CN116264514A - 使用基于网络设备的区域将安全策略应用于网络业务 - Google Patents

Abstract

本公开的实施例涉及使用基于网络设备的区域将安全策略应用于网络业务。一种网络设备可以被配置为接收网络业务。网络设备可以被配置为标识网络设备的与网络业务相关联的一个或多个入口点，并且基于网络设备的一个或多个入口点来确定与网络业务相关联的源区域。网络设备可以被配置为标识网络设备的与网络业务相关联的一个或多个出口点，并且基于网络设备的一个或多个出口点来确定与网络业务相关联的目的地区域。网络设备可以被配置为基于源区域和目的地区域来标识安全策略集合，并且将安全策略集合中的安全策略应用于网络业务。

Description

使用基于网络设备的区域将安全策略应用于网络业务

技术领域

本公开的实施例涉及网络业务，更具体地涉及将安全策略应用于网络业务。

背景技术

网络设备使用安全策略来实施用于经由网络设备路由网络业务的规则。例如，安全策略可以指示什么种类的网络业务可以由网络设备路由，在路由网络业务时网络设备需要采取什么动作和/或网络业务可以被路由到何处。

发明内容

本文描述的一些实现涉及一种网络设备。网络设备可以包括一个或多个存储器以及一个或多个处理器。网络设备可以被配置为接收网络业务。网络设备可以被配置为标识网络设备的与网络业务相关联的一个或多个入口点。网络设备可以被配置为基于网络设备的一个或多个入口点来确定与网络业务相关联的源区域。网络设备可以被配置为标识网络设备的与网络业务相关联的一个或多个出口点。网络设备可以被配置为基于网络设备的一个或多个出口点来确定与网络业务相关联的目的地区域。网络设备可以被配置为基于源区域和目的地区域来标识安全策略集合。网络设备可以被配置为将安全策略集合中的安全策略应用于网络业务。

本文描述的一些实现涉及一种存储用于网络设备的指令集的非瞬态计算机可读介质。在由网络设备的一个或多个处理器执行时，指令集可以使网络设备接收网络业务。在由网络设备的一个或多个处理器执行时，指令集可以使网络设备基于网络设备的与网络业务相关联的一个或多个入口点来确定与网络业务相关联的源区域。在由网络设备的一个或多个处理器执行时，指令集可以使网络设备基于网络设备的与网络业务相关联的一个或多个出口点来确定与网络业务相关联的目的地区域。在由网络设备的一个或多个处理器执行时，指令集可以使网络设备基于源区域和目的地区域来标识安全策略集合。在由网络设备的一个或多个处理器执行时，指令集可以使网络设备将安全策略集合中的安全策略应用于网络业务。

本文描述的一些实现涉及一种方法。该方法可以包括：由网络设备，接收网络业务。该方法可以包括：由网络设备，基于网络设备的与网络业务相关联的一个或多个入口点来确定与网络业务相关联的源区域。该方法可以包括：由网络设备，基于网络设备的与网络业务相关联的一个或多个出口点来确定与网络业务相关联的目的地区域。该方法可以包括：由网络设备，基于源区域和目的地区域来将安全策略应用于网络业务。

附图说明

图1A至图1F是本文描述的示例实现的图。

图2是本文描述的***和/或方法可以被实现的示例环境的图。

图3和图4是图2的一个或多个设备的示例组件的图。

图5是与使用基于网络设备的入口点和出口点的区域组来将安全策略应用于网络业务相关联的示例过程的流程图。

具体实施方式

示例实现的以下详细描述参照附图。不同附图中的相同附图标记可以标识相同或类似的元件。

在许多情况下，网络设备可以使用安全区域上下文来定义用于处置网络业务的安全策略。例如，安全策略可以指示网络业务的一个或多个规则，该网络业务的起点位于“来自”区域，并且将路由到“到达”区域中的目的地。然而，这种区域通常与网络接口相关联，该网络接口将属于与网络业务相关联的一个或多个路由实例(例如指示网络业务的来源和目的地的最终地址，诸如互联网协议(IP)地址)。当一个或多个路由实例改变时，这可能会导致问题。例如，当与通信会话相关联的网络业务经由网络设备的与安全策略相关联的特定路由实例的特定区域所预期的接口不同的接口接收时，网络设备可以拆除通信会话，并且为网络业务建立新的通信会话。因此，网络业务可以被防止在通信会话被拆除之后以及新的通信会话被建立之前的时间段期间由网络设备路由。进一步地，在一些情况下，新会话可能无法被正确建立，这进一步防止了网络业务在新会话被建立时由网络设备转发(例如由于路由实例的错误配置)。防止网络业务被转发通常被称为网络业务黑洞。

本文描述的一些实现提供了一种网络设备，该网络设备接收网络业务，并且确定网络设备的与网络业务相关联的一个或多个入口点(例如入口端口和/或入口接口)以及网络设备的与网络业务相关联的一个或多个出口点(例如出口端口和/或出口接口)。网络设备基于一个或多个入口点来确定与网络业务相关联的源区域，并且基于一个或多个出口点来确定与网络业务相关联的目的地区域。附加地或备选地，网络设备基于源区域来确定与源区域相关联的源区域组，并且基于目的地区域来确定与目的地区域相关联的目的地区域组。因此，网络设备基于源区域、目的地区域、源区域组和/或目的地区域组来标识安全策略集合(例如一个或多个安全策略)。网络设备将安全策略集合中的安全策略应用于网络业务，这使网络设备允许网络业务或者阻挡网络业务。

通过这种方式，本文描述的一些实现有助于基于网络设备的入口点和出口点而不是基于与网络业务相关联的路由实例来确定区域。因此，网络设备提供安全(例如通过基于区域或区域组标识和应用安全策略)而不与路由域相关联(例如基于路由实例)。

因此，本文描述的一些实现使网络设备能够基于网络设备的“本地”区域将安全策略应用于网络业务，这降低了网络业务的通信会话将被拆除的可能性，因为网络设备经由网络设备的不同接口接收网络业务(例如因为安全策略不与路由实例相关联)。因此，本文描述的一些实现防止(或减少)网络业务黑洞(例如通过降低等待新会话被建立的可能性)。进一步地，这减少了本来需要被用于重新发送由于黑洞和/或诊断和/或解决黑洞的原因和/或影响而丢失的计算资源(例如处理资源、存储器资源、通信资源和/或功率资源等其他示例)的数量。

图1A至图1F是与使用基于网络设备的入口点和出口点的区域组来将安全策略应用于网络业务相关联的示例100的图。如图1A至图1F所示，示例100包括与网络相关联的端点设备和网络设备。端点设备、网络设备和网络的其他细节在本文其他地方提供。

如在图1A中通过附图标记105所示，网络设备可以接收网络业务。例如，端点设备可以将网络业务发送给网络设备，以使网络设备将网络业务转发给目的地(例如另一端点设备)。在一些实现中，网络设备可以经由网络设备的一个或多个入口点接收网络业务。例如，网络设备可以经由网络设备的入口端口(例如网络设备的物理入口端口)或网络设备的入口接口(例如网络设备的逻辑入口接口)中的至少一个接收网络业务。网络业务可以包括例如一个或多个分组(例如不在分组流中发送)或分组流(例如在分组流中发送)。

如通过附图标记110所示，网络设备可以标识网络设备的与网络业务相关联的一个或多个入口点。例如，网络设备可以确定网络设备经由网络设备的入口端口或网络设备的入口接口中的至少一个接收网络业务。因此，网络设备可以将网络设备的入口端口或网络设备的入口接口中的至少一个标识为网络设备的一个或多个入口点。

如在图1B中通过附图标记115所示，网络设备可以标识网络设备的与网络业务相关联的一个或多个出口点(例如网络设备要在其上转发网络业务的网络设备的一个或多个出口点)。例如，网络设备可以处理(例如解析或读取)网络业务，以标识网络业务的目的地(例如由网络业务的分组的报头或网络业务的另一数据元素指示)。目的地可以是另一网络设备、另一端点设备或网络设备要向其转发网络业务的另一设备。网络设备可以基于目的地搜索数据结构(例如网络设备中所包括和/或网络设备可访问的数据库、电子文件夹和/或电子文件)，以标识网络设备的一个或多个入口点。例如，网络设备可以在数据结构中标识入口，该入口与目的地相关联并且指示网络设备的一个或多个入口点。网络设备可以处理(例如解析或读取)入口，以标识网络设备的一个或多个入口点。

网络设备的一个或多个出口点可以包括例如网络设备的出口端口或网络设备的出口接口中的至少一个(例如网络设备要在其上转发网络业务)。在一些实现中，为了标识网络设备的一个或多个出口点，网络设备可以基于网络业务的目的地来搜索数据结构(例如与上述数据结构相同或不同)，以标识网络设备的出口端口或网络设备的出口接口中的至少一个。例如，网络设备可以在数据结构中标识入口，该入口与目的地相关联并且指示网络设备的出口端口或网络设备的出口接口中的至少一个。网络设备可以处理(例如解析或读取)入口，以标识网络设备的出口端口或网络设备的出口接口中的至少一个。因此，网络设备可以将网络设备的出口端口或网络设备的出口接口中的至少一个标识为网络设备的一个或多个出口点。

如在图1C中通过附图标记120所示，网络设备可以确定与网络业务相关联的源区域(例如基于网络设备的一个或多个入口点)。在一些实现中，网络设备可以基于网络设备的一个或多个入口点来搜索数据结构(例如与上述数据结构相同或不同)，以确定与网络业务相关联的源区域。例如，网络设备可以在数据结构中标识入口，该入口与网络设备的一个或多个入口点相关联并且指示与网络业务相关联的源区域。网络设备可以处理(例如解析或读取)入口，以标识与网络业务相关联的源区域。在一些实现中，源区域可以是标识网络设备在其上接收网络业务的网络设备的一个或多个入口点的标识符(例如文本字符串)。

如通过附图标记125所示，网络设备可以确定与网络业务相关联的目的地区域(例如基于网络设备的一个或多个出口点)。在一些实现中，网络设备可以基于网络设备的一个或多个出口点来搜索数据结构(例如与上述数据结构相同或不同)，以确定与网络业务相关联的目的地区域。例如，网络设备可以在数据结构中标识入口，该入口与网络设备的一个或多个出口点相关联并且指示与网络业务相关联的目的地区域。网络设备可以处理(例如解析或读取)入口，以标识与网络业务相关联的目的地区域。在一些实现中，目的地区域可以是标识网络设备要在其上转发网络业务的网络设备的一个或多个出口点的标识符(例如文本字符串)。

如在图1D中通过附图标记130所示，网络设备可以确定与源区域相关联的源区域组(例如基于源区域)。在一些实现中，网络设备可以基于源区域搜索数据结构(例如与上述数据结构相同或不同)，以标识与源区域相关联的源区域组。例如，网络设备可以在数据结构中标识入口，该入口与源区域相关联并且指示与源区域相关联的源区域组。网络设备可以处理(例如解析或读取)入口，以标识与源区域相关联的源区域组。源区域组可以包括源区域以及在一些实现中的与其他网络业务相关联的一个或多个其他源区域。

如通过附图标记135所示，网络设备可以确定与目的地区域相关联的目的地区域组(例如基于目的地区域)。在一些实现中，网络设备可以基于目的地区域搜索数据结构(例如与上述数据结构相同或不同)，以标识与目的地区域相关联的目的地区域组。例如，网络设备可以在数据结构中标识入口，该入口与目的地区域相关联并且指示与目的地区域相关联的目的地区域组。网络设备可以处理(例如解析或读取)入口，以标识与目的地区域相关联的目的地区域组。目的地区域组可以包括目的地区域以及在一些实现中的与其他网络业务相关联的一个或多个其他目的地区域。

如在图1E中通过附图标记140所示，网络设备可以标识(例如基于源区域和目的地区域)安全策略集合(例如一个或多个安全策略)。在一些实现中，网络设备可以基于源区域和目的地区域搜索数据结构(例如与上述数据结构相同或不同)，以标识安全策略集合。例如，网络设备可以在数据结构中标识入口，该入口与源区域和目的地区域相关联并且指示安全策略集合。网络设备可以处理(例如解析或读取)入口，以标识安全策略集合。在一些实现中，安全策略集合中的每个安全策略可以包括用于允许或阻挡网络业务的一个或多个规则(例如当安全策略由网络设备应用于网络业务时)。

在一些实现中，网络设备可以基于源区域组和目的地区域组来标识安全策略集合。网络设备可以基于源区域组和目的地区域组搜索数据结构(例如与上述数据结构相同或不同)，以标识安全策略集合。例如，网络设备可以在数据结构中标识入口，该入口与源区域组和目的地区域组相关联并且指示安全策略集合。网络设备可以处理(例如解析或读取)入口，以标识安全策略集合。

在一些实现中，网络设备可以基于源区域、目的地区域、源区域组和目的地区域组来标识安全策略集合。例如，网络设备可以基于源区域和目的地区域来确定第一安全策略子集(例如包括一个或多个安全策略)，并且可以基于源区域组和目的地区域组来确定第二安全策略子集(例如包括一个或多个安全策略)。因此，网络设备可以将安全策略集合标识为包括第一安全策略子集和第二安全策略子集。

在一些实现中，为了标识第一安全策略子集，网络设备可以基于源区域和目的地区域搜索数据结构(例如与上述数据结构相同或不同)。例如，网络设备可以在数据结构中标识入口，该入口与源区域和目的地区域相关联并且指示第一安全策略子集。网络设备可以处理(例如解析或读取)入口，以标识第一安全策略子集。在一些实现中，为了标识第二安全策略子集，网络设备可以基于源区域组和目的地区域组搜索另一数据结构(例如与上述数据结构相同或不同)。例如，网络设备可以在数据结构中标识入口，该入口与源区域组和目的地区域组相关联并且指示第二安全策略子集。网络设备可以处理(例如解析或读取)入口，以标识第二安全策略子集。

如在图1F中通过附图标记145所示，网络设备可以将安全策略集合中的安全策略应用于网络业务。例如，网络设备可以处理网络业务，以标识网络业务的一个或多个特点(例如网络业务的类型、网络业务的有效载荷的类型和/或网络业务的分组模式等其他示例)。因此，网络设备可以将安全策略集合中的安全策略标识为适用于网络业务的一个或多个特点(例如安全策略包括对应于网络业务的一个或多个特点中的至少一些的一个或多个规则)，并且可以将安全策略应用于网络业务。

如图1F进一步所示，将安全策略应用于网络业务可以使网络设备阻挡网络业务或允许网络业务。例如，当网络设备基于应用安全策略确定安全策略被满足(例如安全策略的一个或多个规则由网络业务的一个或多个特点中的至少一些满足)时，网络设备可以允许网络业务。网络设备可以通过将网络业务转发给网络业务的目的地来允许网络业务。作为另一示例，当网络设备基于应用安全策略确定安全策略未被满足(例如安全策略的一个或多个规则中的至少一个未由网络业务的一个或多个特点满足)时，网络设备可以阻挡网络业务。网络设备可以通过放弃或丢弃网络业务来阻挡网络业务。

如上面所指示的，图1A至图1F被提供作为示例。其他示例可以不同于关于图1A至图1F所描述的。图1A至图1F所示的设备的数量和布置被提供作为示例。实际上，与图1A至图1F所示的设备相比，可以有附加设备、更少设备、不同设备或布置不同的设备。此外，图1A至图1F所示的两个或多个设备可以被实现在单个设备内，或者图1A至图1F所示的单个设备可以被实现为多个分布式设备。附加地或备选地，图1A至图1F所示的设备集合(例如一个或多个设备)可以执行被描述为由图1A至图1F所示的另一设备集合执行的一个或多个功能。

图2是本文描述的***和/或方法可以被实现的示例环境200的图。如图2所示，环境200可以包括一个或多个端点设备210、一组网络设备220(示出为网络设备220-1至网络设备220-N)和网络230。环境200的设备可以经由有线连接、无线连接或者有线和无线连接的组合互连。

端点设备210包括能够接收、生成、存储、处理和/或提供信息(诸如本文描述的信息)的一个或多个设备。例如，端点设备210可以包括移动电话(例如智能电话或无线电话)、膝上型计算机、平板计算机、台式计算机、手持式计算机、游戏设备、可穿戴通信设备(例如智能手表、一对智能眼镜、心率监测器、健身追踪器、智能服装、智能珠宝或头戴式显示器)、网络设备或类似类型的设备。在一些实现中，端点设备210可以经由网络230从其他端点设备210接收网络业务和/或可以将网络业务提供给其他端点设备210(例如通过使用网络设备220作为中介来路由网络业务)。

网络设备220包括能够以本文描述的方式接收、处理、存储、路由和/或提供网络业务的一个或多个设备。例如，网络设备220可以包括路由器，诸如标签切换路由器(LSR)、标签边缘路由器(LER)、入口路由器、出口路由器、提供方路由器(例如提供方边缘路由器或提供方核心路由器)、虚拟路由器或另一类型的路由器。附加地或者备选地，网络设备220可以包括网关、交换机、防火墙、集线器、桥接器、反向代理、服务器(例如代理服务器、云服务器或数据中心服务器)、负载平衡器和/或类似设备。在一些实现中，网络设备220可以是在外壳(诸如底盘)内实现的物理设备。在一些实现中，网络设备220可以是由云计算环境或数据中心的一个或多个计算机设备实现的虚拟设备。在一些实现中，一组网络设备220可以是被用于通过网络230路由网络业务的一组数据中心节点。在一些实现中，网络设备220可以接收网络业务(例如从端点设备210接收)；可以确定与网络业务相关联的源区域、目的地区域、源区域组和/或目的地区域组；可以基于源区域、目的地区域、源区域组和/或目的地区域组来标识安全策略集合；并且可以将安全策略集合中的安全策略应用于网络业务。

网络230包括一个或多个有线和/或无线网络。例如，网络230可以包括分组切换网络、蜂窝网络(例如第五代(5G)网络、诸如长期演进(LTE)网络等***(4G)网络、第三代(3G)网络或码分多址(CDMA)网络)、公共陆地移动网络(PLMN)、局域网(LAN)、广域网(WAN)、城域网(MAN)、电话网络(例如公共切换电话网络(PSTN))、私有网络、自组网、内联网、互联网、基于光纤的网络、云计算网络等和/或这些或其他类型的网络的组合。

图2所示的设备和网络的数量和布置被提供作为示例。实际上，与图2所示的设备和/或网络相比，可以有附加设备和/或网络、更少设备和/或网络、不同设备和/或网络或者布置不同的设备和/或网络。此外，图2所示的两个或多个设备可以被实现在单个设备内，或者图2所示的单个设备可以被实现为多个分布式设备。附加地或备选地，环境200的设备集合(例如一个或多个设备)可以执行被描述为由环境200的另一设备集合执行的一个或多个功能。

图3是设备300的示例组件的图，该设备300可以对应于端点设备210和/或网络设备220。在一些实现中，端点设备210和/或网络设备220包括一个或多个设备300和/或设备300的一个或多个组件。如图3所示，设备300可以包括总线310、处理器320、存储器330、输入组件340、输出组件350和通信组件360。

总线310包括在设备300的组件之间实现有线和/或无线通信的一个或多个组件。总线310可以将图3的两个或多个组件耦合在一起，诸如经由可操作耦合、可通信耦合、电子耦合和/或电耦合。处理器320包括中央处理单元、图形处理单元、微处理器、控制器、微控制器、数字信号处理器、现场可编程门阵列、专用集成电路和/或另一类型的处理组件。处理器320被实现在硬件、固件或者硬件和软件的组合中。在一些实现中，处理器320包括能够被编程为执行本文其他地方描述的一个或多个操作或过程的一个或多个处理器。

存储器330包括易失性和/或非易失性存储器。例如，存储器330可以包括随机存取存储器(RAM)、只读存储器(ROM)、硬盘驱动器和/或另一类型的存储器(例如闪存、磁性存储器和/或光学存储器)。存储器330可以包括内部存储器(例如RAM、ROM或硬盘驱动器)和/或可移除存储器(例如经由通用串行总线连接可移除)。存储器330可以是非瞬态计算机可读介质。存储器330存储与设备300的操作相关的信息、指令和/或软件(例如一个或多个软件应用)。在一些实现中，存储器330包括诸如经由总线310被耦合至一个或多个处理器(例如处理器320)的一个或多个存储器。

输入组件340使设备300能够接收输入，诸如用户输入和/或感测到的输入。例如，输入组件340可以包括触摸屏、键盘、小键盘、鼠标、按钮、麦克风、开关、传感器、全球定位***传感器、加速度计、陀螺仪和/或致动器。输出组件350使设备300能够诸如经由显示器、扬声器和/或发光二极管来提供输出。通信组件360使设备300能够经由有线连接和/或无线连接与其他设备通信。例如，通信组件360可以包括接收器、发送器、收发器、调制解调器、网络接口卡和/或天线。

设备300可以执行本文描述的一个或多个操作或过程。例如，非瞬态计算机可读介质(例如存储器330)可以存储指令集(例如一个或多个指令或代码)，以由处理器320执行。处理器320可以执行指令集，以执行本文描述的一个或多个操作或过程。在一些实现中，由一个或多个处理器320执行指令集使一个或多个处理器320和/或设备300执行本文描述的一个或多个操作或过程。在一些实现中，硬连线电路***代替指令使用或者与指令组合使用，以执行本文描述的一个或多个操作或过程。附加地或备选地，处理器320可以被配置为执行本文描述的一个或多个操作或过程。因此，本文描述的实现不被限于硬件电路***和软件的任何具体组合。

图3所示的组件的数量和布置被提供作为示例。与图3所示的组件相比，设备300可以包括附加组件、更少组件、不同组件或者布置不同的组件。附加地或备选地，设备300的组件集合(例如一个或多个组件)可以执行被描述为由设备300的另一组件集合执行的一个或多个功能。

图4是设备400的示例组件的图。设备400可以对应于端点设备210和/或网络设备220。在一些实现中，端点设备210和/或网络设备220可以包括一个或多个设备400和/或设备400的一个或多个组件。如图4所示，设备400可以包括一个或多个输入组件410-1至410-B(B≥1)(在下文中统称为输入组件410，并且单独地称为输入组件410)、切换组件420、一个或多个输出组件430-1至430-C(C≥1)(在下文中统称为输出组件430，并且单独地称为输出组件430)以及控制器440。

输入组件410可以是物理链路的一个或多个附接点，并且可以是传入业务(诸如分组)的一个或多个入口点。输入组件410可以处理传入业务，诸如通过执行数据链路层封装或解封装。在一些实现中，输入组件410可以传输和/或接收分组。在一些实现中，输入组件410可以包括输入线卡，其包括一个或多个分组处理组件(例如集成电路的形式)，诸如一个或多个接口卡(IFC)、分组转发组件、线卡控制器组件、输入端口、处理器、存储器和/或输入队列。在一些实现中，设备400可以包括一个或多个输入组件410。

切换组件420可以使输入组件410与输出组件430互连。在一些实现中，切换组件420可以经由一个或多个交叉开关，经由总线和/或利用共享存储器实现。共享存储器可以充当临时缓冲器，以在分组被最终调度以递送给输出组件430之前，存储来自输入组件410的分组。在一些实现中，切换组件420可以使输入组件410、输出组件430和/或控制器440能够彼此通信。

输出组件430可以存储分组，并且可以调度分组以在输出物理链路上传输。输出组件430可以支持数据链路层封装或解封装和/或各种高级协议。在一些实现中，输出组件430可以传输分组和/或接收分组。在一些实现中，输出组件430可以包括输出线卡，其包括一个或多个分组处理组件(例如集成电路的形式)，诸如一个或多个IFC、分组转发组件、线卡控制器组件、输出端口、处理器、存储器和/或输出队列。在一些实现中，设备400可以包括一个或多个输出组件430。在一些实现中，输入组件410和输出组件430可以由相同的组件集合实现(例如并且输入/输出组件可以是输入组件410和输出组件430的组合)。

控制器440包括例如CPU、GPU、APU、微处理器、微控制器、DSP、FPGA、ASIC和/或另一类型的处理器形式的处理器。处理器在硬件、固件或者硬件和软件的组合中实现。在一些实现中，控制器440可以包括可以被编程为执行功能的一个或多个处理器。

在一些实现中，控制器440可以包括RAM、ROM和/或另一类型的动态或静态存储设备(例如闪存、磁性存储器、光学存储器等)，其存储信息和/或指令以由控制器440使用。

在一些实现中，控制器440可以与连接至设备400的其他设备、网络和/或***通信，以交换关于网络拓扑的信息。控制器440可以基于网络拓扑信息创建路由表，可以基于路由表创建转发表，并且可以将转发表转发给输入组件410和/或输出组件430。输入组件410和/或输出组件430可以使用转发表来执行对传入和/或传出分组的路由查找。

控制器440可以执行本文描述的一个或多个过程。控制器440可以响应于执行由非瞬态计算机可读介质存储的软件指令来执行这些过程。计算机可读介质在本文中被定义为非瞬态存储器设备。存储器设备包括单个物理存储设备内的存储器空间或者散布在多个物理存储设备上的存储器空间。

软件指令可以经由通信接口从另一计算机可读介质或从另一设备读取到与控制器440相关联的存储器和/或存储组件中。在被执行时，存储在与控制器440相关联的存储器和/或存储组件中的软件指令可以使控制器440执行本文描述的一个或多个过程。附加地或备选地，硬连线电路***可以代替软件指令使用或者与软件指令组合使用，以执行本文描述的一个或多个过程。因此，本文描述的实现不被限于硬件电路***和软件的任何具体组合。

图4所示的组件的数量和布置被提供作为示例。实际上，与图4所示的组件相比，设备400可以包括附加组件、更少组件、不同组件或者布置不同的组件。附加地或备选地，设备400的组件集合(例如一个或多个组件)可以执行被描述为由设备400的另一组件集合执行的一个或多个功能。

图5是与使用基于网络设备的入口点和出口点的区域来将安全策略应用于网络业务相关联的示例过程500的流程图。在一些实现中，图5的一个或多个过程框由网络设备(例如网络设备220)执行。在一些实现中，图5的一个或多个过程框由与网络设备分离或者包括网络设备的另一设备或设备组执行，诸如端点设备(例如端点设备210)。附加地或备选地，图5的一个或多个过程框可以由设备300的一个或多个组件(诸如处理器320、存储器330、输入组件340、输出组件350和/或通信组件360)；设备400的一个或多个组件(诸如输入组件410、切换组件420、输出组件430和/或控制器440)；和/或另一设备的一个或多个组件执行。

如图5所示，过程500可以包括接收网络业务(框510)。例如，网络设备可以接收网络业务，如上所述。

如图5进一步所示，过程500可以包括标识网络设备的与网络业务相关联的一个或多个入口点(框520)。例如，网络设备可以标识网络设备的与网络业务相关联的一个或多个入口点，如上所述。

如图5进一步所示，过程500可以包括基于网络设备的一个或多个入口点确定与网络业务相关联的源区域(框530)。例如，网络设备可以基于网络设备的一个或多个入口点确定与网络业务相关联的源区域，如上所述。

如图5进一步所示，过程500可以包括标识网络设备的与网络业务相关联的一个或多个出口点(框540)。例如，网络设备可以标识网络设备的与网络业务相关联的一个或多个出口点，如上所述。

如图5进一步所示，过程500可以包括基于网络设备的一个或多个出口点确定与网络业务相关联的目的地区域(框550)。例如，网络设备可以基于网络设备的一个或多个出口点确定与网络业务相关联的目的地区域，如上所述。

如图5进一步所示，过程500可以包括基于源区域和目的地区域标识安全策略集合(框560)。例如，网络设备可以基于源区域和目的地区域标识安全策略集合，如上所述。

如图5进一步所示，过程500可以包括将安全策略集合中的安全策略应用于网络业务(框570)。例如，网络设备可以将安全策略集合中的安全策略应用于网络业务，如上所述。

过程500可以包括附加实现，诸如任何单个实现或者下面描述和/或结合本文其他地方描述的一个或多个其他过程的实现的任何组合。

在第一实现中，网络设备的一个或多个入口点包括网络设备的入口端口或网络设备的入口接口中的至少一个。

在第二实现中，单独地或者与第一实现组合，网络设备的一个或多个出口点包括网络设备的出口端口或网络设备的出口接口中的至少一个。

在第三实现中，单独地或者与第一实现和第二实现中的一个或多个组合，标识网络设备的一个或多个入口点包括：基于接收到网络业务，确定网络设备在其上接收网络业务的网络设备的入口端口或者网络设备的入口接口中的至少一个，并且将入口端口或入口接口中的至少一个标识为网络设备的一个或多个入口点。

在第四实现中，单独地或者与第一实现至第三实现中的一个或多个组合，标识网络设备的一个或多个入口点包括：处理网络业务以标识网络业务的目的地，基于网络业务的目的地来搜索数据结构，以标识网络设备要在其上转发网络业务的网络设备的入口端口或网络设备的入口接口中的至少一个，并且将入口端口或入口接口中的至少一个标识为网络设备的一个或多个入口点。

在第五实现中，单独地或者与第一实现至第四实现中的一个或多个组合，标识安全策略集合包括：基于源区域和目的地区域来搜索第一数据结构，以标识指示安全策略集合的入口，并且基于入口来标识安全策略集合。

在第六实现中，单独地或者与第一实现至第五实现中的一个或多个组合，标识安全策略集合包括：基于源区域和目的地区域搜索第一数据结构以标识第一安全策略子集，基于源区域来搜索第二数据结构以标识与源区域相关联的源区域组，基于目的地区域搜索第三数据结构以标识与目的地区域相关联的目的地区域组，基于源区域组和目的地区域组搜索第四数据结构以标识第二安全策略子集，并且将安全策略集合标识为包括第一安全策略子集和第二安全策略子集。

在第七实现中，单独地或者与第一实现至第六实现中的一个或多个组合，标识安全策略集合包括：基于源区域搜索第一数据结构以标识与源区域相关联的源区域组，基于目的地区域搜索第二数据结构以标识与目的地区域相关联的目的地区域组，并且基于源区域组和目的地区域组来搜索第三数据结构以标识安全策略集合。

在第八实现中，单独地或者与第一实现至第七实现中的一个或多个组合，将安全策略应用于网络业务用于使网络设备阻挡网络业务，或者使网络设备允许网络业务。

尽管图5示出了过程500的示例框，但是在一些实现中，与图5所描绘的框相比，过程500包括附加框、更少框、不同框或者布置不同的框。附加地或备选地，过程500的两个或多个框可以被并行执行。

前述公开内容提供了说明和描述，但并非旨在穷举实现或将实现限制于所公开的精确形式。修改和变化可以鉴于以上公开内容进行，或者可以从实现的实践中获取。

如本文使用的，网络业务可以包括分组集合。分组可以指用于传递信息的通信结构，诸如协议数据单元(PDU)、服务数据单元(SDU)、网络分组、数据报、区段、消息、块、帧(例如以太网帧)、上述的任何的一部分和/或能够经由网络传输的另一类型的格式化或未格式化的数据单元。

如本文使用的，术语“组件”旨在被广义地解释为硬件、固件或硬件和软件的组合。将明显的是，本文描述的***和/或方法可以以硬件、固件和/或硬件和软件的组合的不同形式实现。用于实现这些***和/或方法的实际专用控制硬件或软件代码并不限制实现。因此，***和/或方法的操作和行为在本文中描述，而没有参照具体的软件代码-要理解，软件和硬件可以被用于基于本文的描述实现***和/或方法。

即使特征的特定组合在权利要求中叙述和/或在说明书中公开，但是这些组合并不旨在限制各种实现的公开内容。事实上，这些特征中的许多特征可以以未在权利要求中具体叙述和/或在说明书中公开的方式组合。尽管下面列出的每个从属权利要求可能仅直接依赖于一个权利要求，但是各种实现的公开内容包括与权利要求集合中的每个其他权利要求组合的每个从属权利要求。如本文使用的，引用项目列表中的“至少一个”的短语指的是这些项目的任何组合，包括单个成员。作为示例，“以下至少一个：a、b或c”旨在覆盖a、b、c、a-b、a-c、b-c和a-b-c以及具有多个相同项目的任何组合。

除非明确地这样描述，否则本文使用的元件、行动或指令不应该被解释为关键或必要的。而且，如本文使用的，冠词“一”和“一个”旨在包括一个或多个项目，并且可以与“一个或多个”互换使用。进一步地，如本文使用的，冠词“该”旨在包括结合冠词“该”引用的一个或多个项目，并且可以与“一个或多个”互换使用。此外，如本文使用的，术语“集合”旨在包括一个或多个项目(例如相关项目、不相关项目或者相关项目和不相关项目的组合)，并且可以与“一个或多个”互换使用。在仅有一个项目的情况下，短语“仅一个”或类似语言被使用。而且，如本文使用的，术语“具有(has)”、“具有(have)”、“具有(having)”等旨在作为开放式术语。进一步地，除非另有明确规定，否则短语“基于”旨在表示“至少部分地基于”。而且，如本文使用的，除非另有明确规定(例如如果与“任一个”或“…中的仅一个”组合使用)，否则术语“或”在串联使用时旨在是包括性的，并且可以与“和/或”互换使用。

Claims (20)

1.一种网络设备，包括：

一个或多个存储器；以及

一个或多个处理器，用以：

接收网络业务；

标识所述网络设备的与所述网络业务相关联的一个或多个入口点；

基于所述网络设备的所述一个或多个入口点来确定与所述网络业务相关联的源区域；

标识所述网络设备的与所述网络业务相关联的一个或多个出口点；

基于所述网络设备的所述一个或多个出口点来确定与所述网络业务相关联的目的地区域；

基于所述源区域和所述目的地区域来标识安全策略集合；以及

将所述安全策略集合中的安全策略应用于所述网络业务。

2.根据权利要求1所述的网络设备，其中所述网络设备的所述一个或多个入口点包括以下至少一项：

所述网络设备的入口端口；或者

所述网络设备的入口接口。

3.根据权利要求1所述的网络设备，其中所述网络设备的所述一个或多个出口点包括以下至少一项：

所述网络设备的出口端口；或者

所述网络设备的出口接口。

4.根据权利要求1所述的网络设备，其中标识所述网络设备的所述一个或多个入口点的所述一个或多个处理器用以：

基于接收到所述网络业务来确定所述网络设备的入口端口或所述网络设备的入口接口中的至少一个，所述网络设备在所述入口端口或所述入口接口上接收到所述网络业务；以及

将所述入口端口或所述入口接口中的至少一个标识为所述网络设备的所述一个或多个入口点。

5.根据权利要求1所述的网络设备，其中标识所述网络设备的所述一个或多个出口点的所述一个或多个处理器用以：

处理所述网络业务以标识所述网络业务的目的地；

基于所述网络业务的所述目的地来搜索数据结构，以标识所述网络设备的出口端口或所述网络设备的出口接口中的至少一个，所述网络设备将在所述出口端口或所述出口接口上转发所述网络业务；以及

将所述出口端口或所述出口接口中的至少一个标识为所述网络设备的所述一个或多个出口点。

6.根据权利要求1所述的网络设备，其中标识所述安全策略集合的所述一个或多个处理器用以：

基于所述源区域和所述目的地区域来搜索第一数据结构，以标识指示所述安全策略集合的入口；以及

基于所述入口来标识所述安全策略集合。

7.根据权利要求1所述的网络设备，其中标识所述安全策略集合的所述一个或多个处理器用以：

基于所述源区域和所述目的地区域来搜索第一数据结构，以标识第一安全策略子集；

基于所述源区域来搜索第二数据结构，以标识与所述源区域相关联的源区域组；

基于所述目的地区域来搜索第三数据结构，以标识与所述目的地区域相关联的目的地区域组；

基于所述源区域组和所述目的地区域组来搜索第四数据结构，以标识第二安全策略子集；以及

将所述安全策略集合标识为包括所述第一安全策略子集和所述第二安全策略子集。

8.根据权利要求1所述的网络设备，其中标识所述安全策略集合的所述一个或多个处理器用以：

基于所述源区域来搜索第一数据结构，以标识与所述源区域相关联的源区域组；

基于所述目的地区域来搜索第二数据结构，以标识与所述目的地区域相关联的目的地区域组；以及

基于所述源区域组和所述目的地区域组来搜索第三数据结构，以标识所述安全策略集合。

9.根据权利要求1所述的网络设备，其中将所述安全策略应用于所述网络业务用以：

使所述网络设备阻挡所述网络业务；或者

使所述网络设备允许所述网络业务。

10.一种存储指令集的非瞬态计算机可读介质，所述指令集包括：

一个或多个指令，所述一个或多个指令在由网络设备的一个或多个处理器执行时使所述网络设备：

接收网络业务；

基于与所述网络业务相关联的所述网络设备的一个或多个入口点来确定与所述网络业务相关联的源区域；

基于与所述网络业务相关联的所述网络设备的一个或多个出口点来确定与所述网络业务相关联的目的地区域；

基于所述源区域和所述目的地区域来标识安全策略集合；以及

将所述安全策略集合中的安全策略应用于所述网络业务。

11.根据权利要求10所述的非瞬态计算机可读介质，其中使所述网络设备确定与所述网络业务相关联的所述源区域的所述一个或多个指令使所述网络设备：

基于接收到所述网络业务来确定所述网络设备的所述一个或多个入口点，所述网络设备在所述一个或多个入口点上接收到所述网络业务；以及

基于所述网络设备的所述一个或多个入口点来搜索数据结构，以确定与所述网络业务相关联的所述源区域。

12.根据权利要求10所述的非瞬态计算机可读介质，其中使所述网络设备确定与所述网络业务相关联的所述目的地区域的所述一个或多个指令使所述网络设备：

处理所述网络业务以标识所述网络业务的目的地；

基于所述网络业务的所述目的地来搜索第一数据结构，以标识所述网络设备的所述一个或多个出口点，所述网络设备将在所述一个或多个出口点上转发所述网络业务；以及

基于所述网络设备的所述一个或多个出口点来搜索第二数据结构，以确定与所述网络业务相关联的所述目的地区域。

13.根据权利要求10所述的非瞬态计算机可读介质，其中使所述网络设备标识所述安全策略集合的所述一个或多个指令使所述网络设备：

基于所述源区域和所述目的地区域来搜索数据结构，以标识所述安全策略集合。

14.根据权利要求10所述的非瞬态计算机可读介质，其中使所述网络设备标识所述安全策略集合的所述一个或多个指令使所述网络设备：

基于所述源区域和所述目的地区域来确定第一安全策略子集；

基于所述源区域来确定与所述源区域相关联的源区域组；

基于所述目的地区域来确定与所述目的地区域相关联的目的地区域组；

基于所述源区域组和所述目的地区域组来确定第二安全策略子集；以及

将所述安全策略集合标识为包括所述第一安全策略子集和所述第二安全策略子集。

15.根据权利要求10所述的非瞬态计算机可读介质，其中使所述网络设备标识所述安全策略集合的所述一个或多个指令使所述网络设备：

基于所述源区域来确定与所述源区域相关联的源区域组；

基于所述目的地区域来确定与所述目的地区域相关联的目的地区域组；以及

基于所述源区域组和所述目的地区域组来确定所述安全策略集合。

16.根据权利要求10所述的非瞬态计算机可读介质，其中使所述网络设备将所述安全策略应用于所述网络业务的所述一个或多个指令使所述网络设备：

处理所述网络业务以标识所述网络业务的一个或多个特性；

将所述安全策略集合中的所述安全策略标识为适用于所述网络业务的所述一个或多个特性；以及

基于标识所述安全策略来将所述安全策略应用于所述网络业务。

17.一种方法，包括：

由网络设备接收网络业务；

由所述网络设备基于与所述网络业务相关联的所述网络设备的一个或多个入口点来确定与所述网络业务相关联的源区域；

由所述网络设备基于与所述网络业务相关联的所述网络设备的一个或多个出口点来确定与所述网络业务相关联的目的地区域；以及

由所述网络设备基于所述源区域和所述目的地区域来将安全策略应用于所述网络业务。

18.根据权利要求17所述的方法，其中将所述安全策略应用于所述网络业务包括：

基于所述源区域和所述目的地区域来搜索数据结构，以标识安全策略集合；

将所述安全策略集合中的所述安全策略标识为适用于所述网络业务；以及

基于标识所述安全策略来将所述安全策略应用于所述网络业务。

19.根据权利要求17所述的方法，其中将所述安全策略应用于所述网络业务包括：

基于所述源区域和所述目的地区域来确定第一安全策略子集；

基于所述源区域来确定与所述源区域相关联的源区域组；

基于所述目的地区域来确定与所述目的地区域相关联的目的地区域组；

基于所述源区域组和所述目的地区域组来确定第二安全策略子集；

将安全策略集合标识为包括所述第一安全策略子集和所述第二安全策略子集；

将所述安全策略集合中的所述安全策略标识为适用于所述网络业务；以及

基于标识所述安全策略来将所述安全策略应用于所述网络业务。

20.根据权利要求17所述的方法，其中将所述安全策略应用于所述网络业务包括：

基于所述源区域来确定与所述源区域相关联的源区域组；

基于所述目的地区域来确定与所述目的地区域相关联的目的地区域组；

基于所述源区域组和所述目的地区域组来确定安全策略集合；

将所述安全策略集合中的所述安全策略标识为适用于所述网络业务；以及

基于标识所述安全策略来将所述安全策略应用于所述网络业务。

Images