專利名稱:控制網(wǎng)絡(luò)訪問的制作方法
控制網(wǎng)絡(luò)訪問背景在計算機網(wǎng)絡(luò)中��,在允許客戶機計算機訪問網(wǎng)絡(luò)之前查明該客戶機的健康狀態(tài)是 有利的����。通過確定客戶機計算機順應(yīng)網(wǎng)絡(luò)健康策略標準,例如通過具有最新的反病毒軟件 或正確安裝的防火墻�����,可最小化對網(wǎng)絡(luò)的風險。如果確定客戶機計算機不順應(yīng)管理員定義 的網(wǎng)絡(luò)健康策略標準����,則限制對網(wǎng)絡(luò)的訪問直到諸如該客戶機變得順應(yīng)標準可能是合乎需 要的。 當客戶機連接到網(wǎng)絡(luò)時����,可使用不同的實施方法來確保順應(yīng)網(wǎng)絡(luò)健康策略標準。 這些實施方法可包括使用802. IX認證設(shè)備���、網(wǎng)際協(xié)議安全策略(IPsec)以及動態(tài)主機配置 協(xié)議(DHCP)�。對于IPv4網(wǎng)絡(luò)����,DHCP可用于通過由DHCP服務(wù)器分配給客戶機計算機的路由 和默認網(wǎng)關(guān)來控制該客戶機對網(wǎng)絡(luò)的訪問。這些路由和網(wǎng)關(guān)可由DHCP服務(wù)器修改以限制 非順應(yīng)客戶機對網(wǎng)絡(luò)的訪問���。概述已經(jīng)開發(fā)出一種供客戶機在請求訪問網(wǎng)絡(luò)時展示對網(wǎng)絡(luò)健康策略標準的順應(yīng)性 的方法���。在該方法中,客戶機向服務(wù)器發(fā)送訪問網(wǎng)絡(luò)的請求并且在該請求中包括該客戶機 的健康陳述(SoH)���。服務(wù)器確定該客戶機是否順應(yīng)管理員定義的網(wǎng)絡(luò)上的健康策略標準�。 如果該客戶機不順應(yīng),則服務(wù)器向該客戶機發(fā)送包括用于補救其健康缺陷的指令并且包括 包含可從其下載必要的更新或補丁的服務(wù)器的IPv4或IPv6地址的過濾指令的響應(yīng)�����?���?蛻?機將過濾指令轉(zhuǎn)換成由該客戶機上的主機防火墻用來過濾網(wǎng)絡(luò)上的客戶機通信的防火墻 規(guī)則?����;诜阑饓σ?guī)則��,可將客戶機的訪問限于僅網(wǎng)絡(luò)的特定部分�。例如�����,客戶機可被限于 只訪問能夠提供所需的更新補丁以使得該客戶機能夠獲得對健康策略標準的順應(yīng)性的補 救服務(wù)器����。或者��,客戶機可被限于該客戶機可與其通信以便例如尋求管理員的幫助的特定 IP地址。一旦客戶機獲得順應(yīng)性�,該客戶機就向服務(wù)器發(fā)送包括已更新的健康陳述的另一 訪問請求。服務(wù)器驗證客戶機是順應(yīng)的���,并且如果為是�,則向該客戶機發(fā)送授予該客戶機對 網(wǎng)絡(luò)的完全訪問權(quán)的響應(yīng)�����?�?蛻魴C然后改變防火墻規(guī)則以準許該客戶機訪問整個網(wǎng)絡(luò)����。在一個示例實施例中,該方法涉及使用動態(tài)主機控制協(xié)議第6版(DHCPv6)的IPv6 網(wǎng)絡(luò)��。該方法使用DHCPv6來定義分組交換序列���,其中客戶機通過向服務(wù)器發(fā)送其健康陳述 來獲取對網(wǎng)絡(luò)的訪問權(quán)�����。服務(wù)器確認客戶機的健康陳述順應(yīng)網(wǎng)絡(luò)健康策略標準并向該客戶 機發(fā)送在必要時包括補救和過濾指令的評估結(jié)果���。該示例實施例利用DHCPv6協(xié)議中的廠 商專用信息選項字段來在客戶機和服務(wù)器之間交換所有上述信息���。由此,客戶機在請求訪 問網(wǎng)絡(luò)時將其健康陳述插入廠商專用選項字段�。在對客戶機的響應(yīng)消息中,服務(wù)器還使用 廠商專用信息選項字段來發(fā)送對照網(wǎng)絡(luò)健康策略標準來評估客戶機的健康陳述的結(jié)果�����。如 果服務(wù)器發(fā)現(xiàn)客戶機不順應(yīng)這些策略標準����,則該服務(wù)器可將使得該客戶機能夠變得順應(yīng)的 任何必要的補救指令插入廠商專用信息選項字段并且插入針對客戶機的過濾指令?����?蛻魴C 將過濾指令轉(zhuǎn)換成防火墻規(guī)則以將客戶機訪問限于網(wǎng)絡(luò)上的補救服務(wù)器����?��?蛻魴C計算機然 后使用補救指令來從補救服務(wù)器獲取更新補丁以變得順應(yīng)網(wǎng)絡(luò)健康策略標準��。
提供本概述是為了以簡化的形式介紹將在以下詳細描述中進一步描述的一些概 念�����。本概述并不旨在標識出所要求保護的主題的關(guān)鍵特征或必要特征�����,也不旨在用于限定 所要求保護的主題的范圍���。
合并在本說明書中并形成其一部分的附圖示出了本發(fā)明的若干方面����,并且與說明 書一起用于解釋本發(fā)明的原理���。在附圖中圖1是示例企業(yè)網(wǎng)絡(luò)的圖示��。圖2是示例企業(yè)網(wǎng)絡(luò)的另一圖示�����。圖3是客戶機計算機上的示例功能模塊的圖示�。 圖4是客戶機���、服務(wù)器�、以及網(wǎng)絡(luò)策略服務(wù)器之間的示例通信方案的圖示。圖5是示出供客戶機獲取對網(wǎng)絡(luò)的訪問權(quán)的示例方法的流程圖�。圖6是示出供服務(wù)器授予客戶機對網(wǎng)絡(luò)的訪問權(quán)的示例方法的流程圖。詳細描述為了增加計算機網(wǎng)絡(luò)的完整性�����,定義健康策略以便為網(wǎng)絡(luò)上的客戶機計算機設(shè)置 順應(yīng)標準?�,F(xiàn)代操作系統(tǒng)包含提供用于確保順應(yīng)這些網(wǎng)絡(luò)健康策略的機制的策略實施平 臺���。使用策略實施平臺��,網(wǎng)絡(luò)管理員可創(chuàng)建定制的健康策略并在允許客戶機計算機訪問網(wǎng) 絡(luò)之前確保順應(yīng)這些健康策略�?����?蓪⒎琼槕?yīng)客戶機限于網(wǎng)絡(luò)的受限部分直到這些客戶機變 得順應(yīng)健康策略���。諸如微軟的網(wǎng)絡(luò)訪問保護平臺(NAP)等策略實施平臺提供可由消費者基于其便 利性和偏好來采用的不同實施機制。一種這樣的實施機制是動態(tài)主機配置協(xié)議(DHCP)�����。此 處公開了用于結(jié)合客戶機計算機上的主機防火墻來將DHCP用作針對網(wǎng)絡(luò)的健康實施機制 的示例系統(tǒng)和方法圖1示出了計算機網(wǎng)絡(luò)100的圖示,該計算機網(wǎng)絡(luò)對于公司企業(yè)網(wǎng)絡(luò)或內(nèi)聯(lián)網(wǎng)而 言是典型的��。該網(wǎng)絡(luò)包含客戶機計算機130和服務(wù)器計算機110����。網(wǎng)絡(luò)100還包含網(wǎng)絡(luò)策 略服務(wù)器120以及受限網(wǎng)絡(luò)140,網(wǎng)絡(luò)策略服務(wù)器120包含管理員定義的網(wǎng)絡(luò)健康策略�����,而 受限網(wǎng)絡(luò)140是非順應(yīng)客戶機所定向到的網(wǎng)絡(luò)直到諸如該非順應(yīng)客戶機變得順應(yīng)之時��。在示例實施例中��,客戶機130向服務(wù)器110請求訪問網(wǎng)絡(luò)100���。作為該請求的一部 分��,客戶機130向服務(wù)器發(fā)送提供關(guān)于該客戶機的當前健康狀態(tài)的信息的健康陳述(SoH)�。 響應(yīng)于該請求�����,服務(wù)器110被編程為將該客戶機的SoH發(fā)送到網(wǎng)絡(luò)策略服務(wù)器120。網(wǎng)絡(luò)策 略服務(wù)器120根據(jù)由網(wǎng)絡(luò)管理員定義的網(wǎng)絡(luò)策略來確定客戶機130是否處于健康狀態(tài)以使 得能夠向客戶機130提供對網(wǎng)絡(luò)100的訪問����。網(wǎng)絡(luò)策略服務(wù)器120將響應(yīng)發(fā)回服務(wù)器110。 該響應(yīng)指示服務(wù)器110允許客戶機130完全訪問����,拒絕客戶機130訪問,或者只允許客戶機 130部分地訪問網(wǎng)絡(luò)110����。該響應(yīng)還可包括關(guān)于該客戶機的健康狀態(tài)中的具體缺陷的信息 以及關(guān)于可如何補救這些缺陷的指令。服務(wù)器110進而響應(yīng)客戶機130���。如果允許客戶機130訪問��,則服務(wù)器110通過 允許訪問來響應(yīng)客戶機130�。如果拒絕客戶機130訪問或只允許客戶機130部分地訪問網(wǎng) 絡(luò)100��,則服務(wù)器110用針對位于該客戶機上的主機防火墻130a的一組指令來響應(yīng)客戶機 130�。該服務(wù)器還包括關(guān)于該客戶機的健康缺陷的信息以及用于補救這些缺陷的指令。這些指令用于將主機防火墻130a編程為只允許客戶機130訪問受限網(wǎng)絡(luò)140直到諸如客戶 機130被授予完全訪問權(quán)(在它已補救其健康的情況下)或被拒絕訪問網(wǎng)絡(luò)100(在無法 在所準許的時間段內(nèi)補救其健康的情況下)���。在示例實施例中�,防火墻130基于來自服務(wù)器 的指令編程為將出站和入站通信兩者都限于受限網(wǎng)絡(luò)140����。在示例實施例中,受限網(wǎng)絡(luò)140是網(wǎng)絡(luò)100的一部分�。在一個實施例中,受限網(wǎng)絡(luò) 140包括對于網(wǎng)絡(luò)100不重要的資源��,并且因此可由具有非最優(yōu)健康狀態(tài)的客戶機訪問�。這 些資源可包括允許客戶機130下載補丁和/或已更新的病毒簽名以允許客戶機130改善/ 補救該客戶機的健康狀態(tài)的一個或多個補救服務(wù)器。在其它示例中��,資源可包括具有對網(wǎng) 絡(luò)100而言不重要的數(shù)據(jù)和功能的客戶機和服務(wù)器��。圖2示出了另一示例計算機網(wǎng)絡(luò)200��。在網(wǎng)絡(luò)200中����,一個或多個客戶機計算機 210a,210b,210c和210d連接到網(wǎng)絡(luò)200。每一個客戶機210a,210b,210c和210d都包含 防火墻(220a�����、220b、220c和220d)����,諸如包含在微軟Windows Vista或微軟Windows XP Service Pack 2中的防火墻?����;蛘?�,客戶機可支持由諸如賽門鐵克(Symantec)或邁克菲 (McAfee)等第三方提供的防火墻�����?�?蛻魴C210a���、210b����、210c和210d在網(wǎng)絡(luò)200上通過其各 自的防火墻220a����、220b�、220c和220d來與諸如微軟Windows Server 2008等服務(wù)器230通 信���。該計算機網(wǎng)絡(luò)還包含網(wǎng)絡(luò)策略服務(wù)器240��,諸如作為微軟的網(wǎng)絡(luò)訪問保護(NAP)的一部 分的健康策略服務(wù)器。網(wǎng)絡(luò)策略服務(wù)器240存儲管理員定義的健康策略并提供用于確認網(wǎng) 絡(luò)上的客戶機計算機的健康狀態(tài)的手段��。在示例實施例中�����,客戶機210a�、210b、210c和210d使用動態(tài)主機配置協(xié)議第6版 (DHCPv6)協(xié)議來與服務(wù)器230通信��。DHCPv6協(xié)議在RFC 3315中描述并且定義在網(wǎng)際協(xié)議 第6版(IPv6)節(jié)點之間的客戶機-服務(wù)器消息交換中使用的消息類型�����。DHCPv6協(xié)議還定 義其中可填充廠商專用數(shù)據(jù)的廠商專用選項字段�。在該示例實施例中,廠商專用選項字段 用于將健康陳述信息從客戶機發(fā)送到服務(wù)器并且將客戶機的健康檢查結(jié)果����、補救指令以及 過濾指令從服務(wù)器發(fā)送到客戶機����。過濾指令由客戶機用來創(chuàng)建限制客戶機對網(wǎng)絡(luò)的訪問的 防火墻規(guī)則��。補救指令由客戶機用來恢復(fù)對網(wǎng)絡(luò)健康策略標準的順應(yīng)���。如圖2所示的網(wǎng)絡(luò)200還包含包括補救服務(wù)器260的受限網(wǎng)絡(luò)250���。當確定DHCPv6 客戶機計算機不順應(yīng)網(wǎng)絡(luò)健康策略標準,則將該客戶機限于訪問受限網(wǎng)絡(luò)260�����。該客戶機然 后可使用補救指令來訪問補救服務(wù)器260并下載補丁以更新其健康狀態(tài)�。通過訪問補救服 務(wù)器,客戶機計算機可更新其反病毒軟件�、反間諜軟件、防火墻或如由網(wǎng)絡(luò)健康策略定義的 其它這樣的健康屬性�,并由此變得順應(yīng)網(wǎng)絡(luò)的健康策略標準。諸如客戶機210a等DHCPv6客戶機包含如圖3所示的若干模塊320���、330����、340、350�。系統(tǒng)健康代理模塊320監(jiān)視并報告客戶機的健康狀態(tài)。在示例實施例中����,系統(tǒng)健 康代理模塊320監(jiān)視諸如是否安裝、啟用并已更新反病毒軟件�,是否安裝、啟用并已更新反 間諜軟件�,是否啟用微軟更新服務(wù)以及客戶機是否具有最近的安全更新等健康屬性���。序列 號為11/304�,420���、11/353�����,872和11/395��,559的微軟專利申請包含對系統(tǒng)健康代理功能的 附加描述并通過引用結(jié)合于此����。網(wǎng)絡(luò)訪問保護代理模塊330收集并存儲來自系統(tǒng)健康代理模塊320的健康陳述信息。該模塊330還處理該信息以獲取客戶機的總體健康狀態(tài)的指示�。該網(wǎng)絡(luò)訪問保護代理 還提供到DHCPv6實施代理模塊340的接口,并且應(yīng)請求將客戶機的健康陳述提供給DHCPv6實施代理模塊340��。DHCPv6實施代理模塊340請求對網(wǎng)絡(luò)的客戶機訪問����。DHCPv6實施代理模塊340 從網(wǎng)絡(luò)訪問保護模塊330獲取客戶機的健康陳述并使用DHCPv6協(xié)議來將該客戶機的健康 陳述傳遞給DHCPv6服務(wù)器?�?山?jīng)由防火墻規(guī)則來控制防火墻350以關(guān)閉端口以便限制客戶機的網(wǎng)絡(luò)訪問�。防 火墻是被配置成準許、拒絕或限制數(shù)據(jù)通過計算機網(wǎng)絡(luò)的硬件或軟件設(shè)備�。在防火墻中,對 照一組過濾器來分析數(shù)據(jù)���。作為示例�����,過濾器可對IP地址���、域名、協(xié)議和端口操作�。例如���, 可被過濾的某些常見協(xié)議包括IP、TCP�����、HTTP�����、FTP�、UDP、I CMP, SMTP和Telnet�。作為另一示 例����,服務(wù)器使其服務(wù)在編號端口上可用。web服務(wù)器通常在端口 80上可用�,而FTP服務(wù)器通 常在端口 21上可用。類似地����,客戶機計算機可以在編號端口上發(fā)送和接收數(shù)據(jù),并且客戶 機可被配置成在各端口上將數(shù)據(jù)定向到網(wǎng)絡(luò)的特定部分���?��?墒褂每蛻魴C上的防火墻規(guī)則來 啟用或禁用客戶機端口以準許或限制對網(wǎng)絡(luò)資源的訪問���。
在示例實施例中,防火墻350被編程為最初限制網(wǎng)絡(luò)中的客戶機210a可與其 通信 的部分��。例如�,防火墻350可被編程為過濾出站和/或入站消息收發(fā)以使得客戶機210a只 能與位于受限網(wǎng)絡(luò)250中的資源通信。當客戶機變得順應(yīng)網(wǎng)絡(luò)健康策略時�,防火墻250可 被編程為重新開放防火墻端口以允許客戶機210a完全訪問網(wǎng)絡(luò)。圖4示出了在網(wǎng)絡(luò)上進行的用于確?����?蛻魴C順應(yīng)網(wǎng)絡(luò)健康策略的示例交 換的圖示�。當DHCPv6客戶機計算機連接到網(wǎng)絡(luò)時,該客戶機在該網(wǎng)絡(luò)上發(fā)送多播 DHCPv6S0LICIT(懇求)消息來確定該網(wǎng)絡(luò)上是否存在DHCPv6服務(wù)器����。客戶機在SOLICIT 消息中插入廠商專用選項以用值“NAP” (網(wǎng)絡(luò)接入點)來確定服務(wù)器是否支持用于網(wǎng)絡(luò)訪 問保護的實施方法���。該SOLICIT消息由網(wǎng)絡(luò)上的DHCPv6服務(wù)器接收��。用于確定服務(wù)器是 否支持NAP實施的廠商專用選項的格式的模式順應(yīng)RFC 3315的22. 17節(jié)中的規(guī)約并在以 下示出 如果網(wǎng)絡(luò)上存在DHCPv6服務(wù)器����,則該服務(wù)器通過將DHCPv6ADVERTISE (通告)消 息發(fā)回客戶機來向該客戶機指示其存在。另外�����,如果服務(wù)器支持諸如微軟的網(wǎng)絡(luò)訪問保護 平臺等用于網(wǎng)絡(luò)訪問保護的實施方法���,則該服務(wù)器在DHCPv6ADVERTISE消息中包括廠商 專用選項��。DHCPv6ADVERTISE消息中的具有值“NAP”的廠商專用選項的存在通知客戶機 DHCPvB服務(wù)器支持用于網(wǎng)絡(luò)訪問保護的實施方法�。如果DHCPv6服務(wù)器不支持用于網(wǎng)絡(luò)訪 問保護的實施方法���,則該服務(wù)器不會在ADVERTISE消息中包括該廠商專用選項�����。DHCPv6服 務(wù)器可基于服務(wù)器配置來忽略來自不支持實施網(wǎng)絡(luò)訪問保護的客戶機的SOLICIT消息。服務(wù)器向客戶機發(fā)送以指示它支持NAP實施的廠商專用選項的格式的模式順應(yīng)RFC 3315的 22. 17節(jié)并在以下示出 在客戶機接收到指示DHCPve服務(wù)器支持用于訪問保護的實施方法的ADVERTISE 消息后��,該客戶機上的DHCPv6實施代理(圖3中的340)請求網(wǎng)絡(luò)訪問保護代理(圖3中 的330)從該客戶機上的各個系統(tǒng)健康代理模塊(圖3中的320)中檢索健康狀態(tài)(SoH)。 客戶機然后向DHCPv6服務(wù)器發(fā)送包括其SoH的DHCPv6REQUEST (請求)消息����。在示例實施 例中,該REQUEST消息包括廠商專用選項字段�����。參見因特網(wǎng)規(guī)約RFC 3315 (用于IPv6的動 態(tài)主機配置協(xié)議)�,22. 17節(jié),廠商專用信息選項���。廠商專用選項字段用客戶機的健康狀態(tài)
來填充����。以下示出了廠商專用選項字段中的客戶機健康狀態(tài)的格式的模式����。 在接收到REQUEST消息后,DHCPv6服務(wù)器從來自該消息的廠商專用選項字段中提 取客戶機的健康狀態(tài)并將其發(fā)送到網(wǎng)絡(luò)策略服務(wù)器��。網(wǎng)絡(luò)策略服務(wù)器確認該客戶機的健康 狀態(tài)并確定該客戶機是否順應(yīng)管理員定義的網(wǎng)絡(luò)健康策略�����。網(wǎng)絡(luò)策略服務(wù)器然后向DHCPV6 服務(wù)器發(fā)送指示客戶機是否順應(yīng)的消息。如果客戶機不順應(yīng)���,則網(wǎng)絡(luò)策略服務(wù)器可以包括 關(guān)于客戶機的健康狀態(tài)中的具體缺陷的信息以及關(guān)于可如何通過可能從補救服務(wù)器下載 必要的更新或補丁來補救這些缺陷的補救指令��。來自網(wǎng)絡(luò)策略服務(wù)器的此信息構(gòu)成SOH響 應(yīng)�。如果客戶機是非順應(yīng)的���,則DHCPv6服務(wù)器將創(chuàng)建阻斷客戶機對除必要補救服務(wù) 器之外的網(wǎng)絡(luò)的所有訪問的過濾指令�����,客戶機需要從該補救服務(wù)器下載將使該客戶機能夠 獲得順應(yīng)性的必要更新�����。例如���,SOH響應(yīng)中的補救指令可指示客戶機需要獲取反病毒保護程序的特定版本或者該客戶機需要獲取特定補丁以升級它的操作系統(tǒng)。在這種情況下�,月艮 務(wù)器設(shè)計過濾指令以使得將客戶機對網(wǎng)絡(luò)的訪問限于僅僅可從其下載反病毒簽名或操作 系統(tǒng)補丁的服務(wù)器。在示例實施例中����,過濾指令提供網(wǎng)絡(luò)上的客戶機可從其獲取升級補丁 的補救服務(wù)器的IPv4和/或IPv6地址以及可能的端口號。DHCPv6服務(wù)器然后向客戶機發(fā)送DHCPv6REPLY(回復(fù))消息���,以便提供關(guān)于該客 戶機是否順應(yīng)網(wǎng)絡(luò)健康策略的狀態(tài)信息�。DHCPv6服務(wù)器通過在REPLY消息中的廠商專用 選項中包括SoH響應(yīng)來這樣做���。另外�����,如果客戶機不順應(yīng)���,則廠商專用選項字段將包含將使 該客戶機能變得順應(yīng)的過濾指令。以下示出了用于SoH響應(yīng)和過濾指令的示例模式�����。針對 IPv6和IPv4地址示出了用于過濾指令的示例模式�。
當客戶機接收到REPLY消息后,該客戶機根據(jù)廠商專用選項字段中的SoH響應(yīng)確 定其是否順應(yīng)所定義的網(wǎng)絡(luò)健康策略�����。如果它不順應(yīng)�����,則該客戶機從廠商專用選項字段中 提取過濾指令并將這些過濾指令轉(zhuǎn)換成防火墻規(guī)則?���?蛻魴C上的DHCPv6實施代理將對防 火墻控制點應(yīng)用防火墻規(guī)則以有效地限制客戶機對網(wǎng)絡(luò)的訪問?���;诜阑饓σ?guī)則,將客戶機通信限于一個或多個補救服務(wù)器以使得該客戶機能從 這些補救服務(wù)器獲取更新補丁��?����?蛻魴C將基于REPLY消息中的廠商專用選項字段中的指令 來請求特定更新(例如特定操作系統(tǒng)安全補丁或者反病毒簽名更新)��。以此方式�����,客戶機將 獲取對其健康狀態(tài)的所需升級并變得順應(yīng)所定義的網(wǎng)絡(luò)健康策略標準����。當客戶機已獲取如在REPLY消息中的指令中指定的所有已更新的健康狀態(tài)信息 時�,該客戶機向DHCPv6服務(wù)器發(fā)送DHCPv6RENEW (換新)消息����。包括在該RENEW消息中的 是包含如先前示為選項碼=OxOODE的客戶機的已更新的健康狀態(tài)的指示的廠商專用選項 字段��。當DHCPv6服務(wù)器接收到RENEW消息時�����,該服務(wù)器提取健康狀態(tài)信息并將該信息發(fā)送 到網(wǎng)絡(luò)策略服務(wù)器以使得該網(wǎng)絡(luò)策略服務(wù)器能夠確認客戶機現(xiàn)在是否順應(yīng)�����。網(wǎng)絡(luò)策略服務(wù) 器然后將一消息發(fā)回DHCPv6服務(wù)器以指示確認客戶機的已更新健康狀態(tài)的結(jié)果�。該消息 包括包含對照網(wǎng)絡(luò)健康策略標準來確認客戶機的SoH的結(jié)果的SoH響應(yīng)。如果網(wǎng)絡(luò)策略服 務(wù)器確定客戶機現(xiàn)在是順應(yīng)的���,則DCHPv6服務(wù)器向客戶機發(fā)送具有該SoH響應(yīng)和用于清除 先前應(yīng)用的防火墻規(guī)則的過濾指令的DHCPv6 REPLY消息����?�?蛻魴C上的DHCPv6實施代理從 該消息中提取SoH響應(yīng)和過濾指令并指示防火墻啟用所有防火墻端口��,從而給予客戶機對 網(wǎng)絡(luò)的完全訪問權(quán)。如果網(wǎng)絡(luò)策略服務(wù)器確定客戶機仍然不順應(yīng)��,則DHCPv6 REPLY消息在 SoH響應(yīng)中包含已更新的補救指令并且還包含用于獲取當前遺漏更新的過濾指令���。圖5示出了客戶機的示例消息收發(fā)的細節(jié)�。在框510��,客戶機將DHCPv6S0LICIT消 息廣播到網(wǎng)絡(luò)上�。這樣做通常是為了定位網(wǎng)絡(luò)上的DHCPv6服務(wù)器。當連接到網(wǎng)絡(luò)時���,客戶 機需要評估它是否順應(yīng)管理員定義的網(wǎng)絡(luò)健康策略�����。為此客戶機需要確定DHCPv6服務(wù)器 是否支持網(wǎng)絡(luò)訪問保護���。該客戶機出于該目的在SOLICIT消息中包括廠商專用選項。在框520����,客戶機從響應(yīng)SOLICIT消息的DHCPv6服務(wù)器接收ADVERTISE消息。如 果廠商專用選項字段指示DHCPv6服務(wù)器支持用于網(wǎng)絡(luò)訪問保護的實施方法��,則在框530, 獲取客戶機的健康狀態(tài)�。例如,網(wǎng)絡(luò)訪問保護代理從在客戶機上啟用的系統(tǒng)健康代理的集 合獲取該客戶機的健康狀態(tài)�����。
在框540�,將其健康陳述寫入到DHCPv6消息的廠商專用選項字段中并向DHCPv6服 務(wù)器發(fā)送包含該廠商專用選項字段的DHCPv6 REQUEST消息���。DHCPv6服務(wù)器將該客戶機的 健康陳述發(fā)送到網(wǎng)絡(luò)策略服務(wù)器以確定該客戶機的健康狀態(tài)是否順應(yīng)管理員定義的網(wǎng)絡(luò) 健康策略標準��。在框550�����,客戶機從DHCPv6服務(wù)器接收REPLY消息���。包括在該REPLY消息中 的是 包含用于更新客戶機的健康狀態(tài)的補救和過濾指令的廠商專用選項字段。補救和過濾指令 兩者都是根據(jù)可由客戶機解釋的模式來編寫的�。在框560,客戶機應(yīng)用從REPLY消息的廠商專用選項字段獲取的過濾指令��。如圖3 所示�����,DHCPv6實施代理340將過濾指令轉(zhuǎn)換為防火墻規(guī)則并對防火墻350應(yīng)用這些防火墻 規(guī)則。例如��,過濾指令可將客戶機訪問限于客戶機可從中獲取用于更新其健康狀態(tài)的軟件 和補丁的一個和或多個補救服務(wù)器�。在這種情況下,過濾指令將指定客戶機被準許訪問的 補救服務(wù)器的IP地址��。補救服務(wù)器通常在受限網(wǎng)絡(luò)上以確?��?蛻魴C無法訪問正常網(wǎng)絡(luò)上 的服務(wù)器直到實現(xiàn)與健康策略標準的順應(yīng)性�����。為了以所述方式限制客戶機訪問���,防火墻規(guī)則使得防火墻350關(guān)閉所有防火墻端 口以限制去往和來自過濾器列表中所指定的IP地址的通信,提供對補救客戶機的健康所 必需的特定目的地和端口的訪問除外���?���;赗EPLY消息的廠商專用選項字段中的補救指 令,客戶機從補救服務(wù)器獲取更新補丁以獲得更新其健康狀態(tài)所必需的特定項目����。一旦客戶機以此方式更新其健康狀態(tài),該客戶機就通知網(wǎng)絡(luò)策略服務(wù)器以使得該 網(wǎng)絡(luò)策略服務(wù)器可授予該客戶機對網(wǎng)絡(luò)的不受限訪問權(quán)�。在框570,客戶機向DHCPv6服務(wù) 器發(fā)送DHCPv6RENEW消息����。包括在該RENEW消息中的是包含客戶機的已更新的健康狀態(tài)的 廠商專用選項字段。DHCPv6服務(wù)器將該客戶機的已更新的健康狀態(tài)發(fā)送到網(wǎng)絡(luò)策略服務(wù) 器�。如果網(wǎng)絡(luò)策略服務(wù)器確認該客戶機的健康狀態(tài)順應(yīng)網(wǎng)絡(luò)健康策略標準���,則在框580�����,客 戶機從DHCPv6服務(wù)器接收REPLY消息��。該REPLY消息包含具有允許客戶機不受限地訪問 網(wǎng)絡(luò)的過濾指令的廠商專用選項字段�?��?蛻魴C中的DHCPv6實施代理340將這些過濾指令 轉(zhuǎn)換成應(yīng)用于防火墻350的防火墻規(guī)則以啟用防火墻端口并由此授予客戶機對網(wǎng)絡(luò)的完 全訪問權(quán)��。圖6示出了 DHCPv6服務(wù)器的通信細節(jié)����。在框610,DHCPv6服務(wù)器從客戶機接收 DHCPv6SLICIT消息��。包括在該SOLICIT消息中的是包含確定該服務(wù)器是否支持諸如微軟網(wǎng) 絡(luò)訪問保護平臺(NAP)或類似平臺等用于網(wǎng)絡(luò)訪問保護的實施方法的請求的廠商專用選 項字段����。該服務(wù)器在框620作出該確定。如果在框620該服務(wù)器支持這一平臺����,則該服務(wù) 器將包括指示該服務(wù)器支持實施網(wǎng)絡(luò)訪問保護的廠商專用選項字段的ADVERTISE消息發(fā) 回客戶機。如果DHCPv6服務(wù)器不支持用于網(wǎng)絡(luò)訪問保護的實施方法����,則該服務(wù)器可取決于 其策略設(shè)置來忽略客戶機的廠商專用選項字段或者該服務(wù)器可以不將響應(yīng)發(fā)回客戶機。在框625�,DHCPv6服務(wù)器從客戶機接收REQUEST消息。該REQUEST消息包括包含 客戶機的健康狀態(tài)的廠商專用選項字段��。在框630�,DHCPv6服務(wù)器將客戶機的健康狀態(tài)發(fā) 送到網(wǎng)絡(luò)策略服務(wù)器,在那里對照管理員定義的網(wǎng)絡(luò)健康策略標準來確認該客戶機的健康 狀態(tài)�。在確定客戶機的健康狀態(tài)是否順應(yīng)網(wǎng)絡(luò)健康策略標準時�,網(wǎng)絡(luò)策略服務(wù)器可訪問若 干不同的服務(wù)器�����。例如����,為了確定客戶機是否具有反病毒軟件的適當版本,客戶機可訪問包 括關(guān)于最新病毒簽名數(shù)據(jù)的信息的來自賽門鐵克公司的服務(wù)器或來自邁克菲公司的服務(wù)器�。作為另一示例,為了確定客戶機是否具有其操作系統(tǒng)的最新補丁���,網(wǎng)絡(luò)策略服務(wù)器可訪 問系統(tǒng)管理服務(wù)器����。在框635�����,DHCPv6服務(wù)器從網(wǎng)絡(luò)策略服務(wù)器接收反映客戶機的健康狀態(tài)是否順應(yīng) 網(wǎng)絡(luò)健康策略標準的響應(yīng)��。如果客戶機不順應(yīng)���,則響應(yīng)DHCPv6服務(wù)器創(chuàng)建將允許客戶機獲 取順應(yīng)性的補救和過濾指令。在框640,DHCPv6服務(wù)器向客戶機發(fā)送在消息的廠商專用選 項字段中嵌入過濾指令的REPLY消息����。客戶機使用REPLY消息中的補救和過濾指令來更新其健康狀態(tài)�����。當客戶機已獲取 獲得與網(wǎng)絡(luò)健康策略標準的順應(yīng)性所需的軟件補丁和更新時�����,該客戶機向DHCPv6服務(wù)器 發(fā)送RENEW消息����,該消息的廠商專用選項字段包含客戶機的已更新的健康狀態(tài)陳述。在框 645���,DHCPv6服務(wù)器從客戶機接收RENEW消息�。在框650�,DHCPv6服務(wù)器將客戶機的健康狀 態(tài)發(fā)送到網(wǎng)絡(luò)策略服務(wù)器,在那里確認該客戶機的健康狀態(tài)��。在框655����,DHCPv6服務(wù)器從網(wǎng) 絡(luò)策略服務(wù)器接收指示客戶機現(xiàn)在是否順應(yīng)網(wǎng)絡(luò)健康策略標準的響應(yīng)����。如果客戶機現(xiàn)在是 順應(yīng) 的�����,則在框660�����,DHCPv6服務(wù)器向客戶機發(fā)送REPLY消息以便向該客戶機指示它現(xiàn)在可 以不受限地訪問網(wǎng)絡(luò)����。盡管用結(jié)構(gòu)特征和/或方法動作專用的語言描述了本主題,但可以理解����,所附權(quán) 利要求書中定義的主題不必限于上述具體特征或動作。相反�����,上述具體特征和動作是作為 實現(xiàn)權(quán)利要求的示例形式公開的����。
權(quán)利要求
一種用于基于客戶機(210a、210b��、210c��、210d)與網(wǎng)絡(luò)健康策略標準的順應(yīng)性來控制對計算機網(wǎng)絡(luò)(200)的訪問的方法�,所述方法包括將訪問所述網(wǎng)絡(luò)(200)的請求從所述客戶機(210a、210b�����、210c���、210d)發(fā)送到服務(wù)器(230)�����,所述請求包括所述客戶機(210a����、210b���、210c�、210d)的健康陳述;從所述服務(wù)器(230)接收第一響應(yīng)�����,所述第一響應(yīng)包括過濾指令����;將所述過濾指令轉(zhuǎn)換成所述客戶機(210a、210b�、210c、210d)上的防火墻規(guī)則����;以及使用所述客戶機(210a、210b���、210c����、210d)上的防火墻(220a����、220b、220c�����、220d)�,基于所述防火墻規(guī)則來過濾從所述客戶機(210a、210b���、210c����、210d)到所述網(wǎng)絡(luò)(200)的通信�。
2. —種供第一服務(wù)器(230)確定客戶機(210a、210b�����、210C�、210d)是否應(yīng)被授予對計 算機網(wǎng)絡(luò)(200)的訪問權(quán)的方法,所述方法包括從所述客戶機(210a�、210b、210c���、210d)接收訪問所述網(wǎng)絡(luò)(200)的請求��,所述請求包 括所述客戶機(210a����、210b、210c�����、2IOd)的健康陳述����; 將所述請求發(fā)送到第二服務(wù)器(240)從所述第二服務(wù)器(240)接收第一響應(yīng),所述第一響應(yīng)指示所述客戶機的健康狀態(tài)是 否順應(yīng)所述網(wǎng)絡(luò)(200)的健康策略狀態(tài)��,所述第一響應(yīng)還包括關(guān)于所述客戶機的健康狀態(tài) 中的具體缺陷的信息以及供所述客戶機(210a���、210b�、210c�����、210d)補救所述客戶機的健康 的補救指令��;以及向所述客戶機(210a�、210b、210c、210d)發(fā)送第二響應(yīng)�,所述第二響應(yīng)包括補救指令 和過濾指令,所述過濾指令使得所述客戶機(210a�����、210b��、210c�、210d)上的防火墻(220a�����、 220b��、220c�、220d)能限制所述客戶機對所述網(wǎng)絡(luò)(200)的訪問。
3. 一種被編程為請求訪問計算機網(wǎng)絡(luò)(200)的客戶機(310)�,所述客戶機(310)包括被編程為監(jiān)視并報告所述客戶機的健康狀態(tài)的系統(tǒng)健康代理(320); 被編程為收集�����、存儲并處理來自所述系統(tǒng)健康代(320)的健康陳述信息的網(wǎng)絡(luò)訪問保 護代理(330)����;實施代(340)����,其被編程為從所述網(wǎng)絡(luò)訪問保護代理(330)獲取所述客戶機的健康陳 述�����,將所述健康陳述發(fā)送到服務(wù)器(230)��,并將從所述服務(wù)器(230)接收到的過濾指令轉(zhuǎn)換 成防火墻規(guī)則以限制所述客戶機對所述網(wǎng)絡(luò)(200)的訪問����;以及被編程為基于防火墻規(guī)則來過濾到所述網(wǎng)絡(luò)(200)的客戶機通信的防火墻(350)。
全文摘要
用于控制網(wǎng)絡(luò)訪問的系統(tǒng)和方法在授予網(wǎng)絡(luò)上的客戶機計算機對網(wǎng)絡(luò)的訪問權(quán)之前確定該客戶機計算機順應(yīng)管理員定義的網(wǎng)絡(luò)健康策略����。定義分組交換機制,其中將來自服務(wù)器的過濾指令轉(zhuǎn)換成客戶機計算機上的防火墻規(guī)則以將客戶機訪問限于網(wǎng)絡(luò)上的補救服務(wù)器���?����?蛻魴C計算機從補救服務(wù)器獲取更新補丁以變得順應(yīng)網(wǎng)絡(luò)健康策略標準�����。
文檔編號H04L12/28GK101843046SQ200880114676
公開日2010年9月22日 申請日期2008年9月24日 優(yōu)先權(quán)日2007年10月29日
發(fā)明者S·錢德瓦尼 申請人:微軟公司