CN106464422A - 在基于开放流的软件定义的网络(sdn)中启用深度包检测(dpi)的方法 - Google Patents
在基于开放流的软件定义的网络(sdn)中启用深度包检测(dpi)的方法 Download PDFInfo
- Publication number
- CN106464422A CN106464422A CN201480078822.XA CN201480078822A CN106464422A CN 106464422 A CN106464422 A CN 106464422A CN 201480078822 A CN201480078822 A CN 201480078822A CN 106464422 A CN106464422 A CN 106464422A
- Authority
- CN
- China
- Prior art keywords
- packet
- firewall
- network switch
- mode
- controller
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000007689 inspection Methods 0.000 title claims abstract description 66
- 238000000034 method Methods 0.000 title claims abstract description 31
- 238000004891 communication Methods 0.000 claims abstract description 28
- 230000006855 networking Effects 0.000 claims abstract description 16
- 230000008569 process Effects 0.000 claims description 9
- 238000010586 diagram Methods 0.000 description 6
- 238000012545 processing Methods 0.000 description 6
- 230000002093 peripheral effect Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0254—Stateful filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/028—Capturing of monitoring data by filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/20—Arrangements for monitoring or testing data switching networks the monitoring system or the monitored elements being virtualised, abstracted or software-defined entities, e.g. SDN or NFV
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/38—Flow based routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/42—Centralised routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及用于对通过软件定义网络(SDN)中的网络交换机传输的消息进行深度包检测的方法和系统。本发明的实施方式包括在软件定义网络环境中的网络交换机、控制器和防火墙。在本发明中,网络交换机是与控制器和防火墙在物理上分离的简单的网络交换机。本发明可包括与一个或多个控制器和防火墙通信的多个物理上不同的网络交换机。在某些实例中,使用开放流标准通信协议来执行在网络交换机、控制器和防火墙之间的通信。
Description
技术领域
本发明一般涉及在软件定义网络(SDN)中的网络安全。更具体地,本发明涉及在软件定义网络环境中的数据包(data packet)的流的深度包检测。
背景技术
深度包检测现今通常用于保护计算机网络免受病毒和恶意软件的攻击。熟悉计算机网络中的包通信(packet communication)的人会理解,通过计算机网络发送的数据包具有多个层,其可通过使用深度包检测来扫描以找出威胁。这些层包括物理层(层1)、数据链路层(层2)、网络层(层3)、传输层(层4)、会话层(层5)、表示层(层6)和应用层(层7)。
对包的流中的包的多个层执行深度包检测需要相当多的计算资源。对保护计算机网络免受威胁的关注创造了包括深度包检测功能的智能网络交换机的市场。智能交换机具有相当多的计算资源,而商品交换机中不包括。因此,智能交换机比商品交换机明显更昂贵。由于传统上在数据中心中对安全的忧虑超过对限制支出的忧虑,因此智能交换机的使用随着时间过去不断扩展。
软件定义网络(SDN)是新的联网体系结构,其目标是简化在数据中心中的计算机网络,同时减少与数据中心相关的成本。在软件定义网络中使用的优选的网络交换机是简单的廉价商品网络交换机。与传统计算机网络比较,SDN计算机网络相关的简单性和较低的成本导致以下的预测:SDN将随着时间的过去而取代传统计算机网络。然而,SDN体系结构并没有解决如何最大化数据中心的安全性。通过利用廉价的网络交换机代替智能网络交换机,SDN增加了与通过网络交换机将病毒和恶意软件传递到计算机网络中的计算机相关的风险。因此,存在对用于对SDN环境中的包执行深度包检测的低成本方法的需求。
开放流(Open Flow)是软件定义网络(SDN)协议的例子。开放流使用协作网络交换机和控制器来将由网络交换机接收的包引导到在所接收的包中识别出的目的地。由于开放流目前是重要的SDN协议,因此开放流是一种可用于在SDN环境中提供增强的深度包检测功能而不显著的将成本加到SDN计算机网络的协议。
开放流协议提供在SDN控制器和其它网络设备之间的公共通信协议。开放流协议描述在开放流控制器和一个或多个开放流交换机之间发生的消息交换。由开放流协议使用的命令或消息可被扩展以包括与该协议兼容的新命令或消息。
包的流是穿过网络的包的序列,其共用一组头部字段值。例如,流可由所有具有相同的源和目的地IP地址的包或所有具有相同的虚拟局域网(VLAN)标识符的包组成。
附图说明
图1示出用于在软件定义网络中的深度包检测的系统。
图2示出用于接收和处理包的流程图。
图3示出用于对来自防火墙的消息作出响应的流程图。
图4示出用于接收包、执行深度包检测并将关于包的消息发送到网络交换机的流程图。
图5示出可用于实现本发明的各种实施方式的计算设备的方框图。
发明内容
本发明涉及用于对通过软件定义网络(SDN)中的网络交换机传输的消息进行深度包检测的方法和系统。本发明的实施方式包括在软件定义网络环境中的网络交换机、控制器和防火墙。在本发明中,网络交换机是与控制器和防火墙在物理上分离的简单的网络交换机。本发明可包括与一个或多个控制器和防火墙通信的多个物理上不同的网络交换机。在某些实例中,使用开放流标准通信协议来执行在网络交换机、控制器和防火墙之间的通信。
本发明的示例性方法包括下面的步骤系列:由网络交换机从控制器接收设定配置命令。设定配置命令向网络交换机通知由控制器选择的深度包检测模式。然后,网络交换机执行接收防火墙的地址、建立与防火墙的通信、从防火墙接收得到配置请求并将配置答复发送到防火墙的步骤。被发送到防火墙的配置答复包括以前由网络交换机接收的深度包检测的操作模式。网络交换机接着以执行下列的步骤:接收第一包,确定包含在第一包中的信息是否匹配在流程表中的任何条目,将第一包的至少一部分转发到控制器,以及如果控制器决定在这个流程中进行DPI扫描,则将包的至少一部分转发到DPI的防火墙。当防火墙接收到第一包的该部分时,防火墙对由网络交换机转发给它的第一包的该部分执行深度包检测。
本发明的方法可由系统或由非暂时性数据存储介质执行。本发明的系统将包括网络交换机、控制器和防火墙。
具体实施方式
在本发明的一个实施方式中,控制器将会把设定配置命令和防火墙的地址发送到网络交换机。设定配置命令设置网络交换机的深度包检查模式。地址通常是防火墙的互联网协议(IP)地址。当接收到深度包设定配置命令时,网络交换机将使用该地址与防火墙建立通信。网络交换机接着从防火墙接收得到配置请求,且网络交换机接着通过将识别在网络交换机中设置的深度包检查模式的消息发送给防火墙来对得到配置请求作出响应。由本发明的系统支持的模式一般包括但不限于观察模式和实施模式。
