国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      網(wǎng)絡(luò)訪問保護的制作方法

      文檔序號:7636787閱讀:162來源:國知局
      專利名稱:網(wǎng)絡(luò)訪問保護的制作方法
      網(wǎng)絡(luò)訪問保護背計算機網(wǎng)絡(luò)遭受日益增加的安全性風(fēng)險。為了針對攻擊進行保護并防止安全 裂口,防火墻被用來控制網(wǎng)絡(luò)內(nèi)的通信流。更具體地,根據(jù)一個或多個定義的規(guī)則 來選擇性地允許由防火墻接收的通信通過。防火墻實施的訪問規(guī)則根據(jù)一個或多個網(wǎng)絡(luò)規(guī)定和通信量參數(shù)(諸如源或目的地域名(例如,URL)、因特網(wǎng)協(xié)議地址(IP 地址)、通信通道(例如,端口)、應(yīng)用協(xié)議(例如,HTTP、 FTP)和/或安全憑 證(例如,安全登錄和認(rèn)證證書))。然而,基于以上網(wǎng)絡(luò)規(guī)定和通信量參數(shù)的訪問規(guī)則是成問題的。基于網(wǎng)絡(luò)規(guī) 定和通信量的規(guī)則是靜態(tài)的,而某些參數(shù)則會頻繁改變。而且,針對攻擊保護的有 效性和對用戶的影響取決于訪問規(guī)則粒度的級別。然而,在大多數(shù)網(wǎng)絡(luò)上部署和維 護具有足夠粒度的訪問規(guī)則一般是不切實際的。從而,計算設(shè)備和/或網(wǎng)絡(luò)中的一 個或多個通常是易受攻擊的。而且,所部署的訪問規(guī)則基本上會影響計算設(shè)備和/ 或網(wǎng)絡(luò)的性能。因此,基于網(wǎng)絡(luò)規(guī)定和通信量參數(shù)的常規(guī)訪問規(guī)則對用戶的影響是 顯著的,有時會帶來衰退的效果。概述此處所述的技術(shù)是針對網(wǎng)絡(luò)訪問保護的方法和系統(tǒng)。在一個實施例中,按照 基于健、康報告的規(guī)則來定義訪問策略。也可按照基于網(wǎng)絡(luò)規(guī)定和通信量參數(shù)的規(guī)則 來定義訪問策略。訪問策略可基于一個或多個計算設(shè)備當(dāng)前的健康報告來應(yīng)用于計 算設(shè)備之間的通信。當(dāng)前的健康報告可包括一個或多個準(zhǔn)則的狀態(tài),諸如所安裝的 應(yīng)用程序、所安裝的補丁、配置、設(shè)備性能和硬件組件。附圖簡述在附圖中作為示例而非限制來示出各實施例,且在附圖中相同的參考標(biāo)號指 的是類似的元素,附圖中

      圖1示出用于實現(xiàn)網(wǎng)絡(luò)訪問保護系統(tǒng)的示例性操作環(huán)境的框圖。
      圖2示出網(wǎng)絡(luò)訪問保護方法的流程圖。 圖3示出網(wǎng)絡(luò)訪問保護方法的流程圖。圖4示出用于實現(xiàn)網(wǎng)絡(luò)訪問保護系統(tǒng)的示例性操作體系結(jié)構(gòu)的框圖。 圖5示出用于實現(xiàn)網(wǎng)絡(luò)訪問保護方法的示例性操作體系結(jié)構(gòu)的框圖。詳細(xì)描述現(xiàn)在將詳細(xì)參考特定實施例,其示例在附圖中示出。盡管將結(jié)合這些實施例 來描述本發(fā)明,但可以理解,它們并不旨在將本發(fā)明限于這些實施例。相反,本發(fā) 明旨在覆蓋替換實施方式、修改和等效實施方式,它們可被包括在如所附權(quán)利要求 書所定義的本發(fā)明的范圍內(nèi)。而且,在以下詳細(xì)描述中,描述各個特定細(xì)節(jié)以便提 供徹底的理解。然而,可以理解,本發(fā)明可無需這些特定細(xì)節(jié)而實現(xiàn)。在其它實例 中,未描述眾所周知的方法、過程、組件和電路以便不會不必要地模糊本發(fā)明的各 方面。圖1示出了用于實現(xiàn)網(wǎng)絡(luò)訪問保護系統(tǒng)的示例性操作環(huán)境100。操作環(huán)境100 包括由一個或多個通信通道145-175互連的多個計算設(shè)備110-140。計算設(shè)備可包 括個人計算機、服務(wù)器計算機、客戶機設(shè)備、路由器、交換機、無線接入點、安全 設(shè)備、手持或膝上型設(shè)備、機頂盒、可編程消費者電子產(chǎn)品、小型機、大型機等。 各個計算設(shè)備110-140可相關(guān),使得它們形成一個或多個網(wǎng)絡(luò)185-195。網(wǎng)絡(luò)185-195 可包括局域網(wǎng)、廣域網(wǎng)、內(nèi)聯(lián)網(wǎng)、外聯(lián)網(wǎng)、因特網(wǎng)等。