专利名称:网络访问保护的制作方法
网络访问保护背计算机网络遭受日益增加的安全性风险。为了针对攻击进行保护并防止安全 裂口,防火墙被用来控制网络内的通信流。更具体地,根据一个或多个定义的规则 来选择性地允许由防火墙接收的通信通过。防火墙实施的访问规则根据一个或多个网络规定和通信量参数(诸如源或目的地域名(例如,URL)、因特网协议地址(IP 地址)、通信通道(例如,端口)、应用协议(例如,HTTP、 FTP)和/或安全凭 证(例如,安全登录和认证证书))。然而,基于以上网络规定和通信量参数的访问规则是成问题的。基于网络规 定和通信量的规则是静态的,而某些参数则会频繁改变。而且,针对攻击保护的有 效性和对用户的影响取决于访问规则粒度的级别。然而,在大多数网络上部署和维 护具有足够粒度的访问规则一般是不切实际的。从而,计算设备和/或网络中的一 个或多个通常是易受攻击的。而且,所部署的访问规则基本上会影响计算设备和/ 或网络的性能。因此,基于网络规定和通信量参数的常规访问规则对用户的影响是 显著的,有时会带来衰退的效果。概述此处所述的技术是针对网络访问保护的方法和系统。在一个实施例中,按照 基于健、康报告的规则来定义访问策略。也可按照基于网络规定和通信量参数的规则 来定义访问策略。访问策略可基于一个或多个计算设备当前的健康报告来应用于计 算设备之间的通信。当前的健康报告可包括一个或多个准则的状态,诸如所安装的 应用程序、所安装的补丁、配置、设备性能和硬件组件。附图简述在附图中作为示例而非限制来示出各实施例,且在附图中相同的参考标号指 的是类似的元素,附图中
图1示出用于实现网络访问保护系统的示例性操作环境的框图。
图2示出网络访问保护方法的流程图。 图3示出网络访问保护方法的流程图。图4示出用于实现网络访问保护系统的示例性操作体系结构的框图。 图5示出用于实现网络访问保护方法的示例性操作体系结构的框图。详细描述现在将详细参考特定实施例,其示例在附图中示出。尽管将结合这些实施例 来描述本发明,但可以理解,它们并不旨在将本发明限于这些实施例。相反,本发 明旨在覆盖替换实施方式、修改和等效实施方式,它们可被包括在如所附权利要求 书所定义的本发明的范围内。而且,在以下详细描述中,描述各个特定细节以便提 供彻底的理解。然而,可以理解,本发明可无需这些特定细节而实现。在其它实例 中,未描述众所周知的方法、过程、组件和电路以便不会不必要地模糊本发明的各 方面。图1示出了用于实现网络访问保护系统的示例性操作环境100。操作环境100 包括由一个或多个通信通道145-175互连的多个计算设备110-140。计算设备可包 括个人计算机、服务器计算机、客户机设备、路由器、交换机、无线接入点、安全 设备、手持或膝上型设备、机顶盒、可编程消费者电子产品、小型机、大型机等。 各个计算设备110-140可相关,使得它们形成一个或多个网络185-195。网络185-195 可包括局域网、广域网、内联网、外联网、因特网等。利用示例性计算环境(例如,计算设备125处)内的一个或多个信任边界根 据计算设备110-140中的一个或多个的健康报告来控制计算设备110-140之间的通 信流。信任边界可被置于计算设备110-140之间、 一个或多个计算设备110-140与 一个或多个网络185-195之间、和/或网络185-195之间。信任边界可由专用计算设 备(例如,安全设备)或运行在计算设备上的应用程序(例如,防火墙)来实现。根据计算设备110-140中的一个或多个的健康报告来控制跨边界通信。计算设 备140的健康报告是计算设备140的可信度的度量。更具体地,健康报告指示计算 设备140关于诸如所安装的应用程序、所安装的补丁、配置、设备性能、硬件组件 等的准则的状态。如果计算设备140的健康报告遵循某些网络上起效的某些安全策 略,则它是健康的,否则就是不健康的。例如,健康报告可指示加载到给定计算设 备上的每一应用程序,诸如操作系统、浏览器、反病毒程序等。健康报告也可指示 为每一应用程序安装的最新的服务包、补丁、病毒定义等。健康报告也可指示设备
的性能参数,诸如网络通信量水平、处理器利用率等。健康报告也可指示提供特定 功能的特定硬件组件的存在性,诸如提供嵌入式安全特征的集成电路。给定的信任边界将一个或多个基于健康报告的访问规则应用于通过该信任边 界的跨边界通信。例如,信任边界可置于第一计算设备115与第二计算设备130之间的计算设备125处。第一计算设备115可请求由第二计算设备130提供的资源。 与该请求相关联的通信量由计算设备125处的信任边界接收。信任边界基于第一计 算设备115的健康报告、第二计算设备130 (例如,预期的目的地)的健康报告或 两者来选择性地允许请求被路由至第二计算设备130 (即,所请求的资源)。具体 地,如果第一计算设备115和/或第二计算设备130当前是健康的,与该请求相关 联的通信则被路由至第二计算设备130。如果第一计算设备115和/或第二计算设备 130当前不健康,则通信可能会被阻断、进一步过滤、受限或重新路由至另一资源 (例如,第三计算设备110)。从而,如果计算设备115、 130健康,则两者之间的通信被允许。因此,计算 设备115、 130的用户不受影响。然而,如果计算设备H5、 130中任一个不健康, 则可通过阻断或进一步过滤设备115、 130之间的通信来阻止计算设备115、 130 之间恶意软件的传播。不健康设备115所表示的易受攻击性可通过将不健康计算设 备115推至其中可更新(例如,安装安全补丁)不健康设备115的第三计算设备 IIO上的资源来消除。图2示出可在信任边界处实现的网络访问保护进程200的流程图。在210处,接收到一个或多个计算设备的健康报告。在一个实现中,可生成、收集请求资源的 源计算设备的健康报告或以其它方式使之可用。在另一实现中,可生成、收集满足该请求的预期目的地计算设备的健康报告或以其它方式使之可用。在又一实现中, 可生成、收集源计算设备和目的地设备两者的健康报告或以其它方式使之可用。健康报告是计算设备可信度的度量。更具体地,健康报告指示相应的计算设 备关于诸如所安装的应用程序、所安装的补丁、配置、设备性能、硬件组件等的准 则的状态。计算设备的健康程度可基于它遵循特定的准则集的程度来确定。具体地, 如果计算设备的健康报告遵循某个当前的准则集,则它就是健康的,否则就是不健 康的。在后一情况中,健康报告可包括指示计算设备不健康的原因的数据。在220处,对资源的访问被根据健康报告来控制。例如,如果源计算设备和 目的地计算设备健康,则允许通信。如果源计算设备和/或目的地计算设备不健康, 则可阻断计算设备之间的通信。或者,可根据一个或多个常规规定和通信量参数(诸
如域名(例如,URL)、因特网协议地址(IP地址)、通信通道(例如,端口)、 应用协议(例如,HTTP、 FTP)和/或安全凭证(例如,安全登录和认证证书)等) 来过滤或以其它方式限制计算设备之间的通信。过滤也可基于指示特定计算设备为 何不健康的原因的数据。图3示出可在信任边界处实现的网络访问保护进程300的流程图。进程包括 创建访问策略(330)和对访问策略的应用(340、 350、 360、 370)。更具体地, 在330处,可按照源计算设备的健康报告、目的地计算设备的健康报告或两者来定 义访问策略。还可按照常规网络规定和通信量参数,诸如域名(例如,URL)、因 特网协议地址(IP地址)、通信通道(例如,端口)、应用协议(例如,HTTP、 FTP)和/或安全凭证(例如,安全登录和认证证书)等来进一步定义访问策略。然 后可利用访问策略来控制计算设备之间的通信。在340处接收对资源的请求(例如,接收跨边界通信)之后,开始实施访问 策略。从源计算设备接收对资源的请求,所请求的资源由目的地计算设备提供。在 350处,接收到与该请求相关联的当前健康报告。健康报告可基于源计算设备、目 的地计算设备和/或两者。在可任选的进程360处,也可接收关于该请求的一个或 多个网络规定和通信量参数。可按照任何数目的方式来生成、收集健康报告信息390和网络规定和通信量 参数395或以其它方式使之可用。在一种实现中,每一计算设备的健康报告可作为 网络访问保护进程的必须部分来访问。在另一实现中,单独的进程可确定每一计算 设备的健康报告。类似地,该一个或多个网络规定和通信量参数可作为网络访问保 护进程的必须部分来访问和/或在单独进程中访问。网络访问保护进程、对健康报 告评估和/或网络规定和通信量参数评估可由同一计算和/或电子设备实现或分布 在一个或多个计算和/或电子设备上。在370处,基于访问策略和源计算设备和/或目的地计算设备的当前健康报告 来做出是否要将该请求转发给预期的目的地计算设备的判断。具体地,如果源计算 设备和/或预期目的地计算设备的当前健康报告指示健康的状态,则在372处,该 请求被转发给预期的目的地。如果源计算设备和/或预期的目的地计算设备的当前 健康报告指示不健康的状态,则在374处该请求的通信量可被丢弃。在另一实现中,如果源计算设备和/或预期的目的地计算设备的当前健康报告指示不健康的状态, 则在376处可根据一个或多个常规网络规定和通信量参数来过滤或限制该请求。在 又一实现中,如果源计算设备和/或预期的目的地计算设备的当前健康报告指示不
健康的状态,则在378处,该请求可被重新定向。可通过将源和/或目的地计算设备推至适当的资源以便更新该设备的状态来重新定向该请求。例如,源计算设备可 被重新定向给一服务器,在那里可使用当前的安全补丁来更新它的操作系统。图4示出用于实现网络访问保护系统的示例性操作体系结构400。示例性操作 体系结构400包括公司范围网络(例如,内联网)405、会计部门网络410、因特 网470 (例如,万维网),以及各种计算设备415-435、 440、 475、 480。公司内联 网405包括多个计算设备415-440。公司内联网405的计算设备415、 420中的某 些构成的会计部门网络410。信任边界设备(例如,安全设备)440被置于因特网 470与公司内联网405之间。信任边界设备440也被置于会计部门网络410与公司 内联网405的其它计算设备425-435之间。信任边界设备440适用于基于目的地计算设备的健康报告、源计算设备的健 康报告或两者来控制跨边界通信。例如,如果客户机435不健康(例如,电子表应 用程序的服务包未被安装在源资源435上),则一访问策略可选择性地拒绝访问请 求访问工资单服务器415的客户机435。在一种实现中,如果源计算设备不健康,则访问策略的实施可阻断源计算设 备访问目的地计算设备的通用和/或常用的资源。在另一实现中,访问策略的实施 可允许对目的地计算设备的受限访问。在另一实现中,访问策略的实施可包括将不 健康计算设备的用户重新定向到另一计算设备上的资源,在那里用户可更新该不健 康的计算设备。例如,用作web代理的信任边界设备440可通过检查用户计算设 备435的健康报告且如果该机器不健康(例如,未运行反病毒应用程序或病毒定义 不是最新的)则可阻断对因特网470的访问(例如,web访问隔离)来防止用户访 问因特网470。信任边界设备440在该情况中也可将用户重新定向到一适当的网站, 在那里该用户可更新他/她的计算设备435。信任边界设备435实施的访问策略包括基于计算设备415-435、 475、 480中一 个或多个的健康报告的访问控制规则。访问控制规则针对攻击进行保护,并防止安 全裂口。例如,易受攻击性可通过在端口 NNN上采用TCP协议的通信而被利用。 适当的基于健康报告的访问规则可以是如果目的地机器健康,则允许端口NNN 上的TCP通信量。如果目的地机器不健康,则阻断端口 NNN上的入站TCP通信 量。访问控制规则也可以基于常规网络规定和通信量参数。例如,易受攻击性可通 过web浏览器组件而被利用。适当的基于健康报告的访问规则可以是如果源健 康,则允许对web的不受限的访问。如果源机器不健康,则通过剥去HTML页面 的潜在的危险部分(例如,所有的脚本)的过滤器来运行所有的HTTP通信量。而且,可以理解, 一设备可能对于第一目的而言是健康的,而对另一目的而言是不健 康的。例如,设备对访问电子邮件而言是健康的,而对访问存储客户机文件的主文件服务器而言是不健康的。因此,适当的基于健康报告的访问规则可以是如果设 备健康,则允许所有请求。如果设备不健康,则允许对电子邮件服务器的访问,并 阻断对主文件服务器的访问。在以上示例中,使用常规网络规定和通信量参数的过滤器(例如,剥去HTML页面的所有潜在危险部分或阻断端口 NNN上的所有TCP 通信量)的负面影响因访问策略基于一个或多个适当的计算设备的健康报告而被减轻。可按照任何数目的方式来生成、收集健康报告信息或以其它方式使之可供信 任边界设备440使用。在一种实现中,信任边界设备440可为每一计算设备415-435、 475、 480确定健康报告。在另一实现中,单独的实体可确定每一计算设备415-435、 475、 480的健康报告。在又一实现中,给定计算设备415的健康报告可由给定计 算设备415报告。信任边界设备440然后可向该单独实体査询给定计算设备的健康 报告状态。在一种实现中,健康报告信息可被存储在包含每一计算设备415-435、 475、 480的健康的完全清单的表中。在另一实现中,每一计算设备的健康报告信 息可存储为指示计算设备的当前状态的单个位(例如, 一标志)(例如,"0"为 健康"1"为不健康)。一般而言,上述的网络访问保护方法和系统的功能、进程中的任一个可使用 软件、固件、硬件或这些实现的任何组合来实现。如此处所使用的,术语"逻辑"、 "模块"或"功能" 一般表示软件、固件、硬件或其任何组合。例如,在软件实现 的情况中,术语"逻辑"、"模块"或"功能"表示表示计算机可执行程序代码, 这些代码当在计算设备上运行时执行指定的任务。程序代码可被存储在一个或多个 计算机可读介质(例如,计算机存储器)中。可以理解,所示将逻辑、模块和功能 分为不同单元可反映这样的软件、固件和/或硬件的实际物理分组和分配,或可对 应于单个软件程序、固件例程或硬件单元所执行的不同任务的概念上的分配。所示逻辑、模块和功能可位于单个场所,或可在多个位置上分布。图5示出用于实现网络访问保护系统的示例性操作体系结构500。示例性操作 环境500包括在通信上置于多个计算设备520-530之间的信任边界设备510。信任 边界设备510可由专用计算设备(例如,安全设备)实现,或被实现为运行在诸如 服务器计算机、路由器、无线接入点、个人计算机、客户机设备、手持式或膝上型 设备、多处理器系统、基于微处理器的系统、机顶盒、可编程消费者电子产品、小 型机、大型机等的计算设备上的应用程序。示例性的信任边界设备510可包括一个或多个处理器550、 一个或多个计算机 可读介质560、 570和彼此通信耦合的一个或多个通信端口 580、 585。计算机可读 介质560、 570和通信端口 580、 585可由一个或多个总线590通信耦合至一个或多 个处理器550。可使用任何种类的总线结构或总线结构的组合,包括系统总线、存 储器总线或存储器控制器、外围总线、加速图形端口、使用各种总线体系结构中任 一种的处理器或局部总线来实现一个或多个总线590。可以理解, 一个或多个总线 590允许传输被编码为已调制载波的计算机可读指令、数据结构、程序模块、或其 它数据。从而, 一个或多个总线590也可以表现为计算机可读介质。尽管未示出,但信任边界设备510可包括附加的输入/输出设备,诸如显示设 备、键盘、定点设备(例如"鼠标")。输入/输出设备还可包括扬声器、话筒、 打印机、操纵杆、游戏垫、圆盘式卫星天线、扫描仪、读卡设备、数码相机或摄像 机等。输入/输出设备可通过任何种类的输入/输出接口和总线结构,诸如并行端口、 串行端口、游戏端口、通用串行总线(USB)端口、视频适配器等耦合至系统总线 590。计算机可读介质560、 570可包括系统存储器570和一个或多个海量存储设备 560。海量存储设备560可包括各种类型的易失性和非易失性介质,它们均可以是 可移动或不可移动的。例如,海量存储设备560可包括对不可移动、非易失性磁介 质读写的硬盘驱动器。 一个或多个海量存储设备560也可包括用于对可移动、非易 失性磁盘(例如"软盘")读写的磁盘驱动器、和/或对诸如CD光盘、数字多功 能盘(DVD)或其它光学介质等可移动、非易失性光盘读写的光盘驱动器。海量 存储设备560还可包括其它类型的计算机可读介质,诸如磁带盒或其它磁存储设 备、闪存卡、电可擦可编程只读存储器(EEPROM)等。 一般而言,海量存储设 备560为计算设备510的使用提供了对计算机可读指令、数据结构、程序模块和其 它数据的非易失性存储。例如,海量存储设备560可存储操作系统562、防火墙应 用程序564、访问策略566和其它程序模块和数据。系统存储器570可包括易失性和非易失性介质,诸如随机存取存储器(RAM) 572和只读存储器(ROM) 574。 ROM 574 —般包括输入/输出系统(BIOS) 576, 后者包含诸如在启动时有助于在信任边界设备510内的元件之间传输信息的基本 例程。由处理器执行的BIOS 576指令例如将操作系统562从海量存储设备560加
载到RAM 570。 BIOS 576然后使处理器550开始从RAM 570执行操作系统562'。 防火墙应用程序564和访问策略566然后可在操作系统562'的控制下被加载到 RAM 570中。计算设备520、 530可直接或间接地通信耦合至信任边界设备510的通信端口 580、 585。从而,信任边界设备510可用作使用至一个或多个网络540、远程计算 设备520、 530等的物理和/或逻辑连接的访问控制点。信任边界设备510的通信端 口 580、 585可包括任何类型的网络接口,诸如网络适配器、调制解调器、无线电 收发机等。通信端口 580、 585可实现任何连接策略,诸如宽带连接、调制解调器 连接、数字用户线DSL连接、无线连接等。可以理解,通信端口 580、 585和将计 算设备520、 530耦合至通信端口 580、 585的通信通道,通过一个或多个通信通道 为传输编码为一个或多个已调制载波(例如,通信信号)的计算机可读指令、数据 结构、程序模块和其它数据作准备。从而, 一个或多个通信端口 580、 585和/或通 信通道也可以表现为计算机可读介质。网络540可包括内联网、外联网、因特网、广域网(WAN)、局域网等。计 算设备520、 530可包括任何种类的电子或计算机装备,包括个人计算机、服务器 计算机、手持或膝上型设备、多处理器系统、基于微处理器的系统、机顶盒、游戏 控制台、可编程消费者电子产品、网络PC、小型机、大型机、路由器等。网络540 和计算设备520、530可包括以上关于信任边界设备510所述的所有特征或其子集。信任边界设备510的处理器550执行防火墙应用程序564'的各条指令来控制 耦合至通信端口 580、 585的计算设备520、 530之间的通信。具体地,防火墙应用 程序564'可允许为计算体系结构500定义访问策略。或者,防火墙应用程序564' 可接收由另一应用程序、程序模块等定义的访问策略。访问策略包括基于源计算设 备520和/或预期的目的地计算设备530的健康报告的一个或多个访问控制规则。 访问策略也可包括基于常规网络规定和通信量参数的一个或多个过滤器,诸如域名 (例如,URL)、因特网协议地址(IP地址)、通信通道(例如,端口)、应用 协议(例如,HTTP、 FTP)和/或安全凭证(例如,安全登录和认证证书)等。防火墙应用程序564'实施计算设备520、 530之间通过信任边界设备510的通 信实施访问策略。更具体地,对一请求是否应被转发给预期的目的地计算设备530 做出判断。该判断是基于访问策略以及与源计算设备520相关联的当前健康报告和 /或与预期的目的地计算设备530相关联的当前健康报告作出的。健康报告参数指示各种准则,诸如所安装的应用程序、所安装的补丁、配置、
设备性能、硬件组件等。可按照任何数目的方式生成、收集每一计算设备520、 530的当前健康报告或以其它方式使之可用。在一种实现中,当前健康报告可由防火墙应用程序564确定。在另一实现中,健康报告可由相关联的计算设备提供。在又一 实现中,当前的健康报告可从诸如因特网上的健康报告认证服务器的受信任的资源 接收。在一种实现中,健康报告信息可按照表形式被存储为程序数据568'。该表可 包括每一设备的记录,它包含该设备健康的完全清单。设备的健康清单可指示该设 备是健康的还是不健康的,以及如果该设备不健康则缺陷为何。在另一实现中,对 每一设备,健康报告信息可以是单个值。该单个值可以是给定计算设备的所有健康 报告准则的聚集。如果当前的健康报告指示源和/或目的地计算设备520、530健康,则允许访问。 如果当前健康报告指示源和/或目的地计算设备520、 530不健康,则可拒绝访问, 可根据一个或多个适用的网络规定和通信量参数来过滤该请求,或者源计算设备 520可被推至用于更新源计算设备520的健康报告的资源。从而,可以理解基于健 康报告的访问策略允许精细调节的网络访问保护。基于健康报告的访问策略所提供 的网络访问保护适用于仅阻断潜在危险的通信量,而对计算设备520、 530的用户 的影响很小甚至没有。可以理解,所示操作体系结构500仅是合适的操作体系结构的一个示例,而 并不旨在对本发明的适用范围或功能提出任何限制。操作系统体系结构也不应被解释为对示例性操作体系结构500中示出的任何一个组件或组件的组合有任何依赖 性或要求。本发明适用的其它众所周知的计算设备、环境和/或配置包括,但不限 于,个人计算机、服务器计算机、客户机设备、路由器、交换机、无线接入点、安 全设备、手持或膝上型设备、多处理器系统、基于微处理器的系统、机顶盒、可编 程消费者电子产品、网络PC、小型机、大型机、包括以上系统和设备中任一个的 分布式计算环境等。实施例有利地使指定并实施访问策略时使用的当前数据集扩展到包括适当计 算设备的健康报告参数。从而,实施例对恶意软件跨网络传播(例如,信任边界) 可有利地提供成本有效的缓解。实施例也可有利地有助于消除网络内潜在的易受攻 击性。为说明和描述的目的呈现了特定实施例的前述描述。它们不旨在是穷尽的, 或将本发明限于所公开的精确形式,显然按照以上指导,众多修改和变型均是可能 的。选择并描述了实施例以便于最好地解释本发明的原理及其实际应用,从而允许 本领域的其他技术人员能最好地使用适用于所构想的特定使用的各种修改来利用本发明和各个实施例。本发明的范围将由所附权利要求书及其等效实施方式来定 义。
权利要求
1.一种方法,其包括接收第一计算设备的健康报告;以及根据所述第一计算设备的所述健康报告来控制所述第一计算设备与第二计算设备之间的通信。
2. 如权利要求l所述的方法,其特征在于,所述控制第一与第二计算设备之 间的通信还包括根据所述健康报告来选择性地路由通信。
3. 如权利要求l所述的方法,其特征在于,所述控制第一与第二计算设备之 间的通信还包括根据所述第一计算设备的所述健康报告来允许或拒绝所述第一与 第二计算设备之间的通信。
4. 如权利要求3所述的方法,其特征在于,所述控制第一与第二计算设备之 间的通信还包括根据所述第一计算设备的所述健康报告将所述第一与第二计算设 备之间的通信重定向到第三计算设备。
5. 如权利要求3所述的方法,其特征在于,所述控制第一与第二计算设备之 间的通信还包括根据所述第一计算设备的所述健康报告来过滤所述第一与第二计 算设备之间的通信。
6. 如权利要求l所述的方法,其特征在于,还包括 接收所述第二计算设备的健康报告;以及根据所述第二计算设备的所述健康报告来控制所述第一计算设备与第二计算 设备之间的通信。
7. 如权利要求l所述的方法,其特征在于,还包括接收从由源域名、目的地域名、源因特网协议地址、目的地因特网协议地址、 通信通道标识符、应用协议标识符、源的安全凭证和目的地的安全凭证组成的组中 选出的网络规定或通信量参数;以及根据所述网络规定或通信量参数来进一步控制所述第一与第二计算设备之间 的通信。
8. —种或多种含有指令的计算机可读介质,当所述指令在一个或多个处理器 上运行时执行以下动作根据基于健康报告的规则来创建访问策略;以及 基于第一计算设备的当前健康报告将所述访问策略应用于所述第一计算设备与第二计算设备之间的通信。
9. 如权利要求8所述的一种或多种计算机可读介质,其特征在于,所述应用 访问策略包括根据所述第一计算设备的当前健康报告来选择性地允许或阻止所述 第一与第二计算设备之间的通信。
10. 如权利要求9所述的一种或多种计算机可读介质,其特征在于,所述应用访问策略还包括选择性地将所述第一计算设备推至资源以更新所述第一计算设 备的健康报告。
11. 如权利要求IO所述的一种或多种计算机可读介质,其特征在于,所述应用访问策略还包括根据所述一个或多个网络规定或通信量参数来选择性地过滤所 述第一与第二计算设备之间的通信。
12. 如权利要求IO所述的一种或多种计算机可读介质,其特征在于,还包括基于所述第二计算设备的当前健康报告将所述访问策略应用于所述第一计算设备 与所述第二计算设备之间通信。
13. 如权利要求12所述的一种或多种计算机可读介质,其特征在于,所述应用访问策略还包括根据所述第二计算设备的当前健康报告来选择性地允许或拒绝 所述第一与第二计算设备之间的通信。
14. 如权利要求13所述的一种或多种计算机可读介质,其特征在于,所述应 用访问策略还包括选择性地将所述第二计算设备推至资源以更新所述第二计算设 备的健康报告。
15. —种装置,其包括 处理器;通信耦合至所述处理器的存储器;通信端口,通信耦合至所述处理器,用于接收和发送通信;其中所述装置适于接收与通信相关联的计算设备的当前健康报告,以及根据 基于健康报告的规则和所述当前健康报告来路由所述通信。
16. 如权利要求15所述的装置,其特征在于,所述装置还适于根据基于网络 规定和通信量的规则以及所述当前健康报告来选择性地过滤所述通信。
17. 如权利要求16所述的装置,其特征在于,所述基于网络规定和通信量的 规则根据一个或多个参数来限制所述通信,其中的参数是从由源域名、目的地域名、 源因特网协议地址、目的地因特网协议地址、通信通道标识符、应用协议标识符、 源的安全凭证和目的地的安全凭证组成的组中选出的。
18. 如权利要求15所述的装置,其特征在于,所述当前健康报告包括源计算 设备、目的地计算设备或两者的状态。
19. 如权利要求18所述的装置,其特征在于,所述当前健康报告包括从由所安装的应用程序状态、所安装的补丁状态、配置状态、设备性能状态和硬件组件的 存在性组成的组中选出的一个或多个准则中每一个的状态。
20. 如权利要求18所述的装置,其特征在于,所述当前健康报告包括从由所 安装的应用程序状态、所安装的补丁状态、配置状态、设备性能状态和硬件组件的 存在性组成的组中选出的一个或多个准则中每一个的状态的聚集。
全文摘要
网络访问保护方法包括,根据健康报告(statement of health)信息来创建访问策略。网络访问保护方法也包括基于访问策略和与通信相关联的一个或多个计算设备的当前健康报告来选择性地允许、拒绝或重新定向通信。
文档编号H04J3/14GK101167280SQ200680011722
公开日2008年4月23日 申请日期2006年3月28日 优先权日2005年5月3日
发明者E·胡迪斯, R·蒙德理 申请人:微软公司