CN102687480B - 基于云的防火墙系统及服务 - Google Patents
基于云的防火墙系统及服务 Download PDFInfo
- Publication number
- CN102687480B CN102687480B CN201080055156.XA CN201080055156A CN102687480B CN 102687480 B CN102687480 B CN 102687480B CN 201080055156 A CN201080055156 A CN 201080055156A CN 102687480 B CN102687480 B CN 102687480B
- Authority
- CN
- China
- Prior art keywords
- request
- compartment wall
- fire compartment
- cdn
- content
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
提供用于保护客户网站免受攻击、机密信息的泄漏和其它安全威胁的基于云的防火墙系统和服务。在各种实施方式中,这样的防火墙系统和服务可以结合具有多个分布式内容服务器的内容发布网络(CDN)来实现。CDN服务器接收对通过CDN分发由客户识别的内容的请求。CDN服务器包括检查那些请求并对照安全威胁来采取行动的防火墙,以便阻止它们到达客户网站。CDN供应商将防火墙系统实现为被管理的防火墙服务,对给定的用户内容的防火墙的操作由该客户限定,而与其他客户无关。在一些实施方式中,客户可以定义对通过所述CDN分发的所识别的客户内容的不同类别的不同的防火墙配置。
Description
本申请是于2010年12月10日提交的美国申请号12/965,188的延续,并且要求其优先权的利益,以及要求于2009年12月12日提交的美国临时申请号61/285,958的优先权的利益,这两个申请的公开特此通过引用被并入。
本专利文件的公开的一部分包括受到版权保护的材料。当本专利文件或本专利公开出现在专利和商标局的专利文件或记录中时,版权拥有者不反对本专利文件或本专利公开被任何人复制,但是在其它情况下不管怎样也保留所有版权权利。
发明领域
本发明一般涉及基于云的防火墙系统及服务,特别是包括在边缘计算或者其它分布式计算系统上实现的这样的系统和服务。
发明背景
在本领域中,分布式计算机系统是已知的。一个这样的分布式计算机系统是由服务供应商操作和管理的“内容分发网络”或者“CDN”。服务供应商通常代表第三方提供服务。这类“分布式系统”通常涉及由一个网络或者多个网络连接的自主计算机的集合,其与软件、系统、协议和技术一起被设计为便于多种服务,例如内容分发或者对外包网站架构的支持。通常,“内容分发”意指代表内容供应商的内容、流媒体和应用的存储、缓存或传输,包括与其一起使用的辅助技术,没有限制地包括DNS请求处理、供给、数据监控和上报、内容设定、个性化和商业智能。通常,术语“外包网站架构”意指使实体能够全部或者部分地代表第三方操作和/或管理第三方的网站架构的分布式系统和相关的技术。
在例如图1中示出的已知系统中,分布式计算机系统100被配置为CDN,并且被假定为具有分布在因特网周围的一组机器102。通常,大多数机器是位于因特网边缘附近,即,在最终用户接入网络处或者附近的服务器。网络运营控制中心(NOCC)104管理系统中的各种机器的操作。第三方网站例如网站106将内容的分发(例如,HTML、嵌入式页面对象、流媒体、软件下载等)卸载到分布式计算机系统100,特别是卸载到在机器102上运行的内容服务器(也被称为“边缘服务器”)。通常,内容供应商通过将(例如,通过DNSCNAME)给定的内容供应商域或者子域化名为由服务供应商的官方域名服务管理的域来卸载其内容分发,更多的细节在美国专利号7,293,093和7,693,959中被阐述,这些专利的公开通过引用被并入本文。操作需要内容的客户端机器122的最终用户被引导到分布式计算机系统100,并且更具体地到其机器102中的一个,以更可靠地和有效地获得该内容。
分布式计算机系统还可以包括其他的架构,例如,分布式数据收集系统108,其从边缘服务器收集用法和其它数据,在一个区域或者一组区域中聚集数据,并且将数据传送到其它的后端系统110、112、114和116以便于监控、记录、警告、记账、管理以及其它操作和管理功能。分布式网络代理118监控网络以及服务器负载,并向DNS查询处理机构115提供网络、业务和负载数据,该DNS查询处理机构对于被CDN管理的内容域是有权威的。分布式数据传输机构可以被用于将控制信息(例如,元数据,以管理内容、便于负载平衡等)分配到边缘服务器。更多的关于控制信息在CDN中的分布可以在美国专利号7,240,100中找到,该专利的公开特此通过引用被全部并入。
如图2中所示的,给定的机器200包括商品硬件202(例如,英特尔奔腾或者其它的处理器),其运行支持一个或者多个应用206a-n的操作系统内核(例如Linux或者变体)204。例如,为了便于内容分发服务,给定的机器通常运行一组应用,例如HTTP代理207(有时被称为“全局主机”或者“克隆备份(ghost)”进程)、名称服务器、局部监控进程210、分布式数据收集进程212等。对于流媒体,机器通常包括一个或者多个媒体服务器,例如Windows媒体服务器(WMS)或者Flash服务器,如被支持的媒体格式所需要的。
客户端机器122包括常规个人计算机、笔记本电脑、其它的数字数据处理设备。客户端机器还包括移动客户端,其可以包括被称为智能电话或者个人数字助理(PDA)的各种移动设备中的任一个。
CDN边缘服务器被配置为优选地在域特定、客户特定的基础上优选地使用配置文件提供一个或者多个扩展的内容分发特征,所述配置文件使用配置系统被分配给边缘服务器。给定的配置文件优选地是基于XML的,并且包括便于一个或者多个高级内容处理特征的一组内容处理规则和指令。配置文件可以通过数据传输机构被分发到CDN边缘服务器。美国专利号7,111,057(其公开通过引用被并入本文)阐述了用于分发和管理边缘服务器内容控制信息例如用于控制文件清除请求的有用架构。
CDN可以包括例如在美国专利号7,472,178中描述的存储子系统(NetStorage),该专利的公开通过引用被并入本文。
CDN可以操作服务器缓存层次(缓存-H)以提供客户内容的中间缓存;一个这样的缓存层次子系统在美国专利号7,376,716中被描述,该专利的公开通过引用被并入本文。
对于流媒体分发,CDN可以包括例如在美国专利号7,296,082中描述的分发子系统,该专利的公开通过引用被并入本文。
CDN能够以在美国公布号2004/0093419和/或美国专利号7,363,361中描述的方式在客户端浏览器、边缘服务器和客户源服务器中提供安全的内容分发,这两个专利的公开通过引用被并入本文。如在其中描述的安全的内容分发加强一方面在客户端和边缘服务器进程之间且另一方面在边缘服务器进程和源服务器进程之间的基于SSL的链路。这使SSL保护的网页和/或其组成部分能够通过边缘服务器被分发。
概述
在此公开的是基于云的防火墙系统和服务,其保护客户源网站免受攻击、机密信息的泄漏和其它安全威胁。这样的防火墙系统和服务可以结合具有多个分布式内容服务器的内容分发网络(CDN)来实现。
例如,在本发明的一个例证性的实施方式中,提供了在由代表参与内容供应商的内容分发网络服务供应商(CDNSP)操作的CDN中的内容分发的方法。参与内容提供商识别将通过CDN被分发的内容。该内容分发方法包括从第一参与内容供应商接收第一防火墙设置,第一防火墙设置规定防火墙如何关于对通过CDN分发由第一参与内容供应商识别的内容的请求来操作。其它可能不同的防火墙设置从第二参与内容供应商接收,该不同的防火墙设置规定防火墙如何关于对通过CDN分发由第二参与内容供应商识别的内容的请求来操作。所述设置以元数据配置文件或者其它形式被发送到CDN中的不同的内容服务器。在那些内容服务器中的一个处,接收对通过CDN分发由参与内容供应商识别的内容的第一请求。内容服务器使用配置有一个或者多个第一防火墙设置的防火墙来评估第一请求。对通过CDN分发由第二参与内容供应商识别的内容的第二请求被接收。该第二请求使用配置有一个或者多个第二防火墙设置的防火墙来被评估。
在相关的实施方式中,在如上所述的方法中,使用配置有一个或者多个第一防火墙设置的防火墙评估第一请求包括针对一个或者多个标准来测试第一请求。第二请求的评估可以被相似地进行。如果满足标准,则可以采取动作,例如拒绝请求、生成警告、更改请求、停止处理请求和记录请求。
防火墙设置可以包括IP地址,对该IP地址,特定的行动被采取,例如,来自特定的IP地址的业务可以被阻挡,或者来自那些地址的业务可以被允许而所有的其它的业务被阻挡。因此,防火墙可以在应用层(对于HTTP请求等)、网络层、和/或其它层应用安全。
在本发明的另一个例证性的实施方式中,提供了在CDN中内容分发的方法,其包括从参与内容供应商接收第一防火墙配置和第二防火墙配置(例如,每一个配置都具有一个或者多个防火墙设置)。参与内容供应商还规定阐述第一防火墙配置是否将被用于评估内容请求的使用标准,以及阐述第二防火墙配置是否将被用于评估内容请求的使用标准。使用标准可以考虑特征,例如请求中的域名、请求中的子域、请求的URL、所请求的内容类型、所请求的内容的文件名、所请求的内容的文件扩展名。
继续前面的例子,这些设置和使用标准被发送到CDN中的内容服务器。在内容服务器中的一个处,接收对参与内容供应商的内容的请求。基于请求和第一防火墙使用配置标准,该内容服务器确定第一防火墙配置是否将被使用,并且如果将被使用,则使用配置有第一防火墙配置的防火墙来评估该请求。基于请求和第二防火墙使用配置标准,该内容服务器确定第二防火墙配置是否将被使用,并且如果将被使用,则使用配置有第二防火墙配置的防火墙来评估该请求。贯穿本公开阐述了另外的特点和特征。
附图简述
从结合附图理解的下面的详细描述中,本发明将被更完全地理解,其中:
图1是本发明可以被实现的内容分发网络的方框图;
图2是CDN中的内容服务器的简化方框图;
图3是根据本发明的一个实施方式的分布式基于云的防火墙系统的图示;
图4是示出了根据本发明的一个实施方式的防火墙的配置的流程图;
图5是用于选择应用层设置以配置防火墙的用户界面的例子;
图6是用于选择网络层设置以配置防火墙的用户界面的例子;
图7是用于指定识别特定的防火墙配置将应用于的那些数字特性和/或文件的匹配标准的用户界面的例子。
图8是配置防火墙的代码的例子;
图9是示出了根据本发明的一个实施方式的所配置的防火墙的操作的流程图;以及
图10是计算机系统的简化方框图,使用该系统,本发明可以被实现。
详细描述
以下的详细描述阐述了提供对在此公开的方法和系统的结构、功能以及使用的原理的全面理解的实施方式。在此描述的以及在附图中示出的方法和系统是非限制的例子;本发明的范围仅由权利要求限定。关于示例性实施方式描述或者示出的特征可以与其它的实施方式的特征结合。这样的修改和变化旨在包括在本发明的范围内。在此引用的所有的专利、出版物和参考资料通过引用被全部明确地并入本文。
在此公开的方法和系统可以在分布式计算机系统例如在图1-2中示出的内容分发网络(“CDN”)中实现,并且将关于这种CDN而被描述。然而,它们并不局限于这样的实现。除了别的以外,在此描述的分布式和共享的网络架构可以被用于从多个网站分发内容。
图3示出根据本发明的一个实施方式的分布式基于云的防火墙系统300和服务。如上面关于图1-2所讨论的,内容服务器302被分布在作为CDN的一部分的因特网周围。在这个系统300中,每一个内容服务器302包括和/或被耦合到防火墙302a。防火墙302a检查并过滤业务,并且配置成基于规定的安全标准来阻挡业务或者使业务通过。防火墙302a可以在应用层、网络层、或者在其它的计算机联网层操作。防火墙302a可以在硬件、软件或者其组合中实现。
需要来自源服务器306的内容的客户端机器322被引导到内容服务器302中的一个。请求(例如,HTTP或者HTTPS请求)在网络边缘由防火墙302a检查,防火墙302a被配置为针对攻击、信息的泄漏、或者其它的类型的安全风险来检查业务。穿过防火墙302a的请求被正常处理,所请求的内容从内容服务器302的高速缓冲存储器被提供,或者从源服务器306由内容服务器302取回用于分发到客户端机器322,或者以另外方式被处理。被识别为攻击或者其它安全威胁的请求(例如那些来自攻击者机器324的请求)触发防火墙302来采取某些行动,例如,阻挡该请求、记录其以用于警告、或者其它行动。因此,威胁通过更靠近源的系统300并且在到达源服务器306之前被识别并阻挡或者以另外方式被处理,从源服务器306卸载负载。在服务器302位于网络“边缘”的情况下,防火墙302a在网络边缘处理那些威胁。应当注意到,除了在内容服务器302上被部署的防火墙系统之外,源服务器306还可以使用其自己的集中式防火墙、入侵探测/保护系统或者其它的安全系统。
尽管CDN供应商可以配置防火墙302a(例如,具有默认设置或者另外的设置),系统300允许与源服务器306相关的内容供应商作为CDN的客户来配置将应用于对内容提供商的内容的请求的防火墙设置。
由于在整个CDN中在多个克隆备份进程中实现防火墙模块,在图3中所示的解决方案是提供用于Web应用保护的高度可升级的外部防御圈的“分布式防火墙”。通过在此描述的元数据配置技术,该解决方案是高度可配置的。通过网络和应用层控制的实现,该模块帮助阻止威胁和发掘技术,例如SQL注入、跨站脚本(XSS)和其它的HTTP攻击。
通过在分布式网络例如CDN中实现在此描述的主题,CDN服务供应商提供防火墙管理的服务。该服务提供用于除了别的以外还阻挡云中的Web应用攻击的可升级的边缘防御系统。该防火墙服务为CDN客户提供容易地和经济地保护他们的Web应用的唯一方法。在没有硬件要管理或者维持的情况下,CDN客户通过CDN服务供应商的客户(外联网)门户来管理他们自己的安全标准设置。另外,该防火墙服务帮助实现支付卡行业(PCI)数据安全标准的顺应性。该架构在多个CDN客户中共享,但是每一个客户可以供给并管理其自己的防火墙以防止攻击。
根据前述的概述,其中的主题现在将被更详细地描述。
1.0基于云的防火墙
基于云的防火墙(CF)是一种对内容分发网络客户的安全模块。该CF模块应用请求的基于规则的评估来扫描可疑的行为,例如,协议违反、HTTP规则违反、请求限制违反、机器人、木马后门、一般攻击(例如,跨站脚本、各种注入攻击等),外发内容泄漏(服务器横幅)以及几个其它的类别。
与支付卡行业数据安全标准(PCI-DSS)的顺应性要求应用防火墙由处理支付卡交易的企业使用,以监控和保护源架构免受目前存在的许多现有web界面的攻击。CF模块可结合PCI模块来使用以帮助客户满足这些PCI顺应性要求。CF解决方案针对通过CDN服务器路由的请求保护源服务器;保护该源的另外的方式也可以被利用。在美国专利号7,260,639中描述了一个这样的解决方案,该专利的公开通过引用被并入本文。
优选地,云防火墙基于一组核心标准(例如,从BreachSecurityLabs可得到的规则集,例如ModSecurityv1.6)。ModSecurity将一组广泛的匹配标准应用于HTTP请求以识别可以被分类为攻击、信息的泄漏或者其它类型的安全威胁的行为。核心规则集定义对Apacheweb服务器的安全规则以及配置参数。在高水平上,安全规则是与数据相关的表达式。该表达式通常是操作符、变量和转换的组合,这产生布尔值。表达式还可以是在其它表达式之间的逻辑或或者与,或者另一个表达式的否定。每一个规则的数据由标识符(或者“id”)、标签、消息、告知请求是否应该被否定的标记、严重级别等组成。
如上所述,防火墙优选地使用规则集,例如由BreachSecurity所支持的开放源ModSecurity核心规则集,其定义了常见并且有害类型的攻击和发掘技术,例如,SQL注入、跨站脚本(XSS)和其它开放式Web应用程序安全项目(OWASP)前10种攻击。其它的规则集可以被利用。
这些核心规则(或者其子集)被转换为元数据功能性解决方案,控制元数据以在美国专利号7,240,100中描述的方式被分发到CDN服务器并在CDN服务器处被应用,该专利的公开通过引用被并入本文。特别是,元数据优选地通过面向客户的外部门户来被供给(例如,通过基于Web的用户界面),并且在元数据配置文件中被提供给内容服务器。因为配置文件可能需要频繁地变化(以处理攻击情况),优选地,CF相关的元数据配置使用专用和快速通信信道而分发到CDN内容服务器进程。对可用于这个目的的有用的通信架构,见美国专利号7,149,807(该专利的公开通过引用被并入本文)。在一些实施方式中,遍及分布式系统的配置文件的部署可以在短时间段内完成,有利地实现对攻击的响应。
当防火墙在特定的内容服务器上被激活时,CF元数据配置文件应为查找作好准备。如下面关于图8描述的,几个标签和特征在元数据结构中被提供,使得CDN内容服务器进程(克隆备份)可以支持规则集处理。
2.0配置概述
图4示出了配置过程。在步骤400中,(为以前配置的防火墙)创建或者选择防火墙实例。在步骤402中,应用层设置被配置。防火墙的过滤功能通过建立定义攻击或者其它类型的安全威胁的标准来控制,防火墙使用该标准来检查业务。(在可选的实施方式中,标准可以被实现以定义安全的或者“信任的”业务,例如,来自特定的源或者具有特定签名的业务。为了描述的方便,在下文中,术语“安全标准”被用于总起来说指前述类型的标准)。可以通过选择/启用来自规则集的预定的规则或者可选地直接通过明确地创造布尔表达式或者其它逻辑来选择安全标准。图5示出了用于选择预定规则的用户界面,预定规则将应用于被标识为“测试-测试”的防火墙实例。该用户界面还允许行动的选择,当检测到业务满足安全标准时,防火墙采取所述动作。
在步骤404中,配置对网络层的设置。这样的设置可以包括要阻挡的IP地址(黑名单)或者其它的安全标准的指定。设置还可以包括例如准许访问而没有进一步的检查的主机/网络的IP地址所组成的白名单或者基于在对内容的请求中接收的信息的其它规则的指定。图6示出了通过单独地输入IP地址或者以CIDR(无类别域间路由)表示法来配置网络层设置的用户界面。
防火墙的特定配置可以被用于评估对内容的一些请求,而不是其它。在步骤406中,定义配置的用法。这可以通过指定指示配置将应用的标准来完成,该标准也被称为匹配目标。例如,在图5和6中示出的设置可以仅被应用于对来自选定的域或者子域的内容的请求,或者可以仅被应用于对某些类型的内容(例如,具有特定的文件扩展名或者具有其它的特征的那些内容)的请求。图7示出了用于规定这样的标准的用户界面。
配置防火墙的过程还可以包括定义对传输层(例如,防火墙可以被配置为与使用UDP或者其它协议的业务不同地使用TCP来处理业务)或者其它网络层的标准。尽管通常防火墙配置将统一地在内容服务器中对给定的客户应用,在可选的实施方式中,在不同的内容服务器上操作的防火墙对于给定的客户可以被不同地配置。
在步骤408中,防火墙的配置被部署到CDN中的内容服务器(例如,通过在业务信道上部署元数据配置文件,如上所述)。
2.1配置文件
在优选的实施方式中,CF模块涉及两个配置文件:(1)CF规则配置文件,其管理应用和网络规则以及实时上报配置(在此称为“CF元数据配置文件”或者“CF规则配置文件”)。(2)标准替代资源定位器(ARL)配置文件,其管理网站的设置(在此称为“主配置文件”)。可选的实施方式可以不使用双配置文件或者根本不使用配置文件。
2.2CF规则配置文件
优选地,对CF订约的CDN客户仅有一个CF配置文件。通过防火墙实例和匹配目标的使用,单独的CF策略可使用这单个文件应用于不同的数字产权和URL。这确实提供了一些额外的灵活性,其可以允许不同的防火墙策略应用于在同一数字产权上的不同的URL,并且也允许相同的防火墙策略应用于其它的产权。CF规则配置优选地包括几个组成部分:
防火墙实例——应用于匹配目标的设置。
应用层控制配置
网络层控制配置
实时上报配置(RTR)
匹配目标——用于确定防火墙实例是否需要被应用的标准。
匹配目标
要应用的防火墙实例
应用应用层控制
应用网络层控制
2.3防火墙实例
防火墙实例表示当特定的实例基于匹配目标标准而被调用时将被应用于请求的所启用的控制的分组。在一个实现中,匹配目标可以仅调用一个防火墙实例。匹配目标可以被处理,使得底部匹配获胜并且适当的防火墙实例被使用。匹配目标还可以按照等级被处理,使得应用于域的匹配目标(和相关的防火墙配置)被应用于子域的匹配目标所胜过,该匹配目标被应用于特定内容类型的匹配目标所胜过,等等。
应用层控制定义对每一个请求检查的安全标准和如果攻击被识别出则采取的行动。可能的行动是警告(不拒绝该请求,仅产生警告并继续处理HTTP请求)以及拒绝(拒绝该请求,导致HTTP403响应、警告的生成、以及停止处理HTTP请求)。对于攻击的分类,应用层控制例如基于ModSecurity或者其它的规则集被分组到较高级别的组中。在每一个分类中,优选地存在几个特定的探测标准。
客户可以选择来仅应用他们选择的特定的规则,并配置每一个规则以警告、拒绝或者采取其它行动。
网络层控制定义例如将被应用于网站的IP限制。来自特定IP地址的请求可以被阻挡和/或允许,或者严格的黑名单/白名单可被应用。多个IP地址可以使用CIDR表示法来被指定。
通过CDN服务的数字产权,实时上报定义URL,边缘服务器进程(克隆备份)将基于被触发的规则将数据发布到该URL。CDN可以包括基于服务器电子邮件的日志分发服务(LDS),其向CDN客户报告数据。CDNLDS可以包括选项以添加对W3C和组合格式的字段的选项。为了向CDN客户提供更多的实时信息,实时上报被用于向客户快速地发送CF特定的数据。因为数据作为POST被发送,客户可以创建POST处理应用以用适合于他们的需要的任何方式作出反应,例如立即生成警告或者仅仅一个警告——如果在Y分钟内生成了X个警告。
注意到防火墙实例的激活/去激活以及该实例内的规则处理的启用/禁用之间的差别是有益的。激活/去激活应该偶尔出现——仅当防火墙实例被首次创建或者删除时。激活/去激活控制包括/移除对例如在较大的元数据配置文件(其可以包括对内容服务器克隆备份进程的其它控制信息)内的CF数据文件的参考的过程。优选地,它涉及修改/部署克隆备份元数据文件(其包括其它这样的控制信息)。
另一方面,在激活的防火墙实例内的规则处理的启用/禁用是由包含在配置文件内的状态元数据标签所控制的。修改/部署配置文件被规定为是比修改/部署克隆备份元数据文件更快的过程,优选地使用专用于此目的的通信信道(从门户到内容服务器)。以这种方式,规则处理的启用/禁用可以更频繁地出现(如果需要的话)。禁用使规则被忽略,直到被重新激活为止(规则仍然在内容服务器上,但是在重新启用之前不被执行)。防火墙配置的快速分发由此优选地使用专用的元数据通道来传送每客户配置文件,其对于所有的客户防火墙实例参考选定的核心规则集规则和IP阻挡规则。
2.4匹配目标
匹配目标表示指示防火墙标准应该被应用的特定标准。如果URL与匹配目标匹配,指定的防火墙实例以及应用层控制和/或网络层控制将被应用,如对匹配目标所选择的。
匹配目标需要CDN客户数字产权(例如,客户域、子域或者类似物)以及至少一个其它标准的URI匹配标准:路径、默认文件和文件扩展名。一旦所有匹配标准被评估,运行CF的内容服务器进程(克隆备份)就将知道防火墙实例是否将被应用以及该实例内的控制是否将被应用。
2.5主配置文件
用于数字产权的主元数据配置文件具有在CF规则配置文件将被使用之前通过可选特征选项启用的CF模块,而不管匹配目标。
CF规则配置“被插入”到动态地使用标签例如<akamai:insert>标签的主配置文件中。当CF可选特征被启用时,<akamai:insert>标签被插入到具有适当的标签的客户网站元数据的起始部分中(参见美国专利号7,240,100),以识别CF规则配置文件。作为安全要求,当CF模块被启用时,克隆备份到克隆备份(G2G)认证被启用。
2.6元数据结构
图8示出了当某些标准被满足时给激活防火墙的两个示例性的规则编码的元数据。几个标签和特征被包括在元数据结构中,使得CDN内容服务器进程(例如,克隆备份)可以支持规则集处理。
在图8的例子中,两个行动都在<match:regex>内,但是任何匹配或匹配的组合实际上可以被使用。标签<akamai:fw-rules>被用于将防火墙规则集合到一起。
可以使用以下术语:
名称 | 描述 |
防火墙元数据 | 包含在<akamai:firewall-config>内的元数据的任何阻挡 |
防火墙标准 | 多个匹配中的一个和行动的组合。规则必须属于防火墙元数据。 |
防火墙行动 | 当规则被触发时定义做什么的元数据。 |
2.6.1元数据控制
使用以下元数据控制标签来控制CF特征。在本实施方式中,在遇到任何防火墙元数据之前,CF特征被设置在元数据文件的开始部分中。
2.6.2行动
行动使用作为可列出的节点的<security:firewall.action>来限定。<security:firewall.action>节点可以包括这些标签中的任一个:
如果云防火墙开启,则防火墙元数据被执行。如果行动使拒绝标记开启,控制流在防火墙元数据后重新开始。一旦元数据被应用于该阶段,边缘服务器克隆备份就将向用户返回具有来自行动的错误状态代码的错误页面。
3.0防火墙请求处理
图9示出了通过防火墙来处理请求,该处理在许多实现中在内容服务器内运行或者结合内容服务器来运行。在步骤900,请求被接收。当对CDN内容服务器(或者更具体地,对在该服务器中执行的克隆备份进程)作出请求时,评估数字产权以确定对该请求使用的适当的配置文件。(参见美国专利号7,240,100。)
在步骤902中,对该数字产权的主配置文件被取回并评估。使用<akamai:insert>标签将CF规则配置(例如,以XML格式或者其它格式的元数据)插入主元数据配置文件中。(在其它的实施方式中,CF规则配置文件可以被单独地评估,或者传递期望的防火墙配置的其它方式可以被使用。)
在步骤904中,在配置中规定的CF匹配目标被评估以确定防火墙实例是否将被调用。例如,可以对照上面在图7中示出的匹配目标标准来测试请求,以确定它是否是来自匹配域、子域的内容,是否具有匹配的文件扩展名,等等。如果没有一个标准被满足,意味着客户配置的该防火墙不对这样的内容的请求激活,于是防火墙不需要被调用,且CF被完成。克隆备份进程评估主配置文件的其余部分,并且请求继续被相应地处理。响应于请求,例如,内容服务器可以从其高速缓冲存储器提供内容或者从源服务器取回这样的内容用于分发给请求者。
如果请求与匹配目标匹配,则在步骤910-914中,防火墙实例被调用以对照安全标准来评估请求。如果请求不满足安全标准中的任一个,接着请求清除防火墙并继续如正常一样并根据主配置文件中的其它的指令来处理。(步骤916。)该处理可能导致CDN中的内容服务器从其高速缓冲存储器提供所请求的内容,或者从源服务器取回它用于分发给请求者。
如果启用的规则条件触发安全条件,则防火墙采取行动。要采取的行动在规则配置文件中被规定。(参见图5)例如,在“仅警告”模式中,使用触发警告的规则来记下/记录警告,并且CF规则继续对照请求而被处理。(步骤918、922。)在“拒绝”模式中,警告被记下/记录,并且对CF规则和配置文件的处理被停止。(步骤918、922。)如果检测到任何“警告”或者“拒绝”行动,将激活实时上报(如果它被配置)。检测到的攻击的日志/报告、采取的行动、或者与防火墙模块相关的其它信息通过门户(外联网)被传递给用户。
4.0实现
使用在软件、硬件或者其组合中实现的上述功能特征,在此描述的客户端、服务器和其它设备可以在常规的计算机系统上实现,如被其中的教导修改的。
软件可以包括一个或者几个分立的程序。任何给定的功能可以包括任何给定的模块、进程、执行线程、或者其它这样的编程结构的部分。概括地说,以上描述的每一个功能可以被实现为计算机代码,即,作为一组计算机指令,用于通过使用常规装置例如处理器、计算机、机器、系统、数字数据处理设备或者其它装置执行代码来执行所述的功能。
图10是示出计算机系统1000中的硬件的方框图,为了实现本发明的实施方式,这些软件可以在计算机系统1000上运行。计算机系统1000可以体现在客户设备、服务器、个人计算机、工作站、平板电脑、无线设备、移动设备、网络设备、路由器、集线器、网关或者其它设备中。
计算机系统1000包括被耦合到总线1001的处理器1004。在一些系统中,可以使用多个处理器和/或处理器核心。计算机系统1000还包括主存储器1010,例如随机存取存储器(RAM)或者被耦合到总线1001用于存储由处理器1004执行的信息和指令的其它存储设备。只读存储器(ROM)1008被耦合到总线1001用于存储对处理器1004的信息和指令。非易失性存储设备1006例如磁盘、固态储存器(例如,闪存)或者光盘被提供和耦合到总线1001用于存储信息和指令。其它的专用集成电路(ASICs)、现场可编程门阵列(FPGAs)或者电路可以被包括在计算机系统1000内以执行在此描述的功能。
外围接口1012通信地将计算机系统1000耦合到显示在计算机系统上执行的软件的输出的用户显示器1014,以及将用户输入和指令传递到计算机系统1000的输入设备1015(例如,键盘、鼠标、跟踪板、触摸屏)。外围接口1012可以包括接口电路、用于局部总线例如RS-485的控制和/或电平移动逻辑、通用串行总线(USB)、IEEE1394或者其它通信链路。
计算机系统1000被耦合到提供系统总线1001和外部通信链路之间的链接的通信接口1016(例如,在物理层、数据链路层、或者另外的层处)。通信接口1016提供网络链路1018。通信接口1016可以代表以太网或者其它网络接口卡(NIC)、无线接口、调制解调器、光接口、或者其它种类的输入/输出界面。
网络链路1018通过一个或者多个网络将数据通信提供到其它设备。这样的设备包括作为局域网(LAN)1026的部分的其它计算机系统。此外,网络链路1018通过因特网服务供应商(ISP)1020将链接提供到因特网1022。因特网1022又可以将链接提供到其它计算系统,例如远程服务器1030和/或远程客户端1031。网络链路1018和这样的网络可以使用分组交换、电路交换或者其它数据传输方法来传输数据。
在操作中,作为执行代码的处理器的结果,计算机系统1000可以实现在此描述的功能。这样的代码通常从非临时性计算机可读介质读取或者由非临时性计算机可读介质提供,非临时性计算机可读介质例如是存储器1010、ROM1008或者存储设备1006。非临时性计算机可读介质的其它形式包括磁盘、磁带、磁性媒体、CD-ROM、光学媒体、RAM、PROM、EPROM和EEPROM。也可以使用任何其它非临时性计算机可读介质。执行代码也可以从网络链路1018读取(例如,以下的在接口缓冲器中的临时存储器、局部存储器或者其它电路)。
Claims (57)
1.一种保护免受安全威胁的方法,所述方法可在由代表多个参与内容供应商的内容分发网络服务供应商CDNSP管理的内容分发网络CDN中操作,其中所述CDN分发代表所述多个参与内容供应商的内容,所述方法包括:
从第一参与内容供应商接收一个或者多个第一防火墙设置,所述一个或者多个第一防火墙设置规定防火墙如何关于对正在通过所述CDN被分发的所述第一参与内容供应商的内容的请求来操作;
从第二参与内容供应商接收一个或者多个第二防火墙设置,所述一个或者多个第二防火墙设置规定防火墙如何关于对正在通过所述CDN被分发的所述第二参与内容供应商的内容的请求来操作;
将所述一个或者多个第一防火墙设置和所述一个或者多个第二防火墙设置传递到所述CDN中的多个内容服务器;
在所述CDN中的所述多个内容服务器中的一个处,接收对所述第一参与内容供应商的内容的第一请求,并且使用配置有所述一个或者多个第一防火墙设置的防火墙评估所述第一请求;
在所述CDN中的所述多个内容服务器中的一个处,接收对所述第二参与内容供应商的内容的第二请求,并且使用配置有所述一个或者多个第二防火墙设置的防火墙评估所述第二请求。
2.如权利要求1所述的方法,其中,由所述一个或者多个第一防火墙设置规定的防火墙配置不同于由所述一个或者多个第二防火墙设置规定的防火墙配置。
3.如权利要求1所述的方法,其中,使用配置有所述一个或者多个第一防火墙设置的防火墙评估所述第一请求包括:针对一个或者多个标准来测试所述第一请求,并且如果该一个或者多个标准被满足,则采取关于所述第一请求的行动。
4.如权利要求3所述的方法,其中,所采取的行动是保护行动。
5.如权利要求3所述的方法,其中,使用配置有所述一个或者多个第二防火墙设置的防火墙评估所述第二请求包括:针对一个或者多个标准来测试所述第二请求,并且如果该一个或者多个标准被满足,则采取关于所述第二请求的行动。
6.如权利要求1所述的方法,其中,所述一个或者多个第一防火墙设置和所述一个或者多个第二防火墙设置中的任一个规定以下项中的至少一个:(i)被针对来测试内容请求的一个或者多个标准,以及(ii)将采取的关于满足一个或者多个标准的内容请求的行动。
7.如权利要求1所述的方法,其中,所述一个或者多个第一防火墙设置和所述一个或者多个第二防火墙设置中的任一个规定被针对来测试内容请求的一个或者多个标准,该一个或者多个标准定义试图识别安全威胁的规则。
8.如权利要求1所述的方法,其中,所述一个或者多个第一防火墙设置和所述一个或者多个第二防火墙设置中的任一个规定如果请求满足一个或者多个标准则将采取的关于该请求的行动,所述行动选自一组行动,该组行动是:拒绝所述请求、产生警告、修改所述请求、停止处理所述请求以及记录所述请求。
9.如权利要求1所述的方法,其中,所述一个或者多个第一防火墙设置和所述第二防火墙设置中的任一个规定一个或者多个IP地址,来自所述IP地址的业务服从于给定的行动。
10.如权利要求9所述的方法,其中所述一个或者多个第一防火墙设置和所述第二防火墙设置中的任一个规定一个或者多个IP地址,来自所述IP地址的业务被阻挡。
11.如权利要求1所述的方法,其中,所述第一请求和所述第二请求中的至少一个是应用层请求。
12.如权利要求11所述的方法,其中,所述第一请求和所述第二请求中的至少一个是HTTP请求。
13.如权利要求1所述的方法,其中,所述一个或者多个第一防火墙设置和所述一个或者多个第二防火墙设置以元数据配置文件被传递到所述多个内容服务器。
14.如权利要求1所述的方法,其中,所述多个内容服务器中的至少一个包括被定位在网络边缘附近的边缘服务器。
15.如权利要求1所述的方法,其中,所述多个内容服务器被分布在因特网周围。
16.如权利要求1所述的方法,其中,所述一个或多个第一防火墙设置和所述一个或多个第二防火墙设置各自包括一个或多个应用层设置。
17.一种由代表多个参与内容供应商的内容分发网络服务供应商CDNSP管理的内容分发网络CDN的系统,其中,所述CDN分发代表所述多个参与内容供应商的内容,所述CDN包括多个内容服务器,所述多个内容服务器包括:
用于接收一个或者多个第一防火墙设置的模块,所述一个或者多个第一防火墙设置规定防火墙如何关于对正在通过所述CDN被分发的第一参与内容供应商的内容的请求来操作;
用于接收一个或者多个第二防火墙设置的模块,所述一个或者多个第二防火墙设置规定防火墙如何关于对正在通过所述CDN被分发的第二参与内容供应商的内容的请求来操作;
用于在所述CDN中的所述多个内容服务器中的一个处,接收对所述第一参与内容供应商的内容的第一请求,并且使用设置有所述一个或者多个第一防火墙设置的防火墙评估所述第一请求的模块;
用于在所述CDN中的所述多个内容服务器中的一个处,接收对所述第二参与内容供应商的内容的第二请求,并且使用配置有所述一个或者多个第二防火墙设置的防火墙评估所述第二请求的模块。
18.如权利要求17所述的CDN的系统,其中,由所述一个或者多个第一防火墙设置规定的防火墙配置不同于由所述一个或者多个第二防火墙设置规定的防火墙配置。
19.如权利要求17所述的CDN的系统,其中,使用配置有所述一个或者多个第一防火墙设置的防火墙评估所述第一请求包括:针对一个或者多个标准来测试所述第一请求,并且如果该一个或者多个标准被满足,则采取关于所述第一请求的行动。
20.如权利要求19所述的CDN的系统,其中,所采取的行动是保护行动。
21.如权利要求19所述的CDN的系统,其中,使用配置有所述一个或者多个第二防火墙设置的防火墙评估所述第二请求包括:针对一个或者多个标准来测试所述第二请求,并且如果该一个或者多个标准被满足,则采取关于所述第二请求的行动。
22.如权利要求17所述的CDN的系统,其中,所述一个或者多个第一防火墙设置和所述一个或者多个第二防火墙设置中的任一个规定以下项中的至少一个:(i)被针对来测试内容请求的一个或者多个标准,以及(ii)将采取的关于满足一个或者多个标准的内容请求的行动。
23.如权利要求17所述的CDN的系统,其中,所述一个或者多个第一防火墙设置和所述一个或者多个第二防火墙设置中的任一个规定被针对来测试内容请求的一个或者多个标准,该一个或者多个标准定义试图识别安全威胁的规则。
24.如权利要求17所述的CDN的系统,其中,所述一个或者多个第一防火墙设置和所述一个或者多个第二防火墙设置中的任一个规定如果请求满足一个或者多个标准则将采取的关于该请求的行动,所述行动选自一组行动,该组行动是:拒绝所述请求、产生警告、修改所述请求、停止处理所述请求以及记录所述请求。
25.如权利要求17所述的CDN的系统,其中,所述一个或者多个第一防火墙设置和所述第二防火墙设置中的任一个规定一个或者多个IP地址,来自所述IP地址的业务服从于给定的行动。
26.如权利要求25所述的CDN的系统,其中所述一个或者多个第一防火墙设置和所述第二防火墙设置中的任一个规定一个或者多个IP地址,来自所述IP地址的业务被阻挡。
27.如权利要求17所述的CDN的系统,其中,所述第一请求和所述第二请求中的至少一个是应用层请求。
28.如权利要求27所述的CDN的系统,其中,所述第一请求和所述第二请求中的至少一个是HTTP请求。
29.如权利要求17所述的CDN的系统,其中,所述一个或者多个第一防火墙设置和所述一个或者多个第二防火墙设置中的任一个在元数据配置文件中由所述多个内容服务器接收。
30.如权利要求17所述的CDN的系统,其中,所述多个内容服务器中的至少一个包括被定位在网络边缘附近的边缘服务器。
31.如权利要求17所述的CDN的系统,其中,所述多个内容服务器被分布在因特网周围。
32.如权利要求17所述的CDN的系统,其中,所述一个或多个第一防火墙设置和所述一个或多个第二防火墙设置各自包括一个或多个应用层设置。
33.一种保护免受安全威胁的方法,所述方法可在由代表多个参与内容供应商的内容分发网络服务供应商CDNSP管理的内容分发网络CDN中操作,其中所述CDN分发代表所述多个参与内容供应商的内容,所述方法包括:
从参与内容供应商接收一个或者多个第一防火墙设置,所述一个或者多个第一防火墙设置表示第一防火墙配置;
从所述参与内容供应商接收指示所述第一防火墙配置是否将被用于评估内容请求的一个或者多个标准,即第一防火墙配置使用标准;
从所述参与内容供应商接收一个或者多个第二防火墙设置,所述一个或者多个第二防火墙设置表示第二防火墙配置;
从所述参与内容供应商接收指示所述第二防火墙配置是否将被用于评估内容请求的一个或者多个标准,即第二防火墙配置使用标准;
将所述一个或者多个第一防火墙设置和所述一个或者多个第二防火墙设置传递到所述CDN中的多个内容服务器;
在所述CDN中的所述多个内容服务器中的一个处,接收对所述参与内容供应商的内容的请求;
基于所述请求和所述第一防火墙配置使用标准,确定所述第一防火墙配置是否将被使用,并且如果所述第一防火墙配置将被使用,使用配置有所述第一防火墙配置的防火墙来评估所述请求;
基于所述请求和所述第二防火墙配置使用标准,确定所述第二防火墙配置是否将被使用,并且如果所述第二防火墙配置将被使用,使用配置有所述第二防火墙配置的防火墙来评估所述请求。
34.如权利要求33所述的方法,其中,所述第一防火墙配置使用标准和所述第二防火墙配置使用标准中的至少一个包括:请求中的域名、请求中的子域、请求的URL、所请求的内容类型、所请求的内容的文件名、所请求的内容的文件扩展名。
35.如权利要求33所述的方法,其中,所述第一防火墙配置使用标准不同于所述第二防火墙配置使用标准。
36.如权利要求33所述的方法,其中,使用配置有所述第一防火墙配置的防火墙评估所述请求包括:针对一个或者多个标准来测试所述请求,并且如果该一个或者多个标准被满足则采取关于所述请求的行动。
37.如权利要求36所述的方法,其中,所采取的行动是保护行动。
38.如权利要求36所述的方法,其中,使用配置有所述第二防火墙配置的防火墙评估所述请求包括:针对一个或者多个标准来测试所述请求,并且如果该一个或者多个标准被满足则采取关于所述请求的行动。
39.如权利要求33所述的方法,其中,所述一个或者多个第一防火墙设置和所述一个或者多个第二防火墙设置中的任一个规定以下项中的至少一个:(i)被针对来测试内容请求的一个或者多个标准,以及(ii)将采取的关于满足一个或者多个标准的内容请求的行动。
40.如权利要求33所述的方法,其中,所述一个或者多个第一防火墙设置和所述一个或者多个第二防火墙设置中的任一个规定如果请求满足一个或者多个标准则将采取的关于该请求的行动,所述行动选自一组行动,该组行动是:拒绝所述请求、产生警告、修改所述请求、停止处理所述请求以及记录所述请求。
41.如权利要求33所述的方法,其中,所述一个或者多个第一防火墙设置和所述第二防火墙设置中的任一个规定一个或者多个IP地址,来自所述IP地址的业务服从于给定的行动。
42.如权利要求41所述的方法,其中所述一个或者多个第一防火墙设置和所述第二防火墙设置中的任一个规定一个或者多个IP地址,来自所述IP地址的业务被阻挡。
43.如权利要求33所述的方法,其中,所述请求是应用层请求。
44.如权利要求33所述的方法,其中,所述一个或者多个第一防火墙设置和所述一个或者多个第二防火墙设置以元数据配置文件被传递到所述多个内容服务器。
45.如权利要求33所述的方法,还包括将所述第一防火墙配置使用标准和所述第二防火墙配置使用标准传递到所述CDN中的多个内容服务器。
46.一种由代表多个参与内容供应商的内容分发网络服务供应商CDNSP管理的内容分发网络CDN的系统,其中,所述CDN分发代表所述多个参与内容供应商的内容,所述CDN包括多个内容服务器,所述多个内容服务器包括:
用于接收一个或者多个第一防火墙设置的模块,所述一个或者多个第一防火墙设置规定防火墙如何关于对正在通过所述CDN被分发的第一参与内容供应商的内容的请求来操作,所述一个或者多个第一防火墙设置表示第一防火墙配置;
用于从所述参与内容供应商接收指示所述第一防火墙配置是否将被用于评估内容请求的一个或者多个标准,即第一防火墙配置使用标准的模块;
用于接收一个或者多个第二防火墙设置的模块,所述一个或者多个第二防火墙设置规定防火墙如何关于对正在通过所述CDN被分发的第二参与内容供应商的内容的请求来操作,所述一个或者多个第二防火墙设置表示第二防火墙配置;
用于从所述参与内容供应商接收指示所述第二防火墙配置是否将被用于评估内容请求的一个或者多个标准,即第二防火墙配置使用标准的模块;
用于在所述CDN中的所述多个内容服务器中的一个处,接收对所述参与内容供应商的内容的请求的模块;
用于基于所述请求和所述第一防火墙配置使用标准,确定所述第一防火墙配置是否将被使用,并且如果所述第一防火墙配置将被使用,则使用配置有所述第一防火墙配置的防火墙来评估所述请求的模块;
用于基于所述请求和所述第二防火墙配置使用标准,确定所述第二防火墙配置是否将被使用,并且如果所述第二防火墙配置将被使用,则使用配置有所述第二防火墙配置的防火墙来评估所述请求的模块。
47.如权利要求46所述的CDN的系统,其中,所述第一防火墙配置使用标准和所述第二防火墙配置使用标准中的至少一个包括:请求中的域名、请求中的子域、请求的URL、所请求的内容类型、所请求的内容的文件名、所请求的内容的文件扩展名。
48.如权利要求46所述的CDN的系统,其中,所述第一防火墙配置使用标准不同于所述第二防火墙配置使用标准。
49.如权利要求46所述的CDN的系统,其中,使用配置有所述第一防火墙配置的防火墙评估所述请求包括:针对一个或者多个标准来测试所述请求,并且如果该一个或者多个标准被满足则采取关于所述请求的行动。
50.如权利要求49所述的CDN的系统,其中,所采取的行动是保护行动。
51.如权利要求49所述的CDN的系统,其中,使用配置有所述第二防火墙配置的防火墙评估所述请求包括:针对一个或者多个标准来测试所述请求,并且如果该一个或者多个标准被满足则采取关于所述请求的行动。
52.如权利要求46所述的CDN的系统,其中,所述一个或者多个第一防火墙设置和所述一个或者多个第二防火墙设置中的任一个规定以下项中的至少一个:(i)被针对来测试内容请求的一个或者多个标准,以及(ii)将采取的关于满足一个或者多个标准的内容请求的行动。
53.如权利要求46所述的CDN的系统,其中,所述一个或者多个第一防火墙设置和所述一个或者多个第二防火墙设置中的任一个规定如果请求满足一个或者多个标准则将采取的关于该请求的行动,所述行动选自一组行动,该组行动是:拒绝所述请求、产生警告、修改所述请求、停止处理所述请求以及记录所述请求。
54.如权利要求46所述的CDN的系统,其中,所述一个或者多个第一防火墙设置和所述第二防火墙设置中的任一个规定一个或者多个IP地址,来自所述IP地址的业务服从于给定的行动。
55.如权利要求54所述的CDN的系统,其中所述一个或者多个第一防火墙设置和所述第二防火墙设置中的任一个规定一个或者多个IP地址,来自所述IP地址的业务被阻挡。
56.如权利要求46所述的CDN的系统,其中,所述请求是应用层请求。
57.如权利要求46所述的CDN的系统,其中,所述一个或者多个第一防火墙设置和所述一个或者多个第二防火墙设置中的任一个在元数据配置文件中由所述多个内容服务器接收。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US28595809P | 2009-12-12 | 2009-12-12 | |
US61/285,958 | 2009-12-12 | ||
US12/965,188 | 2010-12-10 | ||
US12/965,188 US8458769B2 (en) | 2009-12-12 | 2010-12-10 | Cloud based firewall system and service |
PCT/US2010/060089 WO2011072289A2 (en) | 2009-12-12 | 2010-12-13 | Cloud-based firewall system and service |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102687480A CN102687480A (zh) | 2012-09-19 |
CN102687480B true CN102687480B (zh) | 2015-11-25 |
Family
ID=44146221
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201080055156.XA Active CN102687480B (zh) | 2009-12-12 | 2010-12-13 | 基于云的防火墙系统及服务 |
Country Status (5)
Country | Link |
---|---|
US (5) | US8458769B2 (zh) |
EP (1) | EP2510648B1 (zh) |
CN (1) | CN102687480B (zh) |
ES (1) | ES2702097T3 (zh) |
WO (1) | WO2011072289A2 (zh) |
Families Citing this family (86)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8533821B2 (en) | 2007-05-25 | 2013-09-10 | International Business Machines Corporation | Detecting and defending against man-in-the-middle attacks |
US9071650B1 (en) * | 2008-09-17 | 2015-06-30 | Socialware, Inc. | Method, system and computer program product for enforcing access controls to features and subfeatures on uncontrolled web application |
US20100269162A1 (en) | 2009-04-15 | 2010-10-21 | Jose Bravo | Website authentication |
US8683609B2 (en) | 2009-12-04 | 2014-03-25 | International Business Machines Corporation | Mobile phone and IP address correlation service |
US8458769B2 (en) * | 2009-12-12 | 2013-06-04 | Akamai Technologies, Inc. | Cloud based firewall system and service |
US9065800B2 (en) | 2011-03-18 | 2015-06-23 | Zscaler, Inc. | Dynamic user identification and policy enforcement in cloud-based secure web gateways |
US9531758B2 (en) | 2011-03-18 | 2016-12-27 | Zscaler, Inc. | Dynamic user identification and policy enforcement in cloud-based secure web gateways |
US8838988B2 (en) | 2011-04-12 | 2014-09-16 | International Business Machines Corporation | Verification of transactional integrity |
US9274812B2 (en) | 2011-10-06 | 2016-03-01 | Hand Held Products, Inc. | Method of configuring mobile computing device |
EP2592806A1 (en) * | 2011-11-10 | 2013-05-15 | Alcatel-Lucent Deutschland AG | Method of identifying a distributed infrastructure attack in a highly distributed cloud |
US9118689B1 (en) | 2012-04-13 | 2015-08-25 | Zscaler, Inc. | Archiving systems and methods for cloud based systems |
US9350644B2 (en) | 2012-04-13 | 2016-05-24 | Zscaler. Inc. | Secure and lightweight traffic forwarding systems and methods to cloud based network security systems |
US9912638B2 (en) | 2012-04-30 | 2018-03-06 | Zscaler, Inc. | Systems and methods for integrating cloud services with information management systems |
US8955091B2 (en) | 2012-04-30 | 2015-02-10 | Zscaler, Inc. | Systems and methods for integrating cloud services with information management systems |
US9438556B1 (en) | 2012-05-01 | 2016-09-06 | Amazon Technologies, Inc | Flexibly configurable remote network identities |
US9294437B1 (en) * | 2012-05-01 | 2016-03-22 | Amazon Technologies, Inc. | Remotely configured network appliances and services |
US9288182B1 (en) * | 2012-05-01 | 2016-03-15 | Amazon Technologies, Inc. | Network gateway services and extensions |
US9450967B1 (en) | 2012-05-01 | 2016-09-20 | Amazon Technologies, Inc. | Intelligent network service provisioning and maintenance |
US9747581B2 (en) * | 2012-07-02 | 2017-08-29 | International Business Machines Corporation | Context-dependent transactional management for separation of duties |
US8917826B2 (en) | 2012-07-31 | 2014-12-23 | International Business Machines Corporation | Detecting man-in-the-middle attacks in electronic transactions using prompts |
US9246779B2 (en) * | 2012-08-23 | 2016-01-26 | Endgame Systems, Inc. | Method and apparatus for enhanced network data processing and customizable user interface |
US8875287B2 (en) | 2012-10-04 | 2014-10-28 | Akamai Technologies, Inc. | Server with mechanism for reducing internal resources associated with a selected client connection |
US9450819B2 (en) * | 2012-10-12 | 2016-09-20 | Cisco Technology, Inc. | Autonomic network sentinels |
CN102932380B (zh) * | 2012-11-30 | 2016-06-29 | 网宿科技股份有限公司 | 基于内容分发网络的分布式防恶意攻击方法和系统 |
US9736271B2 (en) | 2012-12-21 | 2017-08-15 | Akamai Technologies, Inc. | Scalable content delivery network request handling mechanism with usage-based billing |
US9654579B2 (en) | 2012-12-21 | 2017-05-16 | Akamai Technologies, Inc. | Scalable content delivery network request handling mechanism |
US20140250352A1 (en) * | 2013-03-04 | 2014-09-04 | Lsi Corporation | Systems and Methods for Signal Reduction Based Data Processor Marginalization |
US9098722B2 (en) * | 2013-03-15 | 2015-08-04 | Prevoty, Inc. | Systems and methods for parsing user-generated content to prevent attacks |
US20140280480A1 (en) * | 2013-03-15 | 2014-09-18 | Edgecast Networks, Inc. | Dynamic Tag Management for Optimizing Content Delivery |
US9037643B2 (en) | 2013-03-15 | 2015-05-19 | Edgecast Networks, Inc. | Dynamic tag management for optimizing content delivery |
US10728287B2 (en) * | 2013-07-23 | 2020-07-28 | Zscaler, Inc. | Cloud based security using DNS |
US20150067762A1 (en) * | 2013-09-03 | 2015-03-05 | Samsung Electronics Co., Ltd. | Method and system for configuring smart home gateway firewall |
CN103561076B (zh) * | 2013-10-28 | 2017-05-17 | 中国科学院信息工程研究所 | 一种基于云的网页挂马实时防护方法及系统 |
US11100218B2 (en) * | 2014-01-20 | 2021-08-24 | Prevoty, Inc. | Systems and methods for improving accuracy in recognizing and neutralizing injection attacks in computer services |
US9825913B2 (en) * | 2014-06-04 | 2017-11-21 | Nicira, Inc. | Use of stateless marking to speed up stateful firewall rule processing |
US9531720B2 (en) | 2014-09-02 | 2016-12-27 | Akamai Technologies, Inc. | System and methods for leveraging an object cache to monitor network traffic |
US9875344B1 (en) | 2014-09-05 | 2018-01-23 | Silver Peak Systems, Inc. | Dynamic monitoring and authorization of an optimization device |
US10498757B2 (en) | 2014-09-11 | 2019-12-03 | Samuel Geoffrey Pickles | Telecommunications defence system |
US20170250999A1 (en) * | 2014-09-12 | 2017-08-31 | Samuel Geoffrey Pickles | A telecommunications defence system |
GB2532475B (en) * | 2014-11-20 | 2017-03-08 | F Secure Corp | Integrity check of DNS server setting |
US10333899B2 (en) * | 2014-11-26 | 2019-06-25 | Lexisnexis, A Division Of Reed Elsevier Inc. | Systems and methods for implementing a privacy firewall |
US10841360B2 (en) | 2014-12-08 | 2020-11-17 | Umbra Technologies Ltd. | System and method for content retrieval from remote network regions |
US9426125B2 (en) * | 2014-12-22 | 2016-08-23 | Verizon Digital Media Services Inc. | Real-time reconfigurable web application firewall for a distributed platform |
JP2018508067A (ja) | 2015-01-06 | 2018-03-22 | アンブラ テクノロジーズ リミテッドUmbra Technologies Ltd. | ニュートラルなアプリケーションプログラミングインタフェースについてのシステム及び方法 |
CN107409079B (zh) | 2015-01-28 | 2021-05-07 | 安博科技有限公司 | 用于全局虚拟网络的系统和方法 |
CN104618392B (zh) * | 2015-02-25 | 2018-09-21 | 浪潮电子信息产业股份有限公司 | 一种nginx-modsecurity安全规则智能匹配方法 |
US9667656B2 (en) * | 2015-03-30 | 2017-05-30 | Amazon Technologies, Inc. | Networking flow logs for multi-tenant environments |
CN107852604B (zh) * | 2015-04-07 | 2021-12-03 | 安博科技有限公司 | 用于提供全局虚拟网络(gvn)的系统 |
US10122760B2 (en) | 2015-04-30 | 2018-11-06 | Drawbridge Networks, Inc. | Computer network security system |
US20160344751A1 (en) * | 2015-05-19 | 2016-11-24 | Fastly, Inc. | Customized record handling in a content delivery network |
JP2018517372A (ja) | 2015-06-11 | 2018-06-28 | アンブラ テクノロジーズ リミテッドUmbra Technologies Ltd. | ネットワークタペストリの複数プロトコルの統合のための方法及びシステム |
CN105071989A (zh) * | 2015-07-30 | 2015-11-18 | 世纪龙信息网络有限责任公司 | 视频内容分发质量监控系统及其监控方法 |
US9667657B2 (en) * | 2015-08-04 | 2017-05-30 | AO Kaspersky Lab | System and method of utilizing a dedicated computer security service |
US10181038B2 (en) * | 2015-11-17 | 2019-01-15 | Honeywell International Inc. | Deployment assurance checks for monitoring industrial control systems |
EP4236264A3 (en) | 2015-12-11 | 2023-11-08 | Umbra Technologies Ltd. | System and method for information slingshot over a network tapestry and granularity of a tick |
US10417414B2 (en) * | 2015-12-31 | 2019-09-17 | Cybereason, Inc. | Baseline calculation for firewalling |
US10237286B2 (en) | 2016-01-29 | 2019-03-19 | Zscaler, Inc. | Content delivery network protection from malware and data leakage |
US11533307B2 (en) * | 2016-03-28 | 2022-12-20 | Zscaler, Inc. | Enforcing security policies on mobile devices in a hybrid architecture |
US11962589B2 (en) * | 2016-03-28 | 2024-04-16 | Zscaler, Inc. | Disaster recovery for a cloud-based security service |
EP3449353B1 (en) | 2016-04-26 | 2021-11-24 | Umbra Technologies Ltd. | Data beacon pulsers powered by information slingshot |
CN106210057A (zh) * | 2016-07-13 | 2016-12-07 | 成都知道创宇信息技术有限公司 | 一种基于cdn的云安全防护方法 |
US10237240B2 (en) | 2016-07-21 | 2019-03-19 | AT&T Global Network Services (U.K.) B.V. | Assessing risk associated with firewall rules |
JP2018019207A (ja) * | 2016-07-27 | 2018-02-01 | 富士ゼロックス株式会社 | 連携管理装置及び通信システム |
US10778722B2 (en) * | 2016-11-08 | 2020-09-15 | Massachusetts Institute Of Technology | Dynamic flow system |
US11075886B2 (en) | 2016-12-15 | 2021-07-27 | Keysight Technologies Singapore (Sales) Pte. Ltd. | In-session splitting of network traffic sessions for server traffic monitoring |
US10171425B2 (en) | 2016-12-15 | 2019-01-01 | Keysight Technologies Singapore (Holdings) Pte Ltd | Active firewall control for network traffic sessions within virtual processing platforms |
CN106936819B (zh) * | 2017-03-01 | 2019-11-01 | 无锡紫光存储系统有限公司 | 云存储子系统及安全存储系统 |
US10659432B2 (en) | 2017-07-06 | 2020-05-19 | Crowdstrike, Inc. | Network containment of compromised machines |
US11012416B2 (en) * | 2018-01-15 | 2021-05-18 | Akamai Technologies, Inc. | Symbolic execution for web application firewall performance |
US11044271B1 (en) * | 2018-03-15 | 2021-06-22 | NortonLifeLock Inc. | Automatic adaptive policy based security |
US10826941B2 (en) | 2018-05-10 | 2020-11-03 | Fortinet, Inc. | Systems and methods for centrally managed host and network firewall services |
KR101959544B1 (ko) * | 2018-06-01 | 2019-03-18 | 주식회사 에프원시큐리티 | 웹 공격 탐지 및 차단 시스템 및 그 방법 |
US10931695B2 (en) | 2018-08-22 | 2021-02-23 | Akamai Technologies, Inc. | Nonce injection and observation system for detecting eavesdroppers |
US10798006B2 (en) | 2018-10-12 | 2020-10-06 | Akamai Technologies, Inc. | Overload protection for data sinks in a distributed computing system |
US10331462B1 (en) * | 2018-11-06 | 2019-06-25 | Cloudflare, Inc. | Cloud computing platform that executes third-party code in a distributed cloud computing network |
US11019034B2 (en) | 2018-11-16 | 2021-05-25 | Akamai Technologies, Inc. | Systems and methods for proxying encrypted traffic to protect origin servers from internet threats |
US11159488B2 (en) | 2019-03-29 | 2021-10-26 | Jpmorgan Chase Bank, N.A. | Dynamic application firewalling in cloud systems |
US11652848B1 (en) * | 2019-09-26 | 2023-05-16 | Amazon Technologies, Inc. | Distributed evaluation of networking security rules |
CN111158776B (zh) * | 2019-12-12 | 2023-12-26 | 杭州安恒信息技术股份有限公司 | 一种Web应用防护系统平滑重启方法 |
US11875172B2 (en) | 2020-09-28 | 2024-01-16 | VMware LLC | Bare metal computer for booting copies of VM images on multiple computing devices using a smart NIC |
CN112532638A (zh) * | 2020-12-03 | 2021-03-19 | 四川师范大学 | 一种分布式内容过滤防火墙 |
US11457091B2 (en) | 2021-02-24 | 2022-09-27 | Level 3 Communications, Llc | Uniformity of instructions for content requests and responses in a content delivery network |
US20230097332A1 (en) * | 2021-09-28 | 2023-03-30 | Rakuten Mobile, Inc. | Method and system for creating server cluster on edge location |
US11928062B2 (en) | 2022-06-21 | 2024-03-12 | VMware LLC | Accelerating data message classification with smart NICs |
US11899594B2 (en) | 2022-06-21 | 2024-02-13 | VMware LLC | Maintenance of data message classification cache on smart NIC |
CN116566682B (zh) * | 2023-05-16 | 2023-12-08 | 赛姆科技(广东)有限公司 | 一种分布式信息网络安全防护方法、系统及其可读存储介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1647486A (zh) * | 2002-04-23 | 2005-07-27 | 阿尔卡特公司 | 数据过滤器管理装置 |
CN1777179A (zh) * | 2004-11-19 | 2006-05-24 | 微软公司 | 用于分发安全策略的方法和系统 |
Family Cites Families (64)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6167438A (en) | 1997-05-22 | 2000-12-26 | Trustees Of Boston University | Method and system for distributed caching, prefetching and replication |
US6170012B1 (en) | 1997-09-12 | 2001-01-02 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with cache query processing |
US7055173B1 (en) * | 1997-12-19 | 2006-05-30 | Avaya Technology Corp. | Firewall pooling in a network flowswitch |
US6108703A (en) | 1998-07-14 | 2000-08-22 | Massachusetts Institute Of Technology | Global hosting system |
US6546423B1 (en) | 1998-10-22 | 2003-04-08 | At&T Corp. | System and method for network load balancing |
US6721890B1 (en) | 1999-05-04 | 2004-04-13 | Microsoft Corporation | Application specific distributed firewall |
US7051365B1 (en) | 1999-06-30 | 2006-05-23 | At&T Corp. | Method and apparatus for a distributed firewall |
US6832321B1 (en) | 1999-11-02 | 2004-12-14 | America Online, Inc. | Public network access server having a user-configurable firewall |
US7363361B2 (en) | 2000-08-18 | 2008-04-22 | Akamai Technologies, Inc. | Secure content delivery system |
US6665726B1 (en) | 2000-01-06 | 2003-12-16 | Akamai Technologies, Inc. | Method and system for fault tolerant media streaming over the internet |
US7240100B1 (en) | 2000-04-14 | 2007-07-03 | Akamai Technologies, Inc. | Content delivery network (CDN) content server request handling mechanism with metadata framework support |
US6996616B1 (en) | 2000-04-17 | 2006-02-07 | Akamai Technologies, Inc. | HTML delivery from edge-of-network servers in a content delivery network (CDN) |
US7725602B2 (en) | 2000-07-19 | 2010-05-25 | Akamai Technologies, Inc. | Domain name resolution using a distributed DNS network |
US7707305B2 (en) | 2000-10-17 | 2010-04-27 | Cisco Technology, Inc. | Methods and apparatus for protecting against overload conditions on nodes of a distributed network |
US7155487B2 (en) * | 2000-11-30 | 2006-12-26 | Intel Corporation | Method, system and article of manufacture for data distribution over a network |
US7296292B2 (en) * | 2000-12-15 | 2007-11-13 | International Business Machines Corporation | Method and apparatus in an application framework system for providing a port and network hardware resource firewall for distributed applications |
US7096266B2 (en) * | 2001-01-08 | 2006-08-22 | Akamai Technologies, Inc. | Extending an Internet content delivery network into an enterprise |
US7159031B1 (en) | 2001-01-26 | 2007-01-02 | Fortinet, Inc. | Remote customer management of virtual routers allocated to the customer |
US7149807B1 (en) | 2001-02-02 | 2006-12-12 | Akamai Technologies, Inc. | Control and communication infrastructure (CCI) for selecting a transport mechanism to transport data to one or more servers in a content delivery network based on the size of the data, together with frequency and loss tolerance with respect to transport of the data |
US8046672B2 (en) * | 2001-02-23 | 2011-10-25 | Dandia Audio Kg Limited Liability Company | Method and system for delivering technology agnostic rich media content within an email, banner ad, and web page |
EP1410217A4 (en) | 2001-04-02 | 2006-09-20 | Akamai Tech Inc | SCALABLE, VERY EFFICIENT AND VERY AVAILABLE DISTRIBUTED STORAGE SYSTEM FOR INTERNET CONTENT |
US7133905B2 (en) | 2002-04-09 | 2006-11-07 | Akamai Technologies, Inc. | Method and system for tiered distribution in a content delivery network |
US7284268B2 (en) * | 2002-05-16 | 2007-10-16 | Meshnetworks, Inc. | System and method for a routing device to securely share network data with a host utilizing a hardware firewall |
US7260639B2 (en) | 2002-07-09 | 2007-08-21 | Akamai Technologies, Inc. | Method and system for protecting web sites from public internet threats |
US20040093419A1 (en) | 2002-10-23 | 2004-05-13 | Weihl William E. | Method and system for secure content delivery |
US7353533B2 (en) * | 2002-12-18 | 2008-04-01 | Novell, Inc. | Administration of protection of data accessible by a mobile device |
JP4305004B2 (ja) * | 2003-02-28 | 2009-07-29 | ソニー株式会社 | 情報処理装置、およびコンテンツ情報処理方法、並びにコンピュータ・プログラム |
US7373416B2 (en) | 2003-04-24 | 2008-05-13 | Akamai Technologies, Inc. | Method and system for constraining server usage in a distributed network |
KR100559026B1 (ko) | 2003-05-30 | 2006-03-10 | 엘지전자 주식회사 | 홈 네트워크 시스템 |
US7380010B1 (en) | 2003-08-12 | 2008-05-27 | Cisco Technology, Inc. | Method and apparatus for performing denial of service for call requests |
US7254713B2 (en) | 2003-09-11 | 2007-08-07 | Alcatel | DOS attack mitigation using upstream router suggested remedies |
US7774456B1 (en) | 2004-02-27 | 2010-08-10 | Packeteer, Inc. | Methods, apparatuses and systems facilitating classification of web services network traffic |
US7761923B2 (en) | 2004-03-01 | 2010-07-20 | Invensys Systems, Inc. | Process control methods and apparatus for intrusion detection, protection and network hardening |
EP1735983B1 (en) | 2004-04-14 | 2008-02-06 | Telecom Italia S.p.A. | Method and system for handling content delivery in communication networks |
US7478429B2 (en) | 2004-10-01 | 2009-01-13 | Prolexic Technologies, Inc. | Network overload detection and mitigation system and method |
US7430664B2 (en) * | 2005-02-02 | 2008-09-30 | Innomedia Pte, Ltd | System and method for securely providing a configuration file over and open network |
US8346960B2 (en) | 2005-02-15 | 2013-01-01 | At&T Intellectual Property Ii, L.P. | Systems, methods, and devices for defending a network |
US8839427B2 (en) | 2005-04-13 | 2014-09-16 | Verizon Patent And Licensing Inc. | WAN defense mitigation service |
US7730536B2 (en) | 2005-06-08 | 2010-06-01 | Verizon Business Global Llc | Security perimeters |
US8510826B1 (en) | 2005-12-06 | 2013-08-13 | Sprint Communications Company L.P. | Carrier-independent on-demand distributed denial of service (DDoS) mitigation |
US8230516B2 (en) * | 2006-01-19 | 2012-07-24 | International Business Machines Corporation | Apparatus, system, and method for network authentication and content distribution |
EP1992141B1 (en) | 2006-03-03 | 2016-11-16 | Brocade Communications Systems, Inc. | Distributed web application firewall |
JP4126707B2 (ja) | 2006-07-28 | 2008-07-30 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 情報システムの状態を解析する技術 |
US8122493B2 (en) * | 2007-01-25 | 2012-02-21 | Drako Dean M | Firewall based on domain names |
US7853678B2 (en) | 2007-03-12 | 2010-12-14 | Citrix Systems, Inc. | Systems and methods for configuring flow control of policy expressions |
WO2008122472A1 (en) * | 2007-04-05 | 2008-10-16 | International Business Machines Corporation | Method, system and computer program for configuring firewalls |
US8032939B2 (en) | 2007-11-06 | 2011-10-04 | Airtight Networks, Inc. | Method and system for providing wireless vulnerability management for local area computer networks |
US20090178131A1 (en) | 2008-01-08 | 2009-07-09 | Microsoft Corporation | Globally distributed infrastructure for secure content management |
US8225400B2 (en) | 2008-05-13 | 2012-07-17 | Verizon Patent And Licensing Inc. | Security overlay network |
US9456054B2 (en) | 2008-05-16 | 2016-09-27 | Palo Alto Research Center Incorporated | Controlling the spread of interests and content in a content centric network |
US8365259B2 (en) * | 2008-05-28 | 2013-01-29 | Zscaler, Inc. | Security message processing |
US8661056B1 (en) | 2008-11-03 | 2014-02-25 | Salesforce.Com, Inc. | System, method and computer program product for publicly providing web content of a tenant using a multi-tenant on-demand database service |
US20100192201A1 (en) | 2009-01-29 | 2010-07-29 | Breach Security, Inc. | Method and Apparatus for Excessive Access Rate Detection |
KR101077135B1 (ko) | 2009-10-22 | 2011-10-26 | 한국인터넷진흥원 | 웹 서비스 대상 응용계층 디도스 공격 탐지 및 대응 장치 |
EP2333686B1 (en) | 2009-11-20 | 2018-01-10 | Samsung SDS Co. Ltd. | Anti-virus protection system and method thereof |
KR101272878B1 (ko) * | 2009-11-30 | 2013-06-11 | 한국전자통신연구원 | 소프트웨어 기반 iptv 수신제한 시스템의 동적 업데이트 장치 및 방법 |
US8458769B2 (en) * | 2009-12-12 | 2013-06-04 | Akamai Technologies, Inc. | Cloud based firewall system and service |
US9009330B2 (en) | 2010-04-01 | 2015-04-14 | Cloudflare, Inc. | Internet-based proxy service to limit internet visitor connection speed |
KR100994076B1 (ko) | 2010-04-12 | 2010-11-12 | 주식회사 나우콤 | 엔에이티 망용 웹서비스 정상사용자차단방지시스템 및 그의 제어방법 |
US9432385B2 (en) | 2011-08-29 | 2016-08-30 | Arbor Networks, Inc. | System and method for denial of service attack mitigation using cloud services |
US8949459B1 (en) | 2011-10-06 | 2015-02-03 | Amazon Technologies, Inc. | Methods and apparatus for distributed backbone internet DDOS mitigation via transit providers |
US10708145B2 (en) * | 2012-12-13 | 2020-07-07 | Level 3 Communications, Llc | Devices and methods supporting content delivery with adaptation services with feedback from health service |
US9350706B1 (en) | 2013-03-15 | 2016-05-24 | Centurylink Intellectual Property Llc | Network traffic data scrubbing with services offered via anycasted addresses |
US9282113B2 (en) | 2013-06-27 | 2016-03-08 | Cellco Partnership | Denial of service (DoS) attack detection systems and methods |
-
2010
- 2010-12-10 US US12/965,188 patent/US8458769B2/en active Active
- 2010-12-13 WO PCT/US2010/060089 patent/WO2011072289A2/en active Application Filing
- 2010-12-13 CN CN201080055156.XA patent/CN102687480B/zh active Active
- 2010-12-13 EP EP10836803.6A patent/EP2510648B1/en active Active
- 2010-12-13 ES ES10836803T patent/ES2702097T3/es active Active
-
2013
- 2013-05-17 US US13/896,995 patent/US20130269023A1/en active Granted
-
2014
- 2014-11-26 US US14/555,428 patent/US20150089582A1/en not_active Abandoned
-
2015
- 2015-12-24 US US14/998,187 patent/US10243925B2/en active Active
-
2019
- 2019-02-04 US US16/266,335 patent/US11082401B2/en active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1647486A (zh) * | 2002-04-23 | 2005-07-27 | 阿尔卡特公司 | 数据过滤器管理装置 |
CN1777179A (zh) * | 2004-11-19 | 2006-05-24 | 微软公司 | 用于分发安全策略的方法和系统 |
Also Published As
Publication number | Publication date |
---|---|
US8458769B2 (en) | 2013-06-04 |
WO2011072289A3 (en) | 2011-10-13 |
US20110225647A1 (en) | 2011-09-15 |
US20150089582A1 (en) | 2015-03-26 |
US11082401B2 (en) | 2021-08-03 |
WO2011072289A2 (en) | 2011-06-16 |
US20160373411A1 (en) | 2016-12-22 |
CN102687480A (zh) | 2012-09-19 |
EP2510648B1 (en) | 2018-09-19 |
EP2510648A4 (en) | 2016-10-26 |
US20130269023A1 (en) | 2013-10-10 |
ES2702097T3 (es) | 2019-02-27 |
US20200007506A1 (en) | 2020-01-02 |
US10243925B2 (en) | 2019-03-26 |
WO2011072289A4 (en) | 2011-11-17 |
EP2510648A2 (en) | 2012-10-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102687480B (zh) | 基于云的防火墙系统及服务 | |
US11704405B2 (en) | Techniques for sharing network security event information | |
US11271955B2 (en) | Platform and method for retroactive reclassification employing a cybersecurity-based global data store | |
CN102859934B (zh) | 网络可接入计算机服务的接入管理和安全保护系统和方法 | |
CN102106114B (zh) | 分布式安全服务开通方法及其系统 | |
US8479267B2 (en) | System and method for identifying unauthorized endpoints | |
US8484726B1 (en) | Key security indicators | |
WO2019133451A1 (en) | Platform and method for enhanced-cyber-attack detection and response employing a global data store | |
US11240275B1 (en) | Platform and method for performing cybersecurity analyses employing an intelligence hub with a modular architecture | |
CN113228585A (zh) | 具有基于反馈回路的增强流量分析的网络安全系统 | |
US20230025488A1 (en) | Predictive model application for file upload blocking determinations | |
US20230026652A1 (en) | Techniques for incentivized intrusion detection system | |
US20210200595A1 (en) | Autonomous Determination of Characteristic(s) and/or Configuration(s) of a Remote Computing Resource to Inform Operation of an Autonomous System Used to Evaluate Preparedness of an Organization to Attacks or Reconnaissance Effort by Antagonistic Third Parties | |
Mishra et al. | Intrusion detection system with snort in cloud computing: advanced IDS | |
Firoz et al. | Performance optimization of layered signature based intrusion detection system using snort | |
US10320751B2 (en) | DNS server selective block and DNS address modification method using proxy | |
Gjære et al. | Notification Support Infrastructure for Self-Adapting Composite Services | |
Backofen | Secure and Simple: Plug-and-Play Security |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |