知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】5908090
(24)【登録日】2016年4月1日
(45)【発行日】2016年4月26日
(54)【発明の名称】ファイアウォールクラスターにおける認証共有
(51)【国際特許分類】
G06F 13/00 20060101AFI20160412BHJP
H04L 12/66 20060101ALI20160412BHJP
【FI】
G06F13/00 351Z
H04L12/66 B
【請求項の数】42
【全頁数】13
(21)【出願番号】特願2014-529857(P2014-529857)
(86)(22)【出願日】2012年9月6日
(65)【公表番号】特表2014-526739(P2014-526739A)
(43)【公表日】2014年10月6日
(86)【国際出願番号】US2012053976
(87)【国際公開番号】WO2013036651
(87)【国際公開日】20130314
【審査請求日】2014年4月18日
(31)【優先権主張番号】13/227,848
(32)【優先日】2011年9月8日
(33)【優先権主張国】US
(73)【特許権者】
【識別番号】505418238
【氏名又は名称】マカフィー, インコーポレイテッド
(74)【代理人】
【識別番号】110000877
【氏名又は名称】龍華国際特許業務法人
(72)【発明者】
【氏名】アリソン、テイラー
(72)【発明者】
【氏名】トーマス、アニシュ
(72)【発明者】
【氏名】ニッセン、アンドリュー
(72)【発明者】
【氏名】シルバーサック、マイケル、ジェームズ
【審査官】
坂東 博司
(56)【参考文献】
【文献】
特開2006−054770(JP,A)
【文献】
特開2003−052067(JP,A)
【文献】
特開2002−141903(JP,A)
【文献】
特表2006−502503(JP,A)
【文献】
特開2008−263581(JP,A)
【文献】
米国特許出願公開第2007/1802226(US,A1)
【文献】
米国特許出願公開第2006/075478(US,A1)
【文献】
米国特許出願公開第2005/0240989(US,A1)
【文献】
米国特許出願公開第2011/0030049(US,A1)
【文献】
米国特許出願公開第2008/0028456(US,A1)
【文献】
米国特許出願公開第2012/0057597(US,A1)
【文献】
米国特許第7254834(US,B2)
【文献】
関原 優 Masaru Sekihara,既存システムの総点検と一歩進んだ使い方 ファイアウォール最適活用のポイント Fire Wall,N+I NETWORK 第3巻 第8号,日本,ソフトバンクパブリッシング株式会社,2003年 9月 1日,第3巻,68〜71ページ,2003年7月29日受入
(58)【調査した分野】(Int.Cl.,DB名)
G06F 13/00
H04L 12/66
(57)【特許請求の範囲】
【請求項1】
ファイアウォールクラスターを動作させる方法であって、
3つ以上のノードを有する前記ファイアウォールクラスターのうち、ファイアウォールタスクを実行する第1のノードにおいて接続要求を受信することと、
前記接続要求を処理して接続を確立することと、
前記確立された接続に関連付けられたユーザーデータを特定することと、
前記ユーザーデータを、前記ファイアウォールクラスター内の少なくとも1つの別のノードと共有することと、
前記第1のノードを再度割り当てることと
を含み、
前記第1のノードを再度割り当てることは、
前記第1のノードを、前記ファイアウォールタスクを実行することから侵入保護タスクを実行することに変更することと、
前記第1のノードから前記少なくとも1つの別のノードへ、前記確立された接続をリダイレクトすることと、
前記第1のノードを再度割り当てて、前記侵入保護タスクを実行することと
を含み、
前記第1のノードを再度割り当てることは、前記侵入保護タスクを実行するように構成された第2のノードの故障に応じて行われる、ファイアウォールクラスターを動作させる方法。
3つ以上のノードを有する前記ファイアウォールクラスターのうち、ファイアウォールタスクを実行する第1のノードにおいて接続要求を受信することと、
前記接続要求を処理して接続を確立することと、
前記確立された接続に関連付けられたユーザーデータを特定することと、
前記ユーザーデータを、前記ファイアウォールクラスター内の少なくとも1つの別のノードと共有することと、
前記第1のノードを再度割り当てることと
を含み、
前記第1のノードを再度割り当てることは、
前記第1のノードを、前記ファイアウォールタスクを実行することから侵入保護タスクを実行することに変更することと、
前記第1のノードから前記少なくとも1つの別のノードへ、前記確立された接続をリダイレクトすることと、
前記第1のノードを再度割り当てて、前記侵入保護タスクを実行することと
を含み、
前記第1のノードを再度割り当てることは、前記侵入保護タスクを実行するように構成された第2のノードの故障に応じて行われる、ファイアウォールクラスターを動作させる方法。
【請求項2】
前記接続要求を受信した後であって、前記ユーザーデータを共有する前に、受信した前記接続要求に関する接続情報を前記ファイアウォールクラスター内の前記少なくとも1つの別のノードと共有することを更に含む、請求項1に記載のファイアウォールクラスターを動作させる方法。
【請求項3】
前記ユーザーデータは、前記接続要求にそれぞれ関連付けられたユーザーの識別情報及びIPアドレスを含む、請求項1又は2に記載のファイアウォールクラスターを動作させる方法。
【請求項4】
前記ユーザーデータを共有することは、前記ユーザーデータを、前記ファイアウォールクラスター内の複数の別のノードにブロードキャストすることを含む、請求項1〜3のいずれか1項に記載のファイアウォールクラスターを動作させる方法。
【請求項5】
前記ユーザーデータを共有することは、前記ユーザーデータをマスターノードに送信することを含む、請求項1〜4のいずれか1項に記載のファイアウォールクラスターを動作させる方法。
【請求項6】
前記マスターノードが、前記ユーザーデータを前記ファイアウォールクラスター内の他のノードにブロードキャストすることを更に含む、請求項5に記載のファイアウォールクラスターを動作させる方法。
【請求項7】
前記確立された接続に関連付けられた共有された前記ユーザーデータを用いて、前記第1のノードの故障時に別のノードにおいて対応する後続の確立された接続をフィルタリングすることを更に含む、請求項1〜6のいずれか1項に記載のファイアウォールクラスターを動作させる方法。
【請求項8】
前記確立された接続に関連付けられた共有された前記ユーザーデータを用いて、別のノードにおいて対応する後続の確立された接続をフィルタリングし、前記ファイアウォールクラスターにおける負荷分散を提供することを更に含む、請求項1〜7のいずれか1項に記載のファイアウォールクラスターを動作させる方法。
【請求項9】
ユーザーデータを特定することは、前記確立された接続を形成する前の前記接続要求の処理中に実行される、請求項1に記載のファイアウォールクラスターを動作させる方法。
【請求項10】
ファイアウォールクラスターであって、
3つ以上の全てのノードのうち、第1のノードおよび第2のノードを備え、
前記第1のノードは、
前記第1のノードがファイアウォールタスクを実行している間に、接続要求を受信し、
前記接続要求を処理して第1の接続を確立し、
前記第1の接続に関連付けられたユーザーデータを特定し、
前記ユーザーデータを、前記ファイアウォールクラスター内の少なくとも前記第2のノードと共有し、
前記ファイアウォールタスクを実行することを停止するための命令を受信し、
前記第1の接続のための前記ファイアウォールタスクを実行することを停止し、
侵入保護タスクを実行することを開始するように構成され、
前記第2のノードは、
前記第1の接続に対応する後続の接続を確立し、
共有された前記ユーザーデータを利用して、前記後続の接続のための前記ファイアウォールタスクを実行するように構成され、
前記命令は、前記侵入保護タスクを実行するように構成された第3のノードの故障に応じて受信される、ファイアウォールクラスター。
3つ以上の全てのノードのうち、第1のノードおよび第2のノードを備え、
前記第1のノードは、
前記第1のノードがファイアウォールタスクを実行している間に、接続要求を受信し、
前記接続要求を処理して第1の接続を確立し、
前記第1の接続に関連付けられたユーザーデータを特定し、
前記ユーザーデータを、前記ファイアウォールクラスター内の少なくとも前記第2のノードと共有し、
前記ファイアウォールタスクを実行することを停止するための命令を受信し、
前記第1の接続のための前記ファイアウォールタスクを実行することを停止し、
侵入保護タスクを実行することを開始するように構成され、
前記第2のノードは、
前記第1の接続に対応する後続の接続を確立し、
共有された前記ユーザーデータを利用して、前記後続の接続のための前記ファイアウォールタスクを実行するように構成され、
前記命令は、前記侵入保護タスクを実行するように構成された第3のノードの故障に応じて受信される、ファイアウォールクラスター。
【請求項11】
前記第1のノードは更に、前記接続要求を受信した後であって、ユーザーデータを共有する前に、受信した前記接続要求に関する接続情報を前記ファイアウォールクラスター内の前記第2のノードと共有するように構成される、請求項10に記載のファイアウォールクラスター。
【請求項12】
ユーザーデータは、前記接続要求にそれぞれ関連付けられたユーザーの識別情報及びIPアドレスを含む、請求項10又は11に記載のファイアウォールクラスター。
【請求項13】
前記ユーザーデータを共有することは、前記ユーザーデータを、前記ファイアウォールクラスター内の別のノードにブロードキャストすることを含む、請求項10〜12のいずれか1項に記載のファイアウォールクラスター。
【請求項14】
マスターノードを更に備え、
前記ユーザーデータを共有することは、前記ユーザーデータを前記マスターノードに送信することを含む、請求項10〜13のいずれか1項に記載のファイアウォールクラスター。
前記ユーザーデータを共有することは、前記ユーザーデータを前記マスターノードに送信することを含む、請求項10〜13のいずれか1項に記載のファイアウォールクラスター。
【請求項15】
前記マスターノードは更に、前記ユーザーデータを前記ファイアウォールクラスター内の他のノードにブロードキャストするように構成される、請求項14に記載のファイアウォールクラスター。
【請求項16】
前記第2のノードは、前記第1の接続に関連付けられた共有された前記ユーザーデータを用いて、前記第1のノードの故障時に前記後続の接続をフィルタリングするように構成される、請求項10〜15のいずれか1項に記載のファイアウォールクラスター。
【請求項17】
前記第2のノードは、前記第1の接続に関連付けられた共有された前記ユーザーデータを用いて、前記後続の接続をフィルタリングし、前記ファイアウォールクラスターにおける負荷分散を提供するように構成される、請求項10〜16のいずれか1項に記載のファイアウォールクラスター。
【請求項18】
コンピュータに、
3つ以上のノードを有するファイアウォールクラスターのうち、ファイアウォールタスクを実行する第1のノードにおいて接続要求を受信する手順と、
前記接続要求を処理して接続を確立する手順と、
前記確立された接続に関連付けられたユーザーデータを特定する手順と、
前記ユーザーデータを、前記ファイアウォールクラスター内の少なくとも1つの別のノードと共有する手順と、
前記第1のノードを再度割り当てることを特定させ、再度割り当てることは、前記第1のノードを、前記ファイアウォールタスクを実行することから侵入保護タスクを実行することに変更する手順と
前記第1のノードから前記少なくとも1つの別のノードに前記確立された接続をリダイレクトする手順と、
前記第1のノードを再度割り当てて、前記侵入保護タスクを実行する手順と
を実行させ、
前記第1のノードの再割り当ては、前記侵入保護タスクを実行するように構成された第2のノードの故障に応じて行われる、プログラム。
3つ以上のノードを有するファイアウォールクラスターのうち、ファイアウォールタスクを実行する第1のノードにおいて接続要求を受信する手順と、
前記接続要求を処理して接続を確立する手順と、
前記確立された接続に関連付けられたユーザーデータを特定する手順と、
前記ユーザーデータを、前記ファイアウォールクラスター内の少なくとも1つの別のノードと共有する手順と、
前記第1のノードを再度割り当てることを特定させ、再度割り当てることは、前記第1のノードを、前記ファイアウォールタスクを実行することから侵入保護タスクを実行することに変更する手順と
前記第1のノードから前記少なくとも1つの別のノードに前記確立された接続をリダイレクトする手順と、
前記第1のノードを再度割り当てて、前記侵入保護タスクを実行する手順と
を実行させ、
前記第1のノードの再割り当ては、前記侵入保護タスクを実行するように構成された第2のノードの故障に応じて行われる、プログラム。
【請求項19】
コンピュータに、
3つ以上のノードを有するファイアウォールクラスターのうち、ファイアウォールタスクを実行する第1のノードで受信された接続要求を処理して接続を確立する手順と、
前記確立された接続を処理するべくバックアップノードにより利用され、前記確立された接続に関連付けられた状態情報を、前記ファイアウォールクラスター内の少なくとも1つの別のノードと共有する手順と、
侵入保護タスクを実行するように構成された第2のノードの故障に応じて、侵入保護タスクを実行すべく前記第1のノードを再度割り当てる手順と
を実行させるプログラム。
3つ以上のノードを有するファイアウォールクラスターのうち、ファイアウォールタスクを実行する第1のノードで受信された接続要求を処理して接続を確立する手順と、
前記確立された接続を処理するべくバックアップノードにより利用され、前記確立された接続に関連付けられた状態情報を、前記ファイアウォールクラスター内の少なくとも1つの別のノードと共有する手順と、
侵入保護タスクを実行するように構成された第2のノードの故障に応じて、侵入保護タスクを実行すべく前記第1のノードを再度割り当てる手順と
を実行させるプログラム。
【請求項20】
前記コンピュータに、
前記接続要求を受信した後であって、前記状態情報を共有する前に、受信した前記接続要求に関する接続情報を、前記ファイアウォールクラスター内の少なくとも1つの別のノードと共有する手順を更に実行させる、請求項19に記載のプログラム。
前記接続要求を受信した後であって、前記状態情報を共有する前に、受信した前記接続要求に関する接続情報を、前記ファイアウォールクラスター内の少なくとも1つの別のノードと共有する手順を更に実行させる、請求項19に記載のプログラム。
【請求項21】
前記状態情報は、前記接続要求にそれぞれ関連付けられたユーザーの識別情報およびIPアドレスを含む、請求項19に記載のプログラム。
【請求項22】
前記状態情報を共有する手順は、前記ファイアウォールクラスター内の複数の別のノードに前記状態情報をブロードキャストする手順を含む、請求項19〜21のいずれか1項に記載のプログラム。
【請求項23】
前記状態情報を共有する手順は、前記バックアップノードに前記状態情報を送信する手順を含む、請求項19〜21のいずれか1項に記載のプログラム。
【請求項24】
前記コンピュータに、
前記バックアップノードから前記ファイアウォールクラスター内の別のノードに前記状態情報をブロードキャストする手順を更に実行させる、請求項23に記載のプログラム。
前記バックアップノードから前記ファイアウォールクラスター内の別のノードに前記状態情報をブロードキャストする手順を更に実行させる、請求項23に記載のプログラム。
【請求項25】
前記コンピュータに、
