RU2757297C1 - Способ работы кластера шлюзов безопасности - Google Patents

Способ работы кластера шлюзов безопасности Download PDF

Info

Publication number
RU2757297C1
RU2757297C1 RU2021110887A RU2021110887A RU2757297C1 RU 2757297 C1 RU2757297 C1 RU 2757297C1 RU 2021110887 A RU2021110887 A RU 2021110887A RU 2021110887 A RU2021110887 A RU 2021110887A RU 2757297 C1 RU2757297 C1 RU 2757297C1
Authority
RU
Russia
Prior art keywords
network
port
packet
address
transport
Prior art date
Application number
RU2021110887A
Other languages
English (en)
Inventor
Олег Юрьевич Гузев
Леонид Анатольевич Тычина
Original Assignee
Акционерное Общество "Информационные Технологии И Коммуникационные Системы"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Акционерное Общество "Информационные Технологии И Коммуникационные Системы" filed Critical Акционерное Общество "Информационные Технологии И Коммуникационные Системы"
Priority to RU2021110887A priority Critical patent/RU2757297C1/ru
Application granted granted Critical
Publication of RU2757297C1 publication Critical patent/RU2757297C1/ru

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/1013Network architectures, gateways, control or user entities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Multimedia (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Изобретение относится к области сетевых технологий. Технический результат заключается в возможности масштабирования сетевых функций; увеличении скорости обработки сетевых пакетов в коммутаторе; и обеспечении возможности защищенного взаимодействия кластера с внешними шлюзами безопасности и с защищенными клиентами. Способ работы кластера шлюзов безопасности (ШБ) включает следующие операции: формирование ключевой информации для ШБ; выделение двух IP- и MAC-адресов для ШБ, диапазонов туннелируемых ШБ IP-адресов, IP-адреса для устройств кластера, семь физических портов на коммутаторе, уникальный диапазон транспортных портов для каждого ШБ, шесть уровней приоритета для правил таблицы потоков коммутатора; формирование правил фильтрации трафика и правил трансляции IP-адресов для ШБ; выбор ШБ в качестве ведущего ШБ кластера (ВШБ) и контроллера; выбор выделенного ШБ для обработки пакетов, имеющих транспортный протокол, отличный от TCP/UDP; формирование набора статических правил обработки сетевых пакетов для коммутатора; включение всех ШБ и загрузку на каждый ключевой информации, настройку IP-, МАС-адресов, диапазонов туннелируемых IP-адресов, правил фильтрации трафика и трансляции IP-адресов; настройку на всех ШБ, кроме ВШБ, IP-адреса ВШБ из служебной сети; задание в конфигурационном файле ВШБ промежутка времени неактивности динамических правил обработки сетевых пакетов; включение коммутатора и настройку собственного IP-адреса и IP-адреса ВШБ из служебной сети, регистрацию коммутатора в контроллере; загрузку в таблицу потоков коммутатора наборов статических правил обработки сетевых пакетов; включение кластера в рабочий режим для обработки трафика между сетями 1 и 2. 1 ил., 1 табл.

