CN108965237A - 网络防火墙系统及对应的方法及非暂时性计算机可读介质 - Google Patents
网络防火墙系统及对应的方法及非暂时性计算机可读介质 Download PDFInfo
- Publication number
- CN108965237A CN108965237A CN201810486579.5A CN201810486579A CN108965237A CN 108965237 A CN108965237 A CN 108965237A CN 201810486579 A CN201810486579 A CN 201810486579A CN 108965237 A CN108965237 A CN 108965237A
- Authority
- CN
- China
- Prior art keywords
- network
- data packet
- incoming data
- flow rate
- firewall
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
- H04L43/0894—Packet rate
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/12—Avoiding congestion; Recovering from congestion
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0254—Stateful filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/12—Network monitoring probes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种网络防火墙系统及对应的方法及非暂时性计算机可读介质。由网络防火墙接收第一传入数据包,所述第一传入数据包从外部网络传输到由所述网络防火墙保护的内部网络内的目的地。所述网络防火墙被配置成基于一套网络策略限制对所述内部网络的接入。由所述网络防火墙将所述网络防火墙处的当前流入流量速率与阈值流入流量速率进行比较,从而得到比较结果。所述网络防火墙基于所述比较结果确定所述网络防火墙处的所述当前流入流量速率大于阈值流入流量速率,且将所述第一传入数据包转发到所述内部网络内的所述目的地而没有基于所述一套网络策略检验所述第一传入数据包。
Description
技术领域
本发明大体上涉及促进网络安全性的专用机器的技术领域,包括此类专用机器的计算机化变型和对此类变型的改进,以及涉及与促进网络安全性的其它专用机器相比变得改进的此类专用机器的技术。具体地说,本发明解决用于包括具有旁路(bypass)的网络分流器(network shunt)的网络防火墙(network firewall)的系统和方法。
背景技术
大多数人熟悉术语信息技术(IT),其涵盖用于信息处理的技术范围,包括软件、硬件、通信技术和相关服务。操作技术(Operation Technology;简称OT)是相对更时新的术语,其是指通过直接监视和/或控制企业中的物理装置、过程和事件以检测或致使改变的硬件和软件。举例来说,OT网络连接工业控制系统,例如可编程逻辑控制器(PLC)、监控与数据采集系统(SCADA)、分布式控制系统(DCS)、过程控制域、安全仪表系统和建筑物管理和自动化系统。
传统上,OT网络已与IT网络分离地操作。举例来说,OT网络利用针对所需功能优化的专有协议(proprietary protocols),其中一些专有协议已被采纳为‘标准’工业通信协议(例如,DNP3、Modbus、Profibus)。近年来,IT标准网络协议在OT装置和系统中实施以降低复杂度且增加与更加传统的IT硬件的相容性(例如,TCP/IP)。这已导致OT系统的安全性的明显降低以及网络流量(network traffic)负载的显著潜在增加。
适合于IT网络的安全性方法可能不适合于OT网络。而且,用于OT网络的现有安全性方法未能响应于流量负载而绕过对流量的基于安全性策略(security policy-based)的检验。
发明内容
本发明的实施例提供技术方案1:一种方法,包括:由网络防火墙接收第一传入数据包(a first incoming data packet),所述第一传入数据包从外部网络传输到由所述网络防火墙保护的内部网络内的目的地,所述网络防火墙被配置成基于一套网络策略(a setof network policies)限制对所述内部网络的接入;由所述网络防火墙将所述网络防火墙处的当前流入流量速率(current inbound traffic rate)与阈值流入流量速率进行比较,从而得到比较结果;基于所述比较结果确定所述网络防火墙处的所述当前流入流量速率大于阈值流入流量速率;和当所述网络防火墙处的所述当前流入流量速率大于所述阈值流入流量速率时,由所述网络防火墙将所述第一传入数据包转发(forwarding)到所述内部网络内的所述目的地而没有(without)基于所述一套网络策略检验所述第一传入数据包。
本发明的实施例提供技术方案2:根据技术方案1所述的方法,进一步包括:在所述网络防火墙处接收第二传入数据包,所述第二传入数据包从所述外部网络传输到所述内部网络内的第二目的地;确定所述网络防火墙处的所述当前流入流量速率不大于所述阈值流入流量速率;和当所述网络防火墙处的所述当前流入流量速率不大于所述阈值流入流量速率时,由所述网络防火墙根据所述一套网络策略检验所述第二传入数据包,从而得到检验结果。
本发明的实施例提供技术方案3:根据技术方案2所述的方法,进一步包括:
基于所述检验结果确定所述第二传入数据包满足所述一套网络策略;和
将所述第二传入数据包转发到所述内部网络内的所述第二目的地。
本发明的实施例提供技术方案4:根据技术方案2所述的方法,进一步包括:
基于所述检验结果确定所述第二传入数据包不满足(not satisfy)所述一套网络策略;和
阻止(blocking)所述第二传入数据包进入所述内部网络。
本发明的实施例提供技术方案5:根据技术方案1所述的方法,进一步包括:
确定与所述第一传入数据包相关联的可接受网络延时水平(acceptable networklatency level);和
基于与所述第一传入数据包相关联的所述可接受网络延时水平确定将所述第一传入数据包转发到所述内部网络内的所述目的地而没有基于所述一套网络策略检验所述第一传入数据包。
本发明的实施例提供技术方案6:根据技术方案5所述的方法,进一步包括:
当网络防火墙处的所述当前流入流量速率大于所述阈值流入流量速率时,在所述网络防火墙处接收第二传入数据包,所述第二传入数据包从所述外部网络传输到所述内部网络内的第二目的地;
确定与所述第二传入数据包相关联的可接受延时水平,与所述第二传入数据包相关联的所述可接受延时水平高于与所述第一传入数据包相关联的所述可接受延时水平;和
基于与所述第二传入数据包相关联的所述可接受延时水平确定基于所述一套网络策略检验第二流入数据包。
本发明的实施例提供技术方案7:根据技术方案1所述的方法,进一步包括:
确定所述第一传入数据包的消息传递协议(messaging protocol);和
基于所述第一传入数据包的所述消息传递协议确定将所述第一传入数据包转发到所述内部网络内的所述目的地而没有基于所述一套网络策略检验所述第一传入数据包。
本发明的实施例提供技术方案8:根据技术方案7所述的方法,进一步包括:
当网络防火墙处的所述当前流入流量速率大于所述阈值流入流量速率时,在所述网络防火墙处接收第二传入数据包,所述第二传入数据包从所述外部网络传输到所述内部网络内的第二目的地;
确定所述第二传入数据包的消息传递协议,所述第二传入数据包的所述消息传递协议不同于所述第一传入数据包的所述消息传递协议;和
基于所述第二传入数据包的所述消息传递协议确定基于所述一套网络策略检验第二流入数据包。
本发明的实施例提供技术方案9:根据技术方案8所述的方法,所述第一传入数据包的所述消息传递协议是信息技术协议且所述第二传入数据包的所述消息传递协议是操作技术协议。
本发明的实施例提供技术方案10:根据技术方案1所述的方法,所述网络防火墙是虚拟(virtual)网络防火墙。
本发明的实施例提供技术方案11.一种网络防火墙系统,包括:一个或多个计算机处理器;和存储指令的一个或多个计算机可读介质(computer-readable mediums),所述指令在由所述一个或多个计算机处理器执行时致使所述网络防火墙系统进行以下操作,包括:
接收第一传入数据包,所述第一传入数据包从外部网络传输到由所述网络防火墙系统保护的内部网络内的目的地,所述网络防火墙系统被配置成基于一套策略限制对所述内部网络的接入;
将所述网络防火墙系统处的当前流入流量速率与阈值流入流量速率进行比较,从而得到比较结果;
基于所述比较结果确定所述网络防火墙系统处的所述当前流入流量速率大于阈值流入流量速率;和
当所述网络防火墙系统处的所述当前流入流量速率大于所述阈值流入流量速率时,将所述第一传入数据包转发到所述内部网络内的所述目的地而没有基于一套网络策略检验所述第一传入数据包。
本发明的实施例提供技术方案12:根据技术方案11所述的网络防火墙系统,所述操作进一步包括:
接收第二传入数据包,所述第二传入数据包从所述外部网络传输到所述内部网络内的第二目的地;
确定所述网络防火墙系统处的所述当前流入流量速率不大于所述阈值流入流量速率;和
当所述网络防火墙系统处的所述当前流入流量速率不大于所述阈值流入流量速率时,根据所述一套网络策略检验所述第二传入数据包,从而得到检验结果。
本发明的实施例提供技术方案13:根据技术方案12所述的网络防火墙系统,所述操作进一步包括:
基于所述检验结果确定所述第二传入数据包满足所述一套网络策略;和
将所述第二传入数据包转发到所述内部网络内的所述第二目的地。
本发明的实施例提供技术方案14:根据技术方案12所述的网络防火墙系统,所述操作进一步包括:
基于所述检验结果确定所述第二传入数据包不满足所述一套网络策略;和
阻止所述第二传入数据包进入所述内部网络。
本发明的实施例提供技术方案15:根据技术方案11所述的网络防火墙系统,所述操作进一步包括:
确定与所述第一传入数据包相关联的可接受网络延时水平;和
基于与所述第一传入数据包相关联的所述可接受网络延时水平确定将所述第一传入数据包转发到所述内部网络内的所述目的地而没有基于所述一套网络策略检验所述第一传入数据包。
本发明的实施例提供技术方案16:根据技术方案15所述的网络防火墙系统,所述操作进一步包括:
当所述网络防火墙系统处的所述当前流入流量速率大于所述阈值流入流量速率时,接收第二传入数据包,所述第二传入数据包从所述外部网络传输到所述内部网络内的第二目的地;
确定与所述第二传入数据包相关联的可接受延时水平,与所述第二传入数据包相关联的所述可接受延时水平高于与所述第一传入数据包相关联的所述可接受延时水平;和
基于与所述第二传入数据包相关联的所述可接受延时水平确定基于所述一套网络策略检验第二流入数据包。
本发明的实施例提供技术方案17:根据技术方案11所述的网络防火墙系统,所述操作进一步包括:
确定所述第一传入数据包的消息传递协议;和
基于所述第一传入数据包的所述消息传递协议确定将所述第一传入数据包转发到所述内部网络内的所述目的地而没有基于所述一套网络策略检验所述第一传入数据包。
本发明的实施例提供技术方案18:根据技术方案17所述的网络防火墙系统,所述操作进一步包括:
当所述网络防火墙系统处的所述当前流入流量速率大于所述阈值流入流量速率时,接收第二传入数据包,所述第二传入数据包从所述外部网络传输到所述内部网络内的第二目的地;
确定所述第二传入数据包的消息传递协议,所述第二传入数据包的所述消息传递协议不同于所述第一传入数据包的所述消息传递协议;和
基于所述第二传入数据包的所述消息传递协议确定基于所述一套网络策略检验第二流入数据包。
本发明的实施例提供技术方案19:根据技术方案18所述的网络防火墙系统,所述第一传入数据包的所述消息传递协议是信息技术协议且所述第二传入数据包的所述消息传递协议是操作技术协议。
本发明的实施例提供技术方案20:一种存储指令的非暂时性计算机可读介质,所述指令在由网络防火墙的一个或多个计算机处理器执行时致使所述网络防火墙进行以下操作,包括:
接收第一传入数据包,所述第一传入数据包从外部网络传输到由所述网络防火墙保护的内部网络内的目的地,所述网络防火墙被配置成基于一套网络策略限制对所述内部网络的接入;
将所述网络防火墙处的当前流入流量速率与阈值流入流量速率进行比较,从而得到比较结果;
基于所述比较结果确定所述网络防火墙处的所述当前流入流量速率大于阈值流入流量速率;和
当所述网络防火墙处的所述当前流入流量速率大于所述阈值流入流量速率时,将所述第一传入数据包转发到所述内部网络内的所述目的地而没有基于所述一套网络策略检验所述第一传入数据包。
附图说明
所述附图示出本发明的实例实施例且并不限制本发明的范围。
图1是处于分路器连接(in a tap connection)的操作技术防火墙的体系结构(architecture)的实例实施例的框图。
图2是处于内联连接(in an in-line connection)的操作技术防火墙的体系结构的实例实施例的框图。
图3是用于经过具有旁路的操作技术分流器的网络流量的网络层堆栈(networklayer stack)的实例实施例的图。
图4是用于由具有旁路的操作技术分流器实施的策略的网络层堆栈的实例实施例的图。
图5是具有含操作技术检验引擎(engine)的旁路的操作技术分流器的实例实施例的框图。
图6是具有含操作技术检验引擎的多个例子(with multiple instances)的旁路的操作技术分流器的实例实施例的框图。
图7是绕过策略的实例实施例的简化图。
图8是操作技术检验引擎的实例实施例的简化图。
图9是流程图,其示出根据某些实例实施例的用于包括具有旁路的网络分流器的网络防火墙的方法。
图10是流程图,其示出根据某些实例实施例的用于包括具有旁路的网络分流器的网络防火墙的另一方法。
图11是框图,其示出可与本发明中所描述的各种硬件体系结构结合使用的实例软件体系结构。
图12是框图,其示出根据一些实例实施例的能够从机器可读介质(例如,机器可读存储介质)读取指令且进行本发明中所论述的方法中的任何一个或多个的机器的部件。
具体实施方式
网络防火墙系统(“防火墙”)在受信任的安全网络与假定(assumed)为不安全或不可信的外部网络(例如,因特网)之间建立屏蔽层。防火墙基于一套预定安全性规则监视和控制安全网络与外部网络之间的网络流量(network traffic)的传入和传出。举例来说,防火墙包括包检验引擎(packet inspection engine),所述包检验引擎基于一套预定安全性规则分析传入和传出的数据包。防火墙使审批通过的数据包朝向其既定目的地转发(forwards),而阻塞(block)未审批通过的数据包。
在严重拥塞的网络中,包检验引擎可变得被包通量(packet throughput)占满,从而致使网络延时增加。为了减轻此问题,防火墙包括软件分流器(software shunt),所述软件分流器是一种软件或软硬件组合中具备的特征,所述软件分流器将数据包选择性地转发到其既定目的地而不被包检验引擎检验,由此在安全性与速度之间实现权衡。举例来说,防火墙确定防火墙处的流入流量速率是否满足或超出阈值流量速率,且如果超出,那么致使一些接收到的数据包绕过包检验引擎且被转发到其既定目的地。防火墙使用软件分流器的软件旁路以将数据包从一个网络接口转发到另一网络接口而没有经过包检验引擎。防火墙可在传入流量速率超出阈值流量速率时允许所有数据包绕过包检验引擎,或可替代地,可允许选择数据包以绕过包检验引擎。举例来说,防火墙可允许基于协议类型(例如,可绕过传统上与OT相关联的网络协议以支持与IT相关联的IP包,或反之亦然)、基于例如源IP地址、目的地IP地址的包内容或基于其它包特性而选择数据包以绕过包检验引擎。因此,软件分流器允许防火墙通过牺牲掉检验一定流量的义务而维持包通量。
以下图描述实例实施例、实例实施例的实例环境和其实例方面。
图1是根据一些实例实施例的包括具有旁路的网络分流器127的网络防火墙系统120的框图。为了避免本发明主题与不必要的细节混淆,已从图1省略了与传达本发明主题的理解没有密切关系的各种功能部件(例如,模块、引擎等)。然而,所属领域的技术人员将容易地认识到,各种额外功能部件可由网络防火墙系统102支持以促进本发明中未具体地描述的额外功能性。此外,图1中所描绘的各种功能模块、引擎等可驻存在单个计算装置(例如,单个网络安全性装置)上或可跨若干计算装置以各种布置分布,所述布置例如用于基于云的体系结构(architectures)的那些布置。此外,图1中所描绘的各种功能模块、引擎等可实施为物理网络防火墙或可替代地,虚拟网络防火墙。
如所示出的,网络防火墙系统120经由流量分路器(traffic tap)102连接到网络130和网络132。网络130和网络132可包括IT网络和OT网络两者。网络防火墙系统120在受信任的安全网络(即,网络130)与假定为不安全或不可信的外部网络(即,网络132)(例如,因特网)之间建立屏蔽层。为了实现这一点,网络防火墙系统120基于一套预定安全性规则监视和控制安全网络130与外部网络132之间的传入和传出网络流量。
如所示出的,网络防火墙系统120包括网络流量分路器/内联连接(inlineconnection)121、协议引擎122、网络基线(network baseline)测量模块123、白名单策略124、策略违反警报器125、策略修改器126和具有旁路的网络分流器127。客户端应用程序110控制和监视网络防火墙系统120。
网络流量分路器/内联连接121具有物理和软件部件以从网络130和网络132两者读取流量且将流量发送到网络130和网络132两者。协议引擎122处理从网络130和网络132读取的流量以提取OT协议的命令和响应,所述OT协议例如Modbus、DNP3、IEC 60870、BACnet、LonWorks、EPICS、任何其它SCADA协议和任何其它OT协议。协议引擎122还处理OT协议的命令和响应且生成流量以发送到其既定目的地。
网络基线测量模块123监视网络防火墙系统120处的网络流量,所述网络流量包括从网络130和网络132接收到的数据包。网络基线测量模块123使用受监视的网络流量以形成正常网络流量的基线,从而协助确定未来网络流量是正常的还是具有安全性风险。
基于网络基线测量模块123借助于协议引擎122而形成白名单策略124,从而基于对OT协议的命令和响应的理解而形成策略。策略违反警报器125响应于策略违反而执行矫正措施。实例矫正措施包括将通知传输到用户以获得用户干预,以及建议新的白名单策略以允许更多网络流量。在内联配置中,矫正措施的另一实例是阻塞网络流量。
策略修改器126通过如下方式对策略违反警报器125作出响应:借助于协议引擎122修改白名单策略124,从而基于对OT协议的命令和响应的理解而形成策略。在一个实例中,策略是有状态的且允许一个或多个命令和/或一个或多个响应的某些序列。在另一实例中,策略是无状态的。
图2是根据一些实例实施例的包括具有旁路的网络分流器127的网络防火墙系统120的框图。图2类似于图1,然而,网络防火墙系统120经由相应内联流量连接202和203而连接到网络130和网络132。
图3是根据一些实例实施例的用于经过具有旁路的网络分流器127的网络流量的网络层堆栈的图。网络层堆栈中的层包括OT应用层322、表示层(presentation layer)323、会话层324、传输层(transport layer)325、网络层326、数据链路层327和物理层328。实例OT协议从IT协议借用一些方面,但修改其它方面。举例来说,医疗保健(health care)中的医学数字成像和通信(DICOM)协议使用具有以太网、因特网协议、传输控制协议和DICOM层的网络堆栈。
图4是根据一些实例实施例的用于由具有旁路的网络分流器127实施的策略的网络层堆栈的图。策略针对网络层堆栈中的一个或多个层,包括OT应用层422、表示层423、会话层424、传输层425、网络层426、数据链路层427和物理层428。针对顶层、OT应用层422的策略由策略修改器126形成。实例策略针对例如DICOM等OT协议,OT协议从信息技术协议借用一些方面,但修改其它方面。
图5是根据一些实例实施例的具有旁路的网络分流器127的框图。具有旁路的网络分流器127经由用于流入流量的输入端502接收流入流量。具有旁路的网络分流器127包括旁路模块510,所述旁路模块510向流入流量应用绕过策略以确定流入流量是否绕过检验。如果根据绕过策略,流入流量绕过了检验,那么旁路模块510沿旁路530转发流入流量,从而允许流量传递到用于流出流量的输出端504。移动越过(moving past)流量节点的流入流量的实例还包括复制、重新生成或重新传输流量越过流量节点。如果根据绕过策略,旁路模块510确定流入流量并不绕过检验,那么通过检验引擎522分析流入流量。绕过策略的实例是网络防火墙系统120处的流入流量的阈值流量速率,使得当流入流量速率超出阈值流量速率时流入流量的部分经过旁路530。
在一个实例中,绕过策略是基于网络流量的类型。举例来说,绕过策略允许例如超文本传送协议(HTTP)流量等IT流量传输到旁路530,但将例如DICOM流量等OT流量引导到检验引擎522。结合图7论述关于旁路模块510的策略的实例实施例的其它细节。
检验引擎522基于一套预定安全性规则分析流入流量。结合图8论述关于检验引擎522的实例实施例的其它细节。取决于检验引擎522的结果,阻塞流入流量或允许其传递到用于流出流量的输出端504。
图6是根据一些实例实施例的包括检验引擎522的多个例子的具有旁路的网络分流器127的框图。图6类似于图5,但包括检验引擎5221、5222…522n(统称为522)的多个例子。结合图8论述关于检验引擎522的多个例子的实例实施例的其它细节。
在一些实施例中,检验引擎522的多个例子在检验引擎522的单个例子的流入流量的速率变得占满的情况下提供额外带宽。举例来说,在流入流量的速率增加到检验引擎的第一例子5221无法以所期望的速率操控处理流入流量的时刻的情况下,检验引擎的第二例子5222开始操控流入流量的溢流,从而使得检验引擎的第一例子5221不会被占满。因此,延时随通量增加而保持恒定。在一个实例中,在检验引擎的第一例子5221变得占满的情况下,检验引擎的第一例子5221将溢出流量委派给检验引擎的第二例子5222。在另一实例中,数据包在被接收时跨检验引擎522的多个例子保持平衡。
在实例实施例中,检验引擎522的不同例子用于处理不同类型的流入流量。举例来说,检验引擎的第一例子5221可用于处理具有用于IT网络数据的流量协议的流入流量,且检验引擎的第二例子5222可用于处理具有用于OT网络数据的流量协议的流入流量。在这种实例实施例中,检验引擎522可更加容易地用于仅检验协议的子集,从而要求更少处理(requiring less processing)。
在实例实施例中,检验引擎522的不同例子用于处理与不同(varying)延时需求相关联的数据包。某些类型的数据可分配有指示所述数据的最大可接受延时的不同延时需求。因此,高优先级数据可分配有更低最大可接受延时,由此确保数据在可接受时间量内到达其目的地。举例来说,检验引擎的第一例子5221用于处理具有第一延时需求的流入流量,且检验引擎的第二例子用于处理具有第二延时需求的流入流量。指定一个或多个检验引擎522操控具有更高延时需求(即,更低最大可接受延时)的流入流量确保此更高优先数据与具有更低延时需求的数据分离地操控,由此降低与处理数据相关联的延时。
在实例实施例中,旁路530适用于检验引擎522的所有例子。在另一实例实施例中,旁路530适用于检验引擎522的例子的子集。
图7是绕过策略701的实例实施例的简化图。实例策略是基于流入流量速率对阈值速率702、流量协议704、流量模式706和延时需求708。在一个实例实施例中,应用单个策略。在另一实例实施例中,应用多个策略。在另一个实例实施例中,一个或多个策略随时间或根据另一条件而改变。
基于流入流量速率对阈值速率702的策略的实例基于检验引擎522的容量而允许足够流量绕过。基于流量协议704的策略的实例允许IT流量绕过,且致使OT流量由检验引擎522分析。作为另一实例,基于流量协议704的策略允许OT流量绕过,且致使IT流量由检验引擎522分析。
基于流量模式706的策略的实例是基于流量的源端点和目的地端点。实例策略致使检验仅源自工作站A(或多个工作站A)而不是其它端点的流量、仅到达工作站B(或多个工作站B)而不是其它端点的流量,或两者都检验。
基于延时需求708的策略的实例取决于协议。在一个实例实施例中,协议出于安全原因而需要例如警报等消息在例如200ms等的时间限值内从生成器传递到控制器;否则,发出警报。为了最小化误报(false positives),延时需求(latency requirement)限制消息从生成器到达控制器所花费的时间。延时需求将为200ms每消息。如果检验消息致使行进时间超出150ms每消息,那么误差限度(margin for error)小且误报率高。绕过检验可使行进时间降低到50ms每消息,从而导致更低的误报率。由于在检验期间解剖和分析每一层,因此检验固有地比不检验更慢。
其它实例策略是基于URI、内容(单词或短语)、用户IP地址、用户MAC地址或从网页服务器输送到例如浏览器等客户端的任何其它项。
图8是检验引擎522的实例实施例的简化图。在一个实例实施例中,检验引擎522实施深度包检验,其中每一包被解剖为部件协议且基于可来自用户、来自默认值和/或自动生成的规则而过滤。在一个实例实施例中,协议以特定控制器或控制器组为目标。举例来说,在医疗保健行业中,DICOM协议用于在医学成像装置和工作站或档案服务器之间输送信息,所述医学成像装置例如MRI机器。在一个实例策略中,由检验引擎522使用的规则阻止或警告某些操作,例如读取病人档案或从特定工作站到档案服务器的CAT扫描。
检验引擎522包括对网络的网络流量的监视器802、网络的网络流量策略804和网络流量策略加法器/修改器806。网络的网络流量的监视器802针对策略违反(violation)对网络中的网络流量进行监视。网络的网络流量策略804控制网络的网络流量的监视器802。实例策略在图7中示出。网络流量策略加法器/修改器806对在网络流量中检测到策略违反作出响应,且加入新的策略或修改现有策略。
图9是流程图,其示出根据某些实例实施例的用于包括具有旁路的网络分流器的网络防火墙的方法900。方法900可体现于计算机可读指令中,所述计算机可读指令用于由一个或多个计算机处理器执行,使得方法900的操作可部分地或完全由网络防火墙系统120进行;因此,下文通过举例参考其而描述方法900。然而,应了解,方法900的至少一些操作可部署于各种其它硬件配置上,且方法900并不意欲限于网络防火墙系统120。
在操作902处,具有旁路的网络分流器127接收数据包。数据包从外部网络取道到由网络防火墙系统120保护的内部网络内的目的地地址。网络防火墙系统120包括检验引擎522,所述检验引擎522被配置成基于一套网络策略限制对内部网络的接入。
在操作904处,旁路模块510将网络防火墙系统120处的当前流入流量速率与阈值流入流量速率进行比较。流入流量速率指示在网络防火墙系统120处接收到的数据包的数目。
在操作906处,旁路模块510基于比较结果确定当前流入流量速率超过阈值流入流量速率。这指示网络防火墙系统120处的网络流量为高,这可能会导致增加的网络延时。超过阈值流入流量速率可包括当前流入流量速率满足或超出阈值流入流量速率。
在操作908处,旁路模块510将数据包转发到目的地地址而没有基于一套网络策略检验数据包。也就是说,数据包绕过530检验引擎522且朝向内部网络内的目的地地址传输。通过绕过530检验引擎522,具有旁路的网络分流器127减轻了检验引擎522上的负担,由此降低了与检验数据包相关联的网络延时。
在一些实施例中,旁路模块510致使所有数据包在当前流入流量速率超过阈值流入流量速率时绕过530检验引擎522。可替代地,旁路模块510仅致使接收到的数据包的子集在当前流入流量速率超过阈值流入流量速率时绕过530检验引擎522。举例来说,旁路模块510可基于与数据包相关联的可接受延时水平、数据包的消息传递协议等致使数据包的子集绕过530检验引擎522。
举例来说,在一些实施例中,旁路模块510确定与数据包相关联的可接受网络延时水平。可接受网络延时水平可基于目的地地址、源地址、数据类型、协议等。旁路模块510基于可接受网络延时水平确定是将数据包转发到检验引擎522还是使其绕过530检验引擎522。举例来说,如果可接受网络延时水平为低,意味着速度为高优先级,那么旁路模块510致使数据包绕过530检验引擎522。相比之下,如果可接受网络延时水平为高,意味着速度不作为高优先级,那么旁路模块510将数据包提供到检验引擎522。
作为另一实例,旁路模块510基于数据包的消息传递协议而确定是将数据包提供到检验引擎522还是使其绕过530检验引擎522。举例来说,旁路模块510将具有OT消息传递协议的数据包提供到检验引擎522,且致使具有IT消息传递协议的数据包绕过530检验引擎522。
图10是流程图,其示出根据某些实例实施例的用于包括具有旁路的网络分流器的网络防火墙的另一方法1000。方法1000可体现于计算机可读指令中,所述计算机可读指令用于由一个或多个计算机处理器执行,使得方法1000的操作可部分地或完全由网络防火墙系统120进行;因此,下文通过举例参考其而描述方法1000。然而,应了解,方法1000的至少一些操作可部署于各种其它硬件配置上且方法1000并不意欲限于网络防火墙系统120。
在操作1002处,具有旁路的网络分流器127接收数据包。数据包从外部网络取道到由网络防火墙系统120保护的内部网络内的目的地地址。网络防火墙系统120包括检验引擎522,所述检验引擎522被配置成基于一套网络策略限制对内部网络的接入。
在操作1004处,旁路模块510将网络防火墙系统120处的当前流入流量速率与阈值流入流量速率进行比较。流入流量速率指示在网络防火墙系统120处接收到的数据包的数目。
在操作1006处,旁路模块510基于比较结果确定当前流入流量速率不超过阈值流入流量速率。这指示网络防火墙系统120处的网络流量不高且网络延时不应成问题。
在操作1008处,检验引擎522基于所述一套网络策略检验数据包。如果检验引擎522确定数据包满足所述一套网络策略,那么检验引擎522将数据包转发到其在内部网络内的目的地地址。可替代地,如果检验引擎522确定数据包满足所述一套网络策略,那么检验引擎522阻止数据包去往其在内部网络内的目的地地址。
软件体系结构
图11是框图,其示出可与本发明中所描述的各种硬件体系结构结合使用的实例软件体系结构1106。图11是软件体系结构的非限制性实例,且应了解,许多其它体系结构可被实施以促进本发明中所描述的功能性。软件体系结构1106可在例如图12的机器1200等硬件上执行,所述机器1200除其它之外包括处理器1204、存储器1214和I/O部件1218。代表性硬件层1152被示出且可表示例如图12的机器1200。代表性硬件层1152包括具有相关联的可执行指令1104的处理单元1154。可执行指令1104表示软件体系结构1106的可执行指令,包括本发明中所描述的方法、部件等的实施方案。硬件层1152还包括同样具有可执行指令1104的存储器和/或存储模块存储器/存储装置1156。硬件层1152还可包括其它硬件1158。
在图11的实例体系结构中,软件体系结构1106可概念化为层堆栈,其中每一层提供特定功能性。举例来说,软件体系结构1106可包括层,例如操作系统1102、库1120、应用程序1116和表示层1114。可操作地,应用程序1116和/或层内的其它部件可通过软件堆栈而调用(invoke)应用程序编程接口(API)调用(calls)1108且如响应于API调用1108而接收响应1112。所示出的层在本质上是代表性的且并非所有软件体系结构具有所有层。举例来说,一些移动或专用操作系统可能不提供架构/中间件1118,而其它移动或专用操作系统可提供这种层。其它软件体系结构可包括额外层或不同层。
操作系统1102可管理硬件资源且提供通用服务。操作系统1102可包括例如核心程序1122、服务1124和驱动器1126。核心程序1122可充当硬件与其它软件层之间的抽象层。举例来说,核心程序1122可负责存储器管理、处理器管理(例如,调度)、部件管理、联网、安全性设置等。服务1124可为其它软件层提供其它通用服务。驱动器1126负责控制底层(underlying)硬件或与底层硬件接口(interfacing)。举例来说,取决于硬件配置,驱动器1126可包括显示器驱动器、相机驱动器、驱动器、快闪存储器驱动器、串行通信驱动器(例如,通用串行总线(USB)驱动器)、驱动器、音频驱动器、功率管理驱动器等。
库1120提供由应用程序1116和/或其它部件和/或层使用的通用基础设施。库1120提供功能性(functionality),所述功能性允许其它软件部件以比直接与底层操作系统1102功能性(例如,核心程序1122、服务1124和/或驱动器1126)接口更容易的方式运行任务。库1120可包括可提供函数(functions)的系统库1144(例如,C标准库),所述函数例如存储器分配函数、字符串处理函数、数学函数等。另外,库1120可包括API库1146,例如媒体库(media libraries)(例如,用以支持各种媒体格式的呈现和处理的库,所述各种媒体格式例如MPREG4、H.264、MP3、AAC、AMR、JPG、PNG)、图形库(例如,可用于在显示器上呈现2D和3D图形内容的OpenGL架构)、数据库的库(例如,可提供各种关系型数据库函数的SQLite)、网页库(例如,可提供网页浏览功能性的WebKit)等。库1120还可包括广泛多种的其它库1148以向应用程序1116和其它软件部件/模块提供许多其它API。
架构/中间件1118(有时还被称为中间件)提供可由应用程序1116和/或其它软件部件/模块使用的更高水平的通用基础设施。举例来说,架构/中间件1118可提供各种图形用户界面(GUI)功能、高级资源管理、高级位置服务等。架构/中间件1118可提供可由应用程序1116和/或其它软件部件/模块利用的广泛范围的其它API,其中一些API可能是特定操作系统1102或平台所专用的。
应用程序1116包括内置应用程序1138和/或第三方应用程序1140。代表性内置应用程序1138的实例可包括但不限于联系人应用程序、浏览器应用程序、书籍阅读器应用程序、位置应用程序、媒体应用程序、消息传递应用程序和/或游戏应用程序。第三方应用程序1140可包括使用ANDROIDTM或IOSTM软件开发工具包(SDK)通过除特定平台的供应商外的实体建立的应用程序,且可以是在移动操作系统上运行的移动软件,所述移动操作系统例如IOSTM、ANDROIDTM、 Phone或其它移动操作系统。第三方应用程序1140可调用由移动操作系统(例如操作系统1102)提供的API调用1108以促进本发明中所描述的功能性。
应用程序1116可使用内置操作系统功能(例如,核心程序1122、服务1124和/或驱动器1126)、库1120和架构/中间件1118以形成用户界面,从而与系统用户交互。可替代地或另外,在一些系统中,与用户的交互可贯穿例如表示层1114等表示层发生。在这些系统中,应用程序/部件“逻辑”可与应用程序/部件的与用户交互的方面分离。
实例机器体系结构和机器可读介质
图12是框图,其示出根据一些实例实施例的能够从机器可读介质(例如,机器可读存储介质)读取指令和进行本发明中所论述的方法中的任何一个或多个的机器1200的部件。具体地说,图12示出呈计算机系统的实例形式的机器1200的图形表示,可在所述机器1200内执行用于致使机器1200运行本发明中所论述的方法中的任何一个或多个的指令1210(例如,软件、程序、应用程序、小程序、app或其它可执行代码)。由此,指令1210可用于实施本发明中所描述的模块或部件。指令1210将一般的非编程机器1200转换成经编程以按所描述的方式实行所描述和示出的功能的特定机器1200。在替代性实施例中,机器1200充当独立装置或可连接(例如,联网(networked))到其它机器。在联网部署中,机器1200可于服务器客户端网络环境中操作为服务器机器或客户端机器(operate in the capacity),或操作为点对点(或分布式)网络环境中的对等机器(peer machine)。机器1200可包括但不限于服务器计算机、客户端计算机、个人计算机(PC)、平板计算机、笔记本电脑、上网本、机顶盒(STB)、个人数字助理(PDA)、娱乐媒体系统、蜂窝式电话、智能手机、移动装置、可佩戴装置(例如,智能手表)、智能家居装置(例如,智能电器)、其它智能装置、网页设备、网络路由器、网络交换机、网桥或能够连续地或以其它方式执行指定有待由机器1200采取的措施的指令1210的任何机器。此外,虽然仅示出单个机器1200,但是还应采用术语“机器”以包括一批机器,所述一批机器个别地或共同地执行指令1210以进行本发明中所论述的方法中的任何一个或多个。
机器1200可包括处理器1204、存储器存储器/存储装置1206和I/O部件1218,所述I/O部件1218可被配置成例如经由总线1202而彼此通信。存储器/存储装置1206可包括:存储器1214,例如主存储器或其它存储器存储装置;和存储单元1216,所述存储器1214和存储单元1216都能够例如经由总线1202而接入处理器1204。存储单元1216和存储器1214存储体现本发明中所描述的方法或功能中的任何一个或多个的指令1210。指令1210还可在其由机器1200执行期间完全地或部分地驻存在存储器1214内、存储单元1216内、处理器1204中的至少一个内(例如,处理器的高速缓存(cache)存储器内),或其任何合适的组合。因此,存储器1214、存储单元1216和处理器1204的存储器是机器可读介质(media)的实例。
I/O部件1218可包括广泛多种的部件以接收输入、提供输出、产生输出、传输信息、交换信息、撷取(capture)测量值等。包括在特定机器1200中的特定I/O部件1218将取决于机器的类型。举例来说,例如移动电话等便携式机器将可能包括触摸输入装置或其它此类输入机构,而无头式(headless)服务器机器将可能不包括这种触摸输入装置。应了解,I/O部件1218可包括图12中未示出的许多其它部件。I/O部件1218根据仅用于简化以下论述的功能性分组,且分组决不是限制性的。在各种实例实施例中,I/O部件1218可包括输出部件1226和输入部件1228。输出部件1226可包括视觉部件(例如,显示器,如等离子体显示面板(PDP)、发光二极管(LED)显示器、液晶显示器(LCD)、投影仪或阴极射线管(CRT))、声学部件(例如,扬声器)、触觉(haptic)部件(例如,振动式发动机、电阻机构)、其它信号生成器等。输入部件1228可包括字母数字输入部件(例如,键盘、被配置成接收字母数字输入的触摸屏、光学键盘或其它字母数字输入部件)、基于点的输入部件(例如,鼠标、触控板、轨迹球、操纵杆、运动传感器或其它指示器械)、触感(tactile)输入部件(例如,物理按钮、提供触摸或触控手势的位置和/或力的触摸屏,或其它触感输入部件)、音频输入部件(例如,麦克风)等。
在其它实例实施例中,I/O部件1218可包括生物计量(biometric)部件1230、运动部件1234、环境部件1236或定位部件1238等大量的其它部件。举例来说,生物计量部件1230可包括用以进行以下各项的部件:检测表达(例如,手部表达、面部表达、声音表达、身体姿势或眼部跟踪),测量生物信号(例如,血压、心率、体温、出汗或脑波),识别人(例如,语音识别、视网膜(retinal)识别、面部识别、指纹识别或基于脑电图的识别)等。运动部件1234可包括加速度传感器部件(例如,加速度计)、重力传感器部件、旋转传感器部件(例如,陀螺仪(gyroscope))等。环境部件1236可包括例如照明传感器部件(例如,光度计)、温度传感器部件(例如,检测环境温度的一个或多个温度计)、湿度传感器部件、压力传感器部件(例如,气压计)、声学传感器部件(例如,检测背景噪声的一个或多个麦克风)、接近度传感器部件(例如,检测附近对象的红外传感器)、气体传感器(例如,用以检测有害气体浓度以保护或用以测量大气中的污染物的气体检测传感器)或可提供对应于周围物理环境的指示、测量值或信号的其它部件。定位部件1238可包括位置传感器部件(例如,全球定位系统(GPS)接收器部件)、高度传感器部件(例如,检测可据以导出高度的气压的高度计或气压计)、定向传感器部件(例如,磁力计)等。
可使用广泛多种技术实施通信。I/O部件1218可包括能够操作来分别经由连接件1222和连接件1224将机器1200连接到网络1232或装置1220的通信部件1240。举例来说,通信部件1240可包括网络接口部件或其它合适的装置以与网络1232介接。在其它实例中,通信部件1240可包括有线通信部件、无线通信部件、蜂窝式通信部件、近场通信(NFC)部件、蓝牙部件(例如,蓝牙低能量)、部件和其它通信部件以经由其它模式提供通信。装置1220可以是另一机器或广泛多种外围装置(例如,经由USB连接的外围装置)中的任一个。
此外,通信部件1240可检测识别符或包括能够操作来检测识别符的部件。举例来说,通信部件1240可包括射频识别(RFID)标签阅读器部件、NFC智能标签检测部件、光学阅读器部件(例如,光学传感器,其用以检测例如通用产品码(UPC)条形码等一维条形码,例如快速响应(QR)码、Aztec码、数据矩阵、Dataglyph、MaxiCode、PDF417、超码(Ultra Code)、UCC RSS-2D条形码等多维条形码以及其它光码)或声学检测部件(例如,用以识别带标签的音频信号的麦克风)。另外,可经由通信部件1240导出各种信息,例如经由IP地理定位(IPgeo-location)的位置、经由信号三角测量的位置、经由检测可指示特定位置的NFC信标信号的位置等。
传输介质
在各种实例实施例中,网络1232的一个或多个部分可以是临时(ad hoc)网络、企业内部网、外联网、虚拟专用网络(VPN)、局域网(LAN)、无线LAN(WLAN)、广域网(WAN)、无线WAN(WWAN)、城域网(MAN)、因特网、因特网的一部分、公共交换电话网络(PSTN)的一部分、传统电话业务(POTS)网络、蜂窝式电话网络、无线网络、网络、另一类型的网络,或此类网络中的两个或多于两个的组合。举例来说,网络1232或网络1232的一部分可包括无线或蜂窝式网络,且连接件1224可以是码分多址接入(CDMA)连接、全球移动通信系统(GSM)连接或另一类型的蜂窝式或无线连接件。在此实例中,连接件1224可实施各种类型的数据传送技术中的任一个,所述数据传送技术例如单载波无线传输技术(1xRTT)、演进数据优化(EVDO)技术、通用包无线电服务(GPRS)技术、GSM演进增强数据速率(EDGE)技术、包括3G的第三代合作伙伴计划(3GPP)、第四代无线(4G)网络、全球移动电信系统(UMTS)、高速包接入(HSPA)、全球微波接入互操作性(WiMAX)、长期演进(LTE)标准,由各种标准设定组织、其它长程协议或其它数据传送技术定义的其它标准。
可使用传输介质且利用多个熟知的传送协议中的任一个(例如,HTTP)经由网络接口装置(例如,包括在通信部件1240中的网络接口部件)在网络1232上传输或接收指令1210。类似地,可使用传输介质经由到装置1220的连接件1222(例如,点对点连接件)传输或接收指令1210。术语“传输介质(transmission medium)”应被视为包括能够存储、编码或载送指令1210以由机器1200执行的任何无形介质,且包括数字或模拟通信信号或用以促进此类软件的通信的其它无形介质。
语言
在整个本说明书中,多个例子可实施描述为单个例子的部件、操作或结构。尽管将一个或多个方法的个别操作示出和描述为分离的操作,但可并行地进行个别操作中的一个或多个,且并不要求以所示出的次序运进操作。呈现为实例配置中的分离部件的结构和功能性可实施为组合式结构或部件。类似地,呈现为单个部件的结构和功能性可实施为分离部件。这些以及其它变化、修改、添加和改进属于本发明中的主题的范围内。
尽管已参考特定实例实施例描述本发明主题的概要,但可在不脱离本发明的实施例的更广泛范围的情况下对这些实施例作出各种修改和改变。仅为方便起见,且在不希望自愿地将本申请的范围限制于任何单个公开内容或发明概念的情况下(如果实际上公开多于一个),本发明主题的此类实施例在本发明中可单独地或共同地由术语“本发明”提及。
足够详细地描述本发明中所说明的实施例以使得所属领域的技术人员能够实践所公开的教示。可使用其它实施例且从本发明中导出其它实施例,使得可在不脱离本发明的范围的情况下对结构和逻辑作出替代和改变。因此,详细描述并非以限制性意义获得,且各种实施例的范围仅通过所附权利要求书以此类权利要求书授权的等效物的完整范围定义。
如本发明中所使用,术语“或”可在包括性或独占式意义上解释。此外,多个例子可设置用于本发明中描述为单个例子的资源、操作或结构。另外,各种资源、操作、模块、引擎和数据存储装置之间的边界为略微任意的,且在特定说明性配置的上下文中说明特定操作。功能性的其它分配经设想且可落入本发明的各种实施例的范围内。一般来说,呈现为实例配置中的分离资源的结构和功能性可实施为组合式结构或资源。类似地,呈现为单个资源的结构和功能性可实施为分离资源。这些和其它变化、修改、添加和改进落入如由所附权利要求书表示的本发明的实施例的范围内。因此,应在说明性意义上而非限制性意义上看待说明书和图。
Claims (10)
1.一种方法,包括:
由网络防火墙接收第一传入数据包,所述第一传入数据包从外部网络传输到由所述网络防火墙保护的内部网络内的目的地,所述网络防火墙被配置成基于一套网络策略限制对所述内部网络的接入;
由所述网络防火墙将所述网络防火墙处的当前流入流量速率与阈值流入流量速率进行比较,从而得到比较结果;
基于所述比较结果确定所述网络防火墙处的所述当前流入流量速率大于阈值流入流量速率;和
当所述网络防火墙处的所述当前流入流量速率大于所述阈值流入流量速率时,由所述网络防火墙将所述第一传入数据包转发到所述内部网络内的所述目的地而没有基于所述一套网络策略检验所述第一传入数据包。
2.根据权利要求1所述的方法,进一步包括:
在所述网络防火墙处接收第二传入数据包,所述第二传入数据包从所述外部网络传输到所述内部网络内的第二目的地;
确定所述网络防火墙处的所述当前流入流量速率不大于所述阈值流入流量速率;和
当所述网络防火墙处的所述当前流入流量速率不大于所述阈值流入流量速率时,由所述网络防火墙根据所述一套网络策略检验所述第二传入数据包,从而得到检验结果。
3.根据权利要求2所述的方法,进一步包括:
基于所述检验结果确定所述第二传入数据包满足所述一套网络策略;和
将所述第二传入数据包转发到所述内部网络内的所述第二目的地。
4.根据权利要求2所述的方法,进一步包括:
基于所述检验结果确定所述第二传入数据包不满足所述一套网络策略;和
阻止所述第二传入数据包进入所述内部网络。
5.根据权利要求1所述的方法,进一步包括:
确定与所述第一传入数据包相关联的可接受网络延时水平;和
基于与所述第一传入数据包相关联的所述可接受网络延时水平确定将所述第一传入数据包转发到所述内部网络内的所述目的地而没有基于所述一套网络策略检验所述第一传入数据包。
6.根据权利要求5所述的方法,进一步包括:
当网络防火墙处的所述当前流入流量速率大于所述阈值流入流量速率时,在所述网络防火墙处接收第二传入数据包,所述第二传入数据包从所述外部网络传输到所述内部网络内的第二目的地;
确定与所述第二传入数据包相关联的可接受延时水平,与所述第二传入数据包相关联的所述可接受延时水平高于与所述第一传入数据包相关联的所述可接受延时水平;和
基于与所述第二传入数据包相关联的所述可接受延时水平确定基于所述一套网络策略检验第二流入数据包。
7.根据权利要求1所述的方法,进一步包括:
确定所述第一传入数据包的消息传递协议;和
基于所述第一传入数据包的所述消息传递协议确定将所述第一传入数据包转发到所述内部网络内的所述目的地而没有基于所述一套网络策略检验所述第一传入数据包。
8.根据权利要求7所述的方法,进一步包括:
当网络防火墙处的所述当前流入流量速率大于所述阈值流入流量速率时,在所述网络防火墙处接收第二传入数据包,所述第二传入数据包从所述外部网络传输到所述内部网络内的第二目的地;
确定所述第二传入数据包的消息传递协议,所述第二传入数据包的所述消息传递协议不同于所述第一传入数据包的所述消息传递协议;和
基于所述第二传入数据包的所述消息传递协议确定基于所述一套网络策略检验第二流入数据包。
9.一种网络防火墙系统,包括:
一个或多个计算机处理器;和
存储指令的一个或多个计算机可读介质,所述指令在由所述一个或多个计算机处理器执行时致使所述网络防火墙系统进行以下操作,包括:
接收第一传入数据包,所述第一传入数据包从外部网络传输到由所述网络防火墙系统保护的内部网络内的目的地,所述网络防火墙系统被配置成基于一套策略限制对所述内部网络的接入;
将所述网络防火墙系统处的当前流入流量速率与阈值流入流量速率进行比较,从而得到比较结果;
基于所述比较结果确定所述网络防火墙系统处的所述当前流入流量速率大于阈值流入流量速率;和
当所述网络防火墙系统处的所述当前流入流量速率大于所述阈值流入流量速率时,将所述第一传入数据包转发到所述内部网络内的所述目的地而没有基于所述一套网络策略检验所述第一传入数据包。
10.一种存储指令的非暂时性计算机可读介质,所述指令在由网络防火墙的一个或多个计算机处理器执行时致使所述网络防火墙进行以下操作,包括:
接收第一传入数据包,所述第一传入数据包从外部网络传输到由所述网络防火墙保护的内部网络内的目的地,所述网络防火墙被配置成基于一套网络策略限制对所述内部网络的接入;
将所述网络防火墙处的当前流入流量速率与阈值流入流量速率进行比较,从而得到比较结果;
基于所述比较结果确定所述网络防火墙处的所述当前流入流量速率大于阈值流入流量速率;和
当所述网络防火墙处的所述当前流入流量速率大于所述阈值流入流量速率时,将所述第一传入数据包转发到所述内部网络内的所述目的地而没有基于所述一套网络策略检验所述第一传入数据包。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201762507623P | 2017-05-17 | 2017-05-17 | |
| US62/507623 | 2017-05-17 | ||
| US15/676774 | 2017-08-14 | ||
| US15/676,774 US10469386B2 (en) | 2017-05-17 | 2017-08-14 | Network shunt with bypass |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108965237A true CN108965237A (zh) | 2018-12-07 |
Family
ID=64272714
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810486579.5A Pending CN108965237A (zh) | 2017-05-17 | 2018-05-17 | 网络防火墙系统及对应的方法及非暂时性计算机可读介质 |
Country Status (3)
| Country | Link |
|---|---|
| US (2) | US10469386B2 (zh) |
| CN (1) | CN108965237A (zh) |
| DE (1) | DE102018111550A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113810360A (zh) * | 2020-06-11 | 2021-12-17 | 苹果公司 | 网络接口设备 |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10944650B2 (en) * | 2018-03-29 | 2021-03-09 | Fortinet, Inc. | Programmable, policy-based efficient wireless sniffing networks in WIPS (wireless intrusion prevention systems) |
| US11411822B2 (en) * | 2018-06-29 | 2022-08-09 | Forescout Technologies, Inc. | Segmentation management including translation |
| CN111371694B (zh) * | 2018-12-26 | 2022-10-04 | 中兴通讯股份有限公司 | 一种分流方法、装置和系统、处理设备和存储介质 |
| US11456994B2 (en) * | 2019-03-18 | 2022-09-27 | Charter Communications Operating, Llc | Methods and apparatus for controlling and implementing firewalls |
| US20210273957A1 (en) * | 2020-02-28 | 2021-09-02 | Darktrace Limited | Cyber security for software-as-a-service factoring risk |
| CN112564962B (zh) * | 2020-12-02 | 2023-07-21 | 神州灵云(北京)科技有限公司 | 一种分布式引流方法 |
| CN114024765B (zh) * | 2021-11-15 | 2022-07-22 | 北京智维盈讯网络科技有限公司 | 基于旁路流量与防火墙配置相结合的防火墙策略收敛方法 |
| US20240205188A1 (en) * | 2022-12-15 | 2024-06-20 | Trane International Inc. | Reactive network security for a building automation system |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101789947A (zh) * | 2010-02-21 | 2010-07-28 | 成都市华为赛门铁克科技有限公司 | 防范http post泛洪攻击的方法及防火墙 |
| US20130142066A1 (en) * | 2011-03-28 | 2013-06-06 | Panasonic Corporation | Router, method for controlling router, and program |
| US20140245422A1 (en) * | 2009-11-30 | 2014-08-28 | Iwebgate Technology Limited | System and method for network virtualization and security using computer systems and software |
| US20140259140A1 (en) * | 2013-03-11 | 2014-09-11 | Sakthikumar Subramanian | Using learned flow reputation as a heuristic to control deep packet inspection under load |
| US20160219018A1 (en) * | 2015-01-27 | 2016-07-28 | Dell Software Inc. | Dynamic bypass of tls connections matching exclusion list in dpi-ssl in a nat deployment |
| US20160285825A1 (en) * | 2015-03-26 | 2016-09-29 | International Business Machines Corporation | Virtual firewall load balancer |
| US20160352719A1 (en) * | 2015-02-03 | 2016-12-01 | Fortinet, Inc. | Managing transmission and storage of sensitive data |
| CN106464422A (zh) * | 2014-05-13 | 2017-02-22 | 戴尔软件股份有限公司 | 在基于开放流的软件定义的网络(sdn)中启用深度包检测(dpi)的方法 |
| CN106603427A (zh) * | 2017-01-17 | 2017-04-26 | 汉柏科技有限公司 | 防火墙中实现软件bypass的方法及装置 |
-
2017
- 2017-08-14 US US15/676,774 patent/US10469386B2/en active Active
-
2018
- 2018-05-15 DE DE102018111550.4A patent/DE102018111550A1/de active Pending
- 2018-05-17 CN CN201810486579.5A patent/CN108965237A/zh active Pending
-
2019
- 2019-10-29 US US16/666,716 patent/US20200067837A1/en not_active Abandoned
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140245422A1 (en) * | 2009-11-30 | 2014-08-28 | Iwebgate Technology Limited | System and method for network virtualization and security using computer systems and software |
| CN101789947A (zh) * | 2010-02-21 | 2010-07-28 | 成都市华为赛门铁克科技有限公司 | 防范http post泛洪攻击的方法及防火墙 |
| US20130142066A1 (en) * | 2011-03-28 | 2013-06-06 | Panasonic Corporation | Router, method for controlling router, and program |
| US20140259140A1 (en) * | 2013-03-11 | 2014-09-11 | Sakthikumar Subramanian | Using learned flow reputation as a heuristic to control deep packet inspection under load |
| CN106464422A (zh) * | 2014-05-13 | 2017-02-22 | 戴尔软件股份有限公司 | 在基于开放流的软件定义的网络(sdn)中启用深度包检测(dpi)的方法 |
| US20160219018A1 (en) * | 2015-01-27 | 2016-07-28 | Dell Software Inc. | Dynamic bypass of tls connections matching exclusion list in dpi-ssl in a nat deployment |
| US20160352719A1 (en) * | 2015-02-03 | 2016-12-01 | Fortinet, Inc. | Managing transmission and storage of sensitive data |
| US20160285825A1 (en) * | 2015-03-26 | 2016-09-29 | International Business Machines Corporation | Virtual firewall load balancer |
| CN106603427A (zh) * | 2017-01-17 | 2017-04-26 | 汉柏科技有限公司 | 防火墙中实现软件bypass的方法及装置 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113810360A (zh) * | 2020-06-11 | 2021-12-17 | 苹果公司 | 网络接口设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| DE102018111550A1 (de) | 2018-11-22 |
| US10469386B2 (en) | 2019-11-05 |
| US20200067837A1 (en) | 2020-02-27 |
| US20180337858A1 (en) | 2018-11-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108965237A (zh) | 网络防火墙系统及对应的方法及非暂时性计算机可读介质 | |
| US10542050B2 (en) | Automated network security policy configuration | |
| US11755316B2 (en) | Customizable cloud-based software platform | |
| KR102293770B1 (ko) | 커스터마이즈된 사용자-제어형 미디어 오버레이들 | |
| US11301551B2 (en) | Computing asset access control | |
| US10721212B2 (en) | Network policy update with operational technology | |
| EP3451616B1 (en) | Network security policy configuration based on predetermined command groups | |
| CN104272788B (zh) | 在移动计算装置中传达行为信息 | |
| KR20200071782A (ko) | 전자 메시징 애플리케이션들을 위한 그래픽 렌더링 | |
| CN108770383A (zh) | 移动网络中的路由和安全 | |
| CN109155779A (zh) | 移动安全卸载器 | |
| US20220086118A1 (en) | Systems and methods for automated message delivery feedback | |
| US10841242B2 (en) | Systems and methods to scale a network monitoring fabric | |
| US10043002B2 (en) | Optimization of service in-line chain traffic | |
| US20180349445A1 (en) | Prioritizing data ingestion services | |
| US11615201B2 (en) | Secure management of user addresses in network service using firewall and tables | |
| US20200311154A1 (en) | Web service platform for distributed server systems | |
| US20230262009A1 (en) | Communication system facilitating delivery of a predefined message to end user devices on initial communications with an entity | |
| US20230267229A1 (en) | Data aggregation and anonymization in multi-tenant networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20181207 |