[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

KR20020027471A - Secure network switch - Google Patents

Secure network switch Download PDF

Info

Publication number
KR20020027471A
KR20020027471A KR1020027000163A KR20027000163A KR20020027471A KR 20020027471 A KR20020027471 A KR 20020027471A KR 1020027000163 A KR1020027000163 A KR 1020027000163A KR 20027000163 A KR20027000163 A KR 20027000163A KR 20020027471 A KR20020027471 A KR 20020027471A
Authority
KR
South Korea
Prior art keywords
packet
network
access
packets
port
Prior art date
Application number
KR1020027000163A
Other languages
Korean (ko)
Inventor
존 존슨
켄 오킨
윌리엄 라두첼
Original Assignee
케네쓰 올센
선 마이크로시스템즈, 인코포레이티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 케네쓰 올센, 선 마이크로시스템즈, 인코포레이티드 filed Critical 케네쓰 올센
Publication of KR20020027471A publication Critical patent/KR20020027471A/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • H04L63/0218Distributed architectures, e.g. distributed firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/35Switches specially adapted for specific applications
    • H04L49/351Switches specially adapted for specific applications for local area network [LAN], e.g. Ethernet switches
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/25Routing or path finding in a switch fabric

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

본 발명은 네트워크 내부에서 패킷의 흐름을 제어하기 위한 수단을 가진 보안 네트워크에 관한 것이다. 일례로, 본 네트워크는 랜 스위치에서 함께 결합된 복수의 네트워크 장치를 포함한다. 각 네트워크 장치는 랜의 포트에 물리적으로 연결된다. 각 포트는 그 포트에 도착하는 패킷의 적어도 일부를 수신하며, 그 패킷이 그 포트를 통과하도록 인가되고 목적지 어드레스로 발송될지 결정한다. 필터들은 패턴 매칭을 이용하거나 또는 패킷들이 액세스 가능한 액세스 규칙들을 만족하는 결정하기 위한 다른 기술을 이용할 수 있다. 액세스 규칙들은 시스템 관리자에 의하여 결정되며 필터에 의하여 수행되기 위해 랜 스위치로 다운로드된다. 각 필터는 상이한 액세스 규칙 세트를 수행할 수 있으며, 선택된 네트워크 장치를 위한 액세스 레벨을 설정하고 특정 장치를 고립시키기 위해 관리자에 의해 그 필터들이 이용될 수 있다.The present invention relates to a secure network having means for controlling the flow of packets within the network. In one example, the network includes a plurality of network devices coupled together in a LAN switch. Each network device is physically connected to a port on the LAN. Each port receives at least a portion of the packets arriving at that port and determines whether the packet is authorized to pass through that port and sent to the destination address. The filters may use pattern matching or other technique to determine that the packets meet the accessible rules of access. Access rules are determined by the system administrator and downloaded to the LAN switch for execution by the filter. Each filter may perform a different set of access rules and the filters may be used by an administrator to set an access level for a selected network device and to isolate a particular device.

Description

보안 네트워크 스위치{SECURE NETWORK SWITCH}Secure Network Switch {SECURE NETWORK SWITCH}

컴퓨터 기술의 급속한 발달과 본 기술비용의 감소로 인하여, 컴퓨터 및 컴퓨터 네트워크의 광범위한 이용이 가능하게 되었다. 마찬가지로, 조직들은 그들의 네트워크 외부의 컴퓨터들과의 통신에 더욱 의존하고 있다. 예를 들어, 조직들은 연구, 이메일 송신 및 서로 다른 장소 사이의 화일 전송 등을 수행하기 위하여 월드와이드웹(World Wide Web)에 액세스할 필요가 있다. 마찬가지로, 마케팅 활동, 정보 분배 또는 회사와 잠재적 고객 사이의 만남을 이루기 위하여 웹 페이지가 이용될 수 있다. 이와 같이, 조직 소유의 네트워크가 외부 컴퓨터 시스템 및 네트워크로의 노출이 보다 증가됨으로 인하여, 보안이 더욱 중대한 관심거리로 되었다.The rapid development of computer technology and the reduction of the cost of this technology have enabled the widespread use of computers and computer networks. Similarly, organizations are more dependent on communicating with computers outside their network. For example, organizations need access to the World Wide Web to conduct research, send e-mail, and transfer files between different locations. Similarly, web pages can be used to accomplish marketing activities, information distribution, or meetings between companies and potential customers. As such, more and more exposure of organization-owned networks to external computer systems and networks has made security a greater concern.

보안에 대한 관심이 증가함에 따라, 회사들로서는 그들의 내부 네트워크와 다른, 외부의 네트워크와의 사이의 방화벽(firewall)을 설치하는 것이 더욱 일반적으로 되었다. 사실, 방화벽은 일반적으로 인터넷에 연결되는 모든 회사의 네트워크에서 필수적으로 고려된다. 방화벽은 회사 또는 기업에 이용되는 네트워크와 외부의 네트워크와의 사이의 방어벽으로서 작용한다. 방화벽은 모든 데이터가 내부 네트워크로 들어가기 전에 반드시 통과해야 하는 검사점으로서 작용한다. 데이터가 방화벽에 도달할 때, 데이터는 내부 네트워크로의 액세스가 허용될 수 있을지에 관한 하나 이상의 규칙에 만족하는지를 판정하기 위해 검사된다. 이러한 규칙들은 시스템 관리자에 의하여 방화벽으로 프로그램된다. 방화벽은 수많은 인가되지 않은 액세스 또는 네트워크 외부로부터 시도될 수 있는 공격을 방지할 수 있는 편리한 방법이다. 방화벽은 일반적으로 기업 네트워크와 외부 네트워크와의 사이의 유일한 통신선에서 수행된다. 따라서, 시스템 관리자는 중앙점(central point)을 가지는데, 이곳에서 그 또는 그녀는 유입되는 패킷을 검사할 수 있고, 액세스 규칙을 강화하고, 비인가된 활동을 모니터링할 수 있다.As security concerns have increased, it has become more common for companies to set up firewalls between their internal networks and other, external networks. In fact, firewalls are generally considered an essential part of any company's network that connects to the Internet. The firewall acts as a barrier between the network used by the company or the enterprise and the external network. The firewall acts as a checkpoint that all data must pass through before entering the internal network. When the data reaches the firewall, the data is checked to determine if it satisfies one or more rules as to whether access to the internal network may be allowed. These rules are programmed into the firewall by the system administrator. Firewalls are a convenient way to prevent numerous unauthorized accesses or attacks that could be attempted from outside your network. Firewalls are generally implemented on the only line of communication between the corporate network and the external network. Thus, a system administrator has a central point, where he or she can inspect incoming packets, enforce access rules, and monitor unauthorized activity.

방화벽들은 많은 보안상의 이익을 제공하지만, 그들은 또한 단점도 가지고 있다. 그러한 단점 중의 하나는, 일단 비인가된 액세스가 시스템으로 들어오면, 방화벽에 의하여는 아무 것도 할 수 없고, 그 액세스로 야기될 수 있는 손상을 받을 수 밖에 없다. 또한, 방화벽은 단순히 그 방화벽을 우회하는 액세스는 방지할 수 없다. 예를 들어, 기업 네트워크 사용자가 그 네트워크의 밖으로 외부 시스템으로 직접 다이얼할 수 있도록 허용되면, 이 연결을 통하여 통과하는 데이터는 검사되지 않으며 방화벽 액세스 규칙에 따르지 않게 된다. 또한, 방화벽은 강력하지 않아서 네트워크 사용자가 외부 소스로부터 바이러스에 감염된 플로피 디스크를 가져와 네트워크에 로딩하는 것을 방지할 수 없다. 바이러스가 네트워크 상의 하나의 컴퓨터에 감염되면, 그 바이러스는 방화벽을 통과하지 않고도 그 네트워크의 나머지 영역으로 확산할 수 있다. 더욱이, 방화벽은 적대적 기계가 그 방화벽 내부로 침입함으로 인하여 발생할 수 있는 손상을 방지할 수 없다.Firewalls offer many security benefits, but they also have disadvantages. One such drawback is that once unauthorized access enters the system, nothing can be done by the firewall, and the damage that can result from that access is inevitable. Also, a firewall cannot simply prevent access that bypasses the firewall. For example, if a corporate network user is allowed to dial out of the network directly to an external system, the data passing through this connection will not be examined and will not comply with firewall access rules. In addition, firewalls are not powerful enough to prevent network users from getting virus-infected floppy disks from external sources and loading them onto the network. If a virus infects a computer on a network, the virus can spread to the rest of the network without passing through a firewall. Moreover, the firewall cannot prevent the damage that could be caused by hostile machines entering into the firewall.

본 발명은 일반적으로 컴퓨터 네트워크에 관한 것으로서, 보다 상세하게는 개인용 컴퓨터와 네트워크의 나머지 컴퓨터와의 사이의 액세스를 제어하기 위하여 네트워크 내에서 랜 스위치를 통하여 전달되는 데이터 패킷을 필터링하는 수단에 관한 것이다.FIELD OF THE INVENTION The present invention relates generally to computer networks, and more particularly to means for filtering data packets transmitted through a LAN switch in a network to control access between a personal computer and the rest of the network.

도 1은 본 발명의 일례에서 컴퓨터 네트워크를 나타내는 블록 다이어그램,1 is a block diagram illustrating a computer network in one example of the present invention;

도 2는 패킷이 소스 컴퓨터로부터 목적지 컴퓨터로 횡단할 수 있는 경로를 나타내는 흐름도,2 is a flow chart showing a path that a packet can traverse from a source computer to a destination computer;

도 3a는 본 발명의 일례에서 패킷-필터링 랜 스위치의 한 포트의 기능적 블록도,3A is a functional block diagram of one port of a packet-filtering LAN switch in one example of the present invention;

도 3b는 본 발명의 다른 실시예에서 패킷-필터링 랜 스위치의 한 포트의 기능적 블록도,3B is a functional block diagram of one port of a packet-filtering LAN switch in another embodiment of the present invention;

도 3c는 본 발명의 다른 실시예에서 패킷-필터링 랜 스위치의 한 포트의 기능적 블록도,3C is a functional block diagram of one port of a packet-filtering LAN switch in another embodiment of the present invention;

도 3d는 본 발명의 다른 실시예에서 CPU와 패킷-필터링 랜 스위치의 복수의 포트의 블록도,3D is a block diagram of a plurality of ports of a CPU and a packet-filtering LAN switch in another embodiment of the present invention;

도 4는 본 발명의 일례에서 랜 스위치의 동작을 나타내는 흐름도이다.4 is a flowchart illustrating the operation of a LAN switch in an example of the present invention.

본 발명이 다양한 수정 및 변경된 형태로 바뀔 수 있지만, 도면에서 예제에 의해 그 특정 실시예가 나타내어지며 상세히 설명될 것이다. 그러나, 도면 및 그상세한 설명은 본 발명을 나타낸 특정 형태에 국한하고자 하는 것이 아니며, 그와는 반대로, 첨부된 특허청구범위에 의해 정의되는 바와 같이 본 발명의 기술적 사상 및 범위에 해당하는 모든 수정, 등가 및 변경을 포함하고자 하는 것이다.While the invention is susceptible to various modifications and alternative forms, specific embodiments thereof are shown by way of example in the drawings and will be described in detail. However, the drawings and detailed description are not intended to be limited to the specific forms of the invention, on the contrary, as such, all modifications falling within the spirit and scope of the invention, as defined by the appended claims, It is intended to include equivalents and modifications.

위에서 설명된 하나 이상의 문제점들은 본 발명의 다양한 실시예에 의하여 해결될 수 있다. 본 발명은 기업 컴퓨터 네트워크 내부에서 그 네트워크 내의 데이터 패킷의 흐름을 제어하는 수단을 실행한다. ("기업"이라 함은 여기에서 하나의 업체 또는 기업에서 작동하는 네트워크를 의미한다 - 이것은 기준점을 지시하고자 하는 것이며 어느 특정 형태의 네트워크를 지시하고자 지정된 것은 아니다.) 이러한 수단들은, 패킷의 흐름을 기업 네트워크와 인터넷과 같은 외부 네트워크와의 사이에서만 제어하는 방화벽에 대해서, 독립적으로 수행된다. 따라서, 비인가된 패킷이 방화벽을 물리치거나 어느 정도 우회하더라도, 본 발명의 덕택으로 비인가된 패킷들이 기업 네트워크 상의 장치에 영향을 주는 것이 방지된다.One or more of the problems described above may be solved by various embodiments of the present invention. The present invention implements means for controlling the flow of data packets within a network within an enterprise computer network. ("Enterprise" means here a network operating at a company or enterprise-this is intended to point to a reference point and not to point to any particular type of network.) It is done independently for firewalls that only control between corporate networks and external networks such as the Internet. Thus, even if an unauthorized packet defeats or to some extent bypasses the firewall, thanks to the present invention, unauthorized packets are prevented from affecting the device on the enterprise network.

일례로, 여러 컴퓨터들이 랜(LAN;근거리정보통신망) 스위치에 의하여 네트워크 내에서 결합된다. (달리 특정하지 않는 한, 여기서 네트워크와 연관하여 사용되는 용어 "컴퓨터"는, 예컨대 워크스테이션, 프린터, 화일 서버, 모뎀 서버, 라우터 등 네트워크에 연결될 수 있고 패킷을 전송 및/또는 수신하도록 구성된 어떠한 장치라도 될 수 있다. 마찬가지로, 용어 "랜 스위치(LAN switch)"는 스위치,라우터 및 허브와 같이 네트워크 상의 장치를 위한 어떠한 유형의 인터페이스 장치라도 될 수 있다.) 랜 스위치는 여러 물리적 포트를 가지며 각각의 컴퓨터는 그 포트중 하나에 연결된다. 패킷 필터(packet filter)는 각각의 포트와 관련되어 있다. 패킷 필터는 관련된 컴퓨터에 대해 왕복하는 포트를 거쳐 통과하도록 허용되거나 허용되지 않는 패킷의 유형을 정의한다. 포트 중의 하나에 의해 패킷이 수신되면, 그 패킷이 목적지인 컴퓨터로 전송되어야 할 지 또는 어떤 다른 조치를 취해야 할지를 (예컨대, 패킷-매칭에 의하여) 결정하기 위하여, 연관되는 필터가 이용된다. 이 다른 조치는 패킷을 버리는 것, 패킷을 다른 포트로 돌리는 것, 또는 단순히 시스템 관리자에게 그 패킷을 알리는 것으로 구성될 수 있다. 그렇게 함으로써, 포트는 그들의 각각의 라인 및 그에 결합된 컴퓨터로의 액세스를 물리적으로 제어하는데 이용될 수 있다.In one example, several computers are coupled within a network by a local area network (LAN) switch. (Unless otherwise specified, the term "computer" as used herein in connection with a network, for example, is any device that can be connected to the network, such as a workstation, printer, file server, modem server, router, etc., and configured to transmit and / or receive packets. Likewise, the term "LAN switch" can be any type of interface device for devices on a network, such as switches, routers, and hubs.) A LAN switch has several physical ports and each The computer is connected to one of those ports. Packet filters are associated with each port. Packet filters define the types of packets that are allowed or disallowed to pass through a round-trip port for the computer involved. When a packet is received by one of the ports, an associated filter is used to determine (eg, by packet-matching) whether the packet should be sent to the destination computer or what other action should be taken. This other action could consist of dropping the packet, redirecting the packet to another port, or simply notifying the system administrator of the packet. In so doing, the ports can be used to physically control access to their respective lines and computers coupled thereto.

일례로, 패킷 필터는 패킷의 정규적 처리(예컨대, 어드레싱(주소지정))와 병렬로 패킷을 스캔한다. 이 정규적 처리는 일반적으로 패킷을 위한 목적지 어드레스를 결정하는 것으로 구성된다. 필터는 패킷이 인가되는지 결정하기 위하여 패킷 매칭(패킷의 특정 필드를 소정의 패턴과 비교하는 것)을 수행할 수 있다. 패킷이 비인가되는 것으로 판정되면, 필터는 랜 스위치에 신호를 보내어 그 패킷이 랜 스위치를 지나치기 전에 그 패킷을 버리거나 재발송하도록 할 수 있다. 정규적 처리와 병렬로 패킷 필터링을 수행함으로써, 네트워크의 부담 및 지연이 최소화된다.In one example, a packet filter scans a packet in parallel with regular processing of the packet (eg, addressing). This regular processing usually consists of determining a destination address for the packet. The filter may perform packet matching (compare a particular field of the packet with a predetermined pattern) to determine if the packet is applied. If it is determined that the packet is not authorized, the filter can signal the LAN switch to drop or resend the packet before it passes the LAN switch. By performing packet filtering in parallel with regular processing, the burden and delay of the network is minimized.

일례로, 각 패킷 필터는 랜 스위치 상에서 동작하는 소프트웨어에 의해 프로그램된다. 네트워크 관리자는 각각의 패킷 필터를 위한 승인을 다운로드할 수 있다. 그렇게 함으로써, 네트워크 관리자는 방화벽에서와 마찬가지의 방법으로 각각의 포트에서 액세스를 제어할 수 있다. 그러나, 패킷들은 각 포트에서 독립적으로필터링되기 때문에, 네트워크 관리자는 각 컴퓨터를 위한 액세스 규칙을 구성할 수 있다. 그렇게 함으로써, 네트워크 관리자는 다른 클래스의 사용자를 설정할 수 있거나 개인용 컴퓨터를 네트워크의 나머지 영역으로부터 분리시킬 수도 있다.In one example, each packet filter is programmed by software running on a LAN switch. The network administrator can download the acknowledgment for each packet filter. By doing so, the network administrator can control access on each port in the same way as in a firewall. However, because packets are filtered independently at each port, the network administrator can configure access rules for each computer. By doing so, the network administrator can set up different classes of users or separate the personal computer from the rest of the network.

본 발명의 다른 목적과 이익은 다음의 상세한 설명을 읽고 첨부된 도면을 참조하면 분명하게 될 것이다.Other objects and advantages of the present invention will become apparent from the following detailed description and the accompanying drawings.

본 발명의 일례가 아래에 상세히 설명된다. 이 실시예는 상호연결된 컴퓨터에서 수행된다. 각 컴퓨터는 랜 스위치를 경유하여 네트워크에 연결된다. (여기서 사용되는 "랜 스위치"는 패킷을 네트워크 내의 컴퓨터로 포워딩시키는 모든 장치를 말한다.) 랜 스위치는 컴퓨터가 연결된 수많은 포트를 가진다. 패킷이 네트워크 상의 한 컴퓨터로 보내어질 때, 그 패킷은 먼저 랜 스위치로 보내어진다. 랜 스위치는 그 패킷을 처리하고 그것이 정규적으로 발송된 것이면 다음에 그 패킷이 어디로 보내어져야 할지 결정한다.An example of the present invention is described in detail below. This embodiment is performed in an interconnected computer. Each computer is connected to the network via a LAN switch. ("LAN switch" as used herein refers to any device that forwards packets to computers in a network.) LAN switches have a number of ports to which computers are connected. When a packet is sent to a computer on the network, the packet is first sent to the LAN switch. The LAN switch processes the packet and, if it is sent regularly, decides where the packet should be sent next.

그러나, 이 정규적 발송에 부가하여, 랜 스위치는 패킷이 정규적으로 발송되어야 하는지를 결정하기 위하여 그 패킷을 검사할 필요가 있다. 따라서, 랜 스위치는 각 포트에서 필터를 포함한다. 필터는 패킷 내의 특정 상태의 비트에 대항하도록 적용된다. 특정한 컴퓨터나 컴퓨터 그룹으로 향하는 패킷에서 특정 상태가 허용되는 한편, 다른 것들은 그렇지 않다. 만약 그 비트가 허용되는 상태이면, 패킷은 정규적 방식으로 목적지 컴퓨터로 발송된다. 만약 그 비트가 허용되지 않는 상태이면, 패킷은 정규적 방식으로 발송되지 않는다. 예를 들어, 그것은 단순히 버려지거나, 또는 다른 컴퓨터로 재발송될 수 있다. 다른 예로서, 그 패킷이 목적지 컴퓨터로 발송될 수는 있지만 시스템 관리자가 그 패킷을 통지받을 수 있다.However, in addition to this regular delivery, the LAN switch needs to examine the packet to determine if the packet should be sent regularly. Thus, the LAN switch includes a filter at each port. The filter is applied to counter bits of a particular state in the packet. Certain states are allowed in packets destined for a particular computer or group of computers, while others are not. If the bit is allowed, the packet is sent to the destination computer in a regular way. If the bit is not allowed, the packet is not sent in the normal way. For example, it can simply be discarded or resent to another computer. As another example, the packet may be sent to a destination computer but a system administrator may be notified of the packet.

일례로, 랜 스위치는 필터를 제어하는 제어 소프트웨어를 실행한다. 시스템 관리자는 그 제어 소프트웨어를 이용하여 각 컴퓨터를 위한 필터를 구성한다. 상이한 컴퓨터들에 대해 상이한 액세스 규칙이 있도록, 필터들은 개별적으로 구성될 수 있다. 그렇게 함으로써, 시스템 관리자는 네트워크 자원으로의 상이한 레벨의 액세스를 가지는 컴퓨터 그룹을 설립할 수 있고, 특정 컴퓨터에 대해 특정 동작을 규제하고, 또는 개별적인 컴퓨터를 특히 그 컴퓨터들에 관련된 문제를 처리하기 위하여 분리시킬 수 있다.In one example, the LAN switch executes control software to control the filter. The system administrator uses the control software to configure a filter for each computer. The filters can be configured individually so that there are different access rules for different computers. By doing so, system administrators can set up groups of computers with different levels of access to network resources, regulate specific operations for specific computers, or separate individual computers to address issues specifically related to those computers. You can.

도 1은 컴퓨터 네트워크(10)을 나타내는 블록도이다. 네트워크(10)는 여러 컴퓨터(12-14)를 가지고 있으며, 각 컴퓨터는 랜 스위치(11)에 결합되어 있다. 컴퓨터는 포트(15-17)을 통하여 랜 스위치에 결합된다. 네트워크(10)는 또한 컴퓨터(22,23)를 포함하며, 이것들은 제2 랜스위치(21) 및 관련된 포트(24-26)을 경유하여 랜 스위치(11)에 결합된다. 네트워크(10)는 랜 스위치(11), 포트(19) 및 방화벽(20)을 통하여 외부 네트워크에 결합되어 있다. 많은 경우에, 외부 네트워크는 인터넷이기 마련이다. 많은 상이한 유형의 네트워크 장치가 본 기술분야의 숙련자에 알려져 있으며 그러한 장치들이 컴퓨터(12-14, 22-23)에 부가되거나 그를 대체하여 네트워크에 결합될 수 있다. 더욱이, 네트워크(10)는 많은 잠재적인 네트워크 구성이며 본 발명은 이러한 잠재적 구성의 어느 것에서도 수행될 수 있음을 고려해야 한다. 네트워크(10)는 그 자체가 여러 네트워크를 포함할 수 있다. 예를 들어, 도 1은 2개의 서브-네트워크로 구성된 네트워크를 나타내고 있는 바, 1개는 랜 스위치(11)와 컴퓨터(12-14)에 의해 형성되며, 다른 것은 랜 스위치(21)와 컴퓨터(22-23)에 의해 형성된다.1 is a block diagram illustrating a computer network 10. Network 10 has several computers 12-14, each of which is coupled to a LAN switch 11. The computer is coupled to the LAN switch through ports 15-17. Network 10 also includes computers 22, 23, which are coupled to LAN switch 11 via second LAN switch 21 and associated ports 24-26. The network 10 is coupled to an external network through a LAN switch 11, a port 19 and a firewall 20. In many cases, the external network is the Internet. Many different types of network devices are known to those skilled in the art and such devices may be coupled to the network in addition to or in place of the computers 12-14, 22-23. Moreover, it should be considered that network 10 is a number of potential network configurations and that the present invention may be implemented in any of these potential configurations. The network 10 may itself include several networks. For example, FIG. 1 shows a network composed of two sub-networks, one of which is formed by the LAN switch 11 and the computer 12-14, and the other is the LAN switch 21 and the computer ( 22-23).

컴퓨터(12-14)는 서로 통신할 수 있고, 패킷 스위칭 프로토콜을 이용하여 다른 네트워크 상의 컴퓨터와 통신할 수 있다. (위에서 언급된 바와 같이, "컴퓨터"는 다양한 유형의 네트워크 장치를 포함한다.) 패킷 스위칭 프로토콜은 두개의 컴퓨터 사이에 보내지는 정보가 패킷으로 나뉘어지도록 요청한다. 그리고 나서, 이 패킷들은 컴퓨터들 사이에서 전송된다. 이것은, 정보가 먼저 패킷화되지 않고 전송될 수 있는 컴퓨터들 사이의 연결을 구축하는, 회로 스위칭 프로토콜에 상반된 것이다. 패킷 스위칭 프로토콜을 이용하는 네트워크는 물리적 연결 대신에 두 컴퓨터 간의 가상 연결을 구축할 수 있다. 따라서, 정보의 패킷화는, 중간 네트워크들의 회로를 묶어서 다른 컴퓨터와의 통신을 막는 것 없이, 정보가 많은 중간 네트워크를 거쳐 송신될 수 있게 한다.Computers 12-14 can communicate with each other and can communicate with computers on other networks using packet switching protocols. (As mentioned above, "computers" include various types of network devices.) The packet switching protocol requests that information sent between two computers be divided into packets. Then, these packets are sent between computers. This is contrary to the circuit switching protocol, which establishes a connection between computers where information can be transmitted without first being packetized. A network using a packet switching protocol can establish a virtual connection between two computers instead of a physical connection. Thus, packetization of information allows information to be transmitted over many intermediate networks without tying up the circuitry of the intermediate networks to prevent communication with other computers.

두개의 컴퓨터 사이에 전송되는 정보가 패킷들로 나뉘어지기 때문에, 소스와 목적지 사이의 컴퓨터들은 패킷을 어디로 보내야 할 지 결정할 방법을 가지고 있어야 한다. 따라서, 각 패킷은 목적지 어드레스를 가진다. 많은 네트워크에서, IP(Internet Protocol) 어드레스 또는 TCP/IP(Transport Control Protocol/Internet Protocol) 어드레스가 사용된다. IP 어드레스는 점으로 분리된 4개의 바이트를 가지고 있다(예컨대, "012.123.234.001".) 이 어드레스는 특정 컴퓨터를 지정할 수 있거나 또는 특정 네트워크를 지정할 수 있으며, 그 경우 네트워크는 패킷을 그 네트워크 상의 올바른 장치로 올바르게 발송할 수단을 제공하기 마련이다. TCP 프로토콜은 IP 프로토콜보다 약간 높은 레벨에 있으며 메시지의 모든바이트가 목적지 장치에서 확실히 수신되도록 하는 수단을 제공한다. TCP 프로토콜은 바이트를 메시지로 나열하고 잃어버린 바이트의 재전송을 제공한다.Because information sent between two computers is divided into packets, computers between the source and destination must have a way to determine where to send the packet. Thus, each packet has a destination address. In many networks, an Internet Protocol (IP) address or a Transport Control Protocol / Internet Protocol (TCP / IP) address is used. The IP address has four bytes separated by dots (for example, "012.123.234.001".) This address can specify a particular computer or a specific network, in which case the network can send packets to the correct network. It will provide a means for shipping the device correctly. The TCP protocol is at a slightly higher level than the IP protocol and provides a means to ensure that every byte of a message is received at the destination device. The TCP protocol lists the bytes as messages and provides for the retransmission of missing bytes.

도 2는 소스 컴퓨터(40)로부터 목적지 컴퓨터(41)로 향하는 경로를 형성하는 일련의 상호연결된 컴퓨터(또는 네트워크)를 나타낸다. 도면에서, 소스 컴퓨터 및 목적지 컴퓨터는 다른 장치(42,43)를 통하여 다른 컴퓨터로 연결되는 것으로 묘사된다. 이 논의의 목적을 위해, 장치(42,43)가 방화벽인 것으로 가정한다. 다른 실시예에서, 이 장치들은 랜 스위치 또는 컴퓨터와 같은 상이한 장치일 수 있다. 점선은 소스 네트워크(44) 및 목적지 네트워크(45)의 경계를 나타낸다. 소스 컴퓨터(40)가 패킷을 다른 컴퓨터로 송신할 때, 패킷은 많은 중간 컴퓨터(51-55)에 의해 발송된다. 이들 중간 컴퓨터들은 일반적으로 라우터(router)들이다. (비록 "라우터(router)"가 특정 유형의 패킷-포워딩 장치를 언급하는데 사용되지만, 여기서 사용되는 용어는 컴퓨터들 사이에서 패킷을 발송 또는 포워딩하도록 작동하는 모든 장치를 의미한다.) 이 라우터들은 패킷의 목적지 어드레스를 검사하고 그 패킷이 발송되어질 그 다음 라우터를 결정한다. 이 프로세스는 메시지 내의 각 패킷에 대해 반복되어진다. 단일의 메시지에 대응하는 패킷들이 소스 컴퓨터로부터 목적지 컴퓨터를 향하여 수많은 상이한 경로 상으로 전송되도록, 프로세스는 일반적으로 각 패킷에 대해 독립적으로 수행된다. 예를 들어, 하나의 패킷이 소스 네트워크로부터 54를 거쳐 53을 거쳐 55을 거쳐 목적지 네트워크로 전달되는 한편, 또다른 패킷이 51을 거쳐 52를 거쳐 45로 전달될 수 있다. 패킷들이 목적지 네트워크에 도달할 때, 그것들은 목적지 컴퓨터로 직행하게 된다. 목적지 컴퓨터에서,그 패킷들은 원래의 메시지로 재조합된다.2 shows a series of interconnected computers (or networks) that form a path from a source computer 40 to a destination computer 41. In the figure, the source computer and the destination computer are depicted as being connected to other computers via other devices 42 and 43. For the purposes of this discussion, assume that devices 42 and 43 are firewalls. In other embodiments, these devices may be different devices, such as LAN switches or computers. The dotted line represents the boundary of the source network 44 and the destination network 45. When source computer 40 sends a packet to another computer, the packet is sent by many intermediate computers 51-55. These intermediate computers are generally routers. (Although "router" is used to refer to a particular type of packet-forwarding device, the term used herein refers to any device that operates to send or forward packets between computers.) These routers are packets Examines the destination address of and determines the next router to which the packet will be sent. This process is repeated for each packet in the message. The process is generally performed independently for each packet so that packets corresponding to a single message are sent on a number of different paths from the source computer towards the destination computer. For example, one packet may be sent from the source network via 54 to 53 and 55 to the destination network, while another packet may be sent via 51 to 52 and 45 to 45. When packets reach the destination network, they go directly to the destination computer. At the destination computer, the packets are reassembled into the original message.

패킷이 목적지 네트워크에 도달할 때, 그 목적지 네트워크가 이 경우에 방화벽을 채용하는데, 패킷은 방화벽을 통하여 통과해야 목적지 컴퓨터에 배달될 수 있다. 방화벽은 일반적으로 그 네트워크에 도착하는 패킷을 검사하는 작업을 행하는 컴퓨터로서, 패킷들이 그 네트워크 내부에서 분배될 수 있도록 인가될 것인가를 결정한다. 방화벽들은 원하지 않는 액세스에 대항하여 시스템을 보호하는데 매우 효과적일 수 있지만, 이러한 보호가 절대 완전한 것은 아니며 비인가된 패킷이 네트워크에 도입될 수 있다. 일단 패킷들이 방화벽을 파괴하면, 그 방화벽은 네트워크 내부로 패킷이 자유로이 전송되는 것을 방지하는데 완전히 무용하게 된다. 또한, 방화벽은 네트워크 내부의 유저로 하여금 전화선 상에서 다이얼링하거나 휴대용 매체(예컨대, 플로피 디스크)를 사용하여 네트워크에 비인가된 화일을 다운로드함으로써 방화벽을 우회하는 것을 방지할 수 없다. 따라서, 본 발명은 이 실시예에서 네트워크 내부의 모든 트래픽이 경유하여 발송되는 하나 이상의 랜 스위치에서 수행된다.When a packet arrives at the destination network, the destination network employs a firewall in this case, which must pass through the firewall before it can be delivered to the destination computer. A firewall is generally a computer that does the work of inspecting packets arriving at that network, determining whether the packets will be authorized to be distributed within that network. Firewalls can be very effective at protecting a system against unwanted access, but this protection is not absolute and unauthorized packets can be introduced into the network. Once packets break the firewall, the firewall is completely useless to prevent the packet from being sent freely inside the network. In addition, the firewall cannot prevent a user inside the network from bypassing the firewall by dialing on a telephone line or using a portable medium (eg, floppy disk) to download an unauthorized file to the network. Thus, the present invention is performed in one or more LAN switches in this embodiment where all traffic inside the network is routed through.

한 패킷이 방화벽을 통하여 통과한 후, 그것은 랜 스위치에 의하여 네트워크 상의 적절한 컴퓨터로 발송되어야 한다. 랜 스위치가 그 패킷을 수신할 때, 그 스위치는 다른 라우팅 장치와 동일한 방식으로 목적지 어드레스를 결정하도록 패킷을 처리해야 한다. 패킷을 발송하는 것에 부가하여, 랜 스위치는 어떤 것을 거절하거나 재발송하고 다른 것은 통과하게 하는 방화벽의 기능과 유사한 기능을 수행한다. 그렇게 함으로써, 랜 스위치는 네트워크 내부의 패킷의 흐름을 제어한다. 네트워크 상의 컴퓨터들이 스위치를 통하여 서로간에 연결되기 때문에, 랜 스위치는 그것이 연결된 각 컴퓨터에 출입하는 패킷 흐름을 제어할 수 있다. 따라서, (방화벽을 우회하거나 또는 그것을 파괴함으로써) 비인가된 패킷이 방화벽을 통하여 통과하더라도, 패킷은 랜 스위치의 액세스 규칙을 만족한 후에야 네트워크 내부에서 한 장치로부터 다른 장치로 전송될 수 있다.After a packet passes through the firewall, it must be sent by the LAN switch to the appropriate computer on the network. When the LAN switch receives the packet, it must process the packet to determine the destination address in the same way as other routing devices. In addition to sending packets, the LAN switch performs a function similar to the firewall's function of rejecting or resending something and allowing others to pass through it. In doing so, the LAN switch controls the flow of packets inside the network. Since the computers on the network are connected to each other through the switch, the LAN switch can control the packet flow entering and leaving each computer to which it is connected. Thus, even if an unauthorized packet passes through the firewall (by bypassing the firewall or destroying it), the packet can only be sent from one device to another within the network after satisfying the access rules of the LAN switch.

도 3a는 패킷-필터링 랜 스위치의 한 포트의 기능적 블록도이다. 랜 스위치(30)는 패킷을 처리하고 네트워크 상의 그들 각각의 목적지를 결정하기 위한 회로(31)를 가진다. 또한, 랜 스위치(30)는 패킷들이 그 목적지로 발송되도록 인가될 것인지 결정하기 위해 패킷을 검사하는 필터회로(32)를 포함한다. 필터링이 분배되는 성향 때문에(랜 스위치의 각 포트에서 수행됨), 필터 회로(32)는 방화벽에서 수행되는 것들 보다도 더 단순한 액세스 규칙을 수행할 수 있다. 달리 말하면, 각 필터가 단일 컴퓨터로의 액세스를 제어하기 때문에, 오직 그 컴퓨터에 관련된 규칙만이 실행될 필요가 있는 것이다. 이 단순화된 액세스 규칙은, 많은 관점에서, 방화벽의 액세스 규칙만큼 효과적인데, 이는 단일의 필터에서 실행되는 규칙이 그 필터와 연관되는 단일 컴퓨터에 짜맞추어질 수 있기 때문이다. 또한, 필터링이 분배되는 성향은 네트워크가 쉽게 조사될 수 있도록 한다. 달리 말하면, 컴퓨터들이 네트워크에 부가됨에 따라, 대응하는 필터들이 필터링 작업부하를 처리하기 위해 부가된다. 랜 스위치의 포트 중에서의 필터링의 분배는 필터링되어야 할 네트워크 내부에서 높은 양의 트래픽이 가능하도록 한다. (네트워크 내부에서 중앙화된, 방화벽 형의 시스템을 수행하는 것은 성능을 감소시킬 수 있다 -- 방화벽은 네트워크 안으로 그리고 네트워크의 밖으로 나가는 패킷을 필터링하기에 보다 적절하며, 이것은 일반적으로 네트워크의 내부에서 보다도 훨씬 낮은 양의 트래픽으로 구성된다.)3A is a functional block diagram of one port of a packet-filtering LAN switch. The LAN switch 30 has circuits 31 for processing packets and for determining their respective destinations on the network. The LAN switch 30 also includes a filter circuit 32 that checks the packet to determine if the packet will be authorized to be sent to its destination. Because of the tendency for filtering to be distributed (performed at each port of the LAN switch), the filter circuit 32 may perform simpler access rules than those performed at the firewall. In other words, since each filter controls access to a single computer, only the rules related to that computer need to be executed. This simplified access rule is, in many respects, as effective as the firewall's access rule, because a rule running on a single filter can be tailored to a single computer associated with that filter. In addition, the propensity to distribute filtering allows the network to be easily investigated. In other words, as computers are added to the network, corresponding filters are added to handle the filtering workload. The distribution of filtering among the ports of the LAN switch allows for a high amount of traffic inside the network to be filtered. (Performing a centralized, firewall-like system inside the network can reduce performance-the firewall is more suitable for filtering packets going into and out of the network, which is generally much more than inside the network. It consists of low traffic.)

도 3a에 나타낸 바와 같이, 랜 스위치의 한 포트에 도착하여 들어오는 패킷들은 어드레스 처리회로(31)와 필터링 회로(32)에 모두 전달된다. (다른 실시예에서는 필터링 회로(32)로 패킷의 일부분(예컨대, 패킷 헤더)만의 배달을 제공할 수 있음을 고려해야 한다.) 도면은 패킷들이 컴퓨터들을 향하여 포트(30)를 나가고 있는 것으로 나타내고 있지만, 본 시스템은 나가는 패킷 또는 들어오는 패킷 모두에 적용될 수 있다. 패킷들은 정규의 어드레스 처리와 병렬로 필터링될 수 있다. 결과적으로, 필터링을 수행하기 위하여 필요한 시간은 정규의 어드레스 프로세싱을 위해 필요한 시간과 중첩될 수 있다. 따라서, 필터링에 관련된 비용이 감소된다. (도 3b 및 3c에 나타낸 바와 같이 패킷의 필터링은 어드레스 처리와 직렬로 수행될 수 있지만, 이것은 높은 비용을 야기하며, 따라서 선호되는 실시예가 아니다. 도 3b 및 3c는 직렬 필터회로가 어드레스 회로의 전 또는 후 중 어느 하나에 배치될 수 있음을 나타낸다.)As shown in FIG. 3A, packets arriving at one port of the LAN switch are delivered to both the address processing circuit 31 and the filtering circuit 32. As shown in FIG. (In other embodiments, it should be considered that only a portion of the packet (eg, packet header) can be delivered to the filtering circuit 32.) Although the diagram shows that packets are leaving port 30 towards the computers, The system can be applied to both outgoing and incoming packets. Packets can be filtered in parallel with regular address processing. As a result, the time required to perform filtering may overlap with the time required for normal address processing. Thus, the cost associated with filtering is reduced. (Filtering of packets can be performed in series with address processing, as shown in Figs. 3B and 3C, but this results in a high cost and is therefore not a preferred embodiment. Figs. Or any one of the following.)

어드레스 처리회로(31)는 스위칭 회로(33)로의 출력을 제공한다. 본 발명이 아니라면, 스위칭 회로(33)는 어드레스 처리회로(31)로부터의 목적지 어드레스를 사용하여 패킷을 그 목적지에 전달할 것이다. 그러나, 패킷의 전달은 필터링 회로(32)의 출력조건에 따라 결정된다. 필터링 회로(32)는 패킷에 적절한 액세스 규칙을 적용하며 스위칭 회로(33)에 신호를 제공한다. 패킷이 그 목적지로 전달되도록 인가되면, 대응 신호가 스위칭 회로(33)에 입력되며 패킷은 정규적인 방식으로 목적지로 포워딩된다. 만약, 패킷이 인가되지 않으면, 필터링 회로(32)에 의하여 다른 신호가 생성된다. 스위칭 회로(33)가 이 신호를 수신하면 몇가지 다른 조치를 취한다. 이 다른 조치는 비인가된 패킷의 존재에 관련된 어떠한 적절한 동작이라도 될 수 있으며, 그 패킷을 버리는 것, 그 패킷을 다른 목적지로 재발송하는 것, 시스템 관리자에게 알리는 것과 같은 동작을 포함할 수 있다. 비인가된 패킷에 대해 선택되는 조치는, 패킷의 특정 목적지, 패킷의 유형, 그 패킷과 관련된 애플리케이션 또는 다른 정보에 따라 다를 수 있다.The address processing circuit 31 provides an output to the switching circuit 33. If it is not the invention, the switching circuit 33 will deliver the packet to that destination using the destination address from the address processing circuit 31. However, the delivery of the packet is determined according to the output condition of the filtering circuit 32. The filtering circuit 32 applies the appropriate access rules to the packet and provides a signal to the switching circuit 33. When a packet is authorized to be delivered to its destination, a corresponding signal is input to the switching circuit 33 and the packet is forwarded to the destination in a regular manner. If no packet is applied, another signal is generated by the filtering circuit 32. When the switching circuit 33 receives this signal, several different measures are taken. This other action may be any appropriate action related to the presence of unauthorized packets and may include actions such as dropping the packet, resending the packet to another destination, and notifying the system administrator. The action taken for an unauthorized packet may vary depending on the particular destination of the packet, the type of packet, the application or other information associated with the packet.

포트의 일정시간내의 처리량을 최대화 하기 위하여 각 포트에서의 어드레스 및 필터링 회로가 일반적으로 최소로 유지되기 때문에, 일부 복잡한 동작은 랜 스위치 내의 CPU에 위임될 수 있다(도 3d를 참조하라). 예를 들어, 필터 회로는 일반적으로 패턴 매칭을 수행하기 충분하지만, 더욱 세련된 필터링 규칙을 수행하는 것은 필터회로의 능력 밖이다. 만약 포트(30)의 한 필터 회로가 인식하지 못하거나 적절히 필터링할 수 없는 패킷을 수신하면, 필터회로는 처리를 위하여 CPU(35)로 그 패킷을 보낼 수 있다. 그러면 CPU(35)는 그 패킷을 처리하기 위해 각 포트에서의 필터 회로나 스위칭 회로에 적절한 신호를 보낸다. 또한, 포트 내의 회로는 그 패킷을 처리하는데 관련하여 그것이 수행할 수 있는 동작에 제한을 받을 수 있으며(예컨대, 패킷을 포워딩하는 것 또는 버리는 것), CPU에 대해 보다 복잡한 동작을 위임할 수 있다.Some complex operations can be delegated to the CPU in the LAN switch (see FIG. 3D) because the address and filtering circuits at each port are generally kept to a minimum to maximize throughput within a given time of the port. For example, filter circuits are generally sufficient to perform pattern matching, but performing more sophisticated filtering rules is beyond the capabilities of the filter circuit. If a filter circuit at port 30 receives a packet that it does not recognize or cannot properly filter, the filter circuit may send the packet to the CPU 35 for processing. The CPU 35 then sends an appropriate signal to the filter circuit or switching circuit at each port to process the packet. In addition, circuitry within a port may be limited in the operations it can perform in processing the packet (eg, forwarding or discarding the packet) and delegate more complex operations to the CPU.

도 4는 랜 스위치의 동작을 나타내는 흐름도이다. 이 도면은 본 발명의 일례로, 랜 스위치의 동작을 요약한다. 랜 스위치(60)의 한 포트에서 패킷이 수신되면, 그 패킷은 목적지 어드레스를 결정하도록 처리(61)되는 동시에 그것이 포트의 액세스 규칙을 만족하는지를 결정하기 위해 필터링된다(62). 만약 그 패킷이 액세스 규칙(63)을 만족하고 포워딩될 수 있도록 인가되면, 랜 스위치는 그 패킷을 마치 필터링되지 않은 것과 같이 목적지로 포워딩한다.4 is a flowchart illustrating the operation of a LAN switch. This figure summarizes the operation of the LAN switch as an example of the present invention. When a packet is received at one port of the LAN switch 60, the packet is processed 61 to determine the destination address while simultaneously filtering 62 to determine if it meets the port's access rules. If the packet is authorized to satisfy the access rule 63 and be forwarded, the LAN switch forwards the packet to the destination as if it were not filtered.

만약 패킷이 액세스 규칙(63)을 만족하지 못하여 비인가되면, 패킷은 버려진다(65). 다른 실시예로서, 비인가된 패킷은 다양한 방법으로 처리될 수 있다. 예를 들어, 비인가된 패킷들이 다른 목적지로 재발송되거나, 또는 목적지 어드레스에 있는 컴퓨터로 포워딩되지만 그 시스템 관리자에게 그 패킷을 통지할 수 있다.If the packet is not authorized because it does not satisfy the access rule 63, the packet is discarded (65). As another example, unauthorized packets may be processed in a variety of ways. For example, unauthorized packets may be resent to another destination or forwarded to a computer at the destination address but notifying the system administrator.

일례로, 랜 스위치 내의 필터링 회로는 프로그램될 수 있다. 네트워크 관리자는 필터에 적용되어야 하는 액세스 규칙을 결정하고 이 규칙들을 필터로 프로그램한다. 필터링 규칙은 패킷의 헤더 내의 정보를 근거로 한다. 이 정보는 패킷의 정규의 포워딩을 위해 이용될 수 있기 때문에, 이 정보가 이용된다. 그 정보는 IP 소스 및 목적지 어드레스, 요약된 프로토콜(예컨대, TCP), TCP/IP 소스 및 목적지 포트, ICMP(Internet Control Message Protocol) 메시지 유형 및 패킷의 출입 인터페이스를 포함할 수 있다. 필터링 규칙은 다양한 유형 및 임플리멘테이션일 수 있다. 예를 들어, 규칙은 서비스에 따라 달라질 수 있거나(예컨대, 들어오는 FTP 세션을 오직 특정 컴퓨터들에게만 허용함) 또는 서비스에 대해 독립적일 수 있다(내부 IP 어드레스를 가지는 패킷을 버리는 것, 그러나 그것은 외부적 포트 상에 나타난다).In one example, the filtering circuit in the LAN switch can be programmed. The network administrator decides which access rules should be applied to the filter and programs these rules into the filter. The filtering rule is based on the information in the header of the packet. Since this information can be used for normal forwarding of the packet, this information is used. The information may include an IP source and destination address, a summarized protocol (eg, TCP), a TCP / IP source and destination port, an Internet Control Message Protocol (ICMP) message type, and an entry and exit interface of the packet. Filtering rules can be of various types and implementations. For example, the rules may vary depending on the service (eg allow only incoming computers for FTP sessions) or be independent of the service (dropping packets with internal IP addresses, but it is external Appear on the port).

일례로, 필터는 자바(Java) 프로그래밍 언어를 이용하여 실행될 수 있다. 이 실행을 위해 자바가 선택된 바, 이는 많은 플랫폼을 위해 자바 가상머신(Java virtual machine)이 존재하여 자바 애플리케이션들이 이 많은 플랫폼 상에서 실행될 수 있기 때문이다. 따라서, 자바에 기초한 필터링 애플리케이션은 어느 정도의 플랫폼 및/또는 벤더(vendor) 중립성을 가진다. (그러나, 필터링 애플리케이션은 어떠한 적절한 프로그래밍 언어라도 사용할 수 있다.) 이 실행에서, 제어 소프트웨어가 필터링 회로(32)에서 실행된다. 그 제어 소프트웨어는 시스템 관리자의 규칙을 수행하기 위한 프레임워크를 제공하는 애플리케이션이다. 시스템 관리자는 랜 스위치에 들어가는 패킷에 무슨 규칙들이 적용되어야 할지 결정하고, 제어 소프트웨어와 연관하여, 이 규칙들을 수행하는 자바 애플릿(Java applet)을 구성한다. (애플릿은 소형 자바 애플리케이션이다.) 자바 애플릿은 네트워크 상의 컴퓨터 중 하나로부터 랜 스위치로 시스템 관리자에 의하여 다운로드된다. 그러면, 애플릿은 패킷이 여과되어야 할 때, 제어 소프트웨어에 의하여 호출된다.In one example, the filter can be executed using a Java programming language. Java was chosen for this execution because a Java virtual machine exists for many platforms, allowing Java applications to run on many platforms. Thus, Java-based filtering applications have some platform and / or vendor neutrality. (However, the filtering application may use any suitable programming language.) In this implementation, control software is executed in the filtering circuit 32. The control software is an application that provides a framework for performing system administrator rules. The system administrator decides what rules should be applied to packets entering the LAN switch and, in conjunction with the control software, configures a Java applet that performs these rules. (Applets are small Java applications.) Java applets are downloaded by system administrators to LAN switches from one of the computers on the network. The applet is then called by the control software when the packet should be filtered.

본 발명의 다양한 실시예는 사용자로 하여금 본 발명을 구체화하지 않는 네트워크에서 발견되는 문제점들을 극복할 수 있게 할 수 있다. 예를 들어, 위에서 나타난 바와 같이, 소스 컴퓨터로부터 목적지 컴퓨터로 발송되는 패킷들은 컴퓨터들 사이에 놓여진 여러 네트워크를 횡단해야 할 것이다. 패킷들 중의 하나가 이들 네트워크들 중 하나에 도착할 때 마다, 네트워크(즉, 그 네트워크 내부의 라우터)는 그 패킷의 어드레스 정보를 읽고, 패킷이 더 포워딩되기 위해 보내어질 중간 장치를 결정해야 한다. 그 패킷이 어디로 보내어져야 할지를 결정하는 것은 다른 컴퓨터들에 의해 라우팅 장치로 제공되는 정보에 기초한다. 만약 이들 컴퓨터들 중의 하나가 라우팅 장치에 부정확한 정보를 제공하면, 그 패킷은 정확하지 않게 발송될 수 있다.Various embodiments of the present invention may enable a user to overcome problems found in a network that does not embody the present invention. For example, as shown above, packets sent from a source computer to a destination computer will have to traverse several networks placed between the computers. Each time one of the packets arrives at one of these networks, the network (ie, the router inside that network) must read the address information of the packet and determine which intermediate device to send the packet to be forwarded further. Determining where the packet should be sent is based on information provided to the routing device by other computers. If one of these computers provides incorrect information to the routing device, the packet may be sent incorrectly.

특정 어드레스를 가지고 있지만, 다른 어드레스를 가지고 있다고 다른 장치에 브로드캐스트(broadcast;同報通信)하는 컴퓨터를 찾는 것은 특별한 것이 아니다. 라우터는 이 정보에 의존할 수 있으며, 목적지 컴퓨터로 향하는 가장 짧은 루트는 부정확한 어드레스를 브로드캐스트(broadcast)하는 컴퓨터를 통과한다고 판단할 수 있다. 그러면, 그 라우터는 제공된 그 부정확한 어드레스를 사용하여 이 컴퓨터에 패킷을 포워딩할 것이다. 그러나, 부정확한 정보를 브로드캐스트하는 컴퓨터는 패킷이 포워딩되었던 어드레스를 인식하지 않을 것이고 단순히 그 패킷을 버릴 것이다. 이 시나리오에서, 부정확한 어드레스 정보를 브로드캐스트하는 컴퓨터는 사실상 교착상태 또는 패킷들이 단순히 사라질 "블랙홀"을 만든다.It is not unusual to find a computer that has a specific address but broadcasts to another device that it has a different address. The router may rely on this information and may determine that the shortest route to the destination computer passes through the computer broadcasting the incorrect address. The router will then forward the packet to this computer using the incorrect address provided. However, the computer broadcasting the incorrect information will not recognize the address to which the packet was forwarded and will simply discard the packet. In this scenario, a computer that broadcasts incorrect address information actually creates a "black hole" in which deadlocks or packets simply disappear.

만약 시스템 관리자가 이 문제점을 인식하였다면, 그 또는 그녀는 더 많은 패킷들을 잃어버리는 것을 방지하기 위하여 그 네트워크의 나머지 영역으로부터 그 불쾌한 컴퓨터를 고립시키고자 할 것이다. 본 발명의 일례로, 시스템 관리자는 그 컴퓨터와 연관된 필터를, 어떠한 출입 패킷들도 랜 스위치의 그 연관된 포트를 통과하지 않도록, 구성할 수 있다. 그렇게 함으로써, 시스템 관리자는 그 컴퓨터가 부정확한 어드레스 정보를 내보내는 것을 방지하고, 또한 패킷들이 그 컴퓨터에 전달되어 잃어버리는 것을 방지한다. 또, 불쾌한 컴퓨터를 고립시키는 이 방법은 그 컴퓨터로의 물리적 액세스를 필요로 하지 않는 이익을 가진다 -- 고립은 그 컴퓨터와 연관되는 필터를 재구성함으로써 이루어진다. 컴퓨터가 잠긴 방 또는 빌딩 안에 있는 상황에서는, 이것은 그 컴퓨터를 고립시키는 유일한 수단일 수 있다.If the system administrator is aware of this problem, he or she will want to isolate the unpleasant computer from the rest of the network to avoid losing more packets. In one example of the present invention, a system administrator may configure a filter associated with the computer such that no access packets pass through its associated port of the LAN switch. By doing so, the system administrator prevents the computer from sending incorrect address information and also prevents packets from being delivered to the computer and lost. Also, this method of isolating an unpleasant computer has the benefit of not requiring physical access to the computer-isolation is achieved by reconfiguring the filter associated with the computer. In situations where a computer is in a locked room or building, this may be the only means of isolating the computer.

다른 실시예로서, 많은 회사가 다양한 프로젝트 상의 작업을 수행하기 위하여 하청계약자를 채용한다. 이 작업은 소프트웨어 개발, 설계 분석 또는 회사의 네트워크 상의 컴퓨터로의 액세스나 그 회사의 네트워크 상의 컴퓨터 사용을 필요로하는 다른 작업을 포함할 수 있다. 그러나, 그 회사는, 하청계약자들에 의하여 수행되는 작업에 관련되지 않는 애플리케이션이나 데이터에, 이 하청계약자들이 액세스하기 원하지 않을 것이다. 본 발명의 일례로서, 시스템 관리자는 하청계약자에 의해 사용되는 컴퓨터들과 연관된 필터를 구성하여 제한된 데이터나 애플리케이션으로의 액세스를 방지할 수 있다. 예를 들어, 주의를 요하는 데이터를 가지고 있는 컴퓨터와 연관된 필터는, 하청계약자에 의해 사용되고 있는 특정 컴퓨터로부터 수신받은 패킷을 버리도록 구성될 수 있다. 마찬가지로, 필터는 패킷들이 이들 컴퓨터로 전달되는 것을 방지하도록 구성될 수 있다. 랜 스위치 상의 필터를 적절하게 구성함으로써, 시스템 관리자는 하청계약자, 피고용자, 임원 및 다른 시스템 사용자들을 위해 다양한 특권적 레벨을 구축할 수 있다.In another embodiment, many companies employ subcontractors to perform work on various projects. This may include software development, design analysis, or other tasks that require access to a computer on a company's network or use of a computer on that company's network. However, the company will not want these subcontractors to access applications or data that are not related to the work performed by the subcontractors. As an example of the present invention, a system administrator may configure filters associated with computers used by subcontractors to prevent access to restricted data or applications. For example, a filter associated with a computer having data that requires attention may be configured to discard packets received from the particular computer being used by the subcontractor. Similarly, the filter can be configured to prevent packets from being delivered to these computers. By properly configuring the filters on the LAN switch, the system administrator can establish various privilege levels for subcontractors, employees, executives, and other system users.

본 발명이 특정 실시예를 참조하여 설명되었지만, 그 실시예들은 예시적일 뿐이며 그 발명의 범위가 그에 제한되는 것이 아니라는 것을 이해해야 한다. 그 설명된 실시예에 대한 변경, 수정, 부가 및 개선이 가능하다. 이들 변경, 수정, 부가 및 개선은 첨부된 특허청구범위 내에 구체화는 본 발명의 범위 내에 해당할 것이다.Although the present invention has been described with reference to specific embodiments, it is to be understood that the embodiments are illustrative only and the scope of the invention is not limited thereto. Changes, modifications, additions and improvements to the described embodiments are possible. These changes, modifications, additions and improvements will fall within the scope of the present invention as the embodiments within the appended claims.

Claims (20)

복수의 포트를 가진 네트워크 인터페이스 장치;A network interface device having a plurality of ports; 상기 포트에 결합된 복수의 네트워크 장치; 및A plurality of network devices coupled to the port; And 복수의 필터를 포함하고, 이때 각각의 상기 필터는 상기 포트 중 한 필터에 도착하는 데이터 패킷을 수신하기 위하여 상기 포트 중 대응하는 한 필터에 결합되는, 보안 컴퓨터 네트워크로서,A plurality of filters, each said filter coupled to a corresponding one of said ports for receiving data packets arriving at one of said ports, 상기 각 필터는 상기 데이터 패킷을 검사하고 상기 데이터 패킷이 액세스 규칙 세트를 만족하는지 결정하도록 구성되며;Each filter is configured to examine the data packet and determine whether the data packet satisfies a set of access rules; 상기 각 필터는 또한, 상기 데이터 패킷이 상기 액세스 규칙 세트를 만족하는지 지시하는 신호를 상기 네트워크 인터페이스 장치로 전달하도록 구성되며;Each filter is further configured to forward a signal to the network interface device indicating whether the data packet satisfies the access rule set; 상기 네트워크 인터페이스 장치는, 상기 신호가 상기 각 패킷이 상기 액세스 규칙 세트를 만족하는데 실패했다고 지시할 때, 각각의 상기 데이터 패킷에 대하여 소정의 조치를 취하도록 구성되는 보안 컴퓨터 네트워크.The network interface device is configured to take a predetermined action on each of the data packets when the signal indicates that each packet failed to satisfy the access rule set. 제1항에 있어서,The method of claim 1, 상기 보안 컴퓨터 네트워크와 외부 네트워크와의 사이에 방화벽을 더 포함하는 보안 컴퓨터 네트워크.And a firewall between the secure computer network and an external network. 제1항에 있어서,The method of claim 1, 상기 네트워크 인터페이스 장치는 상기 패킷에 대한 처리를 수행하고, 상기 처리는 대응하는 목적지 어드레스를 결정하기 위하여 각각의 상기 패킷을 검사하는 것을 포함하는 보안 컴퓨터 네트워크.The network interface device performs processing on the packet, and the processing includes examining each of the packets to determine a corresponding destination address. 제3항에 있어서,The method of claim 3, 각각의 상기 필터는, 상기 네트워크 인터페이스 장치에 의해 수행되는 상기 처리와 병렬로, 상기 데이터 패킷을 검사하도록 구성되는 보안 컴퓨터 네트워크.Each said filter is configured to examine said data packet in parallel with said processing performed by said network interface device. 제4항에 있어서,The method of claim 4, wherein 각각의 상기 필터는 상기 패킷에 대한 패킷 매칭을 수행함으로써 상기 데이터 패킷이 액세스 규칙 세트를 만족하는지 결정하도록 구성되는 보안 컴퓨터 네트워크.Each said filter is configured to determine if said data packet satisfies a set of access rules by performing packet matching on said packet. 제1항에 있어서,The method of claim 1, 상기 소정의 조치는 상기 패킷을 버리는 것; 상기 패킷을 재발송하는 것; 그리고 상기 패킷을 보고하는 것으로 구성된 조치 중에서 선택되는 보안 컴퓨터 네트워크.The predetermined action is to discard the packet; Resending the packet; And an action configured to report the packet. 제1항에 있어서,The method of claim 1, 상기 네트워크 인터페이스 장치는 제어 소프트웨어를 실행하도록 구성되며,상기 필터의 상기 액세스 규칙은 상기 네트워크 인터페이스 장치 상에서 실행되는 상기 제어 소프트웨어에 다운로드되는 프로그램 코드에 따라서 설정되는 보안 컴퓨터 네트워크.The network interface device is configured to execute control software, and wherein the access rule of the filter is set according to program code downloaded to the control software running on the network interface device. 제1항에 있어서,The method of claim 1, 상기 필터 중 제1 필터는 제1 액세스 규칙 세트에 따라서 상기 네트워크 장치 중 제1 네트워크 장치로의 액세스를 제공하며, 상기 필터 중 제2 필터는 제2 액세스 규칙 세트에 따라서 상기 네트워크 장치 중 제2 네트워크 장치로의 액세스를 제공하며, 상기 액세스 규칙 중의 제1 세트는 상기 제2 액세스 규칙과 다른 보안 컴퓨터 네트워크.A first filter of the filters provides access to a first network device of the network devices according to a first set of access rules, and a second of the filters is a second network of network devices according to a second set of access rules Provide access to a device, the first set of access rules being different from the second access rule. 제1항에 있어서,The method of claim 1, 상기 네트워크 인터페이스 장치는 랜 스위치를 포함하는 보안 컴퓨터 네트워크.The network interface device comprises a LAN switch. 컴퓨터 네트워크 내의 각각의 장치가 랜 스위치의 대응하는 포트에 결합되며, 그 장치들과의 통신은 그 장치들에 출입하는 정보 패킷의 전송에 의해 이루어지는, 컴퓨터 네트워크 내의 장치들 사이의 액세스를 제어하는 방법으로서,Each device in the computer network is coupled to a corresponding port of a LAN switch, and communication with the devices is accomplished by the transmission of information packets entering and leaving the devices, the method of controlling access between devices in the computer network. As 상기 각 패킷이 상기 랜 스위치의 상기 포트 중 한 포트에 도착했을 때 각 패킷을 검사하는 단계;Inspecting each packet when the packet arrives at one of the ports of the LAN switch; 상기 각 패킷이 하나 이상의 포트 액세스 규칙을 만족하는지 결정하는 단계;Determining that each packet meets one or more port access rules; 만약 상기 패킷이 상기 하나 이상의 포트 액세스 규칙을 만족하면, 상기 패킷을 상기 각 패킷과 연관된 목적지 어드레스로 발송하는 단계; 및If the packet satisfies the one or more port access rules, sending the packet to a destination address associated with each packet; And 만약 상기 각 패킷이 상기 하나 이상의 포트 액세스 규칙을 만족하지 않으면, 소정의 조치를 취하는 단계를 포함하는 컴퓨터 네트워크 내의 장치들 사이의 액세스를 제어하는 방법.If each packet does not satisfy the one or more port access rules, taking a predetermined action. 제10항에 있어서,The method of claim 10, 상기 각 패킷이 상기 하나 이상의 포트 액세스 규칙을 만족하는지 결정하는 단계와 병렬로 상기 각 패킷을 위한 발송 정보를 결정하는 단계를 더 포함하는 컴퓨터 네트워크 내의 장치들 사이의 액세스를 제어하는 방법.Determining shipment information for each packet in parallel with determining that each packet meets the one or more port access rules. 제11항에 있어서,The method of claim 11, 상기 소정의 조치는 상기 각 패킷을 버리는 것; 상기 각 패킷을 재발송하는 것; 그리고 상기 각 패킷을 보고하는 것으로 구성되는 조치 중에서 선택되는 것을 특징으로 하는 컴퓨터 네트워크 내의 장치들 사이의 액세스를 제어하는 방법.The predetermined action is to discard each packet; Resending each packet; And an action consisting of reporting each packet. 제12항에 있어서,The method of claim 12, 상기 각 패킷이 상기 하나 이상의 포트 액세스 규칙을 만족하는지 결정하는 단계는, 상기 각 패킷을 하나 이상의 소정의 비트 패턴과 매칭하는 단계 및 상기패턴이 상기 각 패킷과 매칭하는지 결정하는 단계를 포함하는 컴퓨터 네트워크 내의 장치들 사이의 액세스를 제어하는 방법.Determining whether each packet satisfies the one or more port access rules comprises: matching each packet with one or more predetermined bit patterns and determining if the pattern matches each packet. A method of controlling access between devices in a home. 제12항에 있어서,The method of claim 12, 상기 포트 액세스 규칙은 상기 장치들 중 제1 장치와 연관된 제1 포트 액세스 규칙 세트 및 상기 장치들 중 제2 장치와 연관된 제2 포트 액세스 규칙 세트를 포함하는 컴퓨터 네트워크 내의 장치들 사이의 액세스를 제어하는 방법.The port access rule includes a first port access rule set associated with a first of the devices and a second port access rule set associated with a second of the devices to control access between the devices in the computer network. Way. 제12항에 있어서,The method of claim 12, 하나 이상의 상기 패킷을 방화벽에서 검사하는 단계 및 상기 하나 이상의 패킷이 하나 이상의 방화벽 액세스 규칙을 만족하는지 결정하는 단게를 더 포함하는 컴퓨터 네트워크 내의 장치들 사이의 액세스를 제어하는 방법.Inspecting at least one of said packets at a firewall and determining whether said at least one packet satisfies at least one firewall access rule. 복수의 포트 중 각각의 포트가 대응하는 네트워크 장치에 결합되도록 구성된 복수의 포트; 및A plurality of ports configured to couple each port of the plurality of ports to a corresponding network device; And 복수의 필터 중 각각의 필터가 상기 복수의 포트 중 대응하는 한 포트에 결합되고, 하나 이상의 액세스 규칙을 만족하는 패킷들을 통과시키고 상기 하나 이상의 액세스 규칙을 만족하지 못하는 패킷들의 통과를 방지하도록 구성된 복수의 필터를 포함하는 보안 컴퓨터 네트워크 내에서 패킷들의 전송을 제어하는 랜 스위치.Each of the plurality of filters is coupled to a corresponding one of the plurality of ports, the plurality of filters configured to pass packets that satisfy one or more access rules and to prevent passage of packets that do not satisfy the one or more access rules LAN switch that controls the transmission of packets within a secure computer network including a filter. 제16항에 있어서,The method of claim 16, 각각의 상기 필터는 상기 복수의 포트의 제1 서브셋에 대한 제1 액세스 규칙 세트 및 상기 복수의 포트 중 제2 서브셋에 대한 제2 액세스 규칙을 수행하기 위하여 시스템 관리자에 의해 프로그램될 수 있고, 상기 제1 액세스 규칙 세트는 상기 제2 액세스 규칙 세트와 다른, 보안 컴퓨터 네트워크 내에서 패킷들의 전송을 제어하는 랜 스위치.Each said filter may be programmed by a system administrator to perform a first set of access rules for a first subset of said plurality of ports and a second set of access rules for a second subset of said plurality of ports, And the first access rule set is different from the second access rule set to control the transmission of packets within a secure computer network. 제16항에 있어서,The method of claim 16, 상기 복수의 포트의 각 포트는Each port of the plurality of ports 상기 패킷과 연관되는 목적지 어드레스를 결정하도록 구성된 어드레스 처리회로; 및Address processing circuitry configured to determine a destination address associated with the packet; And 상기 패킷을 발송하도록 구성된 스위칭 회로를 포함하는, 보안 컴퓨터 네트워크 내에서 패킷들의 전송을 제어하는 랜 스위치.A switching circuit configured to send the packet, the LAN switch controlling transmission of packets within a secure computer network. 제18항에 있어서,The method of claim 18, 각각의 상기 필터는 상기 패킷이 상기 액세스규칙을 만족하는지 지시하는 신호를 생성하여 상기 신호를 상기 대응하는 포트의 상기 스위칭 회로로 제공하도록 구성되며,Each said filter is configured to generate a signal indicative of whether said packet satisfies said access rule and provide said signal to said switching circuit of said corresponding port, 상기 스위칭 회로는, 만약 상기 신호가 상기 액세스 규칙이 만족되었다고 지시하면 상기 패킷을 상기 목적지 어드레스로 발송하고 만약 상기 신호가 상기 액세스 규칙이 만족되지 않았다고 지시하면 다른 조치를 취하도록 구성되는, 보안 컴퓨터 네트워크 내에서 패킷들의 전송을 제어하는 랜 스위치.The switching circuit is configured to send the packet to the destination address if the signal indicates that the access rule has been satisfied and to take other action if the signal indicates that the access rule has not been satisfied. LAN switch to control the transmission of packets within. 제19항에 있어서,The method of claim 19, 상기 다른 조치는 상기 패킷을 버리는 것; 상기 패킷을 다른 목적지로 발송하는 것; 그리고 상기 패킷의 통지를 전송하는 것으로 구성된 조치 중에서 선택되는 보안 컴퓨터 네트워크 내에서 패킷들의 전송을 제어하는 랜 스위치.The other action is to discard the packet; Sending the packet to another destination; And a LAN switch controlling the transmission of packets within a secure computer network selected from among the actions configured to send the notification of the packet.
KR1020027000163A 1999-07-15 2000-07-12 Secure network switch KR20020027471A (en)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US35429499A 1999-07-15 1999-07-15
US09/354,294 1999-07-15
PCT/US2000/018988 WO2001006726A2 (en) 1999-07-15 2000-07-12 Secure network switch

Publications (1)

Publication Number Publication Date
KR20020027471A true KR20020027471A (en) 2002-04-13

Family

ID=23392666

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020027000163A KR20020027471A (en) 1999-07-15 2000-07-12 Secure network switch

Country Status (5)

Country Link
EP (1) EP1219075A2 (en)
JP (1) JP2003505934A (en)
KR (1) KR20020027471A (en)
AU (1) AU6090400A (en)
WO (1) WO2001006726A2 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100986967B1 (en) * 2002-06-12 2010-10-11 톰슨 라이센싱 Data traffic filtering indicator
KR101922642B1 (en) 2018-06-29 2019-02-20 주식회사 트루네트웍스 Network Dual Switching Device
KR102234418B1 (en) * 2019-11-08 2021-03-31 한화시스템 주식회사 Network apparatus

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AUPR435501A0 (en) * 2001-04-11 2001-05-17 Firebridge Systems Pty Ltd Network security system
GB0113902D0 (en) * 2001-06-07 2001-08-01 Nokia Corp Security in area networks
JP2003087297A (en) * 2001-09-13 2003-03-20 Toshiba Corp Device and method for transferring packet
AU2003227123B2 (en) * 2002-05-01 2007-01-25 Firebridge Systems Pty Ltd Firewall with stateful inspection
AUPS214802A0 (en) 2002-05-01 2002-06-06 Firebridge Systems Pty Ltd Firewall with stateful inspection
US7346057B2 (en) 2002-07-31 2008-03-18 Cisco Technology, Inc. Method and apparatus for inter-layer binding inspection to prevent spoofing
JP3840211B2 (en) * 2003-08-20 2006-11-01 株式会社東芝 COMMUNICATION CONTROL DEVICE, COMMUNICATION CONTROL SYSTEM, COMMUNICATION CONTROL METHOD, AND COMMUNICATION CONTROL PROGRAM
US7613195B2 (en) * 2003-10-27 2009-11-03 Telefonaktiebolaget L M Ericsson (Publ) Method and system for managing computer networks
US20070237088A1 (en) * 2006-04-05 2007-10-11 Honeywell International. Inc Apparatus and method for providing network security
JP6246036B2 (en) * 2014-03-19 2017-12-13 三菱電機株式会社 Relay device

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4899333A (en) * 1988-03-31 1990-02-06 American Telephone And Telegraph Company At&T Bell Laboratories Architecture of the control of a high performance packet switching distribution network
US5568613A (en) * 1992-09-03 1996-10-22 Ungermann-Bass, Inc. Dataframe bridge filter with communication node recordkeeping
US5559883A (en) * 1993-08-19 1996-09-24 Chipcom Corporation Method and apparatus for secure data packet bus communication
US5835726A (en) * 1993-12-15 1998-11-10 Check Point Software Technologies Ltd. System for securing the flow of and selectively modifying packets in a computer network
US5790554A (en) * 1995-10-04 1998-08-04 Bay Networks, Inc. Method and apparatus for processing data packets in a network

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100986967B1 (en) * 2002-06-12 2010-10-11 톰슨 라이센싱 Data traffic filtering indicator
KR101922642B1 (en) 2018-06-29 2019-02-20 주식회사 트루네트웍스 Network Dual Switching Device
KR102234418B1 (en) * 2019-11-08 2021-03-31 한화시스템 주식회사 Network apparatus

Also Published As

Publication number Publication date
EP1219075A2 (en) 2002-07-03
WO2001006726A2 (en) 2001-01-25
AU6090400A (en) 2001-02-05
WO2001006726A3 (en) 2002-04-25
JP2003505934A (en) 2003-02-12

Similar Documents

Publication Publication Date Title
US6954775B1 (en) Parallel intrusion detection sensors with load balancing for high speed networks
US7873038B2 (en) Packet processing
US6910134B1 (en) Method and device for innoculating email infected with a virus
US6578147B1 (en) Parallel intrusion detection sensors with load balancing for high speed networks
US7738457B2 (en) Method and system for virtual routing using containers
US8397282B2 (en) Dynamically adaptive network firewalls and method, system and computer program product implementing same
JP4332033B2 (en) Layer 3 / layer 7 firewall implementation method and apparatus in L2 device
US8315169B2 (en) Loadbalancing network traffic across multiple remote inspection devices
US7146421B2 (en) Handling state information in a network element cluster
US7792990B2 (en) Remote client remediation
US8045550B2 (en) Packet tunneling
US8416773B2 (en) Packet monitoring
US8130756B2 (en) Tunnel configuration associated with packet checking in a network
US8675652B2 (en) Packet processing with adjusted access control list
US20100142539A1 (en) Packet processing indication
US20050207420A1 (en) Parallel intrusion detection sensors with load balancing for high speed networks
AU2002327757A1 (en) Method and apparatus for implementing a layer 3/layer 7 firewall in an L2 device
KR20080063759A (en) Stateless bi-directional proxy
US20080298392A1 (en) Packet processing
KR20020027471A (en) Secure network switch
JP2014526739A (en) Authentication sharing in firewall clusters
Rietz et al. An SDN‐Based Approach to Ward Off LAN Attacks
Chen Aegis: An active-network-powered defense mechanism against ddos attacks
DePriest Network security considerations in TCP/IP-based manufacturing automation
US8561166B2 (en) Efficient implementation of security applications in a networked environment

Legal Events

Date Code Title Description
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid