相關申請的交叉引用

本申請要求于2015年2月24日提交的并且題為“MULTI-TUNNELING VIRTUAL NETWORK ADAPTER”的美國專利申請序列號14/630,550以及于2015年2月5日提交的題為“MULTI-TUNNELING VIRTUAL NETWORK ADAPTER”的美國臨時專利申請號62/112,457的優先權，其公開內容通過引用并入本文。

本申請涉及于2014年12月19日提交的題為“SYSTEMS AND METHODS FOR PROTECTING NETWORK DEVICES”的美國專利申請號14/578,140，其公開內容通過引用并入本文。

背景技術

在客戶端-服務器網絡模型中，公司或服務提供商典型地通過計算機網絡向客戶端計算機和其他服務提供服務和/或應用。服務器和相關聯的服務可以包括例如郵件服務器、文件服務器、客戶關系管理或CRM服務、企業資源規劃或ERP服務和文檔管理服務等。

一方面，需要通過將對這些服務的訪問限制到僅受信用戶和客戶端來保證安全性。另一方面，受信用戶需要以容易和直接的方式訪問服務。優選地，可以在任何時間從任何地方到達服務。隨著“自帶裝置”(或“BYOD”)策略在公司中越來越多地被接受，服務也應該從“任何東西”(即從由受信用戶擁有的任何裝置，諸如例如平板電腦、手提電腦、他在家的計算機或智能手機)可到達。

存在各種常規方法來嘗試防止對這樣的應用服務器或由這些應用服務器服務的服務或應用的未經授權的訪問。例如，將應用服務器放置在專用網絡內本身是一種安全措施，這是因為它將公司網絡、局域網(或“LAN”)與互聯網和其他外部公共網絡隔離。專用網絡內的裝置以及因此的服務從公共網絡不可見。專用網絡中的業務量的內容以及業務量可穿越公司的網絡邊界的方式可以通過使用將WAN與公司的專用網絡分離的網關裝置中的網絡地址轉換(NAT)、防火墻規則和代理來進行調節和監視。專用網絡可以進一步物理地或虛擬地由例如虛擬LAN來細分，以便進一步將公司專用網絡內的應用服務器與由客戶端進行的潛在未經授權的訪問分離。

網絡級安全性可以基于逐用戶或逐客戶端來實施，諸如通過將客戶端的防火墻配置為(默認情況下)只能訪問認證服務器。當客戶端被授權時，客戶端的防火墻被打開，并且所有網絡裝置被配置為將客戶端的網絡業務量傳遞給其已被準許訪問的應用服務器。

對客戶端或用戶級的網絡級安全性也可以由控制器基于身份簡檔和健康簡檔為用戶生成訪問權限來嘗試。然后，控制器配置保護裝置，從而提供對服務器集合的網絡訪問。

可以通過由控制器配置主機來嘗試在接受主機中實施網絡級安全性。當發起主機被授權訪問接受主機時，控制器對接受主機進行配置以接受來自發起主機的網絡連接。

專用網絡內的安全性還可以由應用級安全性來實施，其中用戶或客戶端在認證之后只能訪問服務器上的服務。在這種情況下，客戶端可以例如通過其IP網絡地址在網絡中找到應用服務器，并且可以通過其TCP或UDP端口號找到在應用服務器上運行的服務，但是服務或應用本身可以基于認證憑證拒絕客戶端或用戶。這種認證可以由個別服務本地管理，或者由認證服務器集中地管理。然后，在準許用戶和/或客戶端對某個服務的訪問之前，服務檢查這種認證服務器的認證憑證。

對公司的專用網絡的訪問可以由VPN或虛擬專用網絡來建立，其中在客戶端裝置和專用網絡之間設置安全的網絡隧道。這種隧道的設置僅通過與VPN服務器的認證來準許。存在不同的授權方案以確保僅受信用戶和/或客戶端可以加入VPN。

用于提供對公司的專用網絡中的服務的訪問的另一解決方案是通過打開對某些服務的外部訪問。例如，電子郵件服務器可以允許來自外部的連接，使得用戶可以在他們不在公司時檢查他們的電子郵件。這些服務有時由僅通過特定接口(諸如例如通過公司的網站)提供訪問來限制，使得客戶端不具有對運行服務的服務器的物理網絡訪問，而僅對提供服務的子集的web服務器具有物理網絡訪問。

在基于風險的認證中，不僅基于由認證憑證對用戶和/或客戶端的識別、而且基于進一步的度量以便得出適合于風險級別的信任級別，來準許對服務的訪問。這樣的度量例如是：用戶的位置、客戶端的類型、操作系統(如果已經安裝了所有安全補丁的話)、用戶的登錄歷史等。這樣，通過VPN登錄的用戶可能會受到以下服務的限制，當從專用網絡內登錄時他不會從其受到限制。或者使用他自己的裝置從專用網絡內登錄的用戶可能被拒絕一些服務。