在观察模式中,网络交换机在接收到包(输入包)时检查该包(输入包)。当网络交换机输入包时,网络交换机确定包中的某些消息是否匹配在流程表中的条目。在某些实例中,当在包中的信息匹配在流程表中的条目时,网络交换机将与包流相关的至少一些数据的拷贝转发(反映)到防火墙。对于给定的包的流,被反映到防火墙的字节数量可由控制器配置。网络交换机接着通过网络交换机的端口朝着目的地输出(发送)包。在观察模式中,当检测到威胁时,防火墙不指示网络交换机丢弃或转发包或包流。相反,当检测到威胁时,防火墙可能收集关于威胁的信息或将该威胁报告给计算机网络中的另一计算机(观察者)。
当在包中的信息不匹配在流程表中的条目时,网络交换机一般将包的至少一部分的拷贝发送到控制器。网络交换机接着等待来自控制器的关于如何处理包的指令。在这些实例中,控制器可指示网络交换机丢掉包,或指示网络交换机通过端口朝着目的地转发包,或将包发送到防火墙以用于对包进行深度包检测。当控制器决定对特定的包或包的流执行深度包检测时,控制器指示交换机将来自特定包/流的至少一些字节反映到防火墙,且防火墙对那些字节执行深度包检测。
当在实施模式中操作时,网络交换机将继续包的表处理,直到它从防火墙接收到消息为止。当交换机从防火墙接收到允许消息时,防火墙识别出包的流不包含威胁。在从防火墙接收到允许消息时,网络交换机将接着朝着目的地输出包。相反,当防火墙检测到在包中的威胁时,防火墙将给网络交换机发送拒绝消息。当接收到拒绝消息时,网络交换机将丢掉包。在某些实例中,防火墙检查包含在包的所有字节内的信息。当网络交换机寻找来自防火墙的关于特定的包的消息时,网络交换机可继续处理其它包。在本发明中,深度包检测是在每个包的基础上执行的,且每个包将被防火墙允许或拒绝。由于深度包检测是在每个包的基础上执行的,因此在本发明的方法不明显使包在被分发到目的地之前被延迟处理。
在观察和实施模式中,防火墙将总是分析转发给它的数据。在实施模式和观察模式之间的差异是:在实施模式中,防火墙会再与网络交换通信,而不管数据包是恶意或良性。在实施模式中,网络交换机实施由防火墙做出的决定。在观察模式中,防火墙不将深度包检查的结果传递到网络交换机,且网络交换机在将包转发到防火墙之后不寻找来自防火墙的响应。
在某些实例中,对包的流中的每个包执行深度包检测,直到对一系列的包执行了深度包检测为止,直到预定数量的字节已由防火墙分析以找到威胁为止。控制器可确定将为特定的包的流进行分析的位的数量。设定最大长度命令可用于识别对给定的流要反映的字节数量。当使用开放流协议时,最大长度命令将是与开放流协议兼容的新命令。当单个包具有比由最大长度命令定义的字节数量更多的字节时,将不对在那个包的流中的其它包执行深度包检测。设定最大长度命令允许控制器控制对给定的流执行的深度包检测的量。当网络流量高时,控制器可减小要对流执行的深度包检测的量。
图1示出用于在软件定义网络中的深度包检查的系统。图1如所示包括网络交换机110、控制器120、防火墙130、目的地计算机140、互联网150和源计算机160。
在某些实例中,数据包在网络连接N上从源计算机160通过互联网150通过第一端口P1传输到网络交换机110。网络交换机110被描述为包括第一通信通道C1和第二通信通道C2。网络交换机110通过第一通信通道C1与控制器120通信,并通过第二通信通道C2与防火墙130通信。网络交换机110通过通信端口P2与目的地计算机140通信。虽然在图1中描述了独立的通信端口C1和C2,但是本发明不需要用于在网络交换机110和控制器120或防火墙130之间通信的独立的通信通道。
此外,本发明的不同实施方式可包括与一个或多个控制器和防火墙通信的多个物理上不同的网络交换机。本发明也可包括其它实施方式,其中控制器和防火墙的功能被构建在单个电子组件内。
图2是本发明的接收和处理包的简化流程图。在图2的流程图中,在步骤205“包进入”中,包由网络交换机接收。步骤210“在表中匹配”是网络交换机确定在所接收的包中的信息是否匹配在流程表中的条目。当存在匹配时,程序流程移动到步骤225,其中确定深度包检测是否在这个流程上被配置。当需要深度包检测时,将包的至少一部分反映到防火墙245。为了防止不必要的循环,每个包将一般被反映到防火墙一次。步骤250确定实施模式是否被启用。当实施模式被启用时,程序流程移动到步骤255“寻找防火墙答复”。此时,网络交换机可继续处理其它包。当防火墙在实施模式中时,网络交换机将不输出或丢掉包,直到消息从防火墙被接收到为止。当网络交换机从防火墙接收到允许消息时,它将继续使用另一表格处理包,直到包通过所有可用的表被处理为止。当网络交换机从防火墙接收到拒绝消息时,它将丢掉包。
当实施模式未被启用时,即交换机在观察模式中运行时,步骤250继续进行到步骤230,其中计数器被更新以及其中指令相关的软件定义网络(SDN)行动被准备。当在步骤225中确定不需要深度包检测时,程序流程也移动到步骤230。在步骤230之后,程序流程移动到步骤235“转到下一个表?”。当网络交换机确定有其它流程表来与包含在包内的信息比较时,程序流程从步骤235移动回到步骤210。当没有其余的流程表要与包信息比较时,程序流程从步骤235移动到步骤240,其中SDN的某些行动在网络交换机中被执行。这些行动可包括将包输出到目的地。
当步骤210确定在所接收的包中的信息不匹配在流程表中的条目(表-遗漏)时,程序流程继续进行到步骤215。步骤215“表-遗漏流程条目”确定“表遗漏”流程条目是否存在于表中。为包的给定流接收的第一包通常将与特殊“表-遗漏”流程条目匹配。当包与“表遗漏”条目匹配作为步骤215时,程序流程移动到步骤230,其中计数器被更新且指令被执行。当在步骤215中没有“表遗漏”条目存在时,程序流程移动到步骤220,其中包被丢掉。
图3是网络交换机对来自防火墙的消息作出响应的流程图。步骤310是网络交换机从防火墙接收消息。步骤320确定所接收的消息是否拒绝消息,如果是,则程序流程移动到步骤330,其中包被丢掉。步骤340确定消息是否允许消息,如果是,则程序流程移动到步骤350,其中网络交换机继续使用其它表来处理包。在来自防火墙的消息不是拒绝也不是允许消息的实例中,过程流程移动到步骤360,其中网络交换机丢掉包,因为在答复消息中的代码不被支持。
图4是防火墙接收包、对包进行深度包检测并将关于包的消息发送到网络交换机的流程图。在步骤410中,防火墙从网络交换机接收请求消息。这个请求消息包括包的至少一部分。一旦请求消息从网络交换机被接收到,防火墙就从消息提取包数据并对包数据420进行深度包检测(DPI)。在步骤430中,防火墙确定防火墙是否在观察模式中,如果是,则防火墙在步骤440停止处理包。当防火墙在观察模式中时,防火墙在从网络交换机接收到请求消息之后不会将消息发送到网络交换机。当防火墙不在观察模式中时,程序流程从步骤430移动到步骤450。在这里,防火墙确定它是否在实施模式450中。当防火墙在实施模式中时,程序流程接着移动到步骤460,其中防火墙通过答复消息将包的DPI包发送回到网络交换机。当防火墙不在观察模式中或在实施模式中时,防火墙将识别例外条件470。例外消息可使防火墙将消息中的不支持的答复代码发送到网络交换机。
本发明的可选实例包括其中网络交换机不与防火墙直接通信。在这样的实施方式中,在网络交换机和防火墙之间的通信可通过控制器来传递。
在某些实例中,本发明可利用未在软件定义网络规范中描述的新命令类型。这样的新命令类型包括在网络交换机和防火墙之间的通信,它们包括但不限于从网络交换机到防火墙的指示深度包检测模式的答复消息和用于将包数据反映到防火墙的命令。被转发到防火墙的包数据是反映的一种形式,其中包数据的全部或部分被发送到防火墙。
在本发明的优选实施方式中,所使用的命令或消息将与开发流协议规范兼容。这些命令或消息中的一些可能已经在开放流协议规范中被定义。其它与本发明一起使用的这些命令或协议是由开放流协议规范允许的新命令。
将包数据发送到防火墙时使用的新命令或消息还可包括长度字段,可识别端口(包数据应通过该端口被发送到防火墙),并可包括最大长度字段。这些字段使管理员能够平衡性能与安全水平。在来自网络交换机的通信内包含的包数据可被填补或对准(在位、字节或字的水平)。
新命令或消息也可包括其它字段或参数,包括但不限于:缓冲器ID、总长度字段、深度包检测模式字段、填补对准字段、允许代码、拒绝代码和帧类型字段。在控制器、防火墙和网络交换机之间的消息也可识别控制器或防火墙的IP地址。
图5是用于实现本发明的技术的设备的方框图。图5示出可用于实现本发明的技术的计算设备的示例性计算系统500。图5的系统500可在客户端和服务器等的情况下实现。图5的计算系统500包括一个或多个处理器510和存储器520。主存储器520可部分地存储用于由处理器510执行的指令和数据。在操作中,主存储器可存储可执行代码。图5的系统500还包括存储器530,其可包括大容量存储器和便携式存储器、天线540、输出设备550、用户输入设备560、显示系统570和外围设备580。
图5所示的部件被描述为经由单个总线590来连接。然而,可通过一个或多个数据传输装置来连接这些部件。例如可经由局部微处理器总线来连接处理器单元510和主存储器520,以及可经由一个或多个输入/输出(I/O)总线来连接存储器530、外围设备580和显示系统570。
存储设备530可包括使用磁盘驱动器或光盘驱动器实现的大容量存储器,其可以是用于存储由处理器单元510使用的数据和指令的非易失性存储设备。存储设备530可存储用于实现本发明的实施方式的系统软件,其用于将该软件装入主存储器510内。
存储器530的便携式存储设备结合便携式非易失性存储介质(例如软盘、光盘或数字视频盘)来操作,以将数据和代码输入到图5的计算机系统500并从图5的计算机系统500输出数据和代码。用于实现本发明的实施方式的系统软件可存储在这样的便携式介质上并经由便携式存储设备输入到计算机系统500。
天线540可包括用于与另一设备无线地通信的一个或多个天线。天线540可例如用于经由Wi-Fi、蓝牙与蜂窝网络或与其它无线协议和系统无线地通信。一个或多个天线可由可包括控制器的处理器510控制,以传输并接收无线信号。例如,处理器510执行存储在存储器530中的程序以控制天线540将无线信号传输到蜂窝网络并从蜂窝网络接收无线信号。
如图5所示的系统500包括输出设备550和输入设备560。适当的输出设备的例子包括扬声器、打印机、网络接口和监视器。输入设备560可包括触摸屏、麦克风、加速度计、摄像机和其它设备。输入设备560可包括用于输入字母数字和其它信息的字母数字按键键盘(例如键盘)或指示设备(例如鼠标、轨迹球、手写笔或光标方向键)。
显示设备570可包括液晶显示器(LCD)、LED显示器或其它适当的显示设备。显示系统570接收文本和图形信息并处理信息以用于输出到显示设备。
外围设备580可包括任何类型的计算机支持的设备以将额外的功能添加到计算机系统。例如,外围设备580可包括调制解调器或路由器。
包含在图5的计算机系统500中的部件是一般在计算系统(例如但不限于桌上型计算机、膝上型计算机、笔记本计算机、上网本计算机、平板计算机、智能电话、个人数字助理(PDA)或可适合于用在本发明的实施方式上并意欲代表在本领域中公知的这样的计算机部件的广泛类别的其它计算机)中找到的那些部件。因此,图5的计算机系统500可以是个人计算机、手持计算设备、电话、移动计算设备、工作站、服务器、微计算机、大型计算机或任何其它计算设备。计算机还可包括不同的总线配置、联网平台、多处理器平台等。可使用各种操作系统,包括Unix、Linux、Windows、Macintosh OS、Palm OS和其它适当的操作系统。
以上对本发明的详细描述是为了说明和描述的目的。其目的不是无遗漏的或将本发明限制到所公开的精确形式。基于以上的教导,很多修改和变化是可能的。选择所描述的实施方式是为了最好地解释本发明的原理及其实际应用,从而使本领域中的技术人员能够在各种实施方式中和在适合于所设想的特定用途的各种修改的情况下最好地利用本发明。本发明的范围应由所附的权利要求限定。
本发明可以各种形式的硬件和软件来实现。本发明可部分地或完全地由非暂时性计算机存储介质(其上体现由处理器可执行的程序)控制。本发明也可使用专用集成电路(ASIC)或其它形式的电子硬件来实现。
虽然以上的描述了各种实施方式,但应理解,它们仅是例子而不是限制性的。以上的并不意欲限制本发明的范围。以上的描述意欲涵盖与本公开的精神和范围一致的各种可选形式、修改和等效形式。
Claims (20)
1.一种用于在软件定义网络环境中进行深度包检测的方法,所述方法包括:
由网络交换机从控制器接收设定配置命令,其中所述设定配置命令设置深度包检测的操作模式;
接收防火墙的地址;
建立与所述防火墙的通信;
从所述防火墙接收得到配置请求;
将配置答复发送到所述防火墙,其中所述配置答复包括深度包检测的所述操作模式;
接收第一包;
确定包含在所述第一包中的信息是否匹配在流程表中的任何条目;以及
将所述第一包的至少一部分转发到所述控制器,以及如果控制器决定在这个流程中进行DPI扫描,则将第一包的至少一部分转发到所述防火墙,其中所述防火墙对所述第一包的所述部分执行深度包检测。
2.如权利要求1所述的方法,还包括:
在将所述第一包的所述部分转发到所述防火墙之前将来自所述包的至少一些字节的拷贝发送到所述控制器;以及
从所述控制器接收指令以在将所述第一包的所述部分转发到所述防火墙之前将所述第一包的所述部分转发到所述防火墙。
3.如权利要求1所述的方法,还包括:
当所述网络交换机的所述操作模式是观察模式时,通过端口将所述第一包发送到在所述流程表中识别的地址而不寻找来自所述防火墙的消息;
接收第二包;
确定在所述第二包中包含的信息匹配在所述流程表中的条目以及DPI扫描在这个流程中被配置;
当确定在所述第二包中包含的信息匹配在所述流程表中的条目时,当从所述第一包转发的字节数量小于预定的字节数量时,将所述第二包的至少一部分转发到所述防火墙,其中所述防火墙对被转发到所述防火墙的所述第二包的所述部分执行深度包检测;以及
当所述网络交换机的所述操作模式在所述观察模式中时,通过端口将所述第二包发送到在所述流程表中识别的地址而不寻找来自所述防火墙的消息。
4.如权利要求1所述的方法,还包括:
当所述网络交换机的所述操作模式是实施模式时,从所述防火墙接收允许消息,其中所述允许消息指示所述第一包已经通过深度包检测。
5.如权利要求4所述的方法,还包括:
接收第二包;
确定在所述第二包中包含的信息匹配在所述流程表中的条目以及DPI扫描在这个流程中被配置;
当确定在所述第二包中包含的信息匹配在所述流程表中的条目时,当从所述第一包转发的字节数量小于预定的字节数量时,将所述第二包的至少一部分转发到所述防火墙,其中所述防火墙对被转发到所述防火墙的所述第二包的所述部分执行深度包检测;
当所述网络交换机的所述操作模式是实施模式时,从所述防火墙接收拒绝消息,其中所述拒绝消息指示所述第二包未通过深度包检测;以及
丢掉所述第二包。
6.如权利要求4所述的方法,还包括:
接收第二包;
确定在所述第二包中包含的信息匹配在所述流程表中的条目;
当确定在所述第二包中包含的信息匹配在所述流程表中的条目时,当从所述第一包转发的字节数量小于预定的字节数量时,将所述第二包的至少一部分转发到所述防火墙,其中所述防火墙对被转发到所述防火墙的所述第二包的所述部分执行深度包检测;以及
当所述网络交换机的所述操作模式是实施模式时,从所述防火墙接收允许消息,其中所述允许消息指示所述第二包已经通过深度包检测。
7.如权利要求6所述的方法,其中被接收的所述防火墙的所述地址是所述防火墙的IP地址,其中在所述第一包通过深度包检测之后,所述第一包通过端口被发送到在所述流程表中识别的地址,以及其中在所述第二包通过深度包检测之后,所述第二包通过所述端口被发送到在所述流程表中识别的所述地址。
8.如权利要求1所述的方法,其中所述第一包的所述至少一部分相应于用于对包的流执行深度包检测的预定数量的字节。
9.如权利要求1所述的方法,其中:
与所述防火墙建立的所述通信由与所述防火墙和与所述网络交换机通信的所述控制器建立,
从所述防火墙接收的所述配置请求被传递通过所述控制器,以及
所述配置答复由所述网络交换机通过所述控制器发送到所述防火墙。
10.一种用于在软件定义网络环境中进行深度包检测的系统,所述系统包括:
网络交换机,其包括存储器;
控制器;以及
防火墙,其中所述网络交换机:
由所述网络交换机从所述控制器接收设定配置命令,其中所述设定配置命令设置深度包检测的操作模式;
接收防火墙的地址;
建立与所述防火墙的通信;
从所述防火墙接收得到配置请求,其中所述配置答复包括深度包检测的所述操作模式;
接收第一包;
确定包含在所述第一包中的信息是否匹配在流程表中的任何条目;以及
将所述第一包的至少一部分转发到所述控制器,以及如果控制器在这个流程中确定DPI扫描,则将所述第一包的至少一部分转发到所述防火墙,其中所述防火墙对所述第一包的所述部分执行深度包检测。
