公开(公告)号：US08677447B1

公开(公告)日：2014-03-18

申请号：US13115508

申请日：2011-05-25

申请人： Nir Zuk ,  Song Wang

发明人： Nir Zuk ,  Song Wang

IPC分类号： H04L29/06 ,  G06F15/16

CPC分类号： H04L63/02 ,  H04L63/029 ,  H04L67/06 ,  H04L67/22

摘要： Techniques for identifying user names and enforcing policies are disclosed. An external user account associated with an external application request is identified. A policy is applied based on the identified external user account. One example policy is that access to the external application (via the external user account) should be blocked.

摘要翻译： 公开了用于识别用户名和执行策略的技术。 识别与外部应用程序请求相关联的外部用户帐户。 基于所识别的外部用户帐户应用策略。 一个示例性的策略是，应该阻止访问外部应用程序（通过外部用户帐户）。

公开(公告)号：US08009566B2

公开(公告)日：2011-08-30

申请号：US11475393

申请日：2006-06-26

申请人： Nir Zuk ,  Song Wang ,  Siu-Wang Leung ,  Fengmin Gong

发明人： Nir Zuk ,  Song Wang ,  Siu-Wang Leung ,  Fengmin Gong

IPC分类号： G06F15/16

CPC分类号： H04L63/0227 ,  H04L63/1416

摘要： Methods and apparatuses are described for inspecting data packets in a computer network. One or more data packets through the network have associated header data and content. One method includes receiving a data packet, examining the data packet to classify the data packet including classifying the data packet using information included in the header and content, determining flow instructions for processing the packet based on both the header information and the content and processing of the packet using the flow instructions.

摘要翻译： 描述了用于检查计算机网络中的数据分组的方法和装置。 通过网络的一个或多个数据包具有相关联的头部数据和内容。 一种方法包括接收数据分组，检查数据分组以对数据分组进行分类，包括使用包括在报头和内容中的信息对数据分组进行分类，确定基于报头信息和内容的处理分组的流指令，以及处理 该包使用流程指令。

公开(公告)号：US20070297333A1

公开(公告)日：2007-12-27

申请号：US11475393

申请日：2006-06-26

申请人： Nir Zuk ,  Song Wang ,  Siu-Wang Leung ,  Fengmin Gong

发明人： Nir Zuk ,  Song Wang ,  Siu-Wang Leung ,  Fengmin Gong

IPC分类号： H04J1/16 ,  H04L12/56

CPC分类号： H04L63/0227 ,  H04L63/1416

摘要： Methods and apparatuses are described for inspecting data packets in a computer network. One or more data packets through the network have associated header data and content. One method includes receiving a data packet, examining the data packet to classify the data packet including classifying the data packet using information included in the header and content, determining flow instructions for processing the packet based on both the header information and the content and processing of the packet using the flow instructions.

摘要翻译： 描述了用于检查计算机网络中的数据分组的方法和装置。 通过网络的一个或多个数据包具有相关联的头部数据和内容。 一种方法包括接收数据分组，检查数据分组以对数据分组进行分类，包括使用包括在报头和内容中的信息对数据分组进行分类，确定基于报头信息和内容的处理分组的流指令，以及处理 该包使用流程指令。

公开(公告)号：US08565093B2

公开(公告)日：2013-10-22

申请号：US13193239

申请日：2011-07-28

申请人： Nir Zuk ,  Song Wang ,  Siu-Wang Leung ,  Fengmin Gong

发明人： Nir Zuk ,  Song Wang ,  Siu-Wang Leung ,  Fengmin Gong

IPC分类号： G06F15/16

CPC分类号： H04L63/0227 ,  H04L63/1416

摘要： Methods and apparatuses are described for inspecting data packets in a computer network. One or more data packets through the network have associated header data and content. One method includes receiving a data packet, examining the data packet to classify the data packet including classifying the data packet using information included in the header and content, determining flow instructions for processing the packet based on both the header information and the content and processing of the packet using the flow instructions.

公开(公告)号：US20120026881A1

公开(公告)日：2012-02-02

申请号：US13193239

申请日：2011-07-28

申请人： Nir Zuk ,  Song Wang ,  Siu-Wang Leung ,  Fengmin Gong

发明人： Nir Zuk ,  Song Wang ,  Siu-Wang Leung ,  Fengmin Gong

IPC分类号： G06F15/16

CPC分类号： H04L63/0227 ,  H04L63/1416

摘要： Methods and apparatuses are described for inspecting data packets in a computer network. One or more data packets through the network have associated header data and content. One method includes receiving a data packet, examining the data packet to classify the data packet including classifying the data packet using information included in the header and content, determining flow instructions for processing the packet based on both the header information and the content and processing of the packet using the flow instructions.

摘要翻译： 描述了用于检查计算机网络中的数据分组的方法和装置。 通过网络的一个或多个数据包具有相关联的头部数据和内容。 一种方法包括接收数据分组，检查数据分组以对数据分组进行分类，包括使用包括在报头和内容中的信息对数据分组进行分类，确定基于报头信息和内容的处理分组的流指令，以及处理 该包使用流程指令。

公开(公告)号：US08726016B2

公开(公告)日：2014-05-13

申请号：US13616067

申请日：2012-09-14

申请人： Nir Zuk

发明人： Nir Zuk

IPC分类号： H04L29/06

CPC分类号： H04L63/02 ,  H04L63/0209 ,  H04L63/0218 ,  H04L63/0227 ,  H04L63/0254 ,  H04L63/0263 ,  H04L63/12 ,  H04L63/1416 ,  H04L63/1441 ,  H04L69/22

摘要： Methods, computer program products and apparatus for processing data packets are described. Methods include receiving the data packet, examining the data packet, determining a single flow record associated with the packet and extracting flow instructions for two or more devices from the single flow record.

摘要翻译： 描述了处理数据包的方法，计算机程序产品和装置。 方法包括接收数据分组，检查数据分组，确定与分组相关联的单个流记录，并从单流记录中提取两个或多个设备的流指令。

公开(公告)号：US20120166599A1

公开(公告)日：2012-06-28

申请号：US13335745

申请日：2011-12-22

申请人： Nir Zuk ,  Ravi Ithal ,  Anupam Bharali

发明人： Nir Zuk ,  Ravi Ithal ,  Anupam Bharali

IPC分类号： G06F15/177

CPC分类号： H04L41/08 ,  H04L12/4679 ,  H04L41/0853 ,  H04L63/0272 ,  H04L67/10

摘要： Methods, systems, and apparatus, including computer programs encoded on a computer storage medium, for managing network devices. A central management system stores shared configuration objects in a central configuration database. A network device stores shared configuration objects and device-specific configuration objects in a local configuration database. The local configuration database's shared configuration objects correspond to shared configuration objects in the central configuration database. The network device can be configured locally or using the central management system.

摘要翻译： 方法，系统和装置，包括在计算机存储介质上编码的计算机程序，用于管理网络设备。 中央管理系统将共享配置对象存储在中央配置数据库中。 网络设备将共享的配置对象和设备特定的配置对象存储在本地配置数据库中。 本地配置数据库的共享配置对象与中央配置数据库中的共享配置对象相对应。 网络设备可以在本地配置或使用中央管理系统。

公开(公告)号：US07734752B2

公开(公告)日：2010-06-08

申请号：US10961075

申请日：2004-10-12

申请人： Nir Zuk ,  Yu Ming Mao ,  Kowsik Guruswamy

发明人： Nir Zuk ,  Yu Ming Mao ,  Kowsik Guruswamy

IPC分类号： G06F15/16 ,  G06F15/173 ,  G06F11/00

CPC分类号： G06F11/2002 ,  H04L29/06 ,  H04L63/0227 ,  H04L63/0236 ,  H04L63/0428 ,  H04L63/1416 ,  H04L69/40

摘要： Methods and apparatuses for inspecting packets are provided. A primary security system may be configured for processing packets. The primary security system may be operable to maintain flow information for a group of devices to facilitate processing of the packets. A secondary security system may be designated for processing packets upon a failover event. Flow records may be shared from the primary security system with the secondary security system.

摘要翻译： 提供了检查数据包的方法和设备。 可以配置主安全系统来处理分组。 主安全系统可以可操作地维护一组设备的流信息以便于分组的处理。 可以指定辅助安全系统用于在故障转移事件时处理数据包。 可以使用辅助安全系统从主安全系统共享流记录。

公开(公告)号：US07650634B2

公开(公告)日：2010-01-19

申请号：US10402920

申请日：2003-03-28

申请人： Nir Zuk

发明人： Nir Zuk

IPC分类号： G06F9/00 ,  H04L29/06 ,  G06F15/173

CPC分类号： H04L63/02 ,  H04L63/0209 ,  H04L63/0218 ,  H04L63/0227 ,  H04L63/0254 ,  H04L63/0263 ,  H04L63/12 ,  H04L63/1416 ,  H04L63/1441 ,  H04L69/22

摘要： Methods, computer program products and apparatus for processing data packets are described. Methods include receiving the data packet, examining the data packet, determining a single flow record associated with the packet and extracting flow instructions for two or more devices from the single flow record.

摘要翻译： 描述了处理数据包的方法，计算机程序产品和装置。 方法包括接收数据分组，检查数据分组，确定与分组相关联的单个流记录，并从单流记录中提取两个或多个设备的流指令。

公开(公告)号：US5835726A

公开(公告)日：1998-11-10

申请号：US664839

申请日：1996-06-17

申请人： Gil Shwed ,  Shlomo Kramer ,  Nir Zuk ,  Gil Dogon ,  Ehud Ben-Reuven

发明人： Gil Shwed ,  Shlomo Kramer ,  Nir Zuk ,  Gil Dogon ,  Ehud Ben-Reuven

IPC分类号： H04L9/32 ,  H04L29/06 ,  G06F13/36 ,  G06F15/401

CPC分类号： H04L63/0227 ,  H04L29/06 ,  H04L63/0263 ,  H04L63/0272 ,  H04L63/123 ,  H04L63/126 ,  H04L9/3247

摘要： The present invention discloses a novel system for controlling the inbound and outbound data packet flow in a computer network. By controlling the packet flow in a computer network, private networks can be secured from outside attacks in addition to controlling the flow of packets from within the private network to the outside world. A user generates a rule base which is then converted into a set of filter language instruction. Each rule in the rule base includes a source, destination, service, whether to accept or reject the packet and whether to log the event. The set of filter language instructions are installed and execute on inspection engines which are placed on computers acting as firewalls. The firewalls are positioned in the computer network such that all traffic to and from the network to be protected is forced to pass through the firewall. Thus, packets are filtered as they flow into and out of the network in accordance with the rules comprising the rule base. The inspection engine acts as a virtual packet filtering machine which determines on a packet by packet basis whether to reject or accept a packet. If a packet is rejected, it is dropped. If it is accepted, the packet may then be modified. Modification may include encryption, decryption, signature generation, signature verification or address translation. All modifications are performed in accordance with the contents of the rule base. The present invention provides additional security to a computer network by encrypting communications between two firewalls between a client and a firewall. This permits the use of insecure public networks in constructing a WAN that includes both private and public network segments, thus forming a virtual private network.

摘要翻译： 本发明公开了一种用于控制计算机网络中的入站和出站数据分组流的新颖系统。 通过控制计算机网络中的分组流，除了控制从专用网络到外界的分组流之外，还可以保护专用网络免受外部攻击。 用户生成规则库，然后将其转换成一组过滤器语言指令。 规则库中的每个规则都包括源，目标，服务，是接受还是拒绝数据包以及是否记录事件。 一组过滤器语言指令在安装在作为防火墙的计算机上的检测引擎上安装和执行。 防火墙位于计算机网络中，以便所有来往和来自网络的流量都被强制通过防火墙。 因此，根据包括规则库的规则，分组在流入和流出网络时被过滤。 检查引擎作为虚拟分组过滤机，其基于分组确定是否拒绝或接受分组。 如果数据包被拒绝，则丢弃。 如果接受，则可以修改分组。 修改可以包括加密，解密，签名生成，签名验证或地址转换。 所有修改都是根据​​规则库的内容进行的。 本发明通过加密客户端和防火墙之间的两个防火墙之间的通信来向计算机网络提供额外的安全性。 这允许在构建包括私有和公共网段的WAN的情况下使用不安全的公共网络，从而形成虚拟专用网络。