BEREICH DER
ERFINDUNGAREA OF
INVENTION
Die
vorliegende Erfindung bezieht sich auf Computernetze, und insbesondere
auf Geräte
und Verfahren zur Bereitstellung effizienter, integrierter und skalierbarer
Policy-Managementdienste für
entfernte private Netze über
das Internet.The
The present invention relates to computer networks, and more particularly
on devices
and methods for providing efficient, integrated and scalable
Policy management services for
remote private networks
the Internet.
HINTERGRUND DER ERFINDUNGBACKGROUND OF THE INVENTION
Das
Wachstum und die Verbreitung von Computern und Computernetzen ermöglicht Unternehmen, effizient
mit ihren eigenen Komponenten sowie mit denen ihrer Geschäftspartner,
Kunden und Lieferanten zu kommunizieren. Die Flexibilität und Effizienz,
die diese Computer und Computernetze bieten, geht jedoch mit erhöhten Risiken
einher, darunter auch Sicherheitsverletzungen von außerhalb
des Unternehmens, die versehentliche Veröffentlichung von wichtigen
internen Informationen und die unangemessene Nutzung von LAN, WAN,
Internet oder Extranet.The
Growth and proliferation of computers and computer networks enables businesses to be efficient
with their own components and with those of their business partners,
To communicate with customers and suppliers. The flexibility and efficiency,
However, these computers and computer networks offer more risks
including security breaches from outside
of the company, the accidental release of important
internal information and inappropriate use of LAN, WAN,
Internet or extranet.
Bei
der Verwaltung der Erweiterung von Computernetzen sowie bei der
Lösung
der verschiedenen Sicherheitsprobleme setzen Netzwerkmanager häufig Managementdienste
für Netzwerkrichtlinien
wie z.B. Firewall-Schutz, Adresszuordnung im NAT-Verfahren (Network
Address Translation), Spam-Filter, DNS-Caching, Web-Caching, VPN-Organisation (Virtuelle
Private Netzwerke) und -Sicherheit sowie URL-Blocker ein, um die Netzbenutzer
daran zu hindern, durch Nutzung der ISPs (Internet Service Provider)
der Organisation auf bestimmte Internetseiten zuzugreifen. Jeder
Service zum Policymanagement erfordert jedoch in der Regel ein separates
Gerät,
das konfiguriert, verwaltet und überwacht
werden muss. Des Weiteren werden die vorhandenen Geräte immer
zahlreicher, wenn die Organisation wächst und sich auf mehrere Standorte
ausdehnt, wodurch die entsprechenden Ausgaben und der Aufwand für Konfiguration,
Verwaltung und Überwachung
der Geräte
ebenfalls steigen.at
the administration of the extension of computer networks as well as with the
solution
Of the various security issues, network managers often use management services
for network policies
such as. Firewall protection, address assignment in the NAT procedure (Network
Address Translation), Spam Filtering, DNS Caching, Web Caching, VPN Organization (Virtual
Private networks) and security, as well as URL blockers to the network users
to prevent it from exploiting ISPs (Internet Service Providers)
the organization to access certain websites. Everyone
However, policy management service usually requires a separate one
Device,
that is configured, managed and monitored
must become. Furthermore, the existing devices are always
more numerous as the organization grows and spreads across multiple locations
expands, thereby reducing the corresponding expenses and the overhead of configuration,
Administration and monitoring
the devices
also rise.
Die
Lösung
für dieses
Problem besteht nicht einfach darin, zahlreiche Managementfunktionen
für Netzwerkrichtlinien
in ein einzelnes Gerät
an jedem Standort zu integrieren und jedem Standort zu ermöglichen,
seine Policydaten mit anderen Standorten auszutauschen. Tatsächlich gibt
es viele Hindernisse und Herausforderungen bei der Umsetzung einer
solchen Methode. So erfordert beispielsweise ein Plan zur effizienten
Spezifikation und Verteilung der Daten zum Policymanagement über ein
entferntes privates Netz für
die gesamte Organisation im Allgemeinen ein gut konzipiertes Objektmodell.
Die Synchronisierung mehrerer Datenbanken innerhalb der Organisation
mit Updates der Daten zum Policymanagement kann ebenfalls ein komplexes
Problem darstellen. Des Weiteren ist die Erstellung von Protokollen
und Statistikdaten aus dem entfernten privaten Netz in einem weit
verteilten Policy-Managementsystem
zur effizienten Analyse und Berichterstellung häufig eine schwierige Aufgabe. Üblicherweise
werden nur die Rohdaten protokolliert und gespeichert, die im Allgemeinen
zeitaufwändige
und individuell erstellte Programme benötigen, um aus den Rohdaten
offline sinnvolle Berichte und Statistiken zu erstellen.The
solution
for this
The problem is not just that, it has many management features
for network policies
into a single device
integrate at every location and allow every location
to exchange his policy data with other locations. Actually there
There are many obstacles and challenges in implementing one
such method. For example, a plan for efficient requires
Specification and distribution of data for policy management via
remote private network for
the entire organization generally a well-designed object model.
Synchronization of multiple databases within the organization
With updates of the policy management data can also be a complex
Pose a problem. Furthermore, the creation of logs
and statistics data from the remote private network in one far
distributed policy management system
This is often a difficult task for efficient analysis and reporting. Usually
Only the raw data is logged and stored, which in general
time-consuming
and custom programs need to get out of the raw data
Create meaningful reports and statistics offline.
Es
gibt eine weitere Herausforderung für die Umsetzung eines einheitlichen
Policy-Managementsystems. Für
einen erhöhten
Nutzen sollten diese einheitlichen Policy-Managementfunktionen so
weit wie möglich in
der Hardware implementiert werden. Die Implementierung des Policy-Managements
auf einem Chip erfordert jedoch typischerweise eine effiziente Design-Partitionierung.It
gives another challenge to the implementation of a single
Policy Management Systems. For
an elevated one
Benefit should be this unified policy management functions so
as far as possible in
the hardware are implemented. The implementation of policy management
however, on a chip typically requires efficient design partitioning.
Außerdem sollte
das einheitliche Policy-Managementsystem die effiziente Konfiguration,
Verwaltung und Aktualisierung von virtuellen privaten Netzen ermöglichen,
die sich über
verschiedene entfernte Standorte erstrecken.In addition, should
the unified policy management system the efficient configuration,
Manage and update virtual private networks,
which are over
various remote locations extend.
Im
Dokument „Inter
Domain Policy Routing: Overview of Architecture and Protocols", von Estrin D. et al.,
1991, XP000175708, ist eine Übersicht über die
Architektur und die Protokolle eines domainübergreifenden Policy-Routings
aufgeführt,
wobei Schlüsselkonzepte
und Protokolle erläutert
werden.in the
Document "Inter
Domain Policy Routing: Overview of Architecture and Protocols "by Estrin D. et al.
1991, XP000175708, is an overview of the
Architecture and the protocols of cross-domain policy routing
lists
being key concepts
and protocols explained
become.
Im
Dokument „Virtual
Private Network Architecture" von
T. Braun et al., 8. Januar 1999, XP002239239, wird eine Architektur beschrieben,
mit der QoS-fähige,
virtuelle private Netze über
das Internet aufgebaut und verwaltet werden können. Hier werden die grundlegenden
Technologien für
sichere VPNs und für
den QoS-Support vorgestellt.in the
Document "Virtual
Private Network Architecture "by
T. Braun et al., January 8, 1999, XP002239239, an architecture is described,
with the QoS-enabled,
virtual private networks over
the Internet can be built and managed. Here are the basic ones
Technologies for
secure VPNs and for
presented the QoS support.
Dementsprechend
besteht in der Branche Bedarf an einer Lösung zum Netzwerkmanagement,
die diese und andere Hindernisse im gegenwärtigen Stand der Technik überwindet.Accordingly, there is a need in the industry for a network management solution that overcomes these and other obstacles in the current state of the art.
ZUSAMMENFASSUNG DER ERFINDUNGSUMMARY OF THE INVENTION
Gemäß einer
Ausführungsvariante
der Erfindung greift ein entfernter Nutzer von einem entfernten Standort über ein
entferntes Nutzerterminal auf die Mitgliedsnetze zu. Das Terminal
ist anhand einer Software entsprechend konfiguriert, um die Tabelle
der dynamischen Mitgliedsinformationen von der Kanteneinrichtung, mit
der es verbunden ist, herunterzuladen. Aktualisierungen der Mitgliedsinformationen
werden im Folgenden automatisch an das entfernte Nutzerterminal übertragen,
ohne dass das Terminal dazu neu konfiguriert werden muss.According to one
variant
invention, a remote user intervenes from a remote location
remote user terminal to the member networks. The terminal
is configured by software according to the table
the dynamic member information from the edge device, with
which it is connected to download. Updates to member information
will be automatically transferred to the remote user terminal below,
without having to reconfigure the terminal.
KURZE BESCHREIBUNG
DER ZEICHNUNGENSHORT DESCRIPTION
THE DRAWINGS
Diese
und andere Merkmale, Ausführungen
und Vorteile der vorliegenden Erfindung werden beim Durchlesen der
folgenden, detaillierten Beschreibung, der anhängenden Ansprüche und
der beiliegenden Zeichnungen deutlich, wobei:These
and other features, designs
and advantages of the present invention will be apparent upon reading the
following, detailed description, the appended claims and
the accompanying drawings, wherein:
1 stellt
ein schematisches Blockdiagramm eines beispielhaften, einheitlichen
Policy-Managementsystems dar; 1 FIG. 12 is a schematic block diagram of an exemplary, unified policy management system; FIG.
2 stellt
die hierarchische, objektorientierte Struktur der Policies dar,
die für
eine Organisation entsprechend den Prinzipien der Erfindung gespeichert
sind; 2 represents the hierarchical, object-oriented structure of the policies stored for an organization according to the principles of the invention;
3 stellt
ein schematisches Blockdiagramm eines Policy-Servers im Policy-Managementsystem aus 1 dar; 3 presents a schematic block diagram of a policy server in the policy management system 1 group;
4 stellt
ein schematisches Diagramm eines zentralen Management-Submoduls
im Policy-Server aus 3 dar; 4 presents a schematic diagram of a central management submodule in the policy server 3 group;
5 stellt
ein beispielhaftes Ablaufdiagramm eines Einrichtungs-Registrierungsverfahrens
dar, das vom zentralen Management-Submodul aus 4 durchgeführt wird; 5 FIG. 3 illustrates an exemplary flowchart of a facility registration process that originates from the central management sub-module 4 is carried out;
6 stellt
eine Bildschirmdarstellung einer beispielhaften graphischen Benutzerschnittstelle
für die Registrierung
einer Einrichtung dar; 6 FIG. 12 illustrates a screen shot of an exemplary graphical user interface for registering a device; FIG.
7 stellt
eine Bildschirmdarstellung einer beispielhaften globalen Benutzerschnittstelle
zur Überwachung
der Zustands- und Statusinformationen einer Einrichtung dar; 7 FIG. 12 illustrates a screen shot of an example global user interface for monitoring status and status information of a device; FIG.
8 ist
eine Bildschirmdarstellung einer beispielhaften graphischen Benutzerschnittstelle,
die das Submodul für
Policy-Management
im Policy-Server aus 3 bietet; 8th Figure 13 is a screen shot of an exemplary graphical user interface that exposes the policy management submodule in the policy server 3 offers;
9 ist
eine Bildschirmdarstellung einer beispielhaften graphischen Benutzerschnittstelle
zur Verwaltung von Systemeinrichtungen; 9 Figure 12 is a screen shot of an exemplary graphical user interface for managing system devices;
10 ist
eine Bildschirmdarstellung einer beispielhaften graphischen Benutzerschnittstelle
zur Verwaltung von Systemhosts; 10 Figure 12 is a screen shot of an example graphical user interface for managing system hosts;
11 ist
eine Bildschirmdarstellung einer beispielhaften graphischen Benutzerschnittstelle
zur Verwaltung von Systemeinrichtungen; 11 Figure 12 is a screen shot of an exemplary graphical user interface for managing system devices;
12 ist
eine Bildschirmdarstellung einer beispielhaften graphischen Benutzerschnittstelle
zur Verwaltung von Zeitgruppen; 12 Figure 13 is a screen shot of an exemplary graphical user interface for managing time groups;
13 ist
eine Bildschirmdarstellung einer beispielhaften graphischen Benutzerschnittstelle,
die eine Reihe von VPN-Clouds anzeigt; 13 Figure 12 is a screen shot of an exemplary graphical user interface displaying a number of VPN clouds;
14 ist
eine Bildschirmdarstellung einer beispielhaften graphischen Benutzerschnittstelle
zur Eingabe einer neuen Firewall-Policy; 14 Figure 12 is a screen shot of an example graphical user interface for entering a new firewall policy;
15 ist
ein schematisches Blockdiagramm von Policy-Enforcern, die ihre jeweiligen VPN-Mitgliedschaftsinformationen
aktualisieren; 15 is a schematic block diagram of policy enforcers that their respective VPN member update company information;
16 ist
ein Blockdiagramm von Komponenten in einem selbstextrahierenden
Ausführungsprogramm
zum Herunterladen eines entfernten VPN-Clients; 16 Fig. 10 is a block diagram of components in a self-extracting execution program for downloading a remote VPN client;
17 ist
ein Funktionsblockdiagramm zum Herunterladen des selbst-extrahierenden
Ausführungsprogramms
aus 16; 17 is a functional block diagram for downloading the self-extracting execution program 16 ;
18 ist
ein schematisches Blockdiagramm eines Policy-Enforcers im Policy-Managementsystem aus 1; 18 is a schematic block diagram of a policy enforcer in the policy management system 1 ;
19 ist
ein detailliertes, schematisches Blockdiagramm einer Policy-Maschine
im Policy-Enforcer aus 18; 19 is a detailed, schematic block diagram of a policy engine in the Policy Enforcer 18 ;
20 ist
ein detaillierteres, schematisches Blockdiagramm einer Protokoll-Klassifikationsmaschine des
Policy-Enforcers aus 18; 20 FIG. 12 is a more detailed, schematic block diagram of a Policy Enforcer Protocol Classification Engine 18 ;
21 ist
ein detaillierteres, schematisches Blockdiagramm einer Internetprotokoll-Sicherheitsmaschine
im Policy-Enforcer aus 18; 21 is a more detailed, schematic block diagram of an Internet Protocol security machine in the Policy Enforcer 18 ;
22 ist
eine schematische Darstellung eines allgemeinen Protokollformats
gemäß einer
Ausführungsvariante
der Erfindung; 22 is a schematic representation of a general protocol format according to an embodiment of the invention;
23 ist
ein Blockdiagramm einer LDAP-Baumstruktur gemäß einer Ausführungsvariante
der Erfindung; 23 is a block diagram of an LDAP tree structure according to an embodiment of the invention;
24 ist
ein detaillierteres Blockdiagramm eines Zweigs der LDAP-Baumstruktur
aus 23; 24 is a more detailed block diagram of a branch of the LDAP tree 23 ;
25 ist
ein Ablaufdiagramm der Protokollierung und Weiterleitung von LDAP-Änderungen
an die Policy-Enforcer; 25 is a flowchart of logging and forwarding LDAP changes to policy enforcers;
26 ist
ein schematisches Blockdiagramm eines hochverfügbaren Systems, das eine Primäreinheit
und eine Reserveeinheit umfasst; 26 Fig. 10 is a schematic block diagram of a high availability system including a primary unit and a backup unit;
27 ist
ein Ablaufdiagramm eines beispielhaften Prozesses zur Statusermittlung,
der von einer hochverfügbaren
Einheit ausgeführt
wird; 27 FIG. 10 is a flow chart of an example status determination process performed by a high availability unit; FIG.
28 ist
ein Ablaufdiagramm eines Prozesses zur Aufrechterhaltung der Konfigurationsinformationen,
die in der Primär-
und in der Reserveeinheit aus 26 synchronisiert
werden; 28 FIG. 12 is a flowchart of a process for maintaining the configuration information in the primary and spare units. FIG 26 be synchronized;
29 ist
ein beispielhaftes Ablaufdiagramm der Aktualisierung von Primär- und Reserveeinheit
aus 26, im dem beide betriebsbereit sind; und 29 FIG. 10 is an exemplary flowchart of updating the primary and reserve units 26 in which both are ready; and
30 ist
ein beispielhaftes Ablaufdiagramm der Aktualisierung von Primär- und Reserveeinheit
aus 26, in dem die Primäreinheit nicht betriebsbereit
ist. 30 FIG. 10 is an exemplary flowchart of updating the primary and reserve units 26 in which the primary unit is not ready for operation.
DETAILLIERTE BESCHREIBUNG
DER ERFINDUNGDETAILED DESCRIPTION
THE INVENTION
I. EINHEITLICHE ARCHITEKTUR
DES POLICY-MANAGEMENTSYSTEMSI. UNIFORM ARCHITECTURE
THE POLICY MANAGEMENT SYSTEM
1 ist
ein schematisches Blockdiagramm eines beispielhaften einheitlichen
Policy-Managementsystems gemäß einer
Ausführungsvariante
der Erfindung. Wie in 1 dargestellt, sind die privaten
lokalen Netze 102, 104 und 106 alle über entsprechende
Router (generell mit 110 bezeichnet) und Internet Service Provider
(ISPs) (nicht abgebildet) mit einem öffentlichen Netz, wie beispielsweise
dem Internet 108, verbunden. Ebenso über die ISPs mit dem öffentlichen
Internet 108 verbunden sind Internet-Surfer 112, über temporäre Wählverbindungen
verbundene Netzwerk-Nutzer 114, Server 116, die
unbefugte Websites bieten, Mail-Spammer 118, die unaufgefordert
Junk-Mail versenden, sowie entfernte VPN-Clients 140, die
Zugang zu den privaten lokalen Netzen 102 erhalten möchten. 1 FIG. 10 is a schematic block diagram of an exemplary unitary policy management system according to an embodiment of the invention. FIG. As in 1 shown are the private local networks 102 . 104 and 106 all via appropriate routers (generally with 110 and Internet Service Providers (ISPs) (not shown) with a public network, such as the Internet 108 , connected. Likewise via the ISPs with the public Internet 108 Connected are internet surfers 112 network users connected via temporary dial-up connections 114 , Server 116 that offer unauthorized websites, mail spammers 118 who send unsolicited junk mail, as well as remote VPN clients 140 having access to the private local networks 102 want to get.
Gemäß einem
Beispiel verbindet das lokale Netz 102 Nutzer und Ressourcen,
beispielsweise Workstations, Server, Drucker und Ähnliches,
an einem ersten Standort der Organisation, beispielsweise der Zentrale
der Organisation, und das lokale Netz 104 verbindet Nutzer
und Ressourcen an einem zweiten Standort der Organisation, beispielsweise
in einer Niederlassung. Des Weiteren verbindet das lokale Netz 106 Nutzer und
Ressourcen eines Kunden der Organisation, der speziellen Zugang
zu den Nutzern und Ressourcen der Organisation benötigt. Befugte, über Wählverbindungen
verbundene Netzwerknutzer 114 der Organisation befinden
sich jeweils an vom ersten und zweiten lokalen Netz entfernten Standorten
und benötigen
ebenfalls speziellen Zugang zu den Nutzern und Ressourcen der Organisation.
Des Weiteren kommunizieren Internet-Surfer 112 mit dem
Internet-Server 120 der
Organisation über
das öffentliche
Internet 108 und greifen auf die Internetseite des Unternehmens
zu.According to one example, the local network connects 102 Users and resources, such as Work stations, servers, printers, and the like, at a first location of the organization, such as the organization's headquarters, and the local area network 104 connects users and resources to a second location of the organization, such as a branch office. Furthermore, the local network connects 106 Users and resources of a customer of the organization who needs special access to the users and resources of the organization. Authorized network users connected via dial-up connections 114 The organization is located at sites remote from the first and second local area networks and also requires special access to the organization's users and resources. Furthermore, internet surfers communicate 112 with the internet server 120 the organization via the public Internet 108 and access the company's website.
Das
lokale Netz 102 umfasst einen Policy-Server 122 zur
Definition und Verwaltung der Netzwerkdienste und der Policies für die Organisation.
Die Netzwerk-Policies sind ein Satz mit Regeln und Anweisungen,
die den Betrieb des Netzes sowie Firewall, VPN, Bandbreite und Verwaltungsrichtlinien
festlegen. Die Firewall- Policies
entscheiden über
den Datenverkehr im Netz, der aus dem öffentlichen Internet 108 für die lokalen
Netze 102, 104, freigegeben wird und über den
Datenverkehr, der blockiert werden soll. Die Bandbreiten-Policies
entscheiden über
die Art der Bandbreite, die dem Datenverkehr in den lokalen Netzen
zugeordnet werden soll. Die VPN-Policies legen die Regeln für die Implementierung
der Connectivity mit mehreren Standorten über die lokalen Netze fest.
Die Verwaltungs-Policies legen die Nutzer fest, die Zugang zu den
Verwaltungsfunktionen haben, die Art der diesen Nutzern zugeordneten
Verwaltungsfunktionen und die Policy Enforcer 124, 126,
für die
diese Nutzer diese Verwaltungsfunktionen ausüben können. Die Firewall-, VPN-, Bandbreiten-
und Verwaltungs-Policies für
die gesamte Organisation werden vorzugsweise in einer Policy Server-Datenbank 130 gespeichert,
die vom Policy-Server 122 verwaltet wird.The local network 102 includes a policy server 122 to define and manage network services and policies for the organization. The network policies are a set of rules and instructions that govern the operation of the network, firewall, VPN, bandwidth, and administrative policies. The firewall policies decide on the traffic in the network, which is from the public Internet 108 for the local networks 102 . 104 , is released and about the traffic that is to be blocked. The bandwidth policies determine the type of bandwidth to be allocated to the traffic on the local networks. The VPN policies set the rules for implementing multi-site connectivity over the local area networks. The administrative policies specify the users who have access to the administrative functions, the type of administrative functions assigned to these users, and the policy enforcers 124 . 126 for which these users can exercise these administrative functions. The firewall, VPN, bandwidth, and administration policies for the entire organization are preferably stored in a Policy Server database 130 stored by the policy server 122 is managed.
Jedes
lokale Netz 102, 104, umfasst auch eine Kanteneinrichtung,
hier als Policy-Enforcer 124, 126, bezeichnet,
für die
Zugangskontrolle zum Netz. Jeder Policy-Enforcer 124, 126,
verwaltet die Netzwerk-Policies und Dienste für die Nutzer und Ressourcen
der jeweiligen lokalen Netze 102, 104, gemäß der Freigabe des
Policy-Servers 122. Die entsprechenden Anteile der Policy
Server-Datenbank 130 werden in die Datenbanken 132, 134,
der Policy-Enforcer
kopiert, damit die Policy-Enforcer die Netz-Policies und Dienste
für die lokalen
Netze 102, 104, verwalten können.Every local network 102 . 104 , also includes an edge device, here as a policy enforcer 124 . 126 , designated for access control to the network. Each policy enforcer 124 . 126 , manages the network policies and services for the users and resources of their respective local area networks 102 . 104 , according to the release of the policy server 122 , The corresponding portions of the Policy Server database 130 be in the databases 132 . 134 , which copies the policy enforcer to allow the policy enforcers the network policies and services for the local networks 102 . 104 , can manage.
Gemäß einer
Ausführungsvariante
der Erfindung können
der Policy-Server 122 und die Policy-Enforcer 124, 126,
auf ähnliche
Weise implementiert werden wie die Policy-Router FORT KNOX von der Firma
Alcatel Internetworking Inc. in Milpitas, Kalifornien.According to one embodiment of the invention, the policy server 122 and the policy enforcers 124 . 126 , are implemented in a similar way to the FORT KNOX policy routers by Alcatel Internetworking Inc. of Milpitas, California.
II. OBJEKTMODELL FÜR DAS NETZPOLICY-MANAGEMENTII. OBJECT MODEL FOR NETWORK POLICY MANAGEMENT
Gemäß einer
Ausführungsvariante
der Erfindung handelt es sich bei der Policy Server-Datenbank 130 und
den Policy Enforcer-Datenbanken 132, 134,
um LDAP-Datenbanken, die sich an eine einheitliche, hierarchische,
objektorientierte Struktur halten. Das LDAP Directory Service-Modell
basiert auf Einträgen,
wobei jeder Eintrag eine Auflistung von Attributen darstellt, die
mit einem eindeutigen Namen (DN) bezeichnet werden. Jedes Attribut
beinhaltet einen Typ und einen oder mehrere Werte. Der Typ ist üblicherweise
eine mnemonische Zeichenfolge, wie z.B. „o" für
Organisation, „c" für Country
(Land) oder „mail" für E-Mail-Adressen.
Die Werte hängen
vom Attributtyp ab. Das Attribut „mail" kann beispielsweise den Wert „babs@umich.edu" beinhalten. Das
Attribut „jpegPhoto" kann ein Foto in
einem binären
JPEG/JFIF-Format enthalten. Weitere Angaben über das LDAP Directory Service-Modell
sind unter RFC 1777 „The
Lightweight Directory Access Protocoll" (W. Yeong, T. Howes und Kille, Network
Working Group, März
1995) und "LDAP
Programming: Directory-enabled Applications with Lightweight Directory
Access Protocol" (T.
Howes und M. Smith, Macmillan Technical Publishing, 1997) definiert.According to one embodiment of the invention, the policy server database is 130 and Policy Enforcer databases 132 . 134 to LDAP databases that adhere to a unified, hierarchical, object-oriented structure. The LDAP Directory Service model is based on entries, where each entry represents a collection of attributes that are named with a unique name (DN). Each attribute contains a type and one or more values. The type is typically a mnemonic string, such as "o" for organization, "c" for country, or "mail" for e-mail addresses, depending on the attribute type, for example, the attribute "mail" Value "babs@umich.edu" The attribute "jpegPhoto" can contain a photo in a binary JPEG / JFIF format. Further details about the LDAP Directory Service Model are described in RFC 1777 "The Lightweight Directory Access Protocol" (W. Yeong, T. Howes and Kille, Network Working Group, March 1995) and "LDAP Programming: Directory-enabled Applications with Lightweight Directory Access Protocol "(T. Howes and M. Smith, Macmillan Technical Publishing, 1997).