11.如权利要求10所述的系统,其中所述网络交换机:
在将所述第一包的所述部分转发到所述防火墙之前将来自所述包的至少一些字节的拷贝发送到所述控制器;以及
从所述控制器接收指令以在将所述第一包的所述部分转发到所述防火墙之前将所述第一包的所述部分转发到所述防火墙。
12.如权利要求10所述的系统,其中所述网络交换机:
当所述网络交换机的所述操作模式是观察模式时,通过端口将所述第一包发送到在所述流程表中识别的地址而不寻找来自所述防火墙的消息;
接收第二包;
确定在所述第二包中包含的信息匹配在所述流程表中的条目以及DPI扫描在这个流程中被配置;
当确定在所述第二包中包含的信息匹配在所述流程表中的条目时,当从所述第一包转发的字节数量小于预定的字节数量时,将所述第二包的至少一部分转发到所述防火墙,其中所述防火墙对被转发到所述防火墙的所述第二包的所述部分执行深度包检测;以及
当所述网络交换机的所述操作模式是所述观察模式时,通过端口将所述第二包发送到在所述流程表中识别的地址而不寻找来自所述防火墙的消息。
13.如权利要求10所述的系统,其中所述网络交换机:
当所述网络交换机的所述操作模式是实施模式时,从所述防火墙接收允许消息,其中所述允许消息指示所述第一包已经通过深度包检测。
14.如权利要求13所述的系统,其中所述网络交换机:
接收第二包;
确定在所述第二包中包含的信息匹配在所述流程表中的条目以及DPI扫描在这个流程中被配置;
当确定在所述第二包中包含的信息匹配在所述流程表中的条目时,当从所述第一包转发的字节数量小于预定的字节数量时,将所述第二包的至少一部分转发到所述防火墙,其中所述防火墙对被转发到所述防火墙的所述第二包的所述部分执行深度包检测;
当所述网络交换机的所述操作模式是实施模式时,从所述防火墙接收拒绝消息,其中所述拒绝消息指示所述第二包未通过深度包检测;以及
丢掉所述第二包。
15.如权利要求14所述的系统,其中所述网络交换机:
接收第二包;
确定在所述第二包中包含的信息匹配在所述流程表中的条目;
当确定在所述第二包中包含的信息匹配在所述流程表中的条目时,当从所述第一包转发的字节数量小于预定的字节数量时,将所述第二包的至少一部分转发到所述防火墙,其中所述防火墙对被转发到所述防火墙的所述第二包的所述部分执行深度包检测;以及
当所述网络交换机的所述操作模式是实施模式时,从所述防火墙接收允许消息,其中所述允许消息指示所述第二包已经通过深度包检测。
16.如权利要求10所述的系统,其中被接收的所述防火墙的所述地址是所述防火墙的IP地址,其中在所述第一包通过深度包检测之后,所述第一包通过端口被发送到在所述流程表中识别的地址,以及其中在所述第二包通过深度包检测之后,所述第二包通过所述端口被发送到在所述流程表中识别的所述地址。
17.如权利要求10所述的系统,其中所述第一包的所述至少一部分相应于用于对包的流执行深度包检测的预定数量的字节。
18.如权利要求10所述的系统,其中:
与所述防火墙建立的所述通信由与所述防火墙和与所述网络交换机通信的所述控制器建立,
从所述防火墙接收的所述配置请求被传递通过所述控制器,以及
所述配置答复由所述网络交换机通过所述控制器发送到所述防火墙。
19.一种非暂时性计算机可读存储介质,在其上具有程序,所述程序可由用于执行在软件定义网络环境中进行深度包检测的方法的处理器执行,所述方法包括:
由网络交换机从控制器接收设定配置命令,其中所述设定配置命令设置深度包检测的操作模式;
接收防火墙的地址;
建立与所述防火墙的通信;
从所述防火墙接收得到配置请求;
将配置答复发送到所述防火墙,其中所述配置答复包括深度包检测的所述操作模式;
接收第一包;
确定包含在所述第一包中的信息是否匹配在流程表中的任何条目;以及
将所述第一包的至少一部分转发到所述控制器,其中所述防火墙对所述第一包的所述部分执行深度包检测。
20.如权利要求19所述的非暂时性计算机可读存储介质,所述程序还可执行:
在将所述第一包的所述部分转发到所述防火墙之前将来自所述包的至少一些字节的拷贝发送到所述控制器;以及
从所述控制器接收指令以在将所述第一包的所述部分转发到所述防火墙之前将所述第一包的所述部分转发到所述防火墙。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/276,984 US9237129B2 (en) | 2014-05-13 | 2014-05-13 | Method to enable deep packet inspection (DPI) in openflow-based software defined network (SDN) |
| US14/276,984 | 2014-05-13 | ||
| PCT/US2014/045312 WO2015175007A1 (en) | 2014-05-13 | 2014-07-02 | Method to enable deep packet inspection (dpi) in openflow-based software defined network (sdn) |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106464422A true CN106464422A (zh) | 2017-02-22 |
Family
ID=54480374
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480078822.XA Pending CN106464422A (zh) | 2014-05-13 | 2014-07-02 | 在基于开放流的软件定义的网络(sdn)中启用深度包检测(dpi)的方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (4) | US9237129B2 (zh) |
| EP (1) | EP3143714B1 (zh) |
| CN (1) | CN106464422A (zh) |
| WO (1) | WO2015175007A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108965237A (zh) * | 2017-05-17 | 2018-12-07 | 通用电气公司 | 网络防火墙系统及对应的方法及非暂时性计算机可读介质 |
Families Citing this family (43)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9237129B2 (en) | 2014-05-13 | 2016-01-12 | Dell Software Inc. | Method to enable deep packet inspection (DPI) in openflow-based software defined network (SDN) |
| US20170142132A1 (en) * | 2014-06-10 | 2017-05-18 | Hewlett Packard Enterprise Development Lp | Monitoring Network Traffic |
| CN105684382A (zh) * | 2014-08-11 | 2016-06-15 | 华为技术有限公司 | 报文的控制方法、交换机及控制器 |
| US9893995B1 (en) * | 2014-09-25 | 2018-02-13 | Cisco Technology, Inc. | Systems, methods, and apparatus for implementing agents in service appliances |
| US9537872B2 (en) | 2014-12-31 | 2017-01-03 | Dell Software Inc. | Secure neighbor discovery (SEND) using pre-shared key |
| US9998425B2 (en) | 2015-01-27 | 2018-06-12 | Sonicwall Inc. | Dynamic bypass of TLS connections matching exclusion list in DPI-SSL in a NAT deployment |
| CN114079669B (zh) | 2015-04-07 | 2025-01-07 | 安博科技有限公司 | 用于提供全局虚拟网络gvn的系统 |
| US9641485B1 (en) * | 2015-06-30 | 2017-05-02 | PacketViper LLC | System and method for out-of-band network firewall |
| US10659314B2 (en) | 2015-07-20 | 2020-05-19 | Schweitzer Engineering Laboratories, Inc. | Communication host profiles |
| US9686125B2 (en) | 2015-07-20 | 2017-06-20 | Schwetizer Engineering Laboratories, Inc. | Network reliability assessment |
| US9900206B2 (en) | 2015-07-20 | 2018-02-20 | Schweitzer Engineering Laboratories, Inc. | Communication device with persistent configuration and verification |
| US9866483B2 (en) | 2015-07-20 | 2018-01-09 | Schweitzer Engineering Laboratories, Inc. | Routing of traffic in network through automatically generated and physically distinct communication paths |
| US9769060B2 (en) | 2015-07-20 | 2017-09-19 | Schweitzer Engineering Laboratories, Inc. | Simulating, visualizing, and searching traffic in a software defined network |
| US10341311B2 (en) * | 2015-07-20 | 2019-07-02 | Schweitzer Engineering Laboratories, Inc. | Communication device for implementing selective encryption in a software defined network |
| US9923779B2 (en) | 2015-07-20 | 2018-03-20 | Schweitzer Engineering Laboratories, Inc. | Configuration of a software defined network |
| KR20170056879A (ko) * | 2015-11-16 | 2017-05-24 | 한국전자통신연구원 | Sdn 다중 오케스트레이터 |
| US10230810B1 (en) | 2016-03-18 | 2019-03-12 | Barefoot Networks, Inc. | Storing packet data in mirror buffer |
| US10863558B2 (en) | 2016-03-30 | 2020-12-08 | Schweitzer Engineering Laboratories, Inc. | Communication device for implementing trusted relationships in a software defined network |
| CN113810483B (zh) | 2016-04-26 | 2024-12-20 | 安博科技有限公司 | 经由挂毯弹弓的网络弹射 |
| WO2017220139A1 (en) * | 2016-06-22 | 2017-12-28 | Huawei Technologies Co., Ltd. | System and method for detecting and preventing network intrusion of malicious data flows |
| CN107547308B (zh) * | 2017-07-28 | 2020-04-28 | 新华三技术有限公司 | 一种报文镜像方法、装置、软件定义网络sdn中的控制器 |
| US10949199B1 (en) * | 2017-09-14 | 2021-03-16 | Barefoot Networks, Inc. | Copying packet data to mirror buffer |
| CN107404421A (zh) * | 2017-09-18 | 2017-11-28 | 赛尔网络有限公司 | 流量监测、监管方法及系统 |
| US10812468B2 (en) * | 2017-12-07 | 2020-10-20 | Sonicwall Inc. | Dynamic bypass |
| IL256464B (en) * | 2017-12-20 | 2019-03-31 | Cyberbit Ltd | A system and method for analyzing network traffic |
| US10608939B1 (en) | 2018-02-13 | 2020-03-31 | Barefoot Networks, Inc. | Identifying congestion in a network |
| US10785189B2 (en) | 2018-03-01 | 2020-09-22 | Schweitzer Engineering Laboratories, Inc. | Selective port mirroring and in-band transport of network communications for inspection |
| CN108768776A (zh) * | 2018-05-30 | 2018-11-06 | 郑州云海信息技术有限公司 | 一种基于OpenFlow的网络监控方法及装置 |
| WO2019245824A1 (en) * | 2018-06-18 | 2019-12-26 | Battelle Energy Alliance, Llc | Smart network switching systems and related methods |
| EP3903461B1 (en) | 2018-12-24 | 2023-09-13 | British Telecommunications public limited company | Packet analysis and filtering |
| US11075908B2 (en) | 2019-05-17 | 2021-07-27 | Schweitzer Engineering Laboratories, Inc. | Authentication in a software defined network |
| CN110381025B (zh) * | 2019-06-14 | 2020-08-04 | 浙江大学 | 一种软件定义防火墙系统的实现方法 |
| US10979309B2 (en) | 2019-08-07 | 2021-04-13 | Schweitzer Engineering Laboratories, Inc. | Automated convergence of physical design and configuration of software defined network |
| US11228521B2 (en) | 2019-11-04 | 2022-01-18 | Schweitzer Engineering Laboratories, Inc. | Systems and method for detecting failover capability of a network device |
| US11165685B2 (en) | 2019-12-20 | 2021-11-02 | Schweitzer Engineering Laboratories, Inc. | Multipoint redundant network device path planning for programmable networks |
| US11431605B2 (en) | 2020-12-16 | 2022-08-30 | Schweitzer Engineering Laboratories, Inc. | Communication system tester and related methods |
| US11418432B1 (en) | 2021-04-22 | 2022-08-16 | Schweitzer Engineering Laboratories, Inc. | Automated communication flow discovery and configuration in a software defined network |
| US11750502B2 (en) | 2021-09-01 | 2023-09-05 | Schweitzer Engineering Laboratories, Inc. | Detection of in-band software defined network controllers using parallel redundancy protocol |
| US11336564B1 (en) | 2021-09-01 | 2022-05-17 | Schweitzer Engineering Laboratories, Inc. | Detection of active hosts using parallel redundancy protocol in software defined networks |
| US11582137B1 (en) * | 2022-01-28 | 2023-02-14 | Cisco Technology, Inc. | Systems and methods for extending application-aware routing to improve site encryption throughput performance |
| US11848860B2 (en) | 2022-02-24 | 2023-12-19 | Schweitzer Engineering Laboratories, Inc. | Multicast fast failover turnaround overlap handling |
| US11838174B2 (en) | 2022-02-24 | 2023-12-05 | Schweitzer Engineering Laboratories, Inc. | Multicast fast failover handling |
| WO2024248658A1 (ru) * | 2023-06-02 | 2024-12-05 | Общество с ограниченной ответственностью "ИнфоВотч АРМА" | Система и способ анализа входящего потока трафика |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130276092A1 (en) * | 2012-04-11 | 2013-10-17 | Yi Sun | System and method for dynamic security insertion in network virtualization |
Family Cites Families (44)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6981141B1 (en) | 1998-05-07 | 2005-12-27 | Maz Technologies, Inc | Transparent encryption and decryption with algorithm independent cryptographic engine that allows for containerization of encrypted files |
| US7023997B1 (en) | 2000-12-21 | 2006-04-04 | Cisco Technology, Inc. | Secure messaging communication system |
| US20040240669A1 (en) | 2002-02-19 | 2004-12-02 | James Kempf | Securing neighbor discovery using address based keys |
| US7961884B2 (en) | 2002-08-13 | 2011-06-14 | Ipass Inc. | Method and system for changing security information in a computer network |
| TW200421813A (en) | 2003-04-03 | 2004-10-16 | Admtek Inc | Encryption/decryption device of WLAN and method thereof |
| JP4567603B2 (ja) | 2003-12-26 | 2010-10-20 | 三菱電機株式会社 | 被認証装置及び認証装置及び認証方法 |
| KR100651715B1 (ko) | 2004-10-07 | 2006-12-01 | 한국전자통신연구원 | 차세대 인터넷에서 자동으로 주소를 생성하고 수락하는방법 및 이를 위한 데이터 구조 |
| US9118717B2 (en) | 2005-02-18 | 2015-08-25 | Cisco Technology, Inc. | Delayed network protocol proxy for packet inspection in a network |
| US7784094B2 (en) | 2005-06-30 | 2010-08-24 | Intel Corporation | Stateful packet content matching mechanisms |
| US7984479B2 (en) | 2006-04-17 | 2011-07-19 | International Business Machines Corporation | Policy-based security certificate filtering |
| US8504451B2 (en) | 2006-11-16 | 2013-08-06 | Visa U.S.A. Inc. | Method and system using candidate dynamic data elements |
| JP4258551B2 (ja) | 2007-01-25 | 2009-04-30 | 日本電気株式会社 | 認証システム、認証方法、及び認証プログラム |
| US8065515B2 (en) | 2007-04-23 | 2011-11-22 | Cisco Technology, Inc. | Autoconfigured prefix delegation based on distributed hash |
| WO2008153193A1 (ja) | 2007-06-15 | 2008-12-18 | Nec Corporation | アドレス変換装置及びアドレス変換方法 |
| US8782771B2 (en) * | 2007-06-19 | 2014-07-15 | Rockwell Automation Technologies, Inc. | Real-time industrial firewall |
| US8132248B2 (en) * | 2007-07-18 | 2012-03-06 | Trend Micro Incorporated | Managing configurations of a firewall |
| US7779136B2 (en) | 2007-11-01 | 2010-08-17 | Telefonaktiebolaget L M Ericsson (Publ) | Secure neighbor discovery between hosts connected through a proxy |
| WO2009091306A1 (en) | 2008-01-18 | 2009-07-23 | Telefonaktiebolaget Lm Ericsson (Publ) | Route optimization in mobile ip networks |
| US7962584B2 (en) | 2008-02-13 | 2011-06-14 | Futurewei Technologies, Inc. | Usage of host generating interface identifiers in DHCPv6 |
| US8307422B2 (en) * | 2008-08-14 | 2012-11-06 | Juniper Networks, Inc. | Routing device having integrated MPLS-aware firewall |
| US8713627B2 (en) * | 2008-08-14 | 2014-04-29 | Juniper Networks, Inc. | Scalable security services for multicast in a router having integrated zone-based firewall |
| US8316435B1 (en) * | 2008-08-14 | 2012-11-20 | Juniper Networks, Inc. | Routing device having integrated MPLS-aware firewall with virtual security system support |
| CN101771627B (zh) * | 2009-01-05 | 2015-04-08 | 武汉邮电科学研究院 | 互联网实时深度包解析和控制节点设备和方法 |
| US8964634B2 (en) | 2009-02-06 | 2015-02-24 | Sony Corporation | Wireless home mesh network bridging adaptor |
| US8934625B2 (en) | 2009-03-25 | 2015-01-13 | Pacid Technologies, Llc | Method and system for securing communication |
| US8782408B2 (en) | 2009-03-25 | 2014-07-15 | Pacid Technologies, Llc | Method and system for securing communication |
| US8730844B2 (en) | 2009-05-04 | 2014-05-20 | Lockheed Martin Corporation | Self-forming ad-hoc network system |
| US20100318784A1 (en) | 2009-06-10 | 2010-12-16 | Cisco Technology, Inc. | Client identification for transportation layer security sessions |
| US8856869B1 (en) | 2009-06-22 | 2014-10-07 | NexWavSec Software Inc. | Enforcement of same origin policy for sensitive data |
| US9107048B2 (en) | 2009-06-29 | 2015-08-11 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and systems for mobile IP route optimization |
| US8321663B2 (en) | 2009-12-31 | 2012-11-27 | General Instrument Corporation | Enhanced authorization process using digital signatures |
| US8484474B2 (en) | 2010-07-01 | 2013-07-09 | Rockwell Automation Technologies, Inc. | Methods for firmware signature |
| WO2013086707A1 (zh) | 2011-12-14 | 2013-06-20 | 华为技术有限公司 | 内容分发网络cdn路由方法、设备和系统 |
| US8718064B2 (en) * | 2011-12-22 | 2014-05-06 | Telefonaktiebolaget L M Ericsson (Publ) | Forwarding element for flexible and extensible flow processing software-defined networks |
| US9398492B2 (en) | 2012-06-14 | 2016-07-19 | Tekelec, Inc. | Methods, systems, and computer readable media for providing policy and charging rules function (PCRF) with integrated openflow controller |
| WO2013188875A1 (en) | 2012-06-15 | 2013-12-19 | Massachusetts Institute Of Technology | Optimized transport layer security |
| US8789135B1 (en) * | 2012-06-15 | 2014-07-22 | Google Inc. | Scalable stateful firewall design in openflow based networks |
| US9081603B2 (en) | 2012-07-09 | 2015-07-14 | Cisco Technology, Inc. | Packet forwarding optimization with virtual machine mobility by comparing device identifiers to determine VM movement |
| US9020149B1 (en) | 2012-09-14 | 2015-04-28 | Amazon Technologies, Inc. | Protected storage for cryptographic materials |
| US9124628B2 (en) | 2012-09-20 | 2015-09-01 | Cisco Technology, Inc. | Seamless engagement and disengagement of transport layer security proxy services |
| US9237129B2 (en) | 2014-05-13 | 2016-01-12 | Dell Software Inc. | Method to enable deep packet inspection (DPI) in openflow-based software defined network (SDN) |
| US9509661B2 (en) | 2014-10-29 | 2016-11-29 | Aruba Networks, Inc. | Method and apparatus for displaying HTTPS block page without SSL inspection |
| US9537872B2 (en) | 2014-12-31 | 2017-01-03 | Dell Software Inc. | Secure neighbor discovery (SEND) using pre-shared key |
