[发明专利]用于管理基于网络过滤器的策略的方法

说明书

本申请是申请人于2004年6月7日提交的、申请号为“200410048848.8”的、发明名称为“用于管理基于网络过滤器的策略的方法”的发明专利申请的分案申请。

相关申请

本申请所包含的主题与跟本申请同日提交的专利申请《用于实现网络防火墙的基于多层的方法》(代理人标签号：221039)、《在网络设备中实现的多层防火墙结构》(代理人标签号：221038)和《用于整合多项网络策略的方法和框架》(代理人标签号：221041)的主题有关，这些专利申请的揭示说明被特别包括于此，用作参考。

技术领域

本发明一般涉及计算机系统和计算机网络。更具体地说，本发明涉及管理基于网络过滤器的策略。

背景技术

计算机实施各种网络策略，以便控制网络信息流通量，并保护计算机或其他网络设备避免遭遇其他网络设备的恶意攻击(例如，盗窃数据、服务拒绝(DOS)攻击和类似的攻击)。

被用来保护网络设备的一种策略通过被称作“防火墙”的工具来加以实施。该防火墙保护用户个人、网络设备和一般的网络避免遭遇恶意的攻击，同时也增加了控制该数据交换的能力。通过检查网络信息包，并通过根据该检查来确定是应该允许这些信息包进一步穿过网络还是应该相反地阻滞这些信息包进一步穿过网络，该防火墙可实施这项策略。防火墙执行其他功能，例如，记录关于信息包的信息，供将来检查。

该防火墙使用过滤器来实施这项策略。每个过滤器包括过滤器参数和一个动作。这些过滤器参数识别受制于该策略的网络信息包，并且包括诸如硬件地址(例如，媒体访问控制(MAC)地址)、网络地址(例如，“互联网协议”(IP)地址)、协议类型(例如，“传输控制协议”(TCP))、端口号和类似物等信息。该动作定义应该如何处置具有与这些过滤器参数相匹配的参数的信息包。一个特殊的例子是：该过滤器包括“统一资源定位器”(URL)地址(例如，“http://www.foo.com”)，作为它的参数。该过滤器进一步使该阻滞动作(即，丢弃该信息包)与那个URL地址相关联。只要该防火墙检查信息包并且通过那项检查而将该URL地址“http://www.foo.com”识别为被嵌入该信息包中，该防火墙就丢弃该信息包，从而防止它穿过网络。

该防火墙包括用于实施这项策略的多个过滤器，两个或更多的过滤器可能会发生冲突。当两个或更多的过滤器适用于网络信息包的共同子集并指定不同的动作时，它们会发生冲突。例如，一个过滤器指定：应该允许网络信息包穿过网络；而另一个不同的过滤器则指定：应该阻滞相同的网络信息包进行网络遍历。如果网络设备内存在发生冲突的过滤器，则该总系统将如何响应于网络信息流通量会变得不可预知。

发明内容

本发明针对一种方法和系统，用于将定义网络策略的一个部分的新的过滤器加入框架中的一组被安装的过滤器。该框架包括活动过滤器和禁用过滤器。这些活动过滤器识别被用来实施当前网络策略的这个被安装的过滤器集中的过滤器。这些禁用过滤器识别没有被用来实施当前网络策略的这个被安装的过滤器集中的过滤器。

这个新的过滤器和这个被安装的过滤器集每个都包括一组过滤器条件和一种优先级类别。这些过滤器条件识别受制于该过滤器中所定义的那项策略的网络信息包。该优先级类别根据对该过滤器中所定义的那项策略负责的该用户或处理，来识别该过滤器的优先级。

防火墙引擎确定：这个新的过滤器和这个被安装的过滤器集中的这些过滤器中的至少一个过滤器是否有冲突。如果这个新的过滤器与这些被安装的过滤器中的一个过滤器发生冲突，则该防火墙引擎确定：这个新的过滤器的优先级类别是否低于这至少一个被安装的过滤器的优先级类别。然后，该防火墙引擎将这个新的过滤器安装入这个被安装的过滤器集。

在本发明的一个实施例中，该防火墙引擎使用这个新的过滤器和这些被安装的过滤器中的这至少一个过滤器的优先级类别来确定：这个新的过滤器是作为禁用过滤器还是作为活动过滤器来被加入。如果这个新的过滤器的优先级类别低于这至少一个被安装的过滤器的优先级类别，则这个新的过滤器作为禁用过滤器来加入。如果这个新的过滤器的优先级类别高于这些被安装的过滤器中的这至少一个过滤器的优先级类别，假如不存在其他更高优先级类别的、有冲突的过滤器，则这个新的过滤器作为活动过滤器来加入，并且，这些被安装的过滤器中的这至少一个过滤器作为禁用过滤器来加入。