背景技術

網絡網關可用于提供各種類型的安全、網絡通信保護、以及包括內容檢查、反病毒(“A/V”)掃描、惡意軟件阻塞、信息泄漏保護、入侵檢測等其他處理。提供這些功能通常在處理能力、盤空間、存儲器、帶寬等方面消耗大量資源，這與諸如個人計算機(“PC”)和移動設備(例如，移動電話、智能電話、手持式游戲設備、個人媒體播放器、手持式計算機等)且通過網關執行網絡訪問的客戶機器的數量線性地綁定。由于隨著需要通過網關的網絡訪問的客戶機器的數量增加而需要部署更多網絡網關，這些資源消耗可影響網絡網關安全解決方案的可伸縮性。

另外，用于執行處理的網絡帶寬成本可以是相當大的。從客戶機到服務請求所需的網關的每個往返表示帶寬和處理成本兩者。所需的往返和服務器上的處理時間可降低總體系統的響應性和運行在該客戶機上的各種用戶應用程序的性能。這些固有限制(例如，可伸縮性和帶寬)可顯著地影響支持公司的企業網絡的數據中心和將網絡保護作為托管的服務來提供的服務提供者兩者的運營成本。對于這些服務提供者，常常難以標識成本有效的業務模型，因為服務的運營成本隨著服務所保護的用戶數量線性增長。

提供本背景來介紹以下概述和詳細描述的簡要上下文。本背景不旨在幫助確定所要求保護的主題的范圍，也不旨在被看作將所要求保護的主題限于解決以上所提出的問題或缺點中的任一個或全部的實現。

概述

提供了一種將客戶機器的安全能力傳遞給網絡安全網關的網絡保護解決方案，使得能夠以實現客戶機的目標安全級別同時在網關處消費盡可能少的資源的方式來在網關和客戶機之間自動且動態地分布各種過程。例如，對于順應指定的健康和/或公司管控策略且已知具有所部署的、操作的和/或與最新威脅數據同時的A/V能力的客戶機，網絡安全網關將無需對客戶機的傳入網絡通信執行額外的A/V掃描，這由此可在網關處節省資源并且降低運營成本。

在各種說明性示例中，當用戶在客戶機器處設法訪問類似在諸如因特網等外部網絡上的網站的資源時，對客戶機順應適用的策略和安全能力的枚舉在客戶機作出到網絡安全網關的連接時被傳送。網關可隨后根據客戶機的順應和安全能力來調整它的動作，以便避免重復工作，使得盡可能多的工作被卸載到客戶機來降低網關處資源消耗同時維持所需級別的保護。然而，通常工作不被卸載到非順應的客戶機(即，那些不符合適用的健康和/或公司管控策略的客戶機)，相反，安全過程將由網關來執行，以便確保將非順應的客戶機的安全維持在所需級別。當網關調整它的動作并將過程卸載到客戶機時，還可考慮諸如用戶所尋求的信息的新鮮度、因特網的總體安全狀態等外部因素。

在客戶機具有處理網絡通信的最小能力的一些情況下，網關將執行過程的全集，諸如連接到網站、執行URL(統一資源定位符)過濾和A/V掃描等。當客戶機是順應的且較完整地被配置或有能力的時候，網關將指示它本地地執行較多過程，使得在網關處的資源消耗較少。無論在網關處所消耗的什么資源都被記錄以便啟用例如網絡分析和優化，或在托管的網絡保護服務的情況下，該日志可用于基于在網絡安全網關處的實際資源消耗而不是僅基于所保護的客戶機的數量來生成帳單。在一些實現中，可利用多個網絡安全網關，其中過程在各網關之間動態地負載平衡。

有利地，本發明的自動分布式網絡保護解決方案使得客戶機與網關之間的網絡通信處理的分配能夠被優化以便降低成本同時維持所需級別的網絡保護。記錄在網關處的資源消耗的能力使得企業網絡和托管的服務的顧客都能夠標識資源如何被利用并且作為響應來調整客戶機的配置。例如，通過在金錢上懲罰網關處的資源消耗，激發顧客在客戶機處(或在本地部署的網關處，即，那些位于企業中且通常由管理員本地管理的網關)部署更多安全能力。可隨后在更偶爾的基礎上依賴網絡安全網關，例如，當客戶機器不是完全順應或沒有配備本地安全能力但仍需被使用時作為后備。

提供本發明內容是為了以簡化的形式介紹將在以下具體實施方式中進一步描述的一些概念。本概述并非旨在標識所要求保護的主題的關鍵特征或必要特征，也不旨在用于幫助確定所要求保護的主題的范圍。

附圖描述

圖1示出了其中可部署本發明的自動分布式網絡保護解決方案的說明性計算環境；

圖2示出了在客戶機器與網絡安全網關之間分配過程的說明性方法的概覽；

圖3示出了其中在稀少地配備有本地安全保護的客戶機處的用戶訪問因特網上的網站的第一說明性使用場景；

圖4示出了在較完全配備的客戶機處的用戶訪問因特網上的網站的第二說明性使用場景；