[发明专利]用于基于抽象的安全设定在面向分组的网络中设置分布式过滤器的方法

说明书

本申请主题涉及一种在面向分组的异构网络中高效分布的过滤器的自动化 开发和使用。

本申请主题涉及一种具有权利要求1的特征的用于基于抽象安全设定在面 向分组的网络中设置分布式过滤器的方法。

在与其他网络相连接的面向分组的网络(比如以太网或者IP网)中，必 须使用保护机制，以便

●保护网络的终端用户免受经由网络的攻击(比如病毒、蠕虫、对计算机 的入侵尝试、分布式拒绝服务(Distributed Denial of Service)(D)DOS)，

●保护网络元件免受攻击。

对此在网络的所选择的位置处使用所谓的防火墙，但是也可以在路由器、 业务服务器(比如软交换机(Softswitch))或者以太网交换机(数字用户线接 入模块(Digital Subscriber Line Access Modul)DSLAM)中配置分组过滤器。 所有这些过滤器的配置应该相互协调，以便

●没有网络元件未受保护，也就是说，真正达到了保护目标，

●不能使用一个网络元件的错误配置来绕开其他网络元件的过滤器，

●在异构网络中在能够支持相应功能的这些网络元件上配置过滤器，

●在网络元件中不必配置多于该网络元件所能够支持的过滤器(或者由于 硬极限、比如表格或列表大小的极限，或者出于性能的原因)，

●不是不必要冗余地和多次地实施功能。

配置的协调、相应配置文件的创建以及配置的实施现今手动地来实施。存 在一种管理系统，所述管理系统为一类网络元件(比如为在网络中制造商的防 火墙)提供一种协调的配置。

基于本申请主题的问题在于，实现一种系统，所述系统针对多类网络元件、 针对不同制造商的元件并且利用对功能分配的自动优化来实现协调配置。

该问题通过权利要求1的特征得以解决。

网络运营商不必手动地建立安全功能的费时且含有错误的配置。网络运营 商不必手动尝试在网络元件上适当地分配功能。

本申请主题的有利改进方案在从属权利要求中说明。

本申请主题下面作为实施例在对理解所必要的范围中借助于附图进一步被 阐述。其中：

图1示出用于设置接入安全设定(Zugang-Sicherheits-Vorgabe)的根据本发 明的布置，和

图2示出用于在网络中设置接入安全设定的布置的实施。

图2示出由节点/网络元件构成的网络的示意图，所述网络具有管理系统。 网络元件可以根据硬件平台、操作系统、安装的过滤器/安装的过滤软件并且另 外还根据软件的安装版本而有所区别，由此网络具有异构结构。

图1示出用于具有接入安全设定执行点APEP(access policy enforcement point (接入策略执行点))的网络与网络管理装置NM和接入安全设定设置点 APCP(access policy configuration point(接入策略配置点))共同作用的原理布置。 根据网络管理控制装置NMC(Network-management-Control)的控制，网络查明 装置ND(Network-Discovery(网络发现))分析网络的结构并将结果递交到拓扑 数据库TDB(Topology-Data-Base)中。在接入安全设定设置点中，在开始(开始) 时在作用点ITDB(Import Technology Data Base(输入技术数据库))中使来自 于网络管理的拓扑数据库的数据可供使用。在决策点CTDB(Capabilities in Topology-Data Base(在拓扑数据库中的能力))询问：对于各个网络元件，其 安全措施的能力是否已被存储。