JP2018517373A - フロー制御方法および装置 - Google Patents

フロー制御方法および装置 Download PDF

Info

Publication number
JP2018517373A
JP2018517373A JP2017564004A JP2017564004A JP2018517373A JP 2018517373 A JP2018517373 A JP 2018517373A JP 2017564004 A JP2017564004 A JP 2017564004A JP 2017564004 A JP2017564004 A JP 2017564004A JP 2018517373 A JP2018517373 A JP 2018517373A
Authority
JP
Japan
Prior art keywords
group
security
security group
rule
specified
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017564004A
Other languages
English (en)
Other versions
JP2018517373A5 (ja
JP6644399B2 (ja
Inventor
平 ▲呉▼
平 ▲呉▼
正全 黄
正全 黄
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of JP2018517373A publication Critical patent/JP2018517373A/ja
Publication of JP2018517373A5 publication Critical patent/JP2018517373A5/ja
Application granted granted Critical
Publication of JP6644399B2 publication Critical patent/JP6644399B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0893Assignment of logical groups to network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0894Policy-based network configuration management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/54Organization of routing tables
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/20Traffic policing
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Abstract

フロー制御方法および装置を開示する。方法は、各アドレス情報が属するホストの属性情報に従って、格納された複数のアドレス情報を少なくとも2つのセキュリティグループに分けるステップと、少なくとも2つのグループを検査するステップであって、検査後に、高レベルのグループが低レベルのグループを完全に含むことができ、同じレベルのグループが重複することなく互いに完全に独立している、ステップと、ポリシー構成命令を受信するステップと、命令に従って指定されたルールを構成し、命令に従って指定されたルールの格納順序を構成するステップであって、指定されたルールは、構成すべき少なくとも2つのルール内の任意のルールである、ステップと、少なくとも2つのルールが構成された後にデータパケットを受信するステップと、フロー制御を実施するために、少なくとも2つのルールおよびその格納順序に従ってデータパケットを処理するステップとを含む。

Description

本出願は、2015年9月23日に中国特許庁に提出された「FLOW CONTROL METHOD AND DEVICE」と題する中国特許出願第201510612886.X号に対する優先権を主張するものであり、その全体が参照により本明細書に組み込まれる。
本発明は、ネットワーク技術の分野に関し、特に、フロー制御方法および装置に関する。
ネットワーク技術の急速な発展に伴い、より多くのネットワークベースのアプリケーションが存在するようになり、アプリケーションはますます複雑化している。これらのアプリケーションを用いてネットワーク通信を行う場合、必然的にセキュリティ上の問題が生じる。例えば、ネットワークリソースの漏洩は、権限のないユーザが機密ネットワークリソースにアクセスした場合に発生する。したがって、ネットワークセキュリティを確保するためには、ネットワーク内で送信されるデータパケットに対してフロー制御を行う必要がある。
現在、フロー制御は基本的にアクセス制御リスト(Access Control List、略してACL)を使用して実行される。ただし、管理者は、ACLを使用してフロー制御を実行する前に、ACLに複数のルールと複数のルールの格納順序を手動で構成する必要がある。各ルールには、一致条件とアクションインジケータが含まれる。一致条件は、送信元アドレス情報、送信先アドレス情報、およびプロトコル種別を含んでいてもよい。送信元アドレス情報は、送信元インターネットプロトコル(Internet Protocol、略してIP)アドレス、送信元ポート番号などを含んでいてもよい。送信先アドレス情報は、送信先IPアドレス、送信先ポート番号等を含んでいてもよい。その後、スイッチやルータなどのパケット交換装置は、管理者が構成した複数のルールに従ってフロー制御を実行することができる。具体的には、パケット交換装置は、データパケットを受信する。パケット交換装置は、ACL内のルールの一致条件と、データパケットで運ばれる送信元アドレス情報、送信先アドレス情報、およびプロトコル種別を順次比較し、データパケットで運ばれる送信元アドレス情報、送信先アドレス情報、およびプロトコル種別が、比較中のルールの一致条件と同一であると判断された場合、パケット交換装置は、ターゲットルールが見つかったと判断し、ターゲットルール内のアクションインジケータに従ってデータパケットを処理し、データパケットで運ばれる送信元アドレス情報、送信先アドレス情報、およびプロトコル種別が、比較中のルールの一致条件と異なると確認された場合、パケット交換装置は、フロー制御を実施するためにACL内の次のルールとの比較を継続する。
発明者は、従来技術が少なくとも以下の問題を有することを見出した。
複数のルールと複数のルールの格納順序をすべて管理者が手動で構成するため、管理者がルールを継続的に更新するにつれて、複数のルールで冗長ルールと不正ルールが発生する可能性がある。その結果、フロー制御の精度が低下する。冗長ルールとは、同じフローに一致し、同じアクションインジケータを含む少なくとも2つのルールが複数のルールに存在する現象である。不正ルールとは、複数のルール内の少なくとも2つのルールが同じフローに一致するが、異なるアクションインジケータを有し、より大きなフロー範囲を有するルールの格納順序が、より小さいフロー範囲を有するルールの格納順序に先行することを意味する。したがって、順序に関して、ルールのランクが一致することはできない。フロー範囲は一致条件でカバーされる範囲である。
従来技術の問題を解決するために、本発明の実施態様は、フロー制御方法および装置を提供する。技術的な解決策は次のとおりである。
第1の態様によれば、フロー制御方法が提供され、この方法は、
複数のアドレス情報がそれぞれ属するホストの属性情報に従って、格納された複数のアドレス情報を少なくとも2つのセキュリティグループにグループ分けするステップであって、属性情報はサービス種別またはセキュリティレベルを含む、ステップと、
検査されたセキュリティグループでは、高レベルのセキュリティグループが低レベルのセキュリティグループを完全に含むことができ、かつ同じレベルのセキュリティグループが重複することなく互いに完全に独立しているように、少なくとも2つのセキュリティグループを検査するステップであって、レベルは、セキュリティグループが親グループ、子グループ、または独立したセキュリティグループのいずれであるかを示すために使用される、ステップと、
ポリシー構成命令を受信するステップであって、ポリシー構成命令は、指定された送信元グループ、指定された送信先グループ、および指定されたアクションインジケータを運び、指定された送信元グループおよび指定された送信先グループは、検査されたセキュリティグループ内の2つの異なるセキュリティグループである、ステップと、
ポリシー構成命令に従って、指定されたルールを構成し、ポリシー構成命令に従って、指定されたルールの格納順序を構成するステップであって、指定されたルールは、構成されるべき少なくとも2つのルール内の任意のルールである、ステップと、
少なくとも2つのルールが構成された後にデータパケットを受信するステップであって、データパケットは送信元アドレス情報および送信先アドレス情報を運ぶ、ステップと、
フロー制御を実施するために、少なくとも2つのルールおよび少なくとも2つのルールの格納順序に従って、データパケットを処理するステップと
を含む。
第1の態様に関して、第1の態様の第1の可能な実装では、少なくとも2つのセキュリティグループを検査するステップは、
第1のセキュリティグループと複数の第2のセキュリティグループとの間に包含関係または重複関係が存在するかどうかを判断するステップであって、第1のセキュリティグループは、少なくとも2つのセキュリティグループ内の検査されていないセキュリティグループであり、複数の第2のセキュリティグループは、少なくとも2つのセキュリティグループ内の検査されたセキュリティグループであり、包含関係は、第1のセキュリティグループが第2のセキュリティグループのサブセットであること、または第2のセキュリティグループが第1のセキュリティグループのサブセットであることを意味し、重複関係は、第1のセキュリティグループと第2のセキュリティグループとの間に共通部分が存在し、第1のセキュリティグループが第2のセキュリティグループと等しくないことを意味する、ステップと、
第1のセキュリティグループと複数の第2のセキュリティグループ内の少なくとも2つの第2のセキュリティグループとの間に包含関係が存在する場合、少なくとも2つの第2のセキュリティグループから第3のセキュリティグループとしてセキュリティグループを決定するステップと、
第1の確認プロンプト情報を表示するステップであって、第1の確認プロンプト情報は、第1のセキュリティグループと第3のセキュリティグループとの間の包含関係を処理するように管理者を促すために使用される、ステップと、
第1の確認プロンプト情報に従って第1の処理命令が受信された場合、第1の処理命令に従って、第1のセキュリティグループと第3のセキュリティグループとの間の包含関係を処理するステップと
を含む。
第1の態様の第1の可能な実装に関して、第1の態様の第2の可能な実装では、少なくとも2つの第2のセキュリティグループから第3のセキュリティグループとしてセキュリティグループを決定するステップは、
第1のセキュリティグループが少なくとも2つの第2のセキュリティグループ内のすべてのセキュリティグループに含まれる場合、少なくとも2つの第2のセキュリティグループから、最も小さいアドレス範囲を有するセキュリティグループを選択するステップ、または第1のセキュリティグループが少なくとも2つの第2のセキュリティグループ内のすべてのセキュリティグループを含む場合、少なくとも2つの第2のセキュリティグループから、最も大きいアドレス範囲を有するセキュリティグループを選択するステップ、または第1のセキュリティグループが少なくとも2つの第2のセキュリティグループ内の少なくとも1つの第2のセキュリティグループに含まれ、かつ第1のセキュリティグループが少なくとも2つの第2のセキュリティグループ内の残りの第2のセキュリティグループをさらに含む場合、少なくとも1つの第2のセキュリティグループから、最も小さいアドレス範囲を有するセキュリティグループを選択するか、もしくは残りの第2のセキュリティグループから、最も大きいアドレス範囲を有するセキュリティグループを選択するステップと、
選択されたセキュリティグループを第3のセキュリティグループとして決定するステップと
を含む。
第1の態様の第1の可能な実装または第1の態様の第2の可能な実装に関して、第1の態様の第3の可能な実装では、第1の処理命令に従って、第1のセキュリティグループと第3のセキュリティグループとの間の包含関係を処理するステップは、
第1のセキュリティグループおよび第3のセキュリティグループから、より大きなアドレス範囲を有するセキュリティグループを第4のセキュリティグループとして決定し、第1のセキュリティグループおよび第3のセキュリティグループから、より小さいアドレス範囲を有するセキュリティグループを第5のセキュリティグループとして決定するステップと、
第1の処理命令が第1の分割命令である場合、第4のセキュリティグループから第5のセキュリティグループのアドレス情報と同一のアドレス情報を削除して、第1の子セキュリティグループを取得するステップと、
第1の処理命令が継承命令である場合、第5のセキュリティグループを二次セキュリティグループとして設定し、第5のセキュリティグループを第4のセキュリティグループの子グループとして設定するステップであって、二次セキュリティグループは、検査されたセキュリティグループ内の別のセキュリティグループとの包含関係を有するセキュリティグループである、ステップと
を含む。
第1の態様の第1の可能な実装に関して、第1の態様の第4の可能な実装では、第1のセキュリティグループと複数の第2のセキュリティグループとの間に包含関係または重複関係が存在するかどうかを判断するステップの後、方法は、
第1のセキュリティグループと複数の第2のセキュリティグループ内の少なくとも2つの第2のセキュリティグループとの間に重複関係が存在する場合、少なくとも2つの第2のセキュリティグループから第6のセキュリティグループとしてセキュリティグループを選択するステップと、
第2の確認プロンプト情報を表示するステップであって、第2の確認プロンプト情報は、第1のセキュリティグループと第6のセキュリティグループとの間の重複関係を処理するように管理者を促すために使用される、ステップと、
第2の確認プロンプト情報に従って第2の処理命令が受信された場合、第2の処理命令に従って、第1のセキュリティグループと第6のセキュリティグループとの間の重複関係を処理するステップと
をさらに含む。
第1の態様の第4の可能な実装に関して、第1の態様の第5の可能な実装では、第2の処理命令に従って、第1のセキュリティグループと第6のセキュリティグループとの間の重複関係を処理するステップは、
第2の処理命令が旧グループを保持する命令である場合、第1のセキュリティグループ内にあり、かつ第6のセキュリティグループ内のアドレス情報と同一であるアドレス情報を第2の子セキュリティグループにグループ分けし、第2の子セキュリティグループ内のアドレス情報以外の第1のセキュリティグループ内の他のアドレス情報を第3の子セキュリティグループにグループ分けするステップと、
第2の子セキュリティグループを二次セキュリティグループとして設定し、第2の子セキュリティグループを第6のセキュリティグループの子グループとして設定するステップと
を含む。
第1の態様の第4の可能な実装に関して、第1の態様の第6の可能な実装では、第2の処理命令に従って、第1のセキュリティグループと第6のセキュリティグループとの間の重複関係を処理するステップは、
第2の処理命令が新グループを保持する命令である場合、第6のセキュリティグループ内にあり、かつ第1のセキュリティグループ内のアドレス情報と同一であるアドレス情報を第4の子セキュリティグループにグループ分けし、第4の子セキュリティグループ内のアドレス情報以外の第6のセキュリティグループ内の他のアドレス情報を第5の子セキュリティグループにグループ分けするステップと、
第4の子セキュリティグループを二次セキュリティグループとして設定し、第4の子セキュリティグループを第1のセキュリティグループの子グループとして設定するステップと
を含む。
第1の態様の第4の可能な実装に関して、第1の態様の第7の可能な実装では、第2の処理命令に従って、第1のセキュリティグループと第6のセキュリティグループとの間の重複関係を処理するステップは、
第2の処理命令が第2の分割命令である場合、第1のセキュリティグループおよび第6のセキュリティグループ内の同一のアドレス情報、第6のセキュリティグループ内のアドレス情報と同一のアドレス情報以外の第1のセキュリティグループ内の他のアドレス情報、および第1のセキュリティグループ内のアドレス情報と同一のアドレス情報以外の第6のセキュリティグループ内の他のアドレス情報を、3つのセキュリティグループにそれぞれグループ分けするステップ
を含む。
第1の態様から第1の態様の第7の可能な実装のいずれかに関して、第1の態様の第8の可能な実装では、ポリシー構成命令に従って、指定されたルールを構成するステップは、
指定された送信元グループと指定された送信先グループとの両方が一次セキュリティグループである場合、指定された送信元グループ、指定された送信先グループ、および指定されたアクションインジケータに従って、指定されたルールを構成するステップであって、一次セキュリティグループは、検査されたセキュリティグループ内の別のセキュリティグループとの包含関係または重複関係を有しない独立したセキュリティグループである、ステップ
を含む。
第1の態様から第1の態様の第7の可能な実装のいずれかに関して、第1の態様の第9の可能な実装では、ポリシー構成命令に従って、指定されたルールを構成し、ポリシー構成命令に従って、指定されたルールの格納順序を構成するステップは、
指定された送信元グループまたは指定された送信先グループが二次セキュリティグループである場合、第1のルールが構成されているかどうかを判断するステップであって、第1のルールは、指定された送信元グループの親グループと指定された送信先グループとの間のルール、指定された送信元グループと指定された送信先グループの親グループとの間のルール、または指定された送信元グループの親グループと指定された送信先グループの親グループとの間のルールである、ステップと、
第1のルールが構成されている場合、指定されたアクションインジケータが第1のルールに含まれるアクションインジケータと同一であるかどうかを判断するステップと、
指定されたアクションインジケータが第1のルールに含まれるアクションインジケータと同一である場合、指定されたルールの構成を禁止するステップと
を含む。
第1の態様の第9の可能な実装に関して、第1の態様の第10の可能な実装では、指定されたアクションインジケータが第1のルールに含まれるアクションインジケータと同一であるかどうかを判断するステップの後、方法は、
指定されたアクションインジケータが第1のルールに含まれるアクションインジケータと競合する場合、指定された送信元グループ、指定された送信先グループ、および指定されたアクションインジケータに従って、指定されたルールを構成するステップと、
指定されたルールの格納順序が第1のルールの格納順序に先行することを設定するステップと
をさらに含む。
第1の態様の第9の可能な実装または第1の態様の第10の可能な実装に関して、第1の態様の第11の可能な実装では、指定されたルールの構成を禁止するステップの後、方法は、
指定されたルールの構成が禁止されており、かつ指定されたルールが冗長ルールであることを管理者に促すための「構成禁止」プロンプト情報を表示するステップ
をさらに含む。
第1の態様から第1の態様の第7の可能な実装のいずれかに関して、第1の態様の第12の可能な実装では、ポリシー構成命令に従って、指定されたルールを構成し、ポリシー構成命令に従って、指定されたルールの格納順序を構成するステップは、
指定された送信元グループが二次セキュリティグループであり、かつ指定された送信先グループが第7のセキュリティグループの親グループである場合、または指定された送信元グループが第8のセキュリティグループの親グループであり、かつ指定された送信先グループが二次セキュリティグループである場合、第2のルールが構成されているかどうかを判断するステップであって、指定された送信元グループが二次セキュリティグループであり、かつ指定された送信先グループが第7のセキュリティグループの親グループであるとき、第2のルールは、指定された送信元グループの親グループと指定された送信先グループとの間のルール、もしくは指定された送信元グループと第7のセキュリティグループとの間のルールであり、または指定された送信元グループが第8のセキュリティグループの親グループであり、かつ指定された送信先グループが二次セキュリティグループであるとき、第2のルールは、指定された送信元グループと指定された送信先グループとの間のルール、もしくは第8のセキュリティグループと指定された送信先グループの親グループとの間のルールであり、第7のセキュリティグループおよび第8のセキュリティグループは、検査されたセキュリティグループ内の任意のセキュリティグループである、ステップと、
第2のルールが構成されている場合、指定されたアクションインジケータが第2のルールに含まれるアクションインジケータと同一であるかどうかを判断するステップと、
指定されたアクションインジケータが第2のルールに含まれるアクションインジケータと同一である場合、指定された送信元グループ、指定された送信先グループ、および指定されたアクションインジケータに従って、指定されたルールを構成するステップと
を含む。
第1の態様の第12の可能な実装に関して、第1の態様の第13の可能な実装では、指定されたアクションインジケータが第2のルールに含まれるアクションインジケータと同一であるかどうかを判断するステップの後、方法は、
指定されたアクションインジケータが第2のルールに含まれるアクションインジケータと競合する場合、ポリシー競合プロンプト情報を表示して、指定されたルールおよび第2のルールの格納順序を設定するように管理者を促すステップと、
管理者のソート操作を受け付けたときに、ソート操作に従って、指定されたルールおよび第2のルールの格納順序を設定するステップと
をさらに含む。
第2の態様によれば、フロー制御装置が提供され、この装置は、
複数のアドレス情報がそれぞれ属するホストの属性情報に従って、格納された複数のアドレス情報を少なくとも2つのセキュリティグループにグループ分けするように構成されたグループ分けモジュールであって、属性情報はサービス種別またはセキュリティレベルを含む、グループ分けモジュールと
検査されたセキュリティグループでは、高レベルのセキュリティグループが低レベルのセキュリティグループを完全に含むことができ、かつ同じレベルのセキュリティグループが重複することなく互いに完全に独立しているように、少なくとも2つのセキュリティグループを検査するように構成された検査処理モジュールであって、レベルは、セキュリティグループが親グループ、子グループ、または独立したセキュリティグループのいずれであるかを示すために使用される、検査処理モジュールと、
ポリシー構成命令を受信するように構成された受信モジュールであって、ポリシー構成命令は、指定された送信元グループ、指定された送信先グループ、および指定されたアクションインジケータを運び、指定された送信元グループおよび指定された送信先グループは、検査されたセキュリティグループ内の2つの異なるセキュリティグループである、受信モジュールと、
ポリシー構成命令に従って、指定されたルールを構成し、ポリシー構成命令に従って、指定されたルールの格納順序を構成するように構成された構成モジュールであって、指定されたルールは、構成されるべき少なくとも2つのルール内の任意のルールであり、受信モジュールは、少なくとも2つのルールが構成された後にデータパケットを受信するようにさらに構成され、データパケットは送信元アドレス情報および送信先アドレス情報を運ぶ、構成モジュールと、
フロー制御を実施するために、少なくとも2つのルールおよび少なくとも2つのルールの格納順序に従って、データパケットを処理するように構成されたパケット処理モジュールと
を含む。
第2の態様に関して、第2の態様の第1の可能な実装では、検査処理モジュールは、
第1のセキュリティグループと複数の第2のセキュリティグループとの間に包含関係または重複関係が存在するかどうかを判断するように構成された判定ユニットであって、第1のセキュリティグループは、少なくとも2つのセキュリティグループ内の検査されていないセキュリティグループであり、複数の第2のセキュリティグループは、少なくとも2つのセキュリティグループ内の検査されたセキュリティグループであり、包含関係は、第1のセキュリティグループが第2のセキュリティグループのサブセットであること、または第2のセキュリティグループが第1のセキュリティグループのサブセットであることを意味し、重複関係は、第1のセキュリティグループと第2のセキュリティグループとの間に共通部分が存在し、第1のセキュリティグループが第2のセキュリティグループと等しくないことを意味する、判定ユニットと、
第1のセキュリティグループと複数の第2のセキュリティグループ内の少なくとも2つの第2のセキュリティグループとの間に包含関係が存在する場合、少なくとも2つの第2のセキュリティグループから第3のセキュリティグループとしてセキュリティグループを決定するように構成された決定ユニットと、
第1の確認プロンプト情報を表示するように構成された表示ユニットであって、第1の確認プロンプト情報は、第1のセキュリティグループと第3のセキュリティグループとの間の包含関係を処理するように管理者を促すために使用される、表示ユニットと、
第1の確認プロンプト情報に従って第1の処理命令が受信された場合、第1の処理命令に従って、第1のセキュリティグループと第3のセキュリティグループとの間の包含関係を処理するように構成された包含関係処理ユニットと
を含む。
第2の態様の第1の可能な実装に関して、第2の態様の第2の可能な実装では、決定ユニットは、
第1のセキュリティグループが少なくとも2つの第2のセキュリティグループ内のすべてのセキュリティグループに含まれる場合、少なくとも2つの第2のセキュリティグループから、最も小さいアドレス範囲を有するセキュリティグループを選択するか、または第1のセキュリティグループが少なくとも2つの第2のセキュリティグループ内のすべてのセキュリティグループを含む場合、少なくとも2つの第2のセキュリティグループから、最も大きいアドレス範囲を有するセキュリティグループを選択するか、または第1のセキュリティグループが少なくとも2つの第2のセキュリティグループ内の少なくとも1つの第2のセキュリティグループに含まれ、かつ第1のセキュリティグループが少なくとも2つの第2のセキュリティグループ内の残りの第2のセキュリティグループをさらに含む場合、少なくとも1つの第2のセキュリティグループから、最も小さいアドレス範囲を有するセキュリティグループを選択するか、もしくは残りの第2のセキュリティグループから、最も大きいアドレス範囲を有するセキュリティグループを選択するように構成された選択サブユニットと、
選択されたセキュリティグループを第3のセキュリティグループとして決定するように構成された決定サブユニットと
を含む。
第2の態様の第1の可能な実装または第2の態様の第2の可能な実装に関して、第2の態様の第3の可能な実装では、包含関係処理ユニットは、
第1の確認プロンプト情報に従って第1の処理命令が受信された場合、第1のセキュリティグループおよび第3のセキュリティグループから、第1の処理命令に従って、より大きなアドレス範囲を有するセキュリティグループを第4のセキュリティグループとして決定し、第1のセキュリティグループおよび第3のセキュリティグループから、より小さいアドレス範囲を有するセキュリティグループを第5のセキュリティグループとして決定するように構成された決定サブユニットと、
第1の処理命令が第1の分割命令である場合、第4のセキュリティグループから第5のセキュリティグループのアドレス情報と同一のアドレス情報を削除して、第1の子セキュリティグループを取得するように構成された削除サブユニットと、
第1の処理命令が継承命令である場合、第5のセキュリティグループを二次セキュリティグループとして設定し、第5のセキュリティグループを第4のセキュリティグループの子グループとして設定するように構成された設定サブユニットであって、二次セキュリティグループは、検査されたセキュリティグループ内の別のセキュリティグループとの包含関係を有するセキュリティグループである、設定サブユニットと
を含む。
第2の態様の第1の可能な実装に関して、第2の態様の第4の可能な実装では、検査処理モジュールは、
第1のセキュリティグループと複数の第2のセキュリティグループ内の少なくとも2つの第2のセキュリティグループとの間に重複関係が存在する場合、少なくとも2つの第2のセキュリティグループから第6のセキュリティグループとしてセキュリティグループを選択するように構成された選択ユニットであって、表示ユニットは、第2の確認プロンプト情報を表示するようにさらに構成され、第2の確認プロンプト情報は、第1のセキュリティグループと第6のセキュリティグループとの間の重複関係を処理するように管理者を促すために使用される、選択ユニットと、
第2の確認プロンプト情報に従って第2の処理命令が受信された場合、第2の処理命令に従って、第1のセキュリティグループと第6のセキュリティグループとの間の重複関係を処理するように構成された重複関係処理ユニットと
をさらに含む。
第2の態様の第4の可能な実装に関して、第2の態様の第5の可能な実装では、重複関係処理ユニットは、
第2の処理命令が第2の確認プロンプト情報に従って受信され、かつ第2の処理命令が旧グループを保持する命令である場合、第1のセキュリティグループ内にあり、かつ第6のセキュリティグループ内のアドレス情報と同一であるアドレス情報を第2の子セキュリティグループにグループ分けし、第2の子セキュリティグループ内のアドレス情報以外の第1のセキュリティグループ内の他のアドレス情報を第3の子セキュリティグループにグループ分けするように構成されたグループ分けサブユニットと、
第2の子セキュリティグループを二次セキュリティグループとして設定し、第2の子セキュリティグループを第6のセキュリティグループの子グループとして設定するように構成された設定サブユニットと
を含む。
第2の態様の第4の可能な実装に関して、第2の態様の第6の可能な実装では、重複関係処理ユニットは、
第2の処理命令が第2の確認プロンプト情報に従って受信され、かつ第2の処理命令が新グループを保持する命令である場合、第6のセキュリティグループ内にあり、かつ第1のセキュリティグループ内のアドレス情報と同一であるアドレス情報を第5の子セキュリティグループにグループ分けし、第4の子セキュリティグループ内のアドレス情報以外の第6のセキュリティグループ内の他のアドレス情報を第5の子セキュリティグループにグループ分けするように構成されたグループ分けサブユニットと、
第4の子セキュリティグループを二次セキュリティグループとして設定し、第4の子セキュリティグループを第1のセキュリティグループの子グループとして設定するように構成された設定サブユニットと
を含む。
第2の態様の第4の可能な実装に関して、第2の態様の第7の可能な実装では、重複関係処理ユニットは、
第2の処理命令が第2の確認プロンプト情報に従って受信され、かつ第2の処理命令が第2の分割命令である場合、第1のセキュリティグループおよび第6のセキュリティグループ内の同一のアドレス情報、第6のセキュリティグループ内のアドレス情報と同一のアドレス情報以外の第1のセキュリティグループ内の他のアドレス情報、および第1のセキュリティグループ内のアドレス情報と同一のアドレス情報以外の第6のセキュリティグループ内の他のアドレス情報を、3つのセキュリティグループにそれぞれグループ分けするように構成されたグループ分けサブユニット
を含む。
第2の態様から第2の態様の第7の可能な実装のいずれかに関して、第2の態様の第8の可能な実装では、構成モジュールは、
指定された送信元グループと指定された送信先グループとの両方が一次セキュリティグループである場合、指定された送信元グループ、指定された送信先グループ、および指定されたアクションインジケータに従って、指定されたルールを構成し、指定されたルールの格納順序を構成するように構成された構成ユニットであって、一次セキュリティグループは、検査されたセキュリティグループ内の別のセキュリティグループとの包含関係または重複関係を有しない独立したセキュリティグループである、構成ユニット
を含む。
第2の態様から第2の態様の第7の可能な実装のいずれかに関して、第2の態様の第9の可能な実装では、構成モジュールは、
指定された送信元グループまたは指定された送信先グループが二次セキュリティグループである場合、第1のルールが構成されているかどうかを判断するように構成された判定ユニットであって、第1のルールは、指定された送信元グループの親グループと指定された送信先グループとの間のルール、指定された送信元グループと指定された送信先グループの親グループとの間のルール、または指定された送信元グループの親グループと指定された送信先グループの親グループとの間のルールであり、判定ユニットは、第1のルールが構成されている場合、指定されたアクションインジケータが第1のルールに含まれるアクションインジケータと同一であるかどうかを判断するようにさらに構成されている、判定ユニットと、
指定されたアクションインジケータが第1のルールに含まれるアクションインジケータと同一である場合、指定されたルールの構成を禁止するように構成された構成禁止ユニットと
を含む。
第2の態様の第9の可能な実装に関して、第2の態様の第10の可能な実装では、構成モジュールは、
指定されたアクションインジケータが第1のルールに含まれるアクションインジケータと競合する場合、指定された送信元グループ、指定された送信先グループ、および指定されたアクションインジケータに従って、指定されたルールを構成するように構成された構成ユニットと、
指定されたルールの格納順序が第1のルールの格納順序に先行することを設定するように構成された設定ユニットと
をさらに含む。
第2の態様の第9の可能な実装または第2の態様の第10の可能な実装に関して、第2の態様の第11の可能な実装では、構成モジュールは、
指定されたルールの構成が禁止されており、かつ指定されたルールが冗長ルールであることを管理者に促すための「構成禁止」プロンプト情報を表示するように構成された表示ユニット
をさらに含む。
第2の態様から第2の態様の第7の可能な実装のいずれかに関して、第2の態様の第12の可能な実装では、構成モジュールは、
指定された送信元グループが二次セキュリティグループであり、かつ指定された送信先グループが第7のセキュリティグループの親グループである場合、または指定された送信元グループが第8のセキュリティグループの親グループであり、かつ指定された送信先グループが二次セキュリティグループである場合、第2のルールが構成されているかどうかを判断するように構成された判定ユニットであって、指定された送信元グループが二次セキュリティグループであり、かつ指定された送信先グループが第7のセキュリティグループの親グループであるとき、第2のルールは、指定された送信元グループの親グループと指定された送信先グループとの間のルール、もしくは指定された送信元グループと第7のセキュリティグループとの間のルールであり、または指定された送信元グループが第8のセキュリティグループの親グループであり、かつ指定された送信先グループが二次セキュリティグループであるとき、第2のルールは、指定された送信元グループと指定された送信先グループとの間のルール、もしくは第8のセキュリティグループと指定された送信先グループの親グループとの間のルールであり、第7のセキュリティグループおよび第8のセキュリティグループは、検査されたセキュリティグループ内の任意のセキュリティグループであり、判定ユニットは、第2のルールが構成されている場合、指定されたアクションインジケータが第2のルールに含まれるアクションインジケータと同一であるかどうかを判断するようにさらに構成されている、判定ユニットと、
指定されたアクションインジケータが第2のルールに含まれるアクションインジケータと同一である場合、指定された送信元グループ、指定された送信先グループ、および指定されたアクションインジケータに従って、指定されたルールを構成するように構成された構成ユニットと
を含む。
第2の態様の第12の可能な実装に関して、第2の態様の第13の可能な実装では、構成モジュールは、
指定されたアクションインジケータが第2のルールに含まれるアクションインジケータと競合する場合、ポリシー競合プロンプト情報を表示して、指定されたルールおよび第2のルールの格納順序を設定するように管理者を促すように構成された表示ユニットと、
管理者のソート操作を受け付けたときに、ソート操作に従って、指定されたルールおよび第2のルールの格納順序を設定するように構成された設定ユニットと
をさらに含む。
本発明の実施態様では、格納された複数のアドレス情報は、複数のアドレス情報が属するホストの属性情報に従って、少なくとも2つのセキュリティグループにグループ分けされ、少なくとも2つのセキュリティグループは検査され、検査されたセキュリティグループでは、高レベルのセキュリティグループが低レベルのセキュリティグループを完全に含むことができ、同じレベルのセキュリティグループが互いに重複することなく完全に独立している。さらに、ポリシー構成命令が受信され、ポリシー構成命令は、指定された送信元グループ、指定された送信先グループ、および指定されたアクションインジケータを運ぶ。指定されたルールおよび指定されたルールの格納順序は、ポリシー構成命令に従って構成される。したがって、冗長ルールおよび不正ルールの発生を回避することができ、フロー制御の精度が向上する。さらに、データパケットが受信されると、データパケットはルールの格納順序に従って処理される。したがって、ルールのマッチングに費やされる時間が短縮され、フロー制御の効率が向上する。
前述の一般的な説明および以下の詳細な説明は、単なる例示的かつ説明的なものであり、本発明を限定するものではないことを理解されたい。
より明確に本発明の実施形態における技術的解決策を説明するために、本実施形態を説明するために必要な添付の図面を以下に簡単に説明する。当然ながら、以下の説明において添付の図面は、本発明のいくつかの実施形態を示しているに過ぎず、当業者は、創造的な取り組みをすることなく、これらの添付図面から他の図面をさらに導き出すことが可能である。
本発明の一実施形態によるフロー制御方法の実装環境の概略図である。 本発明の一実施形態によるフロー制御方法のフローチャートである。 本発明の実施形態による別のフロー制御方法のフローチャートである。 本発明の一実施形態による少なくとも2つのセキュリティグループを検査するためのフローチャートである。 本発明の一実施形態による第1の確認プロンプト情報の概略図である。 本発明の一実施形態による、第1のセキュリティグループと第3のセキュリティグループとの間の包含関係の概略図である。 本発明の一実施形態による、第1の処理命令が第1の分割命令である場合の第4のセキュリティグループと第5のセキュリティグループとの間の分割の概略図である。 本発明の一実施形態による、第1の処理命令が継承命令である場合の第4のセキュリティグループおよび第5のセキュリティグループの概略的な継承図である。 本発明の一実施形態による、第2の処理命令が旧グループを保持する命令である場合の第1のセキュリティグループおよび第6のセキュリティグループの概略的なグループ図である。 本発明の一実施形態による、第2の処理命令が新グループを保持する命令である場合の第1のセキュリティグループおよび第6のセキュリティグループの概略的なグループ図である。 本発明の一実施形態による、第2の処理命令が第2の分割命令である場合の第1のセキュリティグループおよび第6のセキュリティグループの概略的なグループ図である。 本発明の一実施形態によるフロー制御装置の概略構成図である。 本発明の一実施形態による検査処理モジュールの概略構成図である。 本発明の一実施形態による決定ユニットの概略構成図である。 本発明の一実施形態による包含関係処理ユニットの概略構成図である。 本発明の一実施形態による別の検査処理モジュールの概略構成図である。 本発明の一実施形態による重複関係処理ユニットの概略構成図である。 本発明の一実施形態による別の重複関係処理ユニットの概略構成図である。 本発明の一実施形態による第1の構成モジュールの概略構成図である。 本発明の一実施形態による第2の構成モジュールの概略構成図である。 本発明の一実施形態による第3の構成モジュールの概略構成図である。 本発明の一実施形態による第4の構成モジュールの概略構成図である。 本発明の一実施形態による第5の構成モジュールの概略構成図である。 本発明の一実施形態による別のフロー制御装置の概略構成図である。
図1は、本発明の一実施形態によるフロー制御方法の実装環境の概略図である。図1を参照すると、実装環境は、ホスト101、ホスト102、スイッチ103、およびルータ104を含むことができる。ホスト101およびホスト102は、ネットワーク通信を行うサーバや端末などの装置であってもよい。ホスト101およびホスト102は、データパケットを送信するように構成されている。スイッチ103およびルータ104は、送信されたデータパケットを処理するように構成されている。本発明のこの実施形態におけるフロー制御を行う装置は、パケット交換装置である。パケット交換装置は、スイッチ103および/またはルータ104であってもよい。勿論、パケット交換装置をファイアウォール装置とし、ファイアウォール装置をスイッチ103やルータ104に設置してもよい。これは、本発明のこの実施形態において特に限定されない。
本発明の実施形態を詳細に説明する前に、まず、本発明の実施形態のアプリケーションシナリオについて説明する。現行では、2つのホスト間で通信を行う必要がある場合には、パケット交換装置を用いて2つのホスト間でデータパケットを送信する必要がある。しかしながら、一部のホストが機密ネットワークリソースにアクセスすることを禁止されている場合、パケット交換装置は、送信されたデータパケットを処理してフロー制御を実施することができる。ACLを使用してフロー制御を実行する場合、ACLに格納されている複数のルールとACL内の複数のルールの格納順序をすべて管理者が手動で構成する。さらに、実際のアプリケーションでは、ACLに非常に大量のルールが格納され、管理者の数も非常に多くなり得るため、ルールの構成時間も非常に長くなる可能性がある。したがって、管理者がルールを継続的に更新すると、管理者は冗長ルールと不正ルールの存在を見つけることが困難になる。その結果、パケット交換装置の実際のフロー制御効果は、管理者が期待するものとは異なる。そこで、本発明のこの実施形態は、冗長ルールや不正ルールの発生を回避し、フロー制御の精度を向上させるフロー制御方法を提供する。
図2は、本発明の一実施形態によるフロー制御方法のフローチャートである。図2を参照すると、本方法はパケット交換装置に適用され、以下のステップを含む。
ステップ201:複数のアドレス情報がそれぞれ属するホストの属性情報に従って、格納された複数のアドレス情報を少なくとも2つのセキュリティグループにグループ分けし、属性情報はサービス種別またはセキュリティレベルを含む。
ステップ202:少なくとも2つのセキュリティグループを検査し、検査されたセキュリティグループでは、高レベルのセキュリティグループが低レベルのセキュリティグループを完全に含むことができ、同じレベルのセキュリティグループが互いに重複することなく完全に独立しており、レベルは、セキュリティグループが親グループ、子グループ、または独立したセキュリティグループのいずれであるかを示すために使用される。
ステップ203:ポリシー構成命令を受信し、ポリシー構成命令は、指定された送信元グループ、指定された送信先グループ、および指定されたアクションインジケータを運び、指定された送信元グループと指定された送信先グループは、検査されたセキュリティグループ内の2つの異なるセキュリティグループである。
ステップ204:ポリシー構成命令に従って、指定されたルールを構成し、ポリシー構成命令に従って、指定されたルールの格納順序を構成し、指定されたルールは、少なくとも2つの構成されるべきルール内の任意のルールである。
ステップ205:少なくとも2つのルールが構成された後にデータパケットを受信し、データパケットは、送信元アドレス情報および送信先アドレス情報を運ぶ。
ステップ206:フロー制御を実施するために、少なくとも2つのルールおよび少なくとも2つのルールの格納順序に従ってデータパケットを処理する。
本発明のこの実施形態では、格納された複数のアドレス情報は、複数のアドレス情報が属するホストの属性情報に従って、少なくとも2つのセキュリティグループにグループ分けされ、少なくとも2つのセキュリティグループは検査され、検査されたセキュリティグループでは、高レベルのセキュリティグループが低レベルのセキュリティグループを完全に含むことができ、同じレベルのセキュリティグループが互いに重複することなく完全に独立している。さらに、ポリシー構成命令が受信され、ポリシー構成命令は、指定された送信元グループ、指定された送信先グループ、および指定されたアクションインジケータを運ぶ。また、指定されたルールおよび指定されたルールの格納順序は、ポリシー構成命令に従って構成される。したがって、冗長ルールおよび不正ルールの発生を回避することができ、フロー制御の精度が向上する。さらに、データパケットが受信されると、データパケットはルールの格納順序に従って処理される。したがって、ルールのマッチングに費やされる時間が短縮され、フロー制御の効率が向上する。
任意選択的に、少なくとも2つのセキュリティグループを検査するステップは、
第1のセキュリティグループと複数の第2のセキュリティグループとの間に包含関係または重複関係が存在するかどうかを判断するステップであって、第1のセキュリティグループは、少なくとも2つのセキュリティグループ内の検査されていないセキュリティグループであり、複数の第2のセキュリティグループは、少なくとも2つのセキュリティグループ内の検査されたセキュリティグループであり、包含関係は、第1のセキュリティグループが第2のセキュリティグループのサブセットであること、または第2のセキュリティグループが第1のセキュリティグループのサブセットであることを意味し、重複関係は、第1のセキュリティグループと第2のセキュリティグループとの間に共通部分が存在し、第1のセキュリティグループが第2のセキュリティグループと等しくないことを意味する、ステップと、
第1のセキュリティグループと複数の第2のセキュリティグループ内の少なくとも2つの第2のセキュリティグループとの間に包含関係が存在する場合、少なくとも2つの第2のセキュリティグループから第3のセキュリティグループとしてセキュリティグループを決定するステップと、
第1の確認プロンプト情報を表示するステップであって、第1の確認プロンプト情報は、第1のセキュリティグループと第3のセキュリティグループとの間の包含関係を処理するように管理者を促すために使用される、ステップと、
第1の確認プロンプト情報に従って第1の処理命令が受信された場合、第1の処理命令に従って、第1のセキュリティグループと第3のセキュリティグループとの間の包含関係を処理するステップと
を含む。
任意選択的に、少なくとも2つの第2のセキュリティグループから第3のセキュリティグループとしてセキュリティグループを決定するステップは、
第1のセキュリティグループが少なくとも2つの第2のセキュリティグループ内のすべてのセキュリティグループに含まれる場合、少なくとも2つの第2のセキュリティグループから、最も小さいアドレス範囲を有するセキュリティグループを選択するステップ、または第1のセキュリティグループが少なくとも2つの第2のセキュリティグループ内のすべてのセキュリティグループを含む場合、少なくとも2つの第2のセキュリティグループから、最も大きいアドレス範囲を有するセキュリティグループを選択するステップ、または第1のセキュリティグループが少なくとも2つの第2のセキュリティグループ内の少なくとも1つの第2のセキュリティグループに含まれ、第1のセキュリティグループが少なくとも2つの第2のセキュリティグループ内の残りの第2のセキュリティグループをさらに含む場合、少なくとも1つの第2のセキュリティグループから、最も小さいアドレス範囲を有するセキュリティグループを選択するステップ、または残りの第2のセキュリティグループから、最も大きいアドレス範囲を有するセキュリティグループを選択するステップと、
選択されたセキュリティグループを第3のセキュリティグループとして決定するステップと
を含む。
任意選択的に、第1の処理命令に従って、第1のセキュリティグループと第3のセキュリティグループとの間の包含関係を処理するステップは、
第1のセキュリティグループおよび第3のセキュリティグループから、より大きなアドレス範囲を有するセキュリティグループを第4のセキュリティグループとして決定し、第1のセキュリティグループおよび第3のセキュリティグループから、より小さいアドレス範囲を有するセキュリティグループを第5のセキュリティグループとして決定するステップと、
第1の処理命令が第1の分割命令である場合、第4のセキュリティグループから第5のセキュリティグループのアドレス情報と同一のアドレス情報を削除して第1の子セキュリティグループを取得するステップと、
第1の処理命令が継承命令である場合、第5のセキュリティグループを二次セキュリティグループとして設定し、第5のセキュリティグループを第4のセキュリティグループの子グループとして設定するステップであって、二次セキュリティグループは、検査されたセキュリティグループ内の別のセキュリティグループとの包含関係を有するセキュリティグループであるステップと
を含む。
任意選択的に、第1のセキュリティグループと複数の第2のセキュリティグループとの間に包含関係または重複関係が存在するかどうかを判断するステップの後、方法は、
第1のセキュリティグループと複数の第2のセキュリティグループ内の少なくとも2つの第2のセキュリティグループとの間に重複関係が存在する場合、少なくとも2つの第2のセキュリティグループから第6のセキュリティグループとしてセキュリティグループを選択するステップと、
第2の確認プロンプト情報を表示するステップであって、第2の確認プロンプト情報は、第1のセキュリティグループと第6のセキュリティグループとの間の重複関係を処理するように管理者を促すために使用される、ステップと、
第2の確認プロンプト情報に従って第2の処理命令が受信された場合、第2の処理命令に従って、第1のセキュリティグループと第6のセキュリティグループとの間の重複関係を処理するステップと
をさらに含む。
任意選択的に、第2の処理命令に従って、第1のセキュリティグループと第6のセキュリティグループとの間の重複関係を処理するステップは、
第2の処理命令が旧グループを保持する命令である場合、第1のセキュリティグループ内にあり、第6のセキュリティグループ内のアドレス情報と同一であるアドレス情報を第2の子セキュリティグループにグループ分けし、第2の子セキュリティグループ内のアドレス情報以外の第1のセキュリティグループ内の他のアドレス情報を第3の子セキュリティグループにグループ分けするステップと、
第2の子セキュリティグループを二次セキュリティグループとして設定し、第2の子セキュリティグループを第6のセキュリティグループの子グループとして設定するステップと
を含む。
任意選択的に、第2の処理命令に従って、第1のセキュリティグループと第6のセキュリティグループとの間の重複関係を処理するステップは、
第2の処理命令が新グループを保持する命令である場合、第6のセキュリティグループ内にあり、第1のセキュリティグループ内のアドレス情報と同一であるアドレス情報を第4の子セキュリティグループにグループ分けし、第4の子セキュリティグループ内のアドレス情報以外の第6のセキュリティグループ内の他のアドレス情報を第5の子セキュリティグループにグループ分けするステップと、
第4の子セキュリティグループを二次セキュリティグループとして設定し、第4の子セキュリティグループを第1のセキュリティグループの子グループとして設定するステップと
を含む。
任意選択的に、第2の処理命令に従って、第1のセキュリティグループと第6のセキュリティグループとの間の重複関係を処理するステップは、
第2の処理命令が第2の分割命令である場合、第1のセキュリティグループおよび第6のセキュリティグループ内の同一のアドレス情報、第6のセキュリティグループ内のアドレス情報と同一のアドレス情報以外の第1のセキュリティグループ内の他のアドレス情報、第1のセキュリティグループ内のアドレス情報と同一のアドレス情報以外の第6のセキュリティグループ内の他のアドレス情報、の3つのセキュリティグループにそれぞれグループ分けするステップ
を含む。
任意選択的に、ポリシー構成命令に従って、指定されたルールを構成するステップは、
指定された送信元グループと指定された送信先グループの両方が一次セキュリティグループである場合、指定された送信元グループ、指定された送信先グループ、および指定されたアクションインジケータに従って、指定されたルールを構成するステップであって、一次セキュリティグループは、検査されたセキュリティグループ内の別のセキュリティグループとの包含関係または重複関係を有しない独立したセキュリティグループである、ステップ
を含む。
任意選択的に、ポリシー構成命令に従って、指定されたルールを構成し、ポリシー構成命令に従って、指定されたルールの格納順序を構成するステップは、
指定された送信元グループまたは指定された送信先グループが二次セキュリティグループである場合、第1のルールが構成されているかどうかを判断するステップであって、第1のルールは、指定された送信元グループの親グループと指定された送信先グループとの間のルール、指定された送信元グループと指定された送信先グループの親グループとの間のルール、または指定された送信元グループの親グループと指定された送信先グループの親グループとの間のルールである、ステップと、
第1のルールが構成されている場合、指定されたアクションインジケータが第1のルールに含まれるアクションインジケータと同一であるかどうかを判断するステップと、
指定されたアクションインジケータが第1のルールに含まれるアクションインジケータと同一である場合、指定されたルールの構成を禁止するステップと
を含む。
任意選択的に、指定されたアクションインジケータが第1のルールに含まれるアクションインジケータと同一であるかどうかを判断するステップの後、方法は、
指定されたアクションインジケータが第1のルールに含まれるアクションインジケータと競合する場合、指定された送信元グループ、指定された送信先グループ、および指定されたアクションインジケータに従って、指定されたルールを構成するステップと、
指定されたルールの格納順序が第1のルールの格納順序に先行することを設定するステップと
をさらに含む。
任意選択的に、指定されたルールの構成を禁止するステップの後、方法は、
指定されたルールの構成が禁止されており、指定されたルールが冗長ルールであることを管理者に促すための「構成禁止」プロンプト情報を表示するステップ
をさらに含む。
任意選択的に、ポリシー構成命令に従って、指定されたルールを構成し、ポリシー構成命令に従って、指定されたルールの格納順序を構成するステップは、
指定された送信元グループが二次セキュリティグループであり、指定された送信先グループが第7のセキュリティグループの親グループである場合、または指定された送信元グループが第8のセキュリティグループの親グループであり、指定された送信先グループが二次セキュリティグループである場合、第2のルールが構成されているかどうかを判断するステップであって、指定された送信元グループが二次セキュリティグループであり、指定された送信先グループが第7のセキュリティグループの親グループであるとき、第2のルールは、指定された送信元グループの親グループと指定された送信先グループとの間のルール、または指定された送信元グループと第7のセキュリティグループとの間のルールであり、あるいは指定された送信元グループが第8のセキュリティグループの親グループであり、指定された送信先グループが二次セキュリティグループであるとき、第2のルールは、指定された送信元グループと指定された送信先グループとの間のルール、または第8のセキュリティグループと指定された送信先グループの親グループとの間のルールであり、第7のセキュリティグループと第8のセキュリティグループは、検査されたセキュリティグループ内の任意のセキュリティグループである、ステップと、
第2のルールが構成されている場合、指定されたアクションインジケータが第2のルールに含まれるアクションインジケータと同一であるかどうかを判断するステップと、
指定されたアクションインジケータが第2のルールに含まれるアクションインジケータと同一である場合、指定された送信元グループ、指定された送信先グループ、および指定されたアクションインジケータに従って、指定されたルールを構成するステップと
を含む。
任意選択的に、指定されたアクションインジケータが第2のルールに含まれるアクションインジケータと同一であるかどうかを判断するステップの後、方法は、
指定されたアクションインジケータが第2のルールに含まれるアクションインジケータと競合する場合、ポリシー競合プロンプト情報を表示して、指定されたルールおよび第2のルールの格納順序を設定するように管理者を促すステップと、
管理者のソート操作を受け付けたときに、ソート操作に従って、指定されたルールおよび第2のルールの格納順序を設定するステップと
をさらに含む。
前述の任意の技術的解決策はすべて、本発明の任意の実施形態を形成するためにランダムに組み合わせることができる。これは、本発明のこの実施形態では詳細には説明しない。
図3は、本発明の一実施形態によるフロー制御方法のフローチャートである。図3を参照すると、本方法は以下のステップを含む。
フロー制御を実行する前に、パケット交換装置は、フロー制御を実行するための少なくとも2つのルールおよび少なくとも2つのルールの格納順序を構成する必要がある。少なくとも2つのルールおよび少なくとも2つのルールの格納順序を構成するための方法は、以下のステップ301からステップ303を含むことができる。
ステップ301:複数のアドレス情報がそれぞれ属するホストの属性情報に従って、格納された複数のアドレス情報を少なくとも2つのセキュリティグループにグループ分けし、属性情報はサービス種別またはセキュリティレベルを含む。
格納された複数のアドレス情報を、フロー制御が実行される必要のあるアドレス情報とすることができ、アドレス情報はIPアドレスを含むだけでなく、必ずポート番号を含むことができる。これは、本発明のこの実施形態において特に限定されない。また、複数のアドレス情報を複数のセキュリティグループにグループ分けする際に、パケット交換装置は、各アドレス情報が属するホストのサービス種別を取得し、取得されたサービス種別に従って、複数のアドレス情報を少なくとも2つにグループ分けすることができ、このため、グループ分け後に、各セキュリティグループは同じサービス種別に対応するアドレス情報を含む。勿論、実際のアプリケーションでは、パケット交換装置は、複数のアドレス情報を他の方法でセキュリティグループにグループ分けしてもよく、例えば、各アドレス情報が属するホストのセキュリティレベルに従ってグループ分けを行ってもよい。これは、本発明のこの実施形態において特に限定されない。