Description

Область техники, к которой относится изобретение
Предлагаемое изобретение относится к области сетевых технологий, программно-конфигурируемых сетей и защиты информации.
Уровень техники
Все больше современных коммутаторов поддерживают технологию Open-Flow и подобные ей открытые стандарты, позволяющие централизованно управлять (Control Plane) процессом обработки сетевого трафика (Forwarding Plane) на коммутаторах. Технология OpenFlow дает достаточно возможностей для создания балансировщика сетевого трафика, который бы позволил масштабировать сетевые функции шлюза безопасности почти линейно. К указанным сетевым функциям в первую очередь можно отнести: маршрутизацию, фильтрацию трафика, трансляцию IP-адресов, шифрование трафика. Задача создания кластера (горизонтального масштабирования) шлюзов безопасности является актуальной, а ее решение позволит минимизировать капитальные затраты при расширении канала связи между защищаемой сетью и внешним миром.
Известен метод балансировки нагрузки с использованием программно-конфигурируемых сетей, являющийся составной частью способа (патент РФ №2576488, приоритет от 17.02.2015 г.), согласно которому транзитная сеть, построенная на базе технологии программно-конфигурируемых сетей (ПКС), включает следующие основные компоненты: OpenFlow-коммутаторы (барьерные коммутаторы), серверы верификации приходящего извне сети трафика, контроллер ПКС, сервер аутентификации. Транзитная сеть является промежуточным звеном передачи пакетов между пользовательскими терминалами и защищаемыми серверами.
Структура контроллера включает в себя следующие блоки: блок сбора статистики, блок управления присутствием, блок генерации правил маршрутизации, блок переопределения адресов, коммутационный блок. Балансировка нагрузки осуществляется на основании статистики загрузки, которая собирается блоком сбора статистики путем опроса барьерных коммутаторов и серверов верификации через равные заданные промежутки времени. Статистические данные, получаемые контроллером от барьерных коммутаторов, представляют собой значения счетчиков входящих пакетов, а от серверов верификации - общая загрузка процессора и расход оперативной памяти. На основании этих данных реализуются методы равномерного распределения нагрузки, блок генерации правил маршрутизации генерирует правила маршрутизации и пересылает их на барьерные коммутаторы. Блок управления присутствием отвечает за отслеживание появления новых коммутаторов и серверов верификации в транзитной сети и перевод в «спящий» режим простаивающих серверов верификации. Блок реализует стратегию максимального использования ресурсов, смысл которой заключается в уплотнении задач верификации пакетов на серверах верификации и выведения из процесса простаивающего оборудования. Решение о переводе в «спящий» режим производится на основании статистики, получаемой от блока сбора статистики. Блок переназначения адреса используется при инициализации сети и отвечает за отправку барьерным коммутаторам команд на изменение своего IP-адреса.
Барьерные коммутаторы представляют собой управляемые коммутаторы, поддерживающие протокол OpenFlow 1.3, и включают следующие основные компоненты: репозиторий правил маршрутизации, блок управления пакетами, блок обработки команд от контроллера, блок переназначения адреса. Основная задача коммутаторов заключается в распределении входящих пакетов на сервера верификации на основании правил, содержащихся в репозиторий правил маршрутизации. Блок обработки команд является центральным в структуре коммутатора и предназначен для обработки управляющих команд от контроллера ПКС.
Принцип работы транзитной сети заключается в следующем. Пользовательский терминал посылает сетевой пакет одному из барьерных коммутаторов. Пусть среди правил маршрутизации барьерного коммутатора отсутствует правило для обработки пакетов от данного пользовательского терминала. В результате, коммутатор отсылает заголовок пакета контроллеру. Сам пакет сохраняется на барьерном коммутаторе в ожидании управляющих команд от контроллера. Последний принимает пакет и, опираясь на статистику загрузки серверов верификации, генерирует правило маршрутизации, согласно которому все пакеты, приходящие от данного пользовательского терминала, будут перенаправляться соответствующему серверу верификации. Данное правило по каналу управления передается коммутатору. После этого сохраненные в кэше коммутатора пакеты потока отправляются выбранному серверу верификации. Далее выполняется анализ пакета на сервере верификации и, в случае его легитимности, дальнейшая маршрутизация пакета целевому защищаемому серверу. Обратный трафик от сервера возвращается пользовательскому терминалу по тому же самому маршруту.
Описанный способ имеет следующие недостатки:
• не масштабирует такие сетевые функции, как: трансляция IP-адресов, шифрование трафика;
• не предусматривает алгоритм инициации соединений из защищаемой сети во внешние сети.
Известен способ создания защищенного L2-соединения между сетями с коммутацией пакетов (патент РФ №2694585, приоритет от 11.10.2018 г.), согласно которому в соединяемых сетях установлены: управляемые коммутаторы, контроллер, криптографические маршрутизаторы (криптомаршрутизаторы), рабочие станции. В задачи управляемых коммутаторов помимо прочего входит: обмен управляющими сообщениями с контроллером по установленному протоколу управления, хранение в оперативной памяти трех таблиц потоков и выполнение обработки сетевых пакетов по этим таблицам. В задачи контроллера помимо прочего входит: формирование таблиц потоков, обмен управляющими сообщениями с коммутаторами по установленному протоколу управления, запрос и анализ информации от других сетевых устройств. В задачи криптографических маршрутизаторов помимо прочего входит: загрузка ключевой информации; маршрутизация, шифрование и расшифрование сетевых пакетов; ответы на запросы информации от контроллера. Каждый криптографический маршрутизатор обладает уникальным ключевым набором и туннелируемым диапазоном IP-адресов. После первичной настройки всех устройств и загрузки на коммутаторы таблиц потоков с начальными статическими правилами начинается обмен полезным трафиком между сетями и дальнейшее построение таблиц потоков на основании анализа этого трафика.
Описанный способ базируется на технологии программно-конфигурируемых сетей и может быть реализован с использованием протокола OpenFlow. Также способ позволяет обслуживать случаи миграции виртуальных машин между сетями благодаря использованию таймаута неактивности правил коммутации, динамически устанавливаемых в таблицы потоков, распределяющих трафик коммутаторов.
Этот способ принимается в качестве прототипа. Однако, известный способ имеет следующие недостатки:
• не предусмотрено масштабирование такой сетевой функции, как трансляция IP-адресов;
• используется три таблицы потоков, что снижает скорость обработки сетевых пакетов в коммутаторах;
• не описан алгоритм взаимодействия криптомаршрутизаторов и внешних защищенных конечных устройств (клиентов).
Раскрытие изобретения
Техническим результатом является:
1) обеспечение возможности работы кластера шлюзов безопасности для одновременного масштабирования сетевых функций: маршрутизация, фильтрация сетевых пакетов, трансляция IP-адресов, шифрование трафика;
2) увеличение скорости обработки сетевых пакетов в коммутаторе за счет использования только одной таблицы потоков;
3) обеспечение возможности защищенного взаимодействия кластера, как с внешними шлюзами безопасности, так и с защищенными клиентами.
Для этого предлагается способ работы кластера шлюзов безопасности, установленного между защищаемой и внешней сетями, причем кластер включает:
• коммутатор, подключенный к защищаемой сети (сеть 1), внешней сети (сеть 2), внутренней локальной сети цифровой передачи служебных данных кластера (служебная сеть) и выполненный с возможностью:
Figure 00000001
принимать и посылать сетевые пакеты;
Figure 00000002
обмениваться по служебной сети управляющими сообщениями по установленному протоколу управления;
Figure 00000003
вычислять значение хеш-функции от параметров: IP-адрес отправителя пакета, IP-адрес получателя пакета (кортеж пакета) и на основании этого значения вычислять номер порта из заданного диапазона портов;
Figure 00000004
хранить в оперативной памяти одну таблицу потоков и выполнять обработку сетевых пакетов при помощи этой таблицы;
• по крайней мере, два шлюза безопасности (ШБ), подключенные к коммутатору и к служебной сети;
причем каждый ШБ имеет в составе, по крайней мере, один процессор и выполнен с возможностью:
• принимать и посылать сетевые пакеты;
• загружать ключевую информацию;
• настраивать на сетевых интерфейсах IP-адреса и МАС-адреса;
• настраивать диапазоны туннелируемых IP-адресов;
• выполнять сетевые функции маршрутизации и фильтрации сетевых пакетов данных, трансляцию IP-адресов и шифрование трафика;
• обмениваться контекстами своих соединений с другими ШБ на основании данных из заголовков сетевых пакетов;
• выполнять функцию контроллера кластера (контроллер), обеспечивающую возможность:
Figure 00000005
анализировать заголовки сетевых пакетов;
Figure 00000006
формировать правила обработки сетевых пакетов;
Figure 00000007
обмениваться по служебной сети управляющими сообщениями с коммутатором и другими ШБ по установленным протоколам управления;
способ заключается в том, что:
• формируют ключевую информацию для ШБ;
• выделяют:
Figure 00000008
два IP-адреса (из сети 1, из сети 2) для всех ШБ;
Figure 00000009
два МАС-адреса для всех ШБ;
Figure 00000010
диапазоны туннелируемых шлюзами безопасности IP-адресов;
Figure 00000011
один IP-адрес (из служебной сети) для каждого устройства кластера;
Figure 00000012
по крайней мере, семь физических портов (портов) на коммутаторе: один порт для подключения сети 1 (порт сети 1), один порт для подключения сети 2 (порт сети 2), два порта для подключения каждого ШБ, один порт для подключения служебной сети;
Figure 00000013
диапазон портов транспортного уровня (транспортных портов) для использования во внешних заголовках зашифрованного трафика (диапазон транспортных портов зашифрованного трафика);
Figure 00000014
уникальный диапазон транспортных портов для каждого ШБ (диапазон транспортных портов ШБ);
Figure 00000015
шесть уровней приоритета для правил таблицы потоков коммутатора, с условной нумерацией от 1 до 6, причем, при выполнении для сетевого пакета одновременно нескольких правил, выбор правила осуществляют следующим образом:
Figure 00000016
если правила имеют разный приоритет, то используют правило с большим приоритетом (большим числом);
Figure 00000017
если правила имеют одинаковый приоритет, то используют правило, которое было добавлено в таблицу потоков ранее;
• формируют правила фильтрации трафика и правила трансляции IP-адресов для ШБ;
• выбирают ШБ, который будет выполнять роль ведущего ШБ кластера (ВШБ) и контроллера;
• выбирают выделенный ШБ, отличный от ВШБ, который будет обрабатывать пакеты, имеющие транспортный протокол, отличный от TCP/UDP;
• формируют набор статических правил обработки сетевых пакетов для коммутатора;
• включают все ШБ;
• выполняют на каждом ШБ следующие действия:
Figure 00000018
загружают ключевую информацию;
Figure 00000019
настраивают IP-адреса и МАС-адреса;
Figure 00000020
настраивают диапазоны туннелируемых IP-адресов;
Figure 00000021
настраивают правила фильтрации трафика и правила трансляции IP-адресов;
• настраивают на всех ШБ, кроме ВШБ, IP-адрес ВШБ из служебной сети;
• задают в конфигурационном файле ВШБ промежуток времени неактивности динамических правил обработки сетевых пакетов (таймаут неактивности);
• включают коммутатор;
• настраивают на коммутаторе собственный IP-адрес из служебной сети, а также IP-адрес ВШБ из служебной сети;
• регистрируют коммутатор в контроллере;
• загружают в таблицу потоков коммутатора следующий набор статических правил обработки сетевых пакетов для масштабирования функций маршрутизации и фильтрации пакетов:
Figure 00000022
все пакеты, принятые в порту сети 1 и имеющие IP-адрес получателя, равный IP-адресу ШБ из сети 1, и транспортный протокол, и транспортный порт получателя, соответствующие сервису, который должен выполняться в ВШБ, отправлять в ВШБ (приоритет 6);
Figure 00000023
все пакеты, принятые в порту сети 2 и имеющие IP-адрес получателя, равный IP-адресу ШБ из сети 2, и транспортный протокол, и транспортный порт получателя, соответствующие сервису, который должен выполняться в ВШБ, отправлять в ВШБ (приоритет 6);
Figure 00000023
все пакеты, принятые в порту сети 1 и имеющие транспортный протокол отличный от TCP/UDP, отправлять в выделенный для таких пакетов ШБ (приоритет 3);
Figure 00000024
все пакеты, принятые в порту сети 2 и имеющие транспортный протокол отличный от TCP/UDP, отправлять в выделенный для таких пакетов ШБ (приоритет 3);
Figure 00000025
все пакеты протокола ARP, принятые в порту сети 1, отправлять широковещательно во все ШБ (приоритет 3);
Figure 00000026
все пакеты протокола ARP, принятые в порту сети 2, отправлять широковещательно во все ШБ (приоритет 3);
Figure 00000027
все широковещательные пакеты, принятые в порту сети 1, отправлять широковещательно во все ШБ (приоритет 3);
Figure 00000028
все широковещательные пакеты, принятые в порту сети 2, отправлять широковещательно во все ШБ (приоритет 3);
Figure 00000029
все мультикаст-пакеты, принятые в порту сети 1, отправлять широковещательно во все ШБ (приоритет 3);
Figure 00000030
все мультикаст-пакеты, принятые в порту сети 2, отправлять широковещательно во все ШБ (приоритет 3);
Figure 00000031
все пакеты, принятые в порту сети 1, отправлять в ШБ на основании значения хэш-функции от кортежа пакета (приоритет 2);
Figure 00000032
все пакеты, принятые в порту сети 2, отправлять в ШБ на основании значения хэш-функции от кортежа пакета (приоритет 2);
Figure 00000033
все пакеты, полученные от сетевых интерфейсов ШБ, принадлежащих сети 1, отправлять в порт сети 1 (приоритет 2);
Figure 00000034
все пакеты, полученные от сетевых интерфейсов ШБ, принадлежащих сети 2, отправлять в порт сети 2 (приоритет 2);
Figure 00000035
все пакеты отбрасывать (приоритет 1);
• загружают в таблицу потоков коммутатора следующий набор статических правил обработки сетевых пакетов для масштабирования функции трансляция IP-адресов:
Figure 00000036
все пакеты, принятые в порту сети 1 и имеющие IP-адрес отправителя из диапазона частных адресов, для которых должна выполняться трансляция Source NAT (SNAT), и транспортный порт отправителя из диапазона транспортных портов ШБ, отправлять в ШБ, которому принадлежит указанный диапазон транспортных портов (приоритет 4);
Figure 00000037
все пакеты, принятые в порту сети 2 и имеющие IP-адрес получателя равный IP-адресу ШБ из сети 2, который используется в правилах трансляции SNAT, и транспортный порт получателя из диапазона транспортных портов ШБ, отправлять в ШБ, которому принадлежит указанный диапазон транспортных портов (приоритет 4);
Figure 00000038
все пакеты, принятые в порту сети 2 и имеющие параметры: IP-адрес получателя, транспортный протокол, транспортный порт получателя, равные указанным в правилах трансляции Destination NAT (DNAT), отправлять в ШБ, в диапазон транспортных портов которого попадает транспортный порт отправителя пакета (приоритет 4);
Figure 00000039
все пакеты, принятые в порту сети 1 и имеющие параметры: IP-адрес отправителя, транспортный протокол, транспортный порт отправителя, равные указанным в правилах трансляции DNAT, отправлять в ШБ, в диапазон транспортных портов которого попадает транспортный порт получателя пакета (приоритет 4);
• загружают в таблицу потоков коммутатора набор статических правил обработки сетевых пакетов для масштабирования функции шифрования трафика:
Figure 00000040
все пакеты, принятые в порту сети 2 и имеющие IP-адрес получателя, равный IP-адресу ШБ из сети 2 и транспортный порт получателя из диапазона транспортных портов зашифрованного трафика, отправлять в ШБ на основании значения хэш-функции от кортежа пакета (приоритет 5);
• включают кластер в рабочий режим для обработки трафика между сетями 1 и 2;
• если в порт сети 1 коммутатора получают открытый пакет, для которого в ШБ должна быть выполнена трансляция SNAT, и транспортный порт отправителя которого оказался в диапазоне транспортных портов зашифрованного трафика, то выполняют следующие действия:
Figure 00000041
передают пакет в ШБ, выбранный на основании значения хэш-функции от кортежа пакета;
Figure 00000042
в выбранном ШБ транслируют IP-адрес отправителя пакета согласно правилу трансляции SNAT, а также транспортный порт отправителя пакета таким образом, чтобы новый транспортный порт отправителя был первым по порядку свободным портом из диапазона транспортных портов выбранного ШБ;
Figure 00000043
после обработки пакета в выбранном ШБ отправляют пакет в коммутатор и далее по назначению в сеть 2;
• если в порт сети 2 коммутатора получают зашифрованный пакет от защищенного узла сети 2, то выполняют следующие действия:
Figure 00000044
передают пакет в ШБ, выбранный на основании значения хэш-функции от кортежа пакета;
Figure 00000045
расшифровывают пакет в выбранном ШБ;
Figure 00000046
если пакет является первым пакетом нового потока от защищенного узла, и для него не существует контекст соединения в выбранном ШБ, то выполняют следующие действия:
Figure 00000047
если выбранный ШБ не является ВШБ, то по служебной сети передают информацию о пакете в ВШБ;
Figure 00000048
анализируют заголовки пакета в контроллере;
Figure 00000049
если IP-адрес отправителя внутреннего заголовка пакета является адресом защищенного узла, то с помощью контроллера добавляют в таблицу потоков коммутатора следующее правило с тай-маутом неактивности:
все пакеты, принятые в порту сети 1 и имеющие IP-адрес получателя, равный адресу защищенного узла из сети 2, отправлять в выбранный ШБ, в который ранее пришел пакет от этого защищенного узла (приоритет 5);
Figure 00000050
если IP-адрес отправителя внутреннего заголовка пакета является адресом туннелируемого ресурса защищенного узла, то с помощью контроллера добавляют в таблицу потоков коммутатора правило с таймаутом неактивности:
все пакеты, принятые в порту сети 1 и имеющие IP-адрес получателя из туннелируемого диапазона защищенного узла из сети 2, отправлять в выбранный ШБ, в который ранее пришел пакет от этого защищенного узла (приоритет 5);
Figure 00000051
проверяют с помощью контроллера, существует ли на каком-либо ШБ, отличном от выбранного ШБ, принявшего пакет, контекст соединения для потока пакетов из сети 1 к данному защищенному узлу или его туннелируемому ресурсу;
Figure 00000052
если контекст соединения существует, то с помощью контроллера передают по служебной сети команду переслать контекст соединения на выбранный ШБ, принявший пакет; иначе в выбранном ШБ, принявшем пакет, создают контекст соединения с тай-маутом неактивности, равным таймауту неактивности динамических правил в таблице потоков коммутатора;
Figure 00000053
после обработки пакета в выбранном ШБ отправляют пакет в коммутатор и далее по назначению в сеть 1.
Отличительные особенности предложенного способа заключаются в следующем.
Предложенный способ, помимо прочего, использует технологию ПКС, согласно которой логика обработки трафика выносится в централизованный контроллер, а коммутаторы заняты только коммутацией потоков трафика на основании таблиц потоков, загружаемых в них контроллером по установленному протоколу управления (например, OpenFlow).
В предложенном способе все шлюзы безопасности имеют идентичные IP-адреса, МАС-адреса, ключевые наборы, диапазоны туннелируемых IP-адресов, настройки межсетевого экрана, правила трансляции IP-адресов. Исключение составляют IP-адреса и МАС-адреса интерфейсов, подключенных к служебной сети кластера, которые должны быть уникальны в пределах своей локальной сети.
Распределение сетевых пакетов в коммутаторе происходит на основании результата хеш-функции от кортежа (набор данных, в состав которых входит IP-адрес отправителя, IP-адрес получателя) заголовка пакета (кортеж пакета), а также на основании статических и динамических правил коммутации.
Максимальное количество объединяемых в кластер шлюзов безопасности зависит только от количества свободных портов в коммутаторе.
Для реализации способа на одном шлюзе безопасности должна быть активна функция контроллер. Также все шлюзы безопасности должны поддерживать функцию передачи контекстов соединений между собой. Под контекстом соединения подразумевается результат обработки первых пакетов соединения в шлюзе безопасности.
Коммутатор выполняет только коммутацию сетевых пакетов с помощью таблицы потоков без какой-либо модификации заголовков пакетов. Все остальные манипуляции с пакетами выполняются в шлюзах безопасности.
Контроллеры двух взаимодействующих кластеров работают независимо друг от друга и управляют только устройствами своего кластера.
Максимальное количество внешних защищенных узлов и туннелируемых ресурсов, с которыми может одновременно взаимодействовать кластер, зависит от максимальной емкости таблицы потоков коммутатора, в которую добавляются динамические правила для узлов защищенной сети.
Шлюзы безопасности кластера могут быть разных моделей, разной производительности, иметь разные версии операционной системы. Главное требование - возможность загрузить на все шлюзы безопасности кластера один ключевой набор.
Шлюзы безопасности кластера могут взаимодействовать друг с другом только по служебной сети. Все остальные коммуникации между ними запрещены.
Следующие подготовительные действия и настройки в шлюзах безопасности и коммутаторе выполняют стандартным для сетевых устройств образом:
• формирование и настройка правил фильтрации сетевых пакетов и правил трансляции IP-адресов;
• формирование и загрузка ключевой информации;
• выделение и настройка на сетевых интерфейсах IP и МАС-адресов;
• выделение и настройка диапазонов туннелируемых IP-адресов;
• настройка служебного IP-адреса контроллера.
Один из шлюзов безопасности кластера выполняет функцию ведущего шлюза безопасности и контроллера. Выбор ведущего шлюза безопасности осуществляют по следующему алгоритму:
• выбирают шлюз безопасности, обладающий наиболее мощным процессором;
• если на всех шлюзах безопасности установлены одинаковые процессоры, то выбирают шлюз безопасности, обладающий наибольшим количеством оперативной памяти;
• если на всех шлюзах безопасности установлено одинаковое количество оперативной памяти, то выбирают шлюз безопасности, на котором используется операционная система наиболее поздней версии;
• если на всех шлюзах безопасности используется одинаковая операционная система одной и той же версии, то выбирают шлюз безопасности, подключенный к порту коммутатора с наименьшим номером.
В случае, когда контроллер добавляет в таблицу потоков коммутатора динамическое правило коммутации пакетов, для данного правила устанавливают тай-маут неактивности - промежуток времени, после которого правило удаляется из таблицы потоков, если в течение этого времени не было ни одного сетевого пакета, обработанного данным правилом. Таймаут неактивности настраивают в конфигурационном файле ведущего шлюза безопасности на этапе инициализации кластера.
Заявленный технический результат достигается благодаря следующему:
Figure 00000054
клиентские порты транспортного уровня разделены на следующие непересекающиеся диапазоны: диапазон портов защищенного трафика, диапазон портов каждого шлюза безопасности, указанные диапазоны используются в правилах таблицы потоков коммутатора для классификации сетевых пакетов и в результате корректной коммутации;
Figure 00000055
в части правил таблицы потоков коммутатора для выбора порта для отправки пакета используется хеш-функция от кортежа пакета, что сокращает количество правил, необходимых для реализации способа;
Figure 00000056
используются 6 уровней приоритета правил для таблицы потоков коммутатора;
Figure 00000057
для реализации функций Source NAT и Destination NAT используются независимые друг от друга алгоритмы;
Figure 00000058
для коммутации пакетов от туннелируемых ресурсов внешних шлюзов безопасности и защищенных клиентов используются правила с различными критериями отбора пакетов.
