CN115348043A - 一种确定报文地址的方法、防火墙及存储介质 - Google Patents
一种确定报文地址的方法、防火墙及存储介质 Download PDFInfo
- Publication number
- CN115348043A CN115348043A CN202110515054.1A CN202110515054A CN115348043A CN 115348043 A CN115348043 A CN 115348043A CN 202110515054 A CN202110515054 A CN 202110515054A CN 115348043 A CN115348043 A CN 115348043A
- Authority
- CN
- China
- Prior art keywords
- message
- firewall
- address
- segment
- srh
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种确定报文地址的方法、防火墙及存储介质,包括:防火墙确定接收的报文携带SRH后,获取SRH中的Segment List列表中第一个Segment;将所述Segment作为目的地址。采用本发明,可以使SRv6端到端互通问题得以解决。
Description
技术领域
本发明涉及通信技术领域,特别涉及一种确定报文地址的方法、防火墙及存储介质。
背景技术
防火墙(Firewall),也称防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网(US5606668(A)1993-12-15)。它是一种位于内部网络与外部网络之间的网络安全系统。是一项信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过。
按照防火墙所采用的技术,它可分为以下几种类型:
1、包过滤防火墙。
第一代防火墙和最基本形式防火墙检查每一个通过的网络包,或者丢弃,或者放行,取决于所建立的一套规则。这称为包过滤防火墙。包过滤防火墙一般在路由器上实现,用以过滤用户定义的内容。包过滤防火墙的工作原理是:系统在网络层检查数据包,与应用层无关。这样系统就具有很好的传输性能,可扩展能力强。
2、状态检测防火墙。
状态检测防火墙,跟踪通过防火墙的网络连接和包,这样防火墙就可以使用一组附加的标准,以确定是否允许和拒绝通信。它是在使用了基本包过滤防火墙的通信上应用一些技术来做到这里的。一个状态检测防火墙跟踪的不仅是包中包含的信息。为了跟踪包的状态,防火墙还记录有用的信息以帮助识别包,例如已有的网络连接、数据的传出请求等。如果传入的包包含视频数据流,而防火墙可能已经记录了有关信息,是关于位于特定口地址的应用程序最近向发出包的源地址请求视频信号的信息。如果传入的包是要传给发出请求的相同系统,防火墙进行匹配,包就可以被允许通过。
3、应用代理防火墙。
应用代理防火墙实际上并不允许在它连接的网络之间直接通信。相反,它是接受来自内部网络特定用户应用程序的通信,然后建立于公共网络服务器单独的连接。应用程序代理防火墙检查所有应用层的信息包,并将检查的内容信息放入决策过程,从而提高网络的安全性。然而,应用网关防火墙是通过打破客户机/服务器模式实现的。另外,每个代理需要一个不同的应用进程,或一个后台运行的服务程序,对每个新的应用必须添加针对此应用的服务程序,否则不能使用该服务。所以,应用代理防火墙具有可伸缩性差的缺点。
对于包过滤防火墙和状态检测防火墙,都会对经过防火墙的数据包的五元组(源IP地址、目的IP地址、源端口号、目的端口号、传输层协议)信息进行记录和匹配。目前应用较多的是状态检测防火墙,图1为状态防火墙报文检测过程示意图,它的报文检测过程如图1所示。当防火墙收到一条流量的首包时,会对该报文进行过滤规则检查,并将判断结果作为该条流量的“状态”记录下来。
图2为IPv6报文通过防火墙过程示意图,IPv6(互联网协议第6版,InternetProtocol Version 6)报文通过防火墙过程如图2所示,当Client(客户端)向Server(服务端)端发起请求时,IPv6报文通过防火墙创建会话表,当Server端向Client端回复报文时,防火墙在会话表中查找,命中会话表中已记录的状态,使报文通过。
随着SRv6(基于IPv6的源路由技术,Segment Routing IPv 6)技术的发展,SRv6在实际网络中的应用指日可待。SRv6协议对IPv6数据包的包头进行了扩展,图3为SRv6报文结构示意图,SRv6格式如图3所示。SRv6扩展报头在IPv6报头之后,其中Segment List(段列表)记录了路径中每一跳SRv6节点的地址,该列表对路径中地址进行逆序排列,即排在列表的第一个Segment(Segment List[0])是路径上的最后一跳,排在列表的最末位Segment(Segment List[n])是路径的第一跳。Segment Left(向左分段)字段则标识了下一跳地址在Segment List(SL)中的位置,每经过一个SRv6节点,则进行SL=SL-1操作,并把列表中该位置的地址更新到IPv6包头中的Destination Address(目的地址)字段(如图中箭头所示,SRv6节点进行将Segment List中的地址更新到Destination Address字段的操作),然后对数据包进行转发。
现有技术的不足在于:现有防火墙技术不能使SRv6报文进行互通。
发明内容
本发明提供了一种确定报文地址的方法、防火墙及存储介质,用以解决现有防火墙技术不能使SRv6报文进行互通的问题。
本发明提供以下技术方案:
一种确定报文地址的方法,包括:
防火墙确定接收的报文携带SRH后,获取SRH中的Segment List列表中第一个Segment;
将所述Segment作为目的地址。
实施中,进一步包括:
防火墙确定接收的报文未携带SRH后,读取Destination Address字段作为目的地址。
实施中,防火墙确定接收的报文是否携带SRH,是在收到IPv6报文后通过遍历报文扩展头部查询确定的。
实施中,进一步包括:
使用所述目的地址进行会话表创建或修改。
实施中,进一步包括:
当报文从源节点发往目的节点时,读取扩展包头中的地址列表,将SL=0时获取到的地址作为该报文五元组信息中的目的地址字段,存储在状态表中。
实施中,进一步包括:
当报文从目的节点发往源节点时,防火墙读取扩展包头中的地址列表,将SL=0时获取到的地址作为该报文的目的地址,与当前会话表中已存储的信息进行对比。
实施中,防火墙接收的报文,是在SD-WAN网络中,CPE与PoP点之间收发的报文。
一种防火墙,包括:
处理器,用于读取存储器中的程序,执行下列过程:
确定接收的报文携带SRH后,获取SRH中的Segment List列表中第一个Segment;
将所述Segment作为目的地址;
收发机,用于在处理器的控制下接收和发送数据。
实施中,进一步包括:
确定接收的报文未携带SRH后,读取Destination Address字段作为目的地址。
实施中,确定接收的报文是否携带SRH,是在收到IPv6报文后通过遍历报文扩展头部查询确定的。
实施中,进一步包括:
使用所述目的地址进行会话表创建或修改。
实施中,进一步包括:
当报文从源节点发往目的节点时,读取扩展包头中的地址列表,将SL=0时获取到的地址作为该报文五元组信息中的目的地址字段,存储在状态表中。
实施中,进一步包括:
当报文从目的节点发往源节点时,读取扩展包头中的地址列表,将SL=0时获取到的地址作为该报文的目的地址,与当前会话表中已存储的信息进行对比。
实施中,接收的报文,是在SD-WAN网络中,CPE与PoP点之间收发的报文。
一种防火墙,包括:
获取模块,用于确定接收的报文携带SRH后,获取SRH中的Segment List列表中第一个Segment;
地址模块,用于将所述Segment作为目的地址。
实施中,获取模块进一步用于确定接收的报文未携带SRH后,读取DestinationAddress字段作为目的地址。
实施中,获取模块进一步用于在收到IPv6报文后通过遍历报文扩展头部查询确定接收的报文是否携带SRH。
实施中,地址模块进一步用于使用所述目的地址进行会话表创建或修改。
实施中,地址模块进一步用于当报文从源节点发往目的节点时,读取扩展包头中的地址列表,将SL=0时获取到的地址作为该报文五元组信息中的目的地址字段,存储在状态表中。
实施中,地址模块进一步用于当报文从目的节点发往源节点时,读取扩展包头中的地址列表,将SL=0时获取到的地址作为该报文的目的地址,与当前会话表中已存储的信息进行对比。
实施中,获取模块进一步用于接收SD-WAN网络中CPE与PoP点之间收发的报文。
一种计算机可读存储介质,所述计算机可读存储介质存储有执行上述确定报文地址的方法的计算机程序。
本发明有益效果如下:
本发明实施例提供的技术方案中,由于在确定报文携带SRH后,即可知是SRv6报文而非IPv6报文,因此将按SRv6报文来处理,也即获取SRH中的Segment List列表中第一个Segment作为目的地址,由于不是只会将该报文作为IPv6报文进行处理,不会直接读取IPv6包头中的Destination Address字段作为目的地址,所以可以使SRv6端到端互通问题得以解决。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本发明的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为背景技术中状态防火墙报文检测过程示意图;
图2为背景技术中IPv6报文通过防火墙过程示意图;
图3为背景技术中SRv6报文结构示意图;
图4为本发明实施例中防火墙记录SRv6数据包信息示意图;
图5为本发明实施例中确定报文地址的方法实施流程示意图;
图6为本发明实施例中SRv6报文格式示意图;
图7为本发明实施例中防火墙状态检测过程示意图;
图8为本发明实施例中报文从源节点发往目的节点过程示意图;
图9为本发明实施例中报文从源节点发往目的节点过程示意图;
图10为本发明实施例中防火墙应用场景示意图;
图11为本发明实施例中防火墙结构示意图。
具体实施方式
发明人在发明过程中注意到:
在现有防火墙技术中,处理SRv6报文时,只会将该报文作为IPv6报文进行处理,因此在记录状态时,直接读取IPv6包头中的Destination Address字段作为状态进行记录。图4为防火墙记录SRv6数据包信息示意图,如图4中所示,当SRv6路由器1向SRv6路由器5发送报文时,路由器2和路由器3中间的防火墙记录下的数据包源节点地址为R1的地址R1::bb,目的节点地址为R3的地址R3::bb。但是R3只是路径中某一跳节点的地址,并非是该报文的目的节点的地址。当R5向R1回复报文时,防火墙读取到的源节点地址为R5::bb,目的节点地址为R2::bb,与已有会话表中信息无法对应,因此将该SRv6报文丢弃。
也即,现有防火墙技术无法使SRv6报文进行互通。
基于此,本发明实施例中提出了一种防火墙读取SRv6报文目的地址方案,用以在SRv6报文中正确获取到该报文源节点和目的节点的IP地址的。
下面结合附图对本发明的具体实施方式进行说明。
图5为确定报文地址的方法实施流程示意图,如图所示,可以包括:
步骤501、防火墙确定接收的报文携带SRH后,获取SRH中的Segment List列表中第一个Segment;
步骤502、将所述Segment作为目的地址。
实施中,还可以进一步包括:
防火墙确定接收的报文未携带SRH后,读取Destination Address字段作为目的地址。
实施中,防火墙确定接收的报文是否携带SRH,是在收到IPv6报文后通过遍历报文扩展头部查询确定的。
具体的,当前防火墙技术是对IP报文中的五个元素,又称为“五元组”,即源IP地址,目的IP地址,源端口号,目的端口以及协议类型进行记录和检查,通过判断IP数据报文的五元组,就可以判断一条数据流相同的IP报文。防火墙会对一条连接的首包建立如表1所示的会话表,其中源IP地址,目的IP地址从报文的IP报文头部中获取。
表1:防火墙会话表
| 源IP地址 | 目的IP地址 | 源端口号 | 目的端口号 | 协议类型 |
| R1::bb | R3::bb | 5501 | 5501 | TCP |
| R2::bb | R4::bb | 5502 | 5502 | UDP |
图6为SRv6报文格式示意图,图7为防火墙状态检测过程示意图,如图所示,方案主要针对会话表五元组中的目的IP地址字段,对于SRv6报文,不再获取IPv6报文头部中的Destination Address字段(图6中实线箭头所示)作为目的IP地址,而是读取SRH(段路由头,Segment Routing Header)中的Segment List列表中的第一个Segment(图6中虚线箭头所示),即SL(Segment List)=0时的Segment值作为该报文的目的IP地址。
也因此本方案可与传统防火墙技术兼容,具体如图7所示,防火墙收到IPv6报文后,遍历报文扩展头部查询是否携带SRH,若不携带SRH,则按照普通IPv6报文处理,读取Destination Address字段作为目的地址,若携带SRH则应获取SRH中的Segment List列表中第一个Segment作为目的地址,然后再使用该目的地址进行会话表创建或修改。也即,实施中,还可以进一步包括:使用所述目的地址进行会话表创建或修改。
下面以实例来进行说明。
一、报文从源节点发往目的节点。
当报文从源节点发往目的节点时,读取扩展包头中的地址列表,将SL=0时获取到的地址作为该报文五元组信息中的目的地址字段,存储在状态表中。
图8为报文从源节点发往目的节点过程示意图,如图所示,防火墙读取扩展包头中的地址列表,将SL=0时获取到的地址,即SRv6路径中目的节点的地址作为该报文五元组信息中的目的地址字段,存储在状态表中。如图8所示,当报文经过防火墙时,读取SegmentList中SL=0时的地址即R5::bb作为目的地址存储在会话表中。
二、报文从目的节点发往源节点。
当报文从目的节点发往源节点时,防火墙读取扩展包头中的地址列表,将SL=0时获取到的地址作为该报文的目的地址,与当前会话表中已存储的信息进行对比。
图9为报文从源节点发往目的节点过程示意图,如图所示,防火墙读取扩展包头中的地址列表,将SL=0时获取到的地址,作为该报文的目的地址,与当前会话表中已存储的信息进行对比。如图9所示,防火墙读取的报文信息为源地址为R5::bb,目的地址为R1::bb,与防火墙中已记录信息匹配。
通过这种方式,解决了由于SRv6报文中Destination Address不断更新导致的无法通过防火墙进行通信的问题。
实施中,防火墙接收的报文,是在SD-WAN网络中,CPE与PoP点之间收发的报文。
图10为防火墙应用场景示意图,如图所示,本方案中的防火墙的应用场景可以为SD-WAN(软件定义广域网,Software-Defined WAN;WAN:广域网,Wide Area Network)网络。如图10所示,在SD-WAN网络中,CPE(用户端设备,Customer Premises Equipment)与PoP(云访问接入点,point of presence)点之间会进行SRv6报文的收发,但是防火墙对SRv6报文的解析不足,导致CPE与PoP点只能单向通信。使用本发明实施例提供的技术方案后可实现CPE与PoP点进行正常的SRv6报文收发流程。
基于同一发明构思,本发明实施例中还提供了一种防火墙、及长期演进多载波升级系统,由于这些设备解决问题的原理与确定报文地址的方法相似,因此这些设备的实施可以参见方法的实施,重复之处不再赘述。
在实施本发明实施例提供的技术方案时,可以按如下方式实施。
图11为防火墙结构示意图,如图所示,防火墙中包括:
处理器1100,用于读取存储器1120中的程序,执行下列过程:
确定接收的报文携带SRH后,获取SRH中的Segment List列表中第一个Segment;
将所述Segment作为目的地址;
收发机1110,用于在处理器1100的控制下接收和发送数据。
实施中,进一步包括:
确定接收的报文未携带SRH后,读取Destination Address字段作为目的地址。
实施中,确定接收的报文是否携带SRH,是在收到IPv6报文后通过遍历报文扩展头部查询确定的。
