CN115413409A - 用于网络基础设施的可编程交换设备 - Google Patents

用于网络基础设施的可编程交换设备 Download PDF

Info

Publication number
CN115413409A
CN115413409A CN202080094862.9A CN202080094862A CN115413409A CN 115413409 A CN115413409 A CN 115413409A CN 202080094862 A CN202080094862 A CN 202080094862A CN 115413409 A CN115413409 A CN 115413409A
Authority
CN
China
Prior art keywords
network
switching device
programmable switching
programmable
controller
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202080094862.9A
Other languages
English (en)
Inventor
詹姆士·基里安尼斯
敏·基里安尼斯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Amina Systems Co ltd
Original Assignee
Amina Systems Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Amina Systems Co ltd filed Critical Amina Systems Co ltd
Publication of CN115413409A publication Critical patent/CN115413409A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/60Software-defined switches
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0813Configuration setting characterised by the conditions triggering a change of settings
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/084Configuration by using pre-existing information, e.g. using templates or copying from other elements
    • H04L41/0843Configuration by using pre-existing information, e.g. using templates or copying from other elements based on generic templates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0893Assignment of logical groups to network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0894Policy-based network configuration management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/16Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/20Arrangements for monitoring or testing data switching networks the monitoring system or the monitored elements being virtualised, abstracted or software-defined entities, e.g. SDN or NFV
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/20Support for services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/25Routing or path finding in a switch fabric
    • H04L49/253Routing or path finding in a switch fabric using establishment or release of connections between ports
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Artificial Intelligence (AREA)
  • Medical Informatics (AREA)
  • Evolutionary Computation (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • General Business, Economics & Management (AREA)
  • Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)
  • Programmable Controllers (AREA)
  • Time-Division Multiplex Systems (AREA)
  • Logic Circuits (AREA)

Abstract

网络基础设施内的可编程交换设备,包括至少一个端口;以及以通信方式耦接到所述至少一个端口的至少一个可编程滤波器,其中,所述至少一个可编程滤波器被配置为基于定义规则集允许/拒绝数据包发送到或发送自与所述至少一个端口连接的联网设备。

Description

用于网络基础设施的可编程交换设备
相关申请的交叉引用
本申请要求于2019年12月10日提交的题为“用于网络基础设施的可编程交换设备”的第16/709,444号美国专利申请的权益和优先权,其公开内容通过引用整体并入本文。
背景技术
网络是由数据或电信结构的各种基础设施元素链接在一起的互连的计算机系统组。具体而言,此基础设施是指其各个部件及这些部件的配置(即从单个联网计算机到路由器、电缆、无线接入点、交换机、主干网、网络协议和网络访问方法)的组织。基础设施可以是开放的,也可以是封闭的,例如互联网(Internet)的开放式架构或专有内部网(PrivateIntranet)的封闭式架构。它们可以通过有线或无线网络连接或两者的组合来进行操作。
最简单的网络基础设施形式通常包括一台或更多台计算机、网络或互联网连接以及交换机,该交换机用于将计算机链接到网络连接,并将各种系统连结至彼此。该交换机仅链接计算机,但不限制至或来自任何一个系统之间的数据流。路由器可用于互相链接的网络,并根据每个网络的规则为数据交换提供通用语言。路由器可以控制或限制网络之间的访问,并约束数据流。
办公室内部网(Office intranets)与全球互联网类似,但办公室内部网在只有其内部人员才能访问的封闭网络基础设施上运行。办公室内部网系统通常由中央数据存储单元组成,该单元可以包括一台或更多台被称为服务器的计算机,以及以太网网络布线、无线接入点、路由器、交换机和可以访问中央数据存储单元的各台计算机。各个计算机可以通过布线或无线接入连接到网络。然后,路由器和交换机可以确定每台计算机的访问级别,并充当流量导向器(traffic director),将每台计算机指向服务器上的中央数据存储单元。当单个计算机发送或接收数据时,路由器和交换机协同操作,以确保数据到达恰当的位置。
在构建网络基础设施时,网络安全通常是首要考虑的问题。防火墙是计算机系统或网络的一部分,其旨在阻止未经授权的向内访问,同时允许向外通信。大多数架构使用专用防火墙或带有内置防火墙的路由器,以及控制用户访问、执行数据包监控并限制对已定义协议和网络服务的访问的软件。还可以通过调整各个系统上的网络共享属性来控制安全性,这些属性限制网络上其他用户可以看到的文件夹和文件。
整个网络基础设施相互连接,可用于内部通信、外部通信或两者兼有。典型的网络基础设施包括:联网硬件(例如路由器、交换机、基于硬件的防火墙、局域网(Local AreaNetwork,LAN)卡、无线路由器、电缆等),联网软件(例如,网络运营和管理、操作系统、基于软件的防火墙、网络安全应用程序等)和网络服务(例如,通信链路、互联网、卫星、无线协议、IP寻址(Internet Protocol Addressing)等)。
网络基础设施的第1层定义了用于激活、维护和停用在终端系统之间的物理链路的电气、机械、程序和功能规范。一些常见的例子是以太网段和商业链路,如同步光纤网络(Synchronous Optical Network,SONET)、光纤和宽带。这些第1层网络设备发送数据,但这些设备不管理流经它(例如以太网光纤收发器)的任何流量。换句话说,任何进入端口的数据包无需任何额外的处理就传递到了输出端口。
第2层定义了如何格式化数据以进行发送,以及如何控制对物理介质的访问。第2层网络设备可以提供网络设备和物理介质之间的接口,例如,安装在主机、路由器或交换机上的网络接口控制器(Network Interface Controller,NIC)。第2层网络设备可以是使用硬件地址,例如媒体介入控制层(Media Access Control,MAC)地址,在数据链路层(第2层)处处理和转发数据的多端口设备。作为第2层网络设备运行的交换机可以互连家庭或办公室中的设备,缓冲传入的数据包并调整发送速度。
局域网交换是数据网络中使用的数据包交换的一种形式。LAN交换技术对网络设计至关重要,因为它们允许只将流量发送到其预期目标,而不是将流量发送到网络上的所有主机。LAN交换可以使用不同类型的网络交换机,交换机之间的互连可以使用生成树协议(spanning tree protocols,STP)等进行调节。
在使用中,计算机和其他网络设备可以通过网络交换机经由有线或无线连接进行互连。这些交换机可以细分为更小、独立的交换机,以创建虚拟局域网(Virtual LocalArea Network,VLAN)。传统交换机不会对同一VLAN上网络设备之间的网络通信强制实行安全控制。换句话说,LAN上的所有设备都可以自由地相互通信。
第3层使用可以跨越地理上分离的网络的协议,提供两个主机系统之间的连接和路径选择。就主机而言,这是数据链路层(第2层)、网络操作系统(Network OperatingSystem,NOS)的上层和与之通信的主机上的相应层之间的链接。路由器使用诸如网际互连协议(Internet Protocol,IP)等协议在LAN(第2层)之间建立第3层链路。
第3层交换机通常支持交换机上配置的VLAN之间的IP路由(IP Routing)。一些第3层交换机支持路由器用来在网络之间交换信息的路由协议。总的来说,由于路由器可以互连多个LAN,在第3层处运行,因此能够将网络规模扩展到每个LAN允许的约250个联网设备之上。路由器还可以将LAN与广域网(Wide Area Network,WAN)互连,例如远程建立的链接、至云服务的连接和互联网。
路由器的主要功能是引导各种网络(LAN、WAN等)之间的流量。路由器通常具有一些基本的网络过滤功能来控制网络之间的流量,但不能过滤其网络内的流量。
防火墙互连至在第3层(网络地址)、第4层(网络连接)和上层(应用程序)处运行的网络。防火墙的主要功能是检查或控制(例如,允许/拒绝)网络之间的流量。防火墙无法过滤网络中的流量。
发明内容
本公开技术是一种可编程交换设备,所述可编程交换设备包括单独的可编程端口。这些单独的可编程端口在每个单独的交换机端口处实施安全控制。这些单独的可编程端口过滤传入数据和传出数据,以拒绝任何未经授权的访问进出网络上的任何联网设备。换言之,本公开技术的可编程交换设备能够控制LAN(或VLAN)内和进出LAN(或VLAN)的网络流量,并且可以保护每个联网设备免受其网络内每个其他联网设备的影响,同时允许预期的联网设备在LAN(或VLAN)上彼此私人通信。因此,可编程交换设备可以在开放LAN上创建真正的网络隔离。
本公开技术的可编程交换设备可与网络控制器一起使用,该网络控制器允许网络经由白名单模型通过例如软件定义网络(Software Designed Networking,SDN)技术而具有诸如自动化操作、行为网络流量模式(traffic pattern)的学习和安全控制的应用等特征。它还可以具有SDN性能,该性能使得可编程交换设备能够响应于安全威胁而实时地动态编程,并自主应对未经授权的活动。
支持SDN的基础设施还提供了有源安全编程接口,该有源安全编程接口使网络控制器能够实时查询基础设施的操作参数,并将编程发送到可编程交换设备,以响应于新的状况动态改变其端口操作。网络控制器还可以以传统网络无法实现的规模和速度,以及使用外部数据源(外部数据库、遥测数据等)来管理网络的运行,其中传统网络设备无法获取该外部数据源以进行处理。
本公开技术的可编程交换设备还允许网络具有独特的软件功能,例如,自动网络流(network flow)发现、LAN设备识别、流批准和授权过程、安全控制、保护LAN设备的逻辑、未授权出站流的自动检测、基于所需安全控制的可编程交换设备的自动编程,以及设备联合和虚拟化等。
在一个实现中,可编程交换设备可以包括至少一个端口和至少一个通信地耦接到至少一个端口的可编程滤波器,其中,所述至少一个可编程滤波器配置为基于定义规则集允许/拒绝数据包发送到或发送自与至少一个端口连接的联网设备。
在一些实现中,控制器可以将定义规则集发送到至少一个可编程滤波器。在一些实现中,控制器可以是以通信方式耦接到可编程交换设备的网络设备。
在一些实现中,控制器可以是由防火墙保护的支持SDN的设备。在某些实现中,控制器可以是运行在安全计算机上的应用程序。在一些实现中,应用程序编程接口可以将控制器链接到可编程交换设备。
在一些实现中,控制器可以嵌入到所述可编程交换设备中,并将所述定义规则集发送到所述至少一个可编程滤波器。在一些实现中,该嵌入式控制器可以通过应用程序编程接口(Application Programming Interface,API)控制两个或更多个可编程交换设备。
在一些实现中,报告模块可以配置为向控制器发送诸如网络、主机或数据流特性的遥测数据。在某些实现中,控制器可以分析遥测数据,并根据分析结果自动更新定义规则集。
在一些实现中,定义规则集由网络管理员配置。在一些实现中,定义规则集由机器学习或人工智能(Artificial Intelligence,AI)技术配置。在某些实现中,定义规则集通过自动化配置。
在一些实现中,识别模块可以为可编程交换设备和网络提供识别协议。
在一些实现中,数据封装模块可以配置为从可编程交换设备接收和向可编程交换设备发送数据。在一些实现中,至少一个端口可以是有线连接点。在一些实现中,至少一个端口可以是无线连接点。在一些实现中,至少一个端口可以是另一种类型的联网端口,例如串行接口。
