To The Packaging Station (AREA)
Description
Den foreliggende oppfinnelse vedrører et system, en anordning og en fremgangsmåte for hurtig pakkefiltrering på et pakkesvitsjet nettverk, og mer bestemt til et slikt system, en anordning og en fremgangsmåte som angitt i de respektive selvstendige krav 1, 17 og 19.
Konnektivitet og sikkerhet er de to mest konfliktfylte objekter i datamiljøet til de fleste organisasjoner. Det typiske moderne datasystemet er bygd opp rundt nettverks-kommunikasjoner som frembringer transparent aksess til et antall tjenester. Den globale tilgjengelighet til disse tjenestene er muligens det viktigste trekket ved moderne dataløsninger. Krav for konnektivitet kommer både fra innenfor organisasjonene og fra utsiden av dem.
Beskyttelse av nettverkstjenester fra uautorisert bruk er av særdeles viktighet for hvilken som helst organisa-sjon. Ettersom behovet for økt sikkerhet vokser, har mid-lene for å kontrollere aksess til nettverksressurser blitt en administrativ prioritet. For å spare kostnader og opprettholde produktivitet må aksesskontroll være enkelt å konfigurere og transparent for brukere og applikasjoner. Minimalisering av oppsettkostnader og nedetid er også viktige faktorer.
Pakkefiltrering er en fremgangsmåte som tillater konnektivitet, men som likevel frembringer sikkerhet ved å kontrollere trafikken som passerer, som således motvirker ulovlige kommunikasjonsforsøk, både i enkle nettverk og mellom tilkoblede nettverk.
US Patent Nr 5.835.726 (innsendt 17. juni 1996) og 5.606.668 (innsendt 15. desember 1993), hvorved begge her-ved i helhet er innarbeidet som referanse, beskriver frem-gangsmåter for å frembringe nettverkssikkerhet ved å kontrollere inn- og utgående datapakkestrøm i et datanettverk. Strømmen av pakker kontrolleres via pakkefiltrering, utført ifølge en brukergenerert regelbase som deretter blir konvertert til et sett av filterspråkinstruksjoner. Hver regel i regelbasen omfatter en kilde, mottak, tjeneste, hvorvidt å akseptere eller avslå pakken og hvorvidt å logge, kryptere og/eller autentisere hendelsen. Settet av filterspråkinstruksjoner er installert og utføres på inspeksjonsmekanismer som er plassert på datamaskiner og som virker som brannvegger. Inspeksjonsmekanismen utfører tilstandsinspeksjon for å bestemme hvorvidt en pakke skal tillates å komme gjennom brannveggen. Brannveggene er anordnet i datanettverket slik at all trafikk til og fra nettverket som skal beskyttes tvinges til å passere gjennom brannveggen. Således at pakker blir filtrert ettersom de strømmer inn i- og ut av nettverket ifølge reglene som er i regelbasen.
Ifølge disse referansene, virker inspeksjonsmekanismen som en virtuell pakkefiltreringsmekanisme som bestemmer på en pakke ved pakkebasis hvorvidt pakken skal avslås eller aksepteres. Hvis en pakke avslås, bortfaller den. Hvis den blir akseptert kan pakken deretter bli modifisert. Modifikasjonen kan omfatte kryptering, dekryptering, signaturgenerering, signaturverifisering eller adresseomforming. Alle modifikasjonene blir utført i samsvar med innholdet i regelbasen.
Uheldigvis er én ulempe med den omtalte metode at stor beregningsbyrde plasseres på datamaskinen som driver brannveggen. Den tidligere omtalte prosessen ved pakkefiltrering krever at hver pakke blir separat analysert, med mange
ulike sammenligninger med sett av regler ifølge hvor pakke-innføring gjennom brannveggen blir bestemt. Straks en
sesjon, eller tilkobling mellom to noder som er etablert gjennom brannveggen, er blitt vurdert som tillatt, trenger deretter i de fleste tilfeller imidlertid videre intensive analyser ikke være nødvendige. Således at redusering eller til og med eliminering av kravet for fortsatt analyse av pakker fra en tillatt tilkobling vil betydelig redusere beregningsbyrde påført brannveggen, og akselerere prosessen med pakkefiltrering, men likevel opprettholde sikkerheten til det beskyttede systemet.
Det er videre kjent fra EP 713311 Al et system for akselerert pakkefiltrering. Likeledes trekkes WO 2000/10297 Al frem som eksempel på kjent teknikk.
Det er således et behov for, og det vil være nyttig å ha, et system, en anordning og en fremgangsmåte for hurtig pakkefiltrering ifølge tilkoblingen hvorfra en pakke blir mottatt, slik at hvis en pakke mottas fra en tillatt tilkobling, blir kravet for fullstendig pakkeanalyse redusert eller til og med eliminert, mens muligheten for hurtig og effektivt å modifisere pakker fremdeles blir opprettholdt, valgfritt gjennom maskinvare akselerasjon av modifikasjons-prosessen.
Foreliggende oppfinnelse vedrører et system, en anordning og en fremgangsmåte for å akselerere pakkefiltrering på et pakkesvitsjet nettverk, foretrukket et IP-nettverk, ved å frembringe en brannvegg med en førfiltreringsmodul. Førfiltreringsmodulen utfører et begrenset sett av aksjoner med hensyn til pakkene, ifølge hvorvidt pakkene er mottatt fra en tilkobling som tidligere er blitt tillatt av brannveggen. Hvis pakken er mottatt fra en slik tillatt tilkobling, sender deretter førfiltreringsmodulen pakkene videre til deres bestemmelsessted, utfører valgfritt én eller flere aksjoner på pakkene. Ellers blir pakkene formidlet til brannveggen for håndtering. Straks brannveggen har overført ansvaret for tilkoblingen til førfiltreringsmodulen, eller «avlastet» tilkoblingen, mottar ikke brannveggen foretrukket videre pakker fra sin tilkobling inntil et tidsavbrudd oppstår for tilkoblingen, eller en pakke blir mottatt med en bestemt sesjonskontroll-feltverdi som indikerer at sesjonen er avsluttet, så som at tilkoblingen er lukket.
For den foretrukne utførelsen av foreliggende oppfinnelse med IP-nettverk er f.eks. en slik sesjons-kontrollfeltverdi et FIN/RST-flagg som er satt for pakken.
Én fordel med å redusere eller til og med eliminere mengden analyse som er nødvendig for pakker fra en tillatt forbindelse er at brannveggen valgfritt kan supplementeres ved maskinvareakselerasjon. Slik maskinvareakselerasjon har den fordel at den er mye hurtigere enn programvarebasert pakkeprosessering, og kan derfor betydelig øke effekten på brannveggsystemet. I tillegg kan maskinvareakselerasjon av modifiseringsprosessen opprettholde muligheten for hurtig og effektivt å modifisere pakker, siden modifiseringsprosessen krever mindre «intelligens» for å modifisere pakkene, men hurtigere prosessering, mens den motstående karakteristikk er korrekt for prosessen med pakkeanalyser. Således at valgfritt og foretrukket er førfiltrerings-modulen implementert som maskinvare.
Ifølge foreliggende oppfinnelse er det frembrakt et system for akselerert filtrering av en pakke på et nettverk, hvor systemet omfatter: (a) en brannvegg lokalisert på nettverket for å utføre pakkefiltrering på pakken i samsvar med minst en regel, (b) en førfiltreringsmodul som er i kommunikasjon med brannveggen, nevnte førfiltreringsmodul mottar pakken før brannveggen, og førfiltreringsmodulen utfører en initial pakkefiltrering på pakken i samsvar med minst en instruksjon mottatt fra brannveggen, slik at hvis pakken er tillatt ifølge den minst ene instruksjonen, håndterer førfiltreringsmodulen pakken, og alternativt formidler førfiltreringsmodulen pakken til brannveggen for håndtering.
Ifølge en annen utførelse av foreliggende oppfinnelse er det frembrakt en førfiltreringsanordning for å utføre filtrering av en pakke, hvor førfiltreringsanordningen er i kommunikasjon med en brannvegg og mottar pakken før brannveggen, idet førfiltreringsanordningen omfatter: (a) et minne for å lagre minst én instruksjon fra brannveggen for analyse av minst en parameter til pakken, hvor den minst ene instruksjonen omfatter det minst ene parameter for å identifisere pakken, (b) en klassifikasjonsmekanisme innrettet til å utføre en initial pakkefiltrering på pakken ved å analysere minst en del av pakken og til å sammenligne den minst ene delen av pakken med det minst ene parameter ifølge den minst ene instruksjonen, og (c) et brannvegg-grensesnitt innrettet for å sende pakken til brannveggen, bortsett fra dersom pakken er tillatt ifølge den minst ene instruksjonen.
Ifølge en videre annen utførelse av foreliggende oppfinnelse er det frembrakt en fremgangsmåte for akselerert pakkefiltrering på et nettverk i sammenheng med en brannvegg, hvori fremgangsmåten omfatter trinnene: (a) å frembringe en førfiltreringsmodul for å motta en pakke før brannveggen og for å utføre en initial pakkefiltrering på pakken,
(b) å motta pakken av førfiltreringsmodulen,
(c) å bestemme hvorvidt pakken er tillatt,
ifølge minst én instruksjon mottatt fra brannveggen,
(d) hvis pakken er tillatt, at pakken håndteres av
førfiltreringsmodulen, og
(e) alternativt, å formidle pakken til brannveggen.
Foretrukne utførelser av oppfinnelsen er definert i respektive uselvstendige krav 2-16, 18, og 20-28.
Heretter omfatter uttrykket «nettverk» en forbindelse mellom hvilke som helst to eller flere databehandlings-anordninger som tillater overføring av data.
Heretter omfatter uttrykket «databehandlings-anordninger», men ikke begrenset til, personlige datamaskiner (PC) med et operativsystem så som Windows, eller Linux, Macintosh™ datamaskiner; datamaskiner omfattende JAVA™-OS som operativsystem; arbeidsstasjoner så som datamaskiner til
Sun Microsystems™ og Silicon Graphics™, og andre datamaskiner omfattende en versjon av UNIX-operativsystem så som AIX™ eller SOLARIS™ til Sun Microsystems™, eller hvilket som helst annet kjent og tilgjengelig operativsystem; hvilken som helst type datamaskin; hvilken som helst anordning som kan kobles til et pakkesvitsjet nettverk og som har et operativsystem, omfattende, men ikke begrenset til VxWorks™ og PSOS™, og hvilken som helst anordning som kan kobles til et pakkesvitsjet nettverk og som er i stand til å overføre og motta pakker, og som har minst én dataprosessor, så som en nettverksprosessor f.eks., omfattende men ikke begrenset til, en enhet for sammenknytning av nettverk, en svitsj eller en ruter. Heretter omfatter uttrykket «Windows™», men er ikke begrenset til, Windows NT™, Windows98™, Windows2000™, Windows CE™ og hvilken som helst oppgradert versjon av disse operativsystemene av Microsoft Corporation (USA).
Fremgangsmåten ifølge foreliggende oppfinnelse kan beskrives som en serie trinn utført av en dataprosessor, og kan således valgfritt implementeres som programvare, maskinvare eller fastvare, eller en kombinasjon derav. For foreliggende oppfinnelse kan en programvareapplikasjon skrives i hovedsakelig hvilket som helst passende program-meringsspråk, som enkelt kan velges av en fagmann. Program-meringsspråket valgt skal være kompatibelt med databehandlingsanordningen ifølge hvortil programvare-applikasjonen kjøres. Eksempler på egnede programmerings-språk omfatter, men er ikke begrenset til C, C++ og Java.
Det forannevnte og andre formål, aspekter og fordeler skal bedre forstås fra den følgende detaljerte beskrivelse av en foretrukket utførelse av oppfinnelsen med henvisning til tegningene, hvori: Fig. 1 viser et skjematisk blokkdiagram av systemet ifølge foreliggende oppfinnelse, Fig. 2 viser et skjematisk blokkdiagram av et eksempel, men foretrukket utførelse av førfiltrerings-modulen i Fig. 1, ifølge foreliggende oppfinnelse, og Fig. 3 viser et flytdiagram for en eksempelfremgangs-måte ifølge foreliggende oppfinnelse.
Foreliggende oppfinnelse vedrører et system, en anordning og en fremgangsmåte for akselerert pakkefiltrering ved å frembringe en brannvegg med en førfiltrerings-modul. Førfiltreringsmodulen utfører en enkel sammenligning med hensyn til pakkene, f.eks. ifølge hvorvidt pakkene er mottatt fra en forbindelse som tidligere er blitt tillatt av brannveggen. Hvis pakken er mottatt fra en slik tillatt forbindelse, formidler deretter førfiltreringsmodulen pakkene til deres mottakssted, og utfører valgfritt én eller flere aksjoner på pakkene. Ellers blir pakkene videreformidlet til brannveggen for håndtering. I tillegg blir foretrukket pakkene formidlet til brannveggen for håndtering hvis disse pakkene har bestemte sesjonskontrollfeltverdier som krever inngripen av brannveggen. F.eks., for den foretrukne utførelse av den foreliggende oppfinnelse med IP-nettverkene, og mer bestemt med TCP/IP-trafikk, omfatter slike sesjonskontrollfeltverdier et sett av SYN/FIN/RST-flagg for pakken. Slike sesjonskontrollfeltverdier er indikative for pakker som bærer informasjon om tilkoblingsstatus, og er derfor viktig for brannveggen å motta og analysere for å bestemme status for tilkoblingen. Valgfritt blir fragmentpakker også formidlet til brannveggen hvis førfiltreringsmodulen ikke er i stand til å utføre bestemte funksjoner, så som virtuell defragmentering for den foretrukne utførelsen av foreliggende oppfinnelse med IP-nettverk, og mer bestemt med IP-trafikk.
Straks brannveggen har bestemt at en forbindelse er tillatt, eller på annen måte har bestemt minst en parameter for å utføre den enkle sammenligningen, sender foretrukket brannveggen en melding til førfiltreringsmodulen med detaljer om de nye tillatte pakkene. Straks brannveggen har overført ansvaret for tilkoblingen til førfiltrerings-modulen, eller «avlastet» tilkoblingen, mottar foretrukket brannveggen ikke videre pakker fra denne forbindelsen inntil et tidsavbrudd oppstår for tilkoblingen, eller en pakke blir mottatt med bestemte sesjonskontrollfeltverdier som indikerer at sesjonen er avsluttet, f.eks. med å ha FIN/RST-flagg satt for den foretrukne implementeringen med IP-nettverk, så som at forbindelsen er lukket. Et «tidsavbrudd» oppstår hvis en pakke ikke er blitt mottatt av brannveggen for en forhåndsdefinert tidsperiode.
Førfiltreringsmodulen er foretrukket implementert som maskinvare, for å trekke fordel av maskinvareaksellerasjon. Slik maskinvareakselerasjon har den fordel av å være mye hurtigere enn programvarebasert pakkeprosessering. Derfor er førfiltreringsmodulen foretrukket implementert som en maskinvarebasert anordning, selv om førfiltreringsmodulen alternativt kan være implementert som programvare eller fastvare. Valgfritt kan førfiltreringsmodulen og brannveggen være implementert som en kombinert anordning, som kan være en «black box» lagt til, eller alternativt som erstatning for, portnoden til et nettverk, for å forenkle installasjon og drift.
Prinsippene og driften av et system, en anordning og en fremgangsmåte ifølge foreliggende oppfinnelse skal bedre forstås med henvisning til tegningene og den vedlagte beskrivelse, det må forstås at disse tegningene kun er gitt for illustrasjonsformål og er ikke ment å være begrensende. Selv om den følgende beskrivelse konsentrerer seg om IP-nettverk, og mer bestemt om TCP/IP-pakketrafikk, må det forstås at dette er for illustrasjonsformål kun og er ikke ment å være begrensende på noen som helst måte.
Viser nå til tegningene hvor Fig. 1 viser et skjematisk blokkdiagram av et system ifølge foreliggende oppfinnelse. Et system 10 omfatter et beskyttet nettverk 12, som er et pakkesvitsjet nettverk, slik at data blir overført i form av pakker. Det beskyttede nettverk 12 er separert fra et eksternt pakkesvitsjet nettverk 14 ved en port 16, som valgfritt kan være hvilken som helst type databehandlingsanordning, også uttrykt heri som en «mellom-liggende node». Det eksterne nettverket 14 kan valgfritt f.eks. være Internett. Porten 16 er koblet til hvert av de eksterne nettverk 14 og det beskyttede nettverket 12 gjennom en maskinvaretilkobling, vist heri som en NIC 17.
Porten 16 driver en brannvegg 18 for å utføre pakkeanalyse og pakkefiltrering. Pakker som er tillatt å passere gjennom porten 16 fra det eksterne nettverket 14 blir deretter mottatt av én av et antall beskyttede noder 20, som er koblet til det beskyttede nettverket 12. Slik nettverks-trafikk er typisk toveis, slik at pakker blir mottatt av porten 16 fra det beskyttede nettverket 12 for overføring til det eksterne nettverket 14 og vice versa.
Brannveggen 18 er foretrukket implementert som tidligere beskrevet i US Patent Nr 5.838.726 og 5.606.668. Brannveggen 18 omfatter et pakkefilter 22 for å utføre
pakkefiltrering. Pakkefilteret 22 er foretrukket sammensatt av en analysemodul 24 for å analysere pakkene og en regelbase 26. Regelbasen 26 omfatter foretrukket én eller flere regler som er definert ifølge preferanser til systemadministrator eller annen kontrollerende bruker. Analysemodulen 24 trekker ut og sammenligner innholdet av de analyserte pakkene med reglene i regelbasen 26. Hvis resultatet av sammenligningen er slik at pakken tillates ifølge regel-
basen 26, tillater deretter pakkefilteret 22 pakken å inn-føres i det beskyttede nettverk 12.
Alternativt, hvis pakken ikke tillates ifølge regelbasen 26, blir deretter pakken valgfritt droppet. Pakken kan også valgfritt bli bestemt til å ikke være tillatt hvis regelbasen 26 ikke spesifikt tillater at pakken passerer.
Også valgfritt og foretrukket omfatter pakkefilteret 22 en modifiseringsmodul 28 for å modifisere pakken, hvis pakken blir akseptert.
Andre valgfrie trekk til brannveggen 18 omfatter mulighet til å utføre regnskap for pakkene, for å bestemme mengden data som overføres i alle pakkene som tilhører en spesifikk forbindelse; mulighet til å modifisere adresser i pakken; og mulighet til å kryptere pakkene. Pakkekryptering er mer bestemt tidligere blitt beskrevet i US Patent Nr 5.835.726. Ganske kort kan pakker valgfritt bli kryptert for overføring mellom to brannvegger 18, slik at pakkene er kryptert for å passere gjennom eksterne nettverk 14. Kryptering blir også valgfritt brukt for kommunikasjon mellom brannveggen 18 og en node fra det eksterne nettverket 14, f.eks. De krypterte pakkene blir deretter dekryptert av den mottakende brannvegg 18, og formidlet til det beskyttede nettverk 12. Således at prosessen med kryptering og overføring er automatisert, og kan utføres på en måte som er transparent for kommunikasjonsprogramvaren.
Disse trekkene til en brannvegg 18 er foretrukket implementert som tidligere beskrevet i US Patent Nr. 5.835.726 og 5.606.668. Formidling av alle pakkene gjennom brannveggen 18 før de tillates å innføres i porten 16 på-fører imidlertid en stor beregningsbyrde på brannveggen 18. Ifølge foreliggende oppfinnelse omfatter porten 16 derfor også en førfiltreringsmodul 30 som mottar pakkene før brannveggen 18, men som er foretrukket direkte koblet til det beskyttede nettverk 12. Førfiltreringsmodulen 30 mottar også foretrukket instruksjoner fra brannveggen 18, vedrør-ende pakker som er tillatt å innføres i det beskyttede nettverket 12. Disse instruksjonene er mer foretrukket bestemt av brannveggen 18 fra en analyse av én eller flere tidligere mottatte og relaterte pakker, slik at hvis en tidligere mottatt og relatert pakke er blitt tillatt å inn-føres i det beskyttede nettverket 12, skal således den nåværende pakke også tillates å innføres i det beskyttede nettverket 12. Således at hvis førfiltreringsmodulen 30 bestemmer at den nåværende pakken tillates å innføres, formidler deretter foretrukket førfiltreringsmodulen 30 pakken direkte gjennom til det beskyttede nettverket 12.
For å øke effektiviteten ved drift av førfiltrerings-modulen 30, kan foretrukket førfiltreringsmodulen 30 kun utføre begrensede analyser av hver pakke. Spesifikt blir mer foretrukket kun en del av hver pakke analysert av førfiltreringsmodulen 30. Mest foretrukket analyserer førfiltreringsmodulen 30 hver pakke kun med hensyn til en enkel sammenligning. Ved «enkel sammenligning» er det ment at informasjonen som trekkes ut er i form av én eller flere forhåndsdefinerte parameter som blir sammenlignet med et forhåndsdefinert mønster av slike parametere.
I en bestemt foretrukket utførelse av en enkel sammenligning blir pakken kun analysert inntil førfiltrerings-modulen 30 er i stand til å bestemme hvorvidt pakken er blitt mottatt fra en tillatt dataoverføring. Slik en tillatt overføring kan uttrykkes som en forbindelse mellom en kildenode som initierer forbindelsen, f.eks. fra det eksterne nettverket 14, til en mottaksnode som aksepterer forbindelsen, f.eks. en beskyttet node 20. Det må forstås at straks forbindelsen er blitt etablert, kan kommunikasjonen mellom kildenode og mottaksnode valgfritt være toveis.
Med hensyn til pakkeanalyse er en «forbindelse» definert ifølge minst én, og foretrukket et antall, parameter som beskriver dataoverføringen hvortil pakken tilhører. Eksempler på disse parametrene omfatter, men er ikke begrenset til kildeadresse og port til pakken; mottaksadresse og port til pakken; protokoll til pakken og grensesnitt hvorfra pakken var mottatt. Forbindelsen benyttes til å klassifisere pakken og til å bestemme hvorvidt pakken er tillatt å innføres i, eller forlate, det beskyttede nettverket 12.
Brannveggen 18 definerer hver forbindelse fra en analyse av én eller flere tidligere mottatte og undersøkte pakker. Brannveggen 18 undersøker innholdet av en slik pakke eller pakker, og basert på resultatet til analysemodulen 24 med regelbasen 26, bestemmes det hvorvidt pakkene fra den tilsvarende forbindelsen skal tillates å komme inn i og/eller forlate det beskyttede nettverket 12. I tillegg, fra reglene som er lagret i regelbasen 26, er analysemodulen 24 i stand til å bestemme én eller flere aksjoner som skal forbindes med hver forbindelse. Eksempler på slike aksjoner omfatter, men er ikke begrenset til, å utføre en regnskapsaksjon for å telle mengden data i pakken, kryptering/dekryptering av pakken, utføre nett-verksadresseomforming (NAT) ved å omskrive adressefeltene, osv. Et foretrukket eksempel på modifisering av pakken er å markere pakken, ved å tildele et prioritetsnummer til pakken av førfiltreringsmodulen 30, ifølge instruksjonene til brannveggen 18. Dette prioritetsnummeret bestemmer overføringsorden til pakken, og således dens «prioritet».
Brannveggen 18 formidler deretter relevante instruksjoner vedrørende i det minste hvorvidt pakken er tillatt å innføres i det beskyttede nettverket 12, og mer foretrukket aksjonene som skal utføres på etterfølgende pakker fra denne forbindelsen, til førfiltreringsmodulen 30.
Valgfritt og foretrukket utfører førfiltrerings-modulen 30 en «anti-spoofing»-metode. Siden førfiltrerings-modulen 30 valgfritt kan være koblet til et antall nettverk, kan pakker komme fra hvilke som helst av disse nettverkene. «Anti-spoofing»-metoden bestemmer hvorvidt en IP-pakke, indikert som opprinnelig fra et bestemt nettverk, i virkeligheten er ankommet fra det nettverket. Ettersom førfiltreringsmodulen 30 vet hvilke nettverk som er koblet til hvilke grensesnitt, kan førfiltreringsmodulen 30 bestemme hvorvidt en pakke mottatt fra et bestemt grensesnitt er tillatt.
Den enkleste måten å implementere «anti-spoofing»-metoden i en akselerator, så som førfiltreringsmodulen 30, er å inkludere informasjon vedrørende nettverksgrense-snittet som del av tilkoblingsforbindelsen som er tilgjengelig for førfiltreringsmodulen 30. Således at hvis en pakke kommer fra en tillatt kildenode skal den sendes til et tillatt mottakssted, og dersom ankommet gjennom det forventede grensesnittet kan pakken bli prosessert av førfiltreringsmodulen 30. Alternativt og valgfritt, selv hvis kun grensesnittet er korrekt, kan førfiltrerings-modulen 30 bestemme at pakken representerer et brudd som videre skal undersøkes av brannveggen 18 angående gyldig-het. Det er andre måter å implementere en «antispoofing»-metode, uten å omfatte informasjon vedrørende grensesnittet som en del av de lagrede instruksjoner for førfiltrerings-modulen 30, som også er betraktet som å være innenfor rammen av foreliggende oppfinnelse.
I en foretrukket utførelse av førfiltreringsmodulen 30 som er vist i Fig. 2, er førfiltreringsmodulen 30 utført i maskinvare, eller i det minste fastvare, i stedet for kun som programvare. Fordelene med maskinvare er at den er mye hurtigere enn programvare for å utføre de krevde aksjoner. Det skjematiske blokkdiagrammet i Fig. 2 er en logisk basert, i stedet for strukturell, illustrasjon av komponentene til førfiltreringsmodulen 30. F.eks. er ikke de fysiske forbindelsene mellom komponentene spesifisert, og kan f.eks. være en PCI-bus hvorpå alle komponentene er plassert. Valgfritt kan komponentene være tilkoblet med hovedsakelig hvilken type intern og/eller ekstern bus, f.eks.
For denne utførelsen kan førfiltreringsmodulen 30 bli beskrevet som en «anordning», foretrukket omfattende et minne 36. Førfiltreringsmodulen 30 omfatter en forbind-elsesdatabase 32 for å lagre relevante instruksjoner fra brannveggen 18, som er lagret i minnet 36. Tilkoblingsdatabasen 32 lagrer i det minste parameteren eller parametrene til pakken som er nødvendig for å definere forbindelsen, men lagrer også foretrukket i det minste én aksjon som skal utføres på pakker fra den forbindelsen.
Førfiltreringsmodulen 30 omfatter også foretrukket en klassifiseringsmekanisme 38, omfattende en dataprosessor, for i det minste delvis å analysere informasjonen fra pakken og for å hente informasjon fra tilkoblingsdatabasen 32. Førfiltreringsmodulen 30 omfatter også foretrukket en modifiseringsenhet 34, for å utføre den tilhørende aksjonen eller aksjoner på pakker fra den forbindelsen, som foretrukket lagres i tilkoblingsdatabasen 32 som tidligere omtalt.
Førfiltreringsmodulen 30 kommuniserer også valgfritt og foretrukket bestemt, utvalgt informasjon vedrørende i det minste én pakke til brannveggen 18. Den utvalgte informasjonen omfatter valgfritt i det minste én av, men er ikke begrenset til, de tidligere beskrevne parametere for analyse av pakken. Kommunikasjonen mellom førfiltrerings-modulen 30 og brannveggen 18 er valgfri og foretrukket utført ifølge én av et antall utførelser. I en første utførelse informerer førfiltreringsmodulen 30 aktivt brannveggen 18 ved mottak av slik informasjon, i en status eller hendelsesdrevet implementering. Alternativ i en andre utførelse, forespør brannveggen 18 førfiltreringsmodulen 30, i en avspørringsimplementering. F.eks. kan avspørringen valgfritt utføres etter at et bestemt tidsintervall er passert, eller alternativt ifølge en brukerforespørsel for slik informasjon, f.eks. fra en systemadministrator.
I tillegg omfatter førfiltreringsmodulen 30 også foretrukket i det minste én, og foretrukket et antall, nettverksgrensesnitt, vist som MAC (media-aksesskontroll) 40, som er maskinvare for sending og mottak av pakker fra det fysiske nettverket (ikke vist). Førfiltreringsmodulen 30 omfatter mer foretrukket et brannvegg-grensesnitt 42 for å overføre pakker til, og motta pakker fra, brannveggen (ikke vist).
Strømmen av operasjoner er foretrukket som følger. Pakker blir valgfritt mottatt fra MAC 40, merket «MAC 1», som deretter formidles til klassifiseringsmekanismen 38. Ved hjelp av informasjon og instruksjoner hentet fra databasen 32 i minnet 36, analyserer deretter klassifiseringsmekanismen 38 i det minste en del av informasjonen i hver pakke, og bestemmer hvorvidt pakken er tillatt. Hvis pakken er tillatt, blir den formidlet til modifiseringsenheten 34 for valgfri modifikasjon ifølge i det minste én instruksjon fra brannveggen (ikke vist), slik at hvis modifisering ikke er nødvendig, blir den i det minste ene relevante instruksjonen ikke sendt fra brannveggen.
Brannveggen kan valgfritt bestemme et grensesnitt hvortil en pakke skal sendes, f.eks. til en bestemt MAC 40. Imidlertid skal det bemerkes at selv om brannveggen kan instruere førfiltreringsmodulen 30 om å sende pakken til et bestemt grensesnitt, hvis ruting støttes, vil deretter slik ruting bli benyttet til å rute pakken, og ikke instruksjonen fra brannveggen (ikke vist).
Alternativt kan pakken valgfritt og foretrukket bli formidlet til brannveggen. Også alternativt, under bestemte omstendigheter som beskrevet mer detaljert nedenfor, kan pakken droppes, særlig med hensyn til pakker mottatt fra brannvegg-grensesnittet 42, som valgfritt blir tilsvarende analysert. For å unngå å droppe pakker som ikke trenger være IP-pakker, valgfritt og foretrukket, kan informasjon vedrørende én eller flere «standard»-pakker være lagret i databasen 32, slik at hvis slik informasjon ikke er lagret i databasen 32 blir pakken definert som å ikke være «ikke tillatt». Ett eksempel på en slik standardpakketype er en ARP (adresse-resolusjonsprotokoll)-pakke.
Som det kan ses med hensyn til implementeringen av førfiltreringsmodulen i Fig. 2, kan pakker valgfritt ankomme førfiltreringsmodulen 30 fra en ekstern kilde, så som MAC 40 f.eks., eller kan alternativt mottas fra brannvegg-grensesnittet 42. Hvis pakken er mottatt fra brannvegg-grensesnittet 42, kan den være generert av brannveggen selv, eller kan alternativt være videreformidlet eller generert av IP-stack'en til verten. Derfor, valgfritt og mer foretrukket, for slike pakker som er mottatt gjennom brannvegg-grensesnittet 42, er førfiltrerings-modulen 30 i stand til å droppe slike pakker hvis de ikke er tillatt, i stedet for å formidle dem til brannveggen. Således at mottak av hvorvidt å droppe eller å videreformidle pakker av førfiltreringsmodulen 30 er valgfritt og foretrukket utført i det minste delvis ifølge grensesnittet hvorigjennom pakken er mottatt.
Selvfølgelig er andre implementeringer av førfiltrer-ingsmodulen 30 mulige og anses som å være innenfor rammen av foreliggende oppfinnelse.
Fig. 3 viser et flytdiagram av en eksempelmetode for å drive foreliggende oppfinnelse. I trinn 1 blir en pakke mottatt av førfiltreringsmodulen. I trinn 2 blir i det minste en parameter til pakken hentet av førfiltrerings-modulen. I trinn 3 blir det minst ene parameter benyttet for å undersøke den kjente forbindelsen, foretrukket ved å utføre et oppslag i en tabell av slike kjente forbindelser.
I trinn 4a, hvis en innføring er funnet for pakken, blir deretter aksjonen eller aksjonene definert for denne forbindelsen utført av førfiltreringsmodulen. I trinn 5a blir pakken formidlet til sitt mottakssted. Trinnene 4a og 5a blir ikke utført hvis pakken har bestemte sesjonskontrollfeltverdier, så som et sett SYN/FIN/RST-flagg for en pakke overført over et IP-nettverk, i hvilket tilfelle pakken foretrukket formidles til brannveggen for håndtering. Slike sesjonskontrollfeltverdier er indikativer for pakker som kan bære informasjon om forbindelsesstatus, og er derfor viktig for brannveggen å motta og analysere, for å bestemme status på forbindelsen.
Valgfritt blir også fragmenterte pakker formidlet til brannveggen hvis førfiltreringsmodulen ikke er i stand til å utføre bestemte funksjoner, så som virtuell defragmentering for den foretrukne utførelsen av foreliggende oppfinnelse med IP-nettverk, og mer bestemt med TCP/IP-trafikk. Virtuell defragmentering utføres etter at en IP-pakke er blitt for stor for overføring, og blir derfor opp-delt i et antall mindre pakker, kalt fragmenter. Virtuell defragmentering er den prosess hvorved alle de mottatte fragmentene blir sammensatt til den opprinnelige store pakken.
For å motvirke ulike sorter angrep som kan forsøkes med fragmenter foretrukket førfiltreringsmodulen ifølge foreliggende oppfinnelse, alternativt brannveggen, duplikatpakkefragmenter. Med andre ord, hvis et tidligere mottatt fragment blir mottatt igjen, blir fragmentet droppet.
Viser igjen til flytdiagrammet i Fig. 3, alternativt i trinn 4b, hvis en innføring for pakken ikke finnes i
tabellen over forbindelser, blir pakken formidlet til brannveggen for håndtering. I trinn 5b, hvis brannveggen bestemmer at forbindelsen hvortil pakken tilhører er tillatt, sender brannveggen valgfritt en melding til
førfiltrerings-modulen med nødvendig informasjon vedrørende den nye forbindelsen. En slik melding omfatter foretrukket en nøkkel for å identifisere den nye forbindelsen, informasjon vedrørende adresseomforming og valgfri informasjon vedrørende kryptering, hvor begge er prosesser som involverer modifisering av selve pakken. Nøkkelen for å identifisere de nye forbindelser omfatter foretrukket slik informasjon som kilde IP-adresse og port, og mottaks-IP-adresse og port, protokollfelt og valgfritt grensesnitt hvorfra en pakke er forventet å bli mottatt, for «anti-spoof ing»beskyttelse . Adresseomformingsinformasjonen
omfatter den omformede kilde IP-adressen og porten, mottaks-IP-adresse og port.
Ifølge de foretrukne utførelser av foreliggende oppfinnelse, straks brannveggen har sendt denne meldingen til førfiltreringsmodulen, blir forbindelsen «avlastet» førfiltreringsmodulen, slik at brannveggen ikke lenger mottar noen pakker fra denne forbindelsen. Foretrukket mottar ikke brannveggen noen videre pakker inntil en pakke med bestemte sesjonskontrollfeltverdier blir mottatt for denne forbindelsen, som indikerer at sesjonen er avsluttet. F.eks., for IP-nettverk, omfatter slike verdier å ha et sett FIN/RST-flagg.
Mer foretrukket oppstår et tidsavbrudd når ingen pakke er blitt mottatt for en bestemt forbindelse innenfor en bestemt tidsperiode. Siden brannveggen ikke ser noen pakker for den avlastede forbindelsen, forespør brannveggen før-filtreringsmodulen om sist gang en pakke ble mottatt for den forbindelsen. Ifølge den mottatte responsen bestemmer brannveggen hvorvidt forbindelsen skal opprettholdes eller avsluttes. Hvis brannveggen avslutter forbindelsen, blir forbindelsen foretrukket slettet fra tabellen til før-filtreringsmodulen.
Ifølge andre foretrukne utførelser av foreliggende oppfinnelse, mottar brannveggen oppdatert regnskaps-informasjon fra førfiltreringsmodulen ved regulære inter-valler. Denne informasjonen er valgfritt og foretrukket formidlet til brannveggen av førfiltreringsmodulen, i stedet for at brannveggen avspør førfiltreringsmodulen. Regnskapsinformasjonen omfatter foretrukket antall pakker og bytes som er blitt mottatt av førfiltreringsmodulen for en bestemt forbindelse siden sist gang regnskapsinformasjonen ble oppdatert, og sist gang en pakke ble mottatt av førfiltreringsmodulen for denne bestemte forbindelsen. Denne informasjonen blir deretter tilbakestilt i før-filtreringsmodulen. Valgfritt og mer foretrukket, hvis førfiltreringsmodulen avslutter forbindelsen formidler førfiltreringsmodulen den siste regnskapsinformasjonen om denne forbindelsen til brannveggen.
Det skal forstås at den foregående beskrivelsen kun er ment som eksempel, og at mange andre utførelser er mulig innenfor rammen og omfanget av foreliggende oppfinnelse.
Claims (28)
1. System (10) for akselerert filtrering av en pakke på et nettverk (12), hvor systemet omfatter: (a) en brannvegg (18) lokalisert på nettverket (12) for å utføre pakkefiltrering på pakken i samsvar med minst en regel, (b) en førfiltreringsmodul (30) som er i kommunikasjon med brannveggen (18), nevnte førfiltreringsmodul (30) mottar pakken før brannveggen, og førfiltreringsmodulen (30) utfører en initial pakkefiltrering på pakken i samsvar med minst en instruksjon mottatt fra brannveggen (18), slik at hvis pakken er tillatt ifølge den minst ene instruksjonen, håndterer førfiltreringsmodulen (30) pakken, og alternativt formidler førfiltreringsmodulen (30) pakken til brannveggen (18) for håndtering.
2. System (10) i samsvar med krav 1, karakterisert ved å omfatte: (c) en kildenode (14) for sending av pakken, og (d) en mottaksnode (20) for mottak av pakken.
3. System (10) i samsvar med krav 1, karakterisert ved at pakkeoverføring mellom kildenoden (14) og mottaksnoden (20) danner en forbindelse, og at brannveggen (18) er innrettet til å bestemme hvorvidt forbindelsen er tillatt, slik at nevnte minst ene instruksjon omfatter minst en parameter til pakken for å identifisere en tillatt forbindelse, slik at hvis nevnte forbindelse er tillatt, håndterer førfiltrer-ingsmodulen (30) nevnte pakke.
4. System (10) i samsvar med krav 3, karakterisert ved at brannveggen (18) er innrettet til å motta en pakke fra den tillatte forbindelsen fra førfiltreringsmodulen (30), hvis pakken har en valgt sesjon-kontrollfeltverdi.
5. System (10) i samsvar med krav 3, karakterisert ved at det minst ene parameter for identifikasjon av den tillatte forbindelsen omfatter en kildeadresse og en mottaksadresse for pakken.
6. System (10) i samsvar med krav 5, karakterisert ved at det minst ene parameter for identifikasjon av den tillatte forbindelsen videre omfatter en kildeport og en mottaksport for pakken.
7. System (10) i samsvar med krav 3, karakterisert ved at dersom en tilleggs-pakke ikke er blitt mottatt for den tillatte forbindelsen etter en forhåndsdefinert tidsperiode., er brannveggen (18) innrettet til å avslutte forbindelsen.
8. System i samsvar med krav 3, karakterisert ved at dersom en pakke med en bestemt sesjon-kontrollfeltverdi indikativ for informasjon om en forbindelsesstatus blir mottatt for nevnte tillatte forbindelse, blir pakken formidlet til brannveggen (18).
9. System (10) i samsvar med krav 3, karakterisert ved at førfiltrerings-modulen (30) videre omfatter: (i) en tilkoblingsdatabase for å lagre det minst ene parameter til pakken for å identifisere den tillatte forbindelsen.
10. System (10) i samsvar med krav 9, karakterisert ved at førfiltrerings-modulen (30) videre omfatter: (ii)en klassifiseringsmekanisme (38) for å analysere minst en del av pakken og for å sammenligne den minst ene delen av pakken med det minst ene parameter.
11. System (10) i samsvar med krav 10, karakterisert ved at førfiltrerings-modulen (30) videre omfatter: (iii)en modifiseringsenhet (34) for å utføre minst én aksjon på pakken hvis pakken er mottatt fra den tillatte forbindelsen, hvor den minst ene aksjonen er definert ifølge en instruksjon fra brannveggen (18).
12. System (10) i samsvar med krav 11, karakterisert ved at førfiltrerings-modulen (30) er implementert som en maskinvareanordning.
13. System (10) i samsvar med krav 11, karakterisert ved å videre omfatte: e) en databehandlingsanordning anordnet mellom kildenoden og mottaksnoden, hvori førfiltrerings-modulen (30) og brannveggen (18) drives av databehandlingsanordningen.
14. System (10) i samsvar med krav 1, karakterisert ved at dersom pakken ikke er tillatt, formidler førfiltreringsmodulen (30) enten pakken til brannveggen (18) for håndtering hvis pakken er mottatt fra nettverket (12), og alternativt dropper pakken hvis pakken er mottatt fra brannveggen (18).
15. System (10) i samsvar med krav 2, karakterisert ved at pakkeoverføring mellom kildenoden (14) og mottaksnoden (20) utgjør en forbindelse, og at brannveggen (18) er innrettet til å bestemme hvorvidt forbindelsen er tillatt, slik at den minst ene instruksjonen omfatter minst en parameter til pakken for å identifisere en tillatt forbindelse, slik at hvis forbindelsen er tillatt, overfører minst førfiltrer-ingsmodulen (30) pakken på nettverket.
16. System (10) i samsvar med krav 15, karakterisert ved at førfiltrerings-modulen (30) er innrettet til å droppe pakken hvis forbindelsen ikke er en tillatt forbindelse.
17. Førfiltreringsanordning (30) for å utføre filtrering av en pakke, hvor førfiltreringsanordningen (30) er i kommunikasjon med en brannvegg (18) og mottar pakken før brannveggen (18), idet førfiltreringsanordningen (30) omfatter: (a) et minne (36) for å lagre minst én instruksjon fra brannveggen (18) for analyse av minst en parameter til pakken, hvor den minst ene instruksjonen omfatter det minst ene parameter for å identifisere pakken, (b) en klassifikasjonsmekanisme (38) innrettet til å utføre en initial pakkefiltrering på pakken ved å analysere minst en del av pakken og til å sammenligne den minst ene delen av pakken med det minst ene parameter ifølge den minst ene instruksjonen, og (c) et brannvegg-grensesnitt (42) innrettet for å sende pakken til brannveggen (18), bortsett fra dersom pakken er tillatt ifølge den minst ene instruksjonen.
18. Førfiltreringsanordning (30) i samsvar med krav 17, karakterisert ved å omfatte (d) en modifiseringsenhet (34) innrettet for å utføre minst én aksjon på pakken hvis pakken er tillatt, hvor den minst ene aksjonen er definert ifølge den minst ene instruksjonen fra brannveggen (18).
19. Fremgangsmåte for akselerert pakkefiltrering på et nettverk (12) i sammenheng med en brannvegg (18), idet fremgangsmåten omfatter trinnene: (a) å frembringe en førfiltreringsmodul (30) for å motta en pakke før brannveggen (18) og for å utføre en initial pakkefiltrering på pakken, (b) å motta pakken av førfiltreringsmodulen (30), (c) å bestemme hvorvidt pakken er tillatt,
ifølge minst én instruksjon mottatt fra brannveggen (18), (d) hvis pakken er tillatt, at pakken håndteres av førfiltreringsmodulen (30), og (e) alternativt, å formidle pakken til brannveggen (18) .
20. Fremgangsmåte i samsvar med krav 19, karakterisert ved at trinn (e) utføres hvis pakken mottas fra nettverket (12).
21. Fremgangsmåte i samsvar med krav 20, karakterisert ved at hvis pakken mottas fra brannveggen (18), droppes pakken.
22. Fremgangsmåte i samsvar med krav 19, karakterisert ved at trinn (d) omfatter trinnet med å markere pakken med et prioritetsnummer.
23. Fremgangsmåte i samsvar med krav 19, karakterisert ved at hvis pakken mottas som et antall fragmenter, omfatter trinn (d) trinnet med å bestemme hvis et fragment er et duplikatfragment, slik at hvis fragmentet er et duplikatfragment omfatter fremgangsmåten videre trinnet med (f) å droppe duplikatfragmentet.
24. Fremgangsmåte i samsvar med krav 19, karakterisert ved at pakken har en mottaksadresse og hvori trinn (d) omfatter trinnet med å videreformidle pakken til mottaksadressen.
25. Fremgangsmåte i samsvar med krav 24, karakterisert ved at trinn (d) omfatter trinnet med å utføre minst én aksjon på pakken av førfiltreringsmodulen (30), hvor den minst ene aksjonen blir bestemt ifølge en instruksjon fra brannveggen (18).
26. Fremgangsmåte i samsvar med krav 19, karakterisert ved at pakken omfatter minst en parameter, og den minst ene instruksjonen identifiserer pakken som en tillatt pakke ifølge det minst ene parameter, slik at trinn (c) omfatter trinnet med å analysere pakken for å hente frem det minst ene parameter.
27. Fremgangsmåte i samsvar med krav 26, karakterisert ved at brannveggen (18) klassifiserer minst en tidligere mottatt pakke ifølge minst ene kildeadresse og en mottaksadresse til den minst ene tidligere mottatte pakke, hvor kildeadressen og mottaksadressen sammen danner en forbindelse, slik at brannveggen (18) sender kildeadressen og mottaksadressen for å identifisere forbindelsen som en tillatt forbindelse til førfiltreringsmodulen (30) som den minst ene instruksjon.
28. Fremgangsmåte i samsvar med krav 27, karakterisert ved at nettverket (12) kommuniserer med et antall grensesnitt, og at førfiltrer-ingsmodulen (30) er koblet til hvert av antallet grensesnitt, slik at trinn (c) omfatter trinnet med å bestemme hvorvidt pakken er mottatt fra den tillatte forbindelsen og fra et tillatt grensesnitt, slik at pakken blir tillatt kun hvis pakken er mottatt den tillatte forbindelsen gjennom det tillatte grensesnittet.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US09/517,276 US6496935B1 (en) | 2000-03-02 | 2000-03-02 | System, device and method for rapid packet filtering and processing |
PCT/US2001/005925 WO2001065343A1 (en) | 2000-03-02 | 2001-02-26 | System, device and method for rapid packet filtering and processing |
Publications (3)
Publication Number | Publication Date |
---|---|
NO20024113D0 NO20024113D0 (no) | 2002-08-29 |
NO20024113L NO20024113L (no) | 2002-11-01 |
NO324958B1 true NO324958B1 (no) | 2008-01-14 |
Family
ID=24059131
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
NO20024113A NO324958B1 (no) | 2000-03-02 | 2002-08-29 | System, anordning og fremgangsmate for hurtig filtrering av datapakker |
Country Status (17)
Country | Link |
---|---|
US (1) | US6496935B1 (no) |
EP (1) | EP1266277B1 (no) |
JP (1) | JP3954385B2 (no) |
KR (1) | KR20020092972A (no) |
CN (1) | CN100474213C (no) |
AT (1) | ATE312463T1 (no) |
AU (2) | AU4171701A (no) |
BR (1) | BR0109035A (no) |
CA (1) | CA2401577C (no) |
DE (1) | DE60115615T2 (no) |
EA (1) | EA004423B1 (no) |
HU (1) | HUP0300039A2 (no) |
IL (2) | IL151522A0 (no) |
NO (1) | NO324958B1 (no) |
NZ (1) | NZ520984A (no) |
PL (1) | PL357181A1 (no) |
WO (1) | WO2001065343A1 (no) |
Families Citing this family (195)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7089588B2 (en) * | 2000-01-19 | 2006-08-08 | Reynolds And Reynolds Holdings, Inc. | Performance path method and apparatus for exchanging data among systems using different data formats |
US6854063B1 (en) * | 2000-03-03 | 2005-02-08 | Cisco Technology, Inc. | Method and apparatus for optimizing firewall processing |
US6732209B1 (en) * | 2000-03-28 | 2004-05-04 | Juniper Networks, Inc. | Data rate division among a plurality of input queues |
DE10025929B4 (de) * | 2000-05-26 | 2006-02-16 | Harman Becker Automotive Systems (Becker Division) Gmbh | Verfahren zum Übertragen von Daten |
US7120931B1 (en) * | 2000-08-31 | 2006-10-10 | Cisco Technology, Inc. | System and method for generating filters based on analyzed flow data |
US8250357B2 (en) | 2000-09-13 | 2012-08-21 | Fortinet, Inc. | Tunnel interface for securing traffic over a network |
US7111072B1 (en) | 2000-09-13 | 2006-09-19 | Cosine Communications, Inc. | Packet routing system and method |
US7487232B1 (en) | 2000-09-13 | 2009-02-03 | Fortinet, Inc. | Switch management system and method |
US7389358B1 (en) * | 2000-09-13 | 2008-06-17 | Fortinet, Inc. | Distributed virtual system to support managed, network-based services |
US7272643B1 (en) | 2000-09-13 | 2007-09-18 | Fortinet, Inc. | System and method for managing and provisioning virtual routers |
US7574495B1 (en) | 2000-09-13 | 2009-08-11 | Fortinet, Inc. | System and method for managing interworking communications protocols |
US7054930B1 (en) * | 2000-10-26 | 2006-05-30 | Cisco Technology, Inc. | System and method for propagating filters |
US6922786B1 (en) * | 2000-10-31 | 2005-07-26 | Nortel Networks Limited | Real-time media communications over firewalls using a control protocol |
US7131140B1 (en) * | 2000-12-29 | 2006-10-31 | Cisco Technology, Inc. | Method for protecting a firewall load balancer from a denial of service attack |
US6731652B2 (en) * | 2001-02-14 | 2004-05-04 | Metro Packet Systems Inc. | Dynamic packet processor architecture |
ATE324736T1 (de) * | 2001-02-20 | 2006-05-15 | Eyeball Networks Inc | Verfahren und vorrichtung zur zulassung der datenübertragung über firewalls |
US7664119B2 (en) * | 2001-03-30 | 2010-02-16 | Intel Corporation | Method and apparatus to perform network routing |
US7277953B2 (en) * | 2001-04-18 | 2007-10-02 | Emc Corporation | Integrated procedure for partitioning network data services among multiple subscribers |
US6816455B2 (en) * | 2001-05-09 | 2004-11-09 | Telecom Italia S.P.A. | Dynamic packet filter utilizing session tracking |
JP2002358239A (ja) * | 2001-06-04 | 2002-12-13 | Fuji Electric Co Ltd | 著作権保護システム |
US7181547B1 (en) | 2001-06-28 | 2007-02-20 | Fortinet, Inc. | Identifying nodes in a ring network |
US20040001433A1 (en) * | 2001-07-18 | 2004-01-01 | Gram Charles Andrew | Interactive control of network devices |
US7134012B2 (en) * | 2001-08-15 | 2006-11-07 | International Business Machines Corporation | Methods, systems and computer program products for detecting a spoofed source address in IP datagrams |
EP1433066B1 (en) * | 2001-09-14 | 2010-08-11 | Nokia Inc. | Device and method for packet forwarding |
US7409706B1 (en) | 2001-10-02 | 2008-08-05 | Cisco Technology, Inc. | System and method for providing path protection of computer network traffic |
KR100452143B1 (ko) * | 2001-10-16 | 2004-10-08 | 주식회사 플랜티넷 | 비대칭 트래픽 흐름 방식을 이용한 웹 필터링 장치 및방법 |
JP2003242714A (ja) * | 2001-10-24 | 2003-08-29 | Fuji Electric Co Ltd | 情報記録媒体、その媒体の製造方法、情報処理装置、並びに、著作権管理システム |
US9392002B2 (en) * | 2002-01-31 | 2016-07-12 | Nokia Technologies Oy | System and method of providing virus protection at a gateway |
US7216260B2 (en) * | 2002-03-27 | 2007-05-08 | International Business Machines Corporation | Method, system and program product for dynamically detecting errant data sequences and performing corresponding actions |
US7185365B2 (en) * | 2002-03-27 | 2007-02-27 | Intel Corporation | Security enabled network access control |
CN1152531C (zh) * | 2002-04-23 | 2004-06-02 | 华为技术有限公司 | 分片报文的网络访问控制方法 |
US20030200463A1 (en) * | 2002-04-23 | 2003-10-23 | Mccabe Alan Jason | Inter-autonomous system weighstation |
US7120797B2 (en) * | 2002-04-24 | 2006-10-10 | Microsoft Corporation | Methods for authenticating potential members invited to join a group |
AUPS214802A0 (en) * | 2002-05-01 | 2002-06-06 | Firebridge Systems Pty Ltd | Firewall with stateful inspection |
US20030212901A1 (en) * | 2002-05-13 | 2003-11-13 | Manav Mishra | Security enabled network flow control |
US7340535B1 (en) * | 2002-06-04 | 2008-03-04 | Fortinet, Inc. | System and method for controlling routing in a virtual router system |
US7161904B2 (en) * | 2002-06-04 | 2007-01-09 | Fortinet, Inc. | System and method for hierarchical metering in a virtual router based network switch |
US7116665B2 (en) * | 2002-06-04 | 2006-10-03 | Fortinet, Inc. | Methods and systems for a distributed provider edge |
US7376125B1 (en) | 2002-06-04 | 2008-05-20 | Fortinet, Inc. | Service processing switch |
US7177311B1 (en) * | 2002-06-04 | 2007-02-13 | Fortinet, Inc. | System and method for routing traffic through a virtual router-based network switch |
US7203192B2 (en) | 2002-06-04 | 2007-04-10 | Fortinet, Inc. | Network packet steering |
US9088494B2 (en) * | 2002-06-26 | 2015-07-21 | Avaya Communication Israel Ltd. | Packet fragmentation prevention |
US7146638B2 (en) * | 2002-06-27 | 2006-12-05 | International Business Machines Corporation | Firewall protocol providing additional information |
US6983323B2 (en) * | 2002-08-12 | 2006-01-03 | Tippingpoint Technologies, Inc. | Multi-level packet screening with dynamically selected filtering criteria |
US7096383B2 (en) | 2002-08-29 | 2006-08-22 | Cosine Communications, Inc. | System and method for virtual router failover in a network routing system |
US20100138909A1 (en) * | 2002-09-06 | 2010-06-03 | O2Micro, Inc. | Vpn and firewall integrated system |
US7315890B2 (en) * | 2002-10-02 | 2008-01-01 | Lockheed Martin Corporation | System and method for managing access to active devices operably connected to a data network |
US7440573B2 (en) * | 2002-10-08 | 2008-10-21 | Broadcom Corporation | Enterprise wireless local area network switching system |
US20040078422A1 (en) * | 2002-10-17 | 2004-04-22 | Toomey Christopher Newell | Detecting and blocking spoofed Web login pages |
US7266120B2 (en) | 2002-11-18 | 2007-09-04 | Fortinet, Inc. | System and method for hardware accelerated packet multicast in a virtual routing system |
TW200412101A (en) * | 2002-12-23 | 2004-07-01 | Shaw-Hwa Hwang | Directly peer-to peer transmission protocol between two virtual network |
MY141160A (en) * | 2003-01-13 | 2010-03-31 | Multimedia Glory Sdn Bhd | System and method of preventing the transmission of known and unknown electronic content to and from servers or workstations connected to a common network |
JP4257151B2 (ja) * | 2003-02-28 | 2009-04-22 | 富士通株式会社 | パケット制御システム、パケット制御装置、パケット中継装置およびパケット制御プログラム |
TW200420021A (en) * | 2003-03-19 | 2004-10-01 | Etrunk Technologies Inc | Network packet routing control device |
US7325002B2 (en) * | 2003-04-04 | 2008-01-29 | Juniper Networks, Inc. | Detection of network security breaches based on analysis of network record logs |
US7760729B2 (en) | 2003-05-28 | 2010-07-20 | Citrix Systems, Inc. | Policy based network address translation |
WO2004107130A2 (en) | 2003-05-28 | 2004-12-09 | Caymas Systems, Inc. | Multilayer access control security system |
US7260840B2 (en) * | 2003-06-06 | 2007-08-21 | Microsoft Corporation | Multi-layer based method for implementing network firewalls |
US7509673B2 (en) * | 2003-06-06 | 2009-03-24 | Microsoft Corporation | Multi-layered firewall architecture |
US7308711B2 (en) * | 2003-06-06 | 2007-12-11 | Microsoft Corporation | Method and framework for integrating a plurality of network policies |
US6985920B2 (en) * | 2003-06-23 | 2006-01-10 | Protego Networks Inc. | Method and system for determining intra-session event correlation across network address translation devices |
US20050022017A1 (en) | 2003-06-24 | 2005-01-27 | Maufer Thomas A. | Data structures and state tracking for network protocol processing |
US7620070B1 (en) * | 2003-06-24 | 2009-11-17 | Nvidia Corporation | Packet processing with re-insertion into network interface circuitry |
US7305705B2 (en) * | 2003-06-30 | 2007-12-04 | Microsoft Corporation | Reducing network configuration complexity with transparent virtual private networks |
US20050144290A1 (en) * | 2003-08-01 | 2005-06-30 | Rizwan Mallal | Arbitrary java logic deployed transparently in a network |
US7522594B2 (en) * | 2003-08-19 | 2009-04-21 | Eye Ball Networks, Inc. | Method and apparatus to permit data transmission to traverse firewalls |
US7720095B2 (en) | 2003-08-27 | 2010-05-18 | Fortinet, Inc. | Heterogeneous media packet bridging |
US7464181B2 (en) * | 2003-09-11 | 2008-12-09 | International Business Machines Corporation | Method for caching lookups based upon TCP traffic flow characteristics |
US7594018B2 (en) * | 2003-10-10 | 2009-09-22 | Citrix Systems, Inc. | Methods and apparatus for providing access to persistent application sessions |
US20050100019A1 (en) * | 2003-11-10 | 2005-05-12 | Sahita Ravi L. | Rule based packet processing engine |
US7978716B2 (en) | 2003-11-24 | 2011-07-12 | Citrix Systems, Inc. | Systems and methods for providing a VPN solution |
US7792147B1 (en) * | 2004-02-09 | 2010-09-07 | Symantec Corporation | Efficient assembly of fragmented network traffic for data security |
KR100609170B1 (ko) * | 2004-02-13 | 2006-08-02 | 엘지엔시스(주) | 네트워크 보안 시스템 및 그 동작 방법 |
US6972226B2 (en) * | 2004-03-31 | 2005-12-06 | Infineon Technologies Ag | Charge-trapping memory cell array and method for production |
US20050268331A1 (en) * | 2004-05-25 | 2005-12-01 | Franck Le | Extension to the firewall configuration protocols and features |
US8739274B2 (en) | 2004-06-30 | 2014-05-27 | Citrix Systems, Inc. | Method and device for performing integrated caching in a data communication network |
US7757074B2 (en) | 2004-06-30 | 2010-07-13 | Citrix Application Networking, Llc | System and method for establishing a virtual private network |
US8495305B2 (en) | 2004-06-30 | 2013-07-23 | Citrix Systems, Inc. | Method and device for performing caching of dynamically generated objects in a data communication network |
EP1771998B1 (en) | 2004-07-23 | 2015-04-15 | Citrix Systems, Inc. | Systems and methods for optimizing communications between network nodes |
KR20070037649A (ko) | 2004-07-23 | 2007-04-05 | 사이트릭스 시스템스, 인크. | 게이트웨이에서 종단으로 패킷을 라우팅하기 위한 방법 및시스템 |
US7865944B1 (en) * | 2004-09-10 | 2011-01-04 | Juniper Networks, Inc. | Intercepting GPRS data |
GB0420684D0 (en) * | 2004-09-17 | 2004-10-20 | Oostendorp Jeroen | Platform for intelligent Email distribution |
US7499419B2 (en) | 2004-09-24 | 2009-03-03 | Fortinet, Inc. | Scalable IP-services enabled multicast forwarding with efficient resource utilization |
US7748032B2 (en) | 2004-09-30 | 2010-06-29 | Citrix Systems, Inc. | Method and apparatus for associating tickets in a ticket hierarchy |
US7711835B2 (en) | 2004-09-30 | 2010-05-04 | Citrix Systems, Inc. | Method and apparatus for reducing disclosure of proprietary data in a networked environment |
US8613048B2 (en) | 2004-09-30 | 2013-12-17 | Citrix Systems, Inc. | Method and apparatus for providing authorized remote access to application sessions |
KR100624483B1 (ko) * | 2004-10-06 | 2006-09-18 | 삼성전자주식회사 | 네트워크에서의 차등 침입탐지 장치 및 방법 |
US7808904B2 (en) | 2004-11-18 | 2010-10-05 | Fortinet, Inc. | Method and apparatus for managing subscriber profiles |
JP2006174350A (ja) * | 2004-12-20 | 2006-06-29 | Fujitsu Ltd | 通信装置 |
US8700695B2 (en) | 2004-12-30 | 2014-04-15 | Citrix Systems, Inc. | Systems and methods for providing client-side accelerated access to remote applications via TCP pooling |
US8549149B2 (en) | 2004-12-30 | 2013-10-01 | Citrix Systems, Inc. | Systems and methods for providing client-side accelerated access to remote applications via TCP multiplexing |
US8954595B2 (en) | 2004-12-30 | 2015-02-10 | Citrix Systems, Inc. | Systems and methods for providing client-side accelerated access to remote applications via TCP buffering |
US8706877B2 (en) | 2004-12-30 | 2014-04-22 | Citrix Systems, Inc. | Systems and methods for providing client-side dynamic redirection to bypass an intermediary |
US7810089B2 (en) | 2004-12-30 | 2010-10-05 | Citrix Systems, Inc. | Systems and methods for automatic installation and execution of a client-side acceleration program |
US8255456B2 (en) | 2005-12-30 | 2012-08-28 | Citrix Systems, Inc. | System and method for performing flash caching of dynamically generated objects in a data communication network |
US8024568B2 (en) | 2005-01-28 | 2011-09-20 | Citrix Systems, Inc. | Method and system for verification of an endpoint security scan |
US7665128B2 (en) | 2005-04-08 | 2010-02-16 | At&T Corp. | Method and apparatus for reducing firewall rules |
US7634584B2 (en) | 2005-04-27 | 2009-12-15 | Solarflare Communications, Inc. | Packet validation in virtual network interface architecture |
US20070097976A1 (en) * | 2005-05-20 | 2007-05-03 | Wood George D | Suspect traffic redirection |
US7881291B2 (en) * | 2005-05-26 | 2011-02-01 | Alcatel Lucent | Packet classification acceleration using spectral analysis |
US8631483B2 (en) * | 2005-06-14 | 2014-01-14 | Texas Instruments Incorporated | Packet processors and packet filter processes, circuits, devices, and systems |
CN100448227C (zh) * | 2005-08-30 | 2008-12-31 | 杭州华三通信技术有限公司 | 业务流的识别方法 |
KR100753815B1 (ko) * | 2005-08-31 | 2007-08-31 | 한국전자통신연구원 | 패킷 차단 장치 및 그 방법 |
US8347373B2 (en) | 2007-05-08 | 2013-01-01 | Fortinet, Inc. | Content filtering of remote file-system access protocols |
CA2632235A1 (en) | 2005-12-02 | 2007-06-07 | Citrix Systems, Inc. | Method and apparatus for providing authentication credentials from a proxy server to a virtualized computing environment to access a remote resource |
JP4545085B2 (ja) * | 2005-12-08 | 2010-09-15 | 富士通株式会社 | ファイアウォール装置 |
US8730834B2 (en) * | 2005-12-23 | 2014-05-20 | General Electric Company | Intelligent electronic device with embedded multi-port data packet controller |
US8301839B2 (en) | 2005-12-30 | 2012-10-30 | Citrix Systems, Inc. | System and method for performing granular invalidation of cached dynamically generated objects in a data communication network |
US7921184B2 (en) | 2005-12-30 | 2011-04-05 | Citrix Systems, Inc. | System and method for performing flash crowd caching of dynamically generated objects in a data communication network |
US8584226B2 (en) | 2006-01-26 | 2013-11-12 | Iorhythm, Inc. | Method and apparatus for geographically regulating inbound and outbound network communications |
US7606225B2 (en) * | 2006-02-06 | 2009-10-20 | Fortinet, Inc. | Integrated security switch |
US7784086B2 (en) * | 2006-03-08 | 2010-08-24 | Panasonic Corporation | Method for secure packet identification |
JP4823728B2 (ja) * | 2006-03-20 | 2011-11-24 | 富士通株式会社 | フレーム中継装置及びフレーム検査装置 |
US8151323B2 (en) * | 2006-04-12 | 2012-04-03 | Citrix Systems, Inc. | Systems and methods for providing levels of access and action control via an SSL VPN appliance |
US8122492B2 (en) * | 2006-04-21 | 2012-02-21 | Microsoft Corporation | Integration of social network information and network firewalls |
US8079073B2 (en) * | 2006-05-05 | 2011-12-13 | Microsoft Corporation | Distributed firewall implementation and control |
US8176157B2 (en) * | 2006-05-18 | 2012-05-08 | Microsoft Corporation | Exceptions grouping |
US7603333B2 (en) * | 2006-06-14 | 2009-10-13 | Microsoft Corporation | Delayed policy evaluation |
US7865878B2 (en) * | 2006-07-31 | 2011-01-04 | Sap Ag | Method and apparatus for operating enterprise software from a detachable storage device |
US8533846B2 (en) | 2006-11-08 | 2013-09-10 | Citrix Systems, Inc. | Method and system for dynamically associating access rights with a resource |
US7688821B2 (en) * | 2006-11-21 | 2010-03-30 | O2Micro International Ltd. | Method and apparatus for distributing data packets by using multi-network address translation |
US8984620B2 (en) * | 2007-07-06 | 2015-03-17 | Cyberoam Technologies Pvt. Ltd. | Identity and policy-based network security and management system and method |
US10540651B1 (en) * | 2007-07-31 | 2020-01-21 | Intuit Inc. | Technique for restricting access to information |
US8060927B2 (en) * | 2007-10-31 | 2011-11-15 | Microsoft Corporation | Security state aware firewall |
JP5223376B2 (ja) * | 2008-02-29 | 2013-06-26 | 日本電気株式会社 | リモートアクセスシステム、方法及びプログラム |
US20090235355A1 (en) * | 2008-03-17 | 2009-09-17 | Inventec Corporation | Network intrusion protection system |
US8336094B2 (en) * | 2008-03-27 | 2012-12-18 | Juniper Networks, Inc. | Hierarchical firewalls |
JP5153480B2 (ja) * | 2008-06-27 | 2013-02-27 | 三菱電機株式会社 | ゲートウェイ装置およびパケットフィルタリング方法 |
US7908376B2 (en) * | 2008-07-31 | 2011-03-15 | Broadcom Corporation | Data path acceleration of a network stack |
US8769665B2 (en) * | 2009-09-29 | 2014-07-01 | Broadcom Corporation | IP communication device as firewall between network and computer system |
CN105376167A (zh) * | 2009-10-28 | 2016-03-02 | 惠普公司 | 分布式分组流检查和处理 |
US8656492B2 (en) * | 2011-05-16 | 2014-02-18 | General Electric Company | Systems, methods, and apparatus for network intrusion detection |
WO2012163587A1 (en) * | 2011-05-31 | 2012-12-06 | Alcatel Lucent | Distributed access control across the network firewalls |
US8881258B2 (en) * | 2011-08-24 | 2014-11-04 | Mcafee, Inc. | System, method, and computer program for preventing infections from spreading in a network environment using dynamic application of a firewall policy |
US8681794B2 (en) | 2011-11-30 | 2014-03-25 | Broadcom Corporation | System and method for efficient matching of regular expression patterns across multiple packets |
US8724496B2 (en) * | 2011-11-30 | 2014-05-13 | Broadcom Corporation | System and method for integrating line-rate application recognition in a switch ASIC |
US9503327B2 (en) * | 2012-07-24 | 2016-11-22 | Nec Corporation | Filtering setting support device, filtering setting support method, and medium |
KR101563059B1 (ko) * | 2012-11-19 | 2015-10-23 | 삼성에스디에스 주식회사 | 안티 멀웨어 시스템 및 안티 멀웨어 시스템에서의 데이터 처리 방법 |
US9319351B1 (en) * | 2012-11-26 | 2016-04-19 | Marvell Israel (M.I.S.L.) Ltd. | Mechanism for wire-speed stateful packet inspection in packet processors |
US10033693B2 (en) | 2013-10-01 | 2018-07-24 | Nicira, Inc. | Distributed identity-based firewalls |
US9215214B2 (en) | 2014-02-20 | 2015-12-15 | Nicira, Inc. | Provisioning firewall rules on a firewall enforcing device |
US9755981B2 (en) | 2014-03-11 | 2017-09-05 | Vmware, Inc. | Snooping forwarded packets by a virtual machine |
US9384033B2 (en) | 2014-03-11 | 2016-07-05 | Vmware, Inc. | Large receive offload for virtual machines |
US9742682B2 (en) | 2014-03-11 | 2017-08-22 | Vmware, Inc. | Large receive offload for virtual machines |
US9503427B2 (en) | 2014-03-31 | 2016-11-22 | Nicira, Inc. | Method and apparatus for integrating a service virtual machine |
US9215210B2 (en) | 2014-03-31 | 2015-12-15 | Nicira, Inc. | Migrating firewall connection state for a firewall service virtual machine |
US9906494B2 (en) | 2014-03-31 | 2018-02-27 | Nicira, Inc. | Configuring interactions with a firewall service virtual machine |
US9825913B2 (en) | 2014-06-04 | 2017-11-21 | Nicira, Inc. | Use of stateless marking to speed up stateful firewall rule processing |
US9774707B2 (en) | 2014-06-04 | 2017-09-26 | Nicira, Inc. | Efficient packet classification for dynamic containers |
US9729512B2 (en) | 2014-06-04 | 2017-08-08 | Nicira, Inc. | Use of stateless marking to speed up stateful firewall rule processing |
US10110712B2 (en) | 2014-06-04 | 2018-10-23 | Nicira, Inc. | Efficient packet classification for dynamic containers |
WO2015187201A1 (en) * | 2014-06-04 | 2015-12-10 | Nicira, Inc. | Use of stateless marking to speed up stateful firewall rule processing |
US9692698B2 (en) | 2014-06-30 | 2017-06-27 | Nicira, Inc. | Methods and systems to offload overlay network packet encapsulation to hardware |
US9419897B2 (en) | 2014-06-30 | 2016-08-16 | Nicira, Inc. | Methods and systems for providing multi-tenancy support for Single Root I/O Virtualization |
US9692727B2 (en) | 2014-12-02 | 2017-06-27 | Nicira, Inc. | Context-aware distributed firewall |
US9891940B2 (en) | 2014-12-29 | 2018-02-13 | Nicira, Inc. | Introspection method and apparatus for network access filtering |
US9806948B2 (en) | 2015-06-30 | 2017-10-31 | Nicira, Inc. | Providing firewall rules for workload spread across multiple data centers |
US10324746B2 (en) | 2015-11-03 | 2019-06-18 | Nicira, Inc. | Extended context delivery for context-based authorization |
CN112087519A (zh) | 2016-04-12 | 2020-12-15 | 伽德诺克斯信息技术有限公司 | 具有被配置为实现安全锁定的相关设备的特别编程的计算系统及其使用方法 |
US10348685B2 (en) | 2016-04-29 | 2019-07-09 | Nicira, Inc. | Priority allocation for distributed service rules |
US10135727B2 (en) | 2016-04-29 | 2018-11-20 | Nicira, Inc. | Address grouping for distributed service rules |
US11171920B2 (en) | 2016-05-01 | 2021-11-09 | Nicira, Inc. | Publication of firewall configuration |
US11425095B2 (en) | 2016-05-01 | 2022-08-23 | Nicira, Inc. | Fast ordering of firewall sections and rules |
US11258761B2 (en) | 2016-06-29 | 2022-02-22 | Nicira, Inc. | Self-service firewall configuration |
US11082400B2 (en) | 2016-06-29 | 2021-08-03 | Nicira, Inc. | Firewall configuration versioning |
US11115385B1 (en) * | 2016-07-27 | 2021-09-07 | Cisco Technology, Inc. | Selective offloading of packet flows with flow state management |
US10938837B2 (en) | 2016-08-30 | 2021-03-02 | Nicira, Inc. | Isolated network stack to manage security for virtual machines |
US9762619B1 (en) | 2016-08-30 | 2017-09-12 | Nicira, Inc. | Multi-layer policy definition and enforcement framework for network virtualization |
US10193862B2 (en) | 2016-11-29 | 2019-01-29 | Vmware, Inc. | Security policy analysis based on detecting new network port connections |
US10609160B2 (en) | 2016-12-06 | 2020-03-31 | Nicira, Inc. | Performing context-rich attribute-based services on a host |
US11032246B2 (en) | 2016-12-22 | 2021-06-08 | Nicira, Inc. | Context based firewall services for data message flows for multiple concurrent users on one machine |
US10805332B2 (en) | 2017-07-25 | 2020-10-13 | Nicira, Inc. | Context engine model |
US10802858B2 (en) | 2016-12-22 | 2020-10-13 | Nicira, Inc. | Collecting and processing contextual attributes on a host |
US10812451B2 (en) | 2016-12-22 | 2020-10-20 | Nicira, Inc. | Performing appID based firewall services on a host |
US10803173B2 (en) | 2016-12-22 | 2020-10-13 | Nicira, Inc. | Performing context-rich attribute-based process control services on a host |
US10581960B2 (en) | 2016-12-22 | 2020-03-03 | Nicira, Inc. | Performing context-rich attribute-based load balancing on a host |
US10313926B2 (en) | 2017-05-31 | 2019-06-04 | Nicira, Inc. | Large receive offload (LRO) processing in virtualized computing environments |
US10778651B2 (en) | 2017-11-15 | 2020-09-15 | Nicira, Inc. | Performing context-rich attribute-based encryption on a host |
US10802893B2 (en) | 2018-01-26 | 2020-10-13 | Nicira, Inc. | Performing process control services on endpoint machines |
US10862773B2 (en) | 2018-01-26 | 2020-12-08 | Nicira, Inc. | Performing services on data messages associated with endpoint machines |
US11388141B1 (en) * | 2018-03-28 | 2022-07-12 | Juniper Networks, Inc | Apparatus, system, and method for efficiently filtering packets at network devices |
US11310202B2 (en) | 2019-03-13 | 2022-04-19 | Vmware, Inc. | Sharing of firewall rules among multiple workloads in a hypervisor |
US11539718B2 (en) | 2020-01-10 | 2022-12-27 | Vmware, Inc. | Efficiently performing intrusion detection |
US11962518B2 (en) | 2020-06-02 | 2024-04-16 | VMware LLC | Hardware acceleration techniques using flow selection |
US11108728B1 (en) | 2020-07-24 | 2021-08-31 | Vmware, Inc. | Fast distribution of port identifiers for rule processing |
US20220038372A1 (en) * | 2020-08-02 | 2022-02-03 | Mellanox Technologies Tlv Ltd. | Stateful filtering systems and methods |
US11593278B2 (en) | 2020-09-28 | 2023-02-28 | Vmware, Inc. | Using machine executing on a NIC to access a third party storage not supported by a NIC or host |
US20220100432A1 (en) | 2020-09-28 | 2022-03-31 | Vmware, Inc. | Distributed storage services supported by a nic |
US11875172B2 (en) | 2020-09-28 | 2024-01-16 | VMware LLC | Bare metal computer for booting copies of VM images on multiple computing devices using a smart NIC |
US11792134B2 (en) | 2020-09-28 | 2023-10-17 | Vmware, Inc. | Configuring PNIC to perform flow processing offload using virtual port identifiers |
US11636053B2 (en) | 2020-09-28 | 2023-04-25 | Vmware, Inc. | Emulating a local storage by accessing an external storage through a shared port of a NIC |
US11863376B2 (en) | 2021-12-22 | 2024-01-02 | Vmware, Inc. | Smart NIC leader election |
US11928367B2 (en) | 2022-06-21 | 2024-03-12 | VMware LLC | Logical memory addressing for network devices |
US11899594B2 (en) | 2022-06-21 | 2024-02-13 | VMware LLC | Maintenance of data message classification cache on smart NIC |
US11928062B2 (en) | 2022-06-21 | 2024-03-12 | VMware LLC | Accelerating data message classification with smart NICs |
Family Cites Families (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5400331A (en) * | 1993-04-28 | 1995-03-21 | Allen-Bradley Company, Inc. | Communication network interface with screeners for incoming messages |
US5623601A (en) * | 1994-11-18 | 1997-04-22 | Milkway Networks Corporation | Apparatus and method for providing a secure gateway for communication and data exchanges between networks |
US5802320A (en) * | 1995-05-18 | 1998-09-01 | Sun Microsystems, Inc. | System for packet filtering of data packets at a computer network interface |
US5648965A (en) * | 1995-07-07 | 1997-07-15 | Sun Microsystems, Inc. | Method and apparatus for dynamic distributed packet tracing and analysis |
US5801753A (en) * | 1995-08-11 | 1998-09-01 | General Instrument Corporation Of Delaware | Method and apparatus for providing an interactive guide to events available on an information network |
US6147976A (en) * | 1996-06-24 | 2000-11-14 | Cabletron Systems, Inc. | Fast network layer packet filter |
US5828833A (en) * | 1996-08-15 | 1998-10-27 | Electronic Data Systems Corporation | Method and system for allowing remote procedure calls through a network firewall |
US6119236A (en) * | 1996-10-07 | 2000-09-12 | Shipley; Peter M. | Intelligent network security device and method |
US6073178A (en) * | 1996-12-09 | 2000-06-06 | Sun Microsystems, Inc. | Method and apparatus for assignment of IP addresses |
US5848233A (en) * | 1996-12-09 | 1998-12-08 | Sun Microsystems, Inc. | Method and apparatus for dynamic packet filter assignment |
US6070242A (en) * | 1996-12-09 | 2000-05-30 | Sun Microsystems, Inc. | Method to activate unregistered systems in a distributed multiserver network environment |
US5835727A (en) * | 1996-12-09 | 1998-11-10 | Sun Microsystems, Inc. | Method and apparatus for controlling access to services within a computer network |
US6208651B1 (en) * | 1997-06-10 | 2001-03-27 | Cornell Research Foundation, Inc. | Method and system for masking the overhead of protocol layering |
US6158008A (en) * | 1997-10-23 | 2000-12-05 | At&T Wireless Svcs. Inc. | Method and apparatus for updating address lists for a packet filter processor |
US6092110A (en) * | 1997-10-23 | 2000-07-18 | At&T Wireless Svcs. Inc. | Apparatus for filtering packets using a dedicated processor |
EP1062785A2 (en) * | 1998-03-18 | 2000-12-27 | Secure Computing Corporation | System and method for controlling interactions between networks |
US6092108A (en) * | 1998-03-19 | 2000-07-18 | Diplacido; Bruno | Dynamic threshold packet filtering of application processor frames |
WO2000010297A1 (en) * | 1998-08-17 | 2000-02-24 | Vitesse Semiconductor Corporation | Packet processing architecture and methods |
-
2000
- 2000-03-02 US US09/517,276 patent/US6496935B1/en not_active Expired - Lifetime
-
2001
- 2001-02-26 EA EA200200814A patent/EA004423B1/ru not_active IP Right Cessation
- 2001-02-26 EP EP01912998A patent/EP1266277B1/en not_active Expired - Lifetime
- 2001-02-26 WO PCT/US2001/005925 patent/WO2001065343A1/en active IP Right Grant
- 2001-02-26 AT AT01912998T patent/ATE312463T1/de not_active IP Right Cessation
- 2001-02-26 NZ NZ520984A patent/NZ520984A/xx unknown
- 2001-02-26 AU AU4171701A patent/AU4171701A/xx active Pending
- 2001-02-26 CA CA002401577A patent/CA2401577C/en not_active Expired - Fee Related
- 2001-02-26 PL PL01357181A patent/PL357181A1/xx unknown
- 2001-02-26 JP JP2001563973A patent/JP3954385B2/ja not_active Expired - Lifetime
- 2001-02-26 CN CNB018058892A patent/CN100474213C/zh not_active Expired - Fee Related
- 2001-02-26 IL IL15152201A patent/IL151522A0/xx active IP Right Grant
- 2001-02-26 KR KR1020027011384A patent/KR20020092972A/ko not_active Application Discontinuation
- 2001-02-26 BR BR0109035-6A patent/BR0109035A/pt not_active Application Discontinuation
- 2001-02-26 DE DE60115615T patent/DE60115615T2/de not_active Expired - Lifetime
- 2001-02-26 HU HU0300039A patent/HUP0300039A2/hu unknown
- 2001-02-26 AU AU2001241717A patent/AU2001241717B2/en not_active Ceased
-
2002
- 2002-08-28 IL IL151522A patent/IL151522A/en unknown
- 2002-08-29 NO NO20024113A patent/NO324958B1/no not_active IP Right Cessation
Also Published As
Publication number | Publication date |
---|---|
CA2401577A1 (en) | 2001-09-07 |
AU2001241717B2 (en) | 2005-12-22 |
CN100474213C (zh) | 2009-04-01 |
KR20020092972A (ko) | 2002-12-12 |
JP3954385B2 (ja) | 2007-08-08 |
EA004423B1 (ru) | 2004-04-29 |
BR0109035A (pt) | 2003-06-03 |
IL151522A (en) | 2007-12-03 |
NO20024113L (no) | 2002-11-01 |
PL357181A1 (en) | 2004-07-26 |
JP2003525557A (ja) | 2003-08-26 |
EP1266277A1 (en) | 2002-12-18 |
US6496935B1 (en) | 2002-12-17 |
CA2401577C (en) | 2007-09-18 |
EP1266277B1 (en) | 2005-12-07 |
NZ520984A (en) | 2003-02-28 |
NO20024113D0 (no) | 2002-08-29 |
DE60115615T2 (de) | 2006-07-06 |
WO2001065343A1 (en) | 2001-09-07 |
DE60115615D1 (de) | 2006-01-12 |
EP1266277A4 (en) | 2003-07-02 |
HUP0300039A2 (en) | 2003-05-28 |
IL151522A0 (en) | 2003-04-10 |
CN1406351A (zh) | 2003-03-26 |
EA200200814A1 (ru) | 2003-02-27 |
ATE312463T1 (de) | 2005-12-15 |
AU4171701A (en) | 2001-09-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
NO324958B1 (no) | System, anordning og fremgangsmate for hurtig filtrering av datapakker | |
AU2001241717A1 (en) | System, device and method for rapid packet filtering and processing | |
US8006297B2 (en) | Method and system for combined security protocol and packet filter offload and onload | |
KR100952350B1 (ko) | 지능망 인터페이스 컨트롤러 | |
EP1335559B1 (en) | System and method of providing virus protection at a gateway | |
US8356349B2 (en) | Method and system for intrusion prevention and deflection | |
EP2482520B1 (en) | System and method for efficient classification and processing of network traffic | |
US8060927B2 (en) | Security state aware firewall | |
JP4664257B2 (ja) | 攻撃検出システム及び攻撃検出方法 | |
US8191141B2 (en) | Method and system for cloaked observation and remediation of software attacks | |
US20080267177A1 (en) | Method and system for virtualization of packet encryption offload and onload | |
JP4743894B2 (ja) | データ・パケットを伝送しながらセキュリティを改良するための方法及び装置 | |
US9059965B2 (en) | Method and system for enforcing security policies on network traffic | |
US7742474B2 (en) | Virtual network interface cards with VLAN functionality | |
US8175271B2 (en) | Method and system for security protocol partitioning and virtualization | |
US8689319B2 (en) | Network security system | |
WO2002035795A1 (en) | Transparent proxy server | |
CN101719899A (zh) | 用于网络安全装置的具有端口限制的动态访问控制策略 | |
US20080077694A1 (en) | Method and system for network security using multiple virtual network stack instances | |
JP2020017809A (ja) | 通信装置及び通信システム | |
JP6422677B2 (ja) | ネットワーク中継装置、同装置を用いたDDoS防御方法および負荷分散方法 | |
US7607168B1 (en) | Network interface decryption and classification technique | |
US8050266B2 (en) | Low impact network debugging | |
KR100520102B1 (ko) | 네트워크 유해 트래픽 방역 시스템 및 그 방법 | |
WO2007034535A1 (ja) | ネットワーク装置、データ中継方法およびプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
MM1K | Lapsed by not paying the annual fees |