位于网络地址转换(NAT)路由器63或防 火墙或过滤代理服务器61之后。在该种架构中,提供各种技术W建立设备16和核屯、管理 系统12之间的可靠连接。
[0074]VPN技术适合于保护业务,但是经常制造关于VPN的两端之间的网络的属性和两 端之间的连接的建立的过度简单假设。特别地,当可能并非存在简单IP网络时其可能假设 存在简单IP网络。可能建立该两个点之间的连接,但是在一些情况下,VPN软件并没有足够 复杂W使用可用连接。在该种情况中,VPN软件会期望端用户修改他们的防火墙、代理服务 器等W允许VPN业务通过。然而,该要求端用户具有关于访问防火墙、代理服务器、NAT等 的技术知识,W为了端用户作出必要改变。该种相互介入是要求时间的并且要求一组技能 W实现适合的诊断并且得到正确的改变。
[007引已知难W从位于NAT或防火墙或过滤代理之后的专用网络中的客户端建立VPN连 接。参考图7,为解决该些困难,提供新的组件组,具体地隧道器主机71和隧道器节点72, W进一步当VPN客户端没有直接连接至标准地址如全球因特网协议地址时,有助于VPN客 户端52位于其中的数据处理设备和VPN服务器51位于其中的中央管理系统之间的VPN连 接的建立。VPN服务器51可W在管理系统内,但是不在中央管理服务器上,但是靠近中央管 理服务器。隧道器节点72位于VPN客户端52和NAT路由器63和/或防火墙62和/或过 滤代理服务器61之间。隧道是用于识别一个隧道器节点72和隧道器主机71之间建立的 隧道的术语。隧道坐落(建立)在VPN服务器51和一个或多个VPN客户端52中的每个之 间。各种技术可W用于建立隧道连接到中央地址或与因特网直接连接的标准全球因特网地 址。从节点至主机的连接可能是在一系列端口上经由用户数据报协议扣0巧、或经由传输控 制协议(TCP)的直接连接。可替选地,隧道连接可W为经由代理服务器的直接TCP连接或 如果必要的话,可是使用例如DNS隧道技术。隧道器优选地利用更有效的传输,例如UDP传 输协议。当试图建立隧道连接时,更简单的技术,例如UDP被首先尝试,后面接着其它技术。 当首次试图UDP连接而没有成功时,然后隧道器尝试使用整体可用传输之中的其它传输来 建立连接,直到成功建立连接。如果不能建立连接,那么节点72保持有规律地尝试。如果 建立连接,那么隧道器将标准IP地址展示给设备16,允许VPN软件使用成隧道的连接,好像 其为简单因特网连接。在建立隧道之后,由隧道器主机71发出唯一的IP地址和代码给节 点72,并且节点72将IP地址分配给"tun"网络接口(稍后解释)。如果连接丢失,那么节 点71尝试重新建立连接,并且当成功地重新建立时,使用隧道器主机71之前发出的唯一代 码再次识别自身。随着其他传输的开发,对于所述传输的支持被简单地添加至主节点(即 隧道器主机71)和节点(即隧道器节点72)。设备16、VPN客户端52和隧道器节点72优 选地在相同的操作系统中。利用该个设置,标准VPN软件可W在宽范围的传输的任意传输 上运行。而且,随着新的传输技术变得可用,对于已经为了支持所述另外传输而部属的节点 或VPN软件不在要求另外的改变。
[0076] 正如将会被本领域技术人员所理解的,隧道器网络是不安全的。但是,通过在隧道 器网络上运行VPN软件,并且确保所有业务路由通过VPN,实现期望的安全等级。
[0077]实现隧道的实施方式实例在W下中被强调:
