專利名稱:當(dāng)網(wǎng)絡(luò)通信受限時(shí)使虛擬網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備能夠通信的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)和設(shè)備安全�����,尤其涉及當(dāng)網(wǎng)絡(luò)通信一般由于安全威脅而受到限制時(shí)安全地使虛擬網(wǎng)絡(luò)內(nèi)的聯(lián)網(wǎng)設(shè)備能夠操作�����。
背景技術(shù):
由于越來(lái)越多的計(jì)算機(jī)以及其它計(jì)算設(shè)備通過(guò)諸如因特網(wǎng)等各種網(wǎng)絡(luò)互相連接�,計(jì)算機(jī)安全已變得越來(lái)越重要,尤其是通過(guò)網(wǎng)絡(luò)或信息流傳送的入侵或攻擊的計(jì)算機(jī)安全�����。本領(lǐng)域的技術(shù)人員將認(rèn)識(shí)到����,這些攻擊以許多不同的形式出現(xiàn),包括但當(dāng)然不限于���,計(jì)算機(jī)病毒�����、計(jì)算機(jī)蠕蟲���、系統(tǒng)組件替換�����、服務(wù)拒絕攻擊、甚至是合法計(jì)算機(jī)系統(tǒng)特征的錯(cuò)用/濫用�,所有這些都惡意利用了一個(gè)或多個(gè)計(jì)算機(jī)系統(tǒng)易受攻擊性用于非法目的。盡管本領(lǐng)域的技術(shù)人員認(rèn)識(shí)到�����,各種計(jì)算機(jī)攻擊在技術(shù)上彼此不同��,然而為了本發(fā)明的目的且為了描述的簡(jiǎn)明性��,所有這些攻擊在后文一般都被稱為計(jì)算機(jī)惡意利用���,或更簡(jiǎn)單地稱為惡意利用�。
當(dāng)計(jì)算機(jī)系統(tǒng)被計(jì)算機(jī)惡意利用而受攻擊或“感染”時(shí)�,不利結(jié)果是不同的,包括禁用系統(tǒng)設(shè)備�����;擦除或破壞固件、應(yīng)用程序或數(shù)據(jù)文件����;向網(wǎng)絡(luò)上的另一位置潛在地發(fā)送敏感數(shù)據(jù);關(guān)閉計(jì)算機(jī)系統(tǒng)����;或?qū)е掠?jì)算機(jī)系統(tǒng)崩潰。許多(盡管并非所有)計(jì)算機(jī)惡意利用的又一有害方面是受感染的計(jì)算機(jī)系統(tǒng)被用來(lái)感染其它計(jì)算機(jī)�����。
圖1是示出了通常通過(guò)其來(lái)分發(fā)計(jì)算機(jī)惡意利用的示例性聯(lián)網(wǎng)環(huán)境100的圖示���。如圖1所示�����,典型的示例性聯(lián)網(wǎng)環(huán)境100包括多個(gè)計(jì)算機(jī)102-108�,它們都通過(guò)諸如內(nèi)聯(lián)網(wǎng)等通信網(wǎng)絡(luò)110�,或包括常被稱為因特網(wǎng)的全球TCP/IP網(wǎng)絡(luò)的更大的通信網(wǎng)絡(luò)互連。無(wú)論是出于什么原因�,連接到網(wǎng)絡(luò)110的計(jì)算機(jī),如計(jì)算機(jī)102上惡意的一方開發(fā)了計(jì)算機(jī)惡意利用112�����,并將其發(fā)布在網(wǎng)絡(luò)上。所發(fā)布的計(jì)算機(jī)惡意利用112由諸如計(jì)算機(jī)104等一個(gè)或多個(gè)計(jì)算機(jī)接收并感染這些計(jì)算機(jī)��,如箭頭114所示的��。如同對(duì)于許多計(jì)算機(jī)惡意利用典型的那樣���,一旦被感染,計(jì)算機(jī)104被用于感染諸如計(jì)算機(jī)106等其它計(jì)算機(jī)�����,如箭頭116所示的���,計(jì)算機(jī)106進(jìn)而又感染諸如計(jì)算機(jī)108等又一計(jì)算機(jī)�,如箭頭118所示的��。很明顯��,由于現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)的速度和到達(dá)范圍����,計(jì)算機(jī)惡意利用112可以指數(shù)的速率“增長(zhǎng)”�����,并快速成為迅速上升成全球計(jì)算機(jī)傳染病的本地流行病����。
對(duì)于計(jì)算機(jī)惡意利用����,尤其是計(jì)算機(jī)病毒和蠕蟲的傳統(tǒng)防御是反病毒軟件。一般而言���,反病毒軟件掃描通過(guò)網(wǎng)絡(luò)到達(dá)的傳入數(shù)據(jù)��,查找與已知計(jì)算機(jī)惡意利用相關(guān)聯(lián)的可識(shí)別模式�����。在檢測(cè)到與已知計(jì)算機(jī)惡意利用相關(guān)聯(lián)的模式之后�,反病毒軟件可通過(guò)從受感染的數(shù)據(jù)中移除計(jì)算機(jī)病毒��、隔離數(shù)據(jù)或刪除“受感染的”傳入數(shù)據(jù)來(lái)響應(yīng)�。不幸的是,反病毒軟件通常用“已知的”可識(shí)別計(jì)算機(jī)惡意利用來(lái)工作。這通常是通過(guò)將數(shù)據(jù)內(nèi)的模式與被稱為惡意利用的“簽名”進(jìn)行匹配來(lái)完成的���。這一惡意利用檢測(cè)模型中的核心缺陷之一是未知的計(jì)算機(jī)惡意利用可能不受檢查就在網(wǎng)絡(luò)中傳播�����,直到更新了計(jì)算機(jī)的反病毒軟件以識(shí)別并響應(yīng)于該新的計(jì)算機(jī)惡意利用��。
由于反病毒軟件已變得越來(lái)越復(fù)雜且在識(shí)別上千種已知計(jì)算機(jī)惡意利用方面變得越來(lái)越有效�����,因此計(jì)算機(jī)惡意利用也變得越來(lái)越復(fù)雜�����。例如,許多近來(lái)的計(jì)算機(jī)惡意利用現(xiàn)在是多態(tài)的�����,或換言之�����,沒(méi)有可識(shí)別的模式或“簽名”,而這些模式或“簽名”會(huì)使它們?cè)趥鬏斨斜环床《拒浖R(shí)別�。這些多態(tài)的惡意利用通常無(wú)法由反病毒軟件識(shí)別,因?yàn)樗鼈冊(cè)趥鞑サ搅硪挥?jì)算機(jī)系統(tǒng)之前修改了其自身���。
當(dāng)今在對(duì)計(jì)算機(jī)惡意利用進(jìn)行保護(hù)方面常見的另一防御是硬件或軟件網(wǎng)絡(luò)防火墻����。本領(lǐng)域的技術(shù)人員會(huì)認(rèn)識(shí)到���,防火墻是一種通過(guò)控制內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的信息流來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)免遭起源于外部網(wǎng)絡(luò)的非授權(quán)訪問(wèn)的安全系統(tǒng)�����。起源于防火墻外的所有通信首先被發(fā)送到一代理����,它檢查該通信��,并確定它是否為安全或允許的���,以將該通信轉(zhuǎn)發(fā)到預(yù)期目標(biāo)�����。不幸的是���,正確地配置防火墻使得允許的網(wǎng)絡(luò)活動(dòng)不受抑制且不被允許的網(wǎng)絡(luò)活動(dòng)被拒絕是一項(xiàng)高級(jí)且復(fù)雜的任務(wù)����。除技術(shù)上的復(fù)雜之外����,防火墻配置難以管理。當(dāng)防火墻被不正確地配置時(shí)����,可允許的網(wǎng)絡(luò)話務(wù)可能被不經(jīng)意地關(guān)閉,而不被允許的網(wǎng)絡(luò)話務(wù)可能被允許通過(guò)���,從而危及內(nèi)部網(wǎng)絡(luò)的安全�����。為此,一般不經(jīng)常對(duì)防火墻做出改變�,并且僅由精通技術(shù)網(wǎng)絡(luò)設(shè)計(jì)主體的那些人來(lái)改變防火墻。
作為防火墻的又一局限����,盡管防火墻保護(hù)了內(nèi)部網(wǎng)絡(luò)����,然而它不提供對(duì)特定計(jì)算機(jī)的任何保護(hù)�����。換言之���,防火墻不使其適用于特定的計(jì)算機(jī)需求�����。相反�����,即使使用了防火墻來(lái)保護(hù)單個(gè)計(jì)算機(jī)����,它仍依照該防火墻的配置來(lái)保護(hù)該計(jì)算機(jī)�����,而不是依照單個(gè)計(jì)算機(jī)的配置來(lái)保護(hù)。
與防火墻有關(guān)的另一問(wèn)題是它們不提供對(duì)起源于由防火墻建立的邊界內(nèi)部的計(jì)算機(jī)惡意利用的保護(hù)����。換言之,一旦惡意利用能夠滲透由防火墻保護(hù)的網(wǎng)絡(luò)��,該惡意利用不受防火墻的抑制��。當(dāng)員工將便攜式計(jì)算機(jī)帶回家(即�����,帶到企業(yè)防火墻保護(hù)之外)并在家里較不安全的環(huán)境中使用它時(shí)�����,通常會(huì)出現(xiàn)這一情況��。由于對(duì)員工是未知的����,因此該計(jì)算機(jī)被感染。當(dāng)便攜式計(jì)算機(jī)被重新連接到處于防火墻保護(hù)之內(nèi)的企業(yè)網(wǎng)絡(luò)時(shí)��,該惡意利用通常能夠自由影響其它計(jì)算機(jī)而不受防火墻的檢查�。類似地,當(dāng)一個(gè)人在不知情或其它情況下帶入被計(jì)算機(jī)惡意利用感染的介質(zhì)��,如CD-ROM�、軟盤、閃存存儲(chǔ)設(shè)備等�����,并使用防火墻的受保護(hù)邊界內(nèi)的計(jì)算機(jī)讀取或執(zhí)行該介質(zhì)上儲(chǔ)存的信息���,則該計(jì)算機(jī)和企業(yè)網(wǎng)絡(luò)也處于不受防火墻保護(hù)的危險(xiǎn)和風(fēng)險(xiǎn)中���。
對(duì)于將潛在地被計(jì)算機(jī)惡意利用感染的便攜式計(jì)算機(jī)連接或重新連接到網(wǎng)絡(luò)的問(wèn)題,一種解決方案是將添加的計(jì)算機(jī)放在隔離的網(wǎng)絡(luò)內(nèi)的虛擬局域網(wǎng)(被稱為VLAN)中��。如本領(lǐng)域中已知的����,VLAN是可不考慮網(wǎng)絡(luò)的實(shí)際、物理配置而在實(shí)際網(wǎng)絡(luò)內(nèi)建立的邏輯子網(wǎng)���。網(wǎng)絡(luò)管理員控制一個(gè)VLAN內(nèi)的計(jì)算機(jī)與網(wǎng)絡(luò)中的VLAN外的其它設(shè)備(如其它VLAN中的計(jì)算機(jī)和設(shè)備)通信的能力�。由此����,隔離的VLAN被配置成禁止該隔離的VLAN內(nèi)的計(jì)算機(jī)與該隔離的VLAN外的任何其它設(shè)備和/或計(jì)算機(jī)通信���,而僅有非常有限的例外。僅在添加的計(jì)算機(jī)被證明為沒(méi)有計(jì)算機(jī)惡意利用之后����,該添加的計(jì)算機(jī)才被允許進(jìn)入到網(wǎng)絡(luò)中的其它“常規(guī)”VLAN。不幸的是����,盡管這一實(shí)踐可保護(hù)網(wǎng)絡(luò)免遭所添加的計(jì)算機(jī)上找到的任何計(jì)算機(jī)惡意利用,然而存在潛在的嚴(yán)重后果�����。
將添加的計(jì)算機(jī)隔離到隔離的VLAN的一個(gè)后果是所添加的計(jì)算機(jī)會(huì)被暴露給隔離的VLAN內(nèi)流通的任何計(jì)算機(jī)惡意利用����。由此,盡管所添加的計(jì)算機(jī)在被隔離之前可能沒(méi)有所有的計(jì)算機(jī)惡意利用����,然而當(dāng)被放在隔離的VLAN中時(shí),存在它將會(huì)被同樣被隔離到該隔離VLAN中的其它計(jì)算機(jī)上的計(jì)算機(jī)惡意利用感染的實(shí)質(zhì)風(fēng)險(xiǎn)�����。另一結(jié)果是���,如果添加的計(jì)算機(jī)被計(jì)算機(jī)惡意利用感染��,則當(dāng)該添加的計(jì)算機(jī)被放在隔離VLAN中時(shí)�,該隔離中的其它計(jì)算機(jī)會(huì)被暴露給影響該添加的計(jì)算機(jī)的計(jì)算機(jī)惡意利用���。簡(jiǎn)言之����,盡管網(wǎng)絡(luò)作為一個(gè)整體可被保護(hù)����,然而放在隔離VLAN中的計(jì)算機(jī)被計(jì)算機(jī)惡意利用感染的可能性也實(shí)質(zhì)上增加了。
如上所述���,計(jì)算機(jī)惡意利用現(xiàn)在在攻擊中充分利用了合法計(jì)算機(jī)系統(tǒng)特征���。由此,除防火墻和反病毒軟件提供商以外的多方現(xiàn)在必須加入到防御計(jì)算機(jī)使其免遭這些計(jì)算機(jī)惡意利用中來(lái)�。例如����,操作系統(tǒng)提供商現(xiàn)在必須為經(jīng)濟(jì)和合約原因而不斷地分析其操作系統(tǒng)���,以識(shí)別可能被計(jì)算機(jī)惡意利用的弱點(diǎn)或易受攻擊性����。為本討論的目的�����,計(jì)算機(jī)惡意利用用于攻擊計(jì)算機(jī)系統(tǒng)的任何方法將概括地被稱為計(jì)算機(jī)易受攻擊性�����,或簡(jiǎn)稱為易受攻擊性�����。
當(dāng)在操作系統(tǒng)或其它計(jì)算機(jī)系統(tǒng)組件�、驅(qū)動(dòng)程序和/或應(yīng)用程序中識(shí)別并定址了易受攻擊性之后,提供商通常會(huì)發(fā)布一軟件更新來(lái)補(bǔ)救和解決該易受攻擊性����。這些更新常被稱為補(bǔ)丁�,它們旨在被安裝到計(jì)算機(jī)系統(tǒng)上�����,以保護(hù)計(jì)算機(jī)系統(tǒng)免遭所識(shí)別的易受攻擊性的危險(xiǎn)�。然而����,這些更新本質(zhì)上是對(duì)操作系統(tǒng)、設(shè)備驅(qū)動(dòng)程序或軟件應(yīng)用程序等的組件的代碼改變���。由此�,它們不能如反病毒更新從反病毒軟件提供商那里發(fā)布的那樣迅速和自由地發(fā)布���。由于這些更新是代碼改變��,因此軟件更新在向公眾發(fā)布之前需要進(jìn)行實(shí)質(zhì)的內(nèi)部測(cè)試��。不幸的是�����,即使是對(duì)于內(nèi)部測(cè)試����,軟件更新可使一個(gè)或多個(gè)其它計(jì)算機(jī)系統(tǒng)特征中斷或發(fā)生故障。由此�����,軟件更新對(duì)依賴于計(jì)算機(jī)系統(tǒng)的某些方面的各方造成了巨大的兩難局面�����,尤其是在它可能影響計(jì)算機(jī)系統(tǒng)的關(guān)鍵特征的情況下�����。更具體地��,一方是否更新了其計(jì)算機(jī)系統(tǒng)來(lái)保護(hù)它們免遭中斷其計(jì)算機(jī)系統(tǒng)的操作的易受攻擊性和風(fēng)險(xiǎn)��,或者該方是否制止更新其計(jì)算機(jī)系統(tǒng)并具有其計(jì)算機(jī)系統(tǒng)可能會(huì)被感染的風(fēng)險(xiǎn)���?一種保護(hù)網(wǎng)絡(luò)設(shè)備�����,包括個(gè)人計(jì)算機(jī)��、個(gè)人數(shù)字助理(PDA)�����、移動(dòng)通信設(shè)備等的新方法是在網(wǎng)絡(luò)和網(wǎng)絡(luò)設(shè)備之間放置一網(wǎng)絡(luò)安全模塊���,使得來(lái)往于網(wǎng)絡(luò)設(shè)備的所有通信必須通過(guò)該網(wǎng)絡(luò)安全模塊��。這一新方法在2004年2月13日提交的名為“System and Method for Securing a Computer System Connected to a Network fromAttacks(用于保護(hù)連接到網(wǎng)絡(luò)的計(jì)算機(jī)系統(tǒng)免遭攻擊的系統(tǒng)和方法)”的共同轉(zhuǎn)讓的美國(guó)臨時(shí)專利申請(qǐng)第60/544,783中有詳細(xì)描述,該申請(qǐng)通過(guò)引用整體結(jié)合于此����。
依照該結(jié)合的系統(tǒng)和方法,每一網(wǎng)絡(luò)安全模塊實(shí)現(xiàn)或?qū)嵤┌踩胧?��,該安全措施?duì)應(yīng)于受保護(hù)網(wǎng)絡(luò)設(shè)備的具體配置�,并也對(duì)應(yīng)于當(dāng)前識(shí)別的計(jì)算機(jī)系統(tǒng)易受攻擊性�����。網(wǎng)絡(luò)安全模塊從安全服務(wù)獲取安全措施�����,可從全球安全服務(wù)或通過(guò)安全服務(wù)的分層組織(被稱為聯(lián)合安全服務(wù))來(lái)獲取。實(shí)現(xiàn)或?qū)嵤┌踩胧┮馕吨鴮?duì)來(lái)往于受保護(hù)網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)活動(dòng)的各方面實(shí)行控制�。安全措施的示例包括阻斷來(lái)往于受保護(hù)網(wǎng)絡(luò)設(shè)備的所有網(wǎng)絡(luò)通信,除受保護(hù)網(wǎng)絡(luò)設(shè)備和諸如安全服務(wù)或反病毒軟件服務(wù)等可信網(wǎng)絡(luò)位置的通信之外���;阻斷某些通信端口和地址上的網(wǎng)絡(luò)話務(wù)����;阻斷去往和/或來(lái)自某些網(wǎng)絡(luò)相關(guān)應(yīng)用程序��,如電子郵件或web瀏覽器應(yīng)用程序的通信�����;以及阻斷對(duì)受保護(hù)網(wǎng)絡(luò)設(shè)備上的特定硬件或軟件組件的訪問(wèn)�。
在操作中,網(wǎng)絡(luò)安全模塊通常被配置成向安全服務(wù)周期性地查詢或輪詢最新的安全措施��。由此���,當(dāng)在網(wǎng)絡(luò)上檢測(cè)到計(jì)算機(jī)惡意利用�����,或者如果操作系統(tǒng)提供商在其系統(tǒng)中檢測(cè)到易受攻擊性���,則操作系統(tǒng)提供商提供安全措施以反擊對(duì)安全服務(wù)的易受攻擊性/惡意利用����。這些更新的安全措施然后由網(wǎng)絡(luò)安全模塊在周期性地輪詢安全服務(wù)時(shí)獲得���。一旦獲得�����,該更新的/當(dāng)前的安全措施由網(wǎng)絡(luò)安全模塊實(shí)現(xiàn)/實(shí)施����,由此將受保護(hù)網(wǎng)絡(luò)設(shè)備與檢測(cè)到的計(jì)算機(jī)惡意利用或易受攻擊性相隔離���。
在更好地理解計(jì)算機(jī)惡意利用之前,初始的安全措施可包括阻斷來(lái)往于受保護(hù)網(wǎng)絡(luò)設(shè)備的所有網(wǎng)絡(luò)活動(dòng)���。然而�,一旦更好地理解了計(jì)算機(jī)惡意利用�����,則可使用一組較不嚴(yán)格的安全措施來(lái)準(zhǔn)許某些網(wǎng)絡(luò)活動(dòng),而保持對(duì)易受攻擊性的適當(dāng)保護(hù)���。此外�����,一旦開發(fā)且隨后在受保護(hù)網(wǎng)絡(luò)設(shè)備上安裝了軟件更新或反病毒更新����,可獲得允許“正?���!本W(wǎng)絡(luò)活動(dòng)繼續(xù)進(jìn)行的一組新安全措施,該組新措施反映了由于軟件或反病毒更新的安裝��,受保護(hù)網(wǎng)絡(luò)設(shè)備不再易受攻擊����。
盡管上述結(jié)合的系統(tǒng)解決了如何保護(hù)網(wǎng)絡(luò)設(shè)備免遭計(jì)算機(jī)惡意利用的問(wèn)題,然而存在當(dāng)檢測(cè)到尤其致命的計(jì)算機(jī)惡意利用時(shí)�,網(wǎng)絡(luò)中所有網(wǎng)絡(luò)設(shè)備上的所有網(wǎng)絡(luò)活動(dòng),包括實(shí)現(xiàn)商業(yè)關(guān)鍵操作的計(jì)算機(jī)之間的通信將被阻斷的真實(shí)可能性��。例如,假定商業(yè)關(guān)鍵應(yīng)用程序在應(yīng)用程序服務(wù)器上運(yùn)行�,且依賴于獲取儲(chǔ)存在計(jì)算機(jī)網(wǎng)絡(luò)中別處的數(shù)據(jù)庫(kù)服務(wù)器上的信息。阻斷所有的網(wǎng)絡(luò)活動(dòng)必定意味著該應(yīng)用程序服務(wù)器將無(wú)法從該數(shù)據(jù)庫(kù)服務(wù)器獲取信息�����,由此使商業(yè)關(guān)鍵應(yīng)用程序暫停�����。
在2004年2月13日提交的�,名為“System and Method for Protecing a ComputingDevice From Computer Exploits Delivered Over a Networked Environment in aSecured Communication(用于保護(hù)計(jì)算設(shè)備免遭在安全通信中通過(guò)聯(lián)網(wǎng)環(huán)境傳送的計(jì)算機(jī)惡意利用的系統(tǒng)和方法)”的共同轉(zhuǎn)讓的美國(guó)臨時(shí)專利申請(qǐng)第60/544,772號(hào)中詳細(xì)描述的一種解決方案是使用對(duì)網(wǎng)絡(luò)安全模塊的覆蓋,由此繞過(guò)被設(shè)計(jì)成保護(hù)網(wǎng)絡(luò)設(shè)備的安全措施�。然而,在許多情況下���,包括大多數(shù)商業(yè)環(huán)境�����,可能不希望網(wǎng)絡(luò)安全模塊包括覆蓋。大多數(shù)系統(tǒng)管理員寧愿確定哪些(如果有的話)計(jì)算機(jī)應(yīng)當(dāng)能夠覆蓋保護(hù)性安全措施����。
鑒于上述問(wèn)題�,所需要的是一種當(dāng)通過(guò)網(wǎng)絡(luò)的通信活動(dòng)由于安全威脅而受限制時(shí)使VLAN內(nèi)的特定網(wǎng)絡(luò)設(shè)備能夠通信的系統(tǒng)和方法?����,F(xiàn)有技術(shù)中找到的這些和其它問(wèn)題由本發(fā)明來(lái)解決�����。
發(fā)明內(nèi)容
依照本發(fā)明��,提供了一種當(dāng)網(wǎng)絡(luò)活動(dòng)一般被網(wǎng)絡(luò)安全模塊實(shí)現(xiàn)的保護(hù)性安全措施阻斷時(shí)在通信網(wǎng)絡(luò)上以安全的方式使第一網(wǎng)絡(luò)設(shè)備能夠繼續(xù)進(jìn)行網(wǎng)絡(luò)活動(dòng)的系統(tǒng)���。該系統(tǒng)包括一通信網(wǎng)絡(luò)和包括第一網(wǎng)絡(luò)安全模塊的多個(gè)網(wǎng)絡(luò)安全模塊��。多個(gè)網(wǎng)絡(luò)安全模塊的每一個(gè)被放入通信網(wǎng)絡(luò)和網(wǎng)絡(luò)設(shè)備之間��,特別地���,第一網(wǎng)絡(luò)安全模塊被放入通信網(wǎng)絡(luò)和第一網(wǎng)絡(luò)設(shè)備之間。此外��,多個(gè)網(wǎng)絡(luò)安全模塊的每一個(gè)通過(guò)實(shí)現(xiàn)從安全服務(wù)獲得的安全措施來(lái)控制來(lái)往于受保護(hù)網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)活動(dòng)�����。該系統(tǒng)也包括至少向第一網(wǎng)絡(luò)安全模塊提供安全措施的安全服務(wù)。該安全服務(wù)可由管理員來(lái)配置��,使得當(dāng)多個(gè)網(wǎng)絡(luò)安全模塊實(shí)現(xiàn)阻斷來(lái)往于多個(gè)網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)活動(dòng)的安全措施時(shí)�,該安全服務(wù)向第一網(wǎng)絡(luò)安全模塊提供一組寬松的安全措施。當(dāng)該組寬松的安全措施由第一網(wǎng)絡(luò)安全模塊實(shí)現(xiàn)時(shí)��,第一網(wǎng)絡(luò)設(shè)備至少可繼續(xù)進(jìn)行某些網(wǎng)絡(luò)活動(dòng)��。
依照本發(fā)明的其它方面��,提供了一種在通信網(wǎng)絡(luò)中的安全服務(wù)上實(shí)現(xiàn)的方法����,用于當(dāng)通信網(wǎng)絡(luò)上的網(wǎng)絡(luò)活動(dòng)被由網(wǎng)絡(luò)安全模塊實(shí)現(xiàn)的保護(hù)性安全措施阻斷時(shí)在通信網(wǎng)絡(luò)上以安全的方式使第一網(wǎng)絡(luò)設(shè)備能夠繼續(xù)進(jìn)行網(wǎng)絡(luò)活動(dòng)。從網(wǎng)絡(luò)安全模塊接收對(duì)安全措施的請(qǐng)求����。該網(wǎng)絡(luò)安全模塊被放入通信網(wǎng)絡(luò)和第一網(wǎng)絡(luò)設(shè)備之間。確定該安全服務(wù)是否被配置成向網(wǎng)絡(luò)安全模塊傳送一組寬松的安全措施���。當(dāng)該組寬松的安全措施由網(wǎng)絡(luò)安全模塊實(shí)現(xiàn)時(shí)�����,它們將在通信網(wǎng)絡(luò)上以安全的方式使第一網(wǎng)絡(luò)設(shè)備能夠繼續(xù)進(jìn)行網(wǎng)絡(luò)活動(dòng)��。如果確定安全服務(wù)被配置成向網(wǎng)絡(luò)安全模塊傳送一組寬松的安全措施�����,則該組寬松的安全措施被返回給網(wǎng)絡(luò)安全模塊�。
依照本發(fā)明的還有一些方面��,提出了一種載有計(jì)算機(jī)可執(zhí)行指令的計(jì)算機(jī)可讀介質(zhì)���。當(dāng)在向放入通信網(wǎng)絡(luò)和網(wǎng)絡(luò)設(shè)備之間的多個(gè)網(wǎng)絡(luò)安全模塊提供安全措施的計(jì)算設(shè)備上執(zhí)行時(shí)��,這些計(jì)算機(jī)可執(zhí)行指令實(shí)現(xiàn)一種當(dāng)通信網(wǎng)絡(luò)上的網(wǎng)絡(luò)活動(dòng)一般由網(wǎng)絡(luò)安全模塊實(shí)現(xiàn)的保護(hù)性安全措施阻斷時(shí)在通信網(wǎng)絡(luò)上以安全的方式使第一網(wǎng)絡(luò)設(shè)備能夠繼續(xù)進(jìn)行網(wǎng)絡(luò)活動(dòng)的方法�。該方法包括首先從放入通信網(wǎng)絡(luò)和第一網(wǎng)絡(luò)設(shè)備之間的網(wǎng)絡(luò)安全模塊接收對(duì)安全措施的請(qǐng)求���。然后確定安全服務(wù)是否被配置成向網(wǎng)絡(luò)安全模塊傳送一組寬松的安全措施����。當(dāng)由網(wǎng)絡(luò)安全模塊實(shí)現(xiàn)時(shí)�����,該組寬松的安全措施將在通信網(wǎng)絡(luò)上以安全的方式使第一網(wǎng)絡(luò)設(shè)備能夠繼續(xù)進(jìn)行網(wǎng)絡(luò)活動(dòng)。之后���,如果確定安全服務(wù)被配置成向網(wǎng)絡(luò)安全模塊傳送該組寬松的安全措施��,則將該組寬松的安全措施返回給網(wǎng)絡(luò)安全模塊�����。
當(dāng)結(jié)合附圖參考以下詳細(xì)描述更好地理解時(shí)�,可以更容易地明白本發(fā)明的上述方面和許多附加優(yōu)點(diǎn)����,附圖中圖1是示出現(xiàn)有技術(shù)中找到的示例性聯(lián)網(wǎng)環(huán)境的圖示,計(jì)算機(jī)惡意利用通常通過(guò)這樣的環(huán)境分發(fā)�����;圖2是示出用于實(shí)現(xiàn)本發(fā)明的各方面的示例性物理聯(lián)網(wǎng)環(huán)境的圖示�����;圖3是示出圖2的示例性物理聯(lián)網(wǎng)環(huán)境的圖示�����,它被組織成邏輯VLAN,并適用于實(shí)現(xiàn)本發(fā)明的各方面���。
圖4A示出了保護(hù)聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)安全模塊和安全服務(wù)之間的示例性交換�����,用于獲取保護(hù)聯(lián)網(wǎng)設(shè)備的安全措施;圖4B示出了保護(hù)受保護(hù)VLAN中的聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)安全模塊和聯(lián)合安全服務(wù)之間的示例性交換���,該聯(lián)合安全服務(wù)用于獲取使受保護(hù)網(wǎng)絡(luò)設(shè)備能夠與受保護(hù)VLAN中的其它聯(lián)網(wǎng)設(shè)備通信的安全措施�;圖5是示出在聯(lián)網(wǎng)安全服務(wù)上執(zhí)行的示例性例程的流程圖���,該例程用于使受保護(hù)VLAN中的網(wǎng)絡(luò)設(shè)備能夠與其它啟用的網(wǎng)絡(luò)設(shè)備進(jìn)行通信��;圖6示出了在以安全方式將網(wǎng)絡(luò)客戶機(jī)添加到受保護(hù)VLAN時(shí)�,網(wǎng)絡(luò)設(shè)備和對(duì)應(yīng)的網(wǎng)絡(luò)安全模塊���、聯(lián)合安全服務(wù)以及路由器之間的示例性交換��;圖7是示出在網(wǎng)絡(luò)路由器上執(zhí)行的示例性例程的流程圖����,該例程用于以安全的方式將網(wǎng)絡(luò)設(shè)備添加到受保護(hù)VLAN;以及圖8是示出在聯(lián)合安全服務(wù)上執(zhí)行的示例性例程的流程圖��,該例程用于向網(wǎng)絡(luò)路由器提供安全狀態(tài)信息�,以協(xié)助以安全的方式將網(wǎng)絡(luò)設(shè)備添加到受保護(hù)VLAN。
具體實(shí)施例方式
如上所述�,本發(fā)明針對(duì)當(dāng)網(wǎng)絡(luò)上的通信活動(dòng)一般由于網(wǎng)絡(luò)安全模塊響應(yīng)于檢測(cè)到的易受攻擊性實(shí)現(xiàn)的安全措施而受限制時(shí),使VLAN內(nèi)的特定網(wǎng)絡(luò)設(shè)備能夠進(jìn)行通信���。圖2是示出適用于實(shí)現(xiàn)本發(fā)明的各方面的示例性聯(lián)網(wǎng)環(huán)境200的圖示��。示例性聯(lián)網(wǎng)環(huán)境200包括依照本發(fā)明的各方面適合的通用安全服務(wù)204和物理網(wǎng)絡(luò)202�����,它們都連接到因特網(wǎng)206�。
如圖2所示���,示例性物理網(wǎng)絡(luò)202包括路由器208和聯(lián)合安全服務(wù)210��。同樣包括在示例性物理網(wǎng)絡(luò)202中的是網(wǎng)絡(luò)交換機(jī)212-216和網(wǎng)絡(luò)計(jì)算設(shè)備220-234����。如可以在圖2中見到的��,物理網(wǎng)絡(luò)202中的網(wǎng)絡(luò)設(shè)備由包括網(wǎng)絡(luò)安全模塊246-252的網(wǎng)絡(luò)安全模塊來(lái)保護(hù)。例如�����,路由器208由網(wǎng)絡(luò)安全模塊250來(lái)保護(hù)����,圖形輸入板計(jì)算機(jī)228由網(wǎng)絡(luò)安全模塊246來(lái)保護(hù)����,而交換機(jī)C 216由網(wǎng)絡(luò)安全模塊252來(lái)保護(hù)。然而����,應(yīng)當(dāng)理解,本發(fā)明可以在其中僅諸如網(wǎng)絡(luò)計(jì)算設(shè)備220-234等網(wǎng)絡(luò)計(jì)算設(shè)備由網(wǎng)絡(luò)安全模塊保護(hù)的物理網(wǎng)絡(luò)中實(shí)現(xiàn)��。
盡管示例性物理網(wǎng)絡(luò)202被示出為包括某些網(wǎng)絡(luò)硬件設(shè)備�����,尤其是路由器208和交換機(jī)212-216��,然而應(yīng)當(dāng)理解�,示例性物理網(wǎng)絡(luò)僅用作說(shuō)明的目的��,并且不應(yīng)當(dāng)被解釋為限制本發(fā)明����。本領(lǐng)域的技術(shù)人員將會(huì)理解�����,物理網(wǎng)絡(luò)可包括以多種配置組織的任意數(shù)量的網(wǎng)絡(luò)相關(guān)硬件設(shè)備�,所有這些都被構(gòu)想為落入本發(fā)明的范圍之內(nèi)。
如上所述�����,聯(lián)合安全服務(wù)210作為對(duì)于來(lái)自安全服務(wù)204的安全措施的分發(fā)點(diǎn)操作�����。很清楚���,諸如安全服務(wù)204等向多個(gè)網(wǎng)絡(luò)和個(gè)別計(jì)算設(shè)備提供安全措施的通用/全球安全服務(wù)實(shí)際上不能用與它所服務(wù)的網(wǎng)絡(luò)和設(shè)備有關(guān)的特定信息來(lái)管理和配置��。然而�,當(dāng)在諸如物理網(wǎng)絡(luò)202等物理網(wǎng)絡(luò)內(nèi)建立諸如聯(lián)合安全服務(wù)210等聯(lián)合安全服務(wù)時(shí)��,尤其是用于服務(wù)網(wǎng)絡(luò)內(nèi)的網(wǎng)絡(luò)安全模塊的聯(lián)合安全服務(wù),則依照特定的網(wǎng)絡(luò)關(guān)注事項(xiàng)�����、需求和環(huán)境來(lái)管理和配置對(duì)網(wǎng)絡(luò)及其網(wǎng)絡(luò)設(shè)備的聯(lián)合安全服務(wù)將是切合實(shí)際且有益的�。當(dāng)物理網(wǎng)絡(luò)202上的網(wǎng)絡(luò)活動(dòng)一般由于檢測(cè)到的易受攻擊性而被網(wǎng)絡(luò)安全模塊阻斷從而使關(guān)鍵的操作暫停時(shí),會(huì)引起本地管理的一個(gè)這樣的應(yīng)用��。如下文更詳細(xì)地描述的�����,聯(lián)合安全服務(wù)210可以在管理上被配置成當(dāng)滿足某些準(zhǔn)則時(shí)向特定的網(wǎng)絡(luò)設(shè)備提供一組寬松的安全措施��,使得該特定網(wǎng)絡(luò)設(shè)備可以繼續(xù)進(jìn)行網(wǎng)絡(luò)活動(dòng)�。此外��,聯(lián)合安全服務(wù)210也可被配置成與路由器208或物理網(wǎng)絡(luò)202內(nèi)的某些其它網(wǎng)絡(luò)相關(guān)設(shè)備協(xié)作����,以將計(jì)算機(jī)安全地連接(或重連接)到物理網(wǎng)絡(luò),尤其是網(wǎng)絡(luò)內(nèi)的VLAN���。
如上所述���,物理網(wǎng)絡(luò)202可被組織成任意數(shù)量的邏輯子網(wǎng)絡(luò)�����,即VLAN�����,而不管網(wǎng)絡(luò)及其設(shè)備的實(shí)際物理排列如何���。僅為了說(shuō)明起見,圖2包括物理網(wǎng)絡(luò)202中三種類型的網(wǎng)絡(luò)計(jì)算設(shè)備工作站��,包括工作站220�����、226����、232、234和236���;筆記本計(jì)算機(jī)��,包括筆記本計(jì)算機(jī)222����、224、230和244�;以及圖形輸入板計(jì)算機(jī),包括圖形輸入板計(jì)算機(jī)228����、238、240和242���。由于物理網(wǎng)絡(luò)202可以被虛擬地配置成邏輯配置�����,則如果網(wǎng)絡(luò)管理員如此傾向,可對(duì)每一類計(jì)算設(shè)備創(chuàng)建VLAN��,其中每一VLAN僅包含一種類型的計(jì)算設(shè)備��。圖3是示出圖2的示例性物理網(wǎng)絡(luò)202的圖示����,它依照計(jì)算設(shè)備類型被組織成VLAN���,并適用于實(shí)現(xiàn)和說(shuō)明本發(fā)明的各方面。
圖3示出了以上描述的三個(gè)VLAN��,具體地為筆記本VLAN 302���、工作站VLAN304以及圖形輸入板計(jì)算機(jī)VLAN 306���。本領(lǐng)域的技術(shù)人員可以理解,VLAN內(nèi)的網(wǎng)絡(luò)設(shè)備通?��?膳cVLAN內(nèi)的其它網(wǎng)絡(luò)設(shè)備進(jìn)行通信�����。本領(lǐng)域的技術(shù)人員也可以認(rèn)識(shí)到����,全異的VALN內(nèi)的網(wǎng)絡(luò)設(shè)備之間的通信也可發(fā)生�。然而,為本討論的目的����,假定VLAN被配置成使得網(wǎng)絡(luò)設(shè)備僅與特定VLAN內(nèi)的其它網(wǎng)絡(luò)設(shè)備通信����。除計(jì)算設(shè)備之間的通信之外��,網(wǎng)絡(luò)202被配置成準(zhǔn)許網(wǎng)絡(luò)設(shè)備或網(wǎng)絡(luò)安全模塊與聯(lián)合安全服務(wù)210或安全服務(wù)204(圖2)通信���。
在一個(gè)實(shí)施例中����,本發(fā)明用于當(dāng)網(wǎng)絡(luò)活動(dòng)一般由響應(yīng)于檢測(cè)到的易受攻擊性來(lái)實(shí)現(xiàn)安全措施的網(wǎng)絡(luò)安全模塊阻斷時(shí)使特定的網(wǎng)絡(luò)設(shè)備能夠繼續(xù)進(jìn)行網(wǎng)絡(luò)活動(dòng)�。例如,可檢測(cè)到在因特網(wǎng)206上流通的尤其致命的計(jì)算機(jī)惡意利用����,并且操作系統(tǒng)提供商最初確定該惡意利用對(duì)運(yùn)行其操作系統(tǒng)的所有計(jì)算設(shè)備,包括物理網(wǎng)絡(luò)202內(nèi)的那些計(jì)算設(shè)備造成重大威脅���。由此��,操作系統(tǒng)提供商通過(guò)安全服務(wù)204公布初始安全措施,該安全措施實(shí)際上指導(dǎo)網(wǎng)絡(luò)安全模塊阻斷來(lái)往于受保護(hù)網(wǎng)絡(luò)設(shè)備的所有網(wǎng)絡(luò)活動(dòng)���。這些初始安全措施也被分發(fā)到任何聯(lián)合安全服務(wù)��,包括駐留在物理網(wǎng)絡(luò)202內(nèi)的聯(lián)合安全服務(wù)210��。由此����,當(dāng)物理網(wǎng)絡(luò)202內(nèi)的網(wǎng)絡(luò)安全模塊,包括網(wǎng)絡(luò)安全模塊246-254輪詢聯(lián)合安全服務(wù)210并獲得初始安全措施時(shí)��,物理網(wǎng)絡(luò)202中的網(wǎng)絡(luò)活動(dòng)���,包括VLAN內(nèi)的網(wǎng)絡(luò)設(shè)備之間的網(wǎng)絡(luò)活動(dòng)都被阻斷��。
繼續(xù)以上示例�,假定物理網(wǎng)絡(luò)202是商業(yè)網(wǎng)絡(luò)��,且工作站VLAN 304中的工作站是運(yùn)行依賴于位于工作站236上的數(shù)據(jù)庫(kù)服務(wù)器上運(yùn)行的信息的商業(yè)關(guān)鍵應(yīng)用程序的應(yīng)用程序服務(wù)器����。很清楚,當(dāng)網(wǎng)絡(luò)活動(dòng)由于所檢測(cè)到的計(jì)算機(jī)惡意利用造成的威脅而被網(wǎng)絡(luò)安全模塊248和254阻斷時(shí)���,該商業(yè)關(guān)鍵應(yīng)用程序被暫停���。很明顯�����,其商業(yè)關(guān)鍵應(yīng)用程序現(xiàn)在被暫停的企業(yè)很清楚希望至少繼續(xù)進(jìn)行那些操作��,并被保護(hù)以免遭檢測(cè)到的計(jì)算機(jī)惡意利用造成的威脅��。
仍繼續(xù)以上示例����,如果在實(shí)現(xiàn)安全措施之前整個(gè)物理網(wǎng)絡(luò)202不被檢測(cè)到的計(jì)算機(jī)惡意利用感染�,則整個(gè)網(wǎng)絡(luò)由保護(hù)路由器208的網(wǎng)絡(luò)安全模塊250來(lái)保護(hù)。這可以意味著物理網(wǎng)絡(luò)202內(nèi)的網(wǎng)絡(luò)設(shè)備之間的網(wǎng)絡(luò)活動(dòng)可繼續(xù)進(jìn)行�,而不必?fù)?dān)心來(lái)自所檢測(cè)到的計(jì)算機(jī)惡意利用的感染。很清楚���,向多個(gè)網(wǎng)絡(luò)�、計(jì)算機(jī)和設(shè)備提供安全措施的通用安全服務(wù)�����,如安全服務(wù)204(圖2)�����,實(shí)際上不能維持具體的����、特定的網(wǎng)絡(luò)配置,以及評(píng)估這些配置來(lái)確定允許哪些設(shè)備繼續(xù)進(jìn)行網(wǎng)絡(luò)活動(dòng)以及與誰(shuí)的活動(dòng)��。然而���,當(dāng)網(wǎng)絡(luò)包括其自己的聯(lián)合安全服務(wù)���,諸如聯(lián)合安全服務(wù)210時(shí),關(guān)于網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)配置的網(wǎng)絡(luò)專用信息可在該聯(lián)合安全服務(wù)上儲(chǔ)存和管理�����,以便確定在維持網(wǎng)絡(luò)安全性的同時(shí)是否允許特定的設(shè)備繼續(xù)進(jìn)行網(wǎng)絡(luò)活動(dòng)�����。
依照本發(fā)明的各方面�,管理員可配置聯(lián)合安全服務(wù)210以向保護(hù)網(wǎng)絡(luò)設(shè)備的特定網(wǎng)絡(luò)安全模塊提供一組寬松的安全措施。該組寬松的安全措施可準(zhǔn)許諸如工作站234和236等受保護(hù)網(wǎng)絡(luò)設(shè)備���,或工作站VLAN 304內(nèi)所有的設(shè)備繼續(xù)進(jìn)行與其它啟用的網(wǎng)絡(luò)設(shè)備的活動(dòng)�。之后,當(dāng)諸如網(wǎng)絡(luò)安全模塊248和254等每一網(wǎng)絡(luò)安全模塊周期性地向聯(lián)合安全服務(wù)210輪詢最近/當(dāng)前的安全措施時(shí)���,聯(lián)合安全服務(wù)可識(shí)別更新請(qǐng)求的來(lái)源����,并返回對(duì)應(yīng)于受保護(hù)網(wǎng)絡(luò)設(shè)備的一組安全措施���。
如上文結(jié)合的參考中所描述的��,當(dāng)網(wǎng)絡(luò)安全模塊輪詢安全服務(wù)204(圖2)或聯(lián)合安全服務(wù)210來(lái)獲得更新的安全措施時(shí)����,返回一組安全措施而沒(méi)有任何附加的信息交換�。然而,依照本發(fā)明的各方面�����,其中聯(lián)合安全服務(wù)210為網(wǎng)絡(luò)的目的而位于網(wǎng)絡(luò)202的邊界內(nèi)�����,該聯(lián)合安全服務(wù)可被配置成在向網(wǎng)絡(luò)安全模塊返回一組安全措施之前向網(wǎng)絡(luò)安全模塊/受保護(hù)網(wǎng)絡(luò)設(shè)備查詢附加配置信息?���;谠摳郊优渲眯畔ⅲ蛉鄙俑郊优渲眯畔?�,聯(lián)合安全服務(wù)210確定要返回給網(wǎng)絡(luò)安全模塊的一組安全措施��。該附加信息可包括����,但不限于�����,特定軟件或反病毒更新是否被安裝在受保護(hù)網(wǎng)絡(luò)設(shè)備上���、網(wǎng)絡(luò)設(shè)備是否位于特定的VLAN內(nèi)��、網(wǎng)絡(luò)設(shè)備執(zhí)行或在其上執(zhí)行的測(cè)試應(yīng)用程序是否確認(rèn)該網(wǎng)絡(luò)設(shè)備沒(méi)有計(jì)算機(jī)惡意利用等等�。獲得關(guān)于網(wǎng)絡(luò)設(shè)備的這一附加信息在下文參考圖4A和4B示出�。
圖4A示出了保護(hù)網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)安全模塊和安全服務(wù)204或聯(lián)合安全服務(wù)210之間的示例性交換,用于獲取保護(hù)網(wǎng)絡(luò)設(shè)備免于檢測(cè)到的易受攻擊性的安全措施����。具體地����,該示例性交換示出了網(wǎng)絡(luò)安全模塊如上文在結(jié)合的參考中描述的獲取保護(hù)性安全措施的典型方式�����。這兩者之間的交換按照事件來(lái)描述��。如圖4A所示�,如由事件402所指示的,作為其周期性更新過(guò)程的一部分����,諸如網(wǎng)絡(luò)安全模塊248等網(wǎng)絡(luò)安全模塊向安全服務(wù)204或聯(lián)合安全服務(wù)210輪詢更新的/當(dāng)前的安全措施。作為響應(yīng)�����,如由事件404所指示的�����,安全服務(wù)204向網(wǎng)絡(luò)安全模塊返回最新的安全措施。在獲取更新的/當(dāng)前的安全措施以后�����,網(wǎng)絡(luò)安全模塊實(shí)現(xiàn)它們����,由此保護(hù)了網(wǎng)絡(luò)設(shè)備。
不幸的是�,如上所述,在某些條件下��,安全服務(wù)204和網(wǎng)絡(luò)安全模塊之間的典型交換可以實(shí)際上是關(guān)鍵的計(jì)算機(jī)活動(dòng)�����,尤其是依賴于網(wǎng)絡(luò)通信的那些活動(dòng)暫停�����。由此���,與圖4A所描述的示例性交換400相反,圖4B示出了保護(hù)網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)安全模塊248和聯(lián)合安全服務(wù)210之間的示例性交換420�����,用于獲取保護(hù)網(wǎng)絡(luò)設(shè)備免于檢測(cè)到的易受攻擊性。在其周期性更新過(guò)程中�����,如由事件422所示���,網(wǎng)絡(luò)安全模塊248向聯(lián)合安全服務(wù)210輪詢保護(hù)網(wǎng)絡(luò)設(shè)備的更新的/當(dāng)前的安全措施�����。在這一情況下�,聯(lián)合安全服務(wù)210由管理員來(lái)配置�,以向該特定網(wǎng)絡(luò)安全模塊248提供一組寬松的安全措施,使得受保護(hù)網(wǎng)絡(luò)設(shè)備可通過(guò)網(wǎng)絡(luò)進(jìn)行通信����。具體地,在這一示例性交換中���,聯(lián)合安全服務(wù)210被配置成向網(wǎng)絡(luò)安全模塊248請(qǐng)求附加信息�。
由此�����,響應(yīng)于該請(qǐng)求,如由事件424所指示的���,聯(lián)合安全服務(wù)210向網(wǎng)絡(luò)安全模塊248請(qǐng)求附加信息����。如上所述��,該附加信息可包括���,但不限于�����,受保護(hù)設(shè)備是否沒(méi)有計(jì)算機(jī)惡意利用、受保護(hù)設(shè)備是否安裝了特定的軟件更新或反病毒更新����、受保護(hù)設(shè)備是否位于特定VLAN內(nèi)等等。網(wǎng)絡(luò)安全模塊248可以已經(jīng)擁有這一附加信息����,或者,可能需要從受保護(hù)網(wǎng)絡(luò)設(shè)備獲取該信息。
一旦網(wǎng)絡(luò)安全模塊248具有該附加信息���,它被提交到聯(lián)合安全服務(wù)210�����,如由事件426所指示的��。在接收附加信息之后���,并假定附加信息的內(nèi)容滿足由管理員建立的用于提供一組寬松的安全措施的準(zhǔn)則,則聯(lián)合安全服務(wù)210向網(wǎng)絡(luò)安全模塊248返回一組寬松的安全措施���,如由事件428所指示的��。該組寬松的安全措施指導(dǎo)網(wǎng)絡(luò)安全模塊�,以允許受保護(hù)網(wǎng)絡(luò)設(shè)備繼續(xù)進(jìn)行某些通信/網(wǎng)絡(luò)活動(dòng)����,如打開未受影響的TCP端口等等。當(dāng)然�,聯(lián)合安全服務(wù)可確定附加信息無(wú)法滿足由管理員建立的用于提供一組寬松的安全措施的準(zhǔn)則,在這一情況下��,向網(wǎng)絡(luò)安全設(shè)備248返回“典型的”安全措施,并且來(lái)往于受保護(hù)網(wǎng)絡(luò)設(shè)備的通信保持被阻斷���。
圖5是示出在聯(lián)合安全服務(wù)210上執(zhí)行的示例性例程500的流程圖�����,用于當(dāng)網(wǎng)絡(luò)活動(dòng)一般由于檢測(cè)到的易受攻擊性而被阻斷時(shí)使由網(wǎng)絡(luò)安全模塊保護(hù)的網(wǎng)絡(luò)設(shè)備能夠繼續(xù)進(jìn)行某些網(wǎng)絡(luò)活動(dòng)�。在框502開始����,聯(lián)合安全服務(wù)210從與網(wǎng)絡(luò)設(shè)備相關(guān)聯(lián)的網(wǎng)絡(luò)安全模塊接收對(duì)更新的安全措施的請(qǐng)求。
在判別框504�,確定是否應(yīng)當(dāng)向該特定網(wǎng)絡(luò)設(shè)備給予特殊的考慮。這些特殊考慮由管理員在依照特殊需求配置聯(lián)合安全服務(wù)210時(shí)建立��。這些特殊考慮可包括用于確定保護(hù)網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)安全模塊是否可獲得除用于該網(wǎng)絡(luò)的通用安全措施以外的替換安全措施的指令���,這些替換安全措施包括以上描述的一組寬松的安全措施。通常�,特殊的考慮是對(duì)特定的網(wǎng)絡(luò)設(shè)備和對(duì)應(yīng)的網(wǎng)絡(luò)安全模塊所建立的,或者對(duì)駐留在特定VLAN內(nèi)的網(wǎng)絡(luò)設(shè)備和對(duì)應(yīng)的網(wǎng)絡(luò)安全模塊所建立的���。由此如果網(wǎng)絡(luò)設(shè)備/網(wǎng)絡(luò)安全模塊不被標(biāo)識(shí)為接收特殊考慮的那些設(shè)備/模塊之一����,則在框506,聯(lián)合安全服務(wù)210用一般適用于該網(wǎng)絡(luò)的典型安全措施響應(yīng)���,然后終止����。
如果網(wǎng)絡(luò)設(shè)備/網(wǎng)絡(luò)安全模塊可被標(biāo)識(shí)為向其給予特殊考慮的設(shè)備/模塊之一���,則在框508�����,聯(lián)合安全服務(wù)210用對(duì)附加信息的請(qǐng)求響應(yīng)��。如上所述��,該附加信息可包括是否安裝了特定軟件更新���、是否安裝了當(dāng)前的反病毒軟件版本、該網(wǎng)絡(luò)設(shè)備是否被證明為沒(méi)有計(jì)算機(jī)惡意利用的等等��。盡管該示例性例程500示出了聯(lián)合安全服務(wù)210總是請(qǐng)求附加信息��,然而在另一實(shí)施例中,可首先做出關(guān)于是否獲取任何附加信息的測(cè)試��,或者簡(jiǎn)單地將一組替換/寬松的安全措施作為對(duì)每一管理員的配置而提供�����。
在框510���,聯(lián)合安全服務(wù)210接收所請(qǐng)求的附加信息����。在判別框512�,確定該附加信息是否滿足由管理員建立的準(zhǔn)則,該準(zhǔn)則用于向網(wǎng)絡(luò)安全模塊提供替換的安全措施�����,諸如一組寬松的安全措施��。如果附加信息無(wú)法滿足用于提供一組寬松的安全措施的準(zhǔn)則�,則在框506,聯(lián)合安全服務(wù)210返回用于通用網(wǎng)絡(luò)的典型安全措施�����,然后終止���。然而�,如果附加信息滿足所建立的準(zhǔn)則��,則在框514���,聯(lián)合安全服務(wù)210向網(wǎng)絡(luò)安全模塊返回一組寬松的安全措施��。當(dāng)由網(wǎng)絡(luò)安全模塊實(shí)現(xiàn)時(shí)��,該組寬松的安全措施將準(zhǔn)許受保護(hù)的網(wǎng)絡(luò)設(shè)備繼續(xù)進(jìn)行某些網(wǎng)絡(luò)活動(dòng)�����,諸如與其它類似地啟用的網(wǎng)絡(luò)設(shè)備進(jìn)行通信�����。之后����,示例性例程500終止��。
盡管示例性例程500包括從網(wǎng)絡(luò)安全模塊接收請(qǐng)求,然而在另一實(shí)施例中���,來(lái)自網(wǎng)絡(luò)安全模塊的請(qǐng)求是在該例程外部接收/處理的���,并啟動(dòng)例程500的剩余部分。因此��,示例性例程500應(yīng)當(dāng)被視為說(shuō)明性的����,并非被解釋為限制本發(fā)明。
如上所述����,本發(fā)明的各方面也可用于以安全的方式,即保護(hù)網(wǎng)絡(luò)免遭計(jì)算機(jī)惡意利用的方式將計(jì)算機(jī)連接或重新連接到網(wǎng)絡(luò)�,該計(jì)算機(jī)惡意利用否則可由所“添加”的計(jì)算機(jī)或其它網(wǎng)絡(luò)設(shè)備引入。圖6示出了在以安全的方式將網(wǎng)絡(luò)設(shè)備添加到網(wǎng)絡(luò)時(shí)�����,網(wǎng)絡(luò)設(shè)備及其網(wǎng)絡(luò)安全模塊(為圖6的目的總稱為網(wǎng)絡(luò)設(shè)備602)�����,聯(lián)合安全服務(wù)210以及路由器208之間的示例性交換600。示例性交換600當(dāng)網(wǎng)絡(luò)設(shè)備602被連接到網(wǎng)絡(luò)時(shí)開始�。
如事件604所指示的���,網(wǎng)絡(luò)設(shè)備602經(jīng)由其網(wǎng)絡(luò)安全模塊向路由器208請(qǐng)求IP地址�����。本領(lǐng)域的技術(shù)人員可以理解�,除請(qǐng)求IP地址以外��,該請(qǐng)求通常也可包括加入網(wǎng)絡(luò)中的特定VLAN的請(qǐng)求�����。作為響應(yīng)���,路由器208返回將網(wǎng)絡(luò)設(shè)備放置在隔離的VLAN中的IP地址�,如事件606所指示的���,而不是給予網(wǎng)絡(luò)設(shè)備602所請(qǐng)求的VLAN內(nèi)的IP地址��。隔離的VLAN是這樣一種VLAN�,其中所添加的網(wǎng)絡(luò)設(shè)備是唯一的成員,且從該VLAN該網(wǎng)絡(luò)設(shè)備不能與網(wǎng)絡(luò)中除路由器和聯(lián)合安全服務(wù)210之外的任何其它網(wǎng)絡(luò)設(shè)備通信��。
如上文所結(jié)合的參考中所描述的�����,當(dāng)由網(wǎng)絡(luò)安全模塊保護(hù)的計(jì)算機(jī)或其它設(shè)備首先被加電或連接到網(wǎng)絡(luò)時(shí)���,或當(dāng)對(duì)應(yīng)的網(wǎng)絡(luò)安全模塊首先被假定或連接到網(wǎng)絡(luò)時(shí)�,該網(wǎng)絡(luò)安全模塊默認(rèn)地阻斷除與可信網(wǎng)絡(luò)位置之外的所有網(wǎng)絡(luò)活動(dòng)��。這些可信網(wǎng)絡(luò)位置包括��,但不限于��,聯(lián)合安全服務(wù)210或通用安全服務(wù)204����、反病毒更新位置、操作系統(tǒng)更新位置���、路由器208等等���。由此��,如由其網(wǎng)絡(luò)安全模塊所準(zhǔn)許的���,網(wǎng)絡(luò)設(shè)備602的第一網(wǎng)絡(luò)活動(dòng)是向安全服務(wù)輪詢最新的安全措施。在所示的交換600中���,網(wǎng)絡(luò)設(shè)備602向聯(lián)合安全服務(wù)210輪詢當(dāng)前的安全措施,如由事件608所指示的�����。
依照本發(fā)明的各方面����,聯(lián)合安全服務(wù)210由管理員依照預(yù)定的準(zhǔn)則來(lái)配置,以確定網(wǎng)絡(luò)設(shè)備602在其它VLAN中���,尤其是在由該設(shè)備在其IP地址請(qǐng)求中請(qǐng)求的VLAN中是否可信�。類似于相對(duì)于圖4B和5所描述的使阻斷的網(wǎng)絡(luò)設(shè)備能夠繼續(xù)進(jìn)行網(wǎng)絡(luò)活動(dòng)��,該預(yù)定準(zhǔn)則可包括�����,但不限于,是否在網(wǎng)絡(luò)設(shè)備上安裝了特定軟件更新�、是否安裝了當(dāng)前的反病毒軟件版本、該網(wǎng)絡(luò)設(shè)備是否能被證明為是沒(méi)有計(jì)算機(jī)惡意利用的����,等等。另外���,該預(yù)定準(zhǔn)則也可包括網(wǎng)絡(luò)設(shè)備是否通過(guò)網(wǎng)絡(luò)安全模塊連接到網(wǎng)絡(luò)����。
為測(cè)試網(wǎng)絡(luò)設(shè)備是否滿足預(yù)定準(zhǔn)則���,聯(lián)合安全服務(wù)210通過(guò)向網(wǎng)絡(luò)設(shè)備602請(qǐng)求附加信息來(lái)響應(yīng)��,如由事件610所指示的���。網(wǎng)絡(luò)設(shè)備602,尤其是其網(wǎng)絡(luò)安全模塊����,返回該附加信息�����,如由事件612所指示的��。假定該附加信息滿足預(yù)定準(zhǔn)則�,則聯(lián)合安全服務(wù)210向網(wǎng)絡(luò)設(shè)備602返回更新的安全措施����,如由事件614所指示的。這些更新的安全措施可以對(duì)應(yīng)于或不對(duì)應(yīng)于上述的一組寬松的安全措施�����。實(shí)際上��,更新的安全措施可指導(dǎo)網(wǎng)絡(luò)安全模塊繼續(xù)阻斷所有的網(wǎng)絡(luò)活動(dòng)����。在一個(gè)實(shí)施例中���,傳遞到網(wǎng)絡(luò)設(shè)備602的一組特定的安全措施是依照管理員配置來(lái)建立的��。
除向網(wǎng)絡(luò)設(shè)備602返回安全措施以外�����,聯(lián)合安全服務(wù)210向路由器208通知網(wǎng)絡(luò)設(shè)備的可信性�����,如由事件616所指示的�。假定網(wǎng)絡(luò)設(shè)備602依照預(yù)定準(zhǔn)則是可信的,則路由器208隨后從隔離的VLAN中移除該網(wǎng)絡(luò)設(shè)備�,然后將其放置在IP地址請(qǐng)求中所請(qǐng)求的VLAN中,如由事件618所指示的����。
示例性交換600突出了本發(fā)明的若干有益方面。例如��,如果網(wǎng)絡(luò)設(shè)備要連接到網(wǎng)絡(luò)而不受網(wǎng)絡(luò)安全模塊保護(hù)����,則它將會(huì)被放置在隔離的VLAN中,而無(wú)法與其它網(wǎng)絡(luò)設(shè)備通信�,且該網(wǎng)絡(luò)保持被保護(hù)以免遭任何計(jì)算機(jī)惡意利用感染該設(shè)備。網(wǎng)絡(luò)設(shè)備將保留在隔離的VLAN中���,直到管理員能夠手動(dòng)地解決將網(wǎng)絡(luò)設(shè)備添加到網(wǎng)絡(luò)中的其它VLAN的問(wèn)題�����。
本發(fā)明的另一有益方面是即使網(wǎng)絡(luò)設(shè)備602被放置在隔離的VLAN中���,該網(wǎng)絡(luò)設(shè)備也具有對(duì)網(wǎng)絡(luò)的開口����,通過(guò)該開口�,它可在建立/確定其可信性時(shí)自動(dòng)建立更高的通信級(jí)別。更具體地�����,網(wǎng)絡(luò)設(shè)備首先被放置在一個(gè)位置中���,在該位置中,如果網(wǎng)絡(luò)設(shè)備被計(jì)算機(jī)惡意利用感染��,則該網(wǎng)絡(luò)設(shè)備不能感染網(wǎng)絡(luò)中的其它網(wǎng)絡(luò)設(shè)備�。然而,如果它通過(guò)網(wǎng)絡(luò)安全模塊連接����,則她能夠與聯(lián)合安全服務(wù)210通信���,從而允許它建立可信性。當(dāng)網(wǎng)絡(luò)設(shè)備602建立其可信性時(shí)�,聯(lián)合安全服務(wù)210通知路由器208或其它網(wǎng)絡(luò)組件準(zhǔn)許該網(wǎng)絡(luò)設(shè)備加入該網(wǎng)絡(luò)中的其它VLAN。
圖7是示出在路由器208或其它網(wǎng)絡(luò)組件上執(zhí)行的示例性例程700的流程圖��,該例程用于以安全的方式將網(wǎng)絡(luò)設(shè)備602添加到網(wǎng)絡(luò)VLAN��。從框702開始�,路由器208從網(wǎng)絡(luò)設(shè)備602接收IP地址請(qǐng)求。在框704���,路由器208向網(wǎng)絡(luò)設(shè)備602返回一IP地址�,并將該網(wǎng)絡(luò)設(shè)備放置在一隔離的VALN中���。在之后的某一點(diǎn)�����,在框706�����,路由器208從聯(lián)合安全服務(wù)210接收安全狀態(tài)信息�。如上所述,該安全狀態(tài)信息指示網(wǎng)絡(luò)設(shè)備602的可信性�,即該網(wǎng)絡(luò)設(shè)備是否滿足用于準(zhǔn)許網(wǎng)絡(luò)設(shè)備進(jìn)入所請(qǐng)求的VLAN中的預(yù)定準(zhǔn)則。
在判別框708�,路由器208確定網(wǎng)絡(luò)設(shè)備602是否滿足用于允許進(jìn)入所請(qǐng)求的VLAN中的安全準(zhǔn)則。如果網(wǎng)絡(luò)設(shè)備602無(wú)法滿足該安全準(zhǔn)則����,則將該網(wǎng)絡(luò)設(shè)備留在隔離的VLAN中,直到在之后的某一時(shí)刻����,在框706,路由器208再次從聯(lián)合安全服務(wù)210接收安全狀態(tài)信息�。該過(guò)程以此方式繼續(xù),直到在判別框708����,確定網(wǎng)絡(luò)設(shè)備692成功地滿足了用于允許網(wǎng)絡(luò)設(shè)備進(jìn)入所請(qǐng)求的受保護(hù)VLAN的預(yù)定安全準(zhǔn)則。之后���,路由器208將網(wǎng)絡(luò)設(shè)備602添加到所請(qǐng)求的VLAN,且例程700終止�。
類似于上文相對(duì)于圖5所描述的,盡管示例性例程700被描述為包括從網(wǎng)絡(luò)安全模塊接收IP地址請(qǐng)求�,然而在另一實(shí)施例中��,該請(qǐng)求可在該例程外接收/處理���,并且啟動(dòng)示例性例程700的剩余部分。由此�����,示例性例程700應(yīng)當(dāng)被視為說(shuō)明性的���,且不能被解釋為限制本發(fā)明����。
圖8是示出在聯(lián)合安全服務(wù)210上執(zhí)行的示例性例程800的流程圖��,用于向路由器208提供安全狀態(tài)信息�����,以幫助如上文相對(duì)于圖7����,尤其是框706所描述的將網(wǎng)絡(luò)設(shè)備添加到受保護(hù)VLAN。從框802開始,接收對(duì)用于網(wǎng)絡(luò)設(shè)備692的當(dāng)前安全措施的請(qǐng)求���。在判別框804����,確定是否向網(wǎng)絡(luò)設(shè)備692給予任何特殊考慮�����,諸如相對(duì)于圖5所描述的那些考慮�。如果網(wǎng)絡(luò)設(shè)備602不被標(biāo)識(shí)為接收特殊考慮的設(shè)備,則在框806����,聯(lián)合安全服務(wù)210向網(wǎng)絡(luò)設(shè)備602返回典型的、一般適用的安全措施��,然后終止��。依照其它方面�,作為簡(jiǎn)單地終止的替換,即使當(dāng)網(wǎng)絡(luò)設(shè)備692不被標(biāo)識(shí)為接收特殊考慮的設(shè)備�����,聯(lián)合安全服務(wù)210仍可向路由器208通知網(wǎng)絡(luò)設(shè)備的安全狀態(tài)�����,如由到框816的可任選線所示的����。
如果聯(lián)合安全服務(wù)210被配置成向網(wǎng)絡(luò)設(shè)備692提供特殊考慮,則在框808�,聯(lián)合安全服務(wù)向客戶機(jī)請(qǐng)求附加信息。該對(duì)附加信息的請(qǐng)求一般類似于相對(duì)于圖5的框508所描述的請(qǐng)求����。在框810,聯(lián)合安全服務(wù)210接收關(guān)于網(wǎng)絡(luò)設(shè)備602的所請(qǐng)求的附加信息��。
在判別框812���,確定網(wǎng)絡(luò)設(shè)備602是否滿足用于接收一組寬松的安全措施的預(yù)定準(zhǔn)則���。如果未滿足該預(yù)定準(zhǔn)則,則在框806����,聯(lián)合安全服務(wù)210用典型的��、一般適用的安全措施來(lái)響應(yīng)�。然而����,如果網(wǎng)絡(luò)設(shè)備602滿足預(yù)定準(zhǔn)則,則在框814��,聯(lián)合安全服務(wù)210用一組寬松的安全措施來(lái)響應(yīng)�����。之后�,在框816,聯(lián)合安全服務(wù)210向路由器208通知網(wǎng)絡(luò)設(shè)備602的安全狀態(tài)�,然后終止。
類似于相對(duì)于圖5和7所描述的��,盡管示例性例程800被描述為包括從網(wǎng)絡(luò)安全模塊接收對(duì)當(dāng)前安全措施的請(qǐng)求����,然而在另一實(shí)施例中,該請(qǐng)求可在該例程外接收/處理����,并啟動(dòng)例程800的剩余部分�。因此�,上述例程800應(yīng)當(dāng)被視為說(shuō)明性的,且不被解釋為限制本發(fā)明��。
盡管示出并描述了本發(fā)明的各實(shí)施例��,包括較佳實(shí)施例���,然而可以理解,可以在不脫離本發(fā)明的精神和范圍的情況下對(duì)其做出各種改變��。
權(quán)利要求
1.一種用于當(dāng)網(wǎng)絡(luò)活動(dòng)一般被網(wǎng)絡(luò)安全模塊實(shí)現(xiàn)的保護(hù)性安全措施阻斷時(shí)�����,在通信網(wǎng)絡(luò)上以安全的方式使第一網(wǎng)絡(luò)設(shè)備能夠繼續(xù)進(jìn)行網(wǎng)絡(luò)活動(dòng)的系統(tǒng)����,所述系統(tǒng)包括通信網(wǎng)絡(luò);包括第一網(wǎng)絡(luò)安全模塊的多個(gè)網(wǎng)絡(luò)安全模塊�����,其中�����,所述多個(gè)網(wǎng)絡(luò)安全模塊的每一個(gè)被放入所述通信網(wǎng)絡(luò)和網(wǎng)絡(luò)設(shè)備之間,所述第一網(wǎng)絡(luò)安全模塊被放入所述通信網(wǎng)絡(luò)和所述第一網(wǎng)絡(luò)設(shè)備之間���,并且其中���,所述多個(gè)網(wǎng)絡(luò)安全模塊的每一個(gè)模塊通過(guò)實(shí)現(xiàn)從安全服務(wù)獲得的安全措施控制來(lái)往于受保護(hù)網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)活動(dòng);以及至少向所述第一網(wǎng)絡(luò)安全模塊提供安全措施的安全服務(wù)����,所述安全服務(wù)可由管理員配置,使得當(dāng)所述多個(gè)網(wǎng)絡(luò)安全模塊實(shí)現(xiàn)阻斷來(lái)往于所述多個(gè)網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)活動(dòng)時(shí)����,所述安全服務(wù)向所述第一網(wǎng)絡(luò)安全模塊提供一組寬松的安全措施,當(dāng)該組寬松的安全措施由所述第一網(wǎng)絡(luò)安全模塊實(shí)現(xiàn)時(shí)��,準(zhǔn)許所述第一網(wǎng)絡(luò)設(shè)備繼續(xù)進(jìn)行至少某些網(wǎng)絡(luò)活動(dòng)���。
2.如權(quán)利要求1所述的系統(tǒng)��,其特征在于�����,所述安全服務(wù)響應(yīng)于來(lái)自所述第一網(wǎng)絡(luò)安全模塊的對(duì)安全措施的周期性請(qǐng)求����,向所述第一網(wǎng)絡(luò)安全模塊提供安全措施。
3.如權(quán)利要求2所述的系統(tǒng)�,其特征在于,所述安全服務(wù)在確定所述網(wǎng)絡(luò)設(shè)備滿足一組預(yù)定準(zhǔn)則之后向所述第一網(wǎng)絡(luò)安全模塊提供所述一組寬松的安全措施�����。
4.如權(quán)利要求3所述的系統(tǒng)��,其特征在于�����,所述安全服務(wù)由管理員配置���,使得所述管理員可建立所述一組預(yù)定準(zhǔn)則。
5.如權(quán)利要求4所述的系統(tǒng)��,其特征在于��,所述安全服務(wù)通過(guò)獲得關(guān)于所述第一網(wǎng)絡(luò)設(shè)備的附加信息來(lái)確定所述第一網(wǎng)絡(luò)服務(wù)是否滿足所述一組預(yù)定準(zhǔn)則���。
6.如權(quán)利要求5所述的系統(tǒng)�,其特征在于,獲得關(guān)于所述第一網(wǎng)絡(luò)設(shè)備的附加信息包括向所述第一網(wǎng)絡(luò)安全模塊查詢是否在所述第一網(wǎng)絡(luò)設(shè)備上安裝了軟件更新�。
7.如權(quán)利要求5所述的系統(tǒng),其特征在于����,獲得關(guān)于所述第一網(wǎng)絡(luò)設(shè)備的附加信息包括向所述第一網(wǎng)絡(luò)設(shè)備查詢所述第一網(wǎng)絡(luò)設(shè)備是否是特定VLAN的成員。
8.如權(quán)利要求5所述的系統(tǒng)���,其特征在于�,獲得關(guān)于所述第一網(wǎng)絡(luò)設(shè)備的附加信息包括獲得關(guān)于所述第一網(wǎng)絡(luò)設(shè)備是否沒(méi)有計(jì)算機(jī)惡意利用的信息�����。
9.如權(quán)利要求5所述的系統(tǒng)��,其特征在于����,獲得關(guān)于所述第一網(wǎng)絡(luò)設(shè)備的附加信息包括查詢管理所述第一網(wǎng)絡(luò)設(shè)備是其成員的VLAN的路由器是否由網(wǎng)絡(luò)安全模塊保護(hù)。
10.一種在通信網(wǎng)絡(luò)中的安全服務(wù)上實(shí)現(xiàn)的方法�,用于當(dāng)所述通信網(wǎng)絡(luò)上的網(wǎng)絡(luò)活動(dòng)一般被網(wǎng)絡(luò)安全模塊實(shí)現(xiàn)的保護(hù)性安全措施阻斷時(shí),在所述通信網(wǎng)絡(luò)上以安全的方式使第一網(wǎng)絡(luò)設(shè)備能夠繼續(xù)進(jìn)行網(wǎng)絡(luò)活動(dòng),所述方法包括從被放入所述通信網(wǎng)絡(luò)和所述第一網(wǎng)絡(luò)設(shè)備之間的網(wǎng)絡(luò)安全模塊接收對(duì)安全措施的請(qǐng)求����;確定所述安全服務(wù)是否被配置成向所述網(wǎng)絡(luò)安全模塊傳送一組寬松的安全措施,其中�����,當(dāng)該組寬松的安全措施由所述網(wǎng)絡(luò)安全模塊實(shí)現(xiàn)時(shí)���,將在所述通信網(wǎng)絡(luò)上以安全的方式使所述第一網(wǎng)絡(luò)設(shè)備能夠繼續(xù)進(jìn)行網(wǎng)絡(luò)活動(dòng)���;以及如果確定所述安全服務(wù)被配置成向所述網(wǎng)絡(luò)安全模塊傳送一組寬松的安全措施���,則向所述網(wǎng)絡(luò)安全模塊返回該組寬松的安全措施���。
11.如權(quán)利要求10所述的方法,其特征在于�����,還包括確定所述第一網(wǎng)絡(luò)設(shè)備是否滿足預(yù)定準(zhǔn)則�����,并且如果所述網(wǎng)絡(luò)設(shè)備滿足所述預(yù)定準(zhǔn)則,則向所述網(wǎng)絡(luò)安全模塊返回所述一組寬松的安全措施���。
12.如權(quán)利要求11所述的方法���,其特征在于,確定所述第一網(wǎng)絡(luò)設(shè)備是否滿足預(yù)定準(zhǔn)則包括獲取關(guān)于所述第一網(wǎng)絡(luò)設(shè)備的附加信息�����,以及確定所述附加信息是否滿足所述預(yù)定準(zhǔn)則���。
13.如權(quán)利要求12所述的方法����,其特征在于�,獲取關(guān)于所述第一網(wǎng)絡(luò)設(shè)備的附加信息包括向所述網(wǎng)絡(luò)安全模塊查詢是否在所述第一網(wǎng)絡(luò)設(shè)備上安裝了軟件更新。
14.如權(quán)利要求12所述的方法�,其特征在于,獲取關(guān)于所述第一網(wǎng)絡(luò)設(shè)備的附加信息包括向所述網(wǎng)絡(luò)安全模塊查詢所述第一網(wǎng)絡(luò)設(shè)備是否為特定VLAN的成員��。
15.如權(quán)利要求12所述的方法�,其特征在于,獲取關(guān)于所述第一網(wǎng)絡(luò)設(shè)備的附加信息還包括獲取關(guān)于所述第一網(wǎng)絡(luò)設(shè)備是否沒(méi)有計(jì)算機(jī)惡意利用的信息。
16.如權(quán)利要求12所述的方法�,其特征在于,獲取關(guān)于所述第一網(wǎng)絡(luò)設(shè)備的附加信息還包括查詢管理所述第一網(wǎng)絡(luò)設(shè)備是其成員的VLAN的路由器是否由網(wǎng)絡(luò)安全模塊保護(hù)�����。
17.一種具有計(jì)算機(jī)可執(zhí)行指令的計(jì)算機(jī)可讀介質(zhì)�����,當(dāng)所述指令在向放入通信網(wǎng)絡(luò)和網(wǎng)絡(luò)設(shè)備之間的多個(gè)網(wǎng)絡(luò)安全模塊提供安全措施的計(jì)算機(jī)設(shè)備上執(zhí)行時(shí)�����,實(shí)現(xiàn)一種用于當(dāng)通信網(wǎng)絡(luò)上的網(wǎng)絡(luò)活動(dòng)一般被網(wǎng)絡(luò)安全模塊實(shí)現(xiàn)的保護(hù)性安全措施阻斷時(shí)在所述通信網(wǎng)絡(luò)上以安全的方式使第一網(wǎng)絡(luò)設(shè)備能夠繼續(xù)進(jìn)行網(wǎng)絡(luò)活動(dòng)的方法�,所述方法包括從被放入所述通信網(wǎng)絡(luò)和所述第一網(wǎng)絡(luò)設(shè)備之間的網(wǎng)絡(luò)安全模塊接收對(duì)安全措施的請(qǐng)求;確定所述計(jì)算設(shè)備是否被配置成向所述網(wǎng)絡(luò)安全模塊傳送一組寬松的安全措施�����,其中����,當(dāng)該組寬松的安全措施由所述網(wǎng)絡(luò)安全模塊實(shí)現(xiàn)時(shí)����,將在所述通信網(wǎng)絡(luò)上以安全的方式使所述第一網(wǎng)絡(luò)設(shè)備能夠繼續(xù)進(jìn)行網(wǎng)絡(luò)活動(dòng)����;以及如果確定所述計(jì)算設(shè)備被配置成向所述網(wǎng)絡(luò)安全模塊傳送所述一組寬松的安全措施���,則向所述網(wǎng)絡(luò)安全模塊返回該組寬松的安全措施�����。
18.如權(quán)利要求17所述的方法�����,其特征在于�,還包括確定所述第一網(wǎng)絡(luò)設(shè)備是否滿足預(yù)定準(zhǔn)則�����,并且如果所述網(wǎng)絡(luò)設(shè)備滿足所述預(yù)定準(zhǔn)則�,向所述網(wǎng)絡(luò)安全模塊返回所述一組寬松的安全措施。
19.如權(quán)利要求18所述的方法����,其特征在于�,確定所述第一網(wǎng)絡(luò)設(shè)備是否滿足預(yù)定準(zhǔn)則包括獲取關(guān)于所述第一網(wǎng)絡(luò)設(shè)備的附加信息��,并確定所述附加信息是否滿足所述預(yù)定準(zhǔn)則�。
20.如權(quán)利要求19所述的方法,其特征在于�,獲取關(guān)于所述第一網(wǎng)絡(luò)設(shè)備的附加信息包括向所述網(wǎng)絡(luò)安全模塊查詢是否在所述第一網(wǎng)絡(luò)設(shè)備上安裝了軟件更新。
21.如權(quán)利要求19所述的方法��,其特征在于����,獲取關(guān)于所述第一網(wǎng)絡(luò)設(shè)備的附加信息還包括向所述網(wǎng)絡(luò)安全模塊查詢所述第一網(wǎng)絡(luò)設(shè)備是否為特定VLAN的成員。
22.如權(quán)利要求19所述的方法���,其特征在于��,獲取關(guān)于所述第一網(wǎng)絡(luò)設(shè)備的附加信息還包括獲取關(guān)于所述第一網(wǎng)絡(luò)設(shè)備是否沒(méi)有計(jì)算機(jī)惡意利用的信息����。
23.如權(quán)利要求19所述的方法���,其特征在于,獲取關(guān)于所述第一網(wǎng)絡(luò)設(shè)備的附加信息還包括查詢管理所述第一網(wǎng)絡(luò)設(shè)備是其成員的VLAN的路由器是否由網(wǎng)絡(luò)安全模塊保護(hù)�。
24.一種用于當(dāng)網(wǎng)絡(luò)活動(dòng)一般被網(wǎng)絡(luò)安全模塊實(shí)現(xiàn)的保護(hù)性安全措施阻斷時(shí)�,在通信網(wǎng)絡(luò)上以安全的方式使第一網(wǎng)絡(luò)設(shè)備能夠繼續(xù)進(jìn)行網(wǎng)絡(luò)活動(dòng)的計(jì)算機(jī)網(wǎng)絡(luò)化系統(tǒng)����,所述系統(tǒng)包括通信網(wǎng)絡(luò);包括第一網(wǎng)絡(luò)安全模塊的多個(gè)網(wǎng)絡(luò)安全模塊��,其中�,所述多個(gè)網(wǎng)絡(luò)安全模塊的每一個(gè)被放入所述通信網(wǎng)絡(luò)和網(wǎng)絡(luò)設(shè)備之間,所述第一網(wǎng)絡(luò)安全模塊被放入所述通信網(wǎng)絡(luò)和所述第一網(wǎng)絡(luò)設(shè)備之間���,并且其中���,所述多個(gè)網(wǎng)絡(luò)安全模塊的每一個(gè)通過(guò)實(shí)現(xiàn)從安全服務(wù)裝置獲得的安全措施來(lái)控制來(lái)往于受保護(hù)網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)活動(dòng);以及至少向所述第一網(wǎng)絡(luò)安全模塊提供安全措施的安全服務(wù)裝置�,所述安全服務(wù)裝置由管理員配置,使得當(dāng)所述多個(gè)網(wǎng)絡(luò)安全模塊實(shí)現(xiàn)阻斷來(lái)往于所述網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)活動(dòng)的安全措施時(shí)����,所述安全服務(wù)向所述第一網(wǎng)絡(luò)安全模塊提供一組寬松的安全措施,當(dāng)該組寬松的安全措施由所述第一網(wǎng)絡(luò)安全模塊實(shí)現(xiàn)時(shí)���,準(zhǔn)許所述第一網(wǎng)絡(luò)設(shè)備繼續(xù)進(jìn)行至少某些網(wǎng)絡(luò)活動(dòng)��。
全文摘要
提出了一種用于當(dāng)網(wǎng)絡(luò)活動(dòng)一般被網(wǎng)絡(luò)安全模塊實(shí)現(xiàn)的保護(hù)性安全措施阻斷時(shí)在通信網(wǎng)絡(luò)上以安全的方式使一網(wǎng)絡(luò)設(shè)備能夠繼續(xù)進(jìn)行網(wǎng)絡(luò)活動(dòng)的系統(tǒng)和方法�����。在其周期性更新請(qǐng)求中�,阻斷網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)活動(dòng)的網(wǎng)絡(luò)安全模塊向管理員可配置安全服務(wù)請(qǐng)求更新的安全措施。該安全服務(wù)確定網(wǎng)絡(luò)安全模塊/網(wǎng)絡(luò)設(shè)備是否可接收一組放松的安全措施���,當(dāng)該組放松的安全措施由網(wǎng)絡(luò)安全模塊實(shí)現(xiàn)時(shí)��,使該網(wǎng)絡(luò)設(shè)備能夠繼續(xù)進(jìn)行某些網(wǎng)絡(luò)活動(dòng)�����。如果該安全服務(wù)確定該網(wǎng)絡(luò)安全模塊/網(wǎng)絡(luò)設(shè)備可接收一組放松的安全措施��,則向該網(wǎng)絡(luò)安全模塊返回該組放松的安全措施并在其上實(shí)現(xiàn)它�,由此使該網(wǎng)絡(luò)設(shè)備能夠繼續(xù)進(jìn)行某些網(wǎng)絡(luò)活動(dòng)��。
文檔編號(hào)H04L12/24GK1783879SQ200510092730
公開日2006年6月7日 申請(qǐng)日期2005年8月19日 優(yōu)先權(quán)日2004年8月20日
發(fā)明者A·M·查德雷, T·G·菲利普斯, W·J·韋斯特林寧 申請(qǐng)人:微軟公司