TWI430613B

TWI430613B - 雙平面網路架構

Info

Publication number: TWI430613B
Application number: TW096100939A
Authority: TW
Inventors: Marc Willebeek-Lemair; Brian C Smith
Original assignee: Hewlett Packard Co
Priority date: 2006-02-10
Filing date: 2007-01-10
Publication date: 2014-03-11
Also published as: CN101018200A; US20070189273A1; TW200814635A; EP1819126A1; CN101018200B

Description

雙平面網路架構

本發明係關於電子通信網路，特定言之係關於在封包交換網路中執行存取控制、攻擊控制(attack control)以及應用控制之技術。

基於網際協議(IP)之電子通信網路已經普遍存在。最近二十年資訊技術(IT)產業之主要焦點為達成"隨時、隨地"之IP網路連接，而且已經在很大程度上解決了該問題。個體現在可以使用連接至公用網路及專用網路之組合的多種設備相互通信，且在私人企業、政府機構、公共空間(諸如咖啡店及機場)、甚至私人住所內部及其之間使用應用程式。公司管理人員現在可以於世界另一端在飯店裏可靠地使用手持設備將電子郵件訊息以無線方式發送至教師，該教師使用藉由有線電話線連接至網際網路的桌上電腦。

換言之，實際上，如今任何IP使能設備可以隨時與其它任何基於IP之設備通信。藉由改良形成IP網路"連接面"(connectivity plane)之傳統路由器及交換機，可以提高IP連接之適應性、可靠性及速度。此等"IP連接"網路已經巨大地推動了全世界之企業生產力。

由於已經基本上解決了IP連接的問題，所以企業網路產業如今面對重要轉折點。如今一些IP網路不僅包括交換機及路由器，亦包括大量點解決方案應用(point solution appliance)(有時稱為"線纜內模塊(bump in the wire)")，隨著時間的過去，該等應用被加入網路中以試圖執行交換機及路由器本身不負責執行的功能。在其它情況下，此等附加功能已經被"拴合"(bolted on)至交換機及路由器本身。無論作為獨立應用或是作為"拴合應用"安裝，此等附加控制功能已經被例如作為網路存取防火牆使用，以執行入侵檢測及防護，且執行基於策略之應用的頻寬控制。儘管此等控制功能對其自身預期之目的而言通常較為有效，但其引入(無論以點解決方案應用之形式或是以交換機及路由器之拴合應用的形式)導致高成本、難以管理之網路環境。

而由此等增加之控制功能不適當地解決的問題正在範圍及複雜度上增長。作為IP網路之最大優點之一的開放性現在正將企業網路暴露於不斷的基礎設施及資訊安全之威脅。此等威脅能導致災難性的商業停工期(business downtime)乃至侵犯隱私引起之法律責任。

而且，儘管IP網路最初僅傳送資料訊務，但亦越來越依賴於此等網路以傳送關鍵任務商業應用、語音及視訊訊務。此等種類訊務中之每一者均具有其自身之效能要求。將此等多種訊務結合至單一IP網路中將導致應用效能問題，而連接面(諸如交換機及路由器)並未被設計以解決此等問題。舉例而言，習知連接網路經設計以提供此等新商業關鍵功能所需之服務品質(QoS)、驗證、加密、以及威脅管理。舉例而言，習知連接網路通常缺乏在相同網路上面對資料訊務叢發之情況下維持語音訊務所需之高QoS的能力。

此外，網路停工期之成本已經大幅上升。當企業僅在資料訊務方面依賴於其IP網路時，且當僅有一小部分企業活動需要此等資料訊務時，電子郵件伺服器宕機一小時的損失相對較低。既然語音、資料、視訊、應用以及其它訊務均結合至同一網路，而且既然越來越大部分的商業功能依賴於此等訊務，故而網路停工期之損失顯著增高。實際上，當網路停止、商業停止時，將導致喪失生產力、喪失收入，且引起用戶不滿。

企業管理者理解上述事實。自技術觀點來看，首席資訊官(CIO)們知道當前的連接網路無法解決安全及應用效能問題。而自財務觀點來看，首席財務官(CFO)們所關心的是藉由執行"叉車式升級"(以新硬體代替整個連接面)來解決此等問題過於昂貴。最後，自整個企業觀點來看，首席執行官(CEO)們無法忍受網路安全停工期之風險，而要求可預見的、穩定的應用效能。

更詳細地考慮習知連接網路之某些問題。單純的IP網路通常並不執行任何種類之"存取控制"(控制哪些用戶及設備能存取網路)。通常，存取控制策略基於用戶及/或傳輸訊務之設備的身份來界定允許哪個訊務到網路上。此問題之一個解決方案為用防火牆建立網路"周界"，以界定哪些用戶及設備在"內部"因而許可該等用戶及設備存取網路，哪些用戶及設備在"外部"因而禁止該等用戶及設備存取網路。當所有用戶均自實體上位於網路內且有線連接至該網路的固定設備(諸如臺式電腦)存取該網路時，清晰網路周界之概念是有意義的。然而，現在用戶使用有線及無線連接自各種設備(包括膝上型電腦、蜂窩電話以及個人數位助理)且自企業的實體場地之內部及外部的各種位置存取網路。因此，周界變得模糊，從而限制了以具有清晰內－外區別為前提之防火牆以及其它系統的可用性。

單純的IP網路亦不執行任何種類之"攻擊控制"(保護網路不受病毒、蠕蟲以及其它惡意網路行為的影響)。通常，攻擊控制策略界定用於識別惡意訊務之標準及應對此等惡意訊務應用之行動(諸如將其自網路中排除)。如今之網路始終處於直接及間接攻擊之攻擊下。而且，攻擊不斷發展，經常使以前的防衛措施過時。而且，由於在網路中自動搜索且攻擊弱點之監管攻擊(turnkey attack)工具之可用性的增加，如今經常比過去更快地發現及利用網路弱點。

由於儲存於現代網路上之資訊價值的增加，如今成功攻擊之典型成本比過去高。同樣使用網路連接更多數目及更多種類設備，導致傳統存取控制機制的問題，亦刺激使用網路來存儲價值越來越高之資訊。任何試圖在臺式電腦、膝上型電腦、個人數位主機以及蜂窩電話上存儲相同資料之備份以及在所有設備上使資料同步的人均知曉在網路邊緣處存儲資料可能是低效的。此導致資料朝集中存儲處反向移動。儘管這種集中可以導致效率增加，但是亦成為網路上之高價值目標攻擊的誘因。

而且，單純的IP網路並不執行任何類型之"應用控制"。通常，應用控制策略基於傳送訊務之應用界定如何處理網路內之訊務。傳統路由器及交換機傳遞封包，而不知道發送或接收彼等封包之應用。然而，應用控制在現代IP網路背景下至關重要，其中在現代IP網路背景中，應用被合併至單一IP基礎設施中，且任務關鍵資料應用及非關鍵應用相互爭奪網路帶寬。

舉例而言，電話網路傳統上是與資料網路實體分離之網路。當電話網路與資料網路合併時，企業在部署新語音服務之成本及能力上均獲得巨大優勢。但其此種做法亦冒著將電話通訊(其為可用性期望非常高之應用)曝露於IP環境之危險中的風險。如上所述，結果是網際協議語音技術(VoIP)趨向於在低負載之用戶網路中良好運行，直至訊務猛增或網路遭到攻擊。挑戰是使電話通訊具有IP網路之優點而不犧牲服務品質。

由於消耗頻寬之點對點應用(例如BitTorrent，Kazaa及Gnutella)的出現，亦增加了非收益性之網路訊務。而且，當新設備連接至網路時，頻寬相應增加，且故障設備使網路充滿垃圾訊務之概率亦增加。習知連接網路並不區分由不同應用傳遞或發送至不同應用的封包，因此無力處理此等問題。

簡言之，需要改良技術以執行網路存取控制、攻擊控制以及應用控制。

本發明之一個實施例旨在提供一種在電子通信網路中合併控制的方法。該方法包括如下步驟：(A)在該網路中部署至少一個控制節點，該至少一個控制節點包括用於檢查該控制節點接收之封包的裝置；以及(B)在將該至少一個控制節點接收之封包發送至該網路中之任何其它節點之前，配置該至少一個控制節點以對該等封包執行網路訊務控制功能。舉例而言，該網路訊務控制功能可以包括網路存取控制以及(1)應用控制或(2)攻擊控制或者(3)應用訊務控制以及攻擊控制。

本發明之另一實施例旨在提供一種用於電子通信網路的方法，該方法包括如下步驟：(A)在該網路中之控制節點處接收封包；以及(B)在該控制節點處，對該控制節點接收之封包執行網路訊務控制功能，而不將該封包發送至該網路中之任何其它節點。舉例而言，該網路訊務控制功能可以包括網路存取控制以及(1)應用訊務控制或(2)攻擊控制或者(3)應用訊務控制以及攻擊控制。

本發明之又一實施例旨在提供一種電子通信網路，其包括：第一節點及控制節點。該控制節點包括：用於檢查該控制節點接收之網路訊務的裝置；以及用於在將該控制節點接收之該網路訊務發送至該第一節點之前對該網路訊務執行網路訊務控制功能的裝置。舉例而言，該網路訊務控制功能可以包括網路存取控制以及(1)應用訊務控制或(2)攻擊控制或者(3)應用訊務控制以及攻擊控制。

本發明之又一實施例旨在提供一種網路控制設備，其適於安裝於電子通信網路中，該電子通信網路包括由至少一個網路互連設備以通信方式鏈接之複數個網路節點。該網路控制設備在單一裝配中包括：(a)輸入/輸出裝置，用於將該網路控制設備以通信方式連接至該電子通信網路；(b)電源裝置，用於為該網路控制設備提供電源；以及(c)邏輯及處理電路，能夠配置為對經由該輸入/輸出裝置流入該網路控制設備的訊務執行網路訊務控制功能。舉例而言，該網路訊務控制功能可以包括網路存取控制以及(1)應用訊務控制或(2)攻擊控制或者(3)應用訊務控制以及攻擊控制。

本發明之再一實施例旨在提供一種電子通信網路，其包括：由至少一個網路互連設備以通信方式連接之複數個網路節點；至少一個控制節點；以及用於對所接收之網路訊務執行複數個網路訊務控制功能的裝置。每個控制節點包括：用於自該至少一個網路互連設備接收網路訊務的裝置；以及用於檢查所接收之網路訊務的裝置。舉例而言，該複數個網路訊務控制功能可以包括網路存取控制、應用訊務控制及攻擊控制中的至少兩者。在整個該電子通信網路中，該至少一個控制節點實質上單獨地執行該複數個網路訊務控制功能。

本發明之另一實施例旨在提供一種電子通信網路，其包括：連接面，包括至少一個網路互連設備；以及控制面，包括至少一個控制節點。該電子通信網路配置為在該控制面中對自該至少一個網路互連設備流入該控制面之網路訊務實質上單獨地執行複數個網路訊務控制功能。舉例而言，該複數個網路訊務控制功能可以包括網路存取控制、應用訊務控制及攻擊控制中之至少兩者。

本發明之又一實施例旨在提供一種用於電子通信網路之方法。該網路包括連接面。該方法包括如下步驟：(A)在該網路中安裝控制面；以及(B)配置該控制面以對該控制面接收之網路訊務執行複數個網路訊務控制功能。舉例而言，該複數個網路訊務控制功能可以包括網路存取控制、應用訊務控制及攻擊控制中之至少兩者。舉例而言，步驟(A)及步驟(B)可以：在不修改該連接面之情況下執行；在不禁用該連接面中之網路互連設備之情況下執行；以及包括配置該連接面中之網路互連設備的子集不執行該複數個網路訊務控制功能。

本發明之又一實施例旨在提供一種用於電子通信網路的方法。該網路包括配置為執行第一複數個網路訊務控制功能的連接面。該方法包括如下步驟：(A)在該網路中安裝控制面；(B)配置該控制面以對該控制面接收之網路訊務執行第二複數個網路訊務控制功能；(C)配置該連接面不執行該第二複數個網路訊務控制功能。舉例而言，該第二複數個網路訊務控制功能可以包括網路存取控制、應用訊務控制及攻擊控制中之至少兩者。

