Системы и способы для защиты сетевых устройств посредством межсетевого экрана

РОДСТВЕННЫЕ ЗАЯВКИ

[0001] По данной заявке испрашивается приоритет Патентной Заявки США Серийный № 15/168,863, поданной 31 мая 2016г., и Предварительной Заявки США Серийный № 62/321,296, поданной 12 апреля 2016г., обе озаглавленные «SYSTEMS AND METHODS FOR PROTECTING NETWORK DEVICES BY A FIREWALL», автор Glazemakers и др., полное содержимое которых включено в настоящее описание посредством ссылки.

ОБЛАСТЬ ТЕХНИКИ, К КОТОРОЙ ОТНОСИТСЯ ИЗОБРЕТЕНИЕ

[0002] По меньшей мере, некоторые варианты осуществления, раскрываемые в данном документе, относятся в целом к сетевой защите и в частности, но не ограничено, к защите частных сетей посредством шлюза, включающего в себя туннельный сервер, такой как сервер Виртуальной Частной Сети (VPN), и включающего в себя межсетевой экран (брандмауэр).

ПРЕДПОСЫЛКИ СОЗДАНИЯ ИЗОБРЕТЕНИЯ

[0003] Для того, чтобы защитить частные сети от нежелательного сетевого доступа, межсетевой экран может быть реализован в шлюзе для того, чтобы выборочно фильтровать связь к и от частной сети. Посредством применения правил межсетевого экрана, межсетевой экран тогда позволяет сетевым пакетам проходить, или блокирует их в одном или обоих направлениях, обычно именуемых направлением вверх или вниз. Правила обычно основаны на 5-кортежах, являющихся адресами источника и/или получателя сетевых пакетов, портами источника и/или получателя сетевых пакетов и протоколом.

[0004] Для дополнительной защиты частной сети, межсетевой экран шлюза может быть объединен с сетевым туннелированием. Доступ к частной сети тогда может создаваться посредством Виртуальной Частной Сети (VPN), где защищенный сетевой туннель настраивается между клиентским устройством и шлюзом. Настройка такого туннеля разрешается только после успешной аутентификации шлюзом, который затем функционирует в качестве сервера VPN. Посредством объединения межсетевого экрана и сервера VPN в шлюзе, доступ к устройствам в частной сети может быть авторизованным на уровне клиента или пользователя посредством сервера VPN и на сетевом уровне посредством межсетевого экрана. Пример такого решения шлюза раскрывается в Патенте США № 9,148,408, полное раскрытие которого включено в настоящее описание посредством ссылки. В данном решении, правила межсетевого экрана определяются на основании авторизации с помощью сервера или контроллера аутентификации. Таким образом, управление доступом клиента и, следовательно, пользователя к приложениям и серверам осуществляется централизовано на едином шлюзе, не требуя дополнительной глубокой инспекции пакета в шлюзе или где-либо еще в частной сети.

СУЩНОСТЬ ИЗОБРЕТЕНИЯ

[0005] Проблема вышеприведенного решения состоит в том, что оно обеспечивает ограниченные возможности для динамического управления доступом (например, управление доступом во время того, как осуществляется актуализация или обновление правил межсетевого экрана). Это происходит потому, что правила межсетевого экрана определяются контроллером аутентификации, когда пользователь аутентифицируется контроллером первый раз или, когда пользователь повторно аутентифицируется, например, после предварительно определенного интервала времени.

[0006] По меньшей мере, некоторые варианты осуществления, раскрываемые в данном документе, смягчают вышеприведенные проблемы и предоставляют шлюз для защиты частной сети, который может обеспечивать динамическое управление доступом.

[0007] Варианты осуществления настоящего раскрытия помогают защитить сетевые устройства от неавторизованного доступа. Среди прочего, варианты осуществления раскрытия обеспечивают полный доступ к серверам приложений и другим сетевым устройствам, к которым клиент авторизован осуществлять доступ, при этом предотвращая весь доступ (или даже знание) к сетевым устройствам, к которым клиент не авторизован осуществлять доступ.

[0008] В одном варианте осуществления, реализуемый компьютером способ включает в себя этапы, на которых: после запроса от клиентского устройства, создают, посредством компьютерной системы, реализующей шлюз к частной сети, сетевой туннель между клиентским устройством и шлюзом; шлюз дополнительно реализует межсетевой экран, включающий в себя правила межсетевого экрана для выборочной блокировки и разрешения сетевого трафика между клиентским устройством и одним или более сетевыми устройствами в частной сети; и, после задействования правила межсетевого экрана посредством запроса доступа к частной сети посредством клиентского устройства и до применения правила межсетевого экрана, проверяют, посредством компьютерной системы, удовлетворяется ли соответствующее условие; и если условие не удовлетворяется, тогда, посредством компьютерной системы, отправляют клиентскому устройству действие, которое должно быть выполнено клиентским устройством.

[0009] Настоящее раскрытие включает в себя разнообразные способы, устройства (включая компьютерные системы), которые выполняют такие способы, и машиночитаемые носители информации, содержащие инструкции, которые, когда исполняются посредством вычислительных систем, предписывают вычислительным системам выполнять такие способы.

[0010] Прочие признаки будут очевидны из сопроводительных чертежей и из подробного описания, которое следует ниже.

КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ

[0011] Фиг. 1 показывает примерную систему для защиты сетевых устройств от нежелательного сетевого доступа в соответствии с одним вариантом осуществления настоящего раскрытия.

[0012] Фиг. 2 показывает примерный процесс для создания сетевого туннеля между клиентским устройством и частной сетью, который может быть исполнен посредством компонентов настоящего раскрытия.

[0013] Фиг. 3 показывает примерную систему для создания сетевого туннеля между клиентским устройством и частной сетью, отделенной посредством шлюза, реализующего службу межсетевого экрана.

[0014] Фиг. 4A, 4B, 4C и 4D иллюстрируют примерные записи в списке доступа клиента, из которого правила межсетевого экрана извлекаются в соответствии с вариантами осуществления настоящего раскрытия.

[0015] Фиг. 5 показывает примерный процесс для извлечения правил межсетевого экрана из списка доступа клиента, исполняемый компонентами настоящего раскрытия.

[0016] Фиг. 6 показывает примерный процесс для отбрасывания или разрешения сетевых пакетов, исполняемый компонентами настоящего раскрытия.

[0017] Фиг. 7 иллюстрирует примерную вычислительную систему в соответствии с одним вариантом осуществления.

ПОДРОБНОЕ ОПИСАНИЕ

[0018] Предмет изобретения теперь будет описан более полно далее со ссылкой на сопроводительные чертежи, которые формируют его часть, и которые показывают, в качестве иллюстрации, особые примерные варианты осуществления. Предмет изобретения может, тем не менее, быть воплощен в многообразии разных форм и, вследствие этого, охватывается или подразумевается, что заявленный предмет изобретения должен толковаться как не ограниченный любыми примерными вариантами осуществления, изложенными в данном документе; примерные варианты осуществления предоставляются только в качестве иллюстративных. Подобным образом, подразумевается достаточно широкий объем заявленного или охватываемого предмета изобретения. Среди прочего, например, предмет изобретения может бать воплощен в качестве способов, устройств, компонентов, или систем. Соответственно, варианты осуществления могут, например, принимать форму аппаратного обеспечения, программного обеспечения, встроенного программного обеспечения или любого их сочетания (отличного от программного обеспечения как такового). Вследствие этого, не подразумевается, что нижеследующее подробное описание должно рассматриваться в духе ограничения.

[0019] На сопроводительных чертежах, некоторые признаки могут быть преувеличены, чтобы показать подробности конкретных компонентов (и подразумевается, что любой размер, материал, и сходные подробности, показанные на фигурах, должны быть иллюстративными, а не ограничивающими). Вследствие этого, особые структурные и функциональные подробности, раскрываемые в данном документе, не должны толковаться в качестве ограничивающих, а лишь в качестве представляющих основу для обучения специалиста в соответствующей области по-разному использовать раскрываемые варианты осуществления.

[0020] Ссылка в данном техническом описании на «один вариант осуществления» или «вариант осуществления» означает, что конкретный признак, структура, или характеристика, описанная в связи с вариантом осуществления, включена в, по меньшей мере, один вариант осуществления раскрытия. Появления фразы «в одном варианте осуществления» в разных местах в техническом описании как не обязательно все ссылаются на один и тот же вариант осуществления, так и не на отдельные или альтернативные варианты осуществления, взаимно исключая другие варианты осуществления. Более того, описываются разнообразные признаки, которые могут демонстрироваться некоторыми вариантами осуществления и не другими. Сходным образом, описываются разнообразные требования, которые могут быть требованиями для некоторых вариантов осуществления, но не для других вариантов осуществления.

[0021] Любое сочетание и/или подмножество элементов способов, изображенных в данном документе, может быть объединено друг с другом, выполняться выборочно или не выполняться на основании разнообразных условий, повторяться любое требуемое число раз, и воплощаться на практике в любом подходящем порядке и в связи с любой подходящей системой, устройством, и/или процессом. Способы, описанные и изображенные в данном документе, могут быть реализованы любым подходящим образом, как например посредством программного обеспечения, работающего на одной или более компьютерных системах. Программное обеспечение может содержать машиночитаемые инструкции, хранящиеся на вещественном машиночитаемом носителе информации (таком как память компьютерной системы), и могут быть исполнены одним или более процессорами, чтобы выполнять способы разнообразных вариантов осуществления.

[0022] Фиг. 1 иллюстрирует примерную систему для защиты сетевых устройств от нежелательного сетевого доступа в соответствии с разнообразными аспектами настоящего раскрытия. В данном примере, сетевые устройства (например, серверы 141, 142 и 143 приложений) являются частью частной сети 140. Доступ к серверам 141-143 получается из частной сети 140 через адрес частной сети. В данном контексте, понятие «частный» относится к тому факту, что серверы 141-143 приложения не являются глобально маршрутизируемыми. Другими словами, адресация к серверам 141-143 приложений не может осуществляться посредством их адреса частной сети из вне частной сети 140.

[0023] Частная сеть 140 и другие компоненты на Фиг. 1 могут использовать любое число и тип протоколов связи, также именуемых Интернет Протоколом («IP»), или Протоколом Управления Передачей/Интернет Протоколом («TCP/IP»). Например, частная сеть 140 может иметь диапазон адресов, как установлено RFC 1918 для Версии 4 Интернет Протокола или IPv4 и RFC 4193 для Версии 6 Интернет Протокола или IPv6.

[0024] Сетевые устройства 141-143 могут соответствовать серверам приложений, которые предоставляют службы по сети 140 другим вычислительным устройствам. Любое число и тип серверов приложений и ассоциированных служб может быть использовано в связи с вариантами осуществления настоящего раскрытия, такие как почтовые серверы, файловые серверы, службы Администрирования Взаимосвязи с Потребителями или CRM, службы Планирования Ресурсов Предприятия или ERP, и/или службы администрирования документов.

[0025] Соединение данных затем может быть создано с любым из серверов 141-143 приложения посредством открытия сокета связи с соответствующим сервером приложений у порта (или диапазона портов), ассоциированного со службой. Серверы 141-143 приложения могут соответствовать физическим устройствам с физическим сетевым интерфейсом, ассоциированным с адресом частной сети. В качестве альтернативы, серверы 141-143 приложения также могут соответствовать экземплярам виртуального сервера, работающего на одном или более физических серверах. Экземпляры виртуального сервера каждый может иметь виртуальный сетевой интерфейс с ассоциированным адресом частной сети. Экземпляры виртуального сервера могут включать в себя, как, впрочем, и работать в связи с, один или более экземпляры пространства пользователя (также известных как контейнеры программного обеспечения, виртуальные машины, виртуальные частные серверы, и/или «тюрьмы»). Такие экземпляры пространства пользователя могут быть реализованы любым подходящим образом, включая через инструмент программного обеспечения DOCKER.

[0026] В примере, показанном на Фиг. 1, частная сеть 140 отделена от внешней сети посредством шлюза 100, тем самым обеспечивая сетевой трафик между внешней сетью и частной сетью 140 управляемым образом. Система Фиг. 1 может идентифицировать клиентов 121-126 как «доверенных клиентов» с правами доступа к одному или более из серверов 141-143 приложений в частной сети 140 для того, чтобы использовать работающие на них службы. Клиенты 121-126 могут быть, или включать в себя, физическое аппаратное обеспечение и/или виртуальные компоненты. Например, клиент 121-126 может включать в себя виртуальную операционную систему, работающую на физическом устройстве, таком как мобильное устройство. Система также может разрешать сетевой доступ к выборке из серверов 141-143 приложений, к которой клиентам 121-126 разрешено осуществлять доступ, и отказывать в сетевом доступе к любому серверу приложений, к которому клиентам 121-126 не разрешено осуществлять доступ.

[0027] Для того, чтобы управлять доступом клиентов 121-126 к серверам 141-143 приложений, сетевые туннели 131-133 создаются между клиентами 121-126 и шлюзом 100. Таким образом, частная сеть 140 расширяется для клиентов 121-126. В некоторых вариантах осуществления, виртуальная частная сеть (или «VPN») создается через туннели 131-133. Таким образом, клиенту 121-126, несмотря на то, что физически не в частной сети 140, предоставляется адрес частной сети в диапазоне частной сети 140, и он может, таким образом, потенциально осуществлять доступ к всем серверам 141-143 приложений посредством их соответствующего адреса частной сети (при условии, что доступ разрешен, как обсуждается более подробно ниже).

[0028] Запросы сетевого соединения от клиентов 121-126 обрабатываются модулем 101 туннеля, реализованным в шлюзе 100. Это может быть запросом соединения для создания нового туннеля посредством нового клиентского устройства или новым запросом сетевого соединения в существующем туннеле. Данные, проходящие через соединения в туннелях 131-133, могут быть дополнительно защищены посредством шифрования, как например в соответствии с Безопасностью Интернет Протокола (или «протокол IPsec»), Безопасностью Транспортного Слоя (или «TLS») и/или Безопасностью Транспортного Слоя Дейтаграмм (или «DTLS»). В примере, модуль 101 туннеля работает в соответствии с TLS или SSL и настраивает сетевые соединения в качестве сетевых соединений TCP. Для того, чтобы сделать это, клиенты отправляют запрос на открытый порт или диапазон портов шлюза 100, предпочтительно стандартный порт 443 для TSL/SSL зашифрованных соединений TCP.

[0029] Шлюз 100 дополнительно реализует службу межсетевого экрана, включающую в себя межсетевой экран для выборочной блокировки и разрешения сетевого трафика между клиентскими устройствами 121-126 и соответствующими сетевыми устройствами 141-143 в частной сети. Шлюз 100 может, например, реализовывать службу 111-116 межсетевого экрана для каждого соединенного клиента 121-126. Каждая соответствующая служба межсетевого экрана затем реализует межсетевой экран для выборочной блокировки и разрешения сетевого трафика между соответствующим клиентским устройством и сетевыми устройствами 141-143 в частной сети. Каждая служба межсетевого экрана также содержит набор правил межсетевого экрана, определяющих правила доступа для соответствующего клиентского устройства. Шлюз 100 таким образом, выполняет отдельный межсетевой экран для каждого соединенного клиента 121-126. Преимущество этого состоит в том, что размер правил межсетевого экрана у службы межсетевого экрана не растет с величиной соединенных клиентов. Таким образом, увеличение соединенных клиентов не приводит к потере производительности из-за увеличения объема правил межсетевого экрана, администрирование которых должно осуществляться одной службой межсетевого экрана.

[0030] Фиг. 2 показывает примерный процесс, который может быть исполнен посредством компонентов настоящего раскрытия, включающих шлюз 100 в соответствии с Фиг. 1. Посредством данного процесса, клиентское устройство 121-126 соединяется с частной сетью 140 через шлюз 100. В качестве примера, процесс будет описан со ссылкой на клиентское устройство 121. На первом этапе 201, модуль 101 туннеля принимает первый запрос соединения от клиентского сетевого устройства 121, чтобы создать первое сетевое соединение со шлюзом 100, например, запрос защищенного сетевого соединения TCP принимается через порт 443 шлюза. Вслед за этим, сетевое соединение создается на этапе 202, например, посредством трехходового квитирования в случае сетевого соединения TCP. Данное первое сетевое соединение используется, чтобы осуществлять обмен информацией управления между клиентом 121 и шлюзом 100, и в частности с модулем 102 администрирования, реализованным в шлюзе 100. Для того, чтобы знать, что соединение является в целях управления, модуль туннеля может инспектировать первый пакет данных, обмен которым осуществляется через каждое вновь созданное сетевое соединение. Если пакет данных является пакетом данных управления, модуль 101 туннеля идентифицирует сетевое соединение в качестве соединения управления и будет перенаправлять все дальнейшие пакеты, принятые через данное соединение модулю 102 администрирования. Пакет данных управления может, например, быть идентифицирован посредством инспекции особого поля расширения TLS в заголовке пакета TLS.

[0031] На этапе 203, модуль 102 администрирования принимает информацию туннеля от клиентского устройства 121 через первое сетевое соединение. Данная информация дополнительно именуется списком туннеля клиента. Данный список туннеля клиента включает в себя информацию для того, чтобы создавать сетевой туннель 131 со шлюзом, такую как, например, информацию аутентификации для аутентификации клиента шлюзом. После успешной аутентификации посредством модуля 102 администрирования, процесс переходит к этапу 204.

[0034] На этапе 204, модуль 102 администрирования принимает список доступа клиента от клиента 121. Список доступа клиента содержит перечисление сетевых устройств или приложений в частной сети 140, к которым клиентскому устройству разрешено осуществлять доступ и при каких условиях, как будет объяснено ниже.

[0033] Клиент 121 может дополнительно извлекать данный список доступа и/или список туннеля клиента из службы аутентификации или контроллера 170, который осуществляет администрирование доступа клиента к частной сети 140. Для того, чтобы избежать компрометации клиентом списка доступа и/или списка туннеля клиента, списки могут быть сделаны не допускающими изменений, т.е., защищенными так, что изменение списков может быть обнаружено модулем 102 администрирования.

[0034] Разнообразные способы и системы для аутентификации клиента и предоставления клиента и списка туннеля могут быть использованы, такие как те, что раскрываются в Патенте США № 9,148,408, полное раскрытие которого включено в настоящее описание посредством ссылки.

[0035] Затем, на этапе 205, модуль 101 туннеля создает второе сетевое соединение с клиентом 121 по запросу клиента 121. Поскольку это новое соединение, модуль 101 туннеля инспектирует первый пакет данных, принимаемый через данное второе соединение. Данное второе соединение используется для фактического сетевого туннеля 131 так как клиент 121 уже создал первое соединение для обмена информацией управления со шлюзом 100. Вследствие этого инспектируемый пакет данных идентифицируется как первый пакет для еще не созданного сетевого туннеля 131.

[0036] Вслед за этим, на этапе 206, модуль 101 туннеля пропускает второе сетевое соединение к службе 150 туннеля, реализованной в шлюзе 100. Служба туннеля затем верифицирует с помощью модуля 102 администрирования, может ли быть создан сетевой туннель 131. На следующем этапе 207, служба 150 туннеля создает сетевой туннель 131 посредством запуска службы 111 межсетевого экрана. С данного момента, все данные, обмен которыми осуществляется через второе сетевое соединение, и, следовательно, через сетевой туннель 131, проходят через службу 111 межсетевого экрана. Другими словами, данные полезной нагрузки из сетевого туннеля 131 переадресовываются в запущенную службу 111 межсетевого экрана. Данная служба 111 межсетевого экрана реализует межсетевой экран, который блокирует по умолчанию весь трафик между клиентом 121 и частной сетью 140. На следующем этапе 208, служба 111 межсетевого экрана применяет соответствующие правила межсетевого экрана к межсетевому экрану посредством извлечения правил межсетевого экрана из модуля 102 администрирования. Модуль 102 администрирования извлекает эти правила межсетевого экрана из списка доступа клиента, который уже был принят на этапе 204.

[0037] Посредством процесса в соответствии с Фиг. 2, сетевой туннель 131 между клиентским устройством 121 и шлюзом 100, таким образом, создается вместе с отдельным межсетевым экраном с отдельным набором правил межсетевого экрана для выборочной блокировки и разрешения сетевого трафика между клиентским устройством 121 и сетевыми устройствами 141-143 в частной сети 140. Данный процесс выполняется для каждого клиента 121-126, который соединяется с частной сетью 140, тем самым, получая соответствующие службы 111-116 межсетевого экрана.

[0038] В соответствии с дополнительным вариантом осуществления, шлюз 100 реализуется на компьютерной системе, содержащей несколько ядер обработки. Модуль 102 администрирования, модуль 101 туннеля, служба 150 туннеля и службы 111, 112, и 113 межсетевого экрана могут тогда быть реализованы на компьютерной системе посредством исполняемых компьютером инструкций, исполняемых в ядрах обработки. Шлюз 100 тогда включает в себя отдельную службу туннеля, работающую на каждом ядре обработки. Это иллюстрируется посредством примерного варианта осуществления Фиг. 1, где службу 150 туннеля и службы 111, 112 и 113 межсетевого экрана реализуются в первом ядре 160 обработки, а служба 151 туннеля и службы 114, 115 и 116 межсетевого экрана реализуются во втором ядре 161 обработки. Службы 150 и 151 туннеля могут, например, быть реализованы в качестве процессов программного обеспечения, работающего в соответствующих ядрах обработки. Службы межсетевого экрана могут быть реализованы в качестве потоков программного обеспечения, выполняемых соответствующим процессом программного обеспечения, т.е., соответствующих служб туннеля.

[0039] Преимущество выполнения отдельных служб туннеля в каждом ядре обработки состоит в том, что меж-процессная связь между службами межсетевого экрана и связь между службой межсетевого экрана и службой туннеля ограничиваются одним и тем же ядром. В результате, когда шлюз 100 масштабируется посредством добавления еще ядер обработки, то не будет происходить потери производительности из-за увеличившейся связи между процессами.

[0040] Фиг. 3 иллюстрирует подробности примерной службы 311 межсетевого экрана, которая может быть реализована в шлюзе 100 в соответствии с настоящим раскрытием, например, в качестве службы с 111 по 116 межсетевого экрана на Фиг. 1. В качестве примера, будет предполагаться, что служба 311 межсетевого экрана соответствует службе 111 межсетевого экрана, предоставляющей сетевой туннель 131 между клиентом 121 и частной сетью 140. Когда служба 311 межсетевого экрана запускается, она содержит компонент 320 межсетевого экрана для выборочной блокировки и разрешения сетевого трафика между соответствующим клиентским устройством 121 и сетевыми устройствами 141-143 в частной сети 140. Правила, используемые межсетевым экраном 320 в соответствии с которыми осуществляется блокировка или разрешение трафика, хранятся в качестве правил 321 межсетевого экрана. Эти правила могут, например, быть сохранены в файле или базе данных, которая размещается в памяти вычислительной системы, реализующей шлюз 100.

[0041] Межсетевой экран 320 может быть межсетевым экраном с проверкой состояния посредством выполнения инспекции пакета с проверкой состояния, тем самым отслеживая состояние сетевых соединений, созданных через сетевой туннель 131 между клиентом 121 и сетевыми устройствами 141-143 в частной сети. Такое соединение может относиться к сетевым соединениям TCP или UDP. Таким образом, возможно более детализированное управление, когда правила становятся зависимыми от сетевого соединения и являются, таким образом, динамическими. Межсетевой экран продолжает отслеживать все открытые сетевые соединения посредством ведения списка, списка 322 состояний, со всеми отложенными соединениями. Эти состояния могут, например, быть сохранены в файле или базе данных, которая размещается в памяти вычислительной системы, реализующей шлюз 100.

[0042] Служба 311 межсетевого экрана может дополнительно включать в себя компонент 323 шифрования и/или дешифрования для соответственно шифрования и дешифрования данных, передаваемых к или принимаемых от клиента 121. Шифрование и дешифрование может дополнительно быть выполнено в соответствии с Безопасностью Интернет Протокола (или «протокол IPsec»), Безопасностью Транспортного Слоя (или «TLS») и/или Безопасностью Транспортного Слоя Дейтаграмм (или «DTLS»). Шифрование и дешифрование могут дополнительно быть аппаратно-ускорены посредством компонента аппаратного обеспечения в ядре обработки, на котором работает служба 311 межсетевого экрана.

[0043] В соответствии с дополнительным вариантом осуществления, список доступа клиента содержит одно или более правила доступа, опционально условие, относящееся к одному или более правилам доступа, и действие, относящееся к соответствующему условию.

[0044] Правило доступа определяет, когда сетевой пакет должен быть разрешен через шлюз и, следовательно, через межсетевой экран на сетевом уровне. Правило доступа может включать в себя адрес источника, указывающий источник, откуда происходит сетевой пакет. В основанном на IP межсетевом экране это может быть адресом IPv4 или IPv6 вместе с номером порта или диапазоном номеров порта. Так как список доступа клиента включает в себя правила для конкретного клиентского устройства, правило доступа будет, обычно, включать в себя адрес источника клиентского устройства. Номера порта источника, как оправила, не указаны, так как номер порта источника обычно не имеет особого значения. Правило доступа дополнительно идентифицирует один или более хостов-получатели, к которым применяется правило доступа, т.е., правило доступа будет применено к сетевым пакетам, указывающим один из одного или более хостов-получателей. Правило доступа также может предоставлять указание того, должен ли сетевому пакету, подпадающему под правило, блокироваться или разрешаться доступ. Как правило, межсетевой экран будет блокировать весь трафик с общим правилом по умолчанию и правила доступа, тогда будут указывать, к каким сетевым устройствам или приложению может быть осуществлен доступ клиентом. Правило доступа также может предоставлять информацию о протоколе, который используется чтобы транспортировать сетевые пакеты через сеть, как например, TCP, UDP или ICMP. Правило доступа может, поэтому, определять типичное правило межсетевого экрана в качестве 5 кортежей, включающих в себя адрес источника, адрес получателя, порт источника, порт получателя и протокол.

[0045] Идентификация хостов-получателей в правиле доступа может включать в себя сетевой или IP адрес хоста-получателя, что распространено в правилах межсетевого экрана. Правило доступа тогда может дополнительно указывать номер порта или диапазон номеров порта. Таким образом, сетевые пакеты могут быть отфильтрованы службой, к которой осуществляют доступ на хосте-получателе. В качестве альтернативы, идентификация хостов-получателей может быть именем хоста или Полностью Определенным Доменным Именем (FQDN), уникальным образом идентифицирующим хосты-получатели, к которым применяется правило доступа.

[0046] Идентификация хостов-получателей также может содержать идентификатор для службы администрирования инфраструктуры, опционально вместе с атрибутом. Служба администрирования инфраструктуры тогда осуществляет администрирование доступа к тому одному или более сетевым устройствам в частной сети. Тогда атрибут указывает выбор одного или более сетевых устройств, администрирование которых осуществляется посредством службы администрирования инфраструктуры. Это в частности полезно, когда хосты-получатели неизвестны, когда формируется правило доступа, или, когда хосты-получатели могут поменяться. Такие изменения могут, например, происходить в виртуальных вычислениях, где сетевые устройства являются виртуальными сетевыми устройствами, которые конкретно не связаны с конкретным физическим устройством. Посредством виртуальных вычислений, хосты-получатели могут быть созданы или изменены налету. Атрибут будет, как правило, содержать пару ключ-значение, где ключ относится к некоторому свойству, а значение к метрике или значению свойства. Тогда выбор может быть выполнен посредством выбора хостов с определенным ключом, значением или сочетанием обоих. Применительно к выбору посредством ключа, идентификатор может принимать формат служба://тэг-ключ:<ИМЯ> где служба идентифицирует сетевую службу, а <ИМЯ> является свойством хоста, для которого должны быть возвращены сетевые адреса. Применительно к выбору посредством значения, идентификатор может принимать формат служба://тэг-значение:<ИМЯ>, где служба идентифицирует сетевую службу, а <ИМЯ> является значением хоста, для которого должны быть возвращены сетевые адреса. Также, сетевые адреса с определенной парой ключа <КЛЮЧ> и значения <ЗНАЧЕНИЕ> могут быть извлечены посредством формата служба://тэг:<КЛЮЧ>=<ЗНАЧЕНИЕ>. Примером службы администрирования инфраструктуры являются Amazon Web Services (AWS), которые являются совокупностью служб облачных вычислений, так же именуемых web-службами, которые составляют платформу облачных вычислений, предлагаемую Amazon.com. В таком случае, служба может быть указана посредством aws.

[0047] Список доступа клиента также может содержать условие, связанное с одним или более из правил доступа. В то время, как правило доступа в частности разрешает или блокирует сетевые пакеты в зависимости от 5 кортежей, условие может предотвращать прохождение сетевых пакетов на основании дополнительных метрик или атрибутов, когда задействуется правило доступа.

[0048] Первый набор возможных атрибутов или атрибуты клиента относятся к клиентскому устройству, к которому применяется доступ клиента, т.е., атрибуты относятся к среде, в которой выполняется клиент. Примерами таких атрибутов являются уникальный номер идентификации устройства, операционная система, работающая на клиенте, тип браузера, работающего на клиенте, IP-адрес клиента, способ аутентификации, использованный для входа в систему, и выполняет ли клиент межсетевой экран или нет. Эти относящиеся к клиенту атрибуты должны, как правило, предоставляться самим клиентским устройством.

[0049] Второй набор возможных атрибутов или атрибуты пользователя относятся к пользователю клиентского устройства и в частности к роли пользователя в частной сети и, следовательно, в определенной организации. Роль пользователя в организации часто диктует приложения и ресурсы, к котором пользователю требуется осуществлять доступ. Такие атрибуты, как правило, хранятся и ведутся в службе каталогов пользователя. Преимущество такой службы каталогов состоит в том, что она обеспечивает общий источник аутентификации для приложений, как, впрочем, и возможность группирования пользователей логически посредством, например, отдела, команды или роли. Вследствие этого, атрибуты пользователя могут относиться к атрибутам, хранящимся в такой службе каталогов, такой как, например, служба каталогов в соответствии с Облегченным Протоколом Доступа к Каталогам (LDAP), Microsoft Active Directory, Служба Дистанционной Аутентификации Пользователей (RADIUS) или любое их сочетание.

[0050] Третий набор возможных атрибутов или атрибуты среды относятся к среде клиентского устройства и/или частной сети. Примерами таких атрибутов являются время суток, дата, и местоположение клиента.

[0051] Любые из вышеприведенных атрибутов могут быть использованы, чтобы создавать условие. Во время работы, правило доступа тогда будет исполняться только если условие выполняется. Условие может включать в себя одно или более логические сравнения между атрибутом и значением или посредством выполнения регулярных выражений над одним или более из этих атрибутов.

[0052] Условие может дополнительно быть связано с действием в списке доступа клиента, которое должно быть выполнено, когда условие не выполняется или не удовлетворяется. Первым типом действия является действие исправления, которое должно быть выполнено клиентом или пользователем клиентского устройства. Когда такое действие исправления действительно выполняется, то условие будет либо выполняться, либо обновляться так, что обновленное условие выполняется. Вследствие этого, после выполнения действия исправления, клиентскому устройству будет разрешено осуществлять доступ к частной сети в соответствии с соответствующим правилом доступа. Действие исправления может включать в себя запрос аутентификации или дополнительной аутентификации пользователем клиентского устройства. Такая аутентификация может быть более безопасной или защищенной аутентификацией, чем та, что уже проводилась. Действие исправления может быть запросом аутентификации с помощью одноразового пароля (OTP) или выполнения двухфакторной аутентификации. Вторым типом действия является информативное действие, где информация должна быть отображена или предоставлена клиентскому устройству по условию, которое не было удовлетворено. Таким образом, пользователь информируется о причине, почему его сетевой доступ заблокирован. Третьим типом действия является интерактивное действие, включающее в себя запрос информации у пользователя. Такое интерактивное действие также может быть действием исправления, где клиенту будет разрешен доступ в соответствии с правилом доступ после предоставления информации. Четвертым типом действия, дополнительно именуемым как действие прерывания, является остановка межсетевого экрана полностью для соответствующего клиента, например, посредством перемещения межсетевого экрана в полностью блокированный режим и/или посредством прерывания сетевого туннеля между шлюзом и клиентом. Такое действие может быть использовано блокирующим правилом доступа и условием, которое всегда удовлетворяется. Таким образом, действие будет всегда выполняться, когда задействуется правило доступа. Действие прерывания может быть использовано, чтобы дополнительно защищать частную сеть, так как оно позволяет блокировать пользователя или устройство полностью, когда оно пытается соединиться с определенными сетевыми устройствами или приложениями в частной сети.

[0053] С Фиг. 4A по Фиг. 4D показывают примеры записей в списке доступа клиента, при этом каждая запись включает в себя:

[0054] имя (ИМЯ), чтобы идентифицировать запись,

[0055] условие (УСЛОВИЕ), которое должно выполняться для правил доступа под данным именем,

[0056] действие (ДЕЙСТВИЕ), которое будет предпринято, когда условие не выполняется, и/или

[0057] одно или более правила доступа (ПРАВИЛА ДОСТУПА).

[0058] Правило доступа может дополнительно включать в себя:

[0059] тип правила межсетевого экрана (ПРАВИЛО), которое, типично, 'разрешает', т.е. сетевому трафику разрешается проходить, когда правило межсетевого экрана задействуется, или 'блокирует', т.е. сетевой трафик блокируется, когда правило межсетевого экрана задействуется;

[0060] протокол (ПРОТОКОЛ) сетевого трафика, например, ICMP (icmp), TCP (tcp) или UDP (udp);

[0061] направление потока (НАПРАВЛЕНИЕ) сетевого трафика, для которого применяется правило доступа;

[0062] идентификацию хостов-получателей (ХОСТЫ) правила межсетевого экрана; и/или

[0063] порты-получатели или типы ICMP как указано в сетевом трафике для соответственно протокола TCP/UDP и ICMP.

[0064] На Фиг. 4A, показана запись, включающая в себя правила доступа, которые определяют правила межсетевого экрана для доступа к виртуальным хостам, предоставленным посредством Amazon Web Services. Правило межсетевого экрана будет задействоваться, когда клиент 121 будет пытаться осуществить доступ к любому из хостов в частной сети 140 по портам 22 или 3389 или посредством любого пакета ICMP. Перед тем как фактическое правило межсетевого экрана предоставит доступ (разрешит), также должно быть выполнено условие, что клиент 121 не осуществляет доступ к частной сети 140 из общедоступной сети (NOT(PublicNetwork)) или (||), что клиенту был предоставлен одноразовый пароль (OTP). Если два условия не выполняются, клиент будет принимать (ДЕЙСТВИЕ) запрос на предоставление OTP.

[0065] На Фиг. 4B, показана запись, включающая в себя правило доступа, которое определяет правило межсетевого экрана, которое разрешает доступ ICMP к диапазону хостов, указанных посредством их адресов IPv4. Условие всегда истина. Вследствие этого, каждый раз, когда задействуется межсетевой экран, клиент 121 будет отображать сообщение «Данное действие тестового опроса регистрируется нашей системой» пользователю.

[0066] На Фиг. 4C, показана запись, включающая в себя правила доступа, которые определяют правила межсетевого экрана для ICMP и TCP для хоста, указанного посредством его доменного имени. Правило межсетевого экрана будет применяться только при условии, что клиент выполняет локальный межсетевой экран (LocalFWActive). Когда это не так, то после задействования правила межсетевого экрана, клиент 121 будет отображать сообщение «Активируйте межсетевой экран, чтобы осуществить доступ к github.local.com» пользователю.

[0067] На Фиг. 4D, показана запись, включающая в себя правила доступа, которые определяют правила межсетевого экрана для блокировки сетевого трафика ICMP и TCP к хосту, указанному посредством его адреса IPv4. Условие всегда ложь и таким образом всегда будет выполняться действие прерывания, т.е. межсетевой экран будет останавливаться и весь сетевой трафик между клиентом и частной сетью 140 будет блокироваться.

[0068] Фиг. 5 показывает примерный процесс, который может быть исполнен компонентами настоящего раскрытия, включая шлюз 100 в соответствии с Фиг. 1. В частности, он может быть исполнен модулем 102 администрирования для выполнения этапа 208 на Фиг. 2, где правила межсетевого экрана извлекаются из списка доступа клиента и применяются соответственно в службе 311 межсетевого экрана. На этапе 501 процесс извлекает первую запись из списка доступа клиента. Запись включает в себя одно или более правила доступа, связанные с опциональным условием и действием. Примеры записей показаны на с Фиг. 4A по Фиг. 4D. Затем, процесс извлекает на этапе 502 первое правило доступа из записи и проверяет на этапе 503, указывается ли хост посредством своего сетевого адреса. Если так, то процесс непосредственно переходит к этапу 508. Если нет, процесс будет принимать решение по сетевым адресам, относящимся к хосту. Если хост указывается посредством его имени хоста или FQDN, тогда поиск по адресам DNS выполняется на этапе 504. Если хост указывается посредством ссылки на службу администрирования инфраструктуры, тогда служба опрашивается на этапе 505 и возвращается один или более адресы. Полученные в результате принятия решения адреса хоста могут быть сохранены в хранилище 507 памяти на этапе 513 так, что они могут быть использованы позже. Если принятие решение в отношении хоста уже было выполнено до этого, процесс будет извлекать сетевой адрес(а) на этапе 506 из хранилища 507 памяти. После того, как было принято решение в отношении хостов, процесс переходит к этапу 508, где одно или более правила межсетевого экрана формируются из адреса, протокола и информации приложения в правиле доступа. Затем, при условии 509, когда присутствует другое правило доступа в записи, процесс возвращается к этапу 502, чтобы обработать следующее правило доступа текущей записи. В противном случае, процесс переходит к этапу 510. Когда запись включает в себя условие и/или действие, они также связываются с набором правил межсетевого экрана, извлеченных из записи на этапе 508. Если присутствует другая запись в списке доступа клиента, процесс возвращается к этапу 501 и обрабатывает следующую запись в списке доступа клиента. В противном случае, процесс переходит к этапу 512 и применяет все извлеченные правила межсетевого экрана к межсетевому экрану.

[0069] Фиг. 6 показывает примерный процесс, который может быть исполнен компонентами настоящего раскрытия, включая шлюз 100 в соответствии с Фиг. 1. В частности, он иллюстрирует этапы, которые выполняются службой 311 межсетевого экрана, когда задействуется правило межсетевого экрана. Во время работы службы 311 межсетевого экрана, сетевые пакеты, проходящие через межсетевой экран, каждый раз инспектируются по отношению к правилам 321 межсетевого экрана. Когда сетевой пакет подпадает под правило межсетевого экрана (т.е., когда источник, получатель и протокол пакета соответствуют тому правилу), говорят, что задействуется правило межсетевого экрана. Процесс Фиг. 6 начинается с этапа 601, когда был задействован межсетевой экран. Впоследствии, проверяется, присутствует ли условие, связанное с правилом межсетевого экрана.

[0070] Если связанное условие отсутствует, процесс непосредственно переходит к этапу 608, где применяется правило межсетевого экрана (т.е. сетевой пакет блокируется или разрешается в соответствии с правилом). Если условие связано с правилом межсетевого экрана, процесс переходит к этапу 603, где извлекаются атрибуты для проверки условия. В зависимости от типа атрибута, атрибуты могут быть извлечены разными способами. Применительно к атрибутам клиента, информация обычно предоставляется самим клиентом (т.е., клиент должен предоставить атрибуты шлюзу). Это может быть выполнено посредством предоставления атрибутов через первое сетевое соединение, созданное на этапе 202 Фиг. 2. Модуль 102 администрирования тогда извлекает атрибуты и предоставляет их соответствующей службе 311 межсетевого экрана вместе с правилами межсетевого экрана. Применительно к атрибутам пользователя, модуль администрирования может извлекать атрибуты из соответствующей службы каталогов, такой как LDAP, RADIUS или Active Directory. Это может, например, быть выполнено после формирования правил межсетевого экрана из списка доступа клиента. Применительно к атрибутам среды, могут быть доступны локальные переменные, такие как дата и время, или информация может быть получена в другом месте. Например, чтобы извлечь информацию о локальности клиента, можно обратиться к службе, которая предоставляет данные географического местоположения по сетевому адресу клиента. Поскольку атрибуты могут меняться во время соединения клиента, модуль администрирования может актуализировать атрибуты на регулярной основе, например, через регулярные интервалы времени или каждый раз, когда задействуется правило межсетевого экрана.

[0071] Когда все атрибуты извлекаются службой 311 межсетевого экрана, процесс переходит к этапу 604, где принимается решение в отношении самого условия (т.е., возвращает ли оно истину или ложь). Если условие выполняется, правило межсетевого экрана применяется на этапе 608. Если условие не выполняется, процесс переходит к этапу 605, где выполняется соответствующее действие. В качестве альтернативы, если отсутствует соответствующее действие, процесс может непосредственно переходить к этапу 607 и не применять правило межсетевого экрана, т.е., отбрасывать сетевой пакет (не показано на фигуре). Если выполненным действием не является действие исправления, процесс непосредственно переходит к этапу 607.

[0072] Если невыполненное условие может быть исправлено, процесс переходит к этапу 606, где он ожидает до тех пор, пока пользователь клиента не исправит ложное условие. Если пользователь не исправляет условие, процесс переходит к этапу 607 и отбрасывает сетевой пакет. Если пользователь исправляет условие, процесс переходит к этапу 608 и применяет межсетевой экран к сетевому пакету. Этап ожидания может быть дополнительно выполнен в течение предварительно определенной продолжительности так, что процесс будет всегда переходит к либо этапу 607, либо 608.

[0073] В одном варианте осуществления, используется одна или более политики, которые приводят к правилам доступа клиента, описанным выше (например, правила доступа клиента генерируются посредством контроллера на основании политики). Например, эти политики могут размещаться в контроллере 170, и используются чтобы определять и/или генерировать правила доступа клиента. Одно или более новые правила доступа могут быть сгенерированы в ответ на изменение или обновление в политике.

[0074] Если одна или более политики (например, которые размещаются в контроллере 170 или в другом вычислительном устройстве) обновляются, правила доступа клиента (и соответствующие правила межсетевого экрана) обновляются в режиме реального времени, при условии, что клиентское устройство имеет активное соединение туннеля со шлюзом 100 (например, правила межсетевого экрана в шлюзе 100 обновляются в режиме реального времени в течение активного соединения по созданному сетевому туннелю).

[0075] В одном варианте осуществления, подписанные токены могут быть использованы в аутентификации, описанной в данном документе. Эти подписанные токены могут быть использованы, чтобы обновлять правила доступа в режиме реального времени в шлюзе. Например, клиентское устройство может отправлять новое правило доступа шлюзу вместе с подписанным токеном. После аутентификации подписанного токена, новое правило доступа используется, чтобы извлекать одно или более новые правила межсетевого экрана.

[0076] В одном варианте осуществления, одно или более правила межсетевого экрана регулярно или периодически обновляются в режиме реального времени каждый раз, когда новый подписанный токен выпускается клиентским устройством и выгружается в шлюз. Эти правила межсетевого экрана определяют или описывают доступ посредством одного или более клиентских устройств, например, доступ как описано выше.

[0077] Разнообразные, не ограничивающие примеры систем и способов, которые относятся к разрешению доступа между клиентским устройством и другими вычислительными устройствами (например, серверами приложений или другими сетевыми устройствами), которые могут быть использованы со способом выше, описываются в Патенте США № 9,148,408, выданном 29 сентября 2015г., (авторы Glazemakers и др.), и озаглавленном «SYSTEMS AND METHODS FOR PROTECTING NETWORK DEVICES», полное содержимое которого включено посредством ссылки, как если бы был полностью изложено в данном документе.

[0078] Патент США № 9,148,408 описывает использование токенов, чтобы определять доступ для клиентов. Дополнительно, Патент США № 9,148,408 описывает способ использования токенов, чтобы конфигурировать службу межсетевого экрана. Эти токены отправляются шлюзу (например, посредством клиентского устройства) при создании соединения туннеля.

[0079] В некоторых вариантах осуществления, обновления доступа или аутентификации реализуются используя подписанные токены (например, как с токеном, описанным в Патенте США № 9,148,408). В соответствии с одним вариантом осуществления, подписанный токен может быть использован, чтобы предоставлять обновления в режиме реального времени. Например, если политика меняется в контроллере 170, клиентское устройство может выгружать новый, подписанный токен в режиме реального времени, который будет вызывать обновление правил межсетевого экрана в шлюзе в режиме реального времени (т.е., в течение активного соединения сетевого туннеля, и после того, как туннель был ранее создан). В противоположность вышеизложенному, в традиционных VPN-стиля подходах, установки межсетевого экрана или доступа принудительно применяются только во время процесса аутентификации клиента, что означает, например, что клиенту требуется выйти из системы и вновь аутентифицироваться, чтобы получить последние обновления политики. В одном варианте осуществления, аутентификация, используя подписанный токен, может быть выполнена как описано для аутентификации токенов в Патенте США № 9,148,408.

[0080] В одном варианте осуществления, в ответ на обновление политики (например, как инициированное или управляемое контроллером) после создания сетевого туннеля, шлюзом принимается подписанный токен, который содержит, по меньшей мере, одно из нового правила доступа или новой информации аутентификации (например, новый мандат для пользователя, ассоциированного с клиентским устройством). Токен аутентифицируется, например, посредством осуществления связи с контроллером. В ответ на аутентификацию токена, по меньшей мере, одно из правил межсетевого экрана обновляется в режиме реального времени, в то время как сетевой туннель активен (т.е., до завершения туннеля). Данное свойство обновления в режиме реального времени позволяет избегать любой необходимости завершения и/или повторного создания туннеля всякий раз, когда может быть изменение или обновление в правиле доступа и/или информации аутентификации. В одном варианте осуществления, токен принимается от клиентского устройства. Политика, например, может регулировать права доступа, и т.д., для клиентского устройства.

[0081] Фиг. 7 показывает подходящую вычислительную систему 700 для реализации шлюза в соответствии с вышеприведенными вариантами осуществления. Вычислительная система 700 может, в целом, быть сформирована в качестве подходящего компьютера общего назначения и включать в себя шину 710, одно или более ядра 702 процессора, локальную память 704, один или более опциональные интерфейсы 714 ввода, один или более опциональные интерфейсы 716 вывода, один или более интерфейсы 712 связи, интерфейс 706 элемента хранения и один или более элементы 708 хранения. Шина 710 может включать в себя один или более проводники, которые допускают связь между компонентами вычислительной системы 700. Ядра 702 процессора могут включать в себя любой тип обычного процессора или микропроцессора, которые интерпретируют и исполняют инструкции программирования. Локальная память 704 может включать в себя память с произвольным доступом (RAM) или другой тип динамического запоминающего устройства, которое хранит информацию и инструкции для исполнения посредством ядер 702 процессора и/или постоянную память (ROM) или другой тип статического запоминающего устройства, которое хранит статическую информацию и инструкции для использования процессором 702. Интерфейс 714 ввода может включать в себя один или более обычные механизмы, которые допускают, чтобы оператор вводил информацию в вычислительное устройство 700, такие как клавиатура 720, мышь 730, перо, механизмы распознавания голоса и/или биометрические механизмы, и т.д. Интерфейс 712 вывода может включать в себя один или более обычные механизмы, которые выводят информацию оператору, такие как дисплей 740. Интерфейс 712 связи может включать в себя любой подобный приемопередатчику механизм, такой как, например, один или более интерфейсы Ethernet, которые позволяют вычислительной системе 700 осуществлять связь с другими устройствами и/или системами 701. Интерфейс 712 связи вычислительной системы 700 может быть соединен с такой другой вычислительной системой посредством локальной сети (LAN) или глобальной сети (WAN), такой как, например, Интернет. Интерфейс 706 элемента хранения может включать в себя интерфейс хранения, такой как, например, интерфейс Последовательной Усовершенствованной Технологии Прикрепления (SATA) или Интерфейс Малых Вычислительных Систем (SCSI) для соединения шины 710 с одним или более элементами 708 хранения, такими как один или более локальные диски, например, накопители на диске SATA, и управления чтением и записью данных на и/или с этих элементов 708 хранения. Несмотря на то, что элементы 708 хранения выше описываются как локальный диск, в целом, любые другие подходящие машиночитаемые носители информации, такие как съемный магнитный диск, оптические запоминающие носители информации, такие как CD или DVD, -ROM диск, твердотельные накопители, карты памяти, … могут быть использованы. Система 700, описанная выше, также может выполняться в качестве виртуальной машины поверх физического аппаратного обеспечения.

[0082] Этапы, выполняемые в соответствии с вышеприведенными процессами, могут быть реализованы в качестве исполняемых компьютером инструкций. Эти инструкции могут затем быть исполнены в ядрах 702 процессора при выполнении процессов. Таким образом, этапы, исполняемые модулем 101 туннеля, модулем 102 администрирования, службами 150, 151 туннеля и службами 111-116 межсетевого экрана могут, например, быть реализованы в качестве инструкций в вычислительной системе 700, тем самым реализуя шлюз 100. Ядра 702 обработки могут соответствовать ядрам 160, 161 обработки шлюза 100. Служба 150, 151 туннеля тогда выполняется в каждом из ядер 702 обработки. Каждое ядро 702 обработки тогда выполняет отельные службы межсетевого экрана, соответственно запущенные одной из служб туннеля. Связь для передачи пакетов данных между клиентскими устройствами 121-126 и шлюзом 100 может быть выполнена через сетевой интерфейс 712. Также, обмен связью для передачи пакетов данных между шлюзом 100 и частной сетью 140 может быть осуществлен через сетевой интерфейс 712. Исполняемые компьютером инструкции могут формировать или быть частью компьютерного программного продукта, который хранится в элементе 708 хранения или любом машиночитаемом запоминающем носителе информации.

[0083] Связь между системами, устройствами, и компонентами, работающими в связи с вариантами осуществления настоящего раскрытия, может быть осуществлена, используя любой подходящий способ связи, такой как, например, телефонная сеть, экстрасеть, интрасеть, Интернет, устройство точки взаимодействия (устройство точки продажи, персональный цифровой помощник (например, iPhone®, Palm Pilot®, Blackberry®), сотовый телефон, киоск, и т.д.), онлайновая связь, спутниковая связь, офлайновая связь, беспроводная связь, ретрансляционная связь, локальная сеть (LAN), глобальная сеть (WAN), виртуальная частная сеть (VPN), объединенные в сеть или связанные устройства, клавиатура, мышь и/или любая подходящая модальность связи или ввода данных. Системы и устройства настоящего раскрытия могут использовать протоколы связи TCP/IP, как, впрочем, и IPX, Appletalk, IP-6, NetBIOS, OSI, любой протокол туннелирования (например, IPsec, SSH), или любое число существующих и будущих протоколов.

[0084] Несмотря на то, что некоторые варианты осуществления могут быть реализованы в полностью функционирующих компьютерах и компьютерных системах, разнообразные варианты осуществления могут распространятся в качестве вычислительного продукта в многообразии форм и могут применяться независимо от конкретного типа машины или машиночитаемых носителей информации, используемых для фактического осуществления распространения.

[0085] Машиночитаемый носитель информации может быть использован, чтобы хранить программное обеспечение и данные, которые, когда исполняются системой обработки данных, предписывают системе выполнять разнообразные способы. Исполняемое программное обеспечение и данные могут быть сохранены в разнообразных местах, включая, например, ROM, энергозависимую RAM, энергонезависимую память и/или кэш. Фрагменты данного программного обеспечения и/или данных могут быть сохранены на любом одном из этих запоминающих устройств. Кроме того, данные и инструкции могут быть получены от централизованных серверов или одноранговых сетей. Разные фрагменты данных и инструкций могут быть объединены от разных централизованных серверов и/или одноранговых сетей в разные времена и в разные сеансы связи или в один и тот же сеанс связи. Данные и инструкции могут быть получены полностью перед исполнением приложений. В качестве альтернативы, фрагменты данных и инструкций могут быть получены динамически, непосредственно в то время, когда необходимо для исполнения. Таким образом, не требуется, чтобы данные и инструкции были на машиночитаемом носителе информации целиком в конкретный момент времени.

[0086] Примеры машиночитаемых носителей информации включают в себя, но не ограничиваются, записываемый и не записываемый тип носителей информации, таких как энергозависимые и энергонезависимые устройства памяти, постоянная память (ROM), память с произвольным доступом (RAM), устройства флэш-памяти, флоппи и другие съемные диски, запоминающие носители информации на магнитном диске, оптические запоминающие носители информации (например, Постоянная Память на Компакт-Диске (CD ROMS), Цифровые Универсальные Диски (DVD), и т.д.), среди прочего. Машиночитаемые носители информации могут хранить инструкции.

[0087] В разнообразных вариантах осуществления, аппаратная схема может быть использована в сочетании с инструкциями программного обеспечения, чтобы реализовывать методики. Таким образом, методики как не ограничиваются любым конкретным сочетанием схемы аппаратного обеспечения и программного обеспечения, так и не любым конкретным источником инструкций, исполняемых системой обработки данных.

[0088] Несмотря на то, что некоторые чертежи иллюстрируют некоторое число операций в конкретной очередности, операции, которые являются независимыми от очередности, могут быть переупорядочены или другие операции могут быть объединены или разбиты. Несмотря на то, что в частности упоминается переупорядочение или другие группирования, прочие будут очевидны специалистам в соответствующей области техники и, таким образом, не представляют исчерпывающего списка альтернатив. Более того, следует понимать, что стадии могут быть реализованы в аппаратном обеспечении, встроенном программном обеспечении, программном обеспечении или любом их сочетании.

[0089] Для краткости, обычное использование сети для передачи данных, разработка приложения и другие функциональные аспекты системы (и компонентов индивидуальных рабочих компонентов систем) могут быть не описаны подробно в данном документе. Кроме того, соединяющие линии, показанные на разнообразных фигурах, которые содержатся в данном документе, предназначены представлять собой примерные функциональные зависимости и/или физические связывания между разнообразными элементами. Следует отметить, что много альтернативных или дополнительных функциональных зависимостей или физических соединений может присутствовать в конкретной системе.

[0090] Разнообразные компоненты системы, обсуждаемые в данном документе, могут включать в себя одно или более из следующего: хост-сервер или другие вычислительные системы, включающие в себя процессор для обработки цифровых данных; память, связанную с процессором для хранения цифровых данных; цифровой преобразователь ввода, связанный с процессором для ввода цифровых данных; прикладную программу, хранящуюся в памяти и доступную процессору для направления обработки цифровых данных процессором; устройство отображения, связанное с процессором и памятью для отображения информации, извлеченной из цифровых данных, обработанных процессором; и множество баз данных. Разнообразные базы данных, используемые в данном документе, могут включать в себя: данные отгрузки, данные упаковки, и/или любые данные, полезные при работе системы.

[0091] Разнообразная функциональность может быть выполнена через web-браузер и/или приложение, взаимодействующее используя web-браузер. Такие приложения браузера могут включать в себя программное обеспечения просмотра Интернет, инсталлированное в вычислительном блоке или системе, чтобы выполнять разнообразные функции. Эти вычислительные блоки или системы могут принимать форму компьютера или набора компьютеров, и может быть использован любой тип вычислительного устройства или систем, включая лэптопы, ноутбуки, планшеты, переносные компьютеры, персональные цифровые помощники, телевизионные абонентские приставки, рабочие станции, компьютерные серверы, компьютеры класса мэйнфрейм, миникомпьютеры, серверы PC, сетевые наборы компьютеров, персональные компьютеры и планшетные компьютеры, такие как iPad, iMac, и MacBook, киоски, терминалы, устройства точки продажи (POS) и/или терминалы, телевизоры, или любое другое устройство, выполненное с возможностью приема данных через сеть. Разнообразные варианты осуществления могут использовать Microsoft Internet Explorer, Mozilla Firefox, Google Chrome, Apple Safari, Opera, и любые другие из мириад пакетов программного обеспечения, доступных для просмотра Интернет.

[0092] Разнообразные варианты осуществления могут работать в связи с любой подходящей операционной системой (например, Windows NT, 95/98/2000/CE/Mobile/, Windows 7/8, OS2, UNIX, Linux, Solaris, MacOS, PalmOS, и т.д.), как, впрочем, разнообразным обычным программным обеспечением поддержки и драйверами, как правило, ассоциированными с компьютерами. Разнообразные варианты осуществления могут включать в себя любой подходящий персональный компьютер, сетевой компьютер, рабочую станцию, персональный цифровой помощник, сотовый телефон, интеллектуальный телефон, миникомпьютер, мэйнфрейм, или подобное. Варианты осуществления могут реализовывать протоколы обеспечения безопасности, такие как Слоя Безопасных Сокетов (SSL), Безопасности Транспортного Слоя (TLS), и Безопасной Оболочки (SSH). Варианты осуществления могут реализовывать любой требуемый протокол слоя приложений, включая http, https, ftp и sftp.

[0093] Разнообразные компоненты системы могут быть независимо, раздельно или вместе подходящим образом связаны с сетью через линии связи для передачи данных, которые включают в себя, например, соединение с Поставщиком Службы Интернет (ISP) через абонентскую линию как типично используется в соединении со стандартным модемным соединением, кабельный модем, спутниковые сети, ISDN, Цифровую Абонентскую Линию (DSL), или разнообразные способы беспроводной связи. Отмечается, что варианты осуществления настоящего раскрытия могут работать в связи с любым подходящим типом сети, таким как сеть интерактивного телевидения (ITV).

[0094] Система может быть частично или полностью реализована, используя облачные вычисления. «Облако» или «облачные вычисления» включает в себя модель для обеспечения удобного, по запросу сетевого доступа к совместно используемому пулу конфигурируемых вычислительных ресурсов (например, сетей, серверов, хранилищ, приложений и служб), которые могут быть быстро предоставлены и реализованы с помощью минимальных усилий администрирования или взаимодействия с поставщиком службы. Облачные вычисления могут включать в себя зависимые от местоположения вычисления, посредством чего совместно используемые серверы предоставляют ресурсы, программное обеспечение, и данные компьютерам и другим устройствам по запросу.

[0095] Разнообразные варианты осуществления могут быть использованы в связи с web-службами, коммунальными вычислениями, повсеместными или индивидуализированными вычислениями, решениями обеспечения безопасности и идентификации, автономными вычислениями, облачными вычислениями, товарными вычислениями, решениями мобильности и беспроводными решениями, с открытым источником, биометрией, вычислениями по типу решетки и/или ячеистыми вычислениями.

[0096] Любые базы данных, которые обсуждаются в данном документе, могут включать в себя реляционную, иерархическую, графическую, и объектно-ориентированную структуру и/или любые другие конфигурации базы данных. Более того, базы данных могут быть организованы любым подходящим образом, например, в качестве таблиц данных или поисковых таблиц. Каждая запись может быть одним файлом, рядом файлов, связанным радом файлов данных или любой другой структурой данных. Ассоциация нескольких данных может осуществляться через любую требуемую методику ассоциации данных, такую как те, что известны и реализуются на практике в соответствующей области техники. Например, ассоциация может быть осуществлена либо вручную, либо автоматически.

[0097] Любые базы данных, системы, устройства, серверы или другие компоненты системы могут располагаться в едином местоположении или нескольких местоположениях, при этом каждая база данных или система включает в себя любой из многообразия подходящих свойств обеспечения безопасности, такие как межсетевые экраны, коды доступа, шифрование, дешифрование, сжатие, распаковка, и/или подобное.

[0098] Шифрование может быть выполнено посредством любых методик, доступных в настоящее время в области техники, или которые могут стать доступными - например, Twofish, RSA, El Gamal, подпись Шнорра, DSA, PGP, PKI, и симметричные и асимметричные криптосистемы.

[0099] Варианты осуществления могут соединяться с Интернет или интрасетью, используя стандартную коммутируемую линию, кабель, DSL или любой другой протокол Интернет, известный в области техники. Транзакции могут проходить через межсетевой экран для того, чтобы предотвращать неавторизованный доступ со стороны пользователей других сетей.

[0100] Компьютеры, которые обсуждаются в данном документе, могут предоставлять подходящий web-сайт или другой основанный на Интернет графически интерфейс пользователя, который доступен пользователям. Например, Информационный Интернет Сервер Microsoft (IIS), Сервер Транзакций Microsoft (MTS), и Сервер SQL Microsoft, могут быть использованы в связи с операционной системой Microsoft, программным обеспечением web-сервера Microsoft NT, системой базы данных Сервера SQL Microsoft, и Коммерческим Сервером Microsoft. Дополнительно, компоненты, такие как Access или Сервера SQL Microsoft, Oracle, Sybase, Informix MySQL, Interbase и т.д., могут быть использованы, чтобы обеспечивать систему администрирования базы данных, совместимую с Объектами Данных Active (ADO). В другом примере, web-сервер Apache может быть использован в связи с операционной системой Linux, базой данных MySQL, и языками программирования Perl, PHP, и/или Python.

[0101] Любое из связи, вводов, хранилища, баз данных или отображений, которые обсуждались в данном документе, могут быть обеспечены через web-сайт с web-страницами. Понятие «web-страница», используемое в данном документе, не предназначено для того, чтобы ограничивать тип документов и приложения, которые могут быть использованы, чтобы взаимодействовать с пользователем. Например, типичный web-сайт может включать в себя, в дополнение к стандартным документам HTML, разнообразные формы, апплеты JAVA, JavaScript, активные серверные страницы (ASP), сценарии общего шлюзового интерфейса (CSI), расширяемого языка разметки (XML), динамического HTML, каскадных таблиц стилей (CSS), AJAX (Асинхронный Javascript И XML), вспомогательные приложения, подключаемые программы, и подобное. Сервер может включать в себя web-службу, которая принимает запрос от web-сервера, причем запрос, включающий в себя URL и IP-адрес. Web-сервер извлекает соответствующие web-страницы и отправляет данные или приложения для web-страниц на IP-адрес. Web-службы являются приложениями, которые выполнены с возможностью взаимодействия с другими приложениями через средство связи, такое как Интернет.

[0102] Разнообразные варианты осуществления могут использовать любое требуемое число способов для отображения данных в основанном на браузере документе. Например, данные могут быть представлены в качестве стандартного текста или в фиксированном списке, прокручиваемом списке, выпадающем списке, редактируемом текстовом поле, фиксированном текстовом поле, всплывающем окне, и подобном. Подобным образом, варианты осуществления могут использовать любое требуемое число способов для модифицирования данных на web-странице такие как, например, свободный ввод текста используя клавиатуру, выбор пунктов меню, кнопки с независимой фиксацией, кнопки с зависимой фиксацией, и подобное.

[0103] Примерные системы и способы, иллюстрируемые в данном документе могут быть описаны исходя из компонентов функционального блока, снимков экрана, опциональных выборов и разнообразных этапов обработки. Следует иметь в виду, что такие функциональные блоки могут быть реализованы посредством любого числа компонентов аппаратного обеспечения и/или программного обеспечения, сконфигурированных для выполнения указанных функций. Например, система может использовать разнообразные компоненты интегральной микросхемы, например, элементы памяти, элементы обработки, логические элементы, поисковые таблицы, и подобное, которые могут выполнять разнообразные функции под управлением одного или более микропроцессоров, или других устройств управления. Сходным образом, элементы программного обеспечения системы могут быть реализованы с помощью любого языка программирования или написания сценариев, таких как C, C++, C#, Java, JavaScript, VBScript, Macromedia Cold Fusion, COBOL, Активные Серверные Страницы Microsoft, assembly, PERL, PHP, AWK, Python, Visual Basic, Хранящиеся Процедуры SQL, PL/SQL, любой сценарий оболочки UNIX, и расширяемый язык разметки (XML) с разнообразными алгоритмами, реализованными с помощью любого сочетания структур данных, объектов, процессов, подпрограмм или других элементов программирования. Кроме того, следует отметить, что система может использовать любое число удобных методик для передачи данных, сигнализации, обработки данных, управления сетью, и подобного. Кроме того, система может быть использована, чтобы обнаруживать или предотвращать вопросы обеспечения безопасности с языком написания сценариев стороны клиента, таким как JavaScript, VBScript или подобное.

[0104] Системы и способы настоящего раскрытия могут быть воплощены в качестве адаптации существующей системы, дополнительного продукта, устройства обработки, исполняющего обновленное программное обеспечение, стационарной системы, распределенной системы, способа, системы обработки данных, устройства для обработки данных, и/или компьютерного программного продукта. Соответственно, любая часть системы или модуля могут принимать форму устройства обработки, исполняющего код, основанного на интернет варианта осуществления, варианта осуществления полностью в аппаратном обеспечении, и варианта осуществления, объединяющего аспекты Интернета, программного обеспечения и аппаратного обеспечения. Кроме того, система может принимать форму компьютерного программного продукта на машиночитаемом запоминающем носителе информации со средством машиночитаемого кода программы, воплощенным на запоминающем носителе информации. Может быть использован любой подходящий запоминающий носитель информации, включающий в себя жесткие диски, CD-ROM, оптические запоминающие устройства, магнитные запоминающие устройства, и/или подобное.

[0105] Система и способ описываются в данном документе со ссылкой на снимки экрана, структурные схемы и иллюстрации блок-схемы способов, устройств (например, систем), и компьютерных программных продуктов в соответствии с разнообразными вариантами осуществления. Будет понятно, что каждый функциональный блок структурных схем и иллюстраций блок-схемы, и сочетания функциональных блоков в структурных схемах и иллюстрациях блок-схемы, соответственно, могут быть реализованы посредством инструкций компьютерной программы.

[0106] Эти инструкции компьютерной программы могут быть загружены в компьютер общего назначения, компьютер особого назначения, или другое программируемое устройство обработки данных, чтобы создавать машину, так, что инструкции, которые исполняются на компьютере или другом программируемом устройстве обработки данных, формируют средство для реализации функций, указанных в блоке или блоках блок-схемы. Эти инструкции компьютерной программы могут также быть сохранены в машиночитаемой памяти, которая может предписывать компьютеру или другому программируемому устройству обработки данных функционировать конкретным образом, так что инструкции, хранящиеся в машиночитаемой памяти создают изделие, включающее в себя средство инструкции, которое реализует функцию, указанную в блоке или блоках блок-схемы. Инструкции компьютерной программы также могут быть загружены в компьютер или другое программируемое устройство обработки данных, чтобы предписывать выполнение ряда рабочих этапов на компьютере или другом программируемом устройстве, чтобы создавать реализуемый процессором процесс так, что инструкции, которые исполняются на компьютере или другом программируемом устройстве, обеспечивают этапы для реализации функций, указанных в блоке или блоках блок-схемы.

[0107] Соответственно, функциональные блоки структурных схем и иллюстраций блок-схемы поддерживают сочетания средств для выполнения указанных функций, сочетаний этапов для выполнения указанных функций, и средства инструкции программы для выполнения указанных функций. Также будет понятно, что каждый функциональный блок структурных схем или иллюстраций блок-схемы, и сочетания функциональных блоков в структурных схемах и иллюстрациях блок-схемы, могут быть реализованы посредством их особого назначения основанных на аппаратном обеспечении компьютерных систем, которые выполняют указанные функции или этапы, или подходящих сочетаний аппаратного обеспечения особого назначения и компьютерных инструкций. Кроме того, иллюстрации потоков процесса и их описания могут ссылаться на окна пользователя, web-страницы, web-сайты, web-формы, приглашения, и т.д. Специалистам-практикам следует иметь в виду, что иллюстрируемые этапы, описываемые в данном документе, могут быть включены в любое число конфигураций, включающих использование окон, web-страниц, web-форм, всплывающих окон, приглашений и подобного. Дополнительно следует иметь в виду, что несколько этапов, как иллюстрируется и описывается, могут быть объединены в единых web-страницах и/или окнах, но были расширены для простоты. В других случаях, этапы, проиллюстрированные и описанные в качестве единых этапов процесса, могут быть разделены на несколько web-страниц и/или окон, но были объединены для простоты.

[0108] Понятие «долговременный» следует понимать, чтобы исключать только распространяющиеся временные сигналы как таковые из объема формулы изобретения и не отказывает в правах всем стандартным машиночитаемым носителям информации, которые только не являются распространяющимися временными сигналами как таковыми. Сформулировав иначе, значение понятия «долговременный машиночитаемый носитель информации» должно толковаться, чтобы исключать только те типы временных машиночитаемых носителей информации, которые можно найти В Деле Nuijten, как выпадающие за объем патентоспособного предмета изобретения по 101 Части 35 Свода Законов США.

[0109] Выгоды, прочие преимущества, и решения проблем были описаны в данном документе касательно особых вариантов осуществления. Тем не менее, выгоды, преимущества, решения проблем, и любые элементы, которые могут приводить к тому, что любая выгода, преимущество, или решение возникает или становится более выраженным, не должны толковаться как критические, требуемые, или присущие признаки или элементы раскрытия.

[0110] Несмотря на то, что раскрытие включает в себя способ, предполагается, что оно может быть воплощено в качестве инструкций компьютерной программы на вещественном машиночитаемом носителе, таком как магнитная или оптическая память или магнитный или оптический диск. Все структурные, химические, и функциональные эквиваленты элементов описанных выше примерных вариантов осуществления, которые известны специалистам в соответствующей области техники, в явной форме включены в данный документ посредством ссылки и подразумеваются как охватываемые настоящей формулой изобретения. Более того, для устройства или способа является необязательным решать каждую и любую проблему, которую пытается решать настоящее раскрытие, для того чтобы оно было охвачено настоящей формулой изобретения. Кроме того, ни один элемент, компонент, или этап способа в настоящем раскрытии не подразумевается, как переданный в общественное пользование невзирая на то, перечислен ли в явной форме элемент, компонент, или этап способа в формуле изобретения. Ни один пункт формулы изобретения в данном документе не должен толковаться в соответствии с положениями Части 35 Свода Законов США 112, шестой абзац, при условии, что элемент в явной форме не изложен с помощью фразы «средство для». Используемые в данном документе понятия «включает в себя», «включающий в себя», или любая другая их вариация, подразумеваются как охватывающие неисключительное включение, так что процесс, способ, изделие, или устройство, которое включает в себя список элементов не включают в себя только те элементы, а могут включать в себя другие элементы, которые не перечислены в явной форме или не свойственны такому процессу, способу, изделию, или устройству.

[0111] Там, где используется фраза сходная с «по меньшей мере, одно из A, B, или C», «по меньшей мере, одно из A, B, и C», «одно или более из A, B, или C», или «одно или более из A, B, и C», предполагается, что фраза должна интерпретироваться, чтобы означать, что в варианте осуществления может присутствовать только A, в варианте осуществления может присутствовать только B, в варианте осуществления может присутствовать только C, или что в одном варианте осуществления может присутствовать любое сочетание элементов A, B и C; например, A и B, A и C, B и C, или A и B и C.

[0112] Изменения и модификации могут быть выполнены в отношении раскрытых вариантов осуществления, не отступая от объема настоящего раскрытия. Подразумевается, что эти и прочие изменения или модификации должны быть включены в объем настоящего раскрытия, как выражено в нижеследующей формуле изобретения.

1. Компьютерно-реализуемый способ для сетевой защиты, содержащий этапы, на которых:

после запроса от клиентского устройства создают посредством компьютерной системы, реализующей шлюз к частной сети, сетевой туннель между клиентским устройством и шлюзом, причем шлюз реализует межсетевой экран, включающий в себя правила межсетевого экрана для выборочной блокировки и разрешения сетевого трафика между клиентским устройством и одним или более сетевыми устройствами в частной сети, при этом

упомянутое создание сетевого туннеля содержит этап, на котором принимают посредством компьютерной системы список доступа клиента от клиентского устройства и верифицируют, не был ли список доступа клиента изменен клиентским устройством,

список доступа клиента запрошен клиентским устройством у сервера аутентификации, и

список доступа клиента подписан сервером аутентификации так, что изменение списка доступа клиента может быть верифицировано вычислительной системой;

после инициирования правила межсетевого экрана по запросу доступа к частной сети со стороны клиентского устройства и до применения этого правила межсетевого экрана проверяют посредством компьютерной системы, удовлетворяется ли соответствующее условие; и

в ответ на определение того, что данное условие не удовлетворяется, отправляют посредством компьютерной системы в клиентское устройство первое действие, которое должно быть выполнено клиентским устройством.

2. Способ по п.1, дополнительно содержащий этап, на котором применяют упомянутое правило межсетевого экрана, если упомянутое условие удовлетворяется.

3. Способ по п.1, в котором первое действие относится к запросу аутентификации со стороны пользователя клиентского устройства для доступа к сетевому устройству, которое является доступным по упомянутому правилу межсетевого экрана, при этом способ дополнительно содержит этапы, на которых:

принимают посредством компьютерной системы указание того, что пользователь был достоверно аутентифицирован;

обновляют посредством компьютерной системы упомянутое условие как удовлетворенное; и

применяют посредством компьютерной системы упомянутое правило межсетевого экрана.

4. Способ по п.3, в котором запрос аутентификации содержит запрос пароля или запрос одноразового пароля.

5. Способ по п.1, в котором первое действие относится к:

после определения того, что упомянутое условие не удовлетворяется, отображению информации касаемо данного условия; или

запросу у пользователя клиентского устройства предоставления информации касаемо причины осуществления доступа к частной сети в соответствии с упомянутым правилом межсетевого экрана.

6. Способ по п.1, в котором список доступа клиента содержит:

одно или более правил доступа, позволяющие шлюзу извлекать правила межсетевого экрана, содержащие упомянутое правило межсетевого экрана;

одно или более условий, при этом каждое условие относится к одному или более из извлеченных правил межсетевого экрана, причем эти одно или более условий содержат упомянутое соответствующее условие для упомянутого правила межсетевого экрана; и

одно или более действий, содержащие первое действие, при этом каждое действие относится к соответственному условию и должно выполняться, когда это соответственное условие не удовлетворяется.

7. Способ по п.6, в котором правило доступа из одного или более правил доступа содержит первый идентификатор, указывающий один или более хостов в частной сети, причем первый идентификатор является именем хоста или полностью определенным доменным именем, при этом способ дополнительно содержит этапы, на которых:

осуществляют посредством вычислительной системы поиск соответствующего сетевого адреса или адресов имени хоста или полностью определенного доменного имени; и

создают посредством вычислительной системы правило межсетевого экрана с клиентским устройством в качестве адреса источника и упомянутым соответствующим сетевым адресом в качестве адреса получателя.

8. Способ по п.7, в котором первый идентификатор содержит идентификатор для службы администрирования инфраструктуры, предоставляющей доступ к одному или более сетевым устройствам в частной сети, и атрибут, указывающий выбор этих одного или более сетевых устройств; при этом способ дополнительно содержит этапы, на которых:

извлекают из службы администрирования инфраструктуры подборку хостов, характеризуемых упомянутым атрибутом; и

создают соответственные правила межсетевого экрана с клиентским устройством в качестве адреса источника и соответственными хостами из данной подборки в качестве адреса получателя.

9. Способ по п.6, в котором условие из упомянутых одного или более условий содержит условие по одному или более из:

одного или более атрибутов, получаемых от клиентского устройства;

одного или более атрибутов, которые относятся к пользователю клиентского устройства; и

одного или более атрибутов, которые относятся к среде клиентского устройства.

10. Способ по п.9, в котором один или более атрибутов, получаемые от клиентского устройства, содержат одно из:

информации по операционной системе клиентского устройства;

информации по межсетевому экрану на клиентском устройстве;

информации по механизму защиты от вирусов на клиентском устройстве; и

сетевых установок и адресов клиентского устройства.

11. Способ по п.9, в котором один или более атрибутов, которые относятся к пользователю клиентского устройства, содержат одно из:

группы безопасности, к которой принадлежит этот пользователь; и

имени пользователя данного пользователя.

12. Способ по п.9, в котором один или более атрибутов, которые относятся к среде клиентского устройства, содержат одно из:

времени суток;

географического местоположения; и

локального сетевого адреса клиентского устройства.

13. Способ по п.1, в котором упомянутое создание сетевого туннеля дополнительно содержит этап, на котором запускают отдельную службу межсетевого экрана с правилами межсетевого экрана в компьютерной системе.

14. Способ по п.1, в котором упомянутое условие является по умолчанию неудовлетворенным, при этом способ дополнительно содержит этап, на котором после инициирования упомянутого правила межсетевого экрана сбрасывают посредством компьютерной системы межсетевой экран посредством блокировки всего доступа от сетевого устройства к частной сети.

15. Способ по п.1, дополнительно содержащий этапы, на которых:

в ответ на обновление политики после создания сетевого туннеля принимают от клиентского устройства подписанный токен; и

в ответ на прием подписанного токена обновляют по меньшей мере одно из правил межсетевого экрана.

16. Способ по п.15, в котором список доступа клиента содержит одно или более правил доступа, позволяющих шлюзу извлекать правила межсетевого экрана.

17. Способ по п.16, дополнительно содержащий этапы, на которых:

принимают новое правило доступа от клиентского устройства; и

аутентифицируют подписанный токен;

при этом упомянутое по меньшей мере одно правило межсетевого экрана извлекается в режиме реального времени из данного нового правила доступа после аутентификации подписанного токена.

18. Способ по п.1, дополнительно содержащий этапы, на которых:

в ответ на обновление политики после создания сетевого туннеля принимают токен, содержащий по меньшей мере одно из нового правила доступа и новой информации аутентификации;

аутентифицируют токен через осуществление связи с контроллером; и

в ответ на аутентификацию токена обновляют по меньшей мере одно из правил межсетевого экрана в режиме реального времени, в то время как сетевой туннель активен.

19. Способ по п.18, в котором контроллер генерирует обновление для политики, и токен принимается от клиентского устройства.

20. Долговременный машиночитаемый носитель информации, хранящий инструкции, приспособленные предписывать вычислительной системе:

после запроса от клиентского устройства создавать сетевой туннель между клиентским устройством и шлюзом, причем шлюз реализует межсетевой экран, включающий в себя правила межсетевого экрана для выборочной блокировки и разрешения сетевого трафика между клиентским устройством и по меньшей мере одним сетевым устройством в частной сети, при этом

упомянутое создание сетевого туннеля содержит прием вычислительной системой списка доступа клиента от клиентского устройства и верификацию того, не был ли список доступа клиента изменен клиентским устройством,

список доступа клиента запрошен клиентским устройством у сервера аутентификации, и

список доступа клиента подписан сервером аутентификации так, что изменение списка доступа клиента может быть верифицировано вычислительной системой;

в ответ на инициирование правила межсетевого экрана по запросу доступа к частной сети со стороны клиентского устройства и до применения правила межсетевого экрана проверять, удовлетворяется ли соответствующее условие; и

в ответ на определение того, что данное условие не удовлетворяется, отправлять в клиентское устройство действие, которое должно быть выполнено клиентским устройством.

21. Система для сетевой защиты, содержащая:

по меньшей мере один аппаратный процессор; и

память, хранящую инструкции, запрограммированные предписывать по меньшей мере одному аппаратному процессору:

после запроса от клиентского устройства создавать сетевой туннель между клиентским устройством и шлюзом, причем шлюз реализует межсетевой экран, включающий в себя правила межсетевого экрана для выборочной блокировки и разрешения сетевого трафика между клиентским устройством и одним или более сетевыми устройствами в частной сети, при этом

упомянутое создание сетевого туннеля содержит прием списка доступа клиента от клиентского устройства и верификацию того, не был ли список доступа клиента изменен клиентским устройством,

список доступа клиента запрошен клиентским устройством у сервера аутентификации, и

список доступа клиента подписан сервером аутентификации так, что изменение списка доступа клиента может быть верифицировано вычислительной системой;

после инициирования правила межсетевого экрана по запросу доступа к частной сети со стороны клиентского устройства и до применения правила межсетевого экрана проверять, удовлетворяется ли соответствующее условие; и

в ответ на определение того, что данное условие не удовлетворяется, отправлять в клиентское устройство действие, которое должно быть выполнено клиентским устройством.