前記確立された接続に関連付けられた共有された前記状態情報を用いて、前記第1のノードの故障時に別のノードにおいて、対応する後続の確立された接続をフィルタリングする手順を更に実行させる、請求項19〜21のいずれか1項に記載のプログラム。
前記確立された接続に関連付けられた共有された前記状態情報を用いて、前記第1のノードの故障時に別のノードにおいて、対応する後続の確立された接続をフィルタリングする手順を更に実行させる、請求項19〜21のいずれか1項に記載のプログラム。
【請求項26】
前記コンピュータに、
前記確立された接続に関連付けられた共有された前記状態情報を用いて、別のノードにおいて、対応する後続の確立された接続をフィルタリングし、前記ファイアウォールクラスター内の負荷分散を提供する手順を更に実行させる、請求項19〜21のいずれか1項に記載のプログラム。
前記確立された接続に関連付けられた共有された前記状態情報を用いて、別のノードにおいて、対応する後続の確立された接続をフィルタリングし、前記ファイアウォールクラスター内の負荷分散を提供する手順を更に実行させる、請求項19〜21のいずれか1項に記載のプログラム。
【請求項27】
前記接続要求を処理する手順は、前記確立された接続を形成する前に、共有された前記状態情報を決定する手順を含む、請求項19〜21のいずれか1項に記載のプログラム。
【請求項28】
複数のノードのクラスターを動作させる方法であって、
3つ以上のノードを有する前記複数のノードのクラスターのうち、ファイアウォールタスクを実行する第1のノードで接続要求を受信する段階と、
前記接続要求を処理して接続を確立する段階と、
前記確立された接続に関連付けられた状態情報を、前記複数のノードのクラスターのうち少なくとも1つの別のノードと共有する段階と、
侵入保護タスクを実行するように構成された第2のノードの故障に応じて、侵入保護タスクを実行するように前記第1のノードを再度割り当てる段階と
を備え、
共有された前記状態情報は、前記確立された接続を処理するバックアップノードによる使用のためのものである、方法。
3つ以上のノードを有する前記複数のノードのクラスターのうち、ファイアウォールタスクを実行する第1のノードで接続要求を受信する段階と、
前記接続要求を処理して接続を確立する段階と、
前記確立された接続に関連付けられた状態情報を、前記複数のノードのクラスターのうち少なくとも1つの別のノードと共有する段階と、
侵入保護タスクを実行するように構成された第2のノードの故障に応じて、侵入保護タスクを実行するように前記第1のノードを再度割り当てる段階と
を備え、
共有された前記状態情報は、前記確立された接続を処理するバックアップノードによる使用のためのものである、方法。
【請求項29】
前記接続要求を受信した後であって、前記状態情報を共有する前に、受信した前記接続要求に関する接続情報を、前記複数のノードのクラスター内の少なくとも別のノードと共有する段階を更に備える、請求項28に記載の方法。
【請求項30】
前記状態情報は、前記接続要求にそれぞれ関連付けられたユーザーの識別情報およびIPアドレスを含む、請求項28に記載の方法。
【請求項31】
前記状態情報を共有する段階は、前記クラスター内の複数の別のノードに前記状態情報をブロードキャストする段階を含む、請求項28〜30のいずれか1項に記載の方法。
【請求項32】
前記状態情報を共有する段階は、前記バックアップノードに前記状態情報を送信する段階を含む、請求項28〜30のいずれか1項に記載の方法。
【請求項33】
前記状態情報を共有する段階は、前記バックアップノードから前記クラスター内の別のノードに前記状態情報をブロードキャストする段階を更に含む、請求項32に記載の方法。
【請求項34】
前記確立された接続に関連付けられた共有された前記状態情報を用いて、別のノードにおいて、対応する後続の確立された接続をフィルタリングすることにより前記クラスターを負荷分散する段階を更に備える、請求項28〜30のいずれか1項に記載の方法。
【請求項35】
前記接続要求を処理する段階は、前記接続を確立する前に、前記状態情報を決定する段階を含む、請求項28〜30のいずれか1項に記載の方法。
【請求項36】
結合された第1のノード、第2のノードおよび第3のノードを備え、
前記第1のノードは、ファイアウォールタスクを実行するように構成され、前記第3のノードは、侵入保護タスクを実行するように構成され、
前記第1のノードは、更に、
接続要求を受信し、
前記接続要求を処理して接続を確立し、
共有された状態情報を用いて前記確立された接続を処理するために、前記確立された接続に関連付けられた前記状態情報を前記第2のノードと共有し、
前記第1のノードを再度割り当てて、前記第3のノードの故障に応じて侵入保護タスクを実行するように構成される、ファイアウォールクラスター。
前記第1のノードは、ファイアウォールタスクを実行するように構成され、前記第3のノードは、侵入保護タスクを実行するように構成され、
前記第1のノードは、更に、
接続要求を受信し、
前記接続要求を処理して接続を確立し、
共有された状態情報を用いて前記確立された接続を処理するために、前記確立された接続に関連付けられた前記状態情報を前記第2のノードと共有し、
前記第1のノードを再度割り当てて、前記第3のノードの故障に応じて侵入保護タスクを実行するように構成される、ファイアウォールクラスター。
【請求項37】
前記第1のノードは、前記接続要求を受信した後であって、前記状態情報を共有する前に、受信した前記接続要求に関する接続情報を、前記ファイアウォールクラスター内の少なくとも1つの別のノードと共有するように更に構成される、請求項36に記載のファイアウォールクラスター。
【請求項38】
前記第1のノードは、前記ファイアウォールクラスター内の複数の別のノードに前記状態情報をブロードキャストすることにより、前記状態情報を共有するように構成される、請求項36に記載のファイアウォールクラスター。
【請求項39】
前記第2のノードは、前記ファイアウォールクラスター内の複数の別のノードに前記状態情報をブロードキャストするように構成される、請求項36〜38のいずれか1項に記載のファイアウォールクラスター。
【請求項40】
共有された前記状態情報を用いて、別のノードにおいて、後続の確立された接続をフィルタリングすることにより、前記ファイアウォールクラスター内の負荷分散を提供するように構成される負荷分散装置を更に備える、請求項36〜38のいずれか1項に記載のファイアウォールクラスター。
【請求項41】
前記第1のノードは、前記確立された接続を形成する前に、共有された前記状態情報を決定するように更に構成される、請求項36〜38のいずれか1項に記載のファイアウォールクラスター。
【請求項42】
前記第2のノードは、前記第1のノードの故障時に別のノードにおいて、後続の確立された接続をフィルタリングするように更に構成される、請求項36〜38のいずれか1項に記載のファイアウォールクラスター。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、包括的にはファイアウォール動作に関し、より詳細には、1つの実施形態において、本発明はファイアウォールクラスターにおける認証共有に関する。
【0002】
[関連出願の相互参照]本出願は、2011年9月8日に出願された米国特許出願第l3/227,848号の優先権を主張する。この米国特許出願は、引用することにより本明細書の一部をなす。
【0003】
[制限付き著作権放棄]本特許文書の開示の一部は、著作権保護の請求がなされた題材を含む。著作権所有者は、米国特許庁及び商標局のファイル又は記録に見られるように、いかなる者による特許文書又は特許開示のファクシミリ再生に対しても異議はないが、他のいかなる権利についてもそれらの権利の全てを留保する。
【背景技術】
【0004】
コンピューターが有益なツールである所以は主に、コンピューターが他のコンピューターシステムと通信し、コンピューターネットワークを介して情報を取り出すことが可能なことにある。ネットワークは通常、コンピューター間で情報を転送する能力をコンピューターに与える、配線、光ファイバー、無線、又は他のデータ送信手段によってリンクされた、相互接続されたコンピューター群を含む。インターネットは、おそらく最もよく知られたコンピューターネットワークであり、数百万人の人々が、ウェブページを閲覧するか、電子メールを送信するか、又は他のコンピューター間通信を実行すること等によって、数百万個の他のコンピューターにアクセスすることを可能にする。
【0005】
しかし、インターネットは規模が非常に大きく、インターネットユーザーの関心に非常に多様性があるので、悪意のあるユーザー又は迷惑ユーザー(prankster)が、他のユーザーに危険を課すように他のユーザーのコンピューターと通信することを試みることは珍しくない。例えば、ハッカーは企業のコンピューターにログインして、情報を盗むか、削除するか又は変更するように試みる場合がある。コンピューターウィルス又はトロイの木馬プログラムが他のコンピューターに配信されるか、又は多数のコンピューターユーザーによって知らずにダウンロード若しくは実行される場合がある。さらに、企業等の組織内のコンピューターユーザーは時折、ファイル共有プログラムを実行するか、又は企業のネットワーク内から企業秘密をインターネットに送信する等の認可されていないネットワーク通信を実行しようと試みる場合がある。
【0006】
これらの理由及び他の理由により、多くの企業、団体、及び更にはホームユーザーが、自身のローカルネットワークとインターネットとの間でネットワークファイアウォール又は同様のデバイスを用いる。ファイアウォールは通常、通過するネットワークトラフィックを調査するコンピューター化されたネットワークデバイスであり、1組の規則に基づいて所望のネットワークトラフィックの通過を許可する。
【0007】
ファイアウォールは、TCP/IPパケット又は他のネットワークプロトコルパケット等の通信パケットを観察し、ソースネットワークアドレス及び宛先ネットワークアドレス、いずれのポートが用いられているか、及び接続の状態又は履歴等の特性を検査することによってフィルタリング機能を実行する。ファイアウォールによっては、特定のアプリケーションに対し行き来するパケットも検査するものもあるし、保護されたユーザーと外部のネットワーク化されたコンピューターとの間の選択されたネットワーク要求を処理及び転送することによってプロキシデバイスとして働くものもある。
【0008】
ファイアウォールは通常、ファイアウォール内のネットワークトラフィックを検査すること等によって、様々なポート、ソケット及びプロトコル間の接続を監視することにより、ネットワーク情報のフローを制御する。ソケット、ポート、アプリケーション及び他の情報に基づく規則を用いて、データを選択的にフィルタリングするか又は通過させ、ネットワークアクティビティのログをとる。ファイアウォール規則は通常、ネットワークトラフィックの或る特定のタイプを識別するように構成される。これらのタイプとしては、禁止されるか、又は、或る特定の他の制限が適用されるべき種類のトラフィックであり、ファイル共有プログラムに用いられることがわかっているポート上のトラフィックをブロックする一方で従来のFTPポートを介して受信されるいかなるトラフィックもウィルススキャンすること、或る特定のアプリケーション又はユーザーがいくつかのタスクを実行することをブロックする一方で他のユーザーがそのようなタスクを実行することを可能にすること、及び共通のIPアドレスからの異なるポートに対する反復クエリ等の既知の攻撃パターンに基づいてトラフィックをブロックすること等である。
【0009】
しかし、ファイアウォールが、複数のコンピューターシステムにわたって分散されたときにそのような接続を管理する能力は、接続の知識が通常、接続をハンドリングするシステムにしか記憶されないという点で限られている。したがって、クラスターにおける改善されたファイアウォール分散が所望されている。
【0010】
本発明の様々な例示的な実施形態が、第1のノードを備えるファイアウォールクラスターシステムを備え、この第1のノードは、3つ以上のノードを有するファイアウォールクラスターにおいて接続を受信し、この接続に関連付けられたユーザーデータを特定し、このユーザーデータをファイアウォールクラスター内の少なくとも別のノードと共有するように動作可能である。別のノードは、アプリケーション状態データを用いて、第1のノードが故障した場合等に接続の処理を継続するか、又は負荷分散を提供することができる。
【図面の簡単な説明】
【0011】
【図1】本発明のいくつかの実施形態を実施するのに用いることができるような、ファイアウォールを含む例示的なネットワークを示す図である。
【0012】
【図2】本発明のいくつかの実施形態を実施するのに用いることができるような、複数のファイアウォールノードを含むファイアウォールクラスターを含む例示的なネットワークを示す図である。
【0013】
【図3】本発明の例示的な実施形態に従う、ファイアウォールクラスター内の共有されたユーザーパスポート情報の使用を示すフローチャートである。
【発明を実施するための形態】
【0014】
本発明の例示的な実施形態の以下の詳細な説明において、図示及び説明のために特定の実施例が参照される。これらの実施例は、当業者が本発明を実施することを可能にするのに十分詳細に説明され、本発明を様々な目的又は実施形態にどのように適用することができるかを示す役割を果たす。本発明の他の実施形態が存在し、これらは本発明の範囲内にあり、本発明の主題又は範囲から逸脱することなく、論理的変更、機械的変更、電気的変更及び他の変更を行うことができる。しかしながら、本明細書において説明される本発明の様々な実施形態の特徴及び制限は、それらが組み込まれる例示的な実施形態に必須なものであり、発明を全体として制限するものではなく、本発明、本発明の要素、動作及び用途へのいかなる言及も、本発明を全体として制限するものではなく、これらの例示的な実施形態を定義する役割のみを果たす。したがって、以下の詳細な説明は本発明の範囲を制限せず、本発明の範囲は添付の特許請求の範囲によってのみ定義される。
【0015】
図1は、101におけるインターネット等の公衆ネットワークと、プライベートネットワーク102と、103に示される、ファイアウォール及び侵入保護機能を提供するように動作可能なコンピューターネットワークデバイスとを備える通常のコンピューターネットワーク環境を示している。この特定の例において、コンピューターネットワークデバイス103は、インターネットとプライベートネットワークとの間に位置決めされ、プライベートネットワークと公衆ネットワークとの間のトラフィックフローを調整する。
【0016】
ネットワークデバイス103は、様々な実施形態において、ファイアウォールデバイスであり、侵入保護デバイスであり、又はその双方として機能する。ネットワークデバイス内のファイアウォールデバイス又はモジュールは、ネットワークパケットの調査、及び1組のファイアウォールフィルタリング規則を満たすネットワークパケットのドロップ又は拒否等の様々なネットワークフロー制御機能を提供する。上記で説明したように、ファイアウォールは通常、TCP/IPパケット又は他のネットワークプロトコルパケット等の通信パケットを観察し、ソースネットワークアドレス及び宛先ネットワークアドレス、いずれのポートが用いられているか、及び接続の状態又は履歴等の特性を検査することによってフィルタリング機能を実行する。ファイアウォールによっては、いずれのアプリケーションが接続を確立したかを特定するためにパケットも検査するものもあるし、保護されたユーザーと外部のネットワーク化されたコンピューターとの間の選択されたネットワーク要求を処理及び転送することによってプロキシデバイスとして働くものもある。ファイアウォールは多くの場合に、望ましくないトラフィックの「シグネチャ」又は他の特性を用いて、有害であるとみなされるか又は他の形で望ましくないトラフィックを検出しブロックする。
【0017】
ファイアウォールは通常、1組の規則を用いてトラフィックをフィルタリングし、ネットワークデータの任意の特定の要素に関して行われることが、その特定のデータにどのように規則の組が適用されるかに依拠するようにする。例えば、ポート6346への全てのトラフィックをブロックする規則は、保護されたネットワーク内のサーバー上のそのポートに向けられた着信トラフィックをブロックするが、同じサーバーの異なるポート番号に向かう他のデータはブロックしない。同様に、Shareaza等のファイル共有プログラムから発信されたトラフィックをブロックする規則は、トラフィックにおけるパターンを用いて、ポート6346上のShareazaトラフィックをブロックするが、ポート6346上の他のトラフィックは許可する。
【0018】
しかし、大型のシステム又は複雑なシステム等の、ファイアウォールが複数のコンピューター又はノードにわたって分散されたシステムとして実施される環境では、複数のノードが接続を共有する能力は、接続に関するソケット情報、アプリケーション情報、ユーザー情報等のような、接続に関する各ノードの情報に限定される。したがって、本発明のいくつかの実施形態は、クラスターファイアウォール内の他のシステムと、ユーザー又は他のそのような接続データ等の状態情報を共有し、ファイアウォールクラスター内の複数のノードが同じ接続を処理することを可能にするメカニズムを提供する。これによって、システム間で接続の担当を移すことによって負荷分散を行い、クラスター内のノードの故障を、そのノードの接続を別のマシンに移すことによって管理し、他のそのような機能を実行する能力がクラスターに与えられる。
【0019】
1つのそのような例において、ファイアウォール又は侵入保護システムは、ファイアウォールを通って流れる処理トラフィックを共有するノードのクラスター又は接続された群として実装される。図2は、本発明のいくつかの実施形態を実施するのに用いることができるような、分散ファイアウォールを有するネットワークを示している。ここで、インターネット201等のネットワークは、ファイアウォール203によって内部ネットワーク202に結合される。ファイアウォール203は、負荷分散及び他のファイアウォール管理機能等の機能を実行することができる着信トラフィックモジュール204及び発信トラフィックモジュール205を含む。ファイアウォール又は侵入保護規則はファイアウォールノード206において適用され、これらのファイアウォールノードは図示されるようにネットワーク接続によって互いに接続される。
【0020】
ここで、示される5つのノードはそれぞれ、インターネット201と内部ネットワーク202との間を流れるトラフィックを選択的に許可又はブロックする規則をトラフィックに適用するように動作可能な、ファイアウォール又は関連するソフトウェアのインスタンスを実行する別個のコンピューターシステムを備える。代替の実施形態では、ノード1、ノード2及びノード3等のいくつかのノードがファイアウォールアプリケーションを実行する一方、4及び5等の他のノードは侵入保護システム(IPS)アプリケーションを実行する。ノード204及び205は、ファイアウォールノード206にルーティングされるトラフィックの負荷分散等の機能の実行を担当し、これらのノードが、単一ノードの場合よりも高いスループット能力を提供するように効率的にともに機能することができることを確保する。
【0021】
いくつかのファイアウォール実施形態は、ポート、IP及び他のそのような規則をデータストリームに単に適用することを超える、複雑な接続識別機能を実行する。例えば、いくつかのファイアウォールの例は、ファイアウォールに対するユーザー認証を用いることによって、又はMicrosoftドメインサーバーログオン若しくはファイアウォールによって読み取ることができる他のユーザー証明書等の間接的な認証を用いることによって、ユーザーを特定の接続と関連付けるユーザー「パスポート」を含む。このパスポートは、識別されたユーザーを、特定のIPアドレス、MACアドレス又は他の識別子と関連付け、ユーザーから到来する接続を、そのユーザーに属するものとして識別することができるようにする。
【0022】
次に、ファイアウォールにおいて、ユーザーに基づくフィルタリングを行うことができる。例えば、ファイアウォールは、アリスが管理グループのメンバーである一方、ボブは従業員グループのメンバーであるが管理グループのメンバーではないことを知っている場合がある。双方のユーザーがコンピューターにログオンし、ビデオ会議に参加するためにSkypeを実行し、ファイアウォールは、双方のユーザーが、外部のベンダー又は顧客とビデオ会議を行う等のために、Skypeを用いてファイアウォールを通してビデオ会議トラフィックを送信することを許可されると判断する。
【0023】
ボブは、Skypeを用いてファイルを送信することを試み、ファイアウォールは、管理グループのメンバーのみがSkypeを用いてファイルをアウトバウンド送信することを許可する規則を適用する。ファイアウォールは、ボブの接続に関連付けられたパスポートのユーザ情報及びIPアドレス情報を用いて、ボブがファイルを送信しようと試みている者であることを特定し、したがってボブのファイルをブロックする。次に、アリスがSkypeを用いて同じファイルの送信を試行し、アリスの接続に関連付けられたパスポートは、アリスを接続に関連付けられたユーザーとして識別し、ファイルの送信が許可される。
【0024】
しかし、ファイアウォールが複数のノードにわたって分散されている場合、各ノードが同じファイアウォール規則を有する一方、接続を管理するノードしかユーザー名及び接続のIPアドレス(又はパスポート)等のユーザー情報を知らないという点で、接続に適切な規則を適用することはより困難である。
【0025】
したがって、本発明のいくつかの実施形態は、ユーザーパスポート情報をマルチキャストすること、又はユーザーパスポート情報を配信するためにマスターノード送信すること等によって、ファイアウォールクラスター内のノード間でユーザーパスポート情報を配信することを含む。
【0026】
図3は、本発明の例示的な実施形態に従う、ファイアウォールクラスターにおける共有されたユーザーパスポート情報の使用を示すフローチャートである。301において、ローカルネットワーク202内のコンピューターとインターネット201との間でリンクが開始される。ノード間のリンクはノード1によって処理される。302において、ネットワーク接続が確立されるとすぐに、ノード1がMicrosoftドメインサーバーログイン等からユーザーパスポート情報を取り出すか、又はユーザーがファイアウォールに直接ログインする。次に、303において、ファイアウォールノード1は、接続に関するこのユーザーパスポートデータを他のノードと共有し、304において、このユーザーパスポートデータを用いて、ユーザー固有の規則をファイアウォールに適用する。
【0027】
305において、ノード1が故障し、306において、接続がノード2にリダイレクトされる。ノード2は、ノード1から接続に関するユーザーパスポートデータを以前に受信しているので、308において、ノード2は、ユーザー固有の規則を接続に適用することを含む、データストリームのフィルタリングを再開することができる。
【0028】
この例は、ノードが故障した後に、ノードが接続のフィルタリングをどのように再開することができるかを示しているが、負荷分散、又は様々なタスクへのノードの再割当て等の用途で、分散ファイアウォールクラスター内で接続を一のノードから別のノードへと移すのに、同様の方法を用いることができる。
【0029】
1つのそのような例では、ファイアウォールノード1が故障するのではなく、2つの侵入保護システムノード(図示せず)の一方である侵入保護システムノードが故障する。システムは、ファイアウォールサービスを提供するノード数と、侵入保護を提供するノード数との間で或る特定のバランスを維持することを所望し、この例では、侵入保護システムは、その2つのノードのうちの一方が故障したとき、機能の半分を失っている。したがって、システムは、故障した侵入保護ノードに置き換わるようにファイアウォールノード1を再割当てし、その結果、図2に示すように、以前にファイアウォールノード1によって処理されていた接続は、ファイアウォールノード2〜5にわたって再分散される。
【0030】
これらの例は、ファイアウォールクラスター内でユーザーパスポートデータを共有することによって、ファイアウォールクラスター内の負荷分散、フェイルオーバー及び他の機能をどのように容易にし、ファイアウォールクラスターにおけるネットワークトラフィックのユーザーに基づくフィルタリングをより扱いやすく信頼性の高いものにすることができるかを示している。
【0031】
本明細書において、特定の実施形態が示され、説明されたが、当業者であれば、同じ目的を果たすように計算された任意の構成を、示された特定の実施形態に置き換えることができることを理解するであろう。本出願は、本明細書に説明した本発明の例示的な実施形態の任意の適応又は変形を包含するように意図される。本発明は特許請求の範囲及びその等価物の全範囲によってのみ限定されることが意図される。
【0032】
上記で説明したように、動作方法及び或る特定の方式で構成されるファイアウォールが開示されている。例えば、ファイアウォールクラスターを動作させる方法は、3つ以上のノードを有するファイアウォールクラスターの第1のノードにおいて接続を受信することと、この接続に関連付けられたユーザーデータを特定することと、このユーザーデータを、ファイアウォールクラスター内の少なくとも別のノードと共有することとを含むことができる。さらに、ファイアウォールクラスターは、接続を受信した後であるが、ユーザーデータを共有する前に、受信した接続に関する接続情報をファイアウォールクラスター内の少なくとも別のノードと共有することができる。ユーザーデータは、ユーザーの識別情報及び接続のIPアドレスを含むことができる。共有することは、ユーザーデータを、ファイアウォールクラスター内の他のノードにブロードキャストすること、又はユーザーデータをマスターノードに送信することを含むことができる。マスターノードは、ユーザーデータをファイアウォールクラスター内の他のノードにブロードキャストするように構成することもできる。オプションで、ファイアウォールクラスターは、接続に関連付けられた共有されたユーザーデータを用いて、第1のノードの故障時に別のノードにおいて接続をフィルタリングすることもできるし、別のノードにおいて接続をフィルタリングし、ファイアウォールクラスターにおける負荷分散を提供することもできる。