DE60115615T2 - System, einrichtung und verfahren zur schnellen paketfilterung und -verarbeitung - Google Patents

System, einrichtung und verfahren zur schnellen paketfilterung und -verarbeitung Download PDF

Info

Publication number
DE60115615T2
DE60115615T2 DE60115615T DE60115615T DE60115615T2 DE 60115615 T2 DE60115615 T2 DE 60115615T2 DE 60115615 T DE60115615 T DE 60115615T DE 60115615 T DE60115615 T DE 60115615T DE 60115615 T2 DE60115615 T2 DE 60115615T2
Authority
DE
Germany
Prior art keywords
firewall
packet
connection
packets
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60115615T
Other languages
English (en)
Other versions
DE60115615D1 (de
Inventor
Gonen Fink
Amir Harush
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Check Point Software Technologies Ltd
Original Assignee
Check Point Software Technologies Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Check Point Software Technologies Ltd filed Critical Check Point Software Technologies Ltd
Application granted granted Critical
Publication of DE60115615D1 publication Critical patent/DE60115615D1/de
Publication of DE60115615T2 publication Critical patent/DE60115615T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0254Stateful filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Description

  • Gebiet und Hintergrund der Erfindung
  • Die vorliegende Erfindung betrifft ein System, eine Vorrichtung und ein Verfahren zum raschen Paketfiltrieren in einem paketvermittelten Netz und insbesondere ein derartiges System, eine derartige Vorrichtung und ein derartiges Verfahren, bei welchen die Effizienz der Paketfiltrierung durch Filtrieren auf Sessionbasis erhöht wird.
  • Verbindungsfähigkeit und Sicherheit sind zwei widersprüchliche Ziele in der Computerumgebung der meisten Organisationen. Das typische moderne Computersystem ist um die Netzkommunikation aufgebaut und bietet transparenten Zugriff auf eine Vielzahl von Diensten. Die globale Verfügbarkeit dieser Dienste ist vielleicht das wichtigste Einzelmerkmal von modernen Computerlösungen. Der Bedarf nach Verbindungsfähigkeit kommt sowohl von innerhalb der Organisationen als auch von außerhalb.
  • Der Schutz von Netzdiensten gegen unberechtigte Nutzung ist für jede Organisation von größter Wichtigkeit. Mit zunehmendem Bedarf nach gesteigerter Sicherheit wurden die Einrichtungen zur Kontrolle des Zugriffs auf Netzressourcen an den vordersten Rang der Verwaltungsaufgaben gesetzt. Um Kosten zu sparen und die Produktivität aufrechtzuerhalten, muss die Zugriffskontrolle einfach zu konfigurieren und für Benutzer und Anwendungen transparent sein. Die Minimierung von Einrichtungskosten und Ausfallzeiten sind ebenfalls wichtige Faktoren.
  • Paketfiltrierung ist ein Verfahren, das die Verbindungsfähigkeit zulässt, aber doch durch die Kontrolle des durchgeleiteten Verkehrs Sicherheit bietet, womit illegale Kommunikationsversuche sowohl innerhalb einzelner Netze als auch zwischen verbundenen Netzen verhindert werden.
  • Die US-Patente Nr. 5,835,726 (eingereicht am 17. Juni 1996) und 5,606,668 (eingereicht am 15. Dezember 1993) beschreiben Verfahren zum Schaffen von Netz-Sicherheit durch Kontrollieren des hereinkommenden und hinausgehenden Datenpaketstroms in einem Computernetz. Der Paketstrom wird durch Paketfiltrierung kontrolliert, die gemäß einer vom Benutzer erzeugten Regelbasis durchgeführt wird, die dann in eine Gruppe von Filtersprachbefehlen umgewandelt wird. Jede Regel in der Regelbasis umfasst eine Quelle, ein Ziel, einen Dienst, ob das Paket akzeptiert oder zurückgewiesen werden soll und ob das Ereignis geloggt, verschlüsselt und/oder authentifiziert werden soll. Die Gruppe der Filtersprachbefehle wird auf Prüfmaschinen installiert und ausgeführt, die auf Computern platziert werden, die als Firewalls dienen. Die Prüfmaschinen führen eine stateful-Prüfung durch, um zu bestimmen, ob einem Paket der Durchgang durch die Firewall erlaubt werden sollte. Die Firewalls sind in dem Computernetz in der Weise positioniert, dass der gesamte Verkehr in das zu schützende Netz und aus dem zu schützenden Netz gezwungen ist, durch die Firewall zu laufen. Somit werden Pakete, während sie in das Netz und aus dem Netz strömen, in Übereinstimmung mit den Regeln, die die Regelbasis enthält, gefiltert.
  • Gemäß diesen Referenzen arbeitet die Prüfmaschinen als eine virtuelle Paketfiltermaschine, die auf der Basis von einzelnen Paketen bestimmt, ob ein Paket veeworfen oder akzeptiert wird. Wenn ein Paket verworfen wird, wird es fallengelassen. Wenn es akzeptiert wird, kann das Paket dann modifiziert werden. Die Modifizierung kann Verschlüsselung, Entschlüsselung, Erzeugen einer Signatur, Verifizierung eine Signatur oder Adressübersetzung umfassen. Alle Modifizierungen werden in Übereinstimmung mit dem Inhalt der Regelbasis durchgeführt.
  • Leider ist ein Nachteil des aufgezeigten Verfahrens, dass der die Firewall betreibende Computer eine große Rechenlast zu leisten hat. Die vorstehend aufgezeigten Prozesse des Paketfiltrierens erfordern es, dass jedes Paket separat analysiert wird, und zwar mit vielen verschiedenen Vergleichen, um die Regeln aufzustellen, gemäß welchen der Eintritt eines Pakets durch die Firewall bestimmt wird. Wenn eine Session oder eine Verbindung zwischen zwei Knoten, die durch die Firewall eingerichtet wird, als zulässig validiert wurde, ist jedoch in den meisten Fälle eine weitere intensive Analyse möglicherweise nicht erforderlich. Somit würde das Reduzieren oder sogar das Beseitigen dieser Erfordernis der kontinuierlichen Analyse von Paketen aus einer zulässigen Verbindung die durch eine Firewall entstehende Rechenlast beträchtlich reduzieren und den Prozess des Paketfiltrierens beschleunigen, während die Sicherheit des geschützten Systems weiterhin aufrechterhalten bleibt.
  • Somit besteht Bedarf dafür und wäre es nützlich, ein System, eine Vorrichtung und ein Verfahren zum raschen Paketfiltrieren gemäß der Verbindung, von welcher ein Paket empfangen wird, zu haben, sodass dann, wenn ein Paket von einer zugelassenen Verbindung empfangen wird, das Erfordernis der vollständigen Paketanalyse reduziert oder sogar beseitigt wird, während die Fähigkeit, rasch und effizient Pakete zu modifizieren, weiterhin aufrechterhalten bleibt, optional durch Hardwarebeschleunigung des Modifizierungsprozesses.
  • Kurzbeschreibung der Erfindung
  • Die vorliegende Erfindung betrifft ein System, eine Vorrichtung und ein Verfahren zum beschleunigten Paketfiltrieren in einem paketvermittelten Netz, vorzugsweise einem IP-Netz, durch Ergänzen einer Firewall mit einem Vorfilter-Modul. Das Vorfilter-Modul führt hinsichtlich der Pakete eine beschränkte Reihe von Handlungen entsprechend der Tatsache durch, ob die Pakete von einer Verbindung empfangen werden, die zuvor von der Firewall zugelassen wurde. Wenn die Pakete von einer derartigen zugelassenen Verbindung empfangen wurden, leitet das Vorfilter-Modul die Pakete zu ihrem Bestimmungsort weiter, wobei optional eine oder mehrere Aktionen an den Paketen durchgeführt werden. Andernfalls werden die Pakete zu der Firewall zur Handhabung weitergeleitet. Vorzugsweise empfängt, sobald die Firewall einmal die Verantwortung für die Verbindung auf das Vorfilter-Modul übertragen hat oder die Verbindung "abgegeben" hat, die Firewall keine weiteren Pakete von dieser Verbindung, bis für die Verbindung ein Zeitablauf eingetreten ist oder ein Paket mit einem bestimmten Session-Kontrollfeldparameter empfangen wird, der anzeigt, dass die Session beendet ist, sodass die Verbindung abgebaut wird.
  • Beispielsweise ist für die vorzugsweise Implementierung der vorliegenden Erfindung in IP-Netzen ein derartiger Session-Kontrollfeldwert ein FIN/RST-Merker, der für das Paket gesetzt wird.
  • Ein Vorteil des Reduzierens oder sogar des Beseitigens des Ausmaßes der Analyse, das für Pakete aus einer zugelassenen Verbindung erforderlich ist, liegt darin, dass die Firewall optional durch Hardwarebeschleunigung ergänzt werden kann. Diese Hardwarebeschleunigung hat den Vorteil, dass sie wesentlich schneller als die Paketverarbeitung auf Softwarebasis ist und daher die Effizienz des Firewallsystems beträchtlich steigern kann. Zusätzlich kann die Hardwarebeschleunigung des Modifizierungsprozesses die Fähigkeit aufrechterhalten, Pakete rasch und effizient zu modifizieren, da der Modifizierungsprozess weniger "Intelligenz" zum Modifizieren der Pakete erfordert, aber eine schnellere Verarbeitung, während für den Prozess der Paketanalyse die umgekehrten Eigenschaften gelten. Somit wird optional und vorzugsweise das Vorfilter-Modul als Hardware implementiert.
  • Gemäß vorliegender Erfindung wird ein System zum beschleunigten Filtrieren eines Pakets in einem Netz geschaffen, wobei das System aufweist: (a) eine im Netz positionierte Firewall zur Durchführung des Paketfiltrierens an dem Paket nach mindestens einer Regel; und (b) ein Vorfilter-Modul in Verbindung mit der Firewall, welches Vorfilter-Modul das Paket vor der Firewall empfängt, wobei das Vorfilter-Modul ein Anfangspaketfiltrieren an dem Paket in Übereinstimmung mit mindestens einer von der Firewall empfangenen Instruktion durchführt, sodass dann, wenn das Paket nach der mindestens einen Instruktion zulässig ist, das Vorfilter-Modul das Paket handhabt, und alternativ das Vorfilter-Modul das Paket zu der Firewall zur Handhabung weiterleitet.
  • Gemäß einer weiteren Ausführungsform der vorliegenden Erfindung wird ein System zum beschleunigten Filtrieren eines Pakets in einem Netz geschaffen, wobei das System aufweist: (a) eine im Netz positionierte Firewall zur Durchführung des Paketfiltrierens an dem Paket nach mindestens einer Regel; und (b) ein im Netz angeordnetes Vorfilter-Modul, das in Kommunikation mit der Firewall steht, zum Empfangen von mindestens einer Instruktion von der Firewall, wobei die mindestens eine Instruktion einen einfachen Vergleich bestimmt, und zum Empfangen eines im Netz übermittelten Pakets vor der Firewall, sodass dann, wenn das Paket gemäß dem einfachen Vergleich zulässig ist, das Vorfilter-Modul das Paket in dem Netz zumindest überträgt.
  • Gemäß noch einer weiteren Ausführungsform der vorliegenden Erfindung wird zur Verwendung in einem System zum beschleunigten Paketfiltrieren, welches System ein Netz zum Übertragen eines Pakets und eine Firewall in dem Netz zum Filtrieren des Pakets aufweist, eine Vorrichtung zum Empfangen des Pakets vor der Firewall geschaffen, welche Vorrichtung enthält: (a) einen Speicher zum Speichern mindestens einer Instruktion zum Analysieren mindestens eines Parameters des Pakets von der Firewall, wobei die mindestens eine Instruktion mindestens einen Parameter zum Identifizieren des Pakets aufweist; und (b) eine Klassifizierungsmaschine zum Analysieren zumindest eines Abschnitts des Pakets und zum Vergleichen des zumindest einen Abschnitts des Pakets mit dem mindestens einen Parameter gemäß der mindestens einen Instruktion.
  • Gemäß wiederum einer weiteren Ausführungsform der vorliegenden Erfindung wird ein Verfahren zum beschleunigten Paketfiltrieren in einem Netz in Zusammenhang mit einer Firewall geschaffen, welches Verfahren die Schritte enthält: (a) Vorsehen eines Vorfilter-Moduls zum Empfangen eines Pakets vor der Firewall; (b) Empfangen des Pakets durch das Vorfilter-Modul; (c) Bestimmen, ob das Paket zulässig ist; und (d) wenn das Paket zulässig ist, Handhaben des Pakets durch das Vorfilter-Modul.
  • Nachfolgend umfasst der Begriff "Netz" eine Verbindung zwischen zwei oder mehr beliebigen Computereinrichtungen, die die Übertragung von Daten erlaubt.
  • Nachfolgend umfasst der Begriff "Computereinrichtung", ohne darauf beschränkt zu sein, Personalcomputer (PC) mit einem Betriebssystem, wie etwa WindowsTM oder Linux; MacintoshTM Computer; Computer mit JavaTM-OS als Betriebssystem; Workstations, wie z. B. die Computer von Sun MicrosystemsTM und Silicon GraphicsTM, und andere Computer, die eine Version des Unix-Betriebssystems, wie z. B. AIXTM oder SOLARISTM von Sun MicrosystemsTM haben; jedes andere bekannte oder verfügbare Betriebssystem; jede Art von Computer; jede Einrichtung, die mit einem paketvermittelten Netz verbunden werden kann und die ein Betriebssystem hat, darunter, ohne darauf beschränkt zu sein, VxWorksTM und PSOSTM; oder jede Einrichtung, die so mit einem paketvermittelten Netz verbunden werden kann, die in der Lage ist, Pakete zu senden und zu empfangen und die mindestens einen Datenprozessor hat, wie z. B. einen Netzprozessor, darunter, ohne darauf beschränkt zu sein, eine Brücke, einen Umschalter oder einen Router. Nachfolgend umfasst der Begriff "WindowsTM", ohne darauf beschränkt zu sein, Windows NTTM, Windows98TM, Windows2000TM, WindowsCETM und alle aktualisierten Versionen dieser Betriebssysteme von Microsoft Corp. (USA).
  • Das Verfahren gemäß vorliegender Erfindung könnte als eine Reihe von Schritten beschrieben werden, die von einem Datenprozessor durchgeführt werden, und könnte somit optional als Software, Hardware oder Firmware oder eine Kombination daraus implementiert werden. Für die vorliegende Erfindung könnte eine Softwareanwendung im wesentlichen in jeder geeigneten Programmiersprache geschrieben sein, die ohne weiteres von einem Durchschnittsfachmann ausgewählt werden kann. Die gewählte Programmiersprache sollte mit der Computereinrichtung kompatibel sein, mit welcher die Softwareanwendung ausgeführt wird. Zu den Beispielen für geeignete Programmiersprachen zählen, ohne darauf beschränkt zu sein, C, C++ und Java.
  • Die EP 0 713 311 A1 lehrt eine Gateway-Station, die als eine Firewall zwischen einem privaten Netz und einem öffentlichen Netz wirkt. Der Gateway empfängt Pakete von dem privaten (öffentlichen) Netz, führt eine Daten-Sensitivitätsprüfung an den Paketen durch und verpackt die darin enthaltenen Daten wieder als neue Pakete, die zu dem öffentlichen (privaten) Netz zu senden sind. Optional können Pakete von einem Benutzer, der bereits authentifiziert wurde, neu verpackt werden und nach einer weniger intensiven Daten-Sensitivitätsprüfung gesendet werden, als sie an einem Paket von einem nicht authentifizierten Benutzer angewandt würde. Anders als bei der vorliegenden Erfindung wird nur eine Netzkomponente (die Gateway-Station) für die Daten-Sensitivitätsprüfung verwendet.
  • Die WO 00/10297 lehrt ein Schnittstellenmodul, das unter anderem als eine Firewall wirkt. Paketfiltrieraufgaben werden zwischen einer Verkehrsklassifiziereinrichtung, die einfaches Paketfiltrieren durchführt, und einem Überwachungsprozessor, der komplexes Paketfiltrieren durchführt, aufgeteilt. Anders als bei der vorliegenden Erfindung arbeitet die Verkehrsklassifiziereinrichtung unabhängig von dem Überwachungsprozessor. Insbesondere empfängt die Verkehrsklassifiziereinrichtung keine Instruktionen von dem Überwachungsprozessor. An Stelle dessen empfangen sowohl die Verkehrsklassifiziereinrichtung als auch der Überwachungsprozessor Instruktionen von einem Verwaltungsprozessorsystem außerhalb des Schnittstellenmoduls.
  • Kurzbeschreibung der Zeichnungen
  • Die vorstehend genannten und weitere Aufgaben, Aspekte und Vorteile werden aus der folgenden detaillierten Beschreibung einer vorzugsweisen Ausführungsform der Erfindung unter Bezug auf die Zeichnungen besser verständlich, in denen:
  • 1 ein schematisches Blockschaltbild eines Systems gemäß vorliegender Erfindung ist;
  • 2 ein schematisches Blockschaltbild einer beispielhaften, aber vorzugsweise Ausführungsform des Vorfilter-Moduls aus 1 gemäß vorliegender Erfindung ist; und
  • 3 ein Flussdiagramm eines beispielhaften Verfahrens gemäß vorliegender Erfindung ist.
  • Detaillierte Beschreibung der Erfindung
  • Die vorliegende Erfindung betrifft ein System, eine Vorrichtung und ein Verfahren zum Beschleunigen des Paketfiltrierens durch Ergänzen einer Firewall mit einem Vorfilter-Modul. Das Vorfilter-Modul führt einen einfachen Vergleich im Hinblick auf die Pakete durch, beispielsweise danach, ob die Pakete von einer Verbindung empfangen wurden, die zuvor durch die Firewall zugelassen wurde. Wenn die Pakete von einer derartigen zugelassenen Verbindung empfangen werden, leitet das Vorfilter-Modul die Pakete an ihren Bestimmungsort weiter, wobei es optional eine oder mehrere Aktionen an den Paketen ausführt. Anderenfalls werden die Pakete zu der Firewall zur Handhabung weitergeleitet. Ferner werden vorzugsweise Pakete zur Handhabung zu der Firewall weitergeleitet, wenn diese Pakete besondere Session-Kontrollfeldwerte haben, die einen Eingriff durch die Firewall erfordern. Beispielsweise umfassen für die vorzugsweise Implementierung der vorliegenden Erfindung mit IP-Netzen und insbesondere mit TCP/IP-Verkehr derartige Session-Kontrollfeldwerte einen gesetzten SYN/FIN/RST-Merker für das Paket. Derartige Session-Kontrollfeldwerte zeigen Pakete an, die Informationen über den Verbindungsstatus tragen, und es ist daher wichtig, dass die Firewall sie empfängt und analysiert, um den Status der Verbindung zu bestimmen. Optional werden auch Fragmentpakete zu der Firewall weitergeleitet, wenn das Vorfilter-Modul nicht in der Lage ist, bestimmte Funktionen auszuführen, wie z. B. virtuelle Defragmentierung für die vorzugsweise Ausführungsform der Erfindung mit IP-Netzen und insbesondere mit IP-Verkehr.
  • Sobald die Firewall bestimmt hat, dass eine Verbindung zulässig ist, oder mindestens einen Parameter zur Durchführung des einfachen Vergleichs anderweitig bestimmt hat, sendet die Firewall vorzugsweise eine Mitteilung an das Vorfilter-Modul mit Details über die neu zugelassenen Pakete. Sobald die Firewall die Verantwortung für die Verbindung auf das Vorfilter-Modul übertragen hat oder die Verbindung "abgegeben" hat, empfängt die Firewall keine weiteren Pakete von dieser Verbindung, bis ein Zeitablauf für die Verbindung auftritt oder ein Paket empfangen wird, das besondere Session-Kontrollfeldwerte hat, die anzeigen, dass die Session beendet ist, beispielsweise dadurch, dass für die vorzugsweise Implementierung mit IP-Netzen ein FIN/RST-Merker gesetzt ist, sodass die Verbindung geschlossen wird. Ein "Zeitablauf" tritt auf, wenn die Firewall für eine vorbestimmte Zeitdauer kein Paket empfangen hat.
  • Das Vorfilter-Modul ist vorzugsweise als Hardware implementiert, um die Hardwarebeschleunigung zu nutzen. Diese Hardwarebeschleunigung hat den Vorteil, dass sie schneller ist als die Paketverarbeitung auf Softwarebasis. Daher wird das Vorfilter-Modul vorzugsweise als eine Hardwarebasierte Einrichtung umgesetzt, obgleich das Vorfilter-Modul alternativ als Software oder Firmware implementiert werden könnte. Optional können das Vorfilter-Modul und die Firewall als eine kombinierte Einrichtung implementiert sein, welche eine "Blackbox" sein könnte, die zur Vereinfachung des Einbaus und des Betriebs zu einem Gateway-Knoten eines Netzes hinzugefügt werden oder alternativ diesen ersetzen könnte.
  • Die Prinzipien und der Betrieb eines Systems, einer Vorrichtung und eines Verfahrens gemäß der vorliegenden Erfindung sind unter Bezugnahme auf die Zeichnungen und die beiliegende Beschreibung besser verständlich, wobei es sich versteht, dass diese Zeichnungen nur zum Zweck der Erläuterung vorgelegt werden und nicht einschränkend sein sollen. Obgleich die folgende Beschreibung sich auf IP-Netze konzentriert und insbesondere auf TCP/IP-Paketverkehr, versteht es sich, dass dies nur zu Erläuterungszwecken dient und in keiner Weise einschränkend sein soll.
  • In den Zeichnungen ist 1 ein schematisches Blockschaltbild eines Systems gemäß vorliegender Erfindung. Ein System 10 enthält ein geschütztes Netz 12, welches ein paketvermitteltes Netz ist, sodass die Daten in Form von Paketen übertragen werden. Das geschützte Netz 12 ist von einem externen paketvermittelten Netz 14 durch einen Gateway 16 getrennt, der optional jede Art einer Computereinrichtung sein kann und hierin auch als ein "Zwischenknoten" bezeichnet wird. Das externe Netz 14 könnte optional beispielsweise das Internet sein. Der Gateway 16 ist durch eine Hardware-Verbindungseinrichtung, die hierin als Netz-Schnittstellenkarte 17 dargestellt ist, sowohl mit dem externen Netz 14 als auch mit dem geschützten Netz 12 verbunden.
  • Der Gateway 16 betreibt eine Firewall 18 zur Durchführung der Paketanalyse und des Paketfiltrierens. Pakete, denen der Durchtritt durch den Gateway 16 von dem externen Netz 14 erlaubt wird, werden dann von einem aus einer Vielzahl von geschützten Knoten 20 empfangen, die mit dem geschützten Netz 12 verbunden sind. Dieser Netzverkehr ist typischerweise bidirektional, sodass Pakete von dem Gateway 16 von dem geschützten Netz 12 zur Übertragung zum externen Netz 14 und umgekehrt empfangen werden.
  • Die Firewall 18 ist vorzugsweise wie vorher in den US-Patenten Nr. 5,835,726 und 5,606,668 beschrieben implementiert. Die Firewall 18 weist einen Paketfilter 22 zur Durchführung des Paketfiltrierens auf. Der Paketfilter 22 wiederum ist vorzugsweise aus einem Analysemodul 24 zum Analysieren von Paketen und einer Regelbasis 26 aufgebaut. Die Regelbasis 26 enthält vorzugsweise eine oder mehrere Regeln, die gemäß den Vorlieben des Systemadministrators oder eines anderen kontrollierenden Benutzers definiert sind. Das Analysemodul 24 extrahiert und vergleicht den Inhalt der analysierten Pakete mit den Regeln in der Regelbasis 26. Wenn das Resultat des Vergleichs so ist, dass das Paket gemäß der Regelbasis 26 zulässig ist, lässt der Paketfilter 22 zu, dass das Paket in das geschützte Netz 12 eintritt.
  • Wenn alternativ das Paket gemäß der Regelbasis 26 nicht zulässig ist, wird das Paket optional fallengelassen. Das Paket kann optional auch als nicht zulässig bestimmt werden, wenn die Regelbasis 26 die Weitergabe des Pakets nicht ausdrücklich zulässt.
  • Ebenfalls optional und vorzugsweise weist der Paketfilter 22 ein Modifikationsmodul 28 zum Modifizieren des Pakets auf, wenn das Paket akzeptiert wird.
  • Zu weiteren optionalen Merkmalen der Firewall 18 zählt die Fähigkeit, eine Verrechnung (accounting) für die Pakete durchzuführen, um die Datenmenge zu bestimmen, die auf allen Paketen übertragen wird, die zu einer bestimmten Verbindung gehören; die Fähigkeit, die Adresse(n) in dem Paket zu modifizieren; und die Fähigkeit, die Pakete zu verschlüsseln. Insbesondere die Paketverschlüsselung wurde vorher in dem US-Patent Nr. 5,835,726 beschrieben. Kurz gesagt können die Pakete optional für die Übertragung zwischen zwei Firewalls 18 verschlüsselt werden, sodass die Pakete für den Durchtritt durch das externe Netz 14 verschlüsselt werden. Verschlüsselung wird auch optional für die Kommunikation zwischen der Firewall 18 und z. B. einem Knoten von dem externen Netz 14 verwendet. Die verschlüsselten Pakete werden dann von der Empfänger-Firewall 18 entschlüsselt und in das geschützte Netz 12 weitergeleitet. Auf diese Weise sind die Prozesse der Verschlüsselung und Übertragung automatisiert und können in einer Weise durchgeführt werden, die für die kommunizierende Software transparent ist.
  • Diese Merkmale der Firewall 18 werden vorzugsweise wie vorher in den US-Patenten Nr. 5,835,726 und 5,606,668 beschrieben implementiert. Wenn jedoch alle Pakete durch die Firewall 18 geleitet werden, bevor sie in den Gateway 16 eintreten dürfen, fällt für die Firewall 18 eine große Rechenlast an. Daher weist gemäß vorliegender Erfindung der Gateway 16 auch ein Vorfilter-Modul 30 auf, das die Pakete vor der Firewall 18 empfängt, das jedoch vorzugsweise direkt mit dem geschützten Netz 12 verbunden ist. Das Vorfilter-Modul 30 empfängt vorzugsweise auch Instruktionen von der Firewall 18, und zwar Pakete betreffend, deren Eintritt in das geschützte Netz 12 zugelassen ist. Diese Instruktionen werden vorzugsweise durch die Firewall 18 aus einer Analyse eines oder mehrerer früher empfangener und verwandter Pakete bestimmt, sodass dann, wenn ein früher empfangenes und verwandtes Paket für den Eintritt in das geschützte Netz 12 zugelassen wurde, das gegenwärtige Paket ebenfalls die Erlaubnis erhält, in das geschützte Netz 12 einzutreten. Wenn somit das Vorfilter-Modul 30 bestimmt, dass das gegenwärtige Paket die Erlaubnis zum Eintreten hat, dann leitet das Vorfilter-Modul 30 vorzugsweise das Paket direkt durch das geschützte Netz 12.
  • Um die Effizienz des Betriebs des Vorfilter-Moduls 30 zu steigern, kann das Vorfilter-Modul 30 vorzugsweise nur eine eingeschränkte Analyse des Pakets durchführen. Genauer ausgedrückt wird vorzugsweise nur ein Abschnitt dieses Pakets von dem Vorfilter-Modul 30 analysiert. Höchst bevorzugt analysiert das Vorfilter-Modul 30 jedes Paket nur im Hinblick auf einen einfachen Vergleich. Mit "einfacher Vergleich" ist gemeint, dass die Information in Form eines oder mehrerer vordefinierter Parameter extrahiert wird, die mit einem vorbestimmten Muster derartiger Parameter verglichen werden.
  • In einem besonders bevorzugten Beispiel eines einfachen Vergleichs wird das Paket nur analysiert, bis das Vorfilter-Modul 30 in der Lage ist zu bestimmen, ob das Paket von einer zugelassenen Datenübertragung empfangen wurde. Eine derartige zugelassene Übertragung kann als eine Verbindung zwischen einem Quellknoten, der die Verbindung auslöst, beispielsweise von einem externen Netz 14, zu einem Zielknoten, der die Verbindung akzeptiert, beispielsweise einem geschützten Knoten 20, bezeichnet werden. Es versteht sich, dass, sobald die Verbindung einmal eingerichtet wurde, die Kommunikation zwischen dem Quellknoten und dem Ziel optional bidirektional sein kann.
  • Im Hinblick auf die Paketanalyse wird eine "Verbindung" gemäß mindestens einem und vorzugsweise mehreren Parametern definiert, die die Datenübertragung beschreiben, zu der das Paket gehört. Beispiele dieser Parameter umfassen ohne Einschränkung die Quelladresse und den -Port des Pakets; die Zieladresse und den -Port des Pakets; das Protokoll des Pakets und die Schnittstelle, von welcher das Paket empfangen wurde. Die Verbindung wird verwendet, um das Paket zu klassifizieren und zu bestimmen, ob das Paket die Erlaubnis hat, in das geschützte Netz 12 einzutreten oder es zu verlassen.
  • Die Firewall 18 definiert jede Verbindung aus einer Analyse eines oder mehrerer zuvor empfangener und untersuchter Pakete. Die Firewall 18 prüft den Inhalt eines derartigen Pakets oder derartige Pakete und bestimmt auf der Basis der Ausgabe des Analysemoduls 24 mit der Regelbasis 26, ob Pakete von der entsprechenden Verbindung für den Eintritt und/oder das Verlassen des geschützten Netzes 12 zugelassen werden sollten. Zusätzlich ist aus den in der Regelbasis 26 gespeicherten Regeln das Analysemodul 24 in der Lage, eine oder mehrere Aktionen zu bestimmen, die mit jeder Verbindung in Zusammenhang stehen sollten. Beispiele für derartige Aktionen umfassen ohne Einschränkung die Durchführung einer Buchführungsaktion, um die Datenmenge in dem Paket zu zählen, Verschlüsseln/Entschlüsseln des Pakets, die Durchführung einer Netzadressübersetzung (NAT) durch Überschreiben der Adressfelder und dergleichen. Ein bevorzugtes Beispiel für die Modifizierung des Pakets ist das Markieren des Pakets durch Zuweisung einer Prioritätszahl zu dem Paket durch das Vorfilter-Modul 30 gemäß den Instruktionen von der Firewall 18. Diese Prioritätszahl bestimmt die Reihenfolge der Übertragung des Pakets und somit seine "Priorität".
  • Die Firewall 18 leitet dann die relevanten Instruktionen, die zumindest betreffen, ob das Paket in das geschützte Netz 12 eintreten darf, und vorzugsweise die Aktionen betreffen, die mit den nachfolgenden Paketen von dieser Verbindung durchgeführt werden sollten, zu dem Vorfilter-Modul 30 weiter.