| US9998425B2 (en) | 2015-01-27 | 2018-06-12 | Sonicwall Inc. | Dynamic bypass of TLS connections matching exclusion list in DPI-SSL in a NAT deployment |
-
2014
- 2014-05-13 US US14/276,984 patent/US9237129B2/en active Active
- 2014-07-02 WO PCT/US2014/045312 patent/WO2015175007A1/en active Application Filing
- 2014-07-02 EP EP14891998.8A patent/EP3143714B1/en active Active
- 2014-07-02 CN CN201480078822.XA patent/CN106464422A/zh active Pending
-
2015
- 2015-12-09 US US14/964,502 patent/US9503425B2/en active Active
-
2016
- 2016-11-22 US US15/358,928 patent/US9871764B2/en active Active
-
2017
- 2017-12-29 US US15/858,623 patent/US10110562B2/en active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130276092A1 (en) * | 2012-04-11 | 2013-10-17 | Yi Sun | System and method for dynamic security insertion in network virtualization |
Non-Patent Citations (1)
| Title |
|---|
| P.PENNO等: "Yang Data Model for Service Function Chaining;draftpenno sfc yang 01", 《IETF》 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108965237A (zh) * | 2017-05-17 | 2018-12-07 | 通用电气公司 | 网络防火墙系统及对应的方法及非暂时性计算机可读介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20180145949A1 (en) | 2018-05-24 |
| WO2015175007A1 (en) | 2015-11-19 |
| US9871764B2 (en) | 2018-01-16 |
| EP3143714A1 (en) | 2017-03-22 |
| US20160094518A1 (en) | 2016-03-31 |
| US9237129B2 (en) | 2016-01-12 |
| US20150334090A1 (en) | 2015-11-19 |
| US9503425B2 (en) | 2016-11-22 |
| US20170142070A1 (en) | 2017-05-18 |
| US10110562B2 (en) | 2018-10-23 |
| EP3143714A4 (en) | 2017-04-26 |
| EP3143714B1 (en) | 2021-10-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10110562B2 (en) | Method to enable deep packet inspection (DPI) in openflow-based software defined network (SDN) | |
| US10938837B2 (en) | Isolated network stack to manage security for virtual machines | |
| US9059965B2 (en) | Method and system for enforcing security policies on network traffic | |
| US9654395B2 (en) | SDN-based service chaining system | |
| US9258275B2 (en) | System and method for dynamic security insertion in network virtualization | |
| US9014005B2 (en) | Low-latency lossless switch fabric for use in a data center | |
| US20160301603A1 (en) | Integrated routing method based on software-defined network and system thereof | |
| US20080019365A1 (en) | Host operating system bypass for packets destined for a virtual machine | |
| US7849503B2 (en) | Packet processing using distribution algorithms | |
| JP5305045B2 (ja) | スイッチングハブ及び検疫ネットワークシステム | |
| TW201703485A (zh) | 編排實體與虛擬交換器以執行安全邊界之系統及方法 | |
| CN109804610B (zh) | 限制具有网络功能的设备的数据流量传输的方法和系统 | |
| US10505976B2 (en) | Real-time policy filtering of denial of service (DoS) internet protocol (IP) attacks and malicious traffic | |
| CN102685104A (zh) | 用于包过滤的基于片上系统的装置及其包过滤方法 | |
| KR20130126833A (ko) | 네트워크 가상화를 위한 고속 스위칭 방법 및 고속 가상 스위치 | |
| US11463404B2 (en) | Quarantined communications processing at a network edge | |
| CN115714679A (zh) | 网络数据包处理方法、装置、电子设备及存储介质 | |
| US10721250B2 (en) | Automatic tunnels routing loop attack defense | |
| US11895148B2 (en) | Detection and mitigation of denial of service attacks in distributed networking environments | |
| CN107210969B (zh) | 一种基于软件定义网络的数据处理方法及相关设备 | |
| CN113452663B (zh) | 基于应用特征的网络业务控制 | |
| KR102680602B1 (ko) | 분산 클러스터 환경의 허니팟 시스템 및 허니팟 운영 방법과 이를 수행하기 위한 컴퓨팅 장치 | |
| US9992164B2 (en) | User based stateless IPv6 RA-guard | |
| JP2018207436A (ja) | トラヒック制御装置、方法、およびプログラム | |
| KR20120053661A (ko) | 침입탐지시스템 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20170222 |
|
| WD01 | Invention patent application deemed withdrawn after publication |