CN1406351A - 快速分组过滤与处理系统、装置及方法 - Google Patents
快速分组过滤与处理系统、装置及方法 Download PDFInfo
- Publication number
- CN1406351A CN1406351A CN01805889A CN01805889A CN1406351A CN 1406351 A CN1406351 A CN 1406351A CN 01805889 A CN01805889 A CN 01805889A CN 01805889 A CN01805889 A CN 01805889A CN 1406351 A CN1406351 A CN 1406351A
- Authority
- CN
- China
- Prior art keywords
- grouping
- fire wall
- allowed
- filtering module
- filtering
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0254—Stateful filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Image Processing (AREA)
- Auxiliary Devices For And Details Of Packaging Control (AREA)
- Supplying Of Containers To The Packaging Station (AREA)
Abstract
一种通过增加一个具有预过滤模块(30)的防火墙(18)进行分组过滤的方法、装置及系统(图1),该预过滤模块(30)根据分组是否是从一个特定连接接收的来执行有关该分组的一个有限动作组,否则,该分组就被转发给防火墙(18)进行处理。
Description
技术领域
本发明涉及一种用于分组交换网络上的快速分组过滤系统、装置及方法,尤其涉及一种通过基于话路的过滤提高分组过滤效率的系统、装置及方法。
背景技术
连通性与安全性是绝大多数机构的计算机环境的两个相互制约的目标,典型的现代计算机系统围绕网络通信而建立,提供对大量服务的透明访问。这些服务的全球化可能是现代计算机方案中的一个最重要的特征,对连通性的需求既来自机构内部也来自机构外部。
保护网络服务不被未经授权使用对任何机构都是头等重要的。随着对提高安全性的需求的增长,控制访问网络资源的手段已变成一种管理优先权。为了节约成本和维持产量,访问控制必须便于配置,并且对用户和应用而言必须是透明的。安装成本和故障时间的最小化也是重要因素。
分组过滤是一种方法,其允许连通但通过控制所通过的通信量提供安全性,因此既防止了单个网络内的也防止了相互连接网络之间的非法通信企图。
在此引入美国专利第5,835,726号(申请日为1996年6月17日)和第5,606,668号(申请日为1993年12月15日)作为参考,它们描述了通过在一个计算机网络中控制出入的数据分组流量而提供网络安全性的方法,该分组流量通过分组过滤控制,该分组过滤控制根据一个用户生成的规则库来执行,该用户生成规则库接着被转换成一组过滤语言指令。该规则库中的每个规则均包含一个源、目标、服务、接收还是拒绝分组,是否注册、加密、和/或鉴别事件。该组过滤器语言指令安装和执行于位于计算机内作为防火墙的检查引擎上。检查引擎执行详细检查以判定一个分组是否应被允许通过防火墙。该防火墙位于计算机网络中使得所有进出该要被保护的网络的通信均被强迫通过防火墙。因此,当分组出入网络时,就会根据组成所述规则库的规则被过滤。
根据这些参考,检查引擎作为一个虚拟分组过滤机,其通过对每个分组判定拒绝还是接收分组。如果分组被拒绝,它就被放弃。如果它被接收,然后该分组就可能被修改。修改可能包括加密、解密、签名生成、签名验证或地址转换,所有的修改都根据该规则库中的内容进行。
不幸的是,该公开方法的一个缺陷是大量的计算负荷被施加到操作防火墙的计算机上。以前公开的分组过滤处理要求对每个分组进行单独分析,其通过与确定通过防火墙的分组入口所依据的规则组进行很多不同的比较来进行。但是,一旦在两个通过防火墙建立的节点之间的话路或连接已经判定被允许,那么在绝大多数情况下,更加细致的分析可能就不需要了。这样,来自一个被允许连接的分组的继续分析的要求将减少或甚至消除,这将显著地减少防火墙所带来的计算负荷,并加速分组过滤的过程,同时仍然保持被保护系统的安全性。
因此,需要一种下述的快速分组过滤系统、装置和方法(其将是实用的),即:根据从其接收一个分组的连接,进行快速分组过滤,使得如果一个分组是从一个被允许的连接接收的,则完全的分组分析的需求将被减少或消除,而同时仍然保持快速有效地修改分组的能力,优选地采用修改过程的硬件加速。
发明内容
本发明为一种通过增加一个具有预过滤模块的防火墙,加速一个分组交换网络(优选地是一个IP网络)上的分组过滤的系统、装置及方法。根据该分组是否是从一个先前被防火墙允许的连接接收的,该预过滤模块执行有关分组的有限动作组。如果该分组是从这样一个被允许的连接接收的,则该预过滤模块将该分组转发给它们的目的地,可选地在分组上执行一个或多个动作。否则,该分组将被转发给防火墙进行处理。优选地,一旦防火墙移交与预过滤模块连接的责任,或“卸载”(OFF-LODED)该连接,防火墙就不再从该连接接收其它分组,直到该连接发生超时,或者接收到一个带有特殊话路控制字段值(表明话路结束)的分组为止,使得该连接被关闭。
例如,对于本发明的关于IP网络的优选实施例中,这样一个话路控制字段值是一个为分组设置的FIN/RST标志。
减少或甚至是消除一个来自被允许连接的分组所需的分析量的一个优点是:防火墙可选择地增加硬件加速。该硬件加速的优点是比基于软件的分组处理快得多,从而能显著提高防火墙系统的效率。另外,修改程序的硬件加速可保持快速有效地修改分组的能力,因为修改程序需要较少的修改分组的“智能”而处理速度更快,而分组分析程序则具有与之相反的特征。因此,可选和优选地、该预过滤模块以硬件实现。
根据本发明,提供一种用于加速分组过滤的系统,该系统包括:(a)一个传输一个分组的源节点;(b)一个接收该分组的目的节点;(c)一个插置于该源节点和目的节点之间的防火墙,用于根据至少一个规则执行分组过滤;以及(d)一个与防火墙通信的预过滤模块,用于从该防火墙接收至少一个指令并在防火墙之前接收该分组,使得如果该分组根据该至少一个指令被允许,则该预过滤模块处理该分组,或者该预过滤模块将该分组转发给防火墙进行处理。
根据本发明的另一个实施例,提供一种网络上的分组加速过滤系统,该系统包括:(a)一个位于该网络上的防火墙,用于根据至少一个规则在该分组上执行分组过滤;以及(b)一个位于该网络上并与防火墙通信的预过滤模块,用于从防火墙接收至少一个指令,该至少一个指令判定一个简单比较,该预过滤模块还在防火墙之前接收在网络上传输的分组,使得如果该分组根据该简单比较被允许,则该预过滤模块至少在该网络上传输该分组。
根据本发明的又一个实施例,提供一种在一个用于加速分组过滤的系统中使用的用于在防火墙之前接收分组的装置,其中该系统具有一个用于传输分组的网络和一个该网络上的用于过滤该分组的防火墙,该装置包括:(a)一个存储器,用于存储至少一个指令以分析来自防火墙的分组的至少一个参数,该至少一个指令包括标识该分组的至少一个参数;以及(b)一个分类引擎,用于分析该分组的至少一部分,并根据该至少一个指令将该分组的该至少一部分与该至少一个参数相比较。
根据本发明的再一个实施例,提供了一种与防火墙相连接的网络上加速分组过滤的方法,该方法包括下列步骤:(a)提供一个预过滤模块以在防火墙之前接收一个分组;(b)由该预过滤模块接收该分组;(c)判定该分组是否被允许;以及(d)如果该分组被允许,则由该预过滤模块处理该分组。
以下,术语“网络(network)”包括在任意两个或更多的允许数据传输的计算机装置之间的一种连接。
以下,术语“计算机装置(computational device)”包括但不限于装有操作系统如WindowsTM、或Linux的个人计算机(PC);MacintoshTM计算机;装有JAVATM-OS操作系统的计算机;诸如Sun MicrosystemsV及SiliconGraphicsTM的计算机工作站;以及其他一些装有UNIX操作系统版本如AIXTM或Sun MicrosystemsTM的SOLARISTM的其他计算机;任何其他已知和能得到的操作系统的计算机;任何型号的计算机;任何可连接到分组交换网络并有一个操作系统(包括但不限于VxWorksTM和PSOSTM)的装置;或任何可连接到分组交换网络的装置,该装置可传输及接收分组,并至少有一个数据处理器,例如一个网络处理器,包括但不限于一个桥接器、一个开关或一个路由器。以下术语“视窗(WindowsTM)”将包括但不限于由微软公司提供的WindowsNTTM、Windows98TM、Windows2000TM、WindowsCETM和上述操作系统的任何升级版本。
本发明的方法可被描述为由一个数据处理器执行的一系列步骤,这些方法可选择软件、硬件、固件或它们的结合来实现。对于本发明,可以用基本上任何一种合适的程序语言(本领域的普通技术人员可以容易地选择出来)来编写一个软件应用程序。所选择的程序语言应当与根据其执行软件应用程序的计算机装置相匹配。合适的程序语言的例子包括但不限于C、C++和JAVA。
附图说明
通过下面参照附图对本发明具体实施例的详细描述,可以更好地理解本发明的前述的和其他的目的、方面和优点。其中:
图1为本发明的一个系统的示意方框图;
图2为本发明的图1的预过滤模块的示例优选实施例的示意方框图;
图3为本发明的示例方法的流程图。
具体实施方式
本发明为一种通过增加一个具预过滤模块的防火墙加速分组过滤的系统、装置和方法。该预过滤模块执行一个关于该分组的简单比较,例如根据该分组是否是从一个已先前被防火墙允许的连接接收的。如果该分组是从这样一个被允许连接接收的,那么该预过滤模块就将该分组转发给其目的地,可选地,在分组上执行一个或多个动作。否则,该分组将被转发给防火墙进行处理。另外,优选地,如果这些分组带有需要防火墙干预的特殊的话路控制字段值,则该分组被转发给防火墙进行处理。例如,对于本发明的关于IP网络,特别是关于TCP/IP通信的IP网络的实施例中,这样的话路控制字段值包括一组该分组的SYN/FIN/RST标志,这样的话路控制字段值标明了携带有连接状态信息的分组,因此对防火墙判定该连接状态以进行分组的接收和分析很重要。可选地,如果该预过滤模块不能执行某些功能,则分片分组也被转发给防火墙,该某些功能为比如本发明的关于IP网络,特别是关于TCP/IP通信的IP网络的实施例中的虚拟合片(virtual defragment)功能。
一旦防火墙已判定一个连接被允许,或具有允许执行该简单比较的至少一个参数,则该防火墙就优选地把一个带有该新被允许分组的详细内容的信息发送给该预过滤模块。优选地,一旦防火墙转交与预过滤模块连接的责任,或“卸载”(OFF-LODED)该连接,则防火墙不再从该连接接收其他的分组,直到该连接发生超时(timeout),或者接收到一个带有特殊的话路控制字段值(表明话路结束,如在IP网络实施例中的FIN/RST标志)的分组为止,使得该连接被关闭。如果在一段预定时间内防火墙没有接收到一个分组则发生“超时”。
为了利用硬件加速的优点,该预过滤模块优选以硬件实现,这种硬件加速要比基于软件的分组处理快得多。因此,尽管该预过滤模块也能够以软件或固件实现,但是该预过滤模块优选以基于硬件的装置实施。可选地,为方便安装与操作起见,该预过滤模块及防火墙可作为一个组合装置实现,它们可以是一个增加于一个网络的网关节点的“黑匣子”,或者作为该网关节点的替代物。
本发明的系统、装置与方法的原理与操作可参考附图和相关说明得以更好的理解,应该理解的是这些附图仅为了说明本发明而给出的,并不用于限制本发明。虽然以下说明以IP网络特别是关于TCP/IP分组通信的IP网络为主展开,但应该理解的是仅为了说明本发明而给出的,并不用于以任何方式限制本发明。
现在参看附图,图1为本发明的一个系统的示意方框图,系统10设有一个被保护的分组交换网络12,使得数据以分组的形式传输。被保护的网络12由一个网关16与一个外部的分组交换网络14隔开,该网关16可选地为任何类型的计算机装置,这里也可称做“中间节点”。例如,外部网络14可选地为因特网,网关16通过一个硬件连接器,如图示的NIC17,与每一个外部网络14和被保护的网络12相连。
网关16操作一个用于执行分组分析和分组过滤的防火墙18。被允许从外部网络14通过网关16的分组接着被多个被保护的节点20中的一个接收,该被保护的节点20连接到被保护的网络12。这种网络通信是典型的双向,使得分组从被保护的网络12被网关16接收以传输给外部网络14,反之亦然。
防火墙18可优选地如前述的美国专利5,835,726及5,606,668所说明的那样实施。防火墙18设有一个分组过滤器22用于执行分组过滤。分组过滤器22依次优选地包括一个分析模块24用于分析分组、以及一个规则库26。规则库26优选包括一个或多个根据系统管理员或其他控制用户的偏爱所确定的规则。分析模块24将被分析的分组的内容抽出并与规则库26中的规则相比较。如果比较结果是根据规则库26该分组被允许,则分组过滤器22允许该分组进入被保护的网络12。
另选地,如果该分组根据规则库26不被允许,则可选地放弃该分组;如果规则库26不是特别允许该分组通过,则该分组也可被可选地判定为不被允许。
另外可选且优选的是,如果分组被接收,分组过滤器22设有一个修改模块28用于对分组进行修改。
防火墙18的其他可选功能包括:能够执行分组计数,以判定属于一个特定连接的所有的分组上被传输的数据量;能够修改分组内的地址;能够加密分组。具体的分组加密已在前述的美国专利5,835,726中有所描述,简言之,分组可选地被加密后在两防火墙18之间进行传输,使得分组被加密以通过外部网络14。例如,加密也可以可选地用于防火墙18和外部网络14的一个节点之间的通信。被加密的分组然后由接收方的防火墙18解密并被传递给被保护的网络12。因此,解密和传输的过程是自动的,并以一种对通信软件透明的方式进行。
防火墙18的这些设置按照前述的美国专利5,835,726及25,606,668优选地实施。但是,在被允许进入网关16之前,通过防火墙18传递所有的分组将会给防火墙18带来极大的计算负荷。因此,根据本发明,网关16也设置有一个在防火墙18之前接收分组的预过滤模块30,但是其优选地直接与被保护的网络12相连。就被允许进入被保护的网络12的分组而言,预过滤模块30也优选地从防火墙18接收指令。更优选地,这些指令由防火墙18根据先前接收的一个或多个相关分组的分析来确定,使得如果一个先前接收的相关分组已被允许进入被保护的网络12,则当前分组也应被允许进入被保护的网络12。因此,如果预过滤模块30判定当前分组被允许进入,那么优选地,预过滤模块30将该分组直接传递给被保护的网络12。
为了提高预过滤模块30的操作效率,优选地预过滤模块30只执行每个分组的限定分析。特别是,更加优选地,每个分组只有一部分被预过滤模块30分析。最优选地,预过滤模块30只根据一个简单比较分析每个分组。通过“简单比较”是指以一个或多个预定义参数的形式抽出信息,其中该预定义参数被与这些参数的一个预定义模式相比较。
在一个简单比较的具体优选实施例中,分组只在预过滤模块30能够判定该分组是否是通过一个允许的数据传输接收的之前被分析。这样一个允许的数据传输可以被称为是一个源节点和一个目标节点之间的一个连接,该源节点例如从外部网络14启动该连接,而该目标节点例如一个被保护的节点20接收该连接。可以理解为一旦该连接建立,该源节点和目标节点之间的通信可选地为双向的。
关于分组分析,一个“连接”是根据至少一个,优选为多个的描述分组所属数据传输的参数来确定的。这些参数的例子包括但不限于:源地址及该分组的端口、目标地址及该分组的端口、该分组的协议及分组被通过其接收的接口。该连接被用于对分组进行分类、并判定分组是否被允许出入或离开被保护的网络12。
防火墙18根据一个或多个先前被接收并被检查的分组确定每一个连接。防火墙18根据带有规则库26的分析模块24的输出检验分组的内容、判定来自相应连接的分组是否应被允许进入和/或离开被保护的网络12。另外,根据存储在规则库26的规则,分析模块24能够判定一个或多个与每一个连接关联的动作。这些动作的例子包括但不限于:执行计数动作以计数分组内的数据量、加密/解密分组、通过重写地址字段执行网络地址转换(NAT)等等。一个修改分组的优选实施例是,通过由预过滤模块30根据防火墙18的指令而分配给分组一个优先权号码来标记分组。该优先权号码确定了分组的传输顺序,从而确定其“优先权”。
防火墙18接着将相关指令传递给预过滤模块30,该指令至少涉及分组是否被允许进入被保护的网络12,而更优选地,还涉及来自该连接的后续分组所应采取的动作。
可选的且优选的,预过滤模块30执行一个防欺骗方法。因为预过滤模块30可选地被连接于多个网络,分组可来自于这些网络中的任何一个。该防欺骗方法判定标有最初来自某网络的IP分组是否真的来自那个网络。因为预过滤模块30知道哪个网络与哪个接口连接,所以预过滤模块30可判定从一个特定接口接收的一个分组是否被允许。
在一个加速器如预过滤模块30中实现防欺骗方法的最简单方式是:将有关网络接口的信息作为预过滤模块30能够得到的连接信息的一部分。因此,如果一个来自一个允许的源节点的分组被发送给一个允许的目的地,并且已通过预定接口到达,则该分组可被预过滤模块30处理。另选地且可选地,即使只有接口不正确,预过滤模块30也可判定分组违法,其应由防火墙18进一步检查分组是否有效。还有不将接口作为预过滤模块30的一部分的其他方式实现防欺骗方法,也包括在本发明的范围内。
如图2所示在预过滤模块30的优选实施例中,预过滤模块30是以硬件实现的,或至少是以固件实现的,而不是以纯软件实现的。硬件的好处是执行所需动作要比软件快得多,图2的示意方框图是一个预过滤模块30部件的基于逻辑而不是结构的示意图。例如,部件间的物理连接未图示,该连接可以是一个比如所有部件都连接在其上的PCI总线。可选地,部件可以通过基本上任何型号的内部和/或外部总线进行连接。
在该实施例中,预过滤模块30可被描述为一个“装置”,优选地设有一个存储器36。预过滤模块30设有一个连接数据库32用于存储来自防火墙18的指令,该数据库存储在存储器36中。连接数据库32存储至少一个或多个确定连接所需要的分组的参数,但也优选地存储至少一个要在来自该连接的分组上执行的动作。
预过滤模块30也优选地设有一个包括一个数据处理器的分类引擎38,以至少部分地分析来自分组的信息,并从连接数据库32取得信息。预过滤模块30也优选地设有一个修改器34,用于执行来自该连接的分组的一个或多个相关动作,该动作优选地存储于前述的连接数据库32内。
预过滤模块30也可选并优选地传输关于传送给防火墙18的至少一个分组的特定、选择信息,这些选择信息可选地包括至少但不限于前述的用于分析分组的参数中的一个。预过滤模块30与防火墙18之间的通信可选并优选地根据数个实施例之一进行。在第一个实施例中,在一个状态或事件驱动的实现中,预过滤模块30一接收这样的信息就主动通知防火墙18。另选地,在一个第二实施例中,在轮询的实现中,防火墙18询问预过滤模块30。例如,该轮询可选地在一个特定时间间隔过后、或者根据一个例如向系统管理者的对此信息的用户询问而执行。
另外,预过滤模块30也可优选地设置至少一个,而优选地为多个网络接口,如图示的MAC(媒体存取控制)40,它是发送及接收来自物理网络(未图示)的分组的硬件。预过滤模块30更优选地设有一个防火墙接口42,以向防火墙发送分组并从防火墙(未图示)接收分组。
操作流程优选地如下列所述。分组可选地从标为“MAC1”的MAC40接收,然后被传送给分类引擎38。在从存储器36内的数据库32中取得的信息和指令的协助下,分类引擎38然后就分析每个分组中的信息的至少一部分,并判定该分组是否被允许。如果该分组被允许,那么就传送给修改器34,以根据来自防火墙(未图示)的至少一个指令选择性地修改,使得如果不必修改,则防火墙就不发出该至少一个相关的指令。
防火墙可选地能够判定应向其发送一个分组的接口,如一个特定的MAC40。但是,应注意的是,虽然防火墙可指令预过滤模块30将分组转发给一个特定接口,但是如果支持路由选择,则该路由选择应被用于路由选择该分组的路径,而不是路由选择来自防火墙(未图示)的指令的路径。
另选地,分组可选且优选地被转发给防火墙。还有另选地是,在下述更加详细描述的特定条件中,分组可被放弃,特别是从防火墙接口42接收的分组(其可选地被类似地分析)。为了避免放弃可能不是IP分组的分组,可选并优选的是,关于一个或多个“错误”分组类型的信息可被存储在数据库32中,以便如果这些信息没有被存储于在数据库32中,则分组就彼确定为“不被允许的”。该“错误”分组类型的一个例子是一个ARP(address resolutionprotocol地址解析协议)分组。
从如图2所示的预过滤模块30的实现中可看到,分组可选地从一个外部源例如MAC40到达预过滤模块30,或者也可从防火墙接口42接收分组。如果分组从防火墙接口42接收,它可能已经由防火墙本身生成,或者也可能已经由主机的IP堆栈生成并转发。因此,可选并更优选的是,对于这样通过防火墙接口42所接收的分组,如果它们不被允许则预过滤模块30能够放弃它们,而不是将其转发给防火墙。因此,可选且优选地,至少部分地根据接收分组所通过的接口,执行预过滤模块30是放弃还是传送分组的判定。
当然,预过滤模块30也有包含在本发明的范围内的其他实现方法。
图3是用于操作本发明的一个示例方法的流程图。在步骤1,一个分组被预过滤模块接收。在步骤2,至少该分组的一个参数被该预过滤模块取得;在步骤3,至少一个参数被用于检查已知的连接,优选地通过在这些已知的连接表中进行查找来执行。
在步骤4a,如果找到该分组的一个入口,则该预过滤模块执行一个或多个为该连接所设定的动作;在步骤5a,该分组被转发给其目的地;如果该分组有特定的路控制字段值(如一组使分组经过IP网络被传递的SYN/FIN/RST标志),则将不执行步骤4a和5a,这种情况下,该分组被优选地转发给防火墙进行处理。该话路控制字段值标明携带的连接状态的信息的分组,因此为了判定该连接的状态,该话路控制字段值对于防火墙的接收及分析有重要意义。
可选地,如果该预过滤模块不能执行某些功能,比如本发明的关于IP网络,特别是关于TCP/IP通信的IP网络的实施例中的虚拟合片功能,则分片分组也被转发给防火墙。在IP分组变得太大而不能被传输,分组被分成多个较小的分组(叫做分片)之后,将执行虚拟合片功能。虚拟合片是将所有接收的分片重新组装成原先的大分组的过程。
为防止各种由分片所带来的攻击,优选地,本发明的预过滤模块,或者防火墙,放弃重复的分组分片。换句话说,如果一个先前接收的分片被再次接收,则该分片被放弃。
再回到图3的流程图,另选地,在步骤4b中,如果在连接表中未找到分组入口,那么该分组被转发给防火墙进行处理。在步骤5b中,如果防火墙判定该分组所属的连接被允许,则可选地防火墙发送带有关于新连接信息的消息给预过滤模块。该消息优选地包括一个标识新连接的关键字、及关于地址转换的信息和可选地关于加密的信息,二者均为包括该分组本身修改的程序。标识新连接的关键字优选地包括信息诸如:源IP地址及端口、目的IP地址及端口、协议字段、及可选地一个分组被预定通过其接收以进行防欺骗保护的接口。地址转换信息包括所转换的源IP地址及端口、和目的IP地址及端口。
根据本发明的优选实施例,一旦防火墙将该消息发送给该预过滤模块,则连接就会被“卸载”给预过滤模块,这样防火墙将不再接收该连接的任何分组。优选地,防火墙不再接收任何其他的分组,直到接收到该连接的一个带有特定话路控制字段值(表明话路结束,如在IP网络实施例中的FIN/RST标志)的分组为止。
更加优选的是,当在一个特定时间段内未接收到一个特定连接的分组时,就会发生超时。因为防火墙没看到该卸载的连接的任何分组,所以防火墙就会询问预过滤模块接收到该连接的分组的上一次时间,根据接收到的答复,防火墙再决定保留还是删除该连接。如果防火墙删除该连接,则优选地从预过滤模块的该表中删除该连接。
根据本发明的其他优选实施例,防火墙以规则时间间隔从预过滤模块接收修改的计数信息,该信息可选并优选地被预过滤模块发给防火墙,而不是使防火墙轮询预过滤模块。计数信息优选地包括:从计数信息最后一次被修改,以及从一个特定连接的分组被预过滤模块最后一次接收以来,预过滤模块所接收的该特定连接的分组及字节的数目。该信息然后在预过滤模块内被复位,可选且更优选地,如果预过滤模块删除该连接,则预过滤模块将该连接的上一次的计数信息发给防火墙。
应该理解的是上述说明仅仅用作例子,在本发明的精神和范围内还有许多其他的实施例。
Claims (30)
1、一种用于加速分组过滤的系统,该系统包括:
(a)一个源节点,用于传输一个分组;
(b)一个目的节点,用于接收所述分组;
(c)一个防火墙,插置于所述源节点和所述目的节点之间,用于根据至少一个规则执行分组过滤;以及
(d)一个预过滤模块,与所述防火墙通信,用于从所述防火墙接收至少一个指令并在所述防火墙之前接收所述分组,使得如果根据所述至少一个指令所述分组被允许,则所述预过滤模块处理所述分组,或者所述预过滤模块将所述分组转发给所述防火墙进行处理。
2、如权利要求1所述的系统,其中在所述源节点和所述目的节点之间的分组传输形成一个连接,且所述防火墙判定所述连接是否被允许,使得所述至少一个指令包括所述分组的至少一个用于标识一个被允许连接的参数,使得如果所述连接被允许,则所述预过滤模块处理所述分组。
3、如权利要求2所述的系统,其中,如果所述分组有一个选择的话路控制字段值,则所述防火墙从所述预过滤模块接收来自从所述被允许的连接的一个分组。
4、如权利要求2所述的系统,其中,所述至少一个用于标识所述被允许连接的参数包括用于所述分组的一个源地址和一个目的地址。
5、如权利要求4所述的系统,其中,所述至少一个用于标识所述被允许连接的参数进一步包括用于所述分组的一个源端口和一个目的端口。
6、如权利要求2所述的系统,其中,如果已经有一段预定时间没有接收到所述被允许连接的一个附加分组,则所述连接被所述防火墙删除。
7、如权利要求2所述的系统,其中,如果接收到一个用于所述连接的、具有表示连接状态信息的特定话路控制字段值的分组,则所述分组被转发给所述防火墙。
8、如权利要求2所述的系统,其中,所述预过滤模块进一步包括:
(i)一个连接数据库,用于存储所述分组的用于标识所述被允许连接的所述至少一个参数。
9、如权利要求8所述的系统,其中,所述预过滤模块进一步包括:
(ii)一个分类引擎,用于分析所述分组的至少一部分,并将所述分组的所述至少一部分与所述至少一个参数进行比较。
10、如权利要求9所述的系统,其中,所述预过滤模块进一步包括:
(iii)一个修改器,用于如果从所述被允许连接接收到所述分组,则在所述分组上执行至少一个动作,所述至少一个动作是根据来自所述防火墙的指令确定的。
11、如权利要求10所述的系统,其中,所述预过滤模块以一个硬件装置实施。
12、如权利要求10所述的系统,进一步包括:
(e)一个计算装置,插置于所述源节点和目的节点之间,其中所述预过滤模块和所述防火墙由所述计算装置操作。
13、一种在网络上用于加速分组过滤的系统,该系统包括:
(a)一个防火墙,位于该网络上,用于根据至少一个规则在分组上执行分组过滤;以及
(b)一个预过滤模块,位于该网络上并与所述防火墙通信,用于从所述防火墙接收至少一个指令,所述至少一个指令判定一个简单比较,还用于在所述防火墙之前接收在该网络上传输的分组,使得如果该分组根据所述简单比较被允许,则所述预过滤模块至少在该网络上传输该分组。
14、如权利要求13所述的系统,其中,如果该分组不被允许,那么,如果该分组是从该网络上接收的,则所述预过滤模块将该分组转发给所述防火墙进行处理;或者如果该分组是从所述防火墙接收的,则所述预过滤模块放弃该分组。
15、如权利要求13所述的系统,进一步包括:
(c)一个源节点,用于传输该分组;以及
(d)一个目的节点,用于接收该分组;
其中,在所述源节点和所述目的节点之间的分组传输形成一个连接,并且所述防火墙判定所述连接是否被允许,使得所述至少一个指令包括所述分组的至少一个用于标识一个被允许连接的参数,使得如果所述连接被允许,则所述预过滤模块至少在该网络上传输该分组。
16、如权利要求15所述的系统,其中,如果所述连接不是一个被允许的连接,则所述预过滤模块放弃该分组。
17、一种接收分组的装置,在一个具有一个用于传输分组的网络及一个在该网络上过滤该分组的防火墙的加速分组过滤系统中使用,并且在该防火墙之前接收该分组,该装置包括:
(a)一个存储器,用于存储至少一个指令以分析来自该防火墙的分组的至少一个参数,所述至少一个指令包括所述至少一个用于标识该分组的参数;以及
(b)一个分类引擎,用于分析该分组的至少一部分,并根据所述至少一个指令将该分组的所述至少一部分与所述至少一个参数进行比较。
18、如权利要求17所述的装置,进一步包括:
(c)一个修改器,用于如果该分组被允许则在该分组上执行至少一个动作,所述至少一个动作是根据来自所述防火墙的所述至少一个指令确定的。
19、一种在一个与一个防火墙连接的网络上用于加速分组过滤的方法,该方法包括下列步骤:
(a)提供一个预过滤模块,用于在防火墙之前接收一个分组;
(b)由所述预过滤模块接收所述分组;
(c)判定所述分组是否被允许;以及
(d)如果所述分组被允许,则所述预过滤模块处理所述分组。
20、如权利要求19所述的方法,进一步包括步骤:
(e)或者,将所述分组转发给该防火墙。
21、如权利要求20所述的方法,其中如果所述分组是从该网络上接收的,则执行步骤(e)。
22、如权利要求21所述的方法,其中如果所述分组是从该防火墙接收的,则放弃该分组。
23、如权利要求19所述的方法,其中步骤(d)包括以一个优先权号码标注所述分组的步骤。
24、如权利要求19所述的方法,其中如果该分组作为多个分片被接收,则步骤(d)包括判定一个分片是否为一个重复分片的步骤,使得如果所述分片为一个重复分片,则该方法进一步包括以下步骤:
(e)放弃所述重复分片。
25、如权利要求19所述的方法,其中步骤(c)是根据从该防火墙接收的至少一个指令判定的。
26、如权利要求25所述的方法,其中所述分组有一个目的地址,并且步骤(d)包括将所述分组转发给所述目的地址的步骤。
27、如权利要求26所述的方法,其中步骤(d)包括由所述预过滤模块在所述分组上执行至少一个动作的步骤,所述至少一个动作是根据来自该防火墙的一个指令确定的。
28、如权利要求25所述的方法,其中所述分组设有至少一个参数,所述至少一个指令根据所述至少一个参数标识所述分组为一个被允许分组,使得步骤(c)包括分析所述分组以取得所述至少一个参数的步骤。
29、如权利要求28所述的方法,其中该防火墙根据至少一个先前接收的分组的至少一个源地址和一个目的地址对所述至少一个先前接收的分组进行分类,所述源地址和所述目的地址一起形成一个连接,使得该防火墙将用于标识所述连接为一个被允许连接的所述源地址和所述目的地址作为所述至少一个指令发送给所述预过滤模块。
30、如权利要求29所述的方法,其中该网络与多个接口通信,所述预过滤模块与所述多个接口中的每一个相连,使得步骤(c)包括判定所述分组是否是从所述被允许连接及一个被允许接口接收的步骤,使得只有当所述分组通过所述被允许接口从所述被允许连接接收时,所述分组才被允许。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US09/517,276 US6496935B1 (en) | 2000-03-02 | 2000-03-02 | System, device and method for rapid packet filtering and processing |
| US09/517,276 | 2000-03-02 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1406351A true CN1406351A (zh) | 2003-03-26 |
| CN100474213C CN100474213C (zh) | 2009-04-01 |
Family
ID=24059131
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB018058892A Expired - Fee Related CN100474213C (zh) | 2000-03-02 | 2001-02-26 | 分组接收装置以及用于加速分组过滤的系统和方法 |
Country Status (17)
| Country | Link |
|---|---|
| US (1) | US6496935B1 (zh) |
| EP (1) | EP1266277B1 (zh) |
| JP (1) | JP3954385B2 (zh) |
| KR (1) | KR20020092972A (zh) |
| CN (1) | CN100474213C (zh) |
| AT (1) | ATE312463T1 (zh) |
| AU (2) | AU2001241717B2 (zh) |
| BR (1) | BR0109035A (zh) |
| CA (1) | CA2401577C (zh) |
| DE (1) | DE60115615T2 (zh) |
| EA (1) | EA004423B1 (zh) |
| HU (1) | HUP0300039A2 (zh) |
| IL (2) | IL151522A0 (zh) |
| NO (1) | NO324958B1 (zh) |
| NZ (1) | NZ520984A (zh) |
| PL (1) | PL357181A1 (zh) |
| WO (1) | WO2001065343A1 (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1574839B (zh) * | 2003-06-06 | 2010-05-26 | 微软公司 | 多层防火墙结构 |
| CN1574792B (zh) * | 2003-06-06 | 2010-06-02 | 微软公司 | 用于执行网络防火墙的基于多层的方法 |
| CN1881950B (zh) * | 2005-05-26 | 2010-12-15 | 阿尔卡特公司 | 使用频谱分析的分组分类加速 |
| CN105376167A (zh) * | 2009-10-28 | 2016-03-02 | 惠普公司 | 分布式分组流检查和处理 |
| CN114095450A (zh) * | 2020-08-02 | 2022-02-25 | 特拉维夫迈络思科技有限公司 | 有状态过滤系统和方法 |
Families Citing this family (195)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7089588B2 (en) * | 2000-01-19 | 2006-08-08 | Reynolds And Reynolds Holdings, Inc. | Performance path method and apparatus for exchanging data among systems using different data formats |
| US6854063B1 (en) * | 2000-03-03 | 2005-02-08 | Cisco Technology, Inc. | Method and apparatus for optimizing firewall processing |
| US6732209B1 (en) * | 2000-03-28 | 2004-05-04 | Juniper Networks, Inc. | Data rate division among a plurality of input queues |
| DE10025929B4 (de) * | 2000-05-26 | 2006-02-16 | Harman Becker Automotive Systems (Becker Division) Gmbh | Verfahren zum Übertragen von Daten |
| US7120931B1 (en) * | 2000-08-31 | 2006-10-10 | Cisco Technology, Inc. | System and method for generating filters based on analyzed flow data |
| US7272643B1 (en) | 2000-09-13 | 2007-09-18 | Fortinet, Inc. | System and method for managing and provisioning virtual routers |
| US8250357B2 (en) | 2000-09-13 | 2012-08-21 | Fortinet, Inc. | Tunnel interface for securing traffic over a network |
| US7111072B1 (en) | 2000-09-13 | 2006-09-19 | Cosine Communications, Inc. | Packet routing system and method |
| US7574495B1 (en) | 2000-09-13 | 2009-08-11 | Fortinet, Inc. | System and method for managing interworking communications protocols |
| US7487232B1 (en) * | 2000-09-13 | 2009-02-03 | Fortinet, Inc. | Switch management system and method |
| US7389358B1 (en) * | 2000-09-13 | 2008-06-17 | Fortinet, Inc. | Distributed virtual system to support managed, network-based services |
| US7054930B1 (en) * | 2000-10-26 | 2006-05-30 | Cisco Technology, Inc. | System and method for propagating filters |
| US6922786B1 (en) * | 2000-10-31 | 2005-07-26 | Nortel Networks Limited | Real-time media communications over firewalls using a control protocol |
| US7131140B1 (en) * | 2000-12-29 | 2006-10-31 | Cisco Technology, Inc. | Method for protecting a firewall load balancer from a denial of service attack |
| US6731652B2 (en) * | 2001-02-14 | 2004-05-04 | Metro Packet Systems Inc. | Dynamic packet processor architecture |
| KR100949510B1 (ko) * | 2001-02-20 | 2010-03-24 | 아이볼네트워크 인코포레이티드 | 방화벽을 통과하여 데이터전송을 허용하기 위한 장치와 방법 |
| US7664119B2 (en) * | 2001-03-30 | 2010-02-16 | Intel Corporation | Method and apparatus to perform network routing |
| US7277953B2 (en) * | 2001-04-18 | 2007-10-02 | Emc Corporation | Integrated procedure for partitioning network data services among multiple subscribers |
| US6816455B2 (en) * | 2001-05-09 | 2004-11-09 | Telecom Italia S.P.A. | Dynamic packet filter utilizing session tracking |
| JP2002358239A (ja) * | 2001-06-04 | 2002-12-13 | Fuji Electric Co Ltd | 著作権保護システム |
| US7181547B1 (en) | 2001-06-28 | 2007-02-20 | Fortinet, Inc. | Identifying nodes in a ring network |
| US20040001433A1 (en) * | 2001-07-18 | 2004-01-01 | Gram Charles Andrew | Interactive control of network devices |
| US7134012B2 (en) * | 2001-08-15 | 2006-11-07 | International Business Machines Corporation | Methods, systems and computer program products for detecting a spoofed source address in IP datagrams |
| WO2003025766A1 (en) * | 2001-09-14 | 2003-03-27 | Nokia Inc. | System and method for packet forwarding |
| US7409706B1 (en) | 2001-10-02 | 2008-08-05 | Cisco Technology, Inc. | System and method for providing path protection of computer network traffic |
| KR100452143B1 (ko) * | 2001-10-16 | 2004-10-08 | 주식회사 플랜티넷 | 비대칭 트래픽 흐름 방식을 이용한 웹 필터링 장치 및방법 |
| JP2003242714A (ja) * | 2001-10-24 | 2003-08-29 | Fuji Electric Co Ltd | 情報記録媒体、その媒体の製造方法、情報処理装置、並びに、著作権管理システム |
| US9392002B2 (en) * | 2002-01-31 | 2016-07-12 | Nokia Technologies Oy | System and method of providing virus protection at a gateway |
| US7216260B2 (en) * | 2002-03-27 | 2007-05-08 | International Business Machines Corporation | Method, system and program product for dynamically detecting errant data sequences and performing corresponding actions |
| US7185365B2 (en) * | 2002-03-27 | 2007-02-27 | Intel Corporation | Security enabled network access control |
| CN1152531C (zh) * | 2002-04-23 | 2004-06-02 | 华为技术有限公司 | 分片报文的网络访问控制方法 |
| US20030200463A1 (en) * | 2002-04-23 | 2003-10-23 | Mccabe Alan Jason | Inter-autonomous system weighstation |
| US7120797B2 (en) * | 2002-04-24 | 2006-10-10 | Microsoft Corporation | Methods for authenticating potential members invited to join a group |
| AUPS214802A0 (en) * | 2002-05-01 | 2002-06-06 | Firebridge Systems Pty Ltd | Firewall with stateful inspection |
| US20030212901A1 (en) * | 2002-05-13 | 2003-11-13 | Manav Mishra | Security enabled network flow control |
| US7203192B2 (en) | 2002-06-04 | 2007-04-10 | Fortinet, Inc. | Network packet steering |
| US7340535B1 (en) * | 2002-06-04 | 2008-03-04 | Fortinet, Inc. | System and method for controlling routing in a virtual router system |
| US7376125B1 (en) * | 2002-06-04 | 2008-05-20 | Fortinet, Inc. | Service processing switch |
| US7116665B2 (en) * | 2002-06-04 | 2006-10-03 | Fortinet, Inc. | Methods and systems for a distributed provider edge |
| US7177311B1 (en) * | 2002-06-04 | 2007-02-13 | Fortinet, Inc. | System and method for routing traffic through a virtual router-based network switch |
| US7161904B2 (en) | 2002-06-04 | 2007-01-09 | Fortinet, Inc. | System and method for hierarchical metering in a virtual router based network switch |
| US9088494B2 (en) * | 2002-06-26 | 2015-07-21 | Avaya Communication Israel Ltd. | Packet fragmentation prevention |
| US7146638B2 (en) * | 2002-06-27 | 2006-12-05 | International Business Machines Corporation | Firewall protocol providing additional information |
| US6983323B2 (en) * | 2002-08-12 | 2006-01-03 | Tippingpoint Technologies, Inc. | Multi-level packet screening with dynamically selected filtering criteria |
| US7096383B2 (en) * | 2002-08-29 | 2006-08-22 | Cosine Communications, Inc. | System and method for virtual router failover in a network routing system |
| US20100138909A1 (en) * | 2002-09-06 | 2010-06-03 | O2Micro, Inc. | Vpn and firewall integrated system |
| US7315890B2 (en) * | 2002-10-02 | 2008-01-01 | Lockheed Martin Corporation | System and method for managing access to active devices operably connected to a data network |
| US7440573B2 (en) * | 2002-10-08 | 2008-10-21 | Broadcom Corporation | Enterprise wireless local area network switching system |
| US20040078422A1 (en) * | 2002-10-17 | 2004-04-22 | Toomey Christopher Newell | Detecting and blocking spoofed Web login pages |
| US7266120B2 (en) | 2002-11-18 | 2007-09-04 | Fortinet, Inc. | System and method for hardware accelerated packet multicast in a virtual routing system |
| TW200412101A (en) * | 2002-12-23 | 2004-07-01 | Shaw-Hwa Hwang | Directly peer-to peer transmission protocol between two virtual network |
| MY141160A (en) * | 2003-01-13 | 2010-03-31 | Multimedia Glory Sdn Bhd | System and method of preventing the transmission of known and unknown electronic content to and from servers or workstations connected to a common network |
| JP4257151B2 (ja) * | 2003-02-28 | 2009-04-22 | 富士通株式会社 | パケット制御システム、パケット制御装置、パケット中継装置およびパケット制御プログラム |
| TW200420021A (en) * | 2003-03-19 | 2004-10-01 | Etrunk Technologies Inc | Network packet routing control device |
| US7325002B2 (en) * | 2003-04-04 | 2008-01-29 | Juniper Networks, Inc. | Detection of network security breaches based on analysis of network record logs |
| US7760729B2 (en) | 2003-05-28 | 2010-07-20 | Citrix Systems, Inc. | Policy based network address translation |
| EP1634175B1 (en) | 2003-05-28 | 2015-06-24 | Citrix Systems, Inc. | Multilayer access control security system |
| US7308711B2 (en) * | 2003-06-06 | 2007-12-11 | Microsoft Corporation | Method and framework for integrating a plurality of network policies |
| US6985920B2 (en) * | 2003-06-23 | 2006-01-10 | Protego Networks Inc. | Method and system for determining intra-session event correlation across network address translation devices |
| US7620070B1 (en) * | 2003-06-24 | 2009-11-17 | Nvidia Corporation | Packet processing with re-insertion into network interface circuitry |
| US20050022017A1 (en) | 2003-06-24 | 2005-01-27 | Maufer Thomas A. | Data structures and state tracking for network protocol processing |
| US7305705B2 (en) * | 2003-06-30 | 2007-12-04 | Microsoft Corporation | Reducing network configuration complexity with transparent virtual private networks |
| US20050144290A1 (en) * | 2003-08-01 | 2005-06-30 | Rizwan Mallal | Arbitrary java logic deployed transparently in a network |
| US7522594B2 (en) * | 2003-08-19 | 2009-04-21 | Eye Ball Networks, Inc. | Method and apparatus to permit data transmission to traverse firewalls |
| US7720095B2 (en) | 2003-08-27 | 2010-05-18 | Fortinet, Inc. | Heterogeneous media packet bridging |
| US7464181B2 (en) * | 2003-09-11 | 2008-12-09 | International Business Machines Corporation | Method for caching lookups based upon TCP traffic flow characteristics |
| US7290278B2 (en) | 2003-10-02 | 2007-10-30 | Aol Llc, A Delaware Limited Liability Company | Identity based service system |
| US7594018B2 (en) * | 2003-10-10 | 2009-09-22 | Citrix Systems, Inc. | Methods and apparatus for providing access to persistent application sessions |
| US20050100019A1 (en) * | 2003-11-10 | 2005-05-12 | Sahita Ravi L. | Rule based packet processing engine |
| US7978716B2 (en) | 2003-11-24 | 2011-07-12 | Citrix Systems, Inc. | Systems and methods for providing a VPN solution |
| US7792147B1 (en) * | 2004-02-09 | 2010-09-07 | Symantec Corporation | Efficient assembly of fragmented network traffic for data security |
| KR100609170B1 (ko) * | 2004-02-13 | 2006-08-02 | 엘지엔시스(주) | 네트워크 보안 시스템 및 그 동작 방법 |
| US6972226B2 (en) * | 2004-03-31 | 2005-12-06 | Infineon Technologies Ag | Charge-trapping memory cell array and method for production |
| US20050268331A1 (en) * | 2004-05-25 | 2005-12-01 | Franck Le | Extension to the firewall configuration protocols and features |
| US7757074B2 (en) | 2004-06-30 | 2010-07-13 | Citrix Application Networking, Llc | System and method for establishing a virtual private network |
| US8495305B2 (en) | 2004-06-30 | 2013-07-23 | Citrix Systems, Inc. | Method and device for performing caching of dynamically generated objects in a data communication network |
| US8739274B2 (en) | 2004-06-30 | 2014-05-27 | Citrix Systems, Inc. | Method and device for performing integrated caching in a data communication network |
| EP2267951B1 (en) | 2004-07-23 | 2016-12-28 | Citrix Systems, Inc. | Method for routing packets from an endpoint to a gateway |
| AU2005266943C1 (en) | 2004-07-23 | 2011-01-06 | Citrix Systems, Inc. | Systems and methods for optimizing communications between network nodes |
| US7865944B1 (en) * | 2004-09-10 | 2011-01-04 | Juniper Networks, Inc. | Intercepting GPRS data |
| GB0420684D0 (en) * | 2004-09-17 | 2004-10-20 | Oostendorp Jeroen | Platform for intelligent Email distribution |
| US7499419B2 (en) | 2004-09-24 | 2009-03-03 | Fortinet, Inc. | Scalable IP-services enabled multicast forwarding with efficient resource utilization |
| US7711835B2 (en) | 2004-09-30 | 2010-05-04 | Citrix Systems, Inc. | Method and apparatus for reducing disclosure of proprietary data in a networked environment |
| US7748032B2 (en) | 2004-09-30 | 2010-06-29 | Citrix Systems, Inc. | Method and apparatus for associating tickets in a ticket hierarchy |
| US8613048B2 (en) | 2004-09-30 | 2013-12-17 | Citrix Systems, Inc. | Method and apparatus for providing authorized remote access to application sessions |
| KR100624483B1 (ko) * | 2004-10-06 | 2006-09-18 | 삼성전자주식회사 | 네트워크에서의 차등 침입탐지 장치 및 방법 |
| US7808904B2 (en) * | 2004-11-18 | 2010-10-05 | Fortinet, Inc. | Method and apparatus for managing subscriber profiles |
| JP2006174350A (ja) * | 2004-12-20 | 2006-06-29 | Fujitsu Ltd | 通信装置 |
| US7810089B2 (en) * | 2004-12-30 | 2010-10-05 | Citrix Systems, Inc. | Systems and methods for automatic installation and execution of a client-side acceleration program |
| US8706877B2 (en) | 2004-12-30 | 2014-04-22 | Citrix Systems, Inc. | Systems and methods for providing client-side dynamic redirection to bypass an intermediary |
| US8954595B2 (en) | 2004-12-30 | 2015-02-10 | Citrix Systems, Inc. | Systems and methods for providing client-side accelerated access to remote applications via TCP buffering |
| US8549149B2 (en) | 2004-12-30 | 2013-10-01 | Citrix Systems, Inc. | Systems and methods for providing client-side accelerated access to remote applications via TCP multiplexing |
| US8700695B2 (en) | 2004-12-30 | 2014-04-15 | Citrix Systems, Inc. | Systems and methods for providing client-side accelerated access to remote applications via TCP pooling |
| US8255456B2 (en) | 2005-12-30 | 2012-08-28 | Citrix Systems, Inc. | System and method for performing flash caching of dynamically generated objects in a data communication network |
| US8024568B2 (en) | 2005-01-28 | 2011-09-20 | Citrix Systems, Inc. | Method and system for verification of an endpoint security scan |
| US7665128B2 (en) | 2005-04-08 | 2010-02-16 | At&T Corp. | Method and apparatus for reducing firewall rules |
| US7634584B2 (en) | 2005-04-27 | 2009-12-15 | Solarflare Communications, Inc. | Packet validation in virtual network interface architecture |
| US20070097976A1 (en) * | 2005-05-20 | 2007-05-03 | Wood George D | Suspect traffic redirection |
| US8631483B2 (en) * | 2005-06-14 | 2014-01-14 | Texas Instruments Incorporated | Packet processors and packet filter processes, circuits, devices, and systems |
| CN100448227C (zh) * | 2005-08-30 | 2008-12-31 | 杭州华三通信技术有限公司 | 业务流的识别方法 |
| KR100753815B1 (ko) * | 2005-08-31 | 2007-08-31 | 한국전자통신연구원 | 패킷 차단 장치 및 그 방법 |
| US8347373B2 (en) | 2007-05-08 | 2013-01-01 | Fortinet, Inc. | Content filtering of remote file-system access protocols |
| US7685298B2 (en) | 2005-12-02 | 2010-03-23 | Citrix Systems, Inc. | Systems and methods for providing authentication credentials across application environments |
| JP4545085B2 (ja) * | 2005-12-08 | 2010-09-15 | 富士通株式会社 | ファイアウォール装置 |
| US8730834B2 (en) * | 2005-12-23 | 2014-05-20 | General Electric Company | Intelligent electronic device with embedded multi-port data packet controller |
| US7921184B2 (en) | 2005-12-30 | 2011-04-05 | Citrix Systems, Inc. | System and method for performing flash crowd caching of dynamically generated objects in a data communication network |
| US8301839B2 (en) | 2005-12-30 | 2012-10-30 | Citrix Systems, Inc. | System and method for performing granular invalidation of cached dynamically generated objects in a data communication network |
| US8584226B2 (en) | 2006-01-26 | 2013-11-12 | Iorhythm, Inc. | Method and apparatus for geographically regulating inbound and outbound network communications |
| US7606225B2 (en) * | 2006-02-06 | 2009-10-20 | Fortinet, Inc. | Integrated security switch |
| US7784086B2 (en) * | 2006-03-08 | 2010-08-24 | Panasonic Corporation | Method for secure packet identification |
| JP4823728B2 (ja) * | 2006-03-20 | 2011-11-24 | 富士通株式会社 | フレーム中継装置及びフレーム検査装置 |
| US8151323B2 (en) * | 2006-04-12 | 2012-04-03 | Citrix Systems, Inc. | Systems and methods for providing levels of access and action control via an SSL VPN appliance |
| US8122492B2 (en) * | 2006-04-21 | 2012-02-21 | Microsoft Corporation | Integration of social network information and network firewalls |
| US8079073B2 (en) * | 2006-05-05 | 2011-12-13 | Microsoft Corporation | Distributed firewall implementation and control |
| US8176157B2 (en) * | 2006-05-18 | 2012-05-08 | Microsoft Corporation | Exceptions grouping |
| US7603333B2 (en) * | 2006-06-14 | 2009-10-13 | Microsoft Corporation | Delayed policy evaluation |
| US7865878B2 (en) * | 2006-07-31 | 2011-01-04 | Sap Ag | Method and apparatus for operating enterprise software from a detachable storage device |
| US8533846B2 (en) | 2006-11-08 | 2013-09-10 | Citrix Systems, Inc. | Method and system for dynamically associating access rights with a resource |
| US7688821B2 (en) * | 2006-11-21 | 2010-03-30 | O2Micro International Ltd. | Method and apparatus for distributing data packets by using multi-network address translation |
| US8984620B2 (en) * | 2007-07-06 | 2015-03-17 | Cyberoam Technologies Pvt. Ltd. | Identity and policy-based network security and management system and method |
| US10540651B1 (en) * | 2007-07-31 | 2020-01-21 | Intuit Inc. | Technique for restricting access to information |
| US8060927B2 (en) * | 2007-10-31 | 2011-11-15 | Microsoft Corporation | Security state aware firewall |
| JP5223376B2 (ja) * | 2008-02-29 | 2013-06-26 | 日本電気株式会社 | リモートアクセスシステム、方法及びプログラム |
| US20090235355A1 (en) * | 2008-03-17 | 2009-09-17 | Inventec Corporation | Network intrusion protection system |
| US8261317B2 (en) * | 2008-03-27 | 2012-09-04 | Juniper Networks, Inc. | Moving security for virtual machines |
| JP5153480B2 (ja) * | 2008-06-27 | 2013-02-27 | 三菱電機株式会社 | ゲートウェイ装置およびパケットフィルタリング方法 |
| US7908376B2 (en) * | 2008-07-31 | 2011-03-15 | Broadcom Corporation | Data path acceleration of a network stack |
| US8769665B2 (en) * | 2009-09-29 | 2014-07-01 | Broadcom Corporation | IP communication device as firewall between network and computer system |
| US8656492B2 (en) * | 2011-05-16 | 2014-02-18 | General Electric Company | Systems, methods, and apparatus for network intrusion detection |
| WO2012163587A1 (en) * | 2011-05-31 | 2012-12-06 | Alcatel Lucent | Distributed access control across the network firewalls |
| US8881258B2 (en) * | 2011-08-24 | 2014-11-04 | Mcafee, Inc. | System, method, and computer program for preventing infections from spreading in a network environment using dynamic application of a firewall policy |
| US8724496B2 (en) * | 2011-11-30 | 2014-05-13 | Broadcom Corporation | System and method for integrating line-rate application recognition in a switch ASIC |
| US8681794B2 (en) | 2011-11-30 | 2014-03-25 | Broadcom Corporation | System and method for efficient matching of regular expression patterns across multiple packets |
| US9503327B2 (en) * | 2012-07-24 | 2016-11-22 | Nec Corporation | Filtering setting support device, filtering setting support method, and medium |
| WO2014077614A1 (en) * | 2012-11-19 | 2014-05-22 | Samsung Sds Co., Ltd. | Anti-malware system, method of processing data in the same, and computing device |
| US9319351B1 (en) * | 2012-11-26 | 2016-04-19 | Marvell Israel (M.I.S.L.) Ltd. | Mechanism for wire-speed stateful packet inspection in packet processors |
| US10033693B2 (en) | 2013-10-01 | 2018-07-24 | Nicira, Inc. | Distributed identity-based firewalls |
| US9276904B2 (en) | 2014-02-20 | 2016-03-01 | Nicira, Inc. | Specifying point of enforcement in a firewall rule |
| US9755981B2 (en) | 2014-03-11 | 2017-09-05 | Vmware, Inc. | Snooping forwarded packets by a virtual machine |
| US9384033B2 (en) | 2014-03-11 | 2016-07-05 | Vmware, Inc. | Large receive offload for virtual machines |
| US9742682B2 (en) | 2014-03-11 | 2017-08-22 | Vmware, Inc. | Large receive offload for virtual machines |
| US9906494B2 (en) | 2014-03-31 | 2018-02-27 | Nicira, Inc. | Configuring interactions with a firewall service virtual machine |
| US9503427B2 (en) | 2014-03-31 | 2016-11-22 | Nicira, Inc. | Method and apparatus for integrating a service virtual machine |
| US9215210B2 (en) | 2014-03-31 | 2015-12-15 | Nicira, Inc. | Migrating firewall connection state for a firewall service virtual machine |
| US9774707B2 (en) | 2014-06-04 | 2017-09-26 | Nicira, Inc. | Efficient packet classification for dynamic containers |
| US9825913B2 (en) | 2014-06-04 | 2017-11-21 | Nicira, Inc. | Use of stateless marking to speed up stateful firewall rule processing |
| US10110712B2 (en) | 2014-06-04 | 2018-10-23 | Nicira, Inc. | Efficient packet classification for dynamic containers |
| WO2015187201A1 (en) * | 2014-06-04 | 2015-12-10 | Nicira, Inc. | Use of stateless marking to speed up stateful firewall rule processing |
| US9729512B2 (en) | 2014-06-04 | 2017-08-08 | Nicira, Inc. | Use of stateless marking to speed up stateful firewall rule processing |
| US9419897B2 (en) | 2014-06-30 | 2016-08-16 | Nicira, Inc. | Methods and systems for providing multi-tenancy support for Single Root I/O Virtualization |
| US9692698B2 (en) | 2014-06-30 | 2017-06-27 | Nicira, Inc. | Methods and systems to offload overlay network packet encapsulation to hardware |
| US9692727B2 (en) | 2014-12-02 | 2017-06-27 | Nicira, Inc. | Context-aware distributed firewall |
| US9891940B2 (en) | 2014-12-29 | 2018-02-13 | Nicira, Inc. | Introspection method and apparatus for network access filtering |
| US9755903B2 (en) | 2015-06-30 | 2017-09-05 | Nicira, Inc. | Replicating firewall policy across multiple data centers |
| US10324746B2 (en) | 2015-11-03 | 2019-06-18 | Nicira, Inc. | Extended context delivery for context-based authorization |
| US11038845B2 (en) | 2016-02-23 | 2021-06-15 | Nicira, Inc. | Firewall in a virtualized computing environment using physical network interface controller (PNIC) level firewall rules |
| WO2017178888A1 (en) | 2016-04-12 | 2017-10-19 | Guardknox Cyber Technologies Ltd. | Specially programmed computing systems with associated devices configured to implement secure lockdowns and methods of use thereof |
| US10348685B2 (en) | 2016-04-29 | 2019-07-09 | Nicira, Inc. | Priority allocation for distributed service rules |
| US10135727B2 (en) | 2016-04-29 | 2018-11-20 | Nicira, Inc. | Address grouping for distributed service rules |
| US11171920B2 (en) | 2016-05-01 | 2021-11-09 | Nicira, Inc. | Publication of firewall configuration |
| US11425095B2 (en) | 2016-05-01 | 2022-08-23 | Nicira, Inc. | Fast ordering of firewall sections and rules |
| US11258761B2 (en) | 2016-06-29 | 2022-02-22 | Nicira, Inc. | Self-service firewall configuration |
| US11088990B2 (en) | 2016-06-29 | 2021-08-10 | Nicira, Inc. | Translation cache for firewall configuration |
| US11115385B1 (en) * | 2016-07-27 | 2021-09-07 | Cisco Technology, Inc. | Selective offloading of packet flows with flow state management |
| US10333983B2 (en) | 2016-08-30 | 2019-06-25 | Nicira, Inc. | Policy definition and enforcement for a network virtualization platform |
| US10938837B2 (en) | 2016-08-30 | 2021-03-02 | Nicira, Inc. | Isolated network stack to manage security for virtual machines |
| US10193862B2 (en) | 2016-11-29 | 2019-01-29 | Vmware, Inc. | Security policy analysis based on detecting new network port connections |
| EP3549015B1 (en) | 2016-12-06 | 2021-10-27 | Nicira, Inc. | Performing context-rich attribute-based services on a host |
| US10812451B2 (en) | 2016-12-22 | 2020-10-20 | Nicira, Inc. | Performing appID based firewall services on a host |
| US10581960B2 (en) | 2016-12-22 | 2020-03-03 | Nicira, Inc. | Performing context-rich attribute-based load balancing on a host |
| US10805332B2 (en) | 2017-07-25 | 2020-10-13 | Nicira, Inc. | Context engine model |
| US11032246B2 (en) | 2016-12-22 | 2021-06-08 | Nicira, Inc. | Context based firewall services for data message flows for multiple concurrent users on one machine |
| US10803173B2 (en) | 2016-12-22 | 2020-10-13 | Nicira, Inc. | Performing context-rich attribute-based process control services on a host |
| US10503536B2 (en) | 2016-12-22 | 2019-12-10 | Nicira, Inc. | Collecting and storing threat level indicators for service rule processing |
| US10313926B2 (en) | 2017-05-31 | 2019-06-04 | Nicira, Inc. | Large receive offload (LRO) processing in virtualized computing environments |
| US10778651B2 (en) | 2017-11-15 | 2020-09-15 | Nicira, Inc. | Performing context-rich attribute-based encryption on a host |
| US10802893B2 (en) | 2018-01-26 | 2020-10-13 | Nicira, Inc. | Performing process control services on endpoint machines |
| US10862773B2 (en) | 2018-01-26 | 2020-12-08 | Nicira, Inc. | Performing services on data messages associated with endpoint machines |
| US11388141B1 (en) * | 2018-03-28 | 2022-07-12 | Juniper Networks, Inc | Apparatus, system, and method for efficiently filtering packets at network devices |
| US11310202B2 (en) | 2019-03-13 | 2022-04-19 | Vmware, Inc. | Sharing of firewall rules among multiple workloads in a hypervisor |
| US11539718B2 (en) | 2020-01-10 | 2022-12-27 | Vmware, Inc. | Efficiently performing intrusion detection |
| US11962518B2 (en) | 2020-06-02 | 2024-04-16 | VMware LLC | Hardware acceleration techniques using flow selection |
| US11108728B1 (en) | 2020-07-24 | 2021-08-31 | Vmware, Inc. | Fast distribution of port identifiers for rule processing |
| US11829793B2 (en) | 2020-09-28 | 2023-11-28 | Vmware, Inc. | Unified management of virtual machines and bare metal computers |
| US11636053B2 (en) | 2020-09-28 | 2023-04-25 | Vmware, Inc. | Emulating a local storage by accessing an external storage through a shared port of a NIC |
| US11593278B2 (en) | 2020-09-28 | 2023-02-28 | Vmware, Inc. | Using machine executing on a NIC to access a third party storage not supported by a NIC or host |
| US12021759B2 (en) | 2020-09-28 | 2024-06-25 | VMware LLC | Packet processing with hardware offload units |
| US11736565B2 (en) | 2020-09-28 | 2023-08-22 | Vmware, Inc. | Accessing an external storage through a NIC |
| US11792134B2 (en) | 2020-09-28 | 2023-10-17 | Vmware, Inc. | Configuring PNIC to perform flow processing offload using virtual port identifiers |
| US11995024B2 (en) | 2021-12-22 | 2024-05-28 | VMware LLC | State sharing between smart NICs |
| US11863376B2 (en) | 2021-12-22 | 2024-01-02 | Vmware, Inc. | Smart NIC leader election |
| US12229578B2 (en) | 2021-12-22 | 2025-02-18 | VMware LLC | Teaming of smart NICs |
| US11928062B2 (en) | 2022-06-21 | 2024-03-12 | VMware LLC | Accelerating data message classification with smart NICs |
| US11899594B2 (en) | 2022-06-21 | 2024-02-13 | VMware LLC | Maintenance of data message classification cache on smart NIC |
| US11928367B2 (en) | 2022-06-21 | 2024-03-12 | VMware LLC | Logical memory addressing for network devices |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5400331A (en) * | 1993-04-28 | 1995-03-21 | Allen-Bradley Company, Inc. | Communication network interface with screeners for incoming messages |
| US5623601A (en) * | 1994-11-18 | 1997-04-22 | Milkway Networks Corporation | Apparatus and method for providing a secure gateway for communication and data exchanges between networks |
| US5802320A (en) * | 1995-05-18 | 1998-09-01 | Sun Microsystems, Inc. | System for packet filtering of data packets at a computer network interface |
| US5648965A (en) * | 1995-07-07 | 1997-07-15 | Sun Microsystems, Inc. | Method and apparatus for dynamic distributed packet tracing and analysis |
| US5801753A (en) * | 1995-08-11 | 1998-09-01 | General Instrument Corporation Of Delaware | Method and apparatus for providing an interactive guide to events available on an information network |
| US6147976A (en) * | 1996-06-24 | 2000-11-14 | Cabletron Systems, Inc. | Fast network layer packet filter |
| US5828833A (en) * | 1996-08-15 | 1998-10-27 | Electronic Data Systems Corporation | Method and system for allowing remote procedure calls through a network firewall |
| US6119236A (en) * | 1996-10-07 | 2000-09-12 | Shipley; Peter M. | Intelligent network security device and method |
| US6073178A (en) * | 1996-12-09 | 2000-06-06 | Sun Microsystems, Inc. | Method and apparatus for assignment of IP addresses |
| US6070242A (en) * | 1996-12-09 | 2000-05-30 | Sun Microsystems, Inc. | Method to activate unregistered systems in a distributed multiserver network environment |
| US5835727A (en) * | 1996-12-09 | 1998-11-10 | Sun Microsystems, Inc. | Method and apparatus for controlling access to services within a computer network |
| US5848233A (en) * | 1996-12-09 | 1998-12-08 | Sun Microsystems, Inc. | Method and apparatus for dynamic packet filter assignment |
| US6208651B1 (en) * | 1997-06-10 | 2001-03-27 | Cornell Research Foundation, Inc. | Method and system for masking the overhead of protocol layering |
| US6158008A (en) * | 1997-10-23 | 2000-12-05 | At&T Wireless Svcs. Inc. | Method and apparatus for updating address lists for a packet filter processor |
| US6092110A (en) * | 1997-10-23 | 2000-07-18 | At&T Wireless Svcs. Inc. | Apparatus for filtering packets using a dedicated processor |
| WO1999048261A2 (en) * | 1998-03-18 | 1999-09-23 | Secure Computing Corporation | System and method for controlling interactions between networks |
| US6092108A (en) * | 1998-03-19 | 2000-07-18 | Diplacido; Bruno | Dynamic threshold packet filtering of application processor frames |
| AU5567499A (en) * | 1998-08-17 | 2000-03-06 | Vitesse Semiconductor Corporation | Packet processing architecture and methods |
-
2000
- 2000-03-02 US US09/517,276 patent/US6496935B1/en not_active Expired - Lifetime
-
2001
- 2001-02-26 CA CA002401577A patent/CA2401577C/en not_active Expired - Fee Related
- 2001-02-26 NZ NZ520984A patent/NZ520984A/xx unknown
- 2001-02-26 JP JP2001563973A patent/JP3954385B2/ja not_active Expired - Lifetime
- 2001-02-26 BR BR0109035-6A patent/BR0109035A/pt not_active Application Discontinuation
- 2001-02-26 IL IL15152201A patent/IL151522A0/xx active IP Right Grant
- 2001-02-26 EA EA200200814A patent/EA004423B1/ru not_active IP Right Cessation
- 2001-02-26 AU AU2001241717A patent/AU2001241717B2/en not_active Ceased
- 2001-02-26 CN CNB018058892A patent/CN100474213C/zh not_active Expired - Fee Related
- 2001-02-26 WO PCT/US2001/005925 patent/WO2001065343A1/en active IP Right Grant
- 2001-02-26 AU AU4171701A patent/AU4171701A/xx active Pending
- 2001-02-26 DE DE60115615T patent/DE60115615T2/de not_active Expired - Lifetime
- 2001-02-26 KR KR1020027011384A patent/KR20020092972A/ko not_active Application Discontinuation
- 2001-02-26 PL PL01357181A patent/PL357181A1/xx unknown
- 2001-02-26 AT AT01912998T patent/ATE312463T1/de not_active IP Right Cessation
- 2001-02-26 HU HU0300039A patent/HUP0300039A2/hu unknown
- 2001-02-26 EP EP01912998A patent/EP1266277B1/en not_active Expired - Lifetime
-
2002
- 2002-08-28 IL IL151522A patent/IL151522A/en unknown
- 2002-08-29 NO NO20024113A patent/NO324958B1/no not_active IP Right Cessation
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1574839B (zh) * | 2003-06-06 | 2010-05-26 | 微软公司 | 多层防火墙结构 |
| CN1574792B (zh) * | 2003-06-06 | 2010-06-02 | 微软公司 | 用于执行网络防火墙的基于多层的方法 |
| CN1881950B (zh) * | 2005-05-26 | 2010-12-15 | 阿尔卡特公司 | 使用频谱分析的分组分类加速 |
| CN105376167A (zh) * | 2009-10-28 | 2016-03-02 | 惠普公司 | 分布式分组流检查和处理 |
| CN114095450A (zh) * | 2020-08-02 | 2022-02-25 | 特拉维夫迈络思科技有限公司 | 有状态过滤系统和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| ATE312463T1 (de) | 2005-12-15 |
| CN100474213C (zh) | 2009-04-01 |
| CA2401577A1 (en) | 2001-09-07 |
| EP1266277B1 (en) | 2005-12-07 |
| NO20024113L (no) | 2002-11-01 |
| IL151522A (en) | 2007-12-03 |
| CA2401577C (en) | 2007-09-18 |
| JP3954385B2 (ja) | 2007-08-08 |
| KR20020092972A (ko) | 2002-12-12 |
| EA004423B1 (ru) | 2004-04-29 |
| AU2001241717B2 (en) | 2005-12-22 |
| EP1266277A4 (en) | 2003-07-02 |
| NZ520984A (en) | 2003-02-28 |
| HUP0300039A2 (en) | 2003-05-28 |
| DE60115615T2 (de) | 2006-07-06 |
| IL151522A0 (en) | 2003-04-10 |
| WO2001065343A1 (en) | 2001-09-07 |
| NO20024113D0 (no) | 2002-08-29 |
| JP2003525557A (ja) | 2003-08-26 |
| EA200200814A1 (ru) | 2003-02-27 |
| EP1266277A1 (en) | 2002-12-18 |
| DE60115615D1 (de) | 2006-01-12 |
| US6496935B1 (en) | 2002-12-17 |
| AU4171701A (en) | 2001-09-12 |
| PL357181A1 (en) | 2004-07-26 |
| NO324958B1 (no) | 2008-01-14 |
| BR0109035A (pt) | 2003-06-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1406351A (zh) | 快速分组过滤与处理系统、装置及方法 | |
| CN1143224C (zh) | 安全网络协议系统和方法 | |
| Srinivasan et al. | Fast and scalable layer four switching | |
| CN1575462A (zh) | 在第2层装置中实现第3层/第7层防火墙的方法和设备 | |
| CN103581363B (zh) | 对恶意域名和非法访问的控制方法及装置 | |
| US9246926B2 (en) | Packet validation using watermarks | |
| CN1153416C (zh) | 分组交换机通信方法 | |
| US8190767B1 (en) | Data structures and state tracking for network protocol processing | |
| US6717943B1 (en) | System and method for routing and processing data packets | |
| CN1311660C (zh) | 服务器设备,通信系统和给网络分配安全性策略的方法 | |
| AU2001241717A1 (en) | System, device and method for rapid packet filtering and processing | |
| US8336093B2 (en) | Abnormal IPSec packet control system using IPSec configuration and session data, and method thereof | |
| MXPA04005464A (es) | Arquitectura de la pared de fuego estratificada. | |
| CN1640090A (zh) | 分布式服务拒绝攻击的安全的自动化的响应装置与方法 | |
| WO2002091674A1 (en) | Network traffic flow control system | |
| CN101052046A (zh) | 一种用于防火墙的防病毒方法及装置 | |
| CN101056306A (zh) | 网络设备及其访问控制方法 | |
| KR20080021677A (ko) | 데이터 프로세싱 시스템 | |
| CN1476208A (zh) | 一种支持地址转换应用网关的方法 | |
| CN1411208A (zh) | 防范网络攻击的方法 | |
| CN1640094A (zh) | 利用转换连接来管理无源网络设备的系统和方法 | |
| US20050071493A1 (en) | SNMP packet filtering for printing devices | |
| US6925507B1 (en) | Device and method for processing a sequence of information packets | |
| CN1471283A (zh) | 虚拟专用拨号网业务数据包的转发方法 | |
| CN1514584A (zh) | 数字信息穿透nat/fw的方法、系统和控制流程 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090401 Termination date: 20150226 |
|
| EXPY | Termination of patent right or utility model |