Краткое описание чертежей
На фигуре графического изображения приведена схема кластера шлюзов безопасности, соединяющего две сети. Используются следующие обозначения:
1 - внутренняя (защищаемая) сеть,
2 - внешняя (открытая) сеть,
3 - служебная сеть кластера,
4 - коммутатор,
5, 6 - шлюзы безопасности.
Осуществление изобретения
Предлагаемый способ может быть реализован в следующей программно-аппаратной среде.
В качестве коммутатора 4 может быть использован любой L2-коммутатор, имеющий достаточное количество портов требуемой емкости, поддерживающий функцию коммутации сетевых пакетов на основании хеш-функции от кортежа (IP-адрес отправителя, IP-адрес получателя) заголовка пакета, поддерживающий технологию удаленного управления и формирования таблиц потоков со стороны внешнего контроллера (например, технологию OpenFlow). Для создания кластера на коммутаторе 4 требуются следующие порты:
• порты 1/10G для подключения шлюзов безопасности - 2*N шт., где N - количество шлюзов безопасности кластера;
• порты 10/25/40/100G для подключения к внутренней и внешней сетям - 2 шт.;
• порт 1G для подключения к служебной сети - 1 шт.
Варианты коммутаторов, которые могут быть использованы для создания коммутатора 4, могут быть выбраны среди готовых изделий (например, материал по адресу: https://www.nvidia.com/en-us/networking/ethemet-switching/).
Программно-аппаратное обеспечение шлюзов безопасности 5-6 может быть различным, так как предлагаемый способ не привязан к шлюзам безопасности конкретной модели или производительности. Специфические требования заключаются в том, что шлюз безопасности должен поддерживать функцию контроллер кластера и возможность передачи контекстов соединений другим шлюзам безопасности кластера. Также, для создания кластера на каждом шлюзе безопасности требуются следующие порты:
• порты 1/10G для подключения к коммутатору 4-2 шт.;
• порт 1G для подключения к служебной сети - 1 шт.
Варианты шлюзов безопасности, которые могут быть использованы в предлагаемой схеме, могут быть выбраны среди готовых изделий (например, материал по адресу: https://infotecs.ru/product/setevye-komponenty/vipnet-coordinator-hw/).
На фигуре графического изображения представлена схема кластера шлюзов безопасности, соединяющего внутреннюю защищенную сеть 1 и внешнюю открытую сеть 2.
Внутренняя сеть 1 может быть представлена корпоративной сетью или сетью ЦОД. Внешняя сеть 2 может быть представлена сетью Интернет. Сеть 3 является изолированной служебной сетью кластера и служит только для служебных коммуникаций внутри кластера. Как в сети 1, так и в сети 2 могут располагаться открытые и защищенные узлы, а также туннелируемые ресурсы (в сети 2 за другим шлюзом безопасности), коммуникации между которыми осуществляются через кластер.
Каждый шлюз безопасности 5, 6 подключен к коммутатору 4 при помощи двух портов. Все шлюзы безопасности и коммутатор подключены к служебной сети 3.
Далее рассмотрим вариант реализации способа.
1. В качестве коммутатора 4 может быть выбран коммутатор Mellanox SN2410 (https://www.mellanox.com/related-docs/prod_eth_switches/PB_SN2410.pdf), который обладает всем необходимым для реализации способа функционалом, а также поддерживает протокол OpenFlow 1.3 для управления со стороны внешнего контроллера. Сформировать конфигурацию коммутатора, необходимую для реализации способа, может специалист (инженер), компетентный в области сетевых технологий и программно-конфигурируемых сетей.
2. В качестве шлюзов безопасности 5-6 может быть выбран шлюз безопасности ViPNet Coordinator HW1000 Q6 (https://infotecs.ru/product/vipnet-coordinator-hw-4.html#soft, раздел Модификации) с усовершенствованной операционной системой для выполнения функции контроллер. Все остальные, необходимые для реализации способа функции, обеспечиваются стандартной операционной системой шлюза безопасности. Сформировать конфигурации шлюзов безопасности и программы, необходимые для реализации способа, может специалист в области программирования (программист), компетентный в области сетевых технологий и программно-конфигурируемых сетей.
3. Поскольку в предлагаемом способе все шлюзы безопасности используют идентичную ключевую информацию, необходимо с использованием внешней системы управления защищенной сетью ViPNet Administrator (https://infotecs.ru/product/vipnet-administrator-4-.html#docs) сформировать один набор ключевой информации. Данную задачу может выполнить специалист (инженер) в области защиты информации, технологии ViPNet и сетевых технологий.
4. В шлюзах безопасности 5, 6 (в таблице 1 и далее - ШБ1 и ШБ2 соответственно) и коммутаторе 4 порты выбираются согласно данным табл.1. Также выделяются IP и MAC адреса для тех портов, которые выполняют функцию интерфейсов сетевого уровня (сетевых интерфейсов).
Figure 00000059
Figure 00000060
5. Все шлюзы безопасности кластера имеют идентичные диапазоны туннелируемых IP-адресов (туннелируемые диапазоны). В качестве туннелируемого диапазона ШБ1 и ШБ2 выбираются IP-адреса: 192.168.1.2-192.168.1.254.
6. В качестве диапазона портов транспортного уровня (транспортных портов) для использования во внешних заголовках зашифрованного трафика выбираются порты: 55701-55800.
7. В качестве диапазона транспортных портов ШБ1 выбираются порты: 1024-33229.
8. В качестве диапазона транспортных портов ШБ2 выбираются порты: 33230-55700, 55801-65535.
9. Правила фильтрации трафика формируются стандартным образом и полностью определяются политикой безопасности сети 1.
10. В качестве правила трансляции IP-адресов Source NAT (SNAT) используется правило: транслировать все IP-адреса отправителя из диапазона 192.168.1.2-192.168.1.254 в один внешний адрес шлюзов безопасности 192.168.2.1. При этом в таблицу трансляций также заносится транспортный порт отправителя пакета (технология Port Address Translation).
11. Правила трансляции IP-адресов Destination NAT (DNAT) формируются стандартным образом и полностью определяются структурой сети 1 и назначением ее хостов. В правилах используется внешний адрес шлюзов безопасности 192.168.2.1.
12. Поскольку в данном примере все шлюзы безопасности имеют одинаковую программно-аппаратную конфигурацию, на роль ведущего шлюза безопасности (ВШБ) кластера и контроллера выбирается шлюз, подключенный к порту коммутатора с наименьшим номером, т.е. ШБ1.
13. Для обработки сетевых пакетов, имеющих транспортный протокол, отличный от TCP/UDP, выбирается шлюз, отличный от ВШБ, т.е. ШБ2.
14. Формируется набор статических правил обработки сетевых пакетов в коммутаторе:
а. для масштабирования функций маршрутизации и фильтрации пакетов:
Figure 00000061
все пакеты, принятые в порту 31 и имеющие IP-адрес получателя, равный 192.168.1.1, и транспортный протокол, и транспортный порт получателя, соответствующие сервису, который должен выполняться в ВШБ, отправлять в порт 34 (приоритет 6);
Figure 00000062
все пакеты, принятые в порту 32 и имеющие IP-адрес получателя, равный 192.168.2.1, и транспортный протокол, и транспортный порт получателя, соответствующие сервису, который должен выполняться в ВШБ, отправлять в порт 35 (приоритет 6);
Figure 00000063
все пакеты, принятые в порту 31 и имеющие транспортный протокол отличный от TCP/UDP, отправлять в порт 36 (приоритет 3);
Figure 00000064
все пакеты, принятые в порту 32 и имеющие транспортный протокол отличный от TCP/UDP, отправлять в порт 37 (приоритет 3);
Figure 00000065
все пакеты протокола ARP, принятые в порту 31, отправлять широковещательно в порты 34, 36 (приоритет 3);
Figure 00000066
все пакеты протокола ARP, принятые в порту 32, отправлять широковещательно в порты 35, 37 (приоритет 3);
Figure 00000067
все широковещательные пакеты, принятые в порту 31, отправлять широковещательно в порты 34, 36 (приоритет 3);
Figure 00000068
все широковещательные пакеты, принятые в порту 32, отправлять широковещательно в порты 35, 37 (приоритет 3);
Figure 00000069
все мультикаст-пакеты, принятые в порту 31, отправлять широковещательно в порты 34, 36 (приоритет 3);
Figure 00000070
все мультикаст-пакеты, принятые в порту 32, отправлять широковещательно в порты 35, 37 (приоритет 3);
Figure 00000071
все пакеты, принятые в порту 31, отправлять в порт на основании значения хэш-функции от кортежа пакета (приоритет 2);
Figure 00000072
все пакеты, принятые в порту 32, отправлять в порт на основании значения хэш-функции от кортежа пакета (приоритет 2);
Figure 00000073
все пакеты, принятые в портах 34, 36, отправлять в порт 31 (приоритет 2);
Figure 00000074
все пакеты, принятые в портах 35, 37, отправлять в порт 32 (приоритет 2);
Figure 00000075
все пакеты отбрасывать (приоритет 1);
b. для масштабирования функции трансляция IP-адресов:
Figure 00000076
все пакеты, принятые в порту 31 и имеющие IP-адрес отправителя из диапазона 192.168.1.2-192.168.1.254, и транспортный порт отправителя из диапазона 1024-33229, отправлять в порт 34 (приоритет 4);
Figure 00000077
все пакеты, принятые в порту 31 и имеющие IP-адрес отправителя из диапазона 192.168.1.2-192.168.1.254, и транспортный порт отправителя из диапазона 33230-55700, 55801-65535, отправлять в порт 36 (приоритет 4);
Figure 00000078
все пакеты, принятые в порту 32 и имеющие IP-адрес получателя 192.168.2.1 и транспортный порт получателя из диапазона 1024-33229, отправлять в порт 35 (приоритет 4);
Figure 00000079
все пакеты, принятые в порту 32 и имеющие IP-адрес получателя 192.168.2.1 и транспортный порт получателя из диапазона 33230-55700, 55801-65535, отправлять в порт 37 (приоритет 4);
Figure 00000080
все пакеты, принятые в порту 32 и имеющие IP-адрес получателя 192.168.2.1, транспортный протокол и транспортный порт получателя, равные указанным в правилах трансляции DNAT, и транспортный порт отправителя пакета из диапазона 1024-33229, отправлять в порт 35 (приоритет 4);
Figure 00000081
все пакеты, принятые в порту 32 и имеющие IP-адрес получателя 192.168.2.1, транспортный протокол и транспортный порт получателя, равные указанным в правилах трансляции DNAT, и транспортный порт отправителя пакета из диапазона 33230-55700, 55801-65535, отправлять в порт 37 (приоритет 4);
Figure 00000082
все пакеты, принятые в порту 31 и имеющие параметры: IP-адрес отправителя, транспортный протокол, транспортный порт отправителя, равные указанным в правилах трансляции DNAT, и транспортный порт получателя пакета из диапазона 1024-33229, отправлять в порт 34 (приоритет 4);
Figure 00000083
все пакеты, принятые в порту 31 и имеющие параметры: IP-адрес отправителя, транспортный протокол, транспортный порт отправителя, равные указанным в правилах трансляции DNAT, и транспортный порт получателя пакета из диапазона 33230-55700, 55801-65535, отправлять в порт 36 (приоритет 4);
с. для масштабирования функции шифрования трафика:
Figure 00000084
все пакеты, принятые в порту 32 и имеющие IP-адрес получателя 192.168.2.1 и транспортный порт получателя из диапазона 55701-55800, отправлять в порт на основании значения хэш-функции от кортежа пакета (приоритет 5).
15. Включаются все шлюзы безопасности.
16. В каждом шлюзе безопасности загружается ключевая информация и настраиваются: IP и MAC адреса (согласно табл.1), диапазон туннелируемых IP-адресов, правила фильтрации пакетов и правила трансляции IP-адресов.
17. В ШБ1 в конфигурационном файле контроллера настраивается таймаут неактивности динамических правил коммутации, равный 5 мин, и запускается служба контроллер.
18. В ШБ2 настраивается IP-адрес ВШБ 172.16.1.1.
19. Включается коммутатор.
20. В коммутаторе настраивается собственный IP-адрес из сети 3 (согласно табл.1).
21. В коммутаторе в конфигурации OpenFlow-клиента настраивается IP-адрес контроллера 172.16.1.1.
22. Коммутатор автоматически регистрируется в контроллере.
23. В таблицу потоков коммутатора загружается сформированный набор статических правил обработки сетевых пакетов.
24. Кластер включается в рабочий режим для обработки трафика между сетями 1 и 2.
25. Если в порт 31 коммутатора получают открытый пакет, для которого в шлюзе безопасности должна быть выполнена трансляция SNAT, но транспортный порт отправителя которого оказался в диапазоне 55701-55800 (диапазон портов защищенного трафика), то выполняются следующие действия:
a. пакет передается в порт, выбранный на основании значения хэш-функции от кортежа пакета (предположим, был выбран порт 34, к которому подключен ШБ1);
b. в ШБ1 транслируется IP-адрес отправителя пакета согласно правилу трансляции SNAT, а также транспортный порт отправителя пакета таким образом, чтобы новый транспортный порт отправителя был первым по порядку свободным портом из диапазона 1024-33229;
c. после обработки в ШБ1 пакет отправляется в коммутатор и далее по назначению в сеть 2;
26. Если в порт 32 коммутатора получают зашифрованный пакет от защищенного клиента сети 2 (например, имеющего адрес 192.168.2.100) к хосту сети 1 (например, имеющему адрес 192.168.1.100), то выполняются следующие действия:
a. пакет передается в порт коммутатора (из группы: 35, 37), выбранный на основании значения хэш-функции от кортежа пакета (например, был выбран порт 37, к которому подключен ШБ2);
b. пакет передается в ШБ2 и там расшифровывается;
c. если пакет является первым пакетом нового потока от защищенного клиента с адресом 192.168.2.100 к хосту 192.168.1.100, и для него не существует контекст соединения в ШБ2, то выполняются следующие действия:
Figure 00000085
по служебной сети информация о пакете передается в ВШБ (ШБ1);
Figure 00000086
заголовки пакета анализируются в контроллере;
Figure 00000087
с помощью контроллера в таблицу потоков коммутатора добавляется следующее правило с таймаутом неактивности:
все пакеты, принятые в порту 31 и имеющие IP-адрес получателя 192.168.2.100, отправлять в порт 36 (приоритет 5);
Figure 00000088
с помощью контроллера проверяется, существует ли на ШБ1 контекст соединения для потока пакетов от хоста 192.168.1.100 к защищенному клиенту 192.168.2.100;
Figure 00000089
если контекст соединения существует, то с помощью контроллера он пересылается на ШБ2; иначе в ШБ2 создается новый контекст соединения с таймаутом неактивности, равным таймауту неактивности динамических правил в таблице потоков коммутатора;
d. после обработки в ШБ2 пакет отправляется в коммутатор и далее по назначению в сеть 1;
27. Если в порт 32 коммутатора получают зашифрованный пакет от туннелируемого ресурса внешнего шлюза безопасности из сети 2 (например, туннелируемый ресурс имеет адрес 10.1.1.5, шлюз безопасности имеет адрес 192.168.2.200 и туннелируемый диапазон 10.1.1.2-10.1.1.254) к хосту сети 1 (например, имеющему адрес 192.168.1.100), то выполняются следующие действия:
a. пакет передается в порт коммутатора (из группы: 35, 37), выбранный на основании значения хэш-функции от кортежа пакета (например, был выбран порт 37, к которому подключен ШБ2);
b. пакет передается в ШБ2 и там расшифровывается;
c. если пакет является первым пакетом нового потока от туннелируемого ресурса с адресом 10.1.1.5 к хосту 192.168.1.100, и для него не существует контекст соединения в ШБ2, то выполняются следующие действия:
Figure 00000090
по служебной сети информация о пакете передается в ВШБ (ШБ1);
Figure 00000091
заголовки пакета анализируются в контроллере;
Figure 00000092
с помощью контроллера в таблицу потоков коммутатора добавляется следующее правило с таймаутом неактивности:
все пакеты, принятые в порту 31 и имеющие IP-адрес получателя из диапазона 10.1.1.2-10.1.1.254, отправлять в порт 36 (приоритет 5);
Figure 00000093
с помощью контроллера проверяется, существует ли на ШБ1 контекст соединения для потока пакетов от хоста 192.168.1.100 к туннелируемому ресурсу 10.1.1.5;
Figure 00000094
если контекст соединения существует, то с помощью контроллера он пересылается на ШБ2; иначе в ШБ2 создается новый контекст соединения с таймаутом неактивности, равным таймауту неактивности динамических правил в таблице потоков коммутатора;
28. После обработки в ШБ2 пакет отправляется в коммутатор и далее по назначению в сеть 1.
Возможны и другие варианты реализации предложенного способа, зависящие от предпочтений при выборе аппаратного и программного обеспечения.

Claims (88)

  1. Способ работы кластера шлюзов безопасности, установленного между защищаемой и внешней сетями, причем кластер включает:
  2. коммутатор, подключенный к защищаемой сети (сеть 1), внешней сети (сеть 2), внутренней локальной сети цифровой передачи служебных данных кластера (служебная сеть) и выполненный с возможностью:
  3. принимать и посылать сетевые пакеты;
  4. обмениваться по служебной сети управляющими сообщениями по установленному протоколу управления;
  5. вычислять значение хеш-функции от параметров: IP-адрес отправителя пакета, IP-адрес получателя пакета (кортеж пакета) и на основании этого значения вычислять номер порта из заданного диапазона портов;
  6. хранить в оперативной памяти одну таблицу потоков и выполнять обработку сетевых пакетов при помощи этой таблицы;
  7. по крайней мере, два шлюза безопасности (ШБ), подключенные к коммутатору и к служебной сети;
  8. причем каждый ШБ имеет в составе, по крайней мере, один процессор и выполнен с возможностью:
  9. принимать и посылать сетевые пакеты;
  10. загружать ключевую информацию;
  11. настраивать на сетевых интерфейсах IP-адреса и МАС-адреса;
  12. настраивать диапазоны туннелируемых IP-адресов;
  13. выполнять сетевые функции маршрутизации и фильтрации сетевых пакетов данных, трансляцию IP-адресов и шифрование трафика;
  14. обмениваться контекстами своих соединений с другими ШБ на основании данных из заголовков сетевых пакетов;
  15. выполнять функцию контроллера кластера (контроллер), обеспечивающую возможность:
  16. анализировать заголовки сетевых пакетов;
  17. формировать правила обработки сетевых пакетов;
  18. обмениваться по служебной сети управляющими сообщениями с коммутатором и другими ШБ по установленным протоколам управления;
  19. способ заключается в том, что:
  20. формируют ключевую информацию для ШБ;
  21. выделяют:
  22. два IP-адреса (из сети 1, из сети 2) для всех ШБ;
  23. два МАС-адреса для всех ШБ;
  24. диапазоны туннелируемых шлюзами безопасности IP-адресов;
  25. один IP-адрес (из служебной сети) для каждого устройства кластера;
  26. по крайней мере, семь физических портов (портов) на коммутаторе:
  27. один порт для подключения сети 1 (порт сети 1), один порт для подключения сети 2 (порт сети 2), два порта для подключения каждого ШБ, один порт для подключения служебной сети;
  28. диапазон портов транспортного уровня (транспортных портов) для использования во внешних заголовках зашифрованного трафика (диапазон транспортных портов зашифрованного трафика);
  29. уникальный диапазон транспортных портов для каждого ШБ (диапазон транспортных портов ШБ);
  30. шесть уровней приоритета для правил таблицы потоков коммутатора, с условной нумерацией от 1 до 6, причем, при выполнении для сетевого пакета одновременно нескольких правил, выбор правила осуществляют следующим образом:
  31. если правила имеют разный приоритет, то используют правило с большим приоритетом (большим числом);
  32. если правила имеют одинаковый приоритет, то используют правило, которое было добавлено в таблицу потоков ранее;
  33. формируют правила фильтрации трафика и правила трансляции IP-адресов для ШБ;
  34. выбирают ШБ, который будет выполнять роль ведущего ШБ кластера (ВШБ) и контроллера;
  35. выбирают выделенный ШБ, отличный от ВШБ, который будет обрабатывать пакеты, имеющие транспортный протокол, отличный от TCP/UDP;
  36. формируют набор статических правил обработки сетевых пакетов для коммутатора;
  37. включают все ШБ;
  38. выполняют на каждом ШБ следующие действия:
  39. загружают ключевую информацию;
  40. настраивают IP-адреса и МАС-адреса;
  41. настраивают диапазоны туннелируемых IP-адресов;
  42. настраивают правила фильтрации трафика и правила трансляции IP-адресов;
  43. настраивают на всех ШБ, кроме ВШБ, IP-адрес ВШБ из служебной сети;
  44. задают в конфигурационном файле ВШБ промежуток времени неактивности динамических правил обработки сетевых пакетов (таймаут неактивности);
  45. включают коммутатор;
  46. настраивают на коммутаторе собственный IP-адрес из служебной сети, а также IP-адрес ВШБ из служебной сети;
  47. регистрируют коммутатор в контроллере;
  48. загружают в таблицу потоков коммутатора следующий набор статических правил обработки сетевых пакетов для масштабирования функций маршрутизации и фильтрации пакетов:
  49. все пакеты, принятые в порту сети 1 и имеющие IP-адрес получателя, равный IP-адресу ШБ из сети 1, и транспортный протокол, и транспортный порт получателя, соответствующие сервису, который должен выполняться в ВШБ, отправлять в ВШБ (приоритет 6);
  50. все пакеты, принятые в порту сети 2 и имеющие IP-адрес получателя, равный IP-адресу ШБ из сети 2, и транспортный протокол, и транспортный порт получателя, соответствующие сервису, который должен выполняться в ВШБ, отправлять в ВШБ (приоритет 6);
  51. все пакеты, принятые в порту сети 1 и имеющие транспортный протокол, отличный от TCP/UDP, отправлять в выделенный для таких пакетов ШБ (приоритет 3);
  52. все пакеты, принятые в порту сети 2 и имеющие транспортный протокол, отличный от TCP/UDP, отправлять в выделенный для таких пакетов ШБ (приоритет 3);
  53. все пакеты протокола ARP, принятые в порту сети 1, отправлять широковещательно во все ШБ (приоритет 3);
  54. все пакеты протокола ARP, принятые в порту сети 2, отправлять широковещательно во все ШБ (приоритет 3);
  55. все широковещательные пакеты, принятые в порту сети 1, отправлять широковещательно во все ШБ (приоритет 3);
  56. все широковещательные пакеты, принятые в порту сети 2, отправлять широковещательно во все ШБ (приоритет 3);
  57. все мультикаст-пакеты, принятые в порту сети 1, отправлять широковещательно во все ШБ (приоритет 3);
  58. все мультикаст-пакеты, принятые в порту сети 2, отправлять широковещательно во все ШБ (приоритет 3);
  59. все пакеты, принятые в порту сети 1, отправлять в ШБ на основании значения хэш-функции от кортежа пакета (приоритет 2);
  60. все пакеты, принятые в порту сети 2, отправлять в ШБ на основании значения хэш-функции от кортежа пакета (приоритет 2);
  61. все пакеты, полученные от сетевых интерфейсов ШБ, принадлежащих сети 1, отправлять в порт сети 1 (приоритет 2);
  62. все пакеты, полученные от сетевых интерфейсов ШБ, принадлежащих сети 2, отправлять в порт сети 2 (приоритет 2);
  63. все пакеты отбрасывать (приоритет 1);
  64. загружают в таблицу потоков коммутатора следующий набор статических правил обработки сетевых пакетов для масштабирования функции трансляции IP-адресов:
  65. все пакеты, принятые в порту сети 1 и имеющие IP-адрес отправителя из диапазона частных адресов, для которых должна выполняться трансляция Source NAT (SNAT), и транспортный порт отправителя из диапазона транспортных портов ШБ, отправлять в ШБ, которому принадлежит указанный диапазон транспортных портов (приоритет 4);
  66. все пакеты, принятые в порту сети 2 и имеющие IP-адрес получателя, равный IP-адресу ШБ из сети 2, который используется в правилах трансляции SNAT, и транспортный порт получателя из диапазона транспортных портов ШБ, отправлять в ШБ, которому принадлежит указанный диапазон транспортных портов (приоритет 4);
  67. все пакеты, принятые в порту сети 2 и имеющие параметры: IP-адрес получателя, транспортный протокол, транспортный порт получателя, равные указанным в правилах трансляции Destination NAT (DNAT), отправлять в ШБ, в диапазон транспортных портов которого попадает транспортный порт отправителя пакета (приоритет 4);
  68. все пакеты, принятые в порту сети 1 и имеющие параметры: IP-адрес отправителя, транспортный протокол, транспортный порт отправителя, равные указанным в правилах трансляции DNAT, отправлять в ШБ, в диапазон транспортных портов которого попадает транспортный порт получателя пакета (приоритет 4);
  69. загружают в таблицу потоков коммутатора набор статических правил обработки сетевых пакетов для масштабирования функции шифрования трафика:
  70. все пакеты, принятые в порту сети 2 и имеющие IP-адрес получателя, равный IP-адресу ШБ из сети 2, и транспортный порт получателя из диапазона транспортных портов зашифрованного трафика, отправлять в ШБ на основании значения хэш-функции от кортежа пакета (приоритет 5);
  71. включают кластер в рабочий режим для обработки трафика между сетями 1 и 2;
  72. если в порт сети 1 коммутатора получают открытый пакет, для которого в ШБ должна быть выполнена трансляция SNAT, и транспортный порт отправителя которого оказался в диапазоне транспортных портов зашифрованного трафика, то выполняют следующие действия:
  73. передают пакет в ШБ, выбранный на основании значения хэш-функции от кортежа пакета;
  74. в выбранном ШБ транслируют IP-адрес отправителя пакета согласно правилу трансляции SNAT, а также транспортный порт отправителя пакета таким образом, чтобы новый транспортный порт отправителя был первым по порядку свободным портом из диапазона транспортных портов выбранного ШБ;
  75. после обработки пакета в выбранном ШБ отправляют пакет в коммутатор и далее по назначению в сеть 2;
  76. если в порт сети 2 коммутатора получают зашифрованный пакет от защищенного узла сети 2, то выполняют следующие действия:
  77. передают пакет в ШБ, выбранный на основании значения хэш-функции от кортежа пакета;
  78. расшифровывают пакет в выбранном ШБ;
  79. если пакет является первым пакетом нового потока от защищенного узла и для него не существует контекст соединения в выбранном ШБ, то выполняют следующие действия:
  80. если выбранный ШБ не является ВШБ, то по служебной сети передают информацию о пакете в ВШБ;
  81. анализируют заголовки пакета в контроллере;
  82. если IP-адрес отправителя внутреннего заголовка пакета является адресом защищенного узла, то с помощью контроллера добавляют в таблицу потоков коммутатора следующее правило с тайм-аутом неактивности:
  83. все пакеты, принятые в порту сети 1 и имеющие IP-адрес получателя, равный адресу защищенного узла из сети 2, отправлять в выбранный ШБ, в который ранее пришел пакет от этого защищенного узла (приоритет 5);
  84. если IP-адрес отправителя внутреннего заголовка пакета является адресом туннелируемого ресурса защищенного узла, то с помощью контроллера добавляют в таблицу потоков коммутатора правило с тайм-аутом неактивности:
  85. все пакеты, принятые в порту сети 1 и имеющие IP-адрес получателя из туннелируемого диапазона защищенного узла из сети 2, отправлять в выбранный ШБ, в который ранее пришел пакет от этого защищенного узла (приоритет 5);
  86. проверяют с помощью контроллера, существует ли на каком-либо ШБ, отличном от выбранного ШБ, принявшего пакет, контекст соединения для потока пакетов из сети 1 к данному защищенному узлу или его туннелируемому ресурсу;
  87. если контекст соединения существует, то с помощью контроллера передают по служебной сети команду переслать контекст соединения на выбранный ШБ, принявший пакет; иначе в выбранном ШБ, принявшем пакет, создают контекст соединения с тайм-аутом неактивности, равным тайм-ауту неактивности динамических правил в таблице потоков коммутатора;
  88. после обработки пакета в выбранном ШБ отправляют пакет в коммутатор и далее по назначению в сеть 1.
RU2021110887A 2021-04-19 2021-04-19 Способ работы кластера шлюзов безопасности RU2757297C1 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2021110887A RU2757297C1 (ru) 2021-04-19 2021-04-19 Способ работы кластера шлюзов безопасности

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2021110887A RU2757297C1 (ru) 2021-04-19 2021-04-19 Способ работы кластера шлюзов безопасности

Publications (1)

Publication Number Publication Date
RU2757297C1 true RU2757297C1 (ru) 2021-10-13

Family

ID=78286472

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2021110887A RU2757297C1 (ru) 2021-04-19 2021-04-19 Способ работы кластера шлюзов безопасности

Country Status (1)

Country Link
RU (1) RU2757297C1 (ru)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114338167A (zh) * 2021-12-29 2022-04-12 无锡沐创集成电路设计有限公司 通信加密系统、方法、存储介质及电子设备

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7640300B2 (en) * 2002-06-10 2009-12-29 Microsoft Corporation Presence and notification system for maintaining and communicating information
CN104243591A (zh) * 2014-09-24 2014-12-24 杭州华三通信技术有限公司 同步安全集群会话信息的方法及装置
CN108234394A (zh) * 2016-12-14 2018-06-29 天津创奇业网络技术有限公司 网关自动防御病毒系统
RU2694585C1 (ru) * 2018-10-11 2019-07-16 Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" Способ создания защищенного L2-соединения между сетями с коммутацией пакетов
RU2694584C1 (ru) * 2018-10-25 2019-07-16 Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" Способ обработки ТСР протокола в кластере сетевой вычислительной системы

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7640300B2 (en) * 2002-06-10 2009-12-29 Microsoft Corporation Presence and notification system for maintaining and communicating information
CN104243591A (zh) * 2014-09-24 2014-12-24 杭州华三通信技术有限公司 同步安全集群会话信息的方法及装置
CN108234394A (zh) * 2016-12-14 2018-06-29 天津创奇业网络技术有限公司 网关自动防御病毒系统
RU2694585C1 (ru) * 2018-10-11 2019-07-16 Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" Способ создания защищенного L2-соединения между сетями с коммутацией пакетов
RU2694584C1 (ru) * 2018-10-25 2019-07-16 Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" Способ обработки ТСР протокола в кластере сетевой вычислительной системы

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114338167A (zh) * 2021-12-29 2022-04-12 无锡沐创集成电路设计有限公司 通信加密系统、方法、存储介质及电子设备
CN114338167B (zh) * 2021-12-29 2024-04-30 无锡沐创集成电路设计有限公司 通信加密系统、方法、存储介质及电子设备

Similar Documents

Publication Publication Date Title
US11336715B2 (en) Load balancing method, apparatus and system
CN109937401B (zh) 经由业务旁路进行的负载均衡虚拟机的实时迁移
EP3039833B1 (en) System and method for providing a data service in an engineered system for middleware and application execution
Wood et al. Toward a software-based network: integrating software defined networking and network function virtualization
US9531676B2 (en) Proxy methods for suppressing broadcast traffic in a network
US9467327B2 (en) Server-mediated setup and maintenance of peer-to-peer client computer communications
EP3113424B1 (en) Phyiscal path determination for virtual network packet flows
JP5648926B2 (ja) ネットワークシステム、コントローラ、ネットワーク制御方法
Qi et al. Assessing container network interface plugins: Functionality, performance, and scalability
WO2010020151A1 (zh) 报文处理方法、装置和系统
WO2019184653A1 (zh) 链路配置方法和控制器
Ashraf et al. Analyzing challenging aspects of IPv6 over IPv4
US9716688B1 (en) VPN for containers and virtual machines in local area networks
RU2757297C1 (ru) Способ работы кластера шлюзов безопасности
RU2694585C1 (ru) Способ создания защищенного L2-соединения между сетями с коммутацией пакетов
Perino et al. A programmable data plane for heterogeneous NFV platforms
Jeong et al. Experience on the development of LISP-enabled services: An ISP perspective
US11153276B1 (en) Secure data routing and randomization
EP4005180B1 (en) System resource management in self-healing networks
US9548964B1 (en) VPN for containers and virtual machines in local area networks
JP2003304293A (ja) パケット中継装置
Zhang et al. Service chaining for heterogeneous middleboxes
US20220232109A1 (en) Virtual tunnel endpoint (vtep) learning based on transport protocol information
Davoli VXVDEX: Internet of threads and networks of namespaces
CA2531678A1 (en) Method and system for facilitating client computer communications