  • Optional und vorzugsweise führt das Vorfilter-Modul 30 ein Anti-Umgehungsverfahren durch. Da das Vorfilter-Modul 30 optional mit mehreren Netzen verbunden sein kann, können Pakete von jedem dieser Netze ankommen. Das Anti-Umgehungsverfahren stellt fest, ob ein IP-Paket, das als von einem bestimmten Netz stammend bezeichnet ist, tatsächlich von diesen Netz angekommen ist. Da das Vorfilter-Modul 30 weiß, welches Netz mit welcher Schnittstelle verbunden ist, kann das Vorfilter-Modul 30 feststellen, ob ein von einer bestimmten Schnittstelle empfangenes Paket zulässig ist.
  • Die einfachste Weg, das Anti-Umgehungsverfahren in einem Beschleuniger, wie etwa dem Vorfilter-Modul 30, zu implementieren, ist, die Netzschnittstelle betreffende Informationen als Teil der Verbindungsinformationen einzuschließen, die für das Vorfilter-Modul 30 verfügbar sind. Wenn somit ein Paket von einem zugelassenen Quellknoten kommt, zu einem zugelassenen Ziel gesendet werden soll und durch die erwartete Schnittstelle angekommen ist, kann das Paket von dem Vorfilter-Modul 30 verarbeitet werden. Alternativ und optional kann auch dann, wenn nur die Schnittstelle nicht korrekt ist, das Vorfilter-Modul 30 bestimmen, dass das Paket eine Verletzung darstellt, die durch die Firewall 18 weiter auf ihre Gültigkeit geprüft werden sollte. Es gibt andere Wege, ein Anti-Umgehungsverfahren zu implementieren, ohne die Schnittstelle betreffende Informationen als Teil der gespeicherten Instruktionen für das Vorfilter-Modul 30 einzuschließen, die ebenfalls als innerhalb des Schutzumfangs der vorliegenden Erfindung gemäß der Definition durch die beigefügten Patentansprüche liegend betrachtet werden.
  • In einer vorzugsweisen Ausführungsform des Vorfilter-Moduls 30, die in 2 gezeigt ist, ist das Vorfilter-Modul 30 als Hardware oder zumindest Firmware anstatt nur als Software ausgeführt. Der Vorteil der Hardware ist, dass sie wesentlich schneller als Software zur Durchführung der erforderlichen Aktionen ist. Das schematische Blockschaltbild aus 2 ist eine vielmehr Logik-basierte anstatt strukturelle Darstellung der Komponenten des Vorfilter-Moduls 30. Beispielsweise sind die physischen Verbindungen zwischen den Komponenten nicht angegeben und können beispielsweise ein PCI-Bus sein, auf dem alle Komponenten angeordnet sind. Optional können die Komponenten beispielsweise mit jeder Art von internem und/oder externem Bus miteinander verbunden werden.
  • Für diese Implementierung kann das Vorfilter-Modul 30 als eine "Einrichtung" beschrieben werden, die vorzugsweise einen Speicher 36 aufweist. Das Vorfilter-Modul 30 enthält eine Verbindungsdatenbank 32 zum Speichern der relevanten Instruktionen von der Firewall 18, die in dem Speicher 36 gespeichert ist. Die Verbindungsdatenbank 32 speichert zumindest den Parameter bzw. die Parameter des Pakets, die benötigt werden, um die Verbindung zu definieren, aber speichert vorzugsweise auch mindestens eine Aktion, die an Paketen von dieser Verbindung durchzuführen ist.
  • Das Vorfilter-Modul 30 weist vorzugsweise auch eine Klassifizierungsmaschine 38 auf, die einen Datenprozessor umfasst, um zumindest teilweise die Informationen von dem Paket zu analysieren und von der Verbindungsdatenbank 32 Informationen abzufragen. Das Vorfilter-Modul 30 weist vorzugsweise auch einen Modifikator 34 zur Durchführung der zugehörigen Aktion bzw. Aktionen für Pakete von dieser Verbindung auf, die vorzugsweise wie vorstehend beschrieben in der Verbindungsdatenbank 32 gespeichert sind.
  • Das Vorfilter-Modul 30 kommuniziert ferner optional und vorzugsweise bestimmte, ausgewählte Informationen, die mindestens ein Paket betreffen, an die Firewall 18. Die ausgewählten Informationen umfassen optional ohne Einschränkung darauf mindestens einen der vorstehend beschriebenen Parameter zum Analysieren des Pakets. Die Kommunikation zwischen dem Vorfilter-Modul 30 und der Firewall 18 wird optional und vorzugsweise gemäß einer aus einer Vielzahl von Ausführungsformen durchgeführt. In einer ersten Ausführungsform benachrichtigt das Vorfilter-Modul 30 aktiv die Firewall 18 bei Empfangen derartiger Informationen in einer Status- oder Ereignisgesteuerten Implementierung. Alternativ in einer zweiten Ausführungsform fragt die Firewall 18 das Vorfilter-Modul 30 in einer Abruf-Implementierung ab. Beispielsweise kann der Abruf optional durchgeführt werden, nachdem ein bestimmtes Zeitintervall verstrichen ist, oder alternativ gemäß einer Benutzeranfrage nach derartigen Informationen, beispielsweise von einem Systemadministrator.
  • Zusätzlich weist das Vorfilter-Modul 30 ferner vorzugsweise mindestens eine und vorzugsweise mehrere Netzschnittstellen auf, dargestellt als MAC 40 (media access control), wobei es sich um Hardware zum Senden und Empfangen von Paketen von dem physischen Netz (nicht dargestellt) handelt. Das Vorfilter-Modul 30 weist vorzugsweise eine Firewallschnittstelle 42 zum Übertragen von Paketen zu und Empfangen von Paketen von der Firewall (nicht dargestellt) auf.
  • Der Ablauf der Operationen ist vorzugsweise wie folgt. Pakete werden optional von der MAC 40 empfangen, bezeichnet als "MAC eins", und werden anschließend zu der Klassifizierungsmaschine 38 weitergeleitet. Mit Hilfe der Informationen und Instruktionen, die von der Datenbank 32 in dem Speicher 36 abgerufen werden, analysiert dann die Klassifizierungsmaschine 38 mindestens einen Abschnitt der Informationen in jedem Paket und bestimmt, ob das Paket zulässig ist. Wenn das Paket zulässig ist, wird es zu dem Modifikator 34 zur optionalen Modifizierung gemäß mindestens einer Instruktion von der Firewall (nicht dargestellt) weitergeleitet, sodass dann, wenn eine Modifizierung nicht erforderlich ist, die mindestens eine relevante Instruktion nicht von der Firewall gesendet wird.
  • Die Firewall kann optional eine Schnittstelle bestimmen, an die das Paket gesendet werden sollte, beispielsweise eine bestimmte MAC 40. Es sei jedoch angemerkt, dass die Firewall zwar das Vorfilter-Modul 30 anweisen kann, das Paket zu einer bestimmten Schnittstelle zu senden, dass aber dann, wenn die Leitweglenkung unterstützt wird, diese Leitweglenkung zum Leiten des Pakets verwendet würde und nicht die Instruktionen von der Firewall (nicht gezeigt).
  • Alternativ kann das Paket optional und vorzugsweise zu der Firewall weitergeleitet werden. Ferner kann alternativ unter bestimmten Umständen, die nachfolgend im Detail beschrieben werden, das Paket fallengelassen werden, insbesondere im Hinblick auf Pakete, die von der Firewallschnittstelle 42 empfangen werden, die optional in ähnlicher Weise analysiert werden. Um das Fallenlassen von Paketen zu vermeiden, bei denen es sich möglicherweise nicht um IP-Pakete handelt, können optional und vorzugsweise Informationen, die ein oder mehrere "Standard"-Pakettypen betreffen, in der Datenbank 32 gespeichert werden, sodass dann, wenn derartige Informationen nicht in der Datenbank 32 gespeichert sind, das Paket als "nicht zugelassen" definiert wird. Ein Beispiel für einen derartigen Standard-Pakettyp ist ein ARP-Paket (address resolution protocol).
  • Wie im Hinblick auf die Implementierung des Vorfilter-Moduls aus 2 zu erkennen ist, können Pakete optional von einer externen Quelle, wie z. B. der MAC 40, an dem Vorfilter-Modul 30 ankommen, oder können alternativ von der Firewallschnittstelle 42 empfangen werden. Wenn das Paket von der Firewallschnittstelle 42 empfangen wird, kann es von der Firewall selbst erzeugt worden sein oder kann alternativ von dem IP-Datenstapel des Host weitergeleitet oder erzeugt worden sein. Daher ist optional und vorzugsweise für derartige Pakete, die durch die Firewallschnittstelle 42 empfangen werden, das Vorfilter-Modul in der Lage, derartige Pakete fallenzulassen, wenn sie nicht zulässig sind, anstatt sie zu der Firewall weiterzuleiten. Somit wird die Bestimmung, ob Pakete durch das Vorfilter-Modul 30 fallenzulassen oder weiterzuleiten sind, optional und vorzugsweise zumindest teilweise entsprechend der Schnittstelle durchgeführt, durch welche die Pakete empfangen werden.
  • Selbstverständlich sind andere Implementierungen des Vorfilter-Modul 30 möglich und werden als innerhalb des Schutzumfangs der vorliegenden Erfindung gemäß der Definition in den beigefügten Patentansprüchen liegend betrachtet.
  • 3 ist ein Flussdiagramm eines beispielhaften Verfahrens für den Betriebsablauf der vorliegenden Erfindung. In Schritt 1 wird von dem Vorfilter-Modul ein Paket empfangen. In Schritt 2 wird mindestens ein Parameter des Pakets von dem Vorfilter-Modul abgerufen. In Schritt 3 wird der mindestens eine Parameter zur Prüfung der bekannten Verbindungen verwendet, vorzugsweise durch Durchführen eines Suchlaufs in einer Tabelle derartiger bekannter Verbindungen.
  • In Schritt 4a wird dann, wenn ein Eintrag für das Paket gefunden wird, die für diese Verbindung definierte Aktion bzw. Aktionen von dem Vorfilter-Modul durchgeführt. In Schritt 5a wird das Paket an sein Ziel weitergeleitet. Die Schritte 4a und 5a werden nicht durchgeführt, wenn das Paket bestimmte Sessions-Kontrollfeldwerte aufweist, wie z. B. einen gesetzten SYN/FIN/RST-Merker für ein über ein IP-Netz übertragenes Paket, und in diesem Fall wird das Paket vorzugsweise zu der Firewall zur Handhabung weitergeleitet. Derartige Sessions-Kontrollfeldwerte zeigen Pakete an, die Informationen über den Verbindungsstatus tragen, und daher ist es wichtig, dass die Firewall sie empfängt und analysiert, um den Status der Verbindung zu bestimmen.
  • Optional werden fragmentierte Pakete ebenfalls zu der Firewall weitergeleitet, wenn das Vorfilter-Modul nicht in der Lage ist, bestimmte Funktionen durchzuführen, wie z. B. virtuelle Defragmentierung für die vorzugsweise Ausführungsform der vorliegenden Erfindung mit IP-Netzen und insbesondere mit TCP/IP-Verkehr. Virtuelle Defragmentierung wird durchgeführt, nachdem ein IP-Paket zu groß für die Übertragung geworden ist und daher in mehrere kleinere Pakete unterteilt wird, die Fragmente genannt werden. Virtuelle Defragmentierung ist der Prozess, durch den alle empfangenen Fragmente wieder zu dem ursprünglichen großen Paket zusammengesetzt werden.
  • Um verschiedene Arten von Angriffen zu verhindern, die mit Fragmenten versucht werden können, lässt vorzugsweise das Vorfilter-Modul gemäß vorliegender Erfindung, aber alternativ die Firewall doppelte Paketfragmente fallen. Wenn mit anderen Worten ein früher empfangenes Fragment erneut empfangen wird, wird dieses Fragment fallengelassen.
  • Wie das Flussdiagramm in 3 zeigt, wird alternativ in Schritt 4b, wenn in der Verbindungstabelle kein Eintrag für das Paket gefunden wird, das Paket zur Firewall zur Handhabung weitergeleitet. In Schritt 5b sendet die Firewall dann, wenn die Firewall feststellt, dass die Verbindung, zu der das Paket gehört, zulässig ist, optional eine Mitteilung an das Vorfilter-Modul mit der erforderlichen Information betreffend die neue Verbindung. Eine derartige Mitteilung enthält vorzugsweise einen Schlüssel zum Identifizieren der neuen Verbindung, Informationen betreffend die Adressübersetzung und optional Informationen betreffend die Verschlüsselung, wobei es sich bei beiden um Prozesse handelt, die die Modifizierung des Pakets selbst einschließen. Der Schlüssel für die Identifizierung der neuen Verbindung umfasst vorzugsweise Informationen, wie etwa die Quell-IP-Adresse und den -Port, die Ziel-IP-Adresse und den -Port, das Protokollfeld und optional die Schnittstelle(n), von welchen der Empfang eines Pakets erwartet wird, zum Anti-Umgehungsschutz. Die Adressübersetzungsinformationen umfassen die übersetzte Quell-IP-Adresse und den -Port, die Ziel-IP-Adresse und den -Port.
  • Gemäß vorzugsweisen Ausführungsformen der vorliegenden Erfindung wird die Verbindung, sobald die Firewall diese Mitteilung an das Vorfilter-Modul gesendet hat, auf das Vorfilter-Modul "abgegeben", sodass die Firewall keine Pakete für diese Verbindung mehr empfängt. Vorzugsweise empfängt die Firewall keine weiteren Pakete, bis ein Paket mit bestimmten Sessions-Kontrollfeldwerten für diese Verbindung empfangen wird, die anzeigen, dass die Session beendet ist. Beispielsweise umfassen für IP-Netze derartige Werte, dass ein FIN/RST-Merker gesetzt ist.
  • Vorzugsweise tritt ein Zeitablauf ein, wenn für eine bestimmte Verbindung innerhalb einer bestimmten Zeitperiode kein Paket empfangen wurde. Da die Firewall keine Pakete für die abgegebene Verbindung sieht, fragt die Firewall bei dem Vorfilter-Modul nach dem letzten Zeitpunkt, an dem ein Paket für die Verbindung empfangen wurde. Gemäß der empfangenen Antwort bestimmt die Firewall, ob die Verbindung erhalten oder gelöscht wird. Wenn die Firewall die Verbindung löscht, wird die Verbindung vorzugsweise aus den Tabellen des Vorfilter-Moduls gelöscht.
  • Gemäß weiteren vorzugsweisen Ausführungsformen der vorliegenden Erfindung empfängt die Firewall aktualisierte Buchhaltungsinformationen von dem Vorfilter-Modul in regelmäßigen Intervallen. Diese Informationen werden optional und vorzugsweise von dem Vorfilter-Modul zu der Firewall geschoben, anstatt dass die Firewall das Vorfilter-Modul abfragen muss. Die Buchhaltungsinformationen umfassen vorzugsweise die Anzahl der Pakete und Bytes, die von dem Vorfilter-Modul für eine bestimmte Verbindung seit der letzten Aktualisierung der Buchhaltungsinformationen empfangen wurden, und den letzten Zeitpunkt, an dem ein Paket von dem Vorfilter-Modul für diese bestimmte Verbindung empfangen wurde. Diese Informationen werden dann innerhalb des Vorfilter-Moduls rückgesetzt. Optional und vorzugsweise schiebt dann, wenn das Vorfilter-Modul die Verbindung löscht, das Vorfilter-Modul die letzten Buchhaltungsinformationen über diese Verbindung zu der Firewall.

Claims (3)

  1. System (10) zum beschleunigten Filtrieren eines Pakets in einem Netz (12), wobei das System (10) aufweist: (a) eine im Netz (12) positionierte Firewall (18) zur Durchführung des Filtrierens nach mindestens einer Regel; und (b) ein Vorfilter-Modul (30) in Verbindung mit der genannten Firewall (18), wobei das genannte Vorfilter-Modul (30) das Paket vor der genannten Firewall (18) empfängt, wobei das Vorfilter-Modul (30) ein Anfangsfiltrieren des Pakets nach mindestens einer aus der genannten Firewall (18) empfangenen Instruktion durchführt, so dass, wenn das Paket nach der genannten mindestens einen Instruktion zulässig ist, das Vorfilter-Modul (30) das Paket handhabt, und alternativ das Vorfilter-Modul (30) das Paket zu der genannten Firewall (18) zur Handhabung übermittelt.
  2. System (10) nach Anspruch 1, weiterhin aufweisend: (c) einen Quellknoten (14) zur Übermittlung des Pakets, und (d) einen Zielknoten (20) zum Empfangen des Pakets.
  3. System (10) nach Anspruch 2, wobei die Übermittlung des Pakets zwischen dem genannten Quellknoten (14) und dem Zielknoten (20) eine Verbindung bildet, und die genannte Firewall (18) bestimmt, ob diese Verbindung zulässig ist, so dass die genannte mindestens eine Instruktion mindestens einen Parameter des Pakets zur Identifizierung einer zulässigen Verbindung aufweist, so dass, wenn die Verbindung zulässig ist, das Vorfilter-Modul (30) das Paket handhabt.
DE60115615T 2000-03-02 2001-02-26 System, einrichtung und verfahren zur schnellen paketfilterung und -verarbeitung Expired - Lifetime DE60115615T2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US517276 1990-05-01
US09/517,276 US6496935B1 (en) 2000-03-02 2000-03-02 System, device and method for rapid packet filtering and processing
PCT/US2001/005925 WO2001065343A1 (en) 2000-03-02 2001-02-26 System, device and method for rapid packet filtering and processing

Publications (2)

Publication Number Publication Date
DE60115615D1 DE60115615D1 (de) 2006-01-12
DE60115615T2 true DE60115615T2 (de) 2006-07-06

Family

ID=24059131

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60115615T Expired - Lifetime DE60115615T2 (de) 2000-03-02 2001-02-26 System, einrichtung und verfahren zur schnellen paketfilterung und -verarbeitung

Country Status (17)

Country Link
US (1) US6496935B1 (de)
EP (1) EP1266277B1 (de)
JP (1) JP3954385B2 (de)
KR (1) KR20020092972A (de)
CN (1) CN100474213C (de)
AT (1) ATE312463T1 (de)
AU (2) AU2001241717B2 (de)
BR (1) BR0109035A (de)
CA (1) CA2401577C (de)
DE (1) DE60115615T2 (de)
EA (1) EA004423B1 (de)
HU (1) HUP0300039A2 (de)
IL (2) IL151522A0 (de)
NO (1) NO324958B1 (de)
NZ (1) NZ520984A (de)
PL (1) PL357181A1 (de)
WO (1) WO2001065343A1 (de)

Families Citing this family (194)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7089588B2 (en) * 2000-01-19 2006-08-08 Reynolds And Reynolds Holdings, Inc. Performance path method and apparatus for exchanging data among systems using different data formats
US6854063B1 (en) * 2000-03-03 2005-02-08 Cisco Technology, Inc. Method and apparatus for optimizing firewall processing
US6732209B1 (en) * 2000-03-28 2004-05-04 Juniper Networks, Inc. Data rate division among a plurality of input queues
DE10025929B4 (de) * 2000-05-26 2006-02-16 Harman Becker Automotive Systems (Becker Division) Gmbh Verfahren zum Übertragen von Daten
US7120931B1 (en) * 2000-08-31 2006-10-10 Cisco Technology, Inc. System and method for generating filters based on analyzed flow data
US7487232B1 (en) * 2000-09-13 2009-02-03 Fortinet, Inc. Switch management system and method
US7272643B1 (en) 2000-09-13 2007-09-18 Fortinet, Inc. System and method for managing and provisioning virtual routers
US7389358B1 (en) * 2000-09-13 2008-06-17 Fortinet, Inc. Distributed virtual system to support managed, network-based services
US8250357B2 (en) 2000-09-13 2012-08-21 Fortinet, Inc. Tunnel interface for securing traffic over a network
US7574495B1 (en) 2000-09-13 2009-08-11 Fortinet, Inc. System and method for managing interworking communications protocols
US7111072B1 (en) 2000-09-13 2006-09-19 Cosine Communications, Inc. Packet routing system and method
US7054930B1 (en) * 2000-10-26 2006-05-30 Cisco Technology, Inc. System and method for propagating filters
US6922786B1 (en) * 2000-10-31 2005-07-26 Nortel Networks Limited Real-time media communications over firewalls using a control protocol
US7131140B1 (en) * 2000-12-29 2006-10-31 Cisco Technology, Inc. Method for protecting a firewall load balancer from a denial of service attack
US6731652B2 (en) * 2001-02-14 2004-05-04 Metro Packet Systems Inc. Dynamic packet processor architecture
EP1362460B2 (de) * 2001-02-20 2010-09-29 Eyeball Networks Inc. Verfahren und Vorrichtung zur Zulassung der Datenübertragung über Firewalls
US7664119B2 (en) * 2001-03-30 2010-02-16 Intel Corporation Method and apparatus to perform network routing
US7277953B2 (en) * 2001-04-18 2007-10-02 Emc Corporation Integrated procedure for partitioning network data services among multiple subscribers
US6816455B2 (en) * 2001-05-09 2004-11-09 Telecom Italia S.P.A. Dynamic packet filter utilizing session tracking
JP2002358239A (ja) * 2001-06-04 2002-12-13 Fuji Electric Co Ltd 著作権保護システム
US7181547B1 (en) 2001-06-28 2007-02-20 Fortinet, Inc. Identifying nodes in a ring network
US20040001433A1 (en) * 2001-07-18 2004-01-01 Gram Charles Andrew Interactive control of network devices
US7134012B2 (en) * 2001-08-15 2006-11-07 International Business Machines Corporation Methods, systems and computer program products for detecting a spoofed source address in IP datagrams
US7522627B2 (en) * 2001-09-14 2009-04-21 Nokia Corporation System and method for packet forwarding
US7409706B1 (en) 2001-10-02 2008-08-05 Cisco Technology, Inc. System and method for providing path protection of computer network traffic
KR100452143B1 (ko) * 2001-10-16 2004-10-08 주식회사 플랜티넷 비대칭 트래픽 흐름 방식을 이용한 웹 필터링 장치 및방법
JP2003242714A (ja) * 2001-10-24 2003-08-29 Fuji Electric Co Ltd 情報記録媒体、その媒体の製造方法、情報処理装置、並びに、著作権管理システム
US9392002B2 (en) * 2002-01-31 2016-07-12 Nokia Technologies Oy System and method of providing virus protection at a gateway
US7185365B2 (en) * 2002-03-27 2007-02-27 Intel Corporation Security enabled network access control
US7216260B2 (en) * 2002-03-27 2007-05-08 International Business Machines Corporation Method, system and program product for dynamically detecting errant data sequences and performing corresponding actions
US20030200463A1 (en) * 2002-04-23 2003-10-23 Mccabe Alan Jason Inter-autonomous system weighstation
CN1152531C (zh) * 2002-04-23 2004-06-02 华为技术有限公司 分片报文的网络访问控制方法
US7120797B2 (en) * 2002-04-24 2006-10-10 Microsoft Corporation Methods for authenticating potential members invited to join a group
AUPS214802A0 (en) * 2002-05-01 2002-06-06 Firebridge Systems Pty Ltd Firewall with stateful inspection
US20030212901A1 (en) * 2002-05-13 2003-11-13 Manav Mishra Security enabled network flow control
US7116665B2 (en) * 2002-06-04 2006-10-03 Fortinet, Inc. Methods and systems for a distributed provider edge
US7376125B1 (en) * 2002-06-04 2008-05-20 Fortinet, Inc. Service processing switch
US7203192B2 (en) 2002-06-04 2007-04-10 Fortinet, Inc. Network packet steering
US7177311B1 (en) * 2002-06-04 2007-02-13 Fortinet, Inc. System and method for routing traffic through a virtual router-based network switch
US7340535B1 (en) * 2002-06-04 2008-03-04 Fortinet, Inc. System and method for controlling routing in a virtual router system
US7161904B2 (en) 2002-06-04 2007-01-09 Fortinet, Inc. System and method for hierarchical metering in a virtual router based network switch
US9088494B2 (en) * 2002-06-26 2015-07-21 Avaya Communication Israel Ltd. Packet fragmentation prevention
US7146638B2 (en) * 2002-06-27 2006-12-05 International Business Machines Corporation Firewall protocol providing additional information
US6983323B2 (en) 2002-08-12 2006-01-03 Tippingpoint Technologies, Inc. Multi-level packet screening with dynamically selected filtering criteria
US7096383B2 (en) 2002-08-29 2006-08-22 Cosine Communications, Inc. System and method for virtual router failover in a network routing system
US20100138909A1 (en) * 2002-09-06 2010-06-03 O2Micro, Inc. Vpn and firewall integrated system
US7315890B2 (en) * 2002-10-02 2008-01-01 Lockheed Martin Corporation System and method for managing access to active devices operably connected to a data network
US7440573B2 (en) * 2002-10-08 2008-10-21 Broadcom Corporation Enterprise wireless local area network switching system
US20040078422A1 (en) * 2002-10-17 2004-04-22 Toomey Christopher Newell Detecting and blocking spoofed Web login pages
US7266120B2 (en) 2002-11-18 2007-09-04 Fortinet, Inc. System and method for hardware accelerated packet multicast in a virtual routing system
TW200412101A (en) * 2002-12-23 2004-07-01 Shaw-Hwa Hwang Directly peer-to peer transmission protocol between two virtual network
MY141160A (en) * 2003-01-13 2010-03-31 Multimedia Glory Sdn Bhd System and method of preventing the transmission of known and unknown electronic content to and from servers or workstations connected to a common network
JP4257151B2 (ja) * 2003-02-28 2009-04-22 富士通株式会社 パケット制御システム、パケット制御装置、パケット中継装置およびパケット制御プログラム
TW200420021A (en) * 2003-03-19 2004-10-01 Etrunk Technologies Inc Network packet routing control device
US7325002B2 (en) * 2003-04-04 2008-01-29 Juniper Networks, Inc. Detection of network security breaches based on analysis of network record logs
WO2004107131A2 (en) 2003-05-28 2004-12-09 Caymas Systems, Inc. Policy based network address translation
CA2527501A1 (en) 2003-05-28 2004-12-09 Caymas Systems, Inc. Multilayer access control security system
US7260840B2 (en) * 2003-06-06 2007-08-21 Microsoft Corporation Multi-layer based method for implementing network firewalls
US7509673B2 (en) * 2003-06-06 2009-03-24 Microsoft Corporation Multi-layered firewall architecture
US7308711B2 (en) * 2003-06-06 2007-12-11 Microsoft Corporation Method and framework for integrating a plurality of network policies
US6985920B2 (en) * 2003-06-23 2006-01-10 Protego Networks Inc. Method and system for determining intra-session event correlation across network address translation devices
US7620070B1 (en) * 2003-06-24 2009-11-17 Nvidia Corporation Packet processing with re-insertion into network interface circuitry
US20050022017A1 (en) 2003-06-24 2005-01-27 Maufer Thomas A. Data structures and state tracking for network protocol processing
US7305705B2 (en) * 2003-06-30 2007-12-04 Microsoft Corporation Reducing network configuration complexity with transparent virtual private networks
US20050144290A1 (en) * 2003-08-01 2005-06-30 Rizwan Mallal Arbitrary java logic deployed transparently in a network
US7522594B2 (en) * 2003-08-19 2009-04-21 Eye Ball Networks, Inc. Method and apparatus to permit data transmission to traverse firewalls
US7720095B2 (en) 2003-08-27 2010-05-18 Fortinet, Inc. Heterogeneous media packet bridging
US7464181B2 (en) * 2003-09-11 2008-12-09 International Business Machines Corporation Method for caching lookups based upon TCP traffic flow characteristics
US7594018B2 (en) * 2003-10-10 2009-09-22 Citrix Systems, Inc. Methods and apparatus for providing access to persistent application sessions
US20050100019A1 (en) * 2003-11-10 2005-05-12 Sahita Ravi L. Rule based packet processing engine
US7978716B2 (en) 2003-11-24 2011-07-12 Citrix Systems, Inc. Systems and methods for providing a VPN solution
US7792147B1 (en) * 2004-02-09 2010-09-07 Symantec Corporation Efficient assembly of fragmented network traffic for data security
KR100609170B1 (ko) * 2004-02-13 2006-08-02 엘지엔시스(주) 네트워크 보안 시스템 및 그 동작 방법
US6972226B2 (en) * 2004-03-31 2005-12-06 Infineon Technologies Ag Charge-trapping memory cell array and method for production
US20050268331A1 (en) * 2004-05-25 2005-12-01 Franck Le Extension to the firewall configuration protocols and features
US7757074B2 (en) 2004-06-30 2010-07-13 Citrix Application Networking, Llc System and method for establishing a virtual private network
US8495305B2 (en) 2004-06-30 2013-07-23 Citrix Systems, Inc. Method and device for performing caching of dynamically generated objects in a data communication network
US8739274B2 (en) 2004-06-30 2014-05-27 Citrix Systems, Inc. Method and device for performing integrated caching in a data communication network
CA2574776A1 (en) 2004-07-23 2006-02-02 Citrix Systems, Inc. Systems and methods for optimizing communications between network nodes
EP1771979B1 (de) 2004-07-23 2011-11-23 Citrix Systems, Inc. Verfahren und system zur sicherung von zugriff aus der ferne auf private netze
US7865944B1 (en) * 2004-09-10 2011-01-04 Juniper Networks, Inc. Intercepting GPRS data
GB0420684D0 (en) * 2004-09-17 2004-10-20 Oostendorp Jeroen Platform for intelligent Email distribution
US7499419B2 (en) 2004-09-24 2009-03-03 Fortinet, Inc. Scalable IP-services enabled multicast forwarding with efficient resource utilization
US8613048B2 (en) 2004-09-30 2013-12-17 Citrix Systems, Inc. Method and apparatus for providing authorized remote access to application sessions
US7748032B2 (en) 2004-09-30 2010-06-29 Citrix Systems, Inc. Method and apparatus for associating tickets in a ticket hierarchy
US7711835B2 (en) 2004-09-30 2010-05-04 Citrix Systems, Inc. Method and apparatus for reducing disclosure of proprietary data in a networked environment
KR100624483B1 (ko) * 2004-10-06 2006-09-18 삼성전자주식회사 네트워크에서의 차등 침입탐지 장치 및 방법
US7808904B2 (en) * 2004-11-18 2010-10-05 Fortinet, Inc. Method and apparatus for managing subscriber profiles
JP2006174350A (ja) * 2004-12-20 2006-06-29 Fujitsu Ltd 通信装置
US8549149B2 (en) 2004-12-30 2013-10-01 Citrix Systems, Inc. Systems and methods for providing client-side accelerated access to remote applications via TCP multiplexing
US8954595B2 (en) 2004-12-30 2015-02-10 Citrix Systems, Inc. Systems and methods for providing client-side accelerated access to remote applications via TCP buffering
US7810089B2 (en) 2004-12-30 2010-10-05 Citrix Systems, Inc. Systems and methods for automatic installation and execution of a client-side acceleration program
US8700695B2 (en) 2004-12-30 2014-04-15 Citrix Systems, Inc. Systems and methods for providing client-side accelerated access to remote applications via TCP pooling
US8706877B2 (en) 2004-12-30 2014-04-22 Citrix Systems, Inc. Systems and methods for providing client-side dynamic redirection to bypass an intermediary
US8255456B2 (en) 2005-12-30 2012-08-28 Citrix Systems, Inc. System and method for performing flash caching of dynamically generated objects in a data communication network
US8024568B2 (en) 2005-01-28 2011-09-20 Citrix Systems, Inc. Method and system for verification of an endpoint security scan
US7665128B2 (en) * 2005-04-08 2010-02-16 At&T Corp. Method and apparatus for reducing firewall rules
US7634584B2 (en) 2005-04-27 2009-12-15 Solarflare Communications, Inc. Packet validation in virtual network interface architecture
US20070097976A1 (en) * 2005-05-20 2007-05-03 Wood George D Suspect traffic redirection
US7881291B2 (en) * 2005-05-26 2011-02-01 Alcatel Lucent Packet classification acceleration using spectral analysis
US8631483B2 (en) * 2005-06-14 2014-01-14 Texas Instruments Incorporated Packet processors and packet filter processes, circuits, devices, and systems
CN100448227C (zh) * 2005-08-30 2008-12-31 杭州华三通信技术有限公司 业务流的识别方法
KR100753815B1 (ko) * 2005-08-31 2007-08-31 한국전자통신연구원 패킷 차단 장치 및 그 방법
US8347373B2 (en) 2007-05-08 2013-01-01 Fortinet, Inc. Content filtering of remote file-system access protocols
US7685298B2 (en) 2005-12-02 2010-03-23 Citrix Systems, Inc. Systems and methods for providing authentication credentials across application environments
JP4545085B2 (ja) * 2005-12-08 2010-09-15 富士通株式会社 ファイアウォール装置
US8730834B2 (en) * 2005-12-23 2014-05-20 General Electric Company Intelligent electronic device with embedded multi-port data packet controller
US7921184B2 (en) 2005-12-30 2011-04-05 Citrix Systems, Inc. System and method for performing flash crowd caching of dynamically generated objects in a data communication network
US8301839B2 (en) 2005-12-30 2012-10-30 Citrix Systems, Inc. System and method for performing granular invalidation of cached dynamically generated objects in a data communication network
US8584226B2 (en) * 2006-01-26 2013-11-12 Iorhythm, Inc. Method and apparatus for geographically regulating inbound and outbound network communications
US7606225B2 (en) * 2006-02-06 2009-10-20 Fortinet, Inc. Integrated security switch
US7784086B2 (en) * 2006-03-08 2010-08-24 Panasonic Corporation Method for secure packet identification
JP4823728B2 (ja) * 2006-03-20 2011-11-24 富士通株式会社 フレーム中継装置及びフレーム検査装置
US8151323B2 (en) * 2006-04-12 2012-04-03 Citrix Systems, Inc. Systems and methods for providing levels of access and action control via an SSL VPN appliance
US8122492B2 (en) * 2006-04-21 2012-02-21 Microsoft Corporation Integration of social network information and network firewalls
US8079073B2 (en) * 2006-05-05 2011-12-13 Microsoft Corporation Distributed firewall implementation and control
US8176157B2 (en) * 2006-05-18 2012-05-08 Microsoft Corporation Exceptions grouping
US7603333B2 (en) * 2006-06-14 2009-10-13 Microsoft Corporation Delayed policy evaluation
US7865878B2 (en) * 2006-07-31 2011-01-04 Sap Ag Method and apparatus for operating enterprise software from a detachable storage device
US8533846B2 (en) 2006-11-08 2013-09-10 Citrix Systems, Inc. Method and system for dynamically associating access rights with a resource
US7688821B2 (en) * 2006-11-21 2010-03-30 O2Micro International Ltd. Method and apparatus for distributing data packets by using multi-network address translation
US8984620B2 (en) * 2007-07-06 2015-03-17 Cyberoam Technologies Pvt. Ltd. Identity and policy-based network security and management system and method
US10540651B1 (en) 2007-07-31 2020-01-21 Intuit Inc. Technique for restricting access to information
US8060927B2 (en) * 2007-10-31 2011-11-15 Microsoft Corporation Security state aware firewall
JP5223376B2 (ja) * 2008-02-29 2013-06-26 日本電気株式会社 リモートアクセスシステム、方法及びプログラム
US20090235355A1 (en) * 2008-03-17 2009-09-17 Inventec Corporation Network intrusion protection system
US8336094B2 (en) * 2008-03-27 2012-12-18 Juniper Networks, Inc. Hierarchical firewalls
JP5153480B2 (ja) * 2008-06-27 2013-02-27 三菱電機株式会社 ゲートウェイ装置およびパケットフィルタリング方法
US7908376B2 (en) * 2008-07-31 2011-03-15 Broadcom Corporation Data path acceleration of a network stack
US8769665B2 (en) * 2009-09-29 2014-07-01 Broadcom Corporation IP communication device as firewall between network and computer system
CN105376167A (zh) * 2009-10-28 2016-03-02 惠普公司 分布式分组流检查和处理
US8656492B2 (en) * 2011-05-16 2014-02-18 General Electric Company Systems, methods, and apparatus for network intrusion detection
WO2012163587A1 (en) * 2011-05-31 2012-12-06 Alcatel Lucent Distributed access control across the network firewalls
US8881258B2 (en) * 2011-08-24 2014-11-04 Mcafee, Inc. System, method, and computer program for preventing infections from spreading in a network environment using dynamic application of a firewall policy
US8724496B2 (en) * 2011-11-30 2014-05-13 Broadcom Corporation System and method for integrating line-rate application recognition in a switch ASIC
US8681794B2 (en) 2011-11-30 2014-03-25 Broadcom Corporation System and method for efficient matching of regular expression patterns across multiple packets
JP6252474B2 (ja) * 2012-07-24 2017-12-27 日本電気株式会社 フィルタリング設定支援装置、フィルタリング設定支援方法及びプログラム
WO2014077614A1 (en) * 2012-11-19 2014-05-22 Samsung Sds Co., Ltd. Anti-malware system, method of processing data in the same, and computing device
US9319351B1 (en) * 2012-11-26 2016-04-19 Marvell Israel (M.I.S.L.) Ltd. Mechanism for wire-speed stateful packet inspection in packet processors
US10033693B2 (en) 2013-10-01 2018-07-24 Nicira, Inc. Distributed identity-based firewalls
US9276904B2 (en) 2014-02-20 2016-03-01 Nicira, Inc. Specifying point of enforcement in a firewall rule
US9755981B2 (en) 2014-03-11 2017-09-05 Vmware, Inc. Snooping forwarded packets by a virtual machine
US9742682B2 (en) 2014-03-11 2017-08-22 Vmware, Inc. Large receive offload for virtual machines
US9384033B2 (en) 2014-03-11 2016-07-05 Vmware, Inc. Large receive offload for virtual machines
US9906494B2 (en) 2014-03-31 2018-02-27 Nicira, Inc. Configuring interactions with a firewall service virtual machine
US9215210B2 (en) 2014-03-31 2015-12-15 Nicira, Inc. Migrating firewall connection state for a firewall service virtual machine
US9503427B2 (en) 2014-03-31 2016-11-22 Nicira, Inc. Method and apparatus for integrating a service virtual machine
US10110712B2 (en) 2014-06-04 2018-10-23 Nicira, Inc. Efficient packet classification for dynamic containers
US9729512B2 (en) 2014-06-04 2017-08-08 Nicira, Inc. Use of stateless marking to speed up stateful firewall rule processing
WO2015187201A1 (en) * 2014-06-04 2015-12-10 Nicira, Inc. Use of stateless marking to speed up stateful firewall rule processing
US9774707B2 (en) 2014-06-04 2017-09-26 Nicira, Inc. Efficient packet classification for dynamic containers
US9825913B2 (en) 2014-06-04 2017-11-21 Nicira, Inc. Use of stateless marking to speed up stateful firewall rule processing
US9692698B2 (en) 2014-06-30 2017-06-27 Nicira, Inc. Methods and systems to offload overlay network packet encapsulation to hardware
US9419897B2 (en) 2014-06-30 2016-08-16 Nicira, Inc. Methods and systems for providing multi-tenancy support for Single Root I/O Virtualization
US9692727B2 (en) 2014-12-02 2017-06-27 Nicira, Inc. Context-aware distributed firewall
US9891940B2 (en) 2014-12-29 2018-02-13 Nicira, Inc. Introspection method and apparatus for network access filtering
US9806948B2 (en) 2015-06-30 2017-10-31 Nicira, Inc. Providing firewall rules for workload spread across multiple data centers
US10324746B2 (en) 2015-11-03 2019-06-18 Nicira, Inc. Extended context delivery for context-based authorization
WO2017178888A1 (en) 2016-04-12 2017-10-19 Guardknox Cyber Technologies Ltd. Specially programmed computing systems with associated devices configured to implement secure lockdowns and methods of use thereof
US10135727B2 (en) 2016-04-29 2018-11-20 Nicira, Inc. Address grouping for distributed service rules
US10348685B2 (en) 2016-04-29 2019-07-09 Nicira, Inc. Priority allocation for distributed service rules
US11171920B2 (en) 2016-05-01 2021-11-09 Nicira, Inc. Publication of firewall configuration
US10944722B2 (en) 2016-05-01 2021-03-09 Nicira, Inc. Using activities to manage multi-tenant firewall configuration
US11088990B2 (en) 2016-06-29 2021-08-10 Nicira, Inc. Translation cache for firewall configuration
US11258761B2 (en) 2016-06-29 2022-02-22 Nicira, Inc. Self-service firewall configuration
US11115385B1 (en) * 2016-07-27 2021-09-07 Cisco Technology, Inc. Selective offloading of packet flows with flow state management
US10938837B2 (en) 2016-08-30 2021-03-02 Nicira, Inc. Isolated network stack to manage security for virtual machines
US10333983B2 (en) 2016-08-30 2019-06-25 Nicira, Inc. Policy definition and enforcement for a network virtualization platform
US10193862B2 (en) 2016-11-29 2019-01-29 Vmware, Inc. Security policy analysis based on detecting new network port connections
US10715607B2 (en) 2016-12-06 2020-07-14 Nicira, Inc. Performing context-rich attribute-based services on a host
US10803173B2 (en) 2016-12-22 2020-10-13 Nicira, Inc. Performing context-rich attribute-based process control services on a host
US10581960B2 (en) 2016-12-22 2020-03-03 Nicira, Inc. Performing context-rich attribute-based load balancing on a host
US10805332B2 (en) 2017-07-25 2020-10-13 Nicira, Inc. Context engine model
US10503536B2 (en) 2016-12-22 2019-12-10 Nicira, Inc. Collecting and storing threat level indicators for service rule processing
US10812451B2 (en) 2016-12-22 2020-10-20 Nicira, Inc. Performing appID based firewall services on a host
US11032246B2 (en) 2016-12-22 2021-06-08 Nicira, Inc. Context based firewall services for data message flows for multiple concurrent users on one machine
US10313926B2 (en) 2017-05-31 2019-06-04 Nicira, Inc. Large receive offload (LRO) processing in virtualized computing environments
US10778651B2 (en) 2017-11-15 2020-09-15 Nicira, Inc. Performing context-rich attribute-based encryption on a host
US10802893B2 (en) 2018-01-26 2020-10-13 Nicira, Inc. Performing process control services on endpoint machines
US10862773B2 (en) 2018-01-26 2020-12-08 Nicira, Inc. Performing services on data messages associated with endpoint machines
US11388141B1 (en) * 2018-03-28 2022-07-12 Juniper Networks, Inc Apparatus, system, and method for efficiently filtering packets at network devices
US11310202B2 (en) 2019-03-13 2022-04-19 Vmware, Inc. Sharing of firewall rules among multiple workloads in a hypervisor
US11539718B2 (en) 2020-01-10 2022-12-27 Vmware, Inc. Efficiently performing intrusion detection
US11108728B1 (en) 2020-07-24 2021-08-31 Vmware, Inc. Fast distribution of port identifiers for rule processing
US20220038372A1 (en) * 2020-08-02 2022-02-03 Mellanox Technologies Tlv Ltd. Stateful filtering systems and methods
US11593278B2 (en) 2020-09-28 2023-02-28 Vmware, Inc. Using machine executing on a NIC to access a third party storage not supported by a NIC or host
US11792134B2 (en) 2020-09-28 2023-10-17 Vmware, Inc. Configuring PNIC to perform flow processing offload using virtual port identifiers
US11829793B2 (en) 2020-09-28 2023-11-28 Vmware, Inc. Unified management of virtual machines and bare metal computers
US11636053B2 (en) 2020-09-28 2023-04-25 Vmware, Inc. Emulating a local storage by accessing an external storage through a shared port of a NIC
US11824931B2 (en) 2020-09-28 2023-11-21 Vmware, Inc. Using physical and virtual functions associated with a NIC to access an external storage through network fabric driver
US11863376B2 (en) 2021-12-22 2024-01-02 Vmware, Inc. Smart NIC leader election
US11928367B2 (en) 2022-06-21 2024-03-12 VMware LLC Logical memory addressing for network devices
US11928062B2 (en) 2022-06-21 2024-03-12 VMware LLC Accelerating data message classification with smart NICs
US11899594B2 (en) 2022-06-21 2024-02-13 VMware LLC Maintenance of data message classification cache on smart NIC

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5400331A (en) * 1993-04-28 1995-03-21 Allen-Bradley Company, Inc. Communication network interface with screeners for incoming messages
US5623601A (en) * 1994-11-18 1997-04-22 Milkway Networks Corporation Apparatus and method for providing a secure gateway for communication and data exchanges between networks
US5802320A (en) * 1995-05-18 1998-09-01 Sun Microsystems, Inc. System for packet filtering of data packets at a computer network interface
US5648965A (en) * 1995-07-07 1997-07-15 Sun Microsystems, Inc. Method and apparatus for dynamic distributed packet tracing and analysis
US5801753A (en) * 1995-08-11 1998-09-01 General Instrument Corporation Of Delaware Method and apparatus for providing an interactive guide to events available on an information network
US6147976A (en) * 1996-06-24 2000-11-14 Cabletron Systems, Inc. Fast network layer packet filter
US5828833A (en) * 1996-08-15 1998-10-27 Electronic Data Systems Corporation Method and system for allowing remote procedure calls through a network firewall
US6119236A (en) * 1996-10-07 2000-09-12 Shipley; Peter M. Intelligent network security device and method
US5835727A (en) * 1996-12-09 1998-11-10 Sun Microsystems, Inc. Method and apparatus for controlling access to services within a computer network
US6070242A (en) * 1996-12-09 2000-05-30 Sun Microsystems, Inc. Method to activate unregistered systems in a distributed multiserver network environment
US5848233A (en) * 1996-12-09 1998-12-08 Sun Microsystems, Inc. Method and apparatus for dynamic packet filter assignment
US6073178A (en) * 1996-12-09 2000-06-06 Sun Microsystems, Inc. Method and apparatus for assignment of IP addresses
US6208651B1 (en) * 1997-06-10 2001-03-27 Cornell Research Foundation, Inc. Method and system for masking the overhead of protocol layering
US6092110A (en) * 1997-10-23 2000-07-18 At&T Wireless Svcs. Inc. Apparatus for filtering packets using a dedicated processor
US6158008A (en) * 1997-10-23 2000-12-05 At&T Wireless Svcs. Inc. Method and apparatus for updating address lists for a packet filter processor
EP1062785A2 (de) * 1998-03-18 2000-12-27 Secure Computing Corporation System und verfahren zur steuerung von wechselwirkungen zwischen netzwerken
US6092108A (en) * 1998-03-19 2000-07-18 Diplacido; Bruno Dynamic threshold packet filtering of application processor frames
AU5567499A (en) * 1998-08-17 2000-03-06 Vitesse Semiconductor Corporation Packet processing architecture and methods

Also Published As

Publication number Publication date
KR20020092972A (ko) 2002-12-12
EA200200814A1 (ru) 2003-02-27
AU4171701A (en) 2001-09-12
IL151522A (en) 2007-12-03
CA2401577A1 (en) 2001-09-07
NO324958B1 (no) 2008-01-14
JP3954385B2 (ja) 2007-08-08
WO2001065343A1 (en) 2001-09-07
EP1266277A1 (de) 2002-12-18
EP1266277B1 (de) 2005-12-07
NO20024113D0 (no) 2002-08-29
EA004423B1 (ru) 2004-04-29
CN100474213C (zh) 2009-04-01
US6496935B1 (en) 2002-12-17
JP2003525557A (ja) 2003-08-26
ATE312463T1 (de) 2005-12-15
PL357181A1 (en) 2004-07-26
HUP0300039A2 (en) 2003-05-28
CA2401577C (en) 2007-09-18
CN1406351A (zh) 2003-03-26
DE60115615D1 (de) 2006-01-12
NO20024113L (no) 2002-11-01
BR0109035A (pt) 2003-06-03
EP1266277A4 (de) 2003-07-02
NZ520984A (en) 2003-02-28
IL151522A0 (en) 2003-04-10
AU2001241717B2 (en) 2005-12-22

Similar Documents

Publication Publication Date Title
DE60115615T2 (de) System, einrichtung und verfahren zur schnellen paketfilterung und -verarbeitung
DE69825801T2 (de) Vorrichtung und Verfahren zur Ermöglichung gleichranginger Zugangskontrolle in einem Netz
DE10249428B4 (de) Verfahren zum Definieren der Sicherheitsanfälligkeiten eines Computersystems
DE60104876T2 (de) Prüfung der Konfiguration einer Firewall
DE60312235T2 (de) Verfahren und system zur eindringverhinderung und ablenkung
DE112010004940B4 (de) Automatisches Erkennen von Adressbereichen für IP-Netzwerke
DE10249888B4 (de) Knoten eines Netzes, das ein Einbruchserfassungssystem betreibt, Verfahren zum Ausführen einer Einbruchsprävention an einem Knoten eines Netzes, sowie computerlesbares Medium
DE60300333T2 (de) Verfahren und Vorrichtung für ein flexibles Rahmenverarbeitungs und Klassifikationssystem
DE60220333T2 (de) Verfahren und Systeme zur Authentifizierung durch eine Vielzahl von Proxy-Servern
DE102006011449B4 (de) Protokollunabhängiges Abhörnetzwerkgerät
DE602004008055T2 (de) Intelligente integrierte netzwerksicherheitseinrichtung
DE19741246C2 (de) Vorrichtung und Verfahren zur Erhöhung der Sicherheit in Netzwerken
DE60308260T2 (de) Verfahren und Vorrichtung zum effizienten Vergleich von Antworten auf vorher vermittelte Anforderungen durch einen Netzknoten
EP3542511B1 (de) Verfahren für ein kommunikationsnetzwerk und elektronische kontrolleinheit
DE10249427A1 (de) System und Verfahren zum Definieren des Sicherheitszustands eines Computersystems
DE60122033T2 (de) Schutz von Computernetzen gegen böswillige Inhalte
DE102015001024A1 (de) Verfahren und Systeme zum Erkennen von Extrusion und Intrusion in einer Cloud-Computer-Umgebung, welche Netzwerkkommunikationsgeräte verwendet
DE60121133T2 (de) Verfahren und Vorrichtung zur Behandlung von unerlaubten Zugriffsdaten
WO2016008778A1 (de) Verfahren zum erkennen eines angriffs in einem computernetzwerk
EP1494401B1 (de) Router and Verfahren zur Aktivierung eines deaktivierten Computers
DE112019005529T5 (de) Fahrzeugseitige Kommunikationsvorrichtung, Kommunikationssteuerverfahren und Kommunikationssteuerprogramm
DE112021000455T5 (de) Deep packet analyse
DE60302003T2 (de) Handhabung von zusammenhängenden Verbindungen in einer Firewall
DE69925380T2 (de) Vorrichtung und verfahren zur verarbeitung einer paketsequenz
DE102019210226A1 (de) Vorrichtung und Verfahren für Angriffserkennung in einem Kommunikationsnetzwerk

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
8380 Miscellaneous part iii

Free format text: DIE VERTRETER SIND ZU ERGAENZEN: COHAUSZ & FLORACK, 40211 DUESSELDORF