在另一个实现中,网络基础设施可以包括至少两个可编程交换设备,所述至少两个可编程交换设备中的每一个可编程交换设备具有至少两个端口,每个端口以通信方式耦接到至少一个可编程滤波器;以及控制器,所述控制器以通信方式耦接到所述至少两个可编程交换设备,其中,所述控制器将定义规则集植入到所述至少一个可编程滤波器,所述可编程滤波器以通信方式耦接到所述至少两个可编程交换设备的每个端口。
在一些实现中,定义规则集可以允许/拒绝向联网设备发送的或从联网设备发来的数据包,联网设备以通信方式耦接到至少两个可编程交换设备的至少两个端口之一。在某些实现中,网络管理员可以配置定义规则集。在一些实现中,可以通过机器学习或人工智能(AI)技术配置定义规则集。在某些实现中,可以通过自动化配置定义规则集。
在一些实现中,报告模块可以配置为向控制器发送诸如网络、主机或数据流特性的遥测。在某些实现中,控制器可以分析遥测,并根据分析自动更新定义规则集。
附图说明
图1是本公开技术的可编程交换设备的框图;
图2是本公开技术的可编程交换设备的说明性示例;
图3是描述使用本公开技术的可编程交换设备将数据包从联网设备发送到网络的流程图;
图4是描述使用本公开技术的可编程交换设备将数据包从网络发送到联网设备的流程图;
图5是本公开技术的可编程交换设备与嵌入式控制器的实现的框图;
图6是本公开技术的可编程交换设备的无线实现的框图;以及
图7是利用本公开技术的可编程交换设备的网络的说明性示例。
具体实施方式
办公室内部网与全球互联网类似,但办公室内部网运行在封闭网络基础设施上,只有其中的人员才可以访问。运营技术(Operational Technology,OT)和物联网(Internetof Things,IoT)设备运行在这些内部网上,并大量存在于建筑物的物理基础设施中。然而,这些设备安全性差,很少针对安全缺陷进行更新,需要网络和互联网访问来运行,并代表了诸如但不限于建筑管理系统、物理安全系统、视听系统等系统的巨大的安全目标。
黑客以这些设备为目标,将恶意软件注入网络,从而例如修改建筑物的安全功能,从而造成生命安全风险;以公司服务器为目标,以捕获敏感数据或将公司网络用作其他攻击的发动点。
传统网络安全主要依靠防火墙作为不安全(“外部(outside)”)网络(即互联网)和安全(“内部(inside)”)网络之间的边界。在这些安全的网络中,网络流量流沿通常被称为“南-北”的方向行进,即北向流流向外部,例如互联网。相反,内部网络内或遍及内部网络的流沿“东-西”行进。
与这些传统网络一起使用的防火墙通过管理员安装的安全策略“规则”来过滤流。这些规则以通常被标识为访问控制列表(Access Control list,ACL)的人类可读形式来表示,访问控制列表指定了滤波器属性以及当数据包与属性匹配时所采取的操作。在使用中,防火墙以“状态化(stateful)”的方式运行,以控制哪些流进入安全网络。防火墙可以允许来自外部客户端的传入“南向(South-bound)”流访问公司安全网络上的“面向互联网”服务器(例如,公司网站)。防火墙还可以响应于从网络内部发起的连接(例如,台式计算机访问网站或视频服务)而允许南向流进入安全网络。这些“状态化”防火墙可以跟踪离开安全网络的每个“北向(North-bound)”流,以便只允许对返回的响应。然而,通常很少或甚至没有对北向流的控制,以限制哪些通信可以退出网络。简单来说,现代防火墙就像堡垒周围的护城河,在网络的周边(“边缘(Edge)”)处提供边界;规则是堡垒大门处的守门人对可能进入的人进行筛选。
在这些传统的安全网络上可以安装多个防火墙,为黑客创造了多个需要克服的边界。例如,防火墙可以放置在互联网边缘、数据中心边缘、WAN(广域网)边缘等处。现代服务器通常也在其操作系统中运行防火墙。不同制造商和类型的各种防火墙之间的协调非常困难。这种补丁系统会在整体网络安全态势中造成漏洞,从而导致网络和系统漏洞。
问题案例A
创建可靠的防火墙规则及其持续管理是一项重大挑战,在用于保护企业网络的现代防火墙中配置为的规则数量之多更是加剧了这一挑战,这些规则的数量可以达到数万条或更多。防火墙规则的排序和在整个序列中按位置适当插入新规则可能会影响其他规则(以及网络的安全态势),也会影响插入的新规则的有效性。因此,在这种类型的系统中,由试图对未完全理解的应用程序和系统的通信进行控制的个人执行创建防火墙规则既繁琐又容易出错。此外,防火墙规则的传统“黑名单”方法通常是由管理员认为是恶意或不想要的进入安全网络活动而创建的主观列表,并且默认情况下允许所有其他通信进入。这类似于守门人允许所有人进入堡垒,但被认为是坏人的人除外。这种方法风险很大,因为未能阻止甚至一个恶意流也会让黑客进入安全网络。当安全问题在互联网上还不那么普遍时,“黑名单”是一种规范,这种技术多年来一直存在,因为网络管理员不愿意破坏这些复杂防火墙规则的脆弱序列,这些规则在几代网络运营人员中不一定得到很好的理解。
“白名单”方法被视为“最佳实践”,但由于上述原因,这种方法并不常见。这种方法只允许所需的传入通信进入安全网络,并且默认情况下会阻止所有其他通信。这类似于守门人不允许任何人进入堡垒,除非他们明确符合进入标准。这种方法更安全:一个关键的好处是,解释流失败时会导致拒绝访问安全网络。
这种白名单方法的开发和维护也具有挑战性,因为它需要详细了解网络上的所有应用程序和系统。例如,一些规则将永远保留在防火墙中,因为管理员担心删除可能影响生产服务的旧规则,因为无法容忍可能影响企业运营的技术中断。这允许漏洞随着应用程序的退役和新系统重用具有不同安全需求的旧网络地址而发展。
问题案例B
如上所述,防火墙可以在网络边缘处运行。一旦黑客进入安全网络,就有在网络上横向移动(“东-西”)的很大自由以危害其他系统和应用程序。一旦系统遭到破坏,网络就无法限制离开网络并过滤敏感数据或用于对其他网络进行攻击的流。公司丢失信用卡、社会安全号码(Social Security number,SSN)、医疗或其他个人识别信息(PersonallyIdentifying Information,PII)数据、公司资产和其他机密信息的普遍性就是这一重大漏洞的证明。黑客利用受损系统跳位穿过多个网络以掩盖其位置。黑客利用受损系统中的漏洞,使用系统自己的软件攻击其他网络。黑客可以将其出站流伪装成web客户端,并加密其通信。译解哪些出站流是合法的并随后控制它们是很困难的。
随着基于云的服务的激增,几乎不可能知道哪些互联网(IP)地址目标是合法的。黑客还将互联网(IP)地址目标操作基地定位在相同的云服务中,使其很难被检测到。出站流的数量和复杂性是压倒性的,因为出站发起的合法流通常远多于入站发起的合法流。与应用程序或设备的出站流相比,制造商更好地记录了入站流,这使问题更加复杂。因此,在合法出站流的涌出中,恶意出站流很容易被忽视。
例如,在某些情况下,一些联网产品越来越依赖出站流和互联网接入,以便向它们的制造商提供“背景连线通讯(phone home)”以获得支持,并与具有基于云的技术和服务的更大生态系统集成(即,平板电视联系其制造商以获取软件更新、使用数据和统计数据;电视上的应用程序访问视频网站YouTube、网飞(Netflix)等)。在一些情形下,甚至“背景连线通讯”功能也可能是不可取的,因为它可能泄露敏感数据或个人的行为信息。
问题案例C
了解和控制台式电脑和笔记本电脑的网络使用是很容易理解的并且可以对其进行管理。然而,移动设备和物联网(IoT)设备没有理解和控制其在网络中的活动所需的诊断接口和支持。例如,运营技术(OT)(以及物联网(IoT))极易受到基于北-南和东西向的攻击,并且由于缺乏足够的仪器,因此很难确保安全。
在后台,OT可以为设施运营和安全提供关键支持,例如照明、暖通空调(Heating,Ventilation and Air Conditioning,HVAC)、电厂/发电机、监控相机、安全访问、会议室系统和显示器、电梯、打印设备、洗衣系统、自动售货机、销售点系统、车辆、飞机等。历史上,这些设备是硬连接到控制系统的,但将OT设备链接到网络更具成本效益,能够实现更大的跨技术集成,并为其制造商提供“背景连线通讯”支持。
然而,许多大型制造商经过几十年的OT产品开发,在网络技术和安全方面并不熟练。这些制造商通常将安全性视为网络管理员需要解决的问题,而OT设备本身几乎没有内置安全性。例如,OT技术通常不支持基本的企业级安全技术,例如用于接入网络的单个设备的认证(即802.1x协议、WPA2企业、基于证书的认证等)。也几乎不支持基于网络的诊断和了解网络上OT设备的实时行为。此外,OT设备的“背景连线通讯”功能通常由昂贵的支持合同强制执行,迫使互联网技术(Internet Technology,IT)部门为OT设备提供互联网接入。
此外,由于制造商转向下一个研发(research and development,R&D)项目,OT系统的软件和安全更新的持续开发往往受到限制,要求客户升级以获得新功能。购买新产品以解决安全缺陷的负担使具有网络漏洞的传统关键技术长期存在。平板电视和家用路由器等日常技术很容易受到影响,因为它们没有进一步的软件或安全更新,在1-2年内就会过时。在大型网络上存在成千上万的此类设备,通常在生产年份(vintage)、软件版本、配置和安全状态方面有所不同。OT是一个相当大的安全目标,因为它们相对容易受到攻击,并且“黑客”可能会对公司产生负面影响。
为了克服上述问题,开发了一种可编程交换设备,所述可编程交换设备包括可单独编程的端口集合,但可以协调为一个统一、连贯的系统。现在,网络中的每个端口都可以使用自己的单独访问规则对其进行保护,同时在整个网络中整体协调这些规则,以使用访问规则范式建立基于安全的分段模型或基于安全的隔离模型。这种可编程交换设备可以进一步与SDN和自动化相结合,从而使任何未经授权的访问几乎不可能进入或离开任何联网设备。
如图1所示,本公开技术的可编程交换设备10可以包括处理器12、存储器14、识别模块15、应用程序编程接口(API)16、报告模块17、数据封装模块18、输入/输出(Input/Output,I/O)网络端口20a-p和可编程滤波器22a-p。
输入/输出网络端口20a-p可以是任何类型的常规输入/输出端口20a-p,其允许任何类型的联网设备(路由器、交换机、计算机、物联网设备等)连接到可编程交换设备10,以便数据可以传入网络基础设施、传出网络基础设施和在网络基础设施内部传递。输入/输出网络端口20a-p可以配置为在各种模式下操作,例如,开放、学习、批准、限制和状态化(这可能需要可编程交换设备内的状态化防火墙机制)。
每个输入/输出网络端口(端口20a-p)可以以通信方式耦接到自己的单个可编程滤波器22a-p。可编程滤波器22a-p可以通过网络控制器(详细描述如下)使用定义规则集进行设置,这些规则可以控制联网设备在网络内的交互。定义规则集可以由网络管理员、机器学习或人工智能(AI)技术、自动化或任何其他常规方法设置。在一些实现中,这些规则可以以人类可读的形式表示为访问控制列表(ACL)。
在一个实现中,定义规则集可以使用以下一个或更多个来定义:(1)流策略模板(Flow Policy Template,FPT),所述流策略模板是控制联网设备使用网络的访问规则集,(2)流策略段(Flow Policy Segment,FPS),所述流策略段是控制网络上联网设备集合的访问范围的FPT集合;(3)流策略组(Flow Policy Group),所述流策略组是IP连接在FPS内具有FPT的联网设备集合,即在同一FPS内共享IP连接的联网设备集合。其他类型的定义的规则模板也在考虑之中。
在一些实现中,定义规则集可以存储在存储器14上,并用可编程交换设备10的处理器12实现,因此可编程滤波器22a-p可以根据需要访问存储器和处理器。在其他实现中,可编程滤波器22a-p可以具有其自己的数据存储、处理、记录或统计能力。
在一些实现中,可编程交换设备10可以包括API 16。API 16可以是链接可编程交换设备10和控制器50的任何类型的接口或通信协议,以便控制器50可以为每个单独的可编程滤波器22a-p将定义规则集发送到可编程交换设备10,收集报告数据,并以其他方式管理和操作可编程交换设备。
当允许主机及其数据流访问网络时,使用处理器12和存储器14的数据封装模块18可以根据联网设备的请求封装和发送数据。在一些实现中,数据封装模块可以独立于处理器自主操作,并通过API直接编程。此外,当数据从网络进入可编程交换设备时,使用处理器12和存储器14的数据封装模块18可以接收和保留数据,直到给出访问权限以允许将数据发送到联网设备。换句话说,当交换机接收数据时,交换机内的数据流会暂时停止。一旦数据流被批准,数据流就被允许流向预期的联网设备。
可编程交换设备10还可以使用报告模块17从经过可编程交换设备10的数据中收集数据流特性。然后,这些数据流特征可以通过API模块16转发给控制器50,以便可以对数据流特征进行分析,例如,访问实时威胁并学习给定端口的典型数据流类型,或识别异常网络行为。例如,可以生成分析属性和结果的日志,并可选地在可编程交换设备内记录和/或发送到控制器。还可以记录诸如匹配/非匹配计数的统计信息。
可编程交换设备10还可以包括识别模块15。识别模块15可以包括可编程交换设备10的唯一身份标识(identity document,ID)。在使用中,控制器50(如图2所示)将在任何可编程交换设备10连接到网络之前获得唯一ID。如果可编程交换设备连接到网络,但该设备具有控制器50无法识别的ID,则新连接的交换设备将无法连接到网络,并且可以发出警报。该识别机制可以通过安全过程进行保护,例如加密和/或基于密钥的机制。
在图2中,可编程交换设备28包括输入/输出网络端口41-48。在该实现中,使用了八个端口,但可以使用任意数量的端口,例如,大型交换设备可以配置数百个端口。这些输入/输出网络端口41-48中的每一个都可以以通信方式耦接到单个联网设备30-36(例如,端口41连接到控制器,端口42连接到安全设备30,端口43、44、47连接到安全相机31、32、35,端口45、46和48连接到计算机33、34、36)。
与每个端口41-48相关的可编程滤波器22a-p可以从控制器50编程。在一些实现中,控制器50可以是外部控制器或独立控制器。在其他实现中,控制器可以嵌入到可编程交换设备上,详细描述如下。
在一些实现中,控制器50可以是,例如,任何类型的支持SDN的控制器(其他类型的控制器也在考虑之中)。支持SDN的控制器可以连接到网络,并通过防火墙进行保护,或者可以有专用线路连接到可编程交换设备。支持SDN的控制器50和可编程交换设备28通过有源的、安全的编程接口进行通信,该编程接口使控制器50能够实时或接近实时地与网络基础设施交互以获取其操作参数,并向可编程交换设备发送规则更改,从而响应于新的状况(例如,恶意软件攻击)而动态地改变其操作。这允许控制器50以传统网络不可能的规模和速度来管理网络的操作。在一些实现中,可以在公开的网络上实现传统网络不可用的外部数据源,例如外部数据库、遥测数据等。
如图2所示,联网设备30-36可以与通过控制器50设置的FPT规则60-63相关联。例如,可以授予安全设备30向相机31、32、35和管理站36发送数据的权限(FPT规则60),并且可以授予管理站36和相机31、32、35向安全设备30发送数据的权限(FPT规则61),台式计算机33可以发送到台式计算机34(FPT规则62),台式计算机34可以发送到台式计算机33(FPT规则63)。(请注意,其他规则及其变体可应用于每个端口的滤波器,以进行入站和出站控制。)
图3是显示如何接收来自受保护联网设备的数据包的流程图。在步骤1中,数据包从受保护的联网设备发送。在步骤2中,将数据包输入到可编程交换设备的网络端口。然后,步骤3,将数据包与与联网设备相关联的可编程滤波器相关联。步骤4,使用与该网络端口滤波器相关联的FPT规则对数据包执行分析。步骤5,做出关于数据包发送的决定。步骤5a,如果数据包在FPT规则的参数范围内,则允许数据包访问网络。然后,步骤6a,将该数据包发送到网络。步骤5b,如果数据包不在FPT规则的参数范围内,则拒绝数据包对网络的访问。在步骤6b,阻止数据包发送。
图4是显示如何接纳从外部源接收的数据包的流程图。在步骤10中,将数据包发送到可编程交换设备。在步骤11中,确定数据包指向哪个网络端口。步骤12,数据包与关联于所确定的网络端口的可编程滤波器相关联。步骤13,使用与该网络端口滤波器相关联的FPT规则对数据包执行分析。做出关于数据包发送的决定。(步骤14)。如果数据包在FPT规则的参数范围内,则允许将数据包发送到目标联网设备(步骤15a)。步骤15b,如果数据包不在FPT规则的参数范围内,则拒绝数据包对目标联网设备的访问。
如图5所示,可编程交换设备150可以包括嵌入式控制器。可编程交换设备150可以包括处理器152、存储器154、识别模块155、控制器156、报告模块157、数据封装模块158、,输入/输出网络端口160a-p和具有日志记录和统计功能的可编程滤波器162a-p。具有嵌入式控制器156的可编程交换设备150以类似于可编程交换设备10的方式工作,其中接收和发送的数据包受上述FPT规则的约束。在一些实现中,嵌入式控制器可以通过其API控制一个或更多个可编程交换设备。
嵌入式控制器156可以通过例如网络接口或运行虚拟控制应用程序的物理联网设备来访问,以设置定义的规则并管理可编程交换设备。
图6显示了本公开技术的无线可编程交换设备110的实现。无线可编程交换设备110可以包括处理器112、存储器114、识别模块115、API 116、报告模块117、数据封装模块118、,输入/输出网络端口120a-b和具有日志记录和统计功能的可编程滤波器122a-b。无线可编程交换设备110以与可编程交换设备10类似的方式工作,其中无线接收和发送的数据包受如上所述的FPT规则的约束。在一些实现中,无线可编程交换设备110可以包含嵌入式控制器156,如编程交换设备150中所示。
一旦将定义规则集配置到本公开技术的可编程交换设备中,就几乎不可能对联网设备进行未经授权的访问,因为每个联网设备都是基于授权访问模型完全隔离的,这在其他网络技术中是不可能的。
本公开技术的可编程交换设备的独特特征可以包括:(1)基于联网设备的IP和MAC地址的LAN防火墙方法,(2)通过共享LAN上的安全控制进行基于流策略的分段,(3)基于SDN的LAN控制,例如,基于交换机或控制器的策略管理,(4)自动流检测和流策略模板创建,(5)流接受和管理,(6)防止不必要的出站(北向)流和潜在的数据泄漏,以及(7)跨单个或多个LAN(或VLAN)的分布式防火墙策略。
本公开技术的可编程交换设备还能够在联网设备的源IP地址(IPv4或IPv6)和MAC地址上操作,并用作其他LAN联网设备不可见的透明第2层设备。在一些实现中,可编程交换设备还可以透明地操作网络帧报头、数据包报头或网络帧或数据包的内容的其他元素。
本公开技术的可编程交换设备还可以通过源和目标IP和/或MAC地址创建防火墙策略,该MAC地址允许在LAN内以及LAN(或VLAN)之间创建流策略段(FPS)。本公开技术的可编程交换设备可以进一步在LAN上或跨LAN(或VLAN)的联网设备之间创建基于防火墙的封闭通信路径。例如,流策略段可以允许从单个源地址或IP地址块到单个目标地址或IP地址块的流,可选地具有附加属性,例如但不限于协议类型和端口号。在其他实现中,FPS可以通过联邦在两个或更多个可编程交换设备之间应用,详细描述如下。
与具有相对较少端口和非常大的规则集的传统防火墙相比,本公开技术的可编程交换设备可以利用较小的防火墙规则集,这些防火墙规则集可以分布在更广泛的网络端口上,并应用于各个网络端口上的所有联网设备或指定的联网设备IP地址。
本公开技术的可编程交换设备可以进一步依赖SDN来动态识别、跟踪和创建策略,以通过创建流策略模板来约束网络流,然后可以将流策略模板应用于联网设备的IP地址。SDN还使流策略模板能够设置白名单规则并管理其操作,详细描述如下。
流策略模板及其底层访问控制列表的模板类型方法还使可编程交换设备能够将诸如替换和处理逻辑等操作应用于流配置文件模板(Flow Profile Templates)及其访问控制列表的元素和属性,从而应用于端口滤波器,以创建独特的动态和适应性网络访问范式。根据不断发展的安全策略的动态需求,可以利用诸如节点标识(NodeID)、帧或数据包头和内容、实时网络流数据和来自外部源的数据等数据,调整流策略模板、流策略段和流策略组的特征和行为。使用一种语言,通过使用包括例如模式匹配、替换、算术运算、比较和处理逻辑的操作,促进这些动态调整的应用。
本公开技术的可编程交换设备还可以在集中或分布式配置下运行,交换机用作控制器或专用控制器。
本公开技术的可编程交换设备也可以作为传统交换机(非防火墙)或以可编程模式运行。可编程交换设备的全局设置可用于强制所有端口以可编程模式运行,以避免安全状态中出现缺口。在某些实现中,需要混合配置,端口组合在任一模式下运行。
本公开技术的可编程交换设备及其控制器可以识别网络上的新流并使用诸如源和目标地址、协议和端口号等属性表征流的性质,例如:内部到(或从)外部、内部到内部或外部到外部。在一些实现中,可编程交换设备还可以表征网络帧报头、数据包报头或网络帧或数据包的内容的其他元素。
如果检测到联网设备的新流,可以根据配置的策略触发警报,以允许、拒绝或等待批准。此外,所有流都可以在流策略模板中注册,“开放”端口可以使用允许“任意对任意”流的流策略模板进行操作。
本公开技术的可编程交换设备及其控制器可以对与策略模板不一致的异常流量模式生成警报,并可能指示恶意或不期望的活动。例如,联网设备生成的动态流数量过多,无法受具有可扩展、有限数量规则的策略模板约束,将触发回退到传统状态化防火墙方案,或向网络管理员发送音频或书面警报。
可以基于流接受模型创建流策略模板,例如,(1)“开放模式”——允许所有流(2)“学习模式”——控制器允许并跟踪通过该端口的所有流,并开发描述流量的流策略模板,(3)“批准模式”——在允许所有新流通过端口并进入联网设备之前,必须手动批准这些新流,从而手动创建流策略模板,(4)“限制模式”——流策略模板处于激活状态并限制交换机端口上的流量的正常操作,以及(5)“状态化模式”——允许所有状态化的出站流;拒绝所有具有已批准异常的非状态入站流。其他模式也在考虑之中。
在一种实现中,白名单模型只能允许流策略模板明确允许的流。不允许出现在流策略模板中的流进入流策略段,从而防止诸如网络扫描或攻击的不希望有的入站流量。不允许出现在流策略模板中的流离开流策略段,从而防止诸如网络扫描、攻击、尝试与其他软件集成或联系第三方的不希望有的出站流量。此实现仅允许符合流策略模板的出站流,从而防止数据泄漏到流策略段之外。
在另一种实现中,运营技术(OT)和物联网(IoT)设备典型缺乏企业级功能,无法安全登录和访问网络。此类联网设备只能由具有例如MAC地址、IP地址(IPv4或IPv6、无类别域间路由(Classless Inter-Domain Routing,CIDR)表示法)或其组合的NodeID的网络进行识别。本公开的技术可以使用两个唯一参数定义网络位置标识(locationidentification,LocID),例如联网设备的附加设备,例如网络交换机或无线接入点(Wireless Access Point,WAP),以及连接标识符,例如网络交换机上的端口或无线关联ID。在这种情况下,LocID可以等于(交换机ID+交换机端口)或(WAP+无线关联ID)等。这些网络位置标识符指定为网络上的所有联网设备建立位置,例如,LocNodeID=LocID+NodeID
在使用中,当交换机跨企业联合时,网络可以在其拓扑中识别NodeID和LocNodeID。使用这些指定,新的公开技术允许安全策略跨越整个网络。例如,可以创建虚拟拓扑(virtual topology,vTopology),允许在物理基础设施集合上创建多个拓扑,创建可以跨越一个或更多个物理可编程交换设备的虚拟交换机结构,或者针对不同用例(例如,管理域)将可编程交换设备分组在一起。正在考虑使用其他虚拟拓扑。虚拟化网络拓扑中的联网设备位置可以是例如(vTopLocID=vTopologyID+LocID)或(vTopLocNodeID=vTopologyID+LocNodeID)。
此外,联网设备在网络上的行为可以通过其独特的以数据流经其连接的可编程交换设备的方式发送来表征。联网设备的流集合可以由软件定义网络(SDN)技术表征,并表示为流策略模板(FPT)。例如,如上所述,运营技术(OT)和物联网(IoT)设备通常不会生成大量独特的动态流,而是生成有限数量的重复流:例如,到管理系统、制造商的服务器或类似设备之间等。这些流量模式可以通过SDN技术学习、表征、模板化和编程到公开技术的可编程交换设备中。换句话说,与人们使用的交互设备(例如台式机、笔记本电脑、手持设备)相比,表征由操作技术(OT)和物联网(IoT)设备生成的流模式(flow pattern)相对容易,因为它们的流类型在数量上是有限的,其中流模式要复杂得多。
此外,相互通信的联网设备可以共享公共流策略模板或互相链接的不同流策略模板的部分。每个联网设备的网络位置ID(vTopLocNodeID)都可以链接到FPT,FPT包含入站和出站访问控制列表。FPT的访问控制列表是,例如,白名单,指定允许和拒绝其他所有流量。
流策略模板可以构造为指定:FPT ID、方向(入站或出站,因为每个连接的联网设备必须两者都有)、链接的FPS(该FPT链接到的FPS ID)、源(vTopLocNodeID,并且必须是入站FPT上链接的联网设备)、协议(IP协议类型),端口(端口号或协议子标识符,对于动态客户端端口号可以是动态的)、目标(vTopLocNodeID,并且必须是出站FPT上的目标联网设备),动作(对该流采取的动作,可以包括允许/拒绝或软件定义(SDN控制))和默认最终规则(无法删除——拒绝从所有联网设备到所有联网设备的流量(强制白名单))。其他动作和FPT元素也在考虑之中。
所有新连接的联网设备(或联网类型的设备)可以具有初始FPT,其模板设置为所需策略,该策略允许对类似设备的类别进行模板化安全控制,例如,包含与所需策略链接的FPS ID的FPT的应用。
在另一个实现中,流策略模板(FPT)可以链接到联网设备的NodeID。该FPT可以在整个网络中跟踪计算机或联网设备。在该实现中,尽管编程滤波器应用于交换机上的端口,受保护的联网设备在给定时刻连接到该端口(或计算机正在维护的无线关联/连接),如果受保护的联网设备与交换机上的一个端口断开连接,并移动到同一个或不同交换机上的另一个端口(或者如果受保护的计算机从一个房间无线移动到另一个房间,并切换到另一个WAP),则FPT中该联网设备的规则可以应用于其新端口。也就是说,FPT可以从原始交换机端口转移到新端口(或从原始无线关联ID转移到新的无线关联ID)。FPT的转移可以由控制器完成,因为控制器对网络上的所有交换机(或WAP)进行监督。在此实现中,交换机(或WAP)还可以智能地提醒控制器受保护的计算机已移动,并可以在新端口(或无线关联)上接受FPT滤波器的编程。
通过在一个或更多个可编程交换设备上应用流策略模板来创建流策略段(FPS),也可以在网络上对联网设备进行隔离或分段。FPS是FPT的集合,这些FPT相互链接以创建整体的网络策略,该网络策略由每个联网设备的网络连接上的访问控制列表强制执行。每个FPS都有一个入站流策略和一个出站流策略。流策略段是通过访问控制列表在所有交换机入口和出口上保护的私有通信路径,该访问控制列表反映了其FPT中表示的安全控制。除非链接到FPS的FPT明确允许,否则任何东西都不能进入或退出FPS。
流策略段可以结构化以指定FPS ID、FPS名称(32个字符的文本(无空格))、描述(255个字符的自由格式可打印文本)、拓扑ID(该FPS是其成员的vTopology ID)、FPT列表(链接到此FPS的所有FPT的列表)。FPT可以具有入站和出站方向,从而在FPS上创建双向策略。FPT可以模板化为类似联网设备的类别,例如所有联网设备、联网设备的子集或联网类型的设备。其他FPS元素也在考虑之中。
SDN技术可以学习联网设备类别的行为,并将学习或定义的FPT作为模板应用于由一个或更多个可编程交换设备组成的小型或大型网络覆盖范围内的大量类似联网设备(即视频监控相机、读卡器、楼宇传感器等)。FPT通过SDN应用于vTopLocNodeID或vTopLocNodeID的类似类别的成员,并且可以随着设备对网络使用由于更新等原因的演变而动态维护。SDN还可以用于动态确定FPT内访问规则的动作(即,允许/拒绝或软件定义)。
图7显示了利用本公开技术的可编程交换设备的网络结构200的示例。在图7中,企业网络交换设备204可以是网络结构200的第一层交换设备。企业网络交换设备204可以通信连接到端口1处的互联网202、端口2处的网络控制器206和一个或更多个第二层交换设备,例如,端口7处的混合使用交换设备220、端口6处的OT交换设备230和端口5处的混合使用交换设备240。
混合使用交换设备220可以以通信方式耦接到几种不同类型的联网设备,例如分别位于端口8、7处的台式计算机221、222和分别位于端口6、5处的安全相机223、224。OT交换设备230可以以通信方式耦接到多个建筑基础设施联网设备,例如,端口8处的物理安全控制面板231,端口7、6处的安全相机232、233,以及端口5处的HVAC管理站234。混合使用交换设备240可以以通信方式耦接到几种不同类型的联网设备,例如分别位于端口6、5处的台式计算机243、244以及分别位于端口8、7处的无线接入点241、242。无线接入点241、242可以无线连接到例如一台或更多台笔记本电脑245。
如上所述,在使用中,网络控制器可以为企业网络交换设备204、混合使用交换设备220、240和OT交换设备230的每个端口使用防火墙规则或访问控制列表对各个滤波器进行编程。
本说明书中描述的主题和操作的实施例可以在数字电子电路中实现,或者在计算机软件、固件或硬件中实现,包括本说明书中公开的结构及其结构等效物,或者在其中一个或更多个的组合中实现。本说明书中描述的主题的实施例可以实现为一个或更多个计算机程序,即计算机程序指令的一个或更多个模块,编码在计算机存储介质上,用于由数据处理装置(data processing apparatus)执行或控制其操作。替代地,或另外,可以在人工生成的传播信号(例如,机器生成的电、光或电磁信号)上编码程序指令,所述传播信号用于编码信息以传输到适当的接收器装置以由数据处理装置执行。计算机存储介质可以是或包括在计算机可读存储设备、计算机可读存储基板、随机或串行访问存储器阵列或设备或其中一个或更多个的组合。
本说明书中描述的操作可以实现为数据处理装置对存储在一个或更多个计算机可读存储设备上或从其他来源接收的数据执行的操作。术语“数据处理装置”包括用于处理数据的各种装置、设备和机器,例如包括可编程处理器、计算机、芯片上的系统或它们的组合。该装置可以包括专用逻辑电路,例如现场可编程门阵列(field programmable gatearray,FPGA)或专用集成电路(application-specific integrated circuit,ASIC)。除了硬件之外,该装置还可以包括为所讨论的计算机程序创建执行环境的代码,例如,构成处理器固件、协议栈、数据库管理系统、操作系统、跨平台运行时环境(例如,虚拟机)的代码,或其中一个或更多个的组合。该装置和执行环境可以实现各种计算模型基础设施,例如网络服务、分布式计算和网格计算基础设施。
计算机程序(也称为程序、软件、软件应用程序、脚本或代码)可以用任何形式的编程语言编写,包括编译性或解释性语言、声明性或过程性语言,并且可以用任何形式调用,包括作为独立程序或模块、组件、子程序、对象,或其他适合在计算环境中使用的单元。计算机程序可以但不必与文件系统中的文件相对应。程序可以存储在文件保存其他程序或数据的部分(例如,存储在标记语言文档中的一个或更多个脚本)、专用于所述程序的单个文件或多个协调文件(例如,存储一个或更多个模块、子程序或部分代码的文件)中。计算机程序可以部署在一台计算机上或位于一个站点处或分布在多个站点并通过通信网络互连的多台计算机上执行。
本说明书中描述的过程和逻辑流可以由一个或更多个可编程处理器执行,通过操作输入数据和生成输出来执行一个或更多个计算机程序以执行功能。处理和逻辑流也可以由专用逻辑电路执行,并且设备也可以实现为专用逻辑电路,例如FPGA(现场可编程门阵列)或ASIC(专用集成电路)。
例如,适用于执行计算机程序的处理器包括通用和专用微处理器,以及任何类型数字计算机的任何一个或更多个处理器。通常,处理器将从只读存储器或随机存取存储器或两者中接收指令和数据。计算机的基本元件是用于进行或执行指令的处理器和用于存储指令和数据的一个或更多个存储设备。通常,计算机还将包括或操作耦合以从用于存储数据的一个或更多个大容量存储设备(例如,磁盘、磁光盘或光盘)接收数据或将数据转存到其中。然而,计算机不需要这样的设备。此外,计算机可以嵌入另一设备中,例如移动电话、个人数字助理(personal digital assistant,PDA)、移动音频或视频播放器、游戏控制台、全球定位系统(Global Positioning System,GPS)接收器或便携式存储设备(例如通用串行总线(universal serial bus,USB)闪存驱动器),仅举几例。适于存储计算机程序指令和数据的设备包括所有形式的非易失性存储器、媒体和存储设备,包括例如半导体存储设备,例如可擦除可编程只读存储器(Erasable Programmable Read-Only Memory,EPROM)、电可擦除可编程只读存储器(Electrically-Erasable Programmable Read-Only Memory,EEPROM)和闪存设备;磁盘,例如内部硬盘或可移动磁盘;磁光盘;以及只读光盘(CompactDisc Read-Only Memory,CD-ROM)和数字视盘(Digital Video Disc Read-Only Memory,DVD-ROM)。处理器和存储器可以由专用逻辑电路补充或集成到专用逻辑电路中。
为了提供与用户的交互,本说明书中描述的主题的实施例可以在具有显示器设备(例如阴极射线管(Cathode Ray Tube,CRT)或液晶显示器(Liquid Crystal Display,LCD)监控器)的计算机上实现,用于向用户以及键盘和指针设备(例如鼠标或轨迹球)显示信息,用户可以通过它向计算机提供输入。也可以使用其他类型的设备来提供与用户的交互;例如,提供给用户的反馈可以是任何形式的感官反馈,例如视觉反馈、听觉反馈或触觉反馈;并且可以以任何形式接收用户的输入,包括声学、语音或触觉输入。此外,计算机可以通过向用户使用的设备发送文档和从该设备接收文档来与用户交互。
本说明书中描述的主题的实施例可以在计算系统中实现,该计算系统包括后端组件,例如控制器、数据服务器和中端组件,例如应用服务器或前端组件,例如具有图形用户界面或Web浏览器的客户端计算机,用户可以通过其与本说明书中所述主题的实现或一个或更多个此类后端、中端或前端组件的任何组合进行交互。系统的组件可以通过任何形式或数字数据通信媒介(例如,通信网络)互连。通信网络的示例包括局域网(“LAN”)和广域网(“WAN”)、互联网络(例如互联网)和点对点网络(例如点对点自组网络)。
计算系统可以包括客户端和服务器。客户端和服务器通常相距很远,并且通常通过通信网络进行交互。客户端和服务器的关系是由于在各自的计算机上运行的计算机程序以及彼此之间具有客户机-服务器关系而产生的。在一些实施例中,服务器将数据(例如,HTML页面)发送到客户端设备(例如,用于向与客户端设备交互的用户显示数据和接收用户输入)。在客户端设备处生成的数据(例如,用户交互的结果)可以从服务器处的客户端设备接收。
上述详细描述应理解为在各个方面具有说明性和示例性,但不具有限制性,并且本文所公开的所公开技术的范围不根据详细描述确定,而是根据专利法允许的全部宽度解释的权利要求确定。应理解,本文所示和描述的实施例仅说明所公开技术的原理,并且本领域技术人员可以在不脱离所公开技术的范围和精神的情况下实现各种修改。本领域技术人员可以在不脱离所公开技术的范围和精神的情况下实现各种其他特征组合。虽然本公开的实施例已用具体示例描述,但应理解,本公开不限于那些具体示例,并且在不脱离参照以下权利要求确定的所公开技术的范围和精神的情况下,各种其他变化、组合和修改对于本领域技术人员来说是显而易见的。

Claims (22)

1.一种可编程交换设备,包括:
至少一个端口;以及
以通信方式耦接到所述至少一个端口的至少一个可编程滤波器,
其中,所述至少一个可编程滤波器配置为基于定义规则集允许/拒绝数据包发送到或发送自与所述至少一个端口连接的联网设备。
2.根据权利要求1所述的可编程交换设备,其中,控制器将所述定义规则集发送到所述至少一个可编程滤波器。
3.根据权利要求2所述可编程交换设备,其中,所述控制器是以通信方式耦接到所述可编程交换设备的网络设备。
4.根据权利要求2所述的可编程交换设备,其中,所述控制器是由防火墙保护的、支持SDN的设备。
5.根据权利要求2所述的可编程交换设备,进一步包括:
应用程序编程接口,所述应用程序编程接口将所述控制器链接到所述可编程交换设备。
6.根据权利要求1所述的可编程交换设备,进一步包括:
嵌入在所述可编程交换设备内的控制器,所述控制器将所述定义规则集发送到所述至少一个可编程滤波器。
7.根据权利要求2所述的可编程交换设备,进一步包括:
报告模块,所述报告模块配置为向所述控制器发送数据流特性。
8.根据权利要求7所述可编程交换设备,其中,所述控制器分析所述数据流特性,并根据所述分析自动更新所述定义规则集。
9.根据权利要求1所述的可编程交换设备,其中,所述定义规则集由网络管理员配置。
10.根据权利要求1所述的可编程交换设备,其中,所述定义规则集由至少一种机器学习算法、人工智能AI或自动化技术配置。
11.根据权利要求1所述的可编程交换设备,进一步包括:
识别模块,所述识别模块用于为所述可编程交换设备提供识别协议。
12.权利要求1中的可编程交换设备,进一步包括:
数据封装模块,所述数据封装模块配置为从所述可编程交换设备接收和发送数据。
13.根据权利要求1所述的可编程交换设备,其中,所述至少一个端口为有线连接点。
14.根据权利要求1所述的可编程交换设备,其中,所述至少一个端口为无线连接点。
15.一种网络基础设施,包括:
至少两个可编程交换设备,所述至少两个可编程交换设备中的每一个具有至少两个端口,且每个端口以通信方式耦接到可编程滤波器;以及
控制器,所述控制器以通信方式耦接到所述至少两个可编程交换设备,
其中,所述控制器将定义规则集植入到所述可编程滤波器,所述可编程滤波器以通信方式耦接到至少两个可编程交换设备的每个端口。
16.根据权利要求15所述的网络基础设施,其中,所述定义规则集允许/拒绝向至少两个联网设备或从至少两个联网设备发送数据包,所述联网设备以通信方式耦接到至少两个可编程交换设备的至少两个端口中的一个。
17.根据权利要求16所述的网络基础设施,其中,所述定义规则集在所述联网设备之间创建基于网络安全的隔离。
18.根据权利要求16所述的网络基础设施,其中,所述定义规则集在所述联网设备之间创建基于网络安全的分段。
19.根据权利要求15所述的网络基础设施,其中,所述定义规则集由网络管理员配置。
20.根据权利要求15所述的网络基础设施,其中,所述定义规则集由至少一种机器学习算法、人工智能AI或自动化技术配置。
21.根据权利要求15所述的网络基础设施,进一步包括:
报告模块,所述报告模块配置为向所述控制器发送数据流特性。
22.根据权利要求21所述的网络基础设施,其中,所述控制器分析所述数据流特征,并根据所述分析自动更新所述定义规则集。
CN202080094862.9A 2019-12-10 2020-12-10 用于网络基础设施的可编程交换设备 Pending CN115413409A (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US16/709,444 2019-12-10
US16/709,444 US20210176125A1 (en) 2019-12-10 2019-12-10 Programmable switching device for network infrastructures
PCT/US2020/064285 WO2021119292A1 (en) 2019-12-10 2020-12-10 Programmable switching device for network infrastructures

Publications (1)

Publication Number Publication Date
CN115413409A true CN115413409A (zh) 2022-11-29

Family

ID=76210698

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202080094862.9A Pending CN115413409A (zh) 2019-12-10 2020-12-10 用于网络基础设施的可编程交换设备

Country Status (12)

Country Link
US (1) US20210176125A1 (zh)
EP (1) EP4073992A4 (zh)
JP (1) JP2023506004A (zh)
KR (1) KR20220125251A (zh)
CN (1) CN115413409A (zh)
BR (1) BR112022011305A2 (zh)
CA (1) CA3164102A1 (zh)
GB (1) GB2605098A (zh)
IL (1) IL293667A (zh)
MX (1) MX2022006989A (zh)
TW (1) TW202137735A (zh)
WO (1) WO2021119292A1 (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11281794B2 (en) * 2019-09-26 2022-03-22 Microsoft Technology Licensing, Llc Fine grained access control on procedural language for databases based on accessed resources
US20220247786A1 (en) * 2021-02-01 2022-08-04 Ordr Inc. Security policy generation and enforcement for device clusters
TWI799070B (zh) * 2022-01-10 2023-04-11 碩壹資訊股份有限公司 用以保護受保護的主機之系統及方法
CN114866496B (zh) * 2022-03-30 2023-06-20 清华大学 一种智能网络协作装置及方法

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6728255B1 (en) * 1999-10-29 2004-04-27 Advanced Micro Devices, Inc. Apparatus and method for storing min terms in a network switch port memory for identifying data packet types in a real time
US6728246B1 (en) * 1999-12-07 2004-04-27 Advanced Micro Devices, Inc. Arrangement for reducing layer 3 header data supplied to switching logic on a network switch
US6574240B1 (en) * 2000-01-19 2003-06-03 Advanced Micro Devices, Inc. Apparatus and method for implementing distributed layer 3 learning in a network switch
US6718379B1 (en) * 2000-06-09 2004-04-06 Advanced Micro Devices, Inc. System and method for network management of local area networks having non-blocking network switches configured for switching data packets between subnetworks based on management policies
US6892309B2 (en) * 2002-02-08 2005-05-10 Enterasys Networks, Inc. Controlling usage of network resources by a user at the user's entry point to a communications network based on an identity of the user
US8775571B2 (en) * 2005-06-07 2014-07-08 Extreme Networks, Inc. Methods, systems, and computer program products for dynamic network access device port and user device configuration for implementing device-based and user-based policies
US7936670B2 (en) * 2007-04-11 2011-05-03 International Business Machines Corporation System, method and program to control access to virtual LAN via a switch
US9571523B2 (en) * 2012-05-22 2017-02-14 Sri International Security actuator for a dynamically programmable computer network
US9231892B2 (en) * 2012-07-09 2016-01-05 Vmware, Inc. Distributed virtual switch configuration and state management
EP3021534B1 (en) * 2014-11-14 2018-01-10 Telefonica S.A. A network controller and a computer implemented method for automatically define forwarding rules to configure a computer networking device
US9641390B2 (en) * 2015-05-27 2017-05-02 Lenovo Enterprise Solutions (Singapore) Pte. Ltd. Automatic configuration of switch port settings based on the device attached to the switch port
US10148594B2 (en) * 2015-12-31 2018-12-04 Fortinet, Inc. Application based conditional forwarding and load balancing in a software defined networking (SDN) architecture
WO2017121471A1 (en) * 2016-01-13 2017-07-20 Huawei Technologies Co., Ltd. Dynamic forwarding rules in sdn
US9906401B1 (en) * 2016-11-22 2018-02-27 Gigamon Inc. Network visibility appliances for cloud computing architectures
US10547553B2 (en) * 2017-09-17 2020-01-28 Mellanox Technologies, Ltd. Stateful connection tracking

Also Published As

Publication number Publication date
EP4073992A4 (en) 2023-11-29
GB2605098A (en) 2022-09-21
US20210176125A1 (en) 2021-06-10
GB202208708D0 (en) 2022-07-27
WO2021119292A1 (en) 2021-06-17
JP2023506004A (ja) 2023-02-14
EP4073992A1 (en) 2022-10-19
KR20220125251A (ko) 2022-09-14
BR112022011305A2 (pt) 2022-09-06
CA3164102A1 (en) 2021-06-17
MX2022006989A (es) 2022-09-19
TW202137735A (zh) 2021-10-01
IL293667A (en) 2022-08-01

Similar Documents

Publication Publication Date Title
US11595396B2 (en) Enhanced smart process control switch port lockdown
Scott-Hayward et al. A survey of security in software defined networks
US8683059B2 (en) Method, apparatus, and computer program product for enhancing computer network security
CN115413409A (zh) 用于网络基础设施的可编程交换设备
Belmonte Martin et al. Threat landscape and good practice guide for software defined networks/5g
US11934560B2 (en) System and method for processing personal data by application of policies
Alexei et al. Analysis of IoT security issues used in Higher Education Institutions
Bouras et al. Teaching network security in mobile 5G using ONOS SDN controller
Okhravi et al. Application of trusted network technology to industrial control networks
EP4057570A1 (en) System and method for controlling an iot device from a node in a network infrastructure
EP4057569A1 (en) System and method for configuring iot devices depending on network type
US11632428B2 (en) System and method for configuring IoT devices depending on network type
Zegeye et al. Telemetry Networks Cyber Security Architecture
GB2568145A (en) Poisoning protection for process control switches
Pecena Can I Really Protect My Broadcast Plant From a Cybersecurity Attack?
RU2767713C1 (ru) Способ создания и обновления профиля сети, содержащей IoT-устройства
RU2772072C1 (ru) Способ использования модели IoT-устройства для определения аномалий в работе устройства
RU2772377C1 (ru) Способ оценки степени износа IoT-устройства со стороны элемента сетевой инфраструктуры
EP4060935A1 (en) System and method for processing personal data by application of policies
US20220294789A1 (en) System and method for controlling an iot device from a node in a network infrastructure
Foote et al. Low Cost ICS Network Scanning for Vulnerability Prevention
Schmitt A Framework for Cyber Vulnerability Assessments of InfiniBand Networks
Tripathi et al. Attack Graphs for Standalone Non-Public 5G Networks
Raihan et al. Securing a Network by Using VLAN, Port Security and Access Control List
Frank Securing Smart Homes with OpenFlow: Feasibility, Implementation, and Performance

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination