專利名稱:智能集成網絡安全設備的制作方法
技術領域:
本發明涉及用于控制計算機網絡安全的方法。
背景技術:
防火墻和入侵檢測系統是用來保護計算機網絡免于非授權或破壞性用戶訪問的設備。可以使用防火墻來保護局域網不受該局域網外部的用戶訪問。防火墻檢查、路由并且常常標記發送到局域網外部的用戶或局域網外部的用戶發送的所有信息。可以使用入侵檢測系統(IDS)來檢查正在網絡內傳送的信息以識別可疑行為模式。可以使用IDS獲得的信息來阻止非授權或破壞性用戶訪問網絡。入侵預防系統(IPS)是IDS的內嵌方式。可以使用IPS來檢查正在網絡內傳送的信息以識別可疑行為模式。
基于流量的路由器(FBR)允許不同網絡管理員依照某個網絡管理員定義的網絡策略實現分組轉發和路由。FBR允許不同網絡管理員實現通過網絡中的特定路徑選擇性地路由分組的策略。也可以使用FBR來確保在路由分組時某些類型的分組接收有差別的優先服務。常規路由器能夠根據可用路由信息向其目的地址轉發分組。FBR可以使網絡管理員實現以下路由策略,即,根據包括應用、協議、分組大小和終端系統之身份在內的多種其它標準允許或拒絕分組,而不是僅僅根據目的地址進行路由。
分組過濾器能夠對網絡層上的數據起作用,以保護可信任的網絡免于不可信任的網絡的攻擊。分組過濾器可以在網絡層上運行以檢查TCP/IP報頭的各個字段,包括協議類型、源和目的IP地址以及源和目的端口號。分組過濾器的缺點是速度慢,并且大型網絡中的安全策略管理非常復雜。由于分組過濾器不知道指定通信信息的上下文,所以分組過濾器本身不能提供強壯的保護。另外,分組過濾器不檢查應用層的數據,所以分組過濾器很容易受到使用應用層的嘗試安全入侵的攻擊。
代理服務器可以對應用層傳送的數值起作用,以隔離可信任的網絡和不可信任的網絡。在應用代理服務器中,建立兩個TCP連接一個在分組信源和代理服務器之間,另一個在代理服務器和分組目的地之間。應用代理服務器可以代表目的服務器接收到達的分組。代理服務器可以組合并檢查這些應用數據,可以打開代理服務器和目的服務器之間的第二TCP連接以便向目的服務器轉發允許的分組。由于在應用層檢查分組需要額外的協議棧開銷,所以代理服務器可能較慢。此外,由于每個應用都需要唯一代理,所以代理服務器的實現可能很復雜并且很難進行修改以支持新的應用。另外,由于代理服務器僅僅檢查應用分組,所以代理服務器未必能夠檢測TCP層或網絡層上的嘗試網絡安全入侵。
發明內容
本發明提供用于處理數據分組和用于實現計算機網絡安全的方法和裝置,包括計算機程序產品。
本發明的優點包括以下特征中的一個或多個特征。可以使用所公開的技術來檢測嘗試的網絡安全入侵并且可能阻止與該安全入侵有關的當前分組。所公開的技術可以提供強壯、有效的網絡安全并且包括多種安全設備,但只有一個流量表。網絡安全信息是從其它網絡安全設備中獲取的并且存儲在該流量表中的單一流量記錄內。通過使用單一流量記錄來確定是否允許分組能夠導致更快的響應時間。
附圖和下面的詳細說明書闡述本發明之一個或多個實現的細節。通過閱讀詳細說明書、附圖和權利要求書,本發明的其它特征和優點將更加明顯。
圖1表示包含會話模塊的網絡拓撲;圖2說明會話模塊的框圖;圖3表示流量表的結構;圖4是一個流程圖,描述會話模塊的操作;圖5是一個流程圖,描述會話分類;圖6表示由會話模塊生成的準重組信息;圖7表示防火墻中包含會話模塊的網絡拓撲;圖8表示會話模塊與防火墻、IPS和路由器串聯運行的網絡拓撲;以及圖9表示單一安全設備中包含會話模塊、防火墻、IPS和路由器的網絡拓撲。
在不同附圖中,相同參考號數和指示表示相同組成部分。
具體實施例方式
圖1表示包含局域網(LAN)(100)的網絡拓撲,LAN 100包括服務器(102)、若干工作站(W/S)(104)和安全系統124。安全系統124包括會話模塊122和多種其它安全設備。在所示實現中,安全系統124包括兩個安全設備,第一安全設備106和第二安全設備108。LAN 100通過安全系統124與諸如因特網(114)之類的外部網絡相連。并且LAN 100與第二個LAN(116)(通過路由器(118))和衛星120相連。第二個LAN 116包括web服務器(110)、電子郵件服務器(112)、服務器102、若干工作站104以及安全系統124。通過使用諸如電線、光纖和無線電波之類的多種數據傳輸介質,互連LAN內的計算機、服務器和其它設備。會話模塊122監控正在該網絡內傳送的分組。在一種實現中,第一安全設備106是防火墻,而第二安全設備108是IPS。會話模塊122可以與第一安全設備106和第二安全設備108一道起作用,以幫助阻止與嘗試的網絡安全入侵有關的分組。
圖2表示會話模塊122的框圖。會話模塊122包括用于接收分組的輸入分組接口205。流量處理引擎(FPE)202分析所接收的分組以確定嘗試的網絡安全入侵是否正在進行。會話模塊122還包括流量表215。流量表215用于存儲與所接收的分組有關的流量方面的信息。會話模塊122還包括該網絡上的其它安全設備的接口。在一種實現中,會話模塊122包括防火墻接口220、IPS接口225和流量路由器接口230。會話模塊使用安全設備接口220獲取有關所接收的分組的信息,與該分組關聯的流量方面的信息,以便確定是否允許或修改所接收的分組。除此之外,會話模塊122使用安全設備接口218傳送安全設備所需的流量信息以方便分組的處理。
圖3說明流量表300的結構。流量表300包括與當前的TCP/IP流量關聯的流量記錄302。TCP/IP流量包括在一個方向上在源和目的地之間傳送信息的數據分組序列。利用索引關鍵字305給流量記錄編排索引。利用索引關鍵字305來存儲和檢索與所接收的分組關聯的適合流量記錄。在一種實現中,索引關鍵字305可以是哈希關鍵字,而流量表300可以用哈希表實現。會話模塊122(圖2)在同一流量記錄中存儲用于該網絡上的兩個或多個安全設備的指令。在會話模塊122的一種實現中,在流量記錄302中存儲三個安全設備(即,設備310、315和320)的指令。流量記錄302可以存儲策略信息(應用于該流量的防火墻策略、IP策略等)以及該安全設備使用的其它信息,如加密參數、地址轉換參數、薄記信息和統計信息。流量記錄302也可以包括會話模塊122所需的流量信息,以便確定是否允許該分組。此類信息包括實現網絡策略所需的信息,網絡策略如連接超時、時間記帳以及帶寬使用率。指定序號為10/070,683,題目為“Multi-MethodGateway-Based Network Security Systems and Methods(多種方法的基于網關的網絡安全系統和方法)”的共同未決共同擁有專利申請詳細描述流量、會話和流量表,本文明確引用其內容作為參考。
圖4是一個流程圖,描述FPE 202(圖2)的操作。現在參照圖2和圖4,會話模塊接收輸入分組(步驟400)。重組IP分組(步驟402)并且驗證每個IP分組的IP報頭(步驟403)。在驗證步驟中,抽取于指定分組關聯的IP報頭并且檢查抽取的IP報頭以查找基礎缺陷。此后,FPE 202確定是否允許該會話(步驟415)。
如果該分組是TCP報頭(步驟404),則驗證該TCP報頭(步驟405)并且重組該TCP分組(步驟410)。驗證處理包括抽取TCP報頭數據并評估該報頭以查找基礎缺陷。會話模塊122可以向其它安全設備傳送在步驟410中產生的準重組信息,以幫助其它安全設備處理該分組。在“Multi-Method Gateway-Based Network SecuritySystems and Methods”和下文中詳細描述重組。
在步驟415中,FPE 202通過使用與指定的所接收的分組關聯的TCP/IP報頭數據執行會話分類。會話模塊122可以根據所獲得的與所接收的分組關聯的TCP/IP流量方面的信息和從流量表420中檢索的信息確定是否允許該分組。另外,會話模塊122可以使用諸如防火墻425、IPS 430或基于流量的路由器435之類的其它安全設備中的某個設備返回的信息。此外,會話模塊122也可以方便安全設備的處理,其方法是當處理指定分組的設備需要流量信息時,向各設備傳送該信息。最后,如果允許該分組,則FPE 202轉發該分組(步驟440)。否則,在步驟445中用不同方式處理該分組。其它處理包括記錄有關該分組的特定信息的日志,保存該分組,修改和/或丟棄該分組。由此完成FPE 202的操作的描述。
