智能防火墙访问规则制造技术

防火墙通过允许在防火墙规则中使用动态对象而提供了改进的网络安全，其中，所述动态对象对设备的变量集合进行评估。动态对象可以从实时数据源和非实时的数据库存进行更新。动态对象可以用于防火墙规则中的源和目的地中的一个或两者。在动态对象包括非实时数据的情况下，所述动态对象可以在可配置的基础上与所述非实时数据库存进行同步。通过使用动态对象，所述防火墙能够在所述规则中提供灵活性，以允许对用户拥有的和控制的设备进行控制。

【技术实现步骤摘要】
【国外来华专利技术】智能防火墙访问规则
在本文中所描述的实施例概括而言涉及网络安全，并且特别地涉及“带上你自己的设备”的环境中的智能防火墙访问规则。
技术介绍
雇员在执行雇佣任务时越来越不受限于公司所提供的设备。由于越来越多的雇员将诸如智能电话和平板计算机之类的个人移动设备带到工作场所，以及在远程位置使用它们以用于连接回到办公室，常规的防火墙已经在定义用于控制这些设备对企业资源进行访问的规则的能力欠缺方面进行了抗争。带上你自己的设备(BYOD)(也被称为带上你自己的技术(BYOT)、带上你自己的电话(BYOP)以及带上你自己的PC(BYOPC))是指准许雇员将个人拥有的移动设备(膝上型计算机、平板计算机、以及智能电话)带到其工作场所，并且使用那些设备来访问特许的公司信息和应用的政策。根据一些源，BYOD在商业世界做出了显著的进展，其中，在诸如巴西和俄罗斯的高增长市场中的有大约75％的雇员并且在发达市场中有大约44％的雇员已经在工作中使用他们自己的技术，而无论公司政策是否明确地允许BYOD。一些人认为BYOD可以帮助雇员更加有生产力。其他人表示通过使用他们自己的设备，提高了雇员的士气并和方便性，并且使得公司看起来像一个灵活并且有吸引力的雇主。一些公司感觉BYOD甚至可以是吸引新的雇员的手段，一项调查显示，如果组织支持他们的设备，44％的求职者会更加正面地看待该组织。常规的防火墙访问规则或策略已经依赖于诸如“允许IP地址X到网络Y中”和“拒绝用户X访问互联网”等之类的一维访问规则。这样的访问规则在BYOD环境中是不足的。附图说明图1是示出了根据现有技术的防火墙规则的表。图2是示出了根据一个实施例的采用动态对象的防火墙规则的表。图3是示出了根据一个实施例的用于创建动态对象的技术的方框图。图4是示出了根据一个实施例的利用动态对象来确定匹配的条件的方框图。图5是示出了根据一个实施例的利用动态对象来确定匹配的其他条件的方框图。图6是示出了根据一个实施例的用于收集动态对象的数据的设备的网络的方框图。图7是示出了根据一个实施例的用于定义动态对象的用户接口的屏幕截图。图8是示出了根据一个实施例的用于对采用动态对象的规则进行评估的技术的流程图。图9是示出了根据一个实施例的利用非实时数据库存(inventory)对动态对象进行同步的技术的流程图。图10是示出了根据一个实施例的防火墙的元素的方框图。图11是示出了根据一个实施例的在其中可以实现采用动态对象的防火墙的网络基础设施的方框图。图12是示出了根据一个实施例的在其中可以实现采用动态对象的防火墙的可编程设备的方框图。图13是示出了根据另一个实施例的在其中可以实现采用动态对象的防火墙的可编程设备的方框图。具体实施方式在以下的描述中，出于解释的目的，阐述了多个具体的细节以便提供对本专利技术的彻底的理解。然而显然，对本领域技术人员来说，本专利技术可以在没有这些具体的细节的情况下实践。在其他实例中，以方框图的形式示出了结构和设备以便避免使得本专利技术难以理解。对没有脚标或后缀的数字的引用被理解为对对应于所引用的数字的脚标和后缀的所有实例的引用。此外，在该公开中所使用的语言已经出于可读性和教导性目的而首要地被选择，并且可能不是被选择以阐明或划定专利技术主题，借助于必要的权利要求来确定这样的专利技术主题。在说明书中对“一个实施例”或“实施例”的引用意指结合该实施例所描述的特定的特征、结构或特性被包括在本专利技术的至少一个实施例中，并且对“一个实施例”或“实施例”的多个引用不应被理解为所有的都必须指同一个实施例。如在本文中所使用的，术语“计算机系统”能够指单个计算机或在一起工作以执行被描述为在计算机系统上执行的或由计算机系统执行的功能的多个计算机。类似地，术语“可编程设备”可以指单个可编程设备或在一起工作以执行被描述为在可编程设备上执行的或由可编程设备执行的功能的多个可编程设备，并且术语“机器可读介质”能够指单个物理机器可读介质或一起对被描述为存储在机器可读介质上的材料进行存储的多个物理机器可读介质。BYOD环境已经呈现出显著的安全问题。这些问题中的一些不是特定于BYOD环境的。例如，当诸如公司拥有的或雇员拥有的膝上型计算机的设备用于访问企业数据并且企业数据被留在该设备上(实质上是丢失了或被偷了)时，数据泄露可能发生。在BYOD环境中，离开公司的雇员不需要将其个人设备归还给公司，这可能引起数据在那些设备上的暴露。然而另外，利用常规的防火墙策略来对应当允许什么设备访问安全企业资源进行控制是非常难处理的。如下文所公开的，在防火墙策略中经由多维访问规则对BYOD访问控制进行处置。例如，信息技术(IT)管理者能够经由防火墙访问规则来施加控制：●允许所支持的移动设备运行具体的安全软件(例如，EndpointSecurity)以访问网络。(MCAFEE是McAfee公司的注册商标)。●人力资源(HR)用户不被准许使用设备。(ANDROID是Google公司的注册商标)。●智能电话不被允许使用端对端(P2P)应用。●智能电话/平板计算机不被准许从有线网络进行访问(例如，防止某些人试图使用他或她的膝上型计算机作为热点)。●只准许作为Active(AD)域的一部分并且运行企业认可的端点保护的机器来访问企业资源。(ACTIVEDIRECTORY是Microsoft公司的注册商标)。通过允许如下文所描述的多维访问规则，能够根据在企业防火墙中所部署的的受信任的规则来管理BYOD访问。常规的防火墙规则主要是一维的，并且通常涉及如在图1的规则集合100中所示出的元素。在该现有技术的图表中所示出的每个规则都包括规则属性(110)、源指示器(120)、目的地指示器(130)、应用(140)、时间(150)、方向(160)以及响应(170)。在行180中示出了针对每个的示例值。因此，源指示器120可以标识互联网协议(IP)地址(要么是IP版本4格式要么是IP版本6格式)、网络、组、用户和组、域名、国家等。类似地，目的地指示器130可以标识IP地址、网络、域名、国家、信誉等。应用140可以标识具体的应用(例如，Skype、Facebook)或应用类型(例如，端对端(P2P)聊天)，或者文件传输协议(FTP)。时间150可以指示可应用该规则的时间，例如，工作日、周末、任何时间、或自定义的时间段。方向160可以指示规则是应用于入分组、出分组还是两者。响应170可以指示满足规则的效果，例如，准许业务流(traffic)、阻止业务流、重置接口、对业务流进行速率限制、隔离业务流、或捕获分组。因此，例如，可以建立规则102-108。规则102将允许双向的网络业务流，其中IP地址10.20.30.0/24的源指示具有24位子网掩码的IPv4地址，目的地为数据中心中的任何地方，涉及所有应用，在一天中的任何时间。规则104将应用于与用户“JohnD”的源(在工作日期间发生的互联网的目的地)的向外聊天业务流。该业务流将被允许，但速率被限制。规则106将在工作时间期间阻止与受限区中的源和互联网的目的地的业务流，无论业务流的应用和方向如何。并且示例规则108将一直阻止与互联网的源和DMZ的目的地的向内FTP业务流。在常规的防火墙规则中，IP、用户、域名、位置、信誉等的属本文档来自技高网...

【技术保护点】
一种其上存储有指令的机器可读介质，包括当被执行时使得防火墙设备执行以下操作的指令：创建动态对象以供在防火墙规则中使用，所述动态对象定义了设备的变量组；根据从所述防火墙外部的源中所接收到的数据对所述动态对象进行填充；以及作为评估所述防火墙规则的部分来评估所述动态对象。

【技术特征摘要】
【国外来华专利技术】1.一种防火墙设备，包括：用于创建防火墙规则的动态对象的单元，所述动态对象定义了满足包含在所述动态对象中的多个条件的设备的变量组，其中所述动态对象通过如下方式创建：访问来自实时数据源的设备数据；分析来自实时数据源的所述设备数据以确定标识第一组设备的信息，其中第一组设备满足所述包含在所述动态对象中的所述多个条件中的第一条件；以及用标识满足所述多个条件中的第一条件的第一组设备的所述信息来填充所述动态对象；以及用于针对与第一网络业务流相关联的第一设备评估所述动态对象以确定是否对所述第一网络业务流应用所述防火墙规则的单元，其中所述动态对象是基于在所述动态对象中填充的所述信息来针对所述第一设备评估的。2.根据权利要求1所述的防火墙设备，进一步包括：用于从对网络进行监视的网络安全设备中请求所述设备数据的单元。3.根据权利要求1所述的防火墙设备，进一步包括：用于从非实时数据库存中接收第二设备数据的单元；以及用于基于所述第二设备数据来填充所述动态对象的单元。4.根据权利要求3所述的防火墙设备，其中，用于从非实时数据库存中接收所述第二设备数据的所述单元包括：用于将所述动态对象与所述非实时数据库存进行同步的单元。5.根据权利要求3所述的防火墙设备，其中，用于从非实时数据库存中接收所述第二设备数据的所述单元针对所述第二设备数据而查询所述非实时数据库存。6.根据权利要求1-5中的任何一项所述的防火墙设备，还包括：用于提供用户接口以定义动态对象以及定义采用所述动态对象的规则的单元。7.根据权利要求1所述的防火墙设备，其中，所述动态对象针对设备的变量集合进行评估。8.一种提供网络的防火墙的方法，包括：定义采用动态对象的防火墙规则，所述动态对象定义了满足包含在所述动态对象中的多个条件的设备的变量集合；通过如下方式创建所述动态对象：分析来自实时数据源的设备数据以确定标识第一组设备的信息，其中第一组设备满足所述包含在所述动态对象中的所述多个条件中的第一条件；以及用标识满足所述多个条件中的所述第一条件的第一组设备的所述信息来填充所述动态对象；以及将对应于第一网络业务流的第一设备与所述动态对象中填充的所述信息进行匹配以确定是否对所述第一网络业务流应用所述防火墙规则。9.根据权利要求8所述的方法，还包括：响应于确定对所述第一网络业务流应用所述防火墙规则而采取动作。10.根据权利要求8-9中的任何一项所述的方法，还包括：将所述动态对象与设备数据的非实时数据库存进行同步。11.根据权利要求10所述的方法，其中，将所述动态对象与设备数据的非实时数据库存进行同步包括：查询所述非实时数据库存；以及利用通过查询所述非实时数据库存所获得的结果来更新所述动态对象。12.根据权利要求8-9中的任何一项所述的方法，还包括：获得实时设备信息；以及基于所述实时设备信息来填充所述动态对象。13.根据权利要求12所述的方法，其中，获得所述实时设备信息包括：从被动地对网络流进行监视的设备中获得所述实时设备信息。14.一种防火墙装置，其包括用于执行如权利要求8-13中的任何一项所述的方法的单元。...

【专利技术属性】
技术研发人员：B·K·古普塔，A·拉曼，M·内德巴尔，E·A·安巴拉甘，
申请(专利权)人：迈克菲公司，
类型：发明
国别省市：美国;US