处理网络流量的计算机系统及方法
【专利说明】处理网络流量的计算机系统及方法
[0001]本案是申请号:200710000178.6,申请人:飞塔公司,发明名称:《处理网络流量的计算机系统及方法》的申请的分案申请。
技术领域
[0002]本发明涉及计算机网络,尤其涉及网络系统安全性和/或可升级性的实现。
【背景技术】
[0003]近十年来,对网络安全的威胁演变地非常快,其从网络层针对连接的攻击发展成应用层基于代理的攻击。常规的网络设备(防火墙)能够进行网络层数据包的处理;例如,常规防火墙可以阻止不是来自有效数据源的数据包,以及VPN网关可以加密传输中的数据包使其安全穿过互联网。但是,当前严重的网络威胁,比如包括间谍软件、病毒和蠕虫等恶意程序嵌入到数据包流的应用层内容中。通过从多个数据包中提取内容,重建原始内容,以及扫描其中的攻击指示标志或者不适当内容等处理方法来检测并阻止这些应用层的攻击需要很强的处理能力。
[0004]针对这些新的安全挑战,现今的防火墙必须能够提供应用层内容的实时处理,特别是随着现在(及将来)不断增长网络速度而产生的实时应用程序(如网页浏览)。
[0005]在防火墙中,网络流量的处理由一系列整体形成一防火墙策略的具体规则来确定。防火墙策略指示了防火墙应该怎样处理如网页、电子邮件或者远程登录等具体应用的网络流量。示例性的规则包括过滤禁忌词汇、阻止具体的URL、阻止具体文件类型的传输、反恶意程序扫描,垃圾邮件阻止等等。每一防火墙策略通常具有关联防火墙配置内容表,通过该配置内容表配置防火墙处理网络内容。防火墙策略通常由网络管理员创建,并且是基于各组织的信息安全策略。
[0006]防火墙通常实现为具有多个用于网络流量的流入及流出的物理网络接口的硬件/软件装置。网络流量进入这些接口中的一个,经过过滤及其它适当的处理后被路由到通常是与不同物理接口相连接的一远程主机。在一些情况下,防火墙也可配置具有逻辑接口,如虚拟局域网络(VLAN)或点对点协议(PPP)接口。这样的逻辑接口完全是通过软件实现的,并不直接映射到物理接口。举例说明,在VLAN配置中,PC机、服务器以及其它的网络设备可以实现并显现在同一个物理LAN网段相互通信,即使它们可能并不是位于相同的物理LAN网段。VLAN配置下的网络实体可以分布在多个物理网络中,但是对于防火墙而言这些网络实体如同全都是通过一单个(逻辑)网络接口连接的。
[0007]具有多个不同计算机系统的大型网络可以划分为两个或更多不相交的虚拟网络,称为“虚拟域”。每一所述虚拟域都具有其自己的路由设置、网络管理设置、访问权限设置以及网络完全策略与配置。利用虚拟域,相互独立的组织可以共享相同的防火墙/路由硬件,该虚拟域的网络接口可以被划分成不相交的可由不同用户管理的路由域。从一个这样虚拟域发出的网络流量只能在同一个虚拟域中路由。
[0008]但是,现有的防火墙系统在利用可升级且有效的方法来处理不相交路由及配置的域方面的能力不足。因此,需要能够以有效的方法管理虚拟网络域的可升级的防火墙系统。
【发明内容】
[0009]本发明的目的在于提供一种方法和系统,其能够充分消除传统技术在虚拟域中处理内容相关的一个或多个上述或其他问题。
[0010]本发明的一个方面提供了一种用于处理与多个虚拟域相关的网络内容的方法、计算机编程产品以及计算机系统。根据本发明的方法,需要定义多个接口,其中的每个接口对应一个虚拟域。然后系统根据具体的内容处理策略发起用于处理网络数据包的服务进程。当接收到涉及与虚拟域相关联的网络实体的网络连接请求时,系统将在服务进程与内核之间开放一通信信道。开放的通道用于在服务进程与防火墙系统内核之间传输与虚拟域相关的网络内容。根据起作用的内容处理策略,在服务进程中处理传输的网络内容。
[0011]根据本发明的一个特点,当接收到涉及与第二虚拟域相关联的第二网络实体的第二网络连接请求时,系统在服务进程与对应于所述第二虚拟域的第二接口之间开放一第二通信信道。然后该系统使用所述第二开放通信信道在服务进程与第二接口之间传输第二网络内容。与第二虚拟域相关的网络内容根据起作用的内容处理策略在相同的服务进程中进行处理。
[0012]根据本发明的另一特点,为每一虚拟域提供一相对独立的内容处理策略。
[0013]根据本发明的又一特点,所述通信通道是套接字。
[0014]根据本发明的又一特点,所述接口可以是物理接口或逻辑接口。
[0015]根据本发明的又一特点,所述内容处理策略可包括反恶意程序扫描。内容处理策略还可以包括内容过滤、虚拟专用网(VPN)处理以及网络监控与日志记录。
[0016]根据本发明的又一特点,服务进程可以是一系统进程。
[0017]根据本发明的又一特点,根据一信息交换协议传输所述网络内容。
[0018]根据本发明的又一特点,所述处理包括获取与虚拟域相对应的配置设置。所述配置设置可以通过与虚拟域相对应的开放通信通道的至少一个属性获得。这样的属性可以包括,例如,套接字标识符,其可用于获得虚拟域标识符,反过来,该虚拟域标识符可以用于从数据库或其它存储系统中查询适当的配置设置。
[0019]根据本发明的又一特点,可利用同样的服务进程处理与其它虚拟域相关的数据。
[0020]根据本发明的又一特点,一经收到与第二虚拟域相关的第二连接请求时,系统发起用以处理与第二虚拟域相关的网络内容的第二个服务进程。不同的服务进程在不同的CPU上执行。
[0021]根据本发明的又一特点,第二服务进程可由第一个服务进程发起。服务进程之间可通过消息交换来进行通信。该消息可以包括系统接收的第三连接请求的信息。该第三连接请求可从前两个虚拟域中或从一第三虚拟域中发出。
[0022]根据本发明的又一特点,系统可提供有一集中配置存储装置,用于对服务进程提供配置信息。系统进一步包括一日志管理器,用于处理从服务进程接收的日志信息。
[0023]根据本发明的又一特点,虚拟域状态信息可以缓存在服务进程中。
[0024]有关本发明的其他方面部分地在下面的描述中介绍,部分地通过说明书显而易见或可通过对本发明的实施获得。本发明的各个方面可以通过要件及各要件的组合、以及下文的详细描述和所附的权利要求中具体指出的方面了解和获得。
[0025]应该理解,上文和后文中的描述只是示例性和说明性的,并不用于以任何方式对要求保护的本发明或其应用进行限制。
【附图说明】
[0026]附图被结合进来并构成说明书的一部分,其示例性地说明了本发明的实施例,且与文字说明一起用于解释和描述本发明技术的原理。具体地:
[0027]图1示出了虚拟局域网络(VLAN)配置的方框示意图;
[0028]图2示出了虚拟域配置的方框示意图;
[0029]图3示出了根据本发明一实施例的用于在虚拟域环境下处理网络内容的计算机系统的方框示意图;
[0030]图4示出了是根据本发明的另一实施例,用于在虚拟域环境中处理网络内容的计算机系统的方框示意图;及
[0031]图5示出了可用于实现本发明的内容处理系统的计算机平台的示范性实施例。
【具体实施方式】
[0032]下面将参考附图进行详细说明,其中,附图中相同的功能元件使用相同的标记。上述的附图示出了与本发明的原理一致的具体实施例及其实现,其用于解释本发明,并不作为对本发明的限制。本文对所述的实施例的实现进行了详细描述以使得本领域的技术人员能够实施本发明。应该理解,可以采用其它的实施方式以及对各种元件做出结构变化和/或替换而不脱离本发明的精神和范围。因此,下面的描述并不用于限制本发明。另外,本发明所述的各种实施例可以以运行于通用计算机中的软件、专门的硬件、或者软件和硬件的组合方式来执行。
[0033]发明人认为提供一种机制,在该机制中利用可升级且有效的方式管理多个虚拟域的网络内容是具有优势的。特别地,本发明的一实施例能够同时处理与多个虚拟域相关的网络内容。
[0034]图1示出了示例性的VLAN网络配置100。参照图1,物理局域网络(LAN) 122,123及124通过防火墙装置101的物理接口连接。物理LAN 122到124包括与防火墙101各个网络接口连接的局域网络实体104到115。局域网络实体104到115可以包括PC设备、网络存储装置等。局域网络实体104 - 115分为三个¥1^1分别是116、117与118。这三个VLAN在防火墙101中分别通过逻辑接口 119,120及121连接。防火墙101通过一不同的物理接口 125与互联网(internet) 102连接。在互联网102中的远程主机103与局域实体104到115中的任何一台之间传输的网络内容