-
公开(公告)号:CN100359889C
公开(公告)日:2008-01-02
申请号:CN200410065184.6
申请日:2004-10-29
Applicant: 江苏南大苏富特软件股份有限公司 , 南京大学
Abstract: 一种基于策略树的报文分组过滤及管理方法,包括:首先对用户配置策略做策略树预编译;由预编译文件生成策略树内存映像;数据包预处理,得到网卡分区属性等信息;然后数据包注入策略树分析引擎,得到数据包下一步动作以及连接的相关属性。减少规则数量对查找性能的影响,高速完成防火墙对报文分组与过滤的方法。相对应提供给用户易于理解的树状策略配置方式,使用户对整个网络的安全策略配置情况有一个直观的了解,尽量避免由误操作带来的安全隐患。
-
公开(公告)号:CN1838592A
公开(公告)日:2006-09-27
申请号:CN200610039896.X
申请日:2006-04-26
Applicant: 南京大学 , 江苏南大苏富特软件股份有限公司
Abstract: 基于高速数据处理平台的防火墙方法,由系统数据交换支持系统、数据接入及预处理板卡、防火墙数据处理板卡组成;数据接入板实现千兆线速转发,以及数据预处理,通过对需要进一步分析的数据包计算HASH,将它们动态负载均衡的发到多块防火墙处理板卡上进行处理;防火墙数据处理板并行运行,对数据包进行更深入的检查;采用梯度过滤机制:利用策略树和协议栈策略传递机制,将攻击检测、报文分拣、IP过滤、连接状态监控、用户认证、应用协议报文分析、应用协议通信状态检查、内容安全检查等动作,依次组织成一个力度递增的过滤体系:对传统防火墙软件体系的结构进行了调整和优化,达到了较高的网络处理性能。
-
公开(公告)号:CN1838137A
公开(公告)日:2006-09-27
申请号:CN200610039902.1
申请日:2006-04-26
Applicant: 南京大学 , 江苏南大苏富特软件股份有限公司
IPC: G06F21/00
Abstract: 一种对即插即用存储设备进行读写访问控制的方法,使用控制台、即插即用存储设备检测、文件系统过滤驱动部件、日志收集四个模块,其工作包含以下几个基本步骤:控制台模块配置即插即用存储设备使用安全策略;即插即用存储设备检测模块实时检测即插即用存储设备的插入,并通知内核挂接过滤设备,开启监控;文件系统过滤驱动部件模块根据策略实现即插即用存储设备访问监控的具体操作;即插即用存储设备检测模块实时检测即插即用存储设备的移除,并通知内核卸载过滤设备,停止监控。系统分应用层与内核层,在应用层实时检测可移动存储设备的插拔,及时通知内核模块挂接过滤设备进行监控。
-
公开(公告)号:CN1604563A
公开(公告)日:2005-04-06
申请号:CN200410065182.7
申请日:2004-10-29
Applicant: 江苏南大苏富特软件股份有限公司 , 南京大学
Abstract: 防火墙包过滤网关网桥模式自适应选择的方法,防火墙同时设置路由模式和透明网桥模式,它至少包括以下步骤:根据用户配置决定防火墙是处于网关模式还是二层交换模式,在混合模式的自适应转换时,防火墙根据数据包的不同特征确定数据包的转发方式。根据自适应流程返回结果,如果是属于网桥模式则交由二层交换安全模块处理,如果是则交由网络层安全模块处理。方便网络管理员进行网络配置管理,提高了防火墙在不同网络环境中的可用性。
-
公开(公告)号:CN1838624B
公开(公告)日:2010-05-12
申请号:CN200610039900.2
申请日:2006-04-26
Applicant: 南京大学 , 江苏南大苏富特软件股份有限公司
IPC: H04L12/28
Abstract: 高性能网络数据处理平台系统,包括网络处理器、符合CPCI2.16系统数据交换支持系统、采用CPCI 2.16的机箱作为系统数据交换支持系统,包括冗余电源、系统硬件故障自检单元,采用多块支持CPCI 2.16的x86处理板构成数据接入及预处理板卡、数据处理和存储板卡、系统硬件故障自检单元,数据接入板采用高速网络处理器,并集成支持高速查表的三重内容可寻址存储器芯片和支持对内容进行模式检查、匹配和标记的协处理器芯片、CPCI2.16接口控制芯片构成数据处理及存储板卡,构建一个实用高性能网络数据处理平台系统。各处理单元间实现高效通信和高效的处理同步机制,降低各并行处理单元间数据依赖。
-
Patent Agency Ranking
公开(公告)号:CN100596351C
公开(公告)日:2010-03-31
申请号:CN200610039896.X
申请日:2006-04-26
Applicant: 南京大学 , 江苏南大苏富特软件股份有限公司
Abstract: 基于高速数据处理平台的防火墙方法,由系统数据交换支持系统、数据接入及预处理板卡、防火墙数据处理板卡组成;数据接入板实现千兆线速转发,以及数据预处理,通过对需要进一步分析的数据包计算HASH,将它们动态负载均衡的发到多块防火墙处理板卡上进行处理;防火墙数据处理板并行运行,对数据包进行更深入的检查;采用梯度过滤机制:利用策略树和协议栈策略传递机制,将攻击检测、报文分拣、IP过滤、连接状态监控、用户认证、应用协议报文分析、应用协议通信状态检查、内容安全检查等动作,依次组织成一个力度递增的过滤体系:对传统防火墙软件体系的结构进行了调整和优化,达到了较高的网络处理性能。
-
公开(公告)号:CN100458808C
公开(公告)日:2009-02-04
申请号:CN200610039902.1
申请日:2006-04-26
Applicant: 南京大学 , 江苏南大苏富特软件股份有限公司
IPC: G06F21/00
Abstract: 一种对即插即用存储设备进行读写访问控制的方法,使用控制台、即插即用存储设备检测、文件系统过滤驱动部件、日志收集四个模块,其工作包含以下几个基本步骤:控制台模块配置即插即用存储设备使用安全策略;插即用存储设备检测模块实时检测即插即用存储设备的插入,并通知内核挂接过滤设备,开启监控;文件系统过滤驱动部件模块根据策略实现即插即用存储设备访问监控的具体操作;插即用存储设备检测模块实时检测即插即用存储设备的移除,并通知内核卸载过滤设备,停止监控。系统分应用层与内核层,在应用层实时检测可移动存储设备的插拔,及时通知内核模块挂接过滤设备进行监控。
-
公开(公告)号:CN1838589A
公开(公告)日:2006-09-27
申请号:CN200610039901.7
申请日:2006-04-26
Applicant: 南京大学 , 江苏南大苏富特软件股份有限公司
Abstract: 基于高速网络数据处理平台的虚拟专用网网关系统的处理方法,由系统数据交换支持系统、数据接入及预处理板卡、防火墙数据处理板卡组成;对于外网的入站报文,通过对需要进一步分析的数据包计算HASH,将它们动态负载均衡的发到多块VPN处理板卡上进行处理;对于内网的出站报文,根据VPN隧道策略分发到多块VPN处理板卡进行处理;VPN的各种数据处理在多处理板并行运行,以使整个系统达到千兆线速所需的处理效率;该系统利用高速数据处理平台内部硬件处理单元针对网络数据包接收及转发,查表及内容分类标记等方面的优势,对传统VPN软件体系的结构进行了调整和优化,达到了较高的网络处理性能。
-
公开(公告)号:CN1838587A
公开(公告)日:2006-09-27
申请号:CN200610039898.9
申请日:2006-04-26
Applicant: 南京大学 , 江苏南大苏富特软件股份有限公司
Abstract: 基于进程关联的文件传输监控方法,在文件系统驱动中设置文件访问监控点;在NDIS中间层设置网络检查点,捕获所有向外发送的IP数据包;当发起连接的数据包通过网络检查点时,获得即时的进程信息,并立即将该进程信息传递给文件访问监控驱动,文件访问监控驱动开始捕获该进程访问的所有文件的信息;当该连接的所有数据包通过网络检查点时,对数据包进行协议分析,判断该数据包是否可能向外发送文件信息;当出现可能发送文件信息的数据包时,通过进程关联检查在发送该数据包的同时,相关进程正在访问或曾经访问的文件;以确定为正在传输的文件。
-
公开(公告)号:CN1604539A
公开(公告)日:2005-04-06
申请号:CN200410065183.1
申请日:2004-10-29
Applicant: 江苏南大苏富特软件股份有限公司 , 南京大学
Abstract: 一种防火墙内核安全组件一体化的方法,防火墙各组件的开发往往是相对独立的,对用户而言也是割裂的几个部分。本发明首先构架应当一体化,在结构上不严格区分各组件间的差异;其次安全策略的配置和检查应当一体化,对用户而言配置是统一的,对系统而言检查工作时前后相承的,再次应当有一条完整的数据包和当前策略匹配点的传输途径,可以使数据包经过各个检查点并最终通过防火墙。对于一体化系统结构的实现,统一定义在操作系统内核的调用接口点,包过滤、攻击检测和应用代理根据功能目标,分别在最合适的接口点插入检查函数,相互之间可进行有效的协作等。
-
-
-
-
-
-
-
-
-
Search Results
18
records
(took 0.038 seconds)
