專利名稱：用于基于抽象的安全設(shè)定在面向分組的網(wǎng)絡(luò)中設(shè)置分布式過濾器的方法
用于基于抽象的安全設(shè)定在面向 分組的網(wǎng)絡(luò)中設(shè)置分布式過濾器的方法
本申請主題涉及一種在面向分組的異構(gòu)網(wǎng)絡(luò)中高效分布的過濾器的自動化 開發(fā)和艦。
本申請主題涉及一種具有權(quán)利要求1的特征的用于基于抽象安全設(shè)定在面 向分組的網(wǎng)絡(luò)中設(shè)置分布式過濾器的方法。
在與其他網(wǎng)絡(luò)相連接的面向分組的網(wǎng)絡(luò)(比如以太網(wǎng)或者！P網(wǎng))中，必
須^^，機制，以便
〈尉戶網(wǎng)絡(luò)的終端用戶免受經(jīng)由網(wǎng)絡(luò)的攻擊(比如病毒、蠕蟲、對計算機 的入侵嘗試、分布式拒纟刨艮務(wù)(Distributed Denial of Service) (D)DOS)，
〈，網(wǎng)絡(luò)元件免受攻擊。
對此在網(wǎng)絡(luò)的所選擇的位置處^ffl所謂的防火墻，但是也可以在路由器、 業(yè)務(wù)服務(wù)器(比如軟交換機(Softswitch))或者以太網(wǎng)交換機(數(shù)字用戶線接 入模塊(Digital Subscriber Line Access Modul) DSLAM)中配置分組過濾器。
所有這些過濾器的配置應(yīng)該相互協(xié)調(diào)，以便
沒有網(wǎng)絡(luò)元件未受保護，也就是說，真正達到了保護目標，
不能使用一個網(wǎng)絡(luò)元件的錯誤配置來繞開其他網(wǎng)絡(luò)元件的過濾器，
嗜異構(gòu)網(wǎng)絡(luò)中在倉,支持相應(yīng)功能的這些網(wǎng)絡(luò)元件上酉還過濾器，
，在網(wǎng)絡(luò)元件中不必配置多于該網(wǎng)絡(luò)元件所能夠支持的過濾器(或者由于
硬極限、比如表格淑據(jù)大小的極限，或者出于性能的原因)， *不是不必要冗余地和多次地實施功能。
配置的協(xié)調(diào)、相應(yīng)配置文件的創(chuàng)建以及配置的實施現(xiàn)今手動地來實施。存 在一種管理系統(tǒng)，所述管理系統(tǒng)為一類網(wǎng)絡(luò)元件(比如為在網(wǎng)絡(luò)中制造商的防 火墻)掛共一種協(xié)調(diào)的配置。
基于本申請主題的問題在于，實現(xiàn)一種系統(tǒng)，戶;M系統(tǒng)針對多類網(wǎng)絡(luò)元件、
針對不同制造商的元件并且禾傭?qū)δ芊峙涞淖詣觾?yōu)化來實現(xiàn)協(xié)調(diào)配置。 該問MMil權(quán)利要求1的特征得以解決。
網(wǎng)絡(luò)運營商不必手動地建立安全功能的費時且含有錯誤的配置。網(wǎng)絡(luò)運營 商不必手動嘗i站網(wǎng)絡(luò)元件戰(zhàn)當?shù)胤峙涔δ堋?br> 本申請主題的有利M方案在從屬權(quán)利要求中說明。
本申請主題下面作為實施例 理解所必要的范圍中借助于附圖進一步被 闡述。其中


圖1示出用于，接入安全設(shè)定(Zugang-Sicherhdts-Voigabe)的根據(jù)本發(fā) 明的布置，禾口
圖2示出用于在網(wǎng)絡(luò)中設(shè)置接入安全設(shè)定的布置的實施。
圖2示出由節(jié)點/網(wǎng)絡(luò)元件構(gòu)成的網(wǎng)絡(luò)的示意圖，戶;M網(wǎng)絡(luò)具有管理系統(tǒng)。
網(wǎng)絡(luò)元件可以根據(jù)硬件平臺、操作系統(tǒng)、安裝的過濾^/安裝的過濾軟件并且另
外還根據(jù)軟件的安飄本而有所區(qū)別，由此網(wǎng)絡(luò)具有異構(gòu)結(jié)構(gòu)。
圖1示出用于具有接入安全設(shè)定執(zhí)行點APEP(access policy enforcement point
(接入策略執(zhí)行點))的網(wǎng)絡(luò)與網(wǎng)絡(luò)管理裝置NM和接入安全設(shè)定設(shè)置點 APCP(access policy configuration point (接入策略配置點))共同作用的原理布置。 根據(jù)網(wǎng)絡(luò)管理控制裝置NMC(Netwoik-management-Control)的控制，網(wǎng)絡(luò)查明 裝置ND(Network-Discovety (網(wǎng)絡(luò)發(fā)現(xiàn)))分析網(wǎng)絡(luò)的結(jié)構(gòu)并將結(jié)鵬交到拓撲 數(shù)據(jù)庫TOB(Topobgy-Data-Base)中。在接入安全設(shè)定設(shè)置點中，在開始(開始) 時在作用點rTOB (Import Technology Data Base (輸入技術(shù) 庫))中^^自 于網(wǎng)絡(luò)管理的拓撲數(shù)據(jù)庫的數(shù)據(jù)可供使用。在決策點CTDB(Capabilities in Topology-Data Base (在拓撲數(shù)據(jù)庫中的能力))詢問對于各個網(wǎng)絡(luò)元件，其
安全措施的能力是否已被存儲。
如果在決策點CTOB中的詢問是肯定的(是)，那么在作用點PFP(Parfh Filter
Policy (路徑過濾器策略))中在考慮從外部所提供的安全準則Polcfg (Policy Configuration (策略配置))的情況下創(chuàng)建準則的形式皿。在作用場CC (Call Classifier (呼叫分類器))中在考慮現(xiàn)有的接入設(shè)定的情況下創(chuàng)建有利^iS—步 處理的相關(guān)網(wǎng)絡(luò)元件的列表。功能"呼叫分類器"比如向分配設(shè)定"所有路由 器"提供一組ff地址和接口名稱，其中該功能詢問拓撲數(shù)據(jù)庫，以便得到所 需的IP地址。比如設(shè)定"所有路由器禾嵴翻艮務(wù)器"被轉(zhuǎn)換為10.0.0/8和IO丄I。
在此情況下，前綴以有利的方式被結(jié)合，以便為"所有路由器"獲得有效力的 描述。在作用點ppS (Parth Protokoll Specification (路徑協(xié)議規(guī)范))中，協(xié)議
規(guī)范數(shù)據(jù)庫Protocfg被詢問，以便為例如"關(guān)于管理協(xié)議"的得到有利的表達，這是必須根據(jù)所使用的協(xié)議被證實的不變的設(shè)定。在作用場(Aktionsfdd) CFL (Computed Filter Location (計算機過濾器定位))中最好的過濾器安放 (Filter-Plazierung)被確定，所述過濾器安放適用于特定的分組流。在受接入
控制的分組流所流經(jīng)的路徑可能隨著網(wǎng)絡(luò)內(nèi)部路由的改變而改變之后，CFL考 慮多個路徑并且將另外的過濾 加到其他節(jié)點。過濾器安放功能可以給出關(guān) 于所建議的配置的安全特性的估計，此外估計所述特性在路由變化時是如何改 變。在作用點"過濾器語法確定"CFS (Compute Filter Syntax (計算過濾器語 法))中，禾,語^W庫SDB (Syntax Data Base)的支持，為布置有過濾器的各個節(jié)點的平臺和操作系統(tǒng)確定正確的語》封見范，以便使迄今還不完全的過 濾器語句轉(zhuǎn)換成真正的、MX作的過濾器規(guī)則。對此可以有利地^ffi XML樣 式表格式化，用于轉(zhuǎn)換成正確的語對見則。在作用點EPS (Export Filter Statement (輸出過濾器語句))中，正確的語法過濾器規(guī)則在網(wǎng)絡(luò)管理的拓撲數(shù)據(jù)庫中 被給出，從那里所述正確的語法過濾器規(guī)則通過節(jié)點配置裝置NC (Note Configurator (節(jié)點配置器))被轉(zhuǎn)發(fā)到各個節(jié)點，在那里實施過濾器規(guī)則。
根據(jù)本發(fā)明的系統(tǒng)允許網(wǎng)絡(luò)運營商以一種抽,達來設(shè)定安全準則，并且所述系統(tǒng)于是
,在對網(wǎng)絡(luò)酉遭和現(xiàn)有網(wǎng)絡(luò)元件分析之后，
*將該安全準則的實現(xiàn)自動地映射到不同的網(wǎng)絡(luò)元件的可能性上，
，如此優(yōu)化在不同的網(wǎng)絡(luò)元件中不同的安全功能的分配，使得(1)達到了 保護目標，(2)沒有網(wǎng)絡(luò)元件獲得太多的配置項，(3)不以冗余的方式實施功 能。
比如從網(wǎng)絡(luò)管麟統(tǒng)NM纟娘系統(tǒng)樹共網(wǎng)鄉(xiāng)述(拓樸、地址、網(wǎng)絡(luò)元件)。 此外所述系統(tǒng)需要一種鵬t規(guī)定(Abbildungsvorschrift)，所述,規(guī)定一般說 明哪個網(wǎng)絡(luò)元件支持哪些功能(比如分組過濾器、狀態(tài)防火墻、MAC地址層面上的過濾)。此外該系統(tǒng)包含映射規(guī)定用于以相應(yīng)的配置語言(比如用于像 Cisco的路由器、Juniper M/T、 Juniper E、 Siemens的以太網(wǎng)交換機、Checkpoint的防火墻等等的不同網(wǎng)絡(luò)元件的命令行界面CLI)來配置網(wǎng)絡(luò)元件的功能。
該系統(tǒng)在第一步驟中從安全準則的抽,達中創(chuàng)建該準則的形式表達，然后優(yōu)化在網(wǎng)絡(luò)元件上的功能分配，并最終為每個網(wǎng)絡(luò)元件以其配置語言創(chuàng)建配
置文件。
選項和擴展
a-設(shè)定具有優(yōu)先級的網(wǎng)絡(luò)元件的分類，哪種功能應(yīng)該優(yōu)選地在哪種網(wǎng)絡(luò)元
件中被執(zhí)行，
b.設(shè)定映射功能，所述映射功能在優(yōu)化的目標功能的意義上根據(jù)關(guān)于其極 P樹過濾器表格的相關(guān)填充、和/或根據(jù)過濾器操作和規(guī)則的數(shù)量來說明品質(zhì)， c-自動計算質(zhì)量函數(shù)，用于基于已生成的配置來im保護目標的達到程度， d-^ffl選項c中的質(zhì)量函數(shù)作為優(yōu)化的目標功能。
e通過該系統(tǒng)或^ma戶膽接的網(wǎng)絡(luò)管理系統(tǒng)自動地配置，
f-能夠有針對性地暫時去活安全準則的分量并且自動地創(chuàng)建相應(yīng)的配置命
令，
g-以以下標準來設(shè)定現(xiàn)有的配置，即以相比于現(xiàn)有的配置盡可能少的變化 來實施保護目標，
h-使該系統(tǒng)與用于自動生成艦計戈啲系統(tǒng)相結(jié)合，
M吏用用于以優(yōu)化的方式安置例如防火墻系統(tǒng)的系統(tǒng)(用于提供安全功能 的網(wǎng)絡(luò)規(guī)改ij)，
j在網(wǎng)絡(luò)中4頓該系統(tǒng)，在臓網(wǎng)絡(luò)中將只酉讚以太網(wǎng)交換機或者只配置正 路由器。
k與用于在預(yù)先規(guī)定的安全準則方面對配置進行自動形式驗證的系統(tǒng)相結(jié)
合，
L通過一種機制實5I^項c和d，所述機制基于拓撲學把所有可設(shè)想的路 徑組合在一起并且根據(jù)在這個路徑上的網(wǎng)絡(luò)元件的能力針對過濾器的所有可能 組合ifj介解的質(zhì)量(GUte)，
m-利用用于限制解空間的適當?shù)膇娥學來實I鵬項L
權(quán)利要求
1.用于基于安全設(shè)定在面向分組的網(wǎng)絡(luò)中設(shè)置分布式過濾器的方法，-根據(jù)預(yù)先規(guī)定的形式表達的安全設(shè)定來選擇網(wǎng)絡(luò)的對此相關(guān)網(wǎng)絡(luò)元件，-提供網(wǎng)絡(luò)元件的安全特性，-針對分組流對網(wǎng)絡(luò)元件定位，所述網(wǎng)絡(luò)元件提供安全設(shè)定的轉(zhuǎn)換，-在所定位的網(wǎng)絡(luò)元件中，激活對應(yīng)于安全設(shè)定的過濾器。
全文摘要
為面向分組的網(wǎng)絡(luò)建議了一種方法，所述方法在對網(wǎng)絡(luò)配置和現(xiàn)有的網(wǎng)絡(luò)元件分析之后，將預(yù)先規(guī)定的安全準則的實現(xiàn)自動地映射到不同網(wǎng)絡(luò)元件的可能性上，如此優(yōu)化在不同的網(wǎng)絡(luò)元件中不同安全功能的分配，使得(1)達到保護目標，(2)沒有網(wǎng)絡(luò)元件獲得過多的配置項，(3)不以冗余的方式實施功能。
文檔編號H04L29/06GK101116307SQ200680001998
公開日2008年1月30日 申請日期2006年1月5日 優(yōu)先權(quán)日2005年1月10日
發(fā)明者B·托德特曼, J·查辛斯基 申請人:諾基亞西門子通信有限責任兩合公司