CN100437543C - 在第2层装置中实现第3层/第7层防火墙的方法和设备 - Google Patents
在第2层装置中实现第3层/第7层防火墙的方法和设备 Download PDFInfo
- Publication number
- CN100437543C CN100437543C CNB028213874A CN02821387A CN100437543C CN 100437543 C CN100437543 C CN 100437543C CN B028213874 A CNB028213874 A CN B028213874A CN 02821387 A CN02821387 A CN 02821387A CN 100437543 C CN100437543 C CN 100437543C
- Authority
- CN
- China
- Prior art keywords
- grouping
- district
- port
- safety
- place
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
Abstract
在分组交换通信系统中用于发送分组的方法和设备。提供了一个包括一个L2装置(106)的系统(100),其中L2装置包括一个用于为每个接收分组决定该接收分组是否将被检查的控制器(204),一个包括使用区特定规则可操作来检查和过滤由所述控制器(204)识别的分组的检查装置(210)和一个依照使用L2协议的L2报头信息发送检查过的分组的L2控制器(230)。
Description
技术领域
本发明大体上涉及数据路由系统,特别地,涉及在网络中提供安全通信的方法和设备。
背景技术
分组交换通信系统包括连接多个用户的一个或数个交换器或路由器的网络。在分组交换通信系统中,分组是传输的基本单元。用户可以是个人用户终端或者另一个网络。
第2层(L2)交换器是一种在一端接收包含数据或控制信息的分组、并且基于包含在该分组中的媒体接入连接(MAC)地址从另一端交换输出该分组的交换装置。传统的L2交换器通过评价包含在该分组中的第2层(L2)报头信息以确定特定分组的适当输出端来完成交换功能。L2交换器包括一张将MAC地址映射到输出端的表。如果MAC地址是未知的(例如,在该表中没有对应的条目),那么向所有的输出端广播对应的分组,以期望在该分组交换通信系统中另一部分将识别出MAC地址(并且将该信息传回转发L2交换器以更新它的表)。其它类型的L2装置包括网桥。
路由器是一种在一端接收包含数据或控制信息的分组、并且基于包含在该分组中的目的地信息将该分组发送到下一个节点以到达目的地的交换装置。传统的路由器通过评价包含在该分组中的第3层(L3)报头信息以确定特定分组的下一个节点来完成交换功能。第3层信息包括该分组的与预期目的地(以及源地址)相关的IP地址。
连接用户的网络可以是内联网,也就是说,是连接一个或多个私人服务器的网络,例如局域网(LAN)。作为替代的,该网络也可以是数据包通过不可靠的通信链路来传输的公共网,例如因特网。网络配置可以包括公共网和私人网的组合。例如,有独立终端的两个或更多LAN可以通过使用公共网,例如因特网,连接在一起。当公共网和私人网连接在一起或者当不同网络连接在一起时,产生了数据安全问题。例如,在公共网和私人网之间有链路的传统分组交换通信系统通常都有安全措施以确保网络访问控制和数据完整性。
为了确保各个独立分组的安全,分组交换通信系统可以包括加/解密服务。当分组通过不可靠(例如,公众)网络(或网络的不可靠部分)传输时,在离开可靠的网络(或网络的可靠部分)之前,可以加密独立分组以最小化数据丢失的可能性。在通信系统的目的地或另一个可靠部分(例如,目的地之前的防火墙)收到该分组之后,可以将其解密然后传输到预期目的地。加解密的使用允许在被不可靠通信链路分开的用户之间建立虚拟私人网(VPN)。
除了考虑在通信系统公众部分传输的数据的安全之外,网络的专用部分必须预防通过在私人网和公共网接口处的网关产生的侵扰。防火墙是一种可以在公共网和私人网之间嵌入连接以筛选从公共网接收到的分组的装置。防火墙是可用于加强规则和过滤功能的特殊型号的L3/L4装置。防火墙可以包括一个或更多用于检查、过滤、鉴定、加密、解密和处理接收分组的引擎。传统防火墙使用包括与要处理的给定分组的源地址和目的地有关的IP地址的L3/L4报头信息。检查接收到的分组,然后根据与给定域有关的规则来转发或丢弃该分组。
发明内容
本发明的一个特征是在分组交换通信系统中提供了一种L2装置。该分组交换通信系统有多个区,每个区表示一个不同的安全域并且有可用于检查进/出相关区的分组的相关规则。L2装置包括至少一个连接到包括在第一安全区中的终端单元的端口,至少一个连接到包括在第二安全区中的终端单元的端口,一个为每个接收到的分组决定该接收分组是否去往另一区的控制器,一个使用区特定规则的可操作来检查和过滤区间分组的防火墙引擎和一个L2交换引擎。可操作该L2交换引擎通过使用MAC地址和对应端口的表将所有通过L2装置的区内分组(intra-zone packet)即时发送到一个端口,并且仅将在防火墙引擎检查之后依然保留的区间分组(inter-zone packet)发送到一个端口。
本发明的另一个特征是在分组交换通信系统中提供了一种L2装置。该L2装置包括一个为每个接收到的分组决定该接收分组是否将在区内或区间传输的控制器,一个使用区特定规则的可操作来检查和过滤区间分组的防火墙引擎和一个L2交换引擎,该L2交换引擎通过使用MAC地址和对应端口的表可操作将所有通过L2装置的区内分组即时发送到一个端口,并且仅将在防火墙引擎检查之后依然保留的区间分组发送到一个端口。
本发明的再一个特征是在分组交换通信系统中提供了一种L2装置,该装置包括一个为每个接收到的分组决定该接收分组是否将在区间传输的控制器,和一个在使用L2协议路由之前使用区特定规则的可操作来检查和过滤区间分组的防火墙引擎。
本发明的再一个特征是在分组交换通信系统中提供了一种L2装置,该装置包括一个为每个接收到的分组决定该接收分组是否将在区间传输的控制器,和一个在使用L2协议路由之前使用区特定规则的可操作来检查和过滤区间分组的检查装置。
本发明的再一个特征是在分组交换通信系统中提供了一种L2装置,该装置包括一个为每个接收到的分组决定该接收分组是否将被检查的控制器,一个使用区特定规则的可操作来检查和过滤由该控制器识别的分组的检查装置,以及一个根据使用L2协议的L2报头信息来传输检查过的分组的L2控制器。
本发明的特征可以包括一个或更多下述特征。检查装置可以是包括一个第3层防火墙装置、一个第4层防火墙装置和一个第7层防火墙装置的防火墙。检查装置也可以是基于第2层报头信息以外的层信息来过滤的防火墙。控制器可以决定每个将在安全区之间通过的分组并且检查装置只处理区间通信量。控制器可以决定每个将在单个安全区内保留的分组并且检查装置即时发送区内分组。该装置可以通过使用给定分组的第2层报头中的MAC地址来决定在该装置中该分组将被发送的出口端来发送业务。
该装置可以包括一个用于储存将被检查的分组的存储元件,和一个通过该装置来传输分组的L2控制器,其包括使用给定分组中的目的地MAC地址和包括MAC地址和对应出口节点之间映射的MAC地址表以决定一个出口端来传输给定分组。存储元件可以包括第一和第二部分。第一部分可以储存将通过该装置传输的分组,第二部分可以储存等待检查的分组。该装置可以是L2交换器或L2电桥。
本发明的再一个特征是在通信网络中提供了一种用于传输分组的方法,该方法包括在L2装置处接收一个分组,决定该接收分组是否将在区间传输以及在使用L2协议路由之前使用区特定规则来检查和过滤区间分组。
本发明的再一个特征是在通信网络中提供了一种用于传输分组的方法,该方法包括在L2装置处接收一个分组,决定该接收分组是否将被检查以及在用L2协议的L2装置传输该分组之前使用区特定规则来检查和过滤识别的分组。
本发明的再一个特征是在通信网络中提供了一种用于交换分组的方法,该方法包括在L2装置的接口处接收一个分组,决定与该接收分组相关的目的地MAC地址是否是已知的,以及如果是未知的,则保留该接收分组一段预定时间而不将其传输到L2装置的任何端口,产生一个包括未知MAC地址的试探分组并向除接收接口外的所有接口广播该试探分组。
本发明的特征可以包括一个或多个下述特征。试探分组可以在IP报头中包括一个生命期(TTL)域,该方法可以包括设置TTL域值以至于具有未知MAC地址并且接收试探单元的下游节点将会给L2装置返回一条过期消息。该方法可以包括在预定时间期满后丢弃该分组。如果MAC地址是未知的,该分组可被丢弃。该方法可以包括从广播接口之一接收响应以及更新表以指出先前未知的MAC地址与响应接口相关联。
本发明的再一个特征是提供了无需在各个用户处要求加密和解密服务就可在用户之间提供安全通信的方法。该方法包括识别第一和第二用户,在通信网络中将第一和第二用户通过两个或更多L2装置连接在一起,以及在第一和第二用户之间为通信指定一个虚拟私人网。在网络中,该虚拟私人网在第一和第二L2装置之间定义。该方法包括在第一或第二L2装置处接收一个分组,决定该接收分组是否与虚拟私人网相关联,以及在使用L2协议的L2装置传输该分组之前使用本地加密和解密服务来加密和解密识别适当的分组。
本发明的特征可以包括一个或更多下述特征。所述决定步骤可以包括使用与分组相关的目的地MAC地址来识别虚拟私人网。
本发明的再一个特征是提供了无需在各个用户处要求加解密服务就可在用户之间提供安全通信的虚拟私人网。该虚拟私人网包括在通信网络中连接第一和第二用户的第一和第二L2装置,其中每个第一和第二L2装置包括一个决定接收到的分组是否与虚拟私人网相关的筛选机制,以及在通过使用L2协议的L2装置传输分组之前对与虚拟私人网相关的分组进行的加密和解密服务。
本发明的特征可以包括一个或更多下述优势。提供了允许在单个装置中建立多个安全区而不要求改变网络或终端配置的分组交换通信系统。在每个区之间,一个终端单元可以与其它终端单元通信而无需知道下述讨论的第2层交换到第7层安全交换,虽然可从中收益。提供了包括L2交换器和防火墙功能的分组交换通信系统。该分组交换通信系统作为IEEE 802.1 Q VLAN L2传统交换器基于所有区内通信的MAC地址进行转发/过滤。该分组交换通信系统允许L2在给定安全区内的多个端口之间交换。L2交换器也为区间或区内通信量适当提供了最高到第7层的安全防火墙保护,包括在每个数据流中的TCP状态检查、同步攻击防御、基于规则的控制、负载平衡和其它功能。在一个实施例中,可以配置该分组交换通信系统包括多个基于L2透明域的IEEE 802.1 Q VLAN。用户可以建立多个VLAN,每个都有各自的防火墙控制规则。此外,提供了将远程客户连接到L2域的VPN隧道能力的方法。提供了当正在处理的MAC地址无法识别时,预防广播信息过多和违反一个或多个安全约束的方法。该方法包括广播试探分组以发现未知MAC目的地的拓扑信息。
在附图和下面的描述中将陈述本发明的一个或多个实施例的详细内容。这些描述和附图以及权利要求书将使本发明的其它特征、对象和优势显而易见。
附图说明
图1是一种包括一个能够交换的L2防火墙的分组交换通信系统的方框图。
图2a是一个能够交换的L2防火墙的示意图。
图2b表示一个包括由单个安全交换器分隔的多个区的典型通信网络。
图3表示在图2a的安全交换器中处理分组的方法的流程图。
图4表示在图2a的安全交换器中处理未识别分组的方法的流程图。
在不同图中相同的附图符号表示相同的元件。
具体实施方式
现在参见图1,一个分组交换通信网络100包括在多个区104中配置的、由一个或多个交换器106连接的多个终端单元102。
在实施例中,每个终端单元102的形式为独立的计算机(例如,一台个人计算机、便携式电脑或工作站)。作为替代的,在通信或计算环境中,一个或多个终端单元的形式也可以是个人数字助理(PDA)、手持联网机、双向寻呼机、蜂窝式手持机或者其它终端或远程装置。在实施例中,每个终端是到另一个网络或终端单元组(例如,到一个LAN或一个服务器组)的网关。
在该通信系统中,每个区104a-c代表一个安全域。每个安全域可以包括独立的规则、通信量管理、计费和管理定义和功能。可以在区间和区内加强安全规则、通信量管理和其它过滤功能。在实施例中,可以加强区间的安全规则,而区内通信并不受安全约束的限制。在实施例中,区可以重叠。当区重叠时,与母区有关的规则可以是与一个或多个子区(每个子区包括所有规则的一套子集)有关的规则中级别最高的。作为替代地,与母区有关的规则也可以是与每个子区的规则相独立和不同的。例如,在实施例中,一个区可以包括一个或多个子区,每个子区包括一套独立的规则。
在实施例的通信网络中,每个区都有物理边界或其它分割。作为替代地,特定终端单元到区的分配可以表示成企业结构中的分组或组合(例如,区用于分隔企业组织中不同功能实体)。作为替代地,区与物理边界之间没有特殊关系。依照下面描述的与交换器106有关的协议来控制区间终端单元之间和区内终端单元之间的通信。
交换器106可以是不同型号的。在实施例中,每个交换器106被配置作为第2层(L2)装置并包括多个端口,在这些端口上接收来自通信网络的分组并依照L2协议将其转发。每个交换器106包括一个用于决定接收分组交换的媒体访问连接(MAC)表。该MAC表将MAC地址与交换器106的端口相对应。当分组到达每个交换器106的端口时,依照包含在给定分组中的L2报头信息来处理该分组。根据MAC地址,将分组交换到MAC表中规定的适当输出端口。
配置一个或多个交换器106以加强安全域约束。例如,配置一个或多个交换器106作为L2防火墙使能安全交换器(在下文中称为“安全交换器”)。现在参照图2,安全交换器200包括多个端口202、一个交换器结构220和一个L2控制器230。将每个端口202通过总线206连接到一个安全控制器204。将该安全控制器204连接到一个或多个存储元件208。在实施例中(未画出),可以将每个端口202连接到一个独立的安全控制器204和存储元件208。作为替代地,可以将安全控制器功能组合在单个(如图所示)或较少数量的独立安全控制器单元中。此外,与所有端口202有关的分组可以储存在单个存储元件208中(如图所示)。安全交换器200也包括一个通过安全总线211连接到(每个)存储元件208的防火墙装置210。
L2控制器230支持L2交换协议。分组或者被直接处理(例如,对区内分组),或者在按照下面更详细讨论的安全筛选之后处理(例如,对区间分组)。与L2控制器230相关联的是MAC表235。MAC表235包括多个条目,每个条目包括一个MAC地址和一个与其相连的端口202的指示符。交换器结构220用于在L2控制器230的控制下使用总线221将来自存储元件208的通信量路由至各个端口202。
存储元件208被分成两部分。第一部分215用于储存从端口202接收的并未经受安全筛选处理的分组。例如,在实施例中,在同一个安全区中从一个终端单元接收的分组(例如,区内通信)并不经受安全筛选处理。由L2控制器230直接处理未筛选分组,并依照L2协议从MAC表235规定的指定端口转发出去。第二部分217用于储存将被防火墙装置210筛选的分组。
安全控制器204包括一个筛选引擎240。筛选引擎240检查每个从各个端口202接收的分组并决定是否要执行安全筛选。在实施例中,筛选引擎240检查每个分组的L2报头,并根据筛选结果将分组分别转发到存储元件208的第一或第二部分215和217。L2报头包括通过使用MAC表235可以被映射到该装置出口端的一个目的地MAC地址。与每个入口和出口端相关联的是一个安全区标识符。安全区标识符可以储存在由端口标识符(id)索引的区标识符表(未示出)中。筛选引擎240比较与正在处理的分组有关的安全区标识符(使用正在处理的分组的报头中的目的地MAC地址以从MAC表中的出口端标识来决定)和与该装置中接收该分组的端口有关的安全区标识符。根据比较结果,筛选引擎240可以决定该分组是否前往另一个区(例如,构成区内或区间通信)。
分组的筛选可以知道也可以不知道独立终端单元。与安全交换器200相连的是用户接口(未示出)和用于构造一个或多个安全区的有关管理工具(未示出)。在实施例中,基于包括在接收分组的L2报头中的目的地MAC地址来决定安全区。更具体地说,每个输出端可以被分配给一个安全区并且有一个与此相关的安全区标识符。作为替代地,可以为连接到安全交换器200不同端口的多个用户产生安全区。例如,可以配置安全交换器200包括三个端口,其中与前两个端口相连的终端单元被分配到第一区,而与第三端口相连的终端单元被分配到第二区。其它配置也是可能的。下面将更加详细地讨论区的分配与分割。用户接口允许管理员或者用户来配置安全交换器200。可以配置安全交换器200以产生多个安全区并将每个区与一个或多个接口相连。因此,可以建立用于检查或另外筛选穿过安全交换器200的分组的规则。
防火墙装置210包括多个用于在通过安全交换器200发送分组之前执行分组筛选的引擎。防火墙装置210包括一个防火墙引擎270和有关的规则271、认证引擎272、加密引擎274、解密引擎276和一个防火墙控制器278。
防火墙控制器278从存储元件208的第二部分217中取出分组。防火墙控制器278检查在防火墙装置之内分组的分布以及各个引擎之间的配合。依照基于一个或多个考虑的规则来评价并处理每个分组。例如,可以基于源地址/目的地或者两者来筛选分组。通过防火墙引擎270检索并使用一个或多个规则271以检查分组。分组检查也可以要求加密、解密和认证服务。可以通过防火墙控制器278调用一个或多个加密引擎274、解密引擎276和认证引擎272作为检查过程的一部分。此外,可以提供其它服务,包括虚拟私人网终端服务、对话期间建立和各种其它的通信量管理和安全相关功能。下面将更详细地讨论筛选服务的例子。在检查之后,可以在网络中转发分组或适当地将其丢弃。在实施例中,适当地准备(例如,加密)将被转发的分组(例如,通过检查的),然后将其转发到存储元件208的第一部分215。作为替代地,分组也可以回到存储元件208的第二部分217并被标记为已筛选。在实施例中,将筛选过的分组转发到一个队列中以等待L2控制器230的处理。然后由L2控制器230处理筛选过的分组,并依照传统的L2处理协议将其交换到适当的输出端。
可以配置每个安全交换器200以产生多个安全区。例如,图2b所示的是有一个安全交换器200的通信网络。该通信网络是包括3个区的VLAN结构。安全交换器200包括一个用户接口和管理控制机制以产生每个安全区、指定规则和其它定义和管理每个区的标准。对终端用户来说,由安全交换器200加强的安全区可以是透明的。也就是说,安全区能够被安全交换器创造,其中包括所有与安全域有关的运转参数的规范。在每个区中用户可以不知道区的结构并且可以按传统方式与其他用户通信。例如,可以在用户之间创建一个包括加密和解密服务的虚拟私人网而不要求在各个终端用户处有实际的加解密支持(例如,放置在两个用户之间的安全交换器可以提供加解密服务)。因此,系统管理员可以在一个安全区中的远程用户和另一安全区中的另一用户之间创建一个虚拟私人网,其中各个用户并不知道VPN服务,也不要求包括本地的加解密服务。在实施例中,提供VPN服务的管理员被指定为同一区中的远程用户。
作为替代地,用户可以知道安全结构并包括在传输给其他用户的分组中的指示符(例如,区标识符)。每个用户可以为他们的网络安全要求定义他们自己的传统L2区和区间规则。例如,图2b所示的安全交换器200表示一个包括v1-信任、v1-不信任和v1-dmz区的VLAN。V1-信任定义了一个包括两个用户291和292的区。V1-不信任定义了一个包括单个用户293的区。V1-dmz定义了一个包括三个用户291、292和294的区。可以为三个区之间的通信加强独立的规则。例如,用户291和用户292之间的区内通信不要求检查,这样由安全交换器200依照传统L2协议来处理。从用户291到用户293的通信将调用由安全系统建筑师(例如,用户291或292或他们的管理员)定义的检查过程以处理V1-信任和V1-不信任之间的通信。相似地,用户294和用户291之间的通信将调用检查过程(例如,一个潜在的更少筛选)以处理V1-dmz和V1-信任之间的通信。
在每个区内允许多个接口。对区内通信量来说,安全交换器200就像一个基于目的地MAC地址来转发给定分组的传统L2桥。在实施例中,对区内通信量不应用防火墙保护机制。
对区间通信量来说,对每个进入的分组执行标准防火墙检查(包括如上所述的规则检查、TCP状态检查等)。在所有例子中,由在接口上的已知目的地MAC地址来决定出口接口。
分组流程
现在参照图3,显示了一种由安全交换器200调用来处理分组的方法300。描述该方法时并未特别参照特殊的执行这些步骤的硬件元件。上面给出了一种典型的硬件配置。然而,在有其它配置的L2交换器中也可以执行该方法。该方法从接收一个分组开始(302)。评价该分组以决定其是否将被检查(304)。如果是,适当地预处理该分组(305)并检索一个或多个规则(306)。该分组的预处理可以包括解密和认证服务。规则的检索包括识别该分组将被传输到哪个区。使用安全规则可以检查区间传输的分组。区内通信可以不检查。在实施例中,可以加强区内通信的规则。规则的检索包括在MAC表中为接收分组中的MAC目的地地址进行MAC查表,以决定与该MAC地址有关的输出端口以及必定有的安全区。比较与该分组入口端和出口端有关的安全区以决定该分组是否要传输到另一个区。假定将进行检查,检索一个适当的规则(例如,基于入口端和出口端标识符和它们各自的安全区)。此后,检查该分组(308)。分组检查可以包括按要求筛选和丢弃该分组。如果该分组将在网络中转发(309),适当地调用后处理操作(310)。作为替代地,丢弃该分组(311)。后处理操作可以包括对话建立、加密和其它功能。此后,从步骤312开始依照传统L2协议处理该分组。
在步骤312中,分组或者通过了检查,或者不需要检查。在任一情况下,取出L2报头信息以决定与该分组有关的MAC地址。执行MAC地址的查表(314),然后将该分组发送到一个适当的输出端(316)。此后处理结束。
再次参考图2,现在描述关于本发明的一种硬件设备的处理步骤。在端口202接收分组。每个分组在总线205上传输并被发送到安全控制器204,并且经由存储总线209储存在存储元件208中。安全控制器204评价每个分组以决定是否需要检查并将其转发到存储装置208的适当部分。由L2控制器230处理不需要检查的分组(例如,储存在存储装置208的第一部分215中的分组)。当L2控制器230可用时,取出并处理分组以决定该分组应当被转发到哪个端口。L2控制器230评价与该分组有关的MAC地址,并使用MAC表235来决定发送的端口。在L2控制器230处理完成后,将该分组转发到一个适当的进入交换器结构220的链路以将其发送到决定好的输出端202。
由安全控制器204将需要检查的分组传输到存储元件208的第二部分217中。当防火墙装置210可用时,取出并处理分组以决定检查该分组时将使用的安全规则。防火墙引擎270评价与该分组有关的IP地址,并适当执行通信量控制和管理功能。将被转发的分组(例如,通过检查的)回到存储元件208。此后,可以将该分组转发到一个适当的进入交换器结构220的链路以将其发送到决定好的输出端202。依照给定安全区定义的规则丢弃或者处理其它分组。
如上所述,由L2控制器230依照传统L2协议来处理在防火墙装置210中通过检查的所有分组以及不要求检查的所有分组。在实施例中,可以修改由L2控制器进行的分组处理以保持安全区。更具体地说,如上所述,传统L2交换器在所有端口广播未被识别的MAC地址分组。在通信网络的给定区中,这类广播可以彻底干扰一个或多个安全规则。因此,在实施例中,向每个端口广播一个试探分组。下面将参照图4更详细地描述试探分组的广播。
现在参照图4,表示由L2控制器处理分组的方法400,该方法包括接收将被处理的分组(402)。取出分组的MAC地址(404)。进行检查以在MAC地址表中找到对应于取出的MAC地址的条目(406)。如果定位到匹配的地址(407),则将该分组发送到与该匹配条目相关的输出端(408)。如果没有找到匹配的地址,则丢弃该分组(410)。在实施例中,仅仅保持该分组一段预定时间以希望接收到关于未匹配MAC地址的信息。如果没有找到匹配的地址,则产生一个试探分组(412)。该试探分组包括与正在处理分组有关的MAC地址(例如,原始进入分组)。在实施例中,该试探分组是一个IP TTL域设置为1的“ICMP PING”分组。每个分组包括与MAC地址无法找到的进入分组相同的MAC地址(L2)和源/目的地IP(L3)。然后向所有端口广播该试探分组(414)。进行检查以决定在安全装置的任一端口是否接受到响应(416)。该ICMP PING分组将使正确的网关(即接收并转发上述原始进入分组的网关)以一个“ICMP TTL过期”的消息来响应装置中的L2控制器。从上述过期的分组中,系统可以识别与接收的MAC地址有关的正确出口端/区。该方法保证了原始进入分组中的消息不会被泄漏。如果接收到了响应(表示连接到接收端的装置被配置成处理具有所识别的MAC地址的分组),那么更新MAC表以包括一个条目,其中有MAC地址和表示接收响应端口的端口标识符(418)。此后处理结束。
在此描述了本发明的多个实施例。然而,应当理解在不背离本发明的精髓和范围的情况下,可以做出各种修改方案。例如,按照L第3层次的筛选描述了防火墙装置。作为替代地,可以在包括更高级和第7层(L7)处理的其它级调用其它筛选。因此,其它实施例包括在下述权利要求书的范围内。
Claims (3)
1.一种在分组交换通信系统中的第2层装置,该分组交换通信系统有多个区,每个区表示一个不同的安全域并具有检查进/出相关区的分组时使用的相关规则,该第2层装置包括:
一个连接到一个包含在第一安全区中的终端单元的第一端口;
一个连接到一个包含在第二安全区中的终端单元的第二端口;
一个控制器,用于为从所述第一安全区相关联的一个源单元接收的第一分组决定该接收分组是一个前往所述第二安全区内包含的所述终端单元的区间分组,还是一个前往所述第一安全区内包含的所述终端单元的区内分组;
一个使用区特定规则来检查并过滤所述区间分组的防火墙引擎;以及
一个第2层交换引擎,其使用MAC地址表将所述通过第2层装置的区内分组即时发送到所述第一端口,以及仅将由防火墙引擎检查之后依然保留的所述区间分组发送到所述第二端口。
2.一种在分组交换通信系统中的第2层装置,该分组交换通信系统有多个区,每个区表示一个不同的安全域并具有检查进/出相关区的分组时使用的相关规则,该第2层装置包括:
一个控制器,用于为接收到的分组决定该接收分组是一个将通过第一端口在区内传输的区内分组,还是一个将通过第二端口在区间传输的区间分组;
一个使用区特定规则来检查并过滤所述区间分组的防火墙引擎;以及
一个第2层交换引擎,其可操作用于
使用MAC地址和对应端口组成的表将所述通过第2层装置的区内分组即时发送到所述第一端口,以及
仅将由防火墙引擎检查之后依然保留的所述区间分组发送到所述第二端口。
3.一种在通信网络中发送分组的方法,该通信网络包括多个区,每个区表示一个不同的安全域,该方法包括:
在一个第2层装置通过一个进入端口接收一个分组;
确定该接收分组是否将通过一个外出端口从第一安全区发送到第二安全区;以及
在使用第2层协议进行区间路由之前,基于所述第一和第二安全区以及所述进入端口和外出端口使用区特定规则检查并过滤区间分组。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US09/967,878 US7302700B2 (en) | 2001-09-28 | 2001-09-28 | Method and apparatus for implementing a layer 3/layer 7 firewall in an L2 device |
US09/967,878 | 2001-09-28 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1575462A CN1575462A (zh) | 2005-02-02 |
CN100437543C true CN100437543C (zh) | 2008-11-26 |
Family
ID=25513451
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNB028213874A Expired - Lifetime CN100437543C (zh) | 2001-09-28 | 2002-09-26 | 在第2层装置中实现第3层/第7层防火墙的方法和设备 |
Country Status (8)
Country | Link |
---|---|
US (5) | US7302700B2 (zh) |
EP (2) | EP1438670B1 (zh) |
JP (1) | JP4332033B2 (zh) |
CN (1) | CN100437543C (zh) |
AU (1) | AU2002327757B2 (zh) |
CA (1) | CA2461866A1 (zh) |
IL (2) | IL161112A0 (zh) |
WO (1) | WO2003030004A1 (zh) |
Families Citing this family (109)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB2362482A (en) * | 2000-05-15 | 2001-11-21 | Ridgeway Systems & Software Lt | Direct slave addressing to indirect slave addressing |
GB2365256A (en) | 2000-07-28 | 2002-02-13 | Ridgeway Systems & Software Lt | Audio-video telephony with port address translation |
GB2369746A (en) * | 2000-11-30 | 2002-06-05 | Ridgeway Systems & Software Lt | Communications system with network address translation |
CA2439692A1 (en) * | 2001-03-01 | 2002-09-12 | Storeage Networking Technologies | Storage area network (san) security |
US7302700B2 (en) | 2001-09-28 | 2007-11-27 | Juniper Networks, Inc. | Method and apparatus for implementing a layer 3/layer 7 firewall in an L2 device |
US7571239B2 (en) * | 2002-01-08 | 2009-08-04 | Avaya Inc. | Credential management and network querying |
US20030163692A1 (en) * | 2002-01-31 | 2003-08-28 | Brocade Communications Systems, Inc. | Network security and applications to the fabric |
US8201252B2 (en) * | 2002-09-03 | 2012-06-12 | Alcatel Lucent | Methods and devices for providing distributed, adaptive IP filtering against distributed denial of service attacks |
US8185652B2 (en) * | 2002-11-15 | 2012-05-22 | Lantiq Deutschland Gmbh | Data switch and method of operating the data switch |
US7549159B2 (en) * | 2004-05-10 | 2009-06-16 | Liquidware Labs, Inc. | System, apparatuses, methods and computer-readable media for determining the security status of a computer before establishing connection thereto |
US7591001B2 (en) * | 2004-05-14 | 2009-09-15 | Liquidware Labs, Inc. | System, apparatuses, methods and computer-readable media for determining the security status of a computer before establishing a network connection |
US7386889B2 (en) * | 2002-11-18 | 2008-06-10 | Trusted Network Technologies, Inc. | System and method for intrusion prevention in a communications network |
US7660980B2 (en) * | 2002-11-18 | 2010-02-09 | Liquidware Labs, Inc. | Establishing secure TCP/IP communications using embedded IDs |
US20060098649A1 (en) * | 2004-11-10 | 2006-05-11 | Trusted Network Technologies, Inc. | System, apparatuses, methods, and computer-readable media for determining security realm identity before permitting network connection |
US20040123130A1 (en) * | 2002-12-20 | 2004-06-24 | Inrange Technologies Corporation | Method and apparatus for distributing and activating security parameters |
MY141160A (en) * | 2003-01-13 | 2010-03-31 | Multimedia Glory Sdn Bhd | System and method of preventing the transmission of known and unknown electronic content to and from servers or workstations connected to a common network |
US7697568B1 (en) * | 2003-03-03 | 2010-04-13 | Cisco Technology, Inc. | Method and system for automatic modem bandwidth detection in a router |
WO2004090675A2 (en) * | 2003-04-03 | 2004-10-21 | Commvault Systems, Inc. | System and method for performing storage operations through a firewall |
US20040210754A1 (en) * | 2003-04-16 | 2004-10-21 | Barron Dwight L. | Shared security transform device, system and methods |
US7523485B1 (en) | 2003-05-21 | 2009-04-21 | Foundry Networks, Inc. | System and method for source IP anti-spoofing security |
US7516487B1 (en) | 2003-05-21 | 2009-04-07 | Foundry Networks, Inc. | System and method for source IP anti-spoofing security |
CA2527501A1 (en) | 2003-05-28 | 2004-12-09 | Caymas Systems, Inc. | Multilayer access control security system |
US20040255154A1 (en) * | 2003-06-11 | 2004-12-16 | Foundry Networks, Inc. | Multiple tiered network security system, method and apparatus |
KR100503422B1 (ko) * | 2003-06-13 | 2005-07-22 | 한국전자통신연구원 | 이더넷 스위치, 포트다중화장치 및 방법 |
US7426577B2 (en) * | 2003-06-19 | 2008-09-16 | Avaya Technology Corp. | Detection of load balanced links in internet protocol netwoks |
US7876772B2 (en) * | 2003-08-01 | 2011-01-25 | Foundry Networks, Llc | System, method and apparatus for providing multiple access modes in a data communications network |
US7735114B2 (en) * | 2003-09-04 | 2010-06-08 | Foundry Networks, Inc. | Multiple tiered network security system, method and apparatus using dynamic user policy assignment |
US7774833B1 (en) | 2003-09-23 | 2010-08-10 | Foundry Networks, Inc. | System and method for protecting CPU against remote access attacks |
US7606916B1 (en) * | 2003-11-10 | 2009-10-20 | Cisco Technology, Inc. | Method and apparatus for load balancing within a computer system |
US7844731B1 (en) * | 2003-11-14 | 2010-11-30 | Symantec Corporation | Systems and methods for address spacing in a firewall cluster |
US8146148B2 (en) * | 2003-11-19 | 2012-03-27 | Cisco Technology, Inc. | Tunneled security groups |
US8528071B1 (en) | 2003-12-05 | 2013-09-03 | Foundry Networks, Llc | System and method for flexible authentication in a data communications network |
ATE413761T1 (de) * | 2004-03-02 | 2008-11-15 | Alcatel Lucent | Ein verfahren zur zugriffserteilung auf ein kommunikationsnetzwerk und entsprechende einrichtung |
CN1298141C (zh) * | 2004-05-20 | 2007-01-31 | 中国科学院软件研究所 | 实现安全交换网络数据的方法 |
US7624435B1 (en) * | 2004-07-26 | 2009-11-24 | Trend Micro Incorporated | Method and apparatus for managing digital assets |
US7636841B2 (en) | 2004-07-26 | 2009-12-22 | Intercall, Inc. | Systems and methods for secure data exchange in a distributed collaborative application |
GB2418110B (en) * | 2004-09-14 | 2006-09-06 | 3Com Corp | Method and apparatus for controlling traffic between different entities on a network |
US8261337B1 (en) * | 2004-11-17 | 2012-09-04 | Juniper Networks, Inc. | Firewall security between network devices |
US8631450B1 (en) * | 2004-12-02 | 2014-01-14 | Entropic Communications, Inc. | Broadband local area network |
JP4381448B2 (ja) * | 2005-03-16 | 2009-12-09 | 富士通株式会社 | Ipネットワークにおけるマルチキャストツリー監視方法およびシステム |
US7881325B2 (en) * | 2005-04-27 | 2011-02-01 | Cisco Technology, Inc. | Load balancing technique implemented in a storage area network |
US7647434B2 (en) | 2005-05-19 | 2010-01-12 | Cisco Technology, Inc. | Technique for in order delivery of traffic across a storage area network |
KR100719118B1 (ko) * | 2005-10-27 | 2007-05-17 | 삼성전자주식회사 | 특정 영역에서의 디바이스 기능 제한 방법 및 시스템 |
WO2007055684A2 (en) * | 2005-11-09 | 2007-05-18 | Trusted Network Technologies, Inc. | Determining security realm identity before permitting network connection |
JP4482630B2 (ja) * | 2005-11-21 | 2010-06-16 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 通信装置および通信方法 |
US7649875B2 (en) * | 2005-12-23 | 2010-01-19 | Beecher Phillip E | Networking layer extension |
US20070214502A1 (en) * | 2006-03-08 | 2007-09-13 | Mcalister Donald K | Technique for processing data packets in a communication network |
JP4823728B2 (ja) * | 2006-03-20 | 2011-11-24 | 富士通株式会社 | フレーム中継装置及びフレーム検査装置 |
US9001645B2 (en) * | 2006-05-17 | 2015-04-07 | Rajant Corporation | System and method for packet delivery backtracking |
JP4813970B2 (ja) * | 2006-05-29 | 2011-11-09 | 日本電信電話株式会社 | ブリッジ装置 |
US7522595B2 (en) * | 2006-06-16 | 2009-04-21 | Cisco Technology, Inc. | Communicating packets between forwarding contexts using virtual interfaces |
US8009566B2 (en) | 2006-06-26 | 2011-08-30 | Palo Alto Networks, Inc. | Packet classification in a network security device |
US8281360B2 (en) * | 2006-11-21 | 2012-10-02 | Steven Adams Flewallen | Control of communication ports of computing devices using policy-based decisions |
US8594085B2 (en) * | 2007-04-11 | 2013-11-26 | Palo Alto Networks, Inc. | L2/L3 multi-mode switch including policy processing |
US8341277B2 (en) * | 2007-07-03 | 2012-12-25 | International Business Machines Corporation | System and method for connecting closed, secure production network |
US8040888B1 (en) * | 2007-12-17 | 2011-10-18 | Integrated Device Technology, Inc. | Packet switch with port route tables |
US8640143B2 (en) * | 2008-02-12 | 2014-01-28 | International Business Machines Corporation | Method and system for providing preemptive response routing |
US8316435B1 (en) * | 2008-08-14 | 2012-11-20 | Juniper Networks, Inc. | Routing device having integrated MPLS-aware firewall with virtual security system support |
US8307422B2 (en) * | 2008-08-14 | 2012-11-06 | Juniper Networks, Inc. | Routing device having integrated MPLS-aware firewall |
US8713627B2 (en) * | 2008-08-14 | 2014-04-29 | Juniper Networks, Inc. | Scalable security services for multicast in a router having integrated zone-based firewall |
US8175101B2 (en) * | 2008-08-15 | 2012-05-08 | Raytheon Company | Multicasting in a network using neighbor information |
US8873556B1 (en) | 2008-12-24 | 2014-10-28 | Palo Alto Networks, Inc. | Application based packet forwarding |
US20100265955A1 (en) * | 2009-04-17 | 2010-10-21 | Park Sung I | Cross layer routing (xrp) protocol |
CN102035821A (zh) * | 2009-09-29 | 2011-04-27 | 凹凸电子(武汉)有限公司 | 防火墙/虚拟专用网集成系统以及电路 |
US8127365B1 (en) | 2009-11-16 | 2012-02-28 | Trend Micro Incorporated | Origination-based content protection for computer systems |
US8424091B1 (en) | 2010-01-12 | 2013-04-16 | Trend Micro Incorporated | Automatic local detection of computer security threats |
JP5382451B2 (ja) * | 2010-01-29 | 2014-01-08 | 日本電気株式会社 | フロントエンドシステム、フロントエンド処理方法 |
JP5454399B2 (ja) * | 2010-07-15 | 2014-03-26 | パナソニック株式会社 | ラージスケールnat検出装置、アプリケーション切替装置、ラージスケールnat検出方法およびアプリケーション切替方法 |
US8687649B2 (en) * | 2011-03-08 | 2014-04-01 | International Business Machines Corporation | Message forwarding toward a source end node in a converged network environment |
US8695096B1 (en) | 2011-05-24 | 2014-04-08 | Palo Alto Networks, Inc. | Automatic signature generation for malicious PDF files |
US9047441B2 (en) | 2011-05-24 | 2015-06-02 | Palo Alto Networks, Inc. | Malware analysis system |
US8516241B2 (en) | 2011-07-12 | 2013-08-20 | Cisco Technology, Inc. | Zone-based firewall policy model for a virtualized data center |
US8640251B1 (en) | 2011-12-14 | 2014-01-28 | Trend Micro Incorporated | Methods and systems for classifying computer documents into confidential levels using log information |
US8826452B1 (en) | 2012-01-18 | 2014-09-02 | Trend Micro Incorporated | Protecting computers against data loss involving screen captures |
US9419941B2 (en) * | 2012-03-22 | 2016-08-16 | Varmour Networks, Inc. | Distributed computer network zone based security architecture |
WO2013189059A1 (zh) * | 2012-06-21 | 2013-12-27 | 华为技术有限公司 | 报文处理方法、装置、主机和网络系统 |
JP5445626B2 (ja) * | 2012-06-25 | 2014-03-19 | 横河電機株式会社 | ネットワーク管理システム |
US9100366B2 (en) | 2012-09-13 | 2015-08-04 | Cisco Technology, Inc. | Early policy evaluation of multiphase attributes in high-performance firewalls |
US10789294B2 (en) * | 2013-03-02 | 2020-09-29 | Leon Guzenda | Method and system for performing searches of graphs as represented within an information technology system |
US11301514B2 (en) | 2013-03-02 | 2022-04-12 | Leon Guzenda | System and method to identify islands of nodes within a graph database |
US9083732B2 (en) | 2013-04-12 | 2015-07-14 | Lenovo Enterprise Solutions (Singapore) Pte. Ltd. | Establishing communication between entities in a shared network |
US9917849B2 (en) * | 2013-05-01 | 2018-03-13 | Fortinet, Inc. | Security system for physical or virtual environments |
WO2015041706A1 (en) * | 2013-09-23 | 2015-03-26 | Mcafee, Inc. | Providing a fast path between two entities |
US9973472B2 (en) | 2015-04-02 | 2018-05-15 | Varmour Networks, Inc. | Methods and systems for orchestrating physical and virtual switches to enforce security boundaries |
US9560081B1 (en) | 2016-06-24 | 2017-01-31 | Varmour Networks, Inc. | Data network microsegmentation |
US20170006082A1 (en) * | 2014-06-03 | 2017-01-05 | Nimit Shishodia | Software Defined Networking (SDN) Orchestration by Abstraction |
DE102015002574B4 (de) | 2015-02-27 | 2018-06-21 | Audi Ag | Kraftfahrzeug- Kommunikationsnetzwerk mit Switchvorrichtung |
US9609026B2 (en) | 2015-03-13 | 2017-03-28 | Varmour Networks, Inc. | Segmented networks that implement scanning |
US9467476B1 (en) | 2015-03-13 | 2016-10-11 | Varmour Networks, Inc. | Context aware microsegmentation |
US10178070B2 (en) | 2015-03-13 | 2019-01-08 | Varmour Networks, Inc. | Methods and systems for providing security to distributed microservices |
US9438634B1 (en) | 2015-03-13 | 2016-09-06 | Varmour Networks, Inc. | Microsegmented networks that implement vulnerability scanning |
US9756015B2 (en) * | 2015-03-27 | 2017-09-05 | International Business Machines Corporation | Creating network isolation between virtual machines |
US9525697B2 (en) | 2015-04-02 | 2016-12-20 | Varmour Networks, Inc. | Delivering security functions to distributed networks |
US10171507B2 (en) * | 2016-05-19 | 2019-01-01 | Cisco Technology, Inc. | Microsegmentation in heterogeneous software defined networking environments |
US9892622B2 (en) | 2016-05-27 | 2018-02-13 | At&T Intellectual Property I, L.P. | Emergency event virtual network function deployment and configuration |
US9787639B1 (en) | 2016-06-24 | 2017-10-10 | Varmour Networks, Inc. | Granular segmentation using events |
US10972437B2 (en) * | 2016-08-08 | 2021-04-06 | Talari Networks Incorporated | Applications and integrated firewall design in an adaptive private network (APN) |
US10298491B2 (en) * | 2016-08-25 | 2019-05-21 | Cisco Technology, Inc. | Efficient path detection and validation between endpoints in large datacenters |
US10645123B1 (en) * | 2016-12-28 | 2020-05-05 | Juniper Networks, Inc. | Network traffic switching for virtual machines |
US10791091B1 (en) * | 2018-02-13 | 2020-09-29 | Architecture Technology Corporation | High assurance unified network switch |
DE102018216959B4 (de) * | 2018-10-02 | 2020-11-12 | Continental Automotive Gmbh | Verfahren zur Absicherung eines Datenpakets durch eine Vermittlungsstelle in einem Netzwerk, Vermittlungsstelle und Kraftfahrzeug |
US11201854B2 (en) * | 2018-11-30 | 2021-12-14 | Cisco Technology, Inc. | Dynamic intent-based firewall |
DE102019210224A1 (de) * | 2019-07-10 | 2021-01-14 | Robert Bosch Gmbh | Vorrichtung und Verfahren für Angriffserkennung in einem Rechnernetzwerk |
US11336694B2 (en) * | 2019-08-05 | 2022-05-17 | Cisco Technology, Inc. | Scalable security policy architecture with segregated forwarding and security plane and hierarchical classes |
CN110830301B (zh) * | 2019-11-11 | 2022-04-22 | 国网江苏省电力有限公司检修分公司 | 基于安全加密的电力二次系统站控层拓扑扫描方法及装置 |
US11343234B2 (en) * | 2019-12-10 | 2022-05-24 | Cisco Technology, Inc. | Multi-domain extension to cloud security |
US11848949B2 (en) * | 2021-01-30 | 2023-12-19 | Netskope, Inc. | Dynamic distribution of unified policies in a cloud-based policy enforcement system |
US11777993B2 (en) | 2021-01-30 | 2023-10-03 | Netskope, Inc. | Unified system for detecting policy enforcement issues in a cloud-based environment |
US11831605B2 (en) * | 2021-03-29 | 2023-11-28 | Nokia Solutions And Networks Oy | Router firewall |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5968176A (en) * | 1997-05-29 | 1999-10-19 | 3Com Corporation | Multilayer firewall system |
US6115472A (en) * | 1996-09-11 | 2000-09-05 | Nippon Telegraph And Telephone Corporation | Contents transmission control method with user authentication functions and recording medium with the method recorded thereon |
US6131120A (en) * | 1997-10-24 | 2000-10-10 | Directory Logic, Inc. | Enterprise network management directory containing network addresses of users and devices providing access lists to routers and servers |
US6233688B1 (en) * | 1998-06-30 | 2001-05-15 | Sun Microsystems, Inc. | Remote access firewall traversal URL |
Family Cites Families (62)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH06311161A (ja) | 1993-04-23 | 1994-11-04 | Matsushita Electric Works Ltd | Lan用ハブ装置 |
US5485455A (en) * | 1994-01-28 | 1996-01-16 | Cabletron Systems, Inc. | Network having secure fast packet switching and guaranteed quality of service |
US5544322A (en) * | 1994-05-09 | 1996-08-06 | International Business Machines Corporation | System and method for policy-based inter-realm authentication within a distributed processing system |
US5617421A (en) | 1994-06-17 | 1997-04-01 | Cisco Systems, Inc. | Extended domain computer network using standard links |
US5608726A (en) * | 1995-04-25 | 1997-03-04 | Cabletron Systems, Inc. | Network bridge with multicast forwarding table |
US5889953A (en) * | 1995-05-25 | 1999-03-30 | Cabletron Systems, Inc. | Policy management and conflict resolution in computer networks |
US5684800A (en) * | 1995-11-15 | 1997-11-04 | Cabletron Systems, Inc. | Method for establishing restricted broadcast groups in a switched network |
US5781550A (en) | 1996-02-02 | 1998-07-14 | Digital Equipment Corporation | Transparent and secure network gateway |
US5918018A (en) * | 1996-02-09 | 1999-06-29 | Secure Computing Corporation | System and method for achieving network separation |
US5768501A (en) * | 1996-05-28 | 1998-06-16 | Cabletron Systems | Method and apparatus for inter-domain alarm correlation |
US5842040A (en) | 1996-06-18 | 1998-11-24 | Storage Technology Corporation | Policy caching method and apparatus for use in a communication device based on contents of one data unit in a subset of related data units |
US6101170A (en) * | 1996-09-27 | 2000-08-08 | Cabletron Systems, Inc. | Secure fast packet switch having improved memory utilization |
US5708654A (en) * | 1996-11-27 | 1998-01-13 | Arndt; Manfred R. | Method for detecting proxy ARP replies from devices in a local area network |
US5905859A (en) * | 1997-01-09 | 1999-05-18 | International Business Machines Corporation | Managed network device security method and apparatus |
US6591303B1 (en) | 1997-03-07 | 2003-07-08 | Sun Microsystems, Inc. | Method and apparatus for parallel trunking of interfaces to increase transfer bandwidth |
US6301257B1 (en) * | 1997-03-19 | 2001-10-09 | Nortel Networks Limited | Method and apparatus for transmitting data frames between switches in a meshed data network |
US6212558B1 (en) * | 1997-04-25 | 2001-04-03 | Anand K. Antur | Method and apparatus for configuring and managing firewalls and security devices |
US6049528A (en) | 1997-06-30 | 2000-04-11 | Sun Microsystems, Inc. | Trunking ethernet-compatible networks |
US6088356A (en) | 1997-06-30 | 2000-07-11 | Sun Microsystems, Inc. | System and method for a multi-layer network element |
US5909686A (en) | 1997-06-30 | 1999-06-01 | Sun Microsystems, Inc. | Hardware-assisted central processing unit access to a forwarding database |
US6775692B1 (en) | 1997-07-31 | 2004-08-10 | Cisco Technology, Inc. | Proxying and unproxying a connection using a forwarding agent |
US6104700A (en) * | 1997-08-29 | 2000-08-15 | Extreme Networks | Policy based quality of service |
US6041058A (en) * | 1997-09-11 | 2000-03-21 | 3Com Corporation | Hardware filtering method and apparatus |
US6154775A (en) | 1997-09-12 | 2000-11-28 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with dynamic rule processing with the ability to dynamically alter the operations of rules |
US7143438B1 (en) | 1997-09-12 | 2006-11-28 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with multiple domain support |
US6098172A (en) | 1997-09-12 | 2000-08-01 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with proxy reflection |
US6170012B1 (en) | 1997-09-12 | 2001-01-02 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with cache query processing |
US6141749A (en) | 1997-09-12 | 2000-10-31 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with stateful packet filtering |
US6172981B1 (en) * | 1997-10-30 | 2001-01-09 | International Business Machines Corporation | Method and system for distributing network routing functions to local area network stations |
US6182226B1 (en) * | 1998-03-18 | 2001-01-30 | Secure Computing Corporation | System and method for controlling interactions between networks |
US6141755A (en) * | 1998-04-13 | 2000-10-31 | The United States Of America As Represented By The Director Of The National Security Agency | Firewall security apparatus for high-speed circuit switched networks |
US6456597B1 (en) * | 1998-05-04 | 2002-09-24 | Hewlett Packard Co. | Discovery of unknown MAC addresses using load balancing switch protocols |
JP4080599B2 (ja) * | 1998-06-17 | 2008-04-23 | 富士通株式会社 | 通信制御装置およびマルチキャスト対応lanに適用される通信制御方法 |
US6430188B1 (en) * | 1998-07-08 | 2002-08-06 | Broadcom Corporation | Unified table for L2, L3, L4, switching and filtering |
US6304973B1 (en) * | 1998-08-06 | 2001-10-16 | Cryptek Secure Communications, Llc | Multi-level security network system |
US6438133B1 (en) * | 1998-09-09 | 2002-08-20 | Cisco Technology, Inc. | Load balancing mechanism for a translational bridge environment |
US6556541B1 (en) * | 1999-01-11 | 2003-04-29 | Hewlett-Packard Development Company, L.P. | MAC address learning and propagation in load balancing switch protocols |
IL128814A (en) * | 1999-03-03 | 2004-09-27 | Packet Technologies Ltd | Local network security |
US7145869B1 (en) | 1999-03-17 | 2006-12-05 | Broadcom Corporation | Method for avoiding out-of-ordering of frames in a network switch |
US7643481B2 (en) | 1999-03-17 | 2010-01-05 | Broadcom Corporation | Network switch having a programmable counter |
US6970913B1 (en) | 1999-07-02 | 2005-11-29 | Cisco Technology, Inc. | Load balancing using distributed forwarding agents with application based feedback for different virtual machines |
US6742045B1 (en) | 1999-07-02 | 2004-05-25 | Cisco Technology, Inc. | Handling packet fragments in a distributed network service environment |
US6650641B1 (en) | 1999-07-02 | 2003-11-18 | Cisco Technology, Inc. | Network address translation using a forwarding agent |
US6606315B1 (en) | 1999-07-02 | 2003-08-12 | Cisco Technology, Inc. | Synchronizing service instructions among forwarding agents using a service manager |
US6549516B1 (en) | 1999-07-02 | 2003-04-15 | Cisco Technology, Inc. | Sending instructions from a service manager to forwarding agents on a need to know basis |
US6735169B1 (en) | 1999-07-02 | 2004-05-11 | Cisco Technology, Inc. | Cascading multiple services on a forwarding agent |
US6633560B1 (en) | 1999-07-02 | 2003-10-14 | Cisco Technology, Inc. | Distribution of network services among multiple service managers without client involvement |
US6704278B1 (en) | 1999-07-02 | 2004-03-09 | Cisco Technology, Inc. | Stateful failover of service managers |
US7051066B1 (en) | 1999-07-02 | 2006-05-23 | Cisco Technology, Inc. | Integrating service managers into a routing infrastructure using forwarding agents |
US6684253B1 (en) * | 1999-11-18 | 2004-01-27 | Wachovia Bank, N.A., As Administrative Agent | Secure segregation of data of two or more domains or trust realms transmitted through a common data channel |
US6754716B1 (en) * | 2000-02-11 | 2004-06-22 | Ensim Corporation | Restricting communication between network devices on a common network |
US7263719B2 (en) * | 2000-05-15 | 2007-08-28 | Hewlett-Packard Development Company, L.P. | System and method for implementing network security policies on a common network infrastructure |
US7031297B1 (en) | 2000-06-15 | 2006-04-18 | Avaya Communication Israel Ltd. | Policy enforcement switching |
US20020053020A1 (en) * | 2000-06-30 | 2002-05-02 | Raytheon Company | Secure compartmented mode knowledge management portal |
US7047561B1 (en) * | 2000-09-28 | 2006-05-16 | Nortel Networks Limited | Firewall for real-time internet applications |
JP3474548B2 (ja) * | 2001-04-09 | 2003-12-08 | アライドテレシス株式会社 | 集合建築物 |
US7239636B2 (en) | 2001-07-23 | 2007-07-03 | Broadcom Corporation | Multiple virtual channels for use in network devices |
US20030033463A1 (en) | 2001-08-10 | 2003-02-13 | Garnett Paul J. | Computer system storage |
US7302700B2 (en) | 2001-09-28 | 2007-11-27 | Juniper Networks, Inc. | Method and apparatus for implementing a layer 3/layer 7 firewall in an L2 device |
JP2005215935A (ja) * | 2004-01-29 | 2005-08-11 | Vodafone Kk | ファイアウォール |
US7895431B2 (en) | 2004-09-10 | 2011-02-22 | Cavium Networks, Inc. | Packet queuing, scheduling and ordering |
US7535907B2 (en) | 2005-04-08 | 2009-05-19 | Oavium Networks, Inc. | TCP engine |
-
2001
- 2001-09-28 US US09/967,878 patent/US7302700B2/en active Active
-
2002
- 2002-09-26 IL IL16111202A patent/IL161112A0/xx unknown
- 2002-09-26 JP JP2003533141A patent/JP4332033B2/ja not_active Expired - Lifetime
- 2002-09-26 EP EP02763764.4A patent/EP1438670B1/en not_active Expired - Lifetime
- 2002-09-26 AU AU2002327757A patent/AU2002327757B2/en not_active Ceased
- 2002-09-26 CN CNB028213874A patent/CN100437543C/zh not_active Expired - Lifetime
- 2002-09-26 WO PCT/US2002/030835 patent/WO2003030004A1/en active Application Filing
- 2002-09-26 EP EP13155632.6A patent/EP2595357B1/en not_active Expired - Lifetime
- 2002-09-26 CA CA002461866A patent/CA2461866A1/en not_active Abandoned
-
2004
- 2004-03-25 IL IL161112A patent/IL161112A/en active IP Right Grant
-
2007
- 2007-10-09 US US11/869,287 patent/US7779459B2/en not_active Expired - Lifetime
-
2010
- 2010-07-08 US US12/832,347 patent/US8291114B2/en not_active Expired - Lifetime
-
2012
- 2012-09-14 US US13/615,780 patent/US8689316B2/en not_active Expired - Fee Related
-
2014
- 2014-03-31 US US14/230,210 patent/US9407605B2/en not_active Expired - Lifetime
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6115472A (en) * | 1996-09-11 | 2000-09-05 | Nippon Telegraph And Telephone Corporation | Contents transmission control method with user authentication functions and recording medium with the method recorded thereon |
US5968176A (en) * | 1997-05-29 | 1999-10-19 | 3Com Corporation | Multilayer firewall system |
US6131120A (en) * | 1997-10-24 | 2000-10-10 | Directory Logic, Inc. | Enterprise network management directory containing network addresses of users and devices providing access lists to routers and servers |
US6233688B1 (en) * | 1998-06-30 | 2001-05-15 | Sun Microsystems, Inc. | Remote access firewall traversal URL |
Also Published As
Publication number | Publication date |
---|---|
JP2005505175A (ja) | 2005-02-17 |
US7779459B2 (en) | 2010-08-17 |
IL161112A0 (en) | 2004-08-31 |
EP1438670B1 (en) | 2017-06-14 |
IL161112A (en) | 2010-06-16 |
US20140215600A1 (en) | 2014-07-31 |
US20030065944A1 (en) | 2003-04-03 |
US20080034414A1 (en) | 2008-02-07 |
EP1438670A4 (en) | 2010-12-15 |
US8291114B2 (en) | 2012-10-16 |
CA2461866A1 (en) | 2003-04-10 |
US8689316B2 (en) | 2014-04-01 |
US20130007839A1 (en) | 2013-01-03 |
US9407605B2 (en) | 2016-08-02 |
US20100281533A1 (en) | 2010-11-04 |
AU2002327757B2 (en) | 2008-11-06 |
EP2595357A3 (en) | 2014-08-20 |
EP2595357B1 (en) | 2018-08-29 |
CN1575462A (zh) | 2005-02-02 |
EP1438670A1 (en) | 2004-07-21 |
JP4332033B2 (ja) | 2009-09-16 |
WO2003030004A1 (en) | 2003-04-10 |
EP2595357A2 (en) | 2013-05-22 |
US7302700B2 (en) | 2007-11-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN100437543C (zh) | 在第2层装置中实现第3层/第7层防火墙的方法和设备 | |
EP0988735B1 (en) | Architecture for virtual private networks | |
EP0988736B1 (en) | An apparatus for implementing virtual private networks | |
CN1640090B (zh) | 分布式服务拒绝攻击的安全的自动化的响应装置与方法 | |
CN100389400C (zh) | 虚拟专用网(vpn)和防火墙的集成系统 | |
CN1790980B (zh) | 安全验证通告协议 | |
CN102130919B (zh) | 个人虚拟桥接局域网 | |
US6345299B2 (en) | Distributed security system for a communication network | |
CN101420455A (zh) | 反向http网关数据传输系统和/或方法及其网络 | |
AU2002327757A1 (en) | Method and apparatus for implementing a layer 3/layer 7 firewall in an L2 device | |
US7203195B2 (en) | Method for packet transferring and apparatus for packet transferring | |
EP1909436A1 (en) | System and method of integrating a node into a virtual ring | |
US6347338B1 (en) | Precomputed and distributed security system for a communication network | |
Jingjing et al. | The Study on the Encryption Technology of Black Core Network | |
EP1652331A2 (en) | Security through manipulation of virtual topography | |
Barker | Network management and diagnostics for secure LANs | |
JP2001103096A (ja) | ネットワークの構築方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
C56 | Change in the name or address of the patentee |
Owner name: JUNIPER NETWORKS INC. Free format text: FORMER NAME: NETSCREEN TECHNOLOGIES INC. |
|
CP01 | Change in the name or title of a patent holder |
Address after: American California Patentee after: Juniper Networks, Inc. Address before: American California Patentee before: Jungle network |
|
CX01 | Expiry of patent term | ||
CX01 | Expiry of patent term |
Granted publication date: 20081126 |