在一个示例实施例中提供了一种方法,其包括从主机在元数据信道上接收元数据。元数据可以与网络流相关,并且网络策略可以被应用于连接。在其他实施例中,可以从主机接收网络流,而没有与该流相关联的元数据,并且发现重定向可以被发送到主机。然后元数据可以被接收并且与流相关,以识别网络策略动作从而应用到所述流。
【技术实现步骤摘要】
【国外来华专利技术】在网络环境中用于重定向的防火墙发现的系统和方法
概括地说,本说明书涉及网络安全领域,更具体地说,涉及在网络环境中用于重定向的防火墙发现的系统和方法。
技术介绍
在今天的社会中网络安全领域已经变得越来越重要。互联网已经可以使全世界的不同计算机网络能够互联。然而,互联网也已经给恶意操作者呈现了许多机会以利用这些网络。一旦某些类型的恶意软件(例如bot)已经感染了主机计算机,就可以配置软件以接收来自远程操作者的命令。可以指示软件执行任何数量的恶意行为,例如从主机计算机发送垃圾邮件或者恶意电子邮件、从与主机计算机相关联的商业或者个人窃取敏感信息、传播到其他主机计算机、和/或协助分布式拒绝服务攻击。此外,恶意操作者可以将访问权出售或者给予给其他恶意操作者,因此逐步升级对这些主机计算机的利用。因此,有效地保护和维持稳定的计算机和系统的能力对于部件制造商、系统设计者和网络运营商来说,继续呈现重大挑战。附图说明为了提供对本公开及其特征和优点的更加完全的理解,结合附图对以下的描述做出了参考,其中相似的参考数字代表相似的部分,其中:图1是示出了按照本说明书的可以通过主机重定向发现防火墙的网络环境的示例实施例的简化框图;图2是示出了与网络环境的一个潜在实施例相关联的额外细节的简化框图;图3是示出了与网络环境的示例实施例相关联的潜在操作的简化交互图;图4是示出了与网络环境的示例实施例相关联的潜在操作的简化交互图,其中所述网络环境具有识别对管理的路由无效的防火墙的陈旧防火墙缓存。图5是示出了与网络环境的其他示例实施例相关联的潜在操作的简化交互图,其中所述网络环境具有识别对管理的路由无效的防火墙的陈旧防火墙缓存;以及图6是与网络环境的示例实施例中的交换元数据相关联的示例分组数据单元格式。具体实施方式在一个示例实施例中提供了一种方法,其包括从主机通过元数据信道接收元数据。元数据可以与网络流有关,并且网络策略可以被应用于流。在其他实施例中,可以从主机接收网络流,而没有与流相关联的元数据,并且可以将发现重定向发送到主机。然后可以接收元数据并且使其与流相关以识别网络策略动作以应用到流。示例实施例转到图1,图1是网络环境10的示例实施例的简化框图,其中通过主机重定向可以发现防火墙。在图1示出的实施例中,网络环境10可以包括互联网15、用户主机20a和20b、防火墙25、策略服务器30、邮件服务器35、以及网络服务器40。通常,用户主机20a-20b可以是在网络连接中的任何类型的终端节点,包括但不限于台式计算机、服务器、膝上计算机、移动电话、或者任何其他类型的可以与另一个节点接收或者建立连接的设备,例如邮件服务器35或者网络服务器40。防火墙25可以控制在用户主机20a-20b和附在互联网15或者另一网络上的其他节点之间的通信,例如通过阻挡未授权的访问同时允许授权的通信。在一些实例中,防火墙25可以耦合到或者集成到入侵阻止系统、网络访问控制设备、网络网关、电子邮件网关、或者在互联网15和用户主机20a-20b之间的任何其他类型的网关。此外,在靠近用户主机20a-20b的路由拓扑中的防火墙25的位置是任意的。策略服务器30可以耦合到或者集成到防火墙25,并且可以用于管理用户主机20a-20b,以及管理和分配网络策略。因此,在这个示例实施例中,如果由在防火墙25中执行并且由策略服务器30管理的策略允许,那么通过经过防火墙25建立连接,用户主机20a-20b可以与附在互联网15上的服务器通信,例如邮件服务器35或者网络服务器40。图1中的每个元件可以通过简单的接口或者通过任何其它合适的连接(有线的或者无线的)而彼此耦合,所述连接提供用于网络通信的可行路径。此外,这些元件中的任何一个或多个可以基于特定的配置需要被合并或者被从架构中移除。网络环境10可以包括能够针对在网络中传送或者接收分组的传输控制协议/互联网协议(TCP/IP)通信的配置。网络环境10还可以在适当的地方和基于特定的需要结合用户数据报协议/IP(UDP/IP)或者任何其他合适的协议操作。为了解释在示例实施例中用于提供网络安全的技术的目的,理解在给定的网络之内发生的活动是重要的。以下的基本信息可以被视为本公开被恰当解释的基础。认真地提供这样的信息仅仅是为了解释的目的,因此,不应当被解释为以任何方式限制本公开的宽的范围和其潜在应用。在组织中和由个人使用的典型的网络环境包括与使用互联网的其他网络进行电子通信的能力,例如访问以连接到互联网的服务器为主机的网页、发送或者接收电子邮件(即电子邮件)消息、或者交换文件。然而,恶意用户继续开发用于使用互联网散布恶意软件和获取对机密信息的访问的新战术。恶意软件通常包括被设计用于访问和/或控制计算机而没有通知计算机所有者同意的任何软件,并且最通常被用作任何敌意的、入侵的、或者烦人的软件(例如计算机病毒、bot、间谍软件、广告软件等)的标签。一旦受到损害,恶意软件可以破坏主机并且用它进行恶意活动,例如发送垃圾邮件或者窃取信息。恶意软件还通常包括一个或多个传播向量,其使它能够在组织的网络之内进行散布,或者跨越其它网络散布到其他组织或者个人。一般的传播向量包括利用在本地网络之内的主机上的已知弱点,并且发送附有恶意程序的电子邮件或者在电子邮件之内提供恶意链接。恶意软件可以操作的一种方式是通过使用与用户所期望的不同的网络协议交换来欺骗用户。恶意软件可以被打包以便说服用户允许访问从而以一些无害的方式运行它,因此允许它访问网络,其经常可能要求经过防火墙或者其他安全措施。恶意软件然后可以利用访问权以从事不是用户所预期的替代或者额外的活动。例如,游戏可以发送电子邮件消息,或者文字处理器可以打开网络连接。同时,恶意软件也可以使用标准协议以欺骗防火墙允许恶意软件建立远程连接。例如僵尸网络(botnet)使用恶意软件,并且越来越威胁到计算机安全。在许多情况下,它们采用包括公知的和新的弱点的组合的复杂攻击方案。僵尸网络通常使用客户端-服务器架构,其中一种恶意软件(即bot)被放置在主机计算机上,并且与命令和控制(C&C)服务器通信,其可以由恶意用户(例如,僵尸网络操作者)控制。通常,僵尸网络由大量的bot组成,其可以由操作者使用C&C协议经过各种信道进行控制,包括互联网中继聊天(IRC)和点对点(P2P)通信。bot可以从C&C服务器接收命令以执行特定的恶意活动,并且因此可以执行这样的命令。bot还可以将任何结果或者窃取信息发送回C&C服务器。bot通常被设计为发起与C&C服务器的通信,并且冒充为正常的网络浏览器流量。例如,bot可以使用通常被用于与网络服务器通信的端口。因此,在不执行更详细的网络流量的分组检查的情况下,现有的技术可能不会检测到这样的bot。此外,一旦bot被发现,僵尸网络操作者可以通过bot简单地找到另一种方式冒充网络流量以继续呈现为正常的网络流量。最近,僵尸网络操作者已经精心制作了bot以使用加密协议(例如安全套接字层(SSL)),因此加密恶意网络流量。这样的加密流量可以使用超文本传输协议安全(HTTPS)端口以便仅仅在加密的会话中所涉及的端点可以解密数据。因此,现存的防火墙和其他网络入侵阻止技术可能不本文档来自技高网...
【技术保护点】
一种方法,包括:在元数据信道上接收来自主机的元数据;拦截来自所述主机的网络流;以及使所述元数据与所述网络流相关以将网络策略应用到所述网络流。
【技术特征摘要】
【国外来华专利技术】2011.10.17 US 13/275,2491.一种用于重定向的防火墙发现的方法,包括:在防火墙处,拦截来自源节点的网络流;当所述防火墙不能够取回针对所述网络流的元数据时,发送发现重定向到所述源节点,以更新防火墙缓存以识别所述防火墙;在所述防火墙处,接收与所述网络流相关联的所述元数据;以及在所述防火墙处,使所述元数据与所述网络流相关以将网络策略应用到所述网络流。2.如权利要求1所述的方法,其中所述发现重定向是互联网控制消息协议分组。3.如权利要求1所述的方法,其中所述发现重定向包括基于散列的消息认证代码。4.如权利要求1所述的方法,其中所述发现重定向包括具有共享秘密的基于散列的消息认证代码。5.如权利要求1所述的方法,其中所述发现重定向包括所述发现重定向的散列的私有密钥加密。6.如权利要求1-5中任一项所述的方法,其中所述元数据是在元数据信道上接收到的。7.如权利要求1-5中任一项所述的方法,其中使用数据报传输层安全协议接收所述元数据。8.如权利要求1-5中任一项所述的方法,进一步包括:缓存在所述网络流中第一分组。9.一种用于重定向的防火墙发现的方法,包括:在源节点处,拦截从所述源节点到目的地节点的网络流;使用防火墙缓存,识别用于管理到所述目的地节点的路由的防火墙;发送与所述网络流相关联的元数据到所述防火墙;释放所述网络流;从第二防火墙接收发现重定向;更新所述防火墙缓存以识别用于管理到所述目的地的所述路由的所述第二防火墙;以及经由元数据信道将所述元数据发送到所述第二防火墙。10.如权利要求9所述的方法,其中所述网络流使用传输控制协议,并且拦截所述网络流包括检测来自所述源节点的SYN分组。11.如权利要求9所述的方法,其中所述网络流使用不可靠协议,并且拦截所述网络流包括缓存流的第一分组直到所述元数据被发送。12.如权利要求9所述的方法,其中,所述元数据是使用数据报传输层安全协议被发送到所述第二防火墙的。13.如权利要求9所述的方法,进一步包括:使用所述发现重定向的散列的公共密匙解密或消息认...
【专利技术属性】
技术研发人员:G·库珀,M·W·格林,J·R·古齐克,
申请(专利权)人:迈克菲公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。