| 发明名称 | 用于网络安全装置的具有端口限制的动态访问控制策略 | ||
| 摘要 | 网络安全装置支持安全策略的定义以控制对网络的访问。安全策略由包括第七层网络应用程序、用于传输层协议的第四层端口的静态端口列表的匹配准则和应用到与匹配准则相匹配的包流上的动作定义。规则引擎基于包流的包净荷中的应用层数据的检查而不仅基于包中头部所指定的第四层端口上的识别来动态地识别与所接收到的包流相关联的第七层网络应用程序类型。规则引擎配置为应用安全策略以确定包流是否与匹配准则指定的静态端口列表相匹配。网络安全装置将安全策略指定的动作应用到包流上。 | ||
| 申请公布号 | CN101719899A | 申请公布日期 | 2010.06.02 |
| 申请号 | CN200910164019.9 | 申请日期 | 2009.08.04 |
| 申请人 | 丛林网络公司 | 发明人 | 克里希纳·纳拉亚纳斯瓦米 |
| 分类号 | H04L29/06(2006.01)I | 主分类号 | H04L29/06(2006.01)I |
| 代理机构 | 北京康信知识产权代理有限责任公司 11240 | 代理人 | 余刚;吴孟秋 |
| 主权项 | 一种网络安全装置,包括:接口,配置为接收包流;控制单元,配置为支持安全策略的定义以控制所述包流对网络的访问,其中所述安全策略指定:(a)包括第七层网络应用程序的匹配准则,和用于传输层协议的一个或多个第四层端口的静态端口列表,以及(b)应用至与所述匹配准则相匹配的包流的动作,规则引擎,配置为基于所述包流的包净荷中的应用层数据的检查来动态地识别与所接收到的包流相关联的第七层网络应用程序的类型,而不是仅基于由所述包中头部指定的第四层端口来进行所述识别,其中所述规则引擎配置为在所述第七层网络应用程序的所述动态识别之后,应用所述安全策略来确定所述包流是否与由所述匹配准则指定的所述静态端口列表相匹配,其中,一旦所述规则引擎确定了所述包流与所述静态端口列表相匹配,则所述控制单元将由所述安全策略指定的所述动作应用至所述包流。 | ||
| 地址 | 美国加利福尼亚州 | ||