Die
Einträge
in der LDAP-Datenbank sind vorzugsweise in einer hierarchischen,
baumähnlichen Struktur
aufgebaut, die politische, geographische und/oder organisatorische
Grenzen berücksichtigt.
Die Einträge,
die Länder
darstellen, erscheinen an der Spitze der Baumstruktur. Darunter
erscheinen die Einträge,
die staatliche oder nationale Organisationen darstellen. Unter den
staatlichen oder nationalen Organisationen können Einträge in Bezug auf Personen, Organisationseinheiten,
Drucker, Dokumente und Ähnliches
aufgeführt werden.The
Posts
in the LDAP database are preferably in a hierarchical,
tree-like structure
built up, the political, geographical and / or organizational
Limits taken into account.
The entries,
the countries
represent, appear at the top of the tree. among them
the entries appear,
representing state or national organizations. Among the
national or national organizations may make entries in relation to persons, organizational units,
Printers, documents and the like
be listed.
2 ist
eine schematische Darstellung der einheitlichen, hierarchischen,
objektorientierten Struktur, an die sich die Policy-Server-Datenbank 130 gemäß einer
Ausführungsvariante
der Erfindung hält.
Die Policy Enforcer-Datenbanken 132, 134, folgen
mit Ausnahme weniger Unterschiede der gleichen Struktur. So enthalten
die Policy-Enforcer-Datenbanken
zum Beispiel vorzugsweise weder ein Policy- Server-Domänenobjekt 201 oder
damit verbundene Policy-Serverobjekte, noch ein Policy-Domänenobjekt 240. 2 is a schematic representation of the unified, hierarchical, object-oriented structure to which the policy server database 130 holds according to an embodiment of the invention. The Policy Enforcer databases 132 . 134 , follow with the exception of a few differences of the same structure. For example, the policy enforcer databases preferably do not include a policy server domain object 201 or related policy server objects, nor a policy domain object 240 ,
Wie
in 2 dargestellt, wird jedes Objekt in der Struktur
vorzugsweise als LDAP-Eintrag gespeichert. An der Spitze der Hierarchie
ist das Policy-Server-Domänenobjekt 201 angeordnet,
das verschiedene Policy-Serverressourcen und eine Reihe von Policy-Domänenobjekten
(im Allgemeinen mit 204 bezeichnet) umfasst. Jedes Policy-Domänenobjekt 240 ist
eine Gruppierung von Policy-Enforcern mit gemeinsamen Policies.
Jedes Policy-Domänenobjekt 240 umfasst
ein Ressourcen-Wurzelobjekt 200 und ein Gruppen-Wurzelobjekt 202.
Sämtliche
Policy-Managementfunktionen sind vorzugsweise in Form von Ressourcenobjekten
implementiert, die Einrichtungen 204, Nutzer 206,
Hosts 208, Dienste 210 und Zeit 220 umfassen.
Somit kann eine Firewall-Policy definiert werden, indem einfach
die für
die Policy geltenden Einrichtungen, Nutzer, Hosts, Dienste und Zeiten
zugeordnet werden. Die Einrichtungen, Nutzer, Hosts und Dienste
sind vorzugsweise in Gruppen 212, 214, 216 und 218,
mit einem Gruppennamen, einer Beschreibung und den Mitgliedsinformationen
organisiert, um eine intuitivere Art der Adressierung und Organisation
der Ressourcen zu gewährleisten.As in 2 Each object in the structure is preferably stored as an LDAP entry. At the top of the hierarchy is the policy server domain object 201 arranged various policy server resources and a set of policy domain objects (generally with 204 designated). Each policy domain object 240 is a grouping of policy enforcers with shared policies. Each policy domain object 240 includes a resource root object 200 and a group root object 202 , All policy management functions are preferably implemented in the form of resource objects, the facilities 204 , Users 206 , Hosts 208 , Services 210 and time 220 include. Thus, a firewall policy can be defined simply by associating the policies, users, hosts, services, and times that apply to the policy. The facilities, users, hosts and services are preferably in groups 212 . 214 . 216 and 218 , organized with a group name, description, and member information to provide a more intuitive way of addressing and organizing resources.
Die
Nutzer 206 sind vorzugsweise einer Nutzerdomäne zugeordnet,
die ein sicheres und effizientes Mittel zu Überprüfung der Nutzerberechtigung
bietet. Jede Nutzerdomäne
verfügt über einen
einzelnen Policy-Enforcer, der befugt ist, die Nutzerberechtigung
zu überprüfen. Somit
gewährleisten
Nutzerdomänen,
dass sich der zur Überprüfung berechtigte
Agent im Allgemeinen im gleichen lokalen Netz befindet wie der Nutzer. Auf
diese Weise können
die Kosten der Netzabhängigkeit
oder der Netzlatenzzeit während
des Nutzer-Überprüfungsprozesses
reduziert werden. Es ist jedoch anzumerken, dass es sich bei den
Nutzern auch um befugte, im Wählverfahren
angeschlossene Nutzer 114 und Nutzer aus dem Kundennetz 106 handeln
kann. Diese Nutzer kontaktieren einen entfernten Agenten zur Überprüfung der
Berechtigung, der die Nutzerüberprüfung zurück an den
entsprechenden Proxy-Policy-Enforcer übermittelt.The users 206 are preferably associated with a user domain that provides a secure and efficient means of checking user authorization. Each user domain has a single Policy Enforcer that has the authority to verify the user's permission. Thus, user domains ensure that the validated agent is generally on the same local network as the user. In this way, the cost of network dependency or network latency can be reduced during the user verification process. It should be noted, however, that users are also authorized users connected in the dialing process 114 and users from the customer network 106 can act. These users contact a remote validation agent, who submits the user review back to the appropriate proxy policy enforcer.
Hosts 208 sind
die verschiedenen, in einer Organisation vorhandenen Netze. Ein
bestimmtes LAN-Teilnetz kann beispielsweise in einem System als
Host spezifiziert werden. Hosts 208 sind vorzugsweise auf
der Grundlage ihres physischen Standorts innerhalb der Organisation
organisiert. Der physische Standort eines Hosts wird von der Einrichtung
(Policy-Enforcer) 204 gekennzeichnet, die dem Host zugeordnet
ist.hosts 208 are the various networks that exist in an organization. For example, a particular LAN subnet may be specified as a host in a system. hosts 208 are preferably organized on the basis of their physical location within the organization. The physical location of a host is determined by the device (Policy Enforcer) 204 flag assigned to the host.
Dienste 210 beinhalten
die verschiedenen Dienste, die vom Policy-Server 122 bereitgestellt
werden. Solche Dienste sind beispielsweise Multimedia-Streaming/-Konferenzen,
Abruf von Informationen, Sicherheit und Überprüfung von Berechtigungen, Datenbankanwendungen,
E-Mail-Anwendungen, Routing-Anwendungen, Standard-Kommunikationsprotokolle
und Ähnliches.
Die dem jeweiligen Service zugeordneten Attribute umfassen vorzugsweise
Dienstnamen, Beschreibung, Typ (z.B. HTTP, HTTPS, FTP, TELNET, SMTP,
Real Networks und Ähnliches)
und Gruppe.services 210 Include the various services provided by the policy server 122 to be provided. Such services include multimedia streaming / conferencing, information retrieval, security and privilege validation, database applications, e-mail applications, routing applications, standard communication protocols, and the like. The attributes associated with each service preferably include service name, description, type (eg, HTTP, HTTPS, FTP, TELNET, SMTP, Real Networks, and the like) and group.
Einrichtungen 204 sind
die Policy-Enforcer 124, 126, an den Kanten eines
bestimmten lokalen Netzes. Jede/-r Einrichtung/Policy-Enforcer umfasst
vorzugsweise Nutzer 206 und ein/-en Host/Netz 208,
das von dem Policy-Enforcer verwaltet wird.facilities 204 are the policy enforcers 124 . 126 , at the edges of a particular local area network. Each entity / policy enforcer preferably includes users 206 and a host / network 208 that is managed by the policy enforcer.
Zeit 220 ist
eine weitere Dimension für
die Zugangskontrolle zu den Netzwerkressourcen. Bei der Erstellung
der Firewall-Policies können
verschiedene Zeitobjekte, die einen bestimmten Zeitbereich abdecken, erstellt
und genutzt werden.Time 220 is another dimension for access control to network resources. When creating the firewall policies, different time objects that cover a specific time range can be created and used.
Ähnlich wie
Ressourcen werden auch die Netz-Policies vorzugsweise in Form von
Objekten zur effizienten und intuitiven Definition der Policies
definiert. Policies werden von den Administratoren definiert und
von den Policy-Enforcern 124, 126, im Netzverkehr
zwischen dem öffentlichen
Internet 108 und den lokalen Netzen 102 und 104 durchgesetzt.Similar to resources, the network policies are preferably defined in the form of objects for the efficient and intuitive definition of the policies. Policies are defined by the administrators and by the policy enforcers 124 . 126 , in the network traffic between the public Internet 108 and the local networks 102 and 104 enforced.
Gemäß einer
Ausführungsvariante
der Erfindung umfasst ein Policy-Objekt 222 eine Bandbreiten-Policy 224,
eine Firewall-Policy 226, eine Verwaltungspolicy 228 und
eine VPN-Policy 230. Die VPN- Policy 230 definiert eine Sicherheitspolicy
für die
Mitgliedsnetze und umfasst eine oder mehrere VPN-Clouds 232.
Jede VPN-Cloud 232 ist ein einzelnes VPN oder eine Gruppe
VPNs, die eine Gruppe mit Sicherheitspolicies definieren, die eine
Liste der Standorte 234 und Nutzer 236 umfasst,
die miteinander kommunizieren können.
Ein Standort ist vorzugsweise eine Gruppe aus Hosts/Netzen, die
physisch hinter einem der Policy-Enforcer 124, 126 angeordnet
sind. In anderen Worten ist ein Standort die Definition eines Netzes,
das den Policy-Enforcer umfasst, der mit ihm verbunden ist. Die
Policy-Enforcer
für die
Standorte fungieren als VPN-Tunnelendpunkte, sobald die Hosts an
den Standorten zu kommunizieren beginnen. Diese Kommunikationen
unterliegen bestimmten Regeln 238, die für jede VPN-Cloud konfiguriert
werden. Die Regeln 238 können, unter anderem, VPN-Zugangsberechtigungen
und Sicherheitsmerkmale, wie z.B. das Niveau der Verschlüsselung
und die verwendete Zugangsberechtigung für die Connectivity auf der
jeweiligen Netzebene vorgeben.According to an embodiment variant of the invention comprises a policy object 222 a bandwidth policy 224 , a firewall policy 226 , a management policy 228 and a VPN policy 230 , The VPN policy 230 defines a security policy for the member networks and includes one or more VPN clouds 232 , Every VPN cloud 232 is a single VPN or group of VPNs that define a group of security policies that provide a list of sites 234 and users 236 includes that can communicate with each other. A site is preferably a group of hosts / networks that are physically behind one of the policy enforcers 124 . 126 are arranged. In other words, a location is the definition of a network that includes the policy enforcer associated with it. The policy enforcers for the sites act as VPN tunnel endpoints when the hosts at the sites begin to communicate. These communications are subject to certain rules 238 that are configured for each VPN cloud. The rules 238 can, inter alia, VPN access permissions and security features, such as the level of encryption and ver specified access authorization for the connectivity at the respective network level.
Die
objektorientierte Struktur aus 2 bietet
den Netzadministratoren die Möglichkeit,
die Policies auf intuitive und umfassende Weise zu definieren. Solche
Policies können
durch einfache Zuordnung von Ressourcen und Policies definiert werden.
Dies ermöglicht
ein auf die Policy ausgerichtetes Managementmodell, in dem der Administrator
den Eindruck erhält,
dass ein einzelner logischer Server die Firewall, das Bandbreiten-Management
und die VPN-Dienste für
das gesamte Unternehmen bereitstellt. Die Tatsache, dass die Policy über einzelne
Policy-Enforcer an verschiedenen Standorten durchgesetzt wird, ist
für den
Administrator transparent.The object-oriented structure 2 gives network administrators the ability to define policies in an intuitive and comprehensive way. Such policies can be defined by simply assigning resources and policies. This enables a policy-driven management model that gives the administrator the impression that a single logical server provides the firewall, bandwidth management, and VPN services to the entire enterprise. The fact that the policy is enforced via individual policy enforcers in different locations is transparent to the administrator.
III. POLICY-BASIERTE NETZARCHITEKTURIII. POLICY-BASED NETWORK ARCHITECTURE
3 ist
ein detaillierteres schematisches Blockdiagramm des Policy-Servers 122 gemäß einer
Ausführungsvariante
der Erfindung. Der Policy-Server 122 umfasst vorzugsweise
ein Management-Modul 302, das die zentrale Steuerung der
Policy-Enforcer 124, 126, von einer einzelnen
Konsole aus ermöglicht.
Der Policy-Server 122 umfasst außerdem ein Protokollerfassungs-
und -archivierungsmodul 304 und ein Policy-Server-Berichtmodul 316.
Das Protokollerfassungs- und -archivierungsmodul 304 erfasst
Informationen über
den Status und den Einsatz der Ressourcen von den Policy-Enforcern 124, 126,
sowie vom Management-Modul 302, und speichert diese in
einer Archivdatenbank 318. Das Policy-Server-Berichtmodul 316 verwendet
die erfassten Protokolle und Archivdaten, um Berichte in einem strukturierten
Berichtformat zu erstellen. 3 is a more detailed schematic block diagram of the policy server 122 according to an embodiment of the invention. The policy server 122 preferably includes a management module 302 , which is the central controller of policy enforcers 124 . 126 , made possible from a single console. The policy server 122 also includes a log collection and archiving module 304 and a policy server report module 316 , The log collection and archiving module 304 collects information about the status and use of resources from policy enforcers 124 . 126 , as well as the management module 302 , and stores them in an archive database 318 , The policy server report module 316 Uses the collected logs and archive data to generate reports in a structured report format.
In
Bezug auf das Management-Modul 302, umfasst das Management-Modul 302 vorzugsweise
vier Submodule, die die zentrale Steuerung unterstützen, insbesondere
ein zentrales Management-Submodul 306, ein Policy-Management-Submodul 308,
eine sicheres, rollenbasiertes Management-Submodul 310 und
ein Management-Submodul für
die Connectivity mit mehreren Standorten 312.In terms of the management module 302 , includes the management module 302 preferably four submodules that support the central control, in particular a central management submodule 306 , a policy management submodule 308 , a secure, role-based management submodule 310 and a multi-site connectivity management submodule 312 ,
Das
zentrale Management-Submodul 306 bietet dem Netzadministrator
die Möglichkeit,
einzelne Policy-Enforcer von einem zentralen Standort aus zu installieren
und zu verwalten. Der Netzadministrator nutzt vorzugsweise eine
graphische Benutzerschnittstelle auf Webbasis, um die Netzkonfiguration
des Policy-Enforcers zu definieren und verschiedene Aspekte der
Einrichtung zu überwachen,
z.B. den Status der Einrichtung, die Alarmmeldungen, den VPN-Anschlussstatus
und Ähnliches.The central management submodule 306 provides the network administrator with the ability to install and manage individual policy enforcers from a central location. The network administrator preferably uses a web-based graphical user interface to define the policy enforcer's network configuration and to monitor various aspects of the device, such as device status, alarm messages, VPN port status, and the like.
Das
Policy-Management-Submodul 308 bietet dem Netzadministrator
die Möglichkeit,
Policies zu erstellen, die zahlreiche Funktionsaspekte des Policy-Enforcers
(z.B. Firewall, Bandbreiten-Management
und virtuelle private Netze), zahlreiche Ressourcen (z.B. Nutzer,
Hosts, Dienste und Zeit) und mehrere Policy-Enforcer umfassen.The policy management submodule 308 provides the network administrator with the ability to create policies that include many policy enforcer functional aspects (eg, firewall, bandwidth management, and virtual private networks), multiple resources (eg, users, hosts, services, and time) and multiple policy enforcers.
Das
sichere, rollenbasierte Management-Submodul 310 gewährleistet
ein rollenbasiertes Management, das den Administratoren die Möglichkeit
bietet, die Verwaltungsfunktionen an andere Administratoren zu delegieren.
Dieses Submodul gewährleistet
vorzugsweise die maximale Sicherheit in Bezug auf den Zugriff auf die
Managementfunktionen.The secure, role-based management submodule 310 Provides role-based management that allows administrators to delegate administrative functions to other administrators. This sub-module preferably ensures maximum security in terms of accessing the management functions.
Das
Management-Submodul für
die Connectivity mit mehreren Standorten 312 ermöglicht dem
Netzadministrator, sichere Kommunikationskanäle zwischen einem oder mehreren
entfernten Standorten einzurichten. Dabei nutzt dieses Submodul
das zentrale Management-Submodul 306, das Policy-Management-Submodul 308,
die dynamischen Routingfähigkeiten
der Policy-Enforcer 124, 126, und die Managementinfrastruktur,
um virtuelle private Netze innerhalb des Unternehmens mit detaillierter
Zugangskontrolle bereit zu stellen.The multi-site connectivity management submodule 312 Allows the network administrator to set up secure communication channels between one or more remote sites. This submodule uses the central management submodule 306 , the policy management submodule 308 , the dynamic routing capabilities of Policy Enforcers 124 . 126 and the management infrastructure to provide virtual private networks within the enterprise with detailed access control.
4 ist
eine detailliertere schematische Darstellung des zentralen Policy-Management-Submoduls 306 gemäß einer
Ausführungsvariante
der Erfindung. Das Submodul umfasst einen Policy-Server-Installationsassistenten 404,
der eine interaktive Benutzerschnittstelle bietet, die Hilfestellung
für die
Installation des Policy-Servers 122 bietet. Zu diesem Zweck
hat der Netzadministrator Zugang zu einem Personal Computer, der über ein
Verbindungskabel, einen Hub oder Ähnliches an den LAN-Port des
Policy-Servers 122 angeschlossen ist. Der Netzadministrator
stellt die Verbindung zum Policy-Server 122 vorzugsweise
durch die Eingabe der URL des Policy-Servers 122 in einen
Standard-Internetbrowser, wie beispielsweise den Microsoft Internet
Explorer, her. Die URL weist vorzugsweise folgende Form auf:
„http://<ipaddress>:88/index.html", wobei <ipaddress> der dem Policy-Server
zugeordneten IP-Adresse entspricht. Die IP-Adresse wird dem Policy-Server
automatisch zugeordnet, wenn der Browser versucht, mit dieser Adresse
Verbindung aufzunehmen. Wenn der Personal Computer des Administrators
eine Address Resolution Protocol-Anfrage für die IP-Adresse versendet,
erfasst der Policy-Server,
dass ein Paket an Port 88 nicht beansprucht wird und nimmt
die IP-Adresse an. 4 is a more detailed schematic of the central policy management submodule 306 according to an embodiment of the invention. The submodule includes a policy server installation wizard 404 which provides an interactive user interface to help install the policy server 122 offers. For this purpose, the network administrator has access to a personal computer that has a connection cable, a hub, or the like to the LAN port of the policy server 122 connected. The network administrator connects to the policy server 122 preferably by entering the URL of the policy server 122 into a standard Internet browser, such as Microsoft Internet Explorer. The URL preferably has the following form:
"Http: // <ipaddress>: 88 / index.html", where <ipaddress> is the IP address associated with the policy server, and the IP address is automatically assigned to the policy server if the browser attempts to use it Address When the administrator's personal computer sends an Address Resolution Protocol request for the IP address, the policy server detects that it has a packet on port 88 Not is claimed and takes the IP address.
Sobald
die Verbindung hergestellt ist, ruft der Policy-Server-Installationsassistent 404 die
interaktive Benutzerschnittstelle auf, den Netzadministrator bei
der Einrichtung des Policy Servers 122 zu unterstützen. Der
Policy-Server-Installationsassistent 404 fordert den Administrator
unter anderem auf, einen Servernamen, eine IP-Adresse für den Server
und eine IP-Adresse für
den Router einzugeben. Außerdem
fordert der Policy-Server-Installationsassistent 404 den
Administrator auf, eine der verschiedenen Standard-Policies zur
Erstellung von Standard- Firewall,
VPN, Bandbreite und Administrator-Policies auszuwählen. Diese
Policies werden dann auf jedem neuen Policy-Enforcer repliziert,
der beim Policy-Server 122 registriert wird.Once the connection is made, the Policy Server Installation Wizard will call 404 the interactive user interface on, the network administrator when setting up the policy server 122 to support. The Policy Server Installation Wizard 404 Among other things, the administrator asks for a server name, an IP address for the server, and an IP address for the router. In addition, the Policy Server Installation Wizard prompts 404 Allow the administrator to select one of several default policies to create default firewall, VPN, bandwidth, and administrator policies. These policies will then be replicated to each new Policy Enforcer attached to the policy server 122 is registered.
Das
zentrale Management-Submodul 306 umfasst außerdem einen
Policy-Enforcer-Installationsassistenten 406, der eine
interaktive Benutzerschnittstelle zur Unterstützung der Installation der
Policy-Enforcer 124, 126,
bietet. Ebenso wie bei der Installation des Policy-Servers 122,
erfolgt der Zugriff auf den Assistenten 406 vorzugsweise
auf Webbasis über
den Personal Computer des Netzadministrators.The central management submodule 306 also includes a Policy Enforcer installation wizard 406 , which provides an interactive user interface to support the installation of Policy Enforcers 124 . 126 , offers. As with the installation of the policy server 122 , the access to the assistant takes place 406 preferably web-based via the network administrator's personal computer.
Sobald
die Verbindung hergestellt ist, fordert der Policy-Enforcer-Installationsassistent 406 die
interaktive Benutzerschnittstelle auf, den Netzadministrator bei
der Einrichtung eines bestimmten Policy-Enforcers 124, 126 zu
unterstützen.
Der Policy-Enforcer-Installationsassistent 464 fordert
den Administrator unter anderem auf, die IP-Adresse des Policy-Servers,
die IP-Adresse des Policy-Enforcers und die IP-Adresse des Routers
einzugeben. Der Policy-Enforcer wird dann im Policy-Server 122 registriert,
indem er im Policy-Server die URL mit seinen eigenen grundlegenden
Bootstrap-Informationen
aufruft. Die Registrierung des Policy-Enforcers ermöglicht die
Initialisierung der Policy-Enforcer-Datenbank 132, 134,
mit den Konfigurationsinformationen sowie die Überwachung von Status und Zustand
des Policy-Enforcers über
den Policy-Server 122.Once the connection is made, the Policy Enforcer Installation Wizard prompts 406 the interactive user interface on, the network administrator when setting up a particular policy enforcer 124 . 126 to support. The Policy Enforcer Installation Wizard 464 Among other things, the administrator asks for the IP address of the policy server, the IP address of the policy enforcer, and the IP address of the router. The policy enforcer will then be in the policy server 122 registered by calling the URL in the policy server with its own basic bootstrap information. Registration of the Policy Enforcer enables initialization of the Policy Enforcer database 132 . 134 , with the configuration information as well as monitoring the status and state of the policy enforcer via the policy server 122 ,
Vor
der Registrierung des Policy-Enforcers im Policy-Server 122,
meldet der Netzadministrator den Policy-Enforcer vorzugsweise im
Policy-Server an. Diese Voranmeldung ermöglicht die Erstellung eines
Platzhalterknotens im Policy-Server für die Daten des Policy-Enforcers, wenn sich
der Policy-Enforcer tatsächlich registriert.
Zu diesem Zweck umfasst das zentrale Management-Submodul 306 eine
Konfigurationsschnittstelle 410, die die Voranmeldung eines
neuen Policy-Enforcers ermöglicht.Before registering the policy enforcer in the policy server 122 , the network administrator preferably logs the policy enforcer in the policy server. This pre-logon allows you to create a wildcard node in the policy server for policy enforcer data when the policy enforcer actually registers. For this purpose, the central management sub-module includes 306 a configuration interface 410 which allows the pre-registration of a new Policy Enforcer.
5 ist
ein beispielhaftes Ablaufdiagramm für den Voranmelde- und Registrierungsprozess
eines Policy-Enforcers gemäß einer
Ausführungsvariante
der Erfindung. In Schritt 401 wird der Policy-Enforcer
mit dem Netz verbunden und mit Hilfe des oben beschriebenen Policy-Enforcer-Installationsassistenten 406 an seinem
tatsächlichen,
physischen Standort installiert. Der Netzadministrator, der über die
Seriennummer der neuen Einrichtung verfügt, meldet den Policy-Enforcer
an, indem er in Schritt 403 einer Gerätegruppe einen neuen Policy-Enforcer
hinzufügt.
Zu diesem Zweck ruft die Konfigurationsschnittstelle 410 eine
interaktive graphische Schnittstelle auf, wie in 6 dargestellt,
die dem Netzadministrator die Möglichkeit
bietet, den Gerätenamen 415,
die Seriennummer 417 und die Angaben zum Standort 419 einzugeben;
außerdem
hat der Administrator die Möglichkeit,
eine Gerätegruppe 421 auszuwählen, der
der neue Policy-Enforcer angehören soll.
Durch die Betätigung
einer Schaltfläche 423 nimmt
der neue Policy-Enforcer in Schritt 405 mit dem Policy-Server 122 Verbindung
auf, indem er vorzugsweise eine URL im Policy-Server aufruft. Sobald
die Verbindung zum Policy-Server hergestellt wurde, übermittelt
der neue Policy-Enforcer dem Policy-Server sein Registrierungspaket.
Das Registrierungspaket umfasst mindestens die Seriennummer des
neuen Policy-Enforcers sowie die IP-Adressen von LAN, WAN und DMS
im Policy-Enforcer. In Schritt 407 vergleicht das zentrale
Management-Submodul 306 die
Seriennummer des neuen Policy-Enforcers mit der Liste der im Policy-Server 122 vorangemeldeten
Policy-Enforcer. Wird eine Übereinstimmung
gefunden, führt
der Policy-Server 122 den Registrierungsprozess durch,
indem er in Schritt 409 die Einstellungen, die bei der
Installation für
den Policy-Enforcer festgelegt wurden, vorzugsweise in einer Datei
im LDAP-Datenaustauschformat
(ldif) abspeichert. In Schritt 411 wird die Datei an den
Policy-Enforcer, vorzugsweise über
einen HTTPS-Kanal übertragen,
indem ein Common Gateway Interface (CGI) im Policy-Enforcer aufgerufen
wird. Der Policy-Enforcer verwendet dann die Datei, um in Schritt 413 seine
Konfigurationsdatenbank, z.B. die Datenbank 132, 134,
zu initialisieren. 5 is an exemplary flowchart for the pre-registration and registration process of a policy enforcer according to an embodiment of the invention. In step 401 The Policy Enforcer connects to the network using the Policy Enforcer Installation Wizard described above 406 installed at its actual, physical location. The network administrator who has the new facility's serial number logs in the policy enforcer by going to step 403 Add a new Policy Enforcer to a device group. For this purpose calls the configuration interface 410 an interactive graphical interface on, as in 6 presented to the network administrator, the device name 415 , the serial number 417 and the location information 419 enter; In addition, the administrator has the option of a device group 421 to select the new Policy Enforcer to belong to. By pressing a button 423 takes the new policy enforcer in step 405 with the policy server 122 Connection by preferably invoking a URL in the policy server. Once connected to the policy server, the new policy enforcer submits the policy server its registration package. The registration package includes at least the new Policy Enforcer serial number and the LAN, WAN, and DMS IP addresses in the Policy Enforcer. In step 407 compares the central management submodule 306 the serial number of the new Policy Enforcer with the list of policy servers 122 pre-registered policy enforcer. If a match is found, the policy server executes 122 the registration process by going in step 409 stores the settings that were set during the installation for the policy enforcer, preferably in a file in the LDAP data exchange format (ldif). In step 411 the file is transmitted to the Policy Enforcer, preferably over an HTTPS channel, by invoking a Common Gateway Interface (CGI) in the Policy Enforcer. The policy enforcer then uses the file to step in 413 its configuration database, eg the database 132 . 134 to initialize.
Wiederum
unter Bezug auf 4 umfasst das zentrale Management-Submodul 306 ebenfalls
eine globale Monitor-Benutzerschnittstelle 402 und
ein Datenerfassungsprogramm 412, die jeweils den Zustand und
den Status aller Policy-Enforcer anzeigen und erfassen, die vom
Policy-Server 122 verwaltet werden. Das Datenerfassungsprogramm 412 erhält die Zustands-
und Statusinformationen von allen Up-and-Running-Policy-Enforcern,
die es verwaltet, und überträgt die relevanten
Informationen an die globale Monitor-Benutzerschnittstelle. Ein
Zustands-Agent, der als Deamon in allen Policy-Enforcern läuft, die
regelmäßig überwacht werden,
erfasst die Daten des Geräts
und analysiert dessen Status. Die erfassten Daten werden an den
Policy-Server 122 übermittelt,
wenn diese vom Datenerfassungsprogramm 412 abgerufen werden.Again referring to 4 includes the central management submodule 306 also a global monitor user interface 402 and a data collection program 412 , each displaying and capturing the state and status of all Policy Enforcers sent by the policy server 122 to get managed. The data acquisition program 412 obtains the state and status information from all the up-and-running policy enforcers it manages, and transmits the relevant information to the global monitor UI. A state agent, which runs as a deamon in all policy enforcers that are regularly monitored, collects the device's data and analyzes its status. The collected data will be sent to the Poli cy server 122 when submitted by the data collection program 412 be retrieved.
7 ist
eine Bildschirmdarstellung einer beispielhaften globalen Monitor-Benutzerschnittstelle 402, die
verschiedene Typen von Zustands- und Statusinformationen anzeigt.
Solche Informationen können
sich auf den Zustand der Einrichtung, wie Systembelastung 712 und
Netz-Benutzungsinformationen 714 beziehen. Die Informationen
können
sich auch auf aktuelle Alarmmeldungen 716 für die Einrichtung,
einschließlich Alarmname,
Typ, Beschreibung und Ähnliches
beziehen. Die Informationen können
sich außerdem
auf aktuelle VPN-Verbindungen 718, einschließlich Verbindungstyp,
Quelle/Ziel, Dauer und VPN-Verkehrsvolumen beziehen. 7 Figure 12 is a screen shot of an exemplary global monitor user interface 402 which displays various types of status and status information. Such information can affect the state of the device, such as system load 712 and network usage information 714 Respectively. The information can also be updated on current alarm messages 716 for the facility, including alarm name, type, description and the like. The information can also look at current VPN connections 718 Include connection type, source / destination, duration, and VPN traffic volume.
Erneut
unter Bezug auf 3 ermöglicht das Policymanagement-Submodul 308 das
Policymanagement der Policy-Enforcer 124, 126.
Wie oben beschrieben, sind alle Funktionen für das Policy-Management in Form
von Ressourcenobjekten implementiert, die in den Policy-Datenbanken 130, 132, 134,
gespeichert sind, einschließlich
Nutzern, Einrichtungen, Hosts, Diensten und Zeit. Vorzugsweise sind
alle Ressourcen den Standard-Policy-Einstellungen, die vom Administrator
während
des Installationsprozesses ausgewählt werden, zugeordnet. Der
Netzadministrator kann sich die Policies zentral über eine
graphische Benutzerschnittstelle, die von dem Policy-Management-Submodul 308 bereit
gestellt wird, anzeigen lassen, weitere hinzufügen oder modifizieren. Dies
ermöglicht
ein zentrales Policy-Managementmodell,
wobei dem Administrator der Eindruck vermittelt wird, dass ein einzelner
logischer Server die Firewall, das Bandbreitenmanagement und die VPN-Dienste
für das
gesamte Unternehmen bereitstellt. Die Tatsache, dass die Policy über einzelne
Policy-Enforcer an verschiedenen Standorten durchgesetzt wird, ist
für den
Administrator transparent.Again referring to 3 enables the policy management submodule 308 the policy management of policy enforcers 124 . 126 , As described above, all policy management functions are implemented in the form of resource objects stored in policy databases 130 . 132 . 134 , including users, facilities, hosts, services and time. Preferably, all resources are associated with the default policy settings selected by the administrator during the installation process. The network administrator can centrally view the policies through a graphical user interface provided by the policy management submodule 308 is provided, display, add or modify. This provides a centralized policy management model, giving the administrator the impression that a single logical server provides firewall, bandwidth management, and VPN services to the entire enterprise. The fact that the policy is enforced via individual policy enforcers in different locations is transparent to the administrator.
8 ist
eine beispielhafte graphische Benutzerschnittstelle, die von dem
Policy-Management-Submodul 308 bereitgestellt wird. Die
Schnittstelle umfasst eine Ressourcenpalette 718, die eine
Liste der Ressourcenregister umfasst, einschließlich einem Nutzerregister 718a,
einem Geräteregister 718b,
einem Hostregister 718c, einem Diensteregister 718d und
einem Zeitregister 718e. Die Ressourcenpalette bietet dem
Administrator die Möglichkeit,
Ressourcendefinitionen über
eine einzelne Konsole hinzuzufügen
und zu ändern. 8th is an exemplary graphical user interface provided by the policy management submodule 308 provided. The interface includes a resource palette 718 which includes a list of resource registers, including a user register 718a , a device register 718b , a host register 718c , a service register 718d and a time register 718e , The resource palette allows the administrator to add and modify resource definitions from a single console.
Nach
der Auswahl des Benutzerregisters 718a erfolgt die Anzeige
der für
das System definierten Nutzergruppen 722. Der Gruppe können neue
Nutzer hinzugefügt
werden, indem eine bestimmte Gruppe ausgewählt wird und die verschiedenen
Nutzerattribute wie z.B. Login-Name, vollständiger Name, Policy-Enforcer, dem
der Nutzer zugeordnet ist, Berechtigungsschema, Passwort und Ähnliches
definiert werden.After selecting the user register 718a the system displays the user groups defined for the system 722 , New users can be added to the group by selecting a specific group and defining the different user attributes such as login name, full name, policy enforcer to which the user is assigned, authorization scheme, password and the like.
Nach
der Auswahl der Geräteregisterkarte 718b werden
verschiedene Symbole zur Geräteverwaltung zur
Verwaltung des Policy-Servers 122 und
der Policy-Enforcer 124, 126, angezeigt, wie in 9 dargestellt. Ein
Symbol für
die Policy-Server-Systemeinstellungen 750 bietet dem Netzadministrator
die Möglichkeit,
Systemeinstellungen wie LAN oder WAN/DMS-IP-Adressen des Policy-Servers 122 anzuzeigen
und zu ändern. Ein
Symbol für
die Policy-Server-Archivoptionen 752 ermöglicht die
Spezifikation von Berichten oder anderen Datenbank-Archivoptionen
für den
Policy-Server 122. Ein Symbol zur globalen URL-Blockierung 754 bietet dem
Administrator die Möglichkeit,
eine Liste von nicht zugelassenen Internet-Seiten 116 zu
erstellen, die von allen Policy-Enforcern 124, 126,
des Systems blockiert werden sollen. In gleicher Weise ermöglicht das
Symbol für
eine globale Spam-Liste 756 dem Administrator, eine Liste
aller E-Mail-Adressen
von Spammern 118 zu erstellen, die von allen Policy-Enforcern blockiert
werden sollen.After selecting the device tab 718b are various device management icons used to manage the policy server 122 and the policy enforcer 124 . 126 , displayed as in 9 shown. An icon for the policy server system settings 750 provides the network administrator with the ability to set system settings such as LAN or WAN / DMS IP addresses of the policy server 122 to display and change. An icon for Policy Server archive options 752 Allows the specification of reports or other database archive options for the policy server 122 , A global URL blocking icon 754 gives the administrator the option of a list of unauthorized Internet sites 116 to be created by all Policy Enforcers 124 . 126 , the system should be blocked. In the same way, the symbol allows for a global spam list 756 the administrator, a list of all e-mail addresses of spammers 118 to be blocked by all Policy Enforcers.
Der
Administrator kann die Informationen über alle Policy-Enforcer 124, 126,
anzeigen, indem er das Symbol 758 auswählt.The administrator can view the information about all Policy Enforcers 124 . 126 , show by the icon 758 selects.
Informationen über einen
speziellen Policy-Enforcer können
durch die Auswahl eines speziellen Policy-Enforcers 760 in
einer bestimmten Gerätegruppe 761 angezeigt
werden. Solche Informationen umfassen Informationen über die
Geräteeinstellungen 762,
Informationen über
URL-Blockierungen 764, Informationen über die Spam-Liste 766 und ähnliche
Informationen, die die für
ausgewählten
Policy-Enforcer spezifisch sind. So erfolgt beispielsweise nach
der Auswahl des Symbols für
die URL-Blockierinformationen 764 des Policy-Enforcers
die Anzeige der verschiedenen URL-Kategorien 768, die der
Netzadministrator für
die Blockierung durch den gewählten
Policy-Enforcer
auswählen
kann.Information about a specific policy enforcer can be obtained by selecting a specific policy enforcer 760 in a particular device group 761 are displayed. Such information includes information about the device settings 762 , Information about URL blocks 764 , Information about the spam list 766 and similar information specific to selected policy enforcers. For example, after selecting the icon for the URL blocking information 764 Policy Enforcer display the various URL categories 768 which the network administrator can select for blocking by the selected policy enforcer.
Nach
der Auswahl des Hostregisters 718c erfolgt die Anzeige
verschiedener Hosts (Netze) des Systems, wie in 10 dargestellt.
Ein Host ist auf der Basis seines physischen Standorts organisiert
und zudem einem bestimmten Policy-Enforcer 124, 126,
zugeordnet. Hosts sind verschiedenen Attributen zugeordnet, einschließlich eines
eindeutigen Namens 770, einer IP-Adresse im Netz 772 und
einer Subnet-Maske 774. Außerdem kann der Netzadministrator
festlegen, ob es sich bei dem Host um einen externen Host 776 handelt, der
zu einem Netz gehört,
das nicht vom Policy-Server 122 verwaltet wird. Falls es
sich um einen externen Host handelt, spezifiziert der Administrator
eine IP-Adresse 778 der externen Einrichtung, zu der der
Host gehört.
Ein Einrichtungsfeld 780 bietet dem Administrator die Möglichkeit,
den Namen des Policy-Enforcers einzugeben, zu dem der Host gehört. Jeder
Host ist außerdem
einer bestimmten Gruppe 782 zugeordnet, die vom Administrator
festgelegt wird.After selecting the host register 718c the display of various hosts (networks) of the system takes place, as in 10 shown. A host is organized based on its physical location as well as a specific policy enforcer 124 . 126 , assigned. Hosts are assigned to various attributes, including a unique name 770 , an IP address in the network 772 and a subnet mask 774 , In addition, the network administrator can specify whether the host is an external host 776 These, that belongs to a network that is not from the policy server 122 is managed. If it is an external host, the administrator specifies an IP address 778 the external device to which the host belongs. A furnishing field 780 allows the administrator to enter the name of the policy enforcer to which the host belongs. Each host is also a specific group 782 assigned by the administrator.
Nach
der Auswahl des Diensteregisters 718d erfolgt die Anzeige
verschiedener Dienstegruppen, die vom Policy-Server 122 unterstützt werden,
wie in 11 dargestellt. Solche Dienstegruppen
umfassen beispielsweise Multimedia-Streaming/-Konferenzen, die Abfrage
von Informationen, Sicherheit und Berechtigungen, E-Mail-Anwendungen,
Routing-Anwendungen, Datenbank-Anwendungen, Standard-Kommunikationsprotokolle
und Ähnliches.
Falls gewünscht,
können
die Nutzer auch neue Dienstegruppen hinzufügen.After selecting the service register 718d The display of various service groups is carried out by the policy server 122 be supported, as in 11 shown. Such service groups include, for example, multimedia streaming / conferencing, information retrieval, security and permissions, e-mail applications, routing applications, database applications, standard communication protocols, and the like. If desired, users can also add new service groups.
Jedem
Dienst sind ein Name 784, eine Beschreibung 786 und
ein Diensttyp 788 (z.B. HTTP, HTTPS, FTP, TELNET, SMTP,
Real Networks oder Ähnliches)
zugeordnet. Außerdem
ist jeder Dienst einer Dienstegruppe 790 zugeordnet. Auf
der Basis des Diensttyps können
für den
Dienst auch zusätzliche
Informationen spezifiziert werden. Für einen HTTP-Dienst kann der
Administrator beispielsweise angeben, ob die URL-Blockierung 792 aktiviert
werden soll.Each service is a name 784 , a description 786 and a service type 788 (eg HTTP, HTTPS, FTP, TELNET, SMTP, Real Networks or similar). In addition, each service is a service group 790 assigned. Based on the service type, additional information may also be specified for the service. For example, for an HTTP service, the administrator can specify whether the URL is blocked 792 should be activated.
Nach
der Auswahl des Zeitregisters 718e erfolgt die Anzeige
verschiedener Zeitgruppen-Symbole 794, die den Zeitbereich
abdecken, der in den Firewall-Policies verwendet werden soll, wie
in 12 dargestellt. Die Auswahl des Symbols einer
Arbeitszeitgruppe bietet dem Netzadministrator beispielsweise die
Möglichkeit,
Tage und Zeiten einzugeben, die als Arbeitstage und -zeiten eingestellt
werden sollen.After selecting the time register 718e the display of different time group symbols takes place 794 that cover the time range that should be used in the firewall policies, as in 12 shown. For example, selecting the icon of a working time group allows the network administrator to enter days and times to be set as working days and times.
Wiederum
unter Bezug auf 8 umfasst die Schnittstelle
außerdem
ein Policy-Canvas 720, einschließlich einer Liste der Policies,
die im System verfügbar
sind. Eine Policy-Definition ist vorzugsweise eine Zuordnung eines
Ressourcensatzes, der von der Ressourcenpalette 718 gezogen
und im Policy-Canvas 720 abgelegt werden kann.Again referring to 8th The interface also includes a policy canvas 720 including a list of policies available in the system. A policy definition is preferably an association of a resource set that is from the resource palette 718 drawn and in the policy canvas 720 can be stored.
Nach
der Auswahl eines Firewall-Registers 720a erfolgt die Anzeige
aller Firewall-Policies, die für
eine bestimmte Policy-Domäne spezifiziert
wurden, einschließlich
eines oder mehrerer Policy-Enforcer. Der Netzadministrator entscheidet
während
der Voranmeldung des Policy-Enforcers, zu welcher Domäne der Policy-Enforcer gehören soll.
Die Schnittstelle bietet dem Administrator die Möglichkeit, verschiedene Policies
vom Policy-Server 122 anzuzeigen, hinzuzufügen und
zu ändern
und die Änderungen
an den Policy-Enforcern 124, 126, durchzuführen, ohne
dass diese Änderungen
einzeln an jedem Policy-Enforcer durchgeführt werden müssen.After selecting a firewall register 720a will display all firewall policies specified for a particular policy domain, including one or more policy enforcers. The network administrator decides to which domain the policy enforcer should belong during the policy enforcer's pre-registration. The interface gives the administrator the option of different policies from the policy server 122 view, add, and modify changes to the Policy Enforcers 124 . 126 to perform these changes individually to each Policy Enforcer.
Gemäß einer
Ausführungsvariante
der Erfindung umfasst jede Firewall-Policy ein Policy-Identifizierungsattribut
(ID) 724 zur Identifizierung einer bestimmten Policy-Regel
in der Liste der Policies. Ein Nummernattribut 726 für die Policy-Regel
gibt die Reihenfolge an, in der die Policy angewendet werden soll.
Zu diesem Zweck ruft der Policy-Enforcer 124, 126,
für das
lokale Netz nacheinander jeweils eine Regel ab, vergleicht diese
mit dem Netzwerkverkehr und wendet vorzugsweise die erste Regel
an, die dem Netzwerkverkehr entspricht.According to one embodiment of the invention, each firewall policy comprises a policy identification attribute (ID). 724 to identify a specific policy rule in the list of policies. A number attribute 726 Policy rule specifies the order in which the policy should be applied. For this purpose, the policy enforcer calls 124 . 126 , one at a time for each local network, compares it to network traffic and preferably applies the first rule that corresponds to network traffic.
Jede
Firewall-Policy enthält
außerdem
ein Beschreibungsattribut 728 zur Beschreibung der Firewall-Policy,
die umgesetzt werden soll. Die Beschreibung kann beispielsweise
anzeigen, dass die Policy Spam-Blockierung,
URL-Blockierung, VPN-Keymanagement und Ähnliches ermöglicht.
Ein Aktionsflaggen-Attribut 730 zeigt an, ob der Datenverkehr
für die
angezeigte Policy zugelassen oder abgelehnt wird. Ein aktives Kennzeichenattribut 732 zeigt
an, ob die Policy aktiviert oder deaktiviert wurde. Auf diese Weise
kann der Netzadministrator eine Policy erstellen und sie zu einem
späteren
Zeitpunkt aktivieren. Eine deaktivierte Policy hat vorzugsweise
keine Auswirkungen auf den Netzwerkverkehr.Each firewall policy also contains a description attribute 728 to describe the firewall policy to be implemented. For example, the description may indicate that the policy allows spam blocking, URL blocking, VPN key management, and the like. An action flag attribute 730 Indicates whether traffic is allowed or denied for the displayed policy. An active flag attribute 732 Indicates whether the policy has been activated or deactivated. This allows the network administrator to create a policy and enable it at a later time. A deactivated policy preferably has no effect on network traffic.
Jede
Firewall-Policy umfasst außerdem
ein Nutzerattribut 734, ein Quellattribut 736,
ein Dienstattribut 738, ein Zielattribut (nicht abgebildet)
und ein Zeitattribut (nicht abgebildet). Jedes dieser Attribute
wird vorzugsweise von einem Gruppennamen oder einem Ressourcennamen
dargestellt. Der Name fungiert als Pointer für eine Eingabe im Gruppenwurzelobjekt 202 oder
dem Ressourcenwurzelobjekt der LDAP-Datenbank 130, 132 oder 134.Each firewall policy also includes a user attribute 734 , a source attribute 736 , a service attribute 738 , a destination attribute (not shown) and a time attribute (not shown). Each of these attributes is preferably represented by a group name or a resource name. The name acts as a pointer to an entry in the group root object 202 or the resource root object of the LDAP database 130 . 132 or 134 ,
Das
Nutzerattribut 734 gibt vorzugsweise die Nutzergruppen
und Nutzer an, die für
die Policy ausgewählt
werden können.
Das Quellattribut 736 gibt den Ursprungspunkt im Netzwerkverkehr
an, der dem Nutzer zugeordnet ist. Das Dienstattribut 738 gibt
die Dienste an, die von der Policy freigegeben oder gesperrt werden.
Das Zielattribut gibt ein spezifisches LAN-, WAN- oder DMS-Segment
oder spezifische Hosts an, in denen die spezifizierten Dienste zugelassen
oder gesperrt sind. Um auf einem E-Mail-Server SMTP-POP-Dienste
zu konfigurieren, kann der Host die IP-Adresse darstellen, auf der
der E-Mail-Server läuft,
und die spezifizierten Dienste sind SMTP. Das Zeitattribut gibt
einen Zeitschlitz an, in dem die Policy wirksam ist.The user attribute 734 preferably indicates the user groups and users that can be selected for the policy. The source attribute 736 indicates the origin point in the network traffic associated with the user. The service attribute 738 Specifies the services that are shared or blocked by the policy the. The destination attribute specifies a specific LAN, WAN or DMS segment or specific hosts in which the specified services are allowed or disabled. To configure SMTP POP services on an e-mail server, the host can represent the IP address on which the e-mail server is running, and the specified services are SMTP. The time attribute specifies a time slot in which the policy is effective.
Neben
den oben Genannten umfasst jede Firewall-Policy außerdem ein
Authentifikationsattribut (nicht abgebildet), das das Authentifikationsschema
für die
Policy (z.B. ohne, LDAP, SecurID, RADIUS, WinNT oder alle) angibt.Next
The above includes any firewall policy as well
Authentication attribute (not shown) representing the authentication scheme
for the
Policy (e.g., without, LDAP, SecurID, RADIUS, WinNT or all).
14 ist
eine Bildschirmdarstellung einer beispielhaften graphischen Benutzerschnittstelle
zum Hinzufügen
einer neuen Firewall-Policy zur Policy-Domäne nach Betätigung der Schaltfläche „Hinzufügen" 725. Die
bestehenden Firewall-Policies können
anhand der Betätigung
der Schaltfläche „Ändern" 727 bzw. „Löschen" 729 geändert oder
gelöscht
werden. 14 is a screen shot of an exemplary graphical user interface for adding a new policy policy firewall policy after clicking on the "Add" button 725 , The existing firewall policies can be changed by clicking on the "Change" button 727 or "delete" 729 be changed or deleted.
Wie
in 14 dargestellt, kann eine neue Firewall-Policy
definiert werden, indem die Beschreibung der Policy einfach im Beschreibungsbereich 728a hinzugefügt wird,
indem die Aktion, die auf den entsprechenden Netzwerkverkehr angewendet
werden soll, in einem Aktionsfeld 730a ausgewählt wird
und im aktiven Bereich 732a angegeben wird, ob die Policy
aktiviert oder deaktiviert werden soll. Des Weiteren legt der Netzadministrator
Nutzer, Quelle, Dienste, Ziel und Zeit-Ressourcen im Nutzerbereich 734a,
Quellbereich 736a, Dienstebereich 738a, Zielbereich 739a bzw.
Zeitbereich 741 fest. Der Netzadministrator wählt in einem
Authentifikationsbereich 743 außerdem ein Authentifikationsschema
für die
Policy. Nach Betätigung
der Schaltfläche
OK 745 werden die entsprechenden Einträge im LDAP-Baum der Policy
Server-Datenbank geändert, um
die Eingabe der neuen Policy entsprechend widerzuspiegeln. Die Änderung
wird auch an die jeweiligen Policy-Enforcer übermittelt, wie dies im Folgenden
detailliert beschrieben wird.As in 14 As shown, a new firewall policy can be defined by simply describing the policy in the description area 728a is added by placing the action to be applied to the corresponding network traffic in an action box 730a is selected and in the active area 732a whether the policy should be activated or deactivated. In addition, the network administrator sets users, source, services, destination and time resources in the user area 734a , Source area 736a , Service area 738a , Target area 739a or time range 741 firmly. The network administrator dials in an authentication area 743 also an authentication scheme for the policy. After pressing the OK button 745 The corresponding entries in the LDAP tree of the Policy Server database are changed to reflect the entry of the new policy. The change will also be communicated to the respective policy enforcers, as described in detail below.
Wiederum
unter Bezug auf 8 ermöglicht die Auswahl des Bandbreiten-Registers 720c die
Anzeige, das Hinzufügen
und die Änderung
verschiedener Bandbreiten-Policies, die die Art der Bandbreite bestimmen,
die dem Verkehr zugeordnet wird, der durch einen bestimmten Policy-Enforcer
fließt.
Verschiedene Bandbreiten können
für unterschiedliche
Nutzer, Hosts und Dienste spezifiziert werden.Again referring to 8th allows selection of the bandwidth register 720c displaying, adding, and changing various bandwidth policies that determine the type of bandwidth associated with the traffic flowing through a particular policy enforcer. Different bandwidths can be specified for different users, hosts and services.
Die
Auswahl des Verwaltungsregisters 720d ermöglicht die
Anzeige, das Hinzufügen
und die Änderung
verschiedener Verwaltungs-Policies,
die dem obersten Netzadministrator die Möglichkeit bieten, die Verwaltungsverantwortung
an andere Administratoren zu delegieren. Zu diesem Zweck spezifiziert
der oberste Netzadministrator Verwaltungs-Policies, die festlegen,
welche Nutzer Zugriff auf welche Funktionen und auf welche Einrichtungen
haben. Die Verwaltungs-Policies umfassen vorzugsweise ähnliche
Attribute wie die Firewall-Regeln, mit Ausnahme der Spezifikation
eines Rollenattributs. Bestimmten Nutzern können in Abhängigkeit von ihrer Rolle zusätzliche
Verwaltungsprivilegien gewährt
werden.The selection of the administrative register 720d Allows you to view, add, and modify various management policies that allow the top-level network administrator to delegate administrative responsibility to other administrators. To do this, the top-level network administrator specifies management policies that determine which users have access to which features and facilities. The management policies preferably include attributes similar to the firewall rules, except for the specification of a role attribute. Certain users may be granted additional administrative privileges depending on their role.
IV. VIRTUELLES PRIVATES
NETZ MIT AUTOMATISCHER AKTUALISIERUNG VON BENUTZERERREICHBARKEITSINFORMATIONENIV. VIRTUAL PRIVATE
NETWORK WITH AUTOMATIC UPDATE OF USER REACHABILITY INFORMATION
Wiederum
unter Bezug auf 3 ermöglicht das Managementmodul
für die
Connectivity mehrerer Standorte 312 die Erstellung von
VPNs mit dynamischem Routing, wobei die VPN-Mitgliedslisten automatisch, ohne
statische Konfiguration der Mitgliedsinformationen durch den Netzadministrator
erstellt werden. Sobald der Administrator daher ein VPN über das
LAN eines Policy-Enforcers zu einem anderen konfiguriert, erfahren die
Routingprotokolle, wie z.B. RIPv1 oder RIPv2, die auf LAN-Schnittstellen
laufen, von den Netzen, die über ihre
jeweiligen Schnittstellen erreichbar sind. Diese Netze werden dann
zu Mitgliedern des VPN und die Policy-Enforcer 124, 126,
auf einer Seite des VPN erstellen Mitgliedstabellen, indem sie die
bekannten Strecken verwenden. Die Mitgliedsinformationen werden
vorzugsweise über
die LDAP-Datenbanken 132, 134, zwischen Policy-Enforcern 124, 126,
ausgetauscht. Auf diese Weise ermöglicht der kombinierte Einsatz
von Routing-Protokollen und LDAP die Erstellung von VPNs, deren
Mitgliedslisten dynamisch kompiliert werden.Again referring to 3 enables the management module to connect multiple sites 312 creating VPNs with dynamic routing, where the VPN member lists are automatically created without static configuration of member information by the network administrator. Therefore, as soon as the administrator configures a VPN over a policy enforcer's LAN to another, the routing protocols, such as RIPv1 or RIPv2, running on LAN interfaces will be aware of the networks reachable through their respective interfaces. These networks then become members of the VPN and the policy enforcers 124 . 126 to create member tables on one side of the VPN by using the known routes. The member information is preferably via the LDAP databases 132 . 134 , between policy enforcers 124 . 126 , exchanged. In this way, the combined use of routing protocols and LDAP allows the creation of VPNs whose member lists are dynamically compiled.
Wiederum
in Bezug auf 8 konfiguriert der Netzadministrator
VPN-Policies für
die Connectivity mehrerer Standorte unter Verwendung der Ressourcenpalette 718 und
des Policy-Canvas 720. Nach der Auswahl des VPN-Registers 720b im
Policy-Canvas 720 erfolgt die Anzeige einer Auswahl an
VPN-Clouds 270, die bereits für das System konfiguriert wurden,
wie in 13 dargestellt. Wie oben beschrieben,
ist eine VPN-Cloud ein einzelnes VPN oder eine Gruppe von VPNs,
für die
eine Sicherheitspolicy definiert werden kann. Jede VPN-Cloud umfasst
eine Liste der Standorte eines Standortknotens 234 sowie
der Nutzer eines Nutzerknotens 236, die miteinander kommunizieren
können.
Ein Standort ist ein Satz aus Hosts, die physisch hinter einem der
Policy-Enforcer 124, 126, angeordnet sind. Die
Policy-Enforcer für
die Standorte fungieren vorzugsweise als VPN-Tunnelendpunkte, sobald
die Hosts der Standorte beginnen, miteinander zu kommunizieren.Again in terms of 8th The network administrator configures VPN policies for multi-site connectivity using the resource palette 718 and the policy canvas 720 , After selecting the VPN register 720b in the policy canvas 720 the display shows a selection of VPN clouds 270 that have already been configured for the system, as in 13 shown. As described above, a VPN cloud is a single VPN or group of VPNs for which a security policy can be defined. Each VPN cloud includes a list of the locations of a site node 234 as well as the user of a user node 236 who can communicate with each other. A site is a set of hosts that are physically behind one of the policy enforcers 124 . 126 , are arranged. The policy enforcers for the sites act preferably as VPN tunnel endpoints, once the hosts of the sites begin to communicate with each other.
Die
Nutzer in der VPN-Cloud sind die Nutzer, die Zugang zu den Standorten 234 zugeordneten
Hosts haben. Die Nutzer haben als VPN-Clients auf die Hosts Zugang, indem
sie die VPN Client-Software nutzen, die auf jedem Nutzer-PC installiert
ist, wie im Folgenden detailliert beschrieben wird.The users in the VPN cloud are the users who have access to the sites 234 assigned hosts. Users access the hosts as VPN clients by using the VPN client software installed on each user PC, as described in detail below.
Jede
VPN-Cloud 270 umfasst außerdem einen Firewall-Regelknoten 276,
einschließlich
Firewall-Regeln, die auf alle Verbindungen in der Cloud Anwendung
finden. Diese Regeln bestimmen unter anderem die VPN-Zugangsberechtigungen,
die Sicherheitsfunktionen, wie z.B. das Verschlüsselungsniveau und die Authentifikation,
die für
die Connectivity auf Netzebene eingesetzt wird.Every VPN cloud 270 also includes a firewall rule node 276 including firewall rules that apply to all connections in the cloud. These rules determine, among other things, the VPN access permissions, the security features, such as the encryption level and the authentication used for network-level connectivity.
Die
von den VPN-Clouds bereitgestellte hierarchische Organisation bietet
dem Netzadministrator somit die Möglichkeit, vollständig vernetzte
VPNs zu erstellen, wobei jeder Standort innerhalb einer VPN-Cloud über die
vollständige
Connectivity mit allen anderen Standorten verfügt. Der Netzadministrator braucht
nicht mehr jede mögliche
Verbindung innerhalb des VPN manuell zu konfigurieren, er braucht
nur noch eine VPN-Cloud zu erstellen und die Standorte, Nutzer und
Regeln spezifizieren, die dem VPN zugeordnet werden sollen. Jede
Verbindung wird dann auf der Basis der für die VPN-Cloud spezifizierten
Konfiguration hergestellt. Die hierarchische Organisation erleichtert
somit die Einrichtung eines VPN mit einer großen Anzahl an Standorten.The
provides hierarchical organization provided by the VPN clouds
the network administrator thus the possibility of fully networked
Create VPNs, with each location within a VPN cloud over the
full
Connectivity with all other sites. The network administrator needs
not any more
Manually configure connection within the VPN, he needs
just create a VPN cloud and the sites, users and
Specify rules to associate with the VPN. each
Connection is then based on the specified for the VPN cloud
Configuration made. The hierarchical organization facilitates
thus setting up a VPN with a large number of sites.
Der
Netzadministrator fügt
eine neue VPN-Cloud vorzugsweise hinzu, indem er die Schaltfläche „Hinzufügen" 280 betätigt. Daraufhin
erstellt der Policy-Server 122 automatisch den Standortknoten 272,
den Nutzerknoten 274 und den Regelknoten 276 für die VPN-Cloud.
Der Administrator spezifiziert dann die Standorte und Nutzer im
VPN.The network administrator prefers to add a new VPN cloud by clicking the "Add" button. 280 actuated. The policy server then creates it 122 automatically the location node 272 , the user node 274 and the rule node 276 for the VPN cloud. The administrator then specifies the locations and users in the VPN.
Gemäß einer
Ausführungsvariante
der Erfindung umfasst der Regelknoten 276 anfangs eine VPN-Standardregel 278 entsprechend
den Policy-Einstellungen, die der Netzadministrator während der
Einrichtung des Policy-Servers 122 ausgewählt hat.
Die VPN-Standardregel 278 ermöglicht uneingeschränkten Zugang
zu den Hosts im VPN.According to one embodiment of the invention, the rule node comprises 276 initially a VPN default rule 278 according to the policy settings made by the network administrator during policy server setup 122 has selected. The VPN default rule 278 allows unrestricted access to the hosts in the VPN.
Der
Administrator kann die Zugangskontrolle innerhalb der VPN-Cloud implementieren,
indem er die Standardregel 278 löscht und spezifische Firewall-Regeln
für das
VPN eingibt. Solche Firewall-Regeln
bieten dem Administrator die Möglichkeit,
detaillierte Zugangskontrolle für
den Verkehr innerhalb des VPN zu gewährleisten, und zwar im Rahmen
des von einem solchen VPN gebotenen verschlüsselten Zugangs. Die Firewall-Regeln
werden auf das Klartext-Paket angewendet, nachdem es entschlüsselt wurde,
bzw. bevor es verschlüsselt
wird.The administrator can implement access control within the VPN cloud by following the default rule 278 deletes and sets specific firewall rules for the VPN. Such firewall rules allow the administrator to provide detailed access control for traffic within the VPN as part of the encrypted access provided by such a VPN. The firewall rules are applied to the plaintext packet after it has been decrypted, or before it is encrypted.
Gemäß einer
Ausführungsvariante
der Erfindung wählt
der Administrator die Standardregel 278 aus, um solche Änderungen
an der Standardregel vorzunehmen. Nach der Auswahl der Standardregel
wird eine graphische Benutzerschnittstelle aufgerufen, ähnlich der
in 8 dargestellten. Der Netzadministrator definiert
detaillierte Zugangsregeln für
das VPN, indem er die für
das VPN geltenden Firewall-Regeln definiert. Die Parameter in diesen
Firewall-Regeln sind vorzugsweise identisch mit den allgemeinen
Firewall-Regeln, die in 8 dargestellt sind.According to one embodiment of the invention, the administrator selects the default rule 278 to make such changes to the default rule. After selecting the default rule, a graphical user interface is invoked, similar to the one in 8th shown. The network administrator defines detailed access rules for the VPN by defining the firewall rules that apply to the VPN. The parameters in these firewall rules are preferably identical to the general firewall rules defined in 8th are shown.
Sobald
eine VPN-Cloud konfiguriert wurde, werden von den Policy-Enforcern 124, 126,
im Netz dynamisch VPN-Mitgliedsinformationen
erstellt. Zu diesem Zweck umfasst jeder VPN-Standort ein Register, in dem die diesem
Standort zugeordneten Hosts identifiziert werden. In Laufzeit ordnen
die Policy-Enforcer 124, 126, des jeweiligen Standortes
dem Register IP-Adressen zu, indem sie die Hosts an jedem Standort
identifizieren. Auf diese Weise können die IP-Adressen dynamisch
ermittelt werden, ohne dass eine statische Konfiguration der IP-Adressen
erforderlich ist.Once a VPN cloud has been configured, it will be used by the policy enforcers 124 . 126 , dynamically create VPN member information on the network. For this purpose, each VPN site includes a register that identifies the hosts associated with that site. At run time, the policy enforcers arrange 124 . 126 For each location, assign IP addresses to the registry by identifying the hosts at each site. In this way, the IP addresses can be determined dynamically without the need for a static configuration of the IP addresses.
Nach
der Erstellung der Mitgliedstabellen werden Änderungen in den Routing-Informationen
erfasst und den Policy-Enforcern der Mitglieder anhand eines Publish-Subcribe-Verfahrens
gemeldet. Die tatsächlichen Änderungen
werden von dem Policy-Enforcer abgerufen, indem er die LDAP-Datenbank
des jeweiligen Netzes abfragt, das den geänderten Routing-Informationen
entspricht.To
The creation of the member tables will be changes in the routing information
and the policy enforcers of the members using a publish-subscribe procedure
reported. The actual changes
are retrieved from the Policy Enforcer by the LDAP database
queries the respective network, the changed routing information
equivalent.
15 ist
ein schematisches Blockschaltbild der Policy-Enforcer 124, 126,
an den entgegengesetzten Enden eines VPN-Tunnels, die ihre jeweiligen
Routing-Informationen aktualisieren. Wie in 15 dargestellt,
umfasst jeder Policy-Enforcer 124, 126, ein Gate-Modul 252, 261,
das als Daemon konfiguriert ist, um ein oder mehrere Routingprotokolle
zum Austausch von Strecken im Netz laufen zu lassen. Solche Routingprotokolle
können
RIPv1, RIPv2, OSPF und Ähnliche
umfassen. 15 is a schematic block diagram of the policy enforcers 124 . 126 at the opposite ends of a VPN tunnel, updating their respective routing information. As in 15 Each policy enforcer includes 124 . 126 , a gate module 252 . 261 that is configured as a daemon to to run one or more routing protocols to exchange links in the network. Such routing protocols may include RIPv1, RIPv2, OSPF, and the like.
Wenn
ein Netzadministrator dem mit dem Policy Enforcer 124 verbundenen
lokalen Netz 102 eine neue Strecke hinzufügen möchte, meldet
der Administrator die neue Strecke in Schritt 241 im Gate-Modul 252 des
Policy-Enforcers 124 an. Dies erfolgt typischerweise anhand
der Konfiguration eines Downstreams im Policy-Enforcer für ein zusätzliches
Netz. Diese Information wird dann durch Standard-Routingprotokolle an das Gate-Modul 252 des
Policy-Enforcers 124 weitergeleitet. Der Policy-Server 122 kann
die neue Strecke beispielsweise dem Policy-Enforcer 124 bekannt
geben, dem die neue Strecke zugeordnet werden soll. Die Strecke
kann beispielsweise anhand einer LDAP-Anweisung wie z.B. „LAN Group@PR1" spezifiziert werden,
die eine neue Strecke zwischen dem Policy-Enforcer PR1 und einem
LAN mit der Bezeichnung LAN Group festlegt. In Schritt 242 speichert
das Gate-Modul 252 die neue Strecke in einem Kernel 253 des
Policy-Enforcers, einschließlich
eines VPN-Treibers 254, so dass der Policy-Enforcer 124 die
entsprechenden Meldungen über die
neue Strecke richtig weiterleiten kann. Außerdem schreibt das Gate-Modul 252 die
neue Strecke in Schritt 243 in seine LDAP-Datenbank 132.If a network administrator does that with the Policy Enforcer 124 connected local network 102 To add a new route, the administrator reports the new route in step 241 in the gate module 252 of the policy enforcer 124 at. This is typically done by configuring a downstream in the Policy Enforcer for an additional network. This information is then passed through standard routing protocols to the gate module 252 of the policy enforcer 124 forwarded. The policy server 122 For example, the new route can be the Policy Enforcer 124 announce to which the new route should be assigned. For example, the route may be specified using an LDAP statement, such as "LAN Group @ PR1," which specifies a new route between Policy Enforcer PR1 and a LAN called LAN Group 242 saves the gate module 252 the new track in a kernel 253 Policy Enforcer, including a VPN driver 254 so the policy enforcer 124 be able to correctly forward the relevant messages about the new route. In addition, the gate module writes 252 the new route in step 243 in his LDAP database 132 ,
Das
Gate-Modul 252 übermittelt
den Namen der neuen Strecke in Schritt 244 an einen DN-Monitor (Distinguished
Name Monitor)-Daemon 255, der entsprechend konfiguriert
ist, um die Aktualisierungen in der LDAP-Datenbank 132 zu überwachen.
Der DN-Monitor wiederum informiert in Schritt 245a und 245b einen VPN-Daemon 256 und
eine PDP-Maschine (Policy Deployment Point) 257 über die Änderung
in der LDAP-Datenbank 132. Die PDP-Maschine aktualisiert
dann die Module, die die Policies durchsetzen, mit der Änderung.The gate module 252 sends the name of the new route in step 244 to a Distinguished Name Monitor (DN) monitor 255 which is configured to handle the updates in the LDAP database 132 to monitor. The DN monitor in turn informs in step 245a and 245b a VPN daemon 256 and a PDP machine (Policy Deployment Point) 257 about the change in the LDAP database 132 , The PDP engine then updates the modules that enforce the policies with the change.
In
Schritt 246 verwendet der VPN-Daemon 256 den Streckennamen,
um auf die LDAP-Datenbank 132 zuzugreifen, um die vollständigen Streckeninformationen,
eine Liste aller VPNs, zu der die neue Strecke gehört, und
eine Liste aller anderen Policy-Router, die mit diesen VPNs verbunden
sind, zu erhalten. In Schritt 247 übermittelt der VPN-Daemon 256 den
neuen Streckennamen an alle anderen Policy-Router.In step 246 uses the VPN daemon 256 the route name to access the LDAP database 132 to get the full route information, a list of all VPNs to which the new route belongs, and a list of all the other policy routers connected to those VPNs. In step 247 transmits the VPN daemon 256 the new route name to all other policy routers.
Wenn
der Policy-Router 126 einen neuen Streckennamen vom Policy-Router 124 erhält, greift
sein Netzwerk-Daemon 258 in Schritt 248 auf die
LDAP-Datenbank 132 im Sende-Policy-Router 124 zu,
um die vollständigen
neuen Streckeninformationen zu erhalten. Wenn die neue Strecke zu
mehr als einem VPN gehört
und für
die verschiedenen VPNs verschiedene Parameter aufweist, ordnen die
Router in den verschiedenen VPNs die verschiedenen Informationen
den jeweiligen VPNs zu.If the policy router 126 a new route name from the policy router 124 receives his network daemon attacks 258 in step 248 to the LDAP database 132 in the Send Policy Router 124 to get the complete new route information. If the new route belongs to more than one VPN and has different parameters for the various VPNs, the routers in the various VPNs assign the various information to the respective VPNs.
In
Schritt 249 schreibt der Netzwerk-Daemon 258 die
empfangenen, neuen Streckeninformationen in seine eigene LDAP-Datenbank 134 und
leitet sie an sein eigenes DN-Monitor-Modul weiter. Wie im Sende-Policy-Router 124 übermittelt
das DN-Monitor-Modul 259 im
Empfangs-Policy-Router 126 die neuen Streckeninformationen
an seine PDP-Maschine 260 zur Aktualisierung seines Kernels 265 mit
den aktuellen Änderungen.In step 249 writes the network daemon 258 the received new route information into its own LDAP database 134 and forwards it to its own DN monitor module. As in the Send Policy Router 124 transmits the DN monitor module 259 in the receive policy router 126 the new route information to his PDP machine 260 to update its kernel 265 with the current changes.
Obwohl 15 in
Bezug auf die Erweiterung eines Policy-Enforcers und der ihm zugeordneten VPNs um
eine neue Strecke beschrieben wurde, ist es für den Fachmann sicherlich offensichtlich,
dass die im Wesentlichen gleichen Techniken auch zum Löschen einer
Strecke (wenn beispielsweise eine Netzwerkkomponente funktionsunfähig oder
kommunikationsunfähig
wird) oder zur Änderung
einer Strecke (der Policy-Router kann erkennen, wenn eine Strecke
bereits in einer anderen Form existiert und diese einfach überschreiben) eingesetzt
werden können.
Auf diese Weise kann das VPN-System, bzw. können die Systeme die Routing-Informationen
zwischen ihren Policy-Enforcern bei minimalem Arbeitsaufwand des
Systemadministrators dynamisch pflegen.Even though 15 With regard to the extension of a policy enforcer and its associated VPNs by a new route, it will be obvious to those skilled in the art that the essentially same techniques are also used to delete a link (for example, if a network component becomes inoperative or incapable of communication). or to change a route (the policy router can detect if a route already exists in another form and simply override it). In this way, the VPN system or systems can dynamically maintain the routing information between their policy enforcers with minimal system administrator work.
V. VIRTUELLES PRIVATES
NETZ MIT AUTOMATISCHER AKTUALISIERUNG DER CLIENT-ERREICHBARKEITSINFORMATIONENV. VIRTUAL PRIVATE
NETWORK WITH AUTOMATIC UPDATE OF CLIENT REACHABILITY INFORMATION
Entfernte
Nutzer kommunizieren über
das öffentliche
Internet 108 mit den anderen, hinter den Policy-Enforcern 124, 126,
angeordneten Mitgliedern des VPN, nachdem sie ihre entsprechenden
Berechtigungsnachweise erbracht haben. Diese entfernten Nutzer haben
als VPN-Clients 140 mit Hilfe einer VPN Client-Software
Zugang zu den privaten Netzen. Gemäß einer Ausführungsvariante
der Erfindung bietet das System dem entfernten Nutzer die Möglichkeit,
eine selbstextrahierende Programmdatei herunterzuladen, die nach
der Ausführung
sowohl die VPN Client-Software als auch die VPN-Erreichbarkeitsinformationen installiert,
die für den
entfernten Nutzer in dem entfernten Nutzerterminal eindeutig sind.Remote users communicate over the public Internet 108 with the others, behind the policy enforcers 124 . 126 , arranged members of the VPN after they have provided their respective credentials. These remote users have as VPN clients 140 access to private networks using VPN client software. According to an embodiment of the invention, the system provides the remote user with the ability to download a self-extracting program file that, after execution, installs both the VPN client software and the VPN reachability information unique to the remote user in the remote user terminal.
Jeder
Policy-Enforcer 124, 126, beinhaltet vorzugsweise
eine Kopie der selbstextrahierenden Programmdatei der VPN Client-Software, einschließlich eines
Setup-Programms und der Vorlage für die VPN-Erreichbarkeitskonfiguration.
Mit Hilfe des Setup-Programms kann die VPN Client-Software auf dem
VPN-Client 140 installiert werden. Beim Herunterladen der
selbstextrahierenden Programmdatei wird die Konfigurationsvorlage
durch die VPN-Erreichbarkeitsinformationen
ersetzt, die spezifisch für
den herunterladenden Nutzer sind.Each policy enforcer 124 . 126 , preferably includes a copy of the self-extracting program file of the VPN client software, including a setup program and the template for the VPN creator reichbarkeitskonfiguration. With the help of the setup program, the VPN client software can be installed on the VPN client 140 be installed. When downloading the self-extracting executable, the configuration template is replaced with the VPN reachability information specific to the downloading user.
Gemäß einer
anderen Ausführungsvariante
der Erfindung bietet das System dem VPN-Client 140 die Möglichkeit,
eine selbstextrahierende Programmdatei herunterzuladen, die nach
der Ausführung
lediglich die VPN-Erreichbarkeitsinformationen installiert, die
für den
Nutzer eindeutig sind. Gemäß dieser
Ausführungsvariante
ist die VPN Client-Software bereits auf dem VPN-Client 140 installiert. In
diesem Szenario ermöglicht das
Setup-Programm die
Installation der Erreichbarkeitsinformationen, die für den herunterladenden
Nutzer spezifisch sind, auf den VPN-Client 140.According to another embodiment of the invention, the system provides the VPN client 140 the ability to download a self-extracting executable that installs, after execution, only the VPN reachability information that is unique to the user. According to this embodiment, the VPN client software is already on the VPN client 140 Installed. In this scenario, the setup program allows the installation of the reachability information specific to the downloading user to the VPN client 140 ,
Gemäß einer
dritten Ausführungsvariante
der Erfindung bietet das System dem VPN-Client 140 die Möglichkeit,
die VPN-Erreichbarkeitsinformationen
jedes Mal automatisch herunterzuladen, wenn eine Verbindung zum
Policy-Enforcer 124, 126, hergestellt wird. Auf
diese Weise sind die VPN-Erreichbarkeitsinformationen für jeden
VPN-Client 140 immer auf dem neuesten Stand. Sobald eine
VPN-Sitzung hergestellt wird, gilt die Verbindung zwischen dem VPN-Client 140 und
dem Policy-Enforcer bereits als sicher. Der VPN-Client führt vorzugsweise
eine CGI-Abfrage (Common Gateway Interface) bei einem Web-Server
durch, der auf dem Policy-Enforcer läuft, und lädt die aktuellen VPN-Erreichbarkeitsinformationen
von der entsprechenden LDAP-Datenbank herunter.According to a third embodiment of the invention, the system provides the VPN client 140 the ability to automatically download the VPN reachability information each time you connect to the Policy Enforcer 124 . 126 , will be produced. In this way, the VPN reachability information is for each VPN client 140 always up to date. Once a VPN session is established, the connection between the VPN client applies 140 and the policy enforcer already considered safe. The VPN client preferably performs a Common Gateway Interface (CGI) query on a Web server running on the Policy Enforcer and downloads the current VPN reachability information from the corresponding LDAP database.
16 ist
ein Blockdiagramm der Komponenten in einer selbstextrahierenden
Programmdatei 290 gemäß einer
Ausführungsvariante
der Erfindung. Die selbstextrahierende Programmdatei 290 kann
mit Hilfe handelsüblicher
Tools, wie z.B. INSTALLSHIELD EXEBUILDER von der InstallShield Software
Corporation in Schaumburg, Illinois, erstellt werden. 16 is a block diagram of the components in a self-extracting program file 290 according to an embodiment of the invention. The self-extracting program file 290 can be created using standard tools such as INSTALLSHIELD EXEBUILDER from InstallShield Software Corporation of Schaumburg, Illinois.
Die
selbstextrahierende Programmdatei 290 umfasst vorzugsweise
eine ausführbare
Setup-Datei 292 zur Installation der VPN Client-Software und/oder
der VPN-Konfigurationsinformationen. Die Setup-Datei 292 bildet vorzugsweise
den statischen Anteil 298 der selbstextrahierenden Programmdatei,
da sich diese Informationen nicht in Abhängigkeit von dem herunterladenden
VPN-Client ändern.
