CN105765901A - 智能防火墙访问规则 - Google Patents
智能防火墙访问规则 Download PDFInfo
- Publication number
- CN105765901A CN105765901A CN201380081054.9A CN201380081054A CN105765901A CN 105765901 A CN105765901 A CN 105765901A CN 201380081054 A CN201380081054 A CN 201380081054A CN 105765901 A CN105765901 A CN 105765901A
- Authority
- CN
- China
- Prior art keywords
- dynamic object
- real
- data
- time data
- instruction
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 claims description 15
- 238000013500 data storage Methods 0.000 claims description 11
- 230000004044 response Effects 0.000 claims description 5
- 230000009471 action Effects 0.000 claims description 3
- 238000013481 data capture Methods 0.000 claims description 3
- 230000001360 synchronised effect Effects 0.000 abstract description 5
- 238000007726 management method Methods 0.000 description 17
- 238000010586 diagram Methods 0.000 description 14
- 238000005516 engineering process Methods 0.000 description 13
- 238000004891 communication Methods 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 230000002155 anti-virotic effect Effects 0.000 description 3
- 230000000712 assembly Effects 0.000 description 3
- 238000000429 assembly Methods 0.000 description 3
- 230000008859 change Effects 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000011156 evaluation Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 2
- 201000006549 dyspepsia Diseases 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000004899 motility Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000011218 segmentation Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- YGANSGVIUGARFR-UHFFFAOYSA-N dipotassium dioxosilane oxo(oxoalumanyloxy)alumane oxygen(2-) Chemical compound [O--].[K+].[K+].O=[Si]=O.O=[Al]O[Al]=O YGANSGVIUGARFR-UHFFFAOYSA-N 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 229910052627 muscovite Inorganic materials 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000035807 sensation Effects 0.000 description 1
- 241000894007 species Species 0.000 description 1
- 238000001228 spectrum Methods 0.000 description 1
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 210000000352 storage cell Anatomy 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/28—Databases characterised by their database models, e.g. relational or object models
- G06F16/282—Hierarchical databases, e.g. IMS, LDAP data stores or Lotus Notes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
- H04L43/062—Generation of reports related to network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/12—Network monitoring probes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
防火墙通过允许在防火墙规则中使用动态对象而提供了改进的网络安全,其中,所述动态对象对设备的变量集合进行评估。动态对象可以从实时数据源和非实时的数据库存进行更新。动态对象可以用于防火墙规则中的源和目的地中的一个或两者。在动态对象包括非实时数据的情况下,所述动态对象可以在可配置的基础上与所述非实时数据库存进行同步。通过使用动态对象,所述防火墙能够在所述规则中提供灵活性,以允许对用户拥有的和控制的设备进行控制。
Description
技术领域
在本文中所描述的实施例概括而言涉及网络安全,并且特别地涉及“带上你自己的设备”的环境中的智能防火墙访问规则。
背景技术
雇员在执行雇佣任务时越来越不受限于公司所提供的设备。由于越来越多的雇员将诸如智能电话和平板计算机之类的个人移动设备带到工作场所,以及在远程位置使用它们以用于连接回到办公室,常规的防火墙已经在定义用于控制这些设备对企业资源进行访问的规则的能力欠缺方面进行了抗争。
带上你自己的设备(BYOD)(也被称为带上你自己的技术(BYOT)、带上你自己的电话(BYOP)以及带上你自己的PC(BYOPC))是指准许雇员将个人拥有的移动设备(膝上型计算机、平板计算机、以及智能电话)带到其工作场所,并且使用那些设备来访问特许的公司信息和应用的政策。
根据一些源,BYOD在商业世界做出了显著的进展,其中,在诸如巴西和俄罗斯的高增长市场中的有大约75%的雇员并且在发达市场中有大约44%的雇员已经在工作中使用他们自己的技术,而无论公司政策是否明确地允许BYOD。一些人认为BYOD可以帮助雇员更加有生产力。其他人表示通过使用他们自己的设备,提高了雇员的士气并和方便性,并且使得公司看起来像一个灵活并且有吸引力的雇主。一些公司感觉BYOD甚至可以是吸引新的雇员的手段,一项调查显示,如果组织支持他们的设备,44%的求职者会更加正面地看待该组织。
常规的防火墙访问规则或策略已经依赖于诸如“允许IP地址X到网络Y中”和“拒绝用户X访问互联网”等之类的一维访问规则。这样的访问规则在BYOD环境中是不足的。
附图说明
图1是示出了根据现有技术的防火墙规则的表。
图2是示出了根据一个实施例的采用动态对象的防火墙规则的表。
图3是示出了根据一个实施例的用于创建动态对象的技术的方框图。
图4是示出了根据一个实施例的利用动态对象来确定匹配的条件的方框图。
图5是示出了根据一个实施例的利用动态对象来确定匹配的其他条件的方框图。
图6是示出了根据一个实施例的用于收集动态对象的数据的设备的网络的方框图。
图7是示出了根据一个实施例的用于定义动态对象的用户接口的屏幕截图。
图8是示出了根据一个实施例的用于对采用动态对象的规则进行评估的技术的流程图。
图9是示出了根据一个实施例的利用非实时数据库存(inventory)对动态对象进行同步的技术的流程图。
图10是示出了根据一个实施例的防火墙的元素的方框图。
图11是示出了根据一个实施例的在其中可以实现采用动态对象的防火墙的网络基础设施的方框图。
图12是示出了根据一个实施例的在其中可以实现采用动态对象的防火墙的可编程设备的方框图。
图13是示出了根据另一个实施例的在其中可以实现采用动态对象的防火墙的可编程设备的方框图。
具体实施方式
在以下的描述中,出于解释的目的,阐述了多个具体的细节以便提供对本发明的彻底的理解。然而显然,对本领域技术人员来说,本发明可以在没有这些具体的细节的情况下实践。在其他实例中,以方框图的形式示出了结构和设备以便避免使得本发明难以理解。对没有脚标或后缀的数字的引用被理解为对对应于所引用的数字的脚标和后缀的所有实例的引用。此外,在该公开中所使用的语言已经出于可读性和教导性目的而首要地被选择,并且可能不是被选择以阐明或划定发明主题,借助于必要的权利要求来确定这样的发明主题。在说明书中对“一个实施例”或“实施例”的引用意指结合该实施例所描述的特定的特征、结构或特性被包括在本发明的至少一个实施例中,并且对“一个实施例”或“实施例”的多个引用不应被理解为所有的都必须指同一个实施例。
如在本文中所使用的,术语“计算机系统”能够指单个计算机或在一起工作以执行被描述为在计算机系统上执行的或由计算机系统执行的功能的多个计算机。类似地,术语“可编程设备”可以指单个可编程设备或在一起工作以执行被描述为在可编程设备上执行的或由可编程设备执行的功能的多个可编程设备,并且术语“机器可读介质”能够指单个物理机器可读介质或一起对被描述为存储在机器可读介质上的材料进行存储的多个物理机器可读介质。
BYOD环境已经呈现出显著的安全问题。这些问题中的一些不是特定于BYOD环境的。例如,当诸如公司拥有的或雇员拥有的膝上型计算机的设备用于访问企业数据并且企业数据被留在该设备上(实质上是丢失了或被偷了)时,数据泄露可能发生。在BYOD环境中,离开公司的雇员不需要将其个人设备归还给公司,这可能引起数据在那些设备上的暴露。然而另外,利用常规的防火墙策略来对应当允许什么设备访问安全企业资源进行控制是非常难处理的。
如下文所公开的,在防火墙策略中经由多维访问规则对BYOD访问控制进行处置。例如,信息技术(IT)管理者能够经由防火墙访问规则来施加控制:
●允许所支持的移动设备运行具体的安全软件(例如,EndpointSecurity)以访问网络。(MCAFEE是McAfee公司的注册商标)。
●人力资源(HR)用户不被准许使用设备。(ANDROID是Google公司的注册商标)。
●智能电话不被允许使用端对端(P2P)应用。
●智能电话/平板计算机不被准许从有线网络进行访问(例如,防止某些人试图使用他或她的膝上型计算机作为热点)。
●只准许作为Active(AD)域的一部分并且运行企业认可的端点保护的机器来访问企业资源。(ACTIVEDIRECTORY是Microsoft公司的注册商标)。
通过允许如下文所描述的多维访问规则,能够根据在企业防火墙中所部署的的受信任的规则来管理BYOD访问。
常规的防火墙规则主要是一维的,并且通常涉及如在图1的规则集合100中所示出的元素。在该现有技术的图表中所示出的每个规则都包括规则属性(110)、源指示器(120)、目的地指示器(130)、应用(140)、时间(150)、方向(160)以及响应(170)。在行180中示出了针对每个的示例值。因此,源指示器120可以标识互联网协议(IP)地址(要么是IP版本4格式要么是IP版本6格式)、网络、组、用户和组、域名、国家等。类似地,目的地指示器130可以标识IP地址、网络、域名、国家、信誉等。应用140可以标识具体的应用(例如,Skype、Facebook)或应用类型(例如,端对端(P2P)聊天),或者文件传输协议(FTP)。时间150可以指示可应用该规则的时间,例如,工作日、周末、任何时间、或自定义的时间段。方向160可以指示规则是应用于入分组、出分组还是两者。响应170可以指示满足规则的效果,例如,准许业务流(traffic)、阻止业务流、重置接口、对业务流进行速率限制、隔离业务流、或捕获分组。
因此,例如,可以建立规则102-108。规则102将允许双向的网络业务流,其中IP地址10.20.30.0/24的源指示具有24位子网掩码的IPv4地址,目的地为数据中心中的任何地方,涉及所有应用,在一天中的任何时间。规则104将应用于与用户“JohnD”的源(在工作日期间发生的互联网的目的地)的向外聊天业务流。该业务流将被允许,但速率被限制。规则106将在工作时间期间阻止与受限区中的源和互联网的目的地的业务流,无论业务流的应用和方向如何。并且示例规则108将一直阻止与互联网的源和DMZ的目的地的向内FTP业务流。
在常规的防火墙规则中,IP、用户、域名、位置、信誉等的属性是内置的。没有办法提供如在图1中所示出的在常规规则中的基于上下文的限制,其将应用至例如安装有端点安全软件的所有Microsoft2008服务器,或者运行Android3.0或更低的操作系统的全部移动设备。(WINDOWS是Microsoft公司的注册商标)。
BYOD和消费化是流行的趋势,这是因为他们有助于提高工作效率,允许工作者使用他们自己的个人设备。因此防火墙管理员希望能够创建、监视、并且加强对与设备和用户相关联的丰富的上下文信息进行记录的访问策略。
图2是示出了根据一个实施例的规则集合的表,该实施例对源和目的地属性进行扩展以除了常规的源和目的地属性之外还包括如在规则集合200的行210中所示出的基于上下文的动态对象。因此例如,规则202应用于未安装端点安全软件的任何移动设备,阻止与数据中心的通信而无论应用、时间或方向如何。规则204阻止在工作日用于在运行X操作系统的人力资源部门中使用的对互联网的所有朝外的访问。规则206阻止由运行X操作系统的智能电话在工作时间期间通过任何P2P应用对互联网的访问。规则208准许作为ActiveDirectory的一部分并且运行杀毒程序的运行MicrosoftWindows的任何设备在任何时间访问DMZ,而无论应用如何。ActiveDirectory是由Microsoft实现的针对Windows域网络的目录服务。其被包括在大部分Windows服务器操作系统中。可以在规则中指定其他目录服务或其他类型的非实时数据的源。这些规则是图示性的并且仅仅作为示例,并且其他动态对象可以在规则集合中按需求被实现和指定,并且可以按需求使用其他规则属性。
在一些实施例中,可以由对网络分段上的业务流进行分析的装置(例如,McAfee网络安全传感器)来实时地创建在规则集合中所使用的动态对象。在其他实施例中,可以将动态对象与由非实时数据源维持的数据进行同步。规则集合中的动态对象为防火墙管理员在定义如何创建和维持对象方面提供灵活性,为BYOD控制提供灵活性。动态对象定义了对应于动态对象的设备的变量集合,而不是如常规的规则集合中的预先定义的静态的设备的集合。
由于他们是动态对象,因此仅仅定义待被放置在规则集合中的术语是不够的;动态对象必须被创建并且被给定含义。在各种实施例中,防火墙管理员可以配置各种数据源和条件以建立动态对象。图3是示出了创建动态对象的一些方式的方框图。
在图3中,方框310中的动态对象创建取决于对来自两种类型的源中的一种或两种的动态对象的数据的采集:实时学习(320)和非实时数据库存(330)。实时学习(320)涉及主动或被动搜集数据以用于实时地填充动态对象。通常通过对数据进行采集的硬件和软件监视器(例如,分析网络分段上的业务流的装置)中的一个或多个来获得这样的实时学习。监视可以是被动的(340),收集网络流指纹,或者是主动的(350),例如,如下文更加详细地描述的,由主动收集有用的数据的端点智能代理来采集数据。一旦被创建,动态对象就随着实时学习的发生而自动地实时更新。
非实时数据库存(330)数据是从可以在防火墙规则创建过程的控制之外的源中获得的数据。在典型的实施例中,数据是由于不同于防火墙规则的创建的原因而被获得的,并且被存储在可以由动态对象创建过程所访问的数据仓库中。非实时数据源可以按需求由运行防火墙的企业控制,或者可以由第三方控制。因为该数据是在动态对象创建过程之外被收集和存储的,可以在计划的基础上(例如,周期性地)提取用于创建和填充动态对象的数据。一旦创建了动态对象,就通过重新访问非实时数据库存并且在必要时基于非实时数据库存中的变化而更新动态对象来将非实时数据库存与动态对象进行同步。非实时数据库存可以取决于任何期望类型的数据源,包括文本文件360、数据库370、应用编程接口(API)380、或脚本390。当将动态对象与非实时数据库存进行同步时,对非实时数据库存针对期望的数据而被访问或查询,所述期望的数据接着可以被返回以填充动态对象310。
例如,考虑例如“mobile_devices_with_security”的动态对象,在图2的示例规则202中的动态对象。各种实施例可以允许如图4的方框图中所图示的由防火墙管理员配置的动态对象来进行填充。
在该示例中,动态对象410“mobile_devices_with_security”可以被配置为条件420-440的组合。在条件420中,实时学习可以用于发现设备与对应于移动设备的签名的图案相匹配。这些图案可以被内置到动态对象创建软件中,或者可以是用户定义的。在该示例中,该条件可以通过使用传输控制协议(TCP)的被动指纹识别、动态主机配置协议(DHCP)或超文本传输协议(HTTP)用户代理网络业务流来进行测试,寻找对应于移动设备的分组数据。被动指纹识别数据源的该列表是说明性的并且仅仅作为示例,并且除了主动获得的数据以外,还可以使用其他被动数据源和其它类型的网络业务流。
第二条件430确定网络业务流是否与对应于确认设备与安全供应商管理器服务器进行安全通信的签名的图案相匹配。第三条件440确定设备的IP地址是否处于针对安全管理的移动设备的IP地址的范围内。如果条件420以及条件430或条件440中的任何一个被满足,则移动设备被认为是具有安全性的移动设备,并且动态对象被对应于该设备的信息填充。
如在图4中所示出的,条件440可以取决于另一个动态对象,在该示例中,是“all_managed_mobile_devices”网络对象450(其是非实时数据库存对象)。因此,条件440也是非实时数据库存对象。在一些实施例中,可以基于任意层级的动态对象来定义动态对象,但是如果该层级中的任何对象为非实时数据库存对象,则动态对象也被认为是非实时数据库存对象。
如在图4中所示出的,all_managed_mobile_devices网络对象450提供关于已知对应于移动设备的IP地址的范围的信息。在方框460中,网络对象450包括用于在IP地址A.B.C.D,端口XYZ处,根据名为mobile_IP_addresses的数据库来填充网络对象的指令。网络对象450被定义为每120分钟与远程数据库进行同步。在同步之间发生在mobile_IP_addresses数据库中的变化将直到下一同步事件才反映在动态对象中。
图5是示出了动态对象配置的另一个示例的图表,在该情况中,动态对象510指的是作为ActiveDirectory的一部分并且运行杀毒程序的所有MicrosoftWindows设备,例如在图2的规则208中所使用的。两种条件用于定义动态对象510。条件520使用ActiveDirectory用户的非实时IP地址列表,将当前设备的IP地址与IP地址列表进行匹配,以确定该设备是否是作为ActiveDirectory的一部分的Windows机器。条件530是实时学习条件,其取决于从运行端点智能代理软件的端点接收实时信息,所述端点智能代理软件指示该设备是否运行杀毒软件。如果条件520和条件530两者都被满足,则当前设备与规则集合中的动态对象510相匹配。
图6是示出了根据一个实施例的采用动态对象的网络安全系统的方框图。网络安全管理器610提供基于如在图2中所图示的规则集合的防火墙服务。采用如上文所描述的实时学习条件的动态对象由网络安全管理器610防火墙功能所使用。网络安全管理器610可以按需求提供其他网络安全服务。
网络安全传感器620A、620B分别监视网络622A和622B上的网络业务流。将BYOD设备630(MicrosoftWindows设备)、640(设备)、650(服务器)、以及660(移动设备)连接至网络622A。(LINUX是LinusTorvalds的注册商标)。网络安全传感器620A可以捕获网络业务流流数据以提供针对由网络安全管理器610所使用的规则集合采用的动态对象的实时数据。此外,Windows设备630可以已经安装有代理软件,所述代理软件提供来自设备630的主动的或被动数据收集,实时地将该数据传递至网络安全传感器620A,以供在填充由网络安全管理器610所使用的动态对象时使用。
非实时数据源对如图6中所示出的网络安全管理器610也是可用的。这些可以包括针对ActiveDirectory690的登陆收集器、针对端点680的移动安全管理器,以及其他网络库存数据源670。网络安全管理器610可以查询或以其他方式获得来自这些非实时数据源的非实时数据,以用于填充由网络安全管理器610的规则集合使用的动态对象。任何期望的通信技术都可以在网络安全管理器610与非实时数据源670-690之间使用。网络安全管理器610可以在计划的基础(例如,可配置周期性基础)上,将其动态对象数据与非实时数据源670-690进行同步,或者可以按需求在非计划的事件驱动的基础上执行同步。
图7示出了针对实现使用动态对象的防火墙规则集合的网络安全管理器610的示例用户界面700。防火墙管理员用户可以启用和禁用规则集合中的可以采用动态对象要么作为源属性要么作为目的地属性(或两者)的规则。在该示例中,用户已经定义了在其中源属性是动态对象710的规则,指定其应用于不运行McAfeeAntivirus的智能电话和平板计算机。目的地720指示数据中心中的任何设备;应用730指示任何应用;并且响应740指示如果规则被满足,则将阻止网络业务流。
利用具有关于设备、用户、以及上下文的智能的网络安全管理器610,不能够创建在常规的防火墙规则集合中的采用动态对象的许多类型的规则可以被创建。例如,只允许运行特定安全软件的IOS设备来访问网络。可以在有线网络上禁止智能电话或平板计算机,阻止试图使用他或她的移动设备作为热点的某人。可以通过只准许具有适当安全保护的机器访问企业资源或网络,来在BYOD设备上增强企业安全策略。这些仅仅是由可以在针对防火墙的规则集合中所采用的动态上下文感知对象所提供的经增强的能力的示例。
在图7中所示出的用户界面除了允许管理员配置同步之外,还可以允许防火墙管理员查看与非实时数据库存进行同步的动态对象的同步状态。同步优选地是在每个动态对象基础上可配置的,并且日志文件或其他技术可以用于示出与非实时数据库存数据源交换的数据,以及提供关于同步的状态的信息,包括任何同步失败。
图8是示出了规则评估中的动态对象的使用的流程图。在规则采用多个动态对象的情况下,该技术可以针对每个动态对象按需求并行地或顺序地被执行。在方框810中,由规则采用的动态对象可以被评估。如果在方框820中动态对象是从实时数据源中获得其数据的动态对象,则在方框830中实时数据是从数据源中提取的,并且在方框840中动态对象是由标识对应于动态对象的设备的实时所数据填充的。任何期望的技术可以用于存储填充动态对象的数据,包括列表和查找表。例如,当被评估时动态对象可以得出与动态对象相匹配的当前在网络中的设备的IP地址的列表。在可替代的实施例中,实时数据源可以将数据发送至网络安全管理器610以用于在网络传感器620A、620B检测到与动态对象相关的改变的任何时间对动态对象进行更新,而不是当动态对象被评估时从实施数据源中提取数据。因此在一些实施例中,网络传感器620A、620B可以意识到由网络安全管理器610所管理的动态对象,而在其他实施例中,网络传感器只需要能够响应于来自网络安全管理器610的针对数据的实时请求。
如果动态对象不是实时对象或者是在实时更新完成之后,在方框850中使用经填充的动态对象来评估规则。如果如在方框860中所确定的,规则应用于由防火墙所考虑的网络业务流,则在方框870中采取规则动作,阻止业务流、准许业务流等。
图9是示出了动态对象与非实时数据库存数据源进行同步的流程图。在方框910中,如果被配置的同步时间已经发生,例如经过周期时间或在经配置的事件发生之后,则在方框920中可以从在动态对象配置中所标识的非实时数据库存中请求经更新的数据。尽管被描述为针对经更新的数据的请求,但是在备选实施例中,不是对非实时数据库存进行的请求,而是非实时数据库存可以发起数据传输。
在方框930中,一旦从非实时数据库存已经获得了经更新的数据,则经更新的数据用于填充动态对象,类似于实时动态对象如何如上所述地被更新。在一个实施例中,针对动态对象的所填充的数据被相同地存储,而无论动态对象是实时地更新的还是通过利用非实时数据库存的同步而更新的。
经填充的数据对象可以接着被用于规则评估,其带有直到下一同步时间或事件为止都保持相同的数据。
图10是示出了根据一个实施例的实现如上所述的动态对象规则技术的防火墙1000的元件的方框图。防火墙可以被实现为专用装置设备或者可以被实现为执行其他网络安全操作的较宽泛的网络安全管理器设备的元件。只有与上文的公开具体地相关的那些防火墙的元件在图10中被示出;本领域技术人员将理解可以存在其他防火墙元件。
网络接口1010提供针对防火墙到其保护的网络或多个网络的网络连通性。可以按需求提供多个网络接口1010。在一些实施例中,防火墙可以使用一个网络接口1010以用于监视网络业务流,并且不同的网络接口可以用于访问非实时数据库存设备,以收集用于在填充动态对象中使用的非实时数据。在其他实施例中,相同的网络接口可以用于两者。类似地,防火墙可以使用一个网络接口1010以用于监视网络业务流,以及不同的网络接口以收集用于在填充动态对象中使用的实时数据。
规则引擎1020提供对评估控制由防火墙1000对何种业务流进行阻止、允许等的防火墙规则的支持。在一个实施例中,规则引擎1020包括用于评估防火墙规则的规则评估器模块1021、用于评估动态对象(所述动态对象被配置以评估由规则评估器模块1021所使用的动态对象)的动态对象评估器1022、用于获得实时数据以供在填充动态对象中使用的实时数据收集器1023、用于与非实时数据库存源进行同步的非实时数据收集器1024,以及用于利用实时数据、非实时数据或两者创建和填充动态对象的动态对象创建器模块1025。
规则数据储存库1030可以用于存储规则数据。可以使用用于存储包括动态对象数据在内的规则数据的任何期望的方式。可以以任何期望的方式来组织规则数据储存库1030。动态对象创建器模块可以将动态对象存储在规则数据储存库1030中以供与防火墙规则一起使用。
用户接口1040可以被提供以用于创建和编辑防火墙规则,包括动态对象。在这点上,动态对象定义器1042可以被提供以用于定义动态对象,包括需要被满足以在规则评估时间与动态对象相匹配的条件。
可以以硬件、固件、软件或其任何组合来实现规则引擎1020和用户接口1040。
现在参考图11,示意性地示出了其中可以实现上文所描述的技术的示例基础设施1100。基础设施1100包含计算机网络1102,所述计算机网络1102能够由使用具有如上所述的动态对象的规则集合的防火墙来保护。计算机网络1102可以包括现今可用的许多不同类型的计算机网络,例如,互联网、企业网络、或局域网(LAN)。这些网络中的每个都可以包含有线的或无线的可编程设备,并且使用任何数目的网络协议(例如,TCP/IP)来进行操作。网络1102可以被连接至网关和路由器(由1108表示)、终端用户计算机1106、以及计算机服务器1104。基础设施1100也包括用于与移动通信设备一起使用的蜂窝网络1103。移动蜂窝网络支持移动电话和许多其他类型的设备。基础设施1100中的移动设备被示出为移动电话1110、膝上型计算机112、以及平板计算机1114。图11中所示出的设备中的任何一个都可以是BYOD设备,尽管通常BYOD设备是诸如移动电话1110、膝上型计算机112、和平板计算机1114之类的移动设备。防火墙1120保护到计算机网络1002和来自计算机网络1002的访问。
现在参考图12,方框图示出了根据一个实施例的可以采用如上所述的通用拆包技术的可编程设备1200。图12中所示出的可编程设备是多处理器可编程设备1200,其包括第一处理元件1270和第二处理元件1280。尽管示出了两个处理元件1270和1280,可编程设备1200的实施例也可以包括仅仅一个这样的处理元件。
可编程设备1200被示出为点对点互连系统,其中,第一处理元件1270和第二处理元件1280经由点对点互连1250被耦合。图12中所示出的互连中的任何一个或全部都可以被实现为多点分支总线而不是点对点互连。
如在图12中所示出的,处理元件1270和1280中的每个都可以是多核处理器,包括第一处理器核心和第二处理器核心(即,处理器核心1274a和1274b以及处理器核心1284a和1284b)。这样的核心1274a、1274b、1284a、1284b可以被配置以与在上文中结合图1-3所讨论的类似的方式来执行指令代码。然而,其他实施例可以按需求使用作为单核处理器的处理元件。在具有多个处理元件1270、1280的实施例中,每个处理元件可以按需求被实现为具有不同数量的核心。
每个处理元件1270、1280可以包括至少一个共享的高速缓存1246。共享的高速缓存1246a、1246b可以存储分别由处理元件的一个或多个组件利用的数据(例如,指令),所述一个或多个组件例如,核心1274a、1274b以及1284a、1284b。例如,共享的高速缓存可以将存储在存储器1232、1234中的数据本地地进行缓存,以供处理元件1270、1280的组件更快地进行访问。在一个或多个实施例中,共享的高速缓存1246a、1246b可以包括一个或多个中级高速缓存,例如,级别2(L2)、级别3(L3)、级别4(L4)或其他级别的高速缓存、末级高速缓存(LLC)或其组合。
尽管出于简化附图的目的,图12示出了具有两个处理元件1270、1280的可编程设备,但是本发明的范围不限于此并且可以存在任何数量的处理元件。可替代地,处理元件1270、1280中的一个或多个可以是元件而不是处理器,例如,图形处理单元(GPU)、数字信号处理(DSP)单元、现场可编程门阵列、或任何其他可编程处理元件。处理元件1280可以是异构的或者与处理元件1270不对称的。以包括架构、微架构、热、功耗特性等的优点的度量谱的形式,处理元件1270、1280之间存在各种差异。这些差异可以有效地表明其自身在处理元件1270、1280之间的不对称和异构性。在一些实施例中,各种处理元件1270、1280可以驻留在同一管芯封装中。
第一处理元件1270还可以包括存储器控制器逻辑(MC)1272和点对点(P-P)互连1276和1278。类似地,第二处理元件1280可以包括MC1282和P-P互连1286和1288。如在图12中所示出的,MC1272和1282将处理元件1270、1280耦合至相应的存储器,即,存储器1232和存储器1234,所述存储器1232和所述存储器1234可以是本地地附接至相应的处理器的主存储器的部分。尽管MC逻辑1272和1282被示出为被集成到处理元件1270、1280中,但是在一些实施例中,MC逻辑可以是处理元件1270、1280外部的分立逻辑,而不是被集成在处理元件1270、1280中。
处理元件1270和处理元件1280可以分别经由P-P互连1276、1286和1284而被耦合至I/O子系统1290。如在图12中所示出的,I/O子系统1290包括P-P互连1294和1298。此外,I/O子系统1290包括用于将I/O子系统1290与高性能图形引擎1238进行耦合的接口1292。在一个实施例中,总线1249可以用于将图形引擎1238耦合至I/O子系统1290。可替代地,点对点互连1239可以耦合这些组件。
进而,I/O子系统1290可以经由接口1296被耦合至第一链路1216。在一个实施例中,第一链路1216可以是外围组件互连(PCI)总线或者诸如PCI快速总线或另一I/O互连总线之类的总线,尽管本发明的范围不限于此。
如在图12中所示出的,各种I/O设备1214可以与桥接器1218一起被耦合至第一链路1216,其中桥接器1218可以将第一链路1216耦合至第二链路1210。在一个实施例中,第二链路1220可以是低管脚数(LPC)总线。在一个实施例中,各种设备可以被耦合至第二链路1220,所述各种设备包括例如键盘/鼠标1212、通信设备1226(其可以进而与计算机网络1203进行通信)、以及数据存储单元1228(诸如可以包括代码1230的磁盘驱动器或其他大容量存储设备)。代码1230可以包括用于执行上文所描述的技术中的一个或多个的实施例的指令。此外,音频I/O1224可以被耦合至第二总线1220。
应当注意的是可以构想其他实施例。例如,代替图12的点对点架构,系统可以实现多点分支总线或者另一个这样的通信拓扑结构。尽管在图12中链路1216和1220被示出为总线,但是可以使用任何期望的类型的链路。而且,可以可选地使用更多或更少的集成芯片而不是在图12中所示出的那样来对图12的元件进行分割。
现在参考图13,方框图示出了根据另一个实施例的可编程设备1300。已经从图13中省略了图12的某些方面以便避免使得图13的其他方面难以理解。
图13示出了处理元件1370、1380可以分别包括集成的存储器和I/O控制逻辑(“CL”)1372和1382。在一些实施例中,CL1372、1382可以包括例如结合图12在上文中所描述的存储器控制逻辑(MC)。此外,CL1372、1382还可以包括I/O控制逻辑。图13示出了不仅存储器1332、1334可以被耦合至CL1372、1382,而且I/O设备1314也可以被耦合至控制逻辑1372、1382。旧有I/O设备1315可以被耦合至I/O子系统1390。
在图12和图13中所描绘的可编程设备是可以被利用以实现在本文中所讨论的各种实施例的可编程设备的实施例的示意性说明。应当理解的是,在图12和图13中所描绘的可编程设备的各种组件可以在片上系统(SoC)架构中进行组合。
示例
以下示例关于进一步的实施例。
示例1是在其上存储有指令的机器可读介质,所述指令包括当被执行时使得防火墙设备执行以下操作的指令:创建动态对象以供在防火墙规则中使用,所述动态对象定义设备的变量组;用从防火墙外部的源中所接收到的数据来填充动态对象;以及作为评估防火墙规则的部分来评估动态对象。
示例2包括示例1的主题,其中,当被执行时使得防火墙设备填充动态对象的指令包括当被执行时使得防火墙设备执行以下操作的指令:从实时数据源接收设备数据,以及用所接收到的设备数据来填充动态对象。
示例3包括示例2的主题,其中,当被执行时使得防火墙设备从实时数据源中接收设备数据的指令包括当被执行时使得防火墙设备执行以下操作的指令:从对网络进行监视的网络安全设备中请求设备数据。
示例4包括示例1的主题,其中,当被执行时使得防火墙设备填充动态对象的指令包括当被执行时使得防火墙设备执行以下操作的指令:从非实时数据库存中接收设备数据;以及用所接收到的设备数据来填充动态对象。
示例5包括示例1的主题,其中,当被执行时使得防火墙设备从非实时数据库存中接收设备数据的指令包括当被执行时使得防火墙设备执行以下操作的指令:将动态对象与非实时数据库存进行同步。
示例6包括示例1的主题,其中,当被执行时使得防火墙设备从非实时数据库存中接收设备数据的指令包括当被执行时使得防火墙设备执行以下操作的指令:针对设备信息而查询非实时数据库存。
示例7包括示例1-6的主题,其中,指令还包括当被执行时使得防火墙设备执行以下操作的指令:提供用于定义动态对象并定义采用动态对象的规则的用户接口。
示例8包括示例1的主题,其中,动态对象对设备的变量集合进行评估。
示例9包括示例1的主题,其中,当被执行时使得防火墙设备填充动态对象的指令包括当被执行时使得防火墙设备执行以下操作的指令:从实时数据源中接收设备数据;以及用所接收到的设备数据来填充动态对象,
其中,当被执行时使得防火墙设备从实时数据源中接收设备数据的指令可选地包括当被执行时使得防火墙设备执行以下操作的指令:从对网络进行监视的网络安全设备中请求设备数据。
示例10包括示例1的主题,其中,当被执行时使得防火墙设备填充动态对象的指令包括当被执行时使得防火墙设备执行以下操作的指令:从非实时数据库存中接收设备数据;以及利用所接收到的设备数据来填充动态对象,其中,当被执行时使得防火墙设备从非实时数据库存接收设备数据的指令包括当被执行时使得防火墙设备执行以下操作的指令:将动态对象与非实时数据库存进行同步。
示例11是提供了网络的防火墙的方法,包括:定义采用动态对象的防火墙规则,所述动态对象定义了对应的设备的变量集合;根据实时数据源和非实时数据库存中的至少一个来填充动态对象的变量集合;以及作为评估防火墙规则的部分来将对应于网络业务流的设备与动态对象进行匹配。
示例12包括示例11的主题,还包括:响应于对防火墙规则进行评估而采取动作。
示例13包括示例11-12的主题,还包括:将动态对象与设备信息的非实时数据库存进行同步。
示例14包括示例13的主题,其中,将动态对象与设备信息的非实时数据库存进行同步包括:查询非实时数据库存;以及利用通过查询非实时数据库存所获得的结果来更新动态对象。
示例15包括示例11-12的主题,还包括:获得实时设备信息;以及根据实时设备信息来填充动态对象。
示例16包括示例15的主题,其中,获得实时设备信息包括:从被动监视网络流的设备中获得设备信息。
示例17是包括用于执行在示例11-16中所描述的方法的单元的防火墙装置。
示例18是防火墙,包括:网络接口;耦合至该网络接口的规则引擎,该规则引擎包括:规则评估器模块,其被配置以评估包括动态对象的规则的;动态对象评估器模块,其被配置以评估用于由规则评估器模块使用的动态对象;实时数据收集器,其被配置以从实时数据源中获得数据;非实时数据收集器,其被配置以从非实时数据库存中获得数据;以及动态对象创建器模块,其被配置以利用实时数据和非实时数据中的一个或多个来创建并填充动态对象;以及,耦合至规则引擎的规则数据储存库。
示例19包括示例18的主题,还包括:用户接口,其包括:动态对象定义器,其被配置以定义动态对象以供与防火墙规则一起使用。
示例20包括示例18-19的主题,其中,动态对象包括与实时数据或非实时数据相关联的一个或多个条件。
示例21包括示例18-19的主题,其中,动态对象创建器模块将动态对象存储在规则数据储存库中。
示例22包括示例18的主题,还包括:用户接口,其包括:动态对象定义器,其被配置以定义动态对象以供与防火墙规则一起使用,其中,所述动态对象包括与实时数据或非实时数据相关联的一个或多个条件,并且其中,动态对象创建器模块将动态对象存储在规则数据储存库中。
示例23是用于利用防火墙来保护网络的系统,其包括:网络设备数据的实时源;网络设备数据的非实时源;防火墙,其包括:处理器;防火墙规则数据储存库,其被耦合至该处理器;以及存储器,其被耦合至该处理器,在该存储器上存储有指令,当所述指令被执行时使得处理器执行以下操作:创建动态对象以供在防火墙规则中使用,所述动态对象定义了设备的变量组;根据从网络设备数据的实时源和网络设备数据的非实时源中的一个或多个中所接收到的数据来填充动态对象;以及作为评估采用动态对象的防火墙规则的部分来评估动态对象。
示例24包括示例23的主题,其中,网络设备数据的实时源包括被动地对网络进行监视的网络安全设备。
示例25包括示例23的主题,其中,网络设备数据的非实时源包括针对端点设备的移动安全管理器。
示例26包括示例23的主题,其中,网络设备数据的非实时源包括针对目录服务的登陆收集器。
示例27包括示例23-26的主题,其中,被存储在存储器上的指令还包括当被执行时使得处理器执行以下操作的指令:提供用于定义动态对象并定义采用动态对象的规则的用户接口。
示例28包括示例23-26的主题,其中,当被执行时使得处理器填充动态对象的指令包括当被执行时使得处理器执行以下操作的指令:将动态对象与非实时数据源进行同步。
示例29是防火墙设备,包括:用于创建动态对象以供在防火墙规则中使用的单元,所述动态对象定义了设备的变量组;用于用从在防火墙外部的源中所接收到的数据来填充动态对象的单元;以及用于作为评估防火墙规则的部分来评估动态对象的单元。
示例30包括示例29的主题,其中,用于填充动态对象的单元包括:用于从实时数据源中接收设备数据的单元;以及用于用所接收到的设备数据来填充动态对象的单元。
示例31包括示例30的主题,其中,用于从实时数据源中接收设备数据的单元包括:用于从对网络进行监视的网络安全设备中请求设备数据的单元。
示例32包括示例29的主题,其中,用于填充动态对象的单元包括:用于从非实时数据库存中接收设备数据的单元;以及用于用所接收到的设备数据来填充动态对象的单元。
示例33包括示例29的主题,其中,用于从非实时数据库存中接收设备数据的单元包括:用于将动态对象与非实时数据库存进行同步的单元。
示例34包括示例29的主题,其中,用于从非实时数据库存中接收设备数据的单元包括:用于针对设备信息而查询非实时数据库存的单元。
示例35包括示例29-34的主题,包括:用于提供用于定义动态对象并且定义采用动态对象的规则的用户接口的单元。
示例36包括示例29的主题,其中,动态对象对设备的变量集合进行评估。
应当理解的是,上文的描述旨在是说明性的而非限制性的。例如,可以将上文所描述的实施例彼此组合来使用。对本领域技术人员来说,在审阅了以上的说明之后,许多其他的实施例将是显而易见的。因此应当参考所附权利要求以及这样的权利要求授权的等价物的完整范围,来确定本发明的范围。
Claims (25)
1.一种其上存储有指令的机器可读介质,包括当被执行时使得防火墙设备执行以下操作的指令:
创建动态对象以供在防火墙规则中使用,所述动态对象定义了设备的变量组;
根据从所述防火墙外部的源中所接收到的数据对所述动态对象进行填充;以及
作为评估所述防火墙规则的部分来评估所述动态对象。
2.根据权利要求1所述的机器可读介质,其中,当被执行时使得所述防火墙设备填充所述动态对象的所述指令包括当被执行时使得所述防火墙设备执行以下操作的指令:
从实时数据源中接收设备数据;以及
用所接收到的设备数据来填充所述动态对象。
3.根据权利要求2所述的机器可读介质,其中,当被执行时使得所述防火墙设备从实时数据源中接收设备数据的所述指令包括当被执行时使得所述防火墙设备执行以下操作的指令:
从对网络进行监视的网络安全设备中请求设备数据。
4.根据权利要求1所述的机器可读介质,其中,当被执行时使得所述防火墙设备填充所述动态对象的所述指令包括当被执行时使得所述防火墙设备执行以下操作的指令:
从非实时数据库存中接收设备数据;以及
用所接收到的设备数据填充所述动态对象。
5.根据权利要求1所述的机器可读介质,其中,当被执行时使得所述防火墙设备接收来自非实时数据库存的设备数据的所述指令包括当被执行时使得所述防火墙设备执行以下操作的指令:
将所述动态对象与所述非实时数据库存进行同步。
6.根据权利要求1所述的机器可读介质,其中,当被执行时使得所述防火墙设备从非实时数据库存中接收设备数据的所述指令包括当被执行时使得所述防火墙设备执行以下操作的指令:
针对设备信息而查询非实时数据库存。
7.根据权利要求1-6中的任何一项所述的机器可读介质,其中,所述指令还包括当被执行时使得所述防火墙设备执行以下操作的指令:
提供用于定义动态对象以及定义采用动态对象的规则的用户接口。
8.根据权利要求1所述的机器可读介质,其中,所述动态对象针对设备的变量集合进行评估。
9.一种提供网络的防火墙的方法,包括:
定义采用动态对象的防火墙规则,所述动态对象定义了对应的设备的变量集合;
根据实时数据源和非实时数据库存中的至少一个来填充所述动态对象的所述变量集合;以及
作为评估所述防火墙规则的部分来将对应于网络业务流的设备与所述动态对象进行匹配。
10.根据权利要求9所述的方法,还包括:
响应于评估所述防火墙规则而采取动作。
11.根据权利要求9-10中的任何一项所述的方法,还包括:
将所述动态对象与设备信息的非实时数据库存进行同步。
12.根据权利要求11所述的方法,其中,将所述动态对象与设备信息的非实时数据库存进行同步包括:
查询所述非实时数据库存;以及
利用通过查询所述非实时数据库存所获得的结果来更新所述动态对象。
13.根据权利要求9-10中的任何一项所述的方法,还包括:
获得实时设备信息;以及
用所述实时设备信息来填充所述动态对象。
14.根据权利要求13所述的方法,其中,获得实时设备信息包括:
从被动地对网络流进行监视的设备中获得设备信息。
15.一种防火墙装置,其包括用于执行如权利要求9-14中的任何一项所述的方法的单元。
16.一种防火墙,包括:
网络接口;
耦合至所述网络接口的规则引擎,其包括:
规则评估器模块,其被配置以评估包括动态对象的规则;
动态对象评估器模块,其被配置以评估用于由所述规则评估器模块使用的动态对象;
实时数据收集器,其被配置以从实时数据源中获得数据;
非实时数据收集器,其被配置以从非实时数据库存中获得数据;以及
动态对象创建器模块,其被配置以用实时数据和非实时数据中的一个或多个来创建和填充动态对象;以及
耦合至所述规则引擎的规则数据储存库。
17.根据权利要求16所述的防火墙,还包括:
用户接口,其包括:
动态对象定义器,其被配置为定义动态对象以供与防火墙规则一起使用。
18.根据权利要求16-17中的任何一项所述的防火墙,其中,所述动态对象包括与实时数据或非实时数据相关联的一个或多个条件。
19.根据权利要求16-17中的任何一项所述的防火墙,其中,所述动态对象创建器模块将动态对象存储在所述规则数据储存库中。
20.一种用于利用防火墙来保护网络的系统,包括:
网络设备数据的实时源;
网络设备数据的非实时源;
防火墙,其包括:
处理器;
耦合至所述处理器的防火墙规则数据储存库;以及
耦合至所述处理器的存储器,所述存储器上存储有当被执行时使得所述处理器执行以下操作的指令:
创建动态对象以供在防火墙规则中使用,所述动态对象定义了设备的变量组;
根据从网络设备数据的所述实时源和网络设备数据的所述非实时源中的一个或多个中所接收到的数据来填充所述动态对象;以及
作为评估采用所述动态对象的所述防火墙规则的部分来评估所述动态对象。
21.根据权利要求20所述的系统,其中,网络设备数据的所述实时源包括被动地对网络进行监视的网络安全设备。
22.根据权利要求20所述的系统,其中,网络设备数据的所述非实时源包括针对端点设备的移动安全管理器。
23.根据权利要求20所述的系统,其中,网络设备数据的所述非实时源包括针对目录服务的登陆收集器。
24.根据权利要求20-23中的任何一项所述的系统,其中,存储在所述存储器上的指令还包括当被执行时使得所述处理器执行以下操作的指令:
提供用于定义动态对象以及定义采用动态对象的规则的用户接口。
25.根据权利要求20-23中的任何一项所述的系统,其中,当被执行时使得所述处理器填充所述动态对象的所述指令包括当被执行时使得所述处理器执行以下操作的指令:
将所述动态对象与所述非实时数据源进行同步。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/US2013/077233 WO2015094372A1 (en) | 2013-12-20 | 2013-12-20 | Intelligent firewall access rules |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105765901A true CN105765901A (zh) | 2016-07-13 |
| CN105765901B CN105765901B (zh) | 2019-11-08 |
Family
ID=53403451
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380081054.9A Active CN105765901B (zh) | 2013-12-20 | 2013-12-20 | 智能防火墙访问规则 |
Country Status (6)
| Country | Link |
|---|---|
| US (3) | US10367787B2 (zh) |
| EP (1) | EP3085013B1 (zh) |
| JP (1) | JP6329267B2 (zh) |
| KR (1) | KR101877655B1 (zh) |
| CN (1) | CN105765901B (zh) |
| WO (1) | WO2015094372A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111095862A (zh) * | 2017-09-12 | 2020-05-01 | 新纳聚克斯集团 | 基于动态ip地址修改防火墙的方法、系统和介质 |
| US20200314066A1 (en) * | 2019-03-29 | 2020-10-01 | Cloudflare, Inc. | Validating firewall rules using data at rest |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101877655B1 (ko) | 2013-12-20 | 2018-07-11 | 맥아피, 엘엘씨 | 지능적 방화벽 액세스 규칙 |
| US10193863B2 (en) | 2016-10-07 | 2019-01-29 | Microsoft Technology Licensing, Llc | Enforcing network security policy using pre-classification |
| US10063519B1 (en) * | 2017-03-28 | 2018-08-28 | Verisign, Inc. | Automatically optimizing web application firewall rule sets |
| US10778645B2 (en) | 2017-06-27 | 2020-09-15 | Microsoft Technology Licensing, Llc | Firewall configuration manager |
| US11128530B2 (en) | 2018-03-29 | 2021-09-21 | Hewlett Packard Enterprise Development Lp | Container cluster management |
| US10848552B2 (en) * | 2018-03-29 | 2020-11-24 | Hewlett Packard Enterprise Development Lp | Determining whether to perform address translation to forward a service request or deny a service request based on blocked service attributes in an IP table in a container-based computing cluster management system |
| RU2746101C2 (ru) * | 2019-09-30 | 2021-04-07 | Акционерное общество "Лаборатория Касперского" | Система и способ определения устройств компьютерной сети с использованием правил инвентаризации |
| KR102518505B1 (ko) * | 2022-10-25 | 2023-04-05 | 주식회사 프랭클린테크놀로지 | 인터넷 및 애플리케이션의 사용 제한을 위한 스케줄 제어를 수행하는 전자 단말 장치 및 그 동작 방법 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0909074A1 (en) * | 1997-09-12 | 1999-04-14 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with multiple domain support |
| US20100333165A1 (en) * | 2009-06-24 | 2010-12-30 | Vmware, Inc. | Firewall configured with dynamic membership sets representing machine attributes |
Family Cites Families (30)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6816455B2 (en) * | 2001-05-09 | 2004-11-09 | Telecom Italia S.P.A. | Dynamic packet filter utilizing session tracking |
| US7159125B2 (en) | 2001-08-14 | 2007-01-02 | Endforce, Inc. | Policy engine for modular generation of policy for a flat, per-device database |
| US7467142B2 (en) * | 2002-07-11 | 2008-12-16 | Oracle International Corporation | Rule based data management |
| JP2005071218A (ja) | 2003-08-27 | 2005-03-17 | Nec Fielding Ltd | 不正アクセス防御システム、ポリシ管理装置、不正アクセス防御方法、及びプログラム |
| JP4271062B2 (ja) | 2004-03-09 | 2009-06-03 | 日本電信電話株式会社 | 移動情報通信対応認証連携型分散ファイアウォールシステム、ファイアウォール装置、およびセキュリティポリシ管理サーバ |
| US7760882B2 (en) | 2004-06-28 | 2010-07-20 | Japan Communications, Inc. | Systems and methods for mutual authentication of network nodes |
| WO2006093917A2 (en) * | 2005-02-28 | 2006-09-08 | Trust Digital | Mobile data security system and methods |
| JP4005090B2 (ja) | 2005-03-16 | 2007-11-07 | 東日本電信電話株式会社 | 通信プロファイル自動配布設定システムおよび方法ならびに管理装置、プログラム |
| US8056124B2 (en) * | 2005-07-15 | 2011-11-08 | Microsoft Corporation | Automatically generating rules for connection security |
| US20070083924A1 (en) * | 2005-10-08 | 2007-04-12 | Lu Hongqian K | System and method for multi-stage packet filtering on a networked-enabled device |
| GB0620855D0 (en) * | 2006-10-19 | 2006-11-29 | Dovetail Software Corp Ltd | Data processing apparatus and method |
| US7937353B2 (en) | 2007-01-15 | 2011-05-03 | International Business Machines Corporation | Method and system for determining whether to alter a firewall configuration |
| CA2680231A1 (en) | 2007-03-05 | 2009-05-14 | Yoggie Security Systems Ltd. | System and method for providing data and device security between external and host devices |
| US8365272B2 (en) | 2007-05-30 | 2013-01-29 | Yoggie Security Systems Ltd. | System and method for providing network and computer firewall protection with dynamic address isolation to a device |
| US20100324945A1 (en) * | 2009-05-12 | 2010-12-23 | Ronald Paul Hessing | Data insurance system based on dynamic risk management |
| US9047441B2 (en) * | 2011-05-24 | 2015-06-02 | Palo Alto Networks, Inc. | Malware analysis system |
| US8839404B2 (en) * | 2011-05-26 | 2014-09-16 | Blue Coat Systems, Inc. | System and method for building intelligent and distributed L2-L7 unified threat management infrastructure for IPv4 and IPv6 environments |
| US9457927B2 (en) * | 2012-09-29 | 2016-10-04 | ShotWater, Inc. | Multi-chamber beverage container and cap |
| US10277465B2 (en) * | 2013-01-22 | 2019-04-30 | Proofpoint, Inc. | System, apparatus and method for dynamically updating the configuration of a network device |
| US9460417B2 (en) * | 2013-03-15 | 2016-10-04 | Futurewei Technologies, Inc. | Using dynamic object modeling and business rules to dynamically specify and modify behavior |
| US9338134B2 (en) * | 2013-03-27 | 2016-05-10 | Fortinet, Inc. | Firewall policy management |
| US20160057168A1 (en) * | 2013-04-15 | 2016-02-25 | Tactegic Holdings Pty Limited | System and methods for efficient network security adjustment |
| US10341296B2 (en) * | 2013-09-13 | 2019-07-02 | Vmware, Inc. | Firewall configured with dynamic collaboration from network services in a virtual network environment |
| KR101877655B1 (ko) | 2013-12-20 | 2018-07-11 | 맥아피, 엘엘씨 | 지능적 방화벽 액세스 규칙 |
| US9215214B2 (en) * | 2014-02-20 | 2015-12-15 | Nicira, Inc. | Provisioning firewall rules on a firewall enforcing device |
| US9871823B2 (en) * | 2014-12-23 | 2018-01-16 | Intel Corporation | Techniques to deliver security and network policies to a virtual network function |
| US9609023B2 (en) * | 2015-02-10 | 2017-03-28 | International Business Machines Corporation | System and method for software defined deployment of security appliances using policy templates |
| US9787641B2 (en) * | 2015-06-30 | 2017-10-10 | Nicira, Inc. | Firewall rule management |
| US9948679B2 (en) * | 2015-08-21 | 2018-04-17 | Cisco Technology, Inc. | Object-relation user interface for viewing security configurations of network security devices |
| EP4312420A3 (en) * | 2018-02-20 | 2024-04-03 | Darktrace Holdings Limited | A method for sharing cybersecurity threat analysis and defensive measures amongst a community |
-
2013
- 2013-12-20 KR KR1020167013252A patent/KR101877655B1/ko active IP Right Grant
- 2013-12-20 US US15/038,388 patent/US10367787B2/en active Active
- 2013-12-20 WO PCT/US2013/077233 patent/WO2015094372A1/en active Application Filing
- 2013-12-20 JP JP2016540033A patent/JP6329267B2/ja active Active
- 2013-12-20 EP EP13899847.1A patent/EP3085013B1/en active Active
- 2013-12-20 CN CN201380081054.9A patent/CN105765901B/zh active Active
-
2019
- 2019-07-29 US US16/524,968 patent/US10904216B2/en active Active
-
2021
- 2021-01-25 US US17/157,662 patent/US11997069B2/en active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP0909074A1 (en) * | 1997-09-12 | 1999-04-14 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with multiple domain support |
| US20100333165A1 (en) * | 2009-06-24 | 2010-12-30 | Vmware, Inc. | Firewall configured with dynamic membership sets representing machine attributes |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111095862A (zh) * | 2017-09-12 | 2020-05-01 | 新纳聚克斯集团 | 基于动态ip地址修改防火墙的方法、系统和介质 |
| US20200314066A1 (en) * | 2019-03-29 | 2020-10-01 | Cloudflare, Inc. | Validating firewall rules using data at rest |
Also Published As
| Publication number | Publication date |
|---|---|
| US10904216B2 (en) | 2021-01-26 |
| KR101877655B1 (ko) | 2018-07-11 |
| US20210152521A1 (en) | 2021-05-20 |
| JP2017505942A (ja) | 2017-02-23 |
| EP3085013A1 (en) | 2016-10-26 |
| CN105765901B (zh) | 2019-11-08 |
| EP3085013A4 (en) | 2017-06-07 |
| EP3085013B1 (en) | 2020-01-22 |
| US11997069B2 (en) | 2024-05-28 |
| US20160315911A1 (en) | 2016-10-27 |
| US20190349335A1 (en) | 2019-11-14 |
| WO2015094372A1 (en) | 2015-06-25 |
| US10367787B2 (en) | 2019-07-30 |
| KR20160075610A (ko) | 2016-06-29 |
| JP6329267B2 (ja) | 2018-05-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105765901A (zh) | 智能防火墙访问规则 | |
| US11212315B2 (en) | Tunneling for network deceptions | |
| Wang et al. | Fog computing: Issues and challenges in security and forensics | |
| EP2987090B1 (en) | Distributed event correlation system | |
| CN105684391A (zh) | 基于标签的访问控制规则的自动生成 | |
| CN105247529A (zh) | 在目录服务之间同步凭证散列 | |
| CN101682626A (zh) | 用于模拟对网络的黑客攻击的方法和系统 | |
| US11481478B2 (en) | Anomalous user session detector | |
| CN112291264B (zh) | 一种安全控制的方法、装置、服务器和存储介质 | |
| Alqarni et al. | Internet of things (IoT) security requirements: Issues related to sensors | |
| CN110602134B (zh) | 基于会话标签识别非法终端访问方法、装置及系统 | |
| CN106209919A (zh) | 一种网络安全防护方法及网络安全防护系统 | |
| KR102229438B1 (ko) | 클라우드 컴퓨팅 및 블록체인 기반의 스마트 홈 시스템 | |
| El Bouanani et al. | Towards understanding internet of things security and its empirical vulnerabilities: a survey | |
| CN105659554A (zh) | 基于普遍度的信誉 | |
| CN108270718A (zh) | 一种基于Hadoop集群的控制方法和系统 | |
| CN112291263A (zh) | 一种数据阻断的方法和装置 | |
| Apiecionek et al. | Harmonizing IoT-Architectures with Advanced Security Features-A Survey and Case Study. | |
| Srivastava et al. | Blockchain-Based Cybersecurity Solutions for Industry 4.0 Applications | |
| Kumar et al. | Controlling and Surveying of On-Site and Off-Site Systems Using Web Monitoring | |
| Paduraru et al. | Advancing Security and Data Protection for Smart Home Systems through Blockchain Technologies. | |
| Deivendran et al. | Scalability and security requirements for the Internet of Things architecture | |
| Wali et al. | A Secure IoT Architecture for Industry 4.0 | |
| Donald et al. | CIAMS—Checkpoint‐intrigued adversary mitigation scheme for industrial internet of things | |
| Bahrami | Design of a mobile agents based solution to distributional management of computer networks, taking into account the security mechanisms |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: California, USA Applicant after: McAfee limited liability company Address before: California, USA Applicant before: Mcafee Inc |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |