公开了用于提供基于云的安全服务的大规模本地化的技术。在一些实施例中,一种用于提供基于云的安全服务的大规模本地化的系统/方法/计算机程序产品包括:在基于云的安全服务的网络网关处接收连接请求;从与租户相关联的注册公共IP地址集施行源网络地址转换(NAT);以及使用基于云的安全服务来提供对软件即服务(SaaS)的安全访问。务(SaaS)的安全访问。务(SaaS)的安全访问。
【技术实现步骤摘要】
基于云的安全服务的大规模本地化
技术介绍
[0001]防火墙一般保护网络免受未授权的访问,同时准许授权的通信穿过防火墙。防火墙通常是为网络访问提供防火墙功能的设备或设备集或在设备(诸如计算机)上执行的软件。例如,防火墙可以集成到设备(例如,计算机、智能电话或其它类型的有网络通信能力的设备)的操作系统中。防火墙也可以集成到计算机服务器、网关、网络/路由设备(例如,网络路由器)或数据器具(例如,安全器具或其它类型的专用设备)中或作为软件在它们上执行。
[0002]防火墙通常基于规则集拒绝或准许网络传输。这些规则集通常被称为策略。例如,防火墙可以通过应用规则或策略集来过滤入站流量。防火墙还可以通过应用规则或策略集来过滤出站流量。防火墙也可能能够施行基本的路由功能。
附图说明
[0003]在以下详细描述和附图中公开了本专利技术的各种实施例。
[0004]图1是根据一些实施例的示例基于云的安全服务的系统图概述。
[0005]图2A是根据一些实施例的示例基于云的安全服务的系统图解。
[0006]图2B是根据一些实施例的示例基于云的安全服务的另一个系统图解。
[0007]图3A和图3B是图示根据一些实施例的用于为基于云的安全服务提供大规模本地化的网络网关的示例组件的系统框图。
[0008]图4A图示了根据一些实施例的网络网关的实施例。
[0009]图4B是数据器具的实施例的逻辑组件的功能图解。
[0010]图5是图示根据一些实施例的用于提供基于云的安全服务的大规模本地化的过程的流程图。
[0011]图6是图示根据一些实施例的用于提供基于云的安全服务的大规模本地化的过程的另一个流程图。
具体实施方式
[0012]本专利技术可以以许多方式实现,包括作为过程;装置;系统;物质的组成;体现在计算机可读存储介质上的计算机程序产品;和/或处理器,诸如被配置为执行存储在耦合到处理器的存储器上和/或由该存储器提供的指令的处理器。在本说明书中,这些实施方式或者本专利技术可以采取的任何其它形式可以被称为技术。一般而言,在本专利技术的范围内,可以更改所公开的过程的步骤次序。除非另有说明,否则被描述为被配置为施行任务的诸如处理器或存储器之类的组件可以被实现为被临时配置为在给定时间施行任务的通用组件或被制造为施行任务的特定组件。如本文中所使用的,术语“处理器”指代被配置为处理数据(诸如计算机程序指令)的一个或多个设备、电路和/或处理核心。
[0013]下面提供了本专利技术的一个或多个实施例的详细描述连同图示本专利技术原理的附图。结合这样的实施例描述了本专利技术,但是本专利技术不限于任何实施例。本专利技术的范围仅由权利要求限定,并且本专利技术涵盖许多替代、修改和等同物。为了提供对本专利技术的透彻理解,在以
下描述中阐述了许多特定细节。这些细节是出于示例的目的而提供的,并且本专利技术可以根据权利要求来实践,而无需这些特定细节中的一些或全部。为了清楚起见,没有详细描述与本专利技术相关的
中已知的技术材料,使得不会不必要地模糊本专利技术。
[0014]高级或下一代防火墙恶意软件是通用术语,其通常用于指代有恶意的软件(例如,包括多种敌对、侵入性和/或以其它方式不想要的软件)。恶意软件可以是以代码、脚本、活动内容和/或其它软件的形式。恶意软件的示例用途包括扰乱计算机和/或网络操作、窃取专有信息(例如,机密信息,诸如身份、财务和/或知识产权相关信息)和/或获得对私有/专有计算机系统和/或计算机网络的访问。不幸的是,随着帮助检测和减轻恶意软件的技术发展,邪恶的作者找到了规避这样的努力的方式。因此,存在对用于标识和减轻恶意软件的技术的改进的持续需要。
[0015]防火墙一般保护网络免受未授权的访问,同时准许授权的通信穿过防火墙。防火墙通常是为网络访问提供防火墙功能的设备、设备集或在设备上执行的软件。例如,防火墙可以集成到设备(例如,计算机、智能电话或其它类型的有网络通信能力的设备)的操作系统中。防火墙也可以集成到各种类型的设备或安全设备中或作为软件应用在各种类型的设备或安全设备上执行,所述设备或安全设备诸如计算机服务器、网关、网络/路由设备(例如,网络路由器)或数据器具(例如安全器具或其它类型的专用设备,并且在一些实施方式中,某些操作可以在专用硬件中实现,所述专用硬件诸如ASIC或FPGA)。
[0016]防火墙通常基于规则集拒绝或准许网络传输。这些规则集通常被称为策略(例如,网络策略或网络安全策略)。例如,防火墙可以通过应用规则或策略集来过滤入站流量,以防止不想要的外部流量到达受保护的设备。防火墙还可以通过应用规则或策略集来过滤出站流量(例如,允许、阻止、监视、通知或记录,和/或可以在防火墙规则或防火墙策略中指定其它动作,所述动作可以基于诸如本文中所描述的各种准则来触发)。防火墙还可以通过类似地应用规则或策略集来过滤本地网络(例如,内联网)流量。
[0017]安全设备(例如,安全器具、安全网关、安全服务和/或其它安全设备)可以施行各种安全操作(例如,防火墙、反恶意软件、入侵预防/检测、代理和/或其它安全功能)、联网功能(例如,路由、服务质量(QoS)、网络相关资源的工作负载平衡和/或其它联网功能)和/或其它安全和/或联网相关操作。例如,可以基于源信息(例如,IP地址和端口)、目的地信息(例如,IP地址和端口)和协议信息(例如,基于层3 IP的路由)来施行路由。
[0018]基本分组过滤防火墙通过检查在网络上传输的单个分组来过滤网络通信流量(例如,分组过滤防火墙或第一代防火墙,它们是无状态分组过滤防火墙)。无状态分组过滤防火墙通常(例如,使用分组的源和目的地地址信息、协议信息和端口号的组合)检查单个分组本身,并基于检查到的分组应用规则。
[0019]应用防火墙还可以(例如,使用在TCP/IP堆栈的应用级别上工作的应用层过滤防火墙或第二代防火墙)施行应用层过滤。应用层过滤防火墙或应用防火墙一般可以标识某些应用和协议(例如,使用超文本传送协议(HTTP)的网络浏览、域名系统(DNS)请求、使用文件传送协议(FTP)的文件传送、以及各种其它类型的应用和其它协议,诸如远程登录、DHCP、TCP、UDP和TFTP(GSS))。例如,应用防火墙可以阻止试图通过标准端口通信的未授权协议(例如,试图通过使用该协议的非标准端口潜入的未授权/策略外协议一般可以使用应用防火墙来标识)。
[0020]状态防火墙还可以施行基于有状态的分组检查,其中每个分组均在与该网络传输的多个分组流/分组流(例如,状态防火墙或第三代防火墙)相关联的一系列分组的上下文中进行检查。该防火墙技术一般被称为有状态分组检查,因为它维护穿过防火墙的所有连接的记录,并能够确定分组是新连接的开始、现有连接的一部分还是无效分组。例如,连接状态本身可以是触发策略内规则的准则之一。
[0021]如上面所讨论的,高级或下一代防火墙可以施行无状态和有状态分组过滤以及应用层过滤。下一代防火墙还可以施行附加的防火墙技术。例如,某些较新的防火墙(有时称为高级或下一代防本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种系统,包括:处理器,被配置为:在基于云的安全服务的网络网关处接收连接请求;从与租户相关联的注册公共IP地址集施行源网络地址转换(NAT),其中来自网络网关的出口IP与对应于发送连接请求的用户的区域的区域相关联,以促进SaaS用户的增强的本地用户体验;以及使用基于云的安全服务来提供对软件即服务(SaaS)的安全访问,其中所述基于云的安全服务是使用公共云服务提供商提供的,所述公共云服务提供商提供从公共云服务提供商的各种区域基于云的计算服务数据中心中的每一个到一个或多个SaaS提供商的高速网络连接性;以及存储器,被耦合到处理器并被配置为向处理器提供指令。2.根据权利要求1所述的系统,其中所述基于云的安全服务为每个其支持的区域维护IP地址范围集,以为基于云的安全服务的每个客户提供不同的公共IP地址池。3.根据权利要求1所述的系统,其中使用公共云服务提供商来提供基于云的安全服务。4.根据权利要求1所述的系统,其中使用多个公共云服务提供商来提供基于云的安全服务。5.根据权利要求1所述的系统,其中所述基于云的安全服务为每个其支持的区域维护IP地址范围集,以为基于云的安全服务的每个客户提供不同的公共IP地址池,并且其中第一客户配置与关联于第一客户的不同公共IP地址池相关联的不同安全策略。6.根据权利要求1所述的系统,其中所述网络网关实施安全策略。7.根据权利要求1所述的系统,其中所述网络网关包括虚拟防火墙。8.根据权利要求1所述的系统,其中所述连接请求与新会话相关联,并且其中所述处理器进一步被配置为:确定与新会话相关联的区。9.根据权利要求1所述的系统,其中所述连接请求与新会话相关联,并且其中所述处理器进一步被配置为:基于与连接请求相关联的安全隧道配置来确定与新会话相关联的区。10.根据权利要求1所述的系统,其中所述连接请求与新会话相关联,并且其中所述处理器进一步被配置为:基于与连接请求相关联的域来确定与新会话相关联的区。11.一种同步蜂蜜网络配置以反映目标网络环境的方法,包括:在基于云的安全服务的网络网关处接收连接请求;从与租户相关联的注册公共IP地址集施行源网络地址转换(NAT),其中来自网络网关的出口IP与对应于发送连接请求的用户的区域的区域相关联,以促进SaaS用户的增强的本地用户体验;以及使用基于云的安全服务来提供对软件...
【专利技术属性】
技术研发人员:T,
申请(专利权)人:帕洛阿尔托网络公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。