[发明专利]虚拟主机安全简档

说明书

背景

主机防火墙通常取决于主机所连接到的网络而配置不同的防火墙简档。目前，可提供三种标准类型的简档——工作、家庭和公共。换言之，如果用户连接到工作网络，则主机防火墙在工作简档中；如果用户在家，则主机防火墙在家庭简档中。公共防火墙通常很受限制，而工作/家庭防火墙通常限制较少。

在多家庭（multi-homed）机器（同时连接到多个网络）中，主机防火墙需要确定该机器的防火墙简档。在这种情况下，主机防火墙选择防火墙简档中最受限制的。例如，如果该机器连接到企业网络（企业内网）和本地商业处的公共网络两者，则应用公共简档，因为公共简档通常是这些简档中限制较多的。然而，这对无缝连接性来说是障碍，因为企业内网上的机器由于为防火墙选择的限制性简档而不能联系此机器。

概述

下面提供了简化的概述，以便提供对此处所描述的一些新颖实施例的基本理解。本概述不是广泛的概览，并且它不旨在标识关键/重要元素或描绘本发明的范围。其唯一目的是以简化形式呈现一些概念，作为稍后呈现的更具体描述的序言。

所公开的体系结构允许为机器（设备）连接到的每个网络创建和应用虚拟安全简档，诸如防火墙简档。每个安全简档包括根据该简档约束设备连接性的一组规则。在一个实现中，该虚拟安全简档可基于单一网络或在多个网络上的地址范围。例如，如果多家庭机器M连接到网络A（其具有地址范围A1-A10）和网络B（其具有地址范围B1-B10），则可创建两组安全规则（例如，防火墙）。对于来自网络A的所有通信量，一组规则被约束为适用于地址范围（A1-A10），而对于来自网络B的所有通信量，另一组规则被约束为适用于地址范围（B1-B10）。这确保多家庭机器M到网络A和网络B两者的无缝并发连接性。

为了实现上述及相关目的，本文结合下面的描述和附图来描述某些说明性方面。这些方面指示了可以实践本文所公开的原理的各种方式，并且所有方面及其等效方面旨在落入所要求保护的主题的范围内。结合附图阅读下面的详细描述，其它优点和新颖特征将变得显而易见。

附图简述

图1示出根据所公开的体系结构的计算机实现的安全系统。

图2示出安全系统的一替代实施例，其进一步包括管理组件。

图3示出安全系统的一替代实施例，其基于网络寻址（addressing）应用防火墙简档。

图4示出用于多家庭设备的计算机实现的安全方法。

图5示出图4的方法的其它方面。

图6示出可用于根据所公开的体系结构的执行用于多家庭的安全简档管理和利用的计算系统的框图。

图7示出执行多家庭设备的安全简档管理和利用的计算环境的示意框图。

详细描述

所公开的体系结构允许为多家庭设备中的相应地不同通信连接使用不同的安全简档。以防火墙为上下文，多个虚拟主机防火墙简档允许主机防火墙基于例如该设备连接到的每个网络的地址范围来创建多个防火墙简档。这允许与多家庭设备连接到的所有网络的无缝连接性。更具体而言，如果一设备连接到两个网络，则创建并施加两组防火墙规则——（例如，为网络A的地址范围应用一组规则，而为网络B的地址范围应用另一组规则）。

现在参考附图，全部附图中相同的参考编号用于指代相同的元素。在下面的描述中，为了进行说明，阐述了很多具体细节以便提供对本发明的全面理解。然而，显而易见，可以没有这些具体细节的情况下实施各新颖实施方式。在其他情况下，以框图形式示出了各个公知的结构和设备以便于描述本发明。本发明将涵盖落入所要求保护的主题的精神和范围内的所有修改、等效方案和替换方案。

图1示出根据所公开的体系结构的计算机实现的安全系统100。系统100包括一组虚拟安全简档102，该组虚拟安全简档102为多家庭设备104提供通信安全。该组安全简档102与连接106相关联，数据分组可从该连接106接收。安全简档102还可与多个物理连接相关联，意味着关系可以是1对多，以及1对1。系统100还可包括用于响应于从连接106的多个连接接收数据分组而自动选择并且应用该组安全简档102的安全简档的安全组件108。安全组件108还可由管理员策略来驱动。

该组安全简档102可包括防火墙简档，所述防火墙简档配置到多家庭设备104的安全访问。该组安全简档102可包括与虚拟网络相关联的安全简档。即，该安全简档配置用于与该虚拟网络交互的安全设置。附加地或替代地，该组安全简档102可包括与物理网络相关联的安全简档。即，该安全简档配置用于与该物理网络交互的安全设置。