CN1483270A - 基于策略的网络体系结构 - Google Patents
基于策略的网络体系结构 Download PDFInfo
- Publication number
- CN1483270A CN1483270A CNA008013780A CN00801378A CN1483270A CN 1483270 A CN1483270 A CN 1483270A CN A008013780 A CNA008013780 A CN A008013780A CN 00801378 A CN00801378 A CN 00801378A CN 1483270 A CN1483270 A CN 1483270A
- Authority
- CN
- China
- Prior art keywords
- network
- edge member
- strategy
- database
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/22—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/02—Standardisation; Integration
- H04L41/0233—Object-oriented techniques, for representation of network management data, e.g. common object request broker architecture [CORBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0893—Assignment of logical groups to network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0894—Policy-based network configuration management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/22—Alternate routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/58—Association of routers
- H04L45/586—Association of routers of virtual routers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/20—Traffic policing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2441—Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/41—Flow control; Congestion control by acting on aggregated flows or links
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4523—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using lightweight directory access protocol [LDAP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
- H04L69/32—Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
- H04L69/322—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
- H04L69/329—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/40—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass for recovering from a failure of a protocol instance or entity, e.g. service redundancy protocols, protocol state redundancy or protocol service redirection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/40—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using virtualisation of network functions or resources, e.g. SDN or NFV entities
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Abstract
一种用于一机构的统一式策略管理系统包括一个中央策略服务器和多个位于远处的策略实施器。按附带着面向分层对象的结构的LDAP数据库,配置存储着策略设置的中央数据库以及各策略实施器数据库。这种结构能以直观及可扩展的方式定义策略设置。把在中央策略服务器上作出的策略设置改变直接传送给策略实施器以更新它们各自的数据库。每个策略实施器以预定义的日志格式收集健康和状态信息,并发送给策略服务器以便由策略服务器有效监视。为了更高的效率,有效地分割策略实施器的策略实施功能,从而易于用硬件实现。该系统还提供动态路由的各VPN,其中自动建立各VPN会员资格表并和成员策略实施器共享它们。还自动地向远程VPN客户传送对这些会员资格表的更新。通过允许定义VPN内的防火墙规则组,该系统还对VPN中的通话提供细粒度访问控制。另外,通过在主单元外还保持一个备份单元,可高可用性地配置策略服务器和策略实施器。一旦主单元出故障,备份单元就变为现用。
Description
本发明涉及计算机网络,更具体地,涉及用于为因特网上的远程专用网络提供有效、综合和可伸缩的策略管理服务的设备和方法。
计算机和计算机网络的发展和扩散允许企业有效地和自己的各部门以及其商业伙伴、顾客、供应商通信。然而,由这些计算机和计算机网络提供的灵活性和效率也带来增多的风险,包括来自公司外部的安全破坏、要害信息意外从内部逸出和不恰当地使用LAN、WAN、因特网或外联网。
在管理计算机网络的发展以及解决各种安全问题中,网络管理员经常依赖网络策略管理服务,例如防火墙保护、网络地址转换、电子邮件过滤、DNS高速缓存、Web高速缓存、虚拟专用网(VPN)结构和安全以及URL阻塞,以便避免网络用户通过利用机构的ISP访问某些Web站点。然而每种策略管理服务一般需要单独部件,并需要对后者配置、管理和监视。此外,随着机构扩大并散布在多个地点,要保持的部件随之增多,从而增加配置、管理和监视这些部件的相关开销和工作量。
该问题的解决办法并不是简单地在每个地点把多个网络策略管理功能集成到单个部件中并且让每个地点和其它地点共享它的策略信息。事实上,在采纳这样的方法中存在许多障碍和挑战。例如,用来有效地在整个机构的各远程专用网络上规定并分发策略管理信息的方法一般需要一个良好设计的对象模型。在更新策略管理信息下同步机构内的多个数据库也可能是一个复杂问题。另外,有效地为机构中的各远程部件而管理策略信息可能存在着挑战。此外,从大型分布式策略管理系统的各远程专用网络上收集日志和统计信息以进行有效分析和报告生成通常是一项困难的任务。常规地,仅记录并保存原始包信息,因为产生有意义的报告和统计通常需要在原始数据上脱机地运行耗时的专门生成的程序。
在提供一个统一的策略管理系统中还存在其它挑战。为了提高好处,应尽可能多地在硬件中实现这些统一的策略管理功能。然而,在芯片上实现策略管理典型地需要有效的设计分解。另外,统一式策略管理系统应允许对延伸到不同远程地点的虚拟专用网络有效地进行配置、管理和更新。
从而,在技术上仍需要一种克服现有技术的这些以及其它障碍的网络管理解决办法。
本发明的目的是提供一种统一式策略管理系统,其中可从单个地点建立和实施各种策略,即确定网络运行的规则组和指令组。依据本发明的一实施例,该系统包括一个和具有第一组资源的第一网络相关的第一边缘部件,其配置成根据第一数据库中存储的策略设置来管理用于第一网络的各策略。该系统还包括一个和具有第二组资源的第二网络相关的第二边缘部件,其配置成根据第二数据库中存储的策略设置来管理用于第二网络的各策略。第一和第二边缘部件充当它们各自网络的策略实施器。所实施的策略可包括防火墙策略、VPN策略等。
该系统还包括一个和第一、第二边缘部件通信的中央策略服务器。该策略服务器配置成定义第一和第二策略设置和从单个位置管理第一和第二边缘部件。从而,网络管理员在逐个配置和管理策略实施器时不必增加工作量和相关的开销。
在各替代实施例中,该统一式策略管理系统包括下述特征中的一个或多个特征:
该中央策略服务器可包括一个用于存储各策略实施器的配置信息的中央数据库。该中央数据库以及和各策略实施器相关的数据库是根据面向分层对象结构组织的轻便目录访问协议(LDAP)数据库。该结构包括用于定义策略实施器的策略设置的资源对象和策略对象。这种结构由于允许以直观和可扩充的方式定义和组织该策略管理系统的不同单元而有助于简化策略管理。
依据本发明的一实施例,资源对象包括部件、用户、主机、服务和时间。部件是在某具体专用局部网的边缘处的策略实施器。每个部件和一些用户及一个主机相关。主机是机构内的一个网络(例如,LAN子网)。各服务反映由策略服务器提供的各种服务(例如,HTTP、TELNET、FTP)。时间是控制对网络资源的访问中的另一个维。
中央数据库存储用于所有策略实施器的配置信息,其中包括策略设置。当对该配置信息做出改变时,策略服务器建立这些改变的记录并存储在中央数据库中供以后传送到策略实施器之用。当策略实施器接收改变记录时,它们相应地更新各自的数据库并对策略服务器指明更新是否成功。若成功,则从中央数据库删除和这些策略实施器对应的改变记录。
中央策略服务器还可包括一组用户应用模块,用于允许诸如网络管理员的用户定义用于策略实施器的策略设置,并且进而从该单个位置管理各策略实施器。策略设置最好和多个包含部件、用户、主机、服务和时间的资源对象关联。
在本发明的一个方面中,该应用模块组包括一个集中式管理子模块,其用于允许借助该中央策略服务器安装和登记策略实施器。
在本发明的另一个方面中,该应用模块组包括一个策略管理子模块,其用于从该单个位置管理和检查资源对象。
在本发明的再一个方面中,该策略服务器包括一组用户应用模块以允许用户监视策略实施器的健康和状态。每个策略实施器按预定义的公用记录格式收集健康和状态信息并把它发送到该策略服务器。策略服务器可根据该信息建立各种报告。从而应理解本发明允许在传输中监视该机构中的资源,进而产生本发明优于现有技术的优点,现有技术通常只收集原始数据从而需要乏味的报告生成。
还可分解策略实施器在实施各自网络的策略上的功能性,以便有效地进行硬件实现。依据本发明的一实施例,每个边缘部件最好包含多个模块,该模块包括分类引擎、策略引擎和包发送引擎。分类引擎确定和输入包相关的协议。策略引擎根据和包关联的策略设置为包做出发送决策。接着包发送模块根据该策略设置发送包。
在一些替代实施例中,模块还包括一个用于认证用户发送包的安全引擎和/或一个用于收集流过策略实施器的包的统计信息的统计模块。
该系统中的各个网络还可构成专用网络,并且和专用网络相关的每个策略实施器可配置成,建立一个带有通过该策略实施器可到达的成员网络的信息的表。然后该表和VPN中的其它成员策略实施器共享。这允许建立动态编辑其成员表的各个VPN。
在本发明的一个特别方面中,根据和成员网络组相关的安全策略,管理第一和第二专用网络之间的通信。该安全策略最好是为一称为VPN云(Cloud)的安全策略组而确定的,以提供该组的层次结构。VPN云包括成员网络(主机)、准许访问各成员网络的用户组,以及一条控制对成员网络的访问的规则。从而由VPN云提供的分层结构允许网络管理员建立完整的格网VPN,其中某VPN云内的每个地点和每个其它地点具有完整的可连性。网络管理员不再需要人工配置VPN中每个可能的连接,而是只要建立一个VPN云和规定和该VPN相关的地点、用户和规则。然后根据为该VPN云规定的配置来配置每个连接。从而该分层结构有利于建立带有大量地点的VPN。
在本发明的另一个方面中,VPN中的规则是对成员网络之间的通话提供访问控制的防火墙规则。这样的防火墙规则能使管理员对流过该VPN的通信具有粒度良好的访问控制,所有控制都在该VPN提供的加密访问的范围内。
在本发明的再一个方面中,远程用户从远程位置利用远程用户终端访问各成员网络。该终端配置着用于从和其连接的边缘部件下载带有动态会员资格信息的表的软件。还自动地在不必重新配置终端的情况下,向远程用户终端发送对会员资格信息的更新。
通过在第一类单元(主单元)之外保持第二类单元(备用单元)以防止单点故障,还可以以高使用性配置策略服务器、策略实施器和其它网络部件。在本发明的一个方面中,备用单元最初处于待用状态并且一旦检测出主单元出故障就转成激活状态。
在本发明的另一个方面中,在初始化期间每个高使用性的部件把自己的状态显示为主单元、备用单元或独立单元(第三类单元)。
在本发明的又一个方面中,通过把第一类单元转换到待用状态、接收并存储该第一类单元上的第一数据库配置变化、把这些配置变化发送到第二类单元以及在该第二类单元上存储这些配置变化,同步主单元和备用单元的数据库中存储的配置信息。当主单元转换到待用状态时,备用单元存储第二类单元上的第二数据库配置变化并在它再转换到激活状态后把这些变化传送到主单元。
在本发明的再一个方面中,还通过把更新信息发送到主单元、更新主单元、把该更新从主单元发送到备用单元并更新备用单元,同步对主单元和备用单元的更新,例如软件更新,因此,网络管理员不需要复制他或她的工作量去更新备用单元。
在通过下述详细说明、附属权利要求书和附图研究时,可更全面地理解本发明的这些和其它特征、方面和优点,在附图中:
图1是一示例统一式策略管理系统的示意方块图;
图2示出依据本发明的原理为一机构存储的策略的分层面向对象的结构;
图3是图1的策略管理系统中的策略服务器的示意方块图;
图4是图3的策略服务器中的中央管理子模块的示意图;
图5是由图4的中央管理子模块实现的部件注册进程的示例流程图;
图6是一个屏幕,示出用于注册部件的示例图形用户接口;
图7是一个屏幕,示出展示部件健康和状态信息的示例全局监视器用户接口;
图8是一个屏幕,示出由图3的策略服务器中的策略管理子模块提供的示例图形用户接口;
图9是一个屏幕,示出用于管理系统部件的示例图形用户接口;
图10是一个屏幕,示出用于管理系统主机的示例图形用户接口;
图11是一个屏幕,示出用于管理系统服务的示例图形用户接口;
图12是一个屏幕,示出用于管理时间组的示例图形用户接口;
图13是一个屏幕,示出显示多个VPN云的示例图形用户接口;
图14是一个屏幕,示出用于增添一新的防火墙策略的示例用户接口;
图15是策略实施器更新它们各自的VPN会员资格信息的示意功能方块图;
图16是由远程VPN客户机下载的自提取可执行体的成分的方块图;
图17是用于下载图16的自提取可执行体的功能方块图;
图18是图1的策略管理系统中的策略实施器的示意方块图;
图19是图18的策略实施器中的策略引擎的更详细的示意方块图;
图20是图18的策略实施器中的协议分类引擎的更详细示意方块图;
图21是图18的策略实施器中的因特网协议安全引擎的更详细示意方块图;
图22是依据本发明的一实施例的公用记录格式的示意布局图;
图23是依据本发明的LDAP树结构的方块图;
图24是图23的LDAP树的分支的更详细方块图;
图25是记录LDAP变化并向策略实施器传播该变化的流程图;
图26是包括主单元和备用单元的高有效性系统的示意方块图;
图27是由一高有效性单元进行的示例状态显示进展的流程图;
图28是用于保持在图26的主单元和备用单元中同步的配置信息的进程的流程图;
图29是在图26的主单元和备用单元都起作用时更新二者的示例流程图;以及
图30是当主单元不起作用时更新图26的主单元和备用单元的示例流程图。
I.统一式策略管理系统体系结构
图1是依据本发明的一实施例的示例统一式策略管理系统的示意方块图。如图1中所示,通过各自的路由器(通用地在110处标示)和因特网服务提供商(ISP)(未示出),专用局部网102、104、106都和例如因特网108的一个公用网连接。通过各ISP和公用因特网108连接的还有网冲浪者112、拨号网络用户114、提供越权Web站点的服务器116、向外发送非请求的无用电子邮件的电子邮件无赖(spammer)118以及试图访问专用局部网102的远程VPN客户140。
依据一个例子,局部网102在机构的第一位置例如在机构总部,连接用户及资源,例如工作站、服务器、打印机等;而局部网104在机构的第二位置例如部门办公室处,连接用户和资源。另外,局部网106连接需要对该机构的用户和资源进行特定访问的该机构顾客的用户和资源。该机构的授权拨号网络用户114分别位于第一和第二局部网的远程位置处,并且也需要对该机构的用户和资源的特定访问。另外,Web冲浪者112在公用因特网108上和该机构的网服务器120通信并访问该机构Web站点。
局部网102包括一个用于定义并管理该机构的网络服务和策略的策略服务器122。网络策略是一组确定网络操作的规则和指令,例如防火墙、带宽和管理策略。防火墙策略决定允许从公用因特网108流入到局部网102、104的网络通话以及要被阻塞的通话。带宽策略确定分配给穿过各局部网的通话的带宽。VPN策略确定在各局部网间实现多点连接的规则。管理策略决定可访问管理功能的用户、分配给这些用户的管理功能类型以及这些用户可在其上实施这些管理功能的策略实施器124、126。最好在由策略服务器122保持的策略服务器数据库130中存储用于整个机构的防火墙策略、VPN策略、带宽策略和管理策略。
每个局部网102、104还包括一个称为策略实施器124、126的边缘部件,用于控制对网络的访问。每个策略实施器124、126如由策略服务器122许可那样为它们各自局部网102、104的用户和资源而管理网络策略和服务。向策略实施器数据库132、134拷贝策略服务器数据库130的有关部分,以允许策略实施器为局部网102、104而管理网络策略和网络服务。
依据本发明的一实施例,可以按类似于加州Milpitas镇的Alcatel联网公司制造的FORT KN OX系列策略路由器的形式,实现策略服务器122和策略实施器124、126。
II.用于网络策略管理的对象模型
依据本发明的一实施例,策略服务器数据库130和策略实施器数据库132、134是依附面向统一分层对象结构的LDAP数据库。LDAP目录服务模型基于条目,其中每条条目是称为特异名(DN)的属性的集合。每个属性包括一个类型以及一个或多个值。类型典型地是助记串,例如用于机构的“o”、用于国家的“c”或用于电子邮件地址的“mail”。值取决于属性的类型。例如,“mail”属性可含有值“babs @u michedu”。“ipeg Photo”属性可包含一张二进制JPEG/JFIF格式下的照片。在RFC 1777“The Lightweight Directory Access Protocal(W.Yeong、T.Howes,and Kille,Network Working Group,March 1955)和“LDAP Programming:Directory-enabled Applications withLightweight Directory Access protocol”(T.Howes,and M.Smith,Macmillan Technical Publishing,1997)中定义LDAP目录服务的其它细节,把它们收录为本文的参考资料。
LDAP数据库中的条目最好排列在反映政治、地理和或机构边界的分层树状结构中。代表国家的条目出现在树的顶部。它们的下面是代表州或者国家机构的条目。州或国家机构的下面可以是代表人、机构部门、打印机、文档等。
图2是依据本发明的一实施例的由策略服务器数据库130依附的面向统一分层对象结构的示意布局图。除一些不同外,策略实施器数据库132、134依附于类似结构。例如,策略实施器数据库最好不含有策略服务器域对象201和有关的策略服务器对象,或者不含有策略域对象240。
如图2中所示,最好作为一个LDAP条目存储该结构中的每个对象。该层次的顶部处是包括各种策略服务器资源和多个策略域对象(通用地在204处注示)的策略服务器域对象201。每个策略域对象240是由一个共享共用策略的策略实施器的分组。每个策略域对象240包括一个资源根对象200和一个组根对象202。最好用包括部件204、用户206、主机208、服务210和时间220的资源对象实现所有策略管理功能。这样,防火墙策略可通过简单地指定可应用于该策略的特定部件、用户、主机、服务和时间来定义。部件、用户、主机和服务最好分别组织成组212、214、216和218,各组具有组名、描述和成员信息以便以更直观的方式定址和组织各资源。
用户206最好和用户域相关,后者提供一种验证用户的安全和有效的手段。每个用户域具有单个授权验证该用户的策略实施器。从而,用户域确保鉴别主体(agent)通常和用户位于同一个局部网中。这有助于消除用户验证进程期间的网络相关费用或网络等待时间。然而,应注意,用户还可以构成授权的拨号用户114以及来自顾客网络106的用户。这些用户和远程鉴别主体接触,后者代理执行适当策略实施器的验证。
主机208是一机构内存在的各网络。例如,可把一具体的LAN子网规定为该系统内的一个主机。最好根据它们在该机构内的物理位置组织各主机208。主机的物理位置是通过和该主机关联的部件(策略实施器204)确定的。
服务210反映策略服务器122提供的各种服务。这些服务例如包括:多媒体流动/置信、信息检索、安全性和验证、数据库应用、邮件应用、路由选择应用、标准通信协议等等。和每项服务关联的属性最好包括服务名、说明、类型(例如HTTP、HTTPS、FTP、TELNET、SMTP、实网络等)和组。
部件204是位于一具体局部网的边缘处的策略实施器124、126。每个部件/策略实施器最好包括由该策略实施器管理的用户206和主机/网络208。
时间220是控制对网络资源的访问中的另一个维。在建立防火墙策略中可建立和使用复盖一时间区段的各种时间对象。
类似于资源,最好也用对象定义网络策略,以便更有效、更直观地定义各策略。对公用因特网108和局部网102、104之间的网络通话,由管理员定义策略并且由策略实施器124、126实现策略。
依据本发明的一实施例,策略对象222包括带宽策略224、防火墙策略226、管理策略228和VPN策略230。VPN策略230定义一个用于成员网络的安全策略并包括一个或多个VPN云232。每个VPN云232是单个或一组定义一安全策略组的VPN,该安全策略组包括一个地点234及用户236表,各用户236可互相通信。一个地点最好是一组物理上位于策略实施器124、126中之一之后的主机/网络。换言之,一个地点是一个包括与它相关的一个策略实施器的网络的定义。用于地点的策略实施器在该地点之后各主机启动通信时立即充当VPN隧道端点。这些通信是由一组为每个VPN云配置的规章管理的。除其它事务外,这些规则238可管理VPN访问许可和安全特征,例如用于网络层连接的加密层和验证。
从而图2的面向对象的结构允许管理员以直观和可扩展的方式定义各策略。可简单地通过把资源和策略相关联来定义这样的策略。这可用于以策略为中心的管理模型,在该模型中管理员认为单个逻辑服务器在整个企业上提供防火墙、带宽管理和VPN服务。事实上,由不同位置上的有关策略实施器实施的策略对于管理员是透明的。
III.基于策略的网络体系结构
图3是依据本发明一实施例的策略服务器122的更详细示意方块图。策略服务器122最好包括一个管理模块302,其允许从单个控制台集中式地控制策略实施器124、126。策略服务器122还包括一个日志收集和归档模块304和一个策略服务器报告模块316。日志收集和归档模块304从策略实施器124、126和从管理模块302收集有关资源的状态及使用的信息,并把它们存储在档案数据库318中。策略服务器报告模块316利用收集到的日志和档案生成有组织的报告格式下的报告。
再参照管理模块302,管理模块302最好包括四个帮助集中控制的子模块,即集中式管理子模块306、策略管理子模块308、基于安全作用的管理子模块310和多地点连通性管理子模块312。
集中式管理子模块306使网络管理员能从中央位置安装并管理各个策略实施器。网络管理员最好利用基于网的图形用户接口来定义策略实施器的网络配置并监视该部件的各个方面,例如部件健康、部件告警、VPN连接状态等。
策略管理子模块308为网络管理员提供建立各策略的能力,这些策略的范围复盖策略实施器的多个功能方面(例如,防火墙、带宽管理和虚拟专用网络)、多种资源(例如,用户、主机、服务和时间)以及多个策略实施器。
基于安全作用的管理子模块310提供基于作用的管理以使管理员能向其他管理员委托管理责任。该子模块最好在它访问各管理功能时提供最大的安全性。
多地点连接性管理子模块312允许网络管理员在二个或更多的远程地点之间建立安全的通信信道。在建立时,该子模块影响集中式管理子模块306、策略管理子模块308、策略实施器124和126的动态路由选择能力以及管理基础设施以在整个企业上提供带有精细粒度访问控制的多个虚拟专用网络。
图4是依据本发明的一实施例的中央策略管理子模块306的更详细的示意图。该子模块包括一个策略服务器安装向导404,后者提供交互式用户接口以帮助策略服务器122的安装。在这方面,网络管理员访问经电缆、集线器等的跨接和策略服务器122的一个LAN端口连接的个人计算机。网络管理员最好通过把策略服务器122的URL键入到标准因特网浏览器例如微软的因特网Explorer中,连接策略服务器122。URL最好是“http://<ipaddress>:88/index.html”形式的,其中<ipaddress>是分配给该策略服务器的IP地址。当浏览器试图和地址接触时,自动地向策略服务器分配IP地址。当管理员的个人计算机发送一个对IP地址的地址解决协议请求时,该策略服务器检测出未要求指向端口88的包,并假定该IP地址。
在连接以后,策略服务器安装向导404调用该交互式用户接口以帮助管理员安装策略服务器122。除其它事项外,策略服务器安装向导404提示管理员规定服务器名、服务器IP地址和路由器IP地址。此外,策略服务器安装向导404提示管理员选择各种默认策略中的一个策略以建立默认的防火墙策略、VPN策略、带宽策略和管理员策略。然后在每个用策略服务器122注册的新策略实施器上复制这些策略。
集中式管理子模块306还包括一个策略实施器安装向导406,后者提供一个交互式用户接口以辅助策略实施器的安装。如安装策略服务器122那样,对向导406的访问最好是利用管理员的个人计算机的基于网的。
在连接以后,策略实施器安装向导406调用该交互式用户接口以辅助网络管理员安装具体的策略实施器124、126。除其它事项外,策略实施器安装向导464提示管理员规定策略服务器IP地址、策略实施器IP地址和路由器IP地址。策略实施器接着利用它自己的基本引导信息通过调用策略服务器上的URL借助策略服务器122注册。策略实施器的注册允许用配置信息初始化策略实施器的数据库132、134,并且允许通过策略服务器122监视策略实施器的状态和健康。
在利用策略服务器122注册策略实施器之前,网络管理员最好在策略服务器上预注册策略实施器。这种预注册允许在策略服务器上建立一个在策略实施器进行实际注册时用于策略实施器数据的位置标志符节点。在这方面,集中式管理子模块306包括一个允许预注册新的策略实施器的配置接口410。
图5是依据本发明的一实施例的策略实施器预注册和注册进程的示例流程图。在步骤401,策略实施器和网络连接,并利用上面说明的策略实施器安装向导406被安装在其实际物理位置处。在步骤403,持有该新部件的序列号的网络管理员通过把该新的策略实施器添加到一部件组中,预注册该策略实施器。在这方面,配置接口410调用例如图6中示出的交互式图形接口,以允许网络管理员输入部件名415、序列号417和位置信息419,并且还允许管理员选择一个该新策略实施器要属于的部件组421。在步骤405中对申请按钮423的激励使该新的策略实施器和策略服务器接触(最好通过调用该策略服务器上的URL)。一旦和策略服务器接触,该新的策略实施器就把它的注册包发送到该策略服务器。该注册包至少包括该新策略实施器的序列号以及该策略实施器上的LAN、WAN和DMS的IP地址。在步骤407,集中式管理子模块306比较该新策略实施器的序列号和利用策略服务器112预注册的策略实施器表。若找到匹配,则策略服务器122通过在步骤409优选地把在策略实施器的安装进程期间为其选择的各设置包装到一个LDAP数据交换格式(ldif)文件中,继续该注册进程。在步骤411,通过调用该策略实施器上的公用网关接口(CGI)优选地在HTTPS通道上把该文件发送到该策略实施器。接着该策略实施器在步骤413利用该文件初始化它的配置数据库,例如数据库132、134。
再次参照图4,集中式管理子模块306还包括分别显示和收集策略服务器122所管理的所有策略实施器的健康和状态的全局监视器用户接口402以及数据收集器程序412。数据收集器程序412从它管理的每个运行的策略实施器接收健康和状态信息,并且把有关信息传给全局监视器用户接口。在每个受监视的策略实施器中作为一个端口监视程序运行的健康主体,周期性地收集来自该部件的数据并分析它的健康状态。然后在数据收集器程序412请求时,把收集到的数据传送到策略服务器122。
图7是一个屏幕,其示出展示各种类型的健康和状态信息的示例全局监视器用户接口402。这样的信息可和部件的健康有关,例如系统负载712和网络使用信息714。该信息还可和该部件上的当前报警716有关,其中包括报警名、类型、说明等。该信息还可和包括连接类型、源/目的地、持续时间和VPN通话量的当前VPN连接718有关。
再次参照图3,策略管理子模块308用于策略实施器124、126的策略管理。如前面所讨论,所有策略管理功能都是利用策略数据库130、132、134中存储的包含着用户、部件、主机、服务和时间的资源对象实现的。所有资源最好和管理员在安装进程期间选择的默认策略设置相关联。通过策略管理子模块308提供的图形用户接口,网络管理员集中地观察、增加和修改策略。这可用于一种中央式策略管理模型,其中管理员得到的印象是单个逻辑服务器为整个企业提供防火墙、带宽管理和VPN服务。由不同位置上的各个策略实施器实施的策略对于管理员是透明的。
图8是一个屏幕,表示由策略管理子模块308提供的示例图形用户接口。该接口包括一个包含着资源标记表的资源选用区718,其中资源标记包括用户标记718a、部件标记718b、主机标记718c、服务标记718d和时间标记718e。该资源选用区允许管理员从单个控制台增加和修改资源定义。
选择用户标记718a造成为该系统定义的用户组722的显示。通过选择一具体的组并定义用户的各属性,例如登录名、全名、用户所属于的策略实施器、验证方法、口令等,可对组增加新的用户。
选择部件标记718b造成用于管理策略服务器122和策略实施器124、126的各种部件管理图符的显示,如图9中所示。策略服务器系统设置图符750允许网络管理员观看和修改系统设置,例如策略服务器122的LAN、WAN/DMS IP地址。策略服务器档案选项图符752允许规定策略服务器122处的报告生成以及其它数据库档案选项。全局URL阻塞图符754允许管理员规定由系统的所有策略实施器124、126阻塞的未经批准的Web站点表116。类似地,全局无赖表图符756允许管理员规定由所有策略实施器阻塞的无赖的电子邮件地址表118。
管理员可通过选择图符758观看所有策略实施器124、126上的信息。通过选择某具体部件组761下的一特定策略实施器760,可观看一特定策略实施器上的信息。该信息包括专用于该选定策略实施器的系统设置信息762、URL阻塞信息764、无赖表信息766等。例如,选择策略实施器的URL阻塞信息764图符造成可由网络管理员选择成该选定策略实施器阻塞的各种类型768的URL的显示。
选择主机标记718c造成该系统的各主机(网络)的显示,如图10中所示。主机是根据它的物理位置组织的并且还和某具体策略实施器124、126关联。主机和各种属性,包括唯一名770、网络的IP地址772和子网屏蔽774,相关。另外,管理员可规定该主机是否是一个属于不由策略服务器122管理的某网络的外部主机776。若该主机是一个外部主机,则管理员规定该主机所属于的外部部件的IP地址778。部件字段780使管理员能输入该主机所属于的策略实施器的名字。每个主机还和一个管理员指定的具体组782关联。
选择服务标记718d造成各种由该策略服务器122支持的服务组的显示,如图11中所示。这些服务组例如包括:多媒体流入/置信、信息检索、安全和验证、邮件应用、路由选择应用、数据库应用、标准通信协议等。用户可按需要增添新的服务组。
每项服务都和名字784、说明786和服务类型788(例如,HTTP、HTTPS、FTP、TELNET、SMTP、实网络等)关联。另外,每项服务和一个服务组790相关联。根据服务的类型,还可为该服务规定其它信息。例如,对于HTTP服务,管理员可规定是否使能URL阻塞792。
选择时间标记718e造成各种复盖防火墙策略中所使用的时间范围的时间组图符794的显示。例如,选择工作时间组图符允许网络管理员设定按工作日和工作小时设定的日子和时间。
再参照图8,该接口还包括一个包含着该系统可使用的策略表的策略传送带720。策略定义最好连带着一组可从资源选用区718拖出并落在策略传送带720上的资源。
选择防火墙标记720造成为一具体的包含着一个或多个策略实施器的策略域定义的所有防火墙策略的显示。在策略实施器的预注册期间,网络管理员决定该策略实施器所属于的域。该接口允许网络管理员从策略服务器122观察、增加和修改各种策略,以及不必在每个策略实施器上分别进行改变情况下实现策略实施器124、126上的改变。
依据本发明的一实施例,每个防火墙策略包括一个策略标识符(ID)属性724,用于标识策略表中的某具体策略规则。用于该策略规则的一个编号属性726指示其中要应用该策略的序号。在这方面,该局部网的策略实施器124,126顺序地一次取出一条规则,把它和网络通话比照并且优选地应用第一条和该网络通话匹配的规则。
每个防火墙策略还包括一个说明属性728,用于说明该要被应用的防火墙策略。例如,该说明可指示该策略允许无赖阻塞、URL阻塞、VPN密钥管理等。操作(action)标志属性730指示是否为该指定的策略而允许或拒绝通话。现用标志属性732指示是否激活或停用该策略。从而,网络管理员可建立一项策略并在晚些时候激活它。被停用的策略最好不会影响网络通话。
每个防火墙策略还包括用户属性734、源属性736、服务属性738、目的地属性(未示出)和时间属性(未示出)。这些属性中的每个最好用一个组名或一个资源名表示。该名充当一个指向LDAP数据库130、132或134的组根对象202或资源根对象中的一条条目的指针。
用户属性734最好指示对该策略合格的各用户组或各用户。源属性736指示与该用户相关的网络通话的起点。服务属性738指示由该策略允许或拒绝的服务。目的地属性指示在其处允许或拒绝各规定的服务的特定LAN、WAN、DMS段或者各特定主机。例如,为了配置邮件服务器上的SMTP上托服务,该主机可以是运行该邮件服务器的IP地址,并且所规定的服务是SMTP。时间属性指示在其中该策略为有效的时隙。
除上述之外,每个防火墙策略还包括一个验证属性(未示出),以指示该策略的验证方式(例如,无、LDAP、SecurID、RADIUS、WinNT或全体)。
图14示出在激励增加按钮725时用于对策略域增加一项新的防火墙策略的示例图形用户接口。通过激励修改按钮727或删除按钮729,还可分别修改或删除现有的防火墙策略。
