FI119303B - Anslutningsbarhet mellan stateful brandmurar - Google Patents
Anslutningsbarhet mellan stateful brandmurar Download PDFInfo
- Publication number
- FI119303B FI119303B FI20055295A FI20055295A FI119303B FI 119303 B FI119303 B FI 119303B FI 20055295 A FI20055295 A FI 20055295A FI 20055295 A FI20055295 A FI 20055295A FI 119303 B FI119303 B FI 119303B
- Authority
- FI
- Finland
- Prior art keywords
- message
- receipt
- customer terminal
- customer
- tcp connection
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0254—Stateful filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Communication Control (AREA)
- Stereo-Broadcasting Methods (AREA)
- Circuits Of Receivers In General (AREA)
- Exchange Systems With Centralized Control (AREA)
- Reduction Or Emphasis Of Bandwidth Of Signals (AREA)
Claims (10)
1. Förfarande för att bilda en TCP-förbindelse mellan en första kundterminal (100; A) och en andra kundterminal (102; B), vilken 5 första kundterminal är skyddad med en första stateful brandmur (108; FW A) och sagda andra kundterminal är skyddad med en andra stateful brandmur (110; FW B), och bäda kundterminaler omfattar medel för att sända meddelanden tili varandra via en meddelande-server (116; IM), kännetecknat av, att förfarandet omfattar: 10 överenskommande om bildningen av en TCP-förbindelse mellan kundterminalerna genom att sända (200) ett meddelande frän den första kundterminalen (A) tili den andra kundterminalen (B) via meddelandeservern (IM), vilket meddelande omfattar ätminstone kund-terminalernas portnummer för att användas i sagda förbindelse; 15 start (204, 206) av en procedur för att bilda en TCP-för bindelse i bäda kundterminalerna; som en respons för sändning (208, 210) av ett första hand-skakningsmeddelande av proceduren för att bilda TCP-förbindelsen sänds (216, 218) ett meddelande som indikerar ett ordningsnummer av 20 det första handskakningsmeddelandet frän bäda kundterminalerna tili . . den motsatta kundterminalen via meddelandeservern; • · · som en respons för att brandmurarna av de motsatta kund- • · · terminalerna avvisar (220, 222) det första handskakningsmeddelandet (208, 210), bildas (224, 226) ett kvitteringsmeddelande tili sagda första i.i: 25 handskakningsmeddelande i bäda kundterminaler genom ett direkt- uttag (eng. raw socket), vilket kvitteringsmeddelande omfattar det s*": mottagna ordningsnumret som ett kvitteringsnummer; och sänds (228, 230) det pä ett direktuttag baserade kvitterings-meddelandet tili den motsatta kundterminalen för tillsatskvittering (240, .···. 30 246) enligt proceduren för att bilda TCP-förbindelsen, vilken tillsats- kvittering slutför bildningen av TCP-förbindelsen. φ « · • 4 « • 44 • · ·
2. Förfarande enligt patentkrav 1, kännetecknat av, att det första handskakningsmeddelandet av proceduren för att bilda TCP-för- 35 bindelsen är ett TCP SYN -paket, varvid förfarandet vidare omfattar: • · 119305 18 bildning (212, 214) av en regel i de stateful brandmurarna som skyddar kundterminaler, vilken regel tilläter bara ett TCP SYN_ACK -paket med ett motsvarande kvitteringsnummer att gä inät igenom brandmurarna. 5
3. Förfarande enligt patentkrav 2, kännetecknat av, att för-farandet ytterligare omfattar: mottagning av det pä ett direktuttag baserade kvitterings-meddelandet (228, 230) som är sänt av den motsatta kundterminalen i 10 de stateful brandmurarna som skyddar kundterminaler; identifiering (236, 242) av kvitteringsmeddelandet som ett TCP SYN ACK -paket; och tillätning (238, 244) av kvitteringsmeddelandet att gä inät igenom brandmurarna som en respons för att kvitteringsmeddelandets 15 kvitteringsnummer motsvarar TCP SYN -paketets ordningsnummer.
4. Ett kommunikationssystem, som omfattar: - en första kundterminal (100; A); - en andra kundterminal (102; B); 20. en första stateful brandmur (108; FW A) som skyddar . . sagda första kundterminal; * · · ·’;;/* - en andra stateful brandmur (110, FW B) som skyddar v : sagda andra kundterminal; ·’.*·: - en meddelandeserver (116; IM), som är anordnad att :.· · 25 sända meddelanden mellan terminaler; : kännetecknat av, att i kommunikationssystemet: :***: kundterminalerna är anordnade att komma överens om »·· bildningen av en TCP-förbindelse mellan kundterminalerna genom att sända (200) ett meddelande frän den första kundterminalen (A) tili den • · · .M, 30 andra kundterminalen (B) via meddelandeservern (IM), vilket med- *’:** delande omfattar ätminstone kundterminalernas portnummer för att användas i sagda förbindelse; bäda kundterminalerna är anordnade att starta (204, 206) en procedur för att bilda TCP-förbindelsen genom att sända ett första 35 handskakningsmeddelande (208, 210) av proceduren för att bilda TCP-förbindelsen; 19 119303 bäda kundterminalerna är anordnade att sända (216, 218) ett meddelande, som indikerar det första handskakningsmeddelandets ordningsnummer för den motsatta kundterminalen via meddelande-servern (IM); 5 som en respons för att brandmurarna av de motsatta kund terminalerna avvisar (220, 222) det första handskakningsmeddelandet (208, 210), bäda kundterminalerna är anordnade att bilda (224, 226) ett kvitteringsmeddelande tili sagda första handskakningsmeddelande genom ett direktuttag, vilket kvitteringsmeddelande omfattar det mot-1 o tagna ordningsnumret som ett kvitteringsnummer; och bäda kundterminalerna är anordnade att sända (228, 230) det pä ett direktuttag baserade kvitteringsmeddelandet tili den motsatta kundterminalen för tilisatskvittering (240, 246) enligt proceduren för att bilda TCP-förbindelsen, vilken tillsatskvittering slutför bildningen av 15 TCP-förbindelsen.
5. Kommunikationssystem enligt patentkrav 4, kännetecknat av, att det första handskakningsmeddelandet av proceduren för att bilda TCP-förbindelsen är ett TCP SYN -paket, och 20 de stateful brandmurarna som skyddar kundterminalerna är anordnade att bilda (212, 214) en regel som tilläter bara ett TCP SYN_ACK -paket med ett motsvarande kvitteringsnummer att gä inät v : igenom brandmurarna. i · • · · « ·· •
6. Kommunikationssystem enligt patentkrav 5, känne- : tecknat av, att de stateful brandmurarna som skyddar kundterminaler ··· · * ·*": är anordnade att ··· mottaga det pä ett direktuttag baserade kvitterings-meddelandet (228, 230) som är sänt av den motsatta kundterminalen; .M. 30 identifiers (236, 242) kvitteringsmeddelandet som ett TCP SYN_ACK-paket; och tilläta (238, 244) kvitteringsmeddelandet att gä inät igenom O brandmurarna som en respons för att kvitteringsmeddelandets kvitteringsnummer motsvarar TCP SYN -paketets ordningsnummer.
7. Kommunikationssystem enligt nägot av patentkraven 4-6, kännetecknat av, att 35 • · 119303 20 meddelandeservern är en Instant Messaging Server.
8. Kundterminal (100; A) av ett telekommunikationssystem, vilken kundterminalen skydds av en stateful brandmur (108, FW A), 5 och kundterminalen omfattar medel för att sända meddelanden till ätminstone en andra kundterminal (102, B) via en meddelandeserver (116, IM), kännetecknad av, att kundterminalen omfattar: medel för att komma överens om bildningen av en TCP-för-bindelse till den andra kundterminalen (102, B) via meddelandeservern 10 (116; IM), ätminstone ett (200) av vilka meddelanden omfattar ätminstone kundterminalernas portnummer för att användas i sagda förbindelse; medel för att starta en procedur för att bilda TCP-för-bindelsen genom att sända (204) ett första handskakningsmeddelande 15 av proceduren för att bilda TCP-förbindelsen; medel för att sända ett meddelande (216), vilket med-delande indikerar det första handskakningsmeddelandets ordnings-nummer för den andra kundterminalen via meddelandeservern (IM); medel för att mottaga ett meddelande (218) via 20 meddelandeservern, vilket meddelande indikerar det första hand-. , skakningsmeddelandets ordningsnummer som sänds av den andra *’;!/ kundterminalen (102; B); :·11 medel för att bilda ett kvitteringsmeddelande (224) för sagda \*·: första handskakningsmeddelande (218) som sänds av den andra kund- :.: · 25 terminalen genom ett direktuttag, vilket kvitteringsmeddelande omfattar j#:*: det mottagna ordningsnumret som ett kvitteringsnummer; medel för att sända det pä ett direktuttag baserade kvitteringsmeddelandet (228) tili den andra kundterminalen; medel för att mottaga ett pä ett direktuttag baserade .··*. 30 kvitteringsmeddelande (230) frän den andra kundterminalen, vilket * · kvitteringsmeddelande omfattar ordningsnumret av det första hand-skakningsmeddelandet som sänds tili kundterminalen; och medel för att sända en kvittering (240) tili det mottagna pä ett direktuttag baserade kvitteringsmeddelandet, vilken kvittering slutför 35 bildningen av TCP-förbindelsen. * ♦
9. Kundterminal enligt patentkrav 8, kännetecknad av, att 119303 21 sagda medel för att sända meddelanden till ätminstone den andra kundterminalen via meddelandeserven omfattar en Instant Messaging -kundapplikation.
10. Datorprogramprodukt för bildning av en TCP-för- bindelse, vilken datorprogramprodukt är lagrad i ett datoravläsbart lagringsmedium och vilken kan utföras i en databehandlingsapparat, kännetecknad av att datorprogramprodukten omfattar: en programkodandel för att komma överens om bildningen 10 av en TCP-förbindelse till den andra kundterminalen genom att växla meddelanden via meddelandeservern, ätminstone ett av vilka meddelanden omfattar ätminstone kundterminalemas portnummer för att användas i sagda förbindelse; en programkodandel för att starta en procedur för att bilda 15 TCP-förbindelsen genom att sända ett första handskaknings-meddelande av proceduren för att bilda TCP-förbindelsen; en programkodandel för att sända ett meddelande, vilket meddelande indikerar den första handskakningsmeddelandets ordningsnummer för den andra kundterminalen via meddelande-20 servern; . . en programkodandel för att mottaga ett meddelande via • · · :;j/ meddelandeservern, vilket meddelande indikerar den första hand- !·!! skakningsmeddelandets ordningsnummer som sänds av den andra \*·: kundterminalen; :,· * 25 en programkodandel för att bilda ett kvitteringsmeddelande för sagda första handskakningsmeddelande som sänds av den andra kundterminalen genom ett direktuttag, vilket kvitteringsmeddelande omfattar det mottagna ordningsnumret som ett kvitteringsnummer; en programkodandel för att sända det pä ett direktuttag .···. 30 baserade kvitteringsmeddelandet tili den andra kundterminalen; • · *" en programkodandel för att mottaga det pä ett direktuttag \i.: baserade kvitteringsmeddelandet frän den andra kundterminalen, vilket O kvitteringsmeddelande omfattar ordningsnumret av det första hand- skakningsmeddelandet som sänds tili kundterminalen; och 35 en programkodandel för att sända en kvittering tili det mot tagna pä ett direktuttag baserade kvitteringsmeddelandet, vilken kvittering slutför bildningen av TCP-förbindelsen.
Priority Applications (9)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FI20055295A FI119303B (sv) | 2005-06-07 | 2005-06-07 | Anslutningsbarhet mellan stateful brandmurar |
ES06764483T ES2299169T3 (es) | 2005-06-07 | 2006-06-07 | Conectividad sobre cortafuegos de estado. |
AT06764483T ATE385121T1 (de) | 2005-06-07 | 2006-06-07 | Konnektivität über stateful firewalls |
PCT/FI2006/050238 WO2006131600A1 (en) | 2005-06-07 | 2006-06-07 | Connectivity over stateful firewalls |
DK06764483T DK1792468T3 (da) | 2005-06-07 | 2006-06-07 | Konnektivitet via stateful-firewalls |
DE602006000489T DE602006000489T2 (de) | 2005-06-07 | 2006-06-07 | Konnektivität über stateful firewalls |
EP06764483A EP1792468B1 (en) | 2005-06-07 | 2006-06-07 | Connectivity over stateful firewalls |
US11/663,098 US8332532B2 (en) | 2005-06-07 | 2006-06-07 | Connectivity over stateful firewalls |
NO20071396A NO337990B1 (no) | 2005-06-07 | 2007-03-15 | Tilkoblingsbarhet over en "stateful" brannvegg |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FI20055295A FI119303B (sv) | 2005-06-07 | 2005-06-07 | Anslutningsbarhet mellan stateful brandmurar |
FI20055295 | 2005-06-07 |
Publications (3)
Publication Number | Publication Date |
---|---|
FI20055295A0 FI20055295A0 (sv) | 2005-06-07 |
FI20055295A FI20055295A (sv) | 2006-12-08 |
FI119303B true FI119303B (sv) | 2008-09-30 |
Family
ID=34778432
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
FI20055295A FI119303B (sv) | 2005-06-07 | 2005-06-07 | Anslutningsbarhet mellan stateful brandmurar |
Country Status (9)
Country | Link |
---|---|
US (1) | US8332532B2 (sv) |
EP (1) | EP1792468B1 (sv) |
AT (1) | ATE385121T1 (sv) |
DE (1) | DE602006000489T2 (sv) |
DK (1) | DK1792468T3 (sv) |
ES (1) | ES2299169T3 (sv) |
FI (1) | FI119303B (sv) |
NO (1) | NO337990B1 (sv) |
WO (1) | WO2006131600A1 (sv) |
Families Citing this family (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7899031B2 (en) | 2007-11-20 | 2011-03-01 | Microsoft Corporation | Locally terminating an established connection |
JP2010200300A (ja) * | 2009-01-28 | 2010-09-09 | Meidensha Corp | Tcp通信方式 |
US20110219113A1 (en) * | 2010-03-02 | 2011-09-08 | Grewal Avininder Pal Singh | Method and system for client assisted stateful handling of packets in a communications network |
US8776207B2 (en) | 2011-02-16 | 2014-07-08 | Fortinet, Inc. | Load balancing in a network with session information |
CN102130910B (zh) * | 2011-02-28 | 2015-04-29 | 华为技术有限公司 | Tcp代理插入和卸载方法及业务网关设备 |
US9998545B2 (en) * | 2011-04-02 | 2018-06-12 | Open Invention Network, Llc | System and method for improved handshake protocol |
GB201210598D0 (en) | 2012-06-14 | 2012-08-01 | Microsoft Corp | Notification of communication events |
GB201210600D0 (en) | 2012-06-14 | 2012-08-01 | Microsoft Corp | Call invites |
GB2504461B (en) * | 2012-06-14 | 2014-12-03 | Microsoft Corp | Notification of communication events |
CN103401890B (zh) * | 2012-06-14 | 2017-03-01 | 微软技术许可有限责任公司 | 用于通信事件的通知的装置和方法 |
GB201210596D0 (en) | 2012-06-14 | 2012-08-01 | Microsoft Corp | Notification of communication events |
KR101563059B1 (ko) * | 2012-11-19 | 2015-10-23 | 삼성에스디에스 주식회사 | 안티 멀웨어 시스템 및 안티 멀웨어 시스템에서의 데이터 처리 방법 |
US9426262B2 (en) | 2014-04-07 | 2016-08-23 | Cisco Technology, Inc. | Transport control protocol sequence number recovery in stateful devices |
US9825913B2 (en) * | 2014-06-04 | 2017-11-21 | Nicira, Inc. | Use of stateless marking to speed up stateful firewall rule processing |
GB2531586A (en) | 2014-10-23 | 2016-04-27 | Ibm | Methods and systems for starting computerized system modules |
US10958625B1 (en) * | 2018-03-06 | 2021-03-23 | F5 Networks, Inc. | Methods for secure access to services behind a firewall and devices thereof |
US11875172B2 (en) | 2020-09-28 | 2024-01-16 | VMware LLC | Bare metal computer for booting copies of VM images on multiple computing devices using a smart NIC |
US11995024B2 (en) | 2021-12-22 | 2024-05-28 | VMware LLC | State sharing between smart NICs |
US11928062B2 (en) | 2022-06-21 | 2024-03-12 | VMware LLC | Accelerating data message classification with smart NICs |
US11899594B2 (en) | 2022-06-21 | 2024-02-13 | VMware LLC | Maintenance of data message classification cache on smart NIC |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6088796A (en) * | 1998-08-06 | 2000-07-11 | Cianfrocca; Francis | Secure middleware and server control system for querying through a network firewall |
US20050125532A1 (en) * | 2000-05-26 | 2005-06-09 | Gur Kimchi | Traversing firewalls and nats |
US7028051B1 (en) | 2000-09-29 | 2006-04-11 | Ugs Corp. | Method of real-time business collaboration |
AU2001297602A1 (en) * | 2000-12-14 | 2002-09-19 | Vocaltec Communications Ltd. | Traversing firewalls and nats |
US7043644B2 (en) * | 2001-01-31 | 2006-05-09 | Qurio Holdings, Inc. | Facilitating file access from firewall-protected nodes in a peer-to-peer network |
US7117267B2 (en) * | 2001-06-28 | 2006-10-03 | Sun Microsystems, Inc. | System and method for providing tunnel connections between entities in a messaging system |
US7207061B2 (en) * | 2001-08-31 | 2007-04-17 | International Business Machines Corporation | State machine for accessing a stealth firewall |
US7620808B2 (en) * | 2003-06-19 | 2009-11-17 | Nokia Corporation | Security of a communication system |
-
2005
- 2005-06-07 FI FI20055295A patent/FI119303B/sv not_active IP Right Cessation
-
2006
- 2006-06-07 EP EP06764483A patent/EP1792468B1/en not_active Not-in-force
- 2006-06-07 WO PCT/FI2006/050238 patent/WO2006131600A1/en active IP Right Grant
- 2006-06-07 US US11/663,098 patent/US8332532B2/en not_active Expired - Fee Related
- 2006-06-07 AT AT06764483T patent/ATE385121T1/de not_active IP Right Cessation
- 2006-06-07 ES ES06764483T patent/ES2299169T3/es active Active
- 2006-06-07 DK DK06764483T patent/DK1792468T3/da active
- 2006-06-07 DE DE602006000489T patent/DE602006000489T2/de active Active
-
2007
- 2007-03-15 NO NO20071396A patent/NO337990B1/no not_active IP Right Cessation
Also Published As
Publication number | Publication date |
---|---|
US20080028097A1 (en) | 2008-01-31 |
ATE385121T1 (de) | 2008-02-15 |
FI20055295A (sv) | 2006-12-08 |
ES2299169T3 (es) | 2008-05-16 |
DE602006000489D1 (sv) | 2008-03-13 |
DE602006000489T2 (de) | 2009-01-22 |
NO20071396L (no) | 2008-02-26 |
EP1792468A1 (en) | 2007-06-06 |
FI20055295A0 (sv) | 2005-06-07 |
DK1792468T3 (da) | 2008-05-26 |
EP1792468B1 (en) | 2008-01-23 |
US8332532B2 (en) | 2012-12-11 |
WO2006131600A1 (en) | 2006-12-14 |
NO337990B1 (no) | 2016-07-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
FI119303B (sv) | Anslutningsbarhet mellan stateful brandmurar | |
US10616379B2 (en) | Seamless mobility and session continuity with TCP mobility option | |
US20030079146A1 (en) | Method and apparatus for regulating access to a computer via a computer network | |
US7831715B2 (en) | Communication system, communication method, and program | |
EP2461524B1 (en) | Network proxy implementation method and apparatus | |
US20120054851A1 (en) | Systems and methods for multiplexing network channels | |
US9769289B2 (en) | TCP communication scheme | |
WO2006041080A1 (ja) | ファイアウォールシステム及びファイアウォール制御方法 | |
EP3276891B1 (en) | Techniques for establishing a communication connection between two network entities via different network flows | |
US20070011731A1 (en) | Method, system & computer program product for discovering characteristics of middleboxes | |
US10367893B1 (en) | Method and apparatus of performing peer-to-peer communication establishment | |
CN101834783A (zh) | 一种报文转发方法、装置及网络设备 | |
US20070091872A1 (en) | Peer-to-peer connection establishment | |
TW480856B (en) | Device and method for communication over a network | |
US7564848B2 (en) | Method for the establishing of connections in a communication system | |
EP2353258A1 (en) | Client - server communications in mobile radio communications device | |
CN105743852B (zh) | 通过http实现跨越网闸进行Socket保持连接通信的方法及系统 | |
CN107454178B (zh) | 数据传输方法及装置 | |
CN113542395B (zh) | 报文处理方法和报文处理系统 | |
KR100660123B1 (ko) | Nat 통과를 위한 브이.피.엔 서버 시스템 및 브이.피.엔클라이언트 단말기 | |
CN114401304A (zh) | 一种基于ip的去中心化端到端连接通信系统 | |
CN106657015B (zh) | 基于sdn网络的数据传输方法 | |
CN117675829A (zh) | 资源共享方法、系统、设备及介质 | |
CN118540390A (zh) | 报文处理方法、操作系统、存储介质及计算机设备 | |
CN115883256A (zh) | 基于加密隧道的数据传输方法、装置及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
MM | Patent lapsed |