JP6644399B2 - フロー制御方法および装置 - Google Patents
フロー制御方法および装置 Download PDFInfo
- Publication number
- JP6644399B2 JP6644399B2 JP2017564004A JP2017564004A JP6644399B2 JP 6644399 B2 JP6644399 B2 JP 6644399B2 JP 2017564004 A JP2017564004 A JP 2017564004A JP 2017564004 A JP2017564004 A JP 2017564004A JP 6644399 B2 JP6644399 B2 JP 6644399B2
- Authority
- JP
- Japan
- Prior art keywords
- group
- security
- security group
- specified
- rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0893—Assignment of logical groups to network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0894—Policy-based network configuration management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/026—Capturing of monitoring data using flow identification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/54—Organization of routing tables
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/20—Traffic policing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Description
複数のアドレス情報がそれぞれ属するホストの属性情報に従って、格納された複数のアドレス情報を少なくとも2つのセキュリティグループにグループ分けするステップであって、属性情報はサービス種別またはセキュリティクラスを含む、ステップと、
検査されたセキュリティグループでは、高レベルのセキュリティグループが低レベルのセキュリティグループを完全に含むことができ、かつ同じレベルのセキュリティグループが重複することなく互いに完全に独立しているように、少なくとも2つのセキュリティグループを検査するステップであって、レベルは、セキュリティグループが親グループ、子グループ、または独立したセキュリティグループのいずれであるかを示すために使用される、ステップと、
ポリシー構成命令を受信するステップであって、ポリシー構成命令は、指定された送信元グループ、指定された送信先グループ、および指定されたアクションインジケータを運び、指定された送信元グループおよび指定された送信先グループは、検査されたセキュリティグループ内の2つの異なるセキュリティグループである、ステップと、
ポリシー構成命令に従って、指定されたルールを構成し、ポリシー構成命令に従って、指定されたルールの格納順序を構成するステップであって、指定されたルールは、構成されるべき少なくとも2つのルール内の任意のルールである、ステップと、
少なくとも2つのルールが構成された後にデータパケットを受信するステップであって、データパケットは送信元アドレス情報および送信先アドレス情報を運ぶ、ステップと、
フロー制御を実施するために、少なくとも2つのルールおよび少なくとも2つのルールの格納順序に従って、データパケットを処理するステップと
を含む。
第1のセキュリティグループと複数の第2のセキュリティグループとの間に包含関係または重複関係が存在するかどうかを判断するステップであって、第1のセキュリティグループは、少なくとも2つのセキュリティグループ内の検査されていないセキュリティグループであり、複数の第2のセキュリティグループは、少なくとも2つのセキュリティグループ内の検査されたセキュリティグループであり、包含関係は、第1のセキュリティグループが第2のセキュリティグループのサブセットであること、または第2のセキュリティグループが第1のセキュリティグループのサブセットであることを意味し、重複関係は、第1のセキュリティグループと第2のセキュリティグループとの間に共通部分が存在し、第1のセキュリティグループが第2のセキュリティグループと等しくないことを意味する、ステップと、
第1のセキュリティグループと複数の第2のセキュリティグループ内の少なくとも2つの第2のセキュリティグループとの間に包含関係が存在する場合、少なくとも2つの第2のセキュリティグループから第3のセキュリティグループとしてセキュリティグループを決定するステップと、
第1の確認プロンプト情報を表示するステップであって、第1の確認プロンプト情報は、第1のセキュリティグループと第3のセキュリティグループとの間の包含関係を処理するように管理者を促すために使用される、ステップと、
第1の確認プロンプト情報に従って第1の処理命令が受信された場合、第1の処理命令に従って、第1のセキュリティグループと第3のセキュリティグループとの間の包含関係を処理するステップと
を含む。
第1のセキュリティグループが少なくとも2つの第2のセキュリティグループ内のすべてのセキュリティグループに含まれる場合、少なくとも2つの第2のセキュリティグループから、最も小さいアドレス範囲を有するセキュリティグループを選択するステップ、または第1のセキュリティグループが少なくとも2つの第2のセキュリティグループ内のすべてのセキュリティグループを含む場合、少なくとも2つの第2のセキュリティグループから、最も大きいアドレス範囲を有するセキュリティグループを選択するステップ、または第1のセキュリティグループが少なくとも2つの第2のセキュリティグループ内の少なくとも1つの第2のセキュリティグループに含まれ、かつ第1のセキュリティグループが少なくとも2つの第2のセキュリティグループ内の残りの第2のセキュリティグループをさらに含む場合、少なくとも1つの第2のセキュリティグループから、最も小さいアドレス範囲を有するセキュリティグループを選択するか、もしくは残りの第2のセキュリティグループから、最も大きいアドレス範囲を有するセキュリティグループを選択するステップと、
選択されたセキュリティグループを第3のセキュリティグループとして決定するステップと
を含む。
第1のセキュリティグループおよび第3のセキュリティグループから、より大きなアドレス範囲を有するセキュリティグループを第4のセキュリティグループとして決定し、第1のセキュリティグループおよび第3のセキュリティグループから、より小さいアドレス範囲を有するセキュリティグループを第5のセキュリティグループとして決定するステップと、
第1の処理命令が第1の分割命令である場合、第4のセキュリティグループから第5のセキュリティグループのアドレス情報と同一のアドレス情報を削除して、第1の子セキュリティグループを取得するステップと、
第1の処理命令が継承命令である場合、第5のセキュリティグループを二次セキュリティグループとして設定し、第5のセキュリティグループを第4のセキュリティグループの子グループとして設定するステップであって、二次セキュリティグループは、検査されたセキュリティグループ内の別のセキュリティグループとの包含関係を有するセキュリティグループである、ステップと
を含む。
第1のセキュリティグループと複数の第2のセキュリティグループ内の少なくとも2つの第2のセキュリティグループとの間に重複関係が存在する場合、少なくとも2つの第2のセキュリティグループから第6のセキュリティグループとしてセキュリティグループを選択するステップと、
第2の確認プロンプト情報を表示するステップであって、第2の確認プロンプト情報は、第1のセキュリティグループと第6のセキュリティグループとの間の重複関係を処理するように管理者を促すために使用される、ステップと、
第2の確認プロンプト情報に従って第2の処理命令が受信された場合、第2の処理命令に従って、第1のセキュリティグループと第6のセキュリティグループとの間の重複関係を処理するステップと
をさらに含む。
第2の処理命令が旧グループを保持する命令である場合、第1のセキュリティグループ内にあり、かつ第6のセキュリティグループ内のアドレス情報と同一であるアドレス情報を第2の子セキュリティグループにグループ分けし、第2の子セキュリティグループ内のアドレス情報以外の第1のセキュリティグループ内の他のアドレス情報を第3の子セキュリティグループにグループ分けするステップと、
第2の子セキュリティグループを二次セキュリティグループとして設定し、第2の子セキュリティグループを第6のセキュリティグループの子グループとして設定するステップと
を含む。
第2の処理命令が新グループを保持する命令である場合、第6のセキュリティグループ内にあり、かつ第1のセキュリティグループ内のアドレス情報と同一であるアドレス情報を第4の子セキュリティグループにグループ分けし、第4の子セキュリティグループ内のアドレス情報以外の第6のセキュリティグループ内の他のアドレス情報を第5の子セキュリティグループにグループ分けするステップと、
第4の子セキュリティグループを二次セキュリティグループとして設定し、第4の子セキュリティグループを第1のセキュリティグループの子グループとして設定するステップと
を含む。
第2の処理命令が第2の分割命令である場合、第1のセキュリティグループおよび第6のセキュリティグループ内の同一のアドレス情報、第6のセキュリティグループ内のアドレス情報と同一のアドレス情報以外の第1のセキュリティグループ内の他のアドレス情報、および第1のセキュリティグループ内のアドレス情報と同一のアドレス情報以外の第6のセキュリティグループ内の他のアドレス情報を、3つのセキュリティグループにそれぞれグループ分けするステップ
を含む。
指定された送信元グループと指定された送信先グループとの両方が一次セキュリティグループである場合、指定された送信元グループ、指定された送信先グループ、および指定されたアクションインジケータに従って、指定されたルールを構成するステップであって、一次セキュリティグループは、検査されたセキュリティグループ内の別のセキュリティグループとの包含関係または重複関係を有しない独立したセキュリティグループである、ステップ
を含む。
指定された送信元グループまたは指定された送信先グループが二次セキュリティグループである場合、第1のルールが構成されているかどうかを判断するステップであって、第1のルールは、指定された送信元グループの親グループと指定された送信先グループとの間のルール、指定された送信元グループと指定された送信先グループの親グループとの間のルール、または指定された送信元グループの親グループと指定された送信先グループの親グループとの間のルールである、ステップと、
第1のルールが構成されている場合、指定されたアクションインジケータが第1のルールに含まれるアクションインジケータと同一であるかどうかを判断するステップと、
指定されたアクションインジケータが第1のルールに含まれるアクションインジケータと同一である場合、指定されたルールの構成を禁止するステップと
を含む。
指定されたアクションインジケータが第1のルールに含まれるアクションインジケータと競合する場合、指定された送信元グループ、指定された送信先グループ、および指定されたアクションインジケータに従って、指定されたルールを構成するステップと、
指定されたルールの格納順序が第1のルールの格納順序に先行することを設定するステップと
をさらに含む。
指定されたルールの構成が禁止されており、かつ指定されたルールが冗長ルールであることを管理者に促すための「構成禁止」プロンプト情報を表示するステップ
をさらに含む。
指定された送信元グループが二次セキュリティグループであり、かつ指定された送信先グループが第7のセキュリティグループの親グループである場合、または指定された送信元グループが第8のセキュリティグループの親グループであり、かつ指定された送信先グループが二次セキュリティグループである場合、第2のルールが構成されているかどうかを判断するステップであって、指定された送信元グループが二次セキュリティグループであり、かつ指定された送信先グループが第7のセキュリティグループの親グループであるとき、第2のルールは、指定された送信元グループの親グループと指定された送信先グループとの間のルール、もしくは指定された送信元グループと第7のセキュリティグループとの間のルールであり、または指定された送信元グループが第8のセキュリティグループの親グループであり、かつ指定された送信先グループが二次セキュリティグループであるとき、第2のルールは、指定された送信元グループと指定された送信先グループとの間のルール、もしくは第8のセキュリティグループと指定された送信先グループの親グループとの間のルールであり、第7のセキュリティグループおよび第8のセキュリティグループは、検査されたセキュリティグループ内の任意のセキュリティグループである、ステップと、
第2のルールが構成されている場合、指定されたアクションインジケータが第2のルールに含まれるアクションインジケータと同一であるかどうかを判断するステップと、
指定されたアクションインジケータが第2のルールに含まれるアクションインジケータと同一である場合、指定された送信元グループ、指定された送信先グループ、および指定されたアクションインジケータに従って、指定されたルールを構成するステップと
を含む。
指定されたアクションインジケータが第2のルールに含まれるアクションインジケータと競合する場合、ポリシー競合プロンプト情報を表示して、指定されたルールおよび第2のルールの格納順序を設定するように管理者を促すステップと、
管理者のソート操作を受け付けたときに、ソート操作に従って、指定されたルールおよび第2のルールの格納順序を設定するステップと
をさらに含む。
複数のアドレス情報がそれぞれ属するホストの属性情報に従って、格納された複数のアドレス情報を少なくとも2つのセキュリティグループにグループ分けするように構成されたグループ分けモジュールであって、属性情報はサービス種別またはセキュリティクラスを含む、グループ分けモジュールと
検査されたセキュリティグループでは、高レベルのセキュリティグループが低レベルのセキュリティグループを完全に含むことができ、かつ同じレベルのセキュリティグループが重複することなく互いに完全に独立しているように、少なくとも2つのセキュリティグループを検査するように構成された検査処理モジュールであって、レベルは、セキュリティグループが親グループ、子グループ、または独立したセキュリティグループのいずれであるかを示すために使用される、検査処理モジュールと、
ポリシー構成命令を受信するように構成された受信モジュールであって、ポリシー構成命令は、指定された送信元グループ、指定された送信先グループ、および指定されたアクションインジケータを運び、指定された送信元グループおよび指定された送信先グループは、検査されたセキュリティグループ内の2つの異なるセキュリティグループである、受信モジュールと、
ポリシー構成命令に従って、指定されたルールを構成し、ポリシー構成命令に従って、指定されたルールの格納順序を構成するように構成された構成モジュールであって、指定されたルールは、構成されるべき少なくとも2つのルール内の任意のルールであり、受信モジュールは、少なくとも2つのルールが構成された後にデータパケットを受信するようにさらに構成され、データパケットは送信元アドレス情報および送信先アドレス情報を運ぶ、構成モジュールと、
フロー制御を実施するために、少なくとも2つのルールおよび少なくとも2つのルールの格納順序に従って、データパケットを処理するように構成されたパケット処理モジュールと
を含む。
第1のセキュリティグループと複数の第2のセキュリティグループとの間に包含関係または重複関係が存在するかどうかを判断するように構成された判定ユニットであって、第1のセキュリティグループは、少なくとも2つのセキュリティグループ内の検査されていないセキュリティグループであり、複数の第2のセキュリティグループは、少なくとも2つのセキュリティグループ内の検査されたセキュリティグループであり、包含関係は、第1のセキュリティグループが第2のセキュリティグループのサブセットであること、または第2のセキュリティグループが第1のセキュリティグループのサブセットであることを意味し、重複関係は、第1のセキュリティグループと第2のセキュリティグループとの間に共通部分が存在し、第1のセキュリティグループが第2のセキュリティグループと等しくないことを意味する、判定ユニットと、
第1のセキュリティグループと複数の第2のセキュリティグループ内の少なくとも2つの第2のセキュリティグループとの間に包含関係が存在する場合、少なくとも2つの第2のセキュリティグループから第3のセキュリティグループとしてセキュリティグループを決定するように構成された決定ユニットと、
第1の確認プロンプト情報を表示するように構成された表示ユニットであって、第1の確認プロンプト情報は、第1のセキュリティグループと第3のセキュリティグループとの間の包含関係を処理するように管理者を促すために使用される、表示ユニットと、
第1の確認プロンプト情報に従って第1の処理命令が受信された場合、第1の処理命令に従って、第1のセキュリティグループと第3のセキュリティグループとの間の包含関係を処理するように構成された包含関係処理ユニットと
を含む。
第1のセキュリティグループが少なくとも2つの第2のセキュリティグループ内のすべてのセキュリティグループに含まれる場合、少なくとも2つの第2のセキュリティグループから、最も小さいアドレス範囲を有するセキュリティグループを選択するか、または第1のセキュリティグループが少なくとも2つの第2のセキュリティグループ内のすべてのセキュリティグループを含む場合、少なくとも2つの第2のセキュリティグループから、最も大きいアドレス範囲を有するセキュリティグループを選択するか、または第1のセキュリティグループが少なくとも2つの第2のセキュリティグループ内の少なくとも1つの第2のセキュリティグループに含まれ、かつ第1のセキュリティグループが少なくとも2つの第2のセキュリティグループ内の残りの第2のセキュリティグループをさらに含む場合、少なくとも1つの第2のセキュリティグループから、最も小さいアドレス範囲を有するセキュリティグループを選択するか、もしくは残りの第2のセキュリティグループから、最も大きいアドレス範囲を有するセキュリティグループを選択するように構成された選択サブユニットと、
選択されたセキュリティグループを第3のセキュリティグループとして決定するように構成された決定サブユニットと
を含む。
第1の確認プロンプト情報に従って第1の処理命令が受信された場合、第1のセキュリティグループおよび第3のセキュリティグループから、第1の処理命令に従って、より大きなアドレス範囲を有するセキュリティグループを第4のセキュリティグループとして決定し、第1のセキュリティグループおよび第3のセキュリティグループから、より小さいアドレス範囲を有するセキュリティグループを第5のセキュリティグループとして決定するように構成された決定サブユニットと、
第1の処理命令が第1の分割命令である場合、第4のセキュリティグループから第5のセキュリティグループのアドレス情報と同一のアドレス情報を削除して、第1の子セキュリティグループを取得するように構成された削除サブユニットと、
第1の処理命令が継承命令である場合、第5のセキュリティグループを二次セキュリティグループとして設定し、第5のセキュリティグループを第4のセキュリティグループの子グループとして設定するように構成された設定サブユニットであって、二次セキュリティグループは、検査されたセキュリティグループ内の別のセキュリティグループとの包含関係を有するセキュリティグループである、設定サブユニットと
を含む。
第1のセキュリティグループと複数の第2のセキュリティグループ内の少なくとも2つの第2のセキュリティグループとの間に重複関係が存在する場合、少なくとも2つの第2のセキュリティグループから第6のセキュリティグループとしてセキュリティグループを選択するように構成された選択ユニットであって、表示ユニットは、第2の確認プロンプト情報を表示するようにさらに構成され、第2の確認プロンプト情報は、第1のセキュリティグループと第6のセキュリティグループとの間の重複関係を処理するように管理者を促すために使用される、選択ユニットと、
第2の確認プロンプト情報に従って第2の処理命令が受信された場合、第2の処理命令に従って、第1のセキュリティグループと第6のセキュリティグループとの間の重複関係を処理するように構成された重複関係処理ユニットと
をさらに含む。
第2の処理命令が第2の確認プロンプト情報に従って受信され、かつ第2の処理命令が旧グループを保持する命令である場合、第1のセキュリティグループ内にあり、かつ第6のセキュリティグループ内のアドレス情報と同一であるアドレス情報を第2の子セキュリティグループにグループ分けし、第2の子セキュリティグループ内のアドレス情報以外の第1のセキュリティグループ内の他のアドレス情報を第3の子セキュリティグループにグループ分けするように構成されたグループ分けサブユニットと、
第2の子セキュリティグループを二次セキュリティグループとして設定し、第2の子セキュリティグループを第6のセキュリティグループの子グループとして設定するように構成された設定サブユニットと
を含む。
第2の処理命令が第2の確認プロンプト情報に従って受信され、かつ第2の処理命令が新グループを保持する命令である場合、第6のセキュリティグループ内にあり、かつ第1のセキュリティグループ内のアドレス情報と同一であるアドレス情報を第5の子セキュリティグループにグループ分けし、第4の子セキュリティグループ内のアドレス情報以外の第6のセキュリティグループ内の他のアドレス情報を第5の子セキュリティグループにグループ分けするように構成されたグループ分けサブユニットと、
第4の子セキュリティグループを二次セキュリティグループとして設定し、第4の子セキュリティグループを第1のセキュリティグループの子グループとして設定するように構成された設定サブユニットと
を含む。
第2の処理命令が第2の確認プロンプト情報に従って受信され、かつ第2の処理命令が第2の分割命令である場合、第1のセキュリティグループおよび第6のセキュリティグループ内の同一のアドレス情報、第6のセキュリティグループ内のアドレス情報と同一のアドレス情報以外の第1のセキュリティグループ内の他のアドレス情報、および第1のセキュリティグループ内のアドレス情報と同一のアドレス情報以外の第6のセキュリティグループ内の他のアドレス情報を、3つのセキュリティグループにそれぞれグループ分けするように構成されたグループ分けサブユニット
を含む。
指定された送信元グループと指定された送信先グループとの両方が一次セキュリティグループである場合、指定された送信元グループ、指定された送信先グループ、および指定されたアクションインジケータに従って、指定されたルールを構成し、指定されたルールの格納順序を構成するように構成された構成ユニットであって、一次セキュリティグループは、検査されたセキュリティグループ内の別のセキュリティグループとの包含関係または重複関係を有しない独立したセキュリティグループである、構成ユニット
を含む。
指定された送信元グループまたは指定された送信先グループが二次セキュリティグループである場合、第1のルールが構成されているかどうかを判断するように構成された判定ユニットであって、第1のルールは、指定された送信元グループの親グループと指定された送信先グループとの間のルール、指定された送信元グループと指定された送信先グループの親グループとの間のルール、または指定された送信元グループの親グループと指定された送信先グループの親グループとの間のルールであり、判定ユニットは、第1のルールが構成されている場合、指定されたアクションインジケータが第1のルールに含まれるアクションインジケータと同一であるかどうかを判断するようにさらに構成されている、判定ユニットと、
指定されたアクションインジケータが第1のルールに含まれるアクションインジケータと同一である場合、指定されたルールの構成を禁止するように構成された構成禁止ユニットと
を含む。
指定されたアクションインジケータが第1のルールに含まれるアクションインジケータと競合する場合、指定された送信元グループ、指定された送信先グループ、および指定されたアクションインジケータに従って、指定されたルールを構成するように構成された構成ユニットと、
指定されたルールの格納順序が第1のルールの格納順序に先行することを設定するように構成された設定ユニットと
をさらに含む。
指定されたルールの構成が禁止されており、かつ指定されたルールが冗長ルールであることを管理者に促すための「構成禁止」プロンプト情報を表示するように構成された表示ユニット
をさらに含む。
指定された送信元グループが二次セキュリティグループであり、かつ指定された送信先グループが第7のセキュリティグループの親グループである場合、または指定された送信元グループが第8のセキュリティグループの親グループであり、かつ指定された送信先グループが二次セキュリティグループである場合、第2のルールが構成されているかどうかを判断するように構成された判定ユニットであって、指定された送信元グループが二次セキュリティグループであり、かつ指定された送信先グループが第7のセキュリティグループの親グループであるとき、第2のルールは、指定された送信元グループの親グループと指定された送信先グループとの間のルール、もしくは指定された送信元グループと第7のセキュリティグループとの間のルールであり、または指定された送信元グループが第8のセキュリティグループの親グループであり、かつ指定された送信先グループが二次セキュリティグループであるとき、第2のルールは、指定された送信元グループと指定された送信先グループとの間のルール、もしくは第8のセキュリティグループと指定された送信先グループの親グループとの間のルールであり、第7のセキュリティグループおよび第8のセキュリティグループは、検査されたセキュリティグループ内の任意のセキュリティグループであり、判定ユニットは、第2のルールが構成されている場合、指定されたアクションインジケータが第2のルールに含まれるアクションインジケータと同一であるかどうかを判断するようにさらに構成されている、判定ユニットと、
指定されたアクションインジケータが第2のルールに含まれるアクションインジケータと同一である場合、指定された送信元グループ、指定された送信先グループ、および指定されたアクションインジケータに従って、指定されたルールを構成するように構成された構成ユニットと
を含む。
指定されたアクションインジケータが第2のルールに含まれるアクションインジケータと競合する場合、ポリシー競合プロンプト情報を表示して、指定されたルールおよび第2のルールの格納順序を設定するように管理者を促すように構成された表示ユニットと、
管理者のソート操作を受け付けたときに、ソート操作に従って、指定されたルールおよび第2のルールの格納順序を設定するように構成された設定ユニットと
をさらに含む。
第1のセキュリティグループと複数の第2のセキュリティグループとの間に包含関係または重複関係が存在するかどうかを判断するステップであって、第1のセキュリティグループは、少なくとも2つのセキュリティグループ内の検査されていないセキュリティグループであり、複数の第2のセキュリティグループは、少なくとも2つのセキュリティグループ内の検査されたセキュリティグループであり、包含関係は、第1のセキュリティグループが第2のセキュリティグループのサブセットであること、または第2のセキュリティグループが第1のセキュリティグループのサブセットであることを意味し、重複関係は、第1のセキュリティグループと第2のセキュリティグループとの間に共通部分が存在し、第1のセキュリティグループが第2のセキュリティグループと等しくないことを意味する、ステップと、
第1のセキュリティグループと複数の第2のセキュリティグループ内の少なくとも2つの第2のセキュリティグループとの間に包含関係が存在する場合、少なくとも2つの第2のセキュリティグループから第3のセキュリティグループとしてセキュリティグループを決定するステップと、
第1の確認プロンプト情報を表示するステップであって、第1の確認プロンプト情報は、第1のセキュリティグループと第3のセキュリティグループとの間の包含関係を処理するように管理者を促すために使用される、ステップと、
第1の確認プロンプト情報に従って第1の処理命令が受信された場合、第1の処理命令に従って、第1のセキュリティグループと第3のセキュリティグループとの間の包含関係を処理するステップと
を含む。
第1のセキュリティグループが少なくとも2つの第2のセキュリティグループ内のすべてのセキュリティグループに含まれる場合、少なくとも2つの第2のセキュリティグループから、最も小さいアドレス範囲を有するセキュリティグループを選択するステップ、または第1のセキュリティグループが少なくとも2つの第2のセキュリティグループ内のすべてのセキュリティグループを含む場合、少なくとも2つの第2のセキュリティグループから、最も大きいアドレス範囲を有するセキュリティグループを選択するステップ、または第1のセキュリティグループが少なくとも2つの第2のセキュリティグループ内の少なくとも1つの第2のセキュリティグループに含まれ、第1のセキュリティグループが少なくとも2つの第2のセキュリティグループ内の残りの第2のセキュリティグループをさらに含む場合、少なくとも1つの第2のセキュリティグループから、最も小さいアドレス範囲を有するセキュリティグループを選択するステップ、または残りの第2のセキュリティグループから、最も大きいアドレス範囲を有するセキュリティグループを選択するステップと、
選択されたセキュリティグループを第3のセキュリティグループとして決定するステップと
を含む。
第1のセキュリティグループおよび第3のセキュリティグループから、より大きなアドレス範囲を有するセキュリティグループを第4のセキュリティグループとして決定し、第1のセキュリティグループおよび第3のセキュリティグループから、より小さいアドレス範囲を有するセキュリティグループを第5のセキュリティグループとして決定するステップと、
第1の処理命令が第1の分割命令である場合、第4のセキュリティグループから第5のセキュリティグループのアドレス情報と同一のアドレス情報を削除して第1の子セキュリティグループを取得するステップと、
第1の処理命令が継承命令である場合、第5のセキュリティグループを二次セキュリティグループとして設定し、第5のセキュリティグループを第4のセキュリティグループの子グループとして設定するステップであって、二次セキュリティグループは、検査されたセキュリティグループ内の別のセキュリティグループとの包含関係を有するセキュリティグループであるステップと
を含む。
第1のセキュリティグループと複数の第2のセキュリティグループ内の少なくとも2つの第2のセキュリティグループとの間に重複関係が存在する場合、少なくとも2つの第2のセキュリティグループから第6のセキュリティグループとしてセキュリティグループを選択するステップと、
第2の確認プロンプト情報を表示するステップであって、第2の確認プロンプト情報は、第1のセキュリティグループと第6のセキュリティグループとの間の重複関係を処理するように管理者を促すために使用される、ステップと、
第2の確認プロンプト情報に従って第2の処理命令が受信された場合、第2の処理命令に従って、第1のセキュリティグループと第6のセキュリティグループとの間の重複関係を処理するステップと
をさらに含む。
第2の処理命令が旧グループを保持する命令である場合、第1のセキュリティグループ内にあり、第6のセキュリティグループ内のアドレス情報と同一であるアドレス情報を第2の子セキュリティグループにグループ分けし、第2の子セキュリティグループ内のアドレス情報以外の第1のセキュリティグループ内の他のアドレス情報を第3の子セキュリティグループにグループ分けするステップと、
第2の子セキュリティグループを二次セキュリティグループとして設定し、第2の子セキュリティグループを第6のセキュリティグループの子グループとして設定するステップと
を含む。
第2の処理命令が新グループを保持する命令である場合、第6のセキュリティグループ内にあり、第1のセキュリティグループ内のアドレス情報と同一であるアドレス情報を第4の子セキュリティグループにグループ分けし、第4の子セキュリティグループ内のアドレス情報以外の第6のセキュリティグループ内の他のアドレス情報を第5の子セキュリティグループにグループ分けするステップと、
第4の子セキュリティグループを二次セキュリティグループとして設定し、第4の子セキュリティグループを第1のセキュリティグループの子グループとして設定するステップと
を含む。
第2の処理命令が第2の分割命令である場合、第1のセキュリティグループおよび第6のセキュリティグループ内の同一のアドレス情報、第6のセキュリティグループ内のアドレス情報と同一のアドレス情報以外の第1のセキュリティグループ内の他のアドレス情報、第1のセキュリティグループ内のアドレス情報と同一のアドレス情報以外の第6のセキュリティグループ内の他のアドレス情報、の3つのセキュリティグループにそれぞれグループ分けするステップ
を含む。
指定された送信元グループと指定された送信先グループの両方が一次セキュリティグループである場合、指定された送信元グループ、指定された送信先グループ、および指定されたアクションインジケータに従って、指定されたルールを構成するステップであって、一次セキュリティグループは、検査されたセキュリティグループ内の別のセキュリティグループとの包含関係または重複関係を有しない独立したセキュリティグループである、ステップ
を含む。
指定された送信元グループまたは指定された送信先グループが二次セキュリティグループである場合、第1のルールが構成されているかどうかを判断するステップであって、第1のルールは、指定された送信元グループの親グループと指定された送信先グループとの間のルール、指定された送信元グループと指定された送信先グループの親グループとの間のルール、または指定された送信元グループの親グループと指定された送信先グループの親グループとの間のルールである、ステップと、
第1のルールが構成されている場合、指定されたアクションインジケータが第1のルールに含まれるアクションインジケータと同一であるかどうかを判断するステップと、
指定されたアクションインジケータが第1のルールに含まれるアクションインジケータと同一である場合、指定されたルールの構成を禁止するステップと
を含む。
指定されたアクションインジケータが第1のルールに含まれるアクションインジケータと競合する場合、指定された送信元グループ、指定された送信先グループ、および指定されたアクションインジケータに従って、指定されたルールを構成するステップと、
指定されたルールの格納順序が第1のルールの格納順序に先行することを設定するステップと
をさらに含む。
指定されたルールの構成が禁止されており、指定されたルールが冗長ルールであることを管理者に促すための「構成禁止」プロンプト情報を表示するステップ
をさらに含む。
指定された送信元グループが二次セキュリティグループであり、指定された送信先グループが第7のセキュリティグループの親グループである場合、または指定された送信元グループが第8のセキュリティグループの親グループであり、指定された送信先グループが二次セキュリティグループである場合、第2のルールが構成されているかどうかを判断するステップであって、指定された送信元グループが二次セキュリティグループであり、指定された送信先グループが第7のセキュリティグループの親グループであるとき、第2のルールは、指定された送信元グループの親グループと指定された送信先グループとの間のルール、または指定された送信元グループと第7のセキュリティグループとの間のルールであり、あるいは指定された送信元グループが第8のセキュリティグループの親グループであり、指定された送信先グループが二次セキュリティグループであるとき、第2のルールは、指定された送信元グループと指定された送信先グループとの間のルール、または第8のセキュリティグループと指定された送信先グループの親グループとの間のルールであり、第7のセキュリティグループと第8のセキュリティグループは、検査されたセキュリティグループ内の任意のセキュリティグループである、ステップと、
第2のルールが構成されている場合、指定されたアクションインジケータが第2のルールに含まれるアクションインジケータと同一であるかどうかを判断するステップと、
指定されたアクションインジケータが第2のルールに含まれるアクションインジケータと同一である場合、指定された送信元グループ、指定された送信先グループ、および指定されたアクションインジケータに従って、指定されたルールを構成するステップと
を含む。
指定されたアクションインジケータが第2のルールに含まれるアクションインジケータと競合する場合、ポリシー競合プロンプト情報を表示して、指定されたルールおよび第2のルールの格納順序を設定するように管理者を促すステップと、
管理者のソート操作を受け付けたときに、ソート操作に従って、指定されたルールおよび第2のルールの格納順序を設定するステップと
をさらに含む。
複数のアドレス情報がそれぞれ属するホストの属性情報に従って、格納された複数のアドレス情報を少なくとも2つのセキュリティグループにグループ分けするように構成されたグループ分けモジュール401であって、属性情報はサービス種別またはセキュリティクラスを含む、グループ分けモジュール401と
検査されたセキュリティグループでは、高レベルのセキュリティグループが低レベルのセキュリティグループを完全に含むことができ、同じレベルのセキュリティグループが重複することなく互いに完全に独立しており、少なくとも2つのセキュリティグループを検査するように構成された検査処理モジュール402であって、レベルは、セキュリティグループが親グループ、子グループ、または独立したセキュリティグループのいずれであるかを示すために使用される、検査処理モジュール402と、
ポリシー構成命令を受信するように構成された受信モジュール403であって、ポリシー構成命令は、指定された送信元グループ、指定された送信先グループ、および指定されたアクションインジケータを運び、指定された送信元グループおよび指定された送信先グループは、検査されたセキュリティグループ内の2つの異なるセキュリティグループである、受信モジュール403と、
ポリシー構成命令に従って、指定されたルールを構成し、ポリシー構成命令に従って、指定されたルールの格納順序を構成するように構成された構成モジュール404であって、指定されたルールは、少なくとも2つの構成されるべきルール内の任意のルールであり、
ここで、受信モジュール403は、少なくとも2つのルールが構成された後にデータパケットを受信するようにさらに構成され、データパケットは送信元アドレス情報および送信先アドレス情報を運ぶ、構成モジュール404と、
フロー制御を実施するために、少なくとも2つのルールと少なくとも2つのルールの格納順序に従ってデータパケットを処理するように構成されたパケット処理モジュール405と
を含む。
第1のセキュリティグループと複数の第2のセキュリティグループとの間に包含関係または重複関係が存在するかどうかを判断するように構成された判定ユニット4021であって、第1のセキュリティグループは、少なくとも2つのセキュリティグループ内の検査されていないセキュリティグループであり、複数の第2のセキュリティグループは、少なくとも2つのセキュリティグループ内の検査されたセキュリティグループであり、包含関係は、第1のセキュリティグループが第2のセキュリティグループのサブセットであること、または第2のセキュリティグループが第1のセキュリティグループのサブセットであることを意味し、重複関係は、第1のセキュリティグループと第2のセキュリティグループとの間に共通部分が存在し、第1のセキュリティグループが第2のセキュリティグループと等しくないことを意味する、判定ユニット4021と、
第1のセキュリティグループと複数の第2のセキュリティグループ内の少なくとも2つの第2のセキュリティグループとの間に包含関係が存在する場合、少なくとも2つの第2のセキュリティグループから第3のセキュリティグループとしてセキュリティグループを決定するように構成された決定ユニット4022と、
第1の確認プロンプト情報を表示するように構成された表示ユニット4023であって、第1の確認プロンプト情報は、第1のセキュリティグループと第3のセキュリティグループとの間の包含関係を処理するように管理者を促すために使用される、表示ユニット4023と、
第1の確認プロンプト情報に従って第1の処理命令が受信された場合、第1の処理命令に従って、第1のセキュリティグループと第3のセキュリティグループとの間の包含関係を処理するように構成された包含関係処理ユニット4024と
を含む。
第1のセキュリティグループが少なくとも2つの第2のセキュリティグループ内のすべてのセキュリティグループに含まれる場合、少なくとも2つの第2のセキュリティグループから、最も小さいアドレス範囲を有するセキュリティグループを選択するか、または第1のセキュリティグループが少なくとも2つの第2のセキュリティグループ内のすべてのセキュリティグループを含む場合、少なくとも2つの第2のセキュリティグループから、最も大きいアドレス範囲を有するセキュリティグループを選択するか、または第1のセキュリティグループが少なくとも2つの第2のセキュリティグループ内の少なくとも1つの第2のセキュリティグループに含まれ、第1のセキュリティグループが少なくとも2つの第2のセキュリティグループ内の残りの第2のセキュリティグループをさらに含む場合、少なくとも1つの第2のセキュリティグループから、最も小さいアドレス範囲を有するセキュリティグループを選択するか、または残りの第2のセキュリティグループから、最も大きいアドレス範囲を有するセキュリティグループを選択するように構成された選択サブユニット40221と、
選択されたセキュリティグループを第3のセキュリティグループとして決定するように構成された決定サブユニット40222と
を含む。
第1の確認プロンプト情報に従って第1の処理命令が受信された場合、第1のセキュリティグループおよび第3のセキュリティグループから、第1の処理命令に従って、より大きなアドレス範囲を有するセキュリティグループを第4のセキュリティグループとして決定し、第1のセキュリティグループおよび第3のセキュリティグループから、より小さいアドレス範囲を有するセキュリティグループを第5のセキュリティグループとして決定するように構成された決定サブユニット40241と、
第1の処理命令が第1の分割命令である場合、第4のセキュリティグループから第5のセキュリティグループのアドレス情報と同一のアドレス情報を削除して第1の子セキュリティグループを取得するように構成された削除サブユニット40242と、
第1の処理命令が継承命令である場合、第5のセキュリティグループを二次セキュリティグループとして設定し、第5のセキュリティグループを第4のセキュリティグループの子グループとして設定するように構成された設定サブユニット40243であって、二次セキュリティグループは、検査されたセキュリティグループ内の別のセキュリティグループとの包含関係を有するセキュリティグループである設定サブユニット40243と
を含む。
第1のセキュリティグループと複数の第2のセキュリティグループ内の少なくとも2つの第2のセキュリティグループとの間に重複関係が存在する場合、少なくとも2つの第2のセキュリティグループから第6のセキュリティグループとしてセキュリティグループを選択するように構成された選択ユニット4025であって、
ここで、表示ユニット4023は、第2の確認プロンプト情報を表示するようにさらに構成され、第2の確認プロンプト情報は、第1のセキュリティグループと第6のセキュリティグループとの間の重複関係を処理するように管理者を促すために使用される、選択ユニット4025と、
第2の確認プロンプト情報に従って第2の処理命令が受信された場合、第2の処理命令に従って、第1のセキュリティグループと第6のセキュリティグループとの間の重複関係を処理するように構成された重複関係処理ユニット4026と
をさらに含む。
第2の処理命令が第2の確認プロンプト情報に従って受信され、第2の処理命令が旧グループを保持する命令である場合、第1のセキュリティグループ内にあり、第6のセキュリティグループ内のアドレス情報と同一のアドレス情報を第2の子セキュリティグループにグループ分けし、第2の子セキュリティグループ内のアドレス情報以外の第1のセキュリティグループ内の他のアドレス情報を第3の子セキュリティグループにグループ分けするように構成されたグループ分けサブユニット40261と、
第2の子セキュリティグループを二次セキュリティグループとして設定し、第2の子セキュリティグループを第6のセキュリティグループの子グループとして設定するように構成された設定サブユニット40262と
を含む。
第2の処理命令が第2の確認プロンプト情報に従って受信され、第2の処理命令が新グループを保持する命令である場合、第6のセキュリティグループ内にあり、第1のセキュリティグループ内のアドレス情報と同一のアドレス情報を第4の子セキュリティグループにグループ分けし、第4の子セキュリティグループ内のアドレス情報以外の第6のセキュリティグループ内の他のアドレス情報を第5の子セキュリティグループにグループ分けするように構成されたグループ分けサブユニット40263と、
第4の子セキュリティグループを二次セキュリティグループとして設定し、第4の子セキュリティグループを第1のセキュリティグループの子グループとして設定するように構成された設定サブユニット40264と
を含む。
第2の処理命令が第2の確認プロンプト情報に従って受信され、第2の処理命令が第2の分割命令である場合、第1のセキュリティグループおよび第6のセキュリティグループ内の同一のアドレス情報、第6のセキュリティグループ内のアドレス情報と同一のアドレス情報以外の第1のセキュリティグループ内の他のアドレス情報、第1のセキュリティグループ内のアドレス情報と同一のアドレス情報以外の第6のセキュリティグループ内の他のアドレス情報、の3つのセキュリティグループにそれぞれグループ分けするように構成されたグループ分けサブユニット
を含む。
指定された送信元グループと指定された送信先グループの両方が一次セキュリティグループである場合、指定された送信元グループ、指定された送信先グループ、および指定されたアクションインジケータに従って、指定されたルールを構成し、指定されたルールの格納順序を構成するように構成された構成ユニットであって、一次セキュリティグループは、検査されたセキュリティグループ内の別のセキュリティグループとの包含関係または重複関係を有しない独立したセキュリティグループである、構成ユニット
を含む。
指定された送信元グループまたは指定された送信先グループが二次セキュリティグループである場合、第1のルールが構成されているかどうかを判断するように構成された判定ユニット4041であって、第1のルールは、指定された送信元グループの親グループと指定された送信先グループとの間のルール、指定された送信元グループと指定された送信先グループの親グループとの間のルール、または指定された送信元グループの親グループと指定された送信先グループの親グループとの間のルールであり、
ここで、判定ユニット4041は、第1のルールが構成されている場合、指定されたアクションインジケータが第1のルールに含まれるアクションインジケータと同一であるかどうかを判断するようにさらに構成されている、判定ユニット4041と、
指定されたアクションインジケータが第1のルールに含まれるアクションインジケータと同一である場合、指定されたルールの構成を禁止するように構成された構成禁止ユニット4042と
を含む。
指定されたアクションインジケータが第1のルールに含まれるアクションインジケータと競合する場合、指定された送信元グループ、指定された送信先グループ、および指定されたアクションインジケータに従って、指定されたルールを構成するように構成された構成ユニット4043と、
指定されたルールの格納順序が第1のルールの格納順序に先行することを設定するように構成された設定ユニット4044と
をさらに含む。
指定されたルールの構成が禁止されており、指定されたルールが冗長ルールであることを管理者に促すための「構成禁止」プロンプト情報を表示するように構成された表示ユニット4045
をさらに含む。
指定された送信元グループが二次セキュリティグループであり、指定された送信先グループが第7のセキュリティグループの親グループである場合、または指定された送信元グループが第8のセキュリティグループの親グループであり、指定された送信先グループが二次セキュリティグループである場合、第2のルールが構成されているかどうかを判断するように構成された判定ユニット4046であって、指定された送信元グループが二次セキュリティグループであり、指定された送信先グループが第7のセキュリティグループの親グループであるとき、第2のルールは、指定された送信元グループの親グループと指定された送信先グループとの間のルール、または指定された送信元グループと第7のセキュリティグループとの間のルールであり、あるいは指定された送信元グループが第8のセキュリティグループの親グループであり、指定された送信先グループが二次セキュリティグループであるとき、第2のルールは、指定された送信元グループと指定された送信先グループとの間のルール、または第8のセキュリティグループと指定された送信先グループの親グループとの間のルールであり、第7のセキュリティグループと第8のセキュリティグループは、検査されたセキュリティグループ内の任意のセキュリティグループであり、
ここで、判定ユニット4046は、第2のルールが構成されている場合、指定されたアクションインジケータが第2のルールに含まれるアクションインジケータと同一であるかどうかを判断するようにさらに構成されている、判定ユニット4046と、
指定されたアクションインジケータが第2のルールに含まれるアクションインジケータと同一である場合、指定された送信元グループ、指定された送信先グループ、および指定されたアクションインジケータに従って、指定されたルールを構成するように構成された構成ユニット4047と
を含む。
指定されたアクションインジケータが第2のルールに含まれるアクションインジケータと競合する場合、ポリシー競合プロンプト情報を表示して、指定されたルールおよび第2のルールの格納順序を設定するように管理者を促すように構成された表示ユニット4048と、
管理者のソート操作を受け付けたときに、ソート操作に従って、指定されたルールおよび第2のルールの格納順序を設定するように構成された設定ユニット4049と
をさらに含む。
第1のセキュリティグループと複数の第2のセキュリティグループとの間に包含関係または重複関係が存在するかどうかを判断し、第1のセキュリティグループは、少なくとも2つのセキュリティグループ内の検査されていないセキュリティグループであり、複数の第2のセキュリティグループは、少なくとも2つのセキュリティグループ内の検査されたセキュリティグループであり、包含関係は、第1のセキュリティグループが第2のセキュリティグループのサブセットであること、または第2のセキュリティグループが第1のセキュリティグループのサブセットであることを意味し、重複関係は、第1のセキュリティグループと第2のセキュリティグループとの間に共通部分が存在し、第1のセキュリティグループが第2のセキュリティグループと等しくないことを意味し、
第1のセキュリティグループと複数の第2のセキュリティグループ内の少なくとも2つの第2のセキュリティグループとの間に包含関係が存在する場合、少なくとも2つの第2のセキュリティグループから第3のセキュリティグループとしてセキュリティグループを決定し、
第1の確認プロンプト情報を表示して、第1の確認プロンプト情報を使用して、第1のセキュリティグループと第3のセキュリティグループとの間の包含関係を処理するように管理者を促し、
第1の確認プロンプト情報に従って第1の処理命令が受信された場合、第1の処理命令に従って、第1のセキュリティグループと第3のセキュリティグループとの間の包含関係を処理する
ようにさらに構成されている。
第1のセキュリティグループが少なくとも2つの第2のセキュリティグループ内のすべてのセキュリティグループに含まれる場合、少なくとも2つの第2のセキュリティグループから、最も小さいアドレス範囲を有するセキュリティグループを選択するか、または第1のセキュリティグループが少なくとも2つの第2のセキュリティグループ内のすべてのセキュリティグループを含む場合、少なくとも2つの第2のセキュリティグループから、最も大きいアドレス範囲を有するセキュリティグループを選択するか、または第1のセキュリティグループが少なくとも2つの第2のセキュリティグループ内の少なくとも1つの第2のセキュリティグループに含まれ、第1のセキュリティグループが少なくとも2つの第2のセキュリティグループ内の残りの第2のセキュリティグループをさらに含む場合、少なくとも1つの第2のセキュリティグループから、最も小さいアドレス範囲を有するセキュリティグループを選択するか、または残りの第2のセキュリティグループから、最も大きいアドレス範囲を有するセキュリティグループを選択し、
選択されたセキュリティグループを第3のセキュリティグループとして決定する
ようにさらに構成されている。
第1のセキュリティグループおよび第3のセキュリティグループから、より大きなアドレス範囲を有するセキュリティグループを第4のセキュリティグループとして決定し、第1のセキュリティグループおよび第3のセキュリティグループから、より小さいアドレス範囲を有するセキュリティグループを第5のセキュリティグループとして決定し、
第1の処理命令が第1の分割命令である場合、第4のセキュリティグループから第5のセキュリティグループのアドレス情報と同一のアドレス情報を削除して第1の子セキュリティグループを取得し、
第1の処理命令が継承命令である場合、第5のセキュリティグループを二次セキュリティグループとして設定し、第5のセキュリティグループを第4のセキュリティグループの子グループとして設定し、二次セキュリティグループは、検査されたセキュリティグループ内の別のセキュリティグループとの包含関係を有するセキュリティグループである
ようにさらに構成されている。
第1のセキュリティグループと複数の第2のセキュリティグループ内の少なくとも2つの第2のセキュリティグループとの間に重複関係が存在する場合、少なくとも2つの第2のセキュリティグループから第6のセキュリティグループとしてセキュリティグループを選択し、
第2の確認プロンプト情報を表示し、第2の確認プロンプト情報を使用して、第1のセキュリティグループと第6のセキュリティグループとの間の重複関係を処理するように管理者を促し、
第2の確認プロンプト情報に従って第2の処理命令が受信された場合、第2の処理命令に従って、第1のセキュリティグループと第6のセキュリティグループとの間の重複関係を処理する
ようにさらに構成されている。
第2の処理命令が旧グループを保持する命令である場合、第1のセキュリティグループ内にあり、第6のセキュリティグループ内のアドレス情報と同一であるアドレス情報を第2の子セキュリティグループにグループ分けし、第2の子セキュリティグループ内のアドレス情報以外の第1のセキュリティグループ内の他のアドレス情報を第3の子セキュリティグループにグループ分けし、
第2の子セキュリティグループを二次セキュリティグループとして設定し、第2の子セキュリティグループを第6のセキュリティグループの子グループとして設定する
ようにさらに構成されている。
第2の処理命令が新グループを保持する命令である場合、第6のセキュリティグループ内にあり、第1のセキュリティグループ内のアドレス情報と同一であるアドレス情報を第4の子セキュリティグループにグループ分けし、第4の子セキュリティグループ内のアドレス情報以外の第6のセキュリティグループ内の他のアドレス情報を第5の子セキュリティグループにグループ分けし、
第4の子セキュリティグループを二次セキュリティグループとして設定し、第4の子セキュリティグループを第1のセキュリティグループの子グループとして設定する
ようにさらに構成されている。
第2の処理命令が第2の分割命令である場合、第1のセキュリティグループおよび第6のセキュリティグループ内の同一のアドレス情報、第6のセキュリティグループ内のアドレス情報と同一のアドレス情報以外の第1のセキュリティグループ内の他のアドレス情報、第1のセキュリティグループ内のアドレス情報と同一のアドレス情報以外の第6のセキュリティグループ内の他のアドレス情報、の3つのセキュリティグループにそれぞれグループ分けする
ようにさらに構成されている。
指定された送信元グループと指定された送信先グループの両方が一次セキュリティグループである場合、指定された送信元グループ、指定された送信先グループ、および指定されたアクションインジケータに従って、指定されたルールを構成し、一次セキュリティグループは、検査されたセキュリティグループ内の別のセキュリティグループとの包含関係または重複関係を有しない独立したセキュリティグループである
ようにさらに構成されている。
指定された送信元グループまたは指定された送信先グループが二次セキュリティグループである場合、第1のルールが構成されているかどうかを判断し、第1のルールは、指定された送信元グループの親グループと指定された送信先グループとの間のルール、指定された送信元グループと指定された送信先グループの親グループとの間のルール、または指定された送信元グループの親グループと指定された送信先グループの親グループとの間のルールであり、
第1のルールが構成されている場合、指定されたアクションインジケータが第1のルールに含まれるアクションインジケータと同一であるかどうかを判断し、
指定されたアクションインジケータが第1のルールに含まれるアクションインジケータと同一である場合、指定されたルールの構成を禁止する
ようにさらに構成されている。
指定されたアクションインジケータが第1のルールに含まれるアクションインジケータと競合する場合、指定された送信元グループ、指定された送信先グループ、および指定されたアクションインジケータに従って、指定されたルールを構成し、
指定されたルールの格納順序が第1のルールの格納順序に先行することを設定する
ようにさらに構成されている。
「構成禁止」プロンプト情報を表示して、指定されたルールの構成が禁止され、指定されたルールが冗長ルールであることを管理者に促す
ようにさらに構成されている。
指定された送信元グループが二次セキュリティグループであり、指定された送信先グループが第7のセキュリティグループの親グループである場合、または指定された送信元グループが第8のセキュリティグループの親グループであり、指定された送信先グループが二次セキュリティグループである場合、第2のルールが構成されているかどうかを判断し、指定された送信元グループが二次セキュリティグループであり、指定された送信先グループが第7のセキュリティグループの親グループであるとき、第2のルールは、指定された送信元グループの親グループと指定された送信先グループとの間のルール、または指定された送信元グループと第7のセキュリティグループとの間のルールであり、あるいは指定された送信元グループが第8のセキュリティグループの親グループであり、指定された送信先グループが二次セキュリティグループであるとき、第2のルールは、指定された送信元グループと指定された送信先グループとの間のルール、または第8のセキュリティグループと指定された送信先グループの親グループとの間のルールであり、第7のセキュリティグループと第8のセキュリティグループは、検査されたセキュリティグループ内の任意のセキュリティグループであり、
第2のルールが構成されている場合、指定されたアクションインジケータが第2のルールに含まれるアクションインジケータと同一であるかどうかを判断し、
指定されたアクションインジケータが第2のルールに含まれるアクションインジケータと同一である場合、指定された送信元グループ、指定された送信先グループ、および指定されたアクションインジケータに従って、指定されたルールを構成する
ようにさらに構成されている。
指定されたアクションインジケータが第2のルールに含まれるアクションインジケータと競合する場合、ポリシー競合プロンプト情報を表示して、指定されたルールおよび第2のルールの格納順序を設定するように管理者を促し、
管理者のソート操作を受け付けたときに、ソート操作に従って、指定されたルールおよび第2のルールの格納順序を設定する
ようにさらに構成されている。
102 ホスト
103 スイッチ
104 ルータ
401 グループ分けモジュール
402 検査処理モジュール
403 受信モジュール
404 構成モジュール
405 パケット処理モジュール
501 メモリ
502 プロセッサ
503 受信機
504 通信バス
4021 判定ユニット
4022 決定ユニット
4023 表示ユニット
4024 包含関係処理ユニット
4025 選択ユニット
4026 重複関係処理ユニット
4041 判定ユニット
4042 構成禁止ユニット
4043 構成ユニット
4044 設定ユニット
4045 表示ユニット
4046 判定ユニット
4047 構成ユニット
4048 表示ユニット
4049 設定ユニット
40221 選択サブユニット
40222 決定サブユニット
40241 決定サブユニット
40242 削除サブユニット
40243 設定サブユニット
40261 グループ分けサブユニット
40262 設定サブユニット
40263 グループ分けサブユニット
40264 設定サブユニット
A,B,C,D,E,F,M,N セキュリティグループ
a1 第1の子セキュリティグループ
a2 第2の子セキュリティグループ
a3 第3の子セキュリティグループ
c1 第4の子セキュリティグループ
Claims (24)
- パケット交換装置に適用されるフロー制御方法であって、
複数のアドレス情報がそれぞれ属するホストの属性情報に従って、格納された前記複数のアドレス情報を少なくとも3つのセキュリティグループにグループ分けするステップであって、前記属性情報はホストのサービス種別またはホストのセキュリティクラスを含む、ステップと、
検査されたセキュリティグループでは、高レベルのセキュリティグループが低レベルのセキュリティグループを完全に含み、かつ同じレベルのセキュリティグループが重複することなく互いに完全に独立しているように、前記少なくとも3つのセキュリティグループを検査するステップであって、前記レベルは、前記セキュリティグループが親グループ、子グループ、または独立したセキュリティグループのいずれであるかを示すために使用される、ステップと、
ポリシー構成命令を受信するステップであって、前記ポリシー構成命令は、指定された送信元グループ、指定された送信先グループ、および指定されたアクションインジケータを運び、前記指定された送信元グループおよび前記指定された送信先グループは、前記検査されたセキュリティグループ内の2つの異なるセキュリティグループである、ステップと、
前記ポリシー構成命令に従って、指定されたルールを構成し、前記ポリシー構成命令に従って、少なくとも2つのルールの格納順序を構成するステップであって、前記指定されたルールは、前記ポリシー構成命令に従って生成され、前記少なくとも2つのルールは、前記指定されたルールおよび別の構成されたルールを含み、前記少なくとも2つのルールの各々は、一致条件およびアクションインジケータを含む、ステップと、
前記少なくとも2つのルールが構成された後にデータパケットを受信するステップであって、前記データパケットは送信元アドレス情報および送信先アドレス情報を運ぶ、ステップと、
フロー制御を実施するために、前記少なくとも2つのルールおよび前記少なくとも2つのルールの格納順序に従って、前記データパケットを処理するステップと
を含む方法。 - 前記少なくとも3つのセキュリティグループを検査する前記ステップが、
第1のセキュリティグループと複数の第2のセキュリティグループとの間に包含関係または重複関係が存在するかどうかを判断するステップであって、前記第1のセキュリティグループは、前記少なくとも3つのセキュリティグループ内の検査されていないセキュリティグループであり、前記複数の第2のセキュリティグループは、前記少なくとも3つのセキュリティグループ内の前記検査されたセキュリティグループであり、前記包含関係は、前記第1のセキュリティグループが前記第2のセキュリティグループのサブセットであること、または前記第2のセキュリティグループが前記第1のセキュリティグループのサブセットであることを意味し、前記重複関係は、前記第1のセキュリティグループと前記第2のセキュリティグループとの間に共通部分が存在し、前記第1のセキュリティグループが前記第2のセキュリティグループと等しくないことを意味する、ステップと、
前記第1のセキュリティグループと前記複数の第2のセキュリティグループ内の少なくとも2つの第2のセキュリティグループとの間に包含関係が存在する場合、前記少なくとも2つの第2のセキュリティグループから第3のセキュリティグループとしてセキュリティグループを決定するステップと、
第1の確認プロンプト情報を表示するステップであって、前記第1の確認プロンプト情報は、前記第1のセキュリティグループと前記第3のセキュリティグループとの間の包含関係を処理するように管理者を促すために使用される、ステップと、
前記第1の確認プロンプト情報に従って第1の処理命令が受信された場合、前記第1の処理命令に従って、前記第1のセキュリティグループと前記第3のセキュリティグループとの間の前記包含関係を処理するステップと
を含む、請求項1に記載の方法。 - 前記少なくとも2つの第2のセキュリティグループから第3のセキュリティグループとしてセキュリティグループを決定する前記ステップが、
前記第1のセキュリティグループが前記少なくとも2つの第2のセキュリティグループ内のすべてのセキュリティグループに含まれる場合、前記少なくとも2つの第2のセキュリティグループから、最も小さいアドレス範囲を有するセキュリティグループを選択するステップ、または前記第1のセキュリティグループが前記少なくとも2つの第2のセキュリティグループ内のすべてのセキュリティグループを含む場合、前記少なくとも2つの第2のセキュリティグループから、最も大きいアドレス範囲を有するセキュリティグループを選択するステップ、または前記第1のセキュリティグループが前記少なくとも2つの第2のセキュリティグループ内の少なくとも1つの第2のセキュリティグループに含まれ、かつ前記第1のセキュリティグループが前記少なくとも2つの第2のセキュリティグループ内の残りの第2のセキュリティグループをさらに含む場合、前記少なくとも1つの第2のセキュリティグループから、最も小さいアドレス範囲を有するセキュリティグループを選択するか、もしくは前記残りの第2のセキュリティグループから、最も大きいアドレス範囲を有するセキュリティグループを選択するステップと、
選択された前記セキュリティグループを前記第3のセキュリティグループとして決定するステップと
を含む、請求項2に記載の方法。 - 前記第1の処理命令に従って、前記第1のセキュリティグループと前記第3のセキュリティグループとの間の前記包含関係を処理する前記ステップが、
前記第1のセキュリティグループおよび前記第3のセキュリティグループから、より大きなアドレス範囲を有するセキュリティグループを第4のセキュリティグループとして決定し、前記第1のセキュリティグループおよび前記第3のセキュリティグループから、より小さいアドレス範囲を有するセキュリティグループを第5のセキュリティグループとして決定するステップと、
前記第1の処理命令が第1の分割命令である場合、前記第4のセキュリティグループから前記第5のセキュリティグループのアドレス情報と同一のアドレス情報を削除して、第1の子セキュリティグループを取得するステップであって、前記第1の子セキュリティグループは、削除後に残ったアドレス情報を含む、ステップと、
前記第1の処理命令が継承命令である場合、前記第5のセキュリティグループを二次セキュリティグループとして設定し、前記第5のセキュリティグループを前記第4のセキュリティグループの子グループとして設定するステップであって、前記二次セキュリティグループは、前記検査されたセキュリティグループ内の別のセキュリティグループとの包含関係を有するセキュリティグループである、ステップと
を含む、請求項2または3に記載の方法。 - 第1のセキュリティグループと複数の第2のセキュリティグループとの間に包含関係または重複関係が存在するかどうかを判断する前記ステップの後、前記方法が、
前記第1のセキュリティグループと前記複数の第2のセキュリティグループ内の少なくとも2つの第2のセキュリティグループとの間に重複関係が存在する場合、前記少なくとも2つの第2のセキュリティグループから第6のセキュリティグループとしてセキュリティグループを選択するステップと、
第2の確認プロンプト情報を表示するステップであって、前記第2の確認プロンプト情報は、前記第1のセキュリティグループと前記第6のセキュリティグループとの間の重複関係を処理するように前記管理者を促すために使用される、ステップと、
前記第2の確認プロンプト情報に従って第2の処理命令が受信された場合、前記第2の処理命令に従って、前記第1のセキュリティグループと前記第6のセキュリティグループとの間の前記重複関係を処理するステップと
をさらに含む、請求項2に記載の方法。 - 前記第2の処理命令に従って、前記第1のセキュリティグループと前記第6のセキュリティグループとの間の前記重複関係を処理する前記ステップが、
前記第2の処理命令が旧グループを保持する命令である場合、前記第1のセキュリティグループ内にあり、かつ前記第6のセキュリティグループ内のアドレス情報と同一であるアドレス情報を第2の子セキュリティグループにグループ分けし、前記第2の子セキュリティグループ内のアドレス情報以外の前記第1のセキュリティグループ内の他のアドレス情報を第3の子セキュリティグループにグループ分けするステップと、
前記第2の子セキュリティグループを二次セキュリティグループとして設定し、前記第2の子セキュリティグループを前記第6のセキュリティグループの子グループとして設定するステップと
を含む、請求項5に記載の方法。 - 前記第2の処理命令に従って、前記第1のセキュリティグループと前記第6のセキュリティグループとの間の前記重複関係を処理する前記ステップが、
前記第2の処理命令が新グループを保持する命令である場合、前記第6のセキュリティグループ内にあり、かつ前記第1のセキュリティグループ内のアドレス情報と同一であるアドレス情報を第4の子セキュリティグループにグループ分けし、前記第4の子セキュリティグループ内のアドレス情報以外の前記第6のセキュリティグループ内の他のアドレス情報を第5の子セキュリティグループにグループ分けするステップと、
前記第4の子セキュリティグループを二次セキュリティグループとして設定し、前記第4の子セキュリティグループを前記第1のセキュリティグループの子グループとして設定するステップと
を含む、請求項5に記載の方法。 - 前記第2の処理命令に従って、前記第1のセキュリティグループと前記第6のセキュリティグループとの間の前記重複関係を処理する前記ステップが、
前記第2の処理命令が第2の分割命令である場合、前記第1のセキュリティグループおよび前記第6のセキュリティグループ内の同一のアドレス情報、前記第6のセキュリティグループ内のアドレス情報と同一のアドレス情報以外の前記第1のセキュリティグループ内の他のアドレス情報、および前記第1のセキュリティグループ内のアドレス情報と同一のアドレス情報以外の前記第6のセキュリティグループ内の他のアドレス情報を、3つのセキュリティグループにそれぞれグループ分けするステップ
を含む、請求項5に記載の方法。 - 前記ポリシー構成命令に従って、指定されたルールを構成する前記ステップが、
前記指定された送信元グループと前記指定された送信先グループとの両方が一次セキュリティグループである場合、前記指定された送信元グループ、前記指定された送信先グループ、および前記指定されたアクションインジケータに従って、前記指定されたルールを構成するステップであって、前記指定されたルールおよび前記指定されたルールとは独立した前記別の構成されたルールの前記格納順序は、フロー制御に影響を与えず、前記一次セキュリティグループは、前記検査されたセキュリティグループ内の別のセキュリティグループとの包含関係または重複関係を有しない独立したセキュリティグループであり、前記指定されたルールおよび前記別の構成されたルールは、独立したセキュリティグループによって形成される、ステップ
を含む、請求項1から8のいずれか一項に記載の方法。 - 前記ポリシー構成命令に従って、指定されたルールを構成し、前記ポリシー構成命令に従って、前記指定されたルールの格納順序を構成する前記ステップが、
前記指定された送信元グループまたは前記指定された送信先グループが二次セキュリティグループである場合、第1のルールが構成されているかどうかを判断するステップであって、前記第1のルールは、前記指定された送信元グループの親グループと前記指定された送信先グループとの間のルール、前記指定された送信元グループと前記指定された送信先グループの親グループとの間のルール、または前記指定された送信元グループの親グループと前記指定された送信先グループの親グループとの間のルールである、ステップと、
前記第1のルールが構成されている場合、前記指定されたアクションインジケータが前記第1のルールに含まれるアクションインジケータと同一であるかどうかを判断するステップと、
前記指定されたアクションインジケータが前記第1のルールに含まれる前記アクションインジケータと同一である場合、前記指定されたルールの構成を禁止するステップと
を含む、請求項1から8のいずれか一項に記載の方法。 - 前記指定されたアクションインジケータが前記第1のルールに含まれるアクションインジケータと同一であるかどうかを判断する前記ステップの後、前記方法が、
前記指定されたアクションインジケータが前記第1のルールに含まれる前記アクションインジケータと競合する場合、前記指定された送信元グループ、前記指定された送信先グループ、および前記指定されたアクションインジケータに従って、前記指定されたルールを構成するステップと、
前記指定されたルールの前記格納順序が前記第1のルールの格納順序に先行することを設定するステップと
をさらに含む、請求項10に記載の方法。 - 前記指定されたルールの構成を禁止する前記ステップの後、前記方法が、
前記指定されたルールの構成が禁止されており、かつ前記指定されたルールが冗長ルールであることを管理者に促すための「構成禁止」プロンプト情報を表示するステップ
をさらに含む、請求項10または11に記載の方法。 - フロー制御装置であって、
複数のアドレス情報がそれぞれ属するホストの属性情報に従って、格納された前記複数のアドレス情報を少なくとも3つのセキュリティグループにグループ分けするように構成されたグループ分けモジュールであって、前記属性情報はホストのサービス種別またはホストのセキュリティクラスを含む、グループ分けモジュールと
検査されたセキュリティグループでは、高レベルのセキュリティグループが低レベルのセキュリティグループを完全に含み、かつ同じレベルのセキュリティグループが重複することなく互いに完全に独立しているように、前記少なくとも3つのセキュリティグループを検査するように構成された検査処理モジュールであって、前記レベルは、前記セキュリティグループが親グループ、子グループ、または独立したセキュリティグループのいずれであるかを示すために使用される、検査処理モジュールと、
ポリシー構成命令を受信するように構成された受信モジュールであって、前記ポリシー構成命令は、指定された送信元グループ、指定された送信先グループ、および指定されたアクションインジケータを運び、前記指定された送信元グループおよび前記指定された送信先グループは、前記検査されたセキュリティグループ内の2つの異なるセキュリティグループである、受信モジュールと、
前記ポリシー構成命令に従って、指定されたルールを構成し、前記ポリシー構成命令に従って、少なくとも2つのルールの格納順序を構成するように構成された構成モジュールであって、前記指定されたルールは、前記ポリシー構成命令に従って生成され、前記少なくとも2つのルールは、前記指定されたルールおよび別の構成されたルールを含み、前記少なくとも2つのルールの各々は、一致条件およびアクションインジケータを含み、前記受信モジュールが、前記少なくとも2つのルールが構成された後にデータパケットを受信するようにさらに構成され、前記データパケットは送信元アドレス情報および送信先アドレス情報を運ぶ、構成モジュールと、
フロー制御を実施するために、前記少なくとも2つのルールおよび前記少なくとも2つのルールの格納順序に従って、前記データパケットを処理するように構成されたパケット処理モジュールと
を備える装置。 - 前記検査処理モジュールが、
第1のセキュリティグループと複数の第2のセキュリティグループとの間に包含関係または重複関係が存在するかどうかを判断するように構成された判定ユニットであって、前記第1のセキュリティグループは、前記少なくとも3つのセキュリティグループ内の検査されていないセキュリティグループであり、前記複数の第2のセキュリティグループは、前記少なくとも3つのセキュリティグループ内の前記検査されたセキュリティグループであり、前記包含関係は、前記第1のセキュリティグループが前記第2のセキュリティグループのサブセットであること、または前記第2のセキュリティグループが前記第1のセキュリティグループのサブセットであることを意味し、前記重複関係は、前記第1のセキュリティグループと前記第2のセキュリティグループとの間に共通部分が存在し、前記第1のセキュリティグループが前記第2のセキュリティグループと等しくないことを意味する、判定ユニットと、
前記第1のセキュリティグループと前記複数の第2のセキュリティグループ内の少なくとも2つの第2のセキュリティグループとの間に包含関係が存在する場合、前記少なくとも2つの第2のセキュリティグループから第3のセキュリティグループとしてセキュリティグループを決定するように構成された決定ユニットと、
第1の確認プロンプト情報を表示するように構成された表示ユニットであって、前記第1の確認プロンプト情報は、前記第1のセキュリティグループと前記第3のセキュリティグループとの間の包含関係を処理するように管理者を促すために使用される、表示ユニットと、
前記第1の確認プロンプト情報に従って第1の処理命令が受信された場合、前記第1の処理命令に従って、前記第1のセキュリティグループと前記第3のセキュリティグループとの間の前記包含関係を処理するように構成された包含関係処理ユニットと
を備える、請求項13に記載の装置。 - 前記決定ユニットが、
前記第1のセキュリティグループが前記少なくとも2つの第2のセキュリティグループ内のすべてのセキュリティグループに含まれる場合、前記少なくとも2つの第2のセキュリティグループから、最も小さいアドレス範囲を有するセキュリティグループを選択するか、または前記第1のセキュリティグループが前記少なくとも2つの第2のセキュリティグループ内のすべてのセキュリティグループを含む場合、前記少なくとも2つの第2のセキュリティグループから、最も大きいアドレス範囲を有するセキュリティグループを選択するか、または前記第1のセキュリティグループが前記少なくとも2つの第2のセキュリティグループ内の少なくとも1つの第2のセキュリティグループに含まれ、かつ前記第1のセキュリティグループが前記少なくとも2つの第2のセキュリティグループ内の残りの第2のセキュリティグループをさらに含む場合、前記少なくとも1つの第2のセキュリティグループから、最も小さいアドレス範囲を有するセキュリティグループを選択するか、もしくは前記残りの第2のセキュリティグループから、最も大きいアドレス範囲を有するセキュリティグループを選択するように構成された選択サブユニットと、
選択された前記セキュリティグループを前記第3のセキュリティグループとして決定するように構成された決定サブユニットと
を備える、請求項14に記載の装置。 - 前記包含関係処理ユニットが、
前記第1の確認プロンプト情報に従って前記第1の処理命令が受信された場合、前記第1のセキュリティグループおよび前記第3のセキュリティグループから、前記第1の処理命令に従って、より大きなアドレス範囲を有するセキュリティグループを第4のセキュリティグループとして決定し、前記第1のセキュリティグループおよび前記第3のセキュリティグループから、より小さいアドレス範囲を有するセキュリティグループを第5のセキュリティグループとして決定するように構成された決定サブユニットと、
前記第1の処理命令が第1の分割命令である場合、前記第4のセキュリティグループから前記第5のセキュリティグループのアドレス情報と同一のアドレス情報を削除して、第1の子セキュリティグループを取得するように構成された削除サブユニットであって、前記第1の子セキュリティグループは、削除後に残ったアドレス情報を含む、削除サブユニットと、
前記第1の処理命令が継承命令である場合、前記第5のセキュリティグループを二次セキュリティグループとして設定し、前記第5のセキュリティグループを前記第4のセキュリティグループの子グループとして設定するように構成された設定サブユニットであって、前記二次セキュリティグループは、前記検査されたセキュリティグループ内の別のセキュリティグループとの包含関係を有するセキュリティグループである、設定サブユニットと
を備える、請求項14または15に記載の装置。 - 前記検査処理モジュールが、
前記第1のセキュリティグループと前記複数の第2のセキュリティグループ内の少なくとも2つの第2のセキュリティグループとの間に重複関係が存在する場合、前記少なくとも2つの第2のセキュリティグループから第6のセキュリティグループとしてセキュリティグループを選択するように構成された選択ユニットであって、前記表示ユニットが、第2の確認プロンプト情報を表示するようにさらに構成され、前記第2の確認プロンプト情報は、前記第1のセキュリティグループと前記第6のセキュリティグループとの間の重複関係を処理するように前記管理者を促すために使用される、選択ユニットと、
前記第2の確認プロンプト情報に従って第2の処理命令が受信された場合、前記第2の処理命令に従って、前記第1のセキュリティグループと前記第6のセキュリティグループとの間の前記重複関係を処理するように構成された重複関係処理ユニットと
をさらに備える、請求項14に記載の装置。 - 前記重複関係処理ユニットが、
前記第2の処理命令が前記第2の確認プロンプト情報に従って受信され、かつ前記第2の処理命令が旧グループを保持する命令である場合、前記第1のセキュリティグループ内にあり、かつ前記第6のセキュリティグループ内のアドレス情報と同一であるアドレス情報を第2の子セキュリティグループにグループ分けし、前記第2の子セキュリティグループ内のアドレス情報以外の前記第1のセキュリティグループ内の他のアドレス情報を第3の子セキュリティグループにグループ分けするように構成されたグループ分けサブユニットと、
前記第2の子セキュリティグループを二次セキュリティグループとして設定し、前記第2の子セキュリティグループを前記第6のセキュリティグループの子グループとして設定するように構成された設定サブユニットと
を備える、請求項17に記載の装置。 - 前記重複関係処理ユニットが、
前記第2の処理命令が前記第2の確認プロンプト情報に従って受信され、かつ前記第2の処理命令が新グループを保持する命令である場合、前記第6のセキュリティグループ内にあり、かつ前記第1のセキュリティグループ内のアドレス情報と同一であるアドレス情報を第4の子セキュリティグループにグループ分けし、前記第4の子セキュリティグループ内のアドレス情報以外の前記第6のセキュリティグループ内の他のアドレス情報を第5の子セキュリティグループにグループ分けするように構成されたグループ分けサブユニットと、
前記第4の子セキュリティグループを二次セキュリティグループとして設定し、前記第4の子セキュリティグループを前記第1のセキュリティグループの子グループとして設定するように構成された設定サブユニットと
を備える、請求項17に記載の装置。 - 前記重複関係処理ユニットが、
前記第2の処理命令が前記第2の確認プロンプト情報に従って受信され、前記第2の処理命令が第2の分割命令である場合、前記第1のセキュリティグループおよび前記第6のセキュリティグループ内の同一のアドレス情報、前記第6のセキュリティグループ内のアドレス情報と同一のアドレス情報以外の前記第1のセキュリティグループ内の他のアドレス情報、および前記第1のセキュリティグループ内のアドレス情報と同一のアドレス情報以外の前記第6のセキュリティグループ内の他のアドレス情報を、3つのセキュリティグループにそれぞれグループ分けするように構成されたグループ分けサブユニット
を備える、請求項17に記載の装置。 - 前記構成モジュールが、
前記指定された送信元グループと前記指定された送信先グループとの両方が一次セキュリティグループである場合、前記指定された送信元グループ、前記指定された送信先グループ、および前記指定されたアクションインジケータに従って、前記指定されたルールを構成するように構成された構成ユニットであって、前記指定されたルールおよび前記指定されたルールとは独立した前記別の構成されたルールの前記格納順序は、フロー制御に影響を与えず、前記一次セキュリティグループは、前記検査されたセキュリティグループ内の別のセキュリティグループとの包含関係または重複関係を有しない独立したセキュリティグループであり、前記指定されたルールおよび前記別の構成されたルールは、独立したセキュリティグループによって形成される、構成ユニット
を備える、請求項13から20のいずれか一項に記載の装置。 - 前記構成モジュールが、
前記指定された送信元グループまたは前記指定された送信先グループが二次セキュリティグループである場合、第1のルールが構成されているかどうかを判断するように構成された判定ユニットであって、前記第1のルールは、前記指定された送信元グループの親グループと前記指定された送信先グループとの間のルール、前記指定された送信元グループと前記指定された送信先グループの親グループとの間のルール、または前記指定された送信元グループの親グループと前記指定された送信先グループの親グループとの間のルールであり、前記判定ユニットは、前記第1のルールが構成されている場合、前記指定されたアクションインジケータが前記第1のルールに含まれるアクションインジケータと同一であるかどうかを判断するようにさらに構成されている、判定ユニットと、
前記指定されたアクションインジケータが前記第1のルールに含まれる前記アクションインジケータと同一である場合、前記指定されたルールの構成を禁止するように構成された構成禁止ユニットと
を備える、請求項13から20のいずれか一項に記載の装置。 - 前記構成モジュールが、
前記指定されたアクションインジケータが前記第1のルールに含まれる前記アクションインジケータと競合する場合、前記指定された送信元グループ、前記指定された送信先グループ、および前記指定されたアクションインジケータに従って、前記指定されたルールを構成するように構成された構成ユニットと、
前記指定されたルールの前記格納順序が前記第1のルールの格納順序に先行することを設定するように構成された設定ユニットと
をさらに備える、請求項22に記載の装置。 - 前記構成モジュールが、
前記指定されたルールの構成が禁止されており、かつ前記指定されたルールが冗長ルールであることを管理者に促すための「構成禁止」プロンプト情報を表示するように構成された表示ユニット
をさらに備える、請求項22または23に記載の装置。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510612886.XA CN106549793B (zh) | 2015-09-23 | 2015-09-23 | 流量控制方法及设备 |
CN201510612886.X | 2015-09-23 | ||
PCT/CN2016/097819 WO2017050112A1 (zh) | 2015-09-23 | 2016-09-01 | 流量控制方法及设备 |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2018517373A JP2018517373A (ja) | 2018-06-28 |
JP2018517373A5 JP2018517373A5 (ja) | 2019-03-28 |
JP6644399B2 true JP6644399B2 (ja) | 2020-02-12 |
Family
ID=58365687
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017564004A Active JP6644399B2 (ja) | 2015-09-23 | 2016-09-01 | フロー制御方法および装置 |
Country Status (5)
Country | Link |
---|---|
US (1) | US10742685B2 (ja) |
EP (1) | EP3282642B1 (ja) |
JP (1) | JP6644399B2 (ja) |
CN (1) | CN106549793B (ja) |
WO (1) | WO2017050112A1 (ja) |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107153565B (zh) * | 2016-03-03 | 2020-06-16 | 华为技术有限公司 | 配置资源的方法及其网络设备 |
US10666508B2 (en) * | 2017-06-09 | 2020-05-26 | Nicira, Inc. | Unified software defined networking configuration management over multiple hosting environments |
CN107547432B (zh) * | 2017-08-28 | 2019-09-06 | 新华三信息安全技术有限公司 | 一种流量控制方法及装置 |
US10819682B1 (en) * | 2018-06-04 | 2020-10-27 | Facebook, Inc. | Systems and methods for high-efficiency network-packet filtering |
CN110071841B (zh) * | 2019-04-30 | 2022-04-26 | 杭州迪普科技股份有限公司 | 检验流定义的配置信息方法和装置 |
US11552887B2 (en) * | 2019-08-07 | 2023-01-10 | Arista Networks, Inc. | System and method of processing packet classification with range sets |
CN112672348A (zh) * | 2019-09-27 | 2021-04-16 | 华为技术有限公司 | 安全控制方法、装置、设备、系统及存储介质 |
CN110768848B (zh) * | 2019-10-31 | 2022-07-01 | 杭州迪普科技股份有限公司 | 一种主备服务器切换方法及装置 |
CN113328973B (zh) | 2020-02-28 | 2022-09-23 | 华为技术有限公司 | 一种检测访问控制列表acl规则无效的方法和装置 |
CN113179252B (zh) * | 2021-03-30 | 2022-04-01 | 新华三信息安全技术有限公司 | 一种安全策略管理方法、装置、设备及机器可读存储介质 |
US20230412496A1 (en) * | 2022-06-21 | 2023-12-21 | Oracle International Corporation | Geometric based flow programming |
Family Cites Families (26)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7143438B1 (en) * | 1997-09-12 | 2006-11-28 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with multiple domain support |
US7636937B1 (en) * | 2002-01-11 | 2009-12-22 | Cisco Technology, Inc. | Method and apparatus for comparing access control lists for configuring a security policy on a network |
US7594262B2 (en) * | 2002-09-04 | 2009-09-22 | Secure Computing Corporation | System and method for secure group communications |
US7567510B2 (en) * | 2003-02-13 | 2009-07-28 | Cisco Technology, Inc. | Security groups |
US7530112B2 (en) * | 2003-09-10 | 2009-05-05 | Cisco Technology, Inc. | Method and apparatus for providing network security using role-based access control |
CN100359889C (zh) * | 2004-10-29 | 2008-01-02 | 江苏南大苏富特软件股份有限公司 | 基于策略树的报文分组过滤及管理方法 |
JP4791285B2 (ja) | 2006-08-04 | 2011-10-12 | 富士通株式会社 | ネットワーク装置およびフィルタリングプログラム |
JP4518070B2 (ja) | 2006-11-22 | 2010-08-04 | ヤマハ株式会社 | パケットフィルタの検証パケット発生方法、検証パケット発生装置、検証パケット発生プログラム、パケットフィルタのテスト方法、パケットフィルタのテスト装置 |
CN101127713B (zh) * | 2007-09-05 | 2011-04-06 | 华为技术有限公司 | 通用流量控制装置及流量控制方法 |
JP2009077030A (ja) | 2007-09-19 | 2009-04-09 | Nec Corp | ルール制御装置、ルール制御方法、および、ルール制御プログラム |
CN101119321B (zh) * | 2007-09-29 | 2010-11-03 | 杭州华三通信技术有限公司 | 网络流量分类处理方法及网络流量分类处理装置 |
US20090300748A1 (en) * | 2008-06-02 | 2009-12-03 | Secure Computing Corporation | Rule combination in a firewall |
EP2356777B1 (en) * | 2008-11-12 | 2016-06-29 | Citrix Systems, Inc. | Tool for visualizing configuration and status of a network appliance |
US20100199346A1 (en) * | 2009-02-02 | 2010-08-05 | Telcordia Technologies, Inc. | System and method for determining symantic equivalence between access control lists |
CN101640634B (zh) * | 2009-04-13 | 2012-02-15 | 山石网科通信技术(北京)有限公司 | 网络流量控制方法 |
US9009293B2 (en) | 2009-11-18 | 2015-04-14 | Cisco Technology, Inc. | System and method for reporting packet characteristics in a network environment |
JP5644150B2 (ja) * | 2010-03-23 | 2014-12-24 | 日本電気株式会社 | サービス提供システム、仮想マシンサーバ、サービス提供方法及びサービス提供プログラム |
US20120099591A1 (en) * | 2010-10-26 | 2012-04-26 | Dell Products, Lp | System and Method for Scalable Flow Aware Network Architecture for Openflow Based Network Virtualization |
US20140025796A1 (en) * | 2012-07-19 | 2014-01-23 | Commvault Systems, Inc. | Automated grouping of computing devices in a networked data storage system |
BR112016030177B1 (pt) * | 2014-06-24 | 2023-04-11 | Huawei Technologies Co., Ltd | Método de multidifusão, extremidade de aplicação e sistema de multidifusão para uma snd e controlador sdn |
CN104394080A (zh) * | 2014-11-28 | 2015-03-04 | 杭州华三通信技术有限公司 | 实现安全组功能的方法及装置 |
US9894100B2 (en) * | 2014-12-30 | 2018-02-13 | Fortinet, Inc. | Dynamically optimized security policy management |
WO2016130108A1 (en) * | 2015-02-10 | 2016-08-18 | Hewlett Packard Enterprise Development Lp | Network policy conflict detection and resolution |
US10924298B2 (en) * | 2015-02-11 | 2021-02-16 | Hewlett Packard Enterprise Development Lp | Network service chain construction |
US9825960B2 (en) * | 2015-05-29 | 2017-11-21 | Oracle International Corporation | System and method providing automatic pushdown hierarchical filters |
US9984100B2 (en) * | 2015-09-29 | 2018-05-29 | International Business Machines Corporation | Modification of images and associated text |
-
2015
- 2015-09-23 CN CN201510612886.XA patent/CN106549793B/zh active Active
-
2016
- 2016-09-01 EP EP16847994.7A patent/EP3282642B1/en active Active
- 2016-09-01 WO PCT/CN2016/097819 patent/WO2017050112A1/zh unknown
- 2016-09-01 JP JP2017564004A patent/JP6644399B2/ja active Active
-
2017
- 2017-12-29 US US15/858,330 patent/US10742685B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
WO2017050112A1 (zh) | 2017-03-30 |
JP2018517373A (ja) | 2018-06-28 |
EP3282642A4 (en) | 2018-04-11 |
US20180124118A1 (en) | 2018-05-03 |
US10742685B2 (en) | 2020-08-11 |
CN106549793B (zh) | 2020-08-07 |
EP3282642A1 (en) | 2018-02-14 |
CN106549793A (zh) | 2017-03-29 |
EP3282642B1 (en) | 2019-08-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6644399B2 (ja) | フロー制御方法および装置 | |
CN113169975B (zh) | 用于网络微分段和纳分段的安全规则的自动生成 | |
US7505463B2 (en) | Rule set conflict resolution | |
CN112219382B (zh) | 网络中的安全规则的保证 | |
US20190281088A1 (en) | Security mediation for dynamically programmable network | |
US9553845B1 (en) | Methods for validating and testing firewalls and devices thereof | |
US7760730B2 (en) | Rule set verification | |
Wen et al. | Towards a secure controller platform for openflow applications | |
US7512071B2 (en) | Distributed flow enforcement | |
US10659389B2 (en) | Efficient cascading of flow tables in software defined networks (SDN) | |
JP2018517373A5 (ja) | ||
US10374870B2 (en) | Efficient access control for trigger events in SDN | |
CN113596033B (zh) | 访问控制方法及装置、设备、存储介质 | |
US11245611B2 (en) | Analysis of routing policy application to routes | |
US20180167337A1 (en) | Application of network flow rule action based on packet counter | |
US10057291B1 (en) | Comparing networking access control lists | |
Leng et al. | A lightweight policy enforcement system for resource protection and management in the SDN-based cloud | |
Klaedtke et al. | Towards an access control scheme for accessing flows in SDN | |
CN113098852A (zh) | 一种日志处理方法及装置 | |
Diekmann et al. | Semantics-preserving simplification of real-world firewall rule sets | |
WO2020073750A1 (zh) | 终端攻击防御方法、装置、终端及云服务器 | |
Leng et al. | SDNKeeper: Lightweight resource protection and management system for SDN-based cloud | |
Abramov et al. | Automated method for constructing of network traffic filtering rules | |
GB2415342A (en) | Splitting a unified packet flow rule set into subsets for plural enforcement devices |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20171208 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20171208 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20181102 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20181119 |
|
A524 | Written submission of copy of amendment under article 19 pct |
Free format text: JAPANESE INTERMEDIATE CODE: A524 Effective date: 20190215 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20190527 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190927 |
|
A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20191003 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20191209 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200106 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6644399 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |