FR2859549A1 - Dimensionnement automatique de donnees de traduction d'adresse de reseau - Google Patents
Dimensionnement automatique de donnees de traduction d'adresse de reseau Download PDFInfo
- Publication number
- FR2859549A1 FR2859549A1 FR0408378A FR0408378A FR2859549A1 FR 2859549 A1 FR2859549 A1 FR 2859549A1 FR 0408378 A FR0408378 A FR 0408378A FR 0408378 A FR0408378 A FR 0408378A FR 2859549 A1 FR2859549 A1 FR 2859549A1
- Authority
- FR
- France
- Prior art keywords
- private
- public
- host
- address
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2514—Translation of Internet protocol [IP] addresses between local and global IP addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2557—Translation policies or rules
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Small-Scale Networks (AREA)
Abstract
Un procédé pour générer automatiquement des données de traduction d'adresses réseau (NAT) pour permettre à un hôte privé comprenant une adresse IP privée de communiquer avec un hôte public comprenant une première adresse IP publique. Le procédé comprend de fournir un logiciel de dimensionnement de traduction d'adresses réseau automatisé qui, en réaction à un message initié par un parmi l'hôte privé et l'hôte publique, consulte une politique de sécurité associée à l'hôte privé pour déterminer si la communication entre l'hôte privé et l'hôte publique est autorisée. Le procédé comprend en outre de dimensionner automatiquement, à l'aide du logiciel et sans intervention d'un opérateur humain après la consultation, si la consultation indique que la communication entre l'hôte privé et l'hôte public est autorisée, dans une base de données une deuxième adresse IP publique pour la traduction d'adresses entre l'adresse IP privée et la deuxième adresse IP publique.
Description
DIMENSIONNEMENT AUTOMATIQUE DE DONNEES DE TRADUCTION
D'ADRESSE DE RESEAU Contexte de l'invention Les adresses IP sont utilisées depuis longtemps pour acheminer des communications entre des hôtes par le biais du réseau public, par exemple, l'Internet. Les adresses IP publiques sont des adresses qui peuvent être comprises et utilisées par des dispositifs de commutation dans le réseau public pour acheminer des informations entre des hôtes de communication. Des adresses IP privées, d'autre part, sont des adresses associées à des hôtes reliés à un réseau privé. Ces adresses IP privées permettent l'acheminement des informations dans le réseau privé mais elles ne sont pas utilisables pour l'acheminement à travers le réseau public, par exemple, pour faciliter la communication entre un hôte privé et un hôte externe qui réside dans le réseau public. Les hôtes privés sont généralement reliés à l'Internet par le biais d'un pare-feu qui sert, entre autres fonctions, à protéger les adresses de réseau privé contre l'exposition au réseau public.
Pour faciliter la discussion, la figure 1 représente une pluralité d'hôtes privés 102, 104 et 106 représentant, par exemple, des ordinateurs et/ou autres dispositifs reliés entre eux dans un réseau privé 108. Chacun des hôtes privés 102, 104 et 106 comprend une adresse IP privée, représentée comme une adresse privée 10.0.1.2, 10.0.1.3 et 10.0.1.4 respectivement pour acheminer les informations dans le réseau privé 108. Le réseau privé 108 comprend un pare-feu 110, qui représente le dispositif destiné à implémenter la sécurité et contrôler l'accès entre les dispositifs associés au réseau privé 108 et un réseau public 112.
La figure 1 représente en outre des hôtes publics 114 et 116, qui représentent dans cet exemple des dispositifs reliés au réseau public 112 et connus du réseau public 112 et d'autres dispositifs reliés au réseau public 112 (tels que des hôtes privés 102, 104 et 106 par le biais du pare-feu 110) par des adresses IP publiques respectives 200.10.1.1 et 200.10.1.2. Contrairement aux adresses IP privées associées aux hôtes privés 102, 104 et 106, chacune de ces adresses IP publiques peut être utilisée par le réseau public 112 pour acheminer des informations vers un quelconque autre dispositif qui est couplé au réseau public 112 et qui comprend une adresse IP publique.
La communication en direction et en provenance d'un hôte privé, tel que l'hôte privé 102, 104 ou 106, peut être gouvernée par une politique de sécurité.
Généralement parlant, une politique de sécurité dicte les restrictions d'accès et de services, le cas échéant, auxquelles un hôte privé est soumis. La liste d'accès est un moyen d'implémenter une politique de sécurité.
La figure 2 représente un exemple d'une liste d'accès 202 dans laquelle l'entrée de liste d'accès n 1 permet un service Telnet entre l'hôte public 114 (adresse IP publique 200.10.1.1) et l'hôte privé 102 (adresse IP privée 10.0.1.2). L'entrée de liste d'accès n 2 permet un service HTTP entre l'hôte privé 104 (adresse IP privée 10.0.1.3) et l'hôte public 114 (adresse IP publique 200.10.1.1). L'entrée de liste d'accès n 3 implémente une politique générique, permettant à un quelconque hôte dans le réseau privé 108 de communiquer avec un quelconque hôte public relié au réseau public 112 pour un service FTP. Bien que seuls ces trois exemples soient représentés, une liste d'accès peut implémenter une quelconque politique de sécurité, qu'elle soit générique pour tous les hôtes privés ou spécifique d'un ou plusieurs hôtes privés, pour permettre l'accès à un quelconque hôte public ou ensemble d'hôtes publics pour un quelconque service ou ensemble de services.
Comme cela est mentionné, des adresses IP privées ne sont pas utilisables pour acheminer les informations par le biais du réseau public. Par conséquent, une adresse IP privée d'hôte privé doit être traduite en une adresse IP publique, généralement par le pare-feu, afin que la communication ait lieu entre un hôte privé et un hôte public, c'est-àdire, un hôte relié au réseau public et connu du réseau public par une adresse IP publique. Une telle traduction est connue comme une traduction d'adresses réseau ou NAT. Généralement, un pare-feu est configuré avec des données de traduction d'adresses réseau pour réaliser la traduction d'adresse nécessaire pour permettre la communication entre un hôte privé et un hôte public, si une telle communication est permise par la politique ou les politiques de sécurité applicables.
Dans l'art antérieur, les données de traduction d'adresse réseau sont configurées manuellement par l'administrateur. Lorsqu'un hôte privé est relié initialement au réseau privé et initialisé, une politique de sécurité peut être créée pour cet hôte privé ou cet hôte privé peut être soumis à une politique de sécurité générique existante. Si l'hôte privé est autorisé à communiquer avec un quelconque hôte public, l'administrateur peut dimensionner manuellement les données de traduction d'adresses réseau en sélectionnant une adresse IP publique dans l'ensemble d'adresses IP publiques disponibles et doit associer manuellement cette adresse IP publique à la nouvelle adresse IP privée de l'hôte privé de sorte qu'une traduction d'adresses réseau future peut être réalisée.
L'association entre une adresse IP privée d'un hôte privé et une adresse IP publique à des fins de communication externe est généralement réalisée par l'administrateur 120 de la figure 1 par le biais de la création manuelle d'une ou plusieurs entrées dans une table de traduction d'adresses réseau, telle que la table de traduction d'adresses réseau 302 de la figure 3. Dans l'exemple de la figure 3, l'hôte privé 102 (adresse IP privée 10. 0.1.2) est associé à une adresse IP publique traduite 210.0.0.1, et l'hôte privé 104 (adresse IP privée 10.0.1.3) est associé à une adresse IP publique traduite 210.0.0.2. En consultant une table d'accès 202 de la figure 2 et la table de traduction d'adresses réseau 302 de la figure 3, le pare-feu 110 peut vérifier si un hôte privé est autorisé à accéder à un hôte public donné pour un service donné, et peut réaliser la traduction d'adresses réseau requise si un tel accès est permis.
Il existe, cependant, des inconvénients associés à la technique de l'art antérieur de configuration de pare-feu, en particulier en ce qui concerne le dimensionnement des données de traduction d'adresses réseau. Par exemple, l'approche manuelle est sujette aux erreurs, par exemple, l'opérateur humain peut effectuer une erreur de saisie d'une adresse IP pendant la création d'une entrée dans la table de traduction d'adresses réseau, provoquant de ce fait une violation de sécurité. En outre, l'implication de l'administrateur humain dans le dimensionnement manuel de données de traduction d'adresses réseau implique inévitablement un retard, prolongeant de manière désavantageuse le temps requis pour amener un hôte privé à son statut opérationnel.
Résumé de l'invention La présente invention concerne, dans un mode de réalisation, un procédé destiné à générer automatiquement des données de traduction d'adresses réseau (NAT) pour permettre à un hôte privé comprenant une adresse IP privée de communiquer avec un hôte public comprenant une première adresse IP publique. L'hôte privé est relié à un réseau privé. L'hôte public est relié à un réseau public. Le procédé comprend de prévoir un logiciel de dimensionnement de traduction d'adresses réseau automatisé, le logiciel, réagissant à un message initié par un parmi l'hôte privé et l'hôte public, consultant une politique de sécurité associée à l'hôte privé pour déterminer si la communication entre l'hôte privé et l'hôte public est autorisée. Le procédé comprend en outre de fournir automatiquement, à l'aide du logiciel et sans une intervention d'opérateur humain après la consultation, si la consultation indique que la communication entre l'hôte privé et l'hôte public est autorisée, dans une base de données une deuxième adresse IP publique. La deuxième adresse IP publique est utilisée comme une parmi une adresse IP source et une adresse IP de destination pour acheminer la communication entre l'hôte privé et l'hôte public à travers le réseau public.
Dans un autre mode de réalisation, la présente invention concerne un article de fabrication comprenant un support de stockage de programme comprenant un code lisible par ordinateur intégré à l'intérieur de celuici. Le code lisible par ordinateur est configuré pour générer automatiquement des données de traduction d'adresses réseau (NAT) pour permettre à un hôte privé comprenant une adresse IP privée de communiquer avec un hôte public comprenant une première adresse IP publique.
L'hôte privé est relié à un réseau privé. L'hôte public est relié à un réseau public. Il est compris un code lisible par ordinateur pour fournir un logiciel de dimensionnement de traduction d'adresses réseau automatisé. Le logiciel consulte, en réaction à un message initié par un parmi l'hôte privé et l'hôte public, une politique de sécurité associée à l'hôte privé pour déterminer si la communication entre l'hôte privé et l'hôte public est autorisée. Il est en outre compris un code lisible par ordinateur pour fournir automatiquement, dans une base de données utilisant le logiciel sans intervention humaine après la consultation, une deuxième adresse IP publique pour la traduction d'adresses entre l'adresse IP privée et la deuxième adresse IP publique. La deuxième adresse IP publique est utilisée comme une parmi une adresse IP source et une adresse IP de destination pour acheminer la communication entre l'hôte privé et l'hôte public à travers le réseau public, le dimensionnement automatique étant réalisé si la consultation indique que la communication entre l'hôte privé et l'hôte public est autorisée.
Ces caractéristiques et d'autres de la présente invention sont décrites de manière plus détaillée ci-dessus dans la description détaillée de l'invention et conjointement aux figures suivantes.
Brève description des dessins
La présente invention est illustrée à titre d'exemple et non à titre de limitation, sur les figures des dessins en annexe et sur lesquelles des numéros de référence identiques désignent des éléments similaires et sur lesquelles: La figure 1 représente une pluralité d'hôtes privés représentant, par exemple, des ordinateurs et/ou d'autres dispositifs reliés entre eux dans un réseau privé pour faciliter la discussion.
La figure 2 représente un exemple d'une liste d'accès.
La figure 3 représente un exemple d'une table de traduction d'adresses réseau (NAT).
La figure 4 illustre, selon un mode de réalisation de la présente invention, l'exemple de réseau de la figure 1, à l'exception que le parefeu est maintenant pourvu du pilote logiciel de dimensionnement de traduction d'adresses réseau automatique.
La figure 5 illustre, selon un mode de réalisation de la présente invention, le procédé implémenté par le pilote logiciel de dimensionnement de traduction d'adresses réseau automatique.
La figure 6 illustre, selon un mode de réalisation de la présente invention, les étapes suivies par le pilote logiciel de dimensionnement de traduction d'adresses réseau automatique lorsqu'un hôte privé est supprimé du réseau privé.
Description détaillée des modes de réalisation préférés La présente invention est maintenant décrite en détail en référence à quelques modes de réalisation préférés de celle-ci comme cela est illustré sur les dessins en annexe. Dans la description suivante, de nombreux détails spécifiques sont décrits afin de fournir une compréhension précise de la présente invention. Il ressortira, cependant, pour l'homme du métier que la présente invention peut être mise en pratique sans certains de ou tous ces détails spécifiques. Dans d'autres exemples, des étapes et/ou des structures de procédé bien connues ne sont pas décrites en détail afin de ne pas obscurcir inutilement la présente invention.
Dans un mode de réalisation, il est proposé un logiciel (code et/ou micrologiciel) avec le pare-feu pour configurer de manière automatique et dynamique les données de traduction d'adresses réseau réactives à des événements tels que l'ajout d'un hôte privé au réseau privé, la suppression d'un hôte privé du réseau privé et/ou le début d'une communication impliquant l'hôte privé. Dans un mode de réalisation, le pilote logiciel contrôle la liste d'accès pour vérifier la politique de sécurité concernant un hôte privé pour lequel la traduction d'adresses IP peut être requise et configure automatiquement la table de traduction d'adresses réseau en fonction de la politique de sécurité vérifiée.
Une intelligence est intégrée dans le logiciel pour gérer les situations dans lesquelles plusieurs politiques s'appliquent à l'hôte privé en question, pour vérifier si une adresse IP publique dédiée est requise selon que la communication est entrante ou sortante et pour supprimer automatiquement une entrée de traduction d'adresses réseau lorsque l'hôte privé associé à cette entrée de traduction d'adresses réseau est supprimé du réseau privé.
Les caractéristiques et avantages de la présente invention peuvent être mieux compris en référence aux
figures et à la description qui suit. La figure 4
illustre, selon un mode de réalisation de la présente invention, l'exemple de réseau de la figure 1, à l'exception que le pare-feu 410 est maintenant pourvu d'un pilote logiciel de dimensionnement de traduction d'adresses réseau automatique 402. Contrairement à la figure 1, le dimensionnement des données de traduction d'adresses réseau au pare-feu destiné à être utilisé pour faciliter la communication en direction et en provenance des hôtes privés est maintenant exécuté automatiquement par le logiciel de dimensionnement de traduction d'adresses réseau automatique 402. Ainsi, des inconvénients associés à la technique de dimensionnement manuel sont éliminés de manière avantageuse.
La figure 5 illustre, selon un mode de réalisation de la présente invention, le procédé implémenté par le pilote logiciel 402. Les étapes de la figure 5 sont généralement réalisées pendant le temps d'exécution lorsqu'un changement est apporté à la liste d'accès, par exemple, lorsqu'il existe un ajout ou une suppression d'un hôte privé ou lorsqu'il existe un changement de politique de sécurité qui affecte un ou plusieurs des hôtes privés. Dans un mode de réalisation, la liste d'accès peut être mise à jour automatiquement dans le pare-feu par un logiciel de découverte automatique, qui détecte automatiquement la topologie du réseau privé et/ou l'ajout/la suppression d'un dispositif du réseau privé, notamment l'identité du dispositif ajouté/supprimé.
Dans un mode de réalisation, l'attribution d'une adresse IP publique se produit uniquement lorsqu'une communication est initiée (publique vers privée ou privée vers publique). De cette manière, l'ensemble d'adresses IP publiques disponible pour le réseau privé reste libre autant que possible et une adresse IP publique est attribuée uniquement lorsqu'une communication réelle est sur le point de se produire.
A l'étape 502, la liste d'accès est consultée pour vérifier, pour un hôte privé, si la communication est autorisée. La communication peut être sortante (c'est-à-dire lancée par l'hôte privé pour communiquer avec un hôte public), entrante (c'est-à-dire lancée par l'hôte public pour communiquer avec l'hôte privé) ou privé à privé (c'est-à-dire depuis un hôte privé vers un autre hôte privé).
Si la communication est sortante et est autorisée selon la liste d'accès, une adresse IP publique partagée est attribuée (étape 504) et le logiciel configure la table de traduction d'adresses réseau (506) pour permettre au pare-feu de traduire l'adresse IP privée de l'hôte privé en une adresse publique afin de permettre à la communication entre l'hôte privé et l'hôte public d'avoir lieu par le biais du réseau public. Il est à noter que dans ce cas, l'utilisation d'une adresse IP publique partagée est possible puisque l'hôte public est capable de vérifier, à partir de la communication lancée par l'hôte privé, l'adresse IP publique partagée à utiliser dans l'envoi d'informations en retour vers l'hôte privé.
Si la communication est entrante et est autorisée selon la liste d'accès, une adresse IP publique dédiée est attribuée (étape 514) et le logiciel configure la table de traduction d'adresses réseau (étape 516) pour permettre au pare-feu de traduire l'adresse IP privée de l'hôte privé en une adresse publique afin de permettre à la communication entre l'hôte privé et l'hôte public d'avoir lieu par le biais du réseau public. Il est à noter que dans ce cas, une adresse IP publique dédiée est utilisée puisque l'hôte public, étant l'initiateur, connaît uniquement l'hôte privé par l'adresse IP publique dédiée.
D'autres part, si la communication est privé à privé et autorisée selon la liste d'accès, aucune traduction n'est requise et ainsi aucune action n'est entreprise par rapport au dimensionnement de la table de traduction d'adresses réseau (étape 518).
La figure 6 illustre, selon un mode de réalisation de la présente invention, les étapes suivies par le pilote logiciel 402 lorsqu'un hôte privé est supprimé du réseau privé. Comme cela est mentionné, la suppression d'un hôte privé du réseau privé peut être vérifiée automatiquement (602), par exemple, par un mécanisme de découverte automatique ou par le biais d'un autre mécanisme de notification. A l'étape 604, l'entrée de traduction d'adresses réseau associée à l'hôte privé supprimé est supprimée de la table de traduction d'adresses réseau.
La présente invention est particulièrement bien adaptée pour gérer des politiques de sécurité génériques. Une politique de sécurité générique peut être définie comme une politique de sécurité qui s'applique à un hôte privé en fonction de facteurs autres que l'identité spécifique de l'hôte privé. Une entrée de liste d'accès n 3 sur la figure 2 est un tel exemple, dans lequel le facteur est le type de service (FTP dans ce cas). Ainsi, selon l'entrée de liste d'accès n 3, un quelconque hôte privé, quelle que soit son adresse IP privée spécifique, peut réaliser un service FTP avec un quelconque hôte public.
Dans le cas d'une politique générique, le logiciel peut être configuré pour fournir la table de traduction d'adresses réseau pour l'hôte privé affecté uniquement lorsque cela est nécessaire. Contrairement à l'art antérieur dans lequel l'administrateur doit configurer manuellement une entrée de traduction d'adresses réseau pour chacun des hôtes privés affectés dès lors qu'il existe une politique générique, la présente invention élimine de manière avantageuse cette étape laborieuse. En ce qui concerne la politique générique de l'entrée de liste d'accès n 3 de la figure 2, par exemple, la création d'une telle politique signifie que l'administrateur, dans l'art antérieur, doit créer manuellement un grand nombre d'entrées de traduction d'adresses réseau pour permettre à chaque hôte privé relié au réseau privé d'utiliser le service FTP avec un hôte public.
Avec la présente invention, l'attribution d'une adresse IP publique attribuée est réalisée uniquement lorsque le service FTP requis, soit par l'hôte privé ou par l'hôte public. L'efficacité est optimisée puisque l'attribution ne requiert pas l'implication humaine et par conséquent, ne souffre pas d'erreurs humaines induites. En outre, le dimensionnement de traduction d'adresses réseau implémenté par logiciel se produit automatiquement et à une vitesse d'ordinateur, ce qui est sensiblement plus rapide que ce qui peut être réalisé manuellement par un administrateur humain. En outre, les adresses IP publiques attribuées ne sont pas gaspillées puisque l'attribution peut se produire uniquement lorsque la communication est sur le point de commencer.
Dans le cas d'une politique générique comme l'entrée de liste d'accès n 3 sur la figure 2, les 2859549 14 entrées de traduction d'adresses réseau sont générées automatiquement pour tous les dispositifs auxquels la politique générique s'applique dans le sous-réseau privé. Les entrées de traduction d'adresses IP sont de préférence générées avant que la communication ne soit sur le point de commencer, c'est-à-dire avant que la liste d'accès sur le pare-feu ne soit configurée.
Il doit être noté que pendant l'étape d'attribution 504 et 514, le logiciel est assez intelligent pour vérifier si l'hôte privé s'est déjà vu attribuer une adresse IP publique, par exemple en consultant la table de traduction d'adresses réseau existante. Par exemple, il peut exister deux politiques de sécurité affectant un hôte privé unique. Dans ce cas, l'attribution peut se produire une seule fois, c'est-à-dire, le logiciel n'attribue pas deux adresses IP publiques différentes à l'hôte privé dans ce cas.
Comme cela peut être apprécié de ce qui précède, la présente invention élimine de manière avantageuse les erreurs humaines potentielles induites associées à la technique de dimensionnement de traduction d'adresses réseau manuel. En outre, le dimensionnement automatique de données de traduction d'adresses réseau à une vitesse d'ordinateur en fonction, par exemple, d'un changement de politique de sécurité et/ou d'un changement de liste d'accès et/ou d'une notification provenant du mécanisme de découverte automatique ou provenant d'autres mécanismes de notification concernant l'ajout/la suppression d'un hôte privé, raccourcit sensiblement le temps requis pour mettre à jour les données de traduction d'adresses réseau pour un acheminement de communication précis.
Alors que la présente invention a été décrite en termes de plusieurs modes de réalisation préférés, il existe des modifications, permutations et similaires qui tombent dans la portée de la présente invention. Il doit également être noté qu'il existe de nombreuses variantes d'implémentation des procédés et dispositifs de la présente invention. Il est, par conséquent, visé que les revendications suivantes soient interprétées comme comprenant toutes ces modifications, permutations et similaires selon la portée réelle de la présente invention.
Claims (1)
16 REVENDICATIONS
1. Procédé destiné à générer automatiquement des données de traduction d'adresses réseau (NAT) pour permettre à un hôte privé (102) comprenant une adresse IP privée de communiquer avec un hôte public (114) comprenant une première adresse IP publique, ledit hôte privé étant relié à un réseau privé (108), ledit hôte public étant relié à un réseau public (112) , comprenant.
fournir un logiciel de dimensionnement de traduction d'adresses réseau automatisé (402), ledit logiciel, en réaction à une communication initiée par un parmi ledit hôte privé (102) et ledit hôte public (114), consultant une politique de sécurité (502) associée audit hôte privé (102) pour déterminer si ladite communication entre ledit hôte privé (102) et ledit hôte public (114) est autorisée; et si ladite consultation indique que ladite communication entre ledit hôte privé et ledit hôte public est autorisée, dimensionner automatiquement, à l'aide dudit logiciel et sans intervention d'un opérateur humain après ladite consultation, dans une base de données une deuxième adresse IP publique (504/514) pour une traduction d'adresse entre ladite adresse IP privée et ladite deuxième adresse IP publique, ladite deuxième adresse IP publique étant utilisée comme une parmi une adresse IP source et une adresse IP de destination pour acheminer ladite communication entre ledit hôte privé (102) et ledit hôte public (114) à travers ledit réseau public (112).
2. Procédé selon la revendication 1, dans lequel ladite politique de sécurité est implémentée à l'aide d'une liste d'accès (202).
3. Procédé selon la revendication 2, dans lequel ladite deuxième adresse IP publique représente une adresse IP publique partagée (504) si ladite communication est initiée par ledit hôte privé.
4. Procédé selon la revendication 2, dans lequel ladite deuxième adresse IP publique représente une adresse IP publique dédiée (514) si ladite communication est initiée par ledit hôte public.
5. Procédé selon la revendication 1, dans lequel ladite base de données représente une table de traduction d'adresses réseau (NAT) (302).
6. Procédé selon la revendication 1, comprenant: la détection (602) d'une suppression dudit hôte privé dudit réseau privé ; et la suppression (604), à l'aide dudit logiciel, de ladite deuxième adresse IP publique de ladite base de données en réaction à ladite détection de ladite suppression dudit hôte privé.
7. Procédé selon la revendication 1, dans lequel ladite politique de sécurité représente une politique 30 de sécurité générique.
8. Procédé selon la revendication 7, comprenant en outre la génération automatique de données de traduction d'adresses réseau pour tous les hôtes privés affectés par ladite politique générique après que ladite politique générique est modifiée à l'aide dudit logiciel.
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US10/656,041 US20050053063A1 (en) | 2003-09-04 | 2003-09-04 | Automatic provisioning of network address translation data |
Publications (2)
Publication Number | Publication Date |
---|---|
FR2859549A1 true FR2859549A1 (fr) | 2005-03-11 |
FR2859549B1 FR2859549B1 (fr) | 2007-03-23 |
Family
ID=34194684
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
FR0408378A Expired - Fee Related FR2859549B1 (fr) | 2003-09-04 | 2004-07-29 | Dimensionnement automatique de donnees de traduction d'adresse de reseau |
Country Status (3)
Country | Link |
---|---|
US (1) | US20050053063A1 (fr) |
JP (1) | JP4459755B2 (fr) |
FR (1) | FR2859549B1 (fr) |
Families Citing this family (31)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3674634B2 (ja) * | 2002-05-23 | 2005-07-20 | 松下電器産業株式会社 | 情報処理システム |
JP4346869B2 (ja) * | 2002-06-26 | 2009-10-21 | パナソニック株式会社 | 電子機器、及び情報処理方法 |
CN1315306C (zh) * | 2002-09-30 | 2007-05-09 | 松下电器产业株式会社 | 信息处理装置以及接收装置 |
US8661158B2 (en) | 2003-12-10 | 2014-02-25 | Aventail Llc | Smart tunneling to resources in a network |
US8590032B2 (en) * | 2003-12-10 | 2013-11-19 | Aventail Llc | Rule-based routing to resources through a network |
CN1930834A (zh) * | 2004-01-30 | 2007-03-14 | 松下电器产业株式会社 | 通信系统、信息处理系统、信息处理装置、隧道管理装置、信息处理方法、隧道管理方法及程序 |
US7142107B2 (en) | 2004-05-27 | 2006-11-28 | Lawrence Kates | Wireless sensor unit |
US8033479B2 (en) | 2004-10-06 | 2011-10-11 | Lawrence Kates | Electronically-controlled register vent for zone heating and cooling |
WO2006044820A2 (fr) | 2004-10-14 | 2006-04-27 | Aventail Corporation | Routage fonde sur des regles et dirige vers des ressources, dans un reseau |
WO2007005947A1 (fr) | 2005-07-01 | 2007-01-11 | Terahop Networks, Inc. | Acheminement de reseau non deterministe et deterministe |
JP5072314B2 (ja) * | 2006-10-20 | 2012-11-14 | キヤノン株式会社 | 文書管理システム、文書管理方法、文書管理プログラム、記憶媒体 |
WO2009151877A2 (fr) | 2008-05-16 | 2009-12-17 | Terahop Networks, Inc. | Systèmes et appareil de fixation d’un conteneur |
US8727611B2 (en) | 2010-11-19 | 2014-05-20 | Nest Labs, Inc. | System and method for integrating sensors in thermostats |
US9104211B2 (en) | 2010-11-19 | 2015-08-11 | Google Inc. | Temperature controller with model-based time to target calculation and display |
US8843239B2 (en) * | 2010-11-19 | 2014-09-23 | Nest Labs, Inc. | Methods, systems, and related architectures for managing network connected thermostats |
US9046898B2 (en) | 2011-02-24 | 2015-06-02 | Google Inc. | Power-preserving communications architecture with long-polling persistent cloud channel for wireless network-connected thermostat |
US9268344B2 (en) | 2010-11-19 | 2016-02-23 | Google Inc. | Installation of thermostat powered by rechargeable battery |
US10346275B2 (en) | 2010-11-19 | 2019-07-09 | Google Llc | Attributing causation for energy usage and setpoint changes with a network-connected thermostat |
US8850348B2 (en) | 2010-12-31 | 2014-09-30 | Google Inc. | Dynamic device-associated feedback indicative of responsible device usage |
US9448567B2 (en) | 2010-11-19 | 2016-09-20 | Google Inc. | Power management in single circuit HVAC systems and in multiple circuit HVAC systems |
US9459018B2 (en) | 2010-11-19 | 2016-10-04 | Google Inc. | Systems and methods for energy-efficient control of an energy-consuming system |
US9453655B2 (en) | 2011-10-07 | 2016-09-27 | Google Inc. | Methods and graphical user interfaces for reporting performance information for an HVAC system controlled by a self-programming network-connected thermostat |
US20120198020A1 (en) * | 2011-02-02 | 2012-08-02 | Verizon Patent And Licensing, Inc. | Content distribution within a service provider network |
US8944338B2 (en) | 2011-02-24 | 2015-02-03 | Google Inc. | Thermostat with self-configuring connections to facilitate do-it-yourself installation |
US8893032B2 (en) | 2012-03-29 | 2014-11-18 | Google Inc. | User interfaces for HVAC schedule display and modification on smartphone or other space-limited touchscreen device |
US9222693B2 (en) | 2013-04-26 | 2015-12-29 | Google Inc. | Touchscreen device user interface for remote control of a thermostat |
US9890970B2 (en) | 2012-03-29 | 2018-02-13 | Google Inc. | Processing and reporting usage information for an HVAC system controlled by a network-connected thermostat |
US10142159B2 (en) | 2012-08-14 | 2018-11-27 | Benu Networks, Inc. | IP address allocation |
US8620841B1 (en) | 2012-08-31 | 2013-12-31 | Nest Labs, Inc. | Dynamic distributed-sensor thermostat network for forecasting external events |
US8539567B1 (en) | 2012-09-22 | 2013-09-17 | Nest Labs, Inc. | Multi-tiered authentication methods for facilitating communications amongst smart home devices and cloud-based servers |
US20160373405A1 (en) * | 2015-06-16 | 2016-12-22 | Amazon Technologies, Inc. | Managing dynamic ip address assignments |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030009561A1 (en) * | 2001-06-14 | 2003-01-09 | Sollee Patrick N. | Providing telephony services to terminals behind a firewall and /or network address translator |
US20030084162A1 (en) * | 2001-10-31 | 2003-05-01 | Johnson Bruce L. | Managing peer-to-peer access to a device behind a firewall |
US20030110262A1 (en) * | 2001-07-06 | 2003-06-12 | Taqi Hasan | Integrated rule network management system |
US20030154306A1 (en) * | 2002-02-11 | 2003-08-14 | Perry Stephen Hastings | System and method to proxy inbound connections to privately addressed hosts |
Family Cites Families (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7113508B1 (en) * | 1995-11-03 | 2006-09-26 | Cisco Technology, Inc. | Security system for network address translation systems |
US5793763A (en) * | 1995-11-03 | 1998-08-11 | Cisco Technology, Inc. | Security system for network address translation systems |
WO1997040610A2 (fr) * | 1996-04-24 | 1997-10-30 | Northern Telecom Limited | Filtre internet protocole |
JPH11122301A (ja) * | 1997-10-20 | 1999-04-30 | Fujitsu Ltd | アドレス変換接続装置 |
US6535511B1 (en) * | 1999-01-07 | 2003-03-18 | Cisco Technology, Inc. | Method and system for identifying embedded addressing information in a packet for translation between disparate addressing systems |
US6594268B1 (en) * | 1999-03-11 | 2003-07-15 | Lucent Technologies Inc. | Adaptive routing system and method for QOS packet networks |
US7047561B1 (en) * | 2000-09-28 | 2006-05-16 | Nortel Networks Limited | Firewall for real-time internet applications |
US6944167B1 (en) * | 2000-10-24 | 2005-09-13 | Sprint Communications Company L.P. | Method and apparatus for dynamic allocation of private address space based upon domain name service queries |
KR100360274B1 (ko) * | 2000-12-30 | 2002-11-09 | 엘지전자 주식회사 | Nat 기반 로컬망에서 범용 ip 전화통신 시스템을지원하는 방법 |
US7050422B2 (en) * | 2001-02-20 | 2006-05-23 | Innomedia Pte, Ltd. | System and method for providing real time connectionless communication of media data through a firewall |
US7120701B2 (en) * | 2001-02-22 | 2006-10-10 | Intel Corporation | Assigning a source address to a data packet based on the destination of the data packet |
US6993595B1 (en) * | 2001-12-28 | 2006-01-31 | Nortel Networks Limited | Address translation change identification |
US7154891B1 (en) * | 2002-04-23 | 2006-12-26 | Juniper Networks, Inc. | Translating between globally unique network addresses |
TWI234969B (en) * | 2002-11-26 | 2005-06-21 | Ind Tech Res Inst | Dynamic network address translation system and method of transparent private network device |
-
2003
- 2003-09-04 US US10/656,041 patent/US20050053063A1/en not_active Abandoned
-
2004
- 2004-07-29 FR FR0408378A patent/FR2859549B1/fr not_active Expired - Fee Related
- 2004-08-25 JP JP2004244753A patent/JP4459755B2/ja not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030009561A1 (en) * | 2001-06-14 | 2003-01-09 | Sollee Patrick N. | Providing telephony services to terminals behind a firewall and /or network address translator |
US20030110262A1 (en) * | 2001-07-06 | 2003-06-12 | Taqi Hasan | Integrated rule network management system |
US20030084162A1 (en) * | 2001-10-31 | 2003-05-01 | Johnson Bruce L. | Managing peer-to-peer access to a device behind a firewall |
US20030154306A1 (en) * | 2002-02-11 | 2003-08-14 | Perry Stephen Hastings | System and method to proxy inbound connections to privately addressed hosts |
Also Published As
Publication number | Publication date |
---|---|
FR2859549B1 (fr) | 2007-03-23 |
US20050053063A1 (en) | 2005-03-10 |
JP2005086807A (ja) | 2005-03-31 |
JP4459755B2 (ja) | 2010-04-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
FR2859549A1 (fr) | Dimensionnement automatique de donnees de traduction d'adresse de reseau | |
EP3632087B1 (fr) | Sélection d'une tranche de réseau relative à une application | |
EP3704833B1 (fr) | Procédé d'application d'un correctif sur une fonction réseau virtualisée à mettre à jour | |
EP0599706A2 (fr) | Dispositif de traitement de l'information permettant la gestion d'une ressource informatique par un système d'administration | |
CA2767179A1 (fr) | Procede et systeme pour deployer a la volee et sur demande au moins un reseau virtuel | |
FR2801754A1 (fr) | Methode pour assigner une double adresse ip a un poste de travail relie a un reseau de transmission de donnees ip | |
FR2923969A1 (fr) | Procede de gestion de trames dans un reseau global de communication, produit programme d'ordinateur, moyen de stockage et tete de tunnel correspondants | |
EP3503508A1 (fr) | Procédé de traitement de requêtes et serveur proxy | |
EP2294798B1 (fr) | Procede de routage d'un paquet de donnees dans un reseau et dispositif associe | |
EP3395090B1 (fr) | Procede de controle d'un module d'identite de souscripteur embarque | |
WO2018193191A1 (fr) | Procédé de gestion d'un système informatique en nuage | |
FR2842377A1 (fr) | Systeme et procede de configuration automatique et de lancement d'applications clients telnet 3270 dans un environnement windows | |
EP1337074A1 (fr) | Système de gestion de réseau avec validation de règles | |
CA2349773A1 (fr) | Procede destine a assurer un controle d'acces pour et/ou vis-a-vis d'utilisateurs accedant par des terminaux au reseau internet, au travers d'un noeud d'acces prive, et agencements pour la mise en oeuvre d'un tel procede | |
EP2064845B1 (fr) | Procede pour configurer le profil de qualite de service d'un flot donne au niveau d'un noeud d'acces d'un reseau de communication par paquets | |
US11374903B1 (en) | Systems and methods for managing devices | |
EP2847939A1 (fr) | Systeme de transmission de donnees | |
FR3014583A1 (fr) | Procede d'etablissement d'une relation de confiance entre deux locataires dans un reseau en nuage | |
EP1501241B1 (fr) | Procédé d'approvisionnement de règles de politique dans un réseau géré à base de règles de politique | |
FR2908196A1 (fr) | Procede de transfert de donnees multimedia | |
WO2014154973A1 (fr) | Procede de stockage de donnees dans un systeme informatique effectuant une deduplication de donnees | |
WO2021105626A1 (fr) | Procede de coordination de la mitigation d'une attaque informatique, dispositif et systeme associes | |
EP4082232A1 (fr) | Procede de configuration d'un equipement utilisateur, equipement utilisateur, et entite de gestion de regles | |
EP2579545B1 (fr) | Méthode d'attribution d'une adresse réseau publique à un équipement disposant d'une adresse réseau privée | |
EP4145798B1 (fr) | Procédé de configuration d'une jonction pour un routage conforme au protocole de passerelle de bordure _ bgp et routeur de bordure associé |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
ST | Notification of lapse |
Effective date: 20140331 |