利用示例性計算環(huán)境(例如,計算設(shè)備125處)內(nèi)的一個或多個信任邊界根 據(jù)計算設(shè)備110-140中的一個或多個的健康報告來控制計算設(shè)備110-140之間的通 信流。信任邊界可被置于計算設(shè)備110-140之間、 一個或多個計算設(shè)備110-140與 一個或多個網(wǎng)絡(luò)185-195之間、和/或網(wǎng)絡(luò)185-195之間。信任邊界可由專用計算設(shè) 備(例如,安全設(shè)備)或運行在計算設(shè)備上的應(yīng)用程序(例如,防火墻)來實現(xiàn)。根據(jù)計算設(shè)備110-140中的一個或多個的健康報告來控制跨邊界通信。計算設(shè) 備140的健康報告是計算設(shè)備140的可信度的度量。更具體地,健康報告指示計算 設(shè)備140關(guān)于諸如所安裝的應(yīng)用程序、所安裝的補丁、配置、設(shè)備性能、硬件組件 等的準(zhǔn)則的狀態(tài)。如果計算設(shè)備140的健康報告遵循某些網(wǎng)絡(luò)上起效的某些安全策 略,則它是健康的,否則就是不健康的。例如,健康報告可指示加載到給定計算設(shè) 備上的每一應(yīng)用程序,諸如操作系統(tǒng)、瀏覽器、反病毒程序等。健康報告也可指示 為每一應(yīng)用程序安裝的最新的服務(wù)包、補丁、病毒定義等。健康報告也可指示設(shè)備
      的性能參數(shù),諸如網(wǎng)絡(luò)通信量水平、處理器利用率等。健康報告也可指示提供特定 功能的特定硬件組件的存在性,諸如提供嵌入式安全特征的集成電路。給定的信任邊界將一個或多個基于健康報告的訪問規(guī)則應(yīng)用于通過該信任邊 界的跨邊界通信。例如,信任邊界可置于第一計算設(shè)備115與第二計算設(shè)備130之間的計算設(shè)備125處。第一計算設(shè)備115可請求由第二計算設(shè)備130提供的資源。 與該請求相關(guān)聯(lián)的通信量由計算設(shè)備125處的信任邊界接收。信任邊界基于第一計 算設(shè)備115的健康報告、第二計算設(shè)備130 (例如,預(yù)期的目的地)的健康報告或 兩者來選擇性地允許請求被路由至第二計算設(shè)備130 (即,所請求的資源)。具體 地,如果第一計算設(shè)備115和/或第二計算設(shè)備130當(dāng)前是健康的,與該請求相關(guān) 聯(lián)的通信則被路由至第二計算設(shè)備130。如果第一計算設(shè)備115和/或第二計算設(shè)備 130當(dāng)前不健康,則通信可能會被阻斷、進一步過濾、受限或重新路由至另一資源 (例如,第三計算設(shè)備110)。從而,如果計算設(shè)備115、 130健康,則兩者之間的通信被允許。因此,計算 設(shè)備115、 130的用戶不受影響。然而,如果計算設(shè)備H5、 130中任一個不健康, 則可通過阻斷或進一步過濾設(shè)備115、 130之間的通信來阻止計算設(shè)備115、 130 之間惡意軟件的傳播。不健康設(shè)備115所表示的易受攻擊性可通過將不健康計算設(shè) 備115推至其中可更新(例如,安裝安全補丁)不健康設(shè)備115的第三計算設(shè)備 IIO上的資源來消除。圖2示出可在信任邊界處實現(xiàn)的網(wǎng)絡(luò)訪問保護進程200的流程圖。在210處,接收到一個或多個計算設(shè)備的健康報告。在一個實現(xiàn)中,可生成、收集請求資源的 源計算設(shè)備的健康報告或以其它方式使之可用。在另一實現(xiàn)中,可生成、收集滿足該請求的預(yù)期目的地計算設(shè)備的健康報告或以其它方式使之可用。在又一實現(xiàn)中, 可生成、收集源計算設(shè)備和目的地設(shè)備兩者的健康報告或以其它方式使之可用。健康報告是計算設(shè)備可信度的度量。更具體地,健康報告指示相應(yīng)的計算設(shè) 備關(guān)于諸如所安裝的應(yīng)用程序、所安裝的補丁、配置、設(shè)備性能、硬件組件等的準(zhǔn) 則的狀態(tài)。計算設(shè)備的健康程度可基于它遵循特定的準(zhǔn)則集的程度來確定。具體地, 如果計算設(shè)備的健康報告遵循某個當(dāng)前的準(zhǔn)則集,則它就是健康的,否則就是不健 康的。在后一情況中,健康報告可包括指示計算設(shè)備不健康的原因的數(shù)據(jù)。在220處,對資源的訪問被根據(jù)健康報告來控制。例如,如果源計算設(shè)備和 目的地計算設(shè)備健康,則允許通信。如果源計算設(shè)備和/或目的地計算設(shè)備不健康, 則可阻斷計算設(shè)備之間的通信?;蛘撸筛鶕?jù)一個或多個常規(guī)規(guī)定和通信量參數(shù)(諸
