在云端的多边界防火墙制造技术

公开了通过全局虚拟网络提供多边界防火墙的系统和方法。在一个实施例中，网络系统可以包括与第一接入点服务器通信的出口入口点，与第一接入点服务器通信的第二接入点服务器，与第二接入点服务器通信的端点设备，第一防火墙与第一接入点服务器通信，以及与第二接入点服务器通信的第二防火墙。第一和第二防火墙可以阻止流量通过其各自的接入点服务器。第一防火墙和第二防火墙可以彼此通信并交换威胁信息。

Multi boundary firewalls at cloud end

A system and method for providing multi boundary firewalls through a global virtual network is disclosed. In one embodiment, the network system can include export entrance point and the first access server, the server and the second access point first access point to the server, and the server communication endpoint device second access points, the first firewall with a first access point service for communication, and communication with the second access point server firewall second. The first and second firewalls can prevent traffic from passing through their respective access point servers. The first firewalls and second firewalls can communicate with each other and exchange threat information.

【技术实现步骤摘要】
【国外来华专利技术】在云端的多边界防火墙本申请要求2015年4月7日提交的申请号为No.62/144,293的美国临时申请以及2015年4月22日提交的申请号为No.62/151,174的美国临时申请的优先权，每个申请都通过引用并入本文。
本申请总体上涉及网络技术，更具体地，涉及网络安全，该网络安全通过布置在云端多个边界的分布式防火墙(FW)设备的策略来保护通过全局虚拟网络或类似网络的流经流量。
技术介绍
人类能够感觉到200ms或更长的延迟，因为这通常是人类对事件的平均反应时间。如果延迟太高，诸如瘦客户端到基于云的服务器、客户关系管理(CR)、企业资源规划(EPVP)等在线系统将表现不佳，甚至可能由于超时而停止运行。高延迟结合高分组丢失可能导致连接不可用。即使数据通过，某个时候太慢也会导致用户体验不好(UX)，在这种情况下，用户可以拒绝接受这些使传递不及格的服务变得无用的条件。为了解决其中的一些问题，已经开发了各种技术。一种这样的技术是WAN优化，通常涉及在局域网(LAN)边缘的硬件(HW)设备，该硬件(HW)设备在另一LAN边缘的另一WAN优化HW设备建立隧道，用以在它们之间形成广域网(WAN)。该技术假设两个设备通过其彼此连接的稳定连接。WAN优化器努力压缩和保护数据流，通常会导致速度增益。采用WAN优化的商业驱动是为了节省发送的数据量，以降低数据传输的成本。这样做的缺点是，当两台设备之间的连接不好时，由于它们往往是点对点的，因此它们之间几乎没有控制通过互联网的流量流动的路径。为了解决这个问题，WAN优化器的用户经常选择通过MPLS或DDN线路或其他专用电路运行WAN，这些会导致额外的费用，并且通常需要一个刚性的、固定的点对点连接。诸如MPLS、DDN、专用电路或其他类型的固定点对点连接的直接链路提供连接质量和服务质量(QoS)保证。它们是昂贵的，并且通常需要很长的时间来安装，因为需要从连接的每一侧的POP来物理上绘制线。当通过这个直接连接的WAN从一个LAN连接到另一个LAN的资源时，点到点拓扑结构很好。然而，当一般互联网的网关(GW)位于一端的LAN时，例如在公司总部，则来自附属国的远程LAN的业务可以通过GW被路由到互联网。由于流量通过互联网返回同一个国家的子公司的服务器，所以出现放缓。然后，流量必须通过WAN从LAN到GW所在的LAN，然后通过互联网返回到原籍国的服务器，然后通过互联网返回到GW，然后将专线退回到局域网内的客户端设备实际上，本质上会是两倍或三倍(或更差)的全球通行时间，而实际上访问这个附近的站点的时间仅需要全球延迟的一小部分。为了克服这种情况，通过适当的配置更改以及添加可将本来流量连接到互联网的设备，可以在此类系统的每个端点提供与另一个网络线的可替换连接。从一个局域网到另一个局域网创建WAN链路的另一个选择涉及在两个路由器、防火墙或等效边缘设备之间建立隧道，如IPSec或其他协议隧道。这些通常是加密的，并且可以提供压缩和其他逻辑来尝试改善连接。这两点之间的路线很少甚至无法控制，因为它们依赖互联网上的各种中间玩家的政策，他们通过他们的网络进行流量，并与其他运营商和网络运营商进行对等。许多设备供应商的防火墙和路由器、交换机和其他设备通常在其固件中内置隧道选项。近年来，最后一公里的连通性大幅度提高，但受到距离、协议限制、对等、干扰等问题和威胁有关的问题，长距离连接和吞吐量仍然存在问题。因此，存在对在标准互联网连接顶部运行的安全网络优化服务的需求。
技术实现思路
公开了通过虚拟全球网络提供多边界防火墙的系统和方法。该网络可以包括出口入口点设备、第一和第二接入点服务器、端点设备以及第一和第二防火墙。第一防火墙与第一接入点服务器通信，并且可以防止网络流量流经第一接入点服务器。第二防火墙与第二接入点服务器通信，并且可以防止网络流量流经第二接入点服务器。根据一个实施例，至少一个接入点服务器被配置为执行防火墙服务。根据另一实施例，第一防火墙与第二防火墙通信。第一和第二防火墙之间的通信路径可以是全局虚拟网络隧道或全局虚拟网络返回信道或API调用或其他。在一些实施例中，第一防火墙和第二防火墙共享包括启发式模式、已知威胁的签名、已知恶意源IP地址或攻击向量中的至少一个的威胁信息。威胁信息可以通过中央控制服务器共享。在一些实施例中，至少一个防火墙执行深度包检测。在其他实施例中，至少一个防火墙执行状态包检测。在其他实施例中，一个防火墙执行状态包检测，而另一个防火墙执行状态包检测。在一些实施例中，防火墙中的至少一个包括可以按需分配云防火墙资源的云防火墙负载平衡器。附图说明为了更好地理解本公开，现在参考附图，其中相同的元件以相同的附图标记或附图标记。这些附图不应被解释为对本公开的限制，而是仅仅是说明性的。图1示出了五种类型的防火墙设备操作。图2示出了通过防火墙的流量可能性。图3示出了状态包检测和深度包检测。图4示出了从分组流生成组合的有效载荷。图5示出了从互联网到LAN的广泛的网络攻击路径。图6展示了由于相对网络上发生的高流量大规模攻击而对网络造成的负面回弹效应。图7示出了位于云端的多边界防火墙。图8示出了位于云端的多边界防火墙的可扩展性。图9示出了在互联网连接之上的GVN之上的多边界防火墙。图10是从起点到目的地的GVN可用的各种路线的流程图。图11示出了状态包检测(SPI)防火墙和深度包检测(DPI)防火墙之间的通信。图12示出了由全局虚拟网络启用的云端多边界防火墙(MPFW)。图13示出了全局虚拟网络的设备之间的信息流。图14示出了支持个人端点设备的云端的多边界防火墙(MPFW)。图15说明了GVN中自动化设备和防火墙协作和信息交换所需的模块。图16示出了GVN中设备到设备的信息交换。图17示出了GVN中多边界防火墙与其他系统的集成。图18示出了基于云的防火墙负载平衡器连接的基于云的防火墙提供的可扩展性的防火墙的拓扑和相应布局。图19示出了GVN拓扑，包括互联网或暗光纤上的骨干段。图20示出了用于向终端设备(EPD)和互联网的信息流的设备的拓扑和连接。图21示出了多边界防火墙算法。图22示出了用于云防火墙设备、云防火墙负载平衡器设备、中央控制服务器、接入点服务器和端点设备的软件架构的逻辑视图。图23示出了通过中央控制服务器(SRV_CNTRL)从防火墙(FW)到全局虚拟网络(GVN)中的各种设备的信息流。图24是描述用于分析流过防火墙、防火墙负载平衡器和/或通过防火墙阵列的流量的算法的流程图。图25示出了处理和处理威胁的系统堆栈中的各个层。图26示出了在启动过程期间自动解密加密卷的方法。图27示出了如何基于特定于该设备的多个因素来为设备一致地计算唯一用户标识(UUID)。图28示出了安全引导机构的模块。图29示出了后通道机构的细节。图30示出了多个端点设备(EPD)和后向通道服务器(SRV_BC)之间的连接。图31示出了使用对于每一行唯一的旋转和计算的密钥将加密数据写入数据库的一行中的选定字段。图32示出了使用键、键调节器和使用框架来计算键的其他因素从从单个行来解密数据。图33示出了当客户端经由端点设备(EPD)请求的图形用户界面(GUI)内容和请求内容被存储在锁定的卷内时会发生什么。图34示出了互联网的高本文档来自技高网...

【技术保护点】
一种全局虚拟网络中的多边界防火墙，包括：出口入口点设备；第一接入点服务器，所述第一接入点服务器与所述出口入口点设备通信；第二接入点服务器，所述第二接入点服务器与所述第一接入点服务器通信；端点设备，所述端点设备与所述第二接入点服务器通信；第一防火墙，所述第一防火墙与所述第一接入点服务器通信，其中所述第一防火墙防止至少一些流量从所述第一接入点服务器传送到所述第二接入点服务器；以及第二防火墙，所述第二防火墙与所述第二接入点服务器通信，其中所述第二防火墙防止至少一些流量从所述第二接入点服务器传送到所述端点设备。

【技术特征摘要】
【国外来华专利技术】2015.04.07 US 62/144,293;2015.04.22 US 62/151,1741.一种全局虚拟网络中的多边界防火墙，包括：出口入口点设备；第一接入点服务器，所述第一接入点服务器与所述出口入口点设备通信；第二接入点服务器，所述第二接入点服务器与所述第一接入点服务器通信；端点设备，所述端点设备与所述第二接入点服务器通信；第一防火墙，所述第一防火墙与所述第一接入点服务器通信，其中所述第一防火墙防止至少一些流量从所述第一接入点服务器传送到所述第二接入点服务器；以及第二防火墙，所述第二防火墙与所述第二接入点服务器通信，其中所述第二防火墙防止至少一些流量从所述第二接入点服务器传送到所述端点设备。2.根据权利要求1所述的多边界防火墙，其特征在于，所述端接入点服务器中的至少一个用于执行防火墙服务。3.根据权利要求1所述的多边界防火墙，其特征在于，所述第一防火墙与所述第二防火墙通信。4.根据权利要求3所述的多边界防火墙，其特征在于，所述第一防火墙与所述第二防火墙之间的通信路径是全局虚拟网络隧道。5....

【专利技术属性】
技术研发人员：C·E·奥尔，J·E·鲁本斯坦，
申请(专利权)人：安博科技有限公司，C·E·奥尔，
类型：发明
国别省市：中国香港,81