圖5是一個流程圖,表示會話分類(步驟415)中包含的步驟。會話分類步驟接收分組(步驟500)并且抽取用于確定是否允許該分組時所需的信息。抽取的信息包括源和目的IP地址、源和目的端口號以及協議(步驟505)。可以使用抽取的信息來搜索流量表(步驟510)以便確定該分組是否與已知的會話流量相關聯。對于已知的會話流量,步驟510將在該流量表中生成匹配的流量記錄(步驟515)。如果找到匹配的流量記錄,則FPE 202(圖2)可以從匹配的流量記錄中抽取所接收的分組的TCP/IP會話信息(步驟520)。FPE 202通過使用在步驟520中獲得的TCP/IP會話信息確定是否允許所接收的分組。更準確地說,FPE 202從匹配的流量記錄中抽取信息,并向安全設備傳送該信息(例如,傳送流量記錄中的會話ID,TCP/IP會話信息以及其它安全設備特有的信息)(步驟525)。根據來自安全設備的返回結果,FPE 202可以轉發、丟棄、記錄日志、存儲、修改或按不同方式處理指定分組(步驟530)。
在步驟515中,如果在該流量表中找不到匹配的流量記錄,則可以把所接收的分組和新的TCP/IP會話聯系起來(步驟532)。對于新的TCP/IP會話,FPE 202可以為新建會話指派一個會話ID,并且FPE202可以與其它安全設備(例如,防火墻、IPS、流量路由器)通信,以確定與新建會話關聯的分組的安全策略。例如,FPE 202可以從防火墻540中獲取信息以便確定是否允許所接收的與新建會話關聯的分組。FPE 202可以與IPS 545通信以便確定是否阻止所接收的分組,因為它與嘗試的網絡安全入侵的已知攻擊簽名匹配。FPE 202可以從流量路由器550中獲取與新建會話關聯的所有網絡策略。FPE 202可以充當不同安全設備之間的仲裁器,并且使用或者從各個安全設備中或者從安全設備之組合中獲取的信息確定是否允許與新的TCP/IP會話關聯的分組。FPE 202可以使用從這些安全設備中獲取的信息來創建新的流量記錄并在流量表中存儲新的流量記錄(步驟555)。新的流量記錄包括與所接收的分組關聯的新建會話的TCP/IP會話信息以及所有其它特定安全設備信息。此后,正如連同圖4描述的那樣,FPE202可以方便與指定TCP/IP會話關聯的所接收的分組的處理,包括從相應的流量記錄中向安全設備傳送會話ID、TCP/IP會話信息以及安全設備特有的信息。
正如連同圖4描述的那樣,除通過使用各種各樣的安全設備確定所接收的分組是否與嘗試的網絡安全入侵相關聯之外,會話模塊還可以對所接收的TCP/IP分組執行準重組處理。圖6表示該會話模塊生成的準重組信息。準重組信息包括存儲器中的指定分組的位置的指針600,以及包含流量中的分組的相對位置的信息的指針605。在一種實現中,IPS可以執行被動TCP/IP重組,并且可以使用該分組的位置的指針來確定該分組在該IPS內的位置。在另一種實現中,可以使用包含該流量中的該分組的相對位置的信息的指針來獲得與該分組關聯的TCP/IP報頭中包含的TCP/IP序號。需要時可以向與會話模塊122(圖2)相連的安全設備傳送準重組信息。安全設備可以使用準重組信息處理所接收的分組。
可以在許多不同網絡拓撲中使用會話模塊。圖7表示將會話模塊710集成到防火墻705中的網絡拓撲。防火墻705包括與路由器720和IPS 715的接口。防火墻705接收來自外部網絡接口700的分組。防火墻705與IPS 715通信,目的是根據已知的攻擊簽名確定是否阻止所接收的分組。如果防火墻705和IPS 715確定允許該分組通過,則防火墻705向路由器720發送所接收的分組。路由器720根據該路由器中存儲的網絡策略,通過使用內部網絡接口725向其預定目的地轉發輸出分組。
圖8表示通過使用會話模塊實現計算機網絡安全的選擇配置。在本配置中,會話模塊820與防火墻805、IPS 810和路由器815串聯運行。利用防火墻805過濾通過使用外部網絡接口800接收的分組,然后傳送給路由器815。防火墻805還向IPS 810發送有關接收的分組的信息。IPS 810檢查接收的分組,并且如果根據已知的攻擊簽名應該阻止所接收的分組,則通知會話模塊820。路由器815向會話模塊820發送該分組以便進一步處理。如果會話模塊820確定應該允許所接收的分組,則它通過使用內部網絡接口825向其預定目的地轉發所接收的分組。
可以用數字電子電路,或用計算機硬件、固件、軟件或其組合的方式,實現本發明。可以用計算機程序產品的方式實現本發明,計算機程序產品如計算機載體中包含的計算機程序,計算機載體如機器可讀存儲設備或傳播信號,程序產品由數據處理裝置執行或用來控制數據處理裝置的操作,數據處理裝置如可編程處理器、計算機或多臺計算機。可以用任何形式的程序設計語言,包括編譯或解釋語言,來編寫計算機程序,并且可以用任何方式進行部署,包括以單機程序的方式,或者以模塊、組件、子程序、或適合在計算環境中使用的其它單元的方式進行部署。計算機程序可以部署為在一個站點的一臺或多臺計算機上運行,或者分發到利用通信網絡互連的多個站點上。
可以利用執行計算機程序的一個或多個可編程處理器執行本發明的方法步驟,可編程處理器通過處理輸入數據并生成輸出執行本發明的功能。同樣,可以利用專用邏輯電路,如FPGA(現場可編程門陣列)或ASIC(專用集成電路),來執行上述方法步驟或實現本發明的裝置。
舉例來說,適合執行計算機程序的處理器包括通用和專用微處理器,以及各種類型的數字計算機的任何一個或多個處理器。通常,處理器接收來自只讀存儲器或隨機存取存儲器或二者的指令和數據。計算機的主要元件是用于執行指令的處理器以及用于存儲指令和數據的一個或多個存儲設備。通常,計算機還包括或連接有用于存儲數據的一個或多個海量存儲設備,以便接收數據、傳送數據或者接收并傳送數據,海量存儲設備如磁盤、磁光盤或光盤。適合于包含計算機程序指令和數據的信息載體包括各種形式的非易失存儲器,舉例來說,非易失存儲器包括半導體存儲設備,如EPROM、EEPROM和閃存設備;磁盤,如內部硬盤或可抽取磁盤;磁光盤;以及CD-ROM和DVD-ROM盤片。可以用專用邏輯電路補充或合并處理器和存儲器。
可以在計算系統中實現本發明,計算系統包括諸如數據服務器之類的后端組件,諸如應用服務器之類的中間件組件,諸如客戶計算機之類的前端組件,或此類后端、中間件或前端組件之任意組合,其中客戶計算機具有圖形用戶界面或web瀏覽器,用戶通過該圖形用戶界面或web瀏覽器與本發明的實現進行交互。可以利用諸如通信網絡之類的任何形式或介質的數字數據通信互連該系統的各種組件。通信網絡的例子包括局域網(LAN)和諸如因特網之類的廣域網(WAN)。
計算機系統可以包括客戶機和服務器。客戶機和服務器通常彼此相距很遠,并且通常通過通信網絡進行交互。客戶機和服務器的相互關系是由在各自計算機上運行的彼此具有客戶機服務器關系的計算機程序引起的。
盡管本發明是用特定實施方式描述的。然而,應該理解,可以進行各種修改而并不背離本發明的實質和范圍。例如,可以以不同順序執行本發明的步驟而仍能獲得所需結果。另外,可以將會話模塊、IPS、防火墻和路由器集成到諸如圖9所示配置之類的單一設備中。與一臺或多臺安全設備封裝在一起的會話模塊的其它配置也是可行的。因此,其它實施方式也在下述權利要求書的范圍內。
權利要求
1.一種用于檢查與計算機網絡中的流量相關聯的數據分組的方法,該計算機網絡具有用于處理該分組的一臺或多臺設備,每個數據分組具有關聯的報頭數據,該方法包括以下步驟接收該數據分組;檢查該數據分組;確定與該分組相關聯的單一流量記錄;以及從該單一流量記錄中抽取兩臺或多臺設備的流量指令并將該指令轉發給各自設備以方便該分組的處理。
2.權利要求1的方法,其中該設備為安全設備。
3.權利要求2的方法,其中該設備是從入侵檢測系統、入侵預防系統、防火墻和基于流量的路由器中選擇的。
4.權利要求1的方法,其中檢查該數據分組包括檢查有關報頭數據以確定是否允許該數據分組。
5.權利要求1的方法,其中確定與該數據分組相關聯的單一流量記錄包括通過使用有關報頭數據確定流量記錄的位置。
6.權利要求1的方法,其中從該單一流量記錄中抽取兩臺或多臺設備的流量指令包括獲取用于對存儲器中的該數據分組進行定位的信息,以及用于提供該流量中的該數據分組的相對位置的信息。
7.權利要求1的方法,其中確定與該數據分組相關聯的流量記錄包括通過使用至少有關報頭數據確定分組標識符;通過使用該分組標識符評估流量表;如果有匹配的流量表條目,則檢索匹配的流量記錄;如果沒有匹配的流量表條目,則創建新的流量記錄;以及將新的流量記錄存儲到該流量表中。
8.權利要求7的方法,其中從匹配的流量記錄中抽取流量指令包括從匹配的流量記錄中抽取會話ID和流量信息;以及向該設備傳送該會話ID和流量信息。
9.權利要求7的方法,其中創建新的流量記錄包括創建新的會話ID;從至少兩臺設備中抽取與該數據分組關聯的設備特有的流量信息;以及把新的會話ID與設備特有的流量信息和新的流量記錄聯系起來。
10.權利要求9的方法進一步包括,使用設備特有的流量信息創建每臺設備的指令以處理該分組。
11.權利要求9的方法,其中一臺或多臺設備為安全設備,該方法進一步包括在該單一流量記錄中存儲每臺安全設備的安全設備特有的流量信息以及新的會話ID。
12.權利要求1的方法進一步包括,使用抽取的流量信息處理兩臺或多臺設備的每臺設備中的數據分組。
13.權利要求1的方法,其中至少兩臺設備為安全設備,該方法進一步包括接收來自該安全設備的評估信息,該評估信息是處理該分組時在各自設備中生成的;以及處理該分組包括使用該評估信息。
14.權利要求13的方法,其中處理該分組的步驟包括轉發、丟棄、修改、記錄日志或存儲該分組中的一項或多項處理。
15.權利要求13的方法,其中該處理步驟包括確定是否轉發該分組。
16.權利要求2的方法,其中該單一流量記錄包括用于一臺或多臺安全設備的策略信息。
17.權利要求2的方法,其中該單一流量記錄包括防火墻策略以及入侵預防系統策略。
18.權利要求1的方法,其中該單一流量記錄包括供一臺設備使用的加密參數。
19.權利要求1的方法,其中該單一流量記錄包括地址轉換參數。
20.權利要求1的方法,其中該單一流量記錄包括薄記和統計信息。
21.權利要求1的方法,其中該單一流量記錄包括用于描述應用于一臺或多臺設備使用的指定流量的策略的信息。
22.權利要求1的方法,其中該設備為安全設備并且該單一流量記錄包括用于處理該分組的兩臺或多臺設備使用的策略信息。
23.一種信息載體中包含的用于檢查與計算機網絡中的流量相關聯的數據分組的計算機程序產品,該計算機網絡具有用于處理數據分組的一臺或多臺設備,每個數據分組具有關聯的報頭數據,該計算機程序產品包括可以使數據處理設備執行以下處理的指令接收該數據分組;檢查該數據分組;確定與該分組相關聯的單一流量記錄;以及從該單一流量記錄中抽取兩臺或多臺設備的流量指令并將該指令轉發給各自設備以方便該分組的處理。
24.權利要求23的計算機程序產品,其中該設備為安全設備。
25.權利要求24的計算機程序產品,其中該設備是從入侵檢測系統、入侵預防系統、防火墻和基于流量的路由器中選擇的。
26.權利要求23的計算機程序產品,其中檢查該數據分組的指令包括檢查有關報頭數據以確定是否允許該數據分組的指令。
27.權利要求23的計算機程序產品,其中確定與該數據分組相關聯的單一流量記錄的指令包括通過使用有關報頭數據確定流量記錄的位置的指令。
28.權利要求23的計算機程序產品,其中從該單一流量記錄中抽取兩臺或多臺設備的流量指令的指令包括,獲取用于對存儲器中的該數據分組進行定位的信息以及用于提供該流量中的該數據分組的相對位置的信息的指令。
29.權利要求23的計算機程序產品,其中確定與該數據分組關聯的流量記錄的指令包括執行以下處理的指令通過使用至少有關報頭數據確定分組標識符;通過使用該分組標識符評估流量表;如果有匹配的流量表條目,則檢索匹配的流量記錄;如果沒有匹配的流量表條目,則創建新的流量記錄;以及將新的流量記錄存儲到該流量表中。
30.權利要求29的計算機程序產品,其中從匹配的流量記錄中抽取流量指令的指令包括執行以下處理的指令從匹配的流量記錄中抽取會話ID和流量信息;以及向該設備傳送該會話ID和流量信息。
31.權利要求29的計算機程序產品,其中創建新的流量記錄的指令包括執行以下處理的指令創建新的會話ID;從至少兩臺設備中抽取與該數據分組關聯的設備特有的流量信息;以及把新的會話ID與設備特有的流量信息和新的流量記錄聯系起來。
32.權利要求31的計算機程序產品進一步包括執行以下處理的指令,使用設備特有的流量信息創建每臺設備的指令以處理該分組。
33.權利要求31的計算機程序產品,其中一臺或多臺設備為安全設備,該計算機程序產品進一步包括執行以下處理的指令,在該單一流量記錄中存儲每臺安全設備的安全設備特有的流量信息以及新的會話ID。
34.權利要求23的計算機程序產品進一步包括執行以下處理的指令,使用抽取的流量信息處理兩臺或多臺設備的每臺設備中的數據分組。
35.權利要求23的計算機程序產品,其中至少兩臺設備為安全設備,該計算機程序產品進一步包括執行以下處理的指令接收來自該安全設備的評估信息,該評估信息是處理該分組時在各自設備中生成的;以及處理該分組包括使用該評估信息。
36.權利要求35的計算機程序產品,其中處理該分組的指令包括轉發、丟棄、修改、記錄日志或存儲該分組中的一條或多條指令。
37.權利要求35的計算機程序產品,其中處理指令包括確定是否轉發該分組的指令。
38.權利要求24的計算機程序產品,其中該單一流量記錄包括用于一臺或多臺安全設備的策略信息。
39.權利要求24的計算機程序產品,其中該單一流量記錄包括防火墻策略以及入侵預防系統策略。
40.權利要求23的計算機程序產品,其中該單一流量記錄包括供一臺設備使用的加密參數。
41.權利要求23的計算機程序產品,其中該單一流量記錄包括地址轉換參數。
42.權利要求23的計算機程序產品,其中該單一流量記錄包括薄記和統計信息。
43.權利要求23的計算機程序產品,其中該單一流量記錄包括用于描述應用于一臺或多臺設備使用的指定流量的策略的信息。
44.權利要求23的計算機程序產品,其中該設備為安全設備并且該單一流量記錄包括用于處理該分組的兩臺或多臺設備使用的策略信息。
45.一種用于處理數據分組的裝置,包括能夠確定每個接收的數據分組的流量信息的模塊;包括該模塊檢測的每個流量的流量記錄的流量表,每個流量記錄包括用于多臺處理設備的流量信息;以及用于向與該裝置相連的多臺處理設備的每臺設備傳送設備特有的流量信息的接口。
46.權利要求45的裝置進一步包括會話模塊,該會話模塊可以評估用于標識與指定分組關聯的特定流量的信息,確定與所標識的流量關聯的流量表中的流量記錄的位置,向每臺處理設備傳送設備特有的流量信息,接收一臺或多臺處理設備的評估信息,以及根據該評估信息處理該分組。
47.權利要求46的裝置,其中該會話模塊對該分組的處理包括丟棄、記錄日志、存儲或轉發該分組之一。
48.權利要求45的裝置,其中該流量表包括索引關鍵字以及與該裝置相連的多臺安全設備的設備特有的流量信息。
49.權利要求45的裝置,該處理設備是從防火墻、基于流量的路由器、入侵檢測系統以及入侵預防系統中選擇的。
50.權利要求45的裝置,其中該流量表包括一條或多條流量記錄,該流量記錄包括處理該分組的一臺或多臺安全設備使用的策略信息。
全文摘要
描述了用于處理數據分組的方法、計算機程序產品和裝置。該方法包括以下步驟接收該數據分組;檢查該數據分組;確定與該分組關聯的單一流量記錄;以及從該單一流量記錄中抽取兩臺或多臺設備的流量指令。
文檔編號H04L12/66GK1768516SQ200480008628
公開日2006年5月3日 申請日期2004年3月29日 優先權日2003年3月28日
發明者尼爾·祖克 申請人:叢林網絡公司