Browse Prior Art Database

Eine Methode zur Synchronisation von Firewalls

IP.com Disclosure Number: IPCOM000020066D
Original Publication Date: 2003-Nov-25
Included in the Prior Art Database: 2003-Nov-25

Publishing Venue

Siemens

Related People

Other Related People:

Abstract

In IP-Netzen werden haeufig sogenannte Network Address Translation (NAT) Engines oder Firewalls eingesetzt. NAT-Engines aendern bei den IP-Paketen eventuell die IP Addressen und Portnummern. Eventuell werden auch noch Elemente der Payload geaendert. Um diese Umsetzung vorzunehmen, wird pro Verkehrsbeziehung ein Tabelleneintrag vorgehalten, in dem die Paare (IP-Addr', Port') - (IP-Addr'', Port'') stehen. Fuer TCP macht man sich dabei die fuer Verbindungsaufbau und Verbindungsabbau verwendeten Nachrichtenelemente zu Nutze, bei UDP erfolgt dies nur zeitbasiert. Wenn keine Verkehrsbeziehung mehr existiert, wird der Tabelleneintrag geloescht. Bei TCP Verbindungen besteht der Eintrag erst nach einem Verbindungsaufbau. Firewalls realisieren eine Paketfilterfunktion. Dazu wird in der Regel fuer verbindungsorientierte Transportprotokolle ein Verbindungsstatus in der Firewall gefuehrt, und die Filterfunktion ist abhaengig von diesem Status.