CN113381994A - 在云端的多边界防火墙 - Google Patents
在云端的多边界防火墙 Download PDFInfo
- Publication number
- CN113381994A CN113381994A CN202110637581.XA CN202110637581A CN113381994A CN 113381994 A CN113381994 A CN 113381994A CN 202110637581 A CN202110637581 A CN 202110637581A CN 113381994 A CN113381994 A CN 113381994A
- Authority
- CN
- China
- Prior art keywords
- firewall
- srv
- traffic
- access point
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004891 communication Methods 0.000 claims abstract description 59
- 238000007689 inspection Methods 0.000 claims description 33
- 239000013598 vector Substances 0.000 claims description 6
- 238000000034 method Methods 0.000 abstract description 16
- 102100031456 Centriolin Human genes 0.000 description 32
- 101000941711 Homo sapiens Centriolin Proteins 0.000 description 32
- 230000007246 mechanism Effects 0.000 description 25
- 230000008901 benefit Effects 0.000 description 15
- 239000000306 component Substances 0.000 description 15
- 230000006870 function Effects 0.000 description 12
- 238000001514 detection method Methods 0.000 description 10
- 230000015654 memory Effects 0.000 description 10
- 230000000694 effects Effects 0.000 description 8
- 238000004458 analytical method Methods 0.000 description 7
- 230000006835 compression Effects 0.000 description 7
- 238000007906 compression Methods 0.000 description 7
- 238000005457 optimization Methods 0.000 description 7
- 238000012545 processing Methods 0.000 description 7
- 238000003860 storage Methods 0.000 description 7
- 238000004422 calculation algorithm Methods 0.000 description 6
- 239000000835 fiber Substances 0.000 description 6
- 230000007935 neutral effect Effects 0.000 description 6
- 239000013256 coordination polymer Substances 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 230000004044 response Effects 0.000 description 5
- 238000013515 script Methods 0.000 description 5
- 238000012360 testing method Methods 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 241000700605 Viruses Species 0.000 description 3
- 238000003491 array Methods 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 230000005641 tunneling Effects 0.000 description 3
- 235000008694 Humulus lupulus Nutrition 0.000 description 2
- 235000006686 Lansium domesticum Nutrition 0.000 description 2
- 244000121765 Lansium domesticum Species 0.000 description 2
- 230000009471 action Effects 0.000 description 2
- 230000002411 adverse Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 230000010354 integration Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 239000011159 matrix material Substances 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 238000013468 resource allocation Methods 0.000 description 2
- 229920006395 saturated elastomer Polymers 0.000 description 2
- 238000011144 upstream manufacturing Methods 0.000 description 2
- 241000282412 Homo Species 0.000 description 1
- RJKFOVLPORLFTN-LEKSSAKUSA-N Progesterone Chemical compound C1CC2=CC(=O)CC[C@]2(C)[C@@H]2[C@@H]1[C@@H]1CC[C@H](C(=O)C)[C@@]1(C)CC2 RJKFOVLPORLFTN-LEKSSAKUSA-N 0.000 description 1
- 241000904454 Thespis Species 0.000 description 1
- 230000004888 barrier function Effects 0.000 description 1
- 230000003542 behavioural effect Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 239000008358 core component Substances 0.000 description 1
- 230000006837 decompression Effects 0.000 description 1
- 229940124447 delivery agent Drugs 0.000 description 1
- 230000001627 detrimental effect Effects 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 238000010921 in-depth analysis Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 239000003607 modifier Substances 0.000 description 1
- 238000012806 monitoring device Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000013439 planning Methods 0.000 description 1
- 230000000246 remedial effect Effects 0.000 description 1
- 230000010076 replication Effects 0.000 description 1
- 238000005096 rolling process Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
- 238000012384 transportation and delivery Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/12—Shortest path evaluation
- H04L45/123—Evaluation of link metrics
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
- H04L12/4645—Details on frame tagging
- H04L12/465—Details on frame tagging wherein a single frame includes a plurality of VLAN tags
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/70—Admission control; Resource allocation
- H04L47/82—Miscellaneous aspects
- H04L47/825—Involving tunnels, e.g. MPLS
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/606—Protecting data by securing the transmission between two devices or processes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/4401—Bootstrapping
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/4401—Bootstrapping
- G06F9/4416—Network booting; Remote initial program loading [RIPL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/22—Alternate routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/28—Routing or path finding of packets in data switching networks using route fault recovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/302—Route determination based on requested QoS
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/64—Routing or path finding of packets in data switching networks using an overlay routing layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/70—Admission control; Resource allocation
- H04L47/72—Admission control; Resource allocation using reservation actions during connection setup
- H04L47/726—Reserving resources in multiple paths to be used simultaneously
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/70—Admission control; Resource allocation
- H04L47/80—Actions related to the user profile or the type of traffic
- H04L47/801—Real time traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/70—Admission control; Resource allocation
- H04L47/80—Actions related to the user profile or the type of traffic
- H04L47/805—QOS or priority aware
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/70—Admission control; Resource allocation
- H04L47/83—Admission control; Resource allocation based on usage prediction
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0254—Stateful filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
Abstract
公开了通过全局虚拟网络提供多边界防火墙的系统和方法。在一个实施例中,网络系统可以包括与第一接入点服务器通信的出口入口点,与第一接入点服务器通信的第二接入点服务器,与第二接入点服务器通信的端点设备,第一防火墙与第一接入点服务器通信,以及与第二接入点服务器通信的第二防火墙。第一和第二防火墙可以阻止流量通过其各自的接入点服务器。第一防火墙和第二防火墙可以彼此通信并交换威胁信息。
Description
本发明专利申请是申请日为2016年4月7日、申请号为201680021239.4、发明名称为“在云端的多边界防火墙”的发明专利申请的分案申请。
本申请要求2015年4月7日提交的申请号为No.62/144,293的美国临时申请以及2015年4月22日提交的申请号为No.62/151,174的美国临时申请的优先权,每个申请都通过引用并入本文。
技术领域
本申请总体上涉及网络技术,更具体地,涉及网络安全,该网络安全通过布置在云端多个边界的分布式防火墙(FW)设备的策略来保护通过全局虚拟网络或类似网络的流经流量。
背景技术
人类能够感觉到200ms或更长的延迟,因为这通常是人类对事件的平均反应时间。如果延迟太高,诸如瘦客户端到基于云的服务器、客户关系管理(CR)、企业资源规划(EPVP)等在线系统将表现不佳,甚至可能由于超时而停止运行。高延迟结合高分组丢失可能导致连接不可用。即使数据通过,某个时候太慢也会导致用户体验不好(UX),在这种情况下,用户可以拒绝接受这些使传递不及格的服务变得无用的条件。
为了解决其中的一些问题,已经开发了各种技术。一种这样的技术是WAN优化,通常涉及在局域网(LAN)边缘的硬件(HW)设备,该硬件(HW)设备在另一LAN边缘的另一WAN优化HW设备建立隧道,用以在它们之间形成广域网(WAN)。该技术假设两个设备通过其彼此连接的稳定连接。WAN优化器努力压缩和保护数据流,通常会导致速度增益。采用WAN优化的商业驱动是为了节省发送的数据量,以降低数据传输的成本。这样做的缺点是,当两台设备之间的连接不好时,由于它们往往是点对点的,因此它们之间几乎没有控制通过互联网的流量流动的路径。为了解决这个问题,WAN优化器的用户经常选择通过MPLS或DDN线路或其他专用电路运行WAN,这些会导致额外的费用,并且通常需要一个刚性的、固定的点对点连接。
诸如MPLS、DDN、专用电路或其他类型的固定点对点连接的直接链路提供连接质量和服务质量(QoS)保证。它们是昂贵的,并且通常需要很长的时间来安装,因为需要从连接的每一侧的POP来物理上绘制线。当通过这个直接连接的WAN从一个LAN连接到另一个LAN的资源时,点到点拓扑结构很好。然而,当一般互联网的网关(GW)位于一端的LAN时,例如在公司总部,则来自附属国的远程LAN的业务可以通过GW被路由到互联网。由于流量通过互联网返回同一个国家的子公司的服务器,所以出现放缓。然后,流量必须通过WAN从LAN到GW所在的LAN,然后通过互联网返回到原籍国的服务器,然后通过互联网返回到GW,然后将专线退回到局域网内的客户端设备实际上,本质上会是两倍或三倍(或更差)的全球通行时间,而实际上访问这个附近的站点的时间仅需要全球延迟的一小部分。为了克服这种情况,通过适当的配置更改以及添加可将本来流量连接到互联网的设备,可以在此类系统的每个端点提供与另一个网络线的可替换连接。
从一个局域网到另一个局域网创建WAN链路的另一个选择涉及在两个路由器、防火墙或等效边缘设备之间建立隧道,如IPSec或其他协议隧道。这些通常是加密的,并且可以提供压缩和其他逻辑来尝试改善连接。这两点之间的路线很少甚至无法控制,因为它们依赖互联网上的各种中间玩家的政策,他们通过他们的网络进行流量,并与其他运营商和网络运营商进行对等。许多设备供应商的防火墙和路由器、交换机和其他设备通常在其固件中内置隧道选项。
近年来,最后一公里的连通性大幅度提高,但受到距离、协议限制、对等、干扰等问题和威胁有关的问题,长距离连接和吞吐量仍然存在问题。因此,存在对在标准互联网连接顶部运行的安全网络优化服务的需求。
发明内容
公开了通过虚拟全球网络提供多边界防火墙的系统和方法。该网络可以包括出口入口点设备、第一和第二接入点服务器、端点设备以及第一和第二防火墙。第一防火墙与第一接入点服务器通信,并且可以防止网络流量流经第一接入点服务器。第二防火墙与第二接入点服务器通信,并且可以防止网络流量流经第二接入点服务器。
根据一个实施例,至少一个接入点服务器被配置为执行防火墙服务。
根据另一实施例,第一防火墙与第二防火墙通信。第一和第二防火墙之间的通信路径可以是全局虚拟网络隧道或全局虚拟网络返回信道或API调用或其他。在一些实施例中,第一防火墙和第二防火墙共享包括启发式模式、已知威胁的签名、已知恶意源IP地址或攻击向量中的至少一个的威胁信息。威胁信息可以通过中央控制服务器共享。
在一些实施例中,至少一个防火墙执行深度包检测。在其他实施例中,至少一个防火墙执行状态包检测。在其他实施例中,一个防火墙执行状态包检测,而另一个防火墙执行状态包检测。
在一些实施例中,防火墙中的至少一个包括可以按需分配云防火墙资源的云防火墙负载平衡器。
附图说明
为了更好地理解本公开,现在参考附图,其中相同的元件以相同的附图标记或附图标记。这些附图不应被解释为对本公开的限制,而是仅仅是说明性的。
图1示出了五种类型的防火墙设备操作。
图2示出了通过防火墙的流量可能性。
图3示出了状态包检测和深度包检测。
图4示出了从分组流生成组合的有效载荷。
图5示出了从互联网到LAN的广泛的网络攻击路径。
图6展示了由于相对网络上发生的高流量大规模攻击而对网络造成的负面回弹效应。
图7示出了位于云端的多边界防火墙。
图8示出了位于云端的多边界防火墙的可扩展性。
图9示出了在互联网连接之上的GVN之上的多边界防火墙。
图10是从起点到目的地的GVN可用的各种路线的流程图。
图11示出了状态包检测(SPI)防火墙和深度包检测(DPI)防火墙之间的通信。
图12示出了由全局虚拟网络启用的云端多边界防火墙(MPFW)。
图13示出了全局虚拟网络的设备之间的信息流。
图14示出了支持个人端点设备的云端的多边界防火墙(MPFW)。
图15说明了GVN中自动化设备和防火墙协作和信息交换所需的模块。
图16示出了GVN中设备到设备的信息交换。
图17示出了GVN中多边界防火墙与其他系统的集成。
图18示出了基于云的防火墙负载平衡器连接的基于云的防火墙提供的可扩展性的防火墙的拓扑和相应布局。
图19示出了GVN拓扑,包括互联网或暗光纤上的骨干段。
图20示出了用于向终端设备(EPD)和互联网的信息流的设备的拓扑和连接。
图21示出了多边界防火墙算法。
图22示出了用于云防火墙设备、云防火墙负载平衡器设备、中央控制服务器、接入点服务器和端点设备的软件架构的逻辑视图。
图23示出了通过中央控制服务器(SRV_CNTRL)从防火墙(FW)到全局虚拟网络(GVN)中的各种设备的信息流。
图24是描述用于分析流过防火墙、防火墙负载平衡器和/或通过防火墙阵列的流量的算法的流程图。
图25示出了处理和处理威胁的系统堆栈中的各个层。
图26示出了在启动过程期间自动解密加密卷的方法。
图27示出了如何基于特定于该设备的多个因素来为设备一致地计算唯一用户标识(UUID)。
图28示出了安全引导机构的模块。
图29示出了后通道机构的细节。
图30示出了多个端点设备(EPD)和后向通道服务器(SRV_BC)之间的连接。
图31示出了使用对于每一行唯一的旋转和计算的密钥将加密数据写入数据库的一行中的选定字段。
图32示出了使用键、键调节器和使用框架来计算键的其他因素从从单个行来解密数据。
图33示出了当客户端经由端点设备(EPD)请求的图形用户界面(GUI)内容和请求内容被存储在锁定的卷内时会发生什么。
图34示出了互联网的高级框图。
图35是通过域名系统(DNS)对数字互联网协议(IP)地址的通用资源定位符(URL)展示分辨率的框图。
具体实施方式
GVN在其标准互联网连接的顶部为客户提供安全的网络优化服务。这是GVN的组成部分的概述以及可用作GVN元素的相关技术的描述。GVN元素可以独立运行,也可以在GVN生态系统内运行,例如为了自己的目的利用GVN框架,或者可以部署GVN元件来提高GVN的性能和效率。该概述还描述了其他技术如何从GVN中获益,作为使用GVN的一些或所有组件的独立部署,或者可以利用其优点将其作为独立机制快速部署为现有GVN之上的独立机制。
基于软件(SW)的虚拟专用网络(VPN)通过客户端设备和VPN服务器之间的隧道提供隐私。这些具有加密以及在某些情况下同时压缩的优点。但是,再一次的,VPN客户端和VPN服务器之间以及VPN服务器与主机服务器、主机客户端或目的地的其他设备之间的流量几乎无法控制。这些通常是点对点连接,需要使用VPN安装每个设备的客户端软件,并且某些技术熟练程度来维护每个设备的连接。如果VPN服务器出口点通过到目的主机服务器或主机客户端的高质量通信路径靠近,则性能将会很好。如果没有,那么从可用性的角度来看,性能和不满将会引人注目。VPN用户通常需要断开与一个VPN服务器的连接,并重新连接到另一个VPN服务器,以便对来自某个区域的内容与来自其他区域的内容确保质量或本地访问。
全局虚拟网络(GVN)是互联网上的一种计算机网络,通过利用世界各地的分布在世界各地的设备网络、通过高级隧道相互连接、通过应用程序接口(API)进行协作和通信、数据库(DB)复制等方法能够提供全球安全网络优化。GVN中的流量路由总是通过由高级智能路由(ASR)管理的最佳通信路径,该自动化系统由自动化系统提供支持,这些自动化系统将建立者、管理者、测试人员、算法分析和其他方法结合起来,以适应不断变化的条件和随时间的学习,以配置和重新配置系统。
GVN在一个或多个常规互联网连接之上提供服务,以提供安全、可靠、快速、稳定、精确和集中的并行连接。这些优点是通过压缩在EPD和EPD附近的接入点服务器(SRV_AP)之间转换包,伪装和加密隧道的多个连接的数据流来实现的。EPD与SRV_AP的连接质量不断受到监控。
GVN是硬件(HW)、端点设备(EPD)、安装软件(SW)、数据库(DB)和GVN系统的其他自动化模块(如中性应用程序编程接口机制(NAPIM)),后端通道管理器、隧道管理器以及将EPD连接到GVN内的接入点服务器(SRV_AP)和中央服务器(SRV_CNTRL)等分布式基础设施设备的更多功能的集合。
算法持续分析当前的网络状态,同时考虑尾随趋势加上长期历史性能,以确定流量采取的最佳路由,以及哪些是最佳的SRV_AP或一系列的SRV_AP服务器来推动流量通过。配置、通信路径和其他更改是自动进行的,并且需要最少的用户交互或干预。
EPD和SRV_AP中的高级智能路由确保通过尽可能简单的GVN“第三层”,流量通过从原点到目的地的最理想路径流动。这个第三层被连接到GVN的客户端设备看作是一个普通的互联网路径,但跳数较少,安全性更好,在大多数情况下,比通过普通互联网流向同一个目的地的流量更低的延迟。逻辑和自动化在GVN的“第二层”中运行,在此,GVN的软件自动监视和控制虚拟接口(VIF)的底层路由和构造、多个隧道和通信路径的绑定。GVN的第三层和第二层存在于与底层互联网网络的设备交互的GVN的可操作“第一层”之上。
从技术和网络的角度来看,云是指通过开放互联网连接并可用于其他设备的设备或组或阵列或设备集群。这些设备的物理位置并不重要,因为它们经常将多个数据复制到多个位置,并通过使用内容传送网络(CDN)或其他此类技术传送到/从请求客户端的最靠近的服务器来加速连接,从而增强用户体验(UX)。
本发明基于防火墙(FW)的行业的标准使用,通过将周边延伸到云端来提高其效用值。防火墙是主要设计用于保护内部网络免受来自外部网络的外部威胁的设备,以及保护信息数据从内部网络泄漏的设备。传统上,防火墙被放置在诸如局域网(LAN)的一个网络和另一个网络之间的边缘,例如其上行链路到更广泛的网络。网络管理员对FW的放置和可信度敏感,因为它们依赖它来保护其网络。
GVN的附加组件包括安全引导机制(SBM)和后通道机制(BCM)。安全引导机制通过将密钥存储在远程服务器上并且仅通过SBM使密钥可用来保护安全卷的密钥。后通道机构允许GVN的许多设备的管理和/或交互。在隧道故障时网络性能不佳的时候,BCM向不能达到的设备提供通道,包括访问从开放互联网无法访问的设备。这种机制通过屏障提供反向穿孔,以保持通信通道畅通。GVN的其他安全组件包括使用每行键的UUTD硬件绑定和精细粒度数据加密。
图34示出了互联网的高级框图。一般用户对互联网功能的理解非常粗略。主机源34-100是起始点,其可以是计算机、移动电话、平板电脑、膝上型计算机或其他此类客户端的客户端设备。该客户端通过互联网34-200连接到主机服务器34-300以发送或检索内容,或者连接到另一个主机客户端34-302来发送或接收信息。
一个非技术性的用户可能会认为到主机服务器的流量遵循路径2P002,甚至不了解他们的数据将通过互联网传输。或者他们可能认为流量将通过路径2P006直接流向另一个客户端设备。
具有对其工作方式有更多了解的用户将了解流量通过路径2P004流向互联网34-200,然后通过路径2P102通过主机服务器目标34-300或通过路径2P104到主机(客户端)目标34-302。
具有更多技术知识的用户将进一步了解,当发送电子邮件时,该电子邮件将离开他们的客户端设备34-100,通过路径2P004传输到互联网34-200,然后通过路径2P202传送到邮件服务器34-202。然后,电子邮件的收件人将通过其主机客户端34-302沿着路径2P104向互联网提取电子邮件请求,然后将路径2P204下发到邮件服务器34-202。
这与普通人对互联网的理解有关。
图35是通过域名系统(DNS)对数字互联网协议(IP)地址的通用资源定位符(URL)展示分辨率的框图。
内容请求35-000或从主机客户端(C)35-100推送到主机服务器(S)35-300,作为从主机客户端(C)35-100到主机服务器(S)的文件或流或数据块35-300。响应或内容传递35-002从主机S返回给主机C作为文件或数据流或数据块。与主机服务器(S)的客户端-服务器(CS)关系中的主机客户端设备35-100使得请求从远程主机服务器(S)访问内容,或者通过通用资源定位器向远程主机服务器(S)发送数据(URL)或其他网络可达地址。
从主机客户机(C)35-100到互联网35-206的初始连接显示为3P02-从主机客户机(C)到直接面对的存在点(POP)35-102的连接。在其他情况下,主机客户机(C)可以位于局域网(LAN)中,然后局域网(LAN)经由存在点(POP)连接到互联网,并且可被称为最后一公里连接。存在点(POP)35-102表示由互联网服务提供商(ISP)从终端通过其网络及其互连向互联网提供的连接。这可以是但不限于电缆、光纤、DSL、以太网、卫星、拨号和其他连接。如果URL是域名而不是数字地址,则将该URL发送到域名系统(DNS)服务器35-104,其中将域名转换为IPv4或IPv6或其他地址以进行路由。
主机客户端(C)35-100到主机服务器(S)35-300的流量通过互联网35-206路由,用于代表POP(35-102和35-302)之间的转移,包括对等、回程或其他网络传输边界。
用于从通用资源定位符(URL)查找号码地址以获取目标服务器(S)的IPv4地址或其他数字地址的POP35-102和域名系统35-104之间的连接3P04可以从POP直接访问,也可以通过互联网35-206。从ISP 35-102到互联网35-206的连接3P06可以是单宿主或多宿主的。类似地,从互联网35-206到远程ISP的连接3P08也可以是单宿主或多宿主的。这种连接通常是ISP或Internet数据中心(IDC)面向互联网的POP 35-302。从远程ISP的POP 35-302到主机服务器(S)的连接3P10可以是直接的或通过多跳。
通过域名系统从URL或主机名到数字地址的查找是Internet上的标准,系统假设DNS服务器是一体的,DNS服务器的结果是最新的,并可以被信任。
图19示出了GVN拓扑,通信路径包括通过互联网或暗光纤的骨干段,并且指示在各种周边位置处包括各种类型的防火墙(FW)设备的各种设备的布置。它显示了各种地理区域或区域或领域如何通过各种类型的路径连接在一起。该图说明了各种类型的网络结构可以组合成更大的网络挂毯。这些编织网络可以如美国临时专利申请No.62/174,394中所述无缝地结合在一起。
参见图19,显示了多个区域:LAN区域0(ZL00),LAN区域1(ZL10),互联网区域0(ZI00),互联网区域1(ZI10),互联网区域2(ZI20),互联网区域3ZI30),互联网数据中心2区(ZD20)和互联网数据中心3区(ZD30)。
LAN区域0 19-ZL00描述了典型的局域网(LAN),其包括在LAN和外部网络GVN OTT19-202和互联网19-30之间相对于端点设备(EPD)19-100的防火墙的放置。LAN 19-04和EPD19-100之间有硬件防火墙FW19-40。另一个硬件或软件FW 19-42位于EPD 19-100和出口入口点(EIP)19-20之间,以保护EPD免受来自互联网19-30的外部威胁。
LAN区域19-ZL10的拓扑类似于LAN区域零19-ZL00,不同之处在EPD 19-110和LAN19-46之间没有防火墙。
互联网区域0 19-ZI00描述了在接近19-ZL00的区域中的示例互联网拓扑。互联网区一个19-ZI10描述了一个在19-ZL10附近的区域中的一个示例互联网拓扑。互联网区域19-ZI20描述了一个在19-ZD20附近的区域中的互联网拓扑。互联网区域19-ZI30描述了一个在19-ZD30附近的区域中的互联网拓扑。
互联网数据中心二区19-ZD20描述了基于云的防火墙CFW 19-46的拓扑和布局,包括云防火墙负载平衡器后面的虚拟化防火墙设备。互联网数据中心三区19-ZD30描述了基于云的防火墙CFW 19-48的拓扑和布局,包括云防火墙负载平衡器后的虚拟化防火墙设备。
区域或区域ZD20中的SRV_BBX 19-72可通过暗光纤19-220通过暗光纤连接19-P220连接到另一区域或区域ZD30中的SRV_BBX 19-80。SRV_BBX 19-72可以通过远程直接存储器访问(RDMA)通过19-P220直接将文件写入并行文件存储PFS 19-82,通过路径19-P82绕过SRV_BB 19-80的堆栈。SRV_BBX 19-80可以通过19-P220的远程直接存储器访问(RDMA)直接将文件写入并行文件存储PFS 19-74,通过路径19-P74绕过SRV_BBX 19-72的堆栈。
路径19-P210可以是IPv4或某种标准化的互联网协议,流量从SRV_AP 19-300通过隧道上的GVN的顶部通过路径19-P210从SRV_AP 19-310流向SRV_AP 19-310或者其他类型的通信路径。
虽然所示的拓扑结构在GVN路径中没有防火墙或流量监控设备,但是可以根据需要将这些设备放置在这里,以进一步确保数据流。
图13示出了全局虚拟网络的设备之间的信息流。一个由数据库B200和文件存储HFS200组成的中央存储库驻留在中央服务器(SRV_CNTRL)200上。
标记为P###的设备之间的通信路径可以表示为API调用、数据库复制、直接文件传输、通过API调用的数据库复制或其他形式的信息交换等组合。13-P100300,13-P300500和13-P100500的粗线表示GVN设备之间的直接通信,GVN设备之间具有对等配对,因此具有彼此的特权关系。
通过13-P200100从SRV_CNTRL 200到EPD 100,经由13-P200300或者通过13-P200500的其他设备13-500示出了对等通信的圆形模式。EPD100经由13-P100200与SRV_CNTRL 200进行通信,SRV_AP 300经由13-P300200通过SRV_CNTRL 200进行通信,其他设备13-500经由13-P500200与SRV_CNTRL 200进行通信。
在一些情况下,存在设备之间共享的信息循环,例如在EPD 100可以经由13-P100200从SRV_CNTRL 200请求信息的情况下,其中该信息经由13-P200100发送回EPD 100。
在其他情况下,一个设备可以将与其他设备、例如SRV_AP 200相关的信息经由13-P300200报告给SRV_CNTRL 200,然后SRV_CNTRL 200经由13-P200100将该信息发送到EPD100和SRV_AP 300,而还通过13-P200300报告SRV_AP并且也通过13-P200500发送到其他设备13-500。
在其他情况下,不需要完整循环,例如通过13-P100200从诸如EPD 100的设备发送日志信息到SRV_CNTRL 200,不需要进一步向前转发该信息。但是,日后记录信息可能会在稍后时间从SRV_CNTRL 200上的存储库移动到长期日志存储服务器13-500或通过13-P200500到其他设备。
直接链路13-P100300位于设备EPD100和SRV_AP300之间。直接链路13-P300500从SRV_AP 300到其他设备13-500。直接链路涉及不需要SRV_CNTRL 200参与的设备之间的通信。
来自SRV_CNTRL 200的SRV_CNTRL 13-306的推送(馈送)可以是通过13-P306发布的RSS馈送或其他类型的信息。对SRV_CNTRL 13-302的API-查询调用SRV_CNTRL 200可以是传统的API事务或RESTful API调用,并具有通过13-P302REQ进行请求和通过13-P302RESP接收响应。PUSH 13-306和API 13-302元件来说明与不与GVN设备共享对等关系、特权状态和/或类似系统架构但可以从信息中受益的设备的通信。
图1说明了五种类型的防火墙设备操作。防火墙1-FWO演示了一个具有一些关闭显示的全开防火墙。路径1-DP0-2表示因为没有明确阻止而允许通过防火墙的流量流。路径1-DP0-4显示了由于被明确阻止而不能通过防火墙的流量。
防火墙1-FW2演示了一个带有一些开口显示的全封闭防火墙。路径1-DP2-4表示通过规则未明确允许的流量,因此被阻塞。路径1-DP2-2表示明确允许的流量,因此流量畅通无阻。
防火墙1-FW4演示了基于规则的防火墙,其中显示了两个规则。来自互联网1-D104的流量通过路径传入1-DP4到用于转发或其他处理的规则1-D4的表。如果进入的流量匹配一个规则,它将通过路径规则1-DP4A流向LAN 1-D104。如果它匹配另一个规则,它将通过路径规则1-DP4B流向LAN 1-D104中的另一个位置。
防火墙1-FW6演示防火墙操作,例如使用决策矩阵1-D6进行检测和保护,以检查流量是否可行,并且应该允许通过路径“是1-DP6Y”到LAN 1-D106,或者如果检测到威胁并且流量被阻挡和/或黑洞(blackholed)或以其他方式通过路径“否1-DP6N”来处理。
防火墙1-FW8演示了具有规则组合的防火墙加上检测和保护操作1-D8。来自Internet 1-D108的流量可以通过LAN 1-D108的规则路径规则1-DP8A或规则1-DP8B匹配规则和流量,或者可以通过路径YES 1-DP8Y通过直接和保护过滤器来允许。如果不允许流量,将被阻塞或黑洞或以其他方式通过路径NO 1-DP8N来处理。
未示出的另一种类型的防火墙是防火墙1-FWO或防火墙1-FW2和防火墙1-FW8的组合。还有不同类型的检测和保护防火墙,如状态包检测(SPI),深度包检测(DPI)和其他类型的防火墙。
图2示出了通过防火墙的流量可能性。最后一公里POP 2-022和LAN 2-114之间的连接路径是通过从POP到FW 2-144的2-CP144和从LAN 2-114到FW 2-144的2-CP114。可能被捕获的恶意、违规或已知的威胁流量可以通过路径2-TR6A到2-TR6B被发送到黑洞2-148或通过路径2-TR4A到2-TR4B数据隔离在FW-隔离(Quarantine)2-144Q中。良好、无挑战或允许的交通路径可以通过2-TR2流动。外部攻击流量外部由2-ATK-434和2-ATK-432表示。
图3说明防火墙可以执行的两种检查:状态包检测和深度包检测。在防火墙位于一个物理设备中的情况下,存在对SPI或DPI的选择,作为速度与全面性的权衡。SPI防火墙3-SP中显示状态包检测(SPI),DPI防火墙3-DP中显示深度包检测(DPI)。
当执行SPI时,防火墙会检查数据包的报头3-SP0-H,3-SP2-H和3-SP4-H,以识别有害信息,而忽略数据包的有效载荷3-SP0-P,3-SP2-P和3-SP4-P。SPI比DPI的优势在于它的速度很快,它占用较低的处理器、RAM和资源。缺点是防火墙不查看数据包的有效载荷内的内容。
DPI超过报头(headers)3-DP0-H、3-DP2-H、3-DP4-H、3-DP6-H及3-DP8-H,并检查内容,例如,有效载荷3-DP0-P,3-DP2-P,3-DP4-P,3-DP6-P和3-DP8-P。其优点在于,在不仅仅一个数据包的有效负载内,而且来自一系列多个数据包3-DP0,3-DP2,3-DP4-H,3-DP6以及3-DP8的编译有效载荷3-DP-ALL的内容中,这种检查是更全面的。DPI的缺点是它比SPI慢得多,并且它比SPI消耗更多的处理器、RAM和其他资源。
图4示出了从数据包流生成组合的有效载荷。在该示例中,向DPI防火墙提供包4-DP流。有效负载3-DP0-P6,3-DP2-P6,3-DP4-P6,3-DP6-P6和3-DP8-P被连接到组合有效载荷3-DP-ALL中,然后由DPI防火墙4-DP-AL分析。
深度包检测通过检查一个或多个数据包的有效载荷来进行。它仔细观察有效载荷的内容,并且可以搜索:搜索字符串、已知的病毒签名或指示病毒的启发式签名、恶意软件模式、伪装成不同数据类型的畸形二进制点(Blob)或其他已知或未知的威胁。
图5示出了从互联网002到LAN 114的广泛的网络攻击路径。该图示出了每个网段的相对管道大小或带宽。内部LAN NTSP08可能以10GigE的速度运行。该网段包括ISP的POP022和内部防火墙FW144之间的连接CP114。本地ISP的网络NTSP04也可以是10GigE。该网段包括互联网和ISP的POP 022之间的连接CP022。互联网骨干网NTSP02的速度通常会快得多,比如多宿主(multi-honed)3*100GigE网络。
但是,ISP的客户端防火墙FW 144和POP 022之间的“最后一公里”连接网络NTSP06通常会慢一些。例如,FW 144和POP 022之间的连接CP 144可以是200Mbps连接,而不是NTSP04或NTSP08的更快的10GigE速度。因为这种连接具有较小的带宽,例如较慢,这种连接可以通过协调的基于互联网的攻击而容易地饱和。ISP的POP 022也可能饱和,不仅影响客户端的连接,还影响其他用户。
图6显示了由于在应用网络上发生的高流量攻击而对网络造成的负面反击效应。当路径CP 144被攻击流量ATK-432和ATK-434过饱和时,这可能对网络路径CP 142(连接到防火墙FW 142和路径CP 112到LAN 1120)和CP 146(连接到防火墙FW 146和路径CP16至LAN116)产生负面影响。这是由于CP142和CP146与CP144的紧密接近以及通过POP 022的共享上行路径。
CP 142和CP 146的负面影响可能是由于CP144共享交换机端口拥塞以及其他因素。此外,CP022从网络到POP 022的拥塞问题影响了ISP的POP 022和互联网002之间的所有流量。拥塞问题POP 022还可能影响通过POP的流量流动并使ISP带宽饱和,从而对其产生负面影响设备流量吞吐量。
虽然CP 142和CP 146可能不会被直接攻击,但仍然会受到通过POP 022和路径CP022对CP 144的攻击的不利影响。
图7示出了位于云端的多边界防火墙。在云端定位多边界防火墙具有在传统防火墙位置上游的一个点识别和隔离问题流量的优点。通过在云CFB 7-144LB中部署多边界防火墙,在ISP的骨干网7-NTSP02上识别和隔离问题流量。问题流量被转移,没有到达“最后一公里”连接网络7-NTSP06。这意味着缓慢的200Mbps“最后一英里”连接网络7-NTSP06被隔离和保护,免受来自更快的3x 100GigE骨干网7-NTSP02上存在的多个并发攻击向量的大量流量的影响。
图8示出了位于云端的多边界防火墙的可扩展性,并演示了如何通过GVN启用云端的分布式防火墙(FW)功能。基于云的防火墙可以通过云防火墙负载平衡机制进行动态扩展,可根据需要在线提供更多资源。由于GVN拓扑的性质,设备到设备的通信和安全的流量路径,防火墙机制可以是基于云的,也可以被虚拟化。防火墙8-144位于互联网8-000和GVN8-028之间的云端。防火墙8-144可以包括云防火墙(CFW)负载平衡器8-144LB,它可以根据需要分配云防火墙资源,如8-144-2,8-144-3等。这种按需可扩展性为GVN的客户端提供了许多优点。
首先,通过吸收云端的入侵威胁的攻击命中,客户端的最后一公里连接不受影响。第二,将云防火墙与控制节点和分析器结合使得受攻击的区域中的防火墙能够了解攻击的性质、源、签名和其他功能,以便防火墙能够意识到并准备挫败如果目标转移到不同的客户端网络的攻击。此外,关于过去和当前攻击的信息可以通过GVN的中立API机制(NAPIM)与其他CFW实例共享,这样全局威胁意识(awareness)是可能的。
最后,如下图12所示,云防火墙同时提供了运行不同防火墙机制(如SPI和DPI)的优势。
图9示出了跨越互联网连接的顶部(OTT)的GVN的顶部(OTT)的多边界防火墙。该图显示了其他分层功能的顶层(OTT)构建的分层功能。例如,多边界防火墙(MPFWM)9-88是全局虚拟网络(GVN)9-86的OTT2 9-TOP88。GVN 9-86是链接到互联网9-TOP82的ISP网络服务层处的基础互联网连接(Base Internet Connectivity)9-82的OTT1 9-TOP86。
OTT2是第二度的顶级意思,意味着某些东西超越了其他东西本身就是OTT1的东西。
图10是通过GVN从原点C10-002到目的地S10-502可用的各种路线的流程图。这里可以有更多可能的没有显示或论述的组合。
从客户端C10-002到EPD 10-108的路径10-CP00可用于测量从客户端经过局域网到EPD的性能。在测试和评估可用路径的实时数据之后,实现最佳路由的匹配。GVN入口通过第一跳10-CP00从EPD 10-108到接入点服务器(SRV_AP)10-102,10-104,10-106,10-202,10-204。从EPD 10-108到第一个SRV_AP的路径可以定义为从EPD 10-108到GVN的入口点,并相应地进行测量。从SRV_AP到SRV_AP的内部跳跃遵循始终尝试维持最佳路径连通性的内部路由。这些路由可以是OTT互联网、骨干网、暗光纤或其他相关路由。GVN中的最佳出口指标也可以在本地、远程地区以及整个网络从始发地到目的地整个轨道。
可以考虑各种因素进行评估,每个细分可以运行测试,分段的组合以及从头到尾的总网络路径。流量类型和路径确定可以取决于数据属性和配置文件QoS要求。主要路径选择总是基于路径上流量的最佳因素。这种机制的功能是匹配目的地和起点之间的路径,以便最佳的双向路由流动。
GVN内的高级智能路由(ASR)的核心存储在磁盘、内存或数据库表中的索引上,索引包含一个要保留本地的IP地址列表,并通过同一地区的EIP退出。对于通过GVN到其他区域的流量,通过SRV_AP设备和路径的路由由服务器可用矩阵(SAM)和ASR确定。索引将匹配目标IP地址的目标列表存储在该区域中的最佳出口/入口点(EIP)中。另外,作为CIDR IP块或其他类型的符号映射到区域的国家IP地址表可以帮助确定最佳出口点。
对于来自目的地S10-502、朝向起源地(Origin)C 10-002方向的流量,第一个EIP10-320、10-322、10-334、10-326或10-328是GVN和互联网及其他网络(如LAN)、主干网、或其他之间的初始边界。SPI防火墙可以位于GVN后面的初始入口点,标明第一个外围。在下一个SRV_AP或其他SRV_AP(例如SRV_AP 10-102,10-104,10-204和10-206),可以定位尾随的DPI防火墙的第二个周边。如果他们想要在第10-CP00段,客户端还可以在自己的网络中运行入站SPI或DPI防火墙。
对于来自起源地C10-002、通过EPD 10-108、朝目的地Dest.S 10-502方向的流量,第一个SPI/DPI防火墙可以沿着路径10-CP00位于起源地C 10-002和EPD 10-108之间。防火墙的第二个周边可以位于SRV_AP(如10-102,10-104,10-204和10-106)上,用以保护出站流量。
对于来自互联网的流量,云的可扩展性是非常重要的,因为它可以通过扩展资源分配来处理分布式多通道流量的峰值负载。当活动相对平静时,可以提供最少的资源。资源的可扩展性对于互联网出站流量来说并不重要。在大多数情况下,LAN网络将具有比网络上行链路更大的带宽。由于在网络管理员的控制下的LAN/DMZ/网络中的威胁的性质,可扩展性不太重要。
图18示出了基于云的防火墙负载平衡器连接的基于云的防火墙提供的可扩展性的防火墙的拓扑和相应布局。该图与图10相似,通过一系列通过GVN或其他类型的网络路径的路径,在业务流中额外安装各种SPI和DPI基于云的防火墙。
状态包检测防火墙(SPI)是流量流经的设备。深度包检测防火墙(DPI)设备可以被流经或分析克隆的流量副本,为DPI功能提供选项作为尾随指示器。如果检测到有害的流量,一旦识别出来就可以被阻止。设备之间通信的好处是,DPI防火墙识别的流量不良信息可能会被SPI消息传递到SPI防火墙。
图11示出了状态包检测(SPI)防火墙和深度包检测(DPI)防火墙之间的通信。该图示出了从端点设备(EPD)11-100到互联网11-002经由路径TUN 11-0到第一接入点服务器(SRV_AP)11-302到路由器到云防火墙负载平衡器(CFW LB)设备11-144LB,然后通过TUN11-6到SRV_AP 11-304。从SRV_AP 11-304流量通过出口进入点(EIP)11-E2将GVN流出到互联网11-002。
EIP 11-E2是扩展LAN到GVN和互联网11-002之间云端的边缘。EIP可以连接到开放式互联网或组织的基于云的资产,该资产包括服务器、存储阵列和其他设备。它也可以是一个混合的公共-私有云的链接,如云端的DMZ或外围网络。
通过SRV_AP 11-302的流量可以将流量或克隆流量转移到重复流中,并通过路径TUN 11-2传递到云负载平衡器11-142LB。克隆的流量流提供了时间和资源-诸如DPI等昂贵的检测操作的拖尾结果,而不会阻碍流量的流动。从互联网11-002返回到EPD 11-100的流量通过EIP 11-E2进入GVN的反向路径。
对于基于互联网的流量,第一个周边是CFW 11-144LB,它通过路径11-CPSPO和11-CPSP2将数据包发送到状态包检测防火墙FW(SPI)11-SPO-PRO,其中包11-SPO-H的报头被检查。SPI防火墙提供快速流量通信,并且需要比DPI防火墙相对较低的资源。
第二个周边为CFW 11-142LB,这是深度数据包检测防火墙FW(DPI)11-DPO-PRO可以检查一个或多个组合数据包的有效载荷11-DPO-P的位置。DPI防火墙提供更深入的分析。如果有效载荷显示问题,则可以注意来自标题的源、目标和其他信息。
因此,SPI防火墙和DPI防火墙之间的通信非常有用。FW(SPI)11-SPO-PRO可以通过路径11-APFW-SP将实时检测的信息发送到云防火墙负载平衡器CFW 11-142LB,以提醒其通过标题检测检测到的任何威胁。除了共享检测到的违规报头(headers)之外,当向CFW 11-142LB和11-DPO-PRO传送信息时,还将包括有效载荷11-SPO-P。FW(DPI)11-DP0-PRO可以通过路径11-APFW-DP向云防火墙负载平衡器CFW-11144LB发送信息,以提醒其通过有效载荷检测检测到的任何威胁。它共享的信息也可以来自报头11-DPO-H,以便11-144LB和/或11-SPO-PRO的SPI防火墙检测操作可以将违规标题添加到其流量违例者列表中。
图12示出了由全局虚拟网络(GVN)启用的云端的多计数器防火墙(MPFW)。GVN隧道12-TUNO在端点设备(EPD)12-100和靠近EPD 12-100的接入点服务器(SRV_AP)12-300之间的互联网的顶部(OTT)上。
在该示例实施例中指示的三个周边是12-M1,其表示客户端位置与其到互联网的链接之间的边界,12-M2是在紧邻SRV_AP 12-300的数据中心的云端的边界,12-M3则是与SRV_AP 12-300相同数据中心的另一个边界,或者位于紧邻SRV_AP 12-302的另一个位置,该位置可能在另一个区域。
隧道12-TUN2类似于12-TUNO,但二者在一个方面是不同的,因为它连接可移动的个人端点设备(PEPD)12-130,并因此通过公共接入无线或有线连接到SRV_AP 12-300或其他网络集成到GVN中。PEPD 12-130可能不如EPD 12-100那么强大,从而将处理操作转移到SRV_AP,如图14所示。
每个SRV_AP 12-300和SRV_AP 12-302可以表示一个或多个SRV_AP设备,EPD 12-100和/或EPD 12-130可以经由一个或多个隧道同时连接。
在该示例实施例中描述了三种类型的防火墙。本地防火墙FW本地12-442是防火墙的一个示例,客户端可以使用防火墙来保护其局域网(LAN)免受基于互联网的威胁。这通常位于EPD 12-100和LAN 12-000之间。本地防火墙本地12-442可能提供IP地址和端口阻塞、转发等功能。其他两种类型的防火墙如图所示是位于12-M3处的FW SPI 12-446,其提供状态包检测(SPI),以及位于12-M2处的FW DPI 12-444,其提供深度包检测(DPI)。
SPI与DPI之间的差异与性能与可见性全面性的权衡有关。SPI检查数据包的报头,以查找格式不正确的信息或模式,或者将IP地址或端口或其他已知威胁列表中的信息与当前的数据包流相匹配。DPI作为其名称意味着更深入地查看整个数据包,并且在多部分多数据包传输的情况下,将会查看一系列数据包的编译,以便深入了解正在传输的数据。
所有防火墙都可以配置为调查和应用规则到入站和出站流量,并提供其他相关功能。在许多情况下,使用诸如FW 12-442等传统防火墙,管理员必须选择SPI的效率与DPI的彻底性、资源和时间密集型要求。
GVN提供了在云端的各个点分发两种类型的数据包检测的机会。此外,GVN允许分布式防火墙彼此锁定操作,而不会阻碍流量的流动。
通过将FW SPI 12-446定位在12-M3,通过EIP远程12-310与互联网12-302最接近的边缘,可以阻止来自已知源IP地址或识别的恶意头的大量攻击流量。交流从SRV_AP 12-302通过12-T10和12-T12返回到FW SPI 12-446。FW SPI 12-446可以是CFW负载平衡器(见图11),其具有足够的可用资源。12-M3的SRV_AP可以在具有大带宽(BW)容量的多源骨干网上。因此,在第一个周边,可以抓住攻击,保护GVN内的带宽。
在下一个周边12-M2,FW DPI 12-444可以使所有业务流量通过或仅通过来自SRV_AP 12-300的12-T20接收克隆的业务副本,并且它可能会或不会通过12-T22返回业务。关键是DPI功能可以是拖尾指示器,允许某些流量通过但分析和记录结果。该FW DPI 12-444也可以是CFW,根据需要负载平衡,可根据需要提供可用的资源,以便在需要时应对大规模事件,而无需个人客户端在正常时间内管理或承担维护基础设施的成本负担。
来自FW SPI 12-446和FW DPI 12-444的信息可以通过内部通信路径12-P6共享,内部通信路径12-P6可以由GVN的NAPIM通过GVN隧道、GVN反向信道或其他一个或多个通信通路运载。每个FW机制还与GVN的中央控制服务器(SRV_CNTRL)12-200共享信息。该信息可以中继到世界各地的其他FW SPI和FW DPI,以便可以在数据库或其他信息索引中提供攻击向量、源、有效载荷和其他相关信息,以便SPI和DPI FW可以具有参考反对。由于全球信息分配提供了一个附加的安全网,这样可以提高规模效率。
在客户端LAN和云端捕获违规流量可保护客户端的最后一英里互联网连接免受不必要的流量饱和。将流量卸载到可扩展的CFW也为客户带来许多优势。
FW本地12-442可以是独立设备、在EPD 12-100内部运行的软件应用(APP)或其他类型的FW设备。FW SPI 12-446和FW DPI 12-444设备和相关设备(例如负载平衡器,云防火墙或其他设备)可以定制或者可以由其他供应商提供架构。这些设备必须能够接收和转发流量,识别威胁,最重要的是能够传达其威胁结果,并从其他设备接收威胁配置文件和其他信息。
随着威胁数据的积累,可以对内容、模式、攻击向量和其他收集到的信息进行分析。该分析提供了一个将启发式分析应用于新的潜在威胁的基础。
这些只能通过由安全隧道和通信路径连接的相关设备组成的GVN或类似网络的安全网络优化(SNO)服务来实现。
图14示出了支持个人端点设备的云端的多边界防火墙(MPFW)。该图与图12相似,但是显示了便携设备,其将从移动位置钩入GVN,并且14-M1边界是个人区域网络PAN 14-010与GVN之间的边缘。
该图显示了个人终端设备(PEPD)14-130的拓扑,其中一些连接和其它功能分布在云端。该图进一步描述了分布到云端的防火墙操作以及代表本地设备(如个人端点设备(PEPD)14-130)在云端执行的其他操作。在PEDP 14-130是比端点设备(EPD)更低功能和更便携的设备的地方,它仍然可以利用由GVN提供的个人区域网络连接优化,包括高级智能路由(ASR)、多边界防火墙等等。
说明的关键点在于个人设备将对于处理能力的需求扩展到云端。驻留在PEPD上的模块包括用于处理器CPU 106、存储器RAM 108和网络接口NIC 102的硬件组件。操作系统是用于为系统软件系统SW 112和连接172模块提供平台的最小O/S110。该基本配置足以允许PEPD 14-130在其与接入点服务器SRV_AP 14-300之间构建隧道14-TUN2。
SRV_AP 14-300硬件组件的组件部分用于处理器CPU 306、存储器RAM 308和网络接口NIC 302。操作系统O/S 310是比O/S110更为广泛的安装。O/S 310为系统软件系统SW312提供平台,并为SRV_AP 14-300提供连接372模块。高级智能路由(ASR)350模块和其他模块370向SRV_AP 14-300和连接的PEPD-14-130提供功能。
PEPD 14-130可以依赖于隧道14-TUN2,能够承载流量,实现基于云的ASR、FW和其他操作功能。
图15示出了GVN中自动化设备和防火墙协作和信息交换所需的模块。
EPD 100是端点设备。SRV_AP 300是位于目标目的地区域中的接入点服务器。SRV_CNTRL 200是可由EPD和SRV_AP以及可能支持图形目的地机制的其他设备访问的中央服务器。
每个设备EPD 100,SRV_AP 200和SRV_CNTRL 300以列表、文件、数据库表和记录的形式以及其他方式将关于自身的信息存储在本地信息库中。该存储库还包含有关对等设备关系,存储日志以及其他相关操作信息的信息。SRV_CNTRL 200还具有额外的存储功能,其作用是向与其相关的其他设备和/或与其连接的对等设备提供信息,以评估当前状况,并提供集中控制式指导,如发布的服务器可用性列表和其他功能。中立的API机制(NAPIM)可以在设备和它们连接的对等体之间发送信息,也可以用于更新API本身。
SRV_CNTRL 200上的数据库充当用于其自身以及其他设备的集中式存储库的信息库。在许多地方,可以有许多不同的SRV_CNTRL 200服务器作为多主机。每个数据库可以存储包括隧道信息、对等信息、交通信息、缓存信息和其他信息的某些信息。安全性和其他方面由每个设备独立管理,包括心跳功能、触发脚本和其他机制。
该图另外分别示出了接入点服务器(SRV_AP)300、中央控制服务器(SRV_CNTRL)200和终点设备(EPD)100上的防火墙管理器D344、D244、D144。SRV_AP 300的FW管理器D344通过路径15-PA2与SRV_CNTRL200上的FW管理器D244进行通信。通过路径15-PA1向EPD的100FW管理器D144提供信息,以从SRV_CNTRL 200的FW管理器D244接收信息。
防火墙之间的命令和控制通信以及报告信息传输SPI 15-SP0-PRO和DPI 15-DP0-PRO分别通过路径15-BA44和15-BA42。
在各种设备上的数据库B344、B244和D144中的FW信息的存储允许威胁是已知的,并且还可以考虑通过GVN的流量的路由决定。例如,在一个区域的主动攻击饱和骨干网的情况下,这可能对通过该路由的业务的加权具有不利影响,并且通过较不拥塞的路径的业务的影响来接收路由优先级。
图16示出了GVN中设备到设备的信息交换。流量通过路径16-CP144从局域网(LAN)16-002到防火墙(FW)16-144设备,然后通过路径16-CP100从终端设备(EPD)16-100传输。EPD在互联网16-000至SRV_AP 16-302之间建立了隧道TUN 16-0(OTT)。
包含有关EPD 16-100的信息的数据阵列16-144100通过路径16-APSP4和16-AP100共享给FW 16-144。包含关于FW 16-144的信息的数据阵列16-100144通过路径16-APSP4和16-AP144被共享给EPD 16-100。在此示例中,EPD信息数组仅可通过LAN端口使用,而不能通过打开的WAN端口从外部获得。它可以通过TUN 16-0在GVN中的其他可信设备可用。
关键在于说明一种设备自动识别自身到相关设备的方法,包括其硬件规格、软件版本、当前操作状态和其他相关信息等信息。
图17示出了多边界防火墙与GVN中的其他系统的集成。信息战的行为总是发生。无论是民族国家、企业玩家、黑客还是其他角色,这些攻击是无情的,根据趋势,威胁正在增加。利用这里描述的拓扑,存在将由被动防火墙或其他这样的监控中间设备检测到的实时攻击的信息整合到由安全提供商公司或组织聚合和报告的互联网上的可能性。不论攻击的性质入侵、网络钓鱼攻击、企图窃取知识产权、DDoS攻击或其他已知或未知的威胁,关键是要保护网络。
图17显示各种设备之间的请求/响应(REQ/RESP)API循环。这些信息循环可以共享诸如CFW-DPI 17-142LB或CFW-SPI 17-144LB之类的云防火墙学习关于流经SRV_CNTRL 17-200的流量的信息。信息循环可以通过将信息从SRV_CNTRL 17-200传递到云防火墙(如CFW-DPI 17-142LB或CFW-SPI 17-144LB)来共享其他地区的攻击信息。此外,存储在SRV_CNTRL17-200上的数据库Db 17-B200中的信息还可以包含启发式模式、已知威胁的签名以及要共享的全球互联网监视源的信息。也可以通过路径17-GUI-AJAX,通过客户端17-018上的图形用户界面(GUI),从EPD 17-100上的托管实例获得可见性。
这种信息交换拓扑的灵活性还允许性能监控,用于基于云的可扩展使用防火墙资源的计费模块、系统管理和其他目的。
图20类似于图18,并且示出了用于向终端设备(EPD)20-100和互联网20-002的信息流的设备的拓扑和连接性。
流量从互联网20-002到出口入口点(EIP)20-E2,进入接入点服务器(SRV_AP)20-304,然后通过隧道TUN 20-6到云防火墙负载平衡器CFW 20-144LB。该负载平衡器在FW(SPI)20-SPO-PRO上分配状态数据包检测(SPI)防火墙资源。该SPI防火墙检查流经它的数据包的标题20-SPO-H信息。FW(SPI)20-SPO-PRO检测到的威胁信息存储在本地数据库Db20-BS中,并通过通信路径20-APSP4共享给中央控制服务器(SRV_CNTRL)200。该信息存储在SRV_CNTRL的数据库Db B200上。在其他SPI防火墙上检测到的威胁信息通过通信路径20-APSP4从SRV_CNTRL 200共享到FW(SPI)20-SPO-PRO。
CFW 20-144LB允许的流量通过TUN 20-4流向SRV_AP 20-302。在SRV_20-302,流量有两个选择-它可以直接通过TUN 20-0流向EPD,并将数据流的克隆副本通过TUN 20-2传输到云防火墙负载平衡器CFW 20-142LB。或者可以将非克隆流程转移到云防火墙负载平衡器CFW 20-142LB进行过滤和分析。
该云防火墙负载平衡器CFW 20-142LB在FW(DPI)20-DPO-PRO上分配深度数据包检测(DPI)防火墙资源。该DPI防火墙检查流经它的一个或多个组合数据包的有效载荷20-DPO-P信息。由FW(DSPI)20-DPO-PRO检测到的威胁信息存储在数据库Db 20-BD中,并且还经由通信路径20-APDP4共享到中央控制服务器(SRV_CNTRL)200。该信息存储在SRV_CNTRL的数据库Db B200上。关于在其他DPI防火墙上检测到的威胁的信息通过通信路径20-APDP4从SRV_CNTRL 200共享到FW(DPI)20-DPO-PRO。
如果允许,则网络流量然后通过TUN 20-0从SRV_AP 20-302流向EPD 20-100。
SPI和DPI云防火墙负载平衡器可以了解系统性威胁、远程区域的威胁、以及通过与SRV_CNTRL 200的通信获取各种其他信息,或者在某些情况下,它们可以通过直接路径(例如20-CPSPDP)相互通信。
图21示出了基于图20的拓扑或类似的拓扑的多边界防火墙算法,其中存在用于各种类型的防火墙操作的多个周边。
Db FW威胁21-D122可以存储在每个设备上和/或传送到中央控制服务器(SRV_CNTRL),以备将来访问和使用。SPI操作在一个周边。DPI操作在相同的周边或另一个周边。SPI和DPI防火墙可以相互通信威胁,并基于已知的威胁,可以采取适当的步骤。
在这个例子中,流量从21-000开始。如果检测到威胁,则会记录和分享威胁信息,并将违规的流量在21-944处进行黑洞(blackholed)处理。在21-900处,流量被视为干净的流量。
图22示出了诸如云防火墙CFW 444和云防火墙负载平衡器设备CFW LB 440等防火墙设备的软件体系结构的逻辑视图、以及相关设备的堆栈中央控制服务器(SRV_CNTRL)200、接入点服务器(SRV_AP)300和端点设备(EPD)100。如图所示,软件和硬件可以分布在网络设备内并跨越不同的电路板、处理器、网络接口卡、存储器和存储器。
设备的软件体系结构彼此非常相似,每个设备在其操作中的作用不同,还有一些不同的模块。
每个设备的最低级别是存储器(RAM)S106,S206,S306,S406和处理器(CPU)S102,S202,S302,S402和网络接口(NIC)S108,S208,S308,S408。所有这些都在硬件级别。操作系统(O/S)S110,S210,S310,S410可以是LINUX系统或诸如Debian等的等效系统。操作系统的描述包括用于路由、托管、通信和其他系统级操作软件的数据包和配置。
中央控制服务器(SRV_CNTRL)200,接入点服务器(SRV_AP)300和端点设备(EPD)包括全局虚拟网络(GVN)操作系统的系统软件层S112,S212,S312。在这里操作为定制命令、系统模块、管理器和其他组成部分,以及GVN的其他组件。GVN的每种类型的设备可以具有系统软件层的这些部分中的一些或全部或者取决于它们的角色的不同部分。
数据库模块Db 120,220,320和托管模块122,222和322被配置在该示例实施例中,用于GVN的中性API机制(NAPIM)、图形用户界面(GUI)和其他服务器端脚本托管站点的监听、发送、处理、存储,检索和其他相关的基础级操作。数据库120,220.202(Db)模块可以是MySQL或等效的,例如MariaDb和托管模块122,222和322可以是Apache和PHP脚本或其他类型的托管语言。命令行脚本也可以用Bash,C,PHP,Pearl,Python或其他语言编写。
计费模块可以协作和共享信息,例如由消费模型计费的隧道流量消耗的数据量。计费模块ACC 132 232 332在EPD 100上操作,并且SRV_AP 300具有对应的计费模块。两者都可以通提供财务信息给汇报屏幕、付款表格、电子邮件报表和其他由GVN产生的财务数据。
SRV_CNTRL 200具有处理计费信息、隧道管理器信息和可由GVN内的各种设备使用的其他数据的存储库管理器238。存储库管理器238还通过GVN的中性API机制(NAPIM)来处理对等体信息、凭证和连接到其他API对等体的各个设备的其它信息的协调。
EPD 100具有API模块130,SRV_CNTRL具有API模块230,并且SRV_AP 300具有API模块330。为了简化说明该示例实施例,仅每个设备已经表达了一个API模块。实际上,根据GVN中的功能,设备可能具有组合的客户端和服务器角色。
SRV_CNTRL 200上的缓存管理器管理分布在GVN的许多设备上的各种链接缓存的主索引。EPD100上的压缩引擎136和SRV_AP 300上的336管理对存储在文件、DB表或流传输数据中的数据的压缩和解压缩。
EPD100上的高级智能路由(ASR)150模块通过GVN的路由处理从EPD 100到目的地的最佳出口点的路由。
SRV_AP 300上的远程读取机器人(Remote Fetcher BOT)311是地理目的地机制(Geo-D)的核心组成部分。
SRV_CNTRL 200上的DNS管理器254管理可以在各种GVN设备(例如EPD 100上的DNS154)上确定(seed)DNS服务器的主DNS索引。
SRV_CNTRL 200上的Logger管理器通过API调用将设备共享的本地日志和日志管理到知识库(Repository)。在该示例性实施例中的记录管理器增加了记录操作事件,API动作和事务的功能,并且记录器还具有用于GVN操作的各个方面的其他角色和过程。
EPD100上的本地缓存152和SRV_AP 300上的本地缓存352在本地缓存数据。
GVN管理器272在SRV_CNTRL 200上操作以控制在SRV_CNTRL 200和GVN的其他设备上的系统的各种组件的操作。
在SRV_AP 300上的EPD 100和354上的本地DNS服务器和缓存154允许缓存DNS查找以用于快速、本地检索。可以完全刷新DNS 154和354,清除单个项目或设置为在一定时间段之后删除的检索查找的超时。
在EPD100上是作为Geo-D的组件的内容传送代理(CDA)158。SRV_AP 300是内容提取代理(CPA)358,也是Geo-D的组件。通过使用从远程地区设置(seeding)的DNS 354,CPA358与SRV_300上的BOT 311一起从该远程地区提取内容。CPA 358使用隧道、高速缓存和GVN的其他改进来将获取的内容发送到CDA 158。
EPD100和SRV_AP300上的连接管理器(未示出)管理在设备和其他设备到设备通信路径之间的隧道。SRV_CNTRL 200的压缩管理器在本地管理压缩,并且还与SRV_AP 300上的EPD 100,336上的压缩引擎136以及GVN的其他设备进行协调。使用ASR 150,Geo-D和其他元素对EPD坐标进行路由,用以管理流量路由。
SDB100、SDB200和SDB300中的数据库表的结构对于设备操作是等效的,而每个数据表的数据表特定于设备类型,每个设备都具有身份特定的设备。在SRV_CNTRL 200上,存储库数据库SDB202是存储所有设备的唯一信息的位置,并且存储库管理器238可以使用该信息来将API凭据、隧道信息或其他信息传送到设备。
存储在每个设备数据库中的是关于设备本身及其对等伙伴、事务列表和队列数据以及其他信息的身份和API对等体信息。所描述的方法和数据库除了描述之外还有其他用途,但是为了简化说明,本示例仅涵盖了一些核心功能元素示例。
云防火墙CFW 444包括基本防火墙软件S414,以及通用规则DPI、SPI、启发式扫描和其他功能S444。云防火墙负载平衡器设备CFW LB 440包括防火墙平衡器软件S448,其可根据需要管理云端防火墙的流量和资源分配。
除了终点设备(EPD)100之外,还可以使用接入点服务器(SRV_AP)300和中央控制服务器(SRV_CNTRL)200的第三方设备,只要它们具有能够通信加配置的凭证和其他信息以促进与其他设备的通信。在每个设备下面是可能在该设备的堆栈内运行的一些可能的组件,然而一些其他组件可以同时运行,这里没有描述。这些组件可以包括EPD100下的FW连接(Connectivity)S148,SRV_AP 300下的FW连接S348以及SRV_CNTRL200下的FW管理器S244。连接和管理器模块用于与CFW 444和CFW LB 440进行交互。管理器模块进行正在进行的FW分析并与全系统和地理位置不同的CFW和CFW LB设备通信有关已知的威胁。
防火墙负载平衡器CFW LB 440到防火墙CFW 444的通信可以通过FW每个设备上的连接模块S434。这些连接模块可以处理数据流通道以及数据流的信息流、所检测的威胁和其他信息。
设备到设备的通信可以通过API S130在EPD100上通过API S330上的中立API机制(参见国际专利申请PCT/IB 16/00110),在SRV_AP 300上通过API S330,在SRV_CNTRL 200上通过APIS230和CFW_LB 440通过API S430。
图23示出了经由中央控制服务器(SRV_CNTRL)23-200从防火墙(FW)到全局虚拟网络(GVN)中的各种设备的信息流。它还包括存储在本地设备中的信息相对于数据库(DB)表中的防火墙信息的性质,例如DB 23-110上的23-4100,DB 23-300上的23-4300,23-2300上的23-4200,210以及在FW设备23-140上的23-4140中的日志。
信息通过API请求23-P140REQ/23-P140RESP或等效的设备到设备信息共享从FW设备23-140报告给SRV_CNTRL 23-200。也可以通过路径23-P102,23-P302,23-P502或其他设备的其他路径从单个设备上向SRV_CNTRL报告。
SRV_CNTRL 23-200可以通过路径23-P100,23-P300,23-P500或其他直接路径向设备广播和/或发布FW相关信息。FW信息还可以通过来自设备23-260的请求/响应路径23-P260REQ和23-P260RESP的API呼叫提供。
标志可以指示诸如“在该设备上检测到”,“在另一设备上检测到”等信息的来源,以及诸如“基于LAN的攻击到外部”,“基于WAN的攻击”,“来自野外的攻击“等等。
存储的信息还可以包括签名、通过启发式分析已知和预测的结构、IP地址、病毒和/或恶意软件的代码模式和/或其他有害载荷、有问题的流量的行为特征、传播模式等。
SRV_CNTRL 23-200还可以利用算法分析信息,并根据威胁寿命、第一次和最后一次检测的时间、规模和攻击范围等来评估严重性,并确定历史和任何趋势。此分析考虑到主动威胁、过去的威胁、威胁之间的关系(例如,网络钓鱼攻击如何导致打开网络到其他攻击的妥协)、互联网/网络当前的条件来分配威胁级别和其他指标来衡量攻击的强度。在相对安静的时间,FW可能更容许,导致更快的操作。在相对活跃的时期,FW可能更具限制性和分析性,导致潜在的较慢的吞吐和操作。
SRV_CNTRL 23-200将FW信息保留在存储库存储库中,用于编目威胁类型、报告历史记录和包括威胁信息更新发布的记录设备交互。
图24是描述用于分析流过防火墙、防火墙负载平衡器和/或通过防火墙阵列的流量的算法的流程图。对于流经的流量,第一步是评估是否存在当前正在发现的主动威胁24-100。这受到当前威胁状态24-140的影响,该状态是防火墙活动的滚动指标。
如果没有检测到威胁并且当前的威胁状态正常,则FW规则应用于流量24-220,允许通过24-300。它仍然处于被动威胁模式24-524,然后在下一个启动FW周期24-000重新启动。
如果检测到威胁,则通过路径24-P200流量流动,并且通过路径24-P210检查威胁图案24-210的列表。如果被认可,则是黑洞或隔离。违规流量记录在24-240。一旦当前威胁在24-534处理,防火墙将设置为主动威胁模式24-554,然后返回到开始FW周期24-000。
如果威胁不被识别,则在在24-250处使用启发式威胁检测进行检查。如果没有检测到威胁,则通过24-P314进行跟踪,以在24-314处处理为假阳性。模式升级到主动威胁模式24-554,下一个周期从24-000开始。
图25示出了处理和处理威胁的系统堆栈中的各个层。内存最低级别为内存25-102、25-202、25-302,以及CPU 25-106、CPU 25-206、CPU 25-306。该系统是从最底层构建的。
设备的增量锁定是基于威胁的性质以及堆栈的深度。例如,安全应用(Secure-APP)25-140,25-240和25-340安全层保护该层以上的应用模块。这些管理某些模块的操作,但不必要影响深层逻辑。安全系统(Secure-Sys)25-124,25-224和25-324保护系统软件层,用于数据库操作,DNS,日志记录,缓存,托管和其他功能。安全操作系统(Secure-O/S)25-114,25-214和25-314保护操作系统免受威胁。安全硬件(Secure-HW)25-104,25-204和25-304保护硬件系统的物理层免受威胁,包括驱动程序文件,闪存指令集和其他系统。
锁定层的层数越低,系统的功能越少。
图26示出了在从HFS文件存储26-010检索系统文件26-110的引导过程中自动解密加密卷的方法。在引导启动过程26-100中的一个时刻,从HFS文件存储26-010检索密钥文件26-210。此密钥26-A由加密卷解锁模块26-200使用。加密卷解锁后,可以使用26-300。
将密钥存储到HFS文件存储卷26-010上的加密卷有一个明显的缺点。因为这是黑客入侵系统,使用未加密的密钥来解锁安全卷。另一个威胁是那些采取物理驱动,并试图解密卷以窃取有价值的客户端数据和/或逆向工程系统访问存储在加密卷中的软件。
图27示出了如何基于特定于该设备的多个因素来为设备一致地计算唯一用户标识(UUID)。硬件(HW)UUID 27-100(如CPU序列号,CPU型号,网络接口卡(NIC)的MAC地址等)通常对每个设备都是唯一的。硬件(HW)DMI编码27-200可以使用DMI值烧录,如序列号,版本号或其他DMI数据。也可以使用硬盘驱动器(HDD)或固态驱动器(SSD)27-300的唯一卷ID。还可以使用某些O/S的UUID 27-500,这是构建系统所独有的。UUID和密钥作为存储在本地数据库27-600中的身份表中的值也可以用作设备的身份的一部分。
在应用程序级别,可以使用密钥文件、证书和其他标识符27-800形式的UUID来为设备本身生成特定的UUID。
可以计算、使用和验证各种设备UUID,以确保设备的整体操作的真实性。各种因素的组合在难以接近设备的情况下难以接近不可能的欺骗。
图28示出了安全引导机构的模块。端点设备(EPD)28-100与安全引导服务器(SRV_SB)28-500联系,并通过安全引导服务器拒绝的API-2A1-2A5呈现虚假数据包。然后,SRV_SB使用一系列挑战向EPD查询。成功通过一系列测试后,EPD上的安全引导管理器28-150允许通过SRV_SB上的安全引导侦听器28-552构建安全隧道TUN 28-100500。将设备证书28-138呈现给SRV_SB,以由安全启动管理器(Secure Boot Manager)28-550对存储在数据库28-B500或HFS存储28-H500中的值进行验证。
通过所有的测试,是密钥和凭证管理器28-536发布的EPD 28-100上的加密卷的密钥,并通过TUN 28-100500安全地将该密钥传送到EPD 28-100。通过服务器可用性机制28-222,可通过API查询向中央控制服务器(SRV_CNTRL)28-200提供可用的SRV_SB服务器列表。
图29示出了后通道机构的细节。端点设备(EPD)29-100接收可通过API调用API-29A1-29A2与中央控制服务器(SRV CNTRL)29-200连接的后向通道服务器(SRV_BC)的列表。服务器可用性29-220列表提供了EPD可以连接的当前可用的SRV_BC。该图显示了通过TUN29-100500至SRV_BC0 29-500的三个并发连接,通过TUN 29-100502至SRV_BC2 29-502,以及通过TUN 29-100506至SRV_BC6 29-506。
一旦安全性被BC安全性29-540,29-542和29-546清除,EPD 29-100上的后通道客户端29-510通过后向通道管理器29-510,29-512和29-516进行同时连接。这些设备还可以通过API调用,例如通过API-29A1-29A2或SRV_BC0通过API-29A2-29A50通过API-29A1-29A2或SRV BTR到SRV_CNTRL的API调用。
有关在EPD和SRV_BC之间建立隧道的对等体对、凭证、认证、密钥和其他信息的信息可以通过这些API调用传递给SRV_CNTRL。此外,具有健康关系的已知对等体之间的状态消息可以通过API直接发送,例如通过API-29A1-29A52从EPD 29-100到SRV_BC2 29-502。
这个例子是一个EPD同时连接到许多SRV_BC。主动隧道的目标是使得能够始终向命令行界面(CLI)登录到EPD的路径,而不管EPD是否在开放的互联网和/或网络上被发现。
图30示出了许多端点设备(EPD)30-100,30-102和30-106与后向通道服务器(SRV_BC0)30-500之间的连接。当EPD启动连接到SRV_BC0 30-500上的登录空间时,登录的实例是EPD 30-100的系统安全隔离实例30-510,EPD 30-102的30-512,和30-516分别为EPD 30-106。每个孤立的实例都像一个系统监视器,其中登录的用户只能被限制为限制其动作、权利、权限以及其他方式在主机系统上的能力的有限命令。
所以从EPD到SRV_BC0 30-500,除了保持两者之间的连接之外,还有很少的事可以做。但是,另一方面,客户端30-000可以登录到SRV_BC0,且在具有某些权限的情况下,可以有权访问一个或多个孤立的实例。从那里可以将隧道上的SSH反向登录到EPD 30-100上的远程命令行界面CLI 30-110或EPD 30-102上的CLI 30-112或EPD 30-106上的CLI 30-116。这允许客户端30-000在其登录权限范围内执行管理任务、远程执行、运行测试和进行其他操作。客户端可以是人或自动设备。
后渠道的优点是在EPD不可达时提供接入。由于隧道TUN 30-100500、30-102500和30-106500的性质,它们对丢包、抖动和其他因素的容忍度远高于其他形式的隧道和/或通信路径。因此,在网络不稳定的情况下,后台通道可以访问诊断和补救问题,否则这些问题将难以解决。
图31示出了使用对于每一行唯一的旋转和计算的密钥将加密数据写入数据库的一行中的选定字段。
此流程图需要连接到数据库,创建一行并获取相应的自动增量整数ROW_ID值。然后利用加密过程,随后使用一系列密钥、密钥调节器、行内的字段和其他因素来处理要加密的值。用于加密数据行的相同因子可用于解密。
上表中的每个水平行都有两个加密字段[ENC_A]和[ENC_B]。每个字段的关键是基于多个因素,基于一些开放字段[用户_ID],[密钥_Adj]和[创建时间],以及其他因素,如基本系统密钥,根据以下计算:
密钥待计算=用户ID+基础Key+密钥Adjustor+时间创建+其他因素
即使相同的用户ID在完全相同的第二个时间为ENC_A和ENC_B输入相同的值,则值将不同,因为行ID#的自动递增整数值(例如,在行号658、661、663处,[用户_ID]=l)是关键计算的一部分。上面示例中的[密钥_Adj]或键调节器字段是两位数的alpha值,但可以是存储在该行中的其他数据。他们的关键点是,如果数据库的SQL被盗,从计算和时间的角度来说,破解是昂贵的。若破解这些值,整个代码库、SQL和环境都必须被窃取并被复制。
图32示出了从单个行中使用键、键调节器和使用框架来计算键的其他因素的数据解密。
图33示出当客户端33-000从端点设备(EPD)33-100请求的图形用户界面(GUI)内容和请求内容被存储在锁定的卷33-114内时,会发生什么。404错误处理程序33-144抛出并捕获未找到的404错误。在33-120处,产生到简化的内容的跳转。该内容存储在锁定卷外部,该锁定卷可以是存储在开放HFS文件存储33-220中的文件或来自开放DB 33-210的数据库内容或两者的组合。
如果安全卷被锁定,则只有安全卷之外的内容才可用。然而,如果安全卷被解锁,则安全内容33-120可以被使用,该安全内容33-120可以来自于安全DB 33-210或是存储在安全HFS文件存储33-220中的文件或两者的组合。
所提供内容中的Javascript脚本也可以轮询EPD 33-100以检查安全卷的状态。如果它被锁定并已被解锁,则可以跳转到安全的内容。相反,如果卷被解锁并突然被锁定,则内容可以恢复到安全卷之外的内容。
本公开不受本文描述的具体实施例的限制。实际上,除了本文所描述的那些之外,本公开的其他各种实施例和修改对于本领域普通技术人员来说将从前述描述和附图中变得显而易见。因此,这样的其他实施例和修改旨在落入本公开的范围内。此外,尽管本文已经在至少一个特定实施方式的至少一个特定实施方案的上下文中针对至少一个特定目的描述了本公开,但是本领域普通技术人员将认识到其可用性不限于此,并且本公开可以在任何数量的环境中有益地实现用于任何数量的目的。因此,下面阐述的权利要求应当考虑到本文所述的本公开的全部宽度和精神来解释。
根据本公开的实施例,还公开了以下附记:
1.一种全局虚拟网络中的多边界防火墙,包括:出口入口点设备;
第一接入点服务器,所述第一接入点服务器与所述出口入口点设备通信;
第二接入点服务器,所述第二接入点服务器与所述第一接入点服务器通信;
端点设备,所述端点设备与所述第二接入点服务器通信;
第一防火墙,所述第一防火墙与所述第一接入点服务器通信,其中所述第一防火墙防止至少一些流量从所述第一接入点服务器传送到所述第二接入点服务器;以及
第二防火墙,所述第二防火墙与所述第二接入点服务器通信,其中所述第二防火墙防止至少一些流量从所述第二接入点服务器传送到所述端点设备。
2.根据附记1所述的多边界防火墙,其特征在于,所述端接入点服务器中的至少一个用于执行防火墙服务。
3.根据附记1所述的多边界防火墙,其特征在于,所述第一防火墙与所述第二防火墙通信。
4.根据附记3所述的多边界防火墙,其特征在于,所述第一防火墙与所述第二防火墙之间的通信路径是全局虚拟网络隧道。
5.根据附记3所述的多边界防火墙,其特征在于,所述第一防火墙与所述第二防火墙之间的通信路径是全局虚拟网络反向通道。
6.根据附记3所述的多边界防火墙,其特征在于,所述第一防火墙和所述第二防火墙共享威胁信息,所述威胁信息包括启发式模式、已知威胁签名、已知恶意源头IP地址、或攻击向量中的任一个。
7.根据附记6所述的多边界防火墙,其特征在于,所述第一防火墙和所述第二防火墙与中央控制服务器共享威胁信息。
8.根据附记1所述的多边界防火墙,其特征在于,所述防火墙中的至少一个执行深度包检测。
9.根据附记8所述的多边界防火墙,其特征在于,所述深度包检测在流经流量上执行。
10.根据附记8所述的多边界防火墙,其特征在于,所述深度包检测在所述流量的克隆拷贝上执行。
11.根据附记1所述的多边界防火墙,其特征在于,所述防火墙中的至少一个执行状态包检测。
12.根据附记1所述的多边界防火墙,其特征在于,一个防火墙执行状态包检测,另一个防火墙执行状态包检测。
13.根据附记1所述的多边界防火墙,其特征在于,所述防火墙中的至少一个包括云防火墙负载平衡器,所述云防火墙负载平衡器可根据需要分配云防火墙资源。
Claims (10)
1.一种全局虚拟网络中的多边界防火墙,包括:出口入口点设备;
第一接入点服务器,所述第一接入点服务器与所述出口入口点设备通信;
第二接入点服务器,所述第二接入点服务器与所述第一接入点服务器通信;
端点设备,所述端点设备与所述第二接入点服务器通信;
第一防火墙,所述第一防火墙与所述第一接入点服务器通信,其中所述第一防火墙防止至少一些流量从所述第一接入点服务器传送到所述第二接入点服务器;以及
第二防火墙,所述第二防火墙与所述第二接入点服务器通信,其中所述第二防火墙防止至少一些流量从所述第二接入点服务器传送到所述端点设备。
2.根据权利要求1所述的多边界防火墙,其特征在于,所述端接入点服务器中的至少一个用于执行防火墙服务。
3.根据权利要求1所述的多边界防火墙,其特征在于,所述第一防火墙与所述第二防火墙通信。
4.根据权利要求3所述的多边界防火墙,其特征在于,所述第一防火墙与所述第二防火墙之间的通信路径是全局虚拟网络隧道。
5.根据权利要求3所述的多边界防火墙,其特征在于,所述第一防火墙与所述第二防火墙之间的通信路径是全局虚拟网络反向通道。
6.根据权利要求3所述的多边界防火墙,其特征在于,所述第一防火墙和所述第二防火墙共享威胁信息,所述威胁信息包括启发式模式、已知威胁签名、已知恶意源头I P地址、或攻击向量中的任一个。
7.根据权利要求6所述的多边界防火墙,其特征在于,所述第一防火墙和所述第二防火墙与中央控制服务器共享威胁信息。
8.根据权利要求1所述的多边界防火墙,其特征在于,所述防火墙中的至少一个执行深度包检测。
9.根据权利要求8所述的多边界防火墙,其特征在于,所述深度包检测在流经流量上执行。
10.根据权利要求8所述的多边界防火墙,其特征在于,所述深度包检测在所述流量的克隆拷贝上执行。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110637581.XA CN113381994B (zh) | 2015-04-07 | 2016-04-07 | 在云端的多边界防火墙 |
Applications Claiming Priority (7)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201562144293P | 2015-04-07 | 2015-04-07 | |
US62/144,293 | 2015-04-07 | ||
US201562151174P | 2015-04-22 | 2015-04-22 | |
US62/151,174 | 2015-04-22 | ||
CN201680021239.4A CN107873128B (zh) | 2015-04-07 | 2016-04-07 | 在云端的多边界防火墙 |
CN202110637581.XA CN113381994B (zh) | 2015-04-07 | 2016-04-07 | 在云端的多边界防火墙 |
PCT/IB2016/000528 WO2016162748A1 (en) | 2015-04-07 | 2016-04-07 | Multi-perimeter firewall in the cloud |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201680021239.4A Division CN107873128B (zh) | 2015-04-07 | 2016-04-07 | 在云端的多边界防火墙 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113381994A true CN113381994A (zh) | 2021-09-10 |
CN113381994B CN113381994B (zh) | 2023-05-02 |
Family
ID=56101757
Family Applications (6)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111060089.7A Pending CN113872855A (zh) | 2015-04-07 | 2016-04-07 | 用于全局虚拟网络中的虚拟接口和高级智能路由的系统和方法 |
CN202110637581.XA Active CN113381994B (zh) | 2015-04-07 | 2016-04-07 | 在云端的多边界防火墙 |
CN201680020878.9A Active CN107852604B (zh) | 2015-04-07 | 2016-04-07 | 用于提供全局虚拟网络(gvn)的系统 |
CN202111354895.5A Pending CN114079669A (zh) | 2015-04-07 | 2016-04-07 | 用于提供全局虚拟网络(gvn)的系统和方法 |
CN201680021239.4A Active CN107873128B (zh) | 2015-04-07 | 2016-04-07 | 在云端的多边界防火墙 |
CN201680020937.2A Active CN107637037B (zh) | 2015-04-07 | 2016-04-07 | 用于全局虚拟网络中的虚拟接口和高级智能路由的系统和方法 |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111060089.7A Pending CN113872855A (zh) | 2015-04-07 | 2016-04-07 | 用于全局虚拟网络中的虚拟接口和高级智能路由的系统和方法 |
Family Applications After (4)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201680020878.9A Active CN107852604B (zh) | 2015-04-07 | 2016-04-07 | 用于提供全局虚拟网络(gvn)的系统 |
CN202111354895.5A Pending CN114079669A (zh) | 2015-04-07 | 2016-04-07 | 用于提供全局虚拟网络(gvn)的系统和方法 |
CN201680021239.4A Active CN107873128B (zh) | 2015-04-07 | 2016-04-07 | 在云端的多边界防火墙 |
CN201680020937.2A Active CN107637037B (zh) | 2015-04-07 | 2016-04-07 | 用于全局虚拟网络中的虚拟接口和高级智能路由的系统和方法 |
Country Status (7)
Country | Link |
---|---|
US (11) | US10574482B2 (zh) |
EP (6) | EP3761592B8 (zh) |
JP (3) | JP2018515974A (zh) |
CN (6) | CN113872855A (zh) |
ES (3) | ES2951911T3 (zh) |
HK (3) | HK1249974A1 (zh) |
WO (3) | WO2016162749A1 (zh) |
Families Citing this family (60)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9882713B1 (en) | 2013-01-30 | 2018-01-30 | vIPtela Inc. | Method and system for key generation, distribution and management |
US10454714B2 (en) | 2013-07-10 | 2019-10-22 | Nicira, Inc. | Method and system of overlay flow control |
US9467478B1 (en) | 2013-12-18 | 2016-10-11 | vIPtela Inc. | Overlay management protocol for secure routing based on an overlay network |
ES2717751T3 (es) | 2014-06-11 | 2019-06-25 | Molecular Templates Inc | Polipéptidos efectores de la subunidad A de la toxina de Shiga resistentes a la escisión por proteasa y moléculas dirigidas a células que los comprenden |
EP3230885B1 (en) | 2014-12-08 | 2024-04-17 | Umbra Technologies Ltd. | Method for content retrieval from remote network regions |
CN107251518B (zh) | 2015-01-06 | 2021-03-02 | 安博科技有限公司 | 用于中立应用程序编程接口的系统和方法 |
CN115834534A (zh) | 2015-01-28 | 2023-03-21 | 安博科技有限公司 | 用于全局虚拟网络的系统 |
CA2972151C (en) | 2015-02-05 | 2022-10-11 | Molecular Templates, Inc. | Multivalent cd20-binding molecules comprising shiga toxin a subunit effector regions and enriched compositions thereof |
EP3761592B8 (en) | 2015-04-07 | 2023-09-13 | Umbra Technologies Ltd. | System and method for virtual interfaces and advanced smart routing in a global virtual network |
CN107925594B (zh) | 2015-06-11 | 2020-12-29 | 安博科技有限公司 | 用于网络挂毯多协议集成的系统和方法 |
US11360945B2 (en) | 2015-12-11 | 2022-06-14 | Umbra Technologies Ltd. | System and method for information slingshot over a network tapestry and granularity of a tick |
US9980303B2 (en) * | 2015-12-18 | 2018-05-22 | Cisco Technology, Inc. | Establishing a private network using multi-uplink capable network devices |
EP4036747A1 (en) | 2016-04-26 | 2022-08-03 | Umbra Technologies Ltd. | Network slinghop via tapestry slingshot |
US10397189B1 (en) * | 2016-09-27 | 2019-08-27 | Amazon Technologies, Inc. | Peered virtual private network endpoint nodes |
US10579942B2 (en) * | 2016-10-14 | 2020-03-03 | Cisco Technology, Inc. | Distributed and centralized modes for isolation networks |
EP3580892B1 (en) * | 2017-02-07 | 2024-04-03 | Telefonaktiebolaget LM Ericsson (publ) | Transport layer monitoring and performance assessment for ott services |
US10491567B2 (en) * | 2017-03-17 | 2019-11-26 | Verizon Patent And Licensing Inc. | Dynamic firewall configuration based on proxy container deployment |
US10498810B2 (en) * | 2017-05-04 | 2019-12-03 | Amazon Technologies, Inc. | Coordinating inter-region operations in provider network environments |
US10644946B2 (en) * | 2017-06-19 | 2020-05-05 | Cisco Technology, Inc. | Detection of overlapping subnets in a network |
US20180375762A1 (en) * | 2017-06-21 | 2018-12-27 | Microsoft Technology Licensing, Llc | System and method for limiting access to cloud-based resources including transmission between l3 and l7 layers using ipv6 packet with embedded ipv4 addresses and metadata |
US10924449B2 (en) * | 2017-07-06 | 2021-02-16 | Facebook, Inc. | Internet protocol (IP) address assignment |
US11115480B2 (en) | 2017-10-02 | 2021-09-07 | Vmware, Inc. | Layer four optimization for a virtual network defined over public cloud |
US10594516B2 (en) | 2017-10-02 | 2020-03-17 | Vmware, Inc. | Virtual network provider |
US10999100B2 (en) | 2017-10-02 | 2021-05-04 | Vmware, Inc. | Identifying multiple nodes in a virtual network defined over a set of public clouds to connect to an external SAAS provider |
US11223514B2 (en) | 2017-11-09 | 2022-01-11 | Nicira, Inc. | Method and system of a dynamic high-availability mode based on current wide area network connectivity |
US11546444B2 (en) * | 2018-03-22 | 2023-01-03 | Akamai Technologies, Inc. | Traffic forwarding and disambiguation by using local proxies and addresses |
EP3782038B1 (en) | 2018-04-18 | 2023-07-26 | IBOSS, Inc. | Hybrid cloud computing network management |
KR101964592B1 (ko) * | 2018-04-25 | 2019-04-02 | 한국전자통신연구원 | 보안위협 정보 공유 장치 및 방법 |
US11936629B2 (en) | 2018-06-21 | 2024-03-19 | VMware LLC | System and method for creating a secure hybrid overlay network |
US10887218B2 (en) | 2018-06-27 | 2021-01-05 | At&T Intellectual Property I, L.P. | Enhanced dynamic encryption packet segmentation |
US10644901B2 (en) * | 2018-09-27 | 2020-05-05 | Juniper Networks, Inc. | Generating flexible, programmable, and scalable network tunnels on demand |
US11425216B2 (en) | 2019-04-01 | 2022-08-23 | Cloudflare, Inc. | Virtual private network (VPN) whose traffic is intelligently routed |
US11784912B2 (en) | 2019-05-13 | 2023-10-10 | Cloudflare, Inc. | Intelligently routing internet traffic |
US11121985B2 (en) | 2019-08-27 | 2021-09-14 | Vmware, Inc. | Defining different public cloud virtual networks for different entities based on different sets of measurements |
US11522913B1 (en) * | 2019-09-03 | 2022-12-06 | Rapid7, Inc. | Simplifying networking setup complexity for security agents |
US11328089B2 (en) * | 2019-09-20 | 2022-05-10 | International Business Machines Corporation | Built-in legal framework file management |
US11595357B2 (en) * | 2019-10-23 | 2023-02-28 | Cisco Technology, Inc. | Identifying DNS tunneling domain names by aggregating features per subdomain |
CN111555975B (zh) * | 2020-03-20 | 2022-11-08 | 视联动力信息技术股份有限公司 | 一种数据发送方法、装置、电子设备及存储介质 |
US11444851B2 (en) * | 2020-04-13 | 2022-09-13 | Verizon Patent And Licensing Inc. | Systems and methods of using adaptive network infrastructures |
WO2021231989A1 (en) * | 2020-05-15 | 2021-11-18 | Secureg | System and methods for transit path security assured network slices |
KR20220053151A (ko) * | 2020-10-22 | 2022-04-29 | 삼성에스디에스 주식회사 | P2p 연결 제어 방법 및 장치 |
KR20220084603A (ko) * | 2020-12-14 | 2022-06-21 | 삼성전기주식회사 | 적층형 커패시터 및 그 실장 기판 |
US11601356B2 (en) | 2020-12-29 | 2023-03-07 | Vmware, Inc. | Emulating packet flows to assess network links for SD-WAN |
US11792127B2 (en) | 2021-01-18 | 2023-10-17 | Vmware, Inc. | Network-aware load balancing |
US11979325B2 (en) | 2021-01-28 | 2024-05-07 | VMware LLC | Dynamic SD-WAN hub cluster scaling with machine learning |
US11363062B1 (en) * | 2021-03-31 | 2022-06-14 | Peakstar Technologies Inc. | System and method for decentralized internet traffic filtering policy reporting |
US11297038B1 (en) * | 2021-07-03 | 2022-04-05 | Oversec, Uab | Rotating internet protocol addresses in a virtual private network |
US11843581B2 (en) * | 2021-08-15 | 2023-12-12 | Netflow, UAB | Clustering of virtual private network servers |
US11943146B2 (en) | 2021-10-01 | 2024-03-26 | VMware LLC | Traffic prioritization in SD-WAN |
CN114499923B (zh) * | 2021-11-30 | 2023-11-10 | 北京天融信网络安全技术有限公司 | 一种icmp模拟报文的生成方法及装置 |
CN114567461A (zh) * | 2022-02-09 | 2022-05-31 | 日照盈德气体有限公司 | 一种空分多系统互联远程工业监测系统 |
US11444911B1 (en) | 2022-02-22 | 2022-09-13 | Oversec, Uab | Domain name system configuration during virtual private network connection |
US11647084B1 (en) | 2022-03-04 | 2023-05-09 | Oversec, Uab | Virtual private network connection management with echo packets |
US11558469B1 (en) | 2022-03-04 | 2023-01-17 | Oversec, Uab | Virtual private network connection status detection |
US11665141B1 (en) | 2022-03-04 | 2023-05-30 | Oversec, Uab | Virtual private network connection status detection |
US11627191B1 (en) | 2022-03-04 | 2023-04-11 | Oversec, Uab | Network connection management |
US11909815B2 (en) | 2022-06-06 | 2024-02-20 | VMware LLC | Routing based on geolocation costs |
CN117354276A (zh) * | 2022-06-27 | 2024-01-05 | 中移(杭州)信息技术有限公司 | 一种网络穿透系统的启动方法及报文收发方法、通信设备 |
US11729148B1 (en) * | 2022-09-04 | 2023-08-15 | Uab 360 It | Optimized utilization of internet protocol addresses in a virtual private network |
CN115525657B (zh) * | 2022-10-12 | 2023-07-11 | 合肥九韶智能科技有限公司 | 一种可扩展的网络请求消息和转发系统 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020046253A1 (en) * | 2000-07-04 | 2002-04-18 | Jiyunji Uchida | Electronic file management system and method |
CN1411287A (zh) * | 2001-09-27 | 2003-04-16 | 三星电子株式会社 | 把分布式防火墙用于分载因特网协议语音业务的软交换器 |
CN1748395A (zh) * | 2003-02-05 | 2006-03-15 | 日本电信电话株式会社 | 防火墙装置 |
CN1754161A (zh) * | 2002-10-18 | 2006-03-29 | 科拉图斯公司 | 用于建立虚拟网络的设备、方法和计算机程序产品 |
CN102687480A (zh) * | 2009-12-12 | 2012-09-19 | 阿卡麦科技公司 | 基于云的防火墙系统及服务 |
CN202587025U (zh) * | 2012-03-27 | 2012-12-05 | 苏州市职业大学 | 一种分布式内容过滤防火墙 |
CN103763310A (zh) * | 2013-12-31 | 2014-04-30 | 曙光云计算技术有限公司 | 基于虚拟网络的防火墙服务系统及方法 |
US20140289864A1 (en) * | 2011-11-04 | 2014-09-25 | British Telecommunications Public Limited Company | Method and apparatus for securing a computer |
CN104301321A (zh) * | 2014-10-22 | 2015-01-21 | 北京启明星辰信息技术股份有限公司 | 一种实现分布式网络安全防护的方法及系统 |
Family Cites Families (378)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
IT1196791B (it) * | 1986-11-18 | 1988-11-25 | Cselt Centro Studi Lab Telecom | Elemento di commutazione per reti di interconnessione multistadio autoinstradanti a commutazione di pacchetto |
US5828847A (en) * | 1996-04-19 | 1998-10-27 | Storage Technology Corporation | Dynamic server switching for maximum server availability and load balancing |
US5893089A (en) | 1996-11-15 | 1999-04-06 | Lextron Systems, Inc. | Memory with integrated search engine |
US6370571B1 (en) | 1997-03-05 | 2002-04-09 | At Home Corporation | System and method for delivering high-performance online multimedia services |
CA2228879C (en) | 1997-03-25 | 2001-08-07 | At&T Corp. | Methods for identifying service processing of telephone calls |
US7389312B2 (en) | 1997-04-28 | 2008-06-17 | Emc Corporation | Mirroring network data to establish virtual storage area network |
US5940838A (en) | 1997-07-11 | 1999-08-17 | International Business Machines Corporation | Parallel file system and method anticipating cache usage patterns |
US6611498B1 (en) | 1997-09-26 | 2003-08-26 | Worldcom, Inc. | Integrated customer web station for web based call management |
US6374302B1 (en) | 1998-03-31 | 2002-04-16 | At&T Corp. | Method and system to provide an action control point master gatekeeper |
US6289201B1 (en) | 1998-10-02 | 2001-09-11 | Motorola, Inc. | Method and system for multilayer service management |
US6209039B1 (en) | 1998-10-16 | 2001-03-27 | Mci Worldcom, Inc. | Method and apparatus for providing an interface between a plurality of frame relay networks |
WO2000051361A1 (en) | 1999-02-25 | 2000-08-31 | Siemens Schweiz Ag | Telecommunications system and method relating to telecommunications services with number translation |
US6463465B1 (en) | 1999-05-07 | 2002-10-08 | Sun Microsystems, Inc. | System for facilitating remote access to parallel file system in a network using priviliged kernel mode and unpriviliged user mode to avoid processing failure |
GB2350255A (en) | 1999-05-15 | 2000-11-22 | Ericsson Telefon Ab L M | Signalling in a telecommunications network |
FR2795593B1 (fr) | 1999-06-24 | 2001-09-07 | Cit Alcatel | Procede de routage de messages entre des points d'acces |
US6879995B1 (en) | 1999-08-13 | 2005-04-12 | Sun Microsystems, Inc. | Application server message logging |
US6693876B1 (en) | 1999-08-31 | 2004-02-17 | Worldcom, Inc. | Selecting IPX/IGX nodes in a multi-domain environment |
US6678241B1 (en) | 1999-11-30 | 2004-01-13 | Cisc Technology, Inc. | Fast convergence with topology switching |
US6735207B1 (en) | 2000-06-13 | 2004-05-11 | Cisco Technology, Inc. | Apparatus and method for reducing queuing memory access cycles using a distributed queue structure |
US6477166B1 (en) | 2000-06-30 | 2002-11-05 | Marconi Communications, Inc. | System, method and switch for an MPLS network and an ATM network |
US20020007350A1 (en) * | 2000-07-11 | 2002-01-17 | Brian Yen | System and method for on-demand data distribution in a P2P system |
US7155508B2 (en) | 2000-09-01 | 2006-12-26 | Yodlee.Com, Inc. | Target information generation and ad server |
US20020087447A1 (en) | 2000-09-19 | 2002-07-04 | Gazebo Inc. | System and method for managing and executing event based investments |
US6947433B2 (en) * | 2000-09-21 | 2005-09-20 | Avici Systems, Inc. | System and method for implementing source based and egress based virtual networks in an interconnection network |
US9525696B2 (en) | 2000-09-25 | 2016-12-20 | Blue Coat Systems, Inc. | Systems and methods for processing data flows |
WO2002033551A1 (en) | 2000-10-18 | 2002-04-25 | Tricord Systems, Inc. | Controller fault recovery system for a distributed file system |
US7006505B1 (en) | 2000-10-23 | 2006-02-28 | Bay Microsystems, Inc. | Memory management system and algorithm for network processor architecture |
US6829215B2 (en) | 2000-10-31 | 2004-12-07 | Marconi Intellectual Property (Ringfence) Inc. | IP multi-homing |
US7254833B1 (en) * | 2000-11-09 | 2007-08-07 | Accenture Llp | Electronic security system and scheme for a communications network |
US7149797B1 (en) * | 2001-04-02 | 2006-12-12 | Akamai Technologies, Inc. | Content delivery network service provider (CDNSP)-managed content delivery network (CDN) for network service provider (NSP) |
US7055036B2 (en) | 2001-04-06 | 2006-05-30 | Mcafee, Inc. | System and method to verify trusted status of peer in a peer-to-peer network environment |
US7599620B2 (en) * | 2001-06-01 | 2009-10-06 | Nortel Networks Limited | Communications network for a metropolitan area |
CN1241366C (zh) | 2001-06-19 | 2006-02-08 | 中兴通讯股份有限公司 | 一种宽带接入用户配置方法 |
US8625411B2 (en) | 2001-07-20 | 2014-01-07 | Bay Microsystems, Inc. | Robust mesh transport network comprising conjoined rings |
US7161899B2 (en) | 2001-07-20 | 2007-01-09 | Bay Microsystems, Inc. | Interlocking SONET/SDH network architecture |
JP2003034163A (ja) | 2001-07-24 | 2003-02-04 | Honda Motor Co Ltd | 車両用メータ装置 |
EP1283464A1 (en) * | 2001-08-06 | 2003-02-12 | Hewlett-Packard Company | A boot process for a computer, a boot ROM and a computer having a boot ROM |
US7224706B2 (en) | 2001-08-28 | 2007-05-29 | Bay Microsystems, Inc. | Hitless re-routing in composite switches |
US7310348B2 (en) | 2001-09-19 | 2007-12-18 | Bay Microsystems, Inc. | Network processor architecture |
AU2002326995A1 (en) | 2001-09-19 | 2003-04-01 | Bay Microsystems, Inc. | Vertical instruction and data processing in a network processor architecture |
US6973048B2 (en) | 2001-10-10 | 2005-12-06 | Bay Microsystems, Inc. | Composite add/drop multiplexor |
IL161735A0 (en) | 2001-11-02 | 2005-11-20 | Neoteris Inc | Method and system for providing secure access to resources on private networks |
US6593863B2 (en) | 2001-12-05 | 2003-07-15 | Parama Networks, Inc. | Serializer |
JP3812727B2 (ja) | 2001-12-11 | 2006-08-23 | 日本電気株式会社 | 情報処理システム |
US6690223B1 (en) | 2001-12-27 | 2004-02-10 | Bay Microsystems, Inc. | System and method for shifting the phase of a clock signal |
US7433964B2 (en) | 2002-01-20 | 2008-10-07 | Bay Microsystems, Inc. | Coherent provisioning of multiple traffic paths in transport networks |
US8976798B2 (en) * | 2002-01-28 | 2015-03-10 | Hughes Network Systems, Llc | Method and system for communicating over a segmented virtual private network (VPN) |
US7398552B2 (en) * | 2002-01-28 | 2008-07-08 | Hughes Network Systems, Llc | Method and system for integrating performance enhancing functions in a virtual private network (VPN) |
WO2003075166A1 (fr) | 2002-03-06 | 2003-09-12 | Fujitsu Limited | Systeme de stockage et procede de transfert de donnees dans ledit systeme |
US7039701B2 (en) * | 2002-03-27 | 2006-05-02 | International Business Machines Corporation | Providing management functions in decentralized networks |
US7177929B2 (en) * | 2002-03-27 | 2007-02-13 | International Business Machines Corporation | Persisting node reputations in transient network communities |
US7069318B2 (en) * | 2002-03-27 | 2006-06-27 | International Business Machines Corporation | Content tracking in transient network communities |
US7161965B2 (en) | 2002-03-29 | 2007-01-09 | Bay Microsystems, Inc. | Add/drop multiplexor with aggregate serializer/deserializers |
US7173902B2 (en) | 2002-03-29 | 2007-02-06 | Bay Microsystems, Inc. | Expansion of telecommunications networks with automatic protection switching |
US7145922B2 (en) | 2002-03-29 | 2006-12-05 | Bay Microsystems, Inc. | Composite add/drop multiplexor with crisscross loop back |
US7269130B2 (en) | 2002-03-29 | 2007-09-11 | Bay Microsystems, Inc. | Redundant add/drop multiplexor |
US7145882B2 (en) | 2002-04-04 | 2006-12-05 | Bay Microsystems, Inc. | Multiplexed automatic protection switching channels |
US20030195973A1 (en) | 2002-04-11 | 2003-10-16 | Raymond Savarda | Methods, systems, and computer program products for processing a packet with layered headers using a data structure that positionally relates the layered headers |
WO2003088047A1 (en) | 2002-04-12 | 2003-10-23 | Bay Microsystems, Inc. | System and method for memory management within a network processor architecture |
AU2003226394A1 (en) | 2002-04-14 | 2003-11-03 | Bay Microsystems, Inc. | Data forwarding engine |
AU2003226395A1 (en) | 2002-04-14 | 2003-11-03 | Bay Microsystems, Inc. | Network processor architecture |
US20030204602A1 (en) | 2002-04-26 | 2003-10-30 | Hudson Michael D. | Mediated multi-source peer content delivery network architecture |
US7221687B2 (en) | 2002-05-17 | 2007-05-22 | Bay Microsystems, Inc. | Reference timing architecture |
US7349435B2 (en) | 2002-07-11 | 2008-03-25 | Bay Microsystems, Inc. | Multiport overhead cell processor for telecommunications nodes |
US7689722B1 (en) | 2002-10-07 | 2010-03-30 | Cisco Technology, Inc. | Methods and apparatus for virtual private network fault tolerance |
US8332464B2 (en) | 2002-12-13 | 2012-12-11 | Anxebusiness Corp. | System and method for remote network access |
US7633909B1 (en) * | 2002-12-20 | 2009-12-15 | Sprint Spectrum L.P. | Method and system for providing multiple connections from a common wireless access point |
GB0306971D0 (en) * | 2003-03-26 | 2003-04-30 | British Telecomm | Client server model |
JP4119295B2 (ja) * | 2003-04-07 | 2008-07-16 | 東京エレクトロン株式会社 | 保守・診断データ蓄積サーバ、保守・診断データの蓄積・取得システム、保守・診断データの蓄積・提供システム |
US8437284B2 (en) | 2003-07-29 | 2013-05-07 | Citrix Systems, Inc. | Systems and methods for additional retransmissions of dropped packets |
US7349411B2 (en) | 2003-07-30 | 2008-03-25 | Bay Microsystems, Inc. | Economically expansible switching network |
US8069435B1 (en) | 2003-08-18 | 2011-11-29 | Oracle America, Inc. | System and method for integration of web services |
WO2005052759A2 (en) | 2003-11-24 | 2005-06-09 | Ebay Inc. | Business language schema design framework |
US7587487B1 (en) | 2003-12-10 | 2009-09-08 | Foundry Networks, Inc. | Method and apparatus for load balancing based on XML content in a packet |
WO2005065035A2 (en) | 2004-01-08 | 2005-07-21 | Wisair Ltd. | Distributed and centralized media access control device and method |
JP2005228036A (ja) * | 2004-02-13 | 2005-08-25 | Nec Commun Syst Ltd | 負荷分散装置、その制御方法、その制御プログラム、及びクライアントサーバシステム |
US20050180319A1 (en) | 2004-02-18 | 2005-08-18 | Hutnik Stephen M. | Narrowband and broadband VPN optimal path selection using the global positioning system |
US8005937B2 (en) | 2004-03-02 | 2011-08-23 | Fatpot Technologies, Llc | Dynamically integrating disparate computer-aided dispatch systems |
US20050203892A1 (en) | 2004-03-02 | 2005-09-15 | Jonathan Wesley | Dynamically integrating disparate systems and providing secure data sharing |
JP2005268936A (ja) | 2004-03-16 | 2005-09-29 | Canon Inc | アクセスポイント、ネットワークシステム及びネットワークサービス提供方法 |
US9609003B1 (en) | 2007-06-12 | 2017-03-28 | Icontrol Networks, Inc. | Generating risk profile using data of home monitoring and security system |
US20050216957A1 (en) * | 2004-03-25 | 2005-09-29 | Banzhof Carl E | Method and apparatus for protecting a remediated computer network from entry of a vulnerable computer system thereinto |
CN101061454B (zh) | 2004-04-15 | 2011-09-28 | 清晰路径网络股份有限公司 | 用于管理网络的系统和方法 |
US8522205B2 (en) | 2004-05-18 | 2013-08-27 | Oracle International Corporation | Packaging multiple groups of read-only files of an application's components into multiple shared libraries |
US9088561B2 (en) * | 2004-05-19 | 2015-07-21 | Ca, Inc. | Method and system for authentication in a computer network |
US8107363B1 (en) | 2004-05-21 | 2012-01-31 | Rockstar Bidco, LP | Method and apparatus for accelerating failover of VPN traffic in an MPLS provider network |
US8037144B2 (en) * | 2004-05-25 | 2011-10-11 | Google Inc. | Electronic message source reputation information system |
US20060075057A1 (en) | 2004-08-30 | 2006-04-06 | International Business Machines Corporation | Remote direct memory access system and method |
US7830372B2 (en) | 2004-08-30 | 2010-11-09 | Qnx Software Systems Gmbh & Co. Kg | Method and system for providing transparent access to hardware graphic layers |
US20060047944A1 (en) * | 2004-09-01 | 2006-03-02 | Roger Kilian-Kehr | Secure booting of a computing device |
DE102004047328A1 (de) * | 2004-09-29 | 2006-06-01 | OCé PRINTING SYSTEMS GMBH | Computersystem und Verfahren zum automatischen Ausführen von Bestellungen |
KR100611741B1 (ko) * | 2004-10-19 | 2006-08-11 | 한국전자통신연구원 | 네트워크 침입 탐지 및 방지 시스템 및 그 방법 |
US20060174252A1 (en) | 2004-11-18 | 2006-08-03 | Besbris David G | Service versioning |
CA2594020C (en) | 2004-12-22 | 2014-12-09 | Wake Forest University | Method, systems, and computer program products for implementing function-parallel network firewall |
US7523491B2 (en) * | 2005-01-03 | 2009-04-21 | Nokia Corporation | System, apparatus, and method for accessing mobile servers |
US7551623B1 (en) | 2005-01-31 | 2009-06-23 | Packeteer, Inc. | Modulation of partition parameters achieving delay-based QoS mechanism |
EP1856861B1 (en) * | 2005-02-19 | 2013-09-18 | Cisco Technology, Inc. | Techniques for oversubscribing edge nodes for virtual private networks |
CN100417114C (zh) | 2005-03-01 | 2008-09-03 | 华为技术有限公司 | 在无线局域网中接入设备间实现负载均衡的方法 |
WO2006118497A1 (en) | 2005-04-29 | 2006-11-09 | Telefonaktiebolaget L M Ericsson (Publ) | Operator shop selection |
US8818331B2 (en) | 2005-04-29 | 2014-08-26 | Jasper Technologies, Inc. | Method for enabling a wireless device for geographically preferential services |
US9401822B2 (en) | 2005-06-09 | 2016-07-26 | Whirlpool Corporation | Software architecture system and method for operating an appliance exposing key press functionality to a network |
JP2006350828A (ja) | 2005-06-17 | 2006-12-28 | Matsushita Electric Ind Co Ltd | ストリーム制御装置 |
US8854965B1 (en) | 2005-07-20 | 2014-10-07 | Avaya Inc. | Flow label systems and methods |
CN1909501A (zh) * | 2005-08-05 | 2007-02-07 | 华为技术有限公司 | 一种端到端业务快速收敛的方法和路由设备 |
US7801030B1 (en) | 2005-09-16 | 2010-09-21 | Cisco Technology, Inc. | Technique for using OER with an ECT solution for multi-homed spoke-to-spoke sites |
US20070083482A1 (en) | 2005-10-08 | 2007-04-12 | Unmesh Rathi | Multiple quality of service file system |
US20070112812A1 (en) * | 2005-11-09 | 2007-05-17 | Harvey Richard H | System and method for writing data to a directory |
JP4781089B2 (ja) | 2005-11-15 | 2011-09-28 | 株式会社ソニー・コンピュータエンタテインメント | タスク割り当て方法およびタスク割り当て装置 |
US7782905B2 (en) | 2006-01-19 | 2010-08-24 | Intel-Ne, Inc. | Apparatus and method for stateless CRC calculation |
US8687791B1 (en) | 2006-02-24 | 2014-04-01 | West Corporation | System, method, and computer readable medium for routing an agent to a preferred communications platform |
US7945612B2 (en) * | 2006-03-28 | 2011-05-17 | Microsoft Corporation | Aggregating user presence across multiple endpoints |
US10079839B1 (en) | 2007-06-12 | 2018-09-18 | Icontrol Networks, Inc. | Activation of gateway device |
WO2008002295A1 (en) | 2006-06-27 | 2008-01-03 | Thomson Licensing | Performance aware peer-to-peer video-on-demand |
US8239915B1 (en) | 2006-06-30 | 2012-08-07 | Symantec Corporation | Endpoint management using trust rating data |
US20090132621A1 (en) | 2006-07-28 | 2009-05-21 | Craig Jensen | Selecting storage location for file storage based on storage longevity and speed |
US7577691B2 (en) | 2006-08-02 | 2009-08-18 | Microsoft Corporation | Extending hierarchical synchronization scopes to non-hierarchical scenarios |
US8718065B2 (en) | 2006-08-15 | 2014-05-06 | Broadcom Corporation | Transmission using multiple physical interface |
US7849505B2 (en) * | 2006-08-17 | 2010-12-07 | At&T Intellectual Property I, Lp | System and method of selecting a virtual private network access server |
US8312120B2 (en) * | 2006-08-22 | 2012-11-13 | Citrix Systems, Inc. | Systems and methods for providing dynamic spillover of virtual servers based on bandwidth |
US20080091598A1 (en) | 2006-10-17 | 2008-04-17 | Daniel Fauleau | Method and system of executing an action on a portable data storage device |
WO2008058088A1 (en) | 2006-11-03 | 2008-05-15 | Bay Microsystems, Inc. | Highly-scalable hardware-based traffic management within a network processor integrated circuit |
US20080130891A1 (en) | 2006-11-03 | 2008-06-05 | Alvin Sun | Integrated circuit device interface with parallel scrambler and descrambler |
US8514698B2 (en) * | 2006-11-21 | 2013-08-20 | The Boeing Company | Routing and forwarding of packets over a non-persistent communication link |
WO2008067323A2 (en) | 2006-11-27 | 2008-06-05 | Bay Microsystems, Inc. | Network processor integrated circuit with a software programmable search engine communications module |
US9554061B1 (en) | 2006-12-15 | 2017-01-24 | Proctor Consulting LLP | Smart hub |
US20170344703A1 (en) | 2006-12-29 | 2017-11-30 | Kip Prod P1 Lp | Multi-services application gateway and system employing the same |
US9569587B2 (en) | 2006-12-29 | 2017-02-14 | Kip Prod Pi Lp | Multi-services application gateway and system employing the same |
US8015581B2 (en) | 2007-01-05 | 2011-09-06 | Verizon Patent And Licensing Inc. | Resource data configuration for media content access systems and methods |
US8154185B2 (en) | 2007-02-12 | 2012-04-10 | The Board Of Trustees Of The Leland Stanford Junior University | Diamondoid monolayers as electron emitters |
US20080201722A1 (en) * | 2007-02-20 | 2008-08-21 | Gurusamy Sarathy | Method and System For Unsafe Content Tracking |
US8477771B2 (en) * | 2007-03-01 | 2013-07-02 | Meraki Networks, Inc. | System and method for remote monitoring and control of network devices |
US7957311B2 (en) | 2007-03-09 | 2011-06-07 | Bay Microsystems, Inc. | Programmable hardware-based traffic policing |
US8582557B2 (en) | 2007-04-04 | 2013-11-12 | Cisco Technology, Inc. | Fax relay tunneling |
CN101282448B (zh) | 2007-04-05 | 2012-08-29 | 华为技术有限公司 | 多媒体广播数据的传输与接收方法及其系统、终端 |
US8688850B2 (en) * | 2007-04-10 | 2014-04-01 | International Business Machines Corporation | Method for inter-site data stream transfer in cooperative data stream processing |
US8705348B2 (en) | 2007-04-18 | 2014-04-22 | Cisco Technology, Inc. | Use of metadata for time based anti-replay |
US8141143B2 (en) | 2007-05-31 | 2012-03-20 | Imera Systems, Inc. | Method and system for providing remote access to resources in a secure data center over a network |
US20180198756A1 (en) | 2007-06-12 | 2018-07-12 | Icontrol Networks, Inc. | Communication protocols in integrated systems |
CN101079896B (zh) | 2007-06-22 | 2010-05-19 | 西安交通大学 | 一种构建并行存储系统多可用性机制并存架构的方法 |
US8111627B2 (en) * | 2007-06-29 | 2012-02-07 | Cisco Technology, Inc. | Discovering configured tunnels between nodes on a path in a data communications network |
US8966075B1 (en) * | 2007-07-02 | 2015-02-24 | Pulse Secure, Llc | Accessing a policy server from multiple layer two networks |
US8315999B2 (en) | 2007-08-29 | 2012-11-20 | Nirvanix, Inc. | Policy-based file management for a storage delivery network |
US8069258B1 (en) | 2007-09-11 | 2011-11-29 | Electronic Arts Inc. | Local frame processing to apparently reduce network lag of multiplayer deterministic simulations |
US7751329B2 (en) | 2007-10-03 | 2010-07-06 | Avaya Inc. | Providing an abstraction layer in a cluster switch that includes plural switches |
KR101053903B1 (ko) * | 2007-10-19 | 2011-08-04 | 삼성전자주식회사 | 네트워크온칩에서 전압 및 주파수 제어 장치 및 방법 |
US8064909B2 (en) | 2007-10-25 | 2011-11-22 | Cisco Technology, Inc. | Interworking gateway for mobile nodes |
US8312307B2 (en) * | 2007-11-07 | 2012-11-13 | Intel Corporation | Systems and methods for reducing power consumption during communication between link partners |
US8272046B2 (en) | 2007-11-13 | 2012-09-18 | Cisco Technology, Inc. | Network mobility over a multi-path virtual private network |
US7945696B2 (en) * | 2007-11-30 | 2011-05-17 | Cisco Technology, Inc. | Differentiated routing using tunnels in a computer network |
US8165138B2 (en) | 2007-12-04 | 2012-04-24 | International Business Machines Corporation | Converged infiniband over ethernet network |
US8422397B2 (en) | 2007-12-28 | 2013-04-16 | Prodea Systems, Inc. | Method and apparatus for rapid session routing |
US9455924B2 (en) | 2008-01-02 | 2016-09-27 | Media Network Services As | Device and system for selective forwarding |
EP3419224B1 (en) | 2008-01-23 | 2022-01-19 | Telefonaktiebolaget LM Ericsson (publ) | Selection of an edge node in a fixed access communication network |
US8544065B2 (en) * | 2008-01-23 | 2013-09-24 | International Business Machines Corporation | Dataspace protection utilizing virtual private networks on a multi-node computer system |
US20090193428A1 (en) * | 2008-01-25 | 2009-07-30 | Hewlett-Packard Development Company, L.P. | Systems and Methods for Server Load Balancing |
US20090213754A1 (en) | 2008-02-26 | 2009-08-27 | Roie Melamed | Device, System, and Method of Group Communication |
US7870418B2 (en) | 2008-02-27 | 2011-01-11 | Microsoft Corporation | Enhanced presence routing and roster fidelity by proactive crashed endpoint detection |
US8266672B2 (en) | 2008-03-21 | 2012-09-11 | Sophos Plc | Method and system for network identification via DNS |
US8423592B2 (en) | 2008-04-11 | 2013-04-16 | Sandisk Technologies Inc. | Method and system for accessing a storage system with multiple file systems |
EP2112803B1 (en) * | 2008-04-22 | 2013-12-18 | Alcatel Lucent | Attack protection for a packet-based network |
CN101577661B (zh) * | 2008-05-09 | 2013-09-11 | 华为技术有限公司 | 一种路径切换的方法和设备 |
US8626115B2 (en) | 2009-01-28 | 2014-01-07 | Headwater Partners I Llc | Wireless network service interfaces |
CN101599888B (zh) | 2008-06-06 | 2012-04-18 | 中兴通讯股份有限公司 | 一种家用基站网关负载均衡控制方法 |
US8245039B2 (en) | 2008-07-18 | 2012-08-14 | Bridgewater Systems Corp. | Extensible authentication protocol authentication and key agreement (EAP-AKA) optimization |
JP5178375B2 (ja) | 2008-07-30 | 2013-04-10 | パナソニック株式会社 | デジタル放送再生装置およびデジタル放送再生方法 |
US8991147B2 (en) * | 2008-08-05 | 2015-03-31 | International Business Machines Corporation | Augmented track to facilitate removal of stiffening layers from a cable retained in the track |
US8307422B2 (en) * | 2008-08-14 | 2012-11-06 | Juniper Networks, Inc. | Routing device having integrated MPLS-aware firewall |
US8437641B2 (en) | 2008-10-21 | 2013-05-07 | Bay Microsystems, Inc. | Clock regeneration for optical communications |
US8825854B2 (en) * | 2008-11-24 | 2014-09-02 | Sap Ag | DMZ framework |
CN101478533B (zh) | 2008-11-29 | 2012-05-23 | 成都市华为赛门铁克科技有限公司 | 一种跨越虚拟防火墙发送和接收数据的方法及系统 |
US9524167B1 (en) * | 2008-12-10 | 2016-12-20 | Amazon Technologies, Inc. | Providing location-specific network access to remote services |
CN102257811B (zh) | 2008-12-25 | 2013-03-20 | 中兴通讯股份有限公司 | 移动终端多媒体广播驱动接口及实现方法 |
JP5031907B2 (ja) | 2009-01-13 | 2012-09-26 | 株式会社日立製作所 | 通信システム、加入者収容装置及び通信方法 |
US10492102B2 (en) | 2009-01-28 | 2019-11-26 | Headwater Research Llc | Intermediate networking devices |
US9858559B2 (en) | 2009-01-28 | 2018-01-02 | Headwater Research Llc | Network service plan design |
US9351193B2 (en) | 2009-01-28 | 2016-05-24 | Headwater Partners I Llc | Intermediate networking devices |
US9164689B2 (en) | 2009-03-30 | 2015-10-20 | Oracle America, Inc. | Data storage system and method of processing a data access request |
US8769057B1 (en) | 2009-05-07 | 2014-07-01 | Sprint Communications Company L.P. | Employing a hierarchy of servers to resolve fractional IP addresses |
EP2441219B1 (en) | 2009-06-09 | 2013-03-13 | Telefonaktiebolaget L M Ericsson (publ) | Power-saving functions in communications networks |
US8284776B2 (en) | 2009-06-10 | 2012-10-09 | Broadcom Corporation | Recursive packet header processing |
US8229484B2 (en) | 2009-06-11 | 2012-07-24 | Genesys Telecommunications Laboratories, Inc. | System and methods for integrating short message service messaging with contact center applications |
US8611335B1 (en) | 2009-08-13 | 2013-12-17 | Google, Inc. | System and method for assigning paths for data flows through a wide-area network |
CN102006646B (zh) * | 2009-08-28 | 2012-08-08 | 华为终端有限公司 | 一种切换方法和切换设备 |
ES2429314T3 (es) | 2009-09-16 | 2013-11-14 | Telefonaktiebolaget L M Ericsson (Publ) | La presente invención se refiere a la recuperación de tráfico en una red orientada a conexión |
US9054899B2 (en) | 2009-10-20 | 2015-06-09 | Beelinx Usa, Llc | Urban mobile network system |
US9996548B2 (en) | 2009-11-25 | 2018-06-12 | International Business Machines Corporation | Dispersed storage using localized peer-to-peer capable wireless devices in a peer-to-peer or femto cell supported carrier served fashion |
CN101765172A (zh) | 2010-01-21 | 2010-06-30 | 华为技术有限公司 | 接入点网络中的切换方法和装置 |
US8689307B2 (en) | 2010-03-19 | 2014-04-01 | Damaka, Inc. | System and method for providing a virtual peer-to-peer environment |
US8259571B1 (en) | 2010-03-26 | 2012-09-04 | Zscaler, Inc. | Handling overlapping IP addresses in multi-tenant architecture |
CN102209355B (zh) * | 2010-03-31 | 2013-12-04 | 华为终端有限公司 | 网络切换的方法及支持网络切换的终端 |
US8601266B2 (en) * | 2010-03-31 | 2013-12-03 | Visa International Service Association | Mutual mobile authentication using a key management center |
US9461996B2 (en) | 2010-05-07 | 2016-10-04 | Citrix Systems, Inc. | Systems and methods for providing a single click access to enterprise, SAAS and cloud hosted application |
CN102255794B (zh) | 2010-05-17 | 2014-07-30 | 塔塔咨询服务有限公司 | 远程消息收发吞吐量优化和等待时间缩短用系统和方法 |
US20120005307A1 (en) | 2010-06-30 | 2012-01-05 | Abhik Das | Storage virtualization |
US8473734B2 (en) * | 2010-06-30 | 2013-06-25 | Juniper Networks, Inc. | Multi-service VPN network client for mobile device having dynamic failover |
US8639746B2 (en) | 2010-07-01 | 2014-01-28 | Red Hat, Inc. | Architecture, system and method for mediating communications between a client computer system and a cloud computing system with a driver framework |
US9253015B2 (en) * | 2010-07-09 | 2016-02-02 | Attila Technologies, Llc | Transparent proxy architecture for multi-path data connections |
US8458786B1 (en) | 2010-08-13 | 2013-06-04 | Zscaler, Inc. | Automated dynamic tunnel management |
US20140310243A1 (en) | 2010-08-16 | 2014-10-16 | Mr. Steven James McGee | Heart beacon cycle |
US20140181248A1 (en) | 2010-09-27 | 2014-06-26 | Jonathan Peter Deutsch | Simple Remote Access Through Firewalls For Networked Devices and Applications |
CN101969414B (zh) | 2010-10-15 | 2012-10-03 | 北京交通大学 | 一种标识分离映射网络中IPSec网关自动发现的方法 |
CN102457539A (zh) | 2010-10-19 | 2012-05-16 | 英业达集团(天津)电子技术有限公司 | 文件服务器的管理方法 |
US8798060B1 (en) | 2010-10-21 | 2014-08-05 | Juniper Networks, Inc. | Converting between tunneling protocols |
US8929198B2 (en) | 2010-11-03 | 2015-01-06 | Broadcom Corporation | Vehicle network link module |
US8935431B2 (en) | 2010-12-17 | 2015-01-13 | International Business Machines Corporation | Highly scalable and distributed data sharing and storage |
US9565117B2 (en) | 2010-12-22 | 2017-02-07 | Cisco Technology, Inc. | Adaptive intelligent routing in a communication system |
US9544137B1 (en) * | 2010-12-29 | 2017-01-10 | Amazon Technologies, Inc. | Encrypted boot volume access in resource-on-demand environments |
US8699683B1 (en) * | 2010-12-30 | 2014-04-15 | Cellco Partnership | Extended dialing plan using dialable special character digits |
US20120179904A1 (en) * | 2011-01-11 | 2012-07-12 | Safenet, Inc. | Remote Pre-Boot Authentication |
US9213594B2 (en) | 2011-01-19 | 2015-12-15 | Intelligent Intellectual Property Holdings 2 Llc | Apparatus, system, and method for managing out-of-service conditions |
US8612744B2 (en) | 2011-02-10 | 2013-12-17 | Varmour Networks, Inc. | Distributed firewall architecture using virtual machines |
US8800045B2 (en) | 2011-02-11 | 2014-08-05 | Achilles Guard, Inc. | Security countermeasure management platform |
US9065800B2 (en) | 2011-03-18 | 2015-06-23 | Zscaler, Inc. | Dynamic user identification and policy enforcement in cloud-based secure web gateways |
US9369433B1 (en) | 2011-03-18 | 2016-06-14 | Zscaler, Inc. | Cloud based social networking policy and compliance systems and methods |
US9716659B2 (en) | 2011-03-23 | 2017-07-25 | Hughes Network Systems, Llc | System and method for providing improved quality of service over broadband networks |
JP5747615B2 (ja) * | 2011-03-31 | 2015-07-15 | 日本電気株式会社 | 通信システム、及び通信方法 |
US8799997B2 (en) | 2011-04-18 | 2014-08-05 | Bank Of America Corporation | Secure network cloud architecture |
ES2425627B1 (es) | 2011-05-12 | 2014-05-05 | Telefónica, S.A. | Método y rastreador para distribución de contenido a través de una red de distribución de contenido |
WO2012163428A1 (en) | 2011-06-02 | 2012-12-06 | Huawei Technologies Co., Ltd. | Multiple cpu architecture platform network firewall |
US9432258B2 (en) | 2011-06-06 | 2016-08-30 | At&T Intellectual Property I, L.P. | Methods and apparatus to configure virtual private mobile networks to reduce latency |
EP4024760A1 (en) | 2011-06-14 | 2022-07-06 | ViaSat Inc. | Transport protocol for anticipatory content |
US9148223B2 (en) | 2011-07-07 | 2015-09-29 | Ciena Corporation | Ethernet private local area network systems and methods |
US9819546B2 (en) | 2011-07-07 | 2017-11-14 | Ciena Corporation | Data connectivity systems and methods through packet-optical switches |
CN102340538B (zh) | 2011-07-20 | 2013-09-04 | 杭州创联电子技术有限公司 | 一种用于gyk数据管理的手持式设备实现方法 |
JP6019847B2 (ja) | 2011-08-01 | 2016-11-02 | 株式会社リコー | 画像形成システム及び用紙搬送方法 |
CN102291455B (zh) | 2011-08-10 | 2014-02-19 | 华为技术有限公司 | 分布式集群处理系统及其报文处理方法 |
US8881258B2 (en) * | 2011-08-24 | 2014-11-04 | Mcafee, Inc. | System, method, and computer program for preventing infections from spreading in a network environment using dynamic application of a firewall policy |
US9167501B2 (en) | 2011-08-29 | 2015-10-20 | Telefonaktiebolaget L M Ericsson (Publ) | Implementing a 3G packet core in a cloud computer with openflow data and control planes |
US10044678B2 (en) | 2011-08-31 | 2018-08-07 | At&T Intellectual Property I, L.P. | Methods and apparatus to configure virtual private mobile networks with virtual private networks |
US9590820B1 (en) * | 2011-09-02 | 2017-03-07 | Juniper Networks, Inc. | Methods and apparatus for improving load balancing in overlay networks |
US10237253B2 (en) | 2011-09-09 | 2019-03-19 | Kingston Digital, Inc. | Private cloud routing server, private network service and smart device client architecture without utilizing a public cloud based routing server |
US20130070751A1 (en) | 2011-09-20 | 2013-03-21 | Peter Atwal | Synchronization of time in a mobile ad-hoc network |
US9338135B2 (en) * | 2011-09-30 | 2016-05-10 | Intel Corporation | Device, system and method of maintaining connectivity over a virtual private network (VPN) |
US9514154B2 (en) | 2011-10-27 | 2016-12-06 | International Business Machines Corporation | Virtual file system interface for communicating changes of metadata in a data storage system |
EP2587827A1 (en) | 2011-10-31 | 2013-05-01 | Nagravision S.A. | Method and hybrid multimedia unit for descrambling a digital broadcast transport stream |
US8874680B1 (en) | 2011-11-03 | 2014-10-28 | Netapp, Inc. | Interconnect delivery process |
WO2013068033A1 (en) | 2011-11-07 | 2013-05-16 | Option | Establishing a communication session |
WO2013068530A2 (en) | 2011-11-10 | 2013-05-16 | Koninklijke Kpn N.V. | Logically and end-user-specific physically storing an electronic file |
US8966024B2 (en) | 2011-11-15 | 2015-02-24 | Nicira, Inc. | Architecture of networks with middleboxes |
CN102726027B (zh) * | 2011-12-28 | 2014-05-21 | 华为技术有限公司 | 虚拟机全盘加密下预启动时的密钥传输方法和设备 |
US9160681B2 (en) * | 2012-01-27 | 2015-10-13 | Empire Technology Development Llc | Spiral protocol for iterative service level agreement (SLA) execution in cloud migration |
US10484335B2 (en) | 2012-02-09 | 2019-11-19 | Connectify, Inc. | Secure remote computer network |
EP2826210B1 (en) | 2012-03-14 | 2016-06-29 | Telefonaktiebolaget LM Ericsson (publ) | Method for providing a qos prioritized data traffic |
US9164795B1 (en) | 2012-03-30 | 2015-10-20 | Amazon Technologies, Inc. | Secure tunnel infrastructure between hosts in a hybrid network environment |
US9350644B2 (en) | 2012-04-13 | 2016-05-24 | Zscaler. Inc. | Secure and lightweight traffic forwarding systems and methods to cloud based network security systems |
WO2013158662A1 (en) | 2012-04-18 | 2013-10-24 | Nevion Usa, Inc. | Launch delay offset data flow protection |
US9369367B2 (en) * | 2012-04-25 | 2016-06-14 | Telefonaktiebolaget Lm Ericsson (Publ) | Host-router virtual tunnelling and multiple tunnel management |
US9100299B2 (en) | 2012-05-21 | 2015-08-04 | Verizon Patent And Licensing Inc. | Detecting error conditions in standby links |
US9898317B2 (en) | 2012-06-06 | 2018-02-20 | Juniper Networks, Inc. | Physical path determination for virtual network packet flows |
US9699135B2 (en) | 2012-06-20 | 2017-07-04 | Openvpn Technologies, Inc. | Private tunnel network |
US9185025B2 (en) | 2012-06-22 | 2015-11-10 | Telefonaktiebolaget L M Ericsson (Publ) | Internetworking and failure recovery in unified MPLS and IP networks |
JP2014010465A (ja) | 2012-06-27 | 2014-01-20 | International Business Maschines Corporation | 複数のストレージ・クラウドから実体ファイルを格納するためのストレージ・クラウドを選択する方法、並びにそのコンピュータ及びコンピュータ・プログラム |
US8934215B2 (en) | 2012-07-20 | 2015-01-13 | Samsung Electro-Mechanics Co., Ltd | Laminated chip electronic component, board for mounting the same, and packing unit thereof |
US9087191B2 (en) | 2012-08-24 | 2015-07-21 | Vmware, Inc. | Method and system for facilitating isolated workspace for applications |
CN102833109B (zh) * | 2012-08-30 | 2015-01-07 | 华为技术有限公司 | 故障点位置信息处理方法及设备 |
US9298719B2 (en) | 2012-09-04 | 2016-03-29 | International Business Machines Corporation | On-demand caching in a WAN separated distributed file system or clustered file system cache |
US9807613B2 (en) | 2012-09-06 | 2017-10-31 | Dell Products, Lp | Collaborative method and system to improve carrier network policies with context aware radio communication management |
US9164702B1 (en) | 2012-09-07 | 2015-10-20 | Google Inc. | Single-sided distributed cache system |
US9276877B1 (en) | 2012-09-20 | 2016-03-01 | Wiretap Ventures, LLC | Data model for software defined networks |
CN102904816B (zh) * | 2012-09-26 | 2017-04-12 | 华为技术有限公司 | 业务流量保护方法和装置 |
WO2014052485A1 (en) * | 2012-09-26 | 2014-04-03 | Huawei Technologies Co. Ltd. | Overlay virtual gateway for overlay networks |
WO2014059142A1 (en) | 2012-10-10 | 2014-04-17 | Mastercard International Incorporated | Methods and systems for conducting remote point of sale transactions |
WO2014062405A1 (en) | 2012-10-16 | 2014-04-24 | Citrix Systems, Inc. | Systems and methods for bridging between public and private clouds through multi-level api integration |
CN103731460A (zh) * | 2012-10-16 | 2014-04-16 | 无锡云捷科技有限公司 | 一种构建网络服务器池的池化器 |
US10275267B1 (en) | 2012-10-22 | 2019-04-30 | Amazon Technologies, Inc. | Trust-based resource allocation |
EP2728827A1 (en) * | 2012-10-31 | 2014-05-07 | British Telecommunications public limited company | Communications network using a tunnel to connect two network nodes |
US9160809B2 (en) | 2012-11-26 | 2015-10-13 | Go Daddy Operating Company, LLC | DNS overriding-based methods of accelerating content delivery |
CN106850817A (zh) * | 2012-12-10 | 2017-06-13 | 北京奇虎科技有限公司 | 一种下载管理设备、方法及数据下载系统 |
US9042270B2 (en) | 2012-12-19 | 2015-05-26 | Hitachi, Ltd. | Method and apparatus of network configuration for storage federation |
US10070369B2 (en) | 2013-01-02 | 2018-09-04 | Comcast Cable Communications, Llc | Network provisioning |
CN103118089A (zh) | 2013-01-22 | 2013-05-22 | 华中科技大学 | 一种基于多个云存储系统的安全存储方法及其系统 |
US20150363230A1 (en) | 2013-01-23 | 2015-12-17 | Waseda University | Parallelism extraction method and method for making program |
US9652192B2 (en) * | 2013-01-25 | 2017-05-16 | Qualcomm Incorporated | Connectionless transport for user input control for wireless display devices |
EP2953024A1 (en) * | 2013-02-01 | 2015-12-09 | NEC Corporation | Resource control system, control pattern generation device, control device, resource control method and program |
US8923333B2 (en) | 2013-02-08 | 2014-12-30 | Shoab A. Khan | Cognitive hub for self-healing and self-forming network with hybrid communication technologies |
EP2957080B1 (en) | 2013-02-12 | 2020-06-10 | Hewlett-Packard Enterprise Development LP | Network control using software defined flow mapping and virtualized network functions |
US9432336B2 (en) * | 2013-02-13 | 2016-08-30 | Blackberry Limited | Secure electronic device application connection to an application server |
GB2510874B (en) * | 2013-02-15 | 2020-09-16 | Ncr Corp | Server system supporting remotely managed IT services |
WO2014124692A1 (en) | 2013-02-15 | 2014-08-21 | Nec Europe Ltd. | Method and system for providing content in content delivery networks |
US9418072B2 (en) | 2013-03-04 | 2016-08-16 | Vmware, Inc. | Cross-file differential content synchronization |
US9277452B1 (en) | 2013-03-07 | 2016-03-01 | Dragonwave, Inc. | Adaptive modulation and priority-based flow control in wireless communications |
US9374241B2 (en) | 2013-03-14 | 2016-06-21 | International Business Machines Corporation | Tagging virtual overlay packets in a virtual networking system |
US20140278543A1 (en) * | 2013-03-14 | 2014-09-18 | M2S, Inc. | Data collection marketplace for a data registry system |
US9888055B2 (en) * | 2013-03-15 | 2018-02-06 | Profitbricks Gmbh | Firewall for a virtual network and related techniques |
US9450817B1 (en) | 2013-03-15 | 2016-09-20 | Juniper Networks, Inc. | Software defined network controller |
WO2014144837A1 (en) | 2013-03-15 | 2014-09-18 | A10 Networks, Inc. | Processing data packets using a policy based network path |
US9860332B2 (en) | 2013-05-08 | 2018-01-02 | Samsung Electronics Co., Ltd. | Caching architecture for packet-form in-memory object caching |
KR102051504B1 (ko) | 2013-05-15 | 2019-12-03 | 삼성전자주식회사 | 무선 통신 시스템에서 데이터 패킷 송수신 방법 및 장치 |
US9888042B2 (en) | 2013-05-21 | 2018-02-06 | Citrix Systems, Inc. | Systems and methods for multipath transmission control protocol connection management |
US9270694B2 (en) | 2013-05-21 | 2016-02-23 | Rapid7, Llc | Systems and methods for assessing security for a network of assets and providing recommendations |
US9049613B2 (en) | 2013-06-06 | 2015-06-02 | Seven Networks, Inc. | Radio or network evaluation for selection based on measurements using application layer protocols at a mobile device |
US9106610B2 (en) | 2013-06-07 | 2015-08-11 | International Business Machines Corporation | Regional firewall clustering in a networked computing environment |
US9699001B2 (en) | 2013-06-10 | 2017-07-04 | Brocade Communications Systems, Inc. | Scalable and segregated network virtualization |
US20140369230A1 (en) | 2013-06-18 | 2014-12-18 | Alcatel-Lucent Usa Inc. | Virtual Chassis Topology Management |
US8601565B1 (en) * | 2013-06-19 | 2013-12-03 | Edgecast Networks, Inc. | White-list firewall based on the document object model |
US9509598B2 (en) * | 2013-08-02 | 2016-11-29 | Time Warner Cable Enterprises Llc | Apparatus and methods for intelligent deployment of network infrastructure based on tunneling of ethernet ring protection |
WO2015021343A1 (en) | 2013-08-08 | 2015-02-12 | Hughes Network Systems, Llc | System and method for providing improved quality of service over broadband networks |
US9241044B2 (en) | 2013-08-28 | 2016-01-19 | Hola Networks, Ltd. | System and method for improving internet communication by using intermediate nodes |
US8611355B1 (en) * | 2013-09-03 | 2013-12-17 | tw telecom holdings inc. | Buffer-less virtual routing |
US9503371B2 (en) * | 2013-09-04 | 2016-11-22 | Nicira, Inc. | High availability L3 gateways for logical networks |
US9338066B2 (en) * | 2013-09-05 | 2016-05-10 | Avaya Inc. | Tunnel keep-alive timeout mechanism based on quality of service (QoS) value of received keep-alive messages |
US9274858B2 (en) | 2013-09-17 | 2016-03-01 | Twilio, Inc. | System and method for tagging and tracking events of an application platform |
US20150086018A1 (en) | 2013-09-23 | 2015-03-26 | Venafi, Inc. | Centralized key discovery and management |
US10078754B1 (en) * | 2013-09-24 | 2018-09-18 | Amazon Technologies, Inc. | Volume cryptographic key management |
IN2013MU03094A (zh) | 2013-09-27 | 2015-07-17 | Tata Consultancy Services Ltd | |
WO2015047451A1 (en) | 2013-09-30 | 2015-04-02 | Hewlett-Packard Development Company, L.P. | Software defined network ecosystem |
EP3053298B1 (en) | 2013-10-03 | 2023-03-29 | FireEye Security Holdings US LLC | Dynamic adaptive defense for cyber-security threats |
US10904201B1 (en) | 2013-10-11 | 2021-01-26 | Cisco Technology, Inc. | Updating distributed caches in network devices in the event of virtual machine changes in a virtualized network environment |
US20150121532A1 (en) | 2013-10-31 | 2015-04-30 | Comsec Consulting Ltd | Systems and methods for defending against cyber attacks at the software level |
US9407602B2 (en) * | 2013-11-07 | 2016-08-02 | Attivo Networks, Inc. | Methods and apparatus for redirecting attacks on a network |
US9253028B2 (en) | 2013-12-13 | 2016-02-02 | International Business Machines Corporation | Software-defined networking tunneling extensions |
DE102013114214A1 (de) | 2013-12-17 | 2015-06-18 | Fujitsu Technology Solutions Intellectual Property Gmbh | POSIX-kompatibles Dateisystem, Verfahren zum Erzeugen einer Dateiliste und Speichervorrichtung |
US9781113B2 (en) | 2013-12-19 | 2017-10-03 | Intel Corporation | Technologies for supporting multiple digital rights management protocols on a client device |
EP3085038A1 (en) | 2013-12-20 | 2016-10-26 | Nokia Solutions And Networks Management International GmbH | Sgc and pgc and sgu and pgu allocation procedure |
US10432658B2 (en) | 2014-01-17 | 2019-10-01 | Watchguard Technologies, Inc. | Systems and methods for identifying and performing an action in response to identified malicious network traffic |
EP3100405A4 (en) * | 2014-01-29 | 2017-08-30 | Smart Security Systems LLC | Systems and methods for protecting communications |
EP3103218A4 (en) | 2014-02-04 | 2017-09-06 | Distrix Networks Ltd. | Bandwidth and latency estimation in a communication network |
EP3103221B1 (en) | 2014-02-06 | 2020-07-01 | Skycasters, LLC | Systems and methods for providing a multiple secure link architecture |
US11016941B2 (en) | 2014-02-28 | 2021-05-25 | Red Hat, Inc. | Delayed asynchronous file replication in a distributed file system |
US9241004B1 (en) | 2014-03-11 | 2016-01-19 | Trend Micro Incorporated | Alteration of web documents for protection against web-injection attacks |
US10423481B2 (en) | 2014-03-14 | 2019-09-24 | Cisco Technology, Inc. | Reconciling redundant copies of media content |
US10476698B2 (en) * | 2014-03-20 | 2019-11-12 | Avago Technologies International Sales Pte. Limited | Redundent virtual link aggregation group |
US10673712B1 (en) | 2014-03-27 | 2020-06-02 | Amazon Technologies, Inc. | Parallel asynchronous stack operations |
US9729539B1 (en) | 2014-03-28 | 2017-08-08 | Pulse Secure, Llc | Network access session detection to provide single-sign on (SSO) functionality for a network access control device |
US9110820B1 (en) | 2014-03-31 | 2015-08-18 | Emc Corporation | Hybrid data storage system in an HPC exascale environment |
US9294304B2 (en) | 2014-03-31 | 2016-03-22 | Juniper Networks, Inc. | Host network accelerator for data center overlay network |
US20150281176A1 (en) * | 2014-04-01 | 2015-10-01 | Bret Banfield | Method And Technique for Automated Collection, Analysis, and Distribution of Network Security Threat Information |
US9609019B2 (en) | 2014-05-07 | 2017-03-28 | Attivo Networks Inc. | System and method for directing malicous activity to a monitoring system |
US9410816B2 (en) * | 2014-05-07 | 2016-08-09 | Yahoo! Inc. | System and method for recommending pleasant routes from the sentiment of geo-tagged photographs |
US9237129B2 (en) * | 2014-05-13 | 2016-01-12 | Dell Software Inc. | Method to enable deep packet inspection (DPI) in openflow-based software defined network (SDN) |
EP3143524A1 (en) * | 2014-05-13 | 2017-03-22 | Opera Software AS | Web access performance enhancement |
US20150341223A1 (en) | 2014-05-21 | 2015-11-26 | Nicira, Inc. | Automatic placement of clients in a distributed computer system based on at least physical network topology information |
US9635541B2 (en) * | 2014-05-21 | 2017-04-25 | Pismo Labs Technology Limited | Using a plurality of SIM cards at a wireless communication device |
US9350710B2 (en) | 2014-06-20 | 2016-05-24 | Zscaler, Inc. | Intelligent, cloud-based global virtual private network systems and methods |
US9961587B2 (en) * | 2014-06-26 | 2018-05-01 | Gilat Satellite Networks Ltd. | Methods and apparatus for optimizing tunneled traffic |
WO2016000110A1 (zh) | 2014-06-30 | 2016-01-07 | 路海燕 | 一种电动折叠车的半自动开合装置 |
CN104135514B (zh) | 2014-07-25 | 2017-10-17 | 英业达科技有限公司 | 融合式虚拟化存储系统 |
US20160048938A1 (en) | 2014-08-15 | 2016-02-18 | Elementum Scm (Cayman) Ltd. | Method for determining and analyzing impact severity of event on a network |
US9311464B2 (en) * | 2014-08-19 | 2016-04-12 | Airwatch, Llc | Authentication via accelerometer |
US10331472B2 (en) * | 2014-08-29 | 2019-06-25 | Hewlett Packard Enterprise Development Lp | Virtual machine service availability |
CN106664258A (zh) | 2014-08-29 | 2017-05-10 | 柏思科技有限公司 | 通过聚合连接传输数据包的方法和系统 |
US9671960B2 (en) | 2014-09-12 | 2017-06-06 | Netapp, Inc. | Rate matching technique for balancing segment cleaning and I/O workload |
US10331595B2 (en) | 2014-10-23 | 2019-06-25 | Mellanox Technologies, Ltd. | Collaborative hardware interaction by multiple entities using a shared queue |
EP3213222B1 (en) | 2014-10-27 | 2021-03-24 | Level 3 Communications, LLC | Content delivery systems and methods |
CN104320472A (zh) * | 2014-10-29 | 2015-01-28 | 深圳市东信时代信息技术有限公司 | 分布式短信网关架构系统及其设计方法 |
US10084838B2 (en) | 2014-10-29 | 2018-09-25 | DLVR, Inc. | Generating and using manifest files including content delivery network authentication data |
US10129799B2 (en) | 2014-11-03 | 2018-11-13 | Alcatel Lucent | Mobility management for wireless networks |
US9565269B2 (en) | 2014-11-04 | 2017-02-07 | Pavilion Data Systems, Inc. | Non-volatile memory express over ethernet |
US20160134543A1 (en) * | 2014-11-06 | 2016-05-12 | Mediatek Singapore Pte. Ltd. | Method and associated network device for managing network traffic |
US9590902B2 (en) | 2014-11-10 | 2017-03-07 | Juniper Networks, Inc. | Signaling aliasing capability in data centers |
US9591018B1 (en) * | 2014-11-20 | 2017-03-07 | Amazon Technologies, Inc. | Aggregation of network traffic source behavior data across network-based endpoints |
US9853855B2 (en) * | 2014-12-03 | 2017-12-26 | Fortinet, Inc. | Stand-by controller assisted failover |
EP3230885B1 (en) | 2014-12-08 | 2024-04-17 | Umbra Technologies Ltd. | Method for content retrieval from remote network regions |
US9294497B1 (en) | 2014-12-29 | 2016-03-22 | Nice-Systems Ltd. | Method and system for behavioral and risk prediction in networks using automatic feature generation and selection using network topolgies |
US9948649B1 (en) | 2014-12-30 | 2018-04-17 | Juniper Networks, Inc. | Internet address filtering based on a local database |
CN107251518B (zh) | 2015-01-06 | 2021-03-02 | 安博科技有限公司 | 用于中立应用程序编程接口的系统和方法 |
US10061664B2 (en) | 2015-01-15 | 2018-08-28 | Cisco Technology, Inc. | High availability and failover |
CN115834534A (zh) | 2015-01-28 | 2023-03-21 | 安博科技有限公司 | 用于全局虚拟网络的系统 |
US9667538B2 (en) * | 2015-01-30 | 2017-05-30 | Telefonaktiebolget L M Ericsson (Publ) | Method and apparatus for connecting a gateway router to a set of scalable virtual IP network appliances in overlay networks |
US9451514B1 (en) | 2015-02-26 | 2016-09-20 | M87, Inc. | Methods and apparatus for efficiently communicating time varying data |
US9485244B2 (en) * | 2015-03-02 | 2016-11-01 | Citrix Systems, Inc. | Executing an operation over file repositories located in different authentication domains using a representational state transfer (REST)-compliant client |
US9661050B2 (en) | 2015-04-03 | 2017-05-23 | Cox Communications, Inc. | Systems and methods for segmentation of content playlist and dynamic content insertion |
EP3761592B8 (en) | 2015-04-07 | 2023-09-13 | Umbra Technologies Ltd. | System and method for virtual interfaces and advanced smart routing in a global virtual network |
US9948552B2 (en) * | 2015-04-17 | 2018-04-17 | Equinix, Inc. | Cloud-based services exchange |
US10039097B2 (en) | 2015-05-04 | 2018-07-31 | Verizon Patent And Licensing Inc. | Remote head simultaneously transmitting radio wave |
US9843505B2 (en) | 2015-05-28 | 2017-12-12 | Cisco Technology, Inc. | Differentiated quality of service using tunnels with security as a service |
US10678445B2 (en) | 2015-06-10 | 2020-06-09 | Microsoft Technology Licensing, Llc | Recovery in data centers |
US11483405B2 (en) | 2015-06-10 | 2022-10-25 | Platform9, Inc. | Private cloud as a service |
CN107925594B (zh) | 2015-06-11 | 2020-12-29 | 安博科技有限公司 | 用于网络挂毯多协议集成的系统和方法 |
US9609482B1 (en) | 2015-12-07 | 2017-03-28 | Google Inc. | Cloud-coordinated location system using ultrasonic pulses and radio signals |
US9992248B2 (en) | 2016-01-12 | 2018-06-05 | International Business Machines Corporation | Scalable event stream data processing using a messaging system |
EP4036747A1 (en) | 2016-04-26 | 2022-08-03 | Umbra Technologies Ltd. | Network slinghop via tapestry slingshot |
US10708667B1 (en) | 2016-06-28 | 2020-07-07 | Amazon Technologies, Inc. | Combining fragments with different encodings |
WO2018049649A1 (zh) | 2016-09-18 | 2018-03-22 | 华为技术有限公司 | 网络性能测量方法及装置 |
US10659512B1 (en) | 2017-12-05 | 2020-05-19 | Amazon Technologies, Inc. | Optimizing adaptive bit rate streaming at edge locations |
US20210345188A1 (en) * | 2018-09-28 | 2021-11-04 | Sharp Kabushiki Kaisha | Radio access network and methods for expedited network access |
US11403849B2 (en) | 2019-09-25 | 2022-08-02 | Charter Communications Operating, Llc | Methods and apparatus for characterization of digital content |
US11829853B2 (en) * | 2020-01-08 | 2023-11-28 | Subtree Inc. | Systems and methods for tracking and representing data science model runs |
-
2016
- 2016-04-07 EP EP20171989.5A patent/EP3761592B8/en active Active
- 2016-04-07 JP JP2017553111A patent/JP2018515974A/ja active Pending
- 2016-04-07 US US15/563,261 patent/US10574482B2/en active Active
- 2016-04-07 JP JP2017553113A patent/JP2018518862A/ja active Pending
- 2016-04-07 CN CN202111060089.7A patent/CN113872855A/zh active Pending
- 2016-04-07 CN CN202110637581.XA patent/CN113381994B/zh active Active
- 2016-04-07 CN CN201680020878.9A patent/CN107852604B/zh active Active
- 2016-04-07 ES ES20171989T patent/ES2951911T3/es active Active
- 2016-04-07 US US15/563,246 patent/US10659256B2/en active Active
- 2016-04-07 EP EP23184816.9A patent/EP4293979A3/en active Pending
- 2016-04-07 WO PCT/IB2016/000531 patent/WO2016162749A1/en active Application Filing
- 2016-04-07 WO PCT/US2016/026489 patent/WO2016164612A1/en active Application Filing
- 2016-04-07 CN CN202111354895.5A patent/CN114079669A/zh active Pending
- 2016-04-07 EP EP16731961.5A patent/EP3281381B1/en active Active
- 2016-04-07 EP EP23201399.5A patent/EP4325804A2/en active Pending
- 2016-04-07 EP EP16727220.2A patent/EP3281368B1/en active Active
- 2016-04-07 ES ES16727220T patent/ES2796473T3/es active Active
- 2016-04-07 US US15/563,253 patent/US10756929B2/en active Active
- 2016-04-07 CN CN201680021239.4A patent/CN107873128B/zh active Active
- 2016-04-07 WO PCT/IB2016/000528 patent/WO2016162748A1/en active Application Filing
- 2016-04-07 JP JP2017553112A patent/JP2018519688A/ja active Pending
- 2016-04-07 CN CN201680020937.2A patent/CN107637037B/zh active Active
- 2016-04-07 ES ES16731961T patent/ES2959674T3/es active Active
- 2016-04-07 EP EP16777297.9A patent/EP3281435A4/en active Pending
-
2018
- 2018-07-19 HK HK18109330.0A patent/HK1249974A1/zh unknown
- 2018-09-25 HK HK18112281.3A patent/HK1252928A1/zh unknown
- 2018-09-25 HK HK18112280.4A patent/HK1252927A1/zh unknown
-
2020
- 2020-01-16 US US16/745,125 patent/US11271778B2/en active Active
- 2020-05-11 US US16/872,148 patent/US11799687B2/en active Active
- 2020-08-24 US US17/000,997 patent/US11108595B2/en active Active
-
2021
- 2021-08-30 US US17/461,624 patent/US11418366B2/en active Active
-
2022
- 2022-03-04 US US17/686,870 patent/US20220191062A1/en active Pending
- 2022-08-15 US US17/888,249 patent/US11750419B2/en active Active
-
2023
- 2023-07-25 US US18/358,519 patent/US20230370307A1/en active Pending
- 2023-10-13 US US18/486,942 patent/US20240129162A1/en active Pending
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020046253A1 (en) * | 2000-07-04 | 2002-04-18 | Jiyunji Uchida | Electronic file management system and method |
CN1411287A (zh) * | 2001-09-27 | 2003-04-16 | 三星电子株式会社 | 把分布式防火墙用于分载因特网协议语音业务的软交换器 |
CN1754161A (zh) * | 2002-10-18 | 2006-03-29 | 科拉图斯公司 | 用于建立虚拟网络的设备、方法和计算机程序产品 |
CN1748395A (zh) * | 2003-02-05 | 2006-03-15 | 日本电信电话株式会社 | 防火墙装置 |
CN102687480A (zh) * | 2009-12-12 | 2012-09-19 | 阿卡麦科技公司 | 基于云的防火墙系统及服务 |
US20140289864A1 (en) * | 2011-11-04 | 2014-09-25 | British Telecommunications Public Limited Company | Method and apparatus for securing a computer |
CN202587025U (zh) * | 2012-03-27 | 2012-12-05 | 苏州市职业大学 | 一种分布式内容过滤防火墙 |
CN103763310A (zh) * | 2013-12-31 | 2014-04-30 | 曙光云计算技术有限公司 | 基于虚拟网络的防火墙服务系统及方法 |
CN104301321A (zh) * | 2014-10-22 | 2015-01-21 | 北京启明星辰信息技术股份有限公司 | 一种实现分布式网络安全防护的方法及系统 |
Also Published As
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107873128B (zh) | 在云端的多边界防火墙 | |
US20230388349A1 (en) | Policy enforcement using host information profile | |
CN107409079B (zh) | 用于全局虚拟网络的系统和方法 | |
US9413723B2 (en) | Configuring and managing remote security devices | |
US20210336934A1 (en) | Cloud-based web application and API protection | |
US11374905B2 (en) | Methods and systems for efficient cyber protections of mobile devices | |
US20210314301A1 (en) | Private service edge nodes in a cloud-based system for private application access | |
US11949661B2 (en) | Systems and methods for selecting application connectors through a cloud-based system for private application access | |
US11936623B2 (en) | Systems and methods for utilizing sub-clouds in a cloud-based system for private application access | |
US20210377223A1 (en) | Client to Client and Server to Client communication for private application access through a cloud-based system | |
US20220329585A1 (en) | Utilizing endpoint security posture, identification, and remote attestation for restricting private application access | |
US11895149B2 (en) | Selective traffic processing in a distributed cloud computing network | |
US11582191B2 (en) | Cyber protections of remote networks via selective policy enforcement at a central network | |
US20220070183A1 (en) | Detecting malicious mobile applications using machine learning in a cloud-based system | |
US20230231884A1 (en) | Browser fingerprinting and control for session protection and private application protection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |