JP2023519483A - Sdwanアーキテクチャのサービスプレーンでの動的ファイアウォール発見 - Google Patents
Sdwanアーキテクチャのサービスプレーンでの動的ファイアウォール発見 Download PDFInfo
- Publication number
- JP2023519483A JP2023519483A JP2022547760A JP2022547760A JP2023519483A JP 2023519483 A JP2023519483 A JP 2023519483A JP 2022547760 A JP2022547760 A JP 2022547760A JP 2022547760 A JP2022547760 A JP 2022547760A JP 2023519483 A JP2023519483 A JP 2023519483A
- Authority
- JP
- Japan
- Prior art keywords
- data packet
- source
- site
- destination
- source data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 claims abstract description 44
- 238000007689 inspection Methods 0.000 claims abstract description 41
- 239000003550 marker Substances 0.000 claims abstract description 29
- 230000005540 biological transmission Effects 0.000 claims abstract description 23
- 238000012790 confirmation Methods 0.000 claims description 52
- 238000003860 storage Methods 0.000 claims description 39
- 238000012795 verification Methods 0.000 claims description 15
- 230000002441 reversible effect Effects 0.000 claims description 14
- 230000004044 response Effects 0.000 claims description 12
- 238000004590 computer program Methods 0.000 claims description 4
- 238000001914 filtration Methods 0.000 abstract description 2
- 230000015654 memory Effects 0.000 description 30
- 238000004891 communication Methods 0.000 description 18
- 230000006870 function Effects 0.000 description 5
- 230000003287 optical effect Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000001514 detection method Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000013519 translation Methods 0.000 description 2
- 241000699670 Mus sp. Species 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000003190 augmentative effect Effects 0.000 description 1
- 239000000872 buffer Substances 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 229920002239 polyacrylonitrile Polymers 0.000 description 1
- 201000006292 polyarteritis nodosa Diseases 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L1/00—Arrangements for detecting or preventing errors in the information received
- H04L1/12—Arrangements for detecting or preventing errors in the information received by using return channel
- H04L1/16—Arrangements for detecting or preventing errors in the information received by using return channel in which the return channel carries supervisory signals, e.g. repetition request signals
- H04L1/18—Automatic repetition systems, e.g. Van Duuren systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/54—Organization of routing tables
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本開示は、サービスプレーン上での動的ファイアウォール発見のためのシステムおよび方法を対象とする。本方法は、ソースサイトのソースマシンから宛先サイトの宛先マシンに伝送するためのソースデータパケットを識別するステップであって、ソースデータパケットが、WAN上でのソースマシンと宛先マシンの間の接続要求に対応する、識別するステップと、ソースサイトに関連付けられた第1のファイアウォールでソースデータパケットを検査するステップと、ソースデータパケットをマーカでマークして、第1のファイアウォールによる検査を示すステップと、マークされたソースデータパケットを宛先サイトに伝送するステップと、宛先サイトで、ソースデータパケットがマーカに基づいて検査されたと決定するステップと、宛先サイトに関連付けられた第2のファイアウォールによるソースデータパケットの検査なしに、ソースデータパケットを宛先サイトの宛先マシンに転送するステップと、を含む。【選択図】図2
Description
本開示は、概して、ファイアウォール発見に関し、より具体的には、ソフトウェア定義型ワイドエリアネットワーク(SDWAN)アーキテクチャにおけるサービスプレーン上での動的ファイアウォール発見のためのシステムおよび方法に関する。
今日の世界では、ネットワーク情報の流れが指数関数的に増加するため、コンピュータのセキュリティは重要な必需品となっている。ハッカーやマルウェアなどからの脅威によって、大規模なコンピュータネットワークがシャットダウンまたは損傷し、その結果、多額の資金、リソース、および時間が失われることがある。このようなインシデントを防止するためのセキュリティ対策は、脅威の性質および高度化に伴い、常に進化している。コンピュータネットワークを外部の脅威から保護するメカニズムの1つに、ファイアウォールがある。ファイアウォールは、ネットワークとその外部との間に配置されるハードウェアとソフトウェアの組み合わせである。ファイアウォールは、すべてのデータがネットワークユーザに送信される前に、そのデータをネットワーク外部から受信する。ファイアウォールは、データをソートして分析し、ネットワークにアクセスすべきかどうかを決定する。データが承認されると、ファイアウォールはデータをその宛先に転送する。データが承認されない場合、ファイアウォールはネットワークへのデータアクセスを拒否する。
例示的な実施形態の説明
概要
本発明の態様は、独立請求項で述べられ、好ましい特徴は、従属請求項で述べられる。一態様の特徴は、単独で、または他の態様と組み合わせて、任意の態様に適用され得る。
概要
本発明の態様は、独立請求項で述べられ、好ましい特徴は、従属請求項で述べられる。一態様の特徴は、単独で、または他の態様と組み合わせて、任意の態様に適用され得る。
ある実施形態によれば、システムは、1つ以上のプロセッサと、命令を含む1つ以上のコンピュータ可読非一時的記憶媒体であって、命令が、1つ以上のプロセッサによって実行されると、システムの1つ以上の構成要素に、ソースサイトのソースマシンから宛先サイトの宛先マシンへの伝送のためのソースデータパケットを識別することであって、ソースデータパケットが、ワイドエリアネットワーク(WAN)を介したソースマシンと宛先マシンの間の接続要求に対応する、識別することと、ソースサイトに関連付けられた第1のファイアウォールでソースデータパケットを検査することと、ソースデータパケットをマーカでマークして、第1のファイアウォールによる検査を示すことと、マークされたソースデータパケットを宛先サイトに伝送することと、宛先サイトで、ソースデータパケットがマーカに基づいて検査されたと決定することと、宛先サイトに関連付けられた第2のファイアウォールによるソースデータパケットの検査なしに、ソースデータパケットを宛先サイトの宛先マシンに転送することと、を含む、動作を実行させる、1つ以上のコンピュータ可読非一時的記憶媒体と、を含み得る。
さらに、動作は、宛先サイトの宛先マシンからソースサイトのソースマシンへの逆方向伝送のための確認データパケットを識別することをさらに含むことができ、確認データパケットは、ソースデータパケットに応答して逆方向に伝送される。動作は、宛先サイトに関連付けられた第2のファイアウォールによる確認データパケットの検査なしに、宛先サイトからソースサイトに確認データパケットを伝送することと、ソースサイトで、確認データパケットが、ソースデータパケットに関連付けられていると決定することと、ソースサイトに関連付けられた第1のファイアウォールで確認データパケットを検査することと、確認データパケットをソースサイトのソースマシンに転送することと、をさらに含むことができる。
追加的に、ソースデータパケットは、SYNパケットであってもよく、確認データパケットは、SYN/ACKパケットであってもよい。
また、マークする動作は、ソースデータパケットに関連付けられたフローテーブルエントリを作成することをさらに含み得る。さらに、確認データパケットは、フローテーブルエントリに基づいて、ソースデータパケットに関連付けられていると決定され得る。
追加的に、マーカは、ソースデータパケットの伝送制御プロトコル(TCP)ヘッダのフィールドに基づくリダイレクトフラグであってもよい。
別の実施形態によれば、方法は、ソースサイトのソースマシンから宛先サイトの宛先マシンへ伝送するためのソースデータパケットを識別するステップであって、ソースデータパケットが、ワイドエリアネットワーク(WAN)を介したソースマシンと宛先マシンの間の接続要求に対応する、識別するステップと、ソースサイトに関連付けられた第1のファイアウォールでソースデータパケットを検査するステップと、ソースデータパケットをマーカでマークして、第1のファイアウォールによる検査を示すステップと、マークされたソースデータパケットを宛先サイトに伝送するステップと、宛先サイトで、ソースデータパケットがマーカに基づいて検査されたと決定するステップと、宛先サイトに関連付けられた第2のファイアウォールによるソースデータパケットの検査なしに、ソースデータパケットを宛先サイトの宛先マシンに転送するステップと、を含むことができる。
さらに別の実施形態によれば、1つ以上のコンピュータ可読非一時的記憶媒体は、命令を包含することができ、この命令は、プロセッサによって実行されると、ソースサイトのソースマシンから宛先サイトの宛先マシンへの伝送のためのソースデータパケットを識別することであって、ソースデータパケットが、ワイドエリアネットワーク(WAN)を介したソースマシンと宛先マシンの間の接続要求に対応する、識別することと、ソースサイトに関連付けられた第1のファイアウォールでソースデータパケットを検査することと、ソースデータパケットをマーカでマークして、第1のファイアウォールによる検査を示すことと、マークされたソースデータパケットを宛先サイトに伝送することと、宛先サイトで、ソースデータパケットがマーカに基づいて検査されたと決定することと、宛先サイトに関連付けられた第2のファイアウォールによるソースデータパケットの検査なしで、ソースデータパケットを宛先サイトの宛先マシンに転送することと、を含む、動作を実行させる。
本開示のある特定の実施形態の技術的利点には、以下のうちの1つ以上が含まれ得る。本明細書で説明されるシステムおよび方法は、データパケットのファイアウォール検査の動的検出を可能にし、それによって、ネットワーク内の1つ以上のファイアウォールによって行われ得る検査の数を減らすことができる。その結果、既存のファイアウォールライセンス下のファイアウォールの使用回数を減らすことができ、かつ/またはネットワーク経由で送信され得るデータパケットの数を増やすことができる。追加的に、開示されたシステムおよび方法は、データパケットがファイアウォール検査を受ける回数が少なくなるので、処理時間が本質的に減少するため、システム待ち時間を短縮することができる。
他の技術的利点は、以下の図面、説明、および特許請求の範囲から、当業者には容易に明らかになるであろう。さらに、特定の利点が上に列挙されているが、様々な実施形態は、列挙された利点のすべて、一部を含むか、またはまったく含まない場合がある。
例示的な実施形態
今日のSD-WAN企業ネットワークでは、ローカルか地域かを問わず、すべてのサイトにファイアウォールが装備されており、ネットワークに入るデータがネットワークまたはそのユーザに脅威を与えないようにしている。しかしながら、今日のネットワークでは、アプリケーションおよびデータトラフィックは、2つのファイアウォール、すなわち、ソースサイトおよび宛先サイトを、両方のサイトが同じ信頼できるネットワークの一部であっても、通過する必要がある。データパケットが通過しなければならないファイアウォールの数を2倍にすることにより、企業はファイアウォールの使用ライセンスを2倍にする必要がある場合があり、これらのライセンスは、多くの場合、ファイアウォールが一度に処理できる接続の数に基づいているためである(例えば、2000個のファイアウォールライセンスが、ソースサイトおよび宛先サイトで二重に検査された1000個の伝送されたデータパケットに必要であり得る)。追加的に、ファイアウォールの数が増えると、ファイアウォール処理の各インスタンスがトラフィックを遅くするため、ネットワーク待ち時間が増大することになり得る。
今日のSD-WAN企業ネットワークでは、ローカルか地域かを問わず、すべてのサイトにファイアウォールが装備されており、ネットワークに入るデータがネットワークまたはそのユーザに脅威を与えないようにしている。しかしながら、今日のネットワークでは、アプリケーションおよびデータトラフィックは、2つのファイアウォール、すなわち、ソースサイトおよび宛先サイトを、両方のサイトが同じ信頼できるネットワークの一部であっても、通過する必要がある。データパケットが通過しなければならないファイアウォールの数を2倍にすることにより、企業はファイアウォールの使用ライセンスを2倍にする必要がある場合があり、これらのライセンスは、多くの場合、ファイアウォールが一度に処理できる接続の数に基づいているためである(例えば、2000個のファイアウォールライセンスが、ソースサイトおよび宛先サイトで二重に検査された1000個の伝送されたデータパケットに必要であり得る)。追加的に、ファイアウォールの数が増えると、ファイアウォール処理の各インスタンスがトラフィックを遅くするため、ネットワーク待ち時間が増大することになり得る。
本開示は、ネットワーク内のサービスプレーン上のファイアウォールを動的に発見するためのシステムおよび方法であって、具体的には、第1のファイアウォールがデータパケットを検査したときを検出し、それによって、ネットワーク内の第2ファイアウォールによる同じパケットの第2の検査を回避するためのシステムおよび方法を紹介する。
図1は、本開示による、ファイアウォール検査を検出するためのシステム100を示す。システム100は、ネットワーク190を介して通信可能に接続されたソースサイト110および宛先サイト150を含む。図1は、ネットワークをワイドエリアネットワーク(WAN)として示しているが、ネットワーク190は、SD-WAN、ローカルエリアネットワーク(LAN)、ワイヤレスローカルエリアネットワーク(WLAN)、または当技術分野で知られている任意の他の通信ネットワークを備え得ることを理解されたい。
システム100のソースサイト110は、ソースマシン120(クライアントコンピュータとして示される)、ソースルータ130、およびソースサイト110に関連付けられた第1のファイアウォール140を含み得る。宛先サイト150は、宛先マシン180(サーバとして示される)と、宛先ルータ160と、宛先サイト150に関連付けられた第2のファイアウォール170と、を含むことができる。
ソースサイト110および宛先サイト150は、様々なネットワーク構成およびアーキテクチャに対応し得る。一実施形態では、ソースサイト110のソースマシン120は、ブランチサイトのユーザマシンに対応し得、宛先サイト150の宛先マシン180は、企業データセンターのサーバに対応し得る。別の実施形態では、ソースサイト110のソースマシン120は、リモートサイトのリモートユーザマシン(仮想プライベートネットワーク(VPN)のユーザによって使用されたマシンなど)に対応し得、宛先サイトの宛先マシン180は、企業の本社サイトのサーバに対応し得る。システム100は、当業者によって決定されるように、他の使用事例に適用可能であり得る。
引き続き図1を参照すると、ソースマシン120は、宛先マシン180との通信リンクを確立することを望み得、伝送制御プロトコル(TCP)セッションを開始して、ソースサイト110のソースマシン120からデータパケットを宛先サイト150の宛先マシン180に伝送することができる。本開示の目的のために、ソースサイトから伝送されるデータパケットは、「ソースデータパケット」と呼ばれる場合がある。ソースデータパケットは、ソースマシン120と宛先マシン180の間の接続要求に対応し得る。ある実施形態では、ソースデータパケットは、同期(SYN)パケットを含むことができる。SYNパケットは、第1のマシン(例えば、ソースマシン)から第2のマシン(例えば、宛先マシン)に送信され得、それらの間で接続を確立するよう要求するTCPパケットである。SYNパケットに応答して、宛先マシンは、同期/確認(SYN/ACK)パケットをソースマシンに送り返すことができる。SYNおよびSYN/ACKパケットは、ソースマシン120と宛先マシン180の間の通信を確立するための電子的な「ハンドシェイク」として機能する。
ソースマシン120から送信されたソースデータパケットは、ソースルータ130に到着し得る。ソースルータ130は、ソースデータパケットをチェックし、それがそのヘッダにフローテーブルエントリを有するかどうかを決定することができ、フローテーブルエントリは、データパケットがソースルータ130によって以前に見られたことを示し得る。ソースデータパケットがSYNパケットである場合、ソースルータ130との第1のセッションであるため、フローテーブルエントリはない。次に、ソースサイト110のアプリケーションポリシーにしたがって、ソースルータ130は、検査のためにソースサイト110の第1のファイアウォール140にソースデータパケットを転送することができる。第1のファイアウォール140は、ソースデータパケットを検査し、次いでソースデータパケットをソースルータ130に戻すことができる。次に、ソースルータ130は、ソースデータパケットをマーカでマークして、ファイアウォール検査が第1のファイアウォール140によって完了したことを示すことができる。ある実施形態では、ソースルータ130は、TCPオプションを使用してフラグでソースデータパケットをマークすることができる。ある実施形態では、フラグは、ソースデータパケットのTCPヘッダのオプションフィールドで利用可能なカスタム「R」(「リダイレクト」)フラグを含むことができる。ソースルータ130はまた、ソースデータパケットのフローテーブルエントリを作成および記憶することができる。フローテーブルエントリは、ソースデータパケットがSYNパケットであること、および対応するリターントラフィック(SYN/ACKパケット)が宛先サイト150から受信されることを示すことができる。次いで、ソースルータ130は、ソースデータパケットを、カプセル化され、暗号化されたトンネルを介して、宛先サイト150に伝送することができる。上記の説明は、第1のファイアウォール140が、ソースルータ130によってソースデータパケットをマークする前にソースデータパケットを検査し得ることを示すが、いくつかの実施形態では、ソースルータ130は、ソースデータパケットを第1のファイアウォール140に転送する前にマークし得ることを理解されたい。換言すれば、本開示の範囲から逸脱することなく、特定のアクションの順序を変更することができる。
宛先サイト150では、宛先ルータ160が、ソースデータパケットを受信することができる。宛先ルータ160は、トンネルのカプセル化を解除し、ソースデータパケットを検査することができる。宛先ルータ160は、マーカ、すなわち、Rフラグの存在に基づいて、ソースデータパケットがファイアウォール、すなわち、第1のファイアウォール140によって検査されたことを決定することができる。したがって、宛先ルータ160は、ソースデータパケットをそのローカルファイアウォール、すなわち、第2のファイアウォール170に転送する必要がないと決定することができる。その結果、宛先ルータ160は、ソースデータパケットに関連付けられたフローテーブルエントリをキャッシュし、次に、宛先サイト150に関連付けられた第2のファイアウォール170によるソースデータパケットの検査なしに、ソースデータパケットを宛先サイト150の宛先マシン180に転送することができる。ソースデータパケットに関連付けられたフローテーブルエントリをキャッシュすることによって、宛先ルータ160は、確認データパケット(すなわち、逆方向パケット)を後で確認することができ、これは、ソースデータパケットに関連付けられ、同じパスに沿って送り返される。さらに、ソースデータパケットはRフラグによってマークされたので、宛先ルータ160は、ファイアウォール検査がすでに行われたと決定でき、それによって第2のファイアウォール検査を回避することができる。例として、ソースデータパケットのヘッダにマーカ(Rフラグ)がなく、ファイアウォール検査が行われたことを示す場合、宛先ルータは、ソースデータパケットがファイアウォール検査の候補であると決定することができ、その結果、宛先サイト150に関連付けられた宛先マシン180にパケットを転送する前に、検査のためにソースデータパケットを第2のファイアウォール170に転送することができる。さらに、ファイアウォールはステートフルであるため、つまり、データパケットを検査するファイアウォールが、所与のデータパケットのフローを順方向と逆方向の両方で確認する必要があるため、第2のファイアウォールで順方向に流れるソースデータパケットを検査するには、同じファイアウォールで関連付けられた逆方向トラフィックの検査が必要になる。
ソースマシン120によって送信されたソースデータパケット(例えば、SYNパケット)に応答して、宛先マシン180は、確認データパケット(例えば、SYN/ACKパケット)で応答することができる。具体的には、宛先サイト150の宛先マシン180は、ソースサイト110への逆方向伝送のために、宛先ルータ160に確認データパケットを伝送することができる。確認データパケットは、宛先マシン180との接続を要求するときに、ソースマシン120によって送信されたソースデータパケットに関連付ける(すなわち、それに応答して送信される)ことができる。
宛先ルータ160は、確認データパケットが、以前にキャッシュされたフローテーブルエントリ(すなわち、ソースデータパケットに関連するフローテーブルエントリ)に関連付けられていると決定することができ、その結果、確認データパケットが、ローカルファイアウォール、つまり宛先サイト150の第2のファイアウォール170には送信される必要がないことを知る。したがって、宛先ルータ160は、確認データパケットをカプセル化し、宛先サイトの第2のファイアウォールによる検査なしに、宛先サイトからソースサイトにトンネルを通してそれを伝送することができる。
ソースサイト110において、ソースルータ130は、確認データパケットを検査することができ、確認データパケットがソースデータパケットに関連付けられていること、すなわち、確認データパケットがSYNソースデータパケットに応答して送信されたSYN/ACKであることを決定することができる。この決定は、確認データパケットおよび/またはソースデータパケットに関連付けられたフローテーブルエントリを調べることによって行うことができる。ソースルータ130が、確認データパケットに関連付けられたフローテーブルエントリがないと決定した場合、データパケットはドロップされ得る。ある実施形態では、ソースルータ130は、確認データパケットが「R」フラグでマークされていないと追加的に決定することができ、その結果、確認データパケットをそのローカルファイアウォール、すなわち、第1のファイアウォール140に転送することができる。データパケットを検査している所与のファイアウォールは、両方向のデータパケットのフローを見る必要があるため、逆方向トラフィックも検査する必要がある。図1の実施例では、第1のファイアウォール140がソースデータパケットを検査したので、逆方向トラフィック、すなわち、確認データパケットも検査する。したがって、第1のファイアウォール140は、確認データパケットを検査することができ、ファイアウォールのアプリケーションポリシーに基づいて、確認データパケットを許可または拒否する決定を下すことができる。第1のファイアウォール140が確認データパケットを許可することを決定した場合、パケットは、ソースマシン120への伝送のためにソースルータ130に転送され得る。
図1のシステム100には2つのルータが示されているが、ソースサイト110および宛先サイト150は、データパケットが送信および/または受信され得る任意の数のルータに関連付けられ得ることを理解されたい。例えば、第1のファイアウォール140がデータパケットを検査した後、パケットはソースルータ130またはネットワーク内の別のルータに送信され、クライアントに伝送され得る。
ここで図2を参照すると、本開示による、データパケットの順方向フローに基づいて、ファイアウォール検査を検出するための方法200が示されている。方法は、ステップ205で開始し得る。ステップ210では、ソースサイトのソースマシンから宛先サイトの宛先マシンへの伝送のために、ソースデータパケットを識別することができる。ソースデータパケットは、WANなどのネットワークを介したソースマシンと宛先マシンとの間の接続要求に対応することができる。ある実施形態では、ソースデータパケットは、SYNパケットであってもよい。
ステップ220では、ソースサイトに関連付けられた第1のファイアウォールでソースデータパケットを検査することができる。ソースデータパケットが第1のファイアウォールによる検査に合格すると仮定すると、ステップ230では、ソースデータパケットは、ソースデータパケットをマーカでマークして、第1のファイアウォールによる検査を示すことができる。ある実施形態では、ソースデータパケットは、TCPオプションを使用してフラグでマークされてもよい。ある実施形態では、フラグは、ソースデータパケットのTCPヘッダのオプションフィールドで利用可能なカスタム「R」(「リダイレクト」)フラグを含むことができる。ソースデータパケットが通信を要求するためのパケット(つまり、SYNパケット)であることと、対応するリターントラフィック(つまり、SYN/ACKパケット)が宛先サイトから受送されることと、を示すために、ソースデータパケットに対してFTPフローテーブルエントリを作成することもできる。
ステップ240では、マークされたソースデータパケットが、カプセル化され暗号化されたトンネルを介して宛先サイトに伝送され得る。ステップ250では、トンネルのカプセル化が解除され、ソースデータパケットが宛先サイトで受信されると、ソースデータパケットが以前に検査されたかどうかについての決定が下され得る。この決定は、ソースデータパケットのヘッダ内のマーカ(Rフラグ)の存在に基づいて行うことができる。ステップ250で、ソースデータパケットが検査されたと決定された場合、方法はステップ260に進み得、ソースデータパケットに関連付けられたフローテーブルエントリがキャッシュされた後、ソースデータパケットは、宛先サイトに関連付けられた第2のファイアウォールによるソースデータパケットの検査なしで、宛先サイトの宛先マシンに転送され得る。方法は、ステップ270で終了し得る。
ステップ250で、ソースデータパケットが検査されていないと決定された場合、方法はステップ280に進み得、ソースデータパケットは、第2の宛先サイトに関連付けられた第2のファイアウォールに転送され得、第2のファイアウォールによって検査される。方法は、ステップ270で終了し得る。
ここで図3を参照すると、本開示による、データパケットの逆方向フローに基づいて、ファイアウォール検査を検出するための方法300が示されている。ある実施形態では、図3に記載された方法300は、図2に記載された方法200の続きであってもよく、すなわち、図3に関連して以下に記載された確認データパケットは、図2に関連して上述したソースデータパケットに応答して伝送されてもよい。
