特表2023-519483SDWANアーキテクチャのサービスプレーンでの動的ファイアウォール発見
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2023-05-11
(54)【発明の名称】SDWANアーキテクチャのサービスプレーンでの動的ファイアウォール発見
(51)【国際特許分類】
H04L 43/20 20220101AFI20230501BHJP
H04L 41/40 20220101ALI20230501BHJP
【FI】
H04L43/20
H04L41/40
【審査請求】有
【予備審査請求】未請求
(21)【出願番号】P 2022547760
(86)(22)【出願日】2021-02-11
(85)【翻訳文提出日】2022-09-27
(86)【国際出願番号】 US2021017522
(87)【国際公開番号】W WO2021173355
(87)【国際公開日】2021-09-02
(31)【優先権主張番号】16/801,430
(32)【優先日】2020-02-26
(33)【優先権主張国・地域又は機関】US
(81)【指定国・地域】
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.BLUETOOTH
(71)【出願人】
【識別番号】508041127
【氏名又は名称】シスコ テクノロジー,インコーポレイテッド
(74)【代理人】
【識別番号】100079108
【弁理士】
【氏名又は名称】稲葉 良幸
(74)【代理人】
【識別番号】100109346
【弁理士】
【氏名又は名称】大貫 敏史
(74)【代理人】
【識別番号】100117189
【弁理士】
【氏名又は名称】江口 昭彦
(74)【代理人】
【識別番号】100134120
【弁理士】
【氏名又は名称】内藤 和彦
(74)【代理人】
【識別番号】100140431
【弁理士】
【氏名又は名称】大石 幸雄
(72)【発明者】
【氏名】サンダラーヤン,バラジ
(72)【発明者】
【氏名】ゴタ ビーアール,ヴェンカテーシュ
(72)【発明者】
【氏名】イェルバ,シリーシャ
(72)【発明者】
【氏名】バラスブラマニアン,チャンドラムーリ
(72)【発明者】
【氏名】オズワル,アナンド
(57)【要約】
本開示は、サービスプレーン上での動的ファイアウォール発見のためのシステムおよび方法を対象とする。本方法は、ソースサイトのソースマシンから宛先サイトの宛先マシンに伝送するためのソースデータパケットを識別するステップであって、ソースデータパケットが、WAN上でのソースマシンと宛先マシンの間の接続要求に対応する、識別するステップと、ソースサイトに関連付けられた第1のファイアウォールでソースデータパケットを検査するステップと、ソースデータパケットをマーカでマークして、第1のファイアウォールによる検査を示すステップと、マークされたソースデータパケットを宛先サイトに伝送するステップと、宛先サイトで、ソースデータパケットがマーカに基づいて検査されたと決定するステップと、宛先サイトに関連付けられた第2のファイアウォールによるソースデータパケットの検査なしに、ソースデータパケットを宛先サイトの宛先マシンに転送するステップと、を含む。
【選択図】図2
【選択図】図2
【特許請求の範囲】
【請求項1】
システムであって、1つ以上のプロセッサと、
命令を含む1つ以上のコンピュータ可読非一時的記憶媒体であって、前記命令が前記1つ以上のプロセッサによって実行されると、前記システムの1つ以上の構成要素に、
ソースサイトのソースマシンから宛先サイトの宛先マシンに伝送するためのソースデータパケットを識別することであって、前記ソースデータパケットが、ワイドエリアネットワーク(WAN)を介した前記ソースマシンと前記宛先マシンの間の接続要求に対応することと、
前記ソースサイトに関連付けられた第1のファイアウォールで前記ソースデータパケットを検査することと、
前記ソースデータパケットにマーカでマークをして、前記第1のファイアウォールによる検査を示すことと、
前記マークされたソースデータパケットを前記宛先サイトに伝送することと、
前記宛先サイトで、前記ソースデータパケットが前記マーカに基づいて検査されたと決定することと、
前記宛先サイトに関連付けられた第2のファイアウォールによる前記ソースデータパケットの検査なしに、前記ソースデータパケットを前記宛先サイトの前記宛先マシンに転送することと、を含む、動作を実行させる、1つ以上のコンピュータ可読非一時的媒体と、を備える、システム。
【請求項2】
前記動作が、前記宛先サイトの前記宛先マシンから前記ソースサイトの前記ソースマシンへの逆方向伝送のための確認データパケットを識別することであって、前記確認データパケットが、前記ソースデータパケットに応答して逆方向に伝送されることと、
前記宛先サイトに関連付けられた前記第2のファイアウォールによる前記確認データパケットの検査なしに、前記宛先サイトから前記ソースサイトに前記確認データパケットを伝送することと、
前記ソースサイトで、前記確認データパケットが前記ソースデータパケットに関連付けられていると決定することと、
前記ソースサイトに関連付けられた前記第1のファイアウォールで前記確認データパケットを検査することと、
前記確認データパケットを前記ソースサイトの前記ソースマシンに転送することと、をさらに含む、請求項1に記載のシステム。
【請求項3】
前記ソースデータパケットが、SYNパケットであり、前記確認データパケットが、SYN/ACKパケットである、請求項2に記載のシステム。
【請求項4】
前記マークするステップが、前記ソースデータパケットに関連付けられたフローテーブルエントリを作成することをさらに含む、請求項2または3に記載のシステム。
【請求項5】
前記確認データパケットが、前記フローテーブルエントリに基づいて前記ソースデータパケットに関連付けられていると決定される、請求項4に記載のシステム。
【請求項6】
前記マーカが、前記ソースデータパケットの伝送制御プロトコル(TCP)ヘッダのフィールドに基づく、請求項1~5のいずれか一項に記載のシステム。
【請求項7】
前記マーカが、リダイレクトフラグを含む、請求項6に記載のシステム。
【請求項8】
方法であって、ソースサイトのソースマシンから宛先サイトの宛先マシンに伝送するためのソースデータパケットを識別することであって、前記ソースデータパケットが、ワイドエリアネットワーク(WAN)を介した前記ソースマシンと前記宛先マシンの間の接続要求に対応することと、
前記ソースサイトに関連付けられた第1のファイアウォールで前記ソースデータパケットを検査することと、
前記ソースデータパケットにマーカでマークをして、前記第1のファイアウォールによる検査を示すことと、
前記マークされたソースデータパケットを前記宛先サイトに伝送することと、
前記宛先サイトで、前記ソースデータパケットが前記マーカに基づいて検査されたと決定することと、
前記宛先サイトに関連付けられた第2のファイアウォールによる前記ソースデータパケットの検査なしに、前記ソースデータパケットを前記宛先サイトの前記宛先マシンに転送することと、を含む、方法。
【請求項9】
前記宛先サイトの前記宛先マシンから前記ソースサイトの前記ソースマシンへの逆方向伝送のための確認データパケットを識別することであって、前記確認データパケットが、前記ソースデータパケットに応答して逆方向に伝送されることと、前記宛先サイトに関連付けられた前記第2のファイアウォールによる前記確認データパケットの検査なしに、前記宛先サイトから前記ソースサイトに前記確認データパケットを伝送することと、
前記ソースサイトで、前記確認データパケットが前記ソースデータパケットに関連付けられていると決定することと、
前記ソースサイトに関連付けられた前記第1のファイアウォールで前記確認データパケットを検査することと、
前記確認データパケットを前記ソースサイトの前記ソースマシンに転送することと、をさらに含む、請求項8に記載の方法。
【請求項10】
前記ソースデータパケットが、SYNパケットであり、前記確認データパケットが、SYN/ACKパケットである、請求項9に記載の方法。
【請求項11】
前記マークするステップが、前記ソースデータパケットに関連付けられたフローテーブルエントリを作成することをさらに含む、請求項9または10に記載の方法。
【請求項12】
前記確認データパケットが、前記フローテーブルエントリに基づいて前記ソースデータパケットに関連付けられていると決定される、請求項11に記載の方法。
【請求項13】
前記マーカが、前記ソースデータパケットの伝送制御プロトコル(TCP)ヘッダ内のフィールドに基づく、請求項8~12のいずれか一項に記載の方法。
【請求項14】
前記マーカが、リダイレクトフラグを含む、請求項13に記載の方法。
【請求項15】
命令を包含する1つ以上のコンピュータ可読非一時的記憶媒体であって、前記命令がプロセッサによって実行されると、ソースサイトのソースマシンから宛先サイトの宛先マシンに伝送するためのソースデータパケットを識別することであって、前記ソースデータパケットが、ワイドエリアネットワーク(WAN)を介した前記ソースマシンと前記宛先マシンの間の接続要求に対応することと、
前記ソースサイトに関連付けられた第1のファイアウォールで前記ソースデータパケットを検査することと、
前記ソースデータパケットにマーカでマークをして、前記第1のファイアウォールによる検査を示すことと、
前記マークされたソースデータパケットを前記宛先サイトに伝送することと、
前記宛先サイトで、前記ソースデータパケットが前記マーカに基づいて検査されたと決定することと、
前記宛先サイトに関連付けられた第2のファイアウォールによる前記ソースデータパケットの検査なしに、前記ソースデータパケットを前記宛先サイトの前記宛先マシンに転送することと、を含む、動作を実行させる、1つ以上のコンピュータ可読非一時的記憶媒体。
【請求項16】
前記動作が、前記宛先サイトの前記宛先マシンから前記ソースサイトの前記ソースマシンへの逆方向伝送のための確認データパケットを識別することであって、前記確認データパケットが、前記ソースデータパケットに応答して逆方向に伝送されることと、
前記宛先サイトに関連付けられた前記第2のファイアウォールによる前記確認データパケットの検査なしに、前記宛先サイトから前記ソースサイトに前記確認データパケットを伝送することと、
前記ソースサイトで、前記確認データパケットが前記ソースデータパケットに関連付けられていると決定することと、
前記ソースサイトに関連付けられた前記第1のファイアウォールで前記確認データパケットを検査することと、
前記確認データパケットを前記ソースサイトの前記ソースマシンに転送することと、をさらに含む、請求項15に記載の1つ以上のコンピュータ可読非一時的記憶媒体。
【請求項17】
前記ソースデータパケットが、SYNパケットであり、前記確認データパケットが、SYN/ACKパケットである、請求項16に記載の1つ以上のコンピュータ可読非一時的記憶媒体。
【請求項18】
前記マークするステップが、前記ソースデータパケットに関連付けられたフローテーブルエントリを作成することをさらに含む、請求項16または17に記載の1つ以上のコンピュータ可読非一時的記憶媒体。
【請求項19】
前記確認データパケットが、前記フローテーブルエントリに基づいて前記ソースデータパケットに関連付けられると決定される、請求項18に記載の1つ以上のコンピュータ可読非一時的記憶媒体。
【請求項20】
前記マーカが、前記ソースデータパケットの伝送制御プロトコル(TCP)ヘッダのフィールドに基づく、請求項15~19のいずれか一項に記載の1つ以上のコンピュータ可読非一時的記憶媒体。
【請求項21】
装置であって、ソースサイトのソースマシンから宛先サイトの宛先マシンに伝送するためのソースデータパケットを識別するための手段であって、前記ソースデータパケットが、ワイドエリアネットワーク(WAN)を介した前記ソースマシンと前記宛先マシンの間の接続要求に対応する、識別するための手段と、
前記ソースサイトに関連付けられた第1のファイアウォールで前記ソースデータパケットを検査するための手段と、
前記ソースデータパケットをマーカでマークして、前記第1のファイアウォールによる検査を示すための手段と、
前記マークされたソースデータパケットを前記宛先サイトに伝送するための手段と、
前記宛先サイトで、前記ソースデータパケットが前記マーカに基づいて検査されたことを決定するための手段と、
前記宛先サイトに関連付けられた第2のファイアウォールによる前記ソースデータパケットの検査なしに、前記ソースデータパケットを前記宛先サイトの前記宛先マシンに転送するための手段と、を備える、装置。
【請求項22】
請求項9から14のいずれか一項に記載の方法を実装するための手段をさらに含む、請求項21に記載の装置。
【請求項23】
コンピュータによって実行されたときに、前記コンピュータに、請求項8~14のいずれか一項に記載の方法のステップを実行させるための命令を含む、コンピュータプログラム、コンピュータプログラム製品、またはコンピュータ可読媒体。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、概して、ファイアウォール発見に関し、より具体的には、ソフトウェア定義型ワイドエリアネットワーク(SDWAN)アーキテクチャにおけるサービスプレーン上での動的ファイアウォール発見のためのシステムおよび方法に関する。
【背景技術】
【0002】
今日の世界では、ネットワーク情報の流れが指数関数的に増加するため、コンピュータのセキュリティは重要な必需品となっている。ハッカーやマルウェアなどからの脅威によって、大規模なコンピュータネットワークがシャットダウンまたは損傷し、その結果、多額の資金、リソース、および時間が失われることがある。このようなインシデントを防止するためのセキュリティ対策は、脅威の性質および高度化に伴い、常に進化している。コンピュータネットワークを外部の脅威から保護するメカニズムの1つに、ファイアウォールがある。ファイアウォールは、ネットワークとその外部との間に配置されるハードウェアとソフトウェアの組み合わせである。ファイアウォールは、すべてのデータがネットワークユーザに送信される前に、そのデータをネットワーク外部から受信する。ファイアウォールは、データをソートして分析し、ネットワークにアクセスすべきかどうかを決定する。データが承認されると、ファイアウォールはデータをその宛先に転送する。データが承認されない場合、ファイアウォールはネットワークへのデータアクセスを拒否する。
【図面の簡単な説明】
【0003】
【図1】特定の実施形態による、データパケットの二重検査を回避するためにファイアウォール検査を動的に検出するためのシステムを示す。
【図2】特定の実施形態による、データパケットの順方向フローに基づいて、ファイアウォール検査を検出するための方法のフロー図を示す。
【図3】特定の実施形態による、データパケットの逆方向フローに基づいて、ファイアウォール検査を検出するための方法のフロー図を示す。
【図4】特定の実施形態による、コンピュータシステムを示す。
【0004】
例示的な実施形態の説明
概要
本発明の態様は、独立請求項で述べられ、好ましい特徴は、従属請求項で述べられる。一態様の特徴は、単独で、または他の態様と組み合わせて、任意の態様に適用され得る。
概要
本発明の態様は、独立請求項で述べられ、好ましい特徴は、従属請求項で述べられる。一態様の特徴は、単独で、または他の態様と組み合わせて、任意の態様に適用され得る。
【0005】
ある実施形態によれば、システムは、1つ以上のプロセッサと、命令を含む1つ以上のコンピュータ可読非一時的記憶媒体であって、命令が、1つ以上のプロセッサによって実行されると、システムの1つ以上の構成要素に、ソースサイトのソースマシンから宛先サイトの宛先マシンへの伝送のためのソースデータパケットを識別することであって、ソースデータパケットが、ワイドエリアネットワーク(WAN)を介したソースマシンと宛先マシンの間の接続要求に対応する、識別することと、ソースサイトに関連付けられた第1のファイアウォールでソースデータパケットを検査することと、ソースデータパケットをマーカでマークして、第1のファイアウォールによる検査を示すことと、マークされたソースデータパケットを宛先サイトに伝送することと、宛先サイトで、ソースデータパケットがマーカに基づいて検査されたと決定することと、宛先サイトに関連付けられた第2のファイアウォールによるソースデータパケットの検査なしに、ソースデータパケットを宛先サイトの宛先マシンに転送することと、を含む、動作を実行させる、1つ以上のコンピュータ可読非一時的記憶媒体と、を含み得る。
【0006】
さらに、動作は、宛先サイトの宛先マシンからソースサイトのソースマシンへの逆方向伝送のための確認データパケットを識別することをさらに含むことができ、確認データパケットは、ソースデータパケットに応答して逆方向に伝送される。動作は、宛先サイトに関連付けられた第2のファイアウォールによる確認データパケットの検査なしに、宛先サイトからソースサイトに確認データパケットを伝送することと、ソースサイトで、確認データパケットが、ソースデータパケットに関連付けられていると決定することと、ソースサイトに関連付けられた第1のファイアウォールで確認データパケットを検査することと、確認データパケットをソースサイトのソースマシンに転送することと、をさらに含むことができる。
【0007】
追加的に、ソースデータパケットは、SYNパケットであってもよく、確認データパケットは、SYN/ACKパケットであってもよい。
【0008】
また、マークする動作は、ソースデータパケットに関連付けられたフローテーブルエントリを作成することをさらに含み得る。さらに、確認データパケットは、フローテーブルエントリに基づいて、ソースデータパケットに関連付けられていると決定され得る。
【0009】
追加的に、マーカは、ソースデータパケットの伝送制御プロトコル(TCP)ヘッダのフィールドに基づくリダイレクトフラグであってもよい。
【0010】
別の実施形態によれば、方法は、ソースサイトのソースマシンから宛先サイトの宛先マシンへ伝送するためのソースデータパケットを識別するステップであって、ソースデータパケットが、ワイドエリアネットワーク(WAN)を介したソースマシンと宛先マシンの間の接続要求に対応する、識別するステップと、ソースサイトに関連付けられた第1のファイアウォールでソースデータパケットを検査するステップと、ソースデータパケットをマーカでマークして、第1のファイアウォールによる検査を示すステップと、マークされたソースデータパケットを宛先サイトに伝送するステップと、宛先サイトで、ソースデータパケットがマーカに基づいて検査されたと決定するステップと、宛先サイトに関連付けられた第2のファイアウォールによるソースデータパケットの検査なしに、ソースデータパケットを宛先サイトの宛先マシンに転送するステップと、を含むことができる。
【0011】
さらに別の実施形態によれば、1つ以上のコンピュータ可読非一時的記憶媒体は、命令を包含することができ、この命令は、プロセッサによって実行されると、ソースサイトのソースマシンから宛先サイトの宛先マシンへの伝送のためのソースデータパケットを識別することであって、ソースデータパケットが、ワイドエリアネットワーク(WAN)を介したソースマシンと宛先マシンの間の接続要求に対応する、識別することと、ソースサイトに関連付けられた第1のファイアウォールでソースデータパケットを検査することと、ソースデータパケットをマーカでマークして、第1のファイアウォールによる検査を示すことと、マークされたソースデータパケットを宛先サイトに伝送することと、宛先サイトで、ソースデータパケットがマーカに基づいて検査されたと決定することと、宛先サイトに関連付けられた第2のファイアウォールによるソースデータパケットの検査なしで、ソースデータパケットを宛先サイトの宛先マシンに転送することと、を含む、動作を実行させる。
【0012】
本開示のある特定の実施形態の技術的利点には、以下のうちの1つ以上が含まれ得る。本明細書で説明されるシステムおよび方法は、データパケットのファイアウォール検査の動的検出を可能にし、それによって、ネットワーク内の1つ以上のファイアウォールによって行われ得る検査の数を減らすことができる。その結果、既存のファイアウォールライセンス下のファイアウォールの使用回数を減らすことができ、かつ/またはネットワーク経由で送信され得るデータパケットの数を増やすことができる。追加的に、開示されたシステムおよび方法は、データパケットがファイアウォール検査を受ける回数が少なくなるので、処理時間が本質的に減少するため、システム待ち時間を短縮することができる。
【0013】
他の技術的利点は、以下の図面、説明、および特許請求の範囲から、当業者には容易に明らかになるであろう。さらに、特定の利点が上に列挙されているが、様々な実施形態は、列挙された利点のすべて、一部を含むか、またはまったく含まない場合がある。
【0014】
例示的な実施形態
今日のSD-WAN企業ネットワークでは、ローカルか地域かを問わず、すべてのサイトにファイアウォールが装備されており、ネットワークに入るデータがネットワークまたはそのユーザに脅威を与えないようにしている。しかしながら、今日のネットワークでは、アプリケーションおよびデータトラフィックは、2つのファイアウォール、すなわち、ソースサイトおよび宛先サイトを、両方のサイトが同じ信頼できるネットワークの一部であっても、通過する必要がある。データパケットが通過しなければならないファイアウォールの数を2倍にすることにより、企業はファイアウォールの使用ライセンスを2倍にする必要がある場合があり、これらのライセンスは、多くの場合、ファイアウォールが一度に処理できる接続の数に基づいているためである(例えば、2000個のファイアウォールライセンスが、ソースサイトおよび宛先サイトで二重に検査された1000個の伝送されたデータパケットに必要であり得る)。追加的に、ファイアウォールの数が増えると、ファイアウォール処理の各インスタンスがトラフィックを遅くするため、ネットワーク待ち時間が増大することになり得る。
今日のSD-WAN企業ネットワークでは、ローカルか地域かを問わず、すべてのサイトにファイアウォールが装備されており、ネットワークに入るデータがネットワークまたはそのユーザに脅威を与えないようにしている。しかしながら、今日のネットワークでは、アプリケーションおよびデータトラフィックは、2つのファイアウォール、すなわち、ソースサイトおよび宛先サイトを、両方のサイトが同じ信頼できるネットワークの一部であっても、通過する必要がある。データパケットが通過しなければならないファイアウォールの数を2倍にすることにより、企業はファイアウォールの使用ライセンスを2倍にする必要がある場合があり、これらのライセンスは、多くの場合、ファイアウォールが一度に処理できる接続の数に基づいているためである(例えば、2000個のファイアウォールライセンスが、ソースサイトおよび宛先サイトで二重に検査された1000個の伝送されたデータパケットに必要であり得る)。追加的に、ファイアウォールの数が増えると、ファイアウォール処理の各インスタンスがトラフィックを遅くするため、ネットワーク待ち時間が増大することになり得る。
【0015】
本開示は、ネットワーク内のサービスプレーン上のファイアウォールを動的に発見するためのシステムおよび方法であって、具体的には、第1のファイアウォールがデータパケットを検査したときを検出し、それによって、ネットワーク内の第2ファイアウォールによる同じパケットの第2の検査を回避するためのシステムおよび方法を紹介する。
【0016】
図1は、本開示による、ファイアウォール検査を検出するためのシステム100を示す。システム100は、ネットワーク190を介して通信可能に接続されたソースサイト110および宛先サイト150を含む。図1は、ネットワークをワイドエリアネットワーク(WAN)として示しているが、ネットワーク190は、SD-WAN、ローカルエリアネットワーク(LAN)、ワイヤレスローカルエリアネットワーク(WLAN)、または当技術分野で知られている任意の他の通信ネットワークを備え得ることを理解されたい。
【0017】
システム100のソースサイト110は、ソースマシン120(クライアントコンピュータとして示される)、ソースルータ130、およびソースサイト110に関連付けられた第1のファイアウォール140を含み得る。宛先サイト150は、宛先マシン180(サーバとして示される)と、宛先ルータ160と、宛先サイト150に関連付けられた第2のファイアウォール170と、を含むことができる。
【0018】
ソースサイト110および宛先サイト150は、様々なネットワーク構成およびアーキテクチャに対応し得る。一実施形態では、ソースサイト110のソースマシン120は、ブランチサイトのユーザマシンに対応し得、宛先サイト150の宛先マシン180は、企業データセンターのサーバに対応し得る。別の実施形態では、ソースサイト110のソースマシン120は、リモートサイトのリモートユーザマシン(仮想プライベートネットワーク(VPN)のユーザによって使用されたマシンなど)に対応し得、宛先サイトの宛先マシン180は、企業の本社サイトのサーバに対応し得る。システム100は、当業者によって決定されるように、他の使用事例に適用可能であり得る。
【0019】
引き続き図1を参照すると、ソースマシン120は、宛先マシン180との通信リンクを確立することを望み得、伝送制御プロトコル(TCP)セッションを開始して、ソースサイト110のソースマシン120からデータパケットを宛先サイト150の宛先マシン180に伝送することができる。本開示の目的のために、ソースサイトから伝送されるデータパケットは、「ソースデータパケット」と呼ばれる場合がある。ソースデータパケットは、ソースマシン120と宛先マシン180の間の接続要求に対応し得る。ある実施形態では、ソースデータパケットは、同期(SYN)パケットを含むことができる。SYNパケットは、第1のマシン(例えば、ソースマシン)から第2のマシン(例えば、宛先マシン)に送信され得、それらの間で接続を確立するよう要求するTCPパケットである。SYNパケットに応答して、宛先マシンは、同期/確認(SYN/ACK)パケットをソースマシンに送り返すことができる。SYNおよびSYN/ACKパケットは、ソースマシン120と宛先マシン180の間の通信を確立するための電子的な「ハンドシェイク」として機能する。
【0020】
ソースマシン120から送信されたソースデータパケットは、ソースルータ130に到着し得る。ソースルータ130は、ソースデータパケットをチェックし、それがそのヘッダにフローテーブルエントリを有するかどうかを決定することができ、フローテーブルエントリは、データパケットがソースルータ130によって以前に見られたことを示し得る。ソースデータパケットがSYNパケットである場合、ソースルータ130との第1のセッションであるため、フローテーブルエントリはない。次に、ソースサイト110のアプリケーションポリシーにしたがって、ソースルータ130は、検査のためにソースサイト110の第1のファイアウォール140にソースデータパケットを転送することができる。第1のファイアウォール140は、ソースデータパケットを検査し、次いでソースデータパケットをソースルータ130に戻すことができる。次に、ソースルータ130は、ソースデータパケットをマーカでマークして、ファイアウォール検査が第1のファイアウォール140によって完了したことを示すことができる。ある実施形態では、ソースルータ130は、TCPオプションを使用してフラグでソースデータパケットをマークすることができる。ある実施形態では、フラグは、ソースデータパケットのTCPヘッダのオプションフィールドで利用可能なカスタム「R」(「リダイレクト」)フラグを含むことができる。ソースルータ130はまた、ソースデータパケットのフローテーブルエントリを作成および記憶することができる。フローテーブルエントリは、ソースデータパケットがSYNパケットであること、および対応するリターントラフィック(SYN/ACKパケット)が宛先サイト150から受信されることを示すことができる。次いで、ソースルータ130は、ソースデータパケットを、カプセル化され、暗号化されたトンネルを介して、宛先サイト150に伝送することができる。上記の説明は、第1のファイアウォール140が、ソースルータ130によってソースデータパケットをマークする前にソースデータパケットを検査し得ることを示すが、いくつかの実施形態では、ソースルータ130は、ソースデータパケットを第1のファイアウォール140に転送する前にマークし得ることを理解されたい。換言すれば、本開示の範囲から逸脱することなく、特定のアクションの順序を変更することができる。
【0021】
宛先サイト150では、宛先ルータ160が、ソースデータパケットを受信することができる。宛先ルータ160は、トンネルのカプセル化を解除し、ソースデータパケットを検査することができる。宛先ルータ160は、マーカ、すなわち、Rフラグの存在に基づいて、ソースデータパケットがファイアウォール、すなわち、第1のファイアウォール140によって検査されたことを決定することができる。したがって、宛先ルータ160は、ソースデータパケットをそのローカルファイアウォール、すなわち、第2のファイアウォール170に転送する必要がないと決定することができる。その結果、宛先ルータ160は、ソースデータパケットに関連付けられたフローテーブルエントリをキャッシュし、次に、宛先サイト150に関連付けられた第2のファイアウォール170によるソースデータパケットの検査なしに、ソースデータパケットを宛先サイト150の宛先マシン180に転送することができる。ソースデータパケットに関連付けられたフローテーブルエントリをキャッシュすることによって、宛先ルータ160は、確認データパケット(すなわち、逆方向パケット)を後で確認することができ、これは、ソースデータパケットに関連付けられ、同じパスに沿って送り返される。さらに、ソースデータパケットはRフラグによってマークされたので、宛先ルータ160は、ファイアウォール検査がすでに行われたと決定でき、それによって第2のファイアウォール検査を回避することができる。例として、ソースデータパケットのヘッダにマーカ(Rフラグ)がなく、ファイアウォール検査が行われたことを示す場合、宛先ルータは、ソースデータパケットがファイアウォール検査の候補であると決定することができ、その結果、宛先サイト150に関連付けられた宛先マシン180にパケットを転送する前に、検査のためにソースデータパケットを第2のファイアウォール170に転送することができる。さらに、ファイアウォールはステートフルであるため、つまり、データパケットを検査するファイアウォールが、所与のデータパケットのフローを順方向と逆方向の両方で確認する必要があるため、第2のファイアウォールで順方向に流れるソースデータパケットを検査するには、同じファイアウォールで関連付けられた逆方向トラフィックの検査が必要になる。
【0022】
ソースマシン120によって送信されたソースデータパケット(例えば、SYNパケット)に応答して、宛先マシン180は、確認データパケット(例えば、SYN/ACKパケット)で応答することができる。具体的には、宛先サイト150の宛先マシン180は、ソースサイト110への逆方向伝送のために、宛先ルータ160に確認データパケットを伝送することができる。確認データパケットは、宛先マシン180との接続を要求するときに、ソースマシン120によって送信されたソースデータパケットに関連付ける(すなわち、それに応答して送信される)ことができる。
【0023】
宛先ルータ160は、確認データパケットが、以前にキャッシュされたフローテーブルエントリ(すなわち、ソースデータパケットに関連するフローテーブルエントリ)に関連付けられていると決定することができ、その結果、確認データパケットが、ローカルファイアウォール、つまり宛先サイト150の第2のファイアウォール170には送信される必要がないことを知る。したがって、宛先ルータ160は、確認データパケットをカプセル化し、宛先サイトの第2のファイアウォールによる検査なしに、宛先サイトからソースサイトにトンネルを通してそれを伝送することができる。
【0024】
ソースサイト110において、ソースルータ130は、確認データパケットを検査することができ、確認データパケットがソースデータパケットに関連付けられていること、すなわち、確認データパケットがSYNソースデータパケットに応答して送信されたSYN/ACKであることを決定することができる。この決定は、確認データパケットおよび/またはソースデータパケットに関連付けられたフローテーブルエントリを調べることによって行うことができる。ソースルータ130が、確認データパケットに関連付けられたフローテーブルエントリがないと決定した場合、データパケットはドロップされ得る。ある実施形態では、ソースルータ130は、確認データパケットが「R」フラグでマークされていないと追加的に決定することができ、その結果、確認データパケットをそのローカルファイアウォール、すなわち、第1のファイアウォール140に転送することができる。データパケットを検査している所与のファイアウォールは、両方向のデータパケットのフローを見る必要があるため、逆方向トラフィックも検査する必要がある。図1の実施例では、第1のファイアウォール140がソースデータパケットを検査したので、逆方向トラフィック、すなわち、確認データパケットも検査する。したがって、第1のファイアウォール140は、確認データパケットを検査することができ、ファイアウォールのアプリケーションポリシーに基づいて、確認データパケットを許可または拒否する決定を下すことができる。第1のファイアウォール140が確認データパケットを許可することを決定した場合、パケットは、ソースマシン120への伝送のためにソースルータ130に転送され得る。
【0025】
図1のシステム100には2つのルータが示されているが、ソースサイト110および宛先サイト150は、データパケットが送信および/または受信され得る任意の数のルータに関連付けられ得ることを理解されたい。例えば、第1のファイアウォール140がデータパケットを検査した後、パケットはソースルータ130またはネットワーク内の別のルータに送信され、クライアントに伝送され得る。
【0026】
ここで図2を参照すると、本開示による、データパケットの順方向フローに基づいて、ファイアウォール検査を検出するための方法200が示されている。方法は、ステップ205で開始し得る。ステップ210では、ソースサイトのソースマシンから宛先サイトの宛先マシンへの伝送のために、ソースデータパケットを識別することができる。ソースデータパケットは、WANなどのネットワークを介したソースマシンと宛先マシンとの間の接続要求に対応することができる。ある実施形態では、ソースデータパケットは、SYNパケットであってもよい。
【0027】
ステップ220では、ソースサイトに関連付けられた第1のファイアウォールでソースデータパケットを検査することができる。ソースデータパケットが第1のファイアウォールによる検査に合格すると仮定すると、ステップ230では、ソースデータパケットは、ソースデータパケットをマーカでマークして、第1のファイアウォールによる検査を示すことができる。ある実施形態では、ソースデータパケットは、TCPオプションを使用してフラグでマークされてもよい。ある実施形態では、フラグは、ソースデータパケットのTCPヘッダのオプションフィールドで利用可能なカスタム「R」(「リダイレクト」)フラグを含むことができる。ソースデータパケットが通信を要求するためのパケット(つまり、SYNパケット)であることと、対応するリターントラフィック(つまり、SYN/ACKパケット)が宛先サイトから受送されることと、を示すために、ソースデータパケットに対してFTPフローテーブルエントリを作成することもできる。
【0028】
ステップ240では、マークされたソースデータパケットが、カプセル化され暗号化されたトンネルを介して宛先サイトに伝送され得る。ステップ250では、トンネルのカプセル化が解除され、ソースデータパケットが宛先サイトで受信されると、ソースデータパケットが以前に検査されたかどうかについての決定が下され得る。この決定は、ソースデータパケットのヘッダ内のマーカ(Rフラグ)の存在に基づいて行うことができる。ステップ250で、ソースデータパケットが検査されたと決定された場合、方法はステップ260に進み得、ソースデータパケットに関連付けられたフローテーブルエントリがキャッシュされた後、ソースデータパケットは、宛先サイトに関連付けられた第2のファイアウォールによるソースデータパケットの検査なしで、宛先サイトの宛先マシンに転送され得る。方法は、ステップ270で終了し得る。
【0029】
ステップ250で、ソースデータパケットが検査されていないと決定された場合、方法はステップ280に進み得、ソースデータパケットは、第2の宛先サイトに関連付けられた第2のファイアウォールに転送され得、第2のファイアウォールによって検査される。方法は、ステップ270で終了し得る。
【0030】
ここで図3を参照すると、本開示による、データパケットの逆方向フローに基づいて、ファイアウォール検査を検出するための方法300が示されている。ある実施形態では、図3に記載された方法300は、図2に記載された方法200の続きであってもよく、すなわち、図3に関連して以下に記載された確認データパケットは、図2に関連して上述したソースデータパケットに応答して伝送されてもよい。
【0031】
図3に示すように、方法300は、ステップ305で開始し得る。ステップ310では、宛先サイトの宛先マシンからソースサイトのソースマシンへの逆方向伝送のための確認データパケットを識別することができる。確認データパケットは、ソースマシンからネットワークを介して宛先マシンに送信された接続要求に応答して送信され得るため、ソースデータパケットに関連付けることができる。ある実施形態では、確認データパケットは、図2に関連して記載されたSYNパケットに関連付けられ得るか、またはそれに応答して送信され得るSYN/ACKパケットであり得る。310における識別するステップは、確認データパケットが、以前にキャッシュされたソースデータパケットのフローテーブルエントリに関連付けられていることを決定することをさらに含むことができ(例えば、図2のステップ260)、結果として、確認データパケットは、ローカルファイアウォール、つまり、宛先サイトに関連付けられた第2のファイアウォールに送信する必要はない。
【0032】
ステップ320では、確認データパケットが、カプセル化され得、宛先サイトの第2ファイアウォールによる確認データパケットの検査なしに、宛先サイトからトンネルを通してソースサイトに伝送され得る。ステップ330では、確認データパケットがソースサイトで受信されると、確認データパケットがソースデータパケットに関連付けられているかどうか、すなわち、確認データパケットがSYNソースデータパケットに応答して送信されたSYN/ACKであることについての決定が下され得る。この決定は、確認データパケットがソースデータパケットに関連付けられていることを検証するために、FTPフローテーブルエントリを調べることによって下すことができる。
【0033】
ステップ330では、確認データパケットがソースデータパケットに関連付けられていない、すなわち、フローテーブルエントリが確認データパケットの検証に失敗したと決定された場合、方法はステップ370に進むことができ、確認データパケットはドロップされる。方法は、ステップ360で終了し得る。
【0034】
ステップ330では、確認データパケットがソースデータパケットに関連付けられている、すなわち、フローテーブルエントリが確認データパケットを検証すると決定された場合、方法はステップ340に進むことができ、確認データパケットは、検査のためにローカルファイアウォール、つまり、第1のファイアウォールに転送され得る。他の実施形態では、確認データパケットがソースデータパケットに関連付けられていると決定する代わりに、またはそれに加えて、確認データパケットが「R」フラグでマークされていない(すなわち、宛先サイトでマークされなかった)ことを決定することもでき、その結果、確認データパケットは検査のために第1のファイアウォールに転送され得る。
【0035】
ステップ340では、ソースサイトに関連付けられた第1のファイアウォールで確認データパケットを検査することができる。データパケットを検査する所与のファイアウォール(ここでは第1のファイアウォール)は、両方向のデータパケットのフローを見る必要があるため、逆方向トラフィックも検査する必要がある。例として、第1のファイアウォールは順方向トラフィック、すなわち図2のステップ220でソースデータパケットを検査したので、第1のファイアウォールは逆方向トラフィック、すなわち、確認データパケットも検査しなければならない。確認データパケットの検査に基づいて、ファイアウォールが確認データパケットを許可する場合、ステップ350では、確認データパケットは、ソースサイトに関連付けられたソースマシンに転送され得る。ステップ360で、方法は終了し得る。
【0036】
要するに、本開示のシステムおよび方法は、データパケットのファイアウォール検査の動的検出を可能にすることができ、それによって、ネットワークの1つ以上のファイアウォールによって行われ得る検査の数を少なくとも半分に減らすことができる。その結果、開示されたシステムおよび方法の利点には、既存のファイアウォールライセンスの下でのファイアウォール使用回数の削減、および/またはネットワークを通じて送信できるデータパケットの数の倍増が含まれる。追加的に、開示されたシステムおよび方法は、より少ないファイアウォールによってデータパケットが検査されるので処理時間が減少するため、システム待ち時間を改善することができる。
【0037】
ここで、例示的なコンピュータシステム400が示されている図4を参照する。特定の実施形態では、1つ以上のコンピュータシステム400は、本明細書で説明または図示する1つ以上の方法の1つ以上のステップを実施する。特定の実施形態では、1つ以上のコンピュータシステム400は、本明細書で説明または図示する機能を提供する。特定の実施形態では、1つ以上のコンピュータシステム400上で実行されるソフトウェアは、本明細書で説明もしくは図示する1つ以上の方法の1つ以上のステップを実施するか、または本明細書で説明もしくは図示する機能を提供する。特定の実施形態は、1つ以上のコンピュータシステム400の1つ以上の部分を含む。本明細書では、コンピュータシステムへの言及は、必要に応じて、コンピューティングデバイスを包含し得、逆もまた同様である。さらに、コンピュータシステムへの言及は、必要に応じて、1つ以上のコンピュータシステムを包含し得る。
【0038】
本開示は、任意の好適な数のコンピュータシステム400を企図している。本開示は、任意の好適な物理形態をとるコンピュータシステム400を企図している。限定としてではなく例として、コンピュータシステム400は、組み込みコンピュータシステム、システムオンチップ(SOC)、シングルボードコンピュータシステム(SBC)(例えば、コンピュータオンモジュール(COM)またはシステムオンモジュール(SOM)など)、デスクトップコンピュータシステム、ラップトップもしくはノートブックコンピュータシステム、インタラクティブキオスク、メインフレーム、コンピュータシステムのメッシュ、携帯電話、携帯情報端末(PDA)、サーバ、タブレットコンピュータシステム、拡張/仮想現実デバイス、またはこれらの2つ以上の組み合わせであり得る。必要に応じて、コンピュータシステム400は、1つ以上のコンピュータシステム400を含んでよく、一体型または分散型であってよく、複数の位置にまたがってよく、複数のマシンにまたがってよく、複数のデータセンターにまたがってよく、またはクラウドに常駐してよく、クラウドには1つ以上のネットワークに1つ以上のクラウド構成要素が含まれてもよい。必要に応じて、1つ以上のコンピュータシステム400は、実質的な空間的または時間的制限なしに、本明細書で説明または図示する1つ以上の方法の1つ以上のステップを実施することができる。限定ではなく一例として、1つ以上のコンピュータシステム400は、リアルタイムまたはバッチモードで、本明細書で説明または図示する1つ以上の方法の1つ以上のステップを実施することができる。1つ以上のコンピュータシステム400は、必要に応じて、本明細書で説明または図示する1つ以上の方法の1つ以上のステップを、異なる時間または異なる位置で実施することができる。
【0039】
特定の実施形態では、コンピュータシステム400は、プロセッサ402、メモリ404、ストレージ406、入力/出力(I/O)インターフェース408、通信インターフェース410、およびバス412を含む。本開示は、特定の配置で特定の数の特定の構成要素を有する特定のコンピュータシステムを説明および図示するが、本開示は、任意の好適な配置で任意の好適な数の任意の好適な構成要素を有する任意の好適なコンピュータシステムを企図する。
【0040】
特定の実施形態では、プロセッサ402は、コンピュータプログラムを構成するものなど、命令を実行するためのハードウェアを含む。限定としてではなく例として、命令を実行するために、プロセッサ402は、内部レジスタ、内部キャッシュ、メモリ404、またはストレージ406から命令を取り出し(またはフェッチし)、それらをデコードして実行し、次に、1つ以上の結果を、内部レジスタ、内部キャッシュ、メモリ404、またはストレージ406に書き込むことができる。特定の実施形態では、プロセッサ402は、データ、命令、またはアドレスのための1つ以上の内部キャッシュを含み得る。本開示は、必要に応じて、任意の好適な数の任意の好適な内部キャッシュを含むプロセッサ402を企図する。限定としてではなく例として、プロセッサ402は、1つ以上の命令キャッシュ、1つ以上のデータキャッシュ、および1つ以上のトランスレーションルックアサイドバッファ(TLB)を含み得る。命令キャッシュ内の命令は、メモリ404またはストレージ406内の命令のコピーであり得、命令キャッシュは、プロセッサ402によるそれらの命令の取り出しを高速化することができる。データキャッシュ内のデータは、プロセッサ402において実行される命令が動作するための、メモリ404もしくはストレージ406内のデータのコピーであるか、プロセッサ402において実行される後続の命令によるアクセスのために、もしくはメモリ404もしくはストレージ406への書き込みのために、プロセッサ402において実行された前の命令の結果であるか、または他の適切なデータであり得る。データキャッシュは、プロセッサ402による読み取りまたは書き込み動作を高速化することができる。TLBは、プロセッサ402のための仮想アドレス変換を高速化することができる。特定の実施形態では、プロセッサ402は、データ、命令、またはアドレスのための1つ以上の内部レジスタを含み得る。本開示は、必要に応じて、任意の好適な数の任意の好適な内部レジスタを含むプロセッサ402を企図する。必要に応じて、プロセッサ402は、1つ以上の算術論理ユニット(ALU)を含むか、マルチコアプロセッサであるか、または1つ以上のプロセッサ402を含み得る。本開示は、特定のプロセッサを説明および図示するが、本開示は、任意の好適なプロセッサを企図している。
【0041】
特定の実施形態では、メモリ404は、プロセッサ402が実行するための命令またはプロセッサ402が動作するためのデータを記憶するためのメインメモリを含む。限定ではなく一例として、コンピュータシステム400は、ストレージ406または別のソース(例えば、別のコンピュータシステム400など)からメモリ404に命令をロードすることができる。次に、プロセッサ402は、メモリ404から内部レジスタまたは内部キャッシュに命令をロードすることができる。命令を実行するために、プロセッサ402は、内部レジスタまたは内部キャッシュから命令を取り出し、それらをデコードすることができる。命令の実行中または実行後に、プロセッサ402は、(中間または最終結果であり得る)1つ以上の結果を内部レジスタまたは内部キャッシュに書き込むことができる。次に、プロセッサ402は、それらの結果のうちの1つ以上をメモリ404に書き込むことができる。特定の実施形態では、プロセッサ402は、(ストレージ406または他の場所とは対照的に)1つ以上の内部レジスタもしくは内部キャッシュまたはメモリ404内の命令のみを実行し、(ストレージ406または他の場所とは対照的に)1つ以上の内部レジスタもしくは内部キャッシュまたはメモリ404内のデータのみに対して作用する。(各々がアドレスバスおよびデータバスを含み得る)1つ以上のメモリバスは、プロセッサ402をメモリ404に結合することができる。バス412は、以下に説明するように、1つ以上のメモリバスを含み得る。特定の実施形態では、1つ以上のメモリ管理ユニット(MMU)は、プロセッサ402とメモリ404との間に常駐し、プロセッサ402によって要求されるメモリ404へのアクセスを容易にする。特定の実施形態では、メモリ404は、ランダムアクセスメモリ(RAM)を含む。このRAMは、必要に応じて、揮発性メモリであり得る。必要に応じて、このRAMは、ダイナミックRAM(DRAM)またはスタティックRAM(SRAM)であり得る。さらに、必要に応じて、このRAMは、シングルポートまたはマルチポートのRAMであり得る。本開示は、任意の好適なRAMを企図している。メモリ404は、必要に応じて、1つ以上のメモリ404を含み得る。本開示は、特定のメモリを説明および図示するが、本開示は、任意の好適なメモリを企図している。
【0042】
特定の実施形態では、ストレージ406は、データまたは命令のための大容量ストレージを含む。限定としてではなく例として、ストレージ406は、ハードディスクドライブ(HDD)、フロッピーディスクドライブ、フラッシュメモリ、光ディスク、磁気光学ディスク、磁気テープ、もしくはユニバーサルシリアルバス(USB)ドライブ、またはこれらのうちの2つ以上の組み合わせを含み得る。ストレージ406は、必要に応じて、取り外し可能または取り外し不可能な(または固定された)媒体を含み得る。ストレージ406は、必要に応じて、コンピュータシステム400の内部または外部にあり得る。特定の実施形態では、ストレージ406は、不揮発性のソリッドステートメモリである。特定の実施形態では、ストレージ406は、読み取り専用メモリ(ROM)を含む。必要に応じて、このROMは、マスクプログラムROM、プログラマブルROM(PROM)、消去可能PROM(EPROM)、電気的消去可能PROM(EEPROM)、電気的変更可能ROM(EAROM)、もしくはフラッシュメモリ、またはこれらの2つ以上の組み合わせであり得る。本開示は、任意の好適な物理形態をとる大容量ストレージ406を企図している。ストレージ406は、必要に応じて、プロセッサ402とストレージ406との間の通信を容易にする1つ以上のストレージ制御ユニットを含み得る。適切な場合、ストレージ406は、1つ以上のストレージ406を含み得る。本開示は、特定のストレージを説明および図示するが、本開示は、任意の好適なストレージを企図している。
【0043】
特定の実施形態では、I/Oインターフェース408は、ハードウェア、ソフトウェア、またはその両方を含み、コンピュータシステム400と1つ以上のI/Oデバイスとの間の通信のための1つ以上のインターフェースを提供する。コンピュータシステム400は、必要に応じて、これらのI/Oデバイスのうちの1つ以上を含み得る。これらのI/Oデバイスのうちの1つ以上は、人とコンピュータシステム400との間の通信を可能にし得る。限定ではなく一例として、I/Oデバイスには、キーボード、キーパッド、マイク、モニター、マウス、プリンタ、スキャナ、スピーカー、スチルカメラ、スタイラス、タブレット、タッチスクリーン、トラックボール、ビデオカメラ、別の好適なI/Oデバイス、またはこれらの2つ以上の組み合わせが含まれ得る。I/Oデバイスは、1つ以上のセンサを含んでもよい。本開示は、任意の好適なI/Oデバイスおよびそれらに適した任意のI/Oインターフェース408を企図している。必要に応じて、I/Oインターフェース408は、プロセッサ402がこれらのI/Oデバイスのうちの1つ以上を駆動することを可能にする1つ以上のデバイスまたはソフトウェアドライバを含み得る。I/Oインターフェース408は、必要に応じて、1つ以上のI/Oインターフェース408を含み得る。本開示は、特定のI/Oインターフェースを説明および図示するが、本開示は、任意の好適なI/Oインターフェースを企図している。
【0044】
特定の実施形態では、通信インターフェース410は、コンピュータシステム400と1つ以上の他のコンピュータシステム400もしくは1つ以上のネットワークとの間の通信(例えば、パケットベースの通信など)のための1つ以上のインターフェースを提供する、ハードウェア、ソフトウェア、またはその両方を含む。限定としてではなく例として、通信インターフェース410は、イーサネットもしくは他の有線ベースのネットワークと通信するためのネットワークインターフェースコントローラ(NIC)もしくはネットワークアダプタ、またはWI-FIネットワークなどの無線ネットワークと通信するための無線NIC(WNIC)もしくは無線アダプタを含み得る。本開示は、任意の好適なネットワークおよびそれに適した任意の通信インターフェース410を企図している。限定としてではなく、一例として、コンピュータシステム400は、アドホックネットワーク、パーソナルエリアネットワーク(PAN)、ローカルエリアネットワーク(LAN)、ワイドエリアネットワーク(WAN)、メトロポリタンエリアネットワーク(MAN)、もしくはインターネットの1つ以上の部分、またはこれらのうちの2つ以上の組み合わせと通信し得る。これらのネットワークのうちの1つ以上の1つ以上の部分は、有線または無線であり得る。一例として、コンピュータシステム400は、無線PAN(WPAN)(例えば、BLUETOOTH WPANなど)、WI-FIネットワーク、WI-MAXネットワーク、携帯電話ネットワーク(例えば、グローバルシステムフォーモバイルコミュニケーションズ(GSM)ネットワーク、ロングタームエボリューション(LTE)ネットワーク、または5Gネットワークなど)、もしくはその他の好適な無線ネットワーク、またはこれらの2つ以上の組み合わせと通信することができる。コンピュータシステム400は、必要に応じて、これらのネットワークのいずれかに適した通信インターフェース410を含み得る。通信インターフェース410は、必要に応じて、1つ以上の通信インターフェース410を含み得る。本開示は、特定の通信インターフェースを説明および図示するが、本開示は、任意の好適な通信インターフェースを企図している。
【0045】
特定の実施形態では、バス412は、コンピュータシステム400のハードウェア、ソフトウェア、またはその両方の互いに結合する構成要素を含む。限定としてではなく例として、バス412は、アクセラレーテッドグラフィックスポート(AGP)もしくは他のグラフィックスバス、拡張業界標準アーキテクチャ(EISA)バス、フロントサイドバス(FSB)、HYPERTRANSPORT(HT)相互接続、業界標準アーキテクチャ(ISA)バス、INFINIBAND相互接続、低ピンカウント(LPC)バス、メモリバス、マイクロチャネルアーキテクチャ(MCA)バス、周辺構成要素相互接続(PCI)バス、PCI-Express(PCIe)バス、シリアルアドバンストテクノロジーアタッチメント(SATA)バス、ビデオ電子装置標準化協会ローカル(VLB)バス、もしくは別の好適なバス、またはこれらのうちの2つ以上の組み合わせを含み得る。バス412は、必要に応じて、1つ以上のバス412を含み得る。本開示は、特定のバスを説明および図示するが、本開示は、任意の好適なバスまたは相互接続を企図している。
【0046】
本開示の実施形態は、サービスプレーン上での動的ファイアウォール発見のためのシステムおよび方法を対象とする。本方法は、ソースサイトのソースマシンから宛先サイトの宛先マシンに伝送するためのソースデータパケットを識別するステップであって、ソースデータパケットが、WANを介したソースマシンと宛先マシンの間の接続要求に対応する、識別するステップと、ソースサイトに関連付けられた第1のファイアウォールでソースデータパケットを検査するステップと、ソースデータパケットをマーカでマークして、第1のファイアウォールによる検査を示すステップと、マークされたソースデータパケットを宛先サイトに伝送するステップと、宛先サイトで、ソースデータパケットがマーカに基づいて検査されたと決定するステップと、宛先サイトに関連付けられた第2のファイアウォールによるソースデータパケットの検査なしに、ソースデータパケットを宛先サイトの宛先マシンに転送するステップと、を含む。
【0047】
本明細書では、1つ以上のコンピュータ可読非一時的記憶媒体は、必要に応じて、1つ以上の半導体ベースもしくは他の集積回路(IC)(例えば、フィールドプログラマブルゲートアレイ(FPGA)または特定用途向けIC(ASIC)など)、ハードディスクドライブ(HDD)、ハイブリッドハードドライブ(HHD)、光ディスク、光ディスクドライブ(ODD)、磁気光学ディスク、磁気光学ドライブ、フロッピーディスケット、フロッピーディスクドライブ(FDD)、磁気テープ、ソリッドステートドライブ(SSD)、RAMドライブ、SECURE DIGITALカードもしくはドライブ、任意の他の好適なコンピュータ可読非一時的記憶媒体、またはこれらのうちの2つ以上の任意の好適な組み合わせを含み得る。コンピュータ可読非一時的記憶媒体は、必要に応じて、揮発性、不揮発性、または揮発性と不揮発性の組み合わせであり得る。
【0048】
本明細書では、「または」は、明示的に別段の指示がない限り、または文脈によって別段の指示がない限り、包括的であり、排他的ではない。したがって、本明細書において、「AまたはB」は、明示的に別段の指示がない限り、または文脈によって別段の指示がない限り、「A、B、またはその両方」を意味する。さらに、「および」は、明示的に別段の指示がない限り、または文脈によって別段の指示がない限り、連帯および個別の両方である。したがって、本明細書において、「AおよびB」は、明示的に別段の指示がない限り、または文脈によって別段の指示がない限り、「連帯的または個別的に、AおよびB」を意味する。
【0049】
本開示の範囲は、当業者が理解するであろう、本明細書で説明または図示された例示的な実施形態に対するすべての変更、置換、変形、改変、および修正を包含する。本開示の範囲は、本明細書で説明または図示された例示的な実施形態に限定されない。さらに、本開示は、本明細書のそれぞれの実施形態が特定の構成要素、要素、特徴、機能、動作、またはステップを含むものとして説明および図示するが、これらの実施形態のいずれも、当業者であれば理解するであろう、本明細書のどこかで説明または図示する構成要素、要素、特徴、機能、動作、またはステップのいずれかの任意の組み合わせまたは置換を含むことができる。さらに、特定の機能を実施するように適合される、配置される、可能にする、構成されている、機能する、動作可能である、または動作する装置またはシステムまたはシステムの構成要素もしくは装置に対する特許請求の範囲における言及は、その装置、システム、または構成要素がそのように適合される、配置される、可能にする、構成されている、機能する、動作可能である、または動作する限り、その特定の機能が起動する、作動する、または解除されているかどうかにかかわらず、その装置、システム、構成要素を包含する。追加的に、本開示は、特定の実施形態を、特定の利点を提供するものとして説明または図示するが、特定の実施形態は、これらの利点をまったく提供しないか、またはそれらの一部、もしくはすべてを提供する場合がある。
【0050】
本明細書に開示される実施形態は、単なる例であり、本開示の範囲は、それらに限定されない。特定の実施形態は、本明細書に開示される実施形態の構成要素、要素、特徴、機能、動作、またはステップのすべて、一部を含む、またはいずれも含まない場合がある。本開示による実施形態は、特に、方法、記憶媒体、システム、およびコンピュータプログラム製品に向けた添付の特許請求の範囲に開示されており、ある請求項カテゴリ、例えば、方法で言及される任意の特徴は、別の請求項カテゴリ、例えば、システム、でも特許請求することができる。添付の特許請求の範囲に戻る従属性または参照は、正式な理由でのみ選択されている。ただし、任意の先行する特許請求の範囲(特に複数の従属性)への意図的な参照から生じる任意の主題も同様に特許請求することができるため、特許請求の範囲およびその特徴の任意の組み合わせが開示され、添付の特許請求の範囲で選択される従属性に関係なく特許請求することができる。特許請求可能な主題は、添付の特許請求の範囲に記載された特徴の組み合わせのみならず、特許請求の範囲内の任意の他の特徴の組み合わせも含み、特許請求の範囲で言及される各特徴は、特許請求の範囲における任意の他の特徴または他の特徴の組み合わせと組み合わせることができる。さらに、本明細書に記載または図示される実施形態および特徴のいずれも、別個の特許請求の範囲で、および/または本明細書に説明または描かれる任意の実施形態もしくは特徴、または添付の特許請求の範囲のいずれかの特徴との任意の組み合わせで特許請求することができる。
【図1】
【図2】
【図3】
【図4】
【国際調査報告】