DE602004008055T2 - Intelligente integrierte netzwerksicherheitseinrichtung - Google Patents

Intelligente integrierte netzwerksicherheitseinrichtung Download PDF

Info

Publication number
DE602004008055T2
DE602004008055T2 DE602004008055T DE602004008055T DE602004008055T2 DE 602004008055 T2 DE602004008055 T2 DE 602004008055T2 DE 602004008055 T DE602004008055 T DE 602004008055T DE 602004008055 T DE602004008055 T DE 602004008055T DE 602004008055 T2 DE602004008055 T2 DE 602004008055T2
Authority
DE
Germany
Prior art keywords
stream
devices
information
packet
processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE602004008055T
Other languages
English (en)
Other versions
DE602004008055D1 (de
Inventor
Nir Redwood City ZUK
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Juniper Networks Inc
Original Assignee
Juniper Networks Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=33130453&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=DE602004008055(T2) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by Juniper Networks Inc filed Critical Juniper Networks Inc
Publication of DE602004008055D1 publication Critical patent/DE602004008055D1/de
Application granted granted Critical
Publication of DE602004008055T2 publication Critical patent/DE602004008055T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0254Stateful filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • H04L63/0218Distributed architectures, e.g. distributed firewalls

Description

  • Die vorliegende Erfindung betrifft ein Verfahren zum Steuern einer Computernetzwerksicherheit.
  • Firewalls und Einbruchsdedektionssysteme sind Vorrichtungen, die verwendet werden, um ein Computernetzwerk vor unautorisierten oder zerstörerischen Nutzern zu schützen. Eine Firewall kann verwendet werden, um ein Nahbereichnetzwerk vor Nutzern außerhalb des Nahbereichnetzwerkes zu schützen. Eine Firewall überprüft, routed und markiert oftmals sämtliche Nachrichten, die an User oder von Usern außerhalb des Nahbereichnetzwerkes gesendet werden. Ein Einbruchsdedektionssystem (IDS) kann verwendet werden, um Informationen zu untersuchen, die innerhalb eines Netzwerkes übermittelt werden, um ein verdächtiges Verhaltensmuster zu erkennen.
  • Informationen, welche von dem IDS erhalten werden, können verwendet werden, um unautorisierte oder zerstörerische Nutzer davon abzuhalten, Zugang zu dem Netzwerk zu gewinnen. Ein Einbruchverhinderungssystem (IPS) stellt eine Inline-Version eines IDS dar. Ein IPS kann verwendet werden, um Informationen zu untersuchen, wenn sie innerhalb eines Netzwerkes übermittelt werden, um verdächtige Verhaltensmuster zu erkennen.
  • Ein auf einem Strom basierender Router (FBR) kann es Netzwerkadministratoren ermöglichen, ein Paketübermitteln und -routen gemäß Netzwerk-Policies zu implementieren, welche von einem Netzwerk-Administrator definiert werden. FBRs können es Netzwerkadministratoren ermöglichen, Policies zu implementieren, welche wahlweise verursachen, dass Pakete über spezielle Wege in dem Netzwerk gerouted werden, FBRs können ebenso dazu verwendet werden, sicherzustellen, dass bestimmte Arten von Paketen differenzierte bevorzugte Services empfangen, wenn sie gerouted werden. Herkömmliche Router können Pakete an ihre Zieladresse basierend auf verfügbaren Routing-Informationen übermitteln. Anstatt eines Routings, dass lediglich auf der Zieladresse basiert, können FBRs es einem Netzwerkadministrator ermöglichen, Routing-Policies zu implementieren, um basierend auf verschiedenen anderen Kriterien, einschließlich der Anwendung, des Protokolls, der Paketgröße und der Identität des Endsystems, Pakete zuzulassen oder abzulehnen.
  • Ein Paketfilter kann bezüglich der Daten in der Netzwerkschicht arbeiten, um ein vertrauenswürdiges Netzwerk vor einer Attacke durch ein nichtvertrauenswürdiges Netzwerk zu verteidigen. Paketfilter könne auf der Netzwerkschicht arbeiten, um Felder der TCP/IP-Header, einschließlich des Protokolltyps, der Quell- und Ziel-IP-Adresse und der Quell- und Ziel-Port-Nummern, zu untersuchen. Nachteile von Paketfiltern schließen die Geschwindigkeit (d. h. langsam) und Verwaltung in großen Netzwerken mit komplexen Sicherheits-Policies ein. Paketfilter alleine könne keinen robusten Schutz zur Verfügung stellen, da Paketfilter den Inhalt der gegebenen Kommunikation nicht kennen. Zusätzlich untersuchen Paketfilter nicht die Daten auf der Anwendungsschicht, wodurch Paketfilter gegenüber versuchten Sicherheitseindringungen unter Verwendung der Verwendungsschicht verletzlich werden.
  • Ein Proxy-Server kann hinsichtlich von Werten arbeiten, welche in der Anwendungsschicht getragen werden, um ein vertrauenswürdiges Netzwerk von einem nichtvertrauenswürdigen Netzwerk zu isolieren. In einem Anwendungs-Proxy-Server werden zwei TCP-Verbindungen aufgebaut: eine zwischen der Paketquelle und dem Proxy-Server, eine andere zwischen dem Proxy-Server und dem Paketziel. Der Anwendungs-Proxy-Server kann anstelle des Ziel-Servers die ankommenden Pakete empfangen. Die Anwendungsdaten können von dem Proxy-Server gesammelt und untersucht werden, und es kann eine zweite TCP-Verbindung zwischen dem Proxy-Server und dem Ziel-Server zum Übermitteln erlaubter Pakete an den Zielserver geöffnet werden. Proxy-Server können aufgrund des zusätzlichen Protokoll-Stack-Overheads, der für das Untersuchen von Paketen auf der Anwendungsschicht erforderlich ist, langsam sein. Des Weiteren können, da ein einzelner Proxy für jede Anwendung erforderlich sein kann, Proxy-Server hinsichtlich der Implementation komplex und für die Unterstützung neuer Anwendungen schwierig zu modifizieren sein. Zusätzlich kann es passieren, dass, weil Proxy-Server lediglich Anwendungspakete untersuchen, Proxy-Server nicht ein versuchtes Eindringen in die Netzwerk-Sicherheit an dem TCP oder Netzwerk-Schichten detektieren.
  • Ein verwandter Stand der Technik zu der vorliegenden Anwendung kann die internationale Veröffentlichung Nr. WO 03/025766 und das US Patent Nr. 6 466 985 einschließen. Die internationale Veröffentlichung Nr. WO 03/025766 stellt ein System und ein Verfahren zum Übermitteln von Paketen zur Verfügung. Das Übermitteln von Paketen verbessert die Leistungsfähigkeit von allgemeinen Netzwerk-Sicherheitsanbindungen. Das US Patent Nr. 6 466 985 betrifft ein Verfahren und eine Vorrichtung zum Bereitstellen eines Quality-Of- Services unter Verwendung des Internet-Protokolls (IP). Das Verfahren und die Vorrichtung können für das Tragen von IP-Strömen optimiert sein, und sie können als Teil der Lower-Layer(Layer 2)-Protokolle implementiert sein.
  • Zusammenfassung
  • Die vorliegende Erfindung stellt ein Verfahren, ein System und eine Vorrichtung gemäß den Ansprüchen 1, 22 und 43 für das Verarbeiten von Datenpaketen und für das Implementieren einer Computernetzwerk-Sicherheit zur Verfügung.
  • Vorteile der Erfindung können eines oder mehrere der folgenden Merkmale einschließen. Die offenbarte Technik kann dazu verwendet werden, ein versuchtes Eindringen in die Netzwerksicherheit zu detektieren und potentiell das gegenwärtige Paket, welches mit dem Sicherheitseindringen assoziiert ist, zu blockieren. Die offenbarte Technik kann eine robuste und effiziente Netzwerksicherheit zur Verfügung stellen und schließt mehrere Sicherheitseinrichtungen jedoch lediglich eine Strom-Tabelle ein. Netzwerksicherheitsinformationen werden von anderen Netzwerksicherheitseinrichtungen erhalten und in einem einzelnen Stromdatensatz in der Strom-Tabelle gespeichert. Die Verwendung eines einzelnen Stromdatensatzes dazu, zu bestimmen, ob ein Paket zugelassen werden sollte, kann in einer schnelleren Antwortzeit resultieren.
  • Die Einzelheiten von einer oder mehreren Implementationen der Erfindung werden in den begleitenden Zeichnungen und der folgenden Beschreibung dargelegt. Andere Merkmale und Vorteile der Erfindung werden aus der Beschreibung, den Zeichnungen und den Ansprüchen offensichtlich.
  • Beschreibung der Zeichnungen
  • 1 zeigt eine Netzwerktopologie, welche ein Sitzungs-Modul einschließt.
  • 2 veranschaulicht ein Blockdiagramm des Sitzungs-Moduls.
  • 3 zeigt die Struktur einer Strom-Tabelle.
  • 4 ist ein Flussdiagramm, welches den Betrieb des Sitzungs-Moduls beschreibt.
  • 5 ist ein Flussdiagramm, welches die Sitzungs-Klassifikation beschreibt.
  • 6 zeigt die quasi-wiedergesammelten Informationen, welche von dem Sitzungs-Modul erzeugt werden.
  • 7 zeigt eine Netzwerktopologie, in welcher das Sitzungs-Modul in einer Firewall enthalten ist.
  • 8 zeigt eine Netzwerktopologie, in welcher das Sitzungs-Modul in Reihe mit einer Firewall, einem IPS und einem Router arbeitet.
  • 9 zeigt eine Netzwerktopologie, in der ein Sitzungs-Modul, eine Firewall, ein IPS und ein Router in einer einzelnen Sicherheitseinrichtung enthalten sind.
  • Gleiche Bezugszeichen und Bezeichnungen bezeichnen in den verschiedenen Zeichnungen gleiche Elemente.
  • Ausführliche Beschreibung
  • 1 zeigt eine Netzwerktopologie, welche ein Nahbereichsnetzwerk (Local Area Network, LAN) (100) einschließt, welches einen Server (102), verschiedene Workstations (W/S) (104) und eine Sicherheitseinrichtung 124 einschließt. Das Sicherheitssystem 124 kann ein Sitzungs-Modul 122 und eine Mehrzahl von anderen Sicherheitseinrichtungen einschließen. In der gezeigten Implementation schließt das Sicherheitssystem 124 zwei Sicherheitseinrichtungen, eine erste Sicherheitseinrichtung 106 und eine zweite Sicherheitseinrichtung 108, ein. Das LAN 100 ist mit einem externen Netzwerk, z. B. dem Internet (114) über das Sicherheitssystem 124 verbunden. Das LAN 100 ist ebenso mit einem zweiten LAN (116) über einen Router (118) und Satellit (120) verbunden. Das zweite LAN 116 schließt einen Web-Server (110), einen E-Mail-Server (112), einen Server 102, verschiedene Workstations 104 und ein Sicherheitssystem 124 ein. Die Computer, Server und anderen Vorrichtungen in dem LAN sind miteinander unter Verwendung einer Anzahl von Da tenübermittlungsmedien, wie Draht, optischen Fasern und Funkwellen, verbunden. Das Sitzungs-Modul 122 überwacht Pakete, welche innerhalb des Netzwerkes übermittelt werden. In einer Implementation kann die erste Sicherheitseinrichtung 106 eine Firewall sein, und es kann die zweite Sicherheitseinrichtung 108 ein IPS sein. Das Sitzungs-Modul 122 kann in Verbindung mit der ersten Sicherheitseinrichtung 106 und der zweiten Sicherheitseinrichtung 108 arbeiten, um das Blockieren von Paketen zu erleichtern, welche mit einem versuchten Eindringen in die Netzwerksicherheit assoziiert sind.
  • 2 zeigt ein Blockdiagramm eines Sitzungs-Moduls 122. Das Sitzungs-Modul 122 schließt eine Schnittstelle 205 für eingehende Pakete zum Empfangen von Paketen ein. Die empfangenen Pakete werden durch eine Stromverarbeitungs-Engine (FPE) 202 verarbeitet, um zu bestimmen, ob gerade ein versuchtes Eindringen in die Netzwerksicherheit stattfindet. Das Sitzungs-Modul 122 schießt ebenso eine Strom-Tabelle 215 ein. Die Strom-Tabelle 215 wird dazu verwendet, Informationen bezüglich von Strömen zu speichern, welche mit den empfangenen Paketen assoziiert sind. Das Sitzungs-Modul 122 schließt ebenso Schnittstellen zu anderen Sicherheitseinrichtungen in dem Netzwerk ein. In einer Implementation schließt das Sitzungs-Modul 122 eine Firewall-Schnittstelle 220, eine IPS-Schnittstelle 225 und eine Stromrouter-Schnittstelle 230 ein. Die Sicherheitseinrichtungsschnittstellen 220 werden von dem Sitzungs-Modul verwendet, um Informationen bezüglich der empfangenen Pakete und Informationen bezüglich des Stroms, welcher mit dem Paket assoziiert ist, zu erhalten, um bestimmen, ob das empfangene Paket zugelassen oder verändert werden sollte. Die Sicherheitseinrichtungsschnittstellen 218 werden ebenso von dem Sitzungs-Modul 122 verwendet, um Strominformationen zu übermitteln, welche von den Sicherheitseinrichtungen angefordert werden, um das Verarbeiten des Pakets zu ermöglichen.
  • 3 veranschaulicht eine Struktur einer Strom-Tabelle 300. Die Strom-Tabelle 300 schließt Strom-Datensätze 302 ein, welche mit den gegenwärtigen TCP/IP-Strömen assoziiert sind. Ein TCP/IP-Strom schließt eine Sequenz von Datenpaketen ein, welche Informationen zwischen einer Quelle und einem Ziel in einer Richtung übermitteln. Die Strom-Datensätze werden unter Verwendung eines Index-Schlüssels 305 indiziert. Der Index-Schlüssel 305 wird dazu verwendet, den geeigneten Strom-Datensatz, der mit einem empfangenen Paket assoziiert ist, zu speichern und wieder auszulesen. In einer Implementation kann der Index-Schlüssel 305 ein Hash-Key sein, und es kann die Strom-Tabelle 300 als eine Hash-Tabelle implementiert sein. Das Sitzungs-Modul 122 (2) speichert Anwei sungen für zwei oder mehr Sicherheitseinrichtungen in dem Netzwerk in dem selben Strom-Datensatz. In einer Implementation des Sitzungs-Moduls 122 werden Anweisungen für drei Sicherheitseinrichtungen (d. h. für die Einrichtungen 310, 315 und 320) in dem Strom-Datensatz 302 gespeichert. Der Strom-Datensatz 302 kann Policy-Informationen (Firewall-Policy, IPS-Policy usw., die auf den Strom anzuwenden sind) sowie andere Informationen speichern, die von den Sicherheitseinrichtungen verwendet werden, wie Verschlüsselungsparameter, Adressenübersetzungsparameter, Buchhaltungsinformationen und Statistiken. Der Strom-Datensatz 302 kann ebenso Strominformationen 325 einschließen, welche von dem Sitzungsstrichmodul 122 benötigt werden, um zu entscheiden, ob das Paket zugelassen werden sollte. Solche Informationen könne Informationen einschließen, welche erforderlich sind, um Netzwerk-Policies, z. B. bezüglich des Verbindungs-Time-Outs, der Zeitberechnung und Bandbreitenverwendung, zu implementieren. Ströme, Sitzungen und Strom-Tabellen werden in größerer Ausführlichkeit in der anhängigen und gemeinsam besessenen Patentanmeldung mit dem Titel „Multi-Method Gateway-Based Network Security Systems and Methods" mit der laufenden Nummer 10/072 683 beschrieben.
  • 4 ist ein Flussdiagramm, welches die Operation der FPE 202 (2) beschreibt. Mit Bezug nunmehr auf die 2 und 4 werden eingehende Pakete von dem Sitzungs-Modul empfangen (Schritt 400). IP-Pakete werden defragmentiert (Schritt 402), und es wird der IP-Header für jedes IP-Paket bestätigt (Schritt 403). In dem Bestätigungsschritt wird der IP-Header, der mit einem gegebenen Paket assoziiert ist, extrahiert, und es wird der extrahierte IP-Header auf grundlegende Fehler hin untersucht. Danach bestimmt die FPE 202, ob die Sitzung zugelassen werden soll (Schritt 415).
  • Wenn das Paket ein TCP-Paket (Schritt 404) ist, wird der TCP-Header bestätigt (Schritt 405), und es werden die TCP-Pakete wieder aufgesammelt (Schritt 410). Der Bestätigungsprozess schließt das Extrahieren von TCP-Header-Daten und das Auswerten des Headers bezüglich fundamentaler Fehler ein. Die Quasi-Wiederversammlungsinformationen, die in Schritt 410 entwickelt werden, können von dem Sitzungs-Modul 122 zu anderen Sicherheitseinrichtungen übermittelt werden, um das Verarbeiten des Pakets von den anderen Sicherheitseinrichtungen zu ermöglichen. Das Wiederversammeln wird in größerer Ausführlichkeit unten und "Multi-Method Gateway-Based Network Security Systems and Methods" beschrieben.
  • In Schritt 415 führt die FPE 202 eine Sitzungsklassifikation unter Verwendung der TCP/IP-Header-Daten aus, die mit einem gegebenen empfangenen Paket assoziiert sind. Das Sitzungs-Modul 122 kann basierend auf Informationen bezüglich des TCP/IP-Stroms, der mit dem empfangenen Paket assoziiert ist, und die von der Strom-Tabelle 420 ausgelesen werden, bestimmen, ob das Paket zugelassen werden sollte. Zusätzlich kann das Sitzungs-Modul 122 Informationen verwenden, welche von einer der anderen Sicherheitseinrichtungen, z. B. der Firewall 425, dem IPS 430 und dem auf einem Strom basierenden Router 435 zurückgegeben werden. Weiterhin kann das Sitzungs-Modul 122 ebenso die Operation der Sicherheitseinrichtungen durch Übermitteln an eine entsprechende Vorrichtung, wie es von der Vorrichtung zum Verarbeiten eines gegebenen Pakets erfordert ist, ermöglichen. Schließlich übermittelt die FPE 202 das Paket, wenn das Paket zugelassen werden sollte (Schritt 440). Andernfalls wird das Paket in Schritt 445 anderweitig verarbeitet. Eine andere Verarbeitung kann das Protokollieren bestimmter Informationen bezüglich des Pakets, das Halten des Pakets, das Modifizieren und/oder Fallenlassen des Pakets einschließen. Dieses vollendet die Beschreibung des Betriebs der FPE 202.
  • 5 ist ein Flussdiagramm, welches die Schritte zeigt, die in der Sitzungsklassifikation enthalten sind (Schritt 415). Der Sitzungsklassifikationsschritt empfängt ein Paket (Schritt 500) und extrahiert Informationen, welche erforderlich sind, um zu bestimmen, ob das Paket zugelassen werden sollte. Die extrahierten Informationen können die Quell- und Ziel-IP-Adresse einschließen, die Quell- und Ziel-Port-Nummer und das Protokoll (Schritt 505). Die extrahierten Informationen können dazu verwendet werden, die Strom-Tabelle zu durchsuchen (Schritt 510), um zu bestimmen, ob das Paket mit einem bekannten Sitzungsstrom assoziiert ist. Für einen bekannten Sitzungsstrom wird Schritt 510 einen passenden Strom-Datensatz in der Strom-Tabelle erzeugen (Schritt 515). Wenn ein entsprechender Strom-Datensatz gefunden wird, kann das FPE 202 (2) aus dem entsprechenden Strom-Datensatz TCP/IP-Sitzungsinformationen für das empfangene Paket extrahieren (Schritt 520). Die FPE 202 bestimmt unter Verwendung der TCP/IP-Sitzungsinformationen, welche während des Schritts 520 erhalten werden, ob das empfangene Paket zugelassen werden sollte. Genauer gesagt extrahiert die FPE 202 Informationen aus dem entsprechenden Strom-Datensatz und übermittelt die Informationen an die Sicherheitseinrichtungen (z. B. durch Übermitteln der Sitzungs-ID und der TCP/IP-Sitzungsinformationen sowie jeglicher anderer sicherheitseinrichtungsspezifischer Informationen aus dem Strom-Datensatz) (Schritt 525). In Abhängigkeit von den von den Sicherheitseinrichtungen zu rückgegebenen Ergebnissen kann die FPE 202 das gegebene Paket weiterleiten, fallen lassen, protokollieren, speichern, modifizieren oder anderweitig verarbeiten (Schritt 530).
  • Wenn kein entsprechender Strom-Datensatz in der Strom-Tabelle während des Schritts 515 gefunden wird, kann das empfangene Paket mit einer neuen TCP/IP-Sitzung assoziiert werden (Schritt 532). Für eine neue TCP/IP-Sitzung kann die FPE 202 eine Sitzungs-ID der neuen Sitzung zuweisen, und die FPE 202 kann mit den anderen Sicherheitseinrichtungen (z. B. der Firewall, dem IPS, dem Strom-Router) kommunizieren, um eine Sicherheits-Policy für Pakete, die mit der neuen Sitzung assoziiert sind, zu bestimmen. Die FPE 202 kann z. B. Informationen von der Firewall 540 erhalten, um zu bestimmen, ob empfangene Pakete, die mit der neuen Sitzung assoziiert sind, zugelassen werden sollten. Die FPE 202 kann mit dem IPS 545 kommunizieren, um zu bestimmen, ob das empfangene Paket blockiert werden sollte, da es bekannten Angriffssignaturen für ein versuchtes Eindringen in die Netzwerksicherheit entspricht. Die FPE 202 kann jegliche Netzwerk-Policy erhalten, die mit der neuen Sitzung assoziiert ist, von dem Strom-Router 550. Die FPE 202 kann als ein Arbiter zwischen den verschiedenen Sicherheitseinrichtungen fungieren und die Informationen verwenden; welche entweder einzeln oder in Kombination von den Sicherheitseinrichtungen erhalten werden, um zu bestimmen, ob die Pakete, die mit der neuen TCP/IP-Sitzung assoziiert sind, zugelassen werden sollten. Das FPE 202 kann die Informationen verwenden, die von den Sicherheitseinrichtungen erhalten werden, um einen neuen Strom-Datensatz zu erzeugen und den neuen Strom-Datensatz in der Strom-Tabelle zu speichern (Schritt 555). Der neue Strom-Datensatz schließt die TCP/IP-Sitzungsinformationen für die neue Sitzung, welche mit dem empfangenen Paket assoziiert ist, und jegliche andere spezielle Sicherheitseinrichtungsinformation ein. Danach kann die FPE 202 die Verarbeitung von empfangenen Paketen, die mit einer gegebenen TCP/IP-Sitzung assoziiert sind, wie es oben in Verbindung mit 4 beschrieben ist, einschließlich des Übermittelns der Sitzungs-ID, TCP/IP-Sitzungsinformationen und sicherheitseinrichtungsspezifischer Informationen an die Sicherheitseinrichtungen von einem entsprechenden Strom-Datensatz zu ermöglichen.
  • Zusätzlich zu dem Bestimmen unter Verwendung der verschiedenen Sicherheitseinrichtungen, ob ein empfangenes Paket mit einem versuchten Eindringen in die Netzwerksicherheit assoziiert ist kann das Sitzungs-Modul ebenso ein Quasi-Wederaufsammeln der empfangenen TCP/IP-Pakete, wie es oben in Verbindung mit 4 beschrieben ist, ausführen. 6 zeigt die Quasi-Wiederaufsammlungsinformationen, welche von dem Sitzungs- Modul erzeugt werden können. Die Quasi-Wiederaufsammlungsinformationen können einen Zeiger zu einem Ort eines gegebenen Pakets 600 im Speicher und einen Zeiger zu Informationen, welche die relative Position des Pakets in einem Strom 605 enthalten, einschließen. In einer Implementation kann ein IPS ein passives TCP/IP-Wiederaufsammeln ausführen, und es kann der Zeiger zu dem Ort des Paketes dazu verwendet werden, das Paket innerhalb des IPS zu lokalisieren. In einer anderen Implementation können Informationen, welche die relative Position des Pakets in dem Strom enthalten, dazu verwendet werden, die TCP/IP-Sequenznummer, welche in dem TCP/IP-Header assoziiert mit dem Paket enthalten ist, zu erhalten. Die Quasi-Wiederaufsammlungsinformationen können an die Sicherheitseinrichtungen, welche mit dem Sitzungs-Modul 122 verbunden sind (2), wie es erforderlich ist, übermittelt werden. Die Sicherheitseinrichtungen können die Quasi-Wiederaufsammlungsinformationen dazu verwenden, das empfangene Paket zu verarbeiten.
  • Das Sitzungs-Modul kann in einer Anzahl von verschiedenen Netzwerktopologien verwendet werden. 7 zeigt eine Netzwerktopologie, in der ein Sitzungs-Modul 710 in einer Firewall 705 integriert ist. Die Firewall 705 kann eine Schnittstelle zu einem Router 720 und einem IPS 715 einschließen. Die Firewall 705 empfängt Pakete von der externen Netzwerkschnittstelle 700. Die Fierwall 705 kommuniziert mit dem IPS 715, um zu bestimmen, ob das empfangene Paket, auf der Grundlage von bekannten Angriffssignaturen blockiert werden sollte. Wenn die Firewall 705 und das IPS 715 bestimmen, dass es dem Paket erlaubt sein sollte, zu passieren, sendet die Firewall 705 das empfangene Paket an den Router 720. Der Router 720 leitet das ausgehende Paket unter Verwendung der internen Netzwerkschnittstelle 725 basierend auf den Netzwerk-Policies, die in dem Router gespeichert sind, an sein gewünschtes Ziel weiter.
  • 8 zeigt eine alternative Anordnung zum Implementieren einer Computer-Netzwerksicherheit unter Verwendung eines Sitzungs-Moduls. In dieser Anordnung arbeitet das Sitzungs-Modul 820 in Reihe mit einer Firewall 805, einem IPS 810 und einem Router 815. Pakete, welche unter Verwendung der externen Netzwerkschnittstelle 800 empfangen werden, werden von der Firewall 805 untersucht, bevor sie an den Router 815 übermittelt werden. Die Firewall 805 sendet ebenso Informationen bezüglich des empfangenen Pakets an das IPS 810. Das IPS 810 untersucht das empfangene Paket und informiert das Sitzungs-Modul 820, wenn das empfangene Paket auf der Grundlage von bekannten Angriffssignaturen blockiert werden sollte. Der Router 815 sendet das Paket an das Sitzungs- Modul 820 für die weitere Verarbeitung. Wenn das Sitzungs-Modul 820 bestimmt, dass das Paket zugelassen werden sollte, leitet es das empfangene Paket unter Verwendung der internen Netzwerkschnittstelle 825 an sein gewünschtes Ziel weiter.
  • Die Erfindung kann in einer digitalen elektronischen Schaltung oder in einer Computerhardware, Firmware, Software oder in einer Kombination von diesen implementiert werden. Die Erfindung kann als ein Computerprogrammprodukt implementiert werden, d. h. als ein Computerprogramm, das handgreiflich in einem Informationsträger, z. B. in einer maschinenlesbaren Speichereinrichtung oder in einem ausgesendeten Signal verkörpert ist, zur Ausführung durch einen oder zur Steuerung des Betriebs von einem Datenverarbeitungsgerät, z. B. einem programmierbaren Prozessor, einem Computer oder mehreren Computern. Ein Computerprogramm kann in jeglicher Art von einer Programmiersprache, einschließlich von Compiler- oder Interpreter-Sprachen geschrieben sein, und es kann in jeglicher Form, einschließlich als alleiniges Programm oder als ein Modul, eine Komponente, ein Unterprogramm oder eine andere Einheit, die zur Verwendung in einer Computerumgebung geeignet ist, entwickelt werden. Ein Computerprogramm kann dahingehend entwickelt werden, dass es auf einem Computer oder auf mehreren Computern an einer Stelle oder verteilt über mehrere Stellen und durch ein Kommunikationsnetzwerk verbunden ausgeführt wird.
  • Verfahrensschritte der Erfindung können durch einen oder mehrere programmierbare Prozessoren, die ein Computerprogramm ausführen, um Funktionen der Erfindung durch Verarbeiten von Eingangsdaten und Erzeugen einer Ausgabe ausgeführt werden. Verfahrensschritte können ebenso durch eine spezielle logische Schaltung, z. B. ein FPGA (Field Programmable Gate Array) oder einen ASIC (Application-Specific Integrated Circuit) ausgeführt werden, und es kann eine Vorrichtung der Erfindung als solche implementiert sein.
  • Prozessoren, die für die Ausführung eines Computerprogramms geeignet sind, schließen beispielhaft sowohl allgemeine als auch spezielle Mikroprozessoren und jegliche eine oder mehrere Prozessoren irgendeiner Art von digitalen Computern ein. Im Allgemeinen wird ein Prozessor Anweisungen und Daten von einem Nur-Lese-Speicher oder einem Speicher eines wahlfreien Zugriffs oder von beiden empfangen. Die wesentlichen Elemente eines Computers sind ein Prozessor zum Ausführen von Anweisungen und eine oder mehrere Speichereinrichtungen zum Speichern von Anweisungen und Daten. Im Allgemeinen wird ein Computer ebenso einschließen oder dazu operativ verbunden sein, um Daten von einem oder mehreren Massenspeichereinrichtungen zum Speichern von Daten zu empfan gen oder zu diesen zu übermitteln oder beides, z. B. von magnetischen, magnetooptischen Disks oder optischen Disks. Informationsträger, die zum Verkörpern von Computerprogrammanweisungen und Daten geeignet sind, schließen sämtliche Formen eines nicht flüchtigen Speichers ein, einschließlich z. B. von Halbleiterspeichereinrichtungen, z. B. EPROM, EEPROM und Flash-Speichereinrichtungen; magnetischen Disks, z. B. internen Festplatten oder entfernbaren Disks, magnetooptischen Disks und CD-ROM und DVD-ROM-Disks. Der Prozessor und der Speicher können durch spezielle logische Schaltungen ergänzt werden oder darin enthalten sein.
  • Die Erfindung kann in einem Computersystem implementiert sein, welches eine Back-End- Komponente, z. B. einen Datenserver, einschließt oder welches eine Middleware-Komponente, z. B. einen Anwendungsserver, einschließt oder welches eine Front-End-Komponente, z. B.. einen Client-Computer, welcher eine graphische Nutzerschnittstelle oder einen Webbrowser besitzt, durch welche oder welchen ein Nutzer mit einer Implementation der Erfindung interagieren kann, oder eine Kombination von solchen Back-End-, Middleware- oder Front-End-Komponenten einschließen. Die Komponenten des Systems können durch jegliche Form oder ein jegliches Medium von digitaler Datenkommunikation, z. B. einem Kommunikationsnetzwerk, miteinander verbunden sein. Beispiele von Kommunikationsnetzwerken schließen ein Nahbereichsnetzwerk (Local Area Network, „LAN") und ein Fernbereichsnetzwerk (Wide Area Network, „WAN"), z. B. das Internet, ein.
  • Das Computersystem kann Clients und Server einschließen. Ein Client und ein Server sind im allgemeinen entfernt voneinander und interagieren typischerweise durch ein Netzwerk. Das Verhältnis von einem Client und einem Server entsteht durch Computerprogramme, die auf entsprechenden Computern laufen und ein Client-Server-Verhältnis zueinander aufweisen.
  • Diese Erfindung ist im Hinblick auf bestimmte Ausführungsformen beschrieben worden. Nichtsdestoweniger versteht es sich, dass verschiedene Modifikationen vorgenommen werden können. Zum Beispiel können die Schritte der Erfindung in einer anderen Reihenfolge ausgeführt werden, und es werden dennoch gewünschte Ergebnisse erhalten. Zusätzlich können das Sitzungs-Modul, das IPS, die Firewall und der Router sämtliche in einer einzelnen Einrichtung, wie in der Konfiguration, die in 9 gezeigt ist, enthalten sein. Andere Konfigurationen eines Sitzungs-Moduls im Paket mit einer oder mehreren Sicherheitseinrichtungen sind ebenso möglich. Demgemäß liegen andere Ausführungsformen innerhalb des Bereichs der folgenden Ansprüche.

Claims (47)

  1. Ein Verfahren zum Überprüfen von Datenpaketen, die mit einem Strom in einem Computernetzwerk (100) assoziiert sind, wobei das Computernetzwerk (100) eine oder mehrere Einrichtungen (102, 104, 124) zum Verarbeiten des Pakets besitzt, wobei jedes Datenpaket assoziierte Header-Daten besitzt, wobei das Verfahren die Schritte umfasst: Empfangen des Datenpakets; Untersuchen des Datenpakets; Bestimmen einer Paket-Kennung unter Verwendung von zumindest assoziierten Header-Daten; Auswerten einer Strom-Tabelle (215, 300) unter Verwendung der Paket-Kennung; Auslesen eines einzelnen Strom-Datensatzes (302), der einem Eintrag in der Strom-Tabelle (215, 300) entspricht; und Extrahieren von Strom-Anweisungen für zwei oder mehr Einrichtungen aus dem einzelnen Strom-Datensatz (302) und Weiterleiten der Strom-Anweisungen an die jeweiligen Einrichtungen, um ein Verarbeiten des Pakets zu ermöglichen.
  2. Das Verfahren von Anspruch 1, in dem die Einrichtungen Sicherheitseinrichtungen sind.
  3. Das Verfahren von Anspruch 2, in dem die Einrichtungen aus einem Einbruchdetektionssystem, einem Einbruchpräventionssystem, einer Firewall (705) und einem strombasierten Router (720) ausgewählt werden.
  4. Das Verfahren von Anspruch 1, in dem das Untersuchen des Datenpakets ein Überprüfen assoziierter Header-Daten einschließt, um zu bestimmen, ob das Datenpaket zugelassen werden sollte.
  5. Das Verfahren von Anspruch 1, in dem das Extrahieren von Strom-Anweisungen für zwei oder mehr Einrichtungen aus dem einzelnen Strom-Datensatz (302) ein Erhalten von Informationen zum Lokalisieren des Datenpakets in einem Speicher und von Informationen, die eine relative Position des Datenpakets innerhalb des Stroms zur Verfügung stellen, einschließt.
  6. Das Verfahren von Anspruch 1, weiterhin umfassend: Erzeugen eines neuen Strom-Datensatzes (302), wenn es keinen entsprechenden Eintrag in der Strom-Tabelle (215, 300) gibt; und Speichern des neuen Datensatzes (302) in der Strom-Tabelle (215, 300).
  7. Das Verfahren von Anspruch 1, in dem das Extrahieren von Strom-Anweisungen aus dem einzelnen Strom-Datensatz (302) einschließt: Extrahieren einer Sitzungs-ID and von Strominformationen (325) aus dem entsprechenden Strom-Datensatz (302); und Übermitteln der Sitzungs-ID und Strominformationen (325) an die Einrichtungen.
  8. Das Verfahren von Anspruch 6, in dem der neue Strom-Datensatzes (302) einschließt: Erzeugen einer neuen Sitzungs-ID; Auslesen einrichtungsspezifischer Strominformationen (325), die mit dem Datenpaket von zumindest zwei Einrichtungen assoziiert sind; und Assoziieren der neuen Sitzungs-ID und der einrichtungsspezifischen Strominformationen (325) mit dem neuen Strom-Datensatzes (302).
  9. Das Verfahren von Anspruch 8, weiterhin das Verwenden der einrichtungsspezifischen Strominformationen (325) zum Erzeugen von Anweisungen für jede Einrichtung zum Verarbeiten des Pakets umfassend.
  10. Das Verfahren von Anspruch 8, in dem eine oder mehrere Einrichtungen Sicherheitseinrichtungen sind, wobei das Verfahren weiterhin ein Speichern von sicherheitseinrichtungsspezifischen Strominformationen (325) für jede Sicherheitseinrichtung zusammen mit der neuen Sitzungs-ID in dem einzelnen Strom-Datensatz (302) umfasst.
  11. Das Verfahren von Anspruch 1, weiterhin ein Verarbeiten des Datenpakets in jeder der zwei oder mehr Einrichtungen unter Verwendung der extrahierten Strom- Anweisungen umfassend.
  12. Das Verfahren von Anspruch 1, in dem zumindest zwei der Einrichtungen Sicherheitseinrichtungen sind, wobei das Verfahren weiterhin umfasst: Empfangen von Auswertungsinformationen von den Sicherheitseinrichtungen, wobei die Auswertungsinformationen bei Verarbeiten des Pakets in einer entsprechenden Einrichtung entwickelt werden; und Verarbeiten des Pakets unter Einschluss einer Verwendung der Auswertungsinformationen.
  13. Das Verfahren von Anspruch 12, in dem der Schritt des Verarbeiten des Pakets eines oder mehr von Weiterleiten, Fallenlassen, Modifizieren, Protokollieren oder Speichern des Pakets einschließt.
  14. Das Verfahren von Anspruch 12, in dem der Verarbeitungsschritt ein Bestimmen davon einschließt, ob das Paket weitergeleitet werden soll.
  15. Das Verfahren von Anspruch 2, in dem der einzelne Strom-Datensatz (302) Policy-Informationen für eine oder mehrere Sicherheitseinrichtungen einschließt.
  16. Das Verfahren von Anspruch 2, in dem der einzelne Strom-Datensatz (302) eine Firewall(705)-Policy und eine Einbruchpräventionssystem-Policy einschließt.
  17. Das Verfahren von Anspruch 1, in dem der einzelne Strom-Datensatz (302) Verschlüsselungsparameter zur Verwendung durch eine der Einrichtungen einschließt.
  18. Das Verfahren von Anspruch 1, in dem der einzelne Strom-Datensatz (302) Adressübersetzungsparameter einschließt.
  19. Das Verfahren von Anspruch 1, in dem der einzelne Strom-Datensatz (302) Buchhaltungsinformationen oder statistische Informationen einschließt.
  20. Das Verfahren von Anspruch 1, in dem der einzelne Strom-Datensatz (302) Informationen einschließt, die beschreiben, welche Policies auf einen gegebenen Strom zur Verwendung durch eine oder mehrere der Einrichtungen anzuwenden sind.
  21. Das Verfahren von Anspruch 1, in dem die Einrichtungen Sicherheitseinrichtungen sind, und der einzelne Strom-Datensatz (302) Policy-Informationen zur Verwendung durch zwei oder mehr Sicherheitseinrichtungen bei dem Verarbeiten des Pakets einschließt.
  22. Ein System zum Überprüfen von Datenpaketen, die mit einem Strom in einem Computernetzwerk (100) assoziiert sind, wobei das Computernetzwerk (100) eine oder mehrere Einrichtungen (102, 104, 124) zum Verarbeiten von Datenpaketen besitzt, wobei jedes Datenpaket assoziierte Header-Daten besitzt, wobei das System umfasst: ein Mittel zum Empfangen des Datenpakets (205); ein Mittel zum Untersuchen des Datenpakets (202); ein Mittel zum Bestimmen einer Paket-Kennung unter Verwendung von zumindest assoziierten Header-Daten; ein Mittel zum Auswerten einer Strom-Tabelle (215, 300) unter Verwendung der Paket-Kennung; ein Mittel zum Auslesen eines einzelnen Strom-Datensatzes (302), der einem Eintrag in der Strom-Tabelle (215, 300) entspricht; und ein Mittel zum Extrahieren von Strom-Anweisungen für zwei oder mehr Einrichtungen aus dem einzelnen Strom-Datensatz (302); und ein Mittel zum Weiterleiten der Strom-Anweisungen an die jeweiligen Einrichtungen, um ein Verarbeiten des Pakets zu ermöglichen.
  23. Das System von Anspruch 22, in dem die Einrichtungen Sicherheitseinrichtungen sind.
  24. Das System von Anspruch 23, in dem die Einrichtungen aus einem Einbruchdetektionssystem, einem Einbruchpräventionssystem, einer Firwall (705) und einem strombasierten Router (720) ausgewählt werden.
  25. Das System von Anspruch 22, in dem das Mittel zum Untersuchen des Datenpakets ein Mittel zum Überprüfen assoziierter Header-Daten einschließt, um zu bestimmen, ob das Datenpaket zugelassen werden sollte.
  26. Das System von Anspruch 22, in dem das Mittel zum Extrahieren von Strom-Anweisungen für zwei oder mehr Einrichtungen aus dem einzelnen Strom-Datensatz (302) ein Mittel Erhalten von Informationen zum Lokalisieren des Datenpakets in einem Speicher und von Informationen, die eine relative Position des Datenpakets innerhalb des Stroms zur Verfügung stellen, einschließt.
  27. Das System von Anspruch 22, weiterhin umfassend: ein Mittel zum Erzeugen eines neuen Strom-Datensatzes (302), wenn es keinen entsprechenden Eintrag in der Strom-Tabelle (215, 300) gibt; und ein Mittel zum Speichern des neuen Datensatzes (302) in der Strom-Tabelle (215, 300).
  28. Das System von Anspruch 22, in dem das Mittel zum Auslesen eines einzelnen Strom-Datensatzes (302) einschließt: ein Mittel zum Extrahieren einer Sitzungs-ID and von Strominformationen (325) aus dem entsprechenden Strom-Datensatz (302); und ein Mittel zum Übermitteln der Sitzungs-ID und Strominformationen (325) an die Einrichtungen.
  29. Das System von Anspruch 27, in dem das Mittel zum Erzeugen eines neuen Strom-Datensatzes (302) einschließt: ein Mittel zum Erzeugen einer neuen Sitzungs-ID; ein Mittel zum Auslesen einrichtungsspezifischer Strominformationen (325), die mit dem Datenpaket von zumindest zwei Einrichtungen assoziiert sind; und ein Mittel zum Assoziieren der neuen Sitzungs-ID und der einrichtungsspezifischen Strominformationen (325) mit dem neuen Strom-Datensatzes (302).
  30. Das System von Anspruch 29, weiterhin ein Mittel zum Verwenden der einrichtungsspezifischen Strominformationen (325) zum Erzeugen von Anweisungen für jede Einrichtung zum Verarbeiten des Pakets umfassend.
  31. Das System von Anspruch 29, in dem eine oder mehrere Einrichtungen Sicherheitseinrichtungen sind, wobei das System weiterhin ein Mittel zum Speichern von sicherheitseinrichtungsspezifischen Strominformationen (325) für jede Si cherheitseinrichtung zusammen mit der neuen Sitzungs-ID in dem einzelnen Strom-Datensatz (302) umfasst.
  32. Das System von Anspruch 22, weiterhin ein Mittel Verarbeiten des Datenpakets in jeder der zwei oder mehr Einrichtungen unter Verwendung der extrahierten Strom-Anweisungen umfassend.
  33. Das System von Anspruch 22, in dem zumindest zwei der Einrichtungen Sicherheitseinrichtungen sind, wobei das System weiterhin umfasst: ein Mittel zum Empfangen von Auswertungsinformationen von den Sicherheitseinrichtungen, wobei die Auswertungsinformationen bei Verarbeiten des Pakets in einer entsprechenden Einrichtung entwickelt werden; und ein Mittel zum Verarbeiten des Pakets unter Einschluss einer Verwendung der Auswertungsinformationen.
  34. Das System von Anspruch 33, in dem das Mittel zum Verarbeiten des Pakets ein oder mehrere von einem Mittel zum Weiterleiten, einem Mittel zum Fallenlassen, einem Mittel zum Modifizieren, einem Mittel zum Protokollieren oder einem Mittel zum Speichern des Pakets einschließt.
  35. Das System von Anspruch 33, in dem das Mittel zum Verarbeiten ein Mittel zum Bestimmen davon, ob das Paket weitergeleitet werden soll, einschließt.
  36. Das System von Anspruch 23, in dem der einzelne Strom-Datensatz (302) Policy-Informationen für eine oder mehrere Sicherheitseinrichtungen einschließt.
  37. Das System von Anspruch 23, in dem der einzelne Strom-Datensatz (302) eine Firewall(705)-Policy und eine Einbruchpräventionssystem-Policy einschließt.
  38. Das System von Anspruch 22, in dem der einzelne Strom-Datensatz (302) Verschlüsselungsparameter zur Verwendung durch eine der Einrichtungen einschließt.
  39. Das System von Anspruch 22, in dem der einzelne Strom-Datensatz (302) Adressübersetzungsparameter einschließt.
  40. Das System von Anspruch 22, in dem der einzelne Strom-Datensatz (302) Buchhaltungsinformationen oder statistische Informationen einschließt.
  41. Das System von Anspruch 22, in dem der einzelne Strom-Datensatz (302) Informationen einschließt, die beschreiben, welche Policies auf einen gegebenen Strom zur Verwendung durch eine oder mehrere der Einrichtungen anzuwenden sind.
  42. Das System von Anspruch 22, in dem die Einrichtungen Sicherheitseinrichtungen sind, und der einzelne Strom-Datensatz (302) Policy-Informationen zur Verwendung durch zwei oder mehr Sicherheitseinrichtungen bei dem Verarbeiten des Pakets einschließt.
  43. Eine Vorrichtung zum Verarbeiten von Datenpaketen, umfassend: ein Modul, das betriebsfähig ist, um Strominformationen (325) für jedes empfangene Datenpaket zu bestimmen; eine Strom-Tabelle (215, 300), die Strom-Datensätze (302) für jeden Strom enthält, der durch das Modul detektiert wird, wobei jeder Strom-Datensatz (302) Strom-Informationen für eine Mehrzahl an Verarbeitungseinrichtungen einschließt; Schnittstellen zum Übermitteln von einrichtungsspezifischen Strominformationen (325) zu jeder der Mehrzahl von Verarbeitungseinrichtungen, die mit der Vorrichtung verbunden sind; und ein Sitzungsmodul, das betriebsfähig ist, um Informationen auszuwerten, die einen bestimmten Strom identifizieren, der mit einem gegebenen Paket assoziiert ist, eine Paket-Kennung unter Verwendung von zumindest assoziierten Header-Daten zu bestimmen; die Strom-Tabelle (215, 300) unter Verwendung der Paket-Kennung auszuwerten; einen einzelnen Strom-Datensatz (302), der einem Eintrag in der Strom-Tabelle (215, 300) entspricht, auszulesen; Strom-Anweisungen für die Mehrzahl von Verarbeitungseinrichtungen aus dem einzelnen Strom-Datensatz (302) zu extrahieren, die Strom-Anweisungen zu den jeweiligen Verarbeitungseinrichtungen weiterzuleiten, Auswertungsinformationen von einer oder mehreren der Verarbeitungseinrichtungen zu empfangen, und das Paket in Übereinstimmung mit den Auswertungsinformationen zu verarbeiten.
  44. Die Vorrichtung von Anspruch 43, in der das Sitzungsmodul betriebsfähig ist, das Paket einschließlich eines von Fallenlassen, Modifizieren, Protokollieren, Speichern oder Weiterleiten des Pakets zu verarbeiten.
  45. Die Vorrichtung von Anspruch 43, in der die Strom-Tabelle (215, 300) einen Indexschlüssel und einrichtungsspezifische Strominformationen (325) für eine Mehrzahl von Sicherheitseinrichtungen, die mit der Vorrichtung verbunden sind, enthält.
  46. Die Vorrichtung von Anspruch 43, in der die Verarbeitungseinrichtungen aus einer Firewall (705), einem strombasierten Router (720), einem Einbruchdetektionssystem und einem Einbruchpräventionssystem ausgewählt werden.
  47. Die Vorrichtung von Anspruch 43, in der die Strom-Tabelle (215, 300) einen oder mehrere Datensätze (302) enthält, die Policy-Informationen zur Verwen dung durch zwei oder mehr Sicherheitseinrichtungen bei einer Verarbeitung des Pakets enthalten.
DE602004008055T 2003-03-28 2004-03-29 Intelligente integrierte netzwerksicherheitseinrichtung Expired - Lifetime DE602004008055T2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US10/402,920 US7650634B2 (en) 2002-02-08 2003-03-28 Intelligent integrated network security device
US402920 2003-03-28
PCT/US2004/009607 WO2004088952A2 (en) 2003-03-28 2004-03-29 Intelligent integrated network security device

Publications (2)

Publication Number Publication Date
DE602004008055D1 DE602004008055D1 (de) 2007-09-20
DE602004008055T2 true DE602004008055T2 (de) 2007-11-22

Family

ID=33130453

Family Applications (1)

Application Number Title Priority Date Filing Date
DE602004008055T Expired - Lifetime DE602004008055T2 (de) 2003-03-28 2004-03-29 Intelligente integrierte netzwerksicherheitseinrichtung

Country Status (7)

Country Link
US (4) US7650634B2 (de)
EP (1) EP1618724B1 (de)
JP (1) JP4906504B2 (de)
CN (1) CN100556031C (de)
AT (1) ATE369691T1 (de)
DE (1) DE602004008055T2 (de)
WO (1) WO2004088952A2 (de)

Families Citing this family (73)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7734752B2 (en) 2002-02-08 2010-06-08 Juniper Networks, Inc. Intelligent integrated network security device for high-availability applications
US7650634B2 (en) 2002-02-08 2010-01-19 Juniper Networks, Inc. Intelligent integrated network security device
US8370936B2 (en) 2002-02-08 2013-02-05 Juniper Networks, Inc. Multi-method gateway-based network security systems and methods
US7558873B1 (en) 2002-05-08 2009-07-07 Nvidia Corporation Method for compressed large send
US20030212735A1 (en) * 2002-05-13 2003-11-13 Nvidia Corporation Method and apparatus for providing an integrated network of processors
US7437548B1 (en) 2002-07-11 2008-10-14 Nvidia Corporation Network level protocol negotiation and operation
US7397797B2 (en) * 2002-12-13 2008-07-08 Nvidia Corporation Method and apparatus for performing network processing functions
US8321584B2 (en) * 2003-04-04 2012-11-27 Ellacoya Networks, Inc. Method and apparatus for offering preferred transport within a broadband subscriber network
US7710867B1 (en) * 2003-05-23 2010-05-04 F5 Networks, Inc. System and method for managing traffic to a probe
US7359380B1 (en) 2003-06-24 2008-04-15 Nvidia Corporation Network protocol processing for routing and bridging
US7359983B1 (en) * 2003-06-24 2008-04-15 Nvidia Corporation Fragment processing utilizing cross-linked tables
US7913294B1 (en) 2003-06-24 2011-03-22 Nvidia Corporation Network protocol processing for filtering packets
US7620070B1 (en) 2003-06-24 2009-11-17 Nvidia Corporation Packet processing with re-insertion into network interface circuitry
US7487541B2 (en) * 2003-12-10 2009-02-03 Alcatel Lucent Flow-based method for tracking back single packets
US7339914B2 (en) * 2004-02-11 2008-03-04 Airtight Networks, Inc. Automated sniffer apparatus and method for monitoring computer systems for unauthorized access
US7929534B2 (en) * 2004-06-28 2011-04-19 Riverbed Technology, Inc. Flow logging for connection-based anomaly detection
US7562389B1 (en) * 2004-07-30 2009-07-14 Cisco Technology, Inc. Method and system for network security
US7555774B2 (en) * 2004-08-02 2009-06-30 Cisco Technology, Inc. Inline intrusion detection using a single physical port
US7725938B2 (en) * 2005-01-20 2010-05-25 Cisco Technology, Inc. Inline intrusion detection
US7808897B1 (en) * 2005-03-01 2010-10-05 International Business Machines Corporation Fast network security utilizing intrusion prevention systems
US7746862B1 (en) 2005-08-02 2010-06-29 Juniper Networks, Inc. Packet processing in a multiple processor system
GB0517304D0 (en) 2005-08-23 2005-10-05 Netronome Systems Inc A system and method for processing and forwarding transmitted information
US8769663B2 (en) 2005-08-24 2014-07-01 Fortinet, Inc. Systems and methods for detecting undesirable network traffic content
US7966659B1 (en) 2006-04-18 2011-06-21 Rockwell Automation Technologies, Inc. Distributed learn mode for configuring a firewall, security authority, intrusion detection/prevention devices, and the like
EP1871038B1 (de) * 2006-06-23 2010-06-02 Nippon Office Automation Co., Ltd. Protokoll- und Sitzunganalysator
US8009566B2 (en) 2006-06-26 2011-08-30 Palo Alto Networks, Inc. Packet classification in a network security device
US8397299B2 (en) * 2006-09-14 2013-03-12 Interdigital Technology Corporation Method and system for enhancing flow of behavior metrics and evaluation of security of a node
US8594085B2 (en) * 2007-04-11 2013-11-26 Palo Alto Networks, Inc. L2/L3 multi-mode switch including policy processing
US8601113B2 (en) * 2007-11-30 2013-12-03 Solarwinds Worldwide, Llc Method for summarizing flow information from network devices
US8179799B2 (en) * 2007-11-30 2012-05-15 Solarwinds Worldwide, Llc Method for partitioning network flows based on their time information
US9331919B2 (en) * 2007-11-30 2016-05-03 Solarwinds Worldwide, Llc Method for summarizing flow information of network devices
JP4717106B2 (ja) * 2008-09-11 2011-07-06 株式会社日立製作所 フロー情報処理装置及びネットワークシステム
US20100162399A1 (en) * 2008-12-18 2010-06-24 At&T Intellectual Property I, L.P. Methods, apparatus, and computer program products that monitor and protect home and small office networks from botnet and malware activity
US8873556B1 (en) 2008-12-24 2014-10-28 Palo Alto Networks, Inc. Application based packet forwarding
US8769664B1 (en) * 2009-01-30 2014-07-01 Palo Alto Networks, Inc. Security processing in active security devices
JP5482783B2 (ja) * 2009-03-05 2014-05-07 日本電気株式会社 セキュリティ管理装置、方法、及びプログラム、並びにセキュリティ分散システム
US8752142B2 (en) * 2009-07-17 2014-06-10 American Express Travel Related Services Company, Inc. Systems, methods, and computer program products for adapting the security measures of a communication network based on feedback
US8621636B2 (en) 2009-12-17 2013-12-31 American Express Travel Related Services Company, Inc. Systems, methods, and computer program products for collecting and reporting sensor data in a communication network
US9756076B2 (en) * 2009-12-17 2017-09-05 American Express Travel Related Services Company, Inc. Dynamically reacting policies and protections for securing mobile financial transactions
US8650129B2 (en) * 2010-01-20 2014-02-11 American Express Travel Related Services Company, Inc. Dynamically reacting policies and protections for securing mobile financial transaction data in transit
US8924296B2 (en) 2010-06-22 2014-12-30 American Express Travel Related Services Company, Inc. Dynamic pairing system for securing a trusted communication channel
US10360625B2 (en) 2010-06-22 2019-07-23 American Express Travel Related Services Company, Inc. Dynamically adaptive policy management for securing mobile financial transactions
US8850539B2 (en) 2010-06-22 2014-09-30 American Express Travel Related Services Company, Inc. Adaptive policies and protections for securing financial transaction data at rest
IL210900A (en) 2011-01-27 2015-08-31 Verint Systems Ltd System and method for efficient classification and processing of network traffic
US8695096B1 (en) 2011-05-24 2014-04-08 Palo Alto Networks, Inc. Automatic signature generation for malicious PDF files
US9047441B2 (en) 2011-05-24 2015-06-02 Palo Alto Networks, Inc. Malware analysis system
US9742732B2 (en) * 2012-03-12 2017-08-22 Varmour Networks, Inc. Distributed TCP SYN flood protection
TW201351171A (zh) * 2012-06-08 2013-12-16 Cobrasonic Software Inc 網路封包暨資料庫封包稽核系統及關聯性稽核裝置與方法
US9215208B2 (en) * 2012-08-17 2015-12-15 The Keyw Corporation Network attack offensive appliance
US9071529B2 (en) * 2012-10-08 2015-06-30 Telefonaktiebolaget L M Ericsson (Publ) Method and apparatus for accelerating forwarding in software-defined networks
US9461967B2 (en) * 2013-07-18 2016-10-04 Palo Alto Networks, Inc. Packet classification for network routing
US11086897B2 (en) 2014-04-15 2021-08-10 Splunk Inc. Linking event streams across applications of a data intake and query system
US10360196B2 (en) 2014-04-15 2019-07-23 Splunk Inc. Grouping and managing event streams generated from captured network data
US10523521B2 (en) 2014-04-15 2019-12-31 Splunk Inc. Managing ephemeral event streams generated from captured network data
US9838512B2 (en) 2014-10-30 2017-12-05 Splunk Inc. Protocol-based capture of network data using remote capture agents
US9923767B2 (en) 2014-04-15 2018-03-20 Splunk Inc. Dynamic configuration of remote capture agents for network data capture
US9762443B2 (en) 2014-04-15 2017-09-12 Splunk Inc. Transformation of network data at remote capture agents
US10127273B2 (en) 2014-04-15 2018-11-13 Splunk Inc. Distributed processing of network data using remote capture agents
US10366101B2 (en) 2014-04-15 2019-07-30 Splunk Inc. Bidirectional linking of ephemeral event streams to creators of the ephemeral event streams
US10462004B2 (en) 2014-04-15 2019-10-29 Splunk Inc. Visualizations of statistics associated with captured network data
US11281643B2 (en) 2014-04-15 2022-03-22 Splunk Inc. Generating event streams including aggregated values from monitored network data
US10700950B2 (en) 2014-04-15 2020-06-30 Splunk Inc. Adjusting network data storage based on event stream statistics
US10693742B2 (en) 2014-04-15 2020-06-23 Splunk Inc. Inline visualizations of metrics related to captured network data
US9531672B1 (en) * 2014-07-30 2016-12-27 Palo Alto Networks, Inc. Network device implementing two-stage flow information aggregation
US9596253B2 (en) 2014-10-30 2017-03-14 Splunk Inc. Capture triggers for capturing network data
US10334085B2 (en) 2015-01-29 2019-06-25 Splunk Inc. Facilitating custom content extraction from network packets
US9525697B2 (en) 2015-04-02 2016-12-20 Varmour Networks, Inc. Delivering security functions to distributed networks
US20170012923A1 (en) * 2015-07-08 2017-01-12 International Business Machines Corporation Preventing a user from missing unread documents
US10075416B2 (en) * 2015-12-30 2018-09-11 Juniper Networks, Inc. Network session data sharing
US10972461B2 (en) 2018-08-28 2021-04-06 International Business Machines Corporation Device aware network communication management
US11451514B2 (en) * 2019-01-03 2022-09-20 Illumio, Inc. Optimizing rules for configuring a firewall in a segmented computer network
US11019044B2 (en) * 2019-03-08 2021-05-25 Gigamon Inc. Correlating network flows through a proxy device
US11929987B1 (en) * 2020-02-25 2024-03-12 Juniper Networks, Inc. Preserving packet flow information across bump-in-the-wire firewalls

Family Cites Families (93)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5835726A (en) * 1993-12-15 1998-11-10 Check Point Software Technologies Ltd. System for securing the flow of and selectively modifying packets in a computer network
US5606668A (en) * 1993-12-15 1997-02-25 Checkpoint Software Technologies Ltd. System for securing inbound and outbound data packet flow in a computer network
US5598410A (en) * 1994-12-29 1997-01-28 Storage Technology Corporation Method and apparatus for accelerated packet processing
US5781550A (en) * 1996-02-02 1998-07-14 Digital Equipment Corporation Transparent and secure network gateway
US5898830A (en) * 1996-10-17 1999-04-27 Network Engineering Software Firewall providing enhanced network security and user transparency
US6243667B1 (en) * 1996-05-28 2001-06-05 Cisco Systems, Inc. Network flow switching and flow data export
US6308148B1 (en) * 1996-05-28 2001-10-23 Cisco Technology, Inc. Network flow data export
US5842040A (en) * 1996-06-18 1998-11-24 Storage Technology Corporation Policy caching method and apparatus for use in a communication device based on contents of one data unit in a subset of related data units
JPH10107795A (ja) 1996-09-30 1998-04-24 Hitachi Software Eng Co Ltd ネットワーク管理システム
US6119236A (en) * 1996-10-07 2000-09-12 Shipley; Peter M. Intelligent network security device and method
US6453345B2 (en) * 1996-11-06 2002-09-17 Datadirect Networks, Inc. Network security and surveillance system
US6591303B1 (en) * 1997-03-07 2003-07-08 Sun Microsystems, Inc. Method and apparatus for parallel trunking of interfaces to increase transfer bandwidth
US6049528A (en) * 1997-06-30 2000-04-11 Sun Microsystems, Inc. Trunking ethernet-compatible networks
US5909686A (en) * 1997-06-30 1999-06-01 Sun Microsystems, Inc. Hardware-assisted central processing unit access to a forwarding database
US6088356A (en) * 1997-06-30 2000-07-11 Sun Microsystems, Inc. System and method for a multi-layer network element
US6775692B1 (en) * 1997-07-31 2004-08-10 Cisco Technology, Inc. Proxying and unproxying a connection using a forwarding agent
US6006264A (en) * 1997-08-01 1999-12-21 Arrowpoint Communications, Inc. Method and system for directing a flow between a client and a server
US7143438B1 (en) * 1997-09-12 2006-11-28 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with multiple domain support
US6098172A (en) * 1997-09-12 2000-08-01 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with proxy reflection
US6141749A (en) * 1997-09-12 2000-10-31 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with stateful packet filtering
US6154775A (en) * 1997-09-12 2000-11-28 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with dynamic rule processing with the ability to dynamically alter the operations of rules
US6170012B1 (en) * 1997-09-12 2001-01-02 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with cache query processing
US6370603B1 (en) * 1997-12-31 2002-04-09 Kawasaki Microelectronics, Inc. Configurable universal serial bus (USB) controller implemented on a single integrated circuit (IC) chip with media access control (MAC)
US6205551B1 (en) * 1998-01-29 2001-03-20 Lucent Technologies Inc. Computer security using virus probing
US6279113B1 (en) * 1998-03-16 2001-08-21 Internet Tools, Inc. Dynamic signature inspection-based network intrusion detection
US6466985B1 (en) * 1998-04-10 2002-10-15 At&T Corp. Method and apparatus for providing quality of service using the internet protocol
US6275942B1 (en) * 1998-05-20 2001-08-14 Network Associates, Inc. System, method and computer program product for automatic response to computer system misuse using active response modules
US6157955A (en) * 1998-06-15 2000-12-05 Intel Corporation Packet processing system including a policy engine having a classification unit
US6253321B1 (en) * 1998-06-19 2001-06-26 Ssh Communications Security Ltd. Method and arrangement for implementing IPSEC policy management using filter code
US7073196B1 (en) * 1998-08-07 2006-07-04 The United States Of America As Represented By The National Security Agency Firewall for processing a connectionless network packet
US6633543B1 (en) * 1998-08-27 2003-10-14 Intel Corporation Multicast flow control
JP2000092118A (ja) * 1998-09-08 2000-03-31 Hitachi Ltd プログラマブルネットワーク
US6311278B1 (en) 1998-09-09 2001-10-30 Sanctum Ltd. Method and system for extracting application protocol characteristics
KR100333250B1 (ko) * 1998-10-05 2002-05-17 가나이 쓰토무 패킷 중계 장치
JP3721880B2 (ja) 1998-10-05 2005-11-30 株式会社日立製作所 パケット中継装置
US6321338B1 (en) * 1998-11-09 2001-11-20 Sri International Network surveillance
US6499107B1 (en) * 1998-12-29 2002-12-24 Cisco Technology, Inc. Method and system for adaptive network security using intelligent packet analysis
US6301668B1 (en) * 1998-12-29 2001-10-09 Cisco Technology, Inc. Method and system for adaptive network security using network vulnerability assessment
US6487666B1 (en) 1999-01-15 2002-11-26 Cisco Technology, Inc. Intrusion detection signature analysis using regular expressions and logical operators
US7643481B2 (en) * 1999-03-17 2010-01-05 Broadcom Corporation Network switch having a programmable counter
US6952401B1 (en) * 1999-03-17 2005-10-04 Broadcom Corporation Method for load balancing in a network switch
US6600744B1 (en) * 1999-03-23 2003-07-29 Alcatel Canada Inc. Method and apparatus for packet classification in a data communication system
EP1143662B1 (de) 1999-06-10 2006-05-17 Alcatel Internetworking, Inc. Virtuelles privates Netzwerk mit automatischer Aktualisierung von Benutzererreichbarkeitsinformation
US6970913B1 (en) * 1999-07-02 2005-11-29 Cisco Technology, Inc. Load balancing using distributed forwarding agents with application based feedback for different virtual machines
US6549516B1 (en) * 1999-07-02 2003-04-15 Cisco Technology, Inc. Sending instructions from a service manager to forwarding agents on a need to know basis
US6704278B1 (en) * 1999-07-02 2004-03-09 Cisco Technology, Inc. Stateful failover of service managers
US6742045B1 (en) * 1999-07-02 2004-05-25 Cisco Technology, Inc. Handling packet fragments in a distributed network service environment
US6735169B1 (en) * 1999-07-02 2004-05-11 Cisco Technology, Inc. Cascading multiple services on a forwarding agent
US6606315B1 (en) * 1999-07-02 2003-08-12 Cisco Technology, Inc. Synchronizing service instructions among forwarding agents using a service manager
US7051066B1 (en) * 1999-07-02 2006-05-23 Cisco Technology, Inc. Integrating service managers into a routing infrastructure using forwarding agents
US6650641B1 (en) * 1999-07-02 2003-11-18 Cisco Technology, Inc. Network address translation using a forwarding agent
US6633560B1 (en) * 1999-07-02 2003-10-14 Cisco Technology, Inc. Distribution of network services among multiple service managers without client involvement
JP2001077857A (ja) * 1999-09-08 2001-03-23 Pfu Ltd フィルタリング処理装置及びこれを備えるネットワーク及びその記憶媒体
US6851061B1 (en) * 2000-02-16 2005-02-01 Networks Associates, Inc. System and method for intrusion detection data collection using a network protocol stack multiplexor
US6795918B1 (en) * 2000-03-07 2004-09-21 Steven T. Trolan Service level computer security
JP2001313640A (ja) 2000-05-02 2001-11-09 Ntt Data Corp 通信ネットワークにおけるアクセス種別を判定する方法及びシステム、記録媒体
US6654373B1 (en) * 2000-06-12 2003-11-25 Netrake Corporation Content aware network apparatus
US6981158B1 (en) * 2000-06-19 2005-12-27 Bbnt Solutions Llc Method and apparatus for tracing packets
US20020032797A1 (en) * 2000-09-08 2002-03-14 Wei Xu Systems and methods for service addressing
WO2002030052A1 (en) * 2000-09-28 2002-04-11 Symantec Corporation System and method for analyzing protocol streams for a security-related event
US7054930B1 (en) * 2000-10-26 2006-05-30 Cisco Technology, Inc. System and method for propagating filters
US7970886B1 (en) * 2000-11-02 2011-06-28 Arbor Networks, Inc. Detecting and preventing undesirable network traffic from being sourced out of a network domain
CA2428261A1 (en) * 2000-11-07 2002-05-16 Fast-Chip, Inc. Switch-based network processor
US6781992B1 (en) * 2000-11-30 2004-08-24 Netrake Corporation Queue engine for reassembling and reordering data packets in a network
ATE344573T1 (de) * 2000-11-30 2006-11-15 Lancope Inc Flussbasierte erfassung eines eindringens in ein netzwerk
US6975628B2 (en) * 2000-12-22 2005-12-13 Intel Corporation Method for representing and controlling packet data flow through packet forwarding hardware
WO2002060098A2 (en) * 2001-01-25 2002-08-01 Crescent Networks, Inc. Dual use rate policer and re-marking logic
US7099350B2 (en) * 2001-04-24 2006-08-29 Atitania, Ltd. Method and apparatus for converting data between two dissimilar systems
US7543066B2 (en) * 2001-04-30 2009-06-02 International Business Machines Corporation Method and apparatus for maintaining session affinity across multiple server groups
US6901052B2 (en) * 2001-05-04 2005-05-31 Slt Logic Llc System and method for policing multiple data flows and multi-protocol data flows
US20020165956A1 (en) * 2001-05-07 2002-11-07 Peter Phaal Traffic driven scheduling of active tests
US20050141503A1 (en) * 2001-05-17 2005-06-30 Welfeld Feliks J. Distriuted packet processing system with internal load distributed
CN1145318C (zh) * 2001-06-26 2004-04-07 华为技术有限公司 一种因特网服务提供者安全防护的实现方法
US7239636B2 (en) * 2001-07-23 2007-07-03 Broadcom Corporation Multiple virtual channels for use in network devices
US20030033463A1 (en) * 2001-08-10 2003-02-13 Garnett Paul J. Computer system storage
JP2003078549A (ja) * 2001-08-31 2003-03-14 Hitachi Ltd パケット転送方法およびその装置
US7331061B1 (en) * 2001-09-07 2008-02-12 Secureworks, Inc. Integrated computer security management system and method
EP1433066B1 (de) 2001-09-14 2010-08-11 Nokia Inc. Vorrichtung und Verfahren zur Paketweiterleitung
US6976154B1 (en) * 2001-11-07 2005-12-13 Juniper Networks, Inc. Pipelined processor for examining packet header information
US7512980B2 (en) * 2001-11-30 2009-03-31 Lancope, Inc. Packet sampling flow-based detection of network intrusions
DE10201655C1 (de) 2002-01-17 2003-07-31 Amcornet Gmbh Multifunktions-Server,insbesondere Twin-Firewall-Server
US7076803B2 (en) * 2002-01-28 2006-07-11 International Business Machines Corporation Integrated intrusion detection services
US7222366B2 (en) * 2002-01-28 2007-05-22 International Business Machines Corporation Intrusion event filtering
US20030149887A1 (en) * 2002-02-01 2003-08-07 Satyendra Yadav Application-specific network intrusion detection
US7174566B2 (en) * 2002-02-01 2007-02-06 Intel Corporation Integrated network intrusion detection
US7650634B2 (en) 2002-02-08 2010-01-19 Juniper Networks, Inc. Intelligent integrated network security device
US7734752B2 (en) * 2002-02-08 2010-06-08 Juniper Networks, Inc. Intelligent integrated network security device for high-availability applications
US8370936B2 (en) * 2002-02-08 2013-02-05 Juniper Networks, Inc. Multi-method gateway-based network security systems and methods
US6856991B1 (en) * 2002-03-19 2005-02-15 Cisco Technology, Inc. Method and apparatus for routing data to a load balanced server using MPLS packet labels
JP3788803B2 (ja) * 2002-10-30 2006-06-21 富士通株式会社 L2スイッチ
US20050102497A1 (en) 2002-12-05 2005-05-12 Buer Mark L. Security processor mirroring
US7895431B2 (en) * 2004-09-10 2011-02-22 Cavium Networks, Inc. Packet queuing, scheduling and ordering
US7535907B2 (en) * 2005-04-08 2009-05-19 Oavium Networks, Inc. TCP engine

Also Published As

Publication number Publication date
US20140259146A1 (en) 2014-09-11
CN100556031C (zh) 2009-10-28
EP1618724B1 (de) 2007-08-08
EP1618724A2 (de) 2006-01-25
JP2006521776A (ja) 2006-09-21
JP4906504B2 (ja) 2012-03-28
US8332948B2 (en) 2012-12-11
US8726016B2 (en) 2014-05-13
US20100132030A1 (en) 2010-05-27
ATE369691T1 (de) 2007-08-15
WO2004088952A2 (en) 2004-10-14
US9100364B2 (en) 2015-08-04
US7650634B2 (en) 2010-01-19
US20130067561A1 (en) 2013-03-14
DE602004008055D1 (de) 2007-09-20
CN1768516A (zh) 2006-05-03
US20040030927A1 (en) 2004-02-12
WO2004088952A3 (en) 2004-12-16

Similar Documents

Publication Publication Date Title
DE602004008055T2 (de) Intelligente integrierte netzwerksicherheitseinrichtung
DE60016613T2 (de) Abschreckungssystem gegen aufschaltung und missbrauch
DE19740547B4 (de) Vorrichtung und Verfahren zum Sicherstellen sicherer Kommunikation zwischen einer anfordernden Entität und einer bedienenden Entität
US7774832B2 (en) Systems and methods for implementing protocol enforcement rules
DE60312235T2 (de) Verfahren und system zur eindringverhinderung und ablenkung
DE69929268T2 (de) Verfahren und System zur Überwachung und Steuerung der Netzzugriffe
DE60131990T2 (de) Vorrichtung und verfahren zur selektiven verschlüsselung von über ein netzwerk zu übertragenden multimediadaten
DE19741246C2 (de) Vorrichtung und Verfahren zur Erhöhung der Sicherheit in Netzwerken
US8195833B2 (en) Systems and methods for managing messages in an enterprise network
DE10249428B4 (de) Verfahren zum Definieren der Sicherheitsanfälligkeiten eines Computersystems
DE60111089T2 (de) Verfahren und Vorrichtung zum Analysieren von einer oder mehrerer Firewalls
DE60308260T2 (de) Verfahren und Vorrichtung zum effizienten Vergleich von Antworten auf vorher vermittelte Anforderungen durch einen Netzknoten
DE10249887A1 (de) Verfahren, computerlesbares Medium und Knoten für ein dreischichtiges Einbruchspräventionssystem zur Erfassung von Netzausbeutungen
DE10249888A1 (de) Knoten, Verfahren und computerlesbares Medium zum Einbringen eines Einbruchspräventionssystems in einen Netzstapel
US20040111623A1 (en) Systems and methods for detecting user presence
DE10249842A1 (de) Netz, Verfahren und computerlesbares Medium zum Verteilen von Sicherheitsaktualisierungen an ausgewählte Knoten auf einem Netz
CA2527501A1 (en) Multilayer access control security system
DE19741239A1 (de) Verallgemeinertes Sicherheitspolitik-Management-System und Verfahren
DE60302003T2 (de) Handhabung von zusammenhängenden Verbindungen in einer Firewall
EP1298529A2 (de) Proxy-Einheit und Verfahren zum rechnergestützten Schützen eines Applikations-Server-Programms
EP1820293A2 (de) Systeme und verfahren zur implementierung von protokolldurchsetzungsregeln
WO2003017613A1 (de) Verfahren, datenträger, computersystem und computerprogrammprodukt zur erkennung und abwehr von angriffen auf serversysteme von netzwerk-diensteanbietern und -betreibern
DE102012208290A1 (de) Netzübergangskomponente mit anfrage/antwort-zuordnung und überwachung
DE60031004T2 (de) Elektronisches sicherheitssystem und verfahren für ein kommunikationsnetz
Wei On a network forensics model for information security

Legal Events

Date Code Title Description
8364 No opposition during term of opposition