図3に示すように、方法300は、ステップ305で開始し得る。ステップ310では、宛先サイトの宛先マシンからソースサイトのソースマシンへの逆方向伝送のための確認データパケットを識別することができる。確認データパケットは、ソースマシンからネットワークを介して宛先マシンに送信された接続要求に応答して送信され得るため、ソースデータパケットに関連付けることができる。ある実施形態では、確認データパケットは、図2に関連して記載されたSYNパケットに関連付けられ得るか、またはそれに応答して送信され得るSYN/ACKパケットであり得る。310における識別するステップは、確認データパケットが、以前にキャッシュされたソースデータパケットのフローテーブルエントリに関連付けられていることを決定することをさらに含むことができ(例えば、図2のステップ260)、結果として、確認データパケットは、ローカルファイアウォール、つまり、宛先サイトに関連付けられた第2のファイアウォールに送信する必要はない。
ステップ320では、確認データパケットが、カプセル化され得、宛先サイトの第2ファイアウォールによる確認データパケットの検査なしに、宛先サイトからトンネルを通してソースサイトに伝送され得る。ステップ330では、確認データパケットがソースサイトで受信されると、確認データパケットがソースデータパケットに関連付けられているかどうか、すなわち、確認データパケットがSYNソースデータパケットに応答して送信されたSYN/ACKであることについての決定が下され得る。この決定は、確認データパケットがソースデータパケットに関連付けられていることを検証するために、FTPフローテーブルエントリを調べることによって下すことができる。
ステップ330では、確認データパケットがソースデータパケットに関連付けられていない、すなわち、フローテーブルエントリが確認データパケットの検証に失敗したと決定された場合、方法はステップ370に進むことができ、確認データパケットはドロップされる。方法は、ステップ360で終了し得る。
ステップ330では、確認データパケットがソースデータパケットに関連付けられている、すなわち、フローテーブルエントリが確認データパケットを検証すると決定された場合、方法はステップ340に進むことができ、確認データパケットは、検査のためにローカルファイアウォール、つまり、第1のファイアウォールに転送され得る。他の実施形態では、確認データパケットがソースデータパケットに関連付けられていると決定する代わりに、またはそれに加えて、確認データパケットが「R」フラグでマークされていない(すなわち、宛先サイトでマークされなかった)ことを決定することもでき、その結果、確認データパケットは検査のために第1のファイアウォールに転送され得る。
ステップ340では、ソースサイトに関連付けられた第1のファイアウォールで確認データパケットを検査することができる。データパケットを検査する所与のファイアウォール(ここでは第1のファイアウォール)は、両方向のデータパケットのフローを見る必要があるため、逆方向トラフィックも検査する必要がある。例として、第1のファイアウォールは順方向トラフィック、すなわち図2のステップ220でソースデータパケットを検査したので、第1のファイアウォールは逆方向トラフィック、すなわち、確認データパケットも検査しなければならない。確認データパケットの検査に基づいて、ファイアウォールが確認データパケットを許可する場合、ステップ350では、確認データパケットは、ソースサイトに関連付けられたソースマシンに転送され得る。ステップ360で、方法は終了し得る。
要するに、本開示のシステムおよび方法は、データパケットのファイアウォール検査の動的検出を可能にすることができ、それによって、ネットワークの1つ以上のファイアウォールによって行われ得る検査の数を少なくとも半分に減らすことができる。その結果、開示されたシステムおよび方法の利点には、既存のファイアウォールライセンスの下でのファイアウォール使用回数の削減、および/またはネットワークを通じて送信できるデータパケットの数の倍増が含まれる。追加的に、開示されたシステムおよび方法は、より少ないファイアウォールによってデータパケットが検査されるので処理時間が減少するため、システム待ち時間を改善することができる。
ここで、例示的なコンピュータシステム400が示されている図4を参照する。特定の実施形態では、1つ以上のコンピュータシステム400は、本明細書で説明または図示する1つ以上の方法の1つ以上のステップを実施する。特定の実施形態では、1つ以上のコンピュータシステム400は、本明細書で説明または図示する機能を提供する。特定の実施形態では、1つ以上のコンピュータシステム400上で実行されるソフトウェアは、本明細書で説明もしくは図示する1つ以上の方法の1つ以上のステップを実施するか、または本明細書で説明もしくは図示する機能を提供する。特定の実施形態は、1つ以上のコンピュータシステム400の1つ以上の部分を含む。本明細書では、コンピュータシステムへの言及は、必要に応じて、コンピューティングデバイスを包含し得、逆もまた同様である。さらに、コンピュータシステムへの言及は、必要に応じて、1つ以上のコンピュータシステムを包含し得る。
本開示は、任意の好適な数のコンピュータシステム400を企図している。本開示は、任意の好適な物理形態をとるコンピュータシステム400を企図している。限定としてではなく例として、コンピュータシステム400は、組み込みコンピュータシステム、システムオンチップ(SOC)、シングルボードコンピュータシステム(SBC)(例えば、コンピュータオンモジュール(COM)またはシステムオンモジュール(SOM)など)、デスクトップコンピュータシステム、ラップトップもしくはノートブックコンピュータシステム、インタラクティブキオスク、メインフレーム、コンピュータシステムのメッシュ、携帯電話、携帯情報端末(PDA)、サーバ、タブレットコンピュータシステム、拡張/仮想現実デバイス、またはこれらの2つ以上の組み合わせであり得る。必要に応じて、コンピュータシステム400は、1つ以上のコンピュータシステム400を含んでよく、一体型または分散型であってよく、複数の位置にまたがってよく、複数のマシンにまたがってよく、複数のデータセンターにまたがってよく、またはクラウドに常駐してよく、クラウドには1つ以上のネットワークに1つ以上のクラウド構成要素が含まれてもよい。必要に応じて、1つ以上のコンピュータシステム400は、実質的な空間的または時間的制限なしに、本明細書で説明または図示する1つ以上の方法の1つ以上のステップを実施することができる。限定ではなく一例として、1つ以上のコンピュータシステム400は、リアルタイムまたはバッチモードで、本明細書で説明または図示する1つ以上の方法の1つ以上のステップを実施することができる。1つ以上のコンピュータシステム400は、必要に応じて、本明細書で説明または図示する1つ以上の方法の1つ以上のステップを、異なる時間または異なる位置で実施することができる。
特定の実施形態では、コンピュータシステム400は、プロセッサ402、メモリ404、ストレージ406、入力/出力(I/O)インターフェース408、通信インターフェース410、およびバス412を含む。本開示は、特定の配置で特定の数の特定の構成要素を有する特定のコンピュータシステムを説明および図示するが、本開示は、任意の好適な配置で任意の好適な数の任意の好適な構成要素を有する任意の好適なコンピュータシステムを企図する。
特定の実施形態では、プロセッサ402は、コンピュータプログラムを構成するものなど、命令を実行するためのハードウェアを含む。限定としてではなく例として、命令を実行するために、プロセッサ402は、内部レジスタ、内部キャッシュ、メモリ404、またはストレージ406から命令を取り出し(またはフェッチし)、それらをデコードして実行し、次に、1つ以上の結果を、内部レジスタ、内部キャッシュ、メモリ404、またはストレージ406に書き込むことができる。特定の実施形態では、プロセッサ402は、データ、命令、またはアドレスのための1つ以上の内部キャッシュを含み得る。本開示は、必要に応じて、任意の好適な数の任意の好適な内部キャッシュを含むプロセッサ402を企図する。限定としてではなく例として、プロセッサ402は、1つ以上の命令キャッシュ、1つ以上のデータキャッシュ、および1つ以上のトランスレーションルックアサイドバッファ(TLB)を含み得る。命令キャッシュ内の命令は、メモリ404またはストレージ406内の命令のコピーであり得、命令キャッシュは、プロセッサ402によるそれらの命令の取り出しを高速化することができる。データキャッシュ内のデータは、プロセッサ402において実行される命令が動作するための、メモリ404もしくはストレージ406内のデータのコピーであるか、プロセッサ402において実行される後続の命令によるアクセスのために、もしくはメモリ404もしくはストレージ406への書き込みのために、プロセッサ402において実行された前の命令の結果であるか、または他の適切なデータであり得る。データキャッシュは、プロセッサ402による読み取りまたは書き込み動作を高速化することができる。TLBは、プロセッサ402のための仮想アドレス変換を高速化することができる。特定の実施形態では、プロセッサ402は、データ、命令、またはアドレスのための1つ以上の内部レジスタを含み得る。本開示は、必要に応じて、任意の好適な数の任意の好適な内部レジスタを含むプロセッサ402を企図する。必要に応じて、プロセッサ402は、1つ以上の算術論理ユニット(ALU)を含むか、マルチコアプロセッサであるか、または1つ以上のプロセッサ402を含み得る。本開示は、特定のプロセッサを説明および図示するが、本開示は、任意の好適なプロセッサを企図している。
特定の実施形態では、メモリ404は、プロセッサ402が実行するための命令またはプロセッサ402が動作するためのデータを記憶するためのメインメモリを含む。限定ではなく一例として、コンピュータシステム400は、ストレージ406または別のソース(例えば、別のコンピュータシステム400など)からメモリ404に命令をロードすることができる。次に、プロセッサ402は、メモリ404から内部レジスタまたは内部キャッシュに命令をロードすることができる。命令を実行するために、プロセッサ402は、内部レジスタまたは内部キャッシュから命令を取り出し、それらをデコードすることができる。命令の実行中または実行後に、プロセッサ402は、(中間または最終結果であり得る)1つ以上の結果を内部レジスタまたは内部キャッシュに書き込むことができる。次に、プロセッサ402は、それらの結果のうちの1つ以上をメモリ404に書き込むことができる。特定の実施形態では、プロセッサ402は、(ストレージ406または他の場所とは対照的に)1つ以上の内部レジスタもしくは内部キャッシュまたはメモリ404内の命令のみを実行し、(ストレージ406または他の場所とは対照的に)1つ以上の内部レジスタもしくは内部キャッシュまたはメモリ404内のデータのみに対して作用する。(各々がアドレスバスおよびデータバスを含み得る)1つ以上のメモリバスは、プロセッサ402をメモリ404に結合することができる。バス412は、以下に説明するように、1つ以上のメモリバスを含み得る。特定の実施形態では、1つ以上のメモリ管理ユニット(MMU)は、プロセッサ402とメモリ404との間に常駐し、プロセッサ402によって要求されるメモリ404へのアクセスを容易にする。特定の実施形態では、メモリ404は、ランダムアクセスメモリ(RAM)を含む。このRAMは、必要に応じて、揮発性メモリであり得る。必要に応じて、このRAMは、ダイナミックRAM(DRAM)またはスタティックRAM(SRAM)であり得る。さらに、必要に応じて、このRAMは、シングルポートまたはマルチポートのRAMであり得る。本開示は、任意の好適なRAMを企図している。メモリ404は、必要に応じて、1つ以上のメモリ404を含み得る。本開示は、特定のメモリを説明および図示するが、本開示は、任意の好適なメモリを企図している。
特定の実施形態では、ストレージ406は、データまたは命令のための大容量ストレージを含む。限定としてではなく例として、ストレージ406は、ハードディスクドライブ(HDD)、フロッピーディスクドライブ、フラッシュメモリ、光ディスク、磁気光学ディスク、磁気テープ、もしくはユニバーサルシリアルバス(USB)ドライブ、またはこれらのうちの2つ以上の組み合わせを含み得る。ストレージ406は、必要に応じて、取り外し可能または取り外し不可能な(または固定された)媒体を含み得る。ストレージ406は、必要に応じて、コンピュータシステム400の内部または外部にあり得る。特定の実施形態では、ストレージ406は、不揮発性のソリッドステートメモリである。特定の実施形態では、ストレージ406は、読み取り専用メモリ(ROM)を含む。必要に応じて、このROMは、マスクプログラムROM、プログラマブルROM(PROM)、消去可能PROM(EPROM)、電気的消去可能PROM(EEPROM)、電気的変更可能ROM(EAROM)、もしくはフラッシュメモリ、またはこれらの2つ以上の組み合わせであり得る。本開示は、任意の好適な物理形態をとる大容量ストレージ406を企図している。ストレージ406は、必要に応じて、プロセッサ402とストレージ406との間の通信を容易にする1つ以上のストレージ制御ユニットを含み得る。適切な場合、ストレージ406は、1つ以上のストレージ406を含み得る。本開示は、特定のストレージを説明および図示するが、本開示は、任意の好適なストレージを企図している。
特定の実施形態では、I/Oインターフェース408は、ハードウェア、ソフトウェア、またはその両方を含み、コンピュータシステム400と1つ以上のI/Oデバイスとの間の通信のための1つ以上のインターフェースを提供する。コンピュータシステム400は、必要に応じて、これらのI/Oデバイスのうちの1つ以上を含み得る。これらのI/Oデバイスのうちの1つ以上は、人とコンピュータシステム400との間の通信を可能にし得る。限定ではなく一例として、I/Oデバイスには、キーボード、キーパッド、マイク、モニター、マウス、プリンタ、スキャナ、スピーカー、スチルカメラ、スタイラス、タブレット、タッチスクリーン、トラックボール、ビデオカメラ、別の好適なI/Oデバイス、またはこれらの2つ以上の組み合わせが含まれ得る。I/Oデバイスは、1つ以上のセンサを含んでもよい。本開示は、任意の好適なI/Oデバイスおよびそれらに適した任意のI/Oインターフェース408を企図している。必要に応じて、I/Oインターフェース408は、プロセッサ402がこれらのI/Oデバイスのうちの1つ以上を駆動することを可能にする1つ以上のデバイスまたはソフトウェアドライバを含み得る。I/Oインターフェース408は、必要に応じて、1つ以上のI/Oインターフェース408を含み得る。本開示は、特定のI/Oインターフェースを説明および図示するが、本開示は、任意の好適なI/Oインターフェースを企図している。
特定の実施形態では、通信インターフェース410は、コンピュータシステム400と1つ以上の他のコンピュータシステム400もしくは1つ以上のネットワークとの間の通信(例えば、パケットベースの通信など)のための1つ以上のインターフェースを提供する、ハードウェア、ソフトウェア、またはその両方を含む。限定としてではなく例として、通信インターフェース410は、イーサネットもしくは他の有線ベースのネットワークと通信するためのネットワークインターフェースコントローラ(NIC)もしくはネットワークアダプタ、またはWI-FIネットワークなどの無線ネットワークと通信するための無線NIC(WNIC)もしくは無線アダプタを含み得る。本開示は、任意の好適なネットワークおよびそれに適した任意の通信インターフェース410を企図している。限定としてではなく、一例として、コンピュータシステム400は、アドホックネットワーク、パーソナルエリアネットワーク(PAN)、ローカルエリアネットワーク(LAN)、ワイドエリアネットワーク(WAN)、メトロポリタンエリアネットワーク(MAN)、もしくはインターネットの1つ以上の部分、またはこれらのうちの2つ以上の組み合わせと通信し得る。これらのネットワークのうちの1つ以上の1つ以上の部分は、有線または無線であり得る。一例として、コンピュータシステム400は、無線PAN(WPAN)(例えば、BLUETOOTH WPANなど)、WI-FIネットワーク、WI-MAXネットワーク、携帯電話ネットワーク(例えば、グローバルシステムフォーモバイルコミュニケーションズ(GSM)ネットワーク、ロングタームエボリューション(LTE)ネットワーク、または5Gネットワークなど)、もしくはその他の好適な無線ネットワーク、またはこれらの2つ以上の組み合わせと通信することができる。コンピュータシステム400は、必要に応じて、これらのネットワークのいずれかに適した通信インターフェース410を含み得る。通信インターフェース410は、必要に応じて、1つ以上の通信インターフェース410を含み得る。本開示は、特定の通信インターフェースを説明および図示するが、本開示は、任意の好適な通信インターフェースを企図している。
特定の実施形態では、バス412は、コンピュータシステム400のハードウェア、ソフトウェア、またはその両方の互いに結合する構成要素を含む。限定としてではなく例として、バス412は、アクセラレーテッドグラフィックスポート(AGP)もしくは他のグラフィックスバス、拡張業界標準アーキテクチャ(EISA)バス、フロントサイドバス(FSB)、HYPERTRANSPORT(HT)相互接続、業界標準アーキテクチャ(ISA)バス、INFINIBAND相互接続、低ピンカウント(LPC)バス、メモリバス、マイクロチャネルアーキテクチャ(MCA)バス、周辺構成要素相互接続(PCI)バス、PCI-Express(PCIe)バス、シリアルアドバンストテクノロジーアタッチメント(SATA)バス、ビデオ電子装置標準化協会ローカル(VLB)バス、もしくは別の好適なバス、またはこれらのうちの2つ以上の組み合わせを含み得る。バス412は、必要に応じて、1つ以上のバス412を含み得る。本開示は、特定のバスを説明および図示するが、本開示は、任意の好適なバスまたは相互接続を企図している。
本開示の実施形態は、サービスプレーン上での動的ファイアウォール発見のためのシステムおよび方法を対象とする。本方法は、ソースサイトのソースマシンから宛先サイトの宛先マシンに伝送するためのソースデータパケットを識別するステップであって、ソースデータパケットが、WANを介したソースマシンと宛先マシンの間の接続要求に対応する、識別するステップと、ソースサイトに関連付けられた第1のファイアウォールでソースデータパケットを検査するステップと、ソースデータパケットをマーカでマークして、第1のファイアウォールによる検査を示すステップと、マークされたソースデータパケットを宛先サイトに伝送するステップと、宛先サイトで、ソースデータパケットがマーカに基づいて検査されたと決定するステップと、宛先サイトに関連付けられた第2のファイアウォールによるソースデータパケットの検査なしに、ソースデータパケットを宛先サイトの宛先マシンに転送するステップと、を含む。
本明細書では、1つ以上のコンピュータ可読非一時的記憶媒体は、必要に応じて、1つ以上の半導体ベースもしくは他の集積回路(IC)(例えば、フィールドプログラマブルゲートアレイ(FPGA)または特定用途向けIC(ASIC)など)、ハードディスクドライブ(HDD)、ハイブリッドハードドライブ(HHD)、光ディスク、光ディスクドライブ(ODD)、磁気光学ディスク、磁気光学ドライブ、フロッピーディスケット、フロッピーディスクドライブ(FDD)、磁気テープ、ソリッドステートドライブ(SSD)、RAMドライブ、SECURE DIGITALカードもしくはドライブ、任意の他の好適なコンピュータ可読非一時的記憶媒体、またはこれらのうちの2つ以上の任意の好適な組み合わせを含み得る。コンピュータ可読非一時的記憶媒体は、必要に応じて、揮発性、不揮発性、または揮発性と不揮発性の組み合わせであり得る。
本明細書では、「または」は、明示的に別段の指示がない限り、または文脈によって別段の指示がない限り、包括的であり、排他的ではない。したがって、本明細書において、「AまたはB」は、明示的に別段の指示がない限り、または文脈によって別段の指示がない限り、「A、B、またはその両方」を意味する。さらに、「および」は、明示的に別段の指示がない限り、または文脈によって別段の指示がない限り、連帯および個別の両方である。したがって、本明細書において、「AおよびB」は、明示的に別段の指示がない限り、または文脈によって別段の指示がない限り、「連帯的または個別的に、AおよびB」を意味する。
本開示の範囲は、当業者が理解するであろう、本明細書で説明または図示された例示的な実施形態に対するすべての変更、置換、変形、改変、および修正を包含する。本開示の範囲は、本明細書で説明または図示された例示的な実施形態に限定されない。さらに、本開示は、本明細書のそれぞれの実施形態が特定の構成要素、要素、特徴、機能、動作、またはステップを含むものとして説明および図示するが、これらの実施形態のいずれも、当業者であれば理解するであろう、本明細書のどこかで説明または図示する構成要素、要素、特徴、機能、動作、またはステップのいずれかの任意の組み合わせまたは置換を含むことができる。さらに、特定の機能を実施するように適合される、配置される、可能にする、構成されている、機能する、動作可能である、または動作する装置またはシステムまたはシステムの構成要素もしくは装置に対する特許請求の範囲における言及は、その装置、システム、または構成要素がそのように適合される、配置される、可能にする、構成されている、機能する、動作可能である、または動作する限り、その特定の機能が起動する、作動する、または解除されているかどうかにかかわらず、その装置、システム、構成要素を包含する。追加的に、本開示は、特定の実施形態を、特定の利点を提供するものとして説明または図示するが、特定の実施形態は、これらの利点をまったく提供しないか、またはそれらの一部、もしくはすべてを提供する場合がある。
本明細書に開示される実施形態は、単なる例であり、本開示の範囲は、それらに限定されない。特定の実施形態は、本明細書に開示される実施形態の構成要素、要素、特徴、機能、動作、またはステップのすべて、一部を含む、またはいずれも含まない場合がある。本開示による実施形態は、特に、方法、記憶媒体、システム、およびコンピュータプログラム製品に向けた添付の特許請求の範囲に開示されており、ある請求項カテゴリ、例えば、方法で言及される任意の特徴は、別の請求項カテゴリ、例えば、システム、でも特許請求することができる。添付の特許請求の範囲に戻る従属性または参照は、正式な理由でのみ選択されている。ただし、任意の先行する特許請求の範囲(特に複数の従属性)への意図的な参照から生じる任意の主題も同様に特許請求することができるため、特許請求の範囲およびその特徴の任意の組み合わせが開示され、添付の特許請求の範囲で選択される従属性に関係なく特許請求することができる。特許請求可能な主題は、添付の特許請求の範囲に記載された特徴の組み合わせのみならず、特許請求の範囲内の任意の他の特徴の組み合わせも含み、特許請求の範囲で言及される各特徴は、特許請求の範囲における任意の他の特徴または他の特徴の組み合わせと組み合わせることができる。さらに、本明細書に記載または図示される実施形態および特徴のいずれも、別個の特許請求の範囲で、および/または本明細書に説明または描かれる任意の実施形態もしくは特徴、または添付の特許請求の範囲のいずれかの特徴との任意の組み合わせで特許請求することができる。
Claims (23)
- システムであって、
1つ以上のプロセッサと、
命令を含む1つ以上のコンピュータ可読非一時的記憶媒体であって、前記命令が前記1つ以上のプロセッサによって実行されると、前記システムの1つ以上の構成要素に、
ソースサイトのソースマシンから宛先サイトの宛先マシンに伝送するためのソースデータパケットを識別することであって、前記ソースデータパケットが、ワイドエリアネットワーク(WAN)を介した前記ソースマシンと前記宛先マシンの間の接続要求に対応することと、
前記ソースサイトに関連付けられた第1のファイアウォールで前記ソースデータパケットを検査することと、
前記ソースデータパケットにマーカでマークをして、前記第1のファイアウォールによる検査を示すことと、
前記マークされたソースデータパケットを前記宛先サイトに伝送することと、
前記宛先サイトで、前記ソースデータパケットが前記マーカに基づいて検査されたと決定することと、
前記宛先サイトに関連付けられた第2のファイアウォールによる前記ソースデータパケットの検査なしに、前記ソースデータパケットを前記宛先サイトの前記宛先マシンに転送することと、を含む、動作を実行させる、1つ以上のコンピュータ可読非一時的媒体と、を備える、システム。 - 前記動作が、
前記宛先サイトの前記宛先マシンから前記ソースサイトの前記ソースマシンへの逆方向伝送のための確認データパケットを識別することであって、前記確認データパケットが、前記ソースデータパケットに応答して逆方向に伝送されることと、
前記宛先サイトに関連付けられた前記第2のファイアウォールによる前記確認データパケットの検査なしに、前記宛先サイトから前記ソースサイトに前記確認データパケットを伝送することと、
前記ソースサイトで、前記確認データパケットが前記ソースデータパケットに関連付けられていると決定することと、
前記ソースサイトに関連付けられた前記第1のファイアウォールで前記確認データパケットを検査することと、
前記確認データパケットを前記ソースサイトの前記ソースマシンに転送することと、をさらに含む、請求項1に記載のシステム。 - 前記ソースデータパケットが、SYNパケットであり、前記確認データパケットが、SYN/ACKパケットである、請求項2に記載のシステム。
- 前記マークするステップが、
前記ソースデータパケットに関連付けられたフローテーブルエントリを作成することをさらに含む、請求項2または3に記載のシステム。 - 前記確認データパケットが、前記フローテーブルエントリに基づいて前記ソースデータパケットに関連付けられていると決定される、請求項4に記載のシステム。
- 前記マーカが、前記ソースデータパケットの伝送制御プロトコル(TCP)ヘッダのフィールドに基づく、請求項1~5のいずれか一項に記載のシステム。
- 前記マーカが、
リダイレクトフラグを含む、請求項6に記載のシステム。 - 方法であって、
ソースサイトのソースマシンから宛先サイトの宛先マシンに伝送するためのソースデータパケットを識別することであって、前記ソースデータパケットが、ワイドエリアネットワーク(WAN)を介した前記ソースマシンと前記宛先マシンの間の接続要求に対応することと、
前記ソースサイトに関連付けられた第1のファイアウォールで前記ソースデータパケットを検査することと、
前記ソースデータパケットにマーカでマークをして、前記第1のファイアウォールによる検査を示すことと、
前記マークされたソースデータパケットを前記宛先サイトに伝送することと、
前記宛先サイトで、前記ソースデータパケットが前記マーカに基づいて検査されたと決定することと、
前記宛先サイトに関連付けられた第2のファイアウォールによる前記ソースデータパケットの検査なしに、前記ソースデータパケットを前記宛先サイトの前記宛先マシンに転送することと、を含む、方法。 - 前記宛先サイトの前記宛先マシンから前記ソースサイトの前記ソースマシンへの逆方向伝送のための確認データパケットを識別することであって、前記確認データパケットが、前記ソースデータパケットに応答して逆方向に伝送されることと、
前記宛先サイトに関連付けられた前記第2のファイアウォールによる前記確認データパケットの検査なしに、前記宛先サイトから前記ソースサイトに前記確認データパケットを伝送することと、
前記ソースサイトで、前記確認データパケットが前記ソースデータパケットに関連付けられていると決定することと、
前記ソースサイトに関連付けられた前記第1のファイアウォールで前記確認データパケットを検査することと、
前記確認データパケットを前記ソースサイトの前記ソースマシンに転送することと、をさらに含む、請求項8に記載の方法。 - 前記ソースデータパケットが、SYNパケットであり、前記確認データパケットが、SYN/ACKパケットである、請求項9に記載の方法。
- 前記マークするステップが、
前記ソースデータパケットに関連付けられたフローテーブルエントリを作成することをさらに含む、請求項9または10に記載の方法。 - 前記確認データパケットが、前記フローテーブルエントリに基づいて前記ソースデータパケットに関連付けられていると決定される、請求項11に記載の方法。
- 前記マーカが、前記ソースデータパケットの伝送制御プロトコル(TCP)ヘッダ内のフィールドに基づく、請求項8~12のいずれか一項に記載の方法。
- 前記マーカが、
リダイレクトフラグを含む、請求項13に記載の方法。 - 命令を包含する1つ以上のコンピュータ可読非一時的記憶媒体であって、前記命令がプロセッサによって実行されると、
ソースサイトのソースマシンから宛先サイトの宛先マシンに伝送するためのソースデータパケットを識別することであって、前記ソースデータパケットが、ワイドエリアネットワーク(WAN)を介した前記ソースマシンと前記宛先マシンの間の接続要求に対応することと、
前記ソースサイトに関連付けられた第1のファイアウォールで前記ソースデータパケットを検査することと、
前記ソースデータパケットにマーカでマークをして、前記第1のファイアウォールによる検査を示すことと、
前記マークされたソースデータパケットを前記宛先サイトに伝送することと、
前記宛先サイトで、前記ソースデータパケットが前記マーカに基づいて検査されたと決定することと、
前記宛先サイトに関連付けられた第2のファイアウォールによる前記ソースデータパケットの検査なしに、前記ソースデータパケットを前記宛先サイトの前記宛先マシンに転送することと、を含む、動作を実行させる、1つ以上のコンピュータ可読非一時的記憶媒体。 - 前記動作が、
前記宛先サイトの前記宛先マシンから前記ソースサイトの前記ソースマシンへの逆方向伝送のための確認データパケットを識別することであって、前記確認データパケットが、前記ソースデータパケットに応答して逆方向に伝送されることと、
前記宛先サイトに関連付けられた前記第2のファイアウォールによる前記確認データパケットの検査なしに、前記宛先サイトから前記ソースサイトに前記確認データパケットを伝送することと、
前記ソースサイトで、前記確認データパケットが前記ソースデータパケットに関連付けられていると決定することと、
前記ソースサイトに関連付けられた前記第1のファイアウォールで前記確認データパケットを検査することと、
前記確認データパケットを前記ソースサイトの前記ソースマシンに転送することと、をさらに含む、請求項15に記載の1つ以上のコンピュータ可読非一時的記憶媒体。 - 前記ソースデータパケットが、SYNパケットであり、前記確認データパケットが、SYN/ACKパケットである、請求項16に記載の1つ以上のコンピュータ可読非一時的記憶媒体。
- 前記マークするステップが、
前記ソースデータパケットに関連付けられたフローテーブルエントリを作成することをさらに含む、請求項16または17に記載の1つ以上のコンピュータ可読非一時的記憶媒体。 - 前記確認データパケットが、前記フローテーブルエントリに基づいて前記ソースデータパケットに関連付けられると決定される、請求項18に記載の1つ以上のコンピュータ可読非一時的記憶媒体。
- 前記マーカが、前記ソースデータパケットの伝送制御プロトコル(TCP)ヘッダのフィールドに基づく、請求項15~19のいずれか一項に記載の1つ以上のコンピュータ可読非一時的記憶媒体。
- 装置であって、
ソースサイトのソースマシンから宛先サイトの宛先マシンに伝送するためのソースデータパケットを識別するための手段であって、前記ソースデータパケットが、ワイドエリアネットワーク(WAN)を介した前記ソースマシンと前記宛先マシンの間の接続要求に対応する、識別するための手段と、
前記ソースサイトに関連付けられた第1のファイアウォールで前記ソースデータパケットを検査するための手段と、
前記ソースデータパケットをマーカでマークして、前記第1のファイアウォールによる検査を示すための手段と、
前記マークされたソースデータパケットを前記宛先サイトに伝送するための手段と、
前記宛先サイトで、前記ソースデータパケットが前記マーカに基づいて検査されたことを決定するための手段と、
前記宛先サイトに関連付けられた第2のファイアウォールによる前記ソースデータパケットの検査なしに、前記ソースデータパケットを前記宛先サイトの前記宛先マシンに転送するための手段と、を備える、装置。 - 請求項9から14のいずれか一項に記載の方法を実装するための手段をさらに含む、請求項21に記載の装置。
- コンピュータによって実行されたときに、前記コンピュータに、請求項8~14のいずれか一項に記載の方法のステップを実行させるための命令を含む、コンピュータプログラム、コンピュータプログラム製品、またはコンピュータ可読媒体。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16/801,430 | 2020-02-26 | ||
| US16/801,430 US11418491B2 (en) | 2020-02-26 | 2020-02-26 | Dynamic firewall discovery on a service plane in a SDWAN architecture |
| PCT/US2021/017522 WO2021173355A1 (en) | 2020-02-26 | 2021-02-11 | Dynamic firewall discovery on a service plane in a sdwan architecture |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2023519483A true JP2023519483A (ja) | 2023-05-11 |
Family
ID=74860430
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2022547760A Pending JP2023519483A (ja) | 2020-02-26 | 2021-02-11 | Sdwanアーキテクチャのサービスプレーンでの動的ファイアウォール発見 |
Country Status (8)
| Country | Link |
|---|---|
| US (2) | US11418491B2 (ja) |
| EP (1) | EP4111664A1 (ja) |
| JP (1) | JP2023519483A (ja) |
| KR (1) | KR20220142523A (ja) |
| CN (1) | CN115152182B (ja) |
| AU (1) | AU2021228566A1 (ja) |
| CA (1) | CA3168071A1 (ja) |
| WO (1) | WO2021173355A1 (ja) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20240179125A1 (en) * | 2022-11-30 | 2024-05-30 | Cisco Technology, Inc. | Service optimization in networks and cloud interconnects |
| KR20240086508A (ko) | 2022-12-09 | 2024-06-18 | 광운대학교 산학협력단 | 암호화된 제어 트래픽 분석을 통한 sd-wan의 제어 평면 구조 정보 생성 장치 및 방법 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013016044A (ja) * | 2011-07-04 | 2013-01-24 | Fujitsu Ltd | ファイアウォール装置およびファイアウォール装置の制御方法 |
| US20160344715A1 (en) * | 2015-05-18 | 2016-11-24 | 128 Technology, Inc. | Network Device and Method for Processing a Session Using a Packet Signature |
| JP2021057717A (ja) * | 2019-09-30 | 2021-04-08 | サクサ株式会社 | セキュリティ監視装置及びセキュリティ監視方法 |
Family Cites Families (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5898830A (en) | 1996-10-17 | 1999-04-27 | Network Engineering Software | Firewall providing enhanced network security and user transparency |
| US6658565B1 (en) * | 1998-06-01 | 2003-12-02 | Sun Microsystems, Inc. | Distributed filtering and monitoring system for a computer internetwork |
| US7644436B2 (en) | 2002-01-24 | 2010-01-05 | Arxceo Corporation | Intelligent firewall |
| US7055207B2 (en) | 2003-08-08 | 2006-06-06 | Trico Products Corporation | Universal wiper adapter and wiper blade assembly incorporating same |
| WO2005015827A1 (ja) * | 2003-08-08 | 2005-02-17 | T.T.T.Kabushikikaisha | 通信システム、通信装置、通信方法、及びそれを実現するための通信プログラム |
| US20050240989A1 (en) * | 2004-04-23 | 2005-10-27 | Seoul National University Industry Foundation | Method of sharing state between stateful inspection firewalls on mep network |
| KR20070087198A (ko) * | 2004-12-21 | 2007-08-27 | 미슬토우 테크놀로지즈, 인코포레이티드 | 네트워크 인터페이스 및 방화벽 장치 |
| US8665868B2 (en) | 2005-08-19 | 2014-03-04 | Cpacket Networks, Inc. | Apparatus and method for enhancing forwarding and classification of network traffic with prioritized matching and categorization |
| US8776207B2 (en) | 2011-02-16 | 2014-07-08 | Fortinet, Inc. | Load balancing in a network with session information |
| CN102571786A (zh) * | 2011-12-30 | 2012-07-11 | 深信服网络科技(深圳)有限公司 | 防火墙中多个安全模块之间联动防御的方法及防火墙 |
| CN102790773A (zh) * | 2012-07-30 | 2012-11-21 | 深圳市共进电子股份有限公司 | 一种家庭网关用防火墙的实现方法 |
| US9635039B1 (en) * | 2013-05-13 | 2017-04-25 | Fireeye, Inc. | Classifying sets of malicious indicators for detecting command and control communications associated with malware |
| US9009461B2 (en) * | 2013-08-14 | 2015-04-14 | Iboss, Inc. | Selectively performing man in the middle decryption |
| TW201600997A (zh) * | 2014-06-30 | 2016-01-01 | 萬國商業機器公司 | 於一集中式管理環境中動態產生一策略實施點之封包檢視策略的方法、資訊設備及電腦程式產品 |
| US10333905B2 (en) | 2015-10-16 | 2019-06-25 | Orock Technologies, Inc. | System for providing end-to-end protection against network-based attacks |
| CN105827623B (zh) * | 2016-04-26 | 2019-06-07 | 山石网科通信技术股份有限公司 | 数据中心系统 |
| US10958623B2 (en) * | 2017-05-26 | 2021-03-23 | Futurewei Technologies, Inc. | Identity and metadata based firewalls in identity enabled networks |
| US10931637B2 (en) * | 2017-09-15 | 2021-02-23 | Palo Alto Networks, Inc. | Outbound/inbound lateral traffic punting based on process risk |
| CN107888621A (zh) * | 2017-12-14 | 2018-04-06 | 新华三技术有限公司 | 防火墙管理方法、装置及防火墙堆叠系统 |
| US11218446B2 (en) * | 2018-06-15 | 2022-01-04 | Orock Technologies, Inc. | Secure on-premise to cloud communication |
-
2020
- 2020-02-26 US US16/801,430 patent/US11418491B2/en active Active
-
2021
- 2021-02-11 WO PCT/US2021/017522 patent/WO2021173355A1/en unknown
- 2021-02-11 JP JP2022547760A patent/JP2023519483A/ja active Pending
- 2021-02-11 CA CA3168071A patent/CA3168071A1/en active Pending
- 2021-02-11 AU AU2021228566A patent/AU2021228566A1/en active Pending
- 2021-02-11 EP EP21710688.9A patent/EP4111664A1/en active Pending
- 2021-02-11 KR KR1020227032716A patent/KR20220142523A/ko not_active Application Discontinuation
- 2021-02-11 CN CN202180016593.9A patent/CN115152182B/zh active Active
-
2022
- 2022-08-04 US US17/817,479 patent/US20220377053A1/en active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013016044A (ja) * | 2011-07-04 | 2013-01-24 | Fujitsu Ltd | ファイアウォール装置およびファイアウォール装置の制御方法 |
| US20160344715A1 (en) * | 2015-05-18 | 2016-11-24 | 128 Technology, Inc. | Network Device and Method for Processing a Session Using a Packet Signature |
| JP2021057717A (ja) * | 2019-09-30 | 2021-04-08 | サクサ株式会社 | セキュリティ監視装置及びセキュリティ監視方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| AU2021228566A1 (en) | 2022-10-27 |
| WO2021173355A1 (en) | 2021-09-02 |
| EP4111664A1 (en) | 2023-01-04 |
| CN115152182B (zh) | 2024-07-05 |
| US20210266291A1 (en) | 2021-08-26 |
| US11418491B2 (en) | 2022-08-16 |
| CA3168071A1 (en) | 2021-09-02 |
| US20220377053A1 (en) | 2022-11-24 |
| CN115152182A (zh) | 2022-10-04 |
| KR20220142523A (ko) | 2022-10-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10419394B2 (en) | Providing scalable cloud-based security services | |
| US10608995B2 (en) | Optimizing data transfer costs for cloud-based security services | |
| US8813189B2 (en) | System and method for capturing network traffic | |
| US20220377053A1 (en) | Dynamic Firewall Discovery on a Service Plane in a SDWAN Architecture | |
| US20180115586A1 (en) | Seamless Service Updates for Cloud-Based Security Services | |
| US10375022B2 (en) | Cooperated approach to network packet filtering | |
| US9900182B2 (en) | Client side redirection with pluggable authentication and authorization | |
| US9276875B2 (en) | Cooperated approach to network packet filtering | |
| JP2022079638A (ja) | 仮想ネットワーク検証サービス | |
| CN114080784B (zh) | 使用标签路由网络流量的系统和方法 | |
| US8458344B2 (en) | Establishing tunnels between selective endpoint devices along communication paths | |
| JP7496414B2 (ja) | ドメイン間トラフィックのグループベースのポリシー | |
| CN114051714B (zh) | 用于生成上下文标签的系统和方法 | |
| US10021217B2 (en) | Protocol independent way to selectively restrict write-access for redirected USB mass storage devices | |
| US10673816B1 (en) | Low delay network intrusion prevention | |
| US20180376329A1 (en) | Encryption system and method | |
| US20090285207A1 (en) | System and method for routing packets using tags | |
| US11582208B1 (en) | Detecting domain fronting through correlated connections | |
| US11563753B2 (en) | Security surveillance system and security surveillance method | |
| JP6273077B1 (ja) | フェデレーション方式のアプリケーションサービス | |
| CN113726917B (zh) | 域名确定方法、装置和电子设备 | |
| US9817779B2 (en) | System and methods to support vendor defined USB requests for application managed USB devices in VDI environments | |
| US11716305B2 (en) | Control embedded data packet for efficient ARP query in SDA environment | |
| US20230327994A1 (en) | Systems and Methods for Handling Asymmetric SDWAN Traffic Flows |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220927 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20230926 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20231003 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20231226 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20240117 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20240515 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20240517 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20240605 |
|
| A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20240712 |