[发明专利]基于交换的网络安全

说明书

技术领域

本发明的实施例涉及网络安全。更具体地，本发明涉及网络端点安全。

背景技术

入侵(hacking)是通常用于描述由于任意数量的原因而侵犯计算机系统的用户行为的术语。侵入者入侵系统或系统网络(“系统”)的目的经常是对系统发起某种形式的攻击。这里使用的攻击者指任何入侵、侵犯或者侵入系统并且试图损害系统的完整性或性能的用户、主机系统或远程主机。对攻击者的检测可能是非常复杂和困难的。

端点设备通常是不安全的，并且攻击者对此是知道的。分散式攻击使得端点成为网络的进入点。最近引入的大量的蠕虫、特洛伊(Trojan)和间谍软件证实是这种攻击方法。网络和安全管理器(administrator)受MyDoom、Netsky、Sober、Sobig、Bagle、Phatbot、Witty、Blaster和无数其他病毒的变种所困扰。

对经由端点设备的网络攻击的修复是困难和昂贵的。多数网络采用某种形式的网络安全来帮助抵抗许多上面讨论的攻击。防病毒软件和个人防火墙在端点设备访问网络资源之前不足以有效保护端点设备。此外，目前的许多网络安全系统需要与网络一起“在线(in line)”以减轻威胁，因而结果可能是网络中的瓶颈或者故障点。

发明内容

本发明的实施例允许管理员创建访问策略，这些访问策略限定了在端点设备上允许哪些应用和服务并且指定了当端点设备不遵从时将采取的动作。当设备连接到网络时，来自端点设备的流量被重定向到安全设备并且对端点设备的遵从进行测试。基于该测试，端点设备被隔离或者访问策略被自动应用以证明设备是遵从的。一旦端点设备被证明是遵从的，来自该端点设备的流量就不再被重定向到安全设备。不遵从的端点设备可通过所安排的修复或者通过终端用户的自修补来自动修补(例如，通过与补丁管理系统相集成)。

访问策略包括用于评估操作系统完整性的一个或多个测试，验证关键修补程序和补丁已被安装，验证防病毒和其他安全应用是存在的且最新的，并且检测其他恶意软件的存在。访问策略还对诸如文件共享、点对点或间谍软件之类的潜在危险的应用的出现进行测试。管理员可以通过应用编程接口(API)来创建定制的测试。

附图说明

以下描述包括对本发明实施例的实现方式以举例方式给出说明的各附图的讨论。附图应当作为示例而非限制来理解。

图1示出在实体上与网络一起在线的安全设备。

图2示出根据一些实施例的网络的配置。

图3示出位于交换机上的访问控制列表(ACL)。

图4示出不同网络子网上的各种主机。

图5示出ACL表格的状态。

图6示出根据一些实施例的网络的配置。

图7示出具有安全管理器的网络。

图8示出根据一些实施例的模块。

图9示出根据一些实施例的处理。

具体实施方式

这里使用的安全设备包括任何在网络中实现、实施和/或供给端点安全的设备。图1示出在网络(例如因特网、局域网(LAN)、广域网(WAN)等)中使用的安全设备的一个示例。安全设备120位于网络110与连接到交换机130的端点140、150和160之间。当安全设备120的非受信侧的任何端点试图与交换机外部通信(例如，向网络110或者向另一端点发出流量)时，安全设备120将阻挡该流量并向端点作出如下指示：该端点需要被测试。

一旦端点已被测试，就可以创建如下防火墙规则：允许端点发送出站(outbound)流量和接收要发送到主机的入站(inbound)流量。然而，如图1配置的安全设备120是单个故障点。因此，本发明的实施例被配置为使得实现端点安全的安全设备是虚拟在线的，而非实体在线。换言之，流量在为了达到目的地时不必经过安全设备。

为了实现虚拟在线操作，访问控制列表(ACL)被添加到与各种端点设备相关联的VLAN或端口上。这种缺省ACL要求来自一个端点的所有流量被重定向到安全设备。安全设备然后向端点作出如下指示：该端点需要被测试。例如，安全设备可能掌控对任何web会话的控制并提供向端点用户作出如下指示的网页：该端点需要被测试。一旦端点已被成功测试(即，端点遵从安全策略)，安全设备就创建动态ACL，该动态ACL允许遵从的端点向网络发送出站流量。该动态ACL被添加到交换机上的表格中并且交换机随后实施该规则。