JP2004362581A - マルチレイヤーファイアウォールアーキテクチャ - Google Patents
マルチレイヤーファイアウォールアーキテクチャ Download PDFInfo
- Publication number
- JP2004362581A JP2004362581A JP2004165078A JP2004165078A JP2004362581A JP 2004362581 A JP2004362581 A JP 2004362581A JP 2004165078 A JP2004165078 A JP 2004165078A JP 2004165078 A JP2004165078 A JP 2004165078A JP 2004362581 A JP2004362581 A JP 2004362581A
- Authority
- JP
- Japan
- Prior art keywords
- layer
- packet
- firewall
- filter
- callout
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0254—Stateful filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
【解決手段】 ファイアウォールアーキテクチャは、複数のネットワークレイヤー、第1のファイアウォールエンジン、および1つまたは複数のコールアウトモジュールを含む。レイヤーは、パケットおよびパケット情報を第1のファイアウォールエンジンに送信し、パケットコンテキストを維持し、その後のレイヤーに渡し、パケットを処理する。第1のファイアウォールエンジンは、パケット情報をインストールされている1つまたは複数のフィルタと比較し、パケットをどのように扱うかを示すアクションをレイヤーに戻す。コールアウトは、侵入検知、ロギング、保護者による制御機能など追加の機能を提供する。
【選択図】 図3
Description
110 コンピュータ
120 処理ユニット
121 システムバス
130 システムメモリ
131 読取り専用メモリ(ROM)
132 ランダムアクセスメモリ(RAM)
133 基本入出力システム(BIOS)
134 オペレーティングシステム
135 アプリケーションプログラム
136 他のプログラムモジュール
137 プログラムデータ
140 インターフェース
141 ハードディスクドライブ
144 オペレーティングシステム
145 アプリケーションプログラム
146 他のプログラムモジュール
147 プログラムデータ
150 インターフェース
151 磁気ディスクドライブ
152 リムーバブル不揮発性磁気ディスク
155 光ディスクドライブ
156 リムーバブル不揮発性光ディスク
160 ユーザ入力インターフェース
161 ポインティング装置
162 キーボード
170 ネットワークインターフェースまたはアダプタ
171 ローカルエリアネットワーク(LAN)
172 モデム
173 広域エリアネットワーク(WAN)
180 リモートコンピュータ
181 メモリ記憶装置
185 リモートアプリケーションプログラム
190 ビデオインターフェース
191 モニタ
195 出力周辺インターフェース
196 プリンタ
197 スピーカー
200 プライベートネットワーク
202 パブリックネットワーク
204 ネットワーク装置
206 ネットワーク装置
208 ネットワーク装置
210 ネットワーク装置
212 ネットワーク装置
214 ファイアウォール
216 フィルタ
250 ユーザモードプロセス
252 カーネルモードプロセス
254 ネットワークスタック
256 カーネルモードファイアウォールエンジン
258 コールアウト
260 ユーザモードファイアウォールエンジン
262 ポリシープロバイダ
264 フェールセーフポリシー
266 フィルタエンジンAPI
268 データストリームレイヤー
270 トランスポートレイヤー
272 ネットワークレイヤー
274 リンクレイヤー
276 SMBレイヤー
278 ハイパーテキスト転送プロトコル(HTTP)パーサモジュール
280 レイヤーAPI
282 フィルタ
282 ユーザモードレイヤー
284 コールアウトAPI
286 起動時間ポリシー
288 キーイングモジュールAPI
290 管理API
294 フィルタモジュール
296 キーイングモジュール
310 フィルタ
312 フィルタID
314 重み
316 アクション
318 フィルタ条件
320 型
322 データ
324 レイヤーID:フィールドID
326 フィルタ条件
328 ポリシーコンテキスト
330 コンテキストデータ構造
332 レイヤーID:フィールドID
334 値
336 エントリ
338 エントリ
340 エントリ
350 Keying Module Initiateメソッド
402 Classifyメソッド
404 Add Layerメソッド
406 Delete Layerメソッド
410 Classifyメソッド
412 Notifyメソッド
414 Register Calloutメソッド
416 Deregister Calloutメソッド
418 Add Filterメソッド
420 Delete Filterメソッド
422 Enum Layerメソッド
430 IPSec SA Acquireメソッド
432 Expire Notifyメソッド
434 IPSec SA Acquire Completeメソッド
436 Keying Module Registerメソッド
438 Keying Module Deregisterメソッド
440 IPSec Inbound Get SPIメソッド
444 Add Inbound SAメソッド
446 Add Outbound SAメソッド
448 Inbound SA Expireメソッド
450 Keying Module Initiateメソッド
460 シム
462 シム
464 シム
466 シム
468 パケット
470 パケットコンテキスト
472 パケットコンテキスト
474 分類要求
476 レイヤーパラメータ
478 パケットコンテキスト
480 全パケット
482 応答
484 アクション
500 HTTPコンテキストコールアウト
502 侵入検知コールアウト
504 IPSecコールアウト
506 ロギングコールアウト
508 キャッシュ
510 サーバ
Claims (38)
- パケットのマルチレイヤーフィルタリングを提供するコンピュータシステム内に実装されるファイアウォールフレームワークにおいて、
各レイヤープロセッサが前記レイヤープロセッサに関連するパケットのレイヤーパラメータを処理することができ、さらに前記レイヤーパラメータを含む分類要求を発行することができる1組のレイヤープロセッサと、
前記1組のレイヤープロセッサのうちの1つである要求レイヤープロセッサから第1のレイヤーパラメータを受信し、アクションを前記要求レイヤーに戻すレイヤーインターフェースと、
1組のインストール済みフィルタと、
前記1組のインストール済みフィルタから少なくとも1つの整合フィルタを識別し、前記整合フィルタから前記レイヤーインターフェースによって戻される前記アクションを識別するルックアップ構成要素と
を含む第1のファイアウォールエンジンと
を含むことを特徴とするファイアウォールフレームワーク。 - 前記要求レイヤーは、前のレイヤープロセッサから、第2のレイヤーパラメータを含むパケットコンテキストを受信し、前記分類要求は、前記パケットコンテキストを含み、前記ルックアップ構成要素は、さらに前記パケットコンテキストを使用して前記少なくとも1つの整合フィルタを識別することを特徴とする請求項1に記載のファイアウォールフレームワーク。
- 前記ファイアウォールエンジンは、
前記第1のレイヤーパラメータ、前記パケットコンテキスト、および前記パケットを、前記パケットを分析し前記アクションを前記ファイアウォールエンジンに戻すコールアウトに送信するコールアウトインターフェース
をさらに備えることを特徴とする請求項2に記載のファイアウォールフレームワーク。 - 前記要求レイヤーは、前記パケットコンテキストを次のレイヤーに渡すことを特徴とする請求項2に記載のファイアウォールフレームワーク。
- 新しいフィルタを確立するポリシープロバイダと、
前記新しいフィルタを前記1組のインストール済みフィルタに追加する第2のファイアウォールエンジンと
をさらに備えることを特徴とする請求項1に記載のファイアウォールフレームワーク。 - 前記インストール済みフィルタのそれぞれは、
データのサイズを定義する型と、フィルタパラメータを含むデータとからなる型―データ対を含むフィルタ条件と、
前記アクションと
を備えることを特徴とする請求項1に記載のファイアウォールフレームワーク。 - 前記フィルタパラメータは、値の範囲を含むことを特徴とする請求項6に記載のファイアウォールフレームワーク。
- 前記フィルタは、前記フィルタの優先度を定義する重み係数を備えることを特徴とする請求項6に記載のファイアウォールフレームワーク。
- 前記1組のレイヤープロセッサは、
インターフェース番号、ソースおよび宛先のMACアドレスを含むレイヤーパラメータを有するリンクレイヤーと、
ソースおよび宛先のIPアドレスを含むレイヤーパラメータを有するネットワークレイヤーと、
ソースおよび宛先のポートを含むレイヤーパラメータを有するトランスポートレイヤーと、
データストリームを含むレイヤーパラメータを有するアプリケーションレイヤーと
をさらに含むことを特徴とする請求項1に記載のファイアウォールフレームワーク。 - 前記ネットワークレイヤーは、IPパケットのフラグメントを処理するフラグメントレイヤー、および完全なIPパケットを処理する完全アセンブル済みレイヤーにさらに分割され、前記フラグメントレイヤーおよび前記完全アセンブル済みレイヤーは、各々、前記分類要求を発行することを特徴とする請求項9に記載のファイアウォールフレームワーク。
- 前記第1のファイアウォールエンジンは、オペレーティングシステムカーネルモードで実行されることを特徴とする請求項1に記載のファイアウォールフレームワーク。
- 前記第1のファイアウォールエンジンは、オペレーティングシステムユーザモードで実行されることを特徴とする請求項1に記載のファイアウォールフレームワーク。
- オペレーティングシステム内で第1のレイヤープロセスとファイアウォールプロセスの間で通信を行う方法において、
プロトコルパケット、少なくとも1つのレイヤーパラメータ、および第2のレイヤープロセスからのパケットコンテキストを含む複数のパラメータを有するクラスファイ呼出しを前記第1のレイヤープロセスによって発行するステップと、
前記クラスファイ呼出を前記ファイアウォールプロセスによって受信するステップと、
前記少なくとも1つのレイヤーパラメータと一致するフィルタから識別されたアクションを前記ファイアウォールプロセスによって発行するステップと
を含むことを特徴とする方法。 - 前記第1のレイヤープロセスは、新しいプロセスであり、
前記第1のレイヤープロセスによってアドレイヤー呼出しを発行するステップ
をさらに含むことを特徴とする請求項13に記載の方法。 - 前記第1のレイヤープロセスは、既存のプロセスであり、
前記第1のレイヤープロセスによってデリートレイヤー呼出しを発行するステップ
をさらに含むことを特徴とする請求項13に記載の方法。 - オペレーティングシステム内でファイアウォールプロセスとコールアウトプロセスの間で通信を行う方法において、
プロトコルパケット、少なくとも1つのレイヤーパラメータ、パケットコンテキスト、および整合フィルタの識別を含む複数のパラメータを有するクラスファイ呼出しを前記第1のレイヤープロセスによって発行するステップと、
前記クラスファイ呼出しを前記コールアウトプロセスによって受信するステップと、
前記クラスファイ呼出しで前記複数のパラメータから識別されたアクションを前記コールアウトプロセスによって発行するステップと
を含むことを特徴とする方法。 - 前記コールアウトプロセスは、許容可能なリソース位置のキャッシュを維持する保護者による制御モジュールであり、
前記パケットを検査することによりリソース位置を識別し、前記リソース位置を前記許容可能な位置と比較するステップ
をさらに含むことを特徴とする請求項16に記載の方法。 - 前記コールアウトプロセスによって発行された前記アクションは、阻止であり、前記プロトコルパケットは、ネットワークを横断できないことを特徴とする請求項17に記載の方法。
- 前記コールアウトプロセスによって発行された前記アクションは、許可であり、前記プロトコルパケットは、前記ネットワークをさらに横断できることを特徴とする請求項17に記載の方法。
- 前記コールアウトプロセスは、ロギングモジュールであり、前記プロトコルパケットをメモリに格納するステップをさらに含むことを特徴とする請求項16に記載の方法。
- 前記コールアウトプロセスは、セキュリティモジュールであり、
前記セキュリティモジュールによって、前記プロトコルパケットがセキュリティプロトコルに適合することが求められると決定するステップと、
前記プロトコルパケットが前記セキュリティプロトコルに適合することを確認するステップと
をさらに含むことを特徴とする請求項16に記載の方法。 - 前記セキュリティプロトコルは、IPSecセキュリティプロトコルであることを特徴とする請求項21に記載の方法。
- パケットのマルチレイヤーフィルタリングを提供するコンピュータシステム内に実装されるファイアウォールフレームワークを簡易化するコンピュータ可読命令を実行するコンピュータ可読媒体において、
各レイヤープロセッサが前記レイヤープロセッサに関連するパケットのレイヤーパラメータを処理することができ、さらに前記レイヤーパラメータを含む分類要求を発行することができる1組のレイヤープロセッサと、
前記1組のレイヤープロセッサのうちの1つである要求レイヤープロセッサから第1のレイヤーパラメータを受信し、アクションを前記要求レイヤーに戻すレイヤーインターフェースと、
1組のインストール済みフィルタと、
前記1組のインストール済みフィルタから少なくとも1つの整合フィルタを識別し、前記整合フィルタから前記レイヤーインターフェースによって戻される前記アクションを識別するルックアップ構成要素と
を含む第1のファイアウォールエンジンと
を含むことを特徴とするコンピュータ可読媒体。 - 前記要求レイヤーは、前のレイヤープロセッサから第2のレイヤーパラメータを含むパケットコンテキストを受信し、前記分類要求は、前記パケットコンテキストを含み、前記ルックアップ構成要素は、さらに前記パケットコンテキストを使用して前記少なくとも1つの整合フィルタを識別することを特徴とする請求項23に記載のコンピュータ可読媒体。
- 前記ファイアウォールエンジンは、
前記第1のレイヤーパラメータ、前記パケットコンテキスト、および前記パケットを、前記パケットを分析し前記アクションを前記ファイアウォールエンジンに戻すコールアウトに送信するコールアウトインターフェース
をさらに含むことを特徴とする請求項24に記載のコンピュータ可読媒体。 - 前記要求レイヤーは、前記パケットコンテキストを次のレイヤーに渡すことを特徴とする請求項24に記載のコンピュータ可読媒体。
- 新しいフィルタを確立するポリシープロバイダと、
前記新しいフィルタを前記1組のインストール済みフィルタに追加する第2のファイアウォールエンジンと
をさらに含むことを特徴とする請求項23に記載のコンピュータ可読媒体。 - オペレーティングシステム内で第1のレイヤープロセスとファイアウォールプロセスの間で通信を行うコンピュータ可読命令を実行するコンピュータ可読媒体において、
プロトコルパケット、少なくとも1つのレイヤーパラメータ、および第2のレイヤープロセスからのパケットコンテキストを含む複数のパラメータを有するクラスファイ呼出しを前記第1のレイヤープロセスによって発行するステップと、
前記クラスファイ呼出しを前記ファイアウォールプロセスによって受信するステップと、
前記少なくとも1つのレイヤーパラメータと一致するフィルタから識別されたアクションを前記ファイアウォールプロセスによって発行するステップと
を含むことを特徴とするコンピュータ可読媒体。 - 前記第1のレイヤープロセスは、新しいプロセスであり、
前記第1のレイヤープロセスによってアドレイヤー呼出しを発行するステップ
をさらに含むことを特徴とする請求項28に記載のコンピュータ可読媒体。 - 前記第1のレイヤープロセスは、既存のプロセスであり、
前記第1のレイヤープロセスによってデリートレイヤー呼出しを発行するステップ
をさらに含むことを特徴とする請求項28に記載のコンピュータ可読媒体。 - オペレーティングシステム内でファイアウォールプロセスとコールアウトプロセスの間で通信を行うコンピュータ可読命令を実行するコンピュータ可読媒体において、
プロトコルパケット、少なくとも1つのレイヤーパラメータ、パケットコンテキスト、および整合フィルタの識別を含む複数のパラメータを有するクラスファイ呼出しを前記第1のレイヤープロセスによって発行するステップと、
前記クラスファイ呼出しを前記コールアウトプロセスによって受信するステップと、
前記クラスファイ呼出しで前記複数のパラメータから識別されたアクションを前記コールアウトプロセスによって発行するステップと
を含むことを特徴とするコンピュータ可読媒体。 - 前記コールアウトプロセスは、ロギングモジュールであり、前記プロトコルパケットをメモリに格納するステップをさらに含むことを特徴とする請求項31に記載のコンピュータ可読媒体。
- 前記コールアウトプロセスは、セキュリティモジュールであり、
前記セキュリティモジュールによって、前記プロトコルパケットはセキュリティプロトコルに適合することが求められると決定するステップと、
前記プロトコルパケットは、前記セキュリティプロトコルに適合することを確認するステップと
をさらに含むことを特徴とする請求項31に記載のコンピュータ可読媒体。 - 複数のレイヤーのうちの1つである要求レイヤーがパケットのポリシーを取得することができる機能インタフェースにおいて、
要求レイヤーによって受信されたパケットと、
前記要求レイヤーによって処理されたデータを含む、前記パケットに関連する1組のパラメータと、
前記要求レイヤーによって前記複数のレイヤーのうちの別のレイヤーから受信されたパケットコンテキストと、
前記パケットに適用される第1のポリシーを識別する前記要求レイヤーに戻されるアクションと
を含むクラスファイメソッド
を含むことを特徴とする機能インターフェース。 - 新しいレイヤーを前記複数のレイヤーに追加することができるアドレイヤーメソッド
をさらに含むことを特徴とする請求項34に記載の機能インターフェース。 - 既存のレイヤーを前記複数のレイヤーから削除するデリートレイヤーメソッド
をさらに含むことを特徴とする請求項34に記載の機能インターフェース。 - 前記パケットに適用する第2のポリシーを定義するポリシーコンテキスト
をさらに含むことを特徴とする請求項34に記載の機能インターフェース。 - 前記第1のポリシーは、ファイアウォールポリシーであり、前記第2のポリシーは、非ファイアウォールポリシーであることを特徴とする請求項37に記載の機能インターフェース。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US10/456,766 US7509673B2 (en) | 2003-06-06 | 2003-06-06 | Multi-layered firewall architecture |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2004362581A true JP2004362581A (ja) | 2004-12-24 |
JP4572089B2 JP4572089B2 (ja) | 2010-10-27 |
Family
ID=33159591
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004165078A Expired - Fee Related JP4572089B2 (ja) | 2003-06-06 | 2004-06-02 | マルチレイヤーファイアウォールアーキテクチャ |
Country Status (13)
Country | Link |
---|---|
US (1) | US7509673B2 (ja) |
EP (1) | EP1484884A3 (ja) |
JP (1) | JP4572089B2 (ja) |
KR (1) | KR101026635B1 (ja) |
CN (1) | CN1574839B (ja) |
AU (1) | AU2004202137C1 (ja) |
BR (1) | BRPI0401894B1 (ja) |
CA (1) | CA2464784C (ja) |
MX (1) | MXPA04005464A (ja) |
MY (1) | MY143502A (ja) |
RU (1) | RU2365986C2 (ja) |
TW (1) | TWI349471B (ja) |
ZA (1) | ZA200403075B (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012053883A (ja) * | 2005-03-25 | 2012-03-15 | Qualcomm Inc | 無線装置でコンテンツ変換を管理する装置および方法 |
KR20170060092A (ko) * | 2014-09-24 | 2017-05-31 | 넷플릭스, 인크. | 분산형 트래픽 관리 시스템 및 기법들 |
JP2018014712A (ja) * | 2016-07-06 | 2018-01-25 | 日本電信電話株式会社 | トラヒック制御装置および方法 |
Families Citing this family (89)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8352400B2 (en) | 1991-12-23 | 2013-01-08 | Hoffberg Steven M | Adaptive pattern recognition based controller apparatus and method and human-factored interface therefore |
US7966078B2 (en) | 1999-02-01 | 2011-06-21 | Steven Hoffberg | Network media appliance system and method |
WO2004107130A2 (en) * | 2003-05-28 | 2004-12-09 | Caymas Systems, Inc. | Multilayer access control security system |
US7308711B2 (en) * | 2003-06-06 | 2007-12-11 | Microsoft Corporation | Method and framework for integrating a plurality of network policies |
US7409707B2 (en) | 2003-06-06 | 2008-08-05 | Microsoft Corporation | Method for managing network filter based policies |
US7260840B2 (en) * | 2003-06-06 | 2007-08-21 | Microsoft Corporation | Multi-layer based method for implementing network firewalls |
US20040268124A1 (en) * | 2003-06-27 | 2004-12-30 | Nokia Corporation, Espoo, Finland | Systems and methods for creating and maintaining a centralized key store |
US7574603B2 (en) * | 2003-11-14 | 2009-08-11 | Microsoft Corporation | Method of negotiating security parameters and authenticating users interconnected to a network |