[0078] 隧道器通过将应用的形式的隧道器主机71接连接至因特网和在包括VPN软件客 户端52的每个设备上的软件形式的节点72来工作。主机和节点软件都使用已知为Linux 上的化n/tap接口的技术,Linux允许其创建对于设备上的网络软件呈现为一般IP网络接 口的虚拟网络接口。事实上,来自和去往接口的分组通过软件应用。该允许隧道器网络来 对VPN软件呈现标准IP网络。节点72和隧道器主机71然后工作W建立连接并且将接收 的VPN分组相互传递。
[00巧]化讲的安仓分巧网络
[0080]为了W安全方式有助于软件的分布,隧道器创建的网络为星形网络,星形网络意 味着通过一个中央节点和多个叶节点形成,其中所有叶节点连接至该一个中央节点。在该 种创建的星形拓扑中,数据处理设备16、17、18为叶节点并且与作为管理系统12的一部分 的主机节点进行通信。针对对于本领域技术人员将会显而易见的,创建的星形拓扑的设备 或叶节点不能够直接相互通信。
[0081]期望允许虚拟机(并不是实际物理数据处理设备)直接相互对话,例如,W执行场 外备份或对系统管理的、但是在不同物理位置的虚拟机提供的服务的访问。
[0082] 根据实施方式,多个数据处理设备可W在不同的场地中被分类,使得给定场地的 设备都连接至相同的网络,而且在给定场地中的设备的所有虚拟机在场地中被分类。在该 种配置中,每个场地被管理系统分布唯一网络地址范围,并且场地中的每个设备和每个虚 拟机被给定所述地址范围内的唯一地址。而且,在每个场地中选择一个设备作为网关盒子 用于对来到所述场地和离开所述场地的业务进行路由。去往和源于具有落入分配至给定场 地的地址组范围内的地址的节点的业务被通过那个场地和中央管理系统来发送。
[0083]如图8中所示出的,当不同场地(场地A和场地B)处的两个虚拟机需要直接通信 时,形成中央管理系统71的一部分的隧道器主机71指示在两个场地A、B中的每个处的相 应网关来建立它们之间的直接连接。为此目的,管理系统指示相应隧道器节点72、73来建 立直接网络连接。在每个场地处的数据处理设备位于相应隧道器节点处。该个直接网络连 接的实现是通过隧道器主机71确定与因特网的设备节点的连接的属性并且如果可能则对 于与NAT服务器或STUN服务器W与会话移动设施相同的方式执行助于连接。该个可W通 过对于网络执行各种测试,例如探测网络连接并且然后导出基于该些测试网络如何被配置 来实现。应当注意,STUN协议(在"评论请求5389"中规定)提供使端点确定由与专用IP 地址和端口号对应的NAT分配的IP地址和端口号的装置。还提供使端点保持NAT绑定有 效的方式。当被扩展时,可W使用STUN协议W执行两个端点之间的连接检查,或者W中继 两个端点之间的分组。取决于盒子节点与因特网的连接的属性,可W自动建立直接连接,但 是如果不的话,可W提供协助和诊断W帮助使用设备的用户或客户端。
[0084] 在建立隧道器连接之后,过程的剩余部分可W被自动执行。该(中央)管理系统 将VPN密钥发出给网关盒子W允许VPN连接在它们之间建立,给出路由的细节W允许正确 的路由添加在网关盒子上,并且给出哪些虚拟机在相互对话的细节,使得防火墙规则可W 被建立W防止未被授权的虚拟机之间的业务。
[00巧]咨源访间巧辅巧集成
[0086] 在一些情况中,虚拟机可W独自运行,但是在许多情况中,对于在虚拟机内运行的 软件必要的是访问其它虚拟机管理的资源,或者与在其它虚拟机上运行的软件应用集成。 管理该些资源和与两个应用的总和通常为要求相当数量的技术知识的手动过程。利用前文 提到的系统,可W使集成在系统内单独虚拟机上运行的两个应用集成、加速过程、使得过程 更可靠W及将其简化W允许非技术用于来执行过程的过程自动化。
[OOW] 中央管理的,安仓桌而计算
[0088] 在当今的工作场所中,系统管理者经常面对管理和保护大量桌面计算机的主要问 题。该个问题的典型技术方案为将软件加载到计算机上W提供远程管理和安全。该种软件 典型地桌面操作系统下运行,该意味着仅桌面操作系统正确运行的话该种软件才工作,并 且使得可W访问在计算机上运行的软件。该意味着如果桌面操作系统崩溃或具有严重的问 题,那么就不能在被远程访问,并且软件可W被在计算机上运行的其它软件应用或者意外 地或者恶意地干扰。
[0089] 图9示出包括桌面操作系统91、屏幕92、键盘93、鼠标94、记忆椿95和磁盘87的 数据处理设备。设备还可W通过网络连接96连接至网络。
[0090] 中央管理系统12控制在数据处理设备上运行的软件。设备可W为任意类型的计 算设备,计算设备可W位于可W由中央管理系统和相互不在相同网络上的不同设备访问的 网络中。如上文中已经指出的,每个设备能够创建至少一个虚拟机。该虚拟机或每个虚拟 机可W运行操作系统91和/或相应应用软件。如上文所指出的,具有许多虚拟机的每个设 备可能连接至管理系统12。W后,管理系统12通过例如提供软件的改变和更新控制相应 软件。当在设备和管理系统12之间的监视所需要的连接被破坏时,虚拟机和设备会继续作 用。
[0091] 虚拟机是功能齐全的环境,其中操作系统91和应用软件独立于相同硬件上的其 他虚拟机来运行。除了图2的设备代理19可W另外提供的设备软件控制虚拟机并且提供在 外围设备和虚拟机之间,并且可W选择虚拟机具有到什么外围设备的访问。设备软件还可 W当数据通过外围设备和虚拟机之间时主动地处理数据,允许设备软件过滤或转换数据。
[0092] 如图10中所示出的,桌面环境运行在数据处理设备17上的虚拟机91内,并且被 给予对于视频卡、键盘93、鼠标94和声卡的访问。还被给予对于虚拟网络接口 104和虚拟 硬盘103的访问,使得从虚拟机的视角,虚拟机具有其通常需要的对于所有资源的访问。通 过具有对于视频卡和声卡的直接访问,可W完全使用该些设备,例如能够导致高质量3D图 形,并且确保图形和声音被正确地同步。
[0093] 设备软件设置有加密能力。在设备软件内,当数据在物理硬盘91和虚拟硬盘103 之间移动时,可W对数据进行加密,使得仅有加密数据存储在物理硬盘97上,同时将标准 未加密虚拟硬盘呈现给桌面环境91。
[0094] 来自物理网络96接口的网络业务在被传递至虚拟网络接口 104之前,可W通过单 独虚拟机102进行路由。该是在对业务进行路由中提供更多弹性。给予该个第二虚拟机 102对桌面的网络业务进行设置防火墙的责任并且可W被中央系统管理者控制。该允许中 央系统管理者来限定每个桌面设置防火墙政策,使得那个政策由计算机本身来实现并且有 信屯、政策不会被干扰。是该个设置防火墙政策可W被用于限制用于对一定服务的访问,而 不是给予它们对于企业网络的宽访问。其可W用于监视W不平常业务模式去往和来自桌面 的网络业务如蠕虫/病毒感染或外部一方的网络侵入。防火墙还能够用于锁闭桌面W防止 来自受感染桌面的蠕虫或病毒的传播或W监视外部一方的活动。
[009引防火墙102内可W包括VPN系统,防火墙102允许当远离办公室时对企业网络的 安全和可能访问,或允许对于企业LAN内的业务进行加密W防止窃听的能力。利用防火墙 内的该种VPN系统,可W允许桌面操作系统91基于家用或其它外部网络访问企业网络,而 同时同时拒绝对于那个网络的桌面访问。VPN在仅有中央系统管理者