專利名稱:用于在網(wǎng)絡(luò)中實施安全策略的方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明通常涉及計算機(jī)網(wǎng)絡(luò)����,具體涉及一種在網(wǎng)絡(luò)基礎(chǔ)構(gòu)造中實施網(wǎng)絡(luò)安全策略控制的方法和裝置。
背景技術(shù):
企業(yè)數(shù)據(jù)網(wǎng)絡(luò)容易遭到大量的網(wǎng)絡(luò)攻擊�。使用了網(wǎng)絡(luò)防火墻或類似的方法作為一種通用的商業(yè)慣例來減輕這些攻擊的危險程度。這些安全措施一般考慮到在公司內(nèi)部或在一個已知的多個主機(jī)裝置的集合(collection)內(nèi)的自由連接��,但它們限制了來自公用網(wǎng)絡(luò)和其它機(jī)構(gòu)或未知裝置的訪問。例如���,公司允許雇員訪問在公用因特網(wǎng)上的任何網(wǎng)站����,但禁止未知用戶從公用網(wǎng)絡(luò)訪問機(jī)密的內(nèi)部網(wǎng)站��。
一種執(zhí)行網(wǎng)絡(luò)防火墻功能的通用已知裝置是路由器���,路由器是一種確定一信息包要傳送到的下一個網(wǎng)絡(luò)點的裝置���。在該信息包轉(zhuǎn)發(fā)到另一個裝置之前,路由器可以使用一個提供條件或規(guī)則的訪問列表����,以確定該信息包是否具有訪問特定目的地的通路�。另外,這些裝置可以提供例如用戶身份驗證的功能�。并且,應(yīng)用代理�,例如,Socks和超高速緩存(caching)網(wǎng)代理�����,允許為網(wǎng)絡(luò)安全執(zhí)行特定的應(yīng)用,并且還可以使用用戶身份驗證�。公司一般具有描述允許通過防火墻裝置的訪問類型的網(wǎng)絡(luò)安全策略。通過上述網(wǎng)絡(luò)防火墻裝置的組合的應(yīng)用而獲得這種策略�����。
US專利申請US2001/0042213���、US2002/0099823��、US2002/006630和US2001/0037384的內(nèi)容在此全文參考引用��,它們的申請人描述了一個分區(qū)網(wǎng)絡(luò)的不同方面����,其中通過使用復(fù)制的或至少匹配的多組訪問控制列表配置多個網(wǎng)絡(luò)控制點��,可以實施一個安全策略以提供一組高配置的安全域��。這種類型的網(wǎng)絡(luò)在這里稱為實現(xiàn)一個網(wǎng)絡(luò)磁泡結(jié)構(gòu)(Network Bubble Architecture)��。
在由這些專利申請設(shè)想的多個實施例中�����,使用源和目的IP地址來允許或限制通過這些網(wǎng)絡(luò)控制點的通信。每個磁泡(bubble)分區(qū)包括多個訪問列表�����,為其中的主機(jī)描述入站規(guī)則和出站規(guī)則����。一個磁泡登記管理到該網(wǎng)絡(luò)控制點的網(wǎng)絡(luò)控制點訪問列表的內(nèi)容和分布。
雖然這種方法通常是令人滿意的���,但是由于可以由一組不相交的IP地址子區(qū)域限定這些磁泡分區(qū)����,一組不相交的IP地址子區(qū)域每一個必須分別指定在這些訪問控制列表中��,所以在具有預(yù)先存在的IP尋址方案的現(xiàn)有網(wǎng)絡(luò)中執(zhí)行這種方法�����,實際上能夠?qū)е戮薮蟮脑L問控制列表的規(guī)模��。另一方面����,修改IP地址方案使得相鄰的地址范圍以一種較簡單的方式映射到磁泡分區(qū),這可能是一件費錢的工作�。
本發(fā)明涉及減輕與此前提出的實現(xiàn)網(wǎng)絡(luò)磁泡結(jié)構(gòu)的方法的相關(guān)聯(lián)的上述缺點,并且涉及在具有預(yù)先存在的IP尋址方案的基礎(chǔ)構(gòu)造中使其容易執(zhí)行�。
發(fā)明內(nèi)容
簡而言之,為了達(dá)到這種目的�����,本發(fā)明提供了一種配置成攜帶數(shù)據(jù)的安全網(wǎng)絡(luò)����,該安全網(wǎng)絡(luò)包括多個網(wǎng)絡(luò)磁泡和多個網(wǎng)絡(luò)控制點,其中每個網(wǎng)絡(luò)磁泡包括一個或多個磁泡分區(qū)�����,每個磁泡分區(qū)包括至少一個配置成傳輸和接收數(shù)據(jù)的網(wǎng)絡(luò)裝置��,并且所有的對應(yīng)于多個網(wǎng)絡(luò)磁泡中的至少一個的網(wǎng)絡(luò)裝置具有一個公用的網(wǎng)絡(luò)安全策略���。至少一個網(wǎng)絡(luò)控制點被提供一個標(biāo)記模塊��,標(biāo)記模塊設(shè)置成使用對應(yīng)于數(shù)據(jù)包從中產(chǎn)生的網(wǎng)絡(luò)磁泡的一個標(biāo)記來標(biāo)記輸出的數(shù)據(jù)包��,這能夠用于實施至少一個網(wǎng)絡(luò)磁泡的網(wǎng)絡(luò)安全策略��。
另一個網(wǎng)絡(luò)控制點裝置隨后能夠設(shè)置為基于在所述輸入數(shù)據(jù)包內(nèi)的標(biāo)記值�����,將至少一個網(wǎng)絡(luò)磁泡的網(wǎng)絡(luò)安全策略應(yīng)用到所述輸入的數(shù)據(jù)包�����。
在優(yōu)選實施例中�����,根據(jù)由網(wǎng)絡(luò)控制點裝置的哪一個接口接收輸出數(shù)據(jù)包來確定將應(yīng)用到一個數(shù)據(jù)包的標(biāo)記�,網(wǎng)絡(luò)控制點裝置例如為路由器。通過一個可信主干�,多個網(wǎng)絡(luò)控制點能夠相互耦合,確信可信主干不允許在傳輸(transit)過程中修改應(yīng)用到數(shù)據(jù)包的標(biāo)記�。
例如,將標(biāo)記應(yīng)用到一個IPV4數(shù)據(jù)包的ToS字節(jié)�,或應(yīng)用到一個IPV6數(shù)據(jù)包的流標(biāo)記。
在另一方面�,本發(fā)明提供一種操作多個網(wǎng)絡(luò)控制點以保護(hù)網(wǎng)絡(luò)的方法����,所述網(wǎng)絡(luò)具有多個磁泡��,其中每個磁泡具有多個磁泡分區(qū)和多個配置成連接多個磁泡分區(qū)的網(wǎng)絡(luò)控制點��,該方法包括使用對應(yīng)于數(shù)據(jù)包從中產(chǎn)生的網(wǎng)絡(luò)磁泡的一個標(biāo)記來標(biāo)記輸出數(shù)據(jù)包�����;和基于在輸入數(shù)據(jù)包中的標(biāo)記值���,為該輸入數(shù)據(jù)包提供安全策略。
在又一方面����,提供一個網(wǎng)絡(luò)控制點裝置,例如一個路由器�,用在配置成攜帶數(shù)據(jù)的安全網(wǎng)絡(luò)中,該網(wǎng)絡(luò)包括多個網(wǎng)絡(luò)磁泡和多個網(wǎng)絡(luò)控制點�,網(wǎng)絡(luò)控制點裝置包括一個標(biāo)記模塊,標(biāo)記模塊設(shè)置成使用對應(yīng)于數(shù)據(jù)包從中產(chǎn)生的網(wǎng)絡(luò)磁泡的一個標(biāo)記來標(biāo)記輸出的數(shù)據(jù)包��,這能夠用于實施網(wǎng)絡(luò)磁泡的網(wǎng)絡(luò)安全策略�,并且一個標(biāo)記表將一個標(biāo)記鏈接到每個磁泡。
現(xiàn)在將參照附圖描述本發(fā)明的一個實施例,其中圖1是一個說明網(wǎng)絡(luò)結(jié)構(gòu)的示意圖�����;圖2是一個說明網(wǎng)絡(luò)控制點的示意圖��;圖3是一個對應(yīng)于網(wǎng)際協(xié)議版本4的網(wǎng)絡(luò)數(shù)據(jù)包的部分框圖�����;圖4是一個說明網(wǎng)絡(luò)控制點裝置的部分示意視圖�����。
本發(fā)明實施例描述圖1是一個說明一種簡單網(wǎng)絡(luò)磁泡結(jié)構(gòu)的示意圖�����。概括來說����,在這樣結(jié)構(gòu)中,例如磁泡A��、B��、C的網(wǎng)絡(luò)磁泡和虛擬主干(virtualbackbone)110表示了隔開的、地理上分布的網(wǎng)絡(luò)環(huán)境����。每個磁泡由一個或多個網(wǎng)絡(luò)組成�,這些網(wǎng)絡(luò)將稱為磁泡分區(qū)120a、120b��、130a�、130b、130c�、140a,每一個磁泡分區(qū)位于一個單獨的物理位置�����,并且每一個磁泡分區(qū)具有到可信(trusted)主干(TB)110(它本身是一個磁泡)的一個物理連接��,相互連接這些磁泡分區(qū)�����。在圖1的示意性例子中��,所示的磁泡A由在地理上分離的區(qū)域(campus)100C和100B上的磁泡分區(qū)120a和120b組成���;磁泡B由穿過區(qū)域(campuses)100A���、100B和100C分布的磁泡分區(qū)130a���、130b和130c組成,并且磁泡C僅由在區(qū)域(campus)100A上的磁泡分區(qū)140a組成�。
每個磁泡具有與其它磁泡隔開的邊界。由網(wǎng)絡(luò)控制點150A���、150B和150C實現(xiàn)這些邊界��,每個磁泡分區(qū)通過一個接口�����,例如接口180�����,連接到網(wǎng)絡(luò)控制點�。網(wǎng)絡(luò)控制點通過過濾流入磁泡分區(qū)的網(wǎng)絡(luò)通信量和標(biāo)記流出磁泡分區(qū)的通信量���,充當(dāng)安全策略執(zhí)行點����,以下述方式,以致于實現(xiàn)穿過每個磁泡的一種統(tǒng)一的安全策略����,該安全策略包括每個磁泡分區(qū)所共有的一組規(guī)則。
圖2是一個詳細(xì)示出NCP 150A的示意圖�����。
每個網(wǎng)絡(luò)控制點���,例如NCP 150A包括一個或多個網(wǎng)絡(luò)控制點裝置,用于將多個磁泡分區(qū)的一個或多個連接到TB110����。在圖2中僅以示例為目的示出的NCP 150A包括三個網(wǎng)絡(luò)控制點裝置200a、200b和200c�����。
根據(jù)網(wǎng)絡(luò)的類型�����、路由和安全策略需求,網(wǎng)絡(luò)控制點裝置可以是具有訪問列表的路由器��、專用網(wǎng)絡(luò)防火墻裝置��、或能夠?qū)嵤┰吹耐暾?�、網(wǎng)絡(luò)安全策略和發(fā)送功能的任何適合的裝置�。執(zhí)行這些功能的裝置的組合也可以用于獲得期望的功能性。以舉例的方式���,在網(wǎng)際協(xié)議(IP)網(wǎng)絡(luò)的情況下�����,網(wǎng)絡(luò)控制點裝置可以是一個路由器��、或是一個專用網(wǎng)絡(luò)防火墻裝置�����。在無線網(wǎng)絡(luò)的情況下�����,網(wǎng)絡(luò)控制點裝置能夠包括一個無線訪問點�,無線訪問點連接到一個裝置來發(fā)送數(shù)據(jù)。網(wǎng)絡(luò)控制點裝置可以實現(xiàn)一個訪問列表以實施網(wǎng)絡(luò)安全策略��。
圖2的示例性構(gòu)造示出了磁泡A 120a的分區(qū)1和磁泡B的分區(qū)1�����,磁泡A 120a的分區(qū)1包括兩組主機(jī)�����,分別連接到網(wǎng)絡(luò)控制點裝置200b的一個單獨接口180���,磁泡B的分區(qū)1通過以190示出的2個接口連接到網(wǎng)絡(luò)控制點裝置200b和網(wǎng)絡(luò)控制點裝置200c這兩者上。還如圖2所示����,一個另外的分區(qū)195(未在圖1中示出)連接到網(wǎng)絡(luò)控制點裝置200b的另一個接口210上,并且對應(yīng)于未知的或由于無論什么原因不可信的網(wǎng)絡(luò)�。網(wǎng)絡(luò)控制點裝置200a連接到TB 110。
可信主干110是一個網(wǎng)絡(luò)或多個網(wǎng)絡(luò)的集合��,它連接到多個網(wǎng)絡(luò)控制點150��,并且確信它不修改如下所述傳輸?shù)木W(wǎng)絡(luò)數(shù)據(jù)包���??尚胖鞲?10能夠使用任何適合的基礎(chǔ)技術(shù)來實現(xiàn),例如使用下面技術(shù)中的一種或多種通信線路��,例如T1����、DS3、OC-3����,Internet服務(wù)提供者(ISP)、VPN�����,例如IPsec��、專用網(wǎng)�、開關(guān)和恒定虛擬電路網(wǎng)絡(luò)傳輸技術(shù),例如幀中繼和異步傳輸模式�����;多路存取傳輸技術(shù),例如可交換多兆位數(shù)據(jù)服務(wù)���、或任何其它的有線或無線網(wǎng)絡(luò)或它們的組合�����?�?尚胖鞲?10在網(wǎng)絡(luò)控制點150之外��,并且在所有的磁泡分區(qū)的外部���。磁泡分區(qū)本身不是可信主干110的部分,并且它們使用那些完全包括在它們的范圍內(nèi)用于LAN和WAN基礎(chǔ)構(gòu)造的����、單獨的實際或虛擬裝置。這為每個磁泡分區(qū)考慮到了一個一致的網(wǎng)絡(luò)安全策略����,可以獨立于用于相互連接網(wǎng)絡(luò)控制點的主干來管理和支持每個磁泡分區(qū)��。這里所描述的可信主干還可以具有如在申請人的US專利申請US2001/0037384中所述的虛擬主干的特征�,例如實施源地址的完整性,但不要求這樣做����。
一個企業(yè)一般具有一個鏈接地理分隔位置的可信主干110��,并且服務(wù)提供者�,例如ISP��,可以根據(jù)他們的用戶需求和由他們的用戶需求強加的網(wǎng)絡(luò)要求����,而具有一個或多個可信主干?���?尚胖鞲傻臄?shù)量與所得到的網(wǎng)絡(luò)的操作沒有關(guān)系。并且��,一個可信主干可以連接到另一個可信主干�����,以增加可用于訪問的磁泡分區(qū)的總數(shù)量����。
在這個實施例中,雖然可能有其它的結(jié)構(gòu),但假定允許在一個單獨磁泡內(nèi)的多個主機(jī)可以全網(wǎng)絡(luò)相互訪問��。因此��,從一個磁泡場合到另一個磁泡場合的網(wǎng)絡(luò)訪問通常將穿過兩個磁泡邊界���,并且可以根據(jù)那兩個磁泡的安全策略允許或不允許這種網(wǎng)絡(luò)訪問�����。
上述構(gòu)造的一個關(guān)鍵的益處在于����,能夠限定磁泡類型�����,并且為這些磁泡類型限定標(biāo)準(zhǔn)的安全策略����。每個磁泡隨后能夠被識別為一個磁泡類型場合。每個磁泡場合最初能夠由其磁泡類型所確定的缺省訪問策略來實現(xiàn)����。優(yōu)選的,每一個可能的IP地址被分配給一個磁泡場合����,并且將每一個磁泡場合歸于一個磁泡類型,包括“未知”的磁泡類型���。
為了說明這些概念的應(yīng)用和實用性�����,現(xiàn)在將簡要描述多個不同的�����、但有益的磁泡類型����,它們試圖由那些具有相似網(wǎng)絡(luò)連通性需求��、相似應(yīng)用和主機(jī)安全關(guān)系的裝置組成��。
首先����,可以限定一個辦公自動化磁泡類型�,例如使得一個企業(yè)可以實現(xiàn)這種磁泡類型的一個單獨的全球場合���,它將是為企業(yè)工作者提供的缺省的網(wǎng)絡(luò)環(huán)境��。
這種辦公自動化磁泡類型例如可以在該磁泡邊界處要求一種高級的身份驗證��,用于入站通信����。
這種因特網(wǎng)可以被識別為一種包括所有的IP地址空間的磁泡場合�����,而不可以特別的分配給任何其它的磁泡場合�。
一種“電子服務(wù)(e-services)”磁泡類型可能要求一種更隨意的磁泡邊界,用于從因特網(wǎng)上的任何地方的入站訪問���。例如��,這能夠是用于包括面向外部網(wǎng)(external facing net)和因特網(wǎng)應(yīng)用服務(wù)器的缺省環(huán)境��。
雖然一個企業(yè)可以僅具有一個����、或至少一個相對小量的辦公自動化磁泡場合��,但是它可能需要實現(xiàn)多個不同的“電子服務(wù)(e-services)”磁泡場合����,來支持多種面向因特網(wǎng)應(yīng)用和以高度區(qū)域化的數(shù)據(jù)存儲。
此外的磁泡類型可以限定為一種缺省的環(huán)境�,用于內(nèi)部使用的制造應(yīng)用服務(wù)器和許多其它的數(shù)據(jù)中央系統(tǒng),例如生產(chǎn)線�、應(yīng)用開發(fā)系統(tǒng),等等����。
還可以限定基礎(chǔ)構(gòu)造的磁泡類型來支持IT基礎(chǔ)構(gòu)造本身。這種“基礎(chǔ)構(gòu)造”磁泡與其它的類型的不同在于����,基礎(chǔ)構(gòu)造的磁泡場合可能需要在其它磁泡類型的磁泡場合上強加入站和出站磁泡邊界訪問許可(或限制)。
例如��,一種DNS磁泡類型可以限定為定義該DNS磁泡邊界所需要的入站和出站訪問����,而且限定了在其它磁泡場合內(nèi)的主機(jī)所需要的入站訪問,以允許DNS服務(wù)正常工作��。一個單獨的這種磁泡類型的場合可以包括用于一個特定域名空間的授權(quán)DNS服務(wù)器。這種類型的磁泡場合還可以包括例如DHCP和NTP服務(wù)器��。
上述結(jié)構(gòu)的一個有益之處在于���,這種基礎(chǔ)構(gòu)造可以包括一個中央磁泡登記160�����,中央磁泡登記160是一個數(shù)據(jù)庫���,包括該企業(yè)的網(wǎng)絡(luò)安全策略的描述、網(wǎng)絡(luò)防火墻規(guī)則配置���、和與網(wǎng)絡(luò)安全策略管理相關(guān)的商業(yè)和操作過程��。通過一個適當(dāng)設(shè)置的策略登記工具170��,能夠管理登記中的內(nèi)容��。
在這個優(yōu)選實施例中�����,每個磁泡分區(qū)與一個訪問控制列表(ACL)相關(guān)聯(lián)���,訪問控制列表(ACL)描述用于其內(nèi)部主機(jī)的入站規(guī)則和用于從該磁泡分區(qū)傳輸?shù)木W(wǎng)絡(luò)數(shù)據(jù)包的一組出站標(biāo)記規(guī)則�。在優(yōu)選實施例中����,磁泡登記160基于一組策略模板為不同的磁泡類型產(chǎn)生訪問控制列表����,并且將訪問控制列表分發(fā)到網(wǎng)絡(luò)控制點。這種分發(fā)可以是直接到網(wǎng)絡(luò)控制點���,或可以是間接通過一個裝置管理系統(tǒng)或配置管理服務(wù)器(未示出)����,依次將特定的訪問列表應(yīng)用于裝置�。應(yīng)當(dāng)理解,無論如何����,在其它實施例中,ACL和標(biāo)記規(guī)則還可以在NCP上人動配置�,或可以采用自動和手動的任意組合。
在優(yōu)選實施例中���,訪問控制列表的內(nèi)容分為兩個規(guī)則組或部分�����,一一個入站本地規(guī)則組和一個入站遠(yuǎn)程規(guī)則組����。這些規(guī)則組的目的是允許穿過網(wǎng)絡(luò)控制點完全限定和控制關(guān)于磁泡的策略,和在不同的網(wǎng)絡(luò)控制點確保實現(xiàn)磁泡的網(wǎng)絡(luò)安全策略的過程中的一致性���。
入站本地規(guī)則組包括規(guī)則�,在允許何種數(shù)據(jù)進(jìn)入磁泡分區(qū)上該規(guī)則實施訪問控制���。入站遠(yuǎn)程規(guī)則組包括規(guī)則���,在其它磁泡邊界上該規(guī)則實施入站本地規(guī)則。入站遠(yuǎn)程規(guī)則組由那些需要它們的基礎(chǔ)構(gòu)造的磁泡使用�。出站標(biāo)記規(guī)則還用于如下所述標(biāo)記離開分區(qū)的數(shù)據(jù)包。
圖3是一個對應(yīng)于網(wǎng)際協(xié)議版本4的網(wǎng)絡(luò)數(shù)據(jù)包300的部分框圖��。數(shù)據(jù)包300包括一個服務(wù)類型(TOS)字節(jié)310�、一個協(xié)議字段320、一個IP源地址(SA)字段330、一個IP目的地址(DA)字段340和一個數(shù)據(jù)字段350��。如下所述�����,TOS字節(jié)310的部分能夠用于攜帶一個磁泡標(biāo)記值(BLV)����,磁泡標(biāo)記值用于鏈接一個磁泡場合到一個BLV值,例如
能夠限定至少一個特殊的BLV��,該BLV表明數(shù)據(jù)包是未標(biāo)記的����,換句話說���,不知道或不確信它的源�,在上面的例子中該BLV是BLVz�����。
例如���,在IPv4中�,如果在IP報頭TOS字節(jié)中攜帶BLV,那么使用TOS 3~-6位�����,即延遲�、吞吐量、可靠性和耗費(cost)位��,來實現(xiàn)BLV���。這個特定的選擇具有有利之處��,即允許使用IP優(yōu)先位�,即TOS的0~2位�����,來執(zhí)行QoS管理�。在這個例子中,對于BLV使用4位而給出了總共16種可能的BLV�。然而,應(yīng)該理解�����,這種范圍限制對于許多現(xiàn)代企業(yè)IT基礎(chǔ)構(gòu)造實際上是足夠的。例如���,15的BLV可以用作特殊的“未標(biāo)記”的標(biāo)記����。在這個例子中��,為每個標(biāo)記的網(wǎng)絡(luò)磁泡場合提供從0到14的一個唯一的BLV��。
然而�,許多其它的設(shè)置是可能的,例如���,如果不要求QoS管理,那么就可以使用DSCP字段�,允許升至64 BLV。
另一個例子將是針對IPv6實現(xiàn)���。BLV能夠方便地攜帶于流標(biāo)記字段��。1,048,575的BLV可以是特殊的“未標(biāo)記”的標(biāo)記�。可以為每個標(biāo)記的網(wǎng)絡(luò)磁泡提供從0到1048574的一個唯一的BLV�����。這樣的BLC的實現(xiàn)將限制到最大1048574個標(biāo)記的網(wǎng)絡(luò)磁泡����。
在網(wǎng)絡(luò)控制點中的訪問控制列表將根據(jù)報頭值的任意組合與該BLV一起控制輸入通信量。
基于源網(wǎng)絡(luò)磁泡分區(qū)分配BLV��,于是NCP 150A���、150B����、150C設(shè)置成在每個離開磁泡分區(qū)的數(shù)據(jù)包中將磁泡標(biāo)記值(BLV)設(shè)定為與源網(wǎng)絡(luò)磁泡分區(qū)的網(wǎng)絡(luò)磁泡相關(guān)的值�。圖4示出了一個網(wǎng)絡(luò)控制點裝置的部分示意視圖,網(wǎng)絡(luò)控制點裝置例如是網(wǎng)絡(luò)控制點裝置200a�����、200b或200c����。網(wǎng)絡(luò)控制點裝置200包括一個具有通信標(biāo)記模塊410的通信調(diào)節(jié)模塊400�����。通信標(biāo)記模塊410具有到一個本地標(biāo)記訪問列表的通路���,將網(wǎng)絡(luò)控制點裝置的接口鏈接到對應(yīng)于該網(wǎng)絡(luò)磁泡場合的BLV值。通信標(biāo)記模塊410用于使用對應(yīng)于接收數(shù)據(jù)包的接口的BLV來設(shè)定每個通過網(wǎng)絡(luò)控制模塊200的數(shù)據(jù)包的BLV�����。使用對應(yīng)于一個未知的或不確定的分區(qū)(例如圖2所示的分區(qū)195)的BLV���,標(biāo)記在與一個BLV沒有關(guān)聯(lián)的任一接口上接收的通信���。在到一個磁泡分區(qū)的入口以一些其它方式,例如使用源和目的地址�����,可以檢查用對應(yīng)于一個未知的或不確定的分區(qū)的BLV標(biāo)記的通信���,或可以簡單的刪除這種通信。
對應(yīng)于一個未知的或不確定的分區(qū)的BLV的使用�����,允許只要使用對應(yīng)于一個未知的或不確定的分區(qū)的值BLV標(biāo)記來自這樣的分區(qū)的通信,一些未知的磁泡分區(qū)就能夠無需一個NCP而連接到TB 110��。由于它表示了在一個傳統(tǒng)(legacy)網(wǎng)絡(luò)中一個磁泡網(wǎng)絡(luò)結(jié)構(gòu)的可能的實現(xiàn)方式�,所以這是有用的。
優(yōu)選的�����,在裝置���,例如路由����、例如在網(wǎng)絡(luò)邊緣的裝置200b和200c中�����,進(jìn)行數(shù)據(jù)包的標(biāo)記�����。一個核心網(wǎng)絡(luò)控制點裝置��,例如具有連接到其它網(wǎng)絡(luò)控制裝置的接口的網(wǎng)絡(luò)控制裝置200a,將設(shè)置為不修改到達(dá)那些接口的通信的BL值���。
例如��,在圖1所示的網(wǎng)絡(luò)中�,NCP 150A使接口180與磁泡B相關(guān)聯(lián)���,并因此設(shè)置成使用磁泡B的BLV設(shè)定到達(dá)那個接口的任何數(shù)據(jù)包的BLV�����。該BLV被攜帶在數(shù)據(jù)包中到達(dá)目的磁泡場合��,并且假設(shè)不由虛擬主干100內(nèi)的任何中間節(jié)點所改變��。這允許系統(tǒng)中的其它NCP基于一個應(yīng)用到這個通信的本地入站規(guī)則組來過濾它們所接收的這個通信���。換句話說,將一個數(shù)據(jù)包發(fā)送到一個直接連接的目的網(wǎng)絡(luò)磁泡分區(qū)的一個NCP��,將應(yīng)用入站網(wǎng)絡(luò)磁泡邊界策略到每個發(fā)送到直接連接的網(wǎng)絡(luò)磁泡分區(qū)的數(shù)據(jù)包����。那個入站磁泡邊界策略設(shè)置成使用BLV來將特定的策略項目應(yīng)用到對應(yīng)于BL字段的值的特定的源磁泡場合。
用于一個磁泡場合的模板包括用于創(chuàng)建控制到一個磁泡分區(qū)的通信流量的訪問列表的信息�����。這些是本地入站訪問列表�。由于BLV設(shè)置在數(shù)據(jù)包的源分區(qū),因為NCP將控制到那些磁泡分區(qū)的流量��,通過該NCP其它磁泡分區(qū)附加到可信主干110上�,所以控制離開一個分區(qū)的流量是不必要的。
應(yīng)當(dāng)理解����,以一種非常靈活的方式,基于源和目的IP地址的訪問控制列表可以與如上所述基于BLV的訪問控制列表一起使用��。例如��,在一些構(gòu)造中��,可期望允許與具有一個特定源地址的通信輸入到一個給定的分區(qū)��,而不管它攜帶了一個另外被拒絕的BLV�,或它可能必須使用基于源和目的地址的訪問控制列表用于一個網(wǎng)絡(luò)的多個部分,在那里不能使用一個BLV標(biāo)記通信�����,例如在一個傳統(tǒng)(legacy)網(wǎng)絡(luò)內(nèi)的一個變換位置中。
除非特別指定����,用語“可信主干”是指網(wǎng)絡(luò)主干,該網(wǎng)絡(luò)主干連接多個磁泡�����、或連接具有網(wǎng)絡(luò)控制點或沒有網(wǎng)絡(luò)控制點的網(wǎng)絡(luò)�����,具有在傳輸過程中不修改BLV的特性����。
本發(fā)明前述詳細(xì)描述是以示意說明為目的的,并且不是試圖窮舉或?qū)⒈景l(fā)明限制到所公開的具體實施例����。根據(jù)用于實施該系統(tǒng)的構(gòu)造,本發(fā)明的實施例可以提供不同的性能和益處����。因此����,由隨后的權(quán)利要求限定本發(fā)明的范圍���。
權(quán)利要求
1.一種安全網(wǎng)絡(luò),配置成攜帶數(shù)據(jù)����,包括多個網(wǎng)絡(luò)磁泡和多個網(wǎng)絡(luò)控制點,其中每個網(wǎng)絡(luò)磁泡包括一個或多個磁泡分區(qū)���,和每個磁泡分區(qū)包括至少一個配置成發(fā)射和接收數(shù)據(jù)的網(wǎng)絡(luò)裝置����,并且所有對應(yīng)于多個網(wǎng)絡(luò)磁泡中的至少一個的網(wǎng)絡(luò)裝置具有一個公用的網(wǎng)絡(luò)安全策略��,其中給至少一個網(wǎng)絡(luò)控制點提供一個標(biāo)記模塊���,標(biāo)記模塊設(shè)置成使用對應(yīng)于數(shù)據(jù)包從中產(chǎn)生的網(wǎng)絡(luò)磁泡的一個標(biāo)記來標(biāo)記輸出的數(shù)據(jù)包��,這能夠用于實施至少一個網(wǎng)絡(luò)磁泡的網(wǎng)絡(luò)安全策略�。
2.如權(quán)利要求1中所述的一種安全網(wǎng)絡(luò),其中基于輸入數(shù)據(jù)包內(nèi)的標(biāo)記值�����,至少一個網(wǎng)絡(luò)控制點裝置設(shè)置成將至少一個網(wǎng)絡(luò)磁泡的網(wǎng)絡(luò)安全策略應(yīng)用到所述輸入數(shù)據(jù)包���。
3.如權(quán)利要求1中所述的一種安全網(wǎng)絡(luò)����,其中至少一個網(wǎng)絡(luò)控制點包括一個或多個具有至少一個接口的網(wǎng)絡(luò)控制點裝置�����,其中根據(jù)由網(wǎng)絡(luò)控制點裝置的哪一個接口接收輸出數(shù)據(jù)包來確定將應(yīng)用到一個數(shù)據(jù)包的標(biāo)記����。
4.如權(quán)利要求3中所述的一種安全網(wǎng)絡(luò),其中網(wǎng)絡(luò)控制點裝置是一個路由器�����。
5.如權(quán)利要求1中所述的一種安全網(wǎng)絡(luò)��,其中通過一個可信主干�����,多個網(wǎng)絡(luò)控制點相互耦合,確信可信主干不允許在傳輸過程中修改應(yīng)用到數(shù)據(jù)包的標(biāo)記����。
6.如權(quán)利要求1中所述的一種安全網(wǎng)絡(luò),其中每個磁泡具有一個相應(yīng)的標(biāo)記值�。
7.如權(quán)利要求1中所述的一種安全網(wǎng)絡(luò)�,其中保留一個標(biāo)記值用于來自未知的或不確定的源的數(shù)據(jù)包。
8.如權(quán)利要求1中所述的一種安全網(wǎng)絡(luò)����,其中標(biāo)記被應(yīng)用到一個IPV4數(shù)據(jù)包的ToS字節(jié)。
9.如權(quán)利要求1中所述的一種安全網(wǎng)絡(luò)�����,其中標(biāo)記被應(yīng)用到一個IPV4數(shù)據(jù)包的ToS字節(jié)的延遲�、吞吐量、可靠性和耗費位��。
10.如權(quán)利要求1中所述的一種安全網(wǎng)絡(luò)���,其中標(biāo)記被應(yīng)用到一個IPV6數(shù)據(jù)包的流標(biāo)記��。
11.如權(quán)利要求1中所述的一種安全網(wǎng)絡(luò)���,其中網(wǎng)絡(luò)控制點設(shè)置成實施源地址的完整性��。
12.一種操作多個網(wǎng)絡(luò)控制點以保護(hù)一個網(wǎng)絡(luò)的方法����,所述網(wǎng)絡(luò)具有多個磁泡����,其中每個磁泡具有多個磁泡分區(qū)和多個配置成連接多個磁泡分區(qū)的網(wǎng)絡(luò)控制點,該方法包括使用對應(yīng)于數(shù)據(jù)包從中產(chǎn)生的網(wǎng)絡(luò)磁泡的一個標(biāo)記來標(biāo)記輸出數(shù)據(jù)包�����;和基于在輸入數(shù)據(jù)包中的標(biāo)記值�����,為該輸入數(shù)據(jù)包應(yīng)用安全策略�����。
13.如權(quán)利要求12中所述的方法�,其中網(wǎng)絡(luò)控制點包括一個或多個具有至少一個接口的網(wǎng)絡(luò)控制點裝置���,其中根據(jù)由網(wǎng)絡(luò)控制點裝置的哪一個接口接收輸出數(shù)據(jù)包來確定將應(yīng)用到一個數(shù)據(jù)包的標(biāo)記。
14.如權(quán)利要求12中所述的方法��,其中網(wǎng)絡(luò)控制點裝置是一個路由器�����。
15.如權(quán)利要求12中所述的方法�����,包括確信一個相互連接網(wǎng)絡(luò)控制點的主干不允許在傳輸過程中修改應(yīng)用到數(shù)據(jù)包的標(biāo)記�����。
16.如權(quán)利要求12中所述的方法�,包括為每個磁泡分配一個標(biāo)記值��。
17.如權(quán)利要求12中所述的方法�,包括保留一個標(biāo)記值用于來自未知的或不確定的源的數(shù)據(jù)包。
18.如權(quán)利要求12中所述的方法���,其中標(biāo)記被應(yīng)用到一個IPV4數(shù)據(jù)包的ToS字節(jié)���。
19.如權(quán)利要求12中所述的方法�,其中標(biāo)記被應(yīng)用到一個IPV4數(shù)據(jù)包的ToS字節(jié)的延遲�、吞吐量、可靠性和耗費位���。
20.如權(quán)利要求12中所述的方法����,其中標(biāo)記被應(yīng)用到一個IPV6數(shù)據(jù)包的流標(biāo)記���。
21.一種網(wǎng)絡(luò)����,配置成攜帶數(shù)據(jù)����,包括多個網(wǎng)絡(luò)磁泡和通過一個主干相互耦合的多個網(wǎng)絡(luò)控制點,確信該主干不允許在傳輸過程中修改數(shù)據(jù)包��,其中每個網(wǎng)絡(luò)磁泡包括一個或多個磁泡分區(qū)����,和每個磁泡分區(qū)包括至少一個配置成發(fā)送和接收數(shù)據(jù)的網(wǎng)絡(luò)裝置��,并且所有對應(yīng)于多個網(wǎng)絡(luò)磁泡中的至少一個的網(wǎng)絡(luò)裝置具有一個公用的網(wǎng)絡(luò)安全策略���,其中每個磁泡具有一個相應(yīng)的標(biāo)記值,并且至少一個網(wǎng)絡(luò)控制點被提供有一個標(biāo)記模塊�,標(biāo)記模塊設(shè)置成使用對應(yīng)于數(shù)據(jù)包從中產(chǎn)生的網(wǎng)絡(luò)磁泡的一個標(biāo)記來標(biāo)記輸出的數(shù)據(jù)包,這能夠用于實施至少一個網(wǎng)絡(luò)磁泡的網(wǎng)絡(luò)安全策略����,并且其中至少另一個網(wǎng)絡(luò)控制點裝置設(shè)置成基于輸入數(shù)據(jù)包內(nèi)的標(biāo)記值而將該至少一個網(wǎng)絡(luò)磁泡的網(wǎng)絡(luò)安全策略應(yīng)用到輸入數(shù)據(jù)包。
22.如權(quán)利要求21所述的網(wǎng)絡(luò)����,其中至少一個網(wǎng)絡(luò)控制點包括一個或多個具有至少一個接口的網(wǎng)絡(luò)控制點裝置,其中根據(jù)由網(wǎng)絡(luò)控制點裝置的哪一個接口接收輸出數(shù)據(jù)包來確定將應(yīng)用到一個數(shù)據(jù)包的標(biāo)記�。
23.如權(quán)利要求22所述的網(wǎng)絡(luò)�,其中網(wǎng)絡(luò)控制點裝置是一個路由器。
24.如權(quán)利要求23所述的網(wǎng)絡(luò)����,其中保留一個標(biāo)記值用于來自未知的或不確定的源的數(shù)據(jù)包。
25.如權(quán)利要求23所述的網(wǎng)絡(luò)�����,其中標(biāo)記被應(yīng)用到一個IPV4數(shù)據(jù)包的ToS字節(jié)。
26.如權(quán)利要求23所述的網(wǎng)絡(luò)�����,其中標(biāo)記被應(yīng)用到一個IPV4數(shù)據(jù)包的ToS字節(jié)的延遲���、吞吐量�����、可靠性和耗費位�����。
27.如權(quán)利要求23所述的網(wǎng)絡(luò)�����,其中標(biāo)記被應(yīng)用到一個IPV6數(shù)據(jù)包的流標(biāo)記���。
28.一種網(wǎng)絡(luò)控制點裝置,用在配置成攜帶數(shù)據(jù)的安全網(wǎng)絡(luò)中�����,該網(wǎng)絡(luò)包括多個網(wǎng)絡(luò)磁泡和多個網(wǎng)絡(luò)控制點,網(wǎng)絡(luò)控制點裝置包括一個標(biāo)記模塊��,標(biāo)記模塊設(shè)置成使用對應(yīng)于數(shù)據(jù)包從中產(chǎn)生的網(wǎng)絡(luò)磁泡的一個標(biāo)記來標(biāo)記輸出的數(shù)據(jù)包�,這能夠用于實施網(wǎng)絡(luò)磁泡的網(wǎng)絡(luò)安全策略;以及將一個標(biāo)記鏈接到每個磁泡的一個標(biāo)記表����。
29.如權(quán)利要求28所述的網(wǎng)絡(luò)控制點裝置,設(shè)置成基于所述輸入數(shù)據(jù)包內(nèi)的標(biāo)記值�����,將至少一個網(wǎng)絡(luò)磁泡的網(wǎng)絡(luò)安全策略應(yīng)用到所述輸入數(shù)據(jù)包�����。
30.如權(quán)利要求28所述的網(wǎng)絡(luò)控制點裝置����,其中根據(jù)由網(wǎng)絡(luò)控制點裝置的哪一個接口接收輸出數(shù)據(jù)包來確定將應(yīng)用到一個數(shù)據(jù)包的標(biāo)記�。
31.如權(quán)利要求28所述的網(wǎng)絡(luò)控制點裝置,其中網(wǎng)絡(luò)控制點裝置是一個路由器�����。
32.如權(quán)利要求28所述的網(wǎng)絡(luò)控制點裝置,其中標(biāo)記被應(yīng)用到一個IPV4數(shù)據(jù)包的ToS字節(jié)�����。
33.如權(quán)利要求28所述的網(wǎng)絡(luò)控制點裝置���,其中標(biāo)記被應(yīng)用到一個IPV4數(shù)據(jù)包的ToS字節(jié)的延遲�、吞吐量���、可靠性和耗費位��。
34.如權(quán)利要求28所述的網(wǎng)絡(luò)控制點裝置���,其中標(biāo)記被應(yīng)用到一個IPV6數(shù)據(jù)包的流標(biāo)記。
35.如權(quán)利要求28所述的網(wǎng)絡(luò)控制點裝置�����,設(shè)置成實施源地址的完整性�。
全文摘要
本發(fā)明公開了一種配置成攜帶數(shù)據(jù)的安全網(wǎng)絡(luò),該安全網(wǎng)絡(luò)包括多個網(wǎng)絡(luò)磁泡和多個網(wǎng)絡(luò)控制點����,其中每個網(wǎng)絡(luò)磁泡包括一個或多個磁泡分區(qū)����,每個磁泡分區(qū)包括至少一個配置成發(fā)送和接收數(shù)據(jù)的網(wǎng)絡(luò)裝置�,并且所有對應(yīng)于多個網(wǎng)絡(luò)磁泡中的至少一個的網(wǎng)絡(luò)裝置具有一個公用的網(wǎng)絡(luò)安全策略。給至少一個網(wǎng)絡(luò)控制點(例如一個路由器)提供一個標(biāo)記模塊���,標(biāo)記模塊設(shè)置成使用對應(yīng)于數(shù)據(jù)包從中產(chǎn)生的網(wǎng)絡(luò)磁泡的一個標(biāo)記來標(biāo)記輸出的數(shù)據(jù)包�,這能夠用于實施至少一個網(wǎng)絡(luò)磁泡的網(wǎng)絡(luò)安全策略���。
文檔編號H04L12/56GK1725711SQ200510087528
公開日2006年1月25日 申請日期2005年7月22日 優(yōu)先權(quán)日2004年7月22日
發(fā)明者V·吉勒斯, B·杰梅斯 申請人:惠普開發(fā)有限公司