CN1575462A - 在第2层装置中实现第3层/第7层防火墙的方法和设备 - Google Patents

在第2层装置中实现第3层/第7层防火墙的方法和设备 Download PDF

Info

Publication number
CN1575462A
CN1575462A CNA028213874A CN02821387A CN1575462A CN 1575462 A CN1575462 A CN 1575462A CN A028213874 A CNA028213874 A CN A028213874A CN 02821387 A CN02821387 A CN 02821387A CN 1575462 A CN1575462 A CN 1575462A
Authority
CN
China
Prior art keywords
grouping
district
mac address
layer
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CNA028213874A
Other languages
English (en)
Other versions
CN100437543C (zh
Inventor
毛宇明
连加吉
黄光松
张理直
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Juniper Networks Inc
Original Assignee
Jungle Network
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=25513451&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=CN1575462(A) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by Jungle Network filed Critical Jungle Network
Publication of CN1575462A publication Critical patent/CN1575462A/zh
Application granted granted Critical
Publication of CN100437543C publication Critical patent/CN100437543C/zh
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles

Abstract

在分组交换通信系统中用于发送分组的方法和设备。提供了一个包括一个L2装置(106)的系统(100),其中L2装置包括一个用于为每个接收分组决定该接收分组是否将被检查的控制器(204),一个包括使用区特定规则可操作来检查和过滤由所述控制器(204)识别的分组的检查装置(210)和一个依照使用L2协议的L2报头信息发送检查过的分组的L2控制器(230)。

Description

在第2层装置中实现第3层 /第7层防火墙的方法和设备
技术领域
本发明大体上涉及数据路由系统,特别地,涉及在网络中提供安全通信的方法和设备。
背景技术
分组交换通信系统包括连接多个用户的一个或数个交换器或路由器的网络。在分组交换通信系统中,分组是传输的基本单元。用户可以是个人用户终端或者另一个网络。
第2层(L2)交换器是一种在一端接收包含数据或控制信息的分组、并且基于包含在该分组中的媒体接入连接(MAC)地址从另一端交换输出该分组的交换装置。传统的L2交换器通过评价包含在该分组中的第2层(L2)报头信息以确定特定分组的适当输出端来完成交换功能。L2交换器包括一张将MAC地址映射到输出端的表。如果MAC地址是未知的(例如,在该表中没有对应的条目),那么向所有的输出端广播对应的分组,以期望在该分组交换通信系统中另一部分将识别出MAC地址(并且将该信息传回转发L2交换器以更新它的表)。其它类型的L2装置包括网桥。
路由器是一种在一端接收包含数据或控制信息的分组、并且基于包含在该分组中的目的地信息将该分组发送到下一个节点以到达目的地的交换装置。传统的路由器通过评价包含在该分组中的第3层(L3)报头信息以确定特定分组的下一个节点来完成交换功能。第3层信息包括该分组的与预期目的地(以及源地址)相关的IP地址。
连接用户的网络可以是内联网,也就是说,是连接一个或多个私人服务器的网络,例如局域网(LAN)。作为替代的,该网络也可以是数据包通过不可靠的通信链路来传输的公共网,例如因特网。网络配置可以包括公共网和私人网的组合。例如,有独立终端的两个或更多LAN可以通过使用公共网,例如因特网,连接在一起。当公共网和私人网连接在一起或者当不同网络连接在一起时,产生了数据安全问题。例如,在公共网和私人网之间有链路的传统分组交换通信系统通常都有安全措施以确保网络访问控制和数据完整性。
为了确保各个独立分组的安全,分组交换通信系统可以包括加/解密服务。当分组通过不可靠(例如,公众)网络(或网络的不可靠部分)传输时,在离开可靠的网络(或网络的可靠部分)之前,可以加密独立分组以最小化数据丢失的可能性。在通信系统的目的地或另一个可靠部分(例如,目的地之前的防火墙)收到该分组之后,可以将其解密然后传输到预期目的地。加解密的使用允许在被不可靠通信链路分开的用户之间建立虚拟私人网(VPN)。
除了考虑在通信系统公众部分传输的数据的安全之外,网络的专用部分必须预防通过在私人网和公共网接口处的网关产生的侵扰。防火墙是一种可以在公共网和私人网之间嵌入连接以筛选从公共网接收到的分组的装置。防火墙是可用于加强规则和过滤功能的特殊型号的L3/L4装置。防火墙可以包括一个或更多用于检查、过滤、鉴定、加密、解密和处理接收分组的引擎。传统防火墙使用包括与要处理的给定分组的源地址和目的地有关的IP地址的L3/L4报头信息。检查接收到的分组,然后根据与给定域有关的规则来转发或丢弃该分组。
发明内容
本发明的一个特征是在分组交换通信系统中提供了一种L2装置。该分组交换通信系统有多个区,每个区表示一个不同的安全域并且有可用于检查进/出相关区的分组的相关规则。L2装置包括至少一个连接到包括在第一安全区中的终端单元的端口,至少一个连接到包括在第二安全区中的终端单元的端口,一个为每个接收到的分组决定该接收分组是否去往另一区的控制器,一个使用区特定规则的可操作来检查和过滤区间分组的防火墙引擎和一个L2交换引擎。可操作该L2交换引擎通过使用MAC地址和对应端口的表将所有通过L2装置的区内分组(intra-zone packet)即时发送到一个端口,并且仅将在防火墙引擎检查之后依然保留的区间分组(inter-zone packet)发送到一个端口。
本发明的另一个特征是在分组交换通信系统中提供了一种L2装置。该L2装置包括一个为每个接收到的分组决定该接收分组是否将在区内或区间传输的控制器,一个使用区特定规则的可操作来检查和过滤区间分组的防火墙引擎和一个L2交换引擎,该L2交换引擎通过使用MAC地址和对应端口的表可操作将所有通过L2装置的区内分组即时发送到一个端口,并且仅将在防火墙引擎检查之后依然保留的区间分组发送到一个端口。
本发明的再一个特征是在分组交换通信系统中提供了一种L2装置,该装置包括一个为每个接收到的分组决定该接收分组是否将在区间传输的控制器,和一个在使用L2协议路由之前使用区特定规则的可操作来检查和过滤区间分组的防火墙引擎。
本发明的再一个特征是在分组交换通信系统中提供了一种L2装置,该装置包括一个为每个接收到的分组决定该接收分组是否将在区间传输的控制器,和一个在使用L2协议路由之前使用区特定规则的可操作来检查和过滤区间分组的检查装置。
本发明的再一个特征是在分组交换通信系统中提供了一种L2装置,该装置包括一个为每个接收到的分组决定该接收分组是否将被检查的控制器,一个使用区特定规则的可操作来检查和过滤由该控制器识别的分组的检查装置,以及一个根据使用L2协议的L2报头信息来传输检查过的分组的L2控制器。
本发明的特征可以包括一个或更多下述特征。检查装置可以是包括一个第3层防火墙装置、一个第4层防火墙装置和一个第7层防火墙装置的防火墙。检查装置也可以是基于第2层报头信息以外的层信息来过滤的防火墙。控制器可以决定每个将在安全区之间通过的分组并且检查装置只处理区间通信量。控制器可以决定每个将在单个安全区内保留的分组并且检查装置即时发送区内分组。该装置可以通过使用给定分组的第2层报头中的MAC地址来决定在该装置中该分组将被发送的出口端来发送业务。
该装置可以包括一个用于储存将被检查的分组的存储元件,和一个通过该装置来传输分组的L2控制器,其包括使用给定分组中的目的地MAC地址和包括MAC地址和对应出口节点之间映射的MAC地址表以决定一个出口端来传输给定分组。存储元件可以包括第一和第二部分。第一部分可以储存将通过该装置传输的分组,第二部分可以储存等待检查的分组。该装置可以是L2交换器或L2电桥。
本发明的再一个特征是在通信网络中提供了一种用于传输分组的方法,该方法包括在L2装置处接收一个分组,决定该接收分组是否将在区间传输以及在使用L2协议路由之前使用区特定规则来检查和过滤区间分组。
本发明的再一个特征是在通信网络中提供了一种用于传输分组的方法,该方法包括在L2装置处接收一个分组,决定该接收分组是否将被检查以及在用L2协议的L2装置传输该分组之前使用区特定规则来检查和过滤识别的分组。
本发明的再一个特征是在通信网络中提供了一种用于交换分组的方法,该方法包括在L2装置的接口处接收一个分组,决定与该接收分组相关的目的地MAC地址是否是已知的,以及如果是未知的,则保留该接收分组一段预定时间而不将其传输到L2装置的任何端口,产生一个包括未知MAC地址的试探分组并向除接收接口外的所有接口广播该试探分组。
本发明的特征可以包括一个或多个下述特征。试探分组可以在IP报头中包括一个生命期(TTL)域,该方法可以包括设置TTL域值以至于具有未知MAC地址并且接收试探单元的下游节点将会给L2装置返回一条过期消息。该方法可以包括在预定时间期满后丢弃该分组。如果MAC地址是未知的,该分组可被丢弃。该方法可以包括从广播接口之一接收响应以及更新表以指出先前未知的MAC地址与响应接口相关联。
本发明的再一个特征是提供了无需在各个用户处要求加密和解密服务就可在用户之间提供安全通信的方法。该方法包括识别第一和第二用户,在通信网络中将第一和第二用户通过两个或更多L2装置连接在一起,以及在第一和第二用户之间为通信指定一个虚拟私人网。在网络中,该虚拟私人网在第一和第二L2装置之间定义。该方法包括在第一或第二L2装置处接收一个分组,决定该接收分组是否与虚拟私人网相关联,以及在使用L2协议的L2装置传输该分组之前使用本地加密和解密服务来加密和解密识别适当的分组。
本发明的特征可以包括一个或更多下述特征。所述决定步骤可以包括使用与分组相关的目的地MAC地址来识别虚拟私人网。
本发明的再一个特征是提供了无需在各个用户处要求加解密服务就可在用户之间提供安全通信的虚拟私人网。该虚拟私人网包括在通信网络中连接第一和第二用户的第一和第二L2装置,其中每个第一和第二L2装置包括一个决定接收到的分组是否与虚拟私人网相关的筛选机制,以及在通过使用L2协议的L2装置传输分组之前对与虚拟私人网相关的分组进行的加密和解密服务。
本发明的特征可以包括一个或更多下述优势。提供了允许在单个装置中建立多个安全区而不要求改变网络或终端配置的分组交换通信系统。在每个区之间,一个终端单元可以与其它终端单元通信而无需知道下述讨论的第2层交换到第7层安全交换,虽然可从中收益。提供了包括L2交换器和防火墙功能的分组交换通信系统。该分组交换通信系统作为IEEE 802.1 Q VLAN L2传统交换器基于所有区内通信的MAC地址进行转发/过滤。该分组交换通信系统允许L2在给定安全区内的多个端口之间交换。L2交换器也为区间或区内通信量适当提供了最高到第7层的安全防火墙保护,包括在每个数据流中的TCP状态检查、同步攻击防御、基于规则的控制、负载平衡和其它功能。在一个实施例中,可以配置该分组交换通信系统包括多个基于L2透明域的IEEE 802.1 Q VLAN。用户可以建立多个VLAN,每个都有各自的防火墙控制规则。此外,提供了将远程客户连接到L2域的VPN隧道能力的方法。提供了当正在处理的MAC地址无法识别时,预防广播信息过多和违反一个或多个安全约束的方法。该方法包括广播试探分组以发现未知MAC目的地的拓扑信息。
在附图和下面的描述中将陈述本发明的一个或多个实施例的详细内容。这些描述和附图以及权利要求书将使本发明的其它特征、对象和优势显而易见。
附图说明
图1是一种包括一个能够交换的L2防火墙的分组交换通信系统的方框图。
图2a是一个能够交换的L2防火墙的示意图。
图2b表示一个包括由单个安全交换器分隔的多个区的典型通信网络。
图3表示在图2a的安全交换器中处理分组的方法的流程图。
图4表示在图2a的安全交换器中处理未识别分组的方法的流程图。
在不同图中相同的附图符号表示相同的元件。
具体实施方式
现在参见图1,一个分组交换通信网络100包括在多个区104中配置的、由一个或多个交换器106连接的多个终端单元102。
在实施例中,每个终端单元102的形式为独立的计算机(例如,一台个人计算机、便携式电脑或工作站)。作为替代的,在通信或计算环境中,一个或多个终端单元的形式也可以是个人数字助理(PDA)、手持联网机、双向寻呼机、蜂窝式手持机或者其它终端或远程装置。在实施例中,每个终端是到另一个网络或终端单元组(例如,到一个LAN或一个服务器组)的网关。
在该通信系统中,每个区104代表一个安全域。每个安全域可以包括独立的规则、通信量管理、计费和管理定义和功能。可以在区间和区内加强安全规则、通信量管理和其它过滤功能。在实施例中,可以加强区间的安全规则,而区内通信并不受安全约束的限制。在实施例中,区可以重叠。当区重叠时,与母区有关的规则可以是与一个或多个子区(每个子区包括所有规则的一套子集)有关的规则中级别最高的。作为替代地,与母区有关的规则也可以是与每个子区的规则相独立和不同的。例如,在实施例中,一个区可以包括一个或多个子区,每个子区包括一套独立的规则。
在实施例的通信网络中,每个区都有物理边界或其它分割。作为替代地,特定终端单元到区的分配可以表示成企业结构中的分组或组合(例如,区用于分隔企业组织中不同功能实体)。作为替代地,区与物理边界之间没有特殊关系。依照下面描述的与交换器106有关的协议来控制区间终端单元之间和区内终端单元之间的通信。
交换器106可以是不同型号的。在实施例中,每个交换器106被配置作为第2层(L2)装置并包括多个端口,在这些端口上接收来自通信网络的分组并依照L2协议将其转发。每个交换器106包括一个用于决定接收分组交换的媒体访问连接(MAC)表。该MAC表将MAC地址与交换器106的端口相对应。当分组到达每个交换器106的端口时,依照包含在给定分组中的L2报头信息来处理该分组。根据MAC地址,将分组交换到MAC表中规定的适当输出端口。
配置一个或多个交换器106以加强安全域约束。例如,配置一个或多个交换器106作为L2防火墙使能安全交换器(在下文中称为“安全交换器”)。现在参照图2,安全交换器200包括多个端口202、一个交换器结构220和一个L2控制器230。将每个端口202通过总线206连接到一个安全控制器204。将该安全控制器204连接到一个或多个存储元件208。在实施例中(未画出),可以将每个端口202连接到一个独立的安全控制器204和存储元件208。作为替代地,可以将安全控制器功能组合在单个(如图所示)或较少数量的独立安全控制器单元中。此外,与所有端口202有关的分组可以储存在单个存储元件208中(如图所示)。安全交换器200也包括一个通过安全总线211连接到(每个)存储元件208的防火墙装置210。
L2控制器230支持L2交换协议。分组或者被直接处理(例如,对区内分组),或者在按照下面更详细讨论的安全筛选之后处理(例如,对区间分组)。与L2控制器230相关联的是MAC表235。MAC表235包括多个条目,每个条目包括一个MAC地址和一个与其相连的端口202的指示符。交换器结构220用于在L2控制器230的控制下使用总线221将来自存储元件208的通信量路由至各个端口202。
存储元件208被分成两部分。第一部分215用于储存从端口202接收的并未经受安全筛选处理的分组。例如,在实施例中,在同一个安全区中从一个终端单元接收的分组(例如,区内通信)并不经受安全筛选处理。由L2控制器230直接处理未筛选分组,并依照L2协议从MAC表235规定的指定端口转发出去。第二部分217用于储存将被防火墙装置210筛选的分组。
安全控制器204包括一个筛选引擎240。筛选引擎240检查每个从各个端口202接收的分组并决定是否要执行安全筛选。在实施例中,筛选引擎240检查每个分组的L2报头,并根据筛选结果将分组分别转发到存储元件208的第一或第二部分215和217。L2报头包括通过使用MAC表235可以被映射到该装置出口端的一个目的地MAC地址。与每个入口和出口端相关联的是一个安全区标识符。安全区标识符可以储存在由端口标识符(id)索引的区标识符表(未示出)中。筛选引擎240比较与正在处理的分组有关的安全区标识符(使用正在处理的分组的报头中的目的地MAC地址以从MAC表中的出口端标识来决定)和与该装置中接收该分组的端口有关的安全区标识符。根据比较结果,筛选引擎240可以决定该分组是否前往另一个区(例如,构成区内或区间通信)。
分组的筛选可以知道也可以不知道独立终端单元。与安全交换器200相连的是用户接口(未示出)和用于构造一个或多个安全区的有关管理工具(未示出)。在实施例中,基于包括在接收分组的L2报头中的目的地MAC地址来决定安全区。更具体地说,每个输出端可以被分配给一个安全区并且有一个与此相关的安全区标识符。作为替代地,可以为连接到安全交换器200不同端口的多个用户产生安全区。例如,可以配置安全交换器200包括三个端口,其中与前两个端口相连的终端单元被分配到第一区,而与第三端口相连的终端单元被分配到第二区。其它配置也是可能的。下面将更加详细地讨论区的分配与分割。用户接口允许管理员或者用户来配置安全交换器200。可以配置安全交换器200以产生多个安全区并将每个区与一个或多个接口相连。因此,可以建立用于检查或另外筛选穿过安全交换器200的分组的规则。
防火墙装置210包括多个用于在通过安全交换器200发送分组之前执行分组筛选的引擎。防火墙装置210包括一个防火墙引擎270和有关的规则271、认证引擎272、加密引擎274、解密引擎276和一个防火墙控制器278。
防火墙控制器278从存储元件208的第二部分217中取出分组。防火墙控制器278检查在防火墙装置之内分组的分布以及各个引擎之间的配合。依照基于一个或多个考虑的规则来评价并处理每个分组。例如,可以基于源地址/目的地或者两者来筛选分组。通过防火墙引擎270检索并使用一个或多个规则271以检查分组。分组检查也可以要求加密、解密和认证服务。可以通过防火墙控制器278调用一个或多个加密引擎274、解密引擎276和认证引擎272作为检查过程的一部分。此外,可以提供其它服务,包括虚拟私人网终端服务、对话期间建立和各种其它的通信量管理和安全相关功能。下面将更详细地讨论筛选服务的例子。在检查之后,可以在网络中转发分组或适当地将其丢弃。在实施例中,适当地准备(例如,加密)将被转发的分组(例如,通过检查的),然后将其转发到存储元件208的第一部分215。作为替代地,分组也可以回到存储元件208的第二部分217并被标记为已筛选。在实施例中,将筛选过的分组转发到一个队列中以等待L2控制器230的处理。然后由L2控制器230处理筛选过的分组,并依照传统的L2处理协议将其交换到适当的输出端。
可以配置每个安全交换器200以产生多个安全区。例如,图2b所示的是有一个安全交换器200的通信网络。该通信网络是包括3个区的VLAN结构。安全交换器200包括一个用户接口和管理控制机制以产生每个安全区、指定规则和其它定义和管理每个区的标准。对终端用户来说,由安全交换器200加强的安全区可以是透明的。也就是说,安全区能够被安全交换器创造,其中包括所有与安全域有关的运转参数的规范。在每个区中用户可以不知道区的结构并且可以按传统方式与其他用户通信。例如,可以在用户之间创建一个包括加密和解密服务的虚拟私人网而不要求在各个终端用户处有实际的加解密支持(例如,放置在两个用户之间的安全交换器可以提供加解密服务)。因此,系统管理员可以在一个安全区中的远程用户和另一安全区中的另一用户之间创建一个虚拟私人网,其中各个用户并不知道VPN服务,也不要求包括本地的加解密服务。在实施例中,提供VPN服务的管理员被指定为同一区中的远程用户。
作为替代地,用户可以知道安全结构并包括在传输给其他用户的分组中的指示符(例如,区标识符)。每个用户可以为他们的网络安全要求定义他们自己的传统L2区和区间规则。例如,图2b所示的安全交换器200表示一个包括v1-信任、v1-不信任和v1-dmz区的VLAN。V1-信任定义了一个包括两个用户291和292的区。V1-不信任定义了一个包括单个用户293的区。V1-dmz定义了一个包括三个用户291、292和294的区。可以为三个区之间的通信加强独立的规则。例如,用户291和用户292之间的区内通信不要求检查,这样由安全交换器200依照传统L2协议来处理。从用户291到用户293的通信将调用由安全系统建筑师(例如,用户291或292或他们的管理员)定义的检查过程以处理V1-信任和V1-不信任之间的通信。相似地,用户294和用户291之间的通信将调用检查过程(例如,一个潜在的更少筛选)以处理V1-dmz和V1-信任之间的通信。
在每个区内允许多个接口。对区内通信量来说,安全交换器200就像一个基于目的地MAC地址来转发给定分组的传统L2桥。在实施例中,对区内通信量不应用防火墙保护机制。
对区间通信量来说,对每个进入的分组执行标准防火墙检查(包括如上所述的规则检查、TCP状态检查等)。在所有例子中,由在接口上的已知目的地MAC地址来决定出口接口。
分组流程
现在参照图3,显示了一种由安全交换器200调用来处理分组的方法300。描述该方法时并未特别参照特殊的执行这些步骤的硬件元件。上面给出了一种典型的硬件配置。然而,在有其它配置的L2交换器中也可以执行该方法。该方法从接收一个分组开始(302)。评价该分组以决定其是否将被检查(304)。如果是,适当地预处理该分组(305)并检索一个或多个规则(306)。该分组的预处理可以包括解密和认证服务。规则的检索包括识别该分组将被传输到哪个区。使用安全规则可以检查区间传输的分组。区内通信可以不检查。在实施例中,可以加强区内通信的规则。规则的检索包括在MAC表中为接收分组中的MAC目的地地址进行MAC查表,以决定与该MAC地址有关的输出端口以及必定有的安全区。比较与该分组入口端和出口端有关的安全区以决定该分组是否要传输到另一个区。假定将进行检查,检索一个适当的规则(例如,基于入口端和出口端标识符和它们各自的安全区)。此后,检查该分组(308)。分组检查可以包括按要求筛选和丢弃该分组。如果该分组将在网络中转发(309),适当地调用后处理操作(310)。作为替代地,丢弃该分组(311)。后处理操作可以包括对话建立、加密和其它功能。此后,从步骤312开始依照传统L2协议处理该分组。
在步骤312中,分组或者通过了检查,或者不需要检查。在任一情况下,取出L2报头信息以决定与该分组有关的MAC地址。执行MAC地址的查表(314),然后将该分组发送到一个适当的输出端(316)。此后处理结束。
再次参考图2,现在描述关于本发明的一种硬件设备的处理步骤。在端口202接收分组。每个分组在总线205上传输并被发送到安全控制器204,并且经由存储总线209储存在存储元件208中。安全控制器204评价每个分组以决定是否需要检查并将其转发到存储装置208的适当部分。由L2控制器230处理不需要检查的分组(例如,储存在存储装置208的第一部分215中的分组)。当L2控制器230可用时,取出并处理分组以决定该分组应当被转发到哪个端口。L2控制器230评价与该分组有关的MAC地址,并使用MAC表235来决定发送的端口。在L2控制器230处理完成后,将该分组转发到一个适当的进入交换器结构220的链路以将其发送到决定好的输出端202。
由安全控制器204将需要检查的分组传输到存储元件208的第二部分217中。当防火墙装置210可用时,取出并处理分组以决定检查该分组时将使用的安全规则。防火墙引擎270评价与该分组有关的IP地址,并适当执行通信量控制和管理功能。将被转发的分组(例如,通过检查的)回到存储元件208。此后,可以将该分组转发到一个适当的进入交换器结构220的链路以将其发送到决定好的输出端202。依照给定安全区定义的规则丢弃或者处理其它分组。
如上所述,由L2控制器230依照传统L2协议来处理在防火墙装置210中通过检查的所有分组以及不要求检查的所有分组。在实施例中,可以修改由L2控制器进行的分组处理以保持安全区。更具体地说,如上所述,传统L2交换器在所有端口广播未被识别的MAC地址分组。在通信网络的给定区中,这类广播可以彻底干扰一个或多个安全规则。因此,在实施例中,向每个端口广播一个试探分组。下面将参照图4更详细地描述试探分组的广播。
现在参照图4,表示由L2控制器处理分组的方法400,该方法包括接收将被处理的分组(402)。取出分组的MAC地址(404)。进行检查以在MAC地址表中找到对应于取出的MAC地址的条目(406)。如果定位到匹配的地址(407),则将该分组发送到与该匹配条目相关的输出端(408)。如果没有找到匹配的地址,则丢弃该分组(410)。在实施例中,仅仅保持该分组一段预定时间以希望接收到关于未匹配MAC地址的信息。如果没有找到匹配的地址,则产生一个试探分组(412)。该试探分组包括与正在处理分组有关的MAC地址(例如,原始进入分组)。在实施例中,该试探分组是一个IP TTL域设置为1的“ICMP PING”分组。每个分组包括与MAC地址无法找到的进入分组相同的MAC地址(L2)和源/目的地IP(L3)。然后向所有端口广播该试探分组(414)。进行检查以决定在安全装置的任一端口是否接受到响应(416)。该ICMP PING分组将使正确的网关(即接收并转发上述原始进入分组的网关)以一个“ICMP TTL过期”的消息来响应装置中的L2控制器。从上述过期的分组中,系统可以识别与接收的MAC地址有关的正确出口端/区。该方法保证了原始进入分组中的消息不会被泄漏。如果接收到了响应(表示连接到接收端的装置被配置成处理具有所识别的MAC地址的分组),那么更新MAC表以包括一个条目,其中有MAC地址和表示接收响应端口的端口标识符(418)。此后处理结束。
在此描述了本发明的多个实施例。然而,应当理解在不背离本发明的精髓和范围的情况下,可以做出各种修改方案。例如,按照L第3层次的筛选描述了防火墙装置。作为替代地,可以在包括更高级和第7层(L7)处理的其它级调用其它筛选。因此,其它实施例包括在下述权利要求书的范围内。

Claims (27)

1.一种在分组交换通信系统中的第2层装置,该分组交换通信系统有多个区,每个区表示一个不同的安全域并具有检查进/出相关区的分组时使用的相关规则,该第2层装置包括:
至少一个连接到一个包含在第一安全区中的终端单元的端口;
至少一个连接到一个包含在第二安全区中的终端单元的端口;
一个为每个接收到的分组决定该接收分组是否要去往另一区的控制器;
一个使用区特定规则来检查并过滤区间分组的防火墙引擎;以及
一个第2层交换引擎,其使用MAC地址和对应端口组成的表将所有通过第2层装置的区内分组即时发送到一个端口,并且
仅将由防火墙引擎检查之后依然保留的区间分组发送到一个端口。
2.一种在分组交换通信系统中的第2层装置,该分组交换通信系统有多个区,每个区表示一个不同的安全域并具有检查进/出相关区的分组时使用的相关规则,该第2层装置包括:
一个为每个接收到的分组决定该接收分组是否将在区内或区间传输的控制器;
一个使用区特定规则来检查并过滤区间分组的防火墙引擎;以及
一个第2层交换引擎,其可操作用于
使用MAC地址和对应端口组成的表将所有通过第2层装置的区内分组即时发送到一个端口,并且
仅将由防火墙引擎检查之后依然保留的区间分组发送到一个端口。
3.一种在分组交换通信系统中的第2层装置,该分组交换通信系统具有多个区,每个区表示一个不同的安全域,该第2层装置包括:
一个为每个接收到的分组决定该接收分组是否将在区间传输的控制器;以及
一个在使用第2层协议路由之前使用区特定规则来检查并过滤区间分组的防火墙引擎。
4.一种在分组交换通信系统中的第2层装置,该分组交换通信系统具有多个区,每个区表示一个不同的安全域,该第2层装置包括:
一个为每个接收到的分组决定该接收分组是否将在区间传输的控制器;以及
一个在使用第2层协议路由之前使用区特定规则来检查并过滤区间分组的检查装置。
5.一种在分组交换通信系统中的第2层装置,该分组交换通信系统具有多个区,每个区表示一个不同的安全域,该第2层装置包括:
一个为每个接收到的分组决定该接收分组是否将被检查的控制器;
一个包括使用区特定规则来检查并过滤由所述控制器识别的分组的检查装置;以及
一个使用第2层协议根据第2层报头信息来传输检查过的分组的第2层控制器。
6.权利要求5的一个装置,其中所述检查装置是一个防火墙。
7.权利要求5的一个装置,其中所述检查装置是一个第3层防火墙装置。
8.权利要求5的一个装置,其中所述检查装置是一个第4层防火墙装置。
9.权利要求5的一个装置,其中所述检查装置是一个第7层防火墙装置。
10.权利要求5的一个装置,其中所述检查装置是一个基于除了第2层报头信息以外的层信息来进行过滤的防火墙。
11.权利要求5的一个装置,其中所述控制器决定每个将在安全区之间通过的分组,并且所述检查装置只处理区间通信。
12.权利要求5的一个装置,其中所述控制器决定每个将在单个安全区内保留的分组,并且所述检查装置即时发送区内分组。
13.权利要求12的一个装置,其中所述装置使用在给定分组的第2层报头中的MAC地址来决定在该装置上该分组将被发送的输出端口。
14.权利要求5的一个装置,进一步包括一个用于储存将被检查的分组的存储元件,和一个通过该装置发送分组的第2层控制器,其中包括使用给定分组中的目的地MAC地址和包括MAC地址和相关出口节点之间映射的MAC地址表来决定发送给定分组的输出端口。
15.权利要求14的一个装置,其中所述存储元件包括第一和第二部分,所述第一部分储存将通过所述装置发送的分组,所述第二部分储存等待检查的分组。
16.权利要求5的一个装置,其中所述装置是一个第2层交换器。
17.权利要求5的一个装置,其中所述装置是一个第2层网桥。
18.一种在通信网络中发送分组的方法,该通信网络包括多个区,每个区表示一个不同的安全域,该方法包括:
在一个第2层装置接收一个分组;
确定该接收分组是否将在区间发送;以及
在使用第2层协议路由之前使用区特定规则检查并过滤区间分组。
19.一种在通信网络中发送分组的方法,该通信网络包括多个区,每个区表示一个不同的安全域,该方法包括:
在一个第2层装置接收一个分组;
确定该接收分组是否将被检查;以及
在使用第2层协议发送分组经过第2层装置之前使用区特定规则检查并过滤识别的分组。
20.一种在通信网络中交换分组的方法,该通信网络包括多个区,每个区表示一个不同的安全域,该方法包括:
在一个第2层装置的接口接收一个分组;
确定与该接收分组有关的目的地MAC地址是否已知;以及
如果未知,
保持该接收分组一段预定时间而不将其发送至所述第2层装置的任一端口,
产生一个包括所述未知MAC地址的试探分组,以及
向除了所述接收接口以外的所有接口广播所述试探分组。
21.权利要求20的方法,其中所述试探分组包括在IP报头中的生命期(TTL)域,并且该方法包括设置TTL域值,以便具有未知MAC地址且接收该试探分组的下游节点将会给所述第2层装置返回一个过期消息。
22.权利要求20的方法进一步包括在所述预定时间过期之后丢弃所述分组。
23.权利要求20的方法,其中如果所述MAC地址是未知的,则丢弃所述分组。
24.权利要求20的方法进一步包括从广播接口之一接收一个响应,并且更新表以指明先前未知的MAC地址与所述响应接口相关联。
25.一种无需在各用户处要求加密和解密服务就可在用户之间提供安全通信的方法,该方法包括:
识别第一和第二用户;
在通信网络中将所述第一和第二用户通过两个或更多第2层装置连接在一起;
指定一个用于所述第一和第二用户之间通信的虚拟私人网,该虚拟私人网在网络中的第一和第二第2层装置之间定义;
在所述第一或者第二第2层装置处接收一个分组;
确定该接收分组是否与所述虚拟私人网有关;以及
在使用第2层协议发送所述分组通过第2层装置之前使用本地加密和解密服务适当地加密和解密识别的分组。
26.权利要求25的方法,其中所述确定步骤包括使用与所述分组有关的目的地MAC地址来识别虚拟私人网。
27.一种无需在各用户处要求加密和解密服务就可在用户之间提供安全通信的虚拟私人网,该虚拟私人网包括:
在通信网络中连接第一和第二用户的第一和第二第2层装置,其中每个所述第一和第二第2层装置包括:
一个筛选机制,其确定接收分组是否与所述虚拟私人网有关,以及
加密和解密服务,其在使用第2层协议传输分组通过第2层装置之前操作于与所述虚拟私人网有关的分组。
CNB028213874A 2001-09-28 2002-09-26 在第2层装置中实现第3层/第7层防火墙的方法和设备 Expired - Lifetime CN100437543C (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US09/967,878 2001-09-28
US09/967,878 US7302700B2 (en) 2001-09-28 2001-09-28 Method and apparatus for implementing a layer 3/layer 7 firewall in an L2 device

Publications (2)

Publication Number Publication Date
CN1575462A true CN1575462A (zh) 2005-02-02
CN100437543C CN100437543C (zh) 2008-11-26

Family

ID=25513451

Family Applications (1)

Application Number Title Priority Date Filing Date
CNB028213874A Expired - Lifetime CN100437543C (zh) 2001-09-28 2002-09-26 在第2层装置中实现第3层/第7层防火墙的方法和设备

Country Status (8)

Country Link
US (5) US7302700B2 (zh)
EP (2) EP2595357B1 (zh)
JP (1) JP4332033B2 (zh)
CN (1) CN100437543C (zh)
AU (1) AU2002327757B2 (zh)
CA (1) CA2461866A1 (zh)
IL (2) IL161112A0 (zh)
WO (1) WO2003030004A1 (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101473598B (zh) * 2006-06-16 2012-01-04 思科技术公司 使用虚拟接口在转发上下文之间传送分组
CN102763382A (zh) * 2010-01-29 2012-10-31 日本电气株式会社 前端系统和前端处理方法
CN107005456A (zh) * 2015-02-27 2017-08-01 奥迪股份公司 具有交换装置的机动车通信网络

Families Citing this family (106)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2362482A (en) * 2000-05-15 2001-11-21 Ridgeway Systems & Software Lt Direct slave addressing to indirect slave addressing
GB2365256A (en) 2000-07-28 2002-02-13 Ridgeway Systems & Software Lt Audio-video telephony with port address translation
GB2369746A (en) * 2000-11-30 2002-06-05 Ridgeway Systems & Software Lt Communications system with network address translation
WO2002071224A1 (en) * 2001-03-01 2002-09-12 Storeage Networking Technologies Storage area network (san) security
US7302700B2 (en) * 2001-09-28 2007-11-27 Juniper Networks, Inc. Method and apparatus for implementing a layer 3/layer 7 firewall in an L2 device
US7571239B2 (en) * 2002-01-08 2009-08-04 Avaya Inc. Credential management and network querying
US20030163692A1 (en) * 2002-01-31 2003-08-28 Brocade Communications Systems, Inc. Network security and applications to the fabric
US8201252B2 (en) * 2002-09-03 2012-06-12 Alcatel Lucent Methods and devices for providing distributed, adaptive IP filtering against distributed denial of service attacks
WO2004047375A1 (en) * 2002-11-15 2004-06-03 Infineon Technologies Ag Reducing the memory requirements of a data switch
US7591001B2 (en) * 2004-05-14 2009-09-15 Liquidware Labs, Inc. System, apparatuses, methods and computer-readable media for determining the security status of a computer before establishing a network connection
US7386889B2 (en) * 2002-11-18 2008-06-10 Trusted Network Technologies, Inc. System and method for intrusion prevention in a communications network
US7660980B2 (en) * 2002-11-18 2010-02-09 Liquidware Labs, Inc. Establishing secure TCP/IP communications using embedded IDs
US7549159B2 (en) * 2004-05-10 2009-06-16 Liquidware Labs, Inc. System, apparatuses, methods and computer-readable media for determining the security status of a computer before establishing connection thereto
US20060098649A1 (en) * 2004-11-10 2006-05-11 Trusted Network Technologies, Inc. System, apparatuses, methods, and computer-readable media for determining security realm identity before permitting network connection
US20040123130A1 (en) * 2002-12-20 2004-06-24 Inrange Technologies Corporation Method and apparatus for distributing and activating security parameters
MY141160A (en) * 2003-01-13 2010-03-31 Multimedia Glory Sdn Bhd System and method of preventing the transmission of known and unknown electronic content to and from servers or workstations connected to a common network
US7697568B1 (en) * 2003-03-03 2010-04-13 Cisco Technology, Inc. Method and system for automatic modem bandwidth detection in a router
WO2004090675A2 (en) * 2003-04-03 2004-10-21 Commvault Systems, Inc. System and method for performing storage operations through a firewall
US20040210754A1 (en) * 2003-04-16 2004-10-21 Barron Dwight L. Shared security transform device, system and methods
US7516487B1 (en) 2003-05-21 2009-04-07 Foundry Networks, Inc. System and method for source IP anti-spoofing security
US7562390B1 (en) 2003-05-21 2009-07-14 Foundry Networks, Inc. System and method for ARP anti-spoofing security
EP1634175B1 (en) 2003-05-28 2015-06-24 Citrix Systems, Inc. Multilayer access control security system
US20040255154A1 (en) * 2003-06-11 2004-12-16 Foundry Networks, Inc. Multiple tiered network security system, method and apparatus
KR100503422B1 (ko) * 2003-06-13 2005-07-22 한국전자통신연구원 이더넷 스위치, 포트다중화장치 및 방법
US7426577B2 (en) * 2003-06-19 2008-09-16 Avaya Technology Corp. Detection of load balanced links in internet protocol netwoks
US7876772B2 (en) * 2003-08-01 2011-01-25 Foundry Networks, Llc System, method and apparatus for providing multiple access modes in a data communications network
US7735114B2 (en) * 2003-09-04 2010-06-08 Foundry Networks, Inc. Multiple tiered network security system, method and apparatus using dynamic user policy assignment
US7774833B1 (en) 2003-09-23 2010-08-10 Foundry Networks, Inc. System and method for protecting CPU against remote access attacks
US7606916B1 (en) * 2003-11-10 2009-10-20 Cisco Technology, Inc. Method and apparatus for load balancing within a computer system
US7844731B1 (en) * 2003-11-14 2010-11-30 Symantec Corporation Systems and methods for address spacing in a firewall cluster
US8146148B2 (en) * 2003-11-19 2012-03-27 Cisco Technology, Inc. Tunneled security groups
US8528071B1 (en) 2003-12-05 2013-09-03 Foundry Networks, Llc System and method for flexible authentication in a data communications network
EP1571799B1 (en) * 2004-03-02 2008-11-05 Alcatel Lucent A method to grant access to a data communication network and related device
CN1298141C (zh) * 2004-05-20 2007-01-31 中国科学院软件研究所 实现安全交换网络数据的方法
US7636841B2 (en) 2004-07-26 2009-12-22 Intercall, Inc. Systems and methods for secure data exchange in a distributed collaborative application
US7624435B1 (en) * 2004-07-26 2009-11-24 Trend Micro Incorporated Method and apparatus for managing digital assets
GB2418110B (en) * 2004-09-14 2006-09-06 3Com Corp Method and apparatus for controlling traffic between different entities on a network
US8261337B1 (en) 2004-11-17 2012-09-04 Juniper Networks, Inc. Firewall security between network devices
US8631450B1 (en) * 2004-12-02 2014-01-14 Entropic Communications, Inc. Broadband local area network
WO2006098024A1 (ja) * 2005-03-16 2006-09-21 Fujitsu Limited Ipネットワークにおけるマルチキャストツリー監視方法およびシステム
US7881325B2 (en) * 2005-04-27 2011-02-01 Cisco Technology, Inc. Load balancing technique implemented in a storage area network
US7647434B2 (en) 2005-05-19 2010-01-12 Cisco Technology, Inc. Technique for in order delivery of traffic across a storage area network
KR100719118B1 (ko) * 2005-10-27 2007-05-17 삼성전자주식회사 특정 영역에서의 디바이스 기능 제한 방법 및 시스템
WO2007055684A2 (en) * 2005-11-09 2007-05-18 Trusted Network Technologies, Inc. Determining security realm identity before permitting network connection
JP4482630B2 (ja) * 2005-11-21 2010-06-16 インターナショナル・ビジネス・マシーンズ・コーポレーション 通信装置および通信方法
US7649875B2 (en) * 2005-12-23 2010-01-19 Beecher Phillip E Networking layer extension
US20070214502A1 (en) * 2006-03-08 2007-09-13 Mcalister Donald K Technique for processing data packets in a communication network
JP4823728B2 (ja) * 2006-03-20 2011-11-24 富士通株式会社 フレーム中継装置及びフレーム検査装置
US9001645B2 (en) * 2006-05-17 2015-04-07 Rajant Corporation System and method for packet delivery backtracking
JP4813970B2 (ja) * 2006-05-29 2011-11-09 日本電信電話株式会社 ブリッジ装置
US8009566B2 (en) 2006-06-26 2011-08-30 Palo Alto Networks, Inc. Packet classification in a network security device
US8281360B2 (en) * 2006-11-21 2012-10-02 Steven Adams Flewallen Control of communication ports of computing devices using policy-based decisions
US8594085B2 (en) * 2007-04-11 2013-11-26 Palo Alto Networks, Inc. L2/L3 multi-mode switch including policy processing
US8341277B2 (en) * 2007-07-03 2012-12-25 International Business Machines Corporation System and method for connecting closed, secure production network
US8040888B1 (en) * 2007-12-17 2011-10-18 Integrated Device Technology, Inc. Packet switch with port route tables
US8640143B2 (en) * 2008-02-12 2014-01-28 International Business Machines Corporation Method and system for providing preemptive response routing
US8713627B2 (en) 2008-08-14 2014-04-29 Juniper Networks, Inc. Scalable security services for multicast in a router having integrated zone-based firewall
US8316435B1 (en) * 2008-08-14 2012-11-20 Juniper Networks, Inc. Routing device having integrated MPLS-aware firewall with virtual security system support
US8307422B2 (en) * 2008-08-14 2012-11-06 Juniper Networks, Inc. Routing device having integrated MPLS-aware firewall
US8175101B2 (en) * 2008-08-15 2012-05-08 Raytheon Company Multicasting in a network using neighbor information
US8873556B1 (en) 2008-12-24 2014-10-28 Palo Alto Networks, Inc. Application based packet forwarding
US20100265955A1 (en) * 2009-04-17 2010-10-21 Park Sung I Cross layer routing (xrp) protocol
CN102035821A (zh) * 2009-09-29 2011-04-27 凹凸电子(武汉)有限公司 防火墙/虚拟专用网集成系统以及电路
US8127365B1 (en) 2009-11-16 2012-02-28 Trend Micro Incorporated Origination-based content protection for computer systems
US8424091B1 (en) 2010-01-12 2013-04-16 Trend Micro Incorporated Automatic local detection of computer security threats
JP5454399B2 (ja) * 2010-07-15 2014-03-26 パナソニック株式会社 ラージスケールnat検出装置、アプリケーション切替装置、ラージスケールnat検出方法およびアプリケーション切替方法
US8687649B2 (en) * 2011-03-08 2014-04-01 International Business Machines Corporation Message forwarding toward a source end node in a converged network environment
US8695096B1 (en) 2011-05-24 2014-04-08 Palo Alto Networks, Inc. Automatic signature generation for malicious PDF files
US9047441B2 (en) 2011-05-24 2015-06-02 Palo Alto Networks, Inc. Malware analysis system
US8516241B2 (en) 2011-07-12 2013-08-20 Cisco Technology, Inc. Zone-based firewall policy model for a virtualized data center
US8640251B1 (en) 2011-12-14 2014-01-28 Trend Micro Incorporated Methods and systems for classifying computer documents into confidential levels using log information
US8826452B1 (en) 2012-01-18 2014-09-02 Trend Micro Incorporated Protecting computers against data loss involving screen captures
US9419941B2 (en) * 2012-03-22 2016-08-16 Varmour Networks, Inc. Distributed computer network zone based security architecture
EP2852107B1 (en) * 2012-06-21 2021-03-03 Huawei Technologies Co., Ltd. Packet processing method and apparatus
JP5445626B2 (ja) * 2012-06-25 2014-03-19 横河電機株式会社 ネットワーク管理システム
US9100366B2 (en) 2012-09-13 2015-08-04 Cisco Technology, Inc. Early policy evaluation of multiphase attributes in high-performance firewalls
US11301514B2 (en) 2013-03-02 2022-04-12 Leon Guzenda System and method to identify islands of nodes within a graph database
US10789294B2 (en) * 2013-03-02 2020-09-29 Leon Guzenda Method and system for performing searches of graphs as represented within an information technology system
US9083732B2 (en) 2013-04-12 2015-07-14 Lenovo Enterprise Solutions (Singapore) Pte. Ltd. Establishing communication between entities in a shared network
US9917849B2 (en) * 2013-05-01 2018-03-13 Fortinet, Inc. Security system for physical or virtual environments
WO2015041706A1 (en) * 2013-09-23 2015-03-26 Mcafee, Inc. Providing a fast path between two entities
US9560081B1 (en) 2016-06-24 2017-01-31 Varmour Networks, Inc. Data network microsegmentation
US9973472B2 (en) 2015-04-02 2018-05-15 Varmour Networks, Inc. Methods and systems for orchestrating physical and virtual switches to enforce security boundaries
US20170006082A1 (en) * 2014-06-03 2017-01-05 Nimit Shishodia Software Defined Networking (SDN) Orchestration by Abstraction
US9467476B1 (en) 2015-03-13 2016-10-11 Varmour Networks, Inc. Context aware microsegmentation
US9609026B2 (en) 2015-03-13 2017-03-28 Varmour Networks, Inc. Segmented networks that implement scanning
US10178070B2 (en) 2015-03-13 2019-01-08 Varmour Networks, Inc. Methods and systems for providing security to distributed microservices
US9438634B1 (en) 2015-03-13 2016-09-06 Varmour Networks, Inc. Microsegmented networks that implement vulnerability scanning
US9756015B2 (en) * 2015-03-27 2017-09-05 International Business Machines Corporation Creating network isolation between virtual machines
US9525697B2 (en) 2015-04-02 2016-12-20 Varmour Networks, Inc. Delivering security functions to distributed networks
US10171507B2 (en) * 2016-05-19 2019-01-01 Cisco Technology, Inc. Microsegmentation in heterogeneous software defined networking environments
US9892622B2 (en) 2016-05-27 2018-02-13 At&T Intellectual Property I, L.P. Emergency event virtual network function deployment and configuration
US9787639B1 (en) 2016-06-24 2017-10-10 Varmour Networks, Inc. Granular segmentation using events
US10972437B2 (en) * 2016-08-08 2021-04-06 Talari Networks Incorporated Applications and integrated firewall design in an adaptive private network (APN)
US10298491B2 (en) * 2016-08-25 2019-05-21 Cisco Technology, Inc. Efficient path detection and validation between endpoints in large datacenters
US10645123B1 (en) * 2016-12-28 2020-05-05 Juniper Networks, Inc. Network traffic switching for virtual machines
US10791091B1 (en) * 2018-02-13 2020-09-29 Architecture Technology Corporation High assurance unified network switch
DE102018216959B4 (de) * 2018-10-02 2020-11-12 Continental Automotive Gmbh Verfahren zur Absicherung eines Datenpakets durch eine Vermittlungsstelle in einem Netzwerk, Vermittlungsstelle und Kraftfahrzeug
US11201854B2 (en) 2018-11-30 2021-12-14 Cisco Technology, Inc. Dynamic intent-based firewall
DE102019210224A1 (de) * 2019-07-10 2021-01-14 Robert Bosch Gmbh Vorrichtung und Verfahren für Angriffserkennung in einem Rechnernetzwerk
US11336694B2 (en) * 2019-08-05 2022-05-17 Cisco Technology, Inc. Scalable security policy architecture with segregated forwarding and security plane and hierarchical classes
CN110830301B (zh) * 2019-11-11 2022-04-22 国网江苏省电力有限公司检修分公司 基于安全加密的电力二次系统站控层拓扑扫描方法及装置
US11343234B2 (en) * 2019-12-10 2022-05-24 Cisco Technology, Inc. Multi-domain extension to cloud security
US11848949B2 (en) * 2021-01-30 2023-12-19 Netskope, Inc. Dynamic distribution of unified policies in a cloud-based policy enforcement system
US11777993B2 (en) 2021-01-30 2023-10-03 Netskope, Inc. Unified system for detecting policy enforcement issues in a cloud-based environment
US11831605B2 (en) * 2021-03-29 2023-11-28 Nokia Solutions And Networks Oy Router firewall

Family Cites Families (66)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH06311161A (ja) 1993-04-23 1994-11-04 Matsushita Electric Works Ltd Lan用ハブ装置
US5485455A (en) * 1994-01-28 1996-01-16 Cabletron Systems, Inc. Network having secure fast packet switching and guaranteed quality of service
US5544322A (en) * 1994-05-09 1996-08-06 International Business Machines Corporation System and method for policy-based inter-realm authentication within a distributed processing system
US5617421A (en) 1994-06-17 1997-04-01 Cisco Systems, Inc. Extended domain computer network using standard links
US5608726A (en) * 1995-04-25 1997-03-04 Cabletron Systems, Inc. Network bridge with multicast forwarding table
US5889953A (en) * 1995-05-25 1999-03-30 Cabletron Systems, Inc. Policy management and conflict resolution in computer networks
US5684800A (en) * 1995-11-15 1997-11-04 Cabletron Systems, Inc. Method for establishing restricted broadcast groups in a switched network
US5781550A (en) * 1996-02-02 1998-07-14 Digital Equipment Corporation Transparent and secure network gateway
US5918018A (en) * 1996-02-09 1999-06-29 Secure Computing Corporation System and method for achieving network separation
US5768501A (en) * 1996-05-28 1998-06-16 Cabletron Systems Method and apparatus for inter-domain alarm correlation
US5842040A (en) * 1996-06-18 1998-11-24 Storage Technology Corporation Policy caching method and apparatus for use in a communication device based on contents of one data unit in a subset of related data units
CA2214911C (en) 1996-09-11 2001-12-25 Nippon Telegraph And Telephone Corporation Contents transmission control method with user authentication functions and recording medium with the method recorded thereon
US6101170A (en) * 1996-09-27 2000-08-08 Cabletron Systems, Inc. Secure fast packet switch having improved memory utilization
US5708654A (en) * 1996-11-27 1998-01-13 Arndt; Manfred R. Method for detecting proxy ARP replies from devices in a local area network
US5905859A (en) * 1997-01-09 1999-05-18 International Business Machines Corporation Managed network device security method and apparatus
US6591303B1 (en) * 1997-03-07 2003-07-08 Sun Microsystems, Inc. Method and apparatus for parallel trunking of interfaces to increase transfer bandwidth
US6301257B1 (en) * 1997-03-19 2001-10-09 Nortel Networks Limited Method and apparatus for transmitting data frames between switches in a meshed data network
US6212558B1 (en) * 1997-04-25 2001-04-03 Anand K. Antur Method and apparatus for configuring and managing firewalls and security devices
US5968176A (en) * 1997-05-29 1999-10-19 3Com Corporation Multilayer firewall system
US6049528A (en) * 1997-06-30 2000-04-11 Sun Microsystems, Inc. Trunking ethernet-compatible networks
US5909686A (en) * 1997-06-30 1999-06-01 Sun Microsystems, Inc. Hardware-assisted central processing unit access to a forwarding database
US6088356A (en) * 1997-06-30 2000-07-11 Sun Microsystems, Inc. System and method for a multi-layer network element
US6775692B1 (en) * 1997-07-31 2004-08-10 Cisco Technology, Inc. Proxying and unproxying a connection using a forwarding agent
US6104700A (en) * 1997-08-29 2000-08-15 Extreme Networks Policy based quality of service
US6041058A (en) * 1997-09-11 2000-03-21 3Com Corporation Hardware filtering method and apparatus
US6154775A (en) * 1997-09-12 2000-11-28 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with dynamic rule processing with the ability to dynamically alter the operations of rules
US7143438B1 (en) * 1997-09-12 2006-11-28 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with multiple domain support
US6141749A (en) * 1997-09-12 2000-10-31 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with stateful packet filtering
US6170012B1 (en) * 1997-09-12 2001-01-02 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with cache query processing
US6098172A (en) * 1997-09-12 2000-08-01 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with proxy reflection
US6131120A (en) 1997-10-24 2000-10-10 Directory Logic, Inc. Enterprise network management directory containing network addresses of users and devices providing access lists to routers and servers
US6172981B1 (en) * 1997-10-30 2001-01-09 International Business Machines Corporation Method and system for distributing network routing functions to local area network stations
US6182226B1 (en) * 1998-03-18 2001-01-30 Secure Computing Corporation System and method for controlling interactions between networks
US6141755A (en) * 1998-04-13 2000-10-31 The United States Of America As Represented By The Director Of The National Security Agency Firewall security apparatus for high-speed circuit switched networks
US6456597B1 (en) * 1998-05-04 2002-09-24 Hewlett Packard Co. Discovery of unknown MAC addresses using load balancing switch protocols
JP4080599B2 (ja) * 1998-06-17 2008-04-23 富士通株式会社 通信制御装置およびマルチキャスト対応lanに適用される通信制御方法
US6233688B1 (en) 1998-06-30 2001-05-15 Sun Microsystems, Inc. Remote access firewall traversal URL
US6430188B1 (en) * 1998-07-08 2002-08-06 Broadcom Corporation Unified table for L2, L3, L4, switching and filtering
US6304973B1 (en) * 1998-08-06 2001-10-16 Cryptek Secure Communications, Llc Multi-level security network system
US6438133B1 (en) * 1998-09-09 2002-08-20 Cisco Technology, Inc. Load balancing mechanism for a translational bridge environment
US6556541B1 (en) * 1999-01-11 2003-04-29 Hewlett-Packard Development Company, L.P. MAC address learning and propagation in load balancing switch protocols
IL128814A (en) * 1999-03-03 2004-09-27 Packet Technologies Ltd Local network security
US7197044B1 (en) * 1999-03-17 2007-03-27 Broadcom Corporation Method for managing congestion in a network switch
US7643481B2 (en) * 1999-03-17 2010-01-05 Broadcom Corporation Network switch having a programmable counter
US7051066B1 (en) * 1999-07-02 2006-05-23 Cisco Technology, Inc. Integrating service managers into a routing infrastructure using forwarding agents
US6633560B1 (en) * 1999-07-02 2003-10-14 Cisco Technology, Inc. Distribution of network services among multiple service managers without client involvement
US6970913B1 (en) * 1999-07-02 2005-11-29 Cisco Technology, Inc. Load balancing using distributed forwarding agents with application based feedback for different virtual machines
US6704278B1 (en) * 1999-07-02 2004-03-09 Cisco Technology, Inc. Stateful failover of service managers
US6549516B1 (en) * 1999-07-02 2003-04-15 Cisco Technology, Inc. Sending instructions from a service manager to forwarding agents on a need to know basis
US6650641B1 (en) * 1999-07-02 2003-11-18 Cisco Technology, Inc. Network address translation using a forwarding agent
US6742045B1 (en) * 1999-07-02 2004-05-25 Cisco Technology, Inc. Handling packet fragments in a distributed network service environment
US6606315B1 (en) * 1999-07-02 2003-08-12 Cisco Technology, Inc. Synchronizing service instructions among forwarding agents using a service manager
US6735169B1 (en) * 1999-07-02 2004-05-11 Cisco Technology, Inc. Cascading multiple services on a forwarding agent
US6684253B1 (en) * 1999-11-18 2004-01-27 Wachovia Bank, N.A., As Administrative Agent Secure segregation of data of two or more domains or trust realms transmitted through a common data channel
US6754716B1 (en) * 2000-02-11 2004-06-22 Ensim Corporation Restricting communication between network devices on a common network
US7263719B2 (en) * 2000-05-15 2007-08-28 Hewlett-Packard Development Company, L.P. System and method for implementing network security policies on a common network infrastructure
US7031297B1 (en) 2000-06-15 2006-04-18 Avaya Communication Israel Ltd. Policy enforcement switching
US20020053020A1 (en) * 2000-06-30 2002-05-02 Raytheon Company Secure compartmented mode knowledge management portal
US7047561B1 (en) * 2000-09-28 2006-05-16 Nortel Networks Limited Firewall for real-time internet applications
JP3474548B2 (ja) * 2001-04-09 2003-12-08 アライドテレシス株式会社 集合建築物
US7212534B2 (en) * 2001-07-23 2007-05-01 Broadcom Corporation Flow based congestion control
US20030033463A1 (en) * 2001-08-10 2003-02-13 Garnett Paul J. Computer system storage
US7302700B2 (en) * 2001-09-28 2007-11-27 Juniper Networks, Inc. Method and apparatus for implementing a layer 3/layer 7 firewall in an L2 device
JP2005215935A (ja) * 2004-01-29 2005-08-11 Vodafone Kk ファイアウォール
US7895431B2 (en) * 2004-09-10 2011-02-22 Cavium Networks, Inc. Packet queuing, scheduling and ordering
US7535907B2 (en) * 2005-04-08 2009-05-19 Oavium Networks, Inc. TCP engine

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101473598B (zh) * 2006-06-16 2012-01-04 思科技术公司 使用虚拟接口在转发上下文之间传送分组
CN102763382A (zh) * 2010-01-29 2012-10-31 日本电气株式会社 前端系统和前端处理方法
US8863269B2 (en) 2010-01-29 2014-10-14 Nec Corporation Frontend system and frontend processing method
CN102763382B (zh) * 2010-01-29 2015-09-02 日本电气株式会社 前端系统和前端处理方法
CN107005456A (zh) * 2015-02-27 2017-08-01 奥迪股份公司 具有交换装置的机动车通信网络
CN107005456B (zh) * 2015-02-27 2018-10-19 奥迪股份公司 用于运行机动车通信网络的交换装置的方法和交换装置
US10110599B2 (en) 2015-02-27 2018-10-23 Audi Ag Motor vehicle communication network with switch device

Also Published As

Publication number Publication date
US7302700B2 (en) 2007-11-27
CA2461866A1 (en) 2003-04-10
US20130007839A1 (en) 2013-01-03
JP2005505175A (ja) 2005-02-17
EP1438670A4 (en) 2010-12-15
EP2595357A3 (en) 2014-08-20
US7779459B2 (en) 2010-08-17
US8291114B2 (en) 2012-10-16
IL161112A0 (en) 2004-08-31
US8689316B2 (en) 2014-04-01
EP1438670A1 (en) 2004-07-21
JP4332033B2 (ja) 2009-09-16
AU2002327757B2 (en) 2008-11-06
US20080034414A1 (en) 2008-02-07
WO2003030004A1 (en) 2003-04-10
US20140215600A1 (en) 2014-07-31
EP2595357B1 (en) 2018-08-29
CN100437543C (zh) 2008-11-26
IL161112A (en) 2010-06-16
US20100281533A1 (en) 2010-11-04
US20030065944A1 (en) 2003-04-03
EP1438670B1 (en) 2017-06-14
EP2595357A2 (en) 2013-05-22
US9407605B2 (en) 2016-08-02

Similar Documents

Publication Publication Date Title
CN100437543C (zh) 在第2层装置中实现第3层/第7层防火墙的方法和设备
US6154839A (en) Translating packet addresses based upon a user identifier
EP0988735B1 (en) Architecture for virtual private networks
CN1209712C (zh) 用于使用本地ip地址和不可转换端口地址的局域网的网址转换网关
EP1624644B1 (en) Privileged network routing
CN100474213C (zh) 分组接收装置以及用于加速分组过滤的系统和方法
US7823194B2 (en) System and methods for identification and tracking of user and/or source initiating communication in a computer network
EP0988736B1 (en) An apparatus for implementing virtual private networks
US6345299B2 (en) Distributed security system for a communication network
US7516242B2 (en) Integrated information communication system using conversion table to convert an external packet into an internal packet by embedding a header
CN1640090A (zh) 分布式服务拒绝攻击的安全的自动化的响应装置与方法
CN1790980A (zh) 安全验证通告协议
JP2006513590A (ja) インターネット通信の合法的傍受のための装置
CN1682197A (zh) 虚拟专用网(vpn)和防火墙的集成系统
AU2002327757A1 (en) Method and apparatus for implementing a layer 3/layer 7 firewall in an L2 device
US20080104688A1 (en) System and method for blocking anonymous proxy traffic
CN1521993A (zh) 网络控制方法和设备
US6347338B1 (en) Precomputed and distributed security system for a communication network
CN1278528C (zh) 网络安全设备多工作模式自适应的方法
US20050013324A1 (en) Security through manipulation of virtual topography
Berge et al. Firewalls in an OSI-environment

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
C56 Change in the name or address of the patentee

Owner name: JUNIPER NETWORKS INC.

Free format text: FORMER NAME: NETSCREEN TECHNOLOGIES INC.

CP01 Change in the name or title of a patent holder

Address after: American California

Patentee after: Juniper Networks, Inc.

Address before: American California

Patentee before: Jungle network

CX01 Expiry of patent term
CX01 Expiry of patent term

Granted publication date: 20081126