Die selbstextrahierende Programmdatei 290 umfasst außerdem VPN- Konfigurationsdatei-Vorlagen
für die
VPN-Erreichbarkeitsinformationen 294 und gemeinsame Schlüsselinformationen 296 des
VPN-Clients. Die
VPN-Erreichbarkeitsinformationen 294 und die gemeinsamen
Schlüsselinformationen 296 des
VPN-Clients bilden vorzugsweise den dynamischen Anteil 229 der
selbstextrahierenden Programmdatei 290, da sich diese Informationen
in Abhängigkeit von
dem herunterladenden VPN-Client ändern.
Die selbstextrahierende Programmdatei 290 wird dann als
Vorlagedatei in den Policy-Enforcern 124, 126,
gespeichert und kann anschließend
von den entfernten Nutzern heruntergeladen werden.The self-extracting program file 290 preferably includes an executable setup file 292 to install the VPN client software and / or the VPN configuration information. The setup file 292 preferably forms the static portion 298 the self-extracting executable because this information does not change depending on the downloading VPN client. The self-extracting program file 290 also includes VPN configuration file templates for the VPN reachability information 294 and shared key information 296 of the VPN client. The VPN reachability information 294 and the common key information 296 of the VPN client preferably form the dynamic share 229 the self-extracting program file 290 because this information varies depending on the downloading VPN client. The self-extracting program file 290 will then be used as a template file in the policy enforcer 124 . 126 , stored and can then be downloaded by the remote users.
17 ist
ein Blockdiagramm zum Herunterladen der selbstextrahierenden Programmdatei 290 aus 16 gemäß einer
Ausführungsvariante
der Erfindung. In Schritt 320 erstellt ein neuer VPN-Client 140 zunächst eine
sichere Verbindungssitzung mit dem Policy-Enforcer 124, 126,
um die selbstextrahierende Programmdatei 290 herunterzuladen.
Dies erfolgt vorzugsweise mittels einer HTTPS-Protokollsitzung im Webbrowser des VPN-Clients
oder Ähnlichem.
In Schritt 322 und 324 führen die Policy-Enforcer mit
dem VPN-Client ein Authentifikationsverfahren durch, bei dem der
Policy-Enforcer Nutzernamen und Passwort abfragt und der VPN-Client
diese Informationen liefert. In Schritt 326 vergleicht
der Policy-Enforcer die gelieferten Informationen mit den Einträgen in seiner
VPN Client-Datenbank 328. Sind die Informationen korrekt,
findet der Policy-Enforcer entsprechende gemeinsame Schlüssel für den Nutzer,
und ermittelt in Schritt 330 außerdem die VPN-Erreichbarkeitsinformationen
des Client aus einer VPN-Konfigurationsdatenbank 332.
Die VPN Client-Datenbank 328 und die VPN-Konfigurationsdatenbank 332 können als
Teil einer einzigen LDAP-Datenbank 312, 314,
gespeichert sein, die vom Policy-Enforcer 124, 126,
verwaltet wird, oder sie können
jeweils separate LDAP-Datenbanken
darstellen. 17 is a block diagram for downloading the self-extracting program file 290 out 16 according to an embodiment of the invention. In step 320 creates a new VPN client 140 First, a secure connection session with the policy enforcer 124 . 126 to the self-extracting program file 290 download. This is preferably done by means of an HTTPS protocol session in the web browser of the VPN client or the like. In step 322 and 324 The policy enforcers use the VPN client to perform an authentication procedure in which the policy enforcer queries the username and password and the VPN client provides this information. In step 326 The Policy Enforcer compares the information supplied with the entries in its VPN client database 328 , If the information is correct, the policy enforcer will find appropriate shared keys for the user, and determine in step 330 and the VPN reachability information of the client from a VPN configuration database 332 , The VPN client database 328 and the VPN configuration database 332 can be part of a single LDAP database 312 . 314 be saved by Policy Enforcer 124 . 126 , or they can each be separate LDAP databases.
In
Schritt 334 ersetzt der Policy-Enforcer den dynamischen
Anteil 299 der selbstextrahierenden Programmdatei 290 durch
die VPN-Erreichbarkeitsinformationen
und den gemeinsamen Schlüssel,
der für
den VPN-Client eindeutig ist. Die neu generierte, selbstextrahierende
Programmdatei wird dann in Schritt 336 auf den VPN-Client 140 heruntergeladen.
Wenn die Programmdatei läuft,
installiert sie entweder die VPN Client-Software und/oder die VPN-Erreichbarkeitsinformationen.In step 334 the policy enforcer replaces the dynamic share 299 the self-extracting program file 290 by the VPN reachability information and the shared key that is unique to the VPN client. The newly generated, self-extracting program file will then be in step 336 on the VPN client 140 downloaded. When the program file is running, it either installs the VPN client software and / or the VPN reachability information.
Ähnliche
Techniken können
auch zum Herunterladen einer neuen und aktualisierten Kopie der VPN-Konfigurationsinformationen
auf den VPN-Client eingesetzt werden, und zwar immer, wenn der Client eine
Verbindung zum Policy-Enforcer herstellt und einen Sitzungsschlüssel beantragt.
Zusätzlich
kann der Nutzer die neueste Konfiguration des VPN-Netzes erhalten,
indem er diese Informationen explizit beim Policy-Enforcer abfragt.
Auf diese Weise muss der VPN-Client nicht jedes Mal, wenn Aktualisierungen
an den VPN-Erreichbarkeitsinformationen vorgenommen werden, neu
installiert und konfiguriert werden.Similar techniques can also be used to download a new and updated copy of the VPN configuration information to the VPN client, whenever the client connects to the Policy Enforcer and requests a session key. In addition, the user can obtain the latest configuration of the VPN network by explicitly requesting this information from the policy enforcer. In this way, the VPN client does not have to be reinstalled and configured each time updates to the VPN reachability information are made.
VI. INTEGRIERTE POLICY-ENFORCERVI. INTEGRATED POLICY ENFORCER
Gemäß einer
Ausführungsvariante
der Erfindung sind die Funktionen der Policy-Enforcer 124, 126,
zur Durchsetzung der Policy zur effizienten Implementierung der
Hardware aufgeteilt. Für
den Fachmann ist es jedoch sicherlich offensichtlich, dass einige
oder alle Funktionen in der Software, der Hardware oder verschiedenen
Kombinationen davon implementiert werden können.According to one embodiment of the invention, the functions of the policy enforcers 124 . 126 , to enforce the policy for the efficient implementation of the hardware. However, it will be obvious to those skilled in the art that some or all of the functions may be implemented in software, hardware, or various combinations thereof.
18 ist
ein Blockschaltbild des Policy-Enforcers 124, 126,
in dem die Aufteilung der verschiedenen Funktionen gemäß einer
Ausführungsvariante
der Erfindung dargestellt wird. Der Policy-Enforcer umfasst eine IPSec-Maschine
(Internet Protocol Security) 502 zur Durchführung der
Sicherheits- und Authentifikationsfunktionen, beispielsweise zur
Implementierung von virtuellen privaten Netzen. Eine Datenstrom-Tabelle 506 assembliert
die Pakete, die den Policy-Enforcer passieren, zu Datenströmen. Eine
Protokollklassifikations-Maschine 508 dekodiert die Protokolle,
die bei der Weiterleitung der Pakete verwendet werden. Eine Policy-Maschine 510 setzt
die Policies für
die Pakete auf der Basis der Policy-Einstellungen durch, die in
der Policy-Datenbank 132, 134, gespeichert sind.
Ein Paket-Weiterleitungsmodul 504 empfängt Pakete aus dem öffentlichen Internet über den
Router 110 und speichert die Pakete zwischen, leitet sie
weiter oder löscht
sie auf der Basis der durchgesetzten Policies. Ein Bandbreiten-Managementmodul 514 gewährleistet
Bandbreiten-Gestaltungsdienste für
die Pakete, die auf der Basis der Bandbreiteneinstellungen weitergeleitet
werden, die in der Policy-Datenbank 132, 134,
gespeichert sind. 18 is a block diagram of the policy enforcer 124 . 126 in which the division of the various functions according to an embodiment of the invention is shown. The Policy Enforcer includes an Internet Protocol Security (IPSec) machine 502 to perform the security and authentication functions, for example to implement virtual private networks. A data stream table 506 assembles the packets that pass the policy enforcer into data streams. A protocol classification engine 508 decodes the protocols that are used in forwarding the packets. A policy machine 510 sets the policies for the packages based on the policy settings that are in the policy database 132 . 134 , are stored. A packet forwarding module 504 receives packets from the public Internet through the router 110 and cache the packets, forward them, or delete them based on enforced policies. A bandwidth management module 514 Ensures bandwidth shaping services for the packets that are routed based on the bandwidth settings that are in the policy database 132 . 134 , are stored.
In
der Praxis wird ein eingehendes Paket mit der Datenstromtabelle 506 verglichen
um festzustellen, ob bereits ein passender Eintrag in der Tabelle
existiert. Falls nicht, wird ein neuer Eintrag hinzugefügt. Die Datenstromtabelle
beinhaltet vorzugsweise ausreichend Anteile des Pakets, um einen
Datenstrom eindeutig zu identifizieren. Bei der Durchsetzung von
Policies für
den Datenverkehr zwischen IP-Ebene drei und IP-Ebene vier kann die
Datenstromtabelle beispielsweise Quell-IP, Ziel-IP, Quellanschluss,
Zielanschluss und Protokollnummer des eingehenden Pakets speichern.In practice, there will be an incoming packet with the data stream table 506 compared to determine if a matching entry already exists in the table. If not, a new entry will be added. The data stream table preferably includes enough portions of the packet to uniquely identify a data stream. For example, when enforcing policies for IP-level three to IP-level four traffic, the stream table can store the source IP, destination IP, source port, destination port, and log number of the incoming packet.
Die
Protokollklassifikations-Maschine 508 nimmt den neuen Datenstrom
und erzeugt für
den Strom eine detaillierte Protokolldekodierung. Anschließend werden
die Policy-Regeln, die auf den Datenstrom angewendet werden sollen,
in der Policy-Maschine 510 abgefragt. Basierend auf den
Policy-Regeln, die von der Policy-Maschine 510 zurückgesandt
werden, verarbeitet das Paket-Weiterleitungsmodul 504,
die IPSec-Maschine 502 und/oder das Bandbreiten-Managementmodul 514 die
Datenströme
dementsprechend. Die Verarbeitung kann rekursiv sein, bis alle Aktionen
an den Paketen im Datenstrom vorgenommen wurden, die in den für sie geltenden
Policy-Regeln spezifiziert
sind.The protocol classification engine 508 takes the new data stream and generates a detailed protocol decoding for the stream. Then, the policy rules to be applied to the data stream are in the policy engine 510 queried. Based on the policy rules used by the policy engine 510 the packet forwarding module processes 504 , the IPSec machine 502 and / or the bandwidth management module 514 the data streams accordingly. Processing may be recursive until all actions have been taken on the packets in the data stream specified in the policy rules that apply to them.
Der
Policy-Enforcer umfasst außerdem
ein Statistikmodul 512 zur Erstellung von Statistiken für die Pakete,
die über
das lokale Netz weitergeleitet werden, sowie für andere Status- und Ressourcennutzungsinformationen,
und speichert diese in Protokollen und Archiven zum Versand an den
Policy-Server 122. Gemäß einer
Ausführungsvariante
der Erfindung führt
das Statistikmodul 512 laufend Bytezählungen an den Paketen durch,
die durch das Netz 102, 104, weitergeleitet werden.
Diese Bytezählungen
können
automatisch nach Klassen sortiert werden, wobei diese Klassen auf
bestimmten Ressourcen (z.B. Nutzer, Hosts, Dienste) oder auf den
Bytes, die von den Policies blockiert werden, oder auf Ausnahmen
basieren, wie beispielsweise Firewall-Policies. Zu diesem Zweck
pflegt das Statistikmodul 512 in einem Cache eine Statustabelle,
die eine Liste der Ressourcen beinhaltet, die an den einzelnen,
von der Firewall freigegebenen Verbindungen beteiligt sind. Bei
jedem Paket, das im Rahmen der Verbindung weitergeleitet wird, führt das
Statistikmodul eine Paket- und eine Bytezählung für jede der Ressourcen in der
Liste durch. Das Statistikmodul 512 leitet die strukturierten Informationen
dann an den Policy-Server 122 weiter, der die Informationen
direkt in Tabellen einträgt,
die nach bestimmten Klassen geordnet sind und regelmäßig gelöscht werden.The policy enforcer also includes a statistics module 512 to generate statistics for the packets that are routed through the local network, as well as other status and resource usage information, and store them in logs and archives to be sent to the policy server 122 , According to an embodiment variant of the invention, the statistics module leads 512 running byte counts on the packets passing through the network 102 . 104 , to get redirected. These byte counts can be automatically sorted by class, based on specific resources (such as users, hosts, services), bytes blocked by the policies, or exceptions, such as firewall policies. For this purpose maintains the statistics module 512 in a cache, a status table containing a list of resources involved in the individual firewall-enabled connections. For each packet forwarded in the connection, the statistics module performs a packet and byte count for each of the resources in the list. The statistics module 512 then passes the structured information to the policy server 122 Next, the information is entered directly into tables, which are organized according to specific classes and are deleted regularly.
19 ist
ein detaillierteres Blockschaltbild der Policy-Maschine 510 gemäß einer
Ausführungsvariante
der Erfindung. Die Policy-Maschine 510 umfasst eine Policy-Abfragetabelle 602,
die als Warteschlange für
alle Policy-Entscheidungsabfragen fungiert. Zu diesem Zweck wird
der Anteil des Pakets, der zu den Informationen passt, die in der
Datenstromtabelle 506 gespeichert sind, der Policy-Maschine 510 in
Form einer Policy-Abfrage präsentiert.
Die Policy-Abfrage wird dann in die Warteschlage der Policy-Abfragetabelle 602 eingestellt. 19 is a more detailed block diagram of the policy engine 510 according to an embodiment of the invention. The policy machine 510 includes a policy query table 602 , which acts as a queue for all policy decision queries. For this purpose, the portion of the packet that matches the information contained in the data stream table 506 stored, the policy machine 510 presented in the form of a policy query. The policy query is then queued for the Policy Query Table 602 set.
Eine
Ressourcenmaschine 604 pflegt ein aktuelles Mapping der
Ressourcen-Gruppennamen in Bezug auf das Mitgliedsmapping. Ein Datenbankpuffer
für Policy-Regeln 608 speichert
ein aktuelles Policy-Regelset, das von der Policy-Maschine 510 angewendet
werden soll. Die in dem Puffer 608 gespeicherten Policy-Regeln liegen
vorzugsweise in dem gruppenbasierten Original-Regelspezifikationsformat
vor. Der Puffer 608 speichert daher eine für eine Gruppe
erstellte Regel in ihrer gruppenbasierten Form, anstelle der Instantiierung
einer Regel für
jedes Mitglied der Gruppe.A resource machine 604 Maintains an up-to-date mapping of resource group names relative to member mapping. A database buffer for policy rules 608 saves a current policy rule set by the policy engine 510 should be applied. The in the buffer 608 stored policy rules are preferably in the group-based original rule specification format. The buffer 608 therefore stores a rule created for a group in its group-based form, instead of instantiating a rule for each member of the group.
Eine
Entscheidungsmaschine 606 umfasst eine Logik zur Bearbeitung
der eingehenden Policy-Entscheidungsanfragen in der Policy-Abfragetabelle 602 durch
Abgleich mit dem Policy-Regelset im Puffer der Policy-Regeldatenbank 608 auf
der Basis der aktuellen Mitgliedsinformationen, die von der Ressourcenmaschine 604 geliefert
werden. Die relevante gruppenbasierte Regel, die mit dem Datenverkehr übereinstimmt, wird
identifiziert und in der Datenstromtabelle werden Datenbits gesetzt,
um die entsprechenden Aktionen umzusetzen. Die Entscheidungsbits
stellen daher den Satz an Aktionen dar, die an den Paketen des Datenstroms durchgeführt werden
sollen. Alle Pakete, die mit dem Datenstrom übereinstimmen, werden dann
auf der Basis dieser Entscheidungsbits verarbeitet. Die Entscheidungsmaschine
kann auch eine Zugangskontrollliste (ACL), einschließlich eines
Regelsatzes, der den Datenverkehr freigibt/sperrt, einen DiffServ-Standard
zur Sicherstellung der Dienstgüte-Qualität für den Datenverkehr
und/oder VPN-Implementierungsinformationen
festlegen.A decision machine 606 includes logic to handle the incoming policy decision requests in the policy query table 602 by matching the policy rule set in the policy rule database buffer 608 based on the current member information provided by the resource machine 604 to be delivered. The relevant group-based rule that matches the traffic is identified and data bits are set in the stream table to implement the appropriate actions. The decision bits therefore represent the set of actions to be performed on the packets of the data stream. All packets that match the data stream are then processed based on these decision bits. The decision engine may also set an access control list (ACL), including a rule set that enables / disables traffic, a DiffServ standard to ensure quality of service quality for the traffic, and / or VPN implementation information.
20 ist
ein detaillierteres Blockschaltbild der Protokoll-Klassifikationsmaschine 508 gemäß einer Ausführungsvariante
der Erfindung. Wie in 20 dargestellt, umfasst die
Protokoll-Klassifikationsmaschine 508 eine
Datenstromeinheit 702, ein Datenstrom-Gleitfenster 704,
einen ASN.1-Block 706, eine Protokollklassifikationsstatus-Maschine 708 und
eine Protokolldefinitionssignatur-Datenbank 710. Die Datenstromeinheit 702 extrahiert
und reassembliert den Datenanteil eines eingehenden Paket-Datenstroms
und speichert ihn im Datenstrom-Gleitfenster 704 ab. Das
Datenstrom-Gleitfenster folgt vorzugsweise FIFO-Protokollen. Der ASN.1-Decoder
dekodiert den Datenstrom, sofern erforderlich, anhand herkömmlicher
ASN.1-Codier-/Decodierstandards. Die Protokollklassifikationsstatus-Maschine 708 gleicht
dann die vollständig
reassemblierten und decodierten Daten mit der Protokolldefinitionssignatur-Datenbank 710 ab.
Diese Datenbank 710 umfasst vorzugsweise ein Mapping der
Protokollnamen mit den Datenmustern, die im Datenstrom zu finden
sind. Das abgeglichene Protokoll wird dann an die Datenstromtabelle 506 zurückgesandt. 20 is a more detailed block diagram of the protocol classification engine 508 according to an embodiment of the invention. As in 20 includes the protocol classification engine 508 a data stream unit 702 , a data stream sliding window 704 , an ASN.1 block 706 , a protocol classification state machine 708 and a protocol definition signature database 710 , The data stream unit 702 Extracts and reassembles the data portion of an incoming packet stream and stores it in the stream flipping window 704 from. The data stream sliding window preferably follows FIFO protocols. The ASN.1 decoder decodes the data stream, if necessary, using standard ASN.1 encoding / decoding standards. The protocol classification state machine 708 then resembles the fully reassembled and decoded data with the log definition signature database 710 from. This database 710 preferably includes a mapping of the protocol names with the data patterns found in the data stream. The matched protocol is then sent to the data stream table 506 returned.
Somit
bietet die Protokoll-Klassifikationsmaschine 508 eine umfassende
Protokoll-Decodierung und Paketklassifikation für Ebene drei bis Ebene sieben,
einschließlich
der vollständigen
Identifikation von dynamischen Datenströmen durch den Einsatz einer
dynamisch aktualisierten Signaturdatenbank, die auf der Basis von
Skriptprotokolldefinitionen kompiliert wird. Wenn in Zukunft neue
Protokolle definiert werden und/oder Nutzer ihre eigenen individuellen
Anwendungen mit individuellen Protokollen erstellen, kann es erforderlich
werden, der Protokoll-Klassifikationsmaschine eine Erkennung dieser
Protokolle hinzuzufügen.
Die beschriebene Protokollklassifizierungsmaschinen-Architektur
ermöglicht
derartige Erweiterungen durch einfaches Hinzufügen der neuen Skriptdefinition
des neuen Protokolls zur Protokoll-Klassifikationsmaschine, ohne
dabei jedes Mal das Design ändern
zu müssen,
wenn ein neues Protokoll hinzugefügt wird. Dies gewährleistet
den Support von individuellen Protokollen und die zukünftige Erweiterungsfähigkeit
von Protokollen.Thus, the protocol classification engine provides 508 a comprehensive protocol decoding and packet classification for level three through level seven, including the complete identification of dynamic data streams through the use of a dynamically updated signature database compiled on the basis of script protocol definitions. If new protocols are defined in the future and / or users create their own individual applications with individual protocols, it may be necessary to add a recognition of these protocols to the protocol classification engine. The described protocol classification engine architecture allows such extensions by simply adding the new script definition of the new protocol to the classification engine, without having to change the design each time a new protocol is added. This ensures the support of individual protocols and the future extensibility of protocols.
21 ist
ein detaillierteres Blockschaltbild der IPSec-Maschine 502 gemäß einer
Ausführungsvariante
der Erfindung. Wie in 21 dargestellt, umfasst die
IPSec-Maschine 502 eine Pseudo-Zufallszahlengenerator-Funktion (PRNG) 802 zur
Erzeugung von Zufallszahlen, die zur Erzeugung von Verschlüsselungscodes
mit allgemein bekannten Verfahren verwendet werden. Ein Diffie Hellman- 804 sowie
ein RSA-Block 812 implementieren die entsprechenden asymmetrischen, öffentlichen
Verschlüsselungs-/Entschlüsselungs-/Signaturalgorithmen,
die der Fachwelt ebenfalls bekannt sind. Ein IKE-Block 806 kommuniziert
mit einer IPSec SA-Tabelle 808 zur Implementierung von
ISAKMP/Oakley (IKE)-Standard-Codeaustauschprotokollen. Ein Verschlüsselungs-Umcodierungsblock 814 implementiert
die symmetrischen Standard-Verschlüsselungs-/Entschlüsselungsalgorithmen. Ein IPSec-Encapsulation-/Decapsulation-Block 810 führt Standard-Encapsulation-/Decapsulationfunktionen
aus. Dementsprechend bietet die IPSec-Maschine 502 eine ausgereifte,
auf Standards basierende IKE/IPSec-Implementierung, die öffentliche
Codezertifikate unterstützt
und die erforderlichen Verschlüsselungs-
und Entschlüsselungsfunktionen
für die
Paketweiterleitung durch die privaten lokalen Netze 102, 104,
bietet. 21 is a more detailed block diagram of the IPSec machine 502 according to an embodiment of the invention. As in 21 shown includes the IPSec machine 502 a pseudo-random number generator (PRNG) function 802 for generating random numbers used to generate encryption keys using well-known methods. A Diffie Hellman 804 as well as an RSA block 812 implement the appropriate asymmetric public encryption / decryption / signature algorithms also known to those skilled in the art. An IKE block 806 communicates with an IPSec SA table 808 to implement ISAKMP / Oakley (IKE) standard code exchange protocols. An encryption transcoding block 814 implements the standard symmetric encryption / decryption algorithms. An IPSec encapsulation / decapsulation block 810 performs standard encapsulation / decapsulation functions. Accordingly, the IPSec machine offers 502 a mature, standards-based IKE / IPSec implementation that supports public code certificates and the necessary encryption and decryption capabilities for packet forwarding through the private local area networks 102 . 104 , offers.
VII. NETZWERK-POLICY-PROTOKOLLE
UND STATISTIK-AUFBAUVII. NETWORK POLICY PROTOCOLS
AND STATISTICS CONSTRUCTION
Wiederum
in Bezug auf 3 sammelt das Protokoll-Erfassungs- und Archivierungsmodul 304 die Informationen über den
Status und den Einsatz von Ressourcen von den Policy-Enforcern 124, 126,
sowie vom Managementmodul 302 und speichert diese in der
Archivdatenbank 318 ab. Das Policy-Server-Berichtmodul 316 verwendet
die erfassten Protokolle und Archive dann, um Berichte in einem
strukturierten Berichtformat zu erstellen.Again in terms of 3 Collects the log collection and archiving module 304 the information about the status and use of resources by the policy enforcers 124 . 126 , as well as the management module 302 and saves them in the archive database 318 from. The policy server report module 316 then uses the captured logs and archives to create reports in a structured report format.
Gemäß einer
Ausführungsvariante
der Erfindung pflegt jeder Policy-Enforcer 124, 126,
eine Protokolldatei mit den erfassten Informationen über den
Datenverkehrsfluss durch die Policy-Enforcer sowie über den Status
und den Einsatz der Ressourcen, die dem Policy-Enforcer zugeordnet
sind. Alle Protokolldateien entsprechen einem vordefinierten, gemeinsamen
Protokollformat, das vorzugsweise für die Erstellung kompakter Protokolle
konzipiert ist.According to one embodiment of the invention, each policy enforcer maintains 124 . 126 , a log file containing information about the flow of traffic through the policy enforcers and the status and use of the resources associated with the policy enforcer. All log files conform to a predefined, common log format, which is preferably designed to create compact logs.
22 ist
eine schematische Darstellung eines solchen Protokollformats gemäß einer
Ausführungsvariante
der Erfindung. Jeder Protokolleintrag umfasst einen Zeitstempel 820 im
Format jjjjmmtthhmmss, der das Jahr, den Monat, die Stunde, Minute
und Sekunde angibt, an dem der Protokolleintrag erstellt wurde.
Ein Dienstfeld 822 gibt den Diensttyp an, der von dem Policy-Enforcer 124, 126,
erbracht wird. Solche Dienste sind beispielsweise VPN, FTP, Telnet,
HTTP, Paketfilter, Bandbreite und Ähnliches. Jeder Protokolleintrag
enthält außerdem Quell-IP-Adresse
und -Anschluss 824, die die Quelle angeben, von der ein
Paket empfangen wurde, sowie Ziel-IP-Adresse und -Anschluss 826,
die das Ziel angeben, an das das Paket übermittelt wurde. 22 is a schematic representation of such a protocol format according to an embodiment of the invention. Each log entry includes a timestamp 820 in the format yyyymmddhhmmss, which specifies the year, month, hour, minute, and second when the log entry was created. A service field 822 Specifies the service type used by the policy enforcer 124 . 126 , is provided. Such services include VPN, FTP, Telnet, HTTP, packet filtering, bandwidth, and the like. Each log entry also contains the source IP address and port 824 indicating the source from which a packet was received and destination IP address and port 826 that specify the destination to which the package was submitted.
Ein
Nutzer-ID-Feld 828 gibt den Nutzer an, der das Paket übermittelt.
Die Nutzer-ID kann einem Eintrag in der LDAP-Datenbank 130, 132 oder 134,
zugeordnet werden, um weitere Angaben über den Nutzer zu erhalten.A user ID field 828 indicates the user who submits the package. The user ID can be an entry in the LDAP database 130 . 132 or 134 , to be assigned to receive further information about the user.
Ein
Statusfeld 830 gibt den Status einer Operation an und kann
einen Ergebniscode, einen Fehlercode und Ähnliches umfassen. Für einen
Paketfilter-Dienst kann das Statusfeld beispielsweise den Ergebniscode „p" beinhalten, wenn
das Paket passieren konnte, oder „b", wenn das Paket blockiert wurde.A status field 830 indicates the status of an operation and may include a result code, an error code, and the like. For example, for a packet filter service, the status field may include the result code "p" if the packet could pass, or "b" if the packet was blocked.
Ein
Operationsfeld 832 enthält
Codes für
den von dem Dienst gebotenen Operationstyp. Operationen für einen
VPN-Dienst können
beispielsweise den Versand von Paketen und dem Empfang von Paketen
umfassen. Operationen für
einen FTP-Dienst können
GET- und PUT-Operationen
umfassen. Operationen für
einen HTTP-Dienst können
GET- und POST-Operationen
umfassen.An operation field 832 contains codes for the operation type offered by the service. Operations for a VPN service may include, for example, sending packets and receiving packets. Operations for an FTP service may include GET and PUT operations. Operations for an HTTP service may include GET and POST operations.
Neben
den oben genannten Angaben umfasst jeder Protokolleintrag ein In-Bytes-Feld 832,
in dem die Anzahl an Bytes angegeben ist, die der Policy-Enforcer
infolge eines Vorgangs erhalten hat, und ein Out-Bytes-Feld 834,
in dem die Anzahl an Bytes angegeben ist, die von dem Policy-Enforcer übermittelt
wurde. Außerdem
ist in einem Dauerfeld 836 die Dauer (z.B. in Sekunden)
des Vorgangs angegeben.In addition to the above, each log entry includes an in bytes field 832 that specifies the number of bytes the Policy Enforcer received as a result of an operation and an Out Bytes field 834 that specifies the number of bytes submitted by the policy enforcer. It is also in a permanent field 836 the duration (eg in seconds) of the operation specified.
Bestimmte
Felder können
in bestimmten Protokolleinträgen
frei gelassen werden, wenn sie für
einen bestimmten Dienst nicht zutreffen, beispielsweise bei einem
FTP-Download. Liegt kein abgehender Datenverkehr vor, wird das Out-Bytes-Feld
freigelassen. Des Weiteren können
in Abhängigkeit
vom Typ des protokollierten Dienstes zusätzliche Felder eingefügt werden.
Bei einem HTTP-Vorgang wird beispielsweise die URL, auf die zugegriffen
wird, im Protokolleintrag ebenfalls festgehalten. Die zusätzlichen
Felder werden vorzugsweise an das Ende des Standard-Protokollformats
angehängt.Certain
Fields can
in certain log entries
be left free if you are for
do not apply to a particular service, such as one
FTP download. If there is no outgoing traffic, the Out Bytes field will be
released. Furthermore you can
dependent on
additional fields are inserted by the type of service being logged.
For example, an HTTP operation becomes the URL that is accessed
is also recorded in the log entry. The additional
Fields are preferably at the end of the standard log format
attached.
Der
Fachmann wird sicherlich erkennen, dass das Hinzufügen, Löschen und
andere Arten von Änderungen
am Protokollformat erfolgen können,
solange das Protokollformat für
alle Policy-Enforcer gleich ist und zum Ziel hat, kompakte Protokolle
zu erzeugen.Of the
Professional will certainly recognize that adding, deleting and
other types of changes
can be done in protocol format,
as long as the log format for
All Policy Enforcers are the same and aim to have compact protocols
to create.
Die
von den Policy-Enforcern 124, 126 erstellten Protokolldateien
werden auf der Basis der Archivoptionen, die vom Policy-Server vorgegeben
werden, an den Policy-Server 122 übertragen. Zu diesem Zweck spezifiziert
der Netzadministrator eine Maximalgröße für die Protokolle, die von den
Policy-Enforcern erstellt werden, durch Auswahl der Policy-Server-Archivoption 752 aus 9. Überschreitet
die Protokolldatei die spezifizierte Größe, wird sie an den Policy-Server 122 gesandt.
Vorzugsweise werden die Protokolle mindestens einmal täglich an
den Policy-Server 122 übermittelt,
auch wenn die Maximalgröße nicht überschritten
wurde. Die Protokolle können
auch lokal im Policy-Enforcer archiviert werden, wenn dies vom Netzadministrator so
festgelegt wurde.The policy enforcers 124 . 126 Created log files are sent to the policy server based on the archive options specified by the policy server 122 transfer. To do this, the network administrator specifies a maximum size for the logs that are created by the policy enforcers by selecting the policy server archive option 752 out 9 , If the log file exceeds the specified size, it will be sent to the policy server 122 sent. Preferably, the logs are sent to the policy server at least once a day 122 even if the maximum size has not been exceeded. The logs can also be archived locally in the Policy Enforcer if so designated by the network administrator.
Sobald
der Policy-Server 122 die Protokolle empfängt, werden
diese in der Archivdatenbank 318 gespeichert, vorzugsweise
in Form einer SQL-Datenbank. Das Policy-Server-Berichtmodul 316 fragt
diese Datenbank ab, um Berichte für jeden Policy-Enforcer 124, 126,
zu erstellen. Außerdem
können
die Protokolle in einem Format exportiert werden, das von handelsüblichen
Produkten wie beispielsweise WEBTRENDS, einem Produkt der WebTrends
Corporation in Portland, Oregon, interpretiert werden kann.Once the policy server 122 When the logs are received, they are stored in the archive database 318 stored, preferably in the form of an SQL database. The policy server report module 316 queries this database for reports for each policy enforcer 124 . 126 , to create. In addition, the logs can be exported in a format that can be interpreted by commercial products such as WEBTRENDS, a product of WebTrends Corporation of Portland, Oregon.
Die
vom Berichtmodul 316 erstellten Berichte beinhalten Nutzungsberichte
für die
verschiedenen Ressourcen, z.B. für
Policy-Enforcer,
Nutzer, Dienste, Hosts und VPNs. Diese Berichte können beispielsweise VPN-Übersichten,
Bandbreiten-Übersichten,
Paketfilterberichte und Ähnliches
für jeden
Policy-Enforcer umfassen.The report module 316 Reports created include usage reports for the various resources, such as policy enforcers, users, services, hosts, and VPNs. For example, these reports can include VPN overviews, bandwidth overviews, packet filter reports, and the like for each policy enforcer.
Die
Berichte weisen vorzugsweise den Einsatz aller Ressourcen über einen
bestimmten Zeitraum aus. Anfangs- und Endzeitpunkt für den Bericht
können
vom Nutzer spezifiziert werden. Der Nutzer kann außerdem die
Zeitdimension oder die Ressourcendimension einstellen, um spezifische
Zeiten und spezifische Ressourcen anzuzeigen. Bei der Erstellung
der Paketfilterberichte kann der Nutzer beispielsweise eine Anfangs-
und eine Endzeit, die Quell-IP-Adresse, den Quellanschluss, die
Ziel-IP-Adresse und den Zielanschluss angeben. Alle Pakete, die
diese Kriterien erfüllen,
werden dann aus der Archivdatenbank 318 abgerufen und in
einem Paketbericht angezeigt.The reports preferably indicate the use of all resources over a period of time. Start and end times for the report can be specified by the user. The user can also set the time dimension or resource dimension to display specific times and specific resources. For example, when creating the packet filter reports, the user can specify a start and an end time, the source IP address, the source port, the destination IP address, and the destination port. All packages that meet these criteria are then removed from the archive database 318 and displayed in a package report.
VIII. VERFAHREN ZUR SELEKTIVEN
LDAP-DATENBANKSYNCHRONISIERUNGVIII. METHOD OF SELECTIVE
LDAP DATABASE SYNCHRONIZATION
Gemäß einer
Ausführungsvariante
der Erfindung handelt es sich bei den Datenbanken 130, 132, 134, im
einheitlichen Policy-Managementsystem
aus 1 um LDAP-Datenbanken, die Policy- Managementinformationen
speichern, einschließlich
der Policies für
Firewall, VPNs, Bandbreite, Verwaltung, Nutzeraufzeichnungen, Netzaufzeichnungen,
Dienste und Ähnliches.
Wie oben beschrieben basiert das LDAP-Verzeichnisservice-Modell
auf den Einträgen,
wobei jeder Eintrag eine Ansammlung von Attributen darstellt. Die
Einträge werden
in einer Baumstruktur angeordnet, die sich nach dem geographischen
und organisatorischen Aufbau richtet. Die Einträge werden entsprechend ihrer
Position in der Hierarchie mit einem eindeutigen Namen (DN) gekennzeichnet.According to one embodiment of the invention, the databases are 130 . 132 . 134 , in the single policy management system 1 LDAP databases that store policy management information, including policies for firewall, VPNs, bandwidth, management, user records, network logs, services, and the like. As described above, the LDAP directory service model is based on the entries, where each entry represents a collection of attributes. The entries are arranged in a tree structure, which depends on the geographical and organizational structure. The entries are marked with a unique name (DN) according to their position in the hierarchy.
Der
Policy-Server 122 speichert die Policy-Managementinformationen für alle Policy-Enforcer
vorzugsweise in der Policy-Serverdatenbank 130. Diese Informationen
sind in der Datenbank 130 in Form eines oder mehrerer DNs
mit den entsprechenden Attributen organisiert. Die entsprechenden
Anteile der Policy-Serverdatenbank
werden dann in die Datenbanken der Policy-Enforcer 132, 134,
kopiert.The policy server 122 preferably stores the policy management information for all policy enforcers in the policy server database 130 , This information is in the database 130 organized in the form of one or more DNs with the corresponding attributes. The corresponding portions of the policy server database are then added to the Policy Enforcer databases 132 . 134 , copied.
23 ist
ein Blockdiagramm einer LDAP-Baumstruktur, die eine LDAP-Wurzel 265 und
eine Vielzahl an Zweigen 264, 266, 268, 270,
beinhaltet. Gemäß einem
Beispiel pflegt der Policy-Server 122 in der Policy-Serverdatenbank 130 Zweige, 264 und 266,
mit Policy-Managementinformationen
für alle
Policy-Enforcer 124, 126. Jeder Policy-Enforcer 124, 126,
pflegt außerdem
Anteile der Zweige 264 und/oder 266 in den jeweiligen
Policy-Enforcer-Datenbanken 132, 134, als Unter-Verzweigungen
der Policy-Server-Datenbank 130. Die Anteile der von jedem
Policy-Enforcer 124, 126, gepflegten Zweige beziehen
sich vorzugsweise auf Konfigurationsinformationen für diesen
Policy-Enforcer
sowie auf einige Zusatzinformationen über die anderen Policy-Enforcer.
Diese Zusatzinformationen werden verwendet, um mit den anderen Policy-Enforcern
zu kommunizieren. 23 is a block diagram of an LDAP tree that is an LDAP root 265 and a variety of branches 264 . 266 . 268 . 270 , includes. According to one example, the policy server maintains 122 in the policy server database 130 branches, 264 and 266 , with policy management information for all Policy Enforcers 124 . 126 , Each policy enforcer 124 . 126 , also cultivates shares of branches 264 and or 266 in the respective policy enforcer databases 132 . 134 , as sub-branches of the policy server database 130 , The shares of each policy enforcer 124 . 126 , maintained branches preferably refer to configuration information for this policy enforcer as well as some additional information about the other policy enforcers. This additional information is used to communicate with the other policy enforcers.
Der
Policy-Server 122 kann außerdem den Zweig 268 mit
Speicherinformationen pflegen, die nur von den Anwendungen verwendet
werden, die auf dem Server laufen, und den anderen Policy-Enforcern 124, 126, nicht
zur Verfügung
stehen. Gleichermaßen
können
die Policy-Enforcer 124, 126, einen Anteil des
Zweigs 268 pflegen, der Informationen enthält, die
nur von den Anwendungen auf den Policy- Enforcern genutzt werden und anderen
nicht zur Verfügung
stehen. Typischerweise werden die in Zweig 268 gespeicherten
Daten dynamisch generiert und von den Anwendungen genutzt, die auf
dem entsprechenden Server oder Agenten laufen.The policy server 122 can also do the branch 268 with storage information used only by the applications running on the server and the other policy enforcers 124 . 126 , not available. Similarly, the policy enforcers 124 . 126 , a share of the branch 268 maintain information that is only used by the applications on the policy enforcers and unavailable to others. Typically, those in branch 268 stored data is dynamically generated and used by the applications running on the corresponding server or agent.
Zweig 270 wird
vorzugsweise nur für
die Policy-Serverdatenbank 130 in die LDAP-Baumstruktur
aufgenommen und speichert die protokollierten Policy-Managementänderungen,
die an die Policy-Enforcer 124, 126 weitergeleitet
werden können.
Solche Änderungen
umfassen beispielsweise das Hinzufügen, Löschen oder Ändern eines Nutzers für eine Einrichtung,
VPN-Cloud, Bandbreiten-Policy oder Firewall-Policy, die vom Netzadministrator über die
verschiedenen, oben beschriebenen graphischen Benutzerschnittstellen
vorgenommen wird. Solche Änderungen
resultieren in einer Aktualisierung der Policy-Datenbank 130,
in der der entsprechende DN der LDAP-Baumstruktur hinzugefügt, gelöscht oder
geändert
wird. Der Policy-Server 122 erstellt
außerdem
ein Protokoll der Änderungen
und speichert diese in Zweig 270 zur späteren Verteilung an die Policy-Enforcer 124, 126.branch 270 is preferably only for the policy server database 130 is included in the LDAP tree and stores the logged policy management changes sent to the Policy Enforcer 124 . 126 can be forwarded. Such changes include, for example, adding, deleting or changing a user for a device, VPN cloud, bandwidth policy or firewall policy, which is performed by the network administrator through the various graphical user interfaces described above. Such changes result in an update of the policy database 130 where the corresponding DN is added, deleted or changed to the LDAP tree. The policy server 122 also creates a log of the changes and saves them in branch 270 for later distribution to the policy enforcers 124 . 126 ,
24 ist
ein detaillierteres Blockdiagramm von Zweig 270 der LDAP-Baumstruktur
aus 23. Die LDAP-Wurzel 265 umfasst einen
ApplyLog-Eintrag 270a, der wiederum einen Nutzerprotokoll-Eintrag 270b und
einen Geräteprotokoll-Eintrag 270c umfasst.
Die Nutzerprotokoll-Einträge
umfassen spezifische Adminstratorprotokoll-Einträge, die mit spezifischen DNs 270d gekennzeichnet
sind, die die Änderungen
widerspiegeln, die von den jeweiligen Administratoren vorgenommen
wurden. Der Geräteprotokoll-Eintrag 270c umfasst spezifische
Geräteprotokoll-Einträge, die
mit spezifischen DNs 270e gekennzeichnet sind, die die Änderungen widerspiegeln,
die an die jeweiligen Policy-Enforcer 124, 126,
verteilt werden sollen. Vorzugsweise werden die von den Administratoren
vorgenommenen Änderungen
nach Betätigung
der Schaltfläche „Apply", wie beispielsweise
der in 6 dargestellten Schaltfläche „Apply" 417, an die Policy-Enforcer 124, 126,
weitergeleitet. 24 is a more detailed block diagram of branch 270 the LDAP tree 23 , The LDAP root 265 includes an ApplyLog entry 270a which in turn is a user log entry 270b and a device log entry 270c includes. The user log entries include specific administrator log entries associated with specific DNs 270d which reflects the changes provided by the respective administrators. The device log entry 270c includes specific device log entries containing specific DNs 270e that reflect the changes made to the respective policy enforcers 124 . 126 , to be distributed. Preferably, the changes made by the administrators after pressing the "Apply" button, such as the in 6 displayed button "Apply" 417 to the policy enforcers 124 . 126 , forwarded.
25 ist
ein Ablaufdiagramm für
die Protokollierung und Weiterleitung der LDAP-Änderungen an die Policy-Enforcer
gemäß einer Ausführungsvariante
der Erfindung. In Schritt 420 nimmt ein bestimmter Netzadministrator
eine Änderung
an einer Policy-Einstellung
vor. Gemäß einem
Beispiel handelt es sich bei dem Administrator um den Administrator „adm", der in der Domäne „domain1" arbeitet, und bei
der Änderung
um das Hinzufügen
eines neuen Nutzers für
eine Einrichtung. 25 Figure 3 is a flow chart for logging and forwarding the LDAP changes to policy enforcers according to an embodiment of the invention. In step 420 A specific network administrator makes a change to a policy setting. According to one example, the administrator is the administrator "adm" working in the domain "domain1" and the change is adding a new user for a device.
In
Schritt 422 wird die vom Administrator vorgenommene Änderung
in der Policy-Server-Datenbank 130 umgesetzt. Zu diesem
Zweck werden die Zweige 264 und 266 der LDAP-Baumstruktur
entsprechend geändert,
um die Änderung
der Policy-Einstellung widerzuspiegeln. Zusätzlich erstellt der Policy-Server 122 in Schritt 424 ein
Protokoll der Änderungen
für den
Administrator zur späteren
Verarbeitung und zum Versand an den entsprechenden Policy-Agenten.
In Schritt 426 aktualisiert der Policy-Server 122 das
Protokoll des Administrators 270d, um die Änderung
widerzuspiegeln. In dem oben angeführten Beispiel und gemäß der Darstellung
in 24 wird das erstellte Protokoll „A_L1" genannt und der
Policy-Server 122 aktualisiert DN 270d für „adm" in „domain1", um ein „Apply"-Attribut 270f zu
erstellen, das den Wert „A_L1" 270g aufweist.
Andere, vom Administrator vorgenommene Änderungen werden in separaten
Protokollen (z.B. „A_L2", „A_L3") erfasst und an
den bestehenden Wert des Apply-Attributs im Administrator-Protokoll
DN 270d angehängt.In step 422 is the change made by the administrator in the policy server database 130 implemented. For this purpose, the branches 264 and 266 Modified the LDAP tree to reflect the policy setting change. Additionally, the policy server creates 122 in step 424 a log of changes for the administrator for later processing and shipment to the appropriate policy agent. In step 426 updates the policy server 122 the log of the administrator 270d to reflect the change. In the above example and as shown in FIG 24 the created protocol is called "A_L1" and the policy server 122 updated DN 270d for "adm" in "domain1" to get an "Apply" attribute 270f create the value "A_L1" 270g having. Other changes made by the administrator are recorded in separate logs (eg "A_L2", "A_L3") and to the existing value of the Apply attribute in the administrator log DN 270d attached.
In
Schritt 428 prüft
der Policy-Server 122, ob die vom Administrator vorgenommenen Änderungen
an die entsprechenden Policy-Enforcer 124, 126,
weitergeleitet werden sollen. Wie oben erläutert, werden die Änderungen
vorzugsweise nach Betätigung
der Schaltfläche „Apply" auf der graphischen
Benutzerschnittstelle des Administrators weitergeleitet.In step 428 checks the policy server 122 whether the changes made by the administrator to the appropriate policy enforcers 124 . 126 , should be forwarded. As discussed above, it is preferred that the changes be forwarded upon actuation of the "Apply" button on the administrator's graphical user interface.
Wenn
die Schaltfläche „Apply" betätigt wurde,
erstellt der Policy-Server in Schritt 430 ein Protokoll
für jeden
Policy-Enforcer,
an den die Änderung übermittelt
werden soll. Zu diesem Zweck erfasst der Policy-Server 122 alle
vom Administrator vorgenommenen Änderungen,
die in den Werten 270g, 270h des Apply-Attributs 270f des
Administrator-Protokolls DN 270d enthalten sind.When the "Apply" button has been pressed, the policy server creates in step 430 a log for each policy enforcer to whom the change should be submitted. For this purpose, the policy server is detected 122 Any changes made by the administrator in the values 270g . 270h the Apply attribute 270f the administrator's log DN 270d are included.
Diese Änderungen
werden für
jeden Policy-Enforcer verarbeitet, der zur Domäne des Administrators gehört. Diese
Verarbeitung umfasst vorzugsweise das Auslesen der relevanten Änderungen
und die entsprechende Änderung
der DNs für
die LDAP des Policy-Enforcers. Derartige Änderungen können beispielsweise aufgrund
von Differenzen in den Baumstrukturen in der Policy-Serverdatenbank 130 und
den Policy-Enforcer-Datenbanken 132, 134, erforderlich
sein. So kann eine Änderung
im Administratorprotokoll beispielsweise eine DN enthalten, die
den Domänennamen
des Policy-Enforcers angibt. Bei der Anwendung dieser Änderung
auf den Policy-Enforcer wird der Domänenname in der DN nicht angegeben,
da die Baumstruktur des Policy-Enforcers keinen Domänennamen
enthält.These changes are processed for each policy enforcer that belongs to the administrator's domain. This processing preferably includes reading out the relevant changes and the corresponding change of DNs for the Policy Enforcer LDAP. Such changes may be due, for example, to differences in the tree structures in the policy server database 130 and Policy Enforcer databases 132 . 134 , to be required. For example, a change in the admin protocol may include a DN that specifies the domain name of the policy enforcer. Applying this change to the policy enforcer does not specify the domain name in the DN because the Policy Enforcer tree does not contain a domain name.
Die
entsprechend vorgenommenen Änderungen
für die
LDAP jedes Policy-Enforcers werden dann in einem Geräteprotokoll
gespeichert. Die Protokoll-DNs aller Policy-Enforcer 270e werden
dann der Änderung entsprechend
angepasst und an den jeweiligen Policy-Enforcer übermittelt. Im oben angeführten Beispiel
und gemäß der Darstellung
in 24 wird das erstellte Geräteprotokoll „PE_L1" genannt, der Policy-Server 122 aktualisiert
den DN 270e für
den jeweiligen Policy-Enforcer „PE1" in „domain1", um ein „Apply"-Attribut 270i zu erstellen,
das den Wert „PE_L1" 270j aufweist.The appropriate changes made to each Policy Enforcer's LDAP are then stored in a device log. The log DNs of all policy enforcers 270e will then be adapted to the change and sent to the respective policy enforcer. In the above example and as shown in FIG 24 the created device protocol is called "PE_L1", the policy server 122 updates the DN 270e for the respective policy enforcer "PE1" in "domain1" to an "Apply" attribute 270i create the value "PE_L1" 270j having.
In
Schritt 432 wird das Apply-Attribut 270f für den Administratorprotrokoll-DN 270d aus
der LDAP-Baumstruktur gelöscht.
In Schritt 434 werden die für jeden Policy-Enforcer ausgelesenen Änderungen, die
in den Werten 270j und 270k des Apply-Attributs 270i des
Policy-Enforcer-Protokoll-DN 270e enthalten sind, an den
Policy-Enforcer
zur Aktualisierung seiner Datenbank 132, 134, übermittelt.
Die Änderungen
werden vorzugsweise über
den HTTPS-Kanal an die Policy-Enforcer übermittelt.In step 432 becomes the Apply attribute 270f for the Administrator Protocoll DN 270d deleted from the LDAP tree. In step 434 will be the changes read out for each Policy Enforcer in the values 270j and 270k the Apply attribute 270i Policy Enforcer Protocol DN 270e to the Policy Enforcer to update its database 132 . 134 , transmitted. The changes are preferably sent over the HTTPS channel to the policy enforcers.
In
Schritt 436 prüft
der Policy-Server 122, ob die Aktualisierungen erfolgreich
waren. Zu diesem Zweck wartet der Policy-Server 122, bis
er eine Bestätigung
vom Policy-Enforcer erhält,
dass die Aktualisierungen erfolgreich abgeschlossen wurden. Nach
einer positiven Antwort des Policy-Enforcers löscht der Policy-Server 122 das
Apply-Attribut 270e aus dem Protokoll-DN des Policy- Enforcers 270e.
Falls die Aktualisierung jedoch nicht erfolgreich war (z.B. weil
der Policy-Enforcer abgeschaltet war), wird das Apply-Protokoll
erneut gesendet, wenn das nächste
Mal eine andere Apply-Funktion aufgerufen wird. Alternativ übermittelt
der ausgefallene Policy-Enforcer eine Anfrage an den Policy-Server 122 über das
Protokoll der nicht umgesetzten Änderungen, sobald
er wieder im Netz ist (z.B. nach einem Neustart).In step 436 checks the policy server 122 whether the updates were successful. The policy server waits for this purpose 122 until it receives confirmation from the Policy Enforcer that the updates have been successfully completed. After a positive response from the policy enforcer, the policy server deletes 122 the Apply attribute 270e from the policy DN of the policy enforcer 270e , If the update, however was unsuccessful (for example, because the Policy Enforcer was disabled), the Apply log is resent the next time another Apply function is called. Alternatively, the failed policy enforcer submits a request to the policy server 122 on the log of unimplemented changes as soon as it is back online (eg after a reboot).
IX. STATUS-ÜBERGANGSPROTOKOLL
FÜR HOCHVERFÜGBARE EINHEITENIX. STATUS TRANSITION PROTOCOL
FOR HIGHLY AVAILABLE UNITS
Gemäß einer
Ausführungsvariante
der Erfindung können
der Policy-Server 122, die Policy-Enforcer 124, 126,
sowie andere Netzwerkeinrichtungen im Hinblick auf eine Hochverfügbarkeit
konfiguriert werden, indem neben der Primäreinheit eine Reserveeinheit
bereit gehalten wird.According to one embodiment of the invention, the policy server 122 , the policy enforcers 124 . 126 , as well as other network devices, are configured for high availability by having a spare unit in addition to the primary unit.
26 ist
ein schematisches Blockdiagramm eines hochverfügbaren Systems, bestehend aus
einer Primäreinheit 902 und
einer Reserveeinheit 904. Die beiden Einheiten, 902 und 904,
kommunizieren miteinander, indem sie über die Parallelanschlüsse 906a, 906b und
ein Kabel 908 Heartbeats austauschen. Bei diesen Parallelanschlüssen 906a, 906b,
sowie dem Kabel 908 handelt es sich um herkömmliche
Komponenten, die in der Technik allgemein verfügbar sind. 26 is a schematic block diagram of a high availability system consisting of a primary unit 902 and a reserve unit 904 , The two units, 902 and 904 , communicate with each other by using the parallel ports 906a . 906b and a cable 908 Exchange heartbeats. In these parallel connections 906a . 906b , as well as the cable 908 these are conventional components that are commonly available in the art.
Die
Primäreinheit 902 und
die Reserveeinheit 904 sind jeweils in ähnlicher Weise mit den anderen Komponenten 910, 912, 914, über die
Anschlüsse 920a, 920b, 922a, 922b, 924a,
bzw. 924b, verbunden. Bei diesen Komponenten 910, 912, 914,
kann es sich um Hubs, Schalter, Steckverbindungen oder Ähnliches
handeln. Da die Primäreinheit 902 und
die Reserveeinheit 904 ähnliche
Dienste und Funktionen gewährleisten
und gegeneinander auswechselbar eingesetzt werden können, ist
jede Einheit vorzugsweise mit den gleichen Komponenten 910, 912, 914,
verbunden.The primary unit 902 and the reserve unit 904 are each in a similar way with the other components 910 . 912 . 914 , about the connections 920a . 920b . 922a . 922b . 924a , respectively. 924b , connected. With these components 910 . 912 . 914 , may be hubs, switches, connectors or the like. As the primary unit 902 and the reserve unit 904 ensure similar services and functions and can be used interchangeable, each unit is preferably with the same components 910 . 912 . 914 , connected.
Das
Parallelanschlusskabel 908 ist vorzugsweise ein herkömmliches
LAP-Verbindungskabel, das für die
Verbindung von zwei Parallelanschlüssen und die Kommunikation
untereinander konzipiert ist. Die Primäreinheit 902 und die
Reserveeinheit 904 kommunizieren vorzugsweise mittels TCP-Paketen über die
hochverfügbaren
Anschlüsse 906a, 906b,
miteinander. Vorzugsweise existiert ein Punkt-zu-Punkt-Anschluss zwischen
der Primäreinheit 902 und
der Reserveeinheit 904 über
die hochverfügbaren
Anschlüsse 906a, 906b.The parallel connection cable 908 is preferably a conventional LAP interconnect cable designed to connect two parallel ports and communicate with one another. The primary unit 902 and the reserve unit 904 preferably communicate via TCP packets over the highly available ports 906a . 906b , together. Preferably, a point-to-point connection exists between the primary unit 902 and the reserve unit 904 over the highly available connections 906a . 906b ,
Vorzugsweise
ist die Primäreinheit 902 für die Überprüfung des
Status ihrer Netzanschlüsse
auf Störungen
oder Ausfälle
verantwortlich. Wenn die Primäreinheit 902 beispielsweise
feststellt, dass einer ihrer Netzanschlüsse nicht betriebsbereit ist,
z.B. Anschluss 922a, prüft
die Primäreinheit 902,
ob der entsprechende Anschluss 922b in der Reserveeinheit 904 betriebsbereit
ist. Nach der Feststellung, dass der entsprechende Anschluss 922b in
der Reserveeinheit 904 betriebsbereit ist, sendet die Primäreinheit 902 eine
Anfrage an die Reserveeinheit 904, die Systemfunktionen
als aktive Einheit zu übernehmen.
Die Primäreinheit 902 gibt dann
ihre Rolle als aktive Einheit auf, schaltet sich selbst ab und ermöglicht so
der Reserveeinheit 904, die Aufgaben der Primäreinheit 902 zu übernehmen.
Wenn die Primäreinheit 902 ihren
Betrieb wieder aufnimmt, erhält
die Reserveeinheit 904 eine Anfrage von der Primäreinheit 902,
ihre Rolle als aktive Einheit aufzugeben.Preferably, the primary unit 902 responsible for checking the status of their network connections for faults or failures. If the primary unit 902 For example, it detects that one of its network connections is not ready for operation, eg connection 922a , checks the primary unit 902 whether the corresponding connection 922b in the reserve unit 904 is ready for use. After finding that the corresponding port 922b in the reserve unit 904 is ready, sends the primary unit 902 a request to the reserve unit 904 to adopt the system functions as an active entity. The primary unit 902 then gives up its role as an active unit, shuts itself off and allows the reserve unit 904 , the tasks of the primary unit 902 to take over. If the primary unit 902 resumes operation receives the reserve unit 904 a request from the primary unit 902 to give up her role as an active entity.
Wenn
die Primäreinheit 902 aktiv
ist und keine Störungen
an ihren Anschlüssen
feststellt, prüft
sie permanent den hochverfügbaren
Anschluss 906a, um den Status der Reserveeinheit 904 zu überwachen.
Die Primäreinheit 902 prüft den hochverfügbaren Anschluss 906a auf
Signale von der Reserveeinheit 904. Wenn die Reserveeinheit 904 eingeschaltet
ist und läuft,
stellt sie eine Verbindung zur Primäreinheit 902 her.
Sobald die Verbindung hergestellt ist, beginnt die Reserveeinheit 904 mit
dem Versand von Heartbeats an die Primäreinheit 902. Die
Reserveeinheit 904 sendet kontinuierlich, in vordefinierten
Intervallen, Heartbeats an die Primäreinheit 902. Gemäß einer
Ausführungsvariante
der Erfindung sendet die Reserveeinheit 904 einmal pro
Sekunde ein „Keep
Alive"-Paket, einschließlich eines
KEEP ALIVE-Befehls an die Primäreinheit 902.If the primary unit 902 is active and does not detect any faults at its connections, it permanently checks the fault-tolerant connection 906a to the status of the reserve unit 904 to monitor. The primary unit 902 checks the fault-tolerant connection 906a to signals from the reserve unit 904 , If the reserve unit 904 is switched on and running, it connects to the primary unit 902 ago. Once the connection is made, the reserve unit starts 904 with the sending of heartbeats to the primary unit 902 , The reserve unit 904 continuously sends heartbeats to the primary unit at predefined intervals 902 , According to one embodiment of the invention, the reserve unit sends 904 a "keep alive" packet once per second, including a KEEP ALIVE command to the primary unit 902 ,
Die
Primäreinheit 902 antwortet
auf das „Keep
Alive"-Paket, indem
sie das Befehlsfeld des Pakets in einen KEEP_ALIVE_RESP-Befehl abändert und
das Paket an den Absender zurücksendet.
Wenn die Reserveeinheit 904 über einen vordefinierten Zeitraum
(z.B. eine Sekunde) keine Antwort auf das „Keep Alive"-Paket von der Primäreinheit 902 erhält, beginnt
die Reserveeinheit 904, sich auf die Übernahme der aktiven Rolle vorzubereiten.
Der vordefinierte Zeitraum sollte vorzugsweise nicht länger sein
als zwei aufeinander folgende „Keep
Alive"-Pakete.The primary unit 902 responds to the "Keep Alive" packet by modifying the command field of the packet into a KEEP_ALIVE_RESP command and returning the packet to the sender 904 over a predefined period of time (eg one second) no response to the "Keep Alive" packet from the primary unit 902 receives, the reserve unit begins 904 to prepare for taking on the active role. The predefined time period should preferably not be longer than two consecutive "keep alive" packets.
Nach Übernahme
der Rolle als aktive Einheit versucht die Reserveeinheit 904 in
regelmäßigen Intervallen,
wieder eine Verbindung zur Primäreinheit 902 herzustellen,
um festzustellen, ob die Störung,
bzw. der Ausfall der Primäreinheit
behoben wurde. Wenn die Störung,
bzw. der Ausfall behoben wurde, gibt die Reserveeinheit 904 die
Kontrolle an die Primäreinheit 902 ab,
nachdem sie die IP-Adressen
aller Netzwerk-Schnittstellenkarten auf den entsprechenden Wert
zurückgesetzt
hat.After taking over the role as active unit, the reserve unit tries 904 at regular intervals, reconnect to the primary unit 902 to determine whether the malfunction or failure of the primary unit has been remedied. If the fault or failure has been rectified, the reserve unit indicates 904 the control to the primary unit 902 starting after getting the IP addresses of all network cut reset to the appropriate value.
In
Situationen, in denen die Reserveeinheit 904 die aktive
Rolle von der Primäreinheit 902 übernimmt, wird
eine Warnung/Alarmmeldung an den Netzadministrator gesandt, in der
dieser Wechsel angezeigt wird. Falls die Primäreinheit 902 keine
Heartbeats mehr von der Reserveeinheit 904 erhält, wird
ebenfalls eine Warnung/Alarmmeldung an den Netzadministrator versandt,
die anzeigt, dass die Reserveeinheit ausgefallen ist.In situations where the reserve unit 904 the active role of the primary unit 902 a warning / alarm message is sent to the network administrator in which this change is displayed. If the primary unit 902 no more heartbeats from the reserve unit 904 A warning / alarm message is also sent to the network administrator indicating that the backup unit has failed.
Es
kann die Situation auftreten, in der sowohl die Primäreinheit 902 als
auch die Reserveeinheit 904 voll funktionsfähig sind
und die Reserveeinheit 904 dennoch die aktive Rolle übernehmen
will. In diesem Fall übermittelt
die Reserveeinheit einen Abschaltbefehl an die Primäreinheit 902,
die dann die Kontrolle abgibt. Die Reserveeinheit 904 setzt
ihre Rolle als aktive Einheit fort, bis die Primäreinheit 902 eine
Anfrage an die Reserveeinheit 904 übermittelt, ihre aktive Rolle
aufzugeben.It may occur the situation in which both the primary unit 902 as well as the reserve unit 904 are fully functional and the reserve unit 904 still want to take the active role. In this case, the reserve unit transmits a shutdown command to the primary unit 902 which then gives the control. The reserve unit 904 continues its role as an active unit until the primary unit 902 a request to the reserve unit 904 to give up her active role.
Gemäß einer
Ausführungsvariante
der Erfindung basiert das anfängliche
Protokoll zur Statusermittlung jeder hochverfügbaren Einheit als Primär-, Reserve-
oder Standalone-Einheit auf einem Selbsttest-Verfahren. 27 ist
ein Ablaufdiagramm eines beispielhaften Prozesses zur Statusermittlung
gemäß einer
Ausführungsvariante
der Erfindung. In Schritt 930 fährt eine erste hochverfügbare Einheit
(Einheit X), die ihren Status als Primär- oder Reserveeinheit noch nicht endgültig ermittelt
hat, hoch und übernimmt
in Schritt 932 die Rolle einer Reserveeinheit. In Schritt 934 durchsucht
Einheit X das Netz nach einer Primäreinheit und fragt in Schritt 936 an,
ob eine Primäreinheit
erfasst wurde. Ist die Antwort YES (Ja), versucht Einheit X, eine
Verbindung zur Primäreinheit
herzustellen. Wird diese erfolgreich hergestellt, initialisiert
sich Einheit X in Schritt 938 als Reserveeinheit. Erfasst
Einheit X jedoch keine Primäreinheit, übernimmt
Einheit X in Schritt 940 die Rolle der Primäreinheit.According to one embodiment of the invention, the initial protocol for determining the status of each fault-tolerant unit as a primary, standby or stand-alone unit is based on a self-test method. 27 FIG. 10 is a flowchart of an exemplary status determination process according to an embodiment of the invention. FIG. In step 930 A first highly available unit (unit X), which has not yet definitively determined its status as primary or reserve unit, moves up and takes over in step 932 the role of a reserve unit. In step 934 Unit X searches the network for a primary unit and asks in step 936 on whether a primary unit has been detected. If the answer is YES, unit X will attempt to connect to the primary unit. If this is successfully established, unit X will initialize in step 938 as reserve unit. However, if unit X does not capture a primary unit, unit X takes over in step 940 the role of the primary unit.
In
Schritt 942 durchsucht Einheit X das Netz nach einer Reserveeinheit.
Wird eine Reserveeinheit erfasst, wie in Schritt 944 angefragt,
stellt Einheit X eine Verbindung zur Reserveeinheit her und initialisiert
sich in Schritt 946 als Primäreinheit. Erfasst Einheit X
jedoch innerhalb eines vordefinierten Zeitraums keine anderen Einheiten
im Netz, initialisiert sich Einheit X in Schritt 948 als
Standalone-Einheit.In step 942 Unit X searches the network for a reserve unit. If a reserve unit is detected, as in step 944 requested, unit X connects to the reserve unit and initializes in step 946 as a primary unit. However, if unit X does not detect any other units in the network within a predefined period of time, unit X will initialize in step 948 as a standalone unit.
Sobald
die Primär-
und die Sekundäreinheiten
initialisiert wurden, werden die Konfigurationsänderungen der Primäreinheit
ebenfalls an die Reserveeinheit übermittelt,
um die beiden Einheiten zu synchronisieren. Die Konfigurationsinformationen
werden vorzugsweise in einer LDAP-Datenbank, wie beispielsweise
in der zentralen Policy-Server-Datenbank 130 oder einer
Policy-Agent-Datenbank, 124, 126,
gespeichert.Once the primary and secondary units have been initialized, the primary unit configuration changes are also communicated to the reserve unit to synchronize the two units. The configuration information is preferably stored in an LDAP database, such as the central policy server database 130 or a policy agent database, 124 . 126 , saved.
28 ist
ein Ablaufdiagramm eines Prozesses zur Synchronisierung der Konfigurationsinformationen
der Primär-
und Reserveeinheit. In Schritt 950 fährt die Primäreinheit
hoch und in Schritt 952 erfasst sie die Reserveeinheit.
In Schritt 954 empfängt
die Reserveeinheit die Informationen über die Konfigurationsänderungen
von der Primäreinheit,
sofern diese funktionsfähig
ist. Andernfalls werden die Konfigurationsänderungen vom Netzadministrator
direkt in die Reserveeinheit eingegeben. Wenn die Konfigurationsänderungen an
die Primäreinheit übermittelt
werden sollen, teilt die Primäreinheit
der Reserveeinheit mit, falls Konfigurationsänderungen in der Primäreinheit
auftreten. Die Änderungen
werden dann an die Reserveeinheit übermittelt und umgesetzt. Die
Reserveeinheit wiederum übermittelt
den Status von Übermittlung
und Umsetzung zurück an
die Primäreinheit. 28 FIG. 10 is a flow chart of a process for synchronizing the configuration information of the primary and spare units. In step 950 moves the primary unit up and in step 952 she records the reserve unit. In step 954 the reserve unit receives the information about the configuration changes from the primary unit, if it is functional. Otherwise, the network administrator will enter the configuration changes directly into the reserve unit. If the configuration changes are to be transmitted to the primary unit, the primary unit notifies the standby unit if configuration changes occur in the primary unit. The changes are then transmitted to the reserve unit and implemented. The reserve unit, in turn, transmits the status of transmission and conversion back to the primary unit.
In
Schritt 956 wird die Primäreinheit überprüft um festzustellen, ob sie
funktionsfähig
ist. Ist dies der Fall, wird die Primäreinheit gleichermaßen mit
der Konfigurationsänderung
aktualisiert. Ist die Primäreinheit
jedoch nicht funktionsfähig, übernimmt
die Reserveeinheit die aktive Rolle und wird in Schritt 958 zur
aktiven Einheit. Die Primäreinheit
kann aufgrund von Störungen
der CPU, der Netzwerk-Schnittstellenkarte oder der Stromversorgung
funktionsunfähig
und damit inaktiv werden.In step 956 the primary unit is checked to determine if it is functional. If this is the case, the primary unit is updated equally with the configuration change. If, however, the primary unit does not function, the reserve unit takes over the active role and becomes in step 958 to the active unit. The primary unit may become inoperative due to CPU, network interface card, or power failure and become inactive.
In
Schritt 960 markiert die Reserveeinheit die Änderungen,
um diese an die Primäreinheit
zu übertragen,
sobald die Primäreinheit
funktionsfähig
wird. Sobald die Primäreinheit
funktionsfähig
wird, wird die Primäreinheit
mit den von der Reserveeinheit markierten Änderungen aktualisiert, wie
in Schritt 962 dargestellt.In step 960 the reserve unit marks the changes to be transmitted to the primary unit as soon as the primary unit becomes operational. As soon as the primary unit becomes operational, the primary unit is updated with the changes marked by the reserve unit as in step 962 shown.
Gemäß einer
Ausführungsvariante
der Erfindung werden Software-Updates
in der Primär-
und der Reserveeinheit ebenfalls synchronisiert, um die Primär- und die
Reserveeinheit seriell in einem einzigen Zyklus zu aktualisieren,
ohne mehrere Aktualisierungszyklen durchführen zu müssen. Der Netzadministrator
muss somit seine Arbeiten zur Aktualisierung der Reserveeinheit
mit den gleichen Informationen wie die Primäreinheit nicht doppelt durchführen.According to one
variant
The invention will be software updates
in the primary
and the reserve unit also synchronized to the primary and the
To update reserve unit serially in a single cycle,
without having to perform several update cycles. The network administrator
must therefore do its work to update the reserve unit
Do not duplicate with the same information as the primary unit.
29 ist
ein beispielhaftes Ablaufdiagramm für die Aktualisierung der Primär- und Reserveeinheit, wenn
beide funktionsfähig
sind. In Schritt 970 wird ein Update, beispielsweise ein
nicht in den LDAP-Datenbanken gespeichertes Software-Update, von
einer dem Netzadministrator zugänglichen
Managementstation an die Primäreinheit
gesandt/übermittelt.
Die Primäreinheit
aktualisiert sich dann in Schritt 972 selbst. In Schritt 974 sendet/übermittelt
die Primäreinheit
die Update-Informationen automatisch an die Reserveeinheit. In Schritt 976 aktualisiert
sich die Reserveeinheit mit den Update-Informationen, die sie von
der Primäreinheit
erhalten hat, selbst. 29 Figure 10 is an exemplary flowchart for updating the primary and reserve units when both are operational. In step 970 For example, an update, such as a software update not stored in the LDAP databases, is sent / transmitted to the primary unit by a management station accessible to the network administrator. The primary unit then updates in step 972 yourself. In step 974 the primary unit automatically sends / transmits the update information to the reserve unit. In step 976 itself updates the reserve unit with the update information received from the primary unit.
30 ist
ein beispielhaftes Ablaufdiagramm für die Aktualisierung der Primär- und der
Reserveeinheit, wenn die Primäreinheit
nicht funktionsfähig
ist. In Schritt 978 wird die Primäreinheit funktionsunfähig und in
Schritt 980 sendet/übermittelt
der Netzadministrator ein Update direkt an die Reserveeinheit, anstatt
an die Primäreinheit.
In Schritt 982 aktualisiert sich die Reserveeinheit mit
den Informationen, die sie von der Managementstation empfangen hat,
selbst und wartet, bis die Primäreinheit
wieder funktionsfähig
wird. Sobald die Primäreinheit
funktionsfähig
wird, wird das Update in Schritt 986 automatisch zur Aktualisierung
an die Primäreinheit
gesandt/übermittelt.
Die Primäreinheit
aktualisiert sich in Schritt 988 selbst. 30 is an exemplary flowchart for updating the primary and backup units when the primary unit is not functional. In step 978 the primary unit becomes inoperable and in step 980 the network administrator sends / transmits an update directly to the reserve unit instead of to the primary unit. In step 982 itself updates the reserve unit with the information it has received from the management station and waits until the primary unit becomes operational again. As soon as the primary unit becomes operational, the update in step 986 automatically sent / communicated to the primary unit for updating. The primary unit updates in step 988 even.
Obwohl
die vorliegende Erfindung detailliert in Bezug auf die bevorzugten
Ausführungsvarianten
beschrieben wurde, ist es für
den Fachmann sicherlich einleuchtend, dass die verschiedensten Änderungen
und Modifikationen an den hier beschriebenen Beispielen vorgenommen
werden können.Even though
the present invention in detail with reference to the preferred
variants
has been described, it is for
The expert certainly understands that the various changes
and modifications made to the examples described herein
can be.
Das
einheitliche Policy-Managementsystem aus 1 sollte
beispielsweise eher als Beispiel, denn als Einschränkung betrachtet
werden. Für
den Fachmann ist nach Durchsicht der vorliegenden Erfindung sicher
offensichtlich, dass zahlreiche alternative Konfigurationen möglich sind.
Es können
beispielsweise zusätzliche
Netze mit Policy-Enforcern oder gar keine zusätzlichen Netze vorhanden sein.
Des Gleichen müssen die
Policy-Enforcer nicht zwingend über
das Internet auf den Policy-Server zugreifen, sondern können die
Verbindung mit anderen Mitteln, wie z.B. WAN, MAN etc. herstellen.
Kurz gesagt können
Anzahl und Typ der Nutzer und Ressourcen innerhalb und außerhalb
der Organisation erheblich variieren, ohne den Umfang der vorliegenden
Erfindung zu überschreiten. Legenden
zu den Abbildungen Abbildung
1 Policy
Enforcer Policy-Enforcer
Policy
Server Policy-Server
Public
Internet Öffentliches
Internet
Router Router
Web
Server Web-Server
Abbildung
2 Admin.
Groups Administratorgruppen
Admin.
Policies Administrator-Policies
Administrators Administratoren
Alarms Alarmmeldungen
Alternate
DMZ Alternierende
DMZ
Alternate
LAN Alternierendes
LAN
Archive Archive
Authentication Authentifizierung
Bandwidth Bandbreite
Certs Zertifizierungen
Config. Konfiguration
Control Steuerung
Device Gerät
Device
Group Gerätegruppe
Dimensions Abmessungen
Direct
Proxy Direkter
Proxy
Dynamic
Routes Dynamische
Strecken
FW
Policy Firewall-Policy
Global
Info Globale
Informationen
Group
Root Gruppenwurzel
Host Host
Host
Group Hostgruppe
License Genehmigung
MO Verwaltungsorganisation
Nat National
Nat
Pool Nationaler
Pool
Networks Netze
Policy
Server Policy-Server
Policy
Server Domain Domain
des Policy-Servers
Priv.
Key Priv.
Schlüssel
Proxy
Port Proxy-Port
Resource
Root Ressourcenquelle
Routes Strecken
Rules Regeln
Service Dienst
Service
Group Dienstegruppe
Sites Standorte
SNMP
Settings SNMP-Einstellungen
Thresholds Grenzwerte
Time Zeit
User Nutzer
User
Group Nutzergruppe
Video
Nat Video,
national
VPN
Clouds VPN-Clouds
Weights Gewichte
Abbildung
3 Administrator Administrator
Centralized
Management Zentrale
Verwaltung
Log
Collecting and Archiving Protokollerfassung
und – archivierung
Multi-site
Connectivity Management Verwaltung
der Connectivity mit mehreren Standorten
Policy
Management Policy-Verwaltung
Policy
Server Reports Policy-Server-Berichte
Secure
Role Based Management Sichere,
rollenbasierte Verwaltung
Abbildung
4 Administrator Administrator
Configuration
Interface Konfigurationsschnittstelle
Data
Collector Datenerfassung
Global
Monitor UI Globaler
Monitor UI
Policy
Server Install Installation
des Policy-Servers
Policy
Enforcer Install Installation
des Policy-Enforcers
Abbildung
5 Start Start
Install
and Connect Device to Network Gerät installieren
und mit dem Netz verbinden
Add
Device to Device Groupe Gerät einer
Gerätegruppe
hinzufügen
Transmit
Registration Packet Registrierungspaket übermitteln
Serial
NO. Matched Übereinstimmung
der Seriennummern
YES Ja
No Nein
Package
Settings for Policy-Enforcer Paketeinstellungen
für Policy-Enforcer
Transfer
File to Policy Enforcer Datei
an Policy-Enforcer übermitteln
Initialize
Configuration Database Konfigurationsdatenbank
initialisieren
End Ende
Abbildung
6 & 7 Add
New Device Neues
Gerät hinzufügen
Address Adresse
Admin. Administrator
Alarms Alarmmeldungen
All Alle
All
Devices Alle
Geräte
All
Devices' Status Status
aller Geräte
Applet
Viewer: Presentation Mainmenu Applet-Viewer:
Darstellung des Hauptmenüs
Apply Anwenden
Attached
Device Group Dazugehörige Gerätegruppe
Back Zurück
Bandwidth Bandbreite
Cancel Abbrechen
Description Beschreibung
Device
Explored Bearbeitetes
Gerät
Device
Name Gerätename (Boston)
Device
Serial Number Seriennummer
des Geräts
East
Coast Device Group Gerätegruppe
Ostküste
Edit Bearbeiten
Favorites Favoriten
File Datei
Forward Weiter
Global
Monitor Explored Bearbeiteter
allgemeiner Monitor
Global
Spam List Allgemeine
Spam-Liste
Global
URL Blocking Allgemeine
URL-Blockierung
Go Gehe
zu
Help Hilfe
Links Links
Location Standort
Manager Verwalten
Monitor Überwachen
Name Name
Network Netzwerk
Network
Status Netzwerkstatus
OK Bestätigen
Policy
Server Policy-Server
Policy
Server Archive Options Policy-Server
Archivoptionen
Policy
Server System Settings Policy-Server
Systemeinstellungen
Registered Registriert
Remove Löschen
Reports Berichte
Reset Zurücksetzen
Stop Stopp
System
Load Systemauslastung
Time Zeit
UITeam UI-Team
Up/Down Weiter/Zurück
View Ansicht
VPN
Connections VPN-Verbindungen
Abbildung
8 Manager Verwalten
Monitor Überwachen
Reports Berichte
Admin. Administrator
Apply Anwenden
Help Hilfe
User
Explored Bearbeiteter
Nutzer
All Alle
Admin
User Administrator-Nutzer
Sales
and Marketing Vertrieb
und Marketing
Finance Finanzen
Manufacturing Produktion
Customer
Service Kundendienst
Engineering Entwicklung
Mobile
Users Mobile
Nutzer
Partners Partner
VPN
Users VPN-Nutzer
Firewall Firewall
VPN VPN
Bandwidth Bandbreite
Administration Verwaltung
Policy
List Policy-Liste
Add Hinzufügen
Modify Ändern
Delete Löschen
Up Weiter
Down Zurück
Filter Filter
Print Drucken
Refresh Neu
laden
ID ID
Order Reihenfolge
Description Beschreibung
Action Aktion
Active Aktiv
User Nutzer
Source Quelle
Services Dienste
Allow
any Alle
zulassen
User
Group Nutzergruppe
All Alle
Spam
Blocking Spam
blockieren
Host
group Host-Gruppe
URL
Blocking URL
blockieren
VPN
Key Ma.. VPN-Schlüsselmanager
Internet
Acc... Internet-Account
Allow Zulassen
Abbildung
9 Device
Explored Bearbeitetes
Gerät
Policy
Server Policy-Server
System
Settings Systemeinstellungen
Archive
Options Archivoptionen
Global
URL Blocking Allgemeine
URL-Blockierung
Global
Spam List Allgemeine
Spam-Liste
All Alle
UITEam UI-Team
Authentication
Settings Authentifizierungs-Einstellunge
East
Coast Device Group Gerätegruppe
Ostküste
Modify
URL of Aspen URL
für Aspen ändern
Enable
List Download Download
der Liste freigeben
Download
URL URL
herunterladen
Password Passwort
Day
of the Week Wochentag
Time
of Day Tageszeit
Profile
Management Profilmanagement
Categories Kategorien
Violence
and Profanity Gewalt
und Verunglimpfung
Sexual
Text Texte
mit sexuellem Inhalt
Sex
Education Sexualkunde
Sports
and Leisure Sport
und Freizeit
Partial
Nudity Freizügige Darstellungen
Gross
Depictions Unsittliche
Bilder
Gambling Glücksspiel
Full
Nudity Nacktfotos
Militant
and Extremist Militante
und extremistische Darstellungen
Null Nichtig
OK Bestätigen
Reset Zurücksetzen
Cancel Abbrechen
Abbildung
10 Manager Verwalten
Monitor Überwachen
Reports Berichte
Admin. Administrator
Apply Anwenden
Help Hilfe
Host
Explored Bearbeiteter
Host
All Alle
LAN LAN
WAN WAN
DMZ/Servers DMZ/Server
Sales
and Marketing Vertrieb
und Marketing
Engineering Entwicklung
Manufacturing Produktion
Finance Finanzen
Partners Partner
Remote
Sites Entfernte
Standorte
Mobile
Users Mobile
Nutzer
Customer
Service Kundendienst
Add
New Host Neuen
Host hinzufügen
Name Name
IP
Address IP-Adresse
Netmask Netzmaske
External
Host Externer
Host
External
Device IP Address IP-Adresse
des externen Geräts
Device Gerät
Attachted
Host Group Zugehörige Host-Gruppe
Remove Entfernen
OK Bestätigen
Reset Zurücksetzen
Cancel Abbrechen
Abbildung
11 Manager Verwalten
Monitor Überwachen
Reports Berichte
Admin. Administrator
Apply Anwenden
Help Hilfe
Service
Explored Bearbeiteter
Dienst
All Alle
Multimedia
Streaming/Conferencing Multimedia-Streaming/Konferenzen
Information
Retrieval Informationsabfrage
Security
and Authentication Sicherheit
und Authentifizierung
Mail
Applications Mail-Anwendungen
Routing
Protocols Routing-Protokolle
Standard
Protocols Standard-Protokolle
Database
Applications Datenbank-Anwendungen
Popular
Internet Protocols Verbreitete
Internet-Protokolle
Modify
Service Dienst-Änderung
Name – http and
URL Tracking Name – http und
URL-Verfolgung
Description Beschreibung
http
with URL Blocking enabled http
mit URL-Blockierung freigegeben
Type Typ
Attached
Service Group Zugehörige Dienstegruppe
http
Configuration http-Konfiguration
Enable
URL Blocking URL-Blockierung
freigeben
OK Bestätigen
Reset Zurücksetzen
Cancel Abbrechen
Abbildung
12 Manager Verwalten
Monitor Überwachen
Reports Berichte
Admin. Administrator
Apply Anwenden
Help Hilfe
Time
Explored Bearbeiteter
Zeitraum
All Alle
Any Beliebig
Evening Abend
Work Arbeitszeit
Weekends Wochenenden
Modifiy
Time Work Arbeitszeiten ändern
Name Name
Description Beschreibung
Working
Hours/Week Days Arbeitszeiten/Wochentage
Day
of Week/Hour of Day Wochentag/Tageszeit
Sunday Sonntag
Monday Montag
Tuesday Dienstag
Wednesday Mittwoch
Thursday Donnerstag
Friday Freitag
Saturday Samstag
AM/PM Vormittag/Nachmittag
OK Bestätigen
Reset Zurücksetzen
Cancel Abbrechen
Abbildung
13 Firewall Firewall
Bandwidth Bandbreite
Administration Verwaltung
VPN
Policy VPN-Policy
West/East
Coast Cloud Cloud
West-/Ostküste
Host
Group Host-Gruppe
Customer
Service Kundendienst
Device Gerät
Users
Group Nutzergruppe
Rules Regeln
Sites Standorte
Users Nutzer
VPN
Rule VPN-Regel
Order Auftrag
Desc: Beschreibung
Policy
Created by System for VPN Cloud Functioning Policy
zur Freigabe der VPN-Cloud-Funktion
wurde vom System erstellt
Abbildung
14 Firewall Firewall
Bandwidth Bandbreite
Administration Verwaltung
New/FW
Policy Neue/Firewall-Policy
Description Beschreibung
Action Aktion
Allow Freigabe
Active Aktiv
User Nutzer
Source Quelle
Services Dienste
Destination Ziel
Time Zeit
Authentikation:
None Authentifizierung:
Keine
OK Bestätigen
Reset Zurücksetzen
Cancel Abbrechen
Abbildung
15 DNMON Domain
New
Route Neue
Strecke
Gate Gate
PDP
Engine PDP-Maschine
Kernel Kernel
VPN
Driver VPN-Treiber
Abbildung
16 & 17 Setup
File Setup-Datei
VPN
Reachability Configuration File Datei
mit der VPN-Erreichbarkeits-Konfiguration
Client's VPN Preshared Key
File Datei
mit den vordefinierten VPN-Client-Codes
Self-extracting
Executable Selbstextrahierende
Programmdatei
Static
Portion (Executable) Statischer
Anteil (Programmdatei)
Dynamic
Portion (Dynamic Configuration) Dynamischer
Anteil (Dynamische Konfiguration)
Replace
Dynamic Portion with Client-specific VPN-Configuration Dynamischen
Anteil durch Client-spezifische VPN-Konfiguration
ersetzen
Verify
Authentication Authentifizierung überprüfen
VPN
Client VPN-Client
Client
opens Https Connection Client öffnet Https-Verbindung
Reques
Authentication Authentifizierungsanfraqe
Respond
to Authentication Authentifizierung übermitteln
Deliver
Self-extraction Executable Selbstextrahierende
Programmdatei übertragen
Policy-Enforcer Policy-Enforcer
Authentication/Authorization
DB Datenbank
für Authentifizierung/Autorisierung
VPN
Configuration DB Datenbank
für VPN-Konfiguration
Access
VPN Configuration Zugriff
auf VPN-Konfiguration
Abbildung
18 IP
SEC Engine IP
SEC-Maschine
Packet
Forwarding Paketübermittlung
Stream
Table Datenstrom-Tabelle
Stats Status
Protocol
Classification Engine Protokoll-Klassifikationsmaschine
Policy
Engine Policy-Maschine
B/W
Management B/W-Management
Abbildung
19 Policy
Request Table Policy-Abfragetabelle
Decision
Engine Entscheidungsmaschine
User
Group Nutzergruppe
Host
Group Host-Gruppe
Service
Groupe Dienstegruppe
Time
Group Zeitgruppe
Policy
Rules Database Buffer Datenbank-Zwischenspeicher
für Policy-Regeln
Resource
Engine Ressourcen-Maschine
Abbildung
20 Stream
Data Assembly Zusammenstellung
des Datenstroms
Sliding
Stream Data Window Datenstrom-Gleitfenster
ANS.
1 Antwort
1
Protocol
Classification State Machine Maschine
für den
Status der Protokoll-Klassifizierung
Protocol
Definition Signature DB Datenbank
für die
Signatur der Protokolldefinition
Abbildung
21 PRNG Pseudo-Zufallszahlengenerator
Diffie
Hellman Diffie-Hellman-Block
IKE IKE-Block
IPSEC
SA Table IPSEC
SA-Tabelle
RSA RSA-Block
Bulk
Cryptographic Transforms Generelle
Verschlüsselung
IPSEC
Encapsulation/Decapsulation IPSEC-Einkapselung/Entkapselung
Abbildung
22–24 Timestamp Zeitstempel
Service Dienst
Source/Destination
IP Address and Port IP-Adresse
und Anschluss von Quelle/Ziel
User
ID Nutzer-ID
Status Status
Operation Operation
In/Out
Bytes Ein-/Ausgehende
Bytes
Duration Dauer
LDAP
Root LDAP-Wurzel
Branch Zweig
Apply
Log Anwendungsprotokoll
User Nutzer
Device Gerät
Domain Domain
Apply Anwenden
Abbildung
25 Start Start
Admin.
makes a Policy Setting Change Administrator ändert die
Policy-Einstellungen
Update
LDAP-Tree with Change Aktualisierung
des LDAP-Verzeichnisbaums
mit der Änderung
Create
Log with Change Änderungsprotokoll
erstellen
Update
Admin. Log DN Administrator-Protokolldomain
aktualisieren
Apply
Invoked Anwendung
aufgerufen?
Create
Log for each Policy Enforcer in Domain Protokoll
für jeden
Policy-Enforcer
der Domain erstellen
Clear
Apply Attribute in Admin's
Log DN Eindeutige
Zuordnung der Attribute im Administrator-Protokoll
Transmit
Updates to Policy-Enforcer Aktualisierungen
an Policy-Enforcer übermitteln
Update
Successful? Aktualisierung
erfolgreich?
Clear
Apply Attribute in Eindeutige
Anwendung der
Successful
Policy Enforcers DN Attribute
in der Domain des erfolgreichen Policy-Enforcers
End Ende
Abbildung
26 Primary
Unit Primäreinheit
Backup
Unit Reserveeinheit
Abbildung
27 Start Start
Boot
up Hochfahren
Assume
Role of First Class Unit Übernahme
der Rolle als Primäreinheit
Search
Network for Second Class Unit Suche
nach Reserveeinheit im Netz
Second
Class Unit Detected? Reserveeinheit
erfasst?
Yes Ja
Initialize
als First Class Unit Als
Primäreinheit
initialisieren
No Nein
Assume
Role of Second Class Unit Übernahme
der Rolle als Reserveeinheit
Search
Network für
First Class Unit Suche
nach Primäreinheit
im Netz
First
Class Unit Detected? Primäreinheit
erfasst?
Initialize
als Second Class Unit Als
Reserveeinheit initialisieren
Initialize
als Third Class Unit Als
Dritteinheit initialisieren
End Ende
Abbildung
28 Start Start
Boot
up Primary Unit Primäreinheit
hochfahren
Detect
Backup Unit Reserveeinheit
erfassen
Receive
Config. Changes Empfang
von Konfigurationsänderungen
Primary
Functional? Primäreinheit
funktionsfähig?
Yes Ja
No Nein
Backup
Unit Becomes Active Unit Reserveeinheit
wird zu aktiven Einheit
Tag
Config. Changes Tag
für Konfigurationsänderungen
setzen
Update
Primary Unit Primäreinheit
aktualisieren
Abbildung
29 Start Start
Management
Station Sends Update Managementstation
sendet
to
Primary Unit Aktualisierung
an Primäreinheit
Primary
Unit Updates Aktualisierung
der Primäreinheit
Primary
Unit Sends Update to Primäreinheit
sendet
Backup
Unit Aktualisierung
an Reserveeinheit
Backup
Unit Updates Aktualisierung
der Reservereinheit
End Ende
Abbildung
30 Primary
Unit Becomes Primäreinheit
wird
Nonfunctional funktionsunfähig
Managementstation
Sends Update to Managementstation
sendet
Backup
Unit Aktualisierung
an Reserveeinheit
Backup
Unit Updates Aktualisierung
der Reserveeinheit
Primary
Unit Becomes Functional Primäreinheit
wird funktionsfähig
Backup
Unit Sends Update to Reserveeinheit
sendet
Primary
Unit Aktualisierung
an Primäreinheit
Primary
Unit Updates Aktualisierung
der Primäreinheit
End Ende
The uniform policy management system 1 For example, it should be considered as an example rather than a limitation. It will be obvious to those skilled in the art, after reviewing the present invention, that numerous alternative configurations are possible. For example, additional networks with policy enforcers or no additional networks may be present. Likewise, the policy enforcers do not necessarily have to access the policy server over the Internet, but can connect using other means, such as WAN, MAN, etc. In short, the number and type of users and resources within and outside the organization can vary significantly without exceeding the scope of the present invention. Legends to the figures Figure 1 Policy Enforcer Policy Enforcer
Policy Server Policy Server
Public Internet Public Internet
router router
Web server Web Server
Figure 2 Admin. Groups administrator groups
Admin. Policies Administrator Policies
administrator administrators
Alarms alarms
Alternate DMZ Alternating DMZ
Alternate LAN Alternating LAN
Archive Archive
Authentication authentication
Bandwidth bandwidth
certs certifications
Config. configuration
Control control
Device device
Device Group equipment group
Dimensions Dimensions
Direct proxy Direct proxy
Dynamic routes Dynamic routes
FW Policy Firewall Policy
Global Info Global information
Group Root group root
host host
Host Group host group
License approval
NOT A WORD administrative organization
Nat National
Nat pool National pool
Networks nets
Policy Server Policy Server
Policy Server Domain Domain of the policy server
Priv. Key Priv. key
Proxy port Proxy port
Resource Root resource source
Routes stretch
Rules regulate
service service
Service Group services group
sites Locations
SNMP Settings SNMP settings
Thresholds limits
Time Time
User user
User Group user group
Video Nat Video, national
VPN clouds VPN clouds
weights weights
Figure 3 Administrator Administrator
Centralized Management Central Administration
Log Collecting and Archiving Log collection and archiving
Multi-site connectivity management Manage multi-site connectivity
Policy Management Policy management
Policy Server Reports Policy Server Reports
Secure Role Based Management Secure, role-based administration
Figure 4 Administrator Administrator
Configuration Interface Configuration interface
Data collector data collection
Global Monitor UI Global Monitor UI
Policy Server Install Installation of the policy server
Policy Enforcer Install Installation of the Policy Enforcer
Figure 5 begin begin
Install and Connect Device to Network Install the device and connect to the mains
Add Device to Device Group Add a device to a device group
Transmit Registration Packet Submit registration package
Serial NO. Matched Match the serial numbers
YES Yes
No No
Package Settings for Policy Enforcers Package Settings for Policy Enforcers
Transfer File to Policy Enforcer Submit file to Policy Enforcer
Initialize Configuration Database Initialize configuration database
End The End
Figure 6 & 7 Add New Device Add a new device
address address
Admin. Administrator
Alarms alarms
Alles All
All Devices All devices
All Devices' status Status of all devices
Applet Viewer: Presentation Mainmenu Applet Viewer: Presentation of the main menu
Apply Apply
Attached Device Group Associated device group
Back Back
Bandwidth bandwidth
Cancel Abort
description description
Device Explored Edited device
Device Name Device name (Boston)
Device Serial Number Serial number of the device
East Coast Device Group Equipment group East Coast
Edit To edit
favorites favorites
File file
Forward Further
Global Monitor Explored Edited general monitor
Global Spam List General spam list
Global URL Blocking General URL blocking
Go Go to
Help Help
Left Left
Location Location
Manager Manage
monitor Monitor
Surname Surname
Network network
Network status Network Status
OK To confirm
Policy Server Policy Server
Policy Server Archive Options Policy server archive options
Policy Server System Settings Policy server system settings
Registered Registered
Remove Clear
Reports reports
reset Reset to default
Stop stop
System load system load
Time Time
UITeam UI team
Up / Down Next Back
View view
VPN Connections VPN connections
Figure 8 Manager Manage
monitor Monitor
Reports reports
Admin. Administrator
Apply Apply
Help Help
User Explored Edited user
Alles All
Admin User Administrator users
Sales and Marketing sales and marketing
Finance finances
Manufacturing production
Customer Service Customer service
Engineering development
Mobile Users Mobile users
Partners partner
VPN Users VPN users
firewall firewall
VPN VPN
Bandwidth bandwidth
administration administration
Policy List Policy List
Add Add
Modify To change
Delete Clear
up Further
down Back
filter filter
Print To Print
Refresh Reload
ID ID
order sequence
description description
Action action
Active active
User user
source source
Services services
Allow any Allow all
User Group user group
Alles All
Spam blocking Block spam
Host group Host group
URL blocking Block URL
VPN Key Ma .. VPN key manager
Internet Acc ... Internet account
Allow Allow
Figure 9 Device Explored Edited device
Policy Server Policy Server
System Settings system settings
Archive Options archive options
Global URL Blocking General URL blocking
Global Spam List General spam list
Alles All
UITEam UI team
Authentication Settings Authentication Settin
East Coast Device Group Equipment group East Coast
Modify URL of Aspen Change URL for Aspen
Enable List Download Free download the list
Download URL Download URL
Password password
Day of the Week weekday
Time of Day daytime
Profile Management profile management
Categories Categories
Violence and Profanity Violence and denigration
Sexual text Texts with sexual content
Sex education sex education
Sports and Leisure sport and freetime
Partial Nudity Permissive representations
Gross Depictions Immoral pictures
Gambling gambling
Full Nudity nude Photos
Militant and extremist Militants and extremist representations
zero Void
OK To confirm
reset Reset to default
Cancel Abort
Figure 10 Manager Manage
monitor Monitor
Reports reports
Admin. Administrator
Apply Apply
Help Help
Host Explored Edited host
Alles All
LAN LAN
WAN WAN
DMZ / server DMZ / Server
Sales and Marketing sales and marketing
Engineering development
Manufacturing production
Finance finances
Partners partner
Remote sites Remote locations
Mobile Users Mobile users
Customer Service Customer service
Add New Host Add new host
Surname Surname
IP Address IP address
Netmask netmask
External host External host
External Device IP Address IP address of the external device
Device device
Attachted Host Group Related host group
Remove Remove
OK To confirm
reset Reset to default
Cancel Abort
Figure 11 Manager Manage
monitor Monitor
Reports reports
Admin. Administrator
Apply Apply
Help Help
Service Explored Edited service
Alles All
Multimedia Streaming / Conferencing Multimedia streaming / conferencing
Information retrieval information retrieval
Security and Authentication Security and authentication
Mail Applications Mail applications
Routing Protocols Routing Protocols
Standard protocols Standard protocols
Database Applications Database Applications
Popular Internet Protocols Common Internet Protocols
Modify service Service change
Name - http and URL Tracking Name - http and URL tracking
description description
http with URL Blocking enabled http released with URL blocking
grade Type
Attached Service Group Associated service group
http Configuration http configuration
Enable URL blocking Release URL blocking
OK To confirm
reset Reset to default
Cancel Abort
Figure 12 Manager Manage
monitor Monitor
Reports reports
Admin. Administrator
Apply Apply
Help Help
Time Explored Processed period
Alles All
Any Any
Evening Eve
Work working time
Weekends weekends
Modifiy Time Work Change working hours
Surname Surname
description description
Working Hours / Week Days Working hours / weekdays
Day of Week / Hour of Day Day / Time
Sunday Sunday
Monday Monday
Tuesday Tuesday
Wednesday Wednesday
Thursday Thursday
Friday Friday
Saturday Saturday
AM / PM Morning afternoon
OK To confirm
reset Reset to default
Cancel Abort
Figure 13 firewall firewall
Bandwidth bandwidth
administration administration
VPN policy VPN Policy
West / East Coast Cloud Cloud West / East Coast
Host Group Host group
Customer Service Customer service
Device device
Users Group user group
Rules regulate
sites Locations
Users user
VPN Rule VPN rule
order assignment
Desc: description
Policy Created by System for VPN Cloud Functioning Policy to share the VPN cloud feature was created by the system
Figure 14 firewall firewall
Bandwidth bandwidth
administration administration
New / FW Policy New / Firewall Policy
description description
Action action
Allow release
Active active
User user
source source
Services services
Destination aim
Time Time
Authentication: None Authentication: None
OK To confirm
reset Reset to default
Cancel Abort
Figure 15 DNMON domain
New route New route
gate gate
PDP engine PDP machine
kernel kernel
VPN Driver VPN driver
Figure 16 & 17 Setup File Setup file
VPN Reachability Configuration File VPN reachability configuration file
Client's VPN Preshared Key File File with the predefined VPN client codes
Self-extracting executable Self-extracting program file
Static Portion (Executable) Static part (program file)
Dynamic Portion (Dynamic Configuration) Dynamic part (Dynamic configuration)
Replace Dynamic Portion with client-specific VPN configuration Replace dynamic share with client-specific VPN configuration
Verify Authentication Check authentication
VPN client VPN client
Client opens https connection Client opens https connection
Reques Authentication Authentifizierungsanfraqe
Respond to Authentication Transmit authentication
Deliver self-extraction executable Transfer self-extracting program file
Policy Enforcer Policy Enforcer
Authentication / Authorization DB Database for authentication / authorization
VPN Configuration DB Database for VPN configuration
Access VPN Configuration Access to VPN configuration
Figure 18 IP SEC engine IP SEC machine
Packet Forwarding packet delivery
Stream Table Data stream table
Stats status
Protocol Classification Engine Protocol classification engine
Policy engine Policy engine
B / W management B / W Management
Figure 19 Policy Request Table Policy-up table
Decision engine decision engine
User Group user group
Host Group Host group
Service Groupe services group
Time Group time group
Policy Rules Database Buffer Database cache for policy rules
Resource Engine Resource machine
Figure 20 Stream data assembly Compilation of the data stream
Sliding Stream Data Window Sliding stream data window
ANS. 1 Answer 1
Protocol Classification State Machine Machine for the status of the protocol classification
Protocol Definition Signature DB Database for the signature of the protocol definition
Figure 21 PRNG Pseudo-random number generator
Diffie Hellman Diffie-Hellman block
IKE IKE block
IPSEC SA Table IPSEC SA table
RSA RSA block
Bulk Cryptographic Transforms General encryption
IPSEC Encapsulation / Decapsulation IPSEC encapsulation / de-encapsulation
Figure 22-24 timestamp time stamp
service service
Source / Destination IP Address and Port IP address and source / destination connection
User ID User ID
status status
surgery surgery
In / Out bytes Incoming / outgoing bytes
Duration duration
LDAP root LDAP root
Branch branch
Apply Log application protocol
User user
Device device
domain domain
Apply Apply
Figure 25 begin begin
Admin. Makes a Policy Setting Change Administrator changes the policy settings
Update LDAP Tree with Change Update the LDAP directory tree with the change
Create Log with Change Create change log
Update Admin. Log DN Update administrator log domain
Apply Invoked Application called?
Create Log for each Policy Enforcer in Domain Create a log for each Domain Policy Enforcer
Clear Apply Attributes in Admin's Log DN Unique assignment of the attributes in the administrator log
Transmit Updates to Policy Enforcers Submit updates to Policy Enforcer
Update Successful? Update successful?
Clear Apply Attributes in Unique application of
Successful Policy Enforcers DN Attributes in the domain of the successful policy enforcer
End The End
Figure 26 Primary Unit primary unit
Backup unit reserve unit
Figure 27 begin begin
Boot up go up
Assume Role of First Class Unit Assumption of the role as primary unit
Search Network for Second Class Unit Search for reserve unit in the network
Second Class Unit Detected? Reserve unit detected?
Yes Yes
Initialize as First Class Unit Initialize as primary unit
No No
Assume Role of Second Class Unit Takeover of the role as reserve unit
Search Network for First Class Unit Search for primary unit in the network
First Class Unit Detected? Detected primary unit?
Initialize as a second-class unit Initialize as reserve unit
Initialize as a third-class unit Initialize as a third unit
End The End
Figure 28 begin begin
Boot up primary unit Start up the primary unit
Detect Backup Unit Enter reserve unit
Receive Config. Changes Receive configuration changes
Primary Functional? Primary unit functional?
Yes Yes
No No
Backup Unit Becomes Active Unit Reserve unit becomes active unit
Tag config. Changes Set day for configuration changes
Update Primary Unit Update primary unit
Figure 29 begin begin
Management Station Sends Update Management station sends
to primary unit Update to primary unit
Primary Unit Updates Update of the primary unit
Primary Unit Sends Update to Primary unit sends
Backup unit Update to reserve unit
Backup Unit Updates Updating the backup unit
End The End
Figure 30 Primary Unit Becomes Primary unit becomes
nonfunctional inoperable
Management Station Sends Update to Management station sends
Backup unit Update to reserve unit
Backup Unit Updates Updating the reserve unit
Primary Unit Becomes Functional Primary unit becomes functional
Backup Unit Sends Update to Reserve unit sends
Primary Unit Update to primary unit
Primary Unit Updates Update of the primary unit
End The End