JP2018517373A5 - - Google Patents

Download PDF

Info

Publication number
JP2018517373A5
JP2018517373A5 JP2017564004A JP2017564004A JP2018517373A5 JP 2018517373 A5 JP2018517373 A5 JP 2018517373A5 JP 2017564004 A JP2017564004 A JP 2017564004A JP 2017564004 A JP2017564004 A JP 2017564004A JP 2018517373 A5 JP2018517373 A5 JP 2018517373A5
Authority
JP
Japan
Prior art keywords
group
security
security group
groups
specified
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2017564004A
Other languages
English (en)
Other versions
JP2018517373A (ja
JP6644399B2 (ja
Filing date
Publication date
Priority claimed from CN201510612886.XA external-priority patent/CN106549793B/zh
Application filed filed Critical
Publication of JP2018517373A publication Critical patent/JP2018517373A/ja
Publication of JP2018517373A5 publication Critical patent/JP2018517373A5/ja
Application granted granted Critical
Publication of JP6644399B2 publication Critical patent/JP6644399B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

第1の態様によれば、フロー制御方法が提供され、この方法は、
複数のアドレス情報がそれぞれ属するホストの属性情報に従って、格納された複数のアドレス情報を少なくとも2つのセキュリティグループにグループ分けするステップであって、属性情報はサービス種別またはセキュリティクラスを含む、ステップと、
検査されたセキュリティグループでは、高レベルのセキュリティグループが低レベルのセキュリティグループを完全に含むことができ、かつ同じレベルのセキュリティグループが重複することなく互いに完全に独立しているように、少なくとも2つのセキュリティグループを検査するステップであって、レベルは、セキュリティグループが親グループ、子グループ、または独立したセキュリティグループのいずれであるかを示すために使用される、ステップと、
ポリシー構成命令を受信するステップであって、ポリシー構成命令は、指定された送信元グループ、指定された送信先グループ、および指定されたアクションインジケータを運び、指定された送信元グループおよび指定された送信先グループは、検査されたセキュリティグループ内の2つの異なるセキュリティグループである、ステップと、
ポリシー構成命令に従って、指定されたルールを構成し、ポリシー構成命令に従って、指定されたルールの格納順序を構成するステップであって、指定されたルールは、構成されるべき少なくとも2つのルール内の任意のルールである、ステップと、
少なくとも2つのルールが構成された後にデータパケットを受信するステップであって、データパケットは送信元アドレス情報および送信先アドレス情報を運ぶ、ステップと、
フロー制御を実施するために、少なくとも2つのルールおよび少なくとも2つのルールの格納順序に従って、データパケットを処理するステップと
を含む。
第2の態様によれば、フロー制御装置が提供され、この装置は、
複数のアドレス情報がそれぞれ属するホストの属性情報に従って、格納された複数のアドレス情報を少なくとも2つのセキュリティグループにグループ分けするように構成されたグループ分けモジュールであって、属性情報はサービス種別またはセキュリティクラスを含む、グループ分けモジュールと
検査されたセキュリティグループでは、高レベルのセキュリティグループが低レベルのセキュリティグループを完全に含むことができ、かつ同じレベルのセキュリティグループが重複することなく互いに完全に独立しているように、少なくとも2つのセキュリティグループを検査するように構成された検査処理モジュールであって、レベルは、セキュリティグループが親グループ、子グループ、または独立したセキュリティグループのいずれであるかを示すために使用される、検査処理モジュールと、
ポリシー構成命令を受信するように構成された受信モジュールであって、ポリシー構成命令は、指定された送信元グループ、指定された送信先グループ、および指定されたアクションインジケータを運び、指定された送信元グループおよび指定された送信先グループは、検査されたセキュリティグループ内の2つの異なるセキュリティグループである、受信モジュールと、
ポリシー構成命令に従って、指定されたルールを構成し、ポリシー構成命令に従って、指定されたルールの格納順序を構成するように構成された構成モジュールであって、指定されたルールは、構成されるべき少なくとも2つのルール内の任意のルールであり、受信モジュールは、少なくとも2つのルールが構成された後にデータパケットを受信するようにさらに構成され、データパケットは送信元アドレス情報および送信先アドレス情報を運ぶ、構成モジュールと、
フロー制御を実施するために、少なくとも2つのルールおよび少なくとも2つのルールの格納順序に従って、データパケットを処理するように構成されたパケット処理モジュールと
を含む。
ステップ201:複数のアドレス情報がそれぞれ属するホストの属性情報に従って、格納された複数のアドレス情報を少なくとも2つのセキュリティグループにグループ分けし、属性情報はサービス種別またはセキュリティクラスを含む。
ステップ301:複数のアドレス情報がそれぞれ属するホストの属性情報に従って、格納された複数のアドレス情報を少なくとも2つのセキュリティグループにグループ分けし、属性情報はサービス種別またはセキュリティクラスを含む。
格納された複数のアドレス情報を、フロー制御が実行される必要のあるアドレス情報とすることができ、アドレス情報はIPアドレスを含むだけでなく、必ずポート番号を含むことができる。これは、本発明のこの実施形態において特に限定されない。また、複数のアドレス情報を複数のセキュリティグループにグループ分けする際に、パケット交換装置は、各アドレス情報が属するホストのサービス種別を取得し、取得されたサービス種別に従って、複数のアドレス情報を少なくとも2つにグループ分けすることができ、このため、グループ分け後に、各セキュリティグループは同じサービス種別に対応するアドレス情報を含む。勿論、実際のアプリケーションでは、パケット交換装置は、複数のアドレス情報を他の方法でセキュリティグループにグループ分けしてもよく、例えば、各アドレス情報が属するホストのセキュリティクラスに従ってグループ分けを行ってもよい。これは、本発明のこの実施形態において特に限定されない。
図9は、本発明の実施形態によるフロー制御装置の概略構成図である。図9を参照すると、装置は、
複数のアドレス情報がそれぞれ属するホストの属性情報に従って、格納された複数のアドレス情報を少なくとも2つのセキュリティグループにグループ分けするように構成されたグループ分けモジュール401であって、属性情報はサービス種別またはセキュリティクラスを含む、グループ分けモジュール401と
検査されたセキュリティグループでは、高レベルのセキュリティグループが低レベルのセキュリティグループを完全に含むことができ、同じレベルのセキュリティグループが重複することなく互いに完全に独立しており、少なくとも2つのセキュリティグループを検査するように構成された検査処理モジュール402であって、レベルは、セキュリティグループが親グループ、子グループ、または独立したセキュリティグループのいずれであるかを示すために使用される、検査処理モジュール402と、
ポリシー構成命令を受信するように構成された受信モジュール403であって、ポリシー構成命令は、指定された送信元グループ、指定された送信先グループ、および指定されたアクションインジケータを運び、指定された送信元グループおよび指定された送信先グループは、検査されたセキュリティグループ内の2つの異なるセキュリティグループである、受信モジュール403と、
ポリシー構成命令に従って、指定されたルールを構成し、ポリシー構成命令に従って、指定されたルールの格納順序を構成するように構成された構成モジュール404であって、指定されたルールは、少なくとも2つの構成されるべきルール内の任意のルールであり、
ここで、受信モジュール403は、少なくとも2つのルールが構成された後にデータパケットを受信するようにさらに構成され、データパケットは送信元アドレス情報および送信先アドレス情報を運ぶ、構成モジュール404と、
フロー制御を実施するために、少なくとも2つのルールと少なくとも2つのルールの格納順序に従ってデータパケットを処理するように構成されたパケット処理モジュール405と
を含む。
プロセッサ502は、複数のアドレス情報がそれぞれ属するホストの属性情報に従って、格納された複数のアドレス情報を少なくとも2つのセキュリティグループにグループ分けするように構成され、属性情報はサービス種別またはセキュリティクラスを含み、さらに、少なくとも2つのセキュリティグループを検査し、検査されたセキュリティグループでは、高レベルのセキュリティグループが低レベルのセキュリティグループを完全に含むことができ、同じレベルのセキュリティグループが互いに重複することなく完全に独立しているように構成され、レベルは、セキュリティグループが親グループ、子グループ、または独立したセキュリティグループのいずれであるかを示すために使用される。

Claims (24)

  1. パケット交換装置に適用されるフロー制御方法であって、
    複数のアドレス情報がそれぞれ属するホストの属性情報に従って、格納された前記複数のアドレス情報を少なくとも3つのセキュリティグループにグループ分けするステップであって、前記属性情報はサービス種別またはセキュリティクラスを含む、ステップと、
    検査されたセキュリティグループでは、高レベルのセキュリティグループが低レベルのセキュリティグループを完全に含み、かつ同じレベルのセキュリティグループが重複することなく互いに完全に独立しているように、前記少なくとも3つのセキュリティグループを検査するステップであって、前記レベルは、前記セキュリティグループが親グループ、子グループ、または独立したセキュリティグループのいずれであるかを示すために使用される、ステップと、
    ポリシー構成命令を受信するステップであって、前記ポリシー構成命令は、指定された送信元グループ、指定された送信先グループ、および指定されたアクションインジケータを運び、前記指定された送信元グループおよび前記指定された送信先グループは、前記検査されたセキュリティグループ内の2つの異なるセキュリティグループである、ステップと、
    前記ポリシー構成命令に従って、指定されたルールを構成し、前記ポリシー構成命令に従って、少なくとも2つのルールの格納順序を構成するステップであって、前記指定されたルールは、前記ポリシー構成命令に従って生成され、前記少なくとも2つのルールは、前記指定されたルールおよび別の構成されたルールを含み、前記少なくとも2つのルールの各々は、一致条件およびアクションインジケータを含む、ステップと、
    前記少なくとも2つのルールが構成された後にデータパケットを受信するステップであって、前記データパケットは送信元アドレス情報および送信先アドレス情報を運ぶ、ステップと、
    フロー制御を実施するために、前記少なくとも2つのルールおよび前記少なくとも2つのルールの格納順序に従って、前記データパケットを処理するステップと
    を含む方法。
  2. 前記少なくとも2つのセキュリティグループを検査する前記ステップが、
    第1のセキュリティグループと複数の第2のセキュリティグループとの間に包含関係または重複関係が存在するかどうかを判断するステップであって、前記第1のセキュリティグループは、前記少なくとも3つのセキュリティグループ内の検査されていないセキュリティグループであり、前記複数の第2のセキュリティグループは、前記少なくとも3つのセキュリティグループ内の前記検査されたセキュリティグループであり、前記包含関係は、前記第1のセキュリティグループが前記第2のセキュリティグループのサブセットであること、または前記第2のセキュリティグループが前記第1のセキュリティグループのサブセットであることを意味し、前記重複関係は、前記第1のセキュリティグループと前記第2のセキュリティグループとの間に共通部分が存在し、前記第1のセキュリティグループが前記第2のセキュリティグループと等しくないことを意味する、ステップと、
    前記第1のセキュリティグループと前記複数の第2のセキュリティグループ内の少なくとも2つの第2のセキュリティグループとの間に包含関係が存在する場合、前記少なくとも2つの第2のセキュリティグループから第3のセキュリティグループとしてセキュリティグループを決定するステップと、
    第1の確認プロンプト情報を表示するステップであって、前記第1の確認プロンプト情報は、前記第1のセキュリティグループと前記第3のセキュリティグループとの間の包含関係を処理するように管理者を促すために使用される、ステップと、
    前記第1の確認プロンプト情報に従って第1の処理命令が受信された場合、前記第1の処理命令に従って、前記第1のセキュリティグループと前記第3のセキュリティグループとの間の前記包含関係を処理するステップと
    を含む、請求項1に記載の方法。
  3. 前記少なくとも2つの第2のセキュリティグループから第3のセキュリティグループとしてセキュリティグループを決定する前記ステップが、
    前記第1のセキュリティグループが前記少なくとも2つの第2のセキュリティグループ内のすべてのセキュリティグループに含まれる場合、前記少なくとも2つの第2のセキュリティグループから、最も小さいアドレス範囲を有するセキュリティグループを選択するステップ、または前記第1のセキュリティグループが前記少なくとも2つの第2のセキュリティグループ内のすべてのセキュリティグループを含む場合、前記少なくとも2つの第2のセキュリティグループから、最も大きいアドレス範囲を有するセキュリティグループを選択するステップ、または前記第1のセキュリティグループが前記少なくとも2つの第2のセキュリティグループ内の少なくとも1つの第2のセキュリティグループに含まれ、かつ前記第1のセキュリティグループが前記少なくとも2つの第2のセキュリティグループ内の残りの第2のセキュリティグループをさらに含む場合、前記少なくとも1つの第2のセキュリティグループから、最も小さいアドレス範囲を有するセキュリティグループを選択するか、もしくは前記残りの第2のセキュリティグループから、最も大きいアドレス範囲を有するセキュリティグループを選択するステップと、
    選択された前記セキュリティグループを前記第3のセキュリティグループとして決定するステップと
    を含む、請求項2に記載の方法。
  4. 前記第1の処理命令に従って、前記第1のセキュリティグループと前記第3のセキュリティグループとの間の前記包含関係を処理する前記ステップが、
    前記第1のセキュリティグループおよび前記第3のセキュリティグループから、より大きなアドレス範囲を有するセキュリティグループを第4のセキュリティグループとして決定し、前記第1のセキュリティグループおよび前記第3のセキュリティグループから、より小さいアドレス範囲を有するセキュリティグループを第5のセキュリティグループとして決定するステップと、
    前記第1の処理命令が第1の分割命令である場合、前記第4のセキュリティグループから前記第5のセキュリティグループのアドレス情報と同一のアドレス情報を削除して、第1の子セキュリティグループを取得するステップであって、前記第1の子セキュリティグループは、削除後に残ったアドレス情報を含む、ステップと、
    前記第1の処理命令が継承命令である場合、前記第5のセキュリティグループを二次セキュリティグループとして設定し、前記第5のセキュリティグループを前記第4のセキュリティグループの子グループとして設定するステップであって、前記二次セキュリティグループは、前記検査されたセキュリティグループ内の別のセキュリティグループとの包含関係を有するセキュリティグループである、ステップと
    を含む、請求項2または3に記載の方法。
  5. 第1のセキュリティグループと複数の第2のセキュリティグループとの間に包含関係または重複関係が存在するかどうかを判断する前記ステップの後、前記方法が、
    前記第1のセキュリティグループと前記複数の第2のセキュリティグループ内の少なくとも2つの第2のセキュリティグループとの間に重複関係が存在する場合、前記少なくとも2つの第2のセキュリティグループから第6のセキュリティグループとしてセキュリティグループを選択するステップと、
    第2の確認プロンプト情報を表示するステップであって、前記第2の確認プロンプト情報は、前記第1のセキュリティグループと前記第6のセキュリティグループとの間の重複関係を処理するように前記管理者を促すために使用される、ステップと、
    前記第2の確認プロンプト情報に従って第2の処理命令が受信された場合、前記第2の処理命令に従って、前記第1のセキュリティグループと前記第6のセキュリティグループとの間の前記重複関係を処理するステップと
    をさらに含む、請求項2に記載の方法。
  6. 前記第2の処理命令に従って、前記第1のセキュリティグループと前記第6のセキュリティグループとの間の前記重複関係を処理する前記ステップが、
    前記第2の処理命令が旧グループを保持する命令である場合、前記第1のセキュリティグループ内にあり、かつ前記第6のセキュリティグループ内のアドレス情報と同一であるアドレス情報を第2の子セキュリティグループにグループ分けし、前記第2の子セキュリティグループ内のアドレス情報以外の前記第1のセキュリティグループ内の他のアドレス情報を第3の子セキュリティグループにグループ分けするステップと、
    前記第2の子セキュリティグループを二次セキュリティグループとして設定し、前記第2の子セキュリティグループを前記第6のセキュリティグループの子グループとして設定するステップと
    を含む、請求項5に記載の方法。
  7. 前記第2の処理命令に従って、前記第1のセキュリティグループと前記第6のセキュリティグループとの間の前記重複関係を処理する前記ステップが、
    前記第2の処理命令が新グループを保持する命令である場合、前記第6のセキュリティグループ内にあり、かつ前記第1のセキュリティグループ内のアドレス情報と同一であるアドレス情報を第4の子セキュリティグループにグループ分けし、前記第4の子セキュリティグループ内のアドレス情報以外の前記第6のセキュリティグループ内の他のアドレス情報を第5の子セキュリティグループにグループ分けするステップと、
    前記第4の子セキュリティグループを二次セキュリティグループとして設定し、前記第4の子セキュリティグループを前記第1のセキュリティグループの子グループとして設定するステップと
    を含む、請求項5に記載の方法。
  8. 前記第2の処理命令に従って、前記第1のセキュリティグループと前記第6のセキュリティグループとの間の前記重複関係を処理する前記ステップが、
    前記第2の処理命令が第2の分割命令である場合、前記第1のセキュリティグループおよび前記第6のセキュリティグループ内の同一のアドレス情報、前記第6のセキュリティグループ内のアドレス情報と同一のアドレス情報以外の前記第1のセキュリティグループ内の他のアドレス情報、および前記第1のセキュリティグループ内のアドレス情報と同一のアドレス情報以外の前記第6のセキュリティグループ内の他のアドレス情報を、3つのセキュリティグループにそれぞれグループ分けするステップ
    を含む、請求項5に記載の方法。
  9. 前記ポリシー構成命令に従って、指定されたルールを構成する前記ステップが、
    前記指定された送信元グループと前記指定された送信先グループとの両方が一次セキュリティグループである場合、前記指定された送信元グループ、前記指定された送信先グループ、および前記指定されたアクションインジケータに従って、前記指定されたルールを構成するステップであって、前記指定されたルールおよび前記指定されたルールとは独立した前記別の構成されたルールの前記格納順序は、フロー制御に影響を与えず、前記一次セキュリティグループは、前記検査されたセキュリティグループ内の別のセキュリティグループとの包含関係または重複関係を有しない独立したセキュリティグループであり、前記指定されたルールおよび前記別の構成されたルールは、独立したセキュリティグループによって形成される、ステップ
    を含む、請求項1から8のいずれか一項に記載の方法。
  10. 前記ポリシー構成命令に従って、指定されたルールを構成し、前記ポリシー構成命令に従って、前記指定されたルールの格納順序を構成する前記ステップが、
    前記指定された送信元グループまたは前記指定された送信先グループが二次セキュリティグループである場合、第1のルールが構成されているかどうかを判断するステップであって、前記第1のルールは、前記指定された送信元グループの親グループと前記指定された送信先グループとの間のルール、前記指定された送信元グループと前記指定された送信先グループの親グループとの間のルール、または前記指定された送信元グループの親グループと前記指定された送信先グループの親グループとの間のルールである、ステップと、
    前記第1のルールが構成されている場合、前記指定されたアクションインジケータが前記第1のルールに含まれるアクションインジケータと同一であるかどうかを判断するステップと、
    前記指定されたアクションインジケータが前記第1のルールに含まれる前記アクションインジケータと同一である場合、前記指定されたルールの構成を禁止するステップと
    を含む、請求項1から8のいずれか一項に記載の方法。
  11. 前記指定されたアクションインジケータが前記第1のルールに含まれるアクションインジケータと同一であるかどうかを判断する前記ステップの後、前記方法が、
    前記指定されたアクションインジケータが前記第1のルールに含まれる前記アクションインジケータと競合する場合、前記指定された送信元グループ、前記指定された送信先グループ、および前記指定されたアクションインジケータに従って、前記指定されたルールを構成するステップと、
    前記指定されたルールの前記格納順序が前記第1のルールの格納順序に先行することを設定するステップと
    をさらに含む、請求項10に記載の方法。
  12. 前記指定されたルールの構成を禁止する前記ステップの後、前記方法が、
    前記指定されたルールの構成が禁止されており、かつ前記指定されたルールが冗長ルールであることを管理者に促すための「構成禁止」プロンプト情報を表示するステップ
    をさらに含む、請求項10または11に記載の方法。
  13. フロー制御装置であって、
    複数のアドレス情報がそれぞれ属するホストの属性情報に従って、格納された前記複数のアドレス情報を少なくとも3つのセキュリティグループにグループ分けするように構成されたグループ分けモジュールであって、前記属性情報はサービス種別またはセキュリティクラスを含む、グループ分けモジュールと
    検査されたセキュリティグループでは、高レベルのセキュリティグループが低レベルのセキュリティグループを完全に含み、かつ同じレベルのセキュリティグループが重複することなく互いに完全に独立しているように、前記少なくとも3つのセキュリティグループを検査するように構成された検査処理モジュールであって、前記レベルは、前記セキュリティグループが親グループ、子グループ、または独立したセキュリティグループのいずれであるかを示すために使用される、検査処理モジュールと、
    ポリシー構成命令を受信するように構成された受信モジュールであって、前記ポリシー構成命令は、指定された送信元グループ、指定された送信先グループ、および指定されたアクションインジケータを運び、前記指定された送信元グループおよび前記指定された送信先グループは、前記検査されたセキュリティグループ内の2つの異なるセキュリティグループである、受信モジュールと、
    前記ポリシー構成命令に従って、指定されたルールを構成し、前記ポリシー構成命令に従って、少なくとも2つのルールの格納順序を構成するように構成された構成モジュールであって、前記指定されたルールは、前記ポリシー構成命令に従って生成され、前記少なくとも2つのルールは、前記指定されたルールおよび別の構成されたルールを含み、前記少なくとも2つのルールの各々は、一致条件およびアクションインジケータを含み、前記受信モジュールが、前記少なくとも2つのルールが構成された後にデータパケットを受信するようにさらに構成され、前記データパケットは送信元アドレス情報および送信先アドレス情報を運ぶ、構成モジュールと、
    フロー制御を実施するために、前記少なくとも2つのルールおよび前記少なくとも2つのルールの格納順序に従って、前記データパケットを処理するように構成されたパケット処理モジュールと
    を備える装置。
  14. 前記検査処理モジュールが、
    第1のセキュリティグループと複数の第2のセキュリティグループとの間に包含関係または重複関係が存在するかどうかを判断するように構成された判定ユニットであって、前記第1のセキュリティグループは、前記少なくとも3つのセキュリティグループ内の検査されていないセキュリティグループであり、前記複数の第2のセキュリティグループは、前記少なくとも3つのセキュリティグループ内の前記検査されたセキュリティグループであり、前記包含関係は、前記第1のセキュリティグループが前記第2のセキュリティグループのサブセットであること、または前記第2のセキュリティグループが前記第1のセキュリティグループのサブセットであることを意味し、前記重複関係は、前記第1のセキュリティグループと前記第2のセキュリティグループとの間に共通部分が存在し、前記第1のセキュリティグループが前記第2のセキュリティグループと等しくないことを意味する、判定ユニットと、
    前記第1のセキュリティグループと前記複数の第2のセキュリティグループ内の少なくとも2つの第2のセキュリティグループとの間に包含関係が存在する場合、前記少なくとも2つの第2のセキュリティグループから第3のセキュリティグループとしてセキュリティグループを決定するように構成された決定ユニットと、
    第1の確認プロンプト情報を表示するように構成された表示ユニットであって、前記第1の確認プロンプト情報は、前記第1のセキュリティグループと前記第3のセキュリティグループとの間の包含関係を処理するように管理者を促すために使用される、表示ユニットと、
    前記第1の確認プロンプト情報に従って第1の処理命令が受信された場合、前記第1の処理命令に従って、前記第1のセキュリティグループと前記第3のセキュリティグループとの間の前記包含関係を処理するように構成された包含関係処理ユニットと
    を備える、請求項13に記載の装置。
  15. 前記決定ユニットが、
    前記第1のセキュリティグループが前記少なくとも2つの第2のセキュリティグループ内のすべてのセキュリティグループに含まれる場合、前記少なくとも2つの第2のセキュリティグループから、最も小さいアドレス範囲を有するセキュリティグループを選択するか、または前記第1のセキュリティグループが前記少なくとも2つの第2のセキュリティグループ内のすべてのセキュリティグループを含む場合、前記少なくとも2つの第2のセキュリティグループから、最も大きいアドレス範囲を有するセキュリティグループを選択するか、または前記第1のセキュリティグループが前記少なくとも2つの第2のセキュリティグループ内の少なくとも1つの第2のセキュリティグループに含まれ、かつ前記第1のセキュリティグループが前記少なくとも2つの第2のセキュリティグループ内の残りの第2のセキュリティグループをさらに含む場合、前記少なくとも1つの第2のセキュリティグループから、最も小さいアドレス範囲を有するセキュリティグループを選択するか、もしくは前記残りの第2のセキュリティグループから、最も大きいアドレス範囲を有するセキュリティグループを選択するように構成された選択サブユニットと、
    選択された前記セキュリティグループを前記第3のセキュリティグループとして決定するように構成された決定サブユニットと
    を備える、請求項14に記載の装置。
  16. 前記包含関係処理ユニットが、
    前記第1の確認プロンプト情報に従って前記第1の処理命令が受信された場合、前記第1のセキュリティグループおよび前記第3のセキュリティグループから、前記第1の処理命令に従って、より大きなアドレス範囲を有するセキュリティグループを第4のセキュリティグループとして決定し、前記第1のセキュリティグループおよび前記第3のセキュリティグループから、より小さいアドレス範囲を有するセキュリティグループを第5のセキュリティグループとして決定するように構成された決定サブユニットと、
    前記第1の処理命令が第1の分割命令である場合、前記第4のセキュリティグループから前記第5のセキュリティグループのアドレス情報と同一のアドレス情報を削除して、第1の子セキュリティグループを取得するように構成された削除サブユニットであって、前記第1の子セキュリティグループは、削除後に残ったアドレス情報を含む、削除サブユニットと、
    前記第1の処理命令が継承命令である場合、前記第5のセキュリティグループを二次セキュリティグループとして設定し、前記第5のセキュリティグループを前記第4のセキュリティグループの子グループとして設定するように構成された設定サブユニットであって、前記二次セキュリティグループは、前記検査されたセキュリティグループ内の別のセキュリティグループとの包含関係を有するセキュリティグループである、設定サブユニットと
    を備える、請求項14または15に記載の装置。
  17. 前記検査処理モジュールが、
    前記第1のセキュリティグループと前記複数の第2のセキュリティグループ内の少なくとも2つの第2のセキュリティグループとの間に重複関係が存在する場合、前記少なくとも2つの第2のセキュリティグループから第6のセキュリティグループとしてセキュリティグループを選択するように構成された選択ユニットであって、前記表示ユニットが、第2の確認プロンプト情報を表示するようにさらに構成され、前記第2の確認プロンプト情報は、前記第1のセキュリティグループと前記第6のセキュリティグループとの間の重複関係を処理するように前記管理者を促すために使用される、選択ユニットと、
    前記第2の確認プロンプト情報に従って第2の処理命令が受信された場合、前記第2の処理命令に従って、前記第1のセキュリティグループと前記第6のセキュリティグループとの間の前記重複関係を処理するように構成された重複関係処理ユニットと
    をさらに備える、請求項14に記載の装置。
  18. 前記重複関係処理ユニットが、
    前記第2の処理命令が前記第2の確認プロンプト情報に従って受信され、かつ前記第2の処理命令が旧グループを保持する命令である場合、前記第1のセキュリティグループ内にあり、かつ前記第6のセキュリティグループ内のアドレス情報と同一であるアドレス情報を第2の子セキュリティグループにグループ分けし、前記第2の子セキュリティグループ内のアドレス情報以外の前記第1のセキュリティグループ内の他のアドレス情報を第3の子セキュリティグループにグループ分けするように構成されたグループ分けサブユニットと、
    前記第2の子セキュリティグループを二次セキュリティグループとして設定し、前記第2の子セキュリティグループを前記第6のセキュリティグループの子グループとして設定するように構成された設定サブユニットと
    を備える、請求項17に記載の装置。
  19. 前記重複関係処理ユニットが、
    前記第2の処理命令が前記第2の確認プロンプト情報に従って受信され、かつ前記第2の処理命令が新グループを保持する命令である場合、前記第6のセキュリティグループ内にあり、かつ前記第1のセキュリティグループ内のアドレス情報と同一であるアドレス情報を第4の子セキュリティグループにグループ分けし、前記第4の子セキュリティグループ内のアドレス情報以外の前記第6のセキュリティグループ内の他のアドレス情報を第5の子セキュリティグループにグループ分けするように構成されたグループ分けサブユニットと、
    前記第4の子セキュリティグループを二次セキュリティグループとして設定し、前記第4の子セキュリティグループを前記第1のセキュリティグループの子グループとして設定するように構成された設定サブユニットと
    を備える、請求項17に記載の装置。
  20. 前記重複関係処理ユニットが、
    前記第2の処理命令が前記第2の確認プロンプト情報に従って受信され、前記第2の処理命令が第2の分割命令である場合、前記第1のセキュリティグループおよび前記第6のセキュリティグループ内の同一のアドレス情報、前記第6のセキュリティグループ内のアドレス情報と同一のアドレス情報以外の前記第1のセキュリティグループ内の他のアドレス情報、および前記第1のセキュリティグループ内のアドレス情報と同一のアドレス情報以外の前記第6のセキュリティグループ内の他のアドレス情報を、3つのセキュリティグループにそれぞれグループ分けするように構成されたグループ分けサブユニット
    を備える、請求項17に記載の装置。
  21. 前記構成モジュールが、
    前記指定された送信元グループと前記指定された送信先グループとの両方が一次セキュリティグループである場合、前記指定された送信元グループ、前記指定された送信先グループ、および前記指定されたアクションインジケータに従って、前記指定されたルールを構成するように構成された構成ユニットであって、前記指定されたルールおよび前記指定されたルールとは独立した前記別の構成されたルールの前記格納順序は、フロー制御に影響を与えず、前記一次セキュリティグループは、前記検査されたセキュリティグループ内の別のセキュリティグループとの包含関係または重複関係を有しない独立したセキュリティグループであり、前記指定されたルールおよび前記別の構成されたルールは、独立したセキュリティグループによって形成される、構成ユニット
    を備える、請求項13から20のいずれか一項に記載の装置。
  22. 前記構成モジュールが、
    前記指定された送信元グループまたは前記指定された送信先グループが二次セキュリティグループである場合、第1のルールが構成されているかどうかを判断するように構成された判定ユニットであって、前記第1のルールは、前記指定された送信元グループの親グループと前記指定された送信先グループとの間のルール、前記指定された送信元グループと前記指定された送信先グループの親グループとの間のルール、または前記指定された送信元グループの親グループと前記指定された送信先グループの親グループとの間のルールであり、前記判定ユニットは、前記第1のルールが構成されている場合、前記指定されたアクションインジケータが前記第1のルールに含まれるアクションインジケータと同一であるかどうかを判断するようにさらに構成されている、判定ユニットと、
    前記指定されたアクションインジケータが前記第1のルールに含まれる前記アクションインジケータと同一である場合、前記指定されたルールの構成を禁止するように構成された構成禁止ユニットと
    を備える、請求項13から20のいずれか一項に記載の装置。
  23. 前記構成モジュールが、
    前記指定されたアクションインジケータが前記第1のルールに含まれる前記アクションインジケータと競合する場合、前記指定された送信元グループ、前記指定された送信先グループ、および前記指定されたアクションインジケータに従って、前記指定されたルールを構成するように構成された構成ユニットと、
    前記指定されたルールの前記格納順序が前記第1のルールの格納順序に先行することを設定するように構成された設定ユニットと
    をさらに備える、請求項22に記載の装置。
  24. 前記構成モジュールが、
    前記指定されたルールの構成が禁止されており、かつ前記指定されたルールが冗長ルールであることを管理者に促すための「構成禁止」プロンプト情報を表示するように構成された表示ユニット
    をさらに備える、請求項22または23に記載の装置。
JP2017564004A 2015-09-23 2016-09-01 フロー制御方法および装置 Expired - Fee Related JP6644399B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201510612886.XA CN106549793B (zh) 2015-09-23 2015-09-23 流量控制方法及设备
CN201510612886.X 2015-09-23
PCT/CN2016/097819 WO2017050112A1 (zh) 2015-09-23 2016-09-01 流量控制方法及设备

Publications (3)

Publication Number Publication Date
JP2018517373A JP2018517373A (ja) 2018-06-28
JP2018517373A5 true JP2018517373A5 (ja) 2019-03-28
JP6644399B2 JP6644399B2 (ja) 2020-02-12

Family

ID=58365687

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017564004A Expired - Fee Related JP6644399B2 (ja) 2015-09-23 2016-09-01 フロー制御方法および装置

Country Status (5)

Country Link
US (1) US10742685B2 (ja)
EP (1) EP3282642B1 (ja)
JP (1) JP6644399B2 (ja)
CN (1) CN106549793B (ja)
WO (1) WO2017050112A1 (ja)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107153565B (zh) * 2016-03-03 2020-06-16 华为技术有限公司 配置资源的方法及其网络设备
US10666508B2 (en) * 2017-06-09 2020-05-26 Nicira, Inc. Unified software defined networking configuration management over multiple hosting environments
CN107547432B (zh) * 2017-08-28 2019-09-06 新华三信息安全技术有限公司 一种流量控制方法及装置
US10819682B1 (en) * 2018-06-04 2020-10-27 Facebook, Inc. Systems and methods for high-efficiency network-packet filtering
CN110071841B (zh) * 2019-04-30 2022-04-26 杭州迪普科技股份有限公司 检验流定义的配置信息方法和装置
US11552887B2 (en) * 2019-08-07 2023-01-10 Arista Networks, Inc. System and method of processing packet classification with range sets
CN112672348A (zh) * 2019-09-27 2021-04-16 华为技术有限公司 安全控制方法、装置、设备、系统及存储介质
CN110768848B (zh) * 2019-10-31 2022-07-01 杭州迪普科技股份有限公司 一种主备服务器切换方法及装置
CN113328973B (zh) * 2020-02-28 2022-09-23 华为技术有限公司 一种检测访问控制列表acl规则无效的方法和装置
CN113179252B (zh) * 2021-03-30 2022-04-01 新华三信息安全技术有限公司 一种安全策略管理方法、装置、设备及机器可读存储介质
US20230412496A1 (en) * 2022-06-21 2023-12-21 Oracle International Corporation Geometric based flow programming

Family Cites Families (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7143438B1 (en) * 1997-09-12 2006-11-28 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with multiple domain support
US7636937B1 (en) * 2002-01-11 2009-12-22 Cisco Technology, Inc. Method and apparatus for comparing access control lists for configuring a security policy on a network
US7231664B2 (en) * 2002-09-04 2007-06-12 Secure Computing Corporation System and method for transmitting and receiving secure data in a virtual private group
US7567510B2 (en) * 2003-02-13 2009-07-28 Cisco Technology, Inc. Security groups
US7530112B2 (en) * 2003-09-10 2009-05-05 Cisco Technology, Inc. Method and apparatus for providing network security using role-based access control
CN100359889C (zh) * 2004-10-29 2008-01-02 江苏南大苏富特软件股份有限公司 基于策略树的报文分组过滤及管理方法
JP4791285B2 (ja) 2006-08-04 2011-10-12 富士通株式会社 ネットワーク装置およびフィルタリングプログラム
JP4518070B2 (ja) 2006-11-22 2010-08-04 ヤマハ株式会社 パケットフィルタの検証パケット発生方法、検証パケット発生装置、検証パケット発生プログラム、パケットフィルタのテスト方法、パケットフィルタのテスト装置
CN101127713B (zh) * 2007-09-05 2011-04-06 华为技术有限公司 通用流量控制装置及流量控制方法
JP2009077030A (ja) 2007-09-19 2009-04-09 Nec Corp ルール制御装置、ルール制御方法、および、ルール制御プログラム
CN101119321B (zh) * 2007-09-29 2010-11-03 杭州华三通信技术有限公司 网络流量分类处理方法及网络流量分类处理装置
US20090300748A1 (en) * 2008-06-02 2009-12-03 Secure Computing Corporation Rule combination in a firewall
WO2010056839A1 (en) * 2008-11-12 2010-05-20 Citrix Systems, Inc. Tool for visualizing configuration and status of a network appliance
US20100199346A1 (en) * 2009-02-02 2010-08-05 Telcordia Technologies, Inc. System and method for determining symantic equivalence between access control lists
CN101640634B (zh) * 2009-04-13 2012-02-15 山石网科通信技术(北京)有限公司 网络流量控制方法
US9009293B2 (en) 2009-11-18 2015-04-14 Cisco Technology, Inc. System and method for reporting packet characteristics in a network environment
JP5644150B2 (ja) * 2010-03-23 2014-12-24 日本電気株式会社 サービス提供システム、仮想マシンサーバ、サービス提供方法及びサービス提供プログラム
US20120099591A1 (en) * 2010-10-26 2012-04-26 Dell Products, Lp System and Method for Scalable Flow Aware Network Architecture for Openflow Based Network Virtualization
US20140025796A1 (en) * 2012-07-19 2014-01-23 Commvault Systems, Inc. Automated grouping of computing devices in a networked data storage system
BR112016030177B1 (pt) * 2014-06-24 2023-04-11 Huawei Technologies Co., Ltd Método de multidifusão, extremidade de aplicação e sistema de multidifusão para uma snd e controlador sdn
CN104394080A (zh) * 2014-11-28 2015-03-04 杭州华三通信技术有限公司 实现安全组功能的方法及装置
US9894100B2 (en) * 2014-12-30 2018-02-13 Fortinet, Inc. Dynamically optimized security policy management
WO2016130108A1 (en) * 2015-02-10 2016-08-18 Hewlett Packard Enterprise Development Lp Network policy conflict detection and resolution
WO2016130121A1 (en) * 2015-02-11 2016-08-18 Hewlett Packard Enterprise Development Lp Network service chain construction
US9825960B2 (en) * 2015-05-29 2017-11-21 Oracle International Corporation System and method providing automatic pushdown hierarchical filters
US9984100B2 (en) * 2015-09-29 2018-05-29 International Business Machines Corporation Modification of images and associated text

Similar Documents

Publication Publication Date Title
JP2018517373A5 (ja)
JP6644399B2 (ja) フロー制御方法および装置
US20190087312A1 (en) Collaborative computer aided test plan generation
US9876810B2 (en) Systems and methods for malware lab isolation
US8005945B2 (en) Aggregating policy criteria parameters into ranges for efficient network analysis
CN104301184B (zh) 链路的健康检查方法和装置
US10924298B2 (en) Network service chain construction
CN105787364B (zh) 任务的自动化测试方法、装置及系统
Khalid et al. Examining the relationship between findbugs warnings and app ratings
JP2016119061A (ja) ポリシベースのネットワーク・セキュリティ
Esparrachiari et al. Tracking and Controlling Microservice Dependencies: Dependency management is a crucial part of system and software design.
CN110287701A (zh) 一种恶意文件检测方法、装置、系统及相关组件
US10025699B2 (en) Method and system for reviewing of clustered-code analysis warnings
CN103581185A (zh) 对抗免杀测试的云查杀方法、装置及系统
CN106775951A (zh) 一种安卓应用的运行管理方法和装置
CN104063307A (zh) 一种软件测试方法和系统
KR101277623B1 (ko) 화이트리스트 동기화 서버 및 클라이언트 장치
CN110569987B (zh) 自动化运维方法、运维设备、存储介质及装置
US20150278526A1 (en) Computerized systems and methods for presenting security defects
CN109783196A (zh) 一种虚拟机的迁移方法及装置
CN106020913B (zh) 一种缺陷检测工具更新方法及装置
US20160048629A1 (en) Automatic generation of test layouts for testing a design rule checking tool
CN111917743B (zh) 节点间访问关系切换方法、系统、设备及介质
CN104506331B (zh) 一种组播报文传输方法及多核网络设备
KR20210156728A (ko) 퍼징 테스트 방법 및 장치