实施中,进一步包括:
使用所述目的地址进行会话表创建或修改。
实施中,进一步包括:
当报文从源节点发往目的节点时,读取扩展包头中的地址列表,将SL=0时获取到的地址作为该报文五元组信息中的目的地址字段,存储在状态表中。
实施中,进一步包括:
当报文从目的节点发往源节点时,读取扩展包头中的地址列表,将SL=0时获取到的地址作为该报文的目的地址,与当前会话表中已存储的信息进行对比。
实施中,接收的报文,是在SD-WAN网络中,CPE与PoP点之间收发的报文。
其中,在图11中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器1100代表的一个或多个处理器和存储器1120代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发机1110可以是多个元件,即包括发送机和接收机,提供用于在传输介质上与各种其他装置通信的单元。处理器1100负责管理总线架构和通常的处理,存储器1120可以存储处理器1100在执行操作时所使用的数据。
本发明实施例中还提供了一种防火墙,包括:
获取模块,用于确定接收的报文携带SRH后,获取SRH中的Segment List列表中第一个Segment;
地址模块,用于将所述Segment作为目的地址。
实施中,获取模块进一步用于确定接收的报文未携带SRH后,读取DestinationAddress字段作为目的地址。
实施中,获取模块进一步用于在收到IPv6报文后通过遍历报文扩展头部查询确定接收的报文是否携带SRH。
实施中,地址模块进一步用于使用所述目的地址进行会话表创建或修改。
实施中,地址模块进一步用于当报文从源节点发往目的节点时,读取扩展包头中的地址列表,将SL=0时获取到的地址作为该报文五元组信息中的目的地址字段,存储在状态表中。
实施中,地址模块进一步用于当报文从目的节点发往源节点时,读取扩展包头中的地址列表,将SL=0时获取到的地址作为该报文的目的地址,与当前会话表中已存储的信息进行对比。
实施中,获取模块进一步用于接收SD-WAN网络中CPE与PoP点之间收发的报文。
为了描述的方便,以上所述装置的各部分以功能分为各种模块或单元分别描述。当然,在实施本发明时可以把各模块或单元的功能在同一个或多个软件或硬件中实现。
本发明实施例中还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有执行上述确定报文地址的方法的计算机程序。
具体实施可以参见确定报文地址的方法的实施。
综上所述,本发明实施例提供的技术方案中,提供了防火墙对SRv6报文中SRH的解析方案;防火墙读取Segment List中SL=0位置的字段作为该报文的目的地址字段以对报文信息进行记录或与状态表中现有状态进行对比。
现有防火墙技术无法使SRv6报文进行互通,而通过本方案,可以使SRv6端到端互通问题得以解决。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种确定报文地址的方法,其特征在于,包括:
防火墙确定接收的报文携带段路由头SRH后,获取SRH中的段列表Segment List列表中第一个段Segment;
将所述Segment作为目的地址。
2.如权利要求1所述的方法,其特征在于,进一步包括:
防火墙确定接收的报文未携带SRH后,读取目的地址Destination Address字段作为目的地址。
3.如权利要求1或2所述的方法,其特征在于,防火墙确定接收的报文是否携带SRH,是在收到互联网协议第6版IPv6报文后通过遍历报文扩展头部查询确定的。
4.如权利要求1所述的方法,其特征在于,进一步包括:
使用所述目的地址进行会话表创建或修改。
5.如权利要求1所述的方法,其特征在于,进一步包括:
当报文从源节点发往目的节点时,读取扩展包头中的地址列表,将段列表SL=0时获取到的地址作为该报文五元组信息中的目的地址字段,存储在状态表中。
6.如权利要求1所述的方法,其特征在于,进一步包括:
当报文从目的节点发往源节点时,防火墙读取扩展包头中的地址列表,将SL=0时获取到的地址作为该报文的目的地址,与当前会话表中已存储的信息进行对比。
7.如权利要求1所述的方法,其特征在于,防火墙接收的报文,是在软件定义广域网SD-WAN网络中,用户端设备CPE与云访问接入点PoP点之间收发的报文。
8.一种防火墙,其特征在于,包括:
处理器,用于读取存储器中的程序,执行下列过程:
确定接收的报文携带SRH后,获取SRH中的Segment List列表中第一个Segment;
将所述Segment作为目的地址;
收发机,用于在处理器的控制下接收和发送数据。
9.一种防火墙,其特征在于,包括:
获取模块,用于确定接收的报文携带SRH后,获取SRH中的Segment List列表中第一个Segment;
地址模块,用于将所述Segment作为目的地址。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有执行权利要求1至7任一所述方法的计算机程序。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110515054.1A CN115348043A (zh) | 2021-05-11 | 2021-05-11 | 一种确定报文地址的方法、防火墙及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110515054.1A CN115348043A (zh) | 2021-05-11 | 2021-05-11 | 一种确定报文地址的方法、防火墙及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115348043A true CN115348043A (zh) | 2022-11-15 |
Family
ID=83947386
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110515054.1A Pending CN115348043A (zh) | 2021-05-11 | 2021-05-11 | 一种确定报文地址的方法、防火墙及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115348043A (zh) |
-
2021
- 2021-05-11 CN CN202110515054.1A patent/CN115348043A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9015318B1 (en) | System and method for inspecting domain name system flows in a network environment | |
| DK2241058T3 (en) | A method for configuring the ACLS on a network device on the basis of the flow information | |
| US20200084141A1 (en) | Methods and systems for network security universal control point | |
| EP2518940B1 (en) | Automatic network topology detection and modeling | |
| US20190075049A1 (en) | Determining Direction of Network Sessions | |
| US8856884B2 (en) | Method, apparatus, signals, and medium for managing transfer of data in a data network | |
| CN102165741B (zh) | 在ipv6网络中用于封锁和搜索主机的方法 | |
| US20070055789A1 (en) | Method and apparatus for managing routing of data elements | |
| US9356844B2 (en) | Efficient application recognition in network traffic | |
| EP2056559B1 (en) | Method and system for network simulation | |
| US20060285495A1 (en) | Method and apparatus for aggregating network traffic flows | |
| CN101707617A (zh) | 报文过滤方法、装置及网络设备 | |
| EP1756705A2 (en) | A system, method, and computer program product for updating the states of a firewall | |
| US10795912B2 (en) | Synchronizing a forwarding database within a high-availability cluster | |
| US11277384B2 (en) | Dynamic filter generation and distribution within computer networks | |
| CN110944068A (zh) | 从重复网络地址自动恢复 | |
| US20100180334A1 (en) | Netwrok apparatus and method for transfering packets | |
| CN106302638A (zh) | 一种数据管理方法、转发设备及系统 | |
| CN110224932B (zh) | 一种数据快速转发的方法及系统 | |
| CN115348043A (zh) | 一种确定报文地址的方法、防火墙及存储介质 | |
| CN115865802A (zh) | 虚拟实例的流量镜像方法、装置、虚拟机平台及存储介质 | |
| CN115484193A (zh) | 网络丢包流量的监控和解析方法、系统、存储介质及设备 | |
| CN114978563A (zh) | 一种封堵ip地址的方法及装置 | |
| CN101599902A (zh) | 一种获取业务信息的方法及装置 | |
| WO2024119923A1 (zh) | 一种应用识别方法以及相关设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |