CN106850642A - 用于直接访问网络的网络位置确定 - Google Patents
用于直接访问网络的网络位置确定 Download PDFInfo
- Publication number
- CN106850642A CN106850642A CN201710083731.0A CN201710083731A CN106850642A CN 106850642 A CN106850642 A CN 106850642A CN 201710083731 A CN201710083731 A CN 201710083731A CN 106850642 A CN106850642 A CN 106850642A
- Authority
- CN
- China
- Prior art keywords
- network
- client devices
- response
- request
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
Abstract
公开了用于直接访问网络的网络位置确定。一种在连接到网络防火墙之后的专用网络时支持和在网络防火墙外部时不同的行为的客户机计算机。客户机计算机试图与网络上的设备进行通信。基于该响应,客户机计算机可以确定它在网络防火墙之后,并用较不受限的安全或适用于当客户机直接连接到网络时的其他参数的设置来操作。或者,客户机计算机可以确定它通过外部网络间接地连接到网络,并因此应该用较受限制的安全或更适用于在该网络位置使用的其他参数的设置来操作。即使远程客户机计算机具有到允许其与域控制器进行认证的网络的直接连接,所述方法仍然工作。
Description
本发明专利申请是国际申请号为PCT/US2009/060876,国际申请日为2009年10月15日,进入中国国家阶段的申请号为200980142641.8,名称为“用于直接访问网络的网络位置确定”的发明专利申请的分案申请。
背景
计算机网络被公司广泛地使用,因为它们通过实现许多位置的信息共享来流线化业务过程。在许多实例中,公司向其员工和其他获授权方提供网络访问权,即使在这些获授权方在远离公司房屋的位置时。
企业网络可被配置成通过使用一个或多个域控制器(有时称为活动目录服务器)来将对网络资源的访问权只限于获授权方。域控制器可以认证用户来标识应该被授予网络访问权的那些人。在某些实例中,可能存在多个域控制器。为了将连接到网络的设备映射到附近的域控制器,每一域控制器可以具有标识源网络地址范围的表。当域控制器从设备接收请求时,它可以通过为该设备标识在该设备附近的域控制器来作出响应。
可以通过虚拟专用网络(VPN)来提供对企业网络的远程访问。有了VPN,获授权的用户所操作的计算机通过远程计算机可以连接到的公共网络来通过VPN网关服务器建立到企业网络的隧道。因为通过VPN隧道连接的计算机包括企业网络的一部分,所以计算机随后可以使用企业网络上的资源。
在允许对其企业网络的远程访问的许多公司中,将便携式计算机用于网络访问。可以在公司房屋内使用便携式计算机,在那里它们可以物理地连接到企业网络。在其他时候,可将便携式计算机带到远程位置,在那里它们通过VPN逻辑地连接到网络。为了提供使用的便利性,这些计算机可被配置成具有两个不同的设置组:一个适于在专用公司网络上使用而另一个适于在计算机通过其上可以建立VPN隧道的公共网络时使用。这些设置可以影响便携式计算机的操作,诸如默认打印机、主页、时钟的时区设置或安全功能。例如,在便携式计算机直接连接到网络时所使用的安全设置可以依赖防火墙或企业网络的其他保护组件并因此是较不受限的。当便携式计算机经由VPN连接到企业网络时,可以应用较受限的安全配置。
为了确定合适的设置组,便携式计算机可以包括可指示计算机具有的到网络的连接类型的网络位置知晓组件。常规上,网络位置通过试图对照网络上的域控制器来认证而被查明。如果便携式计算机可以与域控制器进行认证,则计算机可用适于直接连接到企业网络的设备的设置来配置。如果认证是不可能的,则可以使用不同的设置。
在另一上下文中,某些计算机显示该计算机是否具有到因特网的连接的指示。计算机可以通过试图联系因特网上的已知服务器来确定其连接状态。如果计算机从服务器接收到响应,则计算机推断其具有到因特网的连接并相应地显示指示。
概述
发明人已认识到并且理解,远程计算机对专用网络的直接访问可能很快就会被广泛使用。当不使用VPN的远程访问成为可能时,远程设备将能够对照专用网络上的域控制器来进行认证。
发明人还认识到并理解,直接访问将更改依赖于具有或不具有作为网络位置的安全指示对照域控制器来进行认证的能力的网络位置知晓组件的操作。当网络位置的指示仅仅根据与域控制器进行认证的能力来确定时,将不可区分远程设备在不使用VPN的情况下连接到网络的情况与客户机物理地连接到网络或经由VPN连接来连接到网络的情况。但是,用户或计算机管理员可能不期望或不想要远程计算机在这些不同的场景中具有相同的设置。
为了维护合适的设置,专用网络可配置有一个或多个设备,该一个或多个设备取决于客户机设备的网络地址的一部分对来自客户机设备的请求作出不同响应。当请求从带有指示客户机设备物理地连接到网络防火墙内的网络的网络地址的该客户机设备接收时,可以作出第一响应。当请求从带有指示客户机设备是未连接到网络防火墙内的网络的远程设备的网络地址的该客户机设备接收时,可以作出第二不同的响应。并且,当请求从通过使用VPN在网络防火墙内连接的远程客户机设备接收时,可以作出可能的第三响应。虽然在该第三场景中,根据某些实施例,网络另选地可被配置成生成第一响应。然而在其他实施例中,在第三场景中,网络另选地可被配置成生成第二响应。无论具体配置如何,基于客户机设备接收到的响应的本质,客户机设备可以选择合适的配置。
以上概述是对由所附权利要求定义的本发明的非限定性的概述。
附图简述
附图不旨在按比例绘制。在附图中,各个附图中示出的每一完全相同或近乎完全相同的组件由同样的标号来表示。出于简明的目的,不是每一个组件在每张附图中均被标号。在附图中:
图1是常规计算设备的图示,其示出其中可以执行网络位置确定的环境;
图2是其中可以向专用网络提供直接访问的常规网络环境的草图;
图3是被配置成提供对网络位置确定有用的响应的专用网络的草图;
图4是被配置成提供对网络位置确定有用的信息的专用网络的替换实施例的草图;
图5是被配置成提供对网络位置确定有用的信息的专用网络的替换实施例的草图;
图6是被配置成提供对网络位置确定有用的信息的专用网络的替换实施例的草图;以及
图7是被配置成执行网络位置确定的网络客户机和网络设备的操作方法的流程图。
详细描述
对于被配置成访问企业、公司或其他专用网络的计算机,可以通过将计算机配置成试图与网络上的设备通信来提供改进的网络位置知晓。通过将该设备配置成取决于到网络的连接的本质来对设备作出不同的响应,计算机可以基于响应来获得关于其自己的位置的有用信息。例如,通过物理连接或VPN连接到专用网络的计算机可以体验与在专用网络外部但通过涉及诸如因特网之类的公共网络的远程访问机制连接到专用网络的设备不同的响应。
该信息将是准确的,即使直接网络访问是可用的并且允许计算机按照将使得某些常规网络地址确定方法不正确地指示该计算机直接连接到专用网络上的方式来对照专用网络上的域控制器来进行认证。当使用这一位置信息来选择合适的安全配置时,可以向计算机提供更好的安全性。例如,计算机可被配置成在不同的安全状态下操作,其中的一个安全状态适于当计算机物理地连接到公司房屋的专用网络上并因此在防火墙之后时使用。另一安全状态可以适用于其中计算机通过安全VPN隧道虚拟地连接到专用网络的场景。又一场景可能适用,其中计算机未直接在专用网络上而是或物理地或虚拟地经由VPN隧道,并因此不受专用网络的防火墙保护。这些安全状态可以按任何合适的方式实现。在某些实例中,安全状态由支持不同配置的计算机上的防火墙来实现。在未直接连接到网络时,防火墙可能具有较受限的配置。相反,当计算机直接连接到网络时,可以提供较不受限的防火墙配置。类似地,当基于计算机位置选择其他设置时,更准确的确定位置可以导致对这些设置的自动化选择来提供更合乎需要的用户体验。
多种方法中的任一种适用于配置一个或多个设备来基于发出提示响应的请求的计算机的位置来生成不同响应。在某些实施例中,可以使用网络分组的特定抵达接口来标识计算机的位置。在其他实施例中,可以使用网络分组头部中的信息来标识计算机的位置。例如,包含请求或响应的分组头部中的网络地址可允许网络设备在该设备具有某种方式来了解网络地址不是被哄骗的情况下确定发出请求的计算机是否物理地位于网络上。作为具体示例,一旦计算机通过能够成功地建立TCP连接示出了它可以接收目的地为该地址的分组时,该地址的网络前缀部分就可以指示计算机的位置。
处理这些分组的任何合适的一个或多个设备可被配置成基于这些分组是否具有指示它们是从网络防火墙之后的设备或网络防火墙外部的设备接收的或者目的地为网络防火墙之后的设备或网络防火墙外部的设备的网络前缀来作出不同的响应。在某些实施例中,请求可被定向到网络上的服务器。可以对服务器编程来取决于发出请求的计算机的位置来作出不同的响应,诸如现在带有域控制器的情况。在其他实施例中,将处理前往或来自回复请求的服务器的分组的一个或多个中间设备可以取决于发出请求的计算机的位置而表现得不同。例如,诸如防火墙之类的中间设备可以基于与发出这些分组头部中的请求的计算机相关联的网络前缀来选择性地阻塞含有请求或回复的分组。
从某些实施例的上述概览,本领域技术人员可以理解,各实施例可以基于一个或多个计算机设备的编程来构造。在提供示例性实施例的结构和操作的更详细的描述之前,提供可存在于计算设备中的各组件的概览。
图1示出可在实现本发明的某些实施例中使用的合适的计算系统环境100的示例。计算系统环境100只是合适计算环境的一个示例,而非意在暗示对本发明使用范围或功能有任何限制。也不应该将计算环境100解释为对示例性操作环境100中示出的任一组件或其组合有任何依赖性或要求。
参考图1,用于实现本发明的一个示例性系统包括计算机110形式的通用计算设备。计算机110的组件可以包括,但不限于,处理单元120、系统存储器130和将包括系统存储器在内的各种系统组件耦合至处理单元120的系统总线121。系统总线121可以是若干类型的总线结构中的任何一种,包括使用各种总线体系结构中的任何一种的存储器总线或存储器控制器、外围总线,以及局部总线。作为示例而非限制,这样的体系结构包括工业标准体系结构(ISA)总线、微通道体系结构(MCA)总线、增强型ISA(EISA)总线、视频电子标准协会(VESA)局部总线,以及也称为夹层(Mezzanine)总线的外围组件互连(PCI)总线。
计算机110通常包括各种计算机可读介质。计算机可读介质可以是能由计算机110访问的任何可用介质,而且包含易失性和非易失性介质、可移动和不可移动介质。作为示例而非限制,计算机可读介质可以包括计算机存储介质和通信介质。计算机存储介质包括以用于存储诸如计算机可读指令、数据结构、程序模块或其它数据等信息的任何方法或技术实现的易失性和非易失性、可移动和不可移动介质。计算机存储介质包括,但不限于,RAM、ROM、EEPROM、闪存或其它存储器技术、CD-ROM、数字多功能盘(DVD)或其它光盘存储、磁带盒、磁带、磁盘存储或其它磁存储设备、或能用于存储所需信息且可以由计算机110访问的任何其它介质。通信介质通常以诸如载波或其他传输机制等已调制数据信号来体现计算机可读指令、数据结构、程序模块或其他数据,并包括任意信息传送介质。术语“已调制数据信号”指的是其一个或多个特征以在信号中编码信息的方式被设定或更改的信号。作为示例而非限制,通信介质包括有线介质,如有线网络或直接线连接,以及诸如声学、RF、红外及其它无线介质之类的无线介质。上述中任一组合也应包括在计算机可读介质的范围之内。
系统存储器130包括易失性和/或非易失性存储器形式的计算机存储介质,如只读存储器(ROM)131和随机存取存储器(RAM)132。基本输入/输出系统133(BIOS)包括如在启动时帮助在计算机110内的元件之间传输信息的基本例程,它通常储存在ROM 131中。RAM 132通常包含处理单元120可以立即访问和/或目前正在操作的数据和/或程序模块。作为示例而非限制,图1示出了操作系统134、应用程序135、其它程序模块136和程序数据137。
计算机110还可以包括其他可移动/不可移动、易失性/非易失性计算机存储介质。仅作为示例,图1示出了从不可移动、非易失性磁介质中读取或向其写入的硬盘驱动器140,从可移动、非易失性磁盘152中读取或向其写入的磁盘驱动器151,以及从诸如CD ROM或其它光学介质等可移动、非易失性光盘156中读取或向其写入的光盘驱动器155。可以在示例性操作环境中使用的其他可移动/不可移动、易失性/非易失性计算机存储介质包括但不限于,磁带盒、闪存卡、数字多功能盘、数字录像带、固态RAM、固态ROM等等。硬盘驱动器141通常由不可移动存储器接口,诸如接口140连接至系统总线121,磁盘驱动器151和光盘驱动器155通常由可移动存储器接口,诸如接口150连接至系统总线121。
上文讨论并在图1中示出的驱动器及其相关联的计算机存储介质为计算机110提供了对计算机可读指令、数据结构、程序模块和其它数据的存储。例如,在图1中,硬盘驱动器141被示为存储操作系统144、应用程序145、其它程序模块146和程序数据147。注意,这些组件可以与操作系统134、应用程序135、其他程序模块136和程序数据137相同,也可以与它们不同。给操作系统144、应用程序145、其他程序模块146、以及程序数据147提供了不同的编号,以说明至少它们是不同的副本。用户可以通过输入设备,诸如键盘162和定点设备161——通常被称为鼠标、跟踪球或触摸垫——向计算机110输入命令和信息。其他输入设备(未示出)可以包括话筒、操纵杆、游戏手柄、圆盘式卫星天线、扫描仪等等。这些和其他输入设备通常由耦合至系统总线的用户输入接口160连接至处理单元120,但也可以由其他接口和总线结构,诸如并行端口、游戏端口或通用串行总线(USB)连接。监视器191或其他类型的显示设备也经由接口,诸如视频接口190,连接至系统总线121。除监视器以外,计算机还可以包括其他外围输出设备,诸如扬声器197和打印机196,它们可以通过输出外围接口195连接。
计算机110可使用至一个或多个远程计算机,诸如远程计算机180的逻辑连接在网络化环境中操作。远程计算机180可以是个人计算机、服务器、路由器、网络PC、对等设备或其它常见网络节点,且通常包括上文相对于计算机110描述的许多或所有元件,但在图1中只示出存储器存储设备181。图1中所示的逻辑连接包括局域网(LAN)171和广域网(WAN)173,但也可以包括其它网络。这样的联网环境在办公室、企业范围计算机网络、内联网和因特网中是常见的。
当在LAN联网环境中使用时,计算机110通过网络接口或适配器170连接至LAN171。当在WAN联网环境中使用时,计算机110通常包括调制解调器172或用于通过诸如因特网等WAN 173建立通信的其他装置。调制解调器172可以是内置或外置的,它可以经由用户输入接口160或其他适当的机制连接至系统总线121。在网络化环境中,相对于计算机110所描述的程序模块或其部分可被存储在远程存储器存储设备中。作为示例而非限制,图1示出了远程应用程序185驻留在存储器设备181上。可以理解,所示的网络连接是示例性的,且可以使用在计算机之间建立通信链路的其他手段。
图2示出其中可以实施本发明的联网计算环境。联网计算环境包括网络,其可以是安全网络200,诸如企业内联网。安全网络200可以包括物理地连接到安全网络200的联网计算设备。联网计算设备到安全网络200的物理连接可以在任何合适的计算机通信介质(例如,有线或无线通信)上,因为本发明并不限于此。一个这样的联网计算设备是可用作域控制器210的计算机。域控制器是公知的,并且域控制器210可使用本领域公知的技术来实现。然而,可使用任何合适的技术来构造域控制器210。域控制器210的一个示例是诸如在Windows 2003Server操作系统上运行Active Directory(活动目录)的计算系统100之类的计算机。
另一联网计算设备可以是用作名称服务器212的计算机,诸如运行DNS服务的设备的任意组合。名称服务器在本领域也是公知的,并且名称服务器212可以使用已知技术来实现。然而,可使用任何合适的技术来实现名称服务器212。作为替换技术的一个示例,名称服务器可以在与域控制器210相同的计算机上实现是可能的。
安全网络还可包括物理地连接到安全网络200的用户客户机计算机214,其可以访问安全网络200中的计算资源,诸如域控制器210和名称服务器212。客户机计算机214可以在提供安全网络200的企业房屋内。在该场景中,物理连接可以通过将客户机214通过有线或无线连接来连接到公司房屋的网络接入点来实现。然而,可以采用用于实现到安全网络200的物理连接的任何合适的机制。
在图2所示的场景中,客户机214已经与域控制器210进行了认证。由此,客户机214可具有对安全网络200上的资源的访问权。用户客户机214对计算资源的访问由双向网络链路来示出,诸如客户机214和域控制器210之间的链路220以及客户机214和名称服务器212之间的链路222。
图2的联网计算环境还可以包括连接到安全网络200的其他网络。图2示出因特网230作为一个示例。诸如用户客户机计算机234之类的远程计算设备可以连接到因特网230。此处,客户机计算机234可以是膝上型计算设备或其他移动计算设备。由此,虽然客户机234和214被示为单独的设备,但远程客户机234可以是与客户机214相同的设备,但在不同时间不同位置操作。例如,客户机214可以表示在工作日期间在办公室内操作安全网络200的公司员工所使用的移动计算机。远程客户机234可以是该员工移动到其家里以便在白天工作之后使用的同一个移动计算机。
无论用于实现客户机214和234的具体硬件如何,图2所示的环境可以支持多个设备,其中的任一个可以连接到网络防火墙内部或外部的安全网络200。客户机可以在防火墙内部经由接入点、路由器、交换机、集线器、安全隧道或到安全网络200上的其他设备的其他网络元件通过直接连接(无论是有线连接、无线连接或通过任何其他合适介质的连接)来连接。客户机可以在防火墙外部使用依赖于通过因特网230或其他外部网络的通信的远程访问机制来远程地连接到安全网络200。
联网计算环境还包括用于安全网络200的非军事化区(DMZ)240,从而允许安全网络200和因特网230之间的有限网络通信。DMZ 240可以包括阻塞未获授权通信量的组件,诸如防火墙,以及允许某些通信量通过的其他组件。DMZ 240可以包括联网计算设备,诸如用作直接访问服务器250的计算系统。在所示实施例中,直接访问服务器250可被实现为路由器。诸如客户机计算机234等未物理地连接到安全网络200的客户机可以通过直接访问服务器250来连接以在不使用VPN的情况下与安全网络内部的计算资源,诸如域控制器210和名称服务器212进行通信。用户客户机234对安全网络中的计算资源的访问由通过直接访问服务器的双向网络链路来示出,诸如客户机234和域控制器210之间的链路260以及客户机234和名称服务器212之间的链路262。如图所示,诸如客户机234之类的远程客户机可以与物理地连接到安全网络200的计算机,诸如客户机214一样,访问安全网络200上的相同网络资源。
结果,客户机234,与客户机214一样,可以与域控制器210进行认证。如果客户机234基于与域控制器210进行认证的能力来建立其安全状态,则客户机234可以具有与可能用相同方式来配置其安全状态的客户机214不同的安全风险。客户机214被DMZ 240与因特网230上的可能被恶意第三方使用的其他设备分开,但客户机234没有。因此,客户机214可以适当地使用较不受限的安全设置,因为安全网络200上的所有其他设备都被认为是可信的,而如果客户机234使用相同的较不受限的设置,则它将暴露于来自连接到因特网230的设备的风险。因此在某些实施例中,即使客户机230与域控制器210进行认证,客户机234的安全状态也可以基于其网络位置的确定来建立,它的网络位置无关于它与域控制器210进行认证的能力。
虽然建立与客户机安全有关的动作的设置被用作可以基于网络位置来选择的设置的示例,但还可以类似地选择其他类型的设置。例如,如果客户机234基于网络位置来建立任何其他类型的设置,则在没有准确的网络位置确定时它可能不正确地运作或与用户所期待的相反。由此,可将此处描述的技术应用于改进基于网络位置的任何设置的选择。
图3示出与图2的环境类似的联网计算环境。图3中的DMZ 240还结合了VPN网关服务器358。VPN网关服务器358是提供本领域公知的VPN网关功能的计算设备。还绘制了物理地连接到因特网230的VPN客户机344。类似于客户机计算机234,VPN客户机344可以是膝上型计算设备或其他移动计算设备。VPN网关服务器358允许未物理地连接到安全网络200的计算机,诸如VPN客户机344通过在VPN网关服务器358和VPN客户机344之间建立安全隧道360来建立到安全网络的虚拟连接。一旦通过VPN网关服务器358建立了安全隧道360,VPN客户机344虚拟地连接到防火墙之内的安全网络200,包括安全网络200的逻辑部分。
图3还结合了允许诸如用户客户机214、用户客户机234和VPN客户机344之类的计算设备安全地确定它们是否直接连接到安全网络200的机制。联网计算环境还包括运行在连接到安全网络200的计算设备上的用于网络位置知晓的网络服务,诸如HTTPS服务352。HTTPS服务352的实现的示例是Apache HTTP服务器和微软因特网信息服务。在该实施例中,HTTPS服务352在直接访问服务器250上运行,但它可以在连接到安全网络200的任何计算设备上运行。虽然HTTPS被用作安全协议的示例,但应该理解,在实施例中可以使用带有安全协议的任何服务,HTTPS只是一个示例。
直接访问服务器250提供两个网络接口:专用接口354和公共接口356。专用接口354提供直接访问服务器250与直接连接到安全网络的联网计算设备,诸如用户客户机214和VPN客户机244之间的连接。公共接口356提供直接访问服务器和在安全网络200外部的联网计算设备,诸如用户客户机234之间的连接。在所示实施例中,公共接口356和专用接口354被配置成使得对于特定请求,网络客户机将取决于其位置来感知不同的响应。例如,物理地连接到安全网络200的客户机214,由于公共接口356和专用接口354的动作,将感知对特定请求的与客户机234不同的响应。接口354和356被配置成使得通过专用接口354通信的客户机可以与HTTPS服务352进行通信,但通过公共接口356通信的客户机无法与HTTPS服务352进行通信。允许客户机234和连接到安全网络200的其他联网计算设备之间的其他网络通信通过公共接口356。因此在该实施例中,客户机214和VPN客户机344将接收对发送给HTTPS服务352的请求的回复。相反,客户机234将接收不到对发送给HTTPS服务352的请求的回复。以此方式,客户机可以取决于是否接收到回复来感知不同的响应。
在图3中,联网计算设备具有或不具有彼此通信的能力由单向或双向网络链路来示出。通过公共接口356和直接访问服务器250的双向链路示出与安全网络200中的联网计算资源进行通信的能力,诸如客户机234和域控制器210之间的链路260以及客户机234和名称服务器212之间的链路262。类似地,通过专用接口354和直接访问服务器250的双向链路364示出用户客户机214和HTTPS服务352之间的连接。用相似的方式,通过安全隧道360、VPN网关服务器358、直接访问服务器250和专用接口354的双向链路376示出在VPN客户机344和HTTPS服务352之间进行通信的能力。另一方面,用户客户机234和HTTPS服务352之间的单向链路374不通过公共接口356,从而示出不具有通过公共接口与HTTPS服务352进行通信的能力。
直接连接到网络防火墙之内的安全网络200的客户机,诸如客户机214或VPN客户机344能够通过专用接口354与HTTPS服务器352进行通信,并且因此能够对HTTPS服务器352提出请求和接收回复。基于来自HTTPS服务器352的回复,客户机214或VPN客户机344能够确定它是否直接连接到安全网络并相应地设置其安全策略。另一方面,未直接连接到安全网络200的客户机,诸如客户机234,不能够通过公共接口356来与HTTPS服务器352进行通信,并且因此不能够向HTTPS服务器352提出请求或接收回复。基于缺少来自HTTPS服务器352的回复,客户机234能够作出它未直接连接到安全网络200的确定,并且可以将它的安全策略配置得与它直接连接到安全网络200的情形相比更受限制。
在图3的实施例中,诸如VPN客户机344之类的通过虚拟连接直接连接到安全网络200但未物理地连接到安全网络200的计算设备,可以通过专用接口354来连接以与HTTPS服务352进行通信。因此在该实施例中,VPN客户机344将接收对发送给HTTPS服务352的请求的回复。然而,其他实施例可以不同地对待虚拟地但未物理地连接到安全网络200的计算设备。例如,在另一实施例中,专用接口354可以不允许VPN客户机344和HTTPS服务352之间的通信。在这种情况下,VPN客户机344将接收不到对发送给HTTPS服务352的请求的回复,并且与客户机234类似,可以确定将其安全策略配置得与它物理地连接到安全网络200的情形相比更受限制。在又一实施例中,专用接口354可以允许HTTPS服务352和VPN客户机344之间的通信,但HTTPS服务352可被配置成向VPN客户机344提供与它向用户客户机214提供的响应不同的响应。该其他类型的响应将允许VPN客户机344确定:它应该应用第三类型的设置,诸如比客户机214所应用的更受限制、但比客户机234所应用的较不受限的安全设置。
专用接口354可使用本领域已知的技术来实现。公共接口356可以类似地使用公知的接口技术来实现。然而,可以修改公共接口356来阻塞来自远程客户机的通信。可以使用任何合适的阻塞机制。例如,公共接口356可配置有过滤组件,该过滤组件基于分组头部中包含的目的地地址来阻塞网络分组。例如,公共接口356可以阻塞包括HTTPS服务352的目的地地址的所有传入分组。然而,其它实现是可能的。例如,公共接口356可以阻塞包含指示该分组是由HTTPS服务352生成的源地址的任何传出分组。
在图3所示的实施例中,公共接口356阻塞在诸如客户机234之类的远程客户机和HTTPS服务352之间交换的所有分组。当HTTPS服务352未执行远程客户机期望访问的任何功能时,这种实现可能是合适的。在期望远程客户机和HTTPS服务352之间的某些交互的实施例中,公共接口356的过滤组件还可被配置成基于分组中的信息的本质来过滤分组。例如,HTTPS服务352可被配置成提供对特别旨在使得远程客户机能够确定其网络位置的请求的响应。公共接口356的过滤组件可被配置成检查分组的各部分,从而标识分组中包含的信息的本质。基于该检查,过滤组件可以阻塞仅包含旨在确定网络位置时使用的请求或回复的分组的传输。
用于位置知晓的网络服务,诸如HTTPS服务352是安全的,以便允许网络服务的客户机,诸如客户机214、客户机234或VPN客户机344验证服务的身份或安全凭证,并作出客户机是否应该信任从该服务接收的回复的确定。例如,在某些实施例中,HTTPS服务352的回复可以包括包含HTTPS服务的身份的SSL证书,诸如客户机214之类的服务的客户机可以验证该证书来确定是否信任来自HTTPS服务352的回复。如果客户机214确定要信任来自HTTPS服务352的回复,则它可以假定该HTTPS服务352物理地连接到安全网络200并相应地将其安全设置实现为较不受限的状态。另一方面,如果客户机214不能够验证HTTPS服务352所返回的SSL证书,则客户机214可以认为它未收到来自服务352的回复并假定该服务未直接连接到安全网络200,并实现较受限制的安全设置。
图4示出与图2的环境类似的联网计算环境,其根据某些其他实施例配置成支持网络位置确定。在图4的实施例中,DMZ 240还结合了可用作防火墙442的网络设备。防火墙442分析从安全网络200外部设备到DMZ 240中或安全网络200中的计算设备的联网通信,并可以允许或不允许某些这样的通信。具体地,防火墙442可以不允许从安全网络外部的设备,诸如客户机234到HTTPS服务352的通信,但可以允许从安全网络外部的设备,诸如客户机234到安全网络内部的其他联网计算资源,诸如域控制器210和名称服务器212的通信。如双向链路260和260所可以见到的,防火墙442分别允许客户机234和域控制器210之间的通信以及客户机234和名称服务器212之间的通信。另一方面,从客户机234到HTTPS服务352的单向链路374被防火墙442阻塞,并且说明不具有连接到HTTPS服务352的能力。如以上结合图3所讨论的,防火墙442可以阻塞从远程设备到HTTPS服务352的所有通信。然而,在使用对HTTPS服务352的特定类型请求的响应来确定网络位置的实施例中,防火墙442可被配置成只阻塞包含这种请求的分组。
图5示出与图4所示的实施例类似的本发明的替换实施例。在图5的实施例中,DMZ240结合了可用作防火墙542的联网设备。与防火墙442类似,防火墙542分析从安全网络200外部的设备到DMZ 240中或安全网络200中的计算设备的联网通信,并可以允许或不允许某些这样的通信。然而,防火墙542可用与防火墙442不同的安全设置来配置。具体地,防火墙542可允许从安全网络外部的设备,诸如客户机234到HTTPS服务352的传入通信,但可以不允许或阻塞从HTTPS服务352到客户机234的传出通信。如同防火墙442一样,防火墙542可允许安全网络200外部的设备,诸如客户机234和安全网络内部的其他联网计算资源,诸如域控制器210和名称服务器212之间的双向通信。如双向链路260和260所可以见到的,防火墙542分别允许客户机234和域控制器210之间的通信以及客户机234和名称服务器212之间的通信。来自客户机234的单向链路374通过防火墙542到达HTTPS服务352。然而,从HTTPS服务352到客户机234的单向链路576被示为被防火墙542阻塞。如结合图4所讨论的,在使用对HTTPS服务352的特定类型的请求的响应来确定网络位置的实施例中,防火墙542可被配置成只阻塞包含这种请求的分组。客户机234可以使用该客户机234缺少从HTTPS服务352接收的回复来确定它未直接连接到安全网络200。
图6示出与图2的环境类似的联网计算环境,其根据某些其他替换实施例被配置成支持网络位置确定。HTTPS服务还结合了诸如网络地址过滤器652之类的过滤器。与图3中结合公共接口356的过滤组件所讨论的类似,网络地址过滤器可被配置成基于关于对HTTPS服务352的请求的分组头部中所包含的源网络地址的信息来阻塞该请求。例如,网络地址过滤器652可以检查对HTTPS服务352的请求中所包含的源网络地址的一部分来确定该源网络地址是否在安全网络200的网络地址范围内。例如,如果源网络地址是IPv6网络地址,则网络地址过滤器可以检查该网络地址是否在安全网络前缀范围内。
虽然将网络地址用作用来确定回复的本质的准则的一个示例,但还可以使用其他准则来确定响应的本质。例如,回复可以是不同的,取决于该请求是通过公共接口还是专用接口来接收的。此外,虽然发出回复和不发出回复被用作不同响应的示例,但这些仅仅是不同响应的示例。作为另一示例,不同响应可以通过在所有情况下都发出回复、但取决于网络位置而对回复使用不同格式来生成。作为一个示例,回复可以指示客户机的网络地址或网络位置。同样,在上述实施例中,同一设备生成对来自直接或间接连接到网络的客户机的请求的回复。不要求这样的体系结构。例如,来自直接连接的客户机的请求可被路由到发出一种类型回复的一个设备,而来自未直接连接的客户机的请求可被路由到发出不同类型回复的另一设备。
在图6所示的实施例中,客户机214物理地连接到安全网络200;因而,如果安全网络200使用IPv6寻址,则客户机214的网络地址在安全网络前缀范围内。因为客户机234未物理地连接到网络200,所以客户机234的网络地址不在安全网络前缀范围内。网络地址过滤器652随后可以在检查了它们的请求之后,阻塞从客户机234到HTTPS服务352的请求、但允许从客户机214到HTTPS服务352的请求。
如先前所说明的,联网计算设备具有或不具有彼此通信的能力由单向或双向网络链路来示出。通过直接访问服务器250的双向链路显示与安全网络200中的联网计算资源进行通信的能力,诸如客户机234和域控制器210之间的链路260以及客户机234和名称服务器212之间的链路262。类似地,通过网络地址过滤器652和直接访问服务器250的双向链路364示出用户客户机214和HTTPS服务352之间的连接。另一方面,用户客户机234和HTTPS服务352之间单向链路374不通过网络地址过滤器652,从而说明网络地址过滤器652采取动作来阻塞从客户机234到HTTPS服务352的请求。
在该实施例中,如以上在先前实施例中所讨论的,缺少来自HTTPS服务352的回复可以允许请求者,诸如客户机234作出它未直接连接到安全网络200的确定,并相应地将其安全设置设为较受限制的状态。
图7示出网络客户机700(诸如客户机214和234的先前实施例)以及被配置成执行网络位置确定的网络设备,诸如运行HTTPS服务702(诸如在先前讨论的实施例中的HTTPS服务352)的设备的操作方法的流程图。
最初,客户机700不知道它的网络位置并且在框701可以应用适用于未直接连接到安全网络的客户机的默认设置。例如,有了安全策略,客户机应用适于它可以操作的最不安全位置的设置。
在步骤704,客户机700本身可以与诸如域控制器210之类的域控制器进行认证。这可以通过经由诸如直接访问服务器250之类的直接访问服务器,或者直接地(该客户机是物理地连接还是诸如经由VPN虚拟地)连接到诸如安全网络200之类的安全网络来完成。
在步骤706,客户机700检索已获提供给客户机的HTTPS服务702的名称。例如,当客户机700物理地连接到诸如安全网络200之类的安全网络时,可能已经向客户机700提供了HTTPS服务702的名称。此时,与步骤706中一样,所提供的名称可能已经被本地地存储在客户机上的计算机存储介质上以供稍后检索。
在步骤712,客户机700向HTTPS服务702发出HTTPS请求。在步骤714,客户机700在一预定时间间隔内等待来自HTTPS服务700的回复。
如果未经由上述机制中的一个来阻塞来自客户机700的请求而到达HTTPS服务702,则在步骤716HTTPS服务702接收该客户机请求。在步骤718,诸如网络地址过滤器652之类的过滤器检查客户机的网络地址的一部分来确定该客户机的网络地址是否在诸如安全网络200之类的安全网络的范围内。如果该网络地址不在安全网络范围内,则图7的过程从步骤718分支到结束框730并且客户机接收不到来自HTTPS服务702的回复。另一方面,如果客户机700的网络地址在安全网络范围内,则在步骤720HTTPS服务702可以对客户机700作出响应,其可以是包含SSL证书的安全响应。在任一种情况中,此时,HTTPS服务702已经完成了对客户机700的请求的处理,并继续至结束框730。
但应该理解,在某些实施例中,可能期望无论发出请求的客户机的位置如何,HTTPS服务702都作出响应,但取决于客户机的位置用不同类型的响应来作出响应。在这些实施例中,如果不管客户机的位置都生成响应,则可以减少步骤714处的等待时间。
图7的过程取决于客户机在预定时间间隔内是否从HTTPS服务702接收到任何响应在步骤722处分支。如果客户机700未接收到回复,可能是如果其请求或回复经由图3-6所示的实施例中的一个被阻塞的情况,则客户机700继续至步骤728,在那里它作出它未物理地连接到诸如安全网络200之类的安全网络的确定,并且相应地将其设置保持在默认状态。例如,安全策略保持被设置为较受限制的状态。
如果客户机700从HTTPS服务702接收到响应,则在步骤724它验证HTTPS服务702的身份或安全凭证,诸如SSL证书。如果客户机700无法成功地验证从HTTPS服务702接收的SSL证书,则客户机700继续至步骤728,并且如上所述地,作出它未物理地连接到诸如安全网络200之类的安全网络的确定。客户机相应地设置其策略,例如,将其策略设置为较受限制的状态。
如果客户机700成功地验证从HTTPS服务702接收的SSL证书,则它继续至步骤726。此时,客户机可以确定它物理地连接到诸如安全网络200之类的安全网络。客户机相应地设置其策略,例如,将其策略设置为较不受限的状态。
至此描述了本发明的至少一个实施例的若干方面,可以理解,本领域的技术人员可容易地想到各种更改、修改和改进。
这样的更改、修改和改进旨在是本发明的一部分,且旨在处于本发明的精神和范围内。因此,上述描述和附图仅用作示例。
可以用多种方式中的任一种来实现本发明的上述实施例。例如,可使用硬件、软件或其组合来实现各实施例。当使用软件实现时,该软件代码可在无论是在单个计算机中提供的还是在多个计算机之间分布的任何合适的处理器或处理器集合上执行。
此外,应当理解,计算机可以用多种形式中的任一种来具体化,如机架式计算机、台式计算机、膝上型计算机、或平板计算机。另外,计算机可以具体化在通常不被认为是计算机但具有合适的处理能力的设备中,包括个人数字助理(PDA)、智能电话、或任何其他合适的便携式或固定电子设备。
同样,计算机可以具有一个或多个输入和输出设备。这些设备主要可被用来呈现用户界面。可被用来提供用户界面的输出设备的示例包括用于可视地呈现输出的打印机或显示屏和用于可听地呈现输出的扬声器或其他声音生成设备。可被用于用户界面的输入设备的示例包括键盘和诸如鼠标、触摸板和数字化输入板等定点设备。作为另一示例,计算机可以通过语音识别或以其他可听格式来接收输入信息。
这些计算机可以通过任何合适形式的一个或多个网络来互连,包括作为局域网或广域网,如企业网络或因特网。这些网络可以基于任何合适的技术并可以根据任何合适的协议来操作,并且可以包括无线网络、有线网络或光纤网络。
而且,此处略述的各种方法或过程可被编码为可在采用各种操作系统或平台中任何一种的一个或多个处理器上执行的软件。此外,这样的软件可使用多种合适的程序设计语言和/或程序设计或脚本工具中的任何一种来编写,而且它们还可被编译为可执行机器语言代码或在框架或虚拟机上执行的中间代码。
就此,本发明可被具体化为用一个或多个程序编码的一个或多个计算机可读介质(例如,计算机存储器、一个或多个软盘、紧致盘、光盘、磁带、闪存、现场可编程门阵列或其他半导体器件中的电路配置、或其他有形计算机存储介质),当这些程序在一个或多个计算机或其他处理器上执行时,它们执行实现本发明的上述各个实施例的方法。这一个或多个计算机可读介质可以是便携的,使得其上存储的一个或多个程序可被加载到一个或多个不同的计算机或其他处理器上以便实现本发明上述的各个方面。
此处以一般的意义使用术语“程序”或“软件”来指可被用来对计算机或其他处理器编程以实现本发明上述的各个方面的任何类型的计算机代码或计算机可执行指令集。另外,应当理解,根据本实施例的一个方面,当被执行时实现本发明的方法的一个或多个计算机程序不必驻留在单个计算机或处理器上,而是可以按模块化的方式分布在多个不同的计算机或处理器之间以实现本发明的各方面。
计算机可执行指令可以具有可由一个或多个计算机或其他设备执行的各种形式,诸如程序模块。一般而言,程序模块包括执行特定的任务或实现特定的抽象数据类型的例程、程序、对象、组件、数据结构等。通常,在各实施例中,程序模块的功能可以视需要组合或分散。
而且,数据结构能以任何合适的形式存储在计算机可读介质上。为简化说明,数据结构可被示为具有通过该数据结构中的位置而相关的字段。这些关系同样可以通过对各字段的存储分配传达各字段之间的关系的计算机可读介质中的位置来得到。然而,可以使用任何合适的机制来在数据结构的各字段中的信息之间建立关系,包括通过使用指针、标签、或在数据元素之间建立关系的其他机制。
本发明的各个方面可单独、组合或以未在前述实施例中具体讨论的各种安排来使用,从而并不将其应用限于前述描述中所述或附图中所示的组件的细节和安排。例如,可使用任何方式将一个实施例中描述的各方面与其他实施例中描述的各方面组合。
同样,本发明可被具体化为方法,其示例已经提供。作为该方法的一部分所执行的动作可以按任何合适的方式来排序。因此,可以构建各个实施例,其中各动作以与所示的次序所不同的次序执行,不同的次序可包括同时执行某些动作,即使这些动作在各说明性实施例中被示为顺序动作。
在权利要求书中使用诸如“第一”、“第二”、“第三”等序数词来修饰权利要求元素本身并不意味着一个权利要求元素较之另一个权利要求元素的优先级、先后次序或顺序、或者方法的各动作执行的时间顺序,而仅用作将具有某一名字的一个权利要求元素与(若不是使用序数词则)具有同一名字的另一元素区分开的标签以区分各权利要求元素。
同样,此处所使用的短语和术语是出于描述的目的而不应被认为是限制。此处对“包括”、“包含”、或“具有”、“含有”、“涉及”及其变型的使用旨在包括其后所列的项目及其等效物以及其他项目。
Claims (16)
1.一种当客户机设备(214、234)连接到包括限定网络边界的网络防火墙的网络(200)时操作所述客户机设备(214、234)的方法,所述客户机设备(214、234)支持至少第一(726)和第二(728)安全状态,所述网络对应于远程网络,所述方法包括:
将请求定向(712)到网络设备(352),所述网络设备(352)连接到所述网络(200)并且被适配成提供对所述请求的至少第一响应(720)、第二响应(730)或第三响应,所述第一响应、所述第二响应和所述第三响应中的每一个是不同的,当所述请求从物理地连接到所述网络(200)的网络防火墙内的客户机设备(214)接收时提供所述第一响应,当所述请求从连接到所述网络防火墙外部的网络(200)的客户机设备(234)接收时提供所述第二响应(730),并且当所述请求从通过使用VPN在所述网络防火墙内连接的客户机设备接收时提供所述第三响应;
在检测到所述第一响应时,在所述客户机设备连接到所述网络的同时将所述客户机设备(214)配置成根据所述第一安全状态(726)来操作;
在检测到所述第二响应时,在所述客户机设备连接到所述网络的同时将所述客户机设备(214)配置成根据所述第二安全状态(728)来操作;以及
在检测到所述第三响应时,在所述客户机设备连接到所述网络的同时将所述客户机设备(214)配置成根据第三安全状态来操作。
2.如权利要求1所述的方法,其特征在于:
当所述客户机设备(214)接收到认证所述网络设备(352)的信息时检测所述第一响应;以及
当所述客户机设备(234)在间隔期间未接收到认证所述网络设备(352)的信息时检测所述第二响应。
3.如权利要求2所述的方法,其特征在于,还包括在所述网络设备(352)上:
从所述客户机设备(214)接收(716)请求,所述请求包括所述客户机设备(214)的地址;
当所述客户机设备(214)的地址标识物理地位于所述网络(200)上的位置时,用所述第一响应来作出响应;以及
当所述客户机设备(214)的地址标识不在所述网络防火墙之内的位置时,用所述第二响应来作出响应。
4.如权利要求2所述的方法,其特征在于,还包括在所述网络设备(352)上:
从所述客户机设备(214)接收(716)请求,所述请求包括所述客户机设备(214)的地址;
当所述客户机设备(214)的地址标识物理地位于所述网络(200)上的位置时,用所述第一响应来作出响应;以及
当所述客户机设备(214)的地址标识未物理地位于所述网络(200)上的位置时,用所述第二响应来作出响应。
5.如权利要求2所述的方法,其特征在于,所述网络设备(352)包括第一网络设备(352)并且所述网络(200)包括第二网络设备(442、652),所述方法还包括:
在所述第二网络设备上:
从所述客户机设备(214)接收请求,所述请求包括所述客户机设备(214)的地址;
当所述客户机设备的地址标识物理地或虚拟地位于所述网络(200)上的位置时,将所述请求提供给所述第一网络设备(352);以及
当所述客户机设备(234)的地址标识未在所述网络防火墙之内的位置时,阻塞所述请求到达所述第一网络设备(352)。
6.如权利要求3所述的方法,其特征在于,所述网络设备(352)包括第一网络设备(352)并且所述网络(200)包括第二网络设备(542),所述方法还包括:
在所述第二网络设备(542)上:
从所述第一网络设备(352)接收对所述请求的响应,所述响应包括所述客户机设备(214)的地址;
当所述客户机设备(214)的地址标识物理地位于所述网络(200)上的位置时,将所述响应提供给所述客户机设备(214);以及
当所述客户机设备(214)的地址标识未物理地位于所述网络(200)上的位置时,阻塞所述响应到达所述客户机设备(214)。
7.如权利要求1所述的方法,其特征在于,所述网络(200)包括具有企业地址前缀的企业网络(200),并且所述方法还包括:
当所述请求由包括所述企业地址前缀的源地址来标识时,作出所述第一响应;以及
当所述请求由不具有所述企业地址前缀的源地址来标识时,作出所述第二响应。
8.如权利要求7所述的方法,其特征在于,配置所述客户机设备(214、234)根据所述第一安全状态(726)来操作包括用与所述客户机设备(214、234)被配置成根据所述第二安全状态(728)来操作的情况相比较不受限的策略来配置防火墙。
9.一种当客户机设备(214、234)连接到包括限定网络边界的网络防火墙的网络(200)时操作所述客户机设备(214、234)的系统,所述客户机设备(214、234)支持至少第一(726)和第二(728)安全状态,所述网络对应于远程网络,所述系统包括:
用于将请求定向(712)到网络设备(352)的装置,所述网络设备(352)连接到所述网络(200)并且被适配成提供对所述请求的至少第一响应(720)、第二响应(730)或第三响应,所述第一响应、所述第二响应和所述第三响应中的每一个是不同的,当所述请求从物理地连接到所述网络(200)的网络防火墙内的客户机设备(214)接收时提供所述第一响应,当所述请求从连接到所述网络防火墙外部的网络(200)的客户机设备(234)接收时提供所述第二响应(730),并且当所述请求从通过使用VPN在所述网络防火墙内连接的客户机设备接收时提供所述第三响应;
用于在检测到所述第一响应时,在所述客户机设备连接到所述网络的同时将所述客户机设备(214)配置成根据所述第一安全状态(726)来操作的装置;
用于在检测到所述第二响应时,在所述客户机设备连接到所述网络的同时将所述客户机设备(214)配置成根据所述第二安全状态(728)来操作的装置;以及
用于在检测到所述第三响应时,在所述客户机设备连接到所述网络的同时将所述客户机设备(214)配置成根据第三安全状态来操作的装置。
10.如权利要求9所述的系统,其特征在于:
当所述客户机设备(214)接收到认证所述网络设备(352)的信息时检测所述第一响应;以及
当所述客户机设备(234)在间隔期间未接收到认证所述网络设备(352)的信息时检测所述第二响应。
11.如权利要求10所述的系统,其特征在于,还包括在所述网络设备(352)上:
用于从所述客户机设备(214)接收请求的装置,所述请求包括所述客户机设备(214)的地址;
当所述客户机设备(214)的地址标识物理地位于所述网络(200)上的位置时,用于用所述第一响应来作出响应的装置;以及
当所述客户机设备(214)的地址标识不在所述网络防火墙之内的位置时,用于用所述第二响应来作出响应的装置。
12.如权利要求10所述的系统,其特征在于,还包括在所述网络设备(352)上:
用于从所述客户机设备(214)接收(716)请求的装置,所述请求包括所述客户机设备(214)的地址;
当所述客户机设备(214)的地址标识物理地位于所述网络(200)上的位置时,用于用所述第一响应来作出响应的装置;以及
当所述客户机设备(214)的地址标识未物理地位于所述网络(200)上的位置时,用于用所述第二响应来作出响应的装置。
13.如权利要求10所述的系统,其特征在于,所述网络设备(352)包括第一网络设备(352)并且所述网络(200)包括第二网络设备(442、652),所述系统还包括:
在所述第二网络设备上:
用于从所述客户机设备(214)接收请求的装置,所述请求包括所述客户机设备(214)的地址;
当所述客户机设备的地址标识物理地或虚拟地位于所述网络(200)上的位置时,用于将所述请求提供给所述第一网络设备(352)的装置;以及
当所述客户机设备(234)的地址标识未在所述网络防火墙之内的位置时,用于阻塞所述请求到达所述第一网络设备(352)的装置。
14.如权利要求11所述的系统,其特征在于,所述网络设备(352)包括第一网络设备(352)并且所述网络(200)包括第二网络设备(542),所述系统还包括:
在所述第二网络设备(542)上:
用于从所述第一网络设备(352)接收对所述请求的响应的装置,所述响应包括所述客户机设备(214)的地址;
当所述客户机设备(214)的地址标识物理地位于所述网络(200)上的位置时,用于将所述响应提供给所述客户机设备(214)的装置;以及
当所述客户机设备(214)的地址标识未物理地位于所述网络(200)上的位置时,用于阻塞所述响应到达所述客户机设备(214)的装置。
15.如权利要求9所述的系统,其特征在于,所述网络(200)包括具有企业地址前缀的企业网络(200),并且所述系统还包括:
当所述请求由包括所述企业地址前缀的源地址来标识时,用于作出所述第一响应的装置;以及
当所述请求由不具有所述企业地址前缀的源地址来标识时,用于作出所述第二响应的装置。
16.如权利要求15所述的系统,其特征在于,用于配置所述客户机设备(214、234)根据所述第一安全状态(726)来操作的装置包括用于用与所述客户机设备(214、234)被配置成根据所述第二安全状态(728)来操作的情况相比较不受限的策略来配置防火墙的装置。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10847208P | 2008-10-24 | 2008-10-24 | |
| US61/108,472 | 2008-10-24 | ||
| US12/357,812 US20100107240A1 (en) | 2008-10-24 | 2009-01-22 | Network location determination for direct access networks |
| US12/357,812 | 2009-01-22 | ||
| CN2009801426418A CN102197400A (zh) | 2008-10-24 | 2009-10-15 | 用于直接访问网络的网络位置确定 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009801426418A Division CN102197400A (zh) | 2008-10-24 | 2009-10-15 | 用于直接访问网络的网络位置确定 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106850642A true CN106850642A (zh) | 2017-06-13 |
Family
ID=42118814
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009801426418A Pending CN102197400A (zh) | 2008-10-24 | 2009-10-15 | 用于直接访问网络的网络位置确定 |
| CN201710083731.0A Withdrawn CN106850642A (zh) | 2008-10-24 | 2009-10-15 | 用于直接访问网络的网络位置确定 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009801426418A Pending CN102197400A (zh) | 2008-10-24 | 2009-10-15 | 用于直接访问网络的网络位置确定 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US20100107240A1 (zh) |
| EP (1) | EP2342672A4 (zh) |
| JP (1) | JP5535229B2 (zh) |
| CN (2) | CN102197400A (zh) |
| AR (1) | AR076351A1 (zh) |
| TW (1) | TWI497337B (zh) |
| WO (1) | WO2010048031A2 (zh) |
Families Citing this family (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5305999B2 (ja) * | 2009-03-16 | 2013-10-02 | キヤノン株式会社 | 情報処理装置、その制御方法、及びプログラム |
| US8949411B2 (en) * | 2010-12-16 | 2015-02-03 | Microsoft Corporation | Determining whether a device is inside a network |
| US9313085B2 (en) | 2010-12-16 | 2016-04-12 | Microsoft Technology Licensing, Llc | DNS-based determining whether a device is inside a network |
| CN104205763A (zh) * | 2012-01-26 | 2014-12-10 | 惠普发展公司,有限责任合伙企业 | 基于网络状态控制访问 |
| US9843603B2 (en) * | 2012-10-16 | 2017-12-12 | Dell Products, L.P. | Techniques for dynamic access control of input/output devices |
| US9565213B2 (en) | 2012-10-22 | 2017-02-07 | Centripetal Networks, Inc. | Methods and systems for protecting a secured network |
| US9137205B2 (en) | 2012-10-22 | 2015-09-15 | Centripetal Networks, Inc. | Methods and systems for protecting a secured network |
| US9203806B2 (en) | 2013-01-11 | 2015-12-01 | Centripetal Networks, Inc. | Rule swapping in a packet network |
| US9124552B2 (en) | 2013-03-12 | 2015-09-01 | Centripetal Networks, Inc. | Filtering network data transfers |
| US9094445B2 (en) | 2013-03-15 | 2015-07-28 | Centripetal Networks, Inc. | Protecting networks from cyber attacks and overloading |
| EP3002922A1 (en) * | 2014-09-30 | 2016-04-06 | Alcatel Lucent | Method and system for operating a user equipment device in a private network |
| US10805337B2 (en) * | 2014-12-19 | 2020-10-13 | The Boeing Company | Policy-based network security |
| US9264370B1 (en) | 2015-02-10 | 2016-02-16 | Centripetal Networks, Inc. | Correlating packets in communications networks |
| US9866576B2 (en) | 2015-04-17 | 2018-01-09 | Centripetal Networks, Inc. | Rule-based network-threat detection |
| US9917856B2 (en) | 2015-12-23 | 2018-03-13 | Centripetal Networks, Inc. | Rule-based network-threat detection for encrypted communications |
| US11729144B2 (en) | 2016-01-04 | 2023-08-15 | Centripetal Networks, Llc | Efficient packet capture for cyber threat analysis |
| US10503899B2 (en) | 2017-07-10 | 2019-12-10 | Centripetal Networks, Inc. | Cyberanalysis workflow acceleration |
| US10284526B2 (en) | 2017-07-24 | 2019-05-07 | Centripetal Networks, Inc. | Efficient SSL/TLS proxy |
| US11233777B2 (en) | 2017-07-24 | 2022-01-25 | Centripetal Networks, Inc. | Efficient SSL/TLS proxy |
| US10333898B1 (en) | 2018-07-09 | 2019-06-25 | Centripetal Networks, Inc. | Methods and systems for efficient network protection |
| US11075999B2 (en) * | 2018-08-28 | 2021-07-27 | Citrix Systems, Inc. | Accessing resources in a remote access or cloud-based network environment |
| US11362996B2 (en) | 2020-10-27 | 2022-06-14 | Centripetal Networks, Inc. | Methods and systems for efficient adaptive logging of cyber threat incidents |
| US11159546B1 (en) | 2021-04-20 | 2021-10-26 | Centripetal Networks, Inc. | Methods and systems for efficient threat context-aware packet filtering for network protection |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1313290A1 (en) * | 2001-11-19 | 2003-05-21 | Stonesoft Corporation | A personal firewall with location dependent functionality |
| EP1914956A1 (en) * | 2006-10-17 | 2008-04-23 | Intel Corporation | Enabling a secure platform |
| US20080163332A1 (en) * | 2006-12-28 | 2008-07-03 | Richard Hanson | Selective secure database communications |
Family Cites Families (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6308273B1 (en) * | 1998-06-12 | 2001-10-23 | Microsoft Corporation | Method and system of security location discrimination |
| US6081900A (en) * | 1999-03-16 | 2000-06-27 | Novell, Inc. | Secure intranet access |
| US6931529B2 (en) * | 2001-01-05 | 2005-08-16 | International Business Machines Corporation | Establishing consistent, end-to-end protection for a user datagram |
| US7127742B2 (en) * | 2001-01-24 | 2006-10-24 | Microsoft Corporation | Establishing a secure connection with a private corporate network over a public network |
| US7631084B2 (en) * | 2001-11-02 | 2009-12-08 | Juniper Networks, Inc. | Method and system for providing secure access to private networks with client redirection |
| JP4315696B2 (ja) * | 2002-03-29 | 2009-08-19 | 富士通株式会社 | ホスト端末エミュレーションプログラム、中継用プログラムおよびホスト端末エミュレーション方法 |
| US20030200299A1 (en) * | 2002-04-23 | 2003-10-23 | International Business Machines Corporation | Method and system for providing pervasive computing services through a middle tier service provider utilizing public wired and/or wireless communication networks |
| US7249262B2 (en) * | 2002-05-06 | 2007-07-24 | Browserkey, Inc. | Method for restricting access to a web site by remote users |
| US7448067B2 (en) * | 2002-09-30 | 2008-11-04 | Intel Corporation | Method and apparatus for enforcing network security policies |
| US7249187B2 (en) * | 2002-11-27 | 2007-07-24 | Symantec Corporation | Enforcement of compliance with network security policies |
| US20080109679A1 (en) * | 2003-02-28 | 2008-05-08 | Michael Wright | Administration of protection of data accessible by a mobile device |
| EP1654827A4 (en) * | 2003-08-15 | 2009-08-05 | Fiberlink Comm Corp | SYSTEM, METHOD, APPARATUS AND SOFTWARE PRODUCT FACILITATING DIGITAL COMMUNICATIONS |
| BR0318455A (pt) * | 2003-08-29 | 2006-09-12 | Nokia Corp | método, sistema e servidor de porta de comunicação para prover as regras para o acesso sem fio em uma conexão de túnel segura |
| KR20050064119A (ko) * | 2003-12-23 | 2005-06-29 | 한국전자통신연구원 | 인터넷접속을 위한 확장인증프로토콜 인증시 단말에서의서버인증서 유효성 검증 방법 |
| US20050166070A1 (en) * | 2003-12-24 | 2005-07-28 | Ling Dynamic Systems Ltd. | Web based user interface |
| US8838699B2 (en) * | 2004-02-27 | 2014-09-16 | International Business Machines Corporation | Policy based provisioning of Web conferences |
| US7640288B2 (en) * | 2004-03-15 | 2009-12-29 | Microsoft Corporation | Schema for location awareness |
| US7499998B2 (en) * | 2004-12-01 | 2009-03-03 | Cisco Technology, Inc. | Arrangement in a server for providing dynamic domain name system services for each received request |
| US20060203815A1 (en) * | 2005-03-10 | 2006-09-14 | Alain Couillard | Compliance verification and OSI layer 2 connection of device using said compliance verification |
| US7827593B2 (en) * | 2005-06-29 | 2010-11-02 | Intel Corporation | Methods, apparatuses, and systems for the dynamic evaluation and delegation of network access control |
| WO2007062004A2 (en) * | 2005-11-22 | 2007-05-31 | The Trustees Of Columbia University In The City Of New York | Methods, media, and devices for moving a connection from one point of access to another point of access |
| US20070143827A1 (en) * | 2005-12-21 | 2007-06-21 | Fiberlink | Methods and systems for intelligently controlling access to computing resources |
| US7711800B2 (en) * | 2006-01-31 | 2010-05-04 | Microsoft Corporation | Network connectivity determination |
| US8160062B2 (en) * | 2006-01-31 | 2012-04-17 | Microsoft Corporation | Network connectivity determination based on passive analysis of connection-oriented path information |
| US8151322B2 (en) * | 2006-05-16 | 2012-04-03 | A10 Networks, Inc. | Systems and methods for user access authentication based on network access point |
| US9137663B2 (en) * | 2006-11-02 | 2015-09-15 | Cisco Technology, Inc. | Radio frequency firewall coordination |
-
2009
- 2009-01-22 US US12/357,812 patent/US20100107240A1/en not_active Abandoned
- 2009-10-15 WO PCT/US2009/060876 patent/WO2010048031A2/en active Application Filing
- 2009-10-15 CN CN2009801426418A patent/CN102197400A/zh active Pending
- 2009-10-15 CN CN201710083731.0A patent/CN106850642A/zh not_active Withdrawn
- 2009-10-15 JP JP2011533241A patent/JP5535229B2/ja not_active Expired - Fee Related
- 2009-10-15 EP EP09822462.9A patent/EP2342672A4/en not_active Withdrawn
- 2009-10-23 TW TW098135996A patent/TWI497337B/zh not_active IP Right Cessation
- 2009-10-23 AR ARP090104093A patent/AR076351A1/es not_active Application Discontinuation
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1313290A1 (en) * | 2001-11-19 | 2003-05-21 | Stonesoft Corporation | A personal firewall with location dependent functionality |
| EP1914956A1 (en) * | 2006-10-17 | 2008-04-23 | Intel Corporation | Enabling a secure platform |
| US20080163332A1 (en) * | 2006-12-28 | 2008-07-03 | Richard Hanson | Selective secure database communications |
Also Published As
| Publication number | Publication date |
|---|---|
| US20100107240A1 (en) | 2010-04-29 |
| CN102197400A (zh) | 2011-09-21 |
| WO2010048031A3 (en) | 2010-07-15 |
| TW201106196A (en) | 2011-02-16 |
| WO2010048031A2 (en) | 2010-04-29 |
| EP2342672A2 (en) | 2011-07-13 |
| AR076351A1 (es) | 2011-06-08 |
| JP2012507193A (ja) | 2012-03-22 |
| JP5535229B2 (ja) | 2014-07-02 |
| EP2342672A4 (en) | 2013-04-10 |
| TWI497337B (zh) | 2015-08-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106850642A (zh) | 用于直接访问网络的网络位置确定 | |
| US11843589B2 (en) | Network connection automation | |
| US11750589B2 (en) | System and method for secure application communication between networked processors | |
| CN107210956A (zh) | 多隧道虚拟网络适配器 | |
| JP2016537894A (ja) | 局所/ホームネットワークのためのセキュリティゲートウェイ | |
| CN111726328B (zh) | 用于对第一设备进行远程访问的方法、系统以及相关设备 | |
| Vasilescu et al. | IoT Security Challenges for Smart Homes | |
| US11064544B2 (en) | Mobile communication system and pre-authentication filters | |
| US10819816B1 (en) | Investigating and securing communications with applications having unknown attributes | |
| CN109005182A (zh) | 一种计算机网络管理系统 | |
| EP4351106A1 (en) | Web 3.0 object reputation | |
| Granö et al. | Virtual environments for penetration testing of IoT devices | |
| Frank | Securing Smart Homes with OpenFlow: Feasibility, Implementation, and Performance | |
| Akpah | An improved computer network access control using free BSD PFSENSE A case study of UMaT local area network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20170613 |
|
| WW01 | Invention patent application withdrawn after publication |