FR2859549A1 - Dimensionnement automatique de donnees de traduction d'adresse de reseau - Google Patents

Dimensionnement automatique de donnees de traduction d'adresse de reseau Download PDF

Info

Publication number
FR2859549A1
FR2859549A1 FR0408378A FR0408378A FR2859549A1 FR 2859549 A1 FR2859549 A1 FR 2859549A1 FR 0408378 A FR0408378 A FR 0408378A FR 0408378 A FR0408378 A FR 0408378A FR 2859549 A1 FR2859549 A1 FR 2859549A1
Authority
FR
France
Prior art keywords
private
public
host
address
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR0408378A
Other languages
English (en)
Other versions
FR2859549B1 (fr
Inventor
Sajeev Madhavan
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hewlett Packard Development Co LP
Original Assignee
Hewlett Packard Development Co LP
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hewlett Packard Development Co LP filed Critical Hewlett Packard Development Co LP
Publication of FR2859549A1 publication Critical patent/FR2859549A1/fr
Application granted granted Critical
Publication of FR2859549B1 publication Critical patent/FR2859549B1/fr
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2514Translation of Internet protocol [IP] addresses between local and global IP addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2557Translation policies or rules

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Small-Scale Networks (AREA)

Abstract

Un procédé pour générer automatiquement des données de traduction d'adresses réseau (NAT) pour permettre à un hôte privé comprenant une adresse IP privée de communiquer avec un hôte public comprenant une première adresse IP publique. Le procédé comprend de fournir un logiciel de dimensionnement de traduction d'adresses réseau automatisé qui, en réaction à un message initié par un parmi l'hôte privé et l'hôte publique, consulte une politique de sécurité associée à l'hôte privé pour déterminer si la communication entre l'hôte privé et l'hôte publique est autorisée. Le procédé comprend en outre de dimensionner automatiquement, à l'aide du logiciel et sans intervention d'un opérateur humain après la consultation, si la consultation indique que la communication entre l'hôte privé et l'hôte public est autorisée, dans une base de données une deuxième adresse IP publique pour la traduction d'adresses entre l'adresse IP privée et la deuxième adresse IP publique.

Description

DIMENSIONNEMENT AUTOMATIQUE DE DONNEES DE TRADUCTION
D'ADRESSE DE RESEAU Contexte de l'invention Les adresses IP sont utilisées depuis longtemps pour acheminer des communications entre des hôtes par le biais du réseau public, par exemple, l'Internet. Les adresses IP publiques sont des adresses qui peuvent être comprises et utilisées par des dispositifs de commutation dans le réseau public pour acheminer des informations entre des hôtes de communication. Des adresses IP privées, d'autre part, sont des adresses associées à des hôtes reliés à un réseau privé. Ces adresses IP privées permettent l'acheminement des informations dans le réseau privé mais elles ne sont pas utilisables pour l'acheminement à travers le réseau public, par exemple, pour faciliter la communication entre un hôte privé et un hôte externe qui réside dans le réseau public. Les hôtes privés sont généralement reliés à l'Internet par le biais d'un pare-feu qui sert, entre autres fonctions, à protéger les adresses de réseau privé contre l'exposition au réseau public.
Pour faciliter la discussion, la figure 1 représente une pluralité d'hôtes privés 102, 104 et 106 représentant, par exemple, des ordinateurs et/ou autres dispositifs reliés entre eux dans un réseau privé 108. Chacun des hôtes privés 102, 104 et 106 comprend une adresse IP privée, représentée comme une adresse privée 10.0.1.2, 10.0.1.3 et 10.0.1.4 respectivement pour acheminer les informations dans le réseau privé 108. Le réseau privé 108 comprend un pare-feu 110, qui représente le dispositif destiné à implémenter la sécurité et contrôler l'accès entre les dispositifs associés au réseau privé 108 et un réseau public 112.
La figure 1 représente en outre des hôtes publics 114 et 116, qui représentent dans cet exemple des dispositifs reliés au réseau public 112 et connus du réseau public 112 et d'autres dispositifs reliés au réseau public 112 (tels que des hôtes privés 102, 104 et 106 par le biais du pare-feu 110) par des adresses IP publiques respectives 200.10.1.1 et 200.10.1.2. Contrairement aux adresses IP privées associées aux hôtes privés 102, 104 et 106, chacune de ces adresses IP publiques peut être utilisée par le réseau public 112 pour acheminer des informations vers un quelconque autre dispositif qui est couplé au réseau public 112 et qui comprend une adresse IP publique.
La communication en direction et en provenance d'un hôte privé, tel que l'hôte privé 102, 104 ou 106, peut être gouvernée par une politique de sécurité.
Généralement parlant, une politique de sécurité dicte les restrictions d'accès et de services, le cas échéant, auxquelles un hôte privé est soumis. La liste d'accès est un moyen d'implémenter une politique de sécurité.
La figure 2 représente un exemple d'une liste d'accès 202 dans laquelle l'entrée de liste d'accès n 1 permet un service Telnet entre l'hôte public 114 (adresse IP publique 200.10.1.1) et l'hôte privé 102 (adresse IP privée 10.0.1.2). L'entrée de liste d'accès n 2 permet un service HTTP entre l'hôte privé 104 (adresse IP privée 10.0.1.3) et l'hôte public 114 (adresse IP publique 200.10.1.1). L'entrée de liste d'accès n 3 implémente une politique générique, permettant à un quelconque hôte dans le réseau privé 108 de communiquer avec un quelconque hôte public relié au réseau public 112 pour un service FTP. Bien que seuls ces trois exemples soient représentés, une liste d'accès peut implémenter une quelconque politique de sécurité, qu'elle soit générique pour tous les hôtes privés ou spécifique d'un ou plusieurs hôtes privés, pour permettre l'accès à un quelconque hôte public ou ensemble d'hôtes publics pour un quelconque service ou ensemble de services.
Comme cela est mentionné, des adresses IP privées ne sont pas utilisables pour acheminer les informations par le biais du réseau public. Par conséquent, une adresse IP privée d'hôte privé doit être traduite en une adresse IP publique, généralement par le pare-feu, afin que la communication ait lieu entre un hôte privé et un hôte public, c'est-àdire, un hôte relié au réseau public et connu du réseau public par une adresse IP publique. Une telle traduction est connue comme une traduction d'adresses réseau ou NAT. Généralement, un pare-feu est configuré avec des données de traduction d'adresses réseau pour réaliser la traduction d'adresse nécessaire pour permettre la communication entre un hôte privé et un hôte public, si une telle communication est permise par la politique ou les politiques de sécurité applicables.
Dans l'art antérieur, les données de traduction d'adresse réseau sont configurées manuellement par l'administrateur. Lorsqu'un hôte privé est relié initialement au réseau privé et initialisé, une politique de sécurité peut être créée pour cet hôte privé ou cet hôte privé peut être soumis à une politique de sécurité générique existante. Si l'hôte privé est autorisé à communiquer avec un quelconque hôte public, l'administrateur peut dimensionner manuellement les données de traduction d'adresses réseau en sélectionnant une adresse IP publique dans l'ensemble d'adresses IP publiques disponibles et doit associer manuellement cette adresse IP publique à la nouvelle adresse IP privée de l'hôte privé de sorte qu'une traduction d'adresses réseau future peut être réalisée.
L'association entre une adresse IP privée d'un hôte privé et une adresse IP publique à des fins de communication externe est généralement réalisée par l'administrateur 120 de la figure 1 par le biais de la création manuelle d'une ou plusieurs entrées dans une table de traduction d'adresses réseau, telle que la table de traduction d'adresses réseau 302 de la figure 3. Dans l'exemple de la figure 3, l'hôte privé 102 (adresse IP privée 10. 0.1.2) est associé à une adresse IP publique traduite 210.0.0.1, et l'hôte privé 104 (adresse IP privée 10.0.1.3) est associé à une adresse IP publique traduite 210.0.0.2. En consultant une table d'accès 202 de la figure 2 et la table de traduction d'adresses réseau 302 de la figure 3, le pare-feu 110 peut vérifier si un hôte privé est autorisé à accéder à un hôte public donné pour un service donné, et peut réaliser la traduction d'adresses réseau requise si un tel accès est permis.
Il existe, cependant, des inconvénients associés à la technique de l'art antérieur de configuration de pare-feu, en particulier en ce qui concerne le dimensionnement des données de traduction d'adresses réseau. Par exemple, l'approche manuelle est sujette aux erreurs, par exemple, l'opérateur humain peut effectuer une erreur de saisie d'une adresse IP pendant la création d'une entrée dans la table de traduction d'adresses réseau, provoquant de ce fait une violation de sécurité. En outre, l'implication de l'administrateur humain dans le dimensionnement manuel de données de traduction d'adresses réseau implique inévitablement un retard, prolongeant de manière désavantageuse le temps requis pour amener un hôte privé à son statut opérationnel.
Résumé de l'invention La présente invention concerne, dans un mode de réalisation, un procédé destiné à générer automatiquement des données de traduction d'adresses réseau (NAT) pour permettre à un hôte privé comprenant une adresse IP privée de communiquer avec un hôte public comprenant une première adresse IP publique. L'hôte privé est relié à un réseau privé. L'hôte public est relié à un réseau public. Le procédé comprend de prévoir un logiciel de dimensionnement de traduction d'adresses réseau automatisé, le logiciel, réagissant à un message initié par un parmi l'hôte privé et l'hôte public, consultant une politique de sécurité associée à l'hôte privé pour déterminer si la communication entre l'hôte privé et l'hôte public est autorisée. Le procédé comprend en outre de fournir automatiquement, à l'aide du logiciel et sans une intervention d'opérateur humain après la consultation, si la consultation indique que la communication entre l'hôte privé et l'hôte public est autorisée, dans une base de données une deuxième adresse IP publique. La deuxième adresse IP publique est utilisée comme une parmi une adresse IP source et une adresse IP de destination pour acheminer la communication entre l'hôte privé et l'hôte public à travers le réseau public.
Dans un autre mode de réalisation, la présente invention concerne un article de fabrication comprenant un support de stockage de programme comprenant un code lisible par ordinateur intégré à l'intérieur de celuici. Le code lisible par ordinateur est configuré pour générer automatiquement des données de traduction d'adresses réseau (NAT) pour permettre à un hôte privé comprenant une adresse IP privée de communiquer avec un hôte public comprenant une première adresse IP publique.
L'hôte privé est relié à un réseau privé. L'hôte public est relié à un réseau public. Il est compris un code lisible par ordinateur pour fournir un logiciel de dimensionnement de traduction d'adresses réseau automatisé. Le logiciel consulte, en réaction à un message initié par un parmi l'hôte privé et l'hôte public, une politique de sécurité associée à l'hôte privé pour déterminer si la communication entre l'hôte privé et l'hôte public est autorisée. Il est en outre compris un code lisible par ordinateur pour fournir automatiquement, dans une base de données utilisant le logiciel sans intervention humaine après la consultation, une deuxième adresse IP publique pour la traduction d'adresses entre l'adresse IP privée et la deuxième adresse IP publique. La deuxième adresse IP publique est utilisée comme une parmi une adresse IP source et une adresse IP de destination pour acheminer la communication entre l'hôte privé et l'hôte public à travers le réseau public, le dimensionnement automatique étant réalisé si la consultation indique que la communication entre l'hôte privé et l'hôte public est autorisée.
Ces caractéristiques et d'autres de la présente invention sont décrites de manière plus détaillée ci-dessus dans la description détaillée de l'invention et conjointement aux figures suivantes.
Brève description des dessins
La présente invention est illustrée à titre d'exemple et non à titre de limitation, sur les figures des dessins en annexe et sur lesquelles des numéros de référence identiques désignent des éléments similaires et sur lesquelles: La figure 1 représente une pluralité d'hôtes privés représentant, par exemple, des ordinateurs et/ou d'autres dispositifs reliés entre eux dans un réseau privé pour faciliter la discussion.
La figure 2 représente un exemple d'une liste d'accès.
La figure 3 représente un exemple d'une table de traduction d'adresses réseau (NAT).
La figure 4 illustre, selon un mode de réalisation de la présente invention, l'exemple de réseau de la figure 1, à l'exception que le parefeu est maintenant pourvu du pilote logiciel de dimensionnement de traduction d'adresses réseau automatique.
La figure 5 illustre, selon un mode de réalisation de la présente invention, le procédé implémenté par le pilote logiciel de dimensionnement de traduction d'adresses réseau automatique.
La figure 6 illustre, selon un mode de réalisation de la présente invention, les étapes suivies par le pilote logiciel de dimensionnement de traduction d'adresses réseau automatique lorsqu'un hôte privé est supprimé du réseau privé.
Description détaillée des modes de réalisation préférés La présente invention est maintenant décrite en détail en référence à quelques modes de réalisation préférés de celle-ci comme cela est illustré sur les dessins en annexe. Dans la description suivante, de nombreux détails spécifiques sont décrits afin de fournir une compréhension précise de la présente invention. Il ressortira, cependant, pour l'homme du métier que la présente invention peut être mise en pratique sans certains de ou tous ces détails spécifiques. Dans d'autres exemples, des étapes et/ou des structures de procédé bien connues ne sont pas décrites en détail afin de ne pas obscurcir inutilement la présente invention.
Dans un mode de réalisation, il est proposé un logiciel (code et/ou micrologiciel) avec le pare-feu pour configurer de manière automatique et dynamique les données de traduction d'adresses réseau réactives à des événements tels que l'ajout d'un hôte privé au réseau privé, la suppression d'un hôte privé du réseau privé et/ou le début d'une communication impliquant l'hôte privé. Dans un mode de réalisation, le pilote logiciel contrôle la liste d'accès pour vérifier la politique de sécurité concernant un hôte privé pour lequel la traduction d'adresses IP peut être requise et configure automatiquement la table de traduction d'adresses réseau en fonction de la politique de sécurité vérifiée.
Une intelligence est intégrée dans le logiciel pour gérer les situations dans lesquelles plusieurs politiques s'appliquent à l'hôte privé en question, pour vérifier si une adresse IP publique dédiée est requise selon que la communication est entrante ou sortante et pour supprimer automatiquement une entrée de traduction d'adresses réseau lorsque l'hôte privé associé à cette entrée de traduction d'adresses réseau est supprimé du réseau privé.
Les caractéristiques et avantages de la présente invention peuvent être mieux compris en référence aux
figures et à la description qui suit. La figure 4
illustre, selon un mode de réalisation de la présente invention, l'exemple de réseau de la figure 1, à l'exception que le pare-feu 410 est maintenant pourvu d'un pilote logiciel de dimensionnement de traduction d'adresses réseau automatique 402. Contrairement à la figure 1, le dimensionnement des données de traduction d'adresses réseau au pare-feu destiné à être utilisé pour faciliter la communication en direction et en provenance des hôtes privés est maintenant exécuté automatiquement par le logiciel de dimensionnement de traduction d'adresses réseau automatique 402. Ainsi, des inconvénients associés à la technique de dimensionnement manuel sont éliminés de manière avantageuse.
La figure 5 illustre, selon un mode de réalisation de la présente invention, le procédé implémenté par le pilote logiciel 402. Les étapes de la figure 5 sont généralement réalisées pendant le temps d'exécution lorsqu'un changement est apporté à la liste d'accès, par exemple, lorsqu'il existe un ajout ou une suppression d'un hôte privé ou lorsqu'il existe un changement de politique de sécurité qui affecte un ou plusieurs des hôtes privés. Dans un mode de réalisation, la liste d'accès peut être mise à jour automatiquement dans le pare-feu par un logiciel de découverte automatique, qui détecte automatiquement la topologie du réseau privé et/ou l'ajout/la suppression d'un dispositif du réseau privé, notamment l'identité du dispositif ajouté/supprimé.
Dans un mode de réalisation, l'attribution d'une adresse IP publique se produit uniquement lorsqu'une communication est initiée (publique vers privée ou privée vers publique). De cette manière, l'ensemble d'adresses IP publiques disponible pour le réseau privé reste libre autant que possible et une adresse IP publique est attribuée uniquement lorsqu'une communication réelle est sur le point de se produire.
A l'étape 502, la liste d'accès est consultée pour vérifier, pour un hôte privé, si la communication est autorisée. La communication peut être sortante (c'est-à-dire lancée par l'hôte privé pour communiquer avec un hôte public), entrante (c'est-à-dire lancée par l'hôte public pour communiquer avec l'hôte privé) ou privé à privé (c'est-à-dire depuis un hôte privé vers un autre hôte privé).
Si la communication est sortante et est autorisée selon la liste d'accès, une adresse IP publique partagée est attribuée (étape 504) et le logiciel configure la table de traduction d'adresses réseau (506) pour permettre au pare-feu de traduire l'adresse IP privée de l'hôte privé en une adresse publique afin de permettre à la communication entre l'hôte privé et l'hôte public d'avoir lieu par le biais du réseau public. Il est à noter que dans ce cas, l'utilisation d'une adresse IP publique partagée est possible puisque l'hôte public est capable de vérifier, à partir de la communication lancée par l'hôte privé, l'adresse IP publique partagée à utiliser dans l'envoi d'informations en retour vers l'hôte privé.
Si la communication est entrante et est autorisée selon la liste d'accès, une adresse IP publique dédiée est attribuée (étape 514) et le logiciel configure la table de traduction d'adresses réseau (étape 516) pour permettre au pare-feu de traduire l'adresse IP privée de l'hôte privé en une adresse publique afin de permettre à la communication entre l'hôte privé et l'hôte public d'avoir lieu par le biais du réseau public. Il est à noter que dans ce cas, une adresse IP publique dédiée est utilisée puisque l'hôte public, étant l'initiateur, connaît uniquement l'hôte privé par l'adresse IP publique dédiée.
D'autres part, si la communication est privé à privé et autorisée selon la liste d'accès, aucune traduction n'est requise et ainsi aucune action n'est entreprise par rapport au dimensionnement de la table de traduction d'adresses réseau (étape 518).
La figure 6 illustre, selon un mode de réalisation de la présente invention, les étapes suivies par le pilote logiciel 402 lorsqu'un hôte privé est supprimé du réseau privé. Comme cela est mentionné, la suppression d'un hôte privé du réseau privé peut être vérifiée automatiquement (602), par exemple, par un mécanisme de découverte automatique ou par le biais d'un autre mécanisme de notification. A l'étape 604, l'entrée de traduction d'adresses réseau associée à l'hôte privé supprimé est supprimée de la table de traduction d'adresses réseau.
La présente invention est particulièrement bien adaptée pour gérer des politiques de sécurité génériques. Une politique de sécurité générique peut être définie comme une politique de sécurité qui s'applique à un hôte privé en fonction de facteurs autres que l'identité spécifique de l'hôte privé. Une entrée de liste d'accès n 3 sur la figure 2 est un tel exemple, dans lequel le facteur est le type de service (FTP dans ce cas). Ainsi, selon l'entrée de liste d'accès n 3, un quelconque hôte privé, quelle que soit son adresse IP privée spécifique, peut réaliser un service FTP avec un quelconque hôte public.
Dans le cas d'une politique générique, le logiciel peut être configuré pour fournir la table de traduction d'adresses réseau pour l'hôte privé affecté uniquement lorsque cela est nécessaire. Contrairement à l'art antérieur dans lequel l'administrateur doit configurer manuellement une entrée de traduction d'adresses réseau pour chacun des hôtes privés affectés dès lors qu'il existe une politique générique, la présente invention élimine de manière avantageuse cette étape laborieuse. En ce qui concerne la politique générique de l'entrée de liste d'accès n 3 de la figure 2, par exemple, la création d'une telle politique signifie que l'administrateur, dans l'art antérieur, doit créer manuellement un grand nombre d'entrées de traduction d'adresses réseau pour permettre à chaque hôte privé relié au réseau privé d'utiliser le service FTP avec un hôte public.
Avec la présente invention, l'attribution d'une adresse IP publique attribuée est réalisée uniquement lorsque le service FTP requis, soit par l'hôte privé ou par l'hôte public. L'efficacité est optimisée puisque l'attribution ne requiert pas l'implication humaine et par conséquent, ne souffre pas d'erreurs humaines induites. En outre, le dimensionnement de traduction d'adresses réseau implémenté par logiciel se produit automatiquement et à une vitesse d'ordinateur, ce qui est sensiblement plus rapide que ce qui peut être réalisé manuellement par un administrateur humain. En outre, les adresses IP publiques attribuées ne sont pas gaspillées puisque l'attribution peut se produire uniquement lorsque la communication est sur le point de commencer.
Dans le cas d'une politique générique comme l'entrée de liste d'accès n 3 sur la figure 2, les 2859549 14 entrées de traduction d'adresses réseau sont générées automatiquement pour tous les dispositifs auxquels la politique générique s'applique dans le sous-réseau privé. Les entrées de traduction d'adresses IP sont de préférence générées avant que la communication ne soit sur le point de commencer, c'est-à-dire avant que la liste d'accès sur le pare-feu ne soit configurée.
Il doit être noté que pendant l'étape d'attribution 504 et 514, le logiciel est assez intelligent pour vérifier si l'hôte privé s'est déjà vu attribuer une adresse IP publique, par exemple en consultant la table de traduction d'adresses réseau existante. Par exemple, il peut exister deux politiques de sécurité affectant un hôte privé unique. Dans ce cas, l'attribution peut se produire une seule fois, c'est-à-dire, le logiciel n'attribue pas deux adresses IP publiques différentes à l'hôte privé dans ce cas.
Comme cela peut être apprécié de ce qui précède, la présente invention élimine de manière avantageuse les erreurs humaines potentielles induites associées à la technique de dimensionnement de traduction d'adresses réseau manuel. En outre, le dimensionnement automatique de données de traduction d'adresses réseau à une vitesse d'ordinateur en fonction, par exemple, d'un changement de politique de sécurité et/ou d'un changement de liste d'accès et/ou d'une notification provenant du mécanisme de découverte automatique ou provenant d'autres mécanismes de notification concernant l'ajout/la suppression d'un hôte privé, raccourcit sensiblement le temps requis pour mettre à jour les données de traduction d'adresses réseau pour un acheminement de communication précis.
Alors que la présente invention a été décrite en termes de plusieurs modes de réalisation préférés, il existe des modifications, permutations et similaires qui tombent dans la portée de la présente invention. Il doit également être noté qu'il existe de nombreuses variantes d'implémentation des procédés et dispositifs de la présente invention. Il est, par conséquent, visé que les revendications suivantes soient interprétées comme comprenant toutes ces modifications, permutations et similaires selon la portée réelle de la présente invention.

Claims (1)

16 REVENDICATIONS
1. Procédé destiné à générer automatiquement des données de traduction d'adresses réseau (NAT) pour permettre à un hôte privé (102) comprenant une adresse IP privée de communiquer avec un hôte public (114) comprenant une première adresse IP publique, ledit hôte privé étant relié à un réseau privé (108), ledit hôte public étant relié à un réseau public (112) , comprenant.
fournir un logiciel de dimensionnement de traduction d'adresses réseau automatisé (402), ledit logiciel, en réaction à une communication initiée par un parmi ledit hôte privé (102) et ledit hôte public (114), consultant une politique de sécurité (502) associée audit hôte privé (102) pour déterminer si ladite communication entre ledit hôte privé (102) et ledit hôte public (114) est autorisée; et si ladite consultation indique que ladite communication entre ledit hôte privé et ledit hôte public est autorisée, dimensionner automatiquement, à l'aide dudit logiciel et sans intervention d'un opérateur humain après ladite consultation, dans une base de données une deuxième adresse IP publique (504/514) pour une traduction d'adresse entre ladite adresse IP privée et ladite deuxième adresse IP publique, ladite deuxième adresse IP publique étant utilisée comme une parmi une adresse IP source et une adresse IP de destination pour acheminer ladite communication entre ledit hôte privé (102) et ledit hôte public (114) à travers ledit réseau public (112).
2. Procédé selon la revendication 1, dans lequel ladite politique de sécurité est implémentée à l'aide d'une liste d'accès (202).
3. Procédé selon la revendication 2, dans lequel ladite deuxième adresse IP publique représente une adresse IP publique partagée (504) si ladite communication est initiée par ledit hôte privé.
4. Procédé selon la revendication 2, dans lequel ladite deuxième adresse IP publique représente une adresse IP publique dédiée (514) si ladite communication est initiée par ledit hôte public.
5. Procédé selon la revendication 1, dans lequel ladite base de données représente une table de traduction d'adresses réseau (NAT) (302).
6. Procédé selon la revendication 1, comprenant: la détection (602) d'une suppression dudit hôte privé dudit réseau privé ; et la suppression (604), à l'aide dudit logiciel, de ladite deuxième adresse IP publique de ladite base de données en réaction à ladite détection de ladite suppression dudit hôte privé.
7. Procédé selon la revendication 1, dans lequel ladite politique de sécurité représente une politique 30 de sécurité générique.
8. Procédé selon la revendication 7, comprenant en outre la génération automatique de données de traduction d'adresses réseau pour tous les hôtes privés affectés par ladite politique générique après que ladite politique générique est modifiée à l'aide dudit logiciel.
FR0408378A 2003-09-04 2004-07-29 Dimensionnement automatique de donnees de traduction d'adresse de reseau Expired - Fee Related FR2859549B1 (fr)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US10/656,041 US20050053063A1 (en) 2003-09-04 2003-09-04 Automatic provisioning of network address translation data

Publications (2)

Publication Number Publication Date
FR2859549A1 true FR2859549A1 (fr) 2005-03-11
FR2859549B1 FR2859549B1 (fr) 2007-03-23

Family

ID=34194684

Family Applications (1)

Application Number Title Priority Date Filing Date
FR0408378A Expired - Fee Related FR2859549B1 (fr) 2003-09-04 2004-07-29 Dimensionnement automatique de donnees de traduction d'adresse de reseau

Country Status (3)

Country Link
US (1) US20050053063A1 (fr)
JP (1) JP4459755B2 (fr)
FR (1) FR2859549B1 (fr)

Families Citing this family (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3674634B2 (ja) * 2002-05-23 2005-07-20 松下電器産業株式会社 情報処理システム
JP4346869B2 (ja) * 2002-06-26 2009-10-21 パナソニック株式会社 電子機器、及び情報処理方法
CN1315306C (zh) * 2002-09-30 2007-05-09 松下电器产业株式会社 信息处理装置以及接收装置
US8661158B2 (en) 2003-12-10 2014-02-25 Aventail Llc Smart tunneling to resources in a network
US8590032B2 (en) * 2003-12-10 2013-11-19 Aventail Llc Rule-based routing to resources through a network
CN1930834A (zh) * 2004-01-30 2007-03-14 松下电器产业株式会社 通信系统、信息处理系统、信息处理装置、隧道管理装置、信息处理方法、隧道管理方法及程序
US7142107B2 (en) 2004-05-27 2006-11-28 Lawrence Kates Wireless sensor unit
US8033479B2 (en) 2004-10-06 2011-10-11 Lawrence Kates Electronically-controlled register vent for zone heating and cooling
WO2006044820A2 (fr) 2004-10-14 2006-04-27 Aventail Corporation Routage fonde sur des regles et dirige vers des ressources, dans un reseau
WO2007005947A1 (fr) 2005-07-01 2007-01-11 Terahop Networks, Inc. Acheminement de reseau non deterministe et deterministe
JP5072314B2 (ja) * 2006-10-20 2012-11-14 キヤノン株式会社 文書管理システム、文書管理方法、文書管理プログラム、記憶媒体
WO2009151877A2 (fr) 2008-05-16 2009-12-17 Terahop Networks, Inc. Systèmes et appareil de fixation d’un conteneur
US8727611B2 (en) 2010-11-19 2014-05-20 Nest Labs, Inc. System and method for integrating sensors in thermostats
US9104211B2 (en) 2010-11-19 2015-08-11 Google Inc. Temperature controller with model-based time to target calculation and display
US8843239B2 (en) * 2010-11-19 2014-09-23 Nest Labs, Inc. Methods, systems, and related architectures for managing network connected thermostats
US9046898B2 (en) 2011-02-24 2015-06-02 Google Inc. Power-preserving communications architecture with long-polling persistent cloud channel for wireless network-connected thermostat
US9268344B2 (en) 2010-11-19 2016-02-23 Google Inc. Installation of thermostat powered by rechargeable battery
US10346275B2 (en) 2010-11-19 2019-07-09 Google Llc Attributing causation for energy usage and setpoint changes with a network-connected thermostat
US8850348B2 (en) 2010-12-31 2014-09-30 Google Inc. Dynamic device-associated feedback indicative of responsible device usage
US9448567B2 (en) 2010-11-19 2016-09-20 Google Inc. Power management in single circuit HVAC systems and in multiple circuit HVAC systems
US9459018B2 (en) 2010-11-19 2016-10-04 Google Inc. Systems and methods for energy-efficient control of an energy-consuming system
US9453655B2 (en) 2011-10-07 2016-09-27 Google Inc. Methods and graphical user interfaces for reporting performance information for an HVAC system controlled by a self-programming network-connected thermostat
US20120198020A1 (en) * 2011-02-02 2012-08-02 Verizon Patent And Licensing, Inc. Content distribution within a service provider network
US8944338B2 (en) 2011-02-24 2015-02-03 Google Inc. Thermostat with self-configuring connections to facilitate do-it-yourself installation
US8893032B2 (en) 2012-03-29 2014-11-18 Google Inc. User interfaces for HVAC schedule display and modification on smartphone or other space-limited touchscreen device
US9222693B2 (en) 2013-04-26 2015-12-29 Google Inc. Touchscreen device user interface for remote control of a thermostat
US9890970B2 (en) 2012-03-29 2018-02-13 Google Inc. Processing and reporting usage information for an HVAC system controlled by a network-connected thermostat
US10142159B2 (en) 2012-08-14 2018-11-27 Benu Networks, Inc. IP address allocation
US8620841B1 (en) 2012-08-31 2013-12-31 Nest Labs, Inc. Dynamic distributed-sensor thermostat network for forecasting external events
US8539567B1 (en) 2012-09-22 2013-09-17 Nest Labs, Inc. Multi-tiered authentication methods for facilitating communications amongst smart home devices and cloud-based servers
US20160373405A1 (en) * 2015-06-16 2016-12-22 Amazon Technologies, Inc. Managing dynamic ip address assignments

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030009561A1 (en) * 2001-06-14 2003-01-09 Sollee Patrick N. Providing telephony services to terminals behind a firewall and /or network address translator
US20030084162A1 (en) * 2001-10-31 2003-05-01 Johnson Bruce L. Managing peer-to-peer access to a device behind a firewall
US20030110262A1 (en) * 2001-07-06 2003-06-12 Taqi Hasan Integrated rule network management system
US20030154306A1 (en) * 2002-02-11 2003-08-14 Perry Stephen Hastings System and method to proxy inbound connections to privately addressed hosts

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7113508B1 (en) * 1995-11-03 2006-09-26 Cisco Technology, Inc. Security system for network address translation systems
US5793763A (en) * 1995-11-03 1998-08-11 Cisco Technology, Inc. Security system for network address translation systems
WO1997040610A2 (fr) * 1996-04-24 1997-10-30 Northern Telecom Limited Filtre internet protocole
JPH11122301A (ja) * 1997-10-20 1999-04-30 Fujitsu Ltd アドレス変換接続装置
US6535511B1 (en) * 1999-01-07 2003-03-18 Cisco Technology, Inc. Method and system for identifying embedded addressing information in a packet for translation between disparate addressing systems
US6594268B1 (en) * 1999-03-11 2003-07-15 Lucent Technologies Inc. Adaptive routing system and method for QOS packet networks
US7047561B1 (en) * 2000-09-28 2006-05-16 Nortel Networks Limited Firewall for real-time internet applications
US6944167B1 (en) * 2000-10-24 2005-09-13 Sprint Communications Company L.P. Method and apparatus for dynamic allocation of private address space based upon domain name service queries
KR100360274B1 (ko) * 2000-12-30 2002-11-09 엘지전자 주식회사 Nat 기반 로컬망에서 범용 ip 전화통신 시스템을지원하는 방법
US7050422B2 (en) * 2001-02-20 2006-05-23 Innomedia Pte, Ltd. System and method for providing real time connectionless communication of media data through a firewall
US7120701B2 (en) * 2001-02-22 2006-10-10 Intel Corporation Assigning a source address to a data packet based on the destination of the data packet
US6993595B1 (en) * 2001-12-28 2006-01-31 Nortel Networks Limited Address translation change identification
US7154891B1 (en) * 2002-04-23 2006-12-26 Juniper Networks, Inc. Translating between globally unique network addresses
TWI234969B (en) * 2002-11-26 2005-06-21 Ind Tech Res Inst Dynamic network address translation system and method of transparent private network device

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030009561A1 (en) * 2001-06-14 2003-01-09 Sollee Patrick N. Providing telephony services to terminals behind a firewall and /or network address translator
US20030110262A1 (en) * 2001-07-06 2003-06-12 Taqi Hasan Integrated rule network management system
US20030084162A1 (en) * 2001-10-31 2003-05-01 Johnson Bruce L. Managing peer-to-peer access to a device behind a firewall
US20030154306A1 (en) * 2002-02-11 2003-08-14 Perry Stephen Hastings System and method to proxy inbound connections to privately addressed hosts

Also Published As

Publication number Publication date
FR2859549B1 (fr) 2007-03-23
US20050053063A1 (en) 2005-03-10
JP2005086807A (ja) 2005-03-31
JP4459755B2 (ja) 2010-04-28

Similar Documents

Publication Publication Date Title
FR2859549A1 (fr) Dimensionnement automatique de donnees de traduction d'adresse de reseau
EP3632087B1 (fr) Sélection d'une tranche de réseau relative à une application
EP3704833B1 (fr) Procédé d'application d'un correctif sur une fonction réseau virtualisée à mettre à jour
EP0599706A2 (fr) Dispositif de traitement de l'information permettant la gestion d'une ressource informatique par un système d'administration
CA2767179A1 (fr) Procede et systeme pour deployer a la volee et sur demande au moins un reseau virtuel
FR2801754A1 (fr) Methode pour assigner une double adresse ip a un poste de travail relie a un reseau de transmission de donnees ip
FR2923969A1 (fr) Procede de gestion de trames dans un reseau global de communication, produit programme d'ordinateur, moyen de stockage et tete de tunnel correspondants
EP3503508A1 (fr) Procédé de traitement de requêtes et serveur proxy
EP2294798B1 (fr) Procede de routage d'un paquet de donnees dans un reseau et dispositif associe
EP3395090B1 (fr) Procede de controle d'un module d'identite de souscripteur embarque
WO2018193191A1 (fr) Procédé de gestion d'un système informatique en nuage
FR2842377A1 (fr) Systeme et procede de configuration automatique et de lancement d'applications clients telnet 3270 dans un environnement windows
EP1337074A1 (fr) Système de gestion de réseau avec validation de règles
CA2349773A1 (fr) Procede destine a assurer un controle d'acces pour et/ou vis-a-vis d'utilisateurs accedant par des terminaux au reseau internet, au travers d'un noeud d'acces prive, et agencements pour la mise en oeuvre d'un tel procede
EP2064845B1 (fr) Procede pour configurer le profil de qualite de service d'un flot donne au niveau d'un noeud d'acces d'un reseau de communication par paquets
US11374903B1 (en) Systems and methods for managing devices
EP2847939A1 (fr) Systeme de transmission de donnees
FR3014583A1 (fr) Procede d'etablissement d'une relation de confiance entre deux locataires dans un reseau en nuage
EP1501241B1 (fr) Procédé d'approvisionnement de règles de politique dans un réseau géré à base de règles de politique
FR2908196A1 (fr) Procede de transfert de donnees multimedia
WO2014154973A1 (fr) Procede de stockage de donnees dans un systeme informatique effectuant une deduplication de donnees
WO2021105626A1 (fr) Procede de coordination de la mitigation d'une attaque informatique, dispositif et systeme associes
EP4082232A1 (fr) Procede de configuration d'un equipement utilisateur, equipement utilisateur, et entite de gestion de regles
EP2579545B1 (fr) Méthode d'attribution d'une adresse réseau publique à un équipement disposant d'une adresse réseau privée
EP4145798B1 (fr) Procédé de configuration d'une jonction pour un routage conforme au protocole de passerelle de bordure _ bgp et routeur de bordure associé

Legal Events

Date Code Title Description
ST Notification of lapse

Effective date: 20140331