【技术实现步骤摘要】
【国外来华专利技术】
技术介绍
1、用户依靠应用和服务之间的网络通信来完成计算任务。分布式计算系统在内部网络或广域网(wan)中托管和支持不同类型的应用和服务。特别地,该分布式计算系统可以实现安全访问服务边缘(sase),例如安全(基于云的)联网系统,以提供联网和安全性。sase可以作为云服务被提供,以交付对云中应用和工作负载的安全、最佳和自动化访问。例如,iot设备可以是sase兼容的,以——经由云服务——针对iot设备和客户端应用之间的通信提供更高的安全性。
2、传统地,安全联网系统没有被配置全面的计算逻辑和基础设施来有效地提供sase兼容的安全网络通信。传统的安全联网系统针对通信使用在基于ip的通信分组的基础上的vpn(虚拟专用网络)方案(例如,跨平台通信)。例如,虚拟网络适配器可以被配置为捕获来自特定ip地址的流量,然后将该网络流量通信到网络资源或端点。然而,基于ip的网络处理不支持计算资源高效并且降低安全风险的安全网络通信功能。因此,更全面的安全联网系统——具有针对执行安全联网操作的替代基础——可以改进安全联网系统中的计算操作和接口。
技术实现思路
1、本公开描述的技术的各个方面通常指向系统、方法和计算机存储介质,该系统、方法和计算机存储介质,除其他外,用于提供本地协议服务器的方法、系统和计算机存储介质,该本地协议服务器与在安全联网系统中提供客户端转发的安全联网引擎相关联。该本地协议服务器(例如,本地tcp/udp服务器)——在客户端设备上—基于客户端转发操作来操作,该操作包括:
2、传统地,安全联网系统没有被配置全面的计算逻辑和基础设施来有效地提供sase兼容的安全网络通信。一种技术方案——对传统安全联网系统的限制——与安全联网引擎相关联的本地协议服务器,在安全联网系统中提供客户端转发。在操作中,客户端设备上的——本地协议服务器——监听网络连接和分组通信——以便接收经转译的互联网协议(ip)分组,该互联网协议分组中的数据经由sase兼容模型针对安全网络通信被处理。最初,客户端应用尝试将数据流量传输到预期目的地ip地址(例如,mpapp:80);然而,该数据流量被重新路由,使得客户端应用使用经分配的ip地址(例如,安全联网引擎代理ip地址)通信该数据流量(例如,传输控制协议(tcp)同步(syn)分组)。经分配的ip地址替换客户端应用的预期目的地ip地址(即,myapp:80)。经分配的ip地址可以基于主机名解析ip分配或硬编码的ip地址ip分配被提供,该分配将客户端应用的原始预期目的地ip地址替换为经分配的ip地址。该经分配的ip地址允许数据流量被拦截(例如,经由os路由机制),并且通信到分组拦截器设备(例如,tun设备)和经由分组拦截器设备(例如,tun设备)通信。安全联网引擎(例如,经由代理)在监听状态下操作以访问被拦截并被通信到分组拦截器设备的数据流量。安全联网引擎的——目的地网络地址转译器——从数据分组拦截器设备访问数据流量,并将数据流量(例如,tcp syn分组)的目的地(即执行dnat操作)转译为与本地协议服务器相关联的恒定本地ip地址和端口(即,客户端转发ip地址和端口)。
3、本地协议服务器在监听状态下操作,以经由目的地地址转译器和os路由机制访问与经转译的ip分组相关联的数据。特别地,基于dnat操作和经转译的目的地网络地址,os路由机制将数据流量转发到本地协议服务器——经由客户端转发ip地址和端口——使得本地协议服务器接收经转译的ip分组。这样,本地协议服务器(例如,tcp/udp)被配置为接收与源自同一客户端设备上的客户端应用的经转译的ip分组相关联的数据。
4、经转译的ip分组的数据的通信是在客户端应用和本地协议服务器之间进行,两者都在客户端设备上经由客户端转发操作进行通信,该转发操作包含ip分配、操作系统(os)路由、目的地网络地址转译、和原始目的地取回。本地协议服务器可以基于经转译的ip分组建立网络连接。本地协议服务器可以被配置为支持针对与客户端应用相关联的数据流量执行网络安全操作(例如,授权、审计和保护对网络资源的访问)。
5、本
技术实现思路
旨在以简化的形式引入下面在详细描述中进一步描述的概念选择。本
技术实现思路
不旨在标识所要求保护的主题的关键特征或基本特征,也不旨在用作确定所要求保护的主题范围的帮助。
【技术保护点】
1.一种计算机化系统,包括:
2.根据权利要求1所述的系统,其中所述本地协议服务器包括与所述客户端转发IP地址和端口相关联的套接字,所述本地协议服务器被配置为:
3.根据权利要求2所述的系统,其中在所述TCP三次握手期间,来自所述本地协议服务器的同步/确认通信和来自所述客户端应用的确认通信经由所述分组拦截器设备和所述目的地网络地址转译器通信,以在所述客户端应用和所述本地协议服务器之间建立网络连接。
4.根据权利要求1所述的系统,其中所述本地协议服务器还被配置为取回所述经转译的IP分组的源端口,其中所述源端口被映射到所述IP分组的原始目的地数据。
5.根据权利要求1所述的系统,其中所述分组拦截器设备被配置为接收基于多个经分配的IP地址被拦截的IP分组,所述多个经分配的IP地址使拦截所述IP分组并将所述IP分组路由向所述分组拦截器设备。
6.根据权利要求1所述的系统,还包括所述操作系统路由机制,所述操作系统路由机制被配置为:
7.根据权利要求1所述的系统,还包括与主机名解析、硬编码IP地址、经分派的IP地址相关联
8.一个或多个计算机存储介质,其上体现有计算机可执行指令,所述计算机可执行指令当被具有处理器和存储器的计算系统执行时使所述处理器:
9.根据权利要求8所述的介质,其中所述本地协议服务器包括与所述客户端转发IP地址和端口相关联的套接字,所述本地协议服务器被配置为:
10.一种计算机实现的方法,所述方法包括:
...【技术特征摘要】
【国外来华专利技术】
1.一种计算机化系统,包括:
2.根据权利要求1所述的系统,其中所述本地协议服务器包括与所述客户端转发ip地址和端口相关联的套接字,所述本地协议服务器被配置为:
3.根据权利要求2所述的系统,其中在所述tcp三次握手期间,来自所述本地协议服务器的同步/确认通信和来自所述客户端应用的确认通信经由所述分组拦截器设备和所述目的地网络地址转译器通信,以在所述客户端应用和所述本地协议服务器之间建立网络连接。
4.根据权利要求1所述的系统,其中所述本地协议服务器还被配置为取回所述经转译的ip分组的源端口,其中所述源端口被映射到所述ip分组的原始目的地数据。
5.根据权利要求1所述的系统,其中所述分组拦截器设备被配置为接收基于多个经分配的ip地址被拦截的ip分组,所述多个经分配的ip...
【专利技术属性】
技术研发人员:A·卡茨,G·乐文,G·卢温顿,
申请(专利权)人:微软技术许可有限责任公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。