亚洲狠狠干,亚洲国产福利精品一区二区,国产八区,激情文学亚洲色图

處理網(wǎng)絡(luò)流量的計(jì)算機(jī)系統(tǒng)及方法

文檔序號(hào):9436007閱讀:690來(lái)源:國(guó)知局
處理網(wǎng)絡(luò)流量的計(jì)算機(jī)系統(tǒng)及方法
【專利說(shuō)明】處理網(wǎng)絡(luò)流量的計(jì)算機(jī)系統(tǒng)及方法
[0001]本案是申請(qǐng)?zhí)?200710000178.6,申請(qǐng)人:飛塔公司,發(fā)明名稱:《處理網(wǎng)絡(luò)流量的計(jì)算機(jī)系統(tǒng)及方法》的申請(qǐng)的分案申請(qǐng)。
技術(shù)領(lǐng)域
[0002]本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò),尤其涉及網(wǎng)絡(luò)系統(tǒng)安全性和/或可升級(jí)性的實(shí)現(xiàn)。
【背景技術(shù)】
[0003]近十年來(lái),對(duì)網(wǎng)絡(luò)安全的威脅演變地非??欤鋸木W(wǎng)絡(luò)層針對(duì)連接的攻擊發(fā)展成應(yīng)用層基于代理的攻擊。常規(guī)的網(wǎng)絡(luò)設(shè)備(防火墻)能夠進(jìn)行網(wǎng)絡(luò)層數(shù)據(jù)包的處理;例如,常規(guī)防火墻可以阻止不是來(lái)自有效數(shù)據(jù)源的數(shù)據(jù)包,以及VPN網(wǎng)關(guān)可以加密傳輸中的數(shù)據(jù)包使其安全穿過(guò)互聯(lián)網(wǎng)。但是,當(dāng)前嚴(yán)重的網(wǎng)絡(luò)威脅,比如包括間諜軟件、病毒和蠕蟲等惡意程序嵌入到數(shù)據(jù)包流的應(yīng)用層內(nèi)容中。通過(guò)從多個(gè)數(shù)據(jù)包中提取內(nèi)容,重建原始內(nèi)容,以及掃描其中的攻擊指示標(biāo)志或者不適當(dāng)內(nèi)容等處理方法來(lái)檢測(cè)并阻止這些應(yīng)用層的攻擊需要很強(qiáng)的處理能力。
[0004]針對(duì)這些新的安全挑戰(zhàn),現(xiàn)今的防火墻必須能夠提供應(yīng)用層內(nèi)容的實(shí)時(shí)處理,特別是隨著現(xiàn)在(及將來(lái))不斷增長(zhǎng)網(wǎng)絡(luò)速度而產(chǎn)生的實(shí)時(shí)應(yīng)用程序(如網(wǎng)頁(yè)瀏覽)。
[0005]在防火墻中,網(wǎng)絡(luò)流量的處理由一系列整體形成一防火墻策略的具體規(guī)則來(lái)確定。防火墻策略指示了防火墻應(yīng)該怎樣處理如網(wǎng)頁(yè)、電子郵件或者遠(yuǎn)程登錄等具體應(yīng)用的網(wǎng)絡(luò)流量。示例性的規(guī)則包括過(guò)濾禁忌詞匯、阻止具體的URL、阻止具體文件類型的傳輸、反惡意程序掃描,垃圾郵件阻止等等。每一防火墻策略通常具有關(guān)聯(lián)防火墻配置內(nèi)容表,通過(guò)該配置內(nèi)容表配置防火墻處理網(wǎng)絡(luò)內(nèi)容。防火墻策略通常由網(wǎng)絡(luò)管理員創(chuàng)建,并且是基于各組織的信息安全策略。
[0006]防火墻通常實(shí)現(xiàn)為具有多個(gè)用于網(wǎng)絡(luò)流量的流入及流出的物理網(wǎng)絡(luò)接口的硬件/軟件裝置。網(wǎng)絡(luò)流量進(jìn)入這些接口中的一個(gè),經(jīng)過(guò)過(guò)濾及其它適當(dāng)?shù)奶幚砗蟊宦酚傻酵ǔJ桥c不同物理接口相連接的一遠(yuǎn)程主機(jī)。在一些情況下,防火墻也可配置具有邏輯接口,如虛擬局域網(wǎng)絡(luò)(VLAN)或點(diǎn)對(duì)點(diǎn)協(xié)議(PPP)接口。這樣的邏輯接口完全是通過(guò)軟件實(shí)現(xiàn)的,并不直接映射到物理接口。舉例說(shuō)明,在VLAN配置中,PC機(jī)、服務(wù)器以及其它的網(wǎng)絡(luò)設(shè)備可以實(shí)現(xiàn)并顯現(xiàn)在同一個(gè)物理LAN網(wǎng)段相互通信,即使它們可能并不是位于相同的物理LAN網(wǎng)段。VLAN配置下的網(wǎng)絡(luò)實(shí)體可以分布在多個(gè)物理網(wǎng)絡(luò)中,但是對(duì)于防火墻而言這些網(wǎng)絡(luò)實(shí)體如同全都是通過(guò)一單個(gè)(邏輯)網(wǎng)絡(luò)接口連接的。
[0007]具有多個(gè)不同計(jì)算機(jī)系統(tǒng)的大型網(wǎng)絡(luò)可以劃分為兩個(gè)或更多不相交的虛擬網(wǎng)絡(luò),稱為“虛擬域”。每一所述虛擬域都具有其自己的路由設(shè)置、網(wǎng)絡(luò)管理設(shè)置、訪問權(quán)限設(shè)置以及網(wǎng)絡(luò)完全策略與配置。利用虛擬域,相互獨(dú)立的組織可以共享相同的防火墻/路由硬件,該虛擬域的網(wǎng)絡(luò)接口可以被劃分成不相交的可由不同用戶管理的路由域。從一個(gè)這樣虛擬域發(fā)出的網(wǎng)絡(luò)流量只能在同一個(gè)虛擬域中路由。
[0008]但是,現(xiàn)有的防火墻系統(tǒng)在利用可升級(jí)且有效的方法來(lái)處理不相交路由及配置的域方面的能力不足。因此,需要能夠以有效的方法管理虛擬網(wǎng)絡(luò)域的可升級(jí)的防火墻系統(tǒng)。

【發(fā)明內(nèi)容】

[0009]本發(fā)明的目的在于提供一種方法和系統(tǒng),其能夠充分消除傳統(tǒng)技術(shù)在虛擬域中處理內(nèi)容相關(guān)的一個(gè)或多個(gè)上述或其他問題。
[0010]本發(fā)明的一個(gè)方面提供了一種用于處理與多個(gè)虛擬域相關(guān)的網(wǎng)絡(luò)內(nèi)容的方法、計(jì)算機(jī)編程產(chǎn)品以及計(jì)算機(jī)系統(tǒng)。根據(jù)本發(fā)明的方法,需要定義多個(gè)接口,其中的每個(gè)接口對(duì)應(yīng)一個(gè)虛擬域。然后系統(tǒng)根據(jù)具體的內(nèi)容處理策略發(fā)起用于處理網(wǎng)絡(luò)數(shù)據(jù)包的服務(wù)進(jìn)程。當(dāng)接收到涉及與虛擬域相關(guān)聯(lián)的網(wǎng)絡(luò)實(shí)體的網(wǎng)絡(luò)連接請(qǐng)求時(shí),系統(tǒng)將在服務(wù)進(jìn)程與內(nèi)核之間開放一通信信道。開放的通道用于在服務(wù)進(jìn)程與防火墻系統(tǒng)內(nèi)核之間傳輸與虛擬域相關(guān)的網(wǎng)絡(luò)內(nèi)容。根據(jù)起作用的內(nèi)容處理策略,在服務(wù)進(jìn)程中處理傳輸?shù)木W(wǎng)絡(luò)內(nèi)容。
[0011]根據(jù)本發(fā)明的一個(gè)特點(diǎn),當(dāng)接收到涉及與第二虛擬域相關(guān)聯(lián)的第二網(wǎng)絡(luò)實(shí)體的第二網(wǎng)絡(luò)連接請(qǐng)求時(shí),系統(tǒng)在服務(wù)進(jìn)程與對(duì)應(yīng)于所述第二虛擬域的第二接口之間開放一第二通信信道。然后該系統(tǒng)使用所述第二開放通信信道在服務(wù)進(jìn)程與第二接口之間傳輸?shù)诙W(wǎng)絡(luò)內(nèi)容。與第二虛擬域相關(guān)的網(wǎng)絡(luò)內(nèi)容根據(jù)起作用的內(nèi)容處理策略在相同的服務(wù)進(jìn)程中進(jìn)行處理。
[0012]根據(jù)本發(fā)明的另一特點(diǎn),為每一虛擬域提供一相對(duì)獨(dú)立的內(nèi)容處理策略。
[0013]根據(jù)本發(fā)明的又一特點(diǎn),所述通信通道是套接字。
[0014]根據(jù)本發(fā)明的又一特點(diǎn),所述接口可以是物理接口或邏輯接口。
[0015]根據(jù)本發(fā)明的又一特點(diǎn),所述內(nèi)容處理策略可包括反惡意程序掃描。內(nèi)容處理策略還可以包括內(nèi)容過(guò)濾、虛擬專用網(wǎng)(VPN)處理以及網(wǎng)絡(luò)監(jiān)控與日志記錄。
[0016]根據(jù)本發(fā)明的又一特點(diǎn),服務(wù)進(jìn)程可以是一系統(tǒng)進(jìn)程。
[0017]根據(jù)本發(fā)明的又一特點(diǎn),根據(jù)一信息交換協(xié)議傳輸所述網(wǎng)絡(luò)內(nèi)容。
[0018]根據(jù)本發(fā)明的又一特點(diǎn),所述處理包括獲取與虛擬域相對(duì)應(yīng)的配置設(shè)置。所述配置設(shè)置可以通過(guò)與虛擬域相對(duì)應(yīng)的開放通信通道的至少一個(gè)屬性獲得。這樣的屬性可以包括,例如,套接字標(biāo)識(shí)符,其可用于獲得虛擬域標(biāo)識(shí)符,反過(guò)來(lái),該虛擬域標(biāo)識(shí)符可以用于從數(shù)據(jù)庫(kù)或其它存儲(chǔ)系統(tǒng)中查詢適當(dāng)?shù)呐渲迷O(shè)置。
[0019]根據(jù)本發(fā)明的又一特點(diǎn),可利用同樣的服務(wù)進(jìn)程處理與其它虛擬域相關(guān)的數(shù)據(jù)。
[0020]根據(jù)本發(fā)明的又一特點(diǎn),一經(jīng)收到與第二虛擬域相關(guān)的第二連接請(qǐng)求時(shí),系統(tǒng)發(fā)起用以處理與第二虛擬域相關(guān)的網(wǎng)絡(luò)內(nèi)容的第二個(gè)服務(wù)進(jìn)程。不同的服務(wù)進(jìn)程在不同的CPU上執(zhí)行。
[0021]根據(jù)本發(fā)明的又一特點(diǎn),第二服務(wù)進(jìn)程可由第一個(gè)服務(wù)進(jìn)程發(fā)起。服務(wù)進(jìn)程之間可通過(guò)消息交換來(lái)進(jìn)行通信。該消息可以包括系統(tǒng)接收的第三連接請(qǐng)求的信息。該第三連接請(qǐng)求可從前兩個(gè)虛擬域中或從一第三虛擬域中發(fā)出。
[0022]根據(jù)本發(fā)明的又一特點(diǎn),系統(tǒng)可提供有一集中配置存儲(chǔ)裝置,用于對(duì)服務(wù)進(jìn)程提供配置信息。系統(tǒng)進(jìn)一步包括一日志管理器,用于處理從服務(wù)進(jìn)程接收的日志信息。
[0023]根據(jù)本發(fā)明的又一特點(diǎn),虛擬域狀態(tài)信息可以緩存在服務(wù)進(jìn)程中。
[0024]有關(guān)本發(fā)明的其他方面部分地在下面的描述中介紹,部分地通過(guò)說(shuō)明書顯而易見或可通過(guò)對(duì)本發(fā)明的實(shí)施獲得。本發(fā)明的各個(gè)方面可以通過(guò)要件及各要件的組合、以及下文的詳細(xì)描述和所附的權(quán)利要求中具體指出的方面了解和獲得。
[0025]應(yīng)該理解,上文和后文中的描述只是示例性和說(shuō)明性的,并不用于以任何方式對(duì)要求保護(hù)的本發(fā)明或其應(yīng)用進(jìn)行限制。
【附圖說(shuō)明】
[0026]附圖被結(jié)合進(jìn)來(lái)并構(gòu)成說(shuō)明書的一部分,其示例性地說(shuō)明了本發(fā)明的實(shí)施例,且與文字說(shuō)明一起用于解釋和描述本發(fā)明技術(shù)的原理。具體地:
[0027]圖1示出了虛擬局域網(wǎng)絡(luò)(VLAN)配置的方框示意圖;
[0028]圖2示出了虛擬域配置的方框示意圖;
[0029]圖3示出了根據(jù)本發(fā)明一實(shí)施例的用于在虛擬域環(huán)境下處理網(wǎng)絡(luò)內(nèi)容的計(jì)算機(jī)系統(tǒng)的方框示意圖;
[0030]圖4示出了是根據(jù)本發(fā)明的另一實(shí)施例,用于在虛擬域環(huán)境中處理網(wǎng)絡(luò)內(nèi)容的計(jì)算機(jī)系統(tǒng)的方框示意圖;及
[0031]圖5示出了可用于實(shí)現(xiàn)本發(fā)明的內(nèi)容處理系統(tǒng)的計(jì)算機(jī)平臺(tái)的示范性實(shí)施例。
【具體實(shí)施方式】
[0032]下面將參考附圖進(jìn)行詳細(xì)說(shuō)明,其中,附圖中相同的功能元件使用相同的標(biāo)記。上述的附圖示出了與本發(fā)明的原理一致的具體實(shí)施例及其實(shí)現(xiàn),其用于解釋本發(fā)明,并不作為對(duì)本發(fā)明的限制。本文對(duì)所述的實(shí)施例的實(shí)現(xiàn)進(jìn)行了詳細(xì)描述以使得本領(lǐng)域的技術(shù)人員能夠?qū)嵤┍景l(fā)明。應(yīng)該理解,可以采用其它的實(shí)施方式以及對(duì)各種元件做出結(jié)構(gòu)變化和/或替換而不脫離本發(fā)明的精神和范圍。因此,下面的描述并不用于限制本發(fā)明。另外,本發(fā)明所述的各種實(shí)施例可以以運(yùn)行于通用計(jì)算機(jī)中的軟件、專門的硬件、或者軟件和硬件的組合方式來(lái)執(zhí)行。
[0033]發(fā)明人認(rèn)為提供一種機(jī)制,在該機(jī)制中利用可升級(jí)且有效的方式管理多個(gè)虛擬域的網(wǎng)絡(luò)內(nèi)容是具有優(yōu)勢(shì)的。特別地,本發(fā)明的一實(shí)施例能夠同時(shí)處理與多個(gè)虛擬域相關(guān)的網(wǎng)絡(luò)內(nèi)容。
[0034]圖1示出了示例性的VLAN網(wǎng)絡(luò)配置100。參照?qǐng)D1,物理局域網(wǎng)絡(luò)(LAN) 122,123及124通過(guò)防火墻裝置101的物理接口連接。物理LAN 122到124包括與防火墻101各個(gè)網(wǎng)絡(luò)接口連接的局域網(wǎng)絡(luò)實(shí)體104到115。局域網(wǎng)絡(luò)實(shí)體104到115可以包括PC設(shè)備、網(wǎng)絡(luò)存儲(chǔ)裝置等。局域網(wǎng)絡(luò)實(shí)體104 - 115分為三個(gè)¥1^1分別是116、117與118。這三個(gè)VLAN在防火墻101中分別通過(guò)邏輯接口 119,120及121連接。防火墻101通過(guò)一不同的物理接口 125與互聯(lián)網(wǎng)(internet) 102連接。在互聯(lián)網(wǎng)102中的遠(yuǎn)程主機(jī)103與局域?qū)嶓w104到115中的任何一臺(tái)之間傳輸?shù)木W(wǎng)絡(luò)內(nèi)容
當(dāng)前第1頁(yè)1 2 3 4 
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
1