流量控制技術被提供以用于在代理設備處攔截用于第一設備和第二設備之間的安全通信的握手過程中的初始消息。從該初始消息提取與該第二設備相關聯的識別信息。基于該識別信息，向第一設備和第二設備之間的通信應用策略。

技術領域

本公開一般涉及計算機網絡，更具體地，涉及在兩個網絡節點之間的通信。

背景技術

通常，現代網絡與諸如防火墻之類的代理設備一起被設置以對流經網絡邊界的流量應用策略決策。為了應用這些策略決策，防火墻可檢查網絡流量，通過僅查看分組報頭進行淺度檢查，或通過查看底層分組數據執行深度分組檢查。對于不安全的網絡傳輸，防火墻可能立即查看全部的網絡分組，從而在允許消息的任何部分通過防火墻之前，防火墻能夠對網絡流量應用策略決策。

隨著更多的網絡流量被安全地發送(例如，使用加密技術)，在未首先解密消息之前，防火墻不再可能查看全部的網絡流量。此外，在某些加密協議中，在未解密消息的情況下防火墻甚至不能確定諸如所期望的消息的統一資源定位符(URL)之類的基本信息。為了完成解密處理，在任何策略決策被應用于流量之前，防火墻通常將需要允許例如某些消息或有限數量的分組通過該防火墻。在防火墻處解密網絡流量需要防火墻執行資源密集型操作。此外，由于網絡被用于傳送諸如金融交易之類的敏感交易的流量，因而限制防火墻解密某些敏感流量的規則和法規被實施。

附圖說明

圖1示出了其中代理設備被配置用于使用服務名稱識別信息的傳輸層安全(TLS)流量控制的示例計算機網絡；

圖2是示出了在代理設備處執行的用于跨網絡對第一設備和第二設備之間的通信應用策略的示例過程的流程圖；

圖3是示出了通過代理設備在客戶端與服務器之間的示例消息交換的梯形圖，其中通信會話被建立以便使該代理設備不對消息數據進行解密；

圖4是示出了通過代理設備在客戶端與服務器之間的示例消息交換的梯形圖，其中通信會話被建立以便使該代理設備對消息數據進行解密；

圖5是示出了通過代理設備在客戶端與服務器之間的示例消息交換的梯形圖，其中通信會話被該代理設備拒絕；

圖6示出了為了應用策略，代理設備用于提取服務器名稱識別信息的示例初始消息；

圖7示出了包含在初始消息中的示例服務器名稱指示擴展，為了應用策略，代理設備分析該服務器名稱指示擴展；

圖8是被配置用于通過使用服務器名稱識別信息執行TLS流量控制的代理設備的框圖的示例。

具體實施方式

概述

根據本文所描述的技術，在代理設備處攔截用于第一設備和第二設備間的安全通信的握手過程。從該握手過程的初始消息提取與第二設備相關聯的識別信息。基于該識別信息，向第一設備和第二設備之間的通信應用策略。

具體實施例