[go: up one dir, main page]

CN119343893A - 用于时间确定性的防火墙的由条件决定的过滤 - Google Patents

用于时间确定性的防火墙的由条件决定的过滤 Download PDF

Info

Publication number
CN119343893A
CN119343893A CN202380020914.1A CN202380020914A CN119343893A CN 119343893 A CN119343893 A CN 119343893A CN 202380020914 A CN202380020914 A CN 202380020914A CN 119343893 A CN119343893 A CN 119343893A
Authority
CN
China
Prior art keywords
firewall
time
processing
data packet
filtering
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202380020914.1A
Other languages
English (en)
Inventor
T·黑尔
L·贝希特尔
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hirschmann Automation and Control GmbH
Original Assignee
Hirschmann Automation and Control GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hirschmann Automation and Control GmbH filed Critical Hirschmann Automation and Control GmbH
Publication of CN119343893A publication Critical patent/CN119343893A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

在此提出一种用于网络(1)中的数据包(3)在能规定的时间到达接收器的方法。对于该方法需要在计算机网络(1)中的防火墙(2)。给通过防火墙(2)发送给接收器的每个数据包(3)分配用于在防火墙(2)中处理的时间预算。在所述时间预算到期之后通过防火墙(2)实现用于相应的数据包(3)的防火墙动作(20),这可以实现为将包发送(16)至接收器或丢弃所述包。所述时间预算在此可以小于由防火墙(2)需要用以完全处理过滤规则的处理时间并且因此形成用于数据包在防火墙(2)中的处理的中断条件。

Description

用于时间确定性的防火墙的由条件决定的过滤
技术领域
本发明涉及一种用于实现用于时间确定性的防火墙的由条件决定的过滤的方法。
背景技术
在计算机网络中需要防火墙用以过滤在网络中发送的数据包并且借助规则将其转发或丢弃。
包过滤器(防火墙或具有ACL规则的交换机)查看各包并且借助规则集做出决定。该规则集可以保存在防火墙中。
实时传输的增强的出现引起:防火墙也可以实时地(亦即具有预定的延迟或处理时间)各包。供使用的时间预算在此可能对于包关于所有防火墙规则的完全分析而言过小。这可以与防火墙的负载(例如防火墙需要过长,因为优选处理其他运算操作)或在防火墙上的并行处理(CPU用于其他事务)有关。
当今,防火墙不了解时间预算。因此这导致:防火墙可能以过高的延迟/时延地转发包,并且如此对时间要求严格的包而言可能过晚地到达网络中的接收器。同样强烈变化的处理时间引起问题,因为由此可以产生冲击式的包处理以及包的拥堵。不变的处理时间因此在多种情况下是有利的,特别是对于在网络中包流的准确预测和规划。
迄今,该问题在研究中未被更尽力地考虑,因为防火墙未与对时间要求严格的传输相配合地应用。本发明描述一种用于处理该情况的方法。
发明内容
因此,本发明的任务在于,实现一种用于使对时间要求严格的包及时到达接收器的方法。相应地本发明提出如下任务,即阐明一种用于时间确定性的防火墙的由条件决定的过滤的方法。
所述任务通过独立权利要求的各特征解决。
为此提出一种方法,该方法设法使网络中的数据包在能规定的时间到达接收器。所述方法的目标在于,能够预测数据包由发送器至目标所需的时间,以便利用所述定义的时间控制网络中的数据传输并且能够对其进行预测。
为了实现通过防火墙对包的不变的处理时间,有意义的可以是,在固定的时刻t最大之后中断对包的分析并且将包在没有通过防火墙完全评估的情况下发送。
完全的处理时间假定为t处理。正常地,数据包在时刻t0到达之后在时刻t0+t处理被发送。持续时间t处理在此可能是可变的,因为所述持续时间与防火墙的处理时间以及过滤规则的数量有关。防火墙的规则组通常由多个(若干)规则组成。为了实现不变的处理时间,提出一种机制,所述机制限制如下这点:在达到最大处理时间t最大的情况下在此中断规则的处理并且采取预定的结果。在时刻t0+t最大(这必要时小于t0+t处理)发送所述包。备选地也可以以在所述固定的时间之后丢弃数据包来结束检查。这设法使得随后的数据包仅须等待定义的时间。
包的转发或丢弃定义为在防火墙规则组中的防火墙动作。防火墙动作在此可以是防火墙的常见的动作、如接受(Accept)、丢弃(Drop)、拒绝(Reject)和/或记录日志(Log)。这些动作也是可组合的。
在转发包的情况下,在最大处理时间t最大之后在没有完全过滤的情况下转发数据包。这对于包适用于如下,其中及时的传送的权重比所有防火墙规则的完全评估更重要。在t最大之后丢弃包对于低优先级的包是有意义的,以便在该更不重要的包的情况下不应用过多处理时间,这又可能延迟高优先的包。
应用哪个防火墙动作(丢弃或转发)的决定要么可以对于传输类型来配置要么可以借助包利用防火墙的匹配规则来求取。如此可以根据包特征对于不同的包规定不同的动作。这相应于防火墙的正常功能。
附加地可以根据传输类型配置最大处理时间t最大或者任意匹配规则可以用于定义t最大。为此,新的规则可以导入在防火墙中,所述防火墙作为决定包含处理策略(转发或删除)和/或时间预算t最大的重新分配。
因为在根据该方法发送包的情况下将包在非完全检测的情况下在时刻t0+t最大转发,所以可能产生安全问题(在决定发送的情况下)。同样可以出现重要的低优先级的包的损失(在决定丢弃的情况下)。
为了对付该问题,附加地规定,在时刻t0+t最大不仅发送和丢弃未完成处理的包,而且在缓冲器中保存所述包的拷贝,以便稍后一旦防火墙具有足够的性能预留则完全分析该拷贝,以便处理剩余的规则。为此将未完成而中断的包复制到缓冲器中并且在变得空闲的处理容量的情况下重新提供给过滤。在该稍后的第二过滤步骤中仅须还考虑迄今未应用的规则。因此在过滤中断的情况下同样缓存包,在那个规则位置中断了过滤以及如何处理了包(转发或删除)。
在(稍后的)第二过滤过程中可以对于缓存的包查明:转发或删除是不正确的。在错误转发的情况下那么可以告知另外的系统(例如用于入侵识别的系统),或者可以将用于跟随传输的明确的删除规则添加在防火墙中。将该附加规则添加在防火墙的规则列表的开始,以便该规则的处理是可能的。在错误删除的情况下,可以在完全过滤的情况下进一步发送所述包的缓存的拷贝。
因为缓存器对于稍后要分析的包是受限的,所以可以如此配置缓存器,使得仅仅对于确定的时段缓存包。随后可以将其删除或发送。同样可以如此配置所述缓存器,使得在缓存器中空间不足的情况下要么丢弃旧的要么丢弃新到达的数据包。
缓存器和/或第二过滤过程也可以实施在外部网络设备上。
所描述的方法由此实现两件事:a)与防火墙的负荷无关地实现用于包的有保障的处理时间。B)有助于负荷平滑化,因为可以在较小负荷的时间内再处理包。
附图说明
其他特征由附图产生。图中:
图1示出用于具有中断标准的包过滤的时间图;
图2示出对于图1的方框图;
图3示出用于具有后置的过滤的包过滤的时间图;
图4示出对于图3的方框图。
具体实施方式
图1作为时间图示出按照本发明的方法。在此将网络1中的数据包3提供给防火墙2,以便根据在防火墙2中保存的规则进行检查。以t0描述数据包的到达时间。
根据要处理的规则的数量、防火墙2的性能以及在数据包到达防火墙的输入4时出现的防火墙2的工作耗费,数据包需要处理时间t处理
然而存在如下情况,其中数据包的快速转发比在防火墙2中所有过滤规则的完全处理更重要。
为了引起时间确定性的特性,现在提出:可以根据可预定义的中断标准发送数据包3,即使在该时刻在防火墙2中的过滤还未结束。作为中断标准在图1中定义预定的时间t最大,所述预定的时间允许需要用于数据包3在防火墙2中的过滤的最大等待时间。如果该时间到期,那么中断7过滤并且转发8数据包。
在时间t最大到期之后,随后将数据包3发送至数据包3的输出7并且因此转发到网络1中。
为此有助的是,如果相应地标记数据包3,稍后也还可知的是:对于该数据包3不通过防火墙2实施完全的过滤。
图2作为方框图阐明根据图1的方法。在此首先由防火墙接收10数据包或数据帧。在此创建时间戳,或者以功能相同的方式在到达11防火墙时查明接收的时间。随后通过防火墙开始过滤处理12。
在处理了过滤规则之后,记录自从到达时间11过去的时间。该过去的时间随后被如下检查,该过去的时间是否已经相应于预定义的最大过滤时间。如果达到该时间,那么满足中断标准15。在该情况下,虽然还没有处理了所有过滤规则,将数据包引导至防火墙的输出并因此发送16。
代替于发送16数据包也可以实施防火墙动作。所述防火墙动作可以包含数据包(3)的转发或丢弃。
如果还没有达到中断标准15,那么询问14:另外的规则是否应该通过在防火墙中的过滤处理来实施。如果这是这样的情况,那么使得数据包经受另外的过滤处理12。
如果不应该处理另外的过滤规则,那么同样可以将数据包引导用于发送16。在时间确定性的网络中,较早到达的数据包是非紧急的,而应该避免数据包推迟地到达接收器。
图3作为时间图示出根据图1的按照本发明的方法,其中现在规定数据包的缓存以及数据包的再处理。在此将网络1中的数据包3提供给防火墙2,以便根据在防火墙2中保存的规则进行检查。以t0描述数据包的到达时间。
根据要处理的规则的数量、防火墙的性能以及在数据包到达防火墙的输入4时出现的防火墙的工作耗费,数据包需要处理时间t处理
然而存在如下情况,其中数据包的快速转发比在防火墙2中所有过滤规则的完全处理更重要。
为了引起时间确定性的性能,现在提出:可以根据可预定义的中断标准发送数据包3,即使在该时刻在防火墙2中的过滤还未结束。作为中断标准在图1中定义预定的时间t最大,所述预定的时间允许对于数据包3在防火墙2中的过滤所需的最大等待时间。如果该时间到期,那么中断7过滤并且转发8数据包。
在时间t最大到期之后,随后将数据包3发送至数据包3的输出7并且因此转发到网络1中。
为此有助的是,如果相应地标记数据包3,稍后也还可知的是:对于该数据包3不通过防火墙2实施完全的过滤。
有别于在图2中,将数据包3提供给缓存器。所述缓存器可以集成在防火墙2中,然而也可以为此对其设置另一网络参与方。
如果具有缓存器的网络参与方可以节省相应的资源,那么现在继续7’之前中断的过滤。该另外的规则处理那么又可以由防火墙2自身或者具有缓存器的网络参与方来实施。
为此提出,不仅将在缓存中的数据包标记为一,对于该数据包中断了过滤,而且也还必须处理其过滤规则直至完全的过滤。
对于该另外的过滤所需要的时间是可算出的。该时间由所定义的最大处理时间——在该处理时间之后首先中断防火墙2的处理——和再处理的处理时间来确定。所述两个时间的差于是就是用于再处理的处理时间。
如果再处理结束,那么可以导入防火墙动作。所述防火墙动作可以表示数据包的正常的转发8’或数据包的丢弃。
图4作为方框图阐明根据图3的方法。在此首先由防火墙接收10数据包或数据帧。在此创建时间戳,或者以功能相同的方式在到达11防火墙时查明接收的时间。随后通过防火墙开始过滤处理12。
在处理了过滤规则之后,记录自从到达时间11过去的时间。该过去的时间随后被如下检查,该时间是否已经相应于预定义的最大过滤时间。如果达到该时间,那么满足中断标准15。在该情况下,尽管还没有处理了所有过滤规则,还是将数据包引导至防火墙的输出并因此发送16。
代替于发送16数据包也可以实施防火墙动作。该防火墙动作可以包含数据包(3)的转发或丢弃。
如果产生询问17,即还没有处理所有规则,那么将数据包附加地传输到缓存器中。
如果还没有达到中断标准15,那么询问14:另外的规则是否应该通过在防火墙中的过滤处理实施。如果这是这样的情况,那么使数据包经受另外的过滤处理12。
如果不应处理另外的过滤规则,那么同样可以将数据包引导用于发送16。在时间确定性的网络中,较早到达的数据包是非紧急的,而应该避免数据包推迟地到达接收器。
如果标记用于稍后的再处理的数据包和/或数据包在缓存器中被接收用于后来的处理18,那么如果网络参与方为此可以节省资源,该稍后的处理18在稍后的时刻进行。
在此在如下位置继续过滤处理,在该位置中断标准15已经引起在防火墙中处理的中断。在结束过滤之后,随后使数据包经受防火墙动作20并且由此转发或丢弃。
附图标记列表
1网络
2防火墙
3数据包
4输入
5处理
6输出
7中断规则处理
7’继续规则处理
8转发
8’重新转发
10接收
11到达时间
12处理
13查明处理时间
14对另外的规则的询问
15中断标准
16发送
17对另外的规则的询问
18稍后的处理
20防火墙动作

Claims (15)

1.用于使网络(1)中的数据包(3)在能规定的时间到达接收器的方法,
利用在计算机网络(1)中的、包含过滤规则的防火墙(2),
其特征在于,
给每个数据包(3)分配用于在防火墙(2)中处理的时间预算,
在所述时间预算到期之后实施用于相应的数据包的能定义的防火墙动作(20),
其中,即使在所述时间预算到期时在防火墙(2)中过滤规则的处理还没有结束,也实施所述防火墙动作(20)。
2.根据权利要求1所述的方法,其特征在于,所述防火墙(2)的处理时间包括从数据包(3)在防火墙(2)上输入(4)经过处理(5)至数据包在防火墙(2)上输出(6)的时间。
3.根据权利要求1或2所述的方法,其特征在于,用于数据包(3)在防火墙(2)中处理的时间预算相应于能定义的最大时间(15),所述最大时间能够小于通过防火墙(2)处理的时间(12)。
4.根据权利要求4所述的方法,其特征在于,根据中断标准(15)作为防火墙动作(20)将数据包(3)发送(16)至防火墙(3)输出(7)。
5.根据权利要求4所述的方法,其特征在于,根据中断标准(15)作为防火墙动作(20)将数据包(3)丢弃。
6.根据权利要求4或5所述的方法,其特征在于,作为中断标准(15)对所定义的最大时间(15)的到期进行定义。
7.根据权利要求1至6之一所述的方法,其特征在于,对于在所述时间预算到期之后过滤规则在防火墙(2)中的处理还没有结束的情况,标记相应的数据包并且对其配设附加信息。
8.根据权利要求7所述的方法,其特征在于,标记包含仍挂起的过滤规则,所述仍挂起的过滤规则还未通过防火墙(2)处理。
9.根据权利要求1至8之一所述的方法,其特征在于,对于在所述时间预算到期之后过滤规则在防火墙(2)中的处理还没有结束的情况,在缓存器中存储相应的数据包。
10.根据权利要求9所述的方法,其特征在于,所述缓存器设置在防火墙(2)之外的网络参与方中。
11.根据权利要求9或10所述的方法,其特征在于,将所述缓存器中的数据包(3)在防火墙动作之后再处理,以便使防火墙(2)的过滤规则的处理完整。
12.根据权利要求11所述的方法,其特征在于,在过滤规则的处理完整之后同样实施防火墙动作(20)。
13.根据权利要求1至12之一所述的方法,其特征在于,在到达(11)防火墙(2)的输入(4)时进行数据包(3)的时间检测。
14.根据权利要求1至12之一所述的方法,其特征在于,所述处理时间相应于防火墙(2)对于数据包(3)的过滤处理(12)所需要的时间。
15.根据权利要求1至13之一所述的方法,其特征在于,通过在防火墙(2)之外的网络参与方执行用于在缓存器中的数据包(3)的过滤规则的稍后的处理(18)。
CN202380020914.1A 2022-02-18 2023-02-17 用于时间确定性的防火墙的由条件决定的过滤 Pending CN119343893A (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE102022103927.7 2022-02-18
DE102022103927 2022-02-18
PCT/EP2023/054098 WO2023156626A1 (de) 2022-02-18 2023-02-17 Bedingte filterung für zeitdeterministische firewalls

Publications (1)

Publication Number Publication Date
CN119343893A true CN119343893A (zh) 2025-01-21

Family

ID=85283949

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202380020914.1A Pending CN119343893A (zh) 2022-02-18 2023-02-17 用于时间确定性的防火墙的由条件决定的过滤

Country Status (4)

Country Link
EP (1) EP4480135A1 (zh)
CN (1) CN119343893A (zh)
DE (1) DE102023104049A1 (zh)
WO (1) WO2023156626A1 (zh)

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2287689C (en) * 1998-12-03 2003-09-30 P. Krishnan Adaptive re-ordering of data packet filter rules
EP2449731B1 (en) * 2009-07-02 2016-06-01 ABB Research Ltd. A method of limiting the amount of network traffic reaching a local node operating according to an industrial ethernet protocol
EP3130107B1 (en) * 2014-08-13 2019-11-06 Metamako Technology LP Apparatus and method for low latency switching

Also Published As

Publication number Publication date
EP4480135A1 (de) 2024-12-25
WO2023156626A1 (de) 2023-08-24
DE102023104049A1 (de) 2023-08-24

Similar Documents

Publication Publication Date Title
US8767551B2 (en) System and method for flow table management
US9898356B2 (en) Packet processing on a multi-core processor
CN109496410B (zh) 一种用于在网络设备中处理分组的方法及网络设备
US10104043B2 (en) Method and system for analyzing a data flow
KR100757872B1 (ko) 네트워크에서의 혼잡 발생 예고 시스템 및 방법
US8605588B2 (en) Packet drop analysis for flows of data
US7664112B2 (en) Packet processing apparatus and method
CN108667898B (zh) 网元和用于提供网元中的缓冲器内容的快照的方法
US9356844B2 (en) Efficient application recognition in network traffic
US20060045096A1 (en) Method, system, and computer product for controlling input message priority
US9055009B2 (en) Hybrid arrival-occupancy based congestion management
US20120082167A1 (en) Method and Apparatus for Predicting Characteristics of Incoming Data Packets to Enable Speculative Processing to Reduce Processor Latency
US11570118B2 (en) Network traffic disruptions
US20140036921A1 (en) Systems and Methods for Deep Packet Inspection with a Virtual Machine
CN112104564A (zh) 一种负载分担方法及设备
JP2007274056A (ja) データグラム再組立装置
CN119343893A (zh) 用于时间确定性的防火墙的由条件决定的过滤
JP2012129857A (ja) データ処理システム、およびデータ順序保証方法
CN117097679B (zh) 一种网络中断的聚合方法、装置及网络通信设备
CN113783794A (zh) 拥塞控制方法和装置
US9160688B2 (en) System and method for selective direct memory access
CN119182732B (zh) 报文转发方法、网卡、网关、介质和产品
CN119422350A (zh) 用于时间决定的防火墙的优先级区分
CN119343906A (zh) 用于时间确定性的防火墙的包延迟
JP4019027B2 (ja) パケット転送装置およびその方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination