專利名稱:將保護代理自動部署到連接至分布式計算機網(wǎng)絡的設備的制作方法
技術領域:
本發(fā)明一般地涉及計算機網(wǎng)絡安全�。具體而言�,本發(fā)明涉及將 保護代理部署到連接至分布式計算機網(wǎng)絡的工作站�����、客戶端���、服務 器和其它設備�。
背景技術:
專用計算機網(wǎng)絡通?��;ミB到其它網(wǎng)絡如因特網(wǎng)并且因此容易 遭到入侵。出于這一原因,很多專用網(wǎng)絡通過某類入侵防御系統(tǒng)來 保護����。入侵防御系統(tǒng) 一 般可以描述為用于施加訪問控制以保護計算 機和其它網(wǎng)絡資源免受利用的硬件和/或軟件。有若干不同類型的入 侵防雄卩系統(tǒng)��,包括網(wǎng)絡入侵防御系統(tǒng)("網(wǎng)絡IPS")和基于主機的 (host-based)入侵防御系統(tǒng)("基于主機的IPS")���。網(wǎng)絡IPS通常是設計為分析����、檢測和報告與安全有關的事件的 硬件和軟件平臺�����。網(wǎng)絡IPS檢查業(yè)務��,并且基于它們的配置和安全 策略��,可以丟棄惡意業(yè)務��。網(wǎng)絡IPS被設計為符合網(wǎng)絡業(yè)務流并且 實時防御攻擊。此外�����,多數(shù)網(wǎng)絡IPS具有對某些通信協(xié)議如HTTP�����、 FTP和SMTP進行解碼的能力,這提供了更強的認知能力�。 一些網(wǎng) 絡IPS如佐治亞州亞特蘭大市Internet Security Systems ^>司的Proventia Network Multi-Function Security (網(wǎng)絡多功能安全)(也 稱為"Proventia M")執(zhí)行多個網(wǎng)絡安全功能�,包括防火墻、VPN�����、 抗病毒���、Web過濾和反垃;及郵件4呆護���?;谥鳈C的IPS在如客戶端���、工作站�����、服務器或者其它設備之 類的主機上運行����,其中已經對分組進行解密并且可以有粒度地(granularly)和準確地監(jiān)一見文件訪問和注冊表訪問���。作為一個例子, ISS的Proventia Desktop Endpoint Security (桌面端點安全)是如下 基于主機的IPS�����,該IPS被設計為在保持操作運行和加強系統(tǒng)順應性(system compliance )的同時優(yōu)先地保護桌面工作站免于遭受病毒����、 蠕蟲和異常活動�。作為另 一例子��,ISS的Proventia Server Intrusion Prevention System (服務器入侵防御系統(tǒng))是設計為前攝地停止如下 威脅的基于主機的IPS,這些威脅可能危及駐留于網(wǎng)絡服務器上的寶 貴和關鍵的應用及固定設備�。基于主機的IPS有時稱為"桌面代理" 或者"保護代理�����,����,����,因為它們可以部署到各種網(wǎng)絡設備并且從中央管 理控制臺來控制����。在一些情況下��,網(wǎng)絡IPS對于部署到同一網(wǎng)絡內 的設備上的代理而言也可以作為管理控制臺來工作���。連接至專用網(wǎng)絡的設備可以在網(wǎng)絡內部(即在網(wǎng)絡防火墻后 面)或者在網(wǎng)絡外部(即在網(wǎng)絡防火墻以外但是通過虛擬專用網(wǎng)絡 會話等與內部網(wǎng)絡資源通信)�。在最優(yōu)情景中���,保護代理將部署到 連接至專用網(wǎng)絡的各設備�。以這一方式,將單獨地保護連接至專用 網(wǎng)絡的各設備免于遭受未授權網(wǎng)絡通信�,比如入侵和病毒感染。然 而��,由于對服務器�、工作站���、客戶端以及其它設備和資源進行添加、 更換��、重新定位和重新設定用途,所以分布式計算機網(wǎng)絡的配置可 能隨時間快速地改變。因此�����,保證保護代理部署到所有有關網(wǎng)絡設 備對于網(wǎng)絡管理員而言可能既繁瑣又耗時�。因而,在本領域中需要一種用于將保護代理部署到連接至分布式計算機網(wǎng)絡的設備的高效 且自動的方法。發(fā)明內容本發(fā)明通過提供用于將保護代理自動部署到連接至分布式網(wǎng) 絡的設備來滿足上述需要。 一般而言���,本發(fā)明涉及到監(jiān)視網(wǎng)絡業(yè)務 和檢測所嘗試的網(wǎng)絡間通信�。所嘗試的網(wǎng)絡間通信可以包括分布式 網(wǎng)絡內部的設備對與分布式網(wǎng)絡外部的資源通信的嘗試以及分布式 網(wǎng)絡外部的設備對建立與分布式網(wǎng)絡內部的資源的虛擬專用網(wǎng)絡會話的嘗試����?�?梢酝ㄟ^識別采用HTTP或者HTTPS協(xié)議的網(wǎng)絡業(yè)務或 者在端口 80和端口 433中一個或者多個端口上的網(wǎng)絡業(yè)務來檢測分 布式網(wǎng)絡內部的設備對與分布式網(wǎng)絡外部的資源通信的嘗試��。響應于檢測到所嘗試的網(wǎng)絡間通信,識別負責發(fā)起這樣的通信 的設備����。然后,確定所識別的設備是否在運行有效保護代理����。如果 是這樣����,則允許所嘗試的網(wǎng)絡間通信����。如果不是�����,則阻止所嘗試的 網(wǎng)絡間通信并且提示所識別的設備從指定存儲位置下載和安裝保護 代理或者激活先前安裝的保護設備��?�?梢允占痛鎯υ谶B接至分布式網(wǎng)絡的設備上運行的保護代理所生成的注冊信息����。確定所識別的設備是否在運行有效保護代理可以涉及到確定所存儲的注冊信息都不對應于所識別的設備���。確定所識別的設備沒有運行有效保護代理也可以涉及到確定在指定時間間隔內存儲的注冊信息都不對應于所識別的設備�。提示所識別的設 備下載和安裝保護代理可以涉及到提供在被激活時將啟動從指定存儲位置下載保護代理的超鏈接���,該指定存儲位置可以是入侵防御系 統(tǒng)、網(wǎng)絡服務器等�。在考慮對當前認識到的例示用于實施本發(fā)明的最佳實施方式 的所示實施例的以下具體描述時,本發(fā)明的這些和其它方面�����、特征 以及實施例對于本領域技術人員而言將變得明顯�。
圖1是圖示了用于實施本發(fā)明某些示例實施例的適當計算機網(wǎng) 絡環(huán)境100的框圖����。署到連接至分布式計算機網(wǎng)絡的設備的示例方法的處理流程圖����。
具體實施方式
本發(fā)明提供了用于將保護代理部署到連接至分布式計算機網(wǎng) 絡的設備的系統(tǒng)和方法���。對本發(fā)明示例實施例的以下描述將參照附 圖���,在附圖中相似的標號在數(shù)幅圖中通篇地指代相似的單元。圖1是圖示了用于實施本發(fā)明示例實施例的適當計算機網(wǎng)絡環(huán)境100的 框圖。示例計算機網(wǎng)絡環(huán)境100包括至少兩個分布式網(wǎng)絡���,包括專 用網(wǎng)絡105和公共網(wǎng)絡110。專用網(wǎng)絡105可以是局域網(wǎng)("LAN")�����、 廣域網(wǎng)("WAN")����、其組合或者任何其它內網(wǎng)配置�����。公共網(wǎng)絡110 可以是因特網(wǎng)或者任何其它可公共訪問的計算機網(wǎng)絡�����。專用網(wǎng)絡105可以包括一個或者多個端點設備���,比如服務器 120、客戶端125和其它計算機或者電子設備�����。這樣的設備可以通過 網(wǎng)絡接口卡����、調制解調器或者用于建立和接收網(wǎng)絡通信的其它適當 裝置連接至專用網(wǎng)絡105����?��?蛻舳?25可以是桌上型計算機125a����、 膝上型計算機125b、手持計算機125c等���。遠程客戶端125d和其它 設備(例如移動電話)可以經由虛擬專用網(wǎng)絡("VPN") 165或者其 它適當安全通信協(xié)議與專用網(wǎng)絡105通信�����。正如在本領域中公知的����, 可以使用各種安全措施中的一種或者多種措施來建立VPN 165以提 供經由公共網(wǎng)絡110對專用網(wǎng)絡105的安全訪問。也正如在本領域中公知的�,能夠連接至網(wǎng)絡的設備(例如客戶 端125��、服務器120等) 一般包括用于執(zhí)行計算機可執(zhí)行指令的處理 器、用于存儲程序模塊和數(shù)據(jù)的系統(tǒng)存儲器(即適當存儲介質)以 及將系統(tǒng)存儲器耦合至處理單元的系統(tǒng)總線���。系統(tǒng)存儲器典型地包 括只讀存儲器("ROM")和/或隨機存取存儲器("RAM")��。網(wǎng)絡設 備也可以包括硬盤驅動器、磁盤驅動器(即用于從磁盤進行讀取以 及向磁盤進行寫入)和/或光盤驅動器(即用于從光學介質如CD或 者DVD進行讀取或者向該光學介質進行寫入)����,這些驅動器各自可 以經由適當接口連接至系統(tǒng)總線。這樣的驅動器以及它們的關聯(lián)計算機可讀介質為計算機系統(tǒng)提供非易失性存儲設備。本領域技術人 員將認識到計算機系統(tǒng)可讀的其它類型的介質包括磁帶���、閃存卡����、ZIP驅動器、Bernoulli盒等。多個程序模塊可以存儲于非易失性存儲設備(例如硬盤)�����、系 統(tǒng)存儲器(例如RAM)和/或網(wǎng)絡設備的其它計算機可讀介質中�����。安 裝在網(wǎng)絡設備上并且由網(wǎng)絡設備執(zhí)行的典型程序模塊包括基本輸入/ 輸出系統(tǒng)("BIOS") ����、 ^操作系統(tǒng)和一個或者多個應用程序。如這里 使用的���,術語"程序模塊"也旨在于涵蓋應用程序的組件��,比如可執(zhí) 行文件�����、DLL等以及任何其它使處理器執(zhí)行所需功能的計算機可執(zhí) 行指令���。可以通過包括用于執(zhí)行這里所述各種方法的計算機可執(zhí)行 指令的一個或者多個入侵防御系統(tǒng)程序模塊和/或保護代理程序模塊 來實施本發(fā)明的某些實施例��。典型專用網(wǎng)絡105由在通向公共網(wǎng)絡110或者其它外部網(wǎng)絡的 網(wǎng)關連接處的防火墻115防護�����。正如在本領域中公知的���,防火墻115 是用于防止安全策略所禁止的通信的硬件和/或軟件。很多專用網(wǎng)絡 105也受到某類入侵防御系統(tǒng)165保護��。類似于防火墻115,入侵防 御系統(tǒng)165是用于施加訪問控制以保護計算機免受利用的硬件和/或 軟件���。然而,盡管防火墻115典型地基于IP地址或者端口來做出訪 問控制判決�,但是入侵防御系統(tǒng)165基于應用內容來做出訪問控制 判決�����。在一些情況下����,IPS功能和防火墻功能可以組合到單個設備或 者一組設備中。因而���,如這里所用的���,術語"入侵防御系統(tǒng)"(或者 "IPS")的意思是廣義地指代任何執(zhí)行或者管理網(wǎng)絡IPS功能和/或防 火墻功能的硬件和/或軟件平臺,包括任何關聯(lián)管理控制臺����。正如在 本領域中公知的�,網(wǎng)絡IPS功能包括對網(wǎng)絡業(yè)務流的檢查和分析, 以及基于安全策略來檢測和丟棄惡意業(yè)務的能力���。如圖1中所示���,IPS 165可以置于防火墻115以外(即在公共網(wǎng)絡110與防火墻115之間) 和/或置于防火墻U5后面����。根據(jù)本發(fā)明,IPS 165也被配置為管理將 保護代理170部署到連接至示例專用網(wǎng)絡105的客戶端125����、服務器120和其它i殳備。IPS 165可以^皮配置為監(jiān)^見和分析由分布式計算才幾網(wǎng)絡如示例 專用網(wǎng)絡105承載的網(wǎng)絡業(yè)務(有時稱為"消息業(yè)務")以檢測與其 有關的正在執(zhí)行或者請求的網(wǎng)絡間訪問活動。例如,IPS165可以被 配置為監(jiān)視采用HTTP或者HTTPS協(xié)議的網(wǎng)絡業(yè)務,以由此^f僉測專 用網(wǎng)絡105內部的客戶端125a-c或者服務器120對訪問專用網(wǎng)絡105 外部的公共網(wǎng)絡IIO或者其它資源的嘗試���。除此之外或者取而代之�����, IPS 165還可以纟皮配置為通過監(jiān)一見在端口 80和443上的由專用網(wǎng)絡 105內部的設備生成的網(wǎng)絡業(yè)務來4企測對訪問7>共網(wǎng)絡110或者其 它外部資源的嘗試�。IPS 165也可以訪問標識連接至專用網(wǎng)絡105的 各客戶端125a-c��、服務器120或者其它設備的網(wǎng)絡配置信息�。因而���, IPS 165能夠識別連接至專用網(wǎng)絡105的嘗試訪問公共網(wǎng)絡IIO或者 任何其它外部網(wǎng)絡資源的任何特定設備�����。此外,根據(jù)本發(fā)明的IPS 165 可以被配置為丟棄去往和來自連接至專用網(wǎng)絡105的沒有運行有效 保護代理170的設備的所有網(wǎng)絡間業(yè)務�����。在某些實施例中�����,使用"PULL"(拉取)模型將保護代理170 部署到網(wǎng)絡設備����,其中該模型依賴于這些網(wǎng)絡設備以從IPS 165或者 另一指定服務器下載保護代理170以便安裝到網(wǎng)絡設備上�����。作為例 子���,基于網(wǎng)絡配置信息,IPS 165可以通過提示安裝和/或激活保護代 理170a來對客戶端125a所嘗試的Web瀏覽活動做出響應���。如果保 護代理170a尚未安裝在客戶端125a上��,則用戶可以通過啟動對保 護代理170a的下載以便安裝在客戶端125a上并且由該客戶端執(zhí)行 來對提示做出響應�����。在某些實施例中��,IPS 165發(fā)出的提示可以包括 超鏈接�����,其中可以激活該超鏈接以啟動對保護代理170a的下載�����。使用超鏈接以便于下載程序模塊在本領域中是公知的,因此這 里沒有討論具體實施細節(jié)��。本領域技術人員將認識到有很多其它的 用于有助于下載的方法和編程:忮術����,其中任何方法和編程4支術都可 以為本發(fā)明所用。在某些可選實施例中�����,也可以使用"PUSH"(推送) 模型將保護代理170部署到網(wǎng)絡設備。在"PUSH"才莫型中����,IPS 165或者另一指定服務器被配置為遞送(或者引起遞送)保護代理170 到并沒有請求這樣的遞送的設備�����。保護代理170可以被配置為一旦在客戶端125上安裝和激活就 聯(lián)系IPS 165 (或者另一注冊設備)以完成注冊操作。在某些實施例 中����,注冊操作可以向IPS 165提供如下信息,該信息將注冊保護代理 170與它所安裝于其上的設備的標識相鏈接��。換而言之���,注冊信息包 括保護代理170的標識以及對應網(wǎng)絡設備的標識。注冊信息可以存 儲于數(shù)據(jù)庫中或者從功能上說耦合到IPS 165或者可由IPS 165訪問 的另一適當存儲介質中�。保護代理170還可以被配置為持續(xù)地將注冊信息傳送到IPS 165 (或者另一指定注冊設備)��,只要它們正在活躍地運行��。例如�, 保護代理170可以在連續(xù)地以離散的間隔使用"心跳"或者"輪詢"信 號將注冊信息轉發(fā)到IPS 165 (或者另一注冊設備)?���?蛇x地,保護 代理170可以以無規(guī)律���、隨機或者偽隨機的間隔將注冊信息轉發(fā)到 IPS 165 (或者另一注冊設備)��。作為另一例子,IPS165(或者其它 注冊設備)可以被配置為查詢一個或者多個網(wǎng)絡設備以便從安裝于 其上的任何保護代理170請求注冊信息�。當網(wǎng)絡設備嘗試訪問因特網(wǎng)IIO或者專用網(wǎng)絡105外部的任何 其它資源時���,監(jiān)視網(wǎng)絡業(yè)務和其它操作并充當代理管理器的IPS 165 確定該設備是否在運行有效保護代理170�?;诳梢园凑站W(wǎng)絡設備的 網(wǎng)絡地址、M A C地址或者任何其它適當唯 一 標識符來確定的網(wǎng)絡設 備的標識����,IPS 165查詢所存儲的注冊信息以確定先前是否已經與該 設備相關聯(lián)地注冊了保護代理170。在某些實施例中�����,如果網(wǎng)絡設備 在運行在預配置或者可配置的時間間隔內尚未注冊的保護代理17 0, 則認為該網(wǎng)絡設備沒有運行有效保護代理170����。如果IPS 165確定網(wǎng)絡i殳備在運行有效保護代理170,則IPS 165 將允許該設備與專用網(wǎng)絡105外部的資源通信�。另一方面����,如果確 定網(wǎng)絡^殳備沒有運行有效保護代理170����,則IPS 165將采取動作以阻 止去往和來自該設備的一些或者所有(視應用于IPS 165的安全策略而定)網(wǎng)絡間通信。例如�����,在一些情況下���,可能希望阻止去往和來自非順應( non-compliant) "i殳備的戶斤有網(wǎng)纟各間通^fl"�。 在其它十青^L下, 可以允許在非順應設備與某些可信外部資源之間的網(wǎng)絡間通信��。在網(wǎng)絡設備處的用戶接口顯示器可以用來向用戶建議IPS 165 所采取的任何訪問阻止動作���。例如,IPS 165可以纟皮配置為響應于枱r 測到沒有運行有效保護代理的網(wǎng)絡設備嘗試網(wǎng)絡間通信來向該網(wǎng)絡 設備發(fā)送形式為網(wǎng)頁或者其它適當消息的提示���。該提示可以向用戶 建議在允許與專用網(wǎng)絡105外部的一些或者所有資源通信之前必須 激活先前安裝的保護代理170或者必須安裝(例如通過激活超鏈接 以啟動下載)和激活保護代理170�����。正如本領域中已知的�����,IPS 165也可以包括如下功能,該功能 檢測外部客戶端125d和其它外部設備對借助VPN會話來訪問專用 網(wǎng)絡105的資源的嘗試����。在本發(fā)明的某些實施例中�,IPS165可以被 配置為識別任何嘗試建立VPN會話的外部設備并且如果必要則將保 護代理170部署到該設備�����。例如,充當代理管理器的IPS 165可以查 詢所存儲的注冊信息以確定嘗試建立VPN會話的外部客戶端125d 是否與先前注冊的保護代理170d相關聯(lián),并且如果是這樣�����,則確定 是否在指定時間間隔過程中注冊了該保護代理170d。如果確定外部 客戶端125d在運行有效的(例如已及時注冊的)保護代理170d,則 IPS 165允許VPN會話繼續(xù)。另一方面����,如果認為外部客戶端125d 沒有運行有效保護代理170d,則IPS 165采取動作以阻止VPN會話 (或者根據(jù)適用的安全策略而將它限于某些活動)并且可以提示外 部客戶端125d的用戶安裝(例如通過選擇用以啟動下載的超鏈接) 和/或激活保護代理170d���。圖2是圖示了用于將保護代理170部署到連接至分布式計算機 網(wǎng)絡的設備的示例方法200的處理流程圖�����。該示例方法始于開始方 框201并且繼續(xù)到步驟202,其中監(jiān)視去往和來自分布式網(wǎng)絡的通 信�����。接著在步驟204檢測所嘗試的網(wǎng)絡間通信����。所嘗試的網(wǎng)絡間通 信可以是分布式網(wǎng)絡內部的設備對與外部資源通信的嘗試���。作為另一例子�,所嘗試的網(wǎng)絡間通信可以是分布式網(wǎng)絡外部的設備對建立 與內部網(wǎng)絡資源的VPN會話的嘗試�。響應于檢測到所嘗試的網(wǎng)絡間通信���,在步驟206中識別嘗試發(fā)起這樣的通信的設備。如前所述���, 該設備可以在分布式網(wǎng)絡內部或者外部���。在識別嘗試發(fā)起網(wǎng)絡間通信的設備之后,在步驟208確定所識 別的設備是否與注冊保護代理170相關聯(lián)�����。例如,在連接至分布式 網(wǎng)絡的設備上運行的保護代理170可以被配置為在定期地生成和提 供注冊信息給IPS 165 (或者其它指定注冊設備)�����。IPS 165 (或者其 它注冊設備)可以在數(shù)據(jù)庫或者其它適當存儲介質中存儲這樣的注 冊信息并且可以在以后查詢該注冊信息以確定注冊保護代理170是 否與識別的設備相關聯(lián)�。如果所識別的設備與注冊保護代理170相 關聯(lián)����,則可以在步驟210進一步確定是否在指定時間間隔內注冊了 該保護代理���。在某些實施例中��,該時間間隔可以由網(wǎng)絡管理員指定�。 這樣的可選的進一步確定可以用來保證注冊保護代理170保持在設 備上活躍地運行�����。如果在步驟210確定已經在指定時間間隔內注冊 了該保護代理��,則示例方法200進展到步驟212,其中允許所嘗試的 網(wǎng)纟備間通4言。如果在步驟208確定所識別的設備不與注冊保護代理170相關 聯(lián)�,或者如果在步驟210確定沒有在指定時間間隔內注冊該保護代 理�����,則示例方法200轉移到步驟214,其中阻止所嘗試的網(wǎng)絡間通信��。 在阻止所嘗試的網(wǎng)絡間通信之后��,在步驟216提示所識別的設備安 裝和/或激活保護代理。示例方法200從步驟216或者步驟212返回 到步驟202并且從步驟202重復��,其中監(jiān)視去往和來自分布式網(wǎng)絡 的通信。基于前文��,可見本發(fā)明提供用于將保護代理部署到連接至分布 式網(wǎng)絡的設備的系統(tǒng)和方法�����。本領域技術人員將認識到本發(fā)明的方 法可以實施為存儲于計算機可讀介質上的計算機可執(zhí)行指令并且可 以使用這里具體描述的編程技術和/或功能以外的編程技術和/或功 能來實施���。本發(fā)明的很多其它修改���、特征和實施例對于本領域技術人員而言將變得不言而喻����。另外�����,選擇這里使用的某些詞語如術語 "網(wǎng)絡設備"、"網(wǎng)絡間通信"等是為了易于引用,并且這些詞語是通過 一般性的說明而不是以限制的方式來使用的�。因此�,也應當認識到本發(fā)明的很多方面在上文中僅通過例子來 描述,并且除非另有指明��,否則這些方面并非旨在于作為本發(fā)明的 必需或者基本元素。因而�����,應當理解前文僅涉及本發(fā)明的某些示例 實施例,并且在不脫離如所附權利要求限定的本發(fā)明的精神和范圍 的情況下��,可以對本發(fā)明做出很多變化。還應當理解�,本發(fā)明不限改�����。
權利要求
1.一種用于將保護代理自動部署到連接至分布式網(wǎng)絡的設備的方法��,包括監(jiān)視去往���、來自所述分布式網(wǎng)絡和在所述分布式網(wǎng)絡內的通信;檢測所述分布式網(wǎng)絡內部的設備對與所述分布式網(wǎng)絡外部的設備通信的嘗試�����;確定所述分布式網(wǎng)絡內部的所述設備沒有運行有效保護代理����;以及響應于所述確定�,阻止所嘗試的通信并且提示所述分布式網(wǎng)絡內部的所述設備從指定存儲位置下載和安裝保護代理��。
2. —種計算機可讀介質,具有存儲于其中的用于執(zhí)行根據(jù)權利 要求1所述的方法的計算機可執(zhí)行指令�����。
3. 根據(jù)權利要求1所述的方法,其中檢測對與所述分布式網(wǎng)絡 外部的所述設備通信的嘗試包括檢測由所述分布式網(wǎng)絡內部的所述 設備生成的采用HTTP或者HTTPS協(xié)議的消息業(yè)務。
4. 根據(jù)權利要求1所述的方法���,其中檢測對與所述分布式網(wǎng)絡 外部的所述設備通信的嘗試包括沖企測在端口 80和端口 443中一個或 者多個端口上的由所述分布式網(wǎng)絡內部的所述設備生成的消息業(yè)務����。
5. 根據(jù)權利要求1所述的方法,還包括以下步驟定期地接收 和存儲由在連接至所述分布式網(wǎng)絡的設備上運行的保護代理所生成 的注冊信息����;以及理包括確定所述注冊信息都不對應于所述分布式網(wǎng)絡內部的所述設備����。
6. —種計算機可讀介質,具有存儲于其中的用于執(zhí)行根據(jù)權利 要求5所述的方法的計算機可執(zhí)行指令����。
7. 根據(jù)權利要求4所述的方法��,其中確定所述分布式網(wǎng)絡內部的所述設備沒有運行有效保護代理包括確定在指定時間間隔內存儲 的所述注冊信息都不對應于所述分布式網(wǎng)絡內部的所述設備��。
8. —種計算機可讀介質�����,具有存儲于其中的用于執(zhí)行根據(jù)權利 要求7所述的方法的計算機可執(zhí)行指令。
9. 根據(jù)權利要求1所述的方法����,其中提示所述分布式網(wǎng)絡內部 的所述設備下載和安裝所述保護代理包括提供在被激活時將啟動從 所述指定存儲位置下載所述保護代理的超鏈接��。
10. 根據(jù)權利要求1所述的方法�,其中所述分布式網(wǎng)絡內部的 所述設備選自于客戶端和服務器����。
11. 根據(jù)權利要求1所述的方法���,其中阻止所嘗試的通信包括 阻止在所述分布式網(wǎng)絡內部的所述設備與所述分布式網(wǎng)絡外部的所 述設備之間的網(wǎng)絡業(yè)務,同時允許在所述分布式網(wǎng)絡內部的所述設 備與所述分布式網(wǎng)絡外部的至少 一 個其它設備之間的網(wǎng)絡業(yè)務�����。
12. —種用于將保護代理自動部署到連接至分布式網(wǎng)絡的設備 的方法,包^":監(jiān)視去往��、來自所述分布式網(wǎng)絡和在所述分布式網(wǎng)絡內的通信; 檢測所述分布式網(wǎng)絡外部的設備對建立與所述分布式網(wǎng)絡內部 的設備的虛擬專用網(wǎng)絡會話的嘗試;確定所述分布式網(wǎng)絡外部的所述設備沒有運行有效保護代理��;以及響應于所述確定,阻止所嘗試的虛擬專用網(wǎng)絡會話并且提示所 述分布式網(wǎng)絡外部的所述設備從指定存儲位置下載和安裝保護代理。
13. —種計算機可讀介質����,具有存儲于其中的用于執(zhí)行根據(jù)權 利要求12所述的方法的計算機可執(zhí)行指令����。
14. 根據(jù)權利要求12所述的方法,還包括以下步驟定期地接 收和存儲由在連接至所述分布式網(wǎng)絡的設備上運行的保護代理所生 成的注冊信息���;以及其中確定所述分布式網(wǎng)絡外部的所述設備沒有運行有效保護代理包括確定所述注冊信息都不對應于所述分布式網(wǎng)絡外部的所述設 備���。
15. —種計算機可讀介質,具有存儲于其中的用于執(zhí)行根據(jù)權 利要求14所述的方法的計算機可執(zhí)行指令�。
16. 根據(jù)權利要求15所述的方法,其中確定所述分布式網(wǎng)絡外 部的所述設備沒有運行有效保護代理包括確定在指定時間間隔內存 儲的所述注冊信息都不對應于所述分布式網(wǎng)絡外部的所述設備�����。
17. —種計算機可讀介質��,具有存儲于其中的用于執(zhí)行根據(jù)權 利要求16所述的方法的計算機可執(zhí)行指令�。
18. 根據(jù)權利要求12所述的方法,其中提示所述分布式網(wǎng)絡外 部的所述設備下載和安裝所述保護代理包括提供在被激活時將啟動 從所述指定存儲位置下載所述保護代理的超鏈接����。
19. 根據(jù)權利要求12所述的方法���,其中阻止所嘗試的虛擬專用 網(wǎng)絡會話包括針對至少第 一 活動而阻止所嘗試的虛擬專用網(wǎng)絡會 話�,同時針對至少第二活動而允許所嘗試的虛擬專用網(wǎng)絡會話��。
20. —種用于將保護代理自動部署到連接至分布式網(wǎng)絡的設備 的系統(tǒng)�����,包括網(wǎng)絡業(yè)務監(jiān)視器,用于監(jiān)視網(wǎng)絡業(yè)務以及用于檢測從所述分布 式網(wǎng)絡內部的設備對與所述分布式網(wǎng)絡外部的資源通信的嘗試以及 所述分布式網(wǎng)絡外部的設備對建立與所述分布式網(wǎng)絡內部的資源的 虛擬專用網(wǎng)絡會話的嘗試中選擇的所嘗試的網(wǎng)絡間通信;以及處理器,執(zhí)行計算機可讀指令��,用于識別負責發(fā)起所嘗試的網(wǎng)絡間通信的設備�;確定所識別的設備沒有運行有效保護代理;以及響應于所述確定��,按照安全策略來阻止所嘗試的網(wǎng)絡間通 信,并且提示所識別的設備從指定存儲位置下載和安裝保護代理����。
21. 根據(jù)權利要求20所述的系統(tǒng),其中檢測所述分布式網(wǎng)絡內 部的設備對與所述分布式網(wǎng)絡外部的資源通信的嘗試包括檢測由所述分布式網(wǎng)絡內部的所述設備生成的采用HTTP或者HTTPS協(xié)議的網(wǎng)絡業(yè)務���。
22. 根據(jù)權利要求20所述的系統(tǒng),其中檢測所述分布式網(wǎng)絡內 部的設備對與所述分布式網(wǎng)絡外部的資源通信的嘗試包括檢測在端 口 80和端口 443中一個或者多個端口上的由所述分布式網(wǎng)絡內部的 所述設備生成的網(wǎng)絡業(yè)務���。
23. 根據(jù)權利要求20所述的系統(tǒng),還包括通信設備����,用于接收由在連接至所述分布式網(wǎng)絡的設備上運行 的保護代理所生成的注冊信息�����;存儲介質,用于存儲所述注冊信息���;以及其中確定所識別的設備沒有運行有效保護代理包括在所述存儲 介質中存儲的所述注冊信息都不對應于所識別的設備�����。
24. 根據(jù)權利要求23所述的系統(tǒng),其中確定所識別的設備沒有 運行有效保護代理包括確定在指定時間間隔內存儲于所述存儲介質 中的所述注冊信息都不對應于所識別的設備�。
25. 根據(jù)權利要求20所述的系統(tǒng),其中提示所識別的設備下載置下載所述保護代理的超鏈接�����。
26. 根據(jù)權利要求20所述的系統(tǒng),其中所述指定存儲位置包括 所述存儲介質�。
27. 根據(jù)權利要求20所述的系統(tǒng),其中所述指定存儲位置包括 網(wǎng)絡服務器���。
全文摘要
監(jiān)視網(wǎng)絡業(yè)務以檢測所嘗試的網(wǎng)絡間通信,包括網(wǎng)絡內部的設備對與網(wǎng)絡外部的資源通信的嘗試以及網(wǎng)絡外部的設備對建立與網(wǎng)絡內部的資源的VPN會話的嘗試。在檢測到所嘗試的網(wǎng)絡間通信時�����,識別負責發(fā)起這樣的通信的設備���。然后�,確定所識別的設備是否在運行有效保護代理。如果是這樣,則允許所嘗試的網(wǎng)絡間通信。如果不是�,則按照網(wǎng)絡安全策略來阻止所嘗試的網(wǎng)絡間通信,并且提示所識別的設備從指定存儲位置下載和安裝保護代理或者激活先前安裝的保護設備。該提示可以包括用于啟動對保護代理的下載的超鏈接。
文檔編號G06F11/00GK101258470SQ200680032656
公開日2008年9月3日 申請日期2006年9月7日 優(yōu)先權日2005年9月7日
發(fā)明者M·沃德 申請人:國際商業(yè)機器公司