基于策略的网络体系结构

1.一种计算机网络，包括：
和具有第一组资源的第一专用网络连接的第一边缘部件，所述第一 边缘部件配置成根据存储在与所述第一专用网络相关的第一数据库中 的第一策略设置来管理用于所述第一专用网络和第一组资源的策略组， 以及建立带有通过所述第一边缘部件可到达的成员网络的信息的第一 表，所述第一表存储在所述第一数据库中；
和具有第二组资源的第二专用网络连接的第二边缘部件，所述第二 边缘部件配置成根据存储在与所述第二专用网络相关的第二数据库中 的第二策略设置来管理用于所述第二专用网络和第二组资源的策略组， 以及建立带有通过所述第二边缘部件可到达的成员网络的信息的第二 表，所述第二表存储在所述第二数据库中；
和所述第一、第二边缘部件通信的中央策略服务器，该中央策略服 务器配置成定义所述第一和第二策略设置和从单个位置管理所述第一 和第二边缘部件；
其中，所述第一和第二边缘部件起动在所述第一和第二专用网络之 间的安全通信并根据所述第一策略设置以及所述第二策略设置来管理 所述安全通信；
并且，所述第一边缘部件和所述第二边缘部件共享所述第一表以及 所述第二边缘部件和所述第一边缘部件共享所述第二表。
2.权利要求1的计算机网络，其中第一边缘部件包括逻辑电路，用 于
接收新的路由信息；
在第一数据库中存储该新的路由信息；以及
把该新的路由信息的一部分发送给第二边缘部件。
3.权利要求2的计算机网络，其中该一部分的新的路由信息是路由 名。
4.权利要求2的计算机网络，其中第二边缘部件包括逻辑电路，用 于
接收该一部分的新的路由信息；
根据该一部分的新的路由信息访问第一数据库；
从第一数据库检索该新的路由信息；以及
在第二数据库中存储检索到的路由信息。
5.权利要求1的计算机网络，其中在第一和第二专用网络之间的通 信是根据和这些网络相关的安全策略管理的。
6.权利要求5的计算机网络，其中为一个提供组的分层结构的安全 组而定义该安全策略，该组包括成员网络、允许访问成员网络的用户和 一条控制对成员网络的访问的规则。
7.权利要求6的计算机网络，其中每个成员网络具有与所有其它成 员网络一起的完全的连通性，并且为每条连接自动配置为该安全策略组 而定义的安全策略。
8.权利要求6的计算机网络，其中该安全策略提供在成员网络间的 业务的加密，并且该规则是对在成员网络间的加密业务提供访问控制的 防火墙规则。
9.一种在一个计算机网络中用于收集会员资格信息的方法，其中， 该计算机网络包括和第一专用网络连接的第一边缘部件、和第二专用网 络连接的第二边缘部件以及和所述第一、第二边缘部件通信的中央策略 服务器，所述第一专用网络具有第一组资源并与第一数据库相关，所述 第二专用网络具有第二组资源并与第二数据库相关，该方法包括：
在所述第一数据库中存储第一策略设置；
在所述第二数据库中存储第二策略设置；
从该中央策略服务器在单个地点上，定义所述第一、第二策略设置；
建立带有可通过所述第一边缘部件到达的成员网络的第一表并在 所述第一数据库中存储所述第一表；
建立带有可通过所述第二边缘部件到达的成员网络的第二表并在 所述第二数据库中存储所述第二表；
所述第一边缘部件和所述第二边缘部件共享所述第一表；以及
所述第二边缘部件和所述第一边缘部件共享所述第二表；
其中，所述第一和第二边缘部件起动在所述第一和第二专用网络之 间的安全通信，并根据所述第一策略设置以及所述第二策略设置来管理 所述安全通信。
10.权利要求9的方法，还包括：
接收新的路由信息；
在第一数据库中存储该新的路由信息；以及
把该新的路由信息的一部分发送给第二边缘部件。
11.权利要求10的方法，其中该一部分的新的路由信息是路由名。
12.权利要求10的方法，还包括：
接收该一部分的新的路由信息；
根据该一部分的新的路由信息访问第一数据库；
从第一数据库检索该新的路由信息；以及
在第二数据库中存储检索到的路由信息。
13.权利要求9的方法，其中在第一和第二专用网络之间的通信是 根据和这些网络相关的安全策略管理的。
14.权利要求13的方法，还包括为一个安全组而定义该安全策略， 该组为包括成员网络、允许访问成员网络的用户和一条控制对成员网络 的访问的规则的组而提供分层结构。
15.权利要求14的方法，其中每个成员网络具有与所有其它成员网 络一起的完全的连通性，并且为每条连接自动配置为该安全策略组而定 义的安全策略。
16.权利要求14的方法，其中该安全策略提供在成员网络间的业务 的加密，并且该规则是对在成员网络间的加密通话提供访问控制的防火 墙规则。

发明领域\n本发明涉及计算机网络，更具体地，涉及用于为因特网上的远程专 用网络提供有效、综合和可伸缩的策略管理服务的设备和方法。\n发明背景\n计算机和计算机网络的发展和扩散允许企业有效地和自己的各部门 以及其商业伙伴、顾客、供应商通信。然而，由这些计算机和计算机网 络提供的灵活性和效率也带来增多的风险，包括来自公司外部的安全破 坏、要害信息意外从内部选出和不恰当地使用LAN、WAN、因特网或 外联网。\n在管理计算机网络的发展以及解决各种安全问题中，网络管理员经 常依赖网络策略管理服务，例如防火墙保护、网络地址转换、电子邮件 过滤、DNS高速缓存、Web高速缓存、虚拟专用网(VPN)结构和安全以 及URL阻塞，以便避免网络用户通过利用机构的ISP访问某些Web站 点。然而每种策略管理服务一般需要单独部件，并需要对后者进行配置、 管理和监视。此外，随着机构扩大并散布在多个地点，要保持的部件随 之增多，从而增加配置、管理和监视这些部件的相关开销和工作量。\n该问题的解决办法并不是简单地在每个地点把多个网络策略管理功 能集成到单个部件中并且让每个地点和其它地点共享它的策略信息。事 实上，在采纳这样的方法中存在许多障碍和挑战。例如，用来有效地在 整个机构的各远程专用网络上规定并分发策略管理信息的方法一般需要 一个良好设计的对象模型。在更新策略管理信息下同步机构内的多个数 据库也可能是一个复杂问题。另外，有效地为机构中的各远程部件而管 理策略信息可能存在着挑战。此外，从大型分布式策略管理系统的各远 程专用网络上收集日志和统计信息以进行有效分析和报告生成通常是一 项困难的任务。常规地，仅记录并保存原始包信息，这一过程通常需要 耗时的并且专门生成的程序用于在原始数据上脱机地运行，以便产生有 意义的报告和统计。\n在提供一个统一的策略管理系统中还存在其它挑战。为了提高好处， 应尽可能多地在硬件中实现这些统一的策略管理功能。然而，在芯片上 实现策略管理典型地需要有效的设计分解。另外，统一式策略管理系统 应允许对延伸到不同远程地点的虚拟专用网络有效地进行配置、管理和 更新。\n从而，在技术上仍需要一种克服现有技术的这些以及其它障碍的网 络管理解决办法。\n发明内容\n本发明的目的是提供一种统一式策略管理系统，其中可从单个地点 建立和实施各种策略，即确定网络运行的规则组和指令组。依据本发明 的一实施例，该系统包括一个和具有第一组资源的第一网络相关的第一 边缘部件，其配置成根据第一数据库中存储的策略设置来管理用于第一 网络的各策略。该系统还包括一个和具有第二组资源的第二网络相关的 第二边缘部件，其配置成根据第二数据库中存储的策略设置来管理用于 第二网络的各策略。第一和第二边缘部件充当它们各自网络的策略实施 器。所实施的策略可包括防火墙策略、VPN策略等。\n该系统还包括一个和第一、第二边缘部件通信的中央策略服务器。 该策略服务器配置成定义第一和第二策略设置和从单个位置管理第一和 第二边缘部件。从而，网络管理员在逐个配置和管理策略实施器时不必 增加工作量和相关的开销。\n在各替代实施例中，该统一式策略管理系统包括下述特征中的一个 或多个特征：\n该中央策略服务器可包括一个用于存储各策略实施器的配置信息的 中央数据库。该中央数据库以及和各策略实施器相关的数据库是根据面 向分层对象结构组织的轻便目录访问协议(LDAP)数据库。该结构包括用 于定义策略实施器的策略设置的资源对象和策略对象。这种结构通过允 许以直观和可扩充的方式定义和组织的该策略管理系统的不同单元而有 助于简化策略管理。\n依据本发明的一实施例，资源对象包括部件、用户、主机、服务和 时间。部件是在某具体专用局部网的边缘处的策略实施器。每个部件和 一些用户及一个主机相关。主机是机构内的一个网络(例如，LAN子网)。 各服务反映由策略服务器提供的各种服务(例如，HTTP、TELNET、FTP)。 时间是控制对网络资源的访问中的另一个维。\n中央数据库存储用于所有策略实施器的配置信息，其中包括策略设 置。当对该配置信息做出改变时，策略服务器建立这些改变的记录并存 储在中央数据库中供以后传送到策略实施器之用。当策略实施器接收改 变记录时，它们相应地更新各自的数据库并对策略服务器指明更新是否 成功。若成功，则从中央数据库删除和这些策略实施器对应的改变记录。\n中央策略服务器还可包括一组用户应用模块，用于允许诸如网络管 理员的用户定义用于策略实施器的策略设置，并且进而从该单个位置管 理各策略实施器。策略设置最好和多个包含部件、用户、主机、服务和 时间的资源对象关联。\n在本发明的一个方面中，该应用模块组包括一个集中式管理子模块， 其用于允许借助该中央策略服务器安装和登记策略实施器。\n在本发明的另一个方面中，该应用模块组包括一个策略管理子模块， 其用于从该单个位置管理和检查资源对象。\n在本发明的再一个方面中，该策略服务器包括一组用户应用模块以 允许用户监视策略实施器的健康和状态。每个策略实施器按预定义的公 用记录格式收集健康和状态信息并把它发送到该策略服务器。策略服务 器可根据该信息建立各种报告。从而应理解本发明允许在传输中监视该 机构中的资源，进而产生本发明优于现有技术的优点，现有技术通常只 收集原始数据从而需要乏味的报告生成。\n还可分解策略实施器在实施各自网络的策略上的功能性，以便有效 地进行硬件实现。依据本发明的一实施例，每个边缘部件最好包含多个 模块，该模块包括分类引擎、策略引擎和包发送引擎。分类引擎确定和 输入包相关的协议。策略引擎根据和包关联的策略设置为包做出发送决 策。接着包发送模块根据该策略设置发送包。\n在一些替代实施例中，模块还包括一个用于认证用户发送包的安全 引擎和/或一个用于收集流过策略实施器的包的统计信息的统计模块。\n该系统中的各个网络还可构成专用网络，并且和专用网络相关的每 个策略实施器可配置成，建立一个带有通过该策略实施器可到达的成员 网络的信息的表。然后该表和VPN中的其它成员策略实施器共享。这允 许建立动态编辑其成员表的各个VPN。\n在本发明的一个特别方面中，根据和成员网络组相关的安全策略， 管理第一和第二专用网络之间的通信。该安全策略最好是为一称为VPN 云(VPN Cloud)的安全策略组而确定的，以提供该组的层次结构。VPN云 包括成员网络(主机)、准许访问各成员网络的用户，以及一条控制对成 员网络的访问的规则。从而由VPN云提供的分层结构允许网络管理员建 立完整的格网VPN，其中某VPN云内的每个地点和每个其它地点具有 完整的可连性。网络管理员不再需要人工配置VPN中每个可能的连接， 而是只要建立一个VPN云和规定和该VPN相关的地点、用户和规则。 然后根据为该VPN云规定的配置来配置每个连接。从而该分层结构有利 于建立带有大量地点的VPN。\n在本发明的另一个方面中，VPN中的规则是对成员网络之间的业务 提供业务访问控制的防火墙规则。这样的防火墙规则能使管理员对流过 该VPN的通信具有粒度良好的访问控制，所有控制都在该VPN提供的 加密访问的范围内。\n在本发明的再一个方面中，远程用户从远程位置利用远程用户终端 访问各成员网络。该终端配置着用于从和其连接的边缘部件下载带有动 态会员资格信息的表的软件。还自动地在不必重新配置终端的情况下， 向远程用户终端发送对会员资格信息的更新。\n通过在第一类单元(主单元)之外保持第二类单元(备用单元)以防止 单点故障，还可以以高使用性配置策略服务器、策略实施器和其它网络 部件。在本发明的一个方面中，备用单元最初处于待用状态并且一旦检 测出主单元出故障就转成激活状态。\n在本发明的另一个方面中，在初始化期间每个高使用性的部件把自 己的状态显示为主单元、备用单元或独立单元(第三类单元)。\n在本发明的又一个方面中，通过把第一类单元转换到待用状态、接 收并存储该第一类单元上的第一数据库配置变化、把这些配置变化发送 到第二类单元以及在该第二类单元上存储这些配置变化，对主单元和备 用单元的数据库中存储的配置信息进行同步。当主单元转换到待用状态 时，备用单元存储第二类单元上的第二数据库配置变化并在它再转换到 激活状态后把这些变化传送到主单元。\n在本发明的再一个方面中，还通过把更新信息发送到主单元、更新 主单元、把该更新从主单元发送到备用单元并更新备用单元，同步对主 单元和备用单元的更新，例如软件更新，因此，网络管理员不需要复制 他或她的工作去更新备用单元。\n附图说明\n在通过下述详细说明、附属权利要求书和附图研究时，可更全面地 理解本发明的这些和其它特征、方面和优点，在附图中：\n图1是一示例统一式策略管理系统的示意方块图；\n图2示出依据本发明的原理为一机构存储的策略的分层面向对象的 结构；\n图3是图1的策略管理系统中的策略服务器的示意方块图；\n图4是图3的策略服务器中的中央管理子模块的示意图；\n图5是由图4的中央管理子模块实现的部件注册处理的示例流程图；\n图6是一个屏幕，示出用于注册部件的示例图形用户界面；\n图7是一个屏幕，示出展示部件健康和状态信息的示例全局监视器 用户界面；\n图8是一个屏幕，示出由图3的策略服务器中的策略管理子模块提 供的示例图形用户界面；\n图9是一个屏幕，示出用于管理系统部件的示例图形用户界面；\n图10是一个屏幕，示出用于管理系统主机的示例图形用户界面；\n图11是一个屏幕，示出用于管理系统服务的示例图形用户界面；\n图12是一个屏幕，示出用于管理时间组的示例图形用户界面；\n图13是一个屏幕，示出显示多个VPN云的示例图形用户界面；\n图14是一个屏幕，示出用于增添一新的防火墙策略的示例用户界 面；\n图15是策略实施器更新它们各自的VPN会员资格信息的示意功能 方块图；\n图16是由远程VPN客户机下载的自提取可执行体的成分的方块图；\n图17是用于下载图16的自提取可执行体的功能方块图；\n图18是图1的策略管理系统中的策略实施器的示意方块图；\n图19是图18的策略实施器中的策略引擎的更详细的示意方块图；\n图20是图18的策略实施器中的协议分类引擎的更详细示意方块图；\n图21是图18的策略实施器中的因特网协议安全引擎的更详细示意 方块图；\n图22是依据本发明的一实施例的公用记录格式的示意布局图；\n图23是依据本发明的一实施例的LDAP树结构的方块图；\n图24是图23的LDAP树的分支的更详细方块图；\n图25是记录LDAP变化并向策略实施器传播该变化的流程图；\n图26是包括主单元和备用单元的高有效性系统的示意方块图；\n图27是由一高有效性单元进行的示例状态发现处理的流程图；\n图28是用于保持在图26的主单元和备用单元中同步的配置信息的 进程的流程图；\n图29是在图26的主单元和备用单元都起作用时更新二者的示例流 程图；以及\n图30是当主单元不起作用时更新图26的主单元和备用单元的示例 流程图。\n具体实施例\nI.统一式策略管理系统体系结构\n图1是依据本发明的一实施例的示例统一式策略管理系统的示意方 块图。如图1中所示，通过各自的路由器(通用地在110处标示)和因特 网服务提供商(ISP)(未示出)，专用局部网102、104、106都和例如因特 网108的一个公用网连接。通过各ISP和公用因特网108连接的还有网 冲浪者112、拨号网络用户114、提供非特许Web站点的服务器116、向 外发送非请求的无用电子邮件的垃圾邮件发送者(spammer)118以及试图 访问专用局部网102的远程VPN客户140。\n依据一个例子，局部网102在机构的第一位置(例如，在机构总部)， 连接用户及资源(例如，工作站、服务器、打印机等)；而局部网104 在机构的第二位置例如部门办公室处，连接用户和资源。另外，局部网 106连接需要对该机构的用户和资源进行特定访问的该机构顾客的用户 和资源。该机构的授权拨号网络用户114分别位于第一和第二局部网的 远程位置处，并且也需要对该机构的用户和资源的特定访问。另外，Web 冲浪者112在公用因特网108上和该机构的网服务器120通信并访问该 机构Web站点。\n局部网102包括一个用于定义并管理该机构的网络服务和策略的策 略服务器122。网络策略是一组确定网络操作的规则和指令，例如防火 墙、VPN、带宽和管理策略。防火墙策略决定允许从公用因特网108流 入到局部网102、104的网络业务以及要被阻塞的业务。带宽策略确定分 配给穿过各局部网的业务的带宽。VPN策略确定在各局部网间实现多点 连接的规则。管理策略决定可访问管理功能的用户、分配给这些用户的 管理功能类型以及这些用户可在其上实施这些管理功能的策略实施器 124、126。最好在由策略服务器122保持的策略服务器数据库130中存 储用于整个机构的防火墙策略、VPN策略、带宽策略和管理策略。\n每个局部网102、104还包括一个称为策略实施器124、126的边缘 部件，用于控制对网络的访问。每个策略实施器124、126如由策略服务 器122许可那样为它们各自局部网102、104的用户和资源而管理网络策 略和服务。向策略实施器数据库132、134拷贝策略服务器数据库130的 有关部分，以允许策略实施器为局部网102、104而管理网络策略和网络 服务。\n依据本发明的一实施例，可以按类似于加州Milpitas镇的Alcatel联 网公司制造的FORT KN OX系列策略路由器的形式，实现策略服务器 122和策略实施器124、126。\nII.用于网络策略管理的对象模型\n依据本发明的一实施例，策略服务器数据库130和策略实施器数据 库132、134是依附面向统一分层对象结构的LDAP数据库。LDAP目录 服务模型基于条目，其中每条条目是称为特异名(DN)的属性的集合。每 个属性包括一个类型以及一个或多个值。类型典型地是助记串，例如用 于机构的“o”、用于国家的“c”或用于电子邮件地址的“mail。值取决于属 性的类型。例如，“mail”属性可含有值“babsumich.edu”。“jpeg Photo”属 性可包含一张二进制JPEG/JFIF格式下的照片。在RFC 1777“The Lightweight Directory Access Protocal”(W.Yeong、T.Howes，and Kille， Network Working Group，March 1955)和“LDAP Programming： Directory-enabled Applications with Lightweight Directory Access protocol”(T.Howes，and M.Smith，Macmillan Technical Publishing，1997) 中定义LDAP目录服务的其它细节，把它们收录为本文的参考资料。\nLDAP数据库中的条目最好排列在反映政治、地理和或机构边界的 分层树状结构中。代表国家的条目出现在树的顶部。它们的下面是代表 州或者国家机构的条目。州或国家机构的下面可以是代表人、机构部门、 打印机、文档等。\n图2是依据本发明的一实施例的由策略服务器数据库130依附的面 向统一分层对象结构的示意布局图。除一些不同外，策略实施器数据库 132、134依附于类似结构。例如，策略实施器数据库最好不含有策略服 务器域对象201和有关的策略服务器对象，也不含有策略域对象240。\n如图2中所示，最好作为一个LDAP条目存储该结构中的每个对象。 该层次的顶部处是包括各种策略服务器资源和多个策略域对象(通用地 在204处注示)的策略服务器域对象201。每个策略域对象240是由一个 共享共用策略的策略实施器的分组。每个策略域对象240包括一个资源 根对象200和一个组根对象202。最好用包括部件204、用户206、主机 208、服务210和时间220的资源对象实现所有策略管理功能。这样，防 火墙策略可通过简单地指定可应用于该策略的特定部件、用户、主机、 服务和时间来定义。部件、用户、主机和服务最好分别组织成组212、 214、216和218，各组具有组名、描述和成员信息以便以更直观的方式 定址和组织各资源。\n用户206最好和用户域相关，后者提供一种验证用户的安全和有效 的手段。每个用户域具有单个授权验证该用户的策略实施器。从而，用 户域确保鉴别主体(agent)通常和用户位于同一个局部网中。这有助于消 除用户验证处理期间的网络相关费用或网络等待时间。然而，应注意， 用户还可以构成授权的拨号用户114以及来自顾客网络106的用户。这 些用户和远程鉴别主体进行联系，后者代理执行适当策略实施器的验证。\n主机208是一机构内存在的各网络。例如，可把一具体的LAN子网 规定为该系统内的一个主机。最好根据主机208在该机构内的物理位置 组织各主机208。主机的物理位置是通过和该主机关联的部件(策略实施 器204)确定的。\n服务210反映策略服务器122提供的各种服务。这些服务例如包括： 多媒体流动/置信、信息检索、安全性和验证、数据库应用、邮件应用、 路由选择应用、标准通信协议等等。和每项服务关联的属性最好包括服 务名、说明、类型(例如HTTP、HTTPS、FTP、TELNET、SMTP、实网 络等)和组。\n部件204是位于一具体局部网的边缘处的策略实施器124、126。每 个部件/策略实施器最好包括由该策略实施器管理的用户206和主机/网 络208。\n时间220是控制对网络资源的访问中的另一个维。在建立防火墙策 略中可建立和使用复盖一时间区段的各种时间对象。\n类似于资源，最好也用对象定义网络策略，以便更有效、更直观地 定义各策略。业务由管理员定义策略并且由策略实施器124、126在公用 因特网108和局部网102、104之间流动的网络业务上实现策略。\n依据本发明的一实施例，策略对象222包括带宽策略224、防火墙 策略226、管理策略228和VPN策略230。VPN策略230定义一个用于 成员网络的安全策略并包括一个或多个VPN云232。每个VPN云232 是单个或一组定义一安全策略组的VPN，该安全策略组包括地点234及 用户236的表，各用户236可互相通信。一个地点最好是一组物理上位 于策略实施器124、126中之一之后的主机/网络。换言之，一个地点是 一个包括与它相关的一个策略实施器的网络的定义。用于地点的策略实 施器在该地点的各主机启动通信时立即充当VPN隧道端点。这些通信是 由一组为每个VPN云配置的规则238管理的。除其它事务外，这些规则 238可管理VPN访问许可和安全特征，例如用于网络层连接的加密层和 验证的等级。\n从而图2的面向对象的结构允许管理员以直观和可扩展的方式定义 各策略。可简单地通过把资源和策略相关联来定义这样的策略。这可用 于以策略为中心的管理模型，在该模型中，管理员认为单个逻辑服务器 在整个企业上提供防火墙、带宽管理和VPN服务。事实上，由不同位置 上的有关策略实施器实施的策略对于管理员是透明的。\nIII.基于策略的网络体系结构\n图3是依据本发明一实施例的策略服务器122的更详细示意方块图。 策略服务器122最好包括一个管理模块302，其允许从单个控制台集中 式地控制策略实施器124、126。策略服务器122还包括一个日志收集和 归档模块304和一个策略服务器报告模块316。日志收集和归档模块304 从策略实施器124、126和从管理模块302收集有关资源的状态及使用的 信息，并把它们存储在档案数据库318中。策略服务器报告模块316利 用收集到的日志和档案生成有组织的报告格式的报告。\n再参照管理模块302，管理模块302最好包括四个帮助集中控制的 子模块，即集中式管理子模块306、策略管理子模块308、基于安全作用 的管理子模块310和多地点连通性管理子模块312。\n集中式管理子模块306使网络管理员能从中央位置安装并管理各个 策略实施器。网络管理员最好利用基于网的图形用户界面来定义策略实 施器的网络配置并监视该部件的各个方面，例如部件健康、部件告警、 VPN连接状态等。\n策略管理子模块308为网络管理员提供建立各策略的能力，这些策 略的范围复盖策略实施器的多个功能方面(例如，防火墙、带宽管理和虚 拟专用网络)、多种资源(例如，用户、主机、服务和时间)以及多个策略 实施器。\n基于安全作用的管理子模块310提供基于作用的管理以使管理员能 向其他管理员委托管理责任。该子模块最好在它访问各管理功能时提供 最大的安全性。\n多地点连接性管理子模块312允许网络管理员在二个或更多的远程 地点之间建立安全的通信信道。在建立时，该子模块影响集中式管理子 模块306、策略管理子模块308、策略实施器124和126的动态路由选择 能力以及管理基础设施以在整个企业上提供带有精细粒度访问控制的多 个虚拟专用网络。\n图4是依据本发明的一实施例的中央策略管理子模块306的更详细 的示意图。该子模块包括一个策略服务器安装向导404，后者提供交互 式用户界面以帮助策略服务器122的安装。在这方面，网络管理员访问 经电缆、集线器等的跨接和策略服务器122的一个LAN端口连接的个人 计算机。网络管理员最好通过把策略服务器122的URL键入到标准因特 网浏览器例如微软的Internet Explorer中，连接策略服务器122。URL最 好是“http://:88/index.html”形式的，其中是分配给 该策略服务器的IP地址。当浏览器试图和地址联系时，自动地向策略服 务器分配IP地址。当管理员的个人计算机发送一个对IP地址的地址解 决协议请求时，该策略服务器检测出未要求指向端口88的包，并假定该 IP地址。\n在连接以后，策略服务器安装向导404调用该交互式用户界面以帮 助管理员安装策略服务器122。除其它事项外，策略服务器安装向导404 提示管理员规定服务器名、服务器IP地址和路由器IP地址。此外，策 略服务器安装向导404提示管理员选择各种默认策略中的一个策略以建 立默认的防火墙策略、VPN策略、带宽策略和管理员策略。然后在每个 用策略服务器122注册的新策略实施器上复制这些策略。\n集中式管理子模块306还包括一个策略实施器安装向导406，后者 提供一个交互式用户界面以辅助策略实施器的安装。如安装策略服务器 122那样，对向导406的访问最好是利用管理员的个人计算机的基于网 的。\n在连接以后，策略实施器安装向导406调用该交互式用户界面以辅 助网络管理员安装具体的策略实施器124、126。除其它事项外，策略实 施器安装向导464提示管理员规定策略服务器IP地址、策略实施器IP 地址和路由器IP地址。策略实施器接着利用它自己的基本引导信息通过 调用策略服务器上的URL借助策略服务器122注册。策略实施器的注册 允许用配置信息初始化策略实施器的数据库132、134，并且允许通过策 略服务器122监视策略实施器的状态和健康。\n在利用策略服务器122注册策略实施器之前，网络管理员最好在策 略服务器上预注册策略实施器。这种预注册允许在策略服务器上建立一 个在策略实施器进行实际注册时用于策略实施器数据的位置标志符节 点。在这方面，集中式管理子模块306包括一个允许预注册新的策略实 施器的配置接口410。\n图5是依据本发明的一实施例的策略实施器预注册和注册处理的示 例流程图。在步骤401，策略实施器和网络连接，并利用上面说明的策 略实施器安装向导406将该策略实施器安装在其实际物理位置处。在步 骤403，持有该新部件的序列号的网络管理员通过把该新的策略实施器 添加到一部件组中，预注册该策略实施器。在这方面，配置接口410调 用例如图6中示出的交互式图形界面，以允许网络管理员输入部件名 415、序列号417和位置信息419，并且还允许管理员选择一个该新策略 实施器要属于的部件组421。在步骤405中对申请按钮423的激励使该 新的策略实施器和策略服务器发生联系(最好通过调用该策略服务器上 的URL)。一旦和策略服务器发生联系，该新的策略实施器就把它的注册 包发送到该策略服务器。该注册包至少包括该新策略实施器的序列号以 及该策略实施器上的LAN、WAN和DMS的IP地址。在步骤407，集 中式管理子模块306比较该新策略实施器的序列号和利用策略服务器 112预注册的策略实施器表。若找到匹配，则策略服务器122通过在步 骤409优选地把在策略实施器的安装处理期间为其选择的各设置包装到 一个LDAP数据交换格式(Idif)文件中，继续该注册进程。在步骤411， 通过调用该策略实施器上的公用网关接口(CGI)优选地在HTTPS通道上 把该文件发送到该策略实施器。接着该策略实施器在步骤413利用该文 件初始化它的配置数据库，例如数据库132、134。\n再次参照图4，集中式管理子模块306还包括分别显示和收集策略 服务器122所管理的所有策略实施器的健康和状态的全局监视器用户界 面402以及数据收集器程序412。数据收集器程序412从它管理的每个 运行的策略实施器接收健康和状态信息，并且把有关信息传给全局监视 器用户界面。在每个受监视的策略实施器中作为一个端口监视程序运行 的健康主体，周期性地收集来自该部件的数据并分析它的健康状态。然 后在数据收集器程序412请求时，把收集到的数据传送到策略服务器 122。\n图7是一个屏幕，其示出展示各种类型的健康和状态信息的示例全 局监视器用户界面402。这样的信息可和部件的健康有关，例如系统负 载712和网络使用信息714。该信息还可和该部件上的当前报警716有 关，其中包括报警名、类型、说明等。该信息还可和包括连接类型、源/ 目的地、持续时间和VPN业务量的当前VPN连接718有关。\n再次参照图3，策略管理子模块308用于策略实施器124、126的策 略管理。如前面所讨论，所有策略管理功能都是利用策略数据库130、 132、134中存储的包含着用户、部件、主机、服务和时间的资源对象实 现的。所有资源最好和管理员在安装处理期间选择的默认策略设置相关 联。通过策略管理子模块308提供的图形用户界面，网络管理员集中地 观察、增加和修改策略。这可用于一种中央式策略管理模型，其中管理 员得到的印象是单个逻辑服务器为整个企业提供防火墙、带宽管理和 VPN服务。由不同位置上的各个策略实施器实施的策略对于管理员是透 明的。\n图8是一个屏幕，表示由策略管理子模块308提供的示例图形用户 界面。该接口包括一个包含着资源标记表的资源选用区718，其中资源 标记包括用户标记718a、部件标记718b、主机标记718c、服务标记718d 和时间标记718e。该资源选用区允许管理员从单个控制台增加和修改资 源定义。\n选择用户标记718a造成为该系统定义的用户组722的显示。通过选 择一具体的组并定义用户的各属性(例如，登录名、全名、用户所属于 的策略实施器、验证方法、口令等)，可对组增加新的用户。\n选择部件标记718b造成用于管理策略服务器122和策略实施器 124、126的各种部件管理图标的显示，如图9中所示。策略服务器系统 设置图标750允许网络管理员观看和修改系统设置，例如策略服务器122 的LAN、WAN/DMS IP地址。策略服务器档案选项图标752允许规定策 略服务器122处的报告生成以及其它数据库档案选项。全局URL阻塞图 标754允许管理员规定由系统的所有策略实施器124、126阻塞的未经授 权的Web站点表116。类似地，全局垃圾表图标756允许管理员规定由 所有策略实施器阻塞的垃圾邮件发送者的电子邮件地址表118。\n管理员可通过选择图标758观看所有策略实施器124、126上的信息。 通过选择某具体部件组761下的一特定策略实施器760，可观看一特定 策略实施器上的信息。该信息包括专用于该选定策略实施器的系统设置 信息762、URL阻塞信息764、垃圾表信息766等。例如，选择策略实 施器的URL阻塞信息764图标造成可由网络管理员选择成该选定策略实 施器阻塞的各种类型768的URL的显示。\n选择主机标记718c造成该系统的各主机(网络)的显示，如图10中所 示。主机是根据它的物理位置组织的并且还和某具体策略实施器124、 126关联。主机和各种属性(包括唯一名770、网络的IP地址772和子 网掩码774)相关。另外，管理员可规定该主机是否是一个属于不由策 略服务器122管理的某网络的外部主机776。若该主机是一个外部主机， 则管理员规定该主机所属于的外部部件的IP地址778。部件字段780使 管理员能输入该主机所属于的策略实施器的名字。每个主机还和一个管 理员指定的具体组782关联。\n选择服务标记718d造成各种由该策略服务器122支持的服务组的显 示，如图11中所示。这些服务组例如包括：多媒体流入/置信、信息检 索、安全和验证、邮件应用、路由选择应用、数据库应用、标准通信协 议等。用户可按需要增添新的服务组。\n每项服务都和名字784、说明786和服务类型788(例如，HTTP、 HTTPS、FTP、TELNET、SMTP、实网络等)关联。另外，每项服务和一 个服务组790相关联。根据服务的类型，还可为该服务规定其它信息。 例如，对于HTTP服务，管理员可规定是否允许URL阻塞792。\n选择时间标记718e造成各种复盖防火墙策略中所使用的时间范围 的时间组图标794的显示。例如，选择工作时间组图标允许网络管理员 设定按工作日和工作小时设定的日子和时间。\n再参照图8，该接口还包括一个包含着该系统可使用的策略表的策 略画布画布720。策略定义最好连带着一组可从资源选用区718拖出并 落在策略画布720上的资源。\n选择防火墙标记720造成为一具体的包含着一个或多个策略实施器 的策略域定义的所有防火墙策略的显示。在策略实施器的预注册期间， 网络管理员决定该策略实施器所属于的域。该接口允许网络管理员从策 略服务器122观察、增加和修改各种策略，以及不必在每个策略实施器 上分别进行改变情况下实现策略实施器124、126上的改变。\n依据本发明的一实施例，每个防火墙策略包括一个策略标识符(ID) 属性724，用于标识策略表中的某具体策略规则。用于该策略规则的一 个编号属性726指示其中要应用该策略的序号。在这方面，该局部网的 策略实施器124、126顺序地一次取出一条规则，把它和网络业务比照并 且优选地应用第一条和该网络业务匹配的规则。\n每个防火墙策略还包括一个说明属性728，用于说明该要被应用的 防火墙策略。例如，该说明可指示该策略允许垃圾邮件阻塞、URL阻塞、 VPN密钥管理等。操作(action)标志属性730指示是否为该指定的策略而 允许或拒绝业务。现用标志属性732指示是否激活或停用该策略。从而， 网络管理员可建立一项策略并在晚些时候激活它。被停用的策略最好不 会影响网络业务。\n每个防火墙策略还包括用户属性734、源属性736、服务属性738、 目的地属性(未示出)和时间属性(未示出)。这些属性中的每个最好用一个 组名或一个资源名表示。该名充当一个指向LDAP数据库130、132或 134的组根对象202或资源根对象中的一条条目的指针。\n用户属性734最好指示对该策略合格的各用户组或各用户。源属性 736指示与该用户相关的网络业务的起点。服务属性738指示由该策略 允许或拒绝的服务。目的地属性指示在其处允许或拒绝各规定的服务的 特定LAN、WAN、DMS段或者各特定主机。例如，为了配置邮件服务 器上的SMTP上托服务，该主机可以是运行该邮件服务器的IP地址，并 且所规定的服务是SMTP。时间属性指示在其中该策略为有效的时隙。\n除上述之外，每个防火墙策略还包括一个验证属性(未示出)，以指 示该策略的验证方式(例如，无、LDAP、SecurID、RADIUS、WinNT或 全体)。\n图14示出在激励增加按钮725时用于对策略域增加一项新的防火墙 策略的示例图形用户界面。通过激励修改按钮727或删除按钮729，还 可分别修改或删除现有的防火墙策略。\n如图14中所示，通过简单地在说明区728a中增加该策略的说明、 在操作框730a中选择一个施加到匹配的网络业务上的操作，并且在现用 区732a中指示该策略现用或者待用，可定义一项新的防火墙策略。另外， 网络管理员分别在用户区734a、源区736a、服务区738a、目的地区739a 和时间区741中规定用户、源、服务、目的地和时间资源。网络管理员 还在验证区743中为该策略选择验证方式。一旦激励OK按钮745，就 适当地改变策略服务器数据库的LDAP树的适当条目以反映添加新策 略。还把该改变发送到有关的策略实施器，如后面更详细说明那样。\n再参照图8，选择带宽标记720c允许显示、增加和修改各个确定对 流过具体策略实施器的业务分配的带宽类型的带宽策略。可以为不同用 户、主机和服务规定不同的带宽。\n选择管理标记720d允许显示、增加和修改各种管理策略，以使网络 主管理员能把管理责任委托给其它管理员。在这方面，网络主管理员规 定一些确定哪些用户访问什么样的功能以及为什么样的部件访问的管理 策略。管理策略最好包括和防火墙规则相类似的各属性，但对作用属性 的说明除外。可对某些用户根据他们的作用提供特别的管理特权。\nIV.具有自动可达性更新的虚拟专用网络\n再参照图3，多地点连通性管理模块312允许建立动态路由的各个 VPN，在各VPN中不必在由网络管理员静态地配置会员资格信息情况下 自动地建立VPN会员关系表。从而，一旦管理员配置从一个策略实施器 的LAN到另一个策略实施器的VPN，在各LAN接口上运行的路由选择 协议例如RIPv1或RIPv2，就通过它们各自的接口学习网络的可达到。 接着这些网络变成该VPN的成员，并且该VPN的每一侧上的策略实施 者124、126利用学习到的路由建立会员资格表。最好通过LDAP数据库 132、134在策略实施器124与126之间交换会员资格信息。这样，路由 选择协议和LDAP的组合使用允许建立各个动态编辑它们的成员表的 VPN。\n再参照图8，网络管理员利用资源选用区718和策略画布720配置 用于多地点连接性的各VPN策略。选择策略画布720中的VPN标记720b 造成已经为该系统配置的VPN云的集合270的显示，如图13中所示。 如前面所说明，一个VPN云是可为其定义安全策略的单个VPN或一组 VPN。每个VPN云包括一个地点节点234下的地点以及用户节点236下 的用户的表，其中用户可彼此通信。一个地点是一组物理上位于策略实 施器124、126中之一的后面的主机。在各地点后面的主机开始通信时， 用于这些地点的各策略实施器最好充当VPN隧道端点。\nVPN云中的各用户是可以防问与各地点234关联的各主机的用户。 如后面更详细讨论那样，各用户利用每个用户的个人计算机中安装的 VPN客户软件访问作为VPN客户机的各主机。\n每个VPN云270还包括一个防火墙规则组节点276，后者包括要施 加到该云中的所有连接上的防火墙规则组。除其它事宜外，这些规则可 管理VPN访问权限、例如加密等级的安全特性和用于网络层的连通性的 验证。\n从而由VPN云提供的分层结构允许网络管理员建立完整格网的 VPN组，其中VPN云内的每个地点具有和每个其它地点的完全连通性。 网络管理员不再需要人工地配置VPN中每条可能的连接，而是只需要建 立一个VPN云并规定和该VPN相关的地点、用户和规则。然后根据为 该VPN云规定的配置来配置每条连接。从而该分层结构有利于设置带有 大量地点的VPN。\n网络管理员最好通过激励增加按钮280，增加新的VPN云。对此响 应，策略服务器122自动地建立该VPN云下的地点节点272、用户节点 274和规则节点276。然后管理员规定该VPN中的各地点和各用户。\n依据本发明的一实施例，规则节点276初始包括一条默认VPN规则 278，它对应于网络管理员在设置策略服务器122期间选择的策略设置。 该默认VPN规则278允许在该VPN中的主机之间的不限制的访问。\n管理员可通过删除该默认规则278并且对该VPN增添各特定的防火 墙规则，实现该VPN内的访问控制。这些防火墙规则允许管理员对流过 该VPN的业务具有粒度良好的访问控制，全部都在这样的VPN提供的 加密访问的范围内。这些防火墙规则被施加到解密之后或加密之前的明 文上。\n依据本发明的一实施例，管理员选择默认规则278以实现这种对默 认规则的改变。默认规则的选择调用一个和图8相似的图形用户界面。 接着网络管理员通过定义可应用于该VPN的防火墙规则组，仔细调整对 该VPN的访问。这些防火墙规则中的参数最好和图8中示出的通用防火 墙规则组中的参数相同。\n一旦定义一个VPN云，就由该VPN中的策略实施器124、126动态 地建立会员资格信息。在这方面，每个VPN地点包括一个标识该地点中 包含的各主机的标志。在运行期间，用于各地点的策略实施器124、126 把各IP地址和标识每个地点中的各主机的标志关联起来。这允许动态地 显示各IP地址，不需要静态配置各IP地址。\n在建立会员资格表后，检测路由选择信息中的改变并且利用公布/ 订阅进程通知成员策略实施器。某策略实施器通过询问和该改变的路由 选择信息对应的具体网络上的LDAP数据库，检索实际的改变。\n图15是位于VPN隧道相对二端处的用于更新各自的路由选择信息 的策略实施器124、126的示意功能方块图。如图15中所示，每个策略 实施器124、126包括一个选通模块252、261，其是按端口监视程序配 置的以便运行用于在网络上交换路由的一个或多个路由选择协议。这种 路由选择协议可包括RIPv1、RIPv2、OSPF等。\n当网络管理员希望对和策略实施器124连接的专用局部网102增加 一新路由时，管理员在步骤241向策略实施器124中的选通模块252提 交该新路由。这典型地是通过配置具有一个附加网络的该策略实施器的 下游完成的。接着通过对策略实施器124的选通模块252的标准路由选 择协议，传播该信息。例如，策略服务器122可对要和该新路由关联的 策略实施器124，公布该新路由。该路由例如可通过一条“LAN-Group@ PR1”之类的LDAP语句规定，其中规定一条从策略实施器PR1到名字为 LAN-Group的LAN的新路由。在步骤242，选通模块252把该新路由写 入到包括着VPN驱动器254的策略实施器的核心253上，从而该策略实 施器124可适当地引导沿着该新路由的各适当报文。另外，选通模块252 在步骤243中把该新路由写入它的LDAP数据库132。\n选通模块252还在步骤244，向配置成收听LDAP数据库132中的 更新的特异名监视器(DNMonitor)端口监督程序255，提供该新路由的名 字。该DNMonitor进而在步骤245a、245b，向VPN端口监督程序256 和策略部署点(PDP)引擎257，通知LDAP数据库132中的改变，接着该 PDP引擎用该改变，更新实施各策略的各模块。\n在步骤246，VPN端口监督程序256利用该路由名访问LDAP数据 库132以得到完整的路由信息，该新路由名所属于的所有VPN的列表和 与这些VPN连接的所有其它策略路由器的列表。在步骤247，VPN端口 监督程序256着手向每个其它的策略路由器发送该新路由名。\n当策略路由器126从策略路由器124接收一新路由名时，它的网络 端口监督程序258在步骤248访问发送方策略路由器124中的LDAP数 据库132以得到完整的新路由信息。若该新路由属于多于一个的VPN并 且对不同的VPN具有不同的参数，则不同VPN上的各路由器检索和有 关VPN对应的不同信息。\n在步骤249，网络端口监督程序258把得到的新路由信息写入它自 己的LDAP数据库134，并且把它提供到它自己的DNMonitor模块。如 在发送方策略路由器124中那样，接收方策略路由器126中的DNMonitor 模块259向它的PDP引擎260提供该新的路由信息以便用最新改变修改 它的核心265。\n尽管图15是按照向一个策略实施器以及和它关联的各VPN增加一 条路由描述的，但业内人士容易理解实质上可把相同的技术应用于删除 一条路由(例如，若某网络成分变成不运行的或不通信的)或者改变一条 路由(策略路由器可能认识到某路由已按一种不同的形式存在并简单地 盖写它)。以这种方式，VPN系统或系统组可以在系统管理员的最少干预 下动态地保持在它的策略实施器之间的路由选择信息。\nV.具有客户可达性信息自动更新的虚拟专用网络\n在展示适当凭证后，远程用户在公用因特网108上和策略实施器 124、126后面的VPN的其它成员通信。这些远程用户利用VPN客户软 件访问作为VPN客户140的专用网络。依据本发明的一实施例，系统允 许远程用户下载自提取可执行体(executable)，后者在执行时在该用户的 远程终端中安装VPN客户软件以及对该远程用户唯一的VPN可达性信 息。\n每个策略实施器124、126最好保持VPN客户软件的自提取可执行 体的一份拷贝，它包括一个设置程序和VPN可达性配置样板。该设置程 序允许把VPN客户软件安装在VPN客户140上。在下载自提取可执行 体时，用专用于该正下载的用户的VPN可达性信息替代配置样板。\n依据本发明的另一实施例，系统允许VPN客户140下载自提取可执 行体，后者在执行时只安装对该用户唯一的VPN可达性信息。依据该实 施例，VPN客户软件已安装在VPN客户140上。在该情景下，该设置 程序允许在VPN客户140上安装专用于该正下载用户的可达性信息。\n依据本发明的第三实施例，系统允许VPN客户140每次在和策略实 施器124、126连接时自动下载VPN可达性信息。从而为每个VPN客户 140保持最新状态的VPN可达性信息。一旦建立一次VPN对话，就假 定在VPN客户140和策略实施器之间的连接已经是安全的。该VPN客 户最好对策略实施器上运行的网服务程序作出公用网关接口(CGI)查询， 并且从对应的LDAP数据库下载当前的VPN可达性信息。\n图16是依据本发明的一实施例的自提取可执行体290中的各成分的 方块图。可利用商业上可购到的工具，例如伊利诺州Schaumburg镇的 Installshiled软件公司的INSTALLSHIELD EXEBUILDER，建立自提取可 执行体290。\n自提取可执行体290最好包括一个可执行设置文件292，用于安装 VPN客户软件和/或VPN配置信息。设置文件292最好构成自提取可执 行体的静态部分，因为该信息不会随下载VPN客户改变。自提取可执行 体290还包括VPN配置文件样板组，用于VPN可达性信息294和VPN 客户的预共享密钥信息296。VPN可达性信息294和VPN客户的预共享 密钥296最好形成自提取可执行体290的动态部分299，因为该信息随 下载VPN客户改变。接着在策略实施器124、126中按样板文件保存自 提取可执行体290并且准备好由远程用户下载。\n图17是依据本发明的一实施例下载图16的自提取可执行体290的 功能框图。在步骤320，一新VPN客户140首先建立和策略实施器124、 126的安全通信对话，以下载自提取可执行体290。最好这是通过VPN 客户的网浏览器上的HTTPS协议对话实现的。在步骤322和324，策略 实施器使该VPN客户参与验证过程，在其中策略实施器请求，并由该 VPN客户提供，其用户名和口令。在步骤326，策略实施器比照所提供 的信息和它的VPN客户数据库328中的条目。若该信息是正确的，则策 略实施器找出用于该用户的适当预共享密钥，并且还在步骤330中从 VPN配置数据库332中确定该客户的VPN可达性信息。VPN客户数据 库328和VPN配置数据库332可驻留成由策略实施器124、126管理的 单个LDAP数据库312、314的一部分，或者可构成分立的LDAP数据 库。\n在步骤334，策略实施器用专用于该VPN客户的VPN可达性信息 和预共享密钥，替换自提取可执行体290的动态部分299。接着在步骤 336把该新生成的自提取可执行体下载到VPN客户140。当运行该可执 行体时，它安装VPN客户软件和/或VPN可达性信息。\n每当客户和策略实施器连接并协商对话密钥时，可利用类似技术下 载VPN配置信息的新的更新拷贝。另外，通过明确对策略实施器请求这 种信息，用户可获得VPN网络的最新配置。从而，每当对VPN可达性 信息作出更新时，不必重新安装和重新配置VPN客户。\nVI.集成式策略实施器\n依据本发明的一实施例，分割用于策略实施的策略实施器124、126 的各功能性以便有效地用硬件实现。然而，业内人士清楚，一部分或全 部功能性可在软件、硬件或它们的各种组合中实现。\n图18是策略实施器124、126的示意方块图，表示依据本发明的一 实施例的对各种功能性的分割。策略实施器包括一个因特网协议安全 (IPSec)引擎502，用于例如在实现虚拟专用网络中执行安全和验证操作。 流表506把通过策略实施器的包装配到各流中。协议分类引擎508对在 发送各包中所使用的各协议进行译码。策略引擎510根据策略数据库 132、134中存储的策略设置，实施用于各包的各策略。包发送模块504 通过路由器110从公用因特网接收包，并且根据要实施的各策略缓冲、 发送或扔掉包。带宽管理模块514根据策略数据库132、134中存储的带 宽设置，对被发送的包提供带宽整形服务。\n实际上，输入包和流表506比照，以判定该表中是否已存在匹配项。 若不，则增加一个新项。该流表最好包括包的足够部分以唯一地标识一 个流。例如，在实施IP层3到层4的业务上的策略中，该流表可存储源 IP、目的地IP、源端口、目的地端口以及输入包的协议号。\n协议分类引擎508取该新流并为该流获得详细协议译码。接着策略 引擎510询问要对该流施加的策略规则组。根据由策略引擎510回送的 这些策略规则，包发送模块504、IPSec引擎502和/或带宽管理模块514 相应地处理该流。该处理可能是循环的，直至该流中的所有的包得到由 施加给它们的策略规则组规定的所有作用。\n策略实施器还包括一个统计模块512，用于收集通过该局部网发送 的包的统计数据以及其它状态和资源使用信息，并且在日志和档案中设 置它们以发送到策略服务器122。依据本发明的一实施例，统计模块512 保持通过网络102、104的包的运行字节计数。可以通过类别，例如基于 某些资源(例如，用户、主机、服务)的类别，以及通过由策略和异常， 例如防火墙策略，所阻断的字节，自动地对这些字节计数分类。在这方 面，统计模块512在一高速缓冲存储器中保持一个状态表，后者包括一 个能通过该防火墙的各个连接所涉及到的资源的列表。对于每个流过该 连接的包，该统计模块为该列表中的每个资源递增包和字节计数。接着 统计模块512把该有组织的信息传送给策略服务器122，后者把该信息 直接输入到按类别组织并周期性地老化的各表中。\n图19是依据本发明的一实施例的策略引擎510的更详细的示意方块 图。策略引擎510包括一个充当所有策略决策请求的队列的策略请求表 602。在这方面，以策略请求的形式对策略引擎510提供和流表506中存 储的信息匹配的包的部分。该策略请求然后在策略请求表602中排队。\n资源引擎604保持资源组名对成员映象的最新变换。策略规则组数 据库缓冲器608存储要由策略引擎510施加的现行策略规则组。缓冲器 608中存储的策略规则组最好为原始基于组的规则说明格式。这样，缓 冲器608存储为基于组的格式下的组而建立的规则而不是为该组中的每 个成员例示的规则。\n决策引擎606包括为策略请求表602中的输入策略决策请求服务的 逻辑，该逻辑根据从资源引擎604得到的实际会员资格信息，把这些请 求和策略规则组数据库缓冲器608中的策略规则组比照。接着辨别和该 业务匹配的基于组的有关规则并且设定流表中的决策位组以实施相应的 动作。这些决策位接着构成一组要在该流的各包上执行的动作。然后根 据这些决策位处理和流匹配的所有的包。决策引擎还可规定一个访问控 制表(ACL)，该表包括一组允许/拒绝业务的规则、用于对业务提供服务 品质等级的DiffServ标准和/或VPN实现信息。\n图20是依据本发明的一实施例的协议分类引擎508的更详细的示意 方块图。如图20中所示，协议分类引擎508包括流数据装配单元702、 滑动流数据窗口704、ASN.1块706、协议分类状态机708和协议定义签 名数据库710。流数据装配单元702提取和重新装配输入包流的数据部 分并把它存储到滑动流数据窗口704中。滑动流数据窗口最好遵循先进 先出协议。ASN.1译码器在需要时根据常规ASN.1编码/译码标准进一步 对数据流进行译码。接着协议分类状态机708匹配完全重新装配的译码 数据和协议定义签名数据库710。该数据库710最好保持从协议名到要 在数据流中查找的数据模式的映射。然后向流表506回送匹配的协议。\n这样，协议分类引擎508提供扩充的层3到层7的协议译码和包分 类，包括利用从脚本协议定义编辑的动态更新的签名数据库完整地确定 动态流。随着将来定义新协议和/或用户利用定制协议建立他们自己的定 制应用，会需要增添这些协议对协议分类引擎的识别。所描述的协议分 类引擎体系结构允许通过简单地对协议分类引擎增加该新协议的新脚本 定义，实现这样的增加，而不必每次在增加新协议时必须去改变设计。\n图21是依据本发明的一实施例的IPSec引擎502的更详细示意方块 图。如图21中所示，IPSec引擎502包括一个伪随机数生成器(PRNG) 子例程802，用于根据周知的方法生成密钥产生所使用的随机数。Diffie Hellman块804和RSA块812实现对应的不对称公共密钥加密/解密/签名 算法，这些算法在技术上是周知的。IKE块806和IPSec表808通信， 以实现标准ISAKMP/Oakley(IKE)密钥交换协议。密码变换块814实现 标准对称加密/解密算法。IPSec封装/拆封块810执行标准封装/拆封操作。 从而，IPSec引擎502提供带有公共密钥验证支持的基于标准的成熟 IKE/IPSec实现并且为通过专用局部网102、104的包提供必要的加密/解 密功能性。\nVII.网络策略日志和统计数据传播\n再参照图3，日志收集和归档模块304从策略实施器124、126以及 从管理模块302收集有关各资源的状态及使用的信息，并在档案数据库 318中存储它们。接着策略服务器报告模块316利用收集到的日志和档 案生成有组织的报告格式下的报告。\n依据本发明的一实施例，每个策略实施器124、126保持一个带有为 流过该策略实施器的业务以及为与该策略实施器关联的各资源的状态和 使用而收集的信息的日志文件。所有日志文件遵循预定义的公共日志格 式，最好设计成建立压缩日志。\n图22是依据本发明的一实施例的这种日志格式的示意布局图。每条 日志条目包括一个时间戳记820，其格式为yyyymmddhhmmss，表示建 立该日志条目的年、月、日、时、分和秒。服务字段822指示该策略实 施器124、126行使的服务类型。这些服务包括VPN、FTP、Telnet、HTTP、 包过滤、带宽等。每条日志条目还包括一个指示来自其接收包的源的源 IP地址和端口824以及一个指示要对其发送包的目的地的目的地IP地址 和端口826。\n用户ID字段828标识发出包的用户。用户ID可映射LDAP数据库 130、132或134中的一条条目以得到有关该用户的其它细节。\n状态字段830指示一操作的状态，并且可能包括结果代码、出错代 码等。例如，对于包过滤服务，状态字段在该包通过时可包括结果代码“p” 或者当该包被阻挡时包括代码“b”。\n操作字段832指示由该服务进行的操作的类型所使用的代码。例如， 用于VPN服务的操作可包括发送包和接收包。用于FTP服务的操作可 包括GET操作和PUT操作。用于HTTP服务的操作可包括GET操作和 POST操作。\n除上述之外，每条日志条目包括一个指示策略实施器作为活动的结 果接收的字节数量的输入字节字段832，以及一个指示从策略实施器传 送的字节数量的输出字节字段834。另外，持续时间字段836指示该活 动的持续时间(例如，以秒为单位)。\n若不能应用于某具体服务，则一具体日志条目的一些字段可以是空 白的。例如，对于FTP下载。若不存在输出业务，则输出字节字段是空 白的。另外，可根据要记录的服务类型增加其它字段。例如，对于HTTP 活动，在日志条目中还记录被访问的URL。这些附加字段最好附着在标 准日志格式的尾部。\n业内人士应理解，只要日志格式对于所有的策略实施器是相同的并 且目的是建立压缩日志，就可对日志格式作出增加、删除或其它类型的 修改，且不背离本发明的精神和范围。\n根据策略服务器设定的各档案选项，把策略实施器124、126建立的 日志文件传送到策略服务器122。在这方面，一旦选择图9的策略服务 器档案选项752，网络管理员就为策略实施器建立的日志规定阈长度。 当日志文件超过规定的长度时，把它发送到策略服务器122。最好每天 至少向策略服务器122发送一次日志，即使未超出该阈长度亦如此。也 可以在策略实施器处本地归档日志，如果网络管理员这样规定的话。\n策略服务器122一旦接收日志，日志就被存储到最好以SQL数据库 为形式的档案数据库318中。策略服务器报告模块316查询该数据库以 便为每个策略实施器124、126生成报告。另外，可以以商用产品能解释 的格式输出日志，该产品例如是俄勒冈州Portland市Web Trend公司的 WEBTRENDS。\n报告模块316建立的报告包括各资源(包括策略实施器、用户、服务、 主机和VPN)的汇总使用报告。例如，这些报告可包括用于各个策略实施 器的VPN汇总报告、带宽汇总报告、包过滤报告等等。\n这些报告最好示出周期时间内各个资源的使用。可由用户规定报告 的起始日期和结束日期。用户还可在时间维上或资源维上钻眼以查看特 定时间和特定资源。例如，在建立包过滤报告中，用户可指示起始和结 束时间、源IP地址、源端口、目的地IP地址和目的地端口。从档案数 据库318提取所有满足这些准则的包并且在包报告中示出。\nVIII.用于选择LDAP数据库同步的方法\n依据本发明的一实施例，图1的统一式策略管理系统中的数据库 130、132、134是存储包含用于防火墙、VPN、带宽、管理、用户记录、 网络记录、服务等的策略的策略管理信息的LDAP数据库。如前面所说 明，LDAP目录服务模块是基于条目的，其中每条条目是属性的集合。 条目按遵循地理和组织分布的树结构排列。根据它们在层次中的位置用 特异名(DN)命名各条目。\n策略服务器122最好在策略服务器数据库130中为所有的策略实施 器存储策略管理信息。在数据库130中按一个或多个具有对应的各属性 的DN组织该信息。然后把策略服务器的适当部分拷贝到策略实施器数 据库132、134。\n图23是包括一个LDAP根265和多个分支264、266、268、270的 LDAP树结构的方块图。依据一个例子，策略服务器122在策略服务器 数据库130中保持带有用于所有策略实施器124、126的策略管理信息的 分支264和266。每个策略实施器124、126还在它们各自的策略实施器 数据库132、134中保持作为策略服务器数据库130的子树的一部分的分 支264和/或266。由每个策略实施器124、126保持的分支的一部分最好 和用于该策略实施器的配置信息以及一些有关其它策略实施器的其它信 息有关。该其它信息用于和其它策略实施器通信。\n策略服务器122还可保持存储着仅由该服务器上运行的应用使用的 并且不和任何策略实施器124、126共享的信息的分支268。类似地，策 略实施器124、126可保持分支268的一部分，其中含有仅由每个策略实 施器上的应用使用的并且不和它者共享的信息。典型地，分支268中存 储的数据是动态生成的并由在相应的服务器或代理上运行的应用使用 的。\n分支270最好只包括在用于策略服务器数据库130的LDAP树中， 并存储可能要传播给策略实施器124、126的被记录的策略管理变化。这 样的变化例如可包括由网络管理员通过前面说明的各种图形用户界面作 出的某部件上的用户、VPN云、带宽策略或防火墙策略的增加、删除或 修改。这些变化造成更新策略数据库130，其中增加、删除或修改LDAP 树的相应DN。策略服务器122还建立这些改变的记录并存储在分支270 中供以后分发到策略实施器124、126之用。\n图24是图23的LDAP树的分支270的更详细方块图。LDAP根265 包括一个ApplyLog270a条目，后者进而包括一个用户运行记录条目270b 和一个部件运行记录条目270c。用户运行记录条目包括用特定DN 270d 标识的特定管理员记录条目，用于反映这些具体管理员做出的改变。部 件运行记录条目270c包括由特定DN 270e标识的特定部件运行记录条 目，以反映分发到各具体策略实施器124、126的改变。最好在激励一应 用按钮例如图6中示出的应用按钮417下，向策略实施器124、126传播 管理员做出的改变。\n图25是依据本发明的一实施例的记录并向策略实施器传播LDAP 改变的流程图。在步骤420，一具体网络管理员做出策略设置改变。依 据一个例子，该管理员是在域“domain 1”中工作的管理员“amd”，并且该 改变是在一部件上增加一个新用户。\n在步骤422，在策略服务器数据库130中反映该管理员做出的改变。 在这方面，相应地修改LDAP树的分支264和266以反映策略设置中的 改变。另外，在步骤424，策略服务器122为该管理员建立一个改变运 行记录供以后处理并发送到适当的策略代理之用。在步骤426，策略服 务器122更新该管理员的运行记录DN270d以反映该改变。在上面的例 子中并如图24中所示，如果把建立的该运行记录命名为“A_L1”，则策 略服务器122在“domain 1”更新用于“adm”的DN 270d以建立一个其值为 “A_L1”270g的属性“apply”270f。该管理员做出的其它改变在独立的运行 记录(例如，“A_L2”、“A_L3”)中反映，并且添加到该管理员的记录DN 270d中的应用属性的现有值上。\n在步骤428，策略服务器122检查是否要把管理员做出的改变传播 给适当的策略实施器124、126。如上面所讨论，最好在从管理员的图形 用户界面激励应用按钮时传播这些改变。\n若已激励应用按钮，则策略服务器在步骤430为每个要对其发送该 改变的策略实施器建立一个记录。在这方面，策略服务器122收集管理 员做出的由管理员的运行记录DN 270d的应用属性270f的值270g、270h 反映的所有改变。为属于该管理员的域的每个策略实施器处理这些改变。 这种处理最好涉及挑出有关改变和适当地修改用于策略实施器的LDAP 的DN。例如因为在策略服务器数据库130中和在策略实施器数据库132、 134中树结构上的差异，这种适当的修改可能是必须的。例如，管理员 的运行记录中的改变可能含有一个规定策略实施器的域名的DN。在把 该改变施加到该策略实施器上时，不应在该DN中规定该域名，因为该 策略实施器的树结构不包括域名。\n接着在部件运行记录中存储为每个策略实施器的LDAP适当修改的 改变。然后修改每个策略实施器的运行记录DN 270e以反映发送到具体 策略实施器的改变。在上面的例子中并如图24中所示，若被建立的部件 运行记录命名为“PE_L1”，则策略服务器122为域“domain 1”上的具体策 略实施器“PE1”更新DN 270e以建立一个其值为“PE_L1”270j的属性 “apply”270i。\n在步骤432，接着从LDAP树删掉用于管理员的运行记录DN 270d 的应用属性270f。在步骤434，向策略实施器发送为每个策略实施器收 集的在策略实施器运行记录DN 270e的应用属性270i的值270j、270k 中反映的改变以更新它的数据库132、134。最好在HTTPS通道上向各 策略实施器发送改变。\n在步骤436，策略服务器122检查更新是否已成功。在这方面，策 略服务器122等待以接收来自策略实施器的已成功完成更新的确认。当 来自策略实施器的响应为正面响应时，策略服务器122删除用于策略实 施器的运行记录DN 270e的应用属性270e。反之，若更新不成功(例如因 为策略实施器停机)，则下次调用另一应用子例程时重新发送该应用运行 记录。替代地，失败的策略实施器在再加入该网络(例如通过再引导)时 对尚未应用的改变的运行记录的策略服务器122，发送一个请求。\nIX.用于高可用性单元的状态变换协议\n依据本发明的一实施例，通过在一主单元之外还保持一个备用单元， 可把策略服务器122、策略实施器124、126以及其它网络部件配置为高 可用性。\n图26是一个包括主单元902和备用单元904的高可用性系统的示意 方块图。通过在并行端口906a、906b和电缆908上交换心搏，二个单元 902、904彼此通信。这些平行端口906a、906b和电缆908是技术上普 通可得到的常规部件。\n主单元902和备用单元904彼此类似地分别通过端口920a、920b、 922a、922b、924a、924b和其它部件910、912、914连接。这些部件910、 912、914可以是集线器、交换机、接插件等。由于主单元902和备用单 元904提供类似的服务和功能并可互换地使用，故每个单元最好连接到 同一部件910、912、914。\n并行端口电缆908最好是设计成连接二个并行端口并允许在它们之 间通信的常规搭接连接(laplink)电缆。主单元902和备用单元904最好通 过TCP包在高可用性端口906a、906b上互相通信。最好在主单元902 和备用单元904之间在高可用性端口906a、906b上存在点对点连接。\n主单元902最好负责检查它的网络端口的状态以发现问题和故障。 例如，若主单元902检测出它的一个网络端口，例如端口922a不工作， 则主单元902接着检查备用单元904中的对应端口922b是否工作。一旦 确定备用单元904中的对应端口922b是工作的，则主单元902向备用单 元904发出作为现用单元接管系统功能的请求。接着主单元902放弃它 作为现用单元的角色并且关机，以允许备用单元904承担主单元902的 责任。当主单元902重新开始运行时，备用单元904接收来自主单元902 的请求以放弃它的作为现用单元的角色。\n当主单元902是现用的并且未检测出它的端口中的故障时，它持续 监听高可用性端口906a以跟踪备用单元904的状态。主单元902继续在 高可用性端口906a上收听来自备用单元904的信号。当备用单元904送 电并运行时，它连接到主单元902。一旦完成该连接，备用单元904就 开始向主单元902发送心搏。在预定的间隔内备用单元904持续向主单 元902发送心搏。依据本发明的一实施例，备用单元904每秒钟向主单 元902发送一个包含KEEP-Alive命令的“Keep Alive(运行着)”包。\n主单元902通过把该包的该命令字段改变成KEEP-ALIVE-RESP命 令并重新把该包发送到发出方，对“Keep Alive”包作出响应。若备用单元 904在预定时间周期(例如，一秒)未收到从主单元902返回的对一个“Keep Alive”包的响应，则备用单元904开始准备接管现用角色。该预定周期 最好不大于二个相继的“Keep Alive”包。\n一旦作为现用单元，备用单元904就试图在有规律的间隔上重新建 立和主单元902的连接以确定是否已解决主单元中的问题或故障。一旦 问题或故障得到解决，备用单元904就在把所有网络接口卡的IP地址置 成指定值后，把控制让给主单元902。\n在备用单元904从主单元902接管现用角色的情况下，向网络管理 员发送报警以指示备用单元出故障。另外，若主单元902未接收到来自 备用单元904的心搏，则向管理员发送报警以指示备用单元出故障。\n可能出现主单元902和备用单元904都是正常运行的并且备用单元 904希望接管现用角色的情况。在这种情况下，备用单元904向主单元 902发出关机命令，后者接着放弃控制。备用单元904持续作为现用单 元的角色，直至主单元902向备用单元904发送放弃它的现用角色的请 求。\n依据本发明的一实施例，每个高可用性单元按主、备用或独立单元 的初始状态确定协议，依赖于一个自发现处理。图27是依据本发明的一 实施例的示例状态发现处理的流程图。在步骤930，引导尚未明确地按 主单元或备用单元发现其状态的第一高可用性单元(单元X)，并且在步骤 932中采取承担备用单元角色。在步骤934，单元X搜索用于主单元的 网络，并且在步骤936它询问是否检测到主单元。若回答为YES，则单 元X试图和该主单元连接。若成功，则单元X在步骤938初始化成备用 单元。另一方面，若单元X未检查到主单元，单元X在步骤940承担主 单元角色。\n在步骤942，单元X搜索用于备用单元的网络。若检测到备用单元， 如步骤944中查询那样，则单元X和该备用单元连接并在步骤946初始 化为主单元。如果另一方面在预定时间内单元X在网络中未检测到任何 其它单元，则在步骤948中单元X初始化为独立单元。\n一旦初始化了主单元和辅助单元，就向备用单元发送主单元的配置 改变，以便保持这二个单元同步。配置信息最好存储在LDAP数据库中， 例如中央策略服务器数据库130或策略代理数据库124、126中。\n图28是用于保持主单元和备用单元中同步的配置信息的处理的流 程图。主单元在步骤950中引导主单元并且在步骤952检测备用单元。 在步骤954，备用单元从主单元(若它工作)接收配置改变信息。在别的情 况下，由网络管理员直接把配置改变输入到备用单元中。若要从主单元 接收配置改变，则主单元通知备用单元何时主单元中出现配置改变。然 后把改变传送到并施加到备用单元。备用单元继之向主单元发回该传送 状态和该施加。\n在步骤956，主单元被检查以确定它是否起作用。若是，则主单元 相同地用该配置改变更新。反之，若主单元不起作用，则备用单元承担 现用角色并在步骤958变成现用单元。由于CPU板、网络接口卡或电源 中的故障，主单元可能变成不起作用的并且从而变成是不现用的。\n在步骤960，备用单元标记这些改变，以便在主单元变为起作用时 把它们发送给主单元。一旦主单元变为起作用，就用备用单元保持的带 标记的改变更新主单元，如步骤962中所反映的那样。\n依据本发明的一实施例，还同步主单元和备用单元上的软件更新， 从而在单个周期内，而不是需要在多个更新周期内，串行地更新主单元 和备用单元。因此，网络管理员不必用和对主单元相同的信息重复进行 对备用单元的更新。\n图29是在主单元和备用单元都起作用时更新它们的示例流程图。在 步骤970，从网络管理员可访问的管理站向主单元发送/传送-更新，例 如未在LDAP数据库中存储的软件更新。主单元接着在步骤972更新自 己。在步骤974，主单元自动地向备用单元发送/传送该更新信息。在步 骤976，备用单元用从主单元接收到的更新信息更新自己。\n图30是当主单元不起作用时更新主单元和备用单元的示例流程图。 在步骤978，主单元变成不起作用，并且在步骤980网络管理员向备用 单元，而不是向主单元，直接发送/传送升级。在步骤982，备用单元用 从管理站接收到的信息更新自己并等待主单元变为起作用。一旦主单元 变为起作用，就在步骤986自动向主单元发送传送该更新以便升级。主 单元接着在步骤988更新自己。\n尽管参照各优选实施例详细地说明了本发明，但业内人士理解，在 保持如附属权利要求书中定义的本发明精神和范围情况下，可对文中说 明的各个例子作出各种替代和修改。\n例如，图1的统一式策略管理系统应看成是说明性的而不是限制性 的。受到本发明启发的业内人士会理解许多替代配置是可能的。例如， 可添加带有策略实施器的若干网络或者不添加网络。类似地，策略实施 器不是必须通过因特网访问策略服务器，而是可以通过其它手段例如 WAN、MAN等连接。简言之，该机构之内的和之外的用户和资源的数 量和类型可以很大地变化，但仍处在本发明的范围之内。