【技术实现步骤摘要】
【国外来华专利技术】可通过名称空间以扩展方式全局部署的上下文感知VPN头端相关申请的交叉引用本申请要求于2018年5月7日提交的美国专利申请No.15/973,404的优先权,其内容通过引用以其整体合并于此。
本技术涉及云网络环境中的安全数据传输。更具体地,它涉及具有上游安全实施能力的可扩展虚拟专用网(VPN)头端(headend)部署。
技术介绍
在基于云的安全平台(例如,思科安全保护伞(Ciscoumbrella))中,通常通过分层的防御性和攻击性安全技术来保护客户数据业务。总体目标是保护通过任何协议和在任何端口上生成的业务。这种方法通常被称为“所有端口,所有协议”安全。当前,基于云的安全平台(例如,思科安全保护伞)使用基于DNS的安全措施来阻止威胁。部署在企业客户网络上的虚拟装置(例如,VMware)将互联网业务定向到云系统中的解析器。解析器将使得请求路由到危险域以进行更深入的URL和文件检查,而不是代理所有的web业务。如果解析器评估并确定解析出的IP地址属于危险域,则该IP地址被阻止,并且客户被替代地定向到登陆...
【技术保护点】
1.一种非暂态计算机可读介质,包括存储在其上的计算机可执行指令,这些指令在被执行时能够使得计算机执行以下操作:/n将与一个或多个网络业务流相关联的一个或多个元数据块附加到一个或多个网络名称空间,所述一个或多个网络名称空间被配置在云网络中的主机设备上;/n将传输所述一个或多个网络业务流的一个或多个VPN隧道直接终止到所述一个或多个网络名称空间上;/n基于从所附加的元数据块作出的标识来提供特定上游云服务,该特定上游云服务与一个或多个数据业务流中的每个数据业务流相关。/n
【技术特征摘要】
【国外来华专利技术】20180507 US 15/973,4041.一种非暂态计算机可读介质,包括存储在其上的计算机可执行指令,这些指令在被执行时能够使得计算机执行以下操作:
将与一个或多个网络业务流相关联的一个或多个元数据块附加到一个或多个网络名称空间,所述一个或多个网络名称空间被配置在云网络中的主机设备上;
将传输所述一个或多个网络业务流的一个或多个VPN隧道直接终止到所述一个或多个网络名称空间上;
基于从所附加的元数据块作出的标识来提供特定上游云服务,该特定上游云服务与一个或多个数据业务流中的每个数据业务流相关。
2.根据权利要求1所述的非暂态计算机可读介质,其中,在所述一个或多个元数据块被使得能够用于所述主机设备时,所述一个或多个网络名称空间被所述主机设备动态地配置。
3.根据权利要求2所述的非暂态计算机可读介质,其中,所述一个或多个元数据块通过所述云网络上的一个或多个数据库而被使得能够用于所述主机设备,所述一个或多个数据库被配置为与所述主机设备进行通信。
4.根据权利要求2或3所述的非暂态计算机可读介质,其中,所述元数据块还被所述主机设备传播到一个或多个主机设备,该一个或多个主机设备位于所述云网络的不同区域处。
5.根据权利要求4所述的非暂态计算机可读介质,其中,编排机制被用在所述主机中以动态地配置和传播所述一个或多个元数据块中的每个元数据块,所述一个或多个元数据块被附加到所述一个或多个网络名称空间中的每个网络名称空间。
6.根据权利要求1至5中任一项所述的非暂态计算机可读介质,其中,所述主机设备是云数据中心内的VPN头端设备,所述VPN头端设备位于所述云网络的边缘处。
7.根据权利要求1至6中任一项所述的非暂态计算机可读介质,其中,将所述一个或多个VPN隧道直接终止到所述一个或多个网络名称空间上是通过以下操作来实现的:在所述一个或多个网络名称空间中的每个网络名称空间内部部署IPSec服务。
8.根据权利要求1至7中任一项所述的非暂态计算机可读介质,其中,所述元数据块包括客户端企业和分支机构网关IP地址。
9.根据权利要求8所述的非暂态计算机可读介质,其中,所述元数据块还包括认证机制。
10.根据权利要求1至9中任一项所述的非暂态计算机可读介质,其中,提供与所述一个或多个网络业务中的每个网络业务相关的特定上游云服务是通过能够使所述计算机进行以下操作的指令来实现的:针对所述一个或多个网络名称空间中的每个网络名称空间部署上游连接性服务端点,并使该上游连接性服务端点对于上游服务是服务能发现的。
11.一种方法,包括:
将与一个或多个数据业务流相对应的一个或多个元数据附加到一个或多个网络名称空间,所述一个或多个网络名称空间被配置在云网络内的主机设备上;
将封装所述一个或多个数据业务流的一个或多个VPN隧道直接终止到所述一个或多个...
【专利技术属性】
技术研发人员:阿拉文思·库马尔·拉马钱德兰,乌曼纳特·索米·塞卡兰,
申请(专利权)人:思科技术公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。