なお、本発明のこの実施形態では、ホストは、ネットワーク通信を行うサーバや端末などの装置であってもよい。これは、本発明のこの実施形態において特に限定されない。
ステップ302:少なくとも2つのセキュリティグループを検査し、検査されたセキュリティグループでは、高レベルのセキュリティグループが低レベルのセキュリティグループを完全に含むことができ、同じレベルのセキュリティグループが互いに重複することなく完全に独立しており、レベルは、セキュリティグループが親グループ、子グループ、または独立したセキュリティグループのいずれであるかを示すために使用される。
フロー制御を行うルールを構成する場合、冗長ルールと不正ルールはフロー制御に機能を提供しないため、冗長ルールと不正ルールの発生を回避するために、少なくとも2つのセキュリティグループを検査することができる。図4に示すように、少なくとも2つのセキュリティグループを検査するステップは、次のステップ3021からステップ3026を含むことができる。
ステップ3021:第1のセキュリティグループと複数の第2のセキュリティグループとの間に包含関係または重複関係が存在するかどうかを判断し、第1のセキュリティグループと複数の第2のセキュリティグループ内の少なくとも2つの第2のセキュリティグループとの間に包含関係が存在する場合、ステップ3022を実行し、第1のセキュリティグループと複数の第2のセキュリティグループ内の少なくとも2つの第2のセキュリティグループとの間に重複関係が存在する場合、ステップ3025を実行し、第1のセキュリティグループは少なくとも2つのセキュリティグループ内の検査されていないセキュリティグループであり、複数の第2のセキュリティグループは少なくとも2つのセキュリティグループ内の検査されたセキュリティグループであり、包含関係とは、第1のセキュリティグループが第2のセキュリティグループのサブセットであるか、第2のセキュリティグループが第1のセキュリティグループのサブセットであることを意味し、重複関係とは、第1のセキュリティグループと第2のセキュリティグループとの間に共通部分が存在し、第1のセキュリティグループが第2のセキュリティグループと等しくないことを意味する。
各セキュリティグループには少なくとも1つのアドレス情報が含まれている。したがって、第1のセキュリティグループと複数の第2のセキュリティグループとの間に包含関係が存在するかどうかが判断される場合には、第1のセキュリティグループに含まれるアドレス情報に従って、第1のセキュリティグループのアドレス範囲が決定され得、複数の第2のセキュリティグループに含まれるアドレス情報に従って、複数の第2のセキュリティグループのアドレス範囲がそれぞれ決定される。第1のセキュリティグループのアドレス範囲は、複数の第2のセキュリティグループのアドレス範囲とは別個に比較される。第1のセキュリティグループのアドレス範囲が複数の第2のセキュリティグループ内の少なくとも2つの第2のセキュリティグループのアドレス範囲を含む場合、または複数の第2のセキュリティグループ内の少なくとも2つの第2のセキュリティグループのアドレス範囲が第1のセキュリティグループのアドレス範囲を含む場合、または第1のセキュリティグループのアドレス範囲が少なくとも2つの第2のセキュリティグループ内の少なくとも1つの第2のセキュリティグループのアドレス範囲に含まれ、第1のセキュリティグループのアドレス範囲が少なくとも2つの第2のセキュリティグループ内の残りの第2のセキュリティグループのアドレス範囲をさらに含む場合、第1のセキュリティグループと複数の第2のセキュリティグループとの間に包含関係が存在すると判断され、第1のセキュリティグループのアドレス範囲が複数の第2のセキュリティグループ内の少なくとも2つの第2のセキュリティグループのアドレス範囲を含まず、複数の第2のセキュリティグループ内の少なくとも2つの第2のセキュリティグループのアドレス範囲が第1のセキュリティグループのアドレス範囲を含まず、第1のセキュリティグループのアドレス範囲が少なくとも2つの第2のセキュリティグループ内の少なくとも1つの第2のセキュリティグループのアドレス範囲に含まれず、第1のセキュリティグループのアドレス範囲が少なくとも2つの第2のセキュリティグループ内の残りの第2のセキュリティグループのアドレス範囲を含まない場合、第1のセキュリティグループと複数の第2のセキュリティグループとの間に包含関係が存在しないと判断される。第1のセキュリティグループのアドレス範囲と複数の第2のセキュリティグループの少なくとも2つの第2のセキュリティグループのアドレス範囲との間に共通部分が存在し、第1のセキュリティグループのアドレス範囲が少なくとも2つの第2のセキュリティグループのアドレス範囲と等しくない場合、第1のセキュリティグループと複数の第2のセキュリティグループとの間に重複関係が存在すると判断され、第1のセキュリティグループのアドレス範囲と複数の第2のセキュリティグループの少なくとも2つの第2のセキュリティグループのアドレス範囲との間に共通部分が存在しない場合、または第1のセキュリティグループのアドレス範囲が少なくとも2つの第2のセキュリティグループのアドレス範囲と等しい場合、第1のセキュリティグループと複数の第2のセキュリティグループとの間に重複関係が存在しないと判断される。
例えば、第1のセキュリティグループのアドレス範囲は10.1.1.0〜10.1.1.255であり、複数の第2のセキュリティグループはそれぞれセキュリティグループAとセキュリティグループBであり、セキュリティグループAのアドレス範囲は10.1.1.0〜10.1.1.127であり、セキュリティグループBのアドレス範囲は10.1.1.0〜10.1.1.32である。第1のセキュリティグループのアドレス範囲10.1.1.0〜10.1.1.255には、セキュリティグループAのアドレス範囲10.1.1.0〜10.1.1.127が含まれ、第1のセキュリティグループのアドレス範囲には、セキュリティグループBのアドレス範囲10.1.1.0〜10.1.1.32がさらに含まれるため、第1のセキュリティグループと複数の第2のセキュリティグループとの間に包含関係が存在する。
別の例では、第1のセキュリティグループのアドレス範囲は10.1.1.3/32、10.1.1.4/32、および10.1.1.5/32であり、複数の第2のセキュリティグループはそれぞれセキュリティグループAとセキュリティグループBであり、セキュリティグループAのアドレス範囲は10.1.1.5/32および10.1.1.6/32であり、セキュリティグループBのアドレス範囲は10.1.1.3/32、10.1.1.5/32、および10.1.1.6/32である。第1のセキュリティグループとセキュリティグループAおよびセキュリティグループBの各々との間には共通部分のアドレス10.1.1.5/32が存在し、第1のセキュリティグループのアドレス範囲はセキュリティグループAのアドレス範囲と異なり、第1のセキュリティグループのアドレス範囲もセキュリティグループBのアドレス範囲と異なる。したがって、第1のセキュリティグループと複数の第2のセキュリティグループとの間に重複関係が存在する。
なお、セキュリティグループのアドレス範囲は、セキュリティグループに含まれるアドレス情報が網羅する範囲である。これは、本発明のこの実施形態において特に限定されない。
また、フロー制御を実行するための少なくとも2つのルールと少なくとも2つのルールの格納順序を構成する装置は、パケット交換装置であってもよいし、勿論、パケット交換装置以外の装置であってもよい。本発明のこの実施形態では、少なくとも2つのルールと少なくとも2つのルールの格納順序を構成する装置がパケット交換装置である例を用いて説明し、パケット交換装置はスイッチやルータなどのネットワーク装置であってもよい。これは、本発明のこの実施形態において特に限定されない。
ステップ3022:少なくとも2つの第2のセキュリティグループから第3のセキュリティグループとしてセキュリティグループを決定し、第1の確認プロンプト情報を表示し、第1の確認プロンプト情報を使用して、第1のセキュリティグループと第3のセキュリティグループとの間の包含関係を処理するように管理者を促す。
複数の第2のセキュリティグループ内の第1のセキュリティグループと少なくとも2つの第2のセキュリティグループとの間に包含関係が存在する場合、管理者がフロー制御を実行するための要件を満たすために、包含関係を処理する複数の方法があってもよく、少なくとも2つの第2セキュリティグループ間に包含関係が存在してもよいため、パケット交換装置は、少なくとも2つの第2のセキュリティグループから第3のセキュリティグループとしてセキュリティグループを決定し、第1の確認プロンプト情報を表示し、管理者が、第1の確認プロンプト情報に従って包含関係を処理するようにする。
例えば、第1のセキュリティグループはセキュリティグループCであり、第3のセキュリティグループはセキュリティグループAである。パケット交換装置は、図5に示す第1の確認プロンプト情報を表示してもよく、第1の確認プロンプト情報は、分割ボタンと継承ボタンを含んでもよい。管理者が分割ボタンを押すと、第1の分割命令をトリガすることができ、第1の分割命令を使用してセキュリティグループを2つの子セキュリティグループに分割する。管理者が継承ボタンを押下すると、継承命令をトリガすることができ、継承命令を使用してセキュリティグループを別のセキュリティグループの子グループとして設定する。
パケット交換装置によって少なくとも2つの第2のセキュリティグループから第3のセキュリティグループとしてセキュリティグループを決定する操作は、第1のセキュリティグループが少なくとも2つの第2のセキュリティグループ内のすべてのセキュリティグループに含まれる場合、少なくとも2つの第2のセキュリティグループから、最も小さいアドレス範囲を有するセキュリティグループを選択すること、または第1のセキュリティグループが少なくとも2つの第2のセキュリティグループ内のすべてのセキュリティグループを含む場合、少なくとも2つの第2のセキュリティグループから、最も大きいアドレス範囲を有するセキュリティグループを選択するステップ、または第1のセキュリティグループが少なくとも2つの第2のセキュリティグループ内の少なくとも1つの第2のセキュリティグループに含まれ、第1のセキュリティグループが少なくとも2つの第2のセキュリティグループ内の残りの第2のセキュリティグループをさらに含む場合、少なくとも1つの第2のセキュリティグループから、最も小さいアドレス範囲を有するセキュリティグループを選択するステップ、または少なくとも2つの第2のセキュリティグループ内の少なくとも1つの第2のセキュリティグループ以外の残りの第2のセキュリティグループから、最も大きいアドレス範囲を有するセキュリティグループを選択すること、および、選択されたセキュリティグループを第3のセキュリティグループとして決定することであり得る。
例えば、第1のセキュリティグループは少なくとも2つの第2のセキュリティグループ内のすべてのセキュリティグループを含み、第1のセキュリティグループのアドレス範囲は10.1.1.0〜10.1.1.255であり、少なくとも2つの第2のセキュリティグループはそれぞれセキュリティグループAとセキュリティグループBであり、セキュリティグループAのアドレス範囲は10.1.1.0〜10.1.1.127であり、セキュリティグループBのアドレス範囲は10.1.1.0〜10.1.1.32である。セキュリティグループAのアドレス範囲がセキュリティグループBのアドレス範囲よりも大きいため、セキュリティグループAは少なくとも2つの第2のセキュリティグループから選択され、セキュリティグループAは第3のセキュリティグループとして決定される。
さらに、第1のセキュリティグループと複数の第2のセキュリティグループとの間に包含関係または重複関係が存在しない場合、第1のセキュリティグループは、一次セキュリティグループとして直接設定される。一次セキュリティグループは、検査されたセキュリティグループ内の他のセキュリティグループとの包含関係または重複関係を有しない独立したセキュリティグループである。
ステップ3023:第1の確認プロンプト情報に従って、第1の処理命令が受信された場合、第1のセキュリティグループおよび第3のセキュリティグループから、より大きなアドレス範囲を有するセキュリティグループを第4のセキュリティグループとして決定し、第1のセキュリティグループおよび第3のセキュリティグループから、より小さいアドレス範囲を有するセキュリティグループを第5のセキュリティグループとして決定する。
第1のセキュリティグループと第3のセキュリティグループとの間に包含関係が存在するため、包含関係を処理するために、パケット交換装置は、第1のセキュリティグループおよび第3のセキュリティグループから第4のセキュリティグループとしてセキュリティグループを決定し、第1のセキュリティグループおよび第3のセキュリティグループ内の他のセキュリティグループを第5のセキュリティグループとして使用する。パケット交換装置は、第4のセキュリティグループと第5のセキュリティグループを決定する際に、第1のセキュリティグループのアドレス範囲と第3のセキュリティグループのアドレス範囲に従って、より大きなアドレス範囲を有するセキュリティグループを選択し、選択されたセキュリティグループを第4のセキュリティグループとして選択し、選択されていないセキュリティグループを第5のセキュリティグループとして決定することができる。
例えば、図6に示すように、セキュリティグループCとセキュリティグループAとの間に包含関係が存在し、セキュリティグループCのアドレス範囲は10.1.1.0〜10.1.1.255であり、セキュリティグループAのアドレス範囲は10.1.1.0〜10.1.1.127である。この場合、セキュリティグループCにはセキュリティグループAが含まれている。したがって、より大きなアドレス範囲を有するセキュリティグループCを選択することができ、選択されたセキュリティグループCを第4のセキュリティグループとして決定し、選択されていないセキュリティグループAを第5のセキュリティグループとして決定する。
なお、第1の処理命令は、第1の分割命令および継承命令を含んでもよく、第1の処理命令は管理者によってトリガされてもよい。管理者は、指定された操作によって命令をトリガすることができる。指定された操作には、対応するボタンを押下する操作が含まれていてもよいし、スライド操作や音声操作などが含まれていてもよい。これは、本発明のこの実施形態において特に限定されない。
ステップ3024:第1の処理命令が第1の分割命令である場合、第4のセキュリティグループから、第5のセキュリティグループのアドレス情報と同一のアドレス情報を削除して、第1の子セキュリティグループを取得し、第1の処理命令が継承命令である場合、第5のセキュリティグループを二次セキュリティグループとして設定し、第5のセキュリティグループを第4のセキュリティグループの子グループとして設定し、二次セキュリティグループは、検査されたセキュリティグループ内の別のセキュリティグループとの包含関係を有するセキュリティグループである。
なお、第1の処理命令が分割命令である場合、第4のセキュリティグループが第3のセキュリティグループであれば、第1の子セキュリティグループは、第5のセキュリティグループのアドレス情報と同一のアドレス情報以外の第4のセキュリティグループ内の他のアドレス情報を含むため、第1の子セキュリティグループのレベルが第4のセキュリティグループのレベルと同一であると設定されてもよい。
第4のセキュリティグループの子グループとしての第5のセキュリティグループを設定することは、第4のセキュリティグループを第5のセキュリティグループの親グループとして設定することである。この場合、第4のセキュリティグループと第5のセキュリティグループとの関係は、親グループと子グループとの関係であり、子グループは親グループのルールを継承してもよい。したがって、管理者の繰り返しの構成操作が軽減され、ルールの構成効率やルールの格納順序が向上する。
例えば、図7(a)に示すように、セキュリティグループCはセキュリティグループAを含み、セキュリティグループCのアドレス範囲は10.1.1.0〜10.1.1.255であり、セキュリティグループAのアドレス範囲は10.1.1.0〜10.1.1.127である。第1の処理命令が第1の分割命令である場合、パケット交換装置は、セキュリティグループAのアドレス情報と同一のアドレス情報をセキュリティグループCから削除して、第1の子セキュリティグループa1を取得することができ、第1の子セキュリティグループa1のアドレス範囲は10.1.1.128〜10.1.1.255である。
別の例では、図7(b)に示すように、第1の処理命令が継承命令である場合には、パケット交換装置は、セキュリティグループAを二次セキュリティグループとして設定し、セキュリティグループAをセキュリティグループCの子グループとして設定してもよい。
また、第1の処理命令が第1の分割命令である場合、第4のセキュリティグループが第1のセキュリティグループであれば、パケット交換装置が第5のセキュリティグループのアドレス情報と同一のアドレス情報を第4のセキュリティグループから削除して第1の子セキュリティグループを取得した後、パケット交換装置は、第1の子セキュリティグループを複数の第2のセキュリティグループにさらに格納して、複数の第2のセキュリティグループを更新することができる。ただし、第4のセキュリティグループが第3のセキュリティグループであれば、パケット交換装置は、複数の第2のセキュリティグループ内の第3のセキュリティグループを第1の子セキュリティグループに置き換えて複数の第2のセキュリティグループを更新することができる。第1の処理命令が継承命令である場合、第4のセキュリティグループが第1のセキュリティグループであれば、パケット交換装置は、第4のセキュリティグループを複数の第2のセキュリティグループに直接格納して、複数の第2のセキュリティグループを更新することができる。第4のセキュリティグループが第3のセキュリティグループである場合、パケット交換装置は、第5のセキュリティグループを複数の第2のセキュリティグループに格納して、複数の第2のセキュリティグループを更新することができる。
第1のセキュリティグループが少なくとも2つの第2のセキュリティグループ内の少なくとも1つの第2のセキュリティグループに含まれ、第1のセキュリティグループが少なくとも2つの第2のセキュリティグループに残りの第2のセキュリティグループをさらに含む場合、パケット交換装置が、第1の処理命令に従って、第1のセキュリティグループと第3のセキュリティグループとの間の包含関係を処理した後、パケット交換装置は、包含関係処理後に取得されたセキュリティグループを第1のセキュリティグループとしてさらに使用し、上記ステップ3021を再度実行することができる。
ステップ3025:少なくとも2つの第2のセキュリティグループから第6のセキュリティグループとしてセキュリティグループを選択し、第2の確認プロンプト情報を表示し、第2の確認プロンプト情報を使用して、第1のセキュリティグループと第6のセキュリティグループとの間の重複関係を処理するように管理者を促す。
具体的には、少なくとも2つの第2のセキュリティグループ間に包含関係が存在するかどうかが判断される。少なくとも2つの第2のセキュリティグループ間に包含関係が存在する場合、少なくとも2つの第2のセキュリティグループの中からアドレス範囲が最も小さい第2のセキュリティグループを選択することができ、選択された第2のセキュリティグループを第6のセキュリティグループとして決定する。少なくとも2つの第2のセキュリティグループ間に包含関係が存在しない場合、パケット交換装置は、少なくとも2つの第2のセキュリティグループの中から第2のセキュリティグループをランダムに選択し、選択された第2のセキュリティグループを第6のセキュリティグループとして決定することができる。
例えば、少なくとも2つの第2のセキュリティグループは、それぞれセキュリティグループAとセキュリティグループBであり、セキュリティグループAのアドレス範囲は10.1.1.5/32と10.1.1.6/32であり、セキュリティグループBのアドレス範囲は、10.1.1.3/32、10.1.1.5/32、および10.1.1.6/32である。この場合、セキュリティグループBにはセキュリティグループAが含まれている。したがって、より小さいアドレス範囲を有するセキュリティグループAを選択することができ、第6のセキュリティグループとしてセキュリティグループAを決定する。
ステップ3026:第2の確認プロンプト情報に従って第2の処理命令が受信された場合、第2の処理命令に従って、第1のセキュリティグループと第6のセキュリティグループとの間の重複関係を処理する。
なお、第2の処理命令には、旧グループを保持する命令、新グループを保持する命令、または第2の分割命令が含まれていてもよく、第2の処理命令は管理者によってトリガされてもよい。管理者は、指定された操作によって命令をトリガすることができる。これは、本発明のこの実施形態において特に限定されない。
第2の処理命令は、旧グループを保持する命令、新グループを保持する命令、または第2の分割命令を含むので、重複関係を処理する3つの方法を含むことができる。さらに、第1のセキュリティグループと第6のセキュリティグループとの間の重複関係が第2の処理命令に従って処理される場合に、3つのケースを含むことができる。
ケース1:第2の処理命令が旧グループを保持する命令である場合、第1のセキュリティグループ内の第6のセキュリティグループのアドレス情報と同一のアドレス情報を第2の子セキュリティグループにグループ分けし、第2の子セキュリティグループ内のアドレス情報以外の第1のセキュリティグループ内の他のアドレス情報を第3の子セキュリティグループにグループ分けし、第2の子セキュリティグループを二次セキュリティグループとして設定し、第2の子セキュリティグループを第6のセキュリティグループの子グループとして設定する。
なお、旧グループを保持する命令は、第6のセキュリティグループの完全性を保持し、第1のセキュリティグループを分割するために使用される。
例えば、図8(a)に示すように、第1のセキュリティグループはセキュリティグループCであり、セキュリティグループCのアドレス範囲は、10.1.1.3/32、10.1.1.4/32、および10.1.1.5/32であり、第6のセキュリティグループはセキュリティグループAであり、セキュリティグループAのアドレス範囲は、10.1.1.5/32および10.1.1.6/32である。第2の処理命令が旧グループを保持する命令である場合、セキュリティグループC内のセキュリティグループAのアドレス情報と同一のアドレス情報を第2の子セキュリティグループa2にグループ分けし、第2の子セキュリティグループa2のアドレス範囲は10.1.1.5/32であり、第2の子セキュリティグループa2のアドレス情報以外のセキュリティグループC内の他のアドレス情報を第3の子セキュリティグループa3にグループ分けし、第3の子セキュリティグループa3のアドレス範囲は10.1.1.3/32および10.1.1.4/32であり、第2の子セキュリティグループa2は二次セキュリティグループとして設定され、第2の子セキュリティグループa2は第6のセキュリティグループAの子グループとして設定される。
また、パケット交換装置は、第2の子セキュリティグループ、第3子セキュリティグループ、および第6のセキュリティグループに従って、複数の第2のセキュリティグループを更新することができる。具体的には、パケット交換装置は、複数の第2のセキュリティグループに第2の子セキュリティグループと第3の子セキュリティグループを格納し、複数の第2のセキュリティグループを更新する。
ケース2:第2の処理命令が新グループを保持する命令である場合、第6のセキュリティグループ内の第1のセキュリティグループのアドレス情報と同一のアドレス情報を第4の子セキュリティグループにグループ分けし、第4の子セキュリティグループ内のアドレス情報以外の第6のセキュリティグループ内の他のアドレス情報を第5の子セキュリティグループにグループ分けし、第4の子セキュリティグループを二次セキュリティグループとして設定し、第4の子セキュリティグループを第1のセキュリティグループの子グループとして設定する。
第5の子セキュリティグループは、第1のセキュリティグループのアドレス情報と同一のアドレス情報以外の第6のセキュリティグループ内の他のアドレス情報を含む。したがって、第5の子セキュリティグループのレベルが第6のセキュリティグループのレベルと同一であると設定されてもよい。
なお、新グループを保持する命令は、第1のセキュリティグループの完全性を保持し、第6のセキュリティグループを分割するために使用される。
例えば、図8(b)に示すように、第1のセキュリティグループはセキュリティグループCであり、セキュリティグループCのアドレス範囲は、10.1.1.3/32、10.1.1.4/32、および10.1.1.5/32であり、第6のセキュリティグループはセキュリティグループAであり、セキュリティグループAのアドレス範囲は、10.1.1.5/32および10.1.1.6/32である。第2の処理命令が新グループを保持する命令である場合、セキュリティグループA内のセキュリティグループCのアドレス情報と同一のアドレス情報を第4の子セキュリティグループc1にグループ分けし、第4の子セキュリティグループc1のアドレス範囲は10.1.1.5/32であり、第4の子セキュリティグループc1のアドレス情報以外のセキュリティグループA内の他のアドレス情報を第5の子セキュリティグループにグループ分けし、第5の子セキュリティグループのアドレス範囲は10.1.1.6/32であり、第4の子セキュリティグループc1は二次セキュリティグループとして設定され、第4の子セキュリティグループc1はセキュリティグループCの子グループとして設定される。
また、パケット交換装置は、第4の子セキュリティグループ、第5の子セキュリティグループ、および第1のセキュリティグループに従って、複数の第2のセキュリティグループを更新することができる。具体的には、パケット交換装置は、複数の第2セキュリティグループ内の第6のセキュリティグループを第4の子セキュリティグループおよび第5の子セキュリティグループに置き換え、複数の第2セキュリティグループに第1のセキュリティグループを格納して複数の第2のセキュリティグループを更新する。
ケース3:第2の処理命令が第2の分割命令である場合、第1のセキュリティグループと第6のセキュリティグループの同一アドレス情報、第6のセキュリティグループ内のアドレス情報と同一のアドレス情報以外の第1のセキュリティグループ内の他のアドレス情報、および第1のセキュリティグループ内のアドレス情報と同一のアドレス情報以外の第6のセキュリティグループ内の他のアドレス情報を3つのセキュリティグループにそれぞれグループ分けする。
なお、第2の分割命令を使用して、第1のセキュリティグループと第6のセキュリティグループの同一アドレス情報、第6のセキュリティグループ内のアドレス情報と同一のアドレス情報以外の第1のセキュリティグループ内の他のアドレス情報、および第1のセキュリティグループ内のアドレス情報と同一のアドレス情報以外の第6のセキュリティグループ内の他のアドレス情報の、3つのセキュリティグループにそれぞれグループ分けする。
例えば、図8(c)に示すように、第1のセキュリティグループはセキュリティグループCであり、セキュリティグループCのアドレス範囲は、10.1.1.3/32、10.1.1.4/32、および10.1.1.5/32であり、第6のセキュリティグループはセキュリティグループAであり、セキュリティグループAのアドレス範囲は、10.1.1.5/32および10.1.1.6/32である。第2の処理命令が第2の分割命令である場合、セキュリティグループAとセキュリティグループCの同一アドレス情報、第6のセキュリティグループ内のアドレス情報と同一のアドレス情報以外の第1のセキュリティグループC内の他のアドレス情報、および第1のセキュリティグループ内のアドレス情報と同一のアドレス情報以外の第6のセキュリティグループA内の他のアドレス情報を3つのセキュリティグループにそれぞれグループ分けする。3つのセキュリティグループは、それぞれセキュリティグループD、E、Fである。セキュリティグループDのアドレス範囲は10.1.1.5/32であり、セキュリティグループEのアドレス範囲は10.1.1.3/32および10.1.1.4/32であり、セキュリティグループFのアドレス範囲は10.1.1.6/32である。
また、パケット交換装置は、グループ分けにより取得された3つのセキュリティグループに従って、複数の第2のセキュリティグループを更新してもよい。具体的には、パケット交換装置は、複数の第2セキュリティグループ内の第6のセキュリティグループを3つのセキュリティグループに置き換えて複数の第2のセキュリティグループを更新する。
また、本発明のこの実施形態では、パケット交換装置は、上記3つのケースにおいて、第1のセキュリティグループと第6のセキュリティグループとの間の重複関係を処理し得るだけでなく、勿論、実際のアプリケーションにおいては他のやり方で処理を行うことができる。例えば、パケット交換装置は、第1のセキュリティグループから、第6のセキュリティグループのアドレス情報と同一のアドレス情報を削除してもよく、パケット交換装置は、第6のセキュリティグループから、第1のセキュリティグループのアドレス情報と同一のアドレス情報を削除してもよい。これは、本発明のこの実施形態において特に限定されない。
なお、パケット交換装置が少なくとも2つの第2のセキュリティグループから第2のセキュリティグループを第6のセキュリティグループとしてランダムに選択した後、およびパケット交換装置が第2の処理命令に従って、第1のセキュリティグループと第6のセキュリティグループとの間の重複関係を処理した後、少なくとも2つの第2のセキュリティグループ間に包含関係が存在しない場合には、パケット交換装置は、重複関係処理の後に得られたセキュリティグループを第1のセキュリティグループとしてさらに利用し、前のステップ3021に戻って再度実行してもよい。
ステップ303:ポリシー構成命令を受信し、ポリシー構成命令は、指定された送信元グループ、指定された送信先グループ、および指定されたアクションインジケータを運び、ポリシー構成命令に従って、指定されたルールを構成し、ポリシー構成命令に従って、指定されたルールの格納順序を構成し、指定されたルールは、少なくとも2つの構成されるべきルール内の任意のルールである。
以上のステップ301において、グループ分けにより取得された少なくとも2つのセキュリティグループを検査した後に、検査されたセキュリティグループにおいて、高レベルのセキュリティグループが低レベルのセキュリティグループを完全に含むことができ、同じレベルのセキュリティグループは重複することなく互いに完全に独立していることが保証される。したがって、パケット交換装置は、検査されたセキュリティグループを表示することができる。パケット交換装置は、表示されたセキュリティグループに従って送信元グループ選択命令を受信すると、送信元グループ選択命令で運ばれるセキュリティグループを指定された送信元グループとして決定する。パケット交換装置は、表示されたセキュリティグループに従って送信先グループ選択命令を受信すると、送信先グループ選択命令で運ばれるセキュリティグループを指定された送信先グループとして決定する。
なお、送信元グループ選択命令は、表示されたセキュリティグループから指定された送信元グループを選択するために使用され、送信先グループ選択命令は、表示されたセキュリティグループから指定された送信先グループを選択するために使用される。ポリシー構成命令は、指定された送信元グループおよび指定された送信先グループに対して指定されたポリシーを構成して、指定されたルールを生成するために使用される。さらに、送信元グループ選択命令、送信先グループ選択命令、およびポリシー構成命令はすべて、管理者によってトリガされてもよく、管理者は指定された操作によって命令をトリガしてもよい。これは、本発明のこの実施形態において特に限定されない。
指定された送信元グループと指定された送信先グループは、相互に独立したセキュリティグループ間の関係にあり得るだけでなく、子グループと親グループとの関係にある場合もある。指定された送信元グループ、指定された送信先グループ、および指定されたアクションインジケータに従って、指定されたルールを構成し、指定されたルールの格納順序を構成する方法は、次の3つのケースを含むことができる。
ケース1:指定された送信元グループと指定された送信先グループの両方が一次セキュリティグループである場合、指定された送信元グループ、指定された送信先グループ、および指定されたアクションインジケータに従って、指定されたルールが構成され、指定されたルールの格納順序が構成される。
指定された送信元グループと指定された送信先グループの両方が一次セキュリティグループである場合、指定された送信元グループと指定された送信先グループは相互に独立したセキュリティグループであり、冗長ルールまたは不正ルールは存在しないと判断される。この場合、パケット交換装置は、指定された送信元グループ、指定された送信先グループ、指定されたアクションインジケータに従って、指定されたルールを直接構成し、指定されたルールの格納順序を構成することができる。
例えば、セキュリティグループEのアドレス範囲は10.1.1.0/24であり、セキュリティグループFのアドレス範囲は10.1.2.0/24であり、セキュリティグループEとセキュリティグループFの両方が一次セキュリティグループである。この場合、管理者は指定されたルールを構成することができる。指定されたルールでは、指定された送信元グループはセキュリティグループEであり、送信先グループはセキュリティグループFであり、アクションインジケータは「禁止」である。アクションインジケータが「禁止」であることは、セキュリティグループE内のアドレスがセキュリティグループF内のアドレスにアクセスすることを禁止されていることを示す。
なお、相互に独立したセキュリティグループも独立したルールを形成するが、相互に独立したルールは順序関係を有しない、すなわち、相互に独立したルールの格納順序はフロー制御に影響を与えない。したがって、本発明のこの実施形態では、指定されたルールの格納順序は、指定されたルールの構成時間に従って構成され得るだけでなく、勿論、実際のアプリケーションにおいては、ランダム順序などの他のやり方で構成され得る。これは、本発明のこの実施形態において特に限定されない。
ケース2:指定された送信元グループまたは指定された送信先グループが二次セキュリティグループである場合、第1のルールが構成されているかどうかが判断される。第1のルールは、指定された送信元グループの親グループと指定された送信先グループとの間のルール、指定された送信元グループと指定された送信先グループの親グループとの間のルール、または指定された送信元グループの親グループと指定された送信先グループの親グループとの間のルールである。第1のルールが構成されている場合、指定されたアクションインジケータが第1のルールに含まれているアクションインジケータと同一であるかどうかが判断され、指定されたアクションインジケータが第1のルールに含まれるアクションインジケータと同一である場合、指定されたルールの構成は禁止される。
例えば、セキュリティグループEのアドレス範囲は10.1.1.0/25であり、セキュリティグループEの親グループはセキュリティグループMであり、セキュリティグループMのアドレス範囲は10.1.1.0/24である。セキュリティグループFのアドレス範囲は10.1.2.0/25であり、セキュリティグループFの親グループはセキュリティグループNであり、セキュリティグループNのアドレス範囲は10.1.2.0/24である。管理者がセキュリティグループEによってセキュリティグループFにアクセスするための指定されたルールを構成する場合、第1のルールが構成されているかどうかが判断される。第1のルールは、セキュリティグループEとセキュリティグループNの間のルール、セキュリティグループMとセキュリティグループFの間のルール、またはセキュリティグループMとセキュリティグループNの間のルールである。第1のルールが構成されている場合、指定されたアクションインジケータが第1のルールに含まれるアクションインジケータと同一であるかどうかが判断され、指定されたアクションインジケータが第1のルールに含まれるアクションインジケータと同一である場合、指定されたルールの構成は禁止される。
任意選択的に、指定されたアクションインジケータが第1のルールに含まれるアクションインジケータと同一であると判断した場合、パケット交換装置は、指定されたルールは冗長ルールであると判断し、「構成禁止」プロンプト情報をさらに表示して、指定されたルールの構成が禁止され、指定されたルールが冗長ルールであることを管理者に促すことができる。
さらに、指定されたアクションインジケータが第1のルールに含まれるアクションインジケータと競合する場合、指定された送信元グループ、指定された送信先グループ、および指定されたアクションインジケータに従って、指定されたルールが構成され、指定されたルールの格納順序が第1のルールの格納順序に先行するように設定される。本出願のこの実施形態では、優先順位が高い格納順序に関してルールが先頭にランク付けされた例を説明のために使用する。これは、既存のACLのルールマッチング方法とのより良い互換性を達成することを目的としている。
第1のルールが構成され、指定されたアクションインジケータが第1のルールに含まれるアクションインジケータと同一である場合、指定されたルールのアドレス範囲が第1のルールのアドレス範囲より小さく、指定されたルールのアドレス範囲が第1のルールのアドレス範囲に含まれているため、指定されたアクションインジケータが位置する指定されたルールのアドレス範囲が第1のルールのアドレス範囲と重複していると判断され、指定されたルールが冗長ルールであるとさらに判断されてもよい。ただし、第1のルールが構成され、指定されたアクションインジケータが第1のルールに含まれるアクションインジケータと競合する場合、指定されたルールのアドレス範囲が第1のルールのアドレス範囲よりも小さいため、指定されたルールの格納順序は、第1のルールの格納順序に先行するように設定される必要があり、第1のルールの格納順序が指定されたルールの格納順序に先行するように設定されている場合、指定されたルールは不正ルールである。
任意選択的に、指定されたルールの格納順序が第1のルールの格納順序に先行するように設定された後、順序プロンプト情報がさらに表示され、指定されたルールの格納順序が第1ルールの格納順序に先行することを管理者に促すことができる。
ケース3:指定された送信元グループが二次セキュリティグループであり、指定された送信先グループが第7のセキュリティグループの親グループである場合、または指定された送信元グループが第8のセキュリティグループの親グループであり、指定された送信先グループが二次セキュリティグループである場合に、第2のルールが構成されているかどうかが判断される。指定された送信元グループが二次セキュリティグループであり、指定された送信先グループが第7セキュリティグループの親グループである場合、第2のルールは、指定された送信元グループの親グループと指定された送信先グループとの間のルール、または指定された送信元グループと第7のセキュリティグループとの間のルールである。指定された送信元グループが第8のセキュリティグループの親グループであり、指定された送信先グループが二次セキュリティグループである場合、第2のルールは指定された送信元グループと指定された送信先グループとの間のルール、または第8のセキュリティグループと指定された送信先グループの親グループとの間のルールである。第7のセキュリティグループと第8のセキュリティグループは、検査されたセキュリティグループ内の任意のセキュリティグループである。第2のルールが構成されている場合、指定されたアクションインジケータが、第2のルールに含まれるアクションインジケータと同一であるかどうかが判断される。指定されたアクションインジケータが第2のルールに含まれるアクションインジケータと同一である場合、指定された送信元グループ、指定された送信先グループ、および指定されたアクションインジケータに従って、指定されたルールが構成され、指定されたルールの格納順序が構成される。
例えば、セキュリティグループEのアドレス範囲は10.1.1.0/25であり、セキュリティグループEの親グループはセキュリティグループMであり、セキュリティグループMのアドレス範囲は10.1.1.0/24である。セキュリティグループFのアドレス範囲は10.1.2.0/25であり、セキュリティグループFの親グループはセキュリティグループNであり、セキュリティグループNのアドレス範囲は10.1.2.0/24である。管理者がセキュリティグループEによってセキュリティグループNにアクセスするための指定されたルールを構成すると、第2のルールが構成されているかどうかが判断される。第2のルールは、セキュリティグループMとセキュリティグループNとの間のルール、またはセキュリティグループEとセキュリティグループFとの間のルールである。第2のルールが構成されている場合、指定されたアクションインジケータが第2のルールに含まれるアクションインジケータと同一であるかどうかが判断される。指定されたアクションインジケータが第2のルールに含まれるアクションインジケータと同一である場合、指定されたルールはセキュリティグループE、セキュリティグループN、および指定されたアクションインジケータに従って構成され、指定されたルールの格納順序が構成される。
さらに、指定されたアクションインジケータが第2のルールに含まれるアクションインジケータと競合する場合、ポリシー競合プロンプト情報が表示され、指定されたルールおよび第2のルールの格納順序を設定するように管理者を促す。管理者のソート操作を受け付けると、そのソート操作に従って、指定されたルールと第2のルールの格納順序が設定される。
指定されたアクションインジケータが第2のルールに含まれるアクションインジケータと同一である場合、指定されたルールと第2のルールは相互に独立したルールであると判断される。したがって、本発明のこの実施形態では、指定されたルールの格納順序は、指定されたルールの構成時間に従って構成され得るだけでなく、勿論、実際のアプリケーションにおいては、ランダム順序などの他のやり方で構成され得る。これは、本発明のこの実施形態において特に限定されない。
なお、前述のステップを使用して少なくとも2つのルールが構成される場合、各ルール内の送信元グループおよび送信先グループは、何らかの指定されたアドレス情報を含み得るだけでなく、勿論、すべてのアドレス情報を含んでもよい。つまり、各ルール内の送信元グループおよび送信先グループは、アドレス情報を制限することができ、勿論、フロー制御を実行する必要のあるアドレス情報を制限することはできず、任意のアドレス情報を含むことができる。これは、本発明のこの実施形態において特に限定されない。
少なくとも2つのルールおよび少なくとも2つのルールの格納順序が上記のステップ301からステップ303に従って構成された後、次のステップ304およびステップ305の方法を使用することによって、構成された少なくとも2つのルールおよび少なくとも2つのルールの格納順序に従ってフロー制御を実行することができる。
ステップ304:少なくとも2つのルールが構成された後にデータパケットを受信し、データパケットは、送信元アドレス情報および送信先アドレス情報を運ぶ。
2つのホスト間で通信が行われ、パケット交換装置を用いて通信されたデータパケットが送信される場合、パケット交換装置は、データパケットを受信し、そのデータパケットに従ってフロー制御を実行することができる。
なお、送信元アドレス情報は、データパケットを送信するホストのアドレス情報であり、送信先アドレス情報は、データパケットを最後に受信するホストのアドレス情報である。また、送信元アドレス情報および送信先アドレス情報の両方がIPアドレスを含んでもよい。勿論、送信元アドレス情報および送信先アドレス情報は、IPアドレスおよびポート番号を含んでもよい。これは、本発明のこの実施形態において特に限定されない。
ステップ305:フロー制御を実施するために、少なくとも2つのルールおよび少なくとも2つのルールの格納順序に従ってデータパケットを処理する。
データパケットで運ばれる送信元アドレス情報および送信先アドレス情報は、少なくとも2つのルールの格納順序に従って少なくとも2つのルールの一致条件と連続的に比較される。データパケットで運ばれる送信元アドレス情報および送信先アドレス情報が、比較中のルールの一致条件と同一であれば、比較中のルールをターゲットルールとして決定し、そうでなければ、データパケットで運ばれる送信元アドレス情報および送信先アドレス情報は、ターゲットルールが決定されるまで、少なくとも2つのルールの格納順序に従って少なくとも2つのルール内の次のルールの一致条件と比較される。その後、パケット交換装置は、ターゲットルールに含まれるアクションインジケータに従ってデータパケットを処理してフロー制御を実施することができる。
アクションインジケータには、通常、ブロッキングまたは通過が含まれる。したがって、ターゲットルールに含まれるアクションインジケータがブロッキングしているとき、パケット交換装置は、データパケットを廃棄し、データパケットを送信しなくてもよい。ターゲットルールに含まれるアクションインジケータが通過しているとき、パケット交換装置はデータパケットを送信し続けてもよい。勿論、実際のアプリケーションでは、アクションインジケータは他のポリシーをさらに含んでもよい。このポリシーは、本発明のこの実施形態では1つずつ記載されていない。
なお、ルールに含まれる送信元グループに何らかの指定されたアドレス情報が含まれているが、送信先グループにすべてのアドレス情報が含まれている場合、例えば、送信先グループフィールドの内容が「任意(any)」である場合には、フロー制御を行う際に、データパケット内の送信先アドレス情報が制限されないと判断される。同様に、ルールに含まれる送信元グループがすべてのアドレス情報を含む場合、例えば、ルール内の送信元グループフィールドの内容が「任意(any)」であるにもかかわらず、送信先グループに何らかの指定されたアドレス情報が含まれている場合には、フロー制御を行う際に、データパケット内の送信元アドレス情報は制限されないと判断される。ただし、ルールに含まれる送信元グループと送信先グループの両方に何らかの指定されたアドレス情報が含まれている場合には、フロー制御を行う際に、データパケットの送信元アドレス情報だけでなく、データパケットの送信先アドレス情報も制限する必要があると判断される。
本発明のこの実施形態では、格納された複数のアドレス情報は、複数のアドレス情報が属するホストの属性情報に従って、少なくとも2つのセキュリティグループにグループ分けされ、少なくとも2つのセキュリティグループは検査され、検査されたセキュリティグループでは、高レベルのセキュリティグループが低レベルのセキュリティグループを完全に含むことができ、同じレベルのセキュリティグループが互いに重複することなく完全に独立している。また、ルール構成処理では、指定された送信元アドレス情報と指定された送信先アドレス情報との関係に従って、指定されたルールの格納順序が決定される。したがって、冗長ルールおよび不正ルールの発生を回避することができ、フロー制御の精度が向上する。また、データパケットを受信すると、データパケットで運ばれる送信元アドレス情報および送信先アドレス情報と一致するターゲットルールを、シーケンシャルマッチングによってルールの格納順序に従って決定し、すべてのルールに一致する必要はない。したがって、ルールのマッチングに費やされる時間が短縮され、フロー制御の効率がさらに向上する。
図9は、本発明の実施形態によるフロー制御装置の概略構成図である。図9を参照すると、装置は、
複数のアドレス情報がそれぞれ属するホストの属性情報に従って、格納された複数のアドレス情報を少なくとも2つのセキュリティグループにグループ分けするように構成されたグループ分けモジュール401であって、属性情報はサービス種別またはセキュリティレベルを含む、グループ分けモジュール401と
検査されたセキュリティグループでは、高レベルのセキュリティグループが低レベルのセキュリティグループを完全に含むことができ、同じレベルのセキュリティグループが重複することなく互いに完全に独立しており、少なくとも2つのセキュリティグループを検査するように構成された検査処理モジュール402であって、レベルは、セキュリティグループが親グループ、子グループ、または独立したセキュリティグループのいずれであるかを示すために使用される、検査処理モジュール402と、
ポリシー構成命令を受信するように構成された受信モジュール403であって、ポリシー構成命令は、指定された送信元グループ、指定された送信先グループ、および指定されたアクションインジケータを運び、指定された送信元グループおよび指定された送信先グループは、検査されたセキュリティグループ内の2つの異なるセキュリティグループである、受信モジュール403と、
ポリシー構成命令に従って、指定されたルールを構成し、ポリシー構成命令に従って、指定されたルールの格納順序を構成するように構成された構成モジュール404であって、指定されたルールは、少なくとも2つの構成されるべきルール内の任意のルールであり、
ここで、受信モジュール403は、少なくとも2つのルールが構成された後にデータパケットを受信するようにさらに構成され、データパケットは送信元アドレス情報および送信先アドレス情報を運ぶ、構成モジュール404と、
フロー制御を実施するために、少なくとも2つのルールと少なくとも2つのルールの格納順序に従ってデータパケットを処理するように構成されたパケット処理モジュール405と
を含む。
任意選択的に、図10に示すように、検査処理モジュール402は、
第1のセキュリティグループと複数の第2のセキュリティグループとの間に包含関係または重複関係が存在するかどうかを判断するように構成された判定ユニット4021であって、第1のセキュリティグループは、少なくとも2つのセキュリティグループ内の検査されていないセキュリティグループであり、複数の第2のセキュリティグループは、少なくとも2つのセキュリティグループ内の検査されたセキュリティグループであり、包含関係は、第1のセキュリティグループが第2のセキュリティグループのサブセットであること、または第2のセキュリティグループが第1のセキュリティグループのサブセットであることを意味し、重複関係は、第1のセキュリティグループと第2のセキュリティグループとの間に共通部分が存在し、第1のセキュリティグループが第2のセキュリティグループと等しくないことを意味する、判定ユニット4021と、
第1のセキュリティグループと複数の第2のセキュリティグループ内の少なくとも2つの第2のセキュリティグループとの間に包含関係が存在する場合、少なくとも2つの第2のセキュリティグループから第3のセキュリティグループとしてセキュリティグループを決定するように構成された決定ユニット4022と、
第1の確認プロンプト情報を表示するように構成された表示ユニット4023であって、第1の確認プロンプト情報は、第1のセキュリティグループと第3のセキュリティグループとの間の包含関係を処理するように管理者を促すために使用される、表示ユニット4023と、
第1の確認プロンプト情報に従って第1の処理命令が受信された場合、第1の処理命令に従って、第1のセキュリティグループと第3のセキュリティグループとの間の包含関係を処理するように構成された包含関係処理ユニット4024と
を含む。
任意選択的に、図11に示すように、決定ユニット4022は、
第1のセキュリティグループが少なくとも2つの第2のセキュリティグループ内のすべてのセキュリティグループに含まれる場合、少なくとも2つの第2のセキュリティグループから、最も小さいアドレス範囲を有するセキュリティグループを選択するか、または第1のセキュリティグループが少なくとも2つの第2のセキュリティグループ内のすべてのセキュリティグループを含む場合、少なくとも2つの第2のセキュリティグループから、最も大きいアドレス範囲を有するセキュリティグループを選択するか、または第1のセキュリティグループが少なくとも2つの第2のセキュリティグループ内の少なくとも1つの第2のセキュリティグループに含まれ、第1のセキュリティグループが少なくとも2つの第2のセキュリティグループ内の残りの第2のセキュリティグループをさらに含む場合、少なくとも1つの第2のセキュリティグループから、最も小さいアドレス範囲を有するセキュリティグループを選択するか、または残りの第2のセキュリティグループから、最も大きいアドレス範囲を有するセキュリティグループを選択するように構成された選択サブユニット40221と、
選択されたセキュリティグループを第3のセキュリティグループとして決定するように構成された決定サブユニット40222と
を含む。
任意選択的に、図12に示すように、包含関係処理ユニット4024は、
第1の確認プロンプト情報に従って第1の処理命令が受信された場合、第1のセキュリティグループおよび第3のセキュリティグループから、第1の処理命令に従って、より大きなアドレス範囲を有するセキュリティグループを第4のセキュリティグループとして決定し、第1のセキュリティグループおよび第3のセキュリティグループから、より小さいアドレス範囲を有するセキュリティグループを第5のセキュリティグループとして決定するように構成された決定サブユニット40241と、
第1の処理命令が第1の分割命令である場合、第4のセキュリティグループから第5のセキュリティグループのアドレス情報と同一のアドレス情報を削除して第1の子セキュリティグループを取得するように構成された削除サブユニット40242と、
第1の処理命令が継承命令である場合、第5のセキュリティグループを二次セキュリティグループとして設定し、第5のセキュリティグループを第4のセキュリティグループの子グループとして設定するように構成された設定サブユニット40243であって、二次セキュリティグループは、検査されたセキュリティグループ内の別のセキュリティグループとの包含関係を有するセキュリティグループである設定サブユニット40243と
を含む。
任意選択的に、図13に示すように、検査処理モジュール402は、
第1のセキュリティグループと複数の第2のセキュリティグループ内の少なくとも2つの第2のセキュリティグループとの間に重複関係が存在する場合、少なくとも2つの第2のセキュリティグループから第6のセキュリティグループとしてセキュリティグループを選択するように構成された選択ユニット4025であって、
ここで、表示ユニット4023は、第2の確認プロンプト情報を表示するようにさらに構成され、第2の確認プロンプト情報は、第1のセキュリティグループと第6のセキュリティグループとの間の重複関係を処理するように管理者を促すために使用される、選択ユニット4025と、
第2の確認プロンプト情報に従って第2の処理命令が受信された場合、第2の処理命令に従って、第1のセキュリティグループと第6のセキュリティグループとの間の重複関係を処理するように構成された重複関係処理ユニット4026と
をさらに含む。
任意選択的に、図14に示すように、重複関係処理ユニット4026は、
第2の処理命令が第2の確認プロンプト情報に従って受信され、第2の処理命令が旧グループを保持する命令である場合、第1のセキュリティグループ内にあり、第6のセキュリティグループ内のアドレス情報と同一のアドレス情報を第2の子セキュリティグループにグループ分けし、第2の子セキュリティグループ内のアドレス情報以外の第1のセキュリティグループ内の他のアドレス情報を第3の子セキュリティグループにグループ分けするように構成されたグループ分けサブユニット40261と、
第2の子セキュリティグループを二次セキュリティグループとして設定し、第2の子セキュリティグループを第6のセキュリティグループの子グループとして設定するように構成された設定サブユニット40262と
を含む。
任意選択的に、図15に示すように、重複関係処理ユニット4026は、
第2の処理命令が第2の確認プロンプト情報に従って受信され、第2の処理命令が新グループを保持する命令である場合、第6のセキュリティグループ内にあり、第1のセキュリティグループ内のアドレス情報と同一のアドレス情報を第4の子セキュリティグループにグループ分けし、第4の子セキュリティグループ内のアドレス情報以外の第6のセキュリティグループ内の他のアドレス情報を第5の子セキュリティグループにグループ分けするように構成されたグループ分けサブユニット40263と、
第4の子セキュリティグループを二次セキュリティグループとして設定し、第4の子セキュリティグループを第1のセキュリティグループの子グループとして設定するように構成された設定サブユニット40264と
を含む。
任意選択的に、重複関係処理ユニット4026は、
第2の処理命令が第2の確認プロンプト情報に従って受信され、第2の処理命令が第2の分割命令である場合、第1のセキュリティグループおよび第6のセキュリティグループ内の同一のアドレス情報、第6のセキュリティグループ内のアドレス情報と同一のアドレス情報以外の第1のセキュリティグループ内の他のアドレス情報、第1のセキュリティグループ内のアドレス情報と同一のアドレス情報以外の第6のセキュリティグループ内の他のアドレス情報、の3つのセキュリティグループにそれぞれグループ分けするように構成されたグループ分けサブユニット
を含む。
任意選択的に、構成モジュール404は、
指定された送信元グループと指定された送信先グループの両方が一次セキュリティグループである場合、指定された送信元グループ、指定された送信先グループ、および指定されたアクションインジケータに従って、指定されたルールを構成し、指定されたルールの格納順序を構成するように構成された構成ユニットであって、一次セキュリティグループは、検査されたセキュリティグループ内の別のセキュリティグループとの包含関係または重複関係を有しない独立したセキュリティグループである、構成ユニット
を含む。
任意選択的に、図16に示すように、構成モジュール404は、
指定された送信元グループまたは指定された送信先グループが二次セキュリティグループである場合、第1のルールが構成されているかどうかを判断するように構成された判定ユニット4041であって、第1のルールは、指定された送信元グループの親グループと指定された送信先グループとの間のルール、指定された送信元グループと指定された送信先グループの親グループとの間のルール、または指定された送信元グループの親グループと指定された送信先グループの親グループとの間のルールであり、
ここで、判定ユニット4041は、第1のルールが構成されている場合、指定されたアクションインジケータが第1のルールに含まれるアクションインジケータと同一であるかどうかを判断するようにさらに構成されている、判定ユニット4041と、
指定されたアクションインジケータが第1のルールに含まれるアクションインジケータと同一である場合、指定されたルールの構成を禁止するように構成された構成禁止ユニット4042と
を含む。
任意選択的に、図17に示すように、構成モジュール404は、
指定されたアクションインジケータが第1のルールに含まれるアクションインジケータと競合する場合、指定された送信元グループ、指定された送信先グループ、および指定されたアクションインジケータに従って、指定されたルールを構成するように構成された構成ユニット4043と、
指定されたルールの格納順序が第1のルールの格納順序に先行することを設定するように構成された設定ユニット4044と
をさらに含む。
任意選択的に、図18に示すように、構成モジュール404は、
指定されたルールの構成が禁止されており、指定されたルールが冗長ルールであることを管理者に促すための「構成禁止」プロンプト情報を表示するように構成された表示ユニット4045
をさらに含む。
任意選択的に、図19に示すように、構成モジュール404は、
指定された送信元グループが二次セキュリティグループであり、指定された送信先グループが第7のセキュリティグループの親グループである場合、または指定された送信元グループが第8のセキュリティグループの親グループであり、指定された送信先グループが二次セキュリティグループである場合、第2のルールが構成されているかどうかを判断するように構成された判定ユニット4046であって、指定された送信元グループが二次セキュリティグループであり、指定された送信先グループが第7のセキュリティグループの親グループであるとき、第2のルールは、指定された送信元グループの親グループと指定された送信先グループとの間のルール、または指定された送信元グループと第7のセキュリティグループとの間のルールであり、あるいは指定された送信元グループが第8のセキュリティグループの親グループであり、指定された送信先グループが二次セキュリティグループであるとき、第2のルールは、指定された送信元グループと指定された送信先グループとの間のルール、または第8のセキュリティグループと指定された送信先グループの親グループとの間のルールであり、第7のセキュリティグループと第8のセキュリティグループは、検査されたセキュリティグループ内の任意のセキュリティグループであり、
ここで、判定ユニット4046は、第2のルールが構成されている場合、指定されたアクションインジケータが第2のルールに含まれるアクションインジケータと同一であるかどうかを判断するようにさらに構成されている、判定ユニット4046と、
指定されたアクションインジケータが第2のルールに含まれるアクションインジケータと同一である場合、指定された送信元グループ、指定された送信先グループ、および指定されたアクションインジケータに従って、指定されたルールを構成するように構成された構成ユニット4047と
を含む。
任意選択的に、図20に示すように、構成モジュール404は、
指定されたアクションインジケータが第2のルールに含まれるアクションインジケータと競合する場合、ポリシー競合プロンプト情報を表示して、指定されたルールおよび第2のルールの格納順序を設定するように管理者を促すように構成された表示ユニット4048と、
管理者のソート操作を受け付けたときに、ソート操作に従って、指定されたルールおよび第2のルールの格納順序を設定するように構成された設定ユニット4049と
をさらに含む。
本発明のこの実施形態では、格納された複数のアドレス情報は、複数のアドレス情報が属するホストの属性情報に従って、少なくとも2つのセキュリティグループにグループ分けされ、少なくとも2つのセキュリティグループは検査され、検査されたセキュリティグループでは、高レベルのセキュリティグループが低レベルのセキュリティグループを完全に含むことができ、同じレベルのセキュリティグループが互いに重複することなく完全に独立している。さらに、ポリシー構成命令が受信され、ポリシー構成命令は、指定された送信元グループ、指定された送信先グループ、および指定されたアクションインジケータを運ぶ。指定されたルールと指定されたルールの格納順序は、ポリシー構成命令に従って構成される。したがって、冗長ルールおよび不正ルールの発生を回避することができ、フロー制御の精度が向上する。さらに、データパケットが受信されると、データパケットはルールの格納順序に従って処理される。したがって、ルールのマッチングに費やされる時間が短縮され、フロー制御の効率が向上する。
なお、上述した実施形態で説明したフロー制御装置がフロー制御を実行する場合、説明のための一例として、上記機能モジュールの分割のみが用いられる。実際のアプリケーションでは、前述の機能は、要求に従って完了するために異なる機能モジュールに割り当てられてもよく、すなわち、フロー制御装置の内部構造は、上述した機能のすべてまたは一部を完了させるための異なる機能モジュールに分割されている。また、上述した実施形態で説明したフロー制御装置の実施形態およびフロー制御方法の実施形態は、同様の概念に基づくものである。フロー制御装置の実施形態の特定の実装プロセスについては、方法の実施形態を参照する。詳細はここでは再度説明しない。
図21は、本発明の実施形態によるフロー制御装置の概略構成図である。図21を参照すると、装置は、メモリ501と、プロセッサ502と、受信機503と、通信バス504とを含む。
メモリ501は、メッセージおよびデータを格納するように構成されている。
プロセッサ502は、複数のアドレス情報がそれぞれ属するホストの属性情報に従って、格納された複数のアドレス情報を少なくとも2つのセキュリティグループにグループ分けするように構成され、属性情報はサービス種別またはセキュリティレベルを含み、さらに、少なくとも2つのセキュリティグループを検査し、検査されたセキュリティグループでは、高レベルのセキュリティグループが低レベルのセキュリティグループを完全に含むことができ、同じレベルのセキュリティグループが互いに重複することなく完全に独立しているように構成され、レベルは、セキュリティグループが親グループ、子グループ、または独立したセキュリティグループのいずれであるかを示すために使用される。
受信機503は、ポリシー構成命令を受信するように構成され、ポリシー構成命令は、指定された送信元グループ、指定された送信先グループ、および指定されたアクションインジケータを運び、指定された送信元グループと指定された送信先グループは、検査されたセキュリティグループ内の2つの異なるセキュリティグループである。
プロセッサ502は、ポリシー構成命令に従って、指定されたルールを構成し、ポリシー構成命令に従って、指定されたルールの格納順序を構成するようにさらに構成され、指定されたルールは、少なくとも2つの構成されるべきルール内の任意のルールである。
受信機503は、少なくとも2つのルールが構成された後にデータパケットを受信するようにさらに構成され、データパケットは、送信元アドレス情報および送信先アドレス情報を運ぶ。
プロセッサ502は、フロー制御を実施するために、少なくとも2つのルールおよび少なくとも2つのルールの格納順序に従ってデータパケットを処理するようにさらに構成されている。
任意選択的に、プロセッサ502は、
第1のセキュリティグループと複数の第2のセキュリティグループとの間に包含関係または重複関係が存在するかどうかを判断し、第1のセキュリティグループは、少なくとも2つのセキュリティグループ内の検査されていないセキュリティグループであり、複数の第2のセキュリティグループは、少なくとも2つのセキュリティグループ内の検査されたセキュリティグループであり、包含関係は、第1のセキュリティグループが第2のセキュリティグループのサブセットであること、または第2のセキュリティグループが第1のセキュリティグループのサブセットであることを意味し、重複関係は、第1のセキュリティグループと第2のセキュリティグループとの間に共通部分が存在し、第1のセキュリティグループが第2のセキュリティグループと等しくないことを意味し、
第1のセキュリティグループと複数の第2のセキュリティグループ内の少なくとも2つの第2のセキュリティグループとの間に包含関係が存在する場合、少なくとも2つの第2のセキュリティグループから第3のセキュリティグループとしてセキュリティグループを決定し、
第1の確認プロンプト情報を表示して、第1の確認プロンプト情報を使用して、第1のセキュリティグループと第3のセキュリティグループとの間の包含関係を処理するように管理者を促し、
第1の確認プロンプト情報に従って第1の処理命令が受信された場合、第1の処理命令に従って、第1のセキュリティグループと第3のセキュリティグループとの間の包含関係を処理する
ようにさらに構成されている。
任意選択的に、プロセッサ502は、
第1のセキュリティグループが少なくとも2つの第2のセキュリティグループ内のすべてのセキュリティグループに含まれる場合、少なくとも2つの第2のセキュリティグループから、最も小さいアドレス範囲を有するセキュリティグループを選択するか、または第1のセキュリティグループが少なくとも2つの第2のセキュリティグループ内のすべてのセキュリティグループを含む場合、少なくとも2つの第2のセキュリティグループから、最も大きいアドレス範囲を有するセキュリティグループを選択するか、または第1のセキュリティグループが少なくとも2つの第2のセキュリティグループ内の少なくとも1つの第2のセキュリティグループに含まれ、第1のセキュリティグループが少なくとも2つの第2のセキュリティグループ内の残りの第2のセキュリティグループをさらに含む場合、少なくとも1つの第2のセキュリティグループから、最も小さいアドレス範囲を有するセキュリティグループを選択するか、または残りの第2のセキュリティグループから、最も大きいアドレス範囲を有するセキュリティグループを選択し、
選択されたセキュリティグループを第3のセキュリティグループとして決定する
ようにさらに構成されている。
任意選択的に、プロセッサ502は、
第1のセキュリティグループおよび第3のセキュリティグループから、より大きなアドレス範囲を有するセキュリティグループを第4のセキュリティグループとして決定し、第1のセキュリティグループおよび第3のセキュリティグループから、より小さいアドレス範囲を有するセキュリティグループを第5のセキュリティグループとして決定し、
第1の処理命令が第1の分割命令である場合、第4のセキュリティグループから第5のセキュリティグループのアドレス情報と同一のアドレス情報を削除して第1の子セキュリティグループを取得し、
第1の処理命令が継承命令である場合、第5のセキュリティグループを二次セキュリティグループとして設定し、第5のセキュリティグループを第4のセキュリティグループの子グループとして設定し、二次セキュリティグループは、検査されたセキュリティグループ内の別のセキュリティグループとの包含関係を有するセキュリティグループである
ようにさらに構成されている。
任意選択的に、プロセッサ502は、
第1のセキュリティグループと複数の第2のセキュリティグループ内の少なくとも2つの第2のセキュリティグループとの間に重複関係が存在する場合、少なくとも2つの第2のセキュリティグループから第6のセキュリティグループとしてセキュリティグループを選択し、
第2の確認プロンプト情報を表示し、第2の確認プロンプト情報を使用して、第1のセキュリティグループと第6のセキュリティグループとの間の重複関係を処理するように管理者を促し、
第2の確認プロンプト情報に従って第2の処理命令が受信された場合、第2の処理命令に従って、第1のセキュリティグループと第6のセキュリティグループとの間の重複関係を処理する
ようにさらに構成されている。
任意選択的に、プロセッサ502は、
第2の処理命令が旧グループを保持する命令である場合、第1のセキュリティグループ内にあり、第6のセキュリティグループ内のアドレス情報と同一であるアドレス情報を第2の子セキュリティグループにグループ分けし、第2の子セキュリティグループ内のアドレス情報以外の第1のセキュリティグループ内の他のアドレス情報を第3の子セキュリティグループにグループ分けし、
第2の子セキュリティグループを二次セキュリティグループとして設定し、第2の子セキュリティグループを第6のセキュリティグループの子グループとして設定する
ようにさらに構成されている。
任意選択的に、プロセッサ502は、
第2の処理命令が新グループを保持する命令である場合、第6のセキュリティグループ内にあり、第1のセキュリティグループ内のアドレス情報と同一であるアドレス情報を第4の子セキュリティグループにグループ分けし、第4の子セキュリティグループ内のアドレス情報以外の第6のセキュリティグループ内の他のアドレス情報を第5の子セキュリティグループにグループ分けし、
第4の子セキュリティグループを二次セキュリティグループとして設定し、第4の子セキュリティグループを第1のセキュリティグループの子グループとして設定する
ようにさらに構成されている。
任意選択的に、プロセッサ502は、
第2の処理命令が第2の分割命令である場合、第1のセキュリティグループおよび第6のセキュリティグループ内の同一のアドレス情報、第6のセキュリティグループ内のアドレス情報と同一のアドレス情報以外の第1のセキュリティグループ内の他のアドレス情報、第1のセキュリティグループ内のアドレス情報と同一のアドレス情報以外の第6のセキュリティグループ内の他のアドレス情報、の3つのセキュリティグループにそれぞれグループ分けする
ようにさらに構成されている。
任意選択的に、プロセッサ502は、
指定された送信元グループと指定された送信先グループの両方が一次セキュリティグループである場合、指定された送信元グループ、指定された送信先グループ、および指定されたアクションインジケータに従って、指定されたルールを構成し、一次セキュリティグループは、検査されたセキュリティグループ内の別のセキュリティグループとの包含関係または重複関係を有しない独立したセキュリティグループである
ようにさらに構成されている。
任意選択的に、プロセッサ502は、
指定された送信元グループまたは指定された送信先グループが二次セキュリティグループである場合、第1のルールが構成されているかどうかを判断し、第1のルールは、指定された送信元グループの親グループと指定された送信先グループとの間のルール、指定された送信元グループと指定された送信先グループの親グループとの間のルール、または指定された送信元グループの親グループと指定された送信先グループの親グループとの間のルールであり、
第1のルールが構成されている場合、指定されたアクションインジケータが第1のルールに含まれるアクションインジケータと同一であるかどうかを判断し、
指定されたアクションインジケータが第1のルールに含まれるアクションインジケータと同一である場合、指定されたルールの構成を禁止する
ようにさらに構成されている。
任意選択的に、プロセッサ502は、
指定されたアクションインジケータが第1のルールに含まれるアクションインジケータと競合する場合、指定された送信元グループ、指定された送信先グループ、および指定されたアクションインジケータに従って、指定されたルールを構成し、
指定されたルールの格納順序が第1のルールの格納順序に先行することを設定する
ようにさらに構成されている。
任意選択的に、プロセッサ502は、
「構成禁止」プロンプト情報を表示して、指定されたルールの構成が禁止され、指定されたルールが冗長ルールであることを管理者に促す
ようにさらに構成されている。
任意選択的に、プロセッサ502は、
指定された送信元グループが二次セキュリティグループであり、指定された送信先グループが第7のセキュリティグループの親グループである場合、または指定された送信元グループが第8のセキュリティグループの親グループであり、指定された送信先グループが二次セキュリティグループである場合、第2のルールが構成されているかどうかを判断し、指定された送信元グループが二次セキュリティグループであり、指定された送信先グループが第7のセキュリティグループの親グループであるとき、第2のルールは、指定された送信元グループの親グループと指定された送信先グループとの間のルール、または指定された送信元グループと第7のセキュリティグループとの間のルールであり、あるいは指定された送信元グループが第8のセキュリティグループの親グループであり、指定された送信先グループが二次セキュリティグループであるとき、第2のルールは、指定された送信元グループと指定された送信先グループとの間のルール、または第8のセキュリティグループと指定された送信先グループの親グループとの間のルールであり、第7のセキュリティグループと第8のセキュリティグループは、検査されたセキュリティグループ内の任意のセキュリティグループであり、
第2のルールが構成されている場合、指定されたアクションインジケータが第2のルールに含まれるアクションインジケータと同一であるかどうかを判断し、
指定されたアクションインジケータが第2のルールに含まれるアクションインジケータと同一である場合、指定された送信元グループ、指定された送信先グループ、および指定されたアクションインジケータに従って、指定されたルールを構成する
ようにさらに構成されている。
任意選択的に、プロセッサ502は、
指定されたアクションインジケータが第2のルールに含まれるアクションインジケータと競合する場合、ポリシー競合プロンプト情報を表示して、指定されたルールおよび第2のルールの格納順序を設定するように管理者を促し、
管理者のソート操作を受け付けたときに、ソート操作に従って、指定されたルールおよび第2のルールの格納順序を設定する
ようにさらに構成されている。
プロセッサ502は、集積回路チップであってもよく、信号処理能力を有していてもよい。実装プロセスでは、前述の方法のステップを、プロセッサ内のハードウェアの統合論理回路またはソフトウェアの形態の命令を使用することによって完了させることができる。命令は、プロセッサによって実施され制御されてもよく、本発明の実施形態で開示された方法を実行するために使用される。プロセッサは、汎用プロセッサ、デジタル信号プロセッサ(Digital Signal Processor、DSP)、特定用途向け集積回路(application specific integrated circuit)、フィールドプログラマブルゲートアレイ(Field Programmable Gate Array、FPGA)もしくは別のプログラマブル論理デバイス、ディスクリートゲートもしくはトランジスタ論理デバイス、またはディスクリートハードウェアコンポーネントであってもよい。
汎用プロセッサはマイクロプロセッサであってもよいし、プロセッサは任意の従来のプロセッサ、デコーダなどであってもよい。本発明の実施形態を参照して開示された方法のステップは、ハードウェアプロセッサによって直接実行され完了されてもよいし、プロセッサ内のハードウェアとソフトウェアモジュールの組み合わせを用いて実行され完了されてもよい。ソフトウェアモジュールは、ランダムアクセスメモリ、フラッシュメモリ、読み出し専用メモリ、プログラマブル読み出し専用メモリ、電気的消去可能プログラマブルメモリ、またはレジスタなどの、当該技術分野で成熟した記憶媒体に配置されてもよい。
さらに、端末のサービスアクセス装置内のハードウェアコンポーネントは、通信バス504を使用して一緒に結合される。データバスに加えて、通信バス504は、電源バス、制御バス、およびステータス信号バスを含む。しかしながら、明確な説明のために、さまざまなバスが図21の通信バス504としてマークされる。
本発明のこの実施形態では、格納された複数のアドレス情報は、複数のアドレス情報が属するホストの属性情報に従って、少なくとも2つのセキュリティグループにグループ分けされ、少なくとも2つのセキュリティグループは検査され、検査されたセキュリティグループでは、高レベルのセキュリティグループが低レベルのセキュリティグループを完全に含むことができ、同じレベルのセキュリティグループが互いに重複することなく完全に独立している。さらに、ポリシー構成命令が受信され、ポリシー構成命令は、指定された送信元グループ、指定された送信先グループ、および指定されたアクションインジケータを運ぶ。指定されたルールと指定されたルールの格納順序は、ポリシー構成命令に従って構成される。したがって、冗長ルールおよび不正ルールの発生を回避することができ、フロー制御の精度が向上する。さらに、データパケットが受信されると、データパケットはルールの格納順序に従って処理される。したがって、ルールのマッチングに費やされる時間が短縮され、フロー制御の効率が向上する。
当業者は、実施形態のステップのすべてまたは一部が、関連するハードウェアを指示するハードウェアまたはプログラムにより実現され得ることを理解することができる。プログラムは、コンピュータ読み取り可能な記憶媒体に記憶されてもよい。記憶媒体は、読み出し専用メモリ、磁気ディスク、または光ディスクであってもよい。
前述の説明は、本発明の実施形態の単なる例であり、本発明を限定することは意図されていない。本発明の趣旨および原理から逸脱することなくなされた任意の修正、同等の置換、または改良は、本発明の保護範囲内に入るものとする。
101 ホスト
102 ホスト
103 スイッチ
104 ルータ
401 グループ分けモジュール
402 検査処理モジュール
403 受信モジュール
404 構成モジュール
405 パケット処理モジュール
501 メモリ
502 プロセッサ
503 受信機
504 通信バス
4021 判定ユニット
4022 決定ユニット
4023 表示ユニット
4024 包含関係処理ユニット
4025 選択ユニット
4026 重複関係処理ユニット
4041 判定ユニット
4042 構成禁止ユニット
4043 構成ユニット
4044 設定ユニット
4045 表示ユニット
4046 判定ユニット
4047 構成ユニット
4048 表示ユニット
4049 設定ユニット
40221 選択サブユニット
40222 決定サブユニット
40241 決定サブユニット
40242 削除サブユニット
40243 設定サブユニット
40261 グループ分けサブユニット
40262 設定サブユニット
40263 グループ分けサブユニット
40264 設定サブユニット
A,B,C,D,E,F,M,N セキュリティグループ
a1 第1の子セキュリティグループ
a2 第2の子セキュリティグループ
a3 第3の子セキュリティグループ
c1 第4の子セキュリティグループ
なお、第1の処理命令が第1の分割命令である場合、第4のセキュリティグループが第3のセキュリティグループであれば、第1の子セキュリティグループは、第5のセキュリティグループのアドレス情報と同一のアドレス情報以外の第4のセキュリティグループ内の他のアドレス情報を含むため、第1の子セキュリティグループのレベルが第4のセキュリティグループのレベルと同一であると設定されてもよい。
以上のステップ302において、グループ分けにより取得された少なくとも2つのセキュリティグループを検査した後に、検査されたセキュリティグループにおいて、高レベルのセキュリティグループが低レベルのセキュリティグループを完全に含むことができ、同じレベルのセキュリティグループは重複することなく互いに完全に独立していることが保証される。したがって、パケット交換装置は、検査されたセキュリティグループを表示することができる。パケット交換装置は、表示されたセキュリティグループに従って送信元グループ選択命令を受信すると、送信元グループ選択命令で運ばれるセキュリティグループを指定された送信元グループとして決定する。パケット交換装置は、表示されたセキュリティグループに従って送信先グループ選択命令を受信すると、送信先グループ選択命令で運ばれるセキュリティグループを指定された送信先グループとして決定する。
さらに、フロー制御装置内のハードウェアコンポーネントは、通信バス504を使用して一緒に結合される。データバスに加えて、通信バス504は、電源バス、制御バス、およびステータス信号バスを含む。しかしながら、明確な説明のために、さまざまなバスが図21の通信バス504としてマークされる。

Claims (28)

  1. フロー制御方法であって、
    複数のアドレス情報がそれぞれ属するホストの属性情報に従って、格納された前記複数のアドレス情報を少なくとも2つのセキュリティグループにグループ分けするステップであって、前記属性情報はサービス種別またはセキュリティレベルを含む、ステップと、
    検査されたセキュリティグループでは、高レベルのセキュリティグループが低レベルのセキュリティグループを完全に含み、かつ同じレベルのセキュリティグループが重複することなく互いに完全に独立しているように、前記少なくとも2つのセキュリティグループを検査するステップであって、前記レベルは、前記セキュリティグループが親グループ、子グループ、または独立したセキュリティグループのいずれであるかを示すために使用される、ステップと、
    ポリシー構成命令を受信するステップであって、前記ポリシー構成命令は、指定された送信元グループ、指定された送信先グループ、および指定されたアクションインジケータを運び、前記指定された送信元グループおよび前記指定された送信先グループは、前記検査されたセキュリティグループ内の2つの異なるセキュリティグループである、ステップと、
    前記ポリシー構成命令に従って、指定されたルールを構成し、前記ポリシー構成命令に従って、前記指定されたルールの格納順序を構成するステップであって、前記指定されたルールは、構成されるべき少なくとも2つのルール内の任意のルールである、ステップと、
    前記少なくとも2つのルールが構成された後にデータパケットを受信するステップであって、前記データパケットは送信元アドレス情報および送信先アドレス情報を運ぶ、ステップと、
    フロー制御を実施するために、前記少なくとも2つのルールおよび前記少なくとも2つのルールの格納順序に従って、前記データパケットを処理するステップと
    を含む方法。
  2. 前記少なくとも2つのセキュリティグループを検査する前記ステップが、
    第1のセキュリティグループと複数の第2のセキュリティグループとの間に包含関係または重複関係が存在するかどうかを判断するステップであって、前記第1のセキュリティグループは、前記少なくとも2つのセキュリティグループ内の検査されていないセキュリティグループであり、前記複数の第2のセキュリティグループは、前記少なくとも2つのセキュリティグループ内の前記検査されたセキュリティグループであり、前記包含関係は、前記第1のセキュリティグループが前記第2のセキュリティグループのサブセットであること、または前記第2のセキュリティグループが前記第1のセキュリティグループのサブセットであることを意味し、前記重複関係は、前記第1のセキュリティグループと前記第2のセキュリティグループとの間に共通部分が存在し、前記第1のセキュリティグループが前記第2のセキュリティグループと等しくないことを意味する、ステップと、
    前記第1のセキュリティグループと前記複数の第2のセキュリティグループ内の少なくとも2つの第2のセキュリティグループとの間に包含関係が存在する場合、前記少なくとも2つの第2のセキュリティグループから第3のセキュリティグループとしてセキュリティグループを決定するステップと、
    第1の確認プロンプト情報を表示するステップであって、前記第1の確認プロンプト情報は、前記第1のセキュリティグループと前記第3のセキュリティグループとの間の包含関係を処理するように管理者を促すために使用される、ステップと、
    前記第1の確認プロンプト情報に従って第1の処理命令が受信された場合、前記第1の処理命令に従って、前記第1のセキュリティグループと前記第3のセキュリティグループとの間の前記包含関係を処理するステップと
    を含む、請求項1に記載の方法。
  3. 前記少なくとも2つの第2のセキュリティグループから第3のセキュリティグループとしてセキュリティグループを決定する前記ステップが、
    前記第1のセキュリティグループが前記少なくとも2つの第2のセキュリティグループ内のすべてのセキュリティグループに含まれる場合、前記少なくとも2つの第2のセキュリティグループから、最も小さいアドレス範囲を有するセキュリティグループを選択するステップ、または前記第1のセキュリティグループが前記少なくとも2つの第2のセキュリティグループ内のすべてのセキュリティグループを含む場合、前記少なくとも2つの第2のセキュリティグループから、最も大きいアドレス範囲を有するセキュリティグループを選択するステップ、または前記第1のセキュリティグループが前記少なくとも2つの第2のセキュリティグループ内の少なくとも1つの第2のセキュリティグループに含まれ、かつ前記第1のセキュリティグループが前記少なくとも2つの第2のセキュリティグループ内の残りの第2のセキュリティグループをさらに含む場合、前記少なくとも1つの第2のセキュリティグループから、最も小さいアドレス範囲を有するセキュリティグループを選択するか、もしくは前記残りの第2のセキュリティグループから、最も大きいアドレス範囲を有するセキュリティグループを選択するステップと、
    選択された前記セキュリティグループを前記第3のセキュリティグループとして決定するステップと
    を含む、請求項2に記載の方法。
  4. 前記第1の処理命令に従って、前記第1のセキュリティグループと前記第3のセキュリティグループとの間の前記包含関係を処理する前記ステップが、
    前記第1のセキュリティグループおよび前記第3のセキュリティグループから、より大きなアドレス範囲を有するセキュリティグループを第4のセキュリティグループとして決定し、前記第1のセキュリティグループおよび前記第3のセキュリティグループから、より小さいアドレス範囲を有するセキュリティグループを第5のセキュリティグループとして決定するステップと、
    前記第1の処理命令が第1の分割命令である場合、前記第4のセキュリティグループから前記第5のセキュリティグループのアドレス情報と同一のアドレス情報を削除して、第1の子セキュリティグループを取得するステップと、
    前記第1の処理命令が継承命令である場合、前記第5のセキュリティグループを二次セキュリティグループとして設定し、前記第5のセキュリティグループを前記第4のセキュリティグループの子グループとして設定するステップであって、前記二次セキュリティグループは、前記検査されたセキュリティグループ内の別のセキュリティグループとの包含関係を有するセキュリティグループである、ステップと
    を含む、請求項2または3に記載の方法。
  5. 第1のセキュリティグループと複数の第2のセキュリティグループとの間に包含関係または重複関係が存在するかどうかを判断する前記ステップの後、前記方法が、
    前記第1のセキュリティグループと前記複数の第2のセキュリティグループ内の少なくとも2つの第2のセキュリティグループとの間に重複関係が存在する場合、前記少なくとも2つの第2のセキュリティグループから第6のセキュリティグループとしてセキュリティグループを選択するステップと、
    第2の確認プロンプト情報を表示するステップであって、前記第2の確認プロンプト情報は、前記第1のセキュリティグループと前記第6のセキュリティグループとの間の重複関係を処理するように前記管理者を促すために使用される、ステップと、
    前記第2の確認プロンプト情報に従って第2の処理命令が受信された場合、前記第2の処理命令に従って、前記第1のセキュリティグループと前記第6のセキュリティグループとの間の前記重複関係を処理するステップと
    をさらに含む、請求項2に記載の方法。
  6. 前記第2の処理命令に従って、前記第1のセキュリティグループと前記第6のセキュリティグループとの間の前記重複関係を処理する前記ステップが、
    前記第2の処理命令が旧グループを保持する命令である場合、前記第1のセキュリティグループ内にあり、かつ前記第6のセキュリティグループ内のアドレス情報と同一であるアドレス情報を第2の子セキュリティグループにグループ分けし、前記第2の子セキュリティグループ内のアドレス情報以外の前記第1のセキュリティグループ内の他のアドレス情報を第3の子セキュリティグループにグループ分けするステップと、
    前記第2の子セキュリティグループを二次セキュリティグループとして設定し、前記第2の子セキュリティグループを前記第6のセキュリティグループの子グループとして設定するステップと
    を含む、請求項5に記載の方法。
  7. 前記第2の処理命令に従って、前記第1のセキュリティグループと前記第6のセキュリティグループとの間の前記重複関係を処理する前記ステップが、
    前記第2の処理命令が新グループを保持する命令である場合、前記第6のセキュリティグループ内にあり、かつ前記第1のセキュリティグループ内のアドレス情報と同一であるアドレス情報を第4の子セキュリティグループにグループ分けし、前記第4の子セキュリティグループ内のアドレス情報以外の前記第6のセキュリティグループ内の他のアドレス情報を第5の子セキュリティグループにグループ分けするステップと、
    前記第4の子セキュリティグループを二次セキュリティグループとして設定し、前記第4の子セキュリティグループを前記第1のセキュリティグループの子グループとして設定するステップと
    を含む、請求項5に記載の方法。
  8. 前記第2の処理命令に従って、前記第1のセキュリティグループと前記第6のセキュリティグループとの間の前記重複関係を処理する前記ステップが、
    前記第2の処理命令が第2の分割命令である場合、前記第1のセキュリティグループおよび前記第6のセキュリティグループ内の同一のアドレス情報、前記第6のセキュリティグループ内のアドレス情報と同一のアドレス情報以外の前記第1のセキュリティグループ内の他のアドレス情報、および前記第1のセキュリティグループ内のアドレス情報と同一のアドレス情報以外の前記第6のセキュリティグループ内の他のアドレス情報を、3つのセキュリティグループにそれぞれグループ分けするステップ
    を含む、請求項5に記載の方法。
  9. 前記ポリシー構成命令に従って、指定されたルールを構成する前記ステップが、
    前記指定された送信元グループと前記指定された送信先グループとの両方が一次セキュリティグループである場合、前記指定された送信元グループ、前記指定された送信先グループ、および前記指定されたアクションインジケータに従って、前記指定されたルールを構成するステップであって、前記一次セキュリティグループは、前記検査されたセキュリティグループ内の別のセキュリティグループとの包含関係または重複関係を有しない独立したセキュリティグループである、ステップ
    を含む、請求項1から8のいずれか一項に記載の方法。
  10. 前記ポリシー構成命令に従って、指定されたルールを構成し、前記ポリシー構成命令に従って、前記指定されたルールの格納順序を構成する前記ステップが、
    前記指定された送信元グループまたは前記指定された送信先グループが二次セキュリティグループである場合、第1のルールが構成されているかどうかを判断するステップであって、前記第1のルールは、前記指定された送信元グループの親グループと前記指定された送信先グループとの間のルール、前記指定された送信元グループと前記指定された送信先グループの親グループとの間のルール、または前記指定された送信元グループの親グループと前記指定された送信先グループの親グループとの間のルールである、ステップと、
    前記第1のルールが構成されている場合、前記指定されたアクションインジケータが前記第1のルールに含まれるアクションインジケータと同一であるかどうかを判断するステップと、
    前記指定されたアクションインジケータが前記第1のルールに含まれる前記アクションインジケータと同一である場合、前記指定されたルールの構成を禁止するステップと
    を含む、請求項1から8のいずれか一項に記載の方法。
  11. 前記指定されたアクションインジケータが前記第1のルールに含まれるアクションインジケータと同一であるかどうかを判断する前記ステップの後、前記方法が、
    前記指定されたアクションインジケータが前記第1のルールに含まれる前記アクションインジケータと競合する場合、前記指定された送信元グループ、前記指定された送信先グループ、および前記指定されたアクションインジケータに従って、前記指定されたルールを構成するステップと、
    前記指定されたルールの前記格納順序が前記第1のルールの格納順序に先行することを設定するステップと
    をさらに含む、請求項10に記載の方法。
  12. 前記指定されたルールの構成を禁止する前記ステップの後、前記方法が、
    前記指定されたルールの構成が禁止されており、かつ前記指定されたルールが冗長ルールであることを管理者に促すための「構成禁止」プロンプト情報を表示するステップ
    をさらに含む、請求項10または11に記載の方法。
  13. 前記ポリシー構成命令に従って、指定されたルールを構成し、前記ポリシー構成命令に従って、前記指定されたルールの格納順序を構成する前記ステップが、
    前記指定された送信元グループが二次セキュリティグループであり、かつ前記指定された送信先グループが第7のセキュリティグループの親グループである場合、または前記指定された送信元グループが第8のセキュリティグループの親グループであり、かつ前記指定された送信先グループが二次セキュリティグループである場合、第2のルールが構成されているかどうかを判断するステップであって、前記指定された送信元グループが前記二次セキュリティグループであり、かつ前記指定された送信先グループが前記第7のセキュリティグループの前記親グループであるとき、前記第2のルールは、前記指定された送信元グループの親グループと前記指定された送信先グループとの間のルール、もしくは前記指定された送信元グループと前記第7のセキュリティグループとの間のルールであり、または前記指定された送信元グループが前記第8のセキュリティグループの前記親グループであり、かつ前記指定された送信先グループが前記二次セキュリティグループであるとき、前記第2のルールは、前記指定された送信元グループと前記指定された送信先グループとの間のルール、もしくは前記第8のセキュリティグループと前記指定された送信先グループの親グループとの間のルールであり、前記第7のセキュリティグループおよび前記第8のセキュリティグループは、前記検査されたセキュリティグループ内の任意のセキュリティグループである、ステップと、
    前記第2のルールが構成されている場合、前記指定されたアクションインジケータが前記第2のルールに含まれるアクションインジケータと同一であるかどうかを判断するステップと、
    前記指定されたアクションインジケータが前記第2のルールに含まれる前記アクションインジケータと同一である場合、前記指定された送信元グループ、前記指定された送信先グループ、および前記指定されたアクションインジケータに従って、前記指定されたルールを構成するステップと
    を含む、請求項1から8のいずれか一項に記載の方法。
  14. 前記指定されたアクションインジケータが前記第2のルールに含まれるアクションインジケータと同一であるかどうかを判断する前記ステップの後、前記方法が、
    前記指定されたアクションインジケータが前記第2のルールに含まれる前記アクションインジケータと競合する場合、ポリシー競合プロンプト情報を表示して、前記指定されたルールおよび前記第2のルールの格納順序を設定するように管理者を促すステップと、
    前記管理者のソート操作を受け付けたときに、前記ソート操作に従って、前記指定されたルールおよび前記第2のルールの前記格納順序を設定するステップと
    をさらに含む、請求項13に記載の方法。
  15. フロー制御装置であって、
    複数のアドレス情報がそれぞれ属するホストの属性情報に従って、格納された前記複数のアドレス情報を少なくとも2つのセキュリティグループにグループ分けするように構成されたグループ分けモジュールであって、前記属性情報はサービス種別またはセキュリティレベルを含む、グループ分けモジュールと
    検査されたセキュリティグループでは、高レベルのセキュリティグループが低レベルのセキュリティグループを完全に含み、かつ同じレベルのセキュリティグループが重複することなく互いに完全に独立しているように、前記少なくとも2つのセキュリティグループを検査するように構成された検査処理モジュールであって、前記レベルは、前記セキュリティグループが親グループ、子グループ、または独立したセキュリティグループのいずれであるかを示すために使用される、検査処理モジュールと、
    ポリシー構成命令を受信するように構成された受信モジュールであって、前記ポリシー構成命令は、指定された送信元グループ、指定された送信先グループ、および指定されたアクションインジケータを運び、前記指定された送信元グループおよび前記指定された送信先グループは、前記検査されたセキュリティグループ内の2つの異なるセキュリティグループである、受信モジュールと、
    前記ポリシー構成命令に従って、指定されたルールを構成し、前記ポリシー構成命令に従って、前記指定されたルールの格納順序を構成するように構成された構成モジュールであって、前記指定されたルールは、構成されるべき少なくとも2つのルール内の任意のルールであり、前記受信モジュールが、前記少なくとも2つのルールが構成された後にデータパケットを受信するようにさらに構成され、前記データパケットは送信元アドレス情報および送信先アドレス情報を運ぶ、構成モジュールと、
    フロー制御を実施するために、前記少なくとも2つのルールおよび前記少なくとも2つのルールの格納順序に従って、前記データパケットを処理するように構成されたパケット処理モジュールと
    を備える装置。
  16. 前記検査処理モジュールが、
    第1のセキュリティグループと複数の第2のセキュリティグループとの間に包含関係または重複関係が存在するかどうかを判断するように構成された判定ユニットであって、前記第1のセキュリティグループは、前記少なくとも2つのセキュリティグループ内の検査されていないセキュリティグループであり、前記複数の第2のセキュリティグループは、前記少なくとも2つのセキュリティグループ内の前記検査されたセキュリティグループであり、前記包含関係は、前記第1のセキュリティグループが前記第2のセキュリティグループのサブセットであること、または前記第2のセキュリティグループが前記第1のセキュリティグループのサブセットであることを意味し、前記重複関係は、前記第1のセキュリティグループと前記第2のセキュリティグループとの間に共通部分が存在し、前記第1のセキュリティグループが前記第2のセキュリティグループと等しくないことを意味する、判定ユニットと、
    前記第1のセキュリティグループと前記複数の第2のセキュリティグループ内の少なくとも2つの第2のセキュリティグループとの間に包含関係が存在する場合、前記少なくとも2つの第2のセキュリティグループから第3のセキュリティグループとしてセキュリティグループを決定するように構成された決定ユニットと、
    第1の確認プロンプト情報を表示するように構成された表示ユニットであって、前記第1の確認プロンプト情報は、前記第1のセキュリティグループと前記第3のセキュリティグループとの間の包含関係を処理するように管理者を促すために使用される、表示ユニットと、
    前記第1の確認プロンプト情報に従って第1の処理命令が受信された場合、前記第1の処理命令に従って、前記第1のセキュリティグループと前記第3のセキュリティグループとの間の前記包含関係を処理するように構成された包含関係処理ユニットと
    を備える、請求項15に記載の装置。
  17. 前記決定ユニットが、
    前記第1のセキュリティグループが前記少なくとも2つの第2のセキュリティグループ内のすべてのセキュリティグループに含まれる場合、前記少なくとも2つの第2のセキュリティグループから、最も小さいアドレス範囲を有するセキュリティグループを選択するか、または前記第1のセキュリティグループが前記少なくとも2つの第2のセキュリティグループ内のすべてのセキュリティグループを含む場合、前記少なくとも2つの第2のセキュリティグループから、最も大きいアドレス範囲を有するセキュリティグループを選択するか、または前記第1のセキュリティグループが前記少なくとも2つの第2のセキュリティグループ内の少なくとも1つの第2のセキュリティグループに含まれ、かつ前記第1のセキュリティグループが前記少なくとも2つの第2のセキュリティグループ内の残りの第2のセキュリティグループをさらに含む場合、前記少なくとも1つの第2のセキュリティグループから、最も小さいアドレス範囲を有するセキュリティグループを選択するか、もしくは前記残りの第2のセキュリティグループから、最も大きいアドレス範囲を有するセキュリティグループを選択するように構成された選択サブユニットと、
    選択された前記セキュリティグループを前記第3のセキュリティグループとして決定するように構成された決定サブユニットと
    を備える、請求項16に記載の装置。
  18. 前記包含関係処理ユニットが、
    前記第1の確認プロンプト情報に従って前記第1の処理命令が受信された場合、前記第1のセキュリティグループおよび前記第3のセキュリティグループから、前記第1の処理命令に従って、より大きなアドレス範囲を有するセキュリティグループを第4のセキュリティグループとして決定し、前記第1のセキュリティグループおよび前記第3のセキュリティグループから、より小さいアドレス範囲を有するセキュリティグループを第5のセキュリティグループとして決定するように構成された決定サブユニットと、
    前記第1の処理命令が第1の分割命令である場合、前記第4のセキュリティグループから前記第5のセキュリティグループのアドレス情報と同一のアドレス情報を削除して、第1の子セキュリティグループを取得するように構成された削除サブユニットと、
    前記第1の処理命令が継承命令である場合、前記第5のセキュリティグループを二次セキュリティグループとして設定し、前記第5のセキュリティグループを前記第4のセキュリティグループの子グループとして設定するように構成された設定サブユニットであって、前記二次セキュリティグループは、前記検査されたセキュリティグループ内の別のセキュリティグループとの包含関係を有するセキュリティグループである、設定サブユニットと
    を備える、請求項16または17に記載の装置。
  19. 前記検査処理モジュールが、
    前記第1のセキュリティグループと前記複数の第2のセキュリティグループ内の少なくとも2つの第2のセキュリティグループとの間に重複関係が存在する場合、前記少なくとも2つの第2のセキュリティグループから第6のセキュリティグループとしてセキュリティグループを選択するように構成された選択ユニットであって、前記表示ユニットが、第2の確認プロンプト情報を表示するようにさらに構成され、前記第2の確認プロンプト情報は、前記第1のセキュリティグループと前記第6のセキュリティグループとの間の重複関係を処理するように前記管理者を促すために使用される、選択ユニットと、
    前記第2の確認プロンプト情報に従って第2の処理命令が受信された場合、前記第2の処理命令に従って、前記第1のセキュリティグループと前記第6のセキュリティグループとの間の前記重複関係を処理するように構成された重複関係処理ユニットと
    をさらに備える、請求項16に記載の装置。
  20. 前記重複関係処理ユニットが、
    前記第2の処理命令が前記第2の確認プロンプト情報に従って受信され、かつ前記第2の処理命令が旧グループを保持する命令である場合、前記第1のセキュリティグループ内にあり、かつ前記第6のセキュリティグループ内のアドレス情報と同一であるアドレス情報を第2の子セキュリティグループにグループ分けし、前記第2の子セキュリティグループ内のアドレス情報以外の前記第1のセキュリティグループ内の他のアドレス情報を第3の子セキュリティグループにグループ分けするように構成されたグループ分けサブユニットと、
    前記第2の子セキュリティグループを二次セキュリティグループとして設定し、前記第2の子セキュリティグループを前記第6のセキュリティグループの子グループとして設定するように構成された設定サブユニットと
    を備える、請求項19に記載の装置。
  21. 前記重複関係処理ユニットが、
    前記第2の処理命令が前記第2の確認プロンプト情報に従って受信され、かつ前記第2の処理命令が新グループを保持する命令である場合、前記第6のセキュリティグループ内にあり、かつ前記第1のセキュリティグループ内のアドレス情報と同一であるアドレス情報を第4の子セキュリティグループにグループ分けし、前記第4の子セキュリティグループ内のアドレス情報以外の前記第6のセキュリティグループ内の他のアドレス情報を第5の子セキュリティグループにグループ分けするように構成されたグループ分けサブユニットと、
    前記第4の子セキュリティグループを二次セキュリティグループとして設定し、前記第4の子セキュリティグループを前記第1のセキュリティグループの子グループとして設定するように構成された設定サブユニットと
    を備える、請求項19に記載の装置。
  22. 前記重複関係処理ユニットが、
    前記第2の処理命令が前記第2の確認プロンプト情報に従って受信され、前記第2の処理命令が第2の分割命令である場合、前記第1のセキュリティグループおよび前記第6のセキュリティグループ内の同一のアドレス情報、前記第6のセキュリティグループ内のアドレス情報と同一のアドレス情報以外の前記第1のセキュリティグループ内の他のアドレス情報、および前記第1のセキュリティグループ内のアドレス情報と同一のアドレス情報以外の前記第6のセキュリティグループ内の他のアドレス情報を、3つのセキュリティグループにそれぞれグループ分けするように構成されたグループ分けサブユニット
    を備える、請求項19に記載の装置。
  23. 前記構成モジュールが、
    前記指定された送信元グループと前記指定された送信先グループとの両方が一次セキュリティグループである場合、前記指定された送信元グループ、前記指定された送信先グループ、および前記指定されたアクションインジケータに従って、前記指定されたルールを構成し、前記指定されたルールの前記格納順序を構成するように構成された構成ユニットであって、前記一次セキュリティグループは、前記検査されたセキュリティグループ内の別のセキュリティグループとの包含関係または重複関係を有しない独立したセキュリティグループである、構成ユニット
    を備える、請求項15から22のいずれか一項に記載の装置。
  24. 前記構成モジュールが、
    前記指定された送信元グループまたは前記指定された送信先グループが二次セキュリティグループである場合、第1のルールが構成されているかどうかを判断するように構成された判定ユニットであって、前記第1のルールは、前記指定された送信元グループの親グループと前記指定された送信先グループとの間のルール、前記指定された送信元グループと前記指定された送信先グループの親グループとの間のルール、または前記指定された送信元グループの親グループと前記指定された送信先グループの親グループとの間のルールであり、前記判定ユニットは、前記第1のルールが構成されている場合、前記指定されたアクションインジケータが前記第1のルールに含まれるアクションインジケータと同一であるかどうかを判断するようにさらに構成されている、判定ユニットと、
    前記指定されたアクションインジケータが前記第1のルールに含まれる前記アクションインジケータと同一である場合、前記指定されたルールの構成を禁止するように構成された構成禁止ユニットと
    を備える、請求項15から22のいずれか一項に記載の装置。
  25. 前記構成モジュールが、
    前記指定されたアクションインジケータが前記第1のルールに含まれる前記アクションインジケータと競合する場合、前記指定された送信元グループ、前記指定された送信先グループ、および前記指定されたアクションインジケータに従って、前記指定されたルールを構成するように構成された構成ユニットと、
    前記指定されたルールの前記格納順序が前記第1のルールの格納順序に先行することを設定するように構成された設定ユニットと
    をさらに備える、請求項24に記載の装置。
  26. 前記構成モジュールが、
    前記指定されたルールの構成が禁止されており、かつ前記指定されたルールが冗長ルールであることを管理者に促すための「構成禁止」プロンプト情報を表示するように構成された表示ユニット
    をさらに備える、請求項24または25に記載の装置。
  27. 前記構成モジュールが、
    前記指定された送信元グループが二次セキュリティグループであり、かつ前記指定された送信先グループが第7のセキュリティグループの親グループである場合、または前記指定された送信元グループが第8のセキュリティグループの親グループであり、かつ前記指定された送信先グループが二次セキュリティグループである場合、第2のルールが構成されているかどうかを判断するように構成された判定ユニットであって、前記指定された送信元グループが前記二次セキュリティグループであり、かつ前記指定された送信先グループが前記第7のセキュリティグループの前記親グループであるとき、前記第2のルールは、前記指定された送信元グループの親グループと前記指定された送信先グループとの間のルール、もしくは前記指定された送信元グループと前記第7のセキュリティグループとの間のルールであり、または前記指定された送信元グループが前記第8のセキュリティグループの前記親グループであり、かつ前記指定された送信先グループが前記二次セキュリティグループであるとき、前記第2のルールは、前記指定された送信元グループと前記指定された送信先グループとの間のルール、もしくは前記第8のセキュリティグループと前記指定された送信先グループの親グループとの間のルールであり、前記第7のセキュリティグループおよび前記第8のセキュリティグループは、前記検査されたセキュリティグループ内の任意のセキュリティグループであり、前記判定ユニットは、前記第2のルールが構成されている場合、前記指定されたアクションインジケータが前記第2のルールに含まれるアクションインジケータと同一であるかどうかを判断するようにさらに構成されている、判定ユニットと、
    前記指定されたアクションインジケータが前記第2のルールに含まれる前記アクションインジケータと同一である場合、前記指定された送信元グループ、前記指定された送信先グループ、および前記指定されたアクションインジケータに従って、前記指定されたルールを構成するように構成された構成ユニットと
    を備える、請求項15から22のいずれか一項に記載の装置。
  28. 前記構成モジュールが、
    前記指定されたアクションインジケータが前記第2のルールに含まれる前記アクションインジケータと競合する場合、ポリシー競合プロンプト情報を表示して、前記指定されたルールおよび前記第2のルールの格納順序を設定するように管理者を促すように構成された表示ユニットと、
    前記管理者のソート操作を受け付けたときに、前記ソート操作に従って、前記指定されたルールおよび前記第2のルールの前記格納順序を設定するように構成された設定ユニットと
    をさらに備える、請求項27に記載の装置。
JP2017564004A 2015-09-23 2016-09-01 フロー制御方法および装置 Active JP6644399B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201510612886.XA CN106549793B (zh) 2015-09-23 2015-09-23 流量控制方法及设备
CN201510612886.X 2015-09-23
PCT/CN2016/097819 WO2017050112A1 (zh) 2015-09-23 2016-09-01 流量控制方法及设备

Publications (3)

Publication Number Publication Date
JP2018517373A true JP2018517373A (ja) 2018-06-28
JP2018517373A5 JP2018517373A5 (ja) 2019-03-28
JP6644399B2 JP6644399B2 (ja) 2020-02-12

Family

ID=58365687

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017564004A Active JP6644399B2 (ja) 2015-09-23 2016-09-01 フロー制御方法および装置

Country Status (5)

Country Link
US (1) US10742685B2 (ja)
EP (1) EP3282642B1 (ja)
JP (1) JP6644399B2 (ja)
CN (1) CN106549793B (ja)
WO (1) WO2017050112A1 (ja)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107153565B (zh) * 2016-03-03 2020-06-16 华为技术有限公司 配置资源的方法及其网络设备
US10666508B2 (en) * 2017-06-09 2020-05-26 Nicira, Inc. Unified software defined networking configuration management over multiple hosting environments
CN107547432B (zh) * 2017-08-28 2019-09-06 新华三信息安全技术有限公司 一种流量控制方法及装置
US10819682B1 (en) * 2018-06-04 2020-10-27 Facebook, Inc. Systems and methods for high-efficiency network-packet filtering
CN110071841B (zh) * 2019-04-30 2022-04-26 杭州迪普科技股份有限公司 检验流定义的配置信息方法和装置
US11552887B2 (en) * 2019-08-07 2023-01-10 Arista Networks, Inc. System and method of processing packet classification with range sets
CN112672348A (zh) * 2019-09-27 2021-04-16 华为技术有限公司 安全控制方法、装置、设备、系统及存储介质
CN110768848B (zh) * 2019-10-31 2022-07-01 杭州迪普科技股份有限公司 一种主备服务器切换方法及装置
CN113328973B (zh) * 2020-02-28 2022-09-23 华为技术有限公司 一种检测访问控制列表acl规则无效的方法和装置
CN113179252B (zh) * 2021-03-30 2022-04-01 新华三信息安全技术有限公司 一种安全策略管理方法、装置、设备及机器可读存储介质
US20230412496A1 (en) * 2022-06-21 2023-12-21 Oracle International Corporation Geometric based flow programming

Family Cites Families (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7143438B1 (en) * 1997-09-12 2006-11-28 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with multiple domain support
US7636937B1 (en) * 2002-01-11 2009-12-22 Cisco Technology, Inc. Method and apparatus for comparing access control lists for configuring a security policy on a network
US7231664B2 (en) * 2002-09-04 2007-06-12 Secure Computing Corporation System and method for transmitting and receiving secure data in a virtual private group
US7567510B2 (en) * 2003-02-13 2009-07-28 Cisco Technology, Inc. Security groups
US7530112B2 (en) * 2003-09-10 2009-05-05 Cisco Technology, Inc. Method and apparatus for providing network security using role-based access control
CN100359889C (zh) * 2004-10-29 2008-01-02 江苏南大苏富特软件股份有限公司 基于策略树的报文分组过滤及管理方法
JP4791285B2 (ja) 2006-08-04 2011-10-12 富士通株式会社 ネットワーク装置およびフィルタリングプログラム
JP4518070B2 (ja) 2006-11-22 2010-08-04 ヤマハ株式会社 パケットフィルタの検証パケット発生方法、検証パケット発生装置、検証パケット発生プログラム、パケットフィルタのテスト方法、パケットフィルタのテスト装置
CN101127713B (zh) * 2007-09-05 2011-04-06 华为技术有限公司 通用流量控制装置及流量控制方法
JP2009077030A (ja) 2007-09-19 2009-04-09 Nec Corp ルール制御装置、ルール制御方法、および、ルール制御プログラム
CN101119321B (zh) * 2007-09-29 2010-11-03 杭州华三通信技术有限公司 网络流量分类处理方法及网络流量分类处理装置
US20090300748A1 (en) * 2008-06-02 2009-12-03 Secure Computing Corporation Rule combination in a firewall
WO2010056839A1 (en) * 2008-11-12 2010-05-20 Citrix Systems, Inc. Tool for visualizing configuration and status of a network appliance
US20100199346A1 (en) * 2009-02-02 2010-08-05 Telcordia Technologies, Inc. System and method for determining symantic equivalence between access control lists
CN101640634B (zh) * 2009-04-13 2012-02-15 山石网科通信技术(北京)有限公司 网络流量控制方法
US9009293B2 (en) 2009-11-18 2015-04-14 Cisco Technology, Inc. System and method for reporting packet characteristics in a network environment
JP5644150B2 (ja) * 2010-03-23 2014-12-24 日本電気株式会社 サービス提供システム、仮想マシンサーバ、サービス提供方法及びサービス提供プログラム
US20120099591A1 (en) * 2010-10-26 2012-04-26 Dell Products, Lp System and Method for Scalable Flow Aware Network Architecture for Openflow Based Network Virtualization
US20140025796A1 (en) * 2012-07-19 2014-01-23 Commvault Systems, Inc. Automated grouping of computing devices in a networked data storage system
RU2645280C1 (ru) * 2014-06-24 2018-02-19 Хуавэй Текнолоджиз Ко., Лтд. Способ многоадресной рассылки, аппарат и система для программно-конфигурируемой сети
CN104394080A (zh) * 2014-11-28 2015-03-04 杭州华三通信技术有限公司 实现安全组功能的方法及装置
US9894100B2 (en) * 2014-12-30 2018-02-13 Fortinet, Inc. Dynamically optimized security policy management
WO2016130108A1 (en) * 2015-02-10 2016-08-18 Hewlett Packard Enterprise Development Lp Network policy conflict detection and resolution
WO2016130121A1 (en) * 2015-02-11 2016-08-18 Hewlett Packard Enterprise Development Lp Network service chain construction
US9825960B2 (en) * 2015-05-29 2017-11-21 Oracle International Corporation System and method providing automatic pushdown hierarchical filters
US9984100B2 (en) * 2015-09-29 2018-05-29 International Business Machines Corporation Modification of images and associated text

Also Published As

Publication number Publication date
US10742685B2 (en) 2020-08-11
CN106549793B (zh) 2020-08-07
EP3282642B1 (en) 2019-08-07
EP3282642A4 (en) 2018-04-11
CN106549793A (zh) 2017-03-29
WO2017050112A1 (zh) 2017-03-30
EP3282642A1 (en) 2018-02-14
US20180124118A1 (en) 2018-05-03
JP6644399B2 (ja) 2020-02-12

Similar Documents

Publication Publication Date Title
JP6644399B2 (ja) フロー制御方法および装置
CN113169975B (zh) 用于网络微分段和纳分段的安全规则的自动生成
US7505463B2 (en) Rule set conflict resolution
US9762599B2 (en) Multi-node affinity-based examination for computer network security remediation
US20190281088A1 (en) Security mediation for dynamically programmable network
JP2018517373A5 (ja)
Wen et al. Towards a secure controller platform for openflow applications
CN112219382B (zh) 网络中的安全规则的保证
US7512071B2 (en) Distributed flow enforcement
US20050278431A1 (en) Rule set verification
CN109286511B (zh) 数据处理的方法及装置
CN113596033B (zh) 访问控制方法及装置、设备、存储介质
CN106161396B (zh) 一种实现虚拟机网络访问控制的方法及装置
US11245611B2 (en) Analysis of routing policy application to routes
CN114826969B (zh) 网络连通性检查方法、装置、设备及存储介质
CN106302515B (zh) 一种网站安全防护的方法和装置
CN113098852B (zh) 一种日志处理方法及装置
US10057291B1 (en) Comparing networking access control lists
US10542014B2 (en) Automatic categorization of IDPS signatures from multiple different IDPS systems
CN112398857A (zh) 防火墙测试方法、装置、计算机设备和存储介质
US10630596B1 (en) Forwarding action redirection
CN111917743B (zh) 节点间访问关系切换方法、系统、设备及介质
US20170223152A1 (en) Network application verification at a network processor
WO2020073750A1 (zh) 终端攻击防御方法、装置、终端及云服务器
US11563753B2 (en) Security surveillance system and security surveillance method

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20171208

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20171208

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20181102

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20181119

A524 Written submission of copy of amendment under article 19 pct

Free format text: JAPANESE INTERMEDIATE CODE: A524

Effective date: 20190215

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20190527

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190927

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20191003

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20191209

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200106

R150 Certificate of patent or registration of utility model

Ref document number: 6644399

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250