CN114365454B - 无状态安全功能的分布 - Google Patents
无状态安全功能的分布 Download PDFInfo
- Publication number
- CN114365454B CN114365454B CN202080063039.1A CN202080063039A CN114365454B CN 114365454 B CN114365454 B CN 114365454B CN 202080063039 A CN202080063039 A CN 202080063039A CN 114365454 B CN114365454 B CN 114365454B
- Authority
- CN
- China
- Prior art keywords
- network
- log
- rules
- network device
- flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000006870 function Effects 0.000 title description 57
- 238000009826 distribution Methods 0.000 title description 3
- 238000000034 method Methods 0.000 claims abstract description 38
- 230000007246 mechanism Effects 0.000 claims description 31
- 238000003860 storage Methods 0.000 claims description 22
- 238000013341 scale-up Methods 0.000 claims description 5
- 239000013589 supplement Substances 0.000 claims description 3
- 230000001502 supplementing effect Effects 0.000 claims description 3
- 239000004744 fabric Substances 0.000 description 92
- 238000007726 management method Methods 0.000 description 34
- 230000015654 memory Effects 0.000 description 22
- 230000001413 cellular effect Effects 0.000 description 12
- 230000008901 benefit Effects 0.000 description 9
- 238000004891 communication Methods 0.000 description 9
- 238000013461 design Methods 0.000 description 8
- 238000004458 analytical method Methods 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 7
- 238000013507 mapping Methods 0.000 description 6
- 230000011218 segmentation Effects 0.000 description 6
- 230000010354 integration Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 4
- 238000001228 spectrum Methods 0.000 description 4
- 230000002776 aggregation Effects 0.000 description 3
- 238000004220 aggregation Methods 0.000 description 3
- 238000005457 optimization Methods 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000007405 data analysis Methods 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000005538 encapsulation Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 238000010801 machine learning Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 238000000926 separation method Methods 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 238000013024 troubleshooting Methods 0.000 description 2
- 101150018489 DNA-C gene Proteins 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 239000008186 active pharmaceutical agent Substances 0.000 description 1
- 230000003044 adaptive effect Effects 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 239000003054 catalyst Substances 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000001934 delay Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 239000011521 glass Substances 0.000 description 1
- RGNPBRKPHBKNKX-UHFFFAOYSA-N hexaflumuron Chemical compound C1=C(Cl)C(OC(F)(F)C(F)F)=C(Cl)C=C1NC(=O)NC(=O)C1=C(F)C=CC=C1F RGNPBRKPHBKNKX-UHFFFAOYSA-N 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000005304 joining Methods 0.000 description 1
- 244000144972 livestock Species 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 238000013439 planning Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000010076 replication Effects 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/70—Services for machine-to-machine communication [M2M] or machine type communication [MTC]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
提供了系统和方法,用于在网络设备处从企业网络的安全性控制器接收第一组规则,该第一组规则不同于由安全性控制器提供给防火墙的第二组规则;在网络设备处实现从安全性控制器接收的第一组规则;在网络设备处基于第一组规则生成包括元数据的第一日志,该第一日志是在每个流的基础上生成的;在网络设备处向NetFlow通知第一组规则的包括元数据的第一日志;和通过网络设备的NetFlow将第一日志从网络设备提供给云日志存储,该云日志存储接收来自网络设备的第一日志和来自防火墙的第二日志。
Description
相关申请的交叉引用
本申请要求于2019年10月21日递交的美国临时专利申请第62/923,986号的优先权,其全部内容通过引用并入本文。
技术领域
本公开的主题总体上涉及计算机网络领域,更具体地,涉及用于利用网络来实现安全性策略的无状态方面而不造成能力、规模和/或日志记录损失的系统和方法。
背景技术
企业网络环境在不断发展。对移动和物联网(IoT)设备流量、软件即服务(SaaS)应用和云采用的需求更大。此外,安全性需求正在增加,某些应用可能需要优先级和优化才能正常运行。随着这种复杂性的增长,亟需降低成本和运营费用,同时提供高可用性和规模。
在这种不断发展的环境下,传统的WAN架构面临着重大挑战。传统的WAN架构通常包含多个多协议标签交换(MPLS)传输,或与以主动/备份方式使用的互联网或长期演进(LTE)链路配对的MPLS,最常见的是互联网或SaaS流量被回传到用于互联网访问的中央数据中心或区域枢纽。这些架构的问题可能包括带宽不足、带宽成本高、应用停机、SaaS性能差、操作复杂、用于云连通性的工作流复杂、部署时间长和策略更改、有限的应用可见性以及难以保护网络。
典型的防火墙具有许多访问控制规则。这些防火墙中的一些是由用户静态定义的,而一些则是基于安全性策略的决定动态添加的。在防火墙中设置这些规则包括诸如强制依赖拓扑之类的缺点,因为所有网络流量都需要被强制通过防火墙。网络流量必须在被丢弃之前完全发送到防火墙。这在安全性功能位于云中的情况下尤其低效,因为还存在广域网(WAN)带宽影响。
附图说明
为了提供对本公开及其特征和优点的更完整理解,参考以下结合附图的描述,其中:
图1A图示了根据本公开的实施例的企业网络的物理拓扑的示例;
图1B图示了根据本公开的实施例的用于企业网络(例如图1A的企业网络)的逻辑架构的示例;
图2图示了根据本公开的实施例的异构无线网络的示例;
图3图示了根据一些实施例的用于企业网络的拓扑的示例;
图4图示了根据一些实施例的用于网络设备和云日志存储的拓扑的示例;
图5图示了根据一些实施例的用于实现安全性策略的示例过程;
图6图示了根据一些实施例的网络设备的示例;和
图7A和7B图示了根据一些实施例的系统的示例。
具体实施方式
下面阐述的详细描述旨在作为对实施例的各种配置的描述,并且不旨在表示可以实践本公开的主题的唯一配置。附图并入本文并构成具体实施方式的一部分。详细描述包括用于提供对本公开主题的更透彻理解的具体细节。然而,将清楚和明显的是,本公开的主题不限于本文阐述的具体细节并且可以在没有这些细节的情况下实施。在一些情况下,结构和组件以框图形式示出以避免混淆本公开的主题的概念。
概述
本发明的方面在独立权利要求中阐述并且优选特征在从属权利要求中阐述。一个方面的特征可以单独地或与其他方面结合地应用于任何方面。
系统和方法提供了利用网络来实现安全性策略的无状态方面而不会造成能力、规模和/或日志记录损失。例如,提供了系统和方法用于在网络设备处从企业网络的安全性控制器接收第一组规则,第一组规则不同于由安全性控制器提供给防火墙的第二组规则,在网络设备处实现从安全性控制器接收的第一组规则,在网络设备处基于第一组规则生成包括元数据的第一日志,第一日志在每个流的基础上生成,在网络设备处向网络流(NetFlow)通知第一组规则的包括元数据的第一日志,并通过网络设备的NetFlow将第一日志从网络设备提供到云日志存储,云日志存储接收来自网络设备的第一日志和来自防火墙的第二日志。
示例实施例
下面描述用于实现本技术的方面的网络架构的示例。然而,本领域的普通技术人员将理解,对于本公开中讨论的网络架构和任何其他系统,在类似或替代配置中可以存在额外或更少的组件。本公开中提供的说明和示例是为了简洁和清楚起见。其他实施例可以包括不同数量和/或类型的元件,但是本领域的普通技术人员将理解这样的变化不脱离本公开的范围。
可以设计和部署企业网络以在诸如办公室、医院、学院和大学、石油和天然气设施、工厂和类似位置之类环境内为通用计算设备(例如,服务器、工作站、台式计算机、膝上型计算机、平板电脑、移动电话等)和事物(例如,台式电话、安全性相机、照明、HVAC、窗户、门、锁、医疗设备、工业和制造设备以及其他IoT设备)(有时也称为客户端、服务器、主机、计算系统、端点、电子设备、用户装置、用户设备(UE)装置等)提供无线网络访问。通过无线网络访问,这些设备可以连接到专用网络(例如,校园或接入网络、数据中心、分支网络等)和公共网络(例如,互联网、基础设施即服务(IaaS)网络、平台即服务(PaaS)网络、软件即服务(SaaS)网络、其他云服务提供商(CSP)网络等),而不被束缚到特定位置。无线网络访问技术可以包括无线个域网(WPAN)(例如,BLUETOOTH、ZIGBEE、Z-WAVE等)、WI-FI(例如,电气电子工程师协会(IEEE)802.11x,例如802.11a、802.11h、802.11g、802.11n、802.11ac、802.11ax等)或无线局域网(WLAN)以及无线广域网(WWAN)或蜂窝网络(例如4G/LTE、5G等)。
可以由企业网络集成的另一种无线网络访问技术是公民宽带无线电服务(CBRS)(有时也称为私有LTE、私有5G、OnGo等)。CBRS在3.5GHz频段的210MHz宽频谱中运行(例如,美国的3550-3700MHz频率范围),因此CBRS不太可能干扰WI-FI和蜂窝设备或被WI-FI和蜂窝设备干扰。对于某些设备,例如需要保证不间断的连通性的维持生命的医疗设备或工业IoT设备或其他具有特定移动性要求的机器人,CBRS可以补充WI-FI、蜂窝和其他无线网络。
WI-FI、蜂窝和CBRS网络相对于彼此具有不同的优点和缺点。构建蜂窝网络以向跨远距离运行的设备提供无处不在、鲁棒的连通性(例如,回程链路不能被切断,蜂窝网络基础设施通常在灾难后首先恢复等)可能是代价高昂的,其依赖于每月和计量订阅以负担费用。WI-FI网络设备可以连接同一通用物理位置(例如家庭或建筑物)内的设备,并且比较起来相对便宜。此外,WI-FI在未经许可的频率上运行,不需要竞标使用它们的权利。移动和蜂窝标准也与WI-FI不同,因为蜂窝设备可能需要显著更高的针对技术本身的许可成本。例如,基于IEEE标准的WI-FI设备的相关许可的每台设备成本可能大大低于LTE/4G或5G设备。
在用户具有一致的持久连接可能很关键的情况下,蜂窝网络可能适用于移动使用。例如,移动用户可能在打电话时从一个地方走到另一个地方,在公共汽车上回复电子邮件,或者在开车时流送播客等等。这些可能是用户可能无法容忍网络覆盖缺口的情况。在这些情况下,移动用户也不太可能消耗大量数据。另一方面,WI-FI和CBRS网络可能特别适合游牧使用,在这种情况下,可能更重要的是拥有稳定的连接(例如,相对更能容忍覆盖缺口)和能够几乎没有成本地消耗大量数据。例如,游牧用户可以从一个地方迁移到另一个地方,但可能会坐下来长时间地从事数据密集型工作,例如接收大文件、编辑它们并将它们在线发送回。相同设备上的相同用户可以是不同时间段的移动用户或游牧用户,并且网络运营商开始将WI-FI、蜂窝和CBRS网络基础设施整合到他们自己的网络中,以提高灵活性、可用性和能力,以及其他好处。然而,将这些单独的访问技术作为具有统一策略、安全性和分析的集成系统进行管理可能具有挑战性,考虑到它们在成本、基础设施布局、可以提供的管理控制级别等方面的差异。用户和设备需要在这些不同的无线系统之间移动,网络运营商希望体验是无缝的且易于大规模管理。
现在转向附图,图1A图示了企业网络100的示例。应当理解,对于企业网络100和本文所讨论的任何网络,在类似或替代配置中可以存在更多或更少的节点、设备、链路、网络或组件。本文还设想了具有不同数量和/或类型的端点、节点、云组件、服务器、软件组件、设备、虚拟或物理资源、配置、拓扑、服务、器具或部署的示例实施例。此外,企业网络100可以包括任何数量或类型的资源,端点或网络设备可以访问和使用这些资源。本文提供的说明和示例是为了清楚和简单起见。
在本示例中,企业网络100包括管理云102和网络结构120。尽管在本示例中被示为网络结构120的外部网络或云,但管理云102可替代地或附加地驻留在组织场所或主机代管中心(除了由云提供商或类似环境托管之外)。管理云102可以提供用于构建和操作网络结构120的中央管理平面。管理云102可以负责转发配置和策略分发,以及设备管理和分析。管理云102可以包括一个或多个网络控制器装置104、一个或多个AAA装置106、无线网络基础设施设备108(例如WLC、EPC设备、4G/LTE或5G核心网络设备等)以及一个或多个更多结构控制平面节点110。在其他实施例中,管理云102的一个或多个元件可以与网络结构120同地协作。
网络控制器装置104可以用作一个或多个网络结构的命令和控制系统,并且可以容纳用于部署和管理网络结构的自动化工作流。网络控制器装置104可以包括自动化、设计、策略、配设和保证能力等,如下面关于图2进一步讨论的。在一些实施例中,一个或多个思科数字网络架构(Cisco DNATM)设备可以作为网络控制器装置104运行。
AAA装置106可以控制对计算资源的访问、促进网络策略的实施、审计使用以及提供对服务计费所需的信息。AAA装置可以与网络控制器装置104以及包含用户、设备、事物、策略、计费和类似信息的消息的数据库和目录交互,以提供认证、授权和记账服务。在一些实施例中,AAA装置106可以利用远程认证拨入用户服务(RADIUS)或Diameter来与设备和应用通信。在一些实施例中,一个或多个身份服务引擎(ISE)设备可以作为AAA装置106运行。
无线网络基础设施设备108可以支持附接到网络结构120的启用了结构的基站和接入点,以处理与WLC或4G/LTE或5G核心网络设备相关联的传统任务以及与结构控制平面的交互来进行无线端点注册和漫游。在一些实施例中,网络结构120可以实现如下无线部署:该无线部署将数据平面终端(例如,虚拟可扩展局域网(VXLAN))从集中位置(例如,具有先前的覆盖无线接入点控制和配设(CAPWAP)部署)移动到无线基站或接入点/结构边缘节点。这可以为无线流量启用分布式转发和分布式策略应用,同时保留集中配设和管理的优势。在一些实施例中,一个或多个控制器、/>无线控制器、无线局域网(LAN)和/或其他Cisco DNATM就绪的无线控制器可以作为无线网络基础设施设备108运行。
网络结构120可以包括结构边界节点122A和122B(统称为122)、结构中间节点124A-D(统称为124)和结构边缘节点126A-F(统称为126)。尽管在该示例中结构控制平面节点110被示为在网络结构120的外部,但是在其他实施例中,结构控制平面节点110可以与网络结构120同地协作。在结构控制平面节点110与网络结构120同地协作的实施例中,结构控制平面节点110可以包括专用节点或节点集,或者结构控制平面节点110的功能可以由结构边界节点122实现。
结构控制平面节点110可以用作中央数据库,用于在所有用户、设备和事物附接到网络结构120时以及在它们四处漫游时跟踪它们。结构控制平面节点110可以允许网络基础设施(例如,交换机、路由器、WLC等)查询数据库以确定附接到结构的用户、设备和事物的位置,而不是使用泛洪和学习机制。以这种方式,结构控制平面节点110可以作为关于附接到网络结构120的每个端点在任何时间点位于何处的单一事实源来运行。除了跟踪特定端点(例如,用于IPv4的/32地址、用于IPv6的/128地址等),结构控制平面节点110还可以跟踪更大的汇总路由器(例如,IP/掩码)。这种灵活性有助于跨结构站点进行汇总并提高整体可扩展性。
结构边界节点122可以将网络结构120连接到传统的层3网络(例如,非结构网络)或不同的结构站点。结构边界节点122还可以将上下文(例如,用户、设备或事物映射和身份)从一个结构站点转换到另一个结构站点或传统网络。当跨不同结构站点的封装相同时,结构上下文的转换一般是1:1映射的。结构边界节点122还可以与不同结构站点的结构控制平面节点交换可达性和策略信息。结构边界节点122还为内部网络和外部网络提供边界功能。内部边界可以通告一组已定义的已知子网,例如通向一组分支站点或数据中心的子网。另一方面,外部边界可以通告未知目的地(例如,在操作上类似于默认路由功能的互联网)。
结构中间节点124可以作为纯第3层转发器运行,纯第3层转发器将结构边界节点122连接到结构边缘节点126并为结构覆盖流量提供第3层支撑。
结构边缘节点126可以将端点连接到网络结构120,并且可以封装/解封装来自这些端点的流量并将流量转发到网络结构和从网络结构转发流量。结构边缘节点126可以在网络结构120的周边运行,并且可以是用于附接用户、设备和事物以及实施策略的第一点。在一些实施例中,网络结构120还可以包括结构扩展节点(未示出),用于将下游非结构第2层网络设备附接到网络结构120,从而扩展网络结构。例如,扩展节点可以是小型交换机(例如,紧凑型交换机、工业以太网交换机、楼宇自动化交换机等),它们通过第2层连接到结构边缘节点。连接到结构扩展节点的设备或事物可以使用结构边缘节点126来与外部子网通信。
在一些实施例中,可以在该结构站点中的每个结构边缘节点126上配设托管在结构站点中的所有子网。例如,如果在给定的结构站点中配设了子网10.10.10.0/24,则可以在该结构站点中的所有结构边缘节点126上定义该子网,并且可以将位于该子网中的端点放置在该结构中的任何结构边缘节点126上。这可以简化IP地址管理并允许部署更少但更大的子网。在一些实施例中,一个或多个Catalyst交换机、Cisco />交换机、Cisco />MS交换机、/>集成服务路由器(ISR)、/>聚合服务路由器(ASR)、/>企业网络计算系统(ENCS)、/>云服务虚拟路由器(CSRvs)、Cisco集成服务虚拟路由器(ISRvs)、Cisco />MX设备和/或其他Cisco DNATM就绪设备可以作为结构节点122、124和126运行。
企业网络100还可以包括有线端点130A、130C、130D和130F以及无线端点130B和130E(统称为130)。有线端点130A、130C、130D和130F可以分别通过线路连接到结构边缘节点126A、126C、126D和126F,并且无线端点130B和130E可以分别无线连接到无线基站和接入点128B和128E(统称为128),它们又可以分别通过线路连接到结构边缘节点126B和126E。在一些实施例中,接入点、Cisco />接入点、Cisco />MR接入点和/或其他Cisco DNATM就绪接入点可以作为无线基站和接入点128运行。
端点130可以包括通用计算设备(例如,服务器、工作站、台式计算机等)、移动计算设备(例如,膝上型电脑、平板电脑、移动电话等)、可穿戴设备(例如,手表、眼镜或其他头戴式显示器(HMD)、耳设备等)等。端点130还可以包括物联网(IoT)设备或装备,例如农业设备(例如,牲畜跟踪和管理系统、浇水设备、无人驾驶飞行器(UAV)等);已连接的汽车和其他车辆;智能家居传感器和设备(例如,警报系统、安全性相机、照明、电器、媒体播放器、HVAC设备、公用事业仪表、窗户、自动门、门铃、锁等);办公设备(例如,台式电话、复印机、传真机等);医疗保健设备(例如,起搏器、生物识别传感器、医疗设备等);工业设备(例如,机器人、工厂机械、建筑设备、工业传感器等);零售设备(例如,自动售货机、销售点(POS)设备、射频识别(RFID)标签等);智慧城市设备(例如,路灯、停车计时器、废物管理传感器等);运输和物流设备(例如,十字转门、租车跟踪器、导航设备、库存监视器等);等等。
在一些实施例中,网络结构120可以支持有线和无线接入作为单个集成基础设施的一部分,以使得有线和无线端点的连通性、移动性和策略实施行为相似或相同。这可以为独立于访问介质的用户、设备和事物带来统一的体验。
在集成的有线和无线部署中,控制平面集成可以通过无线网络基础设施设备108向结构控制平面节点110通知无线端点130的加入、漫游和断开连接来实现,以使得结构控制平面节点可以具有关于网络结构120中的有线和无线端点的连通性信息,并且可以用作连接到网络结构的端点的单一事实源。对于数据平面集成,无线网络基础设施设备108可以指示结构无线基站和接入点128形成到其相邻结构边缘节点126的VXLAN覆盖隧道。VXLAN隧道可以将分段和策略信息传送到结构边缘节点126和从结构边缘节点126传送,允许与有线端点相同或相似的连通性和功能。当无线端点130通过结构无线基站和接入点128加入网络结构120时,无线网络基础设施设备108可以将端点装载到网络结构120中并且通知结构控制平面节点110端点的介质访问控制(MAC)地址(或其他标识符)。无线网络基础设施设备108然后可以指示结构无线基站和接入点128形成到相邻结构边缘节点126的VXLAN覆盖隧道。接下来,无线端点130可以通过动态主机配置协议(DHCP)为自己获取IP地址。一旦完成,结构边缘节点126可以将无线端点130的IP地址注册到结构控制平面节点110以形成端点的MAC地址和IP地址之间的映射,并且进出无线端点130的流量可以开始流动。
图1B图示了用于企业网络的软件架构或逻辑架构200的示例。本领域普通技术人员将理解,对于本公开中讨论的逻辑架构200和任何系统,在类似或替代配置中可以存在额外或更少的组件。本公开中提供的说明和示例是为了简洁和清楚。其他实施例可以包括不同数量和/或类型的元件,但是本领域的普通技术人员将理解这样的变化不脱离本公开的范围。在该示例中,逻辑架构200包括管理层202、控制器层221、网络层231、物理层241和共享服务层251。
管理层202可以抽象其他层的复杂性和依赖关系,并向用户提供工具和工作流来管理企业网络(例如,企业网络100)。管理层202可以包括用户界面204、设计功能206、策略功能208、配设功能211、保证功能213、平台功能214和基础自动化功能。用户界面204可以为用户提供单点来管理和自动化网络。用户界面204可以在可由web浏览器访问的web应用/web服务器和/或可由桌面应用、移动应用、外壳(shell)程序或其他命令行接口(CLI)、应用编程接口(例如,静止状态传输(REST)、简单对象访问协议(SOAP)、面向服务的架构(SOA)等)和/或其他合适的接口(其中用户可以配置云管理的网络基础设施、设备和事物;提供用户偏好;指定策略,输入数据;审查统计数据;配置交互或操作;等等)访问的应用/应用服务器内实现。用户界面204还可以提供可见性信息,例如网络、网络基础设施、计算设备和事物的视图。例如,用户界面204可以提供网络的状态或条件、发生的操作、服务、性能、拓扑或布局、实现的协议、运行过程、错误、通知、警报、网络结构、正在进行的通信、数据分析等的视图。
设计功能206可以包括用于管理站点简档、地图和平面图、网络设置和IP地址管理等的工具和工作流。策略功能208可以包括用于定义和管理网络策略的工具和工作流。配设功能211可以包括用于部署网络的工具和工作流。保证功能213可以使用机器学习和分析通过从网络基础设施、端点和其他上下文信息源学习来提供网络的端到端可见性。平台功能214可以包括用于将网络管理系统与其他技术集成的工具和工作流。基本自动化功能可以包括支持策略功能208、配设功能211、保证功能213和平台功能214的工具和工作流。
在一些实施例中,设计功能206、策略功能208、配设功能211、保证功能213、平台功能214和基本自动化功能可以实现为微服务,其中各个软件功能在相互通信的多个容器中实现,而不是将所有工具和工作流合并到单个软件二进制中。设计功能206、策略功能208、配设功能211、保证功能213和平台功能214中的每一个可以被视为一组相关的自动化微服务,以涵盖设计、策略创作、配设、保证和网络生命周期的跨平台集成阶段。基本自动化功能可以通过允许用户执行某些网络范围的任务来支持顶级功能。
控制器层221可以包括用于管理层202的子系统并且可以包括网络控制平台222、网络数据平台224和AAA服务226。这些控制器子系统可以形成抽象层以隐藏管理许多网络设备和协议的复杂性和依赖关系。
网络控制平台222可以为网络层231和物理层241提供自动化和编排服务,并且可以包括设置、协议和表格以自动化网络和物理层的管理。例如,网络控制平台222可以提供设计功能206、策略功能208、配设功能211和平台功能214。此外,网络控制平台222可以包括用于以下的工具和工作流:发现交换机、路由器、无线控制器和其他网络设备(例如,网络发现工具);维护网络和端点详情、配置和软件版本(例如,库存管理工具);用于自动部署网络基础设施(例如,网络PnP工具)的即插即用(PnP),用于创建可视数据路径以加速连通性问题的故障排除的路径跟踪,用于自动化服务质量以优先考虑跨网络的应用的简单的QoS(Easy QoS),以及用于自动部署物理和虚拟网络服务的企业服务自动化(ESA),及其他。网络控制平台222可以使用网络配置(NETCONF)/又一个下一代(YANG)、简单网络管理协议(SNMP)、安全外壳(SSH)/远程登录(Telnet)等与网络设备通信。在一些实施例中,网络控制平台(NCP)可以作为网络控制平台222运行。
网络数据平台224可以提供网络数据收集、分析和保证,并且可以包括设置、协议和表格以监视和分析网络基础设施和连接到网络的端点。网络数据平台224可以从网络设备收集多种类型的信息,包括系统日志记录协议(“syslog”)、SNMP、NetFlow、交换端口分析器(SPAN)和流式遥测及其他。网络数据平台224还可以收集从网络设备共享的使用上下文信息。Syslog是一种协议,可用于将系统日志或事件消息发送到服务器(例如,syslog服务器)。syslog可以从各种设备收集日志以监视和查看数据。
在一些实施例中,一个或多个Cisco DNATM中心装置可以提供管理层202、网络控制平台222和网络数据平台224的功能。Cisco DNATM中心装置可以支持通过向现有集群添加额外Cisco DNATM中心节点的水平扩展性;硬件组件和软件包的高可用性;支持灾难发现场景的备份和存储机制;基于角色的访问控制机制,用于基于角色和范围对用户、设备和事物进行差异化访问;和可编程接口,用于实现与第三方供应商的集成。Cisco DNATM中心装置还可以连接云,以提供现有功能的升级以及新软件包和应用的添加,而无需手动下载和安装它们。
AAA服务226可以为网络层231和物理层241提供身份和策略服务,并且可以包括设置、协议和表格以支持端点识别和策略实现服务。AAA服务226可以提供工具和工作流来管理虚拟网络和安全组,并创建基于组的策略和合同。AAA服务226可以使用AAA/RADIUS、802.1X、MAC认证绕过(MAB)、网络认证和简单的连接(EasyConnect)等来识别和配置网络设备和端点。AAA服务226还可以收集和使用来自网络控制平台222、网络数据平台224和共享服务层251等的上下文信息。在一些实施例中,ISE可以提供AAA服务226。
网络层231可以被概念化为两个层的组合:底层234,包括物理和虚拟网络基础设施(例如,路由器、交换机、WLC等)和用于转发流量的第3层路由协议,以及覆盖232,包括用于逻辑连接有线和无线用户、设备和事物并将服务和策略应用到这些实体的虚拟拓扑。底层234的网络设备可以例如通过IP在彼此之间建立连通性。底层可以使用任何拓扑和路由协议。
在一些实施例中,网络控制器装置104可以提供局域网(LAN)自动化服务,例如由Cisco DNATM中心LAN自动化实现,以自动发现、配设和部署网络设备。一旦发现,自动底层配置服务可以利用即插即用(PnP)将所需的协议和网络地址配置应用到物理网络基础设施。在一些实施例中,LAN自动化服务可以实现中间系统到中间系统(IS-IS)协议。IS-IS的一些优点包括不依赖IP协议的邻居建立、使用环回地址的对等能力以及对IPv4、IPv6和非IP流量的不可知处理。
覆盖232可以是建立在物理底层234之上的逻辑虚拟化拓扑,并且可以包括结构数据平面、结构控制平面和结构策略平面。在一些实施例中,可以通过使用具有组策略选项(GPO)的虚拟可扩展LAN(VXLAN)的分组封装来创建结构数据平面。VXLAN-GPO的一些优点包括支持第2层和第3层虚拟拓扑(覆盖),以及在任何具有内置网络分段的IP网络上运行的能力。
在一些实施例中,结构控制平面可以实现定位器/标识符分离协议(LISP),用于逻辑映射和解析用户、设备和事物。LISP可以通过消除每个路由器处理每个可能的IP目的地地址和路由的需要来简化路由。LISP可以通过将远程目的地移动到集中式地图数据库来实现这一点,该集中式地图数据库允许每个路由器仅管理其本地路由并查询地图系统以定位目的地端点。
结构策略平面是可以将意图转换为网络策略的地方。也就是说,策略平面是网络运营商可以基于网络结构120提供的服务(例如安全分段服务、QoS、捕获/复制服务、应用可见性服务等)实例化逻辑网络策略的地方。
分段是一种方法或技术,用于将特定的用户或设备群组与其他群组分开,目的是减少拥塞、提高安全性、包含网络问题、控制访问等。如前所述,结构数据平面可以实现VXLAN封装,以通过使用分组报头中的虚拟网络标识符(VNID)和可扩展组标记(SGT)字段来提供网络分段。网络结构120可以支持宏分段和微分段。宏分段通过使用唯一的网络标识符和单独的转发表在逻辑上将网络拓扑分成更小的虚拟网络。这可以实例化为虚拟路由和转发(VRF)实例并称为虚拟网络(VN)。也就是说,VN是由第3层路由域定义的网络结构120内的逻辑网络实例,并且可以提供第2层和第3层服务(使用VNID来提供第2层和第3层分段)。微分段通过强制执行源到目的地的访问控制权限(例如通过使用访问控制列表(ACL)),在逻辑上分离VN内的用户或设备群组。可扩展群组是分配给网络结构120中的一组用户、设备或事物的逻辑对象标识符。它可以用作安全组ACL(SGACL)中的源和目的地分类器。SGT可用于提供地址不可知的基于群组的策略。
在一些实施例中,结构控制平面节点110可以实现定位符/标识符分离协议(LISP)以相互通信并与管理云102通信。因此,控制平面节点可以操作主机跟踪数据库、地图服务器和地图解析器。主机跟踪数据库可以跟踪连接到网络结构120的端点130并将端点与结构边缘节点126相关联,从而将端点的标识符(例如,IP或MAC地址)与其在网络中的位置(例如,最近的路由器)解耦。
物理层241可以包括各种网络设备,例如交换机和路由器110、122、124和126、无线网络基础设施设备108、无线基站和接入点128、网络控制器装置104、以及AAA装置106等。
共享服务层251可以提供到以下的接口:外部网络服务,例如云服务252;域名系统(DNS)、DHCP、IP地址管理(IPAM)和其他网络地址管理服务254;防火墙服务256;网络即传感器(NaaS)/加密威胁分析(ETA)服务258;和虚拟网络功能(VNF)260;及其他。管理层202和/或控制器层221可以使用API经由共享服务层251共享身份、策略、转发信息等。
图2图示了异构无线网络201的示例,例如能够通过Wi-Fi网络、蜂窝网络、CBRS和/或其他无线电网络提供用户设备(UE)设备网络接入的网络。在该示例中,异构无线网络201包括用户设备(UE)设备203(显示为圆圈)、CBRS设备(CBSD)210(例如,CBSD1和CBSD2)、CBRSAP 212(例如,CBRS AP 1、2、……、x)、公共无线电网络的基站220(例如,BS1、……、Bz)、Wi-Fi接入点230(例如,Wi-Fi AP1、2、……、y)、频谱接入系统(SAS)240、网络控制器250和公共IP网络260。一些CBSD 210可以包括CBRS AP 212。CBSD 210、BS220和Wi-Fi AP 230可以将UE设备203连接到公共IP网络260。公共IP网络260可以包括公共数据网络,例如互联网。
在图2中,至少一些UE设备203可以启用CBRS,以使得它们可以通过CBRS网络连接到公共IP网络260。例如,UE设备203可以附接到包括CBRS AP 212的CBRS网络。一些CBRS AP212可以是独立设备,例如CBRS AP 2和CBRS AP x,而其他设备可以与其他组件集成,并且是另一个设备的一部分,例如针对CBRS AP 1和CBRS AP 3的情况,其中CBRS AP 1是CBSD 1的一部分,而CBRS AP 3是CBSD 2的一部分。
CBSD 1还可以包括控制器(未示出)。包括控制器的CBSD可以是在通用移动电信系统(UMTS)标准中定义的演进型NodeB(eNodeB)。CBSD 2可以是集成的AP设备,其包括CBRSAP 3以及Wi-Fi AP 2。
SAS240可以作为CBSD 210和CBRS AP 212的控制器运行。SAS 240可以管理CBRS频谱并维护所有用户的频谱使用数据库,包括所有人口普查区域或地区的第1级用户、第2级用户和第3级用户(如表1所示)。SAS240可以使用各种规则将信道分配给CBRS AP 212。例如,SAS240可以考虑多个因素并向CBRS AP 212和CBSD 210通知操作参数,包括分配的频带、分配的信道和/或可以在给定时间点使用的最大有效全向辐射功率。SAS240还可以向FCC提供所需的300秒通知,告知企业(例如,第3级或GAA用户)需要从CBRS网络卸载其UE设备203。
当企业被迫卸载其UE设备203时,可以将UE设备203卸载到通过BS220提供的蜂窝网络或通过Wi-Fi AP 230提供的Wi-Fi网络。在图2中,作为示例,基于SAS240向CBSD 1提供的300秒通知,可以将附接到CBRS AP 1的一组UE设备203(带阴影的圆圈)从CBRS AP 1卸载到BSz。该组UE设备203可以继续通过BSz获得对公共IP网络260的访问并且被从CBRS网络卸载。根据另一示例实施例,可以将另一组UE设备203(例如,带交叉影线的圆圈)卸载到经由Wi-Fi AP y提供的Wi-Fi网络。
Wi-Fi AP 230可以由网络控制器250管理和控制。网络控制器250可以包括WLC。在一个示例实施例中,网络控制器250还可以包括互通功能(IWK)以管理CBRS AP 212或作为至少一些CBRS AP 212的控制器来运行。网络控制器250可以生成策略并推送策略到各种接入点来执行。例如,网络控制器250可以运行分析以开发CBRS卸载策略。然而,也可能的是,可以在CBSD 210或CBRS AP 212中的一个或多个内实现网络控制器250的一些或全部功能。
企业网络环境在不断发展。对移动和物联网(IoT)设备流量、软件即服务(SaaS)应用和云采用的需求更大。此外,安全性需求正在增加,某些应用可能需要优先级和优化才能正常运行。随着这种复杂性的增长,亟需降低成本和运营费用,同时提供高可用性和规模。
在这种不断发展的环境下,传统的WAN架构面临着重大挑战。传统的WAN架构通常包含多个多协议标签交换(MPLS)传输,或与以主动/备份方式使用的互联网或长期演进(LTE)链路配对的MPLS,最常见的是互联网或SaaS流量被回传到用于互联网访问的中央数据中心或区域枢纽。这些架构的问题可能包括带宽不足、带宽成本高、应用停机、SaaS性能差、操作复杂、用于云连通性的工作流复杂、部署时间长和策略更改、有限的应用可见性以及难以保护网络。
近年来,典型的防火墙具有许多访问控制规则。这些防火墙中的一些是由用户静态定义的,而一些则是基于安全性策略的决定动态添加的。在防火墙中设置这些规则包括诸如强制依赖拓扑之类的缺点,因为所有网络流量都需要被强制通过防火墙。网络流量必须在被丢弃之前完全发送到防火墙。这在安全性功能位于云中的情况下尤其低效,因为还存在广域网(WAN)带宽影响。
因此,需要利用网络来实现安全性策略的无状态方面而不造成能力、规模和/或日志记录损失。
图3图示了根据一些实施例的企业网络300的拓扑的示例。企业网络300可以包括云托管日志存储302、网络控制器304、安全性控制器306、防火墙308和网络设备310。在一些情况下,网络控制器304可以是思科数字网络架构(DNA)中心。在其他情况下,安全性控制器306可以是思科防御协调器(CDO)或火力管理中心(FMC)。
DNA中心304可以提供管理层、网络控制平台和网络数据平台的功能。DNA中心304还可以支持通过向现有集群添加额外DNA中心节点的水平扩展性;硬件组件和软件包的高可用性;支持灾难发现场景的备份和存储机制;基于角色的访问控制机制,用于基于角色和范围对用户、设备和事物进行差异化访问;和可编程接口,用于实现与第三方供应商的集成。DNA中心304还可以与云连接,以提供现有功能的升级以及新软件包和应用的添加,而无需手动下载和安装它们。
DNA中心304还可以是用于基于意图的网络的网络管理系统、控制器和分析平台。除了设备管理和配置之外,DNA中心304还可以提供如下能力:通过使用软件定义访问(SD-Access)的策略来控制访问、通过Cisco DNA自动化来自动配设、通过网络功能虚拟化(NFV)来虚拟化设备、以及通过分段和加密流量分析(ETA)来降低安全性风险。
此外,DNA中心304可以包括DNA保证,它可以从网络周围的设备收集流式遥测数据,并使用人工智能(AI)和机器学习来帮助确保网络操作与业务意图的一致性。这样一来,DNA保证可以优化网络性能、实现网络策略并减少故障排除任务所花费的时间。DNA中心304可以利用广泛的合作伙伴和独立软件供应商(ISV)生态系统提供360度可扩展性,以使得网络更加灵活并完全符合业务优先级。
在一些情况下,企业网络300的CDO 306可以是基于云的多设备管理器,其有助于在高度分布式环境中管理安全性策略以实现一致的策略实现。CDO 306可以通过识别与安全性策略的不一致性并通过提供用于修复它们的工具来帮助优化安全性策略。CDO 306还可以提供共享对象和策略以及制作配置模板的方式,以提升跨设备的策略一致性。因为CDO306可以与本地设备管理器(例如自适应安全设备管理器(ASDM)、火力设备管理器(FDM)和SSH连接)共存,所以CDO 306可以跟踪CDO 306和其他管理器所做的配置更改。CDO 306还可以包括直观的用户界面,该用户界面允许在一个地方管理各种各样的设备。
CDO 306可以使用称为安全设备连接器(SDC)的代理与受管设备通信。每个租户可能包括自己的专用SDC。SDC可以监视CDO 306以获取可以在受管设备上执行的命令和消息。SDC可以进一步监视受管设备以获取可以提供给CDO 306的消息。SDC可以代表CDO 306执行命令并且代表受管设备向CDO 306提供消息。当设备被载入CDO 306时,设备的登录凭证可以被加密并存储在SDC上。在其他情况下,SDC可以访问设备凭证而不是CDO 306。
在其他情况下,DNA中心304可以进一步与CDO 306交换对象成员资格。然后CDO306可以将策略提供给防火墙308以编程安全性策略。CDO 306可以启用的策略包括分段策略、L7防火墙策略、入侵防御系统(IPS)策略、文件检查策略、统一资源定位符(URL)过滤策略、安全套接字层(SSL)解密策略、或任何适合预期目的并为本领域普通技术人员所理解的其他策略。
在一些情况下,企业网络300可以包括分发安全性策略的无状态方面,这可以包括以下好处:1)使防火墙308卸载;2)丢弃最接近源的网络流量,从而节省带宽和防火墙计算资源;3)扩大规模。与防火墙上的集中部署相比,企业网络300的利用也可以在不损失任何能力的情况下执行,特别是在日志记录方面。
在其他情况下,网络控制器304可以与安全性控制器306建立通信通道以交换信息(例如,安全性策略–流处置)。企业网络300可以包括网络控制器304(例如,DNA-C/v管理)并从安全性控制器306接收规则。网络控制器304然后可以将无状态L2/L3/L4访问控制列表(ACL)策略推送到网络设备310。网络设备310可以包括接入交换机、无线LAN控制器、分支边缘路由器、或适合预期目的并且为本领域普通技术人员所理解的任何其他网络设备。
通过向网络设备310提供无状态策略,可以在最接近网络流量源的地方丢弃网络流量。在一些情况中,网络控制器304可以将整个交换层次结构视为用于实现ACL的资源池。网络控制器304可以进一步基于资源可用性(例如,三元内容可寻址存储器(TCAM))向层次结构中的对应网络设备310(例如,交换机)提供规则/策略。
图4图示了根据一些实施例的网络设备310和云日志存储302的拓扑的示例。
在一些情况下,可以在企业网络300中实现防火墙308对流的处置。如果流被判定为恶意的或安全的并且处置完成,则可以由网络控制器304将该判定推送到网络设备310(例如,交换机/路由器/无线LAN控制器)来由网络设备310实现。可能存在与此相关的超时,这可能导致规则被周期性地从数据路径高速缓存中移除。
一旦这些规则/功能已经由网络设备310(例如,网络节点)实现,就可以利用网络流(NetFlow)表来实现特定级别的日志记录支持。企业网络300可以包括基于NetFlow的机制,用于对实现许可和丢弃的访问控制列表(ACL)进行跟踪,该机制包括优于基于ACL日志记录的选项的许多优点。基于NetFlow的机制可以是路由器的特征,它提供在网络数据流量进入或离开接口时收集网络数据流量的能力。通过分析基于NetFlow的机制提供的网络数据,网络管理员可以确定网络信息,例如网络流量的来源和目的地、服务类别以及拥塞的原因。
在一些情况下,企业网络300的基于NetFlow的机制可以跟踪可能以线路速率丢弃的流。基于NetFlow的日志记录机制还可以提供丰富的详情,例如流大小和流持续时间,以及诸如Src/Dst IP和端口之类的分组信息,这些信息在其他选项中是缺失的。基于NetFlow的机制可以高效地为IP应用提供服务,包括网络流量记账、基于使用的网络计费、网络规划、安全性、拒绝服务监视能力和网络监视。基于NetFlow的机制可以提供有关网络用户和应用、高峰使用时间和流量路由的有价值的信息。基于NetFlow的机制可以是一种灵活且可扩展的方法来记录网络性能数据。
在其他情况下,基于NetFlow的机制可以在每个流级别而不是在每个分组的基础上跟踪分组。例如,可以在每个流的基础上生成一个日志,而不管针对该特定流看到多少分组。使用基于NetFlow的机制可以包括上述优势,这些优势优于ACL日志记录机制,ACL日志记录机制是无状态的并且为每个分组生成日志。
交换机能够直接在硬件中丢弃流量(例如,“阻挡(block)”分组),而无需软件的帮助。然而,当要记录丢弃的数据分组时,可以检查/收集整个数据分组(例如,使用软件)以获得关于丢弃的数据分组的细节。例如,丢弃的数据分组的细节可以包括元数据,例如容量、速率、源、目的地和协议信息。可以进一步检查数据分组,以便可以生成适当的用户友好日志,并且如果需要的话,可以将其上传到云日志存储。
这可能是一个不可靠且资源密集的过程,因为硬件可能会丢弃大量数据分组,而主CPU上的软件会检查并记录这些数据分组。使用这种类型的机制来丢弃高速率流量不仅会导致不可靠的日志记录(例如,丢失的流或有关流的不正确数据(例如,体积和速率)),它还可能导致CPU以高利用率运行,从而影响整个系统的稳定性。
在此描述的基于流的硬件辅助机制可以通过硬件管理“元数据的检查/收集”部分而无需软件干预的帮助。收集到的数据可以单独发送到软件以打印日志并将日志导出到外部日志存储。通过利用基于流的硬件分配机制,不是仅丢弃流量,而是能够完全由硬件跟踪被丢弃的流量的元数据,而使用软件显示日志/导出。
硬件生成的记录也可以与可能导致软件中丢弃的访问控制实体(ACE)/ACL相关联。硬件还可以提供由丢弃引起的规则ID。虽然规则ID可以是内部硬件特定ID,但规则ID可以反向映射到软件中的相应ACL规则,该规则也映射到硬件中的ID。IP分组可以在现有的匹配标准约束内被丢弃。与ACL日志方法相反,ACL日志方法受到规模限制,无法量化,因为它直接取决于网络流量类型。
下表说明了日志生成通常所需的信息以及基于NetFlow的方法可以生成的信息的示例:
如上表所示,基于NetFlow的机制可以生成包括SGT、DGT、源IP、目的地IP、源接口和指示丢弃的流的标记的日志。基于NetFlow生成的日志可被进一步补充以包括与ACE条目和ACL名称相关的信息。在其他情况下,基于NetFlow生成的日志可以包括流遥测、容量、持续期间和开始/结束时间。
如图4所示,在步骤(1),可在安全性ACL级将兼容的防火墙规则编程到网络设备310的硬件中。在步骤(2),NetFlow硬件还可以针对实施的规则生成包括元数据的日志。元数据的示例包含在上面引用的表格中。可以直接从数据分组获得的详情包括:源IP、目的地IP以及端口和协议详情。可以从与数据分组相关的网络节点内部获得/接收的数据可以包括:SGT、DGT、ACE条目、ACL名称、流遥测、容量、持续期间和开始/结束时间。
实施的规则可以包括由于数据分组匹配其所有实施标准而对该数据分组实施的规则。在任何给定的节点上都可能有数千条规则。但是,如果只有单个规则匹配数据分组,则可能不会为未实施/未匹配的规则生成数据。实施的规则也可以称为“匹配的规则”。
在一些情况下,安全性ACL级和NetFlow硬件可以通信地耦合到总线(BUS)。在其他情况下,在步骤(3),网络设备310的ACL基础设施可以对来自硬件的规则进行编程并通知基于NetFlow的机制。在步骤(4),基于NetFlow的机制(例如,软件)可以相应地对硬件进行编程并且将生成的日志提供(例如,上传)到云日志存储302。在一些情况下,在步骤(5),如图3所示,云日志存储302可以聚合来自防火墙308和网络设备310(例如,网络节点)的日志。
已经公开了一些示例系统组件和概念,本公开现在转向图5,其图示了用于实现安全性策略的示例方法500。本文概述的步骤是示例性的并且可以以其任何组合来实现,包括排除、添加或修改某些步骤的组合。
在步骤502,方法500可以包括在网络设备处从企业网络的安全性控制器接收第一组规则,第一组规则不同于由安全性控制器提供给防火墙的第二组规则。
在一些情况下,可以通过网络控制器将第一组规则从安全性控制器路由到网络设备。
在其他情况下,网络设备的第一组规则和防火墙的第二组规则可以划分网络流量以使防火墙卸载、将网络流量丢弃到最近的源或扩大规模。
在步骤504,方法500可以包括在网络设备处实现从安全性控制器接收的第一组规则。
在一些情况下,第一组规则的实现可以发生在网络设备的安全性访问控制列表级。在其他情况下,安全性访问控制列表级可以向NetFlow通知第一日志。
在步骤506,方法500可以包括在网络设备处基于第一组规则生成包括元数据的第一日志,第一日志是在每个流的基础上生成的。
在步骤508,方法500可以包括在网络设备处向NetFlow通知第一组规则的包括元数据的第一日志。在其他情况下,方法500可以包括在网络设备处向系统日志(syslog)通知第一组规则的包括元数据的第一日志。系统日志也可以是适用于预期目的并为本领域普通技术人员所理解的任何其他机制。可以将第一组规则的包括元数据的第一日志通知给NetFlow和/或syslog。
在步骤510,方法500可以包括通过网络设备的NetFlow将第一日志从网络设备提供给云日志存储,云日志存储接收来自网络设备的第一日志以及来自防火墙的第二日志。在其他情况下,方法500可以包括通过网络设备的系统日志或适合预期目的并且为本领域普通技术人员所理解的任何其他机制将第一日志提供到云日志存储。第一日志也可以由NetFlow和/或系统日志提供给云日志存储。云日志存储可以接收来自网络设备的系统日志的第一日志和来自防火墙的第二日志。
方法500还可以包括由NetFlow对第一日志进行补充以包括指示丢弃的流的标记。在一些情况下,经补充的第一日志还可以包括网络流量流的流遥测、容量或持续期间中的至少一个。
图6进一步图示了网络设备600(例如,交换机、路由器、网络装置等)的示例。网络设备600可以包括主中央处理单元(CPU)602、接口604和总线606(例如,PCI总线)。当在适当的软件或固件的控制下动作时,CPU 602可以负责执行分组管理、错误检测和/或路由功能。CPU 602优选地在包括操作系统和任何适当应用软件的软件控制下完成所有这些功能。CPU602可以包括一个或多个处理器608,例如来自摩托罗拉(Motorola)微处理器家族或MIPS微处理器家族的处理器。在替代实施例中,处理器608可以是专门设计的用于控制网络设备600的操作的硬件。在实施例中,存储器610(例如非易失性RAM和/或ROM)也可以形成CPU602的一部分。然而,存在可以将存储器耦合到系统的许多不同方式。
企业网络可以通过某些增强来满足上述和其他安全要求。例如,企业网络可以在认证、授权和计费(AAA)服务器中创建国际移动用户身份(IMSI)白名单。除了SIM认证之外,企业网络还可以维护包含企业配设的设备的IMSI的AAA服务器。在初始认证之后,分组数据网络网关(PGW)可以使用本地设备验证IMSI。企业还可以为(非嵌入式)SIM卡创建IMSI到国际移动设备身份(IMEI)的映射。云托管的认证系统可以维护IMSI和IMEI之间的映射。这种映射可以由企业网络控制。这可以确保设备和SIM之间的绑定。认证后,移动核心可以请求IMEI。它可以进一步检查IMEI是否映射到IMSI。企业网络还可以基于设备策略部署虚拟路由和转发(VRF)实例。PGW可以将用户流量通过隧道传送到特定的VRF。
接口604可以作为接口卡(有时称为线卡)来提供。接口604可以控制网络上数据分组的发送和接收,并且有时支持与网络设备600一起使用的其他外围设备。可以提供的接口包括以太网接口、帧中继接口、线缆接口、数字用户线(DSL)接口、令牌环接口等。此外,可以提供各种超高速接口,例如快速令牌环接口、无线接口、以太网接口、千兆以太网接口、异步传输模式(ATM)接口、高速串行接口(HSSI)、SONET上分组(POS)接口、光纤分布式数据接口(FDDI)等。接口604可以包括适合与适当介质通信的端口。在一些情况下,接口604还可以包括独立的处理器,并且在一些情况下,还包括易失性RAM。独立处理器可以控制通信密集型任务,例如分组交换、介质控制和管理。通过为通信密集型任务提供单独的处理器,接口604可以允许CPU 602有效地执行路由计算、网络诊断、安全性功能等。
尽管图6所示的系统是实施例的网络设备的示例,但它绝不是唯一可以在其上实现本主题技术的网络设备架构。例如,也可以使用具有能够处理通信以及路由计算和其他网络功能的单个处理器的架构。此外,其他类型的接口和介质也可以与网络设备600一起使用。
不管网络设备的配置如何,它都可以采用一个或多个存储器或存储器模块(包括存储器610),该存储器或存储器模块被配置为存储用于通用网络操作的程序指令和用于本文描述的漫游、路由优化和路由功能的机制。程序指令可以控制操作系统和/或一个或多个应用的操作。一个或多个存储器还可以被配置为存储诸如移动性绑定、注册和关联表之类的表。
图7A和7B示出了根据各种实施例的系统。当实践各种实施例时,更合适的系统对于本领域普通技术人员将是显而易见的。本领域普通技术人员也将容易理解其他系统也是可能的。
图7A图示了总线计算系统700的示例,其中系统的组件使用总线705彼此电通信。计算系统700可以包括处理单元(CPU或处理器)710和系统总线705,其可以将包括系统存储器715的各种系统组件(例如只读存储器(ROM)720和随机存取存储器(RAM)725)耦合到处理器710。计算系统700可以包括高速存储器的高速缓存712,其直接连接到处理器710、靠近处理器710或集成为处理器710的一部分。计算系统700可以将数据从存储器715、ROM 720、RAM725和/或存储设备730复制到高速缓存712以供处理器710快速访问。这样一来,高速缓存712可以提供性能提升,避免在等待数据时的处理器延迟。这些和其他模块可以控制处理器710执行各种动作。其他系统存储器715也可以使用。存储器715可以包括具有不同性能特性的多种不同类型的存储器。处理器710可以包括任何通用处理器和硬件模块或软件模块,例如存储在存储设备730中的模块1732、模块2 734和模块3 736,被配置为控制处理器710以及专用处理器,在专用处理器中软件指令被合并到实际的处理器设计中。处理器710本质上可以是完全独立的计算系统,包含多个核心或处理器、总线、存储器控制器、高速缓存等。多核心处理器可以是对称的或不对称的。
为了使用户能够与计算系统700交互,输入设备745可以表示任意数量的输入机制,例如用于语音的麦克风、用于手势或图形输入的触摸保护屏幕、键盘、鼠标、动作输入、语音等等。输出设备735也可以是本领域技术人员已知的多种输出机构中的一种或多种。在一些情况下,多模系统可以使用户能够提供多种类型的输入以与计算系统700通信。通信接口740可以支配和管理用户输入和系统输出。对在任何特定硬件布置上的操作可能没有限制,因此这里的基本特征可以很容易地替换为正在开发的改进的硬件或固件布置。
存储设备730可以是非易失性存储器并且可以是硬盘或可以存储可由计算机访问的数据的其他类型的计算机可读介质,例如磁带盒、闪存卡、固态存储器设备、数字多功能盘、盒式磁带、随机存取存储器、只读存储器及其混合。
如上所述,存储设备730可以包括用于控制处理器710的软件模块732、734、736。可以设想其他硬件或软件模块。存储设备730可以连接到系统总线705。在一些实施例中,执行特定功能的硬件模块可以包括存储在计算机可读介质中的软件组件,该计算机可读介质与诸如处理器710、总线705、输出设备735之类的必要硬件组件相连以执行该功能。
图7B图示了可以根据实施例使用的芯片组计算系统750的示例架构。计算系统750可以包括处理器755,其代表能够执行被配置为执行标识的计算的软件、固件和硬件的任意数量的物理和/或逻辑上不同的资源。处理器755可以与芯片组760通信,芯片组760可以控制处理器755的输入和输出。在这个示例中,芯片组760可以将信息输出到诸如显示器之类的输出设备765,并且可以读取和写入信息到存储器设备770,其可以包括磁性介质、固态介质和其他合适的存储介质。芯片组760还可以从RAM 775读取数据和向RAM 775写入数据。可以提供用于与各种用户接口组件785接口的桥780以与芯片组760接口连接。用户接口组件785可以包括键盘、麦克风、触摸检测和处理电路、诸如鼠标之类的指点设备等。对计算系统750的输入可以来自机器产生的和/或人产生的各种来源中的任何一种。
芯片组760还可以与一个或多个可以具有不同物理接口的通信接口790接口连接。通信接口790可以包括用于有线和无线LAN、用于宽带无线网络以及个域网的接口。用于生成、显示和使用本文公开的技术的方法的一些应用可以包括通过物理接口接收有序数据集,或者通过处理器755分析存储在存储设备770或RAM 775中的数据由机器本身生成。此外,计算系统750可以通过用户接口组件785接收来自用户的输入并且通过使用处理器755解释这些输入来执行适当的功能,例如浏览功能。
应当理解,计算系统700和750可以分别具有多于一个处理器710和755,或者是联网在一起以提供更大处理能力的计算设备的群组或集群的一部分。
为了解释的清楚起见,在某些情况下,各种实施例可以被呈现为包括单独的功能块,包括包含设备、设备组件、以软件或硬件和软件的组合实现的方法中的步骤或例程的功能块。
在一些实施例中,计算机可读存储设备、介质和存储器可以包括包含比特流等的线缆或无线信号。然而,当提及时,非暂态计算机可读存储介质明确排除诸如能量、载波信号、电磁波和信号本身之类的介质。
根据上述示例的方法可以使用计算机可执行的指令来实现,这些指令存储在计算机可读介质中或以其他方式可从计算机可读介质中获得。这样的指令可以包括例如导致或以其他方式配置通用计算机、专用计算机或专用处理设备以执行特定功能或功能群组的指令和数据。使用的部分计算机资源可以通过网络访问。计算机可执行指令可以是例如二进制、中间格式指令,例如汇编语言、固件或源代码。可用于存储指令、使用的信息和/或在根据所述示例的方法期间创建的信息的计算机可读介质的示例包括磁盘或光盘、闪存、配设有非易失性存储器的USB设备、联网的存储设备等等。
实现根据这些公开的方法的设备可以包括硬件、固件和/或软件,并且可以采用多种外形因子中的任何一种。这种外形因子的一些示例包括通用计算设备,例如服务器、机架安装设备、台式计算机、膝上型计算机等,或通用移动计算设备,例如平板电脑、智能手机、个人数字助理、可穿戴设备等等。这里描述的功能也可以体现在外围设备或附加卡中。作为进一步的示例,这种功能还可以在不同芯片或在单个设备中执行的不同过程之间的电路板上实现。
指令、用于传送此类指令的介质、用于执行它们的计算资源以及用于支持此类计算资源的其他结构是用于提供这些公开中描述的功能的手段。
尽管使用各种示例和其他信息来解释所附权利要求范围内的方面,但不应基于此类示例中的特定特征或布置来暗示对权利要求的限制,因为普通技术人员将能够使用这些示例来得出各种各样的实现方式。此外,尽管可能已经以特定于结构特征和/或方法步骤的示例的语言描述了一些主题,但应理解,在所附权利要求中定义的主题不一定限于这些描述的特征或动作。例如,这样的功能可以以不同方式分布或在不同于本文所标识的那些组件中执行。相反,所描述的特征和步骤被公开为所附权利要求范围内的系统和方法的组成部分的示例。
Claims (28)
1.一种计算机实现的方法,包括:
在网络设备处从企业网络的安全性控制器接收第一组规则,所述第一组规则不同于由所述安全性控制器提供给防火墙的第二组规则;
在所述网络设备处实现从所述安全性控制器接收的所述第一组规则;
在所述网络设备处基于所述第一组规则生成包括元数据的第一日志,所述第一日志是在每个流的基础上生成的;
在所述网络设备处向网络流通知所述第一组规则的包括元数据的第一日志;和
通过所述网络设备的所述网络流将所述第一日志从所述网络设备提供给云日志存储,所述云日志存储接收来自所述网络设备的所述第一日志和来自所述防火墙的第二日志,
所述网络流是一种日志记录机制。
2.如权利要求1所述的计算机实现的方法,其中,所述第一组规则被通过网络控制器从安全性控制器路由到所述网络设备。
3.如权利要求1所述的计算机实现的方法,其中,所述网络设备的所述第一组规则和所述防火墙的所述第二组规则划分网络流量以使所述防火墙卸载、将网络流量丢弃到最近的源或扩大规模。
4.如权利要求1所述的计算机实现的方法,其中,所述第一组规则的实现发生在所述网络设备的安全性访问控制列表级。
5.如权利要求4所述的计算机实现的方法,其中,所述安全性访问控制列表级将所述第一日志通知给所述网络流。
6.如权利要求1至5中任一项所述的计算机实现的方法,还包括由所述网络流对所述第一日志进行补充以包括指示丢弃的流的标记。
7.如权利要求6所述的计算机实现的方法,其中,经补充的第一日志还包括网络流量的流的流遥测、容量或持续期间中的至少一个。
8. 一种用于计算机网络的系统,包括:
一个或多个处理器;和
至少一个计算机可读存储介质,其中存储有指令,所述指令当由所述一个或多个处理器执行时,使得所述系统:
在网络设备处从企业网络的安全性控制器接收第一组规则,所述第一组规则不同于由所述安全性控制器提供给防火墙的第二组规则;
在所述网络设备处实现从所述安全性控制器接收的所述第一组规则;
在所述网络设备处基于所述第一组规则生成包括元数据的第一日志,所述第一日志是在每个流的基础上生成的;
在所述网络设备处向网络流通知所述第一组规则的包括元数据的第一日志;和
通过所述网络设备的所述网络流将所述第一日志从所述网络设备提供给云日志存储,所述云日志存储接收来自所述网络设备的所述第一日志和来自所述防火墙的第二日志,
所述网络流是一种日志记录机制。
9.如权利要求8所述的系统,其中,所述第一组规则被通过网络控制器从安全性控制器路由到所述网络设备。
10.如权利要求8所述的系统,其中,所述网络设备的所述第一组规则和所述防火墙的所述第二组规则划分网络流量以使所述防火墙卸载、将网络流量丢弃到最近的源或扩大规模。
11.如权利要求8所述的系统,其中,所述第一组规则的实现发生在所述网络设备的安全性访问控制列表级。
12.如权利要求11所述的系统,其中,所述安全性访问控制列表级将所述第一日志通知给所述网络流。
13.如权利要求8至12中任一项所述的系统,所述指令当由所述一个或多个处理器执行时,使得所述系统通过所述网络流对所述第一日志进行补充以包括指示丢弃的流的标记。
14.如权利要求13所述的系统,其中,经补充的第一日志还包括网络流量的流的流遥测、容量或持续期间中的至少一个。
15.一种非暂态计算机可读存储介质,包括:
存储在所述非暂态计算机可读存储介质上的指令,所述指令当由一个或多个处理器执行时,使得所述一个或多个处理器执行以下操作:
在网络设备处从企业网络的安全性控制器接收第一组规则,所述第一组规则不同于由所述安全性控制器提供给防火墙的第二组规则;
在所述网络设备处实现从所述安全性控制器接收的所述第一组规则;
在所述网络设备处基于所述第一组规则生成包括元数据的第一日志,所述第一日志是在每个流的基础上生成的;
在所述网络设备处向网络流通知所述第一组规则的包括元数据的第一日志;和
通过所述网络设备的所述网络流将所述第一日志从所述网络设备提供给云日志存储,所述云日志存储接收来自所述网络设备的所述第一日志和来自所述防火墙的第二日志,
所述网络流是一种日志记录机制。
16.如权利要求15所述的非暂态计算机可读存储介质,其中,所述第一组规则被通过网络控制器从安全性控制器路由到所述网络设备。
17.如权利要求15所述的非暂态计算机可读存储介质,其中,所述网络设备的所述第一组规则和所述防火墙的所述第二组规则划分网络流量以使所述防火墙卸载、将网络流量丢弃到最近的源或扩大规模。
18.如权利要求15所述的非暂态计算机可读存储介质,其中,所述第一组规则的实现发生在所述网络设备的安全性访问控制列表级。
19.如权利要求18所述的非暂态计算机可读存储介质,其中,所述安全性访问控制列表级将所述第一日志通知给所述网络流。
20.如权利要求15至19中任一项所述的非暂态计算机可读存储介质,其中,所述指令当由所述一个或多个处理器执行时,使得所述一个或多个处理器通过所述网络流对所述第一日志进行补充以包括指示丢弃的流的标记,其中,经补充的第一日志还包括网络流量的流的流遥测、容量或持续期间中的至少一个。
21.一种用于计算机网络的设备,包括:
用于在网络设备处从企业网络的安全性控制器接收第一组规则的装置,所述第一组规则不同于由所述安全性控制器提供给防火墙的第二组规则;
用于在所述网络设备处实现从所述安全性控制器接收的所述第一组规则的装置;
用于在所述网络设备处基于所述第一组规则生成包括元数据的第一日志的装置,所述第一日志是在每个流的基础上生成的;
用于在所述网络设备处向网络流通知所述第一组规则的包括元数据的第一日志的装置;和
用于通过所述网络设备的所述网络流将所述第一日志从所述网络设备提供给云日志存储的装置,所述云日志存储接收来自所述网络设备的所述第一日志和来自所述防火墙的第二日志,
所述网络流是一种日志记录机制。
22.如权利要求21所述的设备,其中,所述第一组规则被通过网络控制器从安全性控制器路由到所述网络设备。
23.如权利要求21所述的设备,其中,所述网络设备的所述第一组规则和所述防火墙的所述第二组规则划分网络流量以使所述防火墙卸载、将网络流量丢弃到最近的源或扩大规模。
24.如权利要求21所述的设备,其中,所述第一组规则的实现发生在所述网络设备的安全性访问控制列表级。
25.如权利要求24所述的设备,其中,所述安全性访问控制列表级将所述第一日志通知给所述网络流。
26.如权利要求21至25中任一项所述的设备,还包括用于由所述网络流对所述第一日志进行补充以包括指示丢弃的流的标记的装置。
27.如权利要求26所述的设备,其中,经补充的第一日志还包括网络流量的流的流遥测、容量或持续期间中的至少一个。
28.一种计算机可读介质,存储有指令,所述指令当由计算机执行时,使得所述计算机执行如权利要求1至7中任一项所述的方法的步骤。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201962923986P | 2019-10-21 | 2019-10-21 | |
| US62/923,986 | 2019-10-21 | ||
| US16/985,664 | 2020-08-05 | ||
| US16/985,664 US11483290B2 (en) | 2019-10-21 | 2020-08-05 | Distribution of stateless security functions |
| PCT/US2020/055097 WO2021080800A1 (en) | 2019-10-21 | 2020-10-09 | Distribution of stateless security functions |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114365454A CN114365454A (zh) | 2022-04-15 |
| CN114365454B true CN114365454B (zh) | 2024-05-31 |
Family
ID=75490811
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202080063039.1A Active CN114365454B (zh) | 2019-10-21 | 2020-10-09 | 无状态安全功能的分布 |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US11483290B2 (zh) |
| EP (1) | EP4049427B1 (zh) |
| CN (1) | CN114365454B (zh) |
| WO (1) | WO2021080800A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11848909B2 (en) * | 2021-09-21 | 2023-12-19 | Nokia Technologies Oy | Restricting onboard traffic |
| US11924036B1 (en) * | 2023-04-10 | 2024-03-05 | Cisco Technology, Inc. | Automatic SAAS optimization |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1925423A (zh) * | 2005-08-30 | 2007-03-07 | 飞塔信息科技(北京)有限公司 | 具有对网络流量进行解析功能的日志装置、系统与方法 |
| CN104780096A (zh) * | 2012-06-06 | 2015-07-15 | 瞻博网络公司 | 针对虚拟网络分组流的物理路径确定 |
| US9553845B1 (en) * | 2013-09-30 | 2017-01-24 | F5 Networks, Inc. | Methods for validating and testing firewalls and devices thereof |
| CN107431712A (zh) * | 2015-03-30 | 2017-12-01 | 亚马逊技术股份有限公司 | 用于多租户环境的网络流日志 |
| CN110291764A (zh) * | 2016-12-22 | 2019-09-27 | Nicira股份有限公司 | 识别和调整无效的防火墙规则 |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140075557A1 (en) * | 2012-09-11 | 2014-03-13 | Netflow Logic Corporation | Streaming Method and System for Processing Network Metadata |
| US9392010B2 (en) * | 2011-11-07 | 2016-07-12 | Netflow Logic Corporation | Streaming method and system for processing network metadata |
| US9369431B1 (en) | 2013-02-07 | 2016-06-14 | Infoblox Inc. | Security device controller |
| US9374383B2 (en) * | 2014-10-21 | 2016-06-21 | Cisco Technology, Inc. | Events from network flows |
| US9787641B2 (en) | 2015-06-30 | 2017-10-10 | Nicira, Inc. | Firewall rule management |
| US10021070B2 (en) | 2015-12-22 | 2018-07-10 | Cisco Technology, Inc. | Method and apparatus for federated firewall security |
| US10375121B2 (en) | 2016-06-23 | 2019-08-06 | Vmware, Inc. | Micro-segmentation in virtualized computing environments |
| US10616279B2 (en) * | 2016-08-30 | 2020-04-07 | Nicira, Inc. | Adaptable network event monitoring configuration in datacenters |
| US10567440B2 (en) * | 2016-12-16 | 2020-02-18 | Nicira, Inc. | Providing application visibility for micro-segmentation of a network deployment |
| US20180191766A1 (en) * | 2017-01-04 | 2018-07-05 | Ziften Technologies, Inc. | Dynamic assessment and control of system activity |
| US10855705B2 (en) * | 2017-09-29 | 2020-12-01 | Cisco Technology, Inc. | Enhanced flow-based computer network threat detection |
-
2020
- 2020-08-05 US US16/985,664 patent/US11483290B2/en active Active
- 2020-10-09 CN CN202080063039.1A patent/CN114365454B/zh active Active
- 2020-10-09 EP EP20799949.1A patent/EP4049427B1/en active Active
- 2020-10-09 WO PCT/US2020/055097 patent/WO2021080800A1/en unknown
-
2022
- 2022-09-14 US US17/932,092 patent/US11985110B2/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1925423A (zh) * | 2005-08-30 | 2007-03-07 | 飞塔信息科技(北京)有限公司 | 具有对网络流量进行解析功能的日志装置、系统与方法 |
| CN104780096A (zh) * | 2012-06-06 | 2015-07-15 | 瞻博网络公司 | 针对虚拟网络分组流的物理路径确定 |
| US9553845B1 (en) * | 2013-09-30 | 2017-01-24 | F5 Networks, Inc. | Methods for validating and testing firewalls and devices thereof |
| CN107431712A (zh) * | 2015-03-30 | 2017-12-01 | 亚马逊技术股份有限公司 | 用于多租户环境的网络流日志 |
| CN110291764A (zh) * | 2016-12-22 | 2019-09-27 | Nicira股份有限公司 | 识别和调整无效的防火墙规则 |
Non-Patent Citations (2)
| Title |
|---|
| José Suárez-Varela ; Pere Barlet-Ros.Towards a NetFlow Implementation for OpenFlow Software-Defined Networks.2017 29th International Teletraffic Congress (ITC 29).2017,全文. * |
| 高速网络环境下基于NetFlow的网络监测系统设计;周韶泽, 邵力耕;大连铁道学院学报(第02期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| US11985110B2 (en) | 2024-05-14 |
| EP4049427A1 (en) | 2022-08-31 |
| US20230014351A1 (en) | 2023-01-19 |
| US20210119971A1 (en) | 2021-04-22 |
| CN114365454A (zh) | 2022-04-15 |
| US11483290B2 (en) | 2022-10-25 |
| WO2021080800A1 (en) | 2021-04-29 |
| EP4049427B1 (en) | 2023-10-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11363459B2 (en) | Integrating CBRS-enabled devices and intent-based networking | |
| US12113850B1 (en) | Method for managing updates to a distributed network with no interruption to operations | |
| CN113950816B (zh) | 使用边车代理机构提供多云微服务网关的系统和方法 | |
| US20240031281A1 (en) | Optimizing application performance in hierarchical sd-wan | |
| EP3759870B1 (en) | Network slicing with smart contracts | |
| CN113016167B (zh) | 在网络中使权利跟随终端设备的方法和装置 | |
| US11399283B2 (en) | Tenant service set identifiers (SSIDs) | |
| US20200162318A1 (en) | Seamless automation of network device migration to and from cloud managed systems | |
| US11777966B2 (en) | Systems and methods for causation analysis of network traffic anomalies and security threats | |
| US20220353684A1 (en) | System And Methods For Transit Path Security Assured Network Slices | |
| CN113039520A (zh) | 将中心集群成员资格扩展到附加计算资源 | |
| CN112703717B (zh) | 跨层3网络的端点的唯一身份 | |
| US11985110B2 (en) | Distribution of stateless security functions | |
| US11102169B2 (en) | In-data-plane network policy enforcement using IP addresses | |
| US11516184B2 (en) | Firewall service insertion across secure fabric preserving security group tags end to end with dual homed firewall | |
| US11716250B2 (en) | Network scale emulator | |
| CN112956158A (zh) | 结构数据平面监视 | |
| US20210119859A1 (en) | Topology Agnostic Security Services | |
| US20230171662A1 (en) | SEAMLESS HANDOFF BETWEEN WIRELESS ACCESS POINTS (APs) WITH USE OF PRE-CONVERGENCE PACKET REPLICATION | |
| US12126674B1 (en) | Method for managing updates to a distributed network through an application management portal | |
| CN116366455A (zh) | 网络系统、网络报文处理方法、装置及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |