Способ управления соединениями в межсетевом экране


 


Владельцы патента RU 2517411:

Открытое акционерное общество "Информационные технологии и коммуникационные системы" (RU)

Изобретение относится к вычислительной технике. Технический результат заключается в повышении надежности работы установленных соединений и обеспечении максимальной пропускной способности при повышении нагрузки. Такой результат достигается тем, что получают пакеты из внешней сети, формируют таблицу соединений, определяют общее количество установленных соединений на данный момент времени, определяют уровень загрузки межсетевого экрана, сравнивая количество установленных соединений с пороговой величиной, определяют новые и установленные соединения на основе двустороннего обмена пакетами между клиентом и сервером, определяют закрытые соединения на основании обработки ICMP-сообщений об ошибках или флагов в TCP-заголовке, динамически определяют текущие значения таймаутов для соединений на основании типа сетевого протокола, состояния соединения, уровня загрузки межсетевого экрана, изменяют отметку времени обработки последнего пакета в случае прохождения любого пакета в рамках данного соединения или в рамках группы соединений, удаляют соединение, если отметка времени обработки последнего пакета отличается от текущего времени больше, чем таймаут данного соединения. 1 табл.

 

Область техники, к которой относится изобретение

Предлагаемое изобретение относится к вычислительной технике и, в частности, к способам управления соединениями в межсетевых экранах, используемых в сетях передачи данных.

Уровень техники

Для обеспечения безопасности в современных сетях передачи данных часто используют специализированные устройства, межсетевые экраны (МЭ), для отделения участков сети от других участков и магистральных линий. В большинстве МЭ реализованы механизмы отслеживания соединений, которые позволяют выполнять контекстную обработку трафика и тем самым повысить уровень защищенности сети. Поскольку хранение информации об установленных соединениях потребляет ресурсы МЭ, то необходимо ограничивать количество одновременно установленных соединений и удалять неиспользуемые соединения.

Особенно значимой такая задача становится при повышении нагрузки на МЭ.

Для обеспечения сохранения устойчивости и максимальной пропускной способности в сетевых устройствах при повышенных нагрузках и перегрузках используются разные методы.

Так, например, в сетевых маршрутизаторах в условиях повышенной нагрузки могут применяться методы регулирования размеров очереди на входе (алгоритм RED/WRED) и/или блокировки пакетов при переполнении входного буфера (алгоритм Leaky bucket) [1, 2]. Несмотря на то, что данные механизмы достаточно эффективно справляются с перегрузками сети, они имеют ряд недостатков, обусловленных сферой их применения. Поскольку маршрутизаторы работают на сетевом уровне модели OSI, то они ориентируются исключительно на IP-заголовок, не анализируя при этом контекст соединений. Таким образом, в случае перегрузки сетевой маршрутизатор будет отбрасывать пакеты, относящиеся к уже установленным соединениям, наравне с новыми запросами, что повлечет за собой разрыв установленных соединений, что, в частности, является также целью атак типа отказ в обслуживании (DoS/DDoS-атаки).

Известен также способ управления состоянием соединений [3] в сетевом устройстве, выполняющем функции МЭ и содержащем

- процессор;

- модуль памяти;

- модуль сетевого интерфейса, обеспечивающий прием пакетов данных из внешней сети передачи данных и передачу пакетов во внутреннюю сеть;

- обеспечивающие модули.

Способ включает следующие действия:

- получают пакеты из внешней сети;

- формируют таблицу соединений, содержащую следующие сведения:

- тип сетевого протокола;

- состояние соединения;

- отметку времени обработки последнего пакета;

- определяют общее количество установленных соединений на данный момент времени;

- анализируют данные для каждого соединения, имеющиеся в таблице соединений;

- удаляют соединение, если отметка времени обработки последнего пакета в соединении превышает заранее определенное пороговое значение.

Непосредственная реализация операций в способе обеспечивается с помощью программного обеспечения (ПО), установленного в МЭ.

Известный способ принят за прототип для предлагаемого технического решения.

Основным механизмом очистки таблицы является удаление устаревших соединений, которые определяются путем сравнения отметки времени обработки последнего пакета в соединении с заранее определенным пороговым значением - таймаутом (под таймаутом будем понимать время ожидания пакетов в соединении перед его закрытием). В случае заполнения таблицы соединений перед добавлением нового соединения происходит поиск и удаление устаревших соединений с помощью LRU-алгоритма (Least Recently Used). Такой механизм очистки устаревших соединений работает не лучшим образом при повышенных нагрузках МЭ, поскольку каждое новое соединение будет требовать очистки заполненной таблицы и потребует вызова LRU-алгоритма. Поиск устаревших соединений является ресурсоемкой операцией, поэтому обращение к ней для каждого нового пакета может привести к исчерпанию ресурса процессора и снижению скорости обработки всего трафика. С другой стороны, дополнительные задержки в обработке трафика могут привести к переполнению входного буфера пакетов, что приведет к потере необработанных пакетов. Поскольку потерянные пакеты будут относиться как к новым соединениям, так и к уже установленным, то это повлечет нарушение обмена трафиком в рамках установленных соединений. Невысокая эффективность работы и нарушение работы установленных соединений при повышенных нагрузках является основным недостатком известного способа.

В известном способе для поиска в таблице соединений также предлагается использование хеш-значений, вычисленных на основании данных из пакета (адрес источника, адрес назначения, порт источника, порт назначения). При этом для исходного пакета (от клиента к серверу) и для ответного пакета предполагается формирование одного и того же хеш-значения за счет перестановки адресов источника и назначения при формировании хеш-значения для ответного пакета. Предложенный способ не учитывает возможности модификации пакета в результате трансляции адресов (NAT), что сужает границы его применения.

Кроме того, известный способ не учитывает группы логически связанных соединений. Так, например, при прохождении ICMP-сообщения об ошибке необходимо закрыть соединение, к которому оно относится. А в рамках некоторых протоколов, таких как FTP, для передачи могут создаваться дополнительные соединения, и управлять временем жизни необходимо для всей группы соединений целиком, а не для отдельных соединений. Указанные ограничения также являются недостатком известного способа.

Раскрытие изобретения

Предлагаемый способ позволяет решить задачу очистки таблицы соединений в МЭ, в том числе при повышенных нагрузках.

Техническим результатом является:

- обеспечение устойчивой и надежной обработки установленных сетевых соединений независимо от уровня загрузки МЭ;

- обеспечение максимальной пропускной способности при повышении нагрузки МЭ.

Дополнительным техническим результатом является:

- повышение устойчивости межсетевого экрана к DoS/DDoS-атакам;

- возможность управления соединениями с трансляцией адресов;

- возможность управления группой логически связанных соединений для прикладных сетевых протоколов.

Для этого предлагается способ управления соединениями в межсетевом экране, заключающийся в том, что

- получают пакеты из внешней сети;

- формируют таблицу соединений, содержащую следующие сведения:

- информацию о пакетах, входящих в соединение (исходный пакет, ответный пакет, ошибки ICMP);

- информацию о преобразованиях пакета в случае трансляции адресов; о типе сетевого протокола;

- состояние соединения (новое, установленное, закрытое); отметка времени обработки последнего пакета;

- информацию о группах соединений в случае прикладных протоколов (FTP, SIP);

- определяют общее количество установленных соединений на данный момент времени;

- определяют уровень загрузки межсетевого экрана путем сравнения количества установленных соединений с определенной пороговой величиной;

- определяют новые и установленные соединения на основе двустороннего обмена пакетами между клиентом и сервером;

- определяют закрытые соединения на основании обработки ICMP-сообщений об ошибках или флагов в TCP-заголовке (только для протокола TCP);

- динамически определяют текущие значения таймаутов для соединений на основании следующих параметров:

- тип сетевого протокола;

- состояние соединения;

- уровень загрузки межсетевого экрана;

- изменяют отметку времени обработки последнего пакета в случае прохождения любого пакета в рамках данного соединения или в рамках группы соединений;

- удаляют соединение, если отметка времени обработки последнего пакета отличается от текущего времени больше, чем таймаут данного соединения.

Таким образом, в отличие от известного способа, в предложенном способе таймауты соединений динамически изменяются при изменении нагрузки МЭ. При увеличении нагрузки текущие значения таймаутов снижаются, что повышает пропускную способность МЭ.

В отличие от известного способа, очистка таблицы от устаревших соединений происходит на периодической основе, а не при обработке каждого нового пакета, поэтому затраты ресурса процессора на удаление устаревших соединений будут постоянны и не будут зависеть от загрузки МЭ.

Установленные соединения имеют приоритет перед новыми соединениями, поэтому в случае заполнения таблицы соединений будут блокироваться запросы на новые соединения, при этом обработка трафика в рамках уже установленных соединений не нарушается.

Механизм контроля состояния соединений позволяет повысить устойчивость МЭ к DoS/DDoS-атакам. В частности, использование принципов «трехстороннего рукопожатия» для всех протоколов (по аналогии с установкой соединений в TCP) позволяет значительно снизить вероятность реализации атаки типа UDP-flood, поскольку все соединения, в рамках которых не было произведено двустороннего обмена пакетами, будут считаться новыми и очищаться в первую очередь.

Осуществление изобретения

Рассмотрим пример реализации предложенного способа в МЭ, соединяющем внешнюю сеть (например, Интернет) и внутреннюю корпоративную сеть передачи данных.

МЭ состоит из следующих элементов:

- процессора;

- модуля памяти (оперативной и постоянной);

- модуля сетевого интерфейса, обеспечивающего прием пакетов данных из внешней сети и передачу пакетов во внутреннюю сеть и обратно.

МЭ работает под управлением операционной системы общего назначения (например, Linux Ubuntu 9.10) и программного обеспечения (ПО), реализующего необходимые функции МЭ.

При описании алгоритма термин "клиент" будет применяться по отношению к узлу, инициирующему соединение, а термин "сервер" - к узлу, принимающему соединение. Под исходным пакетом будет подразумеваться пакет от клиента к серверу, а под ответным - от сервера к клиенту.

С помощью ПО реализуются:

- подсистема фильтрации пакетов;

- подсистема обработки соединений;

- подсистема обработки прикладных протоколов.

Перед началом работы МЭ в подсистеме фильтрации пакетов пользователем (или системным администратором) могут быть установлены правила обработки сетевых пакетов (фильтры) для конкретной конфигурации внутренней сети. Также администратор может указать в подсистеме обработки соединений следующие значения:

- максимально допустимое количество установленных соединений (Max-Connection);

- максимальное значение таймаута для новых и закрывающихся соединений (TimeoutNewOrClosed);

- максимальное значение таймаута для соединений по протоколу UDP (TimeoutUdp);

- максимальное значение таймаута для соединений по протоколу TCP (TimeoutTcp);

- максимальное значение таймаута для остальных соединений (TimeoutlpOther);

- периодичность очистки устаревших соединений (TimeoutCleanup).

В функции подсистемы фильтрации пакетов входит:

- блокировка пакета в соответствии с настроенными сетевыми фильтрами;

- модификация пакета в соответствии с настроенными правилами трансляции;

- передача пакета в подсистему обработки соединений (в случае если пакет был пропущен фильтром).

В функции подсистемы обработки соединений входит:

- формирование и модификация таблицы соединений;

- формирование и модификация одной или нескольких таблиц для поиска принадлежащих соединениям пакетов;

- проверка соответствия (принадлежности) принятых пакетов установленным соединениям;

- управление состоянием соединений (создание, изменение состояния, удаление);

- управление значениями таймаутов для соединений.

В функции подсистемы обработки прикладных протоколов входит:

- поиск в составе пакетов запросов на установку дополнительных соединений;

- регистрация новых соединений в подсистеме обработки соединений;

- установка взаимосвязей между дочерними и родительскими соединениями в рамках группы соединений.

Таблица соединений содержит список всех установленных соединений и связанную с ними информацию:

- информация о пакетах, входящих в соединение (исходный пакет, ответный пакет, ошибки ICMP).

- тип сетевого протокола;

- состояние соединения;

- отметка времени обработки последнего пакета;

- информацию о преобразованиях пакета в случае трансляции адресов;

- информацию о группах соединений в случае прикладных протоколов (FTP, SIP).

Таблицы для поиска пакетов представляют собой индексированный список пакетов, оптимизированный для ускорения поиска. Список пакетов может быть реализован в форме бинарного дерева поиска, хеш-таблицы или иным способом. Одновременно могут использоваться сразу несколько списков для поиска пакетов, каждый из которых обрабатывает отдельные типы пакетов, на основе специфичной для них информации. Например, для обработки сообщений об ошибках ICMP требуется анализировать не только заголовок пакета, но и его содержимое.

Пакеты, принятые модулем сетевого интерфейса, сначала проверяются на принадлежность уже установленным соединениям. Если пакет принадлежит установленному соединению, то подсистема обработки соединений выполняет все необходимые действия над пакетом, и на этом обработка заканчивается.

В случае если подходящего соединения не найдено, то пакет передается на проверку в подсистему фильтрации пакетов. Подсистема фильтрации проверяет пакет на соответствие настроенным фильтрам, а также выполняет его модификацию, в соответствии с настроенными правилами трансляции адресов. Если пакет оказался заблокирован каким-то из фильтров, то на этом его обработка заканчивается.

Если подсистема фильтрации разрешила прохождение пакета для дальнейшей обработки, то в подсистеме обработки соединений создается запись о новом соединении. При создании нового соединения определяется информация обо всех пакетах, передаваемых в рамках соединения. Информация о пакетах, принадлежащих соединению, запоминается в таблицах поиска.

Если в процессе обработки пакет был модифицирован правилами трансляции, то эта информация отражается в информации о соединении следующим образом. Пакет до модификации сохраняется как исходный пакет, а на основании измененного пакета формируется ответный пакет (путем перестановки адресов и портов отправителя и получателя). Кроме этого, в соединении сохраняется информации о преобразовании пакета с указанием тех полей пакета, которые были изменены правилом NAT (SourcelP, SourcePort, DestinationIP, DestinationPort). На основании сохраненной информации в рамках соединения происходит следующая обработка пакета:

- если получен пакет от клиента к серверу и в информации о преобразовании пакета установлен флаг SourcelP/SourcePort, то в пакете в качестве IP-адреса/порта отправителя устанавливают значение 1Р-адреса/порта получателя из ответного пакета;

- если получен пакет от сервера к клиенту и в информации о преобразовании пакета установлен флаг SourcelP/SourcePort, то в пакете в качестве IP-адреса/порта получателя устанавливают значение IP-адреса/порта отправителя из исходного пакета;

- если получен пакет от клиента к серверу и в информации о преобразовании пакета установлен флаг DestinationlP/DestinationPort, то в пакете в качестве IP-адреса/порта получателя устанавливают значение IP-адреса/порта отправителя из ответного пакета;

- если получен пакет от сервера к клиенту и в информации о преобразовании пакета установлен флаг DestinationlP/DestinationPort, то в пакете в качестве IP-адреса/порта отправителя устанавливают значение IP-адреса/порта получателя из исходного пакета.

Для некоторых прикладных протоколов, таких как FTP и SIP, требуется организовывать соединения в группы для их совместного управления. Создание групп соединений производится в подсистеме обработки прикладных протоколов, которая анализирует весь передаваемый трафик в рамках заданных протоколов и ищет в составе пакетов запросы на установку дополнительных соединений. При обнаружении запроса на установку дополнительного соединения подсистема обработки прикладных протоколов регистрирует новое соединение в подсистеме обработки соединения и помечает его как дочернее, при этом соединение, в рамках которого была получена команда, помечается как родительское.

При обработке пакетов в рамках соединений отслеживается информация о состоянии соединения. Для управления состоянием соединения определяется набор флагов (в байте, характеризующем состояние соединения), приведенный в табл.1.

Таблица 1
Флаг Бинарное представление Описание
StateNew 00000000b Новое соединение
StateSyn 00000001b Отправлен 1-й пакет от клиента
StateSynAck 00000010b Отправлен 1-й пакет от сервера
StateAck 00000100b Отправлен 2-й пакет от клиента
StateEstablished 00000111b Соединение установлено
StateFinClient 00001000b Отправлен FIN по инициативе клиента
StateFinAckClient 00010000b Подтверждение FIN, отправленного по инициативе клиента
StateFinServer 00100000b Отправлен FIN по инициативе сервера
StateFinAckServer 01000000b Подтверждение FIN, отправленного по инициативе сервера
StateClosed 01111000b Соединение закрыто

Состояние соединения изменяется в зависимости от текущего состояния соединения, направления движения пакета и флагов TCP (только для TCP протокола). Анализ текущего состояния соединения осуществляется с помощью двух типов операций: оператор сравнения и проверка установленных битов. Изменение состояния соединения происходит за счет установки соответствующих битов.

При создании нового соединения его состояние инициализируется значением StateNew. После этого происходит проверка двустороннего обмена пакетами между узлом, инициирующим соединение (клиентом), и узлом, принимающим соединение (сервером). В случае успешного завершения проверки состояние соединения равно StateEstablished.

Реализация проверки двустороннего обмена пакетами для любого протокола выполняется следующим образом:

- в состоянии соединения устанавливается флаг StateSyn, если выполняются следующие условия:

- текущее состояние соединения равно StateNew;

- обрабатываемый пакет направлен от клиента к серверу;

- в случае протокола TCP в заголовке пакета установлен TCP флаг SYN;

- в состоянии соединения устанавливается флаг StateSynAck, если выполняются следующие условия:

- текущее состояние соединения равно StateSyn;

- обрабатываемый пакет направлен от сервера к клиенту;

- в случае протокола TCP в заголовке пакета установлены TCP флаги SYN и АСК;

- в состоянии соединения устанавливается флаг StateAck, если выполняются следующие условия:

- текущее состояние соединения равно StateSynAck;

- обрабатываемый пакет направлен от клиента к серверу;

- в случае протокола TCP в заголовке пакета установлен TCP флаг АСК.

Для протокола TCP предусмотрено изменение состояния соединения на основании TCP-флагов FIN и RST. Реализация обработки завершения ТСР-соединения выполняется следующим образом:

- в состоянии соединения устанавливается флаг StateClosed, если в заголовке TCP-пакета установлен флаг RST;

- в состоянии соединения устанавливается флаг StateFinClient, если выполняются следующие условия:

- в заголовке TCP-пакета установлен флаг FIN;

- обрабатываемый пакет направлен от клиента к серверу;

- в состоянии соединения устанавливается флаг StateFinServer, если выполняются следующие условия:

- в заголовке TCP-пакета установлен флаг FIN;

- обрабатываемый пакет направлен от сервера к клиенту;

- в состоянии соединения устанавливается флаг StateFinAckClient, если выполняются следующие условия:

- в текущем состоянии соединений установлен флаг StateFinClient;

- в заголовке TCP-пакета установлен флаг АСК;

- обрабатываемый пакет направлен от сервера к клиенту;

- в состоянии соединения устанавливается флаг StateFinAckServer, если выполняются следующие условия:

- в текущем состоянии соединений установлен флаг StateFinServer;

- в заголовке TCP-пакета установлен флаг АСК;

- обрабатываемый пакет направлен от клиента к серверу.

Если в рамках соединения для любого протокола получено ICMP-сообщение об ошибке (тип ICMP равен 3, 4, 11 или 12), то в состоянии соединения устанавливается флаг StateClosed.

При прохождении пакета в рамках соединения в качестве временной метки соединения устанавливается текущее время. Для дочерних соединений, принадлежащих к группе соединений, корректируется временная метка родительского соединения.

Подсистема обработки соединений на периодической основе выполняет процедуру очистки устаревших соединений. При проверке актуальности соединения учитываются только родительские соединения в группе. Если разница между текущим временем и временной меткой соединения превышает время ожидания для данного типа соединений, то такое соединение удаляется (в случае удаления родительского соединения удаляется вся группа целиком).

Таймаут соединения зависит от его текущего состояния и протокола и рассчитывается каждый раз при выполнении процедуры очистки соединения:

- если в состоянии соединения не установлен флаг StateEstablished или же установлен флаг StateClosed, то в качестве таймаута соединения берется значение TimeoutNewOrClosed;

- если не выполняется предыдущее условие, то таймаут соединения устанавливается в зависимости от протокола (TimeoutTcp, TimeoutUdp, TimeoutlpOther).

В зависимости от общего количества соединений, установленных на данный момент на МЭ, подсистема обработки соединений может корректировать заданные значения таймаутов. Поскольку таймауты соединений рассчитываются динамически на основании заданных констант, то изменение этих констант влияет на таймауты всех соединений (как новых, так и уже установленных). Для каждого типа таймаутов (TimeoutNewOrClosed, TimeoutTcp, TimeoutUdp, TimeoutlpOther), кроме его текущего значения, запоминается максимальное значение (которое было задано изначально), а также минимальное значение и шаг изменения.

В случае превышения количества установленных соединений над определенной пороговой величиной (UpperThreshold) таймауты всех соединений уменьшаются на соответствующий шаг изменения, при этом полученное значение не должно быть меньше минимального. После того как нагрузка снижается до нижней пороговой величины (LowerThreshold), текущие значения таймаутов увеличиваются на шаг изменения, при этом результат не должен превышать максимальное значение таймаута для данного типа соединений. Таким образом, с помощью механизма динамического изменения таймаутов МЭ может гибко управлять пропускной способностью в зависимости от текущей нагрузки.

Размер таблицы соединений, пороговые величины, значения таймаутов для разного типа соединений и период очистки могут варьироваться в зависимости от характеристик оборудования и характера передаваемого трафика.

Могут быть рекомендованы следующие соотношения для пороговых значений:

UpperThreshold=0,8*MaxConnection, LowerThreshold=0,5*MaxConnection.

При этом максимальный размер таблицы соединений (MaxConnection) определяется на основе объема доступной памяти МЭ и объема памяти, занимаемого одним соединением (зависит от реализации МЭ).

При выборе значений для таймаутов следует руководствоваться общим правилом, что таймаут соединений TCP кратно превышает таймаут соединений по протоколу UDP или IP, который, в свою очередь, на порядок превышает таймаут для новых и закрытых соединений. Период очистки соединений рекомендуется установить на порядок меньше, чем таймаут новых и закрытых соединений.

На основании опыта могут быть рекомендованы следующие максимальные значения таймаутов (в секундах):

TimeoutTcp=1800,

TimeoutUdp=TimeoutlpOther=300,

TimeoutNewOrClosed=5.

TimeoutCleanup=0,5.

Шаг изменения и минимальное значения таймаутов удобно определить на уровне 20% от максимального значения таймаутов.

Рассмотрим, каким образом использование механизма динамических таймаутов и контроль состояния соединений позволяет повысить устойчивость МЭ к DoS/DDoS-атакам. Обычно DoS/DDoS-атаки характеризуются большим количеством запросов на установление соединений, отправленных с различных IP-адресов. Таким образом, резко возрастает нагрузка на МЭ, при этом большинство соединений являются новыми (т.е. в них не установлен флаг StateEstablished). Поскольку значение таймаута для новых соединений (TimeoutNewOrClosed) намного меньше таймаутов для установленных соединений, то такие соединения будут очищаться в первую очередь, не создавая проблем установленным соединениям.

В отличие от прототипа, очистка устаревших соединений в МЭ происходит на периодической основе, а не при обработке пакета, поэтому затраты ресурса процессора на удаление устаревших соединений будут постоянны и не будут зависеть от загрузки МЭ. В случае достижения максимально допустимого количества соединений МЭ будет вынужден блокировать все новые запросы на соединения до очередного цикла очистки. Но даже в этом случае превышение количества соединений будет влиять только на новые соединения и никак не скажется на уже установленные соединения. В результате предложенный способ показывает высокую устойчивость к атакам типа отказ в обслуживании.

Все описанные процедуры и алгоритмы могут быть реализованы специалистом в данной области на основе известности выполняемых функций. Необходимо отметить, что возможны и другие варианты реализации предложенного способа, отличающиеся от описанного выше и зависящие от личных предпочтений при программировании отдельных действий и функций.

Источники информации

1. Семенов Ю.А. Телекоммуникационные технологии (v3.28, 20.08.2012 г.), электронная версия в сети Интернет по адресу http://book.itep.ru/

2. Степанов С.Н. Основы телетрафика мультисервисных сетей, М., Эко-Трендз, 2010.

3. Патент США №7831822, с приоритетом от 04.12.2006 г.

Способ управления соединениями в межсетевом экране, заключающийся в том, что
получают пакеты из внешней сети;
формируют таблицу соединений, содержащую следующую сведения:
информация о пакетах, входящих в соединение (исходный пакет, ответный пакет, ошибки ICMP).
информацию о преобразованиях пакета в случае трансляции адресов; тип сетевого протокола;
состояние соединения (новое, установленное, закрытое);
отметка времени обработки последнего пакета;
информацию о группах соединений в случае прикладных протоколов (FTP, SIP);
определяют общее количество установленных соединений на данный момент времени;
определяют уровень загрузки межсетевого экрана путем сравнения количества установленных соединений с определенной пороговой величиной; определяют новые и установленные соединения на основе двустороннего обмена пакетами между клиентом и сервером;
определяют закрытые соединения на основании обработки ICMP-сообщений об ошибках или флагов в TCP-заголовке (только для протокола TCP);
динамически определяют текущие значения таймаутов для соединений на основании следующих параметров:
тип сетевого протокола;
состояние соединения;
уровень загрузки межсетевого экрана;
изменяют отметку времени обработки последнего пакета в случае прохождения любого пакета в рамках данного соединения или в рамках группы соединений;
удаляют соединение, если отметка времени обработки последнего пакета отличается от текущего времени больше, чем время жизни, определенное для данного соединения.



 

Похожие патенты:

Предложен способ адаптации блока перекрестной обработки, а также система и устройство для этой цели. Технический результат заключается в обеспечении обработки сервиса с использованием различных блоков перекрестной обработки, что уменьшает расход ресурсов.

Изобретение относится к системам предоставления информации на основе технологии аргументированной реальности. Техническим результатом является расширение функциональных возможностей получения информации пользователем без ограничений местоположения.

Изобретение относится к системам связи, в частности к телекоммуникационным системам клиент-сервер, основанным на IP (например, VoIP - голос по Интернет-протоколу). Техническим результатом является обеспечение способности создания правил маршрутизации вызова на клиенте на основании использования сообщений протокола сеанса (например, SIP-протокол инициации сеанса) посредством существующего протокола сеанса.

Обеспечены способ функционирования шлюза управления устройствами (DM) в системе связи, включающей в себя шлюз DM, сервер DM и конечное устройство, которым сервер DM не может непосредственно управлять, чтобы обеспечить возможность управления устройством посредством сервера DM, через шлюз DM, способ для шлюза DM в системе связи для обновления информации начальной загрузки для некоторого класса устройств, способ для шлюза DM в системе связи для обрабатывания команд DM, способ для шлюза DM в системе связи для обрабатывания сообщений о прерывании, способ для шлюза DM в системе связи для обрабатывания периодического информационного сообщения об услугах/возможностях и способ для шлюза DM в системе связи для обрабатывания окончания интервала контроля времени.

Изобретение относится к сетям связи, более конкретно к речевой связи и переключению таких вызовов, переходящей между сетью с коммутацией пакетов, например сетью Интернет протокола (IP), и сетью с коммутацией каналов, например, коммутируемой телефонной сетью общего пользования (PSTN) или наземной мобильной сетью общего пользования (PLMN).

Изобретение относится к средствам обмена информацией по беспроводной связи. .

Изобретение относится к технологиям беспроводного доступа. .

Изобретение относится к области связи и предназначено для синхронизации передачи данных. .

Изобретение относится к области связи и, в частности, к телефонным услугам "VoIP" (передача речи по Интернет-протоколу). .

Изобретение относится к вычислительной технике. Технический результат заключается в повышении безопасности при проведении сеанса связи за счет проверки прав доступа клиента. Способ управления правами доступа к разговору содержит этапы, на которых: принимают запрос на создание основанного на правах доступа к разговору ограничения для сеанса связи на сервере управления правами доступа, предоставляют лицензию запрашивающему первому клиентскому приложению, принимают другой запрос от второго клиентского приложения на лицензию, при этом второе клиентское приложение приглашается для участия в сеансе связи с первым клиентским приложением, предоставляют лицензию второму клиентскому приложению в ответ на подтверждение права доступа к сеансу связи. Система связи реализует вышеуказанный способ, а машиночитаемый носитель содержит команды для реализации способа. 3 н. и 12 з.п. ф-лы, 7 ил.

Изобретение относится к системам мультимедийной потоковой передачи. Технический результат заключается в обеспечении возможности приспособиться для получения преимуществ от процесса захвата приема контента и подготовки файлов с повышением качества потоковой передачи по запросу блоков при взаимодействии с пользователем, а также повышения эффективности полосы пропускания. Система захвата принимает контент и готовит его в виде файлов или элементов данных для использования файловым сервером. Файлы или элементы данных организуются в виде блоков, которые передаются и декодируются как некоторая единица, и система конфигурируется для предоставления и потребления масштабируемых блоков, так что качество представления увеличивается, когда загружается большая часть блока. При этом обеспечивается выполнение кодирования и декодирования блоков с несколькими независимыми уровнями масштабируемости. 3 н. и 15 з. п. ф-лы, 29 ил.

Изобретение относится к области систем видеоконтроля и к способу их управления. Техническим результатом является обеспечение взаимного управления аналоговой системы видеоконтроля и цифровой системы видеоконтроля. Система видеоконтроля содержит сигнальный интерфейсный шлюз, соответственно получающий управляющие сигналы от цифровой системы видеоконтроля и/или матричной видеосистемы в аналоговой системе видеоконтроля и соответственно преобразующий управляющие сигналы от цифровой системы видеоконтроля и/или управляющие сигналы от матричной видеосистемы. При этом указанное выполнение преобразования включает создание таблицы взаимосвязи в сигнальном интерфейсном шлюзе, которая представляет отображение взаимосвязи между каналами цифровой системы видеоконтроля и каналами матричной видеосистемы, и выполнение преобразования управляющих сигналов согласно таблице взаимосвязи. 2 н. и 4 з.п. ф-лы, 10 ил.

Изобретение относится к способу и системе для предоставления услуги межсетевого роуминга. Техническим результатом является повышение качества обслуживания абонентов сети. Система сети связи, обеспечивающая услугу межсетевого роуминга, содержит сеть пакетного обслуживания, предоставляющую услугу на основе пакетов, и сеть с коммутацией каналов, предоставляющую услугу на основе коммутации каналов. Заявленная система также включает в себя шлюз роуминга, получающий и аутентифицирующий профиль услуги первого терминала из сети пакетного обслуживания, когда первый терминал запрашивает регистрацию в сети с коммутацией каналов, и конвертирующий профиль услуги в протокол сети с коммутацией каналов и предоставляющий конвертированный в протокол сети с коммутацией каналов профиль услуги так, что сеть с коммутацией каналов регистрирует обновленное местоположение первого терминала. При этом сеть пакетного обслуживания и сеть с коммутацией каналов являются физически различными сетями. 2 н. и 8 з.п. ф-лы, 5 ил.

Изобретение относится к способам беспроводной связи. Технический результат изобретения заключается в улучшении покрытия и пропускной способности на краю ячейки в системе связи мобильного пользователя с использованием неподвижных ретрансляторов, которые являются частями инфраструктуры без промежуточной проводной линии. Ретрансляторы передают или "ретранслируют" нисходящие сообщения между базовой станцией (BS) и мобильными терминалами (MS) через многоинтервальную линию связи. Настоящее изобретение предлагает способ и систему для поддержания многопользовательской мобильной сети широкополосной связи, которая включает ретрансляционную технику, подходящую для пользовательского оборудования при нисходящей передаче к пользовательскому оборудованию. 3 н. и 21 з.п. ф-лы, 12 ил.

Изобретение относится к способу мобильной связи и коммутационному центру мобильной связи. Технический результат заключается в обеспечении возможности ограничивать для мобильной станции возможность связи с коммутацией каналов. Способ включает шаги: передачи из мобильной станции сигнала запроса обслуживания в заданной зоне при установлении канала связи в опорной сети первой системы мобильной связи, которая не предоставляет связь с коммутацией каналов; выполнения первой операции для обеспечения возможности мобильной станции начать связь с коммутацией каналов во второй системе мобильной связи, если коммутационный центр мобильной связи первой системы обнаруживает, что сигнал запроса обслуживания содержит первую информацию идентификации; и выполнения второй операции для установления канала связи мобильной станции в сети радиодоступа первой системы, если коммутационный центр мобильной связи первой системы обнаруживает, что сигнал запроса обслуживания содержит вторую информацию идентификации, причем если для мобильной станции возможность связи с коммутацией каналов во второй системе в заданной зоне ограничена, то коммутационный центр мобильной связи первой системы не выполняет первую операцию, даже если коммутационный центр мобильной связи первой системы обнаруживает, что сигнал запроса обслуживания содержит первую информацию идентификации. 2 н. и 4 з.п. ф-лы, 10 ил.

Изобретение относится к системе идентификации и обеспечения доступа в сеть домашнего шлюза (HG). Технический результат изобретения заключается в осуществлении автоматической идентификации и доступа в сеть шлюза HG. Способ включает в себя: прием оптическим сетевым узлом (ONU) идентификационного МАС-кода шлюза HG и номера виртуальной локальной сети (VLAN) управления, переданных администратором сети; автоматическую идентификацию узлом ONU шлюза HG, который подключен к узлу ONU и соответствует идентификационному МАС-коду шлюза HG и номеру сети VLAN управления, передачу сообщения администратору сети МАС-адреса и служебного атрибута шлюза HG; формирование администратором сети в узле ONU идентификатора доступа в сеть шлюза HG как имеющего доступ в сеть после подтверждения ресурсной системой сообщения доступа в сеть шлюза HG и передачу правила преобразования номера сети VLAN услуги в узел ONU; преобразование узлом ONU номера сети VLAN услуги в шлюзе HG в номер сети VLAN услуги, который может быть идентифицирован узлом ONU, в соответствии с правилом преобразования номера сети VLAN услуги. 2 н. и 9 з.п. ф-лы, 6 ил.

Изобретение относится к системам предоставления доступа к части речевого и видео вызова через веб-сеанс. Технический результат заключается в обеспечении возможности коллективного использования видеоконтента с мобильных устройств с пользователями, которые либо не имеют совместимых телефонов, либо не являются абонентами службы коллективного использования вызова. Такой результат достигается тем, что получают речевой и видео вызов, который был инициирован мультимедийным терминалом первого пользователя и включает речевую часть и видео часть, устанавливают звуковую несущую между мульмедийным терминалом и речевым терминалом второго пользователя, которому направлены речевой и видео вызов, устанавливают веб-сеанс с веб-браузером второго пользователя, в котором определено желание второго пользователя получить доступ к видео части речевого и видео вызова, идентифицируют речевой и видео вызов, к которому требуется доступ, получают первую информацию связи, достаточной, чтобы доставить первый видеоконтент для видео части речевого и видео вызова на медиа-плейер, связанный с веб-браузером, и доставляют первую информацию связи мультимедийному терминалу, в котором мультимедийный терминал или его агент доставят первый видеоконтент медиа-плейеру веб-браузера, используя первую информацию связи. 3 н. и 34 з.п. ф-лы, 13 ил.

Изобретение относится к области технологий связи, а в частности к способу управления конференц-связью и относящимся к нему устройству и системе. Технический результат заключается в снижении нагрузки на полосу пропускания сети. Технический результат достигается за счет способа управления конференц-связью, который включает в себя: получение запроса на право на выступление от первой площадки, где запрос на право на выступление от первой площадки содержит идентификатор первого узла и идентификатор первой площадки, узел, соответствующий идентификатору первого узла, включает в себя множество площадок и принадлежит первой конференции, а идентификатор первой площадки представляет собой идентификатор площадки, запрашивающей право на выступление на узле, соответствующем идентификатору первого узла; и в случае, если принимается решение предоставить слово площадке, запрашивающей право на выступление и соответствующей идентификатору первой площадки, трансляцию видеоизображения выступления, соответствующего площадке, запрашивающей право на выступление, на терминал, по меньшей мере, одного из узлов, за исключением узла, соответствующего идентификатору первого узла в первой конференции. 5 н. и 11 з.п. ф-лы, 13 ил.

Уникальные идентификаторы узла в масштабе домена и уникальные идентификаторы службы распределяются в домене MPLS, используя систему маршрутизации LSA. Узлы в сети MPLS вычисляют деревья кратчайшего пути для каждого места назначения и устанавливают состояние одноадресной передачи на основе вычисленных деревьев. Узлы также устанавливают состояние многоадресного соединения между узлами, распространяя общий интерес в общем идентификаторе экземпляра службы. Вместо распределения меток, используемых в связи с одноадресной и многоадресной связью, узлы вычисляют метки детерминированным способом. Может быть вычислено любое число контекстов метки. Метки могут быть либо уникальными в масштабе домена для одноадресного пути, либо могут быть локально уникальными и детерминированно расчетными, чтобы обеспечить передачу контекста для связанного пути. Многоадресные и одноадресные пути могут быть конгруэнтными, хотя это не является обязательным условием. 3 н. и 13 з.п. ф-лы, 7 ил.
Наверх