用于控制网络访问的系统和方法在授予网络上的客户机计算机对网络的访问权之前确定该客户机计算机顺应管理员定义的网络健康策略。定义分组交换机制,其中将来自服务器的过滤指令转换成客户机计算机上的防火墙规则以将客户机访问限于网络上的补救服务器。客户机计算机从补救服务器获取更新补丁以变得顺应网络健康策略标准。
【技术实现步骤摘要】
【国外来华专利技术】控制网络访问背景在计算机网络中,在允许客户机计算机访问网络之前查明该客户机的健康状态是 有利的。通过确定客户机计算机顺应网络健康策略标准,例如通过具有最新的反病毒软件 或正确安装的防火墙,可最小化对网络的风险。如果确定客户机计算机不顺应管理员定义 的网络健康策略标准,则限制对网络的访问直到诸如该客户机变得顺应标准可能是合乎需 要的。 当客户机连接到网络时,可使用不同的实施方法来确保顺应网络健康策略标准。 这些实施方法可包括使用802. IX认证设备、网际协议安全策略(IPsec)以及动态主机配置 协议(DHCP)。对于IPv4网络,DHCP可用于通过由DHCP服务器分配给客户机计算机的路由 和默认网关来控制该客户机对网络的访问。这些路由和网关可由DHCP服务器修改以限制 非顺应客户机对网络的访问。概述已经开发出一种供客户机在请求访问网络时展示对网络健康策略标准的顺应性 的方法。在该方法中,客户机向服务器发送访问网络的请求并且在该请求中包括该客户机 的健康陈述(SoH)。服务器确定该客户机是否顺应管理员定义的网络上的健康策略标准。 如果该客户机不顺应,则服务器向该客户机发送包括用于补救其健康缺陷的指令并且包括 包含可从其下载必要的更新或补丁的服务器的IPv4或IPv6地址的过滤指令的响应。客户 机将过滤指令转换成由该客户机上的主机防火墙用来过滤网络上的客户机通信的防火墙 规则。基于防火墙规则,可将客户机的访问限于仅网络的特定部分。例如,客户机可被限于 只访问能够提供所需的更新补丁以使得该客户机能够获得对健康策略标准的顺应性的补 救服务器。或者,客户机可被限于该客户机可与其通信以便例如寻求管理员的帮助的特定 IP地址。一旦客户机获得顺应性,该客户机就向服务器发送包括已更新的健康陈述的另一 访问请求。服务器验证客户机是顺应的,并且如果为是,则向该客户机发送授予该客户机对 网络的完全访问权的响应。客户机然后改变防火墙规则以准许该客户机访问整个网络。在一个示例实施例中,该方法涉及使用动态主机控制协议第6版(DHCPv6)的IPv6 网络。该方法使用DHCPv6来定义分组交换序列,其中客户机通过向服务器发送其健康陈述 来获取对网络的访问权。服务器确认客户机的健康陈述顺应网络健康策略标准并向该客户 机发送在必要时包括补救和过滤指令的评估结果。该示例实施例利用DHCPv6协议中的厂 商专用信息选项字段来在客户机和服务器之间交换所有上述信息。由此,客户机在请求访 问网络时将其健康陈述插入厂商专用选项字段。在对客户机的响应消息中,服务器还使用 厂商专用信息选项字段来发送对照网络健康策略标准来评估客户机的健康陈述的结果。如 果服务器发现客户机不顺应这些策略标准,则该服务器可将使得该客户机能够变得顺应的 任何必要的补救指令插入厂商专用信息选项字段并且插入针对客户机的过滤指令。客户机 将过滤指令转换成防火墙规则以将客户机访问限于网络上的补救服务器。客户机计算机然 后使用补救指令来从补救服务器获取更新补丁以变得顺应网络健康策略标准。提供本概述是为了以简化的形式介绍将在以下详细描述中进一步描述的一些概 念。本概述并不旨在标识出所要求保护的主题的关键特征或必要特征,也不旨在用于限定 所要求保护的主题的范围。附图说明合并在本说明书中并形成其一部分的附图示出了本专利技术的若干方面,并且与说明 书一起用于解释本专利技术的原理。在附图中图1是示例企业网络的图示。图2是示例企业网络的另一图示。图3是客户机计算机上的示例功能模块的图示。 图4是客户机、服务器、以及网络策略服务器之间的示例通信方案的图示。图5是示出供客户机获取对网络的访问权的示例方法的流程图。图6是示出供服务器授予客户机对网络的访问权的示例方法的流程图。详细描述为了增加计算机网络的完整性,定义健康策略以便为网络上的客户机计算机设置 顺应标准。现代操作系统包含提供用于确保顺应这些网络健康策略的机制的策略实施平 台。使用策略实施平台,网络管理员可创建定制的健康策略并在允许客户机计算机访问网 络之前确保顺应这些健康策略。可将非顺应客户机限于网络的受限部分直到这些客户机变 得顺应健康策略。诸如微软的网络访问保护平台(NAP)等策略实施平台提供可由消费者基于其便 利性和偏好来采用的不同实施机制。一种这样的实施机制是动态主机配置协议(DHCP)。此 处公开了用于结合客户机计算机上的主机防火墙来将DHCP用作针对网络的健康实施机制 的示例系统和方法图1示出了计算机网络100的图示,该计算机网络对于公司企业网络或内联网而 言是典型的。该网络包含客户机计算机130和服务器计算机110。网络100还包含网络策 略服务器120以及受限网络140,网络策略服务器120包含管理员定义的网络健康策略,而 受限网络140是非顺应客户机所定向到的网络直到诸如该非顺应客户机变得顺应之时。在示例实施例中,客户机130向服务器110请求访问网络100。作为该请求的一部 分,客户机130向服务器发送提供关于该客户机的当前健康状态的信息的健康陈述(SoH)。 响应于该请求,服务器110被编程为将该客户机的SoH发送到网络策略服务器120。网络策 略服务器120根据由网络管理员定义的网络策略来确定客户机130是否处于健康状态以使 得能够向客户机130提供对网络100的访问。网络策略服务器120将响应发回服务器110。 该响应指示服务器110允许客户机130完全访问,拒绝客户机130访问,或者只允许客户机 130部分地访问网络110。该响应还可包括关于该客户机的健康状态中的具体缺陷的信息 以及关于可如何补救这些缺陷的指令。服务器110进而响应客户机130。如果允许客户机130访问,则服务器110通过 允许访问来响应客户机130。如果拒绝客户机130访问或只允许客户机130部分地访问网 络100,则服务器110用针对位于该客户机上的主机防火墙130a的一组指令来响应客户机 130。该服务器还包括关于该客户机的健康缺陷的信息以及用于补救这些缺陷的指令。这些指令用于将主机防火墙130a编程为只允许客户机130访问受限网络140直到诸如客户 机130被授予完全访问权(在它已补救其健康的情况下)或被拒绝访问网络100(在无法 在所准许的时间段内补救其健康的情况下)。在示例实施例中,防火墙130基于来自服务器 的指令编程为将出站和入站通信两者都限于受限网络140。在示例实施例中,受限网络140是网络100的一部分。在一个实施例中,受限网络 140包括对于网络100不重要的资源,并且因此可由具有非最优健康状态的客户机访问。这 些资源可包括允许客户机130下载补丁和/或已更新的病毒签名以允许客户机130改善/ 补救该客户机的健康状态的一个或多个补救服务器。在其它示例中,资源可包括具有对网 络100而言不重要的数据和功能的客户机和服务器。图2示出了另一示例计算机网络200。在网络200中,一个或多个客户机计算机 210a,210b,210c和210d连接到网络200。每一个客户机210a,210b,210c和210d都包含 防火墙(220a、220b、220c和220d),诸如包含在微软Windows Vista或微软Windows 本文档来自技高网...
【技术保护点】
一种用于基于客户机(210a、210b、210c、210d)与网络健康策略标准的顺应性来控制对计算机网络(200)的访问的方法,所述方法包括:将访问所述网络(200)的请求从所述客户机(210a、210b、210c、210d)发送到服务器(230),所述请求包括所述客户机(210a、210b、210c、210d)的健康陈述;从所述服务器(230)接收第一响应,所述第一响应包括过滤指令;将所述过滤指令转换成所述客户机(210a、210b、210c、210d)上的防火墙规则;以及使用所述客户机(210a、210b、210c、210d)上的防火墙(220a、220b、220c、220d),基于所述防火墙规则来过滤从所述客户机(210a、210b、210c、210d)到所述网络(200)的通信。
【技术特征摘要】
【国外来华专利技术】US 2007-10-29 11/926,794一种用于基于客户机(210a、210b、210c、210d)与网络健康策略标准的顺应性来控制对计算机网络(200)的访问的方法,所述方法包括将访问所述网络(200)的请求从所述客户机(210a、210b、210c、210d)发送到服务器(230),所述请求包括所述客户机(210a、210b、210c、210d)的健康陈述;从所述服务器(230)接收第一响应,所述第一响应包括过滤指令;将所述过滤指令转换成所述客户机(210a、210b、210c、210d)上的防火墙规则;以及使用所述客户机(210a、210b、210c、210d)上的防火墙(220a、220b、220c、220d),基于所述防火墙规则来过滤从所述客户机(210a、210b、210c、210d)到所述网络(200)的通信。2. —种供第一服务器(230)确定客户机(210a、210b、210C、210d)是否应被授予对计 算机网络(200)的访问权的方法,所述方法包括从所述客户机(210a、210b、210c、210d)接收访问所述网络(200)的请求,所述请求包 括所述客户机(210a、210b、210c、2IOd)的健康陈述; 将所述请求发送到第二服务...
【专利技术属性】
技术研发人员:S钱德瓦尼,
申请(专利权)人:微软公司,
类型:发明
国别省市:US[美国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。