在SDWAN架构中的服务平面上的动态防火墙发现的制作方法

在sdwan架构中的服务平面上的动态防火墙发现
技术领域
1.本公开总体涉及防火墙发现，并且更具体地涉及用于在软件定义的广域网(sdwan)架构中的服务平面上的动态防火墙发现的系统和方法。


背景技术：

2.随着当今世界网络信息流呈指数增长，计算机安全成为一项重要的必要条件。来自黑客、恶意软件等的威胁可能会关闭或损坏大型计算机网络，从而导致大量金钱、资源和时间的损失。随着这种威胁的性质和复杂程度，防止此类事件的安全措施也在不断演进。保护计算机网络免受外部威胁的一种机制是防火墙。防火墙是被置于网络与网络外部之间的硬件和软件的组合。防火墙接收来自网络外部的所有数据，然后再把数据发送给网络用户。防火墙对数据进行分类和分析，并确定数据是否应该有权访问网络。如果数据被授权，则防火墙将数据转发到其目的地。如果数据未经授权，则防火墙将拒绝数据访问网络。
附图说明
3.图1示出了根据一些实施例的系统，该系统用于动态地检测防火墙检查来避免对数据分组的双重检查。
4.图2示出了根据一些实施例的方法的流程图，该方法用于基于数据分组的正向流来检测防火墙检查。
5.图3示出了根据一些实施例的方法的流程图，该方法用于基于数据分组的反向流来检测防火墙检查。
6.图4示出了根据一些实施例的计算机系统。
具体实施方式
7.在独立权利要求中陈述了本技术的各方面，在从属权利要求中陈述了优选特征。一个方面的特征可以单独地或与其他方面结合地应用于任何方面。
8.根据实施例，一种系统可以包括一个或多个处理器和一个或多个计算机可读非暂时性存储介质，计算机可读非暂时性存储介质包括指令，当该指令被一个或多个处理器执行时，使系统的一个或多个组件执行以下操作，所述操作包括：识别源数据分组，以用于将该源数据分组从源站点处的源机器传输到目的地站点处的目的地机器，其中源数据分组对应于源机器和目的地机器之间通过广域网(wan)进行连接的请求；在与源站点相关联的第一防火墙处检查源数据分组；用标示物标记源数据分组以表明源数据分组被第一防火墙检查；将被标记的源数据分组传输到目的地站点；在目的地站点处确定源数据分组已经基于标示物被检查；并且将源数据分组转发到目的地站点处的目的地机器，而源数据分组不被与目的地站点相关联的第二防火墙检查。
9.此外，该操作还可以包括：识别确认数据分组，以用于将确认数据分组从目的地站点处的目的地机器反向传输到源站点处的源机器，其中确认数据分组将响应于源数据分组
而被反向传输。该操作还可以包括：将确认数据分组从目的地站点传输到源站点，而确认数据分组不被与目的地站点相关联的第二防火墙检查；在源站点处确定确认数据分组与源数据分组相关联；在与源站点相关联的第一防火墙处检查确认数据分组；并且将确认数据分组转发到源站点处的源机器。
10.另外，源数据分组可以是syn分组，确认数据分组可以是syn/ack分组。
11.此外，标记操作还可以包括创建与源数据分组相关联的流表条目。此外，确认数据分组可以基于流表条目被确定为与所述源数据分组相关联。
12.另外，标示物可以是基于源数据分组的传输控制协议(tcp)报头的字段的重定向标志。
13.根据另一个实施例，一种方法可以包括以下步骤：识别源数据分组，以用于将该源数据分组从源站点处的源机器传输到目的地站点处的目的地机器，其中源数据分组对应于源机器和目的地机器之间通过广域网(wan)进行连接的请求；在与源站点相关联的第一防火墙处检查源数据分组；用标示物标记源数据分组以表明源数据分组被第一防火墙检查；将被标记的源数据分组传输到目的地站点；在目的地站点处确定源数据分组已经基于标示物被检查；以及将源数据分组转发到目的地站点处的目的地机器，而源数据分组不被与目的地站点相关联的第二防火墙检查。
14.根据又一个实施例，一个或多个计算机可读非暂时性存储介质包括指令，当该指令被处理器执行时，使得以下操作被执行，所述操作包括：识别源数据分组，以用于将该源数据分组从源站点处的源机器传输到目的地站点处的目的地机器，其中源数据分组对应于源机器和目的地机器之间通过广域网(wan)进行连接的请求；在与源站点相关联的第一防火墙处检查源数据分组；用标示物标记源数据分组以表明源数据分组被第一防火墙检查；将被标记的源数据分组传输到目的地站点；在目的地站点处确定源数据分组已经基于标示物被检查；并且将源数据分组转发到目的地站点处的目的地机器，而源数据分组不被与目的地站点相关联的第二防火墙检查。
15.本公开的一些实施例的技术优势可包括以下一项或多项。在本文中所述的系统和方法可以允许对数据分组的防火墙检查进行动态检测，从而减少被网络中的一个或多个防火墙进行的检查的数量。因此，在现有防火墙许可证下的防火墙使用计数可能会减少并且/或者通过网络发出的数据分组的数量可能会增加。此外，因为处理时间将随着数据分组经历较少的防火墙检查而固有地减少，所以公开的系统和方法可以减少系统延迟。
16.对于本领域技术人员来说，从以下附图、描述和权利要求中，其他技术优势将是显而易见的。此外，虽然上面列举了具体的优点，但各个实施例可以包括所有、一些或不包括所列举的优点。
17.示例性实施例
18.在当今的sd-wan企业网络中，每个站点，无论是本地站点还是区域站点，都配备了防火墙，以确保进入网络的数据不会对网络或网络的用户构成威胁。然而，虽然两个站点是同一受信任网络的一部分，但是今天的网络迫使应用程序和数据流量穿过两个防火墙(即在源站点处和目的地站点处)。通过将数据分组必须穿过的防火墙的数量加倍，企业可能需要将其防火墙使用许可证增加倍，因为这些许可证通常基于防火墙一次可以处理的连接的数量(例如，1000个被传输的数据分组可能需要2000个防火墙许可证，这1000个被传输的数
据分组在源站点和目的地站点已经进行了双重检查)。此外，因为防火墙处理的每个实例都会减慢流量，所以防火墙数量的增加也可能导致网络延迟增加。
19.本公开介绍了用于在网络中的服务平面上的动态发现防火墙的系统和方法。具体地，该系统和方法用于检测第一防火墙何时检查了数据分组，从而避免在网络中的第二防火墙对同一数据分组的第二次检查。
20.图1描绘了根据本公开的用于检测防火墙检查的系统100。系统100包括通过网络190通信连接的源站点110和目的地站点150。虽然图1将网络描绘为广域网(wan)，但是应当理解，网络190可以包括sd-wan、局域网(lan)、无线局域网(wlan)或任何其他在本领域中已知的电信网络。
21.系统100的源站点110可以包括源机器120(示为客户端计算机)、源路由器130和与源站点110相关联的第一防火墙140。目的地站点150可以包括目的地机器180(示为服务器)、目的地路由器160和与目的地站点150相关联的第二防火墙170。
22.源站点110和目的地站点150可以对应于各种网络配置和架构。在一个实施例中，在源站点110处的源机器120可以对应于在分支站点处的用户机器，并且在目的地站点150处的目的地机器180可以对应于在公司数据中心处的服务器。在另一个实施例中，在源站点110处的源机器120可以对应于远程站点处的远程用户机器(例如，被虚拟专用网(vpn)用户使用的机器)，并且目的地站点处的目的地机器180可以对应于在公司总部站点处的服务器。系统100可以适用于其他使用情景，这些使用情景被本领域技术人员所确定。
23.继续参考图1，源机器120可能希望与目的地机器180建立通信链路，并且可以发起传输控制协议(tcp)会话以将数据分组从在源站点110处的源机器120传输到在目的地站点150处的目的地机器180。为了本公开的目的，要从源站点传输的数据分组可以被称为“源数据分组”。源数据分组可以对应于源机器120和目的地机器180之间的连接请求。在实施例中，源数据分组可以包括同步(syn)分组。syn分组是tcp分组，该tcp分组可以从第一台机器(例如，源机器)发送到第二台机器(例如，目的地机器)，请求在第一台机器和第二台机器之间建立连接。作为对syn数据分组的响应，目的地机器可以将同步/确认(syn/ack)数据分组发送回源机器。syn和syn/ack数据分组用作电子“握手”以在源机器120和目的地机器180之间建立通信。
24.从源机器120发出的源数据分组可以到达源路由器130。源路由器130可以检查源数据分组，并且确定源数据分组头部是否有流表条目；流表条目可以表明数据分组先前已被源路由器130发现。如果源数据分组是syn分组，则源数据分组不会有流表条目，因为syn分组是源数据分组与源路由器130的第一次会话。接下来，根据源站点110的应用策略，源路由器130可以将源数据分组转发到在源站点110处的第一防火墙140以供检查。第一防火墙140可以检查源数据分组，然后将源数据分组返回给源路由器130。然后源路由器130可以用标示物标记源数据分组，以表明第一防火墙140已完成对防火墙的检查。在实施例中，源路由器130可以使用带有tcp选项的标志来标记源数据分组。在实施例中，标志可以包括在源数据分组的tcp报头的选项字段中的可用的定制“r”(“重定向”)标志。源路由器130还可以为源数据分组创建和存储流表条目。流表条目可以表明源数据分组是syn分组并且将从目的地站点150接收对应的返回流量(syn/ack分组)。然后，源路由器130可以通过封装的、加密的数字将源数据分组传输到目的地站点150。虽然以上描述表明第一防火墙140可以在用
源路由器130标记源数据分组之前检查源数据分组，但是应当理解，在一些实施例中，源路由器130可以在将源数据分组转发给第一防火墙之前标记源数据分组。换言之，可以修改某些动作的顺序，但不脱离本公开的范围。
25.在目的地站点150处，目的地路由器160可以接收源数据分组。目的地路由器160可以拆封信道并检查源数据分组。目的地路由器160可以基于标示物(即r标志)的存在来确定源数据分组已经被防火墙(即第一防火墙140)检查。因此，目的地路由器160可以确定不需要将源数据分组转发到目的地路由器160的本地防火墙，即第二防火墙170。所以，目的地路由器160可以缓存与源数据分组相关联的流表条目，然后将源数据分组转发到在目的地站点150处的目的地机器180，而源数据分组不被与目的地站点150相关联的第二防火墙170检查。通过缓存与源数据分组相关联的流表条目，目的地路由器160可以稍后确定确认数据分组(即反向分组)，该确认数据分组与源数据分组相关联并且将沿着相同的路线被送回。此外，因为源数据分组已被r标志标记，所以目的地路由器160可以确定已经发生了防火墙检查，从而避免第二次防火墙检查。举例来说，如果源数据分组的报头中没有标示物(r标志)表明已经发生了防火墙检查，那么目的地路由器可以确定源数据分组是防火墙检查的候选对象，并且因此，在将源数据分组转发到与目的地站点150相关联的目的地机器180之前，目的地路由器可以将源数据分组转发到第二防火墙170以供检查。此外，因为防火墙是有状态的(即，检查数据分组的防火墙必须看到给定数据分组在正向和反向的流动)，所以在第二个防火墙处的正向流动的源数据分组的检查将需要在同一防火墙处的相关联的反向流量的检查。
26.作为对被源机器120发出的源数据分组(例如，syn分组)的响应，目的地机器180可以用确认数据分组(例如，syn/ack分组)来响应。具体地，在目的地站点150处的目的地机器180可以将确认数据分组发送到目的地路由器160，该目的地路由器160将该确认数据分组反向传输到源站点110。当确认数据分组请求与目的地机器180的连接时，确认数据分组可以与源机器120发出的源数据分组(即作为响应而发出)相关联。
27.目的地路由器160可以确定确认数据分组与先前已经被缓存的流表条目(即与源数据分组相关联的流表条目)相关联，并且因此目的地路由器160知道确认数据分组不需要被发送到本地防火墙(即在目的地站点150处的第二防火墙170)。因此，目的地路由器160可以封装确认数据分组，并且通过从目的地站点到源站点的信道将确认数据分组传输，而不被在目的地站点处的第二防火墙检查。
28.在源站点110处，源路由器130可以检查确认数据分组，并确定确认数据分组与源数据分组相关联，即，确认数据分组是响应于syn数据分组而发出的syn/ack。通过查找与确认数据分组和/或源数据分组相关的流表条目来做这个确定。如果源路由器130确定不存在与确认数据分组相关联的流表条目，数据分组可能会被丢弃。在实施例中，源路由器130还可以确定确认数据分组没有用“r”标志标记，并且因此可以将确认数据分组转发到源路由器130的本地防火墙，即第一防火墙140。因为检查数据分组的给定防火墙必须看到数据分组在两个方向上的流动，所以给定防火墙还必须检查反向流量。在图1的例子中，因为第一防火墙140已经检查了源数据分组，所以第一防火墙140还将检查反向流量，即确认数据分组。因此，第一防火墙140可以检查确认数据分组，并且基于防火墙的应用策略，可以做出允许或拒绝确认数据分组的确定。如果第一防火墙140确定允许确认数据分组，那么可以将分
组转发到源路由器130，然后被源路由器130传输到源机器120。
29.虽然在图1的系统300中示出了两个路由器，但是应当理解，源站点110和目的地站点150可以与任何数量的路由器相关联。数据分组可以被送到这些路由器和/或可以接收来自这些路由器的数据分组。例如，在第一防火墙140检测到数据分组后，该数据分组可以被发送到源路由器130或网络中的另一个路由器，然后传输给客户端。
30.现在参考图2，图2示出了根据本公开的方法200，该方法200用于基于数据分组的正向流动来检测防火墙检查。该方法可以开始于步骤205。在步骤210，源数据分组可以被识别，然后将源数据分组从源站点处的源机器传输到目的地站点处的目的地机器。源数据分组可以对应于源机器和目的地机器之间通过网络(例如，wan)进行连接的请求。在实施例中，源数据分组可以是syn分组。
31.在步骤220，可以在与源站点相关联的第一防火墙处检查源数据分组。假设源数据分组通过了第一防火墙的检测，那么在步骤230，源数据分组可以用标示物标记源数据分组以表明源数据分组被第一防火墙检测。在实施例中，可以使用带有tcp选项的标志来标记源数据分组。在实施例中，该标志可以包括在源数据分组的tcp报头的选项字段中的可用的定制“r”(“重定向”)标志。可以为源数据分组创建ftp流表条目，以表明源数据分组是用于请求通信的数据分组(即syn数据分组)，并且将从目的地站点150接收对应的返回流量(syn/ack分组)。
32.在步骤240，可以通过封装的加密信道将被标记的源数据分组传输到目的地站点。在步骤250，一旦信道已经被解封装并且在目的地站点处接收源数据分组，就可以确定源数据分组先前是否已经被检查过。可以基于源数据分组的报头中是否存在表示物(r标志)来做出该确定。如果在步骤250确定源数据分组已经被检查，那么该方法可以进行到步骤260。其中，在与源数据分组相关联的流表条目被缓存之后，可以将源数据分组转发到在目的地站点处的目的地机器，而源数据分组不被与目的地站点相关联的第二防火墙检查。该方法可以结束于步骤270。
33.如果在步骤250确定源数据分组未被检查，那么该方法可以进行到步骤280。其中，可以将源数据分组转发到与第二目的地站点相关联的第二防火墙，该源数据分组被第二防火墙检查。该方法可以结束于步骤270。
34.现在参考图3，图3示出了根据本公开的方法300，该方法30用于基于数据分组的反向流动来检测防火墙检查。在实施例中，图3中描述的方法300可以是图2中描述的方法200的延续，即，在下文结合图3描述的确认数据分组可以响应于上述结合图2描述的源数据分组而传输。
35.如图3所示，方法300可以开始于步骤305。在步骤310，确认数据分组可以被识别，然后将确认数据分组从目的地站点处的目的地机器反向传输到源站点处的源机器。确认数据分组可以与源数据分组相关联，因为确认数据分组可以响应于通过网络从源机器发送到目的地机器的连接请求而被发送。在实施例中，确认数据分组可以是syn/ack分组，该syn/ack分组可以与结合图2描述的syn分组相关联或响应于结合图2描述的syn分组而被发送。在310的识别步骤还可以包括：确定确认数据分组与先前已经被缓存的源数据分组的流表条目相关联(例如，图2的步骤260)，并且因此，确认数据数据分组不需要被发送到本地防火墙，即与目的地站点相关联的第二防火墙。
36.在步骤320，确认数据分组可以被封装并通过从目的地站点到源站点的信道传输，而确认数据分组不被在目的地站点处的第二防火墙检查。在步骤330，一旦在源站点处接收确认数据分组，就可以确定确认数据分组是否与源数据分组相关联，即，确认数据分组是响应于syn源数据分组而发出的syn/ack分组。通过查找ftp流表条目来做出该确定。该ftp流表条目验证确认数据分组与源数据分组相关联。
37.如果在步骤330确定确认数据分组不与源数据分组相关联(即，流表条目未能验证确认数据分组)，那么该方法可以进行到步骤370，其中，确认数据分组被丢弃。该方法可以结束于步骤360。
38.如果在步骤330确定确认数据分组与源数据分组相关联(即，流表条目验证确认数据分组)，那么该方法可以进行到步骤340，其中，可以将确认数据分组转发到确认数据分组的本地防火墙(即第一防火墙)以供检查。在其他实施例中，代替或除了确定确认数据分组与源数据分组相关联之外，还可以确定确认数据分组没有被“r”标志标记(即，确认数据分组没有在目的地站点处被标记)，并且因此，确认数据分组可以被转发到第一防火墙被检查。
39.在步骤340，可以在与源站点相关联的第一防火墙处检查确认数据分组。因为检查数据分组的给定防火墙(在本文中是第一防火墙)必须看到数据分组在两个方向上的流动，给定防火墙还必须检查反向流量。举例来说，因为第一防火墙检查正向流量(即图2的步骤220中的源数据分组)，所以第一防火墙还必须检查反向流量(即确认数据分组)。如果基于第一防火墙对确认数据分组的检查，防火墙允许确认数据分组，那么在步骤350，可以将确认数据分组转发到与源站点相关联的源机器。在步骤360，该方法可以结束。
40.总之，本公开的系统和方法可以允许对数据分组的防火墙检查进行动态检测，从而将可以被网络的一个或多个防火墙进行的检查的数量减少了至少一半。因此，所公开的系统和方法的好处包括减少现有防火墙许可证下的防火墙使用计数和/或可以翻倍通过网络发送的数据分组的数量。此外，所公开的系统和方法可以改善系统延迟，因为处理时间将随着数据分组被更少的防火墙检查而减少。
41.现在参考图4，其中示出了示例计算机系统400。在特定实施例中，一个或多个计算机系统400执行在本文中描述或说明的一种或多种方法的一个或多个步骤。在特定实施例中，一个或多个计算机系统400提供在本文中描述或说明的功能。在特定实施例中，在一个或多个计算机系统400上运行的软件执行在本文中描述或说明的一种或多种方法的一个或多个步骤，或者提供在本文中描述或说明的的功能。特定实施例包括一个或多个计算机系统400的一个或多个部分。在本文中，对计算机系统的参考可以涵盖计算设备，并且在适当的情况下反之亦然。此外，在适当的情况下，对计算机系统的参考可以涵盖一个或多个计算机系统。
42.本公开考虑了任何合适数量的计算机系统400。本公开考虑了任何合适的实体形式的计算机系统400。作为示例而非限制，计算机系统400可以是嵌入式计算机系统、片上系统(soc)、单板计算机系统(sbc)(例如，计算机模块(com)或模块上系统(som))、台式计算机系统、膝上型或笔记本计算机系统、交互式信息亭、大型机、计算机系统网格、移动电话、个人数字助理(fda)、服务器、平板电脑系统、增强/虚拟现实设备或其中两种或多种的组合。在适当的情况下，计算机系统400可以包括一个或多个计算机系统400；是单一的或分布式
的；跨越多个位置；跨越多台机器；跨越多个数据中心；或位于云端中，该云端可以包括一个或多个网络中的一个或多个云组件。在适当的情况下，一个或多个计算机系统400可以执行在本文中描述或说明的一种或多种方法的一个或多个步骤，而没有实质的空间或时间限制。作为示例而非限制，一个或多个计算机系统400可以实时或以批处理的方式执行在本文中描述或说明的一种或多种方法的一个或多个步骤。在适当的情况下，一个或多个计算机系统400可以在不同时间或在不同位置执行在本文中描述或说明的一种或多种方法的一个或多个步骤。
43.在特定实施例中，计算机系统400包括处理器402、存储器404、存储406、输入/输出(i/o)接口408、通信接口410和总线412。虽然本公开描述和说明了在特定布置中具有特定数量的特定组件的特定计算机系统，但是本公开考虑了在任何合适布置中具有任何合适数量的任何合适组件的任何合适计算机系统。
44.在特定实施例中，处理器402包括用于执行指令的硬件，例如构成计算机程序的指令。作为示例而非限制，为了执行指令，处理器402可以从内部寄存器、内部缓存、存储器404或存储406检索(或获取)指令；解码并执行它们；并且然后将一个或多个结果写入内部寄存器、内部缓存、寄存器404或存储406。在特定实施例中，处理器402可以包括用于数据、指令或地址的一个或多个内部缓存。在适当的情况下，本公开考虑了处理器402，该处理器402包括任何合适数量的任何合适的内部缓存。作为示例而非限制，处理器402可以包括一个或多个指令缓存、一个或多个数据缓存以及一个或多个转换后备缓冲器(tlb)。在指令缓存中的指令可以是在存储器404或存储406中的指令的副本，并且指令缓存可以加速处理器402对这些指令的检索。在数据缓存中的数据可以是存储器404或存储406中的数据的副本，存储器404或存储406中的数据用于在处理器402处执行的对处理器402进行操作的指令；可以是被处理器402运行的先前指令的结果，该处理器402被在处理器402运行的后续指令访问或用于写入存储器404或存储406；或可以是其他合适的数据。数据缓存可以加速处理器402的读取或写入操作。tlb可以加速处理器402的虚拟地址转换。在特定实施例中，处理器402可以包括用于数据、指令或地址的一个或多个内部寄存器。在适当的情况下，本公开考虑了处理器402，该处理器402包括任何合适数量的任何合适的内部寄存器。在适当的情况下，处理器402可以包括一个或多个算术逻辑单元(alu)；可以是多核处理器，或者包括一个或多个处理器402。虽然本公开描述和说明了特定处理器，但是本公开考虑了任何合适的处理器。
45.在特定实施例中，存储器404包括主存储器。该主存储器用于存储处理器402执行的指令或用于存储处理器402操作的数据。作为示例而非限制，计算机系统400可以将指令从存储406或另一个源(例如，另一个计算机系统400)加载到存储器404。然后处理器402可以将指令从存储器404加载到内部寄存器或内部缓存。为了执行指令，处理器402可以从内部寄存器或内部缓存中检索指令并对指令进行解码。在指令执行期间或之后，处理器402可以将一个或多个结果(可以是中间或最终结果)写入内部寄存器或内部缓存。然后处理器402可以将这些结果中的一个或多个结果写入存储器404。在特定实施例中，处理器402仅执行一个或多个内部寄存器或内部缓存或存储器404(与存储406或其他地方相反)中的指令并且仅对一个或多个内部寄存器或内部缓存或存储器404(与存储406或其他地方相反)中的数据进行操作。一个或多个存储器总线(一个或多个存储器总线可以各自包括地址总线和数据总线)可以将处理器402耦合到存储器404。总线412可以包括一个或多个存储器总
线，如下所述。在特定实施例中，一个或多个存储器管理单元(mmu)位于在处理器402和存储器404之间，并且有助于被处理器402请求的对存储器404的访问。在特定实施例中，存储器404包括随机存取存储器(ram)。该ram在适当时可以是易失性存储器。在适当的情况下，该ram可以是动态ram(dram)或静态ram(sram)。此外，在适当的情况下，该ram可以是单端口或多端口ram。本公开考虑了任何合适的ram。在适当的情况下，存储器404可以包括一个或多个存储器404。虽然本公开描述和说明了特定的存储器，但是本公开考虑了任何合适的存储器。
46.在特定实施例中，存储406包括用于数据或指令的大容量存储。作为示例而非限制，存储406可以包括硬盘驱动器(hdd)、软盘驱动器、闪存、光盘、磁光盘、磁带或通用串行总线(usb)驱动器或其中两个或多个的组合。在适当的情况下，存储406可以包括可移动或不可移动(或固定)介质。在适当的情况下，存储406可以位于计算机系统400的内部或外部。在特定实施例中，存储406是非易失性固态存储器。在特定实施例中，存储406包括只读存储器(rom)。在适当的情况下，该rom可以是掩模编程rom、可编程rom(prom)、可擦除prom(eprom)、电可擦除prom(eeprom)、电可更改rom(earom)或闪存或其中两种或更多种的组合。本公开考虑任何合适的实体形式的大容量存储406。在适当的情况下，存储406可以包括一个或多个存储控制单元，该一个或多个存储控制单元有助于处理器402和存储406之间的通信。在适当的情况下，存储406可以包括一个或多个存储406。虽然本公开描述和说明了特定的存储，但是本公开考虑了任何合适的存储。
47.在特定实施例中，i/o接口408包括硬件、软件或这两者。i/o接口408为计算机系统400和一个或多个i/o设备之间的通信提供一个或多个接口。在适当的情况下，计算机系统400可以包括这些i/o设备中的一个或多个设备。这些i/o设备中的一个或多个设备可以使人和计算机系统400之间进行通信。作为示例并且作为限制，i/o设备可以包括键盘、小键盘、麦克风、显视器、鼠标、打印机、扫描仪、扬声器、照相机、触控笔、平板电脑、触摸屏、轨迹球、摄像机、另外一个合适的i/o设备或其中两个或多个的组合。i/o设备可以包括一个或多个传感器。本公开考虑了任何合适的i/o设备和用于任何合适的i/o设备的任何合适的i/o接口408。在适当的情况下，i/o接口408可以包括一个或多个设备或软件驱动器，该一个或多个设备或软件驱动器使处理器402能够驱动这些i/o设备中的一个或多个i/o设备。在适当的情况下，i/o接口408可以包括一个或多个i/o接口408。虽然本公开描述和说明了特定的i/o接口，但是本公开考虑了任何合适的i/o接口。
48.在特定实施例中，通信接口410包括硬件、软件或这两者。通信接口410为计算机系统400和一个或多个其他计算机系统400或计算机系统400和一个或多个网络之间的通信(例如，基于分组的通信)提供一个或多个接口。作为示例而非限制，通信接口410可以包括网络接口控制器(mic)或者网络适配器，该网络接口控制器(mic)或者网络适配器用于与以太网或与其他基于有线网络进行通信；或者通信接口410可以包括无线nic(wnic)或无线适配器，该无线nic(wnic)或无线适配器用于与无线网络(例如，wi-fi网络)进行通信。本公开考虑了任何合适的网络和任何合适的通信接口410。作为示例而非限制，计算机系统400可以与自组织网络、个域网(pan)、局域网(lan)、广域网(wan)、城域网(man)，或互联网的一个或多个部分，或其中两个或多个网络的组合进行通信。这些网络中的一个或多个网络的一个或多个部分可以是有线的或无线的。作为示例，计算机系统400可以与无线pan(wpan)(例
如，bluetooth wpan)、wi-fi网络、wi-max网络、蜂窝电话网络(例如，全球移动通信系统(gsm)网络、长期进化(lte)网络或5g网络)或其他合适的无线网络或其中两个或多个网络的组合进行通信。在适当的情况下，计算机系统400可以包括用于任何这些网络的任何合适的通信接口410。在适当的情况下，通信接口410可以包括一个或多个通信接口410。虽然本公开描述和说明了特定的通信接口，但是本公开考虑了任何合适的通信接口。
49.在特定实施例中，总线412包括硬件、软件或这两者。硬件、软件或这两者将计算机系统400的组件彼此耦合。作为示例而非限制，总线412可以包括加速图形端口(agp)或其他图形总线、增强型工业标准架构(eisa)总线、前端总线(fsb)、hypertransport(hi)互连、工业标准架构(isa)总线、infiniband互连、低引脚数(lpc)总线、存储器总线、微信道架构(mca)总线、外围组件互连(pci)总线、pci-express(pcie)总线、串行高级技术附件(sata)总线、视频电子标准协会本地(vlb)总线或其他合适的总线或其中两个或多个总线的组合。在适当的情况下，总线412可以包括一个或多个总线412。虽然本公开描述和说明了特定总线，但是本公开考虑了任何合适的总线或互连。
50.本公开的实施例针对用于在服务平面上的动态防火墙发现的系统和方法。该方法包括以下步骤：识别源数据分组，将该源数据分组从在源站点处的源机器传输到在目的地站点处的目的地机器，其中源数据分组对应于源机器和目的地机器之间通过wan进行连接的请求；在与源站点相关联的第一防火墙处检查源数据分组；用标示物标记源数据分组以表明源数据分组被第一防火墙检查；将被标记的源数据分组传输到目的地站点；在目的地站点处确定源数据分组已经基于标示物被检查；以及将源数据分组转发到在目的地站点处的目的地机器，而源数据分组不被与目的地站点相关联的第二防火墙检查。
51.在本文中，在适当的情况下，计算机可读非暂时性存储介质可以包括一个或多个基于半导体的或其他集成电路(ic)(例如，现场可编程栅极阵列(fpga)或专用ic(asic))、硬盘驱动器(hdd)、混合硬盘驱动器(hmd)、光盘、光盘驱动器(odd)、磁光盘、磁光驱动器、软盘、软盘驱动器(fdd)、磁带、固态驱动器(ssd)、ram驱动器、安全数字卡或驱动器、任何其他合适的计算机可读非暂时性存储介质，或其中两个或多个的任何合适组合。在适当的情况下，计算机可读非暂时性存储介质可以是易失性、非易失性或易失性和非易失性的组合。
52.在本文中，“或”是包含性而非排他性的，除非另有明确说明或上下文另有说明。因此，在本文中，“a或b”是指“a、b或两者”，除非另有明确说明或上下文另有说明。此外，“和”既是共同的的又是各自的，除非另有明确说明或上下文另有说明。因此，在本文中，“a和b”是指“a和b，共同地或各自地”，除非另有明确说明或上下文另有说明。
53.本公开的范围涵盖了本领域普通技术人员将理解的，对本文描述或说明的示例实施例的所有改变、替换、变化、变更和修改。本公开的范围不限于本文描述或说明的示例实施例。此外，虽然本公开在本文中将各个实施例描述和说明为包括特定组件、元件、特征、功能、操作或步骤，但是这些实施例中的任何一个实施例可以包括任何组件、元件、特征、功能、操作的任何组合或排列，或本领域普通技术人员将理解的在本文中的任何地方描述或说明的步骤。此外，在所附权利要求中对适于、布置成、能够、配置成、能够、可操作或操作着以执行特定功能的装置或系统或装置或系统的组件的引用涵盖该装置、系统、组件，无论该装置、系统、组件或该特定功能是否被激活、打开或解锁，只要该装置、系统或组件如此适配、布置、能够、配置、启用、可操作或操作着。此外，虽然本公开将特定实施例描述或说明为
提供特定优点，但是特定实施例可以不提供这些优点、提供一些优点或提供全部这些优点。
54.在本文中公开的实施例仅是示例，并且本公开的范围不限于这些实施例。特定实施例可以包括在本文中公开的实施例的所有、一些组件、元件、特征、功能、操作或步骤或组件、元件、特征、功能、操作或步骤中的一个都不包括。根据本公开的实施例具体公开在所附权利要求中，而所附权利要求针对方法、存储介质、系统和计算机程序产品。其中，在一个权利要求类别中提及的任何特征(例如，方法)也可以在另一个权利要求类别(例如系统)中被要求保护。仅出于形式原因选择所附权利要求中的依赖关系或引用。然而，任何由故意回到任何先前的权利要求(特别是多重从属关系)而产生的主题也可以被要求保护，因此权利要求及其特征的任何组合都被公开并且可以被要求保护，而不管在所附权利要求中选择的依赖关系。可以要求保护的主题不仅包括所附权利要求中列出的特征的组合，还包括权利要求中特征的任何其他组合。其中，权利要求中提到的每个特征可以与任何其他特征或与权利要求中的其他特点组合。此外，在本文中描述或描绘的任何实施例和特征可以在单独的权利要求中，和/或在与本文中描述或描绘的任何实施例或特征的任何组合中或与所附权利要求的任何特征的组合中被要求保护。