[发明专利]自动分布式网络保护

说明书

背景技术

网络网关可用于提供各种类型的安全、网络通信保护、以及包括内容检查、反病毒(“A/V”)扫描、恶意软件阻塞、信息泄漏保护、入侵检测等其他处理。提供这些功能通常在处理能力、盘空间、存储器、带宽等方面消耗大量资源，这与诸如个人计算机(“PC”)和移动设备(例如，移动电话、智能电话、手持式游戏设备、个人媒体播放器、手持式计算机等)且通过网关执行网络访问的客户机器的数量线性地绑定。由于随着需要通过网关的网络访问的客户机器的数量增加而需要部署更多网络网关，这些资源消耗可影响网络网关安全解决方案的可伸缩性。

另外，用于执行处理的网络带宽成本可以是相当大的。从客户机到服务请求所需的网关的每个往返表示带宽和处理成本两者。所需的往返和服务器上的处理时间可降低总体系统的响应性和运行在该客户机上的各种用户应用程序的性能。这些固有限制(例如，可伸缩性和带宽)可显著地影响支持公司的企业网络的数据中心和将网络保护作为托管的服务来提供的服务提供者两者的运营成本。对于这些服务提供者，常常难以标识成本有效的业务模型，因为服务的运营成本随着服务所保护的用户数量线性增长。

提供本背景来介绍以下概述和详细描述的简要上下文。本背景不旨在帮助确定所要求保护的主题的范围，也不旨在被看作将所要求保护的主题限于解决以上所提出的问题或缺点中的任一个或全部的实现。

概述

提供了一种将客户机器的安全能力传递给网络安全网关的网络保护解决方案，使得能够以实现客户机的目标安全级别同时在网关处消费尽可能少的资源的方式来在网关和客户机之间自动且动态地分布各种过程。例如，对于顺应指定的健康和/或公司管控策略且已知具有所部署的、操作的和/或与最新威胁数据同时的A/V能力的客户机，网络安全网关将无需对客户机的传入网络通信执行额外的A/V扫描，这由此可在网关处节省资源并且降低运营成本。

在各种说明性示例中，当用户在客户机器处设法访问类似在诸如因特网等外部网络上的网站的资源时，对客户机顺应适用的策略和安全能力的枚举在客户机作出到网络安全网关的连接时被传送。网关可随后根据客户机的顺应和安全能力来调整它的动作，以便避免重复工作，使得尽可能多的工作被卸载到客户机来降低网关处资源消耗同时维持所需级别的保护。然而，通常工作不被卸载到非顺应的客户机(即，那些不符合适用的健康和/或公司管控策略的客户机)，相反，安全过程将由网关来执行，以便确保将非顺应的客户机的安全维持在所需级别。当网关调整它的动作并将过程卸载到客户机时，还可考虑诸如用户所寻求的信息的新鲜度、因特网的总体安全状态等外部因素。

在客户机具有处理网络通信的最小能力的一些情况下，网关将执行过程的全集，诸如连接到网站、执行URL(统一资源定位符)过滤和A/V扫描等。当客户机是顺应的且较完整地被配置或有能力的时候，网关将指示它本地地执行较多过程，使得在网关处的资源消耗较少。无论在网关处所消耗的什么资源都被记录以便启用例如网络分析和优化，或在托管的网络保护服务的情况下，该日志可用于基于在网络安全网关处的实际资源消耗而不是仅基于所保护的客户机的数量来生成帐单。在一些实现中，可利用多个网络安全网关，其中过程在各网关之间动态地负载平衡。

有利地，本发明的自动分布式网络保护解决方案使得客户机与网关之间的网络通信处理的分配能够被优化以便降低成本同时维持所需级别的网络保护。记录在网关处的资源消耗的能力使得企业网络和托管的服务的顾客都能够标识资源如何被利用并且作为响应来调整客户机的配置。例如，通过在金钱上惩罚网关处的资源消耗，激发顾客在客户机处(或在本地部署的网关处，即，那些位于企业中且通常由管理员本地管理的网关)部署更多安全能力。可随后在更偶尔的基础上依赖网络安全网关，例如，当客户机器不是完全顺应或没有配备本地安全能力但仍需被使用时作为后备。

提供本发明内容是为了以简化的形式介绍将在以下具体实施方式中进一步描述的一些概念。本概述并非旨在标识所要求保护的主题的关键特征或必要特征，也不旨在用于帮助确定所要求保护的主题的范围。

附图描述

图1示出了其中可部署本发明的自动分布式网络保护解决方案的说明性计算环境；

图2示出了在客户机器与网络安全网关之间分配过程的说明性方法的概览；

图3示出了其中在稀少地配备有本地安全保护的客户机处的用户访问因特网上的网站的第一说明性使用场景；

图4示出了在较完全配备的客户机处的用户访问因特网上的网站的第二说明性使用场景；