安全设备、系统和方法技术方案

本发明专利技术涉及一种安全设备、系统和方法，描述了用于共享网络会话数据的技术。该技术可以使安全设备能够以联合方式利用应用分类信息。示例安全设备包括存储器和一个或多个处理器。处理器配置为：从第二安全设备接收表示用于第一分组流的应用分类的数据；接收第二分组流的数据；以及当第二分组流对应于第一分组流时，基于用于第一分组流的应用分类来监控第二分组流的数据，而不确定对第二分组流的应用分类。

【技术实现步骤摘要】
安全设备、系统和方法
本公开涉及计算机网络，并且更具体地，涉及例如在计算机网络中使用的下一代防火墙(NGFW)系统的安全设备。
技术介绍
计算机网络通常包括交换数据并共享资源的互连的计算设备的集合。设备可以包括例如web服务器、数据库服务器、文件服务器、路由器、打印机、终端用户计算机和其它设备。各种设备可以执行各种不同的服务和通信协议。每个不同的服务和通信协议将网络暴露给不同的安全漏洞。在典型的网络部署中，可以部署多个下一代防火墙(NGFW)设备。每个NGFW设备可以分别处理大量的网络流量。网络流量属于在不同传输介质(TCP/UDP/HTTP等)上运行的各种应用。NGFW设备单独处理流量并应用动态应用分类算法以便对应用进行分类。在各种非限制性示例使用情况下，NGFW设备可以执行关于点对点(P2P)应用的应用分类。一般来说，NGFW网络设备执行应用分类、存储分类所需的数据并分别进行策略执行。在许多情况下，P2P应用(例如eDonkey、Ares、Mute、Gnuetella，Directconnect和QVOD)用于内容递送、下载和共享文件、视频文件、音频文件等。反过来，这样的P2P应用倾向于消耗大量的网络带宽。用于通过NGFW设备对这样的P2P应用进行分类的算法是复杂的并且中央处理单元(CPU)密集的，因为算法可能消耗大量的CPU时钟周期。
技术实现思路
一般来说，本公开描述用于减少由应用分类导致的计算资源消耗和网络带宽消耗的技术。根据本公开的各个方面，安全设备(例如NGFW)可以将大量消耗CPU的应用分类操作的结果输出到网络中的其它NGFW。这样，输出的信息可以被其它NGFW重复使用，而不会对相关流量流再次执行这种应用标识操作。根据本公开的方面，这些安全设备(例如，NGFW)可以配置为彼此协调并且彼此交换应用分类信息。应用分类信息的示例包括应用名称、目的地互联网协议(IP)地址和目的地端口。除了应用分类信息之外，所公开的技术可以使得NGFW能够共享元数据和其它属性，像对将来的P2P会话进行分类所需的交换的对等的信息(对等IP和对等端口)。NGFW可以应用输出的分类信息和其它信息以执行用于应用的策略，并且对于可以是P2P应用的应用采取相应的动作(例如，允许/拒绝/丢弃)。在一个示例中，一种方法，包括：由第一安全设备从第二安全设备接收表示用于第一分组流的应用分类的数据。该方法进一步包括由第一安全设备接收第二分组流的数据，和当第二分组流对应于第一分组流时，由第一安全设备基于用于第一分组流的应用分类来监控第二分组流的数据，而不对第二分组流的应用分类进行确定。在另一个示例中，第一安全设备包括：存储器，配置为存储网络通信数据；和一个或多个处理器，用于处理网络通信数据的至少一部分。一个或多个处理器可以配置为从第二安全设备接收表示用于第一分组流的应用分类的数据，接收第二分组流的数据，和当第二分组流对应于第一分组流时，基于用于第一分组流的应用分类来监控第二分组流的数据，而不对第二分组流的应用分类进行确定。在另一示例中，非易失性计算机可读存储介质用指令编码，当被执行时，使得第一安全设备的一个或多个处理器从第二安全设备接收表示用于第一分组流的应用分类的数据，接收第二分组流的数据，并且当第二分组流对应于第一分组流时，基于用于第一分组流的应用分类来监控第二分组流的数据，而不对用于第二分组流的应用分类进行确定。在另一个示例中，一种系统包括：第一安全设备，配置为将表示用于第一分组流的应用分类的数据发送到通信地耦接到第一安全设备的一个或多个安全设备。该系统可以进一步包括一个或多个安全设备中的第二安全设备，其通信地耦接到第一安全设备，第二安全设备配置为从第一安全设备接收表示用于第一分组流的应用分类的数据，接收第二分组流的数据，和当第二分组流对应于第一分组流时，基于用于第一分组流的应用分类来监控第二分组流的数据，而不对用于第二分组流的应用分类进行确定。在另一示例中，一种方法包括由第一安全设备确定用于第一分组流的应用分类，以及由第一安全设备将用于第一分组流的应用分类和用于第一分组流的对等信息传送到通信地耦接到第一安全设备的第二安全设备。本文所描述的技术可提供若干优点。通过在多个设备(例如，NGFW)之间输出和同步分类和相关的P2P信息(例如，对等IP、对等体口)，本公开的技术可以节省在其它设备上重新对这些应用进行分类所需的时间、计算资源和网络带宽。以这种方式，本公开的技术可以改善网络性能以及各个设备的性能。网络中部署的多个NGFW可以作为协同设备，学习对等信息并分发信息给其它NGFW。在附图和下面的描述中阐述了一个或多个示例的细节。从说明书和附图以及从权利要求中，其它特征、目的和优点将是显而易见的。附图说明图1A是示出包括配置为在虚拟专用局域网服务(VPLS)网络中接收和发送数据分组的下一代防火墙(NGFW)的示例计算机网络的框图。图1B是示出在网络的对等设备之间已经建立P2P会话之后的网络的框图。图1C是示出根据本公开的一个或多个方面的下一代防火墙(NGFW)可以实现的联合策略执行的框图。图2是示出根据本公开的一个或多个方面的NGFW的示例的框图。图3是示出根据本公开的一个或多个方面的状态检查引擎的示例实施方式的框图。图4是示出根据本公开的一种或多种技术的设备可以通过其执行应用分类和状态数据初始化并将得到的会话数据的部分输出到另一设备的示例过程的流程图。图5是示出根据本公开的一种或多种技术的设备可以在利用由另一设备共享的会话数据的同时执行应用分类和状态数据初始化的示例过程的流程图。具体实施方式图1A是示出包括配置为在虚拟专用局域网服务(VPLS)网络10(以下称为“网络10”)中接收和发送数据分组的下一代防火墙系统12A-12C(“NGFW12”)的示例计算机网络的框图。例如，网络10可以是企业网络、校园网络、服务供应商网络、家庭网络或另一自治系统。站点网络15A-15C(“站点网络15”)中的每一个可以包括在特定站点(例如企业的企业或卫星位置)处的一个或多个局域网(LAN)连接设备。在VPLS实例中，NGFW12可以跨网络10提供逻辑互连，使得包括在特定VPLS实例中的站点网络15的客户边缘(CE)设备14A-14C(“CE设备14”)显得通过单个LAN连接。以这种方式，位于远程的对等体16可以经由计算机网络10上的仿真LAN并使用服务器18，从而安全地共享数据。对等体16中的每一个可以表示一个或多个设备，其可操作以使用各种点对点(“P2P”)应用(例如和各种其它的应用)来共享数据。站点网络15可以各自包括多个客户或订户设备，例如台式计算机、膝上型计算机、工作站、无线设备、网络就绪设备、文件服务器、打印服务器或其它设备。在一些情况下，远程站点可以配置为支持多播流量，例如因特网协议电视(IPTV)、桌面会议、公司广播、音乐和视频网络广播以及其它形式的多媒体内容。例如，连接到站点网络15A的源16可以包括多播流量的源服务器，并且连接到站点网络15B-15E的对等体16可以包括多播流量的订户设备。CE设备14可以是用于它们各自的网络站点15的第三层(L3)路由设备。如图1所示，CE设备14中的每一个连接到对等体16中的相应的一个本文档来自技高网...

【技术保护点】
一种方法，包括：由第一安全设备从第二安全设备接收表示用于第一分组流的应用分类的数据；由所述第一安全设备接收第二分组流的数据；以及当所述第二分组流对应于所述第一分组流时，由所述第一安全设备基于用于所述第一分组流的所述应用分类来监控所述第二分组流的所述数据，而不对所述第二分组流的应用分类进行确定。

【技术特征摘要】
2015.12.30 US 14/983,9821.一种方法，包括：由第一安全设备从第二安全设备接收表示用于第一分组流的应用分类的数据；由所述第一安全设备接收第二分组流的数据；以及当所述第二分组流对应于所述第一分组流时，由所述第一安全设备基于用于所述第一分组流的所述应用分类来监控所述第二分组流的所述数据，而不对所述第二分组流的应用分类进行确定。2.根据权利要求1所述的方法，进一步包括：当所述第二分组流不对应于所述第一分组流时：由所述第一安全设备为所述第二分组流确定所述应用分类；和由所述第一安全设备基于为所述第二分组流确定的所述应用分类来监控所述第二分组流。3.根据权利要求2所述的方法，其中，为所述第二分组流确定所述应用分类包括由所述第一安全设备解封装和解密所述第二分组流的至少一个数据分组的数据。4.根据权利要求1所述的方法，进一步包括由所述第一安全设备将与所述第一分组流相关联的第一对等信息和与所述第二分组流相关联的第二对等信息进行比较，以确定所述第二分组流是否对应于所述第一分组流。5.根据权利要求4所述的方法，其中，所述第一对等信息和所述第二对等信息中的每一个包括第三层(L3)数据，并且其中，用于所述第一分组流的所述应用分类包括第七层(L7)数据。6.根据权利要求4所述的方法，其中，所述第一对等信息和所述第二对等信息中的每一个包括对等互联网协议(IP)地址和对等端口的相应元组。7.根据权利要求4所述的方法，进一步包括：当所述第二对等信息与所述第一对等信息匹配时，由所述第一安全设备确定所述第二分组流对应于所述第一分组流；以及当所述第二对等信息与所述第一对等信息不匹配时，由所述第一安全设备确定所述第二分组流不对应于所述第一分组流。8.根据权利要求4所述的方法，进一步包括由所述第一安全设备通过窥探在位于所述第一安全设备下游的客户端设备与位于所述第一安全设备上游的服务器之间传送的数据分组来确定所述第二...

【专利技术属性】
技术研发人员：纳根德拉·辛格·亚达夫，阿尼尔·库马尔·雷迪·西里吉里，
申请(专利权)人：丛林网络公司，
类型：发明
国别省市：美国,US