[发明专利]安全设备、系统和方法

说明书

本发明涉及一种安全设备、系统和方法，描述了用于共享网络会话数据的技术。该技术可以使安全设备能够以联合方式利用应用分类信息。示例安全设备包括存储器和一个或多个处理器。处理器配置为：从第二安全设备接收表示用于第一分组流的应用分类的数据；接收第二分组流的数据；以及当第二分组流对应于第一分组流时，基于用于第一分组流的应用分类来监控第二分组流的数据，而不确定对第二分组流的应用分类。

技术领域

本公开涉及计算机网络，并且更具体地，涉及例如在计算机网络中使用的下一代防火墙(NGFW)系统的安全设备。

背景技术

计算机网络通常包括交换数据并共享资源的互连的计算设备的集合。设备可以包括例如web服务器、数据库服务器、文件服务器、路由器、打印机、终端用户计算机和其它设备。各种设备可以执行各种不同的服务和通信协议。每个不同的服务和通信协议将网络暴露给不同的安全漏洞。

在典型的网络部署中，可以部署多个下一代防火墙(NGFW)设备。每个NGFW设备可以分别处理大量的网络流量。网络流量属于在不同传输介质(TCP/UDP/HTTP等)上运行的各种应用。NGFW设备单独处理流量并应用动态应用分类算法以便对应用进行分类。在各种非限制性示例使用情况下，NGFW设备可以执行关于点对点(P2P)应用的应用分类。一般来说，NGFW网络设备执行应用分类、存储分类所需的数据并分别进行策略执行。在许多情况下，P2P应用(例如eDonkey、Ares、Mute、Gnuetella，Directconnect和QVOD)用于内容递送、下载和共享文件、视频文件、音频文件等。反过来，这样的P2P应用倾向于消耗大量的网络带宽。用于通过NGFW设备对这样的P2P应用进行分类的算法是复杂的并且中央处理单元(CPU)密集的，因为算法可能消耗大量的CPU时钟周期。

发明内容

一般来说，本公开描述用于减少由应用分类导致的计算资源消耗和网络带宽消耗的技术。根据本公开的各个方面，安全设备(例如NGFW)可以将大量消耗CPU的应用分类操作的结果输出到网络中的其它NGFW。这样，输出的信息可以被其它NGFW重复使用，而不会对相关流量流再次执行这种应用标识操作。根据本公开的方面，这些安全设备(例如，NGFW)可以配置为彼此协调并且彼此交换应用分类信息。应用分类信息的示例包括应用名称、目的地互联网协议(IP)地址和目的地端口。除了应用分类信息之外，所公开的技术可以使得NGFW能够共享元数据和其它属性，像对将来的P2P会话进行分类所需的交换的对等的信息(对等IP和对等端口)。NGFW可以应用输出的分类信息和其它信息以执行用于应用的策略，并且对于可以是P2P应用的应用采取相应的动作(例如，允许/拒绝/丢弃)。

在一个示例中，一种方法，包括：由第一安全设备从第二安全设备接收表示用于第一分组流的应用分类的数据。该方法进一步包括由第一安全设备接收第二分组流的数据，和当第二分组流对应于第一分组流时，由第一安全设备基于用于第一分组流的应用分类来监控第二分组流的数据，而不对第二分组流的应用分类进行确定。

在另一个示例中，第一安全设备包括：存储器，配置为存储网络通信数据；和一个或多个处理器，用于处理网络通信数据的至少一部分。一个或多个处理器可以配置为从第二安全设备接收表示用于第一分组流的应用分类的数据，接收第二分组流的数据，和当第二分组流对应于第一分组流时，基于用于第一分组流的应用分类来监控第二分组流的数据，而不对第二分组流的应用分类进行确定。

在另一示例中，非易失性计算机可读存储介质用指令编码，当被执行时，使得第一安全设备的一个或多个处理器从第二安全设备接收表示用于第一分组流的应用分类的数据，接收第二分组流的数据，并且当第二分组流对应于第一分组流时，基于用于第一分组流的应用分类来监控第二分组流的数据，而不对用于第二分组流的应用分类进行确定。