[go: up one dir, main page]

EA004423B1 - Система, устройство и способ быстрой фильтрации и обработки пакетов - Google Patents

Система, устройство и способ быстрой фильтрации и обработки пакетов Download PDF

Info

Publication number
EA004423B1
EA004423B1 EA200200814A EA200200814A EA004423B1 EA 004423 B1 EA004423 B1 EA 004423B1 EA 200200814 A EA200200814 A EA 200200814A EA 200200814 A EA200200814 A EA 200200814A EA 004423 B1 EA004423 B1 EA 004423B1
Authority
EA
Eurasian Patent Office
Prior art keywords
packet
firewall
connection
filtering module
network
Prior art date
Application number
EA200200814A
Other languages
English (en)
Other versions
EA200200814A1 (ru
Inventor
Гонен Финк
Амир Харуш
Original Assignee
Чек Пойнт Софтвеа Текнолоджиз Лтд.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Чек Пойнт Софтвеа Текнолоджиз Лтд. filed Critical Чек Пойнт Софтвеа Текнолоджиз Лтд.
Publication of EA200200814A1 publication Critical patent/EA200200814A1/ru
Publication of EA004423B1 publication Critical patent/EA004423B1/ru

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0254Stateful filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Image Processing (AREA)
  • Auxiliary Devices For And Details Of Packaging Control (AREA)
  • Supplying Of Containers To The Packaging Station (AREA)

Abstract

Способ, устройство и система фильтрации пакетов (фиг. 1) путем дополнения брандмауэра (18) модулем (30) предварительной фильтрации. Модуль (30) предварительной фильтрации выполняет некоторый ограниченный набор действий над пакетами, если эти пакеты принимаются через определенное соединение, в противном случае пакеты передаются для обработки в брандмауэр (18).

Description

Область техники и уровень техники
Настоящее изобретение относится к системе, устройству и способу быстрой фильтрации пакетов в сети с пакетной коммутацией и, в частности, к такой системе, устройству и способу, где эффективность фильтрации пакетов повышается благодаря осуществлению посеансовой фильтрации.
В вычислительной среде большинства организаций связность и защищенность являются двумя противоречивыми задачами. Типичная современная вычислительная система строится вокруг передачи информации в сетях с обеспечением прозрачного доступу к множеству разнообразных сервисов. Глобальная доступность этих сервисов является, пожалуй, важнейшей особенностью современных решений в области вычислительных систем. Потребность в связно сти имеется как внутри организации, так и извне.
Защита сетевых сервисов от несанкционированного использования - вопрос первостепенной важности для любой организации. По мере роста потребности в повышении защищенности, с точки зрения администрирования приоритетными становятся средства управления доступом к сетевым ресурсам. Для экономии средств и сохранения уровня производительности управление доступом должно быть простым в конфигурировании и прозрачным для пользователей и приложений. Важными факторами являются также минимизация затрат на установку и времени простоя из-за неисправностей.
Фильтрация пакетов - это способ, позволяющий обеспечить необходимую связность и в то же время обеспечивающий должную безопасность посредством контроля передаваемого трафика, предотвращая тем самым попытки несанкционированного обмена данными как в пределах отдельной сети, так и между сетями, соединенными друг с другом.
В патентах США № 5,835,726 (дата подачи 17 июля 1996 г.) и 5,606,668 (дата подачи 15 декабря 1993 г.), включенных в данный текст посредством ссылки, как если бы они были полностью раскрыты в нем, описываются способы защиты сети путем контролирования входящего и исходящего потоков пакетов данных в компьютерной сети. Контролирование потока пакетов осуществляется путем фильтрования пакетов, осуществляемого в соответствии с определяемой пользователем базой правил, которые преобразуются в набор команд языка фильтрации. Каждое правило в этой базе правил определяет источник адресата, сервис, а также определяет, принять или отвергнуть данный пакет и следует ли зарегистрировать, зашифровать и/или аутентифицировать данное событие. Такой набор команд языка фильтрации устанавливается и исполняется на подсистемах контроля, устанавливаемых в компьютерах, выполняющих функции брандмауэров. Для определения того, следует ли разрешать пакету прохождение через брандмауэр, эти подсистемы контроля выполняют полную проверку пакета (т.н. 81а1е£и1 1пкрес1юп). Брандмауэры устанавливают в компьютерной сети таким образом, чтобы весь подлежащий защите входящий и исходящий сетевой трафик обязательно проходил через брандмауэр. Таким образом, пакеты фильтруются по мере поступления в сеть и выхода из нее в соответствии с правилами, входящими в упомянутую базу правил.
В соответствии с этими известными решениями, упомянутая подсистема контроля действует как виртуальная машина для фильтрации пакетов, определяющая, проверяя пакет за пакетом, отвергать или принимать данный пакет. Если пакет отвергается, его удаляют. Если пакет принимается, он может быть затем модифицирован. Модификация может включать шифрование, дешифрирование, генерирование подписи, проверку подписи, трансляцию адреса. Все модификации производятся в соответствии с содержимым упомянутой базы правил.
К сожалению, одним из недостатков упомянутого известного способа является потребность в значительных вычислительных ресурсах для компьютера, реализующего функции брандмауэра. Эти известные способы фильтрации пакетов требуют отдельного анализа каждого пакета с выполнением многочисленных различных сравнений в соответствии с набором правил, согласно которым определяется возможность прохождения пакета через брандмауэр. Однако после установления через данный брандмауэр сеанса связи или соединения между двумя узлами необходимость в последующем тщательном анализе в большинстве случаев может отсутствовать. Таким образом, смягчение или даже полный отказ от постоянного анализа пакетов, поступающих через санкционированное соединение, существенно снизило бы потребность в вычислительных ресурсах брандмауэра и ускорило бы процесс фильтрации пакетов, обеспечивая при этом безопасность защищаемой системы.
Таким образом, существует необходимость и потребность в системе, устройстве и способе быстрой фильтрации пакетов в зависимости от соединения, через которое принимается пакет, так что в случае поступления пакета через санкционированное соединение необходимость в полном анализе снижалась бы или даже вовсе отпадала с сохранением при этом возможности быстрой и эффективной модификации пакетов факультативно посредством аппаратного ускорения процесса модификации.
Сущность изобретения
Настоящее изобретение относится к системе, устройству и способу ускорения фильтрации пакетов в сети с пакетной коммутацией, предпочтительно в ΙΡ-сети, путем дополнения брандмауэра модулем предварительной фильт рации. Модуль предварительной фильтрации выполняет над пакетами ограниченный набор действий, который зависит от того, принимаются ли эти пакеты через соединение, которое ранее уже было санкционировано брандмауэром. Если пакеты принимаются через такое санкционированное соединение, модуль предварительной фильтрации передает пакеты адресату, факультативно выполняя над этими пакетами одно или более действий. В противном случае пакеты передаются для обработки в брандмауэр. Предпочтительно после того как брандмауэр передаст ответственность за данное соединение модулю предварительной фильтрации или сгрузит соединение, брандмауэр не принимает последующих пакетов через это соединение до наступления тайм-аута для данного соединения или приема пакета с некоторым определенным значением поля управления сеансом, указывающим на завершение сеанса, после чего данное соединение закрывается.
Например, в предпочтительном варианте осуществления настоящего изобретения с ΙΡсетями таким значением поля управления сеансом является установленный флаг ΕΙΝ/Κ.8Τ пакета.
Одно из преимуществ сокращения объема проверок, применяемых для поступающих через санкционированное соединение пакетов, или даже полного отказа от таких проверок, заключается в том, что брандмауэр может быть факультативно дополнен аппаратным ускорителем. Преимущество такого аппаратного ускорителя заключается в том, что он намного быстрее обработчика пакетов, реализованного с помощью программных средств; благодаря этому можно существенно повысить производительность брандмауэрной системы. Кроме того, аппаратное ускорение процесса модификации может способствовать более быстрой и эффективной модификации пакетов, поскольку процесс модификации пакетов в этом случае требует меньшей интеллектуальности, но осуществляется с большей производительностью, тогда как для процесса анализа пакетов справедливо обратное. Таким образом факультативно и предпочтительно упомянутый модуль предварительной фильтрации реализуется аппаратно.
Согласно настоящему изобретению предлагается система для ускоренной фильтрации пакетов, включающая в себя:
(a) узел-источник для передачи пакета;
(b) узел-адресат для приема упомянутого пакета;
(c) размещенный между узлом-источником и узлом-адресатом брандмауэр для осуществления фильтрации пакетов в соответствии с по меньшей мере одним правилом и (б) соединенный с брандмауэром модуль предварительной фильтрации для приема по меньшей мере одной команды из брандмауэра и приема упомянутого пакета ранее, чем его смог бы принять брандмауэр, так что в случае, если в соответствии с упомянутой по меньшей мере одной командой упомянутый пакет является санкционированным, то обработку данного пакета осуществляет модуль предварительной фильтрации, тогда как в противном случае для обработки упомянутого пакета последний передается модулем предварительной фильтрации в брандмауэр.
В соответствии с другим вариантом осуществления настоящего изобретения предлагается система для ускоренной фильтрации пакета в сети, включающая в себя:
(a) установленный в данной сети брандмауэр для осуществления фильтрации пакетов применительно к упомянутому пакету в соответствии с по меньшей мере одним правилом и (b) установленный в данной сети модуль предварительной фильтрации, соединенный с упомянутым брандмауэром, для приема из упомянутого брандмауэра по меньшей мере одной команды, определяющей некоторое простое сравнение, и для приема передаваемого по сети пакета ранее, чем его смог бы принять брандмауэр, так что в случае, если в соответствии с результатом упомянутого простого сравнения данный пакет является санкционированным, модуль предварительной фильтрации, по меньшей мере, передает данный пакет в упомянутую сеть.
В соответствии с еще одним вариантом осуществления настоящего изобретения предлагается устройство для использования в системе ускоренной фильтрации пакетов, включающей в себя сеть для передачи пакета и установленный в этой сети брандмауэр для фильтрации упомянутого пакета, причем данное устройство выполнено с возможностью приема упомянутого пакета ранее, чем его смог бы принять брандмауэр, и содержит:
(a) память для хранения по меньшей мере одной команды из брандмауэра для анализа по меньшей мере одного параметра пакета, причем упомянутая по меньшей мере одна команда включает в себя упомянутый по меньшей мере один параметр для идентификации пакета и (b) подсистему классификации для анализа по меньшей мере части пакета и для сравнения упомянутой по меньшей мере части пакета с упомянутым по меньшей мере одним параметром в соответствии с упомянутой по меньшей мере одной командой.
В соответствии с еще одним вариантом осуществления настоящего изобретения предлагается способ ускоренной фильтрации пакетов в сети с использованием брандмауэра, включающий следующие операции:
(a) установку модуля предварительной фильтрации для приема пакета ранее, чем его смог бы принять брандмауэр;
(b) прием упомянутого пакета модулем предварительной фильтрации;
(с) определение того, является ли данный пакет санкционированным; и (б) обработку пакета модулем предварительной фильтрации в том случае, если данный пакет является санкционированным.
Термин сеть, как он используется в данном тексте, включает в себя любое соединение между любыми двумя или более вычислительными устройствами, позволяющее передавать данные.
Термин вычислительное устройство, как он используется в данном тексте, включает в себя, в том числе (но не исключительно), персональные компьютеры (ПК), снабженные операционной системой, такой как νίη6θ№ или Ь1пих; компьютеры МаснИокН; компьютеры с ΙΆνΆ-Θδ в качестве операционной системы; рабочие станции, такие как компьютеры 8нп Мюгокуйетк и 8Шсоп СгарЫск, и другие компьютеры, снабженные какой-либо разновидностью операционной системы υΝΙΧ, например, ΑΙΧ или 8ОЬАК1§ компании 8ип М1сгокук1етк; любые другие известные и имеющиеся на рынке операционные системы; компьютеры любых типов; любые устройства, которые можно подключить к сети с пакетной коммутацией и которые снабжены операционной системой, в том числе (но не исключительно) Vx\Vо^кк и Р8О8; или любое другое устройство, которое можно подключить к сети, способное передавать и принимать пакеты, и которое снабжено, по меньшей мере, процессором обработки данных, таким как, например, сетевой процессор, в том числе (но не исключительно) мост, коммутатор или маршрутизатор. Термин ^1пбо^к, как он используется в данном тексте, охватывает (но не исключительно) \Ушбо\ск ΝΤ, \Ушбо\ск 98, \Утбо\ск 2000, \Ушбо\\'8 СЕ и любые обновленные версии этих операционных систем компании Мюгокой Согр. (США).
Предлагаемый согласно настоящему изобретению способ можно было бы описать как последовательность операций, выполняемых процессором обработки данных, и, как таковой, он факультативно мог бы быть реализован с помощью программных, аппаратных или микропрограммных (йгтгаге) средств, либо с помощью комбинации таких средств. Для целей настоящего изобретения, программные приложения могут быть написаны на практически любом подходящем языке программирования, который легко может быть выбран рядовым специалистом в данной области. Выбранный язык программирования должен быть совместимым с вычислительным устройством, на котором будет выполняться программное приложение. Примерами подходящих языков программирования являются (но не исключительно) С, С++ и 1аха.
Краткое описание чертежей
Вышеуказанные и другие цели, аспекты и преимущества легче будет понять из после дующего подробного описания предпочтительного варианта осуществления настоящего изобретения, со ссылками на прилагаемые чертежи, на которых:
фиг. 1 - блок-схема предлагаемой согласно настоящему изобретению системы;
фиг. 2 - блок-схема примера показанного на фиг. 1 модуля предварительной фильтрации, предлагаемого согласно настоящему изобретению, которому отдается предпочтение; и фиг. 3 - блок-схема примера способа, предлагаемого согласно настоящему изобретению.
Подробное описание изобретения
Настоящее изобретение относится к системе, устройству и способу ускорения фильтрации пакетов путем дополнения брандмауэра модулем предварительной фильтрации. Модуль предварительной фильтрации выполняет простое сравнение в отношении пакетов, например, проверяя, принимаются ли пакеты через соединение, которое было ранее санкционировано брандмауэром. Если пакеты принимаются через такое санкционированное соединение, модуль предварительной фильтрации передает их адресату, факультативно осуществляя с этими пакетами одно или несколько действий. В противном случае пакеты передаются для обработки в брандмауэр. Кроме того, предпочтительно пакеты передаются для обработки в брандмауэр в том случае, если они содержат определенные значения поля управления сеансом, требующие вмешательства брандмауэра. Например, для предпочтительного варианта осуществления настоящего изобретения, в котором используются ΙΡ-сети, и, в частности, ТСР/1Р-трафик, такие значения поля управления сеансом включают в себя установленный флаг 8ΥΝ/ΡΙΝ/Β8Τ данного пакета. Такие значения поля управления сеансом указывают, что соответствующие пакеты транспортируют информацию о состоянии соединения, и поэтому брандмауэру важно их принять и проанализировать, чтобы определить состояние данного соединения. Факультативно в брандмауэр также пересылаются фрагменты пакетов в случае если модуль предварительной фильтрации не может выполнить определенные функции, такие как виртуальная дефрагментация для предпочтительного варианта осуществления настоящего изобретения, в котором используются ΙΡ-сети и, в частности, 1Ртрафик.
Определив, что соединение санкционировано, или определив по меньшей мере один параметр для выполнения простого сравнения другим путем, брандмауэр предпочтительно передает в модуль предварительной фильтрации сообщение, включающее в себя сведения о новых санкционированных пакетах. Предпочтительно после того как брандмауэр передаст ответственность за данное соединение модулю предварительной фильтрации или сгрузит со единение, брандмауэр не принимает другие пакеты, поступающие через это соединение, до наступления тайм-аута для данного соединения или до приема пакета с некоторым определенным значением поля управления сеансом, указывающим на завершение сеанса, например, для предпочтительного варианта осуществления с ΙΡ-сетями, имеющего установленный флаг ΡΙΝ/Ρ8Τ. так что данное соединение закрывается. Тайм-аут наступает в случае, если в течение некоторого заданного времени брандмауэром не будет принято ни одного пакета.
Предлагаемый модуль предварительной фильтрации предпочтительно реализуется аппаратно, чтобы воспользоваться преимуществами аппаратного ускорения. Такое аппаратное ускорение обладает тем преимуществом, что оно намного быстрее обработки пакетов, реализованной программными средствами. Поэтому модуль предварительной фильтрации предпочтительно выполняется как аппаратно реализованное устройство, хотя альтернативно можно было бы реализовать его с помощью программных или микропрограммных средств. Факультативно модуль предварительной фильтрации и брандмауэр можно было бы реализовать как комбинированное устройство, которое могло бы быть черным ящиком, добавляемым к узлушлюзу, или, альтернативно, используемым вместо последнего, для упрощения установки и эксплуатации.
Организацию и работу системы, устройства и способа, предлагаемых согласно настоящему изобретению, можно будет лучше понять, рассматривая чертежи и прилагаемое описание, при этом следует иметь в виду, что эти чертежи приведены исключительно в иллюстративных целях и не предполагают какого-либо ограничения объема изобретения. Хотя последующее описание сосредоточено на ΙΡ-сетях и, в частности, на пакетном трафике ТСР/ΙΡ, следует иметь в виду, что это сделано исключительно в иллюстративных целях и не предполагает каких-либо ограничений объема изобретения.
Обратимся теперь к чертежам. На фиг. 1 представлена блок-схема предлагаемой согласно настоящему изобретению системы. Система 10 включает в себя защищенную сеть 12, являющуюся сетью с пакетной коммутацией, так что данные передаются в ней в виде пакетов. Защищенная сеть 12 отделена от внешней сети 14 с пакетной коммутацией шлюзом 16, которым факультативно могло бы быть вычислительное устройство любого типа, именуемым в данном тексте также промежуточным узлом. Внешняя сеть 14 в одном из вариантов может быть, например, сетью Интернет. Шлюз 16 подключен к внешней сети 14 и к защищенной сети 12 через аппаратный соединитель, показанный как сетевой адаптер (МС) 17.
Шлюз 16 использует брандмауэр 18 для осуществления анализа и фильтрации пакетов.
Пакеты, прохождение которых через шлюз 16 из внешней сети 14 санкционируется, затем принимаются одним из множества защищенных узлов 20, подключенных к защищенной сети 12. Такой сетевой трафик обычно двунаправленный, так что пакеты принимаются шлюзом 16 из защищенной сети 12 для передачи во внешнюю сеть 14 и наоборот.
Брандмауэр 18 предпочтительно реализован так, как было раскрыто в патентах США № 5,835,726 и 5,606,668. Брандмауэр 18 имеет фильтр 22 для осуществления фильтрации пакетов. Фильтр 22 для фильтрации пакетов, в свою очередь, предпочтительно состоит из анализирующего модуля 24 для анализа пакетов и базы 26 правил. База 26 правил предпочтительно содержит одно или несколько правил, определенных в соответствии с предпочтениями системного администратора или другого пользователяадминистратора. Анализирующий модуль 24 извлекает и сравнивает содержимое анализируемых пакетов с правилами базы 26 правил. Если по результатам сравнения пакет признается санкционированным согласно базе 26 правил, фильтр 22 для фильтрации пакетов санкционирует передачу данного пакета в защищенную сеть 12.
С другой стороны, если пакет является несанкционированным согласно базе 26 правил, то в одном из вариантов пакет удаляется. В одном из вариантов пакет может также быть определен как несанкционированный в случае, если база 26 правил не дает непосредственного разрешения на прохождение пакета.
Также факультативно и предпочтительно фильтр 22 для фильтрации пакетов содержит модифицирующий модуль 28 для модификации пакета в случае, если он принят.
Другие факультативные особенности брандмауэра 18 включают возможность ведения учета пакетов для определения количества данных, передаваемых во всех пакетах через определенное соединение; возможность изменения адреса(ов) внутри пакета и возможность шифрования пакетов. Шифрование пакетов было подробно описано ранее в патенте США № 5,835,726. Вкратце, факультативно пакеты можно шифровать для передачи между двумя брандмауэрами 18, так что пакеты проходят по внешней сети 14 в зашифрованном виде. В одном из вариантов шифрование также используется, например, для обмена данными между брандмауэром 18 и узлом внешней сети 14. Зашифрованные пакеты затем дешифруются принимающим брандмауэром 18 и передаются в защищенную сеть 12. Таким образом, процессы шифрования и передачи автоматизированы и могут выполняться способом, прозрачным для осуществляющего обмен данными программного обеспечения.
Эти особенности брандмауэра 18 предпочтительно реализуются в соответствии со сведе ниями, раскрытыми в патентах США № 5,835,726 и 5,606,668. Однако пропускание всех пакетов через брандмауэр 18 для санкционирования их прохода в шлюз 16 требует значительных затрат вычислительных ресурсов брандмауэра 18. Поэтому согласно настоящему изобретению шлюз 16 дополнительно снабжен модулем 30 предварительной фильтрации, принимающим пакеты ранее, чем их смог бы принять брандмауэр 18, и предпочтительно непосредственно соединенным с защищенной сетью
12. Модуль 30 предварительной фильтрации также предпочтительно получает из брандмауэра 18 команды относительно того, для каких пакетов проход в защищенную сеть 12 санкционирован. Более предпочтительно эти команды формируются брандмауэром 18 на основе анализа одного или нескольких ранее принятых родственных пакетов, так что если некоторому ранее принятому родственному пакету был санкционирован вход в защищенную сеть 12, то текущему пакету также следует санкционировать вход в защищенную сеть 12. Таким образом, если модуль 30 предварительной фильтрации определяет, что вход для текущего пакета санкционирован, то он предпочтительно передает этот пакет непосредственно в защищенную сеть 12.
Для того чтобы повысить эффективность работы модуля 30 предварительной фильтрации, предпочтительно модуль 30 предварительной фильтрации выполняется с возможностью осуществления лишь ограниченного анализа каждого пакета. А именно, более предпочтительно модуль 30 предварительной фильтрации анализирует лишь некоторую часть каждого пакета. Наиболее предпочтительно модуль 30 предварительной фильтрации анализирует каждый пакет лишь путем простого сравнения. Под простым сравнением понимается извлечение информации в виде одного или нескольких предварительно определенных параметров, которые сравниваются с некоторой предварительно заданной группой-шаблоном таких параметров.
В особенно предпочтительном примере простого сравнения анализ пакета осуществляется лишь до тех пор, пока модуль 30 предварительной фильтрации сможет определить, принадлежит ли поступивший пакет к санкционировано передаваемым данным. Такая санкционированная передача может быть названа соединением между узлом-источником, инициирующим соединение, например, из внешней сети 14, и узлом-адресатом, принимающим это соединение, например, защищенным узлом 20. Разумеется, после установления соединения обмен данными между узлом-источником и узлом-адресатом может факультативно осуществляться в обоих направлениях.
Применительно к анализу пакетов соединение определяется в соответствии с по мень шей мере одним параметром, а предпочтительно в соответствии с множеством параметров, которые описывают передачу данных, в рамках которой передается данный пакет. К примерам этих параметров относятся (но не ограничиваясь ими) адрес и порт источника данного пакета; адрес и порт адресата данного пакета; протокол для данного пакета и интерфейс, из которого данный пакет был принят. Соединение используется для классификации пакета и для определения того, санкционировано ли прохождение данного пакета в защищенную сеть 12 или его выход из нее.
Брандмауэр 18 определяет каждое соединение на основании анализа одного или нескольких ранее принятых и проверенных пакетов. Брандмауэр 18 изучает содержимое такого пакета или пакетов и на основании информации на выходе анализирующего модуля 24 с помощью базы 26 правил определяет, следует ли санкционировать прохождение пакетов, поступивших через соответствующее соединение, в защищенную сеть 12 и/или их выход из нее. Кроме того, основываясь на правилах, хранящихся в базе 26 правил, анализирующий модуль 24 может определить одно или несколько действий, которые следует ассоциировать с каждым соединением. К примерам таких действий относятся (но не ограничиваясь ими) ведение учета с целью подсчета количества данных в пакете, шифрование/дешифрирование пакета, выполнение трансляции сетевых адресов (ΝΑΤ) путем перезаписывания адресных полей и т.п. Предпочтительным примером модификации пакета является маркировка пакета путем присвоения пакету модулем 30 предварительной фильтрации номера приоритета в соответствии с командами брандмауэра 18. Этот номер приоритета задает очередность передачи пакета, то есть его приоритетность.
Брандмауэр 18 затем передает в модуль 30 предварительной фильтрации соответствующие команды, касающиеся по меньшей мере того, санкционировано ли прохождение данного пакета в защищенную сеть 12 и более предпочтительно касающиеся действий, которые должны быть выполнены с последующими пакетами, поступающими через это соединение.
Факультативно и предпочтительно модуль 30 предварительной фильтрации реализует также функцию антиспуфинг. Поскольку модуль 30 предварительной фильтрации может быть факультативно подключен к нескольким сетям, пакеты могут приходить из любой из этих сетей. Функция антиспуфинг определяет, действительно ли ΙΡ-пакет, указанный как исходящий из определенной сети, поступил из этой сети. Так как модулю 30 предварительной фильтрации известно, какая сеть подключена к какому интерфейсу, модуль 30 предварительной фильтрации может определить, санкционирован ли пакет, принятый из определенного интерфейса.
Простейший способ реализации функции антиспуфинг в ускорителе, таком как модуль 30 предварительной фильтрации, состоит в том, чтобы сделать информацию, касающуюся сетевого интерфейса, частью информации о соединении, предоставляемой модулю 30 предварительной фильтрации. Таким образом, если пакет приходит из санкционированного узлаисточника, подлежит передаче санкционированному адресату и поступил через тот интерфейс, что и ожидалось, данный пакет может быть обработан модулем 30 предварительной фильтрации. С другой стороны, факультативно, даже при несоответствии одного только интерфейса модуль 30 предварительной фильтрации может определить, что данный пакет является нарушителем и должен быть дополнительно проверен брандмауэром 18. Существуют и другие способы реализации функции антиспуфинг, без сохранения касающейся интерфейса информации как части сохраняемых команд для модуля 30 предварительной фильтрации, и эти способы также считаются охваченными настоящим изобретением.
В одном из предпочтительных вариантов модуля 30 предварительной фильтрации, показанном на фиг. 2, модуль 30 предварительной фильтрации реализован аппаратно или, в крайнем случае, с помощью микропрограммных средств, но не в виде программного обеспечения. Преимущество аппаратной реализации состоит в том, что она обеспечивает намного более высокое быстродействие при выполнении требуемых действий по сравнению с программной реализацией. Блок-схема, приведенная на фиг. 2, показывает компоненты модуля 30 предварительной фильтрации на логическом уровне (но не его структуру). Например, физические соединения между компонентами не конкретизируются; они могут, например, быть реализованы с помощью шины РС1, к которой подключаются все компоненты. Возможны варианты, в которых элементы могут соединяться, например, посредством внутренней и/или внешней шины практически любого типа.
В случае такой реализации модуль 30 предварительной фильтрации может быть рассмотрен как устройство, предпочтительно снабженное памятью 36. Модуль 30 предварительной фильтрации снабжен базой данных 32 соединений для хранения соответствующих команд из брандмауэра 18, хранящейся в памяти 36. В базе данных 32 соединений сохраняются, по меньшей мере, тот параметр или те параметры пакета, которые требуются для определения соединения, но также предпочтительно хранится по меньшей мере одно действие, которое необходимо выполнить над пакетами, поступающими через это соединение.
Модуль 30 предварительной фильтрации также предпочтительно содержит подсистему 38 классификации, включающую в себя процес сор обработки данных для по меньшей мере частичного анализа данных, содержащихся в пакете, и для извлечения информации из базы данных 32 соединений. Модуль 30 предварительной фильтрации также предпочтительно содержит модифицирующий блок 34 для выполнения назначенного для пакетов, поступающих через это соединение, действия или действий, которые предпочтительно хранятся в базе данных 32 соединений, как описано выше.
Модуль 30 предварительной фильтрации также факультативно и предпочтительно передает определенную выбранную информацию для по меньшей мере одного пакета в брандмауэр 18. Эта выбранная информация факультативно включает в себя (но не ограничивается этим) по меньшей мере один из предварительно описанных параметров для анализа пакета. Обмен данными между модулем 30 предварительной фильтрации и брандмауэром 18 факультативно и предпочтительно осуществляется в соответствии с одним из нескольких вариантов реализации. Согласно первому варианту (событийноуправляемая реализация или реализация, предполагающая переходы между несколькими состояниями), модуль 30 предварительной фильтрации, приняв такую информацию, сам извещает об этом брандмауэр 18. Альтернативно, согласно другому варианту (реализация с опросом), брандмауэр 18 опрашивает модуль 30 предварительной фильтрации. Например, в одном из вариантов опрос может осуществляться по истечении определенного промежутка времени или, альтернативно, после запроса такой информации пользователем, например системным администратором.
Кроме того, модуль 30 также предпочтительно снабжен по меньшей мере одним, а более предпочтительно несколькими сетевыми интерфейсами, представленными блоками 40 управления доступом к среде (МАС) и являющимися аппаратными средствами, обеспечивающими передачу и прием пакетов соответственно в физическую сеть (не показана) и из нее. Еще более предпочтительно модуль 30 предварительной фильтрации снабжен интерфейсом 42 с брандмауэром для передачи в брандмауэр (не показан) и приема из него пакетов.
Предпочтительно система функционирует следующим образом. Пакеты факультативно принимаются из МАС 40, обозначенного как МАС-1, и затем передаются в подсистему 38 классификации. Используя информацию и команды, извлеченные из базы данных 32, хранящейся в памяти 36, подсистема 38 классификации затем анализирует по меньшей мере часть информации, содержащейся в каждом пакете, и определяет, санкционирован ли данный пакет. Если пакет санкционирован, то он передается в модифицирующий блок 34 для факультативной модификации в соответствии по меньшей мере с одной командой из брандмауэра (не показан);
при отсутствии необходимости в модификации соответствующая по меньшей мере одна команда из брандмауэра не передается.
В одном из вариантов брандмауэр может определять интерфейс, в который следует передать пакет, например конкретный МАС 40. Однако следует отметить, что, хотя брандмауэр может приказать модулю 30 предварительной фильтрации передать пакет в определенный интерфейс, в случае поддержки маршрутизации для определения маршрута пакета будут использоваться именно средства маршрутизации, а не команды из брандмауэра (не показан).
Альтернативно пакет может быть факультативно и предпочтительно передан в брандмауэр. В качестве еще одного альтернативного варианта при определенных обстоятельствах, описанных более подробно ниже, пакет может быть удален, что особенно касается пакетов, принятых из интерфейса 42 с брандмауэром, которые факультативно анализируются аналогичным образом. Для того чтобы избежать удаления пакетов, которые могут не быть 1Р-пакетами, факультативно и предпочтительно информация, касающаяся одного или более стандартных типов пакетов, может быть сохранена в базе данных 32, так что пакет определяется как несанкционированный в том случае, если в базе данных 32 отсутствует соответствующая информация. Одним из примеров таких пакетов стандартного типа является АКР-пакет.
Как видно из представленной на фиг. 2 схемы модуля 30 предварительной фильтрации, пакеты могут поступать в модуль 30 предварительной фильтрации из внешнего источника, такого как, например, МАС 40, либо могут быть получены из интерфейса 42 с брандмауэром. Если пакет поступает из интерфейса 42 с брандмауэром, он мог быть сформирован либо самим брандмауэром, либо мог быть передан или сформирован 1Р-стеком хоста. Соответственно, факультативно и более предпочтительно, модуль 30 предварительной фильтрации способен удалять пакеты, поступающие через интерфейс 42 с брандмауэром, если они являются несанкционированными, но не передавать их в брандмауэр. Таким образом, принятие решения относительно того, удалять ли модулю 30 предварительной фильтрации пакеты или передавать их дальше, факультативно и предпочтительно осуществляется, по меньшей мере частично, в зависимости от интерфейса, через который эти пакеты поступают.
Разумеется, возможны и другие варианты реализации модуля 30 предварительной фильтрации, и они считаются охваченными объемом прав, обеспечиваемым настоящим изобретением.
На фиг. 3 представлена блок-схема примера способа осуществления настоящего изобретения. На шаге 1 пакет принимается модулем предварительной фильтрации. На шаге 2 моду лем предварительной фильтрации из данного пакета извлекается по меньшей мере один параметр. На шаге 3 этот по меньшей мере один параметр используется для сопоставления с известными соединениями, предпочтительно путем просмотра таблицы таких известных соединений.
На шаге 4а, если обнаружен элемент таблицы, соответствующий данному пакету, модулем предварительной фильтрации выполняются действие или действия, определенные для данного соединения. На шаге 5а пакет передается адресату. Шаги 4а и 5а не выполняются, если поля управления сеансом пакета имеют определенные значения; например если установлен флаг 8ΥΝ/ΡΙΝ/Κ8Τ пакета, передаваемого по ΙΡсети, пакет предпочтительно передается для обработки в брандмауэр. Такие значения полей управления сеансом указывают, что в соответствующих пакетах передается информация о состоянии соединения, и поэтому брандмауэру важно получить и проанализировать эти пакеты, для того чтобы определить состояние данного соединения.
Факультативно в брандмауэр также передаются фрагментированные пакеты, если модуль предварительной фильтрации не в состоянии выполнять определенные функции, такие как виртуальная дефрагментация в предпочтительном варианте осуществления настоящего изобретения, предполагающем использование ΙΡ-сетей и, в частности, ТСРЛР-трафика. Виртуальная дефрагментация выполняется в случае, если ΙΡ-пакет оказался слишком большим для передачи и поэтому был разбит на несколько меньших пакетов, называемых фрагментами. Виртуальная дефрагментация - это процесс, посредством которого все принятые фрагменты вновь собираются в первоначальный большой пакет.
Для того чтобы противостоять различного рода атакам, предпринимаемым с использованием фрагментов, предпочтительно предлагаемый согласно настоящему изобретению модуль предварительной фильтрации (либо, альтернативно, брандмауэр) удаляет повторяющиеся фрагменты пакета. Другими словами, если ранее принятый фрагмент принимается повторно, этот фрагмент удаляется.
Вернемся к блок-схеме на фиг. 3: альтернативно, на шаге 4Ь, если элемент таблицы, соответствующий данному пакету, не обнаружен, то в этом случае пакет передается для обработки в брандмауэр. На шаге 5Ь, если брандмауэр определит, что соединение, к которому относится данный пакет, является санкционированным, брандмауэр факультативно передает в модуль предварительной фильтрации сообщение с необходимой информацией, касающейся этого нового соединения. Такое сообщение предпочтительно включает в себя ключ для идентификации этого нового соединения, а также инфор мацию, касающуюся трансляции адресов, и, факультативно, информацию, касающуюся шифрования, т.е. процессов, которые предполагают модификацию самого пакета. Упомянутый ключ для идентификации нового соединения предпочтительно включает в себя такую информацию, как ΙΡ-адрес и порт источника, ΙΡадрес и порт адресата, поле протокола и, факультативно, интерфейс(ы), откуда ожидается получение пакета, для защиты от спуфинга. Информация по трансляции адресов включает в себя транслированные ΙΡ-адрес и порт источника, ΙΡ-адрес и порт адресата.
В предпочтительных вариантах осуществления настоящего изобретения сразу же после передачи брандмауэром упомянутого сообщения в модуль предварительной фильтрации данное соединение сгружается модулю предварительной фильтрации, так что брандмауэр больше не принимает каких-либо пакетов этого соединения. Предпочтительно брандмауэр не принимает никаких других пакетов до тех пор, пока для этого соединения не будет получен пакет с некоторыми определенными значениями полей управления сеансом, указывающими, что сеанс завершен. Например, для ΙΡ-сетей к числу таких значений относится установленный флаг ΕΙΝ/Κ.8Τ.
Более предпочтительно, после того как в течение некоторого определенного промежутка времени для какого-либо конкретного соединения не будет принято ни одного пакета, происходит тайм-аут. Поскольку брандмауэр не видит никаких пакетов сгруженного соединения, он передает в модуль предварительной фильтрации запрос о том, когда в последний раз был принят пакет для данного соединения. В зависимости от полученного ответа, брандмауэр определяет, поддерживать или удалять данное соединение. В случае удаления брандмауэром соединения это соединение предпочтительно удаляется из упомянутых таблиц модуля предварительной фильтрации.
В соответствии с другими предпочтительными вариантами осуществления настоящего изобретения брандмауэр регулярно получает из модуля предварительной фильтрации обновляемую статистическую информацию. Эта информация факультативно и предпочтительно автоматически передается брандмауэру модулем предварительной фильтрации, так что брандмауэру не приходится опрашивать модуль предварительной фильтрации. Эта статистическая информация предпочтительно включает в себя количество пакетов и байтов, принятых модулем предварительной фильтрации через определенное соединение после последнего обновления статистической информации, и указание на момент времени, в который в последний раз был получен пакет данного соединения. Затем эта информация обнуляется в модуле предварительной фильтрации. Факультативно и более предпочтительно, в случае удаления модулем предварительной фильтрации соединения из своих таблиц, модуль фильтрации автоматически передает последнюю статистическую информацию о данном соединении в брандмауэр.
Совершенно очевидно, что приведенные выше описания предназначены служить лишь в качестве примеров и что в пределах сущности и объема настоящего изобретения возможны многочисленные и разнообразные варианты осуществления.

Claims (28)

  1. ФОРМУЛА ИЗОБРЕТЕНИЯ
    1. Система для ускоренной фильтрации пакетов, включающая в себя:
    (a) узел-источник для передачи пакета;
    (b) узел-адресат для приема упомянутого пакета;
    (c) брандмауэр, размещенный между узлом-источником и узлом-адресатом, для осуществления фильтрации пакетов в соответствии по меньшей мере с одним правилом и (б) модуль предварительной фильтрации, соединенный с брандмауэром, для приема по меньшей мере одной команды из упомянутого брандмауэра и приема упомянутого пакета ранее, чем его смог бы принять упомянутый брандмауэр, так что в случае, если в соответствии с упомянутой по меньшей мере одной командой упомянутый пакет является санкционированным, то обработку данного пакета и его передачу в упомянутый узел-адресат осуществляет модуль предварительной фильтрации, тогда как в противном случае для обработки упомянутого пакета последний передается модулем предварительной фильтрации в брандмауэр;
    причем упомянутая по меньшей мере одна команда предназначена для осуществления анализа упомянутого пакета, являющегося ограниченным по сравнению с упомянутой фильтрацией пакетов, осуществляемой упомянутым брандмауэром.
  2. 2. Система по п.1, в которой передача пакета между упомянутым узлом-источником и упомянутым узлом-адресатом предусматривает установление соединения, и упомянутый брандмауэр определяет, является ли упомянутое соединение санкционированным, так что упомянутая по меньшей мере одна команда включает в себя по меньшей мере один параметр упомянутого пакета для идентификации санкционированного соединения, так что если упомянутое соединение является санкционированным, то в этом случае упомянутый пакет обрабатывает упомянутый модуль предварительной фильтрации.
  3. 3. Система по п.2, в которой упомянутый брандмауэр принимает пакет упомянутого санкционированного соединения из упомянутого модуля предварительной фильтрации в том случае, если упомянутый пакет имеет некоторое выбранное значение поля управления сеансом.
  4. 4. Система по п.2, в которой упомянутый по меньшей мере один параметр для идентификации упомянутого санкционированного соединения включает в себя адрес источника и адрес адресата упомянутого пакета.
  5. 5. Система по п.4, в которой упомянутый по меньшей мере один параметр для идентификации упомянутого санкционированного соединения дополнительно включает в себя порт источника и порт адресата упомянутого пакета.
  6. 6. Система по п.2, в которой, если в течение некоторого предварительно заданного времени не был получен еще один пакет упомянутого санкционированного соединения, то упомянутое соединение удаляется упомянутым брандмауэром.
  7. 7. Система по п.2, в которой в случае приема для упомянутого санкционированного соединения пакета с определенным значением поля управления сеансом, характеризующим информацию о состоянии соединения, упомянутый пакет передается в упомянутый брандмауэр.
  8. 8. Система по п.2, в которой упомянутый модуль предварительной фильтрации дополнительно содержит (ί) базу данных соединений для хранения упомянутого по меньшей мере одного параметра упомянутого пакета для идентификации упомянутого санкционированного соединения.
  9. 9. Система по п.8, в которой упомянутый модуль предварительной фильтрации дополнительно содержит (ίί) подсистему классификации для анализа по меньшей мере части упомянутого пакета и сравнения упомянутой по меньшей мере части упомянутого пакета с упомянутым по меньшей мере одним параметром.
  10. 10. Система по п.9, в которой упомянутый модуль предварительной фильтрации дополнительно содержит (ш) средство модификации для осуществления по меньшей мере одного действия над упомянутым пакетом в том случае, если упомянутый пакет получен через упомянутое санкционированное соединение, причем упомянутое по меньшей мере одно действие определяется в соответствии с командой из упомянутого брандмауэра.
  11. 11. Система по п.10, в которой упомянутый модуль предварительной фильтрации реализован как аппаратное устройство.
  12. 12. Система по п.10, дополнительно включающая в себя:
    (е) вычислительное устройство, размещенное между упомянутым узлом-источником и упомянутым узлом-адресатом, причем упомянутый модуль предварительной фильтрации и упомянутый брандмауэр функционируют под управлением упомянутого вычислительного устройства.
  13. 13. Система для ускоренной фильтрации пакета в сети, включающая в себя:
    (a) брандмауэр, установленный в этой сети, для осуществления фильтрации упомянутого пакета в соответствии по меньшей мере с одним правилом; и (b) модуль предварительной фильтрации, установленный в этой сети и соединенный с упомянутым брандмауэром, для приема из упомянутого брандмауэра по меньшей мере одной команды, определяющей некоторое простое сравнение, и приема передаваемого по сети пакета ранее, чем его смог бы принять упомянутый брандмауэр, так что если по результатам упомянутого простого сравнения пакет является санкционированным, то упомянутый модуль предварительной фильтрации, по меньшей мере, передает данный пакет в сеть.
  14. 14. Система по п.13, в которой, если пакет не является санкционированным, то в этом случае упомянутый модуль предварительной фильтрации либо передает упомянутый пакет в упомянутый брандмауэр для обработки, если данный пакет принят из сети, либо удаляет упомянутый пакет, если данный пакет принят из упомянутого брандмауэра.
  15. 15. Система по п.13, дополнительно содержащая:
    (c) узел-источник для передачи упомянутого пакета и (б) узел-адресат для приема упомянутого пакета;
    причем передача пакета между упомянутым узлом-источником и упомянутым узломадресатом предусматривает установление соединения, и упомянутый брандмауэр определяет, является ли упомянутое соединение санкционированным так, что упомянутая по меньшей мере одна команда включает в себя по меньшей мере один параметр упомянутого пакета для идентификации санкционированного соединения, так что если упомянутое соединение является санкционированным, то в этом случае упомянутый модуль предварительной фильтрации, по меньшей мере, передает упомянутый пакет в сеть.
  16. 16. Система по п.15, в которой в том случае, если упомянутое соединение не является санкционированным соединением, упомянутый модуль предварительной фильтрации удаляет упомянутый пакет.
  17. 17. Устройство для использования в системе для ускоренной фильтрации пакетов, включающей в себя сеть для передачи пакета и установленный в этой сети брандмауэр для фильтрации упомянутого пакета, предназначенное для приема пакета ранее, чем его смог бы принять упомянутый брандмауэр, содержащее:
    (а) память для хранения по меньшей мере одной команды из брандмауэра для анализа по меньшей мере одного параметра пакета, причем упомянутая по меньшей мере одна команда включает в себя упомянутый по меньшей мере один параметр для идентификации пакета;
    (b) подсистему классификации для анализа по меньшей мере части пакета и для сравнения упомянутой по меньшей мере части пакета с упомянутым по меньшей мере одним параметром в соответствии с упомянутой по меньшей мере одной командой;
    (c) сетевой интерфейс для передачи пакета по сети адресату, которому он предназначен, если такая передача санкционирована по результатам упомянутого сравнения; и (б) интерфейс с брандмауэром, для передачи пакета в брандмауэр.
  18. 18. Устройство по п.17, дополнительно содержащее:
    (е) средство модификации для осуществления по меньшей мере одного действия над пакетом в том случае, если пакет является санкционированным, причем упомянутое по меньшей мере одно действие определяется в соответствии с упомянутой по меньшей мере одной командой из брандмауэра.
  19. 19. Способ ускоренной фильтрации пакетов в сети с брандмауэром, включающий следующие операции:
    (a) установка модуля предварительной фильтрации для приема пакета ранее, чем его смог бы принять брандмауэр;
    (b) прием упомянутого пакета упомянутым модулем предварительной фильтрации;
    (c) определение того, является ли упомянутый пакет санкционированным, в соответствии по меньшей мере с одной командой, принятой из брандмауэра;
    (б) в случае если упомянутый пакет является санкционированным - обработка упомянутого пакета и передача этого пакета по сети адресату, которому он предназначен, упомянутым модулем предварительной фильтрации; и (е) в противном случае - передача упомянутого пакета в брандмауэр.
  20. 20. Способ по п.19, отличающийся тем, что операция (е) выполняется в том случае, если упомянутый пакет принимается из сети.
  21. 21. Способ по п.20, отличающийся тем, что в случае приема упомянутого пакета из брандмауэра упомянутый пакет удаляется.
  22. 22. Способ по п.19, отличающийся тем, что операция (б) включает в себя операцию маркировки упомянутого пакета номером приоритета.
  23. 23. Способ по п.19, отличающийся тем, что в случае приема упомянутого пакета в виде нескольких фрагментов операция (б) включает операцию определения того, не является ли какой-либо из фрагментов повторяющимся фрагментом так, что в том случае, если упомянутый фрагмент является повторяющимся фрагментом, этот способ дополнительно включает следующую операцию:
    (ί) удаление упомянутого повторяющегося фрагмента.
  24. 24. Способ по п.19, отличающийся тем, что упомянутый пакет включает в себя адрес адресата, и тем, что операция (б) включает операцию передачи упомянутого пакета по упомянутому адресу адресата.
  25. 25. Способ по п.24, отличающийся тем, что операция (б) включает операцию выполнения упомянутым модулем предварительной фильтрации по меньшей мере одного действия над упомянутым пакетом, причем упомянутое по меньшей мере одно действие определяется в соответствии с командой из брандмауэра.
  26. 26. Способ по п.19, отличающийся тем, что упомянутый пакет имеет по меньшей мере один параметр, а упомянутая по меньшей мере одна команда идентифицирует упомянутый пакет как санкционированный в зависимости от упомянутого по меньшей мере одного параметра так, что операция (с) включает операцию анализа упомянутого пакета для того, чтобы извлечь упомянутый по меньшей мере один параметр.
  27. 27. Способ по п.26, отличающийся тем, что брандмауэр классифицирует по меньшей мере один ранее принятый пакет в соответствии по меньшей мере с адресом источника и адресом адресата упомянутого по меньшей мере одного ранее принятого пакета, причем упомянутый адрес источника и упомянутый адрес адресата вместе образуют соединение, так что брандмауэр передает упомянутый адрес источника и упомянутый адрес адресата для идентификации упомянутого соединения как санкционированного в упомянутый модуль предварительной фильтрации в качестве упомянутой по меньшей мере одной команды.
  28. 28. Способ по п.27, отличающийся тем, что сеть обменивается данными с несколькими интерфейсами, и упомянутый модуль предварительной фильтрации соединен с каждым из упомянутых интерфейсов, так что операция (с) включает операцию определения того, принимается ли упомянутый пакет через упомянутое санкционированное соединение и через санкционированный интерфейс, и упомянутый пакет определяется как санкционированный лишь в том случае, если он принимается через упомянутое санкционированное соединение и через упомянутый санкционированный интерфейс.
EA200200814A 2000-03-02 2001-02-26 Система, устройство и способ быстрой фильтрации и обработки пакетов EA004423B1 (ru)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US09/517,276 US6496935B1 (en) 2000-03-02 2000-03-02 System, device and method for rapid packet filtering and processing
PCT/US2001/005925 WO2001065343A1 (en) 2000-03-02 2001-02-26 System, device and method for rapid packet filtering and processing

Publications (2)

Publication Number Publication Date
EA200200814A1 EA200200814A1 (ru) 2003-02-27
EA004423B1 true EA004423B1 (ru) 2004-04-29

Family

ID=24059131

Family Applications (1)

Application Number Title Priority Date Filing Date
EA200200814A EA004423B1 (ru) 2000-03-02 2001-02-26 Система, устройство и способ быстрой фильтрации и обработки пакетов

Country Status (17)

Country Link
US (1) US6496935B1 (ru)
EP (1) EP1266277B1 (ru)
JP (1) JP3954385B2 (ru)
KR (1) KR20020092972A (ru)
CN (1) CN100474213C (ru)
AT (1) ATE312463T1 (ru)
AU (2) AU2001241717B2 (ru)
BR (1) BR0109035A (ru)
CA (1) CA2401577C (ru)
DE (1) DE60115615T2 (ru)
EA (1) EA004423B1 (ru)
HU (1) HUP0300039A2 (ru)
IL (2) IL151522A0 (ru)
NO (1) NO324958B1 (ru)
NZ (1) NZ520984A (ru)
PL (1) PL357181A1 (ru)
WO (1) WO2001065343A1 (ru)

Families Citing this family (200)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7089588B2 (en) * 2000-01-19 2006-08-08 Reynolds And Reynolds Holdings, Inc. Performance path method and apparatus for exchanging data among systems using different data formats
US6854063B1 (en) * 2000-03-03 2005-02-08 Cisco Technology, Inc. Method and apparatus for optimizing firewall processing
US6732209B1 (en) * 2000-03-28 2004-05-04 Juniper Networks, Inc. Data rate division among a plurality of input queues
DE10025929B4 (de) * 2000-05-26 2006-02-16 Harman Becker Automotive Systems (Becker Division) Gmbh Verfahren zum Übertragen von Daten
US7120931B1 (en) * 2000-08-31 2006-10-10 Cisco Technology, Inc. System and method for generating filters based on analyzed flow data
US7272643B1 (en) 2000-09-13 2007-09-18 Fortinet, Inc. System and method for managing and provisioning virtual routers
US8250357B2 (en) 2000-09-13 2012-08-21 Fortinet, Inc. Tunnel interface for securing traffic over a network
US7111072B1 (en) 2000-09-13 2006-09-19 Cosine Communications, Inc. Packet routing system and method
US7574495B1 (en) 2000-09-13 2009-08-11 Fortinet, Inc. System and method for managing interworking communications protocols
US7487232B1 (en) * 2000-09-13 2009-02-03 Fortinet, Inc. Switch management system and method
US7389358B1 (en) * 2000-09-13 2008-06-17 Fortinet, Inc. Distributed virtual system to support managed, network-based services
US7054930B1 (en) * 2000-10-26 2006-05-30 Cisco Technology, Inc. System and method for propagating filters
US6922786B1 (en) * 2000-10-31 2005-07-26 Nortel Networks Limited Real-time media communications over firewalls using a control protocol
US7131140B1 (en) * 2000-12-29 2006-10-31 Cisco Technology, Inc. Method for protecting a firewall load balancer from a denial of service attack
US6731652B2 (en) * 2001-02-14 2004-05-04 Metro Packet Systems Inc. Dynamic packet processor architecture
KR100949510B1 (ko) * 2001-02-20 2010-03-24 아이볼네트워크 인코포레이티드 방화벽을 통과하여 데이터전송을 허용하기 위한 장치와 방법
US7664119B2 (en) * 2001-03-30 2010-02-16 Intel Corporation Method and apparatus to perform network routing
US7277953B2 (en) * 2001-04-18 2007-10-02 Emc Corporation Integrated procedure for partitioning network data services among multiple subscribers
US6816455B2 (en) * 2001-05-09 2004-11-09 Telecom Italia S.P.A. Dynamic packet filter utilizing session tracking
JP2002358239A (ja) * 2001-06-04 2002-12-13 Fuji Electric Co Ltd 著作権保護システム
US7181547B1 (en) 2001-06-28 2007-02-20 Fortinet, Inc. Identifying nodes in a ring network
US20040001433A1 (en) * 2001-07-18 2004-01-01 Gram Charles Andrew Interactive control of network devices
US7134012B2 (en) * 2001-08-15 2006-11-07 International Business Machines Corporation Methods, systems and computer program products for detecting a spoofed source address in IP datagrams
WO2003025766A1 (en) * 2001-09-14 2003-03-27 Nokia Inc. System and method for packet forwarding
US7409706B1 (en) 2001-10-02 2008-08-05 Cisco Technology, Inc. System and method for providing path protection of computer network traffic
KR100452143B1 (ko) * 2001-10-16 2004-10-08 주식회사 플랜티넷 비대칭 트래픽 흐름 방식을 이용한 웹 필터링 장치 및방법
JP2003242714A (ja) * 2001-10-24 2003-08-29 Fuji Electric Co Ltd 情報記録媒体、その媒体の製造方法、情報処理装置、並びに、著作権管理システム
US9392002B2 (en) * 2002-01-31 2016-07-12 Nokia Technologies Oy System and method of providing virus protection at a gateway
US7216260B2 (en) * 2002-03-27 2007-05-08 International Business Machines Corporation Method, system and program product for dynamically detecting errant data sequences and performing corresponding actions
US7185365B2 (en) * 2002-03-27 2007-02-27 Intel Corporation Security enabled network access control
CN1152531C (zh) * 2002-04-23 2004-06-02 华为技术有限公司 分片报文的网络访问控制方法
US20030200463A1 (en) * 2002-04-23 2003-10-23 Mccabe Alan Jason Inter-autonomous system weighstation
US7120797B2 (en) * 2002-04-24 2006-10-10 Microsoft Corporation Methods for authenticating potential members invited to join a group
AUPS214802A0 (en) * 2002-05-01 2002-06-06 Firebridge Systems Pty Ltd Firewall with stateful inspection
US20030212901A1 (en) * 2002-05-13 2003-11-13 Manav Mishra Security enabled network flow control
US7203192B2 (en) 2002-06-04 2007-04-10 Fortinet, Inc. Network packet steering
US7340535B1 (en) * 2002-06-04 2008-03-04 Fortinet, Inc. System and method for controlling routing in a virtual router system
US7376125B1 (en) * 2002-06-04 2008-05-20 Fortinet, Inc. Service processing switch
US7116665B2 (en) * 2002-06-04 2006-10-03 Fortinet, Inc. Methods and systems for a distributed provider edge
US7177311B1 (en) * 2002-06-04 2007-02-13 Fortinet, Inc. System and method for routing traffic through a virtual router-based network switch
US7161904B2 (en) 2002-06-04 2007-01-09 Fortinet, Inc. System and method for hierarchical metering in a virtual router based network switch
US9088494B2 (en) * 2002-06-26 2015-07-21 Avaya Communication Israel Ltd. Packet fragmentation prevention
US7146638B2 (en) * 2002-06-27 2006-12-05 International Business Machines Corporation Firewall protocol providing additional information
US6983323B2 (en) * 2002-08-12 2006-01-03 Tippingpoint Technologies, Inc. Multi-level packet screening with dynamically selected filtering criteria
US7096383B2 (en) * 2002-08-29 2006-08-22 Cosine Communications, Inc. System and method for virtual router failover in a network routing system
US20100138909A1 (en) * 2002-09-06 2010-06-03 O2Micro, Inc. Vpn and firewall integrated system
US7315890B2 (en) * 2002-10-02 2008-01-01 Lockheed Martin Corporation System and method for managing access to active devices operably connected to a data network
US7440573B2 (en) * 2002-10-08 2008-10-21 Broadcom Corporation Enterprise wireless local area network switching system
US20040078422A1 (en) * 2002-10-17 2004-04-22 Toomey Christopher Newell Detecting and blocking spoofed Web login pages
US7266120B2 (en) 2002-11-18 2007-09-04 Fortinet, Inc. System and method for hardware accelerated packet multicast in a virtual routing system
TW200412101A (en) * 2002-12-23 2004-07-01 Shaw-Hwa Hwang Directly peer-to peer transmission protocol between two virtual network
MY141160A (en) * 2003-01-13 2010-03-31 Multimedia Glory Sdn Bhd System and method of preventing the transmission of known and unknown electronic content to and from servers or workstations connected to a common network
JP4257151B2 (ja) * 2003-02-28 2009-04-22 富士通株式会社 パケット制御システム、パケット制御装置、パケット中継装置およびパケット制御プログラム
TW200420021A (en) * 2003-03-19 2004-10-01 Etrunk Technologies Inc Network packet routing control device
US7325002B2 (en) * 2003-04-04 2008-01-29 Juniper Networks, Inc. Detection of network security breaches based on analysis of network record logs
US7760729B2 (en) 2003-05-28 2010-07-20 Citrix Systems, Inc. Policy based network address translation
EP1634175B1 (en) 2003-05-28 2015-06-24 Citrix Systems, Inc. Multilayer access control security system
US7308711B2 (en) * 2003-06-06 2007-12-11 Microsoft Corporation Method and framework for integrating a plurality of network policies
US7509673B2 (en) * 2003-06-06 2009-03-24 Microsoft Corporation Multi-layered firewall architecture
US7260840B2 (en) * 2003-06-06 2007-08-21 Microsoft Corporation Multi-layer based method for implementing network firewalls
US6985920B2 (en) * 2003-06-23 2006-01-10 Protego Networks Inc. Method and system for determining intra-session event correlation across network address translation devices
US7620070B1 (en) * 2003-06-24 2009-11-17 Nvidia Corporation Packet processing with re-insertion into network interface circuitry
US20050022017A1 (en) 2003-06-24 2005-01-27 Maufer Thomas A. Data structures and state tracking for network protocol processing
US7305705B2 (en) * 2003-06-30 2007-12-04 Microsoft Corporation Reducing network configuration complexity with transparent virtual private networks
US20050144290A1 (en) * 2003-08-01 2005-06-30 Rizwan Mallal Arbitrary java logic deployed transparently in a network
US7522594B2 (en) * 2003-08-19 2009-04-21 Eye Ball Networks, Inc. Method and apparatus to permit data transmission to traverse firewalls
US7720095B2 (en) 2003-08-27 2010-05-18 Fortinet, Inc. Heterogeneous media packet bridging
US7464181B2 (en) * 2003-09-11 2008-12-09 International Business Machines Corporation Method for caching lookups based upon TCP traffic flow characteristics
US7290278B2 (en) 2003-10-02 2007-10-30 Aol Llc, A Delaware Limited Liability Company Identity based service system
US7594018B2 (en) * 2003-10-10 2009-09-22 Citrix Systems, Inc. Methods and apparatus for providing access to persistent application sessions
US20050100019A1 (en) * 2003-11-10 2005-05-12 Sahita Ravi L. Rule based packet processing engine
US7978716B2 (en) 2003-11-24 2011-07-12 Citrix Systems, Inc. Systems and methods for providing a VPN solution
US7792147B1 (en) * 2004-02-09 2010-09-07 Symantec Corporation Efficient assembly of fragmented network traffic for data security
KR100609170B1 (ko) * 2004-02-13 2006-08-02 엘지엔시스(주) 네트워크 보안 시스템 및 그 동작 방법
US6972226B2 (en) * 2004-03-31 2005-12-06 Infineon Technologies Ag Charge-trapping memory cell array and method for production
US20050268331A1 (en) * 2004-05-25 2005-12-01 Franck Le Extension to the firewall configuration protocols and features
US7757074B2 (en) 2004-06-30 2010-07-13 Citrix Application Networking, Llc System and method for establishing a virtual private network
US8495305B2 (en) 2004-06-30 2013-07-23 Citrix Systems, Inc. Method and device for performing caching of dynamically generated objects in a data communication network
US8739274B2 (en) 2004-06-30 2014-05-27 Citrix Systems, Inc. Method and device for performing integrated caching in a data communication network
EP2267951B1 (en) 2004-07-23 2016-12-28 Citrix Systems, Inc. Method for routing packets from an endpoint to a gateway
AU2005266943C1 (en) 2004-07-23 2011-01-06 Citrix Systems, Inc. Systems and methods for optimizing communications between network nodes
US7865944B1 (en) * 2004-09-10 2011-01-04 Juniper Networks, Inc. Intercepting GPRS data
GB0420684D0 (en) * 2004-09-17 2004-10-20 Oostendorp Jeroen Platform for intelligent Email distribution
US7499419B2 (en) 2004-09-24 2009-03-03 Fortinet, Inc. Scalable IP-services enabled multicast forwarding with efficient resource utilization
US7711835B2 (en) 2004-09-30 2010-05-04 Citrix Systems, Inc. Method and apparatus for reducing disclosure of proprietary data in a networked environment
US7748032B2 (en) 2004-09-30 2010-06-29 Citrix Systems, Inc. Method and apparatus for associating tickets in a ticket hierarchy
US8613048B2 (en) 2004-09-30 2013-12-17 Citrix Systems, Inc. Method and apparatus for providing authorized remote access to application sessions
KR100624483B1 (ko) * 2004-10-06 2006-09-18 삼성전자주식회사 네트워크에서의 차등 침입탐지 장치 및 방법
US7808904B2 (en) * 2004-11-18 2010-10-05 Fortinet, Inc. Method and apparatus for managing subscriber profiles
JP2006174350A (ja) * 2004-12-20 2006-06-29 Fujitsu Ltd 通信装置
US7810089B2 (en) * 2004-12-30 2010-10-05 Citrix Systems, Inc. Systems and methods for automatic installation and execution of a client-side acceleration program
US8706877B2 (en) 2004-12-30 2014-04-22 Citrix Systems, Inc. Systems and methods for providing client-side dynamic redirection to bypass an intermediary
US8954595B2 (en) 2004-12-30 2015-02-10 Citrix Systems, Inc. Systems and methods for providing client-side accelerated access to remote applications via TCP buffering
US8549149B2 (en) 2004-12-30 2013-10-01 Citrix Systems, Inc. Systems and methods for providing client-side accelerated access to remote applications via TCP multiplexing
US8700695B2 (en) 2004-12-30 2014-04-15 Citrix Systems, Inc. Systems and methods for providing client-side accelerated access to remote applications via TCP pooling
US8255456B2 (en) 2005-12-30 2012-08-28 Citrix Systems, Inc. System and method for performing flash caching of dynamically generated objects in a data communication network
US8024568B2 (en) 2005-01-28 2011-09-20 Citrix Systems, Inc. Method and system for verification of an endpoint security scan
US7665128B2 (en) 2005-04-08 2010-02-16 At&T Corp. Method and apparatus for reducing firewall rules
US7634584B2 (en) 2005-04-27 2009-12-15 Solarflare Communications, Inc. Packet validation in virtual network interface architecture
US20070097976A1 (en) * 2005-05-20 2007-05-03 Wood George D Suspect traffic redirection
US7881291B2 (en) * 2005-05-26 2011-02-01 Alcatel Lucent Packet classification acceleration using spectral analysis
US8631483B2 (en) * 2005-06-14 2014-01-14 Texas Instruments Incorporated Packet processors and packet filter processes, circuits, devices, and systems
CN100448227C (zh) * 2005-08-30 2008-12-31 杭州华三通信技术有限公司 业务流的识别方法
KR100753815B1 (ko) * 2005-08-31 2007-08-31 한국전자통신연구원 패킷 차단 장치 및 그 방법
US8347373B2 (en) 2007-05-08 2013-01-01 Fortinet, Inc. Content filtering of remote file-system access protocols
US7685298B2 (en) 2005-12-02 2010-03-23 Citrix Systems, Inc. Systems and methods for providing authentication credentials across application environments
JP4545085B2 (ja) * 2005-12-08 2010-09-15 富士通株式会社 ファイアウォール装置
US8730834B2 (en) * 2005-12-23 2014-05-20 General Electric Company Intelligent electronic device with embedded multi-port data packet controller
US7921184B2 (en) 2005-12-30 2011-04-05 Citrix Systems, Inc. System and method for performing flash crowd caching of dynamically generated objects in a data communication network
US8301839B2 (en) 2005-12-30 2012-10-30 Citrix Systems, Inc. System and method for performing granular invalidation of cached dynamically generated objects in a data communication network
US8584226B2 (en) 2006-01-26 2013-11-12 Iorhythm, Inc. Method and apparatus for geographically regulating inbound and outbound network communications
US7606225B2 (en) * 2006-02-06 2009-10-20 Fortinet, Inc. Integrated security switch
US7784086B2 (en) * 2006-03-08 2010-08-24 Panasonic Corporation Method for secure packet identification
JP4823728B2 (ja) * 2006-03-20 2011-11-24 富士通株式会社 フレーム中継装置及びフレーム検査装置
US8151323B2 (en) * 2006-04-12 2012-04-03 Citrix Systems, Inc. Systems and methods for providing levels of access and action control via an SSL VPN appliance
US8122492B2 (en) * 2006-04-21 2012-02-21 Microsoft Corporation Integration of social network information and network firewalls
US8079073B2 (en) * 2006-05-05 2011-12-13 Microsoft Corporation Distributed firewall implementation and control
US8176157B2 (en) * 2006-05-18 2012-05-08 Microsoft Corporation Exceptions grouping
US7603333B2 (en) * 2006-06-14 2009-10-13 Microsoft Corporation Delayed policy evaluation
US7865878B2 (en) * 2006-07-31 2011-01-04 Sap Ag Method and apparatus for operating enterprise software from a detachable storage device
US8533846B2 (en) 2006-11-08 2013-09-10 Citrix Systems, Inc. Method and system for dynamically associating access rights with a resource
US7688821B2 (en) * 2006-11-21 2010-03-30 O2Micro International Ltd. Method and apparatus for distributing data packets by using multi-network address translation
US8984620B2 (en) * 2007-07-06 2015-03-17 Cyberoam Technologies Pvt. Ltd. Identity and policy-based network security and management system and method
US10540651B1 (en) * 2007-07-31 2020-01-21 Intuit Inc. Technique for restricting access to information
US8060927B2 (en) * 2007-10-31 2011-11-15 Microsoft Corporation Security state aware firewall
JP5223376B2 (ja) * 2008-02-29 2013-06-26 日本電気株式会社 リモートアクセスシステム、方法及びプログラム
US20090235355A1 (en) * 2008-03-17 2009-09-17 Inventec Corporation Network intrusion protection system
US8261317B2 (en) * 2008-03-27 2012-09-04 Juniper Networks, Inc. Moving security for virtual machines
JP5153480B2 (ja) * 2008-06-27 2013-02-27 三菱電機株式会社 ゲートウェイ装置およびパケットフィルタリング方法
US7908376B2 (en) * 2008-07-31 2011-03-15 Broadcom Corporation Data path acceleration of a network stack
US8769665B2 (en) * 2009-09-29 2014-07-01 Broadcom Corporation IP communication device as firewall between network and computer system
CN105376167A (zh) * 2009-10-28 2016-03-02 惠普公司 分布式分组流检查和处理
US8656492B2 (en) * 2011-05-16 2014-02-18 General Electric Company Systems, methods, and apparatus for network intrusion detection
WO2012163587A1 (en) * 2011-05-31 2012-12-06 Alcatel Lucent Distributed access control across the network firewalls
US8881258B2 (en) * 2011-08-24 2014-11-04 Mcafee, Inc. System, method, and computer program for preventing infections from spreading in a network environment using dynamic application of a firewall policy
US8724496B2 (en) * 2011-11-30 2014-05-13 Broadcom Corporation System and method for integrating line-rate application recognition in a switch ASIC
US8681794B2 (en) 2011-11-30 2014-03-25 Broadcom Corporation System and method for efficient matching of regular expression patterns across multiple packets
US9503327B2 (en) * 2012-07-24 2016-11-22 Nec Corporation Filtering setting support device, filtering setting support method, and medium
WO2014077614A1 (en) * 2012-11-19 2014-05-22 Samsung Sds Co., Ltd. Anti-malware system, method of processing data in the same, and computing device
US9319351B1 (en) * 2012-11-26 2016-04-19 Marvell Israel (M.I.S.L.) Ltd. Mechanism for wire-speed stateful packet inspection in packet processors
US10033693B2 (en) 2013-10-01 2018-07-24 Nicira, Inc. Distributed identity-based firewalls
US9276904B2 (en) 2014-02-20 2016-03-01 Nicira, Inc. Specifying point of enforcement in a firewall rule
US9755981B2 (en) 2014-03-11 2017-09-05 Vmware, Inc. Snooping forwarded packets by a virtual machine
US9384033B2 (en) 2014-03-11 2016-07-05 Vmware, Inc. Large receive offload for virtual machines
US9742682B2 (en) 2014-03-11 2017-08-22 Vmware, Inc. Large receive offload for virtual machines
US9906494B2 (en) 2014-03-31 2018-02-27 Nicira, Inc. Configuring interactions with a firewall service virtual machine
US9503427B2 (en) 2014-03-31 2016-11-22 Nicira, Inc. Method and apparatus for integrating a service virtual machine
US9215210B2 (en) 2014-03-31 2015-12-15 Nicira, Inc. Migrating firewall connection state for a firewall service virtual machine
US9774707B2 (en) 2014-06-04 2017-09-26 Nicira, Inc. Efficient packet classification for dynamic containers
US9825913B2 (en) 2014-06-04 2017-11-21 Nicira, Inc. Use of stateless marking to speed up stateful firewall rule processing
US10110712B2 (en) 2014-06-04 2018-10-23 Nicira, Inc. Efficient packet classification for dynamic containers
WO2015187201A1 (en) * 2014-06-04 2015-12-10 Nicira, Inc. Use of stateless marking to speed up stateful firewall rule processing
US9729512B2 (en) 2014-06-04 2017-08-08 Nicira, Inc. Use of stateless marking to speed up stateful firewall rule processing
US9419897B2 (en) 2014-06-30 2016-08-16 Nicira, Inc. Methods and systems for providing multi-tenancy support for Single Root I/O Virtualization
US9692698B2 (en) 2014-06-30 2017-06-27 Nicira, Inc. Methods and systems to offload overlay network packet encapsulation to hardware
US9692727B2 (en) 2014-12-02 2017-06-27 Nicira, Inc. Context-aware distributed firewall
US9891940B2 (en) 2014-12-29 2018-02-13 Nicira, Inc. Introspection method and apparatus for network access filtering
US9755903B2 (en) 2015-06-30 2017-09-05 Nicira, Inc. Replicating firewall policy across multiple data centers
US10324746B2 (en) 2015-11-03 2019-06-18 Nicira, Inc. Extended context delivery for context-based authorization
US11038845B2 (en) 2016-02-23 2021-06-15 Nicira, Inc. Firewall in a virtualized computing environment using physical network interface controller (PNIC) level firewall rules
WO2017178888A1 (en) 2016-04-12 2017-10-19 Guardknox Cyber Technologies Ltd. Specially programmed computing systems with associated devices configured to implement secure lockdowns and methods of use thereof
US10348685B2 (en) 2016-04-29 2019-07-09 Nicira, Inc. Priority allocation for distributed service rules
US10135727B2 (en) 2016-04-29 2018-11-20 Nicira, Inc. Address grouping for distributed service rules
US11171920B2 (en) 2016-05-01 2021-11-09 Nicira, Inc. Publication of firewall configuration
US11425095B2 (en) 2016-05-01 2022-08-23 Nicira, Inc. Fast ordering of firewall sections and rules
US11258761B2 (en) 2016-06-29 2022-02-22 Nicira, Inc. Self-service firewall configuration
US11088990B2 (en) 2016-06-29 2021-08-10 Nicira, Inc. Translation cache for firewall configuration
US11115385B1 (en) * 2016-07-27 2021-09-07 Cisco Technology, Inc. Selective offloading of packet flows with flow state management
US10333983B2 (en) 2016-08-30 2019-06-25 Nicira, Inc. Policy definition and enforcement for a network virtualization platform
US10938837B2 (en) 2016-08-30 2021-03-02 Nicira, Inc. Isolated network stack to manage security for virtual machines
US10193862B2 (en) 2016-11-29 2019-01-29 Vmware, Inc. Security policy analysis based on detecting new network port connections
EP3549015B1 (en) 2016-12-06 2021-10-27 Nicira, Inc. Performing context-rich attribute-based services on a host
US10812451B2 (en) 2016-12-22 2020-10-20 Nicira, Inc. Performing appID based firewall services on a host
US10581960B2 (en) 2016-12-22 2020-03-03 Nicira, Inc. Performing context-rich attribute-based load balancing on a host
US10805332B2 (en) 2017-07-25 2020-10-13 Nicira, Inc. Context engine model
US11032246B2 (en) 2016-12-22 2021-06-08 Nicira, Inc. Context based firewall services for data message flows for multiple concurrent users on one machine
US10803173B2 (en) 2016-12-22 2020-10-13 Nicira, Inc. Performing context-rich attribute-based process control services on a host
US10503536B2 (en) 2016-12-22 2019-12-10 Nicira, Inc. Collecting and storing threat level indicators for service rule processing
US10313926B2 (en) 2017-05-31 2019-06-04 Nicira, Inc. Large receive offload (LRO) processing in virtualized computing environments
US10778651B2 (en) 2017-11-15 2020-09-15 Nicira, Inc. Performing context-rich attribute-based encryption on a host
US10802893B2 (en) 2018-01-26 2020-10-13 Nicira, Inc. Performing process control services on endpoint machines
US10862773B2 (en) 2018-01-26 2020-12-08 Nicira, Inc. Performing services on data messages associated with endpoint machines
US11388141B1 (en) * 2018-03-28 2022-07-12 Juniper Networks, Inc Apparatus, system, and method for efficiently filtering packets at network devices
US11310202B2 (en) 2019-03-13 2022-04-19 Vmware, Inc. Sharing of firewall rules among multiple workloads in a hypervisor
US11539718B2 (en) 2020-01-10 2022-12-27 Vmware, Inc. Efficiently performing intrusion detection
US11962518B2 (en) 2020-06-02 2024-04-16 VMware LLC Hardware acceleration techniques using flow selection
US11108728B1 (en) 2020-07-24 2021-08-31 Vmware, Inc. Fast distribution of port identifiers for rule processing
US12132656B2 (en) 2020-08-02 2024-10-29 Mellanox Technologies, Ltd. Stateful filtering systems and methods
US11829793B2 (en) 2020-09-28 2023-11-28 Vmware, Inc. Unified management of virtual machines and bare metal computers
US11636053B2 (en) 2020-09-28 2023-04-25 Vmware, Inc. Emulating a local storage by accessing an external storage through a shared port of a NIC
US11593278B2 (en) 2020-09-28 2023-02-28 Vmware, Inc. Using machine executing on a NIC to access a third party storage not supported by a NIC or host
US12021759B2 (en) 2020-09-28 2024-06-25 VMware LLC Packet processing with hardware offload units
US11736565B2 (en) 2020-09-28 2023-08-22 Vmware, Inc. Accessing an external storage through a NIC
US11792134B2 (en) 2020-09-28 2023-10-17 Vmware, Inc. Configuring PNIC to perform flow processing offload using virtual port identifiers
US11995024B2 (en) 2021-12-22 2024-05-28 VMware LLC State sharing between smart NICs
US11863376B2 (en) 2021-12-22 2024-01-02 Vmware, Inc. Smart NIC leader election
US12229578B2 (en) 2021-12-22 2025-02-18 VMware LLC Teaming of smart NICs
US11928062B2 (en) 2022-06-21 2024-03-12 VMware LLC Accelerating data message classification with smart NICs
US11899594B2 (en) 2022-06-21 2024-02-13 VMware LLC Maintenance of data message classification cache on smart NIC
US11928367B2 (en) 2022-06-21 2024-03-12 VMware LLC Logical memory addressing for network devices

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5400331A (en) * 1993-04-28 1995-03-21 Allen-Bradley Company, Inc. Communication network interface with screeners for incoming messages
US5623601A (en) * 1994-11-18 1997-04-22 Milkway Networks Corporation Apparatus and method for providing a secure gateway for communication and data exchanges between networks
US5802320A (en) * 1995-05-18 1998-09-01 Sun Microsystems, Inc. System for packet filtering of data packets at a computer network interface
US5648965A (en) * 1995-07-07 1997-07-15 Sun Microsystems, Inc. Method and apparatus for dynamic distributed packet tracing and analysis
US5801753A (en) * 1995-08-11 1998-09-01 General Instrument Corporation Of Delaware Method and apparatus for providing an interactive guide to events available on an information network
US6147976A (en) * 1996-06-24 2000-11-14 Cabletron Systems, Inc. Fast network layer packet filter
US5828833A (en) * 1996-08-15 1998-10-27 Electronic Data Systems Corporation Method and system for allowing remote procedure calls through a network firewall
US6119236A (en) * 1996-10-07 2000-09-12 Shipley; Peter M. Intelligent network security device and method
US6073178A (en) * 1996-12-09 2000-06-06 Sun Microsystems, Inc. Method and apparatus for assignment of IP addresses
US6070242A (en) * 1996-12-09 2000-05-30 Sun Microsystems, Inc. Method to activate unregistered systems in a distributed multiserver network environment
US5835727A (en) * 1996-12-09 1998-11-10 Sun Microsystems, Inc. Method and apparatus for controlling access to services within a computer network
US5848233A (en) * 1996-12-09 1998-12-08 Sun Microsystems, Inc. Method and apparatus for dynamic packet filter assignment
US6208651B1 (en) * 1997-06-10 2001-03-27 Cornell Research Foundation, Inc. Method and system for masking the overhead of protocol layering
US6158008A (en) * 1997-10-23 2000-12-05 At&T Wireless Svcs. Inc. Method and apparatus for updating address lists for a packet filter processor
US6092110A (en) * 1997-10-23 2000-07-18 At&T Wireless Svcs. Inc. Apparatus for filtering packets using a dedicated processor
WO1999048261A2 (en) * 1998-03-18 1999-09-23 Secure Computing Corporation System and method for controlling interactions between networks
US6092108A (en) * 1998-03-19 2000-07-18 Diplacido; Bruno Dynamic threshold packet filtering of application processor frames
AU5567499A (en) * 1998-08-17 2000-03-06 Vitesse Semiconductor Corporation Packet processing architecture and methods

Also Published As

Publication number Publication date
ATE312463T1 (de) 2005-12-15
CN100474213C (zh) 2009-04-01
CA2401577A1 (en) 2001-09-07
EP1266277B1 (en) 2005-12-07
NO20024113L (no) 2002-11-01
IL151522A (en) 2007-12-03
CA2401577C (en) 2007-09-18
JP3954385B2 (ja) 2007-08-08
KR20020092972A (ko) 2002-12-12
AU2001241717B2 (en) 2005-12-22
EP1266277A4 (en) 2003-07-02
NZ520984A (en) 2003-02-28
HUP0300039A2 (en) 2003-05-28
CN1406351A (zh) 2003-03-26
DE60115615T2 (de) 2006-07-06
IL151522A0 (en) 2003-04-10
WO2001065343A1 (en) 2001-09-07
NO20024113D0 (no) 2002-08-29
JP2003525557A (ja) 2003-08-26
EA200200814A1 (ru) 2003-02-27
EP1266277A1 (en) 2002-12-18
DE60115615D1 (de) 2006-01-12
US6496935B1 (en) 2002-12-17
AU4171701A (en) 2001-09-12
PL357181A1 (en) 2004-07-26
NO324958B1 (no) 2008-01-14
BR0109035A (pt) 2003-06-03

Similar Documents

Publication Publication Date Title
EA004423B1 (ru) Система, устройство и способ быстрой фильтрации и обработки пакетов
AU2001241717A1 (en) System, device and method for rapid packet filtering and processing
EP1873992B1 (en) Packet classification in a network security device
US6499107B1 (en) Method and system for adaptive network security using intelligent packet analysis
EP1634175B1 (en) Multilayer access control security system
US6301668B1 (en) Method and system for adaptive network security using network vulnerability assessment
CN101160774B (zh) 基于下一代网络业务的防火墙控制系统及方法
EP2843897B1 (en) Locked Down Network Interface
EP2213045B1 (en) Security state aware firewall
US9356844B2 (en) Efficient application recognition in network traffic
US20050071650A1 (en) Method and apparatus for security engine management in network nodes
US20080267177A1 (en) Method and system for virtualization of packet encryption offload and onload
US20090055930A1 (en) Content Security by Network Switch
JP2004304752A (ja) 攻撃防御システムおよび攻撃防御方法
US20020112188A1 (en) Handling information about packet data connections in a security gateway element
CN104115463A (zh) 用于处理网络元数据的流式传输方法和系统
US8336093B2 (en) Abnormal IPSec packet control system using IPSec configuration and session data, and method thereof
MXPA04005464A (es) Arquitectura de la pared de fuego estratificada.
CN101719899A (zh) 用于网络安全装置的具有端口限制的动态访问控制策略
WO2004112313A2 (fr) Equipement de securite reseau et son procede de production
CN101262405A (zh) 基于网络处理器的高速安全虚拟专用网通道及其实现方法
US20080077694A1 (en) Method and system for network security using multiple virtual network stack instances
JP2001249866A (ja) ファイアウォール機能を分散させたネットワーク、ファイアウォール分散機能を有するファイアウォールサーバ、及びファイアウォール機能を有するエッジノード
TWI797962B (zh) 基於SASE的IPv6雲邊緣網路安全連線方法
CN114039795A (zh) 软件定义路由器及基于该软件定义路由器的数据转发方法

Legal Events

Date Code Title Description
MM4A Lapse of a eurasian patent due to non-payment of renewal fees within the time limit in the following designated state(s)

Designated state(s): AM AZ BY KZ KG MD TJ TM

MM4A Lapse of a eurasian patent due to non-payment of renewal fees within the time limit in the following designated state(s)

Designated state(s): RU