ES2959674T3

ES2959674T3 - Cortafuegos de perímetro múltiple en la nube

Info

Publication number: ES2959674T3
Application number: ES16731961T
Authority: ES
Inventors: Carlos Ore; Joseph Rubenstein
Original assignee: Umbra Technologies Ltd
Current assignee: Umbra Technologies Ltd
Priority date: 2015-04-07
Filing date: 2016-04-07
Publication date: 2024-02-27
Anticipated expiration: 2036-04-07
Also published as: US11750419B2; EP3281368A1; US20200228372A1; EP3761592B8; EP3281381C0; US20220191062A1; EP3761592B1; US20180091417A1; CN113381994B; HK1252928A1; US20180097774A1; CN107873128A; CN107637037A; US20180097656A1; CN107637037B; CN107873128B; US20220393907A1; US10756929B2; JP2018515974A; EP4325804A2

Abstract

Se divulgan sistemas y métodos para proporcionar cortafuegos multiperímetro a través de una red global virtual. En una realización, el sistema de red puede comprender un punto de entrada de salida en comunicación con un primer servidor de punto de acceso, un segundo servidor de punto de acceso en comunicación con el primer servidor de punto de acceso, un dispositivo de punto final en comunicación con el segundo servidor de punto de acceso, un primer firewall en comunicación con el primer servidor de punto de acceso, y un segundo cortafuegos en comunicación con el segundo servidor de punto de acceso. El primer y segundo cortafuegos pueden impedir que el tráfico pase a través de sus respectivos servidores de puntos de acceso. El primero y el segundo pueden estar en comunicación entre sí e intercambiar información sobre amenazas. (Traducción automática con Google Translate, sin valor legal)

Description

DESCRIPCIÓN

Cortafuegos de perímetro múltiple en la nube

Campo de la divulgación

La presente divulgación se refiere de manera general a redes y, más particularmente, a seguridad de red que protege el flujo de tráfico a través de una red virtual global o red similar mediante el posicionamiento estratégico de dispositivos de cortafuegos (FW) distribuidos colocados en múltiples perímetros en la nube.

Antecedentes de la divulgación

Los seres humanos pueden percibir retardos de 200 ms o más ya que esto es normalmente el tiempo de reacción promedio de los seres humanos frente a un acontecimiento. Si la latencia es demasiado alta, los sistemas en línea tales como clientes ligeros para servidores basados en la nube, gestión de la relación con clientes (CR), planificación de recursos de empresa (EPvP) y otros sistemas funcionarán mal y pueden incluso dejar de funcionar debido a agotamientos de tiempo límite. La alta latencia en combinación con alta pérdida de paquetes puede hacer que una conexión no pueda usarse. Aunque consigan pasar datos, en un determinado momento demasiada lentitud da como resultado una mala experiencia del usuario (UX) y en esos casos el resultado puede ser un rechazo por parte de los usuarios a aceptar esas condiciones haciendo en efecto que los servicios mal suministrados sean inútiles.

Para abordar algunas de estas cuestiones, se han desarrollado diversas tecnologías. Una tecnología de este tipo es una optimización de WAN, que normalmente implica un dispositivo de hardware (HW) en el borde de una red de área local (LAN) que construye un túnel a otro dispositivo de HW de optimización de WAN en el borde de otra LAN, formando una red de área amplia (WAN) entre los mismos. Esta tecnología supone una conexión estable a través de la cual los dos dispositivos se conectan entre sí. Un optimizador de WAN se esfuerza por comprimir y proteger el flujo de datos, dando como resultado con frecuencia un aumento de velocidad. El factor impulsor comercial para la adopción de la optimización de WAN es ahorrar en cuanto al volumen de datos enviados en un esfuerzo por reducir el coste de la transmisión de datos. Las desventajas de esto son que con frecuencia es de punto a punto y puede resultar difícil cuando la conexión entre los dos dispositivos no es buena ya que hay de poco a ningún control sobre el trayecto del flujo de tráfico a través de Internet entre los mismos. Para abordar esto, los usuarios de optimizadores de WAN con frecuencia deciden ejecutar su WAN a través de una línea de MPLS o DDN u otro circuito dedicado dando como resultado un gasto añadido y, de nuevo, conllevando habitualmente una conexión de punto a punto fija y rígida.

Los enlaces directos tales como MPLS, DDN, circuitos dedicados u otros tipos de conexión de punto a punto fija ofrecen garantías de calidad de conexión y calidad de servicio (QoS). Conectan desde el interior de una LAN hasta los recursos de otra LAN a través de esta WAN directamente conectada. Sin embargo, cuando la pasarela (GW) a Internet general está ubicada en la LAN de un extremo, por ejemplo en la sede central, entonces el tráfico procedente de la LAN remota de un país subsidiario puede enrutarse a Internet a través de la GW. Se produce una ralentización a medida que fluye tráfico a través de Internet de vuelta a servidores en el mismo país que el subsidiario. Entonces, el tráfico debe ir desde la LAN a través de la WAN hasta la LAN en la que está ubicada la GW y después a través de Internet de vuelta a un servidor en el país de origen, después de vuelta a través de Internet hasta la GW, y después de vuelta por la línea dedicada hasta el dispositivo cliente dentro de la LAN. En esencia, se duplica o triplica (o peor) el tiempo de tránsito global de lo que debería tardar una pequeña fracción de la latencia global para acceder a este sitio cercano. Para superar esto, una conectividad alternativa de otra línea de Internet con cambios de configuración apropiados y dispositivos añadidos puede ofrecer tráfico local a Internet, en cada extremo de un sistema de este tipo.

Otra opción para crear enlaces de WAN desde una LAN hasta otra LAN implica la construcción de túneles tales como IPSec u otros túneles de protocolo entre dos enrutadores, cortafuegos o dispositivos de borde equivalentes. Habitualmente están cifrados y pueden ofrecer compresión y otra lógica para intentar mejorar la conectividad. Hay de poco a ningún control sobre las rutas entre los dos puntos ya que se basan en la política de diversos agentes intermedios en Internet que portan su tráfico a través de su(s) red(es) y homólogos con otros portadores y/u operadores de red. Los cortafuegos y enrutadores, conmutadores y otros dispositivos de varios proveedores de equipos tienen habitualmente opciones de tunelación incorporadas en su firmware.

Aunque la conectividad de línea local ha mejorado en gran medida en los últimos años, todavía existen problemas con la conectividad a larga distancia y el rendimiento debido a cuestiones relacionadas con la distancia, limitaciones de protocolo, conexión entre homólogos, interferencia y otros problemas y amenazas. Como tal, existe una necesidad de servicios de optimización de red segura que se ejecuten encima de conexiones de Internet convencionales.

El documento US 2006/195896 A1 da a conocer métodos, sistemas y productos de programa informático para proporcionar cortafuegos de funcionamiento en paralelo.

El documento US 2015/089582 A1 da a conocer un sistema y servicio de cortafuegos basado en la nube para proteger sitios de cliente frente a ataques, fugas de información confidencial y otras amenazas de seguridad.Sumario de la divulgación

En un primer aspecto, la invención proporciona un cortafuegos de perímetro múltiple que comprende un primer cortafuegos de perímetro, un segundo cortafuegos de perímetro, un primer servidor de punto de acceso y un segundo servidor de punto de acceso, tal como se expone en la reivindicación 1.

Según una realización, al menos uno de los servidores de punto de acceso está configurado para realizar servicios de cortafuegos.

Según otra realización, el primer cortafuegos está en comunicación con el segundo cortafuegos. El trayecto de comunicación entre el primer y segundo cortafuegos puede ser un túnel de red virtual global o un canal posterior de red virtual global o una llamada de API u otro. En algunas realizaciones, el primer cortafuegos y el segundo cortafuegos comparten información de amenazas que incluye al menos uno de patrones heurísticos, firmas o amenazas conocidas, direcciones IP de origen maliciosas conocidas o vectores de ataque. La información de amenazas puede compartirse mediante un servidor de control central.

En algunas realizaciones, al menos uno de los cortafuegos incluye un equilibrador de carga de cortafuegos en la nube que puede asignar recursos de cortafuegos en la nube bajo demanda.

Breve descripción de los dibujos

Con el fin de facilitar una comprensión más completa de la presente divulgación, ahora se hace referencia a los dibujos adjuntos, en los que se hace referencia a elementos iguales con números o referencias iguales. No debe interpretarse que estos dibujos sean limitativos de la presente divulgación, sino que sólo se pretende que sean ilustrativos.

La figura 1 ilustra cinco tipos de operaciones de dispositivos de cortafuegos.

La figura 2 ilustra posibilidades de flujo de tráfico a través de un cortafuegos.

La figura 3 ilustra inspección de estado de paquetes e inspección de paquetes profunda.

La figura 4 ilustra la generación de una carga útil combinada a partir de un flujo de paquetes.

La figura 5 ilustra un trayecto de ataque de red amplio desde Internet hasta una LAN.

La figura 6 muestra efectos de retroceso negativos sobre una red debido a un ataque de alto volumen de tráfico que se produce en una red opuesta.

La figura 7 ilustra un cortafuegos de perímetro múltiple ubicado en la nube.

La figura 8 ilustra la capacidad de ajuste a escala de un cortafuegos de perímetro múltiple ubicado en la nube. La figura 9 ilustra un cortafuegos de perímetro múltiple encima de una GVN que está encima de una conexión de Internet.

La figura 10 es un diagrama de flujo de las diversas rutas disponibles a través de una GVN desde un origen hasta un destino.

La figura 11 ilustra la comunicación entre un cortafuegos de inspección de estado de paquetes (SPI) y un cortafuegos de inspección de paquetes profunda (DPI).

La figura 12 ilustra un cortafuegos de perímetro múltiple (MPFW) en la nube habilitado mediante una red virtual global.

La figura 13 ilustra el flujo de información entre dispositivos de una red virtual global.

La figura 14 ilustra un cortafuegos de perímetro múltiple (MPFW) en la nube que soporta un dispositivo de punto de extremo personal.

La figura 15 ilustra los módulos requeridos para la colaboración automatizada de dispositivo y cortafuegos y el intercambio de información en una GVN.

La figura 16 ilustra el intercambio de información de dispositivo a dispositivo en una GVN.

La figura 17 ilustra la integración de un cortafuegos de perímetro múltiple con otros sistemas en una GVN.

La figura 18 ilustra la topología y colocación correspondiente de cortafuegos junto con la capacidad de ajuste a escala proporcionada por cortafuegos basados en la nube conectados mediante equilibradores de carga de cortafuegos basados en la nube.

La figura 19 ilustra topología de GVN, incluyendo un segmento de estructura principal a través de Internet o fibra oscura.

La figura 20 ilustra la topología de dispositivos y conectividad para el flujo de información hacia y desde un dispositivo de punto de extremo (EPD) e Internet.

La figura 21 ilustra un algoritmo de cortafuegos de perímetro múltiple.

La figura 22 ilustra una vista lógica de la arquitectura de software para un dispositivo de cortafuegos en la nube, un dispositivo de equilibrador de carga de cortafuegos en la nube, un servidor de control central, un servidor de punto de acceso y un dispositivo de punto de extremo.

La figura 23 ilustra el flujo de información desde cortafuegos (FW) hasta diversos dispositivos en una red virtual global (GVN) a través de un servidor de control central (SRV_CNTRL).

La figura 24 es un diagrama de flujo que describe el algoritmo usado para analizar tráfico que fluye a través de un cortafuegos, un equilibrador de carga de cortafuegos y/o a través de una matriz de cortafuegos.

La figura 25 ilustra las diversas capas en una pila de sistema para tratar con y gestionar amenazas.

La figura 26 ilustra un método para descifrar automáticamente un volumen cifrado durante un procedimiento de arranque.

La figura 27 ilustra cómo puede calcularse de manera sistemática una identificación de usuario única (UUID) para un dispositivo basándose en varios factores específicos para ese dispositivo.

La figura 28 ilustra los módulos del mecanismo de arranque seguro.

La figura 29 ilustra los detalles del mecanismo de canal posterior.

La figura 30 ilustra las conexiones entre muchos dispositivos de punto de extremo (EPD) y un servidor de canal posterior (SRV_BC).

La figura 31 ilustra la escritura de datos cifrados en campos seleccionados en una fila de una base de datos usando claves rotatorias y calculadas que son únicas para cada fila individual.

La figura 32 ilustra el descifrado de datos a partir de una única fila usando claves, elementos de ajuste de clave y otros factores usando un entramado para claves calculadas.

La figura 33 ilustra lo que sucede cuando se solicita contenido de interfaz gráfica de usuario (GUI) por un cliente a través de un dispositivo de punto de extremo (EPD) y se almacena el contenido solicitado dentro de un volumen bloqueado.

La figura 34 muestra un diagrama de bloques de alto nivel de Internet.

La figura 35 es un diagrama de bloques que muestra la resolución de localizador universal de recursos (URL) a direcciones de protocolo de Internet (IP) numéricas mediante el sistema de nombre de dominio (DNS).

Descripción detallada

Una GVN ofrece servicios de optimización de red segura a clientes encima de su conexión de Internet convencional. Esto es un resumen de las partes constituyentes de una GVN así como una descripción de tecnologías relacionadas que pueden servir como elementos de GVN. Los elementos de GVN pueden funcionar independientemente o dentro del ecosistema de una GVN tal como usando el entramado de GVN para sus propios fines, o pueden desplegarse para potenciar el rendimiento y la eficiencia de una GVN. Este resumen también describe cómo otras tecnologías pueden beneficiarse de una GVN o bien como despliegue autónomo que usa algunos o la totalidad de los componentes de una GVN, o bien que pueden desplegarse rápidamente como mecanismo independiente encima de una GVN existente, usando sus beneficios.

Una red privada virtual (VPN) basada en software (SW) ofrece privacidad mediante un túnel entre un dispositivo cliente y un servidor de VPN. Tienen la ventaja de cifrado y, en algunos casos, también compresión. Pero, también en este caso, hay de poco a ningún control sobre cómo fluye el tráfico entre el cliente de VPN y el servidor de VPN, así como entre el servidor de VPN y el servidor anfitrión, el cliente anfitrión u otros dispositivos en el destino. Con frecuencia son conexiones de punto a punto que requieren que se instale software cliente por cada dispositivo que usa la VPN y alguna habilidad técnica para mantener la conexión para cada dispositivo. Si un punto de egreso de servidor de VPN está en estrecha proximidad mediante un trayecto de comunicación de calidad hasta un cliente anfitrión o servidor anfitrión de destino, entonces el rendimiento será bueno. Si no es así, entonces habrá reducciones perceptibles sobre el rendimiento e insatisfacción desde un punto de vista de la capacidad de uso. Con frecuencia, un requisito para un usuario de VPN es tener que desconectarse de un servidor de VPN y volver a conectarse a otro servidor de VPN para tener acceso de calidad o local a contenido de una región frente a contenido de otra región.

Una red virtual global (GVN) es un tipo de red informática encima de Internet que proporciona servicios de optimización de red segura global que usa una malla de dispositivos distribuidos alrededor del mundo conectados de manera segura entre sí mediante túneles avanzados, que colaboran y se comunican mediante interfaz de programa de aplicación (API), replicación de bases de datos (DB) y otros métodos. El enrutamiento de tráfico en la GVN siempre es a través del mejor trayecto de comunicación regido mediante enrutamiento inteligente avanzado (ASR) alimentado mediante sistemas automatizados que combinan dispositivos de construcción, gestores, dispositivos de prueba, análisis algorítmico y otras metodologías para adaptarse a condiciones variables y que aprenden a lo largo del tiempo para configurar y reconfigurar el sistema.

La GVN ofrece un servicio para proporcionar conectividad concurrente segura, fiable, rápida, estable, precisa y enfocada encima de una o más conexiones de Internet regulares. Estos beneficios se logran mediante compresión de flujo de datos que transita por múltiples conexiones de túneles envueltos, camuflados y cifrados entre el EPD y servidores de punto de acceso (SRV_AP) en estrecha proximidad al EPD. La calidad de conexión entre EPD y SRV_AP se monitoriza constantemente.

Una GVN es una combinación de un dispositivo de punto de extremo (EPD) de hardware (HW) que tiene instalado software (SW), bases de datos (D) y otros módulos automatizados del sistema de GVN, tales como mecanismo de interfaz de programación de aplicación neutra (NAPIM), gestor de canal posterior, gestor de túnel y más características que conectan el EPD a dispositivos de infraestructura distribuida tales como servidor de punto de acceso (SRV_AP) y servidor central (Sr V_CNTRL) dentro de la GVN.

Los algoritmos analizan continuamente el estado actual de red mientras se tiene en cuenta tendencias de finales más rendimiento histórico a largo plazo para determinar la mejor ruta para que tome el tráfico y que es el mejor SRV_AP o serie de servidores SRV_AP para empujar tráfico a través. La configuración, el trayecto de comunicación y otros cambios se realizan automáticamente y sobre la marcha requiriéndose una mínima o ninguna interacción o intervención del usuario.

El enrutamiento inteligente avanzado en un EPD y en un SRV_AP garantizan que fluye tráfico a través del trayecto más ideal desde el origen hasta el destino a través de una “tercera capa” de la GVN lo más sencilla posible. Los dispositivos clientes conectados a la GVN consideran esta tercera capa como un trayecto de Internet normal pero con un número inferior de saltos, mejor seguridad y, en la mayoría de los casos, menor latencia que el tráfico que fluye a través de Internet regular al mismo destino. La lógica y automatización funcionan en la “segunda capa” de la GVN en la que el software de la GVN monitoriza y controla automáticamente el enrutamiento subyacente y la construcción de interfaces virtuales (VIF), múltiples túneles y unión de trayectos de comunicación. La tercera y segunda capas de la GVN existen encima de la “primera capa” operativa de la GVN que interacciona con los dispositivos de la red de Internet subyacente.

Desde un punto de vista técnico y de conexión en red, la nube se refiere a dispositivos o grupos o matrices o agrupaciones de dispositivos que están conectados y están disponibles para otros dispositivos a través de Internet abierta. La ubicación física de estos dispositivos no tiene importancia significativa ya que, con frecuencia, tienen sus datos repetidos a través de múltiples ubicaciones con la administración hacia/desde el servidor más cercano hacia/desde el cliente que realiza la petición usando una red de suministro de contenido (CDN) u otra tecnología de este tipo para acelerar la conectividad, lo que potencia la experiencia del usuario (UX).

Esta invención se basa en el uso convencional por la industria de cortafuegos (FW) aumentando su valor de utilidad mediante la extensión de perímetros a la nube. Un cortafuegos es un dispositivo principalmente diseñado para proteger una red interna frente a las amenazas externas desde una red exterior, así como proteger la fuga de datos de información desde la red interna. Un cortafuegos se ha colocado tradicionalmente en el borde entre una red tal como una red de área local (LAN) y otra red tal como su enlace ascendente hacia una red más amplia. Los administradores de red tienen sensibilidades sobre la colocación y confianza de un FW debido a que se basan en el mismo para proteger sus redes.

Los componentes adicionales de la GVN incluyen el mecanismo de arranque seguro (SBM) y el mecanismo de canal posterior (BCM). El mecanismo de arranque seguro protege las claves de un volumen seguro almacenando la clave en un servidor remoto y haciendo que la clave sólo esté disponible a través del SBM. El mecanismo de canal posterior permite la administración y/o interacción de muchos dispositivos de una GVN. Durante momentos de mal rendimiento de red cuando se avería un túnel, el BCM ofrece un canal hacia dispositivos a los que no puede llegarse de otro modo, incluyendo acceso a dispositivos a los que no puede llegarse desde Internet abierta. Este mecanismo ofrece perforación de orificios inversa a través de barreras para mantener abierto el canal de comunicaciones. Otros componentes de seguridad de la GVN incluyen unión a hardware de UUID y cifrado de datos de granularidad fina usando claves por cada fila.

La figura 34 muestra un diagrama de bloques de alto nivel de Internet. El usuario medio dispone de una comprensión general muy escueta de cómo funciona Internet. La fuente 34-100 anfitrión es el punto de partida y designa un dispositivo cliente que puede ser un ordenador, un teléfono móvil, un ordenador de tipo tableta, un ordenador portátil u otro cliente de este tipo. Este cliente se conecta a través de Internet 34-200 a un servidor 34 300 anfitrión para enviar o recuperar contenido o a otro cliente 34-302 anfitrión para enviar o recibir información.

Un usuario nada técnico puede incluso suponer que el tráfico al servidor anfitrión sigue el trayecto 2P002 sin ni siquiera entender que sus datos transitarán a través de Internet. O puede pensar que el tráfico fluirá a través del trayecto 2P006 directamente a otro cliente dispositivo.

Un usuario con algo más de conocimiento sobre cómo funciona entenderá que el tráfico fluye a través del trayecto 2P004 a Internet 34-200 y después a través del trayecto 2P102 a un objetivo 34-300 de servidor anfitrión o a través del trayecto 2P104 a un objetivo 34-302 anfitrión (cliente).

Los usuarios con algo más de conocimiento técnico entenderán además que, cuando se envía un correo electrónico, este correo electrónico saldrá de su dispositivo 34-100 cliente, transitará a través del trayecto 2P004 a Internet 34-200 y después a través del trayecto 2P202 a un servidor 34-202 de correo. Después, el receptor del correo electrónico realizará una petición para recuperar el correo electrónico a través de su cliente 34-302 anfitrión a lo largo del trayecto 2P104 a Internet y después por el trayecto 2P204 al servidor 34-202 de correo.

Esto es más o menos el detalle con el que una persona media entiende Internet.

Una petición de contenido 35-000 o empuje desde el cliente (C) 35-100 anfitrión hasta el servidor (S) 35-300 anfitrión como archivos o flujos o bloques de datos fluye desde el cliente (C) 35-100 anfitrión hasta el servidor (S) 35-300 anfitrión. La respuesta o suministro de contenido 35-002 se devuelve desde el S anfitrión hasta el C anfitrión como archivos o flujos o bloques de datos. El dispositivo 35-100 de cliente anfitrión en una relación de cliente-servidor (CS) con el servidor (S) anfitrión realiza peticiones para acceder a contenido a partir del servidor (S) anfitrión remoto o envía datos al servidor (S) anfitrión remoto mediante un localizador universal de recursos (URL) u otra dirección a la que puede llegarse por la red.

La conexión inicial desde el cliente (C) 35-100 anfitrión hasta Internet 35-206 se muestra como 3P02, la conexión desde el cliente (C) anfitrión hasta un punto 35-102 de presencia (POP) hacia el que puede directamente orientado. En otros casos, el cliente (C) anfitrión puede estar ubicado en una red de área local (LAN) que entonces se conecta a Internet a través de un punto de presencia (POP) y puede denominarse conexión de línea local. El punto 35-102 de presencia (POP) representa la conexión proporcionada desde un punto de extremo por un proveedor de servicios de Internet (ISP) hasta Internet a través de su red y sus interconexiones. Esto puede ser, pero no se limita a, cable, fibra, DSL, Ethernet, satélite, marcación y otras conexiones. Si el URL es un nombre de dominio en lugar de una dirección numérica, entonces este URL se envía al servidor 35-104 de sistema de nombre de dominio (DNS) en el que se traduce el nombre de dominio en una dirección IPv4 o IPv6 u otra con fines de enrutamiento.

El tráfico desde el cliente (C) 35-100 anfitrión hasta el servidor (S) 35-300 anfitrión se enruta a través de Internet 35-206 representando el tránsito entre POP (35-102 y 35-302) incluyendo conexión entre homólogos, retorno u otro tránsito de límites de red.

A la conexión 3P04 entre un POP 35-102 y un sistema 35-104 de nombre de dominio, usado para consultar una dirección numérica a partir de un localizador universal de recursos (URL) para obtener la dirección IPv4 u otra dirección numérica del servidor (S) objetivo, puede accederse directamente desde el POP, o a través de Internet 35-206. La conexión 3P06 desde un POP 35-102 de un ISP hasta Internet 35-206 puede ser de conexión individual o de conexión múltiple. De manera similar, la conexión 3P08 desde Internet 35-206 hasta el ISP remoto también puede ser de conexión individual o de conexión múltiple. Esta conexión es generalmente con el POP 35-302 orientado a Internet del ISP o del centro de datos de Internet (IDC). La conexión 3P10 desde el POP 35-302 del ISP remoto hasta el servidor (S) anfitrión puede dirigirse a través de múltiples saltos.

Las consultas de URL o nombre de anfitrión a dirección numérica a través de sistemas de nombre de dominio son convencionales en Internet en la actualidad y los sistemas suponen que el servidor de DNS es integral y que los resultados del servidor de DNS son actuales y puede confiarse en los mismos.

La figura 19 ilustra la topología de GVN, trayectos de comunicaciones que incluyen un segmento de estructura principal a través de Internet o fibra oscura e indica la colocación de diversos dispositivos incluyendo diversos tipos de dispositivos de cortafuegos (FW) en diversas ubicaciones perimetrales. Muestra cómo diversas regiones o zonas o territorios geográficos están conectados entre sí a través de diversos tipos de trayectos. Esta figura ilustra que pueden combinarse diversos tipos de tejidos de red para dar un tapiz de red más grande. Estos tejidos pueden entretejerse sin interrupciones entre sí tal como se describe en la solicitud de patente provisional estadounidense n.° 62/174.394.

Haciendo referencia a la figura 19, se muestran múltiples zonas: zona 0 de LAN (ZL00), zona 1 de LAN (ZL10), zona 0 de Internet (ZI00), zona 1 de Internet (ZI10), zona 2 de Internet (ZI20), zona 3 de Internet (ZI30), zona 2 de centro de datos de Internet (ZD20) y zona 3 de centro de datos de Internet (ZD30).

La zona 0 de LAN 19-ZL00 describe una red de área local (LAN) típica que incluye la colocación de cortafuegos con respecto a un dispositivo 19-100 de punto de extremo (EPD) entre la LAN y red externa OTT 19-202 de GVN e Internet 19-30. Hay un cortafuegos FW 19-40 de hardware entre la LAN 19-04 y el EPD 19-100. Otro FW 19-42 de hardware o software está entre el EPD 19-100 y el punto 19-20 de egreso-ingreso (EIP) para proteger el EPD frente a amenazas externas que surgen de Internet 19-30.

La zona uno de LAN 19-ZL10 es similar en cuanto a la topología a la zona cero de LAN 19-ZL00 con la excepción de que no hay ningún cortafuegos colocado entre el EPD 19-110 y la LAN 19-46.

La zona cero de Internet 19-ZI00 describe un ejemplo de topología de Internet en una región en estrecha proximidad a 19-ZL00. La zona uno de Internet 19-ZI10 describe un ejemplo de topología de Internet en una región en estrecha proximidad a 19-ZL10. La zona dos de Internet 19-ZI20 describe un ejemplo de topología de Internet en una región en estrecha proximidad a 19-ZD20. La zona tres de Internet 19-ZI30 describe un ejemplo de topología de Internet en una región en estrecha proximidad a 19-ZD30.

La zona dos de centro de datos de Internet 19-ZD20 describe la topología y colocación de cortafuegos basados en la nube CFW 19-46 que incluyen dispositivos de cortafuegos virtualizados detrás de equilibradores de carga de cortafuegos en la nube. La zona tres de centro de datos de Internet 19-ZD30 describe la topología y colocación de cortafuegos basados en la nube CFW 19-48 que incluyen dispositivos de cortafuegos virtualizados detrás de equilibradores de carga de cortafuegos en la nube.

El SRV_BBX 19-72 en la región o zona ZD20 puede estar conectado al SRV_BBX 19-80 en otra región o zona ZD30 a través de una conexión 19-P220 de fibra oscura a través de fibra 19-220 oscura. El SRV_BBX 19-72 puede escribir directamente un archivo en el almacenamiento de archivos paralelo PFS 19-82 mediante acceso de memoria directa remota (RDMA) a través de 19-P220 evitando la pila del SRV_BBX 19-80 a través del trayecto 19-P82. El SRV_BBX 19-80 puede escribir directamente un archivo en el almacenamiento de archivos paralelo PFS 19-74 mediante acceso de memoria directa remota (RDMA) a través de 19-P220 evitando la pila del SRV_BBX 19-72 a través del trayecto 19-P74.

El trayecto 19-P210 puede ser IPv4 o alguna clase de protocolo de Internet normalizado a través del cual fluye tráfico desde el SRV_AP 19-300 hasta, y/o desde el S<r>V_AP 19-310 a través del, trayecto 19-P210 encima de la GVN a través de un túnel u otro tipo de trayecto de comunicación.

Aunque la topología mostrada no tiene cortafuegos o dispositivos de monitorización de tráfico dentro de las rutas de GVN, estos dispositivos pueden colocarse según se necesite para proteger adicionalmente el flujo de datos.

La figura 13 ilustra el flujo de información entre dispositivos de una red virtual global. Un repositorio central compuesto por la base B200 de datos y el almacenamiento HFS200 de archivos se encentra en un servidor 200 central (SRV_CNTRL).

Los trayectos de comunicación entre dispositivos marcados como P### pueden representar una llamada de API, replicación de bases de datos, transferencia de archivos directa, combinación tal como replicación de bases de datos a través de llamada de API, u otra forma de intercambio de información. Las líneas más gruesas de 13-P100300, 13-P300500 y 13-P100500 representan comunicaciones directas entre dispositivos de GVN que tienen un emparejamiento con homólogos y, por tanto, una relación privilegiada entre sí.

Hay un patrón circular de comunicación entre pares de homólogos ilustrado desde el SRV_CNTRL 200 hasta el EPD 100 a través de 13-P200100, desde el<s>R<v>_AP 300 a través de 13-P200300, o a otros dispositivos 13-500 a través de 13-P200500. El EPD 100 se comunica con el SRV_CNTRL 200 a través de 13-P100200, el SRV_AP 300 se comunica a través del SRV_CNTRL 200 a través de 13-P300200, y otros dispositivos 13-500 se comunican con el SRV_CNTRL 200 a través de 13-P500200.

En algunos casos, habrá un bucle de información compartida entre dispositivos tal como en el caso en el que un EPD 100 puede pedir información a través de 13-P100200 a partir del SRV_CNTRL 200 que se envía de vuelta al EPD 100 a través de 13-P200100.

En otros casos, un dispositivo puede notificar información relevante para otros dispositivos tales como un SRV_AP 200 que notifica a través de 13-P300200 al SRV_CNTRL 200 que entonces envía esta información a través de 13-P200100 al EPD 100 y al SRV_AP 300 distinto del SRV_AP 300 notificador a través de 13-P200300 y además a otros dispositivos 13-500 a través de 13-P200500.

En aún otros casos no se requiere un bucle completo tal como el envío de información de registro desde un dispositivo tal como un EPD 100 hasta SRV_CNTRL 200 a través de 13-P100200, no hay necesidad de reenviar adicionalmente esta información hacia delante. Sin embargo, la información de registro puede moverse en un momento posterior desde el repositorio en el SRV_CNTRL 200 hasta un servidor 13-500 de almacenamiento de registro a largo plazo u otro dispositivo a través de 13-P200500.

El enlace 13-P100300 directo es entre los dispositivos EPD 100 y el SRV_AP 300. El enlace 13-P300500 directo es desde el SRV_AP 300 hasta otros dispositivos 13-500. Los enlaces directos implican comunicaciones entre dispositivos que no necesitan la participación del SRV_CNTRL 200.

El empuje (alimentación) desde el SRV_CNTRL 13-306 procedente del SRV_CNTRL 200 puede ser una alimentación de RSS u otro tipo de publicación de información a través de 13-P306. Las consultas de API al SRV_CNTRL 13-302 que realiza llamadas al SRV_CNTRL 200 pueden ser o bien una transacción de API tradicional o bien una llamada de API RESTful con petición realizada a través de 13-P302REQ y respuesta recibida a través de 13-P302RESP. Los elementos de empuje 13-306 y API 13-302 se presentan para ilustrar la comunicación con dispositivos que no comparten relaciones de pares de homólogos, estados privilegiados y/o arquitectura de sistema similar con dispositivos de GVN, pero que pueden beneficiarse de la información.

La figura 1 ilustra cinco tipos de operaciones de dispositivos de cortafuegos. El cortafuegos 1-FW0 demuestra un cortafuegos con todo abierto con algunos cierres mostrados. El trayecto 1-DP0-2 indica un flujo de tráfico que se permite a través del cortafuegos porque no está explícitamente bloqueado. El trayecto 1-DP0-4 demuestra tráfico que no se permite a través del cortafuegos porque está explícitamente bloqueado.

El cortafuegos 1-FW2 demuestra un cortafuegos con todo cerrado con algunas aberturas mostradas. El trayecto 1-DP2-4 indica tráfico que no se permite explícitamente que pase a través mediante una regla y, por tanto, está bloqueado. El trayecto 1-DP2-2 indica tráfico que se permite explícitamente y, por tanto, fluye a través sin impedimentos.

El cortafuegos 1-FW4 demuestra un cortafuegos basado en reglas mostrándose dos reglas. El tráfico entrante fluye desde Internet 1-D104 a través del trayecto entrante 1-DP4 hasta una tabla de reglas 1-D4 para el reenvío u otra gestión. Si el tráfico entrante coincide con una regla, fluirá a través del trayecto de regla 1-DP4A a la LAN 1- D104. Si coincide con otra regla, fluirá a través del trayecto de regla 1-DP4B a otra ubicación en la LAN 1-D104.

El cortafuegos 1-FW6 demuestra operaciones de cortafuegos tales como detectar y proteger con una matriz de decisiones 1-D6 para comprobar si el tráfico es correcto y debe permitirse a través del trayecto de SÍ 1-DP6Y a la LAN 1-D106 o si se detecta una amenaza y debe bloquearse y/o enviarse a un agujero negro el tráfico o gestionarse de otra manera mediante el trayecto de NO 1-DP6N.

El cortafuegos 1-FW8 demuestra un cortafuegos con una combinación de reglas más operaciones de detección y protección 1-D8 mostradas. El tráfico desde Internet 1-D108 puede o bien coincidir con reglas y fluir a través del trayecto de reglas de regla 1-DP8A o regla 1-DP8B de la LAN 1-D108, o bien puede permitirse mediante un filtro directo y de protección a través del trayecto de SÍ 1-DP8Y. Si no se permite el tráfico, se bloqueará o se enviará a un agujero negro o se gestionará de otro modo a través del trayecto de NO 1-DP8N.

Otro tipo de cortafuegos no mostrado es una combinación del cortafuegos 1-FW0 o el cortafuegos 1-FW2 y el cortafuegos 1-FW8. También hay diferentes clases de cortafuegos de detección y protección no mostrados tales como de inspección de estado de paquetes (SPI), inspección de paquetes profunda (DPI) y otros tipos de cortafuegos.

La figura 2 ilustra posibilidades de flujo de tráfico a través de un cortafuegos. El trayecto de conectividad entre el POP de línea local 2-022 y la LAN 2-114 es a través de 2-CP144 desde el POP hasta el FW 2-144 y a través de 2- CP114 desde la LAN 2-114 hasta el FW 2-144. El tráfico malo, infractor o de amenaza conocida que se atrapa o bien puede enviarse a un agujero negro 2-148 a través del trayecto 2-TR6A a 2-TR6B o bien pueden ponerse los datos en cuarentena en la cuarentena de FW 2-144Q a través del trayecto 2-TR4A a 2-TR4B. El trayecto para tráfico bueno, sin oposición o permitido puede fluir a través de 2-TR2. El tráfico de ataque de externo a interno se representa por 2-<a>T<k>-434 y 2-ATK-432.

La figura 3 ilustra dos clases de inspección que puede realizar un cortafuegos: inspección de estado de paquetes e inspección de paquetes profunda. En el caso en el que un cortafuegos está dentro de un dispositivo físico existe una opción sobre si realizar SPI o DPI, como compromiso de velocidad frente a exhaustividad. La inspección de estado de paquetes (SPI) se muestra en el cortafuegos 3-SP de SPI y la inspección de paquetes profunda (DPI) se muestra en el cortafuegos 3-DP de DPI.

Cuando se realiza SPI, el cortafuegos examina las cabeceras 3-SP0-H, 3-SP2-H y 3-SP4-H de paquetes para identificar información infractora, al tiempo que ignora la carga útil 3-SP0-P, 3-SP2-P y 3-SP4-P de los paquetes. Las ventajas de SPI con respecto a DPI son que es rápida y que consume menos procesador, RAM y recursos. La desventaja es que el cortafuegos no busca en el contenido dentro de la carga útil del/de los paquete(s).

DPI busca más allá de las cabeceras 3-DP0-H, 3-DP2-H, 3-DP4-H, 3-DP6-H y 3-DP8-H y examina el contenido, por ejemplo la carga útil 3-DP0-P, 3-DP2-P, 3-DP4-P, 3-DP6-P y 3-DP8-P de los paquetes. Las ventajas son que este examen es más exhaustivo para proporcionar visibilidad del contenido tanto dentro de la carga útil no sólo de un paquete sino de una compilación de carga útil 3-DP-ALL a partir de una serie de múltiples paquetes 3-DP0, 3-DP2, 3-DP4-H, 3-DP6 y 3-DP8. La desventaja de DPI es que es significativamente más lenta que la SPI y también que consume considerablemente más procesador, RAM y otros recursos que la SPI.

La figura 4 ilustra la generación de una carga útil combinada a partir de un flujo de paquetes. En este ejemplo, se presenta un flujo de paquetes 4-DP a un cortafuegos de DPI. Las cargas útiles 3-DP0-P6, 3-DP2-P6, 3-DP4-P6, 3-DP6-P6 y 3-DP8-P se unen para dar la carga útil combinada 3-DP-ALL que después se analiza mediante el cortafuegos 4-DP-ANL de DPI.

La inspección de paquetes profunda funciona examinando la carga útil de uno o más paquetes. Busca estrechamente en el contenido de la carga útil y puede buscar: una cadena de búsqueda, una firma de virus conocida o una firma heurística indicativa de un virus, patrones de malware, blobs binarios mal formados que se disfrazan de diferentes tipos de datos, u otras amenazas, conocidas o desconocidas.

La figura 5 ilustra un trayecto de ataque de red amplio desde Internet 002 hasta una LAN 114. Esta figura muestra el tamaño de tubería relativo o ancho de banda de cada segmento de red. Una LAN NTSP08 interna puede estar funcionando a una velocidad de 10 GigE. Este segmento de red incluye la conexión CP114 entre el POP 022 del ISP y el cortafuegos interno FW 144. La red NTSP04 del ISP local también puede ser de 10 GigE. Este segmento de red incluye la conexión CP022 entre Internet y el POP 022 del ISP. Generalmente, la velocidad de la red de estructura principal de Internet NTSP02 será significativamente más rápida, tal como una red 3 * 100 GigE de conexión múltiple.

Sin embargo, la red NTSP06 de conexión de “línea local” entre el cortafuegos de cliente FW 144 y el POP 022 del ISP será generalmente mucho más lenta. Por ejemplo, la conexión CP 144 entre el FW 144 y el POP 022 puede ser una conexión de 200 Mbps, en vez de la velocidad de 10 GigE más rápida de cualquiera de NTSP04 o NTSP08. Dado que esta conexión tiene menos ancho de banda, por ejemplo es más lenta, esta conexión puede saturarse fácilmente mediante un ataque coordinado basado en Internet. El POP 022 del ISP también puede saturarse, afectando no sólo a la conectividad de este cliente sino también a la de otros.

La figura 6 muestra efectos de retroceso negativos sobre una red debido a un ataque de alto volumen de tráfico que se produce en una red yuxtapuesta. Cuando el trayecto CP144 se sobresatura con tráfico de ataque ATK-432 y ATK-434, esto puede tener un efecto negativo sobre los trayectos de redes yuxtapuestas CP142 (que conecta al cortafuegos FW142 y el trayecto CP112 a la LAN 1120) y CP146 (que conecta al cortafuegos FW146 y el trayecto CP116 a la LAN 116). Esto se debe a la estrecha proximidad de CP142 y CP146 con CP144 y sus trayectos de flujo ascendente compartidos a través del POP 022.

Los efectos negativos sobre CP142 y CP146 pueden deberse a la congestión de puertos en conmutadores compartidos con CP144 así como a otros factores. Además, los problemas de congestión en la tubería CP022 desde Internet hasta el POP 022 afectan a todo el tráfico entre el Po p 022 del ISP e Internet 002. Los problemas de congestión del POP 022 también pueden afectar al flujo de tráfico a través del POP y saturar el ancho de banda del ISP, teniendo de ese modo un impacto negativo sobre el rendimiento de tráfico de dispositivo.

Aunque CP142 y CP146 pueden no someterse a un ataque directo, todavía se verán adversamente afectados por los ataques sobre CP144 a través del POP 022 común y el trayecto CP022.

La figura 7 ilustra un cortafuegos de perímetro múltiple ubicado en la nube. Ubicar un cortafuegos de perímetro múltiple en la nube tiene la ventaja de identificar y aislar tráfico problemático en un punto aguas arriba de la ubicación de un cortafuegos tradicional. Desplegando un cortafuegos de perímetro múltiple en la nube CFW 7-144LB, se identifica y se aísla tráfico problemático en la red 7-NTSP02 de estructura principal del ISP. El tráfico problemático se desvía y no llega a la red 7-NTSP06 de conexión de “línea local”. Esto significa que la red 7-NTSP06 de conexión de “línea local” lenta de 200 Mbps se aísla y se protege frente al alto volumen de tráfico procedente de múltiples vectores de ataque simultáneos presentes en la red 7-NTSP02 de estructura principal más rápida de 3 x 100 GigE.

La figura 8 ilustra la capacidad de ajuste a escala de un cortafuegos de perímetro múltiple ubicado en la nube y demuestra cómo puede habilitarse una característica tal como un cortafuegos (FW) distribuido en la nube mediante una GVN. Los cortafuegos basados en la nube pueden ajustarse dinámicamente a escala mediante mecanismos de equilibrado de carga de cortafuegos en la nube que pueden traer más recursos en línea según se necesite. Debido a la naturaleza de la topología de una GVN, las comunicaciones de dispositivo a dispositivo y el trayecto de tráfico seguro, un mecanismo de cortafuegos puede basarse en la nube y también puede virtualizarse. El cortafuegos 8-144 está ubicado en la nube entre Internet 8-000 y la GVN 8-028. El cortafuegos 8 144 puede incluir un equilibrador 8-144LB de carga de cortafuegos en la nube (CFW) que podrá asignar recursos de cortafuegos en la nube tales como 8-144-2, 8-144-3 y así sucesivamente según se necesite. Este ajuste a escala bajo demanda ofrece muchas ventajas para los clientes de una GVN.

En primer lugar, al absorber los impactos de los ataques para amenazas entrantes en la nube, la conectividad de línea local del cliente no se ve afectada. En segundo lugar, combinar un cortafuegos en la nube con un nodo de control y analizador permite que el cortafuegos en la región sometida a ataque conozca la naturaleza, fuente, firma y otras características del ataque de modo que el cortafuegos puede conocer y estar preparado para frustrar el ataque si el objetivo cambia a una red de cliente diferente. Además, puede compartirse información sobre ataques pasados y actuales a través del mecanismo de API neutro (NAPIM) de la GVN con otras instancias de CFW, de modo que es posible un conocimiento de amenaza global.

Finalmente, tal como se muestra a continuación en la figura 12, un cortafuegos en la nube ofrece la ventaja de ejecutar diferentes mecanismos de cortafuegos, tales como SPI y DPI, simultáneamente.

La figura 9 ilustra un cortafuegos de perímetro múltiple encima (OTT) de una GVN que a su vez está encima (OTT) de una conexión de Internet. Esta figura demuestra la funcionalidad en capas incorporada encima (OTT) de otra funcionalidad en capas. Por ejemplo, un cortafuegos de perímetro múltiple (MPFWM) 9-88 que es OTT2 9- TOP88 con respecto a una red virtual global (GVN) 9-86. La GVN 9-86 es O<t>T19-TOP86 con respecto a la conectividad 9-82 de Internet básica en el enlace de servicio de red de ISP de capa para Internet 9-TOP82.

OTT2 es por encima de segundo grado, lo que significa que algo está por encima de algo que a su vez es OTT1, por encima de otra cosa.

La figura 10 es un diagrama de flujo de las diversas rutas disponibles a través de una GVN desde un origen C 10- 002 hasta un destino S 10-502. Puede haber muchas más combinaciones posibles que no se muestran ni se comentan.

El trayecto 10-CP00 desde el cliente C 10-002 hasta el EPD 10-108 puede usarse para medir el rendimiento desde el cliente hasta la LAN hasta el EPD. La coincidencia de las mejores rutas se logra después de pruebas y evaluando datos en tiempo real de trayectos disponibles. El ingreso de GVN es desde el EPD 10-108 a través del primer salto 10-CP00 hasta un servidor 10-102, 10-104, 10-106, 10-202, 10-204 de punto de acceso (SRV_AP). Los trayectos desde el EPD 10-108 hasta un primer SRV_AP pueden definirse como el punto de ingreso desde el EPD 10-108 hasta la GVN y medirse en consecuencia. Los saltos internos desde el SRV_AP hasta el SRV_AP siguen rutas internas que siempre intentan mantener la mejor conectividad de trayecto. Estas rutas pueden ser OTT de Internet, sobre estructura principal, sobre fibra oscura u otro enrutamiento relacionado. También se realiza un seguimiento local de los mejores puntos de egreso de la GVN, en esa región remota y también de manera holística para todo el segmento de red desde el origen hasta el destino.

Pueden realizarse pruebas en cada segmento, combinaciones de segmentos y el trayecto de red total desde un extremo hasta otro teniendo en cuenta diversos factores para evaluar. El tipo de tráfico y la determinación de trayecto pueden depender de atributos de datos y requisitos de QoS de perfil. La elección de trayecto principal siempre se basa en los mejores factores para tráfico sobre trayecto. Una función de este mecanismo es hacer coincidir trayectos entre destino y origen con el flujo para la mejor ruta bidireccional posible.

El centro del enrutamiento inteligente avanzado (ASR) dentro de una GVN es un índice almacenado en un disco, en memoria o en una tabla de base de datos. El índice contiene una lista de direcciones IP para mantener localmente y saldrá a través de un EIP en la misma región. Para tráfico a través de una GVN a otras regiones, rutas mediante dispositivos de SRV_AP y trayectos se determinan mediante una matriz de disponibilidad de servidor (SAM) y ASR. El índice almacena una lista de objetivos que hace coincidir direcciones IP objetivo con los mejores puntos de egreso/ingreso (EIP) en esa región. Además, una tabla de direcciones IP de país mapeadas a regiones como bloques de IP de CIDR u otro tipo de notación puede ayudar en la determinación de los mejores puntos de egreso.

Para tráfico que fluye en dirección al origen C 10-002 desde el destino S 10-502, el primer EIP 10-320, 10-322, 10-334, 10-326 ó 10-328 es el límite inicial entre la GVN e Internet, otras redes (tales como LAN), tuberías principales u otros. Un cortafuegos de SPI puede estar ubicado en la GVN detrás de este punto de entrada inicial delimitando el primer perímetro externo. En los siguientes SRV_AP o en otros SRV_AP tales como el SRV_AP 10-102, 10-104, 10-204 y 10-206, puede estar ubicado un segundo perímetro de cortafuegos de DPI finales. El cliente también puede ejecutar un cortafuegos de SPI o DPI entrante en su propia red si lo desea en el segmento 10- CP00.

Para tráfico que fluye en dirección al destino S 10-502 desde el origen C 10-002 a través del EPD 10-108, los primeros cortafuegos de SPI/DPI pueden estar ubicados entre el origen C 10-002 y el EPD 10-108 a lo largo del trayecto 10-CP00. Un segundo perímetro de cortafuegos pueden estar ubicados en los SRV_AP tales como 10 102, 10-104, 10-204 y 10-106 para proteger tráfico saliente.

Para tráfico procedente de Internet, el ajuste a escala en la nube es muy importante porque puede gestionar la carga pico de un tráfico distribuido de conexión múltiple cuando se necesita aumentando a escala la asignación de recursos. Cuando la actividad está relativamente tranquila, puede entregarse una cantidad mínima de recursos. La capacidad de ajuste a escala de recursos no es un factor tan crítico para el tráfico saliente a Internet. En la mayoría de los casos, la red de LAN tendrá un ancho de banda mayor que el enlace ascendente de red. La capacidad de ajuste a escala es menos crítica debido a la naturaleza de las amenazas desde el interior de una LAN/DMZ/red bajo el control del/de los administrador(es) de red.

La figura 18 ilustra la topología y colocación correspondiente de cortafuegos junto con la capacidad de ajuste a escala proporcionada por cortafuegos basados en la nube unidos mediante equilibradores de carga de cortafuegos basados en la nube. Esta figura es similar a la figura 10 con la colocación adicional de diversos cortafuegos basados en la nube de SPI y DPI dentro del flujo de tráfico a través de una serie de trayectos a través de una GVN u otro tipo de red trayectos.

Los cortafuegos de inspección de estado de paquetes (SPI) son dispositivos a través de los cuales fluye el tráfico. Los dispositivos de cortafuegos de inspección de paquetes profunda (DPI) pueden o bien ser de flujo a través o bien analizar copias clonadas de tráfico ofreciendo la opción de funcionalidad de DPI como indicador final. Si se detecta tráfico dañino, posteriormente puede bloquearse una vez identificado. Un beneficio de la comunicación entre dispositivos es que información sobre fuentes de tráfico malas identificadas mediante cortafuegos de DPI puede enviarse mediante mensajes a cortafuegos de SPI para bloquearlas en los mismos.

La figura 11 ilustra la comunicación entre un cortafuegos de inspección de estado de paquetes (SPI) y un cortafuegos de inspección de paquetes profunda (DPI). Esta figura muestra el trayecto desde un dispositivo 11 100 de punto de extremo (EPD) hasta Internet 11-002 a través del trayecto TUN 11-0 hasta un primer servidor 11- 302 de punto de acceso (SRV_AP), después hasta un dispositivo 11-144LB de equilibrador de carga de cortafuegos en la nube (CFW LB) a través del TUN 11-4, y después hasta el SRV_AP 11-304 a través del TUN 11-6. Desde el SRV_AP 11-304, el tráfico egresa de la GVN a través del punto 11-E2 de egreso-ingreso (EIP) hasta Internet 11-002.

El EIP 11-E2 es el borde de la LAN extendida en la nube entre la GVN e Internet 11-002. El EIP puede unirse tanto a Internet abierta como a unos recursos basados en la nube de la organización incluyendo servidores, matrices de almacenamiento y otros dispositivos. También puede ser un enlace a una nube pública-privada híbrida que actúa como DMZ o red de perímetro en la nube.

El tráfico a través del SRV_AP 11-302 puede ser una desviación de tráfico o como tráfico clonado en un flujo duplicado y hacerse pasar a través del trayecto TUN 11-2 hasta el equilibrador 11-142LB de carga en la nube. Un flujo de tráfico clonado ofrece resultados finales de operaciones de detección costosas en cuanto a tiempo y recursos tales como DPI sin afectar a la velocidad del flujo de tráfico. El tráfico de retorno desde Internet 11-002 de vuelta hasta el EPD 11-100 sigue el trayecto inverso ingresando en la GVN a través del EIP 11-E2.

Para tráfico basado en Internet, el primer perímetro es el CFW 11-144LB que envía paquetes a través de los trayectos 11-CPSP0 y 11-CPSP2 al cortafuegos de inspección de estado de paquetes F<w>(SPI) 11-SP0-PRO en el que se inspeccionan las cabeceras del paquete 11-SP0-H. Los cortafuegos de SPI ofrecen un flujo a través de tráfico rápido y demandan relativamente menos recursos que los cortafuegos de DPI.

El segundo perímetro está en el CFW 11-142LB y aquí es donde el cortafuegos de inspección de paquetes profunda FW (DPI) 11-DP0-PRO puede inspeccionar las cargas útiles 11-DP0-P de uno o más paquetes combinados. Los cortafuegos de DPI ofrecen un análisis más en profundidad. Si la carga útil muestra un problema, entonces puede anotarse la fuente, el objetivo y otra información a partir de las cabeceras.

Por tanto, la comunicación entre los cortafuegos de SPI y los cortafuegos de DPI puede ser útil. El FW (SPI) 11SP0-PRO puede enviar información a partir de detecciones en tiempo real a través del trayecto 11-APFW-SP al equilibrador de carga de cortafuegos en la nube CFW 11-142LB para alertarle sobre cualquier amenaza que haya detectado mediante inspección de cabecera. Además de compartir las cabeceras infractoras detectadas, también se incluirán las cargas útiles 11-SP0-P cuando se transmita información al CFW 11-142LB y 11-DP0-PRO. El FW (DPI) 11-DP0-PRO puede enviar información a través del trayecto 11-APFW-DP al equilibrador de carga de cortafuegos en la nube CFW-11144LB para alertarle sobre cualquier amenaza que haya detectado mediante inspección de carga útil. La información que comparte también puede ser de la cabecera 11-DP0-H de modo que las operaciones de detección de cortafuegos de SPI mediante 11-144LB y/o 11-SP0-PRO pueden añadir las cabeceras infractoras a su lista de infractores de tráfico.

La figura 12 ilustra un cortafuegos de perímetro múltiple (MPFW) en la nube habilitado mediante una red virtual global (GVN). El túnel 12-TUN0 de GVN está encima (o Tt ) de Internet entre un dispositivo 12-100 de punto de extremo (EPD) y un servidor 12-300 de punto de acceso (SRV_AP) en estrecha proximidad al EPD 12-100.

Los tres perímetros indicados en este ejemplo de realización son 12-M1 que designa el límite entre una ubicación de cliente y su enlace a Internet, 12-M2 que es un límite en la nube en un centro de datos en estrecha proximidad al SRV_AP 12-300, y 12-M3 que es otro límite o bien en el mismo centro de datos que el SRV_AP 12-300 o bien en otra ubicación en estrecha proximidad al SRV_AP 12-302, posiblemente en otra región.

El túnel 12-TUN2 es similar al 12-TUN0 y diferente en un aspecto, ya que conecta un dispositivo 12-130 de punto de extremo personal (PEPD) que puede ser móvil y, por tanto, se conecta al SRV_AP 12-300 a través de redes de acceso público inalámbricas o cableadas u otras redes para integrarlas en la GVN. Un PEPD 12-130 puede ser menos potente que un EPD 12-100 y, por consiguiente, cambiar operaciones de procesamiento al SRV_AP tal como se muestra en la figura 14 a continuación.

Cada SRV_AP 12-300 y SRV_AP 12-302 puede representar uno o más dispositivos de SRV_AP a través de los cuales el EPD 12-100 y/o el EPD 12-130 pueden conectarse simultáneamente a través de uno o más túneles múltiples.

Hay tres tipos de cortafuegos descritos en este ejemplo de realización. El cortafuegos local FW local 12-442 es un ejemplo de un cortafuegos que puede usar un cliente para proteger su red de área local (LAN) frente a amenazas de Internet. Este está normalmente ubicado entre el EPD 12-100 y la LAN 12-000. El cortafuegos local FW local 12-442 puede ofrecer características tales como bloqueo de puertos y direcciones IP, reenvío y otra funcionalidad. Los otros dos tipos de cortafuegos ilustrados son FW SPI 12-446 ubicado en 12-M3 que proporciona inspección de estado de paquetes (SPI) y FW DPI 12-444 ubicado en 12-M2 que proporciona inspección de paquetes profunda (DPI).

La diferencia entre SPI y DPI tiene que ver con un compromiso del rendimiento frente a la exhaustividad de la visibilidad. SPI examina las cabeceras de paquetes para buscar información mal formada, o patrones, o hacer coincidir dirección IP o puerto u otra información de su lista de amenazas conocidas frente al flujo actual de paquetes. DPI, como su nombre implica, busca de manera más profunda en todo el paquete y, en el caso de una transmisión de múltiples paquetes en múltiples partes, buscará en la compilación de una serie de paquetes para obtener información sobre los datos que están transfiriéndose.

Todos los cortafuegos pueden configurarse para investigar y aplicar reglas en tráfico tanto entrante como saliente, y proporcionar otra funcionalidad relacionada. En muchos casos, con un cortafuegos tradicional tal como FW 12-442, los administradores tienen que elegir entre la eficiencia de SPI frente a la exhaustividad, pero intensos requisitos de recursos y tiempo, de<d>P.

Una GVN ofrece la oportunidad de distribuir ambos tipos de inspección de paquetes en diversos puntos en la nube. Además, la GVN permite que los cortafuegos distribuidos funcionen en paralelo entre sí, sin afectar al flujo de tráfico.

Ubicando FW SPI 12-446 en 12-M3, el borde más cercano a Internet 12-302 a través del EIP 12-310 remoto, puede frustrarse la mayor cantidad de tráfico de ataque a partir de direcciones IP de origen conocidas o con cabeceras maliciosas reconocidas. El tráfico fluye desde el SRV_AP 12-302 hasta el FW SPI 12-446 a través del 12-T10 y de vuelta a través del 12-T12. El FW SI 12-446 puede ser un equilibrador de carga de CFW (véase la figura 11) que tiene muchos recursos disponibles bajo demanda. Los SRV_AP en 12-M3 pueden estar en una estructura principal de conexión múltiple con una gran capacidad de ancho de banda (BW). Por tanto, en este primer perímetro, pueden atraparse ataques, protegiendo el ancho de banda dentro de la GVN.

En el siguiente perímetro 12-M2, el FW DPI 12-444 puede hacer que todo el tráfico fluya a través o recibir simplemente una copia clonada del tráfico a través de 12-T20 desde el SRV_AP 12-300 y puede o no devolver el tráfico a través de 12-T22. El punto clave es que la característica de DPI puede ser un indicador final que permite que cierto tráfico pase a través pero analizando y registrando los resultados. Este FW DPI 12-444 también puede ser un CFW que se somete a equilibrado de carga con recursos disponibles bajo demanda según se necesite para abordar acontecimientos a gran escala cuando se necesita sin que los clientes individuales tengan que administrar o soportar la carga de coste para mantener la infraestructura durante tiempos normales.

La información procedente del FW SPI 12-446 y el FW DPI 12-444 puede compartirse mediante el trayecto 12-P6 de comunicaciones interno que puede llevarse a cabo por el NAPIM de la GVN, a través de un túnel de GVN, a través de un canal posterior de GVN o a través de otra(s) ruta(s) de comunicaciones. Cada mecanismo de FW también comparte información con los servidores de control centrales (SRV_CNTRL) 12-200 de la GVN. Esta información puede retransmitirse a otros FW SPI y FW DPI alrededor del mundo de modo que los vectores de ataque, fuentes, cargas útiles y otra información relacionada pueden ponerse a disposición en una base de datos u otro índice de información de modo que el FW de SPI y DPI puede tener un punto de referencia con el que realizar comprobaciones. Esto permite mayores eficiencias de escala ya que la distribución global de información proporciona una red de seguridad añadida.

Atrapar tráfico infractor fuera de una LAN de cliente y en la nube protege la conectividad de Internet y de conexión local del cliente frente a la saturación por tráfico no deseado. La descarga de tráfico a CFW que pueden ajustarse a escala también ofrece muchas ventajas a los clientes.

El FW local 12-442 puede ser un dispositivo autónomo, una aplicación de software (APP) que se ejecuta dentro del EPD 12-100 u otra clase de dispositivo de FW. Los dispositivos de FW SPI 12-446 y FW D<pi>12-444 y dispositivos relacionados tales como equilibradores de carga, cortafuegos en la nube u otros dispositivos pueden producirse a medida o pueden estar comercialmente disponibles de otros proveedores. Estos dispositivos deben poder recibir y reenviar tráfico, identificar amenazas y, lo más importante, poder comunicar sus hallazgos sobre amenazas y recibir perfiles de amenaza y otra información a partir de otros dispositivos.

A medida que se acumulan los datos sobre amenazas, puede realizarse un análisis del contenido, los patrones, los vectores de ataque y otra información recopilada por los FW. Este análisis puede proporcionar una base a través de la cual puede aplicarse un análisis heurístico a nuevas posibles amenazas.

Esto sólo puede lograrse mediante los servicios de optimización de red segura (SNO) de una GVN o red similar que consiste en dispositivos relacionados conectados tanto mediante túneles seguros como mediante trayectos de comunicación.

La figura 14 ilustra un cortafuegos de perímetro múltiple (MPFW) en la nube que soporta un dispositivo de punto de extremo personal. Esta figura es similar a la figura 12 pero muestra dispositivos portátiles que se engancharán en la GVN desde una ubicación móvil y en la que el límite 14-M1 es el borde entre una red de área personal PAN 14-010 y la GVN.

Esta figura muestra la topología de un dispositivo de punto de extremo personal (PEPD) 14-130 con parte de su conectividad y otra funcionalidad distribuida en la nube. Esta figura describe además operaciones de cortafuegos distribuidas en la nube junto con aquellas operaciones realizadas en la nube en nombre de un dispositivo local tal como un dispositivo 14-130 de punto de extremo personal (PEPD). Cuando un PEDP 14-130 es un dispositivo menos potente y más portátil que un dispositivo de punto de extremo (EPD), todavía puede aprovechar la optimización de conectividad de red de área personal proporcionada por una GVN, incluyendo características tales como enrutamiento inteligente avanzado (ASR), cortafuegos de perímetro múltiple y más.

El punto clave ilustrado es que el dispositivo personal dispersa su necesidad de potencia de procesamiento en la nube. Los módulos que residen en el PEPD incluyen componentes de hardware para el procesador CPU 106, la memoria RAM 108 y la interfaz de red NIC 102. El sistema operativo es un O/S 110 mínimo para proporcionar una plataforma para software de sistema, SW 112 de sistema y un módulo 172 de conectividad. Esta configuración básica es suficiente para permitir que el PEPD 14-130 construya un túnel 14-TUN2 entre sí mismo y un servidor de punto de acceso SRV_AP 14-300.

Las partes componentes en los componentes de hardware de SRV_AP 14-300 para el procesador CPU 306, la memoria RAM 308 y la interfaz de red NIC 302. El sistema operativo O/S 310 es una instalación más extensa que el O/S 110. El O/S 310 proporciona una plataforma para el software de sistema, SW 312 de sistema y un módulo 372 de conectividad para el SRV_AP 14-300. El módulo 350 de enrutamiento inteligente avanzado (ASR) y otros módulos 370 ofrecen una funcionalidad tanto al SRV_AP 14-300 como al PEPD-14-130 conectado.

El PEPD 14-130 puede depender del túnel 14-TUN2 para poder portar tráfico para realizar funcionalidad basada en la nube de ASR, FW y otra funcionalidad operativa.

El EPD 100 es el dispositivo de punto de extremo. El SRV_AP 300 es un servidor de punto de acceso que está ubicado en la región de destino objetivo. El SRV_CNTRL 200 es un servidor central accesible tanto por el EPD como por el SRV_AP así como por otros dispositivos que pueden soportar un mecanismo de destino gráfico.

Cada dispositivo EPD 100, SRV_AP 200 y SRV_CNTRL 300 almacena información sobre sí mismo en un repositorio de información local en forma de listas, archivos, tablas de base de datos y registros y otros medios. Este repositorio también contiene información sobre relaciones de dispositivos homólogos, registros de almacenamientos, más otra información operativa relevante. El SRV_CNTRL 200 también tiene funcionalidad de almacenamiento adicional y su función es proporcionar información a otros dispositivos relevantes para ellos y/o para los dispositivos homólogos con los que pueden conectarse, para evaluar condiciones actuales y proporcionar directrices de tipo control centralizado tales como la publicación de una lista de disponibilidad de servidores y otra funcionalidad. Un mecanismo de API neutro (NAPIM) puede enviar información entre dispositivos y los homólogos con los que se conectan y también puede usarse para actualizar la propia API.

La base de datos en el SRV_CNTRL 200 actúa como repositorio para información sobre sí mismo así como repositorio centralizado para otros dispositivos. Puede haber muchos servidores SRV_CNTRL 200 diferentes que actúen como maestros múltiples en muchas ubicaciones. Cada base de datos puede almacenar cierta información incluyendo información de túnel, información de homólogos, información de tráfico, información de memoria caché y otra información. La seguridad y otros aspectos se gestionan independientemente por cada dispositivo incluyendo funcionalidad de latido, secuencias de comandos activadas y otros mecanismos.

Esta figura muestra adicionalmente el gestor D344, D244, D144 de cortafuegos en el servidor 300 de punto de acceso (SRV_AP), el servidor 200 de control central (SRV_CNTRL) y el dispositivo 100 de punto de extremo (EPD), respectivamente. El gestor D344 de FW del SRV_AP 300 se comunica con el gestor D244 de FW en el SRV_CNTRL 200 a través del trayecto 15-PA2. Hay información disponible para un gestor D144 de FW del EPD 100 a través del trayecto 15-PA1 para recibir información a partir del gestor D244 de FW en el SRV_CNTRL 200.

Las comunicaciones de comandos y control así como la transmisión de información de notificación entre los cortafuegos SPI 15-SP0-PRO y DPI 15-DP0-PRO se realiza a través de los trayectos 15-BA44 y 15-BA42, respectivamente.

El almacenamiento de información de FW en las bases de datos B344, B244 y D144 en diversos dispositivos permite conocer amenazas y también puede tener en cuenta decisiones de enrutamiento para tráfico a través de una GVN. Por ejemplo, en el caso de un ataque activo que satura una estructura principal en una región, esto puede tener un efecto adverso sobre la ponderación para tráfico a través de esa ruta, con el efecto de tráfico a través de una ruta menos congestionada para recibir prioridad de enrutamiento.

La figura 16 ilustra el intercambio de dispositivo a dispositivo de información en una GVN. El flujo de tráfico es desde la red 16-002 de área local (LAN) hasta el dispositivo de cortafuegos (FW) 16-144 a través del trayecto 16-CP144, luego hasta el dispositivo 16-100 de punto de extremo (EPD) a través del trayecto 16-CP100. El EPD construye un túnel TUN 16-0 encima (OTT) de Internet 16-000 hasta el SRV_AP 16-302.

La matriz de datos 16-144100 que contiene información sobre el EPD 16-100 se comparte con el FW 16-144 a través de los trayectos 16-APSP4 y 16-AP100. La matriz de datos 16-100144 que contiene información sobre el FW 16-144 se comparte con el EPD 16-100 mediante los trayectos 16-APSP4 y 16-AP144. En este ejemplo, la matriz de información de EPD sólo está disponible a través del puerto de LAN y no desde el exterior a través de un puerto de WAN abierto. Puede estar disponible para otros dispositivos de confianza en la GVN a través del TUN 16-0.

El punto clave es ilustrar un método automatizado para que un dispositivo se identifique frente a dispositivos relacionados que incluyen información tal como sus especificaciones de hardware, versión de software, estado de funcionamiento actual y otra información relevante.

La figura 17 ilustra la integración de un cortafuegos de perímetro múltiple con otros sistemas en una GVN. Siempre se producen actos de guerra de la información. Ya sean por una nación, por agentes corporativos, piratas informáticos u otros actores, estos ataques son incesantes y, según las tendencias, las amenazas están aumentando. Usando la topología descrita en el presente documento, existe la posibilidad de integrar la información sobre ataques en directo que se detectan por cortafuegos pasivos u otros dispositivos intermedios de monitorización de este tipo en Internet agregada y notificada por organizaciones o empresas de proveedores de seguridad. Ya sea la naturaleza del ataque una intrusión, un ataque de suplantación de la identidad, un intento de robo de propiedad intelectual, un ataque de DDoS u otra amenaza conocida o desconocida, el punto clave es proteger la red propia.

La figura 17 muestra bucles de API de petición / respuesta (REQ / RESP) entre diversos dispositivos. Estos bucles de información pueden compartir información que aprende un cortafuegos en la nube tal como CFW-DPI 17-142LB o CFW-SPI 17-144LB sobre tráfico que fluye a través del mismo que se notifica al SRV_CNTRL 17 200. Los bucles de información pueden compartir información sobre ataques en otras ubicaciones pasando información desde el SRV_CNT<r>L 17-200 hasta el cortafuegos en la nube tal como CFW-DPI 17-142LB o CFWSPI 17-144LB. Además, la información almacenada en la base de datos Db 17-B200 en el SRV_CNTRL 17-200 también puede contener patrones heurísticos, firmas de amenazas conocidas, así como información procedente de alimentaciones de monitorización de Internet globales que van a compartirse. La visibilidad para un administrador humano también puede ponerse a disposición de una instancia albergada en el EPD 17-100 a través de una interfaz gráfica de usuario (GUI) en el cliente 17-018 a través del trayecto 17-GUI-AJAX.

La flexibilidad de esta topología de intercambio de información también permite monitorización del rendimiento, módulo de facturación para un uso ajustable a escala basado en la nube recursos de cortafuegos, administración de sistemas y otros fines.

La figura 20 es similar a la figura 18 e ilustra la topología de dispositivos y conectividad para el flujo de información hacia y desde un dispositivo 20-100 de punto de extremo (EPD) e Internet 20-002.

El tráfico fluye desde Internet 20-002 hasta el punto 20-E2 de egreso-ingreso (EIP), al interior del servidor 20-304 de punto de acceso (SRV_AP) y después a través del túnel TUN 20-6 hasta el equilibrador de carga de cortafuegos en la nube CFW 20-144LB. Este equilibrador de carga asigna recursos de cortafuegos de inspección de estado de paquetes (SPI) en el FW (SPI) 20-SP0-PRO. Este cortafuegos de SPI examina la información de cabecera 20-SP0-H de paquetes que fluyen a través del mismo. La información de amenazas detectadas por el FW (SPI) 20-SP0-PRO se almacena en la base de datos local Db 20-BS y se comparte con el servidor 200 de control central (SRV_CNTRL) a través del trayecto de comunicaciones 20-APSP4. Esta información se almacena en la base de datos Db B200 del SRV_CNTRL. La información sobre amenazas detectadas en otros cortafuegos de SPI se comparte desde el SRV_CNTRL 200 hasta el FW (SPI) 20-SP0-PRO a través del trayecto de comunicaciones 20-APSP4.

El tráfico que el CFW 20-144LB permite que pase fluye a través del TUN 20-4 hasta el SRV_AP 20-302. En el SRV 20-302, el tráfico tiene dos opciones: puede o bien fluir directamente hasta el EPD a través del TUN 20-0 con una copia clonada del flujo de datos que se desplaza a través del TUN 20-2 hasta el equilibrador de carga de cortafuegos en la nube CFW 20-142LB. O bien el flujo no clonado puede desviarse para su filtrado y análisis por el equilibrador de carga de cortafuegos en la nube<c>F<w>20-142LB.

Este equilibrador de carga de cortafuegos en la nube CFW 20-142LB asigna recursos de cortafuegos de inspección de paquetes profunda (DPI) en el FW (DPI) 20-DP0-PRO. Este cortafuegos de DPI examina la información de carga útil 20-DP0-P de uno o más paquetes combinados que fluyen a través del mismo. La información de amenazas detectada por el FW (DSPI) 20-DP0-PRO se almacena en la base de datos Db 20-BD y también se comparte con el servidor 200 de control central (SRV_CNTRL) a través del trayecto de comunicaciones 20-APDP4. Esta información se almacena en la base de datos Db B200 del SRV_c Nt RL. La información sobre amenazas detectadas en otros cortafuegos de DPI se comparte desde el SRV_CNTRL 200 hasta el FW (DPI) 20-DP0-PRO a través del trayecto de comunicaciones 20-AD4.

Si se permite, entonces el tráfico de red fluye desde el SRV_AP 20-302 hasta el EPD 20-100 a través del TUN 20-0.

Los equilibradores de carga de cortafuegos en la nube de SPI y DPI pueden aprender sobre amenazas sistémicas, amenazas encontradas en regiones remotas y obtener otra diversa información o bien a través de comunicaciones con el SRV_CNTRL 200 o bien, en algunos casos, pueden comunicarse entre sí a través de un trayecto directo tal como 20-CPSPDP.

La figura 21 ilustra un algoritmo de cortafuegos de perímetro múltiple basado en la topología de la figura 20 o una topología similar en la que hay múltiples perímetros para diversos tipos de operaciones de cortafuegos.

Las amenazas de Db FW 21-D122 pueden almacenarse en cada dispositivo y/o comunicarse a un servidor de control central (SRV_CNTRL) para su acceso y uso futuros. Las operaciones de SPI están en un perímetro. Las operaciones de DPI están o bien en el mismo perímetro o bien en otro perímetro. Los cortafuegos de SPI y DPI pueden comunicar amenazas entre sí y, basándose en amenazas conocidas, pueden tomarse medidas apropiadas.

En este ejemplo, el tráfico comienza en 21-000. Si se detectan amenazas, se registra información de amenazas y se comparte y se envía el tráfico infractor a un agujero negro en 21-944. El tráfico que se considera limpio fluye hacia fuera en 21-900.

La figura 22 ilustra una vista lógica de la arquitectura de software para dispositivos de cortafuegos tales como un cortafuegos en la nube CFW 444 y un dispositivo equilibrador de carga de cortafuegos en la nube CFW LB 440 así como las pilas para dispositivos relacionados, un servidor 200 de control central (SRV_CNTRL), un servidor 300 de punto de acceso (SRV_AP) y un dispositivo 100 de punto de extremo (EPD). Tal como se muestra, el software y hardware pueden estar distribuidos dentro de los dispositivos de red y a través de diferentes placas de circuito, procesadores, tarjetas de interfaz de red, almacenamiento y memoria.

Las arquitecturas de software de los dispositivos son muy similares entre sí con la diferenciación por función de cada dispositivo en cuando a sus operaciones y algunos módulos diferentes.

El nivel más bajo de cada dispositivo es la memoria (RAM) S106, S206, S306, S406 y los procesadores (CPU) S102, S202,<s>302, S402 y las interfaces S108, S208, S308, S408 de red (NIC). Todos ellos están a nivel de hardware. El sistema S110, S210, S310, S410 operativo (O/S) puede ser un sistema de LINUX o sistema equivalente tal como Debian u otro. Esta descripción de un sistema operativo incluye paquetes y configuración para enrutar, albergar, comunicaciones y otro software de operaciones a nivel de sistema.

El servidor 200 de control central (SRV_CNTRL), el servidor 300 de punto de acceso (SRV_AP) y el dispositivo de punto de extremo (EPD) incluyen una capa de software de sistema S112, S212, S312 del sistema operativo de la red virtual global (GVN). Aquí funcionan comandos personalizados, módulos de sistema, gestores y otras partes constituyentes, así como otros componentes de la GVN. Cada tipo de dispositivo de la GVN puede tener algunas o la totalidad de estas porciones de la capa de software de sistema o diferentes porciones dependiendo de su función.

Los módulos de base de datos Db 120, 220, 320 y los módulos 122, 222 y 322 de hospedaje están configurados en este ejemplo de realización para escuchar, enviar, procesar, almacenar, recuperar y otras operaciones a nivel de base relacionadas del mecanismo de API neutro de la GVN (NAPIM), interfaces gráficas de usuario (GUI) y otros sitios hospedados de secuencia de comandos de lado de servidor. Los módulos 120, 220, 320 de base de datos (Db) pueden ser MySQL o equivalente tal como MariaDb y los módulos 122, 222 y 322 de hospedaje pueden ser secuencias de comandos de Apache y PHP u otro tipo de lenguajes de hospedaje. También se usan secuencias de líneas de comandos y pueden escribirse en Bash, C, PHP, Pearl, Python u otro lenguaje.

Los módulos de facturación pueden colaborar y compartir información tal como la cantidad de datos consumidos por tráfico de túnel que va a facturarse por un modelo de consumo. El módulo de contabilidad ACC 132, 232, 332 funciona en el EPD 100 y el SRV_AP 300 tiene un módulo de facturación correspondiente. Ambos pueden proporcionar información financiera en pantallas de notificación, formularios de pago, extractos enviados por correo electrónico y otros datos financieros producidos por la GVN.

El SRV_CNTRL 200 tiene un gestor 238 de repositorio que gestiona la información de facturación, información de gestor de túnel y otros datos que pueden usarse por diversos dispositivos dentro de la GVN. El gestor 238 de repositorio también gestiona la coordinación de compartir información de pares de homólogos, credenciales y otra información con dispositivos individuales que se conectan a otros homólogos de API a través del mecanismo de API neutro (NAPIM) de la GVN.

El EPD 100 tiene un módulo 130 de API, el SRV_CNTRL tiene un módulo 230 de API y el SRV_AP 300 tiene un módulo 330 de API. Por simplificad en la explicación de este ejemplo de realización, sólo se ha expresado un módulo de API por cada dispositivo. De hecho, los dispositivos pueden tener una función combinada de cliente y servidor dependiendo de su función dentro de la GVN.

Un gestor de memoria caché en el SRV_CNTRL 200 gestiona el índice maestro de diversas memorias caché encadenadas distribuidas a través de muchos dispositivos de la GVN. El motor 136 de compresión en el EPD 100 y 336 en el SRV_AP 300 gestiona la compresión y descompresión de datos almacenados en archivos, en tablas de DB o para datos de transporte en transmisión continua.

El módulo 150 de enrutamiento inteligente avanzado (ASR) en el EPD 100 gestiona el enrutamiento de tráfico desde un EPD 100 hasta el mejor punto de egreso para el destino a través de rutas de la GVN.

El BOT 311 de búsqueda remoto en el SRV_AP 300 es un componente principal del mecanismo de geodestino (Geo-D).

El gestor 254 de DNS en el SRV_CNTRL 200 gestiona el índice de DNS maestro que puede sembrar servidores de DNS en diversos dispositivos de GVN, tales como el DNS 154 en el EPD 100.

Un gestor de registrador en el SRV_CNTRL 200 gestiona tanto registros locales como registros compartidos por dispositivos para el repositorio a través de llamadas de API. El gestor de registrador en este ejemplo de realización implica la funcionalidad de registrar acontecimientos operativos, acciones de API y transacciones y el registrador también tiene otras funciones y procedimientos para diversos aspectos de las operaciones de GVN.

La memoria 152 caché local en el EPD 100 y la memoria 352 caché local en el SRV_AP 300 almacenan localmente datos en memoria caché.

Los gestores 272 de GVN funcionan en el SRV_CNTRL 200 para controlar las operaciones de diversos componentes del sistema tanto en el SRV_CNTRL 200 como en otros dispositivos de la GVN.

El servidor de DNS local y la memoria 154 caché en el EPD 100 y 354 en el SRV_AP 300 permiten almacenar en memoria caché consultas de DNS para una recuperación local rápida. El DNS 154 y 354 puede purgarse completamente, pueden purgarse elementos individuales o pueden establecerse tiempos límite para eliminar consultas recuperadas después de haber transcurrido un determinado periodo de tiempo.

En el EPD 100 hay un agente 158 de suministro de contenido (CDA) que es un componente de Geo-D. En el SRV_AP 300 hay un agente 358 de extracción de contenido (CPA), también un componente de Geo-D. El CPA 358 funciona con el BOT 311 en el SRV 300 para extraer contenido a partir de una región distante usando el DNS 354 local que siembra a partir de esa región. El CPA 358 envía contenido recuperado al CDA 158 usando túneles, memorias caché y otras mejoras de la GVN.

El gestor de conectividad (no mostrado) en el EPD 100 y en el SRV_AP 300 gestiona los túneles entre los dispositivos y otros trayectos de comunicaciones de dispositivo a dispositivo. El gestor de compresión en 215 del SRV_CNTRL 200 gestiona la compresión localmente y también se coordina con los motores 136 de compresión en el EPD 100, 336 en el SRV_AP 300 y en otros dispositivos de la GVN. El enrutamiento en el EPD se coordina con el ASR 150, Geo-D y otros elementos para gestionar el enrutamiento de tráfico.

La estructura de las tablas de base de datos en SDB100, SDB200 y SDB300 son equivalentes para operaciones de dispositivos mientras que los datos para cada una son específicos para tipos de dispositivo, y cada dispositivo tiene dispositivos específicos de identidad. En el SRV_CNTRL 200, la base de datos de repositorio SDB202 es donde se almacena información única para todos los dispositivos y esta información puede usarse por el gestor 238 de repositorio para comunicar credenciales de API, información de túnel u otra información a un dispositivo.

Dentro de cada base de datos de dispositivo están almacenadas la identidad e información de homólogos de API sobre el propio dispositivo y sus compañeros de pares de homólogos, listas de transacción y datos de cola, y otra información. Hay otros usos para los métodos y las bases de datos descritos más allá de lo que se describe pero, por simplicidad de la ilustración, este ejemplo sólo cubre algunos ejemplos de elementos de funcionalidad principal.

El cortafuegos en la nube CFW 444 incluye software de cortafuegos de base S414, así como las reglas generales, DPI, SPI, exploración heurística y otra funcionalidad S444. El dispositivo equilibrador de carga de cortafuegos en la nube CFW LB 440 incluye un software de equilibrador de cortafuegos S448 que gestiona el flujo de tráfico y la asignación de recursos a los cortafuegos en la nube bajo demanda y según se necesite.

Además del dispositivo 100 de punto de extremo (EPD), el servidor 300 de punto de acceso (SRV_AP) y el servidor 200 de control central (SRV_CNTRL), también pueden usarse dispositivos de terceros siempre que tengan la capacidad de comunicarse más credenciales configuradas y otra información para facilitar esta comunicación con otros dispositivos. Bajo cada dispositivo hay algunos componentes posibles que pueden estar ejecutándose dentro de la pila de ese dispositivo, sin embargo pueden estar ejecutándose simultáneamente algunos otros que no se describen en el presente documento. Estos componentes pueden incluir conectividad de FW S148 bajo el EPD 100, conectividad de FW S348 bajo el SRV_AP 300 y gestor de FW S244 bajo el SRV_CNTRL 200. Los módulos de conectividad y de gestor son para la interacción con el CFW 444 y el CFW LB 440. El módulo de gestor lleva a cabo análisis de FW en curso y se comunica con dispositivos de CFW y CFW LB en todo el sistema y ubicados de manera geográficamente diversa con respecto a amenazas conocidas.

Las comunicaciones del equilibrador de carga de cortafuegos CFW LB 440 al cortafuegos CFW 444 pueden realizarse mediante los módulos S434 de conectividad de FW en cada dispositivo. Estos módulos de conectividad pueden gestionar tanto los canales de flujo de datos así como el canal de flujo de información sobre el flujo de datos, las amenazas detectadas y otra información.

Las comunicaciones de dispositivo a dispositivo pueden ser mediante el mecanismo de API neutro (véase la solicitud de patente internacional n.° PCT/IB16/00110) en el EPD 100 a través del API S130, en el SRV_AP 300 a través del API S330, en el SRV_CNTRL 200 a través del API S230 y en el CFW LB 440 a través del API S430.

La figura 23 ilustra el flujo de información desde los cortafuegos (FW) hasta diversos dispositivos en una red virtual global (GVN) a través de un servidor 23-200 de control central (SRV_CNTRL). También incluye la naturaleza de la información almacenada en dispositivos locales con respecto a la información de cortafuegos en las tablas de base de datos (DB) tales como 23-4100 en la DB 23-110, 23-4300 en la DB 23-300, 23-4200 en la 23-210 y también en registros tales como 23-4140 en los dispositivos 23-140 de FW.

Se notifica información desde los dispositivos 23-140 de FW hasta el SRV_CNTRL 23-200 mediante petición de API 23-P140 REQ / 23-P140 RESP o compartición de información de dispositivo a dispositivo equivalente. También puede notificarse al SRV_CNTRL desde dispositivos individuales a través de los trayectos 23-P102, 23-P302, 23-P502 u otros trayectos a partir de otros dispositivos.

El SRV_CNTRL 23-200 puede emitir por radiodifusión y/o publicar información relacionada con FW a dispositivos a través de los trayectos 23-P100, 23-P300, 23-P500 u otros trayectos directos. La información de FW también puede estar disponible mediante llamada de API a partir de los dispositivos 23-260 a través de los trayectos de petición/respuesta 23-P260REQ y 23-P260RESP.

Indicadores pueden indicar la fuente de la información tal como “detectado en este dispositivo”, “detectado en otro dispositivo” y más, y también el punto de origen de ataque tal como “ataque basado en LAN al exterior”, “ataque basado en WAN”, “ataques en circulación libre” y más.

La información almacenada también puede incluir firmas, estructuras conocidas y predichas mediante análisis heurístico, direcciones IP, patrones de códigos de virus y/o malware y/u otras cargas útiles infractoras, características de comportamiento de tráfico problemático, patrón de propagación y más.

El SRV_CNTRL 23-200 también puede usar algoritmos para analizar la información y también clasificar la gravedad basándose en la longevidad de la amenaza, el momento de primera y última detección, la escala y el alcance del ataque y más, para determinar la historia y cualquier tendencia. Este análisis tiene en cuenta amenazas activas, amenazas pasadas, relaciones entre amenazas (por ejemplo, cómo un ataque de suplantación de la identidad puede conducir a un compromiso que abre una red a otros ataques), las condiciones actuales de Internet / red para asignar niveles de amenaza y otros indicadores para medir la intensidad de ataques. Durante momentos relativamente tranquilos, el FW puede ser más permisivo dando como resultado operaciones más rápidas. Durante momentos relativamente activos, el FW puede ser más restrictivo y analítico conduciendo a operaciones y rendimiento posiblemente más lentos.

El SRV_CNTRL 23-200 retiene información de FW en un almacén de repositorio que cataloga tipos de amenaza, historias de notificación y registro de interacción de dispositivos incluyendo publicación de actualización de información de amenazas.

La figura 24 es un diagrama de flujo que describe el algoritmo usado para analizar tráfico que fluye a través de un cortafuegos, un equilibrador de carga de cortafuegos y/o a través de una matriz de cortafuegos. Para tráfico que fluye a través, la primera etapa es evaluar si hay cualquier amenaza activa actual que se detecte 24-100. Esto se ve influido por el estado actual de amenazas 24-140 que es un indicador rodante de lo activo que está el cortafuegos.

Si no se detecta ninguna amenaza y el estado actual de amenazas es normal, entonces se aplican reglas de FW al tráfico 24-220 y se permite que pase a través en 24-300. Permanece en un modo de amenazas pasivo 24-524 y después se reinicia en el siguiente inicio de ciclo de FW 24-000.

Si se detecta una amenaza, el tráfico fluye a través del trayecto 24-P200 y se comprueba la amenaza frente a una lista de patrones de amenaza 24-210 a través del trayecto 24-P210. Si se reconoce, o bien se envía a un agujero negro o bien se pone en cuarentena. El tráfico infractor se registra en 24-240. Una vez gestionadas las amenazas actuales en 24-534, se establece el cortafuegos a modo de amenazas activo 24-554 y después vuelve al inicio de ciclo de FW 24-000.

Si no se reconoce ninguna amenaza, se comprueba usando detección de amenazas heurística en 24-250. Si no se detecta ninguna amenaza, sigue a través de 24-P314 para procesarse como un falso positivo en 24-314. Se actualiza el modo a modo de amenazas activo 24-554 y se inicia el siguiente ciclo en 24-000.

La figura 25 ilustra las diversas capas en una pila de sistema para tratar y gestionar amenazas. El nivel más bajo de la pila son la memoria 25-102, 25-202, 25-302 y la CPU 25-106, CPU 25-206, CPU 25-306. El sistema se construye a partir del nivel más bajo.

El bloqueo incremental de un dispositivo se basa en la naturaleza de la amenaza y lo profundo que puede bajar por la pila. Por ejemplo, la capa de seguridad de Protección-APP 25-140, 25-240 y 25-340 protegen los módulos de aplicación por encima de esa capa. Esto rige las operaciones de determinados módulos, pero no tiene necesariamente un impacto sobre la lógica profunda. Protección-Sis 25-124, 25-224 y 25-324 protegen la capa de software de sistema para operaciones de base de datos, DNS, registro, memoria caché, hospedaje y otra funcionalidad. Protección-O/S 25-114, 25-214 y 25-314 protegen el sistema operativo frente a amenazas. Protección-HW 25-104, 25-204 y 25-304 protegen la capa física del sistema de hardware frente a amenazas, incluyendo archivos de controlador, conjuntos de instrucciones que pueden almacenarse en memoria flash y otros sistemas.

Cuanto más baja está la capa bloqueada, menor es la funcionalidad del sistema.

La figura 26 ilustra un método para descifrar automáticamente un volumen cifrado durante un procedimiento de arranque en el que se recuperan archivos de sistema 26-110 a partir del almacenamiento 26-010 de archivos de HFS. En un punto en un procedimiento de arranque inicial 26-100, se recupera el archivo de clave 26-210 a partir del almacenamiento 26-010 de archivos de HFS. Se usa esta clave 26-A por el módulo 26-200 de desbloqueo de volumen cifrado. Una vez desbloqueado el volumen cifrado, puede usarse 26-300.

Hay un inconveniente evidente por almacenar la clave en un volumen cifrado en el volumen 26-010 de almacenamiento de archivos de HFS. Dado que esto es susceptible a piratas informáticos que logren acceder al sistema para desbloquear el volumen seguro usando la clave que está descifrada. La otra amenaza es para quienes toman la unidad física e intentan descifrar el volumen para robar datos valiosos de clientes y/o someter el sistema a ingeniería inversa para obtener acceso a software almacenado en el volumen cifrado.

La figura 27 ilustra cómo puede calcularse sistemáticamente una identificación de usuario única (UUID) para un dispositivo basándose en varios factores específicos para ese dispositivo. Las UUID 27-100 de hardware (HW), tales como número de serie de CPU, modelo de CPU, direcciones de MAC de tarjeta de interfaz de red (NIC) y otros factores, son normalmente únicas para cada dispositivo. La codificación de DMI de hardware (HW) 27-200 puede usarse usando valores de DMI grabados tales como números de serie, números de versión u otros datos de DMI. También puede usarse la ID de volumen única de una unidad de disco duro (HDD) o unidad de estado sólido (SSD) 27-300. También pueden usarse determinadas UUID de O/S 27-500 que son únicas para la versión de un sistema. La UUID y claves como valores en la tabla de identidad almacenada en la base de datos local 27 600 también pueden usarse como parte de una identidad para un dispositivo.

A nivel de aplicación, las UUID en forma de archivos de clave, certificados y otros identificadores 27-800 pueden usarse para generar una UUID específica para el propio dispositivo.

Pueden calcularse, usarse y validarse diversas UUID de dispositivos para garantizar la veracidad del funcionamiento integral de un dispositivo. La combinación de los diversos factores será difícil o casi imposible de falsificar sin acceder al dispositivo.

La figura 28 ilustra los módulos del mecanismo de arranque seguro. Un dispositivo 28-100 de punto de extremo (EPD) entra en contacto con un servidor 28-500 de arranque seguro (SRV_SB) y presenta un falso paquete de datos a través de la API-2A1-2A5 que rechaza el servidor de arranque seguro. Entonces, el SRV_SB consulta al EPD con un conjunto de interrogaciones. Al superar satisfactoriamente una serie de pruebas, se permite que el gestor 28-150 de arranque seguro en el EPD construya un túnel seguro TUN 28-100500 a través del elemento 28-552 de escucha de arranque seguro en el SRV_<s>B. Las credenciales del dispositivo 28-138 se presentan al SRV_SB para validarse por el gestor 28-550 de arranque seguro frente a valores o bien almacenados en la base de datos 28-B500 o bien en el almacén de 28-H500 HFS.

Sólo tras pasar todas las pruebas, se libera la clave para el volumen cifrado en el EPD 28-100 por el gestor 28 536 de clave y credenciales y se transporta de manera segura al EPD 28-100 a través del TUN 28-100500. La lista de servidores SRV_SB disponibles está disponible para el EPD a través de una consulta de API al servidor 28- 200 de control central (SRV_CNTRL) mediante el mecanismo de disponibilidad de servidor 28-222.

La figura 29 ilustra los detalles del mecanismo de canal posterior. Un dispositivo 29-100 de punto de extremo (EPD) recibe una lista de servidores de canal posterior (<s>R<v>_BC) con los que puede conectarse a través de una llamada de API API-29A1-29A2 al servidor 29-200 de control central (SRV_CNTRL). La lista de disponibilidad de servidor 29-220 proporciona los SRV_BC disponibles actuales con los que puede conectarse el EPD. Esta figura demuestra tres conexiones simultáneas a través del TUN 29-100500 al SRV_BC0 29-500, a través del TUN 29 100502 al SRV_BC229-502 y a través del TUN 29-100506 al SRV_BC629-506.

El cliente de canal posterior 29-510 en el EPD 29-100 realiza conexiones simultáneas a través de los gestores 29- 510, 29-512 y 29-516 de canal posterior una vez despejada la seguridad por la seguridad de BC 29-540, 29 542 y 29-546. Los dispositivos también pueden comunicarse directamente entre sí a través de llamadas de API tales como del EPD al SRV_CNTRL a través de API-29A1-29A2 o del SRV_BC0 al SRV_CNTRL a través de API-29A2-29A50.

La información sobre pares de homólogos, credenciales, certificaciones, claves y otra información referente a la construcción de túneles entre los EPD y los SRV_BC puede transmitirse a través de estas llamadas de API al SRV_CNTRL. Además, mensajes de estado entre homólogos conocidos que tienen una relación sana pueden enviarse directamente a través de API tal como desde el EPD 29-100 hasta el SRV_BC229-502 a través de API-29A1-29A52.

Este ejemplo es para que un EPD se conecte simultáneamente a muchos SRV_BC. El objetivo de un túnel activo es permitir un trayecto siempre disponible con un registro de interfaz de línea de comandos (CLI) al EPD independientemente de si el EPD puede descubrirse o no en Internet y/o red abierta.

La figura 30 ilustra las conexiones entre muchos dispositivos 30-100, 30-102 y 30-106 de punto de extremo (EPD) y un servidor 30-500 de canal posterior (SRV_BC0). Aunque el EPD inicia la conexión en un espacio registrado en el SRV_BC0 30-500, la instancia en la que se registra es una instancia aislada de seguridad de sistema 30-510 para el EPD 30-100, 30-512 para el EPD 30-102 y 30-516 para el EPD 30-106, respectivamente. Cada instancia aislada funciona como una cárcel de sistema en la que el usuario registrado sólo tiene credenciales para muy pocos comandos limitados restringiendo sus acciones, derechos, privilegios y de otro modo su capacidad para actuar en el sistema anfitrión.

Por tanto, desde el EPD hasta el SRV_BC0 30-500, se puede hacer muy poco aparte de mantener la conexión entre los dos. Sin embargo, en el otro sentido, un cliente 30-000 puede registrarse en el SRV_BC0 y, con ciertos permisos, puede tener derecho a acceder a una o más de las instancias aisladas. Y, a partir de ahí, puede realizar SSH inverso por el túnel hasta el registro para una interfaz de línea de comandos remota CLI 30-110 en el EPD 30-100, o la CLI 30-112 en el EPD 30-102, o la CLI 30-116 en el EPD 30-106. Esto permite que el cliente 30-000 realice tareas administrativas, accionamiento remoto, ejecute pruebas y lleve a cabo otras operaciones dentro del alcance de sus derechos registrados. El cliente puede ser un ser humano o un dispositivo automatizado.

La ventaja del canal posterior es proporcionar acceso cuando no puede alcanzarse de otro modo un EPD. Debido a la naturaleza de los túneles TUN 30-100500, 30-102500 y 30-106500, su tolerancia a pérdida de paquetes, fluctuación y otros factores es muy superior a otras formas de túnel y/o trayecto de comunicaciones. Por tanto, en momentos de red inestable, el canal posterior proporciona acceso para diagnosticar y remediar problemas que de lo contrario serán difíciles o imposibles de abordar.

Este diagrama de flujo de procedimiento conlleva realizar una conexión a base de datos, crear una fila y recuperar el valor de ID de fila de número entero de incremento automático correspondiente. Después, usando un procedimiento de cifrado, los valores que van a cifrarse se procesan posteriormente usando una cadena de claves, elementos de ajuste de clave, campos dentro de la fila y otros factores. Los mismos factores usados para cifrar la fila de datos pueden usarse para descifrar.

Cada fila horizontal en la tabla anterior tiene dos campos cifrados, [ENC_A] y [ENC_B]. La clave para cada campo es rotatoria basándose en varios factores basados en algunos de los campos abiertos [User_ID], [Key_Adj] y [Time_Created], más otros factores tales como claves de sistema de base según el siguiente cálculo:

Clavecalculada=UsUdílOlD+Baseciave+ClavGElemento de ajuste+TiempOCreación+OtíOSFactores

Aunque el mismo User_ID introduzca los mismos valores para ENC_A y ENC_B exactamente en el mismo segundo, los valores serán diferentes porque el valor de número entero de incremento automático para n.° de Row_ID (por ejemplo, para [User_ID]=1 en los números de fila 658, 661, 663) es una parte del cálculo de clave. El [Key_Adj] o campo de elemento de ajuste de clave en el ejemplo anterior es un valor alfabético de dos dígitos pero puede ser otros datos almacenados en la fila. El punto clave es que si se roba el SQL de la base de datos, resulta costoso de descifrar desde un punto de vista de cálculo y de tiempo. Tendrá que robarse toda la base de código, SQL y entorno y replicarse para descifrar los valores.

La figura 33 ilustra lo que sucede cuando el contenido de interfaz gráfica de usuario (GUI) que pide un cliente 33 000 a partir de un dispositivo 33-100 de punto de extremo (EPD) y el contenido pedido se almacena dentro de un volumen 33-114 bloqueado. Se emite un error de no encontrado 404 y se capta por un gestor 33-144 de error 404. Se realiza un salto a contenido simplificado en 33-120. Se almacena este contenido fuera del volumen bloqueado o bien como archivos almacenados en el almacenamiento 33-220 de archivos de HFS abierto o bien en contenido de base de datos de DB abierta 33-210, o una combinación de ambas.

Si el volumen seguro está bloqueado, sólo está disponible el contenido fuera del volumen seguro. Sin embargo, si el volumen seguro está desbloqueado, entonces puede proporcionarse el contenido seguro 33-120 a partir de la DB segura 33-210 o los archivos almacenados en el almacenamiento 33-220 de archivos de HFS seguro, o una combinación de ambos.

Secuencias de comandos de Javascript dentro del contenido proporcionado también pueden interrogar al EPD 33-100 para comprobar el estado del volumen seguro. Si estaba bloqueado y se ha desbloqueado, se realiza un salto a contenido seguro. Y a la inversa, si un volumen estaba desbloqueado y de pronto se bloquea, entonces el contenido puede volver a contenido fuera del volumen seguro.

Claims

REIVINDICACIONES

1. Cortafuegos de perímetro múltiple ubicado en una nube y que forma parte de una red virtual global, que comprende:

un dispositivo (EIP 12-310) de punto de egreso-ingreso;

un primer servidor (SRV_AP 12-302) de punto de acceso en comunicación con el dispositivo (EIP 12-310) de punto de egreso-ingreso;

un segundo servidor (SRV_AP 12-300) de punto de acceso en comunicación con el primer servidor (SRV_AP 12 302) de punto de acceso;

un dispositivo (EPD 12-100) de punto de extremo en comunicación con el segundo servidor (SRV_AP 12-300) de punto de acceso;

un primer cortafuegos (FW SPI 12-446) de perímetro en comunicación con el primer servidor (SRV_AP 12-302) de punto de acceso, en el que el primer cortafuegos (FW SPI 12-446) de perímetro evita que al menos parte del tráfico pase desde el primer servidor (SRV_AP 12-302) de punto de acceso hasta el segundo servidor (SRV_AP 12-300) de punto de acceso; y

un segundo cortafuegos (FW DPI 12-444) de perímetro en comunicación con el segundo servidor (SRV_AP 12 300) de punto de acceso, en el que el segundo cortafuegos (FW DPI 12-444) de perímetro evita que al menos parte del tráfico pase desde el segundo servidor (SRV_AP 12-300) de punto de acceso hasta el dispositivo (EPD 12-100) de punto de extremo;

caracterizado porque

un cortafuegos realiza una inspección de estado de paquetes y el otro cortafuegos realiza una inspección de paquetes profunda.

2. Cortafuegos de perímetro múltiple según la reivindicación 1, en el que el segundo cortafuegos (FW DPI 12 444) de perímetro está entre el dispositivo (EPD 12-100) de punto de extremo y el segundo servidor (SRV_AP 12-300) de punto de acceso.

3. Cortafuegos de perímetro múltiple según la reivindicación 1, en el que el primer cortafuegos (FW SPI 12-446) de perímetro está entre el primer servidor (SRV_AP 12-302) de punto de acceso y el segundo servidor (SRV_AP 12-300) de punto de acceso.

4. Cortafuegos de perímetro múltiple según la reivindicación 1, en el que al menos uno de los servidores (SRV_AP 12-300, SRV_AP 12-302) de punto de acceso está configurado para realizar servicios de cortafuegos.

5. Cortafuegos de perímetro múltiple según la reivindicación 1, en el que el primer cortafuegos (FW SPI 12-446) de perímetro está en comunicación con el segundo cortafuegos (FW DPI 12-444) de perímetro.

6. Cortafuegos de perímetro múltiple según la reivindicación 5, en el que el trayecto de comunicación entre el primer cortafuegos (FW SPI 12-446) de perímetro y el segundo cortafuegos (FW DPI 12-444) de perímetro es un túnel de red virtual global.

7. Cortafuegos de perímetro múltiple según la reivindicación 5, en el que el trayecto de comunicación entre el primer cortafuegos (FW SPI 12-446) de perímetro y el segundo cortafuegos (FW DPI 12-444) de perímetro es un canal posterior de red virtual global.

8. Cortafuegos de perímetro múltiple según la reivindicación 5, en el que el primer cortafuegos (FW SPI 12-446) de perímetro y el segundo cortafuegos (FW DPI 12-444) de perímetro comparten información de amenazas que incluye al menos uno de patrones heurísticos, firmas de amenazas conocidas, direcciones IP de origen maliciosas conocidas o vectores de ataque.

9. Cortafuegos de perímetro múltiple según la reivindicación 8, en el que el primer cortafuegos (FW SPI 12-446) de perímetro y el segundo cortafuegos (FW DPI 12-444) de perímetro comparten información de amenazas con un servidor de control central.

10. Cortafuegos de perímetro múltiple según la reivindicación 1, en el que la inspección de paquetes profunda se realiza con tráfico de flujo a través.

11. Cortafuegos de perímetro múltiple según la reivindicación 1, en el que la inspección de paquetes profunda se realiza con una copia clonada del tráfico.

12. Cortafuegos de perímetro múltiple según la reivindicación 1, en el que al menos uno de los cortafuegos incluye un equilibrador (8-144LB) de carga de cortafuegos en la nube y en el que el equilibrador (8-144LB) de carga de cortafuegos en la nube puede asignar recursos de cortafuegos en la nube bajo demanda.