[发明专利]在网络环境中用于重定向的防火墙发现的系统和方法

权利要求书

1.一种用于重定向的防火墙发现的方法，包括：

在防火墙处，拦截来自源节点的网络流；

当所述防火墙不能够取回针对所述网络流的元数据时，发送发现重定向到所述源节点，以更新防火墙缓存以识别所述防火墙；

在所述防火墙处，接收与所述网络流相关联的所述元数据；以及

在所述防火墙处，使所述元数据与所述网络流相关以将网络策略应用到所述网络流。

2.如权利要求1所述的方法，其中所述发现重定向是互联网控制消息协议分组。

3.如权利要求1所述的方法，其中所述发现重定向包括基于散列的消息认证代码。

4.如权利要求1所述的方法，其中所述发现重定向包括具有共享秘密的基于散列的消息认证代码。

5.如权利要求1所述的方法，其中所述发现重定向包括所述发现重定向的散列的私有密钥加密。

6.如权利要求1-5中任一项所述的方法，其中所述元数据是在元数据信道上接收到的。

7.如权利要求1-5中任一项所述的方法，其中使用数据报传输层安全协议接收所述元数据。

8.如权利要求1-5中任一项所述的方法，进一步包括：缓存在所述网络流中第一分组。

9.一种用于重定向的防火墙发现的方法，包括：

在源节点处，拦截从所述源节点到目的地节点的网络流；

使用防火墙缓存，识别用于管理到所述目的地节点的路由的防火墙；

发送与所述网络流相关联的元数据到所述防火墙；

释放所述网络流；

从第二防火墙接收发现重定向；

更新所述防火墙缓存以识别用于管理到所述目的地的所述路由的所述第二防火墙；以及

经由元数据信道将所述元数据发送到所述第二防火墙。

10.如权利要求9所述的方法，其中所述网络流使用传输控制协议，并且拦截所述网络流包括检测来自所述源节点的SYN分组。

11.如权利要求9所述的方法，其中所述网络流使用不可靠协议，并且拦截所述网络流包括缓存流的第一分组直到所述元数据被发送。

12.如权利要求9所述的方法，其中，所述元数据是使用数据报传输层安全协议被发送到所述第二防火墙的。

13.如权利要求9所述的方法，进一步包括：

使用所述发现重定向的散列的公共密匙解密或消息认证代码中的一个来认证所述发现重定向。

14.如权利要求9所述的方法，进一步包括：

缓存在所述网络流中的第一分组；

发送所述第一分组到所述第二防火墙。

15.如权利要求9所述的方法，进一步包括：

其中更新所述防火墙缓存包括：添加所述目的地节点的新条目，其具有超过所述目的地节点的先前条目的递增修改的掩码长度。

16.一种用于重定向防火墙发现的装置，所述装置包括：

主机管理器；以及

一个或多个处理器，其能够操作以执行与所述主机管理器相关联的指令，其中所述主机管理器被配置用于：

在防火墙处，拦截来自源节点的网络流；

当所述防火墙不能够取回针对所述网络流的元数据时，发送发现重定向到所述源节点，以更新防火墙缓存以识别所述防火墙；

在所述防火墙处，接收与所述网络流相关联的所述元数据；以及

在所述防火墙处，使所述元数据与所述网络流相关以将网络策略应用到所述网络流。

17.如权利要求16所述的装置，其中所述发现重定向是互联网控制消息协议目的地不可达分组。

18.如权利要求16-17中任一项所述的装置，其中所述发现重定向包括基于散列的消息认证代码。

19.如权利要求16-17中任一项所述的装置，其中所述发现重定向包括所述发现重定向的散列的私有密钥加密。