CN113452663B - 基于应用特征的网络业务控制 - Google Patents
基于应用特征的网络业务控制 Download PDFInfo
- Publication number
- CN113452663B CN113452663B CN202010421182.5A CN202010421182A CN113452663B CN 113452663 B CN113452663 B CN 113452663B CN 202010421182 A CN202010421182 A CN 202010421182A CN 113452663 B CN113452663 B CN 113452663B
- Authority
- CN
- China
- Prior art keywords
- application
- network
- network traffic
- policy
- feature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2475—Traffic characterised by specific attributes, e.g. priority or QoS for supporting traffic characterised by the type of applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0254—Stateful filtering
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开的实施例涉及基于应用特征的网络业务控制。一种网络设备可以接收与网络相关联的网络业务并且确定网络业务与动态应用相关联。网络设备可以基于网络业务与动态应用相关联来确定与网络业务相关联的应用特征。网络设备可以执行与应用特征相关联的查找操作以标识与应用特征相关联的策略信息。网络设备可以基于与应用特征相关联的策略信息来选择性地允许网络业务经由网络的传送,其中网络业务基于来自策略信息的指示而被允许经由网络被传送或者被阻止经由网络被传送。
Description
技术领域
本公开的实施例涉及网络业务领域,并且更具体地涉及基于应用特征的网络业务控制。
背景技术
网络的网络设备(诸如,防火墙或者其他安全设备)可以被用于容许(allow)或者阻止与网络相关联的网络业务。例如,网络设备可以使用策略集来阻止或者容许被发送至网络的网络业务,从网络发送的网络业务和/或在网络内被发送的网络业务。
发明内容
根据一些实现,一种方法可以包括:由网络设备接收与网络相关联的网络业务;由网络设备确定网络业务与动态应用相关联;由网络设备基于确定网络业务与动态应用相关联来确定与网络业务相关联的应用特征;由网络设备执行与应用特征相关联的查找操作以标识与应用特征相关联的策略信息;以及由网络设备基于与应用特征相关联的策略信息来选择性地允许(permit)网络业务经由网络的传送,其中当策略信息指示与应用特征相关联的网络业务被允许经由网络被传送时,网络业务将经由网络被传送,或者其中当策略信息指示与应用特征相关联的网络业务被阻止经由网络被传送时,网络业务将被阻止经由网络被传送。
根据一些实现,一种网络设备可以包括:一个或者多个存储器;以及一个或者多个处理器,该一个或者多个处理器被配置为:接收与网络相关联的网络业务,其中网络业务与应用相关联;确定应用是动态应用;基于确定应用是动态应用来确定与网络业务相关联的应用特征;从策略映射中获得与应用特征相关联的策略信息,其中策略映射针对被允许传送或者被阻止传送的应用特征标识适用于多个应用的策略;基于策略信息来确定网络业务经由网络的传送是否被允许;以及基于网络业务经由网络的传送是否被允许来执行与网络业务相关联的动作。
根据一些实现,一种非瞬态计算机可读介质可以存储一个或者多个指令。该一个或者多个指令在由一个或者多个处理器执行时使一个或者多个处理器:监测与网络相关联的会话;确定会话的网络业务与应用特征相关联;基于与应用特征相关联的策略信息来确定网络业务是否被允许经由网络被传送;以及基于网络业务是否被确定为被允许传送来执行与网络业务的传送相关联的动作。
附图说明
图1A和图1B是本文描述的一种或者多种示例实现的示意图。
图2A和图2B是本文描述的一种或者多种示例实现的示意图。
图3是可以实现本文描述的系统和/或方法的示例环境的示意图。
图4A和图4B是图3所示一个或者多个设备的一个或者多个示例组件的示意图。
图5至图7是与基于应用特征的网络业务控制相关联的一个或者多个示例过程的流程图。
具体实施方式
以下对示例实现的详细描述参考附图。不同附图中的相同附图标记可以标识相同或者相似的元件。
防火墙可以被用于基于由防火墙实现的策略和网络业务的一个或者多个特性来容许网络业务、拒绝网络业务、对网络业务进行速率限制或者对网络业务执行其他动作。例如,防火墙可以使用策略来针对应用容许或者拒绝网络业务。然而,在一些实例中,这种策略可能导致防火墙使与应用相关联的所有网络业务被容许或者拒绝。这样,防火墙可能必须容许与应用相关联的所有网络业务或者不容许与应用相关联的任何网络业务。这种全有或者全无(all-or-nothing)的基于应用的策略可能会浪费与以下操作相关联的计算资源(例如,处理资源、存储器资源、通信资源等)和/或网络资源:传输(transmit)与应用相关联的应该已被阻止在网络上被传送(communicate)的网络业务和/或阻止与应用相关联的应该已被允许在网络上被传送的网络业务。
本文描述的一些实现提供了配置有比全有或者全无的基于应用的策略更细粒度的策略的防火墙。该防火墙可以被配置有针对特定于应用特征的业务(例如,特定于应用的特定特征)和/或特定于特征类型的业务(例如,独立于哪个应用与网络业务相关联)的一个或者多个策略。例如,防火墙可以利用基于应用特征的策略(而不是基于应用的策略),该基于应用特征的策略基于与特定应用的网络业务相关联的特征来允许或者拒绝特定应用的网络业务(例如,允许或者拒绝应用ABC的聊天特征的网络业务)。附加地,或者备选地,防火墙可以利用基于特征类型的策略(而不是基于应用的策略),该基于特征类型的策略针对具有该应用特征的所有应用允许或者拒绝应用特征的网络业务(例如,允许或者拒绝聊天特征的网络业务,无论具有聊天特征的应用如何)。
防火墙可以标识针对应用的(例如,应用的会话的)网络业务的应用特征。防火墙可以标识(例如,在与建立会话相关联地被传送的分组中)网络业务的应用和对应的应用特征。在这种情况下,如果根据基于应用特征的策略和/或基于特征类型的策略,网络业务将被容许(例如,如果基于应用特征的策略和/或基于特征类型的策略指示这种类型的网络业务被允许,或者没有基于应用特征的策略和/或基于特征类型的策略指示该类型的网络业务将被拒绝),则防火墙可以允许网络业务将被传送。备选地,如果根据基于应用特征的策略和/或基于特征类型的策略,网络业务将被拒绝(例如,如果基于应用特征的策略和/或基于特征类型的策略指示该类型的网络业务将被拒绝),则防火墙可以丢弃和/或阻止网络业务的传送。
按照这种方式,防火墙提供用于处理与应用相关联的网络业务的更细粒度的策略。防火墙(和/或与防火墙相关联的网络设备)节省了本该用于阻止根据基于应用特征的策略和/或基于特征类型的策略会被允许的网络业务的传送的资源(例如,计算资源和/或网络资源)。附加地,或者备选地,防火墙(和/或与防火墙相关联的网络设备)节省了本该用于允许并且提供根据基于应用特征的策略和/或基于特征类型的策略会被阻止的网络业务的传送的资源(例如,计算资源和/或网络资源)。
图1A和图1B是本文描述的一种或者多种示例实现100的示意图。如在图1A中示出的,(多种)示例实现100可以包括通过网络来接收通信的供应设备和与该供应设备相关联的一个或者多个防火墙。该一个或者多个防火墙可以与管理网络业务(或者网络业务的流量)向网络、从网络和/或在网络内的传送的一个或者多个网络设备相关联(例如,防火墙可以是网络设备或者可以被包括在网络设备内)。在一些实现中,一个或者多个防火墙可能能够执行本文关于供应设备所描述的功能中的一个或者多个(或者全部)功能。
如本文使用的,术语“业务”或者“内容”可以包括分组的集合。分组可以是指用于传送信息的通信结构,诸如,协议数据单元(PDU)、网络分组、数据报、分段、消息、块、单元、帧、子帧、时隙、符号、上述内容中的任何一项的一部分和/或能够经由网络被传输的另一种格式化的或者未格式化的数据单元。
如在图1A中并且通过附图标记110示出的,供应设备可以从网络接收一个或者多个应用包。应用包可以包括与一个或者多个动态应用相关联的动态应用信息。动态应用是能够在任何给定时间传送与多种类型的不同应用特征相关联的多种类型的网络业务中的任何一种或者多种网络业务的应用(例如,能够传送与多个应用特征相关联的网络业务的应用)。应用特征可以是与应用相关联的能力和/或功能,诸如,聊天(例如,消息传递、即时消息传递等)特征、安全消息特征、媒体流(例如,音频流、视频流、多媒体流等)特征、语音通信特征、媒体下载特征、媒体上传特征、交互式特征、隧道业务特征(例如,隧道协议、封装协议等)、社交媒体特征等。动态应用可以基于与应用的网络业务相关联的应用特征来获得可变的策略执行。
动态应用信息可以标识动态应用。在一些实现中,动态应用信息包括与动态应用相关联的应用标识符。该应用标识符可以使防火墙能够标识该动态应用和/或标识该动态应用是动态应用。应用标识符可以是可以被用于标识动态应用的字符串、签名、模式、规则、状态性协议分析等。
附加地,或者备选地,动态应用信息可以包括与关联于动态应用的一个或者多个应用特征相关联的应用特征标识符。该应用特征标识符可以使防火墙能够标识与应用特征标识符相关联的应用特征。应用特征标识符可以是可以被用于标识应用特征的字符串、签名、模式、规则、状态性协议分析等。
作为示例,供应设备可以接收包括动态应用信息的应用包。应用包可以由供应设备从应用接收。应用可以周期性地(例如,当应用被更新时,当应用传输网络业务时等)将与应用相关联的应用包传输至供应设备。在一些实现中,供应设备可以从与网络相关联的计算设备接收应用包。在一些实现中,供应设备可以从应用和/或从与网络相关联的计算设备请求应用包。在一些实现中,供应设备可以同时接收多个应用包。供应设备可以从与网络相关联的设备(诸如,服务器设备)下载一个或者多个应用包。
在一些实现中,应用包可以由供应设备存储。该应用包可以被存储在数据结构中,诸如,表、列表(例如,由应用分类的结构化列表、非结构化列表等)、索引(例如,基于应用来对应用信息进行索引的索引)、图形等。在一些实现中,应用包可以被存储在供应设备中。附加地,或者备选地,应用包可以由供应设备存储在与供应设备相关联的另一设备(诸如,服务器设备)中。
如在图1A中并且通过附图标记120进一步示出的,供应设备可以基于动态应用信息来配置基于应用特征的策略配置。这些基于应用特征的策略配置可以包括动态应用列表、应用特征列表和/或策略规则(例如,基于应用特征的策略规则和/或基于特征类型的策略规则)。
供应设备可以经由网络来接收应用包。供应设备可以分析应用包以确定应用包的内容。例如,应用包可以包括与应用相关联的动态应用信息,诸如,与应用相关联的应用标识符、对应用是否被指定为动态应用的指示、与应用相关联的一个或者多个应用特征、与应用特征相关联的应用特征标识符等。
供应设备可以基于一个或者多个应用包的内容来对动态应用列表进行编译。动态应用列表可以是列表(例如,由应用和/或应用标识符分类的结构化列表、非结构化列表等)、索引(例如,基于应用来对信息进行索引的索引)、映射、图形等。应用包可以包括与应用相关联的应用标识符以及显式地或者隐式地,包括应用被指定为动态应用的指示。应用包可以通过在应用包的内容内包括被设置为指示应用被指定为动态应用的一个或者多个比特来显式地包括应用被指定为动态应用的指示。应用包可以通过在应用包的内容内包括与应用相关联的应用标识符来隐式地包括应用被指定为动态应用的指示(例如,在应用包的内容内仅存在应用标识符指示应用被指定为动态应用)。供应设备可以基于应用被指定为动态应用的指示来在动态应用列表中创建与应用相对应的条目。该条目可以包括与应用相关联的应用标识符。动态应用列表可以由供应设备存储。
供应设备可以基于接收到包括应用是动态应用的指示的应用包来对动态应用列表进行编译和/或更新。供应设备可以基于应用包的内容来确定应用包包括应用是动态应用的指示。供应设备可以基于应用包的内容来确定与被指示为动态应用的应用相对应的应用标识符。供应设备可以访问动态应用列表并且搜索与被指示为动态应用的应用相对应的应用标识符。如果供应设备基于搜索确定动态应用列表不包括关联于与被指示为动态应用的应用相对应的应用标识符的条目,则供应设备可以创建关联于与被指示为动态应用的应用相对应的应用标识符的新条目。在动态应用列表中创建新条目可以产生更新过的动态应用列表。该更新过的动态应用列表可以由供应设备存储。按照这种方式,由供应设备存储的动态应用列表可以包括供应设备已知的所有动态应用(其中每个动态应用由与动态应用相对应的应用标识符标识)。
供应设备可以对应用特征列表进行编译。应用特征列表可以是列表(例如,由应用特征和/或应用特征标识符分类的结构化列表、非结构化列表等)、索引(例如,基于应用特征和/或基于与应用特征相关联的应用来对信息进行索引的索引)、映射、图形等。应用包的内容可以包括与应用相关联的一个或者多个应用特征(其中每个应用特征与应用特征标识符相关联)。供应设备可以在应用特征列表中创建与在应用包中标识的每个应用特征相对应的条目。该条目可以包括应用特征和/或与应用特征相关联的应用特征标识符。应用特征列表可以由供应设备存储。
供应设备可以基于接收到一个或者多个应用特征与应用相关联的应用包来对应用特征列表进行编译和/或更新(其中每个应用特征与应用特征标识符相关联)。供应设备可以基于应用包的内容来确定与应用相关联的应用特征。供应设备可以基于应用包的内容来确定与应用特征相关联的应用特征标识符。供应设备可以访问所存储的应用特征列表并且搜索应用特征和/或搜索应用特征标识符。如果供应设备基于搜索确定应用特征列表不包括与应用特征和/或应用特征标识符相对应的条目,则供应设备可以创建包括应用特征和相关联的应用特征标识符的新条目,从而产生更新过的应用特征列表。该更新过的应用特征列表可以由供应设备存储。按照这种方式,由供应设备存储的动态应用列表包括供应设备已知的所有应用特征(其中每个条目与包括与应用特征相关联的应用特征标识符的应用特征相对应)。
供应设备可以接收与要被包括在待由供应设备配置的一个或者多个策略规则中的一个或者多个应用特征和/或一个或者多个应用相关的指令。这些指令可以涉及将被拒绝的应用特征,诸如,通过由与网络相关联的一个或者多个防火墙来阻止与应用特征相关联的网络业务被传送(例如,这引起基于特征类型的策略)。附加地,或者备选地,指令可以涉及特定应用的将被拒绝的应用特征,诸如,通过由与网络相关联的一个或者多个防火墙来阻止与应用特征和特定应用相关联的网络业务被传送(例如,这引起基于应用特征的策略)。附加地,或者备选地,指令可以涉及与将被拒绝的应用特征相对应的免除(exempt)应用,诸如,通过由与网络相关联的一个或者多个防火墙来允许与应用特征和免除应用相关联的网络业务被传送并且阻止与应用特征和所有其他应用相关联的网络业务被传送。
指令可以由供应设备从与网络的操作员(诸如,网络管理员)相关联的设备接收。网络的操作员可以在由与操作员相关联的设备提供的指令中定义应该被阻止由与网络相关联的防火墙传送的应用特征(例如,应用特征A,无论应用如何)。网络的操作员可以在由与操作员相关联的设备提供的指令中定义特定应用的应该被阻止由与网络相关联的防火墙传送的应用特征(例如,应用ABC的应用特征123)。
供应设备可以将动态应用列表和/或应用特征列表提供至与网络的操作员相关联的设备。操作员可以基于动态应用列表和/或应用特征列表来定义指令。与网络的操作员相关联的设备可以向网络的操作员提供与动态应用列表的条目和/或应用特征列表的条目相对应的选项,这些选项可以由操作员选择(例如,经由由与网络的操作员相关联的设备接收的用户输入)以被包括在策略规则中。
指令可以由供应设备从自动确定要被包括在策略规则中的应用和/或应用特征的设备(诸如,服务器设备、云计算平台等)接收。该设备可以通过分析多个历史网络业务(例如,经由深度分组检查(DPI)、使用机器学习等)以标识与应用相关联的和/或与应用特征相关联的威胁(例如,恶意软件、恶意活动等)来确定要被包括在策略规则中的应用和/或应用特征。如果该设备确定存在与应用相关联的和/或与应用特征相关联的威胁,则该设备可以向供应设备提供将所标识的应用和/或所标识的应用特征包括在策略规则中的指令。例如,基于与所标识的应用和/或所标识的应用特征相关联的威胁,由供应设备从该设备接收到的指令可以指示所标识的应用和/或应用特征应该被阻止由与网络相关联的防火墙传送。
例如,该设备可以经由DPI、使用机器学习等来分析与应用特征相关联的历史网络业务集合。该设备可以基于该分析来确定与应用特征相关联的历史网络业务集合应该被阻止经由网络被传送。例如,该设备可以确定历史网络业务集合包括恶意活动。该设备可以在被提供至供应设备的指令中指定用于策略执行的应用特征(例如,提供指示应用特征应该被包括在策略规则中作为基于特征类型的策略规则的指令)。
在一些实现中,该设备可以基于对历史网络业务集合的分析来确定仅当应用特征与特定应用相关联时该应用特征才应该被阻止经由网络被传送。该设备可以在被提供至供应设备的指令中指定用于策略执行的应用特征和应用(例如,提供指示应用特征在与应用相关联时应该被包括在策略规则中作为基于应用特征的策略规则的指令)。
供应设备可以基于供应设备所接收到的指令来生成策略规则。供应设备可以基于指令来生成基于应用特征的策略规则和/或基于特征类型的策略规则。策略规则可以包括策略信息。策略信息是可以被用于定义策略规则适用的网络业务以及定义防火墙处理策略规则适用的网络业务的方式的信息。例如,策略信息可以标识网络业务的源区域(例如,在网络的内部、在网络的外部等)、网络业务的目的地区域(例如,在网络的内部、在网络的外部等)、与网络业务相关联的源地址(诸如,IP地址)、与网络业务相关联的目的地地址(诸如,IP地址)、与网络业务相关联的用户、与网络业务相关联的端口、与网络业务相关联的动态应用(例如,策略信息适用的(多个)应用)、与网络业务相关联的应用特征(例如,策略信息适用的(多个)应用特征)、与策略规则相关联的应用特征免除列表(例如,标识从按照策略规则建立的策略中免除的应用和/或应用特征)、待由防火墙执行的动作(例如,策略执行动作)等。
策略信息可以定义待由防火墙执行的策略执行动作。策略执行动作可以是与容许网络业务被传送相关联的一个或者多个动作(例如,允许网络业务被传送,转发数据通信和/或网络业务,阻止或者丢弃数据通信和/或网络业务,标记(例如,通知网络管理员)并且允许数据通信和/或网络业务,标记(例如,通知网络管理员)并且阻止或者丢弃数据通信和/或网络业务等)。附加地,或者备选地,策略执行动作可以是与网络业务的传送相关联的一个或者多个其他动作。例如,策略执行动作可以设置用于网络业务经由网络的传送的参数。这种参数可以包括数据速率、用于网络业务的传送的可用带宽、与网络业务相关联的定时参数(例如,时限、调度等)等。
基于应用特征的策略规则可以针对与应用相关联的特定应用特征定义策略规则。基于应用特征的策略规则可以针对与关联于应用的一个或者多个应用特征相关联的网络业务定义策略执行动作。例如,基于应用特征的策略规则可以针对与应用相关联的第一应用特征定义第一策略执行动作。基于应用特征的策略规则可以针对与应用相关联的第二应用特征定义第二策略执行动作。基于应用特征的策略规则可以仅适用于与在基于应用特征的策略规则中指定的应用和应用特征相关联的网络业务。
基于特征类型的策略规则可以定义适用于一个或者多个应用特征的策略规则。基于特征类型的策略规则可以针对与应用特征相关联的网络业务定义策略执行动作,无论与网络业务相关联的应用如何。在一些实现中,基于特征类型的策略规则可以标识免除应用。基于特征类型的策略规则可以针对免除应用定义策略执行动作,该策略执行动作不同于在基于特征类型的策略规则下与所有其他应用相关联的策略执行动作。
在一些实现中,供应设备可以在策略映射中配置由供应设备生成的策略规则。策略映射可以包括由供应设备生成的一个或者多个(或者全部)策略规则。策略映射可以是策略规则的列表、策略规则的表、策略规则的索引等。策略映射可以包括条目,该条目包括策略规则。条目可以包括与策略规则相关联的策略信息。条目可以包括与在策略规则中所标识的应用特征相关联的应用特征标识符。条目可以包括与在策略规则中所标识的应用相关联的应用标识符。
在一些实现中,与关联于应用特征的基于特征类型的策略规则相关联的条目可以包括通用标识符。该通用标识符可以指示条目中所包括的策略信息适用于与应用特征相关联的网络业务,而与哪个(哪些)应用与应用特征相关联无关。
如在图1A中并且通过附图标记130进一步示出的,供应设备可以将已配置的基于应用特征的策略配置(例如,包括动态应用列表、应用特征列表和/或由供应设备生成的策略规则)提供至一个或者多个防火墙。在一些实现中,供应设备可以将动态应用列表、应用特征列表和/或策略规则(例如,在一个或者多个策略映射中)提供至在供应设备内实现的防火墙。在一些实现中,供应设备可以将动态应用列表、应用特征列表和/或策略规则发送至与供应设备相关联的多个防火墙。
在一些实现中,动态应用列表、应用特征列表和/或策略规则可以由防火墙安装。防火墙可以将动态应用列表、应用特征列表和/或策略规则存储在与防火墙相关联的安全策略存储设备中。在一些实现中,当防火墙接收到动态应用列表、应用特征列表和/或策略规则时,防火墙可以用所接收到的动态应用列表、所接收到的应用特征列表和/或所接收到的策略规则来替换所存储的动态应用列表、所存储的应用特征列表和/或所存储的策略规则。
在一些实现中,供应设备可以包括一个或者多个模块。如上所述,第一模块可以被启用以配置动态应用列表、应用特征列表和/或策略规则。如下面关于图1B描述的,第二模块可以被启用以基于动态应用列表、应用特征列表和/或策略规则来执行从网络接收到的网络业务。第一模块可以将动态应用列表、应用特征列表和/或策略规则提供至第二模块。该第二模块可以接收、存储和/或使用动态应用列表、应用特征列表和/或策略规则。在这种情况下,第二模块可以在供应设备的防火墙内被实现。
当对动态应用列表、应用特征列表和/或策略规则的请求从防火墙被接收到时,当将动态应用列表、应用特征列表和/或策略规则提供至防火墙的请求从与网络的操作员相关联的设备被接收到时,当新的策略规则由供应设备生成时,当防火墙被建立时和/或当防火墙开始操作时等,供应设备可以周期性地(例如,每小时一次、每天一次、每周一次等)实时将动态应用列表、应用特征列表和/或策略规则提供至防火墙。在一些实现中,当由供应设备对动态应用列表、应用特征列表和/或策略规则(例如,基于应用特征的策略规则和/或基于特征类型的策略规则)进行更改时,供应设备可以将动态应用列表、应用特征列表和/或策略规则提供至一个或者多个防火墙。
如在图1B中示出的,一种或者多种示例实现100可以包括第一端点设备(被示出为“端点设备1”)、第二端点设备(被示出为“端点设备2”)、网络、防火墙、安全策略存储设备(例如,存储所配置的基于应用特征的策略配置、由供应设备提供的这种动态应用列表、应用特征列表和/或策略规则的数据结构)。如图所示,安全策略存储设备包括策略信息,并且可以在防火墙内实现安全策略存储设备和/或安全策略存储设备可以通信地与防火墙耦合。在一些实现中,安全策略存储设备可以与和防火墙相同的设备(例如,供应设备)相关联。在一些实现中,由安全策略存储设备存储的动态应用列表、应用特征列表和/或策略规则可以由供应设备提供。
在一些实现中,防火墙可以在第一端点设备内被实现,或者防火墙可以与第一端点设备相关联。在一些实现中,防火墙可以在第二端点设备内被实现,或者防火墙可以与第二端点设备相关联。在一些实现中,防火墙可以部分地在第一端点设备和第二端点设备内被实现,或者防火墙可以部分地与第一端点设备和第二端点设备相关联。第一端点设备和第二端点设备可以经由网络被通信地耦合。因此,为了使第一端点设备向第二端点设备传输数据通信,防火墙可以被配置为容许数据通信通过网络到达第二端点设备。
如本文描述的,第一端点设备和/或第二端点设备可以托管和/或运行会话中所涉及的应用。因此,与会话相关联的第一端点设备和/或第二端点设备可以传输与会话相关联的数据通信和/或网络业务。如结合一种或者多种示例实现100描述的,防火墙可以容许或者拒绝这种网络业务经由网络的传送(例如,基于一个或者多个策略,诸如,从供应设备接收到的策略规则)。
如在图1B中并且通过附图标记140进一步示出的,防火墙可以接收网络业务。例如,网络业务可以与涉及经由网络来传送网络业务的会话(例如,应用会话、通信会话等)相关联。网络业务可以包括消息、协议数据单元(PDU)(例如,分组或者其他数据单元)等的一种或者多种数据通信。在一些实现中,防火墙可以接收与应用(例如,计算机程序、移动应用、在线应用、基于云的应用等)相关联的网络业务。应用可以是动态应用。在一些实现中,网络业务可以与一个或者多个应用相关联。
在一些实现中,网络业务包括促进涉及第一端点设备和第二端点设备的会话的多种通信(例如,多个消息、PDU传输等)。例如,第一端点设备可以针对会话经由网络来发送网络业务,和/或第二端点设备可以针对会话用网络业务对应地进行答复(反之亦然)。因此,防火墙可以接收和/或拦截网络业务以确定网络业务和/或与网络业务相关联的会话是否被允许经由网络被传送(例如,根据一个或者多个策略规则)。
在一些实现中,网络业务可以与应用特征相关联。应用特征可以与不同类型的网络业务相关联,诸如,聊天(例如,即时消息传递、消息传递、实时文本传输等)业务、视频业务、安全消息业务(例如,安全套接字层(SSL)业务、运输层安全性(TLS)业务、机会性TLS业务(例如,STARTTLS协商的业务等)等)、媒体流(例如,音频流、视频流等)业务、语音通信(例如,视频通信、音频通信等)业务、媒体下载业务、媒体上传业务、交互式业务、隧道业务(例如,经由隧道协议、封装协议等被发送的网络业务)、社交媒体业务(例如,与社交媒体平台的交互(诸如,点赞、分享、评论、回复等)相关联的业务)、论坛业务(例如,与在线论坛的交互相关联的业务)等。在一些实现中,网络业务可以与一个或者多个应用特征相关联。
如在图1B中并且通过附图标记150进一步示出的,防火墙可以确定网络业务是否与动态应用相关联。防火墙可以分析网络业务的有效负载和/或报头(例如,经由DPI、深度内容检查、状态性分组检查等)以标识与网络业务相关联的应用的应用标识符。在一些实现中,防火墙可以在不使用DPI、深度内容检查或者状态性分组检查的情况下标识与网络业务相关联的应用的应用标识符。在一些实现中,应用标识符可以被包括在网络业务的报头中,该报头可以在不执行DPI、深度内容检查或者状态性分组检查的情况下被访问。
防火墙可以在动态应用列表中搜索包括基于对网络业务的分析而被标识的应用标识符的条目。在一些实现中,防火墙可以执行查找操作,该查找操作涉及扫描由安全策略存储设备存储的动态应用列表以确定与网络业务相关联的应用是否是动态应用。防火墙可以标识包括应用标识符的条目(例如,通过执行查找操作和/或对动态应用列表的搜索)。防火墙可以基于应用标识符被包括在动态应用列表的条目中来确定网络业务与动态应用相关联和/或会话与动态应用相关联。
按照这种方式,防火墙可以在执行附加分析之前基于策略规则来确定是否执行网络业务(例如,基于应用是否被指定为动态应用)。例如,基于策略规则(例如,基于应用特征的策略规则和/或基于特征类型的策略规则),未被指定为动态应用的应用将不会被执行,因为可以不存在与非动态应用相关联的应用特征。防火墙可以将应用标识为非动态应用,并且将不同的策略应用于该非动态应用。这样,此时根据基于应用特征的策略来确定是否执行网络业务节省了本该用于处理和/或分析与非动态应用相关联的网络业务的计算资源和/或网络资源。
如在图1B中并且通过附图标记160进一步示出的,防火墙可以确定与网络业务相关联的应用特征。在一些实现中,与网络业务相关联的应用特征可以被预定义并且在网络业务中被标识。例如,网络业务可以包括网络业务的报头中的应用特征标识符。附加地,或者备选地,防火墙可以通过分析网络业务的有效负载和/或报头(例如,经由DPI、深度内容检查、状态性分组检查等)以标识与网络业务相关联的应用特征标识符来确定应用特征。在一些实现中,防火墙可以确定存在与网络业务相关联的多个应用特征标识符。
防火墙可以在应用特征列表中搜索包括基于对网络业务的分析而被标识的应用特征标识符的条目。在一些实现中,防火墙可以通过执行查找操作来确定与网络业务相关联的应用特征,该查找操作涉及扫描由安全策略存储设备存储的应用特征列表以确定与网络业务相关联的应用特征。
在一些实现中,防火墙可以基于标识包括应用特征标识符的应用特征列表中所包括的条目来标识应用特征(例如,通过执行查找操作和/或在应用特征列表中搜索应用特征标识符)。防火墙可以从包括应用特征标识符的应用特征列表中的条目确定应用特征。防火墙可以基于应用特征标识符和应用特征列表中的对应条目来确定与网络业务相关联的应用特征。
在一些实现中,防火墙可以不搜索应用特征列表。防火墙可以标识应用特征标识符并且搜索适用于与应用特征标识符相关联的应用特征的一个或者多个策略规则和/或对其进行定位(例如,使用应用特征标识符)。
在一些实现中,为了标识应用特征,防火墙可以监测会话并且分析会话的多种通信中的有效负载以标识特定通信集合。应用特征可以与特定通信集合中的一种通信相关联。防火墙可以通过按照与上面描述的相同(相似)方式,分析特定通信集合中的该一种通信(例如,经由DPI、深度内容检查、状态性分组检查等)并且确定与特定通信集合中的该一种通信相关联的应用特征来确定与特定通信集合中的该一种通信相关联的应用特征。
在一些实现中,网络业务可以与多个应用特征相关联。防火墙可以标识与网络业务相关联的每个应用特征。
如在图1B中并且通过附图标记170进一步示出的,防火墙可以从一个或者多个策略规则(例如,基于应用特征的策略规则和/或基于特征类型的策略规则)确定网络业务是否被允许基于与网络业务相关联的应用特征和/或基于与网络业务相关联的应用特征和应用被传送。因此,通过使用被包括在一个或者多个策略规则中的策略信息(例如,可以被用于定义策略规则适用的网络业务并且定义防火墙将处理策略规则适用的网络业务的方式的信息),防火墙可以确定与会话相关联的网络业务是否被允许经由网络被传送。
在接收到网络业务之后,在确定网络业务与动态应用相关联之后和/或在确定网络业务的应用特征之后,防火墙可以确定适当的策略规则以应用于网络业务。例如,防火墙可以执行查找操作(例如,在策略映射中的查找),该查找操作涉及扫描安全策略存储设备以获得与关联于网络业务的应用特征和/或关联于网络业务的应用相关联的一个或者多个策略规则。
如在图1B中示出的,策略信息可以在由安全策略存储设备存储的基于特征类型的策略映射中被标识(例如,针对一个或者多个应用特征)。附加地,或者备选地,策略信息可以在由安全策略存储设备存储的基于应用特征的策略映射中被标识(例如,针对与应用相关联的一个或者多个应用特征)。策略映射中的条目可以标识策略规则。该策略规则可以包括策略信息,诸如,策略执行动作(例如,容许(例如,传送和/或传输)或者拒绝(例如,不传送和/或不传输))。一个或者多个策略映射可以从供应设备被接收,并且由防火墙存储和/或由安全策略存储设备存储。
在一些实现中,防火墙可以基于标识与网络业务相关联的应用特征的应用特征标识符和/或基于标识与网络业务相关联的应用的应用标识符来执行查找操作。例如,查找操作可以基于与网络业务相关联的应用特征标识符来标识与适用于应用特征的策略规则相对应的基于特征类型的策略映射中的条目。策略映射中的条目可以指示(诸如,通过包括通用标识符的条目):与应用特征相对应的策略信息是通用策略信息(例如,适用于包含该应用特征的所有应用)。
附加地,或者备选地,查找操作可以标识与关联于网络业务的应用相对应的基于应用特征的策略映射中的条目,该条目针对应用能够传送的一个或者多个应用特征定义包括策略信息的策略规则。
在一些实现中,防火墙首先可以基于应用特征标识符来对策略规则执行搜索和/或查找操作。如果防火墙基于使用应用特征标识符的搜索和/或查找操作标识了策略规则(例如,基于特征类型的策略规则),则防火墙可以将所标识的策略规则应用于网络业务。如果防火墙确定不存在与应用特征标识符相对应的策略规则(例如,没有适用于应用特征的基于特征类型的策略规则),则防火墙可以基于应用标识符来搜索策略规则和/或对策略规则执行查找操作。如果防火墙基于使用应用标识符的搜索和/或查找操作标识了策略规则(例如,基于应用特征的策略规则),则防火墙可以将所标识的策略规则应用于网络业务。按照这种方式,当存在独立于应用而适用的策略规则(例如,基于特征类型的策略规则)时,防火墙可以节省本该已经用于基于应用标识符来执行搜索和/或查找操作的计算资源和/或网络资源。
按照这种方式,防火墙可以基于与应用特征相关联和/或与应用相关联的策略信息来确定网络业务是否被允许经由网络被传送。
如在图1B中并且通过附图标记180进一步示出的,防火墙可以基于被包括在适用于网络业务的策略规则中的策略信息来容许或者拒绝网络业务。例如,防火墙可以执行被包括在策略信息中的一个或者多个策略执行动作,诸如,容许网络业务被传送(例如,允许网络业务被传送),转发网络业务,阻止或者丢弃网络业务,标记(例如,向与网络操作员相关联的设备发送通知)并且允许网络业务,标记并且阻止或者丢弃网络业务等。
附加地,或者备选地,防火墙可以执行与网络业务的传送相关联的一个或者多个其他策略执行动作。例如,被包括在策略信息中的策略执行动作可以设置用于网络业务的传送的参数。这种参数可以包括数据速率、用于网络业务的传送的可用带宽、与会话相关联的定时参数(例如,时限、调度等)等。按照这种方式,当针对会话启用网络业务的传送时,防火墙可以使网络业务利用特定参数被传送。因此,防火墙可以使与网络业务相关联的会话经由网络被建立。在一些实现中,防火墙可以向网络业务的源通知会话可以被建立和/或与会话相关联的网络业务被允许经由网络被传送(例如,经由确认消息)。
附加地,或者备选地,如果网络业务的传送不被允许(例如,拒绝),则防火墙可以发送反映该信息的通知。在一些实现中,这种通知可以指示被用于确定该传送不能经由网络被执行的推理。例如,防火墙可以指示与网络业务相关联的应用特征不被允许与应用一起被使用(例如,根据基于应用特征的策略规则)。附加地,或者备选地,防火墙可以(例如,向端点设备1和/或端点设备2)指示哪些应用可以与应用特征相关联地被使用以经由网络来传送网络业务(例如,根据由安全策略存储设备存储的策略规则)。在一些实现中,如果网络业务的传送将不被允许(例如,拒绝),则防火墙可以使应用(例如,在端点设备1和/或端点设备2上)自动禁用与不被允许的网络业务相关联的应用特征。
在一些实现中,防火墙可以维持与关联于网络的网络业务相关联地被执行的策略规则的日志。例如,防火墙可以在日志中指示从网络业务被标识的应用特征并且记录网络业务的传送是被容许还是被拒绝。在一些实现中,防火墙可以在策略映射中记录哪个策略规则和/或哪个条目被用于容许或者拒绝通信(例如,以允许该策略的执行被审查和/或验证以确保准确性)。在一些实现中,防火墙可以记录与应用特征相关联的所有条目,无论与网络业务相关联的应用如何(例如,如果应用特征与通用标识符相关联)。在这种情况下,条目可以反映基于策略而被执行的应用特征和/或应用。这样,被包含在日志内的取证信息可以是与应用无关的(例如,日志可以包括与多个应用相对应的多个条目,所有这些条目都与相同的应用特征相关联)。因此,防火墙可以利用日志来允许策略执行和/或由防火墙执行的一个或者多个动作被审查、分析和/或验证以确保准确性。在一些实现中,日志可以被用作由供应设备(和/或与供应设备相关的设备)用于确定新的和/或更新过的策略规则的历史数据。
按照这种方式,防火墙提供用于处理与应用相关联的网络业务的更细粒度的策略。防火墙(和/或与防火墙相关联的网络设备)可以节省本该用于阻止根据基于应用特征的策略和/或基于特征类型的策略会被允许的网络业务的传送的资源(例如,计算资源和/或网络资源)。附加地,或者备选地,防火墙(和/或与防火墙相关联的网络设备)可以节省本该用于允许并且提供根据基于应用特征的策略和/或基于特征类型的策略会被阻止的网络业务的传送的资源(例如,计算资源和/或网络资源)。
如上面指示的,图1A和图1B仅作为一个或者多个示例而被提供。其他示例可以与关于图1A和图1B所描述的内容不同。在图1A和图1B中示出的设备和/或网络的数量和布置被提供作为一个或者多个示例。实际上,与在图1A和图1B中示出的那些设备和/或网络相比,可以存在附加的设备和/或网络、更少的设备和/或网络、不同的设备和/或网络或者不同地布置的设备和/或网络。此外,图1A和图1B中示出的两个或者更多个设备可以在单个设备内被实现,或者图1A和图1B中示出的单个设备可以被实现为多个分布式设备。附加地,或者备选地,图1A和图1B中的设备集合(例如,一个或者多个设备)可以执行被描述为由图1A和图1B中的另一设备集合执行的一个或者多个功能。
图2A和图2B是本文描述的一种或者多种示例实现200的示意图。如在图2A中示出的,一种或者多种示例实现200可以包括针对应用1的示例基于应用特征的策略映射210,其具有包括与一个或者多个应用特征相对应的一个或者多个应用特征标识符的条目。附加地,一种或者多种示例实现200可以包括针对应用特征1的示例基于特征类型的策略映射220,其具有包括与一个或者多个应用相对应的一个或者多个应用标识符的条目。
针对应用1的示例基于应用特征的策略映射210和针对应用特征1的示例基于特征类型的策略映射220可以是与策略规则相关联的示例数据结构。在一些实现中,策略映射可以包括具有与针对应用1的示例基于应用特征的策略映射210和/或针对应用特征1的基于特征类型的策略映射220的格式相似的格式的数据结构中的一种数据结构、两种数据结构或者其组合。
如在图2A中示出的,针对应用1的示例基于应用特征的策略映射210可以包括与一个或者多个应用特征相对应的一个或者多个应用特征标识符。在一些实现中,可以存在与多个应用相对应的多个基于应用特征的策略映射210。每个条目可以包括对应的策略执行动作。策略执行动作可以是与上面关于图1A和图1B描述的那些动作相似的动作。
例如,针对应用1的示例基于应用特征的策略映射210可以标识被示出为聊天(例如,与聊天业务相关联的网络业务)、社交媒体(例如,与社交媒体业务相关联的网络业务)、音频流(例如,与音频流相关联的网路业务)等的应用特征。针对应用1的示例基于应用特征的策略映射210可以包括以下条目:该条目标识针对与应用1和应用特征“聊天”相关联的网络信息的策略执行动作是容许(例如,允许)网络信息被传送和/或传输。针对应用1的示例基于应用特征的策略映射210可以包括以下条目:该条目标识针对与应用1和应用特征“社交媒体”相关联的网络信息的策略执行动作是拒绝(例如,阻止)网络信息被传送和/或传输。针对应用1的示例基于应用特征的策略映射210可以包括以下条目:该条目标识针对与应用1和应用特征“音频流”相关联的网络信息的策略执行动作是拒绝(例如,阻止)网络信息被传送和/或传输。
在一些实现中,针对应用1的示例基于应用特征的策略映射210可以包括与应用1能够传送和/或传输的网络业务相关联的所有应用特征。在一些实现中,针对应用1的基于应用特征的策略映射210可以仅标识应该被阻止(例如,被拒绝)经由网络被传送的应用特征,这节省了本该用于存储与将被允许(例如,容许)的应用特征相关的条目的存储器资源。按照这种方式,基于应用特征的策略映射210可以提供特定于应用的策略映射,当被应用于与应用1相关联的网络业务时,该特定于应用的策略映射标识一个或者多个应用特征以及与该一个或者多个应用特征相关联的相应策略执行动作。
如在图2A中进一步示出的,针对应用特征1的示例基于特征类型的策略映射220可以包括条目,该条目包括与一个或者多个应用相对应的一个或者多个应用标识符。在一些实现中,策略映射可以包括与多个应用特征相对应的多个基于特征类型的策略映射220。
在与一个或者多个应用相关联的基于特征类型的策略映射220中的每个条目可以包括对应的策略执行动作。策略执行动作可以是与上面关于图1A和图1B描述的那些动作相似的动作。
在一些实现中,基于特征类型的策略映射220可以与通用应用特征相对应。通用应用特征可以是针对包含该应用特征的所有应用的网络业务包括相同策略执行动作的应用特征。这样,与通用应用特征相关联的策略规则可以使防火墙应用相同的策略执行动作,无论与网络业务相关联的应用如何。例如,与通用应用特征的策略规则相关联的策略执行动作可以是:不允许(例如,拒绝)与通用应用特征相关联的所有网络业务的传送。与通用应用特征相关联的基于特征类型的策略映射可以不标识策略映射中的任何特定应用。相反,基于特征类型的策略映射可以仅包括通用标识符,诸如,指示策略规则适用于与应用特征相关联的任何应用的“任何”。
在一些实现中,即使在与关联于网络业务的应用相对应的基于特征类型的策略映射220中没有条目,与通用应用特征相关联的基于特征类型的策略映射220也可以启用默认策略执行动作。按照这种方式,与用于通用应用特征的策略规则相关联的基于特征类型的策略映射220容许策略执行动作相对于网络业务被执行,无论与网络业务相关联的应用先前是否已经由设备(诸如,供应设备)标识、和/或无论与网络业务相关联的应用是否已经被包括在应用特征策略映射中。
在一些实现中,用于通用应用特征的策略规则的基于特征类型的策略映射可以标识免除应用。免除应用可以是具有与默认策略执行动作不同的策略执行动作的应用。例如,如在图2A中示出的,具有应用标识符“ABC App”的应用可以是针对应用特征1的免除应用。与应用特征1相关联的默认策略执行动作可以是:阻止(例如,拒绝)与应用特征1相关联的所有网络业务。然而,针对与应用特征1和ABC App相关联的网络业务的策略执行动作可以是允许(例如,容许)网络业务被传送和/或传输。在一些实现中,仅免除应用可以由在基于特征类型的策略映射220中的应用标识符标识(例如,待基于默认策略执行动作被执行的应用不可以被包括在基于特征类型的策略映射220中)。
这样,针对通用应用特征的策略规则的基于特征类型的策略映射220可以容许更细粒度的策略,该更细粒度的策略将阻止网络业务被丢弃,并且因此,节省了本该用于传输和/或处理根据基于应用的策略会被丢弃的网络业务的资源(例如,计算资源和/或网络资源)。
如在图2B中示出的,(多种)示例实现200可以包括一种或者多种策略规则配置。策略规则配置可以是与策略规则相关联的策略映射。一个或者多个策略规则配置可以包括一个或者多个策略字段。策略字段可以与被用于定义策略信息(例如,可以被用于定义策略规则适用的网络业务并且定义防火墙将处理策略规则适用的网络业务的方式的信息)的一个或者多个方面相关联。策略字段的示例可以包括:与网络业务的源区域(例如,在网络的内部、在网络的外部等)相关的字段、与网络业务的目的地区域(例如,在网络的内部、在网络的外部等)相关的字段、与关联于网络业务的源地址(诸如,IP地址)相关的字段、与关联于网络业务的目的地地址(诸如,IP地址)相关的字段、与关联于网络的用户相关的字段、与关联于网络业务的端口相关的字段、与关联于网络业务的应用(例如,策略信息适用的(多个)应用)相关的字段、与关联于网络业务的应用特征(例如,策略信息适用的(多个)应用特征)相关的字段、与关联于策略规则的免除应用列表(例如,标识从按照策略规则建立的策略中免除的应用和/或应用特征)相关的字段、与待由防火墙执行的动作(例如,策略执行动作)相关的字段等。如上面关于图1A和图1B描述的,策略规则配置和/或策略字段可以由供应设备和/或防火墙配置。
在一些实现中,与一个或者多个策略字段相对应的一个或者多个条目可以基于用户输入被定义。例如,用户(诸如,网络操作员)可以定义与一个或者多个策略字段相对应的条目(例如,使用与网络操作员相关联的设备),该一个或者多个策略字段用以定义应用于通过网络传送的网络业务的策略信息。用户输入可以在防火墙接收网络业务之前被接收。
如在图2B中示出的,并且作为示例,策略规则配置230可以包括以下策略字段对应条目:源区域(内部的)、目的地区域(外部的)、源地址(任何的)、目的地地址(任何的)、应用(任何的)、应用特征(聊天)、免除应用列表(无)和动作(拒绝)。这样,策略规则配置230可以建立适用于源自网络内部(例如,源区域)并且传输至网络外部(例如,目的地区域)的网络业务的策略信息。策略规则配置230可以建立适用于源自并且去往任何设备(例如,源地址和目的地址)的网络业务的策略信息。策略规则配置230可以建立适用于与任何动态应用相关联的网络业务的策略信息。策略规则配置230可以建立适用于与应用特征“聊天”相关联的网络业务(例如,与聊天业务相关联的网络业务)的策略信息。策略规则配置230可以建立没有免除应用的策略信息。策略规则配置230可以建立针对满足策略规则配置230的网络业务的策略执行动作(例如,默认策略执行动作)是拒绝网络业务(例如,阻止其传送)的策略信息。这样,策略规则配置230可以建立基于特征类型的策略规则,该基于特征类型的策略规则将拒绝与应用特征“聊天”相关联的所有网络业务,无论与网络业务相关联的应用如何。
如在图2B中进一步示出的,并且作为示例,策略规则配置240可以建立免除应用和/或应用特征。例如,除了关于应用特征免除列表的策略字段之外,策略规则配置240可以具有与策略规则配置230相同的策略字段和条目。策略规则配置240可以包括与免除应用列表“ABC App”的策略字段相对应的条目。策略规则配置240可以建立基于应用特征的策略,除了与应用ABC App相关联的网络业务之外,该基于应用特征的策略将拒绝与应用特征“聊天”相关联的所有网络业务(例如,该策略将拒绝除了与来自ABC App的与聊天相关的网络业务之外的所有与聊天相关的网络业务)。
在一些实现中,可以存在按照与本文关于图2B描述的方式相似的方式建立的多个策略规则配置。例如,基于应用特征的策略规则可以通过在应用的策略字段中指定特定应用(而不是如在图2B中示出的“任何的”)以及应用特征而被建立。这种策略规则配置将创建基于应用特征的策略规则,该基于应用特征的策略规则适用于与在应用的策略字段中所标识的应用和在策略字段应用特征中所标识的应用特征相关联的网络业务。
如上面指示的,图2A和图2B仅被提供作为一个或者多个示例。其他示例可以与关于图2A和图2B所描述的内容不同。
图3是可以实现本文描述的系统和/或方法的示例环境300的示意图。如在图3中示出的,环境300可以包括源设备310、目的地设备320、网络330和一个或者多个网络设备340(在本文中单独地称为网络设备340或者统称为网络设备340)。环境300中的设备可以经由有线连接、无线连接或者有线连接和无线连接的组合来互连。
如本文描述的,源设备310和/或目的地设备320包括能够接收、生成、存储、处理和/或提供与应用和/或会话相关联的网络业务的一个或者多个设备。例如,源设备310和/或目的地设备320可以包括通信设备和/或计算设备,诸如,移动电话(例如,智能电话、无线电话等)、膝上型计算机、平板计算机、手持式计算机、台式计算机、游戏设备、可穿戴通信设备(例如,智能手表、一副智能眼镜等)或者相似类型的设备。在一些实现中,源设备和/或目的地设备可以是云计算环境中的基于云的平台、基于web的平台、在线平台等。源设备310和目的地设备320可以与结合(多种)示例实现100所描述的第一端点设备和第二端点设备相对应。
网络330包括一个或者多个有线网络和/或无线网络。例如,网络330可以包括:蜂窝网络(例如,长期演进(LTE)网络、码分多址(CDMA)网络、3G网络、4G网络、5G网络、另一类型的下一代网络等)、公共陆地移动网络(PLMN)、局域网(LAN)、广域网(WAN)、城域网(MAN)、电话网络(例如,公共交换电话网(PSTN))、专用网络、自组织网络、内联网、互联网、基于光纤的网络、云计算网络等和/或这些或者其他类型的网络的组合。
网络设备340包括能够在端点设备(例如,源设备310和目的地设备320)之间处理和/或传递业务的一个或者多个设备(例如,一个或者多个业务传递设备)。例如,网络设备340可以包括防火墙、路由器、网关、交换机、集线器、桥接器、反向代理、服务器(例如,代理服务器)、安全设备、入侵检测设备、负载平衡器或者相似设备。在一些实现中,网络设备340可以是在壳体(诸如,机架)内实现的物理设备。在一些实现中,网络设备340可以是由云计算环境或者数据中心中的一个或者多个计算机设备实现的虚拟设备。
图3中所示的设备和网络的数量和布置被提供作为一个或者多个示例。实际上,与在图3中示出的那些设备和/或网络相比,可以存在附加的设备和/或网络、更少的设备和/或网络、不同的设备和/或网络或者不同地布置的设备和/或网络。此外,在图3中示出的两个或者更多个设备可以在单个设备内被实现,或者在图3中示出的单个设备可以被实现为多个分布式设备。附加地,或者备选地,环境300中的设备集合(例如,一个或者多个设备)可以执行被描述为由环境300中的另一设备集合执行的一个或者多个功能。
图4A和图4B是(多个)设备400的一个或者多个示例组件的示意图。(多个)设备400可以与源设备310、目的地设备320和/或网络设备340相对应。在一些实现中,源设备310、目的地设备320和/或网络设备340可以包括一个或者多个设备400和/或(多个)设备400的一个或者多个组件。如在图4A中示出的,(多个)设备400可以包括总线405、处理器410、存储器415、存储组件420、输入组件425、输出组件430和通信接口435。
总线405包括允许在(多个)设备400的多个组件之间的通信的组件。处理器410在硬件、固件或者硬件和软件的组合中被实现。处理器410采取中央处理单元(CPU)、图形处理单元(GPU)、加速处理单元(APU)、微处理器、微控制器、数字信号处理器(DSP)、现场可编程门阵列(FPGA)、专用集成电路(ASIC)或者另一类型的处理组件的形式。在一些实现中,处理器410包括能够被编程为执行功能的一个或者多个处理器。存储器415包括随机存取存储器(RAM)、只读存储器(ROM)和/或存储信息和/或指令以供处理器410使用的另一类型的动态或者静态存储设备(例如,闪速存储器、磁存储器和/或光学存储器)。
存储组件420存储与操作和使用(多个)设备400相关的信息和/或软件。例如,存储组件420可以包括:硬盘(例如,磁盘、光盘和/或磁光盘)、固态驱动器(SSD)、压缩盘(CD)、数字多功能盘(DVD)、软盘、磁带盒、磁带和/或另一类型的非瞬态计算机可读介质以及对应的驱动器。存储组件420可以被用于存储和/或实现示例实现100中的安全策略存储设备。
输入组件425包括允许(多个)设备400诸如经由用户输入接收信息的组件(例如,触摸屏显示器、键盘、小键盘、鼠标、按钮、开关和/或麦克风)。附加地,或者备选地,输入组件425可以包括用于确定位置的组件(例如,全球定位系统(GPS)组件)和/或传感器(例如,加速度计、陀螺仪、致动器、另一类型的位置传感器或者环境传感器等)。输出组件430包括(例如,经由显示器、扬声器、触觉反馈组件、音频或者视觉指示器等)提供来自(多个)设备400的输出信息的组件。
通信接口435包括使(多个)设备400能够与其他设备通信(诸如,经由有线连接、无线连接或者有线连接和无线连接的组合)的如同收发器的组件(例如,收发器、分离的接收器、分离的发送器等)。通信接口435可以允许(多个)设备400从另一设备接收信息和/或向另一设备提供信息。例如,通信接口435可以包括以太网接口、光学接口、同轴接口、红外接口、射频(RF)接口、通用串行总线(USB)接口、Wi-Fi接口、蜂窝网络接口等。
(多个)设备400可以执行本文描述的一个或者多个过程。(多个)设备400可以基于处理器410执行由非瞬态计算机可读介质(诸如,存储器415和/或存储组件420)存储的软件指令来执行这些过程。如本文使用的,术语“计算机可读介质”是指非瞬态存储器设备。存储器设备包括在单个物理存储设备内的存储器空间或者在多个物理存储设备上扩展的存储器空间。
软件指令可以经由通信接口435被从另一计算机可读介质或者从另一设备读取到存储器415和/或存储组件420中。被存储在存储器415和/或存储组件420中的软件指令在被执行时可以使处理器410执行本文描述的一个或者多个过程。附加地,或者备选地,代替用于执行本文描述的一个或者多个过程的软件指令或者结合这些软件指令,可以使用硬连线电路装置。因此,本文描述的实现不限于硬件电路装置和软件的任何特定组合。
在图4A中示出的组件的数量和布置被提供作为示例。实际上,与在图4A中示出的那些组件相比,(多个)设备400可以包括附加的组件、更少的组件、不同的组件或者不同地布置的组件。附加地,或者备选地,(多个)设备400的组件集合(例如,一个或者多个组件)可以执行被描述为由(多个)设备400的另一组件集合执行的一个或者多个功能。
如在图4B中示出的,(多个)设备400可以包括一个或者多个输入组件440-1至440-A(B≥1)(以下统称为输入组件440,并且单独地称为输入组件440)、交换组件445、一个或者多个输出组件450-1至450-B(B≥1)(以下统称为输出组件450,并且单独地称为输出组件450)以及控制器455。
输入组件440可以是针对物理链路的一个或者多个附接点,并且可以是针对传入业务(诸如,分组)的一个或者多个入口点。输入组件440可以处理传入业务,诸如,通过执行数据链路层封装或者解封装。在一些实现中,输入组件440可以传输和/或接收分组。在一些实现中,输入组件440可以包括输入线卡,该输入线卡包括一个或者多个分组处理组件(例如,以集成电路的形式),诸如,一个或者多个接口卡(IFC)、分组转发组件、线卡控制器组件、输入端口、处理器、存储器和/或输入队列。在一些实现中,(多个)设备400可以包括一个或者多个输入组件440。
交换组件445可以将输入组件440与输出组件450互连。在一些实现中,交换组件445可以经由一个或者多个交叉开关,经由总线和/或利用共享存储器来实现。共享存储器可以充当临时缓冲器以在分组被最终调度以递送至输出组件365之前存储来自输入组件440的分组。在一些实现中,交换组件445可以使得输入组件440、输出组件450和/或控制器455能够彼此通信。
输出组件450可以存储分组,并且可以调度分组以在输出物理链路上进行传输。输出组件450可以支持数据链路层封装或者解封装和/或各种更高级别的协议。在一些实现中,输出组件450可以传输分组和/或接收分组。在一些实现中,输出组件450可以包括输出线卡,该输出线卡包括一个或者多个分组处理组件(例如,以集成电路的形式),诸如,一个或者多个IFC、分组转发组件、线卡控制器组件、输出端口、处理器、存储器和/或输出队列。在一些实现中,(多个)设备400可以包括一个或者多个输出组件450。在一些实现中,输入组件440和输出组件450可以由同一组件集合实现(例如,以及输入/输出组件可以是输入组件440和输出组件450的组合)。
控制器455包括例如,CPU、GPU、APU、微处理器、微控制器、DSP、FPGA、ASIC形式的处理器和/或另一类型的处理器。处理器在硬件、固件或者硬件和软件的组合中被实现。在一些实现中,控制器455可以包括能够被编程为执行功能的一个或者多个处理器。
在一些实现中,控制器455可以包括RAM、ROM和/或存储信息和/或指令以供控制器455使用的另一类型的动态或者静态存储设备(例如,闪速存储器、磁存储器和/或光学存储器等)。
在一些实现中,控制器455可以与被连接至(多个)设备400的其他设备、网络和/或系统通信以交换有关网络拓扑的信息。控制器455可以基于网络拓扑信息来创建路由表,可以基于路由表来创建转发表,并且可以将转发表转发至输入组件440和/或输出组件450。输入组件440和/或输出组件450可以使用转发表来对传入分组和/或传出分组执行路由查找。
控制器455可以执行本文描述的一个或者多个过程。控制器455可以响应于执行由非瞬态计算机可读介质存储的软件指令来执行这些过程。计算机可读介质在本文中被定义为非瞬态存储器设备。存储器设备包括单个物理存储设备内的存储器空间或者在多个物理存储设备之间扩展的存储器空间。
软件指令可以经由通信接口被从另一计算机可读介质或者从另一设备读取到与控制器455相关联的存储器和/或存储组件中。被存储在与控制器455相关联的存储器和/或存储组件中的软件指令在被执行时可以使控制器455执行本文描述的一个或者多个过程。附加地,或者备选地,代替用于执行本文描述的一个或者多个过程的软件指令或者结合这些软件指令,硬连线电路装置可以被使用。因此,本文描述的实现不限于硬件电路装置和软件的任何特定组合。
在图4B中示出的组件的数量和布置被提供作为示例。实际上,与在图4B中示出的那些组件相比,(多个)设备400可以包括附加的组件、更少的组件、不同的组件或者不同地布置的组件。附加地,或者备选地,(多个)设备400的组件集合(例如,一个或者多个组件)可以执行被描述为由(多个)设备400的另一组件集合执行的一个或者多个功能。
图5是针对基于应用特征的网络业务控制的示例过程500的流程图。在一些实现中,图5中的一个或者多个过程框可以由网络设备(例如,图1A和图1B所示防火墙、图3所示网络设备340等)执行。在一些实现中,图5中的一个或者多个过程框可以由与网络设备分离或者包括网络设备的另一设备或者一组设备执行,诸如,源设备(例如,源设备310)、目的地设备(例如,目的地设备320)、供应设备等。
如在图5中示出的,过程500可以包括:接收与网络相关联的网络业务(框510)。例如,如上所述,网络设备(例如,使用处理器410、存储器415、存储组件420、输入组件425、输出组件430、通信接口435、输入组件440、交换组件445、输出组件450、控制器455等)可以接收与网络相关联的网络业务。
如在图5中进一步示出的,过程500可以包括:确定网络业务与动态应用相关联(框520)。例如,如上所述,网络设备(例如,使用处理器410、存储器415、存储组件420、输入组件425、输出组件430、通信接口435、输入组件440、交换组件445、输出组件450、控制器455等)可以确定网络业务与动态应用相关联。
如在图5中进一步示出的,过程500可以包括:基于确定网络业务与动态应用相关联来确定与网络业务相关联的应用特征(框530)。例如,如上所述,网络设备(例如,使用处理器410、存储器415、存储组件420、输入组件425、输出组件430、通信接口435、输入组件440、交换组件445、输出组件450、控制器455等)可以基于确定网络业务与动态应用相关联来确定与网络业务相关联的应用特征。
如在图5中进一步示出的,过程500可以包括:执行与应用特征相关联的查找操作以标识与应用特征相关联的策略信息(框540)。例如,如上所述,网络设备(例如,使用处理器410、存储器415、存储组件420、输入组件425、输出组件430、通信接口435、输入组件440、交换组件445、输出组件450、控制器455等)可以执行与应用特征相关联的查找操作以标识与应用特征相关联的策略信息。
如在图5中进一步示出的,过程500可以包括:基于与应用特征相关联的策略信息来选择性地允许网络业务经由网络的传送,其中当策略信息指示与应用特征相关联的网络业务被允许经由网络被传送时,网络业务将经由网络被传送,或者其中当策略信息指示与应用特征相关联的网络业务被阻止经由网络被传送时,网络业务将被阻止经由网络被传送(框550)。例如,如上所述,网络设备(例如,使用处理器410、存储器415、存储组件420、输入组件425、输出组件430、通信接口435、输入组件440、交换组件445、输出组件450、控制器455等)可以由该网络设备基于与应用特征相关联的策略信息来选择性地允许网络业务经由网络的传送。在一些实现中,当策略信息指示与应用特征相关联的网络业务被允许经由网络被传送时,网络业务将经由网络被传送。在一些实现中,当策略信息指示与应用特征相关联的网络业务被阻止经由网络被传送时,网络业务将被阻止经由网络被传送。
过程500可以包括附加的实现,诸如,任何单种实现或者在下面和/或结合本文在别处描述的一个或者多个其他过程所描述的实现的任何组合。
在第一实现中,在接收网络业务之前,策略信息基于经由深度分组检查对与应用特征相关联的历史网络业务集合的分析而被确定,并且应用特征被指定用于策略执行,其中查找操作基于被指定用于策略执行的应用特征而被执行。
在第二实现中,单独地或者结合第一实现,在接收网络业务之前,过程500包括:基于与启用或者禁用与应用特征相关联的网络业务相关联的用户输入来确定策略信息。
在第三实现中,单独地或者结合第一实现和第二实现中的一种或者多种实现,当确定网络业务与动态应用相关联时,过程500包括:分析网络业务的有效负载;在有效负载中标识应用标识符,该应用标识符标识与网络业务相关联的应用;从动态应用列表中确定应用被指定为动态应用;以及基于应用被指定为动态应用来确定网络业务与动态应用相关联。
在第四实现中,单独地或者结合第一至第三实现中的一种或者多种实现,当执行查找操作时,过程500包括:基于网络业务内的业务信息来标识应用特征;对与应用特征相关联的策略映射进行定位;以及从策略映射中获得策略信息,针对应用特征的策略信息指示网络业务是被允许经由网络被传送还是被阻止经由网络被传送。
在第五实现中,单独地或者结合第一至第四实现中的一种或者多种实现,策略映射是针对多个应用特征定义对应的策略执行动作的基于应用特征的策略映射。
在第六实现中,单独地或者结合第一至第五实现中的一种或者多种实现,策略信息基于动态应用的应用标识符来标识针对应用特征的策略执行动作。
虽然图5示出了过程500的示例框,但是在一些实现中,与在图5中描绘的那些框相比,过程500可以包括附加的框、更少的框、不同的框或者不同地布置的框。附加地,或者备选地,过程500的框中的两个或者更多个框可以被并行执行。
图6是针对基于应用特征的网络业务控制的示例过程600的流程图。在一些实现中,图6中的一个或者多个过程框可以由网络设备(例如,图1A和图1B所示防火墙、图3所示网络设备340等)执行。在一些实现中,图6中的一个或者多个过程框可以由与网络设备分离或者包括网络设备的另一设备或者一组设备执行,诸如,源设备(例如,源设备310)、目的地设备(例如,目的地设备320)、供应设备等。
如在图6中示出的,过程600可以包括:接收与网络相关联的网络业务,其中网络业务与应用相关联(框610)。例如,如上所述,网络设备(例如,使用处理器410、存储器415、存储组件420、输入组件425、输出组件430、通信接口435、输入组件440、交换组件445、输出组件450、控制器455等)可以接收与网络相关联的网络业务。在一些实现中,网络业务与应用相关联。
如在图6中进一步示出的,过程600可以包括:确定应用是动态应用(框620)。例如,如上所述,网络设备(例如,使用处理器410、存储器415、存储组件420、输入组件425、输出组件430、通信接口435、输入组件440、交换组件445、输出组件450、控制器455等)可以确定应用是动态应用。
如在图6中进一步示出的,过程600可以包括:基于确定应用是动态应用来确定与网络业务相关联的应用特征(框630)。例如,如上所述,网络设备(例如,使用处理器410、存储器415、存储组件420、输入组件425、输出组件430、通信接口435、输入组件440、交换组件445、输出组件450、控制器455等)可以基于确定应用是动态应用来确定与网络业务相关联的应用特征。
如在图6中进一步示出的,过程600可以包括:从策略映射中获得与应用特征相关联的策略信息,其中策略映射针对被允许传送或者被阻止传送的应用特征标识适用于多个应用的策略(框640)。例如,如上所述,网络设备(例如,使用处理器410、存储器415、存储组件420、输入组件425、输出组件430、通信接口435、输入组件440、交换组件445、输出组件450、控制器455等)可以从策略映射中获得与应用特征相关联的策略信息。在一些实现中,策略映射针对被允许传送或者被阻止传送的应用特征标识适用于多个应用的策略。
如在图6中进一步示出的,过程600可以包括:基于策略信息来确定网络业务经由网络的传送是否被允许(框650)。例如,如上所述,网络设备(例如,使用处理器410、存储器415、存储组件420、输入组件425、输出组件430、通信接口435、输入组件440、交换组件445、输出组件450、控制器455等)可以基于策略信息来确定网络业务经由网络的传送是否被允许。
如在图6中进一步示出的,过程600可以包括:基于网络业务经由网络的传送是否被允许来执行与网络业务相关联的动作(框660)。例如,如上所述,网络设备(例如,使用处理器410、存储器415、存储组件420、输入组件425、输出组件430、通信接口435、输入组件440、交换组件445、输出组件450、控制器455等)可以基于网络业务经由网络的传送是否被允许来执行与网络业务相关联的动作。
过程600可以包括附加的实现,诸如,任何单种实现或者在下面和/或结合本文在别处描述的一个或者多个其他过程所描述的实现的任何组合。
在第一实现中,当确定应用是动态应用时,过程600包括:分析网络业务的有效负载;标识应用标识符,该应用标识符标识应用;以及从动态应用列表中确定应用被指定为动态应用。
在第二实现中,单独地或者结合第一实现,当获得策略信息时,过程600包括:与策略映射相关联地执行查找操作以标识条目,该条目标识应用特征;以及从条目中获得策略信息,其中策略信息指示网络业务是被允许经由网络被传送还是被阻止经由网络被传送。
在第三实现中,单独地或者结合第一实现和第二实现中的一种或者多种实现,条目包括与应用特征相关联的通用标识符,其中通用标识符指示策略信息适用于与应用特征和任何应用相关联的网络业务。
在第四实现中,单独地或者结合第一至第三实现中的一种或者多种实现,条目包括与应用特征相关联的应用标识符,该应用标识符指示策略信息适用于与应用特定相关联的网络业务。
在第五实现中,单独地或者结合第一至第四实现中的一种或者多种实现,当执行动作时,过程600包括以下中的至少一项:在网络业务的传送被确定为被允许时经由网络来转发网络业务,或者在网络业务的传送被确定为不被允许时阻止网络业务经由网络被传送。
在第六实现中,单独地或者结合第一至第五实现中的一种或者多种实现,过程600包括:记录与应用特征相关联的策略信息。
虽然图6示出了过程600的示例框,但是在一些实现中,与在图6中描绘的那些框相比,过程600可以包括附加的框、更少的框、不同的框或者不同地布置的框。附加地,或者备选地,过程600的框中的两个或者更多个框可以被并行执行。
图7是针对基于应用特征的网络业务控制的示例过程700的流程图。在一些实现中,图7中的一个或者多个过程框可以由网络设备(例如,图1A和图1B所示防火墙、图3所示网络设备340等)执行。在一些实现中,图7中的一个或者多个过程框可以由与网络设备分离或者包括网络设备的另一设备或者一组设备执行,诸如,源设备(例如,源设备310)、目的地设备(例如,目的地设备320)、供应设备等。
如在图7中示出的,过程700可以包括:监测与网络相关联的会话(框710)。例如,如上所述,网络设备(例如,使用处理器410、存储器415、存储组件420、输入组件425、输出组件430、通信接口435、输入组件440、交换组件445、输出组件450、控制器455等)可以监测与网络相关联的会话。
如在图7中进一步示出的,过程700可以包括:确定会话的网络业务与应用特征相关联(框720)。例如,如上所述,网络设备(例如,使用处理器410、存储器415、存储组件420、输入组件425、输出组件430、通信接口435、输入组件440、交换组件445、输出组件450、控制器455等)可以确定会话的网络业务与应用特征相关联。
如在图7中进一步示出的,过程700可以包括:基于与应用特征相关联的策略信息来确定网络业务是否被允许经由网络被传送(框730)。例如,如上所述,网络设备(例如,使用处理器410、存储器415、存储组件420、输入组件425、输出组件430、通信接口435、输入组件440、交换组件445、输出组件450、控制器455等)可以基于与应用特征相关联的策略信息来确定网络业务是否被允许经由网络被传送。
如在图7中进一步示出的,过程700可以包括:基于网络业务是否被确定为被允许传送来执行与网络业务的传送相关联的动作(框740)。例如,如上所述,网络设备(例如,使用处理器410、存储器415、存储组件420、输入组件425、输出组件430、通信接口435、输入组件440、交换组件445、输出组件450、控制器455等)可以基于网络业务是否被允许传送来执行与网络业务的传送相关联的动作。
过程700可以包括附加的实现,诸如,任何单种实现或者在下面和/或结合本文在别处描述的一个或者多个其他过程所描述的实现的任何组合。
在第一实现中,会话基于分析会话的通信的有效负载以标识特定通信集合而被监测,应用特征与特定通信集合中的一种或者多种通信相关联。
在第二实现中,单独地或者结合第一实现,会话与应用相关联,并且策略信息基于标识应用的信息而被确定。
在第三实现中,单独地或者结合第一实现和第二实现中的一种或者多种实现,应用特征是第一应用特征,网络业务是会话的第一网络业务,策略信息是指示第一应用特征被允许的第一策略信息,并且动作包括启用第一网络业务经由网络的传送的第一动作,并且过程700包括:确定第二网络业务与不同于第一应用特征的第二应用特征相关联;确定第二策略信息指示第二应用特征不被允许经由网络被传送;以及基于第二策略信息来执行阻止第二网络业务经由网络的传送的第二动作。
在第四实现中,单独地或者结合第一至第三实现中的一种或者多种实现,网络业务是第一网络业务,会话是与第一应用相关联的第一会话,策略信息是第一策略信息,该第一策略信息指示针对第一应用,应用特征被允许,并且动作包括启用第一网络业务经由网络的传送,并且过程700包括:监测与第二应用相关联的第二会话;确定第二会话的第二网络业务与应用特征相关联;确定第二策略信息指示针对第二应用,应用特征不被允许经由网络被传送;以及基于第二策略信息来执行阻止第二网络业务经由网络的传送的第二动作。
在第五实现中,单独地或者结合第一至第四实现中的一种或者多种实现,应用特征与以下中的一个或者多个相关联:聊天业务、安全消息业务、媒体流业务、语音通信业务、媒体下载业务、媒体上传业务、交互式业务、隧道业务或者社交媒体业务。
虽然图7示出了过程700的示例块,但是在一些实现中,与在图7中描绘的那些框相比,过程700可以包括附加的框、更少的框、不同的框或者不同地布置的框。附加地,或者备选地,过程700的框中的两个或者更多个框可以被并行执行。
根据本公开的实施例,提供了以下的示例。
示例1:一种方法,包括:由网络设备接收与网络相关联的网络业务;由网络设备确定网络业务与动态应用相关联;由网络设备基于确定网络业务与动态应用相关联来确定与网络业务相关联的应用特征;由网络设备执行与应用特征相关联的查找操作以标识与应用特征相关联的策略信息;以及由网络设备基于与应用特征相关联的策略信息来选择性地允许网络业务经由网络的传送,其中当策略信息指示与应用特征相关联的网络业务被允许经由网络被传送时,网络业务将经由网络被传送,或者其中当策略信息指示与应用特征相关联的网络业务被阻止经由网络被传送时,网络业务将被阻止经由网络被传送。
示例2.根据示例1的方法,其中在接收网络业务之前,策略信息基于经由深度分组检查对与应用特征相关联的历史网络业务集合的分析而被确定;并且其中应用特征被指定用于策略执行,其中查找操作基于应用特征被指定用于策略执行而被执行。
示例3.根据示例1的方法,还包括:在接收网络业务之前:基于与启用或者禁用与应用特征相关联的网络业务相关联的用户输入来确定策略信息。
示例4.根据示例1的方法,其中确定网络业务与动态应用相关联包括:分析网络业务的有效负载;在有效负载中标识应用标识符,应用标识符标识与网络业务相关联的应用;从动态应用列表中确定应用被指定为动态应用;以及基于应用被指定为动态应用来确定网络业务与动态应用相关联。
示例5.根据示例1的方法,其中执行查找操作包括:基于网络业务内的业务信息来标识应用特征;对与应用特征相关联的策略映射进行定位;以及从策略映射中获得策略信息,其中针对应用特征的策略信息指示网络业务是被允许经由网络被传送还是被阻止经由网络被传送。
示例6.根据示例5的方法,其中策略映射是基于应用特征的策略映射,基于应用特征的策略映射针对多个应用特征定义对应的策略执行动作。
示例7.根据示例5的方法,其中策略信息基于动态应用的应用标识符来标识针对应用特征的策略执行动作。
示例8.一种网络设备,包括:一个或者多个存储器;以及一个或者多个处理器,一个或者多个处理器用以:接收与网络相关联的网络业务,其中网络业务与应用相关联;确定应用是动态应用;基于确定应用是动态应用来确定与网络业务相关联的应用特征;从策略映射中获得与应用特征相关联的策略信息,其中策略映射针对被允许传送或者被阻止传送的应用特征标识适用于多个应用的策略;基于策略信息来确定网络业务经由网络的传送是否被允许;以及基于网络业务经由网络的传送是否被允许来执行与网络业务相关联的动作。
示例9.根据示例8的网络设备,其中一个或者多个处理器在确定应用是动态应用时被配置为:分析网络业务的有效负载;标识应用标识符,应用标识符标识应用;以及从动态应用列表中确定应用被指定为动态应用。
示例10.根据示例8的网络设备,其中一个或者多个处理器在获得策略信息时被配置为:与策略映射相关联地执行查找操作以标识条目,条目标识应用特征;以及从条目中获得策略信息,其中策略信息指示网络业务是被允许经由网络被传送还是被阻止经由网络被传送。
示例11.根据示例10的网络设备,其中条目包括与应用特征相关联的通用标识符,其中通用标识符指示策略信息适用于与应用特征和任何应用相关联的网络业务。
示例12.根据示例10的网络设备,其中条目包括与应用相关联的应用标识符,其中应用标识符指示策略信息适用于与应用特定相关联的网络业务。
示例13.根据示例8的网络设备,其中一个或者多个处理器在执行动作时被配置为进行以下中的至少一项:在网络业务的传送被确定为被允许时,经由网络来转发网络业务,或者在网络业务的传送被确定为不被允许时,阻止网络业务经由网络被传送。
示例14.根据示例8的网络设备,其中一个或者多个处理器记录与应用特征相关联的策略信息。
示例15.一种存储指令的非瞬态计算机可读介质,指令包括:一个或者多个指令,一个或者多个指令在由一个或者多个处理器执行时使一个或者多个处理器:监测与网络相关联的会话;确定会话的网络业务与应用特征相关联;基于与应用特征相关联的策略信息来确定网络业务是否被允许经由网络被传送;以及基于网络业务是否被确定为被允许传送来执行与网络业务的传送相关联的动作。
示例16.根据示例15的非瞬态计算机可读介质,其中会话基于分析会话的通信的有效负载以标识特定通信集合而被监测,其中应用特征与特定通信集合中的一种或者多种通信相关联。
示例17.根据示例15的非瞬态计算机可读介质,其中会话与应用相关联,并且其中策略信息基于标识应用的信息而被确定。
示例18.根据示例15的非瞬态计算机可读介质,其中应用特征是第一应用特征,网络业务是会话的第一网络业务,策略信息是指示第一应用特征被允许的第一策略信息,并且动作包括第一动作,第一动作启用第一网络业务经由网络的传送,并且其中一个或者多个指令在由一个或者多个处理器执行时还使一个或者多个处理器:确定第二网络业务与不同于第一应用特征的第二应用特征相关联;确定第二策略信息指示第二应用特征不被允许经由网络被传送;以及基于第二策略信息来执行第二动作,第二动作阻止第二网络业务经由网络的传送。
示例19.根据示例15的非瞬态计算机可读介质,其中网络业务是第一网络业务,会话是与第一应用相关联的第一会话,策略信息是第一策略信息,第一策略信息指示针对第一应用,应用特征被允许,并且动作包括启用第一网络业务经由网络的传送,并且其中一个或者多个指令在由一个或者多个处理器执行时还使一个或者多个处理器:监测与第二应用相关联的第二会话;确定第二会话的第二网络业务与应用特征相关联;确定第二策略信息指示针对第二应用,应用特征不被允许经由网络被传送;以及基于第二策略信息来执行第二动作,第二动作阻止第二网络业务经由网络的传送。
示例20.根据示例15的非瞬态计算机可读介质,其中应用特征与以下各项中的一项或者多项相关联:聊天业务,安全消息业务,媒体流业务,语音通信业务,媒体下载业务,媒体上传业务,交互式业务,隧道业务,或者社交媒体业务。
前述公开内容提供了说明和描述,但是不旨在是详尽的或者将实现限于所公开的精确形式。可以鉴于上述公开内容进行修改和变化,或者可以从实现的实践中获得修改和变化。
如本文使用的,术语“组件”旨在被广泛地解释为硬件、固件和/或硬件和软件的组合。
将明显的是:本文描述的系统和/或方法可以用不同形式的硬件、固件或者硬件和软件的组合来实现。被用于实现这些系统和/或方法的实际专用控制硬件或者软件代码不是对实现的限制。因此,本文未参照特定软件代码来描述系统和/或方法的操作和行为—应该理解,软件和硬件可以被设计为基于本文中的描述来实现系统和/或方法。
虽然在权利要求书中叙述了和/或在本说明书中公开了特征的特定组合,但是这些组合不旨在限制各种实现的公开内容。实际上,可以按照未在权利要求书中具体叙述和/或未在本说明书中公开的方式来组合这些特征中的许多特征。虽然下面列出的每项从属权利要求会仅直接依赖于一项权利要求,但是各种实现的公开内容包括每项从属权利要求以及权利要求集合中的每项其他权利要求。
本文使用的元件、动作或者指令都不应该被解释为是关键的或者必要的,除非明确地如此描述。同样,如本文使用的,冠词“一”和“一个”旨在包括一个或者多个项,并且可以与“一个或者多个”互换使用。进一步地,如本文使用的,冠词“该”旨在包括结合冠词“该”引用的一个或者多个项,并且可以与“一个或者多个”互换使用。此外,如本文使用的,术语“集合”旨在包括一个或者多个项(例如,相关项、不相关项、相关项和不相关项的组合等),并且可以与“一个或者多个”互换使用。在预期仅一个项的情况下,使用短语“仅一个”或者相似的语言。同样,如本文使用的,术语“具有(has)”、“具有(have)”、“具有(having)”等旨在是开放式术语。进一步地,短语“基于”旨在表示“至少部分地基于”,除非另有明确说明。同样,如本文使用的,当串联使用术语“或者”时,“或者”旨在是包括性的,并且可以与“和/或”互换使用,除非另有明确说明(例如,如果结合“任一”或者“…中的仅一个”使用)。
Claims (20)
1.一种用于传送网络业务的方法,包括:
由网络设备接收与网络相关联的网络业务;
由所述网络设备确定所述网络业务与动态应用相关联,
其中确定所述网络业务与所述动态应用相关联包括:
标识与所述网络业务相关联的应用的应用标识符,以及
基于标识所述应用标识符来从动态应用列表中确定所述应用被指定为所述动态应用;
由所述网络设备基于确定所述网络业务与所述动态应用相关联来确定与所述网络业务相关联的应用特征,
其中确定与所述网络业务相关联的所述应用特征包括:
标识与所述网络业务相关联的应用特征标识符,以及
基于标识所述应用特征标识符来从应用特征列表中确定与所述网络业务相关联的所述应用特征;
由所述网络设备基于标识所述应用标识符和所述应用特征标识符来从策略映射中确定要向所述网络业务应用的策略规则,
其中所述策略映射包括与所述策略规则对应的条目集合,
其中所述条目集合包括所述应用标识符和所述应用特征标识符;以及
由所述网络设备基于所述策略规则来选择性地允许所述网络业务经由所述网络的传送,
其中当所述策略规则指示与所述应用特征相关联的所述网络业务被允许经由所述网络被传送时,所述网络业务将经由所述网络被传送,或者
其中当所述策略规则指示与所述应用特征相关联的所述网络业务被阻止经由所述网络被传送时,所述网络业务将被阻止经由所述网络被传送。
2.根据权利要求1所述的方法,其中在接收所述网络业务之前,所述策略规则基于对与所述应用特征相关联的历史网络业务集合的分析而被确定。
3.根据权利要求1所述的方法,还包括:在接收所述网络业务之前:
基于与启用或者禁用与所述应用特征相关联的所述网络业务相关联的用户输入来创建所述策略规则。
4.根据权利要求1所述的方法,其中确定所述网络业务与所述动态应用相关联还包括:
分析所述网络业务的有效负载,
其中所述有效负载包括所述应用标识符;
在所述有效负载中标识所述应用标识符,所述应用标识符标识与所述网络业务相关联的所述应用;以及
基于所述应用被指定为所述动态应用来确定所述网络业务与所述动态应用相关联。
5.根据权利要求1所述的方法,其中确定所述策略规则包括:
与所述策略映射相关联地执行查找操作以标识所述条目集合中的包括所述应用标识符的条目;以及
从所述条目中获得所述策略规则,
其中所述策略规则指示所述网络业务是被允许经由所述网络被传送还是被阻止经由所述网络被传送。
6.根据权利要求5所述的方法,其中所述策略映射是基于应用特征的策略映射,所述基于应用特征的策略映射针对多个应用特征定义对应的策略规则,
其中所述对应的策略规则包括所述策略规则,并且
其中所述对应的策略规则标识策略执行动作。
7.根据权利要求5所述的方法,其中所述策略规则基于所述动态应用的所述应用标识符来标识针对所述应用特征的策略执行动作。
8.一种用于传送网络业务的网络设备,包括:
一个或者多个处理器,所述一个或者多个处理器用以:
接收与网络相关联的网络业务,
其中所述网络业务与应用相关联;
确定所述应用是动态应用,
其中所述一个或多个处理器在确定所述应用是所述动态应用时用以:
标识与所述网络业务相关联的应用标识符,以及
基于标识所述应用标识符来从动态应用列表中确定所述应用被指定为所述动态应用;
基于确定所述应用是所述动态应用来确定与所述网络业务相关联的应用特征,
其中所述一个或多个处理器在确定与所述网络业务相关联的所述应用特征时用以:
标识与所述网络业务相关联的应用特征标识符,以及
基于标识所述应用特征标识符来从应用特征列表中确定与所述网络业务相关联的所述应用特征;
基于标识所述应用标识符和所述应用特征标识符来从策略映射中确定要向所述网络业务应用的策略规则,
其中所述策略规则指示所述网络业务是否被允许经由所述网络传送或者被阻止经由所述网络传送,并且
其中所述策略映射包括与所述策略规则对应的条目集合,
其中所述条目集合包括所述应用标识符和所述应用特征标识符;
基于所述策略规则来确定所述网络业务经由所述网络的传送是否被允许;以及
基于所述网络业务经由所述网络的传送是否被允许来执行与所述网络业务相关联的动作。
9.根据权利要求8所述的网络设备,其中所述一个或者多个处理器在确定所述应用是所述动态应用时还被配置为:
分析所述网络业务的有效负载;以及
在所述有效负载中标识所述应用标识符,所述应用标识符标识所述应用。
10.根据权利要求8所述的网络设备,其中所述一个或者多个处理器在确定所述策略规则时被配置为:
与所述策略映射相关联地执行查找操作以标识所述条目集合中的包括所述应用标识符的条目;以及
从所述条目中获得所述策略规则。
11.根据权利要求10所述的网络设备,其中所述应用特征标识符指示所述策略规则适用于与所述应用特征和任何应用相关联的所述网络业务。
12.根据权利要求10所述的网络设备,其中所述应用特征标识符指示所述策略规则适用于与所述应用特定相关联的所述网络业务。
13.根据权利要求8所述的网络设备,其中所述一个或者多个处理器在执行所述动作时被配置为进行以下中的至少一项:
在所述网络业务的传送被确定为被允许时,经由所述网络来转发所述网络业务,或者
在所述网络业务的传送被确定为不被允许时,阻止所述网络业务经由所述网络被传送。
14.根据权利要求8所述的网络设备,其中所述一个或者多个处理器还被配置为记录与所述应用特征相关联的所述策略规则。
15.一种存储指令的非瞬态计算机可读介质,所述指令包括:
一个或者多个指令,所述一个或者多个指令在由一个或者多个处理器执行时使所述一个或者多个处理器:
监测与网络相关联的会话;
确定所述会话的网络业务与动态应用相关联,
其中确定所述会话的所述网络业务与所述动态应用相关联的所述一个或者多个指令使所述一个或者多个处理器:
标识与所述网络业务相关联的应用的应用标识符,以及
基于标识所述应用标识符来从动态应用列表中确定所述应用被指定为所述动态应用;
基于确定所述会话的所述网络业务与所述动态应用相关联来确定所述会话的所述网络业务与应用特征相关联,
其中使所述一个或者多个处理器确定所述会话的所述网络业务与所述应用特征相关联的所述一个或者多个指令使所述一个或者多个处理器:
标识与所述网络业务相关联的应用特征标识符,以及
基于标识所述应用特征标识符来从应用特征列表中确定所述网络业务与所述应用特征相关联;
基于标识所述应用标识符和所述应用特征标识符中的至少一项来从策略映射中确定要向所述网络业务应用的策略规则,
其中所述策略规则指示所述网络业务是否被允许经由所述网络传送或者被阻止经由所述网络传送,并且
其中所述策略映射包括与所述策略规则对应的条目集合,
其中所述条目集合包括所述应用标识符和所述应用特征标识符;
基于所述策略规则来确定所述网络业务是否被允许经由所述网络被传送;以及
基于所述网络业务是否被确定为被允许传送来执行与所述网络业务的传送相关联的动作。
16.根据权利要求15所述的非瞬态计算机可读介质,其中所述会话基于分析所述会话的通信的有效负载以标识一个或多个特定通信集合而被监测,
其中所述应用特征与所述一个或多个特定通信集合中的至少一个特定通信集合相关联。
17.根据权利要求15所述的非瞬态计算机可读介质,其中所述会话与所述应用相关联,并且
其中所述策略规则基于标识所述应用标识符和所述应用特征标识符而被确定。
18.根据权利要求15所述的非瞬态计算机可读介质,其中所述应用特征是第一应用特征,所述网络业务是所述会话的第一网络业务,所述策略规则是指示所述第一应用特征被允许的第一策略规则,并且所述动作包括第一动作,所述第一动作启用所述第一网络业务经由所述网络的传送,并且
其中所述一个或者多个指令在由所述一个或者多个处理器执行时还使所述一个或者多个处理器:
确定第二网络业务与不同于所述第一应用特征的第二应用特征相关联;
确定第二策略规则指示所述第二应用特征不被允许经由所述网络被传送;以及
基于所述第二策略规则来执行第二动作,所述第二动作阻止所述第二网络业务经由所述网络的传送。
19.根据权利要求15所述的非瞬态计算机可读介质,其中所述会话是第一会话,所述网络业务是第一网络业务,所述动态应用是与第一应用相关联的第一动态应用,所述策略规则是第一策略规则,所述第一策略规则指示针对所述第一应用,所述应用特征被允许,并且所述动作包括启用所述第一网络业务经由所述网络的传送,并且
其中所述一个或者多个指令在由所述一个或者多个处理器执行时还使所述一个或者多个处理器:
监测与第二动态应用相关联的第二会话;
确定所述第二会话的第二网络业务与所述应用特征相关联;
从所述策略映射中确定第二策略规则,所述第二策略规则指示针对所述第二动态应用,所述应用特征不被允许经由所述网络被传送;以及
基于所述第二策略规则来执行第二动作,所述第二动作阻止所述第二网络业务经由所述网络的传送。
20.根据权利要求15所述的非瞬态计算机可读介质,其中所述应用特征与以下各项中的一项或者多项相关联:
聊天业务,
安全消息业务,
媒体流业务,
语音通信业务,
媒体下载业务,
媒体上传业务,
交互式业务,
隧道业务,或者
社交媒体业务。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16/829,690 | 2020-03-25 | ||
| US16/829,690 US11303575B2 (en) | 2020-03-25 | 2020-03-25 | Network traffic control based on application feature |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113452663A CN113452663A (zh) | 2021-09-28 |
| CN113452663B true CN113452663B (zh) | 2023-08-25 |
Family
ID=70775261
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010421182.5A Active CN113452663B (zh) | 2020-03-25 | 2020-05-18 | 基于应用特征的网络业务控制 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US11303575B2 (zh) |
| EP (1) | EP3886392A1 (zh) |
| CN (1) | CN113452663B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20230261958A1 (en) * | 2020-06-16 | 2023-08-17 | Telefonaktiebolaget Lm Ericsson (Publ) | Technique for reporting network traffic activities |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8612612B1 (en) * | 2011-09-28 | 2013-12-17 | Juniper Networks, Inc. | Dynamic policy control for application flow processing in a network device |
| CN105103497A (zh) * | 2013-04-11 | 2015-11-25 | 高通股份有限公司 | 应用业务配对 |
| CN105635108A (zh) * | 2014-11-26 | 2016-06-01 | 洛克威尔自动控制技术股份有限公司 | 具有应用包分类器的防火墙 |
| US9894099B1 (en) * | 2013-07-12 | 2018-02-13 | Palo Alto Networks, Inc. | Automatically configuring mobile devices and applying policy based on device state |
| CN107872456A (zh) * | 2017-11-09 | 2018-04-03 | 深圳市利谱信息技术有限公司 | 网络入侵防御方法、装置、系统及计算机可读存储介质 |
| CN109218280A (zh) * | 2017-06-30 | 2019-01-15 | 瞻博网络公司 | 实施数据中心中的物理和虚拟应用组件的微分段策略 |
Family Cites Families (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7725934B2 (en) * | 2004-12-07 | 2010-05-25 | Cisco Technology, Inc. | Network and application attack protection based on application layer message inspection |
| US8346918B2 (en) * | 2005-08-19 | 2013-01-01 | Cpacket Networks, Inc. | Apparatus and method for biased and weighted sampling of network traffic to facilitate network monitoring |
| US7882554B2 (en) * | 2005-08-19 | 2011-02-01 | Cpacket Networks, Inc. | Apparatus and method for selective mirroring |
| US8665868B2 (en) * | 2005-08-19 | 2014-03-04 | Cpacket Networks, Inc. | Apparatus and method for enhancing forwarding and classification of network traffic with prioritized matching and categorization |
| US10069704B2 (en) * | 2012-12-07 | 2018-09-04 | Cpacket Networks Inc. | Apparatus, system, and method for enhanced monitoring and searching of devices distributed over a network |
| US8024799B2 (en) * | 2005-08-19 | 2011-09-20 | Cpacket Networks, Inc. | Apparatus and method for facilitating network security with granular traffic modifications |
| US7890991B2 (en) * | 2005-08-19 | 2011-02-15 | Cpacket Networks, Inc. | Apparatus and method for providing security and monitoring in a networking architecture |
| CN101771627B (zh) * | 2009-01-05 | 2015-04-08 | 武汉邮电科学研究院 | 互联网实时深度包解析和控制节点设备和方法 |
| US8307418B2 (en) * | 2010-03-16 | 2012-11-06 | Genband Inc. | Methods, systems, and computer readable media for providing application layer firewall and integrated deep packet inspection functions for providing early intrusion detection and intrusion prevention at an edge networking device |
| US8509071B1 (en) * | 2010-10-06 | 2013-08-13 | Juniper Networks, Inc. | Multi-dimensional traffic management |
| US10405235B2 (en) | 2011-09-26 | 2019-09-03 | Qualcomm Incorporated | Systems and methods for traffic detection network control |
| US9252972B1 (en) * | 2012-12-20 | 2016-02-02 | Juniper Networks, Inc. | Policy control using software defined network (SDN) protocol |
| WO2015036006A1 (en) * | 2013-09-10 | 2015-03-19 | Nokia Solutions And Networks Oy | Subscriber-specific tracing in communications |
| US10374918B2 (en) * | 2013-12-04 | 2019-08-06 | Radware, Ltd. | Method and system for configuring behavioral network intelligence system using network monitoring programming language |
| US9288290B2 (en) * | 2013-12-10 | 2016-03-15 | Cisco Technology, Inc. | Interactive dynamic ordering of deep packet inspection rules |
| US10116740B2 (en) * | 2013-12-27 | 2018-10-30 | Microsoft Technology Licensing, Llc | Peer-to-peer network prioritizing propagation of objects through the network |
| US20160088001A1 (en) * | 2014-09-22 | 2016-03-24 | Alcatel-Lucent Usa Inc. | Collaborative deep packet inspection systems and methods |
| US9667653B2 (en) * | 2014-12-15 | 2017-05-30 | International Business Machines Corporation | Context-aware network service policy management |
| US9825909B2 (en) * | 2015-01-30 | 2017-11-21 | Aruba Networks, Inc. | Dynamic detection and application-based policy enforcement of proxy connections |
| US20170317978A1 (en) | 2016-04-28 | 2017-11-02 | Microsoft Technology Licensing, Llc | Secure interface isolation |
| CN108023860B (zh) * | 2016-11-03 | 2021-01-26 | 中国电信股份有限公司 | Web应用的防护方法、系统以及Web应用防火墙 |
| US10063519B1 (en) * | 2017-03-28 | 2018-08-28 | Verisign, Inc. | Automatically optimizing web application firewall rule sets |
| US10855656B2 (en) * | 2017-09-15 | 2020-12-01 | Palo Alto Networks, Inc. | Fine-grained firewall policy enforcement using session app ID and endpoint process ID correlation |
| US11050704B2 (en) * | 2017-10-12 | 2021-06-29 | Spredfast, Inc. | Computerized tools to enhance speed and propagation of content in electronic messages among a system of networked computing devices |
| US10681006B2 (en) * | 2017-10-31 | 2020-06-09 | Cisco Technology, Inc. | Application-context-aware firewall |
| US10742607B2 (en) * | 2018-02-06 | 2020-08-11 | Juniper Networks, Inc. | Application-aware firewall policy enforcement by data center controller |
-
2020
- 2020-03-25 US US16/829,690 patent/US11303575B2/en active Active
- 2020-05-18 CN CN202010421182.5A patent/CN113452663B/zh active Active
- 2020-05-18 EP EP20175183.1A patent/EP3886392A1/en active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8612612B1 (en) * | 2011-09-28 | 2013-12-17 | Juniper Networks, Inc. | Dynamic policy control for application flow processing in a network device |
| CN105103497A (zh) * | 2013-04-11 | 2015-11-25 | 高通股份有限公司 | 应用业务配对 |
| US9894099B1 (en) * | 2013-07-12 | 2018-02-13 | Palo Alto Networks, Inc. | Automatically configuring mobile devices and applying policy based on device state |
| CN105635108A (zh) * | 2014-11-26 | 2016-06-01 | 洛克威尔自动控制技术股份有限公司 | 具有应用包分类器的防火墙 |
| CN109218280A (zh) * | 2017-06-30 | 2019-01-15 | 瞻博网络公司 | 实施数据中心中的物理和虚拟应用组件的微分段策略 |
| CN107872456A (zh) * | 2017-11-09 | 2018-04-03 | 深圳市利谱信息技术有限公司 | 网络入侵防御方法、装置、系统及计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3886392A1 (en) | 2021-09-29 |
| US20210306276A1 (en) | 2021-09-30 |
| CN113452663A (zh) | 2021-09-28 |
| US11303575B2 (en) | 2022-04-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11509534B2 (en) | Collection of error packet information for network policy enforcement | |
| US11336696B2 (en) | Control access to domains, servers, and content | |
| US9479450B2 (en) | Resolving communication collisions in a heterogeneous network | |
| EP3143714B1 (en) | Method to enable deep packet inspection (dpi) in openflow-based software defined network (sdn) | |
| US11088952B2 (en) | Network traffic control based on application path | |
| EP3399723B1 (en) | Performing upper layer inspection of a flow based on a sampling rate | |
| US10389611B2 (en) | Inserting and removing stateful devices in a network | |
| US11245668B1 (en) | Critical firewall functionality management | |
| CN113452663B (zh) | 基于应用特征的网络业务控制 | |
| US20210152525A1 (en) | Generating an application-based proxy auto configuration | |
| CN115865802A (zh) | 虚拟实例的流量镜像方法、装置、虚拟机平台及存储介质 | |
| CN107241297A (zh) | 通信拦截方法及装置、服务器 | |
| US11422845B2 (en) | Native cloud live traffic migration to counter suspected harmful traffic | |
| US9866489B2 (en) | Delayed proxy action | |
| US10645121B1 (en) | Network traffic management based on network entity attributes | |
| EP3751790B1 (en) | Network traffic control based on application path | |
| US11765090B2 (en) | Network traffic control based on application identifier | |
| US10499249B1 (en) | Data link layer trust signaling in communication network | |
| CN112702383B (zh) | 收集误差分组信息以进行网络策略实施 | |
| Vahabi et al. | FIREWORK: Fog orchestration for secure IoT networks | |
| US9553817B1 (en) | Diverse transmission of packet content | |
| Mohammed | Research on Cybersecurity Threats and Solutions in Edge Computing | |
| CN118631719A (zh) | 数据传输方法及装置、电子设备和计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |