DE102023104055A1 - Priorisierung für zeitdeterministische Firewalls - Google Patents

Priorisierung für zeitdeterministische Firewalls Download PDF

Info

Publication number
DE102023104055A1
DE102023104055A1 DE102023104055.3A DE102023104055A DE102023104055A1 DE 102023104055 A1 DE102023104055 A1 DE 102023104055A1 DE 102023104055 A DE102023104055 A DE 102023104055A DE 102023104055 A1 DE102023104055 A1 DE 102023104055A1
Authority
DE
Germany
Prior art keywords
data packet
firewall
processing
processed
until
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102023104055.3A
Other languages
English (en)
Inventor
Tobias Heer
Lukas Bechtel
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hochschule Esslingen Koerperschaft Des Oeffentlichen Rechts
Hirschmann Automation and Control GmbH
Original Assignee
Hochschule Esslingen Koerperschaft Des Oeffentlichen Rechts
Hirschmann Automation and Control GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hochschule Esslingen Koerperschaft Des Oeffentlichen Rechts, Hirschmann Automation and Control GmbH filed Critical Hochschule Esslingen Koerperschaft Des Oeffentlichen Rechts
Publication of DE102023104055A1 publication Critical patent/DE102023104055A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Es wird ein Verfahren vorgeschlagen, um Datenpakete (3, 3', 3'', 3''') in einem Netzwerk (1) zu festlegbaren Zeiten am Empfänger ankommen zu lassen. Für das Verfahren wird eine Firewall (2) in einem Computernetzwerk benötigt. Jedes Datenpaket (3, 3', 3'', 3''') wird innerhalb der Firewall gemäß von Filterregeln bearbeitet. Jedem Datenpaket (3, 3', 3'', 3'''), welches durch die Firewall (2) an einen Empfänger versendet wird, wird eine Priorisierung für die Verarbeitung in der Firewall (2) zugewiesen. Der Versand des jeweiligen Datenpakets (3, 3', 3'', 3''') ist nach Ablauf der Verarbeitung der Filterregeln vorgesehen, kann aber unterbrochen werden, sobald ein weiteres Datenpaket (3', 3'', 3''') mit höherer Priorisierung an der Firewall eintrifft. Das Datenpaket (3), für welche die Verarbeitung unterbrochen wurde, wird dann in den Zwischenspeicher für eine spätere Verarbeitung gespeichert.

Description

  • Die vorliegende Erfindung bezieht sich auf ein Verfahren, um Priorisierungen für zeitdeterministische Firewalls zu realisieren.
  • Firewalls werden in Computernetzwerken dazu benötigt, die im Netzwerk versendeten Datenpakete zu filtern und nach Regeln weiterzuleiten oder zu verwerfen.
  • Paketfilter (Firewall, Switch mit ACL Regeln) betrachten Pakete und entscheiden anhand eines Regelwerks. Das verstärkte Aufkommen von Echtzeitverkehr bedingt, dass auch Firewalls Pakete in Echtzeit (also mit vorgegebener Verzögerung bzw. Bearbeitungszeit) bearbeiten können. Das zur Verfügung stehende Zeitbudget kann dabei zu klein für die vollständige Analyse des Pakets bezüglich aller Firewall-Regeln sein. Dies kann von der Last der Firewall (z.B. Firewall benötigt zu lange, da andere Rechenoperationen vorrangig bearbeitet wurden) oder von parallelen Prozessen auf der Firewall (CPU wird für etwas anderes verwendet) anhängen.
  • Heute kennen Firewalls keine Zeitbudgets. Daher führt dies dazu, dass Firewalls Pakete mit zu hoher Verzögerung/Latenz weiterleiten und so zeitkritische Pakete zu spät beim Empfänger im Netzwerk ankommen. Ebenso verursacht eine stark variierende Bearbeitungszeit Probleme, da es dadurch zu stoßweiser Paketbearbeitung und dem aufstauen von Paketen kommen kann. Eine konstante Bearbeitungszeit ist daher in vielen Fällen von Vorteil, insbesondere für die genaue Vorhersage und Planung von Paketflüssen im Netzwerk.
  • Bisher wurde dieses Problem in der Forschung nicht intensiver betrachtet, da Firewalls nicht im Zusammenspiel mit zeitkritischem Verkehr eingesetzt wurden. Diese Erfindung beschreibt ein Verfahren, um mit dieser Situation umzugehen.
  • Aufgabe der vorliegenden Erfindung ist es somit, ein Verfahren zu realisieren, um zeitkritische Pakete rechtzeitig beim Empfänger ankommen zu lassen. Entsprechend stellt sich die Erfindung die Aufgabe, ein Verfahren für zeitdeterministische Firewalls aufzuzeigen.
  • Diese Aufgabe wird durch die Merkmale des Hauptanspruchs gelöst.
  • Dazu wird ein Verfahren mit einem Computernetzwerk vorgeschlagen, mit einer Firewall sowie einem Zwischenspeicher in der Firewall.
  • Nach dem Verfahren wird zunächst jedem Datenpaket eine Priorisierung zugewiesen. Der Versand des Datenpakets soll wie üblich nach vollständiger Verarbeitung der Filterregeln in der Firewall geschehen.
  • Während der Filterung von Paketen kann es passieren, dass sich ein Paket mit niedriger Priorisierung bereits in der Filterung befindet, während ein Paket mit hoher Priorisierung an der Firewall eintrifft. Das langsame Paket verzögert in diesem Fall die Bearbeitung des hochpriorisierten Pakets. Dies kann verhindert werden, indem man einen Zwischenspeicher nutzt, um die Bearbeitung des langsamen Pakets beim Eintreffen eines dringenden Pakets zu unterbrechen und später fortzusetzen.
  • Zu diesem Zweck beobachtet die Firewall die eingehenden Pakete und stellt diese in eine Warteschlange (dies ist noch ganz normales Verhalten). Wenn nun ein hochpriorisiertes Paket empfangen wird, während ein Paket mit niederer Priorität bereits gefiltert wird, so kann das hochpriorisierte Paket vorrangig gefiltert werden in dem es a) an die Spitze der Warteschlange gestellt wird und b) die Bearbeitung des niederpriorisierten Pakets angehalten wird.
  • Die Bearbeitung des niederpriorisierten Datenpakets wird bei Empfang eines hochpriorisierten Datenpakets unterbrochen, wenn die Filterung noch andauert. Das niederpriorisierte Paket wird dann mit einem Vermerk der letzten getesteten Regel in einen Pufferspeicher geschrieben. Die Filterung wird darauf abgebrochen. Nun kann das hochpriorisierte Paket direkt gefiltert werden.
  • Wenn das hochpriorisierte Datenpakt abschließend von der Firewall bearbeitet wurde, kann die Bearbeitung des im Puffer befindlichen niederpriorisierten Datenpakets fortgeführt werden.
