處理網絡流量的計算機系統及方法

處理網絡流量的計算機系統及方法
【專利說明】處理網絡流量的計算機系統及方法
[0001]本案是申請號:200710000178.6，申請人:飛塔公司，發明名稱:《處理網絡流量的計算機系統及方法》的申請的分案申請。
技術領域
[0002]本發明涉及計算機網絡，尤其涉及網絡系統安全性和/或可升級性的實現。
【背景技術】
[0003]近十年來，對網絡安全的威脅演變地非常快，其從網絡層針對連接的攻擊發展成應用層基于代理的攻擊。常規的網絡設備(防火墻)能夠進行網絡層數據包的處理；例如，常規防火墻可以阻止不是來自有效數據源的數據包，以及VPN網關可以加密傳輸中的數據包使其安全穿過互聯網。但是，當前嚴重的網絡威脅，比如包括間諜軟件、病毒和蠕蟲等惡意程序嵌入到數據包流的應用層內容中。通過從多個數據包中提取內容，重建原始內容，以及掃描其中的攻擊指示標志或者不適當內容等處理方法來檢測并阻止這些應用層的攻擊需要很強的處理能力。
[0004]針對這些新的安全挑戰，現今的防火墻必須能夠提供應用層內容的實時處理，特別是隨著現在(及將來)不斷增長網絡速度而產生的實時應用程序(如網頁瀏覽)。
[0005]在防火墻中，網絡流量的處理由一系列整體形成一防火墻策略的具體規則來確定。防火墻策略指示了防火墻應該怎樣處理如網頁、電子郵件或者遠程登錄等具體應用的網絡流量。示例性的規則包括過濾禁忌詞匯、阻止具體的URL、阻止具體文件類型的傳輸、反惡意程序掃描，垃圾郵件阻止等等。每一防火墻策略通常具有關聯防火墻配置內容表，通過該配置內容表配置防火墻處理網絡內容。防火墻策略通常由網絡管理員創建，并且是基于各組織的信息安全策略。
[0006]防火墻通常實現為具有多個用于網絡流量的流入及流出的物理網絡接口的硬件/軟件裝置。網絡流量進入這些接口中的一個，經過過濾及其它適當的處理后被路由到通常是與不同物理接口相連接的一遠程主機。在一些情況下，防火墻也可配置具有邏輯接口，如虛擬局域網絡(VLAN)或點對點協議(PPP)接口。這樣的邏輯接口完全是通過軟件實現的，并不直接映射到物理接口。舉例說明，在VLAN配置中，PC機、服務器以及其它的網絡設備可以實現并顯現在同一個物理LAN網段相互通信，即使它們可能并不是位于相同的物理LAN網段。VLAN配置下的網絡實體可以分布在多個物理網絡中，但是對于防火墻而言這些網絡實體如同全都是通過一單個(邏輯)網絡接口連接的。
[0007]具有多個不同計算機系統的大型網絡可以劃分為兩個或更多不相交的虛擬網絡，稱為“虛擬域”。每一所述虛擬域都具有其自己的路由設置、網絡管理設置、訪問權限設置以及網絡完全策略與配置。利用虛擬域，相互獨立的組織可以共享相同的防火墻/路由硬件，該虛擬域的網絡接口可以被劃分成不相交的可由不同用戶管理的路由域。從一個這樣虛擬域發出的網絡流量只能在同一個虛擬域中路由。
[0008]但是，現有的防火墻系統在利用可升級且有效的方法來處理不相交路由及配置的域方面的能力不足。因此，需要能夠以有效的方法管理虛擬網絡域的可升級的防火墻系統。

【發明內容】

[0009]本發明的目的在于提供一種方法和系統，其能夠充分消除傳統技術在虛擬域中處理內容相關的一個或多個上述或其他問題。
[0010]本發明的一個方面提供了一種用于處理與多個虛擬域相關的網絡內容的方法、計算機編程產品以及計算機系統。根據本發明的方法，需要定義多個接口，其中的每個接口對應一個虛擬域。然后系統根據具體的內容處理策略發起用于處理網絡數據包的服務進程。當接收到涉及與虛擬域相關聯的網絡實體的網絡連接請求時，系統將在服務進程與內核之間開放一通信信道。開放的通道用于在服務進程與防火墻系統內核之間傳輸與虛擬域相關的網絡內容。根據起作用的內容處理策略，在服務進程中處理傳輸的網絡內容。
[0011]根據本發明的一個特點，當接收到涉及與第二虛擬域相關聯的第二網絡實體的第二網絡連接請求時，系統在服務進程與對應于所述第二虛擬域的第二接口之間開放一第二通信信道。然后該系統使用所述第二開放通信信道在服務進程與第二接口之間傳輸第二網絡內容。與第二虛擬域相關的網絡內容根據起作用的內容處理策略在相同的服務進程中進行處理。
[0012]根據本發明的另一特點，為每一虛擬域提供一相對獨立的內容處理策略。
[0013]根據本發明的又一特點，所述通信通道是套接字。
[0014]根據本發明的又一特點，所述接口可以是物理接口或邏輯接口。
[0015]根據本發明的又一特點，所述內容處理策略可包括反惡意程序掃描。內容處理策略還可以包括內容過濾、虛擬專用網(VPN)處理以及網絡監控與日志記錄。
[0016]根據本發明的又一特點，服務進程可以是一系統進程。
[0017]根據本發明的又一特點，根據一信息交換協議傳輸所述網絡內容。
[0018]根據本發明的又一特點，所述處理包括獲取與虛擬域相對應的配置設置。所述配置設置可以通過與虛擬域相對應的開放通信通道的至少一個屬性獲得。這樣的屬性可以包括，例如，套接字標識符，其可用于獲得虛擬域標識符，反過來，該虛擬域標識符可以用于從數據庫或其它存儲系統中查詢適當的配置設置。
[0019]根據本發明的又一特點，可利用同樣的服務進程處理與其它虛擬域相關的數據。
[0020]根據本發明的又一特點，一經收到與第二虛擬域相關的第二連接請求時，系統發起用以處理與第二虛擬域相關的網絡內容的第二個服務進程。不同的服務進程在不同的CPU上執行。
[0021]根據本發明的又一特點，第二服務進程可由第一個服務進程發起。服務進程之間可通過消息交換來進行通信。該消息可以包括系統接收的第三連接請求的信息。該第三連接請求可從前兩個虛擬域中或從一第三虛擬域中發出。
[0022]根據本發明的又一特點，系統可提供有一集中配置存儲裝置，用于對服務進程提供配置信息。系統進一步包括一日志管理器，用于處理從服務進程接收的日志信息。
[0023]根據本發明的又一特點，虛擬域狀態信息可以緩存在服務進程中。
[0024]有關本發明的其他方面部分地在下面的描述中介紹，部分地通過說明書顯而易見或可通過對本發明的實施獲得。本發明的各個方面可以通過要件及各要件的組合、以及下文的詳細描述和所附的權利要求中具體指出的方面了解和獲得。
[0025]應該理解，上文和后文中的描述只是示例性和說明性的，并不用于以任何方式對要求保護的本發明或其應用進行限制。
【附圖說明】
[0026]附圖被結合進來并構成說明書的一部分，其示例性地說明了本發明的實施例，且與文字說明一起用于解釋和描述本發明技術的原理。具體地:
[0027]圖1示出了虛擬局域網絡(VLAN)配置的方框示意圖；
[0028]圖2示出了虛擬域配置的方框示意圖；
[0029]圖3示出了根據本發明一實施例的用于在虛擬域環境下處理網絡內容的計算機系統的方框示意圖；
[0030]圖4示出了是根據本發明的另一實施例，用于在虛擬域環境中處理網絡內容的計算機系統的方框示意圖；及
[0031]圖5示出了可用于實現本發明的內容處理系統的計算機平臺的示范性實施例。
【具體實施方式】
[0032]下面將參考附圖進行詳細說明，其中，附圖中相同的功能元件使用相同的標記。上述的附圖示出了與本發明的原理一致的具體實施例及其實現，其用于解釋本發明，并不作為對本發明的限制。本文對所述的實施例的實現進行了詳細描述以使得本領域的技術人員能夠實施本發明。應該理解，可以采用其它的實施方式以及對各種元件做出結構變化和/或替換而不脫離本發明的精神和范圍。因此，下面的描述并不用于限制本發明。另外，本發明所述的各種實施例可以以運行于通用計算機中的軟件、專門的硬件、或者軟件和硬件的組合方式來執行。
[0033]發明人認為提供一種機制，在該機制中利用可升級且有效的方式管理多個虛擬域的網絡內容是具有優勢的。特別地，本發明的一實施例能夠同時處理與多個虛擬域相關的網絡內容。
[0034]圖1示出了示例性的VLAN網絡配置100。參照圖1，物理局域網絡(LAN) 122，123及124通過防火墻裝置101的物理接口連接。物理LAN 122到124包括與防火墻101各個網絡接口連接的局域網絡實體104到115。局域網絡實體104到115可以包括PC設備、網絡存儲裝置等。局域網絡實體104 - 115分為三個￥1^1分別是116、117與118。這三個VLAN在防火墻101中分別通過邏輯接口 119，120及121連接。防火墻101通過一不同的物理接口 125與互聯網(internet) 102連接。在互聯網102中的遠程主機103與局域實體104到115中的任何一臺之間傳輸的網絡內容