專利名稱:基于交換的網(wǎng)絡(luò)安全的制作方法
技術(shù)領(lǐng)域:
本發(fā)明的實(shí)施例涉及網(wǎng)絡(luò)安全����。更具體地���,本發(fā)明涉及網(wǎng)絡(luò)端點(diǎn)安全����。
背景技術(shù):
入侵(hacking)是通常用于描述由于任意數(shù)量的原因而侵犯計(jì)算機(jī)系 統(tǒng)的用戶行為的術(shù)語(yǔ)����。侵入者入侵系統(tǒng)或系統(tǒng)網(wǎng)絡(luò)("系統(tǒng)")的目的經(jīng) 常是對(duì)系統(tǒng)發(fā)起某種形式的攻擊�。這里使用的攻擊者指任何入侵、侵犯或 者侵入系統(tǒng)并且試圖損害系統(tǒng)的完整性或性能的用戶�����、主機(jī)系統(tǒng)或遠(yuǎn)程主 機(jī)�����。對(duì)攻擊者的檢測(cè)可能是非常復(fù)雜和困難的����。
端點(diǎn)設(shè)備通常是不安全的,并且攻擊者對(duì)此是知道的�����。分散式攻擊使 得端點(diǎn)成為網(wǎng)絡(luò)的進(jìn)入點(diǎn)。最近引入的大量的蠕蟲����、特洛伊(Trojan)和 間諜軟件證實(shí)是這種攻擊方法。網(wǎng)絡(luò)和安全管理器(administrator)受 MyDoom���、 Netsky��、 Sober�����、 Sobig�、 Bagle�����、 Phatbot����、 Witty、 Blaster和無(wú)數(shù) 其他病毒的變種所困擾��。
對(duì)經(jīng)由端點(diǎn)設(shè)備的網(wǎng)絡(luò)攻擊的修復(fù)是困難和昂貴的。多數(shù)網(wǎng)絡(luò)采用某 種形式的網(wǎng)絡(luò)安全來(lái)幫助抵抗許多上面討論的攻擊��。防病毒軟件和個(gè)人防 火墻在端點(diǎn)設(shè)備訪問(wèn)網(wǎng)絡(luò)資源之前不足以有效保護(hù)端點(diǎn)設(shè)備�����。此外��,目前 的許多網(wǎng)絡(luò)安全系統(tǒng)需要與網(wǎng)絡(luò)一起"在線(inline)"以減輕威脅�,因 而結(jié)果可能是網(wǎng)絡(luò)中的瓶頸或者故障點(diǎn)����。
發(fā)明內(nèi)容
本發(fā)明的實(shí)施例允許管理員創(chuàng)建訪問(wèn)策略,這些訪問(wèn)策略限定了在端 點(diǎn)設(shè)備上允許哪些應(yīng)用和服務(wù)并且指定了當(dāng)端點(diǎn)設(shè)備不遵從時(shí)將采取的動(dòng) 作�。當(dāng)設(shè)備連接到網(wǎng)絡(luò)時(shí),來(lái)自端點(diǎn)設(shè)備的流量被重定向到安全設(shè)備并且對(duì)端點(diǎn)設(shè)備的遵從進(jìn)行測(cè)試����。基于該測(cè)試�,端點(diǎn)設(shè)備被隔離或者訪問(wèn)策略 被自動(dòng)應(yīng)用以證明設(shè)備是遵從的。 一旦端點(diǎn)設(shè)備被證明是遵從的���,來(lái)自該 端點(diǎn)設(shè)備的流量就不再被重定向到安全設(shè)備���。不遵從的端點(diǎn)設(shè)備可通過(guò)所 安排的修復(fù)或者通過(guò)終端用戶的自修補(bǔ)來(lái)自動(dòng)修補(bǔ)(例如��,通過(guò)與補(bǔ)丁管 理系統(tǒng)相集成)���。
訪問(wèn)策略包括用于評(píng)估操作系統(tǒng)完整性的一個(gè)或多個(gè)測(cè)試,驗(yàn)證關(guān)鍵 修補(bǔ)程序和補(bǔ)丁已被安裝����,驗(yàn)證防病毒和其他安全應(yīng)用是存在的且最新 的,并且檢測(cè)其他惡意軟件的存在�。訪問(wèn)策略還對(duì)諸如文件共享、點(diǎn)對(duì)點(diǎn) 或間諜軟件之類的潛在危險(xiǎn)的應(yīng)用的出現(xiàn)進(jìn)行測(cè)試���。管理員可以通過(guò)應(yīng)用 編程接口 (API)來(lái)創(chuàng)建定制的測(cè)試��。
以下描述包括對(duì)本發(fā)明實(shí)施例的實(shí)現(xiàn)方式以舉例方式給出說(shuō)明的各附 圖的討論���。附圖應(yīng)當(dāng)作為示例而非限制來(lái)理解。
圖1示出在實(shí)體上與網(wǎng)絡(luò)一起在線的安全設(shè)備�。 圖2示出根據(jù)一些實(shí)施例的網(wǎng)絡(luò)的配置。
圖3示出位于交換機(jī)上的訪問(wèn)控制列表(ACL)�。
圖4示出不同網(wǎng)絡(luò)子網(wǎng)上的各種主機(jī)。
圖5示出ACL表格的狀態(tài)��。
圖6示出根據(jù)一些實(shí)施例的網(wǎng)絡(luò)的配置。
圖7示出具有安全管理器的網(wǎng)絡(luò)�����。
圖8示出根據(jù)一些實(shí)施例的模塊�����。
圖9示出根據(jù)一些實(shí)施例的處理�。
具體實(shí)施例方式
這里使用的安全設(shè)備包括任何在網(wǎng)絡(luò)中實(shí)現(xiàn)、實(shí)施和/或供給端點(diǎn)安全 的設(shè)備�。圖1示出在網(wǎng)絡(luò)(例如因特網(wǎng)、局域網(wǎng)(LAN)���、廣域網(wǎng) (WAN)等)中使用的安全設(shè)備的一個(gè)示例。安全設(shè)備120位于網(wǎng)絡(luò)110 與連接到交換機(jī)130的端點(diǎn)140�����、 150和160之間�。當(dāng)安全設(shè)備120的非受信側(cè)的任何端點(diǎn)試圖與交換機(jī)外部通信(例如,向網(wǎng)絡(luò)110或者向另一端 點(diǎn)發(fā)出流量)時(shí)���,安全設(shè)備120將阻擋該流量并向端點(diǎn)作出如下指示該 端點(diǎn)需要被測(cè)試����。
一旦端點(diǎn)已被測(cè)試,就可以創(chuàng)建如下防火墻規(guī)則允許端點(diǎn)發(fā)送出站
(outbound)流量和接收要發(fā)送到主機(jī)的入站(inbound)流量�����。然而���,如 圖l配置的安全設(shè)備120是單個(gè)故障點(diǎn)����。因此���,本發(fā)明的實(shí)施例被配置為 使得實(shí)現(xiàn)端點(diǎn)安全的安全設(shè)備是虛擬在線的�,而非實(shí)體在線�����。換言之��,流 量在為了達(dá)到目的地時(shí)不必經(jīng)過(guò)安全設(shè)備�����。
為了實(shí)現(xiàn)虛擬在線操作,訪問(wèn)控制列表(ACL)被添加到與各種端點(diǎn) 設(shè)備相關(guān)聯(lián)的VLAN或端口上����。這種缺省ACL要求來(lái)自一個(gè)端點(diǎn)的所有 流量被重定向到安全設(shè)備。安全設(shè)備然后向端點(diǎn)作出如下指示該端點(diǎn)需 要被測(cè)試����。例如,安全設(shè)備可能掌控對(duì)任何web會(huì)話的控制并提供向端點(diǎn) 用戶作出如下指示的網(wǎng)頁(yè)該端點(diǎn)需要被測(cè)試�。 一旦端點(diǎn)已被成功測(cè)試
(即,端點(diǎn)遵從安全策略)�,安全設(shè)備就創(chuàng)建動(dòng)態(tài)ACL,該動(dòng)態(tài)ACL允 許遵從的端點(diǎn)向網(wǎng)絡(luò)發(fā)送出站流量�����。該動(dòng)態(tài)ACL被添加到交換機(jī)上的表 格中并且交換機(jī)隨后實(shí)施該規(guī)則����。
在一些實(shí)施例中�,端點(diǎn)被周期性地再測(cè)試以確保它們?nèi)匀蛔駨陌踩?略。如果端點(diǎn)變得不可用于測(cè)試或者未能通過(guò)測(cè)試��,則安全設(shè)備從表格中 去除該動(dòng)態(tài)允許ACL規(guī)則,這有效地隔離了該端點(diǎn)����。換言之,在沒(méi)有允 許ACL規(guī)則的情況下��,該端點(diǎn)受將所有流量重定向到安全設(shè)備的缺省規(guī) 則控制��。
圖2示出根據(jù)一些實(shí)施例的網(wǎng)絡(luò)配置�。安全設(shè)備220連接到交換機(jī) 130,但并不實(shí)體在線于交換機(jī)130與網(wǎng)絡(luò)110之間����。這種虛擬在線配置 使得安全設(shè)備220對(duì)于從交換機(jī)130去往網(wǎng)絡(luò)110的流量而言不是單個(gè)故 障點(diǎn)。當(dāng)端點(diǎn)140���、 150和160中的任一個(gè)試圖連接到網(wǎng)絡(luò)110時(shí)�,安全設(shè) 備220使得來(lái)自各個(gè)端點(diǎn)中的任一個(gè)的流量被重定向到安全設(shè)備220的因 特網(wǎng)協(xié)議(IP)地址����。在一些實(shí)施例中,安全設(shè)備220向交換機(jī)130發(fā)送 命令和/或策略以對(duì)交換機(jī)130上的任何出站網(wǎng)絡(luò)流量進(jìn)行重定向�����。在其他 實(shí)施例中,安全設(shè)備220可以僅使得交換機(jī)130上的出站流量的一部分被
7重定向�。取決于安全策略,被重定向的流量(例如分組)可被安全設(shè)備
220忽略���、丟棄或者轉(zhuǎn)發(fā)��。
除了發(fā)起流量重定向之外���,安全設(shè)備220發(fā)起對(duì)其流量被重定向的端 點(diǎn)的測(cè)試。在一些實(shí)施例中�����,安全設(shè)備220執(zhí)行測(cè)試�。在其他實(shí)施例中, 安全設(shè)備220可以發(fā)送消息和/或命令來(lái)使另一個(gè)設(shè)備執(zhí)行測(cè)試�����。端點(diǎn)測(cè)試 可以通過(guò)以下處理而被發(fā)起掌控對(duì)任何端點(diǎn)web會(huì)話的控制并且將端點(diǎn) 定向到引導(dǎo)用戶通過(guò)測(cè)試的測(cè)試網(wǎng)頁(yè)�。在一些實(shí)施例中,端點(diǎn)測(cè)試對(duì)于端 點(diǎn)用戶而言也可以是透明的��。
圖3示出交換機(jī)130上的訪問(wèn)控制列表(ACL)表格310���、 340��、 350 和360���。 ACL是附于客體的許可的列表。在基于ACL的安全模型中�,當(dāng) 主體請(qǐng)求對(duì)客體執(zhí)行操作時(shí),系統(tǒng)首先檢查適用條目的列表��,以決定是否 進(jìn)行該操作����。在一些實(shí)施例中,安全設(shè)備220登入交換機(jī)130并且添加/更 新ACL�。 ACL表格310、 340����、 350和360可被添加到交換機(jī)的VLAN或 者交換機(jī)的端口上,并且可以包括一個(gè)或多個(gè)規(guī)則����。最初,ACL表格 310���、 340�、 350和360包括缺省規(guī)則(或者缺省ACL),該缺省規(guī)則不管 源如何都使得所有出站流量被重定向到安全設(shè)備220�。 一旦端點(diǎn)已被測(cè)試 并且發(fā)現(xiàn)其遵從安全策略,用于該端點(diǎn)的允許規(guī)則(permit rule)就被添 加到ACL��。例如�����,ACL表格340可能最初包括缺省規(guī)則���,該缺省規(guī)則使 得來(lái)自端點(diǎn)140的所有流量都被重定向到安全設(shè)備220�����。然而�����, 一旦端點(diǎn) 140已被測(cè)試并且發(fā)現(xiàn)其遵從安全策略�����,則安全設(shè)備220向ACL表格340 添加允許規(guī)則(或者允許ACL)��,該允許規(guī)則允許來(lái)自端點(diǎn)140的流量在 不被重定向的情況下傳播到網(wǎng)絡(luò)110���。
ACL中的每個(gè)條目或者規(guī)則通常包括主體和動(dòng)作。例如�����, 一個(gè)規(guī)則可 以指定特定端點(diǎn)(例如�����,EP 140)或VLAN和動(dòng)作(例如����,重定向、阻 擋���、允許流量等等)�����?�?梢曰贗P地址���、媒介訪問(wèn)控制(MAC)地址或 者其他類型的地址或標(biāo)識(shí)符而在ACL中識(shí)別端點(diǎn)��。
圖4示出不同子網(wǎng)上的網(wǎng)絡(luò)端點(diǎn)��。端點(diǎn)140和150在子網(wǎng)490上��,而 端點(diǎn)160在子網(wǎng)460上�。在一些實(shí)施例中���,安全設(shè)備220也可位于分開的 子網(wǎng)(例如���,子網(wǎng)420)上。在端點(diǎn)140和150在同一子網(wǎng)上的情況下�����,子網(wǎng)490僅需要一個(gè)ACL�。類似地,單個(gè)ACL可用于同一 VLAN上的所有端點(diǎn)�。
圖5示出正被添加到ACL表格(例如,圖3的ACL表格310�、 340、350或360)的規(guī)則的一個(gè)示例�����。當(dāng)ACL被添加到交換機(jī)的VLAN或者端口上時(shí),該ACL是缺省規(guī)則�����。缺省規(guī)則可以是依特定端點(diǎn)而定的����,或者可以是適用于多個(gè)端點(diǎn)(例如�,連接到交換機(jī)的所有端點(diǎn)或者VLAN上的所有端點(diǎn)等)的一般規(guī)則。因此�����,如果缺省規(guī)則是表格中僅有的ACL����,則該VLAN或者端口上的所有流量將由該缺省規(guī)則控制(例如,被重定向����、被阻擋、被轉(zhuǎn)發(fā)等等)��。
當(dāng)測(cè)試了端點(diǎn)并且發(fā)現(xiàn)其遵從安全策略時(shí),為每個(gè)遵從的端點(diǎn)生成允許規(guī)則并且將允許規(guī)則添加到適當(dāng)?shù)腁CL表格��。參考圖4����,如果端點(diǎn)140和150是遵從的,則為每個(gè)端點(diǎn)向表格添加允許規(guī)則���。ACL表格遵循后進(jìn)先出(LIFO)處理順序����。換言之�,最近添加的規(guī)則將被首先應(yīng)用于端點(diǎn)。ACL表格在對(duì)表格添加和去除規(guī)則方面不是一定遵循LIFO順序����。在缺省規(guī)則是添加到ACL的第一個(gè)規(guī)則的情況下,僅當(dāng)表格中沒(méi)有用于一端點(diǎn)的允許規(guī)則時(shí)�����,缺省規(guī)則才將被應(yīng)用于該端點(diǎn)�。因此,如果存在用于一端點(diǎn)的允許規(guī)則,則將由于該允許規(guī)則而允許該端點(diǎn)所發(fā)送的任何出站流量去往網(wǎng)絡(luò)IIO����。
ACL表格中的允許規(guī)則的順序是不重要的;如果在表格中存在用于給定端點(diǎn)的允許規(guī)則��,則該允許規(guī)則將在缺省規(guī)則之前被處理���。因此��,只要存在用于一端點(diǎn)的允許規(guī)則���,流量就不會(huì)被重定向�����。
如果端點(diǎn)(例如���,端點(diǎn)140)變得不可用于安全測(cè)試或者未能通過(guò)安全測(cè)試�����,則安全設(shè)備220使得用于端點(diǎn)140的允許規(guī)則被從ACL表格去除�。如圖5所示,當(dāng)用于端點(diǎn)140的允許規(guī)則被去除時(shí)����,用于端點(diǎn)150的允許規(guī)則保持在ACL表格中。因此�����,經(jīng)仍然允許從端點(diǎn)150發(fā)送的流量達(dá)到網(wǎng)絡(luò)�。
圖6示出根據(jù)一些實(shí)施例的配置,其中安全設(shè)備620不是直接連接到交換機(jī)130�。安全設(shè)備620經(jīng)由通過(guò)網(wǎng)絡(luò)110的安全隧道向交換機(jī)130傳送ACL、規(guī)則并且以其他方式管理端點(diǎn)140�����、 150和160的安全�。可以通過(guò)對(duì)數(shù)據(jù)(例如����,傳輸控制協(xié)議(TCP) /IP數(shù)據(jù)、用戶數(shù)據(jù)報(bào)協(xié)議(UDP)數(shù)據(jù)等)進(jìn)行加密�、對(duì)端口進(jìn)行掩蔽等來(lái)建立安全隧道?����?梢允?br>
用諸如安全外殼(SSH) 、 IP安全(IPsec)��、點(diǎn)對(duì)點(diǎn)協(xié)議(PTPP)等在安全設(shè)備620與交換機(jī)130之間建立安全隧道����。
圖7示出具有連接到安全設(shè)備720的安全管理器722的網(wǎng)絡(luò)配置。在一些實(shí)施例中�����,安全設(shè)備720將安全策略��、ACL等傳送到交換機(jī)130�����,并且應(yīng)對(duì)與重定向和/或允許來(lái)自端點(diǎn)140���、 150和160的流量相關(guān)聯(lián)的其他功能。與其他安全軟件和裝置結(jié)合使用的安全管理器722輔助網(wǎng)絡(luò)上的所有安全設(shè)備之間的協(xié)調(diào)����,并且智能地作出關(guān)于采取動(dòng)作的最佳方式的決定。例如,安全管理器722可以確定最佳動(dòng)作過(guò)程是在交換機(jī)上添加ACL或者在無(wú)線接入點(diǎn)上添加黑洞條目(blackhole entry)�����,或者使用防火墻來(lái)為特定端點(diǎn)創(chuàng)建拒絕規(guī)則(deny rule)��。安全管理器722可以通知安全設(shè)備720是否不同的安全設(shè)備檢測(cè)到來(lái)自特定端點(diǎn)的侵入����、安全異常等?����;谠撔畔?�,安全設(shè)備720可以對(duì)可疑端點(diǎn)進(jìn)行隔離和再測(cè)試�����。
安全管理器722可以是自治設(shè)備或者可以由用戶(例如���,系統(tǒng)管理員)控制�。在一些實(shí)施例中����,系統(tǒng)管理員可以通過(guò)安全管理器722來(lái)手動(dòng)更新安全設(shè)備720上的安全策略�。在其他實(shí)施例中����,系統(tǒng)管理員可以通過(guò)直接訪問(wèn)安全設(shè)備720來(lái)修改安全策略。
在一些實(shí)施例中�����,可以使用可擴(kuò)展標(biāo)記語(yǔ)言(XML)應(yīng)用編程接口(API)來(lái)生成XML命令�����,該XML命令示出交換機(jī)(或者網(wǎng)絡(luò))上的所有VLAN���、將VLAN解析成用戶可以理解的格式并且為每個(gè)VLAN創(chuàng)建選擇框����。用戶然后可以登入安全設(shè)備或者安全管理器以選擇VLAN和定制各種安全策略����、測(cè)試等���。
圖8示出根據(jù)一些實(shí)施例的交換機(jī)上的各種模塊���。重定向模塊820控制并管理對(duì)來(lái)自各種端點(diǎn)的流量的重定向����。測(cè)試模塊830發(fā)起并管理對(duì)不知道是否遵從一個(gè)或多個(gè)安全策略的端點(diǎn)的測(cè)試���。在一些實(shí)施例中���,測(cè)試模塊830可以執(zhí)行測(cè)試。策略生成器840生成訪問(wèn)策略�,以允許遵從的端點(diǎn)訪問(wèn)網(wǎng)絡(luò)而不必對(duì)來(lái)自(一個(gè)或多個(gè))端點(diǎn)的流量進(jìn)行重定向。如圖所示�����,模塊820�����、 830和840都可以位于交換機(jī)810上���。模塊820��、 830和840可被實(shí)現(xiàn)為專用集成電路(ASIC)����、固件、插入交換機(jī)810中的可插式卡�����,或者可被結(jié)合到插入交換機(jī)810的刀片式CPU中��。
在其他實(shí)施例中��,模塊820����、 830和840可以分開或者一起位于系統(tǒng)的各種設(shè)備和/或組件上。例如����,重定向模塊820和策略生成器840可位于交換機(jī)820上,而測(cè)試模塊830位于分開的設(shè)備(例如�����,服務(wù)器等)上�����。本領(lǐng)域技術(shù)人員將認(rèn)識(shí)到可以使用其他組合和配置��。
圖9示出可在一些實(shí)施例中使用的處理���。從端點(diǎn)發(fā)送的流量被重定向到安全設(shè)備或模塊(910)��。在(例如通過(guò)流量的源地址)識(shí)別了該端點(diǎn)之后����,測(cè)試該端點(diǎn)以確定端點(diǎn)是否遵從安全策略(920)�����。如果端點(diǎn)遵從安全策略���,則生成訪問(wèn)策略以允許該端點(diǎn)訪問(wèn)網(wǎng)絡(luò)(930)�。如果端點(diǎn)未能通過(guò)測(cè)試�,則該端點(diǎn)被隔離(940),直到其(例如通過(guò)更新防病毒軟件�、安裝安全補(bǔ)丁等)變得遵從安全策略為止。
這里描述的每個(gè)組件可以是用于執(zhí)行所述功能的手段��。這里描述的每個(gè)組件包括軟件、硬件或者它們的組合�。這些組件可被實(shí)現(xiàn)為軟件模塊、硬件模塊���、專用硬件(例如特定于應(yīng)用的硬件)�����、嵌入式控制器等等�����。軟件內(nèi)容(例如數(shù)據(jù)����、指令���、配置)可經(jīng)由包括機(jī)器可讀介質(zhì)在內(nèi)的制造物品來(lái)提供���,該制造物品提供代表可被執(zhí)行的指令的內(nèi)容。該內(nèi)容可使得機(jī)器執(zhí)行這里描述的各種功能/操作��。
機(jī)器可讀介質(zhì)包括任何以機(jī)器(例如計(jì)算設(shè)備、電子系統(tǒng)等)可訪問(wèn)的形式提供(例如存儲(chǔ)和/或傳輸)信息的機(jī)制��,例如可記錄/不可記錄介質(zhì)(例如只讀存儲(chǔ)器(ROM)�、隨機(jī)存取存儲(chǔ)器(RAM)���、磁盤存儲(chǔ)介質(zhì)�����、光學(xué)存儲(chǔ)介質(zhì)�、閃存裝置等)��。術(shù)語(yǔ)"機(jī)器可讀介質(zhì)"和"計(jì)算機(jī)可讀介質(zhì)"在這里被可互換地使用�。機(jī)器可讀介質(zhì)還可以包括可以從其下載內(nèi)容的存儲(chǔ)裝置或數(shù)據(jù)庫(kù)。機(jī)器可讀介質(zhì)還可以包括在銷售或交付時(shí)存儲(chǔ)了內(nèi)容的裝置或產(chǎn)品�����。因此�����,交付具有所存儲(chǔ)的內(nèi)容的裝置或者通過(guò)通信介質(zhì)提供供下載的內(nèi)容可以理解為提供具有這里描述的這種內(nèi)容的制造物
P
叫o
如這里所使用的����,對(duì)一個(gè)或多個(gè)"實(shí)施例"的提及將被理解為描述包括在本發(fā)明的至少一種實(shí)現(xiàn)方式中的特定特征��、結(jié)構(gòu)或特性���。因此,這里
ii出現(xiàn)的諸如"在一個(gè)實(shí)施例中"或者"在替代實(shí)施例中"之類的短語(yǔ)描述本發(fā)明的各種實(shí)施例和實(shí)現(xiàn)方式�,不一定都指同一實(shí)施例。然而��,它們也不一定是相互排斥的����。
除了這里所描述的內(nèi)容之外,可對(duì)所公開的本發(fā)明的實(shí)施例和實(shí)現(xiàn)方式進(jìn)行各種修改而不脫離它們的范圍���。因此�����,這里的說(shuō)明和示例應(yīng)被解釋為說(shuō)明性的而非限制性的��。本發(fā)明的范圍應(yīng)當(dāng)僅參考所附權(quán)利要求來(lái)確定����。
權(quán)利要求
1.一種方法,包括對(duì)從網(wǎng)絡(luò)端點(diǎn)發(fā)送的網(wǎng)絡(luò)流量進(jìn)行重定向�����;測(cè)試所述網(wǎng)絡(luò)端點(diǎn)是否遵從安全策略����;以及如果所述網(wǎng)絡(luò)端點(diǎn)遵從所述安全策略,則生成允許所述網(wǎng)絡(luò)端點(diǎn)在無(wú)需流量重定向的情況下訪問(wèn)網(wǎng)絡(luò)的訪問(wèn)策略�。
2. 如權(quán)利要求1所述的方法��,其中�,對(duì)從網(wǎng)絡(luò)端點(diǎn)發(fā)送的流量進(jìn)行重 定向的步驟包括根據(jù)安裝在交換機(jī)上的缺省訪問(wèn)控制列表(ACL)規(guī)則 對(duì)從所述網(wǎng)絡(luò)端點(diǎn)發(fā)送的網(wǎng)絡(luò)流量進(jìn)行重定向。
3. 如權(quán)利要求2所述的方法�����,其中���,生成訪問(wèn)策略的步驟包括生成允許規(guī)則并將該允許規(guī)則添加到所述交換機(jī)上的ACL中��。
4. 如權(quán)利要求1所述的方法����,其中,對(duì)從網(wǎng)絡(luò)端點(diǎn)發(fā)送的流量進(jìn)行重定向的步驟包括阻擋來(lái)自所述網(wǎng)絡(luò)端點(diǎn)的出站流量�;以及 將所述網(wǎng)絡(luò)節(jié)點(diǎn)引導(dǎo)至測(cè)試網(wǎng)頁(yè)。
5. 如權(quán)利要求1所述的方法�����,其中���,對(duì)從網(wǎng)絡(luò)端點(diǎn)發(fā)送的流量進(jìn)行重 定向的步驟包括-接收用戶選擇���;以及至少部分地基于所述用戶選擇來(lái)對(duì)網(wǎng)絡(luò)流量進(jìn)行重定向。
6. 如權(quán)利要求5所述的方法�,其中,接收用戶選擇的步驟包括通過(guò) 可擴(kuò)展標(biāo)記語(yǔ)言(XML)來(lái)接收所述用戶選擇��。
7. 如權(quán)利要求5所述的方法���,其中��,所述用戶選擇包括虛擬局域網(wǎng) (VLAN)選擇�����。
8. 如權(quán)利要求1所述的方法�����,其中���,根據(jù)所述規(guī)則對(duì)從網(wǎng)絡(luò)端點(diǎn)發(fā)送 的網(wǎng)絡(luò)流量進(jìn)行重定向的步驟包括對(duì)從所述網(wǎng)絡(luò)端點(diǎn)發(fā)送的所有網(wǎng)絡(luò)流 量進(jìn)行重定向���。
9. 一種方法,包括為訪問(wèn)控制列表(ACL)生成對(duì)屬于網(wǎng)絡(luò)的交換機(jī)上的出站流量進(jìn)行重定向的缺省規(guī)則���;對(duì)連接到所述交換機(jī)的網(wǎng)絡(luò)端點(diǎn)執(zhí)行安全測(cè)試���;如果所述端點(diǎn)通過(guò)所述安全測(cè)試��,則向所述ACL添加用于所述端點(diǎn) 的允許規(guī)則����;以及如果所述端點(diǎn)未能通過(guò)所述安全測(cè)試,則隔離來(lái)自所述端點(diǎn)的出站流
10. 如權(quán)利要求9所述的方法�����,還包括生成對(duì)所述交換機(jī)上來(lái)自所 述網(wǎng)絡(luò)的入站流量進(jìn)行重定向的另 一重定向規(guī)則��。
11. 如權(quán)利要求9所述的方法,其中���,在所述交換機(jī)處向所述ACL添 加允許規(guī)則的步驟包括將所述ACL添加到所述交換機(jī)的VLAN和端口之一上�。
12. —種包括計(jì)算機(jī)可讀介質(zhì)的制造物品��,該計(jì)算機(jī)可讀介質(zhì)上存儲(chǔ)有內(nèi)容以提供使得電子設(shè)備執(zhí)行包括如下操作在內(nèi)的操作的指令 對(duì)從網(wǎng)絡(luò)端點(diǎn)發(fā)送的網(wǎng)絡(luò)流量進(jìn)行重定向�����; 測(cè)試所述網(wǎng)絡(luò)端點(diǎn)是否遵從安全策略����;以及如果所述網(wǎng)絡(luò)端點(diǎn)遵從所述安全策略,則生成允許所述網(wǎng)絡(luò)端點(diǎn)在無(wú) 需流量重定向的情況下訪問(wèn)網(wǎng)絡(luò)的訪問(wèn)策略����。
13. 如權(quán)利要求12所述的制造物品,其中�����,對(duì)從網(wǎng)絡(luò)端點(diǎn)發(fā)送的流量 進(jìn)行重定向的操作包括根據(jù)安裝在交換機(jī)上的缺省訪問(wèn)控制列表(ACL)規(guī)則對(duì)從所述網(wǎng)絡(luò)端點(diǎn)發(fā)送的網(wǎng)絡(luò)流量進(jìn)行重定向�。
14. 如權(quán)利要求13所述的制造物品,其中���,生成訪問(wèn)策略的步驟包 括生成允許規(guī)則并將該允許規(guī)則添加到所述交換機(jī)上的ACL中��。
15. 如權(quán)利要求14所述的制造物品�����,還包括使得所述電子設(shè)備執(zhí)行包 括以下操作在內(nèi)的操作的內(nèi)容阻擋來(lái)自所述網(wǎng)絡(luò)端點(diǎn)的出站流量���;以及 將所述網(wǎng)絡(luò)節(jié)點(diǎn)弓I導(dǎo)至測(cè)試網(wǎng)頁(yè)�����。
16. 如權(quán)利要求12所述的制造物品��,其中��,對(duì)從網(wǎng)絡(luò)端點(diǎn)發(fā)送的流量 進(jìn)行重定向的操作包括接收用戶選擇;以及至少部分地基于所述用戶選擇來(lái)對(duì)網(wǎng)絡(luò)流量進(jìn)行重定向����。
17. 如權(quán)利要求16所述的方法,其中���,所述用戶選擇包括虛擬局域網(wǎng)(VLAN)選擇�。
18. —種網(wǎng)絡(luò)安全系統(tǒng),包括重定向模塊����,用于對(duì)從網(wǎng)絡(luò)端點(diǎn)發(fā)送的網(wǎng)絡(luò)流量進(jìn)行重定向;測(cè)試模塊����,用于測(cè)試所述網(wǎng)絡(luò)端點(diǎn)是否遵從安全策略;以及 策略生成器�����,用于在所述網(wǎng)絡(luò)端點(diǎn)遵從所述安全策略的情況下生成允 許所述網(wǎng)絡(luò)端點(diǎn)在無(wú)需流量重定向的情況下訪問(wèn)網(wǎng)絡(luò)的訪問(wèn)策略����。
19. 如權(quán)利要求18所述的系統(tǒng),其中����,所述重定向模塊、所述測(cè)試模 塊和所述策略生成器位于一個(gè)或多個(gè)網(wǎng)絡(luò)服務(wù)器上����。
20. 如權(quán)利要求18所述的系統(tǒng),其中,所述重定向模塊和所述策略生 成器位于連接到所述網(wǎng)絡(luò)端點(diǎn)的交換機(jī)上���。
21. 如權(quán)利要求20所述的系統(tǒng)��,其中����,所述測(cè)試模塊也位于所述交換 機(jī)上����。
22. 如權(quán)利要求18所述的系統(tǒng),其中����,所述重定向模塊包括通信代 理,該通信代理用于在交換機(jī)上添加缺省訪問(wèn)控制列表(ACL)規(guī)則以對(duì) 從所述端點(diǎn)發(fā)送的網(wǎng)絡(luò)流量進(jìn)行重定向��。
23. 如權(quán)利要求18所述的系統(tǒng)�,其中,所述訪問(wèn)策略包括允許所述網(wǎng) 絡(luò)端點(diǎn)在無(wú)需流量重定向的情況下訪問(wèn)所述網(wǎng)絡(luò)的允許ACL規(guī)則����。
24. 如權(quán)利要求23所述的系統(tǒng)�����,其中,所述策略生成器包括通信代 理�����,該通信代理用于向所述交換機(jī)添加所述允許ACL規(guī)則���。
全文摘要
對(duì)從網(wǎng)絡(luò)端點(diǎn)發(fā)送的流量進(jìn)行重定向并且對(duì)網(wǎng)絡(luò)端點(diǎn)是否遵從安全策略進(jìn)行測(cè)試���。如果網(wǎng)絡(luò)端點(diǎn)遵從安全策略,則生成訪問(wèn)策略以允許網(wǎng)絡(luò)端點(diǎn)在無(wú)需任何流量重定向的情況下訪問(wèn)網(wǎng)絡(luò)��。
文檔編號(hào)H04L29/06GK101690104SQ200880023007
公開日2010年3月31日 申請(qǐng)日期2008年6月25日 優(yōu)先權(quán)日2007年6月30日
發(fā)明者斯科特·M·哈伯德 申請(qǐng)人:極進(jìn)網(wǎng)絡(luò)有限公司