分布式分組流檢查和處理的制作方法
【技術領域】
[0001]本發(fā)明針對跨分組處理設備的網(wǎng)絡分組處理負荷的分布,特別地,其中,通過采用用于控制或以其他方式影響冗余過濾操作的裝置跨分組過濾設備來分布所述負荷。
【背景技術】
[0002]企業(yè)將網(wǎng)絡技術用于進行業(yè)務、商業(yè)管理、學術研究、機構(gòu)管理和類似任務是普遍的。網(wǎng)絡技術一特別是數(shù)字分組交換網(wǎng)絡技術一使得能夠在本地和廣域企業(yè)網(wǎng)內(nèi)以及本地和廣域企業(yè)網(wǎng)之外實現(xiàn)信息(諸如文檔、數(shù)值數(shù)據(jù)、圖像、視頻、音頻和多媒體信息)、資源(諸如服務器、個人計算機、數(shù)據(jù)儲存器和安全設備)和應用(諸如文字處理、記帳、金融、數(shù)據(jù)庫、電子數(shù)據(jù)表、呈現(xiàn)、電子郵件、通信、網(wǎng)絡管理和安全應用)的廣泛共享和通信。
[0003]雖然分組交換網(wǎng)絡在拓撲結(jié)構(gòu)、尺寸和配置方面相當大地改變,但是基本上,所有此類網(wǎng)絡不變地包括至少兩個“節(jié)點”,其被可通信地鏈接(通過有線或無線連接)以使得能夠在其之間傳輸數(shù)字分組封裝數(shù)據(jù)。節(jié)點一如本領域的技術人員所已知的一包括臺式計算機、膝上型計算機、工作站、用戶終端、主機計算機、服務器、網(wǎng)絡附加存儲、網(wǎng)絡打印機和用于所述數(shù)字分組封裝數(shù)據(jù)的其它目的地、起源或終點。
[0004]聯(lián)網(wǎng)設備一在本領域中有時稱為“中間系統(tǒng)”或“互通單元” 一一般(如果不是不變地)也存在于分組交換網(wǎng)絡中。與節(jié)點相對照,這些主要用于對網(wǎng)絡節(jié)點之間的數(shù)據(jù)業(yè)務進行管理、調(diào)節(jié)、成形或其他方式的調(diào)解。交換機、網(wǎng)關和路由器例如在網(wǎng)絡內(nèi)的節(jié)點之間引導分組業(yè)務以及將業(yè)務引導到網(wǎng)絡中和引導到網(wǎng)絡外。同樣地,某些網(wǎng)絡安全設備一作為所謂的“混合”聯(lián)網(wǎng)設備運行一通過對數(shù)據(jù)分組或數(shù)據(jù)分組流進行過濾、隔離、標記和/或其他方式的調(diào)節(jié)來調(diào)解進入網(wǎng)絡中或網(wǎng)絡內(nèi)的分組業(yè)務。
[0005]在常見的入侵預防系統(tǒng)(IPS)部署中,可以將多個IPS單元遍布于網(wǎng)絡中以基于包括組織網(wǎng)絡拓撲結(jié)構(gòu)和關鍵資產(chǎn)位置的若干因素來保護網(wǎng)絡并將網(wǎng)絡分段。例如,典型的是將IPS放置在(一個或多個)WAN接入點處以及數(shù)據(jù)中心的前面和網(wǎng)絡的不同段之間以創(chuàng)建獨立的安全區(qū)。照此,流可以在其穿過網(wǎng)絡時通過多個IPS。在每個IPS處,可能由過濾器的相同集合或子集來檢查相同的流,從而招致沒有附加價值的重復處理循環(huán)。
[0006]因此,需要用于避免分組交換網(wǎng)絡中的冗余分組檢查的技術。
【發(fā)明內(nèi)容】
[0007]響應于上述需要,本發(fā)明的實施例提供了用于跨一組分組處理設備分布網(wǎng)絡處理負荷的技術,其中,所述方法采用用于消除或以其他方式控制冗余分組處理操作的裝置。
[0008]為此目的,本發(fā)明的實施例提供了一種包括至少兩個分組處理設備的網(wǎng)絡,其中(a)所述分組處理設備中的第一分組處理設備能夠處理從中流過的數(shù)據(jù)分組;(b)所述分組處理設備中的第二分組處理設備也能夠處理從中流過的數(shù)據(jù)分組;以及(c)所述第一分組處理設備能夠在它對所述數(shù)據(jù)分組的所述處理期間檢測是否先前已由所述第二分組處理設備對所述數(shù)據(jù)分組執(zhí)行一個或多個分組處理操作。如果所述第一分組處理設備檢測到先前已由所述第二分組處理設備對所述數(shù)據(jù)分組執(zhí)行分組處理,則所述第一分組處理設備可以拒絕對所述數(shù)據(jù)分組執(zhí)行分組處理。如果所述第一分組處理設備檢測到先前尚未由所述第二分組處理設備對所述數(shù)據(jù)分組執(zhí)行分組處理,則所述第一分組處理設備可以對所述數(shù)據(jù)分組執(zhí)行分組處理。
[0009]在一個優(yōu)選實施例中,本發(fā)明設法影響所謂的網(wǎng)絡入侵預防系統(tǒng)(IPS)中的冗余,所述網(wǎng)絡入侵預防系統(tǒng)特別地包括遍及網(wǎng)絡分布的一組直列式(in-line)分組過濾器設備。依照本實施例,本發(fā)明的網(wǎng)絡包括至少兩個分組處理設備,其中:(a)所述分組處理設備中的第一分組處理設備能夠檢查并過濾從中流過的數(shù)據(jù)分組,通過執(zhí)行來自過濾器組的一個或多個過濾器來實現(xiàn)所述過濾;(b)所述分組處理設備中的第二分組處理設備也能夠檢查并過濾從中流過的數(shù)據(jù)分組,也通過執(zhí)行來自所述過濾器組的一個或多個過濾器來實現(xiàn)所述過濾;以及(c)所述第一分組處理設備能夠在它對所述數(shù)據(jù)分組的所述檢查期間檢測是否先前已由所述第二分組處理設備對所述數(shù)據(jù)分組執(zhí)行一個或多個過濾器。如果所述第一分組處理設備檢測到先前已由所述第二分組處理設備對所述數(shù)據(jù)分組執(zhí)行特定的過濾器,則所述第一分組處理設備可以拒絕將該特定過濾器應用于所述數(shù)據(jù)分組。如果所述第一分組處理設備檢測到先前尚未由所述第二分組處理設備對所述數(shù)據(jù)分組執(zhí)行特定的過濾器,則所述第一分組處理設備可以將該特定過濾器應用于所述數(shù)據(jù)分組。
[0010]一類實施方式將識別已被應用于檢查分組的過濾器組的唯一標識符編碼。下游IPS使用此字段來避免重復相同的過濾器檢查。所述唯一標識符可以被寫入分組的字段中。通過寫入分組字段中,IPS系統(tǒng)實際上對分組字段進行重新定義、重新確定其目的或劫持分組字段??梢允褂玫哪承┳侄问荌P選項字段;diffserv位;或VLAN/MPLS標記。
[0011]第二實施方式利用網(wǎng)絡拓撲結(jié)構(gòu)的知識和該拓撲結(jié)構(gòu)中的其它IPS的放置。集中式或分布式方法可以利用拓撲結(jié)構(gòu)信息來防止冗余處理并可能跨不止一個IPS散布處理負荷。在集中式或分布式方法中,可以從層2或?qū)?拓撲結(jié)構(gòu)相關協(xié)議消息中的信息或從其它信令協(xié)議獲悉該拓撲結(jié)構(gòu)。在集中式方法中,一個設備獲得拓撲結(jié)構(gòu)信息、該拓撲結(jié)構(gòu)中的IPS的放置,并將工作負荷劃分信息或指令分配給每個IPS。在分布式方法中,每個IPS獲得拓撲結(jié)構(gòu)信息、該拓撲結(jié)構(gòu)中的此IPS和可能的其它IPS的放置,并且每個IPS判定將對每個分組進行什么處理。該判定可以基于已經(jīng)進行了什么先前IPS處理、此IPS的工作負荷和可以由此IPS與分組的目的地之間的已知拓撲結(jié)構(gòu)中的其它IPS進行什么處理。
[0012]本發(fā)明的實施例的一個優(yōu)點是其使得能夠跨一組分組處理設備分布網(wǎng)絡處理負荷以消除、控制或以其他方式影響冗余分組處理操作。
[0013]本發(fā)明的實施例的另一優(yōu)點是其跨一組分組過濾設備分布網(wǎng)絡分組過濾負荷以消除、控制或以其他方式影響(完全地或部分地)所述分組過濾設備組當中的冗余過濾操作。
[0014]本發(fā)明的實施例的另一優(yōu)點是其通過與分組或分組流通過所述分組過濾設備同時地在分組或分組流中插入并檢測唯一標識符來分布網(wǎng)絡分組過濾負荷。所述唯一標識符的存在或不存在指示所述分組流的先前通過所述過濾設備中的一個。
[0015]本發(fā)明的實施例的另一優(yōu)點是其使用共享網(wǎng)絡拓撲結(jié)構(gòu)信息來分布網(wǎng)絡分組過濾負荷,所述共享網(wǎng)絡拓撲結(jié)構(gòu)信息被宿存在所述網(wǎng)絡中以使得能夠被所述分組過濾設備組中的每一個訪問(完全或受限的)。
[0016]通過結(jié)合附圖進行的以下詳細說明,本發(fā)明的實施例的這些及其它特征和優(yōu)點將變得對于本領域普通技術人員來說顯而易見。
【附圖說明】
[0017]圖1A示意性地舉例說明包括多個分組處理設備141、142、143、144和145的網(wǎng)絡100,所述分組處理設備依照本發(fā)明被配置為分布分組處理功能。
[0018]圖1B示意性地舉例說明用于映射拓撲結(jié)構(gòu)信息和分組處理信息的有用分組處理設備中的某些說明性數(shù)據(jù)結(jié)構(gòu)。
[0019]圖2示意性地舉例說明實施本發(fā)明的模式,其中,與其它分組處理功能(例如,IPS相關分組處理240)串行地執(zhí)行在先處理檢測220。
[0020]圖3提供舉例說明可在本發(fā)明的執(zhí)行中采用的邏輯的流程圖。
[0021]圖4示意性地舉例說明實施本發(fā)明的另一模式,其中,在先處理檢測420a、420b被集成到其它分組處理功能中(例如,IPS相關分組處理400的狀態(tài)和過濾器功能411、422)。
【具體實施方式】
[0022]本發(fā)明設法廣泛地在本文給出的權(quán)利要求的范圍內(nèi)涵蓋用于跨一組分組處理設備來分布網(wǎng)絡處理負荷的所有產(chǎn)品、系統(tǒng)和方法,其中,所述產(chǎn)品、系統(tǒng)和方法采用用于消除、減少、控制或以其他方式影響冗余分組處理操作的裝置或步驟。在圖1A至4中給出了此類產(chǎn)品、系統(tǒng)和方法一包括其組成部