專利名稱::基于策略的網(wǎng)絡(luò)體系結(jié)構(gòu)的制作方法
技術(shù)領(lǐng)域:
:本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)�,更具體地,涉及用于為因特網(wǎng)上的遠(yuǎn)程專用網(wǎng)絡(luò)提供有效、綜合和可伸縮的策略管理服務(wù)的設(shè)備和方法��。計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展和擴(kuò)散允許企業(yè)有效地和自己的各部門以及其商業(yè)伙伴���、顧客����、供應(yīng)商通信����。然而��,由這些計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)提供的靈活性和效率也帶來(lái)增多的風(fēng)險(xiǎn)����,包括來(lái)自公司外部的安全破壞、要害信息意外從內(nèi)部逸出和不恰當(dāng)?shù)厥褂肔AN����、WAN、因特網(wǎng)或外聯(lián)網(wǎng)����。在管理計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展以及解決各種安全問題中,網(wǎng)絡(luò)管理員經(jīng)常依賴網(wǎng)絡(luò)策略管理服務(wù)��,例如防火墻保護(hù)、網(wǎng)絡(luò)地址轉(zhuǎn)換��、電子郵件過濾�、DNS高速緩存、Web高速緩存�����、虛擬專用網(wǎng)(VPN)結(jié)構(gòu)和安全以及URL阻塞����,以便避免網(wǎng)絡(luò)用戶通過利用機(jī)構(gòu)的ISP訪問某些Web站點(diǎn)。然而每種策略管理服務(wù)一般需要單獨(dú)部件���,并需要對(duì)后者配置���、管理和監(jiān)視。此外�,隨著機(jī)構(gòu)擴(kuò)大并散布在多個(gè)地點(diǎn),要保持的部件隨之增多�����,從而增加配置、管理和監(jiān)視這些部件的相關(guān)開銷和工作量�����。該問題的解決辦法并不是簡(jiǎn)單地在每個(gè)地點(diǎn)把多個(gè)網(wǎng)絡(luò)策略管理功能集成到單個(gè)部件中并且讓每個(gè)地點(diǎn)和其它地點(diǎn)共享它的策略信息��。事實(shí)上���,在采納這樣的方法中存在許多障礙和挑戰(zhàn)�����。例如,用來(lái)有效地在整個(gè)機(jī)構(gòu)的各遠(yuǎn)程專用網(wǎng)絡(luò)上規(guī)定并分發(fā)策略管理信息的方法一般需要一個(gè)良好設(shè)計(jì)的對(duì)象模型����。在更新策略管理信息下同步機(jī)構(gòu)內(nèi)的多個(gè)數(shù)據(jù)庫(kù)也可能是一個(gè)復(fù)雜問題。另外����,有效地為機(jī)構(gòu)中的各遠(yuǎn)程部件而管理策略信息可能存在著挑戰(zhàn)。此外���,從大型分布式策略管理系統(tǒng)的各遠(yuǎn)程專用網(wǎng)絡(luò)上收集日志和統(tǒng)計(jì)信息以進(jìn)行有效分析和報(bào)告生成通常是一項(xiàng)困難的任務(wù)����。常規(guī)地,僅記錄并保存原始包信息����,因?yàn)楫a(chǎn)生有意義的報(bào)告和統(tǒng)計(jì)通常需要在原始數(shù)據(jù)上脫機(jī)地運(yùn)行耗時(shí)的專門生成的程序。在提供一個(gè)統(tǒng)一的策略管理系統(tǒng)中還存在其它挑戰(zhàn)�����。為了提高好處�����,應(yīng)盡可能多地在硬件中實(shí)現(xiàn)這些統(tǒng)一的策略管理功能�����。然而�����,在芯片上實(shí)現(xiàn)策略管理典型地需要有效的設(shè)計(jì)分解����。另外����,統(tǒng)一式策略管理系統(tǒng)應(yīng)允許對(duì)延伸到不同遠(yuǎn)程地點(diǎn)的虛擬專用網(wǎng)絡(luò)有效地進(jìn)行配置�����、管理和更新���。從而����,在技術(shù)上仍需要一種克服現(xiàn)有技術(shù)的這些以及其它障礙的網(wǎng)絡(luò)管理解決辦法�。本發(fā)明的目的是提供一種統(tǒng)一式策略管理系統(tǒng),其中可從單個(gè)地點(diǎn)建立和實(shí)施各種策略����,即確定網(wǎng)絡(luò)運(yùn)行的規(guī)則組和指令組��。依據(jù)本發(fā)明的一實(shí)施例�����,該系統(tǒng)包括一個(gè)和具有第一組資源的第一網(wǎng)絡(luò)相關(guān)的第一邊緣部件�����,其配置成根據(jù)第一數(shù)據(jù)庫(kù)中存儲(chǔ)的策略設(shè)置來(lái)管理用于第一網(wǎng)絡(luò)的各策略。該系統(tǒng)還包括一個(gè)和具有第二組資源的第二網(wǎng)絡(luò)相關(guān)的第二邊緣部件����,其配置成根據(jù)第二數(shù)據(jù)庫(kù)中存儲(chǔ)的策略設(shè)置來(lái)管理用于第二網(wǎng)絡(luò)的各策略。第一和第二邊緣部件充當(dāng)它們各自網(wǎng)絡(luò)的策略實(shí)施器�。所實(shí)施的策略可包括防火墻策略、VPN策略等���。該系統(tǒng)還包括一個(gè)和第一���、第二邊緣部件通信的中央策略服務(wù)器。該策略服務(wù)器配置成定義第一和第二策略設(shè)置和從單個(gè)位置管理第一和第二邊緣部件�����。從而��,網(wǎng)絡(luò)管理員在逐個(gè)配置和管理策略實(shí)施器時(shí)不必增加工作量和相關(guān)的開銷�����。在各替代實(shí)施例中�����,該統(tǒng)一式策略管理系統(tǒng)包括下述特征中的一個(gè)或多個(gè)特征該中央策略服務(wù)器可包括一個(gè)用于存儲(chǔ)各策略實(shí)施器的配置信息的中央數(shù)據(jù)庫(kù)。該中央數(shù)據(jù)庫(kù)以及和各策略實(shí)施器相關(guān)的數(shù)據(jù)庫(kù)是根據(jù)面向分層對(duì)象結(jié)構(gòu)組織的輕便目錄訪問協(xié)議(LDAP)數(shù)據(jù)庫(kù)�。該結(jié)構(gòu)包括用于定義策略實(shí)施器的策略設(shè)置的資源對(duì)象和策略對(duì)象。這種結(jié)構(gòu)由于允許以直觀和可擴(kuò)充的方式定義和組織該策略管理系統(tǒng)的不同單元而有助于簡(jiǎn)化策略管理��。依據(jù)本發(fā)明的一實(shí)施例����,資源對(duì)象包括部件、用戶����、主機(jī)、服務(wù)和時(shí)間�。部件是在某具體專用局部網(wǎng)的邊緣處的策略實(shí)施器。每個(gè)部件和一些用戶及一個(gè)主機(jī)相關(guān)����。主機(jī)是機(jī)構(gòu)內(nèi)的一個(gè)網(wǎng)絡(luò)(例如����,LAN子網(wǎng))。各服務(wù)反映由策略服務(wù)器提供的各種服務(wù)(例如����,HTTP�����、TELNET��、FTP)�����。時(shí)間是控制對(duì)網(wǎng)絡(luò)資源的訪問中的另一個(gè)維�。中央數(shù)據(jù)庫(kù)存儲(chǔ)用于所有策略實(shí)施器的配置信息����,其中包括策略設(shè)置。當(dāng)對(duì)該配置信息做出改變時(shí)�����,策略服務(wù)器建立這些改變的記錄并存儲(chǔ)在中央數(shù)據(jù)庫(kù)中供以后傳送到策略實(shí)施器之用�。當(dāng)策略實(shí)施器接收改變記錄時(shí),它們相應(yīng)地更新各自的數(shù)據(jù)庫(kù)并對(duì)策略服務(wù)器指明更新是否成功��。若成功�����,則從中央數(shù)據(jù)庫(kù)刪除和這些策略實(shí)施器對(duì)應(yīng)的改變記錄。中央策略服務(wù)器還可包括一組用戶應(yīng)用模塊�����,用于允許諸如網(wǎng)絡(luò)管理員的用戶定義用于策略實(shí)施器的策略設(shè)置��,并且進(jìn)而從該單個(gè)位置管理各策略實(shí)施器�����。策略設(shè)置最好和多個(gè)包含部件�、用戶、主機(jī)��、服務(wù)和時(shí)間的資源對(duì)象關(guān)聯(lián)�。在本發(fā)明的一個(gè)方面中,該應(yīng)用模塊組包括一個(gè)集中式管理子模塊����,其用于允許借助該中央策略服務(wù)器安裝和登記策略實(shí)施器。在本發(fā)明的另一個(gè)方面中���,該應(yīng)用模塊組包括一個(gè)策略管理子模塊���,其用于從該單個(gè)位置管理和檢查資源對(duì)象。在本發(fā)明的再一個(gè)方面中����,該策略服務(wù)器包括一組用戶應(yīng)用模塊以允許用戶監(jiān)視策略實(shí)施器的健康和狀態(tài)。每個(gè)策略實(shí)施器按預(yù)定義的公用記錄格式收集健康和狀態(tài)信息并把它發(fā)送到該策略服務(wù)器�����。策略服務(wù)器可根據(jù)該信息建立各種報(bào)告��。從而應(yīng)理解本發(fā)明允許在傳輸中監(jiān)視該機(jī)構(gòu)中的資源�����,進(jìn)而產(chǎn)生本發(fā)明優(yōu)于現(xiàn)有技術(shù)的優(yōu)點(diǎn)����,現(xiàn)有技術(shù)通常只收集原始數(shù)據(jù)從而需要乏味的報(bào)告生成。還可分解策略實(shí)施器在實(shí)施各自網(wǎng)絡(luò)的策略上的功能性�����,以便有效地進(jìn)行硬件實(shí)現(xiàn)。依據(jù)本發(fā)明的一實(shí)施例�,每個(gè)邊緣部件最好包含多個(gè)模塊,該模塊包括分類引擎�、策略引擎和包發(fā)送引擎。分類引擎確定和輸入包相關(guān)的協(xié)議����。策略引擎根據(jù)和包關(guān)聯(lián)的策略設(shè)置為包做出發(fā)送決策。接著包發(fā)送模塊根據(jù)該策略設(shè)置發(fā)送包�����。在一些替代實(shí)施例中�����,模塊還包括一個(gè)用于認(rèn)證用戶發(fā)送包的安全引擎和/或一個(gè)用于收集流過策略實(shí)施器的包的統(tǒng)計(jì)信息的統(tǒng)計(jì)模塊����。該系統(tǒng)中的各個(gè)網(wǎng)絡(luò)還可構(gòu)成專用網(wǎng)絡(luò),并且和專用網(wǎng)絡(luò)相關(guān)的每個(gè)策略實(shí)施器可配置成���,建立一個(gè)帶有通過該策略實(shí)施器可到達(dá)的成員網(wǎng)絡(luò)的信息的表����。然后該表和VPN中的其它成員策略實(shí)施器共享。這允許建立動(dòng)態(tài)編輯其成員表的各個(gè)VPN���。在本發(fā)明的一個(gè)特別方面中,根據(jù)和成員網(wǎng)絡(luò)組相關(guān)的安全策略��,管理第一和第二專用網(wǎng)絡(luò)之間的通信�����。該安全策略最好是為一稱為VPN云(Cloud)的安全策略組而確定的��,以提供該組的層次結(jié)構(gòu)�����。VPN云包括成員網(wǎng)絡(luò)(主機(jī))�����、準(zhǔn)許訪問各成員網(wǎng)絡(luò)的用戶組����,以及一條控制對(duì)成員網(wǎng)絡(luò)的訪問的規(guī)則。從而由VPN云提供的分層結(jié)構(gòu)允許網(wǎng)絡(luò)管理員建立完整的格網(wǎng)VPN�,其中某VPN云內(nèi)的每個(gè)地點(diǎn)和每個(gè)其它地點(diǎn)具有完整的可連性。網(wǎng)絡(luò)管理員不再需要人工配置VPN中每個(gè)可能的連接,而是只要建立一個(gè)VPN云和規(guī)定和該VPN相關(guān)的地點(diǎn)��、用戶和規(guī)則���。然后根據(jù)為該VPN云規(guī)定的配置來(lái)配置每個(gè)連接����。從而該分層結(jié)構(gòu)有利于建立帶有大量地點(diǎn)的VPN���。在本發(fā)明的另一個(gè)方面中���,VPN中的規(guī)則是對(duì)成員網(wǎng)絡(luò)之間的通話提供訪問控制的防火墻規(guī)則。這樣的防火墻規(guī)則能使管理員對(duì)流過該VPN的通信具有粒度良好的訪問控制�,所有控制都在該VPN提供的加密訪問的范圍內(nèi)。在本發(fā)明的再一個(gè)方面中����,遠(yuǎn)程用戶從遠(yuǎn)程位置利用遠(yuǎn)程用戶終端訪問各成員網(wǎng)絡(luò)。該終端配置著用于從和其連接的邊緣部件下載帶有動(dòng)態(tài)會(huì)員資格信息的表的軟件����。還自動(dòng)地在不必重新配置終端的情況下,向遠(yuǎn)程用戶終端發(fā)送對(duì)會(huì)員資格信息的更新�����。通過在第一類單元(主單元)之外保持第二類單元(備用單元)以防止單點(diǎn)故障,還可以以高使用性配置策略服務(wù)器�����、策略實(shí)施器和其它網(wǎng)絡(luò)部件�����。在本發(fā)明的一個(gè)方面中����,備用單元最初處于待用狀態(tài)并且一旦檢測(cè)出主單元出故障就轉(zhuǎn)成激活狀態(tài)�。在本發(fā)明的另一個(gè)方面中,在初始化期間每個(gè)高使用性的部件把自己的狀態(tài)顯示為主單元���、備用單元或獨(dú)立單元(第三類單元)�。在本發(fā)明的又一個(gè)方面中�����,通過把第一類單元轉(zhuǎn)換到待用狀態(tài)����、接收并存儲(chǔ)該第一類單元上的第一數(shù)據(jù)庫(kù)配置變化��、把這些配置變化發(fā)送到第二類單元以及在該第二類單元上存儲(chǔ)這些配置變化�����,同步主單元和備用單元的數(shù)據(jù)庫(kù)中存儲(chǔ)的配置信息���。當(dāng)主單元轉(zhuǎn)換到待用狀態(tài)時(shí),備用單元存儲(chǔ)第二類單元上的第二數(shù)據(jù)庫(kù)配置變化并在它再轉(zhuǎn)換到激活狀態(tài)后把這些變化傳送到主單元����。在本發(fā)明的再一個(gè)方面中,還通過把更新信息發(fā)送到主單元����、更新主單元、把該更新從主單元發(fā)送到備用單元并更新備用單元����,同步對(duì)主單元和備用單元的更新,例如軟件更新����,因此����,網(wǎng)絡(luò)管理員不需要復(fù)制他或她的工作量去更新備用單元�����。在通過下述詳細(xì)說明���、附屬權(quán)利要求書和附圖研究時(shí)����,可更全面地理解本發(fā)明的這些和其它特征��、方面和優(yōu)點(diǎn),在附圖中圖1是一示例統(tǒng)一式策略管理系統(tǒng)的示意方塊圖����;圖2示出依據(jù)本發(fā)明的原理為一機(jī)構(gòu)存儲(chǔ)的策略的分層面向?qū)ο蟮慕Y(jié)構(gòu)��;圖3是圖1的策略管理系統(tǒng)中的策略服務(wù)器的示意方塊圖��;圖4是圖3的策略服務(wù)器中的中央管理子模塊的示意圖��;圖5是由圖4的中央管理子模塊實(shí)現(xiàn)的部件注冊(cè)進(jìn)程的示例流程圖���;圖6是一個(gè)屏幕�,示出用于注冊(cè)部件的示例圖形用戶接口;圖7是一個(gè)屏幕�����,示出展示部件健康和狀態(tài)信息的示例全局監(jiān)視器用戶接口����;圖8是一個(gè)屏幕,示出由圖3的策略服務(wù)器中的策略管理子模塊提供的示例圖形用戶接口��;圖9是一個(gè)屏幕�����,示出用于管理系統(tǒng)部件的示例圖形用戶接口���;圖10是一個(gè)屏幕�����,示出用于管理系統(tǒng)主機(jī)的示例圖形用戶接口�����;圖11是一個(gè)屏幕���,示出用于管理系統(tǒng)服務(wù)的示例圖形用戶接口����;圖12是一個(gè)屏幕����,示出用于管理時(shí)間組的示例圖形用戶接口;圖13是一個(gè)屏幕���,示出顯示多個(gè)VPN云的示例圖形用戶接口�����;圖14是一個(gè)屏幕,示出用于增添一新的防火墻策略的示例用戶接口�;圖15是策略實(shí)施器更新它們各自的VPN會(huì)員資格信息的示意功能方塊圖;圖16是由遠(yuǎn)程VPN客戶機(jī)下載的自提取可執(zhí)行體的成分的方塊圖��;圖17是用于下載圖16的自提取可執(zhí)行體的功能方塊圖��;圖18是圖1的策略管理系統(tǒng)中的策略實(shí)施器的示意方塊圖����;圖19是圖18的策略實(shí)施器中的策略引擎的更詳細(xì)的示意方塊圖�;圖20是圖18的策略實(shí)施器中的協(xié)議分類引擎的更詳細(xì)示意方塊圖�����;圖21是圖18的策略實(shí)施器中的因特網(wǎng)協(xié)議安全引擎的更詳細(xì)示意方塊圖�����;圖22是依據(jù)本發(fā)明的一實(shí)施例的公用記錄格式的示意布局圖����;圖23是依據(jù)本發(fā)明的LDAP樹結(jié)構(gòu)的方塊圖;圖24是圖23的LDAP樹的分支的更詳細(xì)方塊圖�;圖25是記錄LDAP變化并向策略實(shí)施器傳播該變化的流程圖;圖26是包括主單元和備用單元的高有效性系統(tǒng)的示意方塊圖��;圖27是由一高有效性單元進(jìn)行的示例狀態(tài)顯示進(jìn)展的流程圖����;圖28是用于保持在圖26的主單元和備用單元中同步的配置信息的進(jìn)程的流程圖;圖29是在圖26的主單元和備用單元都起作用時(shí)更新二者的示例流程圖�;以及圖30是當(dāng)主單元不起作用時(shí)更新圖26的主單元和備用單元的示例流程圖。I.統(tǒng)一式策略管理系統(tǒng)體系結(jié)構(gòu)圖1是依據(jù)本發(fā)明的一實(shí)施例的示例統(tǒng)一式策略管理系統(tǒng)的示意方塊圖。如圖1中所示��,通過各自的路由器(通用地在110處標(biāo)示)和因特網(wǎng)服務(wù)提供商(ISP)(未示出)�����,專用局部網(wǎng)102��、104���、106都和例如因特網(wǎng)108的一個(gè)公用網(wǎng)連接�����。通過各ISP和公用因特網(wǎng)108連接的還有網(wǎng)沖浪者112�、撥號(hào)網(wǎng)絡(luò)用戶114��、提供越權(quán)Web站點(diǎn)的服務(wù)器116��、向外發(fā)送非請(qǐng)求的無(wú)用電子郵件的電子郵件無(wú)賴(spammer)118以及試圖訪問專用局部網(wǎng)102的遠(yuǎn)程VPN客戶140�。依據(jù)一個(gè)例子�����,局部網(wǎng)102在機(jī)構(gòu)的第一位置例如在機(jī)構(gòu)總部,連接用戶及資源���,例如工作站���、服務(wù)器、打印機(jī)等�����;而局部網(wǎng)104在機(jī)構(gòu)的第二位置例如部門辦公室處��,連接用戶和資源����。另外,局部網(wǎng)106連接需要對(duì)該機(jī)構(gòu)的用戶和資源進(jìn)行特定訪問的該機(jī)構(gòu)顧客的用戶和資源����。該機(jī)構(gòu)的授權(quán)撥號(hào)網(wǎng)絡(luò)用戶114分別位于第一和第二局部網(wǎng)的遠(yuǎn)程位置處,并且也需要對(duì)該機(jī)構(gòu)的用戶和資源的特定訪問�。另外,Web沖浪者112在公用因特網(wǎng)108上和該機(jī)構(gòu)的網(wǎng)服務(wù)器120通信并訪問該機(jī)構(gòu)Web站點(diǎn)���。局部網(wǎng)102包括一個(gè)用于定義并管理該機(jī)構(gòu)的網(wǎng)絡(luò)服務(wù)和策略的策略服務(wù)器122�����。網(wǎng)絡(luò)策略是一組確定網(wǎng)絡(luò)操作的規(guī)則和指令�,例如防火墻、帶寬和管理策略�。防火墻策略決定允許從公用因特網(wǎng)108流入到局部網(wǎng)102、104的網(wǎng)絡(luò)通話以及要被阻塞的通話����。帶寬策略確定分配給穿過各局部網(wǎng)的通話的帶寬。VPN策略確定在各局部網(wǎng)間實(shí)現(xiàn)多點(diǎn)連接的規(guī)則�����。管理策略決定可訪問管理功能的用戶�����、分配給這些用戶的管理功能類型以及這些用戶可在其上實(shí)施這些管理功能的策略實(shí)施器124���、126����。最好在由策略服務(wù)器122保持的策略服務(wù)器數(shù)據(jù)庫(kù)130中存儲(chǔ)用于整個(gè)機(jī)構(gòu)的防火墻策略��、VPN策略���、帶寬策略和管理策略�。每個(gè)局部網(wǎng)102���、104還包括一個(gè)稱為策略實(shí)施器124��、126的邊緣部件��,用于控制對(duì)網(wǎng)絡(luò)的訪問�����。每個(gè)策略實(shí)施器124�����、126如由策略服務(wù)器122許可那樣為它們各自局部網(wǎng)102�����、104的用戶和資源而管理網(wǎng)絡(luò)策略和服務(wù)����。向策略實(shí)施器數(shù)據(jù)庫(kù)132、134拷貝策略服務(wù)器數(shù)據(jù)庫(kù)130的有關(guān)部分�����,以允許策略實(shí)施器為局部網(wǎng)102�、104而管理網(wǎng)絡(luò)策略和網(wǎng)絡(luò)服務(wù)。依據(jù)本發(fā)明的一實(shí)施例���,可以按類似于加州Milpitas鎮(zhèn)的Alcatel聯(lián)網(wǎng)公司制造的FORTKNOX系列策略路由器的形式�����,實(shí)現(xiàn)策略服務(wù)器122和策略實(shí)施器124�����、126���。II.用于網(wǎng)絡(luò)策略管理的對(duì)象模型依據(jù)本發(fā)明的一實(shí)施例,策略服務(wù)器數(shù)據(jù)庫(kù)130和策略實(shí)施器數(shù)據(jù)庫(kù)132�、134是依附面向統(tǒng)一分層對(duì)象結(jié)構(gòu)的LDAP數(shù)據(jù)庫(kù)。LDAP目錄服務(wù)模型基于條目�����,其中每條條目是稱為特異名(DN)的屬性的集合。每個(gè)屬性包括一個(gè)類型以及一個(gè)或多個(gè)值����。類型典型地是助記串����,例如用于機(jī)構(gòu)的“o”、用于國(guó)家的“c”或用于電子郵件地址的“mail”��。值取決于屬性的類型����。例如,“mail”屬性可含有值“babs@umichedu”���?��!癷pegPhoto”屬性可包含一張二進(jìn)制JPEG/JFIF格式下的照片。在RFC1777“TheLightweightDirectoryAccessProtocal(W.Yeong��、T.Howes���,andKille���,NetworkWorkingGroup���,March1955)和“LDAPProgrammingDirectory-enabledApplicationswithLightweightDirectoryAccessprotocol”(T.Howes,andM.Smith����,MacmillanTechnicalPublishing,1997)中定義LDAP目錄服務(wù)的其它細(xì)節(jié)�����,把它們收錄為本文的參考資料���。LDAP數(shù)據(jù)庫(kù)中的條目最好排列在反映政治�、地理和或機(jī)構(gòu)邊界的分層樹狀結(jié)構(gòu)中����。代表國(guó)家的條目出現(xiàn)在樹的頂部。它們的下面是代表州或者國(guó)家機(jī)構(gòu)的條目����。州或國(guó)家機(jī)構(gòu)的下面可以是代表人、機(jī)構(gòu)部門���、打印機(jī)��、文檔等��。圖2是依據(jù)本發(fā)明的一實(shí)施例的由策略服務(wù)器數(shù)據(jù)庫(kù)130依附的面向統(tǒng)一分層對(duì)象結(jié)構(gòu)的示意布局圖�����。除一些不同外��,策略實(shí)施器數(shù)據(jù)庫(kù)132�����、134依附于類似結(jié)構(gòu)����。例如����,策略實(shí)施器數(shù)據(jù)庫(kù)最好不含有策略服務(wù)器域?qū)ο?01和有關(guān)的策略服務(wù)器對(duì)象,或者不含有策略域?qū)ο?40����。如圖2中所示����,最好作為一個(gè)LDAP條目存儲(chǔ)該結(jié)構(gòu)中的每個(gè)對(duì)象��。該層次的頂部處是包括各種策略服務(wù)器資源和多個(gè)策略域?qū)ο?通用地在204處注示)的策略服務(wù)器域?qū)ο?01�����。每個(gè)策略域?qū)ο?40是由一個(gè)共享共用策略的策略實(shí)施器的分組��。每個(gè)策略域?qū)ο?40包括一個(gè)資源根對(duì)象200和一個(gè)組根對(duì)象202����。最好用包括部件204、用戶206���、主機(jī)208�����、服務(wù)210和時(shí)間220的資源對(duì)象實(shí)現(xiàn)所有策略管理功能�����。這樣��,防火墻策略可通過簡(jiǎn)單地指定可應(yīng)用于該策略的特定部件���、用戶���、主機(jī)、服務(wù)和時(shí)間來(lái)定義��。部件��、用戶��、主機(jī)和服務(wù)最好分別組織成組212����、214�����、216和218�����,各組具有組名、描述和成員信息以便以更直觀的方式定址和組織各資源�。用戶206最好和用戶域相關(guān),后者提供一種驗(yàn)證用戶的安全和有效的手段�����。每個(gè)用戶域具有單個(gè)授權(quán)驗(yàn)證該用戶的策略實(shí)施器�。從而,用戶域確保鑒別主體(agent)通常和用戶位于同一個(gè)局部網(wǎng)中����。這有助于消除用戶驗(yàn)證進(jìn)程期間的網(wǎng)絡(luò)相關(guān)費(fèi)用或網(wǎng)絡(luò)等待時(shí)間。然而���,應(yīng)注意���,用戶還可以構(gòu)成授權(quán)的撥號(hào)用戶114以及來(lái)自顧客網(wǎng)絡(luò)106的用戶。這些用戶和遠(yuǎn)程鑒別主體接觸�,后者代理執(zhí)行適當(dāng)策略實(shí)施器的驗(yàn)證。主機(jī)208是一機(jī)構(gòu)內(nèi)存在的各網(wǎng)絡(luò)����。例如,可把一具體的LAN子網(wǎng)規(guī)定為該系統(tǒng)內(nèi)的一個(gè)主機(jī)���。最好根據(jù)它們?cè)谠摍C(jī)構(gòu)內(nèi)的物理位置組織各主機(jī)208�。主機(jī)的物理位置是通過和該主機(jī)關(guān)聯(lián)的部件(策略實(shí)施器204)確定的。服務(wù)210反映策略服務(wù)器122提供的各種服務(wù)�。這些服務(wù)例如包括多媒體流動(dòng)/置信、信息檢索����、安全性和驗(yàn)證、數(shù)據(jù)庫(kù)應(yīng)用���、郵件應(yīng)用����、路由選擇應(yīng)用���、標(biāo)準(zhǔn)通信協(xié)議等等����。和每項(xiàng)服務(wù)關(guān)聯(lián)的屬性最好包括服務(wù)名���、說明、類型(例如HTTP��、HTTPS、FTP�、TELNET、SMTP����、實(shí)網(wǎng)絡(luò)等)和組。部件204是位于一具體局部網(wǎng)的邊緣處的策略實(shí)施器124�����、126����。每個(gè)部件/策略實(shí)施器最好包括由該策略實(shí)施器管理的用戶206和主機(jī)/網(wǎng)絡(luò)208。時(shí)間220是控制對(duì)網(wǎng)絡(luò)資源的訪問中的另一個(gè)維��。在建立防火墻策略中可建立和使用復(fù)蓋一時(shí)間區(qū)段的各種時(shí)間對(duì)象�。類似于資源,最好也用對(duì)象定義網(wǎng)絡(luò)策略�,以便更有效、更直觀地定義各策略����。對(duì)公用因特網(wǎng)108和局部網(wǎng)102、104之間的網(wǎng)絡(luò)通話�����,由管理員定義策略并且由策略實(shí)施器124、126實(shí)現(xiàn)策略����。依據(jù)本發(fā)明的一實(shí)施例,策略對(duì)象222包括帶寬策略224�����、防火墻策略226��、管理策略228和VPN策略230����。VPN策略230定義一個(gè)用于成員網(wǎng)絡(luò)的安全策略并包括一個(gè)或多個(gè)VPN云232。每個(gè)VPN云232是單個(gè)或一組定義一安全策略組的VPN�,該安全策略組包括一個(gè)地點(diǎn)234及用戶236表,各用戶236可互相通信��。一個(gè)地點(diǎn)最好是一組物理上位于策略實(shí)施器124�、126中之一之后的主機(jī)/網(wǎng)絡(luò)。換言之��,一個(gè)地點(diǎn)是一個(gè)包括與它相關(guān)的一個(gè)策略實(shí)施器的網(wǎng)絡(luò)的定義�����。用于地點(diǎn)的策略實(shí)施器在該地點(diǎn)之后各主機(jī)啟動(dòng)通信時(shí)立即充當(dāng)VPN隧道端點(diǎn)���。這些通信是由一組為每個(gè)VPN云配置的規(guī)章管理的���。除其它事務(wù)外,這些規(guī)則238可管理VPN訪問許可和安全特征��,例如用于網(wǎng)絡(luò)層連接的加密層和驗(yàn)證����。從而圖2的面向?qū)ο蟮慕Y(jié)構(gòu)允許管理員以直觀和可擴(kuò)展的方式定義各策略?��?珊?jiǎn)單地通過把資源和策略相關(guān)聯(lián)來(lái)定義這樣的策略��。這可用于以策略為中心的管理模型����,在該模型中管理員認(rèn)為單個(gè)邏輯服務(wù)器在整個(gè)企業(yè)上提供防火墻�����、帶寬管理和VPN服務(wù)。事實(shí)上���,由不同位置上的有關(guān)策略實(shí)施器實(shí)施的策略對(duì)于管理員是透明的����。III.基于策略的網(wǎng)絡(luò)體系結(jié)構(gòu)圖3是依據(jù)本發(fā)明一實(shí)施例的策略服務(wù)器122的更詳細(xì)示意方塊圖�。策略服務(wù)器122最好包括一個(gè)管理模塊302,其允許從單個(gè)控制臺(tái)集中式地控制策略實(shí)施器124�����、126��。策略服務(wù)器122還包括一個(gè)日志收集和歸檔模塊304和一個(gè)策略服務(wù)器報(bào)告模塊316�����。日志收集和歸檔模塊304從策略實(shí)施器124�����、126和從管理模塊302收集有關(guān)資源的狀態(tài)及使用的信息�,并把它們存儲(chǔ)在檔案數(shù)據(jù)庫(kù)318中。策略服務(wù)器報(bào)告模塊316利用收集到的日志和檔案生成有組織的報(bào)告格式下的報(bào)告。再參照管理模塊302��,管理模塊302最好包括四個(gè)幫助集中控制的子模塊�����,即集中式管理子模塊306�����、策略管理子模塊308���、基于安全作用的管理子模塊310和多地點(diǎn)連通性管理子模塊312。集中式管理子模塊306使網(wǎng)絡(luò)管理員能從中央位置安裝并管理各個(gè)策略實(shí)施器�����。網(wǎng)絡(luò)管理員最好利用基于網(wǎng)的圖形用戶接口來(lái)定義策略實(shí)施器的網(wǎng)絡(luò)配置并監(jiān)視該部件的各個(gè)方面����,例如部件健康、部件告警�、VPN連接狀態(tài)等。策略管理子模塊308為網(wǎng)絡(luò)管理員提供建立各策略的能力�,這些策略的范圍復(fù)蓋策略實(shí)施器的多個(gè)功能方面(例如,防火墻�����、帶寬管理和虛擬專用網(wǎng)絡(luò))、多種資源(例如�����,用戶����、主機(jī)、服務(wù)和時(shí)間)以及多個(gè)策略實(shí)施器����。基于安全作用的管理子模塊310提供基于作用的管理以使管理員能向其他管理員委托管理責(zé)任���。該子模塊最好在它訪問各管理功能時(shí)提供最大的安全性�����。多地點(diǎn)連接性管理子模塊312允許網(wǎng)絡(luò)管理員在二個(gè)或更多的遠(yuǎn)程地點(diǎn)之間建立安全的通信信道�����。在建立時(shí)�����,該子模塊影響集中式管理子模塊306����、策略管理子模塊308�、策略實(shí)施器124和126的動(dòng)態(tài)路由選擇能力以及管理基礎(chǔ)設(shè)施以在整個(gè)企業(yè)上提供帶有精細(xì)粒度訪問控制的多個(gè)虛擬專用網(wǎng)絡(luò)。圖4是依據(jù)本發(fā)明的一實(shí)施例的中央策略管理子模塊306的更詳細(xì)的示意圖��。該子模塊包括一個(gè)策略服務(wù)器安裝向?qū)?04�����,后者提供交互式用戶接口以幫助策略服務(wù)器122的安裝��。在這方面����,網(wǎng)絡(luò)管理員訪問經(jīng)電纜、集線器等的跨接和策略服務(wù)器122的一個(gè)LAN端口連接的個(gè)人計(jì)算機(jī)�。網(wǎng)絡(luò)管理員最好通過把策略服務(wù)器122的URL鍵入到標(biāo)準(zhǔn)因特網(wǎng)瀏覽器例如微軟的因特網(wǎng)Explorer中,連接策略服務(wù)器122��。URL最好是“http//<ipaddress>88/index.html”形式的,其中<ipaddress>是分配給該策略服務(wù)器的IP地址�。當(dāng)瀏覽器試圖和地址接觸時(shí),自動(dòng)地向策略服務(wù)器分配IP地址�。當(dāng)管理員的個(gè)人計(jì)算機(jī)發(fā)送一個(gè)對(duì)IP地址的地址解決協(xié)議請(qǐng)求時(shí),該策略服務(wù)器檢測(cè)出未要求指向端口88的包���,并假定該IP地址����。在連接以后���,策略服務(wù)器安裝向?qū)?04調(diào)用該交互式用戶接口以幫助管理員安裝策略服務(wù)器122����。除其它事項(xiàng)外���,策略服務(wù)器安裝向?qū)?04提示管理員規(guī)定服務(wù)器名����、服務(wù)器IP地址和路由器IP地址�。此外,策略服務(wù)器安裝向?qū)?04提示管理員選擇各種默認(rèn)策略中的一個(gè)策略以建立默認(rèn)的防火墻策略���、VPN策略�、帶寬策略和管理員策略。然后在每個(gè)用策略服務(wù)器122注冊(cè)的新策略實(shí)施器上復(fù)制這些策略�。集中式管理子模塊306還包括一個(gè)策略實(shí)施器安裝向?qū)?06,后者提供一個(gè)交互式用戶接口以輔助策略實(shí)施器的安裝���。如安裝策略服務(wù)器122那樣����,對(duì)向?qū)?06的訪問最好是利用管理員的個(gè)人計(jì)算機(jī)的基于網(wǎng)的�����。在連接以后�����,策略實(shí)施器安裝向?qū)?06調(diào)用該交互式用戶接口以輔助網(wǎng)絡(luò)管理員安裝具體的策略實(shí)施器124����、126��。除其它事項(xiàng)外�,策略實(shí)施器安裝向?qū)?64提示管理員規(guī)定策略服務(wù)器IP地址���、策略實(shí)施器IP地址和路由器IP地址。策略實(shí)施器接著利用它自己的基本引導(dǎo)信息通過調(diào)用策略服務(wù)器上的URL借助策略服務(wù)器122注冊(cè)�����。策略實(shí)施器的注冊(cè)允許用配置信息初始化策略實(shí)施器的數(shù)據(jù)庫(kù)132�����、134����,并且允許通過策略服務(wù)器122監(jiān)視策略實(shí)施器的狀態(tài)和健康。在利用策略服務(wù)器122注冊(cè)策略實(shí)施器之前�,網(wǎng)絡(luò)管理員最好在策略服務(wù)器上預(yù)注冊(cè)策略實(shí)施器。這種預(yù)注冊(cè)允許在策略服務(wù)器上建立一個(gè)在策略實(shí)施器進(jìn)行實(shí)際注冊(cè)時(shí)用于策略實(shí)施器數(shù)據(jù)的位置標(biāo)志符節(jié)點(diǎn)���。在這方面�����,集中式管理子模塊306包括一個(gè)允許預(yù)注冊(cè)新的策略實(shí)施器的配置接口410��。圖5是依據(jù)本發(fā)明的一實(shí)施例的策略實(shí)施器預(yù)注冊(cè)和注冊(cè)進(jìn)程的示例流程圖����。在步驟401,策略實(shí)施器和網(wǎng)絡(luò)連接�����,并利用上面說明的策略實(shí)施器安裝向?qū)?06被安裝在其實(shí)際物理位置處����。在步驟403,持有該新部件的序列號(hào)的網(wǎng)絡(luò)管理員通過把該新的策略實(shí)施器添加到一部件組中��,預(yù)注冊(cè)該策略實(shí)施器����。在這方面���,配置接口410調(diào)用例如圖6中示出的交互式圖形接口�,以允許網(wǎng)絡(luò)管理員輸入部件名415��、序列號(hào)417和位置信息419���,并且還允許管理員選擇一個(gè)該新策略實(shí)施器要屬于的部件組421�。在步驟405中對(duì)申請(qǐng)按鈕423的激勵(lì)使該新的策略實(shí)施器和策略服務(wù)器接觸(最好通過調(diào)用該策略服務(wù)器上的URL)。一旦和策略服務(wù)器接觸��,該新的策略實(shí)施器就把它的注冊(cè)包發(fā)送到該策略服務(wù)器���。該注冊(cè)包至少包括該新策略實(shí)施器的序列號(hào)以及該策略實(shí)施器上的LAN��、WAN和DMS的IP地址�。在步驟407�,集中式管理子模塊306比較該新策略實(shí)施器的序列號(hào)和利用策略服務(wù)器112預(yù)注冊(cè)的策略實(shí)施器表。若找到匹配��,則策略服務(wù)器122通過在步驟409優(yōu)選地把在策略實(shí)施器的安裝進(jìn)程期間為其選擇的各設(shè)置包裝到一個(gè)LDAP數(shù)據(jù)交換格式(ldif)文件中��,繼續(xù)該注冊(cè)進(jìn)程��。在步驟411�����,通過調(diào)用該策略實(shí)施器上的公用網(wǎng)關(guān)接口(CGI)優(yōu)選地在HTTPS通道上把該文件發(fā)送到該策略實(shí)施器��。接著該策略實(shí)施器在步驟413利用該文件初始化它的配置數(shù)據(jù)庫(kù)����,例如數(shù)據(jù)庫(kù)132����、134�����。再次參照?qǐng)D4��,集中式管理子模塊306還包括分別顯示和收集策略服務(wù)器122所管理的所有策略實(shí)施器的健康和狀態(tài)的全局監(jiān)視器用戶接口402以及數(shù)據(jù)收集器程序412��。數(shù)據(jù)收集器程序412從它管理的每個(gè)運(yùn)行的策略實(shí)施器接收健康和狀態(tài)信息����,并且把有關(guān)信息傳給全局監(jiān)視器用戶接口。在每個(gè)受監(jiān)視的策略實(shí)施器中作為一個(gè)端口監(jiān)視程序運(yùn)行的健康主體���,周期性地收集來(lái)自該部件的數(shù)據(jù)并分析它的健康狀態(tài)�。然后在數(shù)據(jù)收集器程序412請(qǐng)求時(shí)���,把收集到的數(shù)據(jù)傳送到策略服務(wù)器122。圖7是一個(gè)屏幕�����,其示出展示各種類型的健康和狀態(tài)信息的示例全局監(jiān)視器用戶接口402。這樣的信息可和部件的健康有關(guān)�,例如系統(tǒng)負(fù)載712和網(wǎng)絡(luò)使用信息714。該信息還可和該部件上的當(dāng)前報(bào)警716有關(guān)����,其中包括報(bào)警名、類型���、說明等��。該信息還可和包括連接類型�����、源/目的地���、持續(xù)時(shí)間和VPN通話量的當(dāng)前VPN連接718有關(guān)。再次參照?qǐng)D3�����,策略管理子模塊308用于策略實(shí)施器124�����、126的策略管理。如前面所討論�����,所有策略管理功能都是利用策略數(shù)據(jù)庫(kù)130���、132�、134中存儲(chǔ)的包含著用戶��、部件����、主機(jī)、服務(wù)和時(shí)間的資源對(duì)象實(shí)現(xiàn)的�。所有資源最好和管理員在安裝進(jìn)程期間選擇的默認(rèn)策略設(shè)置相關(guān)聯(lián)。通過策略管理子模塊308提供的圖形用戶接口�,網(wǎng)絡(luò)管理員集中地觀察、增加和修改策略�。這可用于一種中央式策略管理模型,其中管理員得到的印象是單個(gè)邏輯服務(wù)器為整個(gè)企業(yè)提供防火墻���、帶寬管理和VPN服務(wù)。由不同位置上的各個(gè)策略實(shí)施器實(shí)施的策略對(duì)于管理員是透明的���。圖8是一個(gè)屏幕����,表示由策略管理子模塊308提供的示例圖形用戶接口。該接口包括一個(gè)包含著資源標(biāo)記表的資源選用區(qū)718����,其中資源標(biāo)記包括用戶標(biāo)記718a、部件標(biāo)記718b���、主機(jī)標(biāo)記718c��、服務(wù)標(biāo)記718d和時(shí)間標(biāo)記718e�����。該資源選用區(qū)允許管理員從單個(gè)控制臺(tái)增加和修改資源定義�����。選擇用戶標(biāo)記718a造成為該系統(tǒng)定義的用戶組722的顯示�。通過選擇一具體的組并定義用戶的各屬性���,例如登錄名����、全名、用戶所屬于的策略實(shí)施器����、驗(yàn)證方法、口令等����,可對(duì)組增加新的用戶。選擇部件標(biāo)記718b造成用于管理策略服務(wù)器122和策略實(shí)施器124����、126的各種部件管理圖符的顯示,如圖9中所示���。策略服務(wù)器系統(tǒng)設(shè)置圖符750允許網(wǎng)絡(luò)管理員觀看和修改系統(tǒng)設(shè)置���,例如策略服務(wù)器122的LAN、WAN/DMSIP地址����。策略服務(wù)器檔案選項(xiàng)圖符752允許規(guī)定策略服務(wù)器122處的報(bào)告生成以及其它數(shù)據(jù)庫(kù)檔案選項(xiàng)����。全局URL阻塞圖符754允許管理員規(guī)定由系統(tǒng)的所有策略實(shí)施器124���、126阻塞的未經(jīng)批準(zhǔn)的Web站點(diǎn)表116。類似地����,全局無(wú)賴表圖符756允許管理員規(guī)定由所有策略實(shí)施器阻塞的無(wú)賴的電子郵件地址表118。管理員可通過選擇圖符758觀看所有策略實(shí)施器124�、126上的信息。通過選擇某具體部件組761下的一特定策略實(shí)施器760��,可觀看一特定策略實(shí)施器上的信息�����。該信息包括專用于該選定策略實(shí)施器的系統(tǒng)設(shè)置信息762����、URL阻塞信息764、無(wú)賴表信息766等���。例如��,選擇策略實(shí)施器的URL阻塞信息764圖符造成可由網(wǎng)絡(luò)管理員選擇成該選定策略實(shí)施器阻塞的各種類型768的URL的顯示�����。選擇主機(jī)標(biāo)記718c造成該系統(tǒng)的各主機(jī)(網(wǎng)絡(luò))的顯示���,如圖10中所示���。主機(jī)是根據(jù)它的物理位置組織的并且還和某具體策略實(shí)施器124、126關(guān)聯(lián)�����。主機(jī)和各種屬性�����,包括唯一名770����、網(wǎng)絡(luò)的IP地址772和子網(wǎng)屏蔽774,相關(guān)���。另外����,管理員可規(guī)定該主機(jī)是否是一個(gè)屬于不由策略服務(wù)器122管理的某網(wǎng)絡(luò)的外部主機(jī)776。若該主機(jī)是一個(gè)外部主機(jī)����,則管理員規(guī)定該主機(jī)所屬于的外部部件的IP地址778。部件字段780使管理員能輸入該主機(jī)所屬于的策略實(shí)施器的名字�。每個(gè)主機(jī)還和一個(gè)管理員指定的具體組782關(guān)聯(lián)���。選擇服務(wù)標(biāo)記718d造成各種由該策略服務(wù)器122支持的服務(wù)組的顯示���,如圖11中所示。這些服務(wù)組例如包括多媒體流入/置信��、信息檢索��、安全和驗(yàn)證�、郵件應(yīng)用、路由選擇應(yīng)用�、數(shù)據(jù)庫(kù)應(yīng)用、標(biāo)準(zhǔn)通信協(xié)議等�����。用戶可按需要增添新的服務(wù)組。每項(xiàng)服務(wù)都和名字784��、說明786和服務(wù)類型788(例如��,HTTP����、HTTPS、FTP�����、TELNET�����、SMTP��、實(shí)網(wǎng)絡(luò)等)關(guān)聯(lián)��。另外�,每項(xiàng)服務(wù)和一個(gè)服務(wù)組790相關(guān)聯(lián)。根據(jù)服務(wù)的類型���,還可為該服務(wù)規(guī)定其它信息�����。例如���,對(duì)于HTTP服務(wù)����,管理員可規(guī)定是否使能URL阻塞792���。選擇時(shí)間標(biāo)記718e造成各種復(fù)蓋防火墻策略中所使用的時(shí)間范圍的時(shí)間組圖符794的顯示。例如���,選擇工作時(shí)間組圖符允許網(wǎng)絡(luò)管理員設(shè)定按工作日和工作小時(shí)設(shè)定的日子和時(shí)間�����。再參照?qǐng)D8��,該接口還包括一個(gè)包含著該系統(tǒng)可使用的策略表的策略傳送帶720����。策略定義最好連帶著一組可從資源選用區(qū)718拖出并落在策略傳送帶720上的資源���。選擇防火墻標(biāo)記720造成為一具體的包含著一個(gè)或多個(gè)策略實(shí)施器的策略域定義的所有防火墻策略的顯示�����。在策略實(shí)施器的預(yù)注冊(cè)期間���,網(wǎng)絡(luò)管理員決定該策略實(shí)施器所屬于的域���。該接口允許網(wǎng)絡(luò)管理員從策略服務(wù)器122觀察、增加和修改各種策略�,以及不必在每個(gè)策略實(shí)施器上分別進(jìn)行改變情況下實(shí)現(xiàn)策略實(shí)施器124、126上的改變����。依據(jù)本發(fā)明的一實(shí)施例,每個(gè)防火墻策略包括一個(gè)策略標(biāo)識(shí)符(ID)屬性724��,用于標(biāo)識(shí)策略表中的某具體策略規(guī)則�。用于該策略規(guī)則的一個(gè)編號(hào)屬性726指示其中要應(yīng)用該策略的序號(hào)。在這方面�����,該局部網(wǎng)的策略實(shí)施器124,126順序地一次取出一條規(guī)則��,把它和網(wǎng)絡(luò)通話比照并且優(yōu)選地應(yīng)用第一條和該網(wǎng)絡(luò)通話匹配的規(guī)則�。每個(gè)防火墻策略還包括一個(gè)說明屬性728,用于說明該要被應(yīng)用的防火墻策略�����。例如�,該說明可指示該策略允許無(wú)賴阻塞、URL阻塞���、VPN密鑰管理等��。操作(action)標(biāo)志屬性730指示是否為該指定的策略而允許或拒絕通話?,F(xiàn)用標(biāo)志屬性732指示是否激活或停用該策略��。從而���,網(wǎng)絡(luò)管理員可建立一項(xiàng)策略并在晚些時(shí)候激活它。被停用的策略最好不會(huì)影響網(wǎng)絡(luò)通話��。每個(gè)防火墻策略還包括用戶屬性734����、源屬性736�、服務(wù)屬性738�����、目的地屬性(未示出)和時(shí)間屬性(未示出)�。這些屬性中的每個(gè)最好用一個(gè)組名或一個(gè)資源名表示。該名充當(dāng)一個(gè)指向LDAP數(shù)據(jù)庫(kù)130�����、132或134的組根對(duì)象202或資源根對(duì)象中的一條條目的指針����。用戶屬性734最好指示對(duì)該策略合格的各用戶組或各用戶。源屬性736指示與該用戶相關(guān)的網(wǎng)絡(luò)通話的起點(diǎn)��。服務(wù)屬性738指示由該策略允許或拒絕的服務(wù)���。目的地屬性指示在其處允許或拒絕各規(guī)定的服務(wù)的特定LAN���、WAN、DMS段或者各特定主機(jī)���。例如���,為了配置郵件服務(wù)器上的SMTP上托服務(wù)���,該主機(jī)可以是運(yùn)行該郵件服務(wù)器的IP地址,并且所規(guī)定的服務(wù)是SMTP���。時(shí)間屬性指示在其中該策略為有效的時(shí)隙�����。除上述之外�����,每個(gè)防火墻策略還包括一個(gè)驗(yàn)證屬性(未示出)�,以指示該策略的驗(yàn)證方式(例如��,無(wú)���、LDAP、SecurID��、RADIUS、WinNT或全體)���。圖14示出在激勵(lì)增加按鈕725時(shí)用于對(duì)策略域增加一項(xiàng)新的防火墻策略的示例圖形用戶接口�����。通過激勵(lì)修改按鈕727或刪除按鈕729�����,還可分別修改或刪除現(xiàn)有的防火墻策略�����。如圖14中所示����,通過簡(jiǎn)單地在說明區(qū)728a中增加該策略的說明��、在操作框730a中選擇一個(gè)施加到匹配的網(wǎng)絡(luò)通話上的操作�����,并且在現(xiàn)用區(qū)732a中指示該策略現(xiàn)用或者待用��,可定義一項(xiàng)新的防火墻策略。另外��,網(wǎng)絡(luò)管理員分別在用戶區(qū)734a�、源區(qū)736a、服務(wù)區(qū)738a�����、目的地區(qū)739a和時(shí)間區(qū)741中規(guī)定用戶�����、源�����、服務(wù)�、目的地和時(shí)間資源。網(wǎng)絡(luò)管理員還在驗(yàn)證區(qū)743中為該策略選擇驗(yàn)證方式���。一旦激勵(lì)OK按鈕745�����,就適當(dāng)?shù)馗淖儾呗苑?wù)器數(shù)據(jù)庫(kù)的LDAP樹的適當(dāng)條目以反映添加新策略����。還把該改變發(fā)送到有關(guān)的策略實(shí)施器�����,如后面更詳細(xì)說明那樣��。再參照?qǐng)D8����,選擇帶寬標(biāo)記720c允許顯示、增加和修改各個(gè)確定對(duì)流過具體策略實(shí)施器的通話分配的帶寬類型的帶寬策略���?�?梢詾椴煌脩?���、主機(jī)和服務(wù)規(guī)定不同的帶寬����。選擇管理標(biāo)記720d允許顯示、增加和修改各種管理策略����,以使網(wǎng)絡(luò)主管理員能把管理責(zé)任委托給其它管理員�����。在這方面����,網(wǎng)絡(luò)主管理員規(guī)定一些確定哪些用戶訪問什么樣的功能以及為什么樣的部件訪問的管理策略����。管理策略最好包括和防火墻規(guī)則相類似的各屬性,但對(duì)作用屬性的說明除外�����?���?蓪?duì)某些用戶根據(jù)他們的作用提供特別的管理特權(quán)。IV.具有自動(dòng)可達(dá)性更新的虛擬專用網(wǎng)絡(luò)再參照?qǐng)D3����,多地點(diǎn)連通性管理模塊312允許建立動(dòng)態(tài)路由的各個(gè)VPN,在各VPN中不必在由網(wǎng)絡(luò)管理員靜態(tài)地配置會(huì)員資格信息情況下自動(dòng)地建立VPN會(huì)員關(guān)系表。從而���,一旦管理員配置從一個(gè)策略實(shí)施器的LAN到另一個(gè)策略實(shí)施器的VPN���,在各LAN接口上運(yùn)行的路由選擇協(xié)議例如RIPv1或RIPv2�����,就通過它們各自的接口學(xué)習(xí)網(wǎng)絡(luò)的可達(dá)到��。接著這些網(wǎng)絡(luò)變成該VPN的成員���,并且該VPN的每一側(cè)上的策略實(shí)施者124���、126利用學(xué)習(xí)到的路由建立會(huì)員資格表。最好通過LDAP數(shù)據(jù)庫(kù)132�、134在策略實(shí)施器124與126之間交換會(huì)員資格信息。這樣�,路由選擇協(xié)議和LDAP的組合使用允許建立各個(gè)動(dòng)態(tài)編輯它們的成員表的VPN。再參照?qǐng)D8����,網(wǎng)絡(luò)管理員利用資源選用區(qū)718和策略傳送帶720配置用于多地點(diǎn)連接性的各VPN策略。選擇策略傳送帶720中的VPN標(biāo)記720b造成已經(jīng)為該系統(tǒng)配置的VPN云的集合270的顯示�����,如圖13中所示。如前面所說明���,一個(gè)VPN云是可為其定義安全策略的單個(gè)VPN或一組VPN�。每個(gè)VPN云包括一個(gè)地點(diǎn)節(jié)點(diǎn)234下的地點(diǎn)以及用戶節(jié)點(diǎn)236下的用戶的表����,其中用戶可彼此通信。一個(gè)地點(diǎn)是一組物理上位于策略實(shí)施器124�����、126中之一的后面的主機(jī)��。在各地點(diǎn)后面的主機(jī)開始通信時(shí)�����,用于這些地點(diǎn)的各策略實(shí)施器最好充當(dāng)VPN隧道端點(diǎn)�����。VPN云中的各用戶是可以防問與各地點(diǎn)234關(guān)聯(lián)的各主機(jī)的用戶。如后面更詳細(xì)討論那樣���,各用戶利用每個(gè)用戶的個(gè)人計(jì)算機(jī)中安裝的VPN客戶軟件訪問作為VPN客戶機(jī)的各主機(jī)���。每個(gè)VPN云270還包括一個(gè)防火墻規(guī)則組節(jié)點(diǎn)276,后者包括要施加到該云中的所有連接上的防火墻規(guī)則組�。除其它事宜外,這些規(guī)則可管理VPV訪問權(quán)限�����、例如加密等級(jí)的安全特性和用于網(wǎng)絡(luò)層的連通性的驗(yàn)證����。從而由VPN云提供的分層結(jié)構(gòu)允許網(wǎng)絡(luò)管理員建立完整格網(wǎng)的VPN組����,其中VPN云內(nèi)的每個(gè)地點(diǎn)具有和每個(gè)其它地點(diǎn)的完全連通性。網(wǎng)絡(luò)管理員不再需要人工地配置VPN中每條可能的連接��,而是只需要建立一個(gè)VPN云并規(guī)定和該VPN相關(guān)的地點(diǎn)��、用戶和規(guī)則���。然后根據(jù)為該VPN云規(guī)定的配置來(lái)配置每條連接�����。從而該分層結(jié)構(gòu)有利于設(shè)置帶有大量地點(diǎn)的VPN���。網(wǎng)絡(luò)管理員最好通過激勵(lì)增加按鈕280����,增加新的VPN云�。對(duì)此響應(yīng),策略服務(wù)器122自動(dòng)地建立該VPN云下的地點(diǎn)節(jié)點(diǎn)272�����、用戶節(jié)點(diǎn)274和規(guī)則節(jié)點(diǎn)276��。然后管理員規(guī)定該VPN中的各地點(diǎn)和各用戶���。依據(jù)本發(fā)明的一實(shí)施例���,規(guī)則節(jié)點(diǎn)276初始包括一條默認(rèn)VPN規(guī)則278,它對(duì)應(yīng)于網(wǎng)絡(luò)管理員在設(shè)置策略服務(wù)器122期間選擇的策略設(shè)置�。該默認(rèn)VPN規(guī)則278允許在該VPN中的主機(jī)之間的不限制的訪問��。管理員可通過刪除該默認(rèn)規(guī)則278并且對(duì)該VPN增添各特定的防火墻規(guī)則����,實(shí)現(xiàn)該VPN內(nèi)的訪問控制��。這些防火墻規(guī)則允許管理員對(duì)流過該VPN的通話具有粒度良好的訪問控制���,全部都在這樣的VPN提供的加密訪問的范圍內(nèi)����。這些防火墻規(guī)則被施加到解密之后或加密之前的明文上�。依據(jù)本發(fā)明的一實(shí)施例����,管理員選擇默認(rèn)規(guī)則278以實(shí)現(xiàn)這種對(duì)默認(rèn)規(guī)則的改變。默認(rèn)規(guī)則的選擇調(diào)用一個(gè)和圖8相似的圖形用戶接口��。接著網(wǎng)絡(luò)管理員通過定義可應(yīng)用于該VPN的防火墻規(guī)則組�,仔細(xì)調(diào)整對(duì)該VPN的訪問。這些防火墻規(guī)則中的參數(shù)最好和圖8中示出的通用防火墻規(guī)則組中的參數(shù)相同�。一旦定義一個(gè)VPN云,就由該VPN中的策略實(shí)施器124�、126動(dòng)態(tài)地建立會(huì)員資格信息�����。在這方面����,每個(gè)VPN地點(diǎn)包括一個(gè)標(biāo)識(shí)該地點(diǎn)中包含的各主機(jī)的標(biāo)志���。在運(yùn)行期間�,用于各地點(diǎn)的策略實(shí)施器124�����、126把各IP地址和標(biāo)識(shí)每個(gè)地點(diǎn)中的各主機(jī)的標(biāo)志關(guān)聯(lián)起來(lái)����。這允許動(dòng)態(tài)地顯示各IP地址,不需要靜態(tài)配置各IP地址����。在建立會(huì)員資格表后,檢測(cè)路由選擇信息中的改變并且利用公布/訂閱進(jìn)程通知成員策略實(shí)施器����。某策略實(shí)施器通過詢問和該改變的路由選擇信息對(duì)應(yīng)的具體網(wǎng)絡(luò)上的LDAP數(shù)據(jù)庫(kù)�,檢索實(shí)際的改變�����。圖15是位于VPN隧道相對(duì)二端處的用于更新各自的路由選擇信息的策略實(shí)施器124�����、126的示意功能方塊圖��。如圖15中所示�,每個(gè)策略實(shí)施器124、126包括一個(gè)選通模塊252����、261,其是按端口監(jiān)視程序配置的以便運(yùn)行用于在網(wǎng)絡(luò)上交換路由的一個(gè)或多個(gè)路由選擇協(xié)議�����。這種路由選擇協(xié)議可包括RIPv1���、RIPv2、OSPF等���。當(dāng)網(wǎng)絡(luò)管理員希望對(duì)和策略實(shí)施器124連接的專用局部網(wǎng)102增加一新路由時(shí)�����,管理員在步驟241向策略實(shí)施器124中的選通模塊252提交該新路由�。這典型地是通過配置具有一個(gè)附加網(wǎng)絡(luò)的該策略實(shí)施器的下游完成的。接著通過對(duì)策略實(shí)施器124的選通模塊252的標(biāo)準(zhǔn)路由選擇協(xié)議����,傳播該信息。例如����,策略服務(wù)器122可對(duì)要和該新路由關(guān)聯(lián)的策略實(shí)施器124,公布該新路由���。該路由例如可通過一條“LAN-Group@PR1”之類的LDAP語(yǔ)句規(guī)定�,其中規(guī)定一條從策略實(shí)施器PR1到名字為L(zhǎng)AN-Group的LAN的新路由����。在步驟242,選通模塊252把該新路由寫入到包括著VPN驅(qū)動(dòng)器254的策略實(shí)施器的核心253上��,從而該策略實(shí)施器124可適當(dāng)?shù)匾龑?dǎo)沿著該新路由的各適當(dāng)報(bào)文��。另外,選通模塊252在步驟243中把該新路由寫入它的LDAP數(shù)據(jù)庫(kù)132�。選通模塊252還在步驟244,向配置成收聽LDAP數(shù)據(jù)庫(kù)132中的更新的特異名監(jiān)視器(DNMonitor)端口監(jiān)督程序255�����,提供該新路由的名字�。該DNMonitor進(jìn)而在步驟245a、245b���,向VPN端口監(jiān)督程序256和策略部署點(diǎn)(PDP)引擎257����,通知LDAP數(shù)據(jù)庫(kù)132中的改變�,接著該P(yáng)DP引擎用該改變,更新實(shí)施各策略的各模塊��。在步驟246�,VPN端口監(jiān)督程序256利用該路由名訪問LDAP數(shù)據(jù)庫(kù)132以得到完整的路由信息,該新路由名所屬于的所有VPN的列表和與這些VPN連接的所有其它策略路由器的列表��。在步驟247����,VPN端口監(jiān)督程序256著手向每個(gè)其它的策略路由器發(fā)送該新路由名。當(dāng)策略路由器126從策略路由器124接收一新路由名時(shí)����,它的網(wǎng)絡(luò)端口監(jiān)督程序258在步驟248訪問發(fā)送方策略路由器124中的LDAP數(shù)據(jù)庫(kù)132以得到完整的新路由信息。若該新路由屬于多于一個(gè)的VPN并且對(duì)不同的VPN具有不同的參數(shù)����,則不同VPN上的各路由器檢索和有關(guān)VPN對(duì)應(yīng)的不同信息。在步驟249��,網(wǎng)絡(luò)端口監(jiān)督程序258把得到的新路由信息寫入它自己的LDAP數(shù)據(jù)庫(kù)134��,并且把它提供到它自己的DNMonitor模塊���。如在發(fā)送方策略路由器124中那樣�����,接收方策略路由器126中的DNMonitor模塊259向它的PDP引擎260提供該新的路由信息以便用最新改變修改它的核心265����。盡管圖15是按照向一個(gè)策略實(shí)施器以及和它關(guān)聯(lián)的各VPN增加一條路由描述的����,但業(yè)內(nèi)人士容易理解實(shí)質(zhì)上可把相同的技術(shù)應(yīng)用于刪除一條路由(例如��,若某網(wǎng)絡(luò)成分變成不運(yùn)行的或不通信的)或者改變一條路由(策略路由器可能認(rèn)識(shí)到某路由已按一種不同的形式存在并簡(jiǎn)單地蓋寫它)���。以這種方式,VPN系統(tǒng)或系統(tǒng)組可以在系統(tǒng)管理員的最少干預(yù)下動(dòng)態(tài)地保持在它的策略實(shí)施器之間的路由選擇信息�。V.具有客戶可達(dá)性信息自動(dòng)更新的虛擬專用網(wǎng)絡(luò)在展示適當(dāng)憑證后,遠(yuǎn)程用戶在公用因特網(wǎng)108上和策略實(shí)施器124�����、126后面的VPN的其它成員通信���。這些遠(yuǎn)程用戶利用VPN客戶軟件訪問作為VPN客戶140的專用網(wǎng)絡(luò)����。依據(jù)本發(fā)明的一實(shí)施例��,系統(tǒng)允許遠(yuǎn)程用戶下載自提取可執(zhí)行體(executable)���,后者在執(zhí)行時(shí)在該用戶的遠(yuǎn)程終端中安裝VPN客戶軟件以及對(duì)該遠(yuǎn)程用戶唯一的VPN可達(dá)性信息���。每個(gè)策略實(shí)施器124、126最好保持VPN客戶軟件的自提取可執(zhí)行體的一份拷貝,它包括一個(gè)設(shè)置程序和VPN可達(dá)性配置樣板�����。該設(shè)置程序允許把VPN客戶軟件安裝在VPN客戶140上���。在下載自提取可執(zhí)行體時(shí),用專用于該正下載的用戶的VPN可達(dá)性信息替代配置樣板��。依據(jù)本發(fā)明的另一實(shí)施例��,系統(tǒng)允許VPN客戶140下載自提取可執(zhí)行體�,后者在執(zhí)行時(shí)只安裝對(duì)該用戶唯一的VPN可達(dá)性信息。依據(jù)該實(shí)施例����,VPN客戶軟件已安裝在VPN客戶140上。在該情景下����,該設(shè)置程序允許在VPN客戶140上安裝專用于該正下載用戶的可達(dá)性信息。依據(jù)本發(fā)明的第三實(shí)施例��,系統(tǒng)允許VPN客戶140每次在和策略實(shí)施器124��、126連接時(shí)自動(dòng)下載VPN可達(dá)性信息。從而為每個(gè)VPN客戶140保持最新狀態(tài)的VPN可達(dá)性信息���。一旦建立一次VPN對(duì)話����,就假定在VPN客戶140和策略實(shí)施器之間的連接已經(jīng)是安全的����。該VPN客戶最好對(duì)策略實(shí)施器上運(yùn)行的網(wǎng)服務(wù)程序作出公用網(wǎng)關(guān)接口(CGI)查詢,并且從對(duì)應(yīng)的LDAP數(shù)據(jù)庫(kù)下載當(dāng)前的VPN可達(dá)性信息���。圖16是依據(jù)本發(fā)明的一實(shí)施例的自提取可執(zhí)行體290中的各成分的方塊圖�?���?衫蒙虡I(yè)上可購(gòu)到的工具,例如伊利諾州Schaumburg鎮(zhèn)的Installshiled軟件公司的INSTALLSHIELDEXEBUILDER���,建立自提取可執(zhí)行體290���。自提取可執(zhí)行體290最好包括一個(gè)可執(zhí)行設(shè)置文件292,用于安裝VPN客戶軟件和/或VPN配置信息�����。設(shè)置文件292最好構(gòu)成自提取可執(zhí)行體的靜態(tài)部分,因?yàn)樵撔畔⒉粫?huì)隨下載VPN客戶改變�。自提取可執(zhí)行體290還包括VPN配置文件樣板組,用于VPN可達(dá)性信息294和VPN客戶的預(yù)共享密鑰信息296��。VPN可達(dá)性信息294和VPN客戶的預(yù)共享密鑰296最好形成自提取可執(zhí)行體290的動(dòng)態(tài)部分299��,因?yàn)樵撔畔㈦S下載VPN客戶改變����。接著在策略實(shí)施器124�����、126中按樣板文件保存自提取可執(zhí)行體290并且準(zhǔn)備好由遠(yuǎn)程用戶下載�����。圖17是依據(jù)本發(fā)明的一實(shí)施例下載圖16的自提取可執(zhí)行體290的功能框圖����。在步驟320,一新VPN客戶140首先建立和策略實(shí)施器124��、126的安全通信對(duì)話,以下載自提取可執(zhí)行體290����。最好這是通過VPN客戶的網(wǎng)瀏覽器上的HTTPS協(xié)議對(duì)話實(shí)現(xiàn)的。在步驟322和324�����,策略實(shí)施器使該VPN客戶參與驗(yàn)證過程���,在其中策略實(shí)施器請(qǐng)求�����,并由該VPN客戶提供��,其用戶名和口令�����。在步驟326���,策略實(shí)施器比照所提供的信息和它的VPN客戶數(shù)據(jù)庫(kù)328中的條目。若該信息是正確的���,則策略實(shí)施器找出用于該用戶的適當(dāng)預(yù)共享密鑰��,并且還在步驟330中從VPN配置數(shù)據(jù)庫(kù)332中確定該客戶的VPN可達(dá)性信息����。VPN客戶數(shù)據(jù)庫(kù)328和VPN配置數(shù)據(jù)庫(kù)332可駐留成由策略實(shí)施器124、126管理的單個(gè)LDAP數(shù)據(jù)庫(kù)312����、314的一部分,或者可構(gòu)成分立的LDAP數(shù)據(jù)庫(kù)�。在步驟334����,策略實(shí)施器用專用于該VPN客戶的VPN可達(dá)性信息和預(yù)共享密鑰,替換自提取可執(zhí)行體290的動(dòng)態(tài)部分299���。接著在步驟336把該新生成的自提取可執(zhí)行體下載到VPN客戶140��。當(dāng)運(yùn)行該可執(zhí)行體時(shí)����,它安裝VPN客戶軟件和/或VPN可達(dá)性信息���。每當(dāng)客戶和策略實(shí)施器連接并協(xié)商對(duì)話密鑰時(shí)����,可利用類似技術(shù)下載VPN配置信息的新的更新拷貝。另外��,通過明確對(duì)策略實(shí)施器作出請(qǐng)求���,用戶可獲得VPN網(wǎng)絡(luò)的最新配置��。從而���,每當(dāng)對(duì)VPN可達(dá)性信息作出更新時(shí),不必重新安裝和重新配置VPN客戶�。VI.集成式策略實(shí)施器依據(jù)本發(fā)明的一實(shí)施例,分割用于策略實(shí)施的策略實(shí)施器124����,126的各功能性以便有效地用硬件實(shí)現(xiàn)。然而�,業(yè)內(nèi)人士清楚,一部分或全部功能性可在軟件����、硬件或它們的各種組合中實(shí)現(xiàn)�。圖18是策略實(shí)施器124���、126的示意方塊圖���,表示依據(jù)本發(fā)明的一實(shí)施例的對(duì)各種功能性的分割。策略實(shí)施器包括一個(gè)因特網(wǎng)協(xié)議安全(IPSec)引擎502��,用于例如在實(shí)現(xiàn)虛擬專用網(wǎng)絡(luò)中執(zhí)行安全和驗(yàn)證操作�。流表506把通過策略實(shí)施器的包裝配到各流中。協(xié)議分類引擎508譯碼在發(fā)送各包中所使用的各協(xié)議���。策略引擎510根據(jù)策略數(shù)據(jù)庫(kù)132����、134中存儲(chǔ)的策略設(shè)置�����,實(shí)施用于各包的各策略�����。包發(fā)送模塊504通過路由器110從公用因特網(wǎng)接收包�����,并且根據(jù)要實(shí)施的各策略緩沖����、發(fā)送或扔掉包。帶寬管理模塊514根據(jù)策略數(shù)據(jù)庫(kù)132���、134中存儲(chǔ)的帶寬設(shè)置��,對(duì)被發(fā)送的包提供帶寬整形服務(wù)�。實(shí)際上��,輸入包和流表506比照���,以判定該表中是否已存在匹配項(xiàng)����。若不��,則增加一個(gè)新項(xiàng)���。該流表最好包括包的足夠部分以唯一地標(biāo)識(shí)一個(gè)流���。例如�����,在實(shí)施IP層3到層4的通話上的策略中���,該流表可存儲(chǔ)源IP、目的地IP����、源端口、目的地端口以及輸入包的協(xié)議號(hào)���。協(xié)議分類引擎508取該新流并為該流獲得詳細(xì)協(xié)議譯碼��。接著策略引擎510詢問要對(duì)該流施加的策略規(guī)則組���。根據(jù)由策略引擎510回送的這些策略規(guī)則�,包發(fā)送模塊504、IPSec引擎502和/或帶寬管理模塊514相應(yīng)地處理該流����。該處理可能是循環(huán)的���,直至該流中的所有的包得到由施加給它們的策略規(guī)則組規(guī)定的所有作用。策略實(shí)施器還包括一個(gè)統(tǒng)計(jì)模塊512����,用于收集通過該局部網(wǎng)發(fā)送的包的統(tǒng)計(jì)數(shù)據(jù)以及其它狀態(tài)和資源使用信息,并且在日志和檔案中設(shè)置它們以發(fā)送到策略服務(wù)器122�。依據(jù)本發(fā)明的一實(shí)施例,統(tǒng)計(jì)模塊512保持通過網(wǎng)絡(luò)102�、104的包的運(yùn)行字節(jié)計(jì)數(shù)?��?梢酝ㄟ^類別���,例如基于某些資源(例如,用戶����、主機(jī)、服務(wù))的類別��,以及通過由策略和異常��,例如防火墻策略,所阻斷的字節(jié)��,自動(dòng)地對(duì)這些字節(jié)計(jì)數(shù)分類��。在這方面�,統(tǒng)計(jì)模塊512在一高速緩沖存儲(chǔ)器中保持一個(gè)狀態(tài)表,后者包括一個(gè)能通過該防火墻的各個(gè)連接所涉及到的資源的列表��。對(duì)于每個(gè)流過該連接的包��,該統(tǒng)計(jì)模塊為該列表中的每個(gè)資源遞增包和字節(jié)計(jì)數(shù)���。接著統(tǒng)計(jì)模塊512把該有組織的信息傳送給策略服務(wù)器122��,后者把該信息直接輸入到按類別組織并周期性地老化的各表中����。圖19是依據(jù)本發(fā)明的一實(shí)施例的策略引擎510的更詳細(xì)的示意方塊圖���。策略引擎510包括一個(gè)充當(dāng)所有策略決策請(qǐng)求的隊(duì)列的策略請(qǐng)求表602����。在這方面��,以策略請(qǐng)求的形式對(duì)策略引擎510提供和流表506中存儲(chǔ)的信息匹配的包的部分����。該策略請(qǐng)求然后在策略請(qǐng)求表602中排隊(duì)。資源引擎604保持資源組名對(duì)成員映象的最新變換�����。策略規(guī)則組數(shù)據(jù)庫(kù)緩沖器608存儲(chǔ)要由策略引擎510施加的現(xiàn)行策略規(guī)則組�����。緩沖器608中存儲(chǔ)的策略規(guī)則組最好為原始基于組的規(guī)則說明格式���。這樣����,緩沖器608存儲(chǔ)為基于組的格式下的組而建立的規(guī)則而不是為該組中的每個(gè)成員例示的規(guī)則�。決策引擎606包括為策略請(qǐng)求表602中的輸入策略決策請(qǐng)求服務(wù)的邏輯,該邏輯根據(jù)從資源引擎604得到的實(shí)際會(huì)員資格信息���,把這些請(qǐng)求和策略規(guī)則組數(shù)據(jù)庫(kù)緩沖器608中的策略規(guī)則組比照�。接著辨別和該通話匹配的基于組的有關(guān)規(guī)則并且設(shè)定流表中的決策位組以實(shí)施相應(yīng)的動(dòng)作����。這些決策位接著構(gòu)成一組要在該流的各包上執(zhí)行的動(dòng)作�����。然后根據(jù)這些決策位處理和流匹配的所有的包��。決策引擎還可規(guī)定一個(gè)訪問控制表(ACL)�,該表包括一組允許/拒絕通話的規(guī)則�����、用于對(duì)通話提供服務(wù)品質(zhì)等級(jí)的DiffServ標(biāo)準(zhǔn)和/或VPN實(shí)現(xiàn)信息�����。圖20是依據(jù)本發(fā)明的一實(shí)施例的協(xié)議分類引擎508的更詳細(xì)的示意方塊圖�。如圖20中所示,協(xié)議分類引擎508包括流數(shù)據(jù)裝配單元702�����、滑動(dòng)流數(shù)據(jù)窗口704����、ASN.1塊706����、協(xié)議分類狀態(tài)機(jī)708和協(xié)議定義簽名數(shù)據(jù)庫(kù)710�。流數(shù)據(jù)裝配單元702提取和重新裝配輸入包流的數(shù)據(jù)部分并把它存儲(chǔ)到滑動(dòng)流數(shù)據(jù)窗口704中��?;瑒?dòng)流數(shù)據(jù)窗口最好遵循先進(jìn)先出協(xié)議。ASN.1譯碼器在需要時(shí)根據(jù)常規(guī)ASN.1編碼/譯碼標(biāo)準(zhǔn)進(jìn)一步譯碼數(shù)據(jù)流�����。接著協(xié)議分類狀態(tài)機(jī)708比照完全重新裝配的譯碼數(shù)據(jù)和協(xié)議定義簽名數(shù)據(jù)庫(kù)710����。該數(shù)據(jù)庫(kù)710最好保持從協(xié)議名到要在數(shù)據(jù)流中查找的數(shù)據(jù)模式的映射。然后向流表506回送匹配的協(xié)議����。這樣,協(xié)議分類引擎508提供擴(kuò)充的層3到層7的協(xié)議譯碼和包分類�,包括利用從腳本協(xié)議定義編輯的動(dòng)態(tài)更新的簽名數(shù)據(jù)庫(kù)完整地確定動(dòng)態(tài)流。隨著將來(lái)定義新協(xié)議和/或用戶利用定制協(xié)議建立他們自己的定制應(yīng)用����,會(huì)需要增添這些協(xié)議對(duì)協(xié)議分類引擎的識(shí)別��。所描述的協(xié)議分類引擎體系結(jié)構(gòu)允許通過簡(jiǎn)單地對(duì)協(xié)議分類引擎增加該新協(xié)議的新腳本定義��,實(shí)現(xiàn)這樣的增加�,而不必每次在增加新協(xié)議時(shí)必須去改變?cè)O(shè)計(jì)��。圖21是依據(jù)本發(fā)明的一實(shí)施例的IPSec引擎502的更詳細(xì)示意方塊圖�����。如圖21中所示����,IPSec引擎502包括一個(gè)偽隨機(jī)數(shù)生成器(PRNG)子例程802,用于根據(jù)周知的方法生成密鑰產(chǎn)生所使用的隨機(jī)數(shù)����。DiffieHellman塊804和RSA塊812實(shí)現(xiàn)對(duì)應(yīng)的不對(duì)稱公共密鑰加密/解密/簽名算法,這些算法在技術(shù)上是周知的�。IKE塊806和IPSec表808通信,以實(shí)現(xiàn)標(biāo)準(zhǔn)ISAKMP/Oakley(IKE)密鑰交換協(xié)議��。密碼變換塊814實(shí)現(xiàn)標(biāo)準(zhǔn)對(duì)稱加密/解密算法���。IPSec封裝/拆封塊810執(zhí)行標(biāo)準(zhǔn)封裝/拆封操作����。從而,IPSec引擎502提供帶有公共密鑰驗(yàn)證支持的基于標(biāo)準(zhǔn)的成熟IKE/IPSec實(shí)現(xiàn)并且為通過專用局部網(wǎng)的包提供必要的加密/解密功能性����。VII.網(wǎng)絡(luò)策略日志和統(tǒng)計(jì)數(shù)據(jù)傳播再參照科3,日志收集和歸檔模塊304從策略實(shí)施器124����、126以及從管理模塊302收集有關(guān)各資源的狀態(tài)及使用的信息��,并在檔案數(shù)據(jù)庫(kù)318中存儲(chǔ)它們�����。接著策略服務(wù)器報(bào)告模塊316利用收集到的日志和檔案生成有組織的報(bào)告格式下的報(bào)告�����。依據(jù)本發(fā)明的一實(shí)施例�,每個(gè)策略實(shí)施器124、126保持一個(gè)帶有為流過該策略實(shí)施器的通話以及為與該策略實(shí)施器關(guān)聯(lián)的各資源的狀態(tài)和使用而收集的信息的日志文件��。所有日志文件遵循預(yù)定義的公共日志格式�,最好設(shè)計(jì)成建立壓縮日志�。圖22是依據(jù)本發(fā)明的一實(shí)施例的這種日志格式的示意布局圖�����。每條日志條目包括一個(gè)時(shí)間戳記820��,其格式為yyyymmddhhmmss�����,表示建立該日志條目的年����、月、日��、時(shí)�、分和秒。服務(wù)字段812指示該策略實(shí)施器124�、126行使的服務(wù)類型。這些服務(wù)包括VPN�����、FTP、Telnet���、HTTP�����、包過濾����、帶寬等����。每條日志條目還包括一個(gè)指示來(lái)自其接收包的源的源IP地址和端口824以及一個(gè)指示要對(duì)其發(fā)送包的目的地的目的地IP地址和端口826���。用戶ID字段828標(biāo)識(shí)發(fā)出包的用戶����。用戶ID可映射LDAP數(shù)據(jù)庫(kù)130�����、132或134中的一條條目以得到有關(guān)該用戶的其它細(xì)節(jié)��。狀態(tài)字段830指示一操作的狀態(tài),并且可能包括結(jié)果代碼���、出錯(cuò)代碼等���。例如,對(duì)于包過濾服務(wù)��,狀態(tài)字段在該包通過時(shí)可包括結(jié)果代碼“p”或者當(dāng)該包被阻擋時(shí)包括代碼“b”����。操作字段832指示由該服務(wù)進(jìn)行的操作的類型所使用的代碼。例如���,用于VPN服務(wù)的操作可包括發(fā)送包和接收包����。用于FTP服務(wù)的操作可包括GET操作和PUT操作�����。用于HTTP服務(wù)的操作可包括GET操作和POST操作��。除上述之外�,每條目志條目包括一個(gè)指示策略實(shí)施器作為活動(dòng)的結(jié)果接收的字節(jié)數(shù)量的輸入字節(jié)字段832���,以及一個(gè)指示從策略實(shí)施器傳送的字節(jié)數(shù)量的輸出字節(jié)字段834。另外����,持續(xù)時(shí)間字段836指示該活動(dòng)的持續(xù)時(shí)間(例如,以秒為單位)�����。若不能應(yīng)用某具體服務(wù)����,則一具體日志條目的一些字段可以是空白的。例如����,對(duì)于FTP下載�����。若不存在輸出通話����,則輸出字節(jié)字段是空白的。另外,可根據(jù)要記錄的服務(wù)類型增加其它字段�。例如,對(duì)于HTTP活動(dòng)�,在日志條目中還記錄被訪問的URL。這些附加字段最好附著在標(biāo)準(zhǔn)日志格式的尾部�。業(yè)內(nèi)人士應(yīng)理解,只要日志格式對(duì)于所有的策略實(shí)施器是相同的并且目的是建立壓縮日志��,就可對(duì)日志格式作出增加����、刪除或其它類型的修改,且不背離本發(fā)明的精神和范圍���。根據(jù)策略服務(wù)器設(shè)定的各檔案選項(xiàng)�����,把策略實(shí)施器124����、126建立的日志文件傳送到策略服務(wù)器122�。在這方面,一旦選擇圖9的策略服務(wù)器檔案選項(xiàng)752���,網(wǎng)絡(luò)管理員就為策略實(shí)施器建立的日志規(guī)定閾長(zhǎng)度�����。當(dāng)日志文件超過規(guī)定的長(zhǎng)度時(shí)����,把它發(fā)送到策略服務(wù)器。最好每天至少向策略服務(wù)器發(fā)送一次日志�,即使未超出該閾長(zhǎng)度亦如此。也可以在策略實(shí)施器處本地歸檔日志�����,如果網(wǎng)絡(luò)管理員這樣規(guī)定的話�����。策略服務(wù)器122一旦接收日志��,日志就被存儲(chǔ)到最好以SQL數(shù)據(jù)庫(kù)為形式的檔案數(shù)據(jù)庫(kù)318中���。策略服務(wù)器報(bào)告模塊316查詢?cè)摂?shù)據(jù)庫(kù)以便為每個(gè)策略實(shí)施器124、126生成報(bào)告�����。