CN1783879B - 当网络通信受限时使虚拟网络中的网络设备能够通信 - Google Patents
当网络通信受限时使虚拟网络中的网络设备能够通信 Download PDFInfo
- Publication number
- CN1783879B CN1783879B CN200510092730XA CN200510092730A CN1783879B CN 1783879 B CN1783879 B CN 1783879B CN 200510092730X A CN200510092730X A CN 200510092730XA CN 200510092730 A CN200510092730 A CN 200510092730A CN 1783879 B CN1783879 B CN 1783879B
- Authority
- CN
- China
- Prior art keywords
- network
- network equipment
- security module
- safety measure
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F17/00—Digital computing or data processing equipment or methods, specially adapted for specific functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Abstract
提出了一种用于当网络活动一般被网络安全模块实现的保护性安全措施阻断时在通信网络上以安全的方式使一网络设备能够继续进行网络活动的系统和方法。在其周期性更新请求中,阻断网络设备的网络活动的网络安全模块向管理员可配置安全服务请求更新的安全措施。该安全服务确定网络安全模块/网络设备是否可接收一组放松的安全措施,当该组放松的安全措施由网络安全模块实现时,使该网络设备能够继续进行某些网络活动。如果该安全服务确定该网络安全模块/网络设备可接收一组放松的安全措施,则向该网络安全模块返回该组放松的安全措施并在其上实现它,由此使该网络设备能够继续进行某些网络活动。
Description
技术领域
本发明涉及计算机网络和设备安全,尤其涉及当网络通信一般由于安全威胁而受到限制时安全地使虚拟网络内的联网设备能够操作。
背景技术
由于越来越多的计算机以及其它计算设备通过诸如因特网等各种网络互相连接,计算机安全已变得越来越重要,尤其是通过网络或信息流传送的入侵或攻击的计算机安全。本领域的技术人员将认识到,这些攻击以许多不同的形式出现,包括但当然不限于,计算机病毒、计算机蠕虫、系统组件替换、服务拒绝攻击、甚至是合法计算机系统特征的错用/滥用,所有这些都恶意利用了一个或多个计算机系统易受攻击性用于非法目的。尽管本领域的技术人员认识到,各种计算机攻击在技术上彼此不同,然而为了本发明的目的且为了描述的简明性,所有这些攻击在后文一般都被称为计算机恶意利用,或更简单地称为恶意利用。
当计算机系统被计算机恶意利用而受攻击或“感染”时,不利结果是不同的,包括禁用系统设备;擦除或破坏固件、应用程序或数据文件;向网络上的另一位置潜在地发送敏感数据;关闭计算机系统;或导致计算机系统崩溃。许多(尽管并非所有)计算机恶意利用的又一有害方面是受感染的计算机系统被用来感染其它计算机。
图1是示出了通常通过其来分发计算机恶意利用的示例性联网环境100的图示。如图1所示,典型的示例性联网环境100包括多个计算机102-108,它们都通过诸如内联网等通信网络110,或包括常被称为因特网的全球TCP/IP网络的更大的通信网络互连。无论是出于什么原因,连接到网络110的计算机,如计算机102上恶意的一方开发了计算机恶意利用112,并将其发布在网络上。所发布的计算机恶意利用112由诸如计算机104等一个或多个计算机接收并感染这些计算机,如箭头114所示的。如同对于许多计算机恶意利用典型的那样,一旦被感染,计算机104被用于感染诸如计算机106等其它计算机,如箭头116所示的,计算机106进 而又感染诸如计算机108等又一计算机,如箭头118所示的。很明显,由于现代计算机网络的速度和到达范围,计算机恶意利用112可以指数的速率“增长”,并快速成为迅速上升成全球计算机传染病的本地流行病。
对于计算机恶意利用,尤其是计算机病毒和蠕虫的传统防御是反病毒软件。一般而言,反病毒软件扫描通过网络到达的传入数据,查找与已知计算机恶意利用相关联的可识别模式。在检测到与已知计算机恶意利用相关联的模式之后,反病毒软件可通过从受感染的数据中移除计算机病毒、隔离数据或删除“受感染的”传入数据来响应。不幸的是,反病毒软件通常用“已知的”可识别计算机恶意利用来工作。这通常是通过将数据内的模式与被称为恶意利用的“签名”进行匹配来完成的。这一恶意利用检测模型中的核心缺陷之一是未知的计算机恶意利用可能不受检查就在网络中传播,直到更新了计算机的反病毒软件以识别并响应于该新的计算机恶意利用。
由于反病毒软件已变得越来越复杂且在识别上千种已知计算机恶意利用方面变得越来越有效,因此计算机恶意利用也变得越来越复杂。例如,许多近来的计算机恶意利用现在是多态的,或换言之,没有可识别的模式或“签名”,而这些模式或“签名”会使它们在传输中被反病毒软件识别。这些多态的恶意利用通常无法由反病毒软件识别,因为它们在传播到另一计算机系统之前修改了其自身。
当今在对计算机恶意利用进行保护方面常见的另一防御是硬件或软件网络防火墙。本领域的技术人员会认识到,防火墙是一种通过控制内部网络和外部网络之间的信息流来保护内部网络免遭起源于外部网络的非授权访问的安全系统。起源于防火墙外的所有通信首先被发送到一代理,它检查该通信,并确定它是否为安全或允许的,以将该通信转发到预期目标。不幸的是,正确地配置防火墙使得允许的网络活动不受抑制且不被允许的网络活动被拒绝是一项高级且复杂的任务。除技术上的复杂之外,防火墙配置难以管理。当防火墙被不正确地配置时,可允许的网络话务可能被不经意地关闭,而不被允许的网络话务可能被允许通过,从而危及内部网络的安全。为此,一般不经常对防火墙做出改变,并且仅由精通技术网络设计主体的那些人来改变防火墙。
作为防火墙的又一局限,尽管防火墙保护了内部网络,然而它不提供对特定计算机的任何保护。换言之,防火墙不使其适用于特定的计算机需求。相反,即使使用了防火墙来保护单个计算机,它仍依照该防火墙的配置来保护该计算机,而不是依照单个计算机的配置来保护。
与防火墙有关的另一问题是它们不提供对起源于由防火墙建立的边界内部的计算机恶意利用的保护。换言之,一旦恶意利用能够渗透由防火墙保护的网络,该恶意利用不受防火墙的抑制。当员工将便携式计算机带回家(即,带到企业防火墙保护之外)并在家里较不安全的环境中使用它时,通常会出现这一情况。由于对员工是未知的,因此该计算机被感染。当便携式计算机被重新连接到处于防火墙保护之内的企业网络时,该恶意利用通常能够自由影响其它计算机而不受防火墙的检查。类似地,当一个人在不知情或其它情况下带入被计算机恶意利用感染的介质,如CD-ROM、软盘、闪存存储设备等,并使用防火墙的受保护边界内的计算机读取或执行该介质上储存的信息,则该计算机和企业网络也处于不受防火墙保护的危险和风险中。
对于将潜在地被计算机恶意利用感染的便携式计算机连接或重新连接到网络的问题,一种解决方案是将添加的计算机放在隔离的网络内的虚拟局域网(被称为VLAN)中。如本领域中已知的,VLAN是可不考虑网络的实际、物理配置而在实际网络内建立的逻辑子网。网络管理员控制一个VLAN内的计算机与网络中的VLAN外的其它设备(如其它VLAN中的计算机和设备)通信的能力。由此,隔离的VLAN被配置成禁止该隔离的VLAN内的计算机与该隔离的VLAN外的任何其它设备和/或计算机通信,而仅有非常有限的例外。仅在添加的计算机被证明为没有计算机恶意利用之后,该添加的计算机才被允许进入到网络中的其它“常规”VLAN。不幸的是,尽管这一实践可保护网络免遭所添加的计算机上找到的任何计算机恶意利用,然而存在潜在的严重后果。
将添加的计算机隔离到隔离的VLAN的一个后果是所添加的计算机会被暴露给隔离的VLAN内流通的任何计算机恶意利用。由此,尽管所添加的计算机在被隔离之前可能没有所有的计算机恶意利用,然而当被放在隔离的VLAN中时,存在它将会被同样被隔离到该隔离VLAN中的其它计算机上的计算机恶意利用感染的实质风险。另一结果是,如果添加的计算机被计算机恶意利用感染,则当该添加的计算机被放在隔离VLAN中时,该隔离中的其它计算机会被暴露给影响该添加的计算机的计算机恶意利用。简言之,尽管网络作为一个整体可被保护,然而放在隔离VLAN中的计算机被计算机恶意利用感染的可能性也实质上增加了。
如上所述,计算机恶意利用现在在攻击中充分利用了合法计算机系统特征。由此,除防火墙和反病毒软件提供商以外的多方现在必须加入到防御计算机使其免遭这些计算机恶意利用中来。例如,操作系统提供商现在必须为经济和合约原因而 不断地分析其操作系统,以识别可能被计算机恶意利用的弱点或易受攻击性。为本讨论的目的,计算机恶意利用用于攻击计算机系统的任何方法将概括地被称为计算机易受攻击性,或简称为易受攻击性。
当在操作系统或其它计算机系统组件、驱动程序和/或应用程序中识别并定址了易受攻击性之后,提供商通常会发布一软件更新来补救和解决该易受攻击性。这些更新常被称为补丁,它们旨在被安装到计算机系统上,以保护计算机系统免遭所识别的易受攻击性的危险。然而,这些更新本质上是对操作系统、设备驱动程序或软件应用程序等的组件的代码改变。由此,它们不能如反病毒更新从反病毒软件提供商那里发布的那样迅速和自由地发布。由于这些更新是代码改变,因此软件更新在向公众发布之前需要进行实质的内部测试。不幸的是,即使是对于内部测试,软件更新可使一个或多个其它计算机系统特征中断或发生故障。由此,软件更新对依赖于计算机系统的某些方面的各方造成了巨大的两难局面,尤其是在它可能影响计算机系统的关键特征的情况下。更具体地,一方是否更新了其计算机系统来保护它们免遭中断其计算机系统的操作的易受攻击性和风险,或者该方是否制止更新其计算机系统并具有其计算机系统可能会被感染的风险?
一种保护网络设备,包括个人计算机、个人数字助理(PDA)、移动通信设备等的新方法是在网络和网络设备之间放置一网络安全模块,使得来往于网络设备的所有通信必须通过该网络安全模块。这一新方法在2004年2月13日提交的名为“System and Method for Securing a Computer System Connected to a Network fromAttacks(用于保护连接到网络的计算机系统免遭攻击的系统和方法)”的共同转让的美国临时专利申请第60/544,783中有详细描述,该申请通过引用整体结合于此。
依照该结合的系统和方法,每一网络安全模块实现或实施安全措施,该安全措施对应于受保护网络设备的具体配置,并也对应于当前识别的计算机系统易受攻击性。网络安全模块从安全服务获取安全措施,可从全球安全服务或通过安全服务的分层组织(被称为联合安全服务)来获取。实现或实施安全措施意味着对来往于受保护网络设备的网络活动的各方面实行控制。安全措施的示例包括:阻断来往于受保护网络设备的所有网络通信,除受保护网络设备和诸如安全服务或反病毒软件服务等可信网络位置的通信之外;阻断某些通信端口和地址上的网络话务;阻断去往和/或来自某些网络相关应用程序,如电子邮件或web浏览器应用程序的通信;以及阻断对受保护网络设备上的特定硬件或软件组件的访问。
在操作中,网络安全模块通常被配置成向安全服务周期性地查询或轮询最新的安全措施。由此,当在网络上检测到计算机恶意利用,或者如果操作系统提供商在其系统中检测到易受攻击性,则操作系统提供商提供安全措施以反击对安全服务的易受攻击性/恶意利用。这些更新的安全措施然后由网络安全模块在周期性地轮询安全服务时获得。一旦获得,该更新的/当前的安全措施由网络安全模块实现/实施,由此将受保护网络设备与检测到的计算机恶意利用或易受攻击性相隔离。
在更好地理解计算机恶意利用之前,初始的安全措施可包括阻断来往于受保护网络设备的所有网络活动。然而,一旦更好地理解了计算机恶意利用,则可使用一组较不严格的安全措施来准许某些网络活动,而保持对易受攻击性的适当保护。此外,一旦开发且随后在受保护网络设备上安装了软件更新或反病毒更新,可获得允许“正常”网络活动继续进行的一组新安全措施,该组新措施反映了由于软件或反病毒更新的安装,受保护网络设备不再易受攻击。
尽管上述结合的系统解决了如何保护网络设备免遭计算机恶意利用的问题,然而存在当检测到尤其致命的计算机恶意利用时,网络中所有网络设备上的所有网络活动,包括实现商业关键操作的计算机之间的通信将被阻断的真实可能性。例如,假定商业关键应用程序在应用程序服务器上运行,且依赖于获取储存在计算机网络中别处的数据库服务器上的信息。阻断所有的网络活动必定意味着该应用程序服务器将无法从该数据库服务器获取信息,由此使商业关键应用程序暂停。
在2004年2月13日提交的,名为“ System and Method for Protecing a ComputingDevice From Computer Exploits Delivered Over a Networked
鉴于上述问题,所需要的是一种当通过网络的通信活动由于安全威胁而受限制时使VLAN内的特定网络设备能够通信的系统和方法。现有技术中找到的这些和其它问题由本发明来解决。
发明内容
依照本发明,提供了一种当网络活动一般被网络安全模块实现的保护性安全措施阻断时在通信网络上以安全的方式使第一网络设备能够继续进行网络活动的系统。该系统包括一通信网络和包括第一网络安全模块的多个网络安全模块。多个网络安全模块的每一个被放入通信网络和网络设备之间,特别地,第一网络安全模块被放入通信网络和第一网络设备之间。此外,多个网络安全模块的每一个通过实现从安全服务获得的安全措施来控制来往于受保护网络设备的网络活动。该系统也包括至少向第一网络安全模块提供安全措施的安全服务。该安全服务可由管理员来配置,使得当多个网络安全模块实现阻断来往于多个网络设备的网络活动的安全措施时,该安全服务向第一网络安全模块提供一组宽松的安全措施。当该组宽松的安全措施由第一网络安全模块实现时,第一网络设备至少可继续进行某些网络活动。
依照本发明的其它方面,提供了一种在通信网络中的安全服务上实现的方法,用于当通信网络上的网络活动被由网络安全模块实现的保护性安全措施阻断时在通信网络上以安全的方式使第一网络设备能够继续进行网络活动。从网络安全模块接收对安全措施的请求。该网络安全模块被放入通信网络和第一网络设备之间。确定该安全服务是否被配置成向网络安全模块传送一组宽松的安全措施。当该组宽松的安全措施由网络安全模块实现时,它们将在通信网络上以安全的方式使第一网络设备能够继续进行网络活动。如果确定安全服务被配置成向网络安全模块传送一组宽松的安全措施,则该组宽松的安全措施被返回给网络安全模块。
依照本发明的还有一些方面,提出了一种载有计算机可执行指令的计算机可读介质。当在向放入通信网络和网络设备之间的多个网络安全模块提供安全措施的计算设备上执行时,这些计算机可执行指令实现一种当通信网络上的网络活动一般由网络安全模块实现的保护性安全措施阻断时在通信网络上以安全的方式使第一网络设备能够继续进行网络活动的方法。该方法包括首先从放入通信网络和第一网络设备之间的网络安全模块接收对安全措施的请求。然后确定安全服务是否被配置成向网络安全模块传送一组宽松的安全措施。当由网络安全模块实现时,该组宽松的安全措施将在通信网络上以安全的方式使第一网络设备能够继续进行网络活动。之后,如果确定安全服务被配置成向网络安全模块传送该组宽松的安全措施,则将该组宽松的安全措施返回给网络安全模块。
附图说明
当结合附图参考以下详细描述更好地理解时,可以更容易地明白本发明的上 述方面和许多附加优点,附图中:
图1是示出现有技术中找到的示例性联网环境的图示,计算机恶意利用通常通过这样的环境分发;
图2是示出用于实现本发明的各方面的示例性物理联网环境的图示;
图3是示出图2的示例性物理联网环境的图示,它被组织成逻辑VLAN,并适用于实现本发明的各方面。
图4A示出了保护联网设备的网络安全模块和安全服务之间的示例性交换,用于获取保护联网设备的安全措施;
图4B示出了保护受保护VLAN中的联网设备的网络安全模块和联合安全服务之间的示例性交换,该联合安全服务用于获取使受保护网络设备能够与受保护VLAN中的其它联网设备通信的安全措施;
图5是示出在联网安全服务上执行的示例性例程的流程图,该例程用于使受保护VLAN中的网络设备能够与其它启用的网络设备进行通信;
图6示出了在以安全方式将网络客户机添加到受保护VLAN时,网络设备和对应的网络安全模块、联合安全服务以及路由器之间的示例性交换;
图7是示出在网络路由器上执行的示例性例程的流程图,该例程用于以安全的方式将网络设备添加到受保护VLAN;以及
图8是示出在联合安全服务上执行的示例性例程的流程图,该例程用于向网络路由器提供安全状态信息,以协助以安全的方式将网络设备添加到受保护VLAN。
具体实施方式
如上所述,本发明针对当网络上的通信活动一般由于网络安全模块响应于检测到的易受攻击性实现的安全措施而受限制时,使VLAN内的特定网络设备能够进行通信。图2是示出适用于实现本发明的各方面的示例性联网环境200的图示。示例性联网环境200包括依照本发明的各方面适合的通用安全服务204和物理网络202,它们都连接到因特网206。
如图2所示,示例性物理网络202包括路由器208和联合安全服务210。同样包括在示例性物理网络202中的是网络交换机212-216和网络计算设备220-234。如可以在图2中见到的,物理网络202中的网络设备由包括网络安全模块246-252的网络安全模块来保护。例如,路由器208由网络安全模块250来保护,图形输入 板计算机228由网络安全模块246来保护,而交换机C 216由网络安全模块252来保护。然而,应当理解,本发明可以在其中仅诸如网络计算设备220-234等网络计算设备由网络安全模块保护的物理网络中实现。
尽管示例性物理网络202被示出为包括某些网络硬件设备,尤其是路由器208和交换机212-216,然而应当理解,示例性物理网络仅用作说明的目的,并且不应当被解释为限制本发明。本领域的技术人员将会理解,物理网络可包括以多种配置组织的任意数量的网络相关硬件设备,所有这些都被构想为落入本发明的范围之内。
如上所述,联合安全服务210作为对于来自安全服务204的安全措施的分发点操作。很清楚,诸如安全服务204等向多个网络和个别计算设备提供安全措施的通用/全球安全服务实际上不能用与它所服务的网络和设备有关的特定信息来管理和配置。然而,当在诸如物理网络202等物理网络内建立诸如联合安全服务210等联合安全服务时,尤其是用于服务网络内的网络安全模块的联合安全服务,则依照特定的网络关注事项、需求和环境来管理和配置对网络及其网络设备的联合安全服务将是切合实际且有益的。当物理网络202上的网络活动一般由于检测到的易受攻击性而被网络安全模块阻断从而使关键的操作暂停时,会引起本地管理的一个这样的应用。如下文更详细地描述的,联合安全服务210可以在管理上被配置成当满足某些准则时向特定的网络设备提供一组宽松的安全措施,使得该特定网络设备可以继续进行网络活动。此外,联合安全服务210也可被配置成与路由器208或物理网络202内的某些其它网络相关设备协作,以将计算机安全地连接(或重连接)到物理网络,尤其是网络内的VLAN。
如上所述,物理网络202可被组织成任意数量的逻辑子网络,即VLAN,而不管网络及其设备的实际物理排列如何。仅为了说明起见,图2包括物理网络202中三种类型的网络计算设备:工作站,包括工作站220、226、232、234和236;笔记本计算机,包括笔记本计算机222、224、230和244;以及图形输入板计算机,包括图形输入板计算机228、238、240和242。由于物理网络202可以被虚拟地配置成逻辑配置,则如果网络管理员如此倾向,可对每一类计算设备创建VLAN,其中每一VLAN仅包含一种类型的计算设备。图3是示出图2的示例性物理网络202的图示,它依照计算设备类型被组织成VLAN,并适用于实现和说明本发明的各方面。
图3示出了以上描述的三个VLAN,具体地为笔记本VLAN 302、工作站VLAN 304以及图形输入板计算机VLAN 306。本领域的技术人员可以理解,VLAN内的网络设备通常可与VLAN内的其它网络设备进行通信。本领域的技术人员也可以认识到,全异的VALN内的网络设备之间的通信也可发生。然而,为本讨论的目的,假定VLAN被配置成使得网络设备仅与特定VLAN内的其它网络设备通信。除计算设备之间的通信之外,网络202被配置成准许网络设备或网络安全模块与联合安全服务210或安全服务204(图2)通信。
在一个实施例中,本发明用于当网络活动一般由响应于检测到的易受攻击性来实现安全措施的网络安全模块阻断时使特定的网络设备能够继续进行网络活动。例如,可检测到在因特网206上流通的尤其致命的计算机恶意利用,并且操作系统提供商最初确定该恶意利用对运行其操作系统的所有计算设备,包括物理网络202内的那些计算设备造成重大威胁。由此,操作系统提供商通过安全服务204公布初始安全措施,该安全措施实际上指导网络安全模块阻断来往于受保护网络设备的所有网络活动。这些初始安全措施也被分发到任何联合安全服务,包括驻留在物理网络202内的联合安全服务210。由此,当物理网络202内的网络安全模块,包括网络安全模块246-254轮询联合安全服务210并获得初始安全措施时,物理网络202中的网络活动,包括VLAN内的网络设备之间的网络活动都被阻断。
继续以上示例,假定物理网络202是商业网络,且工作站VLAN 304中的工作站是运行依赖于位于工作站236上的数据库服务器上运行的信息的商业关键应用程序的应用程序服务器。很清楚,当网络活动由于所检测到的计算机恶意利用造成的威胁而被网络安全模块248和254阻断时,该商业关键应用程序被暂停。很明显,其商业关键应用程序现在被暂停的企业很清楚希望至少继续进行那些操作,并被保护以免遭检测到的计算机恶意利用造成的威胁。
仍继续以上示例,如果在实现安全措施之前整个物理网络202不被检测到的计算机恶意利用感染,则整个网络由保护路由器208的网络安全模块250来保护。这可以意味着物理网络202内的网络设备之间的网络活动可继续进行,而不必担心来自所检测到的计算机恶意利用的感染。很清楚,向多个网络、计算机和设备提供安全措施的通用安全服务,如安全服务204(图2),实际上不能维持具体的、特定的网络配置,以及评估这些配置来确定允许哪些设备继续进行网络活动以及与谁的活动。然而,当网络包括其自己的联合安全服务,诸如联合安全服务210时,关于网络设备和网络配置的网络专用信息可在该联合安全服务上储存和管理,以便确定在维持网络安全性的同时是否允许特定的设备继续进行网络活动。
依照本发明的各方面,管理员可配置联合安全服务210以向保护网络设备的特定网络安全模块提供一组宽松的安全措施。该组宽松的安全措施可准许诸如工作站234和236等受保护网络设备,或工作站VLAN 304内所有的设备继续进行与其它启用的网络设备的活动。之后,当诸如网络安全模块248和254等每一网络安全模块周期性地向联合安全服务210轮询最近/当前的安全措施时,联合安全服务可识别更新请求的来源,并返回对应于受保护网络设备的一组安全措施。
如上文结合的参考中所描述的,当网络安全模块轮询安全服务204(图2)或联合安全服务210来获得更新的安全措施时,返回一组安全措施而没有任何附加的信息交换。然而,依照本发明的各方面,其中联合安全服务210为网络的目的而位于网络202的边界内,该联合安全服务可被配置成在向网络安全模块返回一组安全措施之前向网络安全模块/受保护网络设备查询附加配置信息。基于该附加配置信息,或缺少附加配置信息,联合安全服务210确定要返回给网络安全模块的一组安全措施。该附加信息可包括,但不限于,特定软件或反病毒更新是否被安装在受保护网络设备上、网络设备是否位于特定的VLAN内、网络设备执行或在其上执行的测试应用程序是否确认该网络设备没有计算机恶意利用等等。获得关于网络设备的这一附加信息在下文参考图4A和4B示出。
图4A示出了保护网络设备的网络安全模块和安全服务204或联合安全服务210之间的示例性交换,用于获取保护网络设备免于检测到的易受攻击性的安全措施。具体地,该示例性交换示出了网络安全模块如上文在结合的参考中描述的获取保护性安全措施的典型方式。这两者之间的交换按照事件来描述。如图4A所示,如由事件402所指示的,作为其周期性更新过程的一部分,诸如网络安全模块248等网络安全模块向安全服务204或联合安全服务210轮询更新的/当前的安全措施。作为响应,如由事件404所指示的,安全服务204向网络安全模块返回最新的安全措施。在获取更新的/当前的安全措施以后,网络安全模块实现它们,由此保护了网络设备。
不幸的是,如上所述,在某些条件下,安全服务204和网络安全模块之间的典型交换可以实际上是关键的计算机活动,尤其是依赖于网络通信的那些活动暂停。由此,与图4A所描述的示例性交换400相反,图4B示出了保护网络设备的网络安全模块248和联合安全服务210之间的示例性交换420,用于获取保护网络设备免于检测到的易受攻击性。在其周期性更新过程中,如由事件422所示,网络安全模块248向联合安全服务210轮询保护网络设备的更新的/当前的安全措施。 在这一情况下,联合安全服务210由管理员来配置,以向该特定网络安全模块248提供一组宽松的安全措施,使得受保护网络设备可通过网络进行通信。具体地,在这一示例性交换中,联合安全服务210被配置成向网络安全模块248请求附加信息。
由此,响应于该请求,如由事件424所指示的,联合安全服务210向网络安全模块248请求附加信息。如上所述,该附加信息可包括,但不限于,受保护设备是否没有计算机恶意利用、受保护设备是否安装了特定的软件更新或反病毒更新、受保护设备是否位于特定VLAN内等等。网络安全模块248可以已经拥有这一附加信息,或者,可能需要从受保护网络设备获取该信息。
一旦网络安全模块248具有该附加信息,它被提交到联合安全服务210,如由事件426所指示的。在接收附加信息之后,并假定附加信息的内容满足由管理员建立的用于提供一组宽松的安全措施的准则,则联合安全服务210向网络安全模块248返回一组宽松的安全措施,如由事件428所指示的。该组宽松的安全措施指导网络安全模块,以允许受保护网络设备继续进行某些通信/网络活动,如打开未受影响的TCP端口等等。当然,联合安全服务可确定附加信息无法满足由管理员建立的用于提供一组宽松的安全措施的准则,在这一情况下,向网络安全设备248返回“典型的”安全措施,并且来往于受保护网络设备的通信保持被阻断。
图5是示出在联合安全服务210上执行的示例性例程500的流程图,用于当网络活动一般由于检测到的易受攻击性而被阻断时使由网络安全模块保护的网络设备能够继续进行某些网络活动。在框502开始,联合安全服务210从与网络设备相关联的网络安全模块接收对更新的安全措施的请求。
在判别框504,确定是否应当向该特定网络设备给予特殊的考虑。这些特殊考虑由管理员在依照特殊需求配置联合安全服务210时建立。这些特殊考虑可包括用于确定保护网络设备的网络安全模块是否可获得除用于该网络的通用安全措施以外的替换安全措施的指令,这些替换安全措施包括以上描述的一组宽松的安全措施。通常,特殊的考虑是对特定的网络设备和对应的网络安全模块所建立的,或者对驻留在特定VLAN内的网络设备和对应的网络安全模块所建立的。由此如果网络设备/网络安全模块不被标识为接收特殊考虑的那些设备/模块之一,则在框506,联合安全服务210用一般适用于该网络的典型安全措施响应,然后终止。
如果网络设备/网络安全模块可被标识为向其给予特殊考虑的设备/模块之一,则在框508,联合安全服务210用对附加信息的请求响应。如上所述,该附加信息可包括是否安装了特定软件更新、是否安装了当前的反病毒软件版本、该网络设备 是否被证明为没有计算机恶意利用的等等。尽管该示例性例程500示出了联合安全服务210总是请求附加信息,然而在另一实施例中,可首先做出关于是否获取任何附加信息的测试,或者简单地将一组替换/宽松的安全措施作为对每一管理员的配置而提供。
在框510,联合安全服务210接收所请求的附加信息。在判别框512,确定该附加信息是否满足由管理员建立的准则,该准则用于向网络安全模块提供替换的安全措施,诸如一组宽松的安全措施。如果附加信息无法满足用于提供一组宽松的安全措施的准则,则在框506,联合安全服务210返回用于通用网络的典型安全措施,然后终止。然而,如果附加信息满足所建立的准则,则在框514,联合安全服务210向网络安全模块返回一组宽松的安全措施。当由网络安全模块实现时,该组宽松的安全措施将准许受保护的网络设备继续进行某些网络活动,诸如与其它类似地启用的网络设备进行通信。之后,示例性例程500终止。
尽管示例性例程500包括从网络安全模块接收请求,然而在另一实施例中,来自网络安全模块的请求是在该例程外部接收/处理的,并启动例程500的剩余部分。因此,示例性例程500应当被视为说明性的,并非被解释为限制本发明。
如上所述,本发明的各方面也可用于以安全的方式,即保护网络免遭计算机恶意利用的方式将计算机连接或重新连接到网络,该计算机恶意利用否则可由所“添加”的计算机或其它网络设备引入。图6示出了在以安全的方式将网络设备添加到网络时,网络设备及其网络安全模块(为图6的目的总称为网络设备602),联合安全服务210以及路由器208之间的示例性交换600。示例性交换600当网络设备602被连接到网络时开始。
如事件604所指示的,网络设备602经由其网络安全模块向路由器208请求IP地址。本领域的技术人员可以理解,除请求IP地址以外,该请求通常也可包括加入网络中的特定VLAN的请求。作为响应,路由器208返回将网络设备放置在隔离的VLAN中的IP地址,如事件606所指示的,而不是给予网络设备602所请求的VLAN内的IP地址。隔离的VLAN是这样一种VLAN,其中所添加的网络设备是唯一的成员,且从该VLAN该网络设备不能与网络中除路由器和联合安全服务210之外的任何其它网络设备通信。
如上文所结合的参考中所描述的,当由网络安全模块保护的计算机或其它设备首先被加电或连接到网络时,或当对应的网络安全模块首先被假定或连接到网络时,该网络安全模块默认地阻断除与可信网络位置之外的所有网络活动。这些可信 网络位置包括,但不限于,联合安全服务210或通用安全服务204、反病毒更新位置、操作系统更新位置、路由器208等等。由此,如由其网络安全模块所准许的,网络设备602的第一网络活动是向安全服务轮询最新的安全措施。在所示的交换600中,网络设备602向联合安全服务210轮询当前的安全措施,如由事件608所指示的。
依照本发明的各方面,联合安全服务210由管理员依照预定的准则来配置,以确定网络设备602在其它VLAN中,尤其是在由该设备在其IP地址请求中请求的VLAN中是否可信。类似于相对于图4B和5所描述的使阻断的网络设备能够继续进行网络活动,该预定准则可包括,但不限于,是否在网络设备上安装了特定软件更新、是否安装了当前的反病毒软件版本、该网络设备是否能被证明为是没有计算机恶意利用的,等等。另外,该预定准则也可包括网络设备是否通过网络安全模块连接到网络。
为测试网络设备是否满足预定准则,联合安全服务210通过向网络设备602请求附加信息来响应,如由事件610所指示的。网络设备602,尤其是其网络安全模块,返回该附加信息,如由事件612所指示的。假定该附加信息满足预定准则,则联合安全服务210向网络设备602返回更新的安全措施,如由事件614所指示的。这些更新的安全措施可以对应于或不对应于上述的一组宽松的安全措施。实际上,更新的安全措施可指导网络安全模块继续阻断所有的网络活动。在一个实施例中,传递到网络设备602的一组特定的安全措施是依照管理员配置来建立的。
除向网络设备602返回安全措施以外,联合安全服务210向路由器208通知网络设备的可信性,如由事件616所指示的。假定网络设备602依照预定准则是可信的,则路由器208随后从隔离的VLAN中移除该网络设备,然后将其放置在IP地址请求中所请求的VLAN中,如由事件618所指示的。
示例性交换600突出了本发明的若干有益方面。例如,如果网络设备要连接到网络而不受网络安全模块保护,则它将会被放置在隔离的VLAN中,而无法与其它网络设备通信,且该网络保持被保护以免遭任何计算机恶意利用感染该设备。网络设备将保留在隔离的VLAN中,直到管理员能够手动地解决将网络设备添加到网络中的其它VLAN的问题。
本发明的另一有益方面是即使网络设备602被放置在隔离的VLAN中,该网络设备也具有对网络的开口,通过该开口,它可在建立/确定其可信性时自动建立更高的通信级别。更具体地,网络设备首先被放置在一个位置中,在该位置中,如 果网络设备被计算机恶意利用感染,则该网络设备不能感染网络中的其它网络设备。然而,如果它通过网络安全模块连接,则她能够与联合安全服务210通信,从而允许它建立可信性。当网络设备602建立其可信性时,联合安全服务210通知路由器208或其它网络组件准许该网络设备加入该网络中的其它VLAN。
图7是示出在路由器208或其它网络组件上执行的示例性例程700的流程图,该例程用于以安全的方式将网络设备602添加到网络VLAN。从框702开始,路由器208从网络设备602接收IP地址请求。在框704,路由器208向网络设备602返回一IP地址,并将该网络设备放置在一隔离的VALN中。在之后的某一点,在框706,路由器208从联合安全服务210接收安全状态信息。如上所述,该安全状态信息指示网络设备602的可信性,即该网络设备是否满足用于准许网络设备进入所请求的VLAN中的预定准则。
在判别框708,路由器208确定网络设备602是否满足用于允许进入所请求的VLAN中的安全准则。如果网络设备602无法满足该安全准则,则将该网络设备留在隔离的VLAN中,直到在之后的某一时刻,在框706,路由器208再次从联合安全服务210接收安全状态信息。该过程以此方式继续,直到在判别框708,确定网络设备692成功地满足了用于允许网络设备进入所请求的受保护VLAN的预定安全准则。之后,路由器208将网络设备602添加到所请求的VLAN,且例程700终止。
类似于上文相对于图5所描述的,尽管示例性例程700被描述为包括从网络安全模块接收IP地址请求,然而在另一实施例中,该请求可在该例程外接收/处理,并且启动示例性例程700的剩余部分。由此,示例性例程700应当被视为说明性的,且不能被解释为限制本发明。
图8是示出在联合安全服务210上执行的示例性例程800的流程图,用于向路由器208提供安全状态信息,以帮助如上文相对于图7,尤其是框706所描述的将网络设备添加到受保护VLAN。从框802开始,接收对用于网络设备692的当前安全措施的请求。在判别框804,确定是否向网络设备692给予任何特殊考虑,诸如相对于图5所描述的那些考虑。如果网络设备602不被标识为接收特殊考虑的设备,则在框806,联合安全服务210向网络设备602返回典型的、一般适用的安全措施,然后终止。依照其它方面,作为简单地终止的替换,即使当网络设备692不被标识为接收特殊考虑的设备,联合安全服务210仍可向路由器208通知网络设备的安全状态,如由到框816的可任选线所示的。
如果联合安全服务210被配置成向网络设备692提供特殊考虑,则在框808,联合安全服务向客户机请求附加信息。该对附加信息的请求一般类似于相对于图5的框508所描述的请求。在框810,联合安全服务210接收关于网络设备602的所请求的附加信息。
在判别框812,确定网络设备602是否满足用于接收一组宽松的安全措施的预定准则。如果未满足该预定准则,则在框806,联合安全服务210用典型的、一般适用的安全措施来响应。然而,如果网络设备602满足预定准则,则在框814,联合安全服务210用一组宽松的安全措施来响应。之后,在框816,联合安全服务210向路由器208通知网络设备602的安全状态,然后终止。
类似于相对于图5和7所描述的,尽管示例性例程800被描述为包括从网络安全模块接收对当前安全措施的请求,然而在另一实施例中,该请求可在该例程外接收/处理,并启动例程800的剩余部分。因此,上述例程800应当被视为说明性的,且不被解释为限制本发明。
尽管示出并描述了本发明的各实施例,包括较佳实施例,然而可以理解,可以在不脱离本发明的精神和范围的情况下对其做出各种改变。
Claims (21)
1.一种用于当网络活动一般被网络安全模块实现的保护性安全措施阻断时,在通信网络上以安全的方式使第一网络设备能够继续进行网络活动的系统,所述系统包括:
通信网络;
包括第一网络安全模块的多个网络安全模块,其中,所述多个网络安全模块的每一个被放入所述通信网络和网络设备之间,所述第一网络安全模块被放入所述通信网络和所述第一网络设备之间,并且其中,所述多个网络安全模块的每一个模块通过实现从安全服务获得的安全措施控制来往于受保护网络设备的网络活动;以及
至少向所述第一网络安全模块提供安全措施的安全服务,所述安全服务可由管理员配置,使得当所述多个网络安全模块实现阻断来往于所述多个网络设备的网络活动时,所述安全服务向所述第一网络安全模块提供一组宽松的安全措施,当该组宽松的安全措施由所述第一网络安全模块实现时,准许所述第一网络设备继续进行至少某些网络活动;
其中,所述安全服务基于从所述第一网络设备获得的关于该第一网络设备的附加信息是否满足一组预定准则的判定来提供所述一组宽松的安全措施给所述第一网络安全模块。
2.如权利要求1所述的系统,其特征在于,所述安全服务响应于来自所述第一网络安全模块的对安全措施的周期性请求,向所述第一网络安全模块提供安全措施。
3.如权利要求2所述的系统,其特征在于,所述安全服务在确定所述网络设备满足所述一组预定准则之后向所述第一网络安全模块提供所述一组宽松的安全措施。
4.如权利要求3所述的系统,其特征在于,所述安全服务由管理员配置,使得所述管理员可建立所述一组预定准则。
5.如权利要求1所述的系统,其特征在于,获得关于所述第一网络设备的附加信息包括向所述第一网络安全模块查询是否在所述第一网络设备上安装了软件更新。
6.如权利要求1所述的系统,其特征在于,获得关于所述第一网络设备的附加信息包括向所述第一网络设备查询所述第一网络设备是否是特定VLAN的成员。
7.如权利要求1所述的系统,其特征在于,获得关于所述第一网络设备的附加信息包括获得关于所述第一网络设备是否没有计算机恶意利用的信息。
8.如权利要求1所述的系统,其特征在于,获得关于所述第一网络设备的附加信息包括查询管理所述第一网络设备是其成员的VLAN的路由器是否由网络安全模块保护。
9.一种在通信网络中的安全服务上实现的方法,用于当所述通信网络上的网络活动一般被网络安全模块实现的保护性安全措施阻断时,在所述通信网络上以安全的方式使第一网络设备能够继续进行网络活动,所述方法包括:
从被放入所述通信网络和所述第一网络设备之间的网络安全模块接收对安全措施的请求;
确定所述安全服务是否被配置成向所述网络安全模块传送一组宽松的安全措施,其中,当该组宽松的安全措施由所述网络安全模块实现时,将在所述通信网络上以安全的方式使所述第一网络设备能够继续进行网络活动;以及
如果确定所述安全服务被配置成向所述网络安全模块传送一组宽松的安全措施,则向所述网络安全模块返回该组宽松的安全措施;
其中确定所述安全服务是否被配置成向所述网络安全模块传送一组宽松的安全措施还包括确定从所述第一网络设备获取的关于该第一网络设备的附加信息是否满足一组预定准则。
10.如权利要求9所述的方法,其特征在于,如果所述网络设备满足所述预定准则,则向所述网络安全模块返回所述一组宽松的安全措施。
11.如权利要求9所述的方法,其特征在于,获取关于所述第一网络设备的附加信息包括向所述网络安全模块查询是否在所述第一网络设备上安装了软件更新。
12.如权利要求9所述的方法,其特征在于,获取关于所述第一网络设备的附加信息包括向所述网络安全模块查询所述第一网络设备是否为特定VLAN的成员。
13.如权利要求9所述的方法,其特征在于,获取关于所述第一网络设备的附加信息还包括获取关于所述第一网络设备是否没有计算机恶意利用的信息。
14.如权利要求9所述的方法,其特征在于,获取关于所述第一网络设备的附加信息还包括查询管理所述第一网络设备是其成员的VLAN的路由器是否由网络安全模块保护。
15.一种用于当通信网络上的网络活动一般被网络安全模块实现的保护性安全措施阻断时在所述通信网络上以安全的方式使第一网络设备能够继续进行网络活动的系统,所述系统包括:
用于从被放入所述通信网络和所述第一网络设备之间的网络安全模块接收对安全措施的请求的装置;
用于确定所述计算设备是否被配置成向所述网络安全模块传送一组宽松的安全措施的装置,其中,当该组宽松的安全措施由所述网络安全模块实现时,将在所述通信网络上以安全的方式使所述第一网络设备能够继续进行网络活动;以及
用于如果确定所述计算设备被配置成向所述网络安全模块传送所述一组宽松的安全措施,则向所述网络安全模块返回该组宽松的安全措施的装置;
其中用于确定所述安全服务是否被配置成向所述网络安全模块传送一组宽松的安全措施的装置还包括用于确定从所述第一网络设备获取的关于该第一网络设备的附加信息是否满足一组预定准则的装置。
16.如权利要求15所述的系统,其特征在于,如果所述网络设备满足所述预定准则,向所述网络安全模块返回所述一组宽松的安全措施。
17.如权利要求15所述的系统,其特征在于,获取关于所述第一网络设备的附加信息包括向所述网络安全模块查询是否在所述第一网络设备上安装了软件更新。
18.如权利要求15所述的系统,其特征在于,获取关于所述第一网络设备的附加信息还包括向所述网络安全模块查询所述第一网络设备是否为特定VLAN的成员。
19.如权利要求15所述的系统,其特征在于,获取关于所述第一网络设备的附加信息还包括获取关于所述第一网络设备是否没有计算机恶意利用的信息。
20.如权利要求15所述的系统,其特征在于,获取关于所述第一网络设备的附加信息还包括查询管理所述第一网络设备是其成员的VLAN的路由器是否由网络安全模块保护。
21.一种用于当网络活动一般被网络安全模块实现的保护性安全措施阻断时,在通信网络上以安全的方式使第一网络设备能够继续进行网络活动的计算机网络化系统,所述系统包括:
通信网络;
包括第一网络安全模块的多个网络安全模块,其中,所述多个网络安全模块的每一个被放入所述通信网络和网络设备之间,所述第一网络安全模块被放入所述通信网络和所述第一网络设备之间,并且其中,所述多个网络安全模块的每一个通过实现从安全服务装置获得的安全措施来控制来往于受保护网络设备的网络活动;以及
至少向所述第一网络安全模块提供安全措施的安全服务装置,所述安全服务装置由管理员配置,使得当所述多个网络安全模块实现阻断来往于所述网络设备的网络活动的安全措施时,所述安全服务向所述第一网络安全模块提供一组宽松的安全措施,当该组宽松的安全措施由所述第一网络安全模块实现时,准许所述第一网络设备继续进行至少某些网络活动;
其中,所述安全服务装置基于从所述第一网络设备获取的关于该第一网络设备的附加信息是否满足一组预定准则的判定来提供所述一组宽松的安全措施给所述第一网络安全模块。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US10/923,349 | 2004-08-20 | ||
US10/923,349 US7353390B2 (en) | 2004-08-20 | 2004-08-20 | Enabling network devices within a virtual network to communicate while the networks's communications are restricted due to security threats |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1783879A CN1783879A (zh) | 2006-06-07 |
CN1783879B true CN1783879B (zh) | 2011-07-06 |
Family
ID=35447203
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200510092730XA Active CN1783879B (zh) | 2004-08-20 | 2005-08-19 | 当网络通信受限时使虚拟网络中的网络设备能够通信 |
Country Status (7)
Country | Link |
---|---|
US (1) | US7353390B2 (zh) |
EP (1) | EP1628455B1 (zh) |
JP (1) | JP4684802B2 (zh) |
KR (1) | KR101150123B1 (zh) |
CN (1) | CN1783879B (zh) |
AT (1) | ATE421827T1 (zh) |
DE (1) | DE602005012466D1 (zh) |
Families Citing this family (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070113272A2 (en) | 2003-07-01 | 2007-05-17 | Securityprofiling, Inc. | Real-time vulnerability monitoring |
US9118708B2 (en) | 2003-07-01 | 2015-08-25 | Securityprofiling, Llc | Multi-path remediation |
US8984644B2 (en) | 2003-07-01 | 2015-03-17 | Securityprofiling, Llc | Anti-vulnerability system, method, and computer program product |
US9118709B2 (en) * | 2003-07-01 | 2015-08-25 | Securityprofiling, Llc | Anti-vulnerability system, method, and computer program product |
US8462808B2 (en) * | 2004-09-02 | 2013-06-11 | Brother Kogyo Kabushiki Kaisha | Information server and communication apparatus |
US7793338B1 (en) * | 2004-10-21 | 2010-09-07 | Mcafee, Inc. | System and method of network endpoint security |
US8245294B1 (en) * | 2004-11-23 | 2012-08-14 | Avaya, Inc. | Network based virus control |
JP2006262141A (ja) * | 2005-03-17 | 2006-09-28 | Fujitsu Ltd | Ipアドレス適用方法、vlan変更装置、vlan変更システム、および検疫処理システム |
US8594084B2 (en) * | 2005-09-09 | 2013-11-26 | Intellectual Ventures I Llc | Network router security method |
US8528070B2 (en) * | 2007-09-05 | 2013-09-03 | Hewlett-Packard Development Company, L.P. | System and method for secure service delivery |
US8713450B2 (en) * | 2008-01-08 | 2014-04-29 | International Business Machines Corporation | Detecting patterns of abuse in a virtual environment |
US8312511B2 (en) * | 2008-03-12 | 2012-11-13 | International Business Machines Corporation | Methods, apparatus and articles of manufacture for imposing security measures in a virtual environment based on user profile information |
US20100262688A1 (en) * | 2009-01-21 | 2010-10-14 | Daniar Hussain | Systems, methods, and devices for detecting security vulnerabilities in ip networks |
US9344455B2 (en) * | 2014-07-30 | 2016-05-17 | Motorola Solutions, Inc. | Apparatus and method for sharing a hardware security module interface in a collaborative network |
US9526024B2 (en) * | 2014-08-07 | 2016-12-20 | At&T Intellectual Property I, L.P. | Personal virtual core networks |
US9609541B2 (en) | 2014-12-31 | 2017-03-28 | Motorola Solutions, Inc. | Method and apparatus for device collaboration via a hybrid network |
US10038671B2 (en) * | 2016-12-31 | 2018-07-31 | Fortinet, Inc. | Facilitating enforcement of security policies by and on behalf of a perimeter network security device by providing enhanced visibility into interior traffic flows |
US10517326B2 (en) * | 2017-01-27 | 2019-12-31 | Rai Strategic Holdings, Inc. | Secondary battery for an aerosol delivery device |
US10574654B1 (en) * | 2017-11-07 | 2020-02-25 | United Services Automobile Asociation (USAA) | Segmentation based network security |
EP3493503B1 (en) | 2017-11-30 | 2022-08-24 | Panasonic Intellectual Property Corporation of America | Network protection device and network protection system |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2004034672A1 (en) * | 2002-10-09 | 2004-04-22 | Tycho Technologies Oy | Management of a distributed firewall |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3426832B2 (ja) * | 1996-01-26 | 2003-07-14 | 株式会社東芝 | ネットワークアクセス制御方法 |
US6158010A (en) | 1998-10-28 | 2000-12-05 | Crosslogix, Inc. | System and method for maintaining security in a distributed computer network |
AU2001265035A1 (en) | 2000-05-25 | 2001-12-03 | Thomas R Markham | Distributed firewall system and method |
US7181618B2 (en) | 2001-01-12 | 2007-02-20 | Hewlett-Packard Development Company, L.P. | System and method for recovering a security profile of a computer system |
JP4052983B2 (ja) * | 2002-06-28 | 2008-02-27 | 沖電気工業株式会社 | 警戒システム及び広域ネットワーク防護システム |
US7743158B2 (en) | 2002-12-04 | 2010-06-22 | Ntt Docomo, Inc. | Access network dynamic firewall |
AU2003299729A1 (en) | 2002-12-18 | 2004-07-14 | Senforce Technologies, Inc. | Methods and apparatus for administration of policy based protection of data accessible by a mobile device |
JP2004234378A (ja) * | 2003-01-30 | 2004-08-19 | Fujitsu Ltd | セキュリティ管理装置及びセキュリティ管理方法 |
-
2004
- 2004-08-20 US US10/923,349 patent/US7353390B2/en active Active
-
2005
- 2005-08-18 AT AT05107587T patent/ATE421827T1/de not_active IP Right Cessation
- 2005-08-18 DE DE602005012466T patent/DE602005012466D1/de active Active
- 2005-08-18 EP EP05107587A patent/EP1628455B1/en active Active
- 2005-08-19 CN CN200510092730XA patent/CN1783879B/zh active Active
- 2005-08-19 KR KR1020050076191A patent/KR101150123B1/ko active IP Right Grant
- 2005-08-22 JP JP2005240059A patent/JP4684802B2/ja active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2004034672A1 (en) * | 2002-10-09 | 2004-04-22 | Tycho Technologies Oy | Management of a distributed firewall |
Also Published As
Publication number | Publication date |
---|---|
US20060041937A1 (en) | 2006-02-23 |
DE602005012466D1 (de) | 2009-03-12 |
ATE421827T1 (de) | 2009-02-15 |
EP1628455B1 (en) | 2009-01-21 |
CN1783879A (zh) | 2006-06-07 |
EP1628455A1 (en) | 2006-02-22 |
US7353390B2 (en) | 2008-04-01 |
JP2006074760A (ja) | 2006-03-16 |
JP4684802B2 (ja) | 2011-05-18 |
KR20060053166A (ko) | 2006-05-19 |
KR101150123B1 (ko) | 2012-06-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN1783879B (zh) | 当网络通信受限时使虚拟网络中的网络设备能够通信 | |
JP6086968B2 (ja) | 悪意のあるソフトウェアに対するローカル保護をするシステム及び方法 | |
JP6080910B2 (ja) | 悪意のあるソフトウェアに対するネットワーク・レベル保護をするシステム及び方法 | |
CN101802837B (zh) | 通过对设备的动态地址隔离来提供网络和计算机防火墙保护的系统和方法 | |
US9516062B2 (en) | System and method for determining and using local reputations of users and hosts to protect information in a network environment | |
CN101496025B (zh) | 用于向移动设备提供网络安全的系统和方法 | |
CN1661970B (zh) | 保护联网环境中的计算设备的网络安全设备和方法 | |
CN102158489B (zh) | 保护连接至网络的计算机系统不受攻击的系统和方法 | |
CN100530208C (zh) | 适于病毒防护的网络隔离技术 | |
US7827607B2 (en) | Enhanced client compliancy using database of security sensor data | |
US7832006B2 (en) | System and method for providing network security | |
CN103843002B (zh) | 使用云技术对恶意软件的动态清理 | |
US20070005987A1 (en) | Wireless detection and/or containment of compromised electronic devices in multiple power states | |
CN101675423B (zh) | 在外部设备与主机设备间提供数据和设备安全的系统和方法 | |
US20020095607A1 (en) | Security protection for computers and computer-networks | |
US20050283831A1 (en) | Security system and method using server security solution and network security solution | |
CN1509013A (zh) | 用于保护服务器场免受入侵的方法以及服务器场 | |
WO2003030001A1 (en) | Anti-virus policy enforcement system and method | |
WO1997036246A1 (fr) | Procede de gestion de reseau informatique et dispositif correspondant | |
KR20070008804A (ko) | 호스트 기반의 보안 시스템 및 그를 이용한 보안 서비스제공 방법 | |
KR20080073114A (ko) | 보안정보 갱신시스템 및 그 방법 | |
KR102174507B1 (ko) | 통신 게이트웨이 방화벽 자동설정장치 및 그 방법 | |
KR101175667B1 (ko) | 방화벽을 이용한 사용자 단말의 네트워크 접속 관리 방법 | |
KR20160052978A (ko) | 스마트폰을 이용한 서버의 침입탐지 모니터링 시스템 | |
Eliseev et al. | Agent-whistleblower Technology for Secure Internet of Things |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
ASS | Succession or assignment of patent right |
Owner name: MICROSOFT TECHNOLOGY LICENSING LLC Free format text: FORMER OWNER: MICROSOFT CORP. Effective date: 20150423 |
|
C41 | Transfer of patent application or patent right or utility model | ||
TR01 | Transfer of patent right |
Effective date of registration: 20150423 Address after: Washington State Patentee after: Micro soft technique license Co., Ltd Address before: Washington State Patentee before: Microsoft Corp. |