防火墙群集中的验证共享的制作方法
【专利说明】防火墙群集中的验证共享
[0001]本分案申请的母案申请日为2012年9月6日、申请号为201280043917.9、发明名称为“防火墙群集中的验证共享”。
[0002]
相关申请的交叉引用
本申请要求2011年9月8日提交的美国申请号13/227,848的优先权,其通过引用合并于此。
技术领域
[0003]本发明大体上涉及防火墙操作,并且更具体地在一个实施例中涉及防火墙群集中的验证共享。
[0004]有限版权豁免
该专利文献的公开的一部分包含进行版权保护的权利要求所针对的材料。版权所有者不反对被任何人拓制专利文献或专利公开,如它在美国专利和商标局文件或记录中出现的那样,但无论怎样都保留所有其他版权。
【背景技术】
[0005]计算机由于它们与其他计算机系统通信并且通过计算机网络检索信息的能力而在很大程度上是有价值的工具。网络典型地包括通过线路、光纤、无线电或其他数据传送工具而链接的互连计算机组,用于对计算机提供在计算机间传输信息的能力。因特网或许是最知名的计算机网络,并且使数百万的人能够例如通过查看web页面、发送e-mail或通过执行其他计算机-到-计算机通信而接入其他计算机。
[0006]但是,因为因特网的大小如此的大并且因特网用户在他们的兴趣方面如此多样化,恶意用户或恶作剧者试图采用对其他用户构成危险的方式与其他用户的计算机通信,这不是罕见的。例如,黑客可试图登录企业计算机来窃取、删除或改变信息。计算机病毒或木马程序可分布到其他计算机,或不知不觉地被大量计算机用户下载或执行。此外,例如企业等组织内的计算机用户可偶尔尝试执行未经授权的网络通信,例如运行文件共享程序或将企业机密从企业网络内传送到因特网。
[0007]由于这些和其他原因,许多企业、机构以及甚至家庭用户在他们的本地网络与因特网之间使用网络防火墙或相似的装置。防火墙典型地是计算机化的网络装置,其检查经过它的网络业务、基于规则集容许期望的网络业务通过。
[0008]防火墙通过观察通信分组(例如TCP/IP或其他网络协议分组)并且检查例如源和目标网络地址、使用什么端口以及连接的状态或历史等特性来执行它们的过滤功能。一些防火墙还检查行进到特定应用或从特定应用行进的分组,或通过处理选择的网络请求并且在受保护用户与外部联网的计算机之间转发选择的请求而充当代理装置。
[0009]防火墙典型地通过监测各种端口、插座和协议之间的连接(例如通过检查防火墙中的网络业务)来控制网络信息的流。基于插座、端口、应用和其他信息的规则用于选择性地过滤或传递数据,以及记录网络活动。防火墙规则典型地配置成识别要被禁止或应施加某些其他限制的某些类型的网络业务:例如阻断已知用于文件共享程序的端口上的业务同时对在传统的FTP端口上接收的任何事物进行病毒扫描;阻断某些应用或用户执行一些任务,同时允许其他人执行这样的任务;以及基于例如对来自公共IP地址的不同端口的重复查询等已知攻击模式阻断业务。
[0010]但是,防火墙在跨多个计算机系统分布时管理这样的连接的能力在连接的知识典型地仅存储在处理连接的系统中的方面受到限制。因此期望群集中改进的防火墙分布。
【发明内容】
[0011]本发明的各种示例实施例包括防火墙群集系统,该防火墙群集系统包括第一节点,其能操作成在具有三个或以上节点的防火墙群集中接收连接、确定与该连接关联的用户数据以及与防火墙群集中的至少另一个节点共享用户数据。另一个节点可以使用该应用状态数据来继续处理连接(例如如果第一节点失效),或提供负载平衡。
【附图说明】
[0012]图1示出如可用于实践本发明的一些实施例的示例网络,其包括防火墙。
[0013]图2示出如可用于实践本发明的一些实施例的示例网络,其包括防火墙群集,该防火墙群集包括多个防火墙节点。
[0014]图3是图示与本发明的示例实施例一致的在防火墙群集中使用共享用户护照信息的流程图。
【具体实施方式】
[0015]在本发明的示例实施例的下列详细描述中,通过图和说明的方式参考特定示例。充分详细地描述这些示例以使本领域内技术人员能够实践本发明,并且起到说明本发明可如何应用于各种目的或实施例的作用。存在本发明的其他实施例并且它们在本发明的范围内,并且可进行逻辑、机械、电和其他改变而不偏离本发明的主旨或范围。然而,本文描述的本发明的各种实施例的特征或限制对于它们所并入的示例实施例必不可少,它们未整体上限制本发明,并且对本发明、它的要素、操作和应用的任何引用未整体上限制本发明而仅起到限定这些示例实施例的作用。下列详细描述因此未限制本发明的范围,其仅由附上的权利要求限定。
[0016]图1图示典型的计算机网络环境,其包括例如在101处的因特网等公共网络、专用网络102和在103处示出的计算机网络装置,其能操作成提供防火墙和入侵保护功能。在该特定示例中,计算机网络装置103安置在因特网与专用网络之间,并且调节专用网络与公共网络之间的业务流。
[0017]网络装置103在各种实施例中是防火墙装置,和入侵保护装置,或起到两者的作用。网络装置内的防火墙装置或模块提供各种网络流控制功能,例如检查网络分组并且丢弃或拒绝满足防火墙过滤规则集的网络分组。如之前描述的,防火墙典型地通过观察通信分组(例如TCP/IP或其他网络协议分组)并且检查例如源和目标网络地址、使用什么端口以及连接的状态或历史等特性来执行它们的过滤功能。一些防火墙还检查分组来确定什么应用已建立连接,或通过处理选择的网络请求并且在受保护用户与外部联网的计算机之间转发选择的网络请求而充当代理装置。防火墙通常使用“签名”或非期望业务的其他特性来检测并且阻断被认为是有害或用别的方式而不期望的业务。
[0018]防火墙典型地使用规则集来过滤业务,使得网络数据的任何特定要素发生了什么取决于规则集如何应用于该特定数据。例如,阻断到端口 6346的所有业务的规则将阻断在受保护网络内的服务器上要到该端口去的入站业务,但将不阻断前往不同端口号上的相同服务器的其他数据。相似地,阻断源于文件共享程序(例如Shareaza)的业务的规则将使用业务中的模式来阻断端口 6346上的Shareaza业务,但允许端口 6346上的其他业务。
[0019]但是,在其中防火墙实现为跨多个计算机或节点分布的系统(例如在大的或复杂的系统中)的环境中,多个节点共享连接的能力受到关于连接的每个节点信息(例如插座信息、应用信息及关于连接的诸如此类)的限制。本发明的一些实施例因此提供用于与群集防火墙中的其他系统共享状态信息(例如用户或其他这样的连接数据)从而使防火墙群集中的多个节点能够处理相同连接的机制。这通过使连接责任在系统之间移动而对群集提供负载平衡、通过使它的连接移到另一个机器来管理群集中的节点的失效以及执行其他这样的功能的能力。
[0020]在一个这样的示例中,防火墙或入侵保护系统实现为群集或连接的节点组,其共享流过防火墙的处理业务。图2示出如可用于实践本发明的一些实施例的具有分布式防火墙的网络。在这里,例如因特网201等网络通过防火墙203耦合于内部网络202。防火墙203包括入站业务模块204和出站业务模块205,其可以执行例如负载平衡和其他防火墙管理功能等功能。防火墙或入侵保护规则在防火墙节点206中应用,其通过网络连接而连接到彼此(如示出的)。
[0021]在这里,示出的五个节点每个包括运行防火墙或有关软件实例的独立计算机系统,其能操作成对业务应用规则以选择性地容许或阻断在因特网201与内部网络202之间流动的业务。在备选实施例中,例如节点1、2和3等一些节点执行防火墙应用,而例如4和5等其他节点执行入侵保护系统(IPS)应用。节点204和205负责执行例如路由到防火墙节点206的负载平衡业务等功能,从而确保节点能够在一起高效工作以比单个节点提供更高的吞吐能力。
[0022]—些防火墙实施例执行复杂的连接识别功能,其超越端口、IP和其他这样的规则对数据流的简单应用。例如,一些防火墙示例包括用户“护照”,其通过使用对于防火墙的用户验证或使用例如Microsoft域服务器登录或其他用户证书(其可以被防火墙读取)等间接用户验证而使用户与特定连接关联。该护照使识别的用户与特定IP地址、MAC地址或其他标识符关联使得来自用户的连接可以识别为属于用户。
[0023]然后可以在防火墙中执行基于用户的过滤。例如,防火墙可知道Alice是管理组的成员,而Bob是雇员组而非管理的成员。两个用户都登录计算机并且运行Skype来加入视频会议,并且防火墙确定两个用户都被容许使用Skype来通过防火墙发送视频会议业务,例如到与外部供应商或顾客的视频会议。
[0024]Bob试图使用Skype发送文件,并且防火墙应用仅容许管理者组的成员使用Skype发送出站文件这一规则。防火墙使用与Bob的连接关联的护照用户和IP地址信息来确定Bob是试图发送文件的人,并且因此阻断Bob的文件。Alice然后尝试使用Skype发送相同的文件,并且与Alice的连接