CN103875226A - 用于网络环境中主机发起的防火墙发现的系统和方法 - Google Patents
用于网络环境中主机发起的防火墙发现的系统和方法 Download PDFInfo
- Publication number
- CN103875226A CN103875226A CN201280050877.0A CN201280050877A CN103875226A CN 103875226 A CN103875226 A CN 103875226A CN 201280050877 A CN201280050877 A CN 201280050877A CN 103875226 A CN103875226 A CN 103875226A
- Authority
- CN
- China
- Prior art keywords
- compartment wall
- fire compartment
- discovery
- inquiry
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/51—Discovery or management thereof, e.g. service location protocol [SLP] or web services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2514—Translation of Internet protocol [IP] addresses between local and global IP addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0254—Stateful filtering
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种方法,该方法包括截取到具有网络地址的目的地节点的网络流并基于与防火墙缓存中的网络地址相关联的发现动作发送发现查询。可以接收发现结果,且在释放该网络流之前可以把与该流相关联的元数据发送给防火墙。在其他实施例中,可以从源节点接收发现查询,且把发现结果发送给源节点,其中发现结果标识用于管理到目的地节点的路由的防火墙。可以在元数据通道上接收来自源节点的元数据。可以截取从源节点到目的地节点的网络流,且可以把元数据与网络流相关联起来以便把网络策略应用到网络流。
Description
技术领域
本说明书通常涉及网络安全的领域,且尤其涉及用于网络环境中主机发起的防火墙发现的系统和方法。
背景
在当今社会,网络安全的领域变得日益重要。因特网已经允许全世界的不同计算机网络的互连。然而,因特网也已经提供了恶意操作者利用这些网络的机会。某些类型的恶意软件可以被配置为一旦该软件已经感染主机计算机就接收来自远程操作者的命令。可以指示该软件执行任何数量的恶意动作,例如从主机计算机发送垃圾邮件或恶意电子邮件、从与主机计算机相关联的企业或个体窃取敏感信息、传播到其他主机计算机和/或帮助进行分布式服务攻击拒绝。另外,恶意操作者可以把访问权出售或以另外方式提供给其他恶意操作者,由此逐步增加对主机计算机的使用。因而,有效地保护和维护稳定的计算机和系统的能力继续给组件生产商、系统设计者和网络操作者提出了显著挑战。
附图简述
为了提供对本公开内容及其特征和优点的更完整的理解,结合附图对下列描述进行引用,其中,类似的标号表示类似的部分,附图中:
图1是阐释其中根据本说明书可以由主机发现防火墙的网络环境的示例实施例的简化框图;
图2是阐释可以与该网络环境的潜在实施例相关联的附加细节的简化框图;
图3是阐释可以与该网络环境的一些实施例相关联的防火墙缓存中的示例条目的简化表;
图4是阐释可以与以ICMP分组传输防火墙发现消息的网络环境的示例实施例相关联的潜在操作的简化交互图;
图5是阐释可以与以ICMP分组传输防火墙发现消息的网络环境的其他示例实施例相关联的潜在操作的简化交互图;
图6是阐释可以与以UDP分组传输防火墙发现消息的网络环境的示例实施例相关联的潜在操作的简化交互图;
图7是阐释可以与以UDP分组传输防火墙发现消息的网络环境的其他示例实施例相关联的潜在操作的简化交互图;以及
图8是可以与该网络环境中的示例实施例的交换元数据相关联的示例分组数据单元格式。
示例实施例的详细描述
概览
在一个示例实施例中提供了一种方法,该方法包括截取去往具有网络地址的目的地节点的网络流并基于与防火墙缓存中的网络地址相关联的发现动作发送发现查询。可以接收发现结果,该发现结果可以标识负责管理到目的地节点的路由的防火墙,且在释放该网络流之前可以把与该流相关联的元数据发送给防火墙。
在其他实施例中,可以接收来自源节点的发现查询,并把发现结果发送给源节点,其中发现结果标识用于管理到目的地节点的路由的防火墙。可以在元数据通道上接收来自源节点的元数据。可以截取从源节点到目的地节点的网络流,且可以把元数据与网络流相关联起来以便把网络策略应用到网络流。
示例实施例
转到图1,图1是其中可以通过主机重定向发现防火墙的网络环境10的简化框图的示例实施例。在图1中所阐释的实施例中,网络环境10可以包括因特网15、用户主机20a和用户主机20b、防火墙25、策略服务器30、邮件服务器35和web服务器40。一般地,用户主机20a-20b可以是网络连接中的任何类型的终端节点,包括但不限于台式计算机、服务器、膝上型计算机、移动电话、或可以接收或建立与另一节点的连接的任何其他类型的设备,例如邮件服务器35或web服务器40。例如通过阻断未经授权的访问,同时准许经授权的通信,防火墙25可以控制在用户主机20a-20b和附加到因特网15的其他节点之间的通信。在一些实例中,防火墙25可以被耦合到入侵防御系统、网络访问控制设备、web网关、电子邮件网关或在因特网15和用户主机20a-20b之间的任何其他类型的网关,或者与它们相集成。此外,在图1的网络拓扑中,靠近用户主机20a-20b的防火墙25的位置是任意的。策略服务器30可以被耦合到防火墙25,或者与之相集成,且可以被用来管理用户主机20a-20b,并且管理和分发网络策略。因而,在这一示例中实施例,如果防火墙25中所实现的且得到策略服务器30管理的策略准许的话,通过建立穿过防火墙25的连接,用户主机20a-20b可以与诸如邮件服务器35或web服务器40等的附加到因特网15或另一网络的服务器通信。
通过简单的接口或通过任何其他合适的连接(有线或无线)——该连接为网络通信提供了可行的通路,图1的元素中的每—个可以相互耦合。另外,基于具体的配置需要,这些元素中的任何一个或多个可以组合起来,或将其从本体系结构中移除。网络环境10可以包括启用用于在网络中传送或接收分组的传输控制协议/因特网协议(TCP/IP)通信的配置。在合适的场合,且基于具体的需要,网络环境10也可以与用户数据报协议/IP(UDP/IP)或任何其他合适的协议联合操作。
出于在示例实施例中阐释用于提供网络安全的技术的目的,理解在给定网络内发生的活动很重要。下列基础信息可以被看作是从中可以适当地解释本公开内容的基础。仅出于解释的目的真实地提供这样的信息,且因此不应以任何方式将其解释为限制本公开内容及其潜在应用的宽广范围。
在组织中使用且由个体使用的典型网络环境包括使用因特网电气上与其他网络通信的能力,例如,以便访问在连接到因特网的服务器上主存的web页面,发送或接收电子邮件(即,电子邮件)消息,或交换文件。然而,恶意用户继续开发新的策略以便使用因特网来散布恶意软件和获得对机密信息的访问权。恶意软件通常包括被设计为在没有计算机所有者的知情同意的情况下访问和/或控制计算机的任何软件,且最普遍地被用作诸如计算机病毒、僵尸(bot)、间谍染剂、广告软件等等的任何敌意的、入侵的或烦人的软件标签。一旦受到危害,恶意软件可以破坏主机并将其用于恶意活动,例如垃圾邮件发送或信息窃取。恶意软件也通常包括允许它在组织的网络内散布或跨越其他网络散布到其他组织或个体的一个或多个传播载体。普通传播载体包括利用在本地网络内的主机上的已知脆弱点,并发送具有附加的恶意程序的电子邮件或在电子邮件内提供恶意链接。
恶意软件可以操作的一种方式是通过使用不同于用户期望的网络协议交换来欺骗用户。恶意软件可以被打包为使得用户确信允许访问以便以某种无害方式来运行它,因而允许它访问网络,访问网络往往要求穿过防火墙或其他安全措施。然后,恶意软件可以利用该访问权来从事用户未预期的替代的或附加的活动。例如,游戏可以发送电子邮件消息,或者字处理软件可以打开web连接,使用标准协议来欺骗防火墙使其准许恶意软件建立远程连接。
例如,僵尸网络使用恶意软件,并且是对计算机安全的不断增加的威胁。在多种情况中,它们采用复杂的攻击方案,包括众所周知的和新的脆弱点的组合。僵尸网络通常使用客户机-服务器体系结构,其中一种类型的恶意软件(即,僵尸)被放置在主机计算机上并与命令和控制(C&C)服务器通信,命令和控制(C&C)服务器可以受到恶意用户(例如,僵尸网络操作者)控制。通常,僵尸网络由操作者使用C&C协议通过包括因特网中继交谈(IRC)和对等(P2P)通信在内的各种通道控制的大量的僵尸组成。僵尸可以接收来自C&C服务器的、执行具体的恶意活动的命令,且因此可以执行这样的命令。僵尸也可以把任何结果或所窃取的信息发送回到C&C服务器。
僵尸常常被设计为发起与C&C服务器的通信,并冒充成正常的web浏览器流量。例如,僵尸可以使用通常用来与web服务器通信的端口。因此,在没有对web流量执行更详尽的分组检查的情况下,现有的技术不能检测到这样的僵尸。此外,一旦僵尸被发现,僵尸网络操作者就可以简单地查找由该僵尸冒充网络流量以便继续呈现为正常web流量的另一途径。新近僵尸网络操作者已经精心制作使用诸如例如安全套接字层(SSL)等的加密协议的僵尸,由此加密恶意网络流量。这样的经加密的流量可以使用超文本传输协议安全(HTTPS)端口,以使得仅经加密的会话中所涉及的端点可以解密数据。因而,现有的防火墙和其他网络入侵防御技术不能对web流量执行任何有意义的检查,且僵尸可能继续感染网络内的主机计算机。
聚焦于防止未经授权的程序文件在主机计算机上执行的其他软件安全技术可能具有最终用户或企业雇员或其他组织的实体不期望的副作用。网络或信息技术(IT)管理员可能承担精心制作与企业实体的所有方面相关的广泛策略的任务,以便允许雇员从期望的和可信的网络资源获得软件和其他电子数据。在不存在广泛策略的情况下,禁止雇员从没有经过专门授权的网络资源下载软件和其他电子数据,即使这样的软件和其他数据促进合法的和必要的企业活动也是如此。这样的系统太富于限制性,使得如果在主机计算机上出现未经授权的软件,则可以暂停任何主机计算机活动,等待网络管理员干预。此外,在网络级别,可能简单地存在太多的应用而不能有效地跟踪和合并到策略中。大的白名单或黑名单难以维护,且可能使得网络性能降级,并且可能难以容易标识一些应用。
然而,可以在主机和防火墙之间共享信息,以便共同地和相互地实现更好的安全。例如,主机可以把应用理解为正在以特定认证运行进程的可执行文件,同时防火墙可以把该应用理解为TCP连接中的协议,该连接也可以与具体的用户认证相关。主机可以与防火墙共享会话描述符和其他元数据,且防火墙可以根据需要与主机共享网络策略,以使得应用活动与预期的网络行为相互关联。网络策略可以包括安全策略的元素以及其他网络特定参数,例如服务质量(QoS)和路由。主机也可以与通用唯一标识符(UUID)相关联,通用唯一标识符可以被用来使得连接和在网络地址转换器后面起源的活动相互关联。
主机也可以向防火墙通知到主机的附加网络连接。例如,如果主机具有同时活动的无线和有线连接,则可以存在在其他连接上传送在一个连接上接收的数据的风险,因此可能期望限定对敏感数据的访问。如果连接与虚拟机相关联,或者如果主机附连了可安装的读/写介质,例如USB棒,则主机也可以通知防火墙。
在网络环境10的一些实施例中,主机可以包括多个附接点,引起它具有多个IP地址。在其他实施例中,主机可以使用也许包括隐私扩展(RFC4941)的IP版本6(IPv6),从而导致它具有一个或多个已注册的和已知的IPv6地址和一个或多个隐藏的或私有的IPv6地址。在这些实施例中,互锁防火墙可以容易地使用动态信息共享来为主机上的所有地址发现用户-主机映射。
在网络环境10中的互锁主机和防火墙之间的这种动态信息共享可以提供超过常规体系结构的若干益处。例如,通过协调防火墙策略与主机,防火墙可以不同地管理路由,例如通过取决于主机上的多个用户中的哪些正在尝试建立连接来允许或拒绝流量。此外,仅可能需要粒度控制的应用需要受到防火墙控制。因而,防火墙可以控制任意的或规避的应用,提供更高的有效吞吐量,并控制移动用户流量。另外,不需要完全允许或拒绝的流量可以是速率受限的。借助于在防火墙可用的进程信息,任意的或规避的应用也可以受到速率限制,且可以为受管理的和不受管理的主机提供差异化的服务。
许多主机可以仅把单个防火墙用于所有路由,且在主机上运行的代理可以维护可以标识这一防火墙的防火墙缓存。在更复杂的场景中,主机可以使用多于一个的防火墙,在这种情况中,理解哪些防火墙可以处理给定的流很重要。通过将给定的网络路由映射到具体的防火墙,防火墙缓存可以提供穿过多于一个的防火墙的路由,或者它可以为动态映射提供发现动作。路由通常是受管理或不受管理的。“受管理的路由”通常是指通过被配置为接受元数据并把网络策略应用到网络流的防火墙到网络的路由,而“不受管理的路由”是通过不被配置为接受元数据或应用网络策略的防火墙到网络的路由。例如,通过把目的地网络与被指派为用于管理到网络的流的防火墙关联起来,防火墙缓存可以标识受管理的路由,或者,例如,通过把目的地网络与空值关联起来,可以标识不受管理的路由。防火墙缓存可以由管理员初始化或配置,从而为每一命名网络提供了单独的配置,和/或在第一次使用网络时提供了默认配置。最初基于所有全局IP地址都是在因特网上的假设,一些配置可以为各因特网地址定义一个防火墙。
会话描述符通常包括关于与给定网络会话相关联的主机和应用的信息。例如,会话描述符可以包括与主机相关联的UUID和进程所有者的用户凭证。由于用户可以以不同的用户凭证运行分离的进程,这样的信息对Citrix和终端服务来说尤其有益。会话描述符可以另外包括对应于尝试建立网络连接的进程的应用文件的文件名、路径名或其他唯一标识符(例如,C:\...\WINWORD.EXE)。例如,在一些实施例中,应用可以由该应用的可执行文件的散列函数标识,以便使得恶意用户更加难以仿冒应用名称。防火墙可以使这种信息与应用标识符或协议相互关联,以便确保按照预期执行应用。
会话描述符也可以包含关于主机环境的信息,例如安装在主机和上的软件和软件的当前配置和状态,从而准许防火墙充当网络访问控制设备。例如,会话描述符可以指示本地防病毒系统是否最新且正在运行。如果基于主机的数据丢失防护(HDLP)软件可用,则会话描述符也可以包括用于文件传递的文件类型信息。HDLP通常确定传出网络的文件的类型(例如,PDF、Word等等)。防火墙可以具有关于在具体协议上传送的特定文件类型的附加策略,这些策略对HDLP程序来说并非是直接可见的。
在网络环境10的一些实施例中,可以在带外通信信道(“元数据通道”)上交换会话描述符和其他元数据,带外通信信道可以用为通信隐私提供认证和/或加密的协议来实现。在更具体的实施例中,数据报传输层安全(DTLS)协议可以被用来提供具有通信隐私的元数据通道,且主机和防火墙可以使用基于普通证书授权的证书。在一些实施例中,策略服务器可以把证书分发给主机和防火墙,同时在其他实施例中,可以使用外部认证机构。包括DTLS在内的一些协议也可以被用来建立从防火墙到主机的反向通道,例如,该反向通道可以用于错误消息和诊断。
在打开新的网络流之前,主机可以把元数据发送给防火墙,以使得通常在新的流的第一分组之前元数据就到达防火墙。更具体地,主机上的防火墙代理可以截取新的流的第一分组并发送会话描述符和与流相关联的其他元数据,例如源IP地址和端口、目的地IP地址和端口以及协议。如果防火墙代理释放该流,则防火墙可以维护元数据缓存并使网络流与元数据相互关联。更具体地,防火墙可以使元数据与网络流数据相互关联,网络流数据广义上是指把给定网络流与源节点(即,发送或尝试发送分组的节点)和目的地节点(即,分组递送给其中的节点)或诸目的地节点(例如,广播或多播地址)关联起来的信息。流数据也可以包括关于流的其他信息,诸如例如协议系列或协议。
例如,TCP通常用握手——主机发送带有被设置为指示正在进行三方握手的TCP标志位(即,SYN位)中的一个的第一分组——打开新的流(在TCP流的上下文中通常被称为“连接”)。因而,通过检测发送SYN分组(即,带有已设定的SYN位的分组)并保持SYN分组的源节点上的应用,源节点上的代理可以截取新的TCP连接。代理可以例如通过在防火墙缓存中定位路由及其关联的防火墙来标识用于管理到与新的连接相关联的目的地节点的路由的防火墙,并在安全的元数据通道上把元数据发送给防火墙(防火墙可以缓存该元数据)。然后,通过把SYN分组发送给防火墙,可以发布连接请求,且防火墙可以使源IP、目的地IP、协议等等相互关联。
流不限于使用诸如TCP等的可靠协议的通信;流也可以提供使用诸如UDP或IP等的不可靠协议的通信。在其他实施例中,代理可以跟踪使用不可靠协议的流并通过在它传送元数据的同时保持流的第一分组来截取新的流。代理也可以是可以通过缓存流的第一分组的散列来转发元数据,并把该散列与后续分组的散列进行比较,以判断第一分组是否由应用转发。在进一步的其他实施例中,防火墙可以跟踪流和缓存第一分组,直到元数据到达。在更进一步的其他实施例中,以流中的每一分组使用不可靠的协议来发送元数据,或从不发送元数据。第一分组数据的缓存可以是非常短暂的(例如少于1秒到5秒)。
根据在此公开的各实施例,网络环境10可以提供用于互锁防火墙的主机发起的发现的系统和方法。例如,如果防火墙代理检测到新的流,则防火墙代理可以查阅防火墙缓存,以判断哪一防火墙应接收该流的元数据。如果没有找到缓存条目,则防火墙代理可以查阅发现表,以判断该地址是本地还是沿着因特网路径。替代地,防火墙缓存可以包括某些路由的发现动作。防火墙代理可以基于发现表或防火墙缓存中的适当的条目发送防火墙发现查询。沿着该路由的防火墙可以接收防火墙发现查询并返回防火墙发现结果,该结果可以提供防火墙地址。
受管理的主机和防火墙也可以维护用于认证发现消息的共享秘密(例如,口令、密钥等等)。例如,该共享秘密可以由策略服务器分发或手动配置,且防火墙可以与多于一个的主机(包括在站点内所有主机)共享相同的秘密。在某些实施例中,共享秘密可以是时间的函数。在进一步的其他实施例中,受管理的主机和防火墙可以使用非对称密钥加密(即,公钥加密)以便保护发现消息。在一些实施例中,密钥对也可以由策略服务器发布,或者在其他实施例中可以手动地配置,且可以与多于一个的防火墙共享相同的密钥对。
在更具体的实施例中,可以借助于被打包在因特网控制报文协议(ICMP)或UDP分组中的协议数据单元(PDU)实现防火墙发现消息。例如,防火墙发现查询PDU可以包括防火墙代理主机的IP地址、发现目标的IP地址(这可以从防火墙缓存检索到)、防火墙查询(例如,幻数、子类型代码和发现目标地址)和消息认证码(MAC),它们可以被打包在ICMP回声(echo)消息中并被发送给发现目标地址。ICMP回声应答消息中的防火墙发现结果PDU可以返回主机的IP地址和发现目标的IP地址以及防火墙信息(例如,幻数、子类型代码、防火墙IP地址、主机管理器端口)和消息认证码。在这样的实施例中,幻数可以是32位标识符(例如,0x46484131或“FHA1”),例如,32为标识符也可以充当协议版本号。发现目标可以是被指定用于ICMP回声消息中的发现查询的全局已知地址,以使得例如它可以被用来发现因特网路由,或者它可以是在给定网络内被指定用于发现内部或外部路由的节点。
在某些示例实施例中,每一MAC可以是基于散列的消息认证码(HMAC)。通常,HMAC是涉及与共享秘密(例如,密钥)组合的诸如MD5或SHA-1等的加密散列函数的MAC,该共享秘密可以被用来验证数据完整性和消息的可信性。例如,防火墙发现查询PDU可以提供基于与发起发现的主机共享的密钥和防火墙查询中的数据的HMAC-SHA1,同时,防火墙发现结果PDU可以提供基于共享密钥和防火墙信息的HMAC-SHA1。
在其他实施例中,防火墙可以具有公钥/私钥对,它可以使用该公钥/私钥对来建立元数据通道(例如,DTLS连接)。主机也可以使用防火墙的公钥来加密发现查询消息的散列(例如使用RSA),且防火墙的私钥可以被用来加密发现应答消息的散列。经加密的散列可以被插入到发现查询或应答中,且可以用适当的密钥来确证发现消息。例如,可以如上所述使用ICMP DU分组,但用经加密的散列来代替HMAC。
在各示例实施例中,主机上的防火墙代理可以发送防火墙发现查询,从而跟踪发现规则和目标。如果防火墙的主机管理器检测到防火墙发现查询PDU且可以通过使用共享秘密来计算该查询的MAC来验证该查询,则它可以截取看上去像是来自防火墙代理的无害的ICMP回声消息的内容。如果查询是有效的,则主机管理器可以构建防火墙发现结果并将在ICMP回声应答中其发送给防火墙代理。如果主机上的防火墙代理检测防火墙发现结果PDU,则主机上的防火墙代理可以接收ICMP回声应答并处理它,且可以基于其MAC认证查询。例如,如果消息是可信的,则主机可以更新其防火墙缓存以便在结果中反映防火墙信息。
