专利名称:自动分布式网络保护的制作方法
自动分布式网络保护
背景技术:
网络网关可用于提供各种类型的安全、网络通信保护、以及包括内容检查、反病毒 (“Α/ν”)扫描、恶意软件阻塞、信息泄漏保护、入侵检测等其他处理。提供这些功能通常在 处理能力、盘空间、存储器、带宽等方面消耗大量资源,这与诸如个人计算机(“PC”)和移动 设备(例如,移动电话、智能电话、手持式游戏设备、个人媒体播放器、手持式计算机等)且 通过网关执行网络访问的客户机器的数量线性地绑定。由于随着需要通过网关的网络访问 的客户机器的数量增加而需要部署更多网络网关,这些资源消耗可影响网络网关安全解决 方案的可伸缩性。另外,用于执行处理的网络带宽成本可以是相当大的。从客户机到服务请求所需 的网关的每个往返表示带宽和处理成本两者。所需的往返和服务器上的处理时间可降低总 体系统的响应性和运行在该客户机上的各种用户应用程序的性能。这些固有限制(例如, 可伸缩性和带宽)可显著地影响支持公司的企业网络的数据中心和将网络保护作为托管 的服务来提供的服务提供者两者的运营成本。对于这些服务提供者,常常难以标识成本有 效的业务模型,因为服务的运营成本随着服务所保护的用户数量线性增长。提供本背景来介绍以下概述和详细描述的简要上下文。本背景不旨在帮助确定所 要求保护的主题的范围,也不旨在被看作将所要求保护的主题限于解决以上所提出的问题 或缺点中的任一个或全部的实现。MM提供了一种将客户机器的安全能力传递给网络安全网关的网络保护解决方案,使 得能够以实现客户机的目标安全级别同时在网关处消费尽可能少的资源的方式来在网关 和客户机之间自动且动态地分布各种过程。例如,对于顺应指定的健康和/或公司管控策 略且已知具有所部署的、操作的和/或与最新威胁数据同时的A/V能力的客户机,网络安全 网关将无需对客户机的传入网络通信执行额外的A/V扫描,这由此可在网关处节省资源并 且降低运营成本。在各种说明性示例中,当用户在客户机器处设法访问类似在诸如因特网等外部网 络上的网站的资源时,对客户机顺应适用的策略和安全能力的枚举在客户机作出到网络安 全网关的连接时被传送。网关可随后根据客户机的顺应和安全能力来调整它的动作,以便 避免重复工作,使得尽可能多的工作被卸载到客户机来降低网关处资源消耗同时维持所需 级别的保护。然而,通常工作不被卸载到非顺应的客户机(即,那些不符合适用的健康和/ 或公司管控策略的客户机),相反,安全过程将由网关来执行,以便确保将非顺应的客户机 的安全维持在所需级别。当网关调整它的动作并将过程卸载到客户机时,还可考虑诸如用 户所寻求的信息的新鲜度、因特网的总体安全状态等外部因素。在客户机具有处理网络通信的最小能力的一些情况下,网关将执行过程的全集, 诸如连接到网站、执行URL(统一资源定位符)过滤和A/V扫描等。当客户机是顺应的且较 完整地被配置或有能力的时候,网关将指示它本地地执行较多过程,使得在网关处的资源 消耗较少。无论在网关处所消耗的什么资源都被记录以便启用例如网络分析和优化,或在托管的网络保护服务的情况下,该日志可用于基于在网络安全网关处的实际资源消耗而不 是仅基于所保护的客户机的数量来生成帐单。在一些实现中,可利用多个网络安全网关,其 中过程在各网关之间动态地负载平衡。有利地,本发明的自动分布式网络保护解决方案使得客户机与网关之间的网络通 信处理的分配能够被优化以便降低成本同时维持所需级别的网络保护。记录在网关处的资 源消耗的能力使得企业网络和托管的服务的顾客都能够标识资源如何被利用并且作为响 应来调整客户机的配置。例如,通过在金钱上惩罚网关处的资源消耗,激发顾客在客户机处 (或在本地部署的网关处,即,那些位于企业中且通常由管理员本地管理的网关)部署更多 安全能力。可随后在更偶尔的基础上依赖网络安全网关,例如,当客户机器不是完全顺应或 没有配备本地安全能力但仍需被使用时作为后备。提供本发明内容是为了以简化的形式介绍将在以下具体实施方式
中进一步描述 的一些概念。本概述并非旨在标识所要求保护的主题的关键特征或必要特征,也不旨在用 于帮助确定所要求保护的主题的范围。附图描述
图1示出了其中可部署本发明的自动分布式网络保护解决方案的说明性计算环 境;图2示出了在客户机器与网络安全网关之间分配过程的说明性方法的概览;图3示出了其中在稀少地配备有本地安全保护的客户机处的用户访问因特网上 的网站的第一说明性使用场景;图4示出了在较完全配备的客户机处的用户访问因特网上的网站的第二说明性 使用场景;图5示出了在完全配备的客户机处的用户访问因特网上的网站的第三说明性使 用场景;以及图6示出了其中在将过程卸载到本地客户机时可考虑外部因素、并且还可跨多个 网络安全网关执行负载平衡的替换安排。各附图中相同的附图标记指示相同的元素。详细描述图1示出了其中可部署本发明的自动分布式网络保护解决方案的说明性计算环 境100。计算环境100支持企业网络105,它包括诸如PC、膝上型计算机、工作站等多个客户 机器Iie1If还示出了其他客户机器i2ii...N,它们可表示例如企业网络外部的漫游用户 所使用的设备、或诸如消费者用户等其他人所使用的设备。在该示例中,企业网络105的使 用旨在说明业务(即,非消费者应用程序)中所使用的典型网络,然而,实际实现可不同于 所示出的。网络安全网关Uei(说明书中从此时开始被称为“网关”)位于企业网络105中,并 且被配置成能够执行任何各种安全相关的过程。这些过程可在逐个实现之间改变,但通常 将包括内容检查、反病毒扫描、恶意软件阻塞、信息泄漏阻止等相似种类的过程。网关126i 通常通过标识给定用户、应用确定有效用户可访问哪些资源的各种策略、随后出于网络分 析或记帐目的跟踪有效用户所使用的时间和数据来执行某种类型的认证、授权和审计功能 (一般被称为“AAA”功能)以启用访问控制。网关126i还可被配置成执行各种类型的网络带宽优化技术,诸如在一些情况下的数据压缩。在该示例中,客户机121通过网关126i获得对诸如因特网137上外部电子邮件服 务器、网站和数据库等外部资源131的访问。要强调的是,网关126i可与其他安全产品(图 1中未示出)一起部署,它并不旨在必须用作用于为企业网络105中的客户机116提供安全 的唯一手段。在环境100中还可利用另一网关U6N,并且网关12 作为启用web或“基于云”的 服务来部署,客户机121通过网关12 可获取如托管服务142的网络保护。网关12 可被 配置成提供与企业网络105中的网关126i相似的特征和功能。然而,网关12 作为因特网 137上的服务由客户机121远程地访问,而不是像基于企业网络的网关126i的典型情况那 样位于本地和/或由本地管理员管理。尽管图1中未示出,在一些实现中,企业网络105中 的客户机116还可利用网关作为服务来替换或补充基于企业网络的网关。因此,在任何给 定实现中所使用的网关的数量可以变化。图2示出了在客户机121与网关12 之间分配安全过程的说明性方法的概览。注 意,尽管描述了对于客户机121和网关12 的方法,但是该方法对于企业网络105中的客 户机116和基于企业网络的网关126i具有等效适用性。当客户机121连接到网关12 时, 例如,当设法访问诸如因特网137上的网站等资源时,客户机121将它与适用的健康和/或 公司管控策略的顺应及它的安全能力的枚举或列表传送给网关,如附图标记205所示。这一顺应可以例如使用网络访问保护(“NAP”)系统来监视。这些系统是已知的 并且通常使得网络管理员能够基于客户机是谁、客户机所属的组和客户机顺应健康和/或 公司管控策略的程度来定义网络访问的粒度级别。这些策略可按实现而变化。如果客户机 不顺应,NAP通常提供一机制来自动地使客户机顺应,并且随后动态地增加它的网络访问级 别。在典型的实现中,网关12 将周期性地重新检查客户机对适用的策略的顺应。除了向网关12 提供顺应信息之外,列表还可标识客户机的安全能力包括,例如, 客户机121是否具有所部署的A/V产品、产品的操作状态(例如,其最后更新是何时)、客 户机是否配备有打开的防火墙、客户机是否具有过滤已知恶意URL的能力(例如,通过比较 URL与黑名单或相似构造)、在客户机121上是否存在且可操作入侵保护系统(“IPS”—— 用于标识和对“坏”通信采取行动)等等。可使用诸如NAP API (应用程序编程接口)等现有装置或其他安全通道来实现顺 应和安全能力的通信。或者,可利用ESAS(企业安全评估共享)体系结构,如2007年3月 14日提交的题为“Enterprise Security Assessment Siaring(企业安全评估共享)”的美 国专利申请第11/724,061号中描述的,该申请为本申请的受让人所有并通过援引整体结 合于此。如附图标记212所示,网关12 将分析客户机121的顺应和安全能力来调整它自 身对网络通信的处理。一般而言,当客户机121的顺应和安全能力下降时(即,客户机121 在安全能力方面是“瘦客户机”和/或不顺应适用的策略),网关12 自身将执行较多处理。 相反,当客户机121是具有完全安全能力的“富客户机”且完全顺应适用的策略时,网关12 将其处理调整到较小。另外,如果客户机对适用的策略的顺应由于任何原因而改变,则网关 12 可改变其处理级别。一般在所有情况下,无论在网关12 处处理时消耗什么级别的资 源,通常将在持久的基础上在日志220中跟踪和存储它们,如附图标记225所示。日志220可作为记帐系统231的一部分来安排,例如,被配置成基于在网关12 处的实际资源消耗 而不是仅基于诸如网关12 所保护的客户机器的数量等一些其他任意度量来对顾客生成 帐单(如附图标记236所示)。尽管在商业场景中常常利用帐单,诸如与在商业基础上向顾客提供的托管网络保 护服务的供应相关联的商业场景,但是帐单的概念还可应用于业务场景。例如,在图1所示 的启用网络105中,部门或其他组织常常因使用IT(信息技术)资源或服务而内部记帐。本 发明的自动分布式网络保护解决方案使得更全面且准确地呈现对网关服务的这一内部记 帐。现在转向图3-5,示出了突出显示本解决方案的原理的若干说明性场景。如前,注 意到尽管描述了对于客户机121和网关12 的场景,但是这些场景对于企业网络105中的 客户机116和基于企业网络的网关126i具有等效适用性。另外,所描述的特定安全能力旨 在仅是说明性的并且不应被认为是穷尽的。在图3所示的场景中,对于本地部署的安全资源或它对适用的策略(即,健康和/ 或公司管控策略)的顺应,客户机121被假定为瘦客户机。在客户机121处的用户希望从因 特网137上的资源131浏览网站(如附图标记305所示)。客户机121将通过网关12 连接 到资源131,并且在连接过程期间传送对它与适用的策略和安全能力的顺应的枚举(310)。 由于客户机121没有配备来执行任何网络安全过程或是不顺应适用的策略,网关12 将不 把安全处理工作卸载到客户机。因此,网关12 将首先代表客户机执行URL过滤(315)来 确定用户设法访问的网站是否已知是恶意的,例如,是钓鱼站点或包含恶意软件等。如果 是,则访问被网关阻塞。如果对网站的访问没有被阻塞,则网关12 将作为客户机121的代理连接到所请 求的网站(320)。当内容由网站返回时,网关12 将检查该内容以寻找病毒(325)和/或 其他恶意软件。客户机121随后自由地消费来自网站的内容而无需进一步处理(300)。当今上述场景是常见的,并且表示在网关12 处最高级别的资源消耗以及对应最 高级别的帐单。该场景对于关于安全方面具有完全能力但不顺应适用的策略的富客户机将 是相似的。在这一情况下,网关12 将不把工作卸载到富客户机,并且将代表客户机执行 高级别的安全处理。在图4所示的场景中,客户机121通过配置有A/V检查功能但没有URL过滤而具 有中间级别的安全能力,并且被假定成顺应适用的健康和/或公司管控策略。在客户机121 处的用户希望从因特网137上的资源131浏览网站005)。客户机121将通过网关12 连 接到资源131,并且在连接过程期间传递它的顺应和安全能力的枚举010),在该示例中, 这指示客户机完全顺应适用的策略并且具有所部署的且与所有适用的签名更新一起操作 的A/V检查。由于客户机121被配备成执行A/V检测但没有URL过滤,网关12 将首先代表客 户机执行URL过滤015),并且随后作为客户机的代理连接到所请求的网站020)。当内容 由网站返回时,客户机121将使用它自身本地部署的A/V检查能力来检查该内容寻找病毒 (425)和/或其他恶意软件,并且随后消费该内容。在该场景中,在客户机121与网关12 之间分配处理开销,由此产生对顾客的较 低收费,因为在网关处需要花费的资源较少。
在图5所示的场景中,客户机121是具有安全能力全集的富客户机,在该示例中, 该安全能力包括完全顺应适用的策略的A/V检查和URL过滤功能两者。在客户机121处的 用户再次希望从因特网137上的资源131浏览网站(505)。客户机121将通过网关12 连 接到资源131,并且在连接过程期间传递它的顺应和安全能力的枚举(510),在该示例中, 这指示客户机具有所部署的且与所有适用的签名更新一起操作的A/V检查、以及全面且当 前的URL过滤功能。响应于学习客户机的顺应状态和安全能力,网关12 指示客户机121直接连接到 网站(515),由此放弃使用通过网关的代理连接。客户机121据此执行它自身的URL过滤 (520),并且产生到所需网站的直接连接(525)。当内容从网站返回时,客户机121将使用它 自身本地部署的A/V检查能力来检查该内容以寻找病毒(530)和/或其他恶意软件,并且 随后消费该内容。如上所述,网关12 将周期性地重新检查客户机的顺应状态,如果客户机的状态 从完全顺应改变为不顺应(例如,客户机121上发生病毒发作),则网关将终止把安全处理 卸载到客户机。类似地,如果接收到ESAS安全评估,它指示客户机121上发生安全事故使 得客户机可能在某种方面受到损害,则卸载也可被终止。在该场景中,由于处理大部分都被卸载到客户机121,因而网关12 所使用的资源 是最小的并且通常仅是AAA服务。这导致对顾客的最小收费。图6示出了其中在将过程卸载到客户机时可考虑外部因素、并且还可跨多个网络 安全网关执行负载平衡的替换安排。如上,该安排可适用于企业网络中的客户机和网关以 及与托管网络保护服务相关联的那些。对外部因素和负载平衡的考虑可用于补充图2-5中 所示且在附随文本中所描述的技术,或在一些情况下替换它们。这里,客户机121连接到网关12 来将顺应和安全能力的列表传送给该网关 (605),并且当确定如何调整它的过程并将工作卸载到该客户机时,该网关将考虑各种外部 因素(610)。这些因素说明性地包括(但不必限于)因特网137的安全的总体状态611、所 访问的信息的新鲜度612、以及其他因素613。例如,如果因特网上存在重要的威胁,则网关 12 可指示富客户机直接连接到所需网站,但仅在特定时间或时间间隔。类似地,如果所请 求的数据已经被高速缓存在一个或多个可信服务器中,则网关12 可指示客户机121从那 些服务器中检索数据。还可执行跨一个或多个附加网关614的负载平衡(615)。在一个说明性示例中, 当决定如何在附加网关614之间分配工作时,网关12 可考虑客户机121的安全能力、网 关所服务的所有客户机之间安全处理的总负载、被访问的数据的类型(例如,电子邮件、文 件、网站等)、优先级、用户简档、以及其他因素。以如上所述当利用单个网关1 时的类似 方式,附加网关614在代表客户机执行安全过程时将考虑本地客户机121的能力(620)。还可在基于云的网关与本地部署的网关(例如,分别为网关12 和126i,如图1所 示)之间执行负载平衡。在该示例中,负载平衡可偏爱本地部署的(即,“下游”)网关Uei 以方便基于云的(即,“上游”)网关12 更有利的运营成本。尽管用结构特征和/或方法动作专用的语言描述了本主题,但可以理解,所附权 利要求书中定义的主题不必限于上述具体特征或动作。相反,上文所描述的具体特征和动 作是作为实现权利要求的示例形式来公开的。
权利要求
1.一种在网络安全网关(126)处执行的用于为客户机(121)提供自动分布式网络保护 的方法,所述方法包括以下步骤接收对所述客户的安全能力和所述客户机对关于客户机健康或管控的一个或多个策 略的顺应状态的枚举(205),响应于在所述客户机处的安全能力顺应的枚举,调整所述网络安全网关与所述客户机 之间的安全相关处理的分配012);以及当代表所述客户机执行安全相关过程时,记录所述网络安全网关所消费的资源的级别 (225)。
2.如权利要求1所述的方法,其特征在于,还包括生成适用于客户机使用所记录的资 源级别的帐单的步骤。
3.如权利要求1所述的方法,其特征在于,其中所述客户机是企业网络中的计算设备, 所述计算设备是个人计算机、工作站或服务器中的一个。
4.如权利要求1所述的方法,其特征在于,其中所述网络安全网关被配置成提供内容 检查、反病毒扫描、恶意软件阻塞、信息泄漏阻止、防火墙服务或安全策略实施中的至少一 个。
5.如权利要求1所述的方法,其特征在于,其中所述分配包括将安全相关过程从所述 网络安全网关卸载到所述客户机。
6.如权利要求1所述的方法,其特征在于,还包括周期性地重新检查所述客户机的顺 应状态的步骤。
7.如权利要求5所述的方法,其特征在于,还包括当所述客户机变得不顺应时终止所 述卸载的步骤。
8.如权利要求1所述的方法,其特征在于,其中所述对安全能力和顺应状态的枚举通 过NAP接口、网络通道、或ESAS安全评估中的一个来接收。
9.如权利要求1所述的方法,其特征在于,还包括执行AAA服务的步骤。
10.如权利要求1所述的方法,其特征在于,还包括对一个或多个附加网关执行所述安 全相关处理的负载平衡的步骤。
11.如权利要求1所述的方法,其特征在于,所述方法如由被配置成支持云服务的网络 安全网关执行。
12.如权利要求1所述的方法,其特征在于,还包括对代表所述客户机在所述网关上所 执行的安全相关处理所伴随的资源的消费实施惩罚的步骤。
13.如权利要求12所述的方法,其特征在于,其中所述惩罚是财务上的,以激励在所述 客户机处较高级别的安全相关处理。
14.如权利要求1所述的方法,其特征在于,所述客户机包括下游网关。
15.如权利要求1所述的方法,其特征在于,所述安全相关处理包括内容检查、反病毒 扫描、恶意软件阻塞、信息泄漏阻止、防火墙服务或安全策略实施中的至少一个。
全文摘要
提供了一种将客户机器的安全能力传递给网络安全网关的网络保护解决方案,使得能够以实现客户机的目标安全级别而在网关处消费尽可能少的资源的方式来在网关和客户机之间自动且动态地分布各种过程。例如,对于顺应指定的健康和/或公司管控策略且已知具有所部署的且操作的A/V能力的客户机,网络安全网关将无需对客户机的传入网络通信执行额外的A/V扫描,这由此可在网关处节省资源并且降低运营成本。
文档编号H04L9/32GK102090019SQ200980127126
公开日2011年6月8日 申请日期2009年6月26日 优先权日2008年7月8日
发明者D·B·克罗斯, N·奈斯, Y·埃德瑞 申请人:微软公司