CN101238669A - 自动生成连接安全规则 - Google Patents
自动生成连接安全规则 Download PDFInfo
- Publication number
- CN101238669A CN101238669A CNA2006800257067A CN200680025706A CN101238669A CN 101238669 A CN101238669 A CN 101238669A CN A2006800257067 A CNA2006800257067 A CN A2006800257067A CN 200680025706 A CN200680025706 A CN 200680025706A CN 101238669 A CN101238669 A CN 101238669A
- Authority
- CN
- China
- Prior art keywords
- security
- rule
- firewall
- bundle
- computer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/16—Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Business, Economics & Management (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
Abstract
提供一种用于以集成方式对防火墙(122)和连接策略创建安全策略(112)的方法和系统。安全系统提供用户界面,用户能够通过该界面定义指定防火墙策略和连接策略两者的安全规则。在指定安全规则之后,安全系统自动生成防火墙规则和连接规则以实现安全规则。安全系统向负责强制施行防火墙规则的防火墙引擎提供防火墙规则,并向负责强制施行连接规则的IPsec引擎提供连接规则。
Description
背景
计算设备用于存储和发送大量敏感数据。连接到因特网或其它网络(例如蜂窝电话网络)的计算设备一直受到试图获得或破坏这些敏感数据的黑客的攻击。为了在存储和发送过程中确保敏感数据的保密性,已经实现了许多不同安全工具来确保这些敏感数据。安全工具包括应用级防火墙工具和网际协议(“IP”)安全工具。应用级防火墙允许对在不同计算设备上执行的应用之间传送的数据的源和目的地上设定限制。例如,应用级防火墙可防止未被授权向受保护计算设备发送数据的计算设备如此操作。防火墙可截取发送到受保护计算设备的所有数据并在该数据并非来自具有授权IP地址的计算设备时将其抛弃。应用级防火墙还可基于与应用相关联的端口号来限制访问。对受保护计算设备可从其接收数据的用户和计算设备的限制可有助于防止受到试图利用计算设备的弱点的恶意软件的恶意攻击。这种恶意软件可包括根工具包(rootkit)、特洛伊木马、按键记录器等。
IP安全工具尝试确保接收或发送数据的计算设备的身份以及数据在传输期间的保密性。认证是有助于确保计算设备身份的进程,而加密和完整性保护是有助于确保数据的保密性和完整性的进程。IP安全工具通常实现如由因特网工程任务组(“IETF”)的RFC 1826定义的、题为“IP认证报头(AH)”的IPsec协议以及如由IETF的RFC 1827定义的、题为“IP封装安全有效负载(ESP)”的IPsec协议。AH协议用于提供诸如IP数据的无连接完整性和数据原始认证的服务。可在一对通信主机之间、一对通信安全网关之间、或安全网关与主机之间提供安全服务。ESP协议被设计成单独提供或与AH协议结合地提供混合安全服务。ESP协议可用于提供机密性、数据原始认证和无连接完整性。AH和ESP协议允许数据在计算设备之间安全地传送。IPsec协议可使用IETF的、题为“因特网密钥交换协议”的RFC 2409来在一对通信设备之间交换密钥。
虽然实现防火墙和IPsec的工具可帮助确保敏感数据的数据安全,但是防火墙和IPsec的配置可能是困难且耗时的。通常,这种配置通过企业中尝试为企业建立安全策略的安全职员来实现。安全策略可使用防火墙规则以及IPsec或连接规则来定义企业的计算设备如何与该企业内部和外部的其它计算设备通信。安全职员通常使用防火墙工具定义防火墙规则,以及使用IPsec工具定义IPsec规则。安全职员需要协调防火墙规则和IPsec规则,以确保它们一致、正确地实现企业所需的安全策略。由于IPsec的复杂性,安全职员很难配置IPsec工具来实现安全策略,因为IPsec术语会混淆并不一致,还因为需要由安全职员作出许多决定。此外,因为防火墙和IPsec是重叠的技术,安全职员很容易在如何实现企业安全策略上产生混淆。结果,许多企业安全策略的实现不能提供所需的安全级别,从而使得该企业的计算设备易于受到攻击。
IPsec安全策略还因为它们要求外出设备的外出安全策略与进入设备的进入安全策略对称而难以实现。具体而言,外出安全策略的安全算法密码套件需要与进入安全策略的安全算法密码套件匹配。由于安全策略的安全算法选择可能是耗时且复杂的,因此管理员难以建立匹配的进入和外出安全策略。
概述
提供一种用于以集成方式对防火墙和连接策略创建安全策略的方法和系统。安全系统向用户提供界面,用户可通过该界面定义指定防火墙策略和连接策略的安全规则。在指定了安全规则之后,安全系统自动生成防火墙规则和/或连接规则以实现安全规则。安全系统向负责强制施行防火墙规则的防火墙引擎提供该防火墙规则,并向负责强制施行连接规则的IPsec引擎提供该连接规则。安全系统确保防火墙规则和连接规则一致。安全系统还在了解连接规则的情况下生成防火墙规则,因为安全规则指定连接安全。
提供一种安全系统,该系统允许从连接安全的进入安全策略自动导出连接安全的外出安全策略。进入安全策略的安全系统具有各自指定一个或多个安全算法的安全套件。一旦进入安全策略分布到企业的计算设备上,安全系统就可使用进入安全策略的安全套件作为计算设备的外出安全策略的安全套件。因为每个计算设备提供与分布到企业的计算设备上的同一进入安全套件匹配的外出安全套件,所以这些计算设备具有匹配的进入和外出安全套件。
提供本概述是为了以简化形式引入在以下详细描述中进一步描述的概念精选。本概述并非旨在标识要求保护的主题的关键特征或本质特征,也非旨在用来帮助确定要求保护主题的范围。
附图简要描述
图1是一实施方式中的总览显示页面。
图2是示出在一实施方式中对一个域建立默认策略的显示页面。
图3是示出在一实施方式中建立密钥交换的安全套件的显示页面。
图4是示出在一实施方式中设置密钥交换的安全套件的显示页面。
图5是示出在一实施方式中设置数据保护的安全套件的显示页面。
图6是示出在一实施方式中设置数据保护的定制安全套件的显示页面。
图7是示出在一实施方式中设置认证的安全套件的显示页面。
图8是示出在一实施方式中默认安全策略的进入例外的显示页面。
图9是示出在一实施方式中设置进入例外的一般属性的显示页面。
图10是示出在一实施方式中设置进入例外的用户和计算机属性的显示页面。
图11是示出在一实施方式中设置进入例外的协议和端口的显示页面。
图12是示出在一实施方式中设置进入例外所应用的地址范围的显示页面。
图13是示出在一环境中进入例外的高级属性的显示页面。
图14是在一实施方式中配置文件的外出例外的显示页面。
图15是示出在一实施方式中安全系统的数据结构的框图。
图16是示出在一实施方式中安全系统的组件的框图。
图17是示出在一实施方式中自动生成连接安全规则组件的处理的流程图。
图18是示出在一实施方式中设置5元组组件的处理的流程图。
图19是示出在一实施方式中处理远程用户授权列表组件的处理的流程图。
图20是示出在一实施方式中设置动作组件的处理的流程图。
图21是示出在一实施方式中设置匹配认证和密码套件组件的处理的流程图。
图22是示出在一实施方式中设置非匹配认证和密码套件组件的处理的流程图。
图23是示出在一实施方式中一组件建立连接安全的外出安全策略的处理的流程图。
图24是示出在一实施方式中一组件基于默认安全套件建立连接安全策略的处理的流程图。
图25是示出在一实施方式中一组件自动生成IPsec主模式的安全套件的处理的流程图。
详细描述
提供了一种用于以集成方式对防火墙和连接策略创建安全策略的方法和系统。在一实施方式中,该安全系统提供一用户界面,用户能够通过该界面定义指定防火墙策略和/或连接策略的安全规则。例如,安全规则可指定从特定计算设备接收进入通信量所通过的端口,以及进一步指定通过该端口接收的通信量应该被加密。在指定安全规则之后,安全系统自动生成防火墙规则、连接规则或一个或多个防火墙规则和连接规则的组合,以实现安全规则。例如,防火墙规则将该端口的进入通信量限制于具有指定IP地址的计算设备,连接规则指定到该端口以及来自指定IP地址的进入通信量将被加密。安全系统向负责强制施行防火墙规则的防火墙引擎提供防火墙规则,并向负责强制施行连接规则的IPsec引擎提供连接规则。因为安全系统自动生成形成更高级别安全规则的防火墙规则和连接规则,所以这可确保防火墙规则和连接规则是一致的。此外,由于安全系统在了解连接规则的情况下生成防火墙规则,于是防火墙规则可基于通常对防火墙而言不可用的信息。这样,管理员可依靠安全系统来创建一致的防火墙规则和连接规则,它们实现如高级安全规则所表达的企业安全策略。
在一实施方式中,安全系统允许用户建立也称为经认证的防火墙规则的安全规则,每个规则定义了防火墙动作、动作执行的条件和连接安全。这些条件可指定信息量的方向、本地应用和本地服务的身份、以及本地和远程地址和端口、协议、用户和用户组、计算机和计算机组、接口类型(例如无线LAN)等。例如,经认证的防火墙规则可具有指定本地应用和远程IP地址及计算设备端口的条件。当送往该应用的数据接收自具有该IP地址和端口的计算设备时,规则的条件得到满足且规则的动作得到执行。例如,该动作可能是数据被发送到该应用或者阻止该数据被发送到该应用。经认证的防火墙规则的连接安全可表明从该远程IP地址和端口发送到本地应用的通信量将被加密并使其完整性受到保护。安全系统生成连接安全规则以实现经认证的防火墙规则的连接安全。在一实施方式中,安全系统根据经认证的防火墙规则生成连接安全规则,但是直接使用经认证的防火墙规则作为防火墙规则。因此“经认证的防火墙规则”中的术语“经认证”表示对防火墙规则可通过连接安全信息来扩充,安全系统能够根据该连接安全信息生成连接安全规则(例如IPsec规则)。
在一实施方式中,安全系统可提供默认安全套件,以用于自动生成连接安全规则。安全系统可对IPsec协议的主模式(“相(phase)I”)和快速模式(“相II”)以及对使用IPsec协议的密钥交换提供默认安全套件。安全套件指定将由IPsec协议使用的安全算法集。如本文所使用的,数据保护密码套件可表示ESP协议对完整性保护使用的SHA-256和对加密使用的3DES。数据保护密码套装可包括完整性算法和加密算法的多个密码套件以及优先级,从而IPsec引擎可协商在与另一计算设备通信时使用哪个安全套件。因为安全系统提供这些默认安全套件,所以管理员可在无需指定完整性保护算法和加密算法的情况下指定包含连接安全规则的安全策略。主模式的认证集可指定认证方法(例如Kerberos)。主模式的密钥交换密码套件可指定密钥交换算法(例如DH1)、加密算法(例如3DES)和完整性保护算法(例如SHA1)。快速模式的认证集可指定认证方法和认证数据。快速模式的数据保护密码套装可指定协议(例如ESP)、加密算法(例如3DES)、和完整性保护算法(例如SHA1)。安全系统可允许用户定义附加安全套件。
在一实施方式中,安全系统允许连接安全的外出安全策略从连接安全的进入安全策略自动导出。进入安全策略的安全系统具有各自指定一个或多个安全算法的安全套件。一旦进入安全策略分布到企业的计算设备上,则安全系统可使用进入安全策略的安全套件作为这些计算设备的外出安全策略的安全套件的基础。例如,进入安全策略可指定具有完整性算法SHA1、加密算法3DES和密钥交换算法Diffi-Hellman组2的IPsec的主模式密钥交换密码套件。如果如此,则安全系统可在协商外出连接时提供同一安全套件。因为每个计算设备提供与进入安全套件匹配的外出安全套件,所以所定义的计算设备具有匹配的进入和外出安全策略。这样,企业的计算设备可基于自动生成的外出安全策略建立安全连接。在替换实施方式中,安全系统可基于外出安全策略的安全套装生成进入安全策略。此外,安全系统可基于对外出安全策略定义的安全套件自动扩充进入安全策略,基于对进入安全策略定义的安全套件扩充进入安全策略。
在一实施方式中,安全系统可提供基于默认安全套件的连接安全的安全策略。安全系统可对连接安全定义默认安全套件。例如,安全数据保护密码套件可指定ESP协议并包含完整性算法SHA1,并且另一默认数据保护密码套件可指定ESP协议并包含完整性算法SH1和加密算法3DES。安全系统可提供一用户界面,管理员能通过该界面选择ESP协议应该只基于安全性校验还是基于安全性校验和加密两者。基于管理员的选择,安全系统将自动使用相关联的默认数据保护密码套件。
图1-14是示出在一实施方式中安全系统的用户界面的显示页面。图1是在一实施方式中的总览显示页面。显示页面100包括提供当前默认策略的总览的总览区域110以及提供对该用户界面所使用的概念的介绍的安全策略区域120。总览区域包括域配置文件区域111和标准配置文件113。配置文件区域指示在生成经认证的防火墙规则时该安全系统所实现的默认策略。域配置文件区域指定在计算设备连接到其作为成员的域(例如企业的LAN)时所应用的默认策略,而标准配置文件区域指定在该计算设备未连接到其作为成员的域(例如经由公共可接入的因特网接入点)时所应用的默认策略。在本示例中,域配置文件区域指示防火墙启用、默认拒绝或阻止进入连接、以及默认允许外出连接。域配置文件属性按钮112和标准配置文件属性按钮114提供对用于更改默认配置文件行为的显示页面的访问。安全策略区域包括连接安全区域121和防火墙安全区域122。连接安全区域允许用户定义用于生成连接安全规则的安全套件,以及允许创建定制连接安全规则。防火墙安全区域允许用户定义经认证的防火墙规则,该规则指定了如域配置文件区域或标准配置文件区域中所指定的默认策略的例外。
图2是示出在一实施方式中建立域配置文件的默认策略的显示页面。显示页面200包括进入连接框201、外出连接框202和设置按钮203。进入连接框允许用户建立允许或拒绝进入连接的默认策略。外出连接框允许用户建立允许或拒绝外出连接的默认策略。设置按钮允许用户指定防火墙工具的一般行为,诸如在阻止程序接受进入连接时通知用户、允许本地管理员创建例外等。
图3是示出在一实施方式中建立密钥交换的密码套件的显示页面。显示页面300包括用于控制IPsec的主模式期间的密钥交换的选项钮301和302以及设置按钮303。选项钮允许用户选择密码套件的标准集,该标准集可按企业内的组分级定义或者指定密钥交换的定制安全套件。通常,诸如经认证的防火墙规则和安全套件的安全策略可被定义在企业内不同的组级别。例如,整个企业可以是最高级别的组,并且各个部门可以是较低级别的组。企业安全策略可对企业的所有计算设备指定最小的安全策略。例如由于该部门的计算设备所处理数据的高度敏感特性,部门安全策略可以是更受限的策略。安全系统对计算设备建立的默认安全策略是其所属的所有分级上组的安全策略的组合。设置按钮允许用户定制默认安全策略。
图4是示出在一实施方式中设置密钥交换密码套件的安全算法的显示页面。显示页面400包括定义三个密码套件411-413的密码套件定义区域410。每个密码套件指定完整性算法、加密算法和密钥交换算法。密钥交换密码套件的次序指示安全系统协商使用哪个密钥交换套件的过程中所使用的优选级。
图5是示出在一实施方式中设置数据保护的密码套件的显示页面。数据保护安全包括完整性保护和加密。显示页面500包括用于管理数据保护安全的选项钮501、502和设置按钮503。选项钮允许用户选择和使用标准密码套件或者对数据保护指定定制密码套件。设置按钮允许用户对数据保护指定定制密码套件。
图6是示出在一实施方式中设置数据保护安全套件的安全算法的显示页面。显示页面600包括数据完整性区域601以及数据完整性和加密区域602。数据完整性区域仅指定数据完整性的密码套件。每个密码套件指定协议和完整性算法。数据完整性和加密区域指定数据完整性和加密的密码套件。每个密码套件指定协议、完整性算法和加密算法。
图7是示出在一实施方式中设置认证方法的显示页面。显示页面700包括选项钮701-704以及设置按钮705。选项钮701允许用户可基于认证方法分层结构来选择默认认证方法。选项钮702-704允许用户选择替换默认认证方法。设置按钮允许用户指定定制认证方法。
图8是示出在一实施方式中默认安全策略的进入例外的显示页面。显示页面800包括进入例外区域810和新的进入例外按钮820。进入例外区域列出默认安全策略的进入例外811-816。每个进入例外包括描述该进入例外的名称、动作、用户、所需加密、配置文件、附加条件和启用字段,以及本示例中未示出的其它项。用户使用新的进入例外按钮来定义或更改进入例外。用户通过选择该进入,然后选择属性选项来更改进入例外。
图9-13是示出在一实施方式中定义进入例外的显示页面。图9是示出在一实施方式中设置进入例外的一般属性的显示页面。显示页面900包括名称区域901、程序区域902和动作区域903。用户在名称区域中输入进入例外的名称并指示是否启用该进入例外。用户使用程序区域指定该进入例外应用于所有程序还是应用于程序的子集,作为经认证的防火墙规则的条件。用户使用动作区域来指定在进入例外的条件得到满足时所采取的动作。该动作包括允许多有连接、只允许安全连接以及拒绝连接。当用户指示只允许安全连接时,安全系统设置经认证的防火墙规则的自动生成标志,使得对应连接安全规则能够自动生成。
图10是示出在一实施方式中设置进入例外的用户和计算机属性的显示页面。显示页面1000包括用户区域1001和计算机区域1002。用户单独或作为组来输入用户或计算机的名称作为经认证的防火墙规则的条件,以限制进入例外所应用于的用户或计算机。
图11是示出在一实施方式中设置进入例外的协议和端口的显示页面。显示页面1100包括协议区域1101、端口区域1102和ICMP区域1103。协议区域允许用户指定一协议作为该进入例外所应用于的经认证防火墙规则的条件。端口区域指示在协议为TCP或UDP时作为该进入例外所应用于的经认证防火墙规则的条件的本地和远程端口。在ICMP协议被指定时,ICMP区域允许用户指定网际控制报文协议参数作为经认证防火墙规则的条件。
图12是示出在一实施方式中设置进入例外所应用于的地址范围的显示页面。显示页面1200包括本地地址区域1201和远程地址区域1202。本地地址区域和远程地址区域允许用户指定本地和远程地址作为该进入例外所应用于的经认证防火墙规则的条件。
图13是示出在一环境中设置进入例外的高级属性的显示页面。显示页面1300包括配置文件区域1301、接口类型按钮1302和服务按钮1303。配置文件区域允许用户指定哪个配置文件(即,域和/或标准)作为该进入例外所应用的经认证防火墙规则的条件。接口类型按钮允许用户指定接口的类型作为该进入例外所应用于的经认证防火墙规则的条件。服务按钮允许用户指定服务作为该进入例外所应用于的经认证防火墙规则的条件。
图14是示出在一实施方式中配置文件的外出例外的显示页面。显示页面1400包括列出外出例外的外出例外列表区域1401。安全系统提供允许用户以与更改进入例外相同的方式创建和更改外出例外。
图15是示出在一实施方式中安全系统的数据结构的框图。数据结构包括安全套件1501-1504和规则1506-1507。在一实施方式中,数据结构可作为主机计算设备的注册表的一部分来存储。安全套件1501定义IPsec的主模式的认证集。每个认证集标识认证方法和认证数据。安全套件1502定义IPsec主模式的密钥交换密码套件。密钥交换密码套件包括密钥交换算法、加密算法和完整性算法。安全套件1503定义IPsec的快速模式的认证集。认证集定义了认证方法和认证数据。安全套件1504定义了IPsec快速模式的数据保护密码套件。该密码套件包括协议、加密算法和完整性算法。连接安全规则和经认证防火墙规则分别定义了IPsec和防火墙的规则。表1定义了经认证防火墙规则的字段,而表2定义了连接安全规则的字段。
表1
| # | 字段 | 名称 | 字段句法 | 如果不存在 | 注释 |
| 1 | 版本 | 版本格式为 | 拒绝 | 版本是强制的,并且 |
| # | 字段 | 名称 | 字段句法 | 如果不存在 | 注释 | |
| v<Major>.<minor> | 规则 | 是规则串中的第一字段。它并不是名值对,只是字段句法。 | ||||
| 2 | 动作 | Action | 阻止|允许|允许旁路 | 拒绝规则 | 动作字段是强制的。 | |
| 3 | 名称 | Name | 名称可以是文本名称或者对dll资源串的引用。dll资源的格式为:@<dll文件名>,索引。dll文件名可以是包括环境变量(%x%)的全路径。 | 这用于显示目的,它与注册表值的名称不同。 | ||
| 4 | 方向 | Dir | 进入|外出 | 拒绝规则 | ||
| 5 | 本地应用 | App | 可执行的全路径 | 如果应用或服务都不存在,则该规则应用到所有应用和服务。 | 路径可以包括环境变量(%x%) | 如定服务和应用,则规则只应用到在所指定的应用内运行的服务。这将规则限定于应用到源自所指定的应用或服务或者从其接收的通信量。这仅由在该规则中由本地地址描述的机器上评估。 |
| 6 | 本地服务 | Svc | 服务名缩写名或* | 服务SID可以由服务名生成。*表示所有服务。 | ||
| 7 | 本地网络接口 | IF | GUID | 如果没有IF、IFType、LA4或LA6字段,则规则应 | 接口向导在如下模式中找到的串值中定义:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\NetworkCards\<n>\ServiceName<n>是任意整数表键。 | |
| # | 字段 | 名称 | 字段句法 | 如果不存在 | 注释 |
| 中,则该规则不允许访问或阻止访问。 | |||||
| 20 | 远程用户授权列表 | RUAuth | SDDL串 | 没有认证被应用到远程用户。 | 该授权由该规则中本地地址所描述的机器评估,从而将远程认证用户限制于列表中所述的那些。如果远程用户未出现在该列表中,则该规则不允许访问或者阻止访问。 |
| 21 | 安全 | Security | Authenticate(认证)|AuthenticateEncrypt(认证加密) | 允许不加密的通信量。 | Authenticate添加所指定通信量被IPsec保护的条件。AuthenticateEncrypt添加所指定的通信量是IPsec保护和加密的条件NotRequired(不需要)指定没有基于IPsec保护的限制。同等允许通信量保护和清除。 |
| 22 | 嵌入上下文 | EmbedCtx | 1024Unicode字符串 | 对规则没有影响。 | 这被服务忽略。它用于将诸如这些防火墙服务:RemoteAdministration(远程管理)或File(文件)和PrinterSharing(打印机共享)的规则分组成以UI、Netsh和COMAPI表示的单个概念,并且精确地按作者所输入的维持地址数据。 |
| 23 | 平台有效性 | Platform | <PlatformID>:<MajorVersion>:<Minor Version> | 规则应用到所 | Windows 2000=2.5.0XP=2.5.1 |
| # | 字段 | 名称 | 字段句法 | 如果不存在 | 注释 |
| 有版本。 | |||||
| 24 | 自动生成 | AutoGenIPsec | TRUE(真)|FALSE(假) | AutoGen(自动生成)关闭。 | 如果为True,则引擎将尝试生成IPsecRule(规则)来实施如该规则所需的IPsec保护。 |
表2
| # | 字段 | 名称 | 字段句法 | 如果不存在 | 注释 |
| 1 | 版本 | 版本格式为v<Major>.<minor> | 拒绝规则 | 版本是强制的,并且是规则字段中的第一字段。它不是名值对,只是字段句法。 | |
| 2 | 名称 | Name | 她可以是文本名称或对dll资源串的引用。dll资源格式为:@<dll文件名>,索引。dll文件名可以是包含环境变量(%x%)的全路径。 | 这用于显示目的。它与注册表值的名称不同。 | |
| 3 | 本地网络接口 | IF | GUID | 规则应用到所有网络接口。 | 网络接口向导在可在以下模式中找到的串值中定义:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\NetworkCards\<n>\ServiceName<n>是任意整数表键。 |
| 4 | 本地网 | IFType | 遍历|无线|LAN|RAS | 规则应用到所 |
| # | 字段 | 名称 | 字段句法 | 如果不存在 | 注释 |
| 议 | 到所有ip通信量 | ||||
| 12 | 相I认证集 | Auth1Set | GUID | 使用默认相I的认证集。 | |
| 13 | 相II认证集 | Auth2Set | GUID | 不执行辅助AuthIp认址。 | |
| 14 | 相II密码套装 | Crypto2Set | GUID | 使用默认密码套装。 | |
| 15 | 嵌入文本 | EmbedCtx | 1024Unicode字符串 | 对规则没有影响 | 这被服务忽略。它用于将诸如这些防火墙服务:RemoteAdministration(远程管理)或File(文件)和Printer Sharing(打印机共享)的规则分组成以UI、Netsh和COMAPI表示的单个概念,并且按所输入的维持地址数据。 |
| 16 | 平台有效性 | Platform | <PlatformID>:<MajorVersion>:<Minor Version> | 规则应用到所有版本 | Windows 2000=2.5.0XP=2.5.1 |
图16是示出在一实施方式中安全系统组件的框图。安全系统1600包括用户界面组件1601、经认证的防火墙规则存储1602、连接安全规则存储1603、自动生成连接安全规则组件1604、ALE组件1605、传输层引擎1606、IPsec相II组件1607和IPsec相I组件1608。用户界面组件提供图1-14的用户界面以及生成经认证的防火墙规则并将其存储在经认证的防火墙规则存储中。用户界面组件还可以将存储用户定义的定制连接安全规则存储在连接安全规则存储中。自动生成连接安全规则组件在主机计算机上执行,以根据经认证的防火墙规则生成连接安全规则。以下详细描述自动生成连接安全规则组件。ALE组件执行应用层过滤并强制施行经认证的防火墙规则存储中的防火墙规则,并且可以考虑从传输层引擎传送的连接安全信息。传输层引擎通过调用IPsec组件来强制施行连接安全规则。
其上可实现安全系统的计算设备可包括中央处理单元、存储器、输入设备(例如键盘和定点设备)、输出设备(例如显示设备)和存储设备(例如磁盘驱动器)。存储器和存储设备是可包含实现安全系统的指令的计算机可读介质。此外,数据结构和消息结构可被存储或经由诸如通信链路上的信号的数据传输介质来传送。可使用各种通信链路,诸如因特网、局域网、广域网或点对点拨号连接。
安全系统可在各种操作环境中实现,包括个人计算机、服务器计算机、手持或膝上型设备、多处理器系统、基于微处理器的系统、可编程消费电子产品、网络PC、小型计算机、大型计算机、包括以上系统或设备中任一个的分布式计算环境等。安全系统还可以在诸如蜂窝电话、个人数字助理、消费电子产品、家用自动化设备等的计算设备上实现。
安全系统可以在由一个或多个计算机或其它设备执行的诸如程序模块的计算机可执行指令的一般上下文中进行描述。通常,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等。通常,在各个实施方式,程序模块的功能可按需进行组合和分布。
图17是示出在一实施方式中自动生成连接安全规则组件的处理的流程图。调用该组件以根据经认证防火墙规则生成连接安全规则。每个经认证的防火墙规则具有指示是否应自动生成对应的连接安全规则的标志。用户界面组件对其创建的每个经认证的防火墙规则设置标志。在框1701,该组件选择下一经认证的防火墙规则。在判定框1702,如果所有经认证的防火墙规则都已被选择,则该组件完成处理,否则该组件在框1703继续。在判定框1703,如果规则指示自动生成连接安全规则,则该组件在框1704继续,否则该组件返回到框1701以选择下一经认证的防火墙规则。在框1704,该组件创建连接安全规则数据结构。在框1705,该组件调用设置5元组件来对连接安全规则建立本地和远程地址和端口以及协议。在判定框1706,如果所选经认证的防火墙规则包括远程用户授权列表,则该组件在框1707继续,否则该组件在框1708继续。在框1707,该组件调用确定是否已对IPsec相II定义了用户认证套件的处理远程用户授权组件。在框1708,该组件调用设置动作组件来设置连接安全规则的动作。在框1709,该组件判定是否存在与5元组或2元组(即源和目的地地址)匹配的匹配连接安全规则。在判定框1710,如果找到匹配,则该组件在框1712继续,否则该组件在框1711继续。在框1711,该组件调用设置非匹配安全套件组件以基于默认来对连接安全规则设置认证方法和密码套件。在框1712,该组件调用设置匹配安全组件以基于匹配连接安全规则来设置认证和密码套件。然后,该组件返回到框1701,以选择下一经认证的防火墙规则。
图18是示出在一实施方式中设置5元组件的处理的流程图。该组件基于所选经认证的防火墙规则来设置连接安全规则的5元组(即本地地址、本地端口、远程地址、远程端口和协议)。在框1801,该组件检索经认证的防火墙规则的5元组。在判定框1803,如果本地地址未被指定或者为通配符,则在框1803该组件将本地地址设置为指向主机计算机,否则该组件在框1804继续。在判定框1804,如果远程地址未被指定或者为通配符,则该组件在框1805将远程地址设置为指向任何计算机,否则该组件在框1806继续。在框1806,该组件存储如连接安全规则所更改的5元组,然后返回。
图19是示出在一实施方式中处理远程用户授权列表组件的处理的流程图。调用该组件以确保相II认证套件已被定义。在框1901,组件检索默认相II认证套件。在判定框1902,如果用户认证被指定,则该组件返回,否则该组件生成连接安全规则失败。
图20是示出在一实施方式中设置动作组件的处理的流程图。该组件在所有条件可被拷贝且经认证的防火墙规则应用于进入和外出的通信量时将动作设置为安全。否则,该组件将动作设置为DMZ。因为传输层不知道数据所导向的应用,所以诸如应用名称的条件不能拷贝到连接安全规则。安全的动作表明仅在可安全发送数据时才允许该数据。DMZ的动作表明如果与5元组匹配的数据无法安全发送,则它将畅行无阻地发送。然而,它可能遭到ALE层的拒绝。在框2001,组件确定所有条件是否已被拷贝。在判定框2002,如果所有条件已被拷贝,则该组件在框2003继续,否则该组件在框2004继续。在判定框2003,如果经认证的防火墙规则应用到进入和外出通信量(例如一个规则可应用到进入通信量而另一规则可应用到外出通信量,或者单个规则可应用到进入和外出通信量两者),则该组件在框2005继续,否则该组件在框2004继续。在框2004,该组件将动作设置为DMZ,并返回。在框2005,该组件将该动作设置为安全,并返回。
图21是示出在一实施方式中设置匹配安全套件组件的处理的流程图。该组件基于匹配连接安全规则来设置连接安全规则的安全套件。在框2101-2102,该组件基于匹配连接安全规则来设置相II认证和密码套件。在框2103,该组件在正被创建的规则是进入规则时对加密赋予更高优先级,并返回。
图22是示出在一实施方式中设置非匹配安全套件组件的处理的流程图。该组件基于默认安全套件来在相I和相II中设置认证方法和密码套件。在框2201,该组件标识默认相I密码套件。在框2202,该组件标识默认相I认证方法。在框2203,该组件标识默认相I密码套件。在判定框2204,如果经认证的防火墙规则仅指示认证,则在框2205,该组件对完整性保护赋予更高优先级。在判定框2206,如果经认证的防火墙规则指示认证和加密,则该组件在框2207继续,否则该组件在框2210继续。在判定框2207,如果经认证的防火墙规则只针对进入,则该组件在框2209继续,否则该组件在框2208继续。在框2208,该组件对完整性保护赋予更高优先级。在框2209,该组件对完整性保护赋予更低的优先级。在框2210,该组件标识默认相II的认证方法。于是,该组件基于所标识的认证方法和密码套件来设置该连接安全规则的安全套件,然后返回。
图23是示出在一实施方式中一组件对连接安全建立外出安全策略的处理的流程图。该组件基于进入安全策略的安全套件来建立外出安全策略。在框2301,该组件检索包括安全套件的IPsec进入安全策略。在框2302,该组件从进入安全策略标识安全套件。在框2303,该组件基于所标识的安全套件来协商外出连接。在一实施方式中,该组件在协商外出连接时可提供多个安全套件。这些安全套件可基于其安全算法的复杂性排序,从而对最不复杂的安全算法赋予优选级。该组件还可基于在进入安全策略的安全套件中定义的安全算法的各种组合来自动生成安全套件。例如,一种安全套件可指定完整性算法SHA1和加密算法3DES,而另一种安全套件可指定完整性算法SHA-256和加密算法AES-128。在这种情况下,该组件可生成指定完整性算法SHA1和加密算法AES-128的外出安全套件以及指定完整性算法SHA-256和加密算法3DES的外出安全套件。
图24是示出在一实施方式中一组件基于默认安全套件建立连接安全策略的处理的流程图。在框2401,该组件提供连接安全的默认安全套件。该默认安全套件可仅基于完整性校验或者基于完整性校验和加密来实现数据保护模式。在框2402,该组件从管理员接收对数据保护模式的选择。在框2403,该组件协商使用与所选数据保护模式相关联的默认安全套件的连接安全。
图25是示出在一实施方式中一组件对IPsec的主模式自动生成安全套件的处理的流程图。该组件基于由安全策略的进入或外出安全套件定义的安全算法的各种组合来生成安全套件。在框2501,该组件选择安全套件的下一密钥交换算法。在判定框2502,如果所有密钥交换算法都已被选择,则该组件结束处理,否则该组件在框2503继续。在框2503,该组件选择安全套件的下一完整性算法。在判定框2504,如果所有完整性算法都已被选择,则该组件返回到2501以选择下一密钥交换算法,否则该组件在框2505继续。在框2505,该组件选择安全套件的下一加密算法。在判定框2506,如果所有加密算法都已被选择,则该组件返回到框2503以选择下一完整性算法,否则该组件在框2507继续。在框2507,该组件基于所选密钥交换算法、完整性算法和加密算法来形成新的安全套件。安全系统在协商进入或外出连接时可使用新形成的安全套件。然后,该组件返回到2505,以选择下一加密算法。
虽然以具体到结构特征和/或方法动作的语言描述本发明主题,但是应该理解,在所附权利要求书中定义的该主题无需限于上述具体特征或动作。相反,公开上述具体特征和动作作为实现权利要求的示例形式。因此,本发明只由所附权利要求书来限定。
Claims (20)
1.一种在计算机系统中用于对防火墙策略和连接策略创建安全策略的方法,所述方法包括:
提供用户界面,用户能够通过所述界面指定与防火墙策略和连接策略相关的安全规则;以及
根据所指定的安全规则自动生成防火墙规则和连接规则。
2.如权利要求1所述的方法,其特征在于,连接规则指定IP安全协议的行为。
3.如权利要求1所述的方法,其特征在于,连接规则指定与连接相关联的密钥交换、数据保护和认证。
4.如权利要求3所述的方法,其特征在于,所述数据保护指定加密和完整性技术。
5.如权利要求1所述的方法,其特征在于,安全规则指定条件和所述条件得到满足时所采取的动作以及对满足所述条件的数据的认证和加密行为。
6.如权利要求1所述的方法,其特征在于,防火墙规则包括条件和所述条件得到满足时所采取的动作,并且所述条件可基于连接安全信息。
7.如权利要求1所述的方法,其特征在于,用户能够通过所述用户界面指定IP安全协议的主模式和快速模式的安全套件。
8.如权利要求7所述的方法,其特征在于,所述主模式的安全套件包括认证方法和密码套件。
9.如权利要求7所述的方法,其特征在于,所述快速模式的安全套件包括密码套件。
10.如权利要求7所述的方法,其特征在于,基于默认安全套件自动生成连接规则。
11.一种包含用于控制计算机系统以通过一方法生成连接规则的指令的计算机可读介质,所述方法包括:
基于安全规则的本地和远程地址信息建立所述连接规则的端点信息;
基于所述安全规则的条件是否能够被拷贝到所述连接规则来建立所述连接规则的动作;以及
基于默认安全套件建立所述连接规则的连接安全套件。
12.如权利要求11所述的计算机可读介质,其特征在于,所述默认安全套件包括主模式和快速模式的认证方法和密码套件。
13.如权利要求11所述的计算机可读介质,其特征在于,所述安全套件的建立是基于已使用匹配端点信息为连接规则建立的安全套件。
14.如权利要求11所述的计算机可读介质,其特征在于,当能够拷贝所述安全规则的所有条件时,动作在不能建立安全连接时指示失败。
15.如权利要求11所述的计算机可读介质,其特征在于,当并非所述安全规则的所有条件能被拷贝时,建立在不能建立安全连接时指示建立非安全连接的动作。
16.如权利要求11所述的计算机可读介质,其特征在于,所述端点信息的建立包括在未指定所述安全规则的本地地址时,将所述本地端点信息设置为指示本地计算设备。
17.如权利要求11所述的计算机可读介质,其特征在于,所述端点信息的建立包括在未指定所述安全规则的远程地址时,将所述远程端点信息设置为指示任何远程计算设备。
18.一种包含数据结构的计算机可读介质,所述数据结构包括:
防火墙动作;
条件,包括方向、本地应用、本地服务、本地地址、远程地址、本地端口和远程端口;以及
连接安全,指示将要施加到传送满足所述条件的数据所通过的连接的安全。
19.如权利要求18所述的计算机可读介质,其特征在于,所述连接安全指定认证和加密。
20.如权利要求18所述的计算机可读介质,其特征在于,还包括认证方法和密码套件。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/183,317 | 2005-07-15 | ||
| US11/183,317 US8056124B2 (en) | 2005-07-15 | 2005-07-15 | Automatically generating rules for connection security |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101238669A true CN101238669A (zh) | 2008-08-06 |
Family
ID=37663064
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2006800257067A Pending CN101238669A (zh) | 2005-07-15 | 2006-07-13 | 自动生成连接安全规则 |
Country Status (7)
| Country | Link |
|---|---|
| US (2) | US8056124B2 (zh) |
| EP (1) | EP1905180A2 (zh) |
| JP (1) | JP4892554B2 (zh) |
| KR (1) | KR20080026177A (zh) |
| CN (1) | CN101238669A (zh) |
| TW (1) | TW200713954A (zh) |
| WO (1) | WO2007011673A2 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101640614B (zh) * | 2009-09-03 | 2012-01-04 | 成都市华为赛门铁克科技有限公司 | 一种配置ipsec安全策略的方法及装置 |
| CN104978513A (zh) * | 2014-04-10 | 2015-10-14 | 晶心科技股份有限公司 | 硬件配置装置 |
Families Citing this family (75)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8250229B2 (en) * | 2005-09-29 | 2012-08-21 | International Business Machines Corporation | Internet protocol security (IPSEC) packet processing for multiple clients sharing a single network address |
| JP4545085B2 (ja) * | 2005-12-08 | 2010-09-15 | 富士通株式会社 | ファイアウォール装置 |
| JP4690918B2 (ja) * | 2006-03-14 | 2011-06-01 | 株式会社リコー | ネットワーク機器 |
| US8099774B2 (en) * | 2006-10-30 | 2012-01-17 | Microsoft Corporation | Dynamic updating of firewall parameters |
| US7954143B2 (en) * | 2006-11-13 | 2011-05-31 | At&T Intellectual Property I, Lp | Methods, network services, and computer program products for dynamically assigning users to firewall policy groups |
| US8533789B1 (en) | 2006-12-12 | 2013-09-10 | Emc Corporation | User management for repository manager |
| US7702787B1 (en) * | 2006-12-12 | 2010-04-20 | Emc Corporation | Configurable user management |
| US20080178256A1 (en) * | 2007-01-23 | 2008-07-24 | Brian Perrone | System and method providing policy based control of interaction between client computer users and client computer software programs |
| US8392981B2 (en) * | 2007-05-09 | 2013-03-05 | Microsoft Corporation | Software firewall control |
| US8166534B2 (en) * | 2007-05-18 | 2012-04-24 | Microsoft Corporation | Incorporating network connection security levels into firewall rules |
| US8443433B2 (en) * | 2007-06-28 | 2013-05-14 | Microsoft Corporation | Determining a merged security policy for a computer system |
| US8341723B2 (en) | 2007-06-28 | 2012-12-25 | Microsoft Corporation | Filtering kernel-mode network communications |
| WO2009007985A2 (en) * | 2007-07-06 | 2009-01-15 | Elitecore Technologies Limited | Identity and policy-based network security and management system and method |
| US20110238587A1 (en) * | 2008-09-23 | 2011-09-29 | Savvis, Inc. | Policy management system and method |
| KR101006721B1 (ko) * | 2009-01-20 | 2011-01-07 | 킹스정보통신(주) | 키보드 입력정보 보안장치 및 그 방법 |
| US8214645B2 (en) * | 2009-04-08 | 2012-07-03 | Research In Motion Limited | Systems, devices, and methods for securely transmitting a security parameter to a computing device |
| KR100917660B1 (ko) * | 2009-05-11 | 2009-09-18 | (주)비전소프트 | 연계아답터를 이용한 방화벽 단일포트를 통해 내부망과 외부망의 서버들 간의 네트워크 연결 시스템 |
| US20110075047A1 (en) * | 2009-09-29 | 2011-03-31 | Sony Corporation | Firewall port selection using atsc tuner signals |
| WO2012031112A2 (en) * | 2010-09-03 | 2012-03-08 | Time Warner Cable, Inc. | Methods and systems for managing a virtual data center with embedded roles based access control |
| US8914841B2 (en) * | 2010-11-24 | 2014-12-16 | Tufin Software Technologies Ltd. | Method and system for mapping between connectivity requests and a security rule set |
| US9191327B2 (en) | 2011-02-10 | 2015-11-17 | Varmour Networks, Inc. | Distributed service processing of network gateways using virtual machines |
| WO2013018025A1 (en) * | 2011-08-04 | 2013-02-07 | International Business Machines Corporation | Security policy enforcement |
| US9189636B2 (en) | 2012-07-30 | 2015-11-17 | Hewlett-Packard Development Company, L.P. | Office machine security policy |
| IL221975A (en) * | 2012-09-19 | 2015-02-26 | Tufin Software Technologies Ltd | A method and device for managing connectivity between resources in a computer network |
| EP2782311A1 (en) * | 2013-03-18 | 2014-09-24 | British Telecommunications public limited company | Methods of testing a firewall, and apparatus therefor |
| TW201505411A (zh) | 2013-07-31 | 2015-02-01 | Ibm | 用於規則式安全防護設備之規則解譯方法及設備 |
| US10768784B2 (en) * | 2013-12-06 | 2020-09-08 | Vivint, Inc. | Systems and methods for rules-based automations and notifications |
| KR101877655B1 (ko) | 2013-12-20 | 2018-07-11 | 맥아피, 엘엘씨 | 지능적 방화벽 액세스 규칙 |
| US9361432B2 (en) | 2014-01-15 | 2016-06-07 | Hewlett-Packard Development Company, L.P. | Configuring a security setting for a set of devices using a security policy |
| US10264025B2 (en) | 2016-06-24 | 2019-04-16 | Varmour Networks, Inc. | Security policy generation for virtualization, bare-metal server, and cloud computing environments |
| US10091238B2 (en) * | 2014-02-11 | 2018-10-02 | Varmour Networks, Inc. | Deception using distributed threat detection |
| US9973472B2 (en) | 2015-04-02 | 2018-05-15 | Varmour Networks, Inc. | Methods and systems for orchestrating physical and virtual switches to enforce security boundaries |
| US9467324B2 (en) * | 2014-05-12 | 2016-10-11 | Michael C. Wood | Firewall security for computers with internet access and method |
| US9882877B2 (en) * | 2014-05-12 | 2018-01-30 | Michael C. Wood | Transparent traffic control device and method for securing internet-connected devices |
| US9756135B2 (en) * | 2014-07-31 | 2017-09-05 | Ca, Inc. | Accessing network services from external networks |
| US9565216B2 (en) | 2014-10-24 | 2017-02-07 | At&T Intellectual Property I, L.P. | Methods, systems, and computer program products for security protocol selection in internet protocol multimedia subsystem networks |
| US10178070B2 (en) | 2015-03-13 | 2019-01-08 | Varmour Networks, Inc. | Methods and systems for providing security to distributed microservices |
| US9294442B1 (en) | 2015-03-30 | 2016-03-22 | Varmour Networks, Inc. | System and method for threat-driven security policy controls |
| US10193929B2 (en) | 2015-03-13 | 2019-01-29 | Varmour Networks, Inc. | Methods and systems for improving analytics in distributed networks |
| US9467476B1 (en) | 2015-03-13 | 2016-10-11 | Varmour Networks, Inc. | Context aware microsegmentation |
| US9438634B1 (en) | 2015-03-13 | 2016-09-06 | Varmour Networks, Inc. | Microsegmented networks that implement vulnerability scanning |
| US10009381B2 (en) | 2015-03-30 | 2018-06-26 | Varmour Networks, Inc. | System and method for threat-driven security policy controls |
| US9380027B1 (en) | 2015-03-30 | 2016-06-28 | Varmour Networks, Inc. | Conditional declarative policies |
| US9525697B2 (en) | 2015-04-02 | 2016-12-20 | Varmour Networks, Inc. | Delivering security functions to distributed networks |
| US9483317B1 (en) | 2015-08-17 | 2016-11-01 | Varmour Networks, Inc. | Using multiple central processing unit cores for packet forwarding in virtualized networks |
| US10191758B2 (en) | 2015-12-09 | 2019-01-29 | Varmour Networks, Inc. | Directing data traffic between intra-server virtual machines |
| US9680852B1 (en) | 2016-01-29 | 2017-06-13 | Varmour Networks, Inc. | Recursive multi-layer examination for computer network security remediation |
| US9762599B2 (en) | 2016-01-29 | 2017-09-12 | Varmour Networks, Inc. | Multi-node affinity-based examination for computer network security remediation |
| US9930029B2 (en) * | 2016-02-25 | 2018-03-27 | Nutanix, Inc. | Hypervisor agnostic bidirectional secure channel for guest agent transport |
| US9992233B2 (en) | 2016-03-14 | 2018-06-05 | Michael C. Wood | Enhanced firewall and method for securing internet communications |
| US9521115B1 (en) | 2016-03-24 | 2016-12-13 | Varmour Networks, Inc. | Security policy generation using container metadata |
| US10523635B2 (en) * | 2016-06-17 | 2019-12-31 | Assured Information Security, Inc. | Filtering outbound network traffic |
| US10755334B2 (en) | 2016-06-30 | 2020-08-25 | Varmour Networks, Inc. | Systems and methods for continually scoring and segmenting open opportunities using client data and product predictors |
| US10673890B2 (en) | 2017-05-30 | 2020-06-02 | Akamai Technologies, Inc. | Systems and methods for automatically selecting an access control entity to mitigate attack traffic |
| US10616280B2 (en) | 2017-10-25 | 2020-04-07 | Bank Of America Corporation | Network security system with cognitive engine for dynamic automation |
| US10437984B2 (en) | 2017-10-26 | 2019-10-08 | Bank Of America Corporation | Authentication protocol elevation triggering system |
| US10686684B2 (en) | 2017-11-02 | 2020-06-16 | Bank Of America Corporation | Individual application flow isotope tagging within a network infrastructure |
| TW201926108A (zh) * | 2017-12-04 | 2019-07-01 | 和碩聯合科技股份有限公司 | 網路安全系統及其方法 |
| US10909010B2 (en) | 2018-04-10 | 2021-02-02 | Nutanix, Inc. | Efficient data restoration |
| CN109255247B (zh) | 2018-08-14 | 2020-08-14 | 阿里巴巴集团控股有限公司 | 多方安全计算方法及装置、电子设备 |
| EP3627788A1 (de) | 2018-09-18 | 2020-03-25 | Siemens Aktiengesellschaft | Verfahren und vorrichtung zum konfigurieren eines zugangsschutzsystems |
| US11290493B2 (en) | 2019-05-31 | 2022-03-29 | Varmour Networks, Inc. | Template-driven intent-based security |
| US11290494B2 (en) | 2019-05-31 | 2022-03-29 | Varmour Networks, Inc. | Reliability prediction for cloud security policies |
| US11575563B2 (en) | 2019-05-31 | 2023-02-07 | Varmour Networks, Inc. | Cloud security management |
| US11310284B2 (en) | 2019-05-31 | 2022-04-19 | Varmour Networks, Inc. | Validation of cloud security policies |
| US11711374B2 (en) | 2019-05-31 | 2023-07-25 | Varmour Networks, Inc. | Systems and methods for understanding identity and organizational access to applications within an enterprise environment |
| US11863580B2 (en) | 2019-05-31 | 2024-01-02 | Varmour Networks, Inc. | Modeling application dependencies to identify operational risk |
| US11546301B2 (en) | 2019-09-13 | 2023-01-03 | Oracle International Corporation | Method and apparatus for autonomous firewall rule management |
| US11283830B2 (en) * | 2020-03-19 | 2022-03-22 | Cisco Technology, Inc. | Protecting device classification systems from adversarial endpoints |
| US11876817B2 (en) | 2020-12-23 | 2024-01-16 | Varmour Networks, Inc. | Modeling queue-based message-oriented middleware relationships in a security system |
| US11818152B2 (en) | 2020-12-23 | 2023-11-14 | Varmour Networks, Inc. | Modeling topic-based message-oriented middleware within a security system |
| US11777978B2 (en) | 2021-01-29 | 2023-10-03 | Varmour Networks, Inc. | Methods and systems for accurately assessing application access risk |
| US12050693B2 (en) | 2021-01-29 | 2024-07-30 | Varmour Networks, Inc. | System and method for attributing user behavior from multiple technical telemetry sources |
| US11764958B2 (en) | 2021-04-06 | 2023-09-19 | Capital One Services, Llc | Systems and methods for dynamically encrypting redirect requests |
| US11734316B2 (en) | 2021-07-08 | 2023-08-22 | Varmour Networks, Inc. | Relationship-based search in a computing environment |
Family Cites Families (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5835726A (en) * | 1993-12-15 | 1998-11-10 | Check Point Software Technologies Ltd. | System for securing the flow of and selectively modifying packets in a computer network |
| US5950195A (en) * | 1996-09-18 | 1999-09-07 | Secure Computing Corporation | Generalized security policy management system and method |
| US5987611A (en) * | 1996-12-31 | 1999-11-16 | Zone Labs, Inc. | System and methodology for managing internet access on a per application basis for client computers connected to the internet |
| US6453419B1 (en) * | 1998-03-18 | 2002-09-17 | Secure Computing Corporation | System and method for implementing a security policy |
| US6182226B1 (en) * | 1998-03-18 | 2001-01-30 | Secure Computing Corporation | System and method for controlling interactions between networks |
| US6304973B1 (en) * | 1998-08-06 | 2001-10-16 | Cryptek Secure Communications, Llc | Multi-level security network system |
| US6687353B1 (en) * | 1998-12-11 | 2004-02-03 | Securelogix Corporation | System and method for bringing an in-line device on-line and assuming control of calls |
| JP3659052B2 (ja) * | 1999-02-23 | 2005-06-15 | 株式会社日立製作所 | ネットワーク管理システム |
| JP2000324104A (ja) * | 1999-05-10 | 2000-11-24 | Matsushita Electric Works Ltd | バーチャル通信ネットワークにおけるセキュリティーポリシー設定方法、セキュリティーポリシーマネージャ及びこれを用いたバーチャル通信ネットワークシステム |
| US7047288B2 (en) * | 2000-01-07 | 2006-05-16 | Securify, Inc. | Automated generation of an english language representation of a formal network security policy specification |
| JP2001298449A (ja) * | 2000-04-12 | 2001-10-26 | Matsushita Electric Ind Co Ltd | セキュリティ通信方法、通信システム及びその装置 |
| JP2001358716A (ja) * | 2000-06-12 | 2001-12-26 | Nippon Telegr & Teleph Corp <Ntt> | 論理閉域網管理方法及び装置ならびにプログラムを記録した記録媒体 |
| US6826698B1 (en) * | 2000-09-15 | 2004-11-30 | Networks Associates Technology, Inc. | System, method and computer program product for rule based network security policies |
| JP2003018156A (ja) | 2001-06-28 | 2003-01-17 | Mitsubishi Electric Corp | Vpn運用管理装置 |
| US7546629B2 (en) * | 2002-03-06 | 2009-06-09 | Check Point Software Technologies, Inc. | System and methodology for security policy arbitration |
| US7159125B2 (en) * | 2001-08-14 | 2007-01-02 | Endforce, Inc. | Policy engine for modular generation of policy for a flat, per-device database |
| US6928553B2 (en) * | 2001-09-18 | 2005-08-09 | Aastra Technologies Limited | Providing internet protocol (IP) security |
| WO2003029916A2 (en) * | 2001-09-28 | 2003-04-10 | Bluesocket, Inc. | Method and system for managing data traffic in wireless networks |
| GB2380279B (en) * | 2001-10-01 | 2006-05-10 | Soundvoice Ltd | Computer firewall system and method |
| EP1634175B1 (en) * | 2003-05-28 | 2015-06-24 | Citrix Systems, Inc. | Multilayer access control security system |
| US7328451B2 (en) * | 2003-06-30 | 2008-02-05 | At&T Delaware Intellectual Property, Inc. | Network firewall policy configuration facilitation |
| US20050138416A1 (en) * | 2003-12-19 | 2005-06-23 | Microsoft Corporation | Object model for managing firewall services |
| US7461140B2 (en) * | 2003-12-19 | 2008-12-02 | Lsi Corporation | Method and apparatus for identifying IPsec security policy in iSCSI |
| US7441022B1 (en) * | 2004-03-12 | 2008-10-21 | Sun Microsystems, Inc. | Resolving conflicts between network service rule sets for network data traffic in a system where rule patterns with longer prefixes match before rule patterns with shorter prefixes |
| CA2467603A1 (en) * | 2004-05-18 | 2005-11-18 | Ibm Canada Limited - Ibm Canada Limitee | Visualization firewall rules in an auto provisioning environment |
| US20050268331A1 (en) * | 2004-05-25 | 2005-12-01 | Franck Le | Extension to the firewall configuration protocols and features |
| FR2872983A1 (fr) * | 2004-07-09 | 2006-01-13 | Thomson Licensing Sa | Systeme de pare-feu protegeant une communaute d'appareils, appareil participant au systeme et methode de mise a jour des regles de pare-feu au sein du systeme |
| US8595347B2 (en) * | 2004-09-30 | 2013-11-26 | Cisco Technology, Inc. | Method and apparatus for device based policy configuration in a network |
| US7581241B2 (en) * | 2005-07-15 | 2009-08-25 | Microsoft Corporation | Generating an outbound connection security policy based on an inbound connections security policy |
-
2005
- 2005-07-15 US US11/183,317 patent/US8056124B2/en active Active
-
2006
- 2006-07-13 JP JP2008521620A patent/JP4892554B2/ja not_active Expired - Fee Related
- 2006-07-13 EP EP06787203A patent/EP1905180A2/en not_active Withdrawn
- 2006-07-13 CN CNA2006800257067A patent/CN101238669A/zh active Pending
- 2006-07-13 KR KR1020087001180A patent/KR20080026177A/ko not_active IP Right Cessation
- 2006-07-13 WO PCT/US2006/027263 patent/WO2007011673A2/en active Application Filing
- 2006-07-14 TW TW095125911A patent/TW200713954A/zh unknown
-
2011
- 2011-11-08 US US13/292,018 patent/US8490153B2/en active Active
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101640614B (zh) * | 2009-09-03 | 2012-01-04 | 成都市华为赛门铁克科技有限公司 | 一种配置ipsec安全策略的方法及装置 |
| CN104978513A (zh) * | 2014-04-10 | 2015-10-14 | 晶心科技股份有限公司 | 硬件配置装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20120054825A1 (en) | 2012-03-01 |
| EP1905180A2 (en) | 2008-04-02 |
| US8490153B2 (en) | 2013-07-16 |
| WO2007011673A3 (en) | 2007-09-27 |
| JP4892554B2 (ja) | 2012-03-07 |
| US20070016945A1 (en) | 2007-01-18 |
| KR20080026177A (ko) | 2008-03-24 |
| TW200713954A (en) | 2007-04-01 |
| US8056124B2 (en) | 2011-11-08 |
| JP2009502052A (ja) | 2009-01-22 |
| WO2007011673A2 (en) | 2007-01-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101238669A (zh) | 自动生成连接安全规则 | |
| US6804777B2 (en) | System and method for application-level virtual private network | |
| US20060143700A1 (en) | Security System Providing Methodology for Cooperative Enforcement of Security Policies During SSL Sessions | |
| WO2004107646A1 (en) | System and method for application-level virtual private network | |
| US7581241B2 (en) | Generating an outbound connection security policy based on an inbound connections security policy | |
| CN102972005A (zh) | 交付认证方法 | |
| CN103069767B (zh) | 交付认证方法 | |
| Borselius | Multi-agent system security for mobile communication | |
| Yamada et al. | Access control for security and privacy in ubiquitous computing environments | |
| Corradi et al. | Security of mobile agents on the Internet | |
| Hirsch et al. | Security and Privacy Considerations for the OASIS Security Assertion Markup Language (SAML) V2. 0 | |
| Bellavista et al. | Security for mobile agents: Issues and challenges | |
| Bussard et al. | Trust and authorization in pervasive B2E scenarios | |
| Amdouni et al. | Exploring the flexibility of network access control in the recursive InterNetwork Architecture | |
| Arunkumar et al. | Policy extension for data access control | |
| Alliance | OMA Web Services Enabler (OWSER): Overview | |
| Suomalainen | Flexible security deployment in smart spaces | |
| Seamons et al. | Trust negotiation in dynamic coalitions | |
| Chandersekaran et al. | Enterprise delegation for service based systems | |
| McGhie | Web Services: Security | |
| Hodges et al. | Security and privacy considerations for the oasis security assertion markup language (saml) | |
| Vardjan et al. | Securing policy negotiation for socio-pervasive business microinteractions | |
| Alliance | OMA Web Services Enabler (OWSER): Core Specifications | |
| Fleischer et al. | Information Assurance for Global Information Grid (GIG) Net-Centric Enterprise Services | |
| Joshi et al. | Survey of Security in Service Oriented Architecture |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20080806 |