本公开针对用于在服务平面上的动态防火墙发现的系统和方法。该方法包括以下步骤:识别源数据分组,将该源数据分组从在源站点处的源机器传输到在目的地站点处的目的地机器,其中源数据分组对应于源机器和目的地机器之间通过WAN进行连接的请求;在与源站点相关联的第一防火墙处检查源数据分组;用标示物标记源数据分组以表明源数据分组被第一防火墙检查;将被标记的源数据分组传输到目的地站点;在目的地站点处确定源数据分组已经基于标示物被检查;以及将源数据分组转发到在目的地站点处的目的地机器,而源数据分组不被与目的地站点相关联的第二防火墙检查。相关联的第二防火墙检查。相关联的第二防火墙检查。
【技术实现步骤摘要】
【国外来华专利技术】在SDWAN架构中的服务平面上的动态防火墙发现
[0001]本公开总体涉及防火墙发现,并且更具体地涉及用于在软件定义的广域网(SDWAN)架构中的服务平面上的动态防火墙发现的系统和方法。
技术介绍
[0002]随着当今世界网络信息流呈指数增长,计算机安全成为一项重要的必要条件。来自黑客、恶意软件等的威胁可能会关闭或损坏大型计算机网络,从而导致大量金钱、资源和时间的损失。随着这种威胁的性质和复杂程度,防止此类事件的安全措施也在不断演进。保护计算机网络免受外部威胁的一种机制是防火墙。防火墙是被置于网络与网络外部之间的硬件和软件的组合。防火墙接收来自网络外部的所有数据,然后再把数据发送给网络用户。防火墙对数据进行分类和分析,并确定数据是否应该有权访问网络。如果数据被授权,则防火墙将数据转发到其目的地。如果数据未经授权,则防火墙将拒绝数据访问网络。
附图说明
[0003]图1示出了根据一些实施例的系统,该系统用于动态地检测防火墙检查来避免对数据分组的双重检查。
[0004]图2示出了根据一些实施例的方法的流程图,该方法用于基于数据分组的正向流来检测防火墙检查。
[0005]图3示出了根据一些实施例的方法的流程图,该方法用于基于数据分组的反向流来检测防火墙检查。
[0006]图4示出了根据一些实施例的计算机系统。
具体实施方式
[0007]在独立权利要求中陈述了本申请的各方面,在从属权利要求中陈述了优选特征。一个方面的特征可以单独地或与其他方面结合地应用于任何方面。/>[0008]根据实施例,一种系统可以包括一个或多个处理器和一个或多个计算机可读非暂时性存储介质,计算机可读非暂时性存储介质包括指令,当该指令被一个或多个处理器执行时,使系统的一个或多个组件执行以下操作,所述操作包括:识别源数据分组,以用于将该源数据分组从源站点处的源机器传输到目的地站点处的目的地机器,其中源数据分组对应于源机器和目的地机器之间通过广域网(WAN)进行连接的请求;在与源站点相关联的第一防火墙处检查源数据分组;用标示物标记源数据分组以表明源数据分组被第一防火墙检查;将被标记的源数据分组传输到目的地站点;在目的地站点处确定源数据分组已经基于标示物被检查;并且将源数据分组转发到目的地站点处的目的地机器,而源数据分组不被与目的地站点相关联的第二防火墙检查。
[0009]此外,该操作还可以包括:识别确认数据分组,以用于将确认数据分组从目的地站点处的目的地机器反向传输到源站点处的源机器,其中确认数据分组将响应于源数据分组
而被反向传输。该操作还可以包括:将确认数据分组从目的地站点传输到源站点,而确认数据分组不被与目的地站点相关联的第二防火墙检查;在源站点处确定确认数据分组与源数据分组相关联;在与源站点相关联的第一防火墙处检查确认数据分组;并且将确认数据分组转发到源站点处的源机器。
[0010]另外,源数据分组可以是SYN分组,确认数据分组可以是SYN/ACK分组。
[0011]此外,标记操作还可以包括创建与源数据分组相关联的流表条目。此外,确认数据分组可以基于流表条目被确定为与所述源数据分组相关联。
[0012]另外,标示物可以是基于源数据分组的传输控制协议(TCP)报头的字段的重定向标志。
[0013]根据另一个实施例,一种方法可以包括以下步骤:识别源数据分组,以用于将该源数据分组从源站点处的源机器传输到目的地站点处的目的地机器,其中源数据分组对应于源机器和目的地机器之间通过广域网(WAN)进行连接的请求;在与源站点相关联的第一防火墙处检查源数据分组;用标示物标记源数据分组以表明源数据分组被第一防火墙检查;将被标记的源数据分组传输到目的地站点;在目的地站点处确定源数据分组已经基于标示物被检查;以及将源数据分组转发到目的地站点处的目的地机器,而源数据分组不被与目的地站点相关联的第二防火墙检查。
[0014]根据又一个实施例,一个或多个计算机可读非暂时性存储介质包括指令,当该指令被处理器执行时,使得以下操作被执行,所述操作包括:识别源数据分组,以用于将该源数据分组从源站点处的源机器传输到目的地站点处的目的地机器,其中源数据分组对应于源机器和目的地机器之间通过广域网(WAN)进行连接的请求;在与源站点相关联的第一防火墙处检查源数据分组;用标示物标记源数据分组以表明源数据分组被第一防火墙检查;将被标记的源数据分组传输到目的地站点;在目的地站点处确定源数据分组已经基于标示物被检查;并且将源数据分组转发到目的地站点处的目的地机器,而源数据分组不被与目的地站点相关联的第二防火墙检查。
[0015]本公开的一些实施例的技术优势可包括以下一项或多项。在本文中所述的系统和方法可以允许对数据分组的防火墙检查进行动态检测,从而减少被网络中的一个或多个防火墙进行的检查的数量。因此,在现有防火墙许可证下的防火墙使用计数可能会减少并且/或者通过网络发出的数据分组的数量可能会增加。此外,因为处理时间将随着数据分组经历较少的防火墙检查而固有地减少,所以公开的系统和方法可以减少系统延迟。
[0016]对于本领域技术人员来说,从以下附图、描述和权利要求中,其他技术优势将是显而易见的。此外,虽然上面列举了具体的优点,但各个实施例可以包括所有、一些或不包括所列举的优点。
[0017]示例性实施例
[0018]在当今的SD
‑
WAN企业网络中,每个站点,无论是本地站点还是区域站点,都配备了防火墙,以确保进入网络的数据不会对网络或网络的用户构成威胁。然而,虽然两个站点是同一受信任网络的一部分,但是今天的网络迫使应用程序和数据流量穿过两个防火墙(即在源站点处和目的地站点处)。通过将数据分组必须穿过的防火墙的数量加倍,企业可能需要将其防火墙使用许可证增加倍,因为这些许可证通常基于防火墙一次可以处理的连接的数量(例如,1000个被传输的数据分组可能需要2000个防火墙许可证,这1000个被传输的数
据分组在源站点和目的地站点已经进行了双重检查)。此外,因为防火墙处理的每个实例都会减慢流量,所以防火墙数量的增加也可能导致网络延迟增加。
[0019]本公开介绍了用于在网络中的服务平面上的动态发现防火墙的系统和方法。具体地,该系统和方法用于检测第一防火墙何时检查了数据分组,从而避免在网络中的第二防火墙对同一数据分组的第二次检查。
[0020]图1描绘了根据本公开的用于检测防火墙检查的系统100。系统100包括通过网络190通信连接的源站点110和目的地站点150。虽然图1将网络描绘为广域网(WAN),但是应当理解,网络190可以包括SD
‑
WAN、局域网(LAN)、无线局域网(WLAN)或任何其他在本领域中已知的电信网络。
[0021]系统100的源站点110可以包括源机器120(示为客户端计算机)、源路由器130和与源站点110相关联的第一防火墙140。目的地站点150可以包括目的地机器180(示为服务器)、目的地路由器160本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种系统,包括:一个或多个处理器;以及一种或多种计算机可读非暂时性存储介质,包括指令,当所述指令被所述一个或多个处理器执行时,使所述系统的一个或多个组件执行以下操作,所述操作包括:识别源数据分组,以用于将所述源数据分组从源站点处的源机器传输到目的地站点处的目的地机器,其中,所述源数据分组对应于所述源机器和所述目的地机器之间的通过广域网(WAN)进行的连接请求;在与所述源站点相关联的第一防火墙处检查所述源数据分组;用标示物标记所述源数据分组以表明所述源数据分组被所述第一防火墙检查;将经标记的源数据分组传输到所述目的地站点;在所述目的地站点处确定所述源数据分组已经基于所述标示物被检查;并且将所述源数据分组转发到所述目的地站点处的所述目的地机器,而所述源数据分组不被与所述目的地站点相关联的第二防火墙检查。2.根据权利要求1所述的系统,其中,所述操作还包括:识别确认数据分组,以用于将所述确认数据分组从所述目的地站点处的所述目的地机器反向传输到所述源站点处的所述源机器,其中,所述确认数据分组将响应于所述源数据分组而被反向传输;将所述确认数据分组从所述目的地站点传输到所述源站点,而所述确认数据分组不被与所述目的地站点相关联的所述第二防火墙检查;在所述源站点处确定所述确认数据分组与所述源数据分组相关联;在与所述源站点相关联的所述第一防火墙处检查所述确认数据分组;并且将所述确认数据分组转发到所述源站点处的所述源机器。3.根据权利要求2所述的系统,其中,所述源数据分组是SYN分组,所述确认数据分组是SYN/ACK分组。4.根据权利要求2或3所述的系统,其中,所述标记步骤还包括:创建与所述源数据分组相关联的流表条目。5.根据权利要求4所述的系统,其中,所述确认数据分组基于所述流表条目被确定为与所述源数据分组相关联。6.根据权利要求1至5中任一项所述的系统,其中,所述标示物是基于所述源数据分组的传输控制协议(TCP)报头的字段的。7.根据权利要求6所述的系统,其中,所述标示物还包括:重定向标志。8.一种方法,包括:识别源数据分组,以用于将所述源数据分组从源站点处的源机器传输到目的地站点处的目的地机器,其中,所述源数据分组对应于所述源机器和所述目的地机器之间的通过广域网(WAN)进行的连接请求;在与所述源站点相关联的第一防火墙处检查所述源数据分组;用标示物标记所述源数据分组以表明所述源数据分组被所述第一防火墙检查;将经标记的源数据分组传输到所述目的地站点;
在所述目的地站点处确定所述源数据分组已经基于所述标示物被检查,并且将所述源数据分组转发到所述目的地站点处的所述目的地机器,而所述源数据分组不被与所述目的地站点相关联的第二防火墙检查。9.根据权利要求8所述的方法,还包括:识别确认数据分组,以用于将所述确认数据分组从所述目的地站点处的所述目的地机器传输到所述源站点处的所述源机器,其中,所述确认数据分组将响应于所述源数据分组而被反向传输;将所述确认数据分组从所述目的地站点传输到所述源站点,而所述确认数据分组不被与所述目的地站点相关联的所述第二防火墙检查;在所述源站点处确定所述确认数据分组与所述源数据分组相关联;在与所述源站点相关联的所述第一防火墙处检查所述确认数据分组;并且将所述确认数据分组转发到所述源站点处的所述源机器。10.根据权利要求9所述的方法,其中,所述源数据分组是SYN分组,所述确认数据分组是SYN/ACK分组。11.根据权利要求9或10所述的方法,其中,所述标记步骤还包括:创建与所述源数据...
【专利技术属性】
技术研发人员:巴拉吉,
申请(专利权)人:思科技术公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。