[发明专利]分布式分组流检查和处理

说明书

技术领域

本发明针对跨分组处理设备的网络分组处理负荷的分布，特别地，其中，通过采用用于控制或以其他方式影响冗余过滤操作的装置跨分组过滤设备来分布所述负荷。

背景技术

企业将网络技术用于进行业务、商业管理、学术研究、机构管理和类似任务是普遍的。网络技术—特别是数字分组交换网络技术—使得能够在本地和广域企业网内以及本地和广域企业网之外实现信息（诸如文档、数值数据、图像、视频、音频和多媒体信息）、资源（诸如服务器、个人计算机、数据储存器和安全设备）和应用（诸如文字处理、记帐、金融、数据库、电子数据表、呈现、电子邮件、通信、网络管理和安全应用）的广泛共享和通信。

虽然分组交换网络在拓扑结构、尺寸和配置方面相当大地改变，但是基本上，所有此类网络不变地包括至少两个“节点”，其被可通信地链接（通过有线或无线连接）以使得能够在其之间传输数字分组封装数据。节点—如本领域的技术人员所已知的—包括台式计算机、膝上型计算机、工作站、用户终端、主机计算机、服务器、网络附加存储、网络打印机和用于所述数字分组封装数据的其它目的地、起源或终点。

联网设备—在本领域中有时称为“中间系统”或“互通单元”—一般（如果不是不变地）也存在于分组交换网络中。与节点相对照，这些主要用于对网络节点之间的数据业务进行管理、调节、成形或其他方式的调解。交换机、网关和路由器例如在网络内的节点之间引导分组业务以及将业务引导到网络中和引导到网络外。同样地，某些网络安全设备—作为所谓的“混合”联网设备运行—通过对数据分组或数据分组流进行过滤、隔离、标记和/或其他方式的调节来调解进入网络中或网络内的分组业务。

在常见的入侵预防系统（IPS）部署中，可以将多个IPS单元遍布于网络中以基于包括组织网络拓扑结构和关键资产位置的若干因素来保护网络并将网络分段。例如，典型的是将IPS放置在（一个或多个）WAN接入点处以及数据中心的前面和网络的不同段之间以创建独立的安全区。照此，流可以在其穿过网络时通过多个IPS。在每个IPS处，可能由过滤器的相同集合或子集来检查相同的流，从而招致没有附加价值的重复处理循环。

因此，需要用于避免分组交换网络中的冗余分组检查的技术。

发明内容

响应于上述需要，本发明的实施例提供了用于跨一组分组处理设备分布网络处理负荷的技术，其中，所述方法采用用于消除或以其他方式控制冗余分组处理操作的装置。

为此目的，本发明的实施例提供了一种包括至少两个分组处理设备的网络，其中（a）所述分组处理设备中的第一分组处理设备能够处理从中流过的数据分组；（b）所述分组处理设备中的第二分组处理设备也能够处理从中流过的数据分组；以及（c）所述第一分组处理设备能够在它对所述数据分组的所述处理期间检测是否先前已由所述第二分组处理设备对所述数据分组执行一个或多个分组处理操作。如果所述第一分组处理设备检测到先前已由所述第二分组处理设备对所述数据分组执行分组处理，则所述第一分组处理设备可以拒绝对所述数据分组执行分组处理。如果所述第一分组处理设备检测到先前尚未由所述第二分组处理设备对所述数据分组执行分组处理，则所述第一分组处理设备可以对所述数据分组执行分组处理。

在一个优选实施例中，本发明设法影响所谓的网络入侵预防系统（IPS）中的冗余，所述网络入侵预防系统特别地包括遍及网络分布的一组直列式（in-line）分组过滤器设备。依照本实施例，本发明的网络包括至少两个分组处理设备，其中：（a）所述分组处理设备中的第一分组处理设备能够检查并过滤从中流过的数据分组，通过执行来自过滤器组的一个或多个过滤器来实现所述过滤；（b）所述分组处理设备中的第二分组处理设备也能够检查并过滤从中流过的数据分组，也通过执行来自所述过滤器组的一个或多个过滤器来实现所述过滤；以及（c）所述第一分组处理设备能够在它对所述数据分组的所述检查期间检测是否先前已由所述第二分组处理设备对所述数据分组执行一个或多个过滤器。如果所述第一分组处理设备检测到先前已由所述第二分组处理设备对所述数据分组执行特定的过滤器，则所述第一分组处理设备可以拒绝将该特定过滤器应用于所述数据分组。如果所述第一分组处理设备检测到先前尚未由所述第二分组处理设备对所述数据分组执行特定的过滤器，则所述第一分组处理设备可以将该特定过滤器应用于所述数据分组。