用于互鎖主機(jī)和網(wǎng)關(guān)的系統(tǒng)和方法
【專利摘要】在一示例性實(shí)施例中提供一種方法,該方法包括:交換與網(wǎng)絡(luò)連接和主機(jī)上的應(yīng)用關(guān)聯(lián)的會(huì)話描述符����;將該會(huì)話描述符與網(wǎng)絡(luò)策略相關(guān)聯(lián);以及將網(wǎng)絡(luò)策略運(yùn)用于網(wǎng)絡(luò)連接��。在替代實(shí)施例中����,會(huì)話描述符可通過帶外通信信道或帶內(nèi)通信信道交換。
【專利說明】用于互鎖主機(jī)和網(wǎng)關(guān)的系統(tǒng)和方法
【技術(shù)領(lǐng)域】
[0001]本公開總地涉及網(wǎng)絡(luò)完全領(lǐng)域���,更具體地涉及通過信息共享互鎖主機(jī)和網(wǎng)關(guān)的系統(tǒng)和方法�。
【背景技術(shù)】
[0002]網(wǎng)絡(luò)安全領(lǐng)域在當(dāng)今社會(huì)中已變得越來越重要�����?�;ヂ?lián)網(wǎng)已實(shí)現(xiàn)世界上的不同計(jì)算機(jī)網(wǎng)絡(luò)的互連���。然而�,互聯(lián)網(wǎng)也給予惡意操作者許多不當(dāng)利用這些網(wǎng)絡(luò)的機(jī)會(huì)���。一旦惡意軟件已感染主機(jī)計(jì)算機(jī)��,惡意操作者就可從遠(yuǎn)程計(jì)算機(jī)發(fā)布命令以控制該惡意軟件�����?��?芍噶钴浖?zhí)行任何數(shù)量的惡意動(dòng)作,例如從主機(jī)計(jì)算機(jī)送出兜售郵件或惡意電子郵件����,從與主機(jī)計(jì)算機(jī)相聯(lián)的商業(yè)機(jī)構(gòu)或個(gè)人竊取敏感信息�,將其傳播至其它主機(jī)計(jì)算機(jī)和/或協(xié)助服務(wù)攻擊的分布式拒絕�。另外,惡意操作者可售賣或以其它方式給其它惡意操作者予訪問權(quán)���,由此加劇了主機(jī)計(jì)算機(jī)的不當(dāng)利用��。由此�����,有效地保護(hù)和維持穩(wěn)定的計(jì)算機(jī)和系統(tǒng)的能力繼續(xù)給組件制造者��、系統(tǒng)設(shè)計(jì)者和網(wǎng)絡(luò)操作者提出了重大的挑戰(zhàn)����。
【專利附圖】
【附圖說明】
[0003]為了提供對(duì)本公開及其特征和優(yōu)勢的更完整理解���,現(xiàn)在結(jié)合附圖參照下面的說明書�����,其中相同標(biāo)號(hào)表示相同部件����,在附圖中:
[0004]圖1是示出根據(jù)本說明書可在主機(jī)和網(wǎng)絡(luò)網(wǎng)關(guān)之間共享信息以實(shí)現(xiàn)網(wǎng)絡(luò)保護(hù)的網(wǎng)絡(luò)環(huán)境的示例性實(shí)施例的簡化框圖;
[0005]圖2是示出根據(jù)本說明書關(guān)聯(lián)于網(wǎng)絡(luò)環(huán)境的一個(gè)潛在實(shí)施例的額外細(xì)節(jié)的簡化框圖��;
[0006]圖3是示出根據(jù)本說明書關(guān)聯(lián)于網(wǎng)絡(luò)環(huán)境的一個(gè)實(shí)施例的示例性操作的簡化框圖�����;
[0007]圖4是示出根據(jù)本說明書關(guān)聯(lián)于網(wǎng)絡(luò)環(huán)境的一個(gè)實(shí)施例的示例性操作的簡化框圖���;以及
[0008]圖5是示出根據(jù)本說明書關(guān)聯(lián)于網(wǎng)絡(luò)環(huán)境的另一實(shí)施例的示例性操作的簡化流程圖;
【具體實(shí)施方式】
[0009]概覽
[0010]在一示例性實(shí)施例中提供一種方法�,該方法包括:在主機(jī)和網(wǎng)絡(luò)網(wǎng)關(guān)之間交換會(huì)話描述符,其中會(huì)話描述符關(guān)聯(lián)于網(wǎng)絡(luò)連接和主機(jī)上的應(yīng)用�;將會(huì)話描述符與網(wǎng)絡(luò)策略相關(guān)聯(lián);并將該網(wǎng)絡(luò)策略運(yùn)用至網(wǎng)絡(luò)連接�。在替代實(shí)施例中,會(huì)話描述符可通過帶外通信信道或帶內(nèi)通信信道交換����。
[0011]在又一特定實(shí)施例中,網(wǎng)絡(luò)策略可基于會(huì)話描述符中的應(yīng)用標(biāo)識(shí)而被用來對(duì)網(wǎng)絡(luò)連接上的通信進(jìn)行限制或限速�。在其它實(shí)施例中,會(huì)話描述符可包括與主機(jī)關(guān)聯(lián)的全局唯一的標(biāo)識(shí)符�。
[0012]示例性實(shí)施例
[0013]轉(zhuǎn)向圖1,圖1是其中主機(jī)和網(wǎng)絡(luò)網(wǎng)關(guān)可通過信息共享互鎖的網(wǎng)絡(luò)環(huán)境10的示例實(shí)施例的簡化框圖�。在圖1所示實(shí)施例中��,網(wǎng)絡(luò)環(huán)境10可包括互聯(lián)網(wǎng)15�、用戶主機(jī)20a和20b�、網(wǎng)絡(luò)網(wǎng)關(guān)25、策略服務(wù)器30���、郵件服務(wù)器35以及web服務(wù)器40���。總地來說����,用戶主機(jī)20a-b可以是網(wǎng)絡(luò)連接中的任何類型終端點(diǎn),包括但不限于臺(tái)式計(jì)算機(jī)����、服務(wù)器、膝上計(jì)算機(jī)���、移動(dòng)電話或能接收或建立與遠(yuǎn)程節(jié)點(diǎn)(例如郵件服務(wù)器35和web服務(wù)器40)的連接的任何其它類型設(shè)備���。網(wǎng)關(guān)25可控制用戶主機(jī)20a-b與附連至互聯(lián)網(wǎng)15的其它網(wǎng)絡(luò)節(jié)點(diǎn)之間的通信,并可包括在允許經(jīng)授權(quán)通信的同時(shí)阻斷未經(jīng)授權(quán)的訪問的防火墻。策略服務(wù)器20可用來管理用戶主機(jī)20a-b并掌控和分配網(wǎng)絡(luò)策略�����。因此����,在該示例實(shí)施例中�,用戶主機(jī)20a-b可僅通過建立經(jīng)由網(wǎng)絡(luò)網(wǎng)關(guān)25的連接(如果網(wǎng)關(guān)25中實(shí)現(xiàn)的策略允許)與附連至互聯(lián)網(wǎng)15的服務(wù)器(例如郵件服務(wù)器35和web服務(wù)器40)通信。