JP3758661B2 (ja) * | 2003-11-17 | 2006-03-22 | 株式会社インテリジェントウェイブ | 不正監視プログラム、不正監視の方法及び不正監視システム |
US7797752B1 (en) * | 2003-12-17 | 2010-09-14 | Vimal Vaidya | Method and apparatus to secure a computing environment |
US20050268331A1 (en) * | 2004-05-25 | 2005-12-01 | Franck Le | Extension to the firewall configuration protocols and features |
AU2005328336B2 (en) | 2004-12-22 | 2011-09-15 | Wake Forest University | Method, systems, and computer program products for implementing function-parallel network firewall |
EP1859595B1 (en) * | 2005-03-05 | 2013-07-03 | Intel Corporation | Asynchronous network stack operation in a pre boot environment |
US7913289B2 (en) * | 2005-05-23 | 2011-03-22 | Broadcom Corporation | Method and apparatus for security policy and enforcing mechanism for a set-top box security processor |
US9652637B2 (en) | 2005-05-23 | 2017-05-16 | Avago Technologies General Ip (Singapore) Pte. Ltd. | Method and system for allowing no code download in a code download scheme |
US7844996B2 (en) * | 2005-05-23 | 2010-11-30 | Broadcom Corporation | Method and apparatus for constructing an access control matrix for a set-top box security processor |
US7475138B2 (en) * | 2005-06-23 | 2009-01-06 | International Business Machines Corporation | Access control list checking |
US7716729B2 (en) * | 2005-11-23 | 2010-05-11 | Genband Inc. | Method for responding to denial of service attacks at the session layer or above |
JP4545085B2 (ja) * | 2005-12-08 | 2010-09-15 | 富士通株式会社 | ファイアウォール装置 |
KR101218698B1 (ko) * | 2006-02-03 | 2013-01-04 | 주식회사 엘지씨엔에스 | 복수의 ip 버전을 지원하는 네트워크 보안솔루션구현방법 |
US9177176B2 (en) | 2006-02-27 | 2015-11-03 | Broadcom Corporation | Method and system for secure system-on-a-chip architecture for multimedia data processing |
US9904809B2 (en) | 2006-02-27 | 2018-02-27 | Avago Technologies General Ip (Singapore) Pte. Ltd. | Method and system for multi-level security initialization and configuration |
US8122492B2 (en) * | 2006-04-21 | 2012-02-21 | Microsoft Corporation | Integration of social network information and network firewalls |
US8079073B2 (en) * | 2006-05-05 | 2011-12-13 | Microsoft Corporation | Distributed firewall implementation and control |
US8176157B2 (en) * | 2006-05-18 | 2012-05-08 | Microsoft Corporation | Exceptions grouping |
US9489318B2 (en) | 2006-06-19 | 2016-11-08 | Broadcom Corporation | Method and system for accessing protected memory |
US8302179B2 (en) * | 2006-12-13 | 2012-10-30 | Avaya Inc. | Embedded firewall at a telecommunications endpoint |
US8291483B2 (en) * | 2007-04-30 | 2012-10-16 | Hewlett-Packard Development Company, L.P. | Remote network device with security policy failsafe |
US8166534B2 (en) * | 2007-05-18 | 2012-04-24 | Microsoft Corporation | Incorporating network connection security levels into firewall rules |
US8341723B2 (en) * | 2007-06-28 | 2012-12-25 | Microsoft Corporation | Filtering kernel-mode network communications |
CN101399827A (zh) * | 2007-09-26 | 2009-04-01 | 国际商业机器公司 | 用于安全地为***安装补丁的方法和*** |
US20090094596A1 (en) * | 2007-10-05 | 2009-04-09 | Scense B.V. | Systems and methods for an adaptive installation |
US7920478B2 (en) * | 2008-05-08 | 2011-04-05 | Nortel Networks Limited | Network-aware adapter for applications |
WO2010045089A1 (en) * | 2008-10-08 | 2010-04-22 | Sourcefire, Inc. | Target-based smb and dce/rpc processing for an intrusion detection system or intrusion prevention system |
US8955033B2 (en) * | 2008-11-25 | 2015-02-10 | Citrix Systems, Inc. | Systems and methods for HTTP callouts for policies |
US20100251355A1 (en) * | 2009-03-31 | 2010-09-30 | Inventec Corporation | Method for obtaining data for intrusion detection |
US8495725B2 (en) | 2009-08-28 | 2013-07-23 | Great Wall Systems | Methods, systems, and computer readable media for adaptive packet filtering |
US8782773B2 (en) * | 2009-09-30 | 2014-07-15 | Avaya Inc. | Framework for communicating across a firewall |
GB0919253D0 (en) | 2009-11-03 | 2009-12-16 | Cullimore Ian | Atto 1 |
US8925039B2 (en) * | 2009-12-14 | 2014-12-30 | At&T Intellectual Property I, L.P. | System and method of selectively applying security measures to data services |
CN101783796B (zh) * | 2009-12-28 | 2013-09-11 | 山东中创软件商用中间件股份有限公司 | Web应用防火墙***和基于该***的应用方法 |
US8983989B2 (en) * | 2010-02-05 | 2015-03-17 | Microsoft Technology Licensing, Llc | Contextual queries |
US8307418B2 (en) * | 2010-03-16 | 2012-11-06 | Genband Inc. | Methods, systems, and computer readable media for providing application layer firewall and integrated deep packet inspection functions for providing early intrusion detection and intrusion prevention at an edge networking device |
US8504718B2 (en) | 2010-04-28 | 2013-08-06 | Futurewei Technologies, Inc. | System and method for a context layer switch |
CN101888374B (zh) * | 2010-05-19 | 2013-06-26 | 山东中创软件商用中间件股份有限公司 | 基于内嵌的对响应内容进行缓存过滤的方法、装置及*** |
CN102577331B (zh) | 2010-05-28 | 2015-08-05 | 华为技术有限公司 | 虚拟第2层及使其可扩展的机制 |
US8897303B2 (en) | 2010-06-29 | 2014-11-25 | Futurewei Technologies, Inc. | Delegate gateways and proxy for target hosts in large layer 2 and address resolution with duplicated internet protocol addresses |
EP2569905A2 (en) | 2010-06-29 | 2013-03-20 | Huawei Technologies Co. Ltd. | Layer two over multiple sites |
FR2965997B1 (fr) * | 2010-10-07 | 2013-06-28 | Electricite De France | Procede et dispositif de transfert securise de donnees |
US8875276B2 (en) * | 2011-09-02 | 2014-10-28 | Iota Computing, Inc. | Ultra-low power single-chip firewall security device, system and method |
RU2453905C1 (ru) * | 2011-01-21 | 2012-06-20 | Государственное казенное образовательное учреждение высшего профессионального образования Академия Федеральной службы охраны Российской Федерации (Академия ФСО России) | Способ проверки функционирования протоколов информационных систем |
US20120198541A1 (en) * | 2011-02-02 | 2012-08-02 | Reeves Randall E | Methods and apparatus for preventing network intrusion |
CN102195972B (zh) * | 2011-03-24 | 2014-05-07 | 北京思创银联科技股份有限公司 | 利用wfp拦截网络数据的方法 |
US8904216B2 (en) | 2011-09-02 | 2014-12-02 | Iota Computing, Inc. | Massively multicore processor and operating system to manage strands in hardware |
US9100324B2 (en) | 2011-10-18 | 2015-08-04 | Secure Crossing Research & Development, Inc. | Network protocol analyzer apparatus and method |
US8613089B1 (en) | 2012-08-07 | 2013-12-17 | Cloudflare, Inc. | Identifying a denial-of-service attack in a cloud-based proxy service |
CN102891848B (zh) * | 2012-09-25 | 2015-12-02 | 汉柏科技有限公司 | 利用IPSec安全联盟进行加密解密的方法 |
US9137205B2 (en) | 2012-10-22 | 2015-09-15 | Centripetal Networks, Inc. | Methods and systems for protecting a secured network |
US9565213B2 (en) | 2012-10-22 | 2017-02-07 | Centripetal Networks, Inc. | Methods and systems for protecting a secured network |
US9203806B2 (en) | 2013-01-11 | 2015-12-01 | Centripetal Networks, Inc. | Rule swapping in a packet network |
US9124552B2 (en) | 2013-03-12 | 2015-09-01 | Centripetal Networks, Inc. | Filtering network data transfers |
US9094445B2 (en) | 2013-03-15 | 2015-07-28 | Centripetal Networks, Inc. | Protecting networks from cyber attacks and overloading |
CN103227742B (zh) * | 2013-03-26 | 2015-09-16 | 汉柏科技有限公司 | 一种IPSec隧道快速处理报文的方法 |
US20150003607A1 (en) * | 2013-06-26 | 2015-01-01 | Samsung Electronics Co., Ltd. | Secure connection method and apparatus of electronic device |
TW201501487A (zh) | 2013-06-28 | 2015-01-01 | Ibm | 無網路位址之端點管理資訊設備 |
RU2545516C2 (ru) * | 2013-07-23 | 2015-04-10 | Государственное казенное образовательное учреждение высшего профессионального образования Академия Федеральной службы охраны Российской Федерации (Академия ФСО России) | Устройство обнаружения атак в беспроводных сетях стандарта 802.11g |
US10367785B2 (en) * | 2013-10-01 | 2019-07-30 | Perfecta Federal Llc | Software defined traffic modification system |
KR102087404B1 (ko) * | 2013-11-12 | 2020-03-11 | 삼성전자주식회사 | 전자 장치에서 보안 패킷을 처리하기 위한 장치 및 방법 |
US10102019B2 (en) * | 2014-06-09 | 2018-10-16 | Verizon Patent And Licensing Inc. | Analyzing network traffic for layer-specific corrective actions in a cloud computing environment |
US9264370B1 (en) | 2015-02-10 | 2016-02-16 | Centripetal Networks, Inc. | Correlating packets in communications networks |
US9866576B2 (en) | 2015-04-17 | 2018-01-09 | Centripetal Networks, Inc. | Rule-based network-threat detection |
US9825960B2 (en) * | 2015-05-29 | 2017-11-21 | Oracle International Corporation | System and method providing automatic pushdown hierarchical filters |
US10609053B2 (en) * | 2015-11-24 | 2020-03-31 | Intel Corporation | Suspicious network traffic identification method and apparatus |
RU2625046C2 (ru) * | 2015-12-18 | 2017-07-11 | Федеральное государственное автономное образовательное учреждение высшего образования "Санкт-Петербургский политехнический университет Петра Великого" | Способ многопоточной защиты сетевого трафика и система для его осуществления |
US9917856B2 (en) | 2015-12-23 | 2018-03-13 | Centripetal Networks, Inc. | Rule-based network-threat detection for encrypted communications |
US11729144B2 (en) | 2016-01-04 | 2023-08-15 | Centripetal Networks, Llc | Efficient packet capture for cyber threat analysis |
US10503899B2 (en) | 2017-07-10 | 2019-12-10 | Centripetal Networks, Inc. | Cyberanalysis workflow acceleration |
US11233777B2 (en) | 2017-07-24 | 2022-01-25 | Centripetal Networks, Inc. | Efficient SSL/TLS proxy |
US10284526B2 (en) | 2017-07-24 | 2019-05-07 | Centripetal Networks, Inc. | Efficient SSL/TLS proxy |
US10791092B2 (en) * | 2018-02-14 | 2020-09-29 | Nicira, Inc. | Firewall rules with expression matching |
RU183015U1 (ru) * | 2018-03-02 | 2018-09-07 | Общество с ограниченной ответственностью "АСП Лабс" | Средство обнаружения вторжений |
US10333898B1 (en) | 2018-07-09 | 2019-06-25 | Centripetal Networks, Inc. | Methods and systems for efficient network protection |
US11190542B2 (en) * | 2018-10-22 | 2021-11-30 | A10 Networks, Inc. | Network session traffic behavior learning system |
US11652848B1 (en) | 2019-09-26 | 2023-05-16 | Amazon Technologies, Inc. | Distributed evaluation of networking security rules |
US11960623B2 (en) * | 2020-03-27 | 2024-04-16 | EMC IP Holding Company LLC | Intelligent and reversible data masking of computing environment information shared with external systems |
CN111984602A (zh) | 2020-09-23 | 2020-11-24 | 三星(中国)半导体有限公司 | 数据流的管理方法和装置 |
US11362996B2 (en) | 2020-10-27 | 2022-06-14 | Centripetal Networks, Inc. | Methods and systems for efficient adaptive logging of cyber threat incidents |
US11159546B1 (en) | 2021-04-20 | 2021-10-26 | Centripetal Networks, Inc. | Methods and systems for efficient threat context-aware packet filtering for network protection |
CN113810428B (zh) * | 2021-09-30 | 2023-07-18 | 深圳市九洲电器有限公司 | 边缘计算设备的安全控制***和安全控制方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002507362A (ja) * | 1997-06-30 | 2002-03-05 | サン・マイクロシステムズ・インコーポレーテッド | 多層ネットワーク要素のためのシステムおよび方法 |
WO2002037730A2 (en) * | 2000-10-31 | 2002-05-10 | Firebit Ltd. | A router-based system for providing multi-level data filtering and security services in a broadband environment |
Family Cites Families (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5835726A (en) * | 1993-12-15 | 1998-11-10 | Check Point Software Technologies Ltd. | System for securing the flow of and selectively modifying packets in a computer network |
US6003084A (en) * | 1996-09-13 | 1999-12-14 | Secure Computing Corporation | Secure network proxy for connecting entities |
US6009475A (en) * | 1996-12-23 | 1999-12-28 | International Business Machines Corporation | Filter rule validation and administration for firewalls |
US5987611A (en) * | 1996-12-31 | 1999-11-16 | Zone Labs, Inc. | System and methodology for managing internet access on a per application basis for client computers connected to the internet |
US5968176A (en) * | 1997-05-29 | 1999-10-19 | 3Com Corporation | Multilayer firewall system |
US6092110A (en) * | 1997-10-23 | 2000-07-18 | At&T Wireless Svcs. Inc. | Apparatus for filtering packets using a dedicated processor |
US6131163A (en) * | 1998-02-17 | 2000-10-10 | Cisco Technology, Inc. | Network gateway mechanism having a protocol stack proxy |
US6219786B1 (en) * | 1998-09-09 | 2001-04-17 | Surfcontrol, Inc. | Method and system for monitoring and controlling network access |
US6347376B1 (en) * | 1999-08-12 | 2002-02-12 | International Business Machines Corp. | Security rule database searching in a network security environment |
US6496935B1 (en) * | 2000-03-02 | 2002-12-17 | Check Point Software Technologies Ltd | System, device and method for rapid packet filtering and processing |
KR20020051599A (ko) * | 2000-12-23 | 2002-06-29 | 오길록 | 분산 컴퓨팅 환경에서의 보안 정책 시스템 및 그 방법 |
US20020162026A1 (en) * | 2001-02-06 | 2002-10-31 | Michael Neuman | Apparatus and method for providing secure network communication |
US7024460B2 (en) * | 2001-07-31 | 2006-04-04 | Bytemobile, Inc. | Service-based compression of content within a network communication system |
US20030084331A1 (en) * | 2001-10-26 | 2003-05-01 | Microsoft Corporation | Method for providing user authentication/authorization and distributed firewall utilizing same |
US7260840B2 (en) * | 2003-06-06 | 2007-08-21 | Microsoft Corporation | Multi-layer based method for implementing network firewalls |
US7409707B2 (en) * | 2003-06-06 | 2008-08-05 | Microsoft Corporation | Method for managing network filter based policies |
US7308711B2 (en) * | 2003-06-06 | 2007-12-11 | Microsoft Corporation | Method and framework for integrating a plurality of network policies |
US7559082B2 (en) * | 2003-06-25 | 2009-07-07 | Microsoft Corporation | Method of assisting an application to traverse a firewall |
-
2003
- 2003-06-06 US US10/456,766 patent/US7509673B2/en not_active Expired - Fee Related
-
2004
- 2004-04-16 EP EP04009147A patent/EP1484884A3/en not_active Withdrawn
- 2004-04-19 CA CA2464784A patent/CA2464784C/en not_active Expired - Fee Related
- 2004-04-22 MY MYPI20041467A patent/MY143502A/en unknown
- 2004-04-22 ZA ZA200403075A patent/ZA200403075B/xx unknown
- 2004-05-03 TW TW093112435A patent/TWI349471B/zh not_active IP Right Cessation
- 2004-05-19 AU AU2004202137A patent/AU2004202137C1/en not_active Ceased
- 2004-06-02 BR BRPI0401894A patent/BRPI0401894B1/pt not_active IP Right Cessation
- 2004-06-02 JP JP2004165078A patent/JP4572089B2/ja not_active Expired - Fee Related
- 2004-06-04 CN CN2004100488844A patent/CN1574839B/zh not_active Expired - Fee Related
- 2004-06-04 MX MXPA04005464A patent/MXPA04005464A/es active IP Right Grant
- 2004-06-04 RU RU2004117067/09A patent/RU2365986C2/ru not_active IP Right Cessation
- 2004-06-05 KR KR1020040041130A patent/KR101026635B1/ko not_active IP Right Cessation
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002507362A (ja) * | 1997-06-30 | 2002-03-05 | サン・マイクロシステムズ・インコーポレーテッド | 多層ネットワーク要素のためのシステムおよび方法 |
WO2002037730A2 (en) * | 2000-10-31 | 2002-05-10 | Firebit Ltd. | A router-based system for providing multi-level data filtering and security services in a broadband environment |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2012053883A (ja) * | 2005-03-25 | 2012-03-15 | Qualcomm Inc | 無線装置でコンテンツ変換を管理する装置および方法 |
US9288078B2 (en) | 2005-03-25 | 2016-03-15 | Qualcomm Incorporated | Apparatus and methods for managing content exchange on a wireless device |
KR20170060092A (ko) * | 2014-09-24 | 2017-05-31 | 넷플릭스, 인크. | 분산형 트래픽 관리 시스템 및 기법들 |
JP2017534105A (ja) * | 2014-09-24 | 2017-11-16 | ネットフリックス・インコーポレイテッドNetflix, Inc. | 分散型トラフィック管理システムおよび技術 |
US10701035B2 (en) | 2014-09-24 | 2020-06-30 | Netflix, Inc. | Distributed traffic management system and techniques |
KR102390765B1 (ko) | 2014-09-24 | 2022-04-26 | 넷플릭스, 인크. | 분산형 트래픽 관리 시스템 및 기법들 |
JP2018014712A (ja) * | 2016-07-06 | 2018-01-25 | 日本電信電話株式会社 | トラヒック制御装置および方法 |
Also Published As
Publication number | Publication date |
---|---|
JP4572089B2 (ja) | 2010-10-27 |
EP1484884A3 (en) | 2006-08-02 |
BRPI0401894B1 (pt) | 2018-11-13 |
RU2365986C2 (ru) | 2009-08-27 |
ZA200403075B (en) | 2004-10-28 |
CA2464784C (en) | 2012-10-23 |
AU2004202137A1 (en) | 2004-12-23 |
MXPA04005464A (es) | 2005-03-23 |
MY143502A (en) | 2011-05-31 |
KR20040105587A (ko) | 2004-12-16 |
AU2004202137B2 (en) | 2009-11-05 |
TW200501698A (en) | 2005-01-01 |
EP1484884A2 (en) | 2004-12-08 |
CN1574839A (zh) | 2005-02-02 |
CA2464784A1 (en) | 2004-12-06 |
US20050022010A1 (en) | 2005-01-27 |
AU2004202137C1 (en) | 2010-04-29 |
BRPI0401894A (pt) | 2005-02-22 |
RU2004117067A (ru) | 2005-11-10 |
KR101026635B1 (ko) | 2011-04-04 |
CN1574839B (zh) | 2010-05-26 |
US7509673B2 (en) | 2009-03-24 |
TWI349471B (en) | 2011-09-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4572089B2 (ja) | マルチレイヤーファイアウォールアーキテクチャ | |
JP4521225B2 (ja) | ネットワークファイアウォールを実装するための多層ベースの方法 | |
US7761708B2 (en) | Method and framework for integrating a plurality of network policies | |
JP4459722B2 (ja) | ネットワークフィルタベースのポリシーを管理するための方法 | |
US8782260B2 (en) | Network access control system and method using adaptive proxies | |
JP3954385B2 (ja) | 迅速なパケット・フィルタリング及びパケット・プロセシングのためのシステム、デバイス及び方法 | |
US6772348B1 (en) | Method and system for retrieving security information for secured transmission of network communication streams | |
US20070011448A1 (en) | Using non 5-tuple information with IPSec | |
US8336093B2 (en) | Abnormal IPSec packet control system using IPSec configuration and session data, and method thereof | |
US8607302B2 (en) | Method and system for sharing labeled information between different security realms | |
Friedman et al. | Building Firewalls with Intelligent Network Interface Cards (CMU-CS-00-173) |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070514 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100319 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100621 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100810 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100816 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130820 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |