CN1406351A - 快速分组过滤与处理系统、装置及方法 - Google Patents

快速分组过滤与处理系统、装置及方法 Download PDF

Info

Publication number
CN1406351A
CN1406351A CN01805889A CN01805889A CN1406351A CN 1406351 A CN1406351 A CN 1406351A CN 01805889 A CN01805889 A CN 01805889A CN 01805889 A CN01805889 A CN 01805889A CN 1406351 A CN1406351 A CN 1406351A
Authority
CN
China
Prior art keywords
grouping
fire wall
allowed
filtering module
filtering
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN01805889A
Other languages
English (en)
Other versions
CN100474213C (zh
Inventor
戈嫩·芬克
阿米拉·哈鲁斯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Check Point Software Technologies Ltd
Original Assignee
Check Point Software Technologies Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Check Point Software Technologies Ltd filed Critical Check Point Software Technologies Ltd
Publication of CN1406351A publication Critical patent/CN1406351A/zh
Application granted granted Critical
Publication of CN100474213C publication Critical patent/CN100474213C/zh
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0254Stateful filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Abstract

一种通过增加一个具有预过滤模块(30)的防火墙(18)进行分组过滤的方法、装置及系统(图1),该预过滤模块(30)根据分组是否是从一个特定连接接收的来执行有关该分组的一个有限动作组,否则,该分组就被转发给防火墙(18)进行处理。

Description

快速分组过滤与处理系统、装置及方法
技术领域
本发明涉及一种用于分组交换网络上的快速分组过滤系统、装置及方法,尤其涉及一种通过基于话路的过滤提高分组过滤效率的系统、装置及方法。
背景技术
连通性与安全性是绝大多数机构的计算机环境的两个相互制约的目标,典型的现代计算机系统围绕网络通信而建立,提供对大量服务的透明访问。这些服务的全球化可能是现代计算机方案中的一个最重要的特征,对连通性的需求既来自机构内部也来自机构外部。
保护网络服务不被未经授权使用对任何机构都是头等重要的。随着对提高安全性的需求的增长,控制访问网络资源的手段已变成一种管理优先权。为了节约成本和维持产量,访问控制必须便于配置,并且对用户和应用而言必须是透明的。安装成本和故障时间的最小化也是重要因素。
分组过滤是一种方法,其允许连通但通过控制所通过的通信量提供安全性,因此既防止了单个网络内的也防止了相互连接网络之间的非法通信企图。
在此引入美国专利第5,835,726号(申请日为1996年6月17日)和第5,606,668号(申请日为1993年12月15日)作为参考,它们描述了通过在一个计算机网络中控制出入的数据分组流量而提供网络安全性的方法,该分组流量通过分组过滤控制,该分组过滤控制根据一个用户生成的规则库来执行,该用户生成规则库接着被转换成一组过滤语言指令。该规则库中的每个规则均包含一个源、目标、服务、接收还是拒绝分组,是否注册、加密、和/或鉴别事件。该组过滤器语言指令安装和执行于位于计算机内作为防火墙的检查引擎上。检查引擎执行详细检查以判定一个分组是否应被允许通过防火墙。该防火墙位于计算机网络中使得所有进出该要被保护的网络的通信均被强迫通过防火墙。因此,当分组出入网络时,就会根据组成所述规则库的规则被过滤。
根据这些参考,检查引擎作为一个虚拟分组过滤机,其通过对每个分组判定拒绝还是接收分组。如果分组被拒绝,它就被放弃。如果它被接收,然后该分组就可能被修改。修改可能包括加密、解密、签名生成、签名验证或地址转换,所有的修改都根据该规则库中的内容进行。
不幸的是,该公开方法的一个缺陷是大量的计算负荷被施加到操作防火墙的计算机上。以前公开的分组过滤处理要求对每个分组进行单独分析,其通过与确定通过防火墙的分组入口所依据的规则组进行很多不同的比较来进行。但是,一旦在两个通过防火墙建立的节点之间的话路或连接已经判定被允许,那么在绝大多数情况下,更加细致的分析可能就不需要了。这样,来自一个被允许连接的分组的继续分析的要求将减少或甚至消除,这将显著地减少防火墙所带来的计算负荷,并加速分组过滤的过程,同时仍然保持被保护系统的安全性。
因此,需要一种下述的快速分组过滤系统、装置和方法(其将是实用的),即:根据从其接收一个分组的连接,进行快速分组过滤,使得如果一个分组是从一个被允许的连接接收的,则完全的分组分析的需求将被减少或消除,而同时仍然保持快速有效地修改分组的能力,优选地采用修改过程的硬件加速。
发明内容
本发明为一种通过增加一个具有预过滤模块的防火墙,加速一个分组交换网络(优选地是一个IP网络)上的分组过滤的系统、装置及方法。根据该分组是否是从一个先前被防火墙允许的连接接收的,该预过滤模块执行有关分组的有限动作组。如果该分组是从这样一个被允许的连接接收的,则该预过滤模块将该分组转发给它们的目的地,可选地在分组上执行一个或多个动作。否则,该分组将被转发给防火墙进行处理。优选地,一旦防火墙移交与预过滤模块连接的责任,或“卸载”(OFF-LODED)该连接,防火墙就不再从该连接接收其它分组,直到该连接发生超时,或者接收到一个带有特殊话路控制字段值(表明话路结束)的分组为止,使得该连接被关闭。
例如,对于本发明的关于IP网络的优选实施例中,这样一个话路控制字段值是一个为分组设置的FIN/RST标志。
减少或甚至是消除一个来自被允许连接的分组所需的分析量的一个优点是:防火墙可选择地增加硬件加速。该硬件加速的优点是比基于软件的分组处理快得多,从而能显著提高防火墙系统的效率。另外,修改程序的硬件加速可保持快速有效地修改分组的能力,因为修改程序需要较少的修改分组的“智能”而处理速度更快,而分组分析程序则具有与之相反的特征。因此,可选和优选地、该预过滤模块以硬件实现。
根据本发明,提供一种用于加速分组过滤的系统,该系统包括:(a)一个传输一个分组的源节点;(b)一个接收该分组的目的节点;(c)一个插置于该源节点和目的节点之间的防火墙,用于根据至少一个规则执行分组过滤;以及(d)一个与防火墙通信的预过滤模块,用于从该防火墙接收至少一个指令并在防火墙之前接收该分组,使得如果该分组根据该至少一个指令被允许,则该预过滤模块处理该分组,或者该预过滤模块将该分组转发给防火墙进行处理。
根据本发明的另一个实施例,提供一种网络上的分组加速过滤系统,该系统包括:(a)一个位于该网络上的防火墙,用于根据至少一个规则在该分组上执行分组过滤;以及(b)一个位于该网络上并与防火墙通信的预过滤模块,用于从防火墙接收至少一个指令,该至少一个指令判定一个简单比较,该预过滤模块还在防火墙之前接收在网络上传输的分组,使得如果该分组根据该简单比较被允许,则该预过滤模块至少在该网络上传输该分组。
根据本发明的又一个实施例,提供一种在一个用于加速分组过滤的系统中使用的用于在防火墙之前接收分组的装置,其中该系统具有一个用于传输分组的网络和一个该网络上的用于过滤该分组的防火墙,该装置包括:(a)一个存储器,用于存储至少一个指令以分析来自防火墙的分组的至少一个参数,该至少一个指令包括标识该分组的至少一个参数;以及(b)一个分类引擎,用于分析该分组的至少一部分,并根据该至少一个指令将该分组的该至少一部分与该至少一个参数相比较。
根据本发明的再一个实施例,提供了一种与防火墙相连接的网络上加速分组过滤的方法,该方法包括下列步骤:(a)提供一个预过滤模块以在防火墙之前接收一个分组;(b)由该预过滤模块接收该分组;(c)判定该分组是否被允许;以及(d)如果该分组被允许,则由该预过滤模块处理该分组。
以下,术语“网络(network)”包括在任意两个或更多的允许数据传输的计算机装置之间的一种连接。
以下,术语“计算机装置(computational device)”包括但不限于装有操作系统如WindowsTM、或Linux的个人计算机(PC);MacintoshTM计算机;装有JAVATM-OS操作系统的计算机;诸如Sun MicrosystemsV及SiliconGraphicsTM的计算机工作站;以及其他一些装有UNIX操作系统版本如AIXTM或Sun MicrosystemsTM的SOLARISTM的其他计算机;任何其他已知和能得到的操作系统的计算机;任何型号的计算机;任何可连接到分组交换网络并有一个操作系统(包括但不限于VxWorksTM和PSOSTM)的装置;或任何可连接到分组交换网络的装置,该装置可传输及接收分组,并至少有一个数据处理器,例如一个网络处理器,包括但不限于一个桥接器、一个开关或一个路由器。以下术语“视窗(WindowsTM)”将包括但不限于由微软公司提供的WindowsNTTM、Windows98TM、Windows2000TM、WindowsCETM和上述操作系统的任何升级版本。
本发明的方法可被描述为由一个数据处理器执行的一系列步骤,这些方法可选择软件、硬件、固件或它们的结合来实现。对于本发明,可以用基本上任何一种合适的程序语言(本领域的普通技术人员可以容易地选择出来)来编写一个软件应用程序。所选择的程序语言应当与根据其执行软件应用程序的计算机装置相匹配。合适的程序语言的例子包括但不限于C、C++和JAVA。
附图说明
通过下面参照附图对本发明具体实施例的详细描述,可以更好地理解本发明的前述的和其他的目的、方面和优点。其中:
图1为本发明的一个系统的示意方框图;
图2为本发明的图1的预过滤模块的示例优选实施例的示意方框图;
图3为本发明的示例方法的流程图。
具体实施方式
本发明为一种通过增加一个具预过滤模块的防火墙加速分组过滤的系统、装置和方法。该预过滤模块执行一个关于该分组的简单比较,例如根据该分组是否是从一个已先前被防火墙允许的连接接收的。如果该分组是从这样一个被允许连接接收的,那么该预过滤模块就将该分组转发给其目的地,可选地,在分组上执行一个或多个动作。否则,该分组将被转发给防火墙进行处理。另外,优选地,如果这些分组带有需要防火墙干预的特殊的话路控制字段值,则该分组被转发给防火墙进行处理。例如,对于本发明的关于IP网络,特别是关于TCP/IP通信的IP网络的实施例中,这样的话路控制字段值包括一组该分组的SYN/FIN/RST标志,这样的话路控制字段值标明了携带有连接状态信息的分组,因此对防火墙判定该连接状态以进行分组的接收和分析很重要。可选地,如果该预过滤模块不能执行某些功能,则分片分组也被转发给防火墙,该某些功能为比如本发明的关于IP网络,特别是关于TCP/IP通信的IP网络的实施例中的虚拟合片(virtual defragment)功能。
一旦防火墙已判定一个连接被允许,或具有允许执行该简单比较的至少一个参数,则该防火墙就优选地把一个带有该新被允许分组的详细内容的信息发送给该预过滤模块。优选地,一旦防火墙转交与预过滤模块连接的责任,或“卸载”(OFF-LODED)该连接,则防火墙不再从该连接接收其他的分组,直到该连接发生超时(timeout),或者接收到一个带有特殊的话路控制字段值(表明话路结束,如在IP网络实施例中的FIN/RST标志)的分组为止,使得该连接被关闭。如果在一段预定时间内防火墙没有接收到一个分组则发生“超时”。
为了利用硬件加速的优点,该预过滤模块优选以硬件实现,这种硬件加速要比基于软件的分组处理快得多。因此,尽管该预过滤模块也能够以软件或固件实现,但是该预过滤模块优选以基于硬件的装置实施。可选地,为方便安装与操作起见,该预过滤模块及防火墙可作为一个组合装置实现,它们可以是一个增加于一个网络的网关节点的“黑匣子”,或者作为该网关节点的替代物。
本发明的系统、装置与方法的原理与操作可参考附图和相关说明得以更好的理解,应该理解的是这些附图仅为了说明本发明而给出的,并不用于限制本发明。虽然以下说明以IP网络特别是关于TCP/IP分组通信的IP网络为主展开,但应该理解的是仅为了说明本发明而给出的,并不用于以任何方式限制本发明。
现在参看附图,图1为本发明的一个系统的示意方框图,系统10设有一个被保护的分组交换网络12,使得数据以分组的形式传输。被保护的网络12由一个网关16与一个外部的分组交换网络14隔开,该网关16可选地为任何类型的计算机装置,这里也可称做“中间节点”。例如,外部网络14可选地为因特网,网关16通过一个硬件连接器,如图示的NIC17,与每一个外部网络14和被保护的网络12相连。
网关16操作一个用于执行分组分析和分组过滤的防火墙18。被允许从外部网络14通过网关16的分组接着被多个被保护的节点20中的一个接收,该被保护的节点20连接到被保护的网络12。这种网络通信是典型的双向,使得分组从被保护的网络12被网关16接收以传输给外部网络14,反之亦然。
防火墙18可优选地如前述的美国专利5,835,726及5,606,668所说明的那样实施。防火墙18设有一个分组过滤器22用于执行分组过滤。分组过滤器22依次优选地包括一个分析模块24用于分析分组、以及一个规则库26。规则库26优选包括一个或多个根据系统管理员或其他控制用户的偏爱所确定的规则。分析模块24将被分析的分组的内容抽出并与规则库26中的规则相比较。如果比较结果是根据规则库26该分组被允许,则分组过滤器22允许该分组进入被保护的网络12。
另选地,如果该分组根据规则库26不被允许,则可选地放弃该分组;如果规则库26不是特别允许该分组通过,则该分组也可被可选地判定为不被允许。
另外可选且优选的是,如果分组被接收,分组过滤器22设有一个修改模块28用于对分组进行修改。
防火墙18的其他可选功能包括:能够执行分组计数,以判定属于一个特定连接的所有的分组上被传输的数据量;能够修改分组内的地址;能够加密分组。具体的分组加密已在前述的美国专利5,835,726中有所描述,简言之,分组可选地被加密后在两防火墙18之间进行传输,使得分组被加密以通过外部网络14。例如,加密也可以可选地用于防火墙18和外部网络14的一个节点之间的通信。被加密的分组然后由接收方的防火墙18解密并被传递给被保护的网络12。因此,解密和传输的过程是自动的,并以一种对通信软件透明的方式进行。
防火墙18的这些设置按照前述的美国专利5,835,726及25,606,668优选地实施。但是,在被允许进入网关16之前,通过防火墙18传递所有的分组将会给防火墙18带来极大的计算负荷。因此,根据本发明,网关16也设置有一个在防火墙18之前接收分组的预过滤模块30,但是其优选地直接与被保护的网络12相连。就被允许进入被保护的网络12的分组而言,预过滤模块30也优选地从防火墙18接收指令。更优选地,这些指令由防火墙18根据先前接收的一个或多个相关分组的分析来确定,使得如果一个先前接收的相关分组已被允许进入被保护的网络12,则当前分组也应被允许进入被保护的网络12。因此,如果预过滤模块30判定当前分组被允许进入,那么优选地,预过滤模块30将该分组直接传递给被保护的网络12。
为了提高预过滤模块30的操作效率,优选地预过滤模块30只执行每个分组的限定分析。特别是,更加优选地,每个分组只有一部分被预过滤模块30分析。最优选地,预过滤模块30只根据一个简单比较分析每个分组。通过“简单比较”是指以一个或多个预定义参数的形式抽出信息,其中该预定义参数被与这些参数的一个预定义模式相比较。
在一个简单比较的具体优选实施例中,分组只在预过滤模块30能够判定该分组是否是通过一个允许的数据传输接收的之前被分析。这样一个允许的数据传输可以被称为是一个源节点和一个目标节点之间的一个连接,该源节点例如从外部网络14启动该连接,而该目标节点例如一个被保护的节点20接收该连接。可以理解为一旦该连接建立,该源节点和目标节点之间的通信可选地为双向的。
关于分组分析,一个“连接”是根据至少一个,优选为多个的描述分组所属数据传输的参数来确定的。这些参数的例子包括但不限于:源地址及该分组的端口、目标地址及该分组的端口、该分组的协议及分组被通过其接收的接口。该连接被用于对分组进行分类、并判定分组是否被允许出入或离开被保护的网络12。
防火墙18根据一个或多个先前被接收并被检查的分组确定每一个连接。防火墙18根据带有规则库26的分析模块24的输出检验分组的内容、判定来自相应连接的分组是否应被允许进入和/或离开被保护的网络12。另外,根据存储在规则库26的规则,分析模块24能够判定一个或多个与每一个连接关联的动作。这些动作的例子包括但不限于:执行计数动作以计数分组内的数据量、加密/解密分组、通过重写地址字段执行网络地址转换(NAT)等等。一个修改分组的优选实施例是,通过由预过滤模块30根据防火墙18的指令而分配给分组一个优先权号码来标记分组。该优先权号码确定了分组的传输顺序,从而确定其“优先权”。
防火墙18接着将相关指令传递给预过滤模块30,该指令至少涉及分组是否被允许进入被保护的网络12,而更优选地,还涉及来自该连接的后续分组所应采取的动作。
可选的且优选的,预过滤模块30执行一个防欺骗方法。因为预过滤模块30可选地被连接于多个网络,分组可来自于这些网络中的任何一个。该防欺骗方法判定标有最初来自某网络的IP分组是否真的来自那个网络。因为预过滤模块30知道哪个网络与哪个接口连接,所以预过滤模块30可判定从一个特定接口接收的一个分组是否被允许。
在一个加速器如预过滤模块30中实现防欺骗方法的最简单方式是:将有关网络接口的信息作为预过滤模块30能够得到的连接信息的一部分。因此,如果一个来自一个允许的源节点的分组被发送给一个允许的目的地,并且已通过预定接口到达,则该分组可被预过滤模块30处理。另选地且可选地,即使只有接口不正确,预过滤模块30也可判定分组违法,其应由防火墙18进一步检查分组是否有效。还有不将接口作为预过滤模块30的一部分的其他方式实现防欺骗方法,也包括在本发明的范围内。
如图2所示在预过滤模块30的优选实施例中,预过滤模块30是以硬件实现的,或至少是以固件实现的,而不是以纯软件实现的。硬件的好处是执行所需动作要比软件快得多,图2的示意方框图是一个预过滤模块30部件的基于逻辑而不是结构的示意图。例如,部件间的物理连接未图示,该连接可以是一个比如所有部件都连接在其上的PCI总线。可选地,部件可以通过基本上任何型号的内部和/或外部总线进行连接。
在该实施例中,预过滤模块30可被描述为一个“装置”,优选地设有一个存储器36。预过滤模块30设有一个连接数据库32用于存储来自防火墙18的指令,该数据库存储在存储器36中。连接数据库32存储至少一个或多个确定连接所需要的分组的参数,但也优选地存储至少一个要在来自该连接的分组上执行的动作。
预过滤模块30也优选地设有一个包括一个数据处理器的分类引擎38,以至少部分地分析来自分组的信息,并从连接数据库32取得信息。预过滤模块30也优选地设有一个修改器34,用于执行来自该连接的分组的一个或多个相关动作,该动作优选地存储于前述的连接数据库32内。
预过滤模块30也可选并优选地传输关于传送给防火墙18的至少一个分组的特定、选择信息,这些选择信息可选地包括至少但不限于前述的用于分析分组的参数中的一个。预过滤模块30与防火墙18之间的通信可选并优选地根据数个实施例之一进行。在第一个实施例中,在一个状态或事件驱动的实现中,预过滤模块30一接收这样的信息就主动通知防火墙18。另选地,在一个第二实施例中,在轮询的实现中,防火墙18询问预过滤模块30。例如,该轮询可选地在一个特定时间间隔过后、或者根据一个例如向系统管理者的对此信息的用户询问而执行。
另外,预过滤模块30也可优选地设置至少一个,而优选地为多个网络接口,如图示的MAC(媒体存取控制)40,它是发送及接收来自物理网络(未图示)的分组的硬件。预过滤模块30更优选地设有一个防火墙接口42,以向防火墙发送分组并从防火墙(未图示)接收分组。
操作流程优选地如下列所述。分组可选地从标为“MAC1”的MAC40接收,然后被传送给分类引擎38。在从存储器36内的数据库32中取得的信息和指令的协助下,分类引擎38然后就分析每个分组中的信息的至少一部分,并判定该分组是否被允许。如果该分组被允许,那么就传送给修改器34,以根据来自防火墙(未图示)的至少一个指令选择性地修改,使得如果不必修改,则防火墙就不发出该至少一个相关的指令。
防火墙可选地能够判定应向其发送一个分组的接口,如一个特定的MAC40。但是,应注意的是,虽然防火墙可指令预过滤模块30将分组转发给一个特定接口,但是如果支持路由选择,则该路由选择应被用于路由选择该分组的路径,而不是路由选择来自防火墙(未图示)的指令的路径。
另选地,分组可选且优选地被转发给防火墙。还有另选地是,在下述更加详细描述的特定条件中,分组可被放弃,特别是从防火墙接口42接收的分组(其可选地被类似地分析)。为了避免放弃可能不是IP分组的分组,可选并优选的是,关于一个或多个“错误”分组类型的信息可被存储在数据库32中,以便如果这些信息没有被存储于在数据库32中,则分组就彼确定为“不被允许的”。该“错误”分组类型的一个例子是一个ARP(address resolutionprotocol地址解析协议)分组。
从如图2所示的预过滤模块30的实现中可看到,分组可选地从一个外部源例如MAC40到达预过滤模块30,或者也可从防火墙接口42接收分组。如果分组从防火墙接口42接收,它可能已经由防火墙本身生成,或者也可能已经由主机的IP堆栈生成并转发。因此,可选并更优选的是,对于这样通过防火墙接口42所接收的分组,如果它们不被允许则预过滤模块30能够放弃它们,而不是将其转发给防火墙。因此,可选且优选地,至少部分地根据接收分组所通过的接口,执行预过滤模块30是放弃还是传送分组的判定。
当然,预过滤模块30也有包含在本发明的范围内的其他实现方法。
图3是用于操作本发明的一个示例方法的流程图。在步骤1,一个分组被预过滤模块接收。在步骤2,至少该分组的一个参数被该预过滤模块取得;在步骤3,至少一个参数被用于检查已知的连接,优选地通过在这些已知的连接表中进行查找来执行。
在步骤4a,如果找到该分组的一个入口,则该预过滤模块执行一个或多个为该连接所设定的动作;在步骤5a,该分组被转发给其目的地;如果该分组有特定的路控制字段值(如一组使分组经过IP网络被传递的SYN/FIN/RST标志),则将不执行步骤4a和5a,这种情况下,该分组被优选地转发给防火墙进行处理。该话路控制字段值标明携带的连接状态的信息的分组,因此为了判定该连接的状态,该话路控制字段值对于防火墙的接收及分析有重要意义。
可选地,如果该预过滤模块不能执行某些功能,比如本发明的关于IP网络,特别是关于TCP/IP通信的IP网络的实施例中的虚拟合片功能,则分片分组也被转发给防火墙。在IP分组变得太大而不能被传输,分组被分成多个较小的分组(叫做分片)之后,将执行虚拟合片功能。虚拟合片是将所有接收的分片重新组装成原先的大分组的过程。
为防止各种由分片所带来的攻击,优选地,本发明的预过滤模块,或者防火墙,放弃重复的分组分片。换句话说,如果一个先前接收的分片被再次接收,则该分片被放弃。
再回到图3的流程图,另选地,在步骤4b中,如果在连接表中未找到分组入口,那么该分组被转发给防火墙进行处理。在步骤5b中,如果防火墙判定该分组所属的连接被允许,则可选地防火墙发送带有关于新连接信息的消息给预过滤模块。该消息优选地包括一个标识新连接的关键字、及关于地址转换的信息和可选地关于加密的信息,二者均为包括该分组本身修改的程序。标识新连接的关键字优选地包括信息诸如:源IP地址及端口、目的IP地址及端口、协议字段、及可选地一个分组被预定通过其接收以进行防欺骗保护的接口。地址转换信息包括所转换的源IP地址及端口、和目的IP地址及端口。
根据本发明的优选实施例,一旦防火墙将该消息发送给该预过滤模块,则连接就会被“卸载”给预过滤模块,这样防火墙将不再接收该连接的任何分组。优选地,防火墙不再接收任何其他的分组,直到接收到该连接的一个带有特定话路控制字段值(表明话路结束,如在IP网络实施例中的FIN/RST标志)的分组为止。
更加优选的是,当在一个特定时间段内未接收到一个特定连接的分组时,就会发生超时。因为防火墙没看到该卸载的连接的任何分组,所以防火墙就会询问预过滤模块接收到该连接的分组的上一次时间,根据接收到的答复,防火墙再决定保留还是删除该连接。如果防火墙删除该连接,则优选地从预过滤模块的该表中删除该连接。
根据本发明的其他优选实施例,防火墙以规则时间间隔从预过滤模块接收修改的计数信息,该信息可选并优选地被预过滤模块发给防火墙,而不是使防火墙轮询预过滤模块。计数信息优选地包括:从计数信息最后一次被修改,以及从一个特定连接的分组被预过滤模块最后一次接收以来,预过滤模块所接收的该特定连接的分组及字节的数目。该信息然后在预过滤模块内被复位,可选且更优选地,如果预过滤模块删除该连接,则预过滤模块将该连接的上一次的计数信息发给防火墙。
应该理解的是上述说明仅仅用作例子,在本发明的精神和范围内还有许多其他的实施例。

Claims (30)

1、一种用于加速分组过滤的系统,该系统包括:
(a)一个源节点,用于传输一个分组;
(b)一个目的节点,用于接收所述分组;
(c)一个防火墙,插置于所述源节点和所述目的节点之间,用于根据至少一个规则执行分组过滤;以及
(d)一个预过滤模块,与所述防火墙通信,用于从所述防火墙接收至少一个指令并在所述防火墙之前接收所述分组,使得如果根据所述至少一个指令所述分组被允许,则所述预过滤模块处理所述分组,或者所述预过滤模块将所述分组转发给所述防火墙进行处理。
2、如权利要求1所述的系统,其中在所述源节点和所述目的节点之间的分组传输形成一个连接,且所述防火墙判定所述连接是否被允许,使得所述至少一个指令包括所述分组的至少一个用于标识一个被允许连接的参数,使得如果所述连接被允许,则所述预过滤模块处理所述分组。
3、如权利要求2所述的系统,其中,如果所述分组有一个选择的话路控制字段值,则所述防火墙从所述预过滤模块接收来自从所述被允许的连接的一个分组。
4、如权利要求2所述的系统,其中,所述至少一个用于标识所述被允许连接的参数包括用于所述分组的一个源地址和一个目的地址。
5、如权利要求4所述的系统,其中,所述至少一个用于标识所述被允许连接的参数进一步包括用于所述分组的一个源端口和一个目的端口。
6、如权利要求2所述的系统,其中,如果已经有一段预定时间没有接收到所述被允许连接的一个附加分组,则所述连接被所述防火墙删除。
7、如权利要求2所述的系统,其中,如果接收到一个用于所述连接的、具有表示连接状态信息的特定话路控制字段值的分组,则所述分组被转发给所述防火墙。
8、如权利要求2所述的系统,其中,所述预过滤模块进一步包括:
(i)一个连接数据库,用于存储所述分组的用于标识所述被允许连接的所述至少一个参数。
9、如权利要求8所述的系统,其中,所述预过滤模块进一步包括:
(ii)一个分类引擎,用于分析所述分组的至少一部分,并将所述分组的所述至少一部分与所述至少一个参数进行比较。
10、如权利要求9所述的系统,其中,所述预过滤模块进一步包括:
(iii)一个修改器,用于如果从所述被允许连接接收到所述分组,则在所述分组上执行至少一个动作,所述至少一个动作是根据来自所述防火墙的指令确定的。
11、如权利要求10所述的系统,其中,所述预过滤模块以一个硬件装置实施。
12、如权利要求10所述的系统,进一步包括:
(e)一个计算装置,插置于所述源节点和目的节点之间,其中所述预过滤模块和所述防火墙由所述计算装置操作。
13、一种在网络上用于加速分组过滤的系统,该系统包括:
(a)一个防火墙,位于该网络上,用于根据至少一个规则在分组上执行分组过滤;以及
(b)一个预过滤模块,位于该网络上并与所述防火墙通信,用于从所述防火墙接收至少一个指令,所述至少一个指令判定一个简单比较,还用于在所述防火墙之前接收在该网络上传输的分组,使得如果该分组根据所述简单比较被允许,则所述预过滤模块至少在该网络上传输该分组。
14、如权利要求13所述的系统,其中,如果该分组不被允许,那么,如果该分组是从该网络上接收的,则所述预过滤模块将该分组转发给所述防火墙进行处理;或者如果该分组是从所述防火墙接收的,则所述预过滤模块放弃该分组。
15、如权利要求13所述的系统,进一步包括:
(c)一个源节点,用于传输该分组;以及
(d)一个目的节点,用于接收该分组;
其中,在所述源节点和所述目的节点之间的分组传输形成一个连接,并且所述防火墙判定所述连接是否被允许,使得所述至少一个指令包括所述分组的至少一个用于标识一个被允许连接的参数,使得如果所述连接被允许,则所述预过滤模块至少在该网络上传输该分组。
16、如权利要求15所述的系统,其中,如果所述连接不是一个被允许的连接,则所述预过滤模块放弃该分组。
17、一种接收分组的装置,在一个具有一个用于传输分组的网络及一个在该网络上过滤该分组的防火墙的加速分组过滤系统中使用,并且在该防火墙之前接收该分组,该装置包括:
(a)一个存储器,用于存储至少一个指令以分析来自该防火墙的分组的至少一个参数,所述至少一个指令包括所述至少一个用于标识该分组的参数;以及
(b)一个分类引擎,用于分析该分组的至少一部分,并根据所述至少一个指令将该分组的所述至少一部分与所述至少一个参数进行比较。
18、如权利要求17所述的装置,进一步包括:
(c)一个修改器,用于如果该分组被允许则在该分组上执行至少一个动作,所述至少一个动作是根据来自所述防火墙的所述至少一个指令确定的。
19、一种在一个与一个防火墙连接的网络上用于加速分组过滤的方法,该方法包括下列步骤:
(a)提供一个预过滤模块,用于在防火墙之前接收一个分组;
(b)由所述预过滤模块接收所述分组;
(c)判定所述分组是否被允许;以及
(d)如果所述分组被允许,则所述预过滤模块处理所述分组。
20、如权利要求19所述的方法,进一步包括步骤:
(e)或者,将所述分组转发给该防火墙。
21、如权利要求20所述的方法,其中如果所述分组是从该网络上接收的,则执行步骤(e)。
22、如权利要求21所述的方法,其中如果所述分组是从该防火墙接收的,则放弃该分组。
23、如权利要求19所述的方法,其中步骤(d)包括以一个优先权号码标注所述分组的步骤。
24、如权利要求19所述的方法,其中如果该分组作为多个分片被接收,则步骤(d)包括判定一个分片是否为一个重复分片的步骤,使得如果所述分片为一个重复分片,则该方法进一步包括以下步骤:
(e)放弃所述重复分片。
25、如权利要求19所述的方法,其中步骤(c)是根据从该防火墙接收的至少一个指令判定的。
26、如权利要求25所述的方法,其中所述分组有一个目的地址,并且步骤(d)包括将所述分组转发给所述目的地址的步骤。
27、如权利要求26所述的方法,其中步骤(d)包括由所述预过滤模块在所述分组上执行至少一个动作的步骤,所述至少一个动作是根据来自该防火墙的一个指令确定的。
28、如权利要求25所述的方法,其中所述分组设有至少一个参数,所述至少一个指令根据所述至少一个参数标识所述分组为一个被允许分组,使得步骤(c)包括分析所述分组以取得所述至少一个参数的步骤。
29、如权利要求28所述的方法,其中该防火墙根据至少一个先前接收的分组的至少一个源地址和一个目的地址对所述至少一个先前接收的分组进行分类,所述源地址和所述目的地址一起形成一个连接,使得该防火墙将用于标识所述连接为一个被允许连接的所述源地址和所述目的地址作为所述至少一个指令发送给所述预过滤模块。
30、如权利要求29所述的方法,其中该网络与多个接口通信,所述预过滤模块与所述多个接口中的每一个相连,使得步骤(c)包括判定所述分组是否是从所述被允许连接及一个被允许接口接收的步骤,使得只有当所述分组通过所述被允许接口从所述被允许连接接收时,所述分组才被允许。
CNB018058892A 2000-03-02 2001-02-26 分组接收装置以及用于加速分组过滤的系统和方法 Expired - Fee Related CN100474213C (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US09/517,276 US6496935B1 (en) 2000-03-02 2000-03-02 System, device and method for rapid packet filtering and processing
US09/517,276 2000-03-02

Publications (2)

Publication Number Publication Date
CN1406351A true CN1406351A (zh) 2003-03-26
CN100474213C CN100474213C (zh) 2009-04-01

Family

ID=24059131

Family Applications (1)

Application Number Title Priority Date Filing Date
CNB018058892A Expired - Fee Related CN100474213C (zh) 2000-03-02 2001-02-26 分组接收装置以及用于加速分组过滤的系统和方法

Country Status (17)

Country Link
US (1) US6496935B1 (zh)
EP (1) EP1266277B1 (zh)
JP (1) JP3954385B2 (zh)
KR (1) KR20020092972A (zh)
CN (1) CN100474213C (zh)
AT (1) ATE312463T1 (zh)
AU (2) AU4171701A (zh)
BR (1) BR0109035A (zh)
CA (1) CA2401577C (zh)
DE (1) DE60115615T2 (zh)
EA (1) EA004423B1 (zh)
HU (1) HUP0300039A2 (zh)
IL (2) IL151522A0 (zh)
NO (1) NO324958B1 (zh)
NZ (1) NZ520984A (zh)
PL (1) PL357181A1 (zh)
WO (1) WO2001065343A1 (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1574839B (zh) * 2003-06-06 2010-05-26 微软公司 多层防火墙结构
CN1574792B (zh) * 2003-06-06 2010-06-02 微软公司 用于执行网络防火墙的基于多层的方法
CN1881950B (zh) * 2005-05-26 2010-12-15 阿尔卡特公司 使用频谱分析的分组分类加速
CN105376167A (zh) * 2009-10-28 2016-03-02 惠普公司 分布式分组流检查和处理
CN114095450A (zh) * 2020-08-02 2022-02-25 特拉维夫迈络思科技有限公司 有状态过滤系统和方法

Families Citing this family (189)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7089588B2 (en) * 2000-01-19 2006-08-08 Reynolds And Reynolds Holdings, Inc. Performance path method and apparatus for exchanging data among systems using different data formats
US6854063B1 (en) * 2000-03-03 2005-02-08 Cisco Technology, Inc. Method and apparatus for optimizing firewall processing
US6732209B1 (en) * 2000-03-28 2004-05-04 Juniper Networks, Inc. Data rate division among a plurality of input queues
DE10025929B4 (de) * 2000-05-26 2006-02-16 Harman Becker Automotive Systems (Becker Division) Gmbh Verfahren zum Übertragen von Daten
US7120931B1 (en) * 2000-08-31 2006-10-10 Cisco Technology, Inc. System and method for generating filters based on analyzed flow data
US7574495B1 (en) 2000-09-13 2009-08-11 Fortinet, Inc. System and method for managing interworking communications protocols
US7111072B1 (en) 2000-09-13 2006-09-19 Cosine Communications, Inc. Packet routing system and method
US7272643B1 (en) * 2000-09-13 2007-09-18 Fortinet, Inc. System and method for managing and provisioning virtual routers
US7389358B1 (en) * 2000-09-13 2008-06-17 Fortinet, Inc. Distributed virtual system to support managed, network-based services
US8250357B2 (en) 2000-09-13 2012-08-21 Fortinet, Inc. Tunnel interface for securing traffic over a network
US7487232B1 (en) 2000-09-13 2009-02-03 Fortinet, Inc. Switch management system and method
US7054930B1 (en) * 2000-10-26 2006-05-30 Cisco Technology, Inc. System and method for propagating filters
US6922786B1 (en) * 2000-10-31 2005-07-26 Nortel Networks Limited Real-time media communications over firewalls using a control protocol
US7131140B1 (en) * 2000-12-29 2006-10-31 Cisco Technology, Inc. Method for protecting a firewall load balancer from a denial of service attack
US6731652B2 (en) * 2001-02-14 2004-05-04 Metro Packet Systems Inc. Dynamic packet processor architecture
WO2002067531A1 (en) * 2001-02-20 2002-08-29 Eyeball Networks Inc. Method and apparatus to permit data transmission to traverse firewalls
US7664119B2 (en) * 2001-03-30 2010-02-16 Intel Corporation Method and apparatus to perform network routing
US7277953B2 (en) * 2001-04-18 2007-10-02 Emc Corporation Integrated procedure for partitioning network data services among multiple subscribers
US6816455B2 (en) * 2001-05-09 2004-11-09 Telecom Italia S.P.A. Dynamic packet filter utilizing session tracking
JP2002358239A (ja) * 2001-06-04 2002-12-13 Fuji Electric Co Ltd 著作権保護システム
US7181547B1 (en) 2001-06-28 2007-02-20 Fortinet, Inc. Identifying nodes in a ring network
US20040001433A1 (en) * 2001-07-18 2004-01-01 Gram Charles Andrew Interactive control of network devices
US7134012B2 (en) * 2001-08-15 2006-11-07 International Business Machines Corporation Methods, systems and computer program products for detecting a spoofed source address in IP datagrams
WO2003025766A1 (en) * 2001-09-14 2003-03-27 Nokia Inc. System and method for packet forwarding
US7409706B1 (en) 2001-10-02 2008-08-05 Cisco Technology, Inc. System and method for providing path protection of computer network traffic
KR100452143B1 (ko) * 2001-10-16 2004-10-08 주식회사 플랜티넷 비대칭 트래픽 흐름 방식을 이용한 웹 필터링 장치 및방법
JP2003242714A (ja) * 2001-10-24 2003-08-29 Fuji Electric Co Ltd 情報記録媒体、その媒体の製造方法、情報処理装置、並びに、著作権管理システム
US9392002B2 (en) * 2002-01-31 2016-07-12 Nokia Technologies Oy System and method of providing virus protection at a gateway
US7216260B2 (en) * 2002-03-27 2007-05-08 International Business Machines Corporation Method, system and program product for dynamically detecting errant data sequences and performing corresponding actions
US7185365B2 (en) * 2002-03-27 2007-02-27 Intel Corporation Security enabled network access control
US20030200463A1 (en) * 2002-04-23 2003-10-23 Mccabe Alan Jason Inter-autonomous system weighstation
CN1152531C (zh) * 2002-04-23 2004-06-02 华为技术有限公司 分片报文的网络访问控制方法
US7120797B2 (en) * 2002-04-24 2006-10-10 Microsoft Corporation Methods for authenticating potential members invited to join a group
AUPS214802A0 (en) * 2002-05-01 2002-06-06 Firebridge Systems Pty Ltd Firewall with stateful inspection
US20030212901A1 (en) * 2002-05-13 2003-11-13 Manav Mishra Security enabled network flow control
US7177311B1 (en) * 2002-06-04 2007-02-13 Fortinet, Inc. System and method for routing traffic through a virtual router-based network switch
US7340535B1 (en) * 2002-06-04 2008-03-04 Fortinet, Inc. System and method for controlling routing in a virtual router system
US7116665B2 (en) * 2002-06-04 2006-10-03 Fortinet, Inc. Methods and systems for a distributed provider edge
US7376125B1 (en) 2002-06-04 2008-05-20 Fortinet, Inc. Service processing switch
US7161904B2 (en) 2002-06-04 2007-01-09 Fortinet, Inc. System and method for hierarchical metering in a virtual router based network switch
US7203192B2 (en) 2002-06-04 2007-04-10 Fortinet, Inc. Network packet steering
US9088494B2 (en) * 2002-06-26 2015-07-21 Avaya Communication Israel Ltd. Packet fragmentation prevention
US7146638B2 (en) * 2002-06-27 2006-12-05 International Business Machines Corporation Firewall protocol providing additional information
US6983323B2 (en) * 2002-08-12 2006-01-03 Tippingpoint Technologies, Inc. Multi-level packet screening with dynamically selected filtering criteria
US7096383B2 (en) 2002-08-29 2006-08-22 Cosine Communications, Inc. System and method for virtual router failover in a network routing system
US20100138909A1 (en) * 2002-09-06 2010-06-03 O2Micro, Inc. Vpn and firewall integrated system
US7315890B2 (en) * 2002-10-02 2008-01-01 Lockheed Martin Corporation System and method for managing access to active devices operably connected to a data network
US7440573B2 (en) * 2002-10-08 2008-10-21 Broadcom Corporation Enterprise wireless local area network switching system
US20040078422A1 (en) * 2002-10-17 2004-04-22 Toomey Christopher Newell Detecting and blocking spoofed Web login pages
US7266120B2 (en) 2002-11-18 2007-09-04 Fortinet, Inc. System and method for hardware accelerated packet multicast in a virtual routing system
TW200412101A (en) * 2002-12-23 2004-07-01 Shaw-Hwa Hwang Directly peer-to peer transmission protocol between two virtual network
MY141160A (en) * 2003-01-13 2010-03-31 Multimedia Glory Sdn Bhd System and method of preventing the transmission of known and unknown electronic content to and from servers or workstations connected to a common network
JP4257151B2 (ja) * 2003-02-28 2009-04-22 富士通株式会社 パケット制御システム、パケット制御装置、パケット中継装置およびパケット制御プログラム
TW200420021A (en) * 2003-03-19 2004-10-01 Etrunk Technologies Inc Network packet routing control device
US7325002B2 (en) * 2003-04-04 2008-01-29 Juniper Networks, Inc. Detection of network security breaches based on analysis of network record logs
WO2004107130A2 (en) 2003-05-28 2004-12-09 Caymas Systems, Inc. Multilayer access control security system
US7760729B2 (en) 2003-05-28 2010-07-20 Citrix Systems, Inc. Policy based network address translation
US7308711B2 (en) * 2003-06-06 2007-12-11 Microsoft Corporation Method and framework for integrating a plurality of network policies
US6985920B2 (en) * 2003-06-23 2006-01-10 Protego Networks Inc. Method and system for determining intra-session event correlation across network address translation devices
US20050022017A1 (en) 2003-06-24 2005-01-27 Maufer Thomas A. Data structures and state tracking for network protocol processing
US7620070B1 (en) * 2003-06-24 2009-11-17 Nvidia Corporation Packet processing with re-insertion into network interface circuitry
US7305705B2 (en) * 2003-06-30 2007-12-04 Microsoft Corporation Reducing network configuration complexity with transparent virtual private networks
US20050144290A1 (en) * 2003-08-01 2005-06-30 Rizwan Mallal Arbitrary java logic deployed transparently in a network
US7522594B2 (en) * 2003-08-19 2009-04-21 Eye Ball Networks, Inc. Method and apparatus to permit data transmission to traverse firewalls
US7720095B2 (en) 2003-08-27 2010-05-18 Fortinet, Inc. Heterogeneous media packet bridging
US7464181B2 (en) * 2003-09-11 2008-12-09 International Business Machines Corporation Method for caching lookups based upon TCP traffic flow characteristics
US7594018B2 (en) * 2003-10-10 2009-09-22 Citrix Systems, Inc. Methods and apparatus for providing access to persistent application sessions
US20050100019A1 (en) * 2003-11-10 2005-05-12 Sahita Ravi L. Rule based packet processing engine
US7978716B2 (en) 2003-11-24 2011-07-12 Citrix Systems, Inc. Systems and methods for providing a VPN solution
US7792147B1 (en) * 2004-02-09 2010-09-07 Symantec Corporation Efficient assembly of fragmented network traffic for data security
KR100609170B1 (ko) * 2004-02-13 2006-08-02 엘지엔시스(주) 네트워크 보안 시스템 및 그 동작 방법
US6972226B2 (en) * 2004-03-31 2005-12-06 Infineon Technologies Ag Charge-trapping memory cell array and method for production
US20050268331A1 (en) * 2004-05-25 2005-12-01 Franck Le Extension to the firewall configuration protocols and features
US8495305B2 (en) 2004-06-30 2013-07-23 Citrix Systems, Inc. Method and device for performing caching of dynamically generated objects in a data communication network
US7757074B2 (en) 2004-06-30 2010-07-13 Citrix Application Networking, Llc System and method for establishing a virtual private network
US8739274B2 (en) 2004-06-30 2014-05-27 Citrix Systems, Inc. Method and device for performing integrated caching in a data communication network
US7808906B2 (en) 2004-07-23 2010-10-05 Citrix Systems, Inc. Systems and methods for communicating a lossy protocol via a lossless protocol using false acknowledgements
CN101199187A (zh) 2004-07-23 2008-06-11 茨特里克斯系统公司 用于网络节点之间通信最优化的系统和方法
US7865944B1 (en) * 2004-09-10 2011-01-04 Juniper Networks, Inc. Intercepting GPRS data
GB0420684D0 (en) * 2004-09-17 2004-10-20 Oostendorp Jeroen Platform for intelligent Email distribution
US7499419B2 (en) 2004-09-24 2009-03-03 Fortinet, Inc. Scalable IP-services enabled multicast forwarding with efficient resource utilization
US7748032B2 (en) 2004-09-30 2010-06-29 Citrix Systems, Inc. Method and apparatus for associating tickets in a ticket hierarchy
US8613048B2 (en) 2004-09-30 2013-12-17 Citrix Systems, Inc. Method and apparatus for providing authorized remote access to application sessions
US7711835B2 (en) 2004-09-30 2010-05-04 Citrix Systems, Inc. Method and apparatus for reducing disclosure of proprietary data in a networked environment
KR100624483B1 (ko) * 2004-10-06 2006-09-18 삼성전자주식회사 네트워크에서의 차등 침입탐지 장치 및 방법
US7808904B2 (en) * 2004-11-18 2010-10-05 Fortinet, Inc. Method and apparatus for managing subscriber profiles
JP2006174350A (ja) * 2004-12-20 2006-06-29 Fujitsu Ltd 通信装置
US8954595B2 (en) 2004-12-30 2015-02-10 Citrix Systems, Inc. Systems and methods for providing client-side accelerated access to remote applications via TCP buffering
US7810089B2 (en) * 2004-12-30 2010-10-05 Citrix Systems, Inc. Systems and methods for automatic installation and execution of a client-side acceleration program
US8549149B2 (en) 2004-12-30 2013-10-01 Citrix Systems, Inc. Systems and methods for providing client-side accelerated access to remote applications via TCP multiplexing
US8706877B2 (en) 2004-12-30 2014-04-22 Citrix Systems, Inc. Systems and methods for providing client-side dynamic redirection to bypass an intermediary
US8700695B2 (en) 2004-12-30 2014-04-15 Citrix Systems, Inc. Systems and methods for providing client-side accelerated access to remote applications via TCP pooling
US8255456B2 (en) 2005-12-30 2012-08-28 Citrix Systems, Inc. System and method for performing flash caching of dynamically generated objects in a data communication network
US8024568B2 (en) 2005-01-28 2011-09-20 Citrix Systems, Inc. Method and system for verification of an endpoint security scan
US7665128B2 (en) 2005-04-08 2010-02-16 At&T Corp. Method and apparatus for reducing firewall rules
US7634584B2 (en) 2005-04-27 2009-12-15 Solarflare Communications, Inc. Packet validation in virtual network interface architecture
US20070097976A1 (en) * 2005-05-20 2007-05-03 Wood George D Suspect traffic redirection
US8631483B2 (en) * 2005-06-14 2014-01-14 Texas Instruments Incorporated Packet processors and packet filter processes, circuits, devices, and systems
CN100448227C (zh) * 2005-08-30 2008-12-31 杭州华三通信技术有限公司 业务流的识别方法
KR100753815B1 (ko) * 2005-08-31 2007-08-31 한국전자통신연구원 패킷 차단 장치 및 그 방법
US8347373B2 (en) 2007-05-08 2013-01-01 Fortinet, Inc. Content filtering of remote file-system access protocols
EP1955526B1 (en) 2005-12-02 2010-05-05 Citrix Systems, Inc. Method and apparatus for providing authentication credentials from a proxy server to a virtualized computing environment to access a remote resource
JP4545085B2 (ja) * 2005-12-08 2010-09-15 富士通株式会社 ファイアウォール装置
US8730834B2 (en) * 2005-12-23 2014-05-20 General Electric Company Intelligent electronic device with embedded multi-port data packet controller
US8301839B2 (en) 2005-12-30 2012-10-30 Citrix Systems, Inc. System and method for performing granular invalidation of cached dynamically generated objects in a data communication network
US7921184B2 (en) 2005-12-30 2011-04-05 Citrix Systems, Inc. System and method for performing flash crowd caching of dynamically generated objects in a data communication network
US8584226B2 (en) 2006-01-26 2013-11-12 Iorhythm, Inc. Method and apparatus for geographically regulating inbound and outbound network communications
US7606225B2 (en) * 2006-02-06 2009-10-20 Fortinet, Inc. Integrated security switch
US7784086B2 (en) * 2006-03-08 2010-08-24 Panasonic Corporation Method for secure packet identification
JP4823728B2 (ja) * 2006-03-20 2011-11-24 富士通株式会社 フレーム中継装置及びフレーム検査装置
US8151323B2 (en) * 2006-04-12 2012-04-03 Citrix Systems, Inc. Systems and methods for providing levels of access and action control via an SSL VPN appliance
US8122492B2 (en) * 2006-04-21 2012-02-21 Microsoft Corporation Integration of social network information and network firewalls
US8079073B2 (en) * 2006-05-05 2011-12-13 Microsoft Corporation Distributed firewall implementation and control
US8176157B2 (en) * 2006-05-18 2012-05-08 Microsoft Corporation Exceptions grouping
US7603333B2 (en) * 2006-06-14 2009-10-13 Microsoft Corporation Delayed policy evaluation
US7865878B2 (en) * 2006-07-31 2011-01-04 Sap Ag Method and apparatus for operating enterprise software from a detachable storage device
US8533846B2 (en) 2006-11-08 2013-09-10 Citrix Systems, Inc. Method and system for dynamically associating access rights with a resource
US7688821B2 (en) * 2006-11-21 2010-03-30 O2Micro International Ltd. Method and apparatus for distributing data packets by using multi-network address translation
US8984620B2 (en) * 2007-07-06 2015-03-17 Cyberoam Technologies Pvt. Ltd. Identity and policy-based network security and management system and method
US10540651B1 (en) * 2007-07-31 2020-01-21 Intuit Inc. Technique for restricting access to information
US8060927B2 (en) * 2007-10-31 2011-11-15 Microsoft Corporation Security state aware firewall
JP5223376B2 (ja) * 2008-02-29 2013-06-26 日本電気株式会社 リモートアクセスシステム、方法及びプログラム
US20090235355A1 (en) * 2008-03-17 2009-09-17 Inventec Corporation Network intrusion protection system
US8261317B2 (en) * 2008-03-27 2012-09-04 Juniper Networks, Inc. Moving security for virtual machines
JP5153480B2 (ja) * 2008-06-27 2013-02-27 三菱電機株式会社 ゲートウェイ装置およびパケットフィルタリング方法
US7908376B2 (en) * 2008-07-31 2011-03-15 Broadcom Corporation Data path acceleration of a network stack
US8769665B2 (en) * 2009-09-29 2014-07-01 Broadcom Corporation IP communication device as firewall between network and computer system
US8656492B2 (en) * 2011-05-16 2014-02-18 General Electric Company Systems, methods, and apparatus for network intrusion detection
WO2012163587A1 (en) * 2011-05-31 2012-12-06 Alcatel Lucent Distributed access control across the network firewalls
US8881258B2 (en) * 2011-08-24 2014-11-04 Mcafee, Inc. System, method, and computer program for preventing infections from spreading in a network environment using dynamic application of a firewall policy
US8681794B2 (en) 2011-11-30 2014-03-25 Broadcom Corporation System and method for efficient matching of regular expression patterns across multiple packets
US8724496B2 (en) * 2011-11-30 2014-05-13 Broadcom Corporation System and method for integrating line-rate application recognition in a switch ASIC
US9503327B2 (en) * 2012-07-24 2016-11-22 Nec Corporation Filtering setting support device, filtering setting support method, and medium
KR101558054B1 (ko) * 2012-11-19 2015-10-06 삼성에스디에스 주식회사 안티 멀웨어 시스템 및 안티 멀웨어 시스템에서의 패킷 처리 방법
US9319351B1 (en) * 2012-11-26 2016-04-19 Marvell Israel (M.I.S.L.) Ltd. Mechanism for wire-speed stateful packet inspection in packet processors
US10033693B2 (en) 2013-10-01 2018-07-24 Nicira, Inc. Distributed identity-based firewalls
US9215213B2 (en) 2014-02-20 2015-12-15 Nicira, Inc. Method and apparatus for distributing firewall rules
US9755981B2 (en) 2014-03-11 2017-09-05 Vmware, Inc. Snooping forwarded packets by a virtual machine
US9742682B2 (en) 2014-03-11 2017-08-22 Vmware, Inc. Large receive offload for virtual machines
US9384033B2 (en) 2014-03-11 2016-07-05 Vmware, Inc. Large receive offload for virtual machines
US9215210B2 (en) 2014-03-31 2015-12-15 Nicira, Inc. Migrating firewall connection state for a firewall service virtual machine
US9503427B2 (en) 2014-03-31 2016-11-22 Nicira, Inc. Method and apparatus for integrating a service virtual machine
US9906494B2 (en) 2014-03-31 2018-02-27 Nicira, Inc. Configuring interactions with a firewall service virtual machine
US9774707B2 (en) 2014-06-04 2017-09-26 Nicira, Inc. Efficient packet classification for dynamic containers
US9825913B2 (en) 2014-06-04 2017-11-21 Nicira, Inc. Use of stateless marking to speed up stateful firewall rule processing
US9729512B2 (en) 2014-06-04 2017-08-08 Nicira, Inc. Use of stateless marking to speed up stateful firewall rule processing
US10110712B2 (en) 2014-06-04 2018-10-23 Nicira, Inc. Efficient packet classification for dynamic containers
WO2015187201A1 (en) * 2014-06-04 2015-12-10 Nicira, Inc. Use of stateless marking to speed up stateful firewall rule processing
US9419897B2 (en) 2014-06-30 2016-08-16 Nicira, Inc. Methods and systems for providing multi-tenancy support for Single Root I/O Virtualization
US9692698B2 (en) 2014-06-30 2017-06-27 Nicira, Inc. Methods and systems to offload overlay network packet encapsulation to hardware
US9692727B2 (en) 2014-12-02 2017-06-27 Nicira, Inc. Context-aware distributed firewall
US9891940B2 (en) 2014-12-29 2018-02-13 Nicira, Inc. Introspection method and apparatus for network access filtering
US9806948B2 (en) 2015-06-30 2017-10-31 Nicira, Inc. Providing firewall rules for workload spread across multiple data centers
US10324746B2 (en) 2015-11-03 2019-06-18 Nicira, Inc. Extended context delivery for context-based authorization
KR102068228B1 (ko) 2016-04-12 2020-01-21 가드녹스 사이버 테크놀로지스 엘티디. 보안 록다운을 구현하도록 구성되는 관련 디바이스 및 그 사용 방법을 갖는 특별히 프로그래밍된 컴퓨터 시스템
US10348685B2 (en) 2016-04-29 2019-07-09 Nicira, Inc. Priority allocation for distributed service rules
US10135727B2 (en) 2016-04-29 2018-11-20 Nicira, Inc. Address grouping for distributed service rules
US11171920B2 (en) 2016-05-01 2021-11-09 Nicira, Inc. Publication of firewall configuration
US11425095B2 (en) 2016-05-01 2022-08-23 Nicira, Inc. Fast ordering of firewall sections and rules
US11088990B2 (en) 2016-06-29 2021-08-10 Nicira, Inc. Translation cache for firewall configuration
US11258761B2 (en) 2016-06-29 2022-02-22 Nicira, Inc. Self-service firewall configuration
US11115385B1 (en) * 2016-07-27 2021-09-07 Cisco Technology, Inc. Selective offloading of packet flows with flow state management
US10938837B2 (en) 2016-08-30 2021-03-02 Nicira, Inc. Isolated network stack to manage security for virtual machines
US10333983B2 (en) 2016-08-30 2019-06-25 Nicira, Inc. Policy definition and enforcement for a network virtualization platform
US10193862B2 (en) 2016-11-29 2019-01-29 Vmware, Inc. Security policy analysis based on detecting new network port connections
US10609160B2 (en) 2016-12-06 2020-03-31 Nicira, Inc. Performing context-rich attribute-based services on a host
US10581960B2 (en) 2016-12-22 2020-03-03 Nicira, Inc. Performing context-rich attribute-based load balancing on a host
US11032246B2 (en) 2016-12-22 2021-06-08 Nicira, Inc. Context based firewall services for data message flows for multiple concurrent users on one machine
US10803173B2 (en) 2016-12-22 2020-10-13 Nicira, Inc. Performing context-rich attribute-based process control services on a host
US10805332B2 (en) 2017-07-25 2020-10-13 Nicira, Inc. Context engine model
US10503536B2 (en) 2016-12-22 2019-12-10 Nicira, Inc. Collecting and storing threat level indicators for service rule processing
US10812451B2 (en) 2016-12-22 2020-10-20 Nicira, Inc. Performing appID based firewall services on a host
US10313926B2 (en) 2017-05-31 2019-06-04 Nicira, Inc. Large receive offload (LRO) processing in virtualized computing environments
US10778651B2 (en) 2017-11-15 2020-09-15 Nicira, Inc. Performing context-rich attribute-based encryption on a host
US10802893B2 (en) 2018-01-26 2020-10-13 Nicira, Inc. Performing process control services on endpoint machines
US10862773B2 (en) 2018-01-26 2020-12-08 Nicira, Inc. Performing services on data messages associated with endpoint machines
US11388141B1 (en) * 2018-03-28 2022-07-12 Juniper Networks, Inc Apparatus, system, and method for efficiently filtering packets at network devices
US11310202B2 (en) 2019-03-13 2022-04-19 Vmware, Inc. Sharing of firewall rules among multiple workloads in a hypervisor
US11539718B2 (en) 2020-01-10 2022-12-27 Vmware, Inc. Efficiently performing intrusion detection
US11108728B1 (en) 2020-07-24 2021-08-31 Vmware, Inc. Fast distribution of port identifiers for rule processing
US11593278B2 (en) 2020-09-28 2023-02-28 Vmware, Inc. Using machine executing on a NIC to access a third party storage not supported by a NIC or host
US11636053B2 (en) 2020-09-28 2023-04-25 Vmware, Inc. Emulating a local storage by accessing an external storage through a shared port of a NIC
US20220100432A1 (en) 2020-09-28 2022-03-31 Vmware, Inc. Distributed storage services supported by a nic
US11875172B2 (en) 2020-09-28 2024-01-16 VMware LLC Bare metal computer for booting copies of VM images on multiple computing devices using a smart NIC
US11792134B2 (en) 2020-09-28 2023-10-17 Vmware, Inc. Configuring PNIC to perform flow processing offload using virtual port identifiers
US11863376B2 (en) 2021-12-22 2024-01-02 Vmware, Inc. Smart NIC leader election
US11928062B2 (en) 2022-06-21 2024-03-12 VMware LLC Accelerating data message classification with smart NICs
US11899594B2 (en) 2022-06-21 2024-02-13 VMware LLC Maintenance of data message classification cache on smart NIC
US11928367B2 (en) 2022-06-21 2024-03-12 VMware LLC Logical memory addressing for network devices

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5400331A (en) * 1993-04-28 1995-03-21 Allen-Bradley Company, Inc. Communication network interface with screeners for incoming messages
US5623601A (en) * 1994-11-18 1997-04-22 Milkway Networks Corporation Apparatus and method for providing a secure gateway for communication and data exchanges between networks
US5802320A (en) * 1995-05-18 1998-09-01 Sun Microsystems, Inc. System for packet filtering of data packets at a computer network interface
US5648965A (en) * 1995-07-07 1997-07-15 Sun Microsystems, Inc. Method and apparatus for dynamic distributed packet tracing and analysis
US5801753A (en) * 1995-08-11 1998-09-01 General Instrument Corporation Of Delaware Method and apparatus for providing an interactive guide to events available on an information network
US6147976A (en) * 1996-06-24 2000-11-14 Cabletron Systems, Inc. Fast network layer packet filter
US5828833A (en) * 1996-08-15 1998-10-27 Electronic Data Systems Corporation Method and system for allowing remote procedure calls through a network firewall
US6119236A (en) * 1996-10-07 2000-09-12 Shipley; Peter M. Intelligent network security device and method
US6070242A (en) * 1996-12-09 2000-05-30 Sun Microsystems, Inc. Method to activate unregistered systems in a distributed multiserver network environment
US5835727A (en) * 1996-12-09 1998-11-10 Sun Microsystems, Inc. Method and apparatus for controlling access to services within a computer network
US6073178A (en) * 1996-12-09 2000-06-06 Sun Microsystems, Inc. Method and apparatus for assignment of IP addresses
US5848233A (en) * 1996-12-09 1998-12-08 Sun Microsystems, Inc. Method and apparatus for dynamic packet filter assignment
US6208651B1 (en) * 1997-06-10 2001-03-27 Cornell Research Foundation, Inc. Method and system for masking the overhead of protocol layering
US6158008A (en) * 1997-10-23 2000-12-05 At&T Wireless Svcs. Inc. Method and apparatus for updating address lists for a packet filter processor
US6092110A (en) * 1997-10-23 2000-07-18 At&T Wireless Svcs. Inc. Apparatus for filtering packets using a dedicated processor
WO1999048261A2 (en) * 1998-03-18 1999-09-23 Secure Computing Corporation System and method for controlling interactions between networks
US6092108A (en) * 1998-03-19 2000-07-18 Diplacido; Bruno Dynamic threshold packet filtering of application processor frames
AU5567499A (en) * 1998-08-17 2000-03-06 Vitesse Semiconductor Corporation Packet processing architecture and methods

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1574839B (zh) * 2003-06-06 2010-05-26 微软公司 多层防火墙结构
CN1574792B (zh) * 2003-06-06 2010-06-02 微软公司 用于执行网络防火墙的基于多层的方法
CN1881950B (zh) * 2005-05-26 2010-12-15 阿尔卡特公司 使用频谱分析的分组分类加速
CN105376167A (zh) * 2009-10-28 2016-03-02 惠普公司 分布式分组流检查和处理
CN114095450A (zh) * 2020-08-02 2022-02-25 特拉维夫迈络思科技有限公司 有状态过滤系统和方法

Also Published As

Publication number Publication date
US6496935B1 (en) 2002-12-17
NO20024113D0 (no) 2002-08-29
IL151522A0 (en) 2003-04-10
AU4171701A (en) 2001-09-12
HUP0300039A2 (en) 2003-05-28
PL357181A1 (en) 2004-07-26
AU2001241717B2 (en) 2005-12-22
DE60115615T2 (de) 2006-07-06
NO20024113L (no) 2002-11-01
BR0109035A (pt) 2003-06-03
NO324958B1 (no) 2008-01-14
CA2401577C (en) 2007-09-18
EA004423B1 (ru) 2004-04-29
KR20020092972A (ko) 2002-12-12
EP1266277A1 (en) 2002-12-18
ATE312463T1 (de) 2005-12-15
CA2401577A1 (en) 2001-09-07
JP3954385B2 (ja) 2007-08-08
DE60115615D1 (de) 2006-01-12
EP1266277B1 (en) 2005-12-07
CN100474213C (zh) 2009-04-01
EP1266277A4 (en) 2003-07-02
WO2001065343A1 (en) 2001-09-07
EA200200814A1 (ru) 2003-02-27
JP2003525557A (ja) 2003-08-26
IL151522A (en) 2007-12-03
NZ520984A (en) 2003-02-28

Similar Documents

Publication Publication Date Title
CN1406351A (zh) 快速分组过滤与处理系统、装置及方法
CN1143224C (zh) 安全网络协议系统和方法
Srinivasan et al. Fast and scalable layer four switching
US9246926B2 (en) Packet validation using watermarks
CN1153416C (zh) 分组交换机通信方法
CN1575462A (zh) 在第2层装置中实现第3层/第7层防火墙的方法和设备
CN1311660C (zh) 服务器设备,通信系统和给网络分配安全性策略的方法
CN1713593A (zh) 应用服务器安全法与网络安全法的安全系统与方法
AU2001241717A1 (en) System, device and method for rapid packet filtering and processing
MXPA04005464A (es) Arquitectura de la pared de fuego estratificada.
CN1761244A (zh) 设置边界网关协议路由选择通知功能的方法
WO2002035795A1 (en) Transparent proxy server
CN1640090A (zh) 分布式服务拒绝攻击的安全的自动化的响应装置与方法
ZA200402459B (en) Method and apparatus for dynamic client-side load balancing system
US8336093B2 (en) Abnormal IPSec packet control system using IPSec configuration and session data, and method thereof
CN1781286A (zh) 用于分组分类和重写的方法和装置
KR20080021677A (ko) 데이터 프로세싱 시스템
CN101052046A (zh) 一种用于防火墙的防病毒方法及装置
CN101056306A (zh) 网络设备及其访问控制方法
CN1832458A (zh) 用于实现应用服务器功能性的方法和接入节点
CN1152517C (zh) 防范网络攻击的方法
CN1496642A (zh) 具有对于接入规则的索引的防火墙
CN1476208A (zh) 一种支持地址转换应用网关的方法
CN1640094A (zh) 利用转换连接来管理无源网络设备的系统和方法
US20050071493A1 (en) SNMP packet filtering for printing devices

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20090401

Termination date: 20150226

EXPY Termination of patent right or utility model