CN1216657A - 互联网协议过滤器 - Google Patents
互联网协议过滤器 Download PDFInfo
- Publication number
- CN1216657A CN1216657A CN97194075A CN97194075A CN1216657A CN 1216657 A CN1216657 A CN 1216657A CN 97194075 A CN97194075 A CN 97194075A CN 97194075 A CN97194075 A CN 97194075A CN 1216657 A CN1216657 A CN 1216657A
- Authority
- CN
- China
- Prior art keywords
- packet
- network
- bag
- node
- source
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4604—LAN interconnection over a backbone network, e.g. Internet, Frame Relay
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2514—Translation of Internet protocol [IP] addresses between local and global IP addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2517—Translation of Internet protocol [IP] addresses using port numbers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
Abstract
体现本发明的IP过滤器(12)是一种通信设备,其设计用于提供公共网络(14)或因特网(16)对专用网络(10)的节点(18)的访问,其优点在于不需要这种网络上的专用节点登记公共因特网地址。IP过滤器提供因特网一个单一IP地址,并使用多个IP端口解决IP地址保存的问题。它通过指定专用侧IP对话给IP过滤器的公共地址的一个唯一端口启动对话。IP过滤器实现在为专用网络的一个源端口号码和为公共网络的一个目标端口号码之间的转换而实现其间的通信。IP过滤器的优点包括专用节点安全和因特网登记地址的保存。
Description
本发明一般来说涉及网际防火墙,特别来说涉及一个互联网协议(IP)过滤器,以此把一个专用IP网络域映射到公共因特网上的一个单一IP地址。
防火墙一般已经公知,其特征在于用以连接专用网络域内的节点与公共网络(诸如因特网)域内的节点的计算机服务器。已知防火墙产品的缺点是为在公共和专用节点之间每一并发的对话或交互需要唯一的公共IP地址。
因此希望能提供保存公共IP地址的防火墙。
本发明的一个目的是提供一个新的和改进的装置用以通信连接两个网络。
因此,根据第一例示情况,本发明通过与专用和公共数据通信网络两者都通信的一个过滤器节点提供一种接口这两个网络的方法,该过滤器节点具有在公共网络中已知的地址,包括的步骤有:从专用网络的节点出发,为具有相应于公共网络节点的目标信息和各专用网络节点的源信息的数据包选择到过滤器节点的路由,该目标信息包括目标地址和目标端口,该源信息包括源地址和源端口;对于从专用网络接收的数据包,在过滤器节点,维护从与表示过滤器节点端口的一个唯一值关联的数据包取出的源信息,用过滤器节点地址代替数据包中的源地址,用过滤器节点端口值代替源端口;从过滤器节点出发,根据每一目标信息在公共网络中为被替换源信息的数据包选择到相应公共网络节点的路由。
根据第二例示情况,本发明通过与专用和公共数据通信网络两者都通信的一个过滤器节点,提供一种接口这两个网络的方法,包括的步骤有:(a)在过滤器节点,从专用网络接收一个数据包,该数据包具有相应于公共网络中一个节点的目标地址和相应于专用网络中一个节点的源地址;(b)由过滤器节点维护从数据包中取出的源地址;(c)用过滤器节点地址代替数据包中的源地址;(d)在公共网络中从过滤器节点出发,为具有被替换了源地址的数据包根据目标地址选择到相应公共网络节点的路由;(e)等待从公共网络响应具有被替换了源信息的数据包的一个返回包;(f)在返回包中,用维护的源地址代替目标地址;(g)从过滤器节点出发,在专用网络中为具有被替换了目标地址的返回包选择到相应专用网络节点的路由。
根据第三例示情况,本发明提供操作一个过滤器节点的方法,该过滤器用于接口第一和第二数据通信网络,包括的步骤有:从第一网络接收具有相应于第二网络一个节点的目标信息和相应于第一网络的一个节点的源信息的一个数据包,该目标信息包括目标地址和目标端口,该源信息包括源地址和源端口;维护从与表示过滤器节点端口的一个唯一值关联的数据包取出的源信息;用过滤器节点地址代替数据包中的源地址和用过滤器节点端口值代替源端口;把具有替换过源信息的数据包发送到第二网络,其中根据目标信息为数据包选择到相应第二网络节点的路由。
根据第四例示情况,本发明提供一个过滤器节点,其用于接口第一和第二数据通信网络,包括:从第一网络接收具有相应于公共网络的一个节点的目标信息和具有相应于第一网络的一个节点的源信息的数据包的设备,该目标信息包括一个目标地址和一个目标端口,该源信息包括一个源地址和一个源端口;维护从与表示过滤器节点端口的一个唯一值关联的数据包取出的源信息的设备;用过滤器节点地址代替数据包中的源地址和用过滤器节点端口值代替源端口的设备;把具有替换过的源信息的数据包发送到第二网络的设备,其中根据目标信息为数据包选择到相应第二网络节点的路由。
体现本发明的IP过滤器是一种通信设备,其设计用于提供公共网络或因特网对专用网络节点的访问,其优点在于不需要这种网络上的专用节点登记公共因特网地址。该IP过滤器表示对因特网的一个单一IP地址,并使用多个IP端口解决IP地址保存的问题。它通过将专用侧IP对话分配给IP过滤器的公共地址的一个唯一端口启动对话,从而通过单一IP地址可支持多达64512(=总共65536-1024个已知端口)个并发对话。该IP过滤器用于在为专用网络的一个源端口号码和为公共网络的一个目标端口号码之间的转换而实现其间的通信。IP过滤器的优点包括专用节点安全和因特网登记地址的保存。
在一个特定的实施例中,IP过滤器在互联网协议上可支持3种数据传输协议:传输控制协议(TCP),用户数据报(datagram)协议(UDP)和互联网控制消息协议(ICMP)。其它协议的包可以被忽略。
TCP协议在对一个数据包的前面预设一个TCP报头。源端口号码和目标端口号码包含在该报头中。源节点和目标节点的因特网地址包含在该IP报头中。从每一包中抽取的IP地址和端口信息用于决定IP过滤器为该数据包选择什么路由。
IP过滤器维护一个对每一TCP连接的信息查阅表。这一信息以索引形式包括专用节点的端口、专用IP地址、目标节点的指定的端口号码和IP过滤器的端口号码。当从专用网络接收到一个数据包时,如果相应于该数据包的条目未在表中发现,以及TCP报头指示这是一个新连接请求,则专用地址和端口号码作为一个新条目加到该表中。然后数据包报头中的源地址和端口号码用IP过滤器的IP地址和端口号码代替,而把该数据包传输到因特网。
当IP过滤器从因特网接收一个数据包时,使用目标端口号码索引查阅表。当发现相应的表的条目时,使用专用网络的IP地址和端口号码代替目标地址和端口号码,而把该数据包传输到专用网络。如果接收到的数据包源端口与表中记录的端口不同,以及如果数据包报头信息指示,该数据包是这一连接的第一次响应,那么,如果需要的话,用由因特网节点指定的端口号码更新查阅表。当IP过滤器检测到该包中传输代码的结尾时,查阅表条目变为零。如果IP过滤器从因特网接收到的数据包不具有在查阅表中相应于IP过滤器端口的条目,则忽略这些数据包。
UDP协议是无连接的,这与TCP相反,是面向连接的协议。UDP报头不包括管理初始连接或结束传输的代码。UDP报头中感兴趣的数据是源端口和目标端口。这一信息以及在IP报头中包含的因特网地址一起用于决定IP过滤器应该为该数据包向何处选择路由。
IP过滤器维护每一UDP对话信息的一个查阅表。当IP过滤器从专用网络接收到一个UDP包时,它把源地址、源端口号码、目标端口号码和指定的IP过滤器端口号码作为索引记录到表中。然后在数据包报头中的专用节点地址和端口号码用IP过滤器的地址和指定的端口号码代替。然后该数据包被传输到因特网。
当IP过滤器从因特网接收一个UDP包时,它索引UDP查阅表并用查阅表中的专用地址和端口号码替换该包的目标信息,亦即IP过滤器地址和指定的端口号码。查阅表还对在每一标准的UDP完成时对接收的数据报包维护期满定时器的间隔指示。如果IP过滤器从因特网接收的包不具有查阅表中相应于IP过滤器端口的条目的话,则忽略这些数据包。
由于ICMP包不包含源或目标的端口号码,所以任何从专用网络接收的ICMP包每次处理一个,缓冲存储另外的ICMP包。IP过滤器从包的报头中读专用地址并用IP过滤器的地址替换。该数据包被传输到因特网,而IP过滤器等待响应。当它接收到响应包时,包的报头中的目标地址从IP过滤器的地址改变为专用网络节点的地址。然后IP过滤器把该数据包传输到专用网络。
为成功地在一个IP协议网络上传送数据包,每一节点必须维护一张其它主机IP地址以及它们在基于以太网的数据通信网络中相应的以太网地址的表。节点实际上使用IP地址和以太网地址寻址数据包。这两个地址之间的关系是动态的,亦即具有一个IP地址的节点可以改变它的以太网地址。地址表中的信息从对ARP包的节点的广播的响应中获得。源节点广播ARP包,以请求目标节点的以太网地址,给出目标节点的IP地址。如果目标节点接收到这一包,则它用请求的信息发送一个响应包。
虽然IP过滤器不维护一个真正的ARP表,但它把ARP包以与传递TCP和UDP包相似的方式传递。当IP过滤器从一个专用网络节点接收到一个送往公共网络的ARP包时,它用过滤器的地址信息替换源地址信息。专用节点的IP地址和目标IP地址放在一个查阅表中。当目标节点用其自己的以太网地址响应时,在把该包传输到专用节点前目标的地址信息从IP过滤器的地址信息改变为专用节点的地址信息。专用节点地址信息从该表获得。当一个ARP包指向防火墙时,该ARP包不通过IP过滤器,而限制在过滤器和网络一侧之间的通信。
IP过滤器遇到的事件和错误可以被记录,例如把它们写到一个文本文件中。
理想地说来,IP过滤器以和网络提供数据包同样的速度处理这些包,但是在网络流量过重时,IP过滤器把这些包缓冲存储到两个对列,一个为专用网络,一个为因特网。
可以使用两个源和目标查阅表,一个为TCP包,另一个为UDP包。每一表用指定给该次通信对话的IP过滤器端口号码直接索引。表的条目包含专用节点的IP地址、专用节点的源端口和因特网节点的目标端口。如果在某一IP过滤器端口无连接,则表中相应条目变零。从专用网络和因特网两者到来的数据包都使用同样的查阅表处理。这种安排保证可用IP过滤器通信端口中的一些可以分配给UDP通信,一些分配给TCP通信。
从下面的说明结合参考附图可更好地理解本发明,附图中:
图1是表示连接一个专用网络和一个公共网络的互联网协议过滤器的原理图;
图2是表示该过滤器内部部件的方框图。
参考说明本发明的图1,一个专用网络10通过一个互联网协议(IP)过滤器12与一个公共网络14通信连接,公共网络14可以形成全球数据网络的一部分,或者指因特网16。专用网络10表示一个常规的数据通信网络,诸如一个局域网(LAN),它有多个节点18,每一节点由在该专用网络10区域之内的一个唯一的IP地址标识。公共网络14和因特网16表示公共域数据通信网络,它也有多个带相应IP地址的节点20。
IP过滤器12用作一个网关,数据包通过它在专用网络10和公共网络14之间交换,从而提供对专用网络10的节点18的因特网访问。IP过滤器12组成一个专用网络节点18,并是该类节点唯一具有在因特网登记的公共IP地址的节点,从而IP过滤器12基本也组成一个公共节点20,其IP地址在公共域中公知。其它专用网络节点18的IP地址为专用网络10保留,不为公共因特网地址域所知或登记。和通常情况一样,与IP过滤器12的IP地址相关的是多个IP端口,具体说总共有65536个,其中的64512个不为预先定义的协议保留,而可以用于地址转换。
专用网络10的节点18之间的通信不受IP过滤器12的存在影响,但是为访问公共网络14特别是其中的节点20,专用节点18通过IP过滤器12为所有通信请求选择路由。IP过滤器12通过在把每一从专用网络10接收的数据包传输到公共网络14之前修改其报头信息,管理专用节点18和因特网节点20的通信。这一修改使得在专用节点18和公共因特网节点20之间的通信实际变为在IP过滤器12和因特网节点20之间的通信,这些节点把所有返回通信导向IP过滤器12,后者随后把返回的数据包导向专用节点18。
IP过滤器12接受从公共网络14来的无连接请求。在专用节点18和公共节点20之间的所有通信由专用节点18启动。指定IP过滤器12支持互联网协议上的3种数据传输协议:TCP、UDP和ICMP消息;其它协议包被拒绝或忽略。
IP过滤器12维护一张转换表,以映射从专用网络10接收的包的地址和端口指向公共网络14,反之亦然。该转换表的每一条目包括:
专用IP地址 (pIP)
专用端口 (pPort)
网际(公共)IP地址 (iIP)
网际(公共)端口 (iPort)
定时器
对话类型/状态
以太网地址基本转换代替专用网络侧的IP地址和端口为IP过滤器的IP地址和端口,从而从公共网络14隐藏专用网络10的所有节点18。
从专用网络侧发源的包指定一个源-目标:
(pIP,pPort-iIP,iPort)
它定义一个“套接字”,其中连接端点(源和目标)由在IP报头中的IP地址和在TCP或UDP报头中的端口定义。
IP过滤器12转换上述为:
(frIP,frPort-iIP,iPort),其中,frIP是IP过滤器12在公共网络14上的IP地址,而frPort是到转换表的索引加上一个位移值,例如1024,以跳过使用已知的端口。frPort表示一个任意端口。
内部节点20将用
(iIP,iPort-frIP,frPort)
响应,其由IP过滤器12接收并转换为
(iIP,iPort-pIP,pPort)
一般说来,为从专用侧转换,数值(协议类型,pIP,pPort,iIP,iPort)必须位于转换表中。这应该使用散列表查阅实现。
从公共侧的转换可以直接查表,因为frPort减去1024是对表的索引。如果表中的(iIP,iPort)与表中相应条目不匹配,则登记一个未授权的访问,该包被丢弃。
在转换包时,当TCP或UDP报头中的一个端口被代替时,必须重新计算TCP/UDP和IP报头两者中的检验和。当在IP报头中的IP地址被代替时,必须重新计算该IP报头的检验和。
下面是为由IP过滤器12支持的不同协议的特殊考虑。
对于TCP,当从专用网络10接收到一个SYN包时,IP过滤器12定位表中一个未用的条目并填充它,设定类型为TCP和状态为SYN。然后该包由上面的一般模式前传。如果表中不存在未用的条目,则该包被丢弃,并登记这一事件。
如果从公共网络14接口接收一个SYN包,它作为一个未授权的包被登记(除去下面叙述的FTP的特殊情况)。然而,如果转换表的状态是SYN的话,则向前传输一个SYN+ACK包。在前传这样一个包后,状态设定为OPEN(开)。
如果一个FIN包由IP过滤器12接收,以及如果转换表中的状态不是FIN的话,则把状态设定为FIN并将包前传。如果状态是FIN,则将包前传并将转换表条目通过设定为0而删除。必须由每一侧发送一个FIN以关闭一个TCP连接。
如果接收到一个RST包,则删除转换表条目。
现在叙述UDP协议,当从专用网络10一侧接收到任何UDP包时,IP过滤器12首先尝试其标准查阅。如果未发现一个转换表条目,则建立一个未使用的条目,并设定状态为OPEN。如果在表中未发现一个自由的条目,则不丢弃该包,而是重写表中一个随机的UDP。由于UDP是无连接的,因此是不可靠的传输,如果从公共网络14接收到一个包,其需要已被重写的条目,则该包将被丢弃,而专用网络侧节点18需要重试。
至于FTP,一个FTP客户用一个接在一个特殊端口例如端口21上的服务器建立一个TCP“控制”连接。然而,当数据要被传输时,FTP服务器将从其“数据”端口例如缺省为20的端口打开一个TCP连接到由该客户指定的目标端口。
为支持这一点,由专用网络10发送往端口21的包需要为一个FTP“端口”命令在IP过滤器12分析。如果被检测到,则必须在表中建立一个新的条目,其pPort设定为FTP端口命令中的值。在该FTP命令中的IP地址和端口号码在向前传输该包前必须改变为IP过滤器的地址和端口。状态设定为FTPDATA。
当从公共网络14接收一个SYN包时,如果存在一个表条目且处于FTPDATA状态,则该包前传,并把状态设定为OPEN。
对ICMP协议,如果从专用网络10接收一个ICMP包以及如果该包是一个回应请求(回声脉冲(ping)),则IP过滤器12定位转换表中的一个新条目。该包的顺序字段存储在表中的pPort内,而表索引放在该包的顺序字段内。重新计算ICMP的检验和并完成标准IP报头替代。类型设置为ICMP,而状态设置为PING,定时器设定为1分钟。
如果从公共网络14接收一个回应响应(回声脉冲),则顺序字段用作表的索引入表中。如果状态是PING,则把表中的pPort代入该包的顺序字段中,重新计算ICMP检验和,完成标准IP报头替代。然后删除该表条目。
如果从公共网络14接收一个回应请求(回声脉冲),则IP过滤器12将回答。这将允许网际访问证实IP过滤器12可以达到并正在运行。
如果从公共网络14接收一个目标不可到达的包,则抽取包含的报头信息。如果协议是TCP或UDP,则发起包的(frIP,frPort-iIP,iPort)可以被确定并定义转换表条目。如果从ICMP抽取的IP地址与表中的地址匹配,则IP过滤器12使用标准模式把该包向前传输到专用网络10。
所有其它从任何一侧接收的ICMP包都被丢弃并登记。
由于大多数数据通信协议都基于UDP或者TCP协议,所以这些其它协议都与IP过滤器12兼容,只要它们不启动像FTP的协商使服务器打开返回到客户的连接。其它兼容协议的例子包括:远程登录;TFTP(微小文件传输协议);DNS(域名服务);和万维网浏览器。
每当在任一方向上传输一个包时,设定转换表条目的定时器字段为配置的超时值(除回声脉冲之外)。每一分钟,表中所有活动的条目的定时器字段递减,而且如果它们成为0,那么删除转换表条目。这将清除不再使用的UDP和PING条目以及具有非正常结束和无论从哪一侧都不发送FIN的TCP条目。在表中让不用的条目停留太长可能是一个安全的隐患。要配置的一个好的超时值应该只比常规TCP保持活动值长一些。
根据本发明一个特定的实施例,专用网络10和公共网络14是基于以太网的LANs。IP过滤器12可以用一个数据处理平台实现,其装备两个分别与专用网络10和公共网络14连接的常规的以太网硬件接口,并提供有适当的软件以实现IP过滤器12的功能。
图2表示关于可由数据处理平台执行的软件的IP过滤器12的内部部件。内部部件包括两个包驱动程序30和32,一个地址解析协议(ARP)表34,一个以太网地址表36,一个IP处理器38,一个地址转换40和一个用户接口42。包驱动程序30和32控制以太网硬件接口以便分别与专用网络10和公共网络14通信。IP处理器38提供接收和向前传输消息的路由器功能,并维护ARP表34和以太网表36。地址转换40实现在从专用网络10来的源端口号码和在公共网络侧14上的目标端口号码之间的转换。用户接口42允许操作员通过连接到处理平台的键盘和显示终端与IP过滤器12接口。提供功能键配置IP过滤器,观看或复制记录文件,显示状态等。记录文件包含TCP或UDP对话的连接时间,入界与出界通信量统计和对IP过滤器12的无效访问。为防止记录文件增长过大,在日期改变时这一信息记录在一个新文件中。
下面根据一个公共接口,从公共网络14,和一个专用接口来看,从专用网络10来看,叙述从IP过滤器12发出或到达它的包的路由选择。
公共接口表现为一个在该LAN段上的主机。为向前传输一个包,它检查是否目标IP在本地LAN段上。如果是的话,则它在它的ARP表中查阅该IP地址以寻找以太网地址。如果在ARP表中无条目的话,则它必须把该包放在一个对列中并发送出一个ARP请求以获得以太网地址。需要进行ARP表条目的标准老化(aging out)。如果IP目标不在LAN段上,则它把该包向前传输到配置的缺省路由器。由该缺省路由器发送的ICMP重定向消息被忽略。
专用接口实现路由器功能,需要这些功能能够向前传输包到一个或多个路由器而与远程客户站通信。一个大的远程客户网络可以访问多个路由器机器。常规路由选择可以产生大量路由表,因为路由条目成为主地址而不是子网地址。也就是说,如果建立网络,使得客户可以通过路由器1或者路由器2之一到来,那么哪一个单独的路由器也不能为该客户站所在的子网作路由器。一个通过从所有专用网络上的路由器的RIP获得路由表的常规路由器将会导致对每一连接的远程客户最终以一个大的主地址表。这可能影响寻找路由必需的检索时间的性能,为一个大表需要的存储器和在所有这些路由器之间的LAN段上的RIP通信量。
为处理这种环境下的路由选择,IP过滤器将维护一张以太网表。对于从专用网络向公共网络侧传输的每一包,如果存在一个转换条目,则使用其以太网索引和该输入包的以太网源地址比较。如果它们匹配,则不再需要做什么。否则,检索以太网表寻找源以太网地址,如果找不到,则增加一个新以太网表条目。然后把对以太网表的索引保存在转换表条目中。然后当从公共网络向专用网络侧转换一个包时,可以从转换表中的索引中直接检索以太网地址。这样数据包被导向路由器,后者把这些包传输给IP过滤器。
熟悉本技术领域的人会看出,可以对本发明进行各种修改和变化而不离开本发明的精神和范围。因此应该理解,权利要求并不认为限制在上面叙述的确切的实施例,不存在针对每一实施例的具体限制。
Claims (32)
1.一种接口专用(10)和公共(14)数据通信网络的方法,它通过与这两个网络都通信的一个过滤器节点(12)实现,该过滤器节点具有在公共网络中已知的地址,该方法包括的步骤有:
从专用网络的节点(18)出发为具有相应于公共网络节点(20)的目标信息和各专用网络节点的源信息的数据包选择到过滤器节点的路由,该目标信息包括目标地址和目标端口,该源信息包括源地址和源端口;
对于从专用网络接收到的每一数据包,在过滤器节点维护从与表示过滤器节点端口的一个唯一值关联的数据包取出的源信息,用过滤器节点地址代替数据包中的源地址,用过滤器节点端口值代替源端口;
从过滤器节点出发,根据每一数据包中的目标信息在公共网络中为具有被替换源信息的数据包选择到相应公共网络节点的路由。
2.如权利要求1所述方法,包括的步骤有:
为具有过滤器节点地址作为目标地址的每一数据包选择从公共网络节点到过滤器节点的路由;
对于从公共网络接收到的每一数据包,在过滤器节点把数据包中的目标信息中的目标端口与一个被维护的特定的源信息关联,用该特定源信息替换数据包中的目标信息;
从过滤器节点出发,在专用网络中为具有被替换目标信息的数据包选择到相应专用网络节点的路由。
3.如权利要求2所述方法,包括,如果数据包中的目标信息中的目标端口不能与被维护的源信息关联的话,则由过滤器节点忽略从公共网络接收的数据包。
4.如权利要求3所述方法,其中,维护源信息包括存储每一数据包中的源信息作为一个查阅表的条目,而关联源信息的过滤器节点端口值组成查阅表中该条目的一个索引。
5.如权利要求4所述方法,其中,数据包包括按照在互联网协议(IP)上的传输控制协议(TCP)的包。
6.如权利要求5所述方法,包括在过滤器节点接收从专用网络来的一个TCP包;以及如果相应于该TCP包的一个条目在查阅表中找不到,且该TCP包指示这是一个连接请求的话,则存储该TCP包中的源信息和目标信息一起在查阅表中作为一个新条目。
7.如权利要求6所述方法,包括在过滤器节点接收从公共网络来的一个TCP包;以及如果在接收到的TCP包中的源端口与在查阅表中由在该TCP包中的目标端口索引的源信息条目中的目标端口不同,且如果该TCP包指示该包是对连接请求的第一响应的话,则由过滤器节点用接收的TCP包中的源端口更新表条目中的目标端口。
8.如权利要求7所述方法,包括在过滤器节点接收一个包中具有传输代码结束的TCP包以及相应于接收到的TCP包把查阅表中的一个条目置零。
9.根据权利要求4的方法,其中,数据包包括按照在互联网协议(IP)上的用户数据报协议(UDP)的包。
10.根据权利要求9的方法,包括在过滤器节点接收从专用网络来的一个UDP数据包,以及把该UDP包的源信息和目标信息连同用于一个期满定时器的间隔指示一起加到查阅表,作为一个新条目。
11.一种接口专用(10)和公共(14)数据通信网络的方法,它通过与这两个网络都通信的一个过滤器节点(12)实现,包括的步骤有:
(a)在过滤器节点,接收从专用网络来的一个数据包,该数据包具有相应于公共网络中一个节点(20)的目标地址和相应于专用网络中一个节点(18)的源地址;
(b)由过滤器节点维护从数据包中取出的源地址;
(c)用过滤器节点地址代替数据包中的源地址;
(d)在公共网络中从过滤器节点出发,为具有被替换了源地址的数据包根据目标地址选择到相应公共网络节点的路由;
(e)等待从公共网络响应具有被替换了源信息的数据包的一个返回包;
(f)在返回包中,用被维护的源地址代替目标地址;
(g)从过滤器节点出发,在专用网络中为具有被替换了目标地址的返回包选择到相应专用网络节点的路由。
12.如权利要求11所述方法,包括在过滤器节点缓冲存储在等待返回包期间另外从专用网络接收的数据包,以及如果有的话,在单个的基础上为缓冲存储的另外的数据包,重复步骤(b)到(g)。
13.如权利要求12所述方法,其中,数据包包括按照互联网控制消息协议(ICMP)的包。
14.操作一个过滤器节点(12)的方法,该过滤器节点(12)用于接口第一(10)和第二(14)数据通信网络,包括的步骤有:
从第一网络接收具有相应于第二网络的一个节点(20)的目标信息和相应于第一网络的一个节点(18)的源信息的一个数据包,该目标信息包括目标地址和目标端口,该源信息包括源地址和源端口;
维护从与表示过滤器节点端口的一个唯一值关联的数据包取出的源信息;
用过滤器节点地址代替数据包中的源地址和用过滤器节点端口值代替源端口;
把具有替换过源信息的数据包发送到第二网络,其中根据目标信息为数据包选择到相应第二网络节点的路由。
15.如权利要求14所述方法,包括的步骤有:
从第二网络接收一个数据包,该数据包具有作为目标地址的过滤器节点地址;
把数据包中目标信息中的目标端口与被维护的特定源信息关联;
用该特定源信息替换数据包中的目标信息;
把具有被替换过目标信息的数据包发送到第一网络,其中根据其目标信息为数据包选择到相应第一网络节点的路由。
16.如权利要求15所述方法,包括,如果数据包中的目标信息中的目标端口不能与被维护的源信息关联的话,则忽略从第二网络接收的数据包。
17.如权利要求16所述方法,其中,维护源信息包括存储数据包中的源信息到一个查阅表作为条目,而关联源信息的过滤器节点端口值组成查阅表中该条目的一个索引。
18.如权利要求17所述方法,其中,数据包包括按照在互联网协议(IP)上的传输控制协议(TCP)的包。
19.如权利要求18所述方法,包括接收从第一网络来的一个TCP包;以及如果相应于该TCP包的一个条目在查阅表中找不到,且该TCP包指示这是一个连接请求的话,则存储该TCP包中的源信息和目标信息在查阅表中作为一个新条目。
20.如权利要求19所述方法,包括接收从第二网络来的一个TCP包;以及如果在接收到的TCP包中的源端口与在查阅表中由在该TCP包中的目标端口索引的源信息条目中的目标端口不同,且如果该TCP包指示该包是对连接请求的第一响应的话,则用接收的TCP包中的源端口更新表条目中的目标端口。
21.如权利要求20所述方法,包括接收包中具有传输代码结束的TCP包以及相应于接收到的TCP包把查阅表中的一个条目置零。
22.根据权利要求17的方法,其中,数据包包括一个按照在互联网协议(IP)上的用户数据报协议(UDP)的包。
23.根据权利要求22的方法,包括从第一网络接收一个UDP数据包,以及把该UDP包的源信息和目标信息连同用于一个期满定时器的间隔指示一起加到查阅表,作为一个新条目。
24.操作过滤器节点(12)的方法,该过滤器节点(12)用于接口第一(10)和第二(14)数据通信网络,包括的步骤有:
(a)接收从第一网络来的一个数据包,该数据包具有相应于第二网络中一个节点(20)的目标地址和相应于第一网络中一个节点(18)的源地址;
(b)维护从数据包中取出的源地址;
(c)用过滤器节点地址代替数据包中的源地址;
(d)发送具有被替换过源地址的数据包到第二网络,其中为该数据包选择到相应第二网络节点的路由;
(e)接收从第二网络响应具有被替换过源信息的数据包的一个返回包;
(f)在返回包中,用维护的源地址代替目标地址;
(g)把具有被替换过目标地址的返回包发送到第一网络,其中为返回包选择到相应第一网络节点的路由。
25.如权利要求24所述方法,包括缓冲存储在等待返回包时另外从第一网络接收的数据包,以及如果有的话,在单个的基础上为缓冲存储的另外的数据包,重复步骤(b)到(g)。
26.如权利要求25所述方法,其中,数据包包括按照互联网控制消息协议(ICMP)的包。
27.一个过滤器节点(12),该过滤器节点(12)用于接口第一(10)和第二(14)数据通信网络,包括:
从第一网络接收具有相应于第二网络的一个节点(20)的目标信息和相应于第一网络的一个节点(18)的源信息的一个数据包的设备,该目标信息包括目标地址和目标端口,该源信息包括源地址和源端口;
维护从与表示过滤器节点端口的一个唯一值关联的数据包取出的源信息的设备;
用过滤器节点地址代替数据包中的源地址和用过滤器节点端口值代替源端口的设备;
把具有替换过的源信息的数据包发送到第二网络的设备,其中根据其目标信息为数据包选择到相应第二网络节点的路由。
28.如权利要求27所述过滤器节点,包括:
从第二网络接收一个数据包的设备,该数据包具有作为目标地址的过滤器节点地址;
关联数据包中目标信息中的目标端口与被维护的特定源信息的设备;
用该特定源信息替换数据包中的目标信息的设备;
发送被替换过目标信息的数据包到第一网络的设备,其中根据其目标信息为数据包选择到相应第一网络节点的路由。
29.如权利要求28所述方法,包括,如果数据包中的目标信息中的目标端口不能与被维护的源信息关联的话,忽略从第二网络接收的数据包的设备。
30.如权利要求29所述方法,其中,维护源信息的设备包括存储数据包中的源信息到一个查阅表作为一个条目的设备,而关联源信息的过滤器节点端口值组成查阅表中该条目的一个索引。
31.一个过滤器节点(12),该过滤器节点(12)用于接口第一(10)和第二(14)数据通信网络,包括:
(a)接收从第一网络来的一个数据包的设备,该数据包具有相应于第二网络中一个节点(20)的目标地址和相应于第一网络中一个节点(18)的源地址;
(b)维护从数据包中取出的源地址的设备;
(c)用过滤器节点地址代替数据包中的源地址的设备;
(d)发送具有被替换了源地址的数据包到第二网络的设备,其中为该数据包选择到相应第二网络节点的路由;
(e)接收从第二网络响应具有被替换了源信息的数据包的一个返回包的设备;
(f)在返回包中,用被维护的源地址代替目标地址的设备;
(g)把具有被替换过目标地址的返回包发送到第一网络的设备,以此为返回包选择到相应第一网络节点的路由。
32.如权利要求31所述过滤器节点,包括缓冲存储在等待返回包期间另外从第一网络接收的数据包的设备,以及如果有的话,在单个的基础上为处理缓冲存储的另外的数据包,控制步骤(b)到(g)的设备。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US1594596P | 1996-04-24 | 1996-04-24 | |
| US60/015,945 | 1996-04-24 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1216657A true CN1216657A (zh) | 1999-05-12 |
Family
ID=21774476
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN97194075A Pending CN1216657A (zh) | 1996-04-24 | 1997-04-23 | 互联网协议过滤器 |
Country Status (9)
| Country | Link |
|---|---|
| US (1) | US6128298A (zh) |
| EP (1) | EP0895684B1 (zh) |
| JP (1) | JPH11508753A (zh) |
| KR (1) | KR100317443B1 (zh) |
| CN (1) | CN1216657A (zh) |
| AU (1) | AU707905B2 (zh) |
| CA (1) | CA2248577C (zh) |
| DE (1) | DE69708281T2 (zh) |
| WO (1) | WO1997040610A2 (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2005117346A1 (fr) * | 2004-05-28 | 2005-12-08 | Zte Corporation | Procede d'enregistrement de terminal de reseau prive aupres du controleur fonde sur le protocole h.323 |
| CN100391213C (zh) * | 2001-08-30 | 2008-05-28 | 西门子公司 | 在内部数据网和公共数据网之间传送数据的方法和实施该方法的装置 |
| CN100443910C (zh) * | 2002-11-07 | 2008-12-17 | 尖端技术公司 | 主动网络防护系统与方法 |
| CN100525202C (zh) * | 2004-05-28 | 2009-08-05 | 中兴通讯股份有限公司 | 一种基于h.323协议的私网终端向网守注册的方法 |
| CN1625879B (zh) * | 2002-02-05 | 2010-06-16 | 思科技术公司 | 基于分组的通信的地址跳跃 |
| CN101286895B (zh) * | 2008-05-22 | 2010-08-18 | 上海交通大学 | 可动态配置的分布式网络数据监控系统及方法 |
| CN1756259B (zh) * | 2004-09-27 | 2011-04-20 | 国际商业机器公司 | 因特网协议网络中使用网络地址翻译的方法和系统 |
| US8064450B2 (en) | 2002-05-06 | 2011-11-22 | Qualcomm Incorporated | System and method for registering IP address of wireless communication device |
| CN1768517B (zh) * | 2003-03-28 | 2012-02-08 | 英特尔公司 | 用于访问漫游移动节点的方法、设备和系统 |
| CN104579939A (zh) * | 2014-12-29 | 2015-04-29 | 网神信息技术(北京)股份有限公司 | 网关的保护方法和装置 |
Families Citing this family (175)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001345854A (ja) * | 2000-03-27 | 2001-12-14 | Matsushita Electric Ind Co Ltd | ネットワーク間のパケット通信方法及びシステム並びに装置 |
| CA2283964C (en) | 1997-03-12 | 2008-05-06 | Nomadix, Llc | Nomadic translator or router |
| JP3038650B2 (ja) * | 1997-04-28 | 2000-05-08 | 日本電気株式会社 | 移動体パケット通信システムのインターネット通信方法と装置 |
| US6006258A (en) * | 1997-09-12 | 1999-12-21 | Sun Microsystems, Inc. | Source address directed message delivery |
| US6092110A (en) * | 1997-10-23 | 2000-07-18 | At&T Wireless Svcs. Inc. | Apparatus for filtering packets using a dedicated processor |
| US6353614B1 (en) * | 1998-03-05 | 2002-03-05 | 3Com Corporation | Method and protocol for distributed network address translation |
| FI110987B (fi) | 1998-03-31 | 2003-04-30 | Nokia Corp | Menetelmä tiedonsiirtovirtausten kytkemiseksi |
| US6876654B1 (en) * | 1998-04-10 | 2005-04-05 | Intel Corporation | Method and apparatus for multiprotocol switching and routing |
| US6370147B1 (en) | 1998-04-23 | 2002-04-09 | 3Com Corporation | Method for addressing of passive network hosts in a data-over-cable system |
| US6636485B1 (en) | 1998-05-14 | 2003-10-21 | 3Com Corporation | Method and system for providing quality-of-service in a data-over-cable system |
| US6560203B1 (en) | 1998-05-27 | 2003-05-06 | 3Com Corporation | Method for changing type-of-service in a data-over-cable system |
| US6510162B1 (en) | 1998-05-27 | 2003-01-21 | 3Com Corporation | System and method for managing channel usage in a data over cable system |
| US6775276B1 (en) | 1998-05-27 | 2004-08-10 | 3Com Corporation | Method and system for seamless address allocation in a data-over-cable system |
| US6442158B1 (en) | 1998-05-27 | 2002-08-27 | 3Com Corporation | Method and system for quality-of-service based data forwarding in a data-over-cable system |
| SE519523C2 (sv) | 1998-06-30 | 2003-03-11 | Ericsson Telefon Ab L M | Mobilt LAN där värddatorer anslutna till LANet kan genomföra paketdatakommunikation med värddatorer i externa nät |
| US6717949B1 (en) * | 1998-08-31 | 2004-04-06 | International Business Machines Corporation | System and method for IP network address translation using selective masquerade |
| US6892229B1 (en) | 1998-09-30 | 2005-05-10 | 3Com Corporation | System and method for assigning dynamic host configuration protocol parameters in devices using resident network interfaces |
| US6728885B1 (en) * | 1998-10-09 | 2004-04-27 | Networks Associates Technology, Inc. | System and method for network access control using adaptive proxies |
| US6570875B1 (en) | 1998-10-13 | 2003-05-27 | Intel Corporation | Automatic filtering and creation of virtual LANs among a plurality of switch ports |
| US6667968B1 (en) * | 1998-12-03 | 2003-12-23 | Telefonaktiebolaget L M Ericsson (Publ) | System and method for providing multiple endpoints in a device disposed in a packet-switched network |
| US8266266B2 (en) | 1998-12-08 | 2012-09-11 | Nomadix, Inc. | Systems and methods for providing dynamic network authorization, authentication and accounting |
| US7194554B1 (en) | 1998-12-08 | 2007-03-20 | Nomadix, Inc. | Systems and methods for providing dynamic network authorization authentication and accounting |
| US8713641B1 (en) | 1998-12-08 | 2014-04-29 | Nomadix, Inc. | Systems and methods for authorizing, authenticating and accounting users having transparent computer access to a network using a gateway device |
| US6662135B1 (en) | 1998-12-09 | 2003-12-09 | 3Com Corporation | Method and apparatus for reflective mixer testing of a cable modem |
| US6657991B1 (en) * | 1998-12-21 | 2003-12-02 | 3Com Corporation | Method and system for provisioning network addresses in a data-over-cable system |
| US6584096B1 (en) * | 1998-12-30 | 2003-06-24 | Nortel Networks Limited | Method and apparatus for connecting a home network to the internet |
| JP3495625B2 (ja) * | 1999-01-11 | 2004-02-09 | 三洋電機株式会社 | デジタル放送受信機におけるtsデータフィルタリング回路 |
| US6577642B1 (en) | 1999-01-15 | 2003-06-10 | 3Com Corporation | Method and system for virtual network administration with a data-over cable system |
| US6738382B1 (en) * | 1999-02-24 | 2004-05-18 | Stsn General Holdings, Inc. | Methods and apparatus for providing high speed connectivity to a hotel environment |
| US7240368B1 (en) * | 1999-04-14 | 2007-07-03 | Verizon Corporate Services Group Inc. | Intrusion and misuse deterrence system employing a virtual network |
| US6563824B1 (en) | 1999-04-20 | 2003-05-13 | 3Com Corporation | Apparatus and methods for determining the correct workstation within a LAN for a LAN modem to route a packet |
| US6697862B1 (en) * | 1999-05-21 | 2004-02-24 | 3Com Corporation | System and method for network address maintenance using dynamic host configuration protocol messages in a data-over-cable system |
| GB2350259B (en) * | 1999-05-21 | 2003-10-08 | Chung-Nan Tien | Method for enabling a remote user at a remote computer to access a computer selectively connected to a local computer network |
| US6654387B1 (en) | 1999-05-21 | 2003-11-25 | 3Com Corporation | Method for network address table maintenance in a data-over-cable system using a network device registration procedure |
| US6754622B1 (en) | 1999-05-24 | 2004-06-22 | 3Com Corporation | Method for network address table maintenance in a data-over-cable system using destination reachibility |
| US6785292B1 (en) | 1999-05-28 | 2004-08-31 | 3Com Corporation | Method for detecting radio frequency impairments in a data-over-cable system |
| US6957346B1 (en) * | 1999-06-15 | 2005-10-18 | Ssh Communications Security Ltd. | Method and arrangement for providing security through network address translations using tunneling and compensations |
| JP2001053794A (ja) * | 1999-08-09 | 2001-02-23 | Nec Corp | Ip通信のリアルタイムバックアップ通信方法 |
| WO2001019040A1 (en) * | 1999-09-03 | 2001-03-15 | Broadcom Corporation | Apparatus and method for enabling voice over ip support for a network switch |
| US6553568B1 (en) | 1999-09-29 | 2003-04-22 | 3Com Corporation | Methods and systems for service level agreement enforcement on a data-over cable system |
| NL1013273C2 (nl) * | 1999-10-12 | 2001-04-17 | Koninkl Kpn Nv | Werkwijze en systeem voor het verzenden van IP berichten. |
| US6698021B1 (en) * | 1999-10-12 | 2004-02-24 | Vigilos, Inc. | System and method for remote control of surveillance devices |
| US8190708B1 (en) | 1999-10-22 | 2012-05-29 | Nomadix, Inc. | Gateway device having an XML interface and associated method |
| US6581108B1 (en) * | 1999-11-30 | 2003-06-17 | Lucent Technologies Inc. | Managing multiple private data networks using network and payload address translation |
| US6977929B1 (en) | 1999-12-10 | 2005-12-20 | Sun Microsystems, Inc. | Method and system for facilitating relocation of devices on a network |
| US6870842B1 (en) | 1999-12-10 | 2005-03-22 | Sun Microsystems, Inc. | Using multicasting to provide ethernet-like communication behavior to selected peers on a network |
| US7765581B1 (en) | 1999-12-10 | 2010-07-27 | Oracle America, Inc. | System and method for enabling scalable security in a virtual private network |
| US7336790B1 (en) | 1999-12-10 | 2008-02-26 | Sun Microsystems Inc. | Decoupling access control from key management in a network |
| JP3436906B2 (ja) * | 1999-12-10 | 2003-08-18 | パナソニック コミュニケーションズ株式会社 | エラー通知装置およびエラー通知方法 |
| US6798782B1 (en) | 1999-12-10 | 2004-09-28 | Sun Microsystems, Inc. | Truly anonymous communications using supernets, with the provision of topology hiding |
| US6970941B1 (en) * | 1999-12-10 | 2005-11-29 | Sun Microsystems, Inc. | System and method for separating addresses from the delivery scheme in a virtual private network |
| US6879593B1 (en) * | 1999-12-20 | 2005-04-12 | Intel Corporation | Connections of nodes on different networks |
| US7925693B2 (en) * | 2000-01-24 | 2011-04-12 | Microsoft Corporation | NAT access control with IPSec |
| US7072933B1 (en) | 2000-01-24 | 2006-07-04 | Microsoft Corporation | Network access control using network address translation |
| US20020112076A1 (en) * | 2000-01-31 | 2002-08-15 | Rueda Jose Alejandro | Internet protocol-based computer network service |
| US7058973B1 (en) * | 2000-03-03 | 2006-06-06 | Symantec Corporation | Network address translation gateway for local area networks using local IP addresses and non-translatable port addresses |
| KR100689540B1 (ko) | 2000-03-20 | 2007-03-08 | 삼성전자주식회사 | 사설 아이피 네트워크를 통한 다중 통화 장치 및 방법 |
| AU2001259065A1 (en) * | 2000-04-14 | 2001-10-30 | Stratus Technologies International, S.A.R.L. | Robust, secure service network |
| US6804262B1 (en) | 2000-04-28 | 2004-10-12 | 3Com Corporation | Method and apparatus for channel determination through power measurements |
| US6775229B1 (en) | 2000-05-05 | 2004-08-10 | Fujitsu Network Communications, Inc. | Method and system for providing a protection path for connection-oriented signals in a telecommunications network |
| US7133403B1 (en) | 2000-05-05 | 2006-11-07 | Fujitsu Limited | Transport network and method |
| US7385917B1 (en) | 2000-05-05 | 2008-06-10 | Fujitsu Limited | Method and system for providing a protection path for connectionless signals in a telecommunications network |
| US7151773B1 (en) | 2000-05-05 | 2006-12-19 | Fujitsu Limited | System and method for connectionless/connection oriented signal transport |
| US7058730B2 (en) * | 2000-05-05 | 2006-06-06 | Fujitsu Limited | Unique address space and method for a transport network |
| US7075927B2 (en) | 2000-05-05 | 2006-07-11 | Fujitsu Limited | Method and system for quality of service (QoS) support in a packet-switched network |
| US7173912B2 (en) | 2000-05-05 | 2007-02-06 | Fujitsu Limited | Method and system for modeling and advertising asymmetric topology of a node in a transport network |
| US6515966B1 (en) | 2000-05-05 | 2003-02-04 | Fujitsu Network Communications, Inc. | System and method for application object transport |
| US7047176B2 (en) | 2000-05-05 | 2006-05-16 | Fujitsu Limited | Method and system for hardware simulation |
| US6693909B1 (en) | 2000-05-05 | 2004-02-17 | Fujitsu Network Communications, Inc. | Method and system for transporting traffic in a packet-switched network |
| US6862267B1 (en) * | 2000-05-08 | 2005-03-01 | Nortel Networks Limited | Determining network addresses and ports using table from a description file |
| GB2362482A (en) * | 2000-05-15 | 2001-11-21 | Ridgeway Systems & Software Lt | Direct slave addressing to indirect slave addressing |
| US6718385B1 (en) * | 2000-05-19 | 2004-04-06 | Galaxy Computer Services, Inc. | System for controlling movement of information using an information diode between a source network and a destination network |
| IT1319279B1 (it) * | 2000-05-31 | 2003-10-10 | Cit Alcatel | Metodo e dispositivo per tradurre indirizzi ip di reti pertelecomunicazioni usando una memoria con oblio controllato. |
| US6816500B1 (en) | 2000-07-10 | 2004-11-09 | 3Com Corporation | Apparatus, method and system for multimedia access network channel management |
| US7382397B2 (en) * | 2000-07-26 | 2008-06-03 | Smiths Detection, Inc. | Systems and methods for controlling devices over a network |
| US20030093430A1 (en) * | 2000-07-26 | 2003-05-15 | Mottur Peter A. | Methods and systems to control access to network devices |
| AU2001283502A1 (en) | 2000-07-26 | 2002-02-05 | Livewave, Inc. | Methods and systems for networked camera control |
| GB2365256A (en) | 2000-07-28 | 2002-02-13 | Ridgeway Systems & Software Lt | Audio-video telephony with port address translation |
| FR2812991B1 (fr) * | 2000-08-08 | 2003-01-24 | France Telecom | Traduction d'identificateurs de terminaux d'installation d'usager dans un reseau de paquets |
| WO2002015463A1 (en) | 2000-08-15 | 2002-02-21 | Polycom Israel Ltd. | A multimedia communication control unit as a secure device for multimedia communication between lan users and other network users |
| AU2001280235A1 (en) * | 2000-08-23 | 2002-03-04 | Great Human Software Co., Ltd. | Method and system for establishing connections between terminals connected to network environments having different ip-addressing schemes |
| KR100689034B1 (ko) * | 2000-08-26 | 2007-03-08 | 삼성전자주식회사 | 외부 네트워크에서 사설 아이피주소를 갖는 노드에접속하기 위한 네트워크 주소변환시스템과 방법 및 그방법을 기록한 컴퓨터로 읽을수 있는 기록매체 |
| KR100645960B1 (ko) * | 2000-08-29 | 2006-11-14 | 삼성전자주식회사 | 사설망의 네트워크 노드에 접속하기 위한 시스템과 방법 |
| US6981278B1 (en) * | 2000-09-05 | 2005-12-27 | Sterling Commerce, Inc. | System and method for secure dual channel communication through a firewall |
| US7836498B2 (en) * | 2000-09-07 | 2010-11-16 | Riverbed Technology, Inc. | Device to protect victim sites during denial of service attacks |
| US20020101859A1 (en) * | 2000-09-12 | 2002-08-01 | Maclean Ian B. | Communicating between nodes in different wireless networks |
| US6661799B1 (en) * | 2000-09-13 | 2003-12-09 | Alcatel Usa Sourcing, L.P. | Method and apparatus for facilitating peer-to-peer application communication |
| FI112308B (fi) * | 2000-09-14 | 2003-11-14 | Nokia Corp | Protokollan käsittelyn jakaminen |
| US7054930B1 (en) * | 2000-10-26 | 2006-05-30 | Cisco Technology, Inc. | System and method for propagating filters |
| DE10053951B4 (de) * | 2000-10-31 | 2005-04-21 | Siemens Ag | Verfahren und Router zur Einrichtung einer Verbindung über ein IP-orientiertes Netz |
| SE519251C2 (sv) * | 2000-11-08 | 2003-02-04 | Icomera Ab | En metod och ett system för överföring av paket mellan två olika enheter |
| GB2369746A (en) | 2000-11-30 | 2002-06-05 | Ridgeway Systems & Software Lt | Communications system with network address translation |
| FI20002822A (fi) | 2000-12-21 | 2002-06-22 | Nokia Corp | Osoitteen jakaminen |
| KR100464487B1 (ko) * | 2000-12-27 | 2004-12-31 | 엘지전자 주식회사 | 에이디에스엘 모뎀의 패킷 검사를 통한 보안장치 및 그 방법 |
| US6775235B2 (en) * | 2000-12-29 | 2004-08-10 | Ragula Systems | Tools and techniques for directing packets over disparate networks |
| GB2371186A (en) * | 2001-01-11 | 2002-07-17 | Marconi Comm Ltd | Checking packets |
| KR100393273B1 (ko) * | 2001-02-12 | 2003-07-31 | (주)폴리픽스 | 사설통신망 상의 온라인정보 교환시스템 및 그 교환방법 |
| KR100418445B1 (ko) * | 2001-04-11 | 2004-02-14 | (주) 세이프아이 | 인터넷 망을 통한 접근 통제 방법 및 장치 |
| US7151778B2 (en) | 2001-04-18 | 2006-12-19 | Brocade Communications Systems, Inc. | Frame filtering of fibre channel packets |
| US7366194B2 (en) | 2001-04-18 | 2008-04-29 | Brocade Communications Systems, Inc. | Fibre channel zoning by logical unit number in hardware |
| US7167472B2 (en) * | 2001-04-18 | 2007-01-23 | Brocade Communications Systems, Inc. | Fibre channel zoning by device name in hardware |
| US20020154635A1 (en) * | 2001-04-23 | 2002-10-24 | Sun Microsystems, Inc. | System and method for extending private networks onto public infrastructure using supernets |
| KR20020093398A (ko) * | 2001-06-08 | 2002-12-16 | (주)바네트 | 초고속 인터넷 공인 ip 주소의 제한적 공유 방법 |
| US7684317B2 (en) | 2001-06-14 | 2010-03-23 | Nortel Networks Limited | Protecting a network from unauthorized access |
| US6987765B2 (en) * | 2001-06-14 | 2006-01-17 | Nortel Networks Limited | Changing media sessions |
| US20030009561A1 (en) * | 2001-06-14 | 2003-01-09 | Sollee Patrick N. | Providing telephony services to terminals behind a firewall and /or network address translator |
| US7068655B2 (en) | 2001-06-14 | 2006-06-27 | Nortel Networks Limited | Network address and/or port translation |
| US6513122B1 (en) | 2001-06-29 | 2003-01-28 | Networks Associates Technology, Inc. | Secure gateway for analyzing textual content to identify a harmful impact on computer systems with known vulnerabilities |
| GB0123371D0 (en) * | 2001-09-28 | 2001-11-21 | Nokia Corp | Improved interconnection of IP networks |
| US20040048610A1 (en) * | 2001-09-28 | 2004-03-11 | Kim Soo Hwan | Method and system for matching subscriber states in network in which public land mobile network and wired/wireless private network are interworked |
| US20030069981A1 (en) * | 2001-10-09 | 2003-04-10 | Koninklijke Philips Electronics N.V. | IP hopping for secure data transfer |
| US7006436B1 (en) * | 2001-11-13 | 2006-02-28 | At&T Corp. | Method for providing voice-over-IP service |
| US7512084B2 (en) * | 2001-11-28 | 2009-03-31 | Nokia Corporation | Event driven filter monitoring for IP multicast services |
| US20040133669A1 (en) * | 2001-11-28 | 2004-07-08 | Esa Jalonen | Event or polling driven DVB-T filter detection |
| US7227864B2 (en) * | 2001-12-17 | 2007-06-05 | Microsoft Corporation | Methods and systems for establishing communications through firewalls and network address translators |
| KR20030069729A (ko) * | 2002-02-22 | 2003-08-27 | 삼성전자주식회사 | 이동통신 시스템에서 이동단말기의 패킷데이터를라우팅하는 방법 |
| US7668306B2 (en) | 2002-03-08 | 2010-02-23 | Intel Corporation | Method and apparatus for connecting packet telephony calls between secure and non-secure networks |
| KR20030075810A (ko) * | 2002-03-20 | 2003-09-26 | 유디에스 주식회사 | 공인네트워크와 비공인네트워크 사이에서의 데이터 통신시스템 및 그 방법 |
| US7475145B2 (en) * | 2002-04-26 | 2009-01-06 | International Business Machines Corporation | Dynamic invocation of web services |
| CA2486973A1 (en) * | 2002-05-23 | 2003-12-04 | Matsushita Electric Industrial Co., Ltd. | Information processing system |
| WO2003105015A1 (en) | 2002-06-01 | 2003-12-18 | Akonix Systems, Inc. | Systems and methods for a protocol gateway |
| US7657616B1 (en) | 2002-06-10 | 2010-02-02 | Quest Software, Inc. | Automatic discovery of users associated with screen names |
| US7113763B2 (en) | 2002-06-03 | 2006-09-26 | Nokia Corporation | Bluetooth access point and remote bluetooth modules for powerline based networking |
| US7428590B2 (en) * | 2002-06-10 | 2008-09-23 | Akonix Systems, Inc. | Systems and methods for reflecting messages associated with a target protocol within a network |
| US7774832B2 (en) * | 2002-06-10 | 2010-08-10 | Quest Software, Inc. | Systems and methods for implementing protocol enforcement rules |
| US7707401B2 (en) * | 2002-06-10 | 2010-04-27 | Quest Software, Inc. | Systems and methods for a protocol gateway |
| JP4346869B2 (ja) * | 2002-06-26 | 2009-10-21 | パナソニック株式会社 | 電子機器、及び情報処理方法 |
| TW200408242A (en) | 2002-09-06 | 2004-05-16 | Matsushita Electric Ind Co Ltd | Home terminal apparatus and communication system |
| US20060075137A1 (en) * | 2002-09-30 | 2006-04-06 | Hajime Maekawa | Information processing apparatus and receiving apparatus |
| US20040083388A1 (en) * | 2002-10-25 | 2004-04-29 | Nguyen The Vinh | Method and apparatus for monitoring data packets in a packet-switched network |
| US20040139226A1 (en) * | 2002-12-13 | 2004-07-15 | Dany Margalit | Method for assigning an IP address to a network connectable device |
| US7216359B2 (en) * | 2002-12-19 | 2007-05-08 | International Business Machines Corporation | Secure communication overlay using IP address hopping |
| US20050013274A1 (en) * | 2003-03-05 | 2005-01-20 | Harri Pekonen | System and method for data transmission and reception |
| US7627640B2 (en) * | 2003-03-17 | 2009-12-01 | Epostal Services, Inc. | Messaging and document management system and method |
| WO2004084042A2 (en) * | 2003-03-17 | 2004-09-30 | Epostal Services, Inc. | Messaging and document management system and method |
| US20060288373A1 (en) * | 2003-05-05 | 2006-12-21 | Grimes Kevin L | System and method for communicating with a display device via a network |
| US7694021B1 (en) * | 2003-05-28 | 2010-04-06 | Cisco Technology, Inc. | Firewall for gateway network elements between IP based networks |
| US7573867B1 (en) * | 2003-07-17 | 2009-08-11 | Sprint Spectrum L.P. | Method and system for maintaining a radio link connection during absence of real-time packet data communication |
| US20050041631A1 (en) * | 2003-08-20 | 2005-02-24 | Naveen Aerrabotu | Apparatus and method for primary link packet control |
| US7715326B2 (en) * | 2003-08-22 | 2010-05-11 | Eutech Cybernetics Pte. Ltd. | Webserver alternative for increased security |
| CN100440886C (zh) * | 2003-09-02 | 2008-12-03 | 华为技术有限公司 | 多媒体协议穿越网络地址转换设备的实现方法 |
| US20050053063A1 (en) * | 2003-09-04 | 2005-03-10 | Sajeev Madhavan | Automatic provisioning of network address translation data |
| US20050102704A1 (en) * | 2003-11-07 | 2005-05-12 | Rudy Prokupets | Multiregional security system integrated with digital video recording and archiving |
| TWI257217B (en) * | 2003-11-10 | 2006-06-21 | Inst Information Industry | Method to detect the form of network address translation |
| CN1270481C (zh) * | 2003-12-08 | 2006-08-16 | 华为技术有限公司 | 一种无线局域网接入关口及其实现保障网络安全的方法 |
| US7305706B2 (en) * | 2004-01-15 | 2007-12-04 | Cisco Technology, Inc. | Establishing a virtual private network for a road warrior |
| US7430203B2 (en) * | 2004-01-29 | 2008-09-30 | Brocade Communications Systems, Inc. | Fibre channel zoning hardware for directing a data packet to an external processing device |
| EP1699185A1 (en) * | 2004-01-30 | 2006-09-06 | Matsushita Electric Industries Co., Ltd. | Communication system, information processing system, information processing apparatus, tunnel management apparatus, information processing method, tunnel management method, and program |
| US20050177859A1 (en) * | 2004-02-09 | 2005-08-11 | Valentino Henry Iii | Video surveillance system and methods of use and doing business |
| US8059562B2 (en) * | 2004-10-18 | 2011-11-15 | Nokia Corporation | Listener mechanism in a distributed network system |
| US8464299B1 (en) | 2004-11-17 | 2013-06-11 | Rockstar Consortium Us Lp | Resource conservation for packet television services |
| KR20060059292A (ko) * | 2004-11-26 | 2006-06-01 | 한국전자통신연구원 | 양방향 위성 통신 시스템에서의 네트워크 운용 방법 |
| US20060215649A1 (en) * | 2005-03-08 | 2006-09-28 | Chris Morrall | Network address converting apparatus using SSW tree |
| US20060221955A1 (en) * | 2005-04-05 | 2006-10-05 | Mark Enright | IP addressing in joined private networks |
| US8064439B2 (en) | 2005-06-30 | 2011-11-22 | Cisco Technology, Inc. | Method and system for call processing |
| WO2007056691A2 (en) * | 2005-11-03 | 2007-05-18 | Akonix Systems, Inc. | Systems and methods for remote rogue protocol enforcement |
| US7451145B1 (en) * | 2005-12-13 | 2008-11-11 | At&T Corp. | Method and apparatus for recursively analyzing log file data in a network |
| JP4759389B2 (ja) * | 2006-01-10 | 2011-08-31 | アラクサラネットワークス株式会社 | パケット通信装置 |
| JP4634320B2 (ja) * | 2006-02-28 | 2011-02-16 | 株式会社日立製作所 | 対異常通信防御を行うための装置とネットワークシステム |
| JP4594258B2 (ja) * | 2006-03-10 | 2010-12-08 | 富士通株式会社 | システム分析装置およびシステム分析方法 |
| US7704617B2 (en) * | 2006-04-03 | 2010-04-27 | Bloom Energy Corporation | Hybrid reformer for fuel flexibility |
| JP4780413B2 (ja) * | 2007-01-12 | 2011-09-28 | 横河電機株式会社 | 不正アクセス情報収集システム |
| US8046492B1 (en) * | 2007-11-06 | 2011-10-25 | Juniper Networks, Inc. | Offset independent filtering |
| DE102008012559A1 (de) * | 2008-03-04 | 2009-09-17 | Jochen Schumacher | Verfahren zur Einrichtung einer Kommunikationsstrecke zwischen Teilnehmergeräten in einem Daten-Netzwerk |
| GB2478470B8 (en) | 2008-11-17 | 2014-05-21 | Sierra Wireless Inc | Method and apparatus for network port and netword address translation |
| US8924486B2 (en) | 2009-02-12 | 2014-12-30 | Sierra Wireless, Inc. | Method and system for aggregating communications |
| US8326919B1 (en) * | 2009-12-22 | 2012-12-04 | Emc Corporation | Network address translation auto-discovery in data storage networks |
| CN103262505B (zh) * | 2010-10-22 | 2016-06-01 | 瑞典爱立信有限公司 | 使用网络地址转换的网络业务的区分处理 |
| US8904036B1 (en) * | 2010-12-07 | 2014-12-02 | Chickasaw Management Company, Llc | System and method for electronic secure geo-location obscurity network |
| US9037724B2 (en) | 2011-02-08 | 2015-05-19 | Sierra Wireless, Inc. | Method and system for forwarding data between network devices |
| CN102209124B (zh) * | 2011-06-08 | 2014-03-12 | 杭州华三通信技术有限公司 | 私网与公网通信的方法及网络地址转换设备 |
| CA2842459C (en) * | 2011-07-20 | 2017-09-26 | Neil EULIANO | Wetness sensors, wetness monitoring system, and related methods |
| US9634911B2 (en) * | 2013-07-30 | 2017-04-25 | Avaya Inc. | Communication device event captures |
| US9832196B2 (en) | 2014-09-15 | 2017-11-28 | Bank Of America Corporation | Network monitoring device |
| WO2016093748A1 (en) * | 2014-12-09 | 2016-06-16 | Telefonaktiebolaget Lm Ericsson (Publ) | Network address translation |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5383179A (en) * | 1988-12-15 | 1995-01-17 | Laboratoire Europeen De Recherches Electroniques Avancees | Message routing method in a system having several different transmission channels |
| US5309437A (en) * | 1990-06-29 | 1994-05-03 | Digital Equipment Corporation | Bridge-like internet protocol router |
| US5400334A (en) * | 1993-08-10 | 1995-03-21 | Ungermann-Bass, Inc. | Message security on token ring networks |
| US5835726A (en) * | 1993-12-15 | 1998-11-10 | Check Point Software Technologies Ltd. | System for securing the flow of and selectively modifying packets in a computer network |
| US5606668A (en) * | 1993-12-15 | 1997-02-25 | Checkpoint Software Technologies Ltd. | System for securing inbound and outbound data packet flow in a computer network |
| US5416842A (en) * | 1994-06-10 | 1995-05-16 | Sun Microsystems, Inc. | Method and apparatus for key-management scheme for use with internet protocols at site firewalls |
| US5623601A (en) * | 1994-11-18 | 1997-04-22 | Milkway Networks Corporation | Apparatus and method for providing a secure gateway for communication and data exchanges between networks |
| US5793763A (en) * | 1995-11-03 | 1998-08-11 | Cisco Technology, Inc. | Security system for network address translation systems |
| US5781550A (en) * | 1996-02-02 | 1998-07-14 | Digital Equipment Corporation | Transparent and secure network gateway |
| US5826014A (en) * | 1996-02-06 | 1998-10-20 | Network Engineering Software | Firewall system for protecting network elements connected to a public network |
| US5778174A (en) * | 1996-12-10 | 1998-07-07 | U S West, Inc. | Method and system for providing secured access to a server connected to a private computer network |
-
1997
- 1997-04-23 AU AU25632/97A patent/AU707905B2/en not_active Expired
- 1997-04-23 KR KR1019980708503A patent/KR100317443B1/ko not_active IP Right Cessation
- 1997-04-23 JP JP9537534A patent/JPH11508753A/ja active Pending
- 1997-04-23 CA CA002248577A patent/CA2248577C/en not_active Expired - Lifetime
- 1997-04-23 WO PCT/CA1997/000269 patent/WO1997040610A2/en active IP Right Grant
- 1997-04-23 CN CN97194075A patent/CN1216657A/zh active Pending
- 1997-04-23 DE DE69708281T patent/DE69708281T2/de not_active Expired - Lifetime
- 1997-04-23 EP EP97917189A patent/EP0895684B1/en not_active Expired - Lifetime
- 1997-04-24 US US08/842,328 patent/US6128298A/en not_active Expired - Lifetime
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100391213C (zh) * | 2001-08-30 | 2008-05-28 | 西门子公司 | 在内部数据网和公共数据网之间传送数据的方法和实施该方法的装置 |
| CN1625879B (zh) * | 2002-02-05 | 2010-06-16 | 思科技术公司 | 基于分组的通信的地址跳跃 |
| US8064450B2 (en) | 2002-05-06 | 2011-11-22 | Qualcomm Incorporated | System and method for registering IP address of wireless communication device |
| CN100443910C (zh) * | 2002-11-07 | 2008-12-17 | 尖端技术公司 | 主动网络防护系统与方法 |
| CN1768517B (zh) * | 2003-03-28 | 2012-02-08 | 英特尔公司 | 用于访问漫游移动节点的方法、设备和系统 |
| WO2005117346A1 (fr) * | 2004-05-28 | 2005-12-08 | Zte Corporation | Procede d'enregistrement de terminal de reseau prive aupres du controleur fonde sur le protocole h.323 |
| CN100525202C (zh) * | 2004-05-28 | 2009-08-05 | 中兴通讯股份有限公司 | 一种基于h.323协议的私网终端向网守注册的方法 |
| CN1756259B (zh) * | 2004-09-27 | 2011-04-20 | 国际商业机器公司 | 因特网协议网络中使用网络地址翻译的方法和系统 |
| CN101286895B (zh) * | 2008-05-22 | 2010-08-18 | 上海交通大学 | 可动态配置的分布式网络数据监控系统及方法 |
| CN104579939A (zh) * | 2014-12-29 | 2015-04-29 | 网神信息技术(北京)股份有限公司 | 网关的保护方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP0895684A2 (en) | 1999-02-10 |
| AU707905B2 (en) | 1999-07-22 |
| CA2248577A1 (en) | 1997-10-30 |
| DE69708281T2 (de) | 2002-05-16 |
| US6128298A (en) | 2000-10-03 |
| EP0895684B1 (en) | 2001-11-14 |
| CA2248577C (en) | 2002-11-05 |
| DE69708281D1 (de) | 2001-12-20 |
| JPH11508753A (ja) | 1999-07-27 |
| WO1997040610A3 (en) | 1997-11-27 |
| KR20000010612A (ko) | 2000-02-25 |
| KR100317443B1 (ko) | 2002-01-16 |
| AU2563297A (en) | 1997-11-12 |
| WO1997040610A2 (en) | 1997-10-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1216657A (zh) | 互联网协议过滤器 | |
| US7139828B2 (en) | Accessing an entity inside a private network | |
| US7529852B2 (en) | Method and apparatus for handling IPv4 DNS PTR queries across IPv4 and IPv6 networks | |
| US7526562B1 (en) | Stateful IPv4-IPv6 DNS application level gateway for handling topologies with coexisting IPv4-only, Ipv6-only and dual-stack devices | |
| CN1118167C (zh) | 在网络上用域名路由选择发送数据到目的端的系统和方法 | |
| US6128664A (en) | Address-translating connection device | |
| US6453357B1 (en) | Method and system for processing fragments and their out-of-order delivery during address translation | |
| US7937471B2 (en) | Creating a public identity for an entity on a network | |
| US6157950A (en) | Methods and apparatus for interfacing a computer or small network to a wide area network such as the internet | |
| US7701952B2 (en) | Packet communication method and apparatus and a recording medium storing a packet communication program | |
| USRE41024E1 (en) | Communication using two addresses for an entity | |
| EP1739897B1 (en) | Information processing device, and bubble packet transmission method and program | |
| US6778540B1 (en) | Facility for forwarding data from a network adapter to a router partition without internet protocol (ip) processing | |
| US7830870B2 (en) | Router and method for transmitting packets | |
| US20050135359A1 (en) | System and method for IPSEC-compliant network address port translation | |
| JPH11252172A (ja) | パケット生成方法およびその機能を有する情報処理装置並びにパケット生成プログラムを記録した記録媒体 | |
| US20040098512A1 (en) | NAPT gateway system with method capable of extending the number of connections | |
| US20040153502A1 (en) | Enhanced DNS server | |
| WO2002015014A1 (en) | Pseudo addressing | |
| US7089334B2 (en) | Intelligent network interface port for visiting computers | |
| EP1241859A1 (en) | Method and system for obtaining domain name and IP-address resolution | |
| KR100642056B1 (ko) | 컴퓨터 네트워크에서의 레이어3 프락시 장치 | |
| KR20010099495A (ko) | 네트워크주소를 네트워크정합카드의 물리주소로 사용하는시스템 및 방식 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C01 | Deemed withdrawal of patent application (patent law 1993) | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: GR Ref document number: 1050495 Country of ref document: HK |