DE69734019T2 - Verfahren und vorrichtung für dynamische paketfilterzuweisung - Google Patents
Verfahren und vorrichtung für dynamische paketfilterzuweisung Download PDFInfo
- Publication number
- DE69734019T2 DE69734019T2 DE69734019T DE69734019T DE69734019T2 DE 69734019 T2 DE69734019 T2 DE 69734019T2 DE 69734019 T DE69734019 T DE 69734019T DE 69734019 T DE69734019 T DE 69734019T DE 69734019 T2 DE69734019 T2 DE 69734019T2
- Authority
- DE
- Germany
- Prior art keywords
- filter
- computer
- client system
- detected event
- rules
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
Description
- BEREICH DER ERFINDUNG
- Die vorliegende Erfindung bezieht sich allgemein auf Sicherheit in Computernetzen. Insbesondere ist die vorliegende Erfindung ein Verfahren und eine Vorrichtung, das bzw. die erlaubt, IP-Pakete innerhalb eines Netzes basierend auf Ereignissen innerhalb des Netzes selektiv zu filtern.
- HINTERGRUND DER ERFINDUNG
- In den letzten Jahren wurde man Zeuge eines explosiven Wachstums bei der Verwendung von Computernetzen. Tatsächlich wurde die Verwendung von Computernetzen zur Verbindung von ungleichartigen Computersystemen in der ganzen Welt zur Routine und einer akzeptierten Tatsache. Ein Ergebnis der weiterhin zunehmenden Verwendung von Computernetzen ist ein weiterhin zunehmender Bedarf an Sicherheitssystemen.
- Computernetze, die das Internet-Protokoll verwenden, werden üblicherweise als IP-Netze bezeichnet. Innerhalb von IP-Netzen werden Nachrichten mittels diskreter, als "Pakete" bekannter Quanten gesendet und empfangen. Jedes Paket beinhaltet einen Kopf (Header) und einen Rumpf (Body). Nachrichten werden gesendet, indem die Nachricht unterteilt und jeder Teil der unterteilten Nachricht in den Rumpf eines Paketes eingefügt wird. Die Pakete werden über das IP-Netz gesendet und beim empfangenden System wieder zur Nachricht zusammengebaut.
- Paketfilter sind Programme, die die in Paketheadern enthaltenen Daten prüfen und Pakete verwerfen, die eine Bedrohung der Netzsicherheit darzustellen scheinen. Zum Beispiel nehme man an, daß eine Firma einen Router verwendet, um sein internes Intranet mit einem externen Netz wie dem Internet zu verbinden. Typischerweise wird ein in dieser Konfiguration verwendeter Router den Header jedes empfangenen Paketes inspizieren, um die Adresse des Systems, das das Paket sendet, festzustellen. Es ist in diesem Fall klar, daß Pakete, die aus dem Internet kommen, aber Quelladressen haben, die mit Adressen von Systemen innerhalb des Firmen-Intranet korrespondieren, verdächtig sind. Ein in dem Router enthaltener Paketfilter würde daher Pakete dieser Art verwerfen. Filtern kann auf dem Ziel des Pakets, dem Protokoll höherer Schichten oder anderen Paketinhalten beruhen.
- Im allgemeinen hat sich die Verwendung von Paketfiltern als eine effektive und relativ einfache Technik erwiesen, um die Sicherheit innerhalb von Computernetzen zu erhöhen. Unglücklicherweise sind auch einige Nachteile mit herkömmlichen Paketfiltertechniken verbunden. Einer dieser Nachteile rührt von dem statischen Wesen herkömmlicher Paketfiltersysteme her. Es war im allgemeinen der Fall, daß Paketfiltersysteme mittels eines festen Satzes von Filterregeln eingerichtet sind. Diese Regeln werden dann zum Filtern von Paketen innerhalb des Netzes verwendet und bleiben wirksam, bis das Paketfiltersystem neu konfiguriert wird. Da Neukonfigurieren von Paketfiltersystemen relativ selten ist, sind die speziellen Filterregeln, die innerhalb eines bestimmten Netzes wirksam sind, im allgemeinen von fester und statischer Natur.
- Zum Beispiel sind in einem Szenario Zugangskontrollregeln ziemlich statisch. Externen Paketen (Paketen aus dem Internet) wird sehr eingeschränkter Zugang gestattet. Internen Paketen (von innerhalb des Intranet) wird ziemlich statischer Zugang zu bestimmten Teilen des internen Netzes gestattet. Wenn Maschinen hinzugefügt/entfernt oder verlagert werden, dann können die Filterregeln geändert werden. Man minimiert ferner die Änderungen an Filterregeln durch Verwenden von Subnetz-Feldern in den Filterregeln. Z. B. anstatt zu sagen, daß Zugang zu einem Host mit Adresse xyz gestattet ist, sagt man, daß Zugang zu Hosts mit Adresse xy* gestattet ist. Dies erlaubt, daß die Zielmaschine innerhalb des Subnetzes verlagert wird oder sogar neue hinzugefügt werden.
- Man betrachte nun ein dynamischeres System, in dem man den Zugang basierend auf bestimmten Ereignissen wie etwa den mit dem Netz verbundenen Benutzern kontrollieren möchte. Ein Internet-Diensterbringer (Internet Service Provider, ISP) kann zum Beispiel Benutzer haben, die sich mittels Telefon oder Kabelmodem im Verlauf der Zeit mit seinem Netz verbinden, einloggen, ausloggen und trennen. Der ISP würde den Zugang zu dieser sich dynamisch ändernden Menge von Benutzern kontrollieren wollen. Darüber hinaus kann verschiedenen Benutzern ein unterschiedlicher Zugang gestattet werden basierend darauf, wer der Benutzer ist und für welchen Satz von Diensten sich der Benutzer angemeldet hat. Im Ergebnis ist die Qualität der Paketfilterung, die herkömmliche Paketfiltersysteme bieten, häufig weniger als optimal.
- Bedner I. et al: "HP BIDS – Broadband Interactive Data Solution" Digest of Papers of COMPCON (Computer Society Conference) 1996, Technologies for the Information Superhighway Santa Clara, 25.–28. Februar 1996, Nr. CONF 41, 25. Februar 1996, Institute of Electrical and Electronics Engineers, Seiten 39–44, beschreibt ein System, das es Telekommunikationsunternehmen, Kabel- und Dienstanbietern erlaubt, ihren Endkunden interaktive Datendienste und Internet-Dienste anzubieten. Das System beinhaltet einen Firewall-Server, der dynamischen Filterregeln basierend auf der Art des Dienstes, für den sich ein bestimmter Benutzer angemeldet hat, Geltung verschafft.
- Bellovin S. M. et al: "Network Firewalls" IEEE Communications Magazine, Bd. 32, Nr. 9, 1. September 1994, Seiten 50–57, beschreibt die Verwendung von Firewalls als eine Barriere zwischen zwei Netzen. Paketfilterung wird verwendet, um Sicherheit durch Fallenlassen von Paketen basierend auf bestimmten Kriterien wie ihrer Quell- oder Zieladresse zu bieten.
- ZUSAMMENFASSUNG DER ERFINDUNG
- Eine bevorzugte Ausführungsform der vorliegenden Erfindung umfaßt ein Verfahren und eine Vorrichtung zum Filtern von IP-Paketen basierend auf Ereignissen innerhalb des Netzes. Spezieller ist eine bevorzugte Ausführungsform der vorliegenden Erfindung ein Computernetz, das eine Reihe von Clientsystemen und einen Router umfaßt. Ein Zugangsnetzkontrollserver (Access Network Control Server, ANCS) kontrolliert die Konfiguration des Router und die Komponenten des Netzes, die Pakete von den Clientsystemen weiterleiten. Ein Dienstmanagementsystem (Service Management System, SMS) konfiguriert den ANCS dynamisch neu. Das Netz umfaßt auch einen DHCP-Server, der das im Internet-RFC 1541 definierte Dynamic Host Configuration Protocol (DHCP) implementiert. Die Clientsysteme, die typischerweise Personal Computers (PCs) sind, die Kabelmodems verwenden, verbinden sich mit dem Router. Als Teil des Verbindungsvorgangs erhält jedes Clientsystem eine dynamisch zugewiesene IP-Adresse von dem DHCP-Server.
- Dieses SMS unterhält eine Reihe von Filterprofilen, von denen jedes eine oder mehrere Filterregeln umfaßt. Das SMS setzt eine Default-Filtersequenz für das neu verbundene Clientsystem fest, indem es die Sequenz aus dem SMS in den ANCS herunterlädt.
- Der ANCS verwendet die in der heruntergeladenen Login-Filterprofilsequenz enthaltenen Regeln zum Einrichten eines Paketfilters für IP-Pakete, die von dem neu verbundenen Clientsystem stammen. Wann immer der ANCS einen neuen Paketfilter für ein Clientsystem einrichtet, wird jedweder zuvor eingerichtete Paketfilter für dasselbe Clientsystem verworfen. Der Paketfilter wird durch Neukonfigurieren der Komponenten des Netzes, wie Router oder das mit dem Clientsystem verbundene Modem, eingerichtet, die von dem Clientsystem stammende Pakete weiterleiten. Anschließend verwendet der Paketfilter die Regeln der Login-Filterprofilsequenz, um von dem Clientsystem ausgehende IP-Pakete selektiv weiterzuleiten oder zu verwerfen. Diese Filtersequenz erlaubt es neu angeschlossenen Clientsystemen, ein Login durchzuführen, jedoch nichts sonst.
- In der obigen Beschreibung haben wir ein Default-Login-Profil genanntes Default-Profil (Standardprofil) gesetzt. Das Default-Login-Profil ist ein statisches Profil, das für ALLE neu verbundenen Clientsysteme gilt. Auf diese Weise braucht das SMS nichts davon mitzubekommen, wenn neue Clientsysteme angeschlossen werden.
- Man kann auch überlegen, das Defaultprofil für jedes Clientsystem auf ein Nullprofil zu setzen, wenn sich das Clientsystem anschließt; da zum Beispiel ein Clientsystem, das sich anschließt, eine DHCP-Operation vornehmen kann, kann dieses Ereignis das SMS anstoßen, das Login-Profil für den neu angeschlossenen Computer zu setzen.
- Eine bevorzugte Ausführungsform der vorliegenden Erfindung erzeugt auch Filterprofile für Benutzer oder wählt sie aus. Wenn die Login-Filterprofil-Sequenz an Ort und Stelle ist, kann ein Benutzer das neu angeschlossene Clientsystem verwenden, um sich bei dem Netz einzuloggen. Das Benutzer-Login wird von dem SMS überwacht. Wenn der Benutzer erfolgreich eingeloggt ist, wählt das SMS eine Benutzer-Filterprofil-Sequenz aus oder erzeugt sie. Die Benutzer-Filterprofil-Sequenz wird dann von dem SMS zum ANCS heruntergeladen. Der ANCS verwendet die in der heruntergeladenen Login-Filterprofil-Sequenz enthaltenen Regeln zum Einrichten eines neuen Paketfilters für IP-Pakete, die von dem neu eingeloggten Clientsystem stammen. Der neue Paketfilter wird durch Neukonfigurieren der Komponenten des Netzes eingerichtet, um den für das Login-Filterprofil eingerichteten Paketfilter zu ersetzen. Anschließend verwendet der neue Paketfilter die Regeln der Benutzer-Filterprofil-Sequenz, um von dem Clientsystem ausgehende IP-Pakete selektiv weiterzuleiten oder zu verwerfen.
- Man beachte, daß wir in der obenstehenden Beschreibung die Ereignisse des Verbindens eines Clientsystems, des Einloggens und Ausloggens als Ereignisse verwendet haben, die das SMS anstoßen, Filterregeln zu ändern. In anderen Umgebungen können andere Ereignisse verwendet werden, um das Setzen der Filterregeln anzustoßen.
- Wir haben das SMS als ein Eincomputersystem beschrieben, das die Filterregeln setzt. Man kann das SMS als einen Satz von Maschinen ansehen, die kollektiv Filterregeln in verschiedenen Teilen des Computernetzes setzen.
- In ähnlicher Weise haben wir den ANCS als einen einzelnen Computer beschrieben, aber er kann auch ein Satz von Computern sein, die verwendet werden können, um den Router und die Komponenten des Netzes zu steuern, die Pakete von Clientsystemen weiterleiten.
- Gemäß dem Zweck der Erfindung, wie es hier realisiert und ausführlich beschrieben ist, ist die vorliegende Erfindung ein Verfahren zum Filtern von IP-Paketen in einem Computernetz, das ein oder mehrere Clientsysteme umfaßt, wobei das Verfahren die von einem oder mehreren Computersystemen durchgeführten Schritte aufweist: Erkennen eines einem der Clientsysteme zuzuordnenden Ereignisses, Auswählen einer oder mehrerer Filterregeln, basierend auf dem Typ des erkannten Ereignisses, und Einrichten eines Paketfilters in dem Computernetz, wobei der Paketfilter die ausgewählten Regeln verwendet, um von dem zu dem erkannten Ereignis gehörigen Clientsystem stammende Pakete selektiv zu verwerfen.
- In weiterer Übereinstimmung mit dem Zweck der Erfindung, wie es hier verkörpert und ausführlich beschrieben wird, ist die vorliegende Erfindung eine Vorrichtung zum Filtern von IP-Paketen in einem Computernetz, das ein oder mehrere Clientsysteme umfaßt, wobei die Vorrichtung aufweist: einen ersten Teil, der ausgelegt ist, ein Computersystem zu veranlassen, ein einem der Clientsysteme zugeordnetes Ereignis zu erkennen, einen zweiten Teil, der ausgelegt ist, ein Computersystem zu veranlassen, eine oder mehrere Filterregeln basierend auf der Art des erkannten Ereignisses bereitzustellen, und einen dritten Teil, der ausgelegt ist, ein Computersystem zu veranlassen, einen Paketfilter in dem Computernetz einzurichten, wobei der Paketfilter die ausgewählten Regeln verwendet, um von dem zu dem erkannten Ereignis gehörenden Clientsystem stammende Pakete selektiv zu verwerfen.
- Vorteile der Erfindung werden zum Teil in der folgenden Beschreibung dargelegt und ergeben sich zum Teil für Fachleute auf diesem Gebiet anhand der Beschreibung oder können durch Ausüben der Erfindung erlernt werden. Die Vorteile der Erfindung werden mit Hilfe der Elemente und Kombinationen realisiert und erzielt, die in den beigefügten Ansprüchen und Äquivalenten im Besonderen dargelegt werden.
- KURZBESCHREIBUNG DER ZEICHNUNGEN
- Die beigefügten Zeichnungen, die in der Beschreibung angesprochen werden und einen Teil davon darstellen, veranschaulichen einige Ausführungsformen der Erfindung und dienen zusammen mit der Beschreibung dazu, die Prinzipien der Erfindung zu erklären.
-
1 ist ein Blockdiagramm eines Computernetzes, das als eine beispielhafte Umgebung für eine bevorzugte Ausführungsform der vorliegenden Erfindung dargestellt ist. -
2 ist ein Blockdiagramm eines Zugangsnetzkontrollservers, wie er von einer bevorzugten Ausführungsform der vorliegenden Erfindung verwendet wird. -
3 ist ein Blockdiagramm eines Dienstmanagementsystems, wie es von einer bevorzugten Ausführungsform der vorliegenden Erfindung verwendet wird. -
4 ist ein Blockdiagramm eines Filterprofils, wie es in einer bevorzugten Ausführungsform der vorliegenden Erfindung verwendet wird. -
5 ist ein Blockdiagramm einer Filterregel, wie sie in einer bevorzugten Ausführungsform der vorliegenden Erfindung verwendet wird. -
6 ist ein Flußdiagramm, das einen Überblick über die mit der Verwendung der Filterprofile verbundenen Schritte einer bevorzugten Ausführungsform der vorliegenden Erfindung zeigt. -
7 ist ein Flußdiagramm, das die Schritte zeigt, die mit einer bevorzugten Ausführungsform eines Verfahrens für das Einloggen von Benutzern in ein Computernetz verbunden sind. -
8a bis8d sind Blockdiagramme, die Filterprofile zeigen, die mit einem bevorzugten Verfahren für das Einloggen von Benutzern in ein Computernetz verbunden sind. -
9 ist ein Flußdiagramm, das die Schritte zeigt, die mit einer bevorzugten Ausführungsform eines Verfahrens zum Zuordnen von Privilegien zu einem Benutzer in dem Computernetz verbunden sind. - DETAILLIERTE BESCHREIBUNG DER BEVORZUGTEN AUSFÜHRUNGSFORMEN
- Es wird nun im Detail auf bevorzugte Ausführungsformen der vorliegenden Erfindung Bezug genommen, von denen Beispiele in den beigefügten Zeichnungen dargestellt sind. Wo immer möglich werden durchgehend dieselben Bezugsnummern in den Zeichnungen verwendet, um auf dieselben oder ähnliche Teile Bezug zu nehmen.
- In
1 wird ein Computernetz100 als eine typische Umgebung für die vorliegende Erfindung gezeigt. Strukturell umfaßt das Computernetz100 eine Reihe von Clientsystemen102 , für die die Clientsysteme102a bis102f typische Beispiele sind. Jedes Clientsystem102 kann aus einem Bereich von voneinander abweichenden Einrichtungen ausgewählt werden einschließlich der, jedoch nicht beschränkt auf die in1 abgebildeten Personal Computer. Vorzugsweise ist jedes Clientsystem102 zu jedem gegebenen Zeitpunkt auf einen einzelnen Benutzer beschränkt. Ein Kabelmodem104 ist an jedes Clientsystem102 angeschlossen. Jedes Kabelmodem104 ist seinerseits an einen Kabelrouter106 angeschlossen. Die Verwendung des Kabelrouter106 und der Kabelmodems104 ist auch als Beispiel gedacht und es versteht sich, daß andere Netztechnologien und -topologien ebenfalls praktikabel sind. Es versteht sich auch, daß eine Anzahl von unterschiedlichen Kabelmodems und Kabelroutern von verschiedenen Herstellern verfügbar sind, insbesondere kann das Kabelmodem104 ein CyberSUFR-Kabelmodem und der Kabelrouter106 ein CableMASTR-Kabelrouter sein, beide erhältlich bei Motorola Inc. - Das Netz
100 umfaßt auch eine Reihe von Serversystemen108 , für die die Serversysteme108a bis108c repräsentativ sind. Jedes Serversystem108 ist mit dem Kabelrouter106 verbunden. Im allgemeinen sind die Serversysteme108 dafür gedacht, den weiten Bereich von Serversysteme zu repräsentieren, die man innerhalb von Computernetzen finden kann. - Ein DHCP-Serversystem
110 ist ebenfalls in dem Computernetz100 enthalten und mit dem Kabelrouter106 verbunden. Das DHCP-Serversystem110 ist ein Computer oder ein anderes System, welches das Dynamic Host Configuration Protocol (DHCP), das im Internet RFC 1541 definiert ist, implementiert. Funktional sorgt ein DHCP-Serversystem110 für die Zuordnung von IP-Adressen innerhalb des Netzes100 . Wenn Clientsysteme102 sich anfänglich mit dem Kabelrouter106 verbinden, fordert jedes Clientsystem102 eine IP-Adresse von dem DHCP-Serversystem110 und erhält eine solche von diesem. Auch wenn1 nur ein einziges DHCP-Serversystem110 zeigt, sollte es sich verstehen, daß zusätzliche DHCP-Serversysteme110 verwendet werden können, ohne von der vorliegenden Erfindung abzuweichen. - Das Computernetz
100 umfaßt auch einen Netzzugangskontrollserver (Access Network Control Server, ANCS)112 und eine Dienstmanagementsystem (Services Management System, SMS)114 . Sowohl ANCS112 als auch SMS114 sind mit dem Kabelrouter106 verbunden. Von ANCS112 wird in2 genauer gezeigt, daß er ein Computersystem202 enthält, das seinerseits einen Prozessor oder Prozessoren204 und einen Speicher206 umfaßt. Eine Eingabeeinrichtung208 und eine Ausgabeeinrichtung210 sind mit dem Computersystem202 verbunden und stellen einen großen Bereich von unterschiedlichen I/O-Einrichtungen wie Plattenlaufwerke, Tastaturen, Modems, Netzadapter, Drucker und Anzeigen bzw. Displays dar. Ein Plattenlaufwerk212 irgendeiner geeigneten Art von Plattenlaufwerken ist als mit dem Computersystem202 verbunden dargestellt. Ein ANCS-Prozeß214 ist in dem Speicher206 des Computersystems202 resident abgebildet. - Das SMS
114 ist genauer in3 dargestellt mit einem darin enthaltenen Computersystem302 , das seinerseits einen Prozessor oder Prozessoren304 und einen Speicher306 umfaßt. Eine Eingabeeinrichtung308 und eine Ausgabeeinrichtung310 sind mit dem Computersystem302 verbunden und stellen einen großen Bereich von unterschiedlichen I/O-Einrichtungen wie Plattenlaufwerke, Tastaturen, Modems, Netzadapter, Drucker und Anzeigen dar. Ein Plattenlaufwerk312 irgendeiner geeigneten Art von Plattenlaufwerken ist als mit dem Computersystem302 verbunden dargestellt. Ein SMS-Prozeß314 und eine Filterprofil-Datenbank316 sind in dem Speicher306 des Computersystems302 resident abgebildet. In1 sind der ANCS112 und das SMS114 als separate Einheiten abgebildet. Es versteht sich jedoch, daß die vorliegende Erfindung insbesondere vorsieht, daß der ANCS112 und das SMS114 mittels eines einzigen Computersystems implementiert werden können, das den ANCS-Prozeß214 , den SMS-Prozeß314 und die Filterprofil-Datenbank316 umfaßt. - Die Filterprofil-Datenbank
316 des SMS114 umfaßt einen Satz von Filterprofilen der in4 abgebildeten und allgemein mit400 bezeichneten Art. Das Filterprofil400 beinhaltet eine Profil-Id402 und eine Reihe von Filterregeln, für die die Filterregeln404a bis404c repräsentativ sind. Die Profil-Id402 wird von dem SMS114 und dem ANCS112 als ein interner Bezeichner für das Filterprofil400 verwendet. Die in dem Filterprofil400 enthaltenen Filterregeln404 versteht man besser unter Bezug auf5 . In5 sieht man, daß jede Filterregel404 eine Aktion500 enthält. Die Aktion500 spezifiziert die Disposition der IP-Pakete, die mit einer bestimmten Filterregel404 übereinstimmen. Insbesondere kann die Aktion500 angeben, daß ein übereinstimmendes IP-Paket wei tergeleitet wird oder daß ein übereinstimmendes IP-Paket verworfen wird. Die Filterregel404 beinhaltet auch eine Ziel-IP-Adresse502 und eine Ziel-IP-Maske504 . Die Ziel-IP-Adresse502 entspricht der im Header eines IP-Pakets enthaltenen Zieladresse. Die Ziel-IP-Maske504 ist einer Ziel-IP-Adresse502 ähnlich, aber entspricht einem Bereich von Zieladressen. Um mit einer bestimmten Filterregel404 übereinzustimmen, muß ein IP-Paket entweder eine Zieladresse haben, die mit der in der Filterregel404 enthaltenen Zieladresse502 übereinstimmt, oder eine Zieladresse haben, die von der Zieladreßmaske504 in der Filterregel404 abgedeckt wird. - Die Filterregel
404 enthält auch einen Protokolltyp506 . Der Protokolltyp506 entspricht dem Protokolltyp des IP-Pakets. Daher hat der Protokolltyp506 jeder Filterregel404 einen Wert, der einem IP-Pakettyp wie TCP, UDP, ICMP, etc. entspricht. Um mit einer Filterregel404 übereinzustimmen, muß ein IP-Paket einen Protokolltyp haben, der mit dem in der Filterregel404 enthaltenen Protokolltyp506 übereinstimmt. - Schließlich enthält die Filterregel
404 für die abgebildete Ausführungsform eine Anfangsportnummer508 und eine Endportnummer510 . Die Anfangsportnummer508 und die Endportnummer510 definieren einen Bereich von Portnummern des von bestimmten Protokollen verwendeten Typs wie etwa UDP oder TCP. Um mit einer bestimmten Filterregel404 übereinzustimmen, muß ein IP-Paket eines dieser Typen eine Portnummer haben, die innerhalb des durch die Anfangsportnummer508 und die Endportnummer510 definierten Bereichs liegt. - Die Verwendung von Filterprofilen
400 durch die vorliegende Erfindung ist im allgemeinen in6 dargestellt. In Schritt600 von6 erzeugt das SMS114 ein Filterprofil400 . Für Illustrationszwecke kann angenommen werden, daß das Filterprofil400 dafür gedacht ist, dem Clientsystem102b zu erlauben, UDP-Pakete an Port 63 des Serversystems108c zu senden. Daher enthält das in Schritt600 erzeugte Filterprofil400 eine einzige Filterregel404 . Die einzige Filterregel404 enthält eine Aktion500 , die angibt, daß IP-Pakete, die mit der Filterregel404 übereinstimmen, weitergeleitet werden sollten. Darüber hinaus enthält die Filterregel404 eine Zieladresse502 , die der IP-Adresse des Serversystems108c entspricht. Die Zieladreßmaske504 der Filterregel404 ist auf 255.255.255.255 gesetzt (255.255.255.255 paßt zu allen IP-Adressen) und der Protokolltyp506 der Filterregel404 ist auf UDP gesetzt. Schließlich sind die Anfangsportnummer508 und die Endportnummer510 der Filterregel404 beide auf 63 gesetzt. - Im Schritt
602 des Verfahrens600 wird das Filterprofil400 von dem SMS114 zu dem ANCS112 heruntergeladen. Zur selben Zeit übergibt das SMS114 auch die IP-Adresse des Clientsystems102B an den ANCS112 . Im Schritt604 verwendet der ANCS112 die einzige in dem Filterprofil400 enthaltene Filterregel404 , um einen Paketfilter für von dem Clientsystem102b stammende IP-Pakete einzurichten. Der Paketfilter wird durch Neukonfigurieren einer oder mehrerer Komponenten des Netzes100 , die von dem Clientsystem102b stammende IP-Pakete weiterleiten, eingerichtet. Zum Beispiel kann in einigen Fällen der Paketfilter durch Neukonfigurieren des mit dem Clientsystem102 verbundenen Modems104b eingerichtet werden. Alternativ kann der Paketfilter durch Neukonfigurieren des Routers106 eingerichtet werden. - In Schritt
606 wird der in Schritt604 von dem ANCS112 eingerichtete Paketfilter verwendet, um Pakete, die von dem Clientsystem102b stammen, zu filtern. Genauer gesagt wird jedes Paket, das von dem Clientsystem102b stammt, geprüft. Pakete, die nicht eine Bestimmungsadresse enthalten, die dem Serversystem108c entspricht, werden verworfen. Ebenso werden Pakete, die nicht einen Protokolltyp UDP oder eine Portnummer 63 haben, verworfen. - Ein vollständigeres Beispiel der Verwendung von Filterprofilen
400 durch die vorliegende Erfindung ist als Verfahren700 aus7 dargestellt. Das Verfahren700 beinhaltet von dem SMS114 und dem ANCS112 durchgeführte Schritte. Der Einfachheit halber sind diese Schritte in einen SMS-Kontext702 und einen ANCS-Kontext704 gruppiert. Das Verfahren700 beginnt mit Schritt706 , in dem das SMS114 auf die Zuordnung einer IP-Adresse zu einem Clientsystem102 wartet. Genauer folgt für eine bevorzugte Ausführungsform des Netzes100 dem Einschalten oder Zurücksetzen eines Clientsystems102 eine Verbindung des Clientsystems102 mit dem Router106 . Als Teil dieser Verbindung fordert das sich verbindende Clientsystem102 eine dynamisch zugewiesene IP-Adresse von dem DHCP-Server110 an und erhält sie von dort. Diese Zuordnung erfordert, daß eine Anzahl von Nachrichten zwischen dem DHCP-Server110 und dem Clientsystem102 übergeben werden, die eine neue IP-Adresse anfordern. Die letzte dieser Nachrichten ist eine DHCPACK-Nachricht, die von dem DHCP-Server110 an das Clientsystem102 gesendet wird. Um die Zuordnung von IP-Adressen zu überwachen, überwacht das SMS114 DHCP-Nachrichten innerhalb des Netzes100 . Schritt706 entspricht in einem allgemeinen Sinn den Verfahren und Vorgängen, die vom SMS114 ausgeführt werden, um auf DHCPACK-Nachrichten innerhalb des Netzes100 zu warten und sie zu erkennen. - In Schritt
708 erzeugt das SMS114 eine Sequenz von einer oder mehreren "Login"-Filterprofilen400 für das neu angeschlossene Clientsystem102 . Funktional besteht der Zweck der Login-Filterprofile400 dann, die Art von IP-Paketen einzuschränken, die von dem neu verbundenen Clientsystem102 ausgehen können. Speziell sind nur Pakettypen erlaubt, die für einen Benutzer zum Einloggen in das Netz100 benötigt werden. Im allgemeinen variiert die Art der für einen Benutzer zum Einloggen benötigten IP-Pakete zwischen unterschiedlichen Netzen. Für das Netz100 kann jedoch angenommen werden, daß in Schritt708 vier Filterprofile400 erzeugt werden. - Das erste der vier Login-Filterprofile
400 leitet die mit der Erneuerung einer DHCP-Überlassung bzw. -Lease verbundenen Pakete weiter. Genauer wird in Systemen, die das DHCP-Protokoll zur Zuordnung von IP-Adressen verwenden, jede IP-Adresse für einen begrenzten Zeitraum zugeordnet. Systeme, die ihre IP-Adreß-Überlassungen nicht erneuern, können ihre zugeordneten IP-Adressen verlieren. Daher erlaubt das erste Login-Filterprofil400 den Durchgang von IP-Paketen von dem neu verbundenen Clientsystem102 zu dem DHCP-Server110 zum Zweck der Erneuerung der DHCP-Überlassung. Vorzugsweise beinhaltet das erste Filterprofil400 eine einzelne Filterregel404 der in8a abgebildeten Form. - Genauer und wie in
8a abgebildet beinhaltet die einzelne Filterregel404 für die Erneuerung der DHCP-Überlassung eine Aktion500 , die angibt, daß IP-Pakete, die zur Filterregel404 passen, weitergeleitet werden sollten. Die Filterregel404 enthält auch eine Zieladresse502 , die der IP-Adresse des DHCP-Servers110 entspricht, und eine Zieladreßmaske504 von 255.255.255.255. Als eine Folge davon stimmen nur an den DHCP-Server110 gerichtete IP-Pakete mit der Filterregel404 überein. Eine Protokollart UDP wird durch die Protokollart506 der Filterregel404 spezifiziert. Schließlich sind die Start-Portnummer508 und die End-Portnummer510 beide auf "67" gesetzt, was dem Standardport entspricht, der für DHCP-Nachrichten verwendet wird. - Das zweite der Login-Filterprofile
400 leitet mit der DNS-(Domain Name Service)Adreßauflösung verbundene Pakete weiter. Genauer werden in Systemen, die das DNS-Protokoll verwenden, durch ein DNS-Serversystem symbolische Namen in IP-Adressen übersetzt. Clientsysteme102 fordern Übersetzungen von symbolischen Namen durch Senden von Nachrichten an ihre DNS-Server an. Daher erlaubt das zweite Login-Filterprofil400 den Durchgang von IP-Paketen von dem neu verbundenen Clientsystem102 an ein DNS-Serversystem (das DNS-Serversystem ist nicht abgebildet). - Vorzugsweise beinhaltet das zweite Filterprofil
400 eine einzige Filterregel404 der in8b gezeigten Form. Genauer und wie in8b abgebildet beinhaltet die einzige Filterregel404 für die DNS-Namensauflösung eine Aktion500 , die angibt, daß IP-Pakete, die zur Filterregel404 passen, weitergeleitet werden sollten. Die Filterregel404 enthält auch eine Zieladresse502 , die der IP-Adresse eines DNS-Serversystems entspricht, und eine Zieladreßmaske504 von 255.255.255.255. Als eine Folge davon stimmen nur an das DNS-Serversystem gerichtete IP-Pakete mit der Filterregel404 überein. Eine Protokollart UDP wird durch die Protokollart506 der Filterregel404 spezifiziert. Schließlich sind die Start-Portnummer508 und die End-Portnummer510 beide auf "53" gesetzt, was dem Standardport entspricht, der für DNS-Nachrichten verwendet wird. - Für eine bevorzugte Ausführungsform des Netzes
100 werden Login-Vorgänge von Benutzern durch Herunterladen kleiner, speziell zugeschnittener Anwendungen, die als "Login-Applets" bekannt sind, in die Clientsysteme102 behandelt. Die Login-Applets werden aus einem Serversystem wie dem Serversystem108 oder in anderen Fällen aus dem SMS114 heruntergeladen. Um das Herunterladen des Login-Applet zu erlauben, leitet das dritte der Login-Filterprofile400 einer Anforderung zum Herunterladen des Login-Applet zugeordnete Pakete weiter. Vorzugsweise enthält das dritte Filterprofil400 eine Filterregel404 für jeden Server, von dem das Login-Applet heruntergeladen werden kann. Genauer und wie in8c abgebildet beinhaltet die Filterregel404 für das Herunterladen des Login-Applet eine Aktion500 , die angibt, daß IP-Pakete, die zur Filterregel404 passen, weitergeleitet werden sollten. Jede Filterregel404 beinhaltet auch eine Zieladresse502 , die der IP-Adresse eines Serversystems entspricht, von dem das Login-Applet heruntergeladen werden kann. Die Zieladreßmaske der Filterregel404 ist auf 255.255.255.255 gesetzt. Die Protokollart506 , die Start-Portnummer508 und die End-Portnummer510 der Filterregel404 sind alle auf Werte gesetzt, die dem SMS114 als zum Herunterladen des Login-Applet geeignet bekannt sind. - In der beschriebenen Ausführungsform des Netzes
100 kommuniziert das Login-Applet mit einem Login-Server wie dem SMS114 . Um diese Kommunikation zu ermöglichen, leitet das vierte der Login-Filterprofile400 mit der Kommunikation des Login-Applet verbundene Pakete weiter. Vorzugsweise enthält das vierte Filterprofil400 eine Filterregel404 für jeden Login-Server wie das SMS114 . Genauer und wie in8d abgebildet enthält die Filterregel404 für die Kommunikation des Login-Applet eine Aktion500 , die angibt, daß IP-Pakete, die zur Filterregel404 passen, weitergeleitet werden sollten. Die Filterregel404 enthält auch eine Zieladresse502 , die der IP-Adresse eines Login-Servers wie dem SMS114 entspricht. Die Zieladreßmaske der Filterregel404 ist auf 255.255.255.255 gesetzt. Die Protokollart506 , die Start-Portnummer508 und die End-Portnummer510 der Filterregel404 sind alle auf Werte gesetzt, die dem SMS114 als zur Kommunikation des Login-Applet geeignet bekannt sind. - In den vorangegangenen Absätzen wurde eine Sequenz von vier Filterprofilen
400 beschrieben. Man sieht anhand der vorangegangenen Absätze, daß jedes der vier Filterprofile400 allgemein anwendbar ist, um die Login-Verarbeitung für irgendeines der Clientsysteme102 zu ermöglichen. Aufgrund der allgemeinen Anwendbarkeit der vier Filterprofile400 ist es für Schritt708 vorzuziehen, diese Filterprofile400 mittels einer standardisierten Vorlage zu erzeugen, indem nur kleinere Änderungen für jedes Clientsystem102 vorgenommen werden, falls nötig. - Auf Schritt
708 folgt Schritt710 , in dem die Sequenz der vier Filterprofile400 von dem SMS114 in den ANCS112 heruntergeladen wird. Zum selben Zeitpunkt wird die IP-Adresse des neu verbundenen Clientsystems102 (für das die Sequenz der vier Filterprofile400 erzeugt wurde) vom SMS114 an den ANCS112 übergeben. In dem folgenden Schritt verwendet der ANCS112 jede der in der Sequenz der vier Filterprofile400 enthaltene Filterregeln404 , um einen Paketfilter für von dem neu verbundenen Clientsystem102 stammende IP-Pakete einzurichten. Der Paketfilter wird durch Neukonfigurieren einer oder mehrerer Komponenten des Netzes100 eingerichtet, die von dem neu angeschlossenen Clientsystem102 ausgehende IP-Pakete weiterleiten. In einigen Fällen kann zum Beispiel der Paketfilter durch Neukonfigurieren des mit dem Clientsystem192 verbundenen Modems104 eingerichtet werden. Alternativ kann der Paketfilter durch Neukonfigurieren des Routers106 eingerichtet werden. Vorzugsweise konfiguriert der ANCS112 die Komponenten des Netzes mittels eines Protokolls neu, das allgemein auf Komponenten des Netzes100 anwendbar ist wie das Simple Network Management Protocol (SNMP). Anschließend wird der von dem ANCS112 eingerichtete Paketfilter verwendet, um IP-Pakete zu filtern, die von dem Clientsystem102 ausgehen, wobei Pakettypen, die im allgemeinen mit dem Einloggen eines Benutzers in das Netz100 verbunden sind, zugelassen werden. - Ein zweites Beispiel der Verwendung von Filterprofilen
400 durch die vorliegende Erfindung ist als Verfahren900 in9 dargestellt. Das Verfahren900 enthält den vom SMS114 und von ANCS112 durchgeführten Schritt. Der Einfachheit halber sind diese Schritte in einen SMS-Kontext902 und einen ANCS-Kontext904 gruppiert. Das Verfahren900 beginnt mit Schritt906 , in dem das SMS114 auf ein Benutzer-Login wartet. Genauer loggen sich Benutzer in das Netz100 für eine bevorzugte Ausführungsform mittels eines Login-Applet ein, das mit einem Login-Server wie dem SMS114 kommuniziert, wie im Hinblick auf das Verfahren700 diskutiert. Schritt906 entspricht in einer allgemeinen Weise den Verfahren und Prozeduren, die von dem SMS114 ausgeführt werden, um auf ein Einloggen eines Benutzers in das Netz100 zu warten. - In den folgenden Schritt
908 wird eine Sequenz von dem Benutzer zugeordneten Filterprofilen400 vom SMS114 aus der Filterprofil-Datenbank316 geholt. Man erkennt, daß im allgemeinen verschiedene Benutzer des Netzes100 unterschiedliche Arten von erlaubtem Zugang haben. Als Folge davon benötigen unterschiedliche Netzbenutzer unterschiedliche Filterprofile400 . Im allgemeinen sind diese Filterprofile400 für jeden Benutzer mittels automatischer oder manueller Techniken separat definiert. Für die vorliegende Erfindung werden diese Filterprofile400 vorzugsweise in der Filterprofil-Datenbank316 gehalten und mittels der Kennung eines bestimmten Benutzers abgeholt. Der Schritt908 entspricht den Verfahren und Prozeduren, die vom SMS114 ausgeführt werden, um die einem Benutzer zugeordneten Filterprofile400 aus der Filterprofil-Datenbank316 zu holen. - Auf Schritt
908 folgt Schritt910 , in dem die Sequenz von Benutzer-Filterprofilen400 von dem SMS114 in den ANCS112 heruntergeladen wird. Zum selben Zeitpunkt wird die IP-Adresse des Clientsystems112 , das als ein Host für den Benutzer fungiert, vom SMS114 an den ANCS112 übergeben. Im folgenden Schritt verwendet der ANCS112 jede der in der Sequenz von Benutzer-Filterprofilen400 enthaltenen Filterregeln404 , um einen Paketfilter für IP-Pakete einzurichten, die aus dem für den Benutzer als Host dienenden Clientsystem102 herrühren. Der Paketfilter wird durch Neukonfigurieren einer oder mehrerer Komponenten des Netzes100 eingerichtet, die die aus dem für den Benutzer als Host dienenden Clientsystem102 herrührenden Pakete weiterleiten. Zum Beispiel kann in einigen Fällen der Paketfilter durch Neukonfigurieren des mit dem Clientsystem102 verbundenen Modems104 eingerichtet werden. Alternativ kann der Paketfilter durch Neukonfigurieren des Routers106 eingerichtet werden. Vorzugsweise konfiguriert der ANCS112 die Netzkomponenten mittels eines Protokolls neu, das allgemein auf Komponenten des Netzes100 anwendbar ist, wie das Simple Network Management Protocol (SNMP). Anschließend wird der von dem ANCS112 eingerichtete Paketfilter verwendet, um IP-Pakete zu filtern, die von dem Clientsystem102 ausgehen, das als Host für den Benutzer fungiert, wobei Pakettypen, die den Netzprivilegien des Benutzers zugeordnet sind, zugelassen werden. - Auch wenn es nicht dargestellt ist, erkennen Fachleute, daß das Netz
100 neu konfiguriert werden kann, um einen Defaultzustand wieder einzurichten, nachdem der Benutzer sich von dem Clientsystem102 ausloggt. - Andere Ausführungsformen liegen für Fachleute auf dem Gebiet bei der Betrachtung der hier offenbarten Beschreibung und beim Ausführen der Erfindung auf der Hand. Die Beschreibung und die Beispiele sollen nur beispielhaft betrachtet werden, wobei der Schutzumfang der Erfindung durch die folgenden Ansprüche und Äquivalente angegeben wird.
Claims (25)
- Verfahren zum Filtern von IP-(Internet-Protokoll-)Paketen in einem Computernetzwerk (
100 ), welches ein oder mehrere Clientsysteme (102 ) enthält, wobei das Verfahren die durch eines oder mehrere Computersysteme ausgeführten Schritte aufweist: Erfassen eines Ereignisses, welches zu einem der Clientsysteme gehört, Auswählen einer oder mehrerer Filterregeln (404 ) auf der Basis der Art des erfaßten Ereignisses, und Bereitstellen eines Paketfilters in dem Computernetzwerk, wobei der Paketfilter die ausgewählten Regeln verwendet, um gezielt Pakete auszusondern, die von dem Clientsystem stammen, das zu dem erfaßten Ereignis gehört. - Verfahren nach Anspruch 1, wobei das erfaßte Ereignis die Zuordnung einer IP-Adresse zu dem Clientsystem ist.
- Verfahren nach Anspruch 1, wobei das erfaßte Ereignis das Login eines Benutzers ist, welcher das Clientsystem verwendet, zu welchem das erfaßte Ereignis gehört.
- Verfahren nach Anspruch 1, wobei das Computernetzwerk einen Router (
106 ) aufweist und wobei der Schritt des Bereitstellens eines Paketfilters den Schritt umfaßt, daß der Router neu konfiguriert wird, um gezielt Pakete auszusondern, welche von dem Clientsystem stammen, zu welchem das erfaßte Ereignis gehört. - Verfahren nach Anspruch 1, wobei das Clientsystem, welches zu dem erfaßten Ereignis gehört, unter Verwendung eines Kabelmodems (
104 ) mit dem Netzwerk verbunden ist, und wobei der Schritt des Bereitstellens eines Paketfilters den Schritt der Neukonfigurierung des Kabelmodems umfaßt, um wahlweise Pakete, die von dem Clientsystem stammen, zu welchem das erfaßte Ereignis gehört, auszusondern. - Verfahren nach Anspruch 1, wobei der Schritt des Auswählens einer oder mehrerer Filterregeln weiterhin den Schritt aufweist, daß die Filterregeln unter Verwendung einer standardisierten Schablone erzeugt werden.
- Verfahren nach Anspruch 1, wobei der Schritt des Auswählens einer oder mehrerer Filterregeln den Schritt aufweist, daß die Filterregeln aus einer Datenbank ausgewählt werden.
- Computerprogrammprodukt, welches aufweist: ein durch einen Computer verwendbares Medium, in welchem computerlesbarer Code verkörpert ist, um IP-Pakete in einem Computernetzwerk (
100 ) zu filtern, welches ein oder mehrere Clientsysteme (102 ) umfaßt, wobei der computerlesbare Code, wenn er auf einem Computer läuft, derart ausführbar ist, daß er die Schritte ausführt: Erfassen eines zu einem der Clientsysteme gehörenden Ereignisses, Auswählen einer oder mehrerer Filterregeln (404 ) auf der Basis der Art des erfaßten Ereignisses und Bereitstellen eines Paketfilters in dem Computernetzwerk, wobei der Paketfilter die ausgewählten Regeln verwendet, um wahlweise Pakete auszusondern, die von dem Clientsystem stammen, zu welchem das erfaßte Ereignis gehört. - Computerprogrammprodukt nach Anspruch 8, wobei das erfaßte Ereignis die Zuordnung einer IP-Adresse ist.
- Computerprogrammprodukt nach Anspruch 8, wobei das erfaßte Ereignis das Login eines Benutzers ist, welcher das Clientsystem verwendet, zu welchem das erfaßte Ereignis gehört.
- Computerprogrammprodukt nach Anspruch 8, wobei das Computernetzwerk einen Router (
106 ) umfaßt und wobei der computerlesbare Programmcode weiterhin in der Weise ausführbar ist, daß er den Router neu konfiguriert, so daß er wahlweise Pakete aussondert, welche von dem Clientsystem stammen, welchem das erfaßte Ereignis zugeordnet ist. - Computerprogrammprodukt nach Anspruch 8, wobei das Clientsystem, zu welchem das erfasste Ereignis gehört, unter Verwendung eines Kabelmodems (
104 ) mit dem Netzwerk verbunden ist, und wobei der computerlesbare Programmcode weiterhin so ausführbar ist, daß er das Kabelmodem in der Weise neu konfiguriert, daß es wahlweise Pakete, welche von dem Clientsystem stammen, welchem das erfaßte Ereignis zugeordnet ist, aussondert. - Computerprogrammprodukt nach Anspruch 8, wobei der computerlesbare Programmcode weiterhin so ausführbar ist, daß er die Filterregeln unter Verwendung einer standardmäßigen Schablone erzeugt.
- Computerprogrammprodukt nach Anspruch 8, wobei der computerlesbare Programmcode weiterhin so ausführbar ist, daß er die Filterregeln aus einer Datenbank (
316 ) auswählt. - Vorrichtung zum Filtern von IP-Paketen in einem Computernetzwerk (
100 ), welches ein oder mehrere Clientsysteme (102 ) umfaßt, wobei die Vorrichtung aufweist: einen ersten Bereich, der so ausgestaltet ist, daß er bewirkt, daß ein Computersystem ein zu einem der Clientsysteme gehörendes Ereignis erfaßt, einen zweiten Bereich, der so konfiguriert ist, daß er bewirkt, daß ein Computersystem eine oder mehrere Filterregeln (404 ) auf der Basis der Art des erfaßten Ereignisses bereitstellt, und einen dritten Bereich, der so ausgestaltet ist, daß er bewirkt, daß ein Computersystem einen Paketfilter in dem Computernetzwerk bereitstellt, wobei der Paketfilter die ausgewählten Regeln verwendet, um wahlweise Pakete auszusondern, die von dem Clientsystem stammen, welches zu dem erfaßten Ereignis gehört. - Vorrichtung nach Anspruch 15, wobei das erfaßte Ereignis die Zuordnung einer IP-Adresse ist.
- Vorrichtung nach Anspruch 15, wobei das erfaßte Ereignis das Login eines Benutzers ist, welcher das Clientsystem verwendet, welches dem erfaßten Ereignis zugeordnet ist.
- Vorrichtung nach Anspruch 15, wobei das Computernetzwerk einen Router (
106 ) aufweist und wobei der dritte Bereich einen vierten Bereich umfaßt, der so ausgestaltet ist, daß er bewirkt, daß ein Computersystem den Router neu konfiguriert, so daß er wahlweise Pakete aussondert, welche von dem Clientsystem stammen, zu welchem das erfaßte Ereignis gehört. - Vorrichtung nach Anspruch 15, wobei das Clientsystem, zu welchem das erfasste Ereignis gehört, unter Verwendung eines Kabelmodems (
104 ) mit dem Netzwerk verbunden ist, und wobei der dritte Bereich einen vierten Bereich umfaßt, der so ausgestaltet ist, daß er bewirkt, daß ein Computersystem das Kabelmodem neu konfiguriert, um wahlweise Pakete auszusondern, welche von dem Clientsystem stammen, zu weichem das erfaßte Ereignis gehört. - Vorrichtung nach Anspruch 15, wobei der zweite Bereich einen vierten Bereich umfaßt, welcher so ausgestaltet ist, daß er bewirkt, daß ein Computersystem die Filterregeln unter Verwendung einer standardmäßigen Schablone erzeugt.
- Vorrichtung nach Anspruch 15, wobei der zweite Bereich einen vierten Bereich umfaßt, welcher so ausgestaltet ist, daß er bewirkt, daß ein Computersystem die Filterregeln aus einer Datenbank (
316 ) auswählt. - Vorrichtung nach Anspruch 15, wobei jede Filterregel einen Protokolltyp umfaßt.
- Vorrichtung nach Anspruch 15, wobei jede Filterregel eine Zieladresse aufweist.
- Vorrichtung nach Anspruch 15, wobei jede Filterregel eine Zielmaske aufweist.
- Vorrichtung nach Anspruch 15, wobei jede Filterregel einen Bereich von Anschlußnummern eines Zieles umfaßt.
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US762402 | 1996-12-09 | ||
US08/762,402 US5848233A (en) | 1996-12-09 | 1996-12-09 | Method and apparatus for dynamic packet filter assignment |
PCT/US1997/022561 WO1998026555A1 (en) | 1996-12-09 | 1997-12-08 | Method and apparatus for dynamic packet filter assignment |
Publications (2)
Publication Number | Publication Date |
---|---|
DE69734019D1 DE69734019D1 (de) | 2005-09-22 |
DE69734019T2 true DE69734019T2 (de) | 2006-06-01 |
Family
ID=25064938
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE69734019T Expired - Fee Related DE69734019T2 (de) | 1996-12-09 | 1997-12-08 | Verfahren und vorrichtung für dynamische paketfilterzuweisung |
Country Status (5)
Country | Link |
---|---|
US (1) | US5848233A (de) |
EP (1) | EP1013045B1 (de) |
JP (1) | JP2001506093A (de) |
DE (1) | DE69734019T2 (de) |
WO (1) | WO1998026555A1 (de) |
Families Citing this family (251)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6515968B1 (en) | 1995-03-17 | 2003-02-04 | Worldcom, Inc. | Integrated interface for real time web based viewing of telecommunications network call traffic |
US6859783B2 (en) | 1995-12-29 | 2005-02-22 | Worldcom, Inc. | Integrated interface for web based customer care and trouble management |
US6073178A (en) * | 1996-12-09 | 2000-06-06 | Sun Microsystems, Inc. | Method and apparatus for assignment of IP addresses |
JP3497342B2 (ja) * | 1997-02-27 | 2004-02-16 | 株式会社日立製作所 | クライアント・サーバシステム、サーバ、クライアント処理方法及びサーバ処理方法 |
IL131831A (en) | 1997-03-12 | 2002-12-01 | Nomadix Inc | Translator or roaming router |
US6038603A (en) * | 1997-03-25 | 2000-03-14 | Oracle Corporation | Processing customized uniform resource locators |
US5940390A (en) * | 1997-04-10 | 1999-08-17 | Cisco Technology, Inc. | Mechanism for conveying data prioritization information among heterogeneous nodes of a computer network |
US6791979B1 (en) | 1997-04-10 | 2004-09-14 | Cisco Technology, Inc. | Mechanism for conveying data prioritization information among heterogeneous nodes of a computer network |
US6115751A (en) * | 1997-04-10 | 2000-09-05 | Cisco Technology, Inc. | Technique for capturing information needed to implement transmission priority routing among heterogeneous nodes of a computer network |
CA2202572C (en) * | 1997-04-14 | 2004-02-10 | Ka Lun Eddie Law | A scaleable web server and method of efficiently managing multiple servers |
US6473407B1 (en) | 1997-09-05 | 2002-10-29 | Worldcom, Inc. | Integrated proxy interface for web based alarm management tools |
US6035334A (en) * | 1997-09-10 | 2000-03-07 | Tibersoft Corporation | System for communicating state information relating to user previous interactions with other internet web sites during an internet session |
US7143438B1 (en) | 1997-09-12 | 2006-11-28 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with multiple domain support |
US6154775A (en) * | 1997-09-12 | 2000-11-28 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with dynamic rule processing with the ability to dynamically alter the operations of rules |
US6170012B1 (en) | 1997-09-12 | 2001-01-02 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with cache query processing |
US6141749A (en) * | 1997-09-12 | 2000-10-31 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with stateful packet filtering |
US6098172A (en) * | 1997-09-12 | 2000-08-01 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with proxy reflection |
US7058600B1 (en) | 1997-09-26 | 2006-06-06 | Mci, Inc. | Integrated proxy interface for web based data management reports |
US7225249B1 (en) * | 1997-09-26 | 2007-05-29 | Mci, Llc | Integrated systems for providing communications network management services and interactive generating invoice documents |
US6381644B2 (en) | 1997-09-26 | 2002-04-30 | Mci Worldcom, Inc. | Integrated proxy interface for web based telecommunications network management |
US6714979B1 (en) | 1997-09-26 | 2004-03-30 | Worldcom, Inc. | Data warehousing infrastructure for web based reporting tool |
US6763376B1 (en) | 1997-09-26 | 2004-07-13 | Mci Communications Corporation | Integrated customer interface system for communications network management |
US6385644B1 (en) | 1997-09-26 | 2002-05-07 | Mci Worldcom, Inc. | Multi-threaded web based user inbox for report management |
US6745229B1 (en) | 1997-09-26 | 2004-06-01 | Worldcom, Inc. | Web based integrated customer interface for invoice reporting |
JP3494562B2 (ja) * | 1997-10-15 | 2004-02-09 | 株式会社東芝 | ネットワーク管理システム |
US6092110A (en) | 1997-10-23 | 2000-07-18 | At&T Wireless Svcs. Inc. | Apparatus for filtering packets using a dedicated processor |
US6272537B1 (en) * | 1997-11-17 | 2001-08-07 | Fujitsu Limited | Method for building element manager for a computer network element using a visual element manager builder process |
US6023464A (en) * | 1997-12-23 | 2000-02-08 | Mediaone Group, Inc. | Auto-provisioning of user equipment |
GB2333670B (en) | 1998-01-19 | 2003-02-12 | Ericsson Telefon Ab L M | Address allocation |
US6085328A (en) * | 1998-01-20 | 2000-07-04 | Compaq Computer Corporation | Wake up of a sleeping computer using I/O snooping and imperfect packet filtering |
US6289013B1 (en) * | 1998-02-09 | 2001-09-11 | Lucent Technologies, Inc. | Packet filter method and apparatus employing reduced memory |
US6157965A (en) * | 1998-02-27 | 2000-12-05 | Intel Corporation | System and method for binding a virtual device driver to a network driver interface |
US6779118B1 (en) * | 1998-05-04 | 2004-08-17 | Auriq Systems, Inc. | User specific automatic data redirection system |
US6105063A (en) * | 1998-05-05 | 2000-08-15 | International Business Machines Corp. | Client-server system for maintaining application preferences in a hierarchical data structure according to user and user group or terminal and terminal group contexts |
US6636485B1 (en) | 1998-05-14 | 2003-10-21 | 3Com Corporation | Method and system for providing quality-of-service in a data-over-cable system |
FR2779018B1 (fr) * | 1998-05-22 | 2000-08-18 | Activcard | Terminal et systeme pour la mise en oeuvre de transactions electroniques securisees |
US6560203B1 (en) | 1998-05-27 | 2003-05-06 | 3Com Corporation | Method for changing type-of-service in a data-over-cable system |
US6775276B1 (en) * | 1998-05-27 | 2004-08-10 | 3Com Corporation | Method and system for seamless address allocation in a data-over-cable system |
US6442158B1 (en) | 1998-05-27 | 2002-08-27 | 3Com Corporation | Method and system for quality-of-service based data forwarding in a data-over-cable system |
US6510162B1 (en) | 1998-05-27 | 2003-01-21 | 3Com Corporation | System and method for managing channel usage in a data over cable system |
US6253321B1 (en) | 1998-06-19 | 2001-06-26 | Ssh Communications Security Ltd. | Method and arrangement for implementing IPSEC policy management using filter code |
US6871229B2 (en) * | 1998-08-26 | 2005-03-22 | Sts Software Systems Ltd. | Method for storing on a computer network a portion of a communication session between a packet source and a packet destination |
US6122665A (en) * | 1998-08-26 | 2000-09-19 | Sts Software System Ltd. | Communication management system for computer network-based telephones |
US6892229B1 (en) | 1998-09-30 | 2005-05-10 | 3Com Corporation | System and method for assigning dynamic host configuration protocol parameters in devices using resident network interfaces |
US6697842B1 (en) * | 1998-10-07 | 2004-02-24 | Northern Telecom | Dynamic context filters for communication and information management |
US6728885B1 (en) * | 1998-10-09 | 2004-04-27 | Networks Associates Technology, Inc. | System and method for network access control using adaptive proxies |
US6006259A (en) * | 1998-11-20 | 1999-12-21 | Network Alchemy, Inc. | Method and apparatus for an internet protocol (IP) network clustering system |
US6078957A (en) * | 1998-11-20 | 2000-06-20 | Network Alchemy, Inc. | Method and apparatus for a TCP/IP load balancing and failover process in an internet protocol (IP) network clustering system |
US6754831B2 (en) * | 1998-12-01 | 2004-06-22 | Sun Microsystems, Inc. | Authenticated firewall tunneling framework |
US8266266B2 (en) | 1998-12-08 | 2012-09-11 | Nomadix, Inc. | Systems and methods for providing dynamic network authorization, authentication and accounting |
US8713641B1 (en) | 1998-12-08 | 2014-04-29 | Nomadix, Inc. | Systems and methods for authorizing, authenticating and accounting users having transparent computer access to a network using a gateway device |
US7194554B1 (en) | 1998-12-08 | 2007-03-20 | Nomadix, Inc. | Systems and methods for providing dynamic network authorization authentication and accounting |
IL143573A0 (en) | 1998-12-09 | 2002-04-21 | Network Ice Corp | A method and apparatus for providing network and computer system security |
US6662135B1 (en) | 1998-12-09 | 2003-12-09 | 3Com Corporation | Method and apparatus for reflective mixer testing of a cable modem |
US6480892B1 (en) * | 1998-12-16 | 2002-11-12 | Siemens Information And Communication Networks, Inc. | Apparatus and method for inserting predetermined packet loss into a data flow |
US6986157B1 (en) | 1998-12-21 | 2006-01-10 | 3Com Corporation | Method and system for dynamic service registration in a data-over-cable system |
US6351773B1 (en) * | 1998-12-21 | 2002-02-26 | 3Com Corporation | Methods for restricting access of network devices to subscription services in a data-over-cable system |
US6657991B1 (en) | 1998-12-21 | 2003-12-02 | 3Com Corporation | Method and system for provisioning network addresses in a data-over-cable system |
US20020188720A1 (en) * | 1998-12-28 | 2002-12-12 | William F. Terrell | Method and apparatus for dynamically controlling the provision of differentiated services |
US6577642B1 (en) | 1999-01-15 | 2003-06-10 | 3Com Corporation | Method and system for virtual network administration with a data-over cable system |
US6738377B1 (en) | 1999-01-29 | 2004-05-18 | International Business Machines Corporation | System and method for dynamic micro placement of IP connection filters |
US7099338B1 (en) | 1999-02-27 | 2006-08-29 | 3Com Corporation | System and method for insuring dynamic host configuration protocol operation by a host connected to a data network |
US7016951B1 (en) | 1999-04-30 | 2006-03-21 | Mantech Ctx Corporation | System and method for network security |
US6738908B1 (en) * | 1999-05-06 | 2004-05-18 | Watchguard Technologies, Inc. | Generalized network security policy templates for implementing similar network security policies across multiple networks |
US6697862B1 (en) | 1999-05-21 | 2004-02-24 | 3Com Corporation | System and method for network address maintenance using dynamic host configuration protocol messages in a data-over-cable system |
US6654387B1 (en) | 1999-05-21 | 2003-11-25 | 3Com Corporation | Method for network address table maintenance in a data-over-cable system using a network device registration procedure |
US6754622B1 (en) | 1999-05-24 | 2004-06-22 | 3Com Corporation | Method for network address table maintenance in a data-over-cable system using destination reachibility |
US6985437B1 (en) | 1999-05-25 | 2006-01-10 | 3Com Corporation | Method for dynamic performance optimization in a data-over-cable system |
US6785292B1 (en) | 1999-05-28 | 2004-08-31 | 3Com Corporation | Method for detecting radio frequency impairments in a data-over-cable system |
US7346929B1 (en) | 1999-07-29 | 2008-03-18 | International Business Machines Corporation | Method and apparatus for auditing network security |
US6965868B1 (en) * | 1999-08-03 | 2005-11-15 | Michael David Bednarek | System and method for promoting commerce, including sales agent assisted commerce, in a networked economy |
AU6591500A (en) * | 1999-08-16 | 2001-03-13 | Trivnet Ltd. | A retail method over a wide area network |
AU7443500A (en) * | 1999-09-24 | 2001-04-24 | Comverse Network Systems, Ltd. | System and method for presorting rules for filtering packets on a network |
US6553568B1 (en) | 1999-09-29 | 2003-04-22 | 3Com Corporation | Methods and systems for service level agreement enforcement on a data-over cable system |
AU1224101A (en) | 1999-10-22 | 2001-05-08 | Nomadix, Inc. | Gateway device having an xml interface and associated method |
US7117530B1 (en) | 1999-12-07 | 2006-10-03 | Watchguard Technologies, Inc. | Tunnel designation system for virtual private networks |
US8006243B2 (en) | 1999-12-07 | 2011-08-23 | International Business Machines Corporation | Method and apparatus for remote installation of network drivers and software |
US6629163B1 (en) | 1999-12-29 | 2003-09-30 | Implicit Networks, Inc. | Method and system for demultiplexing a first sequence of packet components to identify specific components wherein subsequent components are processed without re-identifying components |
US20010030977A1 (en) * | 1999-12-30 | 2001-10-18 | May Lauren T. | Proxy methods for IP address assignment and universal access mechanism |
US6539394B1 (en) | 2000-01-04 | 2003-03-25 | International Business Machines Corporation | Method and system for performing interval-based testing of filter rules |
US6601096B1 (en) | 2000-01-04 | 2003-07-29 | International Business Machines Corporation | Client server method for loading a client with a specific image or utility based on the client's state |
JP3596400B2 (ja) * | 2000-01-21 | 2004-12-02 | 日本電気株式会社 | Dnsサーバフィルタ |
WO2001055912A1 (en) * | 2000-01-28 | 2001-08-02 | Ibeam Broadcasting Corporation | Method and apparatus for client-side authentication and stream selection in a content distribution system |
US6606659B1 (en) | 2000-01-28 | 2003-08-12 | Websense, Inc. | System and method for controlling access to internet sites |
US6496935B1 (en) * | 2000-03-02 | 2002-12-17 | Check Point Software Technologies Ltd | System, device and method for rapid packet filtering and processing |
US7107334B1 (en) * | 2000-03-16 | 2006-09-12 | Cisco Technology, Inc. | Methods and apparatus for redirecting network traffic |
US6484171B1 (en) | 2000-03-31 | 2002-11-19 | International Business Machines Corporation | System method and computer program for prioritizing filter rules |
US6804262B1 (en) | 2000-04-28 | 2004-10-12 | 3Com Corporation | Method and apparatus for channel determination through power measurements |
US7574740B1 (en) | 2000-04-28 | 2009-08-11 | International Business Machines Corporation | Method and system for intrusion detection in a computer network |
WO2001084775A2 (en) | 2000-04-28 | 2001-11-08 | Internet Security Systems, Inc. | System and method for managing security events on a network |
US7565692B1 (en) | 2000-05-30 | 2009-07-21 | At&T Wireless Services, Inc. | Floating intrusion detection platforms |
US6944881B1 (en) | 2000-06-19 | 2005-09-13 | 3Com Corporation | Method for using an initial maintenance opportunity for non-contention ranging |
US8782230B1 (en) * | 2000-06-21 | 2014-07-15 | Rockstar Consortium Us Lp | Method and apparatus for using a command design pattern to access and configure network elements |
US7162649B1 (en) | 2000-06-30 | 2007-01-09 | Internet Security Systems, Inc. | Method and apparatus for network assessment and authentication |
US6816500B1 (en) | 2000-07-10 | 2004-11-09 | 3Com Corporation | Apparatus, method and system for multimedia access network channel management |
US7120931B1 (en) * | 2000-08-31 | 2006-10-10 | Cisco Technology, Inc. | System and method for generating filters based on analyzed flow data |
US7178166B1 (en) | 2000-09-19 | 2007-02-13 | Internet Security Systems, Inc. | Vulnerability assessment and authentication of a computer by a local scanner |
US7366769B2 (en) * | 2000-10-02 | 2008-04-29 | Schlumberger Technology Corporation | System, method and computer program product for a universal communication connector |
US9027121B2 (en) | 2000-10-10 | 2015-05-05 | International Business Machines Corporation | Method and system for creating a record for one or more computer security incidents |
US7107326B1 (en) | 2000-10-13 | 2006-09-12 | 3Com Corporation | Method and system for integrating IP address reservations with policy provisioning |
US20020055912A1 (en) * | 2000-10-20 | 2002-05-09 | Byron Buck | Network and method for facilitating on-line privacy |
US7146305B2 (en) | 2000-10-24 | 2006-12-05 | Vcis, Inc. | Analytical virtual machine |
JP2002158701A (ja) * | 2000-11-20 | 2002-05-31 | Fujitsu Ltd | ケーブルモデム装置 |
US7068597B1 (en) | 2000-11-27 | 2006-06-27 | 3Com Corporation | System and method for automatic load balancing in a data-over-cable network |
US6948184B1 (en) | 2000-11-30 | 2005-09-20 | 3Com Corporation | System and method for calibrating power level during initial ranging of a network client device |
US6917980B1 (en) | 2000-12-12 | 2005-07-12 | International Business Machines Corporation | Method and apparatus for dynamic modification of internet firewalls using variably-weighted text rules |
US7130466B2 (en) | 2000-12-21 | 2006-10-31 | Cobion Ag | System and method for compiling images from a database and comparing the compiled images with known images |
US20020143724A1 (en) * | 2001-01-16 | 2002-10-03 | International Business Machines Corporation | Method, system and computer program product to partition filter rules for efficient enforcement |
US6952428B1 (en) | 2001-01-26 | 2005-10-04 | 3Com Corporation | System and method for a specialized dynamic host configuration protocol proxy in a data-over-cable network |
US20020147803A1 (en) | 2001-01-31 | 2002-10-10 | Dodd Timothy David | Method and system for calculating risk in association with a security audit of a computer network |
US7073055B1 (en) | 2001-02-22 | 2006-07-04 | 3Com Corporation | System and method for providing distributed and dynamic network services for remote access server users |
US7222255B1 (en) | 2001-02-28 | 2007-05-22 | 3Com Corporation | System and method for network performance testing |
US20020129276A1 (en) * | 2001-03-08 | 2002-09-12 | Watts Michael P.C. | Dual network with distributed firewall for network security |
US6879596B1 (en) | 2001-04-11 | 2005-04-12 | Applied Micro Circuits Corporation | System and method for systolic array sorting of information segments |
WO2002088968A1 (en) * | 2001-04-30 | 2002-11-07 | Ctx Corporation | Apparatus and method for network analysis |
US20100027430A1 (en) * | 2001-04-30 | 2010-02-04 | Netwitness Corporation | Apparatus and Method for Network Analysis |
US7237264B1 (en) | 2001-06-04 | 2007-06-26 | Internet Security Systems, Inc. | System and method for preventing network misuse |
US7657419B2 (en) | 2001-06-19 | 2010-02-02 | International Business Machines Corporation | Analytical virtual machine |
US6947983B2 (en) * | 2001-06-22 | 2005-09-20 | International Business Machines Corporation | Method and system for exploiting likelihood in filter rule enforcement |
US7046659B1 (en) | 2001-07-03 | 2006-05-16 | Cisco Technology, Inc. | Call signaling approach to user self-provisioning on VoIP using a touch-tone interface |
US7904454B2 (en) | 2001-07-16 | 2011-03-08 | International Business Machines Corporation | Database access security |
US7209962B2 (en) * | 2001-07-30 | 2007-04-24 | International Business Machines Corporation | System and method for IP packet filtering based on non-IP packet traffic attributes |
US7185079B1 (en) | 2001-08-08 | 2007-02-27 | Cisco Technology, Inc. | Automated management of network addresses in a broadband managed access environment |
US7088678B1 (en) | 2001-08-27 | 2006-08-08 | 3Com Corporation | System and method for traffic shaping based on generalized congestion and flow control |
ATE477540T1 (de) * | 2001-09-14 | 2010-08-15 | Nokia Inc | Vorrichtung und verfahren zur paketweiterleitung |
US8041815B2 (en) * | 2001-09-21 | 2011-10-18 | Microsoft Corporation | Systems and methods for managing network connectivity for mobile users |
US7139818B1 (en) * | 2001-10-04 | 2006-11-21 | Cisco Technology, Inc. | Techniques for dynamic host configuration without direct communications between client and server |
JP3590936B2 (ja) * | 2001-10-06 | 2004-11-17 | テラス テクノロジーズ,インコーポレイテッド | 動的ipフィルタリングモジュールを有する電子メールサービスシステム及び動的ipアドレスフィルタリング方法 |
KR100391319B1 (ko) * | 2001-10-06 | 2003-07-12 | 주식회사 테라스테크놀로지 | 동적 ip 필터링을 이용한 전자우편 시스템 및 방법 |
US7316029B1 (en) * | 2001-10-25 | 2008-01-01 | Sprint Communications Company L.P. | Network security services architecture |
US7085306B1 (en) | 2001-10-30 | 2006-08-01 | 3Com Corporation | System and method for a multi-frequency upstream channel in a computer network |
US6981143B2 (en) * | 2001-11-28 | 2005-12-27 | International Business Machines Corporation | System and method for providing connection orientation based access authentication |
US6947985B2 (en) * | 2001-12-05 | 2005-09-20 | Websense, Inc. | Filtering techniques for managing access to internet sites or other software applications |
US7194464B2 (en) | 2001-12-07 | 2007-03-20 | Websense, Inc. | System and method for adapting an internet filter |
US7673137B2 (en) | 2002-01-04 | 2010-03-02 | International Business Machines Corporation | System and method for the managed security control of processes on a computer system |
US7072337B1 (en) | 2002-01-25 | 2006-07-04 | 3Com Corporation | System and method for resolving network addresses for network devices on distributed network subnets |
US7370360B2 (en) | 2002-05-13 | 2008-05-06 | International Business Machines Corporation | Computer immune system and method for detecting unwanted code in a P-code or partially compiled native-code program executing within a virtual machine |
US6801528B2 (en) * | 2002-07-03 | 2004-10-05 | Ericsson Inc. | System and method for dynamic simultaneous connection to multiple service providers |
US6983323B2 (en) * | 2002-08-12 | 2006-01-03 | Tippingpoint Technologies, Inc. | Multi-level packet screening with dynamically selected filtering criteria |
US8051211B2 (en) | 2002-10-29 | 2011-11-01 | Cisco Technology, Inc. | Multi-bridge LAN aggregation |
KR100501210B1 (ko) * | 2002-12-03 | 2005-07-18 | 한국전자통신연구원 | 보안 게이트웨이의 커널 기반 고속 침입탐지 시스템 및 그방법 |
US7913303B1 (en) | 2003-01-21 | 2011-03-22 | International Business Machines Corporation | Method and system for dynamically protecting a computer system from attack |
US7529754B2 (en) | 2003-03-14 | 2009-05-05 | Websense, Inc. | System and method of monitoring and controlling application files |
US7185015B2 (en) | 2003-03-14 | 2007-02-27 | Websense, Inc. | System and method of monitoring and controlling application files |
US7490348B1 (en) | 2003-03-17 | 2009-02-10 | Harris Technology, Llc | Wireless network having multiple communication allowances |
US7657938B2 (en) | 2003-10-28 | 2010-02-02 | International Business Machines Corporation | Method and system for protecting computer networks by altering unwanted network data traffic |
US7774824B2 (en) * | 2004-06-09 | 2010-08-10 | Intel Corporation | Multifactor device authentication |
US7526792B2 (en) * | 2004-06-09 | 2009-04-28 | Intel Corporation | Integration of policy compliance enforcement and device authentication |
GB2416879B (en) | 2004-08-07 | 2007-04-04 | Surfcontrol Plc | Device resource access filtering system and method |
US20060041935A1 (en) * | 2004-08-17 | 2006-02-23 | Conley James W | Methodology for configuring network firewall |
GB2418037B (en) | 2004-09-09 | 2007-02-28 | Surfcontrol Plc | System, method and apparatus for use in monitoring or controlling internet access |
GB2418108B (en) | 2004-09-09 | 2007-06-27 | Surfcontrol Plc | System, method and apparatus for use in monitoring or controlling internet access |
US7836506B2 (en) * | 2004-09-22 | 2010-11-16 | Cyberdefender Corporation | Threat protection network |
US9032215B2 (en) * | 2005-06-15 | 2015-05-12 | Nokia Corporation | Management of access control in wireless networks |
US7970788B2 (en) | 2005-08-02 | 2011-06-28 | International Business Machines Corporation | Selective local database access restriction |
US7437435B2 (en) * | 2005-10-31 | 2008-10-14 | Inventec Corporation | Automatically setting method and related system |
US7933923B2 (en) | 2005-11-04 | 2011-04-26 | International Business Machines Corporation | Tracking and reconciling database commands |
EP1826978A1 (de) * | 2006-02-24 | 2007-08-29 | Nagravision S.A. | Verfahren zum Optimieren des Datenstroms zwischen einem Router und einer Multimediaeinheit |
US7827280B2 (en) * | 2006-02-28 | 2010-11-02 | Red Hat, Inc. | System and method for domain name filtering through the domain name system |
US8020206B2 (en) | 2006-07-10 | 2011-09-13 | Websense, Inc. | System and method of analyzing web content |
US8615800B2 (en) | 2006-07-10 | 2013-12-24 | Websense, Inc. | System and method for analyzing web content |
US9654495B2 (en) | 2006-12-01 | 2017-05-16 | Websense, Llc | System and method of analyzing web addresses |
US8141100B2 (en) | 2006-12-20 | 2012-03-20 | International Business Machines Corporation | Identifying attribute propagation for multi-tier processing |
GB2445764A (en) | 2007-01-22 | 2008-07-23 | Surfcontrol Plc | Resource access filtering system and database structure for use therewith |
US8495367B2 (en) | 2007-02-22 | 2013-07-23 | International Business Machines Corporation | Nondestructive interception of secure data in transit |
US8015174B2 (en) | 2007-02-28 | 2011-09-06 | Websense, Inc. | System and method of controlling access to the internet |
GB0709527D0 (en) | 2007-05-18 | 2007-06-27 | Surfcontrol Plc | Electronic messaging system, message processing apparatus and message processing method |
US8028090B2 (en) | 2008-11-17 | 2011-09-27 | Amazon Technologies, Inc. | Request routing utilizing client location information |
US7991910B2 (en) | 2008-11-17 | 2011-08-02 | Amazon Technologies, Inc. | Updating routing information based on client location |
US8307417B2 (en) * | 2008-03-06 | 2012-11-06 | Hewlett-Packard Development Company, L.P. | Port enablement |
US8601090B1 (en) | 2008-03-31 | 2013-12-03 | Amazon Technologies, Inc. | Network resource identification |
US7970820B1 (en) | 2008-03-31 | 2011-06-28 | Amazon Technologies, Inc. | Locality based content distribution |
US8447831B1 (en) | 2008-03-31 | 2013-05-21 | Amazon Technologies, Inc. | Incentive driven content delivery |
US7962597B2 (en) | 2008-03-31 | 2011-06-14 | Amazon Technologies, Inc. | Request routing based on class |
US8606996B2 (en) | 2008-03-31 | 2013-12-10 | Amazon Technologies, Inc. | Cache optimization |
US8321568B2 (en) | 2008-03-31 | 2012-11-27 | Amazon Technologies, Inc. | Content management |
US8533293B1 (en) | 2008-03-31 | 2013-09-10 | Amazon Technologies, Inc. | Client side cache management |
US8261326B2 (en) | 2008-04-25 | 2012-09-04 | International Business Machines Corporation | Network intrusion blocking security overlay |
US9407681B1 (en) | 2010-09-28 | 2016-08-02 | Amazon Technologies, Inc. | Latency measurement in resource requests |
US9912740B2 (en) | 2008-06-30 | 2018-03-06 | Amazon Technologies, Inc. | Latency measurement in resource requests |
EP2318955A1 (de) | 2008-06-30 | 2011-05-11 | Websense, Inc. | System und verfahren zur dynamischen und echtzeit-kategorisierung von webseiten |
US7925782B2 (en) | 2008-06-30 | 2011-04-12 | Amazon Technologies, Inc. | Request routing using network computing components |
US8732309B1 (en) | 2008-11-17 | 2014-05-20 | Amazon Technologies, Inc. | Request routing utilizing cost information |
US8122098B1 (en) | 2008-11-17 | 2012-02-21 | Amazon Technologies, Inc. | Managing content delivery network service providers by a content broker |
US8073940B1 (en) | 2008-11-17 | 2011-12-06 | Amazon Technologies, Inc. | Managing content delivery network service providers |
US8688837B1 (en) | 2009-03-27 | 2014-04-01 | Amazon Technologies, Inc. | Dynamically translating resource identifiers for request routing using popularity information |
US8412823B1 (en) | 2009-03-27 | 2013-04-02 | Amazon Technologies, Inc. | Managing tracking information entries in resource cache components |
US8756341B1 (en) | 2009-03-27 | 2014-06-17 | Amazon Technologies, Inc. | Request routing utilizing popularity information |
US8521851B1 (en) | 2009-03-27 | 2013-08-27 | Amazon Technologies, Inc. | DNS query processing using resource identifiers specifying an application broker |
US9130972B2 (en) | 2009-05-26 | 2015-09-08 | Websense, Inc. | Systems and methods for efficient detection of fingerprinted data and information |
US8782236B1 (en) | 2009-06-16 | 2014-07-15 | Amazon Technologies, Inc. | Managing resources using resource expiration data |
US20100332593A1 (en) * | 2009-06-29 | 2010-12-30 | Igor Barash | Systems and methods for operating an anti-malware network on a cloud computing platform |
US8397073B1 (en) | 2009-09-04 | 2013-03-12 | Amazon Technologies, Inc. | Managing secure content in a content delivery network |
US8433771B1 (en) | 2009-10-02 | 2013-04-30 | Amazon Technologies, Inc. | Distribution network with forward resource propagation |
TWI492090B (zh) * | 2010-01-15 | 2015-07-11 | Chunghwa Telecom Co Ltd | 分散式阻斷攻擊防護系統及其方法 |
US9495338B1 (en) | 2010-01-28 | 2016-11-15 | Amazon Technologies, Inc. | Content distribution network |
US10097398B1 (en) | 2010-09-28 | 2018-10-09 | Amazon Technologies, Inc. | Point of presence management in request routing |
US8819283B2 (en) | 2010-09-28 | 2014-08-26 | Amazon Technologies, Inc. | Request routing in a networked environment |
US8577992B1 (en) | 2010-09-28 | 2013-11-05 | Amazon Technologies, Inc. | Request routing management based on network components |
US8468247B1 (en) | 2010-09-28 | 2013-06-18 | Amazon Technologies, Inc. | Point of presence management in request routing |
US9003035B1 (en) | 2010-09-28 | 2015-04-07 | Amazon Technologies, Inc. | Point of presence management in request routing |
US10958501B1 (en) | 2010-09-28 | 2021-03-23 | Amazon Technologies, Inc. | Request routing information based on client IP groupings |
US9712484B1 (en) | 2010-09-28 | 2017-07-18 | Amazon Technologies, Inc. | Managing request routing information utilizing client identifiers |
US8452874B2 (en) | 2010-11-22 | 2013-05-28 | Amazon Technologies, Inc. | Request routing processing |
US8650495B2 (en) | 2011-03-21 | 2014-02-11 | Guest Tek Interactive Entertainment Ltd. | Captive portal that modifies content retrieved from designated web page to specify base domain for relative link and sends to client in response to request from client for unauthorized web page |
US10467042B1 (en) | 2011-04-27 | 2019-11-05 | Amazon Technologies, Inc. | Optimized deployment based upon customer locality |
US8904009B1 (en) | 2012-02-10 | 2014-12-02 | Amazon Technologies, Inc. | Dynamic content delivery |
US10021179B1 (en) | 2012-02-21 | 2018-07-10 | Amazon Technologies, Inc. | Local resource delivery network |
US10623408B1 (en) | 2012-04-02 | 2020-04-14 | Amazon Technologies, Inc. | Context sensitive object management |
US9154551B1 (en) | 2012-06-11 | 2015-10-06 | Amazon Technologies, Inc. | Processing DNS queries to identify pre-processing information |
US9137281B2 (en) | 2012-06-22 | 2015-09-15 | Guest Tek Interactive Entertainment Ltd. | Dynamically enabling guest device supporting network-based media sharing protocol to share media content over local area computer network of lodging establishment with subset of in-room media devices connected thereto |
US9135048B2 (en) | 2012-09-20 | 2015-09-15 | Amazon Technologies, Inc. | Automated profiling of resource usage |
US9323577B2 (en) | 2012-09-20 | 2016-04-26 | Amazon Technologies, Inc. | Automated profiling of resource usage |
US9178861B2 (en) | 2012-10-16 | 2015-11-03 | Guest Tek Interactive Entertainment Ltd. | Off-site user access control |
US10205698B1 (en) | 2012-12-19 | 2019-02-12 | Amazon Technologies, Inc. | Source-dependent address resolution |
US9117054B2 (en) | 2012-12-21 | 2015-08-25 | Websense, Inc. | Method and aparatus for presence based resource management |
CA2851709A1 (en) | 2013-05-16 | 2014-11-16 | Peter S. Warrick | Dns-based captive portal with integrated transparent proxy to protect against user device caching incorrect ip address |
US9294391B1 (en) | 2013-06-04 | 2016-03-22 | Amazon Technologies, Inc. | Managing network computing components utilizing request routing |
US10097448B1 (en) | 2014-12-18 | 2018-10-09 | Amazon Technologies, Inc. | Routing mode and point-of-presence selection service |
US10033627B1 (en) | 2014-12-18 | 2018-07-24 | Amazon Technologies, Inc. | Routing mode and point-of-presence selection service |
US10091096B1 (en) | 2014-12-18 | 2018-10-02 | Amazon Technologies, Inc. | Routing mode and point-of-presence selection service |
US10225326B1 (en) | 2015-03-23 | 2019-03-05 | Amazon Technologies, Inc. | Point of presence based data uploading |
US9887931B1 (en) | 2015-03-30 | 2018-02-06 | Amazon Technologies, Inc. | Traffic surge management for points of presence |
US9819567B1 (en) | 2015-03-30 | 2017-11-14 | Amazon Technologies, Inc. | Traffic surge management for points of presence |
US9887932B1 (en) | 2015-03-30 | 2018-02-06 | Amazon Technologies, Inc. | Traffic surge management for points of presence |
US9832141B1 (en) | 2015-05-13 | 2017-11-28 | Amazon Technologies, Inc. | Routing based request correlation |
US10616179B1 (en) | 2015-06-25 | 2020-04-07 | Amazon Technologies, Inc. | Selective routing of domain name system (DNS) requests |
US10097566B1 (en) | 2015-07-31 | 2018-10-09 | Amazon Technologies, Inc. | Identifying targets of network attacks |
US9794281B1 (en) | 2015-09-24 | 2017-10-17 | Amazon Technologies, Inc. | Identifying sources of network attacks |
US9742795B1 (en) | 2015-09-24 | 2017-08-22 | Amazon Technologies, Inc. | Mitigating network attacks |
US9774619B1 (en) | 2015-09-24 | 2017-09-26 | Amazon Technologies, Inc. | Mitigating network attacks |
US10270878B1 (en) | 2015-11-10 | 2019-04-23 | Amazon Technologies, Inc. | Routing for origin-facing points of presence |
US10049051B1 (en) | 2015-12-11 | 2018-08-14 | Amazon Technologies, Inc. | Reserved cache space in content delivery networks |
US10257307B1 (en) | 2015-12-11 | 2019-04-09 | Amazon Technologies, Inc. | Reserved cache space in content delivery networks |
US10348639B2 (en) | 2015-12-18 | 2019-07-09 | Amazon Technologies, Inc. | Use of virtual endpoints to improve data transmission rates |
US10075551B1 (en) | 2016-06-06 | 2018-09-11 | Amazon Technologies, Inc. | Request management for hierarchical cache |
US10110694B1 (en) | 2016-06-29 | 2018-10-23 | Amazon Technologies, Inc. | Adaptive transfer rate for retrieving content from a server |
US9992086B1 (en) | 2016-08-23 | 2018-06-05 | Amazon Technologies, Inc. | External health checking of virtual private cloud network environments |
US10033691B1 (en) | 2016-08-24 | 2018-07-24 | Amazon Technologies, Inc. | Adaptive resolution of domain name requests in virtual private cloud network environments |
US10505961B2 (en) | 2016-10-05 | 2019-12-10 | Amazon Technologies, Inc. | Digitally signed network address |
US10831549B1 (en) | 2016-12-27 | 2020-11-10 | Amazon Technologies, Inc. | Multi-region request-driven code execution system |
US10372499B1 (en) | 2016-12-27 | 2019-08-06 | Amazon Technologies, Inc. | Efficient region selection system for executing request-driven code |
US10938884B1 (en) | 2017-01-30 | 2021-03-02 | Amazon Technologies, Inc. | Origin server cloaking using virtual private cloud network environments |
US10503613B1 (en) | 2017-04-21 | 2019-12-10 | Amazon Technologies, Inc. | Efficient serving of resources during server unavailability |
US11075987B1 (en) | 2017-06-12 | 2021-07-27 | Amazon Technologies, Inc. | Load estimating content delivery network |
US10447648B2 (en) | 2017-06-19 | 2019-10-15 | Amazon Technologies, Inc. | Assignment of a POP to a DNS resolver based on volume of communications over a link between client devices and the POP |
US10742593B1 (en) | 2017-09-25 | 2020-08-11 | Amazon Technologies, Inc. | Hybrid content request routing system |
US10592578B1 (en) | 2018-03-07 | 2020-03-17 | Amazon Technologies, Inc. | Predictive content push-enabled content delivery network |
US10862852B1 (en) | 2018-11-16 | 2020-12-08 | Amazon Technologies, Inc. | Resolution of domain name requests in heterogeneous network environments |
US11025747B1 (en) | 2018-12-12 | 2021-06-01 | Amazon Technologies, Inc. | Content request pattern-based routing system |
US11329956B2 (en) | 2020-07-28 | 2022-05-10 | Bank Of America Corporation | Scalable encryption framework using virtualization and adaptive sampling |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
AU4661793A (en) * | 1992-07-02 | 1994-01-31 | Wellfleet Communications | Data packet processing method and apparatus |
US5606668A (en) * | 1993-12-15 | 1997-02-25 | Checkpoint Software Technologies Ltd. | System for securing inbound and outbound data packet flow in a computer network |
US5416842A (en) * | 1994-06-10 | 1995-05-16 | Sun Microsystems, Inc. | Method and apparatus for key-management scheme for use with internet protocols at site firewalls |
US5720033A (en) * | 1994-06-30 | 1998-02-17 | Lucent Technologies Inc. | Security platform and method using object oriented rules for computer-based systems using UNIX-line operating systems |
US5623601A (en) * | 1994-11-18 | 1997-04-22 | Milkway Networks Corporation | Apparatus and method for providing a secure gateway for communication and data exchanges between networks |
US5699513A (en) * | 1995-03-31 | 1997-12-16 | Motorola, Inc. | Method for secure network access via message intercept |
-
1996
- 1996-12-09 US US08/762,402 patent/US5848233A/en not_active Expired - Lifetime
-
1997
- 1997-12-08 EP EP97950906A patent/EP1013045B1/de not_active Expired - Lifetime
- 1997-12-08 WO PCT/US1997/022561 patent/WO1998026555A1/en active IP Right Grant
- 1997-12-08 DE DE69734019T patent/DE69734019T2/de not_active Expired - Fee Related
- 1997-12-08 JP JP52689698A patent/JP2001506093A/ja not_active Ceased
Also Published As
Publication number | Publication date |
---|---|
WO1998026555A1 (en) | 1998-06-18 |
JP2001506093A (ja) | 2001-05-08 |
EP1013045A1 (de) | 2000-06-28 |
DE69734019D1 (de) | 2005-09-22 |
EP1013045B1 (de) | 2005-08-17 |
US5848233A (en) | 1998-12-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE69734019T2 (de) | Verfahren und vorrichtung für dynamische paketfilterzuweisung | |
DE10022431B4 (de) | Integriertes IP-Netzwerk | |
DE10392494B4 (de) | Mechanismen zum Bereitstellen von Verbindbarkeit zwischen Netzen unterschiedlicher Adressbereiche | |
DE69929268T2 (de) | Verfahren und System zur Überwachung und Steuerung der Netzzugriffe | |
DE69825801T2 (de) | Vorrichtung und Verfahren zur Ermöglichung gleichranginger Zugangskontrolle in einem Netz | |
DE69837691T2 (de) | Lastverteilung zwischen Servern in einem TCP/IP-Netz | |
DE69737395T2 (de) | Gesicherter dhcp server | |
DE60314659T2 (de) | System und Verfahren zur Entdeckung und Einstellung von einem Server | |
DE69935138T2 (de) | System und Verfahren zur Optimierung der Leistung und der Verfügbarkeit eines DHCP Dienstes | |
DE69533740T2 (de) | TCP/IP-Kopfendekompression in X.25-Netzwerken | |
DE60113435T2 (de) | Audio-video-telefonie mit firewalls und netzwerkadressübersetzung | |
DE60024228T2 (de) | Dynamische zuweisung verkehrsklassen an einer prioritätswarteschlange in einer paketbeförderungsvorrichtung | |
DE60116736T2 (de) | System und verfahren zur benutzung einer ip-addresse als identifizierung eines drahtlosen endgerätes | |
DE69830491T2 (de) | Cut-through -durchschaltung und paketfilterung in einem rechnersystem | |
DE202016009026U1 (de) | Regelbasierte Netzwerkbedrohungsdetektion | |
DE60300035T2 (de) | Kommunikationssystem zum Aufbauen einer PPPoE ähnlichen Verbindung zwischen IEEE1394 basierten Peeren und IP basierten Peeren | |
DE10297269T5 (de) | Kennzeichnung von Paketen mit einem Nachschlageschlüssel zur leichteren Verwendung eines gemeinsamen Paketweiterleitungs-Cache | |
DE112015006397T5 (de) | DNS Optimierung für Multi-Source Download bei Hybridzugriff | |
DE60211270T2 (de) | Vorrichtung und Verfahren zur Erbringung von Rechnernetzwerken | |
DE60018913T2 (de) | Verfahren und Apparat um mit Apparate zu kommunizieren die nicht zum selben virtuellen privaten Netzwerk (VPN) gehören | |
DE10305413B4 (de) | Verfahren und Anordnung zur transparenten Vermittlung des Datenverkehrs zwischen Datenverarbeitungseinrichtungen sowie ein entsprechendes Computerprogramm und ein entsprechendes computerlesbares Speichermedium | |
DE60304704T2 (de) | Netzsystem, Router und Netzeinrichtungsverfahren | |
DE602004006786T2 (de) | Sortierung von Adressen in einem Domainnamenserver | |
DE10260926B4 (de) | Kommunikationsverfahren | |
EP2171943B1 (de) | Verfahren zum routen von dienstnachrichten |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
8364 | No opposition during term of opposition | ||
8339 | Ceased/non-payment of the annual fee |