CN106936811B - 安全设备、系统和方法 - Google Patents
安全设备、系统和方法 Download PDFInfo
- Publication number
- CN106936811B CN106936811B CN201611270885.2A CN201611270885A CN106936811B CN 106936811 B CN106936811 B CN 106936811B CN 201611270885 A CN201611270885 A CN 201611270885A CN 106936811 B CN106936811 B CN 106936811B
- Authority
- CN
- China
- Prior art keywords
- packet flow
- peer
- information
- application
- security device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/104—Peer-to-peer [P2P] networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0254—Stateful filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/20—Arrangements for monitoring or testing data switching networks the monitoring system or the monitored elements being virtualised, abstracted or software-defined entities, e.g. SDN or NFV
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4535—Network directories; Name-to-address mapping using an address exchange platform which sets up a session between two nodes, e.g. rendezvous servers, session initiation protocols [SIP] registrars or H.323 gatekeepers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/568—Storing data temporarily at an intermediate stage, e.g. caching
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种安全设备、系统和方法,描述了用于共享网络会话数据的技术。该技术可以使安全设备能够以联合方式利用应用分类信息。示例安全设备包括存储器和一个或多个处理器。处理器配置为:从第二安全设备接收表示用于第一分组流的应用分类的数据;接收第二分组流的数据;以及当第二分组流对应于第一分组流时,基于用于第一分组流的应用分类来监控第二分组流的数据,而不确定对第二分组流的应用分类。
Description
技术领域
本公开涉及计算机网络,并且更具体地,涉及例如在计算机网络中使用的下一代防火墙(NGFW)系统的安全设备。
背景技术
计算机网络通常包括交换数据并共享资源的互连的计算设备的集合。设备可以包括例如web服务器、数据库服务器、文件服务器、路由器、打印机、终端用户计算机和其它设备。各种设备可以执行各种不同的服务和通信协议。每个不同的服务和通信协议将网络暴露给不同的安全漏洞。
在典型的网络部署中,可以部署多个下一代防火墙(NGFW)设备。每个NGFW设备可以分别处理大量的网络流量。网络流量属于在不同传输介质(TCP/UDP/HTTP等)上运行的各种应用。NGFW设备单独处理流量并应用动态应用分类算法以便对应用进行分类。在各种非限制性示例使用情况下,NGFW设备可以执行关于点对点(P2P)应用的应用分类。一般来说,NGFW网络设备执行应用分类、存储分类所需的数据并分别进行策略执行。在许多情况下,P2P应用(例如eDonkey、Ares、Mute、Gnuetella,Directconnect和QVOD)用于内容递送、下载和共享文件、视频文件、音频文件等。反过来,这样的P2P应用倾向于消耗大量的网络带宽。用于通过NGFW设备对这样的P2P应用进行分类的算法是复杂的并且中央处理单元(CPU)密集的,因为算法可能消耗大量的CPU时钟周期。
发明内容
一般来说,本公开描述用于减少由应用分类导致的计算资源消耗和网络带宽消耗的技术。根据本公开的各个方面,安全设备(例如NGFW)可以将大量消耗CPU的应用分类操作的结果输出到网络中的其它NGFW。这样,输出的信息可以被其它NGFW重复使用,而不会对相关流量流再次执行这种应用标识操作。根据本公开的方面,这些安全设备(例如,NGFW)可以配置为彼此协调并且彼此交换应用分类信息。应用分类信息的示例包括应用名称、目的地互联网协议(IP)地址和目的地端口。除了应用分类信息之外,所公开的技术可以使得NGFW能够共享元数据和其它属性,像对将来的P2P会话进行分类所需的交换的对等的信息(对等IP和对等端口)。NGFW可以应用输出的分类信息和其它信息以执行用于应用的策略,并且对于可以是P2P应用的应用采取相应的动作(例如,允许/拒绝/丢弃)。
在一个示例中,一种方法,包括:由第一安全设备从第二安全设备接收表示用于第一分组流的应用分类的数据。该方法进一步包括由第一安全设备接收第二分组流的数据,和当第二分组流对应于第一分组流时,由第一安全设备基于用于第一分组流的应用分类来监控第二分组流的数据,而不对第二分组流的应用分类进行确定。
在另一个示例中,第一安全设备包括:存储器,配置为存储网络通信数据;和一个或多个处理器,用于处理网络通信数据的至少一部分。一个或多个处理器可以配置为从第二安全设备接收表示用于第一分组流的应用分类的数据,接收第二分组流的数据,和当第二分组流对应于第一分组流时,基于用于第一分组流的应用分类来监控第二分组流的数据,而不对第二分组流的应用分类进行确定。
在另一示例中,非易失性计算机可读存储介质用指令编码,当被执行时,使得第一安全设备的一个或多个处理器从第二安全设备接收表示用于第一分组流的应用分类的数据,接收第二分组流的数据,并且当第二分组流对应于第一分组流时,基于用于第一分组流的应用分类来监控第二分组流的数据,而不对用于第二分组流的应用分类进行确定。
在另一个示例中,一种系统包括:第一安全设备,配置为将表示用于第一分组流的应用分类的数据发送到通信地耦接到第一安全设备的一个或多个安全设备。该系统可以进一步包括一个或多个安全设备中的第二安全设备,其通信地耦接到第一安全设备,第二安全设备配置为从第一安全设备接收表示用于第一分组流的应用分类的数据,接收第二分组流的数据,和当第二分组流对应于第一分组流时,基于用于第一分组流的应用分类来监控第二分组流的数据,而不对用于第二分组流的应用分类进行确定。
在另一示例中,一种方法包括由第一安全设备确定用于第一分组流的应用分类,以及由第一安全设备将用于第一分组流的应用分类和用于第一分组流的对等信息传送到通信地耦接到第一安全设备的第二安全设备。
本文所描述的技术可提供若干优点。通过在多个设备(例如,NGFW)之间输出和同步分类和相关的P2P信息(例如,对等IP、对等体口),本公开的技术可以节省在其它设备上重新对这些应用进行分类所需的时间、计算资源和网络带宽。以这种方式,本公开的技术可以改善网络性能以及各个设备的性能。网络中部署的多个NGFW可以作为协同设备,学习对等信息并分发信息给其它NGFW。
在附图和下面的描述中阐述了一个或多个示例的细节。从说明书和附图以及从权利要求中,其它特征、目的和优点将是显而易见的。
附图说明
图1A是示出包括配置为在虚拟专用局域网服务(VPLS)网络中接收和发送数据分组的下一代防火墙(NGFW)的示例计算机网络的框图。
图1B是示出在网络的对等设备之间已经建立P2P会话之后的网络的框图。
图1C是示出根据本公开的一个或多个方面的下一代防火墙(NGFW)可以实现的联合策略执行的框图。
图2是示出根据本公开的一个或多个方面的NGFW的示例的框图。
图3是示出根据本公开的一个或多个方面的状态检查引擎的示例实施方式的框图。
图4是示出根据本公开的一种或多种技术的设备可以通过其执行应用分类和状态数据初始化并将得到的会话数据的部分输出到另一设备的示例过程的流程图。
图5是示出根据本公开的一种或多种技术的设备可以在利用由另一设备共享的会话数据的同时执行应用分类和状态数据初始化的示例过程的流程图。
具体实施方式
图1A是示出包括配置为在虚拟专用局域网服务(VPLS)网络10(以下称为“网络10”)中接收和发送数据分组的下一代防火墙系统12A-12C(“NGFW 12”)的示例计算机网络的框图。例如,网络10可以是企业网络、校园网络、服务供应商网络、家庭网络或另一自治系统。站点网络15A-15C(“站点网络15”)中的每一个可以包括在特定站点(例如企业的企业或卫星位置)处的一个或多个局域网(LAN)连接设备。在VPLS实例中,NGFW 12可以跨网络10提供逻辑互连,使得包括在特定VPLS实例中的站点网络15的客户边缘(CE)设备14A-14C(“CE设备14”)显得通过单个LAN连接。以这种方式,位于远程的对等体16可以经由计算机网络10上的仿真LAN并使用服务器18,从而安全地共享数据。对等体16中的每一个可以表示一个或多个设备,其可操作以使用各种点对点(“P2P”)应用(例如和各种其它的应用)来共享数据。
站点网络15可以各自包括多个客户或订户设备,例如台式计算机、膝上型计算机、工作站、无线设备、网络就绪设备、文件服务器、打印服务器或其它设备。在一些情况下,远程站点可以配置为支持多播流量,例如因特网协议电视(IPTV)、桌面会议、公司广播、音乐和视频网络广播以及其它形式的多媒体内容。例如,连接到站点网络15A的源16可以包括多播流量的源服务器,并且连接到站点网络15B-15E的对等体16可以包括多播流量的订户设备。
CE设备14可以是用于它们各自的网络站点15的第三层(L3)路由设备。如图1所示,CE设备14中的每一个连接到对等体16中的相应的一个。例如,如果对等体16A对接收多播组的流量感兴趣,则CE设备14A可以在VPLS中向源16发送控制消息,请求加入多播组。
NGFW 12还可以作为网络交换设备操作,并且同与特定VPLS实例相关联的其它供应商边缘(“PE”)设备建立全网状连接。NGFW 12表示根据本公开的一个或多个方面的安全设备的示例。这样,NGFW 12中的任何一个或多个在本文中可以被称为“安全设备”。在一些示例中,任何NGFW 12可以包括各自的入侵检测和防止系统(IDPS),或者IDPS在任何NGFW12中是可行的。在一些情况下,NGFW 12可以是配置为作为VPLS实例的第二层(L2)交换设备操作的第三层(L3)路由设备。NGFW 12配置为在包括在用于VPLS实例中的CE设备14之间跨计算机网络10转发流量。根据本公开的技术,NGFW 12不需要保持或共享任何路由信息。相反,NGFW 12可以基于从PIM Hello消息窥探的信息和在CE设备14之间发送的PIM控制消息来检查并选择性地转发用于VPLS实例的流量。在如图1所示的示例中,NGFW 12经由附接电路(AC)端口13A-13E(“AC端口13”)连接到每个CE设备14。
根据各种分组流检查技术,安全设备(例如NGFW设备)可以花费大量的计算资源来执行应用分类。通常执行应用分类(也称为应用标识)以便为了用于入侵检测和防止的目的选择适当的签名。例如,应用分类有助于检测来自应用层数据的恶意活动。更具体地,不同的应用具有不同的签名,并且因此,适用于检测到的用于会话的应用的签名被应用于该特定会话的应用层数据。在P2P场景中,相对于P2P分组流(例如,对等体16中的两个之间的分组流),每个单独的NGFW可以独立地消耗大量的计算资源以执行应用分类。此外,在一些情况下,P2P流量(例如会话上的流量)被加密。在这些情况下,由于处理加密数据的额外复杂性,NGFW执行应用分类所消耗的资源甚至可能大于流量未加密时所消耗的资源。为了初始化用于P2P会话的状态信息,NGFW可以将解封装的会话请求的部分转发到P2P服务器(例如服务器18)。进而,P2P服务器(在该示例中的服务器18)使用接收到的信息来确定哪个对等设备能够满足在P2P会话请求中指定的需求。例如,P2P服务器(例如,服务器18)可以通过日志进行迭代,或者可以ping每个对等体(除了发起会话请求的对等设备之外),以确定哪些对等体具有可共享的数据以满足P2P会话请求的要求。
本公开的技术一般涉及跨设备(例如NGFW 12,其可以解释以公共格式传送的预处理的会话数据)共享会话数据。通过在可以解释公共格式化的数据的设备上共享会话数据,该技术使得设备(例如NGFW 12)能够利用先前由彼此生成的应用分类信息。因此,该技术使得P2P会话管理设备能够相关,从而使得设备能够与彼此连接,彼此输出会话数据并且从彼此收集会话数据。每个P2P会话具有唯一的一组信息,并且本公开的技术使得设备能够重复使用会话唯一信息,以避免冗余处理并且减少带宽消耗。
根据一些实施方式,本文描述的技术使得NGFW 12能够共享关于特定P2P流的应用分类信息和对等信息,从而减少为相同的P2P流和/或在相反方向的相应的P2P流执行应用分类所花费的计算资源量。根据所公开的技术的实施方式,一个或多个NGFW 12可以彼此共享存在的P2P应用分类信息和对等信息。更具体地,已经对于特定P2P流执行应用分类的一个或多个NGFW 12可以使得应用分类信息对剩余的NGFW 12可用。例如,NGFW 12A可以执行关于特定P2P流的应用分类,以获得会话信息11A的应用分类部分。另外,NGFW 12A可以将应用分类信息与P2P会话的对等信息相关联,以形成会话信息11A。通过实现本公开的一个或多个技术,NGFW 12A与一个或多个其它NGFW 12(例如NGFW 12B)共享会话信息11A(其包括应用分类信息和对应的对等信息)。
根据本文描述的技术的各种实施方式,NGFW 12A配置为通过会话信息11A输出刚好足够的信息,以使其余的NGFW 12能够服务于P2P会话,而不会重复NGFW 12A已经执行的关于P2P会话的处理。作为示例,NGFW 12A配置为生成会话信息11A,以包括用于P2P会话的应用分类信息和用于P2P会话的对应的对等信息。NGFW 12A可以缓存包括对等IP地址和对等端口的2元组(或者“双”、“有序对”或“耦接”)的对等信息作为缓存的会话信息的一部分。在该示例中,NGFW 12A还缓存应用分类信息作为用于P2P会话的缓存的会话信息的一部分。例如,NGFW 12A可以缓存包括与会话有关的目的地IP地址、目的地端口、应用协议、应用名称和应用分类路径的6元组(或“六元组”)的应用分类信息。
另外,NGFW 12可以交换对等信息2元组(以下称为“元组”)以标识特定分组流以及表示用于分组流的应用分类的数据。因此,例如,NGFW 12A可以将对等信息元组连同应用分类一起发送到NGFW 12B,表示与由对等信息元组标识的分组流相关联的应用的分类。对等信息由第3层(L3)网络数据表示,而应用分类信息由第7层(L7)网络数据表示。尽管这里相对于对等信息元组和应用分类信息进行描述,但是应当理解,在其它示例中,NGFW 12可以实现本公开的各种技术,以使用五元组{源IP地址、目的地IP地址、源端口、目的端口、协议}来标识分组流,并且还提供对应于该五元组的应用分类。
根据本公开的一个或多个方面,NGFW 12A将缓存的会话信息转换为可以由剩余的NGFW 12容易地处理和解释的格式。例如,NGFW 12A可以将缓存的会话信息转换为因特网协议流信息输出(“IPFIX”)格式以形成会话信息11A。在该示例中,NGFW 12A将IPFIX格式的会话信息11A输出到剩余的NGFW 12。虽然会话信息11A在图1A中示为被发送到NGFW 12B和NGFW 12C,但是将理解,NGFW 12A可以直接地或者通过一个或多个中间设备间接地将会话信息11A输出到任何数量的设备。然而,应当理解,根据本文所描述的技术,NGFW 12A可以将会话信息11A输出到剩余的NGFW 12中的多于一个。例如,在起始NGFW 12不直接连接到NGFW12的任何其它设备的情况下,NGFW 12中的每一个可以中继接收到的会话信息11的部分。
接收由另一NGFW 12共享的会话信息11的NGFW 12中的任一个可以实现本公开的各方面,以便在初始化状态信息中利用接收到的会话信息11,用于监控对等体16之间的将来P2P会话。例如,NGFW 12B利用从NGFW 12A接收到的会话信息11A,来初始化用于将来P2P会话的状态信息,该将来P2P会话与从其产生会话信息11A的P2P会话共享公共对等信息参数值。另外,在该示例中,NGFW 12B可以通过重复使用用于任何分组流(对于该分组流,对等信息与会话信息11的对等信息匹配)的会话信息11的应用分类来规避应用分类的过程。在上述示例中,NGFW 12B接收IPFIX格式的会话信息11。根据该示例,NGFW 12B处理和存储会话信息11的对等信息和应用分类信息。
NGFW 12B实现本公开的技术,以将相同P2P会话的将来分组流的对等信息元组与从会话信息11提取的存储的信息进行比较,以确定是否对于接收到的分组流执行应用分类。更具体地,如果对等信息元组与会话信息11的对等信息元组匹配,或者表示返回分组流,则NGFW 12B重复使用应用分类信息,而不执行应用分类的潜在的大量消耗CPU的过程。以这种方式,本公开的技术使得NGFW 12能够在保留计算资源的同时维持精确的P2P服务。
在一个示例中,NGFW 12B可以从对等体16B接收P2P分组流。应用本公开的一个或多个技术,NGFW 12B可以将接收到的分组流的特征与从会话信息11A提取并且本地缓存的会话数据进行比较。在该示例中,NGFW 12B将接收到的P2P分组流的对等信息元组与缓存的会话数据中的对应字段进行比较。如果对等信息元组与从会话信息11提取的缓存的数据相匹配,则NGFW 12B可以在建立用于监控P2P会话的新的分组流的状态信息时跳过应用分类。另外,如果对等信息元组与从会话信息11A提取的缓存的数据相匹配,则NGFW 12B可以配置用于P2P会话的新的分组流的状态数据,而不将该请求转发到服务器18。更具体地,如果对等信息与在缓存的会话数据中反映的对等信息相匹配,匹配数据可以规避对NGFW 12B从服务器18请求对等信息的需要。相反,NGFW 12B可以实现本文公开的技术来经由会话信息11A利用已经由NGFW 12A执行并共享的P2P会话配置。
本文描述的技术提供了超过已知的P2P会话初始化和应用分类技术的若干潜在优点。在上述示例中,NGFW 12A使剩余的NGFW 12能够利用NGFW 12A从NGFW 12A已经处理的会话数据形成的应用标识或分类信息。因此,如果NGFW 12A已经执行解封装和解密数据的潜在的大量消耗CPU的过程以形成应用分类信息,则NGFW 12A可以使得一个或多个其它NGFW12能够避免应用分类处理的重复。另外,NGFW 12A可以将输出的会话信息限制为仅包括用于剩余的NGFW 12的足够的数据以规避应用分类和对等信息获取操作。以这种方式,本公开的技术使得NGFW 12A能够在通过仅将最小所需量的数据转换为IPFIX格式来节省计算资源的同时,与剩余的NGFW 12共享会话信息。该技术还使得NGFW 12A能够在节省网络带宽的同时,共享会话信息11A,这是因为NGFW 12A仅使用最小所需数量的数据来生成会话信息11A,以使剩余的NGFW 12能够规避在已知的P2P技术下反而将执行的应用分类和对等信息获取操作。
类似地,本发明的技术在接收NGFW时也提供若干潜在优点。在上述示例中,NGFW12B在仍然服务于从对等体16B接收的P2P会话请求的同时,利用会话信息11A来规避应用分类和对等信息获取操作。以这种方式,本公开的技术使得NGFW 12B能够节省NGFW 12B将在其他的情况下消耗来执行对于P2P会话请求和用于P2P会话中的分组流的应用分类的计算资源。更具体地,NGFW 12B将从对等体16接收到的对等信息元组和P2P请求的应用分类信息与从会话信息11A提取的缓存的会话数据进行比较,并且如果所有比较数据匹配,则在建立P2P会话中重复使用从会话信息11A提取的应用分类数据。因此,NGFW 12B通过实施本公开的技术来避免在某些情况下的应用分类的潜在的大量消耗资源的过程。另外,本发明的技术使得NGFW 12B在P2P请求的信息与从会话信息11A提取的缓存的会话数据匹配的情况下,能够通过不从服务器18获得对等信息而建立P2P会话来节省网络带宽。
下面描述根据本公开的方面的P2P会话管理的示例过程。首先,NGFW 12A从对等体16A接收去往对等体16B的分组流。进而,NGFW12A基于分组流的一个或多个分组的内容确定用于分组流的应用分类。例如,NGFW 12A可以对一个或多个分组的数据进行解封装和解密(例如,经由深度分组检查)以确定应用分类信息。在该示例中,NGFW 12A然后将表示应用分类信息的数据(例如,目的地IP地址、目的地端口、应用协议、应用名称和应用分类路径的6元组)发送到12B。另外,NGFW 12A还可以基于应用分类来确定分组流的任何分组是否是恶意的。例如,NGFW 12A可以基于应用分类来选择用于检测恶意应用活动的签名。
如果确定分组不是恶意的,则NGFW 12A然后将分组流的分组转发到NGFW 12B。在该示例中,NGFW 12B表示沿分组流到对等体16B的路由的“下一跳”。进而,NGFW 12B经由客户边缘14B和站点15B将分组流的分组转发到对等体16B。
根据P2P会话,NGFW 12B可以从对等体16B接收去往对等体16A的返回分组流。返回分组流可以表示作为相同P2P会话的一部分的来自对等体16B的响应。实现本公开的一个或多个技术,NGFW 12B可以使用应用分类信息来确定从16B到16A的返回分组流的分组是否是恶意的。如果返回分组流的分组被确定为不是恶意的,则NGFW 12B可以经由NGFW 12A将返回分组流的分组转发到对等体16A。
图1B是示出在对等体16A和16B之间已经建立P2P会话之后的网络10的框图。在一些示例中,NGFW 12B可以从对等体16B接收与对等体16A建立P2P会话(例如,会话)的请求。如上所述,NGFW 12B可以将包括在P2P分组流中的信息与从图1A所示的会话信息11A提取的会话数据进行比较。如果对等信息元组与从会话信息11A提取的会话数据的对等信息元组匹配,则NGFW 12B可以初始化用于监控P2P会话的状态信息,而不执行应用分类,并且不从服务器18请求对等信息。相反,NGFW 12B可以通过从提取的会话数据复制应用分类信息来为P2P会话分配应用分类。
另一方面,如果P2P请求与从会话信息11A提取的会话数据或与用于会话(其中已经对该会话执行了应用分类)的其它共享/缓存的会话数据不匹配,则NGFW 12B可以从开始就初始化状态信息并执行用于P2P会话的应用分类。例如,NGFW 12B可以通过从接收到的P2P请求解封装数据、对数据进行解密以标识应用和存储应用分类信息(例如,到NGFW 12B的专用卡)来执行应用分类。另外,NGFW 20可以将解封装的请求数据的部分转发到服务器18。反过来,服务器18可以使用接收到的信息来确定对等体16中的哪个对等设备能够满足P2P会话请求中指定的需要。例如,服务器18可以遍历日志、或者可以ping每个对等体16(除了对等体16B),以确定哪些对等体16具有对等体16B请求的可共享数据。在图1B的示例中,服务器18可以将对等体16A标识为与用于请求的P2P会话的对等体16B配对的对等体。在标识会话的P2P请求的示例中,服务器18可以确定对等体16A具有可用于共享的请求内容,并且对等体16A满足其它要求(例如,连接速度等)以满足请求。
不管P2P会话是基于具有共享和缓存的会话数据的匹配请求信息而建立的,还是基于没能将请求数据与任何缓存的会话数据匹配而新建立的,NGFW 12A和12B可以服务在从对等体16A到对等体16B之间的分组流19。经由分组流19,对等体16A和16B可以参与P2P会话。在上述示例中,对等体16A可以通过会话填充来自对等体16B的数据共享请求。
图1C是示出根据本公开的一个或多个方面的NGFW 12可以实现的联合策略执行的框图。图1C示出了服务器18可以提供给对等设备16A的对等交换数据2和对等设备16B可以发送到服务器18的P2P请求4。例如,对等设备16A可以向服务器18发送P2P请求,以经由与另一个对等设备16的P2P会话请求数字内容。作为响应,服务器18可以向对等设备提供对等交换数据2A,以指示可以满足P2P请求的用于其它对等设备16的IP地址和端口信息。NGFW 12A可以被动地监控或“窥探”对等交换数据2的内容,以预先确定与NGFW 12A可以关于所得到的P2P会话确定的应用分类数据匹配的对等信息。例如,如果对等交换数据指示对应于对等设备16B的目的地IP地址,则NGFW 12A可以将对等设备16B的IP地址和端口号进行分组,该端口号用应用分类信息在与所得到的分组流相关联的对等交换数据2中标识,该应用分类信息是NGFW 12A关于所得到的P2P会话确定的应用分类信息。进而,NGFW 12A可以将对等信息元组和应用分类信息(例如,目的地IP地址、目的地端口、应用协议、应用名称和应用分类路径的6元组)分发给剩余的NGFW 12。
进而,剩余的NGFW 12可以关于具有匹配的对等信息的将来分组流以联合方式执行全网络的策略。例如,网络10的管理员可以相对于由服务器18管理的P2P应用设置某些策略。如果例如NGFW 12B从对等设备16B接收P2P请求4,则NGFW 12B可以将P2P请求4标识为与应用了对等交换数据2应用的P2P会话相关联。更具体地,基于对等设备16B的IP地址和与对等交换数据2的对应部分匹配的端口号,NGFW 12B可以确定P2P请求4与从对等交换数据2得到的P2P会话相关联。反过来,NGFW 12B可以自动地将应用于分类或标识的应用的策略应用于从P2P请求4产生的P2P会话。
例如,网络10的管理员可以设置NGFW 12要阻止、丢弃或拒绝所有P2P流量的规则。在该示例中,NGFW 12B可以基于由NGFW 12A从对等交换数据2上窥探而散布的数据来识别P2P请求4与P2P应用相关联。更具体地,通过在对等交换数据2上窥探,NGFW 12A可以确定服务器18的IP地址和服务器18的特定端口号与P2P应用相关联。NGFW 12A可以将P2P应用标识连同IP地址和端口号一起分发给剩余的NGFW 12。进而,NGFW 12B可以响应于确定目的地IP地址与服务器18的IP地址匹配以及确定目的地端口号与服务器18提供的P2P服务匹配,而通过丢弃P2P请求4来执行网络10的“阻止”策略。
以这种方式,NGFW 12可以实现本公开的技术,以便以更有效地执行全网络的策略的方式来共享和利用应用分类信息。例如,每个NGFW 12可以利用共享的应用分类信息来确定应用于所请求的会话或特定分组流的全网络的策略信息。进而,每个NGFW 12可以相对于所请求的会话或分组流执行网络策略,而不从头开始执行潜在的大量消耗CPU的应用分类。
图2是示出NGFW 20的示例的框图。NGFW 20是图1中所示的NGFW 12中的任一个的示例实施方式。在所示示例中,NGFW 20包括转发平面22,其透明地监控入站网络流量24并将网络流量转发作为出站网络流量26。在图2所示的示例中,转发平面22包括流分析模块25、状态检查引擎28、多个协议解码器30和转发组件31。NGFW 20还包括联合应用分类模块46和安全管理模块44。图2的NGFW 20的示例实施方式将NGFW 20示为单个网络设备,例如图1中所示的NGFW 12之一。然而,应当理解,在本文所描述的各种功能也可以以各种实施方式分布在多个设备上。另外,为了示例的目的关于P2P通信描述了图2的方面的同时,应当理解,NGFW 20及其组件可以实现本公开的技术来处理各种其它类型的通信会话。
图2的NGFW 20的实施方式还包括控制平面23。控制平面23包括安全管理模块44、联合应用分类模块46、数据库48和路由引擎50。安全管理模块44呈现用户界面,管理员42通过该界面配置NGFW 20。例如,管理员42可以配置NGFW 20以监控企业网络的特定子网。另外,安全管理模块44呈现用户界面,管理员42可以通过该用户界面指定一个或多个网络策略39,安全管理模块44将该网络策略39中继到状态检查引擎28。此外,安全管理模块44可以呈现用户界面,管理员42可以通过该用户界面修改关于分组流特性的设想,例如用于监控的最高优先级分组流、用于应用的端口绑定或者确定与分组流相关联的应用和协议类型的其它特征。安全管理模块44还可以呈现用户界面,管理员42可以通过该用户界面来创建、加载、更新、修改、检索或存储应用树,例如图4的应用树70。
流分析模块25接收入站流量24并标识流量内的分组流。每个分组流表示在网络流量内的一个方向上的分组流,并且至少由源地址、目的地地址和通信协议来标识。流分析模块25可以利用附加信息来指定分组流,包括源媒体访问控制(MAC)地址、目的地MAC地址、源端口和目的地端口。其它示例可以使用其它信息来标识分组流,例如IP地址和/或协议。
流分析模块25保持流表35内的描述网络流量内存在的每个活动分组流的数据。流表35指定与每个活动分组流相关联的网络元素,即低级信息,例如源和目的地设备以及与分组流相关联的端口。另外,流表35可以标识共同形成客户端和服务器之间的单个通信会话的分组流的对。例如,流表35可以针对共享至少一些公共网络地址、端口和协议的流,将通信会话指定为相反方向上的分组流对。
状态检查引擎28可以检查分组流以确定与分组流相关联的应用的标识。状态检查引擎28可以进一步确定单个应用是否与分组流相关联,或者应用是否使用另一个应用作为传输。具体地,状态检查引擎28分析分组流以试图标识最初产生分组流的L7处的应用堆栈中的每个应用。除了签名,NGFW 20可以使用重新组合的TCP片段的最小数据大小,以便标识应用的类型。某些应用可能需要最小量的数据,因此NGFW 20可以通过确定分组流是否包含用于所标识的协议的足够的数据来区分恶意分组流。此外,NGFW 20可能不必识别每个应用。
根据现有网络管理技术,可用网络带宽的很大部分由用于内容传送、下载和共享文件(例如视频文件、音频文件等)的P2P应用(例如Ares、Mute、Gnuetella、Directconnect和QVOD)消耗。此外,用于这种P2P应用的应用分类过程可能在供应商边缘设备处消耗大量的CPU周期。联合应用分类模块46和路由引擎50可以实现本公开的技术以节省CPU周期,从而在保持应用分类的准确性的同时提高性能。例如,联合应用分类模块46和路由引擎50可以减少调用状态检查引擎28以对P2P分组流执行应用分类的实例的数量。另外,联合应用分类模块46和路由引擎50可以通过实现本文公开的一个或多个技术来提高网络性能。
促进文件共享的P2P应用的类型影响网络性能并且对网络性能造成损害。因此,组织的管理员可能希望在不损害网络性能的同时,保持对组织的网络的控制。在许多情况下,网络管理员为P2P应用程序设置阻止、拒绝或速率限制的规则,以便网络性能和带宽保持受到控制。在一些网络部署中,采用了大量设备,并且每个设备执行类似的功能。这样的功能的示例包括应用分类、提取和存储用于通信会话的状态数据初始化所需的信息(例如,对等信息)。然后,设备基于应用分类执行策略,并为会话实施策略驱动操作。
根据本公开的技术,网络中的NGFW(例如NGFW 12)配置为协作设备,使得NGFW 12可以通过使用IPFIX或类似协议的网络彼此发送或接收上述信息。联合应用分类模块46配置为实现本公开的一种或多种技术,以利用从位于网络10的供应商边缘处的其它NGFW设备接收的应用分类信息和对等信息,以在减少资源消耗以实现相同的结果的同时获得应用信息。例如,联合应用分类模块46可以接收应用分类(例如,目的地IP地址、目的地端口、应用协议、应用名称和应用分类路径的6元组)信息和对应的(由对等IP地址和IPFIX格式的对等体组成的)对等信息元组。在一些示例中,对等信息元组由用于P2P会话的对等IP地址和对等端口组成。联合应用分类模块46实施本发明的技术以从所接收的数据(例如来自图1中所示的会话信息11)提取对等信息元组和应用程序分类信息。进而,联合应用分类模块46配置为在NGFW 20本地缓存提取的对等信息元组和应用分类信息。例如,联合应用分类模块46可以将提取的对等信息元组和应用分类存储到NGFW 20的数据库48中。通过将提取的对等信息和应用分类信息(统称为“会话数据”)存储到数据库48,联合应用分类模块46使得NGFW20能够重复使用缓存的会话数据来更新在相同的两个对等体之间正在进行的P2P会话的状态信息。类似的,联合应用分类模块46可以确定用于相应分组流的应用先前是否由不同的NGFW标识。以这种方式,联合应用分类模块实现本公开的一个或多个方面,以节省计算资源和网络带宽,同时保持用于P2P会话初始化的状态信息的准确性。
进而,NGFW 20可以实现本公开的技术以将缓存的会话数据中继到相同网络(例如,图1的网络10)中的其它NGFW设备。例如,NGFW 20的路由引擎50可以从数据库48获得缓存的会话数据。根据该示例,在路由引擎50上执行的守护进程将获得的会话数据的对等信息元组和应用分类信息6元组转换成IPFIX格式。进而,联合应用分类模块46可以将IPFIX格式的会话数据输出到网络中的不直接连接到向NGFW 20提供会话数据的NGFW的其它NGFW。在一些情况下,始发NGFW可以将IPFIX格式的会话数据传播到网络中的所有NGFW,其中NGFW20可以附带地转发到一个或多个NGFW。然后,其它NGFW可以从接收自NGFW 20的IPFIX格式的信息中提取会话数据,并且使用会话数据来初始化具有匹配的会话数据的将来P2P会话的状态信息。以这种方式,联合应用分类模块46实现本公开的一种或多种技术,以使得网络中的其它NGFW能够在初始化用于监控将来的P2P会话的状态信息中利用预处理的会话信息。例如,联合应用分类模块46促进在不彼此直接连接的NGFW之间共享预处理的会话数据。
在NGFW 20执行应用分类并初始化用于监控P2P会话的状态信息的情况下,联合应用分类模块46实现本公开的技术来缓存和输出生成的应用分类信息(例如,目的地IP地址、目的地端口、应用协议、应用名称和应用分类路径的6元组)到网络10中的其它NGFW。在一些情况下,P2P分组流对于联合应用分类模块46可以是“新的”,因为联合应用分类模块46可能没有访问与(从下游设备接收的P2P分组流的对等信息元组匹配的)先前处理的会话信息。作为一个示例,数据库48可以不具有在接收P2P分组流时缓存的任何会话信息。作为另一示例,数据库48可以包括从由另一NGFW共享的会话信息提取的一些预处理的会话数据,例如图1所示的会话信息11A。然而,在该示例中,可应用于P2P分组流的对等信息元组可能不与先前缓存在数据库48中的任何会话数据的对应元组相匹配。
在这些情况下,NGFW 20的状态检查引擎28针对接收到的P2P会话请求执行应用分类。更具体地,状态检查引擎28解封装和解密会话请求的有效载荷以确定应用分类27。状态检查引擎28还可以将应用分类27传送到联合应用分类模块46。在各种示例中,状态检查引擎28可以将应用分类输出到联合应用分类模块,或者可以使应用分类27可用于通过联合应用分类模块46的按需检索。NGFW 20还初始化用于在这些情形中监控P2P会话的状态信息。如上所述,NGFW 20将请求的部分转发到P2P服务器,并且接收标识可以满足P2P会话请求的对等设备的服务器响应。进而,NGFW 20使用从服务器接收的对等信息来初始化用于P2P会话的状态信息。联合应用分类模块46和路由引擎50可以实现本公开的各种技术,以在初始化用于监控将来P2P会话的状态信息中能够重复使用应用分类信息和对等信息(统称为“会话数据”)。例如,联合应用分类模块46可以通过将会话数据存储到数据库48来缓存生成的会话数据。进而,路由引擎50可以以IPFIX格式(其可以由位于网络的供应商边缘的其它NGFW解释)打包对等信息元组和应用信息。联合应用分类模块46可以获得IPFIX格式的会话数据,并且将会话数据输出到位于网络的供应商边缘处的其它NGFW。应当理解,路由引擎50可以实现本公开的技术,以在不同时间或同时提取和格式化缓存的应用分类信息和缓存的对等信息。类似地,联合应用分类模块可以在不同时间或同时输出IPFIX格式的应用分类信息6元组和IPFIX格式的对等信息元组。另外,虽然为了说明的目的而在此针对P2P会话进行描述,但是应当理解,本公开的技术可以使NGFW 20能够缓存和/或输出用于除了P2P会话之外的会话的网络会话数据。
因此,NGFW 20的联合应用分类模块46和路由引擎50实现本公开的技术,以便与同一网络中的其它NGFW共享由状态检查引擎28生成的应用分类数据。通过共享由状态检查引擎28生成的应用分类数据,联合应用分类模块46和路由引擎50使得网络中的其它NGFW能够标识应用,而不消耗在其他情况下将从头开始执行应用分类所需的计算资源。相反,接收NGFW可简单地将将来分组流、返回分组流或P2P会话请求的对等信息元组与由联合应用分类模块46提供的会话数据相关,并从其推断应用分类信息。另外,通过共享用于P2P会话的对等信息元组,联合应用分类模块46和路由引擎50实现本公开的技术,以使得网络中的其它NGFW能够初始化用于监控相同对等体之间的将来P2P会话的状态信息,而不需要消耗在其他情况下将需要的计算资源并消耗在其他情况下将需要的网络带宽。以这种方式,联合应用分类模块46和路由引擎50可以实现本公开的技术,以在保持在对等设备之间监控通信会话的鲁棒性的同时,改进设备级性能度量和网络性能。换句话说,联合应用分类模块46和路由引擎50使得网络中的一个或多个其它NGFW能够服务参与通信会话的两个对等组(其中每个对等体位于多个最终用户设备的上游)。
在一些示例中,NGFW 20实现本公开的各方面以利用来自同一网络中的其它NGFW的规则和动作信息。例如,NGFW 20可以通过利用从其它NGFW获得的规则来执行策略执行,而不达到流量流的应用分类的阶段。在一个示例中,NGFW 20是学术网络(例如大学网络)的一部分。大学可以执行强制丢弃所有P2P流量的规则。NGFW 20可以实现本公开的技术,以从网络中的其它NGFW获得“无P2P”规则,并且可以自动丢弃所有P2P流量。在这种情况下,NGFW20从其它NGFW获得规则,并且实现全网络的策略执行,而不对流量流执行潜在的大量消耗CPU的应用分类。例如,NGFW 20可以丢弃任何接收的用于P2P流的IPFIX消息,而不提取封装的会话信息。NGFW 20还可以实现本公开的利用策略执行技术,以针对用于通信会话的共享会话信息实现“阻止”或“拒绝”规则。
图3是示出状态检查引擎28的示例实现的框图。在图3所示的示例中,状态检查引擎28包括重组模块51、应用分类模块53和会话数据输出模块52。此外,状态检查引擎28包括数据缓冲器55和策略动作模块33。虽然状态检查引擎28及其组件可以实施本发明的技术,以处理各种类型的通信会话,下面关于P2P会话来描述作为非限制性示例的图3的方面。
重组模块51接收入站网络流量24并从分组流重组应用层通信32。重组模块51将重组的应用层通信32转发到适当的协议解码器30用于处理。
应用分类模块53标识用于每个拦截的通信会话的应用的类型和底层协议。当状态检查引擎28接收到作为分组流的一部分的分组时,重组模块51在数据缓冲器55中缓冲分组。在一个示例中,数据缓冲器55可以将数据存储作为滑动窗口。也就是,数据缓冲器55可以存储数据直到变满或达到用于标识的指定的所需最小数据量。当装满时,数据缓冲器55丢弃某些数据以腾出用于存储新数据的空间。在一个示例中,数据缓冲器55可以根据先入先出(“FIFO”)式协议存储和丢弃数据,其中,要存储的第一数据是当数据缓冲器55变满时要丢弃的第一数据。在另一个示例中,数据缓冲器55可以根据最近最少使用的协议丢弃数据,其中,当数据缓冲器55变满时,已经最近最少使用的分组流将被丢弃以为要存储的新数据腾出空间。
在一个示例中,重组模块51可以根据5元组{源IP地址、目的地IP地址、协议、源端口、目的地端口}将分组流中的分组和作为通信会话的分组流相关联。其它示例实施方式可以使用其它形式的关联分组。例如,在一个实施方式中,NGFW 20可以是利用虚拟局域网(VLAN)的网络的一部分。因此,重组模块51可以根据VLAN标识符、源地址和目的地地址来将分组流中的分组相关联。在任何情况下,重组模块51可以利用在流表35(图2)内保持的信息来重组网络数据,例如以形成重组的TCP数据。
应用分类模块53分析用于分组流的重组数据以标识与分组流相关联的应用和协议的类型。如果应用分类模块53不能分类或标识与分组流相关联的应用和协议的类型,则应用分类模块53可以使用公知的静态端口绑定作为默认应用选择。下面的表1示出了示例静态端口绑定列表。其它实施方式可以使用静态端口列表中更多、更少或不同的条目。此外,管理员42可以使用安全管理模块44配置静态端口映射。虽然表1示出了应用分类模块53可以处理的应用的非限制性示例,但是应当理解,应用分类模块53还可以使用本文描述的技术来处理其它应用。
表1
端口 | 应用 |
20 | FTP |
22 | SSH |
23 | Telnet |
25 | SMTP |
43 | WHOIS |
53 | DNS |
67 | BOOTP或DHCP |
70 | Gopher |
79 | Finger |
80 | HTTP |
109 | POP |
110 | POP3 |
113 | ident/IRC |
118 | SQL |
119 | NNTP |
194 | IRC |
443 | HTTPS |
445 | SMB |
564 | RTSP |
在应用分类模块53不能分类或标识用于分组流的应用和协议的类型的情况下,应用分类模块53可以使用默认静态端口映射来确定应用,使得NGFW 20相应地进行响应。在一些情况下,应用分类模块53可能不能分类或标识应用,并且静态端口映射可能不具有用于所请求的端口号的条目。各种实现方式可以根据例如系统管理员的规范来处理这种情况。例如,在一个实施方式中,NGFW 20简单地转发具有未确定的应用类型和不能由静态端口映射确定的协议的分组流,因为未知应用可以指示分组流不针对已知的任何类型的应用从而造成安全威胁。在其它示例中,NGFW 20可以自动丢弃具有未知应用类型和不能由静态端口映射确定的协议的分组流。
应用分类模块53可以包括类似应用类型的分层排序列表。应用分类模块53可以将该列表作为树结构存储在计算机可读介质中。安全管理模块44可以向管理员42提供用户界面以修改列表的内容和层次。在接收到可能属于若干类似应用中的一个的分组流时,应用分类模块53可以通过选择在分组流对应的列表中指定为最高排序应用的应用类型来实现应用和相关协议的初步“最佳猜测”。当应用分类模块53接收到关于分组流的更多信息时,应用分类模块53可以相应地改变原始确定。在确定应用之后,应用分类模块53可以缓存该确定以用于后续比较。
根据本公开的方面,会话数据输出模块52可以配置为使联合应用分类模块46能够与相同网络中的其它NGFW设备共享会话数据。例如,会话数据输出模块52可以实现本公开的一种或多种技术,以将应用分类6元组与用于与网络中的其它NGFW设备共享的对等信息元组组合。
在应用分类模块53确定分组与新会话相关联的情况下,应用分类模块53可以执行深度分组检查以确定分组流的应用分类信息。例如,应用分类模块53可以解封装、解密和检查分组流的一个或多个数据分组的内容,以确定应用分类。根据本公开的一个或多个方面,应用分类模块53使得应用分类信息对联合应用分类模块46可用。在一个示例中,应用分类模块53输出可用于联合应用分类模块46的应用分类信息。另一个示例,应用分类模块53向联合应用分类模块46授予对应用分类信息的访问权,由此使得联合应用分类模块46能够在需要的基础上主动获得信息。在已经为分组流确定了应用分类的情况下,重组模块51可以直接向协议解码器30提供应用数据32,而不调用应用分类模块53以确定应用分类,因为应用分类信息已经可用。
根据本发明的一个或多个方面,策略动作模块33可以配置为基于共享会话数据以联合方式执行全网络策略约束。例如,策略动作模块33可以从安全管理模块44(图2)接收一个或多个网络策略39。进而,策略动作模块33可以基于与请求有关的应用分类信息,将预定的网络策略39自动应用于会话请求或分组流。
在检测到安全风险的情况下,状态检查引擎28向安全管理模块44(图2)输出警报40以记录和进一步分析。状态检查引擎28还可以引导转发组件31自动丢弃与其中检测到网络攻击的应用层通信相关联的分组流。以这种方式,状态检查引擎28将模式匹配与协议特定异常分析组合以检测复杂攻击行为。
图4是示出根据本公开的一种或多种技术的示例过程70的流程图,通过该示例过程70,设备可以执行应用分类和状态数据初始化并将得到的会话数据的部分输出到另一设备。虽然过程70可以由各种设备执行(例如定位在网络的供应商边缘的设备),但是如图2所示,过程70在这里被描述为由NGFW 20(和/或其组件)执行。过程70可以在NGFW 20从下游对等设备接收到通信会话请求时开始(71)。虽然NGFW 20可以根据本公开的技术来服务各种类型的通信会话,但是本文中关于P2P会话作为非限制性示例描述了过程70。进而,状态检查引擎28可以关于接收到的会话请求执行应用分类(72)。例如,状态检查引擎28可以解封装和解密P2P会话请求的数据,以确定用于得到的会话的任何分组流的应用分类信息。另外,状态检查引擎28可以遍历NGFW 20的服务卡以确定任何服务卡是否包括与接收到的P2P会话请求的应用类型匹配的应用分类信息。如果状态检查引擎确定没有服务卡包括与P2P会话请求的应用类型匹配的应用信息,则状态检查引擎28可以用P2P请求的应用标识信息填充服务卡。在下面进一步详细描述的非限制性示例中,接收到的P2P请求用于数据共享会话。
在状态检查引擎28针对接收到的P2P会话请求执行应用分类之后,联合应用分类模块46可以在NGFW 20本地缓存应用分类信息(74)。例如,联合应用分类模块46可以缓存与所请求的会话(在这种情况下,请求的P2P会话)有关的目的地IP地址、目的地端口、应用协议、应用名称和应用分类路径的6元组。另外,联合应用分类模块46可以在NGFW 20本地缓存请求的P2P会话的对等信息(80)。例如,在接收到的P2P会话请求与会话相关联的示例中,联合应用分类模块46可以将标识信息与会话请求的对等信息相关联以形成会话数据,并将会话数据存储到数据库48。在会话的建立时间,NGFW 20可以促进客户端设备和跟踪器服务器(例如,图1的服务器18)之间的对等交换。在对等交换时,跟踪器服务器可以将对等列表发送到客户端(对等体16中的一个)。NGFW 20可以提取和存储会话属性,例如对等IP、对等端口信息和协议信息(统称为“对等信息元组”)。
NGFW 20的路由引擎50可以从数据库48获得会话数据,并将会话数据转换为IPFIX格式(82)。尽管本文关于IPFIX格式作为非限制性示例进行描述,但是应当理解,路由引擎50可以实现本公开的技术,以将缓存的会话数据转换为可以由其它供应商边缘设备(例如,NGFW)容易地处理的任何其它格式。进而,联合应用分类模块46可以将IPFIX格式的会话数据输出到网络中的其它NGFW(84)。例如,联合应用分类模块46可以配置有可以处理和同步该输出的IPFIX格式的会话数据的其它NGFW的IP地址集合。
图5是示出根据本公开的一种或多种技术的示例过程90的流程图,通过该示例过程90,设备(例如,图2的NGFW 20)可以在利用由另一设备共享的会话数据的同时,执行应用分类和状态数据初始化。过程90可以在NGFW 20从位于相同网络的供应商边缘处的另一NGFW接收到IPFIX格式的会话数据(即,用于通信会话的应用分类信息6元组和对应的对等信息元组的组合)时开始(100)。经由路由引擎50执行的守护进程或“IPFIX监听器”配置为监控或“监听”承载以IPFIX格式共享的会话数据的IPFIX消息。为了检测共享会话数据的IPFIX格式的消息,在路由引擎50处执行的IPFIX监听器可以确定与消息相关联的消息类型(“msg类型”)是否对应于应用分类信息。
在路由引擎50检测到包括共享会话数据的IPFIX格式的消息时,联合应用分类模块46可以提取应用分类信息6元组和对等信息元组,并且通过将提取的会话数据存储到数据库48来缓存提取的会话数据(102)。另外,路由引擎50可以将从会话数据提取的应用分类信息中继到NGFW20的服务卡或“服务图片(service pic)”。通过将应用分类信息转发到服务图片,路由引擎50可以将应用分类信息与由转发引擎22的组件(例如状态检查引擎28)生成或使用的数据同步。
进而,NGFW 20可以从下游设备(例如对等设备)接收现存的通信会话的新分组流(104)。联合应用分类模块46可以在数据库48中执行系统缓存查找以确定与会话请求(例如,P2P请求)的对应参数匹配的对等信息元组是否已经经由来自其它NGFW的共享而被缓存。另外,安全管理模块44可以执行适用于标识的应用(在一个示例中为)的任何缓存的防火墙策略。
联合应用分类模块46可以确定会话请求中提供的对等信息元组是否匹配先前提取并存储到数据库48的任何共享会话数据(判定框106)。如果联合应用分类模块46确定数据库48包含与会话请求的对等信息元组匹配的会话数据(106的“是”分支),则联合应用可以使用缓存的应用分类信息来初始化通信会话的会话属性(108)。在该示例中,基于P2P会话请求和已经在数据库48处缓存的会话数据之间的对等信息字段的匹配,在NGFW 20处不对会话(例如,P2P会话)的处理进行重新分类。相反,联合应用分类模块46可以重复使用存储在数据库48中的对应于匹配的对等信息元组的应用分类。以这种方式,NGFW 20实现本公开的技术,以通过在一些情况下避免应用分类来节省计算资源,因为应用分类通常是大量消耗CPU的过程。
然而,如果联合应用分类模块46确定会话请求的会话数据不匹配任何缓存的会话数据(106的“否”分支),则联合应用分类模块46可以使状态检查引擎28执行对于新分组流的应用分类(110)。例如,状态检查引擎28可以解封装和解密新分组流的数据。另外,状态检查引擎28可以调查NGFW 20的服务卡以确定适当的应用分类,或者如果没有服务卡包括匹配,则可以用应用分类填充服务卡。进而,状态检查引擎28可以使用生成的应用分类信息和在对等交换期间从跟踪器服务器获得的对等信息来初始化所请求的会话的会话属性(112)。
联合应用分类模块46可以通过将合并的会话数据存储到数据库48来缓存与分组流有关的应用分类信息和对等信息元组(114)。进而,路由引擎50和联合应用分类模块46可以以IPFIX格式打包所请求的(例如,P2P)会话的会话数据,并将IPFIX格式的会话信息输出到网络的各种协作设备(例如,其它NGFW)。以这种方式,NGFW 20实现本公开的技术,以使得协作的设备能够利用预处理的会话属性,并且避免在某些情况下的应用分类。
以这种方式,NGFW 20表示第一安全设备的示例,该第一安全设备包括配置为存储网络通信数据的存储器和用于处理网络通信数据的至少一部分的一个或多个处理器。第一安全设备的一个或多个处理器可以配置为:从第二安全设备接收表示用于第一分组流的应用分类的数据;接收第二分组流的数据;以及当第二分组流对应于第一分组流时,基于用于第一分组流的应用分类来监控第二分组流的数据,而不对用于第二分组流的应用分类进行确定。在一些示例中,第一安全设备的一个或多个处理器进一步配置为当第二分组流不对应于第一分组流时,确定用于第二分组流的应用分类;以及基于为第二分组流确定的应用分类来监控第二分组流。在一些示例中,为了确定用于第二分组流的应用分类,第一安全设备的一个或多个处理器配置为解封装和解密第二分组流的至少一个数据分组的数据。
在一些示例中,第一安全设备的一个或多个处理器进一步配置为将与第一分组流相关联的第一对等信息和与第二分组流相关联的第二对等信息进行比较,以确定第二分组流是否对应于第一分组流。在一些示例中,第一对等信息和第二对等信息中的每一个包括第三层(L3)数据,并且用于第一分组流的应用分类包括第七层(L7)数据。在一些示例中,第一对等信息和第二对等信息中的每一个包括对等互联网协议(IP)地址和对等端口的各自的元组。在一些示例中,第一安全设备的一个或多个处理器进一步配置为当第二对等信息匹配第一对等信息时,确定第二分组流对应于第一分组流。在一些示例中,第一安全设备的一个或多个处理器配置为当第二对等信息与第一对等信息不匹配时,确定第二分组流不对应于第一分组流。
根据一些示例,第一安全设备的一个或多个处理器进一步配置为通过窥探在位于第一安全设备的下游的客户端设备与位于第一安全设备上游的服务器之间传送的数据分组来确定第二对等信息。根据一些示例,第一安全设备的一个或多个处理器进一步配置为通过窥探在位于第一安全设备下游的第一客户端设备和位于第二安全设备下游的第二客户端设备之间传送的数据分组来确定第二对等信息。根据一些示例,一个或多个处理器进一步配置为缓存表示用于第一分组流的应用分类的数据,并且将表示用于第一分组流的应用分类的数据中继到第三安全设备。
在一些示例中,第一安全设备的一个或多个处理器进一步配置为当第二分组流不对应于第一分组流时,确定用于第二分组流的应用分类,并且将为第二分组流确定的应用分类发送到第三安全设备。在一些示例中,本公开涉及一种系统,其包括第一安全设备,第一安全设备配置为将表示用于第一分组流的应用分类的数据发送到通信地耦接到第一安全设备的一个或多个安全设备。该系统可以进一步包括通信地耦接到第一安全设备的一个或多个安全设备中的第二安全设备,第二安全设备配置为从第一安全设备接收表示用于第一分组流的应用分类的数据,接收第二分组流的数据,以及当第二分组流对应于第二分组流时,基于用于第一分组流的应用分类来监控第二分组流的数据,而不对第二分组流的应用分类进行确定。在一些示例中,本公开涉及第一安全设备,其配置为确定用于第一分组流的应用分类,并且将用于第一分组流的应用分类和用于第一分组流的对等信息传送到通信地耦接到第一安全设备的第二安全设备。
本公开中描述的技术可以以硬件或硬件和软件(包括固件)的任何组合来实现。被描述为单元、模块或组件的任何特征可以一起实现在集成逻辑设备中或者单独地实现为离散但彼此协作的逻辑设备。如果以硬件实施,则该技术可在处理器、电路、逻辑元件的集合或执行本文中所描述的技术的任何其它设备中实现。如果在软件中实现,则该技术可以至少部分地通过用有非易失性计算机可读存储介质或计算机可读存储装置编码、在其上存储或包括指令,在执行该指令时,可以使一个或多个处理器(例如可编程处理器)执行上述方法中的一个或多个。非易失性计算机可读介质可以形成计算机程序产品的一部分,计算机程序产品可以包括封装材料。非易失性计算机可读介质可以包括随机存取存储器(RAM)(例如同步动态随机存取存储器(SDRAM))、只读存储器(ROM)、非易失性随机存取存储器(NVRAM)、电可擦除可编程只读存储器(EEPROM)、闪存、磁性或光学数据存储介质等。另外或者可代替的,该技术可至少部分地由计算机可读通信介质实现,该计算机可读通信介质以指令或数据结构的形式携带或传送代码,并且可由计算机访问、读取和/或执行。
代码可以由一个或多个处理器执行,例如一个或多个数字信号处理器(DSP)、通用微处理器、专用集成电路(ASIC)、现场可编程逻辑阵列(FPGA)或其它等效集成或离散逻辑电路。因此,如本文所使用的术语“处理器”可以指代任何前述结构或适于实现本文所描述的技术的任何其它结构。类似的,如本文所使用的术语“控制单元”可以指代任何前述结构或适于实现本文所描述的技术的任何其它结构。另外,在一些方面中,本文所描述的功能可在经配置为执行本发明的技术的专用软件和硬件单元内提供。不同特征作为单元的描述旨在突出所示设备的不同功能方面,并且不一定意味着这样的单元必须由单独的硬件或软件组件实现。相反,与一个或多个单元相关联的功能可以集成在公共或单独的硬件或软件组件内。
已经描述了各种示例。这些和其它示例在所附权利要求的范围内。
Claims (12)
1.一种安全方法,包括:
由第一安全设备从第二安全设备接收表示用于第一分组流的应用分类信息的第7层网络数据,其中,表示应用分类信息的所述第7层网络数据标识产生第一分组流的应用;
由所述第一安全设备接收第二分组流的数据分组;
由所述第一安全设备确定第二分组流是由产生所述第一分组流的应用产生的;以及
基于所述第二分组流是由产生所述第一分组流的应用产生的,由所述第一安全设备基于表示用于所述第一分组流的所述应用分类信息的第7层网络数据来监视所述第二分组流的所述数据分组,而不对用于所述第二分组流的单独的应用分类信息进行确定。
2.根据权利要求1所述的安全方法,其中,确定所述第二分组流是由产生所述第一分组流的应用产生的包括由所述第一安全设备将所述第一分组流的第一对等信息和所述第二分组流的第二对等信息进行比较。
3.根据权利要求2所述的安全方法,
其中,所述第一对等信息和所述第二对等信息中的每一个包括第三层网络数据。
4.根据权利要求2所述的安全方法,其中,所述第一对等信息和所述第二对等信息中的每一个包括包含对等互联网协议地址和对等端口的相应元组。
5.根据权利要求2所述的安全方法,进一步包括:
其中,确定第二分组流是由产生第一分组流的应用产生的包括基于所述比较,由所述第一安全设备确定所述第二对等信息与所述第一对等信息匹配。
6.根据权利要求2所述的安全方法,进一步包括由所述第一安全设备通过窥探在位于所述第一安全设备下游的客户端设备与位于所述第一安全设备上游的服务器之间传送的分组数据来确定所述第二对等信息。
7.根据权利要求2所述的安全方法,进一步包括由所述第一安全设备通过窥探在位于所述第一安全设备下游的第一客户端设备与位于所述第二安全设备下游的第二客户端设备之间传送的分组数据来确定所述第二对等信息。
8.根据权利要求1所述的方法,进一步包括:
由所述第一安全设备缓存表示用于所述第一分组流的所述应用分类信息的所述第7层网络数据;以及
由所述第一安全设备将表示用于所述第一分组流的所述应用分类信息的所述第7层网络数据中继到第三安全设备。
9.一种安全方法,包括:
由第一安全设备确定表示用于第一分组流的应用分类信息的第7层网络数据;和
由所述第一安全设备将表示用于所述第一分组流的所述应用分类信息的所述第7层网络数据和用于所述第一分组流的、包括对等网络协议地址和对等端口的对等信息传送到通信地耦接到所述第一安全设备的第二安全设备;
其中,所述第二安全设备:
从第一安全设备接收表示用于所述第一分组流的所述应用分类信息的所述第7层网络数据;
接收第二分组流的数据分组;
确定所述第二分组流是由产生所述第一分组流的应用产生的;并且
基于所述第二分组流是由产生所述第一分组流的应用产生的,基于表示用于所述第一分组流的所述应用分类信息的第7层网络数据来监视所述第二分组流的所述数据分组,而不对用于所述第二分组流的单独的应用分类信息进行确定。
10.一种安全设备,包括:
存储器,配置为存储网络通信数据;以及
一个或多个处理器,用于处理所述网络通信数据的至少一部分,所述一个或多个处理器配置为执行根据权利要求1至8中任一项所述的安全方法。
11.一种安全设备,包括:
存储器,配置为存储网络通信数据;和
一个或多个处理器,用于处理所述网络通信数据的至少一部分,所述一个或多个处理器配置为执行根据权利要求9所述的方法。
12.一种安全系统,包括:
第一安全设备,配置为:
将表示用于第一分组流的应用分类信息的第7层网络数据发送到通信地耦接到所述第一安全设备的一个或多个安全设备,其中,表示应用分类信息的所述第7层网络数据标识产生第一分组流的应用;以及
所述一个或多个安全设备中的第二安全设备,通信地耦接到所述第一安全设备,所述第二安全设备配置为:
从第一安全设备接收表示用于所述第一分组流的所述应用分类信息的所述第7层网络数据;
接收第二分组流的数据分组;
确定所述第二分组流是由产生所述第一分组流的应用产生的;并且
基于所述第二分组流是由产生所述第一分组流的应用产生的,基于表示用于所述第一分组流的所述应用分类信息的第7层网络数据来监视所述第二分组流的所述数据分组,而不对用于所述第二分组流的单独的应用分类信息进行确定。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US14/983,982 | 2015-12-30 | ||
US14/983,982 US10075416B2 (en) | 2015-12-30 | 2015-12-30 | Network session data sharing |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106936811A CN106936811A (zh) | 2017-07-07 |
CN106936811B true CN106936811B (zh) | 2020-09-25 |
Family
ID=57714388
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201611270885.2A Active CN106936811B (zh) | 2015-12-30 | 2016-12-30 | 安全设备、系统和方法 |
Country Status (3)
Country | Link |
---|---|
US (1) | US10075416B2 (zh) |
EP (1) | EP3188440B1 (zh) |
CN (1) | CN106936811B (zh) |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11089064B1 (en) | 2016-09-12 | 2021-08-10 | Skyhigh Networks, Llc | Cloud security policy enforcement for custom web applications |
US10374803B2 (en) | 2017-10-06 | 2019-08-06 | Stealthpath, Inc. | Methods for internet communication security |
US10367811B2 (en) | 2017-10-06 | 2019-07-30 | Stealthpath, Inc. | Methods for internet communication security |
WO2019071126A1 (en) * | 2017-10-06 | 2019-04-11 | Stealthpath, Inc. | INTERNET COMMUNICATION SECURITY METHODS |
US10361859B2 (en) | 2017-10-06 | 2019-07-23 | Stealthpath, Inc. | Methods for internet communication security |
CN110784835A (zh) * | 2018-07-31 | 2020-02-11 | 中兴通讯股份有限公司 | 数据流量的处理方法、装置、终端及计算机存储介质 |
US10841393B2 (en) | 2018-11-12 | 2020-11-17 | Citrix Systems, Inc. | Systems and methods for secure peer-to-peer caching |
US11088952B2 (en) * | 2019-06-12 | 2021-08-10 | Juniper Networks, Inc. | Network traffic control based on application path |
US10771524B1 (en) * | 2019-07-31 | 2020-09-08 | Theta Labs, Inc. | Methods and systems for a decentralized data streaming and delivery network |
US11558423B2 (en) | 2019-09-27 | 2023-01-17 | Stealthpath, Inc. | Methods for zero trust security with high quality of service |
US11637779B2 (en) | 2021-07-28 | 2023-04-25 | Hewlett Packard Enterprise Development Lp | Application classification distribution to network devices |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102694861A (zh) * | 2012-05-28 | 2012-09-26 | 华为终端有限公司 | 一种基于云技术的终端应用软件分类方法、装置及系统 |
US8291495B1 (en) * | 2007-08-08 | 2012-10-16 | Juniper Networks, Inc. | Identifying applications for intrusion detection systems |
Family Cites Families (75)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5598535A (en) | 1994-08-01 | 1997-01-28 | International Business Machines Corporation | System for selectively and cumulatively grouping packets from different sessions upon the absence of exception condition and sending the packets after preselected time conditions |
US5802320A (en) | 1995-05-18 | 1998-09-01 | Sun Microsystems, Inc. | System for packet filtering of data packets at a computer network interface |
JP3661235B2 (ja) | 1995-08-28 | 2005-06-15 | 株式会社日立製作所 | 共有メモリシステム、並列型処理装置並びにメモリlsi |
US6147976A (en) | 1996-06-24 | 2000-11-14 | Cabletron Systems, Inc. | Fast network layer packet filter |
US5690452A (en) | 1996-06-27 | 1997-11-25 | Baublits; David G. | Spring loaded automatic plug ejector or hole saws |
FI106493B (fi) | 1999-02-09 | 2001-02-15 | Nokia Mobile Phones Ltd | Menetelmä ja järjestelmä pakettimuotoisen datan luotettavaksi siirtämiseksi |
DE19919177A1 (de) | 1999-04-28 | 2000-11-02 | Philips Corp Intellectual Pty | Netzwerk mit mehreren Netzwerk-Clustern zur drahtlosen Übertragung von Paketen |
US6854063B1 (en) | 2000-03-03 | 2005-02-08 | Cisco Technology, Inc. | Method and apparatus for optimizing firewall processing |
US6697381B1 (en) | 2000-03-09 | 2004-02-24 | L3 Communications | Packet channel architecture |
US20020093527A1 (en) | 2000-06-16 | 2002-07-18 | Sherlock Kieran G. | User interface for a security policy system and method |
WO2002008870A2 (en) | 2000-07-26 | 2002-01-31 | David Dickenson | Distributive access controller |
US20070192863A1 (en) | 2005-07-01 | 2007-08-16 | Harsh Kapoor | Systems and methods for processing data flows |
US7437654B2 (en) | 2000-11-29 | 2008-10-14 | Lucent Technologies Inc. | Sub-packet adaptation in a wireless communication system |
US7185368B2 (en) | 2000-11-30 | 2007-02-27 | Lancope, Inc. | Flow-based detection of network intrusions |
US6963564B1 (en) | 2000-12-22 | 2005-11-08 | Alcatel | Method and apparatus for synchronized slotted optical burst switching |
US7290283B2 (en) | 2001-01-31 | 2007-10-30 | Lancope, Inc. | Network port profiling |
US20020176378A1 (en) | 2001-05-22 | 2002-11-28 | Hamilton Thomas E. | Platform and method for providing wireless data services |
AU2002322109A1 (en) | 2001-06-13 | 2002-12-23 | Intruvert Networks, Inc. | Method and apparatus for distributed network security |
US7370353B2 (en) | 2001-11-05 | 2008-05-06 | Cisco Technology, Inc. | System and method for managing dynamic network sessions |
EP1330095B1 (en) | 2002-01-18 | 2006-04-05 | Stonesoft Corporation | Monitoring of data flow for enhancing network security |
US7174566B2 (en) | 2002-02-01 | 2007-02-06 | Intel Corporation | Integrated network intrusion detection |
US8370936B2 (en) | 2002-02-08 | 2013-02-05 | Juniper Networks, Inc. | Multi-method gateway-based network security systems and methods |
US8209756B1 (en) | 2002-02-08 | 2012-06-26 | Juniper Networks, Inc. | Compound attack detection in a computer network |
US7650634B2 (en) * | 2002-02-08 | 2010-01-19 | Juniper Networks, Inc. | Intelligent integrated network security device |
US7337214B2 (en) | 2002-09-26 | 2008-02-26 | Yhc Corporation | Caching, clustering and aggregating server |
US7454499B2 (en) | 2002-11-07 | 2008-11-18 | Tippingpoint Technologies, Inc. | Active network defense system and method |
US6940863B2 (en) | 2003-01-13 | 2005-09-06 | The Regents Of The University Of California | Edge router for optical label switched network |
FR2850503B1 (fr) | 2003-01-23 | 2005-04-08 | Everbee Networks | Procede et systeme dynamique de securisation d'un reseau de communication au moyen d'agents portables |
US7525994B2 (en) | 2003-01-30 | 2009-04-28 | Avaya Inc. | Packet data flow identification for multiplexing |
US7305708B2 (en) | 2003-04-14 | 2007-12-04 | Sourcefire, Inc. | Methods and systems for intrusion detection |
EP1634175B1 (en) | 2003-05-28 | 2015-06-24 | Citrix Systems, Inc. | Multilayer access control security system |
US7827602B2 (en) | 2003-06-30 | 2010-11-02 | At&T Intellectual Property I, L.P. | Network firewall host application identification and authentication |
US7328451B2 (en) | 2003-06-30 | 2008-02-05 | At&T Delaware Intellectual Property, Inc. | Network firewall policy configuration facilitation |
US7463590B2 (en) | 2003-07-25 | 2008-12-09 | Reflex Security, Inc. | System and method for threat detection and response |
US20050114700A1 (en) | 2003-08-13 | 2005-05-26 | Sensory Networks, Inc. | Integrated circuit apparatus and method for high throughput signature based network applications |
US7467202B2 (en) | 2003-09-10 | 2008-12-16 | Fidelis Security Systems | High-performance network content analysis platform |
WO2005062707A2 (en) | 2003-12-30 | 2005-07-14 | Checkpoint Software Technologies Ltd. | Universal worm catcher |
US8166554B2 (en) | 2004-02-26 | 2012-04-24 | Vmware, Inc. | Secure enterprise network |
EP1730917A1 (en) | 2004-03-30 | 2006-12-13 | Telecom Italia S.p.A. | Method and system for network intrusion detection, related network and computer program product |
US7673049B2 (en) | 2004-04-19 | 2010-03-02 | Brian Dinello | Network security system |
US7761919B2 (en) | 2004-05-20 | 2010-07-20 | Computer Associates Think, Inc. | Intrusion detection with automatic signature generation |
US7496962B2 (en) | 2004-07-29 | 2009-02-24 | Sourcefire, Inc. | Intrusion detection strategies for hypertext transport protocol |
US20060059551A1 (en) | 2004-09-13 | 2006-03-16 | Utstarcom Inc. | Dynamic firewall capabilities for wireless access gateways |
US7830864B2 (en) | 2004-09-18 | 2010-11-09 | Genband Us Llc | Apparatus and methods for per-session switching for multiple wireline and wireless data types |
US20060168273A1 (en) | 2004-11-03 | 2006-07-27 | Ofir Michael | Mechanism for removing data frames or packets from data communication links |
US7725934B2 (en) | 2004-12-07 | 2010-05-25 | Cisco Technology, Inc. | Network and application attack protection based on application layer message inspection |
US7383438B2 (en) | 2004-12-18 | 2008-06-03 | Comcast Cable Holdings, Llc | System and method for secure conditional access download and reconfiguration |
GB2422450A (en) | 2005-01-21 | 2006-07-26 | 3Com Corp | Pattern-matching using a deterministic finite state machine |
US10015140B2 (en) | 2005-02-03 | 2018-07-03 | International Business Machines Corporation | Identifying additional firewall rules that may be needed |
US20060259950A1 (en) | 2005-02-18 | 2006-11-16 | Ulf Mattsson | Multi-layer system for privacy enforcement and monitoring of suspicious data access behavior |
US7844700B2 (en) | 2005-03-31 | 2010-11-30 | Microsoft Corporation | Latency free scanning of malware at a network transit point |
US8228926B2 (en) | 2005-04-12 | 2012-07-24 | Genband Us Llc | Dynamic loading for signaling variants |
US7653075B2 (en) | 2005-05-23 | 2010-01-26 | Juniper Networks, Inc. | Processing communication flows in asymmetrically routed networks |
US7747874B2 (en) | 2005-06-02 | 2010-06-29 | Seagate Technology Llc | Single command payload transfers block of security functions to a storage device |
US20060288418A1 (en) | 2005-06-15 | 2006-12-21 | Tzu-Jian Yang | Computer-implemented method with real-time response mechanism for detecting viruses in data transfer on a stream basis |
US8266327B2 (en) | 2005-06-21 | 2012-09-11 | Cisco Technology, Inc. | Identity brokering in a network element |
US20080229415A1 (en) | 2005-07-01 | 2008-09-18 | Harsh Kapoor | Systems and methods for processing data flows |
US20070067445A1 (en) | 2005-09-16 | 2007-03-22 | Smart Link Ltd. | Remote computer wake-up for network applications |
US8397284B2 (en) | 2006-01-17 | 2013-03-12 | University Of Maryland | Detection of distributed denial of service attacks in autonomous system domains |
US20070171827A1 (en) | 2006-01-24 | 2007-07-26 | Scott Mark E | Network flow analysis method and system |
US8443442B2 (en) | 2006-01-31 | 2013-05-14 | The Penn State Research Foundation | Signature-free buffer overflow attack blocker |
KR100656481B1 (ko) | 2006-02-03 | 2006-12-11 | 삼성전자주식회사 | 동적 네트워크 보안 시스템 및 그 제어방법 |
JP3996939B2 (ja) | 2006-03-30 | 2007-10-24 | 株式会社シー・エス・イー | オフラインユーザ認証システム、その方法、およびそのプログラム |
CN101056306A (zh) | 2006-04-11 | 2007-10-17 | 中兴通讯股份有限公司 | 网络设备及其访问控制方法 |
US7890612B2 (en) | 2006-05-08 | 2011-02-15 | Electro Guard Corp. | Method and apparatus for regulating data flow between a communications device and a network |
CN100542122C (zh) | 2006-09-29 | 2009-09-16 | 华为技术有限公司 | 一种vlan交换隧道的复用方法和vlan交换域 |
US7995584B2 (en) | 2007-07-26 | 2011-08-09 | Hewlett-Packard Development Company, L.P. | Method and apparatus for detecting malicious routers from packet payload |
CN101119321B (zh) | 2007-09-29 | 2010-11-03 | 杭州华三通信技术有限公司 | 网络流量分类处理方法及网络流量分类处理装置 |
US8112800B1 (en) | 2007-11-08 | 2012-02-07 | Juniper Networks, Inc. | Multi-layered application classification and decoding |
US7961726B2 (en) | 2008-10-07 | 2011-06-14 | Microsoft Corporation | Framework for optimizing and simplifying network communication in close proximity networks |
US8572717B2 (en) | 2008-10-09 | 2013-10-29 | Juniper Networks, Inc. | Dynamic access control policy with port restrictions for a network security appliance |
KR20130124692A (ko) * | 2012-05-07 | 2013-11-15 | 한국전자통신연구원 | 유해 트래픽의 필터링 정보 관리 시스템 및 그 방법 |
US10547674B2 (en) * | 2012-08-27 | 2020-01-28 | Help/Systems, Llc | Methods and systems for network flow analysis |
FR3019417B1 (fr) | 2014-03-26 | 2017-07-07 | Bull Sas | Procede de traitement d'un message dans un dispositif d'interconnexion |
FR3019245B1 (fr) | 2014-03-27 | 2016-03-11 | Texelis | Systeme de freins a disques humide |
-
2015
- 2015-12-30 US US14/983,982 patent/US10075416B2/en active Active
-
2016
- 2016-12-15 EP EP16204543.9A patent/EP3188440B1/en active Active
- 2016-12-30 CN CN201611270885.2A patent/CN106936811B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8291495B1 (en) * | 2007-08-08 | 2012-10-16 | Juniper Networks, Inc. | Identifying applications for intrusion detection systems |
CN102694861A (zh) * | 2012-05-28 | 2012-09-26 | 华为终端有限公司 | 一种基于云技术的终端应用软件分类方法、装置及系统 |
Also Published As
Publication number | Publication date |
---|---|
US20170195291A1 (en) | 2017-07-06 |
CN106936811A (zh) | 2017-07-07 |
EP3188440B1 (en) | 2021-03-10 |
US10075416B2 (en) | 2018-09-11 |
EP3188440A1 (en) | 2017-07-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106936811B (zh) | 安全设备、系统和方法 | |
US10972437B2 (en) | Applications and integrated firewall design in an adaptive private network (APN) | |
WO2021207922A1 (zh) | 报文传输方法、装置及系统 | |
US11882150B2 (en) | Dynamic security actions for network tunnels against spoofing | |
US9654395B2 (en) | SDN-based service chaining system | |
US10454818B2 (en) | CCN name chaining | |
US9712649B2 (en) | CCN fragmentation gateway | |
US20160337464A1 (en) | Proxy interception | |
US20160150043A1 (en) | Source ip address transparency systems and methods | |
WO2015196849A1 (zh) | 一种数据报文的处理方法、业务节点以及引流点 | |
JP2017511072A (ja) | ヒューリスティック及びビジネスポリシーに基づく、ネットワークトラフィックフローに対するリソースのインクリメンタルアプリケーション | |
US9584331B2 (en) | Methods and systems for transmitting broadcast data | |
US11799688B2 (en) | Method for managing virtual private network, and device | |
CN106341423B (zh) | 一种报文处理方法和装置 | |
US10050867B2 (en) | Methods and systems for transmitting broadcast data | |
US10374826B2 (en) | Methods and systems for transmitting broadcast data | |
US20190140958A1 (en) | Hierarchical orchestration of a computer network | |
WO2020108578A1 (zh) | 一种虚拟内网加速方法及系统、配置方法、存储介质和计算机设备 | |
CN105429881B (zh) | 一种组播报文转发方法和装置 | |
US10805202B1 (en) | Control plane compression of next hop information | |
Moghaddam et al. | Anonymizing masses: Practical light-weight anonymity at the network level | |
US20240214363A1 (en) | Cloud-based tunnel protocol systems and methods for multiple ports and protocols | |
Amin et al. | DISCS: Secure content distribution in IP using information centric networking | |
CN118285078A (zh) | 联网和安全性拆分架构 | |
Al-Ghadhban et al. | Prototyping and evaluating a tunnel-based solution to circumvent malicious IISP blocking |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information | ||
CB02 | Change of applicant information |
Address after: California, USA Applicant after: Juniper Networks, Inc. Address before: California, USA Applicant before: Jungle network |
|
GR01 | Patent grant | ||
GR01 | Patent grant |