專利名稱:對網(wǎng)絡(luò)入侵者的自動阻止的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種用于在數(shù)據(jù)通信網(wǎng)絡(luò)上對來自入侵者的業(yè)務(wù)進行 分隔的機制�����。特別地,本發(fā)明涉及一種用于在多個網(wǎng)絡(luò)節(jié)點之中分布分 隔規(guī)則的系統(tǒng)和方法�,以將來自入侵者的業(yè)務(wù)路由至專用的虛擬局域網(wǎng)
(VLAN)中,或者將該業(yè)務(wù)隔開����。
背景技術(shù):
在當(dāng)今高度移動的計算環(huán)境中,移動的客戶端設(shè)備可以容易地在例 如家庭網(wǎng)和企業(yè)網(wǎng)之類的各種網(wǎng)絡(luò)間遷移���。在該過程中����,該客戶端設(shè)備 更易于傳輸會在企業(yè)網(wǎng)內(nèi)引入問題的文件。問題包括但不限于在企業(yè)網(wǎng) 內(nèi)引入惡意蠕蟲��,這可能會損壞整個網(wǎng)絡(luò)內(nèi)的計算機����,并且要花費高昂 的代價才能去除。限制這些問題的范圍的一種當(dāng)前方法是在企業(yè)網(wǎng)的網(wǎng) 段間安裝入侵檢測系統(tǒng)(IDS)或入侵預(yù)防系統(tǒng)(IPS)從而禁止蠕蟲的 傳播����,或者直接整個地禁用網(wǎng)絡(luò)的多個部分以預(yù)防蠕蟲傳播到受感染區(qū) 域之外。但是����,這些方法嚴(yán)重影響網(wǎng)絡(luò)的運行,并且可能只是暫時針對 網(wǎng)絡(luò)的一個部分阻止了問題設(shè)備����。該網(wǎng)絡(luò)上的其他機器仍然可能被感 染,例如���,如果筆記本計算機或者個人數(shù)字助理(PDA)從網(wǎng)絡(luò)的被禁 用部分移動到了可操作網(wǎng)段��,該可操作網(wǎng)段中易受攻擊的機器又會被感 染���。不管付出多大努力���,整個網(wǎng)絡(luò)還是有可能被感染。
即使惡意蠕蟲的傳播被分隔在網(wǎng)絡(luò)的 一 部分中���,網(wǎng)絡(luò)運營商仍然需 要確定違規(guī)機器的位置�����。盡管存在一些用于在網(wǎng)絡(luò)上定位這些設(shè)備的自 動的方法�,包括ALCATEL OMNIVISTA(TM)2500中的Locator應(yīng)用����, 但是當(dāng)前還沒有用于響應(yīng)于入侵檢測而在違規(guī)設(shè)備的入口點自動拒絕 訪問該設(shè)備,或者更一般地拒絕訪問網(wǎng)絡(luò)的機制����。因而需要一種響應(yīng)于在網(wǎng)絡(luò)中任意點的入侵檢測而在網(wǎng)絡(luò)中自動拒絕入侵者訪問的系統(tǒng)。
發(fā)明內(nèi)容
在優(yōu)選實施例中���,本發(fā)明的特征在于一種系統(tǒng)和方法��,用于通過自 動在有害業(yè)務(wù)可能進入網(wǎng)絡(luò)的多個點中的每個點上將有害業(yè)務(wù)與其他 業(yè)務(wù)隔開從而使整個網(wǎng)絡(luò)能夠防備入侵者����,來保護網(wǎng)絡(luò)資源�����。在優(yōu)選實
施例中��,該系統(tǒng)包括 一個或多個網(wǎng)絡(luò)節(jié)點����;入4曼才全測系統(tǒng),用以確定 入侵者身份�;以及服務(wù)器,其可操作地連接到入侵檢測器���,適合于自動 地生成將已識別的入侵者與分隔動作相關(guān)聯(lián)的分隔規(guī)則�����,并將該分隔 規(guī)則安裝在一個或多個網(wǎng)絡(luò)節(jié)點中的每個網(wǎng)絡(luò)節(jié)點上�,從而該一個或多 個網(wǎng)絡(luò)節(jié)點中的每個網(wǎng)絡(luò)節(jié)點在接到來自該已識別的入侵者的協(xié)議數(shù) 據(jù)單元(PDU)后纟丸行該分隔動作。
在優(yōu)選實施例中��,網(wǎng)絡(luò)節(jié)點可以包括例如路由器�����、網(wǎng)橋��、多層交換 機�,以及局域網(wǎng)中的無線接入點。這樣����,當(dāng)IDS或IPS檢測到入侵者及 其源媒體訪問控制(MAC)地址、網(wǎng)際協(xié)議(IP)地址�,或者這兩個地 址都被確定時�����,根據(jù)優(yōu)選實施例的系統(tǒng)將虛擬局域網(wǎng)(VLAN)規(guī)則或 訪問控制列表(ACL)規(guī)則發(fā)布到例如多個交換設(shè)備�����,從而指示這些設(shè) 備將來自該入侵者的任意包路由至隔離VLAN或?qū)⒃摌I(yè)務(wù)與其他業(yè)務(wù) 分隔開來。在大型網(wǎng)絡(luò)中,與入侵者首次進入網(wǎng)絡(luò)時的交換設(shè)備相關(guān)聯(lián) 的網(wǎng)關(guān)^各由器可以通過在整個網(wǎng)絡(luò)上查詢ARP信息而確定����,接下來分 隔動作可以被安裝在該網(wǎng)關(guān)路由器下面的選定數(shù)目的交換設(shè)備上����。
本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)意識到�,根據(jù)本發(fā)明����,可以在網(wǎng)絡(luò)管理 器參與得更少并且成本更低的情況下,在大約幾秒之內(nèi)�����,在進入網(wǎng)絡(luò)的
每個入口點處自動拒絕違規(guī)設(shè)備對整個網(wǎng)絡(luò)的訪問。在企業(yè)交換機上安
裝隔離VLAN規(guī)則或ACL規(guī)則例如可以預(yù)防病毒在訪問同一交換機的
客戶端之間以及在不同交換機的客戶端之間傳播���,而無需中間防火墻����。
也就是說�����,例如,安裝隔離規(guī)則可以預(yù)防病毒在(a)連接到同一交換
設(shè)備的客戶端之間傳播以及在(b)相距遙遠(yuǎn)的客戶端之間傳播�,而不
管這些客戶端是否被防火墻隔開。
以示例的方式而不是限制的方式在附圖的各圖中示出了本發(fā)明��,其中圖1是根據(jù)本發(fā)明優(yōu)選實施例的適合于自動阻止網(wǎng)絡(luò)入侵者的網(wǎng)絡(luò)的功能框圖�����;圖2是根據(jù)本發(fā)明優(yōu)選實施例的適合于執(zhí)行入侵檢測響應(yīng)(IDR) 的交換機的功能框圖;圖3是根據(jù)本發(fā)明優(yōu)選實施例的AQE服務(wù)器的功能框圖��;圖4是根據(jù)本發(fā)明優(yōu)選實施例的用于從AQE服務(wù)器分布入侵者分 隔規(guī)則的處理的流程圖���;圖5是根據(jù)本發(fā)明優(yōu)選實施例的用于將入侵者分隔規(guī)則分布至多個 IDR交換機上的處理的流程圖���;以及圖6是根據(jù)本發(fā)明優(yōu)選實施例的AQE服務(wù)器和IDR交換機對入侵 者的響應(yīng)的序列圖。
具體實施方式
圖1中示出了適合于通過自動阻止網(wǎng)絡(luò)入侵者來執(zhí)行入侵檢測和預(yù) 防(IDP)的企業(yè)網(wǎng)的功能框圖���。該企業(yè)網(wǎng)100包括多個節(jié)點和其他可 ^^喿作地連接到數(shù)據(jù)通信網(wǎng)絡(luò)的可尋址實體���,該數(shù)據(jù)通信網(wǎng)絡(luò)具體體現(xiàn)為 例如局i或網(wǎng)(LAN)、廣域網(wǎng)(WAN),或者城域網(wǎng)(MAN)��、網(wǎng)際協(xié)議 (IP)網(wǎng)絡(luò)�����、因特網(wǎng)��,或者這些網(wǎng)絡(luò)的組合��。在優(yōu)選實施例中����,企業(yè)網(wǎng)100包括多個多層交換設(shè)備一一包括第一 ^^由器102����、第二路由器104���、第一交換機114����、第二交換機115以及第 三交換機116——以及認(rèn)證服務(wù)器和自動隔離強制(AQE)服務(wù)器120���。 用作到因特網(wǎng)118的網(wǎng)關(guān)的第二路由器104可搡作地連接到第一網(wǎng)絡(luò) 域、第二網(wǎng)絡(luò)域106以及AQE服務(wù)器120�����。第一路由器102用作針對 包括多層局域網(wǎng)(LAN)交換機114-116的第一網(wǎng)絡(luò)域的默認(rèn)路由器�����。 第一交換機114和第二交換機115可操作地連接到第一虛擬局域網(wǎng)(VLAN),即VLAN—A中的客戶端110-112,而第三交換機116與第二 VLAN��,即VLAN—B中的終端站(未示出)相關(guān)聯(lián)����。第二網(wǎng)絡(luò)域106 可以進一步包括與第一 VLAN相關(guān)聯(lián)����、與第二 VLAN相關(guān)聯(lián)或與第一 VLAN和第二 VLAN都相關(guān)聯(lián)的一個或多個節(jié)點�����。例如���,在優(yōu)選實施 例中��,多層交換設(shè)備可以是路由器����、交換機����、網(wǎng)橋或網(wǎng)絡(luò)接入點。
第一網(wǎng)絡(luò)域和第二網(wǎng)絡(luò)域106以及因特網(wǎng)118通過第二路由器104 可操作地連接到因特網(wǎng)118,第二路由器104進一步包括入侵檢測系統(tǒng)
(IDS)����,該入侵檢測系統(tǒng)(IDS)適合于監(jiān)控發(fā)送到第二路由器104或 通過第二路由器104發(fā)送的數(shù)據(jù)業(yè)務(wù),以監(jiān)控是否存在有害的或未經(jīng)授 權(quán)的業(yè)務(wù)�����。例如,該IDS還可以是適合于4僉測蠕蟲和病毒的防火墻105���, 其可以乂人加利福尼亞州桑尼維爾(Sunnyvale, California)的Netscreen Technologies有限公司��,加利福尼亞州桑尼維爾的Fortiiiet公司����,以及得 克薩斯州奧斯汀(Austin, Texas )的Tipping Point公司獲得���。根據(jù)本發(fā) 明的優(yōu)選實施例�����,包括第二路由器104的多個交換設(shè)備可以進一步適合 于使用與第一 VLAN和第二 VLAN不同的隔離VLAN來限制或約束有 害業(yè)務(wù)流的分布。如下所述����,隔離VLAN中的業(yè)務(wù)基本上包括與入侵者 相關(guān)耳關(guān)的PDU或由IDS識別的可1€流。
根據(jù)優(yōu)選實施例�,該網(wǎng)絡(luò)進一步包括自動隔離強制(AQE )服務(wù)器 120,其適合于響應(yīng)于入侵檢測而在一個或多個網(wǎng)絡(luò)節(jié)點之中分布和安 裝分隔規(guī)則。AQE服務(wù)器120優(yōu)選地是通過第二路由器104可操作地 連接到防火墻105的中心管理服務(wù)器�,但它還可以是構(gòu)成第二路由器或 網(wǎng)絡(luò)中的其他節(jié)點的所需的部分�����。
圖2示出了根據(jù)優(yōu)選實施例的適合于執(zhí)行入侵者檢測響應(yīng)(IDR) 的交換機的功能框圖�。根據(jù)本優(yōu)選實施例的交換機200包括一個或多個 網(wǎng)絡(luò)接口模塊(NIM) 204, —個或多個交換控制器206,以及管理模塊 220,所有這些組件進行協(xié)作以通過每個外部端口 102接收到來數(shù)據(jù)業(yè) 務(wù)并發(fā)送發(fā)出數(shù)據(jù)業(yè)務(wù)���。對于本實施例的目的來說�����,從另一個網(wǎng)絡(luò)節(jié)點 流入交換機200的數(shù)據(jù)在此稱為到來數(shù)據(jù)����,其包括到來協(xié)議數(shù)據(jù)單元
(PDU)��。相反��,內(nèi)部地傳播到外部端口 102以便發(fā)送到另一個網(wǎng)絡(luò)節(jié)點的數(shù)據(jù)稱為發(fā)出數(shù)據(jù)�,其包括發(fā)出PDU。多個外部端口 102中的每個 外部端口都是適合于接收到來數(shù)據(jù)并發(fā)送發(fā)出數(shù)據(jù)的雙工端口 ���。NIM 204優(yōu)選地包括一個或多個外部端口 102,其具有物理層4妻口 和媒體訪問控制(MAC)接口 �����,這些接口適合于通過網(wǎng)絡(luò)通信鏈路(未 示出)與其他節(jié)點交換PDU����,例如以太網(wǎng)幀。通過一個或多個到來數(shù)據(jù) 總線205A將到來PDU從多個NIM 204傳送到交換控制器206���。類似地��, 通過一個或多個發(fā)出數(shù)據(jù)總線205B將發(fā)出PDU從交換控制器206傳送 到多個NIM 204����。管理模塊220 —般包括用于保持和實現(xiàn)業(yè)務(wù)策略的策略管理器 224,業(yè)務(wù)策略包括下面將更加詳細(xì)地討論的分隔規(guī)則���。例如�,由策略 管理器224實現(xiàn)的策略包括轉(zhuǎn)發(fā)信息256�、 VLAN關(guān)if關(guān)^L則258和訪問 控制列表規(guī)則260,其中轉(zhuǎn)發(fā)信息256部分地基于從源學(xué)習(xí)操作中導(dǎo)出 的第二層(數(shù)據(jù)鏈路)尋址信息和從其他路由設(shè)備接收的第三層(網(wǎng)絡(luò)) 路由信息,并且訪問控制列表規(guī)則260由AQE服務(wù)器120或網(wǎng)絡(luò)管理 器借助于簡單網(wǎng)絡(luò)管理協(xié)議(SNMP )消息226通過配置管理器222而 發(fā)出����。轉(zhuǎn)發(fā)規(guī)則��、VLAN關(guān)聯(lián)規(guī)則以及訪問控制策略可被路由引擎230 獲得并由查找表254共同表示。交換機200優(yōu)選地包括至少一個交換控制器206,其能夠完成但不 限于完成開放系統(tǒng)互聯(lián)(OSI)參考模型所定義的第二層(數(shù)據(jù)鏈路) 和第三層(網(wǎng)絡(luò))交換操作���。用于將外部端口 102可操作地連接到有線 或無線通信鏈路的 一 組可能的第二層協(xié)議包括國際電氣電子工程師協(xié) 會(正EE) 802.3標(biāo)準(zhǔn)和IEEE 802.11標(biāo)準(zhǔn)����,而一組可能的第三層協(xié)議包 括因特網(wǎng)工程任務(wù)組(正TF)征求意見文件(RFC) 791中所定義的網(wǎng) 際協(xié)議(IP )版本4,以及IETF RFC 1883所定義的IP版本6��。交換控制器206優(yōu)選地包括路由引擎230和隊列管理器240����。路由 引擎230包括從數(shù)據(jù)總線205A接收到來PDU的分類器232,路由引擎 230檢查PDU的一個或多個字段���,使用內(nèi)容可尋址的存儲器233把PDU 分類為多種流中的一種流��,并且如果有權(quán)訪問交換機200及相關(guān)聯(lián)的網(wǎng) 絡(luò)域���,就從查找表254獲取轉(zhuǎn)發(fā)信息并把PDU轉(zhuǎn)發(fā)至適當(dāng)?shù)腣LAN。從轉(zhuǎn)發(fā)表256獲得的轉(zhuǎn)發(fā)信息優(yōu)選地包括但不限于用于規(guī)定例如那些準(zhǔn)備待發(fā)出的特定PDU所必需的轉(zhuǎn)發(fā)操作的流標(biāo)識符����。轉(zhuǎn)發(fā)處理器234接收具有相關(guān)聯(lián)的轉(zhuǎn)發(fā)信息的到來PDU,并且在將 其傳送到適當(dāng)?shù)囊粋€或多個端口之前,執(zhí)行一個或多個轉(zhuǎn)發(fā)操作�。例如���, 轉(zhuǎn)發(fā)操作優(yōu)選地包括但不限于用于重新封裝數(shù)據(jù)的報頭轉(zhuǎn)換,用于使用 VLAN標(biāo)記生成器236來將一個或多個VLAN標(biāo)記附到PDU上的 VLAN標(biāo)記推送���,用于從PDU去除一個或多個VLAN標(biāo)記的VLAN標(biāo) 記彈出���,用于保留網(wǎng)絡(luò)資源的服務(wù)質(zhì)量(QoS),用于監(jiān)控客戶業(yè)務(wù)的計 費和記賬����,多協(xié)議標(biāo)簽交換(MPLS)管理,用于選擇性地過濾PDU的 認(rèn)證��,訪問控制��,包括地址解析協(xié)議(ARP)控制的高層學(xué)習(xí)����,用于為 了業(yè)務(wù)分4t而重新生成并重定向PDU的端口^:像,源學(xué)習(xí)���,用于確定 相對優(yōu)先級從而為PDU分配交換資源的服務(wù)等級(CoS ),以及用于策 略制定和業(yè)務(wù)整形的顏色標(biāo)注���。在轉(zhuǎn)發(fā)處理器234之后,將PDU傳送到隊列管理器240并保存在 其中���,直到有足夠的帶寬可用于將這些PDU傳送到適當(dāng)?shù)囊粋€或多個 發(fā)出端口��。特別地���,發(fā)出PDU會在緩沖器242中的多個優(yōu)先隊列中的 一個或多個優(yōu)先隊列中進行緩沖,直到調(diào)度器244通過輸出數(shù)據(jù)總線 205B將發(fā)出PDU傳送到外部端口 102��。圖3示出了自動隔離強制服務(wù)器的功能框圖����。AQE服務(wù)器120包 括入侵檢測響應(yīng)才莫塊310,該入侵4全測響應(yīng)模塊具有適合于通過網(wǎng)絡(luò)接 口 320從防火墻105接收入侵者檢測通知的腳本生成器312。入侵檢測 響應(yīng)模塊310還包括腳本分布列表314�,用于識別與企業(yè)網(wǎng)100中多個 網(wǎng)絡(luò)域相關(guān)聯(lián)的多個默認(rèn)路由器,所生成的腳本將^皮分布至企業(yè)網(wǎng)100���。圖4示出了用于從AQE服務(wù)器分布入侵者分隔規(guī)則的處理的流程 圖�。在優(yōu)選實施例中����,防火墻105或其他入侵者IDS識別出(410 )入 侵者,并激活A(yù)QE服務(wù)器以自動使用稱為Perl的編程/腳本語言來生成 一個或多個編程命令����。這些命令是由Perl腳本生成的SNMP集命令�, 通過SNMP將這些命令傳送到交換機�。在優(yōu)選實施例中,Perl腳本用于 生成入侵者分隔規(guī)則(420)以將相關(guān)的PDU與常規(guī)的業(yè)務(wù)隔開�,并且把這些命令連同分隔規(guī)則分布(430)到網(wǎng)絡(luò)中的一個或多個節(jié)點。在 接收到SNMP命令后�����, 一個或多個節(jié)點執(zhí)行該命令以安裝/應(yīng)用(440) 入侵者分隔規(guī)則�����,從而使得交換設(shè)備能夠隔離(450)符合所檢測到的 入侵者的配置文件的任意其他包����。在安裝了分隔規(guī)則后,即便是客戶端 重定位到該域的新入口點上�,交換設(shè)備也能夠預(yù)防該域中其他終端節(jié)點 接觸到可疑包。
圖5示出了在企業(yè)網(wǎng)中自動生成入侵者分隔規(guī)則并將其分布到多個 IDR交換機的處理的流程圖��。為了模擬用于分隔入侵者的過程�,防火墻 105配置為向AQE服務(wù)器120傳送入侵者檢測通知。入侵者檢測通知 可以包括例如簡單網(wǎng)絡(luò)管理協(xié)議陷阱(SNMP trap)或系統(tǒng)日志消息�。 在該優(yōu)選實施例中��,入侵者檢測通知包括入侵者配置文件或簽名���,其具 有可疑包的入侵者標(biāo)識符���,例如源地址�����。該源地址一般是媒體訪問控制 (MAC )地址或網(wǎng)際協(xié)議(IP )地址�����。如果標(biāo)識符是MAC地址�����,則ID 類型測試步驟(504)會給出肯定答案�����,并且AQE服務(wù)器120前進到通 過經(jīng)由SNMP來對在此稱為腳本分布列表314的配置文件中所標(biāo)識的每 個默認(rèn)網(wǎng)關(guān)進行ARP表查詢而確定(506)入侵者的IP地址����。
如果標(biāo)識符種類是IP地址,則ID類型測試步驟(504)會給出否 定答案���,并且AQE服務(wù)器120前進到確定入侵者的MAC地址�。AQE
認(rèn)網(wǎng)關(guān)傳送(520) ARP表查詢���。與產(chǎn)生可疑包的終端節(jié)點相關(guān)聯(lián)的默 認(rèn)網(wǎng)關(guān)會具有入侵者的記錄����,并在其地址解析協(xié)議(ARP)表被查詢時 返回(522)入侵者的MAC地址��。得知了入侵者的MAC地址�����,AQE 服務(wù)器120就優(yōu)選地生成(524) SNMP命令集����,該命令集具有使得交 換設(shè)備將具有入侵者源MAC地址的所有包與未受感染的業(yè)務(wù)隔開的分 隔規(guī)則。在優(yōu)選實施例中�����,分隔規(guī)則是用于將來自入侵者的所有包橋接 至隔離VLAN的VLAN規(guī)則,但ACL規(guī)則還可以用于隔開可疑包����。得 知了 IP地址,AQE服務(wù)器120就將具有VLAN分隔規(guī)則的命令傳送 (526 )到默認(rèn)網(wǎng)關(guān)下的域中的每個交換機和路由器��。
在被接收后���,腳本就會被執(zhí)行,并且VLAN或ACL分隔規(guī)則就會合并到(528 ) VLAN關(guān)聯(lián)表258或ACL 260,其中VLAN或ACL分隔 規(guī)則會使得可能在任意邊緣端口或橋接端口接收到的具有入侵者MAC 地址的任意包被隔開���。VLAN或ACL分隔規(guī)則還可以使得接收交換機 在其轉(zhuǎn)發(fā)表256中除去入侵者的MAC地址���。但是,如果配置為在網(wǎng)絡(luò) 中所有交換機上安裝VLAN分隔規(guī)則���,AQE服務(wù)器120就無須確定入 侵者的IP地址或識別默認(rèn)路由器�。圖6示出了 AQE服務(wù)器和IDR交換機對入侵者的響應(yīng)的序列圖���。 例如����,諸如客戶端110之類的終端節(jié)點所產(chǎn)生的PDU—般在未被隔離 的VLAN中傳送,即PDU在沒有VLAN標(biāo)記的情況下被傳送�����,或者被 傳送到與諸如VLAN—A 150之類的常規(guī)VLAN相關(guān)聯(lián)的邊緣端口��。如 果客戶端110將蠕蟲或其他有害文件引入網(wǎng)絡(luò)��,則被感染的PDU 602 會—皮允許進入該未一皮隔離的VLAN并在其中傳插��、直到它^皮防火墻105 檢測到�����。當(dāng)可疑包被檢測到(650)時�����,防火墻105會向AQE服務(wù)器 105傳送入侵者檢測通知604���。如果該入侵者檢測通知604只包含入侵 者的MAC地址���,那么企業(yè)網(wǎng)中的AQE服務(wù)器120例如會向多個默認(rèn) 網(wǎng)關(guān)傳送對ARP表606的SNMP查詢。網(wǎng)關(guān)查詢(654 )其ARP表并 且適當(dāng)?shù)木W(wǎng)關(guān)以查詢響應(yīng)608作為響應(yīng)��,AQE月1務(wù)器120可以^吏用查 詢響應(yīng)608來確定(656)將VLAN分隔規(guī)則傳送到哪一個域。在接收 到VLAN分隔規(guī)則后����,相關(guān)聯(lián)的域中的交換機114-116中的每個交換機 都執(zhí)行腳本以及安裝于其上的適用的分隔規(guī)則。在域中的交換機114-116中的每個交換機上都安裝了隔離規(guī)則之 后����,自動將從客戶端IIO接收到的PDU隔開到隔離VLAN中,與該客 戶端試圖訪問第一域中何處無關(guān)����,也與PDU的內(nèi)容無關(guān)。例如�,如果 被感染的客戶端110向第一交換機114傳送包����,則該交換機114會應(yīng)用 (660) VLAN分隔規(guī)則并將接收到的包橋接至隔離VLAN。類似地���, 如果客戶端IIO在第一域中移動(670),并且在第二交換機115處重新 建立訪問�����,那么根據(jù)VLAN分隔規(guī)則�,傳送到第二交換機115的包630 會被自動橋接到隔離VLAN,從而預(yù)防了被感染的客戶端在網(wǎng)絡(luò)中四處 移動并擴大感染范圍。如圖所示��,來自被感染客戶端110的包620和630可能會被分布到第三交換機U6進行附加檢查�����,或分布至防火墻105,
或同時分布到第三交換機116和防火墻105���。本領(lǐng)域的普通技術(shù)人員應(yīng) 當(dāng)意識到�,來自被感染客戶端110的PDU還可能受到適合于隔開可疑 業(yè)務(wù)的ACL規(guī)則的檢查���,并且預(yù)防客戶端110得以訪問第一域中的任 意接入點�。在一些實施例中���,網(wǎng)絡(luò)用戶會被告知違規(guī)設(shè)備已經(jīng)被分隔����, 然后在重新允許該設(shè)備回到網(wǎng)絡(luò)之前�,提供軟件下載或其他解決方案來 修復(fù)該設(shè)備。
在優(yōu)選實施例中�����,AQE 120還適合于生成腳本,以便一旦這樣做是 安全的��,就在域中撤銷或廢除分隔規(guī)則��。例如����,撤銷腳本可以在由網(wǎng)絡(luò) 管理器啟動時分布,或在經(jīng)過預(yù)定時間段后自動分布��。在一些實施例中��, 保存關(guān)于違規(guī)設(shè)備的MAC地址和IP地址的信息��,使得運營商可以在以 后去除MAC規(guī)則并恢復(fù)對該被隔離設(shè)備的服務(wù)�����。
盡管以上描述中包含很多規(guī)范����,但是這些規(guī)范不應(yīng)解釋為是對本發(fā) 明范圍的限制���,而應(yīng)解釋為僅僅是提供了對本發(fā)明當(dāng)前優(yōu)選實施例的說 明����。
因此,以示例的方式而不是限制的方式公開了本發(fā)明����,并且應(yīng)當(dāng)對 所附權(quán)利要求進行參考以確定本發(fā)明的范圍。
權(quán)利要求
1.一種用于在數(shù)據(jù)通信網(wǎng)絡(luò)中阻止業(yè)務(wù)的系統(tǒng)����,所述系統(tǒng)包括一個或多個交換設(shè)備;入侵檢測系統(tǒng)�,用以確定入侵者的身份;以及服務(wù)器�,其可操作地連接到入侵檢測器,適合于自動地生成將已識別的入侵者與分隔動作相關(guān)聯(lián)的分隔規(guī)則��;以及將所述分隔規(guī)則安裝在所述一個或多個交換設(shè)備中的每個交換設(shè)備上����;其中所述一個或多個交換設(shè)備中的每個交換設(shè)備在接收到來自所述已識別的入侵者的協(xié)議數(shù)據(jù)單元(PDU)后執(zhí)行所述分隔動作。
2. 根據(jù)權(quán)利要求1所述的系統(tǒng)���,其中所述入侵者的身份是媒體訪問 控制(MAC)地址���。
3. 根據(jù)權(quán)利要求1所述的系統(tǒng)���,其中所述入侵者的身份是網(wǎng)際協(xié)議 (IP)地址。
4. 根據(jù)權(quán)利要求1所述的系統(tǒng)�,其中所述分隔規(guī)則是虛擬局域網(wǎng) (VLAN)規(guī)則,其適合于將與所述已識別的入侵者相關(guān)聯(lián)的一個或多個PDU放置到隔離VLAN中��。
5. 根據(jù)權(quán)利要求1所述的系統(tǒng)���,其中所述分隔規(guī)則是訪問控制列表 (ACL)規(guī)則�����,其適合于將與所述已識別的入侵者相關(guān)聯(lián)的一個或多個PDU與來自受所述一個或多個交換設(shè)備支持的一個或多個終端站的 PDU隔開���。
6. 根據(jù)權(quán)利要求1所述的系統(tǒng),其中所述一個或多個交換設(shè)備與默 認(rèn)網(wǎng)關(guān)相關(guān)聯(lián)����,并且所述服務(wù)器進一步適合于識別所述默認(rèn)網(wǎng)關(guān);以及識別要安裝所述分隔規(guī)則的所述一個或多個交換設(shè)備��。
7. 根據(jù)權(quán)利要求6所述的系統(tǒng)�,其中所述默認(rèn)網(wǎng)關(guān)是多個路由器中 的一個路由器�,并且其中所述服務(wù)器適合于通過向多個路由器中的每個 路由器發(fā)布對地址解析協(xié)議(ARP)信息的查詢來識別所述默認(rèn)網(wǎng)關(guān)�����。
8. 根據(jù)權(quán)利要求1所述的系統(tǒng)��,其中所述入侵檢測系統(tǒng)選自防火墻和7vf憂預(yù)防系統(tǒng)���。
9. 根據(jù)權(quán)利要求1所述的系統(tǒng),其中所述分隔規(guī)則以計算機可讀的 腳本的形式發(fā)送到所述一個或多個交換設(shè)備��。
10. —種用于在網(wǎng)絡(luò)中阻止客戶端設(shè)備的系統(tǒng)����,所述網(wǎng)絡(luò)包括一個 或多個路由器,其中包括與包含所述客戶端設(shè)備的網(wǎng)段相關(guān)聯(lián)的第 一路 由器�����,所述系統(tǒng)包括一個或多個交換機���,其可操作地連接到與所述第一路由器相關(guān)聯(lián)的 網(wǎng)l史���;以及中心管理節(jié)點,適合于從入侵檢測實體接收具有源地址的入侵檢測結(jié)果���,所述源地址與所 述客戶端設(shè)備相關(guān)聯(lián)�����;從所述一 個或多個路由器中識別所述第 一路由器���;生成將具有與所述客戶端設(shè)備相關(guān)聯(lián)的所述源地址的PDU映射到與其他網(wǎng)絡(luò)業(yè)務(wù)隔開的懲罰虛擬局域網(wǎng)(VLAN)的身見則����;并且 將所述規(guī)則發(fā)送到所述一個或多個交換機中的每個交換機��; 其中所述一個或多個交換機中的每個交換機都使得具有與所述客戶端設(shè)備相關(guān)聯(lián)的所述源地址的PDU被映射到所述懲罰VLAN��。
11. 一種用于在數(shù)據(jù)通信網(wǎng)絡(luò)中阻止業(yè)務(wù)的方法�����,所述網(wǎng)絡(luò)具有一 個或多個交換設(shè)備�,所述方法包括如下步驟在網(wǎng)絡(luò)中識別入侵者;自動生成將已識別的入侵者與分隔動作相關(guān)聯(lián)的分隔規(guī)則���;以及 在所述一 個或多個交換設(shè)備中的每個交換設(shè)備上安裝所述分隔規(guī)其中所述一個或多個交換設(shè)備中的每個交換設(shè)備在接收到來自所 述已識別的入侵者的PDU后執(zhí)行所述分隔動作�。
12. 根據(jù)權(quán)利要求11所述的方法,其中通過媒體訪問控制(MAC) 地址來識別所述入侵者�����。
13. 根據(jù)權(quán)利要求11所述的方法����,其中通過網(wǎng)際協(xié)議(IP)地址來識別所述入侵者���。
14. 根據(jù)權(quán)利要求11所述的方法�����,其中所述分隔規(guī)則是虛擬局域網(wǎng)(VLAN)規(guī)則�����,其適合于將與所述已識別的入侵者相關(guān)聯(lián)的一個或多 個PDU放置到隔離VLAN中����。
15. 根據(jù)權(quán)利要求11所述的方法����,其中所述分隔規(guī)則是訪問控制列 表(ACL)規(guī)則,其適合于將與所述已識別的入侵者相關(guān)聯(lián)的一個或多 個PDU與來自受所述一個或多個交換設(shè)備支持的一個或多個終端站的 PDU隔開。
16. 根據(jù)權(quán)利要求11所述的方法�,其中所述一個或多個交換設(shè)備與 默認(rèn)網(wǎng)關(guān)相關(guān)聯(lián),并且其中所述方法進一步包括以下步驟識別所述默認(rèn)網(wǎng)關(guān)���;以及識別要安裝所述分隔規(guī)則的所述一個或多個交換設(shè)備��。
全文摘要
在優(yōu)選實施例中��,本發(fā)明的特征在于一種系統(tǒng)(200)和方法���,用于自動在包括交換機和路由器的多個網(wǎng)絡(luò)節(jié)點處將有害業(yè)務(wù)與其他業(yè)務(wù)隔開。在優(yōu)選實施例中���,該系統(tǒng)(200)包括入侵檢測系統(tǒng)(105)�����,用以確定入侵者的身份��;以及服務(wù)器(130)�,適合于自動在一個或多個網(wǎng)絡(luò)節(jié)點(114����,115�,116)上安裝分隔規(guī)則�����,以隔離來自入侵者的包����。在優(yōu)選實施例中�����,分隔規(guī)則是虛擬局域網(wǎng)(VLAN)規(guī)則或訪問控制列表(ACL)規(guī)則�����,其可以使得網(wǎng)絡(luò)節(jié)點將來自入侵者的任意包路由至隔離VLAN����,或者把該業(yè)務(wù)與其他網(wǎng)絡(luò)業(yè)務(wù)分隔開來。在大型網(wǎng)絡(luò)中�,分隔規(guī)則可以安裝在與入侵者首次進入網(wǎng)絡(luò)(100)時的節(jié)點相關(guān)聯(lián)的網(wǎng)關(guān)路由器(104)下面的選定的多個網(wǎng)絡(luò)節(jié)點上。
文檔編號H04L29/06GK101411156SQ200480043387
公開日2009年4月15日 申請日期2004年12月21日 優(yōu)先權(quán)日2004年5月12日
發(fā)明者文森特·弗穆萊恩, 約翰·戴維·馬修斯 申請人:阿爾卡特朗訊