  • Wenn weitere hochpriorisierte Pakete vorhanden sind, können auch diese vorrangig gefiltert werden. Nach Abschluss der Filterung aller vorrangig gefilterten Pakete kann die Filterung des niederpriorisierten Pakets an der Stelle der Unterbrechung erneut aufgenommen werden. Etwaige Zeitbudgets können für die Entscheidung, wie lange das niederpriorisierte Paket im Puffer geparkt werden kann berücksichtigt werden.
  • Es ist auch möglich eine Regelposition festzulegen, ab welcher Regel keine Unterbrechung mehr stattfinden soll. So kann vermieden werden, dass ein niederpriorisiertes Paket, das sich z.B. an Stelle 99 von 100 bei der Abarbeitung von Regeln befindet, aufgrund einer einzigen verbleibenden Regel mit höherem Aufwand zwischengespeichert wird.
  • Die Priorisierung der Datenpakete kann in Abhängigkeit von der Verkehrsklasse des Netzwerks (LAN, WAN, etc.) festgelegt werden. Ebenso kann die Priorisierung nach einer Eigenschaft des Datenpakets (Größe, Inhalt, etc.) festgelegt werden. Auch die Festlegung nach Herkunft oder Ziel ist denkbar (Port, Netzwerk, VLAN, etc).
  • Weitere Merkmale ergeben sich aus den beigefügten Figuren. Es zeigen
    • 1: Zeitdiagramm für eine Paketfilterung mit zwei unterschiedlich priorisierten Datenpaketen;
    • 2: Zeitdiagramm für eine Paketfilterung mit drei unterschiedlich priorisierten Datenpaketen;
    • 3: Zeitdiagramm für eine Paketfilterung mit vier unterschiedlich priorisierten Datenpaketen;
  • 1 zeigt ein erfindungsgemäßes Verfahren mit einer Firewall 2 in einem Netzwerk 1. Die Firewall 2 beinhaltet definierbare Regeln, nach welchen eingehende Datenpakete 3 untersucht werden. Je nach Ergebnis der Untersuchung wird anschließend eine Firewall-Aktion ausgeführt, was ein Senden der Datenpakete 3 oder ein Verwerfen der Datenpakete 3 beinhalten kann.
  • Das erste, am Eingang 4 der Firewall 2 ankommende Datenpaket 3 wird zur Bearbeitung 5 weitergeleitet. Die Bearbeitung 5 beinhaltet das Abarbeiten der Regeln, welche in der Firewall definiert wurden. Der Zeitpunkt des Beginns der Regelbearbeitung wird als Bearbeitungsbeginn 7 festgehalten.
  • Je nach Arbeitslast der Firewall, seiner Leistungsfähigkeit und der Anzahl der zu verarbeitenden Datenpakete 3, 3', benötigt die Bearbeitung der Filterregeln eine bestimmte Zeit, welche variieren kann und mit tprocess definiert wird. tprocess0 wird somit für das Datenpaket 3 definiert.
  • Nach bisherigen Firewalls wird nach Bearbeitungsende ein Datenpaket je nach Ergebnis der Bearbeitung an den Ausgang 6 der Firewall 2 weitergeleitet und somit ins Netzwerk 1 gesendet oder das Datenpaket 3 wird verworfen. Auch denkbar wäre als Firew-Allaktion ein Markieren des Datenpakets.
  • Erfindungsgemäß wird nun jedem Datenpaket eine Priorisierung für die Verarbeitung in der Firewall zugewiesen. Diese kann abhängig davon sein, von welcher Quelle das Datenpaket gesendet wurden, zu welchem Ziel es gesendet werden soll oder von der Klasse des Netzwerks. In einem Automatisierungsnetzwerk sind bspw. angeschlossene Steuerungen zeitkritischer als normale Netzwerkteilnehmer, wie z.B. Überwachungsteilnehmer oder PCs.
  • Wird nun ein Datenpaket 3' mit einer höheren Priorität am Eingang 4 der Firewall 2 empfangen, als das gerade in Bearbeitung 5 befindliche Datenpaket 3, wird erfindungsgemäß die Bearbeitung 5 der Regeln für das Datenpaket 3 mit der niedrigeren Priorität unterbrochen. Die Bearbeitung 5 von Datenpaket 3 wird pausiert und die Bearbeitung 5 von Datenpaket 3' beginnt 8.
  • Damit die Bearbeitung eines Datenpakets 3 unterbrochen und später wieder aufgenommen werden kann, wird vorgeschlagen, der Firewall 2 einen Zwischenspeicher zu integrieren. Hier kann das Datenpaket 3 sowie weitere Datenpakete abgelegt werden, so lange diese sich nicht in der Bearbeitung 5 befinden.
  • Die Bearbeitung 5 dauert für das hochpriorisierte Datenpaket 3' die Zeit tprocess1. Nachdem alle Regeln durch die Bearbeitung 5 in der Firewall 2 für das Datenpaket 3' abgearbeitet wurden, ist das Bearbeitungsende 9 erreicht. Entsprechend des Ergebnisses der Bearbeitung wird nun eine Firewall-Aktion durchgeführt, was bspw. das Weiterleiten des Datenpakets 3' an den Ausgang der Firewall 2 sein kann.
  • Nachdem das hochpriorisierte Datenpaket 3' abgearbeitet wurde, kann nun das Datenpaket 3 wieder aus dem Zwischenspeicher entnommen werden und der weiteren Bearbeitung 5 zugeführt werden. Die Bearbeitung 5 wird dazu an der Stelle fortgeführt 7', wo abgebrochen wurde. Es werden also nun nicht mehr alle Regeln abgearbeitet, sondern nur noch die bisher nicht bearbeiteten Regeln. Damit wird nun nur noch die Differenz an Zeit benötigt, welche durch tprocess0 und der bisher benötigten Bearbeitungszeit für Datenpaket 3 (t1-t0) definiert ist.
  • Anschließend sind alle Regeln auch für das Datenpaket 3 abgearbeitet und entsprechend des Ergebnisses der Bearbeitung wird nun eine Firewall-Aktion durchgeführt, was bspw. das Weiterleiten des Datenpakets 3 an den Ausgang der Firewall 2 sein kann.
  • 2 zeigt ein erfindungsgemäßes Verfahren mit einer Firewall 2 in einem Netzwerk 1, jedoch mit drei Datenpakete 3, 3', 3" mit ansteigender Priorität. Die Firewall 2 beinhaltet definierbare Regeln, nach welchen eingehende Datenpakete 3 untersucht werden. Je nach Ergebnis der Untersuchung wird anschließend eine Firewall-Aktion ausgeführt, was ein Senden der Datenpakete 3 oder ein Verwerfen der Datenpakete 3 beinhalten kann.
  • Das erste, am Eingang 4 der Firewall 2 ankommende Datenpaket 3 wird zur Bearbeitung 5 weitergeleitet. Die Bearbeitung 5 beinhaltet das Abarbeiten der Regeln, welche in der Firewall definiert wurden.
  • Je nach Arbeitslast der Firewall, seiner Leistungsfähigkeit und der Anzahl der zu verarbeitenden Datenpakete 3, 3', 3", benötigt die Bearbeitung der Filterregeln eine bestimmte Zeit, welche variieren kann und mit tprocess definiert wird. tprocess0 bezeichnet dabei die Bearbeitungszeit für Datenpaket 3.
  • Wird nun ein Datenpaket 3' mit einer höheren Priorität am Eingang 4 der Firewall 2 empfangen, als das gerade in Bearbeitung 5 befindliche Datenpaket 3, wird erfindungsgemäß die Bearbeitung 5 der Regeln für das Datenpaket 3 mit der niedrigeren Priorität unterbrochen. Die Bearbeitung 5 von Datenpaket 3 wird pausiert und die Bearbeitung 5 von Datenpaket 3' beginnt. Die bisher benötigte Bearbeitungszeit für Datenpaket 3 wird als tprocess0.1 definiert.
  • Damit die Bearbeitung eines Datenpakets 3 unterbrochen und später wieder aufgenommen werden kann, wird vorgeschlagen, der Firewall 2 einen Zwischenspeicher zu integrieren. Hier kann das Datenpaket 3 sowie weitere Datenpakete abgelegt werden, so lange diese sich nicht in der Bearbeitung 5 befinden.
  • Die Bearbeitung 5 dauert für das höher priorisierte Datenpaket 3' die Zeit tprocess1.1. Wird nun ein Datenpaket 3" mit einer höheren Priorität am Eingang 4 der Firewall 2 empfangen, als das gerade in Bearbeitung 5 befindliche Datenpaket 3', wird erfindungsgemäß die Bearbeitung 5 der Regeln für das Datenpaket 3' unterbrochen. Die Bearbeitung 5 von Datenpaket 3' wird pausiert und die Bearbeitung 5 von Datenpaket 3" beginnt. Die bisher benötigte Bearbeitungszeit für Datenpaket 3' wird als tprocess1.1 definiert.
  • Damit die Bearbeitung eines Datenpakets 3' ebenfalls unterbrochen und später wieder aufgenommen werden kann, wird vorgeschlagen, das Datenpaket 3' eebenfalls in dem Zwischenspeicher zu speichern. Hier kann das Datenpaket 3' sowie weitere Datenpakete abgelegt werden, so lange diese sich nicht in der Bearbeitung 5 befinden.
  • Nachdem alle Regeln durch die Bearbeitung 5 in der Firewall 2 für das Datenpaket 3" abgearbeitet wurden, ist das Bearbeitungsende erreicht. Entsprechend des Ergebnisses der Bearbeitung wird nun eine Firewall-Aktion durchgeführt, was bspw. das Weiterleiten des Datenpakets 3" an den Ausgang der Firewall 2 sein kann. Die Bearbeitungszeit für Datenpaket 3" wird als tprocess2 definiert.