另外,可以以商用產(chǎn)品能解釋的格式輸出日志���,該產(chǎn)品例如是俄勒岡州Portland市WebTrend公司的WEBTRENDS�。報(bào)告模塊316建立的報(bào)告包括各資源(包括策略實(shí)施器�、用戶、服務(wù)�����、主機(jī)和VPN)的匯總使用報(bào)告�。例如,這些報(bào)告可包括用于各個(gè)策略實(shí)施器的VPN匯總報(bào)告��、帶寬匯總報(bào)告��、包過濾報(bào)告等等�����。這些報(bào)告最好示出周期時(shí)間內(nèi)各個(gè)資源的使用�。可由用戶規(guī)定報(bào)告的起始日期和結(jié)束日期����。用戶還可在時(shí)間維上或資源維上鉆眼以查看特定時(shí)間和特定資源�����。例如����,在建立包過濾報(bào)告中���,用戶可指示起始和結(jié)束時(shí)間�、源IP地址��、源端口�、目的地IP地址和目的地端口。從檔案數(shù)據(jù)庫(kù)318提取所有滿足這些準(zhǔn)則的包并且在包報(bào)告中示出����。VIII.用于選擇LDAP數(shù)據(jù)庫(kù)同步的方法依據(jù)本發(fā)明的一實(shí)施例,圖1的統(tǒng)一式策略管理系統(tǒng)中的數(shù)據(jù)庫(kù)130���、132�����、134是存儲(chǔ)包含用于防火墻���、VPN、帶寬��、管理���、用戶記錄�、網(wǎng)絡(luò)記錄��、服務(wù)等的策略的策略管理信息的LDAP數(shù)據(jù)庫(kù)�。如前面所說明,LDAP目錄服務(wù)模塊是基于條目的�����,其中每條條目是屬性的集合��。條目按遵循地理和組織分布的樹結(jié)構(gòu)排列�。根據(jù)它們?cè)趯哟沃械奈恢糜锰禺惷?DN)命名各條目。策略服務(wù)器122最好在策略服務(wù)器數(shù)據(jù)庫(kù)130中為所有的策略實(shí)施器存儲(chǔ)策略管理信息�����。在數(shù)據(jù)庫(kù)130中按一個(gè)或多個(gè)具有對(duì)應(yīng)的各屬性的DN組織該信息。然后把策略服務(wù)器的適當(dāng)部分拷貝到策略實(shí)施器數(shù)據(jù)庫(kù)132���、134��。圖23是包括一個(gè)LDAP根265和多個(gè)分支264����、266�、268、270的LDAP樹結(jié)構(gòu)的方塊圖�。依據(jù)一個(gè)例子,策略服務(wù)器122在策略服務(wù)器數(shù)據(jù)庫(kù)130中保持帶有用于所有策略實(shí)施器124�����、126的策略管理信息的分支264和266��。每個(gè)策略實(shí)施器124�、126還在它們各自的策略實(shí)施器數(shù)據(jù)庫(kù)132、134中保持作為策略服務(wù)器數(shù)據(jù)庫(kù)130的子樹的一部分的分支264和/或266����。由每個(gè)策略實(shí)施器124、126保持的分支的一部分最好和用于該策略實(shí)施器的配置信息以及一些有關(guān)其它策略實(shí)施器的其它信息有關(guān)。該其它信息用于和其它策略實(shí)施器通信���。策略服務(wù)器122還可保持存儲(chǔ)著僅由該服務(wù)器上運(yùn)行的應(yīng)用使用的并且不和任何策略實(shí)施器124��、126共享的信息的分支268。類似地�,策略實(shí)施器124、126可保持分支268的一部分��,其中含有僅由每個(gè)策略實(shí)施器上的應(yīng)用使用的并且不和它者共享的信息�。典型地,分支268中存儲(chǔ)的數(shù)據(jù)是動(dòng)態(tài)生成的并由在相應(yīng)的服務(wù)器或代理上運(yùn)行的應(yīng)用使用的�����。分支270最好只包括在用于策略服務(wù)器數(shù)據(jù)庫(kù)130的LDAP樹中�����,并存儲(chǔ)可能要傳播給策略實(shí)施器124���、126的被記錄的策略管理變化����。這樣的變化例如可包括由網(wǎng)絡(luò)管理員通過前面主明的各種圖形用戶接口作出的某部件上的用戶、VPN云���、帶寬策略或防火墻策略的增加���、刪除或修改。這些變化造成更新策略數(shù)據(jù)庫(kù)130�,其中增加、刪除或修改LDAP樹的相應(yīng)DN���。策略服務(wù)器122還建立這些改變的記錄并存儲(chǔ)在分支270中供以后分發(fā)到策略實(shí)施器124���、126之用。圖24是圖23的LDAP樹的分支270的更詳細(xì)方塊圖�����。LDAP根265包括一個(gè)ApplyLog270a條目���,后者進(jìn)而包括一個(gè)用戶運(yùn)行記錄條目270b和一個(gè)部件運(yùn)行記錄條目270c���。用戶運(yùn)行記錄條目包括用特定DN270d標(biāo)識(shí)的特定管理員記錄條目,用于反映這些具體管理員做出的改變����。部件運(yùn)行記錄條目270c包括由特定DN270e標(biāo)識(shí)的特定部件運(yùn)行記錄條目�����,以反映分發(fā)到各具體策略實(shí)施器124��、126的改變��。最好在激勵(lì)一應(yīng)用按鈕例如圖6中示出的應(yīng)用按鈕417下,向策略實(shí)施器124��、126傳播管理員做出的改變����。圖25是依據(jù)本發(fā)明的一實(shí)施例的記錄并向策略實(shí)施器傳播LDAP改變的流程圖。在步驟420���,一具體網(wǎng)絡(luò)管理員做出策略設(shè)置改變���。依據(jù)一個(gè)例子,該管理員是在域“domain1”中工作的管理員“amd”���,并且該改變是在一部件上增加一個(gè)新用戶�����。在步驟422����,在策略服務(wù)器數(shù)據(jù)庫(kù)130中反映該管理員做出的改變。在這方面�,相應(yīng)地修改LDAP樹的分支264和266以反映策略設(shè)置中的改變。另外��,在步驟424���,策略服務(wù)器122為該管理員建立一個(gè)改變運(yùn)行記錄供以后處理并發(fā)送到適當(dāng)?shù)牟呗源碇?����。在步驟426�,策略服務(wù)器122更新該管理員的運(yùn)行記錄DN270d以反映該改變���。在上面的例子中并如圖24中所示����,如果把建立的該運(yùn)行記錄命名為“A_L1”�����,則策略服務(wù)器122在“domain1”更新用于“adm”的DN270d以建立一個(gè)其值為“A_L1”270g的屬性“apply”270f。該管理員做出的其它改變?cè)讵?dú)立的運(yùn)行記錄(例如�,“A_L2”、“A_L3”)中反映����,并且添加到該管理員的記錄DN270d中的應(yīng)用屬性的現(xiàn)有值上。在步驟428�����,策略服務(wù)器122檢查是否要把管理員做出的改變傳播給適當(dāng)?shù)牟呗詫?shí)施器124����、126����。如上面所討論,最好在從管理員的圖形用戶接口激勵(lì)應(yīng)用按鈕時(shí)傳播這些改變��。若已激勵(lì)應(yīng)用按鈕����,則策略服務(wù)器在步驟430為每個(gè)要對(duì)其發(fā)送該改變的策略實(shí)施器建立一個(gè)記錄�。在這方面�����,策略服務(wù)器122收集管理員做出的由管理員的運(yùn)行記錄DN270d的應(yīng)用屬性270f的值270g���、270h反映的所有改變��。為屬于該管理員的域的每個(gè)策略實(shí)施器處理這些改變�����。這種處理最好涉及挑出有關(guān)改變和適當(dāng)?shù)匦薷挠糜诓呗詫?shí)施器的LDAP的DN����。例如因?yàn)樵诓呗苑?wù)器數(shù)據(jù)庫(kù)130中和在策略實(shí)施器數(shù)據(jù)庫(kù)132����、134中樹結(jié)構(gòu)上的差異,這種適當(dāng)?shù)男薷目赡苁潜仨毜?���。例如,管理員的運(yùn)行記錄中的改變可能含有一個(gè)規(guī)定策略實(shí)施器的域名的DN�。在把該改變施加到該策略實(shí)施器上時(shí)���,不應(yīng)在該DN中規(guī)定該域名,因?yàn)樵摬呗詫?shí)施器的樹結(jié)構(gòu)不包括域名��。接著在部件運(yùn)行記錄中存儲(chǔ)為每個(gè)策略實(shí)施器的LDAP適當(dāng)修改的改變���。然后修改每個(gè)策略實(shí)施器的運(yùn)行記錄DN270e以反映發(fā)送到具體策略實(shí)施器的改變����。在上面的例子中并如圖24中所示�����,若被建立的部件運(yùn)行記錄命名為“PE_L1”����,則策略服務(wù)器122為域“domain1”上的具體策略實(shí)施器“PE1”更新DN270e以建立一個(gè)其值為“PEL1”270j的屬性“apply”270i��。在步驟432��,接著從LDAP樹刪掉用于管理員的運(yùn)行記錄DN270d的應(yīng)用屬性270f�。在步驟434,向策略實(shí)施器發(fā)送為每個(gè)策略實(shí)施器收集的在策略實(shí)施器運(yùn)行記錄DN270e的應(yīng)用屬性270i的值270j��、270k中反映的改變以更新它的數(shù)據(jù)庫(kù)132、134��。最好在HTTPS通道上向各策略實(shí)施器發(fā)送改變���。在步驟436���,策略服務(wù)器122檢查更新是否已成功。在這方面���,策略服務(wù)器122等待以接收來(lái)自策略實(shí)施器的已成功完成更新的確認(rèn)����。當(dāng)來(lái)自策略實(shí)施器的響應(yīng)為正面響應(yīng)時(shí)��,策略服務(wù)器122刪除用于策略實(shí)施器的運(yùn)行記錄DN270e的應(yīng)用屬性270e���。反之����,若更新不成功(例如因?yàn)椴呗詫?shí)施器停機(jī))����,則下次調(diào)用另一應(yīng)用子例程時(shí)重新發(fā)送該應(yīng)用運(yùn)行記錄�����。替代地�,失敗的策略實(shí)施器在再加入該網(wǎng)絡(luò)(例如通過再引導(dǎo))時(shí)對(duì)尚未應(yīng)用的改變的運(yùn)行記錄的策略服務(wù)器122�,發(fā)送一個(gè)請(qǐng)求。IX.用于高可用性單元的狀態(tài)變換協(xié)議依據(jù)本發(fā)明的一實(shí)施例���,通過在一主單元之外還保持一個(gè)備用單元���,可把策略服務(wù)器122、策略實(shí)施器124����、126以及其它網(wǎng)絡(luò)部件配置為高可用性。圖26是一個(gè)包括主單元902和備用單元904的高可用性系統(tǒng)的示意方塊圖����。通過在并行端口906a、906b和電纜908上交換心搏�����,二個(gè)單元902���、904彼此通信�����。這些平行端口906a����、906b和電纜908是技術(shù)上普通可得到的常規(guī)部件�����。主單元902和備用單元904彼此類似地分別通過端口920a��、920b��、922a�、922b、924a�、924b和其它部件910、912��、914連接��。這些部件910、912���、914可以是集線器����、接線器�、接插件等。由于主單元902和備用單元904提供類似的服務(wù)和功能并可互換地使用��,故每個(gè)單元最好連接到同一部件910���、912�、914�����。并行端口電纜908最好是設(shè)計(jì)成連接二個(gè)并行端口并允許在它們之間通信的常規(guī)搭接連接(laplink)電纜�����。主單元902和備用單元904最好通過TCP包在高可用性端口906a����、906b上互相通信��。最好在主單元902和備用單元904之間在高可用性端口906a����、906b上存在點(diǎn)對(duì)點(diǎn)連接����。主單元902最好負(fù)責(zé)檢查它的網(wǎng)絡(luò)端口的狀態(tài)以發(fā)現(xiàn)問題和故障����。例如,若主單元902檢測(cè)出它的一個(gè)網(wǎng)絡(luò)端口���,例如端口922a不工作����,則主單元902接著檢查備用單元904中的對(duì)應(yīng)端口922b是否工作�����。一旦確定備用單元904中的對(duì)應(yīng)端口922b是工作的�,則主單元902向備用單元904發(fā)出作為現(xiàn)用單元接管系統(tǒng)功能的請(qǐng)求。接著主單元902放棄它作為現(xiàn)用單元的角色并且關(guān)機(jī)���,以允許備用單元904承擔(dān)主單元902的責(zé)任����。當(dāng)主單元902重新開始運(yùn)行時(shí),備用單元904接收來(lái)自主單元902的請(qǐng)求以放棄它的作為現(xiàn)用單元的角色���。當(dāng)主單元902是現(xiàn)用的并且未檢測(cè)出它的端口中的故障時(shí)��,它持續(xù)監(jiān)聽高可用性端口906a以跟蹤備用單元904的狀態(tài)��。主單元902繼續(xù)在高可用性端口906a上收聽來(lái)自備用單元904的信號(hào)��。當(dāng)備用單元904送電并運(yùn)行時(shí)���,它連接到主單元902。一旦完成該連接���,備用單元904就開始向主單元902發(fā)送心搏���。在預(yù)定的間隔內(nèi)備用單元904持續(xù)向主單元902發(fā)送心搏。依據(jù)本發(fā)明的一實(shí)施例�,備用單元904每秒鐘向主單元902發(fā)送一個(gè)包含KEEP-Alive命令的“KeepAliVe(運(yùn)行著)”包。主單元902通過把該包的該命令字段改變成KEEP-ALIVE-RESP命令并重新把該包發(fā)送到發(fā)出方����,對(duì)“KeepAlive”包作出響應(yīng)�����。若備用單元904在預(yù)定時(shí)間周期(例如�����,一秒)未收到從主單元902返回的對(duì)一個(gè)“KeepAlive”包的響應(yīng),則備用單元904開始準(zhǔn)備接管現(xiàn)用角色����。該預(yù)定周期最好不大于二個(gè)相繼的“KeepAliVe”包。一旦作為現(xiàn)用單元����,備用單元904就試圖在有規(guī)律的間隔上重新建立和主單元902的連接以確定是否已解決主單元中的問題或故障。一旦問題或故障得到解決�����,備用單元904就在把所有網(wǎng)絡(luò)接口卡的IP地址置成指定值后�,把控制讓給主單元902。在備用單元904從主單元902接管現(xiàn)用角色的情況下���,向網(wǎng)絡(luò)管理員發(fā)送報(bào)警以指示這樣的改變���。另外�,若主單元902未接收到來(lái)自備用單元904的心搏���,則向管理員發(fā)送報(bào)警以指示備用單元出故障�����?����?赡艹霈F(xiàn)主單元902和備用單元904都是正常運(yùn)行的并且備用單元904希望接管現(xiàn)用角色的情況�。在這種情況下���,備用單元904向主單元902發(fā)出關(guān)機(jī)命令�����,后者接著放棄控制�����。備用單元904持續(xù)作為現(xiàn)用單元的角色����,直至主單元902向備用單元904發(fā)送放棄它的現(xiàn)用角色的請(qǐng)求。依據(jù)本發(fā)明的一實(shí)施例���,每個(gè)高可用性單元按主�����、備用或獨(dú)立單元的初始狀態(tài)確定協(xié)議,依賴于一個(gè)自發(fā)現(xiàn)進(jìn)程���。圖27是依據(jù)本發(fā)明的一實(shí)施例的示例狀態(tài)發(fā)現(xiàn)進(jìn)程的流程圖�����。在步驟930����,引導(dǎo)尚未明確地按主單元或備用單元發(fā)現(xiàn)其狀態(tài)的第一高可用性單元(單元X)����,并且在步驟932中采取承擔(dān)備用單元角色�����。在步驟934���,單元X搜索用于主單元的網(wǎng)絡(luò),并且在步驟936它詢問是否檢測(cè)到主單元�����。若回答為YES��,則單元X試圖和該主單元連接����。若成功,則單元X在步驟938初始化成備用單元��。另一方面����,若單元X未檢查到主單元,單元X在步驟940承擔(dān)主單元角色��。在步驟942,單元X搜索用于備用單元的網(wǎng)絡(luò)��。若檢測(cè)到備用單元�����,如步驟944中查詢那樣�,則單元X和該備用單元連接并在步驟946初始化為主單元。如果另一方面在預(yù)定時(shí)間內(nèi)單元X在網(wǎng)絡(luò)中未檢測(cè)到任何其它單元���,則在步驟948中單元X初始化為獨(dú)立單元�。一旦初始化了主單元和輔助單元���,就向備用單元發(fā)送主單元的配置改變�,以便保持這二個(gè)單元同步�����。配置信息最好存儲(chǔ)在LDAP數(shù)據(jù)庫(kù)中���,例如中央策略服務(wù)器數(shù)據(jù)庫(kù)130或策略代理數(shù)據(jù)庫(kù)124、126中�����。圖28是用于保持主單元和備用單元中同步的配置信息的進(jìn)程的流程圖。主單元在步驟950中引導(dǎo)主單元并且在步驟952檢測(cè)備用單元�����。在步驟954����,備用單元從主單元(若它工作)接收配置改變信息。在別的情況下�����,由網(wǎng)絡(luò)管理員直接把配置改變輸入到備用單元中��。若要從主單元接收配置改變�,則主單元通知備用單元何時(shí)主單元中出現(xiàn)配置改變。然后把改變傳送到并施加到備用單元��。備用單元繼之向主單元發(fā)回該傳送狀態(tài)和該施加�。在步驟956,主單元被檢查以確定它是否起作用�����。若是,則主單元相同地用該配置改變更新����。反之,若主單元不起作用�,則備用單元承擔(dān)現(xiàn)用角色并在步驟958變成現(xiàn)用單元。由于CPU板���、網(wǎng)絡(luò)接口卡或電源中的故障�,主單元可能變成不起作用的并且從而變成是不現(xiàn)用的�。在步驟960,備用單元標(biāo)記這些改變���,以便在主單元變?yōu)槠鹱饔脮r(shí)把它們發(fā)送給主單元��。一旦主單元變?yōu)槠鹱饔?����,就用備用單元保持的帶?biāo)記的改變更新主單元,如步驟962中所反映的那樣���。依據(jù)本發(fā)明的一實(shí)施例����,還同步主單元和備用單元上的軟件更新,從而在單個(gè)周期內(nèi)���,而不是需要在多個(gè)更新周期內(nèi)�,串行地更新主單元和備用單元��。因此�,網(wǎng)絡(luò)管理員不必用和對(duì)主單元相同的信息重復(fù)進(jìn)行對(duì)備用單元的更新。圖29是在主單元和備用單元都起作用時(shí)更新它們的示例流程圖��。在步驟970�����,從網(wǎng)絡(luò)管理員可訪問的管理站向主單元發(fā)送/傳送—更新��,例如未在LDAP數(shù)據(jù)庫(kù)中存儲(chǔ)的軟件更新����。主單元接著在步驟972更新自己。在步驟974�����,主單元自動(dòng)地向備用單元發(fā)送/傳送該更新信息。在步驟976�����,備用單元用從主單元接收到的更新信息更新自己����。圖30是當(dāng)主單元不起作用時(shí)更新主單元和備用單元的示例流程圖。在步驟978���,主單元變成不起作用�,并且在步驟980網(wǎng)絡(luò)管理員向備用單元����,而不是向主單元,直接發(fā)送/傳送升級(jí)�。在步驟982,備用單元用從管理站接收到的信息更新自己并等待主單元變?yōu)槠鹱饔?����。一旦主單元變?yōu)槠鹱饔?�,就在步驟986自動(dòng)向主單元發(fā)送傳送該更新以便升級(jí)�����。主單元接著在步驟988更新自己����。盡管參照各優(yōu)選實(shí)施例詳細(xì)地說明了本發(fā)明,但業(yè)內(nèi)人士理解�����,在保持如附屬權(quán)利要求書中定義的本發(fā)明精神和范圍情況下����,可對(duì)文中說明的各個(gè)例子作出各種替代和修改。例如�,圖1的統(tǒng)一式策略管理系統(tǒng)應(yīng)看成是說明性的而不是限制性的。受到本發(fā)明啟發(fā)的業(yè)內(nèi)人士會(huì)理解許多替代配置是可能的����。例如,可添加帶有策略實(shí)施器的若干網(wǎng)絡(luò)或者不添加網(wǎng)絡(luò)�。類似地,策略實(shí)施器不是必須通過因特網(wǎng)訪問策略服務(wù)器�,而是可以通過其它手段例如WAN、MAN等連接���。簡(jiǎn)言之�����,該機(jī)構(gòu)之內(nèi)的和之外的用戶和資源的數(shù)量和類型可以很大地變化�����,但仍處在本發(fā)明的范圍之內(nèi)����。權(quán)利要求1.一種用于管理一機(jī)構(gòu)內(nèi)的策略服務(wù)的系統(tǒng),該機(jī)構(gòu)包括一個(gè)具有第一組資源的第一網(wǎng)絡(luò)和一個(gè)遠(yuǎn)離第一網(wǎng)絡(luò)的具有第二組資源的第二網(wǎng)絡(luò)�,該系統(tǒng)包括和第一網(wǎng)絡(luò)關(guān)聯(lián)的第一邊緣部件,第一邊緣部件配置成根據(jù)存儲(chǔ)在第一數(shù)據(jù)庫(kù)中的第一策略設(shè)置��,管理用于第一網(wǎng)絡(luò)和第一組資源的策略組����;和第二網(wǎng)絡(luò)關(guān)聯(lián)的第二邊緣部件,第二邊緣部件配置成根據(jù)存儲(chǔ)在第二數(shù)據(jù)庫(kù)中的第二策略設(shè)置����,管理用于第二網(wǎng)絡(luò)和第二組資源的策略組;以及一個(gè)和第一、第二邊緣部件通信的中央策略服務(wù)器�����,該中央策略服務(wù)器配置成定義第一和第二策略設(shè)置和從單個(gè)位置管理第一和第二邊緣部件����。2.權(quán)利要求1的系統(tǒng)���,其中策略是防火墻策略����。3.權(quán)利要求1的系統(tǒng)�,其中策略是虛擬專用網(wǎng)絡(luò)策略。4.權(quán)利要求1的系統(tǒng)�,其中該中央策略服務(wù)器包括一個(gè)用于存儲(chǔ)第一和第二邊緣部件的配置信息的中央數(shù)據(jù)庫(kù)。5.權(quán)利要求4的系統(tǒng)�����,其中配置信息包括第一和第二策略設(shè)置�。6.權(quán)利要求4的系統(tǒng),其中該中央數(shù)據(jù)庫(kù)存儲(chǔ)用于第一和第二邊緣部件的配置信息中的改變的運(yùn)行記錄���。7.權(quán)利要求6的系統(tǒng)�����,其中該策略服務(wù)器把配置信息中的改變發(fā)送到第一和第二邊緣部件���,用于分別更新第一和第二數(shù)據(jù)庫(kù)�。8.權(quán)利要求7的系統(tǒng)��,其中該策略服務(wù)器在成功更新第一和第二數(shù)據(jù)庫(kù)時(shí)刪除這些改變的運(yùn)行記錄����。9.權(quán)利要求4的系統(tǒng),其中根據(jù)面向分層對(duì)象的結(jié)構(gòu)�,組織中央數(shù)據(jù)庫(kù)和第一�����、第二數(shù)據(jù)庫(kù)。10.權(quán)利要求9的系統(tǒng)���,其中該面向分層對(duì)象的結(jié)構(gòu)包括多個(gè)用于定義第一和第二策略設(shè)置的資源對(duì)象和策略對(duì)象���。11.權(quán)利要求10的系統(tǒng),其中資源對(duì)象是從由部件、用戶��、主機(jī)����、服務(wù)和時(shí)間構(gòu)成的組中選擇的。12.權(quán)利要求10的系統(tǒng)���,其中中央數(shù)據(jù)庫(kù)和第一、第二數(shù)據(jù)庫(kù)是輕便目錄訪問協(xié)議(LDAP)數(shù)據(jù)庫(kù)���,其把每個(gè)資源對(duì)象和策略對(duì)象存儲(chǔ)為L(zhǎng)DAP條目���。13.權(quán)利要求1的系統(tǒng),其中中央策略服務(wù)器包括一組用戶應(yīng)用模塊�,用于允許用戶從單個(gè)位置定義第一、第二策略設(shè)置和管理第一����、第二邊緣部件,第一和第二策略設(shè)置和多個(gè)包括部件���、用戶��、主機(jī)���、服務(wù)和時(shí)間的資源對(duì)象關(guān)聯(lián)����。14.權(quán)利要求13的系統(tǒng)���,其中該組用戶應(yīng)用模塊包括一個(gè)允許從單個(gè)位置安裝第一和第二邊緣部件的集中式管理子模塊�。15.權(quán)利要求14的系統(tǒng)��,其中該集中式管理子模塊允許用該中央策略服務(wù)器注冊(cè)第一和第二部件�。16.權(quán)利要求13的系統(tǒng),其中該組用戶應(yīng)用模塊包括一個(gè)用于從單個(gè)位置管理和觀察資源對(duì)象的策略管理子模塊�����。17.權(quán)利要求1的系統(tǒng)�,其中該中央策略服務(wù)器包括一組用于允許用戶從單個(gè)位置監(jiān)視第一和第二邊緣部件的健康和狀態(tài)的用戶應(yīng)用模塊。18.權(quán)利要求1的系統(tǒng)���,其中中央策略服務(wù)器包括一個(gè)日志收集和歸檔模塊�,用于周期地從每個(gè)邊緣部件接收健康和狀態(tài)信息���;一個(gè)和該日志收集和歸檔模塊連接的檔案數(shù)據(jù)庫(kù)��,用于存儲(chǔ)健康和狀態(tài)信息��;以及一個(gè)和該檔案數(shù)據(jù)庫(kù)連接的報(bào)告模塊��,用于根據(jù)健康和狀態(tài)信息建立報(bào)告��。19.權(quán)利要求18的系統(tǒng)���,其中每個(gè)邊緣部件以預(yù)定義的公共日志格式收集和發(fā)送健康和狀態(tài)信息���。20.權(quán)利要求18的系統(tǒng)���,其中健康和狀態(tài)信息包括網(wǎng)絡(luò)流信息���。21.權(quán)利要求18的系統(tǒng),其中健康和狀態(tài)信息包括對(duì)每個(gè)邊緣部件的資源組的使用的統(tǒng)計(jì)����。22.權(quán)利要求1的系統(tǒng),其中每個(gè)邊緣部件包括多個(gè)用來(lái)把用于每個(gè)網(wǎng)絡(luò)的策略組的管理集成到該邊緣部件上的模塊����。23.權(quán)利要求22的系統(tǒng)��,其中該多個(gè)模塊包括一個(gè)分類引擎�����,用于確定和每個(gè)輸入包相關(guān)的協(xié)議���;一個(gè)策略引擎,用于根據(jù)和該包相關(guān)的策略設(shè)置��,為該包做出傳送決策�����;以及一個(gè)包傳送模塊�����,用于根據(jù)策略設(shè)置傳送包��。24.權(quán)利要求23的系統(tǒng)還包括一個(gè)安全引擎����,用于驗(yàn)證發(fā)送該包的用戶��。25.權(quán)利要求23的系統(tǒng)還包括一個(gè)統(tǒng)計(jì)模塊��,用于收集流過邊緣部件的包上的統(tǒng)計(jì)信息���。26.權(quán)利要求1的系統(tǒng),其中每個(gè)網(wǎng)絡(luò)皆是一個(gè)專用網(wǎng)絡(luò)��,并且每個(gè)邊緣部件皆被配置成建立一個(gè)帶有能通過該邊緣部件達(dá)到的成員網(wǎng)絡(luò)的信息的表�。27.權(quán)利要求26的系統(tǒng),其中第一和第二邊緣部件起動(dòng)在第一和第二專用網(wǎng)絡(luò)之間的安全通信�����,并且第一邊緣部件和第二邊緣部件共享第一表����,以及第二邊緣部件和第一邊緣部件共享第二表�����。28.權(quán)利要求26的系統(tǒng)����,其中第一邊緣部件包括邏輯電路����,用于接收新的路由信息���;把該新的路由信息存儲(chǔ)在第一數(shù)據(jù)庫(kù)中�����;以及把該新路由信息中的一部分發(fā)送給第二邊緣部件����。29.權(quán)利要求26的系統(tǒng)����,其中根據(jù)和各成員網(wǎng)絡(luò)相關(guān)的一個(gè)安全策略管理通信。30.權(quán)利要求29的系統(tǒng)���,其中該安全策略是為一個(gè)安全策略組定義的以提供該組的分層結(jié)構(gòu)�����,該組包括成員網(wǎng)絡(luò)�、允許訪問成員網(wǎng)絡(luò)的用戶和一條控制對(duì)成員網(wǎng)絡(luò)的訪問的規(guī)則����。31.權(quán)利要求30的系統(tǒng)����,其中每個(gè)成員網(wǎng)絡(luò)具有完整的同所有其它成員網(wǎng)絡(luò)一起的連通性��,并且為該安全策略組定義的安全策略是自動(dòng)地為每條連接配置的���。32.權(quán)利要求30的系統(tǒng)�����,其中該安全策略在成員網(wǎng)絡(luò)之間提供通話加密�,并且該規(guī)則是在成員網(wǎng)絡(luò)之間對(duì)加密通話提供訪問控制的防火墻規(guī)則���。33.權(quán)利要求30的系統(tǒng)�����,還包括用于從遠(yuǎn)程位置訪問各成員網(wǎng)絡(luò)的遠(yuǎn)程用戶終端,每個(gè)遠(yuǎn)程用戶終端包括一個(gè)處理器�,該處理器能執(zhí)行程序指令,這些程序指令包括建立和邊緣部件的通信�;向邊緣部件發(fā)送驗(yàn)證信息��;以及從邊緣部件接收帶有各成員網(wǎng)絡(luò)的信息的表�。34.權(quán)利要求33的系統(tǒng)�,其中這些程序指令還包括自動(dòng)地從邊緣部件接收該表的更新。35.權(quán)利要求1的系統(tǒng)�,其中該中央策略服務(wù)器和第一、第二邊緣部件包括第一類單元和第二類單元���,每個(gè)第二類單元在第一類單元出故障時(shí)提供對(duì)應(yīng)第一類單元的備份�。36.權(quán)利要求35的系統(tǒng)�,其中每個(gè)第二類單元初始處于停用狀態(tài),每個(gè)第二類單元包括邏輯電路�,用于檢測(cè)其對(duì)應(yīng)第一類單元的故障;以及一旦檢測(cè)到故障�,就從停用狀態(tài)變換到現(xiàn)用狀態(tài)。37.權(quán)利要求35的系統(tǒng)�����,其中每個(gè)第二類單元包括邏輯電路�,用于承擔(dān)第二類單元角色;搜索對(duì)應(yīng)的第一類單元���;以及若檢測(cè)到對(duì)應(yīng)的第一類單元�,則初始化為第二類單元。38.權(quán)利要求37的系統(tǒng)����,其中每個(gè)第二類單元還包括邏輯電路,用于若未檢測(cè)到第一類單元���,則承擔(dān)第一類單元的角色�;搜索對(duì)應(yīng)的第二類單元���;以及若檢測(cè)到對(duì)應(yīng)的第二類單元�����,則初始化為第一類單元��。39.權(quán)利要求38的系統(tǒng)���,其中每個(gè)第二類單元還包括邏輯電路,用于若未檢測(cè)到第二類單元���,則初始化為第三類單元�。40.權(quán)利要求35的系統(tǒng),還包括用于把每個(gè)第一類單元變換到現(xiàn)用狀態(tài)的裝置��;用于為每個(gè)第一類單元接收并存儲(chǔ)第一數(shù)據(jù)庫(kù)配置改變的裝置���;用于把配置改變發(fā)送到對(duì)應(yīng)的第二類單元的裝置;以及用于在對(duì)應(yīng)的第二類單元上存儲(chǔ)配置改變的裝置��。41.權(quán)利要求40的系統(tǒng)����,還包括用于把各個(gè)第一類單元變換到停用狀態(tài)的裝置;用于在對(duì)應(yīng)的第一類單元處于停用狀態(tài)時(shí)��,從第二類單元接收并存儲(chǔ)第二數(shù)據(jù)庫(kù)配置改變的裝置�����;以及用于在第一類單元重新變換到現(xiàn)用狀態(tài)后���,從第二類單元向第一類單元發(fā)送第二數(shù)據(jù)庫(kù)配置改變的裝置���。42.權(quán)利要求35的系統(tǒng),還包括用于向各個(gè)第一類單元發(fā)送更新信息的裝置��;用于更新各個(gè)第一類單元的裝置;用于從各個(gè)第一類單元向各第二類單元發(fā)送更新信息的裝置����;以及用于更新各個(gè)第二類單元的裝置。43.一種用于管理一機(jī)構(gòu)內(nèi)的策略服務(wù)的系統(tǒng)��,該機(jī)構(gòu)包括一個(gè)具有第一組資源的第一網(wǎng)絡(luò)和一個(gè)遠(yuǎn)離第一網(wǎng)絡(luò)的具有第二組資源的第二網(wǎng)絡(luò)���,該系統(tǒng)包括和第一網(wǎng)絡(luò)關(guān)聯(lián)的第一邊緣部件�����,第一邊緣部件配置成根據(jù)存儲(chǔ)在第一數(shù)據(jù)庫(kù)中的第一策略設(shè)置����,管理用于第一網(wǎng)絡(luò)和第一組資源的策略組����;和第二網(wǎng)絡(luò)關(guān)聯(lián)的第二邊緣部件,第二邊緣部件配置成根據(jù)存儲(chǔ)在第二數(shù)據(jù)庫(kù)中的第二策略設(shè)置���,管理用于第二網(wǎng)絡(luò)和第二組資源的策略組���;以及一個(gè)從單個(gè)位置定義第一和第二策略設(shè)置并且管理第一和第二邊緣部件的中央策略服務(wù)器�,該中央策略服務(wù)器和一個(gè)存儲(chǔ)著第一和第二邊緣部件的配置信息的中央數(shù)據(jù)庫(kù)相關(guān)�,其中根據(jù)面向分層對(duì)象的結(jié)構(gòu)組織該中央數(shù)據(jù)庫(kù)。44.權(quán)利要求43的系統(tǒng)��,其中根據(jù)面向分層對(duì)象的結(jié)構(gòu)組織第一和第二數(shù)據(jù)庫(kù)��。45.權(quán)利要求43的系統(tǒng)�,其中配置信息包括第一和第二策略設(shè)置����。46.權(quán)利要求45的系統(tǒng),其中該面向分層對(duì)象的結(jié)構(gòu)包括多個(gè)用于定義第一和第二策略設(shè)置的資源對(duì)象和策略對(duì)象�����。47.權(quán)利要求46的系統(tǒng)���,其中中央數(shù)據(jù)庫(kù)和第一���、第二數(shù)據(jù)庫(kù)是輕便目錄訪問協(xié)議(LDAP)數(shù)據(jù)庫(kù),其把每個(gè)資源對(duì)象和策略對(duì)象存儲(chǔ)為L(zhǎng)DAP條目�����。48.權(quán)利要求46的系統(tǒng),其中資源對(duì)象是從由部件�����、用戶�、主機(jī)、服務(wù)和時(shí)間構(gòu)成的組中選擇的�。49.權(quán)利要求48的系統(tǒng),其中部件包括第一和第二邊緣部件�����,每個(gè)部件和一組用戶和一特定主機(jī)相關(guān)�����。50.權(quán)利要求48的系統(tǒng)��,其中主機(jī)包括第一和第二網(wǎng)絡(luò)�。51.權(quán)利要求46的系統(tǒng),其中策略對(duì)象是從由帶寬�����、防火墻����、管理和虛擬專用網(wǎng)絡(luò)分組構(gòu)成的組中選擇的��。52.權(quán)利要求51的系統(tǒng)����,其中虛擬專用網(wǎng)絡(luò)分組包括和一個(gè)或多個(gè)地點(diǎn)�����、用戶和規(guī)則相關(guān)的虛擬專用網(wǎng)絡(luò)��。53.權(quán)利要求52的系統(tǒng)�����,其中每個(gè)地點(diǎn)包括一個(gè)或多個(gè)在一邊緣部件后面的網(wǎng)絡(luò)�����。54.權(quán)利要求52的系統(tǒng)��,其中規(guī)章是對(duì)流過該虛擬專用網(wǎng)絡(luò)的網(wǎng)絡(luò)通話提供訪問控制的防火墻規(guī)則�。55.一種用于選擇性數(shù)據(jù)庫(kù)同步的系統(tǒng)�,包括一個(gè)中央數(shù)據(jù)庫(kù)�����,其存儲(chǔ)用于一機(jī)構(gòu)內(nèi)的多個(gè)邊緣部件的配置信息�����,每個(gè)邊緣部件和該機(jī)構(gòu)內(nèi)的一個(gè)網(wǎng)絡(luò)關(guān)聯(lián)并配置成管理用于該網(wǎng)絡(luò)的各策略��;一個(gè)從屬數(shù)據(jù)庫(kù)��,其存儲(chǔ)和一具體邊緣部件相關(guān)的配置信息的一部分���;以及一個(gè)和該中央數(shù)據(jù)庫(kù)以及該從屬數(shù)據(jù)庫(kù)通信的中央策略服務(wù)器,該中央策略服務(wù)器包括邏輯電路���,用于在該中央數(shù)據(jù)庫(kù)中對(duì)和該具體邊緣部件相關(guān)的配置信息的一部分做出改變����;建立這些改變的運(yùn)行記錄�;在該中央數(shù)據(jù)庫(kù)中存儲(chǔ)該運(yùn)行記錄;以及向該具體邊緣部件發(fā)送這些改變以更新該從屬數(shù)據(jù)庫(kù)��。56.權(quán)利要求55的系統(tǒng)����,其中該運(yùn)行記錄包括用于把該改變和一具體做出該改變的用戶關(guān)聯(lián)的用戶運(yùn)行記錄����,該具體用戶和該具體邊緣部件相關(guān)����。57.權(quán)利要求56的系統(tǒng),其中該中央策略服務(wù)器還包括用于根據(jù)該做出改變的具體用戶�,辨別該具體邊緣部件的邏輯電路。58.權(quán)利要求57的系統(tǒng)�����,其中該運(yùn)行記錄包括用于存儲(chǔ)該具體邊緣部件的改變的部件運(yùn)行記錄���。59.權(quán)利要求55的系統(tǒng),其中該中央策略服務(wù)器還包括邏輯電路�����,用于接收來(lái)自該具體邊緣部件的該傳送的狀態(tài)��;以及若該狀態(tài)指示成功傳送��,則從中央數(shù)據(jù)庫(kù)刪除該運(yùn)行記錄。60.權(quán)利要求55的系統(tǒng)�,其中該中央數(shù)據(jù)庫(kù)和該從屬數(shù)據(jù)庫(kù)是輕便目錄訪問協(xié)議(LDAP)數(shù)據(jù)庫(kù),后者用由特異名標(biāo)識(shí)的LDAP條目存儲(chǔ)配置信息����。61.權(quán)利要求55的系統(tǒng),其中該配置信息是策略管理信息�。62.在包括著根據(jù)第一策略設(shè)置管理用于第一網(wǎng)絡(luò)的策略組的第一邊緣部件以及根據(jù)第二策略設(shè)置管理用于第二網(wǎng)絡(luò)的策略組的第二邊緣部件的系統(tǒng)中,該系統(tǒng)還包括一個(gè)與第一����、第二邊緣部件通信并配置成從單個(gè)位置定義第一、第二策略設(shè)置和管理第一��、第二邊緣部件的中央策略服務(wù)器�����,每個(gè)邊緣部件包括一個(gè)分類引擎��,用于確定和一個(gè)輸入包相關(guān)的協(xié)議�;一個(gè)策略引擎,用于根據(jù)和該包相關(guān)的策略設(shè)置���,為該包做出傳送決策��;以及一個(gè)包傳送模塊�,用于根據(jù)策略設(shè)置傳送包。63.權(quán)利要求62的邊緣部件����,其中該分類引擎還包括一個(gè)存儲(chǔ)協(xié)議對(duì)包流中找到的數(shù)據(jù)模式的映射的協(xié)議數(shù)據(jù)庫(kù)。64.權(quán)利要求62的邊緣部件�����,其中該策略引擎還包括一個(gè)帶有資源組名對(duì)每個(gè)組內(nèi)的成員的現(xiàn)行映射的資源引擎�����。65.權(quán)利要求64的邊緣部件�,其中該策略引擎還包括一個(gè)存儲(chǔ)為和該包相關(guān)的一個(gè)組而定義的策略設(shè)置的策略規(guī)則組緩沖器。66.權(quán)利要求64的邊緣部件�,其中該策略引擎還包括一個(gè)決策引擎��,用于根據(jù)來(lái)自該資源引擎的會(huì)員資格信息把包和該策略規(guī)則組緩沖器中的策略設(shè)置匹配�。67.權(quán)利要求62的邊緣部件,還包括一個(gè)用于驗(yàn)證發(fā)送該包的用戶的安全引擎���。68.權(quán)利要求62的邊緣部件���,還包括一個(gè)用于收集流過該邊緣部件的包上的統(tǒng)計(jì)數(shù)據(jù)的統(tǒng)計(jì)模塊���。69.權(quán)利要求68的邊緣部件,其中該統(tǒng)計(jì)模塊保持對(duì)流過該邊緣部件的包的字節(jié)計(jì)數(shù)���,其中根據(jù)和各包相關(guān)的各資源�����,組織該字節(jié)計(jì)數(shù)��。70.一種計(jì)算機(jī)網(wǎng)絡(luò)����,包括和第一專用網(wǎng)絡(luò)連接的第一邊緣部件���,第一邊緣部件配置成建立帶有通過第一邊緣部件可到達(dá)的成員網(wǎng)絡(luò)的信息的第一表���,第一表存儲(chǔ)在第一數(shù)據(jù)庫(kù)中;和第二專用網(wǎng)絡(luò)連接的第二邊緣部件����,第二邊緣部件配置成建立帶有通過第二邊緣部件可到達(dá)的成員網(wǎng)絡(luò)的信息的第二表��,第二表存儲(chǔ)在第二數(shù)據(jù)庫(kù)中�����;其中�����,第一和第二邊緣部件起動(dòng)在第一和第二專用網(wǎng)絡(luò)之間的安全通信����,并且第一邊緣部件和第二邊緣部件共享第一表以及第二邊緣部件和第一邊緣部件共享第二表�。71.權(quán)利要求70的計(jì)算機(jī)網(wǎng)絡(luò),其中第一邊緣部件包括邏輯電路��,用于接收新的路由信息�;在第一數(shù)據(jù)庫(kù)中存儲(chǔ)該新的路由信息;以及把該新的路由信息的一部分發(fā)送給第二邊緣部件��。72.權(quán)利要求71的計(jì)算機(jī)網(wǎng)絡(luò)����,其中該一部分的新的路由信息是路由名。73.權(quán)利要求71的計(jì)算機(jī)網(wǎng)絡(luò)����,其中第二邊緣部件包括邏輯電路,用于接收該一部分的新的路由信息���;根據(jù)該一部分的新的路由信息訪問第一數(shù)據(jù)庫(kù)����;從第一數(shù)據(jù)庫(kù)檢索該新的路由信息�����;以及在第二數(shù)據(jù)庫(kù)中存儲(chǔ)檢索到的路由信息��。74.權(quán)利要求70的計(jì)算機(jī)網(wǎng)絡(luò)�����,其中在第一和第二網(wǎng)絡(luò)之間的通信是根據(jù)和這些網(wǎng)絡(luò)相關(guān)的安全策略管理的�。75.權(quán)利要求74的計(jì)算機(jī)網(wǎng)絡(luò),其中為一個(gè)提供組的分層結(jié)構(gòu)的安全組而定義該安全策略�,該組包括成員網(wǎng)絡(luò)、允許訪問成員網(wǎng)絡(luò)的用戶和一條控制對(duì)成員網(wǎng)絡(luò)的訪問的規(guī)則���。76.權(quán)利要求75的計(jì)算機(jī)網(wǎng)絡(luò)�,其中每個(gè)成員網(wǎng)絡(luò)具有與所有其它成員網(wǎng)絡(luò)一起的完全的連通性,并且為每條連接自動(dòng)配置為該安全策略組而定義的安全策略����。77.權(quán)利要求75的計(jì)算機(jī)網(wǎng)絡(luò),其中該安全策略提供在成員網(wǎng)絡(luò)間的通話的加密�����,并且該規(guī)則是對(duì)在成員網(wǎng)絡(luò)間的加密通話提供訪問控制的防火墻規(guī)則�����。78.一種計(jì)算機(jī)網(wǎng)絡(luò)��,包括一個(gè)和一個(gè)專用網(wǎng)絡(luò)連接的邊緣部件�����,該邊緣部件配置成建立一個(gè)帶有可通過該邊緣部件達(dá)到的成員網(wǎng)絡(luò)的信息的表����,該表存儲(chǔ)在一個(gè)數(shù)據(jù)庫(kù)中;和一個(gè)和該邊緣部件通信的遠(yuǎn)程用戶終端�����,該遠(yuǎn)程用戶終端包括一個(gè)處理器����,該處理器能執(zhí)行程序指令,這些程序指令包括建立和邊緣部件的通信���;向邊緣部件發(fā)送驗(yàn)證信息�����;以及從邊緣部件接收帶有各成員網(wǎng)絡(luò)的信息的該表���。79.權(quán)利要求78的計(jì)算機(jī)網(wǎng)絡(luò),其中這些程序指令還包括自動(dòng)地從邊緣部件接收該表的更新�。80.權(quán)利要求78的計(jì)算機(jī)網(wǎng)絡(luò),其中這些程序指令還包括下載供安裝并執(zhí)行的客戶軟件��。81.權(quán)利要求80的計(jì)算機(jī)網(wǎng)絡(luò)�,其中該客戶軟件允許和通過該邊緣部件能達(dá)到的各成員網(wǎng)絡(luò)通信。82.權(quán)利要求80的計(jì)算機(jī)網(wǎng)絡(luò)��,其中該客戶軟件允許下載該帶有成員網(wǎng)絡(luò)的信息的表���。83.權(quán)利要求80的計(jì)算機(jī)網(wǎng)絡(luò)�,其中該客戶軟件包括一個(gè)靜態(tài)部分和一個(gè)動(dòng)態(tài)部分,該靜態(tài)部分包括一個(gè)可執(zhí)行的設(shè)置文件��,而該動(dòng)態(tài)部分包括一個(gè)用專用于該正下載的遠(yuǎn)程用戶終端的信息來(lái)替代的樣板���。84.權(quán)利要求80的計(jì)算機(jī)網(wǎng)絡(luò)���,其中用來(lái)自該邊緣部件的帶有成員網(wǎng)絡(luò)的信息的該表替換該動(dòng)態(tài)部分。85.一種用于管理一機(jī)構(gòu)內(nèi)的策略服務(wù)的系統(tǒng)���,該機(jī)構(gòu)包括一個(gè)具有第一組資源的第一網(wǎng)絡(luò)和一個(gè)遠(yuǎn)離第一網(wǎng)絡(luò)的具有第二組資源的第二網(wǎng)絡(luò)�����,該系統(tǒng)包括和第一網(wǎng)絡(luò)關(guān)聯(lián)的第一邊緣部件����,第一邊緣部件配置成根據(jù)存儲(chǔ)在第一數(shù)據(jù)庫(kù)中的第一策略設(shè)置��,管理用于第一網(wǎng)絡(luò)和第一組資源的策略組�����;和第二網(wǎng)絡(luò)關(guān)聯(lián)的第二邊緣部件,第二邊緣部件配置成根據(jù)存儲(chǔ)在第二數(shù)據(jù)庫(kù)中的第二策略設(shè)置����,管理用于第二網(wǎng)絡(luò)和第二組資源的策略組;以及一個(gè)和第一�����、第二邊緣部件通信的中央策略服務(wù)器����,該中央策略服務(wù)器配置成從單個(gè)地點(diǎn)定義第一和第二策略設(shè)置��,并監(jiān)視第一和第二邊緣部件的健康和狀態(tài)�。86.權(quán)利要求85的系統(tǒng),其中該中央策略服務(wù)器包括一個(gè)日志收集和歸檔模塊����,用于周期地從每個(gè)邊緣部件接收健康和狀態(tài)信息;一個(gè)和該日志收集和歸檔模塊連接的檔案數(shù)據(jù)庫(kù)�����,用于存儲(chǔ)健康和狀態(tài)信息��;以及一個(gè)和該檔案數(shù)據(jù)庫(kù)連接的報(bào)告模塊,用于根據(jù)健康和狀態(tài)信息建立報(bào)告�。87.權(quán)利要求86的系統(tǒng),其中每個(gè)邊緣部件以預(yù)定義的公共日志格式收集和發(fā)送健康和狀態(tài)信息���。88.權(quán)利要求86的系統(tǒng)�,其中健康和狀態(tài)信息包括流過邊緣部件的包的網(wǎng)絡(luò)流信息�����。89.權(quán)利要求88的系統(tǒng)�����,其中每個(gè)邊緣部件保持流過該邊緣部件的包的字節(jié)計(jì)數(shù)��,其中該字節(jié)計(jì)數(shù)是根據(jù)和各包相關(guān)的各資源組織的���。90.權(quán)利要求86的系統(tǒng)��,其中健康和狀態(tài)信息包括每個(gè)邊緣部件的資源組的使用的統(tǒng)計(jì)�����。91.權(quán)利要求90的系統(tǒng)��,其中該報(bào)告指示在一周期時(shí)間內(nèi)與某具體邊緣部件相關(guān)的資源的使用����。92.權(quán)利要求86的系統(tǒng),其中該中央策略服務(wù)器還包括用于確定每個(gè)邊緣部件何時(shí)向日志收集和歸檔模塊發(fā)送健康和狀態(tài)信息的裝置���。93.一種高可用性系統(tǒng)�,包括管理第一網(wǎng)絡(luò)的策略的第一邊緣部件�;管理第二網(wǎng)絡(luò)的策略的第二邊緣部件��;以及一個(gè)和第一����、第二邊緣部件通信的中央策略服務(wù)器,該中央策略服務(wù)器從單個(gè)位置管理第一和第二邊緣部件�����;其中���,該中央策略服務(wù)器和第一�、第二邊緣部件包括第一類單元和第二類單元,每個(gè)第二類單元在第一類單元出故障時(shí)提供對(duì)應(yīng)第一類單元的備份�。94.權(quán)利要求93的系統(tǒng),其中每個(gè)第二類單元初始處于停用狀態(tài)���,每個(gè)第二類單元包括邏輯電路�����,用于檢測(cè)其對(duì)應(yīng)第一類單元的故障��;以及一旦檢測(cè)到故障�����,就從停用狀態(tài)變換到現(xiàn)用狀態(tài)���。95.權(quán)利要求93的系統(tǒng),其中每個(gè)第二類單元包括邏輯電路�,用于承擔(dān)第二類單元角色;搜索對(duì)應(yīng)的第一類單元�����;以及若檢測(cè)到對(duì)應(yīng)的第一類單元�,則初始化為第二類單元�����。96.權(quán)利要求95的系統(tǒng)�����,其中每個(gè)第二類單元還包括邏輯電路用于若未檢測(cè)到第一類單元�,則承擔(dān)第一類單元的角色�����;搜索對(duì)應(yīng)的第二類單元�;以及若檢測(cè)到對(duì)應(yīng)的第二類單元,則初始化為第一類單元���。97.權(quán)利要求96的系統(tǒng),其中每個(gè)第二類單元還包括邏輯電路�,用于若未檢測(cè)到第二類單元,則初始化為第三類單元�。98.權(quán)利要求93的系統(tǒng),還包括用于把每個(gè)第一類單元變換到現(xiàn)用狀態(tài)的裝置�����;用于為每個(gè)第一類單元接收并存儲(chǔ)第一數(shù)據(jù)庫(kù)配置改變的裝置;用于把配置改變發(fā)送到對(duì)應(yīng)的第二類單元的裝置����;以及用于在對(duì)應(yīng)的第二類單元上存儲(chǔ)配置改變的裝置。99.權(quán)利要求98的裝置����,還包括用于把各個(gè)第一類單元變換到停用狀態(tài)的裝置;用于在對(duì)應(yīng)的第一類單元處于停用狀態(tài)時(shí)�,從第二類單元接收并存儲(chǔ)第二數(shù)據(jù)庫(kù)配置改變的裝置;以及用于在第一類單元重新變換到現(xiàn)用狀態(tài)后���,從第二類單元向第一類單元發(fā)送第二數(shù)據(jù)庫(kù)配置改變的裝置�����。100.權(quán)利要求93的系統(tǒng)還包括用于向各個(gè)第一類單元發(fā)送更新信息的裝置���;用于更新各個(gè)第一類單元的裝置;用于從各個(gè)第一類單元向各第二類單元發(fā)送更新信息的裝置���;以及用于更新各個(gè)第二類單元的裝置�。101.在一個(gè)包括具有第一組資源的第一網(wǎng)絡(luò)和遠(yuǎn)離第一網(wǎng)絡(luò)的具有第二組資源的第二網(wǎng)絡(luò)的系統(tǒng)中����,其中第一網(wǎng)絡(luò)和第一邊緣部件及第一數(shù)據(jù)庫(kù)相關(guān)�����,第二網(wǎng)絡(luò)和第二邊緣部件及第二數(shù)據(jù)庫(kù)相關(guān)�����,該系統(tǒng)還包括一個(gè)和第一�����、第二邊緣部件通信的中央策略服務(wù)器�����,一種用于管理該系統(tǒng)內(nèi)的策略服務(wù)的方法包括在第一數(shù)據(jù)庫(kù)中存儲(chǔ)第一策略設(shè)置���;在第二數(shù)據(jù)庫(kù)中存儲(chǔ)第二策略設(shè)置;根據(jù)第一數(shù)據(jù)庫(kù)中存儲(chǔ)的第一策略設(shè)置從第一邊緣部件��,管理用于第一網(wǎng)絡(luò)和第一組資源的策略組�;根據(jù)第二數(shù)據(jù)庫(kù)中存儲(chǔ)的第二策略設(shè)置從第二邊緣部件����,管理用于第二網(wǎng)絡(luò)和第二組資源的策略組���;從該中央策略服務(wù)器在單個(gè)地點(diǎn)上,定義第一�、第二策略設(shè)置,并管理第一����、第二邊緣部件。102.權(quán)利要求101的方法�����,其中策略是防火墻策略���。103.權(quán)利要求101的方法����,其中策略是虛擬專用網(wǎng)絡(luò)策略����。104.權(quán)利要求101的方法,其中該中央策略服務(wù)器包括一個(gè)中央數(shù)據(jù)庫(kù)�,并且該方法還包括在該中央數(shù)據(jù)庫(kù)中存儲(chǔ)第一和第二邊緣部件的配置信息�。105.權(quán)利要求104的方法���,其中配置信息包括第一和第二策略設(shè)置�。106.權(quán)利要求104的方法���,還包括做出第一和第二邊緣部件的配置信息的改變����;并且在該中央數(shù)據(jù)庫(kù)中存儲(chǔ)這些改變的運(yùn)行日志�����。107.權(quán)利要求106的方法��,還包括把改變的運(yùn)行記錄發(fā)送到第一和第二邊緣部件����,用于分別更新第一和第二數(shù)據(jù)庫(kù)。108.權(quán)利要求107的方法�,還包括在成功更新第一和第二數(shù)據(jù)庫(kù)時(shí),從中央數(shù)據(jù)庫(kù)刪除這些改變的運(yùn)行日志���。109.權(quán)利要求104的方法���,其中根據(jù)面向分層對(duì)象的結(jié)構(gòu),組織中央數(shù)據(jù)庫(kù)和第一�、第二數(shù)據(jù)庫(kù)。110.權(quán)利要求109的方法�����,其中該面向分層對(duì)象的結(jié)構(gòu)包括多個(gè)用于定義第一和第二策略設(shè)置的資源對(duì)象和策略對(duì)象��。111.權(quán)利要求110的方法����,其中資源對(duì)象是從由部件、用戶���、主機(jī)��、服務(wù)和時(shí)間構(gòu)成的組中選擇的�����。112.權(quán)利要求110的方法�����,其中中央數(shù)據(jù)庫(kù)和第一���、第二數(shù)據(jù)庫(kù)是輕便目錄訪問協(xié)議(LDAP)數(shù)據(jù)庫(kù)�,其把每個(gè)資源對(duì)象和策略對(duì)象存儲(chǔ)為L(zhǎng)DAP條目���。113.權(quán)利要求101的方法��,還包括從該中央策略服務(wù)器安裝第一和第二邊緣部件���。114.權(quán)利要求101的方法,還包括用該中央策略服務(wù)器注冊(cè)第一和第二部件��。115.權(quán)利要求101的方法�,還包括從該中央策略服務(wù)器監(jiān)視第一和第二邊緣部件的健康和狀態(tài)。116.權(quán)利要求101的方法�,還包括周期地從每個(gè)邊緣部件接收健康和狀態(tài)信息;在一個(gè)檔案數(shù)據(jù)庫(kù)中存儲(chǔ)健康和狀態(tài)信息����;以及根據(jù)健康和狀態(tài)信息建立報(bào)告。117.權(quán)利要求116的方法��,其中每個(gè)邊緣部件以預(yù)定義的公共日志格式收集和發(fā)送健康和狀態(tài)信息。118.權(quán)利要求116的方法�,其中健康和狀態(tài)信息包括網(wǎng)絡(luò)流信息。119.權(quán)利要求116的方法�����,其中健康和狀態(tài)信息包括對(duì)每個(gè)邊緣部件的資源組的使用的統(tǒng)計(jì)��。120.權(quán)利要求101的方法�����,其中每個(gè)邊緣部件包括一個(gè)分類引擎�、一個(gè)策略引擎和一個(gè)包傳送引擎����,用來(lái)把策略組的管理集成到該邊緣部件上,并且對(duì)用于每個(gè)網(wǎng)絡(luò)的策略組的管理還包括利用該分類引擎確定和每個(gè)輸入包相關(guān)的協(xié)議�����;利用該策略引擎根據(jù)和該包相關(guān)的策略設(shè)置�,為該包做出傳送決策;以及利用該包傳送模塊根據(jù)策略設(shè)置傳送包����。121.權(quán)利要求120的方法���,其中每個(gè)邊緣部件包括一個(gè)安全引擎,并且管理用于每個(gè)網(wǎng)絡(luò)的策略組還包括驗(yàn)證發(fā)送該包的用戶����。122.權(quán)利要求120的方法,其中每個(gè)邊緣部件包括一個(gè)統(tǒng)計(jì)模塊�����,并且管理用于每個(gè)網(wǎng)絡(luò)的策略組還包括收集流過邊緣部件的包上的統(tǒng)計(jì)信息��。123.權(quán)利要求101的方法��,其中每個(gè)網(wǎng)絡(luò)都是一個(gè)專用網(wǎng)絡(luò)����,并且每個(gè)邊緣部件都被配置成建立一個(gè)帶有能通過該邊緣部件達(dá)到的成員網(wǎng)絡(luò)的信息的表。124.權(quán)利要求123的方法����,其中第一和第二邊緣部件起動(dòng)在第一和第二專用網(wǎng)絡(luò)之間的安全通信,并且該方法還包括和第二邊緣部件共享第一表���;以及和第一邊緣部件共享第二表�。125.權(quán)利要求123的方法,還包括接收新的路由信息�;把該新的路由信息存儲(chǔ)在第一數(shù)據(jù)庫(kù)中;以及把該新路由信息中的一部分發(fā)送給第二邊緣部件���。126.權(quán)利要求123的方法�����,其中根據(jù)和各成員網(wǎng)絡(luò)相關(guān)的一個(gè)安全策略管理通信。127.權(quán)利要求126的方法�����,還包括為一個(gè)安全策略組定義該安全策略���,提供該組的分層結(jié)構(gòu)的該組包括成員網(wǎng)絡(luò)���、允許訪問成員網(wǎng)絡(luò)的用戶和一條控制對(duì)成員網(wǎng)絡(luò)的訪問的規(guī)則。128.權(quán)利要求127的方法�,其中每個(gè)成員網(wǎng)絡(luò)具有完整的同所有其它成員網(wǎng)絡(luò)一起的連通性,并且該方法還包括為每條連接自動(dòng)配置為該安全策略組定義的安全策略�。129.權(quán)利要求127的方法��,其中該安全策略在成員網(wǎng)絡(luò)之間提供通話加密���,并且該規(guī)則是在成員網(wǎng)絡(luò)之間對(duì)加密通話提供訪問控制的防火墻規(guī)則。130.權(quán)利要求127的方法���,其中該系統(tǒng)還包括用于從遠(yuǎn)程位置訪問各成員網(wǎng)絡(luò)的遠(yuǎn)程用戶終端�����,該方法還包括建立和遠(yuǎn)程終端的通信����;從遠(yuǎn)程終端接收驗(yàn)證信息�����;以及向遠(yuǎn)程終端發(fā)送帶有動(dòng)態(tài)成員網(wǎng)絡(luò)的信息的表���。131.權(quán)利要求130的方法���,還包括自動(dòng)地向遠(yuǎn)程終端發(fā)送該表的更新。132.權(quán)利要求101的方法���,其中該中央策略服務(wù)器和第一�、第二邊緣部件包括第一類單元和第二類單元,每個(gè)第二類單元在第一類單元出故障時(shí)提供對(duì)應(yīng)第一類單元的備份���。133.權(quán)利要求132的方法�,其中每個(gè)第二類單元初始處于停用狀態(tài)���,并且該方法還包括檢測(cè)其對(duì)應(yīng)第一類單元的故障�����;以及一旦檢測(cè)到故障,就從停用狀態(tài)變換到現(xiàn)用狀態(tài)��。134.權(quán)利要求132的方法���,還包括初始化每個(gè)單元��,其中該初始化包括對(duì)該單元分配第二類單元角色��;搜索對(duì)應(yīng)的第一類單元���;以及若檢測(cè)到對(duì)應(yīng)的第一類單元�����,則初始化該單元為第二類單元���。135.權(quán)利要求134的方法,還包括若未檢測(cè)到第一類單元����,就對(duì)該單元分配第一類單元的角色;搜索對(duì)應(yīng)的第二類單元�����;以及若檢測(cè)到對(duì)應(yīng)的第二類單元�����,就初始化該單元為第一類單元����。136.權(quán)利要求135的方法,還包括若未檢測(cè)到對(duì)應(yīng)第二類單元���,就把該單元初始化為第三類單元����。137.權(quán)利要求132的方法,還包括把每個(gè)第一類單元變換到現(xiàn)用狀態(tài)���;為每個(gè)第一類單元接收并存儲(chǔ)第一數(shù)據(jù)庫(kù)配置改變�;把配置改變發(fā)送到對(duì)應(yīng)的第二類單元��;以及在對(duì)應(yīng)的第二類單元上存儲(chǔ)配置改變��。138.權(quán)利要求137的方法����,還包括把各個(gè)第一類單元變換到停用狀態(tài);在對(duì)應(yīng)的第一類單元處于停用狀態(tài)時(shí)�,從第二類單元接收并存儲(chǔ)第二數(shù)據(jù)庫(kù)配置改變;以及在第一類單元重新變換到現(xiàn)用狀態(tài)后��,從第二類單元向第一類單元發(fā)送第二數(shù)據(jù)庫(kù)配置改變�����。139.權(quán)利要求132的方法����,還包括向各個(gè)第一類單元發(fā)送更新信息;更新各個(gè)第一類單元��;從各個(gè)第一類單元向各第二類單元發(fā)送更新信息��;以及更新各個(gè)第二類單元��。140.在一個(gè)包括具有第一組資源的第一網(wǎng)絡(luò)和遠(yuǎn)離第一網(wǎng)絡(luò)的具有第二組資源的第二網(wǎng)絡(luò)的系統(tǒng)中�����,其中第一網(wǎng)絡(luò)和第一邊緣部件及第一數(shù)據(jù)庫(kù)相關(guān)�,第二網(wǎng)絡(luò)和第二邊緣部件及第二數(shù)據(jù)庫(kù)相關(guān),該系統(tǒng)還包括一個(gè)和第一��、第二邊緣部件通信的中央策略服務(wù)器����,該中央策略服務(wù)器和一個(gè)中央數(shù)據(jù)庫(kù)相關(guān),一種用于管理該系統(tǒng)內(nèi)的策略服務(wù)的方法包括在該中央數(shù)據(jù)庫(kù)中存儲(chǔ)第一和第二邊緣部件的配置信息�,該中央數(shù)據(jù)庫(kù)按面向分層對(duì)象的結(jié)構(gòu)組織;在第一數(shù)據(jù)庫(kù)中存儲(chǔ)第一策略設(shè)置�;在第二數(shù)據(jù)庫(kù)中存儲(chǔ)第二策略設(shè)置;根據(jù)第一數(shù)據(jù)庫(kù)中存儲(chǔ)的第一策略設(shè)置從第一邊緣部件����,管理用于第一網(wǎng)絡(luò)和第一組資源的策略組��;根據(jù)第二數(shù)據(jù)庫(kù)中存儲(chǔ)的第二策略設(shè)置從第二邊緣部件�����,管理用于第二網(wǎng)絡(luò)和第二組資源的策略組���;從該中央策略服務(wù)器定義第一、第二策略設(shè)置并管理第一���、第二邊緣部件�。141.權(quán)利要求140的方法���,其中根據(jù)面向分層對(duì)象的結(jié)構(gòu)組織第一和第二數(shù)據(jù)庫(kù)����。142.權(quán)利要求140的方法�����,其中配置信息包括第一和第二策略設(shè)置��。143.權(quán)利要求142的方法�����,其中該面向分層對(duì)象的結(jié)構(gòu)包括多個(gè)用于定義第一和第二策略設(shè)置的資源對(duì)象和策略對(duì)象�。144.權(quán)利要求143的方法,其中中央數(shù)據(jù)庫(kù)和第一����、第二數(shù)據(jù)庫(kù)是輕便目錄訪問協(xié)議(LDAP)數(shù)據(jù)庫(kù),其把每個(gè)資源對(duì)象和策略對(duì)象存儲(chǔ)為L(zhǎng)DAP條目���。145.權(quán)利要求143的方法�����,其中資源對(duì)象是從由部件�、用戶����、主機(jī)、服務(wù)和時(shí)間構(gòu)成的組中選擇的�。146.權(quán)利要求145的方法,其中部件包括第一和第二邊緣部件���,每個(gè)部件和一組用戶和一特定主機(jī)相關(guān)�����。147.權(quán)利要求145的方法��,其中主機(jī)包括第一和第二網(wǎng)絡(luò)��。148.權(quán)利要求143的方法�����,其中策略對(duì)象是從由帶寬����、防火墻、管理和虛擬專用網(wǎng)絡(luò)分組構(gòu)成的組中選擇的�。149.權(quán)利要求148的方法,其中虛擬專用網(wǎng)絡(luò)分組包括和一個(gè)或多個(gè)地點(diǎn)��、用戶和規(guī)則相關(guān)的虛擬專用網(wǎng)絡(luò)����。150.權(quán)利要求149的方法,其中每個(gè)地點(diǎn)包括一個(gè)或多個(gè)在一邊緣部件后面的網(wǎng)絡(luò)���。151.權(quán)利要求149的方法��,其中規(guī)章是對(duì)流過該虛擬專用網(wǎng)絡(luò)的網(wǎng)絡(luò)通話提供訪問控制的防火墻規(guī)則��。152.一種用于選擇性數(shù)據(jù)庫(kù)同步的方法����,包括在一個(gè)中央數(shù)據(jù)庫(kù)中存儲(chǔ)用于一機(jī)構(gòu)內(nèi)的多個(gè)邊緣部件的配置信息��,每個(gè)邊緣部件和該機(jī)構(gòu)內(nèi)的一個(gè)網(wǎng)絡(luò)關(guān)聯(lián)并配置成管理用于該網(wǎng)絡(luò)的各策略���;在一個(gè)從屬數(shù)據(jù)庫(kù)中存儲(chǔ)和一具體邊緣部件相關(guān)的配置信息的一部分�����;以及在該中央數(shù)據(jù)庫(kù)中對(duì)和該具體邊緣部件相關(guān)的配置信息的一部分做出改變�����;建立這些改變的運(yùn)行記錄���;在該中央數(shù)據(jù)庫(kù)中存儲(chǔ)該運(yùn)行記錄;以及根據(jù)這些改變更新該從屬數(shù)據(jù)庫(kù)���。153.權(quán)利要求152的系統(tǒng)����,其中建立改變的運(yùn)行記錄還包括建立用于把該改變和一具體做出該改變的用戶關(guān)聯(lián)的用戶運(yùn)行記錄,該具體用戶和該具體邊緣部件相關(guān)����。154.權(quán)利要求153的方法,還包括根據(jù)該做出改變的具體用戶辨別該具體邊緣部件��。155.權(quán)利要求154的方法�,其中建立改變的運(yùn)行記錄還包括建立用于存儲(chǔ)該具體邊緣部件的改變的部件運(yùn)行記錄。156.權(quán)利要求152的方法�,還包括接收來(lái)自該具體邊緣部件的該傳送的狀態(tài);以及若該狀態(tài)指示成功傳送����,則從中央數(shù)據(jù)庫(kù)刪除該運(yùn)行記錄。157.權(quán)利要求152的方法��,其中該中央數(shù)據(jù)庫(kù)和該從屬數(shù)據(jù)庫(kù)是輕便目錄訪問協(xié)議(LDAP)數(shù)據(jù)庫(kù)���,后者用由特異名標(biāo)識(shí)的LDAP條目存儲(chǔ)配置信息��。158.權(quán)利要求152的方法�,其中該配置信息是策略管理信息。159.在包括著根據(jù)第一策略設(shè)置管理用于第一網(wǎng)絡(luò)的策略組的第一邊緣部件以及根據(jù)第二策略設(shè)置管理用于第二網(wǎng)絡(luò)的策略組的第二邊緣部件的系統(tǒng)中����,該系統(tǒng)還包括一個(gè)與第一、第二邊緣部件通信并配置成從單個(gè)位置定義第一���、第二策略設(shè)置和管理第一、第二邊緣部件的中央策略服務(wù)器���,其中一種用于集成式策略管理的方法包括確定和輸入包相關(guān)的協(xié)議����;根據(jù)和該包相關(guān)的策略設(shè)置���,為該包做出傳送決策�;以及根據(jù)策略設(shè)置傳送包��。160.權(quán)利要求159的方法��,其中該確定還包括在協(xié)議數(shù)據(jù)庫(kù)中存儲(chǔ)協(xié)議對(duì)包流中找到的數(shù)據(jù)模式的映射��;以及把包和該協(xié)議數(shù)據(jù)中存儲(chǔ)的協(xié)議相匹配�����。161.權(quán)利要求159的方法,還包括在一個(gè)資源引擎中保持資源組名對(duì)每個(gè)組內(nèi)的成員的現(xiàn)行映射�����。162.權(quán)利要求161的方法����,還包括在一個(gè)策略緩沖器中存儲(chǔ)為和該包相關(guān)的一個(gè)組而定義的策略設(shè)置。163.權(quán)利要求162的方法���,包括根據(jù)來(lái)自該資源引擎的會(huì)員資格信息把包和該策略規(guī)則組緩沖器中的策略設(shè)置匹配���。164.權(quán)利要求159的方法,還包括驗(yàn)證發(fā)送該包的用戶����。165.權(quán)利要求159的方法,還包括收集流過該邊緣部件的包上的統(tǒng)計(jì)數(shù)據(jù)���。166.權(quán)利要求165的方法���,其中該收集還包括保持對(duì)流過該邊緣部件的包的字節(jié)計(jì)數(shù)���;以及根據(jù)和各包相關(guān)的各資源組織該字節(jié)計(jì)數(shù)。167.在一個(gè)包括和第一專用網(wǎng)絡(luò)連接的第一邊緣部件以及和第二專用網(wǎng)絡(luò)連接的第二邊緣部件的計(jì)算機(jī)網(wǎng)絡(luò)中�����,第一和第二邊緣部件起動(dòng)在第一和第二專用網(wǎng)絡(luò)之間的安全通信����,其中一種用于收集會(huì)員資格信息的方法包括建立帶有可通過第一邊緣部件到達(dá)的成員網(wǎng)絡(luò)的第一表�����;在第一數(shù)據(jù)庫(kù)中存儲(chǔ)第一表��;建立帶有可通過第二邊緣部件到達(dá)的成員網(wǎng)絡(luò)的第二表���;在第二數(shù)據(jù)庫(kù)中存儲(chǔ)第二表�����;和第二邊緣部件共享第一表�;以及和第一邊緣部件共享第二表�。168.權(quán)利要求167的方法����,還包括接收新的路由信息���;在第一數(shù)據(jù)庫(kù)中存儲(chǔ)該新的路由信息����;以及把該新的路由信息的一部分發(fā)送給第二邊緣部件��。169.權(quán)利要求168的方法����,其中該一部分的新的路由信息是路由名。170.權(quán)利要求168的方法����,還包括接收該一部分的新的路由信息;根據(jù)該一部分的新的路由信息訪問第一數(shù)據(jù)庫(kù)���;從第一數(shù)據(jù)庫(kù)檢索該新的路由信息����;以及在第二數(shù)據(jù)庫(kù)中存儲(chǔ)檢索到的路由信息。171.權(quán)利要求167的方法��,其中在第一和第二網(wǎng)絡(luò)之間的通信是根據(jù)和這些網(wǎng)絡(luò)相關(guān)的安全策略管理的��。172.權(quán)利要求171的方法���,還包括為一個(gè)安全組而定義該安全策略�,該組為包括成員網(wǎng)絡(luò)�、允許訪問成員網(wǎng)絡(luò)的用戶和一條控制對(duì)成員網(wǎng)絡(luò)的訪問的規(guī)則的組而提供分層結(jié)構(gòu)。173.權(quán)利要求172的方法���,其中每個(gè)成員網(wǎng)絡(luò)具有與所有其它成員網(wǎng)絡(luò)一起的完全的連通性����,并且為每條連接自動(dòng)配置為該安全策略組而定義的安全策略����。174.權(quán)利要求172的方法��,其中該安全策略提供在成員網(wǎng)絡(luò)間的通話的加密��,并且該規(guī)則是對(duì)在成員網(wǎng)絡(luò)間的加密通話提供訪問控制的防火墻規(guī)則���。175.在一個(gè)包括一個(gè)和一個(gè)專用網(wǎng)絡(luò)連接的邊緣部件的計(jì)算機(jī)網(wǎng)絡(luò)中�,該邊緣部件包括一個(gè)帶有可通過該邊緣部件達(dá)到的成員網(wǎng)絡(luò)的信息的表,一種向遠(yuǎn)程用戶終端提供成員網(wǎng)絡(luò)的信息的方法�����,該方法包括建立和該邊緣部件的通信����;向該邊緣部件發(fā)送驗(yàn)證信息;以及下載一個(gè)客戶軟件供在該遠(yuǎn)程用戶終端上安裝和執(zhí)行�,該客戶軟件允許和能通過該邊緣部件達(dá)到的成員網(wǎng)絡(luò)通信,該客戶軟件還允許下載該帶有成員網(wǎng)絡(luò)的信息的表���。176.權(quán)利要求175的方法�����,還包括自動(dòng)地從邊緣部件接收該表的更新���。177.權(quán)利要求175的方法,其中該客戶軟件包括一個(gè)靜態(tài)部分和一個(gè)動(dòng)態(tài)部分����,該靜態(tài)部分包括一個(gè)可執(zhí)行的設(shè)置文件�,而該動(dòng)態(tài)部分包括一個(gè)用專用于該正下載的遠(yuǎn)程用戶終端的信息來(lái)替代的樣板���,并且該方法還包括用來(lái)自該邊緣部件的帶有成員網(wǎng)絡(luò)的信息的該表替換該動(dòng)態(tài)部分�。178.在一個(gè)包括具有第一組資源的第一網(wǎng)絡(luò)和遠(yuǎn)離第一網(wǎng)絡(luò)的具有第二組資源的第二網(wǎng)絡(luò)的系統(tǒng)中�����,其中第一網(wǎng)絡(luò)和第一邊緣部件及第一數(shù)據(jù)庫(kù)相關(guān)��,第二網(wǎng)絡(luò)和第二邊緣部件及第二數(shù)據(jù)庫(kù)相關(guān)���,該系統(tǒng)還包括一個(gè)和第一����、第二邊緣部件通信的中央策略服務(wù)器�����,該中央策略服務(wù)器和一個(gè)中央數(shù)據(jù)庫(kù)關(guān)聯(lián)���,一種用于管理該系統(tǒng)內(nèi)的策略服務(wù)的方法包括在該中央數(shù)據(jù)庫(kù)中存儲(chǔ)第一和第二邊緣部件的配置信息;在第一數(shù)據(jù)庫(kù)中存儲(chǔ)第一策略設(shè)置�����;在第二數(shù)據(jù)庫(kù)中存儲(chǔ)第二策略設(shè)置;根據(jù)第一數(shù)據(jù)庫(kù)中存儲(chǔ)的第一策略設(shè)置從第一邊緣部件�����,管理用于第一網(wǎng)絡(luò)和第一組資源的策略組�;根據(jù)第二數(shù)據(jù)庫(kù)中存儲(chǔ)的第二策略設(shè)置從第二邊緣部件,管理用于第二網(wǎng)絡(luò)和第二組資源的策略組����;從該中央策略服務(wù)器定義第一、第二策略設(shè)置�����,并監(jiān)視第一�、第二邊緣部件的健康和狀態(tài)。179.權(quán)利要求178的方法�����,其中該監(jiān)視還包括周期地從每個(gè)邊緣部件接收健康和狀態(tài)信息�����;在一個(gè)檔案數(shù)據(jù)庫(kù)中存儲(chǔ)健康和狀態(tài)信息;以及根據(jù)健康和狀態(tài)信息建立報(bào)告����。180.權(quán)利要求179的方法,其中每個(gè)邊緣部件以預(yù)定義的公共日志格式收集和發(fā)送健康和狀態(tài)信息��。181.權(quán)利要求179的方法�����,其中健康和狀態(tài)信息包括網(wǎng)絡(luò)流信息��。182.權(quán)利要求181的方法�����,還包括保持流過該邊緣部件的包的字節(jié)計(jì)數(shù)�����;和根據(jù)和各包關(guān)聯(lián)的各資源組織字節(jié)計(jì)數(shù)��。183.權(quán)利要求179的方法��,其中健康和狀態(tài)信息包括每個(gè)邊緣部件的資源組的使用的統(tǒng)計(jì)����。184.權(quán)利要求183的方法,其中該報(bào)告指示在一周期時(shí)間內(nèi)與某具體邊緣部件相關(guān)的資源的使用����。185.權(quán)利要求179的方法,其中該監(jiān)測(cè)還包括確定每個(gè)邊緣部件何時(shí)向日志收集和歸檔模塊發(fā)送健康和狀態(tài)信息�����。186.在一個(gè)包括管理第一網(wǎng)絡(luò)的策略組的第一邊緣部件�、管理第二網(wǎng)絡(luò)的策略組的第二邊緣部件以及一個(gè)和第一、第二邊緣部件通信的中央策略服務(wù)器的系統(tǒng)中����,該中央策略服務(wù)器從單個(gè)位置管理第一和第二邊緣部件,其中使用一種用于避免該中央策略服務(wù)器和第一�����、第二邊緣部件之中的單點(diǎn)故障的方法��,該方法包括保持用于該中央策略服務(wù)器以及第一����、第二邊緣部件的第一單元組�����;保持用于該中央策略服務(wù)器以及第一����、第二邊緣部件的第二單元組��,每個(gè)第二類單元充當(dāng)對(duì)應(yīng)第一類單元的備份�����,每個(gè)第二類單元初始處于停用狀態(tài)��;檢測(cè)一個(gè)第一類單元的故障���;以及一旦檢測(cè)到故障����,就把對(duì)應(yīng)的備份部件從停用狀態(tài)變換到現(xiàn)用狀態(tài)����。187.權(quán)利要求186的方法,還包括承擔(dān)第二類單元角色;搜索對(duì)應(yīng)的第一類單元���;以及若檢測(cè)到對(duì)應(yīng)的第一類單元,就初始化為第二類單元���。188.權(quán)利要求187的方法��,還包括若未檢測(cè)到第一類單元����,就承擔(dān)第一類單元的角色���;搜索對(duì)應(yīng)的第二類單元���;以及若檢測(cè)到對(duì)應(yīng)的第二類單元,就初始化為第一單元���。189.權(quán)利要求188的方法��,還包括若未檢測(cè)到對(duì)應(yīng)的第二類單元�,就初始化為第三類單元�。190.權(quán)利要求186的方法,還包括把每個(gè)第一類單元變換到現(xiàn)用狀態(tài)����;為每個(gè)第一類單元而接收并存儲(chǔ)第一數(shù)據(jù)庫(kù)的配置改變����;把配置改變發(fā)送到對(duì)應(yīng)的第二類單元�����;以及在對(duì)應(yīng)的第二類單元上存儲(chǔ)配置改變�����。191.權(quán)利要求190的方法�����,還包括把各個(gè)第一類單元變換到停用狀態(tài)���;在對(duì)應(yīng)的第一類單元處于停用狀態(tài)時(shí)從第二類單元接收并存儲(chǔ)第二數(shù)據(jù)庫(kù)的配置改變���;以及在第一類單元重新變換到現(xiàn)用狀態(tài)后,從第二類單元向第一類單元發(fā)送第二數(shù)據(jù)庫(kù)配置改變����。192.權(quán)利要求186的方法�,還包括向各個(gè)第一類單元發(fā)送更新信息����;更新各個(gè)第一類單元;從各個(gè)第一類單元向各第二類單元發(fā)送更新信息�����;以及更新各個(gè)第二類單元�����。全文摘要一種用于一機(jī)構(gòu)的統(tǒng)一式策略管理系統(tǒng)包括一個(gè)中央策略服務(wù)器和多個(gè)位于遠(yuǎn)處的策略實(shí)施器�����。按附帶著面向分層對(duì)象的結(jié)構(gòu)的LDAP數(shù)據(jù)庫(kù)�,配置存儲(chǔ)著策略設(shè)置的中央數(shù)據(jù)庫(kù)以及各策略實(shí)施器數(shù)據(jù)庫(kù)�。這種結(jié)構(gòu)能以直觀及可擴(kuò)展的方式定義策略設(shè)置。把在中央策略服務(wù)器上作出的策略設(shè)置改變直接傳送給策略實(shí)施器以更新它們各自的數(shù)據(jù)庫(kù)�����。每個(gè)策略實(shí)施器以預(yù)定義的日志格式收集健康和狀態(tài)信息,并發(fā)送給策略服務(wù)器以便由策略服務(wù)器有效監(jiān)視�����。為了更高的效率����,有效地分割策略實(shí)施器的策略實(shí)施功能,從而易于用硬件實(shí)現(xiàn)���。該系統(tǒng)還提供動(dòng)態(tài)路由的各VPN����,其中自動(dòng)建立各VPN會(huì)員資格表并和成員策略實(shí)施器共享它們�����。還自動(dòng)地向遠(yuǎn)程VPN客戶傳送對(duì)這些會(huì)員資格表的更新�����。通過允許定義VPN內(nèi)的防火墻規(guī)則組����,該系統(tǒng)還對(duì)VPN中的通話提供細(xì)粒度訪問控制�。另外�,通過在主單元外還保持一個(gè)備份單元,可高可用性地配置策略服務(wù)器和策略實(shí)施器�。一旦主單元出故障,備份單元就變?yōu)楝F(xiàn)用����。文檔編號(hào)H02H3/05GK1483270SQ00801378公開日2004年3月17日申請(qǐng)日期2000年6月12日優(yōu)先權(quán)日1999年6月10日發(fā)明者馬哈德萬(wàn)·伊耶,馬哈德萬(wàn)伊耶,P卡爾,雷赫爾·P·卡爾,V伊耶,尚克·V·伊耶,拉沙,雷詹德拉·沙,尤德亞庫(kù)馬·沙納干,庫(kù)馬沙納干,阿普斯尼,拉文亞·阿普斯尼,亨特,威廉·亨特,K珍,赫門特·K·珍,潘卡·馬爾維亞,馬爾維亞,珍,蘇拉布·珍申請(qǐng)人:阿爾卡塔爾互聯(lián)網(wǎng)運(yùn)行公司