專利名稱:基于交換的網(wǎng)絡(luò)安全的制作方法
技術(shù)領(lǐng)域:
本發(fā)明的實(shí)施例涉及網(wǎng)絡(luò)安全。更具體地,本發(fā)明涉及網(wǎng)絡(luò)端點(diǎn)安全。
背景技術(shù):
入侵(hacking)是通常用于描述由于任意數(shù)量的原因而侵犯計(jì)算機(jī)系 統(tǒng)的用戶行為的術(shù)語(yǔ)。侵入者入侵系統(tǒng)或系統(tǒng)網(wǎng)絡(luò)("系統(tǒng)")的目的經(jīng) 常是對(duì)系統(tǒng)發(fā)起某種形式的攻擊。這里使用的攻擊者指任何入侵、侵犯或 者侵入系統(tǒng)并且試圖損害系統(tǒng)的完整性或性能的用戶、主機(jī)系統(tǒng)或遠(yuǎn)程主 機(jī)。對(duì)攻擊者的檢測(cè)可能是非常復(fù)雜和困難的。
端點(diǎn)設(shè)備通常是不安全的,并且攻擊者對(duì)此是知道的。分散式攻擊使 得端點(diǎn)成為網(wǎng)絡(luò)的進(jìn)入點(diǎn)。最近引入的大量的蠕蟲、特洛伊(Trojan)和 間諜軟件證實(shí)是這種攻擊方法。網(wǎng)絡(luò)和安全管理器(administrator)受 MyDoom、 Netsky、 Sober、 Sobig、 Bagle、 Phatbot、 Witty、 Blaster和無(wú)數(shù) 其他病毒的變種所困擾。
對(duì)經(jīng)由端點(diǎn)設(shè)備的網(wǎng)絡(luò)攻擊的修復(fù)是困難和昂貴的。多數(shù)網(wǎng)絡(luò)采用某 種形式的網(wǎng)絡(luò)安全來(lái)幫助抵抗許多上面討論的攻擊。防病毒軟件和個(gè)人防 火墻在端點(diǎn)設(shè)備訪問(wèn)網(wǎng)絡(luò)資源之前不足以有效保護(hù)端點(diǎn)設(shè)備。此外,目前 的許多網(wǎng)絡(luò)安全系統(tǒng)需要與網(wǎng)絡(luò)一起"在線(inline)"以減輕威脅,因 而結(jié)果可能是網(wǎng)絡(luò)中的瓶頸或者故障點(diǎn)。
發(fā)明內(nèi)容
本發(fā)明的實(shí)施例允許管理員創(chuàng)建訪問(wèn)策略,這些訪問(wèn)策略限定了在端 點(diǎn)設(shè)備上允許哪些應(yīng)用和服務(wù)并且指定了當(dāng)端點(diǎn)設(shè)備不遵從時(shí)將采取的動(dòng) 作。當(dāng)設(shè)備連接到網(wǎng)絡(luò)時(shí),來(lái)自端點(diǎn)設(shè)備的流量被重定向到安全設(shè)備并且對(duì)端點(diǎn)設(shè)備的遵從進(jìn)行測(cè)試。基于該測(cè)試,端點(diǎn)設(shè)備被隔離或者訪問(wèn)策略 被自動(dòng)應(yīng)用以證明設(shè)備是遵從的。 一旦端點(diǎn)設(shè)備被證明是遵從的,來(lái)自該 端點(diǎn)設(shè)備的流量就不再被重定向到安全設(shè)備。不遵從的端點(diǎn)設(shè)備可通過(guò)所 安排的修復(fù)或者通過(guò)終端用戶的自修補(bǔ)來(lái)自動(dòng)修補(bǔ)(例如,通過(guò)與補(bǔ)丁管 理系統(tǒng)相集成)。
訪問(wèn)策略包括用于評(píng)估操作系統(tǒng)完整性的一個(gè)或多個(gè)測(cè)試,驗(yàn)證關(guān)鍵 修補(bǔ)程序和補(bǔ)丁已被安裝,驗(yàn)證防病毒和其他安全應(yīng)用是存在的且最新 的,并且檢測(cè)其他惡意軟件的存在。訪問(wèn)策略還對(duì)諸如文件共享、點(diǎn)對(duì)點(diǎn) 或間諜軟件之類的潛在危險(xiǎn)的應(yīng)用的出現(xiàn)進(jìn)行測(cè)試。管理員可以通過(guò)應(yīng)用 編程接口 (API)來(lái)創(chuàng)建定制的測(cè)試。
以下描述包括對(duì)本發(fā)明實(shí)施例的實(shí)現(xiàn)方式以舉例方式給出說(shuō)明的各附 圖的討論。附圖應(yīng)當(dāng)作為示例而非限制來(lái)理解。
圖1示出在實(shí)體上與網(wǎng)絡(luò)一起在線的安全設(shè)備。 圖2示出根據(jù)一些實(shí)施例的網(wǎng)絡(luò)的配置。
圖3示出位于交換機(jī)上的訪問(wèn)控制列表(ACL)。
圖4示出不同網(wǎng)絡(luò)子網(wǎng)上的各種主機(jī)。
圖5示出ACL表格的狀態(tài)。
圖6示出根據(jù)一些實(shí)施例的網(wǎng)絡(luò)的配置。
圖7示出具有安全管理器的網(wǎng)絡(luò)。
圖8示出根據(jù)一些實(shí)施例的模塊。
圖9示出根據(jù)一些實(shí)施例的處理。
具體實(shí)施例方式
這里使用的安全設(shè)備包括任何在網(wǎng)絡(luò)中實(shí)現(xiàn)、實(shí)施和/或供給端點(diǎn)安全 的設(shè)備。圖1示出在網(wǎng)絡(luò)(例如因特網(wǎng)、局域網(wǎng)(LAN)、廣域網(wǎng) (WAN)等)中使用的安全設(shè)備的一個(gè)示例。安全設(shè)備120位于網(wǎng)絡(luò)110 與連接到交換機(jī)130的端點(diǎn)140、 150和160之間。當(dāng)安全設(shè)備120的非受信側(cè)的任何端點(diǎn)試圖與交換機(jī)外部通信(例如,向網(wǎng)絡(luò)110或者向另一端 點(diǎn)發(fā)出流量)時(shí),安全設(shè)備120將阻擋該流量并向端點(diǎn)作出如下指示該 端點(diǎn)需要被測(cè)試。
一旦端點(diǎn)已被測(cè)試,就可以創(chuàng)建如下防火墻規(guī)則允許端點(diǎn)發(fā)送出站
(outbound)流量和接收要發(fā)送到主機(jī)的入站(inbound)流量。然而,如 圖l配置的安全設(shè)備120是單個(gè)故障點(diǎn)。因此,本發(fā)明的實(shí)施例被配置為 使得實(shí)現(xiàn)端點(diǎn)安全的安全設(shè)備是虛擬在線的,而非實(shí)體在線。換言之,流 量在為了達(dá)到目的地時(shí)不必經(jīng)過(guò)安全設(shè)備。
為了實(shí)現(xiàn)虛擬在線操作,訪問(wèn)控制列表(ACL)被添加到與各種端點(diǎn) 設(shè)備相關(guān)聯(lián)的VLAN或端口上。這種缺省ACL要求來(lái)自一個(gè)端點(diǎn)的所有 流量被重定向到安全設(shè)備。安全設(shè)備然后向端點(diǎn)作出如下指示該端點(diǎn)需 要被測(cè)試。例如,安全設(shè)備可能掌控對(duì)任何web會(huì)話的控制并提供向端點(diǎn) 用戶作出如下指示的網(wǎng)頁(yè)該端點(diǎn)需要被測(cè)試。 一旦端點(diǎn)已被成功測(cè)試
(即,端點(diǎn)遵從安全策略),安全設(shè)備就創(chuàng)建動(dòng)態(tài)ACL,該動(dòng)態(tài)ACL允 許遵從的端點(diǎn)向網(wǎng)絡(luò)發(fā)送出站流量。該動(dòng)態(tài)ACL被添加到交換機(jī)上的表 格中并且交換機(jī)隨后實(shí)施該規(guī)則。
在一些實(shí)施例中,端點(diǎn)被周期性地再測(cè)試以確保它們?nèi)匀蛔駨陌踩?略。如果端點(diǎn)變得不可用于測(cè)試或者未能通過(guò)測(cè)試,則安全設(shè)備從表格中 去除該動(dòng)態(tài)允許ACL規(guī)則,這有效地隔離了該端點(diǎn)。換言之,在沒(méi)有允 許ACL規(guī)則的情況下,該端點(diǎn)受將所有流量重定向到安全設(shè)備的缺省規(guī) 則控制。
