通信从一个网络流到另一个网络，每一个网络的通信网关通常是防火 墙或路由器。防火墙包括筛选掉不需要的消息的路由器和过滤器。存在不 同类型的网络。例如，在一个企业内可能存在用于本地通信的内部网。假 定内部网的所有用户都是可信赖的，因为他们都为同一个企业工作。因此， 在内部网内通常存在相对较少的安全隐患。但是，内部网的用户经常希望 与位于该内部网以外的另一网络上的另一实体进行通信。由于该另一实体 可能不为该企业工作，且该另一网络不在该企业的控制之下，因此该另一 实体和网络不能被完全信赖。因此，在通向该内部网的网关处可能安装有 防火墙。防火墙负责对进入的通信执行安全策略。该安全策略可以定义该 内部网允许与其进行通信的那些类型的网络及对于这些通信所允许的协 议。
例如，防火墙可能只允许与该企业的“不设防区域(Demilitarized Zone)”或者“DMZ”(如果存在的话)的通信。企业DMZ包括由该 企业提供和管理的服务器和其它相关设备，但不包含敏感数据或敏感数据 的唯一副本。因此，如果企业DMZ中的服务器被来自另一网络的通信所 破坏，则该损坏是可修复的。而且，对企业DMZ中的服务器和相关设备 的管理允许该企业在企业DMZ中具有安全度量。企业DMZ可被授权与 不可信赖的网络直接进行通信或通过另一企业的另一DMZ进行通信。将 带有其防火墙的内部网直接连接到一个或多个不可信赖的网络，并且依靠 该内部网的防火墙提供安全也是可能的。其它较不安全的类型的网络不具 有防火墙。而是，它们通过路由器直接连接到其它网络。
最通用的协议为TCP、UDP和ICMP。这些协议中的每一种都包括附 加的标准，诸如TCP和UDP为某些类型的请求所使用的端口范围、及 ICMP的类型和代码。TCP和UDP端口指示接收方设备中的哪一应用应 该提供所请求的服务。在某些情况下还可期望限制用于某些类型的通信的 端口范围。对端口范围的限制有利于对所请求的服务进行处理。例如，许 多程序都被编写为打开任何可用的TCP或UDP端口。这使得对使用这样 一个端口的应用的识别很困难。在某些这样的情况下，可能的是，限制这 些应用可用的端口范围，以帮助识别哪一个应用正在使用该端口。对于某 些网络来说，更偏好于不与使用不同TCP或UDP端口范围的另一网络进 行通信。此外，某些网络可能不希望接受某些类型的ICMP消息。例如， 由于发送“路由重定向”消息的设备可能是不可信赖的，所以某些目的网 络可能不希望处理该“路由重定向”消息。此外，某些协议比其他协议是 更可控制的。例如，TCP为每一次通信都提供“握手”，而UDP却不提 供。因此，TCP比UDP是更可控制的，因此，对于某些网络来说，可能 更偏好于不接受UDP通信。
已有不同的技术用于确定两个通过防火墙或路由器连接的网络是否被 授权相互通信，及哪些包括附加标准的协议被授权用于该通信。例如，如 果外部网络的系统管理员希望通过其防火墙或到一个企业的路由器与该企 业的防火墙进行通信，则该外部网络的系统管理员可仅向该企业的系统管 理员发送其配置信息即可。该配置信息可包括外部网络的类型和它所支持 的包括用于每一协议的附加标准的协议。然后，该企业的系统管理员人工 检查该配置信息，并确定该外部网络是否应被允许通过该企业的防火墙与 该企业进行通信，如果应被允许，则确定要使用的IP协议。如果系统管理 员根据该企业的策略认为所请求的流是可接受的，则该系统管理员更新该 企业的防火墙中的文件，以允许其以包括附加标准的指定IP协议与该外部 网络进行通信。同样，该外部网络的系统管理员将更新其防火墙或路由器 中的文件，以允许其以包括附加标准的指定IP协议从该企业网络接收通 信。
通常每年一次，有时根据公司策略更经常地，必须对所有过滤规则进 行验证以确保它们仍然符合该公司策略。传统上，这由系统管理员人工完 成，或者由日日操作的防火墙之外的人(诸如安全管理员)来完成。系统 管理员或安全管理员检查每一防火墙规则以确认每一IP地址的网络类型， 并确保该防火墙内配置的流根据该公司策略是可接受的。尽管这种技术是 有效的，但它需要对每个期望与其通信的网络的配置信息的繁琐的人工检 查，并且可能存在许多这样的网络。此外，它集中于检查指定通信的允许 性，而不是确定所有潜在被允许的通信。并且，网络的路由器和防火墙经 常被更改，这可能会需要重复进行系统管理员或安全管理员之间的上述交 互。
存在另一种技术用于确定两个通过防火墙或路由器连接的网络是否被 授权相互通信，及哪些协议(包括附加标准)被授权用于该通信。根据该 技术，包发生器位于在被检查与其它网络的兼容性的发端网络的防火墙或 路由器内部。包发生器将一组通信包发送到该网络上，但优选地发送到一 个未被占用的IP地址。每一组通信包具有带有不同附加标准的不同IP协 议，但是发端网络所支持的哪些协议。“嗅探器”仅位于发端网络的防火 墙或路由器的外部，并将允许通过该发端网络的防火墙或路由器的所生成 的包记入日志。根据由“嗅探器”记录的原始包的存在与否，可生成关于 该防火墙或路由器允许通过什么样的业务流的报告。然后，可将该报告与 公司的安全标准进行比较。尽管该技术是部分自动的，但它向网络施加了 处理许多通信包的负担。此外，它未将目的网络的类型作为在确定发端网 络是否将允许通信中的标准；一旦报告被人工生成，这仍然留作为人工任 务。另一问题在于公司安全标准经常更改。
Wack Jet等人2002年1月在美国MD盖瑟斯堡的美国国家标准与技 术研究院的XP002293462：防火墙和防火墙策略指南中公开了观点D1， D1公开了关于防火墙和防火墙策略的介绍性信息。D1讨论了防火墙和防 火墙环境的设计、选择、部署和管理。防火墙使用规则设置来确定一个包 是否是被授权访问的拒绝访问。规则设置由管理员人工建立。
WO 02/073921A受限的长距离导航网络管理公开了一种用于在计算 机网络中提供代理服务的方法，包括步骤：接收访问设备的请求，确定到 该设备的路径，确定给定路径的防火墙规则，并将客户端重定向到适当代 理。
US-B-6 212 5581公开了一种用于配置多个网络安全设备的方法。其包 括向多个网络服务器提供网络目录服务，该多个网络服务器中的每一个连 接到该多个网络安全设备中的一个。为该多个网络安全设备实现有关网络 目录服务的安全策略，以响应该安全策略，提供该多个网络安全设备的配 置信息。

因此，本发明的一般目的在于提供一种确定哪些类型的网络可相互通 信且对于这样的通信可使用哪些IP协议的技术。
本发明更具体的目的在于提供一种至少是部分自动的前述类型的技 术。
从第一方面来看，本发明提供一种用于确定多个网络是否被授权相互 通信及对于所述网络中两个网络的每一组合之间的通信可使用什么IP协 议的方法，所述方法包括步骤：生成数据结构(68)，该数据结构表示该 多个网络中的每一网络的安全策略、网络的类型、允许通过每一网络的防 火墙或路由器的IP协议、及每一网络的相应防火墙或路由器所允许的目的 地址和源地址；对于每一网络，在计算机可读数据库中存储(a)允许用于 所述每一网络的IP协议和(b)允许与所述每一网络进行通信的其他网络 的类型的记录，根据上述生成步骤，从所生成的数据结构中自动识别(142) 所述网络的多个组合，每一所述组合包括源网络和目的网络；对于每一所 述组合，根据所述记录自动确定所述每一组合中的每一所述网络是否被允 许(144)与所述每一组合中的另一网络进行通信及所述每一组合中的两个 所述网络所共同的IP协议，并将允许存储(71)在授权表中。
根据本发明的一个特征，IP协议及目的和源网络的记录包括IP协议 及目的地址和源地址的记录。每一网络的类型的记录包括将目的地址与各 个网络类型相关联且将源地址与各个网络类型相关联的表。

图1是本发明可用于其中的、包括执行根据本发明的安全检查程序的 网络管理器的多个互连网络的方框图；
图2是示出图1的安全检查程序的初始化部分的操作的流程图；
图3(a)和图3(b)形成示出图1的安全检查程序的另一安全检查 部分的操作的流程图。

现在详细参照附图，其中相同的参考标号表示相同的组件，图1示出 通过连通性网络20互连的四个网络11-14。除了下面描述的安全检查程序 70和相关表71之外，图1的所有部分都是先有技术。网络11和12共享 位于网络11和12及连通性网络20之间的防火墙21。网络13具有位于网 络13和连通性网络20之间的路由器23。网络14具有位于网络14和连通 性网络20之间的防火墙24。防火墙21、防火墙24和路由器23都是先有 技术中公知的。作为例子，网络11是企业内部网，网络12是网络11的 DMZ，网络13是从网络11的观点看的一个不可信赖的网络，网络14是 从网络11的观点看的一个不可信赖的网络。作为例子，网络14是万维网， 而网络13是第三方客户网络。但是，本发明可使用各种网络。同样作为例 子，连通性网络包括LAN、WAN或VPN。但是，连通性网络20的特性 与本发明是无关的。网络11包括服务器32和用户工作站30、31及执行安 全检查程序70的网络管理器工作站34。网络12包括服务器42和用于“帮 助桌面”的用户工作站40、41。网络13包括用户工作站50、51和服务器 52。网络14包括用户工作站60、61和服务器62。但是，除了在网络11 内提供执行安全检查程序并到这些网络所支持的IP协议的程度的网络管 理站之外，每一网络内的工作站的布置与本发明是无关的。
安全检查程序70在内部网11内防火墙21后面的网络管理器工作站 34处执行。网络管理器34与DMZ网络12通过防火墙21进行通信，并与 网络13和14通过DMZ网络12和连通性网络20进行通信。DMZ网络 12与网络13通过防火墙21、连通性网络20和路由器23进行通信。DMZ 网络12与网络14通过防火墙21、连通性网络20和防火墙24进行通信。
图2是示出安全检查程序70内的初始化功能68的流程图。初始化功 能的目的是构建数据结构，该数据结构表示每一网络11-14的安全策略、 每一网络11-14的类型和允许通过每一网络的防火墙或路由器的IP协议。 每一网络的“安全策略”是该网络可与之通信的其它网络的类型和可使用 的IP协议的定义。然后，参照图3(a)和3(b)，下面描述的安全程序 70的剩余部分100使用该数据结构确定哪些网络被授权相互通信且对于这 些通信应使用哪些IP协议(包括附加标准)。即使在所示出的流程图及 其详细描 述中可能仅描述了“网络”，下面对安全检查程序70的详细描述同样应用 于所有的“网络对象”，即网络、子网或每一网络的主类型。
初始化功能68操作如下。首先，功能68寻找安全策略(步骤72)。 该策略可能已存储在由系统管理员生成的文件中或者可能由系统管理员在 初始化功能执行之前人工输入。通常，系统管理员负责正由初始化功能检 查的所有网络(诸如网络11-14)之间的通信并具有对这些网络的IP配置 的一些认知。安全策略文件为每一网络根据所述每一网络的所记录的公司 安全策略定义允许与所述每一网络进行通信的其它网络的类型(诸如“内 部网”、“DMZ”、“客户”、“互联网”)以及在每一网络类型之间所 允许的业务流/协议类型。系统管理员还需要网络11-14的路由器或防火墙 的文本配置信息。这些每一路由器或防火墙的文本配置信息包括源IP地 址、目的IP地址、IP协议、和该路由器或防火墙所允许的端口及类型。 “源IP地址”是可通过该路由器或防火墙发送包的那些网络的IP地址， 而“目的IP地址”是可接收通过该路由器或防火墙所发送的包的那些网络 的IP地址。存储在每一路由器或防火墙的文本配置文件中的“IP协议” 是源IP地址和目的IP地址之间的每一通信所支持的IP协议。在运行初始 化功能之前，系统管理员使用路由器或防火墙的缺省通信方法(可选地， 协议)用于获得该路由器或防火墙的文本配置文件。
如果安全策略已知(判定74)，则将其加载到功能68中(步骤76)。 如果未知，则功能68创建缺省的安全策略，其不允许与任何其他网络的通 信(步骤78)。然后，系统管理员将具有为探查中的网络加载安全策略文 件还是为使用而创建一个安全策略文件的选项(步骤79)。接着，功能68 提示系统管理员为路由器或防火墙输入或加载上述的防火墙或路由器配置 信息(步骤80)。(步骤80-250对于每一防火墙或路由器进行重复)。 然后，该防火墙或路由器配置被加载到功能68中(步骤82)。接着，功 能68创建表示前述安全策略和IP配置的数据结构(步骤84)。接着，功 能68判定是否存在标识已知网络对象的网络类型的文件(判定86)。这 样的文件将网络11-14的IP地址映射到在安全策略文件中定义的网络类 型。在所示出的例子中，可能的类型是源和/或目的“内部网”、源和/或目 的“DMZ”及源和/或目的“不可信赖网络”。如果先前存储了网络类型， 则功能68加载该定义(步骤88)。如果没有，则系统管理员将需要实时 输入该信息(步骤90)。接着，将在图2的步骤中收集的前述信息(即每 一网络对象的IP地址，其中“网络对象”是如其映射到安全策略的网络、 子网络或每一网络的主类型)存储在网络对象数据结构中(步骤92)。
图3(a)和(b)形成示出在根据本发明的安全检查程序70内的安全 检查功能100的流程图。安全检查功能100也由系统管理员在网络管理员 工作站34上运行。安全检查功能100在初始化功能68运行之后运行。安 全检查功能100的目的是将每一网络对象的定义与每一其他可能通信方的 每一其他网络对象的定义进行比较，以确定该通信是否被授权，及如果被 授权则所授权的协议是什么。这些授权记录在授权表71中。
安全检查功能100开始于识别每一可能的“源”网络对象(即发送到 “目的”网络的通信的每一可能源)(步骤102)。然后，安全检查功能 100确定该源网络对象是否具有如上面在图2中所述的已定义的网络类型 (判定104)。如果不具有，则在网络对象数据结构中将该源网络对象列 为“未知”(步骤106)。再此提及判定104，如果该源网络对象已被定义， 则该定义由安全检查功能100使用(步骤108)。然后，功能100识别每 一可能的“目的”网络对象(即来自于源网络的通信的每一可能的目的) (步骤120)。然后，安全检查功能100确定该目的网络对象是否具有如 上面在图2中所述的已定义的网络类型(判定124)。如果不具有，则在 网络对象数据结构中将该目的网络对象列为“未知”(步骤126)。如果 具有，则该定义由安全检查功能100使用(步骤128)。
对于源网络对象和目的网络对象的每一可能的组合，安全检查功能 100根据由功能68所创建的网络定义进行以下操作。安全检查功能100判 定源网络对象类型和目的网络对象类型是否被定义为如上面图2中所述的 那样(判定142)。如果源网络或目的网络都不具有有效的已定义的类型， 则将这作为错误记录在表71中(步骤143)。该表对于源网络和各个目的 网络的每一组合具有一组记录。再次提及判定142，如果在该定义中的两 个网络均已被定义，则安全检查功能100判定该组合的每一网络是否允许 与该组合的另一网络的任何通信，即这两种类型的网络是否兼容(步骤 144)。如果不兼容，则在该表中记录错误(步骤145)，且安全检查功 能循环返回到步骤120。如果兼容，则安全检查功能100检查TCP是否被 定义为每一组合中的源网络和各个目的网络中的每一个所支持的IP协议 (判定147)。如果防火墙不具有为该源/目的网络组合所定义的任何TCP 流，则功能100转到判定180。如果定义了TCP流，则功能100判定源网 络和各个目的网络类型是否允许TCP的使用(判定148)。如果不允许， 则在表中为源网络和目的网络的该组合记录错误(步骤150)。如果允许， 则功能100检查该源网络和该目的网络对于所允许的该TCP端口的安全策 略(步骤152)，以判定该TCP源端口是否与这两项策略一致(判定154)。 如果不一致，则功能100在表中记录一个错误(步骤160)。如果一致， 则功能100循环返回到步骤152，以分析当前源和目的网络流中的下一个 TCP端口。
在所有TCP组合均对于TCP源端口的遵从性被分析之后，功能100 对于TCP目的端口进行类似的检查。这样，功能100检查了每一组合的源 网络对象和各个目的网络对象对于TCP目的端口的安全策略(步骤170)， 以判定该TCP目的端口是否与该策略一致(判定172)。如果不一致，则 功能100在表中记录一个错误(步骤176)。如果一致，则功能100循环 返回到步骤170，以分析当前源网络和目的网络组合中的下一个TCP目的 端口。
在当前源网络和目的网络的组合的TCP端口均以这种方式被分析之 后，功能100检查在当前源网络对象和目的网络对象的防火墙或路由器配 置中是否已配置了UDP流(步骤180)。如果防火墙不具有为该源和目的 网络组合所定义的任何UDP流，则功能100转到判定210。如果配置了 UDP流，则功能100判定该UDP流是否被每一组合的源网络和目的网络 中的每一个所允许(判定184)。如果不被允许，则功能100在表中记录 一个错误(步骤186)，并继续进行判定210。如果UDP流被允许，则功 能100检查源网络和目的网络对于每一UDP源端口的安全策略(步骤 188)，以判定该UDP源端口是否与该策略一致(判定190)。如果不一 致，则功能100在表中记录一个错误(步骤192)，然后循环返回到步骤 188，以分析当前源和目的网络组合的下一个UDP源端口。如果一致，则 功能100循环返回到步骤188，以分析当前源网络和目的网络的组合中的 下一个UDP源端口。
在所有组合均已对于UDP源端口的遵从性被分析之后，功能100对于 UDP目的端口进行类似的检查。功能100检查源网络对象和目的网络对象 对于每一UDP目的端口的安全策略(步骤202)，以判定当前源网络和目 的网络的UDP目的端口是否与该策略一致(判定204)。如果不一致，则 功能100在表中记录一个错误(步骤206)，然后循环返回到步骤202，以 分析当前源网络和目的网络组合的下一个UDP目的端口。如果一致，则功 能100循环返回到步骤202，以分析当前源网络和目的网络组合的下一个 UDP目的端口。
在所有当前源网络/目的网络组合的UDP目的端口对于与各个组合中 的两个网络的安全策略的遵从性被分析之后，功能100检查路由器或防火 墙是否具有为当前源网络对象和目的网络对象组合定义的ICMP流(判定 210)。如果该路由器或防火墙不具有任何已配置的ICMP流，则功能100 转到判定240。如果定义了ICMP流，则功能100判定该ICMP流是否被 当前组合的源网络对象和目的网络对象所允许(判定214)。如果不允许， 则功能100在表中为各个组合记录一个错误(步骤216)。如果定义了ICMP 流，则功能100检查当前组合的源网络和目的网络的ICMP类型(步骤 218)，然后检查当前组合的源网络和目的网络的ICMP编码(步骤220)， 以判定它们与当前组合的源节点和目的节点的安全策略是否一致(判定 230)。如果不一致，则功能100在表中记录一个错误(步骤232)，并循 环返回到步骤220，以分析下一编码。当所有编码对于每一类型均被检查 之后，其循环返回以分析下一编码(步骤218)。
接着，功能100检查当前源网络对象和各个目的网络对象，以判定是 否定义了任何其他的IP协议(判定240)。如果没有定义其他的IP协议， 则功能100循环返回以分析下一目的网络(步骤120)。如果配置了其他 的IP协议，则功能100判定策略对于当前源网络和目的网络是否允许另一 个这样定义的IP协议(判定242)。如果不允许，则功能100在表中记录 一个错误(步骤244)，并循环返回以分析下一目的网络(步骤120)。如 果该安全策略对于源网络和目的网络的当前组合允许其他的IP协议(步骤 246)，则功能100判定当前源网络和目的网络组合的安全策略是否允许其 他已定义IP协议中的一种(步骤248)。如果不允许其他的IP协议，则 功能100在表中记录一个错误(步骤250)，然后循环返回到步骤246。
接着，功能100循环返回到步骤120，为下一目的网络重复所有后续 步骤。当所有目的网络均被分析之后，功能100循环返回到步骤102，以 分析下一源网络，重复该功能中的所有后续步骤。
在执行了图3(a)和(b)中示出的所有前述步骤之后，对于源网络 对象和目的网络对象的每一组合和IP协议(包括附加标准)在表中不存 在错误表明对于这样的通信的授权。然后，将网络对象数据结构存储在网 络定义文件中(步骤300)。然后，可将表71发送给每一网络处的系统 管理员(步骤301)，以相应地更新他或她的网络处的防火墙或路由器(步 骤302)。可将表中的错误显示在每一网络处，以便该网络处的中央系统 管理员能够更正或改变安全策略、IP配置或该网络的网络类型，如果需要 的话。如果进行了任何这样的改变，则将其传送给网络11的系统管理员， 以重新运行安全检查程序70。
根据上述内容，公开了一种用于自动检查对于网络的安全策略的遵从 性的系统和方法。但是，可作出多种修改和替换，而不背离本发明的范围。 例如，并不在所有已定义的网络上全体之上循环进行源和目的网络分析， 而在某些情境中可能接受的是，仅分析已定义的源网络，然后仅为每一已 配置的数据流分析已配置的目的网络。因此，本发明作为示例而并非限制 进行了公开，应该参照所附权利要求来确定本发明的范围。