网络与安全服务的安全功能之间的流元数据交换制造技术

公开了提供网络与安全服务的安全功能之间的流元数据交换的技术。在一些实施例中，用于提供网络与安全服务的安全功能之间的流元数据交换的系统/过程/计算机程序产品包括：在安全服务的网络网关处从软件定义的广域网（SD

【技术实现步骤摘要】
网络与安全服务的安全功能之间的流元数据交换

技术介绍

[0001]防火墙通常保护网络免受未授权访问，同时准许授权的通信通过防火墙。防火墙通常是设备或设备的集合、或者是在诸如计算机之类的设备上执行的软件，其提供用于网络访问的防火墙功能。例如，防火墙可以集成到设备（例如，计算机、智能电话或其他类型的能够进行网络通信的设备）的操作系统中。防火墙还可以集成到计算机服务器、网关、网络/路由设备（例如，网络路由器）或数据装置（例如，安全装置或其他类型的专用设备）中或作为其上的软件被执行。
[0002]防火墙通常基于规则的集合拒绝或准许网络传输。这些规则的集合通常被称为策略。例如，防火墙可以通过应用规则或策略的集合来过滤入站流量。防火墙还可以通过应用规则或策略的集合来过滤出站流量。防火墙还可以能够执行基本路由功能。
附图说明
[0003]在以下详细描述和附图中公开了本专利技术的各种实施例。
[0004]图1A
‑
1B是根据一些实施例的包括示例SD
‑
WAN架构和安全服务的系统环境图。
[0005]图2是图示根据一些实施例的提供网络与安全服务的安全功能之间的流元数据交换的示例部件的系统图。
[0006]图3是图示根据一些实施例的用于为网络的安全洞察与安全服务的安全功能提供一致监视和分析的示例部件的系统图。
[0007]图4A图示了根据一些实施例的网络网关的实施例。
[0008]图4B是数据装置的实施例的逻辑部件的功能图。
[0009]图5是图示根据一些实施例的提供网络与安全服务的安全功能之间的流元数据交换的过程的流程图。
[0010]图6是图示根据一些实施例的用于为网络的安全洞察与安全服务的安全功能提供一致监视和分析的过程的流程图。
[0011]图7是图示根据一些实施例的用于为网络的安全洞察与安全服务的安全功能提供一致监视和分析的过程的另一流程图。
具体实施方式
[0012]本专利技术可以以多种方式来实现，包括被实现为过程；装置；系统；物质的组成；体现在计算机可读存储介质上的计算机程序产品；和/或处理器，诸如被配置成执行存储在耦合到处理器的存储器上和/或由耦合到处理器的存储器提供的指令的处理器。在本说明书中，这些实施方式或本专利技术可以采用的任何其他形式可以被称为技术。通常，所公开的过程的步骤的顺序可以在本专利技术的范围内更改。除非另有说明，否则被描述为被配置成执行任务的诸如处理器或存储器之类的部件可以被实现为被临时配置成在给定时间执行该任务的通用部件或被制造为执行该任务的特定部件。如本文中所使用的那样，术语“处理器”指代被配置成处理数据（诸如计算机程序指令）的一个或多个设备、电路和/或处理核。
[0013]下面连同图示本专利技术的原理的附图一起提供本专利技术的一个或多个实施例的详细描述。结合这样的实施例描述了本专利技术，但是本专利技术不限于任何实施例。本专利技术的范围仅由权利要求限制，并且本专利技术涵盖许多替代方案、修改和等同物。在以下描述中阐述了许多具体细节以便提供对本专利技术的透彻理解。这些细节是出于示例的目的而提供的，并且可以在没有这些具体细节中的一些或全部的情况下根据权利要求来实践本专利技术。出于清楚性目的，未详细描述与本专利技术相关的
中已知的技术材料，使得不会不必要地使本专利技术模糊不清。
[0014]高级或下一代防火墙恶意软件是通常用于指代恶意的软件（例如，包括各种敌对、侵入性和/或以其他方式不想要的软件）的通用术语。恶意软件可以是代码、脚本、活动内容和/或其他软件的形式。恶意软件的示例使用包括破坏计算机和/或网络操作、窃取专有信息（例如，机密信息，诸如身份、金融和/或知识产权相关信息），和/或获得对私有/专有计算机系统和/或计算机网络的访问。不幸的是，随着技术被开发以帮助检测和减轻恶意软件，恶意作者发现规避这种努力的方式。因此，存在对用于识别和减轻恶意软件的技术的改进的持续需要。
[0015]防火墙通常保护网络免受未授权访问，同时准许授权的通信通过防火墙。防火墙通常是设备或设备的集合、或者是在设备上执行的软件，其提供用于网络访问的防火墙功能。例如，防火墙可以集成到设备（例如，计算机、智能电话或其他类型的能够进行网络通信的设备）的操作系统中。防火墙还可以集成到各种类型的设备或安全设备上或作为在其上的软件应用而被执行，所述设备诸如计算机服务器、网关、网络/路由设备（例如，网络路由器）或数据装置（例如，安全装置或其他类型的专用设备，并且在一些实施方式中，某些操作可以在专用硬件（诸如ASIC或FPGA）中实现）。
[0016]防火墙通常基于规则的集合拒绝或准许网络传输。这些规则的集合通常被称为策略（例如，网络策略或网络安全策略）。例如，防火墙可以通过应用规则或策略的集合来过滤入站流量以防止不想要的外部流量到达受保护的设备。防火墙还可以通过应用规则或策略的集合来过滤出站流量（例如，允许、阻止、监视、通知或日志记录，和/或可以在防火墙规则或防火墙策略中指定其他动作，其可以基于各种准则而触发，诸如本文中所描述的那样）。防火墙还可以通过类似地应用规则或策略的集合来过滤本地网络（例如，内联网）流量。
[0017]安全设备（例如，安全装置、安全网关、安全服务和/或其他安全设备）可以执行各种安全操作（例如，防火墙、反恶意软件、入侵防止/检测、代理和/或其他安全功能）、联网功能（例如，路由、服务质量（QoS）、网络相关资源的工作负载均衡、和/或其他联网功能）、和/或其他安全和/或联网相关操作。例如，可以基于源信息（例如，IP地址和端口）、目的地信息（例如，IP地址和端口）和协议信息（例如，基于层
‑
3 IP的路由）来执行路由。
[0018]基本分组过滤防火墙通过检查通过网络发送的各个分组来过滤网络通信流量（例如，分组过滤防火墙或第一代防火墙，其是无状态分组过滤防火墙）。无状态分组过滤防火墙通常检查单独的分组本身并基于所检查的分组应用规则（例如，使用分组的源和目的地地址信息、协议信息和端口号的组合）。
[0019]应用防火墙还可以执行应用层过滤（例如，使用应用层过滤防火墙或第二代防火墙，其在TCP/IP栈的应用级别上工作）。应用层过滤防火墙或应用防火墙通常可以识别某些应用和协议（例如，使用超文本传输协议（HTTP）的网络浏览、域名系统（DNS）请求、使用文件
传输协议（FTP）的文件传输、以及各种其他类型的应用和其他协议，诸如Telnet、DHCP、TCP、UDP和TFTP（GSS））。例如，应用防火墙可以阻止试图通过标准端口进行通信的未授权协议（例如，通常可以使用应用防火墙来识别尝试通过使用该协议的非标准端口来潜行通过（sneak through）的未授权的/超出策略的协议）。
[0020]有状态防火墙还可以执行基于状态的分组检查，其中，在与该网络传输的分组的流/分组流相关联的一系列分组的上下文内检查每个分组（例如，有状态防火墙或第三代防火墙）。该防火墙技术通常被称为有状态分组检查，因为它维护通过防火墙的所有连接的本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种系统，包括：处理器，其被配置成：在安全服务的网络网关处从软件定义的广域网（SD
‑
WAN）设备接收流，其中所述流包括与会话相关联的网络分组的集合；检查所述流以确定和提取与所述流相关联的元信息，其中与所述流相关联的所述元信息包括以下各项中的一个或多个：与所述流相关联的应用识别、与所述流相关联的用户识别、与所述流相关联的设备识别、与所述流相关联的内容识别、以及与所述流相关联的其他元数据；以及将所提取的与所述流相关联的元信息传送到所述SD
‑
WAN设备，其中所述SD
‑
WAN基于策略利用与所述流相关联的所述元数据，而不必使用所述SD
‑
WAN设备的计算资源来执行深度分组检查以便获得与所述流相关联的所述元数据，其中所述策略包括路由策略或安全策略，并且其中所述SD
‑
WAN设备使用与所述流相关联的所述元信息来实施所述路由策略或所述安全策略；以及存储器，其耦合到所述处理器且被配置成为所述处理器提供指令。2.根据权利要求1所述的系统，其中所述流被确定为所述安全服务的所述网络网关处的新的流，并且其中所述元信息包括与所述流相关联的应用识别。3.根据权利要求1所述的系统，其中所述元信息包括与使用深度分组检查确定的所述流相关联的应用识别。4.根据权利要求1所述的系统，其中所述元信息包括与所述流相关联的用户识别。5.根据权利要求1所述的系统，其中所述元信息包括与所述流相关联的设备识别。6.根据权利要求1所述的系统，其中所述安全服务是基于云的安全服务。7.根据权利要求1所述的系统，其中所述安全服务是使用公共云服务提供者提供的基于云的安全服务。8.根据权利要求1所述的系统，其中所述安全服务是使用多个公共云服务提供者提供的基于云的安全服务。9.根据权利要求1所述的系统，其中所述SD
‑
WAN设备将与另一个流相关联的元信息传送给所述安全服务。10.一种方法，包括：在安全服务的网络网关处从软件定义的广域网（SD
‑
WAN）设备接收流，其中所述流包括与会话相关联的网络分组的集合；检查所述流以确定和提取与所述流相关联的元信息，其中与所述流相关联的所述元信息包括以下各项中的一个或多个：与所述流相关联的应用识别、与所述流相关联的用户识别、与所述流相关联的设备识别、与所述流相关联的内容识别、以及与所述流相关联的其他元数据；以及将所提取的与所述流相关联的元信息传送到所述SD
‑
WAN设备，其中所述SD
‑
WAN基于策略利用与所述流相关联的所述元数据，而不必使用所述SD
‑
WAN设备的计算资源来执行深度分组检查以便获得与所述流相关联的所述元数据，其中所述策略包括路由策略或安全策略，并且其中所述SD
‑
WAN设备使用与所述流相关联的所述元信息来实施所述路由策略或所述安全策略。
11.根据权利要求10所述的方法，其中...

【专利技术属性】
技术研发人员：A，
申请(专利权)人：帕洛阿尔托网络公司，
类型：发明
国别省市：