      如域名(例如,URL)、因特網(wǎng)協(xié)議地址(IP地址)、通信通道(例如,端口)、 應(yīng)用協(xié)議(例如,HTTP、 FTP)和/或安全憑證(例如,安全登錄和認(rèn)證證書)等) 來過濾或以其它方式限制計算設(shè)備之間的通信。過濾也可基于指示特定計算設(shè)備為 何不健康的原因的數(shù)據(jù)。圖3示出可在信任邊界處實現(xiàn)的網(wǎng)絡(luò)訪問保護進程300的流程圖。進程包括 創(chuàng)建訪問策略(330)和對訪問策略的應(yīng)用(340、 350、 360、 370)。更具體地, 在330處,可按照源計算設(shè)備的健康報告、目的地計算設(shè)備的健康報告或兩者來定 義訪問策略。還可按照常規(guī)網(wǎng)絡(luò)規(guī)定和通信量參數(shù),諸如域名(例如,URL)、因 特網(wǎng)協(xié)議地址(IP地址)、通信通道(例如,端口)、應(yīng)用協(xié)議(例如,HTTP、 FTP)和/或安全憑證(例如,安全登錄和認(rèn)證證書)等來進一步定義訪問策略。然 后可利用訪問策略來控制計算設(shè)備之間的通信。在340處接收對資源的請求(例如,接收跨邊界通信)之后,開始實施訪問 策略。從源計算設(shè)備接收對資源的請求,所請求的資源由目的地計算設(shè)備提供。在 350處,接收到與該請求相關(guān)聯(lián)的當(dāng)前健康報告。健康報告可基于源計算設(shè)備、目 的地計算設(shè)備和/或兩者。在可任選的進程360處,也可接收關(guān)于該請求的一個或 多個網(wǎng)絡(luò)規(guī)定和通信量參數(shù)??砂凑杖魏螖?shù)目的方式來生成、收集健康報告信息390和網(wǎng)絡(luò)規(guī)定和通信量 參數(shù)395或以其它方式使之可用。在一種實現(xiàn)中,每一計算設(shè)備的健康報告可作為 網(wǎng)絡(luò)訪問保護進程的必須部分來訪問。在另一實現(xiàn)中,單獨的進程可確定每一計算 設(shè)備的健康報告。類似地,該一個或多個網(wǎng)絡(luò)規(guī)定和通信量參數(shù)可作為網(wǎng)絡(luò)訪問保 護進程的必須部分來訪問和/或在單獨進程中訪問。網(wǎng)絡(luò)訪問保護進程、對健康報 告評估和/或網(wǎng)絡(luò)規(guī)定和通信量參數(shù)評估可由同一計算和/或電子設(shè)備實現(xiàn)或分布 在一個或多個計算和/或電子設(shè)備上。在370處,基于訪問策略和源計算設(shè)備和/或目的地計算設(shè)備的當(dāng)前健康報告 來做出是否要將該請求轉(zhuǎn)發(fā)給預(yù)期的目的地計算設(shè)備的判斷。具體地,如果源計算 設(shè)備和/或預(yù)期目的地計算設(shè)備的當(dāng)前健康報告指示健康的狀態(tài),則在372處,該 請求被轉(zhuǎn)發(fā)給預(yù)期的目的地。如果源計算設(shè)備和/或預(yù)期的目的地計算設(shè)備的當(dāng)前 健康報告指示不健康的狀態(tài),則在374處該請求的通信量可被丟棄。在另一實現(xiàn)中,如果源計算設(shè)備和/或預(yù)期的目的地計算設(shè)備的當(dāng)前健康報告指示不健康的狀態(tài), 則在376處可根據(jù)一個或多個常規(guī)網(wǎng)絡(luò)規(guī)定和通信量參數(shù)來過濾或限制該請求。在 又一實現(xiàn)中,如果源計算設(shè)備和/或預(yù)期的目的地計算設(shè)備的當(dāng)前健康報告指示不
      健康的狀態(tài),則在378處,該請求可被重新定向??赏ㄟ^將源和/或目的地計算設(shè)備推至適當(dāng)?shù)馁Y源以便更新該設(shè)備的狀態(tài)來重新定向該請求。例如,源計算設(shè)備可 被重新定向給一服務(wù)器,在那里可使用當(dāng)前的安全補丁來更新它的操作系統(tǒng)。圖4示出用于實現(xiàn)網(wǎng)絡(luò)訪問保護系統(tǒng)的示例性操作體系結(jié)構(gòu)400。示例性操作 體系結(jié)構(gòu)400包括公司范圍網(wǎng)絡(luò)(例如,內(nèi)聯(lián)網(wǎng))405、會計部門網(wǎng)絡(luò)410、因特 網(wǎng)470 (例如,萬維網(wǎng)),以及各種計算設(shè)備415-435、 440、 475、 480。公司內(nèi)聯(lián) 網(wǎng)405包括多個計算設(shè)備415-440。公司內(nèi)聯(lián)網(wǎng)405的計算設(shè)備415、 420中的某 些構(gòu)成的會計部門網(wǎng)絡(luò)410。信任邊界設(shè)備(例如,安全設(shè)備)440被置于因特網(wǎng) 470與公司內(nèi)聯(lián)網(wǎng)405之間。信任邊界設(shè)備440也被置于會計部門網(wǎng)絡(luò)410與公司 內(nèi)聯(lián)網(wǎng)405的其它計算設(shè)備425-435之間。信任邊界設(shè)備440適用于基于目的地計算設(shè)備的健康報告、源計算設(shè)備的健 康報告或兩者來控制跨邊界通信。例如,如果客戶機435不健康(例如,電子表應(yīng) 用程序的服務(wù)包未被安裝在源資源435上),則一訪問策略可選擇性地拒絕訪問請 求訪問工資單服務(wù)器415的客戶機435。在一種實現(xiàn)中,如果源計算設(shè)備不健康,則訪問策略的實施可阻斷源計算設(shè) 備訪問目的地計算設(shè)備的通用和/或常用的資源。在另一實現(xiàn)中,訪問策略的實施 可允許對目的地計算設(shè)備的受限訪問。在另一實現(xiàn)中,訪問策略的實施可包括將不 健康計算設(shè)備的用戶重新定向到另一計算設(shè)備上的資源,在那里用戶可更新該不健 康的計算設(shè)備。例如,用作web代理的信任邊界設(shè)備440可通過檢查用戶計算設(shè) 備435的健康報告且如果該機器不健康(例如,未運行反病毒應(yīng)用程序或病毒定義 不是最新的)則可阻斷對因特網(wǎng)470的訪問(例如,web訪問隔離)來防止用戶訪 問因特網(wǎng)470。信任邊界設(shè)備440在該情況中也可將用戶重新定向到一適當(dāng)?shù)木W(wǎng)站, 在那里該用戶可更新他/她的計算設(shè)備435。信任邊界設(shè)備435實施的訪問策略包括基于計算設(shè)備415-435、 475、 480中一 個或多個的健康報告的訪問控制規(guī)則。訪問控制規(guī)則針對攻擊進行保護,并防止安 全裂口。例如,易受攻擊性可通過在端口 NNN上采用TCP協(xié)議的通信而被利用。 適當(dāng)?shù)幕诮】祱蟾娴脑L問規(guī)則可以是如果目的地機器健康,則允許端口NNN 上的TCP通信量。如果目的地機器不健康,則阻斷端口 NNN上的入站TCP通信 量。訪問控制規(guī)則也可以基于常規(guī)網(wǎng)絡(luò)規(guī)定和通信量參數(shù)。例如,易受攻擊性可通 過web瀏覽器組件而被利用。適當(dāng)?shù)幕诮】祱蟾娴脑L問規(guī)則可以是如果源健 康,則允許對web的不受限的訪問。如果源機器不健康,則通過剝?nèi)TML頁面 的潛在的危險部分(例如,所有的腳本)的過濾器來運行所有的HTTP通信量。而且,可以理解, 一設(shè)備可能對于第一目的而言是健康的,而對另一目的而言是不健 康的。例如,設(shè)備對訪問電子郵件而言是健康的,而對訪問存儲客戶機文件的主文件服務(wù)器而言是不健康的。因此,適當(dāng)?shù)幕诮】祱蟾娴脑L問規(guī)則可以是如果設(shè) 備健康,則允許所有請求。如果設(shè)備不健康,則允許對電子郵件服務(wù)器的訪問,并 阻斷對主文件服務(wù)器的訪問。在以上示例中,使用常規(guī)網(wǎng)絡(luò)規(guī)定和通信量參數(shù)的過濾器(例如,剝?nèi)TML頁面的所有潛在危險部分或阻斷端口 NNN上的所有TCP 通信量)的負(fù)面影響因訪問策略基于一個或多個適當(dāng)?shù)挠嬎阍O(shè)備的健康報告而被減輕??砂凑杖魏螖?shù)目的方式來生成、收集健康報告信息或以其它方式使之可供信 任邊界設(shè)備440使用。在一種實現(xiàn)中,信任邊界設(shè)備440可為每一計算設(shè)備415-435、 475、 480確定健康報告。在另一實現(xiàn)中,單獨的實體可確定每一計算設(shè)備415-435、 475、 480的健康報告。在又一實現(xiàn)中,給定計算設(shè)備415的健康報告可由給定計 算設(shè)備415報告。信任邊界設(shè)備440然后可向該單獨實體査詢給定計算設(shè)備的健康 報告狀態(tài)。在一種實現(xiàn)中,健康報告信息可被存儲在包含每一計算設(shè)備415-435、 475、 480的健康的完全清單的表中。在另一實現(xiàn)中,每一計算設(shè)備的健康報告信 息可存儲為指示計算設(shè)備的當(dāng)前狀態(tài)的單個位(例如, 一標(biāo)志)(例如,"0"為 健康"1"為不健康)。一般而言,上述的網(wǎng)絡(luò)訪問保護方法和系統(tǒng)的功能、進程中的任一個可使用 軟件、固件、硬件或這些實現(xiàn)的任何組合來實現(xiàn)。如此處所使用的,術(shù)語"邏輯"、 "模塊"或"功能" 一般表示軟件、固件、硬件或其任何組合。例如,在軟件實現(xiàn) 的情況中,術(shù)語"邏輯"、"模塊"或"功能"表示表示計算機可執(zhí)行程序代碼, 這些代碼當(dāng)在計算設(shè)備上運行時執(zhí)行指定的任務(wù)。程序代碼可被存儲在一個或多個 計算機可讀介質(zhì)(例如,計算機存儲器)中??梢岳斫?,所示將邏輯、模塊和功能 分為不同單元可反映這樣的軟件、固件和/或硬件的實際物理分組和分配,或可對 應(yīng)于單個軟件程序、固件例程或硬件單元所執(zhí)行的不同任務(wù)的概念上的分配。所示邏輯、模塊和功能可位于單個場所,或可在多個位置上分布。圖5示出用于實現(xiàn)網(wǎng)絡(luò)訪問保護系統(tǒng)的示例性操作體系結(jié)構(gòu)500。示例性操作 環(huán)境500包括在通信上置于多個計算設(shè)備520-530之間的信任邊界設(shè)備510。信任 邊界設(shè)備510可由專用計算設(shè)備(例如,安全設(shè)備)實現(xiàn),或被實現(xiàn)為運行在諸如 服務(wù)器計算機、路由器、無線接入點、個人計算機、客戶機設(shè)備、手持式或膝上型 設(shè)備、多處理器系統(tǒng)、基于微處理器的系統(tǒng)、機頂盒、可編程消費者電子產(chǎn)品、小 型機、大型機等的計算設(shè)備上的應(yīng)用程序。示例性的信任邊界設(shè)備510可包括一個或多個處理器550、 一個或多個計算機 可讀介質(zhì)560、 570和彼此通信耦合的一個或多個通信端口 580、 585。計算機可讀 介質(zhì)560、 570和通信端口 580、 585可由一個或多個總線590通信耦合至一個或多 個處理器550??墒褂萌魏畏N類的總線結(jié)構(gòu)或總線結(jié)構(gòu)的組合,包括系統(tǒng)總線、存 儲器總線或存儲器控制器、外圍總線、加速圖形端口、使用各種總線體系結(jié)構(gòu)中任 一種的處理器或局部總線來實現(xiàn)一個或多個總線590??梢岳斫猓?一個或多個總線 590允許傳輸被編碼為已調(diào)制載波的計算機可讀指令、數(shù)據(jù)結(jié)構(gòu)、程序模塊、或其 它數(shù)據(jù)。從而, 一個或多個總線590也可以表現(xiàn)為計算機可讀介質(zhì)。盡管未示出,但信任邊界設(shè)備510可包括附加的輸入/輸出設(shè)備,諸如顯示設(shè) 備、鍵盤、定點設(shè)備(例如"鼠標(biāo)")。輸入/輸出設(shè)備還可包括揚聲器、話筒、 打印機、操縱桿、游戲墊、圓盤式衛(wèi)星天線、掃描儀、讀卡設(shè)備、數(shù)碼相機或攝像 機等。輸入/輸出設(shè)備可通過任何種類的輸入/輸出接口和總線結(jié)構(gòu),諸如并行端口、 串行端口、游戲端口、通用串行總線(USB)端口、視頻適配器等耦合至系統(tǒng)總線 590。計算機可讀介質(zhì)560、 570可包括系統(tǒng)存儲器570和一個或多個海量存儲設(shè)備 560。海量存儲設(shè)備560可包括各種類型的易失性和非易失性介質(zhì),它們均可以是 可移動或不可移動的。例如,海量存儲設(shè)備560可包括對不可移動、非易失性磁介 質(zhì)讀寫的硬盤驅(qū)動器。 一個或多個海量存儲設(shè)備560也可包括用于對可移動、非易 失性磁盤(例如"軟盤")讀寫的磁盤驅(qū)動器、和/或?qū)χT如CD光盤、數(shù)字多功 能盤(DVD)或其它光學(xué)介質(zhì)等可移動、非易失性光盤讀寫的光盤驅(qū)動器。海量 存儲設(shè)備560還可包括其它類型的計算機可讀介質(zhì),諸如磁帶盒或其它磁存儲設(shè) 備、閃存卡、電可擦可編程只讀存儲器(EEPROM)等。 一般而言,海量存儲設(shè) 備560為計算設(shè)備510的使用提供了對計算機可讀指令、數(shù)據(jù)結(jié)構(gòu)、程序模塊和其 它數(shù)據(jù)的非易失性存儲。例如,海量存儲設(shè)備560可存儲操作系統(tǒng)562、防火墻應(yīng) 用程序564、訪問策略566和其它程序模塊和數(shù)據(jù)。系統(tǒng)存儲器570可包括易失性和非易失性介質(zhì),諸如隨機存取存儲器(RAM) 572和只讀存儲器(ROM) 574。 ROM 574 —般包括輸入/輸出系統(tǒng)(BIOS) 576, 后者包含諸如在啟動時有助于在信任邊界設(shè)備510內(nèi)的元件之間傳輸信息的基本 例程。由處理器執(zhí)行的BIOS 576指令例如將操作系統(tǒng)562從海量存儲設(shè)備560加
