ES2624219T3 - Método de procesamiento de políticas y dispositivo de red - Google Patents

Método de procesamiento de políticas y dispositivo de red Download PDF

Info

Publication number
ES2624219T3
ES2624219T3 ES12876592.2T ES12876592T ES2624219T3 ES 2624219 T3 ES2624219 T3 ES 2624219T3 ES 12876592 T ES12876592 T ES 12876592T ES 2624219 T3 ES2624219 T3 ES 2624219T3
Authority
ES
Spain
Prior art keywords
condition
conditions
service
rule
satisfied
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES12876592.2T
Other languages
English (en)
Inventor
Hewei LIU
Yunlong Shi
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Application granted granted Critical
Publication of ES2624219T3 publication Critical patent/ES2624219T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0893Assignment of logical groups to network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0894Policy-based network configuration management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/20Network management software packages
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/54Store-and-forward switching systems 
    • H04L12/56Packet switching systems
    • H04L12/5601Transfer mode dependent, e.g. ATM
    • H04L2012/5603Access techniques

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

Un dispositivo 70 de red, que comprende un organizador combinado 720, un comprobador 730 de condiciones y un comprobador 740 de reglas, en donde el organizador combinado 720 está configurado para implementar una organización combinada sobre todas las reglas de servicio correspondientes a múltiples aplicaciones de servicio que se ejecutan en el dispositivo 70 de red, con el fin de extraer las condiciones de todas las reglas de servicio, en donde cada una de las reglas de servicio comprende una condición y una acción, y el organizador combinado 720 está configurado, además, para utilizar las condiciones extraídas con el fin de construir al menos un conjunto de condiciones, y generar unos datos de la relación de asociación con el fin de registrar una relación de asociación entre cada regla de servicio y una condición en el conjunto de condiciones; el comprobador 730 de condiciones está configurado para realizar, de acuerdo con cada conjunto de condiciones construido por el organizador combinado 720, una comprobación de condiciones sobre la información de características de paquete de un paquete de datos de red recibido por el dispositivo 70 de red, y generar un conjunto de resultados de la comprobación de condiciones después de haber terminado la comprobación de condiciones de todas las condiciones comprendidas en el al menos un conjunto de condiciones construido, en donde el conjunto de resultados de la comprobación de condiciones se utiliza para registrar una condición satisfecha; y el comprobador 740 de reglas está configurado para determinar, de acuerdo con el conjunto de resultados de la comprobación de condiciones y los datos de la relación de asociación generados por el organizador combinado 720, una regla de servicio satisfecha, y activar una aplicación de servicio correspondiente a la regla de servicio satisfecha con el fin de ejecutar una acción correspondiente a la regla de servicio satisfecha.

Description

5
10
15
20
25
30
35
40
45
50
55
DESCRIPCION
Metodo de procesamiento de polfticas y dispositivo de red Campo tecnico
La presente invencion esta relacionada con el campo de las tecnologfas de las comunicaciones y, en particular, con un metodo de procesamiento de polfticas y un dispositivo de red
Antecedentes
En un sistema de comunicaciones, el control de polfticas es una funcion indispensable de varios dispositivos de red troncales (por ejemplo, un router, un conmutador y una pasarela). Tal como se muestra en la FIG. 1, un usuario configura multiples reglas de polftica utilizando una interfaz de configuracion o una programacion de polfticas espedfica o utilizando otros medios, y le envfa a un dispositivo las reglas de polftica, y el dispositivo procesa multiples servicios en el dispositivo basandose en las reglas de polftica.
En los dispositivos de red actuales y, en particular, en dispositivos como un router, un conmutador y una pasarela existen cada vez mas aplicaciones de servicio, por ejemplo, aplicaciones de servicio de control de entrega de aplicaciones (Application Delivery Controller, ADC), control de optimizacion de red de area amplia (WAN Optimization Controller, WOC), inspeccion de paquetes exhaustiva (Deep Packet Inspection, DPI), sistema de prevencion de intrusiones (Intrusion Prevention System, IPS) y filtro localizador de recursos uniformes (Uniform Resource Locator Filter, URLF). El numero y tipo de reglas de polftica correspondientes a varias aplicaciones de servicio tambien aumentan continuamente. Con el aumento de la complejidad de las reglas de servicio, los metodos de procesamiento de polfticas se enfrentan a retos en el rendimiento y fiabilidad de los dispositivos.
Tal como se muestra en la FIG. 2, la ejecucion de una regla de polftica en la tecnica anterior incluye los siguientes pasos: procesamiento de paquetes (recogida de informacion relacionada con la polftica), comprobacion de condiciones, verificacion de reglas y ejecucion de acciones. Despues de que un dispositivo reciba datos de un paquete, el dispositivo en primer lugar realiza un procesamiento de datos de las capas 1 a 7 sobre los datos del paquete recibido, lo que en general incluye desensamblar un paquete, extraer informacion de la cabecera del paquete de varias capas y extraer informacion de los campos del protocolo de capa 7; a continuacion el dispositivo verifica la informacion recogida en funcion de las condiciones de polftica y, si se cumple cualquiera de las condiciones, se activa un modulo de verificacion de reglas para realizar una asociacion de reglas; y si se cumple una regla de polftica, se ejecuta una accion del servicio correspondiente. Si diferentes servicios necesitan diferentes procesamientos de paquetes, se puede incluir un procesamiento especial de una parte de los paquetes.
En la tecnica anterior, cuando existe una informacion duplicada en la informacion de paquete requerida por varios servicios, se producen procedimientos duplicados de procesamiento de servicio. Por ejemplo, tanto IPS como URLF y ADC requieren que la comprobacion de condiciones se realice sobre la informacion de URL (Uniform/Universal Resource Locator, localizador de recursos uniforme). En este caso, en cada servicio, el procesamiento de comprobacion de la condicion esta duplicado, y el proceso de verificacion de reglas tambien esta duplicado. Ademas, algunas veces, en el procesamiento de paquetes, tambien se producen procesos duplicados y redundantes. Por ejemplo, cuando el IPS requiere un analisis de datos del paquete completo, y el URLF requiere examinar unicamente el campo URL, en tanto que el ADC requiere examinar unicamente los datos de la cabecera del paquete HTTP (Hyper Text Transfer Protocol, Protocolo de Transferencia de Hipertexto), en la tecnica anterior el paquete generalmente se procesa independientemente en los servicios IPS, URLF y ADC, lo que significa que el paquete se analiza multiples veces. El documento US 7257833 divulga una arquitectura para un sistema integrado de reforzamiento de polfticas que explota las similitudes de todas las polfticas; el documento US7058821 divulga un metodo para detectar una pluralidad de ataques de intrusion en un paquete transmitido en una red; el artfculo del IEEE titulado "Network-Level Access Control Policy Analysis and Transformation (Analisis y Transformacion de Polfticas de Control Acceso a Nivel de Red)" divulga un nuevo modelo formal para la representacion de polfticas que es independiente de los elementos de aplicacion actuales junto con un procedimiento que permite una facil identificacion y eliminacion de inconsistencias y anomaftas.
Incluso si se utiliza la tecnica anterior tambien pueden existir operaciones duplicadas en los pasos de procesamiento de paquetes, comprobacion de condiciones y comprobacion de reglas. Como pueden existir muchas operaciones duplicadas, el rendimiento del servicio se deteriora en los dispositivos que tienen polfticas complejas y multiples servicios.
Resumen
Los modos de realizacion de la presente invencion proporcionan un metodo de procesamiento de polfticas y un dispositivo de red, con el fin de reducir las operaciones redundantes y duplicadas en un proceso de ejecucion de polfticas, y mejorar el rendimiento de ejecucion de polfticas del dispositivo de red.
5
10
15
20
25
30
35
40
45
50
En un primer aspecto, un modo de realizacion de la presente invencion proporciona un dispositivo de red, que incluye: un organizador combinado, un comprobador de condiciones y un comprobador de reglas, donde:
el organizador combinado esta configurado para implementar una organizacion combinada sobre todas las reglas de servicios correspondientes a multiples aplicaciones de servicios que se ejecutan en el dispositivo de red, con el fin de extraer las condiciones de todas las reglas de servicio, donde cada una de las reglas de servicio incluye dos partes: una condicion y una accion, y utilizar las condiciones extrafdas para construir al menos un conjunto de condiciones, y generar datos de una relacion de asociacion con el fin de registrar una relacion de asociacion entre cada regla de servicio y una condicion del conjunto de condiciones;
el comprobador de condiciones esta configurado para realizar, en funcion de cada conjunto de condiciones construido por el organizador combinado, una comprobacion de condiciones sobre la informacion de caractensticas de paquete de un paquete de datos de red recibido por el dispositivo de red, y producir un conjunto de resultados de la comprobacion de condiciones despues de haber terminado la comprobacion de condiciones de todas las condiciones comprendidas en el al menos un conjunto de condiciones construido, donde el conjunto de resultados de la comprobacion de condiciones se utiliza para registrar que una condicion se ha mapeado satisfactoriamente; y
el comprobador de reglas esta configurado para determinar, en funcion del conjunto de resultados de la comprobacion de condiciones y la relacion de asociacion generados por el organizador combinado, una regla de servicio satisfecha, y activar una aplicacion de servicio correspondiente a la regla de servicio satisfecha para ejecutar una accion correspondiente a la regla de servicio satisfecha.
En una primera implementacion posible del primer aspecto, el organizador combinado incluye, espedficamente:
una unidad de descomposicion de reglas, configurada para descomponer cada una de las reglas de servicio en una condicion y una accion;
una unidad de eliminacion y filtrado de condiciones duplicadas, configurada para extraer las condiciones obtenidas mediante descomposicion por la unidad de descomposicion, y eliminar las condiciones duplicadas;
una unidad de clasificacion de condiciones, configurada para clasificar las condiciones restantes despues de haber eliminado las condiciones duplicadas por parte de la unidad de eliminacion y filtrado de condiciones duplicadas, con el fin de obtener al menos un tipo de conjunto de condiciones; y
una unidad de mapeo, configurada para generar datos de la relacion de asociacion con el fin de registrar una relacion de asociacion entre cada regla de servicio y una condicion del conjunto de condiciones.
De acuerdo con la primera implementacion posible del primer aspecto, en una segunda implementacion posible, la unidad de mapeo esta configurada espedficamente para: mapear cada condicion del conjunto de condiciones sobre todas las reglas de servicio que incluyen la condicion, con el fin de establecer una relacion de asociacion entre cada regla de servicio y una condicion del conjunto de condiciones, y generar datos de la relacion de asociacion con el fin de registrar la relacion de asociacion; o la unidad de mapeo esta configurada espedficamente para: cuando la unidad de descomposicion de reglas descompone cada una de las reglas de servicio en una condicion y una accion, registrar una relacion de asociacion entre cada regla de servicio y la condicion de la regla de servicio, y despues de haber eliminado las condiciones duplicadas mediante la unidad de eliminacion y filtrado de condiciones duplicadas, reconstruir la relacion de asociacion registrada, con el fin de mapear cada una de las condiciones del conjunto de condiciones sobre todas las reglas de servicio que incluyen la condicion, y generar datos de la relacion de asociacion con el fin de registrar la relacion de asociacion reconstruida.
De acuerdo con el primer aspecto, o la primera o segunda implementacion posibles del primer aspecto, en una tercera implementacion posible, el comprobador de condiciones esta configurado espedficamente para: comparar la informacion de caractensticas de paquete del paquete de datos de red recibido por el dispositivo de red con las condiciones en cada conjunto de condiciones, y registrar un identificador de una condicion satisfecha en el conjunto de resultados de la comprobacion de condiciones.
De acuerdo con la tercera implementacion posible del primer aspecto, en una cuarta implementacion posible, el dispositivo de red incluye, ademas: un inspector, configurado para realizar una inspeccion de paquetes sobre el paquete de datos de red recibido por el dispositivo de red para obtener la informacion de caractensticas de paquete del paquete de datos de red, donde el comprobador de condiciones esta configurado espedficamente para realizar, en funcion de cada uno de los conjuntos de condiciones construido por el organizador combinado, una comprobacion de condiciones sobre la informacion de caractensticas de paquete del paquete de datos de red obtenido por el inspector, y producir el conjunto de resultados de la comprobacion de condiciones.
5
10
15
20
25
30
35
40
45
De acuerdo con el primer aspecto, o la primera, segunda, tercera o cuarta implementacion posibles del primer aspecto, en una quinta implementacion posible, en todas las reglas de servicio del dispositivo de red, al menos una regla de servicio es una regla compuesta, donde la regla compuesta es una regla de servicio que incluye multiples condiciones;
el organizador combinado esta configurado, ademas, para registrar una relacion logica entre las condiciones de la regla compuesta; y
el comprobador de reglas esta configurado espedficamente para determinar, en funcion del conjunto de resultados de la comprobacion de condiciones, los datos de la relacion de asociacion generados por el organizador combinado, y la relacion logica entre las condiciones, una regla de servicio satisfecha, y para invocar una aplicacion de servicio a la que pertenece la regla de servicio satisfecha para ejecutar una accion correspondiente a la regla de servicio satisfecha, o enviar un mensaje de cumplimiento de regla a una aplicacion de servicio correspondiente a la regla de servicio satisfecha, con el fin de que la aplicacion de servicio ejecute una accion correspondiente a la regla de servicio satisfecha de acuerdo con el mensaje de cumplimiento de regla.
En un segundo aspecto, un modo de realizacion de la presente invencion proporciona un metodo de procesamiento de polfticas de multiples servicios, que incluye:
ejecutar una organizacion combinada sobre todas las reglas de servicio correspondientes a multiples aplicaciones de servicio, con el fin de extraer las condiciones de todas las reglas de servicio, donde cada una de las reglas de servicio incluye dos partes: una condicion y una accion, y utilizar las condiciones extrafdas para construir al menos un conjunto de condiciones, y generar datos de la relacion de asociacion con el fin de registrar una relacion de asociacion entre cada regla de servicio y una condicion del conjunto de condiciones;
realizar, de acuerdo con cada conjunto de condiciones construido, una comprobacion de condiciones sobre la informacion de caractensticas de paquete de un paquete de datos de red recibido, y producir un conjunto de resultados de la comprobacion de condiciones despues de haber terminado la comprobacion de condiciones de todas las condiciones comprendidas en el al menos un conjunto de condiciones construido, donde el conjunto de resultados de la comprobacion de condiciones se utiliza para registrar una condicion satisfecha; y
determinar, de acuerdo con el conjunto de resultados de la comprobacion de condiciones y los datos de la relacion de asociacion generados, una regla de servicio satisfecha, y activar una aplicacion de servicio correspondiente a la regla de servicio satisfecha para ejecutar una accion correspondiente a la regla de servicio satisfecha.
En una primera implementacion posible del segundo aspecto, la implementacion de una organizacion combinada sobre todas las reglas de servicio correspondientes a multiples aplicaciones de servicio incluye:
descomponer cada una de las reglas de servicio en una condicion y una accion, y generar datos de la relacion de asociacion con el fin de registrar una relacion de asociacion entre cada regla de servicio y la condicion de la regla de servicio;
extraer las condiciones obtenidas mediante descomposicion, y eliminar las condiciones duplicadas;
clasificar las condiciones restantes despues de haber eliminado las condiciones duplicadas, con el fin de obtener al menos un tipo de conjunto de condiciones; y
reconstruir los datos de la relacion de asociacion, con el fin de mapear cada una de las condiciones del conjunto de condiciones sobre una o multiples reglas de servicio que incluyen la condicion, obteniendo de este modo datos de la relacion de asociacion entre una condicion del conjunto de condiciones y cada regla de servicio.
En una segunda implementacion posible del segundo aspecto, la implementacion de una organizacion combinada sobre todas las reglas de servicio correspondientes a multiples aplicaciones de servicio incluye: descomponer cada una de las reglas de servicio en una condicion y una accion;
extraer las condiciones obtenidas mediante descomposicion y eliminar las condiciones duplicadas;
clasificar las condiciones restantes despues de haber eliminado las condiciones duplicadas con el fin de obtener al menos un tipo de conjunto de condiciones; y
mapear cada condicion del conjunto de condiciones sobre todas las reglas de servicio que incluyen la condicion, con el fin de obtener datos de la relacion de asociacion entre una condicion del conjunto de condiciones y cada regla de servicio.
5
10
15
20
25
30
35
40
45
50
De acuerdo con el segundo aspecto, o la primera o segunda implementacion posible del segundo aspecto, en una tercera implementacion posible, en todas las reglas de servicio al menos una regla de servicio es una regla compuesta, donde la regla compuesta es una regla de servicio que incluye multiples condiciones;
despues de haber dividido cada una de las reglas de servicio en una condicion y una accion, el metodo incluye, ademas: registrar una relacion logica entre las condiciones de la regla compuesta; y
la determinacion, en funcion del conjunto de resultados de la comprobacion de condiciones y los datos de la relacion de asociacion generados, de una regla de servicio satisfecha, incluye espedficamente: determinar, en funcion del conjunto de resultados de la comprobacion de condiciones, los datos de la relacion de asociacion entre una condicion del conjunto de condiciones y cada regla de servicio, y la relacion logica entre las condiciones, una regla de servicio satisfecha, e invocar a una aplicacion de servicio a la que pertenece la regla de servicio satisfecha para ejecutar una accion correspondiente.
En un tercer aspecto, un modo de realizacion de la presente invencion proporciona un medio no volatil legible por un ordenador que incluye operaciones almacenadas en el que cuando son procesadas por al menos una unidad de procesamiento hacen que un sistema ejecute los pasos comprendidos en el metodo de acuerdo con una cualquiera de las reivindicaciones 10 a 15.
Tal como se puede extraer a partir de las soluciones tecnicas anteriores, con el metodo de procesamiento de poltticas y el dispositivo de red en los modos de realizacion de la presente invencion, mediante la implementacion de una organizacion combinada sobre reglas de poltticas de aplicaciones de multiples servicios, en un proceso de analisis de datos de paquetes se extrae la informacion requerida por todos los servicios, y se realiza una comprobacion de condiciones y una comprobacion de reglas unificada para los multiples servicios. De este modo se reducen las operaciones redundantes entre multiples servicios, se facilita la convergencia de multiples servicios en un unico dispositivo y se mejora la integracion y el rendimiento del dispositivo; ademas, se reduce el coste del despliegue del servicio y el hardware del dispositivo, y se mejora el margen competitivo del dispositivo de red.
Breve descripcion de los dibujos
Con el fin de ilustrar con mas claridad las soluciones tecnicas de la presente invencion, a continuacion, se introducen brevemente los dibujos adjuntos para describir los modos de realizacion y la tecnica anterior. Evidentemente, los dibujos adjuntos de la siguiente descripcion muestran unicamente algunos modos de realizacion de la presente invencion, y las personas con un conocimiento normal de la tecnica aun pueden derivar sin esfuerzos creativos otros dibujos a partir de estos dibujos adjuntos.
La FIG. 1 es un diagrama esquematico de un modo de despliegue por capas de un control de poltticas de multiples servicios de acuerdo con la tecnica anterior;
la FIG. 2 es un diagrama de flujo esquematico de la ejecucion de reglas de polttica de acuerdo con un modo de realizacion de la tecnica anterior;
la FIG. 3 es un diagrama esquematico de una red empresarial privada en la nube de acuerdo con un modo de realizacion de la presente invencion;
la FIG. 4 es un diagrama de flujo esquematico de un metodo de procesamiento de poltticas de acuerdo con un modo de realizacion de la presente invencion;
la FIG. 5 es un diagrama de flujo de un metodo de procesamiento de poltticas de acuerdo con un modo de realizacion de la presente invencion;
la FIG. 6 es un diagrama esquematico de un metodo para la organizacion combinada de reglas de multiples servicios de acuerdo con un modo de realizacion de la presente invencion;
la FIG. 7 es un diagrama esquematico de un dispositivo de red de acuerdo con un modo de realizacion de la presente invencion;
la FIG. 8 es un diagrama esquematico de un organizador combinado de acuerdo con un modo de realizacion de la presente invencion;
la FIG. 9 es un diagrama de flujo de procesamiento esquematico de un comprobador de condiciones de acuerdo con un modo de realizacion de la presente invencion;
la FIG. 10 es un diagrama de flujo de procesamiento esquematico de un comprobador de condiciones de acuerdo con un modo de realizacion de la presente invencion;
5
10
15
20
25
30
35
40
45
50
55
la FIG. 11 es un diagrama de flujo de procesamiento esquematico de un comprobador de reglas de acuerdo con un modo de realizacion de la presente invencion;
la FIG. 12 es un diagrama de flujo esquematico de un metodo de procesamiento de polfticas de acuerdo con un modo de realizacion de la presente invencion; y
la FIG. 13 es un diagrama esquematico de un dispositivo de red de acuerdo con un modo de realizacion de la presente invencion.
Descripcion de los modos de realizacion
Con el fin de hacer mas comprensibles los objetivos, las soluciones tecnicas y las ventajas de la presente invencion, a continuacion, se describen claramente las soluciones tecnicas de la presente invencion haciendo referencia a los dibujos adjuntos en los modos de realizacion de la presente invencion. Evidentemente, los modos de realizacion descritos son unicamente una parte de los modos de realizacion de la presente invencion. Basandose en los modos de realizacion descritos de la presente invencion, las personas con un conocimiento normal de la tecnica pueden derivar incluso sin esfuerzos creativos otros modos de realizacion que pueden resolver el problema tecnico de la presente invencion y conseguir el efecto tecnico de la presente invencion mediante la realizacion de cambios equivalentes a algunas o todas las caractensticas tecnicas y, evidentemente, todos los modos de realizacion derivados a partir de dichos cambios se consideraran dentro del alcance divulgado por la presente invencion.
Con el fin de que las personas con un conocimiento normal de la tecnica puedan entender mas facilmente las soluciones tecnicas proporcionadas por los modos de realizacion de la presente invencion, en primer lugar se describen los escenarios de aplicacion de las soluciones tecnicas de los modos de realizacion de la presente invencion; las soluciones tecnicas proporcionadas por los modos de realizacion de la presente invencion son aplicables a un escenario de control de polfticas en el que existen aplicaciones de multiples servicios, por ejemplo, una red residencial, una red de acceso, una red de convergencia, una red troncal, una red empresarial, una red del operador y varias nubes privadas/publicas. A continuacion, con el fin de lograr una descripcion breve se utiliza una nube privada empresarial como un escenario de aplicacion tipico.
La FIG. 3 es un diagrama esquematico de una red en un escenario de nube privada empresarial de acuerdo con un modo de realizacion de la presente invencion. Tal como se muestra en la FIG. 3, en el escenario de nube privada empresarial, las subsidiarias (Branch Offices) forman una red de area local mediante un conmutador de red de area local (LAN SW) y un router (Router); al mismo tiempo, la red de area local formada por las subsidiarias esta interconectada con un centro de datos (Data Center) mediante una WAN (Wide Area Network, red de area amplia), y en el centro de datos tambien se despliegan multiples routers, pasarelas y multiples tipos de servidores (por ejemplo un servidor Web y un servidor de bases de datos); normalmente, servicios como el cortafuegos, WOC, IPS y URLF estan integrados en los routers y conmutadores de las subsidiarias, y aplicaciones de multiples servicios como el cortafuegos, WOC, ADC e IPS estan integrados en los routers y conmutadores del centro de datos. En esta situacion, todos los routers y conmutadores requieren multiples tipos de procesamiento de polfticas.
Se debe observar que el escenario de nube privada empresarial es unicamente un escenario de aplicacion tfpico de las soluciones tecnicas de la presente invencion, y no constituye una limitacion al escenario de aplicacion de la presente invencion; en otros escenarios de aplicacion, las soluciones tecnicas de los modos de realizacion de la presente invencion son aplicables siempre que esten implicados multiples tipos de procesamiento de polfticas.
Se proporciona una introduccion general al metodo de procesamiento de polfticas proporcionado por un modo de realizacion de la presente invencion. Tal como se muestra en la FIG. 4, el metodo incluye principalmente los pasos de procesamiento de analisis de paquetes, organizacion combinada, comprobacion de condiciones unificada, y verificacion de reglas unificada.
El analisis de paquetes consiste principalmente en extraer toda la informacion de caractensticas de paquete, por ejemplo, URL, 5-tupla, y tipo de protocolo tal como requieren las aplicaciones de multiples servicios, a partir de un paquete de datos de red recibido mediante la realizacion de una inspeccion del paquete, por ejemplo, una DPI (Deep Packet Inspection, inspeccion de paquetes exhaustiva) de capa 2 a capa 7. Ademas, en el proceso de analisis de paquetes no se realiza ninguna operacion redundante, y unicamente se extrae la informacion de caractensticas de paquete requerida por una aplicacion de servicio (por ejemplo, WOC, ADC e IPS) que se ejecuta en el dispositivo de red actual.
La organizacion combinada consiste espedficamente en organizar de forma combinada las reglas de servicio de todas las aplicaciones de servicio, e incluye esencialmente: (1) en relacion unicamente con la diferencia entre la informacion de paquete relacionada, extraer las condiciones del mismo tipo, y construir multiples tipos de conjuntos de condiciones; (2) generar una relacion de asociacion entre las condiciones y las reglas.
5
10
15
20
25
30
35
40
45
50
55
Se debe observar que una regla de servicio en el modo de realizacion de la presente invencion es una polftica de ejecucion de una aplicacion de servicio, donde una regla incluye dos partes: una condicion y una accion. Espedficamente, una regla puede incluir una o mas condiciones y tambien puede incluir una o mas acciones, y multiples condiciones en una misma regla de servicio tienen su origen en la informacion de paquete de diferentes capas. Por ejemplo, en una regla "if (IP = 1.1.1.1 &&
HTTP.host =
www.huawei.com) then drop packet", "IP = 1.1.1.1" y "
HTTP.host =
www.huawei.com" son dos condiciones paralelas, donde la primera es una condicion de la L3 y la ultima es una condicion de la L7, y ambas tienen una relacion logica "AND (y)"; y "drop packet (descartar paquete)" es una accion que tiene que ejecutar una aplicacion de servicio cuando se cumplen las condiciones.
La comprobacion de condiciones unificada es una comprobacion de condiciones unificada para multiples conjuntos de condiciones despues de la organizacion combinada.
La verificacion de reglas unificada consiste en realizar una comprobacion de reglas unificada sobre un conjunto de reglas que han pasado la organizacion combinada, y comprobar que reglas se satisfacen.
La finalidad de la comprobacion de condiciones unificada y la verificacion unificada es realizar una verificacion de condiciones y comprobacion de reglas unificadas sobre multiples tipos de informacion de caractensticas de paquete recogida mediante la realizacion de un analisis de paquetes y los multiples conjuntos de condiciones producto de la organizacion combinada, en lugar de realizar una accion de comprobacion de una unica condicion y una regla. Por ejemplo, si se sigue utilizando como ejemplo la regla anterior "if (IP = 1.1.1.1 &&
HTTP.host =
www.huawei.com) then drop packet", en primer lugar se recoge la informacion de caractensticas de paquete de cada capa mediante la identificacion del paquete y, a continuacion, la informacion se introduce en cada uno de los conjuntos de datos de condiciones correspondiente para la verificacion de las condiciones; a continuacion, se le notifica un resultado de la condicion de verificacion a un modulo de comprobacion de reglas para una comprobacion de reglas unificada, con el fin de obtener una regla satisfecha; y por ultimo se ejecuta una accion de servicio correspondiente a la regla satisfecha.
Basandose en la metodologfa descrita mas arriba, a continuacion, se describe un modo de realizacion espedfico. Tal como se muestra en la FIG. 5, un metodo de procesamiento de polfticas de multiples servicios proporcionado por un modo de realizacion de la presente invencion incluye lo siguiente:
S501. Implementar una organizacion combinada sobre todas las reglas de los servicios correspondientes a aplicaciones de multiples servicios, con el fin de extraer condiciones de todas las reglas de servicio, y utilizar las condiciones extrafdas para formar al menos un conjunto de condiciones, y generar datos de la relacion de asociacion con el fin de registrar una relacion de asociacion entre cada regla de servicio y una condicion en el conjunto de condiciones.
Se debe observar que normalmente una regla de servicio incluye dos partes: una condicion y una accion, las cuales se pueden describir brevemente como sigue:
regla: if (conjunto de condiciones) then (conjunto de acciones), donde: el conjunto de condiciones incluye condiciones y una relacion logica entre las condiciones, incluyendo normalmente AND y OR (o); el conjunto de acciones incluye multiples acciones de servicio en serie o en paralelo correspondientes a una regla, y normalmente se indican en secuencia, por ejemplo, accion 1 y accion 2; por simplicidad, en el modo de realizacion de la presente invencion se utiliza para la descripcion regla 1: if (condicion 1) then accion 1 incluyendo unicamente una condicion y una accion, donde regla 1 indica que se ejecuta la accion 1 cuando se cumple la condicion 1.
Espedficamente, en un modo de realizacion, la implementacion de una organizacion combinada sobre todas las reglas de servicio correspondientes a multiples aplicaciones de servicio incluye espedficamente lo siguiente:
S5011. Descomponer cada regla de servicio en una condicion y una accion, y generar datos de la relacion de asociacion con el fin de registrar una relacion de asociacion entre cada regla de servicio y la condicion en la regla de servicio.
Se debe observar que cuando todas las reglas de servicio son "una regla de una unica condicion" como la regla 1, en los datos de la relacion de asociacion unicamente es necesario registrar la relacion de asociacion entre la condicion en cada regla de servicio y la regla de servicio. Para dichas reglas de servicio, si se verifica satisfactoriamente la condicion, lo cual indica que se satisface la regla de servicio correspondiente a la condicion, la accion incluida en la regla de servicio tambien se puede activar y ejecutar. En un modo de realizacion, si existe una regla compuesta que incluye multiples condiciones, no es suficiente con registrar unicamente la relacion de asociacion entre cada regla de servicio y la condicion en la regla de servicio, porque en este caso, la condicion no se corresponde umvocamente con una regla; por lo tanto, es necesario registrar una relacion logica entre condiciones en una misma regla, ademas de registrar la relacion de asociacion entre cada regla de servicio y la condicion en la regla de servicio; en este caso, la comprobacion satisfactoria de la regla unicamente se puede
5
10
15
20
25
30
35
40
45
50
55
determinar en funcion del resultado de la comprobacion de cada una de las condiciones incluida en dicha regla y la relacion logica entre condiciones. Por ultimo, se debe observar que la denominacion datos de la relacion de asociacion es unicamente un nombre funcional, y puede ser un portador para almacenar datos como, por ejemplo, una tabla de datos y un fichero de datos en una implementacion espedfica.
55012. Extraer las condiciones de todas las reglas de servicio obtenidas mediante descomposicion, y eliminar las condiciones duplicadas.
55013. Clasificar las condiciones restantes despues de haber eliminado las condiciones duplicadas con el fin de obtener al menos un tipo de conjunto de condiciones.
Espedficamente, la clasificacion de las condiciones restantes despues de haber eliminado las condiciones duplicadas consiste en clasificar las condiciones con la misma caractenstica en un tipo, por ejemplo, clasificar las condiciones de comprobacion de una direccion IP en un tipo, y clasificar las condiciones para comprobar una URL en otro tipo. Realmente, la clasificacion tambien se puede realizar en funcion de un modo de comprobacion, por ejemplo, clasificar las condiciones para comprobar en funcion de un modo de expresion regular en un tipo, y la clasificacion tambien se puede realizar en funcion de las capas de informacion de los paquetes, por ejemplo, clasificar las condiciones de L3 en un tipo y clasificar las condiciones de L7 en otro tipo. Ademas, se debe observar que, en otra implementacion, la condicion incluida en la regla de servicio puede no ser unicamente una condicion asociada a informacion de caractensticas de datos de paquetes de capa L1 a L7, y tambien puede incluir una condicion de poltticas como, por ejemplo, un evento del servicio, un tipo de protocolo, un resultado del servicio, los cuales se pueden utilizar para determinar si se ejecuta un tipo de accion del servicio.
55014. Reconstruir los datos de la relacion de asociacion, con el fin de que cada una de las condiciones del conjunto de condiciones se mapee sobre todas las reglas de servicio que incluyen la condicion, obteniendo de este modo los datos de la relacion de asociacion entre una condicion del conjunto de condiciones y cada una de las reglas de servicio.
Como en el paso S5012 las condiciones duplicadas se eliminan de todas las condiciones extrafdas, todas las condiciones en cada uno de los conjuntos de condiciones obtenidas despues de la clasificacion son unicas. Sin embargo, los datos de la relacion de asociacion creados previamente pierden su integridad cuando se eliminan las condiciones duplicadas. Por lo tanto, se deben reconstruir los datos de la relacion de asociacion. Despues de la reconstruccion, todas las reglas de servicio que incluyen una misma condicion se mapean sobre la misma condicion correspondiente en el conjunto de condiciones, esto es, cada una de las condiciones del conjunto de condiciones se mapea sobre una o multiples reglas de servicio que incluyen la condicion.
Por supuesto, se puede entender que en otro modo de realizacion, los pasos anteriores se pueden simplificar aun mas; no se utiliza el modo en el que en primer lugar se generan los datos de la relacion de asociacion y a continuacion se reconstruyen los datos de la relacion de asociacion despues de haber eliminado las condiciones duplicadas, sino que en su lugar, despues de haber extrafdo las condiciones de todas las reglas de servicio y haber eliminado las condiciones duplicadas y haber formado mediante clasificacion un conjunto de condiciones, cada una de las condiciones de cada uno de los conjuntos de condiciones se mapea directamente sobre todas las reglas de servicio que incluyen la condicion, con el fin de obtener los datos de la relacion de asociacion entre una condicion del conjunto de condiciones y cada una de las reglas de servicio.
Ademas, en otro modo de realizacion, despues del paso S5014, se puede incluir el siguiente paso:
55015. Compilar en un formato unificado cada conjunto de condiciones obtenido despues de la clasificacion. Espedficamente, de acuerdo con el resultado de la clasificacion de condiciones despues de haber eliminado las condiciones duplicadas, se compila cada uno de los conjuntos de condiciones clasificados, en funcion de los tipos, en un formato soportado por un motor de comprobacion de condiciones. Ademas, los datos de la relacion de asociacion con el fin de registrar la relacion de asociacion entre la regla de servicio y la condicion en la regla de servicio se pueden compilar en un formato requerido por un motor de comprobacion de reglas; ademas, si existe la regla compuesta indicada mas arriba, es tambien necesario almacenar en el motor de comprobacion de reglas la relacion logica entre las condiciones de cada una de las reglas compuestas (o almacenar la relacion logica despues de haberla compilado en el formato soportado por el motor de comprobacion de reglas). Se debena observar que el motor de comprobacion de condiciones es esencialmente responsable de una verificacion unificada de varias condiciones, esto es, de verificar los datos de las condiciones con las que se asocian satisfactoriamente las reglas de servicio. Aquellos experimentados en la tecnica pueden entender que el motor de comprobacion de condiciones se puede implementar mediante software o mediante una logica hardware, la cual no se describe en detalle en la presente solicitud.
A continuacion, se describe el paso de mas arriba utilizando una instancia espedfica. Tal como se muestra en la FIG. 6, el dispositivo de red actual tiene las siguientes reglas de servicio (en la presente solicitud se utiliza como ejemplo para la descripcion la "condicion simple" de mas arriba):
5
10
15
20
25
30
35
40
45
50
55
IPS-rule1: if (URL = "url-l") alert threat 1 (alert process 1);
IPS-rule2: if (IP = "128.1.1.1") alert threat 2 (alert process 2);
URLF-rulel: if (URL = "url-2") block;
WOC-rule1: if (IP=" 128.1.1.1") read cache (read cache);
ADC-rule1: if (URL = "url-2") block;
En primer lugar se descompone cada una de las reglas de servicio, esto es, cada una de las reglas de servicio se descompone en una condicion y una accion, y se registra la relacion de asociacion entre la regla y la condicion; en la FIG. 6, URL = "url-1", URL = "url-2", IP = "128.1.1.1", etc. son todas condiciones; alert threat1 (alerta amenaza1), block (bloquear) y alert threat 2 son todas acciones; a continuacion, se eliminan las condiciones duplicadas de todas las condiciones obtenidas mediante descomposicion, por ejemplo, las condiciones IPS-rule2 (regla) y WOC-rule1 estan duplicadas, y las condiciones de URLF-rule1 y ADC-rule1 estan duplicadas; despues de haber eliminado las condiciones duplicadas, es tambien necesario reconstruir la relacion de asociacion entre las condiciones y las reglas, por ejemplo, la condicion IP = "128.1.1.1" que se muestra en la FIG. 6, despues de haber eliminado las condiciones duplicadas, es necesario mapearla sobre las dos reglas IPS-rule2 y WOC-rule1, y la condicion URL = url-2" es necesario mapearla sobre URLF-rule1 y ADC-rule1; a continuacion, se clasifican las condiciones restantes despues de haber eliminado las condiciones duplicadas, tal como se muestra en la FIG. 6; las condiciones asociadas con una URL se clasifican en un tipo, y las condiciones asociadas a una IP se clasifican en otro tipo, formando un conjunto de condiciones de URL y un conjunto de condiciones de IP.
S502. Realizar, en funcion de cada uno de los conjuntos de condiciones construidos, una comprobacion de condiciones sobre la informacion de caractensticas de paquete de un paquete de datos de red recibido, y generar un conjunto de resultados de la comprobacion de condiciones, donde el conjunto de resultados de la comprobacion de condiciones se utiliza para registrar una condicion satisfecha.
Espedficamente, la informacion de caractensticas de paquete del paquete de datos de red incluye espedficamente todas las caractensticas de paquetes asociadas a una regla de servicio de cada aplicacion de servicio, esto es, la informacion de caractensticas de paquete que se debe utilizar en el momento de verificar si se cumple la condicion en cada regla de servicio, la cual puede ser espedficamente una informacion de L1-L7 del paquete de datos de red, por ejemplo, la informacion de URL asociada a la condicion de la regla URLF y una informacion de 5-tupla asociada a la condicion de la regla IPS. La informacion de caractensticas de paquete del paquete de datos de red puede incluir, ademas, informacion asociada a la condicion para determinar si se ejecuta un tipo de accion de servicio, por ejemplo, un evento de servicio, un tipo de protocolo, un resultado del servicio, etc.
Suponiendo que se forman multiples conjuntos de condiciones despues de haber clasificado y compilado cada una de las reglas de servicio y haber eliminado las condiciones duplicadas, por ejemplo, un conjunto de condiciones de URL, un conjunto de condiciones de IP y un conjunto de condiciones de tipo de protocolo de capa de aplicacion, se realiza una comparacion de condiciones unificada sobre la informacion de caractensticas de paquete extrafda, que incluye espedficamente: introducir la URL del paquete de datos de red en el conjunto de condiciones de URL para su comparacion, introducir la direccion IP del paquete de datos de red en el conjunto de condiciones de direcciones IP para su comparacion, e introducir el tipo de protocolo de capa de aplicacion del paquete de datos de red en el conjunto de condiciones de tipo de protocolo de capa de aplicacion para su comparacion, donde el proceso de comparacion espedfico consiste en comparar si la informacion de caractensticas de paquete de datos de red coincide con las condiciones en cada uno de los conjuntos de condiciones o cumple el requisito de las condiciones. Los resultados de la comparacion de todos los conjuntos de condiciones se resumen en "un conjunto de resultados de la comprobacion de condiciones", que finalmente se envfa a un motor de comprobacion de reglas, donde el conjunto de resultados de la comprobacion de condiciones se utiliza para indicar que condiciones se han satisfecho (cumplido). Espedficamente, las condiciones satisfechas se pueden incluir en el conjunto de resultados de la comprobacion de condiciones mediante identificadores.
En una implementacion espedfica, el paso S502 incluye espedficamente lo siguiente:
S5021. Realizar una inspeccion de paquetes sobre el paquete de datos de red recibido, con el fin de extraer toda la informacion de caractensticas de paquete requerida por las multiples aplicaciones de servicio.
Toda la informacion de caractensticas de paquete, por ejemplo, URL, 5-tupla, y tipo de protocolo requerida por multiples servicios, se puede extraer del paquete de datos de red recibido mediante una inspeccion de paquetes, por ejemplo, una DPI (Deep Packet Inspection, inspeccion de paquetes exhaustiva) de capa 2 a capa 7. Ademas, en el proceso de analisis de paquetes no se realiza ninguna operacion redundante, y unicamente se extrae la informacion de caractensticas de paquete requerida por una aplicacion de servicio (por ejemplo, WOC, ADC e IPS) que se ejecuta en el dispositivo de red actual. Se debena observar que la informacion de caractensticas de
5
10
15
20
25
30
35
40
45
50
55
paquete requerida por la aplicacion de servicio se refiere espedficamente a la informacion de caractensticas de paquete asociada con la regla de servicio correspondiente a la aplicacion de servicio, o mas espedficamente, a una informacion de caractensticas de paquete correspondiente a la condicion en la regla de servicio, esto es, una informacion de caractensticas de paquete que se debe utilizar en el momento de verificar si se satisface la condicion incluida en la regla de servicio.
S5022. Comparar la informacion de caractensticas de paquete extrafda con las condiciones en cada uno de los conjuntos de condiciones, y registrar un identificador de una condicion satisfecha en el conjunto de resultados de la comprobacion de condiciones.
S503. Determinar, de acuerdo con el conjunto de resultados de la comprobacion de condiciones y los datos de la relacion de asociacion generados, una regla de servicio que se haya asociado correctamente, y activar una aplicacion de servicio correspondiente a una regla de servicio satisfecha con el fin de ejecutar una accion correspondiente a la regla de servicio satisfecha.
En un modo de realizacion espedfico, si las reglas de servicio son "una regla de una unica condicion" que incluye unicamente una condicion, el motor de comprobacion de reglas puede determinar, de acuerdo con la relacion de asociacion entre las condiciones y las reglas de servicio registradas en los datos de la relacion de asociacion, que reglas de servicio se han satisfecho, esto es, que reglas se cumplen; si una regla de servicio es una regla compuesta que incluye multiples condiciones, el motor de comprobacion de reglas tiene que determinar, de acuerdo con la relacion de asociacion entre cada una de las reglas de servicio y las condiciones y la relacion logica entre las condiciones en cada una de las reglas de servicio, si la regla se cumple; finalmente, se activa la aplicacion de servicio correspondiente a la regla de servicio satisfecha con el fin de ejecutar la accion correspondiente a la regla de servicio. Se entiende que el proceso de activacion de la ejecucion de la accion puede ser del siguiente modo: invocar una aplicacion de servicio a la que pertenece la regla de servicio satisfecha con el fin de ejecutar una accion correspondiente a la regla de servicio satisfecha; o enviar un mensaje de cumplimiento de regla a una aplicacion de servicio correspondiente a la regla de servicio satisfecha, con el fin de que la aplicacion de servicio ejecute la accion correspondiente a la regla de servicio satisfecha de acuerdo con el mensaje de cumplimiento de regla; o enviar un resultado de la comprobacion de cada una de las reglas de servicio a la aplicacion de servicio correspondiente, con el fin de que la aplicacion de servicio decida, en funcion de la comprobacion de la regla de servicio del servicio, si ejecutar la accion correspondiente a la regla.
Tal como se deduce a partir de la solucion tecnica descrita mas arriba, con el metodo de procesamiento de poltticas del modo de realizacion de la presente invencion, mediante la implementacion de una organizacion combinada sobre reglas de multiples servicios, todas las reglas de servicio se organizan de forma unificada, en un proceso de analisis de datos de paquetes se extrae la informacion requerida por todos los servicios, y unicamente es necesaria una comprobacion de condiciones y un proceso de verificacion de reglas. De este modo se reducen las operaciones redundantes entre multiples servicios, se facilita la convergencia de multiples servicios en un unico dispositivo y se mejora la integracion y el rendimiento del dispositivo; ademas, se reduce el coste del despliegue del servicio y el hardware del dispositivo, y se mejora el margen competitivo del dispositivo de red.
A continuacion, se describe un modo de realizacion de un equipo para implementar el metodo descrito mas arriba. Tal como se muestra en la FIG. 7, un modo de realizacion de la presente invencion proporciona un dispositivo de red. De acuerdo con la FIG. 7, el dispositivo 70 de red incluye: un organizador combinado 720, un comprobador 730 de condiciones, un comprobador 740 de reglas, donde cada una de las reglas de servicio incluye dos partes: una condicion y una accion.
El organizador combinado 720 esta configurado para implementar una organizacion combinada sobre todas las reglas de servicio correspondientes a aplicaciones de multiples servicios que se ejecutan en el dispositivo 70 de red, con el fin de extraer las condiciones de todas las reglas de servicio, y utilizar las condiciones extrafdas para construir al menos un conjunto de condiciones, y generar datos de la relacion de asociacion con el fin de registrar una relacion de asociacion entre cada regla de servicio y una condicion del conjunto de condiciones.
El comprobador 730 de condiciones esta configurado para realizar, de acuerdo con cada uno de los conjuntos de condiciones construidos por el organizador combinado 720, una comprobacion de condiciones sobre la informacion de caractensticas de paquete de un paquete de datos de red recibido por el dispositivo 70 de red, y generar un conjunto de resultados de la comprobacion de condiciones, donde el conjunto de resultados de la comprobacion de condiciones se utiliza para registrar una condicion satisfecha.
El comprobador 740 de reglas esta configurado para determinar, de acuerdo con el conjunto de resultados de la comprobacion de condiciones generado por el comprobador 730 de condiciones y los datos de la relacion de asociacion generados por el organizador combinado 720, una regla de servicio satisfecha, y activar una aplicacion de servicio correspondiente a la regla de servicio satisfecha con el fin de ejecutar una accion correspondiente a la regla de servicio satisfecha.
5
10
15
20
25
30
35
40
45
50
55
Espedficamente, en una implementacion, tal como se muestra en la FIG. 8, el organizador combinado 720 incluye espedficamente: una unidad 7201 de descomposicion de reglas, una unidad 7202 de eliminacion y filtrado de condiciones duplicadas, una unidad 7203 de clasificacion de condiciones, y una unidad 7204 de mapeo.
La unidad 7201 de descomposicion de reglas esta configurada principalmente para descomponer cada una de las reglas de servicio de un conjunto de reglas de multiples servicios en una condicion y una accion, donde el conjunto de reglas de multiples servicios incluye todas las reglas de servicio que se corresponden a aplicaciones de uno o multiples servicios ejecutandose o desplegadas en el dispositivo 70 de red.
La unidad 7202 de eliminacion y filtrado de condiciones duplicadas esta configurada para extraer las condiciones obtenidas mediante la descomposicion de la unidad 7201 de descomposicion de reglas y eliminar las condiciones duplicadas.
La unidad 7203 de clasificacion de condiciones esta configurada para clasificar las condiciones restantes despues de que la unidad 7202 de eliminacion y filtrado de condiciones duplicadas haya eliminado las condiciones duplicadas, con el fin de obtener al menos un tipo de conjunto de condiciones.
Espedficamente, la unidad 7203 de clasificacion de condiciones esta configurada para clasificar en un tipo las condiciones que tengan una misma caractenstica, por ejemplo, clasificar en un tipo las condiciones para la comprobacion de direccion IP, y clasificar en otro tipo las condiciones para comprobacion de URL. Evidentemente, la clasificacion tambien se puede realizar en funcion de un modo de comprobacion, por ejemplo, clasificar en un tipo las condiciones para su comprobacion en funcion de un modo de expresion regular, y tambien se puede realizar la clasificacion en funcion de las capas de informacion de paquetes, por ejemplo, clasificar las condiciones de L3 en un tipo, y clasificar las condiciones de L7 en otro tipo. Ademas, se debena observar que, en otra implementacion, la condicion incluida en la regla de servicio puede no ser unicamente una informacion de caractensticas asociada a las condiciones de los datos de L1 a L7 de los paquetes, y tambien puede incluir una condicion de polfticas como, por ejemplo, un evento de servicio, un tipo de protocolo y un resultado del servicio, la cual se puede utilizar para determinar si se esta ejecutando un tipo de accion de servicio.
La unidad 7204 de mapeo esta configurada para generar datos de la relacion de asociacion entre una condicion del conjunto de condiciones y cada una de las reglas de servicio.
Espedficamente, la unidad 7204 de mapeo puede mapear directamente cada condicion del conjunto de condiciones sobre todas las reglas de servicio que incluyen la condicion, con el fin de obtener datos de la relacion de asociacion entre una condicion del conjunto de condiciones y cada regla de servicio. En otro modo de realizacion, la unidad 7204 de mapeo tambien puede estar configurada para: cuando la unidad 7201 de descomposicion de reglas descompone cada una de las reglas de servicio en una condicion y una accion, generar datos de la relacion de asociacion con el fin de registrar una relacion de asociacion entre cada regla de servicio y la condicion de la regla de servicio, y despues de haber eliminado las condiciones duplicadas mediante la unidad 7202 de eliminacion y filtrado de condiciones duplicadas, reconstruir los datos de la relacion de asociacion, con el fin de que cada condicion del conjunto de condiciones se mapee sobre una o multiples reglas de servicio que incluyan la condicion, obteniendo de este modo los datos de la relacion de asociacion entre la condicion de la regla de servicio y cada regla de servicio.
Ademas, en un modo de realizacion, el organizador combinado 720 incluye, ademas: una unidad 7205 de compilacion configurada para compilar cada uno de los tipos de conjuntos de condiciones obtenidos mediante clasificacion en un formato unificado de acuerdo con los tipos, donde el formato unificado es un formato soportado por el comprobador 730 de condiciones; y en correspondencia, el comprobador 730 de condiciones esta configurado espedficamente para realizar, de acuerdo con los conjuntos de condiciones del formato unificado compilados mediante la unidad 7205 de compilacion, la comprobacion de condiciones sobre la informacion de caractensticas de paquete del paquete de datos de red recibido por el dispositivo 70 de red, y generar el conjunto de resultados de la comprobacion de condiciones.
Ademas, la unidad 7205 de compilacion puede estar configurada para compilar los datos de la relacion de asociacion generados por la unidad 7204 de mapeo en un formato soportado por el comprobador 740 de reglas; ademas, si existe una regla compuesta como la regla indicada mas arriba, almacenar en el comprobador 740 de reglas tambien la relacion logica entre las condiciones de cada regla de servicio (o almacenar los datos de la relacion de asociacion despues de haber compilado los datos en el formato soportado por el comprobador de reglas).
En una implementacion espedfica, el comprobador 730 de condiciones esta configurado espedficamente para comparar la informacion de caractensticas de paquete del paquete de datos de red recibido por el dispositivo 70 de red con las condiciones de cada conjunto de condiciones, y registrar en el conjunto de resultados de la comprobacion de condiciones un identificador de una condicion satisfecha. En la presente solicitud la informacion
11
5
10
15
20
25
30
35
40
45
50
55
de caractensticas de paquete de datos de red utilizada para la comprobacion incluye espedficamente toda la informacion de caractensticas de paquete asociada a la regla de servicio de la aplicacion de servicio que se ejecuta en el dispositivo 70 de red, esto es, la informacion de caractensticas de paquete correspondiente a la condicion de cada regla de servicio; el identificador de la condicion se utiliza para indicar unvocamente la condicion, y puede ser espedficamente un numero, una letra, una cadena de caracteres, etc.
El comprobador 730 de condiciones esta configurado espedficamente para realizar una comprobacion de condiciones unificada en cada tipo de conjunto de condiciones de acuerdo con el tipo de la caractenstica y la informacion de caractensticas de paquete correspondiente a las condiciones, y asf sucesivamente. Se debena observar que el conjunto de condiciones no esta limitado al conjunto de condiciones asociado a la informacion de caractensticas de los datos de los paquetes de L1-L7, y tambien puede incluir otros conjuntos de condiciones para determinar si se ejecuta un tipo de accion de servicio, por ejemplo, un evento de servicio, un tipo de protocolo, un resultado del servicio, etc.
En una implementacion, tal como se muestra en la FIG. 9, el procedimiento de procesamiento del comprobador 730 de condiciones es del siguiente modo:
En primer lugar, una de las multiples unidades de procesamiento procesa y analiza el paquete de datos de red (tal como se muestra en el procesamiento de L3-L7 de la FIG. 9, y otros procesamientos), y se extrae toda la informacion de caractensticas de paquete requerida por los multiples servicios y se le envfa al comprobador de condiciones para una comprobacion unificada; a continuacion, el comprobador de condiciones realiza la correspondiente comprobacion de multiples modos sobre la informacion de caractensticas de paquete extrafda de acuerdo con cada conjunto de condiciones generado por el organizador combinado. Este modo de comprobacion es una comprobacion de condiciones centralizada; el resultado generado por el comprobador de condiciones es un conjunto de resultados de comprobacion de condiciones, esto es, un conjunto de identificadores de condiciones satisfechas, donde cada identificador de condicion indica udvocamente una condicion.
En otro modo de realizacion, el dispositivo 70 de red puede incluir, ademas: un inspector 710, configurado para realizar una inspeccion de paquetes sobre el paquete de datos de red recibido con el fin de obtener toda la informacion de caractensticas del paquete requerida por las multiples aplicaciones de servicio que se ejecutan en el dispositivo de red; en correspondencia, el comprobador 730 de condiciones esta configurado espedficamente para realizar, de acuerdo con cada conjunto de condiciones construido por el organizador combinado 720, una comprobacion de condiciones sobre la informacion de caractensticas de paquete del paquete de datos de red obtenido por el inspector 710, y generar el conjunto de resultados de la comprobacion de condiciones.
Se debena observar que en una aplicacion real, el inspector 710 puede tener multiples unidades de procesamiento de paquetes, donde cada unidad de procesamiento de paquetes es responsable de forma independiente de un analisis de un tipo de paquete, por ejemplo, una unidad de procesamiento dedicada al procesamiento de la L3, una unidad de procesamiento dedicada al procesamiento de la L7, y asf sucesivamente; todas las unidades de procesamiento de paquetes en su conjunto extraen toda la informacion de caractensticas de paquete requerida por los multiples servicios; se debena observar que la informacion de caractensticas de paquete requerida por los servicios se refiere espedficamente a informacion de caractensticas de paquete asociada a todas las reglas de servicio correspondientes a la aplicacion de servicio en el dispositivo de red, o mas espedficamente, la informacion de caractensticas de paquete que se debe utilizar en el momento de verificar si se cumple cada una de las condiciones incluidas en la regla de servicio. En otra implementacion, el inspector tambien puede ser un procesador de multiples funciones que integra el procesamiento de L3-L7 o incluso otros tipos de funciones de procesamiento de paquetes, por ejemplo, un modulo de DPI. Ademas, aquellos experimentados en la tecnica pueden entender que, en una aplicacion real, el inspector 710 se puede desplegar no unicamente en el dispositivo de red, sino que tambien se puede utilizar como un modulo de servicio independiente y ser desplegado fuera del dispositivo de red e interconectado con el dispositivo de red mediante un bus o en otros modos de comunicacion.
En un escenario de aplicacion, el comprobador de condiciones puede ser un motor de comprobacion independiente, donde el motor de comprobacion se puede implementar mediante un algoritmo software o logica hardware.
En otro escenario de aplicacion, tal como se muestra en la FIG. 10, si el inspector 710 incluye multiples unidades de procesamiento de paquetes, el comprobador de condiciones tambien se puede segregar en multiples unidades funcionales logicas, las cuales se despliegan en cada una de las unidades de procesamiento de paquetes de forma distribuida; en este escenario, en funcion de la clasificacion de caractensticas, el organizador combinado envfa los conjuntos de condiciones obtenidos despues de la clasificacion a las unidades de procesamiento de paquetes correspondientes, y el comprobador de condiciones se despliega en cada una de las unidades de procesamiento de paquetes; despues de que la unidad de procesamiento de paquetes haya extrafdo la informacion de caractensticas de paquete, la informacion de caractensticas de paquete extrafda se envfa
5
10
15
20
25
30
35
40
45
50
55
directamente al comprobador de condiciones en la unidad de procesamiento de paquetes; si una condicion se cumple, el resultado se env^a al conjunto de resultados de la comprobacion de condiciones.
Tal como se muestra en la FIG. 11, el comprobador 740 de reglas esta configurado espedficamente para determinar, de acuerdo con el conjunto de resultados de la comprobacion de condiciones y la relacion de asociacion entre cada regla de servicio y la condicion de la regla de servicio registrada en los datos de la relacion de asociacion, una regla de servicio satisfecha y, a continuacion, invocar a una aplicacion de servicio para ejecutar una accion correspondiente a la regla de servicio. Se debena observar que si la regla de servicio es "una regla de condicion unica" que incluye unicamente una condicion, el comprobador 740 de reglas puede determinar, de acuerdo con el conjunto de resultados de la comprobacion de condiciones y la relacion de asociacion entre cada regla de servicio y la condicion en la regla de servicio registrada en los datos de la relacion de asociacion, que reglas de servicio se cumplen, esto es, que reglas se satisfacen, y a continuacion activar la aplicacion de servicio para ejecutar las acciones correspondientes a las reglas satisfechas; si en las reglas de servicio existe una regla compuesta que incluye multiples condiciones, el comprobador 740 de reglas puede determinar espedficamente si se cumple la regla de acuerdo con el conjunto de resultados de la comprobacion de condiciones, la relacion de asociacion entre cada regla de servicio y la condicion en la regla de servicio registrada en los datos de la relacion de asociacion, y la relacion logica entre las condiciones de cada regla de servicio; por ultimo, se activa la aplicacion de servicio correspondiente a la regla de servicio satisfecha con el fin de ejecutar la accion correspondiente a la regla de servicio. Espedficamente, el comprobador 740 de reglas puede invocar directamente, mediante una llamada a un proceso/funcion, la aplicacion de servicio a la que pertenece la regla de servicio satisfecha con el fin de ejecutar la accion correspondiente a la regla de servicio satisfecha; o enviar un mensaje de cumplimiento de regla a la aplicacion de servicio correspondiente a la regla de servicio satisfecha, con el fin de que la aplicacion de servicio ejecute la accion correspondiente a la regla de servicio satisfecha de acuerdo con el mensaje de cumplimiento de regla, donde el mensaje de cumplimiento de regla se utiliza para indicar que la regla de servicio se ha satisfecho.
A continuacion, se utiliza un ejemplo espedfico para describir un proceso de ejecucion de poltticas realizado por el dispositivo de red. La FIG. 12 muestra un metodo de ejecucion de polfticas de multiples servicios ejecutado con respecto a una informacion de URL de un paquete HTTP por un dispositivo de red de acuerdo con un modo de realizacion de la presente invencion. De acuerdo con la FIG. 12, en primer lugar un organizador combinado implementa una organizacion combinada sobre todas las reglas de servicio (la FIG. 12 muestra tres reglas de servicio), a continuacion extrae y envfa todas las condiciones de comprobacion de URL a un comprobador de condiciones de URL, y le envfa a un comprobador de reglas una relacion de asociacion entre las condiciones y las reglas de polftica y las acciones de polftica; durante la ejecucion de la polftica, la informacion de URL obtenida despues de haber realizado un procesamiento de DPI para un paquete se envfa al comprobador de condiciones de URL para una comprobacion de condiciones unificada, y el resultado de la comprobacion obtenido se envfa al comprobador de reglas. Suponiendo que en este instante se cumple una regla de ADC, se llama directamente a la unidad del servicio de ADC para ejecutar la accion correspondiente. Evidentemente, en el modo de realizacion de la presente invencion, para la URL unicamente es necesario un proceso de comprobacion, unicamente es necesario un proceso de verificacion de reglas, y para la unidad de servicio unicamente es necesario un proceso de llamada, lo cual elimina operaciones redundantes entre multiples servicios.
Por ultimo, se debena observar que el modo de realizacion del metodo anterior se puede referenciar para el principio de trabajo y el proceso de trabajo espedficos del dispositivo de red proporcionado por el modo de realizacion de la presente invencion, el cual no se vuelve a describir en la presente solicitud.
Con el dispositivo de red del modo de realizacion de la presente invencion, mediante la implementacion de una organizacion combinada sobre reglas de multiples servicios, todas las reglas de servicio se organizan de forma unificada, en un proceso de analisis de datos de paquetes se extrae la informacion requerida por todos los servicios, y unicamente es necesario un proceso de comprobacion de condiciones y de verificacion de reglas. De este modo se reducen las operaciones redundantes entre multiples servicios, se facilita la convergencia de multiples servicios en un unico dispositivo y se mejora la integracion y el rendimiento del dispositivo; ademas, se reduce el coste del despliegue del servicio y el hardware del dispositivo, y se mejora el margen competitivo del dispositivo de red.
La FIG. 13 es un diagrama esquematico de otro dispositivo de red de acuerdo con un modo de realizacion de la presente invencion. Tal como se muestra en la FIG. 13, el dispositivo de red incluye: al menos un procesador 1001, una memoria 1002, una interfaz 1003 de comunicacion y un bus. El procesador 1001, la memoria 1002 y la interfaz 1003 de comunicacion se conectan mediante un bus e implementan una comunicacion mutua. El bus puede ser un bus de arquitectura estandar de la industria (Industry Standard Architecture, ISA), un bus de interconexion de componentes perifericos (Peripheral Component Interconnect, PCI), o un bus de arquitectura estandar de la industria extendido (Extended Industry Standard Architecture, EISA), etc. El bus puede ser un bus de direcciones, un bus de datos, un bus de control, etc. Con el fin de facilitar su representacion, el bus se representa mediante una lmea solida, lo cual no quiere decir que unicamente exista un bus o un tipo de bus.
5
10
15
20
25
30
35
40
45
50
La memoria 1002 esta configurada para almacenar un codigo de programa ejecutable, donde el codigo de programa incluye una instruccion de operacion de ordenador. La memoria 1002 puede incluir una RAM de alta velocidad, y tambien puede incluir una memoria no volatil (memoria no volatil), por ejemplo, al menos un almacenamiento de disco.
En un modo de realizacion el procesador 1001 lee el codigo de programa ejecutable almacenado en la memoria 1002 para ejecutar el programa correspondiente al codigo de programa ejecutable con el fin de:
implementar una organizacion combinada sobre todas las reglas de servicio correspondientes a multiples aplicaciones de servicio, con el fin de extraer condiciones de todas las reglas de servicio, donde cada regla de servicio incluye dos partes: una condicion y una accion, y utilizar las condiciones extrafdas para construir al menos un conjunto de condiciones, y generar unos datos de la relacion de asociacion con el fin de registrar una relacion de asociacion entre cada regla de servicio y una condicion en el conjunto de condiciones;
realizar, de acuerdo con cada conjunto de condiciones construido, una comprobacion de condiciones sobre la informacion de caractensticas de paquete de un paquete de datos de red recibido, y generar un conjunto de resultados de la comprobacion de condiciones, donde el conjunto de resultados de la comprobacion de condiciones se utiliza para registrar una condicion satisfecha; y
determinar, de acuerdo con el conjunto de resultados de la comprobacion de condiciones y los datos de la relacion de asociacion generados, una regla de servicio satisfecha, y activar una aplicacion de servicio correspondiente a la regla de servicio satisfecha con el fin de ejecutar una accion correspondiente a la regla de servicio satisfecha.
El procedimiento indicado mas arriba no se describe con mas detalle en la presente solicitud. Para obtener mas detalles se pueden consultar los modos de realizacion del metodo y el equipo indicados mas arriba.
El procesador 1001 puede ser una unidad central de procesamiento (Central Processing Unit, CPU), o un circuito integrado para aplicaciones espedficas (Application Specific Integrated Circuit, ASIC), o esta configurado como uno o multiples circuitos integrados para implementar los modos de realizacion de la presente invencion.
Se debena observar que el procesador 1001 anterior no tiene unicamente la funcion descrita mas arriba, sino que tambien se puede configurar para ejecutar otros procedimientos en los modos de realizacion del metodo, lo cual no se describe en detalle en la presente solicitud.
La interfaz 1003 de comunicacion esta configurada principalmente para implementar la comunicacion entre el dispositivo de red de este modo de realizacion y otros dispositivos o equipos. Se entiende que, en los modos de realizacion de la presente invencion, el sistema, el equipo y el metodo divulgados se pueden implementar de otras formas. Por ejemplo, los modos de realizacion del equipo descritos mas arriba son unicamente ejemplos.
Las unidades descritas como componentes independientes pueden estar o no separados ffsicamente, y los componentes representados como unidades pueden ser o no unidades ffsicas, pueden estar localizados en una posicion o pueden encontrarse distribuidos en una pluralidad de unidades de red. Una parte o todas las unidades se pueden seleccionar de acuerdo con las necesidades reales para conseguir los objetivos de las soluciones de los modos de realizacion.
Ademas, las unidades funcionales de los dispositivos de red en los modos de realizacion de la presente invencion se pueden integrar en una unidad de procesamiento, o cada una de las unidades puede existir ffsicamente por sf sola, o dos o mas unidades se integran en una unidad. La unidad integrada se puede implementar en forma de hardware, o se puede implementar en forma de una unidad funcional de software.
Cuando la unidad integrada se implementa en forma de unidad funcional de software y se comercializa o se utiliza como un producto independiente, la unidad integrada se puede almacenar en un medio de almacenamiento legible por un ordenador. Basandose en dicho convenio, las soluciones tecnicas de la presente invencion esencialmente, o la parte que contribuye a la tecnica anterior, o todas o una parte de las soluciones tecnicas, se pueden implementar en forma de un producto software. El producto software de ordenador esta almacenado en un medio de almacenamiento, e incluye varias instrucciones para ordenar a un dispositivo informatico (el cual puede ser un ordenador personal, un servidor o un dispositivo de red) que realice todos o una parte de los pasos de los metodos descritos en los modos de realizacion de la presente invencion. El medio de almacenamiento anterior incluye: cualquier medio que pueda almacenar codigos de programa como, por ejemplo, un disco flash USB, un disco duro extrafble, una memoria de solo lectura (Read-Only Memory, ROM), una memoria de acceso aleatorio (Random Access Memory, RAM), un disco magnetico, o un disco optico.
Por ultimo, se debena observar que los modos de realizacion anteriores unicamente pretenden describir las soluciones tecnicas de la presente invencion, en lugar de limitar la presente invencion. Aunque la presente invencion se ha descrito en detalle haciendo referencia a los modos de realizacion anteriores, las personas con
un conocimiento normal en la tecnica debenan entender que pueden seguir realizando modificaciones a las soluciones tecnicas descritas en los modos de realizacion anteriores, o realizar sustituciones equivalentes a algunas de sus caractensticas tecnicas, sin apartarse del alcance de las soluciones tecnicas de los modos de realizacion de la presente invencion.

Claims (16)

  1. 5
    10
    15
    20
    25
    30
    35
    40
    45
    50
    REIVINDICACIONES
    1. Un dispositivo 70 de red, que comprende un organizador combinado 720, un comprobador 730 de condiciones y un comprobador 740 de reglas, en donde
    el organizador combinado 720 esta configurado para implementar una organizacion combinada sobre todas las reglas de servicio correspondientes a multiples aplicaciones de servicio que se ejecutan en el dispositivo 70 de red, con el fin de extraer las condiciones de todas las reglas de servicio, en donde cada una de las reglas de servicio comprende una condicion y una accion, y el organizador combinado 720 esta configurado, ademas, para utilizar las condiciones extrafdas con el fin de construir al menos un conjunto de condiciones, y generar unos datos de la relacion de asociacion con el fin de registrar una relacion de asociacion entre cada regla de servicio y una condicion en el conjunto de condiciones;
    el comprobador 730 de condiciones esta configurado para realizar, de acuerdo con cada conjunto de condiciones construido por el organizador combinado 720, una comprobacion de condiciones sobre la informacion de caractensticas de paquete de un paquete de datos de red recibido por el dispositivo 70 de red, y generar un conjunto de resultados de la comprobacion de condiciones despues de haber terminado la comprobacion de condiciones de todas las condiciones comprendidas en el al menos un conjunto de condiciones construido, en donde el conjunto de resultados de la comprobacion de condiciones se utiliza para registrar una condicion satisfecha; y
    el comprobador 740 de reglas esta configurado para determinar, de acuerdo con el conjunto de resultados de la comprobacion de condiciones y los datos de la relacion de asociacion generados por el organizador combinado 720, una regla de servicio satisfecha, y activar una aplicacion de servicio correspondiente a la regla de servicio satisfecha con el fin de ejecutar una accion correspondiente a la regla de servicio satisfecha.
  2. 2. El dispositivo de red de acuerdo con la reivindicacion 1, en donde el organizador combinado 720 comprende, espedficamente:
    una unidad 7201 de descomposicion de reglas, configurada para descomponer cada una de todas las reglas de servicio en una condicion y una accion;
    una unidad 7202 de eliminacion y filtrado de condiciones duplicadas, configurada para extraer las condiciones obtenidas mediante descomposicion por la unidad 7201 de descomposicion de reglas, y eliminar condiciones duplicadas;
    una unidad 7203 de clasificacion de condiciones, configurada para clasificar las condiciones restantes despues de haber eliminado las condiciones duplicadas mediante la unidad 7202 de eliminacion y filtrado de condiciones duplicadas, con el fin de obtener al menos un tipo de conjunto de condiciones; y
    una unidad 7204 de mapeo, configurada para generar los datos de la relacion de asociacion con el fin de registrar una relacion de asociacion entre cada regla de servicio y una condicion en el conjunto de condiciones.
  3. 3. El dispositivo de red de acuerdo con la reivindicacion 2, en donde la unidad 7204 de mapeo esta configurada espedficamente para: mapear cada una de las condiciones del conjunto de condiciones sobre todas las reglas de servicio que comprenden la condicion, con el fin de establecer la relacion de asociacion entre cada regla de servicio y una condicion del conjunto de condiciones, y generar los datos de la relacion de asociacion con el fin de registrar la relacion de asociacion; o la unidad 7204 de mapeo esta configurada espedficamente para: cuando la unidad 7201 de descomposicion de reglas descompone cada una de todas las reglas de servicio en una condicion y una accion, registrar una relacion de asociacion entre cada regla de servicio y la condicion de la regla de servicio, y despues de haber eliminado las condiciones duplicadas mediante la unidad 7202 de eliminacion y filtrado de condiciones duplicadas, reconstruir la relacion de asociacion registrada, de modo que cada condicion del conjunto de condiciones se mapee sobre todas las reglas de servicio que comprendan la condicion, y generar los datos de la relacion de asociacion con el fin de registrar la relacion de asociacion reconstruida.
  4. 4. El dispositivo de red de acuerdo con la reivindicacion 2 o 3, en donde: el organizador combinado 720 comprende, ademas, una unidad 7205 de compilacion configurada para compilar en un formato unificado cada uno de todos los tipos de conjuntos de condiciones formados mediante clasificacion por parte de la unidad 7203 de clasificacion de condiciones, en donde el formato unificado es un formato soportado por el comprobador 730 de condiciones; y el comprobador 730 de condiciones esta configurado, espedficamente, para realizar, de acuerdo con los conjuntos de condiciones del formato unificado compilados por la unidad 7205 de compilacion, una comprobacion de condiciones sobre la informacion de caractensticas de paquete del paquete de datos de red recibido por el dispositivo de red, y generar el conjunto de resultados de la comprobacion de condiciones.
    5
    10
    15
    20
    25
    30
    35
    40
    45
    50
  5. 5. El dispositivo de red de acuerdo con una cualquiera de las reivindicaciones 1 a 4, en donde el comprobador 730 de condiciones esta configurado espedficamente para:
    comparar la informacion de caractensticas de paquete del paquete de datos de red recibido por el dispositivo de red con las condiciones en cada conjunto de condiciones, y registrar un identificador de una condicion satisfecha en el conjunto de resultados de la comprobacion de condiciones.
  6. 6. El dispositivo de red de acuerdo con la reivindicacion 5, que comprende, ademas:
    un inspector 710, configurado para inspeccionar el paquete de datos de red recibido por parte del dispositivo de red con el fin de obtener la informacion de caractensticas de paquete del paquete de datos de red, en donde el comprobador 730 de condiciones esta configurado espedficamente para realizar, de acuerdo con cada conjunto de condiciones construido por el organizador combinado 720, una comprobacion de condiciones sobre la informacion de caractensticas de paquete del paquete de datos de red obtenido por el inspector, y generar el conjunto de resultados de la comprobacion de condiciones.
  7. 7. El dispositivo de red de acuerdo con la reivindicacion 6, en donde el inspector 710 comprende multiples unidades de procesamiento de paquetes, en donde las multiples unidades de procesamiento de paquetes estan configuradas para recoger y obtener conjuntamente del paquete de datos de red toda la informacion de caractensticas de paquete requerida por las multiples aplicaciones de servicio.
  8. 8. El dispositivo de red de acuerdo con la reivindicacion 7, en donde el comprobador 730 de condiciones se ha desplegado en las multiples unidades de procesamiento de forma distribuida.
  9. 9. El dispositivo de red de acuerdo con una cualquiera de las reivindicaciones 1 a 8, en donde: de todas las reglas de servicio, al menos una regla de servicio es una regla compuesta, en donde la regla compuesta es una regla de servicio que comprende multiples condiciones;
    el organizador combinado 720 esta configurado, ademas, para registrar una relacion logica entre las condiciones de la regla compuesta; y
    el comprobador 740 de reglas esta configurado espedficamente para determinar, de acuerdo con el conjunto de resultados de la comprobacion de condiciones, la relacion de asociacion registrada por el organizador combinado 720, y la relacion logica entre las condiciones, una regla de servicio satisfecha, e invocar una aplicacion de servicio a la que pertenece la regla de servicio satisfecha con el fin de ejecutar una accion correspondiente a la regla de servicio satisfecha, o enviar un mensaje de cumplimiento de regla a una aplicacion de servicio correspondiente a la regla de servicio satisfecha, con el fin de que la aplicacion de servicio ejecute una accion correspondiente a la regla de servicio satisfecha de acuerdo con el mensaje de cumplimiento de regla.
  10. 10. Un metodo de procesamiento de poltticas de multiples servicios, comprendiendo el metodo:
    implementar (S501) una organizacion combinada sobre todas las reglas de servicio correspondientes a multiples aplicaciones de servicio, con el fin de extraer las condiciones de todas las reglas de servicio, en donde cada regla de servicio comprende una condicion y una accion, y utilizar las condiciones extrafdas para construir al menos un conjunto de condiciones, y generar unos datos de la relacion de asociacion con el fin de registrar una relacion de asociacion entre cada regla de servicio y una condicion del conjunto de condiciones;
    realizar (S502), de acuerdo con cada conjunto de condiciones construido, una comprobacion de condiciones sobre la informacion de caractensticas de paquete de un paquete de datos de red recibido, y generar un conjunto de resultados de la comprobacion de condiciones despues de haber finalizado la comprobacion de condiciones de todas las condiciones comprendidas en el al menos un conjunto de condiciones construido, en donde el conjunto de resultados de la comprobacion de condiciones se utiliza para registrar una condicion satisfecha; y
    determinar (S503), de acuerdo con el conjunto de resultados de la comprobacion de condiciones y los datos de la relacion de asociacion generados, una regla de servicio satisfecha, y activar una aplicacion de servicio correspondiente a la regla de servicio satisfecha con el fin de ejecutar una accion correspondiente a la regla de servicio satisfecha.
  11. 11. El metodo de acuerdo con la reivindicacion 10, en donde la implementacion de una organizacion combinada sobre todas las reglas de servicio correspondientes a multiples aplicaciones de servicio comprende:
    descomponer cada una de todas las reglas de servicio en una condicion y una accion, y generar unos datos de la relacion de asociacion con el fin de registrar una relacion de asociacion entre cada regla de servicio y la condicion de la regla de servicio;
    extraer las condiciones obtenidas mediante descomposicion, y eliminar las condiciones duplicadas;
    5
    10
    15
    20
    25
    30
    35
    40
    clasificar las condiciones restantes despues de haber eliminado las condiciones duplicadas, con el fin de obtener al menos un tipo de conjunto de condiciones, y
    reconstruir los datos de la relacion de asociacion, de modo que cada condicion del conjunto de condiciones se mapee sobre todas las reglas de servicio que comprenden la condicion, con el fin de obtener los datos de la relacion de asociacion entre una condicion del conjunto de condiciones y cada regla de servicio.
  12. 12. El metodo de acuerdo con la reivindicacion 10, en donde la implementacion de una organizacion combinada sobre todas las reglas de servicio correspondientes a multiples aplicaciones de servicio comprende:
    descomponer cada una de todas las reglas de servicio en una condicion y una accion;
    extraer las condiciones obtenidas mediante descomposicion, y eliminar las condiciones duplicadas;
    clasificar las condiciones restantes despues de haber eliminado las condiciones duplicadas, con el fin de obtener al menos un tipo de conjunto de condiciones; y
    mapear cada condicion del conjunto de condiciones sobre todas las reglas de servicio que comprendan la condicion, con el fin de obtener los datos de la relacion de asociacion entre una condicion del conjunto de condiciones y cada regla de servicio.
  13. 13. El metodo de acuerdo con una cualquiera de las reivindicaciones 10 a 12, en donde la realizacion, de acuerdo con cada conjunto de condiciones construido, de la comprobacion de condiciones sobre la informacion de caractensticas de paquete de un paquete de datos de red recibido, y la generacion un conjunto de resultados de la comprobacion de condiciones comprende:
    realizar una inspeccion de paquetes sobre el paquete de datos de red recibido, con el fin de obtener toda la informacion de caractensticas de paquete requerida por las multiples aplicaciones de servicio; y
    comparar la informacion de caractensticas de paquete extrafda con las condiciones en cada conjunto de condiciones, y registrar en el conjunto de resultados de la comprobacion de condiciones un identificador de una condicion satisfecha.
  14. 14. El metodo de acuerdo con una cualquiera de las reivindicaciones 10 a 13, en donde: de todas las reglas de servicio, al menos una regla de servicio es una regla compuesta, en donde la regla compuesta es una regla de servicio que comprende multiples condiciones;
    despues de haber descompuesto cada una de todas las reglas de servicio en una condicion y una accion, el metodo comprende, ademas: registrar una relacion logica entre las condiciones en la regla compuesta; y
    la determinacion, de acuerdo con el conjunto de resultados de la comprobacion de condiciones y los datos de la relacion de asociacion generados, de una regla de servicio satisfecha comprende, espedficamente: determinar, de acuerdo con el conjunto de resultados de la comprobacion de condiciones, la relacion de asociacion y la relacion logica entre las condiciones, una regla de servicio satisfecha, e invocar una aplicacion de servicio a la que pertenece la regla de servicio satisfecha con el fin de ejecutar una accion correspondiente.
  15. 15. El metodo de acuerdo con una cualquiera de las reivindicaciones 10 a 13, en donde la activacion de una aplicacion de servicio correspondiente a la regla de servicio satisfecha con el fin de ejecutar una accion correspondiente a la regla de servicio satisfecha comprende:
    invocar una aplicacion de servicio a la que pertenece la regla de servicio satisfecha para ejecutar una accion correspondiente a la regla de servicio satisfecha; o enviar un mensaje de cumplimiento de regla a una aplicacion de servicio correspondiente a la regla de servicio satisfecha, con el fin de que la aplicacion de servicio ejecute una accion correspondiente a la regla de servicio satisfecha de acuerdo con el mensaje de cumplimiento de regla.
  16. 16. Un medio no transitorio legible por un ordenador que incluye operaciones almacenadas en el que cuando son procesadas por al menos una unidad de procesamiento provocan que un sistema ejecute los pasos comprendidos en el metodo de acuerdo con una cualquiera de las reivindicaciones 10 a 15.
ES12876592.2T 2012-12-03 2012-12-03 Método de procesamiento de políticas y dispositivo de red Active ES2624219T3 (es)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/CN2012/085721 WO2014085952A1 (zh) 2012-12-03 2012-12-03 一种策略处理的方法及网络设备

Publications (1)

Publication Number Publication Date
ES2624219T3 true ES2624219T3 (es) 2017-07-13

Family

ID=50323333

Family Applications (1)

Application Number Title Priority Date Filing Date
ES12876592.2T Active ES2624219T3 (es) 2012-12-03 2012-12-03 Método de procesamiento de políticas y dispositivo de red

Country Status (7)

Country Link
US (2) US9461888B2 (es)
EP (1) EP2760158B1 (es)
JP (1) JP5813252B2 (es)
KR (1) KR101489420B1 (es)
CN (1) CN103688489B (es)
ES (1) ES2624219T3 (es)
WO (1) WO2014085952A1 (es)

Families Citing this family (133)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103688489B (zh) * 2012-12-03 2017-02-22 华为技术有限公司 一种策略处理的方法及网络设备
CN103346974B (zh) 2013-06-03 2015-04-08 华为技术有限公司 一种业务流程的控制方法及网络设备
US10454714B2 (en) 2013-07-10 2019-10-22 Nicira, Inc. Method and system of overlay flow control
US10749711B2 (en) 2013-07-10 2020-08-18 Nicira, Inc. Network-link method useful for a last-mile connectivity in an edge-gateway multipath system
CN104104615B (zh) * 2014-07-21 2017-07-07 华为技术有限公司 策略冲突解决方法以及装置
CN104202206A (zh) * 2014-07-25 2014-12-10 汉柏科技有限公司 报文处理装置及方法
CN104202249A (zh) * 2014-07-25 2014-12-10 汉柏科技有限公司 报文处理方法及装置
CN104219238B (zh) * 2014-08-30 2018-05-29 华为技术有限公司 报文处理方法和装置
CN104243487A (zh) * 2014-09-28 2014-12-24 网神信息技术(北京)股份有限公司 安全网关的规则匹配方法和装置
KR102364712B1 (ko) 2015-04-03 2022-02-18 한국전자통신연구원 분산 클라우드 환경에서 서비스 오케스트레이션 시스템 및 방법
US10425382B2 (en) 2015-04-13 2019-09-24 Nicira, Inc. Method and system of a cloud-based multipath routing protocol
US10135789B2 (en) 2015-04-13 2018-11-20 Nicira, Inc. Method and system of establishing a virtual private network in a cloud service for branch networking
US10498652B2 (en) 2015-04-13 2019-12-03 Nicira, Inc. Method and system of application-aware routing with crowdsourcing
CN105592053B (zh) * 2015-09-14 2018-11-27 新华三技术有限公司 一种匹配规则的匹配方法和装置
US10003466B1 (en) * 2015-09-15 2018-06-19 Amazon Technologies, Inc. Network traffic with credential signatures
CN106815112B (zh) * 2015-11-27 2020-03-24 大唐软件技术股份有限公司 一种基于深度包检测的海量数据监控系统及方法
US9928230B1 (en) 2016-09-29 2018-03-27 Vignet Incorporated Variable and dynamic adjustments to electronic forms
US12217036B2 (en) 2016-02-10 2025-02-04 Vignet Incorporated Automating interactions for health data collection and patient engagement
US11127308B2 (en) 2016-05-11 2021-09-21 Vignet Incorporated Personalized digital therapeutic interventions
US9858063B2 (en) 2016-02-10 2018-01-02 Vignet Incorporated Publishing customized application modules
US9753618B1 (en) 2016-05-11 2017-09-05 Vignet Incorporated Multi-level architecture for dynamically generating interactive program modules
US9848061B1 (en) * 2016-10-28 2017-12-19 Vignet Incorporated System and method for rules engine that dynamically adapts application behavior
US10069934B2 (en) 2016-12-16 2018-09-04 Vignet Incorporated Data-driven adaptive communications in user-facing applications
US9983775B2 (en) 2016-03-10 2018-05-29 Vignet Incorporated Dynamic user interfaces based on multiple data sources
CN105912571A (zh) * 2016-03-30 2016-08-31 广东凯通软件开发有限公司 告警处理方法及装置
US10992568B2 (en) 2017-01-31 2021-04-27 Vmware, Inc. High performance software-defined core network
US11121962B2 (en) 2017-01-31 2021-09-14 Vmware, Inc. High performance software-defined core network
US10992558B1 (en) 2017-11-06 2021-04-27 Vmware, Inc. Method and apparatus for distributed data network traffic optimization
US20200036624A1 (en) 2017-01-31 2020-01-30 The Mode Group High performance software-defined core network
US11706127B2 (en) 2017-01-31 2023-07-18 Vmware, Inc. High performance software-defined core network
US11252079B2 (en) 2017-01-31 2022-02-15 Vmware, Inc. High performance software-defined core network
US20180219765A1 (en) 2017-01-31 2018-08-02 Waltz Networks Method and Apparatus for Network Traffic Control Optimization
US10778528B2 (en) 2017-02-11 2020-09-15 Nicira, Inc. Method and system of connecting to a multipath hub in a cluster
US10574528B2 (en) 2017-02-11 2020-02-25 Nicira, Inc. Network multi-source inbound quality of service methods and systems
CN106897927A (zh) * 2017-02-16 2017-06-27 中国人民银行清算总中心 一种交易系统业务检查方法及系统
US10803411B1 (en) 2017-04-17 2020-10-13 Microstrategy Incorporated Enterprise platform deployment
US10523539B2 (en) 2017-06-22 2019-12-31 Nicira, Inc. Method and system of resiliency in cloud-delivered SD-WAN
CN107508698B (zh) * 2017-07-20 2020-07-24 上海交通大学 雾计算中基于内容感知和带权图的软件定义服务重组方法
CN109391590A (zh) * 2017-08-07 2019-02-26 中国科学院信息工程研究所 一种面向网络访问控制的规则描述方法及构建方法、介质
US10959098B2 (en) 2017-10-02 2021-03-23 Vmware, Inc. Dynamically specifying multiple public cloud edge nodes to connect to an external multi-computer node
US10999165B2 (en) 2017-10-02 2021-05-04 Vmware, Inc. Three tiers of SaaS providers for deploying compute and network infrastructure in the public cloud
US10594516B2 (en) 2017-10-02 2020-03-17 Vmware, Inc. Virtual network provider
US11089111B2 (en) 2017-10-02 2021-08-10 Vmware, Inc. Layer four optimization for a virtual network defined over public cloud
US10999100B2 (en) 2017-10-02 2021-05-04 Vmware, Inc. Identifying multiple nodes in a virtual network defined over a set of public clouds to connect to an external SAAS provider
US11115480B2 (en) 2017-10-02 2021-09-07 Vmware, Inc. Layer four optimization for a virtual network defined over public cloud
US10521557B2 (en) 2017-11-03 2019-12-31 Vignet Incorporated Systems and methods for providing dynamic, individualized digital therapeutics for cancer prevention, detection, treatment, and survivorship
US11153156B2 (en) 2017-11-03 2021-10-19 Vignet Incorporated Achieving personalized outcomes with digital therapeutic applications
US10756957B2 (en) 2017-11-06 2020-08-25 Vignet Incorporated Context based notifications in a networked environment
US11223514B2 (en) 2017-11-09 2022-01-11 Nicira, Inc. Method and system of a dynamic high-availability mode based on current wide area network connectivity
US10095688B1 (en) 2018-04-02 2018-10-09 Josh Schilling Adaptive network querying system
CN110830278A (zh) * 2018-08-09 2020-02-21 中兴通讯股份有限公司 一种设备配置更新方法、更新装置及计算机可读存储介质
US10775974B2 (en) 2018-08-10 2020-09-15 Vignet Incorporated User responsive dynamic architecture
CN109376988B (zh) * 2018-09-11 2022-11-18 创新先进技术有限公司 一种业务数据的处理方法和装置
US11158423B2 (en) 2018-10-26 2021-10-26 Vignet Incorporated Adapted digital therapeutic plans based on biomarkers
CN109361701A (zh) * 2018-12-07 2019-02-19 北京知道创宇信息技术有限公司 网络安全检测方法、装置及服务器
US10762990B1 (en) 2019-02-01 2020-09-01 Vignet Incorporated Systems and methods for identifying markers using a reconfigurable system
CN111698110B (zh) * 2019-03-14 2023-07-18 深信服科技股份有限公司 一种网络设备性能分析方法、系统、设备及计算机介质
CN110266746B (zh) * 2019-03-29 2022-04-29 星融元数据技术(苏州)有限公司 一种信息推送方法及装置
CN110336798B (zh) * 2019-06-19 2022-05-13 南京中新赛克科技有限责任公司 一种基于dpi的报文匹配过滤方法及其装置
CN110675236A (zh) * 2019-08-27 2020-01-10 阿里巴巴集团控股有限公司 基于分布式的税费计算方法以及装置
US11310170B2 (en) 2019-08-27 2022-04-19 Vmware, Inc. Configuring edge nodes outside of public clouds to use routes defined through the public clouds
US11714658B2 (en) 2019-08-30 2023-08-01 Microstrategy Incorporated Automated idle environment shutdown
US11755372B2 (en) 2019-08-30 2023-09-12 Microstrategy Incorporated Environment monitoring and management
US11611507B2 (en) 2019-10-28 2023-03-21 Vmware, Inc. Managing forwarding elements at edge nodes connected to a virtual network
US11489783B2 (en) 2019-12-12 2022-11-01 Vmware, Inc. Performing deep packet inspection in a software defined wide area network
US11394640B2 (en) 2019-12-12 2022-07-19 Vmware, Inc. Collecting and analyzing data regarding flows associated with DPI parameters
US11722925B2 (en) 2020-01-24 2023-08-08 Vmware, Inc. Performing service class aware load balancing to distribute packets of a flow among multiple network links
US11102304B1 (en) 2020-05-22 2021-08-24 Vignet Incorporated Delivering information and value to participants in digital clinical trials
CN111600904B (zh) * 2020-05-29 2022-08-05 福建光通互联通信有限公司 一种绿色上网的方法和存储设备
US11245641B2 (en) 2020-07-02 2022-02-08 Vmware, Inc. Methods and apparatus for application aware hub clustering techniques for a hyper scale SD-WAN
US12230406B2 (en) 2020-07-13 2025-02-18 Vignet Incorporated Increasing diversity and engagement in clinical trails through digital tools for health data collection
US11127506B1 (en) 2020-08-05 2021-09-21 Vignet Incorporated Digital health tools to predict and prevent disease transmission
US11056242B1 (en) 2020-08-05 2021-07-06 Vignet Incorporated Predictive analysis and interventions to limit disease exposure
US11709710B2 (en) 2020-07-30 2023-07-25 Vmware, Inc. Memory allocator for I/O operations
US11456080B1 (en) 2020-08-05 2022-09-27 Vignet Incorporated Adjusting disease data collection to provide high-quality health data to meet needs of different communities
US11504011B1 (en) 2020-08-05 2022-11-22 Vignet Incorporated Early detection and prevention of infectious disease transmission using location data and geofencing
CN111917783B (zh) * 2020-08-06 2023-06-23 吉林亿联银行股份有限公司 一种通用报文的验证方法、装置及存储介质
US11763919B1 (en) 2020-10-13 2023-09-19 Vignet Incorporated Platform to increase patient engagement in clinical trials through surveys presented on mobile devices
US11575591B2 (en) 2020-11-17 2023-02-07 Vmware, Inc. Autonomous distributed forwarding plane traceability based anomaly detection in application traffic for hyper-scale SD-WAN
US11575600B2 (en) 2020-11-24 2023-02-07 Vmware, Inc. Tunnel-less SD-WAN
US11929903B2 (en) 2020-12-29 2024-03-12 VMware LLC Emulating packet flows to assess network links for SD-WAN
US11417418B1 (en) 2021-01-11 2022-08-16 Vignet Incorporated Recruiting for clinical trial cohorts to achieve high participant compliance and retention
US12218845B2 (en) 2021-01-18 2025-02-04 VMware LLC Network-aware load balancing
CN116783874A (zh) 2021-01-18 2023-09-19 Vm维尔股份有限公司 网络感知的负载平衡
US11979325B2 (en) 2021-01-28 2024-05-07 VMware LLC Dynamic SD-WAN hub cluster scaling with machine learning
US11240329B1 (en) 2021-01-29 2022-02-01 Vignet Incorporated Personalizing selection of digital programs for patients in decentralized clinical trials and other health research
US11789837B1 (en) 2021-02-03 2023-10-17 Vignet Incorporated Adaptive data collection in clinical trials to increase the likelihood of on-time completion of a trial
US12211594B1 (en) 2021-02-25 2025-01-28 Vignet Incorporated Machine learning to predict patient engagement and retention in clinical trials and increase compliance with study aims
US11586524B1 (en) 2021-04-16 2023-02-21 Vignet Incorporated Assisting researchers to identify opportunities for new sub-studies in digital health research and decentralized clinical trials
US11281553B1 (en) 2021-04-16 2022-03-22 Vignet Incorporated Digital systems for enrolling participants in health research and decentralized clinical trials
US12248383B1 (en) 2021-02-25 2025-03-11 Vignet Incorporated Digital systems for managing health data collection in decentralized clinical trials
US12248384B1 (en) 2021-02-25 2025-03-11 Vignet Incorporated Accelerated clinical trials using patient-centered, adaptive digital health tools
US11636500B1 (en) 2021-04-07 2023-04-25 Vignet Incorporated Adaptive server architecture for controlling allocation of programs among networked devices
US12368676B2 (en) 2021-04-29 2025-07-22 VMware LLC Methods for micro-segmentation in SD-WAN for virtual networks
US12009987B2 (en) 2021-05-03 2024-06-11 VMware LLC Methods to support dynamic transit paths through hub clustering across branches in SD-WAN
US11381499B1 (en) 2021-05-03 2022-07-05 Vmware, Inc. Routing meshes for facilitating routing through an SD-WAN
US11729065B2 (en) 2021-05-06 2023-08-15 Vmware, Inc. Methods for application defined virtual network service among multiple transport in SD-WAN
US12250114B2 (en) 2021-06-18 2025-03-11 VMware LLC Method and apparatus for deploying tenant deployable elements across public clouds based on harvested performance metrics of sub-types of resource elements in the public clouds
US12015536B2 (en) 2021-06-18 2024-06-18 VMware LLC Method and apparatus for deploying tenant deployable elements across public clouds based on harvested performance metrics of types of resource elements in the public clouds
US11489720B1 (en) 2021-06-18 2022-11-01 Vmware, Inc. Method and apparatus to evaluate resource elements and public clouds for deploying tenant deployable elements based on harvested performance metrics
CN113505144B (zh) * 2021-07-08 2024-12-31 中国工商银行股份有限公司 一种规则有效性的确定方法、装置和设备
US12047282B2 (en) 2021-07-22 2024-07-23 VMware LLC Methods for smart bandwidth aggregation based dynamic overlay selection among preferred exits in SD-WAN
US11375005B1 (en) 2021-07-24 2022-06-28 Vmware, Inc. High availability solutions for a secure access service edge application
US12267364B2 (en) 2021-07-24 2025-04-01 VMware LLC Network management services in a virtual network
US11943146B2 (en) 2021-10-01 2024-03-26 VMware LLC Traffic prioritization in SD-WAN
US11705230B1 (en) 2021-11-30 2023-07-18 Vignet Incorporated Assessing health risks using genetic, epigenetic, and phenotypic data sources
US11901083B1 (en) 2021-11-30 2024-02-13 Vignet Incorporated Using genetic and phenotypic data sets for drug discovery clinical trials
US12603848B2 (en) 2022-01-04 2026-04-14 VMware LLC Efficient mechanism for the transmission of multipath duplicate packets
US12184557B2 (en) 2022-01-04 2024-12-31 VMware LLC Explicit congestion notification in a virtual environment
US12507120B2 (en) 2022-01-12 2025-12-23 Velocloud Networks, Llc Heterogeneous hub clustering and application policy based automatic node selection for network of clouds
US12425395B2 (en) 2022-01-15 2025-09-23 VMware LLC Method and system of securely adding an edge device operating in a public network to an SD-WAN
US12506678B2 (en) 2022-01-25 2025-12-23 VMware LLC Providing DNS service in an SD-WAN
US12315604B2 (en) * 2022-06-02 2025-05-27 Evernorth Stragic Development, Inc. Recurring remote monitoring with real-time exchange to analyze health data and generate action plans
US11909815B2 (en) 2022-06-06 2024-02-20 VMware LLC Routing based on geolocation costs
US20240022626A1 (en) 2022-07-18 2024-01-18 Vmware, Inc. Dns-based gslb-aware sd-wan for low latency saas applications
US20240028378A1 (en) 2022-07-20 2024-01-25 Vmware, Inc. Method for modifying an sd-wan using metric-based heat maps
US20240073743A1 (en) 2022-08-28 2024-02-29 Vmware, Inc. Dynamic use of multiple wireless network links to connect a vehicle to an sd-wan
US12057993B1 (en) 2023-03-27 2024-08-06 VMware LLC Identifying and remediating anomalies in a self-healing network
US12034587B1 (en) 2023-03-27 2024-07-09 VMware LLC Identifying and remediating anomalies in a self-healing network
US12425332B2 (en) 2023-03-27 2025-09-23 VMware LLC Remediating anomalies in a self-healing network
US20240406067A1 (en) * 2023-05-31 2024-12-05 Rakuten Symphony, Inc. Policy orchestration framework to support end-to-end (e2e) multi access network policy architecture with top-to-bottom policy orchestration
US20250036631A1 (en) * 2023-07-26 2025-01-30 Dynatrace Llc High Performance Data Filtering
US12587468B2 (en) 2023-08-16 2026-03-24 Velocloud Networks, Llc Route filtering for clusters in multi-regional large scale deployments with distributed gateways
US12483968B2 (en) 2023-08-16 2025-11-25 Velocloud Networks, Llc Distributed gateways for multi-regional large scale deployments
US12261777B2 (en) 2023-08-16 2025-03-25 VMware LLC Forwarding packets in multi-regional large scale deployments with distributed gateways
US12507148B2 (en) 2023-08-16 2025-12-23 Velocloud Networks, Llc Interconnecting clusters in multi-regional large scale deployments with distributed gateways
US12603827B2 (en) 2023-08-16 2026-04-14 Velocloud Networks, Llc Asymmetric routing resolutions in multi-regional large scale deployments with distributed gateways
US12563438B2 (en) 2023-08-16 2026-02-24 Velocloud Networks, Llc Distributed gateways for multi-regional large scale deployments
US12355655B2 (en) 2023-08-16 2025-07-08 VMware LLC Forwarding packets in multi-regional large scale deployments with distributed gateways
US12507153B2 (en) 2023-08-16 2025-12-23 Velocloud Networks, Llc Dynamic edge-to-edge across multiple hops in multi-regional large scale deployments with distributed gateways
CN118277267B (zh) * 2024-04-11 2025-02-25 国网智能电网研究院有限公司 一种最优化配置双正则引擎的方法及装置
CN118921185A (zh) * 2024-06-28 2024-11-08 天翼云科技有限公司 应用层防护能力的威胁特征统一扫描引擎扫描提升方法
CN119003575A (zh) * 2024-07-24 2024-11-22 福建天晴在线互动科技有限公司 一种数据聚合的优化方法及客户端

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7257833B1 (en) * 2001-01-17 2007-08-14 Ipolicy Networks, Inc. Architecture for an integrated policy enforcement system
US7058821B1 (en) * 2001-01-17 2006-06-06 Ipolicy Networks, Inc. System and method for detection of intrusion attacks on packets transmitted on a network
US7072958B2 (en) * 2001-07-30 2006-07-04 Intel Corporation Identifying network management policies
WO2004108223A1 (en) 2003-06-05 2004-12-16 Flexiped As Physical exercise apparatus and footrest platform for use with the apparatus
US20050222996A1 (en) 2004-03-30 2005-10-06 Oracle International Corporation Managing event-condition-action rules in a database system
US7505463B2 (en) * 2004-06-15 2009-03-17 Sun Microsystems, Inc. Rule set conflict resolution
JP4662080B2 (ja) * 2005-02-24 2011-03-30 日本電気株式会社 フィルタリングルール分析方法及びシステム
CN100411350C (zh) * 2005-03-01 2008-08-13 联想(北京)有限公司 一种混合策略加载系统及实现策略管理的方法
CN101055630A (zh) * 2006-04-12 2007-10-17 科凌力医学软件(深圳)有限公司 事件决策知识库组建方法及相应的事件决策方法和系统
CN100550773C (zh) * 2006-11-21 2009-10-14 中兴通讯股份有限公司 实施资源控制决策的方法
CN101141295A (zh) * 2007-03-02 2008-03-12 中兴通讯股份有限公司 策略管理方法
US8065721B1 (en) * 2007-08-10 2011-11-22 Juniper Networks, Inc. Merging filter rules to reduce forwarding path lookup cycles
CN101739248A (zh) * 2008-11-13 2010-06-16 国际商业机器公司 执行规则集的方法和系统
CN101876994B (zh) * 2009-12-22 2012-02-15 中国科学院软件研究所 一种多层次优化的策略评估引擎的建立方法及其实施方法
CN102130965A (zh) * 2011-04-13 2011-07-20 北京邮电大学 一种基于规则引擎的服务动态组合方法和系统
CN103688489B (zh) * 2012-12-03 2017-02-22 华为技术有限公司 一种策略处理的方法及网络设备

Also Published As

Publication number Publication date
CN103688489A (zh) 2014-03-26
KR20140098671A (ko) 2014-08-08
WO2014085952A1 (zh) 2014-06-12
EP2760158B1 (en) 2017-02-15
JP5813252B2 (ja) 2015-11-17
US20170005872A1 (en) 2017-01-05
JP2015508538A (ja) 2015-03-19
US9461888B2 (en) 2016-10-04
EP2760158A1 (en) 2014-07-30
CN103688489B (zh) 2017-02-22
KR101489420B1 (ko) 2015-02-03
EP2760158A4 (en) 2015-03-25
US20140156823A1 (en) 2014-06-05
US10225150B2 (en) 2019-03-05

Similar Documents

Publication Publication Date Title
ES2624219T3 (es) Método de procesamiento de políticas y dispositivo de red
US20230267149A1 (en) Analysis of data flows in complex enterprise it environments
Liu et al. Diverse firewall design
ES2963709T3 (es) Sistema, método y medio legible por ordenador para identificar reglas faltantes del sistema de detección de seguridad organizativa
CN103905464B (zh) 基于形式化方法的网络安全策略验证系统及方法
US12278802B2 (en) Combined machine learning and formal techniques for network traffic analysis
Feuilloley et al. Survey of distributed decision
ES2658980T3 (es) Deduplicación de nodo en un sistema de supervisión de red
CN114035827A (zh) 应用程序更新方法、装置、设备及存储介质
Chen et al. Declarative configuration management for complex and dynamic networks
US7761398B2 (en) Apparatus and method for identifying process elements using request-response pairs, a process graph and noise reduction in the graph
EP3616066B1 (en) Human-readable, language-independent stack trace summary generation
US20240313979A1 (en) Encoding of data in a hierarchical data structure using hash trees for integrity protection
BR102021026841A2 (pt) Método para verificar vulnerabilidades de dispositivos de rede usando entradas de cve
CN112511340A (zh) 数据传输方法、装置、电子设备及存储介质
CN108881299A (zh) 私有云平台信息系统安全运维方法及其装置
Xu et al. Identifying SDN state inconsistency in OpenStack
CN109995706A (zh) 一种安全审计的方法、装置、电子设备和存储介质
CN115766258A (zh) 一种基于因果关系图的多阶段攻击趋势预测方法、设备及存储介质
CN108596271A (zh) 指纹构建算法的评估方法、装置、存储介质及终端
JP6847326B2 (ja) 情報処理装置、情報処理方法及び情報処理プログラム
CN118378263A (zh) 基于系统日志的安全防护方法、防护装置和安全防护系统
CN114463002B (zh) 跨链交易的合法性验证方法、装置、计算机设备及介质
CN114281401B (zh) 基于字节码确定修改功能点的方法、装置、设备及介质
CN103067203A (zh) 策略一致性审计方法、装置及设备