防火墻群集中的應(yīng)用狀態(tài)共享的制作方法
【專利說(shuō)明】防火墻群集中的應(yīng)用狀態(tài)共享
[0001]相關(guān)申請(qǐng)的交叉引用
本申請(qǐng)要求2011年9月8日提交的美國(guó)申請(qǐng)?zhí)?3/227,825的優(yōu)先權(quán)��,其通過(guò)引用合并于此��。
技術(shù)領(lǐng)域
[0002]本發(fā)明大體上涉及防火墻操作,并且更具體地在一個(gè)實(shí)施例中涉及防火墻群集中的應(yīng)用狀態(tài)共享。
[0003]有限版權(quán)豁免
該專利文獻(xiàn)的公開的一部分包含進(jìn)行版權(quán)保護(hù)的權(quán)利要求所針對(duì)的材料�。版權(quán)所有者不反對(duì)被任何人拓制專利文獻(xiàn)或?qū)@_����,如它在美國(guó)專利和商標(biāo)局文件或記錄中出現(xiàn)的那樣����,但無(wú)論怎樣都保留所有其他版權(quán)�����。
【背景技術(shù)】
[0004]計(jì)算機(jī)由于它們與其他計(jì)算機(jī)系統(tǒng)通信并且通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)檢索信息的能力而在很大程度上是有價(jià)值的工具。網(wǎng)絡(luò)典型地包括通過(guò)線路�、光纖�、無(wú)線電或其他數(shù)據(jù)傳送工具而鏈接的互連計(jì)算機(jī)組,用于對(duì)計(jì)算機(jī)提供在計(jì)算機(jī)間傳輸信息的能力�。因特網(wǎng)或許是最知名的計(jì)算機(jī)網(wǎng)絡(luò)�,并且使數(shù)百萬(wàn)的人能夠例如通過(guò)查看web頁(yè)面���、發(fā)送e-mail或通過(guò)執(zhí)行其他計(jì)算機(jī)-到-計(jì)算機(jī)通信而接入其他計(jì)算機(jī)。
[0005]但是��,因?yàn)橐蛱鼐W(wǎng)的大小如此的大并且因特網(wǎng)用戶在他們的興趣方面如此多樣化,惡意用戶或惡作劇者試圖采用對(duì)其他用戶構(gòu)成危險(xiǎn)的方式與其他用戶的計(jì)算機(jī)通信�,這不是罕見的��。例如����,黑客可試圖登錄企業(yè)計(jì)算機(jī)來(lái)竊取�、刪除或改變信息。計(jì)算機(jī)病毒或木馬程序可分布到其他計(jì)算機(jī)�,或不知不覺(jué)地被大量計(jì)算機(jī)用戶下載或執(zhí)行��。此外��,例如企業(yè)等組織內(nèi)的計(jì)算機(jī)用戶可偶爾嘗試執(zhí)行未經(jīng)授權(quán)的網(wǎng)絡(luò)通信����,例如運(yùn)行文件共享程序或?qū)⑵髽I(yè)機(jī)密從企業(yè)網(wǎng)絡(luò)內(nèi)傳送到因特網(wǎng)����。
[0006]由于這些和其他原因�,許多企業(yè)、機(jī)構(gòu)以及甚至家庭用戶在他們的本地網(wǎng)絡(luò)與因特網(wǎng)之間使用網(wǎng)絡(luò)防火墻或相似的裝置�。防火墻典型地是計(jì)算機(jī)化的網(wǎng)絡(luò)裝置�,其檢查經(jīng)過(guò)它的網(wǎng)絡(luò)業(yè)務(wù)�、基于規(guī)則集容許期望的網(wǎng)絡(luò)業(yè)務(wù)通過(guò)���。
[0007]防火墻通過(guò)觀察通信分組(例如TCP/IP或其他網(wǎng)絡(luò)協(xié)議分組)并且檢查例如源和目標(biāo)網(wǎng)絡(luò)地址��、使用什么端口以及連接的狀態(tài)或歷史等特性來(lái)執(zhí)行它們的過(guò)濾功能���。一些防火墻還檢查行進(jìn)到特定應(yīng)用或從特定應(yīng)用行進(jìn)的分組�,或通過(guò)處理選擇的網(wǎng)絡(luò)請(qǐng)求并且在受保護(hù)用戶與外部聯(lián)網(wǎng)的計(jì)算機(jī)之間轉(zhuǎn)發(fā)選擇的請(qǐng)求而充當(dāng)代理裝置。
[0008]防火墻典型地通過(guò)監(jiān)測(cè)各種端口���、插座和協(xié)議之間的連接(例如通過(guò)檢查防火墻中的網(wǎng)絡(luò)業(yè)務(wù))來(lái)控制網(wǎng)絡(luò)信息的流���?���;诓遄?�、端口�����、應(yīng)用和其他信息的規(guī)則用于選擇性地過(guò)濾或傳遞數(shù)據(jù)���,以及記錄網(wǎng)絡(luò)活動(dòng)���。防火墻規(guī)則典型地配置成識(shí)別要被禁止或應(yīng)施加某些其他限制的某些類型的網(wǎng)絡(luò)業(yè)務(wù):例如阻斷已知用于文件共享程序的端口上的業(yè)務(wù)同時(shí)對(duì)在傳統(tǒng)的FTP端口上接收的任何事物進(jìn)行病毒掃描;阻斷某些應(yīng)用或用戶執(zhí)行一些任務(wù)��,同時(shí)允許其他人執(zhí)行這樣的任務(wù)�;以及基于例如對(duì)來(lái)自公共IP地址的不同端口的重復(fù)查詢等已知攻擊模式阻斷業(yè)務(wù)。
[0009]但是��,防火墻在跨多個(gè)計(jì)算機(jī)系統(tǒng)分布時(shí)管理這樣的連接的能力在連接的知識(shí)典型地僅存儲(chǔ)在處理連接的系統(tǒng)中的方面受到限制。因此期望群集中改進(jìn)的防火墻分布����。
【發(fā)明內(nèi)容】
[0010]本發(fā)明的各種示例實(shí)施例包括防火墻群集系統(tǒng),該防火墻群集系統(tǒng)包括第一節(jié)點(diǎn)�,其能操作成在具有三個(gè)或以上節(jié)點(diǎn)的防火墻群集的第一節(jié)點(diǎn)中接收連接、監(jiān)測(cè)接收的連接的分組并且確定與來(lái)自第一節(jié)點(diǎn)中的被監(jiān)測(cè)分組的連接關(guān)聯(lián)的應(yīng)用狀態(tài)數(shù)據(jù)以及與防火墻群集中的至少另一個(gè)節(jié)點(diǎn)共享應(yīng)用狀態(tài)數(shù)據(jù)���。另一個(gè)節(jié)點(diǎn)可以使用該應(yīng)用狀態(tài)數(shù)據(jù)來(lái)繼續(xù)處理連接(例如如果第一節(jié)點(diǎn)失效)����,或提供負(fù)載平衡��。
【附圖說(shuō)明】
[0011]圖1示出如可用于實(shí)踐本發(fā)明的一些實(shí)施例的示例網(wǎng)絡(luò)��,其包括防火墻����。
[0012]圖2示出如可用于實(shí)踐本發(fā)明的一些實(shí)施例的示例網(wǎng)絡(luò),其包括防火墻群集�����,該防火墻群集包括多個(gè)防火墻節(jié)點(diǎn)�����。
[0013]圖3是圖示與本發(fā)明的示例實(shí)施例一致的在防火墻群集中使用共享應(yīng)用狀態(tài)數(shù)據(jù)的方法的流程圖����。
【具體實(shí)施方式】
[0014]在本發(fā)明的示例實(shí)施例的下列詳細(xì)描述中,通過(guò)圖和說(shuō)明的方式參考特定示例���。充分詳細(xì)地描述這些示例以使本領(lǐng)域內(nèi)技術(shù)人員能夠?qū)嵺`本發(fā)明�����,并且起到說(shuō)明本發(fā)明可如何應(yīng)用于各種目的或?qū)嵤├淖饔?�。存在本發(fā)明的其他實(shí)施例并且它們?cè)诒景l(fā)明的范圍內(nèi)�,并且可進(jìn)行邏輯���、機(jī)械�����、電和其他改變而不偏離本發(fā)明的主旨或范圍��。然而���,本文描述的本發(fā)明的各種實(shí)施例的特征或限制對(duì)于它們所并入的示例實(shí)施例必不可少��,它們未整體上限制本發(fā)明����,并且對(duì)本發(fā)明�、它的要素、操作和應(yīng)用的任何引用未整體上限制本發(fā)明而僅起到限定這些示例實(shí)施例的作用�����。下列詳細(xì)描述因此未限制本發(fā)明的范圍����,其僅由附上的權(quán)利要求限定。
[0015]圖1圖示典型的計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境�,其包括例如在101處的因特網(wǎng)等公共網(wǎng)絡(luò)、專用網(wǎng)絡(luò)102和在103處示出的計(jì)算機(jī)網(wǎng)絡(luò)裝置���,其能操作成提供防火墻和入侵保護(hù)功能�����。在該特定示例中�,計(jì)算機(jī)網(wǎng)絡(luò)裝置103安置在因特網(wǎng)與專用網(wǎng)絡(luò)之間,并且調(diào)節(jié)專用網(wǎng)絡(luò)與公共網(wǎng)絡(luò)之間的業(yè)務(wù)流��。
[0016]網(wǎng)絡(luò)裝置103在各種實(shí)施例中是防火墻裝置����,和入侵保護(hù)裝置��,或起到兩者的作用�。網(wǎng)絡(luò)裝置內(nèi)的防火墻裝置或模塊提供各種網(wǎng)絡(luò)流控制功能,例如檢查網(wǎng)絡(luò)分組并且丟棄或拒絕滿足防火墻過(guò)濾規(guī)則集的網(wǎng)絡(luò)分組�。如之前描述的,防火墻典型地通過(guò)觀察通信分組(例如TCP/IP或其他網(wǎng)絡(luò)協(xié)議分組)并且檢查例如源和目標(biāo)網(wǎng)絡(luò)地址�����、使用什么端口以及連接的狀態(tài)或歷史等特性來(lái)執(zhí)行它們的過(guò)濾功能�。一些防火墻還檢查分組來(lái)確定什么應(yīng)用已建立連接,或通過(guò)處理選擇的網(wǎng)絡(luò)請(qǐng)求并且在受保護(hù)用戶與外部聯(lián)網(wǎng)的計(jì)算機(jī)之間轉(zhuǎn)發(fā)選擇的網(wǎng)絡(luò)請(qǐng)求而充當(dāng)代理裝置��。防火墻通常使用“簽名”或非期望業(yè)務(wù)的其他特性來(lái)檢測(cè)并且阻斷被認(rèn)為是有害或用別的方式而不期望的業(yè)務(wù)����。
[0017]防火墻典型地使用規(guī)則集來(lái)過(guò)濾業(yè)務(wù),使得網(wǎng)絡(luò)數(shù)據(jù)的任何特定要素發(fā)生了什么取決于規(guī)則集如何應(yīng)用于該特定數(shù)據(jù)�。例如���,阻斷到端口 6346的所有業(yè)務(wù)的規(guī)則將阻斷在受保護(hù)網(wǎng)絡(luò)內(nèi)的服務(wù)器上要到該端口去的入站業(yè)務(wù),但將不阻斷前往不同端口號(hào)上的相同服務(wù)器的其他數(shù)據(jù)���。相似地���,阻斷源于文件共享程序(例如Shareaza)的業(yè)務(wù)的規(guī)則將使用業(yè)務(wù)中的模式來(lái)阻斷端口 6346上的Shareaza業(yè)務(wù),但允許端口 6346上的其他業(yè)務(wù)。
[0018]但是�,在其中防火墻實(shí)現(xiàn)為跨多個(gè)計(jì)算機(jī)或節(jié)點(diǎn)分布的系統(tǒng)(例如在大的或復(fù)雜的系統(tǒng)中)的環(huán)境中,多個(gè)節(jié)點(diǎn)共享連接的能力受到關(guān)于連接的管理節(jié)點(diǎn)信息(例如插座信息����、應(yīng)用信息及關(guān)于連接的諸如此類)的限制。本發(fā)明的一些實(shí)施例因此提供用于與群集防火墻中的其他系統(tǒng)共享狀態(tài)信息(例如應(yīng)用類型或其他這樣的連接數(shù)據(jù))從而使防火墻群集中的多個(gè)節(jié)點(diǎn)能夠處理相同連接的機(jī)制����。這通過(guò)使連接責(zé)任在系統(tǒng)之間移動(dòng)而對(duì)群集提供負(fù)載平衡、通過(guò)使它的連接移到另一個(gè)機(jī)器來(lái)管理群集中的節(jié)點(diǎn)的失效以及執(zhí)行其他這樣的功能的能力�。
[0019]在一個(gè)這樣的示例中,防火墻或入侵保護(hù)系統(tǒng)實(shí)現(xiàn)為群集或連接的節(jié)點(diǎn)組����,其共享流過(guò)防火墻的處理業(yè)務(wù)。圖2示出如可用于實(shí)踐本發(fā)明的一些實(shí)施例的具有分布式防火墻的網(wǎng)絡(luò)�。在這里��,例如因特網(wǎng)201等網(wǎng)絡(luò)通過(guò)防火墻203耦合于內(nèi)部網(wǎng)絡(luò)202�����。防火墻203包括入站業(yè)務(wù)模塊204和出站業(yè)務(wù)模塊205����,其可以執(zhí)行例如負(fù)載平衡和其他防火墻管理功能等功能����。防火墻或入侵保護(hù)規(guī)則在防火墻節(jié)點(diǎn)206中應(yīng)用��,其通過(guò)網(wǎng)絡(luò)連接而連接到彼此(如示出的)����。
[0020]在這里,示出的五個(gè)節(jié)點(diǎn)每個(gè)包括運(yùn)行防火墻或有關(guān)軟件實(shí)例的獨(dú)立計(jì)算機(jī)系統(tǒng)�����,其能操作成對(duì)業(yè)務(wù)應(yīng)用規(guī)則以選擇性地容許或阻斷在因特網(wǎng)201與內(nèi)部網(wǎng)絡(luò)202之間流動(dòng)的業(yè)務(wù)���。在備選實(shí)施例中���,例如節(jié)點(diǎn)1�����、2和3等一些節(jié)點(diǎn)執(zhí)行防火墻應(yīng)用���,而例如4和5等其他節(jié)點(diǎn)執(zhí)行入侵保護(hù)系統(tǒng)(IPS)應(yīng)用。節(jié)點(diǎn)204和205負(fù)責(zé)執(zhí)行例如路由到防火墻節(jié)點(diǎn)206的負(fù)載平衡業(yè)務(wù)等功能,從而確保節(jié)點(diǎn)能夠在一起高效工作以比單個(gè)節(jié)點(diǎn)提供更聞的吞吐能力�。
[0021]一些防火墻實(shí)施例執(zhí)行復(fù)雜的連接識(shí)別功能,其超越端口�����、IP和其他這樣的規(guī)則對(duì)數(shù)據(jù)流的簡(jiǎn)單應(yīng)用���。例如�,一些防火墻示例包括應(yīng)用識(shí)別模塊����,其能操作成監(jiān)測(cè)新連接的前幾個(gè)分組,并且基于應(yīng)用通信簡(jiǎn)檔信息識(shí)別發(fā)起連接的應(yīng)用����。一旦應(yīng)用被確定���,應(yīng)用特定的規(guī)則可以應(yīng)用于連接,從而提供增強(qiáng)的能力來(lái)控制流過(guò)防火墻的數(shù)據(jù)����。
[0022]如果206處的防火墻節(jié)點(diǎn)失效,另一個(gè)節(jié)點(diǎn)可以簡(jiǎn)單地取得連接并且基于端口����、IP地址和其他這樣的特性來(lái)應(yīng)用相同的傳統(tǒng)防火墻規(guī)則。但是����,盡管圖2中206處的五個(gè)不同的防火墻節(jié)點(diǎn)可以基于可識(shí)別的特性(例如端口和IP地址)將相同的規(guī)則應(yīng)用于連接�,它們無(wú)法重新檢查已經(jīng)建立的鏈接的前幾個(gè)分組來(lái)將基于應(yīng)用的規(guī)則應(yīng)用于連接。
[0023]本發(fā)明的一些實(shí)施例因此提供對(duì)于跨防火墻群集中的節(jié)點(diǎn)的應(yīng)用狀態(tài)共享從而使防火墻能夠?qū)⒔?jīng)受基于應(yīng)用的規(guī)則的連接移到另一個(gè)節(jié)點(diǎn)(例如用于負(fù)載平衡)或從失效群集節(jié)點(diǎn)恢復(fù)的機(jī)制�。該狀態(tài)共享在一個(gè)實(shí)施例中經(jīng)由使防火墻群集中的節(jié)點(diǎn)彼此鏈接的網(wǎng)絡(luò)連接而處理,例如在圖2中示出的�����。因?yàn)閷?duì)于連接的會(huì)話信息(其包括應(yīng)用信息)跨節(jié)點(diǎn)共享����,用識(shí)別的應(yīng)用來(lái)接收建立的連接的節(jié)點(diǎn)可以應(yīng)用應(yīng)用特定的規(guī)則來(lái)允許或拒絕如由防火墻配置確定的業(yè)務(wù)��。
[0024]狀態(tài)共享在一些實(shí)施例中包括將狀態(tài)信息廣播到防火墻群集中的所有其他節(jié)點(diǎn)�����,使得其他節(jié)點(diǎn)每個(gè)了解其他節(jié)點(diǎn)上的連接的應(yīng)用狀態(tài)��。在備選實(shí)施例中�����,主節(jié)點(diǎn)接收應(yīng)用狀態(tài)數(shù)據(jù)并且存儲(chǔ)數(shù)據(jù)����,使得群集中的至少兩個(gè)節(jié)點(diǎn)具有對(duì)于連接(其中已經(jīng)識(shí)別應(yīng)用狀態(tài)數(shù)