[发明专利]在网络环境中用于重定向的防火墙发现的系统和方法

说明书

技术领域

概括地说，本说明书涉及网络安全领域，更具体地说，涉及在网络环境中用于重定向的防火墙发现的系统和方法。

背景技术

在今天的社会中网络安全领域已经变得越来越重要。互联网已经可以使全世界的不同计算机网络能够互联。然而，互联网也已经给恶意操作者呈现了许多机会以利用这些网络。一旦某些类型的恶意软件(例如bot)已经感染了主机计算机，就可以配置软件以接收来自远程操作者的命令。可以指示软件执行任何数量的恶意行为，例如从主机计算机发送垃圾邮件或者恶意电子邮件、从与主机计算机相关联的商业或者个人窃取敏感信息、传播到其他主机计算机、和/或协助分布式拒绝服务攻击。此外，恶意操作者可以将访问权出售或者给予给其他恶意操作者，因此逐步升级对这些主机计算机的利用。因此，有效地保护和维持稳定的计算机和系统的能力对于部件制造商、系统设计者和网络运营商来说，继续呈现重大挑战。

附图说明

为了提供对本公开及其特征和优点的更加完全的理解，结合附图对以下的描述做出了参考，其中相似的参考数字代表相似的部分，其中：

图1是示出了按照本说明书的可以通过主机重定向发现防火墙的网络环境的示例实施例的简化框图；

图2是示出了与网络环境的一个潜在实施例相关联的额外细节的简化框图；

图3是示出了与网络环境的示例实施例相关联的潜在操作的简化交互图；

图4是示出了与网络环境的示例实施例相关联的潜在操作的简化交互图，其中所述网络环境具有识别对管理的路由无效的防火墙的陈旧防火墙缓存。

图5是示出了与网络环境的其他示例实施例相关联的潜在操作的简化交互图，其中所述网络环境具有识别对管理的路由无效的防火墙的陈旧防火墙缓存；以及

图6是与网络环境的示例实施例中的交换元数据相关联的示例分组数据单元格式。

具体实施方式

在一个示例实施例中提供了一种方法，其包括从主机通过元数据信道接收元数据。元数据可以与网络流有关，并且网络策略可以被应用于流。

在其他实施例中，可以从主机接收网络流，而没有与流相关联的元数据，并且可以将发现重定向发送到主机。然后可以接收元数据并且使其与流相关以识别网络策略动作以应用到流。

示例实施例

转到图1，图1是网络环境10的示例实施例的简化框图，其中通过主机重定向可以发现防火墙。在图1示出的实施例中，网络环境10可以包括互联网15、用户主机20a和20b、防火墙25、策略服务器30、邮件服务器35、以及网络服务器40。通常，用户主机20a-20b可以是在网络连接中的任何类型的终端节点，包括但不限于台式计算机、服务器、膝上计算机、移动电话、或者任何其他类型的可以与另一个节点接收或者建立连接的设备，例如邮件服务器35或者网络服务器40。防火墙25可以控制在用户主机20a-20b和附在互联网15或者另一网络上的其他节点之间的通信，例如通过阻挡未授权的访问同时允许授权的通信。在一些实例中，防火墙25可以耦合到或者集成到入侵阻止系统、网络访问控制设备、网络网关、电子邮件网关、或者在互联网15和用户主机20a-20b之间的任何其他类型的网关。此外，在靠近用户主机20a-20b的路由拓扑中的防火墙25的位置是任意的。策略服务器30可以耦合到或者集成到防火墙25，并且可以用于管理用户主机20a-20b，以及管理和分配网络策略。因此，在这个示例实施例中，如果由在防火墙25中执行并且由策略服务器30管理的策略允许，那么通过经过防火墙25建立连接，用户主机20a-20b可以与附在互联网15上的服务器通信，例如邮件服务器35或者网络服务器40。

图1中的每个元件可以通过简单的接口或者通过任何其它合适的连接(有线的或者无线的)而彼此耦合，所述连接提供用于网络通信的可行路径。此外，这些元件中的任何一个或多个可以基于特定的配置需要被合并或者被从架构中移除。网络环境10可以包括能够针对在网络中传送或者接收分组的传输控制协议/互联网协议(TCP/IP)通信的配置。网络环境10还可以在适当的地方和基于特定的需要结合用户数据报协议/IP(UDP/IP)或者任何其他合适的协议操作。