FI119303B - Anslutningsbarhet mellan stateful brandmurar - Google Patents

Anslutningsbarhet mellan stateful brandmurar Download PDF

Info

Publication number
FI119303B
FI119303B FI20055295A FI20055295A FI119303B FI 119303 B FI119303 B FI 119303B FI 20055295 A FI20055295 A FI 20055295A FI 20055295 A FI20055295 A FI 20055295A FI 119303 B FI119303 B FI 119303B
Authority
FI
Finland
Prior art keywords
message
receipt
customer terminal
customer
tcp connection
Prior art date
Application number
FI20055295A
Other languages
English (en)
Finnish (fi)
Other versions
FI20055295A (sv
FI20055295A0 (sv
Inventor
Antti Maekelae
Original Assignee
Teliasonera Ab
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Teliasonera Ab filed Critical Teliasonera Ab
Publication of FI20055295A0 publication Critical patent/FI20055295A0/sv
Priority to FI20055295A priority Critical patent/FI119303B/sv
Priority to DK06764483T priority patent/DK1792468T3/da
Priority to AT06764483T priority patent/ATE385121T1/de
Priority to PCT/FI2006/050238 priority patent/WO2006131600A1/en
Priority to ES06764483T priority patent/ES2299169T3/es
Priority to DE602006000489T priority patent/DE602006000489T2/de
Priority to EP06764483A priority patent/EP1792468B1/en
Priority to US11/663,098 priority patent/US8332532B2/en
Publication of FI20055295A publication Critical patent/FI20055295A/sv
Priority to NO20071396A priority patent/NO337990B1/no
Application granted granted Critical
Publication of FI119303B publication Critical patent/FI119303B/sv

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0254Stateful filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Communication Control (AREA)
  • Stereo-Broadcasting Methods (AREA)
  • Circuits Of Receivers In General (AREA)
  • Exchange Systems With Centralized Control (AREA)
  • Reduction Or Emphasis Of Bandwidth Of Signals (AREA)

Claims (10)

1. Förfarande för att bilda en TCP-förbindelse mellan en första kundterminal (100; A) och en andra kundterminal (102; B), vilken 5 första kundterminal är skyddad med en första stateful brandmur (108; FW A) och sagda andra kundterminal är skyddad med en andra stateful brandmur (110; FW B), och bäda kundterminaler omfattar medel för att sända meddelanden tili varandra via en meddelande-server (116; IM), kännetecknat av, att förfarandet omfattar: 10 överenskommande om bildningen av en TCP-förbindelse mellan kundterminalerna genom att sända (200) ett meddelande frän den första kundterminalen (A) tili den andra kundterminalen (B) via meddelandeservern (IM), vilket meddelande omfattar ätminstone kund-terminalernas portnummer för att användas i sagda förbindelse; 15 start (204, 206) av en procedur för att bilda en TCP-för bindelse i bäda kundterminalerna; som en respons för sändning (208, 210) av ett första hand-skakningsmeddelande av proceduren för att bilda TCP-förbindelsen sänds (216, 218) ett meddelande som indikerar ett ordningsnummer av 20 det första handskakningsmeddelandet frän bäda kundterminalerna tili . . den motsatta kundterminalen via meddelandeservern; • · · som en respons för att brandmurarna av de motsatta kund- • · · terminalerna avvisar (220, 222) det första handskakningsmeddelandet (208, 210), bildas (224, 226) ett kvitteringsmeddelande tili sagda första i.i: 25 handskakningsmeddelande i bäda kundterminaler genom ett direkt- uttag (eng. raw socket), vilket kvitteringsmeddelande omfattar det s*": mottagna ordningsnumret som ett kvitteringsnummer; och sänds (228, 230) det pä ett direktuttag baserade kvitterings-meddelandet tili den motsatta kundterminalen för tillsatskvittering (240, .···. 30 246) enligt proceduren för att bilda TCP-förbindelsen, vilken tillsats- kvittering slutför bildningen av TCP-förbindelsen. φ « · • 4 « • 44 • · ·
2. Förfarande enligt patentkrav 1, kännetecknat av, att det första handskakningsmeddelandet av proceduren för att bilda TCP-för- 35 bindelsen är ett TCP SYN -paket, varvid förfarandet vidare omfattar: • · 119305 18 bildning (212, 214) av en regel i de stateful brandmurarna som skyddar kundterminaler, vilken regel tilläter bara ett TCP SYN_ACK -paket med ett motsvarande kvitteringsnummer att gä inät igenom brandmurarna. 5
3. Förfarande enligt patentkrav 2, kännetecknat av, att för-farandet ytterligare omfattar: mottagning av det pä ett direktuttag baserade kvitterings-meddelandet (228, 230) som är sänt av den motsatta kundterminalen i 10 de stateful brandmurarna som skyddar kundterminaler; identifiering (236, 242) av kvitteringsmeddelandet som ett TCP SYN ACK -paket; och tillätning (238, 244) av kvitteringsmeddelandet att gä inät igenom brandmurarna som en respons för att kvitteringsmeddelandets 15 kvitteringsnummer motsvarar TCP SYN -paketets ordningsnummer.
4. Ett kommunikationssystem, som omfattar: - en första kundterminal (100; A); - en andra kundterminal (102; B); 20. en första stateful brandmur (108; FW A) som skyddar . . sagda första kundterminal; * · · ·’;;/* - en andra stateful brandmur (110, FW B) som skyddar v : sagda andra kundterminal; ·’.*·: - en meddelandeserver (116; IM), som är anordnad att :.· · 25 sända meddelanden mellan terminaler; : kännetecknat av, att i kommunikationssystemet: :***: kundterminalerna är anordnade att komma överens om »·· bildningen av en TCP-förbindelse mellan kundterminalerna genom att sända (200) ett meddelande frän den första kundterminalen (A) tili den • · · .M, 30 andra kundterminalen (B) via meddelandeservern (IM), vilket med- *’:** delande omfattar ätminstone kundterminalernas portnummer för att användas i sagda förbindelse; bäda kundterminalerna är anordnade att starta (204, 206) en procedur för att bilda TCP-förbindelsen genom att sända ett första 35 handskakningsmeddelande (208, 210) av proceduren för att bilda TCP-förbindelsen; 19 119303 bäda kundterminalerna är anordnade att sända (216, 218) ett meddelande, som indikerar det första handskakningsmeddelandets ordningsnummer för den motsatta kundterminalen via meddelande-servern (IM); 5 som en respons för att brandmurarna av de motsatta kund terminalerna avvisar (220, 222) det första handskakningsmeddelandet (208, 210), bäda kundterminalerna är anordnade att bilda (224, 226) ett kvitteringsmeddelande tili sagda första handskakningsmeddelande genom ett direktuttag, vilket kvitteringsmeddelande omfattar det mot-1 o tagna ordningsnumret som ett kvitteringsnummer; och bäda kundterminalerna är anordnade att sända (228, 230) det pä ett direktuttag baserade kvitteringsmeddelandet tili den motsatta kundterminalen för tilisatskvittering (240, 246) enligt proceduren för att bilda TCP-förbindelsen, vilken tillsatskvittering slutför bildningen av 15 TCP-förbindelsen.
5. Kommunikationssystem enligt patentkrav 4, kännetecknat av, att det första handskakningsmeddelandet av proceduren för att bilda TCP-förbindelsen är ett TCP SYN -paket, och 20 de stateful brandmurarna som skyddar kundterminalerna är anordnade att bilda (212, 214) en regel som tilläter bara ett TCP SYN_ACK -paket med ett motsvarande kvitteringsnummer att gä inät v : igenom brandmurarna. i · • · · « ·· •
6. Kommunikationssystem enligt patentkrav 5, känne- : tecknat av, att de stateful brandmurarna som skyddar kundterminaler ··· · * ·*": är anordnade att ··· mottaga det pä ett direktuttag baserade kvitterings-meddelandet (228, 230) som är sänt av den motsatta kundterminalen; .M. 30 identifiers (236, 242) kvitteringsmeddelandet som ett TCP SYN_ACK-paket; och tilläta (238, 244) kvitteringsmeddelandet att gä inät igenom O brandmurarna som en respons för att kvitteringsmeddelandets kvitteringsnummer motsvarar TCP SYN -paketets ordningsnummer.
7. Kommunikationssystem enligt nägot av patentkraven 4-6, kännetecknat av, att 35 • · 119303 20 meddelandeservern är en Instant Messaging Server.
8. Kundterminal (100; A) av ett telekommunikationssystem, vilken kundterminalen skydds av en stateful brandmur (108, FW A), 5 och kundterminalen omfattar medel för att sända meddelanden till ätminstone en andra kundterminal (102, B) via en meddelandeserver (116, IM), kännetecknad av, att kundterminalen omfattar: medel för att komma överens om bildningen av en TCP-för-bindelse till den andra kundterminalen (102, B) via meddelandeservern 10 (116; IM), ätminstone ett (200) av vilka meddelanden omfattar ätminstone kundterminalernas portnummer för att användas i sagda förbindelse; medel för att starta en procedur för att bilda TCP-för-bindelsen genom att sända (204) ett första handskakningsmeddelande 15 av proceduren för att bilda TCP-förbindelsen; medel för att sända ett meddelande (216), vilket med-delande indikerar det första handskakningsmeddelandets ordnings-nummer för den andra kundterminalen via meddelandeservern (IM); medel för att mottaga ett meddelande (218) via 20 meddelandeservern, vilket meddelande indikerar det första hand-. , skakningsmeddelandets ordningsnummer som sänds av den andra *’;!/ kundterminalen (102; B); :·11 medel för att bilda ett kvitteringsmeddelande (224) för sagda \*·: första handskakningsmeddelande (218) som sänds av den andra kund- :.: · 25 terminalen genom ett direktuttag, vilket kvitteringsmeddelande omfattar j#:*: det mottagna ordningsnumret som ett kvitteringsnummer; medel för att sända det pä ett direktuttag baserade kvitteringsmeddelandet (228) tili den andra kundterminalen; medel för att mottaga ett pä ett direktuttag baserade .··*. 30 kvitteringsmeddelande (230) frän den andra kundterminalen, vilket * · kvitteringsmeddelande omfattar ordningsnumret av det första hand-skakningsmeddelandet som sänds tili kundterminalen; och medel för att sända en kvittering (240) tili det mottagna pä ett direktuttag baserade kvitteringsmeddelandet, vilken kvittering slutför 35 bildningen av TCP-förbindelsen. * ♦
9. Kundterminal enligt patentkrav 8, kännetecknad av, att 119303 21 sagda medel för att sända meddelanden till ätminstone den andra kundterminalen via meddelandeserven omfattar en Instant Messaging -kundapplikation.
10. Datorprogramprodukt för bildning av en TCP-för- bindelse, vilken datorprogramprodukt är lagrad i ett datoravläsbart lagringsmedium och vilken kan utföras i en databehandlingsapparat, kännetecknad av att datorprogramprodukten omfattar: en programkodandel för att komma överens om bildningen 10 av en TCP-förbindelse till den andra kundterminalen genom att växla meddelanden via meddelandeservern, ätminstone ett av vilka meddelanden omfattar ätminstone kundterminalemas portnummer för att användas i sagda förbindelse; en programkodandel för att starta en procedur för att bilda 15 TCP-förbindelsen genom att sända ett första handskaknings-meddelande av proceduren för att bilda TCP-förbindelsen; en programkodandel för att sända ett meddelande, vilket meddelande indikerar den första handskakningsmeddelandets ordningsnummer för den andra kundterminalen via meddelande-20 servern; . . en programkodandel för att mottaga ett meddelande via • · · :;j/ meddelandeservern, vilket meddelande indikerar den första hand- !·!! skakningsmeddelandets ordningsnummer som sänds av den andra \*·: kundterminalen; :,· * 25 en programkodandel för att bilda ett kvitteringsmeddelande för sagda första handskakningsmeddelande som sänds av den andra kundterminalen genom ett direktuttag, vilket kvitteringsmeddelande omfattar det mottagna ordningsnumret som ett kvitteringsnummer; en programkodandel för att sända det pä ett direktuttag .···. 30 baserade kvitteringsmeddelandet tili den andra kundterminalen; • · *" en programkodandel för att mottaga det pä ett direktuttag \i.: baserade kvitteringsmeddelandet frän den andra kundterminalen, vilket O kvitteringsmeddelande omfattar ordningsnumret av det första hand- skakningsmeddelandet som sänds tili kundterminalen; och 35 en programkodandel för att sända en kvittering tili det mot tagna pä ett direktuttag baserade kvitteringsmeddelandet, vilken kvittering slutför bildningen av TCP-förbindelsen.
FI20055295A 2005-06-07 2005-06-07 Anslutningsbarhet mellan stateful brandmurar FI119303B (sv)

Priority Applications (9)

Application Number Priority Date Filing Date Title
FI20055295A FI119303B (sv) 2005-06-07 2005-06-07 Anslutningsbarhet mellan stateful brandmurar
ES06764483T ES2299169T3 (es) 2005-06-07 2006-06-07 Conectividad sobre cortafuegos de estado.
AT06764483T ATE385121T1 (de) 2005-06-07 2006-06-07 Konnektivität über stateful firewalls
PCT/FI2006/050238 WO2006131600A1 (en) 2005-06-07 2006-06-07 Connectivity over stateful firewalls
DK06764483T DK1792468T3 (da) 2005-06-07 2006-06-07 Konnektivitet via stateful-firewalls
DE602006000489T DE602006000489T2 (de) 2005-06-07 2006-06-07 Konnektivität über stateful firewalls
EP06764483A EP1792468B1 (en) 2005-06-07 2006-06-07 Connectivity over stateful firewalls
US11/663,098 US8332532B2 (en) 2005-06-07 2006-06-07 Connectivity over stateful firewalls
NO20071396A NO337990B1 (no) 2005-06-07 2007-03-15 Tilkoblingsbarhet over en "stateful" brannvegg

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FI20055295A FI119303B (sv) 2005-06-07 2005-06-07 Anslutningsbarhet mellan stateful brandmurar
FI20055295 2005-06-07

Publications (3)

Publication Number Publication Date
FI20055295A0 FI20055295A0 (sv) 2005-06-07
FI20055295A FI20055295A (sv) 2006-12-08
FI119303B true FI119303B (sv) 2008-09-30

Family

ID=34778432

Family Applications (1)

Application Number Title Priority Date Filing Date
FI20055295A FI119303B (sv) 2005-06-07 2005-06-07 Anslutningsbarhet mellan stateful brandmurar

Country Status (9)

Country Link
US (1) US8332532B2 (sv)
EP (1) EP1792468B1 (sv)
AT (1) ATE385121T1 (sv)
DE (1) DE602006000489T2 (sv)
DK (1) DK1792468T3 (sv)
ES (1) ES2299169T3 (sv)
FI (1) FI119303B (sv)
NO (1) NO337990B1 (sv)
WO (1) WO2006131600A1 (sv)

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7899031B2 (en) 2007-11-20 2011-03-01 Microsoft Corporation Locally terminating an established connection
JP2010200300A (ja) * 2009-01-28 2010-09-09 Meidensha Corp Tcp通信方式
US20110219113A1 (en) * 2010-03-02 2011-09-08 Grewal Avininder Pal Singh Method and system for client assisted stateful handling of packets in a communications network
US8776207B2 (en) 2011-02-16 2014-07-08 Fortinet, Inc. Load balancing in a network with session information
CN102130910B (zh) * 2011-02-28 2015-04-29 华为技术有限公司 Tcp代理插入和卸载方法及业务网关设备
US9998545B2 (en) * 2011-04-02 2018-06-12 Open Invention Network, Llc System and method for improved handshake protocol
GB201210598D0 (en) 2012-06-14 2012-08-01 Microsoft Corp Notification of communication events
GB201210600D0 (en) 2012-06-14 2012-08-01 Microsoft Corp Call invites
GB2504461B (en) * 2012-06-14 2014-12-03 Microsoft Corp Notification of communication events
CN103401890B (zh) * 2012-06-14 2017-03-01 微软技术许可有限责任公司 用于通信事件的通知的装置和方法
GB201210596D0 (en) 2012-06-14 2012-08-01 Microsoft Corp Notification of communication events
KR101563059B1 (ko) * 2012-11-19 2015-10-23 삼성에스디에스 주식회사 안티 멀웨어 시스템 및 안티 멀웨어 시스템에서의 데이터 처리 방법
US9426262B2 (en) 2014-04-07 2016-08-23 Cisco Technology, Inc. Transport control protocol sequence number recovery in stateful devices
US9825913B2 (en) * 2014-06-04 2017-11-21 Nicira, Inc. Use of stateless marking to speed up stateful firewall rule processing
GB2531586A (en) 2014-10-23 2016-04-27 Ibm Methods and systems for starting computerized system modules
US10958625B1 (en) * 2018-03-06 2021-03-23 F5 Networks, Inc. Methods for secure access to services behind a firewall and devices thereof
US11875172B2 (en) 2020-09-28 2024-01-16 VMware LLC Bare metal computer for booting copies of VM images on multiple computing devices using a smart NIC
US11995024B2 (en) 2021-12-22 2024-05-28 VMware LLC State sharing between smart NICs
US11928062B2 (en) 2022-06-21 2024-03-12 VMware LLC Accelerating data message classification with smart NICs
US11899594B2 (en) 2022-06-21 2024-02-13 VMware LLC Maintenance of data message classification cache on smart NIC

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6088796A (en) * 1998-08-06 2000-07-11 Cianfrocca; Francis Secure middleware and server control system for querying through a network firewall
US20050125532A1 (en) * 2000-05-26 2005-06-09 Gur Kimchi Traversing firewalls and nats
US7028051B1 (en) 2000-09-29 2006-04-11 Ugs Corp. Method of real-time business collaboration
AU2001297602A1 (en) * 2000-12-14 2002-09-19 Vocaltec Communications Ltd. Traversing firewalls and nats
US7043644B2 (en) * 2001-01-31 2006-05-09 Qurio Holdings, Inc. Facilitating file access from firewall-protected nodes in a peer-to-peer network
US7117267B2 (en) * 2001-06-28 2006-10-03 Sun Microsystems, Inc. System and method for providing tunnel connections between entities in a messaging system
US7207061B2 (en) * 2001-08-31 2007-04-17 International Business Machines Corporation State machine for accessing a stealth firewall
US7620808B2 (en) * 2003-06-19 2009-11-17 Nokia Corporation Security of a communication system

Also Published As

Publication number Publication date
US20080028097A1 (en) 2008-01-31
ATE385121T1 (de) 2008-02-15
FI20055295A (sv) 2006-12-08
ES2299169T3 (es) 2008-05-16
DE602006000489D1 (sv) 2008-03-13
DE602006000489T2 (de) 2009-01-22
NO20071396L (no) 2008-02-26
EP1792468A1 (en) 2007-06-06
FI20055295A0 (sv) 2005-06-07
DK1792468T3 (da) 2008-05-26
EP1792468B1 (en) 2008-01-23
US8332532B2 (en) 2012-12-11
WO2006131600A1 (en) 2006-12-14
NO337990B1 (no) 2016-07-18

Similar Documents

Publication Publication Date Title
FI119303B (sv) Anslutningsbarhet mellan stateful brandmurar
US10616379B2 (en) Seamless mobility and session continuity with TCP mobility option
US20030079146A1 (en) Method and apparatus for regulating access to a computer via a computer network
US7831715B2 (en) Communication system, communication method, and program
EP2461524B1 (en) Network proxy implementation method and apparatus
US20120054851A1 (en) Systems and methods for multiplexing network channels
US9769289B2 (en) TCP communication scheme
WO2006041080A1 (ja) ファイアウォールシステム及びファイアウォール制御方法
EP3276891B1 (en) Techniques for establishing a communication connection between two network entities via different network flows
US20070011731A1 (en) Method, system & computer program product for discovering characteristics of middleboxes
US10367893B1 (en) Method and apparatus of performing peer-to-peer communication establishment
CN101834783A (zh) 一种报文转发方法、装置及网络设备
US20070091872A1 (en) Peer-to-peer connection establishment
TW480856B (en) Device and method for communication over a network
US7564848B2 (en) Method for the establishing of connections in a communication system
EP2353258A1 (en) Client - server communications in mobile radio communications device
CN105743852B (zh) 通过http实现跨越网闸进行Socket保持连接通信的方法及系统
CN107454178B (zh) 数据传输方法及装置
CN113542395B (zh) 报文处理方法和报文处理系统
KR100660123B1 (ko) Nat 통과를 위한 브이.피.엔 서버 시스템 및 브이.피.엔클라이언트 단말기
CN114401304A (zh) 一种基于ip的去中心化端到端连接通信系统
CN106657015B (zh) 基于sdn网络的数据传输方法
CN117675829A (zh) 资源共享方法、系统、设备及介质
CN118540390A (zh) 报文处理方法、操作系统、存储介质及计算机设备
CN115883256A (zh) 基于加密隧道的数据传输方法、装置及存储介质

Legal Events

Date Code Title Description
MM Patent lapsed