基于策略的网络体系结构制造技术

技术编号:3527545 阅读:271 留言:0更新日期:2012-04-11 18:40
一种用于一机构的统一式策略管理系统包括一个中央策略服务器和多个位于远处的策略实施器。按附带着面向分层对象的结构的LDAP数据库,配置存储着策略设置的中央数据库以及各策略实施器数据库。这种结构能以直观及可扩展的方式定义策略设置。把在中央策略服务器上作出的策略设置改变直接传送给策略实施器以更新它们各自的数据库。每个策略实施器以预定义的日志格式收集健康和状态信息,并发送给策略服务器以便由策略服务器有效监视。为了更高的效率,有效地分割策略实施器的策略实施功能,从而易于用硬件实现。该系统还提供动态路由的各VPN,其中自动建立各VPN会员资格表并和成员策略实施器共享它们。还自动地向远程VPN客户传送对这些会员资格表的更新。通过允许定义VPN内的防火墙规则组,该系统还对VPN中的通话提供细粒度访问控制。另外,通过在主单元外还保持一个备份单元,可高可用性地配置策略服务器和策略实施器。一旦主单元出故障,备份单元就变为现用。(*该技术在2020年保护过期,可自由使用*)

【技术实现步骤摘要】

本专利技术涉及计算机网络,更具体地,涉及用于为因特网上的远程专用网络提供有效、综合和可伸缩的策略管理服务的设备和方法。计算机和计算机网络的发展和扩散允许企业有效地和自己的各部门以及其商业伙伴、顾客、供应商通信。然而,由这些计算机和计算机网络提供的灵活性和效率也带来增多的风险,包括来自公司外部的安全破坏、要害信息意外从内部逸出和不恰当地使用LAN、WAN、因特网或外联网。在管理计算机网络的发展以及解决各种安全问题中,网络管理员经常依赖网络策略管理服务,例如防火墙保护、网络地址转换、电子邮件过滤、DNS高速缓存、Web高速缓存、虚拟专用网(VPN)结构和安全以及URL阻塞,以便避免网络用户通过利用机构的ISP访问某些Web站点。然而每种策略管理服务一般需要单独部件,并需要对后者配置、管理和监视。此外,随着机构扩大并散布在多个地点,要保持的部件随之增多,从而增加配置、管理和监视这些部件的相关开销和工作量。该问题的解决办法并不是简单地在每个地点把多个网络策略管理功能集成到单个部件中并且让每个地点和其它地点共享它的策略信息。事实上,在采纳这样的方法中存在许多障碍和挑战。例如,用来有效地在整个机构的各远程专用网络上规定并分发策略管理信息的方法一般需要一个良好设计的对象模型。在更新策略管理信息下同步机构内的多个数据库也可能是一个复杂问题。另外,有效地为机构中的各远程部件而管理策略信息可能存在着挑战。此外,从大型分布式策略管理系统的各远程专用网络上收集日志和统计信息以进行有效分析和报告生成通常是一项困难的任务。常规地,仅记录并保存原始包信息,因为产生有意义的报告和统计通常需要在原始数据上脱机地运行耗时的专门生成的程序。在提供一个统一的策略管理系统中还存在其它挑战。为了提高好处,应尽可能多地在硬件中实现这些统一的策略管理功能。然而,在芯片上实现策略管理典型地需要有效的设计分解。另外,统一式策略管理系统应允许对延伸到不同远程地点的虚拟专用网络有效地进行配置、管理和更新。从而,在技术上仍需要一种克服现有技术的这些以及其它障碍的网络管理解决办法。本专利技术的目的是提供一种统一式策略管理系统,其中可从单个地点建立和实施各种策略,即确定网络运行的规则组和指令组。依据本专利技术的一实施例,该系统包括一个和具有第一组资源的第一网络相关的第一边缘部件,其配置成根据第一数据库中存储的策略设置来管理用于第一网络的各策略。该系统还包括一个和具有第二组资源的第二网络相关的第二边缘部件,其配置成根据第二数据库中存储的策略设置来管理用于第二网络的各策略。第一和第二边缘部件充当它们各自网络的策略实施器。所实施的策略可包括防火墙策略、VPN策略等。该系统还包括一个和第一、第二边缘部件通信的中央策略服务器。该策略服务器配置成定义第一和第二策略设置和从单个位置管理第一和第二边缘部件。从而,网络管理员在逐个配置和管理策略实施器时不必增加工作量和相关的开销。在各替代实施例中,该统一式策略管理系统包括下述特征中的一个或多个特征该中央策略服务器可包括一个用于存储各策略实施器的配置信息的中央数据库。该中央数据库以及和各策略实施器相关的数据库是根据面向分层对象结构组织的轻便目录访问协议(LDAP)数据库。该结构包括用于定义策略实施器的策略设置的资源对象和策略对象。这种结构由于允许以直观和可扩充的方式定义和组织该策略管理系统的不同单元而有助于简化策略管理。依据本专利技术的一实施例,资源对象包括部件、用户、主机、服务和时间。部件是在某具体专用局部网的边缘处的策略实施器。每个部件和一些用户及一个主机相关。主机是机构内的一个网络(例如,LAN子网)。各服务反映由策略服务器提供的各种服务(例如,HTTP、TELNET、FTP)。时间是控制对网络资源的访问中的另一个维。中央数据库存储用于所有策略实施器的配置信息,其中包括策略设置。当对该配置信息做出改变时,策略服务器建立这些改变的记录并存储在中央数据库中供以后传送到策略实施器之用。当策略实施器接收改变记录时,它们相应地更新各自的数据库并对策略服务器指明更新是否成功。若成功,则从中央数据库删除和这些策略实施器对应的改变记录。中央策略服务器还可包括一组用户应用模块,用于允许诸如网络管理员的用户定义用于策略实施器的策略设置,并且进而从该单个位置管理各策略实施器。策略设置最好和多个包含部件、用户、主机、服务和时间的资源对象关联。在本专利技术的一个方面中,该应用模块组包括一个集中式管理子模块,其用于允许借助该中央策略服务器安装和登记策略实施器。在本专利技术的另一个方面中,该应用模块组包括一个策略管理子模块,其用于从该单个位置管理和检查资源对象。在本专利技术的再一个方面中,该策略服务器包括一组用户应用模块以允许用户监视策略实施器的健康和状态。每个策略实施器按预定义的公用记录格式收集健康和状态信息并把它发送到该策略服务器。策略服务器可根据该信息建立各种报告。从而应理解本专利技术允许在传输中监视该机构中的资源,进而产生本专利技术优于现有技术的优点,现有技术通常只收集原始数据从而需要乏味的报告生成。还可分解策略实施器在实施各自网络的策略上的功能性,以便有效地进行硬件实现。依据本专利技术的一实施例,每个边缘部件最好包含多个模块,该模块包括分类引擎、策略引擎和包发送引擎。分类引擎确定和输入包相关的协议。策略引擎根据和包关联的策略设置为包做出发送决策。接着包发送模块根据该策略设置发送包。在一些替代实施例中,模块还包括一个用于认证用户发送包的安全引擎和/或一个用于收集流过策略实施器的包的统计信息的统计模块。该系统中的各个网络还可构成专用网络,并且和专用网络相关的每个策略实施器可配置成,建立一个带有通过该策略实施器可到达的成员网络的信息的表。然后该表和VPN中的其它成员策略实施器共享。这允许建立动态编辑其成员表的各个VPN。在本专利技术的一个特别方面中,根据和成员网络组相关的安全策略,管理第一和第二专用网络之间的通信。该安全策略最好是为一称为VPN云(Cloud)的安全策略组而确定的,以提供该组的层次结构。VPN云包括成员网络(主机)、准许访问各成员网络的用户组,以及一条控制对成员网络的访问的规则。从而由VPN云提供的分层结构允许网络管理员建立完整的格网VPN,其中某VPN云内的每个地点和每个其它地点具有完整的可连性。网络管理员不再需要人工配置VPN中每个可能的连接,而是只要建立一个VPN云和规定和该VPN相关的地点、用户和规则。然后根据为该VPN云规定的配置来配置每个连接。从而该分层结构有利于建立带有大量地点的VPN。在本专利技术的另一个方面中,VPN中的规则是对成员网络之间的通话提供访问控制的防火墙规则。这样的防火墙规则能使管理员对流过该VPN的通信具有粒度良好的访问控制,所有控制都在该VPN提供的加密访问的范围内。在本专利技术的再一个方面中,远程用户从远程位置利用远程用户终端访问各成员网络。该终端配置着用于从和其连接的边缘部件下载带有动态会员资格信息的表的软件。还自动地在不必重新配置终端的情况下,向远程用户终端发送对会员资格信息的更新。通过在第一类单元(主单元)之外保持第二类单元(备用单元)以防止单点故障,还可以以高使用性配置策略服务器、策略实施器和其它网络部件。在本专利技术的一个本文档来自技高网...

【技术保护点】
一种用于管理一机构内的策略服务的系统,该机构包括一个具有第一组资源的第一网络和一个远离第一网络的具有第二组资源的第二网络,该系统包括:和第一网络关联的第一边缘部件,第一边缘部件配置成根据存储在第一数据库中的第一策略设置,管理用于第一网络 和第一组资源的策略组;和第二网络关联的第二边缘部件,第二边缘部件配置成根据存储在第二数据库中的第二策略设置,管理用于第二网络和第二组资源的策略组;以及一个和第一、第二边缘部件通信的中央策略服务器,该中央策略服务器配置成定义第一和第二 策略设置和从单个位置管理第一和第二边缘部件。

【技术特征摘要】
...

【专利技术属性】
技术研发人员:马哈德万伊耶雷赫尔P卡尔尚克V伊耶雷詹德拉沙尤德亚库马沙纳干拉文亚阿普斯尼威廉亨特赫门特K珍潘卡马尔维亚苏拉布珍
申请(专利权)人:阿尔卡塔尔互联网运行公司
类型:发明
国别省市:US[美国]

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1