[发明专利]用于SSL/VPN业务的基于应用的拦截和授权的系统和方法

说明书

发明领域

本发明总的涉及安全数据通信网络，并且更具体地，本发明涉及用于通 过以更细粒度为基础拦截和授权SSL/VPN数据通信来增加数据通信网络的安全的系 统和方法。

背景技术

虚拟专用网络为客户端计算机的用户提供对处于公用网络时远程资源的 安全访问。许多虚拟专用网络使用网络设备来提供到客户端的安全连接。例如，用户 可以通过连接到管理多个虚拟专用网络连接的网络设备来访问包括应用、web站点和 文件的资源。在许多例子中，与客户端关联的代理程序基于用于发送通信的地址来识 别意于虚拟专用网络的网络通信。

但是，该技术存在许多缺陷。由于对应于地址范围的所有业务被发送到 虚拟专用网络，所以无论是否正确地发送到网络，必须建立鲁棒的授权策略，以将适 当的虚拟专用网络业务和不应该在虚拟专用网络上发送的业务过滤开。该策略难以建 立并且难以保持。同样，由于恶意用户可以使用具有正确的地址范围的数据业务来对 虚拟专用网络意于保护的数据中心产生危害，所有数据中心到虚拟专用网络的一般路 由(无论是否合适)都能造成安全风险。

因此，期望提供以更细的粒度而不是子网识别为基础来在虚拟专用网络 环境中路由数据的系统和方法。

发明内容

在一个方面，本发明涉及用于在虚拟专用网络上拦截客户端到目的地的 通信的方法。拦截的决策基于被授权经由虚拟专用网络访问的应用的网络目的描述。 在客户端上执行的代理拦截客户端的网络通信。代理提供从第一网络到第二网络的虚 拟专用网络连接。代理确定所拦截通信指定的目的地对应于被授权经由虚拟专用网络 访问的第二网络上的应用的网络目的描述的网络标识符和端口。响应于此确定，代理 发送所拦截的通信。

在一些实施例中，代理确定网络通信不对应于应用的网络目的描述并且 经由第一网络来发送所拦截的网络通信。在其他实施例中，代理确定网络通信不 对应于应用的网络目的描述并且丢弃所拦截的网络通信。仍在其他实施例中， 代理确定客户端的网络标识符和端口对应于应用的网络目的描述的源互联网 协议地址和源端口。仍在其他实施例中，代理确定网络通信被格式化的协议 的类型对应于应用的网络目的描述指定的协议。在又一些实施例中，代理确 定不拦截指定到第二应用的客户端上的第二网络通信，该第二应用未被授权 经由虚拟专用网络连接来访问第二网络。在一些这样的实施例中，代理拦截 对于应用或者客户端的用户的其中之一透明的网络通信。

在另一方面，本发明涉及用于由设备提供通过客户端上的应用经由虚拟 专用网络连接来访问资源的访问级别的方法。允许或者拒绝访问级别的决策基于应用 的标识。设备拦截第一网络上的客户端的应用经由虚拟专用网络连接访问第二网络上 资源的请求。基于应用的标识，设备识别该应用并且将所拦截的请求与授权策略相关 联。设备使用授权策略和应用的标识来确定允许或者拒绝应用访问资源。

在一些实施例中，代理发送应用的名称给设备。在另一个这样的实施例 中，应用的名称被用作应用的标识符。在其他实施例中，代理建立经由设备到第二网 络的虚拟专用网络连接。仍在其他实施例中，授权策略指定应用的名称和访问或者拒 绝访问级别的授权。在一些这样的实施例中，设备将应用的授权策略与客户端的用户 相关联。在其他这样的实施例中，设备基于客户端的用户来识别应用的授权策略。

在又一方面，本发明涉及由客户端代理拦截来自客户端的、经由虚拟专 用网络连接发送的通信的方法。该拦截是基于通信发起的应用的标识。代理接收识别 第一应用的信息。代理确定客户端发送的网络通信发起自第一应用并且拦截该通信。 代理经由虚拟专用网络连接发送所拦截的通信。

在以下附图和描述中提出本发明的不同实施例的细节。

附图说明