用于互锁主机和网关的系统和方法
【专利摘要】在一示例性实施例中提供一种方法,该方法包括:交换与网络连接和主机上的应用关联的会话描述符;将该会话描述符与网络策略相关联;以及将网络策略运用于网络连接。在替代实施例中,会话描述符可通过带外通信信道或带内通信信道交换。
【专利说明】用于互锁主机和网关的系统和方法
【技术领域】
[0001]本公开总地涉及网络完全领域,更具体地涉及通过信息共享互锁主机和网关的系统和方法。
【背景技术】
[0002]网络安全领域在当今社会中已变得越来越重要。互联网已实现世界上的不同计算机网络的互连。然而,互联网也给予恶意操作者许多不当利用这些网络的机会。一旦恶意软件已感染主机计算机,恶意操作者就可从远程计算机发布命令以控制该恶意软件。可指令软件执行任何数量的恶意动作,例如从主机计算机送出兜售邮件或恶意电子邮件,从与主机计算机相联的商业机构或个人窃取敏感信息,将其传播至其它主机计算机和/或协助服务攻击的分布式拒绝。另外,恶意操作者可售卖或以其它方式给其它恶意操作者予访问权,由此加剧了主机计算机的不当利用。由此,有效地保护和维持稳定的计算机和系统的能力继续给组件制造者、系统设计者和网络操作者提出了重大的挑战。
【专利附图】
【附图说明】
[0003]为了提供对本公开及其特征和优势的更完整理解,现在结合附图参照下面的说明书,其中相同标号表示相同部件,在附图中:
[0004]图1是示出根据本说明书可在主机和网络网关之间共享信息以实现网络保护的网络环境的示例性实施例的简化框图;
[0005]图2是示出根据本说明书关联于网络环境的一个潜在实施例的额外细节的简化框图;
[0006]图3是示出根据本说明书关联于网络环境的一个实施例的示例性操作的简化框图;
[0007]图4是示出根据本说明书关联于网络环境的一个实施例的示例性操作的简化框图;以及
[0008]图5是示出根据本说明书关联于网络环境的另一实施例的示例性操作的简化流程图;
【具体实施方式】
[0009]概览
[0010]在一示例性实施例中提供一种方法,该方法包括:在主机和网络网关之间交换会话描述符,其中会话描述符关联于网络连接和主机上的应用;将会话描述符与网络策略相关联;并将该网络策略运用至网络连接。在替代实施例中,会话描述符可通过带外通信信道或带内通信信道交换。
[0011]在又一特定实施例中,网络策略可基于会话描述符中的应用标识而被用来对网络连接上的通信进行限制或限速。在其它实施例中,会话描述符可包括与主机关联的全局唯一的标识符。
[0012]示例性实施例
[0013]转向图1,图1是其中主机和网络网关可通过信息共享互锁的网络环境10的示例实施例的简化框图。在图1所示实施例中,网络环境10可包括互联网15、用户主机20a和20b、网络网关25、策略服务器30、邮件服务器35以及web服务器40。总地来说,用户主机20a-b可以是网络连接中的任何类型终端点,包括但不限于台式计算机、服务器、膝上计算机、移动电话或能接收或建立与远程节点(例如邮件服务器35和web服务器40)的连接的任何其它类型设备。网关25可控制用户主机20a-b与附连至互联网15的其它网络节点之间的通信,并可包括在允许经授权通信的同时阻断未经授权的访问的防火墙。策略服务器20可用来管理用户主机20a-b并掌控和分配网络策略。因此,在该示例实施例中,用户主机20a-b可仅通过建立经由网络网关25的连接(如果网关25中实现的策略允许)与附连至互联网15的服务器(例如邮件服务器35和web服务器40)通信。
[0014]图1中的每个要素可通过简单接口或通过任何其它适当的连接(有线或无线)彼此耦合,这为网络通信提供了可达路径。另外,这些要素中的任意一个或多个可基于特定配置需要被组合或从架构中被移除。网络环境10可包括一种配置,这种配置能传输控制协议/网际协议(TCP/IP)通信以在网络中发送或接收分组。网络环境10也可在适当的情况下并基于具体需求结合用户数据报协议/IP(UDP/IP)或任何其它适当协议工作。
[0015]为了解说示例性实施例中提供网络安全的技术,重要的是理解在给定网络中发生的活动。下面的基础信息可被视为本公开被正确解释所基于的基础。这种信息只是为了阐述而被认真地提供,并因此无论如何不应当解释为对本公开及其潜在应用的广阔范围形成限制。
[0016]在组织中使用或由个人使用的典型网络环境包括使用互联网与其它网络电子通信的能力,例如用于访问主存在与互联网连接的服务器上的web页、发送或接收电子邮件(即email)消息或交换文件。恶意用户连续地研发出新的战术以使用互联网来传播恶意软件和取得对保密信息的访问。恶意软件一般包括被设计成访问和/或控制计算机而无需计算机所有者的告知同意的任何软件,并最常见地用作任何敌意的、侵入性的或恼人软件的标志,例如计算机病毒、bot、间谍软件、广告软件等。一旦受到危害,恶意软件可颠覆主机并将其用于恶意活动,例如发兜售邮件或信息窃取。恶意软件一般也包括一个或多个传播矢量,该传播矢量使恶意软件能在组织的网络中传播或跨其它网络传播至其它组织或个体。常见传播矢量包括:利用局域网内的主机的已知弱点并发送附带有恶意程序的恶意电子邮件或在电子邮件中提供恶意链接。
[0017]恶意软件可运作的一种方式是通过使用与用户期望不同的网络协议交换来欺骗用户。恶意软件可被包装以说服用户允许访问从而以某些无害方式运行它,由此允许其访问网络,这经常需要越过防火墙或其它安全措施。恶意软件随后可利用该访问来从事用户未打算做的替代或附加活动。例如,一游戏可发送电子邮件消息或者字处理器可打开web连接。同时,恶意软件也可使用标准协议来欺骗防火墙使其允许恶意软件建立远程连接。
[0018]Botnet例如使用恶意软件并且是对计算机安全越来越大的威胁。在许多情形下,它们利用完善的攻击机制,该攻击机制包括公知弱点和新弱点的组合。Botnet —般使用客户机-服务器架构,其中一类恶意软件(即bot)被设置在主机计算机上并与命令和控制(C&C)服务器通信,该C&C服务器可受恶意用户(例如,botnet操作者)控制。一般,botnet由大量bot构成,这些bot受通过各种信道使用C&C协议的操作者控制,包括互联网中继聊天(IRC)和对等(P2P)通信。bot可从C&C服务器接收命令以执行特定恶意活动并因此可执行这些命令。bot也可将任何结果或被窃信息发回给C&C服务器。bot经常被设计成发起与C&C服务器的通信并装扮成正常web浏览器话务。例如,bot可使用常用于与web服务器通信的端口。因此,在不执行更详细的web话务分组检查的情况下,这类bot可能无法被已有技术检测到。此外,一旦发现bot,botnet操作者就可简单地找到另一种方法来通过bot装扮网络话务以继续扮演为正常web话务。更近来地,botnet操作者已打造bot以使用加密协议(例如安全嵌套层(SSL)之类),由此加密恶意网络话务。这种加密的话务可使用超文本传送协议安全(HTTPS)端口,以使仅牵涉到加密会话的端点能对数据进行解密。因此,已有的防火墙和其它网络入侵防止技术可能无法对该web话务执行任何有意义的检查,并且bot继续感染网络中的主机计算机。
[0019]着重于防止未经授权的程序文件在主机计算机上执行的其它软件安全技术对于最终用户或商业机构或其它组织实体的雇员来说可能具有不理想的副作用。网络或信息技术(IT)管理者可通过打造与商业实体的所有方面相关的广泛策略进行主管,以使雇员能从理想的和受信任的网络资源获得软件和其它电子数据。在广泛策略不可得的情况下,可阻止雇员从未经专门授权的网络资源下载软件和其它电子数据,即使这种软件和其它数据有利于合法和必要的商业活动。这类系统也非常局限以至于如果在主机计算机上发现未经授权的软件,则任何主机计算机活动将被挂起以等待网络管理员的介入。此外,在网络层,可能只是存在过多的应用而无法有效地跟踪和纳入到策略中。大型白名单或黑名单可能难以维护并且会使网络性能降级,而一些应用可能不容易被轻易地标识。
[0020]根据一个实施例,网络环境10可通过在主机和网络网关之间共享信息来克服这些缺点(及其它)。信息可例如通过带内或带外协议共享,该带内或带外协议允许主机代理与网络网关通信以全体地和互相地取得更好的安全性。主机代理可将主机上的应用理解为例如通过特定认证运行进程的可执行文件,而网络网关可将该应用理解为TCP连接中的一个协议,该协议也可关联于特定的用户认证。主机代理可与网络网关共享会话描述符,而网络网关可根据需要与主机代理共享网络策略以使应用活动关联于预期的网络行为。网络策略可包括安全策略要素以及其它网络特定参数,例如服务质量(Q0S)和路由。主机代理也可关联于全局唯一标识符(UUID),它可用来关联在网络地址翻译器之后发生的连接和活动。
[0021]会话描述符通常包括关于主机和与给定网络会话关联的应用的信息。例如,会话描述符可包括与主机和进程所有者的用户凭证关联的UUID。由于用户可运行具有不同用户凭证的单独进程,因此该信息对于Citrix和终端服务是尤为有利的。会话描述符可额外地包括文件名、路径名或运行尝试建立网络连接的进程的应用文件(例如C:\...WINWORD.ΕΧΕ)的其它唯一标识符。例如,在一些实施例中,应用可通过应用的可执行文件的散列函数来标识,以使恶意用户欺骗应用名变得更为困难。网关可将该信息关联于应用标识符或协议以确保该应用如预期那样执行。会话描述符也可包含关于主机环境的信息,例如安装在主机上的软件以及软件的当前配置和状态,由此允许网关充当网络访问控制设备。例如,会话描述符可指示本地防毒系统是否最新的并是否正在运行。如果基于主机的数据丧失防止(HDLP)软件可用,则会话描述符也可包括用于文件转移的文件分类(typing)信息。HDLP通常将文件类型确定为从网络传出的(例如HF、Word等)。网关可具有在特定协议上传输的与某些文件类型有关的附加策略,附加策略对于HDLP程序不是直接可见的。
[0022]主机代理也可告知网关与主机的附加网络连接。如果主机例如同时具有活动的无线和有线连接,则可能存在在一个连接上接收的数据在另一个连接上发送的风险,因此限制对敏感数据的访问是合意的。主机代理也可通知网络该连接是否关联于虚拟机。主机代理也可通知网关主机是否具有可装载的读/写介质,例如附连的USB棒。
[0023]可在网络环境10中提供动态信息共享。用户主机和网络网关之间的通信可被编码在例程网络话务中(例如IP或TCP选择字段、分组填充位置或DNS分组的尾部),或在每个连接开始时在独立的网络分组中从主机发送至网络网关。在一些实施例中,网络网关可将包含随机选择的序列号或现时数(nonce)的UDP分组送至用户主机的第一出口上的用户主机。在允许连接的每次TCP开启时,用户主机代理可格式化当前现时数和序列ID的散列,将其连同其它会话描述符一起放到分组中。分组内容的散列也可包含在某些实施例中。网络网关可接收UDP分组并保存会话描述符以用于将网络策略应用至TCP流。网络网关可周期地发送新的现时数以挫败重放攻击。
[0024]在网络环境10的一些实施例中,主机20a可包括多个附连点,这使其具有多个IP地址。在一些实施例中,主机20a可使用IP版本6 (IPv6),该版本可能包括私密扩展(RFC4941),这使其具有一个或多个经注册和已知的IPv6地址以及一个或多个应当或私密的IPv6地址。在这些实施例中,网关25可容易地使用动态信息共享以向用户揭露对主机20a上的所有地址的主机映射。
[0025]网络环境10中的这种动态信息共享可提供优于传统架构的若干益处。例如,通过用主机代理协调防火墙策略,网关可根据主机代理上的多用户中的哪个正在尝试建立一连接而以不同方式允许或拒绝话务。此外,只有需要被粒度控制的应用需要受防火墙控制。因此,网关可控制任意或偷漏(evasive)的应用,提供更高效的吞吐,并控制移动用户话务。另外,不需要完全被允许或拒绝的话务可以是限速的。任意或偷漏的应用也可通过网关上可用的进程信息被限速,并且区别的服务可被提供用于受管理和不受管理的主机。
[0026]转向图2,图2是示出与网络环境10的一种潜在实施例关联的附加细节的简化框图。图2包括互联网15、用户主机20a、网络网关25、策略服务器30以及邮件服务器35。用户主机20a、网络网关25以及策略服务器30中的每一个可包括相应的处理器50a_c、相应的存储器元件55a_c以及各种软件元件。更具体地,用户主机20a可包括邮件客户机60、网络堆栈65、策略代理70以及防火墙代理75。网关25可包括防火墙模块80,策略服务器30可包括防火墙连接器模块85。
[0027]在一示例性实现中,用户主机20a、网络网关25和/或策略服务器30是网络元件,其旨在涵盖网络设施、服务器、路由器、交换机、网关、网桥、负载平衡器、防火墙、处理器、模块或可用以在网络环境中交换信息的任何其它适宜的设备、组件、元件或对象。网络元件可包括有利于其操作的任何适宜硬件、软件、组件、模块接口或对象。这可包含允许数据或信息的有效交换的适宜算法和通信协议。然而,用户主机20a可与其它网络元件区别开,因为它倾向于用作网络连接的终端点,与网关或路由器相反。用户主机20也可代表无线网络端点,例如1-Phone、i_Pad、安卓手机或其它类似的电信设备。[0028]关于与网络环境10相关的内部结构,用户主机20a、网络网关25和/或策略服务器30中的每一个可包括存储器元件(如图2所示),用于存储在本文列出的操作中使用的信息。另外,这些设备中的每一个可包括处理器,该处理器能执行软件或算法以执行如本文所述的活动。这些设备可在适当时机和基于特殊需要进一步将信息保存在任何适宜的存储器元件(随机存取存储器(RAM)、R0M、EPR0M、EEPR0M、ASIC等)、软件、硬件或任何其它适宜的组件、设备、元件或对象中。本文所述的任何存储器术语应当被解释成涵盖广义术语“存储器元件”。由用户主机20a、网络网关25和/或策略服务器30跟踪或发送的信息可在任何数据库、寄存器、控制列表或存储结构中被提供,所有这些可以任何适当的时帧为基准。任何这些存储选项可包含在本文中使用的广义术语“存储器元件”中。类似地,本文所述的任何潜在处理元件、模块和机器应当被解释为被涵盖在广义术语“处理器”中。网络元件中的每一个也可包括适宜的接口,用于在网络环境中接收、发送和/或以其它方式交换数据或信息。
[0029]在一示例性实现中,用户主机20a、网络网关25和/或策略服务器30包括软件(例如防火墙代理65等)以达成或助长本文列出的操作。在其它实施例中,这些操作可通过硬件执行,在这些元件外部实现,或包含在某些其它网络设备中以达到意图的功能。替代地,这些元件可包括软件(或往复软件),所述软件能协调以实现本文列出的操作。在又一些其它实施例中,这些设备中的一个或全部可包括利于其操作的任何适宜算法、硬件、软件、组件、模块、接口或对象。
[0030]注意在某些示例性实现中,本文列出的功能可通过编码在一个或多个有形介质中的逻辑(例如在专用集成电路(ASIC)中提供的嵌入式逻辑、数字信号处理器(DSP)指令、由处理器或其它类似机器执行的软件(可能包含对象代码和源代码))实现,所述有形介质可包含非暂态介质。在一些这样的情况下,存储器元件(如图2所示)能存储数据,用于本文描述的操作。这包括能用来存储可被执行以实现本文描述的活动的软件、逻辑、代码或处理器指令的存储器元件。处理器能执行与数据关联的任何类型指令以达成本文详述的操作。在一个示例中,处理器(如图2所示)可将一要素或项目(例如数据)从一种状态或事物转化成另一状态或事物。在另一示例中,本文列出的活动可通过固定逻辑或可编程逻辑(例如由处理器执行的软件/计算机指令)实现,而本文标识出的元件可以是某些类型的可编程处理器、可编程数字逻辑(例如现场可编程门阵列(FPGA)、可擦除可编程只读存储器(EPROM)、电可擦除可编程ROM(EEPROM)或包括数字逻辑、软件、代码、电子指令或其任意适宜组合的ASIC)。
[0031]图3是示出与具有带外通信的网络环境10的一个实施例关联的示例性操作的简化框图。作为预备事项或周期性地,在0.1,防火墙80可从策略服务器30中的防火墙连接器模块85请求密钥。在0.2,防火墙连接器模块85产生一密钥并将其送至防火墙模块80和所有主机,包括主机20a上的策略代理70。在1.1,诸如邮件客户机60之类的应用可发起至诸如邮件服务器35之类的远程服务器的连接。因此,例如邮件服务器60可使用简单邮件传输协议(SMTP)发起至邮件服务器35的连接。网络堆栈65可随后通过防火墙模块80路由话务。在1.2,防火墙模块80可随后将HELLO分组送至主机20a上的防火墙代理75作为对会话描述符的请求。HELLO分组可包括例如KEY (密钥)值、SEQNUM (序号)和HASH(散列)值。SEQNUM可用作现时数和序列号两者。HASH值通常是消息中数据的适宜密码散列,例如SHA-1。防火墙代理75可随后解密来自防火墙模块80的请求,从网络堆栈65获得信息,并在1.3将包含会话描述符的定序的、散列的、加密的分组发送至防火墙模块SO。例如,如果用户已用“auser( —用户)”的标识进行了验证并正在使用Microsoft Outlook作为邮件客户机,则会话描述符可包括:AUser、0UtlOOk、会话信息。这可连同序列号一起被加密和发送并具有例如 Enc [KEY] (SEQNUM++,session descriptor, HASH) (Enc [KEY] (SEQNUM++,会话描述符,散列))。防火墙80可在1.4运用网络策略以确定是否应当允许至邮件服务器35的连接。在1.5可发送附加的会话描述符分组而无需防火墙模块80像1.2那样发送HELLO分组。
[0032]图4是示出与网络环境10的另一实施例关联的示例性操作的简化框图。在图4中,网络环境10包括用户主机20a-b、网络地址翻译器100、入侵防止系统(IPS) 105以及互联网15。主机20a关联于第一 UUID (UUIDl)而主机20b关联于第二 UUID (UUID2)。会话描述符可通过网络地址翻译器100在带外或带内发送,或替代地,可在带内发送会话标识符,而在带外发送会话描述符。在这一实施例中,会话描述符也可包括用于将带内和带外通信相关联的会话描述符。尽管网络地址翻译器100可改变主机20a-b的IP地址,IPS105可使用主机20a-b的UUID以关联话务,从而基于与主机关联的所有网络地址将网络策略应用至主机。
[0033]进一步注意主机20a在某些实施例中可由多个用户同时使用,比如在分时系统、Microsoft Windows的“切换用户”能力、Citrix或Microsoft终端服务。防火墙80可使用会话描述符中的信息以将每个网络连接与建立它的用户相配对,由此通过用户以不同方式实现策略而不是由主机20a的所有用户单独地实现策略。
[0034]图5是示出可与具有带内通信的网络环境10的实施例相关的示例性操作的简化流程图。在505,用户可运行诸如Skype客户机之类的应用。会话描述符则可被嵌入到相关网络协议(例如TCP、UDP或互联网控制消息协议(ICMP))的多余区域内。例如,防火墙代理可在TCP握手期间将会话描述符嵌入到TCP选项中,由此即使在会话的第一分组上也能作出行动。在另一实施例中,会话描述符可被嵌入到IP选项中,这运用于TCP、UDP和ICMP话务。在又一实施例中,在网络会话中可产生附加的“probe (探针)”分组,该“probe”分组对于通信来说是多余的但可由网络网关使用以提取有用的信息。例如,主机代理可发送TCP确认(ACK),它是之前已发送的ACK的副本并且是无害的。信息可被嵌入到这些ACK对ACK分组而言无意义的字段中,例如校验和、紧急指针或预留字段。也可使用看上去合法的ICMP通知,但该ICMP通知可由另一端忽略。也可使用具有无效序列号的TCP分组以使分组被目的地忽略。
[0035]为进一步解说,考虑其中用户在用户主机20a上运行Skype客户机的例子。用户主机20a上的防火墙代理可获得进程ID “skype.exe”、厂商ID “Skype, Inc (Skype公司)”、用户名 “ jdoe” 和 uuid “f81d4fae-7dec-lldo-a765_00a0c91e6bf6”,并在 510 将该信息作为会话描述符嵌入到IP选项字段中。在515可对分组签名和加密,并在发送至网络网关25之前在520将分组密码图地(stegonographically)隐藏。在525,网络网关25可检测和提取所嵌入的会话描述符。在530,可验证会话描述符的真实性。在535可基于会话描述符将多个网络策略运用于连接,并对这些网络策略作允许、拒绝、限速等。
[0036]因此,在例如图5实施例的实施例中,用户主机和网络网关可彼此通信而不产生任何附加的网络会话,这可提供显著的优势。例如,如果运用加密和密码图,普通用户甚至连管理者都可能无从知道用户主机和网络网关如何协作,这可消除或最小化颠覆通信的尝试。另外,由于每个网络会话可携带所有高层会话描述,因此网络网关能对话务采取迅速的行动而无需等待带外通信。
[0037]在操作中,前述原理具有许多实践应用。例如,在网络环境10的某些实施例中,防火墙可被编程以使某些协议仅由特定应用使用。因此,例如数据库协议可局限于仅使用特定数据库客户机程序,而其它数据库客户机程序可在防火墙侧被阻挡。作为附加或替代,可阻止使用非预期协议的标识应用连接至恶意站点。由此,可防止例如装扮成游戏的特洛伊木马程序将私密数据送至互联网站点。也可拒绝一应用进行网络访问而无需主机上的特定防毒措施。也可改善入侵防止系统签名以基于产生出境连接的应用检测假肯定(falsepositive)。如果防火墙提供对主机的虚拟私人网络(VPN)访问,这些实施例也可等同适用,在这种情形下,防火墙是主机的网络访问控制(NAC)。防火墙可与策略服务器通信以确定防毒措施的状态,并请求策略服务器以扫描主机。如果主机安全性不足,则防火墙可进行隔离。
[0038]在另一示例性操作中,网络环境10也允许防火墙使用独立信道来通知主机是否已拒绝连接,并附上可用来警告用户和/或行动管理者的解释。由此,用户能向救助台或管理者发出警报,而不是尝试围绕防火墙工作而没有意识到潜在的暗示,并大为简化网络管理。
[0039]在又一示例性操作中,如果防火墙无法翻译特定协议(例如客户机协议),主机代理可标识产生话务的应用并将其身份送至防火墙,由此使防火墙能在该应用层正确地运用策略。也基于从应用可预期或可接受的某一网络行为将协议与应用相关联。使用既包含应用又包含所允许协议的白名单,防火墙可阻挡不当利用其它良性应用的恶意软件。例如,Adobe Reader通常不期望使用SMTP产生话务。如果恶意软件能够危害Adobe Reader并尝试用其通过SMTP发送消息,则防火墙可读取该白名单,确定不允许Adobe Reader使用SMTP并阻断该恶意软件连接。此外,防火墙可通知策略服务器Adobe Reader程序可能受恶意软件危害。策略服务器可通知用户并指令用户主机上的策略代理来禁用Adobe Reader。在又一示例中,数据库管理者可能想要提供定制应用以访问数据库。尽管定制应用可使用与一般应用相同的协议,然而将定制应用与协议关联的白名单可有效地限制对这些应用的访问,因为主机能与网络网关共孕与应用有关的?目息。
[0040]注意通过前面给出的示例以及众多其它潜在示例,可依照两个、三个或四个网络元件描述它们的相互作用。然而,这是为了清楚作出的并仅作为示例。在某些情形下,仅通过参照有限数量的网络元件描述给定一组操作的一个或多个功能更为容易。应当理解,网络环境10可容易缩放并可容纳很大数量的组件以及更复杂/网上的布局和配置。因此,所给出的示例不限制网络环境10的范围或抑制其广泛教义,因为网络环境10可能运用于无数种其它的架构。此外,尽管参照在网络元件中提供例如分析器模块的特定模块的特定场景予以描述,然而这些模块也可被设置在网络元件外部,或以任何适宜的方式结合和/或组合。在某些情形下,这些模块可在单个专用单元中提供。
[0041]重要的是还要注意附图中的步骤仅示出可通过网络环境10执行或在网络环境10中执行的一些可能的场景和模式。可在适当时候删除或去除这些步骤中的一些,或可显著地修正或改变这些步骤而不脱离本文给出的教义的范围。另外,数个这些操作已被描述为与一个或多个附加操作同时执行或并行执行。然而,这些操作的时序可显著地改变。前面的操作流是为示例和说明的目的给出的。通过网络环境10提供显著的灵活性,该灵活性在于可提供任何适宜的布局、年代、配置和时序机制而不脱离本文给出的教义。
[0042]许多其它的改变、替代、变化、更替和修正对于本领域内技术人员是确定的,并且本公开旨在涵盖所有这些改变、替代、变化、更替和修正,只要其落在所附权利要求书的范围内。为了帮助美国专利商标局(USPTO)并进一步帮助本申请中公布的任何专利的任何读者解释所附权利要求书, 申请人:希望指出, 申请人::(a)不打算使任何所附权利要求援引
35U.S.C.章112第6段,就像它存在于本申请日那样,除非词语“用于......的装置”或
“用于......的步骤”专门用于特定权利要求书;以及(b)不旨在通过说明书中的任何声明
以所附权利要求书未反映的任何方式对本公开进行限制。
【权利要求】
1.一种方法,包括: 在主机和网络网关之间交换会话描述符,其中所述会话描述符关联于网络连接和所述主机上的应用; 将所述会话描述符关联于网络策略;以及 将所述网络策略运用于所述网络连接。
2.如权利要求1所述的方法,其特征在于,所述会话描述符是通过带外通信信道交换的。
3.如权利要求1所述的方法,其特征在于,所述会话描述符是通过带内通信信道交换的。
4.如权利要求1所述的方法,其特征在于,所述会话描述符以密码图嵌入到带内通信信道中。
5.如权利要求1所述的方法,其特征在于,所述网络策略基于所述会话描述符内的应用的标识而被运用以限制所述网络连接上的通信。
6.如权利要求1所述的方法,其特征在于,所述网络策略基于所述会话描述符内的应用的标识而被运用以对所述网络连接上的通信进行限速。
7.如权利要求1所述的方法,其特征在于,所述网络策略被运用以限制可由所述应用使用的协议。
8.如权利要求1所述的方法,其特征在于,所述网络策略关联于白名单,所述白名单限制可由所述应用使用的协议。
9.如权利要求1所述的方法,其特征在于,还包括如果通过网络连接的通信受限制则提醒用户网络策略。
10.如权利要求1所述的方法,其特征在于,所述会话描述符包括与所述主机关联的全局唯一标识符。
11.如权利要求1所述的方法,其特征在于,所述主机通过网络地址翻译器通信并且所述会话描述符包括与所述主机关联的全局唯一标识符。
12.如权利要求1所述的方法,其特征在于,所述会话描述符包括关于执行应用的用户以及关于与所述应用关联的文件名的信息。
13.如权利要求1所述的方法,其特征在于,所述会话描述符标识执行所述应用的用户,并基于所述用户运用网络策略。
14.一种被编码在一个或多个有形介质中的逻辑,所述逻辑包括供执行的代码并当由一个或多个处理器执行时用以执行下列操作,包括: 在主机和网络网关之间交换会话描述符,其中所述会话描述符关联于网络连接和所述主机上的应用; 将所述会话描述符关联于网络策略;以及 将所述网络策略运用于所述网络连接。
15.如权利要求14所述的逻辑,其特征在于,所述会话描述符是通过带外通信信道交换的。
16.如权利要求14所述的逻辑,其特征在于,所述会话描述符是通过带内通信信道交换的。
17.如权利要求14所述的逻辑,其特征在于,所述会话描述符以密码图嵌入到带内通信信道中。
18.如权利要求14所述的逻辑,其特征在于,所述网络策略基于所述会话描述符内的应用的标识而被运用以限制所述网络连接上的通信。
19.如权利要求14所述的逻辑,其特征在于,所述网络策略基于所述会话描述符内的应用的标识而被运用以对所述网络连接上的通信进行限速。
20.如权利要求14所述的逻辑,其特征在于,所述网络策略被运用以限制可由所述应用使用的协议。
21.如权利要求14所述的逻辑,其特征在于,所述网络策略关联于白名单,所述白名单限制可由所述应用使用的协议。
22.如权利要求14所述的逻辑,其特征在于,还包括如果通过网络连接的通信受限制则提醒用户网络策略。
23.如权利要求14所述的逻辑,其特征在于,所述会话描述符包括与所述主机关联的全局唯一标识符。
24.如权利要求14所述的逻辑,其特征在于,所述主机通过网络地址翻译器通信并且所述会话描述符包括与所述主机关联的全局唯一标识符。
25.如权利要求14所述的逻辑,其特征在于,所述会话描述符包括关于执行应用的用户以及关于与所述应用关联的文件名的信息。
26.如权利要求14所述的逻辑,其特征在于,所述会话描述符标识执行所述应用的用户,并基于所述用户运用网络策略。
27.一种装置,包括: 防火墙模块; 一个或多个处理器,用以执行与所述防火墙模块关联的指令,所述一个或多个处理器用以执行下列操作,包括: 与主机交换会话描述符,其中所述会话描述符关联于网络连接和所述主机上的应用; 将所述会话描述符关联于网络策略;以及 将所述网络策略运用于所述网络连接。
28.如权利要求27所述的装置,其特征在于,所述会话描述符是通过带外通信信道交换的。
29.如权利要求27所述的装置,其特征在于,所述会话描述符是通过带内通信信道交换的。
30.如权利要求27所述的装置,其特征在于,所述会话描述符以密码图嵌入在带内通信信道中。
31.如权利要求27所述的装置,其特征在于,所述网络策略基于所述会话描述符内的应用的标识而被运用以限制所述网络连接上的通信。
32.如权利要求27所述的装置,其特征在于,所述网络策略基于所述会话描述符内的应用的标识而被运用以对所述网络连接上的通信进行限速。
33.如权利要求27所述的装置,其特征在于,所述网络策略被运用以限制可由所述应用使用的协议。
34.如权利要求27所述的装置,其特征在于,所述网络策略关联于白名单,所述白名单限制可由所述应用使用的协议。
35.如权利要求27所述的装置,其特征在于,还包括如果通过网络连接的通信受限制则提醒用户网络策略。
36.如权利要求27所述的装置,其特征在于,所述会话描述符包括与所述主机关联的全局唯一标识符。
37.如权利要求27所述的装置,其特征在于,所述主机通过网络地址翻译器通信并且所述会话描述符包括与所述主机关联的全局唯一标识符。
38.如权利要求27所述的装置,其特征在于,所述会话描述符包括关于执行应用的用户以及关于与所述应用关联的文件名的信息。
39.如权利要求27所述的装置,其特征在于,所述会话描述符标识执行所述应用的用户,并基于所述用户运用网络策略。
40.如权利要求27所述的装置,其特征在于,一个以上的网络地址与所述主机关联,所述会话描述符包括关 于与所述网络地址之一关联的用户的信息,并基于所述用户运用网络策略。
41.如权利要求27所述的装置,其特征在于,所述会话描述符标识执行所述应用的用户并包括与所述应用关联的可执行文件的散列。
42.如权利要求27所述的装置,其特征在于,所述会话描述符包括与安装在所述主机上的软件的配置和状态有关的信息。
43.如权利要求27所述的装置,其特征在于,所述会话描述符标识与所述主机关联的网络地址并基于所述网络地址运用网络策略。
44.一种方法,包括: 运用网络策略以通过网络连接限制通信;以及 将警告发送至用户,以通知用户限制通信的网络策略。
【文档编号】H04L29/06GK103765846SQ201280010062
【公开日】2014年4月30日 申请日期:2012年2月22日 优先权日:2011年2月23日
【发明者】G·H·库珀, D·F·迪尔, V·A·马哈迪克, R·文努戈帕兰 申请人:迈克菲股份有限公司