在其他实施例中,防火墙代理可以在UDP分组中发送防火墙发现查询。防火墙的主机管理器可以被配置为检查来自防火墙代理的UDP分组并阻止基于UDP的防火墙发现查询离开网络,以便防止无意的泄露。如果主机管理器检测到防火墙发现查询PDU,则它可以通过使用共享秘密来计算该查询的MAC来验证该查询。如果查询是有效的,则主机管理器可以构建防火墙发现结果并在UDP分组中将其发送给防火墙代理。如果主机上的防火墙代理检测到防火墙发现结果PDU,则主机上的防火墙代理可以接收UDP分组并处理它,且可以基于其MAC认证该查询。例如,如果消息是可信的,则主机可以更新其防火墙缓存在结果中反映防火墙信息。
转到图2,图2是阐释可以与网络环境10的潜在实施例相关联的附加细节的简化框图。图2包括因特网15、用户主机20a、防火墙25和服务器45。用户主机20a和防火墙25中的每一都可以包括各自的处理器50a-50b、各自的存储器元件55a-55b和各种硬件和/或软件模块。更具体地,用户主机20a可以包括应用60、配置数据库65、客户机证书70和防火墙代理75,防火墙代理75可以维护防火墙缓存77。防火墙25可以包括主机管理器80和策略模块85以及日志90、元数据缓存95和服务器证书97。
在一种示例实现中,用户主机20a-20b、防火墙25和/或策略服务器30是网络元件,网络元件预期包含网络设备、服务器、路由器、交换机、网关、桥、负载均衡器、处理器、模块或任何其他合适的设备、组件、元素或可操作为在网络环境中交换信息的物体。网络元件可以包括任何合适的硬件、软件、组件、模块或促进其操作的物体,以及用于在网络环境中接收、传送和/或以另外方式传输数据或信息的合适接口。这可以包括允许有效交换数据或信息的适当的算法和通信协议。然而,用户主机20a-20b可以不同于其他网络元件,这是由于它们倾向于充当网络连接的终端点,这与倾向于充当网络连接中的中间点的网关或路由器形成对比。用户主机20a-20b也可以表示无线网络节点,例如iPhone、iPad、Android电话或其他类似电信设备。
考虑到与网络环境10相关联的内部结构,用户主机20a-20b、防火墙25和/或策略服务器30中的每一个都可以包括用于存储在此略述的操作中所使用的信息的存储器元件。在适当的场合且基于具体的需要,用户主机20a-20b、防火墙25和/或策略服务器30中的每一个都可以把信息保存在任何合适的存储器元件(例如,随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)、专用集成电路(ASIC)等等)、软件、硬件或任何其他合适的组件、设备、元件或物体中。在此讨论的存储器项中的任何(例如,存储器元件55a-55b)应被解释成被包含在“存储器元件”的宽泛术语内。在任何数据库、寄存器、队列、表、缓存、控制列表或其他存储结构中提供由用户主机20a-20b、防火墙25和/或策略服务器30使用、跟踪、发送或接收的信息,这些数据库、寄存器、队列、表、缓存、控制列表或其他存储结构中全部可以在任何合适的时间框架引用。任何这样的存储选项可以被包括在此处所使用的“存储器元件”的宽泛术语内。
在某些示例实现中,在此略述的功能可以由在一个或多个有形介质中编码的逻辑(例如,由处理器或其他相似的机器执行的在ASIC中提供的嵌入式逻辑、数字信号处理器(DSP)指令、软件(潜在地包括对象代码和源代码)等等)实现,该有形介质可以包括非暂态介质。在这些实例中的一些中,存储器元件(如图2中所示出)可以存储用于在此描述的操作的数据。这包括可以存储被执行为实现在此描述的活动的软件、逻辑、代码或处理器指令的存储器元件。
在一种示例实现中,用户主机20a-20b、防火墙25和/或策略服务器30可以包括软件模块(例如,防火墙代理75和/或主机管理器80)以便实现或促进在此略述的操作。在其他实施例中,这样的操作可以由在这些元素外部实现的硬件执行,或者被包括在实现预期功能性的某种其他网络设备中。替代地,这些元素可以包括可以协调为实现在此略述的操作的软件(或替代的软件)。在进一步的其他实施例中,这些设备中的一个或全部可以包括任何合适的算法、硬件、软件、组件、模块、接口或促进其操作的物体。
另外,用户主机20a-20b、防火墙25和/或策略服务器30中的每一个可以包括处理器,该处理器可以执行软件或算法以便进行在此讨论的活动。处理器可以执行与数据相关联的任何类型的指令,以便实现在此详述的操作。在一个示例中,处理器(如图2中所示出)可以把元素或制品(例如,数据)从一个状态或事物变换成另一状态或事物。在另一示例中,可以借助于固定逻辑或可编程逻辑(例如,由处理器执行的软件/计算机指令)实现在此略述的活动,且在此标识的元素可以是某种类型的可编程处理器、可编程数字逻辑(例如,现场可编程门阵列(FPGA)、EPROM、EEPROM)或包括数字逻辑、软件、代码、电子指令或其任何合适的组合的ASIC。在此描述的潜在的处理元素、模块和机器中的任何均应被解释成被包含在“处理器”的宽泛术语内。
图3阐释可以与网络环境10的一些实施例相关联的防火墙缓存300中的示例条目的简化表。表300包括发现目标列305和发现动作列310。发现目标列305通常标识目标主机或子网(例如,通过目的地地址和网络掩码标识),且发现动作列310把发现动作与发现目标列305中相应的条目中的主机或子网关联起来。在某些实施例中,发现动作可以指示该目标免遭发现,发现查询应被直接地发送给目标,发现应被直接地发送给目标,以及结果应与默认的(例如,因特网)路由相关联,或应当使用缓存中的默认路径。通常,对免除目标不发送发现查询。如果发现动作是直接发现,则发现查询可被寻址到目标,但中间防火墙可以截取和应答,这允许主机由此更新防火墙缓存。
例如,行315和行320指示,10.0.0.0或192.168.0.0子网中的目标免遭防火墙发现动作。行325把172.17.0.0子网中的主机与直接发现动作关联起来,以使得主机打开到带有地址172.17.2.100的服务器的连接,例如,可以发送寻址到该服务器的防火墙发现查询。行330指示,打开到example.com的连接的主机应把防火墙发现查询发送给example.com,并把任何返回的防火墙发现结果用作默认的因特网防火墙。行335中的最后的条目指示,所有其他地址应使用默认的因特网防火墙。
通常,按顺序评估规则(即,发现目标和关联的发现动作)。在典型的小网络环境中,在到因特网的单个防火墙可用且不存在内部互锁防火墙时,可以免除私有地址空间。然而,在表300的示例中,对于172.0.0.0子网中的任何事物,可以涉及防火墙。在一些实施例中,可以增加前缀长度参数(例如,对于IPv4来说是/24,且对于IPv6来说可以是/64)以便控制缓存条目的粒度。
图4是阐释可以与以ICMP分组的形式传输防火墙发现消息的网络环境10的示例实施例相关联的潜在操作的简化交互图。图4包括应用60、防火墙代理75和防火墙缓存300,它们可以被安装在用户主机中,诸如例如用户主机20a。图4也阐释主机管理器80、元数据缓存95和策略模块85,它们可以被安装在防火墙中,诸如例如防火墙25。图4中也叙述了内联网78、因特网15和服务器45。
在405,诸如应用60等的应用可以尝试打开到诸如例如服务器45等的服务器的新的TCP连接。在这种场景中,服务器45在example.com域中。防火墙代理75可以截取和保持新的连接,从而在410查询防火墙缓存300以便标识与到服务器45的路由相关联的防火墙或发现动作。在415,基于缓存300中的示例条目330,防火墙代理75可以在寻址到example.com的ICMP回声消息中发送防火墙发现查询。例如,这样的发现查询可以包括用户主机20a的IP地址、服务器45的地址(即,example.com或服务器45的IP地址)、防火墙查询(FHA1|0|::example.com|0)以及HMAC-SHA1(共享密钥,防火墙查询)。在这一示例中,防火墙查询的第一字段(“FHA1”)是可以被用来标识协议和版本号的数据符号(1iteral),第二字段(0)指示该消息是查询,第三字段(::example.com)表示example.com的IPv6地址或IPv4映射形式,且第四字段(0)是恒定占位符,它可以用来保持查询的结构和结果消息都相同,这允许协议是相互的和有效的。
主机管理器80可以在到服务器45的路由中接收和检查ICMP回声消息。在这一示例中,在420,主机管理器把ICMP回声消息有效载荷识别为防火墙发现查询PDU,通过对共享密钥和防火墙查询计算HMAC-SHA1来验证MAC,并构造防火墙发现结果。例如,这样的发现结果可以包括用户主机20a的IP地址、服务器45的地址(即,example.com或服务器45的IP地址)、防火墙信息(FHA1|1|防火墙地址|主机管理器端口)和HMAC-SHA1(共享密钥,防火墙信息)。在425,主机管理器80可以在ICMP回声应答中把该发现结果发送给防火墙代理75。
防火墙代理75可以接收和检查来自主机管理器80的ICMP回声应答。在这一示例中,在430,防火墙代理75可以把ICMP回声应答有效载荷识别为防火墙发现结果PDU并更新防火墙缓存300,例如通过用主机管理器80的防火墙地址和端口替换行330中的发现动作。此外,在这一具体的示例中,行330中的发现动作指定,所发现的防火墙也应被用作默认的因特网防火墙,由此防火墙代理也可以用主机管理器80的防火墙地址和端口替换行335中的任何发现动作。
然后,在435,例如使用由策略服务器分发的证书(例如,客户机证书70),防火墙75可以打开到该防火墙的连接(例如,DTLS连接)。在440,该连接也可以被添加到防火墙缓存300,用作将来的连接。在445a,例如经由DTLS分组,防火墙代理75可以把由应用60的发起的连接的元数据发送给主机管理器80。在445b,主机管理器80可以把元数据存储在元数据缓存95中。在450a,防火墙代理75可以释放该连接,从而允许来自应用60的数据流到主机管理器80。在450b,主机管理器80可以把连接数据(即,TCP流数据,例如源IP地址/端口、目的地IP地址/端口、协议等等)提供给策略模块85,且在455,策略模块85可以使连接数据与来自元数据缓存95的元数据相互关联,以便在460应用适当的网络策略。在图4的示例中,网络策略准许该连接,因此在465可以把该连接释放给服务器45,且在470数据可以在服务器45和应用60之间流动。
图5是阐释可以与以ICMP分组传输防火墙发现消息的网络环境10的其他示例实施例相关联的潜在操作的简化交互图。图5包括应用60、防火墙代理75和防火墙缓存300,它们可以被安装在用户主机中,诸如例如用户主机20a。图5也阐释主机管理器80、元数据缓存95和策略模块85,它们可以被安装在防火墙中,诸如例如防火墙25。图5中也叙述了内联网78、网络88和服务器45。
在505,诸如应用60等的应用可以尝试打开到诸如例如服务器45等的服务器的新的流。在这种场景中,例如,服务器45在172.17.0.0子网中,具有IP地址172.17.2.100。防火墙代理75可以截取和保持新的流,从而在510查询防火墙缓存300以便标识与到服务器45的路由相关联的防火墙或发现动作。在515,基于缓存300中的示例条目325,防火墙代理75可以在寻址到服务器45的ICMP回声消息中发送防火墙发现查询。例如,这样的发现查询可以包括用户主机20a的IP地址、服务器45的IP地址、防火墙查询(FHA1|0|::172.17.2.100|0)和HMAC-SHA1(共享密钥,防火墙查询)。
主机管理器80可以在到服务器45的路由中接收和检查ICMP回声消息。在这一示例中,在520,主机管理器80把ICMP回声有效载荷识别为防火墙发现查询PDU,且在构建防火墙发现结果之前,可以通过对共享密钥和防火墙查询计算HMAC-SHA1来验证MAC。例如,这样的发现结果可以包括用户主机20a的IP地址、服务器45的地址(例如,172.17.2.100)、防火墙信息(FHA1|1|防火墙地址|主机管理器端口)和HMAC-SHA1(共享密钥,防火墙信息)。在525,主机管理器80可以在ICMP回声应答中把发现结果发送给防火墙代理75。
防火墙代理75可以接收和检查来自主机管理器80的ICMP回声应答。在这一示例中,在530,防火墙代理75可以把ICMP回声应答有效载荷识别为防火墙发现结果PDU并更新防火墙缓存300,例如通过用主机管理器80的防火墙地址和端口替换行330中的发现动作。
然后,在535,例如,使用由策略服务器分发的证书(例如,客户机证书70),防火墙75可以打开到防火墙的流(例如,DTLS连接)。在540,该流也可以被添加到防火墙缓存300,用作将来的流。在545a,例如经由DTLS分组,防火墙代理75可以把由应用60发起的流的元数据发送给主机管理器80。在545b,主机管理器80可以把元数据存储在元数据缓存95中。在550a,防火墙代理75可以释放该流,允许来自应用60的数据流到主机管理器80。在550b,主机管理器80可以把流数据(例如,源IP地址/端口、目的地IP地址/端口、协议等等)提供给策略模块85,且在555,策略模块85可以使该数据与来自元数据缓存95的元数据相互关联,以便在560应用适当的网络策略。在图5的示例中,网络策略准许流,因此在565该流可以被释放到服务器45,且在570数据可以在服务器45和应用60之间流动。
图6是阐释可以与以UDP分组传输防火墙发现消息的网络环境10的示例实施例相关联的潜在操作的简化交互图。图6包括应用60、防火墙代理75和防火墙缓存300,它们可以被安装在用户主机中,诸如例如用户主机20a。图6也阐释主机管理器80、元数据缓存95和策略模块85,它们可以被安装在防火墙中,诸如例如防火墙25。图6中也叙述了内联网78、因特网15和服务器45。
在605,诸如应用60等的应用可以尝试打开例如到诸如服务器45等的服务器的新的流。在这种场景中,服务器45处于example.com域。防火墙代理75可以截取和保持新的流,从而在610查询防火墙缓存300以便标识与到服务器45的路由相关联的防火墙或发现动作。在615,基于缓存300中的示例条目330,防火墙代理75可以在UDP分组中把防火墙发现查询发送给服务器45上的预先配置UDP端口。例如,这样的发现查询可以包括用户主机20a的IP地址、服务器45的地址(即,example.com或服务器45的IP地址)、防火墙查询(FHA1|0|::example.com|0)和HMAC-SHA1(共享密钥,防火墙查询)。
主机管理器因此可以接收和检查到预先配置的UDP端口的路由中的UDP分组。在这一示例中,在620,主机管理器80把UPD有效载荷识别为防火墙发现查询PDU,通过对共享密钥和防火墙查询计算HMAC-SHA1来验证MAC,并构造防火墙发现结果。例如,这样的发现结果可以包括用户主机20a的IP地址、服务器45的地址(即,example.com或服务器45的IP地址)、防火墙信息(FHA1|1|防火墙地址|主机管理器端口)和HMAC-SHA1(共享密钥,防火墙信息)。在625,主机管理器80可以在UDP分组中把发现结果发送给防火墙代理75。
防火墙代理75可以接收和检查来自主机管理器80的UDP分组。在这一示例中,在630,防火墙代理75可以把UDP有效载荷识别为防火墙发现结果PDU并更新防火墙缓存300,例如通过用主机管理器80的防火墙地址和端口替换行330中的发现动作。此外,在这一具体的示例发现动作中,行330指定所发现的防火墙也应被用作默认的因特网防火墙,因此防火墙代理也可以用主机管理器80的防火墙地址和端口替换行335中的任何发现动作。
然后,在635,例如使用证书(例如,由策略服务器分发的客户机证书70),防火墙75可以打开到防火墙的连接(例如,DTLS连接)。在640,该连接也可以被添加到防火墙缓存300,用作将来的连接。在645a,例如经由DTLS分组,防火墙代理75可以把由应用60发起的流的元数据发送给主机管理器80。在645b,主机管理器80可以把元数据存储在元数据缓存95中。在650a,防火墙代理75可以释放该流,允许来自应用60的数据流到主机管理器80。在650b,主机管理器80可以把流数据(例如,源IP地址/端口、目的地IP地址/端口、协议等等)提供给策略模块85,且在655策略模块85可以使流数据与来自元数据缓存95的元数据相互关联,以便在660应用适当的网络策略。在图6的示例中,网络策略准许流,因此在665流可以被释放到服务器45,且在670数据可以在服务器45和应用60之间流动。
图7是阐释可以与以UDP分组传输防火墙发现消息的网络环境10的其他示例实施例相关联的潜在操作的简化交互图。图7包括应用60、防火墙代理75和防火墙缓存300,它们可以被安装在用户主机中,诸如例如用户主机20a。图7也阐释主机管理器80、元数据缓存95和策略模块85,它们可以被安装在防火墙中,诸如例如防火墙25。图7中也叙述了内联网78、因特网15和服务器45。
在705,诸如应用60等的应用可以尝试打开到诸如例如服务器45等的服务器的新的TCP连接。在这种场景中,服务器45处于172.17.0.0子网,且例如具有IP地址172.17.2.100。防火墙代理75可以截取和保持新的连接,从而在710查询防火墙缓存300,以便标识与到服务器45的路由相关联的防火墙或发现动作。在715,基于缓存300中的示例条目325,防火墙代理75可以在UDP分组中把防火墙发现查询发送给服务器45上的预先配置的端口。例如,这样的发现查询可以包括用户主机20a的IP地址、服务器45的IP地址、防火墙查询(FHA1|0|::172.17.2.100|0)和HMAC-SHA1(共享密钥,防火墙查询)。
主机管理器80可以接收和检查到服务器45的路由中的UDP分组路由。在这一示例中,在720,主机管理器80把UDP有效载荷识别为防火墙发现查询PDU,通过对共享密钥和防火墙查询计算HMAC-SHA1验证MAC,并构造防火墙发现结果。例如,这样的发现结果可以包括用户主机20a的IP地址、服务器45的地址(例如,172.17.2.100)、防火墙信息(FHA1|1|防火墙地址|主机管理器端口)和HMAC-SHA1(共享密钥,防火墙信息)。在725,主机管理器80可以在UDP分组中把发现结果发送给防火墙代理75。
防火墙代理75可以接收和检查来自主机管理器80的UDP分组。在这一示例中,在730,防火墙代理75可以把UDP有效载荷识别为防火墙发现结果PDU并更新防火墙缓存300,例如通过用主机管理器80的防火墙地址和端口替换行330中的发现动作。
然后,例如,在735,使用由策略服务器分发的证书(例如,客户机证书70),防火墙75可以打开到防火墙的流(例如,DTLS连接)。在740,该流也可以被添加到防火墙缓存300,用于将来的连接。在745a,例如经由DTLS分组,防火墙代理75可以把由应用60发起的连接的元数据发送给主机管理器80。在745b,主机管理器80可以把元数据存储在元数据缓存95中。在750a,防火墙代理75可以释放该连接,从而允许来自应用60的数据流到主机管理器80。在750b,主机管理器80可以把(例如,源IP地址/端口、目的地IP地址/端口、协议等等)连接数据提供给策略模块85,且在755,策略模块85可以使连接数据与来自元数据缓存95的元数据相互关联,以便在760应用适当的网络策略。在图7的示例中,网络策略准许该连接,因此在765该连接可以被释放给服务器45,且在770数据可以在服务器45和应用60之间流动。
图8是可以与网络环境10的示例实施例中的元数据通道上的交换元数据相关联的示例分组数据单元(PDU)格式800。例如,PDU格式800可以包括网络流数据805和会话描述符数据810。网络流数据805可以提供与来自诸如受管理的主机上的应用等的源的新的流相关联的信息。在PDU格式800中,举例来说,网络流数据805可以标识协议(短协议(short protocol))(例如,TCP、UDP、ICMP、GRE、IPSec等等)、源节点的IP地址(IPaddress source_address(IP地址源_地址))、打开连接的进程的端口号(short source_port(短源_端口))、目的地节点的IP地址(IPaddress dest_address(IP地址目的地_地址))和在目的地节点上接收连接的进程的端口号(short dest_port(短目的地_端口))。会话描述符810可以提供关于与打开连接的应用相关联的用户信息,例如安全ID(串sid(string sid))、与用户相关联的域(串域(string domain))和用户名(串用户(string user))以及关于该应用的信息,例如该应用的完整路径(string application_path(串应用_路径))。会话描述符810中的其他信息可以提供关于源节点(例如,主机)的状态的数据,包括主机防火墙的状态(boolean FW_enabled(布尔防火墙_启用))和在主机上运行的防病毒软件(boolean AV_enabled(布尔AV_启用)),以及关于源节点上的接口的信息(Interface interfaces[](接口interfaces[]))。然而,PDU格式800仅仅是说明性的,且可以是容易地修改以便提供替代的或附加的元数据,例如关于入侵防御系统的信息、路由信息、附加的销售商信息等等。
网络环境10可以提供显著的优点,已经讨论了其中的一些。例如,网络环境10可以以低的协议开销和最小配置提供主机/防火墙互锁数据的认证。利用TCP和应用层协议中的配置数据、诸如DTLS等的协议以及计时器网络环境10可以容易地修改为重用标准代码包,同时在现有的网络策略和安全基础设施内共存。
网络环境10也可以与不受管理的路由无缝地一起操作。例如,防火墙代理可以截取从应用到服务器的新的流,并从防火墙缓存确定该路由是不受管理的。防火墙代理可以释放该流,且可以建立到服务器的流,而没有附加的分组开销。
在以上提供的实施例以及许多其他可能的实施例中,可以就两个、三个或四个网络元件来描述交互。然而,为清楚起见并仅作为示例而限定网络元件的数目。在某些情况下,可能会更易于仅通过引用有限数量的网络元件来描述一组给定的操作的功能性的一种或多种。应明白,网络环境10是容易缩放的,并且可以容纳大量的部件以及更复杂/精密的排列和配置。因此,因此,所提供的示例不应该限制范围或约束网络环境10中潜在应用到各种其他体系结构的广泛教导。另外,尽管参考其中在网络元件内提供诸如策略模块85等的具体模块的具体场景进行了描述,但这些模块可以从外部提供,或者以任何方式合并和/或组合。在某些实例中,可以在单个专有单元中提供这样的模块。
同样重要的是应当注意,在附图中的步骤仅阐释了一些可能由网络环境10执行或者在网络环境内执行的可能的场景和模式。在适当情况下可以删除或移除这些步骤中的一些,或者可以在不偏离在此提供的教导的范围的前提下显著地修改或改变这些步骤。此外,许多这些操作已经被描述为与一个或多个附加操作同时地或并行地执行。然而,这些操作的时序可能显著改变。出于示例和讨论的目的已经提供了前述操作流。网络环境10提供了相当大的灵活性,这是由于在不偏离在此提供的教导的前提下可以提供任何合适的排列、年表、配置和时序机制。
本领域的技术人员可以确定众多其他的改变、替换、变化、改变和修改,且预期本公开内容包含落在所附权利要求的范围内的所有这样的改变、替换、变化、改变和修改,为了辅助美国专利和商标局(USPTO)并且为了辅助基于本申请授予的任何专利的任何读者解释所附权利要求,申请人谨指出,申请人:(a)不预期任何所附权利要求援引美国专利法(35U.S.C.)第112条的第六(6)段(由于其在提交日存在),除非本协议的词“用于……的装置”或“用于……步骤”被用于特定权利要求中;以及(b)不预期本说明书中的任何语句以未在所附权利要求中反映出的任何方式来限制本公开内容。
Claims (24)
1.一种方法,包括:
截取到具有网络地址的目的地节点的网络流;
基于与防火墙缓存中的所述网络地址相关联的发现动作,发送发现查询;
接收来自防火墙的发现结果;
把与所述网络流相关联的元数据发送给所述防火墙;以及
释放所述网络流。
2.如权利要求1所述的方法,其特征在于,以因特网控制消息协议分组发送所述发现查询。
3.如权利要求1所述的方法,其特征在于,以因特网控制消息协议回声消息发送所述发现查询。
4.如权利要求1所述的方法,其特征在于,以用户数据报协议发送所述发现查询。
5.如权利要求1所述的方法,其特征在于,使用数据报传输层安全协议发送所述元数据。
6.如权利要求1所述的方法,其特征在于,所述发现查询包括消息认证码。
7.如权利要求1所述的方法,其特征在于,所述发现查询包括基于散列的消息认证码。
8.如权利要求1所述的方法,其特征在于,进一步包括用消息认证码认证所述发现结果。
9.如权利要求1所述的方法,其特征在于,所述发现查询包括带有共享秘密的基于散列的消息认证码。
10.如权利要求1所述的方法,其特征在于,所述发现查询包括所述发现查询的散列的公钥加密。
11.如权利要求1所述的方法,其特征在于,进一步包括用所述发现结果的散列的公钥解密认证所述发现结果。
12.如权利要求1所述的方法,其特征在于,进一步包括使所述元数据与所述网络流相互关联以便把网络策略应用到所述网络流。
13.一种方法,包括:
接收来自源节点的发现查询;
把发现结果发送给所述源节点,其中所述发现结果标识用于管理到目的地节点的路由的防火墙;
在元数据通道上接收来自所述源节点的元数据;
截取从源节点到所述目的地节点的网络流;以及
使所述元数据与所述网络流相互关联以便把网络策略应用到所述网络流。
14.如权利要求13所述的方法,其特征在于,所述元数据通道使用数据报传输层安全协议。
15.如权利要求13所述的方法,其特征在于,进一步包括用消息认证码认证所述发现查询。
16.如权利要求13所述的方法,其特征在于,进一步包括用基于散列的消息认证码认证所述发现查询。
17.如权利要求13所述的方法,其特征在于,进一步包括用所述发现查询的散列的公钥加密的私钥解密认证所述发现查询。
18.如权利要求13所述的方法,其特征在于,进一步包括用消息认证码认证所述发现结果。
19.如权利要求13所述的方法,其特征在于,进一步包括用所述发现结果的散列的私钥加密认证所述发现结果。
20.如权利要求13所述的方法,其特征在于,以因特网控制消息协议分组发送所述发现结果。
21.如权利要求13所述的方法,其特征在于,以带有消息认证码的因特网控制消息协议分组发送所述发现结果。
22.如权利要求13所述的方法,其特征在于,以因特网控制消息协议回声应答消息发送所述发现结果。
23.如权利要求13所述的方法,其特征在于,以用户数据报协议发送所述发现结果。
24.如权利要求13所述的方法,其特征在于,以带有消息认证码的用户数据报协议发送所述发现结果。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/275,196 | 2011-10-17 | ||
| US13/275,196 US8800024B2 (en) | 2011-10-17 | 2011-10-17 | System and method for host-initiated firewall discovery in a network environment |
| PCT/US2012/057153 WO2013058940A1 (en) | 2011-10-17 | 2012-09-25 | System and method for host-initiated firewall discovery in a network environment |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103875226A true CN103875226A (zh) | 2014-06-18 |
| CN103875226B CN103875226B (zh) | 2017-04-26 |
Family
ID=48086915
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201280050877.0A Active CN103875226B (zh) | 2011-10-17 | 2012-09-25 | 用于网络环境中主机发起的防火墙发现的系统和方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8800024B2 (zh) |
| EP (1) | EP2769514A4 (zh) |
| CN (1) | CN103875226B (zh) |
| WO (1) | WO2013058940A1 (zh) |
Families Citing this family (70)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7856661B1 (en) | 2005-07-14 | 2010-12-21 | Mcafee, Inc. | Classification of software on networked systems |
| US7757269B1 (en) | 2006-02-02 | 2010-07-13 | Mcafee, Inc. | Enforcing alignment of approved changes and deployed changes in the software change life-cycle |
| US7895573B1 (en) | 2006-03-27 | 2011-02-22 | Mcafee, Inc. | Execution environment file inventory |
| US8332929B1 (en) | 2007-01-10 | 2012-12-11 | Mcafee, Inc. | Method and apparatus for process enforced configuration management |
| US9424154B2 (en) | 2007-01-10 | 2016-08-23 | Mcafee, Inc. | Method of and system for computer system state checks |
| US8467527B2 (en) | 2008-12-03 | 2013-06-18 | Intel Corporation | Efficient key derivation for end-to-end network security with traffic visibility |
| US8381284B2 (en) | 2009-08-21 | 2013-02-19 | Mcafee, Inc. | System and method for enforcing security policies in a virtual environment |
| US8925101B2 (en) | 2010-07-28 | 2014-12-30 | Mcafee, Inc. | System and method for local protection against malicious software |
| US8938800B2 (en) | 2010-07-28 | 2015-01-20 | Mcafee, Inc. | System and method for network level protection against malicious software |
| JP5618745B2 (ja) * | 2010-10-06 | 2014-11-05 | キヤノン株式会社 | 通信装置、通信方法、及びプログラム |
| US9191327B2 (en) | 2011-02-10 | 2015-11-17 | Varmour Networks, Inc. | Distributed service processing of network gateways using virtual machines |
| US9112830B2 (en) | 2011-02-23 | 2015-08-18 | Mcafee, Inc. | System and method for interlocking a host and a gateway |
| US9594881B2 (en) | 2011-09-09 | 2017-03-14 | Mcafee, Inc. | System and method for passive threat detection using virtual memory inspection |
| US8800024B2 (en) | 2011-10-17 | 2014-08-05 | Mcafee, Inc. | System and method for host-initiated firewall discovery in a network environment |
| US8713668B2 (en) | 2011-10-17 | 2014-04-29 | Mcafee, Inc. | System and method for redirected firewall discovery in a network environment |
| US8813169B2 (en) | 2011-11-03 | 2014-08-19 | Varmour Networks, Inc. | Virtual security boundary for physical or virtual network devices |
| US9529995B2 (en) * | 2011-11-08 | 2016-12-27 | Varmour Networks, Inc. | Auto discovery of virtual machines |
| US9053311B2 (en) * | 2011-11-30 | 2015-06-09 | Red Hat, Inc. | Secure network system request support via a ping request |
| US8739272B1 (en) | 2012-04-02 | 2014-05-27 | Mcafee, Inc. | System and method for interlocking a host and a gateway |
| US8751615B2 (en) * | 2012-07-18 | 2014-06-10 | Accedian Networks Inc. | Systems and methods of discovering and controlling devices without explicit addressing |
| US9176838B2 (en) * | 2012-10-19 | 2015-11-03 | Intel Corporation | Encrypted data inspection in a network environment |
| US8973146B2 (en) | 2012-12-27 | 2015-03-03 | Mcafee, Inc. | Herd based scan avoidance system in a network environment |
| WO2015060857A1 (en) | 2013-10-24 | 2015-04-30 | Mcafee, Inc. | Agent assisted malicious application blocking in a network environment |
| US9560081B1 (en) | 2016-06-24 | 2017-01-31 | Varmour Networks, Inc. | Data network microsegmentation |
| US10264025B2 (en) | 2016-06-24 | 2019-04-16 | Varmour Networks, Inc. | Security policy generation for virtualization, bare-metal server, and cloud computing environments |
| US9973472B2 (en) | 2015-04-02 | 2018-05-15 | Varmour Networks, Inc. | Methods and systems for orchestrating physical and virtual switches to enforce security boundaries |
| US10091238B2 (en) | 2014-02-11 | 2018-10-02 | Varmour Networks, Inc. | Deception using distributed threat detection |
| US9609026B2 (en) | 2015-03-13 | 2017-03-28 | Varmour Networks, Inc. | Segmented networks that implement scanning |
| US9467476B1 (en) | 2015-03-13 | 2016-10-11 | Varmour Networks, Inc. | Context aware microsegmentation |
| US9438634B1 (en) | 2015-03-13 | 2016-09-06 | Varmour Networks, Inc. | Microsegmented networks that implement vulnerability scanning |
| US10193929B2 (en) | 2015-03-13 | 2019-01-29 | Varmour Networks, Inc. | Methods and systems for improving analytics in distributed networks |
| US9294442B1 (en) | 2015-03-30 | 2016-03-22 | Varmour Networks, Inc. | System and method for threat-driven security policy controls |
| US10178070B2 (en) | 2015-03-13 | 2019-01-08 | Varmour Networks, Inc. | Methods and systems for providing security to distributed microservices |
| US9380027B1 (en) | 2015-03-30 | 2016-06-28 | Varmour Networks, Inc. | Conditional declarative policies |
| US10009381B2 (en) | 2015-03-30 | 2018-06-26 | Varmour Networks, Inc. | System and method for threat-driven security policy controls |
| US9525697B2 (en) | 2015-04-02 | 2016-12-20 | Varmour Networks, Inc. | Delivering security functions to distributed networks |
| US10015162B2 (en) * | 2015-05-11 | 2018-07-03 | Huawei Technologies Co., Ltd. | Firewall authentication of controller-generated internet control message protocol (ICMP) echo requests |
| US9483317B1 (en) | 2015-08-17 | 2016-11-01 | Varmour Networks, Inc. | Using multiple central processing unit cores for packet forwarding in virtualized networks |
| GB2541950B (en) * | 2015-09-07 | 2020-01-08 | Arm Ip Ltd | Methods for verifying data integrity |
| US9740877B2 (en) | 2015-09-22 | 2017-08-22 | Google Inc. | Systems and methods for data loss prevention while preserving privacy |
| RU2688251C1 (ru) * | 2015-10-05 | 2019-05-21 | Телефонактиеболагет Лм Эрикссон (Пабл) | Беспроводная связь |
| US10191758B2 (en) | 2015-12-09 | 2019-01-29 | Varmour Networks, Inc. | Directing data traffic between intra-server virtual machines |
| US9830463B2 (en) | 2016-01-22 | 2017-11-28 | Google Llc | Systems and methods for detecting sensitive information leakage while preserving privacy |
| US9762599B2 (en) | 2016-01-29 | 2017-09-12 | Varmour Networks, Inc. | Multi-node affinity-based examination for computer network security remediation |
| US9680852B1 (en) | 2016-01-29 | 2017-06-13 | Varmour Networks, Inc. | Recursive multi-layer examination for computer network security remediation |
| US9521115B1 (en) | 2016-03-24 | 2016-12-13 | Varmour Networks, Inc. | Security policy generation using container metadata |
| CN105827649A (zh) * | 2016-05-19 | 2016-08-03 | 上海携程商务有限公司 | 防火墙策略的自动生成方法及系统 |
| US9787639B1 (en) | 2016-06-24 | 2017-10-10 | Varmour Networks, Inc. | Granular segmentation using events |
| WO2018004600A1 (en) | 2016-06-30 | 2018-01-04 | Sophos Limited | Proactive network security using a health heartbeat |
| US10755334B2 (en) | 2016-06-30 | 2020-08-25 | Varmour Networks, Inc. | Systems and methods for continually scoring and segmenting open opportunities using client data and product predictors |
| US10320749B2 (en) * | 2016-11-07 | 2019-06-11 | Nicira, Inc. | Firewall rule creation in a virtualized computing environment |
| US20180270200A1 (en) * | 2017-03-14 | 2018-09-20 | T-Mobile Usa, Inc. | Active Inventory Discovery for Network Security |
| US10958623B2 (en) * | 2017-05-26 | 2021-03-23 | Futurewei Technologies, Inc. | Identity and metadata based firewalls in identity enabled networks |
| US11487868B2 (en) * | 2017-08-01 | 2022-11-01 | Pc Matic, Inc. | System, method, and apparatus for computer security |
| US11271950B2 (en) | 2018-04-04 | 2022-03-08 | Sophos Limited | Securing endpoints in a heterogenous enterprise network |
| US10862864B2 (en) * | 2018-04-04 | 2020-12-08 | Sophos Limited | Network device with transparent heartbeat processing |
| US11616758B2 (en) | 2018-04-04 | 2023-03-28 | Sophos Limited | Network device for securing endpoints in a heterogeneous enterprise network |
| US11140195B2 (en) | 2018-04-04 | 2021-10-05 | Sophos Limited | Secure endpoint in a heterogenous enterprise network |
| US10972431B2 (en) | 2018-04-04 | 2021-04-06 | Sophos Limited | Device management based on groups of network adapters |
| US11863580B2 (en) | 2019-05-31 | 2024-01-02 | Varmour Networks, Inc. | Modeling application dependencies to identify operational risk |
| US11711374B2 (en) | 2019-05-31 | 2023-07-25 | Varmour Networks, Inc. | Systems and methods for understanding identity and organizational access to applications within an enterprise environment |
| US11290494B2 (en) | 2019-05-31 | 2022-03-29 | Varmour Networks, Inc. | Reliability prediction for cloud security policies |
| US11310284B2 (en) | 2019-05-31 | 2022-04-19 | Varmour Networks, Inc. | Validation of cloud security policies |
| US11575563B2 (en) | 2019-05-31 | 2023-02-07 | Varmour Networks, Inc. | Cloud security management |
| US11290493B2 (en) | 2019-05-31 | 2022-03-29 | Varmour Networks, Inc. | Template-driven intent-based security |
| US11876817B2 (en) | 2020-12-23 | 2024-01-16 | Varmour Networks, Inc. | Modeling queue-based message-oriented middleware relationships in a security system |
| US11818152B2 (en) | 2020-12-23 | 2023-11-14 | Varmour Networks, Inc. | Modeling topic-based message-oriented middleware within a security system |
| US11777978B2 (en) | 2021-01-29 | 2023-10-03 | Varmour Networks, Inc. | Methods and systems for accurately assessing application access risk |
| US11734316B2 (en) | 2021-07-08 | 2023-08-22 | Varmour Networks, Inc. | Relationship-based search in a computing environment |
| US11863561B2 (en) * | 2021-11-10 | 2024-01-02 | Oracle International Corporation | Edge attestation for authorization of a computing node in a cloud infrastructure system |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040268149A1 (en) * | 2003-06-30 | 2004-12-30 | Aaron Jeffrey A. | Network firewall host application identification and authentication |
| US20060075478A1 (en) * | 2004-09-30 | 2006-04-06 | Nortel Networks Limited | Method and apparatus for enabling enhanced control of traffic propagation through a network firewall |
Family Cites Families (284)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4982430A (en) | 1985-04-24 | 1991-01-01 | General Instrument Corporation | Bootstrap channel security arrangement for communication network |
| US4688169A (en) | 1985-05-30 | 1987-08-18 | Joshi Bhagirath S | Computer software security system |
| US5155847A (en) | 1988-08-03 | 1992-10-13 | Minicom Data Corporation | Method and apparatus for updating software at remote locations |
| US5560008A (en) | 1989-05-15 | 1996-09-24 | International Business Machines Corporation | Remote authentication and authorization in a distributed data processing system |
| CA2010591C (en) | 1989-10-20 | 1999-01-26 | Phillip M. Adams | Kernels, description tables and device drivers |
| US5222134A (en) | 1990-11-07 | 1993-06-22 | Tau Systems Corporation | Secure system for activating personal computer software at remote locations |
| US5390314A (en) | 1992-10-09 | 1995-02-14 | American Airlines, Inc. | Method and apparatus for developing scripts that access mainframe resources that can be executed on various computer systems having different interface languages without modification |
| US5339261A (en) | 1992-10-22 | 1994-08-16 | Base 10 Systems, Inc. | System for operating application software in a safety critical environment |
| US5584009A (en) | 1993-10-18 | 1996-12-10 | Cyrix Corporation | System and method of retiring store data from a write buffer |
| JP3042341B2 (ja) | 1994-11-30 | 2000-05-15 | 日本電気株式会社 | クラスタ結合型マルチプロセッサシステムにおけるローカル入出力制御方法 |
| US6282712B1 (en) | 1995-03-10 | 2001-08-28 | Microsoft Corporation | Automatic software installation on heterogeneous networked computer systems |
| US5699513A (en) | 1995-03-31 | 1997-12-16 | Motorola, Inc. | Method for secure network access via message intercept |
| US5787427A (en) | 1996-01-03 | 1998-07-28 | International Business Machines Corporation | Information handling system, method, and article of manufacture for efficient object security processing by grouping objects sharing common control access policies |
| US5842017A (en) | 1996-01-29 | 1998-11-24 | Digital Equipment Corporation | Method and apparatus for forming a translation unit |
| US5907709A (en) | 1996-02-08 | 1999-05-25 | Inprise Corporation | Development system with methods for detecting invalid use and management of resources and memory at runtime |
| US5907708A (en) | 1996-06-03 | 1999-05-25 | Sun Microsystems, Inc. | System and method for facilitating avoidance of an exception of a predetermined type in a digital computer system by providing fix-up code for an instruction in response to detection of an exception condition resulting from execution thereof |
| US5787177A (en) | 1996-08-01 | 1998-07-28 | Harris Corporation | Integrated network security access control system |
| US5926832A (en) | 1996-09-26 | 1999-07-20 | Transmeta Corporation | Method and apparatus for aliasing memory data in an advanced microprocessor |
| US5991881A (en) | 1996-11-08 | 1999-11-23 | Harris Corporation | Network surveillance system |
| US5987611A (en) | 1996-12-31 | 1999-11-16 | Zone Labs, Inc. | System and methodology for managing internet access on a per application basis for client computers connected to the internet |
| US6141698A (en) | 1997-01-29 | 2000-10-31 | Network Commerce Inc. | Method and system for injecting new code into existing application code |
| US5944839A (en) | 1997-03-19 | 1999-08-31 | Symantec Corporation | System and method for automatically maintaining a computer system |
| US6587877B1 (en) | 1997-03-25 | 2003-07-01 | Lucent Technologies Inc. | Management of time and expense when communicating between a host and a communication network |
| US6192475B1 (en) | 1997-03-31 | 2001-02-20 | David R. Wallace | System and method for cloaking software |
| US6356957B2 (en) | 1997-04-03 | 2002-03-12 | Hewlett-Packard Company | Method for emulating native object oriented foundation classes on a target object oriented programming system using a template library |
| US6073142A (en) | 1997-06-23 | 2000-06-06 | Park City Group | Automated post office based rule analysis of e-mail messages and other data objects for controlled distribution in network environments |
| US6275938B1 (en) | 1997-08-28 | 2001-08-14 | Microsoft Corporation | Security enhancement for untrusted executable code |
| US6192401B1 (en) | 1997-10-21 | 2001-02-20 | Sun Microsystems, Inc. | System and method for determining cluster membership in a heterogeneous distributed system |
| US6393465B2 (en) | 1997-11-25 | 2002-05-21 | Nixmail Corporation | Junk electronic mail detector and eliminator |
| US5987610A (en) | 1998-02-12 | 1999-11-16 | Ameritech Corporation | Computer virus screening methods and systems |
| CN1118772C (zh) | 1998-05-06 | 2003-08-20 | 松下电器产业株式会社 | 数字数据发送接收系统及其方法 |
| US6795966B1 (en) | 1998-05-15 | 2004-09-21 | Vmware, Inc. | Mechanism for restoring, porting, replicating and checkpointing computer systems using state extraction |
| US6442686B1 (en) | 1998-07-02 | 2002-08-27 | Networks Associates Technology, Inc. | System and methodology for messaging server-based management and enforcement of crypto policies |
| US6338149B1 (en) | 1998-07-31 | 2002-01-08 | Westinghouse Electric Company Llc | Change monitoring system for a computer system |
| US6546425B1 (en) | 1998-10-09 | 2003-04-08 | Netmotion Wireless, Inc. | Method and apparatus for providing mobile and other intermittent connectivity in a computing environment |
| JP3753873B2 (ja) | 1998-11-11 | 2006-03-08 | 株式会社島津製作所 | 分光光度計 |
| JP3522141B2 (ja) | 1999-01-28 | 2004-04-26 | 富士通株式会社 | 修正プログラムを継承したプログラムの自動生成方法、プログラム自動生成装置及び修正プログラムを継承したプログラムを自動生成するプログラムを記録した記録媒体 |
| US6969352B2 (en) | 1999-06-22 | 2005-11-29 | Teratech Corporation | Ultrasound probe with integrated electronics |
| US6453468B1 (en) | 1999-06-30 | 2002-09-17 | B-Hub, Inc. | Methods for improving reliability while upgrading software programs in a clustered computer system |
| US6496477B1 (en) | 1999-07-09 | 2002-12-17 | Texas Instruments Incorporated | Processes, articles, and packets for network path diversity in media over packet applications |
| US6567857B1 (en) | 1999-07-29 | 2003-05-20 | Sun Microsystems, Inc. | Method and apparatus for dynamic proxy insertion in network traffic flow |
| US7340684B2 (en) | 1999-08-19 | 2008-03-04 | National Instruments Corporation | System and method for programmatically generating a second graphical program based on a first graphical program |
| US6256773B1 (en) | 1999-08-31 | 2001-07-03 | Accenture Llp | System, method and article of manufacture for configuration management in a development architecture framework |
| US6990591B1 (en) | 1999-11-18 | 2006-01-24 | Secureworks, Inc. | Method and system for remotely configuring and monitoring a communication device |
| US6321267B1 (en) | 1999-11-23 | 2001-11-20 | Escom Corporation | Method and apparatus for filtering junk email |
| US6662219B1 (en) | 1999-12-15 | 2003-12-09 | Microsoft Corporation | System for determining at subgroup of nodes relative weight to represent cluster by obtaining exclusive possession of quorum resource |
| US6460050B1 (en) | 1999-12-22 | 2002-10-01 | Mark Raymond Pace | Distributed content identification system |
| US6769008B1 (en) | 2000-01-10 | 2004-07-27 | Sun Microsystems, Inc. | Method and apparatus for dynamically altering configurations of clustered computer systems |
| US7082456B2 (en) | 2000-03-17 | 2006-07-25 | Filesx Ltd. | Accelerating responses to requests made by users to an internet |
| US6748534B1 (en) | 2000-03-31 | 2004-06-08 | Networks Associates, Inc. | System and method for partitioned distributed scanning of a large dataset for viruses and other malware |
| CA2305078A1 (en) | 2000-04-12 | 2001-10-12 | Cloakware Corporation | Tamper resistant software - mass data encoding |
| US7325127B2 (en) | 2000-04-25 | 2008-01-29 | Secure Data In Motion, Inc. | Security server system |
| JP4700884B2 (ja) | 2000-04-28 | 2011-06-15 | インターナショナル・ビジネス・マシーンズ・コーポレーション | コンピュータのセキュリティ情報を管理するための方法およびシステム |
| US6769115B1 (en) | 2000-05-01 | 2004-07-27 | Emc Corporation | Adaptive interface for a software development environment |
| US6847993B1 (en) | 2000-05-31 | 2005-01-25 | International Business Machines Corporation | Method, system and program products for managing cluster configurations |
| US6934755B1 (en) | 2000-06-02 | 2005-08-23 | Sun Microsystems, Inc. | System and method for migrating processes on a network |
| US6611925B1 (en) | 2000-06-13 | 2003-08-26 | Networks Associates Technology, Inc. | Single point of entry/origination item scanning within an enterprise or workgroup |
| US6901519B1 (en) | 2000-06-22 | 2005-05-31 | Infobahn, Inc. | E-mail virus protection system and method |
| US8204999B2 (en) | 2000-07-10 | 2012-06-19 | Oracle International Corporation | Query string processing |
| US7093239B1 (en) | 2000-07-14 | 2006-08-15 | Internet Security Systems, Inc. | Computer immune system and method for detecting unwanted code in a computer system |
| US7350204B2 (en) | 2000-07-24 | 2008-03-25 | Microsoft Corporation | Policies for secure software execution |
| DE60102934T2 (de) | 2000-08-04 | 2005-03-10 | Xtradyne Technologies Ag | Verfahren und system für sitzungsbasierte berechtigung und zugangskontrolle für vernetzte anwendungsobjekte |
| US20020165947A1 (en) | 2000-09-25 | 2002-11-07 | Crossbeam Systems, Inc. | Network application apparatus |
| US7707305B2 (en) | 2000-10-17 | 2010-04-27 | Cisco Technology, Inc. | Methods and apparatus for protecting against overload conditions on nodes of a distributed network |
| US7606898B1 (en) | 2000-10-24 | 2009-10-20 | Microsoft Corporation | System and method for distributed management of shared computers |
| US7146305B2 (en) | 2000-10-24 | 2006-12-05 | Vcis, Inc. | Analytical virtual machine |
| US6930985B1 (en) | 2000-10-26 | 2005-08-16 | Extreme Networks, Inc. | Method and apparatus for management of configuration in a network |
| US7054930B1 (en) | 2000-10-26 | 2006-05-30 | Cisco Technology, Inc. | System and method for propagating filters |
| US6834301B1 (en) | 2000-11-08 | 2004-12-21 | Networks Associates Technology, Inc. | System and method for configuration, management, and monitoring of a computer network using inheritance |
| US6766334B1 (en) | 2000-11-21 | 2004-07-20 | Microsoft Corporation | Project-based configuration management method and apparatus |
| US20020069367A1 (en) | 2000-12-06 | 2002-06-06 | Glen Tindal | Network operating system data directory |
| US6907600B2 (en) | 2000-12-27 | 2005-06-14 | Intel Corporation | Virtual translation lookaside buffer |
| JP2002244898A (ja) | 2001-02-19 | 2002-08-30 | Hitachi Ltd | データベース管理プログラム及びデータベースシステム |
| US6993012B2 (en) | 2001-02-20 | 2006-01-31 | Innomedia Pte, Ltd | Method for communicating audio data in a packet switched network |
| US7739497B1 (en) | 2001-03-21 | 2010-06-15 | Verizon Corporate Services Group Inc. | Method and apparatus for anonymous IP datagram exchange using dynamic network address translation |
| US6918110B2 (en) | 2001-04-11 | 2005-07-12 | Hewlett-Packard Development Company, L.P. | Dynamic instrumentation of an executable program by means of causing a breakpoint at the entry point of a function and providing instrumentation code |
| CN1141821C (zh) | 2001-04-25 | 2004-03-10 | 数位联合电信股份有限公司 | 可重定向的连接上网系统 |
| US6988101B2 (en) | 2001-05-31 | 2006-01-17 | International Business Machines Corporation | Method, system, and computer program product for providing an extensible file system for accessing a foreign file system from a local data processing system |
| US6715050B2 (en) | 2001-05-31 | 2004-03-30 | Oracle International Corporation | Storage access keys |
| US6988124B2 (en) | 2001-06-06 | 2006-01-17 | Microsoft Corporation | Locating potentially identical objects across multiple computers based on stochastic partitioning of workload |
| US7290266B2 (en) | 2001-06-14 | 2007-10-30 | Cisco Technology, Inc. | Access control by a real-time stateful reference monitor with a state collection training mode and a lockdown mode for detecting predetermined patterns of events indicative of requests for operating system resources resulting in a decision to allow or block activity identified in a sequence of events based on a rule set defining a processing policy |
| US7065767B2 (en) | 2001-06-29 | 2006-06-20 | Intel Corporation | Managed hosting server auditing and change tracking |
| US7069330B1 (en) | 2001-07-05 | 2006-06-27 | Mcafee, Inc. | Control of interaction between client computer applications and network resources |
| US20030023736A1 (en) | 2001-07-12 | 2003-01-30 | Kurt Abkemeier | Method and system for filtering messages |
| US20030014667A1 (en) | 2001-07-16 | 2003-01-16 | Andrei Kolichtchak | Buffer overflow attack detection and suppression |
| US6877088B2 (en) | 2001-08-08 | 2005-04-05 | Sun Microsystems, Inc. | Methods and apparatus for controlling speculative execution of instructions based on a multiaccess memory condition |
| US7007302B1 (en) | 2001-08-31 | 2006-02-28 | Mcafee, Inc. | Efficient management and blocking of malicious code and hacking attempts in a network environment |
| US7010796B1 (en) | 2001-09-28 | 2006-03-07 | Emc Corporation | Methods and apparatus providing remote operation of an application programming interface |
| US7278161B2 (en) | 2001-10-01 | 2007-10-02 | International Business Machines Corporation | Protecting a data processing system from attack by a vandal who uses a vulnerability scanner |
| US7177267B2 (en) | 2001-11-09 | 2007-02-13 | Adc Dsl Systems, Inc. | Hardware monitoring and configuration management |
| US7853643B1 (en) | 2001-11-21 | 2010-12-14 | Blue Titan Software, Inc. | Web services-based computing resource lifecycle management |
| US7346781B2 (en) | 2001-12-06 | 2008-03-18 | Mcafee, Inc. | Initiating execution of a computer program from an encrypted version of a computer program |
| US7039949B2 (en) | 2001-12-10 | 2006-05-02 | Brian Ross Cartmell | Method and system for blocking unwanted communications |
| US7159036B2 (en) | 2001-12-10 | 2007-01-02 | Mcafee, Inc. | Updating data from a source computer to groups of destination computers |
| US10033700B2 (en) | 2001-12-12 | 2018-07-24 | Intellectual Ventures I Llc | Dynamic evaluation of access rights |
| CA2469633C (en) | 2001-12-13 | 2011-06-14 | Japan Science And Technology Agency | Software safety execution system |
| US7398389B2 (en) | 2001-12-20 | 2008-07-08 | Coretrace Corporation | Kernel-based network security infrastructure |
| US7096500B2 (en) | 2001-12-21 | 2006-08-22 | Mcafee, Inc. | Predictive malware scanning of internet data |
| JP3906356B2 (ja) | 2001-12-27 | 2007-04-18 | 独立行政法人情報通信研究機構 | 構文解析方法及び装置 |
| US7743415B2 (en) | 2002-01-31 | 2010-06-22 | Riverbed Technology, Inc. | Denial of service attacks characterization |
| US20030167399A1 (en) | 2002-03-01 | 2003-09-04 | Yves Audebert | Method and system for performing post issuance configuration and data changes to a personal security device using a communications pipe |
| US6941449B2 (en) | 2002-03-04 | 2005-09-06 | Hewlett-Packard Development Company, L.P. | Method and apparatus for performing critical tasks using speculative operations |
| US7600021B2 (en) | 2002-04-03 | 2009-10-06 | Microsoft Corporation | Delta replication of source files and packages across networked resources |
| US20070253430A1 (en) | 2002-04-23 | 2007-11-01 | Minami John S | Gigabit Ethernet Adapter |
| US7370360B2 (en) | 2002-05-13 | 2008-05-06 | International Business Machines Corporation | Computer immune system and method for detecting unwanted code in a P-code or partially compiled native-code program executing within a virtual machine |
| US20030221190A1 (en) | 2002-05-22 | 2003-11-27 | Sun Microsystems, Inc. | System and method for performing patch installation on multiple devices |
| US7823148B2 (en) | 2002-05-22 | 2010-10-26 | Oracle America, Inc. | System and method for performing patch installation via a graphical user interface |
| US7024404B1 (en) | 2002-05-28 | 2006-04-04 | The State University Rutgers | Retrieval and display of data objects using a cross-group ranking metric |
| US7512977B2 (en) | 2003-06-11 | 2009-03-31 | Symantec Corporation | Intrustion protection system utilizing layers |
| US7823203B2 (en) | 2002-06-17 | 2010-10-26 | At&T Intellectual Property Ii, L.P. | Method and device for detecting computer network intrusions |
| US7139916B2 (en) | 2002-06-28 | 2006-11-21 | Ebay, Inc. | Method and system for monitoring user interaction with a computer |
| US8924484B2 (en) | 2002-07-16 | 2014-12-30 | Sonicwall, Inc. | Active e-mail filter with challenge-response |
| US7522906B2 (en) | 2002-08-09 | 2009-04-21 | Wavelink Corporation | Mobile unit configuration management for WLANs |
| US7647410B2 (en) | 2002-08-28 | 2010-01-12 | Procera Networks, Inc. | Network rights management |
| US7624347B2 (en) | 2002-09-17 | 2009-11-24 | At&T Intellectual Property I, L.P. | System and method for forwarding full header information in email messages |
| US7546333B2 (en) | 2002-10-23 | 2009-06-09 | Netapp, Inc. | Methods and systems for predictive change management for access paths in networks |
| US20040088398A1 (en) | 2002-11-06 | 2004-05-06 | Barlow Douglas B. | Systems and methods for providing autoconfiguration and management of nodes |
| US7353501B2 (en) | 2002-11-18 | 2008-04-01 | Microsoft Corporation | Generic wrapper scheme |
| US7865931B1 (en) | 2002-11-25 | 2011-01-04 | Accenture Global Services Limited | Universal authorization and access control security measure for applications |
| US20040143749A1 (en) | 2003-01-16 | 2004-07-22 | Platformlogic, Inc. | Behavior-based host-based intrusion prevention system |
| US20040167906A1 (en) | 2003-02-25 | 2004-08-26 | Smith Randolph C. | System consolidation tool and method for patching multiple servers |
| US7024548B1 (en) | 2003-03-10 | 2006-04-04 | Cisco Technology, Inc. | Methods and apparatus for auditing and tracking changes to an existing configuration of a computerized device |
| US7529754B2 (en) | 2003-03-14 | 2009-05-05 | Websense, Inc. | System and method of monitoring and controlling application files |
| JPWO2004095285A1 (ja) | 2003-03-28 | 2006-07-13 | 松下電器産業株式会社 | 記録媒体およびこれを用いる記録装置並びに再生装置 |
| US7607010B2 (en) | 2003-04-12 | 2009-10-20 | Deep Nines, Inc. | System and method for network edge data protection |
| US20050108516A1 (en) | 2003-04-17 | 2005-05-19 | Robert Balzer | By-pass and tampering protection for application wrappers |
| US20040230963A1 (en) | 2003-05-12 | 2004-11-18 | Rothman Michael A. | Method for updating firmware in an operating system agnostic manner |
| DE10324189A1 (de) | 2003-05-28 | 2004-12-16 | Robert Bosch Gmbh | Verfahren zur Steuerung des Zugriffs auf eine Ressource einer Applikation in einer Datenverarbeitungseinrichtung |
| US7657599B2 (en) | 2003-05-29 | 2010-02-02 | Mindshare Design, Inc. | Systems and methods for automatically updating electronic mail access lists |
| US20050108562A1 (en) | 2003-06-18 | 2005-05-19 | Khazan Roger I. | Technique for detecting executable malicious code using a combination of static and dynamic analyses |
| US7454489B2 (en) | 2003-07-01 | 2008-11-18 | International Business Machines Corporation | System and method for accessing clusters of servers from the internet network |
| US7283517B2 (en) | 2003-07-22 | 2007-10-16 | Innomedia Pte | Stand alone multi-media terminal adapter with network address translation and port partitioning |
| US7886093B1 (en) | 2003-07-31 | 2011-02-08 | Hewlett-Packard Development Company, L.P. | Electronic device network supporting compression and decompression in electronic devices |
| US7925722B1 (en) * | 2003-08-01 | 2011-04-12 | Avocent Corporation | Method and apparatus for discovery and installation of network devices through a network |
| US7464408B1 (en) | 2003-08-29 | 2008-12-09 | Solidcore Systems, Inc. | Damage containment by translation |
| US8539063B1 (en) | 2003-08-29 | 2013-09-17 | Mcafee, Inc. | Method and system for containment of networked application client software by explicit human input |
| US20050065935A1 (en) | 2003-09-16 | 2005-03-24 | Chebolu Anil Kumar | Client comparison of network content with server-based categorization |
| US7930351B2 (en) | 2003-10-14 | 2011-04-19 | At&T Intellectual Property I, L.P. | Identifying undesired email messages having attachments |
| US20050114672A1 (en) | 2003-11-20 | 2005-05-26 | Encryptx Corporation | Data rights management of digital information in a portable software permission wrapper |
| US20040172551A1 (en) | 2003-12-09 | 2004-09-02 | Michael Connor | First response computer virus blocking. |
| US7600219B2 (en) | 2003-12-10 | 2009-10-06 | Sap Ag | Method and system to monitor software interface updates and assess backward compatibility |
| US7546594B2 (en) | 2003-12-15 | 2009-06-09 | Microsoft Corporation | System and method for updating installation components using an installation component delta patch in a networked environment |
| US7840968B1 (en) | 2003-12-17 | 2010-11-23 | Mcafee, Inc. | Method and system for containment of usage of language interfaces |
| US7272654B1 (en) | 2004-03-04 | 2007-09-18 | Sandbox Networks, Inc. | Virtualizing network-attached-storage (NAS) with a compact table that stores lossy hashes of file names and parent handles rather than full names |
| JP4480422B2 (ja) | 2004-03-05 | 2010-06-16 | 富士通株式会社 | 不正アクセス阻止方法、装置及びシステム並びにプログラム |
| US7783735B1 (en) | 2004-03-22 | 2010-08-24 | Mcafee, Inc. | Containment of network communication |
| US7966658B2 (en) | 2004-04-08 | 2011-06-21 | The Regents Of The University Of California | Detecting public network attacks using signatures and fast content analysis |
| US8060924B2 (en) | 2004-04-19 | 2011-11-15 | Lumension Security, Inc. | On-line centralized and local authorization of executable files |
| US7890946B2 (en) | 2004-05-11 | 2011-02-15 | Microsoft Corporation | Efficient patching |
| US20060004875A1 (en) | 2004-05-11 | 2006-01-05 | Microsoft Corporation | CMDB schema |
| US7818377B2 (en) | 2004-05-24 | 2010-10-19 | Microsoft Corporation | Extended message rule architecture |
| WO2005117466A2 (en) | 2004-05-24 | 2005-12-08 | Computer Associates Think, Inc. | Wireless manager and method for managing wireless devices |
| US7506170B2 (en) | 2004-05-28 | 2009-03-17 | Microsoft Corporation | Method for secure access to multiple secure networks |
| US20050273858A1 (en) | 2004-06-07 | 2005-12-08 | Erez Zadok | Stackable file systems and methods thereof |
| JP4341517B2 (ja) | 2004-06-21 | 2009-10-07 | 日本電気株式会社 | セキュリティポリシー管理システム、セキュリティポリシー管理方法およびプログラム |
| US20050289538A1 (en) | 2004-06-23 | 2005-12-29 | International Business Machines Corporation | Deploying an application software on a virtual deployment target |
| US7203864B2 (en) | 2004-06-25 | 2007-04-10 | Hewlett-Packard Development Company, L.P. | Method and system for clustering computers into peer groups and comparing individual computers to their peers |
| US7908653B2 (en) | 2004-06-29 | 2011-03-15 | Intel Corporation | Method of improving computer security through sandboxing |
| US20060015501A1 (en) | 2004-07-19 | 2006-01-19 | International Business Machines Corporation | System, method and program product to determine a time interval at which to check conditions to permit access to a file |
| US7937455B2 (en) | 2004-07-28 | 2011-05-03 | Oracle International Corporation | Methods and systems for modifying nodes in a cluster environment |
| US7703090B2 (en) | 2004-08-31 | 2010-04-20 | Microsoft Corporation | Patch un-installation |
| US7873955B1 (en) | 2004-09-07 | 2011-01-18 | Mcafee, Inc. | Solidifying the executable software set of a computer |
| US7561515B2 (en) | 2004-09-27 | 2009-07-14 | Intel Corporation | Role-based network traffic-flow rate control |
| US7506364B2 (en) | 2004-10-01 | 2009-03-17 | Microsoft Corporation | Integrated access authorization |
| US20060080656A1 (en) | 2004-10-12 | 2006-04-13 | Microsoft Corporation | Methods and instructions for patch management |
| US9329905B2 (en) | 2004-10-15 | 2016-05-03 | Emc Corporation | Method and apparatus for configuring, monitoring and/or managing resource groups including a virtual machine |
| US7765538B2 (en) | 2004-10-29 | 2010-07-27 | Hewlett-Packard Development Company, L.P. | Method and apparatus for determining which program patches to recommend for installation |
| WO2007001439A2 (en) | 2004-11-04 | 2007-01-04 | Telcordia Technologies, Inc. | Detecting exploit code in network flows |
| US20060101277A1 (en) | 2004-11-10 | 2006-05-11 | Meenan Patrick A | Detecting and remedying unauthorized computer programs |
| WO2006101549A2 (en) | 2004-12-03 | 2006-09-28 | Whitecell Software, Inc. | Secure system for allowing the execution of authorized computer program code |
| US7765544B2 (en) | 2004-12-17 | 2010-07-27 | Intel Corporation | Method, apparatus and system for improving security in a virtual machine host |
| US8479193B2 (en) | 2004-12-17 | 2013-07-02 | Intel Corporation | Method, apparatus and system for enhancing the usability of virtual machines |
| US7607170B2 (en) | 2004-12-22 | 2009-10-20 | Radware Ltd. | Stateful attack protection |
| US7752667B2 (en) | 2004-12-28 | 2010-07-06 | Lenovo (Singapore) Pte Ltd. | Rapid virus scan using file signature created during file write |
| US7302558B2 (en) | 2005-01-25 | 2007-11-27 | Goldman Sachs & Co. | Systems and methods to facilitate the creation and configuration management of computing systems |
| US7385938B1 (en) | 2005-02-02 | 2008-06-10 | At&T Corp. | Method and apparatus for adjusting a network device configuration change distribution schedule |
| US20130247027A1 (en) | 2005-02-16 | 2013-09-19 | Solidcore Systems, Inc. | Distribution and installation of solidified software on a computer |
| US8056138B2 (en) | 2005-02-26 | 2011-11-08 | International Business Machines Corporation | System, method, and service for detecting improper manipulation of an application |
| US7836504B2 (en) | 2005-03-01 | 2010-11-16 | Microsoft Corporation | On-access scan of memory for malware |
| US7685635B2 (en) | 2005-03-11 | 2010-03-23 | Microsoft Corporation | Systems and methods for multi-level intercept processing in a virtual machine environment |
| TW200707417A (en) | 2005-03-18 | 2007-02-16 | Sony Corp | Reproducing apparatus, reproducing method, program, program storage medium, data delivery system, data structure, and manufacturing method of recording medium |
| US7552479B1 (en) | 2005-03-22 | 2009-06-23 | Symantec Corporation | Detecting shellcode that modifies IAT entries |
| US7770151B2 (en) | 2005-04-07 | 2010-08-03 | International Business Machines Corporation | Automatic generation of solution deployment descriptors |
| US8590044B2 (en) | 2005-04-14 | 2013-11-19 | International Business Machines Corporation | Selective virus scanning system and method |
| US7349931B2 (en) | 2005-04-14 | 2008-03-25 | Webroot Software, Inc. | System and method for scanning obfuscated files for pestware |
| US7603552B1 (en) | 2005-05-04 | 2009-10-13 | Mcafee, Inc. | Piracy prevention using unique module translation |
| US7363463B2 (en) | 2005-05-13 | 2008-04-22 | Microsoft Corporation | Method and system for caching address translations from multiple address spaces in virtual machines |
| US8001245B2 (en) * | 2005-06-01 | 2011-08-16 | International Business Machines Corporation | System and method for autonomically configurable router |
| WO2006137057A2 (en) | 2005-06-21 | 2006-12-28 | Onigma Ltd. | A method and a system for providing comprehensive protection against leakage of sensitive information assets using host based agents, content- meta-data and rules-based policies |
| US8839450B2 (en) | 2007-08-02 | 2014-09-16 | Intel Corporation | Secure vault service for software components within an execution environment |
| US7739721B2 (en) | 2005-07-11 | 2010-06-15 | Microsoft Corporation | Per-user and system granular audit policy implementation |
| US7856661B1 (en) | 2005-07-14 | 2010-12-21 | Mcafee, Inc. | Classification of software on networked systems |
| US7984493B2 (en) | 2005-07-22 | 2011-07-19 | Alcatel-Lucent | DNS based enforcement for confinement and detection of network malicious activities |
| US7895651B2 (en) | 2005-07-29 | 2011-02-22 | Bit 9, Inc. | Content tracking in a network security system |
| CN103984891A (zh) | 2005-07-29 | 2014-08-13 | Bit9公司 | 网络安全系统和方法 |
| US7962616B2 (en) | 2005-08-11 | 2011-06-14 | Micro Focus (Us), Inc. | Real-time activity monitoring and reporting |
| US8327353B2 (en) | 2005-08-30 | 2012-12-04 | Microsoft Corporation | Hierarchical virtualization with a multi-level virtualization mechanism |
| US7340574B2 (en) | 2005-08-30 | 2008-03-04 | Rockwell Automation Technologies, Inc. | Method and apparatus for synchronizing an industrial controller with a redundant controller |
| US20070074199A1 (en) | 2005-09-27 | 2007-03-29 | Sebastian Schoenberg | Method and apparatus for delivering microcode updates through virtual machine operations |
| US7712132B1 (en) | 2005-10-06 | 2010-05-04 | Ogilvie John W | Detecting surreptitious spyware |
| US8131825B2 (en) | 2005-10-07 | 2012-03-06 | Citrix Systems, Inc. | Method and a system for responding locally to requests for file metadata associated with files stored remotely |
| US7725737B2 (en) | 2005-10-14 | 2010-05-25 | Check Point Software Technologies, Inc. | System and methodology providing secure workspace environment |
| US20070169079A1 (en) | 2005-11-08 | 2007-07-19 | Microsoft Corporation | Software update management |
| US7836303B2 (en) | 2005-12-09 | 2010-11-16 | University Of Washington | Web browser operating system |
| US7856538B2 (en) | 2005-12-12 | 2010-12-21 | Systex, Inc. | Methods, systems and computer readable medium for detecting memory overflow conditions |
| US20070143851A1 (en) | 2005-12-21 | 2007-06-21 | Fiberlink | Method and systems for controlling access to computing resources based on known security vulnerabilities |
| US8296437B2 (en) * | 2005-12-29 | 2012-10-23 | Logmein, Inc. | Server-mediated setup and maintenance of peer-to-peer client computer communications |
| US20070174429A1 (en) | 2006-01-24 | 2007-07-26 | Citrix Systems, Inc. | Methods and servers for establishing a connection between a client system and a virtual machine hosting a requested computing environment |
| US7757269B1 (en) | 2006-02-02 | 2010-07-13 | Mcafee, Inc. | Enforcing alignment of approved changes and deployed changes in the software change life-cycle |
| WO2007099273A1 (en) | 2006-03-03 | 2007-09-07 | Arm Limited | Monitoring values of signals within an integrated circuit |
| US8621433B2 (en) | 2006-03-20 | 2013-12-31 | Microsoft Corporation | Managing version information for software components |
| US7895573B1 (en) | 2006-03-27 | 2011-02-22 | Mcafee, Inc. | Execution environment file inventory |
| US7752233B2 (en) | 2006-03-29 | 2010-07-06 | Massachusetts Institute Of Technology | Techniques for clustering a set of objects |
| US7870387B1 (en) | 2006-04-07 | 2011-01-11 | Mcafee, Inc. | Program-based authorization |
| US8015563B2 (en) | 2006-04-14 | 2011-09-06 | Microsoft Corporation | Managing virtual machines with system-wide policies |
| US7966659B1 (en) | 2006-04-18 | 2011-06-21 | Rockwell Automation Technologies, Inc. | Distributed learn mode for configuring a firewall, security authority, intrusion detection/prevention devices, and the like |
| US8352930B1 (en) | 2006-04-24 | 2013-01-08 | Mcafee, Inc. | Software modification by group to minimize breakage |
| US8458673B2 (en) | 2006-04-26 | 2013-06-04 | Flexera Software Llc | Computer-implemented method and system for binding digital rights management executable code to a software application |
| US7849502B1 (en) | 2006-04-29 | 2010-12-07 | Ironport Systems, Inc. | Apparatus for monitoring network traffic |
| US8555404B1 (en) | 2006-05-18 | 2013-10-08 | Mcafee, Inc. | Connectivity-based authorization |
| US8291409B2 (en) | 2006-05-22 | 2012-10-16 | Microsoft Corporation | Updating virtual machine with patch on host that does not have network access |
| US7761912B2 (en) | 2006-06-06 | 2010-07-20 | Microsoft Corporation | Reputation driven firewall |
| US7809704B2 (en) | 2006-06-15 | 2010-10-05 | Microsoft Corporation | Combining spectral and probabilistic clustering |
| US20070300215A1 (en) | 2006-06-26 | 2007-12-27 | Bardsley Jeffrey S | Methods, systems, and computer program products for obtaining and utilizing a score indicative of an overall performance effect of a software update on a software host |
| US8365294B2 (en) | 2006-06-30 | 2013-01-29 | Intel Corporation | Hardware platform authentication and multi-platform validation |
| US8468526B2 (en) | 2006-06-30 | 2013-06-18 | Intel Corporation | Concurrent thread execution using user-level asynchronous signaling |
| US7950056B1 (en) | 2006-06-30 | 2011-05-24 | Symantec Corporation | Behavior based processing of a new version or variant of a previously characterized program |
| US8495181B2 (en) | 2006-08-03 | 2013-07-23 | Citrix Systems, Inc | Systems and methods for application based interception SSI/VPN traffic |
| US8572721B2 (en) | 2006-08-03 | 2013-10-29 | Citrix Systems, Inc. | Methods and systems for routing packets in a VPN-client-to-VPN-client connection via an SSL/VPN network appliance |
| US8015388B1 (en) | 2006-08-04 | 2011-09-06 | Vmware, Inc. | Bypassing guest page table walk for shadow page table entries not present in guest page table |
| EP1901192A1 (en) | 2006-09-14 | 2008-03-19 | British Telecommunications Public Limited Company | Mobile application registration |
| US8161475B2 (en) | 2006-09-29 | 2012-04-17 | Microsoft Corporation | Automatic load and balancing for virtual machines to meet resource requirements |
| US9697019B1 (en) | 2006-10-17 | 2017-07-04 | Manageiq, Inc. | Adapt a virtual machine to comply with system enforced policies and derive an optimized variant of the adapted virtual machine |
| US7689817B2 (en) | 2006-11-16 | 2010-03-30 | Intel Corporation | Methods and apparatus for defeating malware |
| US8091127B2 (en) | 2006-12-11 | 2012-01-03 | International Business Machines Corporation | Heuristic malware detection |
| US8336046B2 (en) | 2006-12-29 | 2012-12-18 | Intel Corporation | Dynamic VM cloning on request from application based on mapping of virtual hardware configuration to the identified physical hardware resources |
| US7996836B1 (en) | 2006-12-29 | 2011-08-09 | Symantec Corporation | Using a hypervisor to provide computer security |
| US8381209B2 (en) | 2007-01-03 | 2013-02-19 | International Business Machines Corporation | Moveable access control list (ACL) mechanisms for hypervisors and virtual machines and virtual port firewalls |
| US8254568B2 (en) | 2007-01-07 | 2012-08-28 | Apple Inc. | Secure booting a computing device |
| US8332929B1 (en) | 2007-01-10 | 2012-12-11 | Mcafee, Inc. | Method and apparatus for process enforced configuration management |
| US9424154B2 (en) | 2007-01-10 | 2016-08-23 | Mcafee, Inc. | Method of and system for computer system state checks |
| US8380987B2 (en) | 2007-01-25 | 2013-02-19 | Microsoft Corporation | Protection agents and privilege modes |
| US8276201B2 (en) | 2007-03-22 | 2012-09-25 | International Business Machines Corporation | Integrity protection in data processing systems |
| US20080282080A1 (en) | 2007-05-11 | 2008-11-13 | Nortel Networks Limited | Method and apparatus for adapting a communication network according to information provided by a trusted client |
| US7930327B2 (en) | 2007-05-21 | 2011-04-19 | International Business Machines Corporation | Method and apparatus for obtaining the absolute path name of an open file system object from its file descriptor |
| US20080301770A1 (en) | 2007-05-31 | 2008-12-04 | Kinder Nathan G | Identity based virtual machine selector |
| US20090007100A1 (en) | 2007-06-28 | 2009-01-01 | Microsoft Corporation | Suspending a Running Operating System to Enable Security Scanning |
| US8763115B2 (en) | 2007-08-08 | 2014-06-24 | Vmware, Inc. | Impeding progress of malicious guest software |
| CN101370004A (zh) | 2007-08-16 | 2009-02-18 | 华为技术有限公司 | 一种组播会话安全策略的分发方法及组播装置 |
| US20090063747A1 (en) | 2007-08-28 | 2009-03-05 | Rohati Systems, Inc. | Application network appliances with inter-module communications using a universal serial bus |
| WO2009032710A2 (en) | 2007-08-29 | 2009-03-12 | Nirvanix, Inc. | Filing system and method for data files stored in a distributed communications network |
| US8250641B2 (en) | 2007-09-17 | 2012-08-21 | Intel Corporation | Method and apparatus for dynamic switching and real time security control on virtualized systems |
| US8819676B2 (en) | 2007-10-30 | 2014-08-26 | Vmware, Inc. | Transparent memory-mapped emulation of I/O calls |
| US8195931B1 (en) | 2007-10-31 | 2012-06-05 | Mcafee, Inc. | Application change control |
| JP5238235B2 (ja) | 2007-12-07 | 2013-07-17 | 株式会社日立製作所 | 管理装置及び管理方法 |
| US8701189B2 (en) | 2008-01-31 | 2014-04-15 | Mcafee, Inc. | Method of and system for computer system denial-of-service protection |
| US8336094B2 (en) | 2008-03-27 | 2012-12-18 | Juniper Networks, Inc. | Hierarchical firewalls |
| US8321931B2 (en) | 2008-03-31 | 2012-11-27 | Intel Corporation | Method and apparatus for sequential hypervisor invocation |
| US8615502B2 (en) | 2008-04-18 | 2013-12-24 | Mcafee, Inc. | Method of and system for reverse mapping vnode pointers |
| US8234709B2 (en) | 2008-06-20 | 2012-07-31 | Symantec Operating Corporation | Streaming malware definition updates |
| US8132091B2 (en) | 2008-08-07 | 2012-03-06 | Serge Nabutovsky | Link exchange system and method |
| US8065714B2 (en) | 2008-09-12 | 2011-11-22 | Hytrust, Inc. | Methods and systems for securely managing virtualization platform |
| US9141381B2 (en) | 2008-10-27 | 2015-09-22 | Vmware, Inc. | Version control environment for virtual machines |
| JP4770921B2 (ja) | 2008-12-01 | 2011-09-14 | 日本電気株式会社 | ゲートウェイサーバ、ファイル管理システム、ファイル管理方法とプログラム |
| US8544003B1 (en) | 2008-12-11 | 2013-09-24 | Mcafee, Inc. | System and method for managing virtual machine configurations |
| US8274895B2 (en) | 2009-01-26 | 2012-09-25 | Telefonaktiebolaget L M Ericsson (Publ) | Dynamic management of network flows |
| US8060722B2 (en) | 2009-03-27 | 2011-11-15 | Vmware, Inc. | Hardware assistance for shadow page table coherence with guest page mappings |
| US8359422B2 (en) | 2009-06-26 | 2013-01-22 | Vmware, Inc. | System and method to reduce trace faults in software MMU virtualization |
| US8341627B2 (en) | 2009-08-21 | 2012-12-25 | Mcafee, Inc. | Method and system for providing user space address protection from writable memory area in a virtual environment |
| US8381284B2 (en) | 2009-08-21 | 2013-02-19 | Mcafee, Inc. | System and method for enforcing security policies in a virtual environment |
| US9552497B2 (en) | 2009-11-10 | 2017-01-24 | Mcafee, Inc. | System and method for preventing data loss using virtual machine wrapped applications |
| US8813209B2 (en) * | 2010-06-03 | 2014-08-19 | International Business Machines Corporation | Automating network reconfiguration during migrations |
| US8925101B2 (en) | 2010-07-28 | 2014-12-30 | Mcafee, Inc. | System and method for local protection against malicious software |
| US8938800B2 (en) | 2010-07-28 | 2015-01-20 | Mcafee, Inc. | System and method for network level protection against malicious software |
| US8549003B1 (en) | 2010-09-12 | 2013-10-01 | Mcafee, Inc. | System and method for clustering host inventories |
| US9075993B2 (en) | 2011-01-24 | 2015-07-07 | Mcafee, Inc. | System and method for selectively grouping and managing program files |
| US9112830B2 (en) | 2011-02-23 | 2015-08-18 | Mcafee, Inc. | System and method for interlocking a host and a gateway |
| US20130247192A1 (en) | 2011-03-01 | 2013-09-19 | Sven Krasser | System and method for botnet detection by comprehensive email behavioral analysis |
| US9594881B2 (en) | 2011-09-09 | 2017-03-14 | Mcafee, Inc. | System and method for passive threat detection using virtual memory inspection |
| US8694738B2 (en) | 2011-10-11 | 2014-04-08 | Mcafee, Inc. | System and method for critical address space protection in a hypervisor environment |
| US8973144B2 (en) | 2011-10-13 | 2015-03-03 | Mcafee, Inc. | System and method for kernel rootkit protection in a hypervisor environment |
| US9069586B2 (en) | 2011-10-13 | 2015-06-30 | Mcafee, Inc. | System and method for kernel rootkit protection in a hypervisor environment |
| US8800024B2 (en) | 2011-10-17 | 2014-08-05 | Mcafee, Inc. | System and method for host-initiated firewall discovery in a network environment |
| US8713668B2 (en) | 2011-10-17 | 2014-04-29 | Mcafee, Inc. | System and method for redirected firewall discovery in a network environment |
-
2011
- 2011-10-17 US US13/275,196 patent/US8800024B2/en active Active
-
2012
- 2012-09-25 WO PCT/US2012/057153 patent/WO2013058940A1/en active Application Filing
- 2012-09-25 EP EP12841554.4A patent/EP2769514A4/en not_active Withdrawn
- 2012-09-25 CN CN201280050877.0A patent/CN103875226B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040268149A1 (en) * | 2003-06-30 | 2004-12-30 | Aaron Jeffrey A. | Network firewall host application identification and authentication |
| US20060075478A1 (en) * | 2004-09-30 | 2006-04-06 | Nortel Networks Limited | Method and apparatus for enabling enhanced control of traffic propagation through a network firewall |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2013058940A1 (en) | 2013-04-25 |
| EP2769514A4 (en) | 2015-05-27 |
| US20130097692A1 (en) | 2013-04-18 |
| CN103875226B (zh) | 2017-04-26 |
| EP2769514A1 (en) | 2014-08-27 |
| US8800024B2 (en) | 2014-08-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10652210B2 (en) | System and method for redirected firewall discovery in a network environment | |
| CN103875226A (zh) | 用于网络环境中主机发起的防火墙发现的系统和方法 | |
| KR101568713B1 (ko) | 호스트 및 게이트웨이를 인터로킹하기 위한 시스템 및 방법 | |
| Bellovin | Distributed firewalls | |
| US7536715B2 (en) | Distributed firewall system and method | |
| US20060182103A1 (en) | System and method for routing network messages | |
| US9210128B2 (en) | Filtering of applications for access to an enterprise network | |
| WO2008108821A2 (en) | Virtual security interface | |
| EP1836559B1 (en) | Apparatus and method for traversing gateway device using a plurality of batons | |
| WO2001091418A2 (en) | Distributed firewall system and method | |
| AU2015255263B2 (en) | System and method for interlocking a host and a gateway |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: American California Patentee after: McAfee limited liability company Address before: American California Patentee before: Mcafee, Inc. |