专利名称:用于网络之间的通信的安全检查程序的利记博彩app
技术领域:
本发明一般涉及计算机网络之间的通信,更具体地,涉及一种用于确定哪些网络被授权相互通信、并根据这些网络的配置确定对于这些通信应使用哪些IP协议的系统和方法。
背景技术:
通信从一个网络流到另一个网络,每一个网络的通信网关通常是防火墙或路由器。防火墙包括筛选掉不需要的消息的路由器和过滤器。存在不同类型的网络。例如,在一个企业内可能存在用于本地通信的内部网。假定内部网的所有用户都是可信赖的,因为他们都为同一个企业工作。因此,在内部网内通常存在相对较少的安全隐患。但是,内部网的用户经常希望与位于该内部网以外的另一网络上的另一实体进行通信。由于该另一实体可能不为该企业工作,且该另一网络不在该企业的控制之下,因此该另一实体和网络不能被完全信赖。因此,在通向该内部网的网关处可能安装有防火墙。防火墙负责对进入的通信执行安全策略。该安全策略可以定义该内部网允许与其进行通信的那些类型的网络及对于这些通信所允许的协议。
例如,防火墙可能只允许与该企业的“不设防区域(DemilitarizedZone)”或者“DMZ”(如果存在的话)的通信。企业DMZ包括由该企业提供和管理的服务器和其它相关设备,但不包含敏感数据或敏感数据的唯一副本。因此,如果企业DMZ中的服务器被来自另一网络的通信所破坏,则该损坏是可修复的。而且,对企业DMZ中的服务器和相关设备的管理允许该企业在企业DMZ中具有安全度量。企业DMZ可被授权与不可信赖的网络直接进行通信或通过另一企业的另一DMZ进行通信。将带有其防火墙的内部网直接连接到一个或多个不可信赖的网络,并且依靠该内部网的防火墙提供安全也是可能的。其它较不安全的类型的网络不具有防火墙。而是,它们通过路由器直接连接到其它网络。
最通用的协议为TCP、UDP和ICMP。这些协议中的每一种都包括附加的标准,诸如TCP和UDP为某些类型的请求所使用的端口范围、及ICMP的类型和代码。TCP和UDP端口指示接收方设备中的哪一应用应该提供所请求的服务。在某些情况下还可期望限制用于某些类型的通信的端口范围。对端口范围的限制有利于对所请求的服务进行处理。例如,许多程序都被编写为打开任何可用的TCP或UDP端口。这使得对使用这样一个端口的应用的识别很困难。在某些这样的情况下,可能的是,限制这些应用可用的端口范围,以帮助识别哪一个应用正在使用该端口。对于某些网络来说,更偏好于不与使用不同TCP或UDP端口范围的另一网络进行通信。此外,某些网络可能不希望接受某些类型的ICMP消息。例如,由于发送“路由重定向”消息的设备可能是不可信赖的,所以某些目的网络可能不希望处理该“路由重定向”消息。此外,某些协议比其他协议是更可控制的。例如,TCP为每一次通信都提供“握手”,而UDP却不提供。因此,TCP比UDP是更可控制的,因此,对于某些网络来说,可能更偏好于不接受UDP通信。
已有不同的技术用于确定两个通过防火墙或路由器连接的网络是否被授权相互通信,及哪些包括附加标准的协议被授权用于该通信。例如,如果外部网络的系统管理员希望通过其防火墙或到一个企业的路由器与该企业的防火墙进行通信,则该外部网络的系统管理员可仅向该企业的系统管理员发送其配置信息即可。该配置信息可包括外部网络的类型和它所支持的包括用于每一协议的附加标准的协议。然后,该企业的系统管理员人工检查该配置信息,并确定该外部网络是否应被允许通过该企业的防火墙与该企业进行通信,如果应被允许,则确定要使用的IP协议。如果系统管理员根据该企业的策略认为所请求的流是可接受的,则该系统管理员更新该企业的防火墙中的文件,以允许其以包括附加标准的指定IP协议与该外部网络进行通信。同样,该外部网络的系统管理员将更新其防火墙或路由器中的文件,以允许其以包括附加标准的指定IP协议从该企业网络接收通信。
通常每年一次,有时根据公司策略更经常地,必须对所有过滤规则进行验证以确保它们仍然符合该公司策略。传统上,这由系统管理员人工完成,或者由日日操作的防火墙之外的人(诸如安全管理员)来完成。系统管理员或安全管理员检查每一防火墙规则以确认每一IP地址的网络类型,并确保该防火墙内配置的流根据该公司策略是可接受的。尽管这种技术是有效的,但它需要对每个期望与其通信的网络的配置信息的繁琐的人工检查,并且可能存在许多这样的网络。此外,它集中于检查指定通信的允许性,而不是确定所有潜在被允许的通信。并且,网络的路由器和防火墙经常被更改,这可能会需要重复进行系统管理员或安全管理员之间的上述交互。
存在另一种技术用于确定两个通过防火墙或路由器连接的网络是否被授权相互通信,及哪些协议(包括附加标准)被授权用于该通信。根据该技术,包发生器位于在被检查与其它网络的兼容性的发端网络的防火墙或路由器内部。包发生器将一组通信包发送到该网络上,但优选地发送到一个未被占用的IP地址。每一组通信包具有带有不同附加标准的不同IP协议,但是发端网络所支持的哪些协议。“嗅探器”仅位于发端网络的防火墙或路由器的外部,并将允许通过该发端网络的防火墙或路由器的所生成的包记入日志。根据由“嗅探器”记录的原始包的存在与否,可生成关于该防火墙或路由器允许通过什么样的业务流的报告。然后,可将该报告与公司的安全标准进行比较。尽管该技术是部分自动的,但它向网络施加了处理许多通信包的负担。此外,它未将目的网络的类型作为在确定发端网络是否将允许通信中的标准;一旦报告被人工生成,这仍然留作为人工任务。另一问题在于公司安全标准经常更改。
发明内容
因此,本发明的一般目的在于提供一种确定哪些类型的网络可相互通信且对于这样的通信可使用哪些IP协议的技术。
本发明更具体的目的在于提供一种至少是部分自动的前述类型的技术。
本发明涉及一种用于确定多个网络是否被授权相互通信及对于这些网络中两个网络的每一组合之间的通信可使用什么IP协议的技术。对于每一网络,在计算机可读数据库中存储(a)允许用于所述每一网络的IP协议和(b)允许与所述每一网络进行通信的其他网络的类型的记录。对于所述每一网络,在计算机可读数据库中存储所述每一网络的相应防火墙或路由器所允许的IP协议及目的和源网络的记录。对于所述每一网络,在计算机可读数据库中存储所述每一网络的类型的记录。自动识别这些网络的多个组合。每一组合包括源网络和目的网络。对于每一所述组合,根据这些记录,自动确定该组合中的每一网络是否被允许与该组合中的另一网络进行通信及该组合中的两个网络所共同的IP协议。
根据本发明的一个特征,IP协议及目的和源网络的记录包括IP协议及目的地址和源地址的记录。每一网络的类型的记录包括将目的地址与各个网络类型相关联且将源地址与各个网络类型相关联的表。
图1是本发明可用于其中的、包括执行根据本发明的安全检查程序的网络管理器的多个互连网络的方框图;图2是示出图1的安全检查程序的初始化部分的操作的流程图;图3(a)和图3(b)形成示出图1的安全检查程序的另一安全检查部分的操作的流程图。
具体实施例方式
现在详细参照附图,其中相同的参考标号表示相同的组件,图1示出通过连通性网络20互连的四个网络11-14。除了下面描述的安全检查程序70和相关表71之外,图1的所有部分都是先有技术。网络11和12共享位于网络11和12及连通性网络20之间的防火墙21。网络13具有位于网络13和连通性网络20之间的路由器23。网络14具有位于网络14和连通性网络20之间的防火墙24。防火墙21、防火墙24和路由器23都是先有技术中公知的。作为例子,网络11是企业内部网,网络12是网络11的DMZ,网络13是从网络11的观点看的一个不可信赖的网络,网络14是从网络11的观点看的一个不可信赖的网络。作为例子,网络14是万维网,而网络13是第三方客户网络。但是,本发明可使用各种网络。同样作为例子,连通性网络包括LAN、WAN或VPN。但是,连通性网络20的特性与本发明是无关的。网络11包括服务器32和用户工作站30、31及执行安全检查程序70的网络管理器工作站34。网络12包括服务器42和用于“帮助桌面”的用户工作站40、41。网络13包括用户工作站50、51和服务器52。网络14包括用户工作站60、61和服务器62。但是,除了在网络11内提供执行安全检查程序并到这些网络所支持的IP协议的程度的网络管理站之外,每一网络内的工作站的布置与本发明是无关的。
安全检查程序70在内部网11内防火墙21后面的网络管理器工作站34处执行。网络管理器34与DMZ网络12通过防火墙21进行通信,并与网络13和14通过DMZ网络12和连通性网络20进行通信。DMZ网络12与网络13通过防火墙21、连通性网络20和路由器23进行通信。DMZ网络12与网络14通过防火墙21、连通性网络20和防火墙24进行通信。
图2是示出安全检查程序70内的初始化功能68的流程图。初始化功能的目的是构建表示每一网络11-14的安全策略的数据结构,其是每一网络11-14和IP协议允许通过每一网络的防火墙或路由器的类型。每一网络的“安全策略”是该网络可与之通信的其它网络的类型和可使用的IP协议的定义。然后,参照图3(a)和3(b),下面描述的安全程序70的剩余部分100使用该数据结构确定哪些网络被授权相互通信且对于这些通信应使用哪些IP协议(包括附加标准)。即使在所示出的流程图及其详细描述中可能仅描述了“网络”,下面对安全检查程序70的详细描述同样应用于所有的“网络对象”,即网络、子网或每一网络的主类型。
初始化功能68操作如下。首先,功能68寻找安全策略(步骤72)。该策略可能已存储在由系统管理员生成的文件中或者可能由系统管理员在初始化功能执行之前人工输入。通常,系统管理员负责正由初始化功能检查的所有网络(诸如网络11-14)之间的通信并具有对这些网络的IP配置的一些认知。安全策略文件为每一网络根据所述每一网络的所记录的公司安全策略定义允许与所述每一网络进行通信的其它网络的类型(诸如“内部网”、“DMZ”、“客户”、“互联网”)以及在每一网络类型之间所允许的业务流/协议类型。系统管理员还需要网络11-14的路由器或防火墙的文本配置信息。这些每一路由器或防火墙的文本配置信息包括源IP地址、目的IP地址、IP协议、和该路由器或防火墙所允许的端口及类型。“源IP地址”是可通过该路由器或防火墙发送包的那些网络的IP地址,而“目的IP地址”是可接收通过该路由器或防火墙所发送的包的那些网络的IP地址。存储在每一路由器或防火墙的文本配置文件中的“IP协议”是源IP地址和目的IP地址之间的每一通信所支持的IP协议。在运行初始化功能之前,系统管理员使用路由器或防火墙的缺省通信方法(可选地,协议)用于获得该路由器或防火墙的文本配置文件。
如果安全策略已知(判定74),则将其加载到功能68中(步骤76)。如果未知,则功能68创建缺省的安全策略,其不允许与任何其他网络的通信(步骤78)。然后,系统管理员将具有为探查中的网络加载安全策略文件还是为使用而创建一个安全策略文件的选项(步骤79)。接着,功能68提示系统管理员为路由器或防火墙输入或加载上述的防火墙或路由器配置信息(步骤80)。(步骤80-250对于每一防火墙或路由器进行重复)。然后,该防火墙或路由器配置被加载到功能68中(步骤82)。接着,功能68创建表示前述安全策略和IP配置的数据结构(步骤84)。接着,功能68判定是否存在标识已知网络对象的网络类型的文件(判定86)。这样的文件将网络11-14的IP地址映射到在安全策略文件中定义的网络类型。在所示出的例子中,可能的类型是源和/或目的“内部网”、源和/或目的“DMZ”及源和/或目的“不可信赖网络”。如果先前存储了网络类型,则功能68加载该定义(步骤88)。如果没有,则系统管理员将需要实时输入该信息(步骤90)。接着,将在图2的步骤中收集的前述信息(即每一网络对象的IP地址,其中“网络对象”是如其映射到安全策略的网络、子网络或每一网络的主类型)存储在网络对象数据结构中(步骤92)。
图3(a)和(b)形成示出在根据本发明的安全检查程序70内的安全检查功能100的流程图。安全检查功能100也由系统管理员在网络管理员工作站34上运行。安全检查功能100在初始化功能68运行之后运行。安全检查功能100的目的是将每一网络对象的定义与每一其他可能通信方的每一其他网络对象的定义进行比较,以确定该通信是否被授权,及如果被授权则所授权的协议是什么。这些授权记录在授权表71中。
安全检查功能100开始于识别每一可能的“源”网络对象(即发送到“目的”网络的通信的每一可能源)(步骤102)。然后,安全检查功能100确定该源网络对象是否具有如上面在图2中所述的已定义的网络类型(判定104)。如果不具有,则在网络对象数据结构中将该源网络对象列为“未知”(步骤106)。再此提及判定104,如果该源网络对象已被定义,则该定义由安全检查功能100使用(步骤108)。然后,功能100识别每一可能的“目的”网络对象(即来自于源网络的通信的每一可能的目的)(步骤120)。然后,安全检查功能100确定该目的网络对象是否具有如上面在图2中所述的已定义的网络类型(判定124)。如果不具有,则在网络对象数据结构中将该目的网络对象列为“未知”(步骤126)。如果具有,则该定义由安全检查功能100使用(步骤128)。
对于源网络对象和目的网络对象的每一可能的组合,安全检查功能100根据由功能68所创建的网络定义进行以下操作。安全检查功能100判定源网络对象类型和目的网络对象类型是否被定义为如上面图2中所述的那样(判定142)。如果源网络或目的网络都不具有有效的已定义的类型,则将这作为错误记录在表71中(步骤143)。该表对于源网络和各个目的网络的每一组合具有一组记录。再次提及判定142,如果在该定义中的两个网络均已被定义,则安全检查功能100判定该组合的每一网络是否允许与该组合的另一网络的任何通信,即这两种类型的网络是否兼容(步骤144)。如果不兼容,则在该表中记录错误(步骤145),且安全检查功能循环返回到步骤120。如果兼容,则安全检查功能100检查TCP是否被定义为每一组合中的源网络和各个目的网络中的每一个所支持的IP协议(判定147)。如果防火墙不具有为该源/目的网络组合所定义的任何TCP流,则功能100转到判定180。如果定义了TCP流,则功能100判定源网络和各个目的网络类型是否允许TCP的使用(判定148)。如果不允许,则在表中为源网络和目的网络的该组合记录错误(步骤150)。如果允许,则功能100检查该源网络和该目的网络对于所允许的该TCP端口的安全策略(步骤152),以判定该TCP源端口是否与这两项策略一致(判定154)。如果不一致,则功能100在表中记录一个错误(步骤160)。如果一致,则功能100循环返回到步骤152,以分析当前源和目的网络流中的下一个TCP端口。
在所有TCP组合均对于TCP源端口的遵从性被分析之后,功能100对于TCP目的端口进行类似的检查。这样,功能100检查了每一组合的源网络对象和各个目的网络对象对于TCP目的端口的安全策略(步骤170),以判定该TCP目的端口是否与该策略一致(判定172)。如果不一致,则功能100在表中记录一个错误(步骤176)。如果一致,则功能100循环返回到步骤170,以分析当前源网络和目的网络组合中的下一个TCP目的端口。
在当前源网络和目的网络的组合的TCP端口均以这种方式被分析之后,功能100检查在当前源网络对象和目的网络对象的防火墙或路由器配置中是否已配置了UDP流(步骤180)。如果防火墙不具有为该源和目的网络组合所定义的任何UDP流,则功能100转到判定210。如果配置了UDP流,则功能100判定该UDP流是否被每一组合的源网络和目的网络中的每一个所允许(判定184)。如果不被允许,则功能100在表中记录一个错误(步骤186),并继续进行判定210。如果UDP流被允许,则功能100检查源网络和目的网络对于每一UDP源端口的安全策略(步骤188),以判定该UDP源端口是否与该策略一致(判定190)。如果不一致,则功能100在表中记录一个错误(步骤192),然后循环返回到步骤188,以分析当前源和目的网络组合的下一个UDP源端口。如果一致,则功能100循环返回到步骤188,以分析当前源网络和目的网络的组合中的下一个UDP源端口。
在所有组合均已对于UDP源端口的遵从性被分析之后,功能100对于UDP目的端口进行类似的检查。功能100检查源网络对象和目的网络对象对于每一UDP目的端口的安全策略(步骤202),以判定当前源网络和目的网络的UDP目的端口是否与该策略一致(判定204)。如果不一致,则功能100在表中记录一个错误(步骤206),然后循环返回到步骤202,以分析当前源网络和目的网络组合的下一个UDP目的端口。如果一致,则功能100循环返回到步骤202,以分析当前源网络和目的网络组合的下一个UDP目的端口。
在所有当前源网络/目的网络组合的UDP目的端口对于与各个组合中的两个网络的安全策略的遵从性被分析之后,功能100检查路由器或防火墙是否具有为当前源网络对象和目的网络对象组合定义的ICMP流(判定210)。如果该路由器或防火墙不具有任何已配置的ICMP流,则功能100转到判定240。如果定义了ICMP流,则功能100判定该ICMP流是否被当前组合的源网络对象和目的网络对象所允许(判定214)。如果不允许,则功能100在表中为各个组合记录一个错误(步骤216)。如果定义了ICMP流,则功能100检查当前组合的源网络和目的网络的ICMP类型(步骤218),然后检查当前组合的源网络和目的网络的ICMP编码(步骤220),以判定它们与当前组合的源节点和目的节点的安全策略是否一致(判定230)。如果不一致,则功能100在表中记录一个错误(步骤232),并循环返回到步骤220,以分析下一编码。当所有编码对于每一类型均被检查之后,其循环返回以分析下一编码(步骤218)。
接着,功能100检查当前源网络对象和各个目的网络对象,以判定是否定义了任何其他的IP协议(判定240)。如果没有定义其他的IP协议,则功能100循环返回以分析下一目的网络(步骤120)。如果配置了其他的IP协议,则功能100判定策略对于当前源网络和目的网络是否允许另一个这样定义的IP协议(判定242)。如果不允许,则功能100在表中记录一个错误(步骤244),并循环返回以分析下一目的网络(步骤120)。如果该安全策略对于源网络和目的网络的当前组合允许其他的lP协议(步骤246),则功能100判定当前源网络和目的网络组合的安全策略是否允许其他已定义IP协议中的一种(步骤248)。如果不允许其他的IP协议,则功能100在表中记录一个错误(步骤250),然后循环返回到步骤246。
接着,功能100循环返回到步骤120,为下一目的网络重复所有后续步骤。当所有目的网络均被分析之后,功能100循环返回到步骤102,以分析下一源网络,重复该功能中的所有后续步骤。
在执行了图3(a)和(b)中示出的所有前述步骤之后,对于源网络对象和目的网络对象的每一组合和IP协议(包括附加标准)在表中不存在错误表明对于这样的通信的授权。然后,将网络对象数据结构存储在网络定义文件中(步骤300)。然后,可将表71发送给每一网络处的系统管理员(步骤301),以相应地更新他或她的网络处的防火墙或路由器(步骤302)。可将表中的错误显示在每一网络处,以便该网络处的中央系统管理员能够更正或改变安全策略、IP配置或该网络的网络类型,如果需要的话。如果进行了任何这样的改变,则将其传送给网络11的系统管理员,以重新运行安全检查程序70。
根据上述内容,公开了一种用于自动检查对于网络的安全策略的遵从性的系统和方法。但是,可作出多种修改和替换,而不背离本发明的范围。例如,并不在所有已定义的网络上全体之上循环进行源和目的网络分析,而在某些情境中可能接受的是,仅分析已定义的源网络,然后仅为每一已配置的数据流分析已配置的目的网络。因此,本发明作为示例而并非限制进行了公开,应该参照所附权利要求来确定本发明的范围。
权利要求
1.一种用于确定多个网络是否被授权相互通信及对于所述网络中两个网络的每一组合之间的通信可使用什么IP协议的方法,所述方法包括步骤对于每一网络,在计算机可读数据库中存储(a)允许用于所述每一网络的IP协议和(b)允许与所述每一网络进行通信的其他网络的类型的记录;对于所述每一网络,在计算机可读数据库中存储所述每一网络的相应防火墙或路由器所允许的IP协议及目的和源网络的记录;对于所述每一网络,在计算机可读数据库中存储所述每一网络的类型的记录;自动识别所述网络的多个组合,所述组合中的每一个包括源网络和目的网络;以及对于每一所述组合,根据所述记录自动确定所述每一组合中的每一所述网络是否被允许与所述每一组合中的另一网络进行通信及所述每一组合中的两个所述网络所共同的IP协议。
2.如权利要求1所述的方法,其中上述存储IP协议及目的和源网络的记录的步骤包括存储IP协议及目的地址和源地址的记录的步骤,且其中上述存储每一网络的类型的记录的步骤包括存储将所述目的地址与各个网络类型相关联且将源地址与各个网络类型相关联的表的步骤。
3.如权利要求1所述的方法,其中上述允许用于组合中的两个所述网络中所述每一网络的所述IP协议包括TCP端口,且上述确定步骤包括对所述两个网络的TCP端口的比较。
4.如权利要求1所述的方法,其中上述允许用于组合中的两个所述网络中所述每一网络的所述IP协议包括UDP端口,且上述确定步骤包括对所述两个网络的UDP端口的比较。
5.如权利要求1所述的方法,其中上述允许用于组合中的两个所述网络中所述每一网络的所述IP协议包括ICMP编码和类型,且上述确定步骤包括对所述两个网络的ICMP编码和类型的比较。
6.如权利要求1所述的方法,其中上述自动确定所述每一组合中的每一所述网络是否被允许与所述每一组合中的另一网络进行通信的步骤包括将所述另一网络的类型和允许与所述每一网络进行通信的其他网络的类型的记录进行比较的步骤。
7.一种用于确定多个网络是否被授权相互通信及对于所述网络中两个网络的每一组合之间的通信可使用什么IP协议的系统,所述系统包括对于每一网络,用于在计算机可读数据库中存储(a)允许用于所述每一网络的IP协议和(b)允许与所述每一网络进行通信的其他网络的类型的记录的装置;对于所述每一网络,用于在计算机可读数据库中存储所述每一网络的相应防火墙或路由器所允许的IP协议及目的和源网络的记录的装置;对于所述每一网络,用于在计算机可读数据库中存储所述每一网络的类型的记录的装置;用于自动识别所述网络的多个组合的装置,所述组合中的每一个包括源网络和目的网络;以及对于每一所述组合,用于根据所述记录自动确定所述每一组合中的每一所述网络是否被允许与所述每一组合中的另一网络进行通信及所述每一组合中的两个所述网络所共同的IP协议的装置。
8.如权利要求7所述的系统,其中上述用于存储IP协议及目的和源网络的记录的装置包括用于存储IP协议及目的地址和源地址的记录的装置,且其中上述用于存储每一网络的类型的记录的装置包括用于存储将所述目的地址与各个网络类型相关联且将源地址与各个网络类型相关联的表的装置。
9.一种可加载到数字计算机的内部存储器中的计算机程序产品,包括用于在所述产品运行于计算机上时执行以实现权利要求1至6的发明的软件代码部分。
全文摘要
本发明提供了一种用于确定多个网络(11、12、13、14)是否被授权相互通信及对于这些网络中两个网络的每一组合之间的通信可使用什么IP协议的方法。对于每一网络,计算机可读数据库存储(a)允许用于所述每一网络的IP协议、(b)允许与所述每一网络进行通信的其他网络的类型的记录。对于所述每一网络,计算机可读数据库存储所述每一网络的相应防火墙(21、24)或路由器(23)所允许的IP协议及目的和源网络的记录。对于所述每一网络,计算机可读数据库存储所述每一网络的类型的记录。这些网络的多个组合被自动识别。这些组合中的每一个包括源网络和目的网络。对于每一组合,根据这些记录自动确定该组合中的每一网络是否被允许与该组合中的另一网络进行通信及该组合中的两个网络所共同的IP协议。
文档编号H04L29/06GK1717912SQ200480001495
公开日2006年1月4日 申请日期2004年5月28日 优先权日2003年6月17日
发明者A·J·贝尔诺特 申请人:国际商业机器公司