[0014]圖1中的每個(gè)要素可通過簡單接口或通過任何其它適當(dāng)?shù)倪B接(有線或無線)彼此耦合�����,這為網(wǎng)絡(luò)通信提供了可達(dá)路徑�。另外,這些要素中的任意一個(gè)或多個(gè)可基于特定配置需要被組合或從架構(gòu)中被移除����。網(wǎng)絡(luò)環(huán)境10可包括一種配置,這種配置能傳輸控制協(xié)議/網(wǎng)際協(xié)議(TCP/IP)通信以在網(wǎng)絡(luò)中發(fā)送或接收分組���。網(wǎng)絡(luò)環(huán)境10也可在適當(dāng)?shù)那闆r下并基于具體需求結(jié)合用戶數(shù)據(jù)報(bào)協(xié)議/IP(UDP/IP)或任何其它適當(dāng)協(xié)議工作���。
[0015]為了解說示例性實(shí)施例中提供網(wǎng)絡(luò)安全的技術(shù),重要的是理解在給定網(wǎng)絡(luò)中發(fā)生的活動(dòng)。下面的基礎(chǔ)信息可被視為本公開被正確解釋所基于的基礎(chǔ)�。這種信息只是為了闡述而被認(rèn)真地提供,并因此無論如何不應(yīng)當(dāng)解釋為對(duì)本公開及其潛在應(yīng)用的廣闊范圍形成限制�。
[0016]在組織中使用或由個(gè)人使用的典型網(wǎng)絡(luò)環(huán)境包括使用互聯(lián)網(wǎng)與其它網(wǎng)絡(luò)電子通信的能力,例如用于訪問主存在與互聯(lián)網(wǎng)連接的服務(wù)器上的web頁�����、發(fā)送或接收電子郵件(即email)消息或交換文件����。惡意用戶連續(xù)地研發(fā)出新的戰(zhàn)術(shù)以使用互聯(lián)網(wǎng)來傳播惡意軟件和取得對(duì)保密信息的訪問。惡意軟件一般包括被設(shè)計(jì)成訪問和/或控制計(jì)算機(jī)而無需計(jì)算機(jī)所有者的告知同意的任何軟件����,并最常見地用作任何敵意的、侵入性的或惱人軟件的標(biāo)志����,例如計(jì)算機(jī)病毒、bot����、間諜軟件、廣告軟件等�����。一旦受到危害,惡意軟件可顛覆主機(jī)并將其用于惡意活動(dòng)����,例如發(fā)兜售郵件或信息竊取。惡意軟件一般也包括一個(gè)或多個(gè)傳播矢量�,該傳播矢量使惡意軟件能在組織的網(wǎng)絡(luò)中傳播或跨其它網(wǎng)絡(luò)傳播至其它組織或個(gè)體。常見傳播矢量包括:利用局域網(wǎng)內(nèi)的主機(jī)的已知弱點(diǎn)并發(fā)送附帶有惡意程序的惡意電子郵件或在電子郵件中提供惡意鏈接����。
[0017]惡意軟件可運(yùn)作的一種方式是通過使用與用戶期望不同的網(wǎng)絡(luò)協(xié)議交換來欺騙用戶��。惡意軟件可被包裝以說服用戶允許訪問從而以某些無害方式運(yùn)行它�����,由此允許其訪問網(wǎng)絡(luò)����,這經(jīng)常需要越過防火墻或其它安全措施。惡意軟件隨后可利用該訪問來從事用戶未打算做的替代或附加活動(dòng)�。例如,一游戲可發(fā)送電子郵件消息或者字處理器可打開web連接�。同時(shí),惡意軟件也可使用標(biāo)準(zhǔn)協(xié)議來欺騙防火墻使其允許惡意軟件建立遠(yuǎn)程連接。
[0018]Botnet例如使用惡意軟件并且是對(duì)計(jì)算機(jī)安全越來越大的威脅���。在許多情形下�����,它們利用完善的攻擊機(jī)制�,該攻擊機(jī)制包括公知弱點(diǎn)和新弱點(diǎn)的組合����。Botnet —般使用客戶機(jī)-服務(wù)器架構(gòu),其中一類惡意軟件(即bot)被設(shè)置在主機(jī)計(jì)算機(jī)上并與命令和控制(C&C)服務(wù)器通信�����,該C&C服務(wù)器可受惡意用戶(例如�,botnet操作者)控制。一般�����,botnet由大量bot構(gòu)成���,這些bot受通過各種信道使用C&C協(xié)議的操作者控制�,包括互聯(lián)網(wǎng)中繼聊天(IRC)和對(duì)等(P2P)通信。bot可從C&C服務(wù)器接收命令以執(zhí)行特定惡意活動(dòng)并因此可執(zhí)行這些命令����。bot也可將任何結(jié)果或被竊信息發(fā)回給C&C服務(wù)器。bot經(jīng)常被設(shè)計(jì)成發(fā)起與C&C服務(wù)器的通信并裝扮成正常web瀏覽器話務(wù)����。例如,bot可使用常用于與web服務(wù)器通信的端口��。因此��,在不執(zhí)行更詳細(xì)的web話務(wù)分組檢查的情況下�,這類bot可能無法被已有技術(shù)檢測到。此外��,一旦發(fā)現(xiàn)bot��,botnet操作者就可簡單地找到另一種方法來通過bot裝扮網(wǎng)絡(luò)話務(wù)以繼續(xù)扮演為正常web話務(wù)��。更近來地�����,botnet操作者已打造bot以使用加密協(xié)議(例如安全嵌套層(SSL)之類)�,由此加密惡意網(wǎng)絡(luò)話務(wù)。這種加密的話務(wù)可使用超文本傳送協(xié)議安全(HTTPS)端口��,以使僅牽涉到加密會(huì)話的端點(diǎn)能對(duì)數(shù)據(jù)進(jìn)行解密�。因此,已有的防火墻和其它網(wǎng)絡(luò)入侵防止技術(shù)可能無法對(duì)該web話務(wù)執(zhí)行任何有意義的檢查�����,并且bot繼續(xù)感染網(wǎng)絡(luò)中的主機(jī)計(jì)算機(jī)�����。
[0019]著重于防止未經(jīng)授權(quán)的程序文件在主機(jī)計(jì)算機(jī)上執(zhí)行的其它軟件安全技術(shù)對(duì)于最終用戶或商業(yè)機(jī)構(gòu)或其它組織實(shí)體的雇員來說可能具有不理想的副作用�。網(wǎng)絡(luò)或信息技術(shù)(IT)管理者可通過打造與商業(yè)實(shí)體的所有方面相關(guān)的廣泛策略進(jìn)行主管,以使雇員能從理想的和受信任的網(wǎng)絡(luò)資源獲得軟件和其它電子數(shù)據(jù)��。在廣泛策略不可得的情況下��,可阻止雇員從未經(jīng)專門授權(quán)的網(wǎng)絡(luò)資源下載軟件和其它電子數(shù)據(jù)�����,即使這種軟件和其它數(shù)據(jù)有利于合法和必要的商業(yè)活動(dòng)�。這類系統(tǒng)也非常局限以至于如果在主機(jī)計(jì)算機(jī)上發(fā)現(xiàn)未經(jīng)授權(quán)的軟件,則任何主機(jī)計(jì)算機(jī)活動(dòng)將被掛起以等待網(wǎng)絡(luò)管理員的介入���。此外���,在網(wǎng)絡(luò)層����,可能只是存在過多的應(yīng)用而無法有效地跟蹤和納入到策略中��。大型白名單或黑名單可能難以維護(hù)并且會(huì)使網(wǎng)絡(luò)性能降級(jí)�,而一些應(yīng)用可能不容易被輕易地標(biāo)識(shí)。
[0020]根據(jù)一個(gè)實(shí)施例�,網(wǎng)絡(luò)環(huán)境10可通過在主機(jī)和網(wǎng)絡(luò)網(wǎng)關(guān)之間共享信息來克服這些缺點(diǎn)(及其它)。信息可例如通過帶內(nèi)或帶外協(xié)議共享�����,該帶內(nèi)或帶外協(xié)議允許主機(jī)代理與網(wǎng)絡(luò)網(wǎng)關(guān)通信以全體地和互相地取得更好的安全性�����。主機(jī)代理可將主機(jī)上的應(yīng)用理解為例如通過特定認(rèn)證運(yùn)行進(jìn)程的可執(zhí)行文件��,而網(wǎng)絡(luò)網(wǎng)關(guān)可將該應(yīng)用理解為TCP連接中的一個(gè)協(xié)議���,該協(xié)議也可關(guān)聯(lián)于特定的用戶認(rèn)證����。主機(jī)代理可與網(wǎng)絡(luò)網(wǎng)關(guān)共享會(huì)話描述符����,而網(wǎng)絡(luò)網(wǎng)關(guān)可根據(jù)需要與主機(jī)代理共享網(wǎng)絡(luò)策略以使應(yīng)用活動(dòng)關(guān)聯(lián)于預(yù)期的網(wǎng)絡(luò)行為。網(wǎng)絡(luò)策略可包括安全策略要素以及其它網(wǎng)絡(luò)特定參數(shù)���,例如服務(wù)質(zhì)量(Q0S)和路由����。主機(jī)代理也可關(guān)聯(lián)于全局唯一標(biāo)識(shí)符(UUID)����,它可用來關(guān)聯(lián)在網(wǎng)絡(luò)地址翻譯器之后發(fā)生的連接和活動(dòng)。
[0021]會(huì)話描述符通常包括關(guān)于主機(jī)和與給定網(wǎng)絡(luò)會(huì)話關(guān)聯(lián)的應(yīng)用的信息�。例如,會(huì)話描述符可包括與主機(jī)和進(jìn)程所有者的用戶憑證關(guān)聯(lián)的UUID��。由于用戶可運(yùn)行具有不同用戶憑證的單獨(dú)進(jìn)程���,因此該信息對(duì)于Citrix和終端服務(wù)是尤為有利的�����。會(huì)話描述符可額外地包括文件名�����、路徑名或運(yùn)行嘗試建立網(wǎng)絡(luò)連接的進(jìn)程的應(yīng)用文件(例如C:\...WINWORD.ΕΧΕ)的其它唯一標(biāo)識(shí)符��。例如����,在一些實(shí)施例中,應(yīng)用可通過應(yīng)用的可執(zhí)行文件的散列函數(shù)來標(biāo)識(shí)��,以使惡意用戶欺騙應(yīng)用名變得更為困難�。網(wǎng)關(guān)可將該信息關(guān)聯(lián)于應(yīng)用標(biāo)識(shí)符或協(xié)議以確保該應(yīng)用如預(yù)期那樣執(zhí)行。會(huì)話描述符也可包含關(guān)于主機(jī)環(huán)境的信息�����,例如安裝在主機(jī)上的軟件以及軟件的當(dāng)前配置和狀態(tài)����,由此允許網(wǎng)關(guān)充當(dāng)網(wǎng)絡(luò)訪問控制設(shè)備。例如�����,會(huì)話描述符可指示本地防毒系統(tǒng)是否最新的并是否正在運(yùn)行����。如果基于主機(jī)的數(shù)據(jù)喪失防止(HDLP)軟件可用,則會(huì)話描述符也可包括用于文件轉(zhuǎn)移的文件分類(typing)信息����。HDLP通常將文件類型確定為從網(wǎng)絡(luò)傳出的(例如HF、Word等)�����。網(wǎng)關(guān)可具有在特定協(xié)議上傳輸?shù)呐c某些文件類型有關(guān)的附加策略��,附加策略對(duì)于HDLP程序不是直接可見的�。
[0022]主機(jī)代理也可告知網(wǎng)關(guān)與主機(jī)的附加網(wǎng)絡(luò)連接。如果主機(jī)例如同時(shí)具有活動(dòng)的無線和有線連接�����,則可能存在在一個(gè)連接上接收的數(shù)據(jù)在另一個(gè)連接上發(fā)送的風(fēng)險(xiǎn)��,因此限制對(duì)敏感數(shù)據(jù)的訪問是合意的��。主機(jī)代理也可通知網(wǎng)絡(luò)該連接是否關(guān)聯(lián)于虛擬機(jī)。主機(jī)代理也可通知網(wǎng)關(guān)主機(jī)是否具有可裝載的讀/寫介質(zhì)��,例如附連的USB棒�。
[0023]可在網(wǎng)絡(luò)環(huán)境10中提供動(dòng)態(tài)信息共享。用戶主機(jī)和網(wǎng)絡(luò)網(wǎng)關(guān)之間的通信可被編碼在例程網(wǎng)絡(luò)話務(wù)中(例如IP或TCP選擇字段�����、分組填充位置或DNS分組的尾部)���,或在每個(gè)連接開始時(shí)在獨(dú)立的網(wǎng)絡(luò)分組中從主機(jī)發(fā)送至網(wǎng)絡(luò)網(wǎng)關(guān)����。在一些實(shí)施例中����,網(wǎng)絡(luò)網(wǎng)關(guān)可將包含隨機(jī)選擇的序列號(hào)或現(xiàn)時(shí)數(shù)(nonce)的UDP分組送至用戶主機(jī)的第一出口上的用戶主機(jī)。在允許連接的每次TCP開啟時(shí)�����,用戶主機(jī)代理可格式化當(dāng)前現(xiàn)時(shí)數(shù)和序列ID的散列��,將其連同其它會(huì)話描述符一起放到分組中���。分組內(nèi)容的散列也可包含在某些實(shí)施例中�����。網(wǎng)絡(luò)網(wǎng)關(guān)可接收UDP分組并保存會(huì)話描述符以用于將網(wǎng)絡(luò)策略應(yīng)用至TCP流����。網(wǎng)絡(luò)網(wǎng)關(guān)可周期地發(fā)送新的現(xiàn)時(shí)數(shù)以挫敗重放攻擊��。
[0024]在網(wǎng)絡(luò)環(huán)境10的一些實(shí)施例中�,主機(jī)20a可包括多個(gè)附連點(diǎn),這使其具有多個(gè)IP地址����。在一些實(shí)施例中,主機(jī)20a可使用IP版本6 (IPv6)���,該版本可能包括私密擴(kuò)展(RFC4941)�����,這使其具有一個(gè)或多個(gè)經(jīng)注冊和已知的IPv6地址以及一個(gè)或多個(gè)應(yīng)當(dāng)或私密的IPv6地址���。在這些實(shí)施例中�����,網(wǎng)關(guān)25可容易地使用動(dòng)態(tài)信息共享以向用戶揭露對(duì)主機(jī)20a上的所有地址的主機(jī)映射����。
[0025]網(wǎng)絡(luò)環(huán)境10中的這種動(dòng)態(tài)信息共享可提供優(yōu)于傳統(tǒng)架構(gòu)的若干益處�����。例如��,通過用主機(jī)代理協(xié)調(diào)防火墻策略�����,網(wǎng)關(guān)可根據(jù)主機(jī)代理上的多用戶中的哪個(gè)正在嘗試建立一連接而以不同方式允許或拒絕話務(wù)����。此外,只有需要被粒度控制的應(yīng)用需要受防火墻控制�。因此,網(wǎng)關(guān)可控制任意或偷漏(evasive)的應(yīng)用����,提供更高效的吞吐���,并控制移動(dòng)用戶話務(wù)。另外����,不需要完全被允許或拒絕的話務(wù)可以是限速的。任意或偷漏的應(yīng)用也可通過網(wǎng)關(guān)上可用的進(jìn)程信息被限速�,并且區(qū)別的服務(wù)可被提供用于受管理和不受管理的主機(jī)。
[0026]轉(zhuǎn)向圖2��,圖2是示出與網(wǎng)絡(luò)環(huán)境10的一種潛在實(shí)施例關(guān)聯(lián)的附加細(xì)節(jié)的簡化框圖��。圖2包括互聯(lián)網(wǎng)15�、用戶主機(jī)20a�����、網(wǎng)絡(luò)網(wǎng)關(guān)25��、策略服務(wù)器30以及郵件服務(wù)器35�����。用戶主機(jī)20a����、網(wǎng)絡(luò)網(wǎng)關(guān)25以及策略服務(wù)器30中的每一個(gè)可包括相應(yīng)的處理器50a_c���、相應(yīng)的存儲(chǔ)器元件55a_c以及各種軟件元件。更具體地�����,用戶主機(jī)20a可包括郵件客戶機(jī)60�、網(wǎng)絡(luò)堆棧65、策略代理70以及防火墻代理75�����。網(wǎng)關(guān)25可包括防火墻模塊80��,策略服務(wù)器30可包括防火墻連接器模塊85�����。
[0027]在一示例性實(shí)現(xiàn)中���,用戶主機(jī)20a�����、網(wǎng)絡(luò)網(wǎng)關(guān)25和/或策略服務(wù)器30是網(wǎng)絡(luò)元件�����,其旨在涵蓋網(wǎng)絡(luò)設(shè)施�、服務(wù)器、路由器�����、交換機(jī)�����、網(wǎng)關(guān)�、網(wǎng)橋��、負(fù)載平衡器�、防火墻、處理器����、模塊或可用以在網(wǎng)絡(luò)環(huán)境中交換信息的任何其它適宜的設(shè)備、組件�����、元件或?qū)ο蟆>W(wǎng)絡(luò)元件可包括有利于其操作的任何適宜硬件���、軟件����、組件��、模塊接口或?qū)ο?����。這可包含允許數(shù)據(jù)或信息的有效交換的適宜算法和通信協(xié)議�。然而,用戶主機(jī)20a可與其它網(wǎng)絡(luò)元件區(qū)別開�,因?yàn)樗鼉A向于用作網(wǎng)絡(luò)連接的終端點(diǎn),與網(wǎng)關(guān)或路由器相反���。用戶主機(jī)20也可代表無線網(wǎng)絡(luò)端點(diǎn)�,例如1-Phone�����、i_Pad、安卓手機(jī)或其它類似的電信設(shè)備��。[0028]關(guān)于與網(wǎng)絡(luò)環(huán)境10相關(guān)的內(nèi)部結(jié)構(gòu)�,用戶主機(jī)20a、網(wǎng)絡(luò)網(wǎng)關(guān)25和/或策略服務(wù)器30中的每一個(gè)可包括存儲(chǔ)器元件(如圖2所示)�����,用于存儲(chǔ)在本文列出的操作中使用的信息���。另外���,這些設(shè)備中的每一個(gè)可包括處理器,該處理器能執(zhí)行軟件或算法以執(zhí)行如本文所述的活動(dòng)�。這些設(shè)備可在適當(dāng)時(shí)機(jī)和基于特殊需要進(jìn)一步將信息保存在任何適宜的存儲(chǔ)器元件(隨機(jī)存取存儲(chǔ)器(RAM)、R0M����、EPR0M�、EEPR0M、ASIC等)�、軟件、硬件或任何其它適宜的組件��、設(shè)備、元件或?qū)ο笾?����。本文所述的任何存?chǔ)器術(shù)語應(yīng)當(dāng)被解釋成涵蓋廣義術(shù)語“存儲(chǔ)器元件”�。由用戶主機(jī)20a、網(wǎng)絡(luò)網(wǎng)關(guān)25和/或策略服務(wù)器30跟蹤或發(fā)送的信息可在任何數(shù)據(jù)庫���、寄存器���、控制列表或存儲(chǔ)結(jié)構(gòu)中被提供,所有這些可以任何適當(dāng)?shù)臅r(shí)幀為基準(zhǔn)�。任何這些存儲(chǔ)選項(xiàng)可包含在本文中使用的廣義術(shù)語“存儲(chǔ)器元件”中。類似地��,本文所述的任何潛在處理元件��、模塊和機(jī)器應(yīng)當(dāng)被解釋為被涵蓋在廣義術(shù)語“處理器”中�����。網(wǎng)絡(luò)元件中的每一個(gè)也可包括適宜的接口���,用于在網(wǎng)絡(luò)環(huán)境中接收�����、發(fā)送和/或以其它方式交換數(shù)據(jù)或信息����。
[0029]在一示例性實(shí)現(xiàn)中,用戶主機(jī)20a�����、網(wǎng)絡(luò)網(wǎng)關(guān)25和/或策略服務(wù)器30包括軟件(例如防火墻代理65等)以達(dá)成或助長本文列出的操作����。在其它實(shí)施例中,這些操作可通過硬件執(zhí)行�,在這些元件外部實(shí)現(xiàn),或包含在某些其它網(wǎng)絡(luò)設(shè)備中以達(dá)到意圖的功能��。替代地�����,這些元件可包括軟件(或往復(fù)軟件)�����,所述軟件能協(xié)調(diào)以實(shí)現(xiàn)本文列出的操作�����。在又一些其它實(shí)施例中����,這些設(shè)備中的一個(gè)或全部可包括利于其操作的任何適宜算法、硬件�、軟件、組件���、模塊���、接口或?qū)ο蟆?br>
[0030]注意在某些示例性實(shí)現(xiàn)中,本文列出的功能可通過編碼在一個(gè)或多個(gè)有形介質(zhì)中的邏輯(例如在專用集成電路(ASIC)中提供的嵌入式邏輯�、數(shù)字信號(hào)處理器(DSP)指令、由處理器或其它類似機(jī)器執(zhí)行的軟件(可能包含對(duì)象代碼和源代碼))實(shí)現(xiàn)�����,所述有形介質(zhì)可包含非暫態(tài)介質(zhì)�。在一些這樣的情況下�����,存儲(chǔ)器元件(如圖2所示)能存儲(chǔ)數(shù)據(jù)��,用于本文描述的操作����。這包括能用來存儲(chǔ)可被執(zhí)行以實(shí)現(xiàn)本文描述的活動(dòng)的軟件��、邏輯����、代碼或處理器指令的存儲(chǔ)器元件。處理器能執(zhí)行與數(shù)據(jù)關(guān)聯(lián)的任何類型指令以達(dá)成本文詳述的操作��。在一個(gè)示例中��,處理器(如圖2所示)可將一要素或項(xiàng)目(例如數(shù)據(jù))從一種狀態(tài)或事物轉(zhuǎn)化成另一狀態(tài)或事物��。在另一示例中�����,本文列出的活動(dòng)可通過固定邏輯或可編程邏輯(例如由處理器執(zhí)行的軟件/計(jì)算機(jī)指令)實(shí)現(xiàn)���,而本文標(biāo)識(shí)出的元件可以是某些類型的可編程處理器����、可編程數(shù)字邏輯(例如現(xiàn)場可編程門陣列(FPGA)�����、可擦除可編程只讀存儲(chǔ)器(EPROM)�、電可擦除可編程ROM(EEPROM)或包括數(shù)字邏輯、軟件���、代碼���、電子指令或其任意適宜組合的ASIC)。
[0031]圖3是示出與具有帶外通信的網(wǎng)絡(luò)環(huán)境10的一個(gè)實(shí)施例關(guān)聯(lián)的示例性操作的簡化框圖��。作為預(yù)備事項(xiàng)或周期性地���,在0.1�����,防火墻80可從策略服務(wù)器30中的防火墻連接器模塊85請(qǐng)求密鑰��。在0.2��,防火墻連接器模塊85產(chǎn)生一密鑰并將其送至防火墻模塊80和所有主機(jī)����,包括主機(jī)20a上的策略代理70。在1.1���,諸如郵件客戶機(jī)60之類的應(yīng)用可發(fā)起至諸如郵件服務(wù)器35之類的遠(yuǎn)程服務(wù)器的連接���。因此,例如郵件服務(wù)器60可使用簡單郵件傳輸協(xié)議(SMTP)發(fā)起至郵件服務(wù)器35的連接�。網(wǎng)絡(luò)堆棧65可隨后通過防火墻模塊80路由話務(wù)。在1.2�,防火墻模塊80可隨后將HELLO分組送至主機(jī)20a上的防火墻代理75作為對(duì)會(huì)話描述符的請(qǐng)求。HELLO分組可包括例如KEY (密鑰)值�、SEQNUM (序號(hào))和HASH(散列)值。SEQNUM可用作現(xiàn)時(shí)數(shù)和序列號(hào)兩者���。HASH值通常是消息中數(shù)據(jù)的適宜密碼散列���,例如SHA-1。防火墻代理75可隨后解密來自防火墻模塊80的請(qǐng)求����,從網(wǎng)絡(luò)堆棧65獲得信息�����,并在1.3將包含會(huì)話描述符的定序的、散列的����、加密的分組發(fā)送至防火墻模塊SO。例如��,如果用戶已用“auser( —用戶)”的標(biāo)識(shí)進(jìn)行了驗(yàn)證并正在使用Microsoft Outlook作為郵件客戶機(jī)�,則會(huì)話描述符可包括:AUser、0UtlOOk���、會(huì)話信息�。這可連同序列號(hào)一起被加密和發(fā)送并具有例如 Enc [KEY] (SEQNUM++�����,session descriptor, HASH) (Enc [KEY] (SEQNUM++,會(huì)話描述符����,散列))�����。防火墻80可在1.4運(yùn)用網(wǎng)絡(luò)策略以確定是否應(yīng)當(dāng)允許至郵件服務(wù)器35的連接���。在1.5可發(fā)送附加的會(huì)話描述符分組而無需防火墻模塊80像1.2那樣發(fā)送HELLO分組。
[0032]圖4是示出與網(wǎng)絡(luò)環(huán)境10的另一實(shí)施例關(guān)聯(lián)的示例性操作的簡化框圖���。在圖4中�,網(wǎng)絡(luò)環(huán)境10包括用戶主機(jī)20a-b��、網(wǎng)絡(luò)地址翻譯器100�、入侵防止系統(tǒng)(IPS) 105以及互聯(lián)網(wǎng)15。主機(jī)20a關(guān)聯(lián)于第一 UUID (UUIDl)而主機(jī)20b關(guān)聯(lián)于第二 UUID (UUID2)�。會(huì)話描述符可通過網(wǎng)絡(luò)地址翻譯器100在帶外或帶內(nèi)發(fā)送,或替代地�����,可在帶內(nèi)發(fā)送會(huì)話標(biāo)識(shí)符�����,而在帶外發(fā)送會(huì)話描述符。在這一實(shí)施例中��,會(huì)話描述符也可包括用于將帶內(nèi)和帶外通信相關(guān)聯(lián)的會(huì)話描述符����。盡管網(wǎng)絡(luò)地址翻譯器100可改變主機(jī)20a-b的IP地址,IPS105可使用主機(jī)20a-b的UUID以關(guān)聯(lián)話務(wù)���,從而基于與主機(jī)關(guān)聯(lián)的所有網(wǎng)絡(luò)地址將網(wǎng)絡(luò)策略應(yīng)用至主機(jī)����。
[0033]進(jìn)一步注意主機(jī)20a在某些實(shí)施例中可由多個(gè)用戶同時(shí)使用�����,比如在分時(shí)系統(tǒng)�����、Microsoft Windows的“切換用戶”能力���、Citrix或Microsoft終端服務(wù)。防火墻80可使用會(huì)話描述符中的信息以將每個(gè)網(wǎng)絡(luò)連接與建立它的用戶相配對(duì)�,由此通過用戶以不同方式實(shí)現(xiàn)策略而不是由主機(jī)20a的所有用戶單獨(dú)地實(shí)現(xiàn)策略。
[0034]圖5是示出可與具有帶內(nèi)通信的網(wǎng)絡(luò)環(huán)境10的實(shí)施例相關(guān)的示例性操作的簡化流程圖。在505����,用戶可運(yùn)行諸如Skype客戶機(jī)之類的應(yīng)用。會(huì)話描述符則可被嵌入到相關(guān)網(wǎng)絡(luò)協(xié)議(例如TCP��、UDP或互聯(lián)網(wǎng)控制消息協(xié)議(ICMP))的多余區(qū)域內(nèi)����。例如,防火墻代理可在TCP握手期間將會(huì)話描述符嵌入到TCP選項(xiàng)中��,由此即使在會(huì)話的第一分組上也能作出行動(dòng)��。在另一實(shí)施例中�����,會(huì)話描述符可被嵌入到IP選項(xiàng)中�,這運(yùn)用于TCP、UDP和ICMP話務(wù)���。在又一實(shí)施例中��,在網(wǎng)絡(luò)會(huì)話中可產(chǎn)生附加的“probe (探針)”分組�,該“probe”分組對(duì)于通信來說是多余的但可由網(wǎng)絡(luò)網(wǎng)關(guān)使用以提取有用的信息。例如�,主機(jī)代理可發(fā)送TCP確認(rèn)(ACK),它是之前已發(fā)送的ACK的副本并且是無害的����。信息可被嵌入到這些ACK對(duì)ACK分組而言無意義的字段中,例如校驗(yàn)和��、緊急指針或預(yù)留字段���。也可使用看上去合法的ICMP通知�����,但該ICMP通知可由另一端忽略。也可使用具有無效序列號(hào)的TCP分組以使分組被目的地忽略�����。
[0035]為進(jìn)一步解說�����,考慮其中用戶在用戶主機(jī)20a上運(yùn)行Skype客戶機(jī)的例子����。用戶主機(jī)20a上的防火墻代理可獲得進(jìn)程ID “skype.exe”���、廠商ID “Skype, Inc (Skype公司)”、用戶名 “ jdoe” 和 uuid “f81d4fae-7dec-lldo-a765_00a0c91e6bf6”��,并在 510 將該信息作為會(huì)話描述符嵌入到IP選項(xiàng)字段中��。在515可對(duì)分組簽名和加密��,并在發(fā)送至網(wǎng)絡(luò)網(wǎng)關(guān)25之前在520將分組密碼圖地(stegonographically)隱藏����。在525,網(wǎng)絡(luò)網(wǎng)關(guān)25可檢測和提取所嵌入的會(huì)話描述符�。在530,可驗(yàn)證會(huì)話描述符的真實(shí)性�。在535可基于會(huì)話描述符將多個(gè)網(wǎng)絡(luò)策略運(yùn)用于連接,并對(duì)這些網(wǎng)絡(luò)策略作允許��、拒絕���、限速等���。
[0036]因此����,在例如圖5實(shí)施例的實(shí)施例中�,用戶主機(jī)和網(wǎng)絡(luò)網(wǎng)關(guān)可彼此通信而不產(chǎn)生任何附加的網(wǎng)絡(luò)會(huì)話,這可提供顯著的優(yōu)勢��。例如�,如果運(yùn)用加密和密碼圖,普通用戶甚至連管理者都可能無從知道用戶主機(jī)和網(wǎng)絡(luò)網(wǎng)關(guān)如何協(xié)作��,這可消除或最小化顛覆通信的嘗試����。另外,由于每個(gè)網(wǎng)絡(luò)會(huì)話可攜帶所有高層會(huì)話描述��,因此網(wǎng)絡(luò)網(wǎng)關(guān)能對(duì)話務(wù)采取迅速的行動(dòng)而無需等待帶外通信���。
[0037]在操作中,前述原理具有許多實(shí)踐應(yīng)用�����。例如��,在網(wǎng)絡(luò)環(huán)境10的某些實(shí)施例中,防火墻可被編程以使某些協(xié)議僅由特定應(yīng)用使用���。因此����,例如數(shù)據(jù)庫協(xié)議可局限于僅使用特定數(shù)據(jù)庫客戶機(jī)程序����,而其它數(shù)據(jù)庫客戶機(jī)程序可在防火墻側(cè)被阻擋。作為附加或替代���,可阻止使用非預(yù)期協(xié)議的標(biāo)識(shí)應(yīng)用連接至惡意站點(diǎn)��。由此���,可防止例如裝扮成游戲的特洛伊木馬程序?qū)⑺矫軘?shù)據(jù)送至互聯(lián)網(wǎng)站點(diǎn)。也可拒絕一應(yīng)用進(jìn)行網(wǎng)絡(luò)訪問而無需主機(jī)上的特定防毒措施���。也可改善入侵防止系統(tǒng)簽名以基于產(chǎn)生出境連接的應(yīng)用檢測假肯定(falsepositive)�。如果防火墻提供對(duì)主機(jī)的虛擬私人網(wǎng)絡(luò)(VPN)訪問���,這些實(shí)施例也可等同適用���,在這種情形下�,防火墻是主機(jī)的網(wǎng)絡(luò)訪問控制(NAC)��。防火墻可與策略服務(wù)器通信以確定防毒措施的狀態(tài)�����,并請(qǐng)求策略服務(wù)器以掃描主機(jī)��。如果主機(jī)安全性不足�����,則防火墻可進(jìn)行隔離���。
[0038]在另一示例性操作中�,網(wǎng)絡(luò)環(huán)境10也允許防火墻使用獨(dú)立信道來通知主機(jī)是否已拒絕連接�,并附上可用來警告用戶和/或行動(dòng)管理者的解釋。由此�����,用戶能向救助臺(tái)或管理者發(fā)出警報(bào)��,而不是嘗試圍繞防火墻工作而沒有意識(shí)到潛在的暗示�����,并大為簡化網(wǎng)絡(luò)管理��。
[0039]在又一示例性操作中���,如果防火墻無法翻譯特定協(xié)議(例如客戶機(jī)協(xié)議)�����,主機(jī)代理可標(biāo)識(shí)產(chǎn)生話務(wù)的應(yīng)用并將其身份送至防火墻���,由此使防火墻能在該應(yīng)用層正確地運(yùn)用策略。也基于從應(yīng)用可預(yù)期或可接受的某一網(wǎng)絡(luò)行為將協(xié)議與應(yīng)用相關(guān)聯(lián)���。使用既包含應(yīng)用又包含所允許協(xié)議的白名單���,防火墻可阻擋不當(dāng)利用其它良性應(yīng)用的惡意軟件。例如�,Adobe Reader通常不期望使用SMTP產(chǎn)生話務(wù)。如果惡意軟件能夠危害Adobe Reader并嘗試用其通過SMTP發(fā)送消息����,則防火墻可讀取該白名單�,確定不允許Adobe Reader使用SMTP并阻斷該惡意軟件連接���。此外�����,防火墻可通知策略服務(wù)器Adobe Reader程序可能受惡意軟件危害���。策略服務(wù)器可通知用戶并指令用戶主機(jī)上的策略代理來禁用Adobe Reader。在又一示例中�����,數(shù)據(jù)庫管理者可能想要提供定制應(yīng)用以訪問數(shù)據(jù)庫�。盡管定制應(yīng)用可使用與一般應(yīng)用相同的協(xié)議,然而將定制應(yīng)用與協(xié)議關(guān)聯(lián)的白名單可有效地限制對(duì)這些應(yīng)用的訪問���,因?yàn)橹鳈C(jī)能與網(wǎng)絡(luò)網(wǎng)關(guān)共孕與應(yīng)用有關(guān)的?目息����。
[0040]注意通過前面給出的示例以及眾多其它潛在示例,可依照兩個(gè)�、三個(gè)或四個(gè)網(wǎng)絡(luò)元件描述它們的相互作用。然而����,這是為了清楚作出的并僅作為示例����。在某些情形下,僅通過參照有限數(shù)量的網(wǎng)絡(luò)元件描述給定一組操作的一個(gè)或多個(gè)功能更為容易��。應(yīng)當(dāng)理解��,網(wǎng)絡(luò)環(huán)境10可容易縮放并可容納很大數(shù)量的組件以及更復(fù)雜/網(wǎng)上的布局和配置�����。因此���,所給出的示例不限制網(wǎng)絡(luò)環(huán)境10的范圍或抑制其廣泛教義����,因?yàn)榫W(wǎng)絡(luò)環(huán)境10可能運(yùn)用于無數(shù)種其它的架構(gòu)���。此外����,盡管參照在網(wǎng)絡(luò)元件中提供例如分析器模塊的特定模塊的特定場景予以描述,然而這些模塊也可被設(shè)置在網(wǎng)絡(luò)元件外部��,或以任何適宜的方式結(jié)合和/或組合�����。在某些情形下�����,這些模塊可在單個(gè)專用單元中提供�����。
[0041]重要的是還要注意附圖中的步驟僅示出可通過網(wǎng)絡(luò)環(huán)境10執(zhí)行或在網(wǎng)絡(luò)環(huán)境10中執(zhí)行的一些可能的場景和模式���?�?稍谶m當(dāng)時(shí)候刪除或去除這些步驟中的一些�����,或可顯著地修正或改變這些步驟而不脫離本文給出的教義的范圍����。另外,數(shù)個(gè)這些操作已被描述為與一個(gè)或多個(gè)附加操作同時(shí)執(zhí)行或并行執(zhí)行���。然而,這些操作的時(shí)序可顯著地改變��。前面的操作流是為示例和說明的目的給出的��。通過網(wǎng)絡(luò)環(huán)境10提供顯著的靈活性��,該靈活性在于可提供任何適宜的布局�、年代、配置和時(shí)序機(jī)制而不脫離本文給出的教義����。
[0042]許多其它的改變、替代�����、變化����、更替和修正對(duì)于本領(lǐng)域內(nèi)技術(shù)人員是確定的�,并且本公開旨在涵蓋所有這些改變�、替代、變化�����、更替和修正��,只要其落在所附權(quán)利要求書的范圍內(nèi)��。為了幫助美國專利商標(biāo)局(USPTO)并進(jìn)一步幫助本申請(qǐng)中公布的任何專利的任何讀者解釋所附權(quán)利要求書���, 申請(qǐng)人:希望指出�, 申請(qǐng)人::(a)不打算使任何所附權(quán)利要求援引
35U.S.C.章112第6段��,就像它存在于本申請(qǐng)日那樣�����,除非詞語“用于......的裝置”或
“用于......的步驟”專門用于特定權(quán)利要求書���;以及(b)不旨在通過說明書中的任何聲明
以所附權(quán)利要求書未反映的任何方式對(duì)本公開進(jìn)行限制�����。
【權(quán)利要求】
1.一種方法�,包括: 在主機(jī)和網(wǎng)絡(luò)網(wǎng)關(guān)之間交換會(huì)話描述符,其中所述會(huì)話描述符關(guān)聯(lián)于網(wǎng)絡(luò)連接和所述主機(jī)上的應(yīng)用��; 將所述會(huì)話描述符關(guān)聯(lián)于網(wǎng)絡(luò)策略����;以及 將所述網(wǎng)絡(luò)策略運(yùn)用于所述網(wǎng)絡(luò)連接。
2.如權(quán)利要求1所述的方法�,其特征在于���,所述會(huì)話描述符是通過帶外通信信道交換的��。
3.如權(quán)利要求1所述的方法�,其特征在于��,所述會(huì)話描述符是通過帶內(nèi)通信信道交換的�。
4.如權(quán)利要求1所述的方法,其特征在于����,所述會(huì)話描述符以密碼圖嵌入到帶內(nèi)通信信道中����。
5.如權(quán)利要求1所述的方法�,其特征在于,所述網(wǎng)絡(luò)策略基于所述會(huì)話描述符內(nèi)的應(yīng)用的標(biāo)識(shí)而被運(yùn)用以限制所述網(wǎng)絡(luò)連接上的通信��。
6.如權(quán)利要求1所述的方法�,其特征在于,所述網(wǎng)絡(luò)策略基于所述會(huì)話描述符內(nèi)的應(yīng)用的標(biāo)識(shí)而被運(yùn)用以對(duì)所述網(wǎng)絡(luò)連接上的通信進(jìn)行限速�。
7.如權(quán)利要求1所述的方法,其特征在于��,所述網(wǎng)絡(luò)策略被運(yùn)用以限制可由所述應(yīng)用使用的協(xié)議�����。
8.如權(quán)利要求1所述的方法��,其特征在于���,所述網(wǎng)絡(luò)策略關(guān)聯(lián)于白名單�����,所述白名單限制可由所述應(yīng)用使用的協(xié)議��。
9.如權(quán)利要求1所述的方法�����,其特征在于�����,還包括如果通過網(wǎng)絡(luò)連接的通信受限制則提醒用戶網(wǎng)絡(luò)策略�。
10.如權(quán)利要求1所述的方法,其特征在于����,所述會(huì)話描述符包括與所述主機(jī)關(guān)聯(lián)的全局唯一標(biāo)識(shí)符。
11.如權(quán)利要求1所述的方法���,其特征在于,所述主機(jī)通過網(wǎng)絡(luò)地址翻譯器通信并且所述會(huì)話描述符包括與所述主機(jī)關(guān)聯(lián)的全局唯一標(biāo)識(shí)符�����。
12.如權(quán)利要求1所述的方法�����,其特征在于,所述會(huì)話描述符包括關(guān)于執(zhí)行應(yīng)用的用戶以及關(guān)于與所述應(yīng)用關(guān)聯(lián)的文件名的信息����。
13.如權(quán)利要求1所述的方法,其特征在于���,所述會(huì)話描述符標(biāo)識(shí)執(zhí)行所述應(yīng)用的用戶���,并基于所述用戶運(yùn)用網(wǎng)絡(luò)策略。
14.一種被編碼在一個(gè)或多個(gè)有形介質(zhì)中的邏輯����,所述邏輯包括供執(zhí)行的代碼并當(dāng)由一個(gè)或多個(gè)處理器執(zhí)行時(shí)用以執(zhí)行下列操作,包括: 在主機(jī)和網(wǎng)絡(luò)網(wǎng)關(guān)之間交換會(huì)話描述符���,其中所述會(huì)話描述符關(guān)聯(lián)于網(wǎng)絡(luò)連接和所述主機(jī)上的應(yīng)用�; 將所述會(huì)話描述符關(guān)聯(lián)于網(wǎng)絡(luò)策略�;以及 將所述網(wǎng)絡(luò)策略運(yùn)用于所述網(wǎng)絡(luò)連接。
15.如權(quán)利要求14所述的邏輯����,其特征在于,所述會(huì)話描述符是通過帶外通信信道交換的���。
16.如權(quán)利要求14所述的邏輯�,其特征在于,所述會(huì)話描述符是通過帶內(nèi)通信信道交換的�����。
17.如權(quán)利要求14所述的邏輯���,其特征在于�,所述會(huì)話描述符以密碼圖嵌入到帶內(nèi)通信信道中����。
18.如權(quán)利要求14所述的邏輯,其特征在于�����,所述網(wǎng)絡(luò)策略基于所述會(huì)話描述符內(nèi)的應(yīng)用的標(biāo)識(shí)而被運(yùn)用以限制所述網(wǎng)絡(luò)連接上的通信���。
19.如權(quán)利要求14所述的邏輯,其特征在于���,所述網(wǎng)絡(luò)策略基于所述會(huì)話描述符內(nèi)的應(yīng)用的標(biāo)識(shí)而被運(yùn)用以對(duì)所述網(wǎng)絡(luò)連接上的通信進(jìn)行限速����。
20.如權(quán)利要求14所述的邏輯,其特征在于����,所述網(wǎng)絡(luò)策略被運(yùn)用以限制可由所述應(yīng)用使用的協(xié)議。
21.如權(quán)利要求14所述的邏輯����,其特征在于,所述網(wǎng)絡(luò)策略關(guān)聯(lián)于白名單����,所述白名單限制可由所述應(yīng)用使用的協(xié)議。
22.如權(quán)利要求14所述的邏輯��,其特征在于�,還包括如果通過網(wǎng)絡(luò)連接的通信受限制則提醒用戶網(wǎng)絡(luò)策略。
23.如權(quán)利要求14所述的邏輯���,其特征在于�����,所述會(huì)話描述符包括與所述主機(jī)關(guān)聯(lián)的全局唯一標(biāo)識(shí)符��。
24.如權(quán)利要求14所述的邏輯�����,其特征在于��,所述主機(jī)通過網(wǎng)絡(luò)地址翻譯器通信并且所述會(huì)話描述符包括與所述主機(jī)關(guān)聯(lián)的全局唯一標(biāo)識(shí)符���。
25.如權(quán)利要求14所述的邏輯��,其特征在于�,所述會(huì)話描述符包括關(guān)于執(zhí)行應(yīng)用的用戶以及關(guān)于與所述應(yīng)用關(guān)聯(lián)的文件名的信息�����。
26.如權(quán)利要求14所述的邏輯�,其特征在于,所述會(huì)話描述符標(biāo)識(shí)執(zhí)行所述應(yīng)用的用戶�����,并基于所述用戶運(yùn)用網(wǎng)絡(luò)策略��。
27.一種裝置���,包括: 防火墻模塊��; 一個(gè)或多個(gè)處理器�����,用以執(zhí)行與所述防火墻模塊關(guān)聯(lián)的指令�����,所述一個(gè)或多個(gè)處理器用以執(zhí)行下列操作����,包括: 與主機(jī)交換會(huì)話描述符�,其中所述會(huì)話描述符關(guān)聯(lián)于網(wǎng)絡(luò)連接和所述主機(jī)上的應(yīng)用; 將所述會(huì)話描述符關(guān)聯(lián)于網(wǎng)絡(luò)策略����;以及 將所述網(wǎng)絡(luò)策略運(yùn)用于所述網(wǎng)絡(luò)連接。
28.如權(quán)利要求27所述的裝置��,其特征在于�����,所述會(huì)話描述符是通過帶外通信信道交換的。
29.如權(quán)利要求27所述的裝置����,其特征在于,所述會(huì)話描述符是通過帶內(nèi)通信信道交換的�。
30.如權(quán)利要求27所述的裝置,其特征在于����,所述會(huì)話描述符以密碼圖嵌入在帶內(nèi)通信信道中。
31.如權(quán)利要求27所述的裝置����,其特征在于,所述網(wǎng)絡(luò)策略基于所述會(huì)話描述符內(nèi)的應(yīng)用的標(biāo)識(shí)而被運(yùn)用以限制所述網(wǎng)絡(luò)連接上的通信�。
32.如權(quán)利要求27所述的裝置,其特征在于�����,所述網(wǎng)絡(luò)策略基于所述會(huì)話描述符內(nèi)的應(yīng)用的標(biāo)識(shí)而被運(yùn)用以對(duì)所述網(wǎng)絡(luò)連接上的通信進(jìn)行限速��。
33.如權(quán)利要求27所述的裝置�,其特征在于�,所述網(wǎng)絡(luò)策略被運(yùn)用以限制可由所述應(yīng)用使用的協(xié)議���。
34.如權(quán)利要求27所述的裝置��,其特征在于,所述網(wǎng)絡(luò)策略關(guān)聯(lián)于白名單���,所述白名單限制可由所述應(yīng)用使用的協(xié)議�。
35.如權(quán)利要求27所述的裝置��,其特征在于���,還包括如果通過網(wǎng)絡(luò)連接的通信受限制則提醒用戶網(wǎng)絡(luò)策略�����。
36.如權(quán)利要求27所述的裝置,其特征在于����,所述會(huì)話描述符包括與所述主機(jī)關(guān)聯(lián)的全局唯一標(biāo)識(shí)符。
37.如權(quán)利要求27所述的裝置�����,其特征在于,所述主機(jī)通過網(wǎng)絡(luò)地址翻譯器通信并且所述會(huì)話描述符包括與所述主機(jī)關(guān)聯(lián)的全局唯一標(biāo)識(shí)符���。
38.如權(quán)利要求27所述的裝置��,其特征在于��,所述會(huì)話描述符包括關(guān)于執(zhí)行應(yīng)用的用戶以及關(guān)于與所述應(yīng)用關(guān)聯(lián)的文件名的信息����。
39.如權(quán)利要求27所述的裝置���,其特征在于����,所述會(huì)話描述符標(biāo)識(shí)執(zhí)行所述應(yīng)用的用戶�,并基于所述用戶運(yùn)用網(wǎng)絡(luò)策略。
40.如權(quán)利要求27所述的裝置����,其特征在于,一個(gè)以上的網(wǎng)絡(luò)地址與所述主機(jī)關(guān)聯(lián)�,所述會(huì)話描述符包括關(guān) 于與所述網(wǎng)絡(luò)地址之一關(guān)聯(lián)的用戶的信息�����,并基于所述用戶運(yùn)用網(wǎng)絡(luò)策略��。
41.如權(quán)利要求27所述的裝置����,其特征在于�,所述會(huì)話描述符標(biāo)識(shí)執(zhí)行所述應(yīng)用的用戶并包括與所述應(yīng)用關(guān)聯(lián)的可執(zhí)行文件的散列�。
42.如權(quán)利要求27所述的裝置,其特征在于���,所述會(huì)話描述符包括與安裝在所述主機(jī)上的軟件的配置和狀態(tài)有關(guān)的信息�。
43.如權(quán)利要求27所述的裝置��,其特征在于�����,所述會(huì)話描述符標(biāo)識(shí)與所述主機(jī)關(guān)聯(lián)的網(wǎng)絡(luò)地址并基于所述網(wǎng)絡(luò)地址運(yùn)用網(wǎng)絡(luò)策略����。
44.一種方法��,包括: 運(yùn)用網(wǎng)絡(luò)策略以通過網(wǎng)絡(luò)連接限制通信����;以及 將警告發(fā)送至用戶�����,以通知用戶限制通信的網(wǎng)絡(luò)策略����。
【文檔編號(hào)】H04L29/06GK103765846SQ201280010062
【公開日】2014年4月30日 申請(qǐng)日期:2012年2月22日 優(yōu)先權(quán)日:2011年2月23日
【發(fā)明者】G·H·庫珀, D·F·迪爾, V·A·馬哈迪克, R·文努戈帕蘭 申請(qǐng)人:邁克菲股份有限公司