CN1777179A - 用于分发安全策略的方法和*** - Google Patents
用于分发安全策略的方法和*** Download PDFInfo
- Publication number
- CN1777179A CN1777179A CNA2005101163083A CN200510116308A CN1777179A CN 1777179 A CN1777179 A CN 1777179A CN A2005101163083 A CNA2005101163083 A CN A2005101163083A CN 200510116308 A CN200510116308 A CN 200510116308A CN 1777179 A CN1777179 A CN 1777179A
- Authority
- CN
- China
- Prior art keywords
- rule
- execution engine
- computer system
- security strategy
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Business, Economics & Management (AREA)
- Business, Economics & Management (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
提供了一种分发并执行安全策略的方法和***。执行在要被保护的主机计算机***上的一防火墙代理为负责在所述主机计算机***上执行安全策略的执行引擎接收安全策略。一安全策略具有规则,该规则中的每一条提供了一个条件以及当条件被满足时要执行的动作。一个规则也含有一个规则类型,规则类型由所述分发***使用来识别负责执行规则的安全组件。为了分发在主机计算机***接收到的安全策略,防火墙代理根据规则类型的一部分识别哪个规则要被应用到的执行引擎。防火墙代理随后将所述规则分发给识别出的执行引擎,执行引擎随后执行所述规则。
Description
(1)技术领域
所述技术大致涉及防止对计算机***漏洞的利用的***。
(2)背景技术
虽然因特网已经在帮助计算机***通信以及电子商务上获得了巨大的成功,连接到因特网的计算机***已经处在黑客几乎持续的攻击之下,以寻求破坏它们的运行。许多攻击寻求利用包括在这些计算机***上执行的应用程序和其它计算机程序的软件***的漏洞。软件***的开发者以及企业计算机***的管理者花费大量人力和财力以求识别并移除漏洞。然而由于软件***的复杂性,事实上不可能在软件***发布前识别并移除所有的漏洞。当软件***发布后,开发者可以通过各种方式得知漏洞。无恶意的小组可以识别出一个漏洞并可以悄悄地告知开发者,这样该漏洞可以在被黑客识别并利用之前就被移除。如果黑客首先识别出了一个漏洞,开发者可能无法了解到该漏洞,直到它被利用——某些时候带有灾难性的后果。
不论开发者如何得知一个漏洞,开发者通常会开发并向***管理者分发“补丁”或对软件***升级以移除漏洞。如果漏洞还没有被利用(如,可能没有被黑客所知),这样开发者可以设计、实施、测试并通过正常渠道分发一个补丁。如果该漏洞已经被广泛利用了,这样开发者就会匆忙地发布一个补丁,不带有通常情况下所用的顾虑。当补丁被分发到计算机***的管理者时,它们负责安排并安装补丁以移除漏洞。
不幸的是,管理者通常因为各种各样的原因延迟了为了移除漏洞的补丁安装。当补丁被安装后,软件***和/或执行它的计算机***可能需要关机并重新启动。如果该漏洞是存在于对组织的成功至关重要的软件***中的,那么管理者需要分析保持软件***带着遭受攻击的风险继续和运行以及关闭企业的关键资源来安装补丁之间的权衡。一些管理者会延迟补丁的安装因为他们害怕由于草率的发布,软件可能没有被适当的测试并带有非预期的副作用。如果补丁含有非预期的副作用,那么该软件***、该计算机***,或者一些其他受到补丁影响的软件组件可能会被补丁本身关闭。在决定是否安装补丁时,管理者需要把非预期副作用考虑进去。这些管理者会延迟安装补丁直到来自其他的经验表明没有严重的非预期副作用。
入侵检测***已经发展到可被用来识别一个企图是否被用来利用一个已知的还未被修补的漏洞。这些入侵检测***可被用于防止对最近发现的还没有开发或安装过补丁的漏洞的利用。这些入侵检测***会为每种利用漏洞的方法定义一个“签名”。例如,如果一个漏洞可被通过发送一个特定类型的含有特定属性的信息来利用,那么用于这个利用的签名会详细说明该类型和属性。当一个安全执行事件发生时,诸如接收信息,入侵检测***检查它的签名以判断是否有任何签名匹配该安全执行事件。如果有,入侵检测***会采取动作来防止该利用,诸如丢弃该信息。
用于对最近发现的漏洞的利用的签名可通过多种方式生成。入侵检测***的开发者在他们得知了新的利用时会创建并分发新的签名。管理者然后可安装新的签名以防止该利用。然而开发者可能不会为所有已知的利用提供签名。例如,漏洞可能在一个开发者不支持的特定用途的引用程序中。为了防止对这些漏洞的利用,入侵检测***会允许管理者创建他们自己的签名。
一组一个或多个签名被认为是一个安全策略。入侵检测***的开发者会提供多种安全策略。例如,开发者会提供一个定义操作***漏洞的签名的安全策略以及许多特定用于一个应用程序或一类应用程序的其他安全策略。同样地,管理者会定义一个特定用于企业使用的定制应用程序的安全策略。
由于入侵会发生在任何一个操作***或应用程序内的各个点,入侵检测***已经被开发为检测并防止在这些点处的漏洞的利用。例如,一入侵检测***会被开发为防止对可在通信协议的网络层的上被检测到的漏洞的利用,同时另一个入侵检测***会被开发为防止对可在访问文件时被检测到的漏洞的利用。每个入侵检测***的开发者可提供他们自己的执行过程以及安全策略,这些需要被分发到每个需要被保护的计算机***。此外,任何对执行过程或安全策略的升级同样需要被分发到需要被保护的计算机***。
用于拥有大量计算机***的企业的安全策略的分发以及升级可能是一件复杂而且耗时的任务。每个安全策略需要被提供给每个计算机***并随后被提供给安装在计算机***内的合适的入侵检测***。由于入侵检测***的开发者通常互相独立地开发他们自己的***,每个入侵检测***会具有专有的定义和分发安全策略的机制。企业的***管理者可能需要了解这些机制中的每一个以便有效地使用该入侵检测***。
需要一种能提供统一的方式在计算机***分发安全策略给负责执行安全策略的组件的机制。
(3)发明内容
提供了一种分发和执行安全策略的方法和***。一种分布式的防火墙***包括一策略服务器组件、防火墙代理以及执行引擎。在需要被保护的主机计算机***执行的防火墙代理从策略服务器组件为负责在主机计算机***执行安全策略的执行引擎接收安全策略。安全策略含有规则,每个规则提供了一个条件以及当条件被满足时将要执行的动作。一个规则也含有一规则类型(也被称为是安全类型),它被防火墙代理用来识别负责执行规则的执行引擎。防火墙代理可分发安全策略给操作在用户态和核心态的执行引擎。执行引擎可为安全执行提供分层接入。为了分发已经在主机计算机***接收到的安全策略,防火墙代理根据规则类型的一部分识别出一个规则是应用于哪个执行引擎。防火墙代理然后将规则分发给识别出的执行引擎,然后执行引擎执行规则。
(4)附图说明
图1示出了一则实施例中的分布式的防火墙***框图。
图2示出了一则实施例中在主机计算机***上执行的分布式防火墙***的一部分组件的框图。
图3示出了一则实施例中防火墙代理的分发策略组件的处理过程流程图。
图4示出了一则实施例中流管理器组件的处理过程流程图。
图5示出了一则实施例中用于特定层的执行引擎的处理过程流程图。
(5)具体实施方式
提供了一种分发并执行安全策略的方法和***。一个分布式的防火墙***包括一策略服务器组件、防火墙代理以及执行引擎。在需要被保护的主机计算机***执行的防火墙代理从策略服务器为负责在主机计算机***执行安全策略的执行引擎接收安全策略。安全策略含有一执行范围以及相关规则。执行范围定义了相关规则被应用到的一个处理或应用的属性。规则提供了一个条件以及当条件被满足时将要采取的动作。规则也含有一规则类型(也被称为是安全类型),它被防火墙代理用来识别负责执行规则的执行引擎。防火墙代理可分发安全策略给操作在用户态和核心态的执行引擎。执行引擎可为分布式防火墙提供分层处理。例如,执行引擎可被安装在主机计算机***以防止在ISO-7层参考模型中的多个层上的入侵。网络层、传输层、以及会话层各自可以拥有一个执行引擎,它被开发用于检测在那一层的入侵企图。为了分发已经在主机计算机***接收到的安全策略,防火墙代理根据规则类型的一部分识别出一个规则是应用于哪个执行引擎。防火墙代理然后将规则分发给识别出的执行引擎,然后执行引擎执行规则。当接收到一个规则时,执行引擎可以分发该规则给它的适当的子组件。例如,防火墙代理可分发所有的指向核心态执行引擎的规则给一个单独的核心态安全组件,然后核心态安全组件分发这些规则给执行引擎。这样,分布式防火墙***提供了一个用于主机计算机***,向为不同层提供保护的执行引擎分发安全策略规则的单独机制。
在一则实施例中,一个安全策略包括指定条件、动作以及任选项外的规则。例如,一个规则可指出一个应用程序不能在除了端口80以外的任何网络端口上接收信息。该规则的条件可在当从除了端口80以外的网络端口上收到一个信息时被满足,并且该动作会导致信息被丢弃。另一个例子是,一个规则可指出当一个应用程序试图在网络端口80上发送信息时,将索要一个来自该规则所执行的计算机***的用户的授权。该规则可被根据他们的行为来分类成规则类型或安全类型。例如,带有网络安全类型的规则可被导向至用于网络通信的安全执行。每个安全类型可含有它自己的安全组件,用于执行该安全类型的规则。用于指定安全策略的语言被描述在美国专利申请号No.10/882,438,题为“表达安全策略的语言”(Languages for Expressing Security Policies),递交于2004年7月1日,结合在此作为参考,。
规则的条件、动作以及例外可被指定为表达式。规则可被语义上表示为“IF条件THEN动作EXCEPT例外”。一个规则的条件为执行规则的安全执行动作时的环境表达式。一个动作是当条件被满足时将要执行的行动的表达式。一个规则可含有多个动作。一个例外是即使条件满足时也不会执行动作的表达式。一个条件可为静态的或动态的。一个静态的条件是一个涉及,例如,硬编码的文件列表。一个动态条件可以是一个,例如,执行一个询问来判断一个文件列表是否匹配一个预先提供的准则。安全执行动作可包括允许一个产生安全执行事件的请求、拒绝该请求、索要用户的输入、通知用户、以及诸如此类。其他规则结构也是可能的。例如,一个“else”结构可被添加以当条件为假时执行另外选择的动作。
图1示出了一则实施例中的分布式的防火墙***的框图。一个企业可以拥有一个网络***100,它包括策略服务器计算机***110以及主机计算机***120。一***管理者使用策略服务器计算机***的一个策略服务器组件111来准备并向主机计算机***分发存储在安全策略存储器112中的安全策略。每个主机计算机***包括一个防火墙代理121、执行引擎122以及一个策略存储器123。防火墙代理提供了一个中央机制,通过它主机计算机***接收并分发安全策略给该主机计算机***的执行引擎。当接收到来自安全服务器计算机***的安全策略时,主机计算机***的防火墙代理将安全策略存储在策略存储单元中。防火墙代理随后就按照顺序原则处理安全策略并将规则提供给合适的执行引擎。防火墙代理可组合多种安全策略、排序安全策略的规则、并动态将对安全策略的改动或会影响到安全策略执行的***配置通知执行引擎。这些组合、排序、以及通知被描述在美国专利申请号No.10/966,800,题为“组合安全策略的方法和***”(Method and System for Merging Security Policies),递交于2004年10月14日,结合在此作为参考。执行引擎然后执行规则,通过将它们应用到网络事件。执行引擎可提供各种类型的安全执行。一个执行引擎可检测一个企图执行特定行为并阻挡该企图。例如,一个被病毒感染的应用程序会企图删除操作***的特定文件。一个和应用程序执行在相同进程空间的安全引擎可检测并阻挡删除文件的企图。一个用于执行行为阻挡的安全引擎被描述在美国专利申请号No.10/832,798,题为“一种通过安全虚拟机执行安全策略的方法和***”(A Method and System for Enforcing a Security Policyvia a Security Virtual Machine),递交于2004年4月27日,结合在此作为参考。执行引擎可适应于将规则应用到各种协议的网络事件中,例如IP、ICMP、TCP、FTP、DNS、HTTP、RPC,以及诸如此类。防止对漏洞利用的技术被描述在美国专利申请号No.10/955,963,题为“过滤通信以防止对软件漏洞的利用的方法和***”(Method and System for Filtering Communications toPrevent Exploitation of a Software Vulnerability),递交于2004年9月30日,结合在此作为参考。
图2示出了一则实施例中在主机计算机***上执行的分布式防火墙***的组件的框图。主机计算机***包括防火墙代理组件220、核心态组件230、以及应用程序用户态组件240。防火墙代理组件包括一接收策略组件221、一解析策略组件222、以及一分发策略组件223。防火墙代理组件也包括一策略存储器224以及一配置管理器225。接收策略组件接收由策略服务器组件***提供的安全策略并将策略存储在策略存储器中。解析策略组件从策略存储器中检索策略并将它们转换为用于执行引擎处理的低级语言。分发策略组件接收到已解析的安全策略并将安全策略的规则分发给合适的执行引擎。配置管理器提供用于根据当前主机计算机***的配置判断哪个规则该被分发给哪个执行引擎的配置信息。
核心态组件包括执行引擎231。流管理器组件233,以及协议钩234。组件可被分层从第0层至第N层,它们相应于ISO 7层参考模型。每一层可含有一个相关的协议钩、流管理器、以及特定于层的执行引擎,特定于层的解析网络事件、并且对那一层执行由防火墙代理提供的规则。用于每一层的规则被存储在一个特定于那层的规则存储器232中。流管理器组件负责拦截网络事件并且调用相应的执行引擎来执行规则。每个流管理器组件从负责在相应层检测网络事件的相应的协议钩接收网络事件。应用程序用户态组件可被提供为一个动态连接库,它连接到一个应用程序,使用一种在整体体系结构上类似核心态组件的方法提供分层安全。
实现分发***的计算机设备可包括一个中央处理单元、存储器、输入设备(如,键盘和指针设备)、输出设备(如,显示设备)、以及存储设备(如,磁盘驱动器)。存储器以及存储设备是计算机可读介质,它可包括实现分发***的指令。此外,数据结构以及信息结构可被存储或通过数据传输介质传输,诸如在通信链路上的信号。各种通信链路可被使用,诸如因特网、局域网、广域网、点对点拨号连接以及蜂窝电话网络,等等。
分发***可实现在多种操作环境中包括个人计算机、服务器计算机、手持或膝上设备、多处理器***、基于微处理器的***、可编程消费品电器、数字相机、网络PC、小型机、大型机计算机、包括任何上述***或设备的分布式计算环境,等等。主机计算机***可为蜂窝电话、个人数字助理、智能电话、个人计算机、可编程消费品电器、数字相机,等等。
分发***可被描述为计算机可执行指令的通常格式,诸如由一个或多个计算机或其他设备执行的程序模块。通常有,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构、以及诸如此类。典型地,程序模块的作用可按照各种实施例的要求被组合或分散。
图3示出了一则实施例中防火墙代理的分发策略组件的处理过程流程图。当从解析策略组件接收到策略后,组件识别了规则要应用到的执行引擎并将规则分发到识别出的执行引擎。在块301-307中,组件循环选择安全策略。在块301中,组件选择了下一个安全策略。在判断块302中,如果所有安全策略都已经被选择,那么组件完成,否则组件继续到块303。在块303-307中,组件循环处理所选择的安全策略中的每个规则。在块303中,组件选择了所选择的安全策略中的下一个规则。在判断块304中,如果所选择的安全策略中的所有规则都已经被选择了,那么组件循环至块301以选择下一个安全策略,否则组件继续到块305。在块305中,组件识别了所选择的安全规则的组件类型(或是安全类型)。在块306中,组件识别了负责执行所识别出的规则类型的执行引擎。在块307中,组件将所选择的规则提供给已识别的组件并且随后循环到块303以选择所选择的安全策略中的下一个规则。
图4示出了一则实施例中流管理器组件的处理过程流程图。流管理器组件被递送了一个网络事件并调用合适的执行引擎用以处理该网络事件。流管理器组件可被实现为用于每一层的并只为该层处理网络事件的分开的流管理器,或是可被实现为替所有层的处理网络事件的单个流管理器组件。在示出的实施例中,流管理器组件为所有的层处理所有网络事件。在判别块401-403中,组件识别了网络事件要应用到的层。在块411-413,组件随后为那一层调用相关联的执行引擎。组件随后完成。流管理器可为每个网络连接保持一个单独的流。执行引擎以及流管理器可特定于层以及层实现的协议。例如,当一个连接在分组层使用传输控制协议(TCP)或用户数据报协议(UDP)时,流管理器调用合适该协议的执行引擎。被调用的执行引擎可为追踪从一个动作到下一个动作的状态信息创建数据结构。每个由用户态执行引擎保护的应用程序可同样具有一个带有用于每个连接的单独流的流管理器。
图5示出了一则实施例中用于特定层的执行引擎的处理过程流程图。作为分布式防火墙***一个组件的执行引擎被提供了一个网络事件;识别应用于该事件的规则;判断该规则的条件是否被满足;如果满足,执行规则相关的动作。在块501-504中,组件循环选择了与执行引擎中相关联的层的每一个规则。在块501中,组件选择了下一个规则。在判断块502中,如果所有规则都已经被选择了,那么组件完成,否则组件继续到块503。在判断块503中,如果规则的条件被满足了,那么组件继续到块504,否则组件循环到块501以选择下一个规则。在块504,组件执行了与规则相关联的动作并且随后循环到块501以选择下一个规则。每个执行引擎可被改编以处理合适于层的网络事件和规则。例如,一个用于网络层的执行引擎可解析网络封包并且执行涉及网络封包的规则。一个用于应用层的执行引擎可检测未经授权的访问或修改涉及该程序的文件的企图。
从上述中,可以被理解的是在此描述的分布式防火墙***的特定实施例是为了解释目的,但是可以在不脱离本发明精神和范围下进行多种修改。相应地,本发明不受限于附加权利要求。
Claims (30)
1.一种在计算机***内的方法,向用于执行安全策略的执行引擎分发安全策略的规则,其特征在于,该方法包括:
在所述计算机***提供实现安全执行的不同层的执行引擎;
在所述计算机***上接收和存储了具有规则的安全策略,每个规则具有规则类型;
在所述计算机***上执行的防火墙代理的控制下,检索存储的安全策略;并对于所检索到的安全策略的规则:
根据规则的规则类型识别规则要应用到的执行引擎;并且
将规则提供给识别出的执行引擎;并且
在所述执行引擎的控制下,执行由防火墙代理提供给所述执行引擎的规则;
其中所述防火墙代理提供用于向所述计算机***内的多个执行引擎分发所述规则的机制。
2.如权利要求1所述的方法,其特征在于,从向多个计算机***分发安全策略的策略计算机***接收所述安全策略。
3.如权利要求1所述的方法,其特征在于,所述执行引擎提供了分层的防火墙。
4.如权利要求1所述的方法,其特征在于,所述执行引擎包括行为阻挡安全组件。
5.如权利要求1所述的方法,其特征在于,所述执行引擎包括子组件并且当被提供规则时,所述执行引擎将所述规则提供给子组件。
6.如权利要求1所述的方法,其特征在于,至少一个执行引擎执行在核心态中并且至少一个执行引擎执行在用户态中。
7.如权利要求1所述的方法,其特征在于,所述防火墙代理包括用户态子组件以及核心态子组件,并且所述用户态子组件分发规则给用于提供规则给在核心态执行的执行引擎的所述核心态子组件。
8.如权利要求1所述的方法,其特征在于,流管理器组件在不同层拦截网络事件并调用与层相关联的执行引擎来执行该层的规则。
9.如权利要求8所述的方法,其特征在于,单个的流管理器组件处理来自多个层的网络事件。
10.如权利要求8所述的方法,其特征在于,流管理器组件仅处理来自一个层的网络事件。
11.如权利要求1所述的方法,其特征在于,所述执行引擎在网络协议栈的各层提供安全性。
12.如权利要求11所述的方法,其特征在于,所述不同执行引擎的层用于不同的连接。
13.一种分发安全策略的计算机***结构,其特征在于包括:
策略服务器计算机***,用于建立安全策略,所述安全策略具有带有规则类型的规则,也用于向主机计算机***提供安全策略,以在所述主机计算机***上执行安全策略;以及
多个主机计算机***,包括:
用于在所述主机计算机***执行一类安全性的执行引擎;以及
防火墙代理,从所述策略服务器计算机***接收所述安全策略,根据规则类型以及执行引擎类型识别所述规则要被应用到的执行引擎,并将所述规则提供给识别出的执行引擎,以执行所述安全规则。
14.如权利要求13所述的计算机***结构,其特征在于,所述执行引擎被分层使得当一个执行引擎确定提供给它的规则不能应用到网络事件时,另一个执行引擎确定提供给它的所述规则是否应用于所述网络事件。
15.如权利要求14所述的计算机***结构,其特征在于,所述层包括协议拦截钩以及执行引擎。
16.如权利要求13所述的计算机***结构,其特征在于,所述防火墙代理向在用户态执行的执行引擎分发规则。
17.如权利要求13所述的计算机***结构,其特征在于,所述防火墙代理向在核心态执行的执行引擎分发规则。
18.如权利要求13所述的计算机***结构,其特征在于,所述执行引擎被分层并且包括在每一层拦截网络事件并在网络事件上调用该层执行引擎的执行该层规则的流管理器组件。
19.如权利要求18所述的计算机***结构,其特征在于,所述流管理器组件为多个层拦截网络事件。
20.如权利要求18所述的计算机***结构,其特征在于,所述流管理器为单个层拦截网络事件。
21.一种主机计算机***,向用于执行所述主机计算机***安全策略的执行引擎分发安全策略规则,其特征在于包括:
多个执行引擎,通过接收和执行安全策略的规则而在所述主机计算机***实现不同层的防火墙安全执行;
组件,在所述主计算机***接收具有规则的安全策略,每个规则包含一规则类型;以及
组件,根据所述规则的规则类型识别所述规则要被应用到的执行引擎并向识别出的执行引擎提供所述规则;
其中提供一种机制,向所述主机计算机***上的分层执行引擎分发所述规则。
22.如权利要求21所述的计算机***结构,其特征在于,所述安全策略是从向多个主机计算机***分发所述安全策略的策略服务器***接收到的。
23.如权利要求21所述的计算机***结构,其特征在于,所述执行引擎包括行为阻挡安全组件。
24.如权利要求21所述的计算机***结构,所述执行引擎包括子组件并且当被提供规则时,所述执行引擎将所述规则提供给子组件。
25.如权利要求21所述的计算机***,其特征在于,至少一个执行引擎执行在核心态中并且至少一个执行引擎执行在用户态中。
26.如权利要求21所述的计算机***,其特征在于,向所述执行引擎提供规则的组件包括用户态子组件以及核心态子组件,并且所述用户态子组件分发规则给用于提供规则给在核心态执行的执行引擎的所述核心态子组件。
27.如权利要求21所述的计算机***,其特征在于,包括流管理器组件,它在不同层拦截网络事件并调用与层相关联的执行引擎来执行该层的规则。
28.如权利要求27所述的计算机***,其特征在于,单个的流管理器组件处理来自多个层的网络事件。
29.如权利要求27所述的计算机***,其特征在于,流管理器组件仅处理来自一个层的网络事件。
30.一种计算机可读介质,包括用于通过一种方法控制主机计算机***向执行引擎分发安全策略以执行所述安全策略的指令,其特征在于,所述方法包括:
在所述主机计算机***上接收并存储具有规则的安全策略,每个规则具有规则类型;
在所述主机计算机***上执行的防火墙代理的控制下,检索存储的安全策略;并对于所检索到的安全策略的规则:
根据规则的规则类型识别规则要应用到的执行引擎;并且
将规则提供给识别出的执行引擎;以及
在所述执行引擎的控制下,执行由分发组件提供给所述执行引擎的规则。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/993,688 | 2004-11-19 | ||
| US10/993,688 US7509493B2 (en) | 2004-11-19 | 2004-11-19 | Method and system for distributing security policies |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1777179A true CN1777179A (zh) | 2006-05-24 |
| CN1777179B CN1777179B (zh) | 2010-09-01 |
Family
ID=35999529
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2005101163083A Active CN1777179B (zh) | 2004-11-19 | 2005-10-11 | 用于分发安全策略的方法和*** |
Country Status (5)
| Country | Link |
|---|---|
| US (2) | US7509493B2 (zh) |
| EP (1) | EP1677484B1 (zh) |
| JP (1) | JP4914052B2 (zh) |
| KR (1) | KR101183423B1 (zh) |
| CN (1) | CN1777179B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009030136A1 (fr) * | 2007-08-31 | 2009-03-12 | Huawei Technologies Co., Ltd. | Procédé et système pour distribuer une stratégie et entité de distribution de stratégie |
| CN101364877B (zh) * | 2008-09-28 | 2010-10-27 | 福建星网锐捷网络有限公司 | 安全策略配置方法及其装置 |
| CN102687480A (zh) * | 2009-12-12 | 2012-09-19 | 阿卡麦科技公司 | 基于云的防火墙***及服务 |
| CN104125192A (zh) * | 2013-04-23 | 2014-10-29 | 鸿富锦精密工业(深圳)有限公司 | 虚拟机安全保护***及方法 |
| CN101729531B (zh) * | 2009-03-16 | 2016-04-13 | 中兴通讯股份有限公司 | 网络安全策略分发方法、装置及*** |
Families Citing this family (50)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7509493B2 (en) * | 2004-11-19 | 2009-03-24 | Microsoft Corporation | Method and system for distributing security policies |
| GB0513375D0 (en) | 2005-06-30 | 2005-08-03 | Retento Ltd | Computer security |
| WO2007116605A1 (ja) * | 2006-03-30 | 2007-10-18 | Nec Corporation | 通信端末装置、ルール配布装置およびプログラム |
| JP4872412B2 (ja) * | 2006-03-31 | 2012-02-08 | 日本電気株式会社 | 情報検知処理方法及び装置 |
| US20080083009A1 (en) * | 2006-09-29 | 2008-04-03 | Microsoft Corporation | Policy fault |
| ITBO20070318A1 (it) | 2007-05-03 | 2008-11-04 | Marchesini Group Spa | Stazione per la pesatura di contenitori |
| US8584227B2 (en) * | 2007-05-09 | 2013-11-12 | Microsoft Corporation | Firewall with policy hints |
| US8443433B2 (en) * | 2007-06-28 | 2013-05-14 | Microsoft Corporation | Determining a merged security policy for a computer system |
| US9043861B2 (en) | 2007-09-17 | 2015-05-26 | Ulrich Lang | Method and system for managing security policies |
| US8286219B2 (en) * | 2008-02-16 | 2012-10-09 | Xencare Software Inc. | Safe and secure program execution framework |
| US8448220B2 (en) * | 2008-04-29 | 2013-05-21 | Mcafee, Inc. | Merge rule wizard |
| US20090300748A1 (en) * | 2008-06-02 | 2009-12-03 | Secure Computing Corporation | Rule combination in a firewall |
| US20100162240A1 (en) * | 2008-12-23 | 2010-06-24 | Samsung Electronics Co., Ltd. | Consistent security enforcement for safer computing systems |
| US9621516B2 (en) * | 2009-06-24 | 2017-04-11 | Vmware, Inc. | Firewall configured with dynamic membership sets representing machine attributes |
| KR100989347B1 (ko) * | 2009-08-21 | 2010-10-25 | 펜타시큐리티시스템 주식회사 | 보안규칙 기반의 웹공격 탐지 방법 |
| US8607325B2 (en) * | 2010-02-22 | 2013-12-10 | Avaya Inc. | Enterprise level security system |
| US10511630B1 (en) | 2010-12-10 | 2019-12-17 | CellSec, Inc. | Dividing a data processing device into separate security domains |
| US9413721B2 (en) | 2011-02-15 | 2016-08-09 | Webroot Inc. | Methods and apparatus for dealing with malware |
| US9515999B2 (en) * | 2011-12-21 | 2016-12-06 | Ssh Communications Security Oyj | Automated access, key, certificate, and credential management |
| WO2013110857A1 (en) | 2012-01-24 | 2013-08-01 | Ssh Communications Security Oyj | Privileged access auditing |
| US9294508B2 (en) * | 2012-08-02 | 2016-03-22 | Cellsec Inc. | Automated multi-level federation and enforcement of information management policies in a device network |
| US9565213B2 (en) | 2012-10-22 | 2017-02-07 | Centripetal Networks, Inc. | Methods and systems for protecting a secured network |
| US9137205B2 (en) | 2012-10-22 | 2015-09-15 | Centripetal Networks, Inc. | Methods and systems for protecting a secured network |
| US9203806B2 (en) | 2013-01-11 | 2015-12-01 | Centripetal Networks, Inc. | Rule swapping in a packet network |
| US9124552B2 (en) | 2013-03-12 | 2015-09-01 | Centripetal Networks, Inc. | Filtering network data transfers |
| US9094445B2 (en) | 2013-03-15 | 2015-07-28 | Centripetal Networks, Inc. | Protecting networks from cyber attacks and overloading |
| US20160149863A1 (en) * | 2013-06-25 | 2016-05-26 | Ditno. Pty Ltd | Method and system for managing a host-based firewall |
| US9497194B2 (en) * | 2013-09-06 | 2016-11-15 | Oracle International Corporation | Protection of resources downloaded to portable devices from enterprise systems |
| US9215213B2 (en) | 2014-02-20 | 2015-12-15 | Nicira, Inc. | Method and apparatus for distributing firewall rules |
| AU2015240467B2 (en) | 2014-04-04 | 2019-07-11 | CellSec, Inc. | Method for authentication and assuring compliance of devices accessing external services |
| US9674147B2 (en) | 2014-05-06 | 2017-06-06 | At&T Intellectual Property I, L.P. | Methods and apparatus to provide a distributed firewall in a network |
| US9264370B1 (en) | 2015-02-10 | 2016-02-16 | Centripetal Networks, Inc. | Correlating packets in communications networks |
| US9866576B2 (en) | 2015-04-17 | 2018-01-09 | Centripetal Networks, Inc. | Rule-based network-threat detection |
| US9680706B2 (en) | 2015-06-30 | 2017-06-13 | Nicira, Inc. | Federated firewall management for moving workload across data centers |
| US9917856B2 (en) | 2015-12-23 | 2018-03-13 | Centripetal Networks, Inc. | Rule-based network-threat detection for encrypted communications |
| US11729144B2 (en) | 2016-01-04 | 2023-08-15 | Centripetal Networks, Llc | Efficient packet capture for cyber threat analysis |
| US10348685B2 (en) | 2016-04-29 | 2019-07-09 | Nicira, Inc. | Priority allocation for distributed service rules |
| US10135727B2 (en) | 2016-04-29 | 2018-11-20 | Nicira, Inc. | Address grouping for distributed service rules |
| US11425095B2 (en) | 2016-05-01 | 2022-08-23 | Nicira, Inc. | Fast ordering of firewall sections and rules |
| US11171920B2 (en) | 2016-05-01 | 2021-11-09 | Nicira, Inc. | Publication of firewall configuration |
| US11088990B2 (en) | 2016-06-29 | 2021-08-10 | Nicira, Inc. | Translation cache for firewall configuration |
| US11258761B2 (en) | 2016-06-29 | 2022-02-22 | Nicira, Inc. | Self-service firewall configuration |
| US10503899B2 (en) | 2017-07-10 | 2019-12-10 | Centripetal Networks, Inc. | Cyberanalysis workflow acceleration |
| US11233777B2 (en) | 2017-07-24 | 2022-01-25 | Centripetal Networks, Inc. | Efficient SSL/TLS proxy |
| US10284526B2 (en) | 2017-07-24 | 2019-05-07 | Centripetal Networks, Inc. | Efficient SSL/TLS proxy |
| US10333898B1 (en) | 2018-07-09 | 2019-06-25 | Centripetal Networks, Inc. | Methods and systems for efficient network protection |
| KR101951208B1 (ko) * | 2018-09-28 | 2019-02-25 | 주식회사 루터스시스템 | 방화벽에이전트를 이용해 네트워크 트래픽을 감시하는 방화벽 시스템 |
| US11310202B2 (en) | 2019-03-13 | 2022-04-19 | Vmware, Inc. | Sharing of firewall rules among multiple workloads in a hypervisor |
| US11362996B2 (en) | 2020-10-27 | 2022-06-14 | Centripetal Networks, Inc. | Methods and systems for efficient adaptive logging of cyber threat incidents |
| US11159546B1 (en) | 2021-04-20 | 2021-10-26 | Centripetal Networks, Inc. | Methods and systems for efficient threat context-aware packet filtering for network protection |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH07319691A (ja) * | 1994-03-29 | 1995-12-08 | Toshiba Corp | 資源保護装置、特権保護装置、ソフトウェア利用法制御装置、及びソフトウェア利用法制御システム |
| US5968176A (en) | 1997-05-29 | 1999-10-19 | 3Com Corporation | Multilayer firewall system |
| US6678827B1 (en) | 1999-05-06 | 2004-01-13 | Watchguard Technologies, Inc. | Managing multiple network security devices from a manager device |
| WO2000078004A2 (en) * | 1999-06-10 | 2000-12-21 | Alcatel Internetworking, Inc. | Policy based network architecture |
| US6920558B2 (en) | 2001-03-20 | 2005-07-19 | Networks Associates Technology, Inc. | Method and apparatus for securely and dynamically modifying security policy configurations in a distributed system |
| CN1257632C (zh) * | 2002-12-11 | 2006-05-24 | 中国科学院研究生院 | 一种坚固网关***及其检测攻击方法 |
| US7308711B2 (en) * | 2003-06-06 | 2007-12-11 | Microsoft Corporation | Method and framework for integrating a plurality of network policies |
| US7509493B2 (en) * | 2004-11-19 | 2009-03-24 | Microsoft Corporation | Method and system for distributing security policies |
-
2004
- 2004-11-19 US US10/993,688 patent/US7509493B2/en active Active
-
2005
- 2005-09-30 KR KR1020050091837A patent/KR101183423B1/ko active IP Right Grant
- 2005-10-11 CN CN2005101163083A patent/CN1777179B/zh active Active
- 2005-10-19 JP JP2005304775A patent/JP4914052B2/ja active Active
- 2005-11-07 EP EP05110420.6A patent/EP1677484B1/en active Active
-
2009
- 2009-03-11 US US12/402,448 patent/US7831826B2/en active Active
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009030136A1 (fr) * | 2007-08-31 | 2009-03-12 | Huawei Technologies Co., Ltd. | Procédé et système pour distribuer une stratégie et entité de distribution de stratégie |
| CN101378522B (zh) * | 2007-08-31 | 2012-01-25 | 华为技术有限公司 | 分发策略的方法、***和策略分发实体 |
| CN101364877B (zh) * | 2008-09-28 | 2010-10-27 | 福建星网锐捷网络有限公司 | 安全策略配置方法及其装置 |
| CN101729531B (zh) * | 2009-03-16 | 2016-04-13 | 中兴通讯股份有限公司 | 网络安全策略分发方法、装置及*** |
| CN102687480A (zh) * | 2009-12-12 | 2012-09-19 | 阿卡麦科技公司 | 基于云的防火墙***及服务 |
| CN102687480B (zh) * | 2009-12-12 | 2015-11-25 | 阿卡麦科技公司 | 基于云的防火墙***及服务 |
| CN104125192A (zh) * | 2013-04-23 | 2014-10-29 | 鸿富锦精密工业(深圳)有限公司 | 虚拟机安全保护***及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP1677484B1 (en) | 2016-06-08 |
| US7831826B2 (en) | 2010-11-09 |
| EP1677484A3 (en) | 2007-05-09 |
| US20090172774A1 (en) | 2009-07-02 |
| US20060129808A1 (en) | 2006-06-15 |
| CN1777179B (zh) | 2010-09-01 |
| US7509493B2 (en) | 2009-03-24 |
| KR20060056231A (ko) | 2006-05-24 |
| JP2006146891A (ja) | 2006-06-08 |
| JP4914052B2 (ja) | 2012-04-11 |
| KR101183423B1 (ko) | 2012-09-14 |
| EP1677484A2 (en) | 2006-07-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1777179B (zh) | 用于分发安全策略的方法和*** | |
| US7430760B2 (en) | Security-related programming interface | |
| US7523308B2 (en) | Method and system for dynamic system protection | |
| US7607041B2 (en) | Methods and apparatus providing recovery from computer and network security attacks | |
| US8495743B2 (en) | Methods and apparatus providing automatic signature generation and enforcement | |
| JP5967107B2 (ja) | マルウェアに対処するための方法及び装置 | |
| US6684329B1 (en) | System and method for increasing the resiliency of firewall systems | |
| US20070266433A1 (en) | System and Method for Securing Information in a Virtual Computing Environment | |
| US20100242111A1 (en) | Methods and apparatus providing computer and network security utilizing probabilistic policy reposturing | |
| US11374964B1 (en) | Preventing lateral propagation of ransomware using a security appliance that dynamically inserts a DHCP server/relay and a default gateway with point-to-point links between endpoints | |
| US20050125685A1 (en) | Method and system for processing events | |
| EP2013728A2 (en) | Methods and apparatus providing computer and network security for polymorphic attacks | |
| Salah et al. | Surviving cyber warfare with a hybrid multiagent-base intrusion prevention system | |
| Shouman et al. | Surviving cyber warfare with a hybrid multiagent-based intrusion prevention system | |
| WO2023130063A1 (en) | Zero trust file integrity protection | |
| CN118316634A (zh) | 报文检测方法、靶场***、安全检测设备及报文检测*** | |
| Shouman et al. | A Hybrid Multiagent-Based Intrusion Prevention System |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: MICROSOFT TECHNOLOGY LICENSING LLC Free format text: FORMER OWNER: MICROSOFT CORP. Effective date: 20150428 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20150428 Address after: Washington State Patentee after: Micro soft technique license Co., Ltd Address before: Washington State Patentee before: Microsoft Corp. |