如图14中所示,通过简单地在说明区728a中增加该策略的说明、在操作框730a中选择一个施加到匹配的网络通话上的操作,并且在现用区732a中指示该策略现用或者待用,可定义一项新的防火墙策略。另外,网络管理员分别在用户区734a、源区736a、服务区738a、目的地区739a和时间区741中规定用户、源、服务、目的地和时间资源。网络管理员还在验证区743中为该策略选择验证方式。一旦激励OK按钮745,就适当地改变策略服务器数据库的LDAP树的适当条目以反映添加新策略。还把该改变发送到有关的策略实施器,如后面更详细说明那样。
再参照图8,选择带宽标记720c允许显示、增加和修改各个确定对流过具体策略实施器的通话分配的带宽类型的带宽策略。可以为不同用户、主机和服务规定不同的带宽。
选择管理标记720d允许显示、增加和修改各种管理策略,以使网络主管理员能把管理责任委托给其它管理员。在这方面,网络主管理员规定一些确定哪些用户访问什么样的功能以及为什么样的部件访问的管理策略。管理策略最好包括和防火墙规则相类似的各属性,但对作用属性的说明除外。可对某些用户根据他们的作用提供特别的管理特权。
IV.具有自动可达性更新的虚拟专用网络
再参照图3,多地点连通性管理模块312允许建立动态路由的各个VPN,在各VPN中不必在由网络管理员静态地配置会员资格信息情况下自动地建立VPN会员关系表。从而,一旦管理员配置从一个策略实施器的LAN到另一个策略实施器的VPN,在各LAN接口上运行的路由选择协议例如RIPv1或RIPv2,就通过它们各自的接口学习网络的可达到。接着这些网络变成该VPN的成员,并且该VPN的每一侧上的策略实施者124、126利用学习到的路由建立会员资格表。最好通过LDAP数据库132、134在策略实施器124与126之间交换会员资格信息。这样,路由选择协议和LDAP的组合使用允许建立各个动态编辑它们的成员表的VPN。
再参照图8,网络管理员利用资源选用区718和策略传送带720配置用于多地点连接性的各VPN策略。选择策略传送带720中的VPN标记720b造成已经为该系统配置的VPN云的集合270的显示,如图13中所示。如前面所说明,一个VPN云是可为其定义安全策略的单个VPN或一组VPN。每个VPN云包括一个地点节点234下的地点以及用户节点236下的用户的表,其中用户可彼此通信。一个地点是一组物理上位于策略实施器124、126中之一的后面的主机。在各地点后面的主机开始通信时,用于这些地点的各策略实施器最好充当VPN隧道端点。
VPN云中的各用户是可以防问与各地点234关联的各主机的用户。如后面更详细讨论那样,各用户利用每个用户的个人计算机中安装的VPN客户软件访问作为VPN客户机的各主机。
每个VPN云270还包括一个防火墙规则组节点276,后者包括要施加到该云中的所有连接上的防火墙规则组。除其它事宜外,这些规则可管理VPV访问权限、例如加密等级的安全特性和用于网络层的连通性的验证。
从而由VPN云提供的分层结构允许网络管理员建立完整格网的VPN组,其中VPN云内的每个地点具有和每个其它地点的完全连通性。网络管理员不再需要人工地配置VPN中每条可能的连接,而是只需要建立一个VPN云并规定和该VPN相关的地点、用户和规则。然后根据为该VPN云规定的配置来配置每条连接。从而该分层结构有利于设置带有大量地点的VPN。
网络管理员最好通过激励增加按钮280,增加新的VPN云。对此响应,策略服务器122自动地建立该VPN云下的地点节点272、用户节点274和规则节点276。然后管理员规定该VPN中的各地点和各用户。
依据本发明的一实施例,规则节点276初始包括一条默认VPN规则278,它对应于网络管理员在设置策略服务器122期间选择的策略设置。该默认VPN规则278允许在该VPN中的主机之间的不限制的访问。
管理员可通过删除该默认规则278并且对该VPN增添各特定的防火墙规则,实现该VPN内的访问控制。这些防火墙规则允许管理员对流过该VPN的通话具有粒度良好的访问控制,全部都在这样的VPN提供的加密访问的范围内。这些防火墙规则被施加到解密之后或加密之前的明文上。
依据本发明的一实施例,管理员选择默认规则278以实现这种对默认规则的改变。默认规则的选择调用一个和图8相似的图形用户接口。接着网络管理员通过定义可应用于该VPN的防火墙规则组,仔细调整对该VPN的访问。这些防火墙规则中的参数最好和图8中示出的通用防火墙规则组中的参数相同。
一旦定义一个VPN云,就由该VPN中的策略实施器124、126动态地建立会员资格信息。在这方面,每个VPN地点包括一个标识该地点中包含的各主机的标志。在运行期间,用于各地点的策略实施器124、126把各IP地址和标识每个地点中的各主机的标志关联起来。这允许动态地显示各IP地址,不需要静态配置各IP地址。
在建立会员资格表后,检测路由选择信息中的改变并且利用公布/订阅进程通知成员策略实施器。某策略实施器通过询问和该改变的路由选择信息对应的具体网络上的LDAP数据库,检索实际的改变。
图15是位于VPN隧道相对二端处的用于更新各自的路由选择信息的策略实施器124、126的示意功能方块图。如图15中所示,每个策略实施器124、126包括一个选通模块252、261,其是按端口监视程序配置的以便运行用于在网络上交换路由的一个或多个路由选择协议。这种路由选择协议可包括RIPv1、RIPv2、OSPF等。
当网络管理员希望对和策略实施器124连接的专用局部网102增加一新路由时,管理员在步骤241向策略实施器124中的选通模块252提交该新路由。这典型地是通过配置具有一个附加网络的该策略实施器的下游完成的。接着通过对策略实施器124的选通模块252的标准路由选择协议,传播该信息。例如,策略服务器122可对要和该新路由关联的策略实施器124,公布该新路由。该路由例如可通过一条“LAN-Group @PR1”之类的LDAP语句规定,其中规定一条从策略实施器PR1到名字为LAN-Group的LAN的新路由。在步骤242,选通模块252把该新路由写入到包括着VPN驱动器254的策略实施器的核心253上,从而该策略实施器124可适当地引导沿着该新路由的各适当报文。另外,选通模块252在步骤243中把该新路由写入它的LDAP数据库132。
选通模块252还在步骤244,向配置成收听LDAP数据库132中的更新的特异名监视器(DNMonitor)端口监督程序255,提供该新路由的名字。该DNMonitor进而在步骤245a、245b,向VPN端口监督程序256和策略部署点(PDP)引擎257,通知LDAP数据库132中的改变,接着该PDP引擎用该改变,更新实施各策略的各模块。
在步骤246,VPN端口监督程序256利用该路由名访问LDAP数据库132以得到完整的路由信息,该新路由名所属于的所有VPN的列表和与这些VPN连接的所有其它策略路由器的列表。在步骤247,VPN端口监督程序256着手向每个其它的策略路由器发送该新路由名。
当策略路由器126从策略路由器124接收一新路由名时,它的网络端口监督程序258在步骤248访问发送方策略路由器124中的LDAP数据库132以得到完整的新路由信息。若该新路由属于多于一个的VPN并且对不同的VPN具有不同的参数,则不同VPN上的各路由器检索和有关VPN对应的不同信息。
在步骤249,网络端口监督程序258把得到的新路由信息写入它自己的LDAP数据库134,并且把它提供到它自己的DNMonitor模块。如在发送方策略路由器124中那样,接收方策略路由器126中的DNMonitor模块259向它的PDP引擎260提供该新的路由信息以便用最新改变修改它的核心265。
尽管图15是按照向一个策略实施器以及和它关联的各VPN增加一条路由描述的,但业内人士容易理解实质上可把相同的技术应用于删除一条路由(例如,若某网络成分变成不运行的或不通信的)或者改变一条路由(策略路由器可能认识到某路由已按一种不同的形式存在并简单地盖写它)。以这种方式,VPN系统或系统组可以在系统管理员的最少干预下动态地保持在它的策略实施器之间的路由选择信息。
V.具有客户可达性信息自动更新的虚拟专用网络
在展示适当凭证后,远程用户在公用因特网108上和策略实施器124、126后面的VPN的其它成员通信。这些远程用户利用VPN客户软件访问作为VPN客户140的专用网络。依据本发明的一实施例,系统允许远程用户下载自提取可执行体(executable),后者在执行时在该用户的远程终端中安装VPN客户软件以及对该远程用户唯一的VPN可达性信息。
每个策略实施器124、126最好保持VPN客户软件的自提取可执行体的一份拷贝,它包括一个设置程序和VPN可达性配置样板。该设置程序允许把VPN客户软件安装在VPN客户140上。在下载自提取可执行体时,用专用于该正下载的用户的VPN可达性信息替代配置样板。
依据本发明的另一实施例,系统允许VPN客户140下载自提取可执行体,后者在执行时只安装对该用户唯一的VPN可达性信息。依据该实施例,VPN客户软件已安装在VPN客户140上。在该情景下,该设置程序允许在VPN客户140上安装专用于该正下载用户的可达性信息。
依据本发明的第三实施例,系统允许VPN客户140每次在和策略实施器124、126连接时自动下载VPN可达性信息。从而为每个VPN客户140保持最新状态的VPN可达性信息。一旦建立一次VPN对话,就假定在VPN客户140和策略实施器之间的连接已经是安全的。该VPN客户最好对策略实施器上运行的网服务程序作出公用网关接口(CGI)查询,并且从对应的LDAP数据库下载当前的VPN可达性信息。
图16是依据本发明的一实施例的自提取可执行体290中的各成分的方块图。可利用商业上可购到的工具,例如伊利诺州Schaumburg镇的Installshiled软件公司的INSTALLSHIELD EXEBUILDER,建立自提取可执行体290。
自提取可执行体290最好包括一个可执行设置文件292,用于安装VPN客户软件和/或VPN配置信息。设置文件292最好构成自提取可执行体的静态部分,因为该信息不会随下载VPN客户改变。自提取可执行体290还包括VPN配置文件样板组,用于VPN可达性信息294和VPN客户的预共享密钥信息296。VPN可达性信息294和VPN客户的预共享密钥296最好形成自提取可执行体290的动态部分299,因为该信息随下载VPN客户改变。接着在策略实施器124、126中按样板文件保存自提取可执行体290并且准备好由远程用户下载。
图17是依据本发明的一实施例下载图16的自提取可执行体290的功能框图。在步骤320,一新VPN客户140首先建立和策略实施器124、126的安全通信对话,以下载自提取可执行体290。最好这是通过VPN客户的网浏览器上的HTTPS协议对话实现的。在步骤322和324,策略实施器使该VPN客户参与验证过程,在其中策略实施器请求,并由该VPN客户提供,其用户名和口令。在步骤326,策略实施器比照所提供的信息和它的VPN客户数据库328中的条目。若该信息是正确的,则策略实施器找出用于该用户的适当预共享密钥,并且还在步骤330中从VPN配置数据库332中确定该客户的VPN可达性信息。VPN客户数据库328和VPN配置数据库332可驻留成由策略实施器124、126管理的单个LDAP数据库312、314的一部分,或者可构成分立的LDAP数据库。
在步骤334,策略实施器用专用于该VPN客户的VPN可达性信息和预共享密钥,替换自提取可执行体290的动态部分299。接着在步骤336把该新生成的自提取可执行体下载到VPN客户140。当运行该可执行体时,它安装VPN客户软件和/或VPN可达性信息。
每当客户和策略实施器连接并协商对话密钥时,可利用类似技术下载VPN配置信息的新的更新拷贝。另外,通过明确对策略实施器作出请求,用户可获得VPN网络的最新配置。从而,每当对VPN可达性信息作出更新时,不必重新安装和重新配置VPN客户。
VI.集成式策略实施器
依据本发明的一实施例,分割用于策略实施的策略实施器124,126的各功能性以便有效地用硬件实现。然而,业内人士清楚,一部分或全部功能性可在软件、硬件或它们的各种组合中实现。
图18是策略实施器124、126的示意方块图,表示依据本发明的一实施例的对各种功能性的分割。策略实施器包括一个因特网协议安全(IPSec)引擎502,用于例如在实现虚拟专用网络中执行安全和验证操作。流表506把通过策略实施器的包装配到各流中。协议分类引擎508译码在发送各包中所使用的各协议。策略引擎510根据策略数据库132、134中存储的策略设置,实施用于各包的各策略。包发送模块504通过路由器110从公用因特网接收包,并且根据要实施的各策略缓冲、发送或扔掉包。带宽管理模块514根据策略数据库132、134中存储的带宽设置,对被发送的包提供带宽整形服务。
实际上,输入包和流表506比照,以判定该表中是否已存在匹配项。若不,则增加一个新项。该流表最好包括包的足够部分以唯一地标识一个流。例如,在实施IP层3到层4的通话上的策略中,该流表可存储源IP、目的地IP、源端口、目的地端口以及输入包的协议号。
协议分类引擎508取该新流并为该流获得详细协议译码。接着策略引擎510询问要对该流施加的策略规则组。根据由策略引擎510回送的这些策略规则,包发送模块504、IPSec引擎502和/或带宽管理模块514相应地处理该流。该处理可能是循环的,直至该流中的所有的包得到由施加给它们的策略规则组规定的所有作用。
策略实施器还包括一个统计模块512,用于收集通过该局部网发送的包的统计数据以及其它状态和资源使用信息,并且在日志和档案中设置它们以发送到策略服务器122。依据本发明的一实施例,统计模块512保持通过网络102、104的包的运行字节计数。可以通过类别,例如基于某些资源(例如,用户、主机、服务)的类别,以及通过由策略和异常,例如防火墙策略,所阻断的字节,自动地对这些字节计数分类。在这方面,统计模块512在一高速缓冲存储器中保持一个状态表,后者包括一个能通过该防火墙的各个连接所涉及到的资源的列表。对于每个流过该连接的包,该统计模块为该列表中的每个资源递增包和字节计数。接着统计模块512把该有组织的信息传送给策略服务器122,后者把该信息直接输入到按类别组织并周期性地老化的各表中。
图19是依据本发明的一实施例的策略引擎510的更详细的示意方块图。策略引擎510包括一个充当所有策略决策请求的队列的策略请求表602。在这方面,以策略请求的形式对策略引擎510提供和流表506中存储的信息匹配的包的部分。该策略请求然后在策略请求表602中排队。
资源引擎604保持资源组名对成员映象的最新变换。策略规则组数据库缓冲器608存储要由策略引擎510施加的现行策略规则组。缓冲器608中存储的策略规则组最好为原始基于组的规则说明格式。这样,缓冲器608存储为基于组的格式下的组而建立的规则而不是为该组中的每个成员例示的规则。
决策引擎606包括为策略请求表602中的输入策略决策请求服务的逻辑,该逻辑根据从资源引擎604得到的实际会员资格信息,把这些请求和策略规则组数据库缓冲器608中的策略规则组比照。接着辨别和该通话匹配的基于组的有关规则并且设定流表中的决策位组以实施相应的动作。这些决策位接着构成一组要在该流的各包上执行的动作。然后根据这些决策位处理和流匹配的所有的包。决策引擎还可规定一个访问控制表(ACL),该表包括一组允许/拒绝通话的规则、用于对通话提供服务品质等级的DiffServ标准和/或VPN实现信息。
图20是依据本发明的一实施例的协议分类引擎508的更详细的示意方块图。如图20中所示,协议分类引擎508包括流数据装配单元702、滑动流数据窗口704、ASN.1块706、协议分类状态机708和协议定义签名数据库710。流数据装配单元702提取和重新装配输入包流的数据部分并把它存储到滑动流数据窗口704中。滑动流数据窗口最好遵循先进先出协议。ASN.1译码器在需要时根据常规ASN.1编码/译码标准进一步译码数据流。接着协议分类状态机708比照完全重新装配的译码数据和协议定义签名数据库710。该数据库710最好保持从协议名到要在数据流中查找的数据模式的映射。然后向流表506回送匹配的协议。
这样,协议分类引擎508提供扩充的层3到层7的协议译码和包分类,包括利用从脚本协议定义编辑的动态更新的签名数据库完整地确定动态流。随着将来定义新协议和/或用户利用定制协议建立他们自己的定制应用,会需要增添这些协议对协议分类引擎的识别。所描述的协议分类引擎体系结构允许通过简单地对协议分类引擎增加该新协议的新脚本定义,实现这样的增加,而不必每次在增加新协议时必须去改变设计。
图21是依据本发明的一实施例的IPSec引擎502的更详细示意方块图。如图21中所示,IPSec引擎502包括一个伪随机数生成器(PRNG)子例程802,用于根据周知的方法生成密钥产生所使用的随机数。DiffieHellman块804和RSA块812实现对应的不对称公共密钥加密/解密/签名算法,这些算法在技术上是周知的。IKE块806和IPSec表808通信,以实现标准ISAKMP/Oakley(IKE)密钥交换协议。密码变换块814实现标准对称加密/解密算法。IPSec封装/拆封块810执行标准封装/拆封操作。从而,IPSec引擎502提供带有公共密钥验证支持的基于标准的成熟IKE/IPSec实现并且为通过专用局部网的包提供必要的加密/解密功能性。
VII.网络策略日志和统计数据传播
再参照科3,日志收集和归档模块304从策略实施器124、126以及从管理模块302收集有关各资源的状态及使用的信息,并在档案数据库318中存储它们。接着策略服务器报告模块316利用收集到的日志和档案生成有组织的报告格式下的报告。
依据本发明的一实施例,每个策略实施器124、126保持一个带有为流过该策略实施器的通话以及为与该策略实施器关联的各资源的状态和使用而收集的信息的日志文件。所有日志文件遵循预定义的公共日志格式,最好设计成建立压缩日志。
图22是依据本发明的一实施例的这种日志格式的示意布局图。每条日志条目包括一个时间戳记820,其格式为yyyymmddhhmmss,表示建立该日志条目的年、月、日、时、分和秒。服务字段812指示该策略实施器124、126行使的服务类型。这些服务包括VPN、FTP、Telnet、HTTP、包过滤、带宽等。每条日志条目还包括一个指示来自其接收包的源的源IP地址和端口824以及一个指示要对其发送包的目的地的目的地IP地址和端口826。
用户ID字段828标识发出包的用户。用户ID可映射LDAP数据库130、132或134中的一条条目以得到有关该用户的其它细节。
状态字段830指示一操作的状态,并且可能包括结果代码、出错代码等。例如,对于包过滤服务,状态字段在该包通过时可包括结果代码“p”或者当该包被阻挡时包括代码“b”。
操作字段832指示由该服务进行的操作的类型所使用的代码。例如,用于VPN服务的操作可包括发送包和接收包。用于FTP服务的操作可包括GET操作和PUT操作。用于HTTP服务的操作可包括GET操作和POST操作。
除上述之外,每条目志条目包括一个指示策略实施器作为活动的结果接收的字节数量的输入字节字段832,以及一个指示从策略实施器传送的字节数量的输出字节字段834。另外,持续时间字段836指示该活动的持续时间(例如,以秒为单位)。
若不能应用某具体服务,则一具体日志条目的一些字段可以是空白的。例如,对于FTP下载。若不存在输出通话,则输出字节字段是空白的。另外,可根据要记录的服务类型增加其它字段。例如,对于HTTP活动,在日志条目中还记录被访问的URL。这些附加字段最好附着在标准日志格式的尾部。
业内人士应理解,只要日志格式对于所有的策略实施器是相同的并且目的是建立压缩日志,就可对日志格式作出增加、删除或其它类型的修改,且不背离本发明的精神和范围。
根据策略服务器设定的各档案选项,把策略实施器124、126建立的日志文件传送到策略服务器122。在这方面,一旦选择图9的策略服务器档案选项752,网络管理员就为策略实施器建立的日志规定阈长度。当日志文件超过规定的长度时,把它发送到策略服务器。最好每天至少向策略服务器发送一次日志,即使未超出该阈长度亦如此。也可以在策略实施器处本地归档日志,如果网络管理员这样规定的话。
策略服务器122一旦接收日志,日志就被存储到最好以SQL数据库为形式的档案数据库318中。策略服务器报告模块316查询该数据库以便为每个策略实施器124、126生成报告。另外,可以以商用产品能解释的格式输出日志,该产品例如是俄勒冈州Portland市WebTrend公司的WEBTRENDS。
报告模块316建立的报告包括各资源(包括策略实施器、用户、服务、主机和VPN)的汇总使用报告。例如,这些报告可包括用于各个策略实施器的VPN汇总报告、带宽汇总报告、包过滤报告等等。
这些报告最好示出周期时间内各个资源的使用。可由用户规定报告的起始日期和结束日期。用户还可在时间维上或资源维上钻眼以查看特定时间和特定资源。例如,在建立包过滤报告中,用户可指示起始和结束时间、源IP地址、源端口、目的地IP地址和目的地端口。从档案数据库318提取所有满足这些准则的包并且在包报告中示出。
VIII.用于选择LDAP数据库同步的方法
依据本发明的一实施例,图1的统一式策略管理系统中的数据库130、132、134是存储包含用于防火墙、VPN、带宽、管理、用户记录、网络记录、服务等的策略的策略管理信息的LDAP数据库。如前面所说明,LDAP目录服务模块是基于条目的,其中每条条目是属性的集合。条目按遵循地理和组织分布的树结构排列。根据它们在层次中的位置用特异名(DN)命名各条目。
策略服务器122最好在策略服务器数据库130中为所有的策略实施器存储策略管理信息。在数据库130中按一个或多个具有对应的各属性的DN组织该信息。然后把策略服务器的适当部分拷贝到策略实施器数据库132、134。
图23是包括一个LDAP根265和多个分支264、266、268、270的LDAP树结构的方块图。依据一个例子,策略服务器122在策略服务器数据库130中保持带有用于所有策略实施器124、126的策略管理信息的分支264和266。每个策略实施器124、126还在它们各自的策略实施器数据库132、134中保持作为策略服务器数据库130的子树的一部分的分支264和/或266。由每个策略实施器124、126保持的分支的一部分最好和用于该策略实施器的配置信息以及一些有关其它策略实施器的其它信息有关。该其它信息用于和其它策略实施器通信。
策略服务器122还可保持存储着仅由该服务器上运行的应用使用的并且不和任何策略实施器124、126共享的信息的分支268。类似地,策略实施器124、126可保持分支268的一部分,其中含有仅由每个策略实施器上的应用使用的并且不和它者共享的信息。典型地,分支268中存储的数据是动态生成的并由在相应的服务器或代理上运行的应用使用的。
分支270最好只包括在用于策略服务器数据库130的LDAP树中,并存储可能要传播给策略实施器124、126的被记录的策略管理变化。这样的变化例如可包括由网络管理员通过前面主明的各种图形用户接口作出的某部件上的用户、VPN云、带宽策略或防火墙策略的增加、删除或修改。这些变化造成更新策略数据库130,其中增加、删除或修改LDAP树的相应DN。策略服务器122还建立这些改变的记录并存储在分支270中供以后分发到策略实施器124、126之用。
图24是图23的LDAP树的分支270的更详细方块图。LDAP根265包括一个ApplyLog270a条目,后者进而包括一个用户运行记录条目270b和一个部件运行记录条目270c。用户运行记录条目包括用特定DN 270d标识的特定管理员记录条目,用于反映这些具体管理员做出的改变。部件运行记录条目270c包括由特定DN 270e标识的特定部件运行记录条目,以反映分发到各具体策略实施器124、126的改变。最好在激励一应用按钮例如图6中示出的应用按钮417下,向策略实施器124、126传播管理员做出的改变。
图25是依据本发明的一实施例的记录并向策略实施器传播LDAP改变的流程图。在步骤420,一具体网络管理员做出策略设置改变。依据一个例子,该管理员是在域“domain 1”中工作的管理员“amd”,并且该改变是在一部件上增加一个新用户。
在步骤422,在策略服务器数据库130中反映该管理员做出的改变。在这方面,相应地修改LDAP树的分支264和266以反映策略设置中的改变。另外,在步骤424,策略服务器122为该管理员建立一个改变运行记录供以后处理并发送到适当的策略代理之用。在步骤426,策略服务器122更新该管理员的运行记录DN270d以反映该改变。在上面的例子中并如图24中所示,如果把建立的该运行记录命名为“A_L1”,则策略服务器122在“domain 1”更新用于“adm”的DN 270d以建立一个其值为“A_L1”270g的属性“apply”270f。该管理员做出的其它改变在独立的运行记录(例如,“A_L2”、“A_L3”)中反映,并且添加到该管理员的记录DN 270d中的应用属性的现有值上。
在步骤428,策略服务器122检查是否要把管理员做出的改变传播给适当的策略实施器124、126。如上面所讨论,最好在从管理员的图形用户接口激励应用按钮时传播这些改变。
若已激励应用按钮,则策略服务器在步骤430为每个要对其发送该改变的策略实施器建立一个记录。在这方面,策略服务器122收集管理员做出的由管理员的运行记录DN 270d的应用属性270f的值270g、270h反映的所有改变。为属于该管理员的域的每个策略实施器处理这些改变。这种处理最好涉及挑出有关改变和适当地修改用于策略实施器的LDAP的DN。例如因为在策略服务器数据库130中和在策略实施器数据库132、134中树结构上的差异,这种适当的修改可能是必须的。例如,管理员的运行记录中的改变可能含有一个规定策略实施器的域名的DN。在把该改变施加到该策略实施器上时,不应在该DN中规定该域名,因为该策略实施器的树结构不包括域名。
接着在部件运行记录中存储为每个策略实施器的LDAP适当修改的改变。然后修改每个策略实施器的运行记录DN 270e以反映发送到具体策略实施器的改变。在上面的例子中并如图24中所示,若被建立的部件运行记录命名为“PE_L1”,则策略服务器122为域“domain 1”上的具体策略实施器“PE1”更新DN 270e以建立一个其值为“PE L1”270j的属性“apply”270i。
在步骤432,接着从LDAP树删掉用于管理员的运行记录DN 270d的应用属性270f。在步骤434,向策略实施器发送为每个策略实施器收集的在策略实施器运行记录DN 270e的应用属性270i的值270j、270k中反映的改变以更新它的数据库132、134。最好在HTTPS通道上向各策略实施器发送改变。
在步骤436,策略服务器122检查更新是否已成功。在这方面,策略服务器122等待以接收来自策略实施器的已成功完成更新的确认。当来自策略实施器的响应为正面响应时,策略服务器122删除用于策略实施器的运行记录DN 270e的应用属性270e。反之,若更新不成功(例如因为策略实施器停机),则下次调用另一应用子例程时重新发送该应用运行记录。替代地,失败的策略实施器在再加入该网络(例如通过再引导)时对尚未应用的改变的运行记录的策略服务器122,发送一个请求。
IX.用于高可用性单元的状态变换协议
依据本发明的一实施例,通过在一主单元之外还保持一个备用单元,可把策略服务器122、策略实施器124、126以及其它网络部件配置为高可用性。
图26是一个包括主单元902和备用单元904的高可用性系统的示意方块图。通过在并行端口906a、906b和电缆908上交换心搏,二个单元902、904彼此通信。这些平行端口906a、906b和电缆908是技术上普通可得到的常规部件。
主单元902和备用单元904彼此类似地分别通过端口920a、920b、922a、922b、924a、924b和其它部件910、912、914连接。这些部件910、912、914可以是集线器、接线器、接插件等。由于主单元902和备用单元904提供类似的服务和功能并可互换地使用,故每个单元最好连接到同一部件910、912、914。
并行端口电缆908最好是设计成连接二个并行端口并允许在它们之间通信的常规搭接连接(laplink)电缆。主单元902和备用单元904最好通过TCP包在高可用性端口906a、906b上互相通信。最好在主单元902和备用单元904之间在高可用性端口906a、906b上存在点对点连接。
主单元902最好负责检查它的网络端口的状态以发现问题和故障。例如,若主单元902检测出它的一个网络端口,例如端口922a不工作,则主单元902接着检查备用单元904中的对应端口922b是否工作。一旦确定备用单元904中的对应端口922b是工作的,则主单元902向备用单元904发出作为现用单元接管系统功能的请求。接着主单元902放弃它作为现用单元的角色并且关机,以允许备用单元904承担主单元902的责任。当主单元902重新开始运行时,备用单元904接收来自主单元902的请求以放弃它的作为现用单元的角色。
当主单元902是现用的并且未检测出它的端口中的故障时,它持续监听高可用性端口906a以跟踪备用单元904的状态。主单元902继续在高可用性端口906a上收听来自备用单元904的信号。当备用单元904送电并运行时,它连接到主单元902。一旦完成该连接,备用单元904就开始向主单元902发送心搏。在预定的间隔内备用单元904持续向主单元902发送心搏。依据本发明的一实施例,备用单元904每秒钟向主单元902发送一个包含KEEP-Alive命令的“Keep AliVe(运行着)”包。
主单元902通过把该包的该命令字段改变成KEEP-ALIVE-RESP命令并重新把该包发送到发出方,对“Keep Alive”包作出响应。若备用单元904在预定时间周期(例如,一秒)未收到从主单元902返回的对一个“Keep Alive”包的响应,则备用单元904开始准备接管现用角色。该预定周期最好不大于二个相继的“Keep AliVe”包。
一旦作为现用单元,备用单元904就试图在有规律的间隔上重新建立和主单元902的连接以确定是否已解决主单元中的问题或故障。一旦问题或故障得到解决,备用单元904就在把所有网络接口卡的IP地址置成指定值后,把控制让给主单元902。
在备用单元904从主单元902接管现用角色的情况下,向网络管理员发送报警以指示这样的改变。另外,若主单元902未接收到来自备用单元904的心搏,则向管理员发送报警以指示备用单元出故障。
可能出现主单元902和备用单元904都是正常运行的并且备用单元904希望接管现用角色的情况。在这种情况下,备用单元904向主单元902发出关机命令,后者接着放弃控制。备用单元904持续作为现用单元的角色,直至主单元902向备用单元904发送放弃它的现用角色的请求。
依据本发明的一实施例,每个高可用性单元按主、备用或独立单元的初始状态确定协议,依赖于一个自发现进程。图27是依据本发明的一实施例的示例状态发现进程的流程图。在步骤930,引导尚未明确地按主单元或备用单元发现其状态的第一高可用性单元(单元X),并且在步骤932中采取承担备用单元角色。在步骤934,单元X搜索用于主单元的网络,并且在步骤936它询问是否检测到主单元。若回答为YES,则单元X试图和该主单元连接。若成功,则单元X在步骤938初始化成备用单元。另一方面,若单元X未检查到主单元,单元X在步骤940承担主单元角色。
在步骤942,单元X搜索用于备用单元的网络。若检测到备用单元,如步骤944中查询那样,则单元X和该备用单元连接并在步骤946初始化为主单元。如果另一方面在预定时间内单元X在网络中未检测到任何其它单元,则在步骤948中单元X初始化为独立单元。
一旦初始化了主单元和辅助单元,就向备用单元发送主单元的配置改变,以便保持这二个单元同步。配置信息最好存储在LDAP数据库中,例如中央策略服务器数据库130或策略代理数据库124、126中。
图28是用于保持主单元和备用单元中同步的配置信息的进程的流程图。主单元在步骤950中引导主单元并且在步骤952检测备用单元。在步骤954,备用单元从主单元(若它工作)接收配置改变信息。在别的情况下,由网络管理员直接把配置改变输入到备用单元中。若要从主单元接收配置改变,则主单元通知备用单元何时主单元中出现配置改变。然后把改变传送到并施加到备用单元。备用单元继之向主单元发回该传送状态和该施加。
在步骤956,主单元被检查以确定它是否起作用。若是,则主单元相同地用该配置改变更新。反之,若主单元不起作用,则备用单元承担现用角色并在步骤958变成现用单元。由于CPU板、网络接口卡或电源中的故障,主单元可能变成不起作用的并且从而变成是不现用的。
在步骤960,备用单元标记这些改变,以便在主单元变为起作用时把它们发送给主单元。一旦主单元变为起作用,就用备用单元保持的带标记的改变更新主单元,如步骤962中所反映的那样。
依据本发明的一实施例,还同步主单元和备用单元上的软件更新,从而在单个周期内,而不是需要在多个更新周期内,串行地更新主单元和备用单元。因此,网络管理员不必用和对主单元相同的信息重复进行对备用单元的更新。
图29是在主单元和备用单元都起作用时更新它们的示例流程图。在步骤970,从网络管理员可访问的管理站向主单元发送/传送—更新,例如未在LDAP数据库中存储的软件更新。主单元接着在步骤972更新自己。在步骤974,主单元自动地向备用单元发送/传送该更新信息。在步骤976,备用单元用从主单元接收到的更新信息更新自己。
图30是当主单元不起作用时更新主单元和备用单元的示例流程图。在步骤978,主单元变成不起作用,并且在步骤980网络管理员向备用单元,而不是向主单元,直接发送/传送升级。在步骤982,备用单元用从管理站接收到的信息更新自己并等待主单元变为起作用。一旦主单元变为起作用,就在步骤986自动向主单元发送传送该更新以便升级。主单元接着在步骤988更新自己。
尽管参照各优选实施例详细地说明了本发明,但业内人士理解,在保持如附属权利要求书中定义的本发明精神和范围情况下,可对文中说明的各个例子作出各种替代和修改。
例如,图1的统一式策略管理系统应看成是说明性的而不是限制性的。受到本发明启发的业内人士会理解许多替代配置是可能的。例如,可添加带有策略实施器的若干网络或者不添加网络。类似地,策略实施器不是必须通过因特网访问策略服务器,而是可以通过其它手段例如WAN、MAN等连接。简言之,该机构之内的和之外的用户和资源的数量和类型可以很大地变化,但仍处在本发明的范围之内。
Claims (192)
1.一种用于管理一机构内的策略服务的系统,该机构包括一个具有第一组资源的第一网络和一个远离第一网络的具有第二组资源的第二网络,该系统包括:
和第一网络关联的第一边缘部件,第一边缘部件配置成根据存储在第一数据库中的第一策略设置,管理用于第一网络和第一组资源的策略组;
和第二网络关联的第二边缘部件,第二边缘部件配置成根据存储在第二数据库中的第二策略设置,管理用于第二网络和第二组资源的策略组;以及
一个和第一、第二边缘部件通信的中央策略服务器,该中央策略服务器配置成定义第一和第二策略设置和从单个位置管理第一和第二边缘部件。
2.权利要求1的系统,其中策略是防火墙策略。
3.权利要求1的系统,其中策略是虚拟专用网络策略。
4.权利要求1的系统,其中该中央策略服务器包括一个用于存储第一和第二边缘部件的配置信息的中央数据库。
5.权利要求4的系统,其中配置信息包括第一和第二策略设置。
6.权利要求4的系统,其中该中央数据库存储用于第一和第二边缘部件的配置信息中的改变的运行记录。
7.权利要求6的系统,其中该策略服务器把配置信息中的改变发送到第一和第二边缘部件,用于分别更新第一和第二数据库。
8.权利要求7的系统,其中该策略服务器在成功更新第一和第二数据库时删除这些改变的运行记录。
9.权利要求4的系统,其中根据面向分层对象的结构,组织中央数据库和第一、第二数据库。
10.权利要求9的系统,其中该面向分层对象的结构包括多个用于定义第一和第二策略设置的资源对象和策略对象。
11.权利要求10的系统,其中资源对象是从由部件、用户、主机、服务和时间构成的组中选择的。
12.权利要求10的系统,其中中央数据库和第一、第二数据库是轻便目录访问协议(LDAP)数据库,其把每个资源对象和策略对象存储为LDAP条目。
13.权利要求1的系统,其中中央策略服务器包括一组用户应用模块,用于允许用户从单个位置定义第一、第二策略设置和管理第一、第二边缘部件,第一和第二策略设置和多个包括部件、用户、主机、服务和时间的资源对象关联。
14.权利要求13的系统,其中该组用户应用模块包括一个允许从单个位置安装第一和第二边缘部件的集中式管理子模块。
15.权利要求14的系统,其中该集中式管理子模块允许用该中央策略服务器注册第一和第二部件。
16.权利要求13的系统,其中该组用户应用模块包括一个用于从单个位置管理和观察资源对象的策略管理子模块。
17.权利要求1的系统,其中该中央策略服务器包括一组用于允许用户从单个位置监视第一和第二边缘部件的健康和状态的用户应用模块。
18.权利要求1的系统,其中中央策略服务器包括:
一个日志收集和归档模块,用于周期地从每个边缘部件接收健康和状态信息;
一个和该日志收集和归档模块连接的档案数据库,用于存储健康和状态信息;以及
一个和该档案数据库连接的报告模块,用于根据健康和状态信息建立报告。
19.权利要求18的系统,其中每个边缘部件以预定义的公共日志格式收集和发送健康和状态信息。
20.权利要求18的系统,其中健康和状态信息包括网络流信息。
21.权利要求18的系统,其中健康和状态信息包括对每个边缘部件的资源组的使用的统计。
22.权利要求1的系统,其中每个边缘部件包括多个用来把用于每个网络的策略组的管理集成到该边缘部件上的模块。
23.权利要求22的系统,其中该多个模块包括:
一个分类引擎,用于确定和每个输入包相关的协议;
一个策略引擎,用于根据和该包相关的策略设置,为该包做出传送决策;以及
一个包传送模块,用于根据策略设置传送包。
24.权利要求23的系统还包括一个安全引擎,用于验证发送该包的用户。
25.权利要求23的系统还包括一个统计模块,用于收集流过边缘部件的包上的统计信息。
26.权利要求1的系统,其中每个网络皆是一个专用网络,并且每个边缘部件皆被配置成建立一个带有能通过该边缘部件达到的成员网络的信息的表。
27.权利要求26的系统,其中第一和第二边缘部件起动在第一和第二专用网络之间的安全通信,并且第一边缘部件和第二边缘部件共享第一表,以及第二边缘部件和第一边缘部件共享第二表。
28.权利要求26的系统,其中第一边缘部件包括逻辑电路,用于:
接收新的路由信息;
把该新的路由信息存储在第一数据库中;以及
把该新路由信息中的一部分发送给第二边缘部件。
29.权利要求26的系统,其中根据和各成员网络相关的一个安全策略管理通信。
30.权利要求29的系统,其中该安全策略是为一个安全策略组定义的以提供该组的分层结构,该组包括成员网络、允许访问成员网络的用户和一条控制对成员网络的访问的规则。
31.权利要求30的系统,其中每个成员网络具有完整的同所有其它成员网络一起的连通性,并且为该安全策略组定义的安全策略是自动地为每条连接配置的。
32.权利要求30的系统,其中该安全策略在成员网络之间提供通话加密,并且该规则是在成员网络之间对加密通话提供访问控制的防火墙规则。
33.权利要求30的系统,还包括用于从远程位置访问各成员网络的远程用户终端,每个远程用户终端包括一个处理器,该处理器能执行程序指令,这些程序指令包括:
建立和边缘部件的通信;
向边缘部件发送验证信息;以及
从边缘部件接收带有各成员网络的信息的表。
34.权利要求33的系统,其中这些程序指令还包括自动地从边缘部件接收该表的更新。
35.权利要求1的系统,其中该中央策略服务器和第一、第二边缘部件包括第一类单元和第二类单元,每个第二类单元在第一类单元出故障时提供对应第一类单元的备份。
36.权利要求35的系统,其中每个第二类单元初始处于停用状态,每个第二类单元包括逻辑电路,用于:
检测其对应第一类单元的故障;以及
一旦检测到故障,就从停用状态变换到现用状态。
37.权利要求35的系统,其中每个第二类单元包括逻辑电路,用于:
承担第二类单元角色;
搜索对应的第一类单元;以及
若检测到对应的第一类单元,则初始化为第二类单元。
38.权利要求37的系统,其中每个第二类单元还包括逻辑电路,用于:
若未检测到第一类单元,则承担第一类单元的角色;
搜索对应的第二类单元;以及
若检测到对应的第二类单元,则初始化为第一类单元。
39.权利要求38的系统,其中每个第二类单元还包括逻辑电路,用于若未检测到第二类单元,则初始化为第三类单元。
40.权利要求35的系统,还包括:
用于把每个第一类单元变换到现用状态的装置;
用于为每个第一类单元接收并存储第一数据库配置改变的装置;
用于把配置改变发送到对应的第二类单元的装置;以及
用于在对应的第二类单元上存储配置改变的装置。
41.权利要求40的系统,还包括:
用于把各个第一类单元变换到停用状态的装置;
用于在对应的第一类单元处于停用状态时,从第二类单元接收并存储第二数据库配置改变的装置;以及
用于在第一类单元重新变换到现用状态后,从第二类单元向第一类单元发送第二数据库配置改变的装置。
42.权利要求35的系统,还包括:
用于向各个第一类单元发送更新信息的装置;
用于更新各个第一类单元的装置;
用于从各个第一类单元向各第二类单元发送更新信息的装置;以及
用于更新各个第二类单元的装置。
43.一种用于管理一机构内的策略服务的系统,该机构包括一个具有第一组资源的第一网络和一个远离第一网络的具有第二组资源的第二网络,该系统包括:
和第一网络关联的第一边缘部件,第一边缘部件配置成根据存储在第一数据库中的第一策略设置,管理用于第一网络和第一组资源的策略组;
和第二网络关联的第二边缘部件,第二边缘部件配置成根据存储在第二数据库中的第二策略设置,管理用于第二网络和第二组资源的策略组;以及
一个从单个位置定义第一和第二策略设置并且管理第一和第二边缘部件的中央策略服务器,该中央策略服务器和一个存储着第一和第二边缘部件的配置信息的中央数据库相关,其中根据面向分层对象的结构组织该中央数据库。
44.权利要求43的系统,其中根据面向分层对象的结构组织第一和第二数据库。
45.权利要求43的系统,其中配置信息包括第一和第二策略设置。
46.权利要求45的系统,其中该面向分层对象的结构包括多个用于定义第一和第二策略设置的资源对象和策略对象。
47.权利要求46的系统,其中中央数据库和第一、第二数据库是轻便目录访问协议(LDAP)数据库,其把每个资源对象和策略对象存储为LDAP条目。
48.权利要求46的系统,其中资源对象是从由部件、用户、主机、服务和时间构成的组中选择的。
49.权利要求48的系统,其中部件包括第一和第二边缘部件,每个部件和一组用户和一特定主机相关。
50.权利要求48的系统,其中主机包括第一和第二网络。
51.权利要求46的系统,其中策略对象是从由带宽、防火墙、管理和虚拟专用网络分组构成的组中选择的。
52.权利要求51的系统,其中虚拟专用网络分组包括和一个或多个地点、用户和规则相关的虚拟专用网络。
53.权利要求52的系统,其中每个地点包括一个或多个在一边缘部件后面的网络。
54.权利要求52的系统,其中规章是对流过该虚拟专用网络的网络通话提供访问控制的防火墙规则。
55.一种用于选择性数据库同步的系统,包括:
一个中央数据库,其存储用于一机构内的多个边缘部件的配置信息,每个边缘部件和该机构内的一个网络关联并配置成管理用于该网络的各策略;
一个从属数据库,其存储和一具体边缘部件相关的配置信息的一部分;以及
一个和该中央数据库以及该从属数据库通信的中央策略服务器,该中央策略服务器包括逻辑电路,用于
在该中央数据库中对和该具体边缘部件相关的配置信息的一部分做出改变;
建立这些改变的运行记录;
在该中央数据库中存储该运行记录;以及
向该具体边缘部件发送这些改变以更新该从属数据库。
56.权利要求55的系统,其中该运行记录包括用于把该改变和一具体做出该改变的用户关联的用户运行记录,该具体用户和该具体边缘部件相关。
57.权利要求56的系统,其中该中央策略服务器还包括用于根据该做出改变的具体用户,辨别该具体边缘部件的逻辑电路。
58.权利要求57的系统,其中该运行记录包括用于存储该具体边缘部件的改变的部件运行记录。
59.权利要求55的系统,其中该中央策略服务器还包括逻辑电路,用于:
接收来自该具体边缘部件的该传送的状态;以及
若该状态指示成功传送,则从中央数据库删除该运行记录。
60.权利要求55的系统,其中该中央数据库和该从属数据库是轻便目录访问协议(LDAP)数据库,后者用由特异名标识的LDAP条目存储配置信息。
61.权利要求55的系统,其中该配置信息是策略管理信息。
62.在包括着根据第一策略设置管理用于第一网络的策略组的第一边缘部件以及根据第二策略设置管理用于第二网络的策略组的第二边缘部件的系统中,该系统还包括一个与第一、第二边缘部件通信并配置成从单个位置定义第一、第二策略设置和管理第一、第二边缘部件的中央策略服务器,每个边缘部件包括:
一个分类引擎,用于确定和一个输入包相关的协议;
一个策略引擎,用于根据和该包相关的策略设置,为该包做出传送决策;以及
一个包传送模块,用于根据策略设置传送包。
63.权利要求62的边缘部件,其中该分类引擎还包括一个存储协议对包流中找到的数据模式的映射的协议数据库。
64.权利要求62的边缘部件,其中该策略引擎还包括一个带有资源组名对每个组内的成员的现行映射的资源引擎。
65.权利要求64的边缘部件,其中该策略引擎还包括一个存储为和该包相关的一个组而定义的策略设置的策略规则组缓冲器。
66.权利要求64的边缘部件,其中该策略引擎还包括一个决策引擎,用于根据来自该资源引擎的会员资格信息把包和该策略规则组缓冲器中的策略设置匹配。
67.权利要求62的边缘部件,还包括一个用于验证发送该包的用户的安全引擎。
68.权利要求62的边缘部件,还包括一个用于收集流过该边缘部件的包上的统计数据的统计模块。
69.权利要求68的边缘部件,其中该统计模块保持对流过该边缘部件的包的字节计数,其中根据和各包相关的各资源,组织该字节计数。
70.一种计算机网络,包括:
和第一专用网络连接的第一边缘部件,第一边缘部件配置成建立带有通过第一边缘部件可到达的成员网络的信息的第一表,第一表存储在第一数据库中;
和第二专用网络连接的第二边缘部件,第二边缘部件配置成建立带有通过第二边缘部件可到达的成员网络的信息的第二表,第二表存储在第二数据库中;
其中,第一和第二边缘部件起动在第一和第二专用网络之间的安全通信,并且第一边缘部件和第二边缘部件共享第一表以及第二边缘部件和第一边缘部件共享第二表。
71.权利要求70的计算机网络,其中第一边缘部件包括逻辑电路,用于
接收新的路由信息;
在第一数据库中存储该新的路由信息;以及
把该新的路由信息的一部分发送给第二边缘部件。
72.权利要求71的计算机网络,其中该一部分的新的路由信息是路由名。
73.权利要求71的计算机网络,其中第二边缘部件包括逻辑电路,用于
接收该一部分的新的路由信息;
根据该一部分的新的路由信息访问第一数据库;
从第一数据库检索该新的路由信息;以及
在第二数据库中存储检索到的路由信息。
74.权利要求70的计算机网络,其中在第一和第二网络之间的通信是根据和这些网络相关的安全策略管理的。
75.权利要求74的计算机网络,其中为一个提供组的分层结构的安全组而定义该安全策略,该组包括成员网络、允许访问成员网络的用户和一条控制对成员网络的访问的规则。
76.权利要求75的计算机网络,其中每个成员网络具有与所有其它成员网络一起的完全的连通性,并且为每条连接自动配置为该安全策略组而定义的安全策略。
77.权利要求75的计算机网络,其中该安全策略提供在成员网络间的通话的加密,并且该规则是对在成员网络间的加密通话提供访问控制的防火墙规则。
78.一种计算机网络,包括:
一个和一个专用网络连接的边缘部件,该边缘部件配置成建立一个带有可通过该边缘部件达到的成员网络的信息的表,该表存储在一个数据库中;和
一个和该边缘部件通信的远程用户终端,该远程用户终端包括一个处理器,该处理器能执行程序指令,这些程序指令包括:
建立和边缘部件的通信;
向边缘部件发送验证信息;以及
从边缘部件接收带有各成员网络的信息的该表。
79.权利要求78的计算机网络,其中这些程序指令还包括自动地从边缘部件接收该表的更新。
80.权利要求78的计算机网络,其中这些程序指令还包括下载供安装并执行的客户软件。
81.权利要求80的计算机网络,其中该客户软件允许和通过该边缘部件能达到的各成员网络通信。
82.权利要求80的计算机网络,其中该客户软件允许下载该带有成员网络的信息的表。
83.权利要求80的计算机网络,其中该客户软件包括一个静态部分和一个动态部分,该静态部分包括一个可执行的设置文件,而该动态部分包括一个用专用于该正下载的远程用户终端的信息来替代的样板。
84.权利要求80的计算机网络,其中用来自该边缘部件的带有成员网络的信息的该表替换该动态部分。
85.一种用于管理一机构内的策略服务的系统,该机构包括一个具有第一组资源的第一网络和一个远离第一网络的具有第二组资源的第二网络,该系统包括:
和第一网络关联的第一边缘部件,第一边缘部件配置成根据存储在第一数据库中的第一策略设置,管理用于第一网络和第一组资源的策略组;
和第二网络关联的第二边缘部件,第二边缘部件配置成根据存储在第二数据库中的第二策略设置,管理用于第二网络和第二组资源的策略组;以及
一个和第一、第二边缘部件通信的中央策略服务器,该中央策略服务器配置成从单个地点定义第一和第二策略设置,并监视第一和第二边缘部件的健康和状态。
86.权利要求85的系统,其中该中央策略服务器包括:
一个日志收集和归档模块,用于周期地从每个边缘部件接收健康和状态信息;
一个和该日志收集和归档模块连接的档案数据库,用于存储健康和状态信息;以及
一个和该档案数据库连接的报告模块,用于根据健康和状态信息建立报告。
87.权利要求86的系统,其中每个边缘部件以预定义的公共日志格式收集和发送健康和状态信息。
88.权利要求86的系统,其中健康和状态信息包括流过边缘部件的包的网络流信息。
89.权利要求88的系统,其中每个边缘部件保持流过该边缘部件的包的字节计数,其中该字节计数是根据和各包相关的各资源组织的。
90.权利要求86的系统,其中健康和状态信息包括每个边缘部件的资源组的使用的统计。
91.权利要求90的系统,其中该报告指示在一周期时间内与某具体边缘部件相关的资源的使用。
92.权利要求86的系统,其中该中央策略服务器还包括用于确定每个边缘部件何时向日志收集和归档模块发送健康和状态信息的装置。
93.一种高可用性系统,包括:
管理第一网络的策略的第一边缘部件;
管理第二网络的策略的第二边缘部件;以及
一个和第一、第二边缘部件通信的中央策略服务器,该中央策略服务器从单个位置管理第一和第二边缘部件;
其中,该中央策略服务器和第一、第二边缘部件包括第一类单元和第二类单元,每个第二类单元在第一类单元出故障时提供对应第一类单元的备份。
94.权利要求93的系统,其中每个第二类单元初始处于停用状态,每个第二类单元包括逻辑电路,用于:
检测其对应第一类单元的故障;以及
一旦检测到故障,就从停用状态变换到现用状态。
95.权利要求93的系统,其中每个第二类单元包括逻辑电路,用于:
承担第二类单元角色;
搜索对应的第一类单元;以及
若检测到对应的第一类单元,则初始化为第二类单元。
96.权利要求95的系统,其中每个第二类单元还包括逻辑电路用于:
若未检测到第一类单元,则承担第一类单元的角色;
搜索对应的第二类单元;以及
若检测到对应的第二类单元,则初始化为第一类单元。
97.权利要求96的系统,其中每个第二类单元还包括逻辑电路,用于若未检测到第二类单元,则初始化为第三类单元。
98.权利要求93的系统,还包括:
用于把每个第一类单元变换到现用状态的装置;
用于为每个第一类单元接收并存储第一数据库配置改变的装置;
用于把配置改变发送到对应的第二类单元的装置;以及
用于在对应的第二类单元上存储配置改变的装置。
99.权利要求98的装置,还包括:
用于把各个第一类单元变换到停用状态的装置;
用于在对应的第一类单元处于停用状态时,从第二类单元接收并存储第二数据库配置改变的装置;以及
用于在第一类单元重新变换到现用状态后,从第二类单元向第一类单元发送第二数据库配置改变的装置。
100.权利要求93的系统还包括:
用于向各个第一类单元发送更新信息的装置;
用于更新各个第一类单元的装置;
用于从各个第一类单元向各第二类单元发送更新信息的装置;以及
用于更新各个第二类单元的装置。
101.在一个包括具有第一组资源的第一网络和远离第一网络的具有第二组资源的第二网络的系统中,其中第一网络和第一边缘部件及第一数据库相关,第二网络和第二边缘部件及第二数据库相关,该系统还包括一个和第一、第二边缘部件通信的中央策略服务器,一种用于管理该系统内的策略服务的方法包括:
在第一数据库中存储第一策略设置;
在第二数据库中存储第二策略设置;
根据第一数据库中存储的第一策略设置从第一边缘部件,管理用于第一网络和第一组资源的策略组;
根据第二数据库中存储的第二策略设置从第二边缘部件,管理用于第二网络和第二组资源的策略组;
从该中央策略服务器在单个地点上,定义第一、第二策略设置,并管理第一、第二边缘部件。
102.权利要求101的方法,其中策略是防火墙策略。
103.权利要求101的方法,其中策略是虚拟专用网络策略。
104.权利要求101的方法,其中该中央策略服务器包括一个中央数据库,并且该方法还包括在该中央数据库中存储第一和第二边缘部件的配置信息。
105.权利要求104的方法,其中配置信息包括第一和第二策略设置。
106.权利要求104的方法,还包括:
做出第一和第二边缘部件的配置信息的改变;并且在该中央数据库中存储这些改变的运行日志。
107.权利要求106的方法,还包括把改变的运行记录发送到第一和第二边缘部件,用于分别更新第一和第二数据库。
108.权利要求107的方法,还包括在成功更新第一和第二数据库时,从中央数据库删除这些改变的运行日志。
109.权利要求104的方法,其中根据面向分层对象的结构,组织中央数据库和第一、第二数据库。
110.权利要求109的方法,其中该面向分层对象的结构包括多个用于定义第一和第二策略设置的资源对象和策略对象。
111.权利要求110的方法,其中资源对象是从由部件、用户、主机、服务和时间构成的组中选择的。
112.权利要求110的方法,其中中央数据库和第一、第二数据库是轻便目录访问协议(LDAP)数据库,其把每个资源对象和策略对象存储为LDAP条目。
113.权利要求101的方法,还包括从该中央策略服务器安装第一和第二边缘部件。
114.权利要求101的方法,还包括用该中央策略服务器注册第一和第二部件。
115.权利要求101的方法,还包括从该中央策略服务器监视第一和第二边缘部件的健康和状态。
116.权利要求101的方法,还包括:
周期地从每个边缘部件接收健康和状态信息;
在一个档案数据库中存储健康和状态信息;以及
根据健康和状态信息建立报告。
117.权利要求116的方法,其中每个边缘部件以预定义的公共日志格式收集和发送健康和状态信息。
118.权利要求116的方法,其中健康和状态信息包括网络流信息。
119.权利要求116的方法,其中健康和状态信息包括对每个边缘部件的资源组的使用的统计。
120.权利要求101的方法,其中每个边缘部件包括一个分类引擎、一个策略引擎和一个包传送引擎,用来把策略组的管理集成到该边缘部件上,并且对用于每个网络的策略组的管理还包括:
利用该分类引擎确定和每个输入包相关的协议;
利用该策略引擎根据和该包相关的策略设置,为该包做出传送决策;以及
利用该包传送模块根据策略设置传送包。
121.权利要求120的方法,其中每个边缘部件包括一个安全引擎,并且管理用于每个网络的策略组还包括验证发送该包的用户。
122.权利要求120的方法,其中每个边缘部件包括一个统计模块,并且管理用于每个网络的策略组还包括收集流过边缘部件的包上的统计信息。
123.权利要求101的方法,其中每个网络都是一个专用网络,并且每个边缘部件都被配置成建立一个带有能通过该边缘部件达到的成员网络的信息的表。
124.权利要求123的方法,其中第一和第二边缘部件起动在第一和第二专用网络之间的安全通信,并且该方法还包括:
和第二边缘部件共享第一表;以及
和第一边缘部件共享第二表。
125.权利要求123的方法,还包括:
接收新的路由信息;
把该新的路由信息存储在第一数据库中;以及
把该新路由信息中的一部分发送给第二边缘部件。
126.权利要求123的方法,其中根据和各成员网络相关的一个安全策略管理通信。
127.权利要求126的方法,还包括为一个安全策略组定义该安全策略,提供该组的分层结构的该组包括成员网络、允许访问成员网络的用户和一条控制对成员网络的访问的规则。
128.权利要求127的方法,其中每个成员网络具有完整的同所有其它成员网络一起的连通性,并且该方法还包括为每条连接自动配置为该安全策略组定义的安全策略。
129.权利要求127的方法,其中该安全策略在成员网络之间提供通话加密,并且该规则是在成员网络之间对加密通话提供访问控制的防火墙规则。
130.权利要求127的方法,其中该系统还包括用于从远程位置访问各成员网络的远程用户终端,该方法还包括:
建立和远程终端的通信;
从远程终端接收验证信息;以及
向远程终端发送带有动态成员网络的信息的表。
131.权利要求130的方法,还包括自动地向远程终端发送该表的更新。
132.权利要求101的方法,其中该中央策略服务器和第一、第二边缘部件包括第一类单元和第二类单元,每个第二类单元在第一类单元出故障时提供对应第一类单元的备份。
133.权利要求132的方法,其中每个第二类单元初始处于停用状态,并且该方法还包括:
检测其对应第一类单元的故障;以及
一旦检测到故障,就从停用状态变换到现用状态。
134.权利要求132的方法,还包括初始化每个单元,其中该初始化包括:
对该单元分配第二类单元角色;
搜索对应的第一类单元;以及
若检测到对应的第一类单元,则初始化该单元为第二类单元。
135.权利要求134的方法,还包括:
若未检测到第一类单元,就对该单元分配第一类单元的角色;
搜索对应的第二类单元;以及
若检测到对应的第二类单元,就初始化该单元为第一类单元。
136.权利要求135的方法,还包括若未检测到对应第二类单元,就把该单元初始化为第三类单元。
137.权利要求132的方法,还包括:
把每个第一类单元变换到现用状态;
为每个第一类单元接收并存储第一数据库配置改变;
把配置改变发送到对应的第二类单元;以及
在对应的第二类单元上存储配置改变。
138.权利要求137的方法,还包括:
把各个第一类单元变换到停用状态;
在对应的第一类单元处于停用状态时,从第二类单元接收并存储第二数据库配置改变;以及
在第一类单元重新变换到现用状态后,从第二类单元向第一类单元发送第二数据库配置改变。
139.权利要求132的方法,还包括:
向各个第一类单元发送更新信息;
更新各个第一类单元;
从各个第一类单元向各第二类单元发送更新信息;以及
更新各个第二类单元。
140.在一个包括具有第一组资源的第一网络和远离第一网络的具有第二组资源的第二网络的系统中,其中第一网络和第一边缘部件及第一数据库相关,第二网络和第二边缘部件及第二数据库相关,该系统还包括一个和第一、第二边缘部件通信的中央策略服务器,该中央策略服务器和一个中央数据库相关,一种用于管理该系统内的策略服务的方法包括:
在该中央数据库中存储第一和第二边缘部件的配置信息,该中央数据库按面向分层对象的结构组织;
在第一数据库中存储第一策略设置;
在第二数据库中存储第二策略设置;
根据第一数据库中存储的第一策略设置从第一边缘部件,管理用于第一网络和第一组资源的策略组;
根据第二数据库中存储的第二策略设置从第二边缘部件,管理用于第二网络和第二组资源的策略组;
从该中央策略服务器定义第一、第二策略设置并管理第一、第二边缘部件。
141.权利要求140的方法,其中根据面向分层对象的结构组织第一和第二数据库。
142.权利要求140的方法,其中配置信息包括第一和第二策略设置。
143.权利要求142的方法,其中该面向分层对象的结构包括多个用于定义第一和第二策略设置的资源对象和策略对象。
144.权利要求143的方法,其中中央数据库和第一、第二数据库是轻便目录访问协议(LDAP)数据库,其把每个资源对象和策略对象存储为LDAP条目。
145.权利要求143的方法,其中资源对象是从由部件、用户、主机、服务和时间构成的组中选择的。
146.权利要求145的方法,其中部件包括第一和第二边缘部件,每个部件和一组用户和一特定主机相关。
147.权利要求145的方法,其中主机包括第一和第二网络。
148.权利要求143的方法,其中策略对象是从由带宽、防火墙、管理和虚拟专用网络分组构成的组中选择的。
149.权利要求148的方法,其中虚拟专用网络分组包括和一个或多个地点、用户和规则相关的虚拟专用网络。
150.权利要求149的方法,其中每个地点包括一个或多个在一边缘部件后面的网络。
151.权利要求149的方法,其中规章是对流过该虚拟专用网络的网络通话提供访问控制的防火墙规则。
152.一种用于选择性数据库同步的方法,包括:
在一个中央数据库中存储用于一机构内的多个边缘部件的配置信息,每个边缘部件和该机构内的一个网络关联并配置成管理用于该网络的各策略;
在一个从属数据库中存储和一具体边缘部件相关的配置信息的一部分;以及
在该中央数据库中对和该具体边缘部件相关的配置信息的一部分做出改变;
建立这些改变的运行记录;
在该中央数据库中存储该运行记录;以及
根据这些改变更新该从属数据库。
153.权利要求152的系统,其中建立改变的运行记录还包括建立用于把该改变和一具体做出该改变的用户关联的用户运行记录,该具体用户和该具体边缘部件相关。
154.权利要求153的方法,还包括根据该做出改变的具体用户辨别该具体边缘部件。
155.权利要求154的方法,其中建立改变的运行记录还包括建立用于存储该具体边缘部件的改变的部件运行记录。
156.权利要求152的方法,还包括:
接收来自该具体边缘部件的该传送的状态;以及
若该状态指示成功传送,则从中央数据库删除该运行记录。
157.权利要求152的方法,其中该中央数据库和该从属数据库是轻便目录访问协议(LDAP)数据库,后者用由特异名标识的LDAP条目存储配置信息。
158.权利要求152的方法,其中该配置信息是策略管理信息。
159.在包括着根据第一策略设置管理用于第一网络的策略组的第一边缘部件以及根据第二策略设置管理用于第二网络的策略组的第二边缘部件的系统中,该系统还包括一个与第一、第二边缘部件通信并配置成从单个位置定义第一、第二策略设置和管理第一、第二边缘部件的中央策略服务器,其中一种用于集成式策略管理的方法包括:
确定和输入包相关的协议;
根据和该包相关的策略设置,为该包做出传送决策;以及
根据策略设置传送包。
160.权利要求159的方法,其中该确定还包括:
在协议数据库中存储协议对包流中找到的数据模式的映射;以及
把包和该协议数据中存储的协议相匹配。
161.权利要求159的方法,还包括在一个资源引擎中保持资源组名对每个组内的成员的现行映射。
162.权利要求161的方法,还包括在一个策略缓冲器中存储为和该包相关的一个组而定义的策略设置。
163.权利要求162的方法,包括根据来自该资源引擎的会员资格信息把包和该策略规则组缓冲器中的策略设置匹配。
164.权利要求159的方法,还包括验证发送该包的用户。
165.权利要求159的方法,还包括收集流过该边缘部件的包上的统计数据。
166.权利要求165的方法,其中该收集还包括:
保持对流过该边缘部件的包的字节计数;以及
根据和各包相关的各资源组织该字节计数。
167.在一个包括和第一专用网络连接的第一边缘部件以及和第二专用网络连接的第二边缘部件的计算机网络中,第一和第二边缘部件起动在第一和第二专用网络之间的安全通信,其中一种用于收集会员资格信息的方法包括:
建立带有可通过第一边缘部件到达的成员网络的第一表;
在第一数据库中存储第一表;
建立带有可通过第二边缘部件到达的成员网络的第二表;
在第二数据库中存储第二表;
和第二边缘部件共享第一表;以及
和第一边缘部件共享第二表。
168.权利要求167的方法,还包括:
接收新的路由信息;
在第一数据库中存储该新的路由信息;以及
把该新的路由信息的一部分发送给第二边缘部件。
169.权利要求168的方法,其中该一部分的新的路由信息是路由名。
170.权利要求168的方法,还包括:
接收该一部分的新的路由信息;
根据该一部分的新的路由信息访问第一数据库;
从第一数据库检索该新的路由信息;以及
在第二数据库中存储检索到的路由信息。
171.权利要求167的方法,其中在第一和第二网络之间的通信是根据和这些网络相关的安全策略管理的。
172.权利要求171的方法,还包括为一个安全组而定义该安全策略,该组为包括成员网络、允许访问成员网络的用户和一条控制对成员网络的访问的规则的组而提供分层结构。
173.权利要求172的方法,其中每个成员网络具有与所有其它成员网络一起的完全的连通性,并且为每条连接自动配置为该安全策略组而定义的安全策略。
174.权利要求172的方法,其中该安全策略提供在成员网络间的通话的加密,并且该规则是对在成员网络间的加密通话提供访问控制的防火墙规则。
175.在一个包括一个和一个专用网络连接的边缘部件的计算机网络中,该边缘部件包括一个带有可通过该边缘部件达到的成员网络的信息的表,一种向远程用户终端提供成员网络的信息的方法,该方法包括:
建立和该边缘部件的通信;
向该边缘部件发送验证信息;以及
下载一个客户软件供在该远程用户终端上安装和执行,该客户软件允许和能通过该边缘部件达到的成员网络通信,该客户软件还允许下载该带有成员网络的信息的表。
176.权利要求175的方法,还包括自动地从边缘部件接收该表的更新。
177.权利要求175的方法,其中该客户软件包括一个静态部分和一个动态部分,该静态部分包括一个可执行的设置文件,而该动态部分包括一个用专用于该正下载的远程用户终端的信息来替代的样板,并且该方法还包括用来自该边缘部件的带有成员网络的信息的该表替换该动态部分。
178.在一个包括具有第一组资源的第一网络和远离第一网络的具有第二组资源的第二网络的系统中,其中第一网络和第一边缘部件及第一数据库相关,第二网络和第二边缘部件及第二数据库相关,该系统还包括一个和第一、第二边缘部件通信的中央策略服务器,该中央策略服务器和一个中央数据库关联,一种用于管理该系统内的策略服务的方法包括:
在该中央数据库中存储第一和第二边缘部件的配置信息;
在第一数据库中存储第一策略设置;
在第二数据库中存储第二策略设置;
根据第一数据库中存储的第一策略设置从第一边缘部件,管理用于第一网络和第一组资源的策略组;
根据第二数据库中存储的第二策略设置从第二边缘部件,管理用于第二网络和第二组资源的策略组;
从该中央策略服务器定义第一、第二策略设置,并监视第一、第二边缘部件的健康和状态。
179.权利要求178的方法,其中该监视还包括:
周期地从每个边缘部件接收健康和状态信息;
在一个档案数据库中存储健康和状态信息;以及
根据健康和状态信息建立报告。
180.权利要求179的方法,其中每个边缘部件以预定义的公共日志格式收集和发送健康和状态信息。
181.权利要求179的方法,其中健康和状态信息包括网络流信息。
182.权利要求181的方法,还包括:
保持流过该边缘部件的包的字节计数;和
根据和各包关联的各资源组织字节计数。
183.权利要求179的方法,其中健康和状态信息包括每个边缘部件的资源组的使用的统计。
184.权利要求183的方法,其中该报告指示在一周期时间内与某具体边缘部件相关的资源的使用。
185.权利要求179的方法,其中该监测还包括:确定每个边缘部件何时向日志收集和归档模块发送健康和状态信息。
186.在一个包括管理第一网络的策略组的第一边缘部件、管理第二网络的策略组的第二边缘部件以及一个和第一、第二边缘部件通信的中央策略服务器的系统中,该中央策略服务器从单个位置管理第一和第二边缘部件,其中使用一种用于避免该中央策略服务器和第一、第二边缘部件之中的单点故障的方法,该方法包括:
保持用于该中央策略服务器以及第一、第二边缘部件的第一单元组;
保持用于该中央策略服务器以及第一、第二边缘部件的第二单元组,每个第二类单元充当对应第一类单元的备份,每个第二类单元初始处于停用状态;
检测一个第一类单元的故障;以及
一旦检测到故障,就把对应的备份部件从停用状态变换到现用状态。
187.权利要求186的方法,还包括:
承担第二类单元角色;
搜索对应的第一类单元;以及
若检测到对应的第一类单元,就初始化为第二类单元。
188.权利要求187的方法,还包括:
若未检测到第一类单元,就承担第一类单元的角色;
搜索对应的第二类单元;以及
若检测到对应的第二类单元,就初始化为第一单元。
189.权利要求188的方法,还包括若未检测到对应的第二类单元,就初始化为第三类单元。
190.权利要求186的方法,还包括:
把每个第一类单元变换到现用状态;
为每个第一类单元而接收并存储第一数据库的配置改变;
把配置改变发送到对应的第二类单元;以及
在对应的第二类单元上存储配置改变。
191.权利要求190的方法,还包括:
把各个第一类单元变换到停用状态;
在对应的第一类单元处于停用状态时从第二类单元接收并存储第二数据库的配置改变;以及
在第一类单元重新变换到现用状态后,从第二类单元向第一类单元发送第二数据库配置改变。
192.权利要求186的方法,还包括:
向各个第一类单元发送更新信息;
更新各个第一类单元;
从各个第一类单元向各第二类单元发送更新信息;以及
更新各个第二类单元。
Applications Claiming Priority (32)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13904399P | 1999-06-10 | 1999-06-10 | |
| US13905399P | 1999-06-10 | 1999-06-10 | |
| US13903699P | 1999-06-10 | 1999-06-10 | |
| US13904299P | 1999-06-10 | 1999-06-10 | |
| US13903599P | 1999-06-10 | 1999-06-10 | |
| US13884999P | 1999-06-10 | 1999-06-10 | |
| US13904899P | 1999-06-10 | 1999-06-10 | |
| US13903399P | 1999-06-10 | 1999-06-10 | |
| US13903899P | 1999-06-10 | 1999-06-10 | |
| US13885099P | 1999-06-10 | 1999-06-10 | |
| US13904799P | 1999-06-10 | 1999-06-10 | |
| US13905299P | 1999-06-10 | 1999-06-10 | |
| US13903499P | 1999-06-10 | 1999-06-10 | |
| US13904999P | 1999-06-10 | 1999-06-10 | |
| US13904499P | 1999-06-10 | 1999-06-10 | |
| US60/139,053 | 1999-06-10 | ||
| US60/139,052 | 1999-06-10 | ||
| US60/139,049 | 1999-06-10 | ||
| US60/139,034 | 1999-06-10 | ||
| US60/139,048 | 1999-06-10 | ||
| US60/139,038 | 1999-06-10 | ||
| US60/139,033 | 1999-06-10 | ||
| US60/139,035 | 1999-06-10 | ||
| US60/139,043 | 1999-06-10 | ||
| US60/138,850 | 1999-06-10 | ||
| US60/138,849 | 1999-06-10 | ||
| US60/139,047 | 1999-06-10 | ||
| US60/139,042 | 1999-06-10 | ||
| US60/139,036 | 1999-06-10 | ||
| US60/139,044 | 1999-06-10 | ||
| US13907699P | 1999-06-11 | 1999-06-11 | |
| US60/139,076 | 1999-06-11 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1483270A true CN1483270A (zh) | 2004-03-17 |
| CN100384191C CN100384191C (zh) | 2008-04-23 |
Family
ID=27585810
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB008013780A Expired - Fee Related CN100384191C (zh) | 1999-06-10 | 2000-06-12 | 基于策略的网络体系结构 |
Country Status (7)
| Country | Link |
|---|---|
| US (3) | US6944183B1 (zh) |
| EP (1) | EP1145519B1 (zh) |
| JP (2) | JP2003502757A (zh) |
| CN (1) | CN100384191C (zh) |
| AT (5) | ATE326801T1 (zh) |
| AU (1) | AU5486800A (zh) |
| WO (1) | WO2000078004A2 (zh) |
Cited By (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100352211C (zh) * | 2005-11-01 | 2007-11-28 | 华为技术有限公司 | 一种无线局域网中策略信息更新的方法和系统 |
| CN101154240A (zh) * | 2006-09-30 | 2008-04-02 | 戴尔产品有限公司 | 基于对象面向服务的架构方法、装置和介质 |
| CN100411350C (zh) * | 2005-03-01 | 2008-08-13 | 联想(北京)有限公司 | 一种混合策略加载系统及实现策略管理的方法 |
| CN100461719C (zh) * | 2006-06-15 | 2009-02-11 | 华为技术有限公司 | 服务健康度检测系统及方法 |
| CN1764191B (zh) * | 2004-10-18 | 2010-04-07 | 国际商业机器公司 | 用于动态更新会话状态亲缘性的方法和系统 |
| CN101753556A (zh) * | 2008-11-27 | 2010-06-23 | 日立软件工程株式会社 | 利用了策略组识别符的客户机控制系统 |
| CN1777179B (zh) * | 2004-11-19 | 2010-09-01 | 微软公司 | 用于分发安全策略的方法和系统 |
| CN101833620A (zh) * | 2010-04-28 | 2010-09-15 | 国网电力科学研究院 | 一种基于自定义安全jdbc驱动的数据库防护方法 |
| CN101197694B (zh) * | 2006-12-04 | 2011-05-11 | 中兴通讯股份有限公司 | 一种通讯系统日志集中统计、处理系统及其方法 |
| CN101552695B (zh) * | 2009-05-06 | 2011-07-13 | 中兴通讯股份有限公司 | 一种跨多专业网的统一网络管理方法及系统 |
| CN102244649A (zh) * | 2010-05-12 | 2011-11-16 | 杭州华三通信技术有限公司 | 一种安全网络间传输数据的方法和资料处理机 |
| CN102487377A (zh) * | 2010-12-01 | 2012-06-06 | 中铁信息计算机工程有限责任公司 | 一种认证与权限管理系统 |
| CN102664864A (zh) * | 2010-12-15 | 2012-09-12 | 波音公司 | 合作的基于规则的安全 |
| CN103875276A (zh) * | 2011-10-07 | 2014-06-18 | 瑞典爱立信有限公司 | 用于bbf和3gpp接入互通的bng到pcrf中介实体 |
| CN105247508A (zh) * | 2013-04-10 | 2016-01-13 | 伊尔拉米公司 | 使用基于逻辑多维度标签的策略模型的分布式网络管理 |
| CN105546190A (zh) * | 2016-01-08 | 2016-05-04 | 西安正昌电子股份有限公司 | 一种气压可调式双电控先导记忆阀体装置 |
| CN101276301B (zh) * | 2007-03-27 | 2016-06-08 | 赛门铁克公司 | 在数据备份系统中的备份任务之间分配资源的方法和装置 |
| US9882919B2 (en) | 2013-04-10 | 2018-01-30 | Illumio, Inc. | Distributed network security using a logical multi-dimensional label-based policy model |
| CN108809680A (zh) * | 2017-05-04 | 2018-11-13 | 腾讯科技(深圳)有限公司 | 一种设备管理的方法及设备 |
| CN115460067A (zh) * | 2017-11-09 | 2022-12-09 | Nicira股份有限公司 | 对计算机网络的高可用性增强的方法和系统 |
| US11909815B2 (en) | 2022-06-06 | 2024-02-20 | VMware LLC | Routing based on geolocation costs |
| US11943146B2 (en) | 2021-10-01 | 2024-03-26 | VMware LLC | Traffic prioritization in SD-WAN |
Families Citing this family (435)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8914410B2 (en) | 1999-02-16 | 2014-12-16 | Sonicwall, Inc. | Query interface to policy server |
| US7272625B1 (en) * | 1997-03-10 | 2007-09-18 | Sonicwall, Inc. | Generalized policy server |
| US7821926B2 (en) | 1997-03-10 | 2010-10-26 | Sonicwall, Inc. | Generalized policy server |
| US6408336B1 (en) | 1997-03-10 | 2002-06-18 | David S. Schneider | Distributed administration of access to information |
| GB2354605B (en) * | 1999-06-25 | 2002-06-19 | Jacobs Rimell | Automated provisioning system |
| US7293067B1 (en) * | 1999-07-16 | 2007-11-06 | Canon Kabushiki Kaisha | System for searching device on network |
| US7106756B1 (en) | 1999-10-12 | 2006-09-12 | Mci, Inc. | Customer resources policy control for IP traffic delivery |
| US7877492B2 (en) * | 1999-10-12 | 2011-01-25 | Webmd Corporation | System and method for delegating a user authentication process for a networked application to an authentication agent |
| US7369536B2 (en) * | 1999-11-02 | 2008-05-06 | Verizon Business Global Llc | Method for providing IP telephony with QoS using end-to-end RSVP signaling |
| US6970930B1 (en) | 1999-11-05 | 2005-11-29 | Mci, Inc. | Method and system of providing differentiated services |
| US7213068B1 (en) * | 1999-11-12 | 2007-05-01 | Lucent Technologies Inc. | Policy management system |
| EP1117265A1 (en) * | 2000-01-15 | 2001-07-18 | Telefonaktiebolaget Lm Ericsson | Method and apparatus for global roaming |
| US7016980B1 (en) * | 2000-01-18 | 2006-03-21 | Lucent Technologies Inc. | Method and apparatus for analyzing one or more firewalls |
| US20010037384A1 (en) * | 2000-05-15 | 2001-11-01 | Brian Jemes | System and method for implementing a virtual backbone on a common network infrastructure |
| US7032023B1 (en) * | 2000-05-16 | 2006-04-18 | America Online, Inc. | Throttling electronic communications from one or more senders |
| US7418489B2 (en) * | 2000-06-07 | 2008-08-26 | Microsoft Corporation | Method and apparatus for applying policies |
| US7174557B2 (en) | 2000-06-07 | 2007-02-06 | Microsoft Corporation | Method and apparatus for event distribution and event handling in an enterprise |
| US7444395B2 (en) * | 2000-06-07 | 2008-10-28 | Microsoft Corporation | Method and apparatus for event handling in an enterprise |
| US7171459B2 (en) * | 2000-06-07 | 2007-01-30 | Microsoft Corporation | Method and apparatus for handling policies in an enterprise |
| US7032031B2 (en) * | 2000-06-23 | 2006-04-18 | Cloudshield Technologies, Inc. | Edge adapter apparatus and method |
| US7266683B1 (en) * | 2001-07-27 | 2007-09-04 | Siddhartha Nag | Selective encryption of application session packets |
| US7788354B2 (en) * | 2000-07-28 | 2010-08-31 | Siddhartha Nag | End-to-end service quality in a voice over Internet Protocol (VoIP) Network |
| US7774468B1 (en) | 2000-07-28 | 2010-08-10 | Siddhartha Nag | Network traffic admission control |
| US7886054B1 (en) * | 2000-10-11 | 2011-02-08 | Siddhartha Nag | Graphical user interface (GUI) for administering a network implementing media aggregation |
| US7013338B1 (en) | 2000-07-28 | 2006-03-14 | Prominence Networks, Inc. | Multiplexing several individual application sessions over a pre-allocated reservation protocol session |
| US7725587B1 (en) | 2000-08-24 | 2010-05-25 | Aol Llc | Deep packet scan hacker identification |
| US7711790B1 (en) * | 2000-08-24 | 2010-05-04 | Foundry Networks, Inc. | Securing an accessible computer system |
| US7120144B1 (en) * | 2000-09-20 | 2006-10-10 | Ipolicy Networks, Inc. | Universal application decode engine |
| US7606898B1 (en) * | 2000-10-24 | 2009-10-20 | Microsoft Corporation | System and method for distributed management of shared computers |
| US6907395B1 (en) * | 2000-10-24 | 2005-06-14 | Microsoft Corporation | System and method for designing a logical model of a distributed computer system and deploying physical resources according to the logical model |
| US8996698B1 (en) * | 2000-11-03 | 2015-03-31 | Truphone Limited | Cooperative network for mobile internet access |
| US7346928B1 (en) * | 2000-12-01 | 2008-03-18 | Network Appliance, Inc. | Decentralized appliance virus scanning |
| US7778981B2 (en) * | 2000-12-01 | 2010-08-17 | Netapp, Inc. | Policy engine to control the servicing of requests received by a storage server |
| CA2327211A1 (en) * | 2000-12-01 | 2002-06-01 | Nortel Networks Limited | Management of log archival and reporting for data network security systems |
| US7353269B2 (en) * | 2000-12-21 | 2008-04-01 | Fujitsu Limited | Network monitoring system |
| US7389341B2 (en) | 2001-01-31 | 2008-06-17 | Accenture Llp | Remotely monitoring a data processing system via a communications network |
| US8176137B2 (en) * | 2001-01-31 | 2012-05-08 | Accenture Global Services Limited | Remotely managing a data processing system via a communications network |
| US7096256B1 (en) * | 2001-02-26 | 2006-08-22 | Juniper Network, Inc. | Applying configuration group information to target configuration information |
| US7222255B1 (en) * | 2001-02-28 | 2007-05-22 | 3Com Corporation | System and method for network performance testing |
| US8341116B2 (en) * | 2001-03-20 | 2012-12-25 | Verizon Business Global Llc | Systems and methods for updating an LDAP |
| US7796608B2 (en) * | 2001-03-20 | 2010-09-14 | Verizon Business Global Llc | Edge-based per-flow QoS admission control in a data network |
| US8660017B2 (en) | 2001-03-20 | 2014-02-25 | Verizon Business Global Llc | Systems and methods for updating IP communication service attributes using an LDAP |
| US20020138603A1 (en) * | 2001-03-20 | 2002-09-26 | Robohm Kurt W. | Systems and methods for updating IP communication service attributes |
| US7069337B2 (en) * | 2001-03-20 | 2006-06-27 | Mci, Inc. | Policy-based synchronization of per-class resources between routers in a data network |
| US6990518B1 (en) | 2001-03-22 | 2006-01-24 | Agilent Technologies, Inc. | Object-driven network management system enabling dynamically definable management behavior |
| US7093280B2 (en) * | 2001-03-30 | 2006-08-15 | Juniper Networks, Inc. | Internet security system |
| DE10117133B4 (de) * | 2001-04-05 | 2005-07-07 | T-Mobile Deutschland Gmbh | Verfahren und Vorrichtung zur Wegsteuerung von IP-Verbindungen in einem teilnehmerbezogenen Kommunikationsnetz |
| US7536715B2 (en) | 2001-05-25 | 2009-05-19 | Secure Computing Corporation | Distributed firewall system and method |
| US7130839B2 (en) * | 2001-05-29 | 2006-10-31 | Sun Microsystems, Inc. | Method and system for grouping entries in a directory server by group memberships defined by roles |
| US8385342B2 (en) | 2001-05-31 | 2013-02-26 | Fujitsu Limited | System and method of virtual private network route target filtering |
| US20020184388A1 (en) * | 2001-06-01 | 2002-12-05 | Nimer Yaseen | Layered approach to virtual private routing |
| US7450505B2 (en) * | 2001-06-01 | 2008-11-11 | Fujitsu Limited | System and method for topology constrained routing policy provisioning |
| US8014283B2 (en) * | 2001-06-01 | 2011-09-06 | Fujitsu Limited | System and method for topology constrained QoS provisioning |
| US7099947B1 (en) * | 2001-06-08 | 2006-08-29 | Cisco Technology, Inc. | Method and apparatus providing controlled access of requests from virtual private network devices to managed information objects using simple network management protocol |
| US7526480B2 (en) | 2001-06-08 | 2009-04-28 | Cisco Technology, Inc. | Method and apparatus for controlled access of requests from virtual private network devices to managed information objects using simple network management protocol and multi-topology routing |
| US20030018774A1 (en) * | 2001-06-13 | 2003-01-23 | Nokia Corporation | System and method for load balancing in ad hoc networks |
| US7418536B2 (en) * | 2001-07-30 | 2008-08-26 | Cisco Technology, Inc. | Processor having systolic array pipeline for processing data packets |
| US7382787B1 (en) | 2001-07-30 | 2008-06-03 | Cisco Technology, Inc. | Packet routing and switching device |
| US7072958B2 (en) | 2001-07-30 | 2006-07-04 | Intel Corporation | Identifying network management policies |
| JP2003051857A (ja) * | 2001-08-06 | 2003-02-21 | Nec Corp | データ通信システム、データ通信端末及びそれに用いるデータ通信方法並びにそのプログラム |
| US7177869B2 (en) * | 2001-09-19 | 2007-02-13 | Fuji Xerox Co., Ltd. | Service retrieving apparatus and service retrieving method |
| GB0123057D0 (en) * | 2001-09-25 | 2001-11-14 | Red M Communications Ltd | Virtual wireless network services |
| JP4160506B2 (ja) | 2001-09-28 | 2008-10-01 | レヴェル 3 シーディーエヌ インターナショナル インコーポレーテッド. | 構成可能な適応型広域トラフィック制御および管理 |
| US8776230B1 (en) | 2001-10-02 | 2014-07-08 | Mcafee, Inc. | Master security policy server |
| FI20011949A0 (fi) * | 2001-10-05 | 2001-10-05 | Stonesoft Corp | Virtuaalisen yksityisverkon hallinta |
| US7043660B1 (en) * | 2001-10-08 | 2006-05-09 | Agilent Technologies, Inc. | System and method for providing distributed fault management policies in a network management system |
| US7765313B2 (en) | 2001-10-09 | 2010-07-27 | Alcatel Lucent | Hierarchical protocol classification engine |
| NO316737B1 (no) * | 2001-11-08 | 2004-04-19 | Beep Science As | Arrangement og fremgangsmate for innholdskontroll av dataobjekter, spesielt dataobjekter i MMS-meldinger |
| US7318095B2 (en) * | 2001-11-21 | 2008-01-08 | Clearcube Technology, Inc. | Data fail-over for a multi-computer system |
| US7562232B2 (en) * | 2001-12-12 | 2009-07-14 | Patrick Zuili | System and method for providing manageability to security information for secured items |
| US8006280B1 (en) | 2001-12-12 | 2011-08-23 | Hildebrand Hal S | Security system for generating keys from access rules in a decentralized manner and methods therefor |
| US7478418B2 (en) * | 2001-12-12 | 2009-01-13 | Guardian Data Storage, Llc | Guaranteed delivery of changes to security policies in a distributed system |
| USRE41546E1 (en) | 2001-12-12 | 2010-08-17 | Klimenty Vainstein | Method and system for managing security tiers |
| US10033700B2 (en) | 2001-12-12 | 2018-07-24 | Intellectual Ventures I Llc | Dynamic evaluation of access rights |
| US7921288B1 (en) | 2001-12-12 | 2011-04-05 | Hildebrand Hal S | System and method for providing different levels of key security for controlling access to secured items |
| US8065713B1 (en) | 2001-12-12 | 2011-11-22 | Klimenty Vainstein | System and method for providing multi-location access management to secured items |
| US7681034B1 (en) | 2001-12-12 | 2010-03-16 | Chang-Ping Lee | Method and apparatus for securing electronic data |
| US7921450B1 (en) | 2001-12-12 | 2011-04-05 | Klimenty Vainstein | Security system using indirect key generation from access rules and methods therefor |
| US7380120B1 (en) | 2001-12-12 | 2008-05-27 | Guardian Data Storage, Llc | Secured data format for access control |
| US7260555B2 (en) | 2001-12-12 | 2007-08-21 | Guardian Data Storage, Llc | Method and architecture for providing pervasive security to digital assets |
| US7178033B1 (en) | 2001-12-12 | 2007-02-13 | Pss Systems, Inc. | Method and apparatus for securing digital assets |
| US7930756B1 (en) | 2001-12-12 | 2011-04-19 | Crocker Steven Toye | Multi-level cryptographic transformations for securing digital assets |
| US7565683B1 (en) | 2001-12-12 | 2009-07-21 | Weiqing Huang | Method and system for implementing changes to security policies in a distributed security system |
| US7921284B1 (en) | 2001-12-12 | 2011-04-05 | Gary Mark Kinghorn | Method and system for protecting electronic data in enterprise environment |
| US10360545B2 (en) | 2001-12-12 | 2019-07-23 | Guardian Data Storage, Llc | Method and apparatus for accessing secured electronic data off-line |
| US7684321B2 (en) * | 2001-12-21 | 2010-03-23 | Hewlett-Packard Development Company, L.P. | System for supply chain management of virtual private network services |
| US7950066B1 (en) | 2001-12-21 | 2011-05-24 | Guardian Data Storage, Llc | Method and system for restricting use of a clipboard application |
| CN100403293C (zh) * | 2002-01-28 | 2008-07-16 | 特瑞帝德国际公司 | 用于阶层式服务和内容分布的网络系统方法和协定 |
| US8176334B2 (en) | 2002-09-30 | 2012-05-08 | Guardian Data Storage, Llc | Document security system that permits external users to gain access to secured files |
| US7093283B1 (en) * | 2002-02-15 | 2006-08-15 | Cisco Technology, Inc. | Method and apparatus for deploying configuration instructions to security devices in order to implement a security policy on a network |
| JP2003242123A (ja) * | 2002-02-21 | 2003-08-29 | Hitachi Ltd | 合議型アクセス制御方法 |
| US20050132412A1 (en) * | 2002-03-20 | 2005-06-16 | Richardson John W. | Videoconference system architecture |
| US8613102B2 (en) | 2004-03-30 | 2013-12-17 | Intellectual Ventures I Llc | Method and system for providing document retention using cryptography |
| US7748045B2 (en) | 2004-03-30 | 2010-06-29 | Michael Frederick Kenrich | Method and system for providing cryptographic document retention with off-line access |
| US20050071657A1 (en) * | 2003-09-30 | 2005-03-31 | Pss Systems, Inc. | Method and system for securing digital assets using time-based security criteria |
| US7603450B2 (en) * | 2002-04-26 | 2009-10-13 | Hewlett-Packard Development Company, L.P. | Methods and applets for providing and contributing to an IT network management service |
| US7159242B2 (en) * | 2002-05-09 | 2007-01-02 | International Business Machines Corporation | Secure IPsec tunnels with a background system accessible via a gateway implementing NAT |
| US20030229501A1 (en) * | 2002-06-03 | 2003-12-11 | Copeland Bruce Wayne | Systems and methods for efficient policy distribution |
| US7710991B1 (en) | 2002-06-20 | 2010-05-04 | Cisco Technology, Inc. | Scalable packet routing and switching device and method |
| US7450438B1 (en) | 2002-06-20 | 2008-11-11 | Cisco Technology, Inc. | Crossbar apparatus for a forwarding table memory in a router |
| US20030236865A1 (en) * | 2002-06-20 | 2003-12-25 | Microsoft Corporation | Method and system for configuring remote access to a server |
| US7525904B1 (en) | 2002-06-20 | 2009-04-28 | Cisco Technology, Inc. | Redundant packet routing and switching device and method |
| US20030236887A1 (en) * | 2002-06-21 | 2003-12-25 | Check Point Software Technologies Ltd. | Cluster bandwidth management algorithms |
| US20040090613A1 (en) * | 2002-07-17 | 2004-05-13 | Goix Philippe J. | Method for measuring the volume of cells or particles |
| US6981174B1 (en) * | 2002-07-18 | 2005-12-27 | Extreme Networks, Inc. | Method and apparatus for a redundant port |
| AU2003260071A1 (en) | 2002-08-27 | 2004-03-19 | Td Security, Inc., Dba Trust Digital, Llc | Enterprise-wide security system for computer devices |
| US7594262B2 (en) * | 2002-09-04 | 2009-09-22 | Secure Computing Corporation | System and method for secure group communications |
| US7512810B1 (en) | 2002-09-11 | 2009-03-31 | Guardian Data Storage Llc | Method and system for protecting encrypted files transmitted over a network |
| US7532630B2 (en) * | 2002-09-13 | 2009-05-12 | Nortel Networks Limited | Generalized layer-2 VPNs |
| US7448067B2 (en) * | 2002-09-30 | 2008-11-04 | Intel Corporation | Method and apparatus for enforcing network security policies |
| US7689722B1 (en) * | 2002-10-07 | 2010-03-30 | Cisco Technology, Inc. | Methods and apparatus for virtual private network fault tolerance |
| JP4400059B2 (ja) * | 2002-10-17 | 2010-01-20 | 株式会社日立製作所 | ポリシー設定支援ツール |
| US7308706B2 (en) | 2002-10-28 | 2007-12-11 | Secure Computing Corporation | Associative policy model |
| US7836310B1 (en) | 2002-11-01 | 2010-11-16 | Yevgeniy Gutnik | Security system that uses indirect password-based encryption |
| US7796752B2 (en) * | 2002-11-04 | 2010-09-14 | Marvell International Ltd. | Cipher implementation |
| US7827272B2 (en) * | 2002-11-04 | 2010-11-02 | Riverbed Technology, Inc. | Connection table for intrusion detection |
| US20040098483A1 (en) * | 2002-11-14 | 2004-05-20 | Engel Glenn R. | Triggering communication from devices that self-initiate communication |
| US7743158B2 (en) * | 2002-12-04 | 2010-06-22 | Ntt Docomo, Inc. | Access network dynamic firewall |
| US20040111513A1 (en) * | 2002-12-04 | 2004-06-10 | Shen Simon S. | Automatic employment of resource load information with one or more policies to automatically determine whether to decrease one or more loads |
| GB0228370D0 (en) * | 2002-12-05 | 2003-01-08 | Bts Holdings Ltd | System and method for acquisition, storage and delivery of communications usage data from communications resources |
| US7890990B1 (en) | 2002-12-20 | 2011-02-15 | Klimenty Vainstein | Security system with staging capabilities |
| US7536476B1 (en) * | 2002-12-20 | 2009-05-19 | Cisco Technology, Inc. | Method for performing tree based ACL lookups |
| JP2004222009A (ja) | 2003-01-16 | 2004-08-05 | Nec Corp | 異種網接続ゲートウェイおよび異種網間通信課金システム |
| US7778999B1 (en) | 2003-01-24 | 2010-08-17 | Bsecure Technologies, Inc. | Systems and methods for multi-layered packet filtering and remote management of network devices |
| US7567510B2 (en) | 2003-02-13 | 2009-07-28 | Cisco Technology, Inc. | Security groups |
| US7437441B1 (en) * | 2003-02-28 | 2008-10-14 | Microsoft Corporation | Using deltas for efficient policy distribution |
| US7689676B2 (en) | 2003-03-06 | 2010-03-30 | Microsoft Corporation | Model-based policy application |
| US8122106B2 (en) * | 2003-03-06 | 2012-02-21 | Microsoft Corporation | Integrating design, deployment, and management phases for systems |
| US7890543B2 (en) | 2003-03-06 | 2011-02-15 | Microsoft Corporation | Architecture for distributed computing system and automated design, deployment, and management of distributed applications |
| US10275723B2 (en) | 2005-09-14 | 2019-04-30 | Oracle International Corporation | Policy enforcement via attestations |
| US9003048B2 (en) * | 2003-04-01 | 2015-04-07 | Microsoft Technology Licensing, Llc | Network zones |
| US10063523B2 (en) | 2005-09-14 | 2018-08-28 | Oracle International Corporation | Crafted identities |
| US9781154B1 (en) | 2003-04-01 | 2017-10-03 | Oracle International Corporation | Systems and methods for supporting information security and sub-system operational protocol conformance |
| US20040225656A1 (en) * | 2003-05-07 | 2004-11-11 | Panacea Corporation | Web services method and system |
| WO2004102334A2 (en) * | 2003-05-07 | 2004-11-25 | Panacea Corporation | Web services method and system |
| US20040225657A1 (en) * | 2003-05-07 | 2004-11-11 | Panacea Corporation | Web services method and system |
| US20040225717A1 (en) * | 2003-05-09 | 2004-11-11 | Alcatel | Network architecture for message based policy distribution |
| WO2004109971A1 (en) * | 2003-05-30 | 2004-12-16 | University Of North Carolina At Charlotte | Systems and methods for dynamic and risk-aware network security |
| US8707034B1 (en) | 2003-05-30 | 2014-04-22 | Intellectual Ventures I Llc | Method and system for using remote headers to secure electronic files |
| US20060047960A1 (en) * | 2003-06-19 | 2006-03-02 | Nippon Telegraph And Telephone Corporation | Session control server, communication system |
| US7636917B2 (en) * | 2003-06-30 | 2009-12-22 | Microsoft Corporation | Network load balancing with host status information |
| US7730543B1 (en) | 2003-06-30 | 2010-06-01 | Satyajit Nath | Method and system for enabling users of a group shared across multiple file security systems to access secured files |
| US7590736B2 (en) * | 2003-06-30 | 2009-09-15 | Microsoft Corporation | Flexible network load balancing |
| US7606929B2 (en) * | 2003-06-30 | 2009-10-20 | Microsoft Corporation | Network load balancing with connection manipulation |
| US7889644B2 (en) * | 2003-08-21 | 2011-02-15 | Alcatel Lucent | Multi-time scale adaptive internet protocol routing system and method |
| CN100341285C (zh) * | 2003-08-30 | 2007-10-03 | 华为技术有限公司 | 安全日志的实现方法 |
| EP1517482A1 (en) * | 2003-09-18 | 2005-03-23 | Hewlett-Packard Development Company, L.P. | Discovery of virtual private networks |
| US7751416B2 (en) * | 2003-09-18 | 2010-07-06 | Cisco Technology, Inc. | Virtual network device |
| US7178052B2 (en) | 2003-09-18 | 2007-02-13 | Cisco Technology, Inc. | High availability virtual switch |
| US7523484B2 (en) | 2003-09-24 | 2009-04-21 | Infoexpress, Inc. | Systems and methods of controlling network access |
| US7703140B2 (en) * | 2003-09-30 | 2010-04-20 | Guardian Data Storage, Llc | Method and system for securing digital assets using process-driven security policies |
| US8127366B2 (en) | 2003-09-30 | 2012-02-28 | Guardian Data Storage, Llc | Method and apparatus for transitioning between states of security policies used to secure electronic documents |
| US7668923B2 (en) * | 2003-10-14 | 2010-02-23 | International Business Machines Corporation | Master-slave adapter |
| US20050086531A1 (en) * | 2003-10-20 | 2005-04-21 | Pss Systems, Inc. | Method and system for proxy approval of security changes for a file security system |
| US8146148B2 (en) | 2003-11-19 | 2012-03-27 | Cisco Technology, Inc. | Tunneled security groups |
| US7430760B2 (en) | 2003-12-05 | 2008-09-30 | Microsoft Corporation | Security-related programming interface |
| CN100518166C (zh) * | 2003-12-16 | 2009-07-22 | 鸿富锦精密工业(深圳)有限公司 | 资安护照产生及发行系统及方法 |
| US7533407B2 (en) | 2003-12-16 | 2009-05-12 | Microsoft Corporation | System and methods for providing network quarantine |
| US20050138416A1 (en) * | 2003-12-19 | 2005-06-23 | Microsoft Corporation | Object model for managing firewall services |
| US20050138371A1 (en) * | 2003-12-19 | 2005-06-23 | Pss Systems, Inc. | Method and system for distribution of notifications in file security systems |
| US7730137B1 (en) | 2003-12-22 | 2010-06-01 | Aol Inc. | Restricting the volume of outbound electronic messages originated by a single entity |
| EP1709556A4 (en) * | 2003-12-23 | 2011-08-10 | Trust Digital Llc | SYSTEM AND METHOD FOR IMPLEMENTING A SAFETY GUIDELINE ON MOBILE DEVICES USING DYNAMICALLY PRODUCED SAFETY PROFILES |
| US7548956B1 (en) * | 2003-12-30 | 2009-06-16 | Aol Llc | Spam control based on sender account characteristics |
| WO2005067260A1 (en) * | 2003-12-31 | 2005-07-21 | Applied Identity | Method and system for delegating access to computer network resources |
| JP4265413B2 (ja) | 2004-01-19 | 2009-05-20 | 日本電気株式会社 | 仮想私設組織に対するポリシの実施システム及びその方法 |
| WO2005081137A1 (en) * | 2004-01-30 | 2005-09-01 | International Business Machines Corporation | Hierarchical resource management for a computing utility |
| US8990430B2 (en) | 2004-02-19 | 2015-03-24 | Cisco Technology, Inc. | Interface bundles in virtual network devices |
| US7778422B2 (en) | 2004-02-27 | 2010-08-17 | Microsoft Corporation | Security associations for devices |
| FR2868230B1 (fr) * | 2004-03-25 | 2012-06-08 | Netasq | Dispositif et procede de detection et de prevention d'intrusion dans un reseau informatique |
| US7539862B2 (en) * | 2004-04-08 | 2009-05-26 | Ipass Inc. | Method and system for verifying and updating the configuration of an access device during authentication |
| US20050267954A1 (en) * | 2004-04-27 | 2005-12-01 | Microsoft Corporation | System and methods for providing network quarantine |
| US7889733B2 (en) | 2004-04-28 | 2011-02-15 | Cisco Technology, Inc. | Intelligent adjunct network device |
| US20050246529A1 (en) | 2004-04-30 | 2005-11-03 | Microsoft Corporation | Isolated persistent identity storage for authentication of computing devies |
| US7706364B2 (en) | 2004-05-19 | 2010-04-27 | Cisco Technology, Inc. | Virtual network device clusters |
| US7710957B2 (en) | 2004-05-19 | 2010-05-04 | Cisco Technology, Inc. | System and method for implementing multiple spanning trees per network |
| US20050267961A1 (en) * | 2004-05-27 | 2005-12-01 | Pirbhai Rahim S | Communication network management methods and systems |
| US9209989B2 (en) * | 2004-06-01 | 2015-12-08 | Inmage Systems, Inc. | Causation of a data read operation against a first storage system by a server associated with a second storage system according to a host generated instruction |
| US8949395B2 (en) * | 2004-06-01 | 2015-02-03 | Inmage Systems, Inc. | Systems and methods of event driven recovery management |
| US7979656B2 (en) | 2004-06-01 | 2011-07-12 | Inmage Systems, Inc. | Minimizing configuration changes in a fabric-based data protection solution |
| US7698401B2 (en) * | 2004-06-01 | 2010-04-13 | Inmage Systems, Inc | Secondary data storage and recovery system |
| US8224786B2 (en) * | 2004-06-01 | 2012-07-17 | Inmage Systems, Inc. | Acquisition and write validation of data of a networked host node to perform secondary storage |
| US7676502B2 (en) * | 2006-05-22 | 2010-03-09 | Inmage Systems, Inc. | Recovery point data view shift through a direction-agnostic roll algorithm |
| US8055745B2 (en) * | 2004-06-01 | 2011-11-08 | Inmage Systems, Inc. | Methods and apparatus for accessing data from a primary data storage system for secondary storage |
| US8868858B2 (en) * | 2006-05-19 | 2014-10-21 | Inmage Systems, Inc. | Method and apparatus of continuous data backup and access using virtual machines |
| US20050276234A1 (en) * | 2004-06-09 | 2005-12-15 | Yemeng Feng | Method and architecture for efficiently delivering conferencing data in a distributed multipoint communication system |
| WO2006012058A1 (en) | 2004-06-28 | 2006-02-02 | Japan Communications, Inc. | Systems and methods for mutual authentication of network |
| US7725716B2 (en) | 2004-06-28 | 2010-05-25 | Japan Communications, Inc. | Methods and systems for encrypting, transmitting, and storing electronic information and files |
| US7808983B2 (en) | 2004-07-08 | 2010-10-05 | Cisco Technology, Inc. | Network device architecture for centralized packet processing |
| US7617501B2 (en) * | 2004-07-09 | 2009-11-10 | Quest Software, Inc. | Apparatus, system, and method for managing policies on a computer having a foreign operating system |
| US7707427B1 (en) * | 2004-07-19 | 2010-04-27 | Michael Frederick Kenrich | Multi-level file digests |
| US20060026216A1 (en) * | 2004-07-30 | 2006-02-02 | Mirra, Inc. | Server-assited communication among clients |
| US8146145B2 (en) * | 2004-09-30 | 2012-03-27 | Rockstar Bidco Lp | Method and apparatus for enabling enhanced control of traffic propagation through a network firewall |
| US7643434B2 (en) * | 2004-09-30 | 2010-01-05 | Hewlett-Packard Development Company, L.P. | Method and system for managing network nodes which communicate via connectivity services of a service provider |
| US20060085850A1 (en) * | 2004-10-14 | 2006-04-20 | Microsoft Corporation | System and methods for providing network quarantine using IPsec |
| US7779368B2 (en) * | 2004-10-30 | 2010-08-17 | Hewlett-Packard Development Company, L.P. | Systems and methods for presenting managed data |
| US7715429B2 (en) * | 2004-12-06 | 2010-05-11 | Hewlett-Packard Development Company, L.P. | Interconnect system for supply chain management of virtual private network services |
| US7626940B2 (en) * | 2004-12-22 | 2009-12-01 | Intruguard Devices, Inc. | System and method for integrated header, state, rate and content anomaly prevention for domain name service |
| US7889712B2 (en) | 2004-12-23 | 2011-02-15 | Cisco Technology, Inc. | Methods and apparatus for providing loop free routing tables |
| FI20041702A0 (fi) * | 2004-12-31 | 2004-12-31 | Nokia Corp | Toimipuskurointi menettelyn valvontaan |
| EP1691284A1 (en) * | 2005-02-11 | 2006-08-16 | Comptel Corporation | Method, system and computer program product for providing access policies for services |
| US7930365B2 (en) * | 2005-02-16 | 2011-04-19 | Cisco Technology, Inc. | Method and apparatus to modify network identifiers at data servers |
| WO2006093917A2 (en) * | 2005-02-28 | 2006-09-08 | Trust Digital | Mobile data security system and methods |
| EP1858204A4 (en) * | 2005-03-11 | 2014-01-08 | Fujitsu Ltd | ACCESS RULES, ACCESS RULES AND PACKAGE COMMUNICATION DEVICE |
| CN100399747C (zh) * | 2005-03-17 | 2008-07-02 | 联想(北京)有限公司 | 一种计算机网络策略管理系统及策略管理方法 |
| US7792860B2 (en) * | 2005-03-25 | 2010-09-07 | Oracle International Corporation | System for change notification and persistent caching of dynamically computed membership of rules-based lists in LDAP |
| US20060224719A1 (en) * | 2005-03-30 | 2006-10-05 | Integrated Informatics, Inc. | Operator simulator and non-invasive interface engine |
| US7877780B2 (en) * | 2005-04-01 | 2011-01-25 | Parasoft Corporation | System and method for enforcing functionality in computer software through policies |
| US8489728B2 (en) * | 2005-04-15 | 2013-07-16 | Microsoft Corporation | Model-based system monitoring |
| US20060235664A1 (en) * | 2005-04-15 | 2006-10-19 | Microsoft Corporation | Model-based capacity planning |
| US7802144B2 (en) | 2005-04-15 | 2010-09-21 | Microsoft Corporation | Model-based system monitoring |
| US7797147B2 (en) | 2005-04-15 | 2010-09-14 | Microsoft Corporation | Model-based system monitoring |
| US7668969B1 (en) * | 2005-04-27 | 2010-02-23 | Extreme Networks, Inc. | Rule structure for performing network switch functions |
| US7860006B1 (en) | 2005-04-27 | 2010-12-28 | Extreme Networks, Inc. | Integrated methods of performing network switch functions |
| US8428074B2 (en) | 2005-04-29 | 2013-04-23 | Prom Ks Mgmt Limited Liability Company | Back-to back H.323 proxy gatekeeper |
| US7895308B2 (en) * | 2005-05-11 | 2011-02-22 | Tindall Steven J | Messaging system configurator |
| US7793333B2 (en) * | 2005-06-13 | 2010-09-07 | International Business Machines Corporation | Mobile authorization using policy based access control |
| US20060282878A1 (en) * | 2005-06-14 | 2006-12-14 | Stanley James C | Expression of packet processing policies using file processing rules |
| US20070016393A1 (en) * | 2005-06-29 | 2007-01-18 | Microsoft Corporation | Model-based propagation of attributes |
| US20070005320A1 (en) * | 2005-06-29 | 2007-01-04 | Microsoft Corporation | Model-based configuration management |
| US8549513B2 (en) * | 2005-06-29 | 2013-10-01 | Microsoft Corporation | Model-based virtual system provisioning |
| US10733666B1 (en) | 2005-06-30 | 2020-08-04 | Sun Microsystems Inc. | System and method for defining a privacy zone within a network |
| CN100461690C (zh) * | 2005-07-21 | 2009-02-11 | 华为技术有限公司 | 通用网管安全管理系统及其方法 |
| US7774822B2 (en) * | 2005-08-03 | 2010-08-10 | Novell, Inc. | Autonomous policy discovery |
| US8230491B2 (en) * | 2005-08-19 | 2012-07-24 | Opnet Technologies, Inc. | Automatic access to network devices using various authentication schemes |
| EP1936529A4 (en) * | 2005-08-29 | 2010-06-23 | Daikin Ind Ltd | DEVICE FOR DETECTING / UNDERPRINING AN INCORRECT USE OF ACCOUNTS, DATA COLLECTING EQUIPMENT AND PROGRAM FOR DETECTING / UNDERPRINING AN INCORRECT USE OF ACCOUNTS |
| US7590733B2 (en) * | 2005-09-14 | 2009-09-15 | Infoexpress, Inc. | Dynamic address assignment for access control on DHCP networks |
| US20070058612A1 (en) * | 2005-09-14 | 2007-03-15 | Matsushita Electric Industrial Co., Ltd. | Quality of service enabled device and method of operation therefore for use with universal plug and play |
| US7492704B2 (en) * | 2005-09-15 | 2009-02-17 | International Business Machines Corporation | Protocol definition for software bridge failover |
| US8601225B2 (en) * | 2005-09-16 | 2013-12-03 | Inmage Systems, Inc. | Time ordered view of backup data on behalf of a host |
| US8683144B2 (en) * | 2005-09-16 | 2014-03-25 | Inmage Systems, Inc. | Causation of a data read against a first storage system to optionally store a data write to preserve the version to allow viewing and recovery |
| US8151321B2 (en) * | 2005-10-13 | 2012-04-03 | Nokia Corporation | Modular network-assisted policy resolution |
| CN100401706C (zh) * | 2005-10-24 | 2008-07-09 | 杭州华三通信技术有限公司 | 一种虚拟专网客户端的接入方法及系统 |
| US7437755B2 (en) * | 2005-10-26 | 2008-10-14 | Cisco Technology, Inc. | Unified network and physical premises access control server |
| US7526677B2 (en) | 2005-10-31 | 2009-04-28 | Microsoft Corporation | Fragility handling |
| US7941309B2 (en) * | 2005-11-02 | 2011-05-10 | Microsoft Corporation | Modeling IT operations/policies |
| JP4892937B2 (ja) * | 2005-11-16 | 2012-03-07 | 日本電気株式会社 | 通信システム、アクセス制限方法、アクセス制限装置、プログラム |
| US7827545B2 (en) * | 2005-12-15 | 2010-11-02 | Microsoft Corporation | Dynamic remediation of a client computer seeking access to a network with a quarantine enforcement policy |
| US7904949B2 (en) | 2005-12-19 | 2011-03-08 | Quest Software, Inc. | Apparatus, systems and methods to provide authentication services to a legacy application |
| WO2007072245A2 (en) * | 2005-12-21 | 2007-06-28 | Koninklijke Philips Electronics N.V. | Dynamic firewall rule definition |
| US20070192323A1 (en) * | 2006-02-10 | 2007-08-16 | Vertical Systems, Inc. | System and method of access and control management between multiple databases |
| US20070198525A1 (en) * | 2006-02-13 | 2007-08-23 | Microsoft Corporation | Computer system with update-based quarantine |
| US8087075B2 (en) | 2006-02-13 | 2011-12-27 | Quest Software, Inc. | Disconnected credential validation using pre-fetched service tickets |
| US20070192858A1 (en) * | 2006-02-16 | 2007-08-16 | Infoexpress, Inc. | Peer based network access control |
| US20070192500A1 (en) * | 2006-02-16 | 2007-08-16 | Infoexpress, Inc. | Network access control including dynamic policy enforcement point |
| JP4791850B2 (ja) * | 2006-02-23 | 2011-10-12 | 株式会社日立製作所 | 情報処理システムおよび仮想オフィスシステム |
| US7602737B2 (en) * | 2006-03-01 | 2009-10-13 | Cisco Technology, Inc. | Methods and apparatus for providing an enhanced dynamic multipoint virtual private network architecture |
| US8533338B2 (en) | 2006-03-21 | 2013-09-10 | Japan Communications, Inc. | Systems and methods for providing secure communications for transactions |
| US7793096B2 (en) * | 2006-03-31 | 2010-09-07 | Microsoft Corporation | Network access protection |
| US7703126B2 (en) * | 2006-03-31 | 2010-04-20 | Intel Corporation | Hierarchical trust based posture reporting and policy enforcement |
| US8321377B2 (en) | 2006-04-17 | 2012-11-27 | Microsoft Corporation | Creating host-level application-consistent backups of virtual machines |
| US8122492B2 (en) * | 2006-04-21 | 2012-02-21 | Microsoft Corporation | Integration of social network information and network firewalls |
| US8849760B2 (en) * | 2006-05-02 | 2014-09-30 | International Business Machines Corporation | Determining whether predefined data controlled by a server is replicated to a client machine |
| US8079073B2 (en) * | 2006-05-05 | 2011-12-13 | Microsoft Corporation | Distributed firewall implementation and control |
| US8176157B2 (en) * | 2006-05-18 | 2012-05-08 | Microsoft Corporation | Exceptions grouping |
| US8554727B2 (en) * | 2006-05-19 | 2013-10-08 | Inmage Systems, Inc. | Method and system of tiered quiescing |
| US8527470B2 (en) | 2006-05-22 | 2013-09-03 | Rajeev Atluri | Recovery point data view formation with generation of a recovery view and a coalesce policy |
| US8838528B2 (en) * | 2006-05-22 | 2014-09-16 | Inmage Systems, Inc. | Coalescing and capturing data between events prior to and after a temporal window |
| US8527721B2 (en) * | 2008-12-26 | 2013-09-03 | Rajeev Atluri | Generating a recovery snapshot and creating a virtual view of the recovery snapshot |
| US8726020B2 (en) * | 2006-05-31 | 2014-05-13 | Microsoft Corporation | Updating configuration information to a perimeter network |
| US8429712B2 (en) | 2006-06-08 | 2013-04-23 | Quest Software, Inc. | Centralized user authentication system apparatus and method |
| US20080034080A1 (en) * | 2006-08-02 | 2008-02-07 | Nokia Siemens Networks Gmbh & Co | Policy translator - policy control in convergent networks |
| US20080222693A1 (en) * | 2006-08-08 | 2008-09-11 | Cipheroptics, Inc. | Multiple security groups with common keys on distributed networks |
| US7634507B2 (en) * | 2006-08-30 | 2009-12-15 | Inmage Systems, Inc. | Ensuring data persistence and consistency in enterprise storage backup systems |
| JP2008060971A (ja) * | 2006-08-31 | 2008-03-13 | Fujitsu Ltd | 情報処理システム、情報処理装置、情報処理方法およびプログラム |
| US20080059619A1 (en) * | 2006-08-31 | 2008-03-06 | Microsoft Corporation | Configuring a Perimeter Network |
| US8452876B1 (en) * | 2006-09-05 | 2013-05-28 | Blue Coat Systems, Inc. | Graphical configuration interface for network policy |
| US8259568B2 (en) | 2006-10-23 | 2012-09-04 | Mcafee, Inc. | System and method for controlling mobile device access to a network |
| US8086710B2 (en) | 2006-10-30 | 2011-12-27 | Quest Software, Inc. | Identity migration apparatus and method |
| US7908659B2 (en) * | 2006-11-10 | 2011-03-15 | Microsoft Corporation | Extensible framework for system security state reporting and remediation |
| EP2090022B1 (en) * | 2006-11-14 | 2014-01-15 | Telefonaktiebolaget LM Ericsson (publ) | A system and a method relating to network management |
| JP4742013B2 (ja) * | 2006-11-29 | 2011-08-10 | 富士通株式会社 | データ転送装置およびデータ転送方法 |
| US8391168B2 (en) * | 2007-03-14 | 2013-03-05 | Cisco Technology, Inc. | Automatically discovering architectural roles of packet switching devices |
| AU2008201035A1 (en) * | 2007-04-13 | 2008-10-30 | Acei Ab | A partition management system |
| US20080288622A1 (en) * | 2007-05-18 | 2008-11-20 | Microsoft Corporation | Managing Server Farms |
| US20080317048A1 (en) * | 2007-06-20 | 2008-12-25 | Direct Route, Llc | Method and apparatus for routing of network addresses |
| WO2009006630A1 (en) * | 2007-07-05 | 2009-01-08 | Starent Networks, Corp | System and method for reducing latency in call setup and teardown |
| WO2009007985A2 (en) * | 2007-07-06 | 2009-01-15 | Elitecore Technologies Limited | Identity and policy-based network security and management system and method |
| US8359646B2 (en) * | 2007-07-12 | 2013-01-22 | International Business Machines Corporation | Ensuring security of connection between thin client and client blade |
| US7783666B1 (en) | 2007-09-26 | 2010-08-24 | Netapp, Inc. | Controlling access to storage resources by using access pattern based quotas |
| US7954145B2 (en) * | 2007-09-27 | 2011-05-31 | Novell, Inc. | Dynamically configuring a client for virtual private network (VPN) access |
| US7971231B2 (en) * | 2007-10-02 | 2011-06-28 | International Business Machines Corporation | Configuration management database (CMDB) which establishes policy artifacts and automatic tagging of the same |
| US9225684B2 (en) | 2007-10-29 | 2015-12-29 | Microsoft Technology Licensing, Llc | Controlling network access |
| US8532303B2 (en) * | 2007-12-14 | 2013-09-10 | Intel Corporation | Symmetric key distribution framework for the internet |
| US7706289B2 (en) * | 2007-12-30 | 2010-04-27 | Oracle America, Inc. | System and method for validating packet classification |
| CN101483847B (zh) * | 2008-01-07 | 2012-10-03 | 华为技术有限公司 | 实现策略控制的方法、装置及系统 |
| US7817636B2 (en) | 2008-01-30 | 2010-10-19 | Cisco Technology, Inc. | Obtaining information on forwarding decisions for a packet flow |
| FR2928062B1 (fr) * | 2008-02-26 | 2010-02-26 | Thales Sa | Procede de gestion dans les equipements de securite et entite de securite |
| US8806037B1 (en) | 2008-02-29 | 2014-08-12 | Netapp, Inc. | Remote support automation for a storage server |
| US7852849B2 (en) | 2008-03-04 | 2010-12-14 | Bridgewater Systems Corp. | Providing dynamic quality of service for virtual private networks |
| WO2009109803A1 (en) * | 2008-03-04 | 2009-09-11 | Bridgewater Systems Corp. | Providing dynamic quality of service for virtual private networks |
| JP5087441B2 (ja) * | 2008-03-19 | 2012-12-05 | 矢崎総業株式会社 | 電力供給装置 |
| US8135838B2 (en) | 2008-04-08 | 2012-03-13 | Geminare Incorporated | System and method for providing data and application continuity in a computer system |
| FR2932048A1 (fr) * | 2008-05-27 | 2009-12-04 | France Telecom | Procede et systeme d'acces par un utilisateur a au moins un service offert par au moins un autre utilisateur. |
| US8028194B2 (en) * | 2008-07-25 | 2011-09-27 | Inmage Systems, Inc | Sequencing technique to account for a clock error in a backup system |
| US8250413B2 (en) * | 2008-09-30 | 2012-08-21 | Hewlett-Packard Development Company, L.P. | Connection broker assignment status reporting |
| JP5237034B2 (ja) * | 2008-09-30 | 2013-07-17 | 株式会社日立製作所 | イベント情報取得外のit装置を対象とする根本原因解析方法、装置、プログラム。 |
| EP2180401A1 (en) | 2008-10-24 | 2010-04-28 | Thomson Telecom Belgium | A method at a gateway for selecting and managing a default disk |
| US8086909B1 (en) * | 2008-11-05 | 2011-12-27 | Network Appliance, Inc. | Automatic core file upload |
| WO2010054258A1 (en) * | 2008-11-06 | 2010-05-14 | Trust Digital | System and method for mediating connections between policy source servers, corporate repositories, and mobile devices |
| US20100138893A1 (en) * | 2008-12-02 | 2010-06-03 | Inventec Corporation | Processing method for accelerating packet filtering |
| US8201237B1 (en) | 2008-12-10 | 2012-06-12 | Amazon Technologies, Inc. | Establishing secure remote access to private computer networks |
| US9524167B1 (en) | 2008-12-10 | 2016-12-20 | Amazon Technologies, Inc. | Providing location-specific network access to remote services |
| US9137209B1 (en) | 2008-12-10 | 2015-09-15 | Amazon Technologies, Inc. | Providing local secure network access to remote services |
| US8230050B1 (en) | 2008-12-10 | 2012-07-24 | Amazon Technologies, Inc. | Providing access to configurable private computer networks |
| US8069227B2 (en) | 2008-12-26 | 2011-11-29 | Inmage Systems, Inc. | Configuring hosts of a secondary data storage and recovery system |
| US20110258299A1 (en) * | 2008-12-30 | 2011-10-20 | Thomson Licensing | Synchronization of configurations for display systems |
| FR2941831B1 (fr) * | 2009-02-05 | 2011-03-04 | Ipanema Technologies | Procede de gestion des echanges de flux de donnees dans un reseau de telecommunication autonomique |
| US8977750B2 (en) * | 2009-02-24 | 2015-03-10 | Red Hat, Inc. | Extending security platforms to cloud-based networks |
| EP2404246A1 (en) * | 2009-03-05 | 2012-01-11 | Epals, Inc. | System and method for managing and monitoring electronic communications |
| US8055775B2 (en) * | 2009-03-25 | 2011-11-08 | International Business Machines Corporation | SOA policy engine framework |
| US20100250293A1 (en) * | 2009-03-25 | 2010-09-30 | International Business Machines Corporation | Soa policy versioning |
| US8108495B1 (en) | 2009-04-30 | 2012-01-31 | Palo Alto Networks, Inc. | Managing network devices |
| US8284699B1 (en) * | 2009-04-30 | 2012-10-09 | Palo Alto Networks, Inc. | Managing network devices |
| JP5234807B2 (ja) * | 2009-05-13 | 2013-07-10 | Necインフロンティア株式会社 | ネットワーク装置及びそれに用いる自動暗号化通信方法 |
| US7866269B2 (en) * | 2009-06-08 | 2011-01-11 | Cnh Canada, Ltd. | Method and apparatus for regulating air flow through supply conduits through which product entrained in an air flow is provided to multiple on-row product containers of an agricultural implement |
| US20100332530A1 (en) * | 2009-06-26 | 2010-12-30 | Microsoft Corporation | Islands of data |
| US8255984B1 (en) | 2009-07-01 | 2012-08-28 | Quest Software, Inc. | Single sign-on system for shared resource environments |
| GB2474843B (en) * | 2009-10-27 | 2012-04-25 | Motorola Solutions Inc | Method for providing security associations for encrypted packet data |
| US8250213B2 (en) * | 2009-11-16 | 2012-08-21 | At&T Intellectual Property I, L.P. | Methods and apparatus to allocate resources associated with a distributive computing network |
| US8909916B2 (en) * | 2009-11-30 | 2014-12-09 | Red Hat, Inc. | Using a PKCS module for opening multiple databases |
| US8705513B2 (en) * | 2009-12-15 | 2014-04-22 | At&T Intellectual Property I, L.P. | Methods and apparatus to communicatively couple virtual private networks to virtual machines within distributive computing networks |
| US9069639B2 (en) * | 2010-02-25 | 2015-06-30 | Red Hat, Inc. | Managing a user proxy configuration in a daemon that frequently loads and unloads |
| US8775352B2 (en) * | 2010-03-01 | 2014-07-08 | At&T Intellectual Property I, L.P. | Methods and apparatus to model end-to-end class of service policies in networks |
| US8935384B2 (en) | 2010-05-06 | 2015-01-13 | Mcafee Inc. | Distributed data revocation using data commands |
| US20110282981A1 (en) * | 2010-05-11 | 2011-11-17 | Alcatel-Lucent Canada Inc. | Behavioral rule results |
| US8856300B2 (en) | 2010-05-18 | 2014-10-07 | At&T Intellectual Property I, L.P. | End-to-end secure cloud computing |
| US20110289119A1 (en) * | 2010-05-20 | 2011-11-24 | Sybase, Inc. | Methods and systems for monitoring server cloud topology and resources |
| US9183374B2 (en) * | 2010-07-15 | 2015-11-10 | Novell, Inc. | Techniques for identity-enabled interface deployment |
| US8473557B2 (en) | 2010-08-24 | 2013-06-25 | At&T Intellectual Property I, L.P. | Methods and apparatus to migrate virtual machines between distributive computing networks across a wide area network |
| JP5885747B2 (ja) | 2010-09-17 | 2016-03-15 | オラクル・インターナショナル・コーポレイション | ミドルウェアマシン環境においてイーサネット(登録商標)・オーバー・インフィニバンドの仮想ハブのスケーラビリティを提供するためのシステムおよび方法 |
| US8335841B2 (en) * | 2010-09-30 | 2012-12-18 | Microsoft Corporation | Logical networks |
| US8880666B2 (en) * | 2010-10-29 | 2014-11-04 | At&T Intellectual Property I, L.P. | Method, policy request router, and machine-readable hardware storage device to select a policy server based on a network condition to receive policy requests for a duration |
| US8635682B2 (en) | 2010-11-24 | 2014-01-21 | Oracle International Corporation | Propagating security identity information to components of a composite application |
| US8650250B2 (en) | 2010-11-24 | 2014-02-11 | Oracle International Corporation | Identifying compatible web service policies |
| US9589145B2 (en) | 2010-11-24 | 2017-03-07 | Oracle International Corporation | Attaching web service policies to a group of policy subjects |
| US9021055B2 (en) | 2010-11-24 | 2015-04-28 | Oracle International Corporation | Nonconforming web service policy functions |
| US8739056B2 (en) * | 2010-12-14 | 2014-05-27 | Symantec Corporation | Systems and methods for displaying a dynamic list of virtual objects when a drag and drop action is detected |
| KR101161103B1 (ko) * | 2010-12-23 | 2012-06-28 | 연세대학교 산학협력단 | 사용자 위치 추적 방법, 이를 이용한 평면도 제작 방법 및 장치 |
| US8671186B2 (en) * | 2011-03-08 | 2014-03-11 | Hitachi, Ltd. | Computer system management method and management apparatus |
| JP5395833B2 (ja) * | 2011-03-14 | 2014-01-22 | 株式会社東芝 | 仮想ネットワークシステム及び仮想通信制御方法 |
| US8811281B2 (en) | 2011-04-01 | 2014-08-19 | Cisco Technology, Inc. | Soft retention for call admission control in communication networks |
| US8560819B2 (en) | 2011-05-31 | 2013-10-15 | Oracle International Corporation | Software execution using multiple initialization modes |
| US9270650B2 (en) | 2011-06-03 | 2016-02-23 | Oracle International Corporation | System and method for providing secure subnet management agent (SMA) in an infiniband (IB) network |
| US9935848B2 (en) | 2011-06-03 | 2018-04-03 | Oracle International Corporation | System and method for supporting subnet manager (SM) level robust handling of unkown management key in an infiniband (IB) network |
| US9432258B2 (en) | 2011-06-06 | 2016-08-30 | At&T Intellectual Property I, L.P. | Methods and apparatus to configure virtual private mobile networks to reduce latency |
| DE102011077218B4 (de) * | 2011-06-08 | 2023-12-14 | Servicenow, Inc. | Zugriff auf in einer Cloud gespeicherte Daten |
| US9386035B2 (en) | 2011-06-21 | 2016-07-05 | At&T Intellectual Property I, L.P. | Methods and apparatus to configure virtual private mobile networks for security |
| JP2013038684A (ja) * | 2011-08-10 | 2013-02-21 | Refiner Inc | Vpn接続管理システム |
| US10044678B2 (en) | 2011-08-31 | 2018-08-07 | At&T Intellectual Property I, L.P. | Methods and apparatus to configure virtual private mobile networks with virtual private networks |
| US8797874B2 (en) * | 2011-09-09 | 2014-08-05 | Futurewei Technologies, Inc. | Apparatus and system for packet routing and forwarding in an interior network |
| US8914843B2 (en) | 2011-09-30 | 2014-12-16 | Oracle International Corporation | Conflict resolution when identical policies are attached to a single policy subject |
| US9680925B2 (en) | 2012-01-09 | 2017-06-13 | At&T Intellectual Property I, L. P. | Methods and apparatus to route message traffic using tiered affinity-based message routing |
| US9009302B2 (en) * | 2012-02-21 | 2015-04-14 | Cisco Technology, Inc. | Dynamic group creation and traffic flow registration under a group in a group key infrastructure |
| US10432587B2 (en) * | 2012-02-21 | 2019-10-01 | Aventail Llc | VPN deep packet inspection |
| US9501849B2 (en) * | 2012-05-11 | 2016-11-22 | Vmware, Inc. | Multi-dimensional visualization tool for browsing and troubleshooting at scale |
| US9584605B2 (en) | 2012-06-04 | 2017-02-28 | Oracle International Corporation | System and method for preventing denial of service (DOS) attack on subnet administrator (SA) access in an engineered system for middleware and application execution |
| US9143498B2 (en) * | 2012-08-30 | 2015-09-22 | Aerohive Networks, Inc. | Internetwork authentication |
| US8990375B2 (en) * | 2012-08-31 | 2015-03-24 | Facebook, Inc. | Subscription groups in publish-subscribe system |
| US9565213B2 (en) | 2012-10-22 | 2017-02-07 | Centripetal Networks, Inc. | Methods and systems for protecting a secured network |
| US9137205B2 (en) * | 2012-10-22 | 2015-09-15 | Centripetal Networks, Inc. | Methods and systems for protecting a secured network |
| US9397978B1 (en) * | 2012-12-21 | 2016-07-19 | Western Digital Technologies, Inc. | Cloud to local router security |
| US9130926B2 (en) * | 2012-12-27 | 2015-09-08 | Microsoft Technology Licensing, Llc | Authorization messaging with integral delegation data |
| US9203806B2 (en) | 2013-01-11 | 2015-12-01 | Centripetal Networks, Inc. | Rule swapping in a packet network |
| US9060025B2 (en) | 2013-02-05 | 2015-06-16 | Fortinet, Inc. | Cloud-based security policy configuration |
| US9189510B2 (en) | 2013-02-26 | 2015-11-17 | Facebook, Inc. | System and method for implementing cache consistent regional clusters |
| US9124552B2 (en) | 2013-03-12 | 2015-09-01 | Centripetal Networks, Inc. | Filtering network data transfers |
| US9426154B2 (en) * | 2013-03-14 | 2016-08-23 | Amazon Technologies, Inc. | Providing devices as a service |
| US9094445B2 (en) | 2013-03-15 | 2015-07-28 | Centripetal Networks, Inc. | Protecting networks from cyber attacks and overloading |
| US9769056B2 (en) | 2013-03-15 | 2017-09-19 | Aerohive Networks, Inc. | Gateway using multicast to unicast conversion |
| US9762679B2 (en) | 2013-03-15 | 2017-09-12 | Aerohive Networks, Inc. | Providing stateless network services |
| US10142173B2 (en) * | 2013-04-29 | 2018-11-27 | Amazon Technologies, Inc. | Automated creation of private virtual networks in a service provider network |
| US9716728B1 (en) * | 2013-05-07 | 2017-07-25 | Vormetric, Inc. | Instant data security in untrusted environments |
| US9053216B1 (en) | 2013-08-09 | 2015-06-09 | Datto, Inc. | CPU register assisted virtual machine screenshot capture timing apparatuses, methods and systems |
| US10581687B2 (en) * | 2013-09-26 | 2020-03-03 | Appformix Inc. | Real-time cloud-infrastructure policy implementation and management |
| US10291472B2 (en) | 2015-07-29 | 2019-05-14 | AppFormix, Inc. | Assessment of operational states of a computing environment |
| US10355997B2 (en) | 2013-09-26 | 2019-07-16 | Appformix Inc. | System and method for improving TCP performance in virtualized environments |
| US9516061B2 (en) | 2013-11-26 | 2016-12-06 | Cisco Technology, Inc. | Smart virtual private network |
| US9753784B2 (en) | 2013-11-27 | 2017-09-05 | At&T Intellectual Property I, L.P. | Cloud delivery platform |
| CN105900059B (zh) | 2014-01-21 | 2019-06-07 | 甲骨文国际公司 | 用于在应用服务器、云或其它环境中支持多租户的系统和方法 |
| US10277559B2 (en) * | 2014-05-21 | 2019-04-30 | Excalibur Ip, Llc | Methods and systems for data traffic control and encryption |
| US9992619B2 (en) | 2014-08-12 | 2018-06-05 | Aerohive Networks, Inc. | Network device based proximity beacon locating |
| KR102443172B1 (ko) | 2014-09-24 | 2022-09-14 | 오라클 인터내셔날 코포레이션 | 멀티테넌트 어플리케이션 서버 환경에서 패치를 지원하는 시스템 및 방법 |
| US10318280B2 (en) | 2014-09-24 | 2019-06-11 | Oracle International Corporation | System and method for supporting patching in a multitenant application server environment |
| US9558078B2 (en) | 2014-10-28 | 2017-01-31 | Microsoft Technology Licensing, Llc | Point in time database restore from storage snapshots |
| KR101637198B1 (ko) * | 2014-11-04 | 2016-07-07 | 홍익대학교 산학협력단 | 파티클 필터를 이용한 인간의 이동 상태 분류 방법 |
| US10404521B2 (en) | 2015-01-14 | 2019-09-03 | Datto, Inc. | Remotely configurable routers with failover features, and methods and apparatus for reliable web-based administration of same |
| US10797933B2 (en) | 2015-01-14 | 2020-10-06 | Datto, Inc. | Remotely configurable routers with failover features, and methods and apparatus for reliable web-based administration of same |
| US10178184B2 (en) | 2015-01-21 | 2019-01-08 | Oracle International Corporation | System and method for session handling in a multitenant application server environment |
| US10250512B2 (en) | 2015-01-21 | 2019-04-02 | Oracle International Corporation | System and method for traffic director support in a multitenant application server environment |
| US9264370B1 (en) | 2015-02-10 | 2016-02-16 | Centripetal Networks, Inc. | Correlating packets in communications networks |
| US9866576B2 (en) * | 2015-04-17 | 2018-01-09 | Centripetal Networks, Inc. | Rule-based network-threat detection |
| US10872016B2 (en) | 2015-06-16 | 2020-12-22 | Datto, Inc. | Hybrid cloud methods, apparatus and systems for secure file sharing and synchronization with backup and server virtualization |
| US9948679B2 (en) * | 2015-08-21 | 2018-04-17 | Cisco Technology, Inc. | Object-relation user interface for viewing security configurations of network security devices |
| US10257019B2 (en) * | 2015-12-04 | 2019-04-09 | Arista Networks, Inc. | Link aggregation split-brain detection and recovery |
| US9973528B2 (en) | 2015-12-21 | 2018-05-15 | Fortinet, Inc. | Two-stage hash based logic for application layer distributed denial of service (DDoS) attack attribution |
| US9917856B2 (en) | 2015-12-23 | 2018-03-13 | Centripetal Networks, Inc. | Rule-based network-threat detection for encrypted communications |
| US11729144B2 (en) | 2016-01-04 | 2023-08-15 | Centripetal Networks, Llc | Efficient packet capture for cyber threat analysis |
| US11290425B2 (en) * | 2016-02-01 | 2022-03-29 | Airwatch Llc | Configuring network security based on device management characteristics |
| US10182055B2 (en) | 2016-06-06 | 2019-01-15 | Cisco Technology, Inc. | Security policy efficacy visualization |
| RU2724639C2 (ru) * | 2016-06-24 | 2020-06-25 | Акционерное общество "Лаборатория Касперского" | Способ связывания незарегистрированного агента управления устройством с пользователем |
| EP3270560B1 (de) * | 2016-07-12 | 2020-03-25 | Siemens Aktiengesellschaft | Verfahren zum aufbau gesicherter kommunikationsverbindungen zu einem industriellen automatisierungssystem und firewall-system |
| US10237240B2 (en) | 2016-07-21 | 2019-03-19 | AT&T Global Network Services (U.K.) B.V. | Assessing risk associated with firewall rules |
| US10452387B2 (en) | 2016-09-16 | 2019-10-22 | Oracle International Corporation | System and method for partition-scoped patching in an application server environment |
| US10310841B2 (en) | 2016-09-16 | 2019-06-04 | Oracle International Corporation | System and method for handling lazy deserialization exceptions in an application server environment |
| US10841337B2 (en) | 2016-11-28 | 2020-11-17 | Secureworks Corp. | Computer implemented system and method, and computer program product for reversibly remediating a security risk |
| US11068314B2 (en) | 2017-03-29 | 2021-07-20 | Juniper Networks, Inc. | Micro-level monitoring, visibility and control of shared resources internal to a processor of a host machine for a virtual environment |
| US10868742B2 (en) | 2017-03-29 | 2020-12-15 | Juniper Networks, Inc. | Multi-cluster dashboard for distributed virtualization infrastructure element monitoring and policy control |
| US11323327B1 (en) | 2017-04-19 | 2022-05-03 | Juniper Networks, Inc. | Virtualization infrastructure element monitoring and policy control in a cloud environment using profiles |
| US10887130B2 (en) | 2017-06-15 | 2021-01-05 | At&T Intellectual Property I, L.P. | Dynamic intelligent analytics VPN instantiation and/or aggregation employing secured access to the cloud network device |
| US10503899B2 (en) | 2017-07-10 | 2019-12-10 | Centripetal Networks, Inc. | Cyberanalysis workflow acceleration |
| US10284526B2 (en) | 2017-07-24 | 2019-05-07 | Centripetal Networks, Inc. | Efficient SSL/TLS proxy |
| US11233777B2 (en) | 2017-07-24 | 2022-01-25 | Centripetal Networks, Inc. | Efficient SSL/TLS proxy |
| US11663084B2 (en) * | 2017-08-08 | 2023-05-30 | Rubrik, Inc. | Auto-upgrade of remote data management connectors |
| US10536383B2 (en) * | 2017-09-19 | 2020-01-14 | Nicira, Inc. | Attribute enhancement for handling network packet traffic between micro segmented guests |
| US20190089592A1 (en) * | 2017-09-20 | 2019-03-21 | Quanta Computer Inc. | Role-based automatic configuration system and method for ethernet switches |
| US10735470B2 (en) | 2017-11-06 | 2020-08-04 | Secureworks Corp. | Systems and methods for sharing, distributing, or accessing security data and/or security applications, models, or analytics |
| US10594713B2 (en) | 2017-11-10 | 2020-03-17 | Secureworks Corp. | Systems and methods for secure propagation of statistical models within threat intelligence communities |
| GB2572982C (en) | 2018-04-18 | 2021-01-20 | Gurulogic Microsystems Oy | System and method for creating group networks between network devices |
| EP3873061B1 (en) * | 2018-06-08 | 2022-01-19 | Secucloud GmbH | Linearly scalable network security architecture |
| US10785238B2 (en) | 2018-06-12 | 2020-09-22 | Secureworks Corp. | Systems and methods for threat discovery across distinct organizations |
| US11003718B2 (en) | 2018-06-12 | 2021-05-11 | Secureworks Corp. | Systems and methods for enabling a global aggregated search, while allowing configurable client anonymity |
| US10846070B2 (en) | 2018-07-05 | 2020-11-24 | At&T Intellectual Property I, L.P. | Facilitating cloud native edge computing via behavioral intelligence |
| US10333898B1 (en) | 2018-07-09 | 2019-06-25 | Centripetal Networks, Inc. | Methods and systems for efficient network protection |
| JP7188046B2 (ja) * | 2018-12-14 | 2022-12-13 | 富士フイルムビジネスイノベーション株式会社 | 通信システム、通信装置、通信システムプログラム及び通信プログラム |
| US11310268B2 (en) | 2019-05-06 | 2022-04-19 | Secureworks Corp. | Systems and methods using computer vision and machine learning for detection of malicious actions |
| US11418524B2 (en) | 2019-05-07 | 2022-08-16 | SecureworksCorp. | Systems and methods of hierarchical behavior activity modeling and detection for systems-level security |
| US11349877B2 (en) * | 2019-06-20 | 2022-05-31 | Servicenow, Inc. | Solution management systems and methods for addressing cybersecurity vulnerabilities |
| US11381589B2 (en) | 2019-10-11 | 2022-07-05 | Secureworks Corp. | Systems and methods for distributed extended common vulnerabilities and exposures data management |
| US11522877B2 (en) | 2019-12-16 | 2022-12-06 | Secureworks Corp. | Systems and methods for identifying malicious actors or activities |
| US11316823B2 (en) | 2020-08-27 | 2022-04-26 | Centripetal Networks, Inc. | Methods and systems for efficient virtualization of inline transparent computer networking devices |
| US11588834B2 (en) | 2020-09-03 | 2023-02-21 | Secureworks Corp. | Systems and methods for identifying attack patterns or suspicious activity in client networks |
| US11362996B2 (en) | 2020-10-27 | 2022-06-14 | Centripetal Networks, Inc. | Methods and systems for efficient adaptive logging of cyber threat incidents |
| US11528294B2 (en) | 2021-02-18 | 2022-12-13 | SecureworksCorp. | Systems and methods for automated threat detection |
| US11159546B1 (en) | 2021-04-20 | 2021-10-26 | Centripetal Networks, Inc. | Methods and systems for efficient threat context-aware packet filtering for network protection |
| US20230112579A1 (en) * | 2021-10-11 | 2023-04-13 | Hewlett Packard Enterprise Development Lp | Automatic policy engine selection |
Family Cites Families (55)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5029206A (en) | 1989-12-27 | 1991-07-02 | Motorola, Inc. | Uniform interface for cryptographic services |
| WO1993011480A1 (en) | 1991-11-27 | 1993-06-10 | Intergraph Corporation | System and method for network license administration |
| US6210272B1 (en) | 1997-12-22 | 2001-04-03 | Health Hero Network, Inc. | Multi-player interactive electronic game for health education |
| JPH0721135A (ja) | 1993-07-02 | 1995-01-24 | Fujitsu Ltd | 二重化監視機能を持つデータ処理システム |
| JPH07121394A (ja) * | 1993-10-26 | 1995-05-12 | Fujitsu Ltd | 多重化装置 |
| US5473599A (en) | 1994-04-22 | 1995-12-05 | Cisco Systems, Incorporated | Standby router protocol |
| US5621727A (en) | 1994-09-16 | 1997-04-15 | Octel Communications Corporation | System and method for private addressing plans using community addressing |
| US5677905A (en) | 1995-03-28 | 1997-10-14 | Bell Atlantic Network Services, Inc. | Access subnetwork controller for video dial tone networks |
| EP0839353B1 (en) * | 1995-07-20 | 2001-09-26 | Novell, Inc. | Transaction synchronization in a disconnectable computer and network |
| JP3441264B2 (ja) * | 1995-09-26 | 2003-08-25 | 三菱電機株式会社 | 多重系システム |
| US5758083A (en) | 1995-10-30 | 1998-05-26 | Sun Microsystems, Inc. | Method and system for sharing information between network managers |
| US5951639A (en) | 1996-02-14 | 1999-09-14 | Powertv, Inc. | Multicast downloading of software and data modules and their compatibility requirements |
| US6088451A (en) | 1996-06-28 | 2000-07-11 | Mci Communications Corporation | Security system and method for network element access |
| US5835481A (en) * | 1996-08-28 | 1998-11-10 | Akyol; Cihangir M. | Fault tolerant lane system |
| US5884325A (en) | 1996-10-09 | 1999-03-16 | Oracle Corporation | System for synchronizing shared data between computers |
| US5848244A (en) | 1996-12-20 | 1998-12-08 | Mci Communications Corporation | System and method for time-based real-time reconfiguration of a network |
| GB9705469D0 (en) | 1997-03-17 | 1997-05-07 | British Telecomm | Re-usable database system |
| US6272648B1 (en) | 1997-05-13 | 2001-08-07 | Micron Electronics, Inc. | System for communicating a software-generated pulse waveform between two servers in a network |
| US6047322A (en) | 1997-05-27 | 2000-04-04 | Ukiah Software, Inc. | Method and apparatus for quality of service management |
| US6578077B1 (en) | 1997-05-27 | 2003-06-10 | Novell, Inc. | Traffic monitoring tool for bandwidth management |
| US6070243A (en) | 1997-06-13 | 2000-05-30 | Xylan Corporation | Deterministic user authentication service for communication network |
| US5987376A (en) | 1997-07-16 | 1999-11-16 | Microsoft Corporation | System and method for the distribution and synchronization of data and state information between clients in a distributed processing system |
| US5987508A (en) * | 1997-08-13 | 1999-11-16 | At&T Corp | Method of providing seamless cross-service connectivity in telecommunications network |
| US6104700A (en) | 1997-08-29 | 2000-08-15 | Extreme Networks | Policy based quality of service |
| US7143438B1 (en) | 1997-09-12 | 2006-11-28 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with multiple domain support |
| US6148410A (en) | 1997-09-15 | 2000-11-14 | International Business Machines Corporation | Fault tolerant recoverable TCP/IP connection router |
| US6128296A (en) | 1997-10-03 | 2000-10-03 | Cisco Technology, Inc. | Method and apparatus for distributed packet switching using distributed address tables |
| US6363498B1 (en) | 1997-11-20 | 2002-03-26 | Lucent Technologies, Inc. | Method and apparatus to automatically back up switching system files |
| JPH11259383A (ja) | 1998-03-12 | 1999-09-24 | Hitachi Ltd | Ras情報取得回路及びそれを備えた情報処理システム |
| US6148336A (en) | 1998-03-13 | 2000-11-14 | Deterministic Networks, Inc. | Ordering of multiple plugin applications using extensible layered service provider with network traffic filtering |
| US6141686A (en) | 1998-03-13 | 2000-10-31 | Deterministic Networks, Inc. | Client-side application-classifier gathering network-traffic statistics and application and user names using extensible-service provider plugin for policy-based network control |
| US6101541A (en) | 1998-04-21 | 2000-08-08 | International Business Machines Corporation | Active polling by network LDAP directory |
| US6073175A (en) | 1998-04-27 | 2000-06-06 | International Business Machines Corporation | Method for supporting different service levels in a network using web page content information |
| US6157955A (en) | 1998-06-15 | 2000-12-05 | Intel Corporation | Packet processing system including a policy engine having a classification unit |
| US6170009B1 (en) | 1998-07-17 | 2001-01-02 | Kallol Mandal | Controlling devices on a network through policies |
| US6529499B1 (en) | 1998-09-22 | 2003-03-04 | Lucent Technologies Inc. | Method for providing quality of service for delay sensitive traffic over IP networks |
| US6243749B1 (en) | 1998-10-08 | 2001-06-05 | Cisco Technology, Inc. | Dynamic network address updating |
| US6311205B1 (en) | 1998-10-19 | 2001-10-30 | International Business Machines Corporation | Persistent user groups on servers managed by central servers |
| US6286052B1 (en) | 1998-12-04 | 2001-09-04 | Cisco Technology, Inc. | Method and apparatus for identifying network data traffic flows and for applying quality of service treatments to the flows |
| US6167445A (en) | 1998-10-26 | 2000-12-26 | Cisco Technology, Inc. | Method and apparatus for defining and implementing high-level quality of service policies in computer networks |
| US6158010A (en) * | 1998-10-28 | 2000-12-05 | Crosslogix, Inc. | System and method for maintaining security in a distributed computer network |
| US6374295B2 (en) | 1998-10-29 | 2002-04-16 | Nortel Networks Limited | Active server management |
| US6516314B1 (en) | 1998-11-17 | 2003-02-04 | Telefonaktiebolaget L M Ericsson (Publ) | Optimization of change log handling |
| CA2292272A1 (en) | 1998-12-22 | 2000-06-22 | Nortel Networks Corporation | System and method to support configurable policies for services in directory-based networks |
| US6449650B1 (en) | 1999-02-01 | 2002-09-10 | Redback Networks Inc. | Methods and apparatus for deploying quality of service policies on a data communication network |
| US6408399B1 (en) | 1999-02-24 | 2002-06-18 | Lucent Technologies Inc. | High reliability multiple processing and control system utilizing shared components |
| US6408282B1 (en) * | 1999-03-01 | 2002-06-18 | Wit Capital Corp. | System and method for conducting securities transactions over a computer network |
| US6442713B1 (en) * | 1999-03-30 | 2002-08-27 | International Business Machines Corporation | Cluster node distress signal |
| US6523064B1 (en) | 1999-04-29 | 2003-02-18 | Mitsubishi Electric Research Laboratories, Inc | Network gateway for collecting geographic data information |
| US6587466B1 (en) * | 1999-05-27 | 2003-07-01 | International Business Machines Corporation | Search tree for policy based packet classification in communication networks |
| JP3756349B2 (ja) | 1999-06-17 | 2006-03-15 | シャープ株式会社 | データベース管理装置、および、そのプログラムが記録された記録媒体 |
| US6404884B1 (en) * | 1999-10-08 | 2002-06-11 | Grape Technology Group, Inc. | Personalized assistance system and method |
| US6487594B1 (en) * | 1999-11-30 | 2002-11-26 | Mediaone Group, Inc. | Policy management method and system for internet service providers |
| US6584454B1 (en) | 1999-12-31 | 2003-06-24 | Ge Medical Technology Services, Inc. | Method and apparatus for community management in remote system servicing |
| US20030115346A1 (en) * | 2001-12-13 | 2003-06-19 | Mchenry Stephen T. | Multi-proxy network edge cache system and methods |
-
2000
- 2000-06-12 US US09/592,165 patent/US6944183B1/en not_active Expired - Lifetime
- 2000-06-12 AT AT01110184T patent/ATE326801T1/de not_active IP Right Cessation
- 2000-06-12 AT AT01110183T patent/ATE301895T1/de not_active IP Right Cessation
- 2000-06-12 WO PCT/US2000/016246 patent/WO2000078004A2/en active IP Right Grant
- 2000-06-12 US US09/592,083 patent/US6678835B1/en not_active Expired - Lifetime
- 2000-06-12 JP JP2001504137A patent/JP2003502757A/ja active Pending
- 2000-06-12 AT AT01110188T patent/ATE350829T1/de not_active IP Right Cessation
- 2000-06-12 AT AT00939849T patent/ATE303690T1/de not_active IP Right Cessation
- 2000-06-12 EP EP00939849A patent/EP1145519B1/en not_active Expired - Lifetime
- 2000-06-12 AU AU54868/00A patent/AU5486800A/en not_active Abandoned
- 2000-06-12 CN CNB008013780A patent/CN100384191C/zh not_active Expired - Fee Related
- 2000-06-12 AT AT01110185T patent/ATE360937T1/de not_active IP Right Cessation
-
2004
- 2004-09-07 JP JP2004259291A patent/JP2005065305A/ja not_active Withdrawn
- 2004-11-08 US US10/983,840 patent/US20050138204A1/en not_active Abandoned
Cited By (34)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1764191B (zh) * | 2004-10-18 | 2010-04-07 | 国际商业机器公司 | 用于动态更新会话状态亲缘性的方法和系统 |
| CN1777179B (zh) * | 2004-11-19 | 2010-09-01 | 微软公司 | 用于分发安全策略的方法和系统 |
| CN100411350C (zh) * | 2005-03-01 | 2008-08-13 | 联想(北京)有限公司 | 一种混合策略加载系统及实现策略管理的方法 |
| CN100352211C (zh) * | 2005-11-01 | 2007-11-28 | 华为技术有限公司 | 一种无线局域网中策略信息更新的方法和系统 |
| CN100461719C (zh) * | 2006-06-15 | 2009-02-11 | 华为技术有限公司 | 服务健康度检测系统及方法 |
| CN101154240A (zh) * | 2006-09-30 | 2008-04-02 | 戴尔产品有限公司 | 基于对象面向服务的架构方法、装置和介质 |
| CN101197694B (zh) * | 2006-12-04 | 2011-05-11 | 中兴通讯股份有限公司 | 一种通讯系统日志集中统计、处理系统及其方法 |
| CN101276301B (zh) * | 2007-03-27 | 2016-06-08 | 赛门铁克公司 | 在数据备份系统中的备份任务之间分配资源的方法和装置 |
| CN101753556A (zh) * | 2008-11-27 | 2010-06-23 | 日立软件工程株式会社 | 利用了策略组识别符的客户机控制系统 |
| CN101552695B (zh) * | 2009-05-06 | 2011-07-13 | 中兴通讯股份有限公司 | 一种跨多专业网的统一网络管理方法及系统 |
| CN101833620A (zh) * | 2010-04-28 | 2010-09-15 | 国网电力科学研究院 | 一种基于自定义安全jdbc驱动的数据库防护方法 |
| CN102244649A (zh) * | 2010-05-12 | 2011-11-16 | 杭州华三通信技术有限公司 | 一种安全网络间传输数据的方法和资料处理机 |
| CN102487377A (zh) * | 2010-12-01 | 2012-06-06 | 中铁信息计算机工程有限责任公司 | 一种认证与权限管理系统 |
| CN102487377B (zh) * | 2010-12-01 | 2017-12-19 | 中铁信息计算机工程有限责任公司 | 一种认证与权限管理系统 |
| CN102664864A (zh) * | 2010-12-15 | 2012-09-12 | 波音公司 | 合作的基于规则的安全 |
| CN108959972A (zh) * | 2010-12-15 | 2018-12-07 | 波音公司 | 合作的基于规则的安全 |
| CN103875276B (zh) * | 2011-10-07 | 2018-02-06 | 瑞典爱立信有限公司 | 用于bbf和3gpp接入互通的bng到pcrf中介实体 |
| CN103875276A (zh) * | 2011-10-07 | 2014-06-18 | 瑞典爱立信有限公司 | 用于bbf和3gpp接入互通的bng到pcrf中介实体 |
| CN105247508A (zh) * | 2013-04-10 | 2016-01-13 | 伊尔拉米公司 | 使用基于逻辑多维度标签的策略模型的分布式网络管理 |
| US11503042B2 (en) | 2013-04-10 | 2022-11-15 | Illumio, Inc. | Distributed network security using a logical multi-dimensional label-based policy model |
| US9882919B2 (en) | 2013-04-10 | 2018-01-30 | Illumio, Inc. | Distributed network security using a logical multi-dimensional label-based policy model |
| US9942102B2 (en) | 2013-04-10 | 2018-04-10 | Illumio, Inc. | Handling changes in a distributed network management system that uses a logical multi-dimensional label-based policy model |
| US9882783B2 (en) | 2013-04-10 | 2018-01-30 | Illumio, Inc. | Distributed network management using a logical multi-dimensional label-based policy model |
| US10701090B2 (en) | 2013-04-10 | 2020-06-30 | Illumio, Inc. | Distributed network security using a logical multi-dimensional label-based policy model |
| US10897403B2 (en) | 2013-04-10 | 2021-01-19 | Illumio, Inc. | Distributed network management using a logical multi-dimensional label-based policy model |
| US10917309B2 (en) | 2013-04-10 | 2021-02-09 | Illumio, Inc. | Distributed network management using a logical multi-dimensional label-based policy model |
| US10924355B2 (en) | 2013-04-10 | 2021-02-16 | Illumio, Inc. | Handling changes in a distributed network management system that uses a logical multi-dimensional label-based policy model |
| CN105546190A (zh) * | 2016-01-08 | 2016-05-04 | 西安正昌电子股份有限公司 | 一种气压可调式双电控先导记忆阀体装置 |
| CN108809680A (zh) * | 2017-05-04 | 2018-11-13 | 腾讯科技(深圳)有限公司 | 一种设备管理的方法及设备 |
| CN108809680B (zh) * | 2017-05-04 | 2021-03-02 | 腾讯科技(深圳)有限公司 | 一种设备管理的方法及设备 |
| CN115460067A (zh) * | 2017-11-09 | 2022-12-09 | Nicira股份有限公司 | 对计算机网络的高可用性增强的方法和系统 |
| US11902086B2 (en) | 2017-11-09 | 2024-02-13 | Nicira, Inc. | Method and system of a dynamic high-availability mode based on current wide area network connectivity |
| US11943146B2 (en) | 2021-10-01 | 2024-03-26 | VMware LLC | Traffic prioritization in SD-WAN |
| US11909815B2 (en) | 2022-06-06 | 2024-02-20 | VMware LLC | Routing based on geolocation costs |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2000078004A3 (en) | 2001-08-30 |
| EP1145519B1 (en) | 2005-08-31 |
| US20050138204A1 (en) | 2005-06-23 |
| ATE301895T1 (de) | 2005-08-15 |
| ATE350829T1 (de) | 2007-01-15 |
| ATE303690T1 (de) | 2005-09-15 |
| WO2000078004A9 (en) | 2002-08-01 |
| CN100384191C (zh) | 2008-04-23 |
| WO2000078004A2 (en) | 2000-12-21 |
| ATE326801T1 (de) | 2006-06-15 |
| ATE360937T1 (de) | 2007-05-15 |
| EP1145519A2 (en) | 2001-10-17 |
| AU5486800A (en) | 2001-01-02 |
| US6678835B1 (en) | 2004-01-13 |
| JP2005065305A (ja) | 2005-03-10 |
| JP2003502757A (ja) | 2003-01-21 |
| US6944183B1 (en) | 2005-09-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1483270A (zh) | 基于策略的网络体系结构 | |
| US7032022B1 (en) | Statistics aggregation for policy-based network | |
| US20210352135A1 (en) | System and method for providing data and application continuity in a computer system | |
| EP1143662B1 (en) | Virtual private network having automatic updating of client reachability information | |
| US6708187B1 (en) | Method for selective LDAP database synchronization | |
| CN1182479C (zh) | 有效地收集、整理和访问证书吊销表的系统和方法 | |
| JP5038887B2 (ja) | ネットワークを管理するシステムおよび方法 | |
| CN1823514A (zh) | 使用基于角色的访问控制来提供网络安全的方法和装置 | |
| CN1338173A (zh) | 监听系统和方法 | |
| US20230164181A1 (en) | Phishing attempt search interface | |
| US11374970B2 (en) | Phishing attempt categorization/aggregation interface | |
| CN1812382A (zh) | 管理组件应用程序的通信的系统和方法 | |
| KR101233934B1 (ko) | 지능형 통합 보안 관리 시스템 및 방법 | |
| CN1317851C (zh) | 一种虚拟专用网中实现用户站点分级管理的方法 | |
| JP2009199194A (ja) | 半導体装置の分析解析装置の使用管理システム、及び、使用管理機能付き半導体装置の分析解析装置 | |
| CN1842085A (zh) | 访问控制服务和控制服务器 | |
| JP2009182455A (ja) | レイヤ2スイッチ装置 | |
| CN115694907A (zh) | 一种ssl流量解密加白方法 | |
| Headquarters | Cisco Unified CallManager New and Changed Information Guide | |
| JP2003283569A (ja) | 電子メールの配信サービスの方法 | |
| JP2009182456A (ja) | 試験装置 | |
| JP2009182452A (ja) | レイヤ2スイッチ装置 | |
| JP2009182454A (ja) | レイヤ2スイッチ装置 | |
| JP2009159154A (ja) | ネットワークアドレスポート変換装置 | |
| JP2009181349A (ja) | 試験装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20080423 Termination date: 20180612 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |