專利名稱:自動分布式網(wǎng)絡保護的制作方法
自動分布式網(wǎng)絡保護
背景技術:
網(wǎng)絡網(wǎng)關可用于提供各種類型的安全�����、網(wǎng)絡通信保護���、以及包括內(nèi)容檢查�����、反病毒 (“Α/ν”)掃描�����、惡意軟件阻塞�����、信息泄漏保護��、入侵檢測等其他處理����。提供這些功能通常在 處理能力�、盤空間、存儲器���、帶寬等方面消耗大量資源�,這與諸如個人計算機(“PC”)和移動 設備(例如�,移動電話、智能電話���、手持式游戲設備����、個人媒體播放器����、手持式計算機等)且 通過網(wǎng)關執(zhí)行網(wǎng)絡訪問的客戶機器的數(shù)量線性地綁定。由于隨著需要通過網(wǎng)關的網(wǎng)絡訪問 的客戶機器的數(shù)量增加而需要部署更多網(wǎng)絡網(wǎng)關,這些資源消耗可影響網(wǎng)絡網(wǎng)關安全解決 方案的可伸縮性��。另外��,用于執(zhí)行處理的網(wǎng)絡帶寬成本可以是相當大的��。從客戶機到服務請求所需 的網(wǎng)關的每個往返表示帶寬和處理成本兩者��。所需的往返和服務器上的處理時間可降低總 體系統(tǒng)的響應性和運行在該客戶機上的各種用戶應用程序的性能�����。這些固有限制(例如�����, 可伸縮性和帶寬)可顯著地影響支持公司的企業(yè)網(wǎng)絡的數(shù)據(jù)中心和將網(wǎng)絡保護作為托管 的服務來提供的服務提供者兩者的運營成本��。對于這些服務提供者�,常常難以標識成本有 效的業(yè)務模型,因為服務的運營成本隨著服務所保護的用戶數(shù)量線性增長�。提供本背景來介紹以下概述和詳細描述的簡要上下文。本背景不旨在幫助確定所 要求保護的主題的范圍��,也不旨在被看作將所要求保護的主題限于解決以上所提出的問題 或缺點中的任一個或全部的實現(xiàn)��。MM提供了一種將客戶機器的安全能力傳遞給網(wǎng)絡安全網(wǎng)關的網(wǎng)絡保護解決方案,使 得能夠以實現(xiàn)客戶機的目標安全級別同時在網(wǎng)關處消費盡可能少的資源的方式來在網(wǎng)關 和客戶機之間自動且動態(tài)地分布各種過程���。例如��,對于順應指定的健康和/或公司管控策 略且已知具有所部署的�����、操作的和/或與最新威脅數(shù)據(jù)同時的A/V能力的客戶機����,網(wǎng)絡安全 網(wǎng)關將無需對客戶機的傳入網(wǎng)絡通信執(zhí)行額外的A/V掃描�����,這由此可在網(wǎng)關處節(jié)省資源并 且降低運營成本�����。在各種說明性示例中�����,當用戶在客戶機器處設法訪問類似在諸如因特網(wǎng)等外部網(wǎng) 絡上的網(wǎng)站的資源時�,對客戶機順應適用的策略和安全能力的枚舉在客戶機作出到網(wǎng)絡安 全網(wǎng)關的連接時被傳送。網(wǎng)關可隨后根據(jù)客戶機的順應和安全能力來調(diào)整它的動作����,以便 避免重復工作,使得盡可能多的工作被卸載到客戶機來降低網(wǎng)關處資源消耗同時維持所需 級別的保護�。然而,通常工作不被卸載到非順應的客戶機(即�,那些不符合適用的健康和/ 或公司管控策略的客戶機),相反�����,安全過程將由網(wǎng)關來執(zhí)行�����,以便確保將非順應的客戶機 的安全維持在所需級別����。當網(wǎng)關調(diào)整它的動作并將過程卸載到客戶機時,還可考慮諸如用 戶所尋求的信息的新鮮度��、因特網(wǎng)的總體安全狀態(tài)等外部因素���。在客戶機具有處理網(wǎng)絡通信的最小能力的一些情況下��,網(wǎng)關將執(zhí)行過程的全集����, 諸如連接到網(wǎng)站、執(zhí)行URL(統(tǒng)一資源定位符)過濾和A/V掃描等��。當客戶機是順應的且較 完整地被配置或有能力的時候��,網(wǎng)關將指示它本地地執(zhí)行較多過程���,使得在網(wǎng)關處的資源 消耗較少��。無論在網(wǎng)關處所消耗的什么資源都被記錄以便啟用例如網(wǎng)絡分析和優(yōu)化�����,或在托管的網(wǎng)絡保護服務的情況下,該日志可用于基于在網(wǎng)絡安全網(wǎng)關處的實際資源消耗而不 是僅基于所保護的客戶機的數(shù)量來生成帳單��。在一些實現(xiàn)中�����,可利用多個網(wǎng)絡安全網(wǎng)關��,其 中過程在各網(wǎng)關之間動態(tài)地負載平衡。有利地��,本發(fā)明的自動分布式網(wǎng)絡保護解決方案使得客戶機與網(wǎng)關之間的網(wǎng)絡通 信處理的分配能夠被優(yōu)化以便降低成本同時維持所需級別的網(wǎng)絡保護����。記錄在網(wǎng)關處的資 源消耗的能力使得企業(yè)網(wǎng)絡和托管的服務的顧客都能夠標識資源如何被利用并且作為響 應來調(diào)整客戶機的配置。例如�����,通過在金錢上懲罰網(wǎng)關處的資源消耗����,激發(fā)顧客在客戶機處 (或在本地部署的網(wǎng)關處,即���,那些位于企業(yè)中且通常由管理員本地管理的網(wǎng)關)部署更多 安全能力��?��?呻S后在更偶爾的基礎上依賴網(wǎng)絡安全網(wǎng)關,例如�����,當客戶機器不是完全順應或 沒有配備本地安全能力但仍需被使用時作為后備。提供本發(fā)明內(nèi)容是為了以簡化的形式介紹將在以下具體實施方式
中進一步描述 的一些概念���。本概述并非旨在標識所要求保護的主題的關鍵特征或必要特征����,也不旨在用 于幫助確定所要求保護的主題的范圍����。附圖描述
圖1示出了其中可部署本發(fā)明的自動分布式網(wǎng)絡保護解決方案的說明性計算環(huán) 境;圖2示出了在客戶機器與網(wǎng)絡安全網(wǎng)關之間分配過程的說明性方法的概覽���;圖3示出了其中在稀少地配備有本地安全保護的客戶機處的用戶訪問因特網(wǎng)上 的網(wǎng)站的第一說明性使用場景�����;圖4示出了在較完全配備的客戶機處的用戶訪問因特網(wǎng)上的網(wǎng)站的第二說明性 使用場景�;圖5示出了在完全配備的客戶機處的用戶訪問因特網(wǎng)上的網(wǎng)站的第三說明性使 用場景;以及圖6示出了其中在將過程卸載到本地客戶機時可考慮外部因素����、并且還可跨多個 網(wǎng)絡安全網(wǎng)關執(zhí)行負載平衡的替換安排。各附圖中相同的附圖標記指示相同的元素�����。詳細描述圖1示出了其中可部署本發(fā)明的自動分布式網(wǎng)絡保護解決方案的說明性計算環(huán) 境100���。計算環(huán)境100支持企業(yè)網(wǎng)絡105,它包括諸如PC���、膝上型計算機���、工作站等多個客戶 機器Iie1If還示出了其他客戶機器i2ii...N,它們可表示例如企業(yè)網(wǎng)絡外部的漫游用戶 所使用的設備��、或諸如消費者用戶等其他人所使用的設備����。在該示例中,企業(yè)網(wǎng)絡105的使 用旨在說明業(yè)務(即����,非消費者應用程序)中所使用的典型網(wǎng)絡���,然而����,實際實現(xiàn)可不同于 所示出的�。網(wǎng)絡安全網(wǎng)關Uei(說明書中從此時開始被稱為“網(wǎng)關”)位于企業(yè)網(wǎng)絡105中,并 且被配置成能夠執(zhí)行任何各種安全相關的過程���。這些過程可在逐個實現(xiàn)之間改變�,但通常 將包括內(nèi)容檢查���、反病毒掃描、惡意軟件阻塞�����、信息泄漏阻止等相似種類的過程。網(wǎng)關126i 通常通過標識給定用戶���、應用確定有效用戶可訪問哪些資源的各種策略、隨后出于網(wǎng)絡分 析或記帳目的跟蹤有效用戶所使用的時間和數(shù)據(jù)來執(zhí)行某種類型的認證��、授權和審計功能 (一般被稱為“AAA”功能)以啟用訪問控制����。網(wǎng)關126i還可被配置成執(zhí)行各種類型的網(wǎng)絡帶寬優(yōu)化技術���,諸如在一些情況下的數(shù)據(jù)壓縮��。在該示例中��,客戶機121通過網(wǎng)關126i獲得對諸如因特網(wǎng)137上外部電子郵件服 務器����、網(wǎng)站和數(shù)據(jù)庫等外部資源131的訪問�。要強調(diào)的是�����,網(wǎng)關126i可與其他安全產(chǎn)品(圖 1中未示出)一起部署�,它并不旨在必須用作用于為企業(yè)網(wǎng)絡105中的客戶機116提供安全 的唯一手段。在環(huán)境100中還可利用另一網(wǎng)關U6N��,并且網(wǎng)關12 作為啟用web或“基于云”的 服務來部署���,客戶機121通過網(wǎng)關12 可獲取如托管服務142的網(wǎng)絡保護����。網(wǎng)關12 可被 配置成提供與企業(yè)網(wǎng)絡105中的網(wǎng)關126i相似的特征和功能����。然而,網(wǎng)關12 作為因特網(wǎng) 137上的服務由客戶機121遠程地訪問����,而不是像基于企業(yè)網(wǎng)絡的網(wǎng)關126i的典型情況那 樣位于本地和/或由本地管理員管理���。盡管圖1中未示出,在一些實現(xiàn)中�,企業(yè)網(wǎng)絡105中 的客戶機116還可利用網(wǎng)關作為服務來替換或補充基于企業(yè)網(wǎng)絡的網(wǎng)關。因此�,在任何給 定實現(xiàn)中所使用的網(wǎng)關的數(shù)量可以變化。圖2示出了在客戶機121與網(wǎng)關12 之間分配安全過程的說明性方法的概覽����。注 意,盡管描述了對于客戶機121和網(wǎng)關12 的方法�,但是該方法對于企業(yè)網(wǎng)絡105中的客 戶機116和基于企業(yè)網(wǎng)絡的網(wǎng)關126i具有等效適用性。當客戶機121連接到網(wǎng)關12 時����, 例如,當設法訪問諸如因特網(wǎng)137上的網(wǎng)站等資源時�����,客戶機121將它與適用的健康和/或 公司管控策略的順應及它的安全能力的枚舉或列表傳送給網(wǎng)關����,如附圖標記205所示。這一順應可以例如使用網(wǎng)絡訪問保護(“NAP”)系統(tǒng)來監(jiān)視。這些系統(tǒng)是已知的 并且通常使得網(wǎng)絡管理員能夠基于客戶機是誰�����、客戶機所屬的組和客戶機順應健康和/或 公司管控策略的程度來定義網(wǎng)絡訪問的粒度級別�����。這些策略可按實現(xiàn)而變化�。如果客戶機 不順應,NAP通常提供一機制來自動地使客戶機順應�����,并且隨后動態(tài)地增加它的網(wǎng)絡訪問級 別��。在典型的實現(xiàn)中���,網(wǎng)關12 將周期性地重新檢查客戶機對適用的策略的順應��。除了向網(wǎng)關12 提供順應信息之外,列表還可標識客戶機的安全能力包括����,例如����, 客戶機121是否具有所部署的A/V產(chǎn)品�����、產(chǎn)品的操作狀態(tài)(例如���,其最后更新是何時)、客 戶機是否配備有打開的防火墻����、客戶機是否具有過濾已知惡意URL的能力(例如�����,通過比較 URL與黑名單或相似構造)、在客戶機121上是否存在且可操作入侵保護系統(tǒng)(“IPS”—— 用于標識和對“壞”通信采取行動)等等����?�?墒褂弥T如NAP API (應用程序編程接口)等現(xiàn)有裝置或其他安全通道來實現(xiàn)順 應和安全能力的通信��?���;蛘?���,可利用ESAS(企業(yè)安全評估共享)體系結構��,如2007年3月 14日提交的題為“Enterprise Security Assessment Siaring(企業(yè)安全評估共享)”的美 國專利申請第11/724,061號中描述的��,該申請為本申請的受讓人所有并通過援引整體結 合于此���。如附圖標記212所示,網(wǎng)關12 將分析客戶機121的順應和安全能力來調(diào)整它自 身對網(wǎng)絡通信的處理���。一般而言���,當客戶機121的順應和安全能力下降時(即�����,客戶機121 在安全能力方面是“瘦客戶機”和/或不順應適用的策略)���,網(wǎng)關12 自身將執(zhí)行較多處理���。 相反,當客戶機121是具有完全安全能力的“富客戶機”且完全順應適用的策略時����,網(wǎng)關12 將其處理調(diào)整到較小。另外����,如果客戶機對適用的策略的順應由于任何原因而改變,則網(wǎng)關 12 可改變其處理級別��。一般在所有情況下,無論在網(wǎng)關12 處處理時消耗什么級別的資 源�,通常將在持久的基礎上在日志220中跟蹤和存儲它們,如附圖標記225所示��。日志220可作為記帳系統(tǒng)231的一部分來安排��,例如�,被配置成基于在網(wǎng)關12 處的實際資源消耗 而不是僅基于諸如網(wǎng)關12 所保護的客戶機器的數(shù)量等一些其他任意度量來對顧客生成 帳單(如附圖標記236所示)。盡管在商業(yè)場景中常常利用帳單�����,諸如與在商業(yè)基礎上向顧客提供的托管網(wǎng)絡保 護服務的供應相關聯(lián)的商業(yè)場景�,但是帳單的概念還可應用于業(yè)務場景。例如���,在圖1所示 的啟用網(wǎng)絡105中�����,部門或其他組織常常因使用IT(信息技術)資源或服務而內(nèi)部記帳��。本 發(fā)明的自動分布式網(wǎng)絡保護解決方案使得更全面且準確地呈現(xiàn)對網(wǎng)關服務的這一內(nèi)部記 帳?�,F(xiàn)在轉向圖3-5�����,示出了突出顯示本解決方案的原理的若干說明性場景���。如前,注 意到盡管描述了對于客戶機121和網(wǎng)關12 的場景�����,但是這些場景對于企業(yè)網(wǎng)絡105中的 客戶機116和基于企業(yè)網(wǎng)絡的網(wǎng)關126i具有等效適用性�。另外,所描述的特定安全能力旨 在僅是說明性的并且不應被認為是窮盡的���。在圖3所示的場景中����,對于本地部署的安全資源或它對適用的策略(即����,健康和/ 或公司管控策略)的順應,客戶機121被假定為瘦客戶機�����。在客戶機121處的用戶希望從因 特網(wǎng)137上的資源131瀏覽網(wǎng)站(如附圖標記305所示)?��?蛻魴C121將通過網(wǎng)關12 連接 到資源131�,并且在連接過程期間傳送對它與適用的策略和安全能力的順應的枚舉(310)��。 由于客戶機121沒有配備來執(zhí)行任何網(wǎng)絡安全過程或是不順應適用的策略����,網(wǎng)關12 將不 把安全處理工作卸載到客戶機。因此�����,網(wǎng)關12 將首先代表客戶機執(zhí)行URL過濾(315)來 確定用戶設法訪問的網(wǎng)站是否已知是惡意的��,例如�,是釣魚站點或包含惡意軟件等。如果 是��,則訪問被網(wǎng)關阻塞���。如果對網(wǎng)站的訪問沒有被阻塞�,則網(wǎng)關12 將作為客戶機121的代理連接到所請 求的網(wǎng)站(320)。當內(nèi)容由網(wǎng)站返回時��,網(wǎng)關12 將檢查該內(nèi)容以尋找病毒(325)和/或 其他惡意軟件�。客戶機121隨后自由地消費來自網(wǎng)站的內(nèi)容而無需進一步處理(300)���。當今上述場景是常見的,并且表示在網(wǎng)關12 處最高級別的資源消耗以及對應最 高級別的帳單���。該場景對于關于安全方面具有完全能力但不順應適用的策略的富客戶機將 是相似的����。在這一情況下��,網(wǎng)關12 將不把工作卸載到富客戶機��,并且將代表客戶機執(zhí)行 高級別的安全處理���。在圖4所示的場景中���,客戶機121通過配置有A/V檢查功能但沒有URL過濾而具 有中間級別的安全能力,并且被假定成順應適用的健康和/或公司管控策略��。在客戶機121 處的用戶希望從因特網(wǎng)137上的資源131瀏覽網(wǎng)站005)?���?蛻魴C121將通過網(wǎng)關12 連 接到資源131,并且在連接過程期間傳遞它的順應和安全能力的枚舉010)����,在該示例中, 這指示客戶機完全順應適用的策略并且具有所部署的且與所有適用的簽名更新一起操作 的A/V檢查�。由于客戶機121被配備成執(zhí)行A/V檢測但沒有URL過濾,網(wǎng)關12 將首先代表客 戶機執(zhí)行URL過濾015)��,并且隨后作為客戶機的代理連接到所請求的網(wǎng)站020)����。當內(nèi)容 由網(wǎng)站返回時,客戶機121將使用它自身本地部署的A/V檢查能力來檢查該內(nèi)容尋找病毒 (425)和/或其他惡意軟件��,并且隨后消費該內(nèi)容�����。在該場景中���,在客戶機121與網(wǎng)關12 之間分配處理開銷�,由此產(chǎn)生對顧客的較 低收費,因為在網(wǎng)關處需要花費的資源較少���。
在圖5所示的場景中�,客戶機121是具有安全能力全集的富客戶機����,在該示例中, 該安全能力包括完全順應適用的策略的A/V檢查和URL過濾功能兩者���。在客戶機121處的 用戶再次希望從因特網(wǎng)137上的資源131瀏覽網(wǎng)站(505)?���?蛻魴C121將通過網(wǎng)關12 連 接到資源131,并且在連接過程期間傳遞它的順應和安全能力的枚舉(510)���,在該示例中��, 這指示客戶機具有所部署的且與所有適用的簽名更新一起操作的A/V檢查���、以及全面且當 前的URL過濾功能。響應于學習客戶機的順應狀態(tài)和安全能力����,網(wǎng)關12 指示客戶機121直接連接到 網(wǎng)站(515)�,由此放棄使用通過網(wǎng)關的代理連接���?��?蛻魴C121據(jù)此執(zhí)行它自身的URL過濾 (520),并且產(chǎn)生到所需網(wǎng)站的直接連接(525)�。當內(nèi)容從網(wǎng)站返回時,客戶機121將使用它 自身本地部署的A/V檢查能力來檢查該內(nèi)容以尋找病毒(530)和/或其他惡意軟件��,并且 隨后消費該內(nèi)容�����。如上所述��,網(wǎng)關12 將周期性地重新檢查客戶機的順應狀態(tài)�����,如果客戶機的狀態(tài) 從完全順應改變?yōu)椴豁槕?例如�,客戶機121上發(fā)生病毒發(fā)作),則網(wǎng)關將終止把安全處理 卸載到客戶機��。類似地,如果接收到ESAS安全評估����,它指示客戶機121上發(fā)生安全事故使 得客戶機可能在某種方面受到損害,則卸載也可被終止��。在該場景中�,由于處理大部分都被卸載到客戶機121,因而網(wǎng)關12 所使用的資源 是最小的并且通常僅是AAA服務��。這導致對顧客的最小收費��。圖6示出了其中在將過程卸載到客戶機時可考慮外部因素�����、并且還可跨多個網(wǎng)絡 安全網(wǎng)關執(zhí)行負載平衡的替換安排�����。如上�,該安排可適用于企業(yè)網(wǎng)絡中的客戶機和網(wǎng)關以 及與托管網(wǎng)絡保護服務相關聯(lián)的那些�。對外部因素和負載平衡的考慮可用于補充圖2-5中 所示且在附隨文本中所描述的技術,或在一些情況下替換它們����。這里�����,客戶機121連接到網(wǎng)關12 來將順應和安全能力的列表傳送給該網(wǎng)關 (605)��,并且當確定如何調(diào)整它的過程并將工作卸載到該客戶機時��,該網(wǎng)關將考慮各種外部 因素(610)�����。這些因素說明性地包括(但不必限于)因特網(wǎng)137的安全的總體狀態(tài)611����、所 訪問的信息的新鮮度612����、以及其他因素613。例如�,如果因特網(wǎng)上存在重要的威脅,則網(wǎng)關 12 可指示富客戶機直接連接到所需網(wǎng)站�,但僅在特定時間或時間間隔。類似地�����,如果所請 求的數(shù)據(jù)已經(jīng)被高速緩存在一個或多個可信服務器中,則網(wǎng)關12 可指示客戶機121從那 些服務器中檢索數(shù)據(jù)��。還可執(zhí)行跨一個或多個附加網(wǎng)關614的負載平衡(615)�。在一個說明性示例中, 當決定如何在附加網(wǎng)關614之間分配工作時�,網(wǎng)關12 可考慮客戶機121的安全能力、網(wǎng) 關所服務的所有客戶機之間安全處理的總負載����、被訪問的數(shù)據(jù)的類型(例如,電子郵件�、文 件、網(wǎng)站等)����、優(yōu)先級、用戶簡檔��、以及其他因素����。以如上所述當利用單個網(wǎng)關1 時的類似 方式��,附加網(wǎng)關614在代表客戶機執(zhí)行安全過程時將考慮本地客戶機121的能力(620)。還可在基于云的網(wǎng)關與本地部署的網(wǎng)關(例如��,分別為網(wǎng)關12 和126i����,如圖1所 示)之間執(zhí)行負載平衡。在該示例中���,負載平衡可偏愛本地部署的(即��,“下游”)網(wǎng)關Uei 以方便基于云的(即����,“上游”)網(wǎng)關12 更有利的運營成本�����。盡管用結構特征和/或方法動作專用的語言描述了本主題�����,但可以理解�,所附權 利要求書中定義的主題不必限于上述具體特征或動作。相反�,上文所描述的具體特征和動 作是作為實現(xiàn)權利要求的示例形式來公開的��。
權利要求
1.一種在網(wǎng)絡安全網(wǎng)關(126)處執(zhí)行的用于為客戶機(121)提供自動分布式網(wǎng)絡保護 的方法���,所述方法包括以下步驟接收對所述客戶的安全能力和所述客戶機對關于客戶機健康或管控的一個或多個策 略的順應狀態(tài)的枚舉(205),響應于在所述客戶機處的安全能力順應的枚舉��,調(diào)整所述網(wǎng)絡安全網(wǎng)關與所述客戶機 之間的安全相關處理的分配012)��;以及當代表所述客戶機執(zhí)行安全相關過程時��,記錄所述網(wǎng)絡安全網(wǎng)關所消費的資源的級別 (225)�����。
2.如權利要求1所述的方法��,其特征在于�����,還包括生成適用于客戶機使用所記錄的資 源級別的帳單的步驟����。
3.如權利要求1所述的方法��,其特征在于,其中所述客戶機是企業(yè)網(wǎng)絡中的計算設備��, 所述計算設備是個人計算機�����、工作站或服務器中的一個���。
4.如權利要求1所述的方法�����,其特征在于�����,其中所述網(wǎng)絡安全網(wǎng)關被配置成提供內(nèi)容 檢查�、反病毒掃描�����、惡意軟件阻塞�����、信息泄漏阻止、防火墻服務或安全策略實施中的至少一 個���。
5.如權利要求1所述的方法����,其特征在于���,其中所述分配包括將安全相關過程從所述 網(wǎng)絡安全網(wǎng)關卸載到所述客戶機�����。
6.如權利要求1所述的方法�����,其特征在于�,還包括周期性地重新檢查所述客戶機的順 應狀態(tài)的步驟���。
7.如權利要求5所述的方法��,其特征在于����,還包括當所述客戶機變得不順應時終止所 述卸載的步驟。
8.如權利要求1所述的方法����,其特征在于�����,其中所述對安全能力和順應狀態(tài)的枚舉通 過NAP接口�����、網(wǎng)絡通道�����、或ESAS安全評估中的一個來接收�。
9.如權利要求1所述的方法,其特征在于�����,還包括執(zhí)行AAA服務的步驟���。
10.如權利要求1所述的方法���,其特征在于����,還包括對一個或多個附加網(wǎng)關執(zhí)行所述安 全相關處理的負載平衡的步驟����。
11.如權利要求1所述的方法,其特征在于�����,所述方法如由被配置成支持云服務的網(wǎng)絡 安全網(wǎng)關執(zhí)行��。
12.如權利要求1所述的方法���,其特征在于����,還包括對代表所述客戶機在所述網(wǎng)關上所 執(zhí)行的安全相關處理所伴隨的資源的消費實施懲罰的步驟����。
13.如權利要求12所述的方法��,其特征在于�����,其中所述懲罰是財務上的��,以激勵在所述 客戶機處較高級別的安全相關處理。
14.如權利要求1所述的方法��,其特征在于���,所述客戶機包括下游網(wǎng)關����。
15.如權利要求1所述的方法�,其特征在于,所述安全相關處理包括內(nèi)容檢查�、反病毒 掃描、惡意軟件阻塞����、信息泄漏阻止、防火墻服務或安全策略實施中的至少一個��。
全文摘要
提供了一種將客戶機器的安全能力傳遞給網(wǎng)絡安全網(wǎng)關的網(wǎng)絡保護解決方案,使得能夠以實現(xiàn)客戶機的目標安全級別而在網(wǎng)關處消費盡可能少的資源的方式來在網(wǎng)關和客戶機之間自動且動態(tài)地分布各種過程��。例如�����,對于順應指定的健康和/或公司管控策略且已知具有所部署的且操作的A/V能力的客戶機����,網(wǎng)絡安全網(wǎng)關將無需對客戶機的傳入網(wǎng)絡通信執(zhí)行額外的A/V掃描,這由此可在網(wǎng)關處節(jié)省資源并且降低運營成本���。
文檔編號H04L9/32GK102090019SQ200980127126
公開日2011年6月8日 申請日期2009年6月26日 優(yōu)先權日2008年7月8日
發(fā)明者D·B·克羅斯, N·奈斯, Y·埃德瑞 申請人:微軟公司