[发明专利]用于网络环境中主机发起的防火墙发现的系统和方法

说明书

技术领域

本说明书通常涉及网络安全的领域，且尤其涉及用于网络环境中主机发起的防火墙发现的系统和方法。

背景

在当今社会，网络安全的领域变得日益重要。因特网已经允许全世界的不同计算机网络的互连。然而，因特网也已经提供了恶意操作者利用这些网络的机会。某些类型的恶意软件可以被配置为一旦该软件已经感染主机计算机就接收来自远程操作者的命令。可以指示该软件执行任何数量的恶意动作，例如从主机计算机发送垃圾邮件或恶意电子邮件、从与主机计算机相关联的企业或个体窃取敏感信息、传播到其他主机计算机和／或帮助进行分布式服务攻击拒绝。另外，恶意操作者可以把访问权出售或以另外方式提供给其他恶意操作者，由此逐步增加对主机计算机的使用。因而，有效地保护和维护稳定的计算机和系统的能力继续给组件生产商、系统设计者和网络操作者提出了显著挑战。

附图简述

为了提供对本公开内容及其特征和优点的更完整的理解，结合附图对下列描述进行引用，其中，类似的标号表示类似的部分，附图中：

图1是阐释其中根据本说明书可以由主机发现防火墙的网络环境的示例实施例的简化框图；

图2是阐释可以与该网络环境的潜在实施例相关联的附加细节的简化框图；

图3是阐释可以与该网络环境的一些实施例相关联的防火墙缓存中的示例条目的简化表；

图4是阐释可以与以ICMP分组传输防火墙发现消息的网络环境的示例实施例相关联的潜在操作的简化交互图；

图5是阐释可以与以ICMP分组传输防火墙发现消息的网络环境的其他示例实施例相关联的潜在操作的简化交互图；

图6是阐释可以与以UDP分组传输防火墙发现消息的网络环境的示例实施例相关联的潜在操作的简化交互图；

图7是阐释可以与以UDP分组传输防火墙发现消息的网络环境的其他示例实施例相关联的潜在操作的简化交互图；以及

图8是可以与该网络环境中的示例实施例的交换元数据相关联的示例分组数据单元格式。

示例实施例的详细描述

概览

在一个示例实施例中提供了一种方法，该方法包括截取去往具有网络地址的目的地节点的网络流并基于与防火墙缓存中的网络地址相关联的发现动作发送发现查询。可以接收发现结果，该发现结果可以标识负责管理到目的地节点的路由的防火墙，且在释放该网络流之前可以把与该流相关联的元数据发送给防火墙。

在其他实施例中，可以接收来自源节点的发现查询，并把发现结果发送给源节点，其中发现结果标识用于管理到目的地节点的路由的防火墙。可以在元数据通道上接收来自源节点的元数据。可以截取从源节点到目的地节点的网络流，且可以把元数据与网络流相关联起来以便把网络策略应用到网络流。

示例实施例

转到图1，图1是其中可以通过主机重定向发现防火墙的网络环境10的简化框图的示例实施例。在图1中所阐释的实施例中，网络环境10可以包括因特网15、用户主机20a和用户主机20b、防火墙25、策略服务器30、邮件服务器35和web服务器40。一般地，用户主机20a-20b可以是网络连接中的任何类型的终端节点，包括但不限于台式计算机、服务器、膝上型计算机、移动电话、或可以接收或建立与另一节点的连接的任何其他类型的设备，例如邮件服务器35或web服务器40。例如通过阻断未经授权的访问，同时准许经授权的通信，防火墙25可以控制在用户主机20a-20b和附加到因特网15的其他节点之间的通信。在一些实例中，防火墙25可以被耦合到入侵防御系统、网络访问控制设备、web网关、电子邮件网关或在因特网15和用户主机20a-20b之间的任何其他类型的网关，或者与它们相集成。此外，在图1的网络拓扑中，靠近用户主机20a-20b的防火墙25的位置是任意的。策略服务器30可以被耦合到防火墙25，或者与之相集成，且可以被用来管理用户主机20a-20b，并且管理和分发网络策略。因而，在这一示例中实施例，如果防火墙25中所实现的且得到策略服务器30管理的策略准许的话，通过建立穿过防火墙25的连接，用户主机20a-20b可以与诸如邮件服务器35或web服务器40等的附加到因特网15或另一网络的服务器通信。