本發明之另一實施例旨在提供一種用於電子通信網路的方法。該網路包括連接面。該方法包括如下步驟：(A)在該網路中安裝控制面；以及(B)配置該控制面以在整個該電子通信網路中對該控制面接收之網路訊務實質上單獨地執行複數個網路訊務控制功能。舉例而言，該複數個網路訊務控制功能可以包括網路存取控制、應用訊務控制及攻擊控制中之至少兩者。

本發明之又一實施例旨在提供一種用於電子通信網路的方法。該網路包括連接面及控制面。該方法包括如下步驟：(A)在該網路中建立與該控制面之安全管理連接；(B)經由該安全管理連接配置該控制面，以在整個該電子通信網路中對該控制面接收之網路訊務實質上單獨地執行複數個網路訊務控制功能。舉例而言，該複數個網路訊務控制功能可以包括網路存取控制、應用訊務控制及攻擊控制中之至少兩者。

根據以下描述及申請專利範圍，本發明之各個方案及實施例的其它特點及優點將更為明顯。

請參考圖1A，其示出先前技術電子通信網路100a的高層(high－level)功能框圖。網路100a包括連接面110及應用面130。連接面110及應用面130可以是普通熟習此項技術者熟知的各種類型。舉例而言，連接面110可以包括習知路由器112及交換機114(諸如第2層及/或第3層交換機)。舉例而言，應用面130可以包括網路、電子郵件及語音應用。

更具體而言，在圖1A所示之實例中，應用面130包括兩個客戶端132a及132b以及兩個伺服器134a及134b。客戶端132a為電子郵件客戶端，其處理電子郵件資料136a，而客戶端132b為語音應用，其處理語音資料136b。類似地，伺服器134a為電子郵件伺服器，其服務於電子郵件資料138a，而伺服器134b為語音伺服器，其服務於語音資料138b。

連接面110a包括三個交換機114a、114b及114c(此處統稱為交換機114)，包括核心交換機114a、伺服器交換機114b以及客戶端交換機114c。客戶端交換機114c連接至客戶端132a及132b。客戶端132a藉由客戶端交換機114c發送及接收電子郵件訊務，而客戶端132b藉由客戶端交換機114c發送及接收語音訊務。所示之客戶端交換機114c具有"拴合"至交換機114c的IEEE 802.1X存取控制功能116b。IEEE 802.1X為提供基於端口之網路存取控制的標準，其要求客戶端在被允許存取網路之前進行自我認證。因此，客戶端交換機114c能夠對通過交換機114c之訊務進行存取控制。

伺服器交換機114b連接至伺服器134a及134b。伺服器134a藉由伺服器交換機114b發送及接收電子郵件訊務，而伺服器134b藉由伺服器交換機114b發送及接收語音訊務。所示之伺服器交換機114b具有"拴合"至交換機114b的QoS及負載平衡功能。因此，伺服器交換機114b能夠對通過交換機114b之訊務執行QoS及負載平衡(應用控制之實例)。

在圖1A所示之例子中，路由器112亦執行針對自網際網路102傳入之訊務的防火牆功能。而且，所示之路由器112具有"拴合"至路由器112的狀態封包檢查功能116a。因此，路由器112能夠對網路100a與網際網路102之間傳遞的訊務進行狀態封包檢查，以執行一種攻擊控制。

核心交換機114a耦合於客戶端交換機114c、伺服器交換機114b以及路由器112之間。核心交換機114a用作用以在客戶端交換機114c、伺服器交換機114b以及路由器112之間協調通信的互連點。

如上所述，儘管就其自身預期的目的而言，以拴合應用實施之控制功能116a－116c相對有效，但是通常其顯著增加了網路100a之成本以及管理網路100a之難度。本發明之各實施例藉由在獨立控制面120中實現部分或全部控制功能來解決此等及其它問題。

舉例而言，參考圖1B，其示出本發明一個實施例之電子通信網路100b的高層功能框圖。在某些方面網路100b與圖1A所示的網路100a相似。舉例而言，網路100b包括連接面110b及應用面130。然而，此外，網路100b還包括控制面120，其邏輯上插入圖1A之連接面110a與應用面130之間。控制面120可安裝於連接面110a與應用面130之間，而不需要對連接面110a或應用面130作重大修改。

控制面120可以實質上或全部合併網路100b之控制功能，包括(即，在安裝控制面120之前)由圖1A之網路100a中之連接面110a執行的控制功能。舉例而言，控制面120包括控制節點180a－180c，其中每一控制節點可以執行存取控制、攻擊控制以及應用控制的任意結合。在圖1B所示之特定實例中，控制節點180a包括執行存取及攻擊控制的子系統122a，控制節點180b包括執行存取及應用控制的子系統122b，且控制節點180c包括執行存取、攻擊及應用控制的子系統122c。儘管為了示例，圖1B示出三個控制節點180a－180c，但控制面120可以包括任何數量之控制節點。

相應地，自連接面110a移除此等控制功能中之一些功能以形成連接面110b。特定而言，自客戶端交換機114c移除存取控制功能(在圖1A中以IEEE 802.1X存取控制子系統116b中實施)，且自子系統116c移除QoS功能性，以產生子系統116c'，該子系統116c'僅執行負載平衡。

換言之，某些控制功能自連接面110a中拴合至交換機114a－c以及路由器112之栓合應用移至控制面120中之控制節點180a－180c。圖1B中已經移至控制面120之具體控制功能僅為實例，且並不構成對本發明之限制。相反，控制功能之任意結合可以在控制面120中實施及/或自連接面110a移除。在一個實施例中，實質上所有控制功能均自連接面110a移除，且在控制面120中實施，從而實質上將控制功能合併於控制面120中。

舉例而言，參考圖2，其示出用於在圖1A之電子通信網路100a中合併控制之方法200的流程圖。在圖1A之網路100a中部署控制面120，從而產生圖1B之網路100b(步驟202)。控制面120可包括至少一個控制節點(例如，控制節點180a－180c中任何一或多者)，該控制節點包括用於檢查由該(等)控制節點接收到之封包的裝置。

控制面120被配置為在將封包發送至網路100b中之任何其它節點之前對控制節點180a－180c接收之封包執行網路訊務控制功能(步驟204)。此處將控制面120經配置以執行之網路訊務控制功能組稱為"經配置之網路訊務控制功能"。經配置之網路訊務控制功能可包括存取控制、攻擊控制以及應用控制之任意組合。

