BRPI0710933A2 - implementação de firewall distribuìdo e controle - Google Patents

implementação de firewall distribuìdo e controle Download PDF

Info

Publication number
BRPI0710933A2
BRPI0710933A2 BRPI0710933-4A BRPI0710933A BRPI0710933A2 BR PI0710933 A2 BRPI0710933 A2 BR PI0710933A2 BR PI0710933 A BRPI0710933 A BR PI0710933A BR PI0710933 A2 BRPI0710933 A2 BR PI0710933A2
Authority
BR
Brazil
Prior art keywords
firewall
network
service
capability
request
Prior art date
Application number
BRPI0710933-4A
Other languages
English (en)
Inventor
David A Roberts
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of BRPI0710933A2 publication Critical patent/BRPI0710933A2/pt
Publication of BRPI0710933A8 publication Critical patent/BRPI0710933A8/pt

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • H04L63/0218Distributed architectures, e.g. distributed firewalls
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Drying Of Semiconductors (AREA)

Abstract

IMPLEMENTAçãO DE FIREWALL DISTRIBUìDO E CONTROLE Um método para gravar um material alvo na presença de um material estrutural com seletividade aperfeiçoada utiliza um gravador de fase de vapor e um co-gravador. Modalidades do método apresentam seletividades aperfeiçoadas a partir de ao menos aproxi- madamente 2 vezes a ao menos aproximadamente 100 vezes em comparação com um pro- cesso de gravação similar não utilizando um co-gravador. Em algumas modalidades, o material alvo compreende um metal que pode ser gravado por intermédio do gravador de fase de vapor. Modalidades do método são particularmente úteis na fabricação de dispositivos MEMS, por exemplo, moduladores interferométricos. Em algumas modalidades, o material alvo compreende um metal que pode ser gravado pelo gravador de fase de vapor, por e- xemplo, molibdênio; e o material estrutural compreende um material dielétrico, por exemplo, diáxido de silício.

Description

"IMPLEMENTAÇÃO DE FIREWALL DISTRIBUÍDO E CONTROLE"
ANTECEDENTES
Um computador conectado a uma rede está vulnerável a ataque a partir de outroscomputadores naquela rede. Se a rede é a Internet, os ataques podem incluir uma gama deações a partir de tentativas maliciosas para obter acesso ao computador, para instalar códi-go "zumbi", para negativa de ataques de negativa de serviço. Tentativas maliciosas paraobter acesso ao computador podem ter a intenção de descobrir dados pessoais, enquantoque o código zumbi ode ser usado para lançar ataques de negativa de serviço medianteneutralização de um local da Rede com elevados volumes de tráfego a partir de um númerode computadores. Os violadores podem incluir criminosos organizados, peritos em compu-tador sofisticados, porém maliciosos, e "script kiddies" que lêem e repetem os ataques pos-tados em vulnerabilidades conhecidas.
A maioria dos computadores tem portas endereçáveis para enviar e receber dados.Algumas das portas podem ser designadas para certos tipos de tráfego. Por exemplo, emuma rede de Protocolo Internet (IP), a porta 80 freqüentemente é designada para tráfego deprotocolo de hipertexto (http), enquanto que a porta 443 freqüentemente é designada paratráfego http seguro (https). Outras portas podem ser designadas conforme necessário paradiferentes serviços. Tráfego não-designado em tais portas designadas e qualquer tráfegoem portas não-utilizadas pode indicar tentativas pelos violadores em obter acesso ao com-putador.
Um firewall pode ser usado para limitar o tráfego de porta para certos protocolos epara fechar portas não utilizadas a partir de todo o tráfego externo. O firewall pode ser colo-cado em uma rede entre computadores procurando proteção e redes "abertas", tal como aInternet, ou pode ser integral ao computador. Nas corporações, ou grandes redes privadas,firewalls podem também ser usados para limitar o tráfego entre unidades comerciais. O fire-wall pode bloquear o tráfego em uma porta designada tendo o protocolo errado, por exem-plo, protocolo de transferência de arquivo (FTP) pode ser bloqueado na porta 80. Similar-mente, o firewall pode bloquear todo o tráfego em uma porta não utilizada. Implementaçõesnão somente de hardware, mas também de software dos firewalls estão disponíveis.
SUMÁRIO
Uma rede, tal como uma rede de área local com uma variedade de dispositivos ele-trônicos, pode ter um primeiro grupo de dispositivos capaz de prover serviços de firewallassim como um segundo grupo de dispositivos com capacidade limitada ou nenhuma capa-cidade de firewall. Mediante publicação das capacidades de serviço de firewall desses dis-positivos tendo tal capacidade ou mediante publicação das exigências de firewall dos dispo-sitivos precisando de serviços de firewall, ou ambos, a rede pode ser configurada para per-mitir que o primeiro grupo forneça serviço de firewall aos dispositivos do segundo grupo.Para suportar tal serviço de firewall distribuído, um dispositivo pode precisar de umacapacidade para tornar conhecido o seu interesse/capacidade em fornecer serviços de fire-wall. Do mesmo modo, outro dispositivo pode precisar de uma capacidade para publicar seudesejo pelos serviços de firewall. Mudanças de roteamento de rede podem precisar ser rea-lizadas para re-encaminhar o tráfego de dados de tal modo que serviços de processamentodistante possam ser executados e uma função de gerenciador pode ser necessária paracombinar as capacidades com as necessidades e dirigir o re-roteamento de tráfego de da-dos. Além disso, a função de gerenciador pode impor regras para níveis mínimos de servi-ços de firewall para aqueles dispositivos que podem não publicar suas necessidades, oucujas capacidades publicadas não atendem outras exigências mínimas a nível de sistema. Afunção de gerenciador pode ser independente de outros dispositivos na Rede, tal como emum roteador, ou pode ser incorporada em um dos dispositivos fornecendo ou utilizando osserviços de firewall.
DESCRIÇÃO RESUMIDA DOS DESENHOS
A Figura 1 é um diagrama de blocos de um computador adequado para uso emuma rede suportando um ambiente de firewall distribuído;
A Figura 2 é um diagrama de blocos de uma rede de computador capaz de suportaruma implementação de firewall distribuído;
A Figura 3 é uma vista lógica de uma modalidade da implementação de firewall dis-tribuído;
A Figura 4 é outra vista lógica da modalidade da implementação de firewall distribu-ído da Figura 3;
A Figura 5 é um diagrama de blocos de uma rede de computador mostrando outramodalidade da implementação de firewall distribuído;
A Figura 6 é uma vista lógica da modalidade da Figura 5;
A Figura 7 é uma vista de ainda outra modalidade de uma implementação de fire-wall distribuído;
A Figura 8 é um diagrama representativo de blocos de um computador adequadopara participação em uma implementação de firewall distribuído; e
A Figura 9 é um diagrama representativo de blocos de outro computador adequadopara participação em uma implementação de firewall distribuído.
DESCRIÇÃO DETALHADA
Embora o texto a seguir ilustre uma descrição detalhada dè várias modalidades di-ferentes, deve ser entendido que o escopo legal da descrição é definido pelos termos dasreivindicações apresentadas no fim dessa revelação. A descrição detalhada deve ser consi-derada apenas como exemplar e não descreve cada modalidade possível uma vez que des-crever cada modalidade possível seria impraticável, se não impossível. Várias modalidadesalternativas poderiam ser implementadas, utilizando quer seja tecnologia atual ou tecnologiadesenvolvida após a data de depósito dessa patente, a qual ainda estaria abrangida peloescopo das reivindicações.
Também deve ser entendido que, a menos que um termo seja expressamente defi-nido nessa patente utilizando a frase "como aqui usado, o termo "________" é definido aquicomo significando..." ou uma frase similar, não existe a intenção de limitar o significado da-quele termo, seja expressamente ou mediante implicação, além de seu significado simplesou comum, e tal termo não deve ser interpretado como limitado em escopo com base emqualquer declaração feita em qualquer seção desta patente (exceto a linguagem das reivin-dicações). Até o ponto em que qualquer termo citado nessas reivindicações no fim dessapatente é referido nessa patente de uma maneira compatível com um único significado, istoé feito com o propósito apenas de clareza de modo a não confundir o leitor, e não se pre-tende que tal termo da reivindicação seja limitado, mediante implicação ou de outro modo,aquele único significado. Finalmente, a menos que o elemento da reivindicação seja definidomediante exposição da palavra - "meios", e uma função sem a exposição de qualquer estru-tura, não se pretende que o escopo de qualquer elemento da reivindicação seja interpretadocom base na aplicação de 35 U.S.C. § 112, parágrafo sexto.
Grande parte da funcionalidade inventiva e muitos dos princípios inventivos sãomais bem implementados com ou nos programas de software ou instruções e circuitos inte-grados (ICs) tal como os ICs de aplicação específica. Espera-se que aqueles versados natécnica, não obstante possivelmente esforço significativo e muitas escolhas de projeto moti-vadas, por exemplo, pelo tempo disponível, tecnologia atual, e considerações econômicas,quando orientados pelos conceitos e princípios aqui revelados serão facilmente capazes degerar tais instruções e programas de software e os ICs com experimento mínimo. Portanto,no interesse de brevidade e minimização de qualquer risco de obscurecer os princípios econceitos de acordo com a presente invenção, discussão adicional de tal software e dos ICs,se houver, será limitada aos elementos indispensáveis com relação aos princípios e concei-tos das modalidades preferidas.
A Figura 1 ilustra um dispositivo de computação na forma de um computador 110que pode participar em um sistema de firewall distribuído. Os componentes do computador110 podem incluir, mas não são limitados a uma unidade de processamento 20, uma memó-ria de sistema 130, e um barramento de sistema 121 que acopla vários componentes desistema incluindo a memória do sistema à unidade de processamento 120. O barramento desistema 121 pode ser qualquer um de vários tipos de estruturas de barramento incluindo umbarramento de memória ou controlador de memória, um barramento periférico, e um barra-mento local utilizando qualquer uma de uma variedade de arquiteturas de barramento. Co-mo exemplo e não como limitação, essas arquiteturas incluem: barramento de ArquiteturaPadrão da Indústria (ISA); barramento de Arquitetura de Microcanal (MCA); barramento deISA Otimizada (EISA); barramento local da Associação de Padrões de Eletrônica de Vídeo(VESA); e barramento de Interconexão de Componentes Periféricos (PCI) também conheci-do como barramento Mezzanine.
O computador 110 inclui tipicamente uma variedade de meios legíveis por compu-tador. Meios legíveis por computador podem ser quaisquer meios disponíveis que possamser acessados pelo computador 110 e incluem não só meios voláteis como também meiosnão-voláteis, meios removíveis e meios não-removíveís. Por intermédio de exemplo, e nãolimitação, meios legíveis por computador podem compreender meios de armazenamento decomputador e meios de comunicação. Meios de armazenamento de computador incluemmeios voláteis e não-voláteis, removíveis e não-removíveis implementados em qualquermétodo ou tecnologia para armazenamento de informação tal como instruções legíveis porcomputador, estruturas de dados, módulos de programa ou outros dados. Meios de armaze-namento de computador incluem, mas não são limitados a, RAM, ROM, EEPROM, memóriaflash ou outra tecnologia de memória, CD-ROM, discos digitais versáteis (DVD) ou outroarmazenamento de disco ótico, cassetes magnéticos, fita magnética, armazenamento dedisco magnético ou outros dispositivos de armazenamento magnético, ou qualquer outromeio que possa ser usado para armazenar a informação desejada e o qual possa ser aces-sado pelo computador 110. Os meios de comunicação incorporam tipicamente instruçõeslegíveis por computador, estruturas de dados, módulos de programa ou outros dados em umsinal modulado de dados tal como uma onda portadora ou outro mecanismo de transporte einclui quaisquer meios de fornecimento de informação. O termo "sinal modulado de dados"significa um sinal que tem uma ou mais de suas características definidas ou alteradas de talmodo a codificar informação no sinal. Como exemplo, e não como limitação, meios de co-municação incluem meios cabeados tal como uma rede cabeada, ou conexão cabeada dire-ta; e meios sem fio tais como meios acústicos, de radiofreqüência, de infravermelho e ou-tros. Combinações de quaisquer dos mencionados acima também podem estar incluídasdentro do escopo de meios legíveis por computador.
A memória de sistema 130 inclui meios de armazenamento de computador na for-ma de memória volátil e/ou não-volátil tal como memória de leitura (RAM) 131 e memória deacesso aleatório RAM 132. Um sistema de entrada/saída básico 133 (BIOS), contendo asrotinas básicas que ajudam a transferir informação entre elementos dentro do computador110, tal como durante a partida, é tipicamente armazenado na ROM 131. A RAM 132 con-tém tipicamente módulos de dados e/ou programas que são imediatamente acessíveis e/oupresentemente sendo operados pela unidade de processamento 120. Como exemplo, e nãocomo limitação, a Figura 3 ilustra o sistema operacional 134, programas de aplicação 135,outros módulos de programa 136, e dados de programa 137.O computador 110 também pode incluir outros meios de armazenamento de com-putador removíveis/não-removíveis, voláteis/não-voláteis. Apenas como exemplo, a Figura 1ilustra uma unidade de disco rígido 140 que lê a partir dos meios magnéticos não-removíveis, não-voláteis, ou grava nos mesmos, uma unidade de disco magnético 151 quelê a partir de um disco magnético removível, não-volátil 152 ou grava no mesmo, e uma uni-dade de disco ótico 155 que lê a partir do disco ótico removível, não-volátil 156 ou grava nomesmo, tal como um CD-ROM ou outros meios óticos. Outros meios de armazenamento decomputador removíveis/não-removíveis, voláteis/não-voláteis que podem ser usados no am-biente de operação exemplar incluem, mas não são limitados a, cassetes de fita magnética,cartões de memória flash, discos versáteis digitais, fita de vídeo digital, RAM de estado sóli-do, ROM de estado sólido, e semelhante. A unidade de disco rígido 141 é conectada tipica-mente ao barramento de sistema 121 através de uma interface de memória não-removíveltal como interface 140, e unidade de disco magnético 151 e unidade de disco ótico 155 sãoconectadas tipicamente ao barramento de sistema 121 por intermédio de uma interface dememória removível, tal como a interface 150.
As unidades e seus meios de armazenamento de computador associados discuti-dos acima, ilustrados na Figura 1, proporcionam armazenamento de instruções legíveis porcomputador, estruturas de dados, módulos de programa e outros dados para o computador110. Na Figura 1, por exemplo, a unidade de disco rígido 141 é ilustrada como armazenandoo sistema operacional 144, programas de aplicação 145, outros módulos de programa 146,e dados de programa 147. Observar que esses componentes podem ser ou idênticos oudiferentes do sistema operacional 134, programas de aplicação 135, outros módulos de pro-grama 136, e dados de programa 137. O sistema operacional 144, programas de aplicação145, outros módulos de programa 146, e dados de programa 147 recebem aqui númerosdiferentes para ilustrar que, no mínimo, eles são cópias diferentes. Um usuário pode intro-duzir comandos e informação no computador 110 através dos dispositivos de entrada talcomo um teclado 162 e um dispositivo indicador 161, comumente referido como um mouse,trackball ou elemento sensível ao toque. Outro dispositivo de entrada pode ser uma câmerapara enviar imagens através da Internet, conhecida como web cam 163. Outros dispositivosde entrada (não mostrados) podem incluir um microfone, joystick, elemento de jogos, pratode satélite, scanner, ou semelhantes. Esses e outros dispositivos de entrada freqüentemen-te são conectados à unidade de processamento 120 através de uma interface de entrada deusuário 160 que é acoplada ao barramento de sistema, mas pode ser conectada por outrainterface e estruturas de barramento, tal como uma porta paralela, porta de jogos ou umbarramento serial universal (USB). Um monitor 191 ou outro tipo de dispositivo de exposiçãotambém é conectado ao barramento de sistema 121 por intermédio de uma interface, talcomo uma interface de vídeo 190. Além do monitor, os computadores também podem incluiroutros dispositivos periféricos de saída tais como alto-falantes 197 e impressora 196, quepodem ser conectados através de uma interface periférica de saída 195.
O computador 110 pode operar em um ambiente de rede utilizando conexões lógi-cas para um ou mais computadores remotos, tal como um computador remoto 180. O com-putador remoto 180 pode ser um computador pessoal, um servidor, um roteador, um PC derede, um dispositivo não-hierárquico ou outro nó de rede comum e, tipicamente, inclui váriosou todos os elementos descritos acima em relação ao computador 110, embora apenas umdispositivo de armazenamento de memória 181 tenha sido ilustrado na Figura 1. As cone-xões lógicas ilustradas na Figura 1 incluem uma rede de área local (LAN) 171 e uma rede deárea remota (WAN) 173, mas pode incluir também outras redes. Tais ambientes de rede sãocomuns em escritórios, redes de computadores empresariais, intranets e a Internet.
Quando usado em um ambiente de rede LAN, o computador 110 é conectado àLAN 171 através de uma interface ou adaptador de rede 170. A interface ou adaptador derede 170 pode incluir uma capacidade de firewall, conforme discutido adicionalmente abaixo.Quando usado em um ambiente de rede WAN, o computador 110 inclui tipicamente um mo-dem 172 ou outro meio para estabelecer comunicações através da WAN 173, tal como aInternet. O modem 172, o qual pode ser interno ou externo, pode ser conectado ao barra-mento de sistema 121 por intermédio da interface de entrada de usuário 160, ou outro me-canismo apropriado. Em um ambiente de rede, os módulos de programa ilustrados em rela-ção ao computador 110, ou porções do mesmo, podem ser armazenados no dispositivo dearmazenamento de memória remoto. Como exemplo, e não como limitação, a Figura 1 ilus-tra os programas de aplicação remota 185 como residindo no dispositivo de memória 181.Será considerado que as conexões de rede mostradas são exemplares e que outros meiosde estabelecer um link de comunicação entre os computadores podem ser usados.
A Figura 2 ilustra uma rede de computador 200 capaz de suportar uma implemen-tação de firewall distribuído. Uma rede externa 201, tal como a Internet, pode ser conectadaà rede de computador 200 por intermédio de uma interface de rede, tal como um roteador ouo dispositivo de portal da Internet (IGD) 202. A conexão entre o IGD 202 e a rede 201 podeser referida como uma conexão a montante do IGD 202. No lado oposto do IGD 202 podeestar uma ou mais conexões a jusante. Uma primeira conexão a jusante 204 pode ser aco-plada a uma impressora 206 compartilhada na rede de computador 200, embora ela tam-bém possa ser disponibilizada para recursos na rede externa 201. A segunda conexão ajusante 208 pode ser acoplada primeiramente a um computador 210 e subseqüentemente aum computador 211. Nessa configuração, o computador 210 pode compartilhar sua conexãocom o computador 211 através da conexão de rede 213 através de recursos tais como ocompartilhamento de conexão com Internet (ICS) disponível através do sistema operacionalWindows™ da Microsoft. Outra conexão a jusante 212 a partir do IGD 202 pode acoplar umponto de acesso sem fio 214 suportando acesso de rede a um dispositivo sem fio 216, talcomo um fone inteligente/assistente pessoal digital (PDA) e Iaptop 218 através de um trans-porte sem fio 220.
Em uma implementação tradicional da técnica anterior, o IGD 202 também pode in-cluir um firewall e realizar essa função para todos os dispositivos no lado a jusante do IGD202. Isso pode resultar em todas as conexões a jusante 204, 208, 212, e cada dispositivoassociado tendo as mesmas configurações do firewall. As configurações em um firewall ba-seado em IGD podem ter como padrão um nível mínimo de proteção ou podem não consi-derar as diferentes necessidades de alguns dispositivos em relação a outros, tal como aimpressora 206 versus um dispositivo sem fio 216. Os IGD da técnica atual, além dos servi-ços de firewall, freqüentemente realizam conversão de endereço de rede (NAT). Os IGDsuportando IPv6 não mais proporcionarão NAT e também podem minimizar o suporte paraos serviços de firewall, tornando mais atraente uma abordagem distribuída de prover servi-ços de firewall, se não uma necessidade.
Os serviços de firewall podem incluir um número de funções que proporcionam umagama de capacidades de proteção. A maioria dos firewalls tem a capacidade de bloquear asportas não utilizadas, isto é, rejeitar qualquer tráfego que chega a uma porta que não estejaatualmente associado com uma aplicação ou serviço específico. Nas portas designadas, ofirewall pode limitar o tráfego a um protocolo autorizado, tal como http (protocolo de transfe-rência de hipertexto) ou ftp (protocolo de transferência de arquivo). Adicionalmente, um fire-wall pode limitar o tráfego de saída para portas, serviços ou aplicações específicos. Por e-xemplo, um navegador da Rede pode não ser capaz de enviar uma solicitação de ida emuma porta exceto a porta 80. Qualquer atividade com uma fonte desconhecida pode ser blo-queada. Por exemplo, um programa spyware que é desconhecido do firewall pode ser blo-queado em termos de enviar ou receber tráfego. Os firewalls podem também distinguir entreredes, isto é, uma rede de área local pode ter seu tráfego tratado diferentemente a partir deuma rede de área remota, tal como a Internet. Um firewall pode atuar como um ponto deextremidade para um túnel seguro, tal como uma rede privada virtual de camada 4 (VPN).Em alguns casos, o firewall pode exigir um túnel seguro para algumas conexões ou aplica-ções. O firewall pode reagir às instruções específicas para bloquear ou permitir o tráfegocomo conexões de solicitação de aplicações ou serviços.
A Figura 3 é uma vista lógica de uma modalidade de uma implementação de fire-wall distribuído utilizando a rede 200 da Figura 2. Em um caso onde o IGD 202 não propor-ciona serviços de firewall adequados para um dispositivo, tal como dispositivo sem fio 216,computador 210, assim como IGD 202, pode ser configurado para prover serviço de firewallmais apropriado. Isto pode ser realizado mediante conexão de forma lógica do ponto de a-cesso sem fio 214 a jusante do computador 210, de tal modo que todo o tráfego destinadoao dispositivo sem fio 216 pode ser primeiramente encaminhado através do computador 210por intermédio da conexão a jusante 208 e conexão lógica 224.
O tráfego para o dispositivo sem fio 216 pode incluir pacotes de voz sobre IP(VOIP) ou da Internet. (Fones inteligentes ágeis de rede podem selecionar uma rede de cus-to inferior, tal como WiFi quando disponível). O computador 210 pode prover serviços defirewall que limitam o tráfego para VOIP em uma ou mais portas designadas ou tráfego deInternet para uma porta de protocolo de acesso sem fio (WAP), designada. O computador210 também pode prover serviços de firewall para ele próprio. Em tal caso, ele pode publicarque nenhum serviço é exigido, de modo que um dispositivo a montante ou controlador nãoatribua a ele serviços de firewall padrão em outro dispositivo. A conexão lógica 224 é discu-tida em mais detalhe a seguir com relação à Figura 4.
A Figura 4 é outra vista lógica da modalidade da implementação de firewall distribu-ído da Figura 3. Em operação, a conexão lógica 224 pode ser realizada mediante mudançasnão somente no IGD 202 como também no computador 210. O tráfego que chega a partir darede 201 destinado ao dispositivo sem fio 216 pode ser encaminhado primeiramente para odispositivo 210 através da conexão lógica 226 (conexão física 208). O tráfego pode ser fil-trado no computador 210, re-endereçado para o dispositivo sem fio 216 e transmitido para oIGD 202, por intermédio de conexão lógica 228. No IGD 202, o tráfego filtrado pode ser re-encaminhado, por intermédio da conexão lógica 230, para o dispositivo sem fio 216. O IGD,portanto, pode tratar os pacotes endereçados ao dispositivo sem fio 216 diferentemente,dependendo da fonte. Os pacotes endereçados ao dispositivo sem fio 216 provenientes darede 201 podem ser encaminhados para o computador 210, enquanto que os pacotes ende-reçados ao dispositivo sem fio 216, originados no computador 210 são encaminhados para odispositivo sem fio 216. A conexão lógica 230 pode corresponder à conexão física 212 apartir do IGD 202 para o ponto de acesso sem fio 214 e da conexão pelo ar 220 a partir doponto de acesso sem fio 214 para o dispositivo sem fio 214.
Em uma modalidade, o dispositivo sem fio 216 pode publicar uma solicitação deserviços de firewall. O comutador 210 pode responder à solicitação e obter acordo com odispositivo sem fio 216 para prover os serviços solicitados. O IGD 202 pode aceitar as ins-truções seja a partir do dispositivo sem fio 216 ou do computador 210 para re-encaminhar otráfego conforme exigido. Em alguns casos o IGD pode aceitar as instruções apenas a partirdo dispositivo cujo tráfego está sendo re-encaminhado. Autenticação criptográfica pode serexigida para o IGD 202 para aceitar tais instruções. Em outra modalidade, o computador 210pode publicar a sua capacidade de prover serviços de firewall e o dispositivo sem fio 216pode responder com uma solicitação. Em ambas as modalidades, os dados publicados po-dem utilizar um protocolo de descoberta de rede não-hierárquica para permutar informaçãode serviço de firewall.Em ainda outra modalidade, o IGD 202, ou um dos outros dispositivos a jusante,pode incorporar um gerenciador que descobre exigências de serviço de firewall e capacida-des de serviço de firewall e combina os dispositivos utilizando essa informação. O gerencia-dor pode incorporar regras para identificar exigências mínimas de serviço de firewall paracada dispositivo, por exemplo, pelo tipo. O gerenciador pode combinar provedores de servi-ço de firewall com dispositivos mesmo quando o dispositivo tiver alguma capacidade de fi-rewall, mas, por exemplo, não atende à exigência mínima de serviço de firewall.
A Figura 5 é um diagrama de blocos de uma rede de computador mostrando outramodalidade da implementação de firewall distribuído. Nessa modalidade exemplar, o Iaptop218 provê serviços de firewall para impressora 206. A impressora 206 pode ter elementosprogramáveis, ou uma capacidade de processamento rudimentar, tal como conversão defonte ou cor. A impressora 206 pode então solicitar serviços de firewall apropriados median-te publicação de uma solicitação para limitar o tráfego para a porta 80 para trabalhos de im-pressão e porta 443 para processar solicitações de fonte ou de conversão. O Iaptop 218pode responder à solicitação por serviços de firewall a partir da impressora 206 e a impres-sora 206 pode aceitar. Após receber uma confirmação a partir da impressora 206, o Iaptop218 pode direcionar o IGD 202 para re-encaminhar o tráfego para a impressora conformemostrado na Figura 6. Voltando-se resumidamente para a Figura 6, o tráfego a partir da rede201 destinado à impressora 206 pode ser direcionado primeiramente para o Iaptop 218 atra-vés da conexão lógica 232. Como acima, o Iaptop 218 pode realizar os serviços de firewallsolicitados em benefício da impressora 206 e enviar o tráfego filtrado para o IGD 202 atra-vés da conexão lógica 234. O IGD 202 pode então encaminhar o tráfego para a impressora206 através da conexão lógica 236.
Retornando à Figura 5, em uma modalidade alternativa, o IGD 202 pode ter umacapacidade de firewall. O Iaptop 218 pode reconhecer a necessidade de serviços especiali-zados de firewall para a impressora 206 e direcionar o IGD 202 para prover os serviços ne-cessários para a impressora 206. Nesse caso, o Iaptop 218 atua como um diretor, mas nãogerencia ativamente o tráfego. Na função de diretor, o Iaptop 218 também pode monitorar egerenciar outros aspectos da atividade de firewall. Por exemplo, o Iaptop 218 pode ser pro-gramado com controles paternos, permitindo que configurações de firewall mudem pelo u-suário ou de acordo com a hora do dia. A modalidade das Figuras, 5 e 6, utiliza a impresso-ra 206 e o Iaptop 218 como elementos exemplares de rede. Os pontos fundamentais tam-bém se aplicam igualmente a outros dispositivos, tal como computador 210, PDA 216, ououtros dispositivos não ilustrados especificamente, tal como um dispositivo de armazena-mento ligado à rede.
Outras seqüências para descoberta de serviço de firewall e acordos para provisio-namento de serviço são possíveis, conforme discutido acima com relação à Figura 4.A Figura 7 é uma vista de ainda outra modalidade de uma implementação de fire-wall distribuído. O computador 210 é mostrado acoplado à rede 201 através da conexão 208por intermédio de IGD 202. O computador 210 também é mostrado compartilhando sua co-nexão com a Internet com o computador 211 através da conexão de Internet 213. Conformemencionado acima, isso pode ser feito através de um recurso de compartilhamento de co-nexão com a Internet no computador 210 e pode envolver duas portas de rede, uma supor-tando conexão 208 e a outra suportando conexão 213. O computador 211 pode publicaruma solicitação para serviços de firewall e o computador 210 pode responder com sua ca-pacidade de prover os serviços solicitados. Os dois computadores 210, 211 podem entãoconcordar com os termos associados à provisão dos serviços solicitados. Tais termos po-dem incluir considerações contratuais ou monetárias, mas também podem simplesmente serum acordo de que o computador 210 proporcionará serviços de firewall atendendo às ne-cessidades do computador 211, ou uma exigência mínima da rede 200. Logicamente, o trá-fego recebido no IGD 202 endereçado ao computador 211 pode ser transportado para ocomputador 210 através de conexão lógica 238, filtrado no computador 210 e enviado atra-vés de conexão lógica 240. Os dados a partir do computador 211 podem ser enviados porintermédio do link lógico 242 e enviados através do link lógico 244 para o IGD 202 e eventu-almente para fora da rede 201.
Conforme mostrado na Figura 2, outros serviços podem existir pelo lado a jusantedo IGD 202, incluindo na conexão de rede 208. Os serviços de firewall providos pelo compu-tador 210 podem oferecer proteção não apenas a partir do tráfego na rede 201, mas tam-bém a partir de tráfego indesejado ou não autorizado a partir desses dispositivos localmenteconectados.
A Figura 8 é um diagrama representativo de blocos de um computador adequadopara a participação em uma implementação de firewall distribuído. Uma rede de área remota802 pode ter uma conexão de rede 804 para um roteador 806 ou outra conexão de portal daInternet. O roteador 806 pode ser acoplado a um computador 808 por intermédio de umaconexão 807. O computador 808 pode ter uma conexão de rede 810 suportando a conexão807 para o roteador 806. O computador 808 também pode ter um gerenciador 812 ou con-trolador acoplado à conexão de rede 810 e a um provedor de serviço de firewall 814. O ge-renciador 812 pode ser operável para monitorar as solicitações publicadas para serviços defirewall a partir de outro dispositivo, tal como dispositivo eletrônico 816. O gerenciador 812pode então configurar a conexão de rede 810 para suportar o recebimento do tráfego ende-reçado ao dispositivo eletrônico 816 e encaminhar o mesmo para o serviço de firewall 814.Quando o tráfego endereçado ao dispositivo eletrônico 816 chega, ele pode ser encaminha-do para o serviço de firewall 814 e processado de acordo com as exigências de serviço defirewall acordadas, resultando em tráfego filtrado. A conexão de rede 810, em conjunto como gerenciador 812, pode então retornar o tráfego filtrado a partir do serviço de firewall 814para o roteador 816 para fornecimento através da conexão de rede 818 ao dispositivo ele-trônico 816. Se o computador 808 também tiver alguma capacidade de roteamento, ele podeenviar o tráfego filtrado diretamente para o dispositivo eletrônico 816 através da conexão820. O tráfego endereçado ao computador 808 também pode ser processado pelo serviçode firewall 814.
Em alguns casos, o gerenciador 812 pode mudar o nível de serviços de firewallprovidos, dependendo das exigências para obediência às políticas e regras administrativasem vigor. Em muitos casos, os serviços de firewall providos podem ser mais restritivos doque aqueles solicitados pelo dispositivo eletrônico 816, embora se possam empregar servi-ços de firewall menos restritivos. Por exèmplo, serviços de firewall menos restritivos podemser apropriados quando o gerenciador 812 tem conhecimento dos serviços de firewall amontante (não ilustrados) que reduzem a exigência local.
A Figura 9 é um diagrama representativo de blocos de outro computador adequadopara participação em uma implementação de firewall distribuído. Em uma modalidade e-xemplar correspondendo à configuração de rede mostrada na Figura 7, uma rede 902, talcomo a Internet, é mostrada acoplada ao computador 906 por intermédio da conexão derede 904. O computador 906 tem uma primeira conexão de rede 908, um gerenciador 910ou controlador, e um serviço de firewall 912 similar àqueles descritos com relação à Figura8. O computador 906 também é mostrado tendo uma segunda conexão de rede 914, aco-plada por intermédio da conexão 916, a uma rede 918, e subseqüentemente ao dispositivoeletrônico 920. O dispositivo eletrônico 920 pode solicitar que o serviço de firewall possaresponder a uma oferta publicada para prover serviço de firewall pelo computador 906, oupode ser atribuído um serviço de firewall padrão quando o computador 906 não pode deter-minar a capacidade de firewall do dispositivo eletrônico 920.
O tráfego endereçado ao dispositivo eletrônico 920 chegando à conexão de rede908 pode ser direcionado pelo gerenciador 910 para o serviço de firewall 912 onde filtraçãopode ser realizada no interesse do dispositivo 920. O gerenciador 910 pode então dirigir otráfego filtrado para conexão de rede 914 para fornecimento ao dispositivo eletrônico 920.
Embora redes e dispositivos atuais devam, conforme esperado, se beneficiar doaparelho e técnicas descritas acima, redes convertidas para IPv6 utilizando dispositivos deportal da Internet de custo inferior e de função inferior podem ser ainda os maiores benefici-ários. Adicionalmente, o uso de um gerenciador inteligente para avaliar as exigências e ne-cessidades do serviço de firewall, a luz das regras administrativas e arquitetura de rede atu-al, podem permitir menos duplicação da funcionalidade enquanto mantendo ou excedendo aprovisão provida pelas arquiteturas de firewall anteriores.
Embora o texto anterior ilustre uma descrição detalhada de várias modalidades dife-rentes da invenção, deve ser entendido que o escopo da invenção é definido pelos termosdas reivindicações apresentados no fim desta patente. A descrição detalhada deve ser con-siderada apenas como exemplar e não descreve cada possível modalidade da invençãoporque descrever cada modalidade possível seria impraticável, senão impossível. Diversasmodalidades alternativas poderiam ser implementadas, utilizando quer seja a tecnologiaatual ou a tecnologia desenvolvida após a data de depósito dessa patente, as quais aindaestariam abrangidas pelo escopo das reivindicações definindo a invenção.
Desse modo, muitas modificações e variações podem ser feitas nas técnicas e es-truturas aqui descritas e ilustradas sem se afastar do espírito e escopo da presente inven-ção. Conseqüentemente, deve ser entendido que os métodos e aparelho aqui descritos sãoapenas ilustrativos e não são limitadores do escopo da invenção.

Claims (20)

1. Método de configurar serviços de firewall em uma rede (200) tendo uma plurali-dade de dispositivos, CARACTERIZADO por compreender:determinar uma capacidade de firewall para um primeiro dispositivo (210) na rede(200);determinar uma exigência de serviço de firewall para um segundo dispositivo (216)na rede; econfigurar o primeiro dispositivo (210) para prover serviço de firewall para ele pró-prio (210) e para o segundo dispositivo (216) de acordo com a exigência de serviço de fire-wall do segundo dispositivo (216) e a capacidade de firewall do primeiro dispositivo (210).
2. Método, dS acordo com a reivindicação 1, CARACTERIZADO por compreenderainda configurar um roteador (202) para colocar logicamente o segundo dispositivo (216)atras do primeiro dispositivo (210).
3. Método, de acordo com a reivindicação 1, CARACTERIZADO pelo fato de quedeterminar a capacidade de firewall para o primeiro dispositivo (210) compreende monitorarinformação publicada correspondendo à capacidade de firewall do primeiro dispositivo (210).
4. Método, de acordo com a reivindicação 1, CARACTERIZADO pelo fato de quedeterminar a exigência de serviço de firewall compreende monitorar uma solicitação publi-cada para serviços de firewall a partir do segundo dispositivo (216).
5. Método, de acordo com a reivindicação 4, CARACTERIZADO pelo fato de queuma configuração administrativa requer que o serviço de firewall seja mais restritivo do quea solicitação publicada para serviços de firewall a partir do segundo dispositivo (216).
6. Método, de acordo com a reivindicação 1, CARACTERIZADO pelo fato de quedeterminar a exigência de serviço de firewall compreende selecionar um serviço de firewallpadrão para o segundo dispositivo (216) quando nenhuma informação publicada estiver dis-ponível a partir do segundo dispositivo (216).
7. Método, de acordo com a reivindicação 1, CARACTERIZADO pelo fato de queum dispositivo -a montante (202) define acesso aberto para seu serviço de firewall quandoum dispositivo a jusante (210) tiver uma capacidade de firewall que atende a uma capacida-de de firewall mínima.
8. Rede (200) tendo uma pluralidade de dispositivos adaptados para proteção de fi-rewall configurável, CARACTERIZADA por compreender:um roteador (806) com um lado a montante 804 e um lado a jusante (807), (818)para dirigir o tráfego de dados com dispositivos na rede;um primeiro dispositivo (808) acoplado ao lado a jusante (807) do roteador, o pri-meiro dispositivo (808) tendo a capacidade de fornecer ao menos uma capacidade de fire-wall; eum segundo dispositivo (816) acoplado ao lado a jusante do roteador (818), o se-gundo dispositivo (816) adaptado para publicar uma solicitação para um serviço de firewall,em que o primeiro dispositivo (808) fornece ao menos uma capacidade de firewall responsi-vo à solicitação a partir do segundo dispositivo (816) quando a ao menos uma capacidadede firewall do primeiro dispositivo (808) atende uma exigência da solicitação para o serviçode firewall.
9. Rede, de acordo com a reivindicação 8, CARACTERIZADA pelo fato de que aexigência é implícita na solicitação.
10. Rede, de acordo com a reivindicação 8, CARACTERIZADA pelo fato de que oroteador (806) aceita um sinal para dirigir o tráfego que chega endereçado ao segundo dis-posffivo (8T6) para o primeiro dispositivo (808) para atender à solicitação para o serviço defirewall.
11. Rede, de acordo com a reivindicação 8, CARACTERIZADA pelo fato de que oprimeiro dispositivo (808) compartilha uma conexão de rede (820), (916) com o segundodispositivo (816), (920).
12. Rede, de acordo com a reivindicação 8, CARACTERIZADA pelo fato de que oprimeiro dispositivo (808) publica a capacidade de fornecer ao menos uma capacidade defirewall.
13. Rede, de acordo com a reivindicação 12, CARACTERIZADA pelo fato de que osegundo dispositivo (816) recebe a partir do primeiro dispositivo (808) a capacidade publica-da de fornecer a ao menos uma capacidade de firewall e dirige a solicitação para o serviçode firewall para o primeiro dispositivo (808).
14. Rede, de acordo com a reivindicação 8, CARACTERIZADA por compreenderainda um controlador (812) para monitorar uma capacidade de firewall e uma exigência deserviço de firewall para cada um da pluralidade de dispositivos adaptados para proteção defirewall configurável.
15. Rede, de acordo com a reivindicação 14, CARACTERIZADA pelo fato de que ocontroJador (812) é incorporado em um entre o primeiro dispositivo (808) e o roteador (806).
16. Rede, de acordo com a reivindicação 14, CARACTERIZADA pelo fato de que ocontrolador (812) tem uma função de comunicação para publicar uma exigência de serviçode firewall para cada um da pluralidade de dispositivos.
17. Rede, de acordo com a reivindicação 16, CARACTERIZADA pelo fato de que oprimeiro dispositivo (808) fornece ao menos uma capacidade de firewall para ser mais restri-tiva do que a solicitação de serviço de firewall, a partir do segundo dispositivo (816), quandoa exigência de serviço de firewall publicada é mais restritiva do que a solicitação para o ser-viço de firewall a partir do segundo dispositivo (816).
18. Rede, de acordo com a reivindicação 14, CARACTERIZADA pelo fato de que ocontrolador (812) atribui um serviço de firewall padrão para um terceiro dispositivo (206) quenão publica uma solicitação para serviço de firewall.
19. Computador (808) arranjado e adaptado para prover serviços de firewall paraoutro dispositivo eletrônico (816), CARACTERIZADO por compreender:uma conexão de rede (810) suportando tráfego bidirecional de dados com uma redea montante (804);um gerenciador (812) acoplado à conexão de rede (807) operável para monitorar assolicitações publicadas de serviços de firewall a partir de outro dispositivo eletrônico (816) e,em resposta à solicitação, configurar a conexão de rede (810) para colocar o outro dispositi-vo eletrônico (816) logicamente a jusante do computador (808), e determinar um nível deserVIÇo de firewall para prover ao outro dispositivo eletrônico (816); eum provedor de serviço de firewall (814) acoplado ao gerenciador (812) e à cone-xão de rede (810), em que o provedor de serviço de firewall suporta o serviço de firewallpara ele próprio (808) e provê o serviço de firewall para tráfego de dados endereçado aooutro dispositivo eletrônico (816), de acordo com o nível determinado pelo gerenciador(812).
20. Computador, de acordo com a reivindicação 19, CARACTERIZADO por com-preender ainda uma segunda conexão de rede (916), em que o tráfego de dados na cone-xão de rede endereçado para o outro dispositivo eletrônico (920) é filtrado de acordo com onível de serviço de firewall e encaminhado por intermédio da segunda conexão de rede(916).
BRPI0710933A 2006-05-05 2007-05-07 Implementação de firewall distribuído e controle BRPI0710933A8 (pt)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US11/429,476 US8079073B2 (en) 2006-05-05 2006-05-05 Distributed firewall implementation and control
US11/429.476 2006-05-05
PCT/US2007/011053 WO2008100265A2 (en) 2006-05-05 2007-05-07 Distributed firewall implementation and control

Publications (2)

Publication Number Publication Date
BRPI0710933A2 true BRPI0710933A2 (pt) 2011-05-31
BRPI0710933A8 BRPI0710933A8 (pt) 2017-01-17

Family

ID=38662645

Family Applications (1)

Application Number Title Priority Date Filing Date
BRPI0710933A BRPI0710933A8 (pt) 2006-05-05 2007-05-07 Implementação de firewall distribuído e controle

Country Status (9)

Country Link
US (1) US8079073B2 (pt)
EP (1) EP2016708A4 (pt)
JP (1) JP5031826B2 (pt)
KR (1) KR20090006164A (pt)
CN (1) CN101438534B (pt)
BR (1) BRPI0710933A8 (pt)
MX (1) MX2008013659A (pt)
RU (1) RU2432695C2 (pt)
WO (1) WO2008100265A2 (pt)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8122492B2 (en) * 2006-04-21 2012-02-21 Microsoft Corporation Integration of social network information and network firewalls
US8079073B2 (en) 2006-05-05 2011-12-13 Microsoft Corporation Distributed firewall implementation and control
US8176157B2 (en) * 2006-05-18 2012-05-08 Microsoft Corporation Exceptions grouping
KR20080046512A (ko) * 2006-11-22 2008-05-27 삼성전자주식회사 네트워크 리소스 공유 방법 및 그 장치
RU2460220C2 (ru) * 2007-01-16 2012-08-27 Абсолют Софтвеа Корпорейшн Модуль обеспечения безопасности, включающий вторичный агент, взаимодействующий с главным агентом
US8069230B2 (en) * 2007-10-31 2011-11-29 Affinegy, Inc. System and method of configuring a network
US20100199343A1 (en) * 2009-02-03 2010-08-05 Aruba Networks, Inc. Classification of wired traffic based on vlan
US9264369B2 (en) 2010-12-06 2016-02-16 Qualcomm Incorporated Technique for managing traffic at a router
US8966601B2 (en) * 2011-09-23 2015-02-24 Hewlett-Packard Development Company, L.P. Connection of peripheral devices to wireless networks
EP2854335A1 (en) * 2013-09-30 2015-04-01 British Telecommunications public limited company Data network management
US20150358289A1 (en) * 2014-06-10 2015-12-10 Christopher Michael Ball Preconfigured transparent firewall with stateful inspection for embedded devices
US9912641B2 (en) * 2014-07-03 2018-03-06 Juniper Networks, Inc. System, method, and apparatus for inspecting online communication sessions via polymorphic security proxies
US10623956B2 (en) 2014-08-21 2020-04-14 Hewlett-Packard Development Company, L.P. Request for network credential
CN104202333A (zh) * 2014-09-16 2014-12-10 浪潮电子信息产业股份有限公司 一种分布式防火墙的实现方法
EP3439259B1 (de) * 2017-08-02 2019-11-27 Siemens Aktiengesellschaft Härten eines kommunikationsgerätes
US11184384B2 (en) * 2019-06-13 2021-11-23 Bank Of America Corporation Information technology security assessment model for process flows and associated automated remediation

Family Cites Families (94)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5606668A (en) * 1993-12-15 1997-02-25 Checkpoint Software Technologies Ltd. System for securing inbound and outbound data packet flow in a computer network
US5835726A (en) * 1993-12-15 1998-11-10 Check Point Software Technologies Ltd. System for securing the flow of and selectively modifying packets in a computer network
JPH08129507A (ja) * 1994-10-31 1996-05-21 Ricoh Co Ltd 情報保管管理システム
US6009469A (en) * 1995-09-25 1999-12-28 Netspeak Corporation Graphic user interface for internet telephony application
US6152803A (en) * 1995-10-20 2000-11-28 Boucher; John N. Substrate dicing method
JP3165366B2 (ja) * 1996-02-08 2001-05-14 株式会社日立製作所 ネットワークセキュリティシステム
US6003084A (en) * 1996-09-13 1999-12-14 Secure Computing Corporation Secure network proxy for connecting entities
US7634529B2 (en) * 1996-11-29 2009-12-15 Ellis Iii Frampton E Personal and server computers having microchips with multiple processing units and internal firewalls
US6009475A (en) * 1996-12-23 1999-12-28 International Business Machines Corporation Filter rule validation and administration for firewalls
US5987611A (en) * 1996-12-31 1999-11-16 Zone Labs, Inc. System and methodology for managing internet access on a per application basis for client computers connected to the internet
US5974549A (en) * 1997-03-27 1999-10-26 Soliton Ltd. Security monitor
US6212558B1 (en) * 1997-04-25 2001-04-03 Anand K. Antur Method and apparatus for configuring and managing firewalls and security devices
US5968176A (en) * 1997-05-29 1999-10-19 3Com Corporation Multilayer firewall system
US6154775A (en) * 1997-09-12 2000-11-28 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with dynamic rule processing with the ability to dynamically alter the operations of rules
US6003133A (en) * 1997-11-17 1999-12-14 Motorola, Inc. Data processor with a privileged state firewall and method therefore
US6480959B1 (en) * 1997-12-05 2002-11-12 Jamama, Llc Software system and associated methods for controlling the use of computer programs
US6088804A (en) * 1998-01-12 2000-07-11 Motorola, Inc. Adaptive system and method for responding to computer network security attacks
US6131163A (en) * 1998-02-17 2000-10-10 Cisco Technology, Inc. Network gateway mechanism having a protocol stack proxy
US6253321B1 (en) * 1998-06-19 2001-06-26 Ssh Communications Security Ltd. Method and arrangement for implementing IPSEC policy management using filter code
US6219706B1 (en) * 1998-10-16 2001-04-17 Cisco Technology, Inc. Access control for networks
US6149585A (en) * 1998-10-28 2000-11-21 Sage Health Management Solutions, Inc. Diagnostic enhancement method and apparatus
US6466976B1 (en) * 1998-12-03 2002-10-15 Nortel Networks Limited System and method for providing desired service policies to subscribers accessing the internet
US6611875B1 (en) * 1998-12-31 2003-08-26 Pmc-Sierra, Inc. Control system for high speed rule processors
US6631466B1 (en) * 1998-12-31 2003-10-07 Pmc-Sierra Parallel string pattern searches in respective ones of array of nanocomputers
CA2296989C (en) 1999-01-29 2005-10-25 Lucent Technologies Inc. A method and apparatus for managing a firewall
US6643776B1 (en) * 1999-01-29 2003-11-04 International Business Machines Corporation System and method for dynamic macro placement of IP connection filters
US6636898B1 (en) 1999-01-29 2003-10-21 International Business Machines Corporation System and method for central management of connections in a virtual private network
JP3314749B2 (ja) * 1999-02-17 2002-08-12 株式会社デンソー 電子制御装置
US6721890B1 (en) * 1999-05-04 2004-04-13 Microsoft Corporation Application specific distributed firewall
US6792615B1 (en) * 1999-05-19 2004-09-14 New Horizons Telecasting, Inc. Encapsulated, streaming media automation and distribution system
US6678835B1 (en) * 1999-06-10 2004-01-13 Alcatel State transition protocol for high availability units
US6347376B1 (en) * 1999-08-12 2002-02-12 International Business Machines Corp. Security rule database searching in a network security environment
GB2364477B (en) * 2000-01-18 2003-11-05 Ericsson Telefon Ab L M Virtual private networks
US7016980B1 (en) 2000-01-18 2006-03-21 Lucent Technologies Inc. Method and apparatus for analyzing one or more firewalls
US6963900B2 (en) * 2000-02-29 2005-11-08 John Edward Boyd Computer-based networking service and method and system for performing the same
US6496935B1 (en) * 2000-03-02 2002-12-17 Check Point Software Technologies Ltd System, device and method for rapid packet filtering and processing
GB2365256A (en) * 2000-07-28 2002-02-13 Ridgeway Systems & Software Lt Audio-video telephony with port address translation
GB2366163A (en) * 2000-08-14 2002-02-27 Global Knowledge Network Ltd Inter-network connection through intermediary server
US7120931B1 (en) * 2000-08-31 2006-10-10 Cisco Technology, Inc. System and method for generating filters based on analyzed flow data
RU2214623C2 (ru) * 2000-12-29 2003-10-20 Купреенко Сергей Витальевич Вычислительная сеть с межсетевым экраном и межсетевой экран
US6931529B2 (en) * 2001-01-05 2005-08-16 International Business Machines Corporation Establishing consistent, end-to-end protection for a user datagram
US7280540B2 (en) * 2001-01-09 2007-10-09 Stonesoft Oy Processing of data packets within a network element cluster
AU2002234258A1 (en) * 2001-01-22 2002-07-30 Sun Microsystems, Inc. Peer-to-peer network computing platform
US7290145B2 (en) * 2001-01-26 2007-10-30 Bridicum A/S System for providing services and virtual programming interface
JP2005503047A (ja) * 2001-02-06 2005-01-27 エン ガルデ システムズ、インコーポレイテッド 安全なネットワークを供給するための装置と方法
US6941474B2 (en) * 2001-02-20 2005-09-06 International Business Machines Corporation Firewall subscription service system and method
US6697810B2 (en) * 2001-04-19 2004-02-24 Vigilance, Inc. Security system for event monitoring, detection and notification system
US7024460B2 (en) * 2001-07-31 2006-04-04 Bytemobile, Inc. Service-based compression of content within a network communication system
US6938155B2 (en) * 2001-05-24 2005-08-30 International Business Machines Corporation System and method for multiple virtual private network authentication schemes
US20030005328A1 (en) * 2001-06-29 2003-01-02 Karanvir Grewal Dynamic configuration of IPSec tunnels
US6513122B1 (en) * 2001-06-29 2003-01-28 Networks Associates Technology, Inc. Secure gateway for analyzing textual content to identify a harmful impact on computer systems with known vulnerabilities
US7016901B2 (en) * 2001-07-31 2006-03-21 Ideal Scanners & Systems, Inc. System and method for distributed database management of graphic information in electronic form
US20030028806A1 (en) * 2001-08-06 2003-02-06 Rangaprasad Govindarajan Dynamic allocation of ports at firewall
US20030084331A1 (en) * 2001-10-26 2003-05-01 Microsoft Corporation Method for providing user authentication/authorization and distributed firewall utilizing same
JP2003140994A (ja) * 2001-11-01 2003-05-16 Hitachi Ltd ファイアウォール計算機システム
US20030110379A1 (en) * 2001-12-07 2003-06-12 Tatu Ylonen Application gateway system, and method for maintaining security in a packet-switched information network
US7342876B2 (en) * 2001-12-20 2008-03-11 Sri International Interference mitigation and adaptive routing in wireless ad-hoc packet-switched networks
US6845452B1 (en) * 2002-03-12 2005-01-18 Reactivity, Inc. Providing security for external access to a protected computer network
US20110099621A1 (en) 2002-04-22 2011-04-28 Nicholas Lizarraga Process for monitoring, filtering and caching internet connections
CN1160899C (zh) * 2002-06-11 2004-08-04 华中科技大学 分布式网络动态安全保护系统
US7120930B2 (en) * 2002-06-13 2006-10-10 Nvidia Corporation Method and apparatus for control of security protocol negotiation
US7146638B2 (en) * 2002-06-27 2006-12-05 International Business Machines Corporation Firewall protocol providing additional information
NO317294B1 (no) * 2002-07-11 2004-10-04 Birdstep Tech Asa Sømløs Ip-mobilitet på tvers av sikkerhetsgrenser
FI20021407A7 (fi) 2002-07-24 2004-01-25 Tycho Tech Oy Tietoliikenteen suodattaminen
US20040148439A1 (en) * 2003-01-14 2004-07-29 Motorola, Inc. Apparatus and method for peer to peer network connectivty
US7213235B2 (en) * 2003-02-21 2007-05-01 Sap Ag Method for using a business model user interface
US7200860B2 (en) * 2003-03-05 2007-04-03 Dell Products L.P. Method and system for secure network service
JP4352728B2 (ja) * 2003-03-11 2009-10-28 株式会社日立製作所 サーバ装置、端末制御装置及び端末認証方法
FR2852754B1 (fr) * 2003-03-20 2005-07-08 At & T Corp Systeme et methode de protection d'un reseau de transmission ip contre les attaques de deni de service
US7260840B2 (en) * 2003-06-06 2007-08-21 Microsoft Corporation Multi-layer based method for implementing network firewalls
US7308711B2 (en) * 2003-06-06 2007-12-11 Microsoft Corporation Method and framework for integrating a plurality of network policies
US7418486B2 (en) 2003-06-06 2008-08-26 Microsoft Corporation Automatic discovery and configuration of external network devices
US7409707B2 (en) * 2003-06-06 2008-08-05 Microsoft Corporation Method for managing network filter based policies
US7509673B2 (en) * 2003-06-06 2009-03-24 Microsoft Corporation Multi-layered firewall architecture
US7559082B2 (en) * 2003-06-25 2009-07-07 Microsoft Corporation Method of assisting an application to traverse a firewall
US7237260B2 (en) * 2003-07-08 2007-06-26 Matsushita Electric Industrial Co., Ltd. Method for dynamic selection for secure and firewall friendly communication protocols between multiple distributed modules
US20050079858A1 (en) * 2003-10-09 2005-04-14 Rosen Eric C. Method and apparatus for restricting media communication in a communication network
US20050091068A1 (en) * 2003-10-23 2005-04-28 Sundaresan Ramamoorthy Smart translation of generic configurations
US20050138380A1 (en) * 2003-12-22 2005-06-23 Fedronic Dominique L.J. Entry control system
US20070174031A1 (en) * 2003-12-23 2007-07-26 Roman Levenshteyn Method and device for taking an access control policy decision
US8195835B2 (en) * 2004-01-28 2012-06-05 Alcatel Lucent Endpoint address change in a packet network
JP2005217757A (ja) 2004-01-29 2005-08-11 Oki Techno Creation:Kk ファイアウオール管理システム、ファイアウオール管理方法、およびファイアウオール管理プログラム
US20050182967A1 (en) * 2004-02-13 2005-08-18 Microsoft Corporation Network security device and method for protecting a computing device in a networked environment
US7610621B2 (en) * 2004-03-10 2009-10-27 Eric White System and method for behavior-based firewall modeling
US20050229246A1 (en) * 2004-03-31 2005-10-13 Priya Rajagopal Programmable context aware firewall with integrated intrusion detection system
US7567560B1 (en) * 2004-04-28 2009-07-28 Cisco Technology, Inc. System and method for securing a communication network
CA2467603A1 (en) * 2004-05-18 2005-11-18 Ibm Canada Limited - Ibm Canada Limitee Visualization firewall rules in an auto provisioning environment
JP4341517B2 (ja) * 2004-06-21 2009-10-07 日本電気株式会社 セキュリティポリシー管理システム、セキュリティポリシー管理方法およびプログラム
US8265060B2 (en) * 2004-07-15 2012-09-11 Qualcomm, Incorporated Packet data filtering
US7489781B2 (en) * 2004-10-29 2009-02-10 Research In Motion Limited Secure peer-to-peer messaging invitation architecture
US7966654B2 (en) * 2005-11-22 2011-06-21 Fortinet, Inc. Computerized system and method for policy-based content filtering
US8122492B2 (en) * 2006-04-21 2012-02-21 Microsoft Corporation Integration of social network information and network firewalls
US8079073B2 (en) 2006-05-05 2011-12-13 Microsoft Corporation Distributed firewall implementation and control
US8176157B2 (en) 2006-05-18 2012-05-08 Microsoft Corporation Exceptions grouping

Also Published As

Publication number Publication date
EP2016708A4 (en) 2009-06-03
MX2008013659A (es) 2008-11-04
WO2008100265A8 (en) 2009-06-25
RU2432695C2 (ru) 2011-10-27
BRPI0710933A8 (pt) 2017-01-17
RU2008143609A (ru) 2010-05-10
EP2016708A2 (en) 2009-01-21
CN101438534B (zh) 2013-04-10
JP2009536405A (ja) 2009-10-08
US8079073B2 (en) 2011-12-13
CN101438534A (zh) 2009-05-20
WO2008100265A3 (en) 2008-12-18
WO2008100265A2 (en) 2008-08-21
JP5031826B2 (ja) 2012-09-26
KR20090006164A (ko) 2009-01-14
US20070261111A1 (en) 2007-11-08

Similar Documents

Publication Publication Date Title
BRPI0710933A2 (pt) implementação de firewall distribuìdo e controle
CN112422481B (zh) 网络威胁的诱捕方法、系统和转发设备
US7978714B2 (en) Methods and systems for securing access to private networks using encryption and authentication technology built in to peripheral devices
US7792990B2 (en) Remote client remediation
Guha et al. An end-middle-end approach to connection establishment
US20110154477A1 (en) Dynamic content-based routing
US11792718B2 (en) Authentication chaining in micro branch deployment
CN107277101B (zh) 网络方法、网络装置、网络系统及存储介质
US12177313B2 (en) Captive portal redirection by devices with no internet protocol connectivity in the host virtual local area network
Yackoski et al. Applying self-shielding dynamics to the network architecture
ENISA About ENISA
Wang et al. Novel mitm attacks on security protocols in sdn: A feasibility study
JP6007644B2 (ja) 通信装置、プログラムおよびルーティング方法
Rietz et al. An SDN‐Based Approach to Ward Off LAN Attacks
Shah et al. Security Issues in Next Generation IP and Migration Networks
US20170005984A1 (en) Scalable access to firewall-protected resources
Kaur et al. Building stateful firewall over software defined networking
US20050216598A1 (en) Network access system and associated methods
Hicks Plan for always on vpn
Ballmann Network 4 Newbies
Hamdan Cisco ASA firewall commands line technical guide
Alzubaidi et al. Enhance the security and performance of IP over ethernet networks by reduction the naming System Design
Henderson Understating the Ramifications of IPv6
Bhagwat et al. Denial of Service Mitigation Method
Berko An Analysis of the Risk Exposure of Adopting IPV6 in Enterprise Networks

Legal Events

Date Code Title Description
B25A Requested transfer of rights approved

Owner name: MICROSOFT TECHNOLOGY LICENSING, LLC (US)

B15K Others concerning applications: alteration of classification

Ipc: H04L 29/06 (2006.01)

B06F Objections, documents and/or translations needed after an examination request according [chapter 6.6 patent gazette]
B06T Formal requirements before examination [chapter 6.20 patent gazette]
B11E Dismissal acc. art. 34 of ipl - requirements for examination incomplete
B11T Dismissal of application maintained [chapter 11.20 patent gazette]