背景

計算機網絡遭受日益增加的安全性風險。為了針對攻擊進行保護并防止安全裂口，防火墻被用來控制網絡內的通信流。更具體地，根據一個或多個定義的規則來選擇性地允許由防火墻接收的通信通過。防火墻實施的訪問規則根據一個或多個網絡規定和通信量參數(諸如源或目的地域名(例如，URL)、因特網協議地址(IP地址)、通信通道(例如，端口)、應用協議(例如，HTTP、FTP)和/或安全憑證(例如，安全登錄和認證證書))。

然而，基于以上網絡規定和通信量參數的訪問規則是成問題的。基于網絡規定和通信量的規則是靜態的，而某些參數則會頻繁改變。而且，針對攻擊保護的有效性和對用戶的影響取決于訪問規則粒度的級別。然而，在大多數網絡上部署和維護具有足夠粒度的訪問規則一般是不切實際的。從而，計算設備和/或網絡中的一個或多個通常是易受攻擊的。而且，所部署的訪問規則基本上會影響計算設備和/或網絡的性能。因此，基于網絡規定和通信量參數的常規訪問規則對用戶的影響是顯著的，有時會帶來衰退的效果。

概述

此處所述的技術是針對網絡訪問保護的方法和系統。在一個實施例中，按照基于健康報告的規則來定義訪問策略。也可按照基于網絡規定和通信量參數的規則來定義訪問策略。訪問策略可基于一個或多個計算設備當前的健康報告來應用于計算設備之間的通信。當前的健康報告可包括一個或多個準則的狀態，諸如所安裝的應用程序、所安裝的補丁、配置、設備性能和硬件組件。

附圖簡述

在附圖中作為示例而非限制來示出各實施例，且在附圖中相同的參考標號指的是類似的元素，附圖中：

圖1示出用于實現網絡訪問保護系統的示例性操作環境的框圖。

圖2示出網絡訪問保護方法的流程圖。

圖3示出網絡訪問保護方法的流程圖。

圖4示出用于實現網絡訪問保護系統的示例性操作體系結構的框圖。

圖5示出用于實現網絡訪問保護方法的示例性操作體系結構的框圖。

詳細描述

現在將詳細參考特定實施例，其示例在附圖中示出。盡管將結合這些實施例來描述本發明，但可以理解，它們并不旨在將本發明限于這些實施例。相反，本發明旨在覆蓋替換實施方式、修改和等效實施方式，它們可被包括在如所附權利要求書所定義的本發明的范圍內。而且，在以下詳細描述中，描述各個特定細節以便提供徹底的理解。然而，可以理解，本發明可無需這些特定細節而實現。在其它實例中，未描述眾所周知的方法、過程、組件和電路以便不會不必要地模糊本發明的各方面。

圖1示出了用于實現網絡訪問保護系統的示例性操作環境100。操作環境100包括由一個或多個通信通道145-175互連的多個計算設備110-140。計算設備可包括個人計算機、服務器計算機、客戶機設備、路由器、交換機、無線接入點、安全設備、手持或膝上型設備、機頂盒、可編程消費者電子產品、小型機、大型機等。各個計算設備110-140可相關，使得它們形成一個或多個網絡185-195。網絡185-195可包括局域網、廣域網、內聯網、外聯網、因特網等。

利用示例性計算環境(例如，計算設備125處)內的一個或多個信任邊界根據計算設備110-140中的一個或多個的健康報告來控制計算設備110-140之間的通信流。信任邊界可被置于計算設備110-140之間、一個或多個計算設備110-140與一個或多個網絡185-195之間、和/或網絡185-195之間。信任邊界可由專用計算設備(例如，安全設備)或運行在計算設備上的應用程序(例如，防火墻)來實現。

根據計算設備110-140中的一個或多個的健康報告來控制跨邊界通信。計算設備140的健康報告是計算設備140的可信度的度量。更具體地，健康報告指示計算設備140關于諸如所安裝的應用程序、所安裝的補丁、配置、設備性能、硬件組件等的準則的狀態。如果計算設備140的健康報告遵循某些網絡上起效的某些安全策略，則它是健康的，否則就是不健康的。例如，健康報告可指示加載到給定計算設備上的每一應用程序，諸如操作系統、瀏覽器、反病毒程序等。健康報告也可指示為每一應用程序安裝的最新的服務包、補丁、病毒定義等。健康報告也可指示設備的性能參數，諸如網絡通信量水平、處理器利用率等。健康報告也可指示提供特定功能的特定硬件組件的存在性，諸如提供嵌入式安全特征的集成電路。