舉例而言，控制面120可(在步驟204中)經配置以在網路100b內實質上單獨地執行網路訊務控制功能。舉例而言，連接面110b可包括一或多個網路互連設備(諸如路由器112及交換機114a－114c中之一或多者)，該等網路互連設備經配置以在圖1A之網路100a中執行經配置之網路訊務控制功能。而當部署控制面120時，步驟204可包括將連接面110b中之網路互連設備配置為不執行經配置之網路訊務控制功能。

一旦於網路100b中部署控制面120，控制面120可執行其已經配置為以執行之網路訊務控制功能。舉例而言，參考圖1C，其為示出利用控制面120對控制面120接收之封包188a－188b執行經配置之網路訊務控制功能的圖。

圖1C示出與圖1B相似之網路100b，不同之處在於元件116a、116c'及122a－122c已經省略以簡化附圖，且示出一個控制節點180a之內部子系統182a、184a及186a。儘管其它控制節點180b及180c可包括與控制節點180a類似的子系統，但為便於說明在圖1C中並未示出此等子系統。

更具體而言，控制節點180a－180c可包括：接收子系統(諸如接收子系統182a)，用於自網路互連設備(諸如連接面110中之路由器112及交換機114)接收網路訊務；檢查子系統(諸如檢查子系統184a)，用於檢查所接收之網路訊務；以及網路訊務控制子系統(諸如網路訊務控制子系統186a)，用於對所接收之網路訊務執行複數個網路訊務控制功能。網路訊務控制子系統186a可實施如圖1A所示之部分或者全部存取及攻擊控制子系統122a。

控制面120接收封包(圖2，步驟206)。舉例而言，可由控制面120中之控制節點180a－180c之一接收該封包。舉例而言，該包可為自網路100b外部接收到之封包188a，或者於網路100b內部接收到之封包188b。舉例而言，當用戶使用電子郵件客戶端132a收發電子郵件時，封包188a可為由客戶端132a接收到之電子郵件封包，而封包188b可為由客戶端132a發送之電子郵件封包。將在此籠統使用參考數字188指示封包188a及188b。

在圖1C所示之實施例中，所有傳入及傳出之封包均由控制節點180a－180c之一處理。舉例而言，封包188a為於路由器112處自網際網路102接收，該路由器112將該封包傳送至控制節點180b。封包188b由客戶端132a傳送至客戶端交換機114c，客戶端交換機114c進而將封包188b傳送至控制節點180a。所有其它傳入及傳出封包同樣經由控制節點180a－180c指引。

回到圖2，控制面120對封包188執行經配置之網路訊務控制功能(步驟208)。舉例而言，控制面120可對封包188執行經配置之網路訊務控制功能，而不將封包188傳送至網路100b內部或外部的任何其它節點。舉例而言，控制面120可僅使用控制節點180a－180c之一以對封包188執行存取、攻擊及/或應用控制。舉例而言，若經由控制節點180a路由封包188，則控制面120可僅使用控制節點180a之存取及攻擊控制子系統122a對封包188執行存取及攻擊控制。

然後，控制面120可轉發封包188(步驟210)，其中為本實例之目的假定在步驟208中執行之網路訊務控制功能均未指示不應以此方式轉發封包188。舉例而言，在封包188a之情況下，控制節點180b可將封包188a轉發至核心交換機114a。類似地，在封包188b之情況下，控制節點180a可將封包188b轉發至核心交換機114a。以此方式，封包188僅在控制面120已對封包188執行經配置之網路訊務控制功能之後方才被轉發至其它節點。

參考圖3，其示出根據本發明一個實施例之控制面120可用以執行網路訊務控制功能(諸如經配置之網路訊務控制功能)之方法的流程圖。控制面120接收封包188(步驟302)。舉例而言，可經由控制節點180a之接收子系統182a接收封包188。

控制面120將封包188中之資訊與預定過濾器相比(步驟304)。舉例而言，可由控制節點180a之檢查子系統184a執行該過濾器比較。控制面120基於在步驟304中執行之比較，確定採取哪個(哪些)行為(步驟306)。舉例而言，可由控制節點180a之訊務控制子系統186a做出確定。

若於步驟306中確定對封包188執行存取控制(步驟308)，則控制面120對封包188執行存取控制(步驟310)。舉例而言，可由控制節點180a之訊務控制子系統186a執行存取控制。舉例而言，存取控制包括：根據哪個設備正試圖連接至網路100b、該設備之健康狀況、哪個用戶正在使用該設備、該用戶具有什麼存取權限，許可、審核及取消對網路100b及連接至網路100b之資源的存取。如以下將詳細描述的，控制面120可提供統一及一致之框架以許可或撤銷所有客戶端(無論有線、無線、本地或遠程，需要或不需要客戶代理軟件)之存取。對網路100b及/或特定資源(諸如伺服器、應用、文件)之存取可以可選地被審核、加密或需要2要素驗證。

若在執行存取控制之後，不需要對封包188執行額外處理(步驟312)，則該方法結束，封包188不被轉發至網路100b中之任何其它節點，且該方法等待下一個封包(步驟328)。可能不需要額外處理之一種情況為封包188未能滿足存取控制要求。或者，舉例而言，將未能滿足存取控制要求之封包限制於網路100b之子集中，諸如訪問者之虛擬局域網(VLAN)。若未滿足存取控制要求，亦可採取其它行為。舉例而言，來自未經許可之用戶及/或設備之封包可被隔離，且可向系統管理員提供未經許可之存取的通知。

參考圖1D，其示出控制面120之一個實施例的示意圖。在圖1D說明之實施例中，可使用3Com網路控制點(NCP)實施控制面120中之控制節點180a－180c。為了便於說明，圖1D中省略應用面130。

在圖1D所示之實施例中，用戶104藉由設備106傳輸傳入封包188a。如上所述，封包188a由路由器112接收，路由器112可將封包188a(之局部淨化版本)轉發至控制節點180a之前，對封包188a執行網路防火牆功能。控制節點180a對封包188a執行經配置之網路訊務控制功能，且產生封包188b之修改版本188c，且將該經修改之版本傳輸至核心交換機114a。經修改之封包188c可與原始封包188a相同或不同。

如圖1D之實例所示，控制節點180a可作為線纜內之模塊部署於網路100b中之關鍵點處。舉例而言，此等點包括分佈層及WAN後之路由器。若原有分佈交換機或路由器仍保留於適當位置，控制節點180a可部署為獨立裝置。或者，舉例而言，控制節點180a可併入能夠容納連接及控制面刀鋒(control plane blade)之機座中。在任一情況下，控制節點180a均可相對於連接面110b之架構保持為線纜內之模塊。如此，控制節點180可被繞過，連接面110b將繼續運行(即使沒有控制節點180a提供之服務)。

回到步驟310中執行之存取控制，控制節點180a可用於為本地及遠程用戶提供統一存取控制。舉例而言，用戶104可經由WAN連接至控制節點180a，控制節點180a在圖1D之實施例中位於網路100b的邏輯邊緣。舉例而言，用戶104及設備106可使用有線或無線的以太網端口連接至控制節點180a。控制節點180a在將封包188a傳輸至連接面110b之前對封包188a執行存取控制(步驟310)，以使經修改之封包188c僅在其滿足存取控制要求之情況下才被轉發至連接面110b。舉例而言，控制節點180a可使用存取策略162a執行存取控制，該存取策略162a由可由控制面120中之所有控制節點180a－180c存取之中央策略管理器160保持。存取策略162a可包括基於用戶身份、設備狀態、登錄位置、日期時間以及其它分類標準審核及控制對網路100b之存取的策略，從而提供統一的存取安全。

存取策略162a可藉由識別每個請求網路存取之端點、檢驗設備106之健康狀況且若其不符合策略則將其隔離而執行存取控制。舉例而言，存取策略162a可拒絕未激活個人防火牆、缺乏最新防病毒更新或具有惡意程序之用戶/設備的存取。當檢測到不符合策略之狀態時，隔離過程可通知最終用戶104及/或設備106其已被隔離，且可將設備106重新定向至其能夠自我糾錯的位置。一旦設備106為"健康的"，控制節點180a可經由任何數目之已建立之用戶驗證/身份管理機制識別用戶104，然後，使用中央策略管理器160確定最終用戶104具有權限存取哪些網路目的地及應用。可以個體、群組、部門或整個組織之級別設置存取控制策略162a，以提供(例如)以一種方式對待侵害CEO、以另一種方式對待侵害財務部門的能力。

若存取控制成功，且若在步驟306中確定將對封包188執行攻擊控制(步驟314)，則控制面120對封包188執行攻擊控制(步驟316)。舉例而言，可由控制節點180a之訊務控制子系統186a執行攻擊控制。

若在執行攻擊控制之後無需對包封188進行額外處理(步驟318)，則該方法結束，封包188不被轉發至網路100b中之任何其它節點，且該方法等待下一個封包(步驟328)。一個無需額外處理之情況為封包188未滿足攻擊控制要求。或者，舉例而言，在此情況下該方法可執行其它行為，諸如向用戶104發送警告。

一般而言，術語"攻擊控制"在此處指自網路100b中移除惡意及其它有害訊務。舉例而言，攻擊控制包括：(1)攻擊，諸如DDoS(分佈式拒絕服務)、漏洞(諸如蠕蟲)、漏洞利用(exploit)(諸如病毒、木馬、後門)及惡意程序檢測及阻斷，異常行為之感知及保護；以及(2)資料竊取/破壞，諸如基於策略之存取控制。

攻擊控制可以多種方式中之任一種方式執行。舉例而言，在圖1D之實施例中，控制節點180a可使用中央策略管理器160處之攻擊策略162b執行攻擊控制。舉例而言，此等策略162b可包括用於執行深層封包檢查以識別指示可能威脅之模式的策略。可為經識別之應用及用戶應用一或多個過濾器。接著，可基於應用過濾器之結果應用適當的策略驅動操作。舉例而言，可基於應用過濾器之結果隔離封包188。過濾器之結果亦可用於執行應用控制。舉例而言，可基於應用過濾器之結果為封包188分配優先權。

攻擊控制可包括將網路100b分割為分離的"安全區域"。使用此方法，任何攻擊(諸如受感染之膝上型電腦上的蠕蟲)僅允許在其起源之分離區域內傳播，因為控制節點180a阻斷攻擊之進一步傳播。根據用戶之部署偏好，區域可像各存取端口一樣密佈。

若攻擊控制成功，且若在步驟306中確定將對封包188執行應用控制(步驟320)，則控制面120對封包188執行應用控制(步驟322)。舉例而言，攻擊控制可由控制節點180a之訊務控制子系統186a執行。

舉例而言，應用控制可包括：(1)關鍵任務應用(諸如SAP、Oracle、Backup)、實時應用(諸如VoIP，視訊)、盡力服務應用(諸如網頁瀏覽)以及低優先權應用(諸如P2P)之自動發現及QoS處理；(2)訊務可視化；(3)應用執行監視與報警；以及(4)應用之指紋識別。舉例而言，應用控制可用於確保關鍵商業應用具有之優先級高於次重要應用，諸如藉由為諸如語音及視訊之延遲敏感應用提供較高優先權(或藉由為此等應用預留頻寬)，以使收聽及觀看品質不受影響。舉例而言，應用控制可為不可識別或密集頻寬之點對點應用提供低優先級。

應用控制可為在應用級處在網路上運行之應用提供可見性，然後根據商業策略按優先順序排列且優化訊務。深層封包檢查可用於連續監控網路訊務，從而允許用戶看到在其網路上運行之應用、編制終端系統，且增強與公司策略之順應性以檢測非法伺服器且阻斷對此等伺服器之存取。

可利用與用於實施攻擊控制之技術相類似的技術實施應用控制。舉例而言，攻擊策略162b可界定識別攻擊(諸如，衝擊波蠕蟲)之過濾器，且對相應之資料流採取行動(阻斷攻擊)。藉由使用應用策略162c以界定所使用之用以識別及分類應用之過濾器，隨後按優先順序排列且優化相應資料流，應用控制可擴充上述能力。舉例而言，應用策略162c可界定識別語音應用之過濾器、用802.1p及/或差別服務位(DiffServ bits)將封包標記為關鍵任務，且對網頁目標進行前向緩存(forward－cache)從而為遠程用戶創建次秒級應用響應時間。然後，可用連接面110b增強由應用策略162c指定之QoS優先化。

為關鍵任務訊務標記高優先權QoS標籤亦為防止零時差(zero－day)攻擊提供了重要保護。零時差攻擊利用以前未知的軟體漏洞。由於該漏洞未被知曉，故而應用策略162a可能並未認出該漏洞利用，而因為該漏洞未被認出，故而控制節點180a可將訊務歸類為限速(rate－shaped)盡力服務級。由於將關鍵任務訊務標記為更高優先權QoS，故而連接面110b將自動優先處理較盡力服務訊務更優先的關鍵任務訊務。在很多情況下，此種做法能夠阻止零時差蠕蟲(利用未知漏洞的蠕蟲)影響關鍵任務應用，諸如薪資管理、電子商務及VoIP。此種攻擊控制方法在證券市場特別有用，且證明了藉由利用攻擊及應用控制能力之策略在單節點中處理資料流分類及增強的協同作用。

該方法基於對封包188執行應用控制之結果，確定是否應該丟棄封包188(步驟324)。舉例而言，若封包188未能滿足一或多個存取控制及攻擊控制的要求，該方法可決定丟棄封包188。若該方法決定丟棄封包188，則該方法結束，不將封包188轉發至網路100b中之任何其它節點，且該方法等待下一個封包(步驟328)。否則，處理封包之控制節點轉發封包188(步驟326)。舉例而言，在由控制節點180b接收到封包188a之情況下，若封包188a滿足應用於該封包之所有經配置的控制功能，則控制節點180b將封包188a轉發至核心交換機114a。

儘管圖3所示之實施例示出執行存取控制(步驟310)、攻擊控制(步驟316)及應用控制(步驟322)之全部三個控制的實施例，但此並非本發明的要求。相反，如上所述，可執行存取、攻擊及應用控制的任意組合。一般而言，僅在封包188滿足所有經配置之網路訊務控制功能之要求的情況下，才轉發封包188(步驟326)。

然而，存取、攻擊及應用控制之各種組合可提供協同的效果。舉例而言，存取控制及攻擊控制可協同工作，以不僅在登錄時且在設備之網路連接期間保護網路。存取控制及應用控制可交替工作，以基於用戶特權及服務級許可將存取控制延伸至特定應用。此等機制可以合力使得攻擊過濾器部署可與特定應用相協調，從而確保最大攻擊控制效能及最小誤判風險。此種協同控制不僅在直觀上看來比較合理，更進一步講，其亦顯著降低網路控制複雜性以及總體擁有成本。

作為另外的例子，由應用控制收集之庫存量資料提供網路資源資料庫，該資料庫可以用於幫助界定存取策略。由於將在連接面內給予未分類的攻擊訊務預設(盡力服務)優先權，故而關鍵任務及實時訊務之優先化使網路對零時差攻擊具有復原力。

如上所述，控制面120可實質上單獨在網路100b內執行經配置之網路功能。舉例而言，連接面110可以包括由至少一個網路互連設備(諸如至少一個路由器及/或第2/3層交換機)以通信方式連接的複數個網路節點。

複數個網路訊務控制功能可以包括存取控制、應用控制及攻擊控制中之至少兩者。網路100b可經配置以利用網路節點180a－180c實質上單獨對自連接面110流向控制面120之網路訊務執行經配置的網路訊務控制功能。舉例而言，連接面110可能缺少用於執行經配置之網路訊務控制功能的組成部分。或者，舉例而言，連接面110可能包括能夠執行經配置之網路訊務控制功能的組成部分，但是所有或基本所有彼等組成部分可配置為不執行經配置之網路訊務控制功能，而選擇使用控制面120提供的一個通用方法。

可以在網路100a(圖1A)中部署(安裝)控制面120，從而產生網路100b(圖1B)，而不修改連接面110且不禁用連接面110中的網路互連設備(諸如路由器112及交換機114)。相似地，可以在網路100a中部署控制面120，而不修改應用面130(諸如，不修改在應用面130中執行之應用132a－132b及134a－134b中的任何應用)。

然而，當在網路100a中部署(安裝)控制面120時，連接面110中之網路互連設備的子集可配置為不執行經配置之網路訊務控制功能。以此方式部署控制面120之一個優點是在對網路100b之破壞最小的情況下使控制面120可在網路100b內實質上單獨執行經配置之網路訊務控制功能。

可用多種方式在控制面120與連接面110之間劃分執行網路訊務控制功能的責任。舉例而言，參考圖4，其示出在本發明一個實施例中為了實施圖2之步驟204(配置控制面120以執行經配置之網路訊務控制功能)而執行之方法的流程圖。連接面110對由連接面110接收之網路訊務執行存取控制、攻擊控制及應用控制的第一子集(步驟402)。控制面120可安裝於網絡100a中，且經配置以對由控制面120接收之網路訊務執行存取控制、攻擊控制及應用控制的第二子集(步驟404)。第一及第二子集可選擇為相互排斥，以使得連接面110不經配置以執行網路訊務控制功能的第二子集。結果，連接面110及控制面120對其所接收之網路訊務執行互斥的網路訊務控制功能。

可以在任意單位級別上細分連接面110與控制面120之間的"分工"。舉例而言，控制面120可以排除連接面110而實質上單獨執行存取、攻擊及應用控制中的任意一者。然而，或者，控制面120可以執行存取控制的一部分，而連接面110執行存取控制的另一部分。舉例而言，在圖1B所示之實施例中，控制面120執行QoS過濾(應用控制的一部分)，而連接面110中之伺服器交換機114b執行負載平衡(應用控制的另一部分)。

而且，舉例而言，可以僅在網路100b之子集中部署控制面120。舉例而言，可以將網路100b劃分成不同區域，且可以在彼等區域中的一些區域中部署控制面120，而不在其它區域中部署控制面120。未部署控制面120之區域可以保持不變。舉例而言，控制面120可以在部署控制面120的區域內實質上單獨執行經配置之網路控制功能，而不在網路100b的其它區域內執行經配置之網路控制功能。

如圖5之方法500所示，控制面120亦可用於配置安全管理連接。舉例而言，可以在網路100b中之終端節點(諸如設備106)與控制面120中之控制節點180a－180c之一之間建立安全管理連接(步驟502)。終端節點可以經由安全管理連接來配置控制面120，以在整個網路100b中實質上單獨對由控制面120接收之網路訊務執行複數個網路訊務控制功能(步驟504)。舉例而言，該複數個網路訊務控制功能可以包括網路存取控制、應用訊務控制及攻擊控制中的至少兩者。與上述其它實例一樣，可以配置控制面120，而不修改連接面110且不禁用連接面110中的網路互連設備。

控制面120可以提供一控制臺，終端節點之用戶104可藉由該控制臺以配置控制面120。用戶104亦可用該控制臺監控存取、將訊務流可視化，且接收攻擊及異常行為報警。

再次參考圖1D，可以提供動態智能更新子系統170，其包括經更新之存取過濾器172a、攻擊過濾器172b及應用過濾器172c。更新子系統170可以用最新的過濾器172a－172c更新中央策略管理器160。舉例而言，可以用3Com公司的智能網路控制(INC)架構實施更新子系統170。更新子系統170可以(諸如)根據預定排程、響應新的更新之可用性或響應來自網路管理員之請求，隨時執行更新。舉例而言，更新子系統170可以使用3Com數字疫苗(Digital Vaccine)更新技術更新位於更新子系統170中的過濾器172a－172c。從而，控制面120可以適應商業策略中的變化，且自動防範動態演進設備、用戶、威脅及應用管理環境。

本發明之實施例具有諸如以下的多種優點。如以上關於圖1A之描述，現有企業網路包括依靠連接面110的應用面130。在此環境中，為連接面110提供的關於訊務通過連接面110之應用的資訊非常少。應用面130中之應用僅"看到"UDP或TCP套接字(socket)。連接面110僅"看到"具有源地址及目的地址的封包，而沒有關於發送/接收彼等封包之應用的資訊。

此網路架構之第一顯著弱點為網路100a是一種以同等優先權交換或發送所有封包的盡力服務環境。此使得將不同服務級別與不同應用之訊務相關聯難於或不可能實現，儘管希望如此。儘管存在服務品質(QoS)機制，但是由於應用此等機制之複雜性以及缺乏確保QoS標誌之可信賴性的機制，很少用這些機制。舉例而言，當缺乏安全管理連接時，若設備經由非安全連接提供QoS標誌，則QoS標誌可能不可信賴。

圖1A所示之網路架構的第二顯著弱點在於其幾乎無法為網路管理員提供對在其網路上運行之應用130的可視性。此使得難以甚至不可能執行如訊務可視化等應用控制功能。

藉由引入控制面120能夠減小或除去此等及其它弱點，控制面120作為在功能上(而非實體上)插入應用面130與連接面110之間的無縫覆蓋而移交。控制面120可自動對訊務分類，且在將訊務傳遞至連接面110時對其執行適當的商業策略。

可在連接面110與應用面130之間部署控制面120，而無需對連接面110中之路由器112及交換機114、或對應用面130中之應用進行任何修改。可使用在任何連接面110之上部署為"線纜內模塊"的節點實施控制面120，而不論節點之品牌、製造年代(vintage)或兩者之混合。由此，若繞開控制面120，則基礎IP連接面110仍可起作用並保持原樣。

因此，在不干擾交換機114及路由器112之現有連接面110、不改變應用130、亦無需對現有的網路投資之再次叉車式升級及替換的情況下，此處揭示之雙平面網路架構可實現其目標。

而且，雙平面網路架構不需要用單片電路(monolithic)網路設計方法來滿足演進之網路需要，該方法經常有供應商倡議，但違反合理的工程設計原則，且導致供應商鎖閉且抑制創新。相反，雙平面網路架構以開放式生態系統方法為特徵，該方法能夠繁榮業界最佳組合(best of breed)安全及應用控制創新，從而以低成本及低複雜性實現更高客戶價值。

可使用能夠容納第三方應用之可擴展開放平臺實施控制面120。舉例而言，其可容納第三方客戶端健康狀況、ID管理、內容安全或入侵防護解決方案。此等功能可併入NCP之構架中。與被迫進入供應商控制之解決方案環境中相反，此種開放性允許企業用戶自由利用業界最佳組合存取、攻擊及應用控制，或者其它控制功能。服務提供商可創建定製的應用及管理支持，從而能夠基於創新、市場細分需要以及競爭力而交付獨特的差別化服務。

雙平面網路架構能夠高度可視化及控制正在使用網路之用戶、正在存取網路之設備、網路上所有訊務之性質及健康狀況，且具有結合確定之商業優先權及策略按優先順序排列該訊務的能力。

雙平面網路架構為企業網路操作員提供對進入網路之每個用戶及每一設備的完全控制，從而顯著降低網路、資源或資訊被竊取、破壞或濫用的風險。與設備類型、本地或遠程存取位置、有線或無線存取協議無關，此存取控制對於所有形式之存取以共同的、成本有效的方式傳遞。而且，一旦設備及用戶連接至網路，隨機連續監視每個訊務流以防範惡意及有害之訊務，該惡意及有害之訊務由行業領先的基於IPS之攻擊控制有效濾除。

利用完全安全之網路，資訊技術(IT)能夠將所有注意力轉向增值工作上，該增值工作確保在商業驅動、策略執行優先級及優化的情況下處理關鍵任務應用。隨著語音、資料及視訊完全集中於單一IP基礎設施中，可出現大量通信及極大進步，從而將企業生產力及用戶滿意度推向新的水平；但是，若不能以適當延遲處理語音，無法加速至關重要之供應鏈及製造控制交易，以及移動的、全球分佈之員工及企業外部網合作夥伴之應用響應時間較差，則上述一切均為徒勞。雙平面網路應用控制藉由執行分類及執行企業策略之困難且動態的工作、以及優化每一訊務流以使連接面110能夠執行其最擅長之工作(將封包自一個位置移動至另一位置)，而滿足此等需要。

雙平面網路架構之此等及其它特徵可提供極為務實之商業利益。舉例而言，雙平面網路架構藉由使系統不停運行、交易持續進行、保持公司名譽完好以及使企業保持符合規章需求，可促進商業連續性。

藉由提供較佳之網路及應用效能，利用自動化處理減輕IT人員之壓力，且用先進的集中應用提高效率，雙平面網路架構可有利於提高生產力。

雙平面網路架構可減少資金及運行費用。由於藉由增加之控制而提高了網路效率，故而可降低資金支出。舉例而言，應用控制保護關鍵任務訊務、減少網路過度設計(over－engineering)、集中，且濾除惡意及欺詐訊務。由於減少了管理分散資料、語音及視訊網路、調查攻擊、攻擊後清除、點對點(ad－hoc)修補以及普通反作用行為所需要之資源，故而可減少運作費用。

由於雙平面網路架構之實施例可部署為現有網路之覆蓋架構而無需叉車式升級，故而雙平面網路架構之實施例可能易於部署。因此，由於控制面120之部署不影響現有連接面110，故而企業組織可以發現雙平面網路架構之實施例的採用是無縫的、成本有效及低風險的。

應當理解，儘管以上根據具體實施例描述本發明，但前述實施例僅為說明性，且並不限制或界定本發明之範疇。各種其它實施例(包括但不限於以下實施例)亦屬於申請專利範圍之範疇內。舉例而言，於此描述之元件及組件可進一步劃分成額外組件，或連接在一起形成用於執行相同功能之較少組件。

在於此描述之某些實施例中，要求經配置之網路控制功能包括存取控制。然而，此並非本發明之所有實施例的要求。相反，在本發明之某些實施例中，經配置之網路控制功能可包括存取控制、攻擊控制及應用控制中之任意一者或任意組合。

可用多種方式實施控制面120。舉例而言，控制面120可包括一或多個網路控制設備，其中每一網路控制設備適於安裝於電子通信網路中，該電子通信網路包括藉由至少一個網路互連設備(諸如路由器或第2/3層交換機)通信連接的複數個網路節點。網路控制設備可在單一裝配(unitary assemblage)中包括：輸入/輸出裝置，用於將網路控制設備通信連接至電子通信網路；電源裝置，用於為網路控制設備提供電源；以及邏輯及處理電路，其能夠配置為對藉由輸入/輸出裝置流入網路控制設備的訊務執行網路訊務控制功能，其中，該等網路訊務控制功能包括網路存取控制及(1)應用訊務控制、(2)攻擊控制或(3)應用訊務控制及攻擊控制。

舉例而言，上述技術可以硬體、軟體、韌體或其任意組合實施。上述技術可以在可程式化電腦上執行之一或多個電腦程式中實施，該可程式化電腦包括處理器、處理器可讀取之儲存介質(舉例而言，包括揮發性及及非揮發性記憶體及/或儲存元件)、至少一個輸入設備以及至少一個輸出裝置。可將程式代碼應用於利用輸入設備輸入的輸入內容，以執行上述功能且產生輸出。該輸出可被提供至一或多個輸出裝置。

屬於下述申請專利範圍內之每一電腦程式均可以任何程式化語言實施，諸如彙編語言、機器語言、高級程序程式化語言或面向對象之程式化語言。舉例而言，程式化語言可為編譯或解譯性程式化語言。

此等電腦程式中之每一者均可以電腦程式產品形式實施，該電腦程式產品以機器可讀儲存設備具體實施，以由電腦處理器執行。本發明之方法步驟可以由執行具體實施於電腦可讀介質上之程式的電腦處理器執行，以藉由操作輸入內容及產生輸出內容而執行本發明之功能。舉例而言，適當之處理器包括通用及專用微處理器。一般而言，處理器自唯讀記憶體及/或隨機存取記憶體接收指令及資料。適於具體實施電腦程式指令之儲存設備包括：(舉例而言)所有形式之非揮發性記憶體，諸如半導體記憶件設備，包括EPROM、EEPROM及快閃設備；磁盤，磁碟，如內置硬體及可移除磁碟；磁光盤；及CD－ROM。前述任意一種儲存設備可以增加專門設計之ASIC(專用積體電路)或FPGA(場可程式閘陣列)或併入於專門設計之ASIC或FPGA中。電腦通常亦能自諸如內置磁碟(未示出)或可移除磁碟之儲存介質接收程式及資料。此等元件亦將於習知桌上或工作站電腦中，以及適於執行實施本文所述之方法之電腦程式的其它電腦中出現，此等元件可結合任何數位印表引擎或標記引擎、監視器或能夠在紙、膠捲、顯示屏或其它輸出介質上產生彩色或灰度像素之其它光柵輸出設備使用。

100a．．．網路

100b．．．網路

102．．．網際網路

104．．．用戶

106．．．設備

110a．．．連接面

110b．．．連接面

112．．．WAN路由器/防火牆

114a．．．核心交換機

114b．．．伺服器交換機

114c．．．客戶端交換機

116a．．．狀態封包檢查存取控制

116b．．．IEEE 802.1X存取控制

116c．．．QoS與負載平衡應用控制

120．．．控制面

122a．．．存取與攻擊控制

122b．．．應用與存取控制

122c．．．存取、攻擊與應用控制

130．．．應用面

132a．．．客戶端A

132b．．．客戶端V

134a．．．伺服器A

134b．．．伺服器V

136a．．．電子郵件

136b．．．語音

138a．．．電子郵件

138b．．．語音

160．．．中央策略管理器

162a．．．存取策略

162b．．．應用策略

170．．．動態智能更新

172a．．．存取過濾器

172b．．．攻擊過濾器

180a．．．控制節點

180b．．．控制節點

180c．．．控制節點

182a．．．接收子系統

184a．．．檢查子系統

186a．．．訊務控制子系統

188a．．．封包

188b．．．封包

188c．．．封包

圖1A為先前技術電子通信網路之高層功能框圖；圖1B為根據本發明一個實施例之電子通信網路的高層功能框圖；圖1C為示出根據本發明一個實施例之使用控制面執行網路訊務控制功能的圖；圖1D為示出根據本發明一個實施例之控制面的圖；圖2為根據本發明一個實施例用於在圖1A之電子通信網路中合併控制的方法流程圖；圖3為根據本發明一個實施例使用控制面執行網路訊務控制功能的方法流程圖；圖4為根據本發明一個實施例配置控制面以執行網路訊務控制功能的方法流程圖；以及圖5為根據本發明一個實施例經由安全管理連接來配置控制面的方法流程圖。