NO324958B1 - System, anordning og fremgangsmate for hurtig filtrering av datapakker - Google Patents

System, anordning og fremgangsmate for hurtig filtrering av datapakker Download PDF

Info

Publication number
NO324958B1
NO324958B1 NO20024113A NO20024113A NO324958B1 NO 324958 B1 NO324958 B1 NO 324958B1 NO 20024113 A NO20024113 A NO 20024113A NO 20024113 A NO20024113 A NO 20024113A NO 324958 B1 NO324958 B1 NO 324958B1
Authority
NO
Norway
Prior art keywords
packet
firewall
connection
filtering module
accordance
Prior art date
Application number
NO20024113A
Other languages
English (en)
Other versions
NO20024113L (no
NO20024113D0 (no
Inventor
Gonen Fink
Amir Haursh
Original Assignee
Check Point Software Tech Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Check Point Software Tech Ltd filed Critical Check Point Software Tech Ltd
Publication of NO20024113D0 publication Critical patent/NO20024113D0/no
Publication of NO20024113L publication Critical patent/NO20024113L/no
Publication of NO324958B1 publication Critical patent/NO324958B1/no

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0254Stateful filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Image Processing (AREA)
  • Auxiliary Devices For And Details Of Packaging Control (AREA)
  • Supplying Of Containers To The Packaging Station (AREA)

Description

Den foreliggende oppfinnelse vedrører et system, en anordning og en fremgangsmåte for hurtig pakkefiltrering på et pakkesvitsjet nettverk, og mer bestemt til et slikt system, en anordning og en fremgangsmåte som angitt i de respektive selvstendige krav 1, 17 og 19.
Konnektivitet og sikkerhet er de to mest konfliktfylte objekter i datamiljøet til de fleste organisasjoner. Det typiske moderne datasystemet er bygd opp rundt nettverks-kommunikasjoner som frembringer transparent aksess til et antall tjenester. Den globale tilgjengelighet til disse tjenestene er muligens det viktigste trekket ved moderne dataløsninger. Krav for konnektivitet kommer både fra innenfor organisasjonene og fra utsiden av dem.
Beskyttelse av nettverkstjenester fra uautorisert bruk er av særdeles viktighet for hvilken som helst organisa-sjon. Ettersom behovet for økt sikkerhet vokser, har mid-lene for å kontrollere aksess til nettverksressurser blitt en administrativ prioritet. For å spare kostnader og opprettholde produktivitet må aksesskontroll være enkelt å konfigurere og transparent for brukere og applikasjoner. Minimalisering av oppsettkostnader og nedetid er også viktige faktorer.
Pakkefiltrering er en fremgangsmåte som tillater konnektivitet, men som likevel frembringer sikkerhet ved å kontrollere trafikken som passerer, som således motvirker ulovlige kommunikasjonsforsøk, både i enkle nettverk og mellom tilkoblede nettverk.
US Patent Nr 5.835.726 (innsendt 17. juni 1996) og 5.606.668 (innsendt 15. desember 1993), hvorved begge her-ved i helhet er innarbeidet som referanse, beskriver frem-gangsmåter for å frembringe nettverkssikkerhet ved å kontrollere inn- og utgående datapakkestrøm i et datanettverk. Strømmen av pakker kontrolleres via pakkefiltrering, utført ifølge en brukergenerert regelbase som deretter blir konvertert til et sett av filterspråkinstruksjoner. Hver regel i regelbasen omfatter en kilde, mottak, tjeneste, hvorvidt å akseptere eller avslå pakken og hvorvidt å logge, kryptere og/eller autentisere hendelsen. Settet av filterspråkinstruksjoner er installert og utføres på inspeksjonsmekanismer som er plassert på datamaskiner og som virker som brannvegger. Inspeksjonsmekanismen utfører tilstandsinspeksjon for å bestemme hvorvidt en pakke skal tillates å komme gjennom brannveggen. Brannveggene er anordnet i datanettverket slik at all trafikk til og fra nettverket som skal beskyttes tvinges til å passere gjennom brannveggen. Således at pakker blir filtrert ettersom de strømmer inn i- og ut av nettverket ifølge reglene som er i regelbasen.
Ifølge disse referansene, virker inspeksjonsmekanismen som en virtuell pakkefiltreringsmekanisme som bestemmer på en pakke ved pakkebasis hvorvidt pakken skal avslås eller aksepteres. Hvis en pakke avslås, bortfaller den. Hvis den blir akseptert kan pakken deretter bli modifisert. Modifikasjonen kan omfatte kryptering, dekryptering, signaturgenerering, signaturverifisering eller adresseomforming. Alle modifikasjonene blir utført i samsvar med innholdet i regelbasen.
Uheldigvis er én ulempe med den omtalte metode at stor beregningsbyrde plasseres på datamaskinen som driver brannveggen. Den tidligere omtalte prosessen ved pakkefiltrering krever at hver pakke blir separat analysert, med mange
ulike sammenligninger med sett av regler ifølge hvor pakke-innføring gjennom brannveggen blir bestemt. Straks en
sesjon, eller tilkobling mellom to noder som er etablert gjennom brannveggen, er blitt vurdert som tillatt, trenger deretter i de fleste tilfeller imidlertid videre intensive analyser ikke være nødvendige. Således at redusering eller til og med eliminering av kravet for fortsatt analyse av pakker fra en tillatt tilkobling vil betydelig redusere beregningsbyrde påført brannveggen, og akselerere prosessen med pakkefiltrering, men likevel opprettholde sikkerheten til det beskyttede systemet.
Det er videre kjent fra EP 713311 Al et system for akselerert pakkefiltrering. Likeledes trekkes WO 2000/10297 Al frem som eksempel på kjent teknikk.
Det er således et behov for, og det vil være nyttig å ha, et system, en anordning og en fremgangsmåte for hurtig pakkefiltrering ifølge tilkoblingen hvorfra en pakke blir mottatt, slik at hvis en pakke mottas fra en tillatt tilkobling, blir kravet for fullstendig pakkeanalyse redusert eller til og med eliminert, mens muligheten for hurtig og effektivt å modifisere pakker fremdeles blir opprettholdt, valgfritt gjennom maskinvare akselerasjon av modifikasjons-prosessen.
Foreliggende oppfinnelse vedrører et system, en anordning og en fremgangsmåte for å akselerere pakkefiltrering på et pakkesvitsjet nettverk, foretrukket et IP-nettverk, ved å frembringe en brannvegg med en førfiltreringsmodul. Førfiltreringsmodulen utfører et begrenset sett av aksjoner med hensyn til pakkene, ifølge hvorvidt pakkene er mottatt fra en tilkobling som tidligere er blitt tillatt av brannveggen. Hvis pakken er mottatt fra en slik tillatt tilkobling, sender deretter førfiltreringsmodulen pakkene videre til deres bestemmelsessted, utfører valgfritt én eller flere aksjoner på pakkene. Ellers blir pakkene formidlet til brannveggen for håndtering. Straks brannveggen har overført ansvaret for tilkoblingen til førfiltreringsmodulen, eller «avlastet» tilkoblingen, mottar ikke brannveggen foretrukket videre pakker fra sin tilkobling inntil et tidsavbrudd oppstår for tilkoblingen, eller en pakke blir mottatt med en bestemt sesjonskontroll-feltverdi som indikerer at sesjonen er avsluttet, så som at tilkoblingen er lukket.
For den foretrukne utførelsen av foreliggende oppfinnelse med IP-nettverk er f.eks. en slik sesjons-kontrollfeltverdi et FIN/RST-flagg som er satt for pakken.
Én fordel med å redusere eller til og med eliminere mengden analyse som er nødvendig for pakker fra en tillatt forbindelse er at brannveggen valgfritt kan supplementeres ved maskinvareakselerasjon. Slik maskinvareakselerasjon har den fordel at den er mye hurtigere enn programvarebasert pakkeprosessering, og kan derfor betydelig øke effekten på brannveggsystemet. I tillegg kan maskinvareakselerasjon av modifiseringsprosessen opprettholde muligheten for hurtig og effektivt å modifisere pakker, siden modifiseringsprosessen krever mindre «intelligens» for å modifisere pakkene, men hurtigere prosessering, mens den motstående karakteristikk er korrekt for prosessen med pakkeanalyser. Således at valgfritt og foretrukket er førfiltrerings-modulen implementert som maskinvare.
Ifølge foreliggende oppfinnelse er det frembrakt et system for akselerert filtrering av en pakke på et nettverk, hvor systemet omfatter: (a) en brannvegg lokalisert på nettverket for å utføre pakkefiltrering på pakken i samsvar med minst en regel, (b) en førfiltreringsmodul som er i kommunikasjon med brannveggen, nevnte førfiltreringsmodul mottar pakken før brannveggen, og førfiltreringsmodulen utfører en initial pakkefiltrering på pakken i samsvar med minst en instruksjon mottatt fra brannveggen, slik at hvis pakken er tillatt ifølge den minst ene instruksjonen, håndterer førfiltreringsmodulen pakken, og alternativt formidler førfiltreringsmodulen pakken til brannveggen for håndtering.
Ifølge en annen utførelse av foreliggende oppfinnelse er det frembrakt en førfiltreringsanordning for å utføre filtrering av en pakke, hvor førfiltreringsanordningen er i kommunikasjon med en brannvegg og mottar pakken før brannveggen, idet førfiltreringsanordningen omfatter: (a) et minne for å lagre minst én instruksjon fra brannveggen for analyse av minst en parameter til pakken, hvor den minst ene instruksjonen omfatter det minst ene parameter for å identifisere pakken, (b) en klassifikasjonsmekanisme innrettet til å utføre en initial pakkefiltrering på pakken ved å analysere minst en del av pakken og til å sammenligne den minst ene delen av pakken med det minst ene parameter ifølge den minst ene instruksjonen, og (c) et brannvegg-grensesnitt innrettet for å sende pakken til brannveggen, bortsett fra dersom pakken er tillatt ifølge den minst ene instruksjonen.
Ifølge en videre annen utførelse av foreliggende oppfinnelse er det frembrakt en fremgangsmåte for akselerert pakkefiltrering på et nettverk i sammenheng med en brannvegg, hvori fremgangsmåten omfatter trinnene: (a) å frembringe en førfiltreringsmodul for å motta en pakke før brannveggen og for å utføre en initial pakkefiltrering på pakken,
(b) å motta pakken av førfiltreringsmodulen,
(c) å bestemme hvorvidt pakken er tillatt,
ifølge minst én instruksjon mottatt fra brannveggen,
(d) hvis pakken er tillatt, at pakken håndteres av
førfiltreringsmodulen, og
(e) alternativt, å formidle pakken til brannveggen.
Foretrukne utførelser av oppfinnelsen er definert i respektive uselvstendige krav 2-16, 18, og 20-28.
Heretter omfatter uttrykket «nettverk» en forbindelse mellom hvilke som helst to eller flere databehandlings-anordninger som tillater overføring av data.
Heretter omfatter uttrykket «databehandlings-anordninger», men ikke begrenset til, personlige datamaskiner (PC) med et operativsystem så som Windows, eller Linux, Macintosh™ datamaskiner; datamaskiner omfattende JAVA™-OS som operativsystem; arbeidsstasjoner så som datamaskiner til
Sun Microsystems™ og Silicon Graphics™, og andre datamaskiner omfattende en versjon av UNIX-operativsystem så som AIX™ eller SOLARIS™ til Sun Microsystems™, eller hvilket som helst annet kjent og tilgjengelig operativsystem; hvilken som helst type datamaskin; hvilken som helst anordning som kan kobles til et pakkesvitsjet nettverk og som har et operativsystem, omfattende, men ikke begrenset til VxWorks™ og PSOS™, og hvilken som helst anordning som kan kobles til et pakkesvitsjet nettverk og som er i stand til å overføre og motta pakker, og som har minst én dataprosessor, så som en nettverksprosessor f.eks., omfattende men ikke begrenset til, en enhet for sammenknytning av nettverk, en svitsj eller en ruter. Heretter omfatter uttrykket «Windows™», men er ikke begrenset til, Windows NT™, Windows98™, Windows2000™, Windows CE™ og hvilken som helst oppgradert versjon av disse operativsystemene av Microsoft Corporation (USA).
Fremgangsmåten ifølge foreliggende oppfinnelse kan beskrives som en serie trinn utført av en dataprosessor, og kan således valgfritt implementeres som programvare, maskinvare eller fastvare, eller en kombinasjon derav. For foreliggende oppfinnelse kan en programvareapplikasjon skrives i hovedsakelig hvilket som helst passende program-meringsspråk, som enkelt kan velges av en fagmann. Program-meringsspråket valgt skal være kompatibelt med databehandlingsanordningen ifølge hvortil programvare-applikasjonen kjøres. Eksempler på egnede programmerings-språk omfatter, men er ikke begrenset til C, C++ og Java.
Det forannevnte og andre formål, aspekter og fordeler skal bedre forstås fra den følgende detaljerte beskrivelse av en foretrukket utførelse av oppfinnelsen med henvisning til tegningene, hvori: Fig. 1 viser et skjematisk blokkdiagram av systemet ifølge foreliggende oppfinnelse, Fig. 2 viser et skjematisk blokkdiagram av et eksempel, men foretrukket utførelse av førfiltrerings-modulen i Fig. 1, ifølge foreliggende oppfinnelse, og Fig. 3 viser et flytdiagram for en eksempelfremgangs-måte ifølge foreliggende oppfinnelse.
Foreliggende oppfinnelse vedrører et system, en anordning og en fremgangsmåte for akselerert pakkefiltrering ved å frembringe en brannvegg med en førfiltrerings-modul. Førfiltreringsmodulen utfører en enkel sammenligning med hensyn til pakkene, f.eks. ifølge hvorvidt pakkene er mottatt fra en forbindelse som tidligere er blitt tillatt av brannveggen. Hvis pakken er mottatt fra en slik tillatt forbindelse, formidler deretter førfiltreringsmodulen pakkene til deres mottakssted, og utfører valgfritt én eller flere aksjoner på pakkene. Ellers blir pakkene videreformidlet til brannveggen for håndtering. I tillegg blir foretrukket pakkene formidlet til brannveggen for håndtering hvis disse pakkene har bestemte sesjonskontrollfeltverdier som krever inngripen av brannveggen. F.eks., for den foretrukne utførelse av den foreliggende oppfinnelse med IP-nettverkene, og mer bestemt med TCP/IP-trafikk, omfatter slike sesjonskontrollfeltverdier et sett av SYN/FIN/RST-flagg for pakken. Slike sesjonskontrollfeltverdier er indikative for pakker som bærer informasjon om tilkoblingsstatus, og er derfor viktig for brannveggen å motta og analysere for å bestemme status for tilkoblingen. Valgfritt blir fragmentpakker også formidlet til brannveggen hvis førfiltreringsmodulen ikke er i stand til å utføre bestemte funksjoner, så som virtuell defragmentering for den foretrukne utførelsen av foreliggende oppfinnelse med IP-nettverk, og mer bestemt med IP-trafikk.
Straks brannveggen har bestemt at en forbindelse er tillatt, eller på annen måte har bestemt minst en parameter for å utføre den enkle sammenligningen, sender foretrukket brannveggen en melding til førfiltreringsmodulen med detaljer om de nye tillatte pakkene. Straks brannveggen har overført ansvaret for tilkoblingen til førfiltrerings-modulen, eller «avlastet» tilkoblingen, mottar foretrukket brannveggen ikke videre pakker fra denne forbindelsen inntil et tidsavbrudd oppstår for tilkoblingen, eller en pakke blir mottatt med bestemte sesjonskontrollfeltverdier som indikerer at sesjonen er avsluttet, f.eks. med å ha FIN/RST-flagg satt for den foretrukne implementeringen med IP-nettverk, så som at forbindelsen er lukket. Et «tidsavbrudd» oppstår hvis en pakke ikke er blitt mottatt av brannveggen for en forhåndsdefinert tidsperiode.
Førfiltreringsmodulen er foretrukket implementert som maskinvare, for å trekke fordel av maskinvareaksellerasjon. Slik maskinvareakselerasjon har den fordel av å være mye hurtigere enn programvarebasert pakkeprosessering. Derfor er førfiltreringsmodulen foretrukket implementert som en maskinvarebasert anordning, selv om førfiltreringsmodulen alternativt kan være implementert som programvare eller fastvare. Valgfritt kan førfiltreringsmodulen og brannveggen være implementert som en kombinert anordning, som kan være en «black box» lagt til, eller alternativt som erstatning for, portnoden til et nettverk, for å forenkle installasjon og drift.
Prinsippene og driften av et system, en anordning og en fremgangsmåte ifølge foreliggende oppfinnelse skal bedre forstås med henvisning til tegningene og den vedlagte beskrivelse, det må forstås at disse tegningene kun er gitt for illustrasjonsformål og er ikke ment å være begrensende. Selv om den følgende beskrivelse konsentrerer seg om IP-nettverk, og mer bestemt om TCP/IP-pakketrafikk, må det forstås at dette er for illustrasjonsformål kun og er ikke ment å være begrensende på noen som helst måte.
Viser nå til tegningene hvor Fig. 1 viser et skjematisk blokkdiagram av et system ifølge foreliggende oppfinnelse. Et system 10 omfatter et beskyttet nettverk 12, som er et pakkesvitsjet nettverk, slik at data blir overført i form av pakker. Det beskyttede nettverk 12 er separert fra et eksternt pakkesvitsjet nettverk 14 ved en port 16, som valgfritt kan være hvilken som helst type databehandlingsanordning, også uttrykt heri som en «mellom-liggende node». Det eksterne nettverket 14 kan valgfritt f.eks. være Internett. Porten 16 er koblet til hvert av de eksterne nettverk 14 og det beskyttede nettverket 12 gjennom en maskinvaretilkobling, vist heri som en NIC 17.
Porten 16 driver en brannvegg 18 for å utføre pakkeanalyse og pakkefiltrering. Pakker som er tillatt å passere gjennom porten 16 fra det eksterne nettverket 14 blir deretter mottatt av én av et antall beskyttede noder 20, som er koblet til det beskyttede nettverket 12. Slik nettverks-trafikk er typisk toveis, slik at pakker blir mottatt av porten 16 fra det beskyttede nettverket 12 for overføring til det eksterne nettverket 14 og vice versa.
Brannveggen 18 er foretrukket implementert som tidligere beskrevet i US Patent Nr 5.838.726 og 5.606.668. Brannveggen 18 omfatter et pakkefilter 22 for å utføre
pakkefiltrering. Pakkefilteret 22 er foretrukket sammensatt av en analysemodul 24 for å analysere pakkene og en regelbase 26. Regelbasen 26 omfatter foretrukket én eller flere regler som er definert ifølge preferanser til systemadministrator eller annen kontrollerende bruker. Analysemodulen 24 trekker ut og sammenligner innholdet av de analyserte pakkene med reglene i regelbasen 26. Hvis resultatet av sammenligningen er slik at pakken tillates ifølge regel-
basen 26, tillater deretter pakkefilteret 22 pakken å inn-føres i det beskyttede nettverk 12.
Alternativt, hvis pakken ikke tillates ifølge regelbasen 26, blir deretter pakken valgfritt droppet. Pakken kan også valgfritt bli bestemt til å ikke være tillatt hvis regelbasen 26 ikke spesifikt tillater at pakken passerer.
Også valgfritt og foretrukket omfatter pakkefilteret 22 en modifiseringsmodul 28 for å modifisere pakken, hvis pakken blir akseptert.
Andre valgfrie trekk til brannveggen 18 omfatter mulighet til å utføre regnskap for pakkene, for å bestemme mengden data som overføres i alle pakkene som tilhører en spesifikk forbindelse; mulighet til å modifisere adresser i pakken; og mulighet til å kryptere pakkene. Pakkekryptering er mer bestemt tidligere blitt beskrevet i US Patent Nr 5.835.726. Ganske kort kan pakker valgfritt bli kryptert for overføring mellom to brannvegger 18, slik at pakkene er kryptert for å passere gjennom eksterne nettverk 14. Kryptering blir også valgfritt brukt for kommunikasjon mellom brannveggen 18 og en node fra det eksterne nettverket 14, f.eks. De krypterte pakkene blir deretter dekryptert av den mottakende brannvegg 18, og formidlet til det beskyttede nettverk 12. Således at prosessen med kryptering og overføring er automatisert, og kan utføres på en måte som er transparent for kommunikasjonsprogramvaren.
Disse trekkene til en brannvegg 18 er foretrukket implementert som tidligere beskrevet i US Patent Nr. 5.835.726 og 5.606.668. Formidling av alle pakkene gjennom brannveggen 18 før de tillates å innføres i porten 16 på-fører imidlertid en stor beregningsbyrde på brannveggen 18. Ifølge foreliggende oppfinnelse omfatter porten 16 derfor også en førfiltreringsmodul 30 som mottar pakkene før brannveggen 18, men som er foretrukket direkte koblet til det beskyttede nettverk 12. Førfiltreringsmodulen 30 mottar også foretrukket instruksjoner fra brannveggen 18, vedrør-ende pakker som er tillatt å innføres i det beskyttede nettverket 12. Disse instruksjonene er mer foretrukket bestemt av brannveggen 18 fra en analyse av én eller flere tidligere mottatte og relaterte pakker, slik at hvis en tidligere mottatt og relatert pakke er blitt tillatt å inn-føres i det beskyttede nettverket 12, skal således den nåværende pakke også tillates å innføres i det beskyttede nettverket 12. Således at hvis førfiltreringsmodulen 30 bestemmer at den nåværende pakken tillates å innføres, formidler deretter foretrukket førfiltreringsmodulen 30 pakken direkte gjennom til det beskyttede nettverket 12.
For å øke effektiviteten ved drift av førfiltrerings-modulen 30, kan foretrukket førfiltreringsmodulen 30 kun utføre begrensede analyser av hver pakke. Spesifikt blir mer foretrukket kun en del av hver pakke analysert av førfiltreringsmodulen 30. Mest foretrukket analyserer førfiltreringsmodulen 30 hver pakke kun med hensyn til en enkel sammenligning. Ved «enkel sammenligning» er det ment at informasjonen som trekkes ut er i form av én eller flere forhåndsdefinerte parameter som blir sammenlignet med et forhåndsdefinert mønster av slike parametere.
I en bestemt foretrukket utførelse av en enkel sammenligning blir pakken kun analysert inntil førfiltrerings-modulen 30 er i stand til å bestemme hvorvidt pakken er blitt mottatt fra en tillatt dataoverføring. Slik en tillatt overføring kan uttrykkes som en forbindelse mellom en kildenode som initierer forbindelsen, f.eks. fra det eksterne nettverket 14, til en mottaksnode som aksepterer forbindelsen, f.eks. en beskyttet node 20. Det må forstås at straks forbindelsen er blitt etablert, kan kommunikasjonen mellom kildenode og mottaksnode valgfritt være toveis.
Med hensyn til pakkeanalyse er en «forbindelse» definert ifølge minst én, og foretrukket et antall, parameter som beskriver dataoverføringen hvortil pakken tilhører. Eksempler på disse parametrene omfatter, men er ikke begrenset til kildeadresse og port til pakken; mottaksadresse og port til pakken; protokoll til pakken og grensesnitt hvorfra pakken var mottatt. Forbindelsen benyttes til å klassifisere pakken og til å bestemme hvorvidt pakken er tillatt å innføres i, eller forlate, det beskyttede nettverket 12.
Brannveggen 18 definerer hver forbindelse fra en analyse av én eller flere tidligere mottatte og undersøkte pakker. Brannveggen 18 undersøker innholdet av en slik pakke eller pakker, og basert på resultatet til analysemodulen 24 med regelbasen 26, bestemmes det hvorvidt pakkene fra den tilsvarende forbindelsen skal tillates å komme inn i og/eller forlate det beskyttede nettverket 12. I tillegg, fra reglene som er lagret i regelbasen 26, er analysemodulen 24 i stand til å bestemme én eller flere aksjoner som skal forbindes med hver forbindelse. Eksempler på slike aksjoner omfatter, men er ikke begrenset til, å utføre en regnskapsaksjon for å telle mengden data i pakken, kryptering/dekryptering av pakken, utføre nett-verksadresseomforming (NAT) ved å omskrive adressefeltene, osv. Et foretrukket eksempel på modifisering av pakken er å markere pakken, ved å tildele et prioritetsnummer til pakken av førfiltreringsmodulen 30, ifølge instruksjonene til brannveggen 18. Dette prioritetsnummeret bestemmer overføringsorden til pakken, og således dens «prioritet».
Brannveggen 18 formidler deretter relevante instruksjoner vedrørende i det minste hvorvidt pakken er tillatt å innføres i det beskyttede nettverket 12, og mer foretrukket aksjonene som skal utføres på etterfølgende pakker fra denne forbindelsen, til førfiltreringsmodulen 30.
Valgfritt og foretrukket utfører førfiltrerings-modulen 30 en «anti-spoofing»-metode. Siden førfiltrerings-modulen 30 valgfritt kan være koblet til et antall nettverk, kan pakker komme fra hvilke som helst av disse nettverkene. «Anti-spoofing»-metoden bestemmer hvorvidt en IP-pakke, indikert som opprinnelig fra et bestemt nettverk, i virkeligheten er ankommet fra det nettverket. Ettersom førfiltreringsmodulen 30 vet hvilke nettverk som er koblet til hvilke grensesnitt, kan førfiltreringsmodulen 30 bestemme hvorvidt en pakke mottatt fra et bestemt grensesnitt er tillatt.
Den enkleste måten å implementere «anti-spoofing»-metoden i en akselerator, så som førfiltreringsmodulen 30, er å inkludere informasjon vedrørende nettverksgrense-snittet som del av tilkoblingsforbindelsen som er tilgjengelig for førfiltreringsmodulen 30. Således at hvis en pakke kommer fra en tillatt kildenode skal den sendes til et tillatt mottakssted, og dersom ankommet gjennom det forventede grensesnittet kan pakken bli prosessert av førfiltreringsmodulen 30. Alternativt og valgfritt, selv hvis kun grensesnittet er korrekt, kan førfiltrerings-modulen 30 bestemme at pakken representerer et brudd som videre skal undersøkes av brannveggen 18 angående gyldig-het. Det er andre måter å implementere en «antispoofing»-metode, uten å omfatte informasjon vedrørende grensesnittet som en del av de lagrede instruksjoner for førfiltrerings-modulen 30, som også er betraktet som å være innenfor rammen av foreliggende oppfinnelse.
I en foretrukket utførelse av førfiltreringsmodulen 30 som er vist i Fig. 2, er førfiltreringsmodulen 30 utført i maskinvare, eller i det minste fastvare, i stedet for kun som programvare. Fordelene med maskinvare er at den er mye hurtigere enn programvare for å utføre de krevde aksjoner. Det skjematiske blokkdiagrammet i Fig. 2 er en logisk basert, i stedet for strukturell, illustrasjon av komponentene til førfiltreringsmodulen 30. F.eks. er ikke de fysiske forbindelsene mellom komponentene spesifisert, og kan f.eks. være en PCI-bus hvorpå alle komponentene er plassert. Valgfritt kan komponentene være tilkoblet med hovedsakelig hvilken type intern og/eller ekstern bus, f.eks.
For denne utførelsen kan førfiltreringsmodulen 30 bli beskrevet som en «anordning», foretrukket omfattende et minne 36. Førfiltreringsmodulen 30 omfatter en forbind-elsesdatabase 32 for å lagre relevante instruksjoner fra brannveggen 18, som er lagret i minnet 36. Tilkoblingsdatabasen 32 lagrer i det minste parameteren eller parametrene til pakken som er nødvendig for å definere forbindelsen, men lagrer også foretrukket i det minste én aksjon som skal utføres på pakker fra den forbindelsen.
Førfiltreringsmodulen 30 omfatter også foretrukket en klassifiseringsmekanisme 38, omfattende en dataprosessor, for i det minste delvis å analysere informasjonen fra pakken og for å hente informasjon fra tilkoblingsdatabasen 32. Førfiltreringsmodulen 30 omfatter også foretrukket en modifiseringsenhet 34, for å utføre den tilhørende aksjonen eller aksjoner på pakker fra den forbindelsen, som foretrukket lagres i tilkoblingsdatabasen 32 som tidligere omtalt.
Førfiltreringsmodulen 30 kommuniserer også valgfritt og foretrukket bestemt, utvalgt informasjon vedrørende i det minste én pakke til brannveggen 18. Den utvalgte informasjonen omfatter valgfritt i det minste én av, men er ikke begrenset til, de tidligere beskrevne parametere for analyse av pakken. Kommunikasjonen mellom førfiltrerings-modulen 30 og brannveggen 18 er valgfri og foretrukket utført ifølge én av et antall utførelser. I en første utførelse informerer førfiltreringsmodulen 30 aktivt brannveggen 18 ved mottak av slik informasjon, i en status eller hendelsesdrevet implementering. Alternativ i en andre utførelse, forespør brannveggen 18 førfiltreringsmodulen 30, i en avspørringsimplementering. F.eks. kan avspørringen valgfritt utføres etter at et bestemt tidsintervall er passert, eller alternativt ifølge en brukerforespørsel for slik informasjon, f.eks. fra en systemadministrator.
I tillegg omfatter førfiltreringsmodulen 30 også foretrukket i det minste én, og foretrukket et antall, nettverksgrensesnitt, vist som MAC (media-aksesskontroll) 40, som er maskinvare for sending og mottak av pakker fra det fysiske nettverket (ikke vist). Førfiltreringsmodulen 30 omfatter mer foretrukket et brannvegg-grensesnitt 42 for å overføre pakker til, og motta pakker fra, brannveggen (ikke vist).
Strømmen av operasjoner er foretrukket som følger. Pakker blir valgfritt mottatt fra MAC 40, merket «MAC 1», som deretter formidles til klassifiseringsmekanismen 38. Ved hjelp av informasjon og instruksjoner hentet fra databasen 32 i minnet 36, analyserer deretter klassifiseringsmekanismen 38 i det minste en del av informasjonen i hver pakke, og bestemmer hvorvidt pakken er tillatt. Hvis pakken er tillatt, blir den formidlet til modifiseringsenheten 34 for valgfri modifikasjon ifølge i det minste én instruksjon fra brannveggen (ikke vist), slik at hvis modifisering ikke er nødvendig, blir den i det minste ene relevante instruksjonen ikke sendt fra brannveggen.
Brannveggen kan valgfritt bestemme et grensesnitt hvortil en pakke skal sendes, f.eks. til en bestemt MAC 40. Imidlertid skal det bemerkes at selv om brannveggen kan instruere førfiltreringsmodulen 30 om å sende pakken til et bestemt grensesnitt, hvis ruting støttes, vil deretter slik ruting bli benyttet til å rute pakken, og ikke instruksjonen fra brannveggen (ikke vist).
Alternativt kan pakken valgfritt og foretrukket bli formidlet til brannveggen. Også alternativt, under bestemte omstendigheter som beskrevet mer detaljert nedenfor, kan pakken droppes, særlig med hensyn til pakker mottatt fra brannvegg-grensesnittet 42, som valgfritt blir tilsvarende analysert. For å unngå å droppe pakker som ikke trenger være IP-pakker, valgfritt og foretrukket, kan informasjon vedrørende én eller flere «standard»-pakker være lagret i databasen 32, slik at hvis slik informasjon ikke er lagret i databasen 32 blir pakken definert som å ikke være «ikke tillatt». Ett eksempel på en slik standardpakketype er en ARP (adresse-resolusjonsprotokoll)-pakke.
Som det kan ses med hensyn til implementeringen av førfiltreringsmodulen i Fig. 2, kan pakker valgfritt ankomme førfiltreringsmodulen 30 fra en ekstern kilde, så som MAC 40 f.eks., eller kan alternativt mottas fra brannvegg-grensesnittet 42. Hvis pakken er mottatt fra brannvegg-grensesnittet 42, kan den være generert av brannveggen selv, eller kan alternativt være videreformidlet eller generert av IP-stack'en til verten. Derfor, valgfritt og mer foretrukket, for slike pakker som er mottatt gjennom brannvegg-grensesnittet 42, er førfiltrerings-modulen 30 i stand til å droppe slike pakker hvis de ikke er tillatt, i stedet for å formidle dem til brannveggen. Således at mottak av hvorvidt å droppe eller å videreformidle pakker av førfiltreringsmodulen 30 er valgfritt og foretrukket utført i det minste delvis ifølge grensesnittet hvorigjennom pakken er mottatt.
Selvfølgelig er andre implementeringer av førfiltrer-ingsmodulen 30 mulige og anses som å være innenfor rammen av foreliggende oppfinnelse.
Fig. 3 viser et flytdiagram av en eksempelmetode for å drive foreliggende oppfinnelse. I trinn 1 blir en pakke mottatt av førfiltreringsmodulen. I trinn 2 blir i det minste en parameter til pakken hentet av førfiltrerings-modulen. I trinn 3 blir det minst ene parameter benyttet for å undersøke den kjente forbindelsen, foretrukket ved å utføre et oppslag i en tabell av slike kjente forbindelser.
I trinn 4a, hvis en innføring er funnet for pakken, blir deretter aksjonen eller aksjonene definert for denne forbindelsen utført av førfiltreringsmodulen. I trinn 5a blir pakken formidlet til sitt mottakssted. Trinnene 4a og 5a blir ikke utført hvis pakken har bestemte sesjonskontrollfeltverdier, så som et sett SYN/FIN/RST-flagg for en pakke overført over et IP-nettverk, i hvilket tilfelle pakken foretrukket formidles til brannveggen for håndtering. Slike sesjonskontrollfeltverdier er indikativer for pakker som kan bære informasjon om forbindelsesstatus, og er derfor viktig for brannveggen å motta og analysere, for å bestemme status på forbindelsen.
Valgfritt blir også fragmenterte pakker formidlet til brannveggen hvis førfiltreringsmodulen ikke er i stand til å utføre bestemte funksjoner, så som virtuell defragmentering for den foretrukne utførelsen av foreliggende oppfinnelse med IP-nettverk, og mer bestemt med TCP/IP-trafikk. Virtuell defragmentering utføres etter at en IP-pakke er blitt for stor for overføring, og blir derfor opp-delt i et antall mindre pakker, kalt fragmenter. Virtuell defragmentering er den prosess hvorved alle de mottatte fragmentene blir sammensatt til den opprinnelige store pakken.
For å motvirke ulike sorter angrep som kan forsøkes med fragmenter foretrukket førfiltreringsmodulen ifølge foreliggende oppfinnelse, alternativt brannveggen, duplikatpakkefragmenter. Med andre ord, hvis et tidligere mottatt fragment blir mottatt igjen, blir fragmentet droppet.
Viser igjen til flytdiagrammet i Fig. 3, alternativt i trinn 4b, hvis en innføring for pakken ikke finnes i
tabellen over forbindelser, blir pakken formidlet til brannveggen for håndtering. I trinn 5b, hvis brannveggen bestemmer at forbindelsen hvortil pakken tilhører er tillatt, sender brannveggen valgfritt en melding til
førfiltrerings-modulen med nødvendig informasjon vedrørende den nye forbindelsen. En slik melding omfatter foretrukket en nøkkel for å identifisere den nye forbindelsen, informasjon vedrørende adresseomforming og valgfri informasjon vedrørende kryptering, hvor begge er prosesser som involverer modifisering av selve pakken. Nøkkelen for å identifisere de nye forbindelser omfatter foretrukket slik informasjon som kilde IP-adresse og port, og mottaks-IP-adresse og port, protokollfelt og valgfritt grensesnitt hvorfra en pakke er forventet å bli mottatt, for «anti-spoof ing»beskyttelse . Adresseomformingsinformasjonen
omfatter den omformede kilde IP-adressen og porten, mottaks-IP-adresse og port.
Ifølge de foretrukne utførelser av foreliggende oppfinnelse, straks brannveggen har sendt denne meldingen til førfiltreringsmodulen, blir forbindelsen «avlastet» førfiltreringsmodulen, slik at brannveggen ikke lenger mottar noen pakker fra denne forbindelsen. Foretrukket mottar ikke brannveggen noen videre pakker inntil en pakke med bestemte sesjonskontrollfeltverdier blir mottatt for denne forbindelsen, som indikerer at sesjonen er avsluttet. F.eks., for IP-nettverk, omfatter slike verdier å ha et sett FIN/RST-flagg.
Mer foretrukket oppstår et tidsavbrudd når ingen pakke er blitt mottatt for en bestemt forbindelse innenfor en bestemt tidsperiode. Siden brannveggen ikke ser noen pakker for den avlastede forbindelsen, forespør brannveggen før-filtreringsmodulen om sist gang en pakke ble mottatt for den forbindelsen. Ifølge den mottatte responsen bestemmer brannveggen hvorvidt forbindelsen skal opprettholdes eller avsluttes. Hvis brannveggen avslutter forbindelsen, blir forbindelsen foretrukket slettet fra tabellen til før-filtreringsmodulen.
Ifølge andre foretrukne utførelser av foreliggende oppfinnelse, mottar brannveggen oppdatert regnskaps-informasjon fra førfiltreringsmodulen ved regulære inter-valler. Denne informasjonen er valgfritt og foretrukket formidlet til brannveggen av førfiltreringsmodulen, i stedet for at brannveggen avspør førfiltreringsmodulen. Regnskapsinformasjonen omfatter foretrukket antall pakker og bytes som er blitt mottatt av førfiltreringsmodulen for en bestemt forbindelse siden sist gang regnskapsinformasjonen ble oppdatert, og sist gang en pakke ble mottatt av førfiltreringsmodulen for denne bestemte forbindelsen. Denne informasjonen blir deretter tilbakestilt i før-filtreringsmodulen. Valgfritt og mer foretrukket, hvis førfiltreringsmodulen avslutter forbindelsen formidler førfiltreringsmodulen den siste regnskapsinformasjonen om denne forbindelsen til brannveggen.
Det skal forstås at den foregående beskrivelsen kun er ment som eksempel, og at mange andre utførelser er mulig innenfor rammen og omfanget av foreliggende oppfinnelse.

Claims (28)

1. System (10) for akselerert filtrering av en pakke på et nettverk (12), hvor systemet omfatter: (a) en brannvegg (18) lokalisert på nettverket (12) for å utføre pakkefiltrering på pakken i samsvar med minst en regel, (b) en førfiltreringsmodul (30) som er i kommunikasjon med brannveggen (18), nevnte førfiltreringsmodul (30) mottar pakken før brannveggen, og førfiltreringsmodulen (30) utfører en initial pakkefiltrering på pakken i samsvar med minst en instruksjon mottatt fra brannveggen (18), slik at hvis pakken er tillatt ifølge den minst ene instruksjonen, håndterer førfiltreringsmodulen (30) pakken, og alternativt formidler førfiltreringsmodulen (30) pakken til brannveggen (18) for håndtering.
2. System (10) i samsvar med krav 1, karakterisert ved å omfatte: (c) en kildenode (14) for sending av pakken, og (d) en mottaksnode (20) for mottak av pakken.
3. System (10) i samsvar med krav 1, karakterisert ved at pakkeoverføring mellom kildenoden (14) og mottaksnoden (20) danner en forbindelse, og at brannveggen (18) er innrettet til å bestemme hvorvidt forbindelsen er tillatt, slik at nevnte minst ene instruksjon omfatter minst en parameter til pakken for å identifisere en tillatt forbindelse, slik at hvis nevnte forbindelse er tillatt, håndterer førfiltrer-ingsmodulen (30) nevnte pakke.
4. System (10) i samsvar med krav 3, karakterisert ved at brannveggen (18) er innrettet til å motta en pakke fra den tillatte forbindelsen fra førfiltreringsmodulen (30), hvis pakken har en valgt sesjon-kontrollfeltverdi.
5. System (10) i samsvar med krav 3, karakterisert ved at det minst ene parameter for identifikasjon av den tillatte forbindelsen omfatter en kildeadresse og en mottaksadresse for pakken.
6. System (10) i samsvar med krav 5, karakterisert ved at det minst ene parameter for identifikasjon av den tillatte forbindelsen videre omfatter en kildeport og en mottaksport for pakken.
7. System (10) i samsvar med krav 3, karakterisert ved at dersom en tilleggs-pakke ikke er blitt mottatt for den tillatte forbindelsen etter en forhåndsdefinert tidsperiode., er brannveggen (18) innrettet til å avslutte forbindelsen.
8. System i samsvar med krav 3, karakterisert ved at dersom en pakke med en bestemt sesjon-kontrollfeltverdi indikativ for informasjon om en forbindelsesstatus blir mottatt for nevnte tillatte forbindelse, blir pakken formidlet til brannveggen (18).
9. System (10) i samsvar med krav 3, karakterisert ved at førfiltrerings-modulen (30) videre omfatter: (i) en tilkoblingsdatabase for å lagre det minst ene parameter til pakken for å identifisere den tillatte forbindelsen.
10. System (10) i samsvar med krav 9, karakterisert ved at førfiltrerings-modulen (30) videre omfatter: (ii)en klassifiseringsmekanisme (38) for å analysere minst en del av pakken og for å sammenligne den minst ene delen av pakken med det minst ene parameter.
11. System (10) i samsvar med krav 10, karakterisert ved at førfiltrerings-modulen (30) videre omfatter: (iii)en modifiseringsenhet (34) for å utføre minst én aksjon på pakken hvis pakken er mottatt fra den tillatte forbindelsen, hvor den minst ene aksjonen er definert ifølge en instruksjon fra brannveggen (18).
12. System (10) i samsvar med krav 11, karakterisert ved at førfiltrerings-modulen (30) er implementert som en maskinvareanordning.
13. System (10) i samsvar med krav 11, karakterisert ved å videre omfatte: e) en databehandlingsanordning anordnet mellom kildenoden og mottaksnoden, hvori førfiltrerings-modulen (30) og brannveggen (18) drives av databehandlingsanordningen.
14. System (10) i samsvar med krav 1, karakterisert ved at dersom pakken ikke er tillatt, formidler førfiltreringsmodulen (30) enten pakken til brannveggen (18) for håndtering hvis pakken er mottatt fra nettverket (12), og alternativt dropper pakken hvis pakken er mottatt fra brannveggen (18).
15. System (10) i samsvar med krav 2, karakterisert ved at pakkeoverføring mellom kildenoden (14) og mottaksnoden (20) utgjør en forbindelse, og at brannveggen (18) er innrettet til å bestemme hvorvidt forbindelsen er tillatt, slik at den minst ene instruksjonen omfatter minst en parameter til pakken for å identifisere en tillatt forbindelse, slik at hvis forbindelsen er tillatt, overfører minst førfiltrer-ingsmodulen (30) pakken på nettverket.
16. System (10) i samsvar med krav 15, karakterisert ved at førfiltrerings-modulen (30) er innrettet til å droppe pakken hvis forbindelsen ikke er en tillatt forbindelse.
17. Førfiltreringsanordning (30) for å utføre filtrering av en pakke, hvor førfiltreringsanordningen (30) er i kommunikasjon med en brannvegg (18) og mottar pakken før brannveggen (18), idet førfiltreringsanordningen (30) omfatter: (a) et minne (36) for å lagre minst én instruksjon fra brannveggen (18) for analyse av minst en parameter til pakken, hvor den minst ene instruksjonen omfatter det minst ene parameter for å identifisere pakken, (b) en klassifikasjonsmekanisme (38) innrettet til å utføre en initial pakkefiltrering på pakken ved å analysere minst en del av pakken og til å sammenligne den minst ene delen av pakken med det minst ene parameter ifølge den minst ene instruksjonen, og (c) et brannvegg-grensesnitt (42) innrettet for å sende pakken til brannveggen (18), bortsett fra dersom pakken er tillatt ifølge den minst ene instruksjonen.
18. Førfiltreringsanordning (30) i samsvar med krav 17, karakterisert ved å omfatte (d) en modifiseringsenhet (34) innrettet for å utføre minst én aksjon på pakken hvis pakken er tillatt, hvor den minst ene aksjonen er definert ifølge den minst ene instruksjonen fra brannveggen (18).
19. Fremgangsmåte for akselerert pakkefiltrering på et nettverk (12) i sammenheng med en brannvegg (18), idet fremgangsmåten omfatter trinnene: (a) å frembringe en førfiltreringsmodul (30) for å motta en pakke før brannveggen (18) og for å utføre en initial pakkefiltrering på pakken, (b) å motta pakken av førfiltreringsmodulen (30), (c) å bestemme hvorvidt pakken er tillatt, ifølge minst én instruksjon mottatt fra brannveggen (18), (d) hvis pakken er tillatt, at pakken håndteres av førfiltreringsmodulen (30), og (e) alternativt, å formidle pakken til brannveggen (18) .
20. Fremgangsmåte i samsvar med krav 19, karakterisert ved at trinn (e) utføres hvis pakken mottas fra nettverket (12).
21. Fremgangsmåte i samsvar med krav 20, karakterisert ved at hvis pakken mottas fra brannveggen (18), droppes pakken.
22. Fremgangsmåte i samsvar med krav 19, karakterisert ved at trinn (d) omfatter trinnet med å markere pakken med et prioritetsnummer.
23. Fremgangsmåte i samsvar med krav 19, karakterisert ved at hvis pakken mottas som et antall fragmenter, omfatter trinn (d) trinnet med å bestemme hvis et fragment er et duplikatfragment, slik at hvis fragmentet er et duplikatfragment omfatter fremgangsmåten videre trinnet med (f) å droppe duplikatfragmentet.
24. Fremgangsmåte i samsvar med krav 19, karakterisert ved at pakken har en mottaksadresse og hvori trinn (d) omfatter trinnet med å videreformidle pakken til mottaksadressen.
25. Fremgangsmåte i samsvar med krav 24, karakterisert ved at trinn (d) omfatter trinnet med å utføre minst én aksjon på pakken av førfiltreringsmodulen (30), hvor den minst ene aksjonen blir bestemt ifølge en instruksjon fra brannveggen (18).
26. Fremgangsmåte i samsvar med krav 19, karakterisert ved at pakken omfatter minst en parameter, og den minst ene instruksjonen identifiserer pakken som en tillatt pakke ifølge det minst ene parameter, slik at trinn (c) omfatter trinnet med å analysere pakken for å hente frem det minst ene parameter.
27. Fremgangsmåte i samsvar med krav 26, karakterisert ved at brannveggen (18) klassifiserer minst en tidligere mottatt pakke ifølge minst ene kildeadresse og en mottaksadresse til den minst ene tidligere mottatte pakke, hvor kildeadressen og mottaksadressen sammen danner en forbindelse, slik at brannveggen (18) sender kildeadressen og mottaksadressen for å identifisere forbindelsen som en tillatt forbindelse til førfiltreringsmodulen (30) som den minst ene instruksjon.
28. Fremgangsmåte i samsvar med krav 27, karakterisert ved at nettverket (12) kommuniserer med et antall grensesnitt, og at førfiltrer-ingsmodulen (30) er koblet til hvert av antallet grensesnitt, slik at trinn (c) omfatter trinnet med å bestemme hvorvidt pakken er mottatt fra den tillatte forbindelsen og fra et tillatt grensesnitt, slik at pakken blir tillatt kun hvis pakken er mottatt den tillatte forbindelsen gjennom det tillatte grensesnittet.
NO20024113A 2000-03-02 2002-08-29 System, anordning og fremgangsmate for hurtig filtrering av datapakker NO324958B1 (no)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US09/517,276 US6496935B1 (en) 2000-03-02 2000-03-02 System, device and method for rapid packet filtering and processing
PCT/US2001/005925 WO2001065343A1 (en) 2000-03-02 2001-02-26 System, device and method for rapid packet filtering and processing

Publications (3)

Publication Number Publication Date
NO20024113D0 NO20024113D0 (no) 2002-08-29
NO20024113L NO20024113L (no) 2002-11-01
NO324958B1 true NO324958B1 (no) 2008-01-14

Family

ID=24059131

Family Applications (1)

Application Number Title Priority Date Filing Date
NO20024113A NO324958B1 (no) 2000-03-02 2002-08-29 System, anordning og fremgangsmate for hurtig filtrering av datapakker

Country Status (17)

Country Link
US (1) US6496935B1 (no)
EP (1) EP1266277B1 (no)
JP (1) JP3954385B2 (no)
KR (1) KR20020092972A (no)
CN (1) CN100474213C (no)
AT (1) ATE312463T1 (no)
AU (2) AU4171701A (no)
BR (1) BR0109035A (no)
CA (1) CA2401577C (no)
DE (1) DE60115615T2 (no)
EA (1) EA004423B1 (no)
HU (1) HUP0300039A2 (no)
IL (2) IL151522A0 (no)
NO (1) NO324958B1 (no)
NZ (1) NZ520984A (no)
PL (1) PL357181A1 (no)
WO (1) WO2001065343A1 (no)

Families Citing this family (195)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7089588B2 (en) * 2000-01-19 2006-08-08 Reynolds And Reynolds Holdings, Inc. Performance path method and apparatus for exchanging data among systems using different data formats
US6854063B1 (en) * 2000-03-03 2005-02-08 Cisco Technology, Inc. Method and apparatus for optimizing firewall processing
US6732209B1 (en) * 2000-03-28 2004-05-04 Juniper Networks, Inc. Data rate division among a plurality of input queues
DE10025929B4 (de) * 2000-05-26 2006-02-16 Harman Becker Automotive Systems (Becker Division) Gmbh Verfahren zum Übertragen von Daten
US7120931B1 (en) * 2000-08-31 2006-10-10 Cisco Technology, Inc. System and method for generating filters based on analyzed flow data
US8250357B2 (en) 2000-09-13 2012-08-21 Fortinet, Inc. Tunnel interface for securing traffic over a network
US7111072B1 (en) 2000-09-13 2006-09-19 Cosine Communications, Inc. Packet routing system and method
US7487232B1 (en) 2000-09-13 2009-02-03 Fortinet, Inc. Switch management system and method
US7389358B1 (en) * 2000-09-13 2008-06-17 Fortinet, Inc. Distributed virtual system to support managed, network-based services
US7272643B1 (en) 2000-09-13 2007-09-18 Fortinet, Inc. System and method for managing and provisioning virtual routers
US7574495B1 (en) 2000-09-13 2009-08-11 Fortinet, Inc. System and method for managing interworking communications protocols
US7054930B1 (en) * 2000-10-26 2006-05-30 Cisco Technology, Inc. System and method for propagating filters
US6922786B1 (en) * 2000-10-31 2005-07-26 Nortel Networks Limited Real-time media communications over firewalls using a control protocol
US7131140B1 (en) * 2000-12-29 2006-10-31 Cisco Technology, Inc. Method for protecting a firewall load balancer from a denial of service attack
US6731652B2 (en) * 2001-02-14 2004-05-04 Metro Packet Systems Inc. Dynamic packet processor architecture
ATE324736T1 (de) * 2001-02-20 2006-05-15 Eyeball Networks Inc Verfahren und vorrichtung zur zulassung der datenübertragung über firewalls
US7664119B2 (en) * 2001-03-30 2010-02-16 Intel Corporation Method and apparatus to perform network routing
US7277953B2 (en) * 2001-04-18 2007-10-02 Emc Corporation Integrated procedure for partitioning network data services among multiple subscribers
US6816455B2 (en) * 2001-05-09 2004-11-09 Telecom Italia S.P.A. Dynamic packet filter utilizing session tracking
JP2002358239A (ja) * 2001-06-04 2002-12-13 Fuji Electric Co Ltd 著作権保護システム
US7181547B1 (en) 2001-06-28 2007-02-20 Fortinet, Inc. Identifying nodes in a ring network
US20040001433A1 (en) * 2001-07-18 2004-01-01 Gram Charles Andrew Interactive control of network devices
US7134012B2 (en) * 2001-08-15 2006-11-07 International Business Machines Corporation Methods, systems and computer program products for detecting a spoofed source address in IP datagrams
EP1433066B1 (en) * 2001-09-14 2010-08-11 Nokia Inc. Device and method for packet forwarding
US7409706B1 (en) 2001-10-02 2008-08-05 Cisco Technology, Inc. System and method for providing path protection of computer network traffic
KR100452143B1 (ko) * 2001-10-16 2004-10-08 주식회사 플랜티넷 비대칭 트래픽 흐름 방식을 이용한 웹 필터링 장치 및방법
JP2003242714A (ja) * 2001-10-24 2003-08-29 Fuji Electric Co Ltd 情報記録媒体、その媒体の製造方法、情報処理装置、並びに、著作権管理システム
US9392002B2 (en) * 2002-01-31 2016-07-12 Nokia Technologies Oy System and method of providing virus protection at a gateway
US7216260B2 (en) * 2002-03-27 2007-05-08 International Business Machines Corporation Method, system and program product for dynamically detecting errant data sequences and performing corresponding actions
US7185365B2 (en) * 2002-03-27 2007-02-27 Intel Corporation Security enabled network access control
CN1152531C (zh) * 2002-04-23 2004-06-02 华为技术有限公司 分片报文的网络访问控制方法
US20030200463A1 (en) * 2002-04-23 2003-10-23 Mccabe Alan Jason Inter-autonomous system weighstation
US7120797B2 (en) * 2002-04-24 2006-10-10 Microsoft Corporation Methods for authenticating potential members invited to join a group
AUPS214802A0 (en) * 2002-05-01 2002-06-06 Firebridge Systems Pty Ltd Firewall with stateful inspection
US20030212901A1 (en) * 2002-05-13 2003-11-13 Manav Mishra Security enabled network flow control
US7340535B1 (en) * 2002-06-04 2008-03-04 Fortinet, Inc. System and method for controlling routing in a virtual router system
US7161904B2 (en) * 2002-06-04 2007-01-09 Fortinet, Inc. System and method for hierarchical metering in a virtual router based network switch
US7116665B2 (en) * 2002-06-04 2006-10-03 Fortinet, Inc. Methods and systems for a distributed provider edge
US7376125B1 (en) 2002-06-04 2008-05-20 Fortinet, Inc. Service processing switch
US7177311B1 (en) * 2002-06-04 2007-02-13 Fortinet, Inc. System and method for routing traffic through a virtual router-based network switch
US7203192B2 (en) 2002-06-04 2007-04-10 Fortinet, Inc. Network packet steering
US9088494B2 (en) * 2002-06-26 2015-07-21 Avaya Communication Israel Ltd. Packet fragmentation prevention
US7146638B2 (en) * 2002-06-27 2006-12-05 International Business Machines Corporation Firewall protocol providing additional information
US6983323B2 (en) * 2002-08-12 2006-01-03 Tippingpoint Technologies, Inc. Multi-level packet screening with dynamically selected filtering criteria
US7096383B2 (en) 2002-08-29 2006-08-22 Cosine Communications, Inc. System and method for virtual router failover in a network routing system
US20100138909A1 (en) * 2002-09-06 2010-06-03 O2Micro, Inc. Vpn and firewall integrated system
US7315890B2 (en) * 2002-10-02 2008-01-01 Lockheed Martin Corporation System and method for managing access to active devices operably connected to a data network
US7440573B2 (en) * 2002-10-08 2008-10-21 Broadcom Corporation Enterprise wireless local area network switching system
US20040078422A1 (en) * 2002-10-17 2004-04-22 Toomey Christopher Newell Detecting and blocking spoofed Web login pages
US7266120B2 (en) 2002-11-18 2007-09-04 Fortinet, Inc. System and method for hardware accelerated packet multicast in a virtual routing system
TW200412101A (en) * 2002-12-23 2004-07-01 Shaw-Hwa Hwang Directly peer-to peer transmission protocol between two virtual network
MY141160A (en) * 2003-01-13 2010-03-31 Multimedia Glory Sdn Bhd System and method of preventing the transmission of known and unknown electronic content to and from servers or workstations connected to a common network
JP4257151B2 (ja) * 2003-02-28 2009-04-22 富士通株式会社 パケット制御システム、パケット制御装置、パケット中継装置およびパケット制御プログラム
TW200420021A (en) * 2003-03-19 2004-10-01 Etrunk Technologies Inc Network packet routing control device
US7325002B2 (en) * 2003-04-04 2008-01-29 Juniper Networks, Inc. Detection of network security breaches based on analysis of network record logs
US7760729B2 (en) 2003-05-28 2010-07-20 Citrix Systems, Inc. Policy based network address translation
WO2004107130A2 (en) 2003-05-28 2004-12-09 Caymas Systems, Inc. Multilayer access control security system
US7260840B2 (en) * 2003-06-06 2007-08-21 Microsoft Corporation Multi-layer based method for implementing network firewalls
US7509673B2 (en) * 2003-06-06 2009-03-24 Microsoft Corporation Multi-layered firewall architecture
US7308711B2 (en) * 2003-06-06 2007-12-11 Microsoft Corporation Method and framework for integrating a plurality of network policies
US6985920B2 (en) * 2003-06-23 2006-01-10 Protego Networks Inc. Method and system for determining intra-session event correlation across network address translation devices
US20050022017A1 (en) 2003-06-24 2005-01-27 Maufer Thomas A. Data structures and state tracking for network protocol processing
US7620070B1 (en) * 2003-06-24 2009-11-17 Nvidia Corporation Packet processing with re-insertion into network interface circuitry
US7305705B2 (en) * 2003-06-30 2007-12-04 Microsoft Corporation Reducing network configuration complexity with transparent virtual private networks
US20050144290A1 (en) * 2003-08-01 2005-06-30 Rizwan Mallal Arbitrary java logic deployed transparently in a network
US7522594B2 (en) * 2003-08-19 2009-04-21 Eye Ball Networks, Inc. Method and apparatus to permit data transmission to traverse firewalls
US7720095B2 (en) 2003-08-27 2010-05-18 Fortinet, Inc. Heterogeneous media packet bridging
US7464181B2 (en) * 2003-09-11 2008-12-09 International Business Machines Corporation Method for caching lookups based upon TCP traffic flow characteristics
US7594018B2 (en) * 2003-10-10 2009-09-22 Citrix Systems, Inc. Methods and apparatus for providing access to persistent application sessions
US20050100019A1 (en) * 2003-11-10 2005-05-12 Sahita Ravi L. Rule based packet processing engine
US7978716B2 (en) 2003-11-24 2011-07-12 Citrix Systems, Inc. Systems and methods for providing a VPN solution
US7792147B1 (en) * 2004-02-09 2010-09-07 Symantec Corporation Efficient assembly of fragmented network traffic for data security
KR100609170B1 (ko) * 2004-02-13 2006-08-02 엘지엔시스(주) 네트워크 보안 시스템 및 그 동작 방법
US6972226B2 (en) * 2004-03-31 2005-12-06 Infineon Technologies Ag Charge-trapping memory cell array and method for production
US20050268331A1 (en) * 2004-05-25 2005-12-01 Franck Le Extension to the firewall configuration protocols and features
US8739274B2 (en) 2004-06-30 2014-05-27 Citrix Systems, Inc. Method and device for performing integrated caching in a data communication network
US7757074B2 (en) 2004-06-30 2010-07-13 Citrix Application Networking, Llc System and method for establishing a virtual private network
US8495305B2 (en) 2004-06-30 2013-07-23 Citrix Systems, Inc. Method and device for performing caching of dynamically generated objects in a data communication network
EP1771998B1 (en) 2004-07-23 2015-04-15 Citrix Systems, Inc. Systems and methods for optimizing communications between network nodes
KR20070037649A (ko) 2004-07-23 2007-04-05 사이트릭스 시스템스, 인크. 게이트웨이에서 종단으로 패킷을 라우팅하기 위한 방법 및시스템
US7865944B1 (en) * 2004-09-10 2011-01-04 Juniper Networks, Inc. Intercepting GPRS data
GB0420684D0 (en) * 2004-09-17 2004-10-20 Oostendorp Jeroen Platform for intelligent Email distribution
US7499419B2 (en) 2004-09-24 2009-03-03 Fortinet, Inc. Scalable IP-services enabled multicast forwarding with efficient resource utilization
US7748032B2 (en) 2004-09-30 2010-06-29 Citrix Systems, Inc. Method and apparatus for associating tickets in a ticket hierarchy
US7711835B2 (en) 2004-09-30 2010-05-04 Citrix Systems, Inc. Method and apparatus for reducing disclosure of proprietary data in a networked environment
US8613048B2 (en) 2004-09-30 2013-12-17 Citrix Systems, Inc. Method and apparatus for providing authorized remote access to application sessions
KR100624483B1 (ko) * 2004-10-06 2006-09-18 삼성전자주식회사 네트워크에서의 차등 침입탐지 장치 및 방법
US7808904B2 (en) 2004-11-18 2010-10-05 Fortinet, Inc. Method and apparatus for managing subscriber profiles
JP2006174350A (ja) * 2004-12-20 2006-06-29 Fujitsu Ltd 通信装置
US8700695B2 (en) 2004-12-30 2014-04-15 Citrix Systems, Inc. Systems and methods for providing client-side accelerated access to remote applications via TCP pooling
US8549149B2 (en) 2004-12-30 2013-10-01 Citrix Systems, Inc. Systems and methods for providing client-side accelerated access to remote applications via TCP multiplexing
US8954595B2 (en) 2004-12-30 2015-02-10 Citrix Systems, Inc. Systems and methods for providing client-side accelerated access to remote applications via TCP buffering
US8706877B2 (en) 2004-12-30 2014-04-22 Citrix Systems, Inc. Systems and methods for providing client-side dynamic redirection to bypass an intermediary
US7810089B2 (en) 2004-12-30 2010-10-05 Citrix Systems, Inc. Systems and methods for automatic installation and execution of a client-side acceleration program
US8255456B2 (en) 2005-12-30 2012-08-28 Citrix Systems, Inc. System and method for performing flash caching of dynamically generated objects in a data communication network
US8024568B2 (en) 2005-01-28 2011-09-20 Citrix Systems, Inc. Method and system for verification of an endpoint security scan
US7665128B2 (en) 2005-04-08 2010-02-16 At&T Corp. Method and apparatus for reducing firewall rules
US7634584B2 (en) 2005-04-27 2009-12-15 Solarflare Communications, Inc. Packet validation in virtual network interface architecture
US20070097976A1 (en) * 2005-05-20 2007-05-03 Wood George D Suspect traffic redirection
US7881291B2 (en) * 2005-05-26 2011-02-01 Alcatel Lucent Packet classification acceleration using spectral analysis
US8631483B2 (en) * 2005-06-14 2014-01-14 Texas Instruments Incorporated Packet processors and packet filter processes, circuits, devices, and systems
CN100448227C (zh) * 2005-08-30 2008-12-31 杭州华三通信技术有限公司 业务流的识别方法
KR100753815B1 (ko) * 2005-08-31 2007-08-31 한국전자통신연구원 패킷 차단 장치 및 그 방법
US8347373B2 (en) 2007-05-08 2013-01-01 Fortinet, Inc. Content filtering of remote file-system access protocols
CA2632235A1 (en) 2005-12-02 2007-06-07 Citrix Systems, Inc. Method and apparatus for providing authentication credentials from a proxy server to a virtualized computing environment to access a remote resource
JP4545085B2 (ja) * 2005-12-08 2010-09-15 富士通株式会社 ファイアウォール装置
US8730834B2 (en) * 2005-12-23 2014-05-20 General Electric Company Intelligent electronic device with embedded multi-port data packet controller
US8301839B2 (en) 2005-12-30 2012-10-30 Citrix Systems, Inc. System and method for performing granular invalidation of cached dynamically generated objects in a data communication network
US7921184B2 (en) 2005-12-30 2011-04-05 Citrix Systems, Inc. System and method for performing flash crowd caching of dynamically generated objects in a data communication network
US8584226B2 (en) 2006-01-26 2013-11-12 Iorhythm, Inc. Method and apparatus for geographically regulating inbound and outbound network communications
US7606225B2 (en) * 2006-02-06 2009-10-20 Fortinet, Inc. Integrated security switch
US7784086B2 (en) * 2006-03-08 2010-08-24 Panasonic Corporation Method for secure packet identification
JP4823728B2 (ja) * 2006-03-20 2011-11-24 富士通株式会社 フレーム中継装置及びフレーム検査装置
US8151323B2 (en) * 2006-04-12 2012-04-03 Citrix Systems, Inc. Systems and methods for providing levels of access and action control via an SSL VPN appliance
US8122492B2 (en) * 2006-04-21 2012-02-21 Microsoft Corporation Integration of social network information and network firewalls
US8079073B2 (en) * 2006-05-05 2011-12-13 Microsoft Corporation Distributed firewall implementation and control
US8176157B2 (en) * 2006-05-18 2012-05-08 Microsoft Corporation Exceptions grouping
US7603333B2 (en) * 2006-06-14 2009-10-13 Microsoft Corporation Delayed policy evaluation
US7865878B2 (en) * 2006-07-31 2011-01-04 Sap Ag Method and apparatus for operating enterprise software from a detachable storage device
US8533846B2 (en) 2006-11-08 2013-09-10 Citrix Systems, Inc. Method and system for dynamically associating access rights with a resource
US7688821B2 (en) * 2006-11-21 2010-03-30 O2Micro International Ltd. Method and apparatus for distributing data packets by using multi-network address translation
US8984620B2 (en) * 2007-07-06 2015-03-17 Cyberoam Technologies Pvt. Ltd. Identity and policy-based network security and management system and method
US10540651B1 (en) * 2007-07-31 2020-01-21 Intuit Inc. Technique for restricting access to information
US8060927B2 (en) * 2007-10-31 2011-11-15 Microsoft Corporation Security state aware firewall
JP5223376B2 (ja) * 2008-02-29 2013-06-26 日本電気株式会社 リモートアクセスシステム、方法及びプログラム
US20090235355A1 (en) * 2008-03-17 2009-09-17 Inventec Corporation Network intrusion protection system
US8336094B2 (en) * 2008-03-27 2012-12-18 Juniper Networks, Inc. Hierarchical firewalls
JP5153480B2 (ja) * 2008-06-27 2013-02-27 三菱電機株式会社 ゲートウェイ装置およびパケットフィルタリング方法
US7908376B2 (en) * 2008-07-31 2011-03-15 Broadcom Corporation Data path acceleration of a network stack
US8769665B2 (en) * 2009-09-29 2014-07-01 Broadcom Corporation IP communication device as firewall between network and computer system
CN105376167A (zh) * 2009-10-28 2016-03-02 惠普公司 分布式分组流检查和处理
US8656492B2 (en) * 2011-05-16 2014-02-18 General Electric Company Systems, methods, and apparatus for network intrusion detection
WO2012163587A1 (en) * 2011-05-31 2012-12-06 Alcatel Lucent Distributed access control across the network firewalls
US8881258B2 (en) * 2011-08-24 2014-11-04 Mcafee, Inc. System, method, and computer program for preventing infections from spreading in a network environment using dynamic application of a firewall policy
US8681794B2 (en) 2011-11-30 2014-03-25 Broadcom Corporation System and method for efficient matching of regular expression patterns across multiple packets
US8724496B2 (en) * 2011-11-30 2014-05-13 Broadcom Corporation System and method for integrating line-rate application recognition in a switch ASIC
US9503327B2 (en) * 2012-07-24 2016-11-22 Nec Corporation Filtering setting support device, filtering setting support method, and medium
KR101563059B1 (ko) * 2012-11-19 2015-10-23 삼성에스디에스 주식회사 안티 멀웨어 시스템 및 안티 멀웨어 시스템에서의 데이터 처리 방법
US9319351B1 (en) * 2012-11-26 2016-04-19 Marvell Israel (M.I.S.L.) Ltd. Mechanism for wire-speed stateful packet inspection in packet processors
US10033693B2 (en) 2013-10-01 2018-07-24 Nicira, Inc. Distributed identity-based firewalls
US9215214B2 (en) 2014-02-20 2015-12-15 Nicira, Inc. Provisioning firewall rules on a firewall enforcing device
US9755981B2 (en) 2014-03-11 2017-09-05 Vmware, Inc. Snooping forwarded packets by a virtual machine
US9384033B2 (en) 2014-03-11 2016-07-05 Vmware, Inc. Large receive offload for virtual machines
US9742682B2 (en) 2014-03-11 2017-08-22 Vmware, Inc. Large receive offload for virtual machines
US9503427B2 (en) 2014-03-31 2016-11-22 Nicira, Inc. Method and apparatus for integrating a service virtual machine
US9215210B2 (en) 2014-03-31 2015-12-15 Nicira, Inc. Migrating firewall connection state for a firewall service virtual machine
US9906494B2 (en) 2014-03-31 2018-02-27 Nicira, Inc. Configuring interactions with a firewall service virtual machine
US9825913B2 (en) 2014-06-04 2017-11-21 Nicira, Inc. Use of stateless marking to speed up stateful firewall rule processing
US9774707B2 (en) 2014-06-04 2017-09-26 Nicira, Inc. Efficient packet classification for dynamic containers
US9729512B2 (en) 2014-06-04 2017-08-08 Nicira, Inc. Use of stateless marking to speed up stateful firewall rule processing
US10110712B2 (en) 2014-06-04 2018-10-23 Nicira, Inc. Efficient packet classification for dynamic containers
WO2015187201A1 (en) * 2014-06-04 2015-12-10 Nicira, Inc. Use of stateless marking to speed up stateful firewall rule processing
US9692698B2 (en) 2014-06-30 2017-06-27 Nicira, Inc. Methods and systems to offload overlay network packet encapsulation to hardware
US9419897B2 (en) 2014-06-30 2016-08-16 Nicira, Inc. Methods and systems for providing multi-tenancy support for Single Root I/O Virtualization
US9692727B2 (en) 2014-12-02 2017-06-27 Nicira, Inc. Context-aware distributed firewall
US9891940B2 (en) 2014-12-29 2018-02-13 Nicira, Inc. Introspection method and apparatus for network access filtering
US9806948B2 (en) 2015-06-30 2017-10-31 Nicira, Inc. Providing firewall rules for workload spread across multiple data centers
US10324746B2 (en) 2015-11-03 2019-06-18 Nicira, Inc. Extended context delivery for context-based authorization
CN112087519A (zh) 2016-04-12 2020-12-15 伽德诺克斯信息技术有限公司 具有被配置为实现安全锁定的相关设备的特别编程的计算系统及其使用方法
US10348685B2 (en) 2016-04-29 2019-07-09 Nicira, Inc. Priority allocation for distributed service rules
US10135727B2 (en) 2016-04-29 2018-11-20 Nicira, Inc. Address grouping for distributed service rules
US11171920B2 (en) 2016-05-01 2021-11-09 Nicira, Inc. Publication of firewall configuration
US11425095B2 (en) 2016-05-01 2022-08-23 Nicira, Inc. Fast ordering of firewall sections and rules
US11258761B2 (en) 2016-06-29 2022-02-22 Nicira, Inc. Self-service firewall configuration
US11082400B2 (en) 2016-06-29 2021-08-03 Nicira, Inc. Firewall configuration versioning
US11115385B1 (en) * 2016-07-27 2021-09-07 Cisco Technology, Inc. Selective offloading of packet flows with flow state management
US10938837B2 (en) 2016-08-30 2021-03-02 Nicira, Inc. Isolated network stack to manage security for virtual machines
US9762619B1 (en) 2016-08-30 2017-09-12 Nicira, Inc. Multi-layer policy definition and enforcement framework for network virtualization
US10193862B2 (en) 2016-11-29 2019-01-29 Vmware, Inc. Security policy analysis based on detecting new network port connections
US10609160B2 (en) 2016-12-06 2020-03-31 Nicira, Inc. Performing context-rich attribute-based services on a host
US11032246B2 (en) 2016-12-22 2021-06-08 Nicira, Inc. Context based firewall services for data message flows for multiple concurrent users on one machine
US10805332B2 (en) 2017-07-25 2020-10-13 Nicira, Inc. Context engine model
US10802858B2 (en) 2016-12-22 2020-10-13 Nicira, Inc. Collecting and processing contextual attributes on a host
US10812451B2 (en) 2016-12-22 2020-10-20 Nicira, Inc. Performing appID based firewall services on a host
US10803173B2 (en) 2016-12-22 2020-10-13 Nicira, Inc. Performing context-rich attribute-based process control services on a host
US10581960B2 (en) 2016-12-22 2020-03-03 Nicira, Inc. Performing context-rich attribute-based load balancing on a host
US10313926B2 (en) 2017-05-31 2019-06-04 Nicira, Inc. Large receive offload (LRO) processing in virtualized computing environments
US10778651B2 (en) 2017-11-15 2020-09-15 Nicira, Inc. Performing context-rich attribute-based encryption on a host
US10802893B2 (en) 2018-01-26 2020-10-13 Nicira, Inc. Performing process control services on endpoint machines
US10862773B2 (en) 2018-01-26 2020-12-08 Nicira, Inc. Performing services on data messages associated with endpoint machines
US11388141B1 (en) * 2018-03-28 2022-07-12 Juniper Networks, Inc Apparatus, system, and method for efficiently filtering packets at network devices
US11310202B2 (en) 2019-03-13 2022-04-19 Vmware, Inc. Sharing of firewall rules among multiple workloads in a hypervisor
US11539718B2 (en) 2020-01-10 2022-12-27 Vmware, Inc. Efficiently performing intrusion detection
US11962518B2 (en) 2020-06-02 2024-04-16 VMware LLC Hardware acceleration techniques using flow selection
US11108728B1 (en) 2020-07-24 2021-08-31 Vmware, Inc. Fast distribution of port identifiers for rule processing
US20220038372A1 (en) * 2020-08-02 2022-02-03 Mellanox Technologies Tlv Ltd. Stateful filtering systems and methods
US11593278B2 (en) 2020-09-28 2023-02-28 Vmware, Inc. Using machine executing on a NIC to access a third party storage not supported by a NIC or host
US20220100432A1 (en) 2020-09-28 2022-03-31 Vmware, Inc. Distributed storage services supported by a nic
US11875172B2 (en) 2020-09-28 2024-01-16 VMware LLC Bare metal computer for booting copies of VM images on multiple computing devices using a smart NIC
US11792134B2 (en) 2020-09-28 2023-10-17 Vmware, Inc. Configuring PNIC to perform flow processing offload using virtual port identifiers
US11636053B2 (en) 2020-09-28 2023-04-25 Vmware, Inc. Emulating a local storage by accessing an external storage through a shared port of a NIC
US11863376B2 (en) 2021-12-22 2024-01-02 Vmware, Inc. Smart NIC leader election
US11928367B2 (en) 2022-06-21 2024-03-12 VMware LLC Logical memory addressing for network devices
US11899594B2 (en) 2022-06-21 2024-02-13 VMware LLC Maintenance of data message classification cache on smart NIC
US11928062B2 (en) 2022-06-21 2024-03-12 VMware LLC Accelerating data message classification with smart NICs

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5400331A (en) * 1993-04-28 1995-03-21 Allen-Bradley Company, Inc. Communication network interface with screeners for incoming messages
US5623601A (en) * 1994-11-18 1997-04-22 Milkway Networks Corporation Apparatus and method for providing a secure gateway for communication and data exchanges between networks
US5802320A (en) * 1995-05-18 1998-09-01 Sun Microsystems, Inc. System for packet filtering of data packets at a computer network interface
US5648965A (en) * 1995-07-07 1997-07-15 Sun Microsystems, Inc. Method and apparatus for dynamic distributed packet tracing and analysis
US5801753A (en) * 1995-08-11 1998-09-01 General Instrument Corporation Of Delaware Method and apparatus for providing an interactive guide to events available on an information network
US6147976A (en) * 1996-06-24 2000-11-14 Cabletron Systems, Inc. Fast network layer packet filter
US5828833A (en) * 1996-08-15 1998-10-27 Electronic Data Systems Corporation Method and system for allowing remote procedure calls through a network firewall
US6119236A (en) * 1996-10-07 2000-09-12 Shipley; Peter M. Intelligent network security device and method
US6073178A (en) * 1996-12-09 2000-06-06 Sun Microsystems, Inc. Method and apparatus for assignment of IP addresses
US5848233A (en) * 1996-12-09 1998-12-08 Sun Microsystems, Inc. Method and apparatus for dynamic packet filter assignment
US6070242A (en) * 1996-12-09 2000-05-30 Sun Microsystems, Inc. Method to activate unregistered systems in a distributed multiserver network environment
US5835727A (en) * 1996-12-09 1998-11-10 Sun Microsystems, Inc. Method and apparatus for controlling access to services within a computer network
US6208651B1 (en) * 1997-06-10 2001-03-27 Cornell Research Foundation, Inc. Method and system for masking the overhead of protocol layering
US6158008A (en) * 1997-10-23 2000-12-05 At&T Wireless Svcs. Inc. Method and apparatus for updating address lists for a packet filter processor
US6092110A (en) * 1997-10-23 2000-07-18 At&T Wireless Svcs. Inc. Apparatus for filtering packets using a dedicated processor
EP1062785A2 (en) * 1998-03-18 2000-12-27 Secure Computing Corporation System and method for controlling interactions between networks
US6092108A (en) * 1998-03-19 2000-07-18 Diplacido; Bruno Dynamic threshold packet filtering of application processor frames
WO2000010297A1 (en) * 1998-08-17 2000-02-24 Vitesse Semiconductor Corporation Packet processing architecture and methods

Also Published As

Publication number Publication date
CA2401577A1 (en) 2001-09-07
AU2001241717B2 (en) 2005-12-22
CN100474213C (zh) 2009-04-01
KR20020092972A (ko) 2002-12-12
JP3954385B2 (ja) 2007-08-08
EA004423B1 (ru) 2004-04-29
BR0109035A (pt) 2003-06-03
IL151522A (en) 2007-12-03
NO20024113L (no) 2002-11-01
PL357181A1 (en) 2004-07-26
JP2003525557A (ja) 2003-08-26
EP1266277A1 (en) 2002-12-18
US6496935B1 (en) 2002-12-17
CA2401577C (en) 2007-09-18
EP1266277B1 (en) 2005-12-07
NZ520984A (en) 2003-02-28
NO20024113D0 (no) 2002-08-29
DE60115615T2 (de) 2006-07-06
WO2001065343A1 (en) 2001-09-07
DE60115615D1 (de) 2006-01-12
EP1266277A4 (en) 2003-07-02
HUP0300039A2 (en) 2003-05-28
IL151522A0 (en) 2003-04-10
CN1406351A (zh) 2003-03-26
EA200200814A1 (ru) 2003-02-27
ATE312463T1 (de) 2005-12-15
AU4171701A (en) 2001-09-12

Similar Documents

Publication Publication Date Title
NO324958B1 (no) System, anordning og fremgangsmate for hurtig filtrering av datapakker
AU2001241717A1 (en) System, device and method for rapid packet filtering and processing
US8006297B2 (en) Method and system for combined security protocol and packet filter offload and onload
KR100952350B1 (ko) 지능망 인터페이스 컨트롤러
EP1335559B1 (en) System and method of providing virus protection at a gateway
US8356349B2 (en) Method and system for intrusion prevention and deflection
EP2482520B1 (en) System and method for efficient classification and processing of network traffic
US8060927B2 (en) Security state aware firewall
JP4664257B2 (ja) 攻撃検出システム及び攻撃検出方法
US8191141B2 (en) Method and system for cloaked observation and remediation of software attacks
US20080267177A1 (en) Method and system for virtualization of packet encryption offload and onload
JP4743894B2 (ja) データ・パケットを伝送しながらセキュリティを改良するための方法及び装置
US9059965B2 (en) Method and system for enforcing security policies on network traffic
US7742474B2 (en) Virtual network interface cards with VLAN functionality
US8175271B2 (en) Method and system for security protocol partitioning and virtualization
US8689319B2 (en) Network security system
WO2002035795A1 (en) Transparent proxy server
CN101719899A (zh) 用于网络安全装置的具有端口限制的动态访问控制策略
US20080077694A1 (en) Method and system for network security using multiple virtual network stack instances
JP2020017809A (ja) 通信装置及び通信システム
JP6422677B2 (ja) ネットワーク中継装置、同装置を用いたDDoS防御方法および負荷分散方法
US7607168B1 (en) Network interface decryption and classification technique
US8050266B2 (en) Low impact network debugging
KR100520102B1 (ko) 네트워크 유해 트래픽 방역 시스템 및 그 방법
WO2007034535A1 (ja) ネットワーク装置、データ中継方法およびプログラム

Legal Events

Date Code Title Description
MM1K Lapsed by not paying the annual fees