專利名稱：自動(dòng)分布式網(wǎng)絡(luò)保護(hù)的制作方法
自動(dòng)分布式網(wǎng)絡(luò)保護(hù)
背景技術(shù)：
網(wǎng)絡(luò)網(wǎng)關(guān)可用于提供各種類型的安全、網(wǎng)絡(luò)通信保護(hù)、以及包括內(nèi)容檢查、反病毒 (“Α/ν”)掃描、惡意軟件阻塞、信息泄漏保護(hù)、入侵檢測(cè)等其他處理。提供這些功能通常在 處理能力、盤空間、存儲(chǔ)器、帶寬等方面消耗大量資源，這與諸如個(gè)人計(jì)算機(jī)(“PC”)和移動(dòng) 設(shè)備(例如，移動(dòng)電話、智能電話、手持式游戲設(shè)備、個(gè)人媒體播放器、手持式計(jì)算機(jī)等)且 通過網(wǎng)關(guān)執(zhí)行網(wǎng)絡(luò)訪問的客戶機(jī)器的數(shù)量線性地綁定。由于隨著需要通過網(wǎng)關(guān)的網(wǎng)絡(luò)訪問 的客戶機(jī)器的數(shù)量增加而需要部署更多網(wǎng)絡(luò)網(wǎng)關(guān)，這些資源消耗可影響網(wǎng)絡(luò)網(wǎng)關(guān)安全解決 方案的可伸縮性。另外，用于執(zhí)行處理的網(wǎng)絡(luò)帶寬成本可以是相當(dāng)大的。從客戶機(jī)到服務(wù)請(qǐng)求所需 的網(wǎng)關(guān)的每個(gè)往返表示帶寬和處理成本兩者。所需的往返和服務(wù)器上的處理時(shí)間可降低總 體系統(tǒng)的響應(yīng)性和運(yùn)行在該客戶機(jī)上的各種用戶應(yīng)用程序的性能。這些固有限制(例如， 可伸縮性和帶寬)可顯著地影響支持公司的企業(yè)網(wǎng)絡(luò)的數(shù)據(jù)中心和將網(wǎng)絡(luò)保護(hù)作為托管 的服務(wù)來提供的服務(wù)提供者兩者的運(yùn)營(yíng)成本。對(duì)于這些服務(wù)提供者，常常難以標(biāo)識(shí)成本有 效的業(yè)務(wù)模型，因?yàn)榉?wù)的運(yùn)營(yíng)成本隨著服務(wù)所保護(hù)的用戶數(shù)量線性增長(zhǎng)。提供本背景來介紹以下概述和詳細(xì)描述的簡(jiǎn)要上下文。本背景不旨在幫助確定所 要求保護(hù)的主題的范圍，也不旨在被看作將所要求保護(hù)的主題限于解決以上所提出的問題 或缺點(diǎn)中的任一個(gè)或全部的實(shí)現(xiàn)。MM提供了一種將客戶機(jī)器的安全能力傳遞給網(wǎng)絡(luò)安全網(wǎng)關(guān)的網(wǎng)絡(luò)保護(hù)解決方案，使 得能夠以實(shí)現(xiàn)客戶機(jī)的目標(biāo)安全級(jí)別同時(shí)在網(wǎng)關(guān)處消費(fèi)盡可能少的資源的方式來在網(wǎng)關(guān) 和客戶機(jī)之間自動(dòng)且動(dòng)態(tài)地分布各種過程。例如，對(duì)于順應(yīng)指定的健康和/或公司管控策 略且已知具有所部署的、操作的和/或與最新威脅數(shù)據(jù)同時(shí)的A/V能力的客戶機(jī)，網(wǎng)絡(luò)安全 網(wǎng)關(guān)將無需對(duì)客戶機(jī)的傳入網(wǎng)絡(luò)通信執(zhí)行額外的A/V掃描，這由此可在網(wǎng)關(guān)處節(jié)省資源并 且降低運(yùn)營(yíng)成本。在各種說明性示例中，當(dāng)用戶在客戶機(jī)器處設(shè)法訪問類似在諸如因特網(wǎng)等外部網(wǎng) 絡(luò)上的網(wǎng)站的資源時(shí)，對(duì)客戶機(jī)順應(yīng)適用的策略和安全能力的枚舉在客戶機(jī)作出到網(wǎng)絡(luò)安 全網(wǎng)關(guān)的連接時(shí)被傳送。網(wǎng)關(guān)可隨后根據(jù)客戶機(jī)的順應(yīng)和安全能力來調(diào)整它的動(dòng)作，以便 避免重復(fù)工作，使得盡可能多的工作被卸載到客戶機(jī)來降低網(wǎng)關(guān)處資源消耗同時(shí)維持所需 級(jí)別的保護(hù)。然而，通常工作不被卸載到非順應(yīng)的客戶機(jī)(即，那些不符合適用的健康和/ 或公司管控策略的客戶機(jī))，相反，安全過程將由網(wǎng)關(guān)來執(zhí)行，以便確保將非順應(yīng)的客戶機(jī) 的安全維持在所需級(jí)別。當(dāng)網(wǎng)關(guān)調(diào)整它的動(dòng)作并將過程卸載到客戶機(jī)時(shí)，還可考慮諸如用 戶所尋求的信息的新鮮度、因特網(wǎng)的總體安全狀態(tài)等外部因素。在客戶機(jī)具有處理網(wǎng)絡(luò)通信的最小能力的一些情況下，網(wǎng)關(guān)將執(zhí)行過程的全集， 諸如連接到網(wǎng)站、執(zhí)行URL(統(tǒng)一資源定位符)過濾和A/V掃描等。當(dāng)客戶機(jī)是順應(yīng)的且較 完整地被配置或有能力的時(shí)候，網(wǎng)關(guān)將指示它本地地執(zhí)行較多過程，使得在網(wǎng)關(guān)處的資源 消耗較少。無論在網(wǎng)關(guān)處所消耗的什么資源都被記錄以便啟用例如網(wǎng)絡(luò)分析和優(yōu)化，或在托管的網(wǎng)絡(luò)保護(hù)服務(wù)的情況下，該日志可用于基于在網(wǎng)絡(luò)安全網(wǎng)關(guān)處的實(shí)際資源消耗而不 是僅基于所保護(hù)的客戶機(jī)的數(shù)量來生成帳單。在一些實(shí)現(xiàn)中，可利用多個(gè)網(wǎng)絡(luò)安全網(wǎng)關(guān)，其 中過程在各網(wǎng)關(guān)之間動(dòng)態(tài)地負(fù)載平衡。有利地，本發(fā)明的自動(dòng)分布式網(wǎng)絡(luò)保護(hù)解決方案使得客戶機(jī)與網(wǎng)關(guān)之間的網(wǎng)絡(luò)通 信處理的分配能夠被優(yōu)化以便降低成本同時(shí)維持所需級(jí)別的網(wǎng)絡(luò)保護(hù)。記錄在網(wǎng)關(guān)處的資 源消耗的能力使得企業(yè)網(wǎng)絡(luò)和托管的服務(wù)的顧客都能夠標(biāo)識(shí)資源如何被利用并且作為響 應(yīng)來調(diào)整客戶機(jī)的配置。例如，通過在金錢上懲罰網(wǎng)關(guān)處的資源消耗，激發(fā)顧客在客戶機(jī)處 (或在本地部署的網(wǎng)關(guān)處，即，那些位于企業(yè)中且通常由管理員本地管理的網(wǎng)關(guān))部署更多 安全能力。可隨后在更偶爾的基礎(chǔ)上依賴網(wǎng)絡(luò)安全網(wǎng)關(guān)，例如，當(dāng)客戶機(jī)器不是完全順應(yīng)或 沒有配備本地安全能力但仍需被使用時(shí)作為后備。提供本發(fā)明內(nèi)容是為了以簡(jiǎn)化的形式介紹將在以下具體實(shí)施方式
中進(jìn)一步描述 的一些概念。本概述并非旨在標(biāo)識(shí)所要求保護(hù)的主題的關(guān)鍵特征或必要特征，也不旨在用 于幫助確定所要求保護(hù)的主題的范圍。附圖描述

圖1示出了其中可部署本發(fā)明的自動(dòng)分布式網(wǎng)絡(luò)保護(hù)解決方案的說明性計(jì)算環(huán) 境；圖2示出了在客戶機(jī)器與網(wǎng)絡(luò)安全網(wǎng)關(guān)之間分配過程的說明性方法的概覽；圖3示出了其中在稀少地配備有本地安全保護(hù)的客戶機(jī)處的用戶訪問因特網(wǎng)上 的網(wǎng)站的第一說明性使用場(chǎng)景；圖4示出了在較完全配備的客戶機(jī)處的用戶訪問因特網(wǎng)上的網(wǎng)站的第二說明性 使用場(chǎng)景；圖5示出了在完全配備的客戶機(jī)處的用戶訪問因特網(wǎng)上的網(wǎng)站的第三說明性使 用場(chǎng)景；以及圖6示出了其中在將過程卸載到本地客戶機(jī)時(shí)可考慮外部因素、并且還可跨多個(gè) 網(wǎng)絡(luò)安全網(wǎng)關(guān)執(zhí)行負(fù)載平衡的替換安排。各附圖中相同的附圖標(biāo)記指示相同的元素。詳細(xì)描述圖1示出了其中可部署本發(fā)明的自動(dòng)分布式網(wǎng)絡(luò)保護(hù)解決方案的說明性計(jì)算環(huán) 境100。計(jì)算環(huán)境100支持企業(yè)網(wǎng)絡(luò)105，它包括諸如PC、膝上型計(jì)算機(jī)、工作站等多個(gè)客戶 機(jī)器Iie1If還示出了其他客戶機(jī)器i2ii...N，它們可表示例如企業(yè)網(wǎng)絡(luò)外部的漫游用戶 所使用的設(shè)備、或諸如消費(fèi)者用戶等其他人所使用的設(shè)備。在該示例中，企業(yè)網(wǎng)絡(luò)105的使 用旨在說明業(yè)務(wù)(即，非消費(fèi)者應(yīng)用程序)中所使用的典型網(wǎng)絡(luò)，然而，實(shí)際實(shí)現(xiàn)可不同于 所示出的。網(wǎng)絡(luò)安全網(wǎng)關(guān)Uei(說明書中從此時(shí)開始被稱為“網(wǎng)關(guān)”)位于企業(yè)網(wǎng)絡(luò)105中，并 且被配置成能夠執(zhí)行任何各種安全相關(guān)的過程。這些過程可在逐個(gè)實(shí)現(xiàn)之間改變，但通常 將包括內(nèi)容檢查、反病毒掃描、惡意軟件阻塞、信息泄漏阻止等相似種類的過程。網(wǎng)關(guān)126i 通常通過標(biāo)識(shí)給定用戶、應(yīng)用確定有效用戶可訪問哪些資源的各種策略、隨后出于網(wǎng)絡(luò)分 析或記帳目的跟蹤有效用戶所使用的時(shí)間和數(shù)據(jù)來執(zhí)行某種類型的認(rèn)證、授權(quán)和審計(jì)功能 (一般被稱為“AAA”功能)以啟用訪問控制。網(wǎng)關(guān)126i還可被配置成執(zhí)行各種類型的網(wǎng)絡(luò)帶寬優(yōu)化技術(shù)，諸如在一些情況下的數(shù)據(jù)壓縮。在該示例中，客戶機(jī)121通過網(wǎng)關(guān)126i獲得對(duì)諸如因特網(wǎng)137上外部電子郵件服 務(wù)器、網(wǎng)站和數(shù)據(jù)庫(kù)等外部資源131的訪問。要強(qiáng)調(diào)的是，網(wǎng)關(guān)126i可與其他安全產(chǎn)品(圖 1中未示出)一起部署，它并不旨在必須用作用于為企業(yè)網(wǎng)絡(luò)105中的客戶機(jī)116提供安全 的唯一手段。在環(huán)境100中還可利用另一網(wǎng)關(guān)U6N，并且網(wǎng)關(guān)12 作為啟用web或“基于云”的 服務(wù)來部署，客戶機(jī)121通過網(wǎng)關(guān)12 可獲取如托管服務(wù)142的網(wǎng)絡(luò)保護(hù)。網(wǎng)關(guān)12 可被 配置成提供與企業(yè)網(wǎng)絡(luò)105中的網(wǎng)關(guān)126i相似的特征和功能。然而，網(wǎng)關(guān)12 作為因特網(wǎng) 137上的服務(wù)由客戶機(jī)121遠(yuǎn)程地訪問，而不是像基于企業(yè)網(wǎng)絡(luò)的網(wǎng)關(guān)126i的典型情況那 樣位于本地和/或由本地管理員管理。盡管圖1中未示出，在一些實(shí)現(xiàn)中，企業(yè)網(wǎng)絡(luò)105中 的客戶機(jī)116還可利用網(wǎng)關(guān)作為服務(wù)來替換或補(bǔ)充基于企業(yè)網(wǎng)絡(luò)的網(wǎng)關(guān)。因此，在任何給 定實(shí)現(xiàn)中所使用的網(wǎng)關(guān)的數(shù)量可以變化。圖2示出了在客戶機(jī)121與網(wǎng)關(guān)12 之間分配安全過程的說明性方法的概覽。注 意，盡管描述了對(duì)于客戶機(jī)121和網(wǎng)關(guān)12 的方法，但是該方法對(duì)于企業(yè)網(wǎng)絡(luò)105中的客 戶機(jī)116和基于企業(yè)網(wǎng)絡(luò)的網(wǎng)關(guān)126i具有等效適用性。當(dāng)客戶機(jī)121連接到網(wǎng)關(guān)12 時(shí)， 例如，當(dāng)設(shè)法訪問諸如因特網(wǎng)137上的網(wǎng)站等資源時(shí)，客戶機(jī)121將它與適用的健康和/或 公司管控策略的順應(yīng)及它的安全能力的枚舉或列表傳送給網(wǎng)關(guān)，如附圖標(biāo)記205所示。這一順應(yīng)可以例如使用網(wǎng)絡(luò)訪問保護(hù)(“NAP”)系統(tǒng)來監(jiān)視。這些系統(tǒng)是已知的 并且通常使得網(wǎng)絡(luò)管理員能夠基于客戶機(jī)是誰、客戶機(jī)所屬的組和客戶機(jī)順應(yīng)健康和/或 公司管控策略的程度來定義網(wǎng)絡(luò)訪問的粒度級(jí)別。這些策略可按實(shí)現(xiàn)而變化。如果客戶機(jī) 不順應(yīng)，NAP通常提供一機(jī)制來自動(dòng)地使客戶機(jī)順應(yīng)，并且隨后動(dòng)態(tài)地增加它的網(wǎng)絡(luò)訪問級(jí) 別。在典型的實(shí)現(xiàn)中，網(wǎng)關(guān)12 將周期性地重新檢查客戶機(jī)對(duì)適用的策略的順應(yīng)。除了向網(wǎng)關(guān)12 提供順應(yīng)信息之外，列表還可標(biāo)識(shí)客戶機(jī)的安全能力包括，例如， 客戶機(jī)121是否具有所部署的A/V產(chǎn)品、產(chǎn)品的操作狀態(tài)(例如，其最后更新是何時(shí))、客 戶機(jī)是否配備有打開的防火墻、客戶機(jī)是否具有過濾已知惡意URL的能力(例如，通過比較 URL與黑名單或相似構(gòu)造)、在客戶機(jī)121上是否存在且可操作入侵保護(hù)系統(tǒng)(“IPS”—— 用于標(biāo)識(shí)和對(duì)“壞”通信采取行動(dòng))等等。可使用諸如NAP API (應(yīng)用程序編程接口)等現(xiàn)有裝置或其他安全通道來實(shí)現(xiàn)順 應(yīng)和安全能力的通信。或者，可利用ESAS(企業(yè)安全評(píng)估共享)體系結(jié)構(gòu)，如2007年3月 14日提交的題為“Enterprise Security Assessment Siaring(企業(yè)安全評(píng)估共享)”的美 國(guó)專利申請(qǐng)第11/724，061號(hào)中描述的，該申請(qǐng)為本申請(qǐng)的受讓人所有并通過援引整體結(jié) 合于此。如附圖標(biāo)記212所示，網(wǎng)關(guān)12 將分析客戶機(jī)121的順應(yīng)和安全能力來調(diào)整它自 身對(duì)網(wǎng)絡(luò)通信的處理。一般而言，當(dāng)客戶機(jī)121的順應(yīng)和安全能力下降時(shí)(即，客戶機(jī)121 在安全能力方面是“瘦客戶機(jī)”和/或不順應(yīng)適用的策略)，網(wǎng)關(guān)12 自身將執(zhí)行較多處理。 相反，當(dāng)客戶機(jī)121是具有完全安全能力的“富客戶機(jī)”且完全順應(yīng)適用的策略時(shí)，網(wǎng)關(guān)12 將其處理調(diào)整到較小。另外，如果客戶機(jī)對(duì)適用的策略的順應(yīng)由于任何原因而改變，則網(wǎng)關(guān) 12 可改變其處理級(jí)別。一般在所有情況下，無論在網(wǎng)關(guān)12 處處理時(shí)消耗什么級(jí)別的資 源，通常將在持久的基礎(chǔ)上在日志220中跟蹤和存儲(chǔ)它們，如附圖標(biāo)記225所示。日志220可作為記帳系統(tǒng)231的一部分來安排，例如，被配置成基于在網(wǎng)關(guān)12 處的實(shí)際資源消耗 而不是僅基于諸如網(wǎng)關(guān)12 所保護(hù)的客戶機(jī)器的數(shù)量等一些其他任意度量來對(duì)顧客生成 帳單(如附圖標(biāo)記236所示)。盡管在商業(yè)場(chǎng)景中常常利用帳單，諸如與在商業(yè)基礎(chǔ)上向顧客提供的托管網(wǎng)絡(luò)保 護(hù)服務(wù)的供應(yīng)相關(guān)聯(lián)的商業(yè)場(chǎng)景，但是帳單的概念還可應(yīng)用于業(yè)務(wù)場(chǎng)景。例如，在圖1所示 的啟用網(wǎng)絡(luò)105中，部門或其他組織常常因使用IT(信息技術(shù))資源或服務(wù)而內(nèi)部記帳。本 發(fā)明的自動(dòng)分布式網(wǎng)絡(luò)保護(hù)解決方案使得更全面且準(zhǔn)確地呈現(xiàn)對(duì)網(wǎng)關(guān)服務(wù)的這一內(nèi)部記 帳。現(xiàn)在轉(zhuǎn)向圖3-5，示出了突出顯示本解決方案的原理的若干說明性場(chǎng)景。如前，注 意到盡管描述了對(duì)于客戶機(jī)121和網(wǎng)關(guān)12 的場(chǎng)景，但是這些場(chǎng)景對(duì)于企業(yè)網(wǎng)絡(luò)105中的 客戶機(jī)116和基于企業(yè)網(wǎng)絡(luò)的網(wǎng)關(guān)126i具有等效適用性。另外，所描述的特定安全能力旨 在僅是說明性的并且不應(yīng)被認(rèn)為是窮盡的。在圖3所示的場(chǎng)景中，對(duì)于本地部署的安全資源或它對(duì)適用的策略(即，健康和/ 或公司管控策略)的順應(yīng)，客戶機(jī)121被假定為瘦客戶機(jī)。在客戶機(jī)121處的用戶希望從因 特網(wǎng)137上的資源131瀏覽網(wǎng)站(如附圖標(biāo)記305所示)。客戶機(jī)121將通過網(wǎng)關(guān)12 連接 到資源131，并且在連接過程期間傳送對(duì)它與適用的策略和安全能力的順應(yīng)的枚舉(310)。 由于客戶機(jī)121沒有配備來執(zhí)行任何網(wǎng)絡(luò)安全過程或是不順應(yīng)適用的策略，網(wǎng)關(guān)12 將不 把安全處理工作卸載到客戶機(jī)。因此，網(wǎng)關(guān)12 將首先代表客戶機(jī)執(zhí)行URL過濾(315)來 確定用戶設(shè)法訪問的網(wǎng)站是否已知是惡意的，例如，是釣魚站點(diǎn)或包含惡意軟件等。如果 是，則訪問被網(wǎng)關(guān)阻塞。如果對(duì)網(wǎng)站的訪問沒有被阻塞，則網(wǎng)關(guān)12 將作為客戶機(jī)121的代理連接到所請(qǐng) 求的網(wǎng)站(320)。當(dāng)內(nèi)容由網(wǎng)站返回時(shí)，網(wǎng)關(guān)12 將檢查該內(nèi)容以尋找病毒(325)和/或 其他惡意軟件。客戶機(jī)121隨后自由地消費(fèi)來自網(wǎng)站的內(nèi)容而無需進(jìn)一步處理(300)。當(dāng)今上述場(chǎng)景是常見的，并且表示在網(wǎng)關(guān)12 處最高級(jí)別的資源消耗以及對(duì)應(yīng)最 高級(jí)別的帳單。該場(chǎng)景對(duì)于關(guān)于安全方面具有完全能力但不順應(yīng)適用的策略的富客戶機(jī)將 是相似的。在這一情況下，網(wǎng)關(guān)12 將不把工作卸載到富客戶機(jī)，并且將代表客戶機(jī)執(zhí)行 高級(jí)別的安全處理。在圖4所示的場(chǎng)景中，客戶機(jī)121通過配置有A/V檢查功能但沒有URL過濾而具 有中間級(jí)別的安全能力，并且被假定成順應(yīng)適用的健康和/或公司管控策略。在客戶機(jī)121 處的用戶希望從因特網(wǎng)137上的資源131瀏覽網(wǎng)站005)。客戶機(jī)121將通過網(wǎng)關(guān)12 連 接到資源131，并且在連接過程期間傳遞它的順應(yīng)和安全能力的枚舉010)，在該示例中， 這指示客戶機(jī)完全順應(yīng)適用的策略并且具有所部署的且與所有適用的簽名更新一起操作 的A/V檢查。由于客戶機(jī)121被配備成執(zhí)行A/V檢測(cè)但沒有URL過濾，網(wǎng)關(guān)12 將首先代表客 戶機(jī)執(zhí)行URL過濾015)，并且隨后作為客戶機(jī)的代理連接到所請(qǐng)求的網(wǎng)站020)。當(dāng)內(nèi)容 由網(wǎng)站返回時(shí)，客戶機(jī)121將使用它自身本地部署的A/V檢查能力來檢查該內(nèi)容尋找病毒 (425)和/或其他惡意軟件，并且隨后消費(fèi)該內(nèi)容。在該場(chǎng)景中，在客戶機(jī)121與網(wǎng)關(guān)12 之間分配處理開銷，由此產(chǎn)生對(duì)顧客的較 低收費(fèi)，因?yàn)樵诰W(wǎng)關(guān)處需要花費(fèi)的資源較少。
在圖5所示的場(chǎng)景中，客戶機(jī)121是具有安全能力全集的富客戶機(jī)，在該示例中， 該安全能力包括完全順應(yīng)適用的策略的A/V檢查和URL過濾功能兩者。在客戶機(jī)121處的 用戶再次希望從因特網(wǎng)137上的資源131瀏覽網(wǎng)站(505)。客戶機(jī)121將通過網(wǎng)關(guān)12 連 接到資源131，并且在連接過程期間傳遞它的順應(yīng)和安全能力的枚舉(510)，在該示例中， 這指示客戶機(jī)具有所部署的且與所有適用的簽名更新一起操作的A/V檢查、以及全面且當(dāng) 前的URL過濾功能。響應(yīng)于學(xué)習(xí)客戶機(jī)的順應(yīng)狀態(tài)和安全能力，網(wǎng)關(guān)12 指示客戶機(jī)121直接連接到 網(wǎng)站(515)，由此放棄使用通過網(wǎng)關(guān)的代理連接。客戶機(jī)121據(jù)此執(zhí)行它自身的URL過濾 (520)，并且產(chǎn)生到所需網(wǎng)站的直接連接(525)。當(dāng)內(nèi)容從網(wǎng)站返回時(shí)，客戶機(jī)121將使用它 自身本地部署的A/V檢查能力來檢查該內(nèi)容以尋找病毒(530)和/或其他惡意軟件，并且 隨后消費(fèi)該內(nèi)容。如上所述，網(wǎng)關(guān)12 將周期性地重新檢查客戶機(jī)的順應(yīng)狀態(tài)，如果客戶機(jī)的狀態(tài) 從完全順應(yīng)改變?yōu)椴豁槕?yīng)(例如，客戶機(jī)121上發(fā)生病毒發(fā)作)，則網(wǎng)關(guān)將終止把安全處理 卸載到客戶機(jī)。類似地，如果接收到ESAS安全評(píng)估，它指示客戶機(jī)121上發(fā)生安全事故使 得客戶機(jī)可能在某種方面受到損害，則卸載也可被終止。在該場(chǎng)景中，由于處理大部分都被卸載到客戶機(jī)121，因而網(wǎng)關(guān)12 所使用的資源 是最小的并且通常僅是AAA服務(wù)。這導(dǎo)致對(duì)顧客的最小收費(fèi)。圖6示出了其中在將過程卸載到客戶機(jī)時(shí)可考慮外部因素、并且還可跨多個(gè)網(wǎng)絡(luò) 安全網(wǎng)關(guān)執(zhí)行負(fù)載平衡的替換安排。如上，該安排可適用于企業(yè)網(wǎng)絡(luò)中的客戶機(jī)和網(wǎng)關(guān)以 及與托管網(wǎng)絡(luò)保護(hù)服務(wù)相關(guān)聯(lián)的那些。對(duì)外部因素和負(fù)載平衡的考慮可用于補(bǔ)充圖2-5中 所示且在附隨文本中所描述的技術(shù)，或在一些情況下替換它們。這里，客戶機(jī)121連接到網(wǎng)關(guān)12 來將順應(yīng)和安全能力的列表傳送給該網(wǎng)關(guān) (605)，并且當(dāng)確定如何調(diào)整它的過程并將工作卸載到該客戶機(jī)時(shí)，該網(wǎng)關(guān)將考慮各種外部 因素(610)。這些因素說明性地包括(但不必限于)因特網(wǎng)137的安全的總體狀態(tài)611、所 訪問的信息的新鮮度612、以及其他因素613。例如，如果因特網(wǎng)上存在重要的威脅，則網(wǎng)關(guān) 12 可指示富客戶機(jī)直接連接到所需網(wǎng)站，但僅在特定時(shí)間或時(shí)間間隔。類似地，如果所請(qǐng) 求的數(shù)據(jù)已經(jīng)被高速緩存在一個(gè)或多個(gè)可信服務(wù)器中，則網(wǎng)關(guān)12 可指示客戶機(jī)121從那 些服務(wù)器中檢索數(shù)據(jù)。還可執(zhí)行跨一個(gè)或多個(gè)附加網(wǎng)關(guān)614的負(fù)載平衡(615)。在一個(gè)說明性示例中， 當(dāng)決定如何在附加網(wǎng)關(guān)614之間分配工作時(shí)，網(wǎng)關(guān)12 可考慮客戶機(jī)121的安全能力、網(wǎng) 關(guān)所服務(wù)的所有客戶機(jī)之間安全處理的總負(fù)載、被訪問的數(shù)據(jù)的類型(例如，電子郵件、文 件、網(wǎng)站等)、優(yōu)先級(jí)、用戶簡(jiǎn)檔、以及其他因素。以如上所述當(dāng)利用單個(gè)網(wǎng)關(guān)1 時(shí)的類似 方式，附加網(wǎng)關(guān)614在代表客戶機(jī)執(zhí)行安全過程時(shí)將考慮本地客戶機(jī)121的能力(620)。還可在基于云的網(wǎng)關(guān)與本地部署的網(wǎng)關(guān)(例如，分別為網(wǎng)關(guān)12 和126i，如圖1所 示)之間執(zhí)行負(fù)載平衡。在該示例中，負(fù)載平衡可偏愛本地部署的(即，“下游”)網(wǎng)關(guān)Uei 以方便基于云的(即，“上游”)網(wǎng)關(guān)12 更有利的運(yùn)營(yíng)成本。盡管用結(jié)構(gòu)特征和/或方法動(dòng)作專用的語言描述了本主題，但可以理解，所附權(quán) 利要求書中定義的主題不必限于上述具體特征或動(dòng)作。相反，上文所描述的具體特征和動(dòng) 作是作為實(shí)現(xiàn)權(quán)利要求的示例形式來公開的。
權(quán)利要求
1.一種在網(wǎng)絡(luò)安全網(wǎng)關(guān)(126)處執(zhí)行的用于為客戶機(jī)(121)提供自動(dòng)分布式網(wǎng)絡(luò)保護(hù) 的方法，所述方法包括以下步驟接收對(duì)所述客戶的安全能力和所述客戶機(jī)對(duì)關(guān)于客戶機(jī)健康或管控的一個(gè)或多個(gè)策 略的順應(yīng)狀態(tài)的枚舉(205)，響應(yīng)于在所述客戶機(jī)處的安全能力順應(yīng)的枚舉，調(diào)整所述網(wǎng)絡(luò)安全網(wǎng)關(guān)與所述客戶機(jī) 之間的安全相關(guān)處理的分配012)；以及當(dāng)代表所述客戶機(jī)執(zhí)行安全相關(guān)過程時(shí)，記錄所述網(wǎng)絡(luò)安全網(wǎng)關(guān)所消費(fèi)的資源的級(jí)別 (225)。
2.如權(quán)利要求1所述的方法，其特征在于，還包括生成適用于客戶機(jī)使用所記錄的資 源級(jí)別的帳單的步驟。
3.如權(quán)利要求1所述的方法，其特征在于，其中所述客戶機(jī)是企業(yè)網(wǎng)絡(luò)中的計(jì)算設(shè)備， 所述計(jì)算設(shè)備是個(gè)人計(jì)算機(jī)、工作站或服務(wù)器中的一個(gè)。
4.如權(quán)利要求1所述的方法，其特征在于，其中所述網(wǎng)絡(luò)安全網(wǎng)關(guān)被配置成提供內(nèi)容 檢查、反病毒掃描、惡意軟件阻塞、信息泄漏阻止、防火墻服務(wù)或安全策略實(shí)施中的至少一 個(gè)。
5.如權(quán)利要求1所述的方法，其特征在于，其中所述分配包括將安全相關(guān)過程從所述 網(wǎng)絡(luò)安全網(wǎng)關(guān)卸載到所述客戶機(jī)。
6.如權(quán)利要求1所述的方法，其特征在于，還包括周期性地重新檢查所述客戶機(jī)的順 應(yīng)狀態(tài)的步驟。
7.如權(quán)利要求5所述的方法，其特征在于，還包括當(dāng)所述客戶機(jī)變得不順應(yīng)時(shí)終止所 述卸載的步驟。
8.如權(quán)利要求1所述的方法，其特征在于，其中所述對(duì)安全能力和順應(yīng)狀態(tài)的枚舉通 過NAP接口、網(wǎng)絡(luò)通道、或ESAS安全評(píng)估中的一個(gè)來接收。
9.如權(quán)利要求1所述的方法，其特征在于，還包括執(zhí)行AAA服務(wù)的步驟。
10.如權(quán)利要求1所述的方法，其特征在于，還包括對(duì)一個(gè)或多個(gè)附加網(wǎng)關(guān)執(zhí)行所述安 全相關(guān)處理的負(fù)載平衡的步驟。
11.如權(quán)利要求1所述的方法，其特征在于，所述方法如由被配置成支持云服務(wù)的網(wǎng)絡(luò) 安全網(wǎng)關(guān)執(zhí)行。
12.如權(quán)利要求1所述的方法，其特征在于，還包括對(duì)代表所述客戶機(jī)在所述網(wǎng)關(guān)上所 執(zhí)行的安全相關(guān)處理所伴隨的資源的消費(fèi)實(shí)施懲罰的步驟。
13.如權(quán)利要求12所述的方法，其特征在于，其中所述懲罰是財(cái)務(wù)上的，以激勵(lì)在所述 客戶機(jī)處較高級(jí)別的安全相關(guān)處理。
14.如權(quán)利要求1所述的方法，其特征在于，所述客戶機(jī)包括下游網(wǎng)關(guān)。
15.如權(quán)利要求1所述的方法，其特征在于，所述安全相關(guān)處理包括內(nèi)容檢查、反病毒 掃描、惡意軟件阻塞、信息泄漏阻止、防火墻服務(wù)或安全策略實(shí)施中的至少一個(gè)。
全文摘要
提供了一種將客戶機(jī)器的安全能力傳遞給網(wǎng)絡(luò)安全網(wǎng)關(guān)的網(wǎng)絡(luò)保護(hù)解決方案，使得能夠以實(shí)現(xiàn)客戶機(jī)的目標(biāo)安全級(jí)別而在網(wǎng)關(guān)處消費(fèi)盡可能少的資源的方式來在網(wǎng)關(guān)和客戶機(jī)之間自動(dòng)且動(dòng)態(tài)地分布各種過程。例如，對(duì)于順應(yīng)指定的健康和/或公司管控策略且已知具有所部署的且操作的A/V能力的客戶機(jī)，網(wǎng)絡(luò)安全網(wǎng)關(guān)將無需對(duì)客戶機(jī)的傳入網(wǎng)絡(luò)通信執(zhí)行額外的A/V掃描，這由此可在網(wǎng)關(guān)處節(jié)省資源并且降低運(yùn)營(yíng)成本。
文檔編號(hào)H04L9/32GK102090019SQ200980127126
公開日2011年6月8日 申請(qǐng)日期2009年6月26日 優(yōu)先權(quán)日2008年7月8日
發(fā)明者D·B·克羅斯, N·奈斯, Y·埃德瑞 申請(qǐng)人:微軟公司