DE69929268T2 - Verfahren und System zur Überwachung und Steuerung der Netzzugriffe - Google Patents

Verfahren und System zur Überwachung und Steuerung der Netzzugriffe Download PDF

Info

Publication number
DE69929268T2
DE69929268T2 DE69929268T DE69929268T DE69929268T2 DE 69929268 T2 DE69929268 T2 DE 69929268T2 DE 69929268 T DE69929268 T DE 69929268T DE 69929268 T DE69929268 T DE 69929268T DE 69929268 T2 DE69929268 T2 DE 69929268T2
Authority
DE
Germany
Prior art keywords
network
node
access
rules
data packets
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE69929268T
Other languages
English (en)
Other versions
DE69929268D1 (de
Inventor
Mark Leek Cunningham
Andrew Withington Trevarrow
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Forcepoint UK Ltd
Original Assignee
SurfControl Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=22533758&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=DE69929268(T2) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by SurfControl Ltd filed Critical SurfControl Ltd
Application granted granted Critical
Publication of DE69929268D1 publication Critical patent/DE69929268D1/de
Publication of DE69929268T2 publication Critical patent/DE69929268T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]

Description

  • TECHNISCHES GEBIET
  • Die vorliegende Erfindung betrifft im Allgemeinen ein Verfahren und ein System zum Verwalten der Zugriffssteuerung zu Ressourcen eines verteilten Netzwerkes und betrifft insbesondere die Überwachung und Steuerung des Zugriffs von Computerbenutzern auf Netzwerkressourcen sowohl aus dem Netzwerk heraus als auch von außerhalb des Netzwerkes.
  • STAND DER TECHNIK
  • Es gibt eine Reihe von verfügbaren Topologien für Knoten-Computernetzwerke. Ein Computernetzwerk kann stark zentralisiert sein, mit einem Großrechner, auf den über eine Reihe von Benutzercomputern zugegriffen wird, beispielsweise über Desktop-Computer. Gegenwärtig besteht ein Trend, der von der Zentralisierung weg und hin zur verteilten Verarbeitung und zu Client-Server-Beziehungen hin verläuft. In einem verteilten Netzwerk sind die Intelligenzkraft und die Verarbeitungskraft auf eine Vielzahl von Netzwerkknoten verteilt, typischerweise mit Client-Workstations, die mit verteilten Servern kommunizieren. Andere Beziehungen unter Knoten eines Netzwerkes sind bekannt.
  • Ein Knotennetzwerk kann mit einem einzelnen Unternehmen in Verbindung stehen, beispielsweise mit einem Local Area Network (LAN) eines bestimmten Unternehmens. Ein solches Netzwerk ermöglicht Kommunikationen und Datenaustausche unter den verschiedenen Netzwerkknoten. Es kann ein einziges Protokoll für den Zugriff auf Ressourcen inner halb des LAN verwendet werden. Wenn somit ein erster Knoten, beispielsweise eine Client-Workstation, auf die Rechnerressourcen eines zweiten Knotens, beispielsweise eines Servers für das Speichern verschiedener Anwendungen, zugreift, werden Daten ausgetauscht, ohne dass dafür ein Wechsel des Protokolls notwendig wird.
  • Das größte und vorherrschende Netzwerk ist jedoch das nicht propietäre globale Kommunikationsnetzwerk, das als Internet bezeichnet wird. Eine Reihe von unterschiedlichen Netzwerkprotokollen werden innerhalb des Internets verwendet. Protokolle, die in die Gruppe von Transmission Control Protocol/Internet Protocol (TCP/IP) fallen, schließen das HyperText Transfer Protocol (HTTP), welches den Kommunikationen im World Wide Web zugrunde liegt, TELNET, das einen Zugriff auf einen Remote-Computer ermöglicht, das File Transfer Protocol (FTP) und das Simple Mail Transfer Protocol (SMTP), um ein einheitliches Format für den Austausch von elektronischer Post bereitzustellen, sowie eine Reihe von standardisierten oder propietären Protokollen für Multimedia- und Übertragungsdienste ein.
  • Eine Umsetzung dieser und anderer Internetprotokolle ausschließlich innerhalb einer Organisation wird oft als Intranet bezeichnet, während die Verwendung solcher Protokolle über eine beschränkte Anzahl von Internetsites, die für eine bestimmte Organisation relevant ist, als das Extranet dieser Organisation bezeichnet wird.
  • Große Aufmerksamkeit wurde der Errichtung von Computernetzwerk-Gateways gewidmet, welche sich darauf konzentrieren, zu gewährleisten, dass potentielle Eindringlinge (manchmal als "Hacker" bezeichnet) keinen illegalen Zugriff über das Internet auf die Rechnerressourcen einer Organisation in deren Intranet erhalten. Diese Gateways sind "Drosselpunkte" (Choke Points), durch welche zu steuernder Netzwerkverkehr fließen muss. Solche "Firewalls" sind so konfiguriert, dass sie jeglichen nach außen gehenden Verkehr und alle nach außen verlaufenden Verbindungen ermöglichen, aber nach innen verlaufenden Verkehr auf bestimmte Dienste beschränken, von denen angenommen wird, dass sie keine Bedrohung für die Organisation darstellen. Firewalls können auch ein begrenztes Ausmaß an "Paketfilterung" durchführen, mit der versucht wird, den Verkehr durch Bezug auf nicht-kontextuelle, Netzwerkpakete niedriger Ebene zu steuern. Eine Publikation von S. Lodin und C. Schuba mit dem Titel "Firewalls fend off invasions from the Net" (IEEE Spectrum, IEEE Inc., New York, New York, Volume 35, No. 2, 1. Februar 1998, Seiten 26-34) beschreibt verschiedene Techniken für die Paketfilterung bei einer Firewall. Die Regeln können bei Paketen jeweils einzeln zur Anwendung kommen und zwar ohne Rücksicht auf die Zustandsinformationen (d. h. Daten in Bezug auf das, was zuvor im System geschehen ist), so dass jedes Datenpaket getrennt von anderen Paketen betrachtet wird, die Teil derselben Verbindung sind. Alternativ dazu kann die Firewall eine "zustandsbezogene" Paketfilterung durchführen, welche Zustandsinformationen für Pakete speichert, die zu derselben Verbindung gehören, so dass Entscheidungen innerhalb des Kontextes einer bestimmten Nachricht getroffen werden können.
  • Zusätzlich zur Einschränkung von ankommenden Paketen können Einschränkungen auf nach außen gehende Anfragen von dem Netzwerk auferlegt werden. Die europäische Patentanmeldung Nr. EP 0 748 095 A beschreibt ein System und ein Verfahren zum selektiven Steuern des Zugriffs auf öffentliche/unkontrollierte Datenbanken, z. B. auf im Internet verfügbare Datenbanken. Eine relationale Datenbank wird verwendet, um die Zugriffsrechte zu bestimmen. Innerhalb der relationalen Datenbank werden spezifische Ressourcenidentifikatoren (d. h. URLs) nach bestimmten Zugriffsgruppen klassifiziert. Die relationale Datenbank ist so aufgebaut, dass für jeden Netzwerkbenutzer eine Anfrage für eine bestimmte Ressource von dem Netzwerk nur dann weitergeleitet wird, wenn sich der Ressourcenidentifikator in einer Zugriffsgruppe befindet, für die der Benutzer für ihn spezifische Genehmigungen erhalten hat.
  • Ein Aspekt, dem weniger Aufmerksamkeit geschenkt wird, ist die Gewährleistung, dass Mitarbeiter einer Organisation ordentlich verwaltet werden. Diese Verwaltung erstreckt sich auf das Zugreifen auf externe Computerressourcen und das Zugreifen auf interne Computerressourcen. Die Verwaltung kann gemäß den Zugriffssteuerungsgrundsätzen der Organisation erfolgen. In vielerlei Hinsicht ist die Verwaltung die Umkehrung des Problems, das Firewalls zu lösen beabsichtigen. Während Firewalls sich darauf konzentrieren, Eindringlinge daran zu hindern, unerwünschte Zugriffe zu erhalten, konzentrieren sich Zugriffssteuerungssysteme darauf, zu gewährleisten, dass Mitarbeiter der Organisation gemäß den Zugriffssteuerungsgrundsätzen der Organisation verwaltet werden.
  • Es gibt eine Reihe von Gründen für die Umsetzung von Zugriffssteuerungsgrundsätzen innerhalb einer Organisation. In Bezug auf die Steuerung externer Kommunikationen bestehen zwei wichtige Gründe darin, dass die Mitarbeiterproduktivität maximiert wird, indem sichergestellt wird, dass der Internet-Zugriff vorrangig für Geschäftszwecke verwendet wird, und darin, dass die Internetverbindungsfähigkeit (d. h. die Bandbreite) der Organisation, insbesondere während den Hauptnutzungszeiten, maximiert wird. Zum Beispiel kann die Verwendung von Streaming-Audio- und Videodiensten während Hauptnutzungszeiten eines Tages im Hinblick auf den Netzwerkverkehr einer Organisation die Produktivität von anderen Benut zern innerhalb der Organisation, die versuchen, Aufgaben wie beispielsweise E-Mail-Dateienübertragungen, Terminalemulierungen und Netzwerkdatenbankabfragen, durchzuführen, ernsthaft verringern.
  • Unter Verwendung herkömmlicher Ansätze legen Organisationen strenge Regeln und manchmal übertriebene Verwaltungsregeln fest, um dafür zu sorgen, dass die wichtigsten geschäftlichen Nutzungen des Internets nicht durch eine lockere oder unangebrachte Nutzung negativ beeinflusst werden. Die herkömmlichen Ansätze sind typischerweise aus administrativer Sicht schwierig einzurichten und aufrechtzuerhalten, wobei sie außerdem schwer von kleinen Organisationen auf große Unternehmen umzustellen sind. Somit werden bestimmte Produktivitätsgewinne durch die Verwaltungsgemeinkosten wieder aufgezehrt.
  • Ein herkömmlicher Ansatz für die Bereitstellung einer Zugriffssteuerung im Hinblick auf Ressourcenanfragen, die innerhalb eines Netzwerkes erzeugt werden, besteht darin, die Firewall-Technologie auszubauen und sich auf die bekannten Paketfilterungstechniken zu konzentrieren. Dies erfordert typischerweise den Einbau eines Computersystems als Router mit mindestens zwei Netzwerkschnittstellenkarten und wobei keine Datenpakete von einer Schnittstellenkarte zur anderen ohne vorherige Filterung weitergeleitet werden dürfen. Das heißt, die Firewall-Technologie wurde "umgedreht", um einen bestimmten Grad an Schutz bereitzustellen. Anstatt jene, die versuchen, von außen auf Ressourcen des Netzwerkes zuzugreifen, zu steuern, werden die Techniken dazu verwendet, jene, die von innen heraus versuchen, auf externe Ressourcen zuzugreifen, zu steuern. Dieser Ansatz mag in einigen Anwendungen gut funktionieren, ist aber für andere Anwendungen zu vereinfacht und inflexibel.
  • Die US-Patentschrift Nr. 5,727,146 von Savoldi et al., beschreibt ein Verfahren zur Sicherung des Netzwerkzugriffs auf ein Netzwerk. Alle Datenpakete, die über das Netzwerk übertragen werden, werden im Hinblick auf genehmigte Quelladressen überprüft, anstatt nur die anfänglichen Netzwerkverbindungspakete zu prüfen. Somit wird der Netzwerk-Zugriff auf einen Port dadurch sichergemacht, dass die Quelladresse jedes Paketes, das gesendet wird, überwacht wird, wenn ein Gerät versucht, auf den Port des Netzwerkes zuzugreifen. Wenn die Quelladresse einer genehmigten Quelladresse entspricht, die dem Port zugewiesen ist, an den das Gerät angeschlossen ist, wird dem Gerät erlaubt, auf das System zuzugreifen. Wenn jedoch das Gerät versucht, mit einer Quelladresse Zugriff zu erhalten, welche sich von der genehmigten Quelladresse unterscheidet, werden alle von dem Gerät gesendeten Pakete als fehlerhafte Pakete bezeichnet, um zu verhindern, dass sie von einem anderen Gerät im Netzwerk akzeptiert werden. Durch Überwachung aller Pakete erfasst das Systeme Fälle, in denen ein Gerät versucht, sich zu "tarnen", indem es zuerst mit einer genehmigten Quelladresse Zugriff zu erhalten versucht und dann ein Paket mit einer nicht genehmigten Quelladresse versendet.
  • Die US-Patentschrift Nr. 5,124,984 von Engel beschreibt eine Zugriffssteuerung für Peer-to-Peer-Kommunikationen innerhalb eines Local Area Network (LAN). Die Zugriffssteuerung überwacht Datenpakete, die zwischen Stationen übermittelt werden. Wenn bestimmt wird, dass ein Zugriff gesteuert werden muss, werden entweder die Datenpakete zerstört, oder der Kommunikationspfad zwischen zwei Stationen wird beendet oder geändert. Die Zugriffssteuerung ist weder Teil des physischen Kommunikationspfades noch Teil der Kommunikationsgrundeinrichtungen.
  • Ein weiterer Ansatz in Bezug auf die Umsetzung einer Netzwerk-Zugriffssteuerung besteht darin, Softwaremodule von Dritten zu von im Handel erhältlichen Proxy-Serverprodukten hinzuzufügen. Zum Beispiel können Softwaremodule, die dazu bestimmt sind, eine Zugriffssteuerung zu erreichen, einem Internet-Proxy-Server hinzugefügt werden. Die Nachteile dieses Ansatzes bestehen u. a. darin, dass tatsächlich nur eine kleine Untergruppe von Internetprotokollen über einen Internet-Proxy-Server geroutet werden. Diese Protokolle sind typischerweise auf die auf einem Browser basierenden FTP-, Gopher- und WWW-Protokolle beschränkt. Diese Untergruppe von Protokollen schließt nicht jene Protokolle ein, die bei der Übertragung von Paketen für E-Mail, Telnet, andere Datei-Übertragungen und Streaming-Audio- und Videodateien verwendet werden. Daher erlaubt die Verwendung von Internet-Proxy-Servern als Choke Points nur eine unvollständige Steuerung.
  • Ein weiterer Ansatz in Bezug auf den Versuch, den Zugriff zu steuern, besteht darin, "Black lists" oder "Control lists" in Proxy-Servern oder in einzelnen Client-Workstations zu erstellen. Dies ist ein etwas vereinfachter Ansatz, um den Anforderungen von Organisationen gerecht zu werden, und ist vom administrativen Standpunkt aus betrachtet für Unternehmen oft sehr aufwändig, da die Listen regelmäßig aktualisiert werden müssen.
  • Der Artikel "Firewalls fend off invasions from the Net", von S. Lodin und C. Schuba, IEEE Spectrum, 2/1998, Seite 26 ff, offenbart zwei Ausführungsformen von Firewalls für ein Computernetzwerk. In einer ersten Ausführungsform wird jedes Paket auf Zugriffsverweigerung oder Zugriffsgenehmigung hin überprüft. In einer zweiten Ausführungsform werden Zustandsinformationen von Paketen, die zur selben Verbindung gehören, gespeichert, und die Entschei dung (über einen Zugriff) erfolgt auf der Grundlage dieser Zustandsinformationen. In letzterer Ausführungsform erfolgt die Zugriffsbestimmung auf der Basis von Zustandsinformationen. Die Zugriffssteuerung erfolgt bei jedem Paket oder der Zustandsinformation, indem der Paketfluss innerhalb des Netzwerkverkehrs unterbrochen wird.
  • Die US-Patentschrift 5,124,984 lehrt, eine höhere Schicht einem logischen Test in spezifischer Weise zu unterziehen. Das Testverfahren schließt das Testen von Datenpaketen und Fragmenten von einzelnen, nicht zusammengefügten Datenpaketen einer bestimmten Schicht ein, d. h. Datenschicht, Netzwerkchicht usw., und zwar durch eine Regelbasis, die auf dem Protokoll für diese Schicht beruht.
  • Benötigt wird daher ein Verfahren und ein System zur Bereitstellung einer Steuerung des Zugriffs auf Ressourcen eines Netzwerkes, wobei die Netzwerkleistung nicht verringert wird.
  • KURZFASSUNG DER ERFINDUNG
  • Die Erfindung wird in den Ansprüchen 1 bzw. 11 definiert. Besondere Ausführungsformen werden in den abhängigen Ansprüchen dargestellt.
  • Ein Verfahren und ein System gemäß der vorliegenden Erfindung werden konfiguriert, um eine Steuerung des Zugriffs auf Ressourcen eines Netzwerkes bereitzustellen, indem Datenpakete einer bestimmten Übertragung gesammelt und zusammengefügt werden, um die Identifikation von Informationen aus Rohdatenpaketen auf der niedrigsten Ebene bis zu Daten auf der Anwendungsebene auf der höchsten Ebene zu ermöglichen. Im Hinblick auf das standardisierte Modell, das als International Standards Organiza tion (ISO) Modell bezeichnet wird, werden die Datenpakete zusammengefügt, um nicht nur die Informationen der unteren Schicht aus dem jeweiligen Kopf (Header) der Pakete zu bestimmen, sondern auch die kontextuellen Informationen aus der obersten Anwendungsschicht (d. h. Schicht 7). Zugriffsregeln werden im Anschluss daran angewendet, um zu bestimmen, ob die jeweilige Übertragung eine eingeschränkte Übertragung ist.
  • In der bevorzugten Ausführungsform erfolgen die Schritte des Empfangens und Zusammenfügens der Datenpakete in unterbrechungsfreier Weise in Bezug auf Auswirkungen auf den Verkehrsfluss durch das Netzwerk. Das heißt, die Datenpakete werden abgefangen, ohne dass es dadurch zu Auswirkungen auf die Netzwerkleistung kommt, es sei denn, es wird eine eingeschränkte Übertragung erfasst. Das Empfangen und Zusammenfügen der Datenpakete kann an einer Workstation oder an einem Server erfolgen, der für die Bereitstellung der Zugriffssteuerung bestimmt ist. Zum Beispiel kann eine freistehende Workstation als Knoten mit dem Netzwerk verbunden sein und in einen Promiscuous Mode (Modus, in dem alle Datenpakete unabhängig von der Zieladresse empfangen werden) geschaltet werden, um alle Datenpakete zu empfangen, die zu oder von anderen Knoten des Netzwerkes übertragen werden. Dies ermöglicht es der Workstation, die Fragmente (d. h. Datenpakete) jedes Versuchs, von einer anderen Stelle des Netzwerkes aus entweder auf externe Ziele oder andere interne Ziele zuzugreifen, zu empfangen. Die Fragmente werden zusammengesetzt, um ISO-Schicht-7-Informationen sowie Informationen einer niedrigeren Schicht zu identifizieren. In einem E-Mail-Kontext können die Anwendungsschichtinformationen, die von Interesse sind, die Informationen einschließen, die innerhalb der Zeilen einer E-Mail-Nachricht enthalten sind, die wie folgt lauten: "An", "Von" und "Betreff". In einem Internet-Kontext können die Anwendungsschichtinformationen, die von Interesse sind, den Text der HTML-Seiten enthalten.
  • Indem die hierfür vorgesehene Workstation und der hierfür vorgesehene Server außerhalb der direkten Pfade von Quellknoten zu Zielknoten gestellt werden, ist die Auswirkung auf den Netzwerkverkehr minimal. Das Verfahren und das System können jedoch auch durch Prüfung und Verwaltung bei einem Choke Point umgesetzt werden, wie einem propietären Proxy-Server, einer Firewall oder einem anderen Netzwerkknoten, der als Gateway zwischen dem Netzwerk und einem externen Netzwerk (z. B. dem Internet) agiert. Das Prüfen und die Verwaltung bei einem Choke Point können die Form eines Plug-in-Moduls für das Empfangen, Zusammenfügen und Prüfen von Datenpaketen in der oben beschriebenen Weise annehmen. Die Prüfung von Zugriffsversuchen an dem Choke Point bietet jedoch nicht den Grad an Zugriffssteuerung, der durch das Überwachen des gesamten Verkehrs innerhalb des Netzwerkes geboten wird und kann sich sehr wohl auf die Netzwerkleistung auswirken. Daher kann das System sowohl die Zugriffsüberwachung am Choke Point als auch eine unterbrechungsfreie Überwachung an einem anderen Punkt des Netzwerkes aufweisen.
  • Bei dem Ansatz, bei dem der Zugriff unterbrechungsfrei geprüft wird, können die hierfür vorgesehene Workstation oder der hierfür vorgesehene Server als "Barebones" TCP/IP virtuelle Rechner konfiguriert werden, um die Bereitstellung von Informationen zu ermöglichen, die sich von den unteren Schichten des ISO-Modells zur Anwendungsschicht erstrecken. Es kann mehr als eine hierfür vorgesehene Workstation oder einen hierfür vorgesehenen Server geben, insbesondere wenn das Netzwerk in Segmente aufgeteilt ist. Die Zugriffsregeln werden vorzugsweise als Regelbasis gespeichert, die zentralisiert werden kann, wenn es mehr als einen Knoten gibt, der eine Zugriffsverwaltung bereitstellt. Alternativ dazu ist die Regelbasis an einer einzelnen Stelle konfiguriert, wird dann aber automatisch auf jeden Zugriffssteuerungspunkt im Netzwerk verteilt.
  • Die Zugriffssteuerungsregeln können zu dem Zeitpunkt angewendet werden, zu dem eine Verbindung hergestellt wird, oder können von den Anwendungsprotokolldaten abhängen, die auf eine erfolgreiche Verbindung folgen. In der bevorzugten Ausführungsform werden die Regeln sowohl zum Zeitpunkt der Verbindungsherstellung als auch nach diesem Zeitpunkt, während Datenpakete zusammengefügt werden, angewendet. Wenn eine Knoten-zu-Knoten-Übertragung als Übertragung festgestellt wird, die durch die Regelbasis beschränkt wird, kann ein Verbindungsversuch abgelehnt werden, eine zuvor hergestellte Verbindung unterbrochen werden, es kann lediglich zu einem Protokollieren kommen oder es kann eine Kombination aus diesen Handlungen umgesetzt werden. Daten, die während der Verbindungsversuche oder während der Dauer einer Verbindung gesammelt werden, können an eine Software von Dritten weitergeleitet werden, um eine unabhängige Validierung durchzuführen. Dies ist jedoch nicht entscheidend.
  • Die Regelbasis wird vorzugsweise in zwei Regelsätze aufgeteilt. Der erste Satz betrifft die Zugriffsverwaltungsanforderungen in Bezug auf ausgehende Verbindungsversuche, während der zweite Satz die internen Verbindungsversuche betrifft. Die Regeln innerhalb jedes Satzes können geschichtet werden, um zu ermöglichen, dass scheinbar inkonsistente Regeln in eine einzelne Regelbasis aufgenommen werden. Zum Beispiel können Regeln innerhalb eines bestimmten Satzes sequentiell angewendet werden, so dass auf eine spezifische Regelanwendung zugegriffen wird, bevor ein Zugriff auf eine allgemeine Regel erfolgt, welche der spezifischen Regel widerspricht. Die Regelbasis wird vorzugsweise mit Begriffen konfiguriert, die Benutzern vertraut sind, z. B. mit Benutzernamen, Gruppennamen, Workstation-Identifikatoren, Zieladressen und URLs, erforderlichen Diensten, Tageszeit, Wochentag und Datengröße.
  • Ein Vorteil dieser Erfindung innerhalb einer Geschäftsumgebung liegt darin, dass das Verfahren und das System die Mitarbeiterproduktivität bewahren, indem sichergestellt wird, dass der Internet-Zugriff vorrangig für Geschäftszwecke verwendet wird. Ein weiterer Vorteil besteht darin, dass die Bandbreitenverfügbarkeit effizienter genutzt wird. Der Zugriff kann dynamisch, auf der Grundlage von Faktoren wie Tageszeit und Wochenzeit gesteuert werden. Ein weiterer Vorteil besteht darin, dass die innere Sicherheit erhöht wird, indem die Verwaltung des Zugriffs zu internen Computerressourcen sichergestellt wird.
  • KURZE BESCHREIBUNG DER ZEICHNUNGEN
  • 1 ist eine exemplarische Topologie eines Netzwerkes, das die Zugriffssteuerungsverwaltung gemäß der vorliegenden Erfindung verwendet.
  • 2 ist ein Blockdiagramm einer beispielhaften Netzwerktopologie, welche mehr als einen Knoten aufweist, der eine Zugriffssteuerung gemäß der Erfindung durchführt.
  • 3 ist ein schematisches Diagramm eines Ethernet-Datenpakets.
  • 4 ist eine schematische Ansicht des Siebenschicht-ISO-Modells und der Quellschichten, die von der Erfindung genutzt werden.
  • 5 ist eine Ansicht einer graphischen Benutzerschnittstelle (graphic user interface oder GUI) gemäß einer Ausführungsform von Regelkonfigurationen.
  • 6 ist ein Blockdiagramm einer Ausführungsform eines Zugangssteuerungsgeräts gemäß der Erfindung.
  • 7 ist ein Verfahrensfluss von Schritten für das Betreiben des Geräts von 6.
  • DETAILLIERTE BESCHREIBUNG
  • Unter Bezugnahme auf 1 wird ein beispielhaftes Netzwerk dargestellt, das einen Router 10 enthält, der den Zugriff zum globalen Kommunikationsnetzwerk, das als Internet 14 bezeichnet wird, für eine Organisation bereitstellt, die vor unerwünschten Eindringlingen durch eine Firewall 16 geschützt ist. Eine Reihe von herkömmlichen Benutzer-Workstations 18, 20 und 22 sind als Knoten des Netzwerkes enthalten. Eine vierte Workstation 24 kann mit den anderen Workstations identisch sein, ist aber dazu vorgesehen, die Zugriffssteuerungsverwaltung bereitzustellen. Somit ist die Workstation 24 eine Zugriffssteuerungsverwaltungskonsole (access control management console oder ACMC). Eine der anderen Workstations kann jedoch dazu verwendet werden, die Zugriffsregeln in einer Weise umzusetzen, die mit dem unten beschriebenen unterbrechungsfreien Verwaltungssystem konsistent ist. Die Workstation 24 kann ein herkömmlicher Desktop-Computer mit einem Plug-in-Zugriffsverwaltungsmodul 26 sein, um den Verkehr innerhalb des Netzwerkes zu überwachen.
  • Ein weiterer Knoten innerhalb des Netzwerkes ist ein propietärer Proxy-Server 28, der in herkömmlicher Weise verwendet wird, um ausgewählte Dienste, wie Internet-Dienste, zu ermöglichen. Ein Internet-Proxy-Server ist so gestaltet, dass er Leistungsverbesserungen ermöglicht, indem er Internet-Seiten, auf die häufig zugegriffen wird, im Cache speichert. Obwohl solche Server häufig ein bestimmtes Maß an Zugriffssteuerungspotential bereitstellen, indem sie sich den Umstand zunutze machen, dass alle HTTP-Umwandlungen durch diesen Dienst kanalisiert werden, ist die Zugriffssteuerungsfunktionalität kein Hauptanliegen, und nur eine Untergruppe der Protokolle, auf die man häufig im Internet stößt, werden durch herkömmliche Internet-Proxy-Server erkannt. Zum Beispiel kann der Proxy-Server 28 die Proxy-Fähigkeit für das HTTP-Protokoll und vielleicht für die auf einem Browser basierenden FTP und Gopher-Protokolle bereitstellen. Die Proxy-Fähigkeit erstreckt sich aber wahrscheinlich nicht auf andere TCP/IP-Anwendungsprotokolle, wie Telnet, News, E-Mail und viele propietäre Multimediaprotokolle.
  • Die Netzwerktopologie von 1 wird als beispielhafte Konfiguration dargestellt und soll die Beschreibung der Erfindung nicht einschränken oder einengen. Das Verfahren und das System, die unten beschrieben werden, können auf vielen verschiedenen Netzwerkkonfigurationen zum Einsatz kommen. Ferner ist die Erfindung nicht auf ein spezifisches Betriebssystem festgelegt, wenngleich angenommen werden kann, dass alle Workstations 18-24 auf dem Windows-Betriebssystem von Microsoft und alle Server 28 auf dem Windows-NT-Serverbetriebssystem von Microsoft laufen. Obwohl die Hauptverwendung des Verfahrens voraussichtlich darin bestehen wird, in Netzwerken verwendet zu werden, die TCP/IP-Protokolle verwenden, kann es ohne Probleme so angepasst werden, dass es mit jedem anderen Satz von Netzwerkprotokollen funktioniert, beispielsweise mit Novell IPX/SPX oder IBM NetBEUI.
  • Ferner wird angenommen, dass das Netzwerk, für das eine Zugriffsverwaltung bereitgestellt werden soll, eine Reihe von Benutzern, Benutzergruppen und Workstation-Adressen aufweist. Es wird angenommen, dass alle diese Punkte unter Verwendung bekannter Konfigurationsverfahren vorkonfiguriert wurden, die vom Anbieter des Netzwerkbetriebssystems bereitgestellt werden. Obwohl die Umsetzung der Erfindung auf Daten wie Benutzernamen und Gruppennamen aus einem Netzwerkbetriebssystem oder einer ähnlichen Quelle basieren kann, besteht keine Abhängigkeit von einem bestimmten Netzwerkbetriebssystem oder einem spezifischen Mechanismus für den Zugriff auf diese Daten. Die Verwendung von Benutzernamen und Gruppennamen, die mit anderen Systemoperationen konsistent sind, nutzt jegliche Ähnlichkeiten, die mit diesen Informationen bereits bestehen mögen. Darüber hinaus kann die Erfindung, in Ermangelung solcher Informationen, eine andere Benennungsnomenklatur verwenden, wie IP- oder Ethernet-Adressen.
  • Unter Bezugnahme jetzt auf 2 wird nun ein erstes Zugriffssteuerungsmodul 30 dargestellt, das auf der Workstation 18 eingerichtet wurde, um der Workstation zu ermöglichen, als passive Zugriffssteuerungsstation (passive access control station oder PACS) zu fungieren. Eine zweite Instanz eines Zugriffssteuerungsmoduls 32 ist auf dem Proxy-Server 28 installiert, so dass dieser Knoten als Proxy-Zugriffssteuerungsstation (proxy access control station oder PRACS) fungiert. Darüber hinaus ist eine dritte Instanz eines Zugriffssteuerungsmoduls 34 auf der Firewall 16 installiert, um eine Gateway-Zugriffssteuerungsstation (gateway access control station oder GACS) zu bilden. Ein entscheidender Punkt in dem System und dem Verfahren besteht darin, dass die einzelnen Workstations 20 und 22, auf die durch Benutzer zugegriffen wird, verwaltet werden können, ohne irgendwelche Soft warekomponenten spezifisch auf diesen Workstations zu installieren. Der Netzwerkverkehr wird überwacht und der Zugriff auf interne und externe Ressourcen gesteuert und verwaltet, entweder an Choke Points (die durch den Proxy-Server 28 und die Firewall 16 dargestellt sind) und/oder unterbrechungsfrei an Knoten, die keine Choke Points sind (dargestellt durch die Workstation 18). Die Zugriffssteuerungsmodule 30, 32 und 34 können installiert, deinstalliert und wieder installiert werden, und zwar auf jedem der Knoten des Netzwerkes und zu jeder Zeit, um sich so auf potentiell veränderte Netzwerktopologien oder geänderte Zugriffsverwaltungsgrundsätze einzustellen.
  • Der Standort und die Konfiguration der einzelnen Zugriffssteuerungsmodule 30, 32 und 34 werden durch eine Installiereinrichtung auf der Grundlage von pragmatischen Faktoren ausgewählt, um einen Grad an Zugriffssteuerung zu erreichen, der mit den Zugriffsverwaltungsgrundsätzen in Einklang steht. Wie zuvor erwähnt, ist das erste Zugriffssteuerungsmodul 30 nicht erforderlich, da die Workstation 24 dem doppelten Zweck dienen kann, einem Systemoperator zu erlauben, die Regelbasis für Zugriffsregeln zu konfigurieren und den Verkehr innerhalb des Netzwerkes unterbrechungsfrei zu überwachen. Das zweite Zugriffssteuerungsmodul 32 wird wahlweise verwendet, um sicherzustellen, dass der Zugriff für alle Benutzer verwaltet wird, die auf das WWW zugreifen, indem Internetbrowser so konfiguriert werden, dass sie über den Proxy-Server 28 laufen. Das dritte Zugriffssteuerungsmodul 34 wird wahlweise bei der Firewall 16 installiert, um zu prüfen, ob sowohl die Firewall als auch die anderen Zugriffssteuerungsmodule wirklich korrekt konfiguriert wurden und ihre erwünschten Aufgaben erfüllen. Firewalls sind manchmal schwierig zu konfigurieren, so dass Organisationen immer öfter Prüfungen in der zweiten Linie für ihre Netzwerke hinzufügen, um sicherzustellen, dass eine absolute Integrität aufrechterhalten wird. Die unterbrechungsfreie Überwachung an der hierfür vorgesehenen Workstation 18 ist jedoch in der Lage, alle Zugänge von allen Knoten im Netzwerk zu überwachen und zu steuern, unabhängig vom TCP/IP-Protokoll. Dieser Mechanismus kann verwendet werden, um alle Netzwerkzugänge zu verwalten, die nicht über den Proxy-Server 28 geroutet werden, wobei eine hohe Wahrscheinlichkeit besteht, dass ein unerwünschter Zugriff tatsächlich blockiert wird. Der Netzwerkverkehr wird unterbrechungsfrei überwacht. Dennoch können das System und das Verfahren aber auch verwendet werden, um etwaige Anfragen für Ressourcen vorausschauend zu blockieren.
  • Die unterbrechungsfreie Überwachung von Netzwerkverkehr an der Workstation 18 erfolgt durch Empfangen und Zusammenfügen von Datenpaketen von Knoten-zu-Knoten-Übertragungen. Moderne Netzwerke, einschließlich des Internets, sind Paketvermittlungsnetzwerke, bei denen eine Übertragung in Datenpakete aufgeteilt wird, die getrennt zu einem Zielknoten übertragen werden. Am Zielknoten werden die Pakete zusammengefügt, um das ursprüngliche zusammengesetzte Signal zu bilden. 3 zeigt ein Ethernet-Datenpaket gemäß der RFC-Basis 894. Verkehr innerhalb des Netzwerkes von 1 und 2 kann in der Form von Übertragungen von Ethernetpaketen erfolgen. Jedes Ethernetpaket 36 weist fünf Segmente auf. Ein erstes 6-Byte-Segment 38 identifiziert die Zielknotenadresse, während ein zweites 6-Byte-Segment 40 die Adresse des Quellknotens identifiziert. Das dritte Segment 42 ist ein 2-Byte-Segment, das den Protokolltyp identifiziert. Ein Datenfeld 44 weist eine variable Länge mit maximal 1500 Bytes auf. Das Datenfeld 44 enthält die Benutzerinformationen. Schließlich ist das fünfte Segment 46 ein Prüfsummenfeld, das für die Erfassung von Fehlern und für Korrekturzwecke verwendet wird.
  • Wie auf dem Fachgebiet weithin bekannt, werden andere Standards für die Paketvermittlung verwendet. Zum Beispiel weist jeder Header, der in einer TCP-Übertragung oder einer UDP (User Datagram Protocol)-Übertragung verwendet wird, eine 16-Bit-Zielport-Nummer auf. Ein Ethernetpaket, in deren Datenfeld ein TCP/IP-Paket oder ein UDP/IP-Paket eingebettet ist, weist drei Bezeichnungen auf: (1) die Ethernetadressen des Quell- und des Zielknotens; (2) die IP-Adressen des Quell- und des Zielknotens; und (3) die IP-Port-Nummer des Zielknotens. Andere Protokolle sind in TCP/IP-Netzwerken vorhanden und in Betrieb und steuern Handlungen wie z. B. Routing und die Übersetzung von IP-Adressen aus und in Hostnamen. Ein Protokoll, das als ARP (Address Resolution Protocol) bezeichnet wird, ordnet auch IP-Adressen den Ethernetadressen zu.
  • Durch das Abfangen des Ethernetpakets 36 von 3 stehen die Zieladresse, die Quelladresse und die Benutzerdaten dem Überwachungsknoten zur Verfügung. Für die unterbrechungsfreie Überwachung, zu der es bei Workstation 18 von 2 kommt, kann die Workstation in den Promiscuous Mode versetzt werden, wobei es dort zu keiner Auswirkung auf die Leistung des Netzwerkes kommt. Die Pakete, die für eine bestimmte Knoten-zu-Knoten-Übertragung spezifisch sind, können jedoch dadurch gesammelt und zusammengefügt werden, dass das Zugriffssteuerungsmodul 30 einfach so konfiguriert wird, dass die Workstation als virtueller Rechner mit Bare-Bones TCP/IP-Protokoll arbeitet. Die Workstation kann dann die Fragmente eines Mehrpaketsignals zusammensetzen. Dadurch wird es der Zugriffsverwaltungssteuerung ermöglicht, Entscheidungen auf die Informationen zu stützen, die aus verschiedenen Ebenen des ISO-Modells ableitbar sind – von den unteren Schichten bis hin zur obersten Anwendungsschicht.
  • Ein Kommunikationsprotokoll ist ein geschichteter Satz, der oft als ein "Stapel" bezeichnet wird. Die International Standards Organization (ISO) hat ein Modell entwickelt, das als das ISO-7-Schichtmodell bezeichnet wird und das als Grundreferenz dient. Jede Schicht stellt eine bestimmte Funktion dar. Die Funktion einer bestimmten Schicht kann in Hardware oder Software oder einer Kombination aus Hardware und Software ausgeführt werden. Manchmal erfüllt ein einzelnes Programm die Funktionen von mehr als einer Schicht. 4 zeigt die sieben Schichten des ISO-Modells. Die unterste Schicht, die als physikalische Schicht 60 bezeichnet wird, ist die Hardware-Netzwerkverbindung, beispielsweise ein physikalischer Draht. Die ISO-Schicht 2, die Datenverbindungsschicht 52, ist für die Bereitstellung verlässlicher Datenübertragungen verantwortlich. Die Schicht 2 kann eine Netzwerkschnittstellenkarte sein, die einen Computer mit dem Netzwerk verbindet.
  • Die ISO-Schicht 3, die Netzwerkschicht 54, ist die Netzwerk-Software für das Routing von Paketen durch das Netzwerk. Die ISO-Schicht 4, die Transportschicht 56, transportiert Daten von dem Netzwerk zu den oberen Ebenen des ISO-Modells.
  • Die ISO-Schicht 5, die Sitzungsschicht 58, beschäftigt sich mit dem Herstellen von Netzwerksitzungen. Logische Verbindungen werden auf der Basis einer Benutzeranforderung hergestellt. Die ISO-Schicht 6, die Präsentationsschicht 60, beschäftigt sich mit der Übergabe von Daten an eine Anwendung, die sich in der ISO-Schicht 7 befindet, der Anwendungsschicht 62. Zu Beispielen der Anwendungsschicht zählen FTP, HTTP und SMTP. Die Schicht 7 stellt einen Internet-Zugriff für einen Benutzer bereit.
  • 4 zeigt drei Eingaben für einen Schritt 64 zum Speichern von Datenpaketen. Die erste Eingabe 66 stellt die tatsächliche Eingabe von Datenpaketen dar, während die zweite 68 und die dritte Eingabe 70 operative Darstellungen sind. Unter Bezugnahme auf 2 und 4 empfängt die Workstation 18, welche den Netzwerkverkehr unterbrechungsfrei überwacht, nach innen und nach außen gerichtete Datenpakete durch Schicht 1 und Schicht 2. Wie zuvor festgehalten, ist die Netzwerkschnittstellenkarte von Schicht 2 auf den Promiscuous Mode eingestellt, so dass die Datenpakete des Netzwerkes über die physikalische Schicht 50 erhalten werden. Wahlweise kann die Regelbasis des Zugriffsverwaltungsmoduls 28 öfter als einmal verwendet werden. In einer ersten Anwendung der Regelbasis kann das erste Paket einer Ressourcenanforderung verwendet werden, um den Quellknoten und den Zielknoten zu erfassen, wodurch es möglich wird, die Festlegungen von Zugriffen auf diese Informationen der unteren Ebene zu stützen. Entscheidungen einer höheren Ebene können nur getroffen werden, nachdem eine Verbindung hergestellt wurde und der tatsächliche Inhalt begonnen hat, über diese Verbindung zu fließen. Dies steht im Kontrast zu herkömmlichen Funktionsweisen von Firewalls, welche typischerweise nur als Paketfilter niedriger Ebene (z. B. auf ISO-Schicht 2) agieren.
  • Wie durch die Eingabe 68 angegeben, beinhaltet die Erfindung das Zusammenfügen von Datenpaketen, um Informationen auf der Transportschicht 56 und der Netzwerkschicht 54 des ISO-Modells zu erfassen. Darüber hinaus werden Schicht-7-Informationen erworben, indem die Datenpakete zusammengefügt werden, wie dies durch die Eingabe 70 dargestellt wird. Zum Beispiel können in einer E-Mail-Umgebung die Anwendungsschichtinformationen, die für die Anwendung der Regelbasis relevant sein können, Informationen innerhalb der Betreffzeile einer E-Mail-Nachricht enthalten. Diese Informationen können nur erhalten werden, wenn auf die Datenfelder der Datenpakete der E-Mail-Nachricht zugegriffen wird. Im Schritt 66 erhält man die erforderlichen Informationen für die Anwendung der Regelbasis. Wie zuvor erwähnt, kann die Anwendung für eine einzelne Mehrpaketübertragung öfter als einmal erfolgen. Inwieweit das Bereitstellen von einzelnen oder mehrfachen Regelanwendungen wünschenswert ist, hängt von einer Reihe von Faktoren ab.
  • Unter Bezugnahme jetzt auf 5 wird nun eine Ausführungsform einer graphischen Benutzerschnittstelle (GUI) 68 dargestellt, die von einem Systemoperator dazu verwendet wird, die Regelbasis zu konfigurieren, welche die Funktionsweise der Zugriffssteuerungsmodule 30, 32 und 34 von 2 bestimmt. Die Funktionsweise jedes Zugriffssteuerungsmoduls wird durch Regeln bestimmt, die bei der ACMC 24 konfiguriert werden, welche das Zugriffsverwaltungsmodul 26 enthält. Das Verwaltungsmodul präsentiert die GUI 68, obwohl dies für die Erfindung nicht entscheidend ist.
  • In der bevorzugten Ausführungsform umfasst die Regelbasis einen Zwillingssatz von sortierten Regeln. Einer dieser Regelsätze betrifft die Zugriffsverwaltungsanforderungen für einen nach außen gerichteten Zugriff, während der zweite Satz die nach innen gerichteten Verbindungsversuche betrifft. In jedem Satz sind die Regeln aufeinanderfolgend sortiert, wodurch die Reihenfolge bestimmt wird, in der die Regeln berücksichtigt werden. Diese Sequenzierung gewährleistet, dass Regeln in einer spezifischen bestimmenden Reihenfolge angewendet werden, wodurch es dem Systemoperator ermöglicht wird, spezifischere Regeln vor allgemeineren Regeln zu schichten. Somit können scheinbar inkonsistente Regeln festgelegt werden. Zum Beispiel kann eine Regel so konfiguriert werden, dass sie dem Benutzer A Zugriff auf eine bestimmte Ressource ermöglicht, vor einer Regel, welche jeden innerhalb der Organisation daran hindert, auf diese Ressource zuzugreifen. Dies führt dazu, dass dem Benutzer A der Zugriff gestattet wird und der Zugriff auf diese Ressource für alle anderen Benutzer gesperrt ist.
  • Nachdem eine Regelbasis durch einen Systemoperator konfiguriert worden ist, wird die Regelbasis auf die Zugriffssteuerungsmodule 30, 32 und 34 heruntergeladen. Somit können etwaige spätere Änderungen an der Regelbasis bei den verschiedenen Knoten in einer effizienten dynamischen Weise umgesetzt werden.
  • Zur Konfiguration der Regeln können verschiedene Objekte eingesetzt werden, um eine gröbere oder weniger grobe Regel bereitzustellen. Die betroffenen Parteien können durch Benutzernamen und Gruppennamen (beide typischerweise vom Netzwerkbetriebssystem aus), durch Ad-Hoc-Gruppierungen von Benutzern und Workstation-Adressen bestimmt werden. Andere Objekte schließen Netzwerkdienste, Quelladressen (IP-Adresse, Hostname oder URL), Zieladressen (IP-Adresse, Hostname oder URL) und Zeitfensterspezifikatoren (Tageszeit, Wochentag usw.) ein. Diese Objekte werden graphisch auf jede Regel gezogen und abgelegt, so wie dies notwendig ist, um die Regel innerhalb der Gesamtregelbasis dynamisch und graphisch aufzubauen. In Zusammenhang mit jeder Regel wird eine Handlung konfiguriert, um die Maßnahme festzulegen, die ergriffen werden sollte, wenn während der Laufzeit entsprechende Bedingungen auf eine Regel zutreffen. Mögliche Maßnahmen sind unter anderem (1) Nichtzulassen des Verbindungsversuches, (2) Zulassen des Verbindungsversuches, so dass dieser abgeschlossen wird, (3) Weiterleiten der Entscheidung, ob eine Verbindung zugelassen oder nicht zugelassen werden sollte, an eine Komponente von Dritten (welche zum Beispiel eine Kontrollliste konsultieren oder andere Prüfungen durchführen kann), (4) Zulassen der Verbindung, aber Durchführen einer weiteren Analyse in Bezug auf den Datenstrom, um zu bestimmen, ob eine Verbindung zu einem späteren Zeitpunkt unterbrochen werden soll (z. B. auf der Grundlage der Anzahl der übertragenen Bytes), und (5) weiteres Sammeln des Datenstroms und Weiterleiten dieses gesammelten Datenstroms an eine Komponente von Dritten zum Zwecke einer weiteren Analyse (z. B. ein Anti-Virus-Produkt).
  • Regeln können mit Hilfe der graphischen Benutzerschnittstelle 68 von 5 verändert, gelöscht oder neu geordnet werden. Die Regelbasis wird in einem internen Format gespeichert, das dann den verschiedenen Zugriffssteuerungsmodulen 30, 32 und 34 zur Verfügung gestellt wird, wie oben beschrieben.
  • Die graphische Benutzerschnittstelle 68 wird in zwei Abschnitte aufgeteilt.
  • Der untere Abschnitt 70 wird verwendet, um Netzwerkobjekte, wie Benutzernamen, Gruppen, Workstations und andere ähnliche Einheiten, die oben erwähnt wurden, zu definieren. Diese Informationen werden von dem Systemoperator zusammengetragen, wobei jedoch so viele Informationen wie möglich von dem Netzwerkbetriebssystem zusammengetragen werden. Typischerweise werden alle Benutzernamen, Gruppennamen und Workstation-Adressen durch Bezug auf das Netzwerkbetriebssystem hergestellt. Es ist auch möglich, aus praktischen Gründen Ad-Hoc-Gruppen zu bilden, beispielsweise Gruppen von Benutzern, die nicht konfiguriert sind oder die in dem Netzwerkbetriebssystem unterschiedlich konfiguriert sind. Eine objektorientierte Technologie vereinfacht den Definitionsprozess, indem die Definition von operativen Parame tern für Objektklassen ermöglicht wird, anstatt für jedes einzelne Netzwerkelement. Somit ist es möglich, eine Zugriffssteuerung auf einer spezifischen Ebene der Steuerung von Zugängen einzelner Benutzer und auf einer allgemeineren Ebene von Netzwerkgruppen von Benutzern oder Ad-Hoc-Benutzergruppen durchzuführen. Dadurch ist der Operator flexibel in der Zugriffsverwaltung. Daher ist es möglich, unterschiedliche Zugriffssteuerungskriterien für unterschiedliche Ebenen von Mitarbeitern und Managern anzuwenden.
  • Andere Objekte, die in dem unteren Abschnitt 70 der GUI 68 definiert sind, sind Dienste, wie E-Mail, Dateiübertragung, WWW und jeder andere mögliche Satz von Diensten, die in einem TCP/IP-Netzwerk zugelassen sind. Spezifische Eigenschaften eines Dienstes schließen seinen Namen und seine TCP/IP-Port-Nummer ein. Bestimmte weithin bekannte Dienste werden für den Operator vorkonfiguriert. Zum Beispiel ist bekannt, dass der Telnet-Dienst auf Port 23 vorkonfiguriert sein sollte. Es können jedoch vom Operator alle möglichen Dienste hinzugefügt oder geändert werden.
  • Der obere Abschnitt 72 der GUI 68 enthält die Regeln. Der gesamte Regelsatz wird als die Regelbasis bezeichnet. Regeln werden graphisch vom Operator geschaffen, indem er Objekte von dem unteren Abschnitt 70 zieht und sie in spezifische Regeln des oberen Abschnitts 70 legt. Die Regelreihenfolge ist wichtig und kann graphisch durch Ziehen einer Regel in eine neue Position in der Sequenz geändert werden. Wenn Regeln während der Laufzeit konsultiert werden, wird in der Reihenfolge von oben nach unten vorgegangen. Wie zuvor angeführt, werden zwei Regelsätze geführt, einer betrifft nach außen gerichtete Kommunikationen und der andere nach innen gerichtete Kommunikationen.
  • In der bevorzugten Ausführungsform werden Speicherprotokolle für Transaktionsdaten geführt. Die Speicherprotokolle können für alle Transaktionsdaten oder für Untergruppen der Daten geführt werden. Die Speicherprotokolle können dann für eine weitere Analyse durch eingebaute Komponenten oder Komponenten von Dritten verwendet werden. Dies ist aber für die Erfindung nicht entscheidend.
  • 6 ist eine beispielhafte Anordnung von Hardware und Software zur Umsetzung des Netzwerk-Zugriffssteuerungssystems und -verfahrens. Eine passive Zugriffssteuerungsstation (PACS), wie die Workstation 18 von 2, weist einen Eingangsport 74 auf, der in einen Modus gesetzt wird, um alle Datenpakete zu empfangen, die für einen beliebigen Knoten im Netzwerk bestimmt sind. Die Datenpakete, die für eine bestimmte Knoten-zu-Knoten-Übertragung spezifisch sind, werden bei einem Paket-Zusammenfüger 76 miteinander verbunden. Detaillierte Informationen aus den zusammengefügten Datenpaketen werden so lange gespeichert, bis ausreichende Informationen in Bezug auf die Knoten-zu-Knoten-Übertragung erhalten werden, um die zuvor konfigurierte Regelbasis 70 anzuwenden. Das Verfahren zur Anwendung der Regelbasis auf die erhaltenen Informationen kann in einem einzelnen Schritt oder in mehreren Schritten ausgeführt werden. Zum Beispiel sind in 6 ein Zustandsidentifikator 80 und ein Kontextidentifikator 82 vorhanden. Der Zustandsidentifikator wird verwendet, um Informationen bezüglich der unteren Schichten des ISO-Modells festzulegen, während der Kontextidentifikator 82 Informationen höherer Schichten, einschließlich der Anwendungsschicht, erwirbt. Die Regelbasis 78 kann ein erstes Mal konsultiert werden, wenn der Zustandsidentifikator 80 ausreichend Informationen erworben hat und kann ein zweites Mal verwendet werden, wenn der Kontextidentifikator 82 ausreichende Informationen einer höheren Ebene erworben hat.
  • Es ist wichtig, festzuhalten, dass Informationen, die gespeichert werden, sowohl Zustandsinformationen einer niedrigen Ebene als auch Kontextinformationen enthalten, die an Stellen im Netzwerkstapel entdeckt werden, die nicht zu Schicht 1 und 2 zählen. Es wird ein volles Wissen über die Anwendungsschicht erzielt, ohne dafür spezifische Anwendungs-Proxys für jeden Dienst verwenden zu müssen. Die zwei Teile des Proxy-Verfahrens sind verbunden, um Vorkehrungen für die Möglichkeit zu schaffen, dass Proxy-Verbindungen hergestellt werden, da der reale Quellknoten und der End-Zielknoten identifiziert werden müssen, um zu gewährleisten, dass die richtige Regel bei der Verwaltung des Netzwerkzugriffs verwendet wird.
  • Wenn festgestellt wird, dass eine bestimmte Knoten-zu-Knoten-Übertragung uneingeschränkt ist, wird die Übertragung durch das Verfahren nicht beeinträchtigt. Wahlweise können Daten bezüglich der Übertragung in einem Protokoll 84 gespeichert werden. Wenn es sich bei der Übertragung jedoch um eine eingeschränkte Übertragung handelt, können von einer Verbindungskontrolleinrichtung 86 unterschiedliche Maßnahmen ergriffen werden. Wenn die Verbindung von einem Quellknoten zu einem Zielknoten nicht abgeschlossen worden ist, kann die Verbindungskontrolleinrichtung ein Signal erzeugen, das über den Ausgangsport 88 zu einem geeigneten Knoten (z. B. einem Router) ausgegeben wird, um die Verbindung zu verhindern. Für Fälle, in denen die Verbindung hergestellt worden ist, kann die Kontrolleinrichtung 86 ein Signal erzeugen, welches die Verbindung deaktiviert. Als dritte Alternative kann die Verbindung zugelassen werden, wobei jedoch eine weitere Analyse des Datenstroms durchgeführt werden kann, um festzustellen, ob die Verbindung zu einem späteren Zeitpunkt unterbrochen werden sollte (z. B. auf der Grundlage der Byte-Anzahl, die während der Verbindung übertragen wird). Die Entscheidung, ob die Verbindung zugelassen wird oder nicht, kann auf einen anderen Knoten übertragen werden, beispielsweise eine Komponente von Dritten, welche eine Kontrollliste konsultiert oder andere Prüfungen durchführt.
  • 7 zeigt im Detail die Schritte für die Bereitstellung der Zugriffssteuerung gemäß der Erfindung. In Schritt 90 wird Netzwerkverkehr unterbrechungsfrei überwacht, beispielsweise durch die Workstation 18 von 2. Pakete, die für eine bestimmte Kommunikation (d. h. Knoten-zu-Knoten-Übertragung) spezifisch sind, werden in Schritt 92 identifiziert und in Schritt 94 zusammengefügt. Der Entscheidungsschritt 96 bestimmt, ob ausreichende Informationen erhalten wurden, um die Regeln der Regelbasis anzuwenden.
  • Wenn ausreichende Informationen erhalten wurden, um die Regelbasis anzuwenden, wird die erste Regel konsultiert, um festzustellen, ob der Satz an Paketinformationen der Regel entspricht. Wie zuvor angeführt, ist die Regelbasis in einen ersten Satz von Regeln, die sich auf nach außen gerichtete Kommunikation beziehen, und einen zweiten Satz von Regeln, die sich auf nach innen gerichtete Kommunikation beziehen, unterteilt. Darüber hinaus werden die Regeln in den jeweiligen Sätzen von oben nach unten konsultiert. Somit ist die Regel, die in Schritt 98 angewendet wird, die erste Regel in dem entsprechenden Regelsatz. Bei Schritt 100 wird eine Entscheidung dahingehend getroffen, ob der Informationssatz der in Schritt 98 angewendeten Regel entspricht. Wenn eine solche Entsprechung mit der Regel erkannt wird, wird die entsprechende Regelmaßnahme bei Schritt 102 ergriffen. Die entspre chende Regelmaßnahme kann innerhalb der Regelbasis bezeichnet werden. Wenn die Regel im positiven Sinne formuliert ist (z. B. "alle HTTP-Verbindungen zulassen"), wird die Maßnahme ermöglichen, dass die Verbindung ungestört aufrechterhalten bleibt. Andere vorgeschriebene Maßnahmen können das Protokollieren von Informationen in eine Datenbank, das Senden einer E-Mail-Nachricht, das Auslösen eines Alarms in einer zuvor festgelegten Weise oder das Weiterleiten des Dateninhalts der Verbindung an ein Verfahren eines Dritten aufweisen, mit dem bestimmt werden kann, ob die Verbindung aufrechterhalten werden soll, indem auf andere Daten verwiesen wird, wie Anti-Viren-Regeln oder eine oder mehrere Kontrolllisten.
  • Wenn in dem Entscheidungsschritt 100 festgestellt wird, dass die erste Regel nicht anwendbar ist, bestimmt der Entscheidungsschritt 104, ob es eine andere anwendbare Regel gibt. Wenn es innerhalb des Satzes an Regeln, die auf die betreffende Kommunikation anwendbar sind, fünfzehn Regeln gibt, werden die Schritte 98, 100 und 104 fünfzehn Mal oder so lange wiederholt, bis der Informationssatz einer der Regeln entspricht.
  • Vorzugsweise gibt es am Ende jedes Regelsatzes in der Regelbasis eine voreingestellte Regel. Jetzt wird kurz auf 5 Bezug genommen, wo die GUI 68 sechs Regeln in ihrem Satz an Regeln für nach außen gerichtete Kommunikation im oberen Abschnitt 72 der GUI zeigt. Die sechste und letzte Regel, die anzuwenden ist, ist die voreingestellte Regel, welche nach außen gerichtete Kommunikationen, die nicht spezifisch innerhalb des Satzes zugelassen sind, nicht zulässt. Alternativ dazu kann die voreingestellte Regel lauten, dass die Kommunikation zugelassen wird.
  • Nachdem alle entsprechenden Regeln angewendet wurden, wird der wahlweise Entscheidungsschritt 106 ausgeführt. Die Zugriffsregeln der Regelbasis sind voranalysiert, um festzustellen, welche Regeln während der Dauer des Verbindungsaufbaus angewendet werden können, und welche Regeln für eine Anwendung aufgeschoben werden müssen, die erfolgt, sobald die Verbindung aufgebaut ist und die Daten fließen. Wenn – bei einer speziellen Knoten-zu-Knoten-Übertragung – festgestellt wird, dass keine Regel aufgeschoben werden müssen, kann die voreingestellte Regel während der Dauer des Verbindungsaufbaus angewendet werden, wobei angenommen wird, dass es keine vorhergehende Regel gibt, welche eine positive Antwort bei Schritt 100 bereitstellt. Wenn jedoch Zugriffsregeln angewendet werden müssen, sobald die Daten fließen, wird die voreingestellte Regel zusammen mit den aufgeschobenen Regeln angewendet. Somit wird – wenn es Zugriffsregeln gibt, die sich auf den Datenfluss beziehen – ein Abschließen der Verbindung ermöglicht, es sei denn, es wird bei Schritt 100 festgestellt, dass es sich bei der Verbindung um eine eingeschränkte Verbindung handelt. Wenn bei Schritt 106 festgestellt wird, dass Regeln aufgeschoben wurden, werden die Pakete weiterhin bei Schritt 94 zusammengefügt und das Verfahren wiederholt sich, um die aufgeschobenen Regeln anzuwenden. Wenn hingegen keine aufgeschobenen Regeln vorhanden sind, kehrt das Verfahren zu Schritt 92 des Identifizierens von Paketen einer spezifischen Kommunikation zurück. Die Umsetzung oder auch die bloße Existenz des Schrittes 106 ist für die Erfindung jedoch nicht von entscheidender Bedeutung.
  • Es ist festzuhalten, dass an den oben angeführten Beispielen verschiedene Änderungen und Modifizierungen durchgeführt werden können, um dieselben Ergebnisse zu erzielen, ohne dass dadurch der Schutzumfang des Verfah rens und des Systems verlassen wird. Zum Beispiel kann eine Zugriffsverwaltungssteuerung auf einem allgemeinen Gateway-Rechner erfolgen, anstatt mit einer Firewall, einem Proxy-Server oder einer passiven Workstation.

Claims (13)

  1. Verfahren zur Bereitstellung einer Steuerung des Zugriffs auf Ressourcen eines Netzwerks, wobei das Verfahren folgende Schritte umfasst: Überwachen (90) des Netzwerkverkehrs, was den Empfang von Datenpaketen (36), die zu und von Knoten (18, 20, 22) des Netzwerks übertragen werden, einschließt; Identifizieren (92) einer Vielzahl der genannten empfangenen Datenpakete (36) in Bezug auf einzelne Knoten-zu-Knoten-Übertragungen innerhalb des genannten Netzwerks, die für die einzelnen Knoten-zu-Knoten-Übertragungen spezifisch sind; und Anwenden (98) von Zugriffsregeln, um festzustellen, ob einzelne Knoten-zu-Knoten-Übertragungen eingeschränkte Übertragungen sind, was einschließt, dass die genannten Feststellungen auf einem Identifizieren von Quell- und Zielknoten und Anwendungsschichtinformationen für die genannten einzelnen Knoten-zu-Knoten-Übertragungen beruhen; gekennzeichnet durch ein Zusammenfügen (94) jeder der genannten Vielzahl von empfangenen Datenpaketen, die für eine der genannten Knoten-zu-Knoten-Übertragungen spezifisch ist, wobei eine zusammengefügte Mehrpaket-Kommunikation für jede der genannten Knoten-zu-Knoten-Übertragungen gebildet wird; und Identifizieren der genannten Quellknoten (40) und der genannten Zielknoten (38) und der genannten Anwendungsschichtinformationen (44) für die einzelnen genannten Knoten-zu-Knoten-Übertragungen auf der Grundlage der zusammengefügten Mehrpaket-Kommunikationen, wobei das genannte Überwachen (90) des Netzwerkverkehrs, Zusammenfügen und Anwenden der Zugriffsregeln durch einen dazu bestimmten Knoten (18) in dem genannten Netzwerk erfolgt, wobei der dazu bestimmte Knoten (18) alle genannten Datenpakete (36) erhält, ohne dass die Leistung des Verkehrsflusses des genannten Netzwerks beeinträchtigt wird, es sei denn, es wird eine eingeschränkte Übertragung erfasst, und die Zugriffsregeln auf die genannten zusammengefügten Mehrpaket-Kommunikationen angewendet (98) werden.
  2. Verfahren nach Anspruch 1, wobei die genannten Schritte des Empfangens (90) und Zusammenfügens (92 und 94) der genannten Datenpakete (36) bei einem Netzwerkelement (24) ausgeführt werden, das sich außerhalb der direkten Pfade von den genannten Quellknoten (40) zu den genannten Zielknoten (38) der genannten Knoten-zu-Knoten-Übertragungen befindet.
  3. Verfahren nach Anspruch 2, wobei die genannten Schritte des Empfangens (90) und Zusammenfügens (92 und 94) der genannten Datenpakete (36) bei einer Workstation (24) ausgeführt werden, die zur Bereitstellung einer Zugriffssteuerung für die genannten Ressourcen bestimmt ist.
  4. Verfahren nach Anspruch 1, welches ferner einen Schritt umfasst, bei dem auf der Grundlage des genannten Schritts des Anwendens (98) der genannten Zugriffsregeln bestimmt (100) wird, ob die einzelnen genannten Knoten-zu-Knoten-Übertragungen abgelehnt werden sollen.
  5. Verfahren nach Anspruch 1, welches ferner einen Schritt des Erzeugens der genannten Zugriffsregeln in Form einer Regelbasis (78) umfasst, welche einen ersten Regelsatz beinhaltet, der für einzelnen Knoten-zu-Knoten-Übertragungen spezifisch ist, die einen Quell- und einen Zielknoten aufweisen, von denen sich einer außerhalb des genannten Netzwerks befindet, und ferner einen zweiten Regelsatz beinhaltet, der für einzelne Knoten-zu-Knoten-Übertragungen spezifisch ist, bei denen sowohl der genannte Quell- als auch der genannte Zielknoten (18, 20 und 22) Netzwerkelemente des genannten Netzwerks sind, wobei der genannte Schritt des Anwendens (98) der genannten Zugriffsregeln beinhaltet, dass der genannte erste und der genannte zweite Satz auf benutzererzeugte Informationen angewendet werden, die aus den genannten zusammengefügten Mehrpaket-Kommunikationen ermittelt werden.
  6. Verfahren nach Anspruch 5, wobei der genannte Schritt des Erzeugens der genannten Zugriffsregeln beinhaltet, dass der genannte erste Regelsatz so ausgebildet wird, dass er für Kommunikationen über das globale Kommunikationsnetzwerk, das als Internet (14) bekannt ist, spezifisch ist, und beinhaltet, dass der genannte zweite Regelsatz so ausgebildet wird, dass er für Kommunikationen spezifisch ist, die sich auf derselben Seite einer Firewall (16) des genannten Netzwerks befinden.
  7. Verfahren nach Anspruch 6, wobei der genannte Schritt des Zusammenfügens (92 und 94) der genannten empfangenen Datenpakete für mindestens einen der Dienste, Transmission-Control-Protocol(TCP)-Dienste und User-Datagram-Protocol(UDP)-Dienste aktiviert ist.
  8. Verfahren nach Anspruch 5, wobei der genannte Schritt des Erzeugens der genannten Zugriffsregeln ferner beinhaltet, dass mindestens einige der genannten Zugriffsregeln auf Zeit basieren, so dass die genannten Feststellungen, ob die einzelnen Knoten-zu-Knoten-Übertragungen eingeschränkte Übertragungen sind, zeitabhängige Feststellungen sind.
  9. Verfahren nach Anspruch 1, wobei der genannte Schritt des Identifizierens der genannten Quell- und Zielknoten (40 und 38) und der genannten Anwendungsschichtinformationen (44) das Sammeln von ISO-Schicht-7-Daten zur Verwendung in dem genannten Schritt des Anwendens (98) der genannten Zugriffsregeln beinhaltet.
  10. Verfahren nach Anspruch 1, welches ferner einen Schritt des Ausführens des Erfassens eines Eindringens in das genannte Netzwerk in Bereich der ersten Linie an einem Eintrittspunkt des genannten Netzwerks umfasst, so dass Übertragungen von Knoten, die sich außerhalb des genannten Netzwerks befinden, Beschränkungsregeln bezüglich des Eindringens im Bereich der ersten Linie unterzogen werden, wobei das Erfassen eines Eindringens ins Netzwerk im Bereich der ersten Linie von dem genannten Schritt des An wendens (98) der genannten Zugriffsregeln unabhängig ist.
  11. System zum Bereitstellen einer Steuerung des Zugriffs auf Ressourcen eines Netzwerks, wobei das System Folgendes umfasst: eine Vielzahl von Knoten (18, 20, 22), einschließlich Rechnergeräte; Mittel, die geeignet sind, Datenpakete zu und von den genannten Knoten abzufangen; Mittel (76), die geeignet sind, die genannten Datenpakete von diskreten Übertragungen zu identifizieren; Mittel (80, 82), die geeignet sind, Quellen, Ziele und benutzererzeugte Anwendungsschichtinformationen festzustellen; einen Regelbasisspeicher (78) mit einer Vielzahl von Regeln, die sich auf die Steuerung des Zugriffs auf die genannten Ressourcen des Netzwerks beziehen; und Mittel (86), die geeignet sind, den genannten Zugriff so zu steuern, dass die genannten Regeln den genannten Quellen, Zielen und benutzererzeugten Anwendungsschichtinformationen aus den genannten Feststellungsmitteln (80, 82) zugeordnet werden; dadurch gekennzeichnet, dass die genannten Mittel zum Abfangen einem dazu bestimmten Knoten (18) des genannten Netzwerks zugewiesen sind, der geeignet ist, alle genannten Daten pakete abzufangen, ohne die Leistung des Paketflusses innerhalb des genannten Netzwerks zu beeinträchtigen, es sei denn, es wird eine eingeschränkte Übertragung erfasst, die genannten Identifikationsmittel (76) geeignet sind, die genannten Datenpakete zusammenzufügen, um zusammengefügte Mehrpaket-Kommunikationen zu bilden, die genannten Feststellungsmittel (80, 82) geeignet sind, die genannten Quellen, Ziele und benutzererzeugten Anwendungsschichtinformationen auf der Grundlage der genannten zusammengefügten Mehrpaket-Kommunikationen festzustellen und die genannten Steuerungsmittel (86) geeignet sind, Zugriffsregeln auf die genannten zusammengefügten Mehrpaket-Kommunikationen anzuwenden.
  12. System nach Anspruch 11, wobei die Mittel zum Abfangen (18) eine Workstation oder ein Server sind, die bzw. der für die Zugriffssteuerung innerhalb des genannten Netzwerks bestimmt ist, wobei die genannte Workstation oder der genannte Server sich auf derselben Seite einer Firewall (16) befinden wie die genannten Rechnergeräte (18, 20, 22) des genannten Netzwerks.
  13. System nach Anspruch 11, wobei der genannte Regelbasisspeicher (78) einen ersten Regelsatz beinhaltet, der für Übertragungen zu Zielen (14) außerhalb des genannten Netzwerks spezifisch ist, und einen zweiten Regelsatz beinhaltet, der für Übertragungen spezifisch ist, welche Quellen und Ziele aufweisen, die Knoten (18, 20, 22) des genannten Netzwerks sind.
DE69929268T 1998-09-09 1999-08-31 Verfahren und System zur Überwachung und Steuerung der Netzzugriffe Expired - Lifetime DE69929268T2 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US150264 1998-09-09
US09/150,264 US6219786B1 (en) 1998-09-09 1998-09-09 Method and system for monitoring and controlling network access

Publications (2)

Publication Number Publication Date
DE69929268D1 DE69929268D1 (de) 2006-03-30
DE69929268T2 true DE69929268T2 (de) 2006-08-03

Family

ID=22533758

Family Applications (1)

Application Number Title Priority Date Filing Date
DE69929268T Expired - Lifetime DE69929268T2 (de) 1998-09-09 1999-08-31 Verfahren und System zur Überwachung und Steuerung der Netzzugriffe

Country Status (4)

Country Link
US (1) US6219786B1 (de)
EP (1) EP0986229B1 (de)
AT (1) ATE315302T1 (de)
DE (1) DE69929268T2 (de)

Families Citing this family (273)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6424992B2 (en) * 1996-12-23 2002-07-23 International Business Machines Corporation Affinity-based router and routing method
CA2283964C (en) 1997-03-12 2008-05-06 Nomadix, Llc Nomadic translator or router
US6298356B1 (en) * 1998-01-16 2001-10-02 Aspect Communications Corp. Methods and apparatus for enabling dynamic resource collaboration
US6256620B1 (en) * 1998-01-16 2001-07-03 Aspect Communications Method and apparatus for monitoring information access
JP2000076193A (ja) * 1998-08-27 2000-03-14 Fujitsu Ltd 電子情報共有セキュリティシステム及び電子情報共有セキュリティプログラムを記録したコンピュータ読み取り可能記録媒体
US6836794B1 (en) * 1998-09-21 2004-12-28 Microsoft Corporation Method and system for assigning and publishing applications
US6397381B1 (en) * 1998-09-21 2002-05-28 Microsoft Corporation System and method for repairing a damaged application program
US6523166B1 (en) 1998-09-21 2003-02-18 Microsoft Corporation Method and system for on-demand installation of software implementations
CA2287689C (en) 1998-12-03 2003-09-30 P. Krishnan Adaptive re-ordering of data packet filter rules
US8713641B1 (en) 1998-12-08 2014-04-29 Nomadix, Inc. Systems and methods for authorizing, authenticating and accounting users having transparent computer access to a network using a gateway device
US7194554B1 (en) 1998-12-08 2007-03-20 Nomadix, Inc. Systems and methods for providing dynamic network authorization authentication and accounting
US8266266B2 (en) 1998-12-08 2012-09-11 Nomadix, Inc. Systems and methods for providing dynamic network authorization, authentication and accounting
AUPQ206399A0 (en) * 1999-08-06 1999-08-26 Imr Worldwide Pty Ltd. Network user measurement system and method
US8190708B1 (en) 1999-10-22 2012-05-29 Nomadix, Inc. Gateway device having an XML interface and associated method
EP1104133A1 (de) * 1999-11-29 2001-05-30 BRITISH TELECOMMUNICATIONS public limited company Netzzugangsanordnung
US6742039B1 (en) * 1999-12-20 2004-05-25 Intel Corporation System and method for connecting to a device on a protected network
US6769008B1 (en) 2000-01-10 2004-07-27 Sun Microsystems, Inc. Method and apparatus for dynamically altering configurations of clustered computer systems
US6757836B1 (en) 2000-01-10 2004-06-29 Sun Microsystems, Inc. Method and apparatus for resolving partial connectivity in a clustered computing system
US6658587B1 (en) * 2000-01-10 2003-12-02 Sun Microsystems, Inc. Emulation of persistent group reservations
US6789213B2 (en) 2000-01-10 2004-09-07 Sun Microsystems, Inc. Controlled take over of services by remaining nodes of clustered computing system
US6862613B1 (en) 2000-01-10 2005-03-01 Sun Microsystems, Inc. Method and apparatus for managing operations of clustered computer systems
US6460074B1 (en) * 2000-02-10 2002-10-01 Martin E. Fishkin Electronic mail system
CA2299824C (en) * 2000-03-01 2012-02-21 Spicer Corporation Network resource control system
US8843617B2 (en) * 2000-03-01 2014-09-23 Printeron Inc. Multi-stage polling mechanism and system for the transmission and processing control of network resource data
CA2301996A1 (en) * 2000-03-13 2001-09-13 Spicer Corporation Wireless attachment enabling
US6880005B1 (en) * 2000-03-31 2005-04-12 Intel Corporation Managing policy rules in a network
US7096495B1 (en) * 2000-03-31 2006-08-22 Intel Corporation Network session management
US6519703B1 (en) * 2000-04-14 2003-02-11 James B. Joyce Methods and apparatus for heuristic firewall
US7376965B2 (en) * 2000-05-15 2008-05-20 Hewlett-Packard Development Company, L.P. System and method for implementing a bubble policy to achieve host and network security
US7032023B1 (en) * 2000-05-16 2006-04-18 America Online, Inc. Throttling electronic communications from one or more senders
US7380272B2 (en) * 2000-05-17 2008-05-27 Deep Nines Incorporated System and method for detecting and eliminating IP spoofing in a data transmission network
US7058976B1 (en) 2000-05-17 2006-06-06 Deep Nines, Inc. Intelligent feedback loop process control system
US6930978B2 (en) * 2000-05-17 2005-08-16 Deep Nines, Inc. System and method for traffic management control in a data transmission network
US7136913B2 (en) * 2000-05-31 2006-11-14 Lab 7 Networks, Inc. Object oriented communication among platform independent systems across a firewall over the internet using HTTP-SOAP
CA2310538A1 (en) * 2000-06-09 2001-12-09 Christopher Kirchmann Data line interrupter switch
US7725558B2 (en) * 2000-07-26 2010-05-25 David Dickenson Distributive access controller
AU2001281150A1 (en) * 2000-08-07 2002-02-18 Xacct Technologies Limited System, method and computer program product for processing network accounting information
US7725587B1 (en) * 2000-08-24 2010-05-25 Aol Llc Deep packet scan hacker identification
US7711790B1 (en) * 2000-08-24 2010-05-04 Foundry Networks, Inc. Securing an accessible computer system
US6910134B1 (en) * 2000-08-29 2005-06-21 Netrake Corporation Method and device for innoculating email infected with a virus
US7203741B2 (en) * 2000-10-12 2007-04-10 Peerapp Ltd. Method and system for accelerating receipt of data in a client-to-client network
US7970886B1 (en) * 2000-11-02 2011-06-28 Arbor Networks, Inc. Detecting and preventing undesirable network traffic from being sourced out of a network domain
ITMI20002390A1 (it) 2000-11-06 2002-05-06 Safety World Wide Web Associaz Procedimento di controllo di accesso ad una rete telematica con identificazione dell'utente
US20020065874A1 (en) * 2000-11-29 2002-05-30 Andrew Chien Method and process for virtualizing network interfaces
US7152103B1 (en) * 2001-01-10 2006-12-19 Nortel Networks Limited Lawful communication interception—intercepting communication associated information
US7631349B2 (en) * 2001-01-11 2009-12-08 Digi International Inc. Method and apparatus for firewall traversal
US20020095599A1 (en) * 2001-01-12 2002-07-18 Hyungkeun Hong VoIP call control proxy
US20020133586A1 (en) * 2001-01-16 2002-09-19 Carter Shanklin Method and device for monitoring data traffic and preventing unauthorized access to a network
US20020107953A1 (en) * 2001-01-16 2002-08-08 Mark Ontiveros Method and device for monitoring data traffic and preventing unauthorized access to a network
US7290145B2 (en) 2001-01-26 2007-10-30 Bridicum A/S System for providing services and virtual programming interface
US20020103898A1 (en) * 2001-01-31 2002-08-01 Moyer Stanley L. System and method for using session initiation protocol (SIP) to communicate with networked appliances
US20020107910A1 (en) * 2001-02-02 2002-08-08 Yan Zhao Client/server two-way communication system framework under HTTP protocol
US8510476B2 (en) * 2001-02-15 2013-08-13 Brooks Automation, Inc. Secure remote diagnostic customer support network
US20020133606A1 (en) * 2001-03-13 2002-09-19 Fujitsu Limited Filtering apparatus, filtering method and computer product
US7093280B2 (en) * 2001-03-30 2006-08-15 Juniper Networks, Inc. Internet security system
US20060253784A1 (en) * 2001-05-03 2006-11-09 Bower James M Multi-tiered safety control system and methods for online communities
US6816455B2 (en) * 2001-05-09 2004-11-09 Telecom Italia S.P.A. Dynamic packet filter utilizing session tracking
US20020198994A1 (en) 2001-05-15 2002-12-26 Charles Patton Method and system for enabling and controlling communication topology, access to resources, and document flow in a distributed networking environment
US20030182420A1 (en) * 2001-05-21 2003-09-25 Kent Jones Method, system and apparatus for monitoring and controlling internet site content access
US7076801B2 (en) * 2001-06-11 2006-07-11 Research Triangle Institute Intrusion tolerant server system
US6513122B1 (en) 2001-06-29 2003-01-28 Networks Associates Technology, Inc. Secure gateway for analyzing textual content to identify a harmful impact on computer systems with known vulnerabilities
US6931441B1 (en) * 2001-06-29 2005-08-16 Cisco Technology, Inc. Method and apparatus for managing a network using link state information
US6873988B2 (en) * 2001-07-06 2005-03-29 Check Point Software Technologies, Inc. System and methods providing anti-virus cooperative enforcement
GB0117721D0 (en) * 2001-07-20 2001-09-12 Surfcontrol Plc Database and method of generating same
US7209962B2 (en) * 2001-07-30 2007-04-24 International Business Machines Corporation System and method for IP packet filtering based on non-IP packet traffic attributes
US7245632B2 (en) * 2001-08-10 2007-07-17 Sun Microsystems, Inc. External storage for modular computer systems
US20030084123A1 (en) * 2001-08-24 2003-05-01 Kamel Ibrahim M. Scheme for implementing FTP protocol in a residential networking architecture
US7228337B1 (en) 2001-09-11 2007-06-05 Cisco Technology, Inc. Methods and apparatus for providing a network service to a virtual machine
US7716330B2 (en) 2001-10-19 2010-05-11 Global Velocity, Inc. System and method for controlling transmission of data packets over an information network
US7054944B2 (en) * 2001-12-19 2006-05-30 Intel Corporation Access control management system utilizing network and application layer access control lists
US7650420B2 (en) * 2001-12-28 2010-01-19 The Directv Group, Inc. System and method for content filtering
US20030140149A1 (en) * 2002-01-14 2003-07-24 Richard Marejka Communication protocol for use in controlling communications in a monitoring service system
US20030135575A1 (en) * 2002-01-14 2003-07-17 Richard Marejka Self-monitoring and trending service system with cascaded pipeline linking numerous client systems
US8209756B1 (en) 2002-02-08 2012-06-26 Juniper Networks, Inc. Compound attack detection in a computer network
US7565687B2 (en) * 2002-02-08 2009-07-21 International Business Machines Corporation Transmission control system, server, terminal station, transmission control method, program and storage medium
US20030163731A1 (en) * 2002-02-28 2003-08-28 David Wigley Method, system and software product for restricting access to network accessible digital information
US7737134B2 (en) * 2002-03-13 2010-06-15 The Texas A & M University System Anticancer agents and use
AU2003237096A1 (en) * 2002-04-22 2003-11-03 Mfc Networks, Inc. Process for monitoring, filtering and caching internet connections
US20030208616A1 (en) * 2002-05-01 2003-11-06 Blade Software, Inc. System and method for testing computer network access and traffic control systems
GB2401280B (en) 2003-04-29 2006-02-08 Hewlett Packard Development Co Propagation of viruses through an information technology network
GB2391419A (en) * 2002-06-07 2004-02-04 Hewlett Packard Co Restricting the propagation of a virus within a network
GB2394382A (en) 2002-10-19 2004-04-21 Hewlett Packard Co Monitoring the propagation of viruses through an Information Technology network
TWI244297B (en) * 2002-06-12 2005-11-21 Thomson Licensing Sa Apparatus and method adapted to communicate via a network
US7441262B2 (en) * 2002-07-11 2008-10-21 Seaway Networks Inc. Integrated VPN/firewall system
FR2843508A1 (fr) * 2002-08-06 2004-02-13 Execport Ltd Procede et architecture de communication entre un equipement client et un module intermediaire situes tous les deux sur un reseau local
US7711844B2 (en) * 2002-08-15 2010-05-04 Washington University Of St. Louis TCP-splitter: reliable packet monitoring methods and apparatus for high speed networks
US7383579B1 (en) * 2002-08-21 2008-06-03 At&T Delaware Intellectual Property, Inc. Systems and methods for determining anti-virus protection status
US7591001B2 (en) * 2004-05-14 2009-09-15 Liquidware Labs, Inc. System, apparatuses, methods and computer-readable media for determining the security status of a computer before establishing a network connection
US7549159B2 (en) * 2004-05-10 2009-06-16 Liquidware Labs, Inc. System, apparatuses, methods and computer-readable media for determining the security status of a computer before establishing connection thereto
US7660980B2 (en) * 2002-11-18 2010-02-09 Liquidware Labs, Inc. Establishing secure TCP/IP communications using embedded IDs
US7386889B2 (en) * 2002-11-18 2008-06-10 Trusted Network Technologies, Inc. System and method for intrusion prevention in a communications network
US20040162992A1 (en) * 2003-02-19 2004-08-19 Sami Vikash Krishna Internet privacy protection device
US7278162B2 (en) * 2003-04-01 2007-10-02 International Business Machines Corporation Use of a programmable network processor to observe a flow of packets
US7305708B2 (en) * 2003-04-14 2007-12-04 Sourcefire, Inc. Methods and systems for intrusion detection
GB2401281B (en) 2003-04-29 2006-02-08 Hewlett Packard Development Co Propagation of viruses through an information technology network
US7796515B2 (en) 2003-04-29 2010-09-14 Hewlett-Packard Development Company, L.P. Propagation of viruses through an information technology network
US7801980B1 (en) 2003-05-12 2010-09-21 Sourcefire, Inc. Systems and methods for determining characteristics of a network
US7900240B2 (en) * 2003-05-28 2011-03-01 Citrix Systems, Inc. Multilayer access control security system
US20060206615A1 (en) * 2003-05-30 2006-09-14 Yuliang Zheng Systems and methods for dynamic and risk-aware network security
US7509673B2 (en) * 2003-06-06 2009-03-24 Microsoft Corporation Multi-layered firewall architecture
US9100431B2 (en) 2003-07-01 2015-08-04 Securityprofiling, Llc Computer program product and apparatus for multi-path remediation
US9118710B2 (en) 2003-07-01 2015-08-25 Securityprofiling, Llc System, method, and computer program product for reporting an occurrence in different manners
US9118711B2 (en) 2003-07-01 2015-08-25 Securityprofiling, Llc Anti-vulnerability system, method, and computer program product
US9118708B2 (en) 2003-07-01 2015-08-25 Securityprofiling, Llc Multi-path remediation
US20070113272A2 (en) 2003-07-01 2007-05-17 Securityprofiling, Inc. Real-time vulnerability monitoring
US20070118756A2 (en) * 2003-07-01 2007-05-24 Securityprofiling, Inc. Policy-protection proxy
US9118709B2 (en) 2003-07-01 2015-08-25 Securityprofiling, Llc Anti-vulnerability system, method, and computer program product
US8984644B2 (en) 2003-07-01 2015-03-17 Securityprofiling, Llc Anti-vulnerability system, method, and computer program product
US9350752B2 (en) 2003-07-01 2016-05-24 Securityprofiling, Llc Anti-vulnerability system, method, and computer program product
US7523484B2 (en) 2003-09-24 2009-04-21 Infoexpress, Inc. Systems and methods of controlling network access
US7466447B2 (en) * 2003-10-14 2008-12-16 Microsoft Corporation Color management system that enables dynamic balancing of performance with flexibility
AU2003294095B2 (en) * 2003-11-27 2010-10-07 Advestigo System for intercepting multimedia documents
US7730137B1 (en) 2003-12-22 2010-06-01 Aol Inc. Restricting the volume of outbound electronic messages originated by a single entity
US20050144297A1 (en) * 2003-12-30 2005-06-30 Kidsnet, Inc. Method and apparatus for providing content access controls to access the internet
US7602785B2 (en) 2004-02-09 2009-10-13 Washington University Method and system for performing longest prefix matching for network address lookup using bloom filters
HU226781B1 (en) * 2004-03-01 2009-10-28 Miklos Jobbagy Device set for secure direct information transmission over internet
US9210036B2 (en) * 2004-05-25 2015-12-08 University Of Florida Metric driven holistic network management system
US9143393B1 (en) 2004-05-25 2015-09-22 Red Lambda, Inc. System, method and apparatus for classifying digital data
US7765593B1 (en) * 2004-06-24 2010-07-27 Mcafee, Inc. Rule set-based system and method for advanced virus protection
US7539681B2 (en) 2004-07-26 2009-05-26 Sourcefire, Inc. Methods and systems for multi-pattern searching
US7496962B2 (en) * 2004-07-29 2009-02-24 Sourcefire, Inc. Intrusion detection strategies for hypertext transport protocol
DE102004037087A1 (de) * 2004-07-30 2006-03-23 Advanced Micro Devices, Inc., Sunnyvale Selbstvorspannende Transistorstruktur und SRAM-Zellen mit weniger als sechs Transistoren
GB2416879B (en) * 2004-08-07 2007-04-04 Surfcontrol Plc Device resource access filtering system and method
CA2577891A1 (en) * 2004-08-24 2006-03-02 Washington University Methods and systems for content detection in a reconfigurable hardware
US20060045124A1 (en) * 2004-08-31 2006-03-02 Kidsnet, Inc. Method and apparatus for providing access controls to communication services
GB2418999A (en) * 2004-09-09 2006-04-12 Surfcontrol Plc Categorizing uniform resource locators
GB2418037B (en) 2004-09-09 2007-02-28 Surfcontrol Plc System, method and apparatus for use in monitoring or controlling internet access
GB2418108B (en) * 2004-09-09 2007-06-27 Surfcontrol Plc System, method and apparatus for use in monitoring or controlling internet access
US20060075481A1 (en) * 2004-09-28 2006-04-06 Ross Alan D System, method and device for intrusion prevention
US8458467B2 (en) 2005-06-21 2013-06-04 Cisco Technology, Inc. Method and apparatus for adaptive application message payload content transformation in a network infrastructure element
US7664879B2 (en) 2004-11-23 2010-02-16 Cisco Technology, Inc. Caching content and state data at a network element
US7987272B2 (en) 2004-12-06 2011-07-26 Cisco Technology, Inc. Performing message payload processing functions in a network element on behalf of an application
US7496750B2 (en) 2004-12-07 2009-02-24 Cisco Technology, Inc. Performing security functions on a message payload in a network element
US8082304B2 (en) 2004-12-10 2011-12-20 Cisco Technology, Inc. Guaranteed delivery of application layer messages by a network element
US20060167871A1 (en) * 2004-12-17 2006-07-27 James Lee Sorenson Method and system for blocking specific network resources
CN100450274C (zh) * 2004-12-21 2009-01-07 华为技术有限公司 一种无线网络控制用户接入的方法
US8935316B2 (en) 2005-01-14 2015-01-13 Citrix Systems, Inc. Methods and systems for in-session playback on a local machine of remotely-stored and real time presentation layer protocol data
US7917955B1 (en) * 2005-01-14 2011-03-29 Mcafee, Inc. System, method and computer program product for context-driven behavioral heuristics
US8340130B2 (en) * 2005-01-14 2012-12-25 Citrix Systems, Inc. Methods and systems for generating playback instructions for rendering of a recorded computer session
US7831728B2 (en) * 2005-01-14 2010-11-09 Citrix Systems, Inc. Methods and systems for real-time seeking during real-time playback of a presentation layer protocol data stream
US20060159432A1 (en) 2005-01-14 2006-07-20 Citrix Systems, Inc. System and methods for automatic time-warped playback in rendering a recorded computer session
US8145777B2 (en) 2005-01-14 2012-03-27 Citrix Systems, Inc. Method and system for real-time seeking during playback of remote presentation protocols
US8200828B2 (en) 2005-01-14 2012-06-12 Citrix Systems, Inc. Systems and methods for single stack shadowing
US8296441B2 (en) 2005-01-14 2012-10-23 Citrix Systems, Inc. Methods and systems for joining a real-time session of presentation layer protocol data
US20060195527A1 (en) * 2005-02-25 2006-08-31 Searete Llc, A Limited Liability Corporation Of The State Of Delaware Limited-operation electronic mail accounts with set functions
US8738707B2 (en) * 2005-01-21 2014-05-27 The Invention Science Fund I, Llc Limited-life electronic mail accounts
US20060168051A1 (en) * 2005-01-21 2006-07-27 Searete Llc, A Limited Liability Corporation Of The State Delaware Limited-use instant messaging accounts
US8831991B2 (en) * 2005-01-21 2014-09-09 The Invention Science Fund I, Llc Limited-life electronic mail account as intermediary
US7937755B1 (en) * 2005-01-27 2011-05-03 Juniper Networks, Inc. Identification of network policy violations
US7769851B1 (en) 2005-01-27 2010-08-03 Juniper Networks, Inc. Application-layer monitoring and profiling network traffic
US7810151B1 (en) * 2005-01-27 2010-10-05 Juniper Networks, Inc. Automated change detection within a network environment
US7809826B1 (en) 2005-01-27 2010-10-05 Juniper Networks, Inc. Remote aggregation of network traffic profiling data
US7797411B1 (en) 2005-02-02 2010-09-14 Juniper Networks, Inc. Detection and prevention of encapsulated network attacks using an intermediate device
US7752659B2 (en) * 2005-02-14 2010-07-06 Lenovo (Singapore) Pte. Ltd. Packet filtering in a NIC to control antidote loading
US8438499B2 (en) 2005-05-03 2013-05-07 Mcafee, Inc. Indicating website reputations during user interactions
US7562304B2 (en) * 2005-05-03 2009-07-14 Mcafee, Inc. Indicating website reputations during website manipulation of user information
US7822620B2 (en) * 2005-05-03 2010-10-26 Mcafee, Inc. Determining website reputations using automatic testing
US20060253582A1 (en) * 2005-05-03 2006-11-09 Dixon Christopher J Indicating website reputations within search results
US20060253584A1 (en) * 2005-05-03 2006-11-09 Dixon Christopher J Reputation of an entity associated with a content item
US9384345B2 (en) * 2005-05-03 2016-07-05 Mcafee, Inc. Providing alternative web content based on website reputation assessment
US8566726B2 (en) 2005-05-03 2013-10-22 Mcafee, Inc. Indicating website reputations based on website handling of personal information
US7765481B2 (en) * 2005-05-03 2010-07-27 Mcafee, Inc. Indicating website reputations during an electronic commerce transaction
US20070097976A1 (en) * 2005-05-20 2007-05-03 Wood George D Suspect traffic redirection
US8266327B2 (en) 2005-06-21 2012-09-11 Cisco Technology, Inc. Identity brokering in a network element
JP2007013262A (ja) * 2005-06-28 2007-01-18 Fujitsu Ltd ワーム判定プログラム、ワーム判定方法およびワーム判定装置
GB0513375D0 (en) 2005-06-30 2005-08-03 Retento Ltd Computer security
FR2889394A1 (fr) * 2005-07-26 2007-02-02 France Telecom Dispositif d'interception et d'analyse de trafic pour terminal
US8191008B2 (en) 2005-10-03 2012-05-29 Citrix Systems, Inc. Simulating multi-monitor functionality in a single monitor environment
CA2623120C (en) 2005-10-05 2015-03-24 Byres Security Inc. Network security appliance
US7623857B1 (en) * 2005-10-21 2009-11-24 At&T Intellectual Property I, L.P. Intelligent pico-cell for transport of wireless device communications over wireline networks
US8046833B2 (en) * 2005-11-14 2011-10-25 Sourcefire, Inc. Intrusion event correlation with network discovery information
US7733803B2 (en) * 2005-11-14 2010-06-08 Sourcefire, Inc. Systems and methods for modifying network map attributes
DE102006004409A1 (de) * 2006-01-31 2007-08-09 Advanced Micro Devices, Inc., Sunnyvale SRAM-Zelle mit selbststabilisierenden Transistorstrukturen
US20070198420A1 (en) * 2006-02-03 2007-08-23 Leonid Goldstein Method and a system for outbound content security in computer networks
FR2897175A1 (fr) * 2006-02-09 2007-08-10 Atmel Corp Appareil et procede pour la detection, et la recuperation depuis, un acces inapproprie au bus dans le domaine technique des circuits microcontroleurs
US8077708B2 (en) * 2006-02-16 2011-12-13 Techguard Security, Llc Systems and methods for determining a flow of data
US8826411B2 (en) * 2006-03-15 2014-09-02 Blue Coat Systems, Inc. Client-side extensions for use in connection with HTTP proxy policy enforcement
US8701196B2 (en) 2006-03-31 2014-04-15 Mcafee, Inc. System, method and computer program product for obtaining a reputation associated with a file
US7724678B1 (en) * 2006-06-14 2010-05-25 Oracle America, Inc. Method and apparatus for testing a communication link
US8326296B1 (en) 2006-07-12 2012-12-04 At&T Intellectual Property I, L.P. Pico-cell extension for cellular network
US7948988B2 (en) * 2006-07-27 2011-05-24 Sourcefire, Inc. Device, system and method for analysis of fragments in a fragment train
US7701945B2 (en) 2006-08-10 2010-04-20 Sourcefire, Inc. Device, system and method for analysis of segments in a transmission control protocol (TCP) session
US7991899B2 (en) * 2006-09-12 2011-08-02 Morgan Stanley Systems and methods for establishing rules for communication with a host
WO2008045302A2 (en) * 2006-10-06 2008-04-17 Sourcefire, Inc. Device, system and method for use of micro-policies in intrusion detection/prevention
WO2008098260A1 (en) * 2007-02-09 2008-08-14 Smobile Systems, Inc. Off-line mms malware scanning system and method
US8069352B2 (en) 2007-02-28 2011-11-29 Sourcefire, Inc. Device, system and method for timestamp analysis of segments in a transmission control protocol (TCP) session
US8209417B2 (en) * 2007-03-08 2012-06-26 Oracle International Corporation Dynamic resource profiles for clusterware-managed resources
EP2156290B1 (de) * 2007-04-30 2020-03-25 Cisco Technology, Inc. Echtzeit-bewusstsein für ein computernetzwerk
US8908700B2 (en) 2007-09-07 2014-12-09 Citrix Systems, Inc. Systems and methods for bridging a WAN accelerator with a security gateway
US8236476B2 (en) 2008-01-08 2012-08-07 International Business Machines Corporation Multiple exposure photolithography methods and photoresist compositions
DE102008007029B4 (de) * 2008-01-31 2014-07-03 Globalfoundries Dresden Module One Limited Liability Company & Co. Kg Betrieb einer elektronischen Schaltung mit körpergesteuertem Doppelkanaltransistor und SRAM-Zelle mit körpergesteuertem Doppelkanaltransistor
US8474043B2 (en) * 2008-04-17 2013-06-25 Sourcefire, Inc. Speed and memory optimization of intrusion detection system (IDS) and intrusion prevention system (IPS) rule processing
US8126496B2 (en) * 2008-05-07 2012-02-28 At&T Mobility Ii Llc Signaling-triggered power adjustment in a femto cell
US8626223B2 (en) * 2008-05-07 2014-01-07 At&T Mobility Ii Llc Femto cell signaling gating
US8719420B2 (en) 2008-05-13 2014-05-06 At&T Mobility Ii Llc Administration of access lists for femtocell service
US8490156B2 (en) * 2008-05-13 2013-07-16 At&T Mobility Ii Llc Interface for access management of FEMTO cell coverage
US8589541B2 (en) 2009-01-28 2013-11-19 Headwater Partners I Llc Device-assisted services for protecting network capacity
US8832777B2 (en) 2009-03-02 2014-09-09 Headwater Partners I Llc Adapting network policies based on device service processor configuration
US8548428B2 (en) 2009-01-28 2013-10-01 Headwater Partners I Llc Device group partitions and settlement platform
US8340634B2 (en) 2009-01-28 2012-12-25 Headwater Partners I, Llc Enhanced roaming services and converged carrier networks with device assisted services and a proxy
US8406748B2 (en) 2009-01-28 2013-03-26 Headwater Partners I Llc Adaptive ambient services
US8275830B2 (en) 2009-01-28 2012-09-25 Headwater Partners I Llc Device assisted CDR creation, aggregation, mediation and billing
US8626115B2 (en) 2009-01-28 2014-01-07 Headwater Partners I Llc Wireless network service interfaces
US8583781B2 (en) 2009-01-28 2013-11-12 Headwater Partners I Llc Simplified service network architecture
US8402111B2 (en) 2009-01-28 2013-03-19 Headwater Partners I, Llc Device assisted services install
US8346225B2 (en) 2009-01-28 2013-01-01 Headwater Partners I, Llc Quality of service for device assisted services
US8504032B2 (en) 2008-06-12 2013-08-06 At&T Intellectual Property I, L.P. Femtocell service registration, activation, and provisioning
US8856926B2 (en) * 2008-06-27 2014-10-07 Juniper Networks, Inc. Dynamic policy provisioning within network security devices
US8478852B1 (en) 2008-08-20 2013-07-02 At&T Mobility Ii Llc Policy realization framework of a communications network
US9712331B1 (en) 2008-08-20 2017-07-18 At&T Mobility Ii Llc Systems and methods for performing conflict resolution and rule determination in a policy realization framework
US8272055B2 (en) * 2008-10-08 2012-09-18 Sourcefire, Inc. Target-based SMB and DCE/RPC processing for an intrusion detection system or intrusion prevention system
US10248996B2 (en) 2009-01-28 2019-04-02 Headwater Research Llc Method for operating a wireless end-user device mobile payment agent
US10057775B2 (en) 2009-01-28 2018-08-21 Headwater Research Llc Virtualized policy and charging system
US10841839B2 (en) 2009-01-28 2020-11-17 Headwater Research Llc Security, fraud detection, and fraud mitigation in device-assisted services systems
US9955332B2 (en) 2009-01-28 2018-04-24 Headwater Research Llc Method for child wireless device activation to subscriber account of a master wireless device
US10798252B2 (en) 2009-01-28 2020-10-06 Headwater Research Llc System and method for providing user notifications
US11218854B2 (en) 2009-01-28 2022-01-04 Headwater Research Llc Service plan design, user interfaces, application programming interfaces, and device management
US9609510B2 (en) 2009-01-28 2017-03-28 Headwater Research Llc Automated credential porting for mobile devices
US9270559B2 (en) 2009-01-28 2016-02-23 Headwater Partners I Llc Service policy implementation for an end-user device having a control application or a proxy agent for routing an application traffic flow
US10783581B2 (en) 2009-01-28 2020-09-22 Headwater Research Llc Wireless end-user device providing ambient or sponsored services
US10064055B2 (en) 2009-01-28 2018-08-28 Headwater Research Llc Security, fraud detection, and fraud mitigation in device-assisted services systems
US10237757B2 (en) 2009-01-28 2019-03-19 Headwater Research Llc System and method for wireless network offloading
US10484858B2 (en) 2009-01-28 2019-11-19 Headwater Research Llc Enhanced roaming services and converged carrier networks with device assisted services and a proxy
US9572019B2 (en) 2009-01-28 2017-02-14 Headwater Partners LLC Service selection set published to device agent with on-device service selection
US9392462B2 (en) 2009-01-28 2016-07-12 Headwater Partners I Llc Mobile end-user device with agent limiting wireless data communication for specified background applications based on a stored policy
US10200541B2 (en) 2009-01-28 2019-02-05 Headwater Research Llc Wireless end-user device with divided user space/kernel space traffic policy system
US10264138B2 (en) 2009-01-28 2019-04-16 Headwater Research Llc Mobile device and service management
US9706061B2 (en) 2009-01-28 2017-07-11 Headwater Partners I Llc Service design center for device assisted services
US10492102B2 (en) 2009-01-28 2019-11-26 Headwater Research Llc Intermediate networking devices
US10715342B2 (en) 2009-01-28 2020-07-14 Headwater Research Llc Managing service user discovery and service launch object placement on a device
US10779177B2 (en) 2009-01-28 2020-09-15 Headwater Research Llc Device group partitions and settlement platform
US9565707B2 (en) 2009-01-28 2017-02-07 Headwater Partners I Llc Wireless end-user device with wireless data attribution to multiple personas
US9954975B2 (en) 2009-01-28 2018-04-24 Headwater Research Llc Enhanced curfew and protection associated with a device group
US10326800B2 (en) 2009-01-28 2019-06-18 Headwater Research Llc Wireless network service interfaces
US9980146B2 (en) 2009-01-28 2018-05-22 Headwater Research Llc Communications device with secure data path processing agents
CN102598007B (zh) 2009-05-26 2017-03-01 韦伯森斯公司 有效检测采指纹数据和信息的系统和方法
TWI481251B (zh) * 2009-06-01 2015-04-11 Infoaction Technology Inc 一種支持非特定網路通訊協議之網路通訊之方法
US8510801B2 (en) 2009-10-15 2013-08-13 At&T Intellectual Property I, L.P. Management of access to service in an access point
US8555368B2 (en) * 2009-12-09 2013-10-08 Intel Corporation Firewall filtering using network controller circuitry
US8677486B2 (en) 2010-04-16 2014-03-18 Sourcefire, Inc. System and method for near-real time network attack detection, and system and method for unified detection via detection routing
US8504809B2 (en) 2010-05-27 2013-08-06 At&T Mobility Ii Llc Automated communication configuration
US8433790B2 (en) 2010-06-11 2013-04-30 Sourcefire, Inc. System and method for assigning network blocks to sensors
US8671182B2 (en) 2010-06-22 2014-03-11 Sourcefire, Inc. System and method for resolving operating system or service identity conflicts
US8570566B2 (en) 2010-09-17 2013-10-29 Printeron Inc. System and method that provides user interface on mobile network terminal for releasing print jobs based on location information
US8970873B2 (en) 2010-09-17 2015-03-03 Printeron Inc. System and method for managing printer resources on an internal network
WO2012071646A1 (en) 2010-11-30 2012-06-07 Printeron Inc. System for internet enabled printing
US9246764B2 (en) * 2010-12-14 2016-01-26 Verizon Patent And Licensing Inc. Network service admission control using dynamic network topology and capacity updates
CN103548307B (zh) 2010-12-30 2018-05-29 皮尔爱普有限公司 通过计算机网络传输数据的方法和系统
WO2012092602A2 (en) 2010-12-30 2012-07-05 Peerapp Ltd. Methods and systems for caching data communications over computer networks
US20120260304A1 (en) * 2011-02-15 2012-10-11 Webroot Inc. Methods and apparatus for agent-based malware management
US8601034B2 (en) 2011-03-11 2013-12-03 Sourcefire, Inc. System and method for real time data awareness
US8826275B2 (en) * 2011-09-01 2014-09-02 Ca, Inc. System and method for self-aware virtual machine image deployment enforcement
US8615159B2 (en) 2011-09-20 2013-12-24 Citrix Systems, Inc. Methods and systems for cataloging text in a recorded session
US9100324B2 (en) 2011-10-18 2015-08-04 Secure Crossing Research & Development, Inc. Network protocol analyzer apparatus and method
US9094309B2 (en) 2012-03-13 2015-07-28 International Business Machines Corporation Detecting transparent network communication interception appliances
US9247273B2 (en) 2013-06-25 2016-01-26 The Nielsen Company (Us), Llc Methods and apparatus to characterize households with media meter data
CN103517090B (zh) * 2013-07-11 2016-11-23 国家广播电影电视总局广播科学研究院 网络流量的测算方法
WO2015023253A1 (en) * 2013-08-12 2015-02-19 Intel Corporation Managing communications in multiple radio access networks
US9356882B2 (en) 2014-02-04 2016-05-31 Printeron Inc. Streamlined system for the transmission of network resource data
US9277265B2 (en) 2014-02-11 2016-03-01 The Nielsen Company (Us), Llc Methods and apparatus to calculate video-on-demand and dynamically inserted advertisement viewing probability
US9215214B2 (en) 2014-02-20 2015-12-15 Nicira, Inc. Provisioning firewall rules on a firewall enforcing device
US10803027B1 (en) * 2014-05-07 2020-10-13 Cisco Technology, Inc. Method and system for managing file system access and interaction
US10219039B2 (en) 2015-03-09 2019-02-26 The Nielsen Company (Us), Llc Methods and apparatus to assign viewers to media meter data
US9806948B2 (en) 2015-06-30 2017-10-31 Nicira, Inc. Providing firewall rules for workload spread across multiple data centers
US10348685B2 (en) 2016-04-29 2019-07-09 Nicira, Inc. Priority allocation for distributed service rules
US10135727B2 (en) 2016-04-29 2018-11-20 Nicira, Inc. Address grouping for distributed service rules
US11425095B2 (en) 2016-05-01 2022-08-23 Nicira, Inc. Fast ordering of firewall sections and rules
US11171920B2 (en) 2016-05-01 2021-11-09 Nicira, Inc. Publication of firewall configuration
US11082400B2 (en) 2016-06-29 2021-08-03 Nicira, Inc. Firewall configuration versioning
US11258761B2 (en) 2016-06-29 2022-02-22 Nicira, Inc. Self-service firewall configuration
US10791355B2 (en) 2016-12-20 2020-09-29 The Nielsen Company (Us), Llc Methods and apparatus to determine probabilistic media viewing metrics
US10838739B2 (en) 2018-04-19 2020-11-17 Circle Media Labs Inc. Network-connected computing devices and methods for executing operating programs in RAM memory
US11310202B2 (en) 2019-03-13 2022-04-19 Vmware, Inc. Sharing of firewall rules among multiple workloads in a hypervisor

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5124984A (en) * 1990-08-07 1992-06-23 Concord Communications, Inc. Access controller for local area network
US5606668A (en) * 1993-12-15 1997-02-25 Checkpoint Software Technologies Ltd. System for securing inbound and outbound data packet flow in a computer network
US5720033A (en) 1994-06-30 1998-02-17 Lucent Technologies Inc. Security platform and method using object oriented rules for computer-based systems using UNIX-line operating systems
CA2176775C (en) * 1995-06-06 1999-08-03 Brenda Sue Baker System and method for database access administration
US5742759A (en) 1995-08-18 1998-04-21 Sun Microsystems, Inc. Method and system for facilitating access control to system resources in a distributed computer system
US5826014A (en) * 1996-02-06 1998-10-20 Network Engineering Software Firewall system for protecting network elements connected to a public network
US5884033A (en) 1996-05-15 1999-03-16 Spyglass, Inc. Internet filtering system for filtering data transferred over the internet utilizing immediate and deferred filtering actions
US5727146A (en) 1996-06-04 1998-03-10 Hewlett-Packard Company Source address security for both training and non-training packets
US5835722A (en) 1996-06-27 1998-11-10 Logon Data Corporation System to control content and prohibit certain interactive attempts by a person using a personal computer
US5889958A (en) * 1996-12-20 1999-03-30 Livingston Enterprises, Inc. Network access control system and process

Also Published As

Publication number Publication date
US6219786B1 (en) 2001-04-17
ATE315302T1 (de) 2006-02-15
EP0986229A2 (de) 2000-03-15
DE69929268D1 (de) 2006-03-30
EP0986229B1 (de) 2006-01-04
EP0986229A3 (de) 2002-10-23

Similar Documents

Publication Publication Date Title
DE69929268T2 (de) Verfahren und System zur Überwachung und Steuerung der Netzzugriffe
DE60111089T2 (de) Verfahren und Vorrichtung zum Analysieren von einer oder mehrerer Firewalls
DE60033615T2 (de) Verfahren und System, um das Verteilen von IP-Datagrammen auf mehrere Server gemäß einer definierten Strategie zu erzwingen
DE60216218T2 (de) Persönlicher Firewall mit Platzabhängiger Funktionalität
DE60125954T2 (de) Adressierung und routen von datenpaketen in einem computer-netzwerk mit hilfe von inhaltsbeschreibenden labeln
DE69836271T2 (de) Mehrstufiges firewall-system
DE60203433T2 (de) Externer Zugriff auf eine gesicherte Vorrichtung in einem privaten Netzwerk
DE69934871T2 (de) Verfahren und System zur optimalen Auswahl eines Webfirewalls in einem TCP/IP Netzwerk
DE60210408T2 (de) Ueberwachung des Datenflusses zur Verbesserung des Netzwerksicherheitsschutzes
DE602004011689T2 (de) Verfahren und System zur Handhabung der Übermittlung von Inhalten in Kommunikationsnetzen
DE60213391T2 (de) Persönlicher Firewall mit Positionsdetektion
DE60029879T2 (de) System zur mehrschichtigen Bereitstellung in Computernetzwerken
DE69913176T2 (de) Verfahren und system zum eingeben von äusserem inhalt in interaktiven netzsitzungen
DE10393628B4 (de) System und Verfahren zum Integrieren mobiler Vernetzung mit sicherheitsbasierten virtuellen privaten Netzwerksystemen (VPNS)
DE10297269B4 (de) Kennzeichnung von Paketen mit einem Nachschlageschlüssel zur leichteren Verwendung eines gemeinsamen Paketweiterleitungs-Cache
DE19740547B4 (de) Vorrichtung und Verfahren zum Sicherstellen sicherer Kommunikation zwischen einer anfordernden Entität und einer bedienenden Entität
US7917647B2 (en) Method and apparatus for rate limiting
DE69909839T3 (de) Optimierte Lokalisierung von Netzwerkbetriebsmittel
DE602004008055T2 (de) Intelligente integrierte netzwerksicherheitseinrichtung
DE60221557T2 (de) Methode und gerät zur adressenübersetzung für gesicherte verbindungen
DE60020588T2 (de) System und Verfahren zur Weiterleitung von Zugriffsversuchen von Benutzern auf eine Netzwerkseite
DE69927285T2 (de) Netzverwaltungssystem
DE60028229T2 (de) Herstellung dynamischer Sitzungen zum Tunnelzugriff in einem Kommunikationsnetzwerk
DE10297998B4 (de) Erstellen verteilter Proxy-Konfigurationen
DE19741239A1 (de) Verallgemeinertes Sicherheitspolitik-Management-System und Verfahren

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
8327 Change in the person/name/address of the patent owner

Owner name: WEBSENSE UK LTD., LONDON, GB