  • Nachdem das hochpriorisierte Datenpaket 3" abgearbeitet wurde, kann nun das nächsthöher priorisierte Datenpaket 3' wieder aus dem Zwischenspeicher entnommen werden und der weiteren Bearbeitung 5 zugeführt werden. Die Bearbeitung 5 wird dazu an der Stelle fortgeführt, wo abgebrochen wurde. Es werden also nun nicht mehr alle Regeln abgearbeitet, sondern nur noch die bisher nicht bearbeiteten Regeln. Damit wird nun nur noch die Differenz an Zeit tprocess1.2 benötigt, welche durch tprocess1 und der bisher benötigten Bearbeitungszeit für Datenpaket 3' tprocess1.1 definiert ist.
  • Anschließend sind alle Regeln auch für das Datenpaket 3' abgearbeitet und entsprechend des Ergebnisses der Bearbeitung wird nun eine Firewall-Aktion durchgeführt, was bspw. das Weiterleiten des Datenpakets 3' an den Ausgang der Firewall 2 sein kann.
  • Nachdem das höher priorisierte Datenpaket 3' abgearbeitet wurde, kann nun das niedrig priorisierte Datenpaket 3 wieder aus dem Zwischenspeicher entnommen werden und der weiteren Bearbeitung 5 zugeführt werden. Die Bearbeitung 5 wird dazu an der Stelle fortgeführt, wo abgebrochen wurde. Es werden also nun nicht mehr alle Regeln abgearbeitet, sondern nur noch die bisher nicht bearbeiteten Regeln. Damit wird nun nur noch die Differenz an Zeit tprocess0.2 benötigt, welche durch tprocess0 und der bisher benötigten Bearbeitungszeit für Datenpaket 3 tprocess0.1 definiert ist.
  • Anschließend sind alle Regeln auch für das Datenpaket 3 abgearbeitet und entsprechend des Ergebnisses der Bearbeitung wird nun eine Firewall-Aktion durchgeführt, was bspw. das Weiterleiten des Datenpakets 3 an den Ausgang der Firewall 2 sein kann.
  • 3 zeigt ein erfindungsgemäßes Verfahren mit einer Firewall 2 in einem Netzwerk 1, jedoch mit vier Datenpakete 3, 3', 3'', 3''' mit unterschiedlichen Prioritäten. Das Datenpaket 3'' ist dabei das höchstpriorisierte, Datenpaket 3' das nächsthöher priorisierte, Datenpaket 3''' ist das zweitniedrigst priorisierte und Datenpaket 3 das niedrigst priorisierte. Die Firewall 2 beinhaltet definierbare Regeln, nach welchen eingehende Datenpakete 3 untersucht werden. Je nach Ergebnis der Untersuchung wird anschließend eine Firewall-Aktion ausgeführt, was ein Senden der Datenpakete 3 oder ein Verwerfen der Datenpakete 3 beinhalten kann.
  • Das erste, am Eingang 4 der Firewall 2 ankommende Datenpaket 3 wird zur Bearbeitung 5 weitergeleitet. Die Bearbeitung 5 beinhaltet das Abarbeiten der Regeln, welche in der Firewall definiert wurden.
  • Je nach Arbeitslast der Firewall, seiner Leistungsfähigkeit und der Anzahl der zu verarbeitenden Datenpakete 3, 3', 3'', 3''', benötigt die Bearbeitung der Filterregeln eine bestimmte Zeit, welche variieren kann und mit tprocess definiert wird. tprocess0 bezeichnet dabei die Bearbeitungszeit für Datenpaket 3.
  • Wird nun ein Datenpaket 3' mit einer höheren Priorität am Eingang 4 der Firewall 2 empfangen, als das gerade in Bearbeitung 5 befindliche Datenpaket 3, wird erfindungsgemäß die Bearbeitung 5 der Regeln für das Datenpaket 3 mit der niedrigeren Priorität unterbrochen. Die Bearbeitung 5 von Datenpaket 3 wird pausiert und die Bearbeitung 5 von Datenpaket 3' beginnt. Die bisher benötigte Bearbeitungszeit für Datenpaket 3 wird als tprocess0.1 definiert.
  • Damit die Bearbeitung eines Datenpakets 3 unterbrochen und später wieder aufgenommen werden kann, wird vorgeschlagen, der Firewall 2 einen Zwischenspeicher zu integrieren. Hier kann das Datenpaket 3 sowie weitere Datenpakete abgelegt werden, so lange diese sich nicht in der Bearbeitung 5 befinden.
  • Wird nun ein Datenpaket 3" mit einer höheren Priorität am Eingang 4 der Firewall 2 empfangen, als das gerade in Bearbeitung 5 befindliche Datenpaket 3', wird erfindungsgemäß die Bearbeitung 5 der Regeln für das Datenpaket 3' mit der niedrigeren Priorität unterbrochen. Die Bearbeitung 5 von Datenpaket 3' wird pausiert und die Bearbeitung 5 von Datenpaket 3" beginnt. Die bisher benötigte Bearbeitungszeit für Datenpaket 3' wird als tprocess1.1 definiert.
  • Damit die Bearbeitung eines Datenpakets 3' unterbrochen und später wieder aufgenommen werden kann, wird vorgeschlagen, das Datenpaket 3 sowie weitere Datenpakete im Zwischenspeicher abzulegen, so lange diese sich nicht in der Bearbeitung 5 befinden.
  • Wird nun ein Datenpaket 3''' mit einer niedrigeren Priorität am Eingang 4 der Firewall 2 empfangen, als das Datenpaket 3'', welches sich gerade in der Bearbeitung 5 befindet, wird die Bearbeitung nicht unterbrochen und das Datenpaket 3''' in den Zwischenspeicher zur späteren Bearbeitung gespeichert.
  • Vorteilhafter Weise wird vorgeschlagen, zu den Datenpaketen im Zwischenspeicher jeweils die bisherigen Bearbeitungszeiten und/oder die bereits bearbeiteten Regeln zu speichern, um bei Entnahme der Datenpakete aus dem Zwischenspeicher die noch zu bearbeiteten Regeln bestimmen zu können.
  • Nachdem alle Regeln durch die Bearbeitung 5 in der Firewall 2 für das Datenpaket 3" abgearbeitet wurden, ist das Bearbeitungsende erreicht. Entsprechend des Ergebnisses der Bearbeitung wird nun eine Firewall-Aktion durchgeführt, was bspw. das Weiterleiten des Datenpakets 3" an den Ausgang der Firewall 2 sein kann. Die Bearbeitungszeit für Datenpaket 3" wird als tprocess2 definiert.
  • Nachdem das hochpriorisierte Datenpaket 3" abgearbeitet wurde, kann nun das nächsthöher priorisierte Datenpaket 3' wieder aus dem Zwischenspeicher entnommen werden und der weiteren Bearbeitung 5 zugeführt werden. Die Bearbeitung 5 wird dazu an der Stelle fortgeführt, wo abgebrochen wurde. Es werden also nun nicht mehr alle Regeln abgearbeitet, sondern nur noch die bisher nicht bearbeiteten Regeln. Damit wird nun nur noch die Differenz an Zeit tprocess1.2 benötigt, welche durch tprocess1 und der bisher benötigten Bearbeitungszeit für Datenpaket 3' tprocess1.1 definiert ist.
  • Anschließend sind alle Regeln auch für das Datenpaket 3' abgearbeitet und entsprechend des Ergebnisses der Bearbeitung wird nun eine Firewall-Aktion durchgeführt, was bspw. das Weiterleiten des Datenpakets 3' an den Ausgang der Firewall 2 sein kann.
  • Nachdem das Datenpaket 3' abgearbeitet wurde, kann nun das nächsthöher priorisierte Datenpaket 3''' wieder aus dem Zwischenspeicher entnommen werden und der weiteren Bearbeitung 5 zugeführt werden. Die Bearbeitung 5 wird dazu von Beginn an gestartet, da das Datenpaket 3''' bisher nicht bearbeitet wurde. Damit wird nun volle Bearbeitungszeit Zeit tprocess3 benötigt.
  • Anschließend sind alle Regeln auch für das Datenpaket 3''' abgearbeitet und entsprechend des Ergebnisses der Bearbeitung wird nun eine Firewall-Aktion durchgeführt, was bspw. das Weiterleiten des Datenpakets 3''' an den Ausgang der Firewall 2 sein kann.
  • Nachdem das Datenpaket 3''' abgearbeitet wurde, kann nun das niedrigst priorisierte Datenpaket 3 wieder aus dem Zwischenspeicher entnommen werden und der weiteren Bearbeitung 5 zugeführt werden. Die Bearbeitung 5 wird dazu an der Stelle fortgeführt, wo abgebrochen wurde. Es werden also nun nicht mehr alle Regeln abgearbeitet, sondern nur noch die bisher nicht bearbeiteten Regeln. Damit wird nun nur noch die Differenz an Zeit tprocess0.2 benötigt, welche durch tprocess0 und der bisher benötigten Bearbeitungszeit für Datenpaket 3 tprocess0.1 definiert ist.
  • Anschließend sind alle Regeln auch für das Datenpaket 3 abgearbeitet und entsprechend des Ergebnisses der Bearbeitung wird nun eine Firewall-Aktion durchgeführt, was bspw. das Weiterleiten des Datenpakets 3 an den Ausgang der Firewall 2 sein kann.
  • Bezugszeichenliste
    • 1
    Netzwerk
    2
    Firewall
    3
    Datenpaket
    3'
    Datenpaket
    3"
    Datenpaket
    3'''
    Datenpaket
    4
    Eingang
    5
    Bearbeitung
    6
    Ausgang
    7
    Bearbeitungsbeginn von 3
    7'
    Bearbeitung 7 fortführen
    8
    Pausieren von 3, Bearbeitungsbeginn von 3'
    9
    Bearbeitungsende von 3'
    10
    Bearbeitungsende von 3

Claims (14)

  1. Verfahren, um Datenpakete (3, 3', 3'', 3'''} in einem Netzwerk (1) zu festlegbaren Zeiten am Empfänger ankommen zu lassen, mit einer Firewall (2) in einem Computernetzwerk (1), welche Filterregeln beinhaltet, mit einem Zwischenspeicher in der Firewall (2), dadurch gekennzeichnet, dass jedem Datenpaket eine Priorisierung für die Verarbeitung in der Firewall (2) zugewiesen wird, dass eine Firewall-Aktion für das jeweiligen Datenpaket (3, 3', 3'', 3''') nach Ablauf der Verarbeitung der Filterregeln vorgesehen wird wobei die Verarbeitung der Filterregeln unterbrochen wird, sobald ein weiteres Datenpaket (3', 3'', 3''') mit höherer Priorisierung als die Priorisierung des gerade verarbeiteten Datenpakets (3, 3', 3''') an der Firewall eintrifft und das Datenpaket (3, 3', 3'''), für welche die Verarbeitung unterbrochen wurde, in den Zwischenspeicher für eine spätere Verarbeitung gespeichert wird.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Firewall-Aktion ein Weiterleiten des Datenpakets (3, 3', 3'', 3''') zu einem Ausgang der Firewall (2) beinhaltet.
  3. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Firewall-Aktion ein Verwerfen des Datenpakets (3, 3', 3'', 3''') beinhaltet.
  4. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass die Firewall-Aktion ein Markieren des Datenpakets (3, 3', 3'', 3''') beinhaltet.
  5. Verfahren nach Anspruch 4, dadurch gekennzeichnet, dass das Markieren die noch ausstehenden Filterregeln, welche durch die Firewall (2) noch nicht bearbeitet wurden, beinhaltet.
  6. Verfahren nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass ein jeweiliges Datenpaket (3, 3', 3''') nach Entnahme aus dem Zwischenspeicher aus diesem gelöscht wird.
  7. Verfahren nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass eine Zeiterfassung der Datenpakete (3, 3', 3'', 3''') bei Ankunft am Eingang (4) der Firewall (2) erfolgt.
  8. Verfahren nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, dass die im Zwischenspeicher gespeicherten Datenpakete (3, 3', 3''') nach ihrer Priorisierung geordnet sind.
  9. Verfahren nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, dass die Priorisierung der Datenpakete (3, 3', 3'', 3''') durch die Firewall geschieht.
  10. Verfahren nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, dass die Priorisierung der Datenpakete (3, 3', 3'', 3''') durch weitere Netzwerkteilnehmer geschieht.
  11. Verfahren nach einem der Ansprüche 1 bis 10, dadurch gekennzeichnet, dass die Priorisierung dem Datenpaket (3, 3', 3'', 3''') zugefügt wird.
  12. Verfahren nach einem der Ansprüche 1 bis 11, dadurch gekennzeichnet, dass mehrere Bearbeitungen (5) gleichzeitig durch die Firewall (2) durchgeführt werden.
  13. Verfahren nach Anspruch 12, dadurch gekennzeichnet, dass die Unterbrechung der Bearbeitung eines Datenpakets erfolgt, wenn eine der Bearbeitungen (5) ein niedriger priorisiertes Datenpaket bearbeitet.
  14. Verfahren nach einem der Ansprüche 1 bis 13, dadurch gekennzeichnet, dass der Zwischenspeicher als nicht flüchtiger Speicher ausgeführt ist.
DE102023104055.3A 2022-02-18 2023-02-17 Priorisierung für zeitdeterministische Firewalls Pending DE102023104055A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102022103928 2022-02-18
DE102022103928.5 2022-02-18

Publications (1)

Publication Number Publication Date
DE102023104055A1 true DE102023104055A1 (de) 2023-08-24

Family

ID=85285049

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102023104055.3A Pending DE102023104055A1 (de) 2022-02-18 2023-02-17 Priorisierung für zeitdeterministische Firewalls

Country Status (2)

Country Link
DE (1) DE102023104055A1 (de)
WO (1) WO2023156635A1 (de)

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3876687B2 (ja) * 2001-10-30 2007-02-07 ソニー株式会社 通信処理装置、および通信処理方法、並びにコンピュータ・プログラム
JP5953998B2 (ja) * 2012-07-10 2016-07-20 富士通株式会社 パケット処理装置およびパケット処理方法

Also Published As

Publication number Publication date
WO2023156635A1 (de) 2023-08-24

Similar Documents

Publication Publication Date Title
DE69924057T2 (de) Verfahren, Ablauffolgesteuerung, intelligenter Pufferspeicher, Prozessor und Telekommunikationssystem zum Verteilen verfügbahrer Bandbreite
DE60036031T2 (de) Zuweisung von prioritätsstufen in einem datenfluss
DE112020002509T5 (de) System und verfahren zur erleichterung der effizienten paketinjektion in einen ausgangspuffer in einer netzwerkschnittstellensteuerung (nic)
DE69636825T2 (de) Verzögerungsminimalisierungssystem mit garantierter Bandbreite für Echtzeitverkehr
DE112013004750B4 (de) Verwaltung von Aushungern und Überlastung in einem zweidimensionalen Netz mit Flusskontrolle
DE60036312T2 (de) Setzen von prioritäten für daten mit flusssteuerung
EP2882144B1 (de) Verfahren und Filteranordnung zum Filtern von über einen seriellen Datenbus eines Kommunikationsnetzwerks in einem Teilnehmer des Netzwerks eingehenden Nachrichten
DE102005022110A1 (de) Flußsteuerungsverfahren und -vorrichtung für das Eintreffen einzelner Pakete auf einem bidirektionalen Ringverbund
EP0827358A1 (de) Verfahren zum optimierten Übertragen von ATM-Zellen über Verbindungsabschnitte
DE102007038964A1 (de) Verfahren und Vorrichtung zum Verarbeiten von Netzwerkdaten
DE69018052T2 (de) Verfahren und System zur Glättung und Überwachung der Datenraten von asynchronen Zeitmultiplexübertragungen.
DE102012222367A1 (de) Hybrid-Management von eingaben- und belegungsabhängigen Überlastungen
DE102020105776A1 (de) Kostengünstige Überlastungsisolierung für verlustfreies Ethernet
DE60303444T2 (de) Ablaufsteuerung unter verwendung von quantumwerten und defizitwerten
DE102011007603A1 (de) Verfahren und Vorrichtung zur Verarbeitung von Datenelementen mit minimaler Latenzzeit
DE102017113482A1 (de) Verfahren und System zur Übertragung und latenzarmen schritthaltenden Weiterverarbeitung und/oder Ausgabe eines Audiodatenstroms
DE102023104055A1 (de) Priorisierung für zeitdeterministische Firewalls
DE102008001548B4 (de) Teilnehmerknoten eines Kommunikationssystems, Kommunikationssystem und Verfahren zum Übertragen einer Nachricht in dem Kommunikationssystem
EP1805952B1 (de) Verfahren zur übermittlung von in form von datenpaketen zur verfügung stehenden daten
EP2466406A1 (de) Verfahren zur automatischen Erzeugung von Dynamic Frame Packgruppen
DE60300827T2 (de) Kommunikationssystem und Verfahren mit einer Vorrichtung zur Warteschlangenbildung pro Dienst
DE60036493T2 (de) Datenflusssteuerung
DE10052904B4 (de) Warteschlangenbildungsverfahren zur Weiterleitung von Paketen in Folge
DE102021112166B3 (de) Verfahren zur Verteilung eines Netzwerkstroms
EP2538618A1 (de) Verfahren zur Übertragung von Datenpaketen

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0043080000

Ipc: H04L0043120000

R083 Amendment of/additions to inventor(s)