CN114041276A - 屏蔽外部源地址的网络架构的安全策略实施和可见性 - Google Patents
屏蔽外部源地址的网络架构的安全策略实施和可见性 Download PDFInfo
- Publication number
- CN114041276A CN114041276A CN202080032285.0A CN202080032285A CN114041276A CN 114041276 A CN114041276 A CN 114041276A CN 202080032285 A CN202080032285 A CN 202080032285A CN 114041276 A CN114041276 A CN 114041276A
- Authority
- CN
- China
- Prior art keywords
- source address
- address
- network
- firewall
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/20—Traffic policing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/52—Network services specially adapted for the location of the user terminal
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一些网络架构包括外围或边缘设备,这些外围或边缘设备执行网络地址转换或以其他方式修改网络流量数据分组报头中的数据,诸如源地址。源地址的修改防止下游设备知道流量所起源的真实或原始源地址。为了解决这个问题,外围设备可以在分组报头的X‑Forwarded‑For字段中插入原始源地址。防火墙和相关的安全服务可以被编程,以除了其他分组信息之外在XFF字段中记录原始源地址,并在安全分析期间考虑原始源地址。使用XFF字段中的原始源地址,服务可以确定关于流量的附加特性,诸如地理起源点或相关联用户帐户,并使用这些特性以标识适用的规则或策略。
Description
背景技术
本公开一般涉及数据处理的领域,并且更具体地涉及网络安全。
防火墙是监控传入和传出的网络流量并基于安全策略或规则来控制允许还是阻挡流量的网络安全设备。防火墙可以是硬件、软件或这两者。例如,防火墙可以是虚拟化网络功能,或者可以是安装在服务器机架中的硬件设备。
附图的简要说明
通过参考附图,可以更好地理解本公开的各方面。
图1描绘了用于提供网络安全和性能服务的示例系统。
图2描绘了具有用于记录原始源因特网协议地址的示例操作的流程图。
图3描绘了具有用于使用原始源IP地址来实施安全的示例操作的流程图。
图4描绘了具有增强型数据记录和安全服务的防火墙的示例计算机系统。
描述
下面的描述包括体现本公开的各方面的示例系统、方法、技术和程序流。然而,应当理解,可在没有这些具体细节的情况下实践本公开。例如,本公开涉及在解说性示例中由防火墙提供的增强安全。本公开的各方面还可被应用于诸如网关、路由器或网络分析器之类的其他网络设备。在其他实例中,尚未详细示出众所周知的指令实例、协议、结构和技术以便不混淆该描述。
概述
一些网络架构包括外围或边缘设备,诸如负载平衡器或应用网关,它们执行网络地址转换或以其他方式修改因特网协议分组报头中的数据,诸如源地址。源地址的修改防止下游设备知道流量所起源的真实或原始源地址。这造成了安全问题,因为下游设备无法有效地将安全策略和规则应用于该网络流量。为了解决这个问题,外围设备可以在分组报头的X-Forwarded-For(XFF)字段中插入原始源地址。防火墙和相关的安全服务可以被编程,以除了其他分组信息之外记录XFF字段中的原始源地址,并在安全分析期间考虑原始源地址。例如,诸如动态策略组、威胁智能、策略实施、日志记入和应用管理以及外部动态列表等服务可被配置为使用或甚至偏好XFF字段中的地址,而不是标准源地址报头字段中指示的地址。使用XFF字段中的原始源地址,服务可以确定关于流量的附加特性,诸如地理位置或相关联用户帐户,并使用这些特性以标识适用的规则或策略。
示例解说
图1描绘了用于提供网络安全和性能服务的示例系统。图1包括客户机1 101、客户机2 102和负载平衡器106,它们通过网络103通信地耦合,网络103可以是诸如因特网之类的广域网或局域网。负载平衡器106将网络流量数据分发给防火墙107和一个或多个其他防火墙或设备(未描绘)。图1还包括应用服务器109,其接收来自客户端1 101和客户端2 102的在穿越负载平衡器106和防火墙107之后的网络流量。防火墙107将与网络流量相关的数据记录在网络流量数据108(“流量数据108”)中,网络流量数据108可以是数据库或其他本地或远程存储设备。多个安全和网络管理服务访问和处理来自流量数据108的数据,包括动态地址组服务110、威胁智能服务111、策略实施服务112、日志记入和应用监控服务113以及外部动态列表服务114。尽管这些服务被描绘为与防火墙107分开,但这些服务可以各自是如下软件进程:作为防火墙107的一部分来执行、在虚拟机中与防火墙107相同的管理程序上执行,等等。
在阶段A,负载平衡器106处理来自客户机1 101的分组1 104和来自客户机2 102的分组2 105。分组1 104和2 105是符合通信协议的因特网协议(IP)套件的分组。分组1104和2 105包括报头部分,其指示与IP版本、源IP地址、目的地IP地址、存活时间等相关的信息。如图1中所示,当分组1 104和2 105从客户机1 101和2 102传送到负载平衡器106时,分组1 104的报头指示客户机1 101(192.0.2.1)的地址作为源地址,分组2 105的报头指示客户机2 102(192.0.2.2)的地址作为源地址。作为处理分组的一部分,负载平衡器106执行网络地址转换(NAT),其修改分组1 104和2 105的报头中指示的源地址。如图1中所示,在分组1 104和2 105已经被负载平衡器106处理之后,这两个分组都在报头中指示负载平衡器106的地址(203.0.113.1)作为的源地址。负载平衡器106的源地址随后被用于在包括防火墙107和应用服务器109的本地网络内路由分组。由于源地址被替换,负载平衡器106后面的这些设备对于最初通过网络103传送分组的真实源或设备(即,客户机1 101和客户机2102)缺乏可见性。除了图1中描绘的架构之外,其他网络架构也会遇到缺乏内部可见性或屏蔽真实源IP地址的相同问题。例如,除负载平衡器之外的许多内联网络设备,诸如应用网关、代理、web服务器或边缘路由器,可以类似地执行NAT并修改IP分组的源地址。
为了避免丢失原始源地址信息,负载平衡器106将分组的发起方的源IP地址插入在IP分组报头的XFF字段中。在负载平衡器106进行处理之后,分组1 104在报头的XFF字段中包括客户机1 101的IP地址,分组2 105类似地在XFF字段中包括客户机2 102的IP地址。结果,诸如防火墙107之类的接收分组1 104和2 105的后续设备可以访问报头的XFF字段以标识分组的真实源。
阶段B,防火墙107处理由负载平衡器106修改的分组1 104和分组2 105。防火墙107可以是基于软件或硬件的防火墙。例如,防火墙107可以在虚拟机、容器环境或云基础设施内执行,或者防火墙107可以是硬件设备。防火墙107包括作为分组检查引擎的一部分的一个或多个代理或进程,分组检查引擎将网络流量数据记录到流量数据108。在一些网络架构中,防火墙107可以记录分组报头中指示的源地址和其他数据,但可不记录来自XFF字段的数据,因为XFF字段可能不包含数据,或者源地址字段可能指示真实的源地址。然而,当防火墙107位于诸如屏蔽原始源地址的负载平衡器106之类的设备的后面时,防火墙107还记录在报头的XFF字段中指示的IP地址。防火墙107可以基于配置文件中的参数来确定应记录XFF字段中的数据。例如,当防火墙107被初始化时,防火墙107可以读取引导配置文件,该文件指示用于其部署的参数,包括是否记录来自XFF字段的IP地址。如图1中所示,防火墙107在流量数据108中记录对应于负载平衡器106的源地址和对应于客户机1 101和2 102的XFF字段地址。流量数据108中的数据的格式和结构可以改变。例如,流量数据108可以是关系数据库或非关系数据库。在一些实现中,流量数据108可以不包括针对XFF数据的单独字段。相反,防火墙107可以将客户机1 101和2 102的地址与负载平衡器106的地址一起记录在源地址字段中,或者防火墙107可以不记录负载平衡器106的地址,而只记录在源地址字段中的客户机地址。
除了记录分组1 104和2 105之外,防火墙107还可以对分组执行附加处理。防火墙107可以基于安全规则来执行确定分组应该被允许到应用服务器109还是被阻挡的一般防火墙功能。如下所述,这些规则不仅可以基于源地址字段,还可以基于XFF字段中指示的原始地址以及基于原始地址确定的其他信息来制定。在阶段C,安全和性能服务监控并从流量数据108检索数据。当数据被添加到流量数据108时,服务可以订阅以从流量数据108的代理或进程接收更新,或者可以周期性地从流量数据108检索新条目以供分析。通常,这些服务基于分组报头中的源地址来执行分析;然而,这种分析在如图1中所示的屏蔽真实或原始源地址的网络架构中被严重限制,因为源地址字段中的地址将持续是负载平衡器106的相同地址。因此,重新配置这些服务以考虑源地址字段中所指示的地址和XFF字段中指示的地址。一般来说,基于真实或原始源地址,服务可以针对原始源地址实施策略,对访问应用服务器109的客户机具有更大的可见性,选择性地实施威胁预防措施,或者查明关于客户机的诸如其地理位置之类的附加信息。
动态地址组服务110允许创建自动适应动态环境中的改变——服务器或设备的添加、移动或删除——的策略。通过使用XFF字段中的原始源地址,动态地址组服务110可以从动态策略组中添加和移除诸如客户机1 101和客户机2 102之类的设备。例如,客户机1 101可以是虚拟机,其可以响应于网络需求根据需要而被实例化和关闭。当客户机1 101接通和离线时,动态地址组服务110可以检测来自客户机1 101的网络流量,并更新虚拟机组的成员资格以添加客户机1 101。另外,动态地址组服务110可以确定应用于虚拟机组的任何策略是否也应被应用于来自客户机1 101的流量。动态地址组服务110还可以编译可以使用原始源地址查询的设备特性的储存库。设备特性可以包括诸如设备类型、用户应用的标签(“生产服务器”、“存储控制器”、“图像存储”等)、地理位置等信息。可以基于这些特性来创建动态组。当发现具有匹配特性的设备时,它们被自动添加到所定义的组中。
威胁智能服务111可以利用来自XFF字段的原始源地址来提供对应用服务器109或网络的威胁的增强型分析和标识。负载平衡器106对客户机IP地址的屏蔽阻止威胁智能服务111标识网络流量中的模式,因为所有网络流量看起来都来自负载平衡器106。通过将XFF字段与原始源地址一起使用,威胁智能服务111可以基于原始源地址来标识模式或相关事件。例如,威胁智能服务111可以标识恶意文件已从同一IP地址上传多次,即使上传该文件的用户帐户可能变化。在有能力从XFF字段导出真实源地址之前,威胁智能服务111只可能确定恶意文件的直到负载平衡器106的子代,这对于威胁智能目的几乎没有价值。通过从流量数据108获得原始源地址,威胁智能服务111可以基于原始源地址和从原始源地址导出的附加信息(诸如随时间的使用行为和地理位置)来分析和管理威胁。
策略实施服务112可以利用来自XFF字段的原始源地址以增强可被创建的策略的类型和策略的实施。由于原始源地址是可用的,管理员可以针对该地址创建和实施策略。例如,如果应用服务器109的客户具有已知的IP地址或IP地址的范围,则可以创建策略以允许来自这些IP地址的流量。另外,具有原始源地址改进了网络流量的特性和类型中的可见性。例如,可以针对诸如流量的来源国、与原始源地址相关联的用户帐户之类的特性创建策略。
日志记入和应用监控服务113允许管理员查看网络流量的度量和日志。日志记入和应用监控服务113处理流量数据108,将处理后的数据记录到永久存储中的文件中,并通过各种用户界面(诸如表格、图形等)显示数据。日志记入和应用监控服务113可以在处理期间使用来自流量数据108中的XFF字段的原始源地址,并显示与访问应用服务器109的外部设备(诸如客户机1 101和客户机2 102)有关的信息。另外,日志记入和应用监控服务113可以从原始源地址导出附加信息,该附加信息可被用于提供对网络流量的更大可见性。例如,日志记入和应用监控服务113可以导出用户帐户信息、地理位置、设备类型、因特网服务提供商等,并且可以向管理员提供有用的信息,诸如有多少网络流量来自特定的地理位置。
外部动态列表服务114允许基于对已知安全威胁的外部或第三方列表的订阅来阻挡IP地址或地理区域。例如,安全专家或公司可以发布已知会造成安全风险的IP地址列表,诸如先前分发恶意软件的设备的IP地址。外部动态列表服务114通过将来自XFF字段的原始源地址与这些已知安全威胁列表上的地址进行比较,可以基于这些外部列表来自动阻挡流量。
图2描绘了具有用于记录原始源IP地址的示例操作的流程图。图2将防火墙称为执行与图1一致的操作,尽管程序代码或硬件的命名可能因实现而异。
防火墙从内联网络设备(202)接收分组。防火墙可以从负载平衡器、应用网关、边缘路由器或其他边缘网络设备接收分组。在一些实现中,可以从云服务或进程接收分组。该分组可能源自通过因特网或其他广域网连接的客户端,或者来自局域网内的客户端。在接收到分组之后,防火墙开始处理分组。
防火墙记录源地址字段中的地址和其他分组报头信息(208)。防火墙记录来自分组报头的指定数据。例如,防火墙可记录分组大小、源地址、目的地地址等。
防火墙确定是否应记录XFF字段(204)。在一些实例中,可以知道防火墙将被放置在诸如负载平衡器之类的设备的下游,该设备将执行NAT或以其他方式修改分组报头中的源地址字段。在这些实例下,可以在启动时配置防火墙,或者在操作过程中修改/编程防火墙,以记录来自XFF字段的数据。在一些实现中,防火墙可以监控源地址字段中指示的源地址,并且,如果源地址对于阈值数量的分组是相同的,则防火墙可以确定它位于执行修改源地址字段的网络设备的下游,并开始记录XFF字段中的地址或数据。在其他实现中,防火墙可以分析XFF字段中的数据,确定该字段中是否存储了IP地址,并记录所指示的IP地址。在其他实现中,防火墙可以基于检测到XFF字段数据位于内联或边缘网络设备(诸如,负载平衡器、网关、代理或边缘路由器)的下游来确定记录XFF字段数据。防火墙可以基于分析网络示意图或拓扑、使用简单的网络管理协议(SNMP)探测(ping)所连接的设备等来确定其在网络中的位置。
如果防火墙确定应记录XFF字段,则防火墙记录XFF字段中指示的原始源IP地址(206)。防火墙将来自XFF字段中的原始源地址写入网络流量数据库中的条目。XFF字段地址可被标记为XFF字段、原始源地址、就地源地址或源地址字段中指示的地址之外的源地址。
在确定不应记录XFF字段之后或在记录XFF字段之后,防火墙根据安全规则和策略处理分组(210)。防火墙可以从其他服务接收指示如何管理分组的指令或命令。例如,如图3中所述,另一服务可以分析原始源地址和报头信息,以标识与该地址相关联的任何相关策略或安全威胁。然后,该服务可以向防火墙发送指示来自该地址的流量应该被阻挡还是被允许的命令。
图3描绘了具有用于使用原始源IP地址来实施安全的示例操作的流程图。图3将安全服务称为执行操作,尽管程序代码或硬件的命名可能因实现而异。
安全服务(“服务”)检索网络流量数据(302)。该服务可以是管制和监控网络流量的任何安全或网络管理服务。例如,服务可以是图1中描述的服务中的任何一者。该服务可以通过查询网络流量数据的数据库、从代理接收一批新的网络流量事件等来检索网络流量数据。
该服务确定XFF字段中是否指示了IP地址(304)。该服务分析网络流量数据,以确定数据是否包括XFF数据的字段。如果存在XFF数据的字段,则服务确定该字段是否包括IP地址。例如,服务可以解析XFF字段中的数据,以确定数据是否与IP地址的结构匹配。在某些实例下,XFF字段可能没有使用IP地址填充,而是可能包含其他信息,诸如用户帐户名或会话标识符。在这些情况下,服务确定XFF不包括IP地址。在一些实现中,该服务包括可配置的设置,其控制该服务是否从XFF字段读取数据。
如果XFF字段中没有指示IP地址,则该服务基于典型的报头信息来实施安全(306)。由于XFF字段未填充IP地址,因此服务假定源地址报头字段中的IP地址是网络流量所起源的设备的地址。该服务基于源地址和其他记录的信息(诸如目的地地址、分组大小、分组数量、端口号、协议等)来实施安全。实施安全可以包括标识适用的策略或规则、记录和分析流量特性和行为等任务,将IP地址与用户帐户相关联等。源地址经常被用于这些任务中的每个任务;然而,源地址可能不是网络流量的真实源起地址。例如,这可能发生在其中内联设备(诸如负载平衡器)已经修改了源地址字段的情况中,如图1中所述。因为真实来源未知,因此服务可能无法应用正确的策略或规则来针对网络流量数据中标识的流量保护网络。结果,不安全的网络流量(诸如来自受限地理区域的网络流量)可能会通过防火墙并获得对安全资源的访问。
如果服务确定XFF字段中指示了IP地址,则该服务基于XFF字段中指示的原始源IP地址来实施安全(308)。由于XFF字段填充了IP地址,因此服务假定XFF字段中的IP地址是网络流量所起源的设备的原始地址。这与框306处的操作相反,框306假定标准源地址报头字段包含原始IP地址。该服务基于XFF地址和其他网络流量数据,诸如源地址字段中列出的地址、目的地地址、分组大小、分组数量、端口号、协议等,来实施安全。因为真实或原始源地址是已知的,该服务可以更有效地标识相关策略或规则,并提供网络流量的特性和类型中的可见性。例如,服务可以记录原始源地址并显示多少流量源自该地址,并且服务可以使用原始源地址来搜索策略数据库以检索相关策略。另外,服务可以从原始源地址导出其他信息,诸如地理位置或设备类型,这进一步增强了服务标识相关策略和管理网络流量的能力。例如,该服务可以使用从原始源地址导出的地理位置以标识相应地理区域的策略。
该服务根据确定的安全规则和策略来处理网络流量(310)。基于在框306或框308中标识的策略或规则,服务可以阻挡流量、允许流量、扼制流量等。例如,策略可以指示来自特定IP地址范围的流量应保持在10Mb/s带宽以下,因此,服务可能会开始扼制与原始源地址关联的用户会话。为了管理网络流量,服务可以控制或向网络中接收到被记录数据的防火墙发送命令。该服务还可以执行网络管理或监控任务的附加处理。例如,服务可以实现动态地址组,并基于原始源地址来更新组成员资格以包括设备。这可以包括更新用户界面以显示与组相关的度量。
变型
图1用一系列字母A-C来注释。这些字母代表操作的各阶段。尽管这些阶段是针对本示例而排序的,但各阶段解说了一个示例,以帮助理解本公开,并且不应用于限制权利要求。落入权利要求范围内的主题内容可以相对于顺序和一些操作而变化。
上述描述将防火墙设备称为执行流量数据的日志记入和实施网络安全。然而,在一些实现中,其他设备的软件或硬件可能负责将流量数据记入日志或实施安全。例如,图1的应用服务器109可以包括用于将网络流量数据记入日志的软件。另外,应用服务器109可基于其他准则(诸如与指定的IP地址相关联的用户帐户信息)来实施安全策略。
示例通常指“一种服务”或“多种服务”。术语服务是用于指代动态策略组、威胁智能、策略实施、日志记入和应用监控以及外部动态列表的功能的实现的构造。由于有许多实现是可能的,所以使用了这种构造。服务可以是在如下上运行的代码:防火墙或其他网络设备、虚拟机或容器、机器的一个或多个特定组件(例如,封装在带有其他电路卡/板的外壳中的特定电路卡)、机器可执行程序、固件、具有用固件配置和编程用于记录网络流量数据的电路系统的电路卡等。该术语用于高效解释本公开的内容。该服务也可被称为进程、应用、脚本、组件、设备、防火墙、增强型防火墙或下一代防火墙。尽管各示例涉及由服务执行的操作,但不同的实体可以执行不同的操作。
提供了流程图以帮助理解解说,并且不被用于限制权利要求的范围。流程图描绘了在权利要求范围内可能变化的示例操作。可以执行额外的操作;可以执行更少的操作;这些操作可以并行执行;并且可以以不同的顺序执行操作。例如,图2的框204和208中描绘的操作可以并行或同时执行。关于图3,框302可能不是必需的。将会理解,可由程序代码来实现流程图图示和/或框图的每一个框以及流程图图示和/或框图中的框的组合。程序代码可被提供给通用计算机、专用计算机或其他可编程机器或装置的处理器。
如将领会的,本公开的各方面可体现为存储在一个或多个机器可读介质中的系统、方法或程序代码/指令。因此,各方面可以采取硬件、软件(包括固件、驻留软件、微代码等)的形式,或者软件和硬件方面的组合,其在本文中通常被称为“电路”、“模块”或“系统”。示例解说中作为个体模块/单元呈现的功能可以根据平台(操作系统和/或硬件)、应用生态系统、接口、程序员偏好、编程语言、管理员偏好等中的任何一者被不同地组织。
可以利用一个或多个机器可读介质的任何组合。机器可读介质可以是机器可读信号介质或机器可读存储介质。机器可读存储介质可以是,例如,但不限于,采用电子、磁、光、电磁、红外或半导体技术中的任何一种或其组合来存储程序代码的系统、装置或设备。机器可读存储介质的更多具体示例(非详尽列表)将包括以下内容:便携式计算机软盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或闪存)、便携式光盘只读存储器(CD-ROM),光存储设备、磁存储设备或上述设备的任何适当组合。在本文档的上下文中,机器可读存储介质可以是能够包含或存储由指令执行系统、装置、控制器或设备使用或与指令执行系统、装置、或设备相结合地使用的程序的任何有形介质。机器可读存储介质不是机器可读信号介质。
机器可读信号介质可包括被传播的数据信号,该数据信号具有被体现在其中(例如,在基带中或作为载波的一部分)的机器可读程序代码。这种传播的信号可以采取各种形式中的任何一种,包括但不限于电磁、光学或其任何合适的组合。机器可读信号介质可以是不是机器可读存储介质并且可以通信、传播或传输程序以供指令执行系统、装置或设备使用或与之结合使用的任何机器可读介质。
实现在机器可读介质上的程序代码可以使用任何适当的介质来传输,包括但不限于无线、有线、光纤电缆、射频等,或者前述任何合适组合。
用于执行本公开的各方面的操作的计算机程序代码可以以一种或多种编程语言的任何组合来编写,包括面向对象的编程语言,诸如
编程语言、C++等;动态编程语言,诸如Python;脚本语言,诸如Perl编程语言或PowerShell脚本语言;以及传统的过程编程语言,诸如“C”编程语言或类似的编程语言。程序代码可以完全在独立机器上执行,可以跨多台机器以分布式方式执行,并且可以在一台机器上执行,同时在另一台机器上提供结果和/或接受输入。
程序代码/指令也可被存储在机器可读介质中,该介质可引导机器以特定方式运行,使得存储在机器可读介质中的指令产生包括实现流程图和/或一个或多个框图块中指定的功能/动作的指令的制品。
图4描绘了具有增强型数据记录和安全服务的防火墙的示例计算机系统。计算机系统包括处理器单元401(可能包括多个处理器、多核、多节点和/或实现多线程等)。计算机系统包括存储器407。存储器407可以是系统存储器(例如,高速缓存、SRAM、DRAM、零电容RAM、双晶体管RAM、eDRAM、EDO-RAM、DDR-RAM、EEPROM、NRAM、RRAM、SONOS、PRAM等中的一个或多个)或者以上已经描述的机器可读介质的任何一个或多个可能实现。计算机系统还包括总线403(例如,PCI、ISA、PCI Express、
总线、
总线、NuBus等)和网络接口405(例如,光纤通道接口、以太网接口、因特网小型计算机系统接口、SONET接口、无线接口等)。该系统还包括具有增强型数据记录的防火墙411和安全服务413。当分组报头中的源地址字段已经被内联网络设备屏蔽或修改时,具有增强型数据记录的防火墙411可任选地记录来自XFF字段的原始源地址。安全服务413利用所记录的XFF数据以基于原始源地址来实施安全。安全服务413可以是先前描述的服务中的一个或多个,诸如,动态地址组、威胁智能、策略实施、日志记入和应用监控以及外部动态列表。可以在硬件中和/或在处理器单元401上部分(或全部)实现先前描述的功能中的任何一个。例如,该功能可以用因应用而异的集成电路、在处理器单元401中实现的逻辑、在外围设备或卡等上的协处理器中实现。此外,实现可以包括图4中未解说的较少或附加组件(例如,视频卡、声卡、附加网络接口、外围设备等)。处理器单元401和网络接口405耦合到总线403。尽管解说为耦合到总线403,但存储器407可以耦合到处理器单元401。
虽然参考各种实现和利用来描述本公开的各方面,但将理解,这些方面是解说性的,并且权利要求的范围不限于此。一般来说,用于基于存储在本文所述的XFF字段中的原始源地址来记录和实施安全策略的技术可以使用与任何一个或多个硬件系统一致的设施来实现。许多变型、修改、添加和改进是可能的。
可以为本文描述为单个实例的组件、操作或结构提供多个实例。最后,各种组件、操作和数据存储之间的边界在某种程度上是任意的,并且在特定解说性配置的上下文中解说了特定操作。功能的其他分配是设想的,并且可能落入本发明的范围内。一般来说,在示例配置中作为单独组件呈现的结构和功能可被实现为组合结构或组件。类似地,作为单个组件呈现的结构和功能也可以实现为单独的组件。这些和其他变型、修改、添加和改进可能落入本发明的范围内。
为了效率和便于解释,本描述使用了与云技术相关的速记术语。当提及“云”时,该描述是指云服务提供商的资源。例如,云可以涵盖云服务提供商的服务器、虚拟机和存储设备。术语“云目的地”和“云源”指具有可用作网络连接的端点的网络地址的实体。该实体可以是物理设备(例如服务器)或可以是虚拟实体(例如虚拟服务器或虚拟存储设备)。在更一般的方面,客户可访问的云服务提供商资源是由云服务提供商实体拥有/管理的资源,其可通过网络连接访问。通常,该访问根据云服务提供商提供的应用编程接口或软件开发工具包。
该描述使用术语“数据流”来指在会话中在两个实体之间的数据连接上流动的单向数据流。会话中的实体可以是接口、服务等。数据流的元素的大小和格式将取决于与会话通信的实体而变化。尽管数据流元素将根据支持会话的协议被分割/划分,但实体可以从操作系统的角度处理数据,并且数据流元素从该操作系统的角度可以是数据块。数据流是“流”,因为数据集(例如,卷或目录)在源处被序列化,用于流传送到目的地。数据流元素的序列化允许数据集的重建。数据流被表征为在数据连接上“流动”,因为数据流元素从源连续传输,直到完成或中断。数据流流经的数据连接是逻辑结构,其表示定义该数据连接的端点。端点可以用可被称为接口的逻辑数据结构来表示。会话是一个或多个连接的抽象。例如,会话可以是数据连接和管理连接。管理连接是承载用于更改与会话相关联的服务状态的管理消息。
除非另有特别说明,否则使用带有连词“和”的列表之前的短语“至少一个”不应视为排他性列表,并且也不应被解释为来自每个类别中具有一个项目的类别列表。叙述了“A、B和C中的至少一者”的条款可用所列条目中的仅一个、所列条目中的多个、以及列表中的项目中的一者或多者或未列出的另一项目来违背。
Claims (10)
1.一种方法,包括:
记录从网络设备接收的分组中的报头信息,其中所述报头信息包括第一报头字段中的第一源地址和第二报头字段中的第二源地址,其中所述第一源地址对应于所述网络设备,而所述第二源地址对应于在所述网络设备之前传送所述分组的客户机设备;
至少部分地基于所述第二源地址来分析所述分组;
确定所述客户机设备属于由第一策略控制的设备组;以及
将所述第一策略应用于所述分组和来自所述客户机设备的其他网络流量。
2.如权利要求1所述的方法:
其特征在于,至少部分地基于所述第二源地址来分析所述分组包括使用所述第二源地址查询存储库以获得所述客户机设备的特性;
其中确定所述客户机设备属于由所述第一策略控制的所述设备组至少部分地基于所获得的特性。
3.如权利要求2所述的方法,其特征在于,还包括基于所述报头信息中指示的所述第二源地址来确定所述客户机设备的地理位置,其中所述客户机设备的所述特性中的至少第一特性是所述地理位置。
4.如权利要求1所述的方法,其特征在于,还包括至少部分地基于确定所述网络设备是负载平衡器、网关、代理、或边缘路由器中的至少一者来确定所述第二报头字段应该被记录。
5.如权利要求1所述的方法,其特征在于,记录所述报头信息是由防火墙执行的,还包括由所述防火墙至少部分地基于配置参数的值来确定所述第二报头字段应该被记录。
6.如权利要求1所述的方法,其特征在于,将所述第一策略应用于所述分组和来自所述客户机设备的其他网络流量包括确定所述分组和所述其他网络流量应该被阻挡、允许、扼流、和记入日志。
7.如权利要求1所述的方法,其特征在于,所述第一报头字段是源地址字段而所述第二报头字段是X-Forward-For字段。
8.如权利要求1所述的方法,其特征在于,所述分组的分析不基于所述第一源地址。
9.一种其上存储有指令的非瞬态、计算机可读介质,所述指令由计算设备执行以执行如权利要求1-8中任一项所述的方法。
10.一种装置,包括:
处理器;以及
其上存储有指令的计算机可读介质,所述指令由处理器执行以使所述装置执行如权利要求1-8中任一项所述的方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16/399,783 US11218512B2 (en) | 2019-04-30 | 2019-04-30 | Security policy enforcement and visibility for network architectures that mask external source addresses |
| US16/399,783 | 2019-04-30 | ||
| PCT/US2020/030313 WO2020223262A1 (en) | 2019-04-30 | 2020-04-28 | Security policy enforcement and visibility for network architectures that mask external source addresses |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114041276A true CN114041276A (zh) | 2022-02-11 |
Family
ID=70775506
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202080032285.0A Pending CN114041276A (zh) | 2019-04-30 | 2020-04-28 | 屏蔽外部源地址的网络架构的安全策略实施和可见性 |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US11218512B2 (zh) |
| EP (1) | EP3963858A1 (zh) |
| CN (1) | CN114041276A (zh) |
| WO (1) | WO2020223262A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2024087638A1 (zh) * | 2022-10-27 | 2024-05-02 | 华为云计算技术有限公司 | 一种数据包的处理方法以及相关装置 |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11063905B2 (en) * | 2019-05-09 | 2021-07-13 | Fortinet, Inc. | Service detection for a policy controller of a software-defined wide area network (SD-WAN) |
| TWI701920B (zh) * | 2019-08-07 | 2020-08-11 | 許富皓 | 封包傳送方法以及系統 |
| CN113315754B (zh) * | 2021-04-25 | 2022-07-12 | 中国民生银行股份有限公司 | 容器出访防火墙智能联动方法及装置、设备、介质 |
| CN114513465A (zh) * | 2022-02-15 | 2022-05-17 | 京东科技信息技术有限公司 | 负载均衡方法、负载均衡装置、电子设备和存储介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7328237B1 (en) * | 2002-07-25 | 2008-02-05 | Cisco Technology, Inc. | Technique for improving load balancing of traffic in a data network using source-side related information |
| CN102292961A (zh) * | 2008-11-25 | 2011-12-21 | 思杰系统有限公司 | 用于对由域名服务(dns)获得的ip地址进行转换的系统和方法 |
| CN102714657A (zh) * | 2009-11-25 | 2012-10-03 | 思杰系统有限公司 | 用于经由tcp选项插入客户机ip地址的系统和方法 |
| CN103119903A (zh) * | 2010-09-30 | 2013-05-22 | 瑞典爱立信有限公司 | 网络服务器之间的负载平衡 |
| US20160094513A1 (en) * | 2014-09-30 | 2016-03-31 | A10 Networks, Incorporated | Use of packet header extension for layer-3 direct server return |
| CN105959313A (zh) * | 2016-06-29 | 2016-09-21 | 杭州迪普科技有限公司 | 一种防范http代理攻击的方法及装置 |
| CN106464564A (zh) * | 2014-05-27 | 2017-02-22 | 谷歌公司 | 网络分组封装和路由 |
| US20180146001A1 (en) * | 2016-11-22 | 2018-05-24 | Daniel Chien | Network security based on device identifiers and network addresses |
Family Cites Families (37)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6957281B2 (en) * | 2002-01-15 | 2005-10-18 | Intel Corporation | Ingress processing optimization via traffic classification and grouping |
| US7801980B1 (en) * | 2003-05-12 | 2010-09-21 | Sourcefire, Inc. | Systems and methods for determining characteristics of a network |
| TWI235572B (en) * | 2003-12-19 | 2005-07-01 | Inst Information Industry | Method of IPsec packet routing, NAPT device and storage medium using the same |
| JP4074851B2 (ja) * | 2003-12-25 | 2008-04-16 | 株式会社日立製作所 | 通信中継方法および中継装置 |
| US7463628B2 (en) * | 2004-03-30 | 2008-12-09 | Extreme Networks, Inc. | Packet data modification processor command instruction set |
| US8036221B2 (en) * | 2004-06-14 | 2011-10-11 | Cisco Technology, Inc. | Method and system for dynamic secured group communication |
| JP4341517B2 (ja) * | 2004-06-21 | 2009-10-07 | 日本電気株式会社 | セキュリティポリシー管理システム、セキュリティポリシー管理方法およびプログラム |
| US8166547B2 (en) * | 2005-09-06 | 2012-04-24 | Fortinet, Inc. | Method, apparatus, signals, and medium for managing a transfer of data in a data network |
| US8218540B1 (en) * | 2007-12-28 | 2012-07-10 | World Wide Packets, Inc. | Modifying a duplicated packet and forwarding encapsulated packets |
| CN102461089B (zh) * | 2009-05-15 | 2015-11-25 | 惠普开发有限公司 | 用于使用标签进行策略执行的方法和设备 |
| US9634845B2 (en) * | 2009-07-08 | 2017-04-25 | Telefonaktiebolaget Lm Ericsson (Publ) | Session switching during ongoing data delivery in a network |
| US20110110378A1 (en) * | 2009-11-10 | 2011-05-12 | Nokia Corporation | Method and Apparatus for Communications Traffic Breakout |
| US9537891B1 (en) | 2011-09-27 | 2017-01-03 | Palo Alto Networks, Inc. | Policy enforcement based on dynamically attribute-based matched network objects |
| US9276851B1 (en) * | 2011-12-20 | 2016-03-01 | Marvell Israel (M.I.S.L.) Ltd. | Parser and modifier for processing network packets |
| US8789135B1 (en) * | 2012-06-15 | 2014-07-22 | Google Inc. | Scalable stateful firewall design in openflow based networks |
| US10104121B2 (en) * | 2013-07-03 | 2018-10-16 | Fortinet, Inc. | Application layer-based single sign on |
| US9264509B1 (en) * | 2014-09-25 | 2016-02-16 | Fortinet, Inc. | Direct cache access for network input/output devices |
| US9560017B2 (en) * | 2014-11-13 | 2017-01-31 | At&T Intellectual Property I, L.P. | Methods and apparatus to route traffic in a virtual private network |
| US11627639B2 (en) * | 2015-01-26 | 2023-04-11 | Ievgen Verzun | Methods and apparatus for HyperSecure last mile communication |
| WO2016164050A1 (en) * | 2015-04-10 | 2016-10-13 | Hewlett Packard Enterprise Development Lp | Network anomaly detection |
| US9807006B1 (en) * | 2015-05-29 | 2017-10-31 | Netronome Systems, Inc. | Crossbar and an egress packet modifier in an exact-match flow switch |
| US9619608B1 (en) * | 2015-08-27 | 2017-04-11 | Cadence Design Systems, Inc. | Concurrent design process |
| CN108293022B (zh) * | 2015-12-30 | 2020-10-09 | 华为技术有限公司 | 一种报文传输的方法、装置和系统 |
| US10333846B2 (en) * | 2016-02-19 | 2019-06-25 | Citrix Systems, Inc. | Systems and methods for routing network packets between multi-core intermediaries |
| US10841222B2 (en) * | 2016-07-05 | 2020-11-17 | Ologn Technologies Ag | Systems, apparatuses and methods for network packet management |
| US10171425B2 (en) * | 2016-12-15 | 2019-01-01 | Keysight Technologies Singapore (Holdings) Pte Ltd | Active firewall control for network traffic sessions within virtual processing platforms |
| US10516728B2 (en) * | 2017-03-10 | 2019-12-24 | Microsoft Technology Licensing, Llc | Virtual filtering platform in distributed computing systems |
| US10694006B1 (en) * | 2017-04-23 | 2020-06-23 | Barefoot Networks, Inc. | Generation of descriptive data for packet fields |
| US10826840B1 (en) * | 2017-07-23 | 2020-11-03 | Barefoot Networks, Inc. | Multiple copies of stateful tables |
| US11005892B2 (en) * | 2017-09-17 | 2021-05-11 | Allot Ltd. | System, method, and apparatus of securing and managing internet-connected devices and networks |
| US10212089B1 (en) * | 2017-09-21 | 2019-02-19 | Citrix Systems, Inc. | Encapsulating traffic entropy into virtual WAN overlay for better load balancing |
| US10587577B2 (en) * | 2017-09-27 | 2020-03-10 | Servicenow, Inc. | Dynamic, event-driven traffic control in a managed network |
| US10623372B2 (en) * | 2017-12-06 | 2020-04-14 | Nicira, Inc. | Load balancing IPsec tunnel processing with extended Berkeley packet filter (eBPF) |
| US11089058B2 (en) * | 2018-01-25 | 2021-08-10 | International Business Machines Corporation | Context-based adaptive encryption |
| CN108683632A (zh) * | 2018-04-04 | 2018-10-19 | 山石网科通信技术有限公司 | 防火墙安全策略调整方法及装置 |
| US10680947B2 (en) * | 2018-07-24 | 2020-06-09 | Vmware, Inc. | Methods and apparatus to manage a physical network to reduce network dependencies in a multi-fabric virtual network |
| US11038990B2 (en) * | 2018-12-28 | 2021-06-15 | Intel Corporation | Methods and apparatus to compress packets in a computing environment |
-
2019
- 2019-04-30 US US16/399,783 patent/US11218512B2/en active Active
-
2020
- 2020-04-28 EP EP20727023.2A patent/EP3963858A1/en active Pending
- 2020-04-28 CN CN202080032285.0A patent/CN114041276A/zh active Pending
- 2020-04-28 WO PCT/US2020/030313 patent/WO2020223262A1/en unknown
-
2022
- 2022-01-03 US US17/646,857 patent/US20220131906A1/en active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7328237B1 (en) * | 2002-07-25 | 2008-02-05 | Cisco Technology, Inc. | Technique for improving load balancing of traffic in a data network using source-side related information |
| CN102292961A (zh) * | 2008-11-25 | 2011-12-21 | 思杰系统有限公司 | 用于对由域名服务(dns)获得的ip地址进行转换的系统和方法 |
| CN102714657A (zh) * | 2009-11-25 | 2012-10-03 | 思杰系统有限公司 | 用于经由tcp选项插入客户机ip地址的系统和方法 |
| CN103119903A (zh) * | 2010-09-30 | 2013-05-22 | 瑞典爱立信有限公司 | 网络服务器之间的负载平衡 |
| CN106464564A (zh) * | 2014-05-27 | 2017-02-22 | 谷歌公司 | 网络分组封装和路由 |
| US20160094513A1 (en) * | 2014-09-30 | 2016-03-31 | A10 Networks, Incorporated | Use of packet header extension for layer-3 direct server return |
| CN105959313A (zh) * | 2016-06-29 | 2016-09-21 | 杭州迪普科技有限公司 | 一种防范http代理攻击的方法及装置 |
| US20180146001A1 (en) * | 2016-11-22 | 2018-05-24 | Daniel Chien | Network security based on device identifiers and network addresses |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2024087638A1 (zh) * | 2022-10-27 | 2024-05-02 | 华为云计算技术有限公司 | 一种数据包的处理方法以及相关装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20220131906A1 (en) | 2022-04-28 |
| EP3963858A1 (en) | 2022-03-09 |
| WO2020223262A1 (en) | 2020-11-05 |
| US20200351309A1 (en) | 2020-11-05 |
| US11218512B2 (en) | 2022-01-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114041276A (zh) | 屏蔽外部源地址的网络架构的安全策略实施和可见性 | |
| US9047143B2 (en) | Automation and programmability for software defined networking systems | |
| US9553845B1 (en) | Methods for validating and testing firewalls and devices thereof | |
| US10587621B2 (en) | System and method for migrating to and maintaining a white-list network security model | |
| US11265292B1 (en) | Graph based management of virtualized infrastructures | |
| US9596141B2 (en) | Representing software defined networks using a programmable graph model | |
| US8949931B2 (en) | System and method for monitoring application security in a network environment | |
| CN107534568B (zh) | 用于网络策略的合成约束 | |
| US9059960B2 (en) | Automatically recommending firewall rules during enterprise information technology transformation | |
| CN110785963B (zh) | 从网络收集网络模型和节点信息 | |
| US10164908B2 (en) | Filtration of network traffic using virtually-extended ternary content-addressable memory (TCAM) | |
| US11689505B2 (en) | Dynamic proxy response from application container | |
| CN110710161A (zh) | 生成网络的设备级逻辑模型 | |
| CN110800259B (zh) | 跨以应用为中心的维度的分布式故障代码聚合 | |
| US9374308B2 (en) | Openflow switch mode transition processing | |
| US20190205776A1 (en) | Techniques for policy-controlled analytic data collection in large-scale systems | |
| US10965648B2 (en) | Enforcing instructions of a segmentation policy on a network midpoint device | |
| US11736443B2 (en) | Enforcing a segmentation policy in co-existence with a system firewall | |
| Tudosi et al. | Design and implementation of a distributed firewall management system for improved security | |
| TW201526588A (zh) | 用於本地與遠端處理時之設備控制分隔的系統及其方法 | |
| US11743142B1 (en) | Segmentation using infrastructure policy feedback | |
| US12010098B2 (en) | Enforcing a segmentation policy in co-existence with a system firewall | |
| US20230072491A1 (en) | Network processing using multi-level match action tables | |
| CN116318992A (zh) | 云原生kubernetes网络的黑名单控制方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |