[发明专利]基于应用路径的网络业务控制

说明书

本申请的各实施例涉及基于应用路径的网络业务控制。一种网络设备可以接收与会话相关联的网络业务，其中该会话与网络相关联。网络设备可以从网络业务确定与会话相关联的应用路径，其中应用路径与通信协议和应用协议相关联。网络设备可以基于与应用路径相关联的策略信息来确定与会话相关联的网络业务是否能够使用通信协议和应用协议经由网络而被传达。网络设备可以基于网络业务是否被确定为能够被传达来执行与启用或阻止网络业务的传达相关联的动作。

技术领域

本申请的各实施例涉及基于应用路径的网络业务控制。

背景技术

网络的网络设备(诸如防火墙或其他安全设备)可以用于允许或阻止与网络相关联的网络业务。例如，网络设备可以使用一组策略来阻止或允许发送到网络的网络业务、从网络发送的网络业务、和/或在网络内发送的网络业务。

发明内容

根据一些实现，一种方法可以包括接收网络业务，其中网络业务与关联于网络的会话相关联，其中会话与应用协议相关联；确定与网络业务相关联的应用路径，其中应用路径标识针对会话的通信协议和应用协议；执行与应用路径相关联的查找操作以标识与应用路径相关联的策略信息；基于查找操作来确定网络业务是否能够使用通信协议和应用协议经由网络而被传达；以及当网络业务被确定为能够经由网络而被传达时，启用网络业务经由网络的传达，或者当网络业务被确定为不能经由网络而被传达时，阻止网络业务经由网络的传达。

根据一些实现，一种网络设备可以包括一个或多个存储器；以及北通信地耦合到一个或多个存储器的一个或多个处理器，一个或多个处理器被配置为：接收与应用协议相关联的网络业务，其中网络业务与涉及网络的会话相关联；从网络业务标识应用路径，其中应用路径标识针对会话的通信协议和应用协议；从策略映射获取与应用路径相关联的策略信息，其中策略映射包括针对能够被用于与多个应用协议相关联的会话的通信协议的策略；基于策略信息来确定与会话相关联的网络业务的传达是否经由网络可允许；以及基于网络业务的传达是否经由网络可允许来执行与网络业务相关联的动作。

根据一些实现，一种非暂态计算机可读介质可以存储一个或多个指令。一个或多个指令在由网络设备的一个或多个处理器执行时可以使得一个或多个处理器：接收与会话相关联的网络业务，其中会话与网络相关联；从网络业务确定与会话相关联的应用路径，其中应用路径与通信协议和应用协议相关联；基于与应用路径相关联的策略信息来确定与会话相关联的网络业务是否能够使用通信协议和应用协议经由网络而被传达；以及基于网络业务是否被确定为能够被传达网络业务来执行与网络业务的传达相关联的动作。

附图说明

图1和图2是本文中描述的一个或多个示例实现的图；

图3是可以实现本文中描述的系统和/或方法的示例环境的图；

图4是图3的一个或多个设备的示例组件的图；以及

图5至图7是基于应用路径与网络业务控制相关联的一个或多个示例过程的流程图。

具体实施方式

以下对示例实现的详细描述参考附图。不同附图中的相同的附图标记可以标识相同或相似的元素。

防火墙可以用于基于由防火墙实现的策略和网络业务的一个或多个特性来允许对网络业务进行拒绝、速率限制或强制执行其他动作。这样的策略可以是基于通信的通信协议来允许或拒绝通信的基于通信协议的策略。因此，使用这种基于通信协议的策略的防火墙可以根据用于传达网络业务的通信协议来允许或拒绝网络内的网络业务(例如，网络业务的传达)。但是，如果特定策略是拒绝经由特定通信协议的网络业务，则这种基于通信协议的策略使得防火墙阻止要经由该通信协议传达的任何或所有网络业务。此外，在一些情况下，某些网络业务必须由网络的端点设备经由要被基于通信协议的策略阻止或拒绝的通信协议来发送和/或接收。因此，如果防火墙被配置为利用这种基于通信协议的策略，则无论网络业务的内容如何，无论源或目的地是否需要接收网络业务用于特定目的，无论网络业务是否包含恶意软件，等等，这样的网络业务都可能无法绕过防火墙。