      載到RAM 570。 BIOS 576然后使處理器550開始從RAM 570執(zhí)行操作系統(tǒng)562'。 防火墻應(yīng)用程序564和訪問策略566然后可在操作系統(tǒng)562'的控制下被加載到 RAM 570中。計算設(shè)備520、 530可直接或間接地通信耦合至信任邊界設(shè)備510的通信端口 580、 585。從而,信任邊界設(shè)備510可用作使用至一個或多個網(wǎng)絡(luò)540、遠(yuǎn)程計算 設(shè)備520、 530等的物理和/或邏輯連接的訪問控制點。信任邊界設(shè)備510的通信端 口 580、 585可包括任何類型的網(wǎng)絡(luò)接口,諸如網(wǎng)絡(luò)適配器、調(diào)制解調(diào)器、無線電 收發(fā)機等。通信端口 580、 585可實現(xiàn)任何連接策略,諸如寬帶連接、調(diào)制解調(diào)器 連接、數(shù)字用戶線DSL連接、無線連接等??梢岳斫猓ㄐ哦丝?580、 585和將計 算設(shè)備520、 530耦合至通信端口 580、 585的通信通道,通過一個或多個通信通道 為傳輸編碼為一個或多個已調(diào)制載波(例如,通信信號)的計算機可讀指令、數(shù)據(jù) 結(jié)構(gòu)、程序模塊和其它數(shù)據(jù)作準(zhǔn)備。從而, 一個或多個通信端口 580、 585和/或通 信通道也可以表現(xiàn)為計算機可讀介質(zhì)。網(wǎng)絡(luò)540可包括內(nèi)聯(lián)網(wǎng)、外聯(lián)網(wǎng)、因特網(wǎng)、廣域網(wǎng)(WAN)、局域網(wǎng)等。計 算設(shè)備520、 530可包括任何種類的電子或計算機裝備,包括個人計算機、服務(wù)器 計算機、手持或膝上型設(shè)備、多處理器系統(tǒng)、基于微處理器的系統(tǒng)、機頂盒、游戲 控制臺、可編程消費者電子產(chǎn)品、網(wǎng)絡(luò)PC、小型機、大型機、路由器等。網(wǎng)絡(luò)540 和計算設(shè)備520、530可包括以上關(guān)于信任邊界設(shè)備510所述的所有特征或其子集。信任邊界設(shè)備510的處理器550執(zhí)行防火墻應(yīng)用程序564'的各條指令來控制 耦合至通信端口 580、 585的計算設(shè)備520、 530之間的通信。具體地,防火墻應(yīng)用 程序564'可允許為計算體系結(jié)構(gòu)500定義訪問策略。或者,防火墻應(yīng)用程序564' 可接收由另一應(yīng)用程序、程序模塊等定義的訪問策略。訪問策略包括基于源計算設(shè) 備520和/或預(yù)期的目的地計算設(shè)備530的健康報告的一個或多個訪問控制規(guī)則。 訪問策略也可包括基于常規(guī)網(wǎng)絡(luò)規(guī)定和通信量參數(shù)的一個或多個過濾器,諸如域名 (例如,URL)、因特網(wǎng)協(xié)議地址(IP地址)、通信通道(例如,端口)、應(yīng)用 協(xié)議(例如,HTTP、 FTP)和/或安全憑證(例如,安全登錄和認(rèn)證證書)等。防火墻應(yīng)用程序564'實施計算設(shè)備520、 530之間通過信任邊界設(shè)備510的通 信實施訪問策略。更具體地,對一請求是否應(yīng)被轉(zhuǎn)發(fā)給預(yù)期的目的地計算設(shè)備530 做出判斷。該判斷是基于訪問策略以及與源計算設(shè)備520相關(guān)聯(lián)的當(dāng)前健康報告和 /或與預(yù)期的目的地計算設(shè)備530相關(guān)聯(lián)的當(dāng)前健康報告作出的。健康報告參數(shù)指示各種準(zhǔn)則,諸如所安裝的應(yīng)用程序、所安裝的補丁、配置、
      設(shè)備性能、硬件組件等。可按照任何數(shù)目的方式生成、收集每一計算設(shè)備520、 530的當(dāng)前健康報告或以其它方式使之可用。在一種實現(xiàn)中,當(dāng)前健康報告可由防火墻應(yīng)用程序564確定。在另一實現(xiàn)中,健康報告可由相關(guān)聯(lián)的計算設(shè)備提供。在又一 實現(xiàn)中,當(dāng)前的健康報告可從諸如因特網(wǎng)上的健康報告認(rèn)證服務(wù)器的受信任的資源 接收。在一種實現(xiàn)中,健康報告信息可按照表形式被存儲為程序數(shù)據(jù)568'。該表可 包括每一設(shè)備的記錄,它包含該設(shè)備健康的完全清單。設(shè)備的健康清單可指示該設(shè) 備是健康的還是不健康的,以及如果該設(shè)備不健康則缺陷為何。在另一實現(xiàn)中,對 每一設(shè)備,健康報告信息可以是單個值。該單個值可以是給定計算設(shè)備的所有健康 報告準(zhǔn)則的聚集。如果當(dāng)前的健康報告指示源和/或目的地計算設(shè)備520、530健康,則允許訪問。 如果當(dāng)前健康報告指示源和/或目的地計算設(shè)備520、 530不健康,則可拒絕訪問, 可根據(jù)一個或多個適用的網(wǎng)絡(luò)規(guī)定和通信量參數(shù)來過濾該請求,或者源計算設(shè)備 520可被推至用于更新源計算設(shè)備520的健康報告的資源。從而,可以理解基于健 康報告的訪問策略允許精細(xì)調(diào)節(jié)的網(wǎng)絡(luò)訪問保護?;诮】祱蟾娴脑L問策略所提供 的網(wǎng)絡(luò)訪問保護適用于僅阻斷潛在危險的通信量,而對計算設(shè)備520、 530的用戶 的影響很小甚至沒有??梢岳斫?,所示操作體系結(jié)構(gòu)500僅是合適的操作體系結(jié)構(gòu)的一個示例,而 并不旨在對本發(fā)明的適用范圍或功能提出任何限制。操作系統(tǒng)體系結(jié)構(gòu)也不應(yīng)被解釋為對示例性操作體系結(jié)構(gòu)500中示出的任何一個組件或組件的組合有任何依賴 性或要求。本發(fā)明適用的其它眾所周知的計算設(shè)備、環(huán)境和/或配置包括,但不限 于,個人計算機、服務(wù)器計算機、客戶機設(shè)備、路由器、交換機、無線接入點、安 全設(shè)備、手持或膝上型設(shè)備、多處理器系統(tǒng)、基于微處理器的系統(tǒng)、機頂盒、可編 程消費者電子產(chǎn)品、網(wǎng)絡(luò)PC、小型機、大型機、包括以上系統(tǒng)和設(shè)備中任一個的 分布式計算環(huán)境等。實施例有利地使指定并實施訪問策略時使用的當(dāng)前數(shù)據(jù)集擴展到包括適當(dāng)計 算設(shè)備的健康報告參數(shù)。從而,實施例對惡意軟件跨網(wǎng)絡(luò)傳播(例如,信任邊界) 可有利地提供成本有效的緩解。實施例也可有利地有助于消除網(wǎng)絡(luò)內(nèi)潛在的易受攻 擊性。為說明和描述的目的呈現(xiàn)了特定實施例的前述描述。它們不旨在是窮盡的, 或?qū)⒈景l(fā)明限于所公開的精確形式,顯然按照以上指導(dǎo),眾多修改和變型均是可能 的。選擇并描述了實施例以便于最好地解釋本發(fā)明的原理及其實際應(yīng)用,從而允許 本領(lǐng)域的其他技術(shù)人員能最好地使用適用于所構(gòu)想的特定使用的各種修改來利用本發(fā)明和各個實施例。本發(fā)明的范圍將由所附權(quán)利要求書及其等效實施方式來定 義。
      權(quán)利要求
      1.一種方法,其包括接收第一計算設(shè)備的健康報告;以及根據(jù)所述第一計算設(shè)備的所述健康報告來控制所述第一計算設(shè)備與第二計算設(shè)備之間的通信。
      2. 如權(quán)利要求l所述的方法,其特征在于,所述控制第一與第二計算設(shè)備之 間的通信還包括根據(jù)所述健康報告來選擇性地路由通信。
      3. 如權(quán)利要求l所述的方法,其特征在于,所述控制第一與第二計算設(shè)備之 間的通信還包括根據(jù)所述第一計算設(shè)備的所述健康報告來允許或拒絕所述第一與 第二計算設(shè)備之間的通信。
      4. 如權(quán)利要求3所述的方法,其特征在于,所述控制第一與第二計算設(shè)備之 間的通信還包括根據(jù)所述第一計算設(shè)備的所述健康報告將所述第一與第二計算設(shè) 備之間的通信重定向到第三計算設(shè)備。
      5. 如權(quán)利要求3所述的方法,其特征在于,所述控制第一與第二計算設(shè)備之 間的通信還包括根據(jù)所述第一計算設(shè)備的所述健康報告來過濾所述第一與第二計 算設(shè)備之間的通信。
      6. 如權(quán)利要求l所述的方法,其特征在于,還包括 接收所述第二計算設(shè)備的健康報告;以及根據(jù)所述第二計算設(shè)備的所述健康報告來控制所述第一計算設(shè)備與第二計算 設(shè)備之間的通信。
      7. 如權(quán)利要求l所述的方法,其特征在于,還包括接收從由源域名、目的地域名、源因特網(wǎng)協(xié)議地址、目的地因特網(wǎng)協(xié)議地址、 通信通道標(biāo)識符、應(yīng)用協(xié)議標(biāo)識符、源的安全憑證和目的地的安全憑證組成的組中 選出的網(wǎng)絡(luò)規(guī)定或通信量參數(shù);以及根據(jù)所述網(wǎng)絡(luò)規(guī)定或通信量參數(shù)來進一步控制所述第一與第二計算設(shè)備之間 的通信。
      8. —種或多種含有指令的計算機可讀介質(zhì),當(dāng)所述指令在一個或多個處理器 上運行時執(zhí)行以下動作根據(jù)基于健康報告的規(guī)則來創(chuàng)建訪問策略;以及 基于第一計算設(shè)備的當(dāng)前健康報告將所述訪問策略應(yīng)用于所述第一計算設(shè)備與第二計算設(shè)備之間的通信。
      9. 如權(quán)利要求8所述的一種或多種計算機可讀介質(zhì),其特征在于,所述應(yīng)用 訪問策略包括根據(jù)所述第一計算設(shè)備的當(dāng)前健康報告來選擇性地允許或阻止所述 第一與第二計算設(shè)備之間的通信。
      10. 如權(quán)利要求9所述的一種或多種計算機可讀介質(zhì),其特征在于,所述應(yīng)用訪問策略還包括選擇性地將所述第一計算設(shè)備推至資源以更新所述第一計算設(shè) 備的健康報告。
      11. 如權(quán)利要求IO所述的一種或多種計算機可讀介質(zhì),其特征在于,所述應(yīng)用訪問策略還包括根據(jù)所述一個或多個網(wǎng)絡(luò)規(guī)定或通信量參數(shù)來選擇性地過濾所 述第一與第二計算設(shè)備之間的通信。
      12. 如權(quán)利要求IO所述的一種或多種計算機可讀介質(zhì),其特征在于,還包括基于所述第二計算設(shè)備的當(dāng)前健康報告將所述訪問策略應(yīng)用于所述第一計算設(shè)備 與所述第二計算設(shè)備之間通信。
      13. 如權(quán)利要求12所述的一種或多種計算機可讀介質(zhì),其特征在于,所述應(yīng)用訪問策略還包括根據(jù)所述第二計算設(shè)備的當(dāng)前健康報告來選擇性地允許或拒絕 所述第一與第二計算設(shè)備之間的通信。
      14. 如權(quán)利要求13所述的一種或多種計算機可讀介質(zhì),其特征在于,所述應(yīng) 用訪問策略還包括選擇性地將所述第二計算設(shè)備推至資源以更新所述第二計算設(shè) 備的健康報告。
      15. —種裝置,其包括 處理器;通信耦合至所述處理器的存儲器;通信端口,通信耦合至所述處理器,用于接收和發(fā)送通信;其中所述裝置適于接收與通信相關(guān)聯(lián)的計算設(shè)備的當(dāng)前健康報告,以及根據(jù) 基于健康報告的規(guī)則和所述當(dāng)前健康報告來路由所述通信。
      16. 如權(quán)利要求15所述的裝置,其特征在于,所述裝置還適于根據(jù)基于網(wǎng)絡(luò) 規(guī)定和通信量的規(guī)則以及所述當(dāng)前健康報告來選擇性地過濾所述通信。
      17. 如權(quán)利要求16所述的裝置,其特征在于,所述基于網(wǎng)絡(luò)規(guī)定和通信量的 規(guī)則根據(jù)一個或多個參數(shù)來限制所述通信,其中的參數(shù)是從由源域名、目的地域名、 源因特網(wǎng)協(xié)議地址、目的地因特網(wǎng)協(xié)議地址、通信通道標(biāo)識符、應(yīng)用協(xié)議標(biāo)識符、 源的安全憑證和目的地的安全憑證組成的組中選出的。
      18. 如權(quán)利要求15所述的裝置,其特征在于,所述當(dāng)前健康報告包括源計算 設(shè)備、目的地計算設(shè)備或兩者的狀態(tài)。
      19. 如權(quán)利要求18所述的裝置,其特征在于,所述當(dāng)前健康報告包括從由所安裝的應(yīng)用程序狀態(tài)、所安裝的補丁狀態(tài)、配置狀態(tài)、設(shè)備性能狀態(tài)和硬件組件的 存在性組成的組中選出的一個或多個準(zhǔn)則中每一個的狀態(tài)。
      20. 如權(quán)利要求18所述的裝置,其特征在于,所述當(dāng)前健康報告包括從由所 安裝的應(yīng)用程序狀態(tài)、所安裝的補丁狀態(tài)、配置狀態(tài)、設(shè)備性能狀態(tài)和硬件組件的 存在性組成的組中選出的一個或多個準(zhǔn)則中每一個的狀態(tài)的聚集。
      全文摘要
      網(wǎng)絡(luò)訪問保護方法包括,根據(jù)健康報告(statement of health)信息來創(chuàng)建訪問策略。網(wǎng)絡(luò)訪問保護方法也包括基于訪問策略和與通信相關(guān)聯(lián)的一個或多個計算設(shè)備的當(dāng)前健康報告來選擇性地允許、拒絕或重新定向通信。
      文檔編號H04J3/14GK101167280SQ200680011722
      公開日2008年4月23日 申請日期2006年3月28日 優(yōu)先權(quán)日2005年5月3日
      發(fā)明者E·胡迪斯, R·蒙德理 申請人:微軟公司
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點贊!
      1