圖2示出根據(jù)一些實(shí)施例的網(wǎng)絡(luò)配置。安全設(shè)備220連接到交換機(jī) 130,但并不實(shí)體在線于交換機(jī)130與網(wǎng)絡(luò)110之間。這種虛擬在線配置 使得安全設(shè)備220對(duì)于從交換機(jī)130去往網(wǎng)絡(luò)110的流量而言不是單個(gè)故 障點(diǎn)。當(dāng)端點(diǎn)140、 150和160中的任一個(gè)試圖連接到網(wǎng)絡(luò)110時(shí),安全設(shè) 備220使得來(lái)自各個(gè)端點(diǎn)中的任一個(gè)的流量被重定向到安全設(shè)備220的因 特網(wǎng)協(xié)議(IP)地址。在一些實(shí)施例中,安全設(shè)備220向交換機(jī)130發(fā)送 命令和/或策略以對(duì)交換機(jī)130上的任何出站網(wǎng)絡(luò)流量進(jìn)行重定向。在其他 實(shí)施例中,安全設(shè)備220可以僅使得交換機(jī)130上的出站流量的一部分被
7重定向。取決于安全策略,被重定向的流量(例如分組)可被安全設(shè)備
220忽略、丟棄或者轉(zhuǎn)發(fā)。
除了發(fā)起流量重定向之外,安全設(shè)備220發(fā)起對(duì)其流量被重定向的端 點(diǎn)的測(cè)試。在一些實(shí)施例中,安全設(shè)備220執(zhí)行測(cè)試。在其他實(shí)施例中, 安全設(shè)備220可以發(fā)送消息和/或命令來(lái)使另一個(gè)設(shè)備執(zhí)行測(cè)試。端點(diǎn)測(cè)試 可以通過(guò)以下處理而被發(fā)起掌控對(duì)任何端點(diǎn)web會(huì)話的控制并且將端點(diǎn) 定向到引導(dǎo)用戶通過(guò)測(cè)試的測(cè)試網(wǎng)頁(yè)。在一些實(shí)施例中,端點(diǎn)測(cè)試對(duì)于端 點(diǎn)用戶而言也可以是透明的。
圖3示出交換機(jī)130上的訪問(wèn)控制列表(ACL)表格310、 340、 350 和360。 ACL是附于客體的許可的列表。在基于ACL的安全模型中,當(dāng) 主體請(qǐng)求對(duì)客體執(zhí)行操作時(shí),系統(tǒng)首先檢查適用條目的列表,以決定是否 進(jìn)行該操作。在一些實(shí)施例中,安全設(shè)備220登入交換機(jī)130并且添加/更 新ACL。 ACL表格310、 340、 350和360可被添加到交換機(jī)的VLAN或 者交換機(jī)的端口上,并且可以包括一個(gè)或多個(gè)規(guī)則。最初,ACL表格 310、 340、 350和360包括缺省規(guī)則(或者缺省ACL),該缺省規(guī)則不管 源如何都使得所有出站流量被重定向到安全設(shè)備220。 一旦端點(diǎn)已被測(cè)試 并且發(fā)現(xiàn)其遵從安全策略,用于該端點(diǎn)的允許規(guī)則(permit rule)就被添 加到ACL。例如,ACL表格340可能最初包括缺省規(guī)則,該缺省規(guī)則使 得來(lái)自端點(diǎn)140的所有流量都被重定向到安全設(shè)備220。然而, 一旦端點(diǎn) 140已被測(cè)試并且發(fā)現(xiàn)其遵從安全策略,則安全設(shè)備220向ACL表格340 添加允許規(guī)則(或者允許ACL),該允許規(guī)則允許來(lái)自端點(diǎn)140的流量在 不被重定向的情況下傳播到網(wǎng)絡(luò)110。
ACL中的每個(gè)條目或者規(guī)則通常包括主體和動(dòng)作。例如, 一個(gè)規(guī)則可 以指定特定端點(diǎn)(例如,EP 140)或VLAN和動(dòng)作(例如,重定向、阻 擋、允許流量等等)??梢曰贗P地址、媒介訪問(wèn)控制(MAC)地址或 者其他類型的地址或標(biāo)識(shí)符而在ACL中識(shí)別端點(diǎn)。
圖4示出不同子網(wǎng)上的網(wǎng)絡(luò)端點(diǎn)。端點(diǎn)140和150在子網(wǎng)490上,而 端點(diǎn)160在子網(wǎng)460上。在一些實(shí)施例中,安全設(shè)備220也可位于分開的 子網(wǎng)(例如,子網(wǎng)420)上。在端點(diǎn)140和150在同一子網(wǎng)上的情況下,子網(wǎng)490僅需要一個(gè)ACL。類似地,單個(gè)ACL可用于同一 VLAN上的所有端點(diǎn)。
圖5示出正被添加到ACL表格(例如,圖3的ACL表格310、 340、350或360)的規(guī)則的一個(gè)示例。當(dāng)ACL被添加到交換機(jī)的VLAN或者端口上時(shí),該ACL是缺省規(guī)則。缺省規(guī)則可以是依特定端點(diǎn)而定的,或者可以是適用于多個(gè)端點(diǎn)(例如,連接到交換機(jī)的所有端點(diǎn)或者VLAN上的所有端點(diǎn)等)的一般規(guī)則。因此,如果缺省規(guī)則是表格中僅有的ACL,則該VLAN或者端口上的所有流量將由該缺省規(guī)則控制(例如,被重定向、被阻擋、被轉(zhuǎn)發(fā)等等)。
當(dāng)測(cè)試了端點(diǎn)并且發(fā)現(xiàn)其遵從安全策略時(shí),為每個(gè)遵從的端點(diǎn)生成允許規(guī)則并且將允許規(guī)則添加到適當(dāng)?shù)腁CL表格。參考圖4,如果端點(diǎn)140和150是遵從的,則為每個(gè)端點(diǎn)向表格添加允許規(guī)則。ACL表格遵循后進(jìn)先出(LIFO)處理順序。換言之,最近添加的規(guī)則將被首先應(yīng)用于端點(diǎn)。ACL表格在對(duì)表格添加和去除規(guī)則方面不是一定遵循LIFO順序。在缺省規(guī)則是添加到ACL的第一個(gè)規(guī)則的情況下,僅當(dāng)表格中沒(méi)有用于一端點(diǎn)的允許規(guī)則時(shí),缺省規(guī)則才將被應(yīng)用于該端點(diǎn)。因此,如果存在用于一端點(diǎn)的允許規(guī)則,則將由于該允許規(guī)則而允許該端點(diǎn)所發(fā)送的任何出站流量去往網(wǎng)絡(luò)IIO。
ACL表格中的允許規(guī)則的順序是不重要的;如果在表格中存在用于給定端點(diǎn)的允許規(guī)則,則該允許規(guī)則將在缺省規(guī)則之前被處理。因此,只要存在用于一端點(diǎn)的允許規(guī)則,流量就不會(huì)被重定向。
如果端點(diǎn)(例如,端點(diǎn)140)變得不可用于安全測(cè)試或者未能通過(guò)安全測(cè)試,則安全設(shè)備220使得用于端點(diǎn)140的允許規(guī)則被從ACL表格去除。如圖5所示,當(dāng)用于端點(diǎn)140的允許規(guī)則被去除時(shí),用于端點(diǎn)150的允許規(guī)則保持在ACL表格中。因此,經(jīng)仍然允許從端點(diǎn)150發(fā)送的流量達(dá)到網(wǎng)絡(luò)。
圖6示出根據(jù)一些實(shí)施例的配置,其中安全設(shè)備620不是直接連接到交換機(jī)130。安全設(shè)備620經(jīng)由通過(guò)網(wǎng)絡(luò)110的安全隧道向交換機(jī)130傳送ACL、規(guī)則并且以其他方式管理端點(diǎn)140、 150和160的安全。可以通過(guò)對(duì)數(shù)據(jù)(例如,傳輸控制協(xié)議(TCP) /IP數(shù)據(jù)、用戶數(shù)據(jù)報(bào)協(xié)議(UDP)數(shù)據(jù)等)進(jìn)行加密、對(duì)端口進(jìn)行掩蔽等來(lái)建立安全隧道??梢允?br>
用諸如安全外殼(SSH) 、 IP安全(IPsec)、點(diǎn)對(duì)點(diǎn)協(xié)議(PTPP)等在安全設(shè)備620與交換機(jī)130之間建立安全隧道。
圖7示出具有連接到安全設(shè)備720的安全管理器722的網(wǎng)絡(luò)配置。在一些實(shí)施例中,安全設(shè)備720將安全策略、ACL等傳送到交換機(jī)130,并且應(yīng)對(duì)與重定向和/或允許來(lái)自端點(diǎn)140、 150和160的流量相關(guān)聯(lián)的其他功能。與其他安全軟件和裝置結(jié)合使用的安全管理器722輔助網(wǎng)絡(luò)上的所有安全設(shè)備之間的協(xié)調(diào),并且智能地作出關(guān)于采取動(dòng)作的最佳方式的決定。例如,安全管理器722可以確定最佳動(dòng)作過(guò)程是在交換機(jī)上添加ACL或者在無(wú)線接入點(diǎn)上添加黑洞條目(blackhole entry),或者使用防火墻來(lái)為特定端點(diǎn)創(chuàng)建拒絕規(guī)則(deny rule)。安全管理器722可以通知安全設(shè)備720是否不同的安全設(shè)備檢測(cè)到來(lái)自特定端點(diǎn)的侵入、安全異常等?;谠撔畔?,安全設(shè)備720可以對(duì)可疑端點(diǎn)進(jìn)行隔離和再測(cè)試。
安全管理器722可以是自治設(shè)備或者可以由用戶(例如,系統(tǒng)管理員)控制。在一些實(shí)施例中,系統(tǒng)管理員可以通過(guò)安全管理器722來(lái)手動(dòng)更新安全設(shè)備720上的安全策略。在其他實(shí)施例中,系統(tǒng)管理員可以通過(guò)直接訪問(wèn)安全設(shè)備720來(lái)修改安全策略。
在一些實(shí)施例中,可以使用可擴(kuò)展標(biāo)記語(yǔ)言(XML)應(yīng)用編程接口(API)來(lái)生成XML命令,該XML命令示出交換機(jī)(或者網(wǎng)絡(luò))上的所有VLAN、將VLAN解析成用戶可以理解的格式并且為每個(gè)VLAN創(chuàng)建選擇框。用戶然后可以登入安全設(shè)備或者安全管理器以選擇VLAN和定制各種安全策略、測(cè)試等。
圖8示出根據(jù)一些實(shí)施例的交換機(jī)上的各種模塊。重定向模塊820控制并管理對(duì)來(lái)自各種端點(diǎn)的流量的重定向。測(cè)試模塊830發(fā)起并管理對(duì)不知道是否遵從一個(gè)或多個(gè)安全策略的端點(diǎn)的測(cè)試。在一些實(shí)施例中,測(cè)試模塊830可以執(zhí)行測(cè)試。策略生成器840生成訪問(wèn)策略,以允許遵從的端點(diǎn)訪問(wèn)網(wǎng)絡(luò)而不必對(duì)來(lái)自(一個(gè)或多個(gè))端點(diǎn)的流量進(jìn)行重定向。如圖所示,模塊820、 830和840都可以位于交換機(jī)810上。模塊820、 830和840可被實(shí)現(xiàn)為專用集成電路(ASIC)、固件、插入交換機(jī)810中的可插式卡,或者可被結(jié)合到插入交換機(jī)810的刀片式CPU中。
在其他實(shí)施例中,模塊820、 830和840可以分開或者一起位于系統(tǒng)的各種設(shè)備和/或組件上。例如,重定向模塊820和策略生成器840可位于交換機(jī)820上,而測(cè)試模塊830位于分開的設(shè)備(例如,服務(wù)器等)上。本領(lǐng)域技術(shù)人員將認(rèn)識(shí)到可以使用其他組合和配置。
圖9示出可在一些實(shí)施例中使用的處理。從端點(diǎn)發(fā)送的流量被重定向到安全設(shè)備或模塊(910)。在(例如通過(guò)流量的源地址)識(shí)別了該端點(diǎn)之后,測(cè)試該端點(diǎn)以確定端點(diǎn)是否遵從安全策略(920)。如果端點(diǎn)遵從安全策略,則生成訪問(wèn)策略以允許該端點(diǎn)訪問(wèn)網(wǎng)絡(luò)(930)。如果端點(diǎn)未能通過(guò)測(cè)試,則該端點(diǎn)被隔離(940),直到其(例如通過(guò)更新防病毒軟件、安裝安全補(bǔ)丁等)變得遵從安全策略為止。
這里描述的每個(gè)組件可以是用于執(zhí)行所述功能的手段。這里描述的每個(gè)組件包括軟件、硬件或者它們的組合。這些組件可被實(shí)現(xiàn)為軟件模塊、硬件模塊、專用硬件(例如特定于應(yīng)用的硬件)、嵌入式控制器等等。軟件內(nèi)容(例如數(shù)據(jù)、指令、配置)可經(jīng)由包括機(jī)器可讀介質(zhì)在內(nèi)的制造物品來(lái)提供,該制造物品提供代表可被執(zhí)行的指令的內(nèi)容。該內(nèi)容可使得機(jī)器執(zhí)行這里描述的各種功能/操作。
機(jī)器可讀介質(zhì)包括任何以機(jī)器(例如計(jì)算設(shè)備、電子系統(tǒng)等)可訪問(wèn)的形式提供(例如存儲(chǔ)和/或傳輸)信息的機(jī)制,例如可記錄/不可記錄介質(zhì)(例如只讀存儲(chǔ)器(ROM)、隨機(jī)存取存儲(chǔ)器(RAM)、磁盤存儲(chǔ)介質(zhì)、光學(xué)存儲(chǔ)介質(zhì)、閃存裝置等)。術(shù)語(yǔ)"機(jī)器可讀介質(zhì)"和"計(jì)算機(jī)可讀介質(zhì)"在這里被可互換地使用。機(jī)器可讀介質(zhì)還可以包括可以從其下載內(nèi)容的存儲(chǔ)裝置或數(shù)據(jù)庫(kù)。機(jī)器可讀介質(zhì)還可以包括在銷售或交付時(shí)存儲(chǔ)了內(nèi)容的裝置或產(chǎn)品。因此,交付具有所存儲(chǔ)的內(nèi)容的裝置或者通過(guò)通信介質(zhì)提供供下載的內(nèi)容可以理解為提供具有這里描述的這種內(nèi)容的制造物
P
叫o
如這里所使用的,對(duì)一個(gè)或多個(gè)"實(shí)施例"的提及將被理解為描述包括在本發(fā)明的至少一種實(shí)現(xiàn)方式中的特定特征、結(jié)構(gòu)或特性。因此,這里
ii出現(xiàn)的諸如"在一個(gè)實(shí)施例中"或者"在替代實(shí)施例中"之類的短語(yǔ)描述本發(fā)明的各種實(shí)施例和實(shí)現(xiàn)方式,不一定都指同一實(shí)施例。然而,它們也不一定是相互排斥的。
除了這里所描述的內(nèi)容之外,可對(duì)所公開的本發(fā)明的實(shí)施例和實(shí)現(xiàn)方式進(jìn)行各種修改而不脫離它們的范圍。因此,這里的說(shuō)明和示例應(yīng)被解釋為說(shuō)明性的而非限制性的。本發(fā)明的范圍應(yīng)當(dāng)僅參考所附權(quán)利要求來(lái)確定。
權(quán)利要求
1.一種方法,包括對(duì)從網(wǎng)絡(luò)端點(diǎn)發(fā)送的網(wǎng)絡(luò)流量進(jìn)行重定向;測(cè)試所述網(wǎng)絡(luò)端點(diǎn)是否遵從安全策略;以及如果所述網(wǎng)絡(luò)端點(diǎn)遵從所述安全策略,則生成允許所述網(wǎng)絡(luò)端點(diǎn)在無(wú)需流量重定向的情況下訪問(wèn)網(wǎng)絡(luò)的訪問(wèn)策略。
2. 如權(quán)利要求1所述的方法,其中,對(duì)從網(wǎng)絡(luò)端點(diǎn)發(fā)送的流量進(jìn)行重 定向的步驟包括根據(jù)安裝在交換機(jī)上的缺省訪問(wèn)控制列表(ACL)規(guī)則 對(duì)從所述網(wǎng)絡(luò)端點(diǎn)發(fā)送的網(wǎng)絡(luò)流量進(jìn)行重定向。
3. 如權(quán)利要求2所述的方法,其中,生成訪問(wèn)策略的步驟包括生成允許規(guī)則并將該允許規(guī)則添加到所述交換機(jī)上的ACL中。
4. 如權(quán)利要求1所述的方法,其中,對(duì)從網(wǎng)絡(luò)端點(diǎn)發(fā)送的流量進(jìn)行重定向的步驟包括阻擋來(lái)自所述網(wǎng)絡(luò)端點(diǎn)的出站流量;以及 將所述網(wǎng)絡(luò)節(jié)點(diǎn)引導(dǎo)至測(cè)試網(wǎng)頁(yè)。
5. 如權(quán)利要求1所述的方法,其中,對(duì)從網(wǎng)絡(luò)端點(diǎn)發(fā)送的流量進(jìn)行重 定向的步驟包括-接收用戶選擇;以及至少部分地基于所述用戶選擇來(lái)對(duì)網(wǎng)絡(luò)流量進(jìn)行重定向。
6. 如權(quán)利要求5所述的方法,其中,接收用戶選擇的步驟包括通過(guò) 可擴(kuò)展標(biāo)記語(yǔ)言(XML)來(lái)接收所述用戶選擇。
7. 如權(quán)利要求5所述的方法,其中,所述用戶選擇包括虛擬局域網(wǎng) (VLAN)選擇。
8. 如權(quán)利要求1所述的方法,其中,根據(jù)所述規(guī)則對(duì)從網(wǎng)絡(luò)端點(diǎn)發(fā)送 的網(wǎng)絡(luò)流量進(jìn)行重定向的步驟包括對(duì)從所述網(wǎng)絡(luò)端點(diǎn)發(fā)送的所有網(wǎng)絡(luò)流 量進(jìn)行重定向。
9. 一種方法,包括為訪問(wèn)控制列表(ACL)生成對(duì)屬于網(wǎng)絡(luò)的交換機(jī)上的出站流量進(jìn)行重定向的缺省規(guī)則;對(duì)連接到所述交換機(jī)的網(wǎng)絡(luò)端點(diǎn)執(zhí)行安全測(cè)試;如果所述端點(diǎn)通過(guò)所述安全測(cè)試,則向所述ACL添加用于所述端點(diǎn) 的允許規(guī)則;以及如果所述端點(diǎn)未能通過(guò)所述安全測(cè)試,則隔離來(lái)自所述端點(diǎn)的出站流
10. 如權(quán)利要求9所述的方法,還包括生成對(duì)所述交換機(jī)上來(lái)自所 述網(wǎng)絡(luò)的入站流量進(jìn)行重定向的另 一重定向規(guī)則。
11. 如權(quán)利要求9所述的方法,其中,在所述交換機(jī)處向所述ACL添 加允許規(guī)則的步驟包括將所述ACL添加到所述交換機(jī)的VLAN和端口之一上。
12. —種包括計(jì)算機(jī)可讀介質(zhì)的制造物品,該計(jì)算機(jī)可讀介質(zhì)上存儲(chǔ)有內(nèi)容以提供使得電子設(shè)備執(zhí)行包括如下操作在內(nèi)的操作的指令 對(duì)從網(wǎng)絡(luò)端點(diǎn)發(fā)送的網(wǎng)絡(luò)流量進(jìn)行重定向; 測(cè)試所述網(wǎng)絡(luò)端點(diǎn)是否遵從安全策略;以及如果所述網(wǎng)絡(luò)端點(diǎn)遵從所述安全策略,則生成允許所述網(wǎng)絡(luò)端點(diǎn)在無(wú) 需流量重定向的情況下訪問(wèn)網(wǎng)絡(luò)的訪問(wèn)策略。
13. 如權(quán)利要求12所述的制造物品,其中,對(duì)從網(wǎng)絡(luò)端點(diǎn)發(fā)送的流量 進(jìn)行重定向的操作包括根據(jù)安裝在交換機(jī)上的缺省訪問(wèn)控制列表(ACL)規(guī)則對(duì)從所述網(wǎng)絡(luò)端點(diǎn)發(fā)送的網(wǎng)絡(luò)流量進(jìn)行重定向。
14. 如權(quán)利要求13所述的制造物品,其中,生成訪問(wèn)策略的步驟包 括生成允許規(guī)則并將該允許規(guī)則添加到所述交換機(jī)上的ACL中。
15. 如權(quán)利要求14所述的制造物品,還包括使得所述電子設(shè)備執(zhí)行包 括以下操作在內(nèi)的操作的內(nèi)容阻擋來(lái)自所述網(wǎng)絡(luò)端點(diǎn)的出站流量;以及 將所述網(wǎng)絡(luò)節(jié)點(diǎn)弓I導(dǎo)至測(cè)試網(wǎng)頁(yè)。
16. 如權(quán)利要求12所述的制造物品,其中,對(duì)從網(wǎng)絡(luò)端點(diǎn)發(fā)送的流量 進(jìn)行重定向的操作包括接收用戶選擇;以及至少部分地基于所述用戶選擇來(lái)對(duì)網(wǎng)絡(luò)流量進(jìn)行重定向。
17. 如權(quán)利要求16所述的方法,其中,所述用戶選擇包括虛擬局域網(wǎng)(VLAN)選擇。
18. —種網(wǎng)絡(luò)安全系統(tǒng),包括重定向模塊,用于對(duì)從網(wǎng)絡(luò)端點(diǎn)發(fā)送的網(wǎng)絡(luò)流量進(jìn)行重定向;測(cè)試模塊,用于測(cè)試所述網(wǎng)絡(luò)端點(diǎn)是否遵從安全策略;以及 策略生成器,用于在所述網(wǎng)絡(luò)端點(diǎn)遵從所述安全策略的情況下生成允 許所述網(wǎng)絡(luò)端點(diǎn)在無(wú)需流量重定向的情況下訪問(wèn)網(wǎng)絡(luò)的訪問(wèn)策略。
19. 如權(quán)利要求18所述的系統(tǒng),其中,所述重定向模塊、所述測(cè)試模 塊和所述策略生成器位于一個(gè)或多個(gè)網(wǎng)絡(luò)服務(wù)器上。
20. 如權(quán)利要求18所述的系統(tǒng),其中,所述重定向模塊和所述策略生 成器位于連接到所述網(wǎng)絡(luò)端點(diǎn)的交換機(jī)上。
21. 如權(quán)利要求20所述的系統(tǒng),其中,所述測(cè)試模塊也位于所述交換 機(jī)上。
22. 如權(quán)利要求18所述的系統(tǒng),其中,所述重定向模塊包括通信代 理,該通信代理用于在交換機(jī)上添加缺省訪問(wèn)控制列表(ACL)規(guī)則以對(duì) 從所述端點(diǎn)發(fā)送的網(wǎng)絡(luò)流量進(jìn)行重定向。
23. 如權(quán)利要求18所述的系統(tǒng),其中,所述訪問(wèn)策略包括允許所述網(wǎng) 絡(luò)端點(diǎn)在無(wú)需流量重定向的情況下訪問(wèn)所述網(wǎng)絡(luò)的允許ACL規(guī)則。
24. 如權(quán)利要求23所述的系統(tǒng),其中,所述策略生成器包括通信代 理,該通信代理用于向所述交換機(jī)添加所述允許ACL規(guī)則。
全文摘要
對(duì)從網(wǎng)絡(luò)端點(diǎn)發(fā)送的流量進(jìn)行重定向并且對(duì)網(wǎng)絡(luò)端點(diǎn)是否遵從安全策略進(jìn)行測(cè)試。如果網(wǎng)絡(luò)端點(diǎn)遵從安全策略,則生成訪問(wèn)策略以允許網(wǎng)絡(luò)端點(diǎn)在無(wú)需任何流量重定向的情況下訪問(wèn)網(wǎng)絡(luò)。
文檔編號(hào)H04L29/06GK101690104SQ200880023007
公開日2010年3月31日 申請(qǐng)日期2008年6月25日 優(yōu)先權(quán)日2007年6月30日
發(fā)明者斯科特·M·哈伯德 申請(qǐng)人:極進(jìn)網(wǎng)絡(luò)有限公司