CN112087415B - 基于应用路径的网络业务控制 - Google Patents
基于应用路径的网络业务控制 Download PDFInfo
- Publication number
- CN112087415B CN112087415B CN201910936528.2A CN201910936528A CN112087415B CN 112087415 B CN112087415 B CN 112087415B CN 201910936528 A CN201910936528 A CN 201910936528A CN 112087415 B CN112087415 B CN 112087415B
- Authority
- CN
- China
- Prior art keywords
- protocol
- network
- application
- network traffic
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/12—Avoiding congestion; Recovering from congestion
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0894—Policy-based network configuration management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请的各实施例涉及基于应用路径的网络业务控制。一种网络设备可以接收与会话相关联的网络业务,其中该会话与网络相关联。网络设备可以从网络业务确定与会话相关联的应用路径,其中应用路径与通信协议和应用协议相关联。网络设备可以基于与应用路径相关联的策略信息来确定与会话相关联的网络业务是否能够使用通信协议和应用协议经由网络而被传达。网络设备可以基于网络业务是否被确定为能够被传达来执行与启用或阻止网络业务的传达相关联的动作。
Description
技术领域
本申请的各实施例涉及基于应用路径的网络业务控制。
背景技术
网络的网络设备(诸如防火墙或其他安全设备)可以用于允许或阻止与网络相关联的网络业务。例如,网络设备可以使用一组策略来阻止或允许发送到网络的网络业务、从网络发送的网络业务、和/或在网络内发送的网络业务。
发明内容
根据一些实现,一种方法可以包括接收网络业务,其中网络业务与关联于网络的会话相关联,其中会话与应用协议相关联;确定与网络业务相关联的应用路径,其中应用路径标识针对会话的通信协议和应用协议;执行与应用路径相关联的查找操作以标识与应用路径相关联的策略信息;基于查找操作来确定网络业务是否能够使用通信协议和应用协议经由网络而被传达;以及当网络业务被确定为能够经由网络而被传达时,启用网络业务经由网络的传达,或者当网络业务被确定为不能经由网络而被传达时,阻止网络业务经由网络的传达。
根据一些实现,一种网络设备可以包括一个或多个存储器;以及北通信地耦合到一个或多个存储器的一个或多个处理器,一个或多个处理器被配置为:接收与应用协议相关联的网络业务,其中网络业务与涉及网络的会话相关联;从网络业务标识应用路径,其中应用路径标识针对会话的通信协议和应用协议;从策略映射获取与应用路径相关联的策略信息,其中策略映射包括针对能够被用于与多个应用协议相关联的会话的通信协议的策略;基于策略信息来确定与会话相关联的网络业务的传达是否经由网络可允许;以及基于网络业务的传达是否经由网络可允许来执行与网络业务相关联的动作。
根据一些实现,一种非暂态计算机可读介质可以存储一个或多个指令。一个或多个指令在由网络设备的一个或多个处理器执行时可以使得一个或多个处理器:接收与会话相关联的网络业务,其中会话与网络相关联;从网络业务确定与会话相关联的应用路径,其中应用路径与通信协议和应用协议相关联;基于与应用路径相关联的策略信息来确定与会话相关联的网络业务是否能够使用通信协议和应用协议经由网络而被传达;以及基于网络业务是否被确定为能够被传达网络业务来执行与网络业务的传达相关联的动作。
附图说明
图1和图2是本文中描述的一个或多个示例实现的图;
图3是可以实现本文中描述的系统和/或方法的示例环境的图;
图4是图3的一个或多个设备的示例组件的图;以及
图5至图7是基于应用路径与网络业务控制相关联的一个或多个示例过程的流程图。
具体实施方式
以下对示例实现的详细描述参考附图。不同附图中的相同的附图标记可以标识相同或相似的元素。
防火墙可以用于基于由防火墙实现的策略和网络业务的一个或多个特性来允许对网络业务进行拒绝、速率限制或强制执行其他动作。这样的策略可以是基于通信的通信协议来允许或拒绝通信的基于通信协议的策略。因此,使用这种基于通信协议的策略的防火墙可以根据用于传达网络业务的通信协议来允许或拒绝网络内的网络业务(例如,网络业务的传达)。但是,如果特定策略是拒绝经由特定通信协议的网络业务,则这种基于通信协议的策略使得防火墙阻止要经由该通信协议传达的任何或所有网络业务。此外,在一些情况下,某些网络业务必须由网络的端点设备经由要被基于通信协议的策略阻止或拒绝的通信协议来发送和/或接收。因此,如果防火墙被配置为利用这种基于通信协议的策略,则无论网络业务的内容如何,无论源或目的地是否需要接收网络业务用于特定目的,无论网络业务是否包含恶意软件,等等,这样的网络业务都可能无法绕过防火墙。
在一些情况下,某些应用协议(和/或某些应用)被配置为与某些通信协议一起使用。因此,如果基于通信协议的网络策略阻止将要与特定应用协议一起使用的通信协议,则网络中的任何端点设备可能无法访问和/或利用使用这种应用协议的应用。除非防火墙使用允许与该应用协议相关联的网络业务的策略,否则与应用协议相关联的网络业务可能无法到达网络的端点。如果要经由将要被基于通信的策略阻止的通信协议来传达与应用协议相关联的网络业务,则这种策略可能与基于通信的策略冲突。可以配置防火墙(例如,由用户,诸如网络管理员)来实施允许应用协议使用特定通信协议进行通信的策略。然而,如果要拒绝一个或多个其他应用协议的通信协议,则需要单独创建并且应用相应的策略以拒绝该一个或多个其他应用协议的网络业务。作为示例,如果防火墙允许经由通信协议仅针对单个应用协议传达网络业务,则可能需要编写数百或数千个策略来拒绝与可以经由该通信协议传达的任何其他应用协议相关联的网络业务(因为不能编写单个基于通信协议的策略,因为它会拒绝与该单个应用相关联的网络业务)。因此,可以消耗若干计算资源(例如,处理资源、存储器资源、存储资源等)以创建、存储和实施这些策略。
本文中描述的一些实现允许网络设备基于应用协议和网络业务的应用路径而被配置有用于网络业务的一个或多个策略。如本文所述,当网络业务将要由在应用路径中指示的特定通信协议传达时,可以由防火墙强制执行这样的策略以仅允许与特定应用协议相关联的网络业务。因此,防火墙可以利用基于应用协议的策略(而不是基于通信协议的策略),该基于应用协议的策略允许经由特定通信协议的应用协议的网络业务,但是拒绝经由另一通信协议的与应用协议相关联的网络业务。
如本文所述,应用路径可以标识用于应用的会话的网络业务的通信协议。根据一些实现,防火墙可以标识(例如,在数据通信的分组中)应用路径和用于会话的网络业务的相应通信协议。在这种情况下,如果将要根据基于应用的策略而允许网络业务(例如,如果该应用的基于应用协议的策略允许应用路径中的指定通信协议的网络业务),则防火墙可以允许传达会话的网络业务。或者,如果将要根据基于应用协议的策略而拒绝网络业务(例如,如果该应用的基于应用的策略指示将要拒绝通过指定协议传达的网络业务),则防火墙可以丢弃和/或阻止用于会话的网络业务的传达。在一些实现中,网络设备可以被配置为使用指示任何相应通信协议的截断标识符(例如,符号、字符、字符串等)来强制执行为应用协议定义的策略,或者在执行策略时可以考虑在应用路径的一部分内可以标识的应用协议。例如,如果要将“*”和“+”用作截断标识符,则应用路径“*.TLS.+”中的“*”可以指示任何相应通信协议可以在协议栈中被包括在TLS下面的层中,并且“+”可以指示至少一个通信协议或应用协议元素将要在协议栈中被包括在TLS上面的层中。
以这种方式,网络设备可以使用基于应用协议的策略,该策略相对于基于通信协议的策略更加精细并且阻止由于与网络业务相关联的通信协议而导致的网络业务的不希望的丢弃,而不需要为可以与经由网络传达的网络业务相关联的所有应用协议创建、存储和/或实施各个策略。以这种方式,网络设备节省了否则将会被浪费用来传输和/或处理将基于基于通信协议的策略而丢弃的网络业务的资源(例如,计算资源和/或网络资源)。虽然本文中描述的一些示例涉及基于应用协议生成和/或使用策略,但是可以类似地基于特定应用和/或特定会话来生成和/或使用这样的策略。
图1是本文中描述的示例实现100的图。示例实现100包括第一端点设备(示出为“端点设备1”)、第二端点设备(示出为“端点设备2”)、网络、防火墙和安全策略数据库(例如,存储防火墙的策略映射和/或策略信息的数据结构)。如图所示,安全策略数据库包括策略信息并且与防火墙通信地耦合。在一些实现中,安全策略数据库可以被包括在防火墙的网络设备内,和/或与防火墙与相同的网络设备相关联。
在示例实现100中,防火墙可以是网络设备(和/或可以与网络设备相关联或者被包括在网络设备中),该网络设备管理去往网络、来自网络和/或在网络内的网络业务的传达(或流)。附加地或备选地,防火墙可以位于第一端点设备或第二端点设备内,和/或可以是第一端点设备或第二端点设备的防火墙。在图1中,第一端点设备和第二端点设备可以经由网络通信地耦合。因此,为了使第一端点设备能够向第二端点设备传输数据通信,防火墙需要被配置为允许数据通信通过网络传达到发送端点设备。
如本文所述,第一端点设备和/或第二端点设备可以托管和/或运行会话中涉及的应用(例如,计算机程序、移动应用、在线应用、基于云的应用等)。因此,与会话相关联,第一端点设备和/或第二端点设备可以传输与会话相关联的数据通信和/或网络业务。如结合示例实现100描述的,防火墙可以被配置(例如,使用一个或多个策略)为允许或拒绝这种网络业务经由网络的传达。
如图1中和由附图标记110所示,防火墙接收指示应用路径的网络业务。例如,网络业务可以与涉及经由网络传达网络业务的会话(例如,应用会话、通信会话等)相关联。网络业务可以包括消息、协议数据单元(PDU)(例如,分组或其他数据单元)的一个或多个数据通信。
会话可以与利用应用协议和/或与应用协议相关联的应用相关联。如本文所述,会话可以与特定协议栈相关联,该特定协议栈标识要在会话期间使用的特定协议(例如,通信协议、安全协议、应用协议等)。在一些实现中,应用路径可以表示会话的协议栈。例如,应用路径可以包括与协议栈的层对应的一个或多个元素(例如,以字符串、图形或其他类型的表示)。
协议栈可以对应于开放系统互连(OSI)模型。在这种情况下,协议栈的第一层(L1)可以是会话的物理层,协议栈的第二层(L2)可以是会话的数据链路层,第三层(L3)可以是会话的网络层,第四层(L4)可以是会话的传输层,第五层(L5)可以是会话的会话层,第六层(L6)可以是会话的表示层,并且第七层(L7)可以是会话的应用层。协议栈的一个或多个层在本文中可以称为通信协议或应用协议。例如,取决于与会话和/或特定应用路径相关联的可用信息,通信协议可以对应于L5或L6中的一个或多个,而应用协议可以对应于L7。在一些实现中,通信协议可以对应于L7协议,并且应用协议可以对应于高于L7的层(例如,应用特定协议)。在本文中描述的一些实现中,协议栈可以被概括为包括在一个或多个应用协议上面的一个或多个应用协议(在上面的下一层中)。
因此,在会话期间,网络业务可以包括为协议栈的特定协议配置和/或格式化的数据,该特定协议又按照协议栈中的相邻层被格式化。例如,可以为相邻通信协议层格式化应用协议的数据。更具体地,会话的应用数据可以通过超文本传输协议(HTTP)(应用协议)数据被格式化,并且HTTP数据可以通过传输控制协议(TCP)(通信协议)数据被格式化,等等。应用协议的其他示例可以包括文件传输协议(FTP)、普通文件传输协议(TFTP)、简单邮件传输协议(SMTP)、实时传输协议(RTP)等。如上所述,在一些实现中,对于特定会话,可以确定应用协议在协议栈的与另一会话的通信协议对应的层中。
在一些实现中,网络业务包括用于促进涉及第一端点设备和第二端点设备的会话的多个通信(例如,多个消息、PDU传输等)。例如,第一端点设备可以经由网络发送用于会话的网络业务,和/或第二端点设备可以相应地用会话的网络业务进行应答(或反之亦然)。因此,防火墙可以接收和/或拦截网络业务以确定是否能够经由网络传达网络业务和/或与网络业务相关联的会话(例如,根据在策略映射中定义的策略)。
以这种方式,防火墙可以接收(和/或拦截)经由网络传达和/或将要经由网络传达的网络业务,以允许防火墙确定是允许还是拒绝网络业务的传达。
如图1中和由附图标记120进一步所示,防火墙标识与网络业务相关联的应用路径。例如,防火墙可以预处理和/或解析来自网络业务的应用路径。更具体地,使用深度分组检查(DPI),防火墙可以标识与应用路径相关联(例如,与会话的协议栈的一个或多个层相关联)的网络业务的PDU。防火墙可以从PDU中提取和/或解析应用路径以确定和/或标识与传输或意图接收网络业务的应用相关联的一个或多个通信协议。在一些实现中,应用协议被包括在网络业务的PDU内和/或在网络业务的PDU中被标识,和/或可以被标识或确定为应用路径的一部分。因此,防火墙可以从数据通信确定来自网络业务的应用路径。
在一些实现中,防火墙(例如,使用DPI)可以分析应用路径以确定和/或标识与网络业务相关联的通信协议。通信协议的一些示例可以包括传输控制协议(TCP)、传输层安全(TLS)协议、安全套接字层(SSL)协议、快速用户数据报协议(UDP)、因特网连接协议(QUIC)协议或SOCKS协议(例如,SOCKS4、SOCKS5等)中的一个或多个。作为示例,为了从应用路径标识通信协议和/或应用协议,防火墙可以从应用路径解析一个或多个通信协议元素和/或一个或多个应用协议元素。例如,防火墙可以从应用路径*.TLS.HTTP(例如,ETH.IP.TLS.HTTP)确定与网络业务相关联的会话与应用协议1(例如,NETFLIXTM、FACEBOOKTM等)相关联并且TLS上的HTTP是针对会话的通信协议。作为另一示例,从应用路径*.SOCKS.HTTP,防火墙可以标识出应用协议1与网络业务相关联并且将SOCKS.HTTP标识为针对会话的通信协议。以这种方式,通过分析应用路径,防火墙可以标识与网络业务和/或会话相关联的通信协议和/或应用协议。
以这种方式,防火墙可以标识与网络业务相关联的应用路径和/或应用协议以允许防火墙从策略映射确定与允许或拒绝网络业务经由网络的传达相关联的策略。
如图1中和由附图标记130进一步所示,防火墙可以从策略映射确定是否可以基于应用路径来传达网络业务。如本文所述,网络业务可以与将要涉及第一端点设备和第二端点设备经由网络进行通信的应用的会话相关联。因此,在策略映射中使用策略信息(例如,标识用于允许网络业务的策略和/或用于拒绝网络业务的策略的信息和/或数据),防火墙可以确定是否能够经由网络来传达与会话相关联的网络业务。
在接收到网络业务和/或确定与网络业务相关联的应用协议(例如,在会话中使用的应用协议)之后,防火墙可以执行涉及扫描安全策略数据库以获取与应用协议相关联的策略信息的查找操作。如图1中所示,可以在安全策略数据库的映射(或表)中表示策略信息(例如,对于每个可能的应用协议)。附加地或备选地,策略信息可以被包括在列表(例如,按应用协议排序的结构化列表、非结构化列表等)、索引(例如,基于应用协议来索引策略信息)、图表等中。
根据一些实现,当执行查找操作时,防火墙可以从网络业务标识应用路径并且在策略映射中定位(例如,经由DPI)与应用路径和/或应用路径的通信协议(例如,从应用路径的一部分确定的)相关联的条目。在一些实现中,可以将应用协议附加(例如,朝向与协议栈的上层相关联的应用路径的末端)或者包括在应用路径内(例如,在与协议栈的中间层对应的应用路径的中间)。例如,应用协议可以对应于在确定应用路径时由防火墙标识的协议栈的顶层。因此,基于确定应用路径,防火墙可以对应地确定应用协议,并且应用路径的剩余元素(例如,对应于协议栈的较低层)可以被确定为用于会话的一个或多个通信协议。例如,假定网络业务的应用协议是应用协议1,则防火墙可以确定应用协议1的标识符被附加到应用路径的末端和/或对应于会话的协议栈的顶层。因此,如图1中所示,防火墙可以定位应用协议1的表(例如,通过从应用路径解析应用协议和/或从应用协议解析通信协议),并且然后可以定位与应用路径(和/或应用路径的通信协议)对应的应用协议1的表的条目(例如,基于所确定的应用路径)。
在一些实现中,防火墙可以基于标识包括应用路径的条目来标识通信协议(例如,通过执行查找操作和/或扫描安全策略数据库以获取应用路径或应用路径的一部分)。然后,防火墙可以从通信协议和应用协议的条目获取策略信息。如图中所示,策略信息可以指示是允许还是拒绝与应用协议相关联的通信协议(对应于是否能够经由网络传达网络业务)。
如本文中结合图2所述,通过包括表示多个通信协议的应用路径的一部分,策略映射中的一个或多个条目可以与通信协议相关联。例如,条目中的应用路径可以包括表示多个通信协议(例如,作为全包标识符)的截断标识符。以这种方式,单个条目可以被包括在策略映射中,该单个条目表示可以与应用协议相关联地使用的多个通信协议的相同策略。附加地或备选地,类似的截断标识符可以用于表示多个不同的应用协议。在一些实现中,匹配标识符可以用于指示特定应用协议必须与某组应用协议中的至少一个相匹配。以这种方式,单个条目可以用于为多个不同的通信协议、多个不同的应用协议和/或多个不同的应用定义相同的策略。
以这种方式,防火墙可以执行与通信协议和应用协议相关联的查找操作以标识与允许或拒绝与应用协议相关联的网络业务相关联的策略。
根据一些实现,防火墙(和/或与防火墙相关联的另一网络设备)可以被配置为在策略映射中生成和/或更新策略信息。例如,防火墙可以接收与关联于网络的一个或多个安全阈值(或安全要求)相关联的信息。这样的安全阈值可以包括以下各项和/或与其相关联:加密的级别或类型、网络中的网络业务的内容是否可标识(并且如果是,则可标识和/或能够被分析的内容的数量)、网络的隐私设置等。此外,防火墙可以被配置为标识网络业务的相应特性、和/或应用协议以配置应用协议的策略。例如,基于应用协议的特性,防火墙可以确定可以与不允许用于传达与应用协议相关联的网络业务的应用协议和/或通信协议相关联地使用的通信协议。
在一些实现中,防火墙可以被配置为根据一个或多个用户输入(例如,标识和/或指定要与为特定应用协议定义策略相结合考虑的安全阈值和/或安全特性的一个或多个用户输入)生成策略映射。可以考虑关于定义应用协议的策略的一个或多个其他因素,诸如负载平衡(例如,在不同的通信协议之间)、网络的容量、经由网络通信的设备的数量、网络的拓扑等。
以这种方式,防火墙可以基于与应用路径和应用协议相关联的策略信息来确定与会话相关联的网络业务是否能够使用通信协议经由网络来传达以允许防火墙执行与网络业务相关联的操作。
如图1中和由附图标记140进一步所示,防火墙允许或拒绝网络业务。例如,防火墙可以执行与允许传达网络业务相关联的一个或多个动作(例如,使得能够传达数据通信和/或网络业务,转发数据通信和/或网络业务,阻止或丢弃数据通信和/或网络业务,等等)。
附加地或备选地,防火墙可以执行与网络业务的传达相关联的一个或多个其他动作。例如,防火墙可以为网络业务经由会话的传达设置参数。这些参数可以包括数据速率、网络业务的传达的可用带宽、与会话相关联的定时参数(例如,时间限制、调度等)等。以这种方式,当启用会话的网络业务的传达时,防火墙可以使得使用特定参数传达网络业务。因此,防火墙可以使得经由网络建立会话。在一些实现中,防火墙可以向网络业务的源通知可以建立会话和/或可以经由网络(例如,经由确认消息)传达与会话相关联的网络业务。
附加地或备选地,如果要阻止和/或拒绝与会话相关联的网络业务的传达,则防火墙可以发送反映这一情况的通知。在一些实现中,这种通知可以指示用于确定不能经由网络执行通信的推理。例如,防火墙可以指示由应用路径标识的通信协议不能与该应用协议一起使用。附加地或备选地,防火墙可以指示哪些通信协议可以与应用协议相关联地使用以经由网络传达网络业务(例如,根据策略映射中包括的策略)。
在一些实现中,防火墙可以保持与关联于网络的网络业务相关联地实施的策略的日志。例如,防火墙可以在日志中指示从网络业务标识的应用路径,并且记录是允许还是拒绝网络业务的传达。在一些实现中,防火墙可以记录策略映射中的哪个条目用于允许或拒绝通信(例如,允许检查和/或验证该策略的实施的准确性)。在这种情况下,条目可以反映策略的应用路径。如本文所述,应用路径可以是匹配网络业务的应用路径的完整应用和/或包括一个或多个截断标识符的截断应用。因此,防火墙可以利用日志来允许检查、分析和/或验证策略实施和/或由防火墙执行的一个或多个动作的准确性。
以这种方式,防火墙可以基于是否允许经由网络传达网络业务来执行与网络业务相关联的一个或多个动作。
如上所述,图1仅作为一个或多个示例而被提供。其他示例可以与关于图1描述的示例不同。
图2是本文中描述的示例实现200的图。示例实现200包括用于应用协议1的示例策略映射,该策略映射具有包括一个或多个截断标识符和/或匹配标识符的条目。如本文所述,这样的条目可以减少定义应用协议1的策略所需要的策略映射中的条目的数量。
如本文所述,条目中的应用路径可以包括截断标识符,该截断标识符指示在条目中表示多个通信协议和/或应用(例如,以指示是否允许使用在条目中表示的多个通信协议的与应用协议相关联的网络业务)。例如,在图2中,星号(*)可以是截断标识符,该截断标识符指示包括每个条目中的应用路径的一部分的任何指示的应用路径(除了截断标识符之外)可以相应地被允许或拒绝,如由截断应用路径的动作所指示的。此外,在图2中,加号(+)可以是匹配标识符,该匹配标识符指示包括应用路径的一部分和另一匹配部分的任何指示的应用路径可以相应地被允许或拒绝,如截断应用路径的动作所指示的。
因此,如图2中所示,具有截断路径*.SSL的映射中的条目定义了能够经由任何SSL通信协议传达应用协议1的策略。以这种方式,只要与应用协议1相关联的网络业务的所指示的应用路径以SSL结束,就能够经由网络传达网络业务。以这种方式,具有截断路径ETH.IP.TCP.SSL的条目可以是冗余的(因为ETH.IP.TCP.SSL作为应用路径被包括在截断的应用路径*.SSL中),并且因此可以从映射中去除以节省与实施由该条目定义的策略相关联的存储和/或处理。此外,具有截断路径*.SOCKS.+的映射中的条目使用应用路径截断标识符(*)和截断标识符(+),其指示在应用路径中指示了至少一个元素。这样的条目定义了能够经由任何SOCKS协议传达应用协议1的策略,只要应用路径标识SOCKS之上的层中的元素。
作为另一示例,截断路径*.QUIC.*.HTTP可以对应于QUIC和HTTP上的任何网络业务,连同HTTP层与QUIC之间的层中的任何通信协议。如图2中所示,根据策略将要拒绝具有这种路径的网络业务。在一些实现中,特定截断标识符可以指示将要在应用路径中包括一组可能的匹配应用名称、通信协议等以允许或拒绝与该截断应用路径相关联的网络业务。该组可能的匹配元素可以存储和/或位于另一安全策略数据库和/或策略映射中(例如,在映射的一个或多个其他列中)。
因此,单个条目可以被包括在策略映射中,该单个条目表示可以与应用协议相关联地使用的多个通信协议的相同策略。
如上所述,图2仅作为一个或多个示例而被提供。其他示例可以与关于图2描述的不同。
因此,如本文所述,诸如防火墙等网络设备可以被配置为具有基于应用协议的策略(和/或应用特定的策略),该策略允许经由特定通信协议进行通信而无需为其他应用协议创建相应策略以允许和/或阻止利用通信协议的网络业务。以这种方式,可以节省网络设备的计算资源。例如,可以节省当与另一应用协议相关联的网络业务可以与通信协议一起使用时与创建、生成和/或存储用于拒绝与多个应用协议和相同通信协议相关联的网络业务的策略相关联的计算资源。此外,如本文所述配置的网络设备可以节省由使用基于通信协议的策略丢弃的通信所消耗的网络资源。例如,这种基于通信协议的策略可以阻止与由基于通信协议的策略阻止的优选通信协议相关联地传达应用协议。因此,如本文所述的网络设备可以被配置为以比先前的技术更有效和/或更高效的方式操作和/或实施策略(例如,与允许或拒绝网络业务的传达相关联的策略)。
图3是可以实现本文中描述的系统和/或方法的示例环境300的图。如图3中所示,环境300可以包括源设备310、目的地设备320、网络330、以及一个或多个网络设备340(本文中分别称为网络设备340或统称为网络设备340)。环境设备300可以经由有线连接、无线连接或有线和无线连接的组合互连。
源设备310和/或目的地设备320可以包括一个或多个用户设备。例如,源设备310和/或目的地设备320可以包括能够接收、生成、存储、处理和/或提供与应用和/或会话相关联的网络业务的一个或多个设备,如本文所述。源设备310和/或目的地设备320可以包括通信和/或计算设备,诸如移动电话(例如,智能电话、无线电话等)、膝上型计算机、平板计算机、手持计算机、台式计算机、游戏设备、可穿戴通信设备(例如,智能手表、智能眼镜等)或类似类型的设备。在一些实现中,源设备和/或目的地设备可以是云计算环境的基于云的平台、基于web的平台、在线平台等。源设备310和目的地设备320可以对应于结合示例实现100描述的第一端点设备和第二端点设备。
网络330包括一个或多个有线和/或无线网络。例如,网络330可以包括蜂窝网络(例如,长期演进(LTE)网络、码分多址(CDMA)网络、3G网络、4G网络、5G网络,另一种类型的下一代网络等)、公共陆地移动网络(PLMN)、局域网(LAN)、广域网(WAN)、城域网(MAN)、电话网络(例如,公共交换电话网络(PSTN))、专用网络、ad hoc网络、内联网、因特网、基于光纤的网络、云计算网络等、和/或这些或其他类型的网络的组合。
网络设备340包括能够在端点设备(例如,源设备310和目的地设备320)之间处理和/或传输业务的一个或多个设备(例如,一个或多个业务传输设备)。例如,网络设备340可以包括防火墙、路由器、网关、交换机、集线器、网桥、反向代理、服务器(例如,代理服务器)、安全设备、入侵检测设备、负载平衡器或类似设备。在一些实现中,网络设备340可以是在诸如机箱等壳体内实现的物理设备。在一些实现中,网络设备340可以是由云计算环境或数据中心的一个或多个计算机设备实现的虚拟设备。
图3中所示的设备和网络的数目和布置作为一个或多个示例而被提供。实际上,可以存在与图3中所示的相比更多的设备和/或网络、更少的设备和/或网络、不同的设备和/或网络、或者被不同地布置的设备和/或网络。此外,图3中所示的两个或更多个设备可以在单个设备中实现,或者,图3中所示的单个设备可以实现为多个分布式设备。附加地或备选地,环境300的一组设备(例如,一个或多个设备)可以执行被描述为由环境300的另一组设备执行的一个或多个功能。
图4是设备400的示例组件的图。设备400可以对应于源设备310、目的地设备320和/或网络设备340。在一些实现中,源设备310、目的地设备320和/或网络设备340可以包括一个或多个设备400和/或设备400的一个或多个组件。如图4中所示,设备400可以包括总线410、处理器420、存储器430、存储组件440、输入组件450、输出组件460和通信接口470。
总线410包括允许设备400的多个组件之间通信的组件。处理器420用硬件、固件和/或硬件和软件的组合而被实现。处理器420采用以下形式:中央处理单元(CPU)、图形处理单元(GPU)、加速处理单元(APU)、微处理器、微控制器、数字信号处理器(DSP)、现场可编程门阵列(FPGA)、专用集成电路(ASIC)或其他类型的处理组件。在一些实现中,处理器420包括能够被编程为执行功能的一个或多个处理器。存储器430包括随机存取存储器(RAM)、只读存储器(ROM)、和/或存储用于由处理器420使用的信息和/或指令的其他类型的动态或静态存储设备(例如,闪存、磁存储器和/或光存储器)。
存储组件440存储与设备400的操作和使用相关的信息和/或软件。例如,存储组件440可以包括硬盘(例如,磁盘、光盘、和/或磁光盘)、固态驱动器(SSD)、光碟(CD)、数字通用光盘(DVD)、软盘、盒式磁带、磁带和/或其他类型的非暂态计算机可读介质、以及相应的驱动程序。存储组件440可以用于存储和/或实现示例实现100的安全策略数据库。
输入组件450包括允许设备400接收信息的组件,诸如经由用户输入(例如,触摸屏显示器、键盘、小键盘、鼠标、按钮、开关和/或麦克风)。附加地或备选地,输入组件450可以包括用于确定位置的组件(例如,全球定位系统(GPS)组件)和/或传感器(例如,加速度计、陀螺仪、致动器、另一种类型的位置或环境传感器等)。输出组件460包括从设备400提供输出信息的组件(经由例如显示器、扬声器、触觉反馈组件、音频或视觉指示器等)。
通信接口470包括使得设备400能够与其他设备通信的类似收发器的组件(例如,收发器、单独的接收器、单独的发射器等),诸如经由有线连接、无线连接或有线和无线连接组合。通信接口470可以允许设备400从另一设备接收信息和/或向另一设备提供信息。例如,通信接口470可以包括以太网接口、光学接口、同轴接口、红外接口、射频(RF)接口、通用串行总线(USB)接口、Wi-Fi接口、蜂窝网络接口等。
设备400可以执行本文中描述的一个或多个过程。设备400可以基于处理器420执行由非暂态计算机可读介质(诸如存储器430和/或存储组件440)存储的软件指令来执行这些过程。如本文中使用的,术语“计算机可读介质”是指非暂态存储器设备。存储器设备包括单个物理存储设备内的存储器空间或跨多个物理存储设备分布的存储器空间。
软件指令可以经由通信接口470从另一计算机可读介质或从另一设备读取到存储器430和/或存储组件440中。当被执行时,存储在存储器430和/或存储组件440中的软件指令可以使得处理器420执行本文中描述的一个或多个过程。附加地或备选地,可以使用硬件电路代替软件指令或与软件指令相结合来执行本文中描述的一个或多个过程。因此,本文中描述的实现不限于硬件电路和软件的任何特定组合。
图4中所示的组件的数目和布置作为示例而被提供。实际上,设备400可以包括与图4中所示的相比更多的组件、更少的组件、不同的组件、或者被不同地布置的组件。附加地或备选地,设备400的一组组件(例如,一个或多个组件)可以执行被描述为由设备400的另一组组件执行的一个或多个功能。
图5是用于基于应用路径的网络业务控制的示例过程500的流程图。在一些实现中,图5的一个或多个过程框可以由网络设备(例如,网络设备340)执行。在一些实现中,图5的一个或多个过程框可以由与网络设备分离或包括网络设备的另一设备或一组设备执行,诸如源设备(例如,源设备310)、目的地设备(例如,目的地设备320)等。
如图5中所示,过程500可以包括接收网络业务,其中网络业务与关联于网络的会话相关联,其中会话与应用协议相关联(框510)。例如,网络设备(例如,使用处理器420、存储器430、存储组件440、输入组件450、输出组件460、通信接口470等)可以接收网络业务,如上所述。在一些实现中,网络业务与关联于网络的会话相关联。在一些实现中,会话与应用协议相关联。
如图5中进一步所示,过程500可以包括确定与网络业务相关联的应用路径,其中应用路径标识会话的通信协议和应用协议(框520)。例如,网络设备(例如,使用处理器420、存储器430、存储组件440、输入组件450、输出组件460、通信接口470等)可以确定与网络业务相关联的应用路径,如上所述。在一些实现中,应用路径标识会话的通信协议和应用协议。
如图5中进一步所示,过程500可以包括执行与应用路径相关联的查找操作以标识与应用路径相关联的策略信息(框530)。例如,网络设备(例如,使用处理器420、存储器430、存储组件440、输入组件450、输出组件460、通信接口470等)可以执行与应用路径相关联的查找操作以标识与应用路径相关联的策略信息,如上所述。
如图5中进一步所示,过程500可以包括基于查找操作确定是否能够使用通信协议和应用协议经由网络传达网络业务(框540)。例如,网络设备(例如,使用处理器420、存储器430、存储组件440、输入组件450、输出组件460、通信接口470等)可以基于查找操作确定是否能够使用通信协议和应用协议经由网络传达网络业务,如上所述。
如图5中进一步所示,过程500可以包括当确定能够经由网络传达网络业务时,启用网络业务经由网络的传达,或者当确定不能经由网络传达网络业务时,阻止网络业务经由网络的传达(框550)。例如,当确定能够经由网络传达网络业务时,网络设备(例如,使用处理器420、存储器430、存储组件440、输入组件450、输出组件460、通信接口470等)可以启用网络业务经由网络的传达,或者当确定不能经由网络传达网络业务时,网络设备(例如,使用处理器420、存储器430、存储组件440、输入组件450、输出组件460、通信接口470等)阻止网络业务经由网络的传达,如上所述。
过程500可以包括其他实现,诸如下面描述的和/或结合本文中其他地方描述的一个或多个其他过程而被描述的任何单个实现或任何实现的组合。
在第一实现中,网络设备可以基于与网络的安全阈值相关联的用户输入以及应用协议的安全特性或通信协议的安全特性中的至少一项来生成策略信息。
在第二实现中,单独地或与第一实现相结合,网络设备在执行查找操作时可以标识应用路径,在策略映射中基于应用路径来定位与应用路径相关联的条目,并且从条目获取策略信息。
在第三实现中,单独地或与第一实现和第二实现中的一个或多个实现相结合,条目基于条目包括应用路径而与通信协议相关联,其中条目包括与应用路径相关联的截断标识符,并且其中截断标识符包括以下至少一项:表示条目的应用路径的任何元素的第一标识符、表示至少一个元素被包括在条目的应用路径中的第二标识符、或表示特定元素集中的至少一个被包括在条目的应用路径中的第三标识符。
在第四实现中,单独地或与第一实现至第三实现中的一个或多个实现相结合,条目基于通信协议是能够由应用路径的相同部分标识的多个通信协议中的一个通信协议而与通信协议相关联,并且条目包括应用路径的相同部分。
在第五实现中,单独地或与第一实现至第四实现中的一个或多个实现相结合,网络设备可以与网络业务的传达是被启用还是拒绝相关联地记录所标识的应用路径,其中所记录的应用路径与在条目中被标识的应用路径相关联地被记录。
在第六实现中,单独地或与第一实现至第五实现中的一个或多个实现相结合,以下至少一项:通信协议与关联于会话的协议栈的中间层相关联,或者应用协议是与会话相关联的协议栈的顶层。
尽管图5示出了过程500的示例框,但是在一些实现中,过程500可以包括与图5中所示的相比更多的框、更少的框、不同的框、或者被不同地布置的框。附加地或备选地,过程500的两个或更多个框可以并行执行。
图6是用于基于应用路径的网络业务控制的示例过程600的流程图。在一些实现中,图6的一个或多个过程框可以由网络设备(例如,网络设备340)执行。在一些实现中,图6的一个或多个过程框可以由与网络设备分离或包括网络设备的另一设备或一组设备执行,诸如源设备(例如,源设备310)、目的地设备(例如,目的地设备320)等。
如图6中所示,过程600可以包括接收与应用协议相关联的网络业务,其中网络业务与涉及网络的会话相关联(框610)。例如,网络设备(例如,使用处理器420、存储器430、存储组件440、输入组件450、输出组件460、通信接口470等)可以接收与应用协议相关联的网络业务,如上所述。在一些实现中,网络业务与涉及网络的会话相关联。
如图6中进一步所示,过程600可以包括从网络业务标识应用路径,其中应用路径标识会话的通信协议和应用协议(框620)。例如,网络设备(例如,使用处理器420、存储器430、存储组件440、输入组件450、输出组件460、通信接口470等)可以从网络业务标识应用路径,如上所述。在一些实现中,应用路径标识会话的通信协议和应用协议。
如图6中进一步所示,过程600可以包括从策略映射获取与应用路径相关联的策略信息,其中策略映射包括能够用于与多个应用协议相关联的会话的通信协议的策略(框630)。例如,网络设备(例如,使用处理器420、存储器430、存储组件440、输入组件450、输出组件460、通信接口470等)可以从策略映射获取与应用路径相关联的策略信息,如上所述。在一些实现中,策略映射包括能够用于与多个应用协议相关联的会话的通信协议的策略。
如图6中进一步所示,过程600可以包括基于策略信息确定是否允许经由网络进行与会话相关联的网络业务的传达(框640)。例如,网络设备(例如,使用处理器420、存储器430、存储组件440、输入组件450、输出组件460、通信接口470等)可以基于策略信息确定是否允许经由网络进行与会话相关联的网络业务的传达,如上所述。
如图6中进一步所示,过程600可以包括基于是否允许经由网络进行网络业务的传达,执行与网络业务相关联的动作(框650)。例如,网络设备(例如,使用处理器420、存储器430、存储组件440、输入组件450、输出组件460、通信接口470等)可以基于是否允许经由网络进行网络业务的传达,执行与网络业务相关联的动作,如上所述。
过程600可以包括其他实现,诸如下面描述的和/或结合本文中其他地方描述的一个或多个其他过程而被描述的任何单个实现或任何实现的组合。
在第一实现中,网络设备可以在策略映射中基于通信协议满足网络的安全阈值来生成用以指示通信协议能够与应用协议相关联地被使用的策略信息,或者在策略映射中基于通信协议不满足网络的安全阈值来生成用以指示通信协议无法与应用协议相关联地被使用的策略。
在第二实现中,单独地或与第一实现相结合,策略信息从策略映射中的标识应用路径的条目而被获取。在第三实现中,单独地或与第一实现和第二实现中的一个或多个实现相结合,策略信息从策略映射中的标识应用路径的一部分的条目而被获取。
在第四实现中,单独地或与第一实现至第三实现中的一个或多个实现相结合,网络设备在执行动作时可以以下至少一项:当网络业务的传达被确定为可允许时,经由网络转发网络业务,或者当网络业务的传达被确定为非可允许时,阻止网络业务经由网络被传达。
在第五实现中,单独地或与第一实现至第四实现中的一个或多个实现相结合,网络设备是网络的防火墙。在第六实现中,单独地或与第一实现至第五实现中的一个或多个实现相结合,以下至少一项:通信协议与关联于会话的协议栈的中间层相关联,或者应用协议是与会话相关联的协议栈的顶层。
尽管图6示出了过程600的示例框,但是在一些实现中,过程600可以包括与图6中所示的相比更多的框、更少的框、不同的框、或者被不同地布置的框。附加地或备选地,过程600的两个或更多个框可以并行执行。
图7是用于基于应用路径的网络业务控制的示例过程700的流程图。在一些实现中,图7的一个或多个过程框可以由网络设备(例如,网络设备340)执行。在一些实现中,图7的一个或多个过程框可以由与网络设备分离或包括网络设备的另一设备或一组设备执行,诸如源设备(例如,源设备310)、目的地设备(例如,目的地设备320)等。
如图7中所示,过程700可以包括接收与会话相关联的网络业务,其中会话与网络相关联(框710)。例如,网络设备(例如,使用处理器420、存储器430、存储组件440、输入组件450、输出组件460、通信接口470等)可以接收与会话相关联的网络业务,如上所述。在一些实现中,会话与网络相关联。
如图7中进一步所示,过程700可以包括从网络业务确定与会话相关联的应用路径,其中应用路径与通信协议和应用协议相关联(框720)。例如,网络设备(例如,使用处理器420、存储器430、存储组件440、输入组件450、输出组件460、通信接口470等)可以从网络业务确定与会话相关联的应用路径,如上所述。在一些实现中,应用路径与通信协议和应用协议相关联。
如图7中进一步所示,过程700可以包括基于与应用路径相关联的策略信息来确定是否能够使用通信协议和应用协议经由网络传达与会话相关联的网络业务(框730)。例如,网络设备(例如,使用处理器420、存储器430、存储组件440、输入组件450、输出组件460、通信接口470等)可以基于与应用路径相关联的策略信息来确定是否能够使用通信协议和应用协议经由网络传达与会话相关联的网络业务,如上所述。
如图7中进一步所示,过程700可以包括基于确定是否能够传达网络业务,执行与启用或阻止网络业务的传达相关联的动作(框740)。例如,网络设备(例如,使用处理器420、存储器430、存储组件440、输入组件450、输出组件460、通信接口470等)可以基于确定是否能够传达网络业务,执行与启用或阻止网络业务的传达相关联的动作,如上所述。
过程700可以包括其他实现,诸如下面描述的和/或结合本文中其他地方描述的一个或多个其他过程而被描述的任何单个实现或任何实现的组合。
在第一实现中,网络设备可以基于与网络相关联的安全阈值和应用协议的安全特性来生成策略映射。在第二实现中,单独地或与第一实现相结合,应用路径使用深度分组检查从网络业务而被确定。
在第三实现中,单独地或与第一实现和第二实现中的一个或多个实现相结合,应用协议包括超文本传输协议,并且,通信协议包括以下至少一项:传输控制协议、传输层安全协议、安全套接字层协议、快速用户数据报协议因特网连接协议或SOCKS协议。
在第四实现中,单独地或与第一实现至第三实现中的一个或多个实现相结合,应用路径从网络业务的多个PDU而被确定。在第五实现中,单独地或与第一实现至第四实现中的一个或多个实现相结合,以下至少一项:通信协议与关联于会话的协议栈的中间层相关联,或者应用协议是与会话相关联的协议栈的顶层。
尽管图7示出了过程700的示例框,但是在一些实现中,过程700可以包括与图7中所示的相比更多的框、更少的框、不同的框、或者被不同地布置的框。附加地或备选地,过程700的两个或更多个框可以并行执行。
前述公开内容提供说明和描述,但并非旨在穷举或将实现限于所公开的精确形式。修改和变化鉴于以上公开内容而是可能的,或者可以从实现的实践被获取。
如本文中使用的,术语“组件”旨在广义地解释为硬件、固件和/或硬件和软件的组合。
如本文中使用的,术语“业务”或“内容”可以包括一组分组。分组可以是指用于传达信息的通信结构,诸如协议数据单元(PDU)、网络分组、数据报、段、消息、块、小区、帧、子帧、时隙、符号、上述中的任一个的一部分、和/或能够经由网络来传输的其他类型的格式化或未格式化的数据单元。
很清楚的是,本文中描述的系统和/或方法可以按照不同形式的硬件、固件或硬件和软件的组合而被实现。用于实现这些系统和/或方法的实际专用控制硬件或软件代码不限制实现。因此,本文中描述了系统和/或方法的操作和行为,而没有参考特定的软件代码——应当理解,可以设计软件和硬件以基于本文中的描述来实现这些系统和/或方法。
尽管在权利要求中陈述和/或在说明书中公开了特征的特定组合,但是这些组合并不旨在限制各种实现的公开。实际上,这些特征中的很多特征可以按照未在权利要求中具体陈述和/或在说明书中公开的方式进行组合。尽管下面列出的每个从属权利要求可以直接仅依赖于一个权利要求,但是各种实现的公开包括每个从属权利要求与权利要求集合中的每个其他权利要求的组合。
除非明确地如此描述,否则本文中使用的元素、动作或指令不应当被解释为是关键或必要的。此外,如本文中使用的,冠词“一个(a)”和“一个(an)”旨在包括一个或多个项目,并且可以与“一个或多个”可互换地使用。此外,如本文中使用的,冠词“该(the)”旨在包括与冠词“该(the)”相关地引用的一个或多个项目,并且可以与“一个或多个”可互换地使用。此外,如本文中使用的,术语“集合”旨在包括一个或多个项目(例如,相关项目、不相关项目、相关和不相关项目的组合等),并且可以与“一个或多个”可互换地使用。在仅有一个项目的情况下,使用术语“一个(one)”或类似的语言。此外,如本文中使用的,术语“具有(has)”、“具有(have)”、“具有(having)”等意图是开放式术语。此外,除非另有明确说明,否则短语“基于”旨在表示“至少部分基于”。此外,如本文中使用的,除非另有明确说明(例如,如果与“任一”或“……中的仅一个”组合使用),否则术语“或”在一系列中使用时旨在是包括性的,并且可以与“和/或”可互换地使用。
Claims (20)
1.一种方法,包括:
由网络设备接收网络业务,
其中所述网络业务与关联于网络的会话相关联,
其中所述会话与应用协议相关联;
由所述网络设备确定与所述网络业务相关联的应用路径;
由所述网络设备基于从所述应用路径解析一个或多个通信协议元素和一个或多个应用协议元素来确定与所述会话和所述应用协议相关联的通信协议;
由所述网络设备执行与所述应用路径相关联的查找操作以标识与所述应用路径相关联的策略信息;
由所述网络设备基于所述查找操作来确定所述网络业务是否能够使用所述通信协议和所述应用协议经由所述网络而被传达;以及
当所述网络业务被确定为能够经由所述网络而被传达时,由所述网络设备启用所述网络业务经由所述网络的传达,或者
当所述网络业务被确定不能经由所述网络而被传达时,由所述网络设备阻止所述网络业务经由所述网络的传达。
2.根据权利要求1所述的方法,还包括:
基于与所述网络的安全阈值相关联的用户输入以及以下至少一项来生成所述策略信息:
所述应用协议的安全特性,或者
所述通信协议的安全特性。
3.根据权利要求1所述的方法,其中执行所述查找操作包括:
标识所述应用路径;
在策略映射中基于所述应用路径来定位与所述应用路径相关联的条目;以及
从所述条目获取所述策略信息,
其中所述策略信息指示所述网络业务是否能够经由所述网络而被传达。
4.根据权利要求3所述的方法,其中所述条目基于所述条目包括所述应用路径而与所述通信协议相关联,
其中所述条目包括与所述应用路径相关联的截断标识符,
其中所述截断标识符包括以下至少一项:
第一标识符,表示所述条目的所述应用路径的任何元素,
第二标识符,表示至少一个元素被包括在所述条目的所述应用路径中,或者
第三标识符,表示特定元素集中的至少一个元素被包括在所述条目的所述应用路径中。
5.根据权利要求3所述的方法,其中所述条目基于所述通信协议是能够由所述应用路径的相同部分标识的多个通信协议中的一个通信协议而与所述通信协议相关联,
其中所述条目包括所述应用路径的所述相同部分。
6.根据权利要求3所述的方法,还包括:
与所述网络业务的所述传达是被启用还是拒绝相关联地记录与所述应用路径相关联的信息,
其中与所述应用路径相关联的所记录的所述信息与所述条目相关联地被记录。
7.根据权利要求1所述的方法,其中以下至少一项:
所述通信协议与关联于所述会话的协议栈的中间层相关联,或者
所述应用协议是与所述会话相关联的所述协议栈的顶层。
8.一种网络设备,包括:
一个或多个存储器;以及
被通信地耦合到所述一个或多个存储器的一个或多个处理器,被配置为:
接收与应用协议相关联的网络业务,
其中所述网络业务与涉及网络的会话相关联;
从所述网络业务标识应用路径;
基于从所述应用路径解析一个或多个通信协议元素和一个或多个应用协议元素来确定与所述会话和所述应用协议相关联的通信协议;
从策略映射获取与所述应用路径相关联的策略信息,
其中所述策略映射包括针对能够被用于与多个应用协议相关联的会话的通信协议的策略;
基于所述策略信息来确定与所述会话相关联的网络业务的传达是否使用所述通信协议和所述应用协议经由所述网络可允许;以及
基于所述网络业务的传达是否经由所述网络可允许来执行与所述网络业务相关联的动作。
9.根据权利要求8所述的网络设备,其中所述一个或多个处理器还被配置为:
在策略映射中基于所述通信协议满足所述网络的安全阈值来生成用以指示所述通信协议能够与所述应用协议相关联地被使用的所述策略信息,或者
在所述策略映射中基于所述通信协议不满足所述网络的所述安全阈值来生成用以指示所述通信协议无法与所述应用协议相关联地被使用的所述策略。
10.根据权利要求8所述的网络设备,其中所述策略信息从所述策略映射中的标识所述应用路径的条目而被获取。
11.根据权利要求8所述的网络设备,其中所述策略信息从所述策略映射中的标识所述应用路径的一部分的条目而被获取。
12.根据权利要求8所述的网络设备,其中所述一个或多个处理器当执行所述动作时,用以以下至少一项:
当所述网络业务的传达被确定为可允许时,经由所述网络转发所述网络业务,或者
当所述网络业务的传达被确定为非可允许时,阻止所述网络业务经由所述网络被传达。
13.根据权利要求8所述的网络设备,其中所述网络设备是所述网络的防火墙。
14.根据权利要求8所述的网络设备,其中以下至少一项:
所述通信协议与关联于所述会话的协议栈的中间层相关联,或者
所述应用协议是与所述会话相关联的所述协议栈的顶层。
15.一种存储指令的非暂态计算机可读介质,所述指令包括:
一个或多个指令,其在由一个或多个处理器执行时,使得所述一个或多个处理器:
接收与会话相关联的网络业务,
其中所述会话与网络相关联;
从所述网络业务确定与所述会话相关联的应用路径;
基于从所述应用路径解析一个或多个通信协议元素和一个或多个应用协议元素来确定与所述会话和所述应用协议相关联的通信协议;
基于与所述应用路径相关联的策略信息来确定与所述会话相关联的所述网络业务是否能够使用所述通信协议和所述应用协议经由所述网络而被传达;以及
基于所述网络业务是否被确定为能够被传达来执行与所述网络业务的传达相关联的动作。
16.根据权利要求15所述的非暂态计算机可读介质,其中所述一个或多个指令在由所述一个或多个处理器执行时,还使得所述一个或多个处理器:
基于与所述网络相关联的安全阈值和所述应用协议的安全特性来生成所述策略映射。
17.根据权利要求15所述的非暂态计算机可读介质,其中所述应用路径使用深度分组检查从所述网络业务而被解析出。
18.根据权利要求15所述的非暂态计算机可读介质,其中所述应用协议包括超文本传输协议,并且
其中所述通信协议包括以下至少一项:
传输控制协议,
传输层安全协议,
安全套接字层协议,
快速用户数据报协议因特网连接协议,或者
SOCKS协议。
19.根据权利要求15所述的非暂态计算机可读介质,其中所述应用路径从所述网络业务的多个协议数据单元而被确定。
20.根据权利要求15所述的非暂态计算机可读介质,其中以下至少一项:
所述通信协议与关联于所述会话的协议栈的中间层相关联,或者
所述应用协议是与所述会话相关联的所述协议栈的顶层。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16/439,236 US11088952B2 (en) | 2019-06-12 | 2019-06-12 | Network traffic control based on application path |
| US16/439,236 | 2019-06-12 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112087415A CN112087415A (zh) | 2020-12-15 |
| CN112087415B true CN112087415B (zh) | 2023-01-31 |
Family
ID=68137834
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910936528.2A Active CN112087415B (zh) | 2019-06-12 | 2019-09-29 | 基于应用路径的网络业务控制 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US11088952B2 (zh) |
| EP (1) | EP3751790A1 (zh) |
| CN (1) | CN112087415B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11088952B2 (en) * | 2019-06-12 | 2021-08-10 | Juniper Networks, Inc. | Network traffic control based on application path |
| US11411875B1 (en) | 2020-03-31 | 2022-08-09 | Juniper Networks, Inc. | Network traffic control based on application identifier |
| US11223538B1 (en) * | 2020-09-11 | 2022-01-11 | Hewlett Packard Enterprise Development Lp | Intelligent data traffic routing in a wide area network |
| CN113242205B (zh) * | 2021-03-19 | 2022-07-01 | 武汉绿色网络信息服务有限责任公司 | 网络流量分类控制方法、装置、服务器及存储介质 |
| US11665139B2 (en) | 2021-04-30 | 2023-05-30 | Palo Alto Networks, Inc. | Distributed offload leveraging different offload devices |
| US11477165B1 (en) | 2021-05-28 | 2022-10-18 | Palo Alto Networks, Inc. | Securing containerized applications |
| US11979746B1 (en) | 2023-07-21 | 2024-05-07 | Palo Alto Networks, Inc. | Selective intelligent enforcement in mobile networks |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1187727A (zh) * | 1996-12-23 | 1998-07-15 | 国际商业机器公司 | 因特网防火墙上基于网的网间协议通道管理 |
| CN101719899A (zh) * | 2008-10-09 | 2010-06-02 | 丛林网络公司 | 用于网络安全装置的具有端口限制的动态访问控制策略 |
| CN106302371A (zh) * | 2015-06-12 | 2017-01-04 | 北京网御星云信息技术有限公司 | 一种基于用户业务系统的防火墙控制方法和系统 |
| CN106936811A (zh) * | 2015-12-30 | 2017-07-07 | 丛林网络公司 | 安全设备、系统和方法 |
| CN106973058A (zh) * | 2017-03-31 | 2017-07-21 | 北京奇艺世纪科技有限公司 | 一种Web应用防火墙规则更新方法、装置及系统 |
Family Cites Families (42)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7882247B2 (en) * | 1999-06-11 | 2011-02-01 | Netmotion Wireless, Inc. | Method and apparatus for providing secure connectivity in mobile and other intermittent computing environments |
| US7313614B2 (en) * | 2000-11-02 | 2007-12-25 | Sun Microsystems, Inc. | Switching system |
| US7401057B2 (en) * | 2002-12-10 | 2008-07-15 | Asset Trust, Inc. | Entity centric computer system |
| US7657940B2 (en) * | 2004-10-28 | 2010-02-02 | Cisco Technology, Inc. | System for SSL re-encryption after load balance |
| US20060182103A1 (en) * | 2005-02-16 | 2006-08-17 | Phantom Technologies, Llc. | System and method for routing network messages |
| US20070168499A1 (en) * | 2005-07-07 | 2007-07-19 | Acenet Technology Inc. | Configurable Modular Networking System and Method Thereof |
| US7930740B2 (en) * | 2005-07-07 | 2011-04-19 | International Business Machines Corporation | System and method for detection and mitigation of distributed denial of service attacks |
| US7735116B1 (en) | 2006-03-24 | 2010-06-08 | Symantec Corporation | System and method for unified threat management with a relational rules methodology |
| US8418241B2 (en) * | 2006-11-14 | 2013-04-09 | Broadcom Corporation | Method and system for traffic engineering in secured networks |
| US20090240874A1 (en) * | 2008-02-29 | 2009-09-24 | Fong Pong | Framework for user-level packet processing |
| US20140075567A1 (en) * | 2009-01-28 | 2014-03-13 | Headwater Partners I Llc | Service Processor Configurations for Enhancing or Augmenting System Software of a Mobile Communications Device |
| US9398043B1 (en) * | 2009-03-24 | 2016-07-19 | Juniper Networks, Inc. | Applying fine-grain policy action to encapsulated network attacks |
| US9021251B2 (en) * | 2009-11-02 | 2015-04-28 | At&T Intellectual Property I, L.P. | Methods, systems, and computer program products for providing a virtual private gateway between user devices and various networks |
| US9071499B2 (en) * | 2011-03-28 | 2015-06-30 | Citrix Systems, Inc. | Systems and methods for emulating a NIC for packet transmission on hardware RSS unaware NICs in a multi-core system |
| US8892665B1 (en) * | 2011-05-24 | 2014-11-18 | Palo Alto Networks, Inc. | Encrypted peer-to-peer detection |
| US9071449B2 (en) * | 2012-08-07 | 2015-06-30 | International Business Machines Corporation | Charging and policy for services at the edge of a mobile data network |
| WO2014128284A1 (en) * | 2013-02-22 | 2014-08-28 | Adaptive Mobile Limited | Dynamic traffic steering system and method in a network |
| US20140355520A1 (en) * | 2013-05-31 | 2014-12-04 | Mavenir Systems, Inc. | System and method for visiting subscriber server in ims core networks |
| US9419942B1 (en) * | 2013-06-05 | 2016-08-16 | Palo Alto Networks, Inc. | Destination domain extraction for secure protocols |
| US10153940B2 (en) * | 2014-09-16 | 2018-12-11 | CloudGenix, Inc. | Methods and systems for detection of asymmetric network data traffic and associated network devices |
| US9998434B2 (en) * | 2015-01-26 | 2018-06-12 | Listat Ltd. | Secure dynamic communication network and protocol |
| US10291651B1 (en) * | 2015-06-26 | 2019-05-14 | Juniper Networks, Inc. | Unified secure socket layer decryption |
| US10193698B1 (en) * | 2015-06-26 | 2019-01-29 | Juniper Networks, Inc. | Avoiding interdicted certificate cache poisoning for secure sockets layer forward proxy |
| US20170026186A1 (en) * | 2015-07-26 | 2017-01-26 | Fortinet, Inc. | Detection of fraudulent digital certificates |
| US20170063557A1 (en) * | 2015-08-28 | 2017-03-02 | Fortinet, Inc. | Detection of fraudulent certificate authority certificates |
| EP3338386A4 (en) * | 2015-09-21 | 2018-10-24 | Huawei Technologies Co., Ltd. | Fast and scalable database cluster communication path |
| US10735438B2 (en) * | 2016-01-06 | 2020-08-04 | New York University | System, method and computer-accessible medium for network intrusion detection |
| AU2016385417A1 (en) * | 2016-01-08 | 2018-08-23 | Inspeed Networks, Inc. | Bidirectional data traffic control |
| WO2017131820A1 (en) * | 2016-01-30 | 2017-08-03 | Aruba Networks, Inc. | Identification and control of applications and media sessions |
| US10250466B2 (en) * | 2016-03-29 | 2019-04-02 | Juniper Networks, Inc. | Application signature generation and distribution |
| SG11201809619UA (en) * | 2016-05-26 | 2018-11-29 | Tata Communications America Inc | Mobile overlay virtual enterprise network and virtual internet for enterprises |
| US9912695B1 (en) * | 2017-04-06 | 2018-03-06 | Qualcomm Incorporated | Techniques for using a honeypot to protect a server |
| JP6821821B2 (ja) * | 2017-06-15 | 2021-01-27 | エルジー エレクトロニクス インコーポレイティド | 要求に対する応答方法及びネットワーク装置 |
| US11115435B2 (en) * | 2017-08-15 | 2021-09-07 | Level 3 Communications, Llc | Local DDOS mitigation announcements in a telecommunications network |
| US11228562B2 (en) * | 2017-09-29 | 2022-01-18 | Telefonaktiebolaget Lm Ericsson (Publ) | Creating a pseudonym for requesting a network slice |
| US10412049B2 (en) * | 2017-10-20 | 2019-09-10 | Syniverse Technologies, Llc | Traffic rerouting and filtering in packet core networks |
| US9967292B1 (en) * | 2017-10-25 | 2018-05-08 | Extrahop Networks, Inc. | Inline secret sharing |
| US10904947B2 (en) * | 2018-05-16 | 2021-01-26 | Huawei Technologies Co., Ltd. | Message and system for application function influence on traffic routing |
| WO2019241355A1 (en) * | 2018-06-12 | 2019-12-19 | Futurewei Technologies, Inc. | Big packet protocol mobility instructions for 5g handovers |
| US20200037165A1 (en) * | 2018-07-30 | 2020-01-30 | Lenovo (Singapore) Pte. Ltd. | Security protection for user plane traffic |
| US11178592B2 (en) * | 2019-02-15 | 2021-11-16 | Ofinno, Llc | Device configuration for time sensitive network bridge |
| US11088952B2 (en) * | 2019-06-12 | 2021-08-10 | Juniper Networks, Inc. | Network traffic control based on application path |
-
2019
- 2019-06-12 US US16/439,236 patent/US11088952B2/en active Active
- 2019-09-29 CN CN201910936528.2A patent/CN112087415B/zh active Active
- 2019-09-30 EP EP19200394.5A patent/EP3751790A1/en active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1187727A (zh) * | 1996-12-23 | 1998-07-15 | 国际商业机器公司 | 因特网防火墙上基于网的网间协议通道管理 |
| CN101719899A (zh) * | 2008-10-09 | 2010-06-02 | 丛林网络公司 | 用于网络安全装置的具有端口限制的动态访问控制策略 |
| CN106302371A (zh) * | 2015-06-12 | 2017-01-04 | 北京网御星云信息技术有限公司 | 一种基于用户业务系统的防火墙控制方法和系统 |
| CN106936811A (zh) * | 2015-12-30 | 2017-07-07 | 丛林网络公司 | 安全设备、系统和方法 |
| CN106973058A (zh) * | 2017-03-31 | 2017-07-21 | 北京奇艺世纪科技有限公司 | 一种Web应用防火墙规则更新方法、装置及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3751790A1 (en) | 2020-12-16 |
| US11088952B2 (en) | 2021-08-10 |
| US20200396164A1 (en) | 2020-12-17 |
| CN112087415A (zh) | 2020-12-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112087415B (zh) | 基于应用路径的网络业务控制 | |
| US11509534B2 (en) | Collection of error packet information for network policy enforcement | |
| US11677644B2 (en) | Dynamically modifying a service chain based on network traffic information | |
| CN109218281B (zh) | 基于意图的网络安全策略修改 | |
| US10255370B2 (en) | Automated compliance checking through analysis of cloud infrastructure templates | |
| US9479450B2 (en) | Resolving communication collisions in a heterogeneous network | |
| CN111327451B (zh) | 用于使用隐马尔可夫模型(hmm)标识和协助网络服务配置的创建和实现的系统 | |
| CN108809749B (zh) | 基于采样率来执行流的上层检查 | |
| EP1710978A1 (en) | Method and apparatus for reducing firewall rules | |
| US20200007445A1 (en) | Enhanced service function chain | |
| US9948649B1 (en) | Internet address filtering based on a local database | |
| EP3149894B1 (en) | Assisting application classification using predicted subscriber behavior | |
| US11303575B2 (en) | Network traffic control based on application feature | |
| CN111245637A (zh) | 生成基于应用的代理自动配置 | |
| US10659368B2 (en) | Transparent control and transfer of network protocols | |
| US10645121B1 (en) | Network traffic management based on network entity attributes | |
| US11765090B2 (en) | Network traffic control based on application identifier | |
| EP3167575B1 (en) | Delayed proxy action |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |