JP2018519688A - クラウド内の複数境界ファイアウォール - Google Patents
クラウド内の複数境界ファイアウォール Download PDFInfo
- Publication number
- JP2018519688A JP2018519688A JP2017553112A JP2017553112A JP2018519688A JP 2018519688 A JP2018519688 A JP 2018519688A JP 2017553112 A JP2017553112 A JP 2017553112A JP 2017553112 A JP2017553112 A JP 2017553112A JP 2018519688 A JP2018519688 A JP 2018519688A
- Authority
- JP
- Japan
- Prior art keywords
- firewall
- srv
- traffic
- access point
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 claims abstract description 43
- 238000007689 inspection Methods 0.000 claims description 36
- 239000013598 vector Substances 0.000 claims description 5
- 238000000034 method Methods 0.000 abstract description 23
- 230000007246 mechanism Effects 0.000 description 23
- 239000000306 component Substances 0.000 description 15
- 238000003860 storage Methods 0.000 description 14
- 230000008901 benefit Effects 0.000 description 13
- 230000006870 function Effects 0.000 description 12
- 230000008569 process Effects 0.000 description 12
- 238000004458 analytical method Methods 0.000 description 9
- 238000004422 calculation algorithm Methods 0.000 description 7
- 230000006835 compression Effects 0.000 description 7
- 238000007906 compression Methods 0.000 description 7
- 239000013256 coordination polymer Substances 0.000 description 7
- 238000001514 detection method Methods 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 6
- 239000000835 fiber Substances 0.000 description 6
- 238000005457 optimization Methods 0.000 description 6
- 230000007935 neutral effect Effects 0.000 description 5
- 238000013515 script Methods 0.000 description 5
- 238000012360 testing method Methods 0.000 description 5
- 230000000694 effects Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000010076 replication Effects 0.000 description 4
- 230000004044 response Effects 0.000 description 4
- 241000700605 Viruses Species 0.000 description 3
- 239000002131 composite material Substances 0.000 description 3
- 230000003993 interaction Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000007704 transition Effects 0.000 description 3
- KJLPSBMDOIVXSN-UHFFFAOYSA-N 4-[4-[2-[4-(3,4-dicarboxyphenoxy)phenyl]propan-2-yl]phenoxy]phthalic acid Chemical compound C=1C=C(OC=2C=C(C(C(O)=O)=CC=2)C(O)=O)C=CC=1C(C)(C)C(C=C1)=CC=C1OC1=CC=C(C(O)=O)C(C(O)=O)=C1 KJLPSBMDOIVXSN-UHFFFAOYSA-N 0.000 description 2
- 235000008694 Humulus lupulus Nutrition 0.000 description 2
- 230000009471 action Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 2
- 238000011156 evaluation Methods 0.000 description 2
- 230000010354 integration Effects 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 239000011159 matrix material Substances 0.000 description 2
- 238000012806 monitoring device Methods 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 238000013468 resource allocation Methods 0.000 description 2
- 229920006395 saturated elastomer Polymers 0.000 description 2
- 230000005641 tunneling Effects 0.000 description 2
- 238000011144 upstream manufacturing Methods 0.000 description 2
- 241000282412 Homo Species 0.000 description 1
- RJKFOVLPORLFTN-LEKSSAKUSA-N Progesterone Chemical compound C1CC2=CC(=O)CC[C@]2(C)[C@@H]2[C@@H]1[C@@H]1CC[C@H](C(=O)C)[C@@]1(C)CC2 RJKFOVLPORLFTN-LEKSSAKUSA-N 0.000 description 1
- 230000002411 adverse Effects 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 230000004888 barrier function Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 239000000969 carrier Substances 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 239000008358 core component Substances 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 230000006837 decompression Effects 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 229940124447 delivery agent Drugs 0.000 description 1
- 230000001627 detrimental effect Effects 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000003116 impacting effect Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000010899 nucleation Methods 0.000 description 1
- 238000013439 planning Methods 0.000 description 1
- 238000004080 punching Methods 0.000 description 1
- 238000011897 real-time detection Methods 0.000 description 1
- 238000005096 rolling process Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000012384 transportation and delivery Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/12—Shortest path evaluation
- H04L45/123—Evaluation of link metrics
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/70—Admission control; Resource allocation
- H04L47/82—Miscellaneous aspects
- H04L47/825—Involving tunnels, e.g. MPLS
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
- H04L12/4645—Details on frame tagging
- H04L12/465—Details on frame tagging wherein a single frame includes a plurality of VLAN tags
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/606—Protecting data by securing the transmission between two devices or processes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/4401—Bootstrapping
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/4401—Bootstrapping
- G06F9/4416—Network booting; Remote initial program loading [RIPL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/22—Alternate routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/28—Routing or path finding of packets in data switching networks using route fault recovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/302—Route determination based on requested QoS
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/64—Routing or path finding of packets in data switching networks using an overlay routing layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/70—Admission control; Resource allocation
- H04L47/72—Admission control; Resource allocation using reservation actions during connection setup
- H04L47/726—Reserving resources in multiple paths to be used simultaneously
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/70—Admission control; Resource allocation
- H04L47/80—Actions related to the user profile or the type of traffic
- H04L47/801—Real time traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/70—Admission control; Resource allocation
- H04L47/80—Actions related to the user profile or the type of traffic
- H04L47/805—QOS or priority aware
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/70—Admission control; Resource allocation
- H04L47/83—Admission control; Resource allocation based on usage prediction
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0254—Stateful filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
Abstract
仮想グローバルネットワークを介して複数境界ファイアウォールを提供するシステム及び方法が開示される。一実施形態では、ネットワークシステムは、第1のアクセスポイントサーバと通信する出入口ポイントと、第1のアクセスポイントサーバと通信する第2のアクセスポイントサーバと、第2のアクセスポイントサーバと通信するエンドポイント装置と、第1のアクセスポイントサーバと通信する第1のファイアウォールと、第2のアクセスポイントサーバと通信する第2のファイアウォールとを含んでよい。第1及び第2のファイアウォールは、トラフィックが、それらに対応するアクセスポイントサーバを通過することを防ぐことができる。第1及び第2のものは互いに通信し、脅威情報を交換可能である。
Description
本願は、米国仮特許出願第62/144,293号(2015年4月7日出願)、米国仮特許出願第62/151,174号(2015年4月22日出願)の優先権を主張するものであり、当該出願の開示全体をここに参照のために取り込む。
本開示はネットワークに監視、特に、クラウド内の複数の境界に分散ファイアウォール(FW)装置を戦略的に配置することによって、グローバル仮想ネットワーク又は類似のネットワークを通るトラフィックのフローを保護するネットワークセキュリティに関する。
人間は200ミリ秒以上の遅延を知覚することができる。典型的には、これが、出来事に対する平均的な人間の反応速度である。レイテンシが大きければ、(例えばシンクライアントからクラウド上のサーバへの)オンラインシステム、顧客関係管理(CRM)、企業資源計画(ERP)及び他のシステムは十分に機能せず、タイムアウトにより機能が停止するおそれがある。パケット損失が大きいハイレイテンシは、接続を使用不可能にする。仮にデータが通過すれば、特定のポイントでの甚大な遅延は、乏しいユーザ体験(UX)をもたらす。この場合、結果として、ユーザはその状況を受け入れることを拒絶し、実際には、乏しい伝送サービスは使えないものとなる。
これらの問題に対処するために、様々な技術が発展している。そのような技術の1つはWAN最適化であり、典型的にはローカルエリアネットワーク(LAN)の端のハードウェア(HW)装置を伴う。これは、他のLANの端にある他のWAN最適化HW装置へのトンネルを構築し、それらの間でワイドエリアネットワーク(WAN)を形成する。この技術は、2つの装置が互いに接続する、安定的な接続状態を想定する。WANオプティマイザは、データフローを圧縮及び安全化するよう試み、これによりしばしば速度は増加する。WAN最適化を採用する商用ドライバは、送信されるデータボリュームを節約し、データ送信のコストを低減するよう試みる。この不利な点は、それがしばしばポイントツーポイントであることと、2つの装置間のインターネットを通るトラフィックフローのパスに対する制御がほぼないために、それらの間の接続が良くないときに苦労することである。これに対処するために、WANオプティマイザのユーザはしばしば、MPLS若しくはDDN線又は他の専用回路上でWANを駆動することを選択する。これにより、費用が増加し、通常は、再び、ポイントツーポイント接続が硬直し不安定になる。
直接リンク(例えばMPLS、DDN、専用回路又は他のタイプの固定的なポイントツーポイント接続)は、接続品質及びサービス品質(QoS:Quality of Service)の保証を提供する。それらは高価で、しばしば、インストールに非常に長い時間を要する。その理由は、接続の両端のPOPからラインを物理的に引く必要があるからである。ポイントツーポイントのトポロジは、1つのLAN内から他のLANのリソースへと、この直接接続WANを介して接続するときには良好に機能する。しかし、一般のインターネットへのゲートウェイ(GW)が一端のLAN(例えば企業の本社)に位置するとき、支社のある国のリモートからのトラフィックは、GWを通してインターネットへとルーティングされる。トラフィックがインターネットを介して、その支社と同じ国にあるサーバに流れ戻るとき、速度が落ちる。トラフィックは、LANからWANを介し、GWが位置するLANへと向かい、次いでインターネットを介して元の国のサーバへと戻らなくてならず、次いで、インターネットを通してGWへ戻り、専用線からLAN内のクライアントデバイスへと戻らなくてはならない。本質的には、この近くのサイトにアクセスするために、わずかなグローバルレイテンシのグローバルトランジット時間の2倍又は3倍(又はそれより悪い)がかかる。これを克服するために、適切な構成変更及び追加装置を有する他のインターネット線の代替接続性により、そのようなシステムの両端で、インターネットへのローカルなトラフィックが提供される。
一方のLANから他方のLANへのWANリンクを作成するための他の選択肢は、トンネル(例えばIPSec又は2つのルータ、ファイアウォール、又は同様のエンド装置間の他のプロトコルトンネル)を確立することを伴う。これらは通常暗号化され、圧縮及び他のロジックを提供して、接続性を向上するよう試みることができる。2つのポイント間のルート上では、ほとんど制御を行うことができない。この理由は、それらがインターネット上の様々な中間参加者のポリシーに依存するからである。それらの参加者は、ネットワーク及びピア上を介して、他のキャリア及び/又はネットワークオペレータへトラフィックを伝送する。ファイアウォール及びルータ、スイッチ及び多くの機器ベンダからの他の装置は、それらファームウェアへと構築されるトンネリングオプションを有する。
近年、ラストワンマイルでの接続性は非常に改善した一方、距離、プロトコル制限、ピアリング、インタフェース及び他の問題に関する事項によって、長距離コネクティビティや脅威については依然問題が存在する。したがって、標準的なインターネット接続のオーバーザトップで稼働するセキュアなネットワーク最適化サービスが要望される。
仮想グローバルネットワークを介して複数境界ファイアウォールを提供するシステム及び方法が開示される。ネットワークは、出入口ポイント装置、第1及び第2のアクセスポイントサーバ、エンドポイント装置、並びに第1及び第2のファイアウォールを含んでよい。第1のファイアウォールは第1のアクセスポイントサーバと通信し、ネットワークトラフィックが第1のアクセスポイントサーバを通って流れることを防ぐことができる。第2のファイアウォールは第2のアクセスポイントサーバと通信し、ネットワークトラフィックが第2のアクセスポイントサーバを通って流れることを防ぐことができる。
一実施形態によれば、少なくとも1つのアクセスポイントサーバはファイアウォールサービスを実行するよう構成される。
他の実施形態によれば、第1のファイアウォールは第2のファイアウォールと通信する。第1のファイアウォールと第2のファイアウォールとの間の通信パスは、グローバル仮想ネットワークトンネル、グローバル仮想ネットワークバックチャンネル、APIコール又はその他であってよい。いくつかの実施形態では、第1のファイアウォール及び第2のファイアウォールは、脅威情報を共有する。当該脅威情報は、ヒューリスティック(発見的)パターン、既知の脅威のシグネチャ、既知の悪意のソースIPアドレス、又は攻撃ベクトルの少なくとも1つを含む。脅威情報は、中央制御サーバを介して共有されてよい。
いくつかの実施形態では、少なくとも1つのファイアウォールがディープパケットインスペクションを実行する。他の実施形態では、少なくとも1つのファイアウォールはステートフルパケットインスペクションを実行する。他の実施形態では、1つのファイアウォールは、ステートフルパケットインスペクションを実行する。他のファイアウォールも、ステートフルパケットインスペクションを実行する。
いくつかの実施形態では、少なくとも1つのファイアウォールは、クラウドファイアウォールの負荷分散装置を含み、これは、クラウドファイアウォールリソースをオンデマンドで割り当てる。
本開示の一層の理解を容易にするために、添付する図面が参照される。ここでは、類似の要素は類似の番号又は参照符号により参照される。これらの図面は、本開示を限定するものとして解釈してはならない。当該図面は例示のみを意図したものである。
5つのタイプのファイアウォール装置の動作を示す。
ファイアウォールを通り得るトラフィックフローを示す。
ステートフルパケットインスペクション及びディープパケットインスペクションを示す。
パケットストリームから組合せて生成されるペイロードを示す。
インターネットからLANへの、ブロードベースネットワークの攻撃パスを示す。
対向するネットワーク上で生じるトラフィック量が多い攻撃による、ネットワークへの否定的なブローバック効果を示す。
クラウド内に位置する複数境界ファイアウォールを示す。
クラウド内に位置する複数境界ファイアウォールのスケーラビリティを示す。
インターネット接続の上位のGVNに対し上位にある、複数境界ファイアウォールを示す。
発信元から宛先へGVNを介して利用可能な様々なルートのフローチャートを示す図である。
ステートフルパケットインスペクション(SPI)ファイアウォールと、ディープパケットインスペクション(DPI)ファイアウォールとの間の通信を示す。
グローバル仮想ネットワークによって可能になるクラウド内の複数境界ファイアウォール(MPFW)を示す。
グローバル仮想ネットワークの装置間の情報フローを示す。
パーソナルエンドポイント装置を支援する、クラウド内複数境界ファイアウォール(MPFW)を示す。
自動装置に求められるモジュールと、ファイアウォール協働と、GVN内での情報交換とを示す。
GVN内の装置から装置への情報交換を示す。
GVN内の他のシステムと複数境界ファイアウォールとの統合を示す。
トポロジ及び対応するファイアウォールの配置を、スケーラビリティと共に示す。当該スケーラビリティは、クラウド上のファイアウォール負荷分散装置によってリンクされるクラウド上のファイアウォールによってもたらされる。
インターネット又はダークファイバ上のバックボーンセグメントを含むGVNトポロジを示す図である。
エンドポイント装置(EPD)及びインターネットへの情報フロー、又はエンドポイント装置(EPD)及びインターネットからの情報フローについての、装置及び接続のトポロジを示す。
複数境界ファイアウォールのアルゴリズムを示す。
クラウドファイアウォール装置、クライアントファイアウォール負荷分散装置、中央制御サーバ、アクセスポイントサーバ及びエンドポイント装置についての、ソフトウェアアーキテクチャの論理図を示す。
GVNにおけるファイアウォール(FW)から様々な装置への、中央制御サーバ(SRV_CNTRL)を介した情報フローを示す。
ファイアウォール、ファイアウォール負荷分散装置、及び/又はファイアウォールアレイを通って流れるトラフィックを分析するのに用いられるアルゴリズムを示す。
は、システムスタックにおける、脅威を扱って処理する様々な層を示す。
起動プロセス中の暗号化ボリュームを自動的に復号化する方法を示す。
一意のユーザ識別(UUID)が、装置特有の多くの要素に基づいて当該装置につき一貫してどのように算出されるかを示す。
セキュアブート(起動)メカニズムのモジュールを示す。
バックチャネルメカニズムの詳細を示す。
多くのエンドポイント装置(EPD)とバックチャネルサーバ(SRV_BC)との間の接続を示す。
循環し且つ算出されたキーを用いて、データベースの列における選択されたフィールドへ暗号化データを書き込む処理を示す。当該キーは、各単一の列につき一意である。
キー、キーアジャスタ、及び算出されたキーに対するフレームワークを用いる他の要素を用いた、単一の列からのデータの復号化を示す。
エンドポイント装置(EPD)を介してクライアントによって要求されたグラフィックユーザ(GUI)のコンテンツと、要求されたコンテンツとが、ロックされたボリューム内に格納されるときに生じることを示す。
インターネットのハイレベルなブロック図である。
ドメインネームシステム(DNS)を介した、数値的なインターネットプロコトル(IP)アドレスに対するユニバーサルリソースロケータ(URL)解決を示すブロック図である。
GVNは、標準的なインターネット接続のオーバーザトップで、セキュアなネットワーク最適化サービスをクライアントに提供する。これは、GVNの構成部分や、GVN要素として機能できる関連技術の概略である。GVN要素は、GVNとは独立して、又は、GVNのエコシステム内で動作する。このとき、それらの要素は、それら自身の目的のため、例えばGVNフレームワークを用いる。また、それらの要素は、GVNの性能及び効率を向上するために展開可能である。この概要はまた、GVNのいくつかの又は全てのコンポーネントを使用するスタンドアロンの配置として、他の技術がどのようにGVNから利益を受けるかを開示し、また、その利益を用いて、既存のGVN上の独立したメカニズムとしてどれが迅速に展開可能かを開示する。
ソフトウェア(SW)上の仮想プライベートネットワーク(VPN)は、クライアント装置とVPNサーバとの間のトンネルを介して、プライバシーを提供する。これらは暗号化の利点を有し、いくつかの場合には圧縮の利点をも有する。しかし、VPNクライアントとVPNサーバとの間のトラフィックがどのように流れるかについて、制御をほぼ行うことができない。VPNサーバとホストサーバとの間や、ホストクライアントと宛先にある他の装置との間も同様である。これらはポイントツーポイントの接続であり、VPN及びいくつかの技術を用いて装置毎にクライアントソフトウェアをインストールし、各装置の接続を維持する必要がある。VPNサーバの出口ポイントが通信パスを介して宛先ホストサーバ又はホストクライアントのすぐそばにある場合、性能は良い。そうでなければ、有用性の観点から、性能上の欠陥や不満が顕著であろう。しばしばVPNユーザにとって、1つのVPNサーバから切断して、他のVPNサーバに再接続することが必要である。これにより、1つの地域からコンテンツへのローカルアクセスは、他の地域からのそのコンテンツへのローカルアクセスに比べて良質である。
グローバル仮想ネットワーク(GVN)は、インターネットの上位におけるコンピュータネットワークの1タイプであり、世界中に分散され互いにセキュアにリンクされた装置のネットワークを用いて、グローバルセキュアネットワーク最適化サービスを提供する。当該リンクは、アプリケーションプログラミングインタフェース(API)、データベース(DB)複製及び他の方法を介して、高度なトンネル、協働及び通信によって実現される。GVNにおけるトラフィックルーティングは常に、アドバンストスマートルーティング(ASR)によって管理される最善の通信パスを介する。そのASRは、ビルダ、マネージャ、テスタ、アルゴリズム解析及び他の方法を組合せた自動システムによって強固にされ、経時変化する状況及び学習に適合し、システムを構成及び再構成する。
GVNは、1以上の通常のインターネット接続のオーバーザトップで、安全、信頼、迅速、安定、正確及び集中的な同時接続性を与えるサービスを提供する。これらの利益は、ラッピング、カムフラージュ又は暗号化されたトンネルによる複数の接続を通過するデータフローを圧縮することによって達成される。そのトンネルは、EPDとEPDの近傍にあるアクセスポイントサーバ(SRV_AP)との間のものである。EPDとSRV_APとの間の接続品質は、継続的に監視される。
GVNは、ハードウェア(HW)エンドポイント装置(EPD)と、インストールされたソフトウェア(SW)、データベース(DB)及びGVNシステムの自動化モジュールとの組合せである。当該自動化モジュールは例えば、ニュートラルなアプリケーションプログラミングインタフェースメカニズム(NAPIM)、バックチャネルマネージャ、トンネルマネージャ、及び他の特徴等である。他の特徴は、EPDを、分散インフラ装置(例えばGVN内のアクセスポイントサーバ(SRV_AP)及び中央サーバ(SRVCNTRL))へ接続させるものである。
アルゴリズムは現在のネットワーク状態を断続的に分析し、傾向や長期にわたる過去の性能を考慮することで、トラフィックが通るべき最善のルートや、トラフィックをプッシュして通すものとしてどれが最善のSRV_AP又は一連のSRV_APサーバであるかを判定する。構成、通信パス及び他の変更は、自動的に実行される。実行中は、最小限のユーザインタラクション又は干渉が要求され、又は、何らのユーザインタラクション又は干渉も要求されない。
EPD及びSRV_APにおけるアドバンストスマートルーティングは、できるだけ簡素に言うところのGVNの「第3の層」を介して、最も理想的なパスを経由して発信元から宛先へとトラフィックが流れることを確実にする。この第3の層は、GVNに接続されたクライアント装置によって、通常のインターネットパスとして視認される。しかしそこでは、ホップの数は少なく、安全性は高く、且つほとんどの場合、同一の宛先へと通常のインターネットを介して流れるトラフィックよりも、レイテンシが低い。ロジック及びオートメーションは、GVNの「第2の層」で動作し、ここではGVNのソフトウェアは、基礎的なルーティング並びに仮想インタフェース(VIF)及び複数のトンネルの構築、通信パスの結合を自動的に監視及び制御する。GVNの第3及び第2の層は、GVNにおける動作的な「第1の層」の上位に存在する。第1の層は、下位のインターネットのネットワーク装置と相互に通信する。
技術的及びネットワーク的な視点から、クラウドは、装置、グループ、アレイ、装置クラスタを示す。それらはオープンインターネットを介して他の装置に接続されて利用可能である。これらの装置の物理的な位置は重要ではない。というのも、それらはしばしば、複数の位置にわたって複製されたデータを有するからである。ここでは、コンテンツデリバリネットワーク(CDN)又は他の技術を用いて、最も近いサーバから要求元クライアントへの伝送又は当該要求元クライアントから当該サーバへの伝送が行われ、接続速度を向上し、ユーザ体験(UX)を向上させる。
本発明は、ファイアウォール(FW)産業による標準的な使用を確立し、境界をクラウドへ拡張することによってその使用価値を増大させる。ファイアウォールは主に、外部ネットワークからの外部脅威に対して内部ネットワークを保護するように設計されるとともに、内部ネットワークから情報データが漏洩することを防ぐ。ファイアウォールは伝統的に、1つのネットワーク(例えばローカルエリアネットワーク(LAN))と、他のネットワーク(例えば、より広いネットワークへのアップリンク)との間の端に配置される。ネットワーク管理者はFWの配置及び信頼性に敏感である。というのも彼らは、ネットワークを安全にするためにFWに頼っているからである。
GVNの追加コンポーネントは、セキュアブートメカニズム(SBM)及びバックチャネルメカニズム(BCM)を含む。セキュアブートメカニズムは、キーをリモートサーバに格納し当該キーを、SBMを介して利用可能にするだけで、セキュアなボリュームの当該キーを保護する。トンネルが機能せずネットワーク性能が乏しいとき、BCMはチャネル(オープンインターネットから到達不可能な装置へのアクセスを含む)を装置へ提供する。当該装置は、さもなければ到達不可能である。このメカニズムは、障壁を通る逆ホールパンチング(hole-punching)を提供し、通信チャネルを開いたまま継続する。GVNの他のセキュリティコンポーネントは、UUTDハードウェアの複合と、列ごとのキーを用いた、細かいグラニュラリティでのデータ暗号化とを含む。
図34は、インターネットのハイレベルなブロック図である。平均的なユーザは、インターネットがどのように機能するかにつき、非常に大雑把で概略的な理解しか有さない。ホストソース34-00は開始点であり、クライアント装置を示す。クライアント装置は、コンピュータ、携帯電話、タブレット、ラップトップコンピュータ又は他のクライアントであってよい。このクライアントは、インターネット34-200を介してホストサーバ34-300へ接続して、コンテンツを送信又は検索する。又はこのクライアントは、他のホストクライアント34-302に接続して情報を送信又は検索する。
技術力をほぼ有さないユーザは、ホストサーバへのトラフィックは、そのデータがインターネットを通過することを理解せずに、パス2P002を通ると考えることがある。又は、彼らは、トラフィックはパス2P006を介して他のクライアント装置へ直接流れると考えるかもしれない。
それがどのように動作するかにつき何らかの理解を有するユーザは、トラフィックはパス2P004を介してインターネット34-200へ流れ、次いでパス2P102を介してホストサーバターゲット34-300へ流れると理解し、又は、パス2P104を介してホスト(クライアント)ターゲット34-302へ流れると理解するであろう。
技術的な知識をより有するユーザは、更に、Eメールを送信するとき、そのメールがクライアント装置34-100を離れ、パス2P004を通過してインターネット34-200に達し、次いでパス2P202を介してメールサーバ34-202に達すると考える。Eメールの受信者は、ホストクライアント34-302を介してパス2P104に沿ってインターネットへと、次いでパス2P204を下ってメールサーバ34-202に対し、Eメールを検索するリクエストを生成する。
インターネットに対する平均的な理解は、この程度の詳細さである。
図35は、ドメインネームシステム(DNS)を介した、数値的なインターネットプロコトル(IP)アドレスに対するユニバーサルリソースロケータ(URL)解決を示すブロック図である。
ホストクライアント(C)35-100からホストサーバ(S)35-300に対するコンテンツリクエスト35-000又はプッシュ)は、ファイル、ストリーム又はデータブロックとして、ホストクライアント(C)35-100からホストサーバ(S)35-300へ流れる。ホストSからホストCへと、ファイル、ストリーム又はデータブロックとしてレスポンス又はコンテンツ伝送3002が返される。ホストサーバ(S)とクライアントサーバ(CS)関係にあるホストクライアント装置35-100は、リモートホストサーバ(S)からコンテンツにアクセスするリクエストを生成し、ホストサーバ(S)へユニバーサルリソースロケータ(URL)又は他のネットワークに到達可能なアドレスを介して、データを送信する。
ホストクライアント(C)35-100からインターネット35-206への最初の接続は、3P02として図示される。これは、ホストクライアント(C)から(直接対向可能な)存在点(POP)35-102への接続である。他の場合、ホストクライアント(C)は、ローカルエリアネットワーク(LAN)に配置され、次いで存在点(POP)を介してインターネットに接続し、ラストワンマイル接続として参照可能である。存在点(POP)35-102は、インターネットサービスプロバイダ(ISP)によってエンドポイントからネットワーク及びその相互接続子を介してインターネットへ提供される接続を示す。これは、ケーブル、ファイバ、DSL、イーサネット、衛星、ダイヤルアップ及び他の接続方法であってよいがこれらに限られない。URLが数値的なアドレスではなくドメインネームのとき、このURLはドメインネームシステム(DNS)サーバ35-104に送信され、そこでドメインネームはIPv4、IPv6、又はルーティング目的の他のアドレスへ解釈される。
ホストクライアント(C)35-100からホストサーバ(S)35-300へのトラフィックは、(POP35-102と35-302との間の遷移を示す)インターネット35-206を介してルーティングされる。当該変遷は、ピアリング、バックホール又はネットワーク境界の他の変遷を含む。
POP35-102とドメインネームシステム35-104との間の接続3P04は、ユニバーサルリソースロケータ(URL)から数値アドレスをルックアップし、ターゲットサーバ(S)のIPv4アドレス又は他の数値アドレスを取得するために用いられる。当該接続3P04は、POPから直接的に、又はインターネット35-206を介してアクセス可能である。ISPのPOP35-102からのインターネット35-206への接続3P06は、シングルホーン又はマルチホーンであってよい。同様に、インターネット35-206からリモートISPへの接続3P08は、シングルホーン又はマルチホーンであってよい。この接続は一般に、ISPの又はインターネットデータセンタ(IDC)の、インターネットに面したPOP35-302である。リモートISPのPOP35-302からホストサーバ(S)への接続3P10は、直接的であってよいし、複数ホップを介してよい。
URL又はホスト名から数値アドレスへの、ドメインネームシステムを介したルックアップは、今日のインターネット上では標準的である。システムは、DNSサーバは必須であることや、DNSサーバでの結果は最新のものであり信用できることを想定する。
図19は、GVNトポロジ、通信パス(インターネット又はダークファイバ上のバックボーンセグメントを含む)を示し、様々な装置(様々な境界での様々なタイプのファイアウォール(FW)装置)の配置を示す。これは、様々な地理的地域、ゾーン又は領域が、他のタイプのパス上でどのように共にリンクされるかを示す。この図は、そのような様々なタイプのネットワーク構造が、より良いネットワークタペストリへ組合せ可能であることを示す。これらの構造は、米国仮出願第62/174,394号に示されるように、共にシームレスに連結される。
図19を参照すると、複数の領域(すなわち、LAN領域0(ZL00)、LAN領域1(ZL10)、インターネット領域0(ZI00)、インターネット領域1(ZI10)、インターネット領域2(ZI20)、インターネット領域3(ZI30)、インターネットデータセンタ領域2(ZD20)及びインターネットデータセンタ領域(ZD30))が示される。
LAN領域0 19-ZL00は、典型的なローカルエリアネットワーク(LAN)を示す。これは、LANと外部ネットワークGVNのOTT19-202とインターネット19-30との間のエンドポイント装置(EPD)19-100に関する、ファイアウォールの配置を含む。LAN19-04とEPD19-100との間には、ハードウェアのファイアウォールFW19-40がある。他のハードウェア又はソフトウェアFW19-42は、EPD19-100と出入口ポイント(EIP)19-20との間にあり、当該EPDを、インターネットから生じる外部脅威から保護する。
LAN領域1 19-ZL10は、トポロジの観点でLAN領域0 19-ZL00と類似する。ただし、EPD19-110とLAN19-46との間にファイアウォールが配置されていないという例外がある。
インターネット領域0 19-ZI00は、19-ZL00に近い領域における例示的なインターネットトポロジを示す。インターネット領域1 19-ZI10は、19-ZL10に近い領域における例示的なインターネットトポロジを示す。インターネット領域2 19-ZI20は、19-ZD20に近い領域における例示的なインターネットトポロジを示す。インターネット領域3 19-ZI30は、19-ZD30に近い領域における例示的なインターネットトポロジを示す。
インターネットデータセンタ領域2 19-ZD20は、クラウド上ファイアウォールCFW19-46のトポロジと配置とを示す。これは、クラウドファイアウォール負荷分散装置の背後にある仮想化されたファイアウォール装置を含む。インターネットデータセンタ領域3 19-ZD30は、クラウド上ファイアウォールCFW19-48のトポロジと配置とを示す。これは、クラウドファイアウォール負荷分散装置の背後にある仮想化されたファイアウォール装置を含む。
領域ZD20内のSRV_BBX19-72は、ダークファイバ19-220上のダークファイバ接続19-P220を介して、他の領域ZD30内のSRV_BBX19-80に接続可能である。SRV_BBX19-72はファイルを、19-P220上のリモートDMA(RDMA)を介して並行ファイルストレージPFS19-82へ、直接書き込み可能である。当該19-P220は、パス19-P82を介してSRV_BBX19-80のスタックをバイパス(迂回)する。SRV_BBX19-80はファイルを、19-P220上のリモートDMA(RDMA)を介して並行ファイルストレージPFS19-74へ、直接書き込み可能である。当該19-P220は、パス19-P74を介してSRV_BBX19-72のスタックをバイパス(迂回)する。
パス19-P210は、IPv4又は任意の種類の標準インターネットプロトコルであってよい。これの上でトラフィックは、パス19-P210を介してSRV_AP19-300とSRV_AP19-310との間を流れる。当該トラフィックは、GVNのオーバーザトップで、トンネル又は他のタイプの通信パスを介して流れる。
図示されるトポロジは、GVNパス内にファイアウォール又はトラフィック監視装置を有さない。しかし、これらの装置は、必要に応じてそこに配置されて、データフローを更に安全にすることができる。
図13は、グローバル仮想ネットワークの装置間の情報フローを示す。データベースB200及びファイルストレージHFS200を含む中央リポジトリは、中央サーバ(SRV_CNTRL)200上にある。
P###との符号が付された装置間通信パスは、APIコール、データベース複製、直接ファイル転送、又は組合せ(例えばAPIコール又は他の形式の情報交換によるデータ複製)を示す。太線(13-P100300、13-P300500及び13-P100500)は、GVN装置間の直接通信を示す。これは、ピアのペアリングを有し、それにより互いに特権関係を有する。
SRV_CNTRL200から13-P200100を介してEPD100へ、13-P200300を介してSRV_AP300へ、又は13-P200500を介して他のデバイス13-500へと図示されるピア−ペア通信の循環パターンが存在する。EPD100は、13-P100200を介してSRV_CNTRL200と通信する。SRV_AP300は、13-P300200を介してSRV_CNTRL200と通信する。他の装置13-500は、13-P500200を介してSRV_CNTRL200と通信する。
いくつかの実施形態では、装置間で共有される情報のループが存在する(例えばEPD100がSRV_CNTRL200からP13-100200を介した情報をリクエストする場合、当該情報はP13-200100を介してEPD100へと返信される)。
他の実施形態では、装置は他の装置へ関連情報を報告する。例えばSRV_AP300はP13-300200を介してSRV_CNTRL200へ報告する。SRV_CNTRL200はP13-200100を介してEPD100又はSRV_AP300へ報告し、その他の場合として、13-P200300を介してSRV_AP300へ報告し、又は、13-P200500を介して他の装置8500へ報告することができる。
更に他の実施形態では、完全なループは必要でなくてよく、例えばEPD100等の装置からP13-100200を介してSRV_CNTRL200へログ情報を送信するときは、この情報を更にその先へ転送する必要はない。しかし、ログ情報はその後、SRV_CNTRL200上のリポジトリから、P13-200500を介して、長期ログストレージサーバ13-500又は他の装置へ移動される。
直接リンクP13-100300は、装置EPD100とSRV_AP300との間にある。直接リンク13-P300500は、SRV_AP300から他の装置13-500へのものである。直接リンクはSRV_CNTRL200による関わりを必要としない、装置間の通信を伴う。
SRV_CNTRL13-306又はSRV_CNTRL200からのプッシュ(フィード)は、13-P306を介して発行されるRSSフィード又は他のタイプの情報であってよい。SRV_CNTRL200へコールを行うSRV_CNTRL13-200へのAPIクエリは、伝統的なAPIトランザクション又はRESTfulAPIコールであってよく、このときリクエストはP13-302REQを介して生成され、レスポンスはP13-302RESPを介して受信される。プッシュ13-306及びAPI13-302要素は、ピアペア関係又は特権状態を共有しないデバイス及び/又は類似のシステムアーキテクチャとの通信であって、情報から利益を受けることができる通信を示す。
図1は、5つのタイプのファイアウォール装置の動作を示す。ファイアウォール1-FWOは、いくつかの閉止(closures)が示された状態の、全開(all-open)のファイアウォールを示す。パス1-DP0-2は、明示的にブロックされていない故にファイアウォールを通ることが許可された、トラフィックフローを示す。パス1-DP0-4は、明示的にブロックされる故にファイアウォールを通ることができないトラフィックを示す。
ファイアウォール1-FW2は、いくつかの開口が示された状態の、全閉(all-closed)のファイアウォールを示す。パス1-DP2-4は、ルールによって、通過することが明示的に許可されていなトラフィックを示す。したがって、そのトラフィックはブロックされる。パス1-DP2-2は、明示的に許可され、したがって、妨害されずに通過するトラフィックを示す。
ファイアウォール1-FW4は、2つルールが示される、ルール上のファイアウォールを示す。入ってくるトラフィックは、インターネット1-D104からパス(入来1-DP4)を経由して流れる。当該トラフィックは、ルール1-D4のテーブルへと入り、転送又は他の処理を実行する。もし入来トラフィックが1つのルールに合致すれば、それはルール1-DP4Aを介してLAN1-D104へと流れる。もしそれが他のルールに合致すれば、それはルール1-DP4Bを介して、LAN1-D104における他の位置へ流れる。
ファイアウォール1-FW6は、ファイアウォール動作(例えば、判定マトリックス1-D6での検出及び保護)を行い、トラフィックがOK且つ、パスYES1-DP6Yを介してLAN1-D106へ許可されるべきか否かを判定することや、脅威が検出されてトラフィックがブロックされるべきか、吸収されるべき(blackholed)か、及び/又は、パスNO1-DP6Nを介して処理されるべきかを判定すること)を示す。
ファイアウォール1-FW8は、ルールと、検出及び保護動作1-D8との組合せが示されるファイアウォールを示す。インターネット1-D108からのトラフィックは、ルールに合致してLAN1-D108のルールパス1-DP8A又は1-DP8Bを流れ、又は、パスYES1-DP8Yを介して直接及び保護フィルタによって許可される。もしトラフィックが許可されなければ、それはブロックされ、吸収され、又は、さもなければパスNO1-DP8Nを介して処理される。
他のタイプのファイアウォール(不図示)は、ファイアウォール1-FWO、ファイアウォール1-FW2及びファイアウォール1-FW8の組合せである。検出及び保護につき異なる種類のファイアウォール(例えば、ステートフルパケットインスペクション(SPI)、ディープパケットインスペクション(DPI)、他のタイプのファイアウォール等)が存在する。
図2は、ファイアウォールを通り得るトラフィックフローを示す。ラストワンマイルPOP2-022とLAN2-114との間の接続パスは、2-CP144を介してPOPからFW2-144へと向かい、2-CP114を介してLAN2-114からFW2-144へと向かう。捕捉されるべき悪質、攻撃的又は既知の脅威トラフィックは、パス2-TR6Aから2-TR6Bを介してブラックホール2-148へ送信されるか、パス2-TR4Aから2-TR4Bを介してFW-隔離2-144Qにおいてそのデータが隔離される。良好で問題なく、又は許可されたトラフィックに対するパスは、2-TR2を介して流れ得る。外部から内部への攻撃トラフィックは、2-ATK-434及び2-ATK-432で示される。
図3は、ファイアウォールが実行可能な2種類の検査(inspection)(すなわち、ステートフルパケットインスペクションとディープパケットインスペクション)を示す。ファイアウォールが1つの物理装置内に存在するとき、速度と包括性とのトレードオフとして、SPI又はDPIを実行するか否かの選択が可能である。ステートフルパケットインスペクション(SPI)はSPIファイアウォール3-SPにて示される。ディープパケットインスペクション(DPI)は、DPIファイアウォール3-DPにて示される。
SPIを実行するとき、ファイアウォールはパケットのヘッダ3-SP0-H、3-SP2-H及び3-SP4-Hを検査して、攻撃情報を識別する。一方でそれは、パケットのペイロード3-SP0-P、3-SP2-P及び3-SP4-Pを無視する。DPIに対するSPIの利点は、速いことや、プロセッサ、RAM及びリソースの消費が少ないことである。不利な点は、ファイアウォールは、パケットのペイロード内のコンテンツを確認しないことである。
DPIは、ヘッダ3-DP0-H、3-DP2-H、3-DP4-H、3-DP6-H及び3-DP8-Hを超えて、コンテンツ(例えばパケットのペイロード3-DP0-P、3-DP2-P、3-DP4-P、3-DP6-P及び3-DP8-P)を検査する。その利点は、この検査が、可視性をコンテンツに提供する上で一層包括的である。当該コンテンツは、1つのパケットのペイロード内にあるだけでなく、一連の複数パケット3-DP0、3-DP2、3-DP4-H、3-DP6及び3-DP8からの編集ペイロード3-DP-ALLからのペイロードにもある。DPIの不利な点は、SPIよりも非常に遅いことと、プロセッサ、RAM及び他のリソースを、SPIよりもかなり消費することである。
図4は、パケットストリームから組合せて生成されるペイロードを示す。この例では、パケット4-DPのストリームがDPIファイアウォールへ提示される。ペイロード3-DP0-P6、3-DP2-P6、3-DP4-P6、3-DP6-P6及び3-DP8-Pは、複合ペイロード3-DP-ALLへと連結される。それは次いで、DPIファイアウォール4-DP-ANLによって分析される。
ディープパケットインスペクションは、1以上のパケットのペイロードを検査することによって動作する。それはペイロードのコンテンツを細かく確認し、次のものを検索する。すなわち、検索文字列、既知のウィルスのシグネチャ、又は、全体的なシグネチャ(これは、ウィルス、マルウェアのパターン、形式違反のバイナリBLOBを示す)が検索される。当該全体シグネチャは、異なるデータタイプ又は他の脅威(既知又は未知)のふりをする。
図5は、インターネット002からLAN114への、ブロードベースネットワークの攻撃パスを示す。この図は、各ネットワークセグメントにつき、関連パイプサイズ又は帯域幅を示す。内部LAN NTSP08は、10GigEの速度で実行されてよい。このネットワークセグメントは、ISPのPOP022と内部ファイアウォールFW144との間に、接続CP114を含む。ローカルIPSのネットワークNTSP04は、10GigEであってよい。このネットワークセグメントは、インターネットとISPのPOP022との間に、接続CP022を含む。インターネットバックボーンネットワークNTSP02の速度は、一般には非常に速い(例えばマルチホーンの3×100GigEネットワーク)。
しかし一般に、「ラストワンマイル」の接続ネットワークNTSP06は、クライアントファイアウォールFW144とISPのPOP022との間で非常に遅い。例えばFW144とPOP022との間の接続CP144は、200Mbps接続であってよく、これはNTSP04又はNTSP08の、速い10GigE速度とは異なる。この接続は、帯域幅をあまり有していないので(例えば遅いので)、この接続は、調整されたインターネット上の攻撃によって容易に飽和する。ISPのPOP022もまた、飽和して、このクライアントの接続だけでなく他の装置の接続にも影響する。
図6は、対向するネットワーク上で生じるトラフィック量が多い攻撃による、ネットワークへの否定的なブローバック効果を示す。パスCP144が攻撃トラフィックATK-432及びATK-434で飽和するとき、これは対向するネットワークパスCP142(ファイアウォールFW142へ接続し、パスCP112を介してLAN1120へ接続する)とパスCP146(ファイアウォールFW146へ接続し、パスCP116を介してLAN116へ接続する)へ否定的な影響を与え得る。この原因は、CP142とCP146とが近く、CP144及びそれらの共有済みアップストリームパスがPOP022を通るためである。
CP142及びCP146への否定的な影響の原因は、CP144の共有スイッチ上のポートの混雑又はその他の要因であり得る。更に、インターネットからPOP022へのパイプCP022における混雑問題は、ISPのPOP022とインターネット002との間の全てのトラフィックに影響する。POP022での混雑問題もまた、POPを通るトラフィックフローに影響し、ISP帯域幅を飽和させ、それによって装置トラフィックのスループット(情報量)へ否定的に影響を与える。
CP142及びCP146は直接的に攻撃されないかもしれないが、それらは依然として、共通POP022とパスCP022とを通るCP144上の攻撃によって不利に影響される。
図7は、クラウド内に位置する複数境界ファイアウォールを示す。クラウド内に複数境界ファイアウォールを配置することは利点を有する。それは、伝統的なファイアウォールの位置から上流にあるポイントの問題トラフィックを識別し隔離することである。クラウド内複数境界ファイアウォールCFW7-144LBを配置することによって、問題トラフィックは識別され、ISPのバックボーンネットワーク7-NTSP02上で隔離される。問題トラフィックは逸らされ、「ラストワンマイル」接続ネットワーク7-NTSP06へ到達しない。このことは、遅い200Mbpsの「ラストワンマイル」接続ネットワーク7-NTSP06が、高速の3×100GigEバックボーンネットワーク7-NTSP02上に存在する複数の同時攻撃ベクトルからのハイボリュームのトラフィックから、隔離され保護されることを意味する。
図8は、クラウド内複数境界ファイアウォールのスケーラビリティを示し、クラウド内分散ファイアウォール(FW)のような特徴がGVNによってどのように可能になるかを示す。クラウド上のファイアウォールは、クラウドファイアウォール負荷分散メカニズムによって動的にスケーラブルである。これにより、必要に応じてオンラインでより多くのリソースがもたらされる。GVNトポロジの種類によって、装置間通信、セキュアトラフィックパス及びファイアウォールメカニズムは、クラウド上にあり、また、仮想化可能である。ファイアウォール8-144は、クラウド内で、インターネット8-000とGVN8-028との間に配置される。ファイアウォール8-144は、クラウドファイアウォール(CFW)負荷分散装置8-144LBを含んでよい。これは、クラウドファイアウォールリソース(例えば8-144-2、8-144-3等)を必要に応じて割り当てることが出来る。この、オンデマンドスケーラビリティは、GVNのクライアントへ多くの利点を提供する。
まず、クラウド内に入ってくる脅威についての攻撃を吸収することで、クライアントのラストワンマイル接続は影響を受けない。第2に、クラウドファイアウォールを制御ノード及びアナライザと組み合わせることによって、攻撃されている地域におけるファイアウォールは、その攻撃の種類、ソース、シグネチャ及び他の特徴を認識することができる。これにより、ファイアウォールは、もしターゲットが異なるクライアントネットワークに移行するとき、その攻撃を認識し、妨害することができる。更に、過去及び現在の攻撃についての情報は、GVNのニュートラルなAPIメカニズム(NAPIM)を介して他のCFWインスタンスへ共有可能である。これにより、グローバルな脅威に対する認識が可能である。
最後に、下記図12で示されるように、クラウドファイアウォールは、異なるファイアウォールメカニズム(例えばSPI、DPI)を同時に駆動することができるという利点を提供する。
図10は、発信元C10-002から宛先S10-502へ、GVNを介して利用可能な様々なルートのフローチャートを示す。図示又は開示されないが、より可能性のある組合せが多く存在してよい。
クライアントC10-002からEPD10-108へのパス10-CP00は、クライアントからLANを通ってEPDへの性能を測定するために使用されてよい。最善のルートのマッチングは、利用可能なパスに対するテスト及びリアルタイムの評価の後に実現する。GVNは、EPD10-108から第1のホップ10-CP00を介してアクセスポイントサーバ(SRV_AP)10-102、10-104、10-106、10-202及び10-204へ入る。EPD10-108から最初のSRV_APへのパスは、EPD10-108からGVNへの入口ポイントとして定義され、適宜測定される。SRV_APからSRV_APへの内部ホップは内部ルートをたどる。当該内部ルートは常に、最善のパス接続性を維持するよう努める。これらのルートは、バックボーン、ダークファイバ、又は他の関連ルーティング上の、OTTインターネットであってよい。GVNからの最善の出口ポイントはまた、そのリモート地域においてローカルに、及び、発信元から宛先への全体ネットワークセグメントに対して全体的に追跡される。
テストは、様々な評価すべき要素を考慮して、エンドツーエンドで、各セグメント、セグメントの組合せ、及び合計ネットワークパス上で実行されてよい。トラフィックタイプ及びパス判定は、データ属性及びプロフィールQoS条件に応じてよい。主なパス選択は、常に、パス上のトラフィックに関する最善な要素に基づく。このメカニズムの機能は、宛先と発信元との間のパスをマッチングし、双方向のルートの可能なもののうち最善のものへ流す。
GVN内のアドバンストスマートルーティング(ASR)の核心は、ディスク、メモリ又はデータベーステーブル内に格納されるインデックスである。当該インデックスは、ローカルで維持し同一地域内のEIPを通して出るIPアドレスのリストを含む。GVNを介して他の地域へ出るトラフィックについては、SRV_AP装置及びパスを介するルートが、サーバ可用性マトリックス(SAM)及びASRによって判定される。インデックスは、ターゲットIPアドレスをその地域内の最善の出入口ポイント(EIP)へマッチングするターゲットのリストを格納する。更に、CIDR IPブロック又は他のタイプの表記として地域にマッピングされる国家IPアドレスのテーブルは、最善の出入口ポイントの判定を支援する。
宛先S10-502から発信元C10-002の方向に流れるトラフィックについては、最初のEIP10-320、10-322、10-334、10-326又は10-328が、GVN、インターネット、他のネットワーク(例えばLAN)、バックボーンパイプ又はその他との間の、最初の境界である。SPIファイアウォールは、この最初の入口ポイントの背後のGVN内に位置し、最初の外側境界を画定し得る。次のSRV_AP又は他のSRV_AP(SRV_AP10-102、10-104、10-204及び10-206)にて、DPIファイアウォールを通る第2の境界が位置する。クライアントはまた、それら自身のネットワーク内のインバウンドSPI又はDPIファイアウォールがセグメント10-CP00で希望する場合、それらを駆動可能である。
発信元C10-002からEPD10-108を介して宛先S10-502への方向に流れるトラフィックについては、最初のSPI/DPIファイアウォールは、発信元C10-002とEPD10-108との間でパス10-CP00に沿って配置される。ファイアウォールの第2の境界は、SRV_AP(例えば10-102、10-104、10-204及び10-106)上に位置して、アウトバウンド(外側へ)のトラフィックを保護する。
インターネットからのトラフィックについては、クラウドスケーラビリティは非常に重要である。というのもそれは、リソース割り当てをスケールアップすることによって、必要に応じて、分散されたマルチホーンのトラフィックのピーク負荷を処理可能だからである。動作が比較的少ないとき、リソースの最小量が渡される(commited)。リソースのスケーラビリティは、インターネットへのアウトバウンドトラフィックについての重大な要素ではない。ほとんどの場合、LANネットワークは、ネットワークアップリンクよりも大きい帯域幅を有する。LAN/DMZ/ネットワーク管理者による制御下のネットワーク、の内部からの脅威の性質により、スケーラビリティはさほど重大でない。
図18は、トポロジ及び対応するファイアウォールの配置を、スケーラビリティと共に示す。当該スケーラビリティは、クラウド上のファイアウォール負荷分散装置によってリンクされるクラウド上のファイアウォールによってもたらされる。この図は図10に類似する。ただし、様々なSPI及びDPIのクラウド上ファイアウォールが、GVNを通る一連のパス又は他のタイプのネットワークパスを介して、トラフィックフロー内に追加的に配置される。
ステートフルパケットインスペクションファイアウォール(SPI)は、トラフィックが流れる装置である。ディープパケットインスペクション(DPI)ファイアウォール装置は、フローを流すことができ、トラフィックのクローンコピーを分析する。当該コピーは、追跡標識として、DPI機能に対する選択肢を提供する。もし有害なトラフィックが検出されれば、それは識別され次第ブロックされ得る。装置間通信の利点は、DPIファイアウォールによって識別された悪質なトラフィックソースについての情報が、SPIファイアウォールへ通信され、そこでブロックされることである。
図11は、ステートフルパケットインスペクション(SPI)ファイアウォールと、ディープパケットインスペクション(DPI)ファイアウォールとの間の通信を示す。この図は、エンドポイント装置(EPD)11-100からパスTUN11-0、第1のアクセスポイントサーバ(SRV_AP)11-302、TUN11-4、クラウドファイアウォール負荷分散装置(CFW_LB)装置11-144LB、TUN11-6、SRV_AP11-304を介してインターネット11-002へのパスを示す。SRV_AP11-304から出入口ポイント(EIP)11-E2を介してトラフィックはGVNを出て、インターネット11-002へと向かう。
EIP11-E2は、拡張ALANの端から、GVNとインターネット11-002との間のクラウドへの端である。EIPは、オープンインターネットと組織のクラウド上アセット(サーバ、ストレージアレイ及び他の装置を含む)との両方へリンク可能である。それはまた、ハイブリッドのパブリック−プライベートクラウドへのリンクであってよい。当該クラウドは、DMZ又はクラウド内境界ネットワークのように動作する。
SRV_AP11-302を通るトラフィックは、逸らされたトラフィック又は、複製ストリーム内でクローンされたトラフィックであり得、パスTUN11-2を介してクラウド負荷分散装置11-142LBへ渡される。トラフィックのクローンストリームは、時間とリソースとを消費する検出動作の追跡結果(例えばDPI)を提供する。このとき、トラフィックフローの速度は妨害されない。インターネット11-002からEPD11-100への戻りトラフィックは、逆のパスをたどり、EIP11-E2を介してGVNに入る。
インターネット上のトラフィックについては、最初の境界はCFW11-144LBであり、これはパス11-CPSP0及び11-CPSP2を介してパケットをステートフルパケットインスペクションファイアウォールFW(SPI)11-SPO-PROへ送信する。そこでは、パケット11-SPO-Hのヘッダが検査される。SPIファイアウォールは、速いトラフィックフローを提供し、DPIファイアウォールに比べて比較的低いリソースを必要とする。
第2の境界はCFW11-142LBにある。ここでは、ディープパケットインスペクションファイアウォールFW(DPI)11-DPO-PROが、1以上の複合パケットのペイロード11-DP0-Pを検査可能である。DPIファイアウォールは、より詳細な分析を提供する。もしペイロードが問題を示せば、ソース、ターゲット及びヘッダからの他の情報が注意される。
したがって、SPIファイアウォールとDPIファイアウォールとの間の通信は有用である。FW(SPI)11-SPO-PROは、パス11-APFW-SPを介して、リアルタイム検出からの情報を、クラウドファイアウォール負荷分散装置CFW11-142LBへ送信し、ヘッダ検査によって検出した任意の脅威を警告する。情報をCFW11-142LB及び11-DPO-PROへ伝達するとき、検出された攻撃ヘッダを共有することに加えて、ペイロード11-SPO-Pがまた、包含される。FW(DPI)11-DP0-PROは、パス11-APFW-DPを介して、情報を、クラウドファイアウォール負荷分散装置CFW-11144LBへ送信し、ペイロード検査によって検出した任意の脅威を警告する。それが共有する情報はまた、ヘッダ11-DPO-Hからのものである。これにより、11-144LB及び/又は11-SPO-PROによるSPIファイアウォール検出動作は、攻撃ヘッダを、トラフィック攻撃者のリストへ追加する。
図12は、グローバル仮想ネットワークによって可能になるクラウド内複数境界ファイアウォール(MPFW)を示す。GVNトンネル12-TUN0は、エンドポイント装置(EPD)12-100と、EPD12-100に近いアクセスポイントサーバ(SRV_AP)12-300との間のインターネットのオーバーザトップ(OTT)である。
この例示的実施形態で示す3つの境界は、12-M1(クライアント位置とそれらからインターネットへのリンクとの間の境界)と、12-M2(SRV_AP12-300に近いデータセンタにおけるクラウド内境界)と、12-M3(SRV_AP12-300と同一のデータセンタか、SRV_AP12-302に近い他の位置かにおける他の境界)である。
トンネル12-TUN2は、12-TUN0に類似し、1つの観点で異なる。当該観点とは、それが可動しうるパーソナルエンドポイント装置(PEPD)12-130を有線又は無線でパブリックアクセスを介してSRV_AP12-300へ接続するか、又は、他のネットワークへ接続させてGVNへ統合するか、である。PEPD12-130は、EPD12-100ほど強力ではない。したがって、下記図14に示すように、処理動作をSRV_APへ移行させる。
各SRV_AP12-300及びSRV_AP12-302は、1以上のSRV_AP装置を示す。これを通って、EPD12-100及び/又はEPD12-130は、1以上の複数トンネルを介して同時に接続する。
この例示的に実施形態では、3つのタイプのファイアウォールが示される。ローカルファイアウォールFWローカル12-442は、クライアントが使用可能なファイアウォールの一例である。これは、それらのローカルファイアウォール(LAN)をインターネット上の脅威から保護する。これは典型的には、EPD12-100とLAN12-000との間に位置する。ローカルファイアウォールFWローカル12-442はいくつかの特徴(例えばIPアドレス及びポートブロック、転送、及び他の機能)を提供する。図示される他の2つのタイプのファイアウォールは、12-M3に位置してステートフルパケットインスペクション(SPI)を提供するFWSPI12-446と、12-M2に位置してディープパケットインスペクション(DPI)を提供するFWDPI12-444である。
SPIとDPIとの違いは、可視性の包括性に対する性能のトレードオフと関連する。SPIは、パケットのヘッダを検査して、形式違反の情報、パターンを検索し、既知の脅威のリストからのIPアドレス又はポート若しくは他の情報を、現在のパケットフローに対してマッチングさせる。DPIは、その名称が示唆するようにパケット全体をより深く確認し、マルチパートのマルチパケット伝送の場合は、一連のパケットの編集物を確認して、転送中のデータに対する見識を得る。
全てのファイアウォールは、入来する又は外出するトラフィックの両方に対しルールを調査及び適用し、他の関連機能を提供可能である。多くの場合、伝統的なファイアウォール(例えばFW12-442)では、管理者は、SPIの効率性と、DPIの、リソース及び時間を集約する徹底性との間で選択を行う必要がある。
GVNは、クラウド内の様々なポイントにて、両方のタイプのパケット検査を分散する機会を提供する。更に、GVNは分散ファイアウォールは互いに、決まった手順で(lockstep)動作することを可能にする。このとき、トラフィックフローは妨害されない。
EIPリモート12-310を介してインターネット12-302に最も近い端である12-M3にFWSPI12-446を配置することによって、既知のソースのIPアドレスからの攻撃トラフィックの大部分の量(これは、認識済みの悪意のヘッダを有する)は妨害される。トラフィックはSRV_AP12-302から12-T10を介してFWSPI12-446へ流れ、12-T12を介して戻る。FWSPI12-446は、CFW負荷分散装置(図11参照)であってよく、これはオンデマンドで利用可能なリソースを多く有する。12-M3におけるSRV_APは、マルチホーンのバックボーンであり、大きい帯域幅(BW)のキャパシティを有する。したがって、この第1の境界では、攻撃が捕捉されるので、GVN内の帯域幅は保護される。
次の境界12-M2では、FWDPI12-444は全てのトラフィックフローを流すことができ、又は、SRV_AP12-300から12-T20を介してトラフィックのクローンコピーを受信可能である。FWDPI12-444は、12-T22を介してトラフィックを返してもよいし、返さなくてもよい。キーポイントは、DPI特徴は、特定のトラフィックを流すことができ、その結果を分析及び報告する追跡標識になり得ることである。このFWDPI12-444はまた、CWFであり負荷分散されてよい。このとき、リソースは必要に応じてオンデマンドで巨大スケールのイベントに対処可能であり、このとき、個々のクライアントは通常時にインフラストラクチャを維持するためのコスト負荷を管理又は負担する必要がない。
FWSPI12-446及びFWDPI12-444からの情報は、内部通信パス12-P6を介して共有可能である。当該情報はGVNのNAPIMによって、GVNトンネルを介して、GVNバックチャンネルを通して、又は他の通信パスを介して、伝送可能である。各FWメカニズムはまた、GVNの中央制御サーバ(SRV_CNTRL)12-200と情報を共有する。この情報は、世界中の他のFWSPI及びFWDPIへと中継可能である。この結果、攻撃ベクトル、ソース、ペイロード及び他の関連情報は、データベース又は他の情報インデックスにおいて利用可能になる。このため、SPI及びDPIFWは、参照すべき評価基準を有することができる。これにより、情報のグローバル分散は、更なるセーフティネットを提供するので、スケール効率性は向上する。
クライアントLANの外部及びクラウド内で攻撃トラフィックを捕捉することは、クライアントのラストワンマイルインターネット接続が、望まないトラフィックによって飽和することを防ぐことが出来る。トラフィックをスケーラブルなCWFへオフロードすることはまた、クライアントにとって多くの利点を提供する。
FWローカル12-442は、スタンドアロン装置、EPD12-100内で実行されるソフトウェアアプリケーション(APP)、又は他の種類のFW装置であってよい。FWSPI12-446及びFWDPI12-444装置、並びに関連装置(例えば負荷分散装置、クラウドファイアウォール、又は他の装置)は、顧客仕様であってよいし、他のベンダによって提供される既製品であってよい。これらの装置は、トラフィックを受信及び転送し、脅威を識別子、再重要なこととして、脅威についての発見を通信して、脅威プロフィール及び他の情報を他の装置から受信可能である。
脅威データが蓄積すると、分析は、コンテンツ、パターン、攻撃ベクトル及びFWによって収集される他の情報に対して可能である。この分析は、全体的な分析が新たな潜在的脅威に適用される際の基礎を提供可能である。
このことは、GVN又は類似のネットワークのセキュアネットワーク最適化(SNO)サービスによってのみ実現可能である。当該類似のネットワークは、セキュアトンネルと通信パスの両方によって接続される関連装置を含む。
図14は、パーソナルエンドポイント装置を支援する、クラウド内複数境界ファイアウォール(MPFW)を示す。この図は図12に類似するが、可動的な位置からGVNに接続(hook)するポータブル装置を示す。境界14-M1は、パーソナルエリアネットワーク(PAN)14-010とGVNとの間の端である。
この図は、パーソナルエンドポイント装置(PEPD)14-130のトポロジを示す。ここでは、いくつかの接続や、クラウドに分散された他の機能が示される。この図は更に、クラウドに分散されたファイアウォールの動作を開示する。また、ローカル装置(例えばパーソナルエンドポイント装置(PEPD)14-130)に代わってクラウドで実行される他の動作も開示される。PEPD14-130は比較的強力ではなく、エンドポイント装置(EPD)よりもポータブルである。このときそれは、GVNによって提供されるパーソナルエリアネットワーク接続(アドバンストスマートルーティング(ASR)、複数境界ファイアウォール等を含む)を利用する。
図示されるキーポイントとしては、パーソナル装置は、電力を処理する必要性を、クラウドへと広げる。PEPD上のモジュールは、プロセッサCPU106、メモリRAM108及びネットワークインタフェースNIC102といったハードウェアコンポーネントを含む。オペレーティングシステムは、ミニマルなO/S110であり、システムソフトウェアSW112及び接続モジュール172のためのプラットフォームを提供する。この基本構成は、PEPD14-130が、それ自身とアクセスポイントサーバSRV_AP14-300との間にトンネル14-TUN2を確立することを可能にするのに十分である。
SRV_AP14-300におけるコンポーネント部分は、プロセッサCPU306、メモリRAM308及びネットワークインタフェースNIC302といったハードウェアコンポーネントを含む。オペレーティングシステムO/S310は、O/S110よりも、大規模にインストールされたものである。O/S310は、SRV_AP14-300のために、システムソフトウェアシステムSW312と接続モジュール372用のプラットフォームを提供する。アドバンストスマートルーティング(ASR)モジュール350及び他のモジュール370は、SRV_AP14-300と、接続されたPEPD-14-130との両方に対して機能を提供する。
PEPD14-130は、動作するトンネル14-TUN2に依存してよく、トラフィックを伝送して、クラウド上のASR、FW及び他の動作機能を実現可能である。
図15は、自動装置に求められるモジュールと、ファイアウォール協働と、GVN内での情報交換とを示す。
EPD100はエンドポイント装置である。SRV_AP300は、ターゲット宛先地位に位置するアクセスポイントサーバである。SRV_CNTRL200は、EPDとSRV_APとの両方からアクセス可能な中央サーバである。SRV_CNTRL200はまた、グラフィック宛先メカニズムを支援可能な他の装置によってもアクセス可能である。
各装置EPD100、SRV_AP200及びSRV_CNTRL300は、それ自身についての情報を、リスト、ファイル、データベースファイル、若しくはレコードの形式で又はその他の手段で、ローカル情報リポジトリに格納する。このリポジトリはまた、ピア装置関係について情報を格納し、ログ及び関連動作情報を格納する。SRV_CNTRL200はまた、追加の格納機能を有する。その役割は、それらの関連する他の装置へ、及び/又は、接続先のピア装置へ、情報を提供することと、現在の状態を評価し中央制御のような案内(例えばサーバ可用性リストの発行や他の機能)を提供することである。ニュートラルなAPIメカニズム(NAPIM)は、装置と、それらの接続先のピアとの間で情報を送信可能であり、また、API自体を更新するために使用可能である。
SRV_CNTRL200上のデータベースは、それ自身についての情報のリポジトリや、他の装置のための中央リポジトリとして動作する。多くの異なるSRV_CNTRL200サーバが、多くの地域でマルチマスタとして動作してよい。各データベースは、トンネル情報、ピア情報、トラフィック情報、キャッシュ情報及び他の情報を含む特定の情報を格納可能である。セキュリティ及び他の側面(ハートビート機能、トリガされるスクリプト及び他のメカニズムを含む)は、各装置によって独立して管理される。
この図は更に、アクセスポイントサーバ(SRV_AP)300、中央制御サーバ(SRV_CNTRL)及びエンドポイント装置(EPD)100上にそれぞれ、ファイアウォールマネージャD344、D244及びD144を示す。SRV_AP300のファイアウォールD344は、パス15-PA2を介してSRV_CNTRL200上のFWマネージャD244と通信する。EPD100のFWマネージャD144上では、パス15-PA1を介して情報が利用可能である。FWマネージャD144は、SRV_CNTRL200上のFWマネージャD244から情報を受信する。
コマンド及び制御通信と、ファイアウォールSPI15-SP0-PROとDPI15-DP0-PROとの間での情報伝達報告とは、それぞれ、パス15-BA44と15-BA42とを介する。
様々な装置上のデータベースB344、B244及びD144内にFW情報を格納することは、脅威を既知のものにして、GVNを通るトラフィックについてのルーティング判定の要素となり得る。例えば、1地域内のバックボーンを飽和させるアクティブ攻撃の場合、これはそのルートを介するトラフィックの重み付けに対して不利な影響を有する。このとき、さほど混雑していないパスを通るトラフィックはルーティング優先度を受け付けるという効果がある。
図16は、GVN内の装置から装置への情報交換を示す。トラフィックフローは、ローカルエリアネットワーク(LAN)16-002からパス16-CP144を介してファイアウォール(FW)16-144装置へ行き、次いでパス16-CP100を介してエンドポイント装置(EPD)16-100へ向かう。EPDはインターネット16-100のオーバーザトップ(OTT)で、SRV_AP16-302へのトンネルTUN16-0を確立する。
EPD16-100についての情報を格納するデータアレイ16-144100は、パス16-APSP4及び16-AP100を介してFW16-144へ共有される。FW16-144についての情報を格納するデータアレイ16-100144は、パス16-APSP4及び16-AP144を介してEPD16-100へ共有される。この例では、EPD情報アレイは、LANポートのみを介して利用可能であるが、オープンWANポートを介して外部からは利用可能でない。それは、TUN16-0を介して、GVN内の他の信頼された装置にとって利用可能であってよい。
キーポイントは、装置が関連装置に対して自身を識別する自動方法が示されることである。当該関連装置は、例えばハードウェア仕様、ソフトウェアのバージョン、最新の動作状態及び他の関連情報といった情報を含む。
図17は、GVN内の他のシステムと複数境界ファイアウォールとの統合を示す。情報攻撃は常に生じる。それらが国家、企業、ハッカー又は他の主体のいずれによるものであっても、それらの攻撃は容赦ない。その傾向を考慮すると、脅威は増している。本開示のトポロジを用いれば、活発な攻撃についての情報を統合する可能性が存在する。当該情報は、インターネット上の受動ファイアウォール又は他の中間監視装置によって検出され、セキュリティプロバイダ企業又は組織によって収集され、報告される。攻撃の種類が、侵入、フィッシング攻撃、知的財産の盗取、DDoS攻撃、又は他の既知若しくは未知の脅威のいずれであろうとも、キーポイントは、ネットワークを保護することである。
図17は、様々な装置間でのリクエスト/レスポンス(REQ/RESP)APIループを示す。これらの情報ループは情報を共有可能である。当該情報は、クラウドファイアウォール(例えばCFW-DPI17-142LB又はCFW-SPI17-144LB)が、それを通って流れるトラフィックについて学習する情報である。当該情報は、SRV_CNTRL17-200へ報告される。情報ループは、SRV_CNTRL17-200からクラウドファイアウォール(例えばCFW-DPI17-142LB又はCFW-SPI17-144LB)へ情報を渡すことで、他の位置における攻撃についての情報を共有可能である。更に、SRV_CNTRL17-200上のデータベースDb17-B200に格納される情報はまた、ヒューリスティックパターン、既知の脅威のシグネチャ、共有されるフィードを監視するグローバルインターネットからの情報、を含む。人間である管理者にとっての可視性はまた、クライアント17-018上のグラフィックユーザインタフェース(GUI)にて、パス17-GUI-AJAXを介して、EPD17-100上でホストされたインスタンスから利用可能である。
この情報交換トポロジの柔軟性はまた、性能の監視、クラウド上のファイアウォールリソースに対するスケーラブルな使用、システム管理及び他の目的を可能にする。
図20は図18に類似し、エンドポイント装置(EPD)20-100及びインターネット20-002への情報フロー、又はエンドポイント装置(EPD)20-100及びインターネット20-002からの情報フローについての、装置及び接続のトポロジを示す。
トラフィックは、インターネット20-002から出入口ポイント(EIP)20-E2、アクセスポイントサーバ(SRV_AP)20-304、次いでトンネルTUN20-6、クラウドファイアウォール負荷分散装置CFW20-144LBへと流れる。この負荷分散装置は、ステートフルパケットインスペクション(SPI)のファイアウォールリソースをFW(SPI)20-SPO-PROに割り当てる。このSPIファイアウォールは、それを通って流れるパケットのヘッダ20-SPO-Hの情報を検査する。FW(SPI)20-SPO-PROによって検出される脅威情報は、ローカルデータベース20-BSに格納され、中央制御サーバ(SRV_CNTRL)200へ、通信パス20-APSP4を介して共有される。この情報は、SRV_CNTRLのデータベースDb200に格納される。他のSPIファイアウォール上で検出された脅威についての情報は、SRV_CNTRL200からFW(SPI)20-SPO-PROへ、通信パス20-APSP4を介して共有される。
CFW20-144LBによって許可されるトラフィックは、TUN20-4からSRV_AP20-302へ通過する。SRV_20-302にて、トラフィックは2つの選択肢を有する。すなわち、TUN20-0を介してEPDへ直接流れ、このときデータストリームのクローンコピーは、TUN20-2を介してクラウドファイアウォール負荷分散装置CFW20-142LBへ流れる。あるいは、クローンされていないフローは、クラウドファイアウォール負荷分散装置CFW20-142LBによるフィルタリング及び分析のために逸らされ得る。
このクラウドファイアウォール負荷分散装置CFW20-142LBは、ディープパケットインスペクション(DPI)ファイアウォールリソースをFW(DPI)20-DPO-PROに割り当てる。このDPIファイアウォールは、それを通して流れる1以上の複合パケットについてのペイロード20-DPO-P情報を検査する。FW(DSPI)20-DPO-PROによって検出された脅威情報は、データベースDb20-BDに格納され、通信パス20-APDP4を介して中央制御サーバ(SRV_CNTRL)200に共有される。この情報は、SRV_CNTRLのデータベースDb200に格納される。他のDPIファイアウォール上で検出された脅威について情報は、SRV_CNTRL200から、通信パス20-APDP4を介してFW(DPI)20-DPO-PROへ共有される。
もし許可されれば、ネットワークトラフィックは次いで、SRV_AP20-302からTUN20-0を介してEPD20-100へ流れる。
SPI及びDPIクラウドファイアウォール負荷分散装置は、全体的な脅威について学習可能である。当該脅威は、リモート地域にて様々な他の情報を、SRV_CNTRL200との通信により発見及び取得する。あるいは当該脅威は、いくつかの場合には、直接パス(例えば20-CPSPDP)を介して互いに通信可能である。
図21は、図20のトポロジに基づく複数境界ファイアウォールアルゴリズム、又は、様々なタイプのファイアウォール動作のための複数の境界が存在する類似トポロジを示す。
DbFW脅威21-D122は、各装置上に格納可能で、将来のアクセス及び使用のために中央制御サーバ(SRV_CNTRL)に通信される。SPI動作は1つの境界で行われる。DPIは、同一の境界又は他の境界で動作する。SPI及びDPIファイアウォールは、互いに脅威について通信可能であり、既知の脅威に基づいて適切なステップを取ることが出来る。
この例では、トラフィックは21-000で開始する。もし脅威が検出されれば、脅威情報がロギング及び共有される。攻撃トラフィックは21-944にて吸収される。安全とみなされたトラフィックは、21-900にて流れ出る。
図22は、ファイアウォール装置(例えばクラウドファイアウォールCFW444及びクラウドファイアウォール負荷分散装置CFW LB440)のためのソフトウェアアーキテクチャについての論理図を示す。この図では関連装置(例えば中央制御サーバ(SRV_CNTRL)200、アクセスポイントサーバ(SRV_AP)300、エンドポイント装置(EPD)100)のスタックも示される。図示の通り、ソフトウェア及びハードウェアはネットワーク装置内に分散されてよいし、異なる回路基板、プロセッサ、ネットワークインタフェースカード、ストレージ及びメモリにわたって分散されてよい。
装置のソフトウェアアーキテクチャは、互いに非常に類似する。ただし、動作における各装置に役割による違いや、いくつかのモジュールの違いがある。
各装置の最も低いレベルは、メモリ(RAM)S106、S206、S306及びS406と、プロセッサ(CPU)S102、S202、S302及びS402と、ネットワークインタフェース(NIC)S108、S208、S308及びS408である。これら全ては、ハードウェアレベル上であってよい。オペレーティングシステム(O/S)S110、S210、S310及びS410は、LINUXシステム又は同等のシステム(例えばDebian又は他のもの)であってよい。これは、ルーティング、ホスティング、通信及び他のシステムレベルの動作のためのパッケージ及び構成を含んでよい。
中央制御サーバ(SRV_CNTRL)200、中央制御サーバ(SRV_AP)300及びエンドポイント装置(EPD)は、グローバル仮想ネットワーク(GVN)オペレーティングシステムのシステムソフトウェア層S112、S212及びS312を含む。カスタムコマンド、システムモジュール及びここで動作する他の構成物も存在する。GVNの他のコンポーネントも同様である。GVNのデバイスの各タイプは、役割に応じて、システムソフトウェア層又は異なる部分の、一部又は全部を有してよい。
この例示的実施形態では、データベースモジュールD120、D220、D320及びホスティングモジュール122、222及び322は、リスニング、送信、処理、ストレージ、検索、並びに、GVNのニュートラルなAPIメカニズム(NAPIM)、グラフィックユーザインタフェース(GUI)及び他のサーバ側スクリプトのホストサイトにおける他の関連する基礎レベル動作を行うために構成される。データベース120、220及び320(Db)モジュールは、MySQL又は同等物(例えばMariaDb)であってよい。ホスティングモジュール122、222及び322は、Apache及びPHPスクリプト又は他のタイプのホスティング言語であってよい。コマンドラインスクリプトが使用可能であり、これはBash、C、PHP、Pearl、Python又は他の言語で記述される。
ビリングモジュールは協働して、情報(例えば消費モデルによりビリングされるトンネルトラフィックによって消費されるデータ量)を共有可能である。アカウンティングモジュールACC132、232及び332は、EPD100上で動作する。SRV_AP300は対応するビリングモジュールを有する。その両方共、レポート画面、決済フォーム、Eメール明細へ財務テータを提供可能であり、GVNによって生成される他の財務データを提供可能である。
SRV_CNTRL200は、リポジトリマネージャ238を有し、ビリング情報、トンネルマネージャ情報及び、GVN内の様々な装置によって使用される他のデータを処理する。リポジトリマネージャ238はまた、ピアペア情報、資格証明書及び他の情報を個々の装置へ共有する協働を処理する。当該個々の装置は、GVNのニュートラルAPIメカニズム(NAPIM)を介して他のAPIピアへ接続する。
EPD100は、APIモジュール130を有する。SRV_CNTRLはAPIモジュール230を有する。SRV_AP300はAPIモジュール330を有する。この例示的実施形態を簡略に説明するために、装置毎にただ1つのAPIモジュールが示される。実際、装置は、GVN内の機能に応じて、クライアント及びサーバの結合した役割を有してよい。
SRV_CNTRL200上のキャッシュマネージャは、GVNの多くの装置にわたって分散された様々なチェーンキャッシュのマスタインデックスを管理する。EPD100上の圧縮エンジン136及びSRV_AP300上の336は、DBテーブルにおいて、トランスポートデータのストリーミングのために、ファイル上に格納されたデータの圧縮及び解凍を管理する。
EPD100上のアドバンストスマートルーティング(ASR)150モジュールは、GVNのルートを介して、EPD100から最善の出入口ポイント、そして宛先へのトラフィックのルーティングを処理する。
SRV_AP300上のリモートフェッチャボット311は、地理的宛先メカニズム(Geo-D)のコアコンポーネントである。
SRV_CNTRL200上のDNSマネージャ254は、マスタDNSインデックスを管理する。当該インデックスは、様々なGVN装置(例えばEPD100上のDNS154)上でDNSサーバをシーディング(seed)する。
SRV_CNTRL200上のロガーマネージャは、ローカルログと、装置によってAPIコールを介してリポジトリへ共有されるログとの両方を管理する。この例示的実施形態におけるロギングマネージャは、動作イベントを記録する機能、APIアクション及びトランザクションを可能にする。ロガーはまた他の役割を有し、GVN動作の様々な側面につき処理を行う。
EPD100上のローカルキャッシュ152及びSRV_AP300上のローカルキャッシュ352は、データをローカルでキャッシュする。
GVNマネージャ272はSRV_CNTRL200上で動作して、システムの様々なコンポーネントの動作を制御する。当該制御は、SRV_CNTRL200とGVNの他の装置との両方で行われる。
ローカルDNSサーバ、EPD100上のキャッシュ154及びSRV_AP300上の354は、DNSルックアップのキャッシングを可能にし、速い、ローカルな検索を可能にする。所定時間が経過した後、DNS154及び354は完全にフラッシュ(flush)され、個別アイテムは一掃され、又は、検索済みルックアップに対し設定されたタイムアウトが削除される。
EPD100上には、コンテンツデリバリエージェント(CDA)158があり、これはGeo-Dのコンポーネントである。SRV_AP300上には、コンテンツプルエージェント(CPA)358があり、これもGeo-Dのコンポーネントである。CPA358は、SRV300上でBOT311と協働し、遠い地域から、その地域からシーディングするローカルDNS354を用いて、コンテンツをプルする。CPA358は、トンネル、キャッシュ及び他のGVNの改善物を用いて、フェッチされたコンテンツをCDA158へ送信する。
EPD100上及びSRV_AP300上の接続マネージャ(不図示)は、装置と、他の装置間通信パスとの間のトンネルを管理する。SRV_CNTRL200の215にある圧縮マネージャは、ローカルに圧縮を管理すると共に、EPD100上の圧縮エンジン136、SRV_AP300及びGVNの他の装置上の336と協働する。EPD上のルーティングは、ASR150、Geo-D、及び他の要素と協働して、トラフィックルーティングを管理する。
SDB100、SDB200及びSDB300内のデータベーステーブルの構造は、装置動作に相当する。一方、それぞれに対するデータは、装置タイプに特有であり、各装置はアイデンティティ特有装置を有する。SRV_CNTRL200上のリポジトリデータベースSDB202では、全ての装置につき一意の情報が格納され、この情報はリポジトリマネージャ238によって使用されてAPI資格証明書、トンネル情報又は他の情報を装置へ通信する。
各装置のデータベース内に格納されるのは、デバイス自体又はそのピアのペアとなるパートナーのAPIピア情報、トランザクションリスト、キューデータ及び他の情報である。開示される以外にも、本開示の方法及びデータベースに対する他の使用方法が存在する。しかし、簡略化のため、この例はいくつかの例示的なコアな機能要素だけに及ぶ。
クラウドファイアウォールCFW444は、ベースファイアウォールソフトウェアS414、一般ルール、DPI、SPI、ヒューリスティックな走査及び他の機能S444を含む。クラウドファイアウォール負荷分散装置CFW LB440は、ファイアウォール負荷分散ソフトウェアS448を含む。ファイアウォール負荷分散ソフトウェアS448は、トラフィックフローと、オンデマンド且つ必要に応じたクラウドファイアウォールへのリソース割り当てとを管理する。
エンドポイント装置(EPD)100、アクセスポイントサーバ(SRV_AP)300及び中央制御サーバ(SRV_CNTRL)200に加えて、第三者装置はまた、構成された資格証明書及び他の情報を通信して、他の装置とのこの通信を支援する能力を有する限りは、使用されてよい。各装置のもとで、いくつかの可能なコンポーネントが存在する。当該コンポーネントは、その装置のスタック内で駆動可能である。いくつかの装置は同時に駆動可能であるが、ここでは記載しない。これらのコンポーネントは、EPD100のもとのFW接続S148、SRV_AP300のもとのFW接続S348、及びSRV_CNTRL200のもとのFWマネージャS244を含んでよい。接続及びマネージャモジュールは、CFW444及びCFW LB440とのインタラクションのためのものである。マネージャモジュールは、進行するFW分析を実行し、システム全体で、且つ地理的に異なって配置されるCFW及びCFW LB装置と、既知の脅威につき通信する。
ファイアウォール負荷分散装置CFW LB440からファイアウォールCFW444への通信は、各装置上のFW接続モジュールS434によって実行可能である。これらの接続モジュールは、データフローチャネルと、データフロー、検出済み脅威及び他の情報についての情報フローのチャネルとの両方を処理可能である。
装置間通信は、APIS130を介してEPD100上で、APIS330を介してSRV_AP300上で、APIS230を介してSRV_CNTRL200上で、及び、APIS430を介してCFW_LB440上で、ニュートラルAPIメカニズム(国際出願PCT/IB16/00110号参照)によって実行可能である。
図23は、グローバル仮想ネットワーク(GVN)におけるファイアウォール(FW)から様々な装置への、中央制御サーバ(SRV_CNTRL)23-200を介した情報フローを示す。それはまた、ファイアウォール情報に関してローカル装置に格納される、情報の種類を含む。当該情報は、データベース(DB)テーブル(例えばDB23-110上の23-4100、DB23-300上の23-4300、23-210上の23-4200等)内及びログ(例えばFW装置23-140上の23-4140等)内にある。
情報はFW装置23-140から、APIリクエスト23-P140REQ/23-P140RESP、又は同等の装置間情報共有を介して、SRV_CNTRL23-200へ報告される。それはまた、個々の装置からパス23-P102、23-P302、23-P502又は他の装置からのパスを介して、SRV_CNTRLへ報告される。
SRV_CNTRL23-200は、FW関連情報を、パス23-P100、23-P300、23-P500又は他の直接パスを介して、装置へ通信及び/又は発行する。FW情報はまた、装置23-260からルリクエスト/レスポンスパス23-P260REQ及び23-P260RESPを介するAPIコールによって利用可能である。
フラグは、「この装置上で検出された」、「他の装置上で検出された」等の情報ソースを示すことができ、また、攻撃元ポイント(例えば「外部へのLAN上の攻撃」、「WAN上の攻撃」、「ワイルド(Wild)からの攻撃」等)を示すことができる。
格納された情報はまた、シグネチャ、ヒューリスティック分析を介して既知で予測された構造、IPアドレス、ウィルス、マルウェア及び/又は他の攻撃ペイロードのコードパターン、問題トラフィックの動作的特徴、伝播のパターン等を含んでよい。
SRV_CNTRL23-200はまた、アルゴリズムを用いて情報を分析可能であり、また、脅威の寿命、最初及び最後の検出時間、攻撃の規模及び範囲、履歴及び任意の傾向を判定するためのもの、に基づいて、その重大性を順位付けすることができる。この分析は、アクティブな脅威、過去の脅威、脅威間の関係(例えば、他の攻撃に対してネットワークを開くという妥協に、フィッシング攻撃がどのようにつながるか)、インターネット/ネットワークの現在の状態を考慮して、脅威レベル及び他の標識を割り当てて、攻撃の強度を測定する。比較的動作が少ないとき、FWはより許容的となって、より速い動作を行ってよい。比較的アクティブなとき、FWはより限定的且つ分析的になって、場合によってはより遅いスループット及び動作を行ってよい。
SRV_CNTRL23-200はFW情報をリポジトリストアに保持して、脅威タイプ、報告履歴、及びロギング装置インタラクション(脅威情報の更新の発行を含む)を分類する。
図24は、ファイアウォール、ファイアウォール負荷分散装置、及び/又はファイアウォールアレイを通って流れるトラフィックを分析するのに用いられるアルゴリズムを示す。通過するトラフィックについては、最初のステップは、現在アクティブな任意の脅威が検出されたか否か(24-100)を評価することである。これは、現在の脅威状態24-140によって影響される。それは、ファイアウォールがどれだけアクティブかについての、変化する(rolling)標識である。
もし何らの脅威も検出されず、現在の脅威状態が通常であれば、FWルールがトラフィック24-220へ適用され、それは24-300にて通過することを許可される。それは受動的脅威モード24-524となり、次の、FWサイクルを開始(24-000)にて再開する。
もし脅威が検出されれば、トラフィックはパス24-P200を介して流れ、脅威は、パス24-P210を介して脅威パターン24-210のリストに対してチェックされる。もしそれが認識されれば、それは吸収(blackholed)又は隔離される。攻撃トラフィックは、24-240にてロギングされる。一旦、現在の脅威が24-534にて処理されれば、ファイアウォールはアクティブ脅威モード24-554に設定され、FWサイクルを開始(24-000)へ戻る。
もし脅威が認識されなければ、それは24-250にてヒューリスティック検出を用いてチェックされる。もし何らの脅威も検出されなければ、それは24-P314を介して、24-314にて偽陽的(false positive)として処理される。
図25は、システムスタックにおける、脅威を扱って処理する様々な層を示す。スタックの最低レベルは、メモリ25-102、25-202、25-302、CPU25-106、CPU25-206及びCPU25-306である。システムは最低レベルから確立される。
装置につき増加するロックダウンは、脅威の種類と、それがスタックのどれだけ深い部分まで進むかとに基づく。例えばセキュア-APP25-140、25-240及び25-340とセキュリティ層は、その層の上方のアプリケーションモジュールを保護する。これらは特定のモジュールの動作を監視するが、深いロジックに必ずしも影響を与えない。セキュア-Sys25-124、25-224及び25-324は、データベース動作、DNS、ロギング、キャッシュ、ホスティング及び他の機能につき、システムソフトウェア層を保護する。セキュア-O/S25-114、25-214及び25-314は、脅威から、オペレーティングシステムを保護する。セキュア-HW25-104、25-204及び25-304は、ハードウェアシステム(ドライバファイル、フラッシュ可能命令セット及び他のシステム)の物理層を脅威から保護する。
層のロックダウンが低いほど、システムの機能は低い。
図26は、起動プロセス中に暗号化ボリュームを自動的に復号化する方法を示す。ここでは、システムファイル26-110はHFSファイルストレージ26-010から検索される。自力の(boot-strap)起動プロセス26-100内のポイントで、キーファイル26-210はHFSファイルストレージ26-010から検索される。このキー26-Aは、暗号化ボリュームのロック解除モジュール26-200によって使用される。暗号化ボリュームが一旦ロック解除されると、それは26-300で使用される。
HFSファイルストレージボリューム26-010上に暗号化ボリュームへのキーを格納することには、明らかな欠点がある。というのも、これは、システムへアクセスして、暗号化されていないキーを用いてセキュアボリュームをロック解除するハッカーを受け入れやすいからである。他の脅威は、物理ドライブを取得してボリュームを復号化して、価値のあるクライアントデータを盗取する者、及び/又はシステムをリバースエンジニアリングする者に対するものである。そのような者は、暗号化ボリューム内に格納されたソフトウェアへのアクセスを得る。
図27は、一意のユーザ識別(UUID)が、装置特有の多くの要素に基づいて当該装置につき一貫してどのように算出されるかを示す。ハードウェア(HW)UUID27-100(例えばCPUの通し番号、CPUモデル、ネットワークインタフェースカード(NIC)のMACアドレス、及び他の要素)は、典型的には各装置にとって一意である。ハードウェア(HW)DMIエンコーディング27-200は、DMI値(例えば通し番号、バージョン番号又は他のDMIデータ)を用いて使用される。ハードディスクドライブ(HDD)又はソリッドステートドライブ(SSD)27-300の一意のボリュームIDが使用可能である。特定のO/SのUUID27-500は、システム確立にとって一意であり、使用可能である。ローカルデータベース27-600に格納されたアイデンティティテーブル内の値としてのUUID及びキーはまた、装置のアイデンティティの一部として使用される。
アプリケーションレベルにて、キーファイル、証明書及び他の識別子27-800の形式でのUUIDを使用して、装置自体に特ユナUUIDを生成可能である。
様々な装置UUIDが算出され、使用され、有効になり、装置の一貫した動作の正確性が確実になる。様々な要素の組合せにより、装置へのアクセス無しになりすましを行うことは、困難乃至ほぼ不可能である。
図28は、セキュアブート(起動)メカニズムのモジュールを示す。エンドポイント装置(EPD)28-100は、API-2A1-2A5を介してセキュアブートサーバ(SRV_SB)28-500と通信して、データの偽パケットを提示する。セキュアブートサーバはこれを拒絶する。SRV_SBは次いで、チャレンジのセットと共にEPDにクエリする。一連のテストに合格することに成功すると、EPD上のセキュアブートマネージャ28-150は、SRV_SB上のセキュアブートリスナ28-552を介してセキュアトンネルTUN28-100500を確立することを許可される。装置の資格証明書28-138は、SRV_SBに提示され、データベース28-B500上又はHFSストレージ28-H500上内に格納された値に対して、セキュアブートマネージャ28-550によって有効になる。
全てのテストに合格した後に初めて、EPD28-100上の暗号化ボリュームについてのキーは、キー及び資格証明書マネージャ28-536によって解放され、TUN28-100500を介してEPD28-100へ安全に伝送される。利用可能なSRV_SBサーバのリストは、中央制御サーバ(SRV_CNTRL)28-200へのAPIクエリを介し、サーバ可用性メカニズム28-222を介して、EPDにとって利用可能である。
図29は、バックチャネルメカニズムの詳細を示す。エンドポイント装置(EPD)29-100は、バックチャネルサーバ(SRV_BC)のリストを受信する。SRV_BCは、APIコールAPI-29A1-29A2を介して中央制御サーバ(SRV_CNTRL)29-200へ接続可能である。サーバ可用性29-220のリストは現在利用可能なSRV_BCへ提供する。EPDはSRV_BCに接続する。この図は、TUN29-100500を介してSRV_BC029-500へ、TUN29-100502を介してSRV_BC229-502へ、TUN29-100506を介してSRV_BC629-506への同時接続を示す。
BCセキュリティ29-540、29-542及び29-546によってセキュリティが確保されると、EPD29-100上のバックチャネルクライアント29-510は、バックチャネルマネージャ29-510、29-512及び29-516を介する同時接続を生成する。装置はまた、APIコールを介して互いに直接に通信可能である(例えばEPDからAPI-29A1-29A2を介してSRV_CNTRLへ、又は、SRV_BC0からAPI-29A2-29A50を介してSRV_CNTRLへ)。
ピアペア、資格証明書、証明書、キーについての情報、及びEPDとSRV_BCとの間でトンネルを確立することに関する他の情報は、これらのAPIコールを介してSRV_CNTRLへ伝送可能である。更に、健全な関係を有する既知のピア同士間での状態メッセージは、APIを介して直接送信可能である(例えばEPD29-100からAPI-29A1-29A52を介してSRV_BC229-502へ)。
この例では、1つのEPDが多くのSRV_BCへ同時に接続する。アクティブトンネルの目的は、コマンドラインインタフェース(CLI)に対して常時動作するパスが、EPDがオープンインターネット及び/又はネットワーク上で発見可能か否かにかかわらず、EPDにログインすることを可能にすることである。
図30は、多くのエンドポイント装置(EPD)30-100、30-102及び30-106と、バックチャネルサーバ(SRV_BC)30-500との間の接続を示す。EPDは、SRV_BC0 30-500上のログインされた区間への接続を開始する。一方、それがログインしたインスタンスはそれぞれ、EPD30-100についてのシステムセキュリティの隔離インスタンス30-510、EPD30-102についての30-512、及びEPD30-106についての30-516である。隔離インスタンスの各々は、システムジェイル(system jail)のように動作する。そこでは、ログインしたユーザが、非常に限られたコマンドのみについて資格を与えられる。当該コマンドは、アクション、権限、特権、ホストシステム上で動作する能力を制限する。
EPDからSRV_BC0 30-500では、2点間接続を維持する以外に可能なことはほぼない。しかし、他の方向に関していうと、クライアント30-000はSRV_BC0にログインして、特定の許可により、1以上の隔離インスタンスにアクセスする権限を有する。そしてそこから、EPD30-100上のリモートのコマンドラインインタフェースCLI30-110、EPD30-102上のCLI30-112、又はEPD30-106上のCLI30-116へのログインに対するトンネルへと、逆SSHを実行可能である。これにより、クライアント30-000は管理タスク、リモートハンズオン及びテストを実行し、ログインされた権限の範囲内で他の動作を実行可能である。クライアントは人間又は自動装置であってよい。
バックチャネルの利点は、EPDが到達不可能なときにアクセスをもたらすことである。トンネルTUN30-100500、30-102500及び30-106500の種類により、パケット損失、ジッタ及びその他の要素に対するそれらの許容性は、他の形式のトンネル及び/又は通信パスよりも非常に高い。したがって、ネットワークが不安定なとき、バックチャネルはアクセスを提供し、さもなければ対処が困難乃至不可能である問題を診断及び救済する。
図31は、循環し且つ算出されたキーを用いて、データベースの列における選択されたフィールドへ暗号化データを書き込む処理を示す。当該キーは、各単一の列につき一意である。
この処理のフローチャートは、データベースへの接続を生成し、列を作成し、対応する自動インクリメント整数である列IDの値をフェッチすることを含む。次いで暗号化処理を用いて、キーチェーン、キーアジャスタ、列内のフィールド及び他の要素を用いて、暗号化されるべき値が処理される。データ列を暗号化するために使用されるのと同一の要素が、復号化にも使用されてよい。
上記テーブル内の横の列の各々は、2つの暗号化フィールド([ENC_A]及び[ENC_B])を有する。各フィールドのキーは、オープンフィールド([ユーザID]、[キーアジャスタ]及び[作成時間])のいくつかに基づく多くの要素及び、他の要素(例えばベースシステムキー)に基づいて、次の式に基づき循環(ローテーション)する。
算出されるキー=ユーザID+ベースキー+キーアジャスタ+作成時間+他の要素
算出されるキー=ユーザID+ベースキー+キーアジャスタ+作成時間+他の要素
仮に、完全に同一の時刻にENC_A及びENC_Bに対して同一のユーザIDが同一の値を入力しても、その値は異なる。その理由は、列ID番号(例えば列番号658、661及び663にいて[ユーザID]=1)についての自動インクリメント値がキー算出の一部だからである。上記の例における[キーアジャスタ]又はキーアジャスタフィールドは2桁のアルファベット値であるが、列内には他のデータが格納されてよい。キーポイントとしては、データベースのSQLが盗取されたとき、それを破ることは演算及び時間の観点からコストが高い。値を破る(crack)には、全体コードベース、SQL及び環境が盗取及び複製される必要がある。
図32は、キー、キーアジャスタ、及び算出されたキーに対するフレームワークを用いる他の要素を用いた、単一の列からのデータの復号化を示す。
図33は、エンドポイント装置(EPD)33-100を介してクライアントによって要求されたグラフィックユーザインタフェース(GUI)のコンテンツと、要求されたコンテンツとが、ロックされたボリューム33-114内に格納されるときに生じることを示す。ノットファウンド(not found)の404エラーが送信され、404エラーハンドラ33-144によって捕捉される。簡素化されたコンテンツへのジャンプが33-120でなされる。このコンテンツは、オープンHFSファイルストレージ33-220上のファイルとして、又は、オープンDB33-210からのデータベースコンテンツ、若しくはそれらの組合せとして、ロックされたボリューム内に格納される。
もしセキュアボリュームがロックされれば、セキュアボリューム外のコンテンツだけが利用可能である。しかし、もしセキュアボリュームがロック解除されれば、セキュアDB33-210からのセキュアコンテンツ33-120又は、セキュアHFSファイルストレージ33-220上のファイル若しくはそれらの組合せが提供される。
提供されるコンテンツ内のJavascript(登録商標)スクリプトはまた、EPD33-100をポーリングし、セキュアボリュームの状態をチェックする。もしそれがロックされた後にロック解除されれば、セキュアコンテンツへのジャンプが実現可能である。反対に、もしボリュームがロック解除されているときに突如ロックされれば、コンテンツはセキュアボリュームの外部のコンテンツに戻る。
本開示は、本明細書で記載される特定の実施形態による範囲に限定されない。実際、前述の記載及び添付図面によって、本開示の実施形態に加えて他の様々な実施形態及び変形例が当業者にとって自明である。したがって、そのような他の実施形態及び変形例は本開示の範囲内である。更に本開示は、少なくとも1つの特定の目的で、少なくとも1つの特定の環境における少なくとも1つの特定の実施形態の文脈で記載される。しかし、当業者であれば、その利便性は限定されないこと、及び、本開示は任意の数の目的のために任意の数の環境で有利に実装されてよいことを認識可能である。したがって、特許請求の範囲は、記載された本開示の最大限の範囲及び最大限の要旨に照らして解釈される。
Claims (13)
- グローバル仮想ネットワークにおける複数境界ファイアウォールであって、
出入口ポイント装置と、
前記出入口ポイント装置と通信する第1のアクセスポイントサーバと、
前記第1のアクセスポイントサーバと通信する第2のアクセスポイントサーバと、
前記第2のアクセスポイントサーバと通信するエンドポイント装置と、
前記第1のアクセスポイントサーバと通信する第1のファイアウォールであって、少なくともいくつかのトラフィックが前記第1のアクセスポイントサーバから前記第2のアクセスポイントサーバへ流れることを防ぐ第1のファイアウォールと、
前記第2のアクセスポイントサーバと通信する第2のファイアウォールであって、少なくともいくつかのトラフィックが前記第2のアクセスポイントサーバから前記エンドポイント装置へ流れることを防ぐ第2のファイアウォールと、
を含む複数境界ファイアウォール。 - 請求項1に記載の複数境界ファイアウォールにおいて、前記エンドアクセスポイントサーバの少なくとも1つは、ファイアウォールサービスを実行するよう構成される、複数境界ファイアウォール。
- 請求項1に記載の複数境界ファイアウォールにおいて、前記第1のファイアウォールは前記第2のファイアウォールと通信する、複数境界ファイアウォール。
- 請求項3に記載の複数境界ファイアウォールにおいて、前記第1のファイアウォールと前記第2のファイアウォールとの間の通信パスは、グローバル仮想ネットワークのトンネルである、複数境界ファイアウォール。
- 請求項3に記載の複数境界ファイアウォールにおいて、前記第1のファイアウォールと前記第2のファイアウォールとの間の通信パスは、グローバル仮想ネットワークのバックチャネルである、複数境界ファイアウォール。
- 請求項3に記載の複数境界ファイアウォールにおいて、前記第1のファイアウォールと前記第2のファイアウォールとは脅威情報を共有し、当該脅威情報は、ヒューリスティックパターン、既知の脅威のシグネチャ、既知の悪意のソースIPアドレス、又は攻撃ベクトルの少なくとも1つを含む、複数境界ファイアウォール。
- 請求項6に記載の複数境界ファイアウォールにおいて、前記第1のファイアウォールと前記第2のファイアウォールは、中央制御サーバと脅威情報を共有する、複数境界ファイアウォール。
- 請求項1に記載の複数境界ファイアウォールにおいて、前記ファイアウォールの少なくとも1つは、ディープパケットインスペクションを実行する、複数境界ファイアウォール。
- 請求項8に記載の複数境界ファイアウォールにおいて、前記ディープパケットインスペクションは、トラフィックを通るフロー上で実行される、複数境界ファイアウォール。
- 請求項8に記載の複数境界ファイアウォールにおいて、前記ディープパケットインスペクションは、前記トラフィックのクローンコピー上で実行される、複数境界ファイアウォール。
- 請求項1に記載の複数境界ファイアウォールにおいて、前記ファイアウォールの少なくとも1つは、ステートフルパケットインスペクションを実行する、複数境界ファイアウォール。
- 請求項1に記載の複数境界ファイアウォールにおいて、一方のファイアウォールはステートフルパケットインスペクションを実行し、他方のファイアウォールはステートフルパケットインスペクションを実行する、複数境界ファイアウォール。
- 請求項1に記載の複数境界ファイアウォールにおいて、前記ファイアウォールの少なくとも1つは、クラウドファイアウォール負荷分散装置を含み、前記クラウドファイアウォール負荷分散装置はオンデマンドでクラウドファイアウォールリソースを割り当てることができる、複数境界ファイアウォール。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201562144293P | 2015-04-07 | 2015-04-07 | |
| US62/144,293 | 2015-04-07 | ||
| US201562151174P | 2015-04-22 | 2015-04-22 | |
| US62/151,174 | 2015-04-22 | ||
| PCT/IB2016/000528 WO2016162748A1 (en) | 2015-04-07 | 2016-04-07 | Multi-perimeter firewall in the cloud |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2018519688A true JP2018519688A (ja) | 2018-07-19 |
Family
ID=56101757
Family Applications (3)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017553113A Pending JP2018518862A (ja) | 2015-04-07 | 2016-04-07 | グローバル仮想ネットワーク(gvn)において仮想インタフェースとアドバンストスマートルーティングとを提供するためのシステム及び方法 |
| JP2017553111A Pending JP2018515974A (ja) | 2015-04-07 | 2016-04-07 | グローバル仮想ネットワーク(gvn)において仮想インタフェースとアドバンストスマートルーティングとを提供するためのシステム及び方法 |
| JP2017553112A Pending JP2018519688A (ja) | 2015-04-07 | 2016-04-07 | クラウド内の複数境界ファイアウォール |
Family Applications Before (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017553113A Pending JP2018518862A (ja) | 2015-04-07 | 2016-04-07 | グローバル仮想ネットワーク(gvn)において仮想インタフェースとアドバンストスマートルーティングとを提供するためのシステム及び方法 |
| JP2017553111A Pending JP2018515974A (ja) | 2015-04-07 | 2016-04-07 | グローバル仮想ネットワーク(gvn)において仮想インタフェースとアドバンストスマートルーティングとを提供するためのシステム及び方法 |
Country Status (7)
| Country | Link |
|---|---|
| US (11) | US10659256B2 (ja) |
| EP (6) | EP3281368B1 (ja) |
| JP (3) | JP2018518862A (ja) |
| CN (6) | CN114079669A (ja) |
| ES (3) | ES2951911T3 (ja) |
| HK (3) | HK1249974A1 (ja) |
| WO (3) | WO2016164612A1 (ja) |
Families Citing this family (59)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9882713B1 (en) | 2013-01-30 | 2018-01-30 | vIPtela Inc. | Method and system for key generation, distribution and management |
| US10454714B2 (en) | 2013-07-10 | 2019-10-22 | Nicira, Inc. | Method and system of overlay flow control |
| US9467478B1 (en) | 2013-12-18 | 2016-10-11 | vIPtela Inc. | Overlay management protocol for secure routing based on an overlay network |
| MX2016016288A (es) | 2014-06-11 | 2017-10-12 | Molecular Templates Inc | Polipeptidos efectores de la subunidad a de la toxina shiga resistentes a la disociacion por proteasa y moleculas dirigidas a las celulas que los comprenden. |
| CN107251005B (zh) | 2014-12-08 | 2021-05-25 | 安博科技有限公司 | 从远程网络区域进行内容检索的系统及方法 |
| US11711346B2 (en) | 2015-01-06 | 2023-07-25 | Umbra Technologies Ltd. | System and method for neutral application programming interface |
| JP2018507639A (ja) | 2015-01-28 | 2018-03-15 | アンブラ テクノロジーズ リミテッドUmbra Technologies Ltd. | グローバル仮想ネットワークについてのシステム及び方法 |
| JP6444486B2 (ja) | 2015-02-05 | 2018-12-26 | モレキュラー テンプレーツ, インク.Molecular Templates, Inc. | 志賀毒素aサブユニットエフェクター領域を含む多価cd20結合分子及びそれらの強化組成物 |
| WO2016164612A1 (en) | 2015-04-07 | 2016-10-13 | Umbra Technologies Ltd. | Systems and methods for providing a global virtual network (gvn) |
| JP2018517372A (ja) | 2015-06-11 | 2018-06-28 | アンブラ テクノロジーズ リミテッドUmbra Technologies Ltd. | ネットワークタペストリの複数プロトコルの統合のための方法及びシステム |
| CN108293063B (zh) | 2015-12-11 | 2022-05-24 | 安博科技有限公司 | 用于网络挂毯和瞬间粒度上的信息弹弓的系统和方法 |
| US9980303B2 (en) * | 2015-12-18 | 2018-05-22 | Cisco Technology, Inc. | Establishing a private network using multi-uplink capable network devices |
| EP4216072A1 (en) | 2016-04-26 | 2023-07-26 | Umbra Technologies Ltd. | Sling-routing logic and load balancing |
| US10397189B1 (en) * | 2016-09-27 | 2019-08-27 | Amazon Technologies, Inc. | Peered virtual private network endpoint nodes |
| US10579942B2 (en) * | 2016-10-14 | 2020-03-03 | Cisco Technology, Inc. | Distributed and centralized modes for isolation networks |
| US11196652B2 (en) * | 2017-02-07 | 2021-12-07 | Telefonaktiebolaget Lm Ericsson (Publ) | Transport layer monitoring and performance assessment for OTT services |
| US10491567B2 (en) * | 2017-03-17 | 2019-11-26 | Verizon Patent And Licensing Inc. | Dynamic firewall configuration based on proxy container deployment |
| US10498810B2 (en) * | 2017-05-04 | 2019-12-03 | Amazon Technologies, Inc. | Coordinating inter-region operations in provider network environments |
| US10644946B2 (en) * | 2017-06-19 | 2020-05-05 | Cisco Technology, Inc. | Detection of overlapping subnets in a network |
| US20180375762A1 (en) * | 2017-06-21 | 2018-12-27 | Microsoft Technology Licensing, Llc | System and method for limiting access to cloud-based resources including transmission between l3 and l7 layers using ipv6 packet with embedded ipv4 addresses and metadata |
| US10924449B2 (en) * | 2017-07-06 | 2021-02-16 | Facebook, Inc. | Internet protocol (IP) address assignment |
| US10999100B2 (en) | 2017-10-02 | 2021-05-04 | Vmware, Inc. | Identifying multiple nodes in a virtual network defined over a set of public clouds to connect to an external SAAS provider |
| US11115480B2 (en) | 2017-10-02 | 2021-09-07 | Vmware, Inc. | Layer four optimization for a virtual network defined over public cloud |
| US11102032B2 (en) | 2017-10-02 | 2021-08-24 | Vmware, Inc. | Routing data message flow through multiple public clouds |
| US11223514B2 (en) | 2017-11-09 | 2022-01-11 | Nicira, Inc. | Method and system of a dynamic high-availability mode based on current wide area network connectivity |
| EP3769489A4 (en) * | 2018-03-22 | 2021-12-15 | Akamai Technologies, Inc. | TRAFFIC FORWARDING AND DISAMBIGUATION USING LOCAL PROXYS AND ADDRESSES |
| EP3782038B1 (en) * | 2018-04-18 | 2023-07-26 | IBOSS, Inc. | Hybrid cloud computing network management |
| KR101964592B1 (ko) * | 2018-04-25 | 2019-04-02 | 한국전자통신연구원 | 보안위협 정보 공유 장치 및 방법 |
| US11936629B2 (en) | 2018-06-21 | 2024-03-19 | VMware LLC | System and method for creating a secure hybrid overlay network |
| US10887218B2 (en) | 2018-06-27 | 2021-01-05 | At&T Intellectual Property I, L.P. | Enhanced dynamic encryption packet segmentation |
| US10644901B2 (en) * | 2018-09-27 | 2020-05-05 | Juniper Networks, Inc. | Generating flexible, programmable, and scalable network tunnels on demand |
| US11425216B2 (en) | 2019-04-01 | 2022-08-23 | Cloudflare, Inc. | Virtual private network (VPN) whose traffic is intelligently routed |
| US11784912B2 (en) | 2019-05-13 | 2023-10-10 | Cloudflare, Inc. | Intelligently routing internet traffic |
| US11252106B2 (en) | 2019-08-27 | 2022-02-15 | Vmware, Inc. | Alleviating congestion in a virtual network deployed over public clouds for an entity |
| US11522913B1 (en) * | 2019-09-03 | 2022-12-06 | Rapid7, Inc. | Simplifying networking setup complexity for security agents |
| US11328089B2 (en) * | 2019-09-20 | 2022-05-10 | International Business Machines Corporation | Built-in legal framework file management |
| US11595357B2 (en) * | 2019-10-23 | 2023-02-28 | Cisco Technology, Inc. | Identifying DNS tunneling domain names by aggregating features per subdomain |
| CN111555975B (zh) * | 2020-03-20 | 2022-11-08 | 视联动力信息技术股份有限公司 | 一种数据发送方法、装置、电子设备及存储介质 |
| US11444851B2 (en) * | 2020-04-13 | 2022-09-13 | Verizon Patent And Licensing Inc. | Systems and methods of using adaptive network infrastructures |
| US11418955B2 (en) * | 2020-05-15 | 2022-08-16 | Secureg | System and methods for transit path security assured network slices |
| KR20220053151A (ko) * | 2020-10-22 | 2022-04-29 | 삼성에스디에스 주식회사 | P2p 연결 제어 방법 및 장치 |
| KR20220084603A (ko) * | 2020-12-14 | 2022-06-21 | 삼성전기주식회사 | 적층형 커패시터 및 그 실장 기판 |
| US11601356B2 (en) | 2020-12-29 | 2023-03-07 | Vmware, Inc. | Emulating packet flows to assess network links for SD-WAN |
| CN116783874A (zh) | 2021-01-18 | 2023-09-19 | Vm维尔股份有限公司 | 网络感知的负载平衡 |
| US11363062B1 (en) * | 2021-03-31 | 2022-06-14 | Peakstar Technologies Inc. | System and method for decentralized internet traffic filtering policy reporting |
| US11297038B1 (en) * | 2021-07-03 | 2022-04-05 | Oversec, Uab | Rotating internet protocol addresses in a virtual private network |
| US11843581B2 (en) * | 2021-08-15 | 2023-12-12 | Netflow, UAB | Clustering of virtual private network servers |
| US11943146B2 (en) | 2021-10-01 | 2024-03-26 | VMware LLC | Traffic prioritization in SD-WAN |
| CN114499923B (zh) * | 2021-11-30 | 2023-11-10 | 北京天融信网络安全技术有限公司 | 一种icmp模拟报文的生成方法及装置 |
| CN114567461A (zh) * | 2022-02-09 | 2022-05-31 | 日照盈德气体有限公司 | 一种空分多系统互联远程工业监测系统 |
| US11444911B1 (en) | 2022-02-22 | 2022-09-13 | Oversec, Uab | Domain name system configuration during virtual private network connection |
| US11627191B1 (en) | 2022-03-04 | 2023-04-11 | Oversec, Uab | Network connection management |
| US11647084B1 (en) | 2022-03-04 | 2023-05-09 | Oversec, Uab | Virtual private network connection management with echo packets |
| US11665141B1 (en) | 2022-03-04 | 2023-05-30 | Oversec, Uab | Virtual private network connection status detection |
| US11558469B1 (en) | 2022-03-04 | 2023-01-17 | Oversec, Uab | Virtual private network connection status detection |
| US11909815B2 (en) | 2022-06-06 | 2024-02-20 | VMware LLC | Routing based on geolocation costs |
| CN117354276A (zh) * | 2022-06-27 | 2024-01-05 | 中移(杭州)信息技术有限公司 | 一种网络穿透系统的启动方法及报文收发方法、通信设备 |
| US11729148B1 (en) * | 2022-09-04 | 2023-08-15 | Uab 360 It | Optimized utilization of internet protocol addresses in a virtual private network |
| CN115525657B (zh) * | 2022-10-12 | 2023-07-11 | 合肥九韶智能科技有限公司 | 一种可扩展的网络请求消息和转发系统 |
Family Cites Families (387)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| IT1196791B (it) * | 1986-11-18 | 1988-11-25 | Cselt Centro Studi Lab Telecom | Elemento di commutazione per reti di interconnessione multistadio autoinstradanti a commutazione di pacchetto |
| US5828847A (en) * | 1996-04-19 | 1998-10-27 | Storage Technology Corporation | Dynamic server switching for maximum server availability and load balancing |
| US5893089A (en) | 1996-11-15 | 1999-04-06 | Lextron Systems, Inc. | Memory with integrated search engine |
| US6370571B1 (en) | 1997-03-05 | 2002-04-09 | At Home Corporation | System and method for delivering high-performance online multimedia services |
| CA2228879C (en) | 1997-03-25 | 2001-08-07 | At&T Corp. | Methods for identifying service processing of telephone calls |
| US7389312B2 (en) | 1997-04-28 | 2008-06-17 | Emc Corporation | Mirroring network data to establish virtual storage area network |
| US5940838A (en) | 1997-07-11 | 1999-08-17 | International Business Machines Corporation | Parallel file system and method anticipating cache usage patterns |
| US6377993B1 (en) | 1997-09-26 | 2002-04-23 | Mci Worldcom, Inc. | Integrated proxy interface for web based data management reports |
| US6374302B1 (en) | 1998-03-31 | 2002-04-16 | At&T Corp. | Method and system to provide an action control point master gatekeeper |
| US6289201B1 (en) | 1998-10-02 | 2001-09-11 | Motorola, Inc. | Method and system for multilayer service management |
| US6209039B1 (en) | 1998-10-16 | 2001-03-27 | Mci Worldcom, Inc. | Method and apparatus for providing an interface between a plurality of frame relay networks |
| EP1155575B1 (en) | 1999-02-25 | 2003-02-05 | Siemens Schweiz AG | Telecommunications system and method relating to telecommunications services with number translation |
| US6463465B1 (en) | 1999-05-07 | 2002-10-08 | Sun Microsystems, Inc. | System for facilitating remote access to parallel file system in a network using priviliged kernel mode and unpriviliged user mode to avoid processing failure |
| GB2350255A (en) | 1999-05-15 | 2000-11-22 | Ericsson Telefon Ab L M | Signalling in a telecommunications network |
| FR2795593B1 (fr) | 1999-06-24 | 2001-09-07 | Cit Alcatel | Procede de routage de messages entre des points d'acces |
| US6879995B1 (en) | 1999-08-13 | 2005-04-12 | Sun Microsystems, Inc. | Application server message logging |
| US6693876B1 (en) | 1999-08-31 | 2004-02-17 | Worldcom, Inc. | Selecting IPX/IGX nodes in a multi-domain environment |
| US6678241B1 (en) | 1999-11-30 | 2004-01-13 | Cisc Technology, Inc. | Fast convergence with topology switching |
| US6735207B1 (en) | 2000-06-13 | 2004-05-11 | Cisco Technology, Inc. | Apparatus and method for reducing queuing memory access cycles using a distributed queue structure |
| US6477166B1 (en) | 2000-06-30 | 2002-11-05 | Marconi Communications, Inc. | System, method and switch for an MPLS network and an ATM network |
| GB2369213B (en) | 2000-07-04 | 2005-02-23 | Honda Motor Co Ltd | Electronic file management system |
| US20020007350A1 (en) * | 2000-07-11 | 2002-01-17 | Brian Yen | System and method for on-demand data distribution in a P2P system |
| US7155508B2 (en) | 2000-09-01 | 2006-12-26 | Yodlee.Com, Inc. | Target information generation and ad server |
| US20020087447A1 (en) * | 2000-09-19 | 2002-07-04 | Gazebo Inc. | System and method for managing and executing event based investments |
| US6947433B2 (en) * | 2000-09-21 | 2005-09-20 | Avici Systems, Inc. | System and method for implementing source based and egress based virtual networks in an interconnection network |
| US9525696B2 (en) | 2000-09-25 | 2016-12-20 | Blue Coat Systems, Inc. | Systems and methods for processing data flows |
| WO2002033551A1 (en) | 2000-10-18 | 2002-04-25 | Tricord Systems, Inc. | Controller fault recovery system for a distributed file system |
| US7006505B1 (en) | 2000-10-23 | 2006-02-28 | Bay Microsystems, Inc. | Memory management system and algorithm for network processor architecture |
| US6829215B2 (en) | 2000-10-31 | 2004-12-07 | Marconi Intellectual Property (Ringfence) Inc. | IP multi-homing |
| US7254833B1 (en) * | 2000-11-09 | 2007-08-07 | Accenture Llp | Electronic security system and scheme for a communications network |
| US7149797B1 (en) * | 2001-04-02 | 2006-12-12 | Akamai Technologies, Inc. | Content delivery network service provider (CDNSP)-managed content delivery network (CDN) for network service provider (NSP) |
| US7055036B2 (en) | 2001-04-06 | 2006-05-30 | Mcafee, Inc. | System and method to verify trusted status of peer in a peer-to-peer network environment |
| US7599620B2 (en) * | 2001-06-01 | 2009-10-06 | Nortel Networks Limited | Communications network for a metropolitan area |
| CN1241366C (zh) | 2001-06-19 | 2006-02-08 | 中兴通讯股份有限公司 | 一种宽带接入用户配置方法 |
| US7161899B2 (en) | 2001-07-20 | 2007-01-09 | Bay Microsystems, Inc. | Interlocking SONET/SDH network architecture |
| US8625411B2 (en) | 2001-07-20 | 2014-01-07 | Bay Microsystems, Inc. | Robust mesh transport network comprising conjoined rings |
| JP2003034163A (ja) | 2001-07-24 | 2003-02-04 | Honda Motor Co Ltd | 車両用メータ装置 |
| EP1283464A1 (en) * | 2001-08-06 | 2003-02-12 | Hewlett-Packard Company | A boot process for a computer, a boot ROM and a computer having a boot ROM |
| US7224706B2 (en) | 2001-08-28 | 2007-05-29 | Bay Microsystems, Inc. | Hitless re-routing in composite switches |
| US6996117B2 (en) | 2001-09-19 | 2006-02-07 | Bay Microsystems, Inc. | Vertical instruction and data processing in a network processor architecture |
| US7310348B2 (en) | 2001-09-19 | 2007-12-18 | Bay Microsystems, Inc. | Network processor architecture |
| CN1250017C (zh) * | 2001-09-27 | 2006-04-05 | 三星电子株式会社 | 把分布式防火墙用于分载因特网协议语音业务的软交换器 |
| US6973048B2 (en) | 2001-10-10 | 2005-12-06 | Bay Microsystems, Inc. | Composite add/drop multiplexor |
| EP1442580B1 (en) | 2001-11-02 | 2017-05-31 | Juniper Networks, Inc. | Method and system for providing secure access to resources on private networks |
| US6593863B2 (en) | 2001-12-05 | 2003-07-15 | Parama Networks, Inc. | Serializer |
| JP3812727B2 (ja) | 2001-12-11 | 2006-08-23 | 日本電気株式会社 | 情報処理システム |
| US6690223B1 (en) | 2001-12-27 | 2004-02-10 | Bay Microsystems, Inc. | System and method for shifting the phase of a clock signal |
| US7433964B2 (en) | 2002-01-20 | 2008-10-07 | Bay Microsystems, Inc. | Coherent provisioning of multiple traffic paths in transport networks |
| US8976798B2 (en) * | 2002-01-28 | 2015-03-10 | Hughes Network Systems, Llc | Method and system for communicating over a segmented virtual private network (VPN) |
| US7398552B2 (en) * | 2002-01-28 | 2008-07-08 | Hughes Network Systems, Llc | Method and system for integrating performance enhancing functions in a virtual private network (VPN) |
| WO2003075166A1 (fr) | 2002-03-06 | 2003-09-12 | Fujitsu Limited | Systeme de stockage et procede de transfert de donnees dans ledit systeme |
| US7177929B2 (en) * | 2002-03-27 | 2007-02-13 | International Business Machines Corporation | Persisting node reputations in transient network communities |
| US7069318B2 (en) * | 2002-03-27 | 2006-06-27 | International Business Machines Corporation | Content tracking in transient network communities |
| US7039701B2 (en) * | 2002-03-27 | 2006-05-02 | International Business Machines Corporation | Providing management functions in decentralized networks |
| US7269130B2 (en) | 2002-03-29 | 2007-09-11 | Bay Microsystems, Inc. | Redundant add/drop multiplexor |
| US7173902B2 (en) | 2002-03-29 | 2007-02-06 | Bay Microsystems, Inc. | Expansion of telecommunications networks with automatic protection switching |
| US7161965B2 (en) | 2002-03-29 | 2007-01-09 | Bay Microsystems, Inc. | Add/drop multiplexor with aggregate serializer/deserializers |
| US7145922B2 (en) | 2002-03-29 | 2006-12-05 | Bay Microsystems, Inc. | Composite add/drop multiplexor with crisscross loop back |
| US7145882B2 (en) | 2002-04-04 | 2006-12-05 | Bay Microsystems, Inc. | Multiplexed automatic protection switching channels |
| US20030195973A1 (en) | 2002-04-11 | 2003-10-16 | Raymond Savarda | Methods, systems, and computer program products for processing a packet with layered headers using a data structure that positionally relates the layered headers |
| AU2002307270A1 (en) | 2002-04-12 | 2003-10-27 | Bay Microsystems, Inc. | System and method for memory management within a network processor architecture |
| AU2003226394A1 (en) | 2002-04-14 | 2003-11-03 | Bay Microsystems, Inc. | Data forwarding engine |
| WO2003090018A2 (en) | 2002-04-14 | 2003-10-30 | Bay Microsystems, Inc. | Network processor architecture |
| US20030204602A1 (en) | 2002-04-26 | 2003-10-30 | Hudson Michael D. | Mediated multi-source peer content delivery network architecture |
| US7221687B2 (en) | 2002-05-17 | 2007-05-22 | Bay Microsystems, Inc. | Reference timing architecture |
| US7349435B2 (en) | 2002-07-11 | 2008-03-25 | Bay Microsystems, Inc. | Multiport overhead cell processor for telecommunications nodes |
| US7689722B1 (en) * | 2002-10-07 | 2010-03-30 | Cisco Technology, Inc. | Methods and apparatus for virtual private network fault tolerance |
| CN1754161A (zh) * | 2002-10-18 | 2006-03-29 | 科拉图斯公司 | 用于建立虚拟网络的设备、方法和计算机程序产品 |
| US8332464B2 (en) | 2002-12-13 | 2012-12-11 | Anxebusiness Corp. | System and method for remote network access |
| US7633909B1 (en) | 2002-12-20 | 2009-12-15 | Sprint Spectrum L.P. | Method and system for providing multiple connections from a common wireless access point |
| CN100471183C (zh) * | 2003-02-05 | 2009-03-18 | 日本电信电话株式会社 | 防火墙装置 |
| GB0306971D0 (en) * | 2003-03-26 | 2003-04-30 | British Telecomm | Client server model |
| JP4119295B2 (ja) * | 2003-04-07 | 2008-07-16 | 東京エレクトロン株式会社 | 保守・診断データ蓄積サーバ、保守・診断データの蓄積・取得システム、保守・診断データの蓄積・提供システム |
| US8437284B2 (en) | 2003-07-29 | 2013-05-07 | Citrix Systems, Inc. | Systems and methods for additional retransmissions of dropped packets |
| US7349411B2 (en) | 2003-07-30 | 2008-03-25 | Bay Microsystems, Inc. | Economically expansible switching network |
| US8069435B1 (en) | 2003-08-18 | 2011-11-29 | Oracle America, Inc. | System and method for integration of web services |
| WO2005052759A2 (en) | 2003-11-24 | 2005-06-09 | Ebay Inc. | Business language schema design framework |
| US7587487B1 (en) | 2003-12-10 | 2009-09-08 | Foundry Networks, Inc. | Method and apparatus for load balancing based on XML content in a packet |
| WO2005065035A2 (en) | 2004-01-08 | 2005-07-21 | Wisair Ltd. | Distributed and centralized media access control device and method |
| JP2005228036A (ja) * | 2004-02-13 | 2005-08-25 | Nec Commun Syst Ltd | 負荷分散装置、その制御方法、その制御プログラム、及びクライアントサーバシステム |
| US20050180319A1 (en) | 2004-02-18 | 2005-08-18 | Hutnik Stephen M. | Narrowband and broadband VPN optimal path selection using the global positioning system |
| US20050203892A1 (en) | 2004-03-02 | 2005-09-15 | Jonathan Wesley | Dynamically integrating disparate systems and providing secure data sharing |
| US8005937B2 (en) | 2004-03-02 | 2011-08-23 | Fatpot Technologies, Llc | Dynamically integrating disparate computer-aided dispatch systems |
| JP2005268936A (ja) | 2004-03-16 | 2005-09-29 | Canon Inc | アクセスポイント、ネットワークシステム及びネットワークサービス提供方法 |
| US9609003B1 (en) | 2007-06-12 | 2017-03-28 | Icontrol Networks, Inc. | Generating risk profile using data of home monitoring and security system |
| US20050216957A1 (en) * | 2004-03-25 | 2005-09-29 | Banzhof Carl E | Method and apparatus for protecting a remediated computer network from entry of a vulnerable computer system thereinto |
| JP5038887B2 (ja) * | 2004-04-15 | 2012-10-03 | クリアパス・ネットワークス・インコーポレーテッド | ネットワークを管理するシステムおよび方法 |
| US8522205B2 (en) | 2004-05-18 | 2013-08-27 | Oracle International Corporation | Packaging multiple groups of read-only files of an application's components into multiple shared libraries |
| US9088561B2 (en) * | 2004-05-19 | 2015-07-21 | Ca, Inc. | Method and system for authentication in a computer network |
| US8107363B1 (en) * | 2004-05-21 | 2012-01-31 | Rockstar Bidco, LP | Method and apparatus for accelerating failover of VPN traffic in an MPLS provider network |
| WO2005116851A2 (en) * | 2004-05-25 | 2005-12-08 | Postini, Inc. | Electronic message source information reputation system |
| US20060075057A1 (en) | 2004-08-30 | 2006-04-06 | International Business Machines Corporation | Remote direct memory access system and method |
| US7830372B2 (en) | 2004-08-30 | 2010-11-09 | Qnx Software Systems Gmbh & Co. Kg | Method and system for providing transparent access to hardware graphic layers |
| US20060047944A1 (en) * | 2004-09-01 | 2006-03-02 | Roger Kilian-Kehr | Secure booting of a computing device |
| DE102004047328A1 (de) * | 2004-09-29 | 2006-06-01 | OCé PRINTING SYSTEMS GMBH | Computersystem und Verfahren zum automatischen Ausführen von Bestellungen |
| KR100611741B1 (ko) * | 2004-10-19 | 2006-08-11 | 한국전자통신연구원 | 네트워크 침입 탐지 및 방지 시스템 및 그 방법 |
| US20060179430A1 (en) | 2004-11-18 | 2006-08-10 | Besbris David G | Service grouping |
| CA2594020C (en) | 2004-12-22 | 2014-12-09 | Wake Forest University | Method, systems, and computer program products for implementing function-parallel network firewall |
| US7523491B2 (en) * | 2005-01-03 | 2009-04-21 | Nokia Corporation | System, apparatus, and method for accessing mobile servers |
| US7551623B1 (en) | 2005-01-31 | 2009-06-23 | Packeteer, Inc. | Modulation of partition parameters achieving delay-based QoS mechanism |
| WO2006089214A1 (en) * | 2005-02-19 | 2006-08-24 | Cisco Technology, Inc. | Techniques for oversubscribing edge nodes for virtual private networks |
| CN100417114C (zh) | 2005-03-01 | 2008-09-03 | 华为技术有限公司 | 在无线局域网中接入设备间实现负载均衡的方法 |
| US20090129386A1 (en) * | 2005-04-29 | 2009-05-21 | Johan Rune | Operator Shop Selection |
| US8818331B2 (en) | 2005-04-29 | 2014-08-26 | Jasper Technologies, Inc. | Method for enabling a wireless device for geographically preferential services |
| US9401822B2 (en) | 2005-06-09 | 2016-07-26 | Whirlpool Corporation | Software architecture system and method for operating an appliance exposing key press functionality to a network |
| JP2006350828A (ja) | 2005-06-17 | 2006-12-28 | Matsushita Electric Ind Co Ltd | ストリーム制御装置 |
| US8854965B1 (en) | 2005-07-20 | 2014-10-07 | Avaya Inc. | Flow label systems and methods |
| CN1909501A (zh) * | 2005-08-05 | 2007-02-07 | 华为技术有限公司 | 一种端到端业务快速收敛的方法和路由设备 |
| US7801030B1 (en) * | 2005-09-16 | 2010-09-21 | Cisco Technology, Inc. | Technique for using OER with an ECT solution for multi-homed spoke-to-spoke sites |
| US20070083482A1 (en) | 2005-10-08 | 2007-04-12 | Unmesh Rathi | Multiple quality of service file system |
| US20070112812A1 (en) * | 2005-11-09 | 2007-05-17 | Harvey Richard H | System and method for writing data to a directory |
| JP4781089B2 (ja) | 2005-11-15 | 2011-09-28 | 株式会社ソニー・コンピュータエンタテインメント | タスク割り当て方法およびタスク割り当て装置 |
| US7782905B2 (en) | 2006-01-19 | 2010-08-24 | Intel-Ne, Inc. | Apparatus and method for stateless CRC calculation |
| US8687791B1 (en) | 2006-02-24 | 2014-04-01 | West Corporation | System, method, and computer readable medium for routing an agent to a preferred communications platform |
| US7945612B2 (en) * | 2006-03-28 | 2011-05-17 | Microsoft Corporation | Aggregating user presence across multiple endpoints |
| US10079839B1 (en) | 2007-06-12 | 2018-09-18 | Icontrol Networks, Inc. | Activation of gateway device |
| JP5140666B2 (ja) | 2006-06-27 | 2013-02-06 | トムソン ライセンシング | パフォーマンスを考慮した、ピアツーピア・コンテンツ・オンデマンド |
| US8239915B1 (en) | 2006-06-30 | 2012-08-07 | Symantec Corporation | Endpoint management using trust rating data |
| US20090132621A1 (en) | 2006-07-28 | 2009-05-21 | Craig Jensen | Selecting storage location for file storage based on storage longevity and speed |
| US7577691B2 (en) | 2006-08-02 | 2009-08-18 | Microsoft Corporation | Extending hierarchical synchronization scopes to non-hierarchical scenarios |
| US8718065B2 (en) | 2006-08-15 | 2014-05-06 | Broadcom Corporation | Transmission using multiple physical interface |
| US7849505B2 (en) * | 2006-08-17 | 2010-12-07 | At&T Intellectual Property I, Lp | System and method of selecting a virtual private network access server |
| US8312120B2 (en) * | 2006-08-22 | 2012-11-13 | Citrix Systems, Inc. | Systems and methods for providing dynamic spillover of virtual servers based on bandwidth |
| US20080091598A1 (en) | 2006-10-17 | 2008-04-17 | Daniel Fauleau | Method and system of executing an action on a portable data storage device |
| US20080130891A1 (en) | 2006-11-03 | 2008-06-05 | Alvin Sun | Integrated circuit device interface with parallel scrambler and descrambler |
| US7742411B2 (en) | 2006-11-03 | 2010-06-22 | Bay Microsystems, Inc. | Highly-scalable hardware-based traffic management within a network processor integrated circuit |
| US8514698B2 (en) | 2006-11-21 | 2013-08-20 | The Boeing Company | Routing and forwarding of packets over a non-persistent communication link |
| US7822877B2 (en) | 2006-11-27 | 2010-10-26 | Bay Microsystems, Inc. | Network processor integrated circuit with a software programmable search engine communications module |
| US9554061B1 (en) | 2006-12-15 | 2017-01-24 | Proctor Consulting LLP | Smart hub |
| US9569587B2 (en) | 2006-12-29 | 2017-02-14 | Kip Prod Pi Lp | Multi-services application gateway and system employing the same |
| US20170344703A1 (en) | 2006-12-29 | 2017-11-30 | Kip Prod P1 Lp | Multi-services application gateway and system employing the same |
| US8015581B2 (en) | 2007-01-05 | 2011-09-06 | Verizon Patent And Licensing Inc. | Resource data configuration for media content access systems and methods |
| US8154185B2 (en) | 2007-02-12 | 2012-04-10 | The Board Of Trustees Of The Leland Stanford Junior University | Diamondoid monolayers as electron emitters |
| US20080201722A1 (en) * | 2007-02-20 | 2008-08-21 | Gurusamy Sarathy | Method and System For Unsafe Content Tracking |
| US8339991B2 (en) * | 2007-03-01 | 2012-12-25 | Meraki, Inc. | Node self-configuration and operation in a wireless network |
| US7957311B2 (en) | 2007-03-09 | 2011-06-07 | Bay Microsystems, Inc. | Programmable hardware-based traffic policing |
| US8582557B2 (en) | 2007-04-04 | 2013-11-12 | Cisco Technology, Inc. | Fax relay tunneling |
| CN101282448B (zh) | 2007-04-05 | 2012-08-29 | 华为技术有限公司 | 多媒体广播数据的传输与接收方法及其系统、终端 |
| US8688850B2 (en) * | 2007-04-10 | 2014-04-01 | International Business Machines Corporation | Method for inter-site data stream transfer in cooperative data stream processing |
| US8705348B2 (en) | 2007-04-18 | 2014-04-22 | Cisco Technology, Inc. | Use of metadata for time based anti-replay |
| US8141143B2 (en) * | 2007-05-31 | 2012-03-20 | Imera Systems, Inc. | Method and system for providing remote access to resources in a secure data center over a network |
| US20180198756A1 (en) | 2007-06-12 | 2018-07-12 | Icontrol Networks, Inc. | Communication protocols in integrated systems |
| CN101079896B (zh) | 2007-06-22 | 2010-05-19 | 西安交通大学 | 一种构建并行存储系统多可用性机制并存架构的方法 |
| US8111627B2 (en) * | 2007-06-29 | 2012-02-07 | Cisco Technology, Inc. | Discovering configured tunnels between nodes on a path in a data communications network |
| US8966075B1 (en) * | 2007-07-02 | 2015-02-24 | Pulse Secure, Llc | Accessing a policy server from multiple layer two networks |
| WO2009032710A2 (en) | 2007-08-29 | 2009-03-12 | Nirvanix, Inc. | Filing system and method for data files stored in a distributed communications network |
| US8069258B1 (en) | 2007-09-11 | 2011-11-29 | Electronic Arts Inc. | Local frame processing to apparently reduce network lag of multiplayer deterministic simulations |
| US7751329B2 (en) * | 2007-10-03 | 2010-07-06 | Avaya Inc. | Providing an abstraction layer in a cluster switch that includes plural switches |
| KR101053903B1 (ko) | 2007-10-19 | 2011-08-04 | 삼성전자주식회사 | 네트워크온칩에서 전압 및 주파수 제어 장치 및 방법 |
| US8064909B2 (en) | 2007-10-25 | 2011-11-22 | Cisco Technology, Inc. | Interworking gateway for mobile nodes |
| US8312307B2 (en) * | 2007-11-07 | 2012-11-13 | Intel Corporation | Systems and methods for reducing power consumption during communication between link partners |
| US8272046B2 (en) | 2007-11-13 | 2012-09-18 | Cisco Technology, Inc. | Network mobility over a multi-path virtual private network |
| US7945696B2 (en) * | 2007-11-30 | 2011-05-17 | Cisco Technology, Inc. | Differentiated routing using tunnels in a computer network |
| US8165138B2 (en) | 2007-12-04 | 2012-04-24 | International Business Machines Corporation | Converged infiniband over ethernet network |
| US8422397B2 (en) | 2007-12-28 | 2013-04-16 | Prodea Systems, Inc. | Method and apparatus for rapid session routing |
| US9455924B2 (en) | 2008-01-02 | 2016-09-27 | Media Network Services As | Device and system for selective forwarding |
| WO2009092441A1 (en) | 2008-01-23 | 2009-07-30 | Telefonaktiebolaget Lm Ericsson (Publ) | Selection of an edge node in a fixed access communication network |
| US8544065B2 (en) * | 2008-01-23 | 2013-09-24 | International Business Machines Corporation | Dataspace protection utilizing virtual private networks on a multi-node computer system |
| US20090193428A1 (en) * | 2008-01-25 | 2009-07-30 | Hewlett-Packard Development Company, L.P. | Systems and Methods for Server Load Balancing |
| US20090213754A1 (en) | 2008-02-26 | 2009-08-27 | Roie Melamed | Device, System, and Method of Group Communication |
| US7870418B2 (en) | 2008-02-27 | 2011-01-11 | Microsoft Corporation | Enhanced presence routing and roster fidelity by proactive crashed endpoint detection |
| US8266672B2 (en) | 2008-03-21 | 2012-09-11 | Sophos Plc | Method and system for network identification via DNS |
| US8423592B2 (en) | 2008-04-11 | 2013-04-16 | Sandisk Technologies Inc. | Method and system for accessing a storage system with multiple file systems |
| EP2112803B1 (en) * | 2008-04-22 | 2013-12-18 | Alcatel Lucent | Attack protection for a packet-based network |
| CN101577661B (zh) * | 2008-05-09 | 2013-09-11 | 华为技术有限公司 | 一种路径切换的方法和设备 |
| US8626115B2 (en) | 2009-01-28 | 2014-01-07 | Headwater Partners I Llc | Wireless network service interfaces |
| CN101599888B (zh) * | 2008-06-06 | 2012-04-18 | 中兴通讯股份有限公司 | 一种家用基站网关负载均衡控制方法 |
| US8245039B2 (en) | 2008-07-18 | 2012-08-14 | Bridgewater Systems Corp. | Extensible authentication protocol authentication and key agreement (EAP-AKA) optimization |
| JP5178375B2 (ja) | 2008-07-30 | 2013-04-10 | パナソニック株式会社 | デジタル放送再生装置およびデジタル放送再生方法 |
| US8991147B2 (en) * | 2008-08-05 | 2015-03-31 | International Business Machines Corporation | Augmented track to facilitate removal of stiffening layers from a cable retained in the track |
| US8307422B2 (en) * | 2008-08-14 | 2012-11-06 | Juniper Networks, Inc. | Routing device having integrated MPLS-aware firewall |
| US8437641B2 (en) | 2008-10-21 | 2013-05-07 | Bay Microsystems, Inc. | Clock regeneration for optical communications |
| US8825854B2 (en) * | 2008-11-24 | 2014-09-02 | Sap Ag | DMZ framework |
| CN101478533B (zh) * | 2008-11-29 | 2012-05-23 | 成都市华为赛门铁克科技有限公司 | 一种跨越虚拟防火墙发送和接收数据的方法及系统 |
| US9524167B1 (en) * | 2008-12-10 | 2016-12-20 | Amazon Technologies, Inc. | Providing location-specific network access to remote services |
| CN102257811B (zh) | 2008-12-25 | 2013-03-20 | 中兴通讯股份有限公司 | 移动终端多媒体广播驱动接口及实现方法 |
| WO2010082290A1 (ja) * | 2009-01-13 | 2010-07-22 | 株式会社日立製作所 | 通信システム、加入者収容装置及び通信方法 |
| US9351193B2 (en) | 2009-01-28 | 2016-05-24 | Headwater Partners I Llc | Intermediate networking devices |
| US9858559B2 (en) | 2009-01-28 | 2018-01-02 | Headwater Research Llc | Network service plan design |
| US10492102B2 (en) | 2009-01-28 | 2019-11-26 | Headwater Research Llc | Intermediate networking devices |
| US9164689B2 (en) | 2009-03-30 | 2015-10-20 | Oracle America, Inc. | Data storage system and method of processing a data access request |
| US8769057B1 (en) | 2009-05-07 | 2014-07-01 | Sprint Communications Company L.P. | Employing a hierarchy of servers to resolve fractional IP addresses |
| US8848538B2 (en) | 2009-06-09 | 2014-09-30 | Telefonaktiebolaget Lm Ericsson (Publ) | Power-saving functions in communications networks |
| US8284776B2 (en) | 2009-06-10 | 2012-10-09 | Broadcom Corporation | Recursive packet header processing |
| US8229484B2 (en) | 2009-06-11 | 2012-07-24 | Genesys Telecommunications Laboratories, Inc. | System and methods for integrating short message service messaging with contact center applications |
| US8611335B1 (en) | 2009-08-13 | 2013-12-17 | Google, Inc. | System and method for assigning paths for data flows through a wide-area network |
| CN102006646B (zh) * | 2009-08-28 | 2012-08-08 | 华为终端有限公司 | 一种切换方法和切换设备 |
| EP2478673B1 (en) * | 2009-09-16 | 2013-07-03 | Telefonaktiebolaget L M Ericsson (publ) | Recovery of traffic in a connection-oriented network |
| DE112010004089T5 (de) | 2009-10-20 | 2013-04-11 | Beelinx Usa, Llc | Städtisches Mobilfunknetz |
| US9996548B2 (en) | 2009-11-25 | 2018-06-12 | International Business Machines Corporation | Dispersed storage using localized peer-to-peer capable wireless devices in a peer-to-peer or femto cell supported carrier served fashion |
| US8458769B2 (en) * | 2009-12-12 | 2013-06-04 | Akamai Technologies, Inc. | Cloud based firewall system and service |
| CN101765172A (zh) | 2010-01-21 | 2010-06-30 | 华为技术有限公司 | 接入点网络中的切换方法和装置 |
| US8689307B2 (en) * | 2010-03-19 | 2014-04-01 | Damaka, Inc. | System and method for providing a virtual peer-to-peer environment |
| US8259571B1 (en) | 2010-03-26 | 2012-09-04 | Zscaler, Inc. | Handling overlapping IP addresses in multi-tenant architecture |
| CN102209355B (zh) * | 2010-03-31 | 2013-12-04 | 华为终端有限公司 | 网络切换的方法及支持网络切换的终端 |
| US8601266B2 (en) * | 2010-03-31 | 2013-12-03 | Visa International Service Association | Mutual mobile authentication using a key management center |
| US9461996B2 (en) | 2010-05-07 | 2016-10-04 | Citrix Systems, Inc. | Systems and methods for providing a single click access to enterprise, SAAS and cloud hosted application |
| CN102255794B (zh) | 2010-05-17 | 2014-07-30 | 塔塔咨询服务有限公司 | 远程消息收发吞吐量优化和等待时间缩短用系统和方法 |
| US8473734B2 (en) * | 2010-06-30 | 2013-06-25 | Juniper Networks, Inc. | Multi-service VPN network client for mobile device having dynamic failover |
| US20120005307A1 (en) | 2010-06-30 | 2012-01-05 | Abhik Das | Storage virtualization |
| US8639746B2 (en) | 2010-07-01 | 2014-01-28 | Red Hat, Inc. | Architecture, system and method for mediating communications between a client computer system and a cloud computing system with a driver framework |
| WO2012006595A2 (en) * | 2010-07-09 | 2012-01-12 | Nicolas Girard | Transparent proxy architecture for multi-path data connections |
| US8458786B1 (en) | 2010-08-13 | 2013-06-04 | Zscaler, Inc. | Automated dynamic tunnel management |
| US20140310243A1 (en) | 2010-08-16 | 2014-10-16 | Mr. Steven James McGee | Heart beacon cycle |
| US20140181248A1 (en) | 2010-09-27 | 2014-06-26 | Jonathan Peter Deutsch | Simple Remote Access Through Firewalls For Networked Devices and Applications |
| CN101969414B (zh) | 2010-10-15 | 2012-10-03 | 北京交通大学 | 一种标识分离映射网络中IPSec网关自动发现的方法 |
| CN102457539A (zh) | 2010-10-19 | 2012-05-16 | 英业达集团(天津)电子技术有限公司 | 文件服务器的管理方法 |
| US8798060B1 (en) | 2010-10-21 | 2014-08-05 | Juniper Networks, Inc. | Converting between tunneling protocols |
| US20120105637A1 (en) | 2010-11-03 | 2012-05-03 | Broadcom Corporation | Multi-Level Video Processing Within A Vehicular Communication Network |
| US8935431B2 (en) | 2010-12-17 | 2015-01-13 | International Business Machines Corporation | Highly scalable and distributed data sharing and storage |
| US9565117B2 (en) | 2010-12-22 | 2017-02-07 | Cisco Technology, Inc. | Adaptive intelligent routing in a communication system |
| US9544137B1 (en) * | 2010-12-29 | 2017-01-10 | Amazon Technologies, Inc. | Encrypted boot volume access in resource-on-demand environments |
| US8699683B1 (en) * | 2010-12-30 | 2014-04-15 | Cellco Partnership | Extended dialing plan using dialable special character digits |
| US20120179904A1 (en) * | 2011-01-11 | 2012-07-12 | Safenet, Inc. | Remote Pre-Boot Authentication |
| US9213594B2 (en) | 2011-01-19 | 2015-12-15 | Intelligent Intellectual Property Holdings 2 Llc | Apparatus, system, and method for managing out-of-service conditions |
| US8612744B2 (en) | 2011-02-10 | 2013-12-17 | Varmour Networks, Inc. | Distributed firewall architecture using virtual machines |
| US8800045B2 (en) | 2011-02-11 | 2014-08-05 | Achilles Guard, Inc. | Security countermeasure management platform |
| US9369433B1 (en) | 2011-03-18 | 2016-06-14 | Zscaler, Inc. | Cloud based social networking policy and compliance systems and methods |
| US9065800B2 (en) | 2011-03-18 | 2015-06-23 | Zscaler, Inc. | Dynamic user identification and policy enforcement in cloud-based secure web gateways |
| US9716659B2 (en) * | 2011-03-23 | 2017-07-25 | Hughes Network Systems, Llc | System and method for providing improved quality of service over broadband networks |
| JP5747615B2 (ja) | 2011-03-31 | 2015-07-15 | 日本電気株式会社 | 通信システム、及び通信方法 |
| US8875240B2 (en) | 2011-04-18 | 2014-10-28 | Bank Of America Corporation | Tenant data center for establishing a virtual machine in a cloud environment |
| ES2425627B1 (es) | 2011-05-12 | 2014-05-05 | Telefónica, S.A. | Método y rastreador para distribución de contenido a través de una red de distribución de contenido |
| CN103384992B (zh) | 2011-06-02 | 2015-11-25 | 华为技术有限公司 | 多处理器架构平台网络防火墙 |
| US9432258B2 (en) | 2011-06-06 | 2016-08-30 | At&T Intellectual Property I, L.P. | Methods and apparatus to configure virtual private mobile networks to reduce latency |
| EP2536065B1 (en) | 2011-06-14 | 2019-11-27 | ViaSat, Inc. | Transport protocol for anticipatory content |
| US9148223B2 (en) | 2011-07-07 | 2015-09-29 | Ciena Corporation | Ethernet private local area network systems and methods |
| US9819546B2 (en) | 2011-07-07 | 2017-11-14 | Ciena Corporation | Data connectivity systems and methods through packet-optical switches |
| CN102340538B (zh) | 2011-07-20 | 2013-09-04 | 杭州创联电子技术有限公司 | 一种用于gyk数据管理的手持式设备实现方法 |
| JP6019847B2 (ja) | 2011-08-01 | 2016-11-02 | 株式会社リコー | 画像形成システム及び用紙搬送方法 |
| CN102291455B (zh) | 2011-08-10 | 2014-02-19 | 华为技术有限公司 | 分布式集群处理系统及其报文处理方法 |
| US8881258B2 (en) * | 2011-08-24 | 2014-11-04 | Mcafee, Inc. | System, method, and computer program for preventing infections from spreading in a network environment using dynamic application of a firewall policy |
| US9167501B2 (en) | 2011-08-29 | 2015-10-20 | Telefonaktiebolaget L M Ericsson (Publ) | Implementing a 3G packet core in a cloud computer with openflow data and control planes |
| US10044678B2 (en) | 2011-08-31 | 2018-08-07 | At&T Intellectual Property I, L.P. | Methods and apparatus to configure virtual private mobile networks with virtual private networks |
| US9590820B1 (en) * | 2011-09-02 | 2017-03-07 | Juniper Networks, Inc. | Methods and apparatus for improving load balancing in overlay networks |
| US10237253B2 (en) * | 2011-09-09 | 2019-03-19 | Kingston Digital, Inc. | Private cloud routing server, private network service and smart device client architecture without utilizing a public cloud based routing server |
| US20130070751A1 (en) | 2011-09-20 | 2013-03-21 | Peter Atwal | Synchronization of time in a mobile ad-hoc network |
| WO2013048507A1 (en) * | 2011-09-30 | 2013-04-04 | Intel Corporation | Device, system and method of maintaining connectivity over a virtual private network (vpn) |
| US9514154B2 (en) | 2011-10-27 | 2016-12-06 | International Business Machines Corporation | Virtual file system interface for communicating changes of metadata in a data storage system |
| EP2587827A1 (en) | 2011-10-31 | 2013-05-01 | Nagravision S.A. | Method and hybrid multimedia unit for descrambling a digital broadcast transport stream |
| US8874680B1 (en) | 2011-11-03 | 2014-10-28 | Netapp, Inc. | Interconnect delivery process |
| EP2590100A1 (en) * | 2011-11-04 | 2013-05-08 | British Telecommunications Public Limited Company | Method and apparatus for securing a computer |
| WO2013068033A1 (en) | 2011-11-07 | 2013-05-16 | Option | Establishing a communication session |
| WO2013068530A2 (en) | 2011-11-10 | 2013-05-16 | Koninklijke Kpn N.V. | Logically and end-user-specific physically storing an electronic file |
| EP2748714B1 (en) | 2011-11-15 | 2021-01-13 | Nicira, Inc. | Connection identifier assignment and source network address translation |
| CN102726027B (zh) * | 2011-12-28 | 2014-05-21 | 华为技术有限公司 | 虚拟机全盘加密下预启动时的密钥传输方法和设备 |
| WO2013110965A1 (en) * | 2012-01-27 | 2013-08-01 | Empire Technology Development Llc | Spiral protocol for iterative service level agreement (sla) execution in cloud migration |
| US10484335B2 (en) | 2012-02-09 | 2019-11-19 | Connectify, Inc. | Secure remote computer network |
| CN104170329A (zh) | 2012-03-14 | 2014-11-26 | 瑞典爱立信有限公司 | 用于提供QoS优先化数据业务的方法 |
| CN202587025U (zh) * | 2012-03-27 | 2012-12-05 | 苏州市职业大学 | 一种分布式内容过滤防火墙 |
| US9164795B1 (en) | 2012-03-30 | 2015-10-20 | Amazon Technologies, Inc. | Secure tunnel infrastructure between hosts in a hybrid network environment |
| US9350644B2 (en) | 2012-04-13 | 2016-05-24 | Zscaler. Inc. | Secure and lightweight traffic forwarding systems and methods to cloud based network security systems |
| WO2013158662A1 (en) | 2012-04-18 | 2013-10-24 | Nevion Usa, Inc. | Launch delay offset data flow protection |
| US9369367B2 (en) | 2012-04-25 | 2016-06-14 | Telefonaktiebolaget Lm Ericsson (Publ) | Host-router virtual tunnelling and multiple tunnel management |
| US9100299B2 (en) | 2012-05-21 | 2015-08-04 | Verizon Patent And Licensing Inc. | Detecting error conditions in standby links |
| US9898317B2 (en) | 2012-06-06 | 2018-02-20 | Juniper Networks, Inc. | Physical path determination for virtual network packet flows |
| US9699135B2 (en) | 2012-06-20 | 2017-07-04 | Openvpn Technologies, Inc. | Private tunnel network |
| US9185025B2 (en) * | 2012-06-22 | 2015-11-10 | Telefonaktiebolaget L M Ericsson (Publ) | Internetworking and failure recovery in unified MPLS and IP networks |
| JP2014010465A (ja) | 2012-06-27 | 2014-01-20 | International Business Maschines Corporation | 複数のストレージ・クラウドから実体ファイルを格納するためのストレージ・クラウドを選択する方法、並びにそのコンピュータ及びコンピュータ・プログラム |
| US8934215B2 (en) | 2012-07-20 | 2015-01-13 | Samsung Electro-Mechanics Co., Ltd | Laminated chip electronic component, board for mounting the same, and packing unit thereof |
| US9087191B2 (en) | 2012-08-24 | 2015-07-21 | Vmware, Inc. | Method and system for facilitating isolated workspace for applications |
| CN102833109B (zh) * | 2012-08-30 | 2015-01-07 | 华为技术有限公司 | 故障点位置信息处理方法及设备 |
| US9298719B2 (en) | 2012-09-04 | 2016-03-29 | International Business Machines Corporation | On-demand caching in a WAN separated distributed file system or clustered file system cache |
| US9807613B2 (en) | 2012-09-06 | 2017-10-31 | Dell Products, Lp | Collaborative method and system to improve carrier network policies with context aware radio communication management |
| US9164702B1 (en) | 2012-09-07 | 2015-10-20 | Google Inc. | Single-sided distributed cache system |
| US9264301B1 (en) | 2012-09-20 | 2016-02-16 | Wiretap Ventures, LLC | High availability for software defined networks |
| US20140086253A1 (en) * | 2012-09-26 | 2014-03-27 | Futurewei Technologies, Inc. | Overlay Virtual Gateway for Overlay Networks |
| CN102904816B (zh) * | 2012-09-26 | 2017-04-12 | 华为技术有限公司 | 业务流量保护方法和装置 |
| EP2907090A4 (en) | 2012-10-10 | 2016-05-18 | Mastercard International Inc | METHOD AND SYSTEMS FOR IMPLEMENTING TRANSACTIONS AT REMOTE SALES OFFICES |
| CN103731460A (zh) * | 2012-10-16 | 2014-04-16 | 无锡云捷科技有限公司 | 一种构建网络服务器池的池化器 |
| EP2909716B1 (en) | 2012-10-16 | 2021-02-17 | Citrix Systems, Inc. | Systems and methods for bridging between public and private clouds through multi-level api integration |
| US10275267B1 (en) | 2012-10-22 | 2019-04-30 | Amazon Technologies, Inc. | Trust-based resource allocation |
| EP2728827A1 (en) * | 2012-10-31 | 2014-05-07 | British Telecommunications public limited company | Communications network using a tunnel to connect two network nodes |
| US9160809B2 (en) | 2012-11-26 | 2015-10-13 | Go Daddy Operating Company, LLC | DNS overriding-based methods of accelerating content delivery |
| CN103036967B (zh) * | 2012-12-10 | 2017-03-15 | 北京奇虎科技有限公司 | 一种下载管理设备、方法及数据下载系统 |
| US9042270B2 (en) | 2012-12-19 | 2015-05-26 | Hitachi, Ltd. | Method and apparatus of network configuration for storage federation |
| US10070369B2 (en) | 2013-01-02 | 2018-09-04 | Comcast Cable Communications, Llc | Network provisioning |
| CN103118089A (zh) | 2013-01-22 | 2013-05-22 | 华中科技大学 | 一种基于多个云存储系统的安全存储方法及其系统 |
| US20150363230A1 (en) | 2013-01-23 | 2015-12-17 | Waseda University | Parallelism extraction method and method for making program |
| US9652192B2 (en) | 2013-01-25 | 2017-05-16 | Qualcomm Incorporated | Connectionless transport for user input control for wireless display devices |
| WO2014119719A1 (ja) * | 2013-02-01 | 2014-08-07 | 日本電気株式会社 | リソース制御システム、制御パターン生成装置、制御装置、リソース制御方法及びプログラム |
| US8923333B2 (en) | 2013-02-08 | 2014-12-30 | Shoab A. Khan | Cognitive hub for self-healing and self-forming network with hybrid communication technologies |
| US20140229945A1 (en) | 2013-02-12 | 2014-08-14 | Contextream Ltd. | Network control using software defined flow mapping and virtualized network functions |
| US9432336B2 (en) * | 2013-02-13 | 2016-08-30 | Blackberry Limited | Secure electronic device application connection to an application server |
| US10142390B2 (en) | 2013-02-15 | 2018-11-27 | Nec Corporation | Method and system for providing content in content delivery networks |
| GB2510874B (en) * | 2013-02-15 | 2020-09-16 | Ncr Corp | Server system supporting remotely managed IT services |
| US9418072B2 (en) | 2013-03-04 | 2016-08-16 | Vmware, Inc. | Cross-file differential content synchronization |
| US9277452B1 (en) | 2013-03-07 | 2016-03-01 | Dragonwave, Inc. | Adaptive modulation and priority-based flow control in wireless communications |
| WO2014159042A1 (en) * | 2013-03-14 | 2014-10-02 | M2S, Inc. | Data collection marketplace for a data registry system |
| US9374241B2 (en) * | 2013-03-14 | 2016-06-21 | International Business Machines Corporation | Tagging virtual overlay packets in a virtual networking system |
| US9992107B2 (en) | 2013-03-15 | 2018-06-05 | A10 Networks, Inc. | Processing data packets using a policy based network path |
| US9450817B1 (en) | 2013-03-15 | 2016-09-20 | Juniper Networks, Inc. | Software defined network controller |
| US9253245B2 (en) * | 2013-03-15 | 2016-02-02 | Profitbricks Gmbh | Load balancer and related techniques |
| US9860332B2 (en) | 2013-05-08 | 2018-01-02 | Samsung Electronics Co., Ltd. | Caching architecture for packet-form in-memory object caching |
| KR102051504B1 (ko) * | 2013-05-15 | 2019-12-03 | 삼성전자주식회사 | 무선 통신 시스템에서 데이터 패킷 송수신 방법 및 장치 |
| US9888042B2 (en) | 2013-05-21 | 2018-02-06 | Citrix Systems, Inc. | Systems and methods for multipath transmission control protocol connection management |
| US9264444B2 (en) | 2013-05-21 | 2016-02-16 | Rapid7, Llc | Systems and methods for determining an objective security assessment for a network of assets |
| US9049613B2 (en) | 2013-06-06 | 2015-06-02 | Seven Networks, Inc. | Radio or network evaluation for selection based on measurements using application layer protocols at a mobile device |
| US9106610B2 (en) | 2013-06-07 | 2015-08-11 | International Business Machines Corporation | Regional firewall clustering in a networked computing environment |
| US9699001B2 (en) | 2013-06-10 | 2017-07-04 | Brocade Communications Systems, Inc. | Scalable and segregated network virtualization |
| US20140369230A1 (en) | 2013-06-18 | 2014-12-18 | Alcatel-Lucent Usa Inc. | Virtual Chassis Topology Management |
| US8601565B1 (en) * | 2013-06-19 | 2013-12-03 | Edgecast Networks, Inc. | White-list firewall based on the document object model |
| US9509598B2 (en) * | 2013-08-02 | 2016-11-29 | Time Warner Cable Enterprises Llc | Apparatus and methods for intelligent deployment of network infrastructure based on tunneling of ethernet ring protection |
| WO2015021343A1 (en) | 2013-08-08 | 2015-02-12 | Hughes Network Systems, Llc | System and method for providing improved quality of service over broadband networks |
| US9241044B2 (en) | 2013-08-28 | 2016-01-19 | Hola Networks, Ltd. | System and method for improving internet communication by using intermediate nodes |
| US8611355B1 (en) | 2013-09-03 | 2013-12-17 | tw telecom holdings inc. | Buffer-less virtual routing |
| US9503371B2 (en) * | 2013-09-04 | 2016-11-22 | Nicira, Inc. | High availability L3 gateways for logical networks |
| US9338066B2 (en) | 2013-09-05 | 2016-05-10 | Avaya Inc. | Tunnel keep-alive timeout mechanism based on quality of service (QoS) value of received keep-alive messages |
| US9274858B2 (en) | 2013-09-17 | 2016-03-01 | Twilio, Inc. | System and method for tagging and tracking events of an application platform |
| US20150086018A1 (en) | 2013-09-23 | 2015-03-26 | Venafi, Inc. | Centralized key discovery and management |
| US10078754B1 (en) * | 2013-09-24 | 2018-09-18 | Amazon Technologies, Inc. | Volume cryptographic key management |
| IN2013MU03094A (ja) | 2013-09-27 | 2015-07-17 | Tata Consultancy Services Ltd | |
| CN105706074A (zh) | 2013-09-30 | 2016-06-22 | 慧与发展有限责任合伙企业 | 软件定义网络应用部署 |
| EP4221076A3 (en) | 2013-10-03 | 2023-10-04 | Musarubra US LLC | Dynamic adaptive defense for cyber-security threats |
| US10904201B1 (en) | 2013-10-11 | 2021-01-26 | Cisco Technology, Inc. | Updating distributed caches in network devices in the event of virtual machine changes in a virtualized network environment |
| US20150121532A1 (en) | 2013-10-31 | 2015-04-30 | Comsec Consulting Ltd | Systems and methods for defending against cyber attacks at the software level |
| US9407602B2 (en) | 2013-11-07 | 2016-08-02 | Attivo Networks, Inc. | Methods and apparatus for redirecting attacks on a network |
| US9253028B2 (en) | 2013-12-13 | 2016-02-02 | International Business Machines Corporation | Software-defined networking tunneling extensions |
| DE102013114214A1 (de) | 2013-12-17 | 2015-06-18 | Fujitsu Technology Solutions Intellectual Property Gmbh | POSIX-kompatibles Dateisystem, Verfahren zum Erzeugen einer Dateiliste und Speichervorrichtung |
| EP3084668A4 (en) | 2013-12-19 | 2017-08-23 | Intel Corporation | Technologies for supporting multiple digital rights management protocols on a client device |
| EP3085038A1 (en) | 2013-12-20 | 2016-10-26 | Nokia Solutions And Networks Management International GmbH | Sgc and pgc and sgu and pgu allocation procedure |
| CN103763310B (zh) * | 2013-12-31 | 2017-04-12 | 曙光云计算技术有限公司 | 基于虚拟网络的防火墙服务系统及方法 |
| US10432658B2 (en) | 2014-01-17 | 2019-10-01 | Watchguard Technologies, Inc. | Systems and methods for identifying and performing an action in response to identified malicious network traffic |
| US10382595B2 (en) | 2014-01-29 | 2019-08-13 | Smart Security Systems Llc | Systems and methods for protecting communications |
| WO2015119895A1 (en) * | 2014-02-04 | 2015-08-13 | Distrix Networks Ltd. | Bandwidth and latency estimation in a communication network |
| KR102282548B1 (ko) | 2014-02-06 | 2021-07-29 | 이^엔에이티 테크놀로지스 엘엘씨 | 다중 보안 링크 아키텍처를 제공하는 시스템 및 방법 |
| US11016941B2 (en) | 2014-02-28 | 2021-05-25 | Red Hat, Inc. | Delayed asynchronous file replication in a distributed file system |
| US9241004B1 (en) | 2014-03-11 | 2016-01-19 | Trend Micro Incorporated | Alteration of web documents for protection against web-injection attacks |
| US10423481B2 (en) | 2014-03-14 | 2019-09-24 | Cisco Technology, Inc. | Reconciling redundant copies of media content |
| US10476698B2 (en) * | 2014-03-20 | 2019-11-12 | Avago Technologies International Sales Pte. Limited | Redundent virtual link aggregation group |
| US10673712B1 (en) | 2014-03-27 | 2020-06-02 | Amazon Technologies, Inc. | Parallel asynchronous stack operations |
| US9729539B1 (en) | 2014-03-28 | 2017-08-08 | Pulse Secure, Llc | Network access session detection to provide single-sign on (SSO) functionality for a network access control device |
| US9294304B2 (en) | 2014-03-31 | 2016-03-22 | Juniper Networks, Inc. | Host network accelerator for data center overlay network |
| US9110820B1 (en) | 2014-03-31 | 2015-08-18 | Emc Corporation | Hybrid data storage system in an HPC exascale environment |
| US20150281176A1 (en) * | 2014-04-01 | 2015-10-01 | Bret Banfield | Method And Technique for Automated Collection, Analysis, and Distribution of Network Security Threat Information |
| US9410816B2 (en) * | 2014-05-07 | 2016-08-09 | Yahoo! Inc. | System and method for recommending pleasant routes from the sentiment of geo-tagged photographs |
| US9609019B2 (en) * | 2014-05-07 | 2017-03-28 | Attivo Networks Inc. | System and method for directing malicous activity to a monitoring system |
| US9319346B2 (en) * | 2014-05-13 | 2016-04-19 | Opera Software Asa | Web access performance enhancement |
| US9237129B2 (en) * | 2014-05-13 | 2016-01-12 | Dell Software Inc. | Method to enable deep packet inspection (DPI) in openflow-based software defined network (SDN) |
| CN106068673B (zh) * | 2014-05-21 | 2019-07-12 | 柏思科技有限公司 | 多个sim卡的使用方法,装置和系统 |
| US20150341223A1 (en) | 2014-05-21 | 2015-11-26 | Nicira, Inc. | Automatic placement of clients in a distributed computer system based on at least physical network topology information |
| US9350710B2 (en) | 2014-06-20 | 2016-05-24 | Zscaler, Inc. | Intelligent, cloud-based global virtual private network systems and methods |
| US9961587B2 (en) * | 2014-06-26 | 2018-05-01 | Gilat Satellite Networks Ltd. | Methods and apparatus for optimizing tunneled traffic |
| WO2016000110A1 (zh) | 2014-06-30 | 2016-01-07 | 路海燕 | 一种电动折叠车的半自动开合装置 |
| CN104135514B (zh) | 2014-07-25 | 2017-10-17 | 英业达科技有限公司 | 融合式虚拟化存储系统 |
| US10296857B2 (en) | 2014-08-15 | 2019-05-21 | Elementum Scm (Cayman) Ltd. | Method for determining and providing display analyzing of impact severity of event on a network |
| US9311464B2 (en) * | 2014-08-19 | 2016-04-12 | Airwatch, Llc | Authentication via accelerometer |
| CN106664258A (zh) * | 2014-08-29 | 2017-05-10 | 柏思科技有限公司 | 通过聚合连接传输数据包的方法和系统 |
| WO2016029440A1 (en) * | 2014-08-29 | 2016-03-03 | Hewlett-Packard Development Company, L.P. | Virtual machine service availability |
| US9671960B2 (en) | 2014-09-12 | 2017-06-06 | Netapp, Inc. | Rate matching technique for balancing segment cleaning and I/O workload |
| CN104301321B (zh) * | 2014-10-22 | 2018-04-27 | 北京启明星辰信息技术股份有限公司 | 一种实现分布式网络安全防护的方法及系统 |
| US10331595B2 (en) | 2014-10-23 | 2019-06-25 | Mellanox Technologies, Ltd. | Collaborative hardware interaction by multiple entities using a shared queue |
| EP3213222B1 (en) | 2014-10-27 | 2021-03-24 | Level 3 Communications, LLC | Content delivery systems and methods |
| CN104320472A (zh) | 2014-10-29 | 2015-01-28 | 深圳市东信时代信息技术有限公司 | 分布式短信网关架构系统及其设计方法 |
| US10084838B2 (en) | 2014-10-29 | 2018-09-25 | DLVR, Inc. | Generating and using manifest files including content delivery network authentication data |
| US10129799B2 (en) | 2014-11-03 | 2018-11-13 | Alcatel Lucent | Mobility management for wireless networks |
| US9565269B2 (en) | 2014-11-04 | 2017-02-07 | Pavilion Data Systems, Inc. | Non-volatile memory express over ethernet |
| US20160134543A1 (en) | 2014-11-06 | 2016-05-12 | Mediatek Singapore Pte. Ltd. | Method and associated network device for managing network traffic |
| US9590902B2 (en) | 2014-11-10 | 2017-03-07 | Juniper Networks, Inc. | Signaling aliasing capability in data centers |
| US9591018B1 (en) * | 2014-11-20 | 2017-03-07 | Amazon Technologies, Inc. | Aggregation of network traffic source behavior data across network-based endpoints |
| US9853855B2 (en) | 2014-12-03 | 2017-12-26 | Fortinet, Inc. | Stand-by controller assisted failover |
| CN107251005B (zh) | 2014-12-08 | 2021-05-25 | 安博科技有限公司 | 从远程网络区域进行内容检索的系统及方法 |
| US9294497B1 (en) | 2014-12-29 | 2016-03-22 | Nice-Systems Ltd. | Method and system for behavioral and risk prediction in networks using automatic feature generation and selection using network topolgies |
| US9948649B1 (en) | 2014-12-30 | 2018-04-17 | Juniper Networks, Inc. | Internet address filtering based on a local database |
| US11711346B2 (en) | 2015-01-06 | 2023-07-25 | Umbra Technologies Ltd. | System and method for neutral application programming interface |
| US10061664B2 (en) | 2015-01-15 | 2018-08-28 | Cisco Technology, Inc. | High availability and failover |
| JP2018507639A (ja) | 2015-01-28 | 2018-03-15 | アンブラ テクノロジーズ リミテッドUmbra Technologies Ltd. | グローバル仮想ネットワークについてのシステム及び方法 |
| US9667538B2 (en) * | 2015-01-30 | 2017-05-30 | Telefonaktiebolget L M Ericsson (Publ) | Method and apparatus for connecting a gateway router to a set of scalable virtual IP network appliances in overlay networks |
| US9451514B1 (en) | 2015-02-26 | 2016-09-20 | M87, Inc. | Methods and apparatus for efficiently communicating time varying data |
| US9485244B2 (en) * | 2015-03-02 | 2016-11-01 | Citrix Systems, Inc. | Executing an operation over file repositories located in different authentication domains using a representational state transfer (REST)-compliant client |
| US9661050B2 (en) | 2015-04-03 | 2017-05-23 | Cox Communications, Inc. | Systems and methods for segmentation of content playlist and dynamic content insertion |
| WO2016164612A1 (en) | 2015-04-07 | 2016-10-13 | Umbra Technologies Ltd. | Systems and methods for providing a global virtual network (gvn) |
| US9948552B2 (en) * | 2015-04-17 | 2018-04-17 | Equinix, Inc. | Cloud-based services exchange |
| US10039097B2 (en) | 2015-05-04 | 2018-07-31 | Verizon Patent And Licensing Inc. | Remote head simultaneously transmitting radio wave |
| US9843505B2 (en) | 2015-05-28 | 2017-12-12 | Cisco Technology, Inc. | Differentiated quality of service using tunnels with security as a service |
| US10678445B2 (en) | 2015-06-10 | 2020-06-09 | Microsoft Technology Licensing, Llc | Recovery in data centers |
| US11483405B2 (en) | 2015-06-10 | 2022-10-25 | Platform9, Inc. | Private cloud as a service |
| JP2018517372A (ja) | 2015-06-11 | 2018-06-28 | アンブラ テクノロジーズ リミテッドUmbra Technologies Ltd. | ネットワークタペストリの複数プロトコルの統合のための方法及びシステム |
| US9609482B1 (en) | 2015-12-07 | 2017-03-28 | Google Inc. | Cloud-coordinated location system using ultrasonic pulses and radio signals |
| US9992248B2 (en) | 2016-01-12 | 2018-06-05 | International Business Machines Corporation | Scalable event stream data processing using a messaging system |
| EP4216072A1 (en) | 2016-04-26 | 2023-07-26 | Umbra Technologies Ltd. | Sling-routing logic and load balancing |
| US10708667B1 (en) | 2016-06-28 | 2020-07-07 | Amazon Technologies, Inc. | Combining fragments with different encodings |
| WO2018049649A1 (zh) | 2016-09-18 | 2018-03-22 | 华为技术有限公司 | 网络性能测量方法及装置 |
| US10659512B1 (en) | 2017-12-05 | 2020-05-19 | Amazon Technologies, Inc. | Optimizing adaptive bit rate streaming at edge locations |
| EP3858103A4 (en) * | 2018-09-28 | 2022-07-13 | Sharp Kabushiki Kaisha | RADIO ACCESS NETWORK AND ACCELERATED NETWORK ACCESS METHODS |
| US11403849B2 (en) | 2019-09-25 | 2022-08-02 | Charter Communications Operating, Llc | Methods and apparatus for characterization of digital content |
| US11829853B2 (en) * | 2020-01-08 | 2023-11-28 | Subtree Inc. | Systems and methods for tracking and representing data science model runs |
-
2016
- 2016-04-07 WO PCT/US2016/026489 patent/WO2016164612A1/en active Application Filing
- 2016-04-07 JP JP2017553113A patent/JP2018518862A/ja active Pending
- 2016-04-07 US US15/563,246 patent/US10659256B2/en active Active
- 2016-04-07 EP EP16727220.2A patent/EP3281368B1/en active Active
- 2016-04-07 WO PCT/IB2016/000528 patent/WO2016162748A1/en active Application Filing
- 2016-04-07 EP EP23184816.9A patent/EP4293979A3/en active Pending
- 2016-04-07 JP JP2017553111A patent/JP2018515974A/ja active Pending
- 2016-04-07 US US15/563,261 patent/US10574482B2/en active Active
- 2016-04-07 CN CN202111354895.5A patent/CN114079669A/zh active Pending
- 2016-04-07 WO PCT/IB2016/000531 patent/WO2016162749A1/en active Application Filing
- 2016-04-07 CN CN201680020878.9A patent/CN107852604B/zh active Active
- 2016-04-07 CN CN202111060089.7A patent/CN113872855A/zh active Pending
- 2016-04-07 CN CN201680020937.2A patent/CN107637037B/zh active Active
- 2016-04-07 US US15/563,253 patent/US10756929B2/en active Active
- 2016-04-07 ES ES20171989T patent/ES2951911T3/es active Active
- 2016-04-07 ES ES16727220T patent/ES2796473T3/es active Active
- 2016-04-07 EP EP16777297.9A patent/EP3281435A4/en active Pending
- 2016-04-07 EP EP20171989.5A patent/EP3761592B8/en active Active
- 2016-04-07 EP EP16731961.5A patent/EP3281381B1/en active Active
- 2016-04-07 ES ES16731961T patent/ES2959674T3/es active Active
- 2016-04-07 CN CN201680021239.4A patent/CN107873128B/zh active Active
- 2016-04-07 EP EP23201399.5A patent/EP4325804A2/en active Pending
- 2016-04-07 JP JP2017553112A patent/JP2018519688A/ja active Pending
- 2016-04-07 CN CN202110637581.XA patent/CN113381994B/zh active Active
-
2018
- 2018-07-19 HK HK18109330.0A patent/HK1249974A1/zh unknown
- 2018-09-25 HK HK18112281.3A patent/HK1252928A1/zh unknown
- 2018-09-25 HK HK18112280.4A patent/HK1252927A1/zh unknown
-
2020
- 2020-01-16 US US16/745,125 patent/US11271778B2/en active Active
- 2020-05-11 US US16/872,148 patent/US11799687B2/en active Active
- 2020-08-24 US US17/000,997 patent/US11108595B2/en active Active
-
2021
- 2021-08-30 US US17/461,624 patent/US11418366B2/en active Active
-
2022
- 2022-03-04 US US17/686,870 patent/US20220191062A1/en active Pending
- 2022-08-15 US US17/888,249 patent/US11750419B2/en active Active
-
2023
- 2023-07-25 US US18/358,519 patent/US20230370307A1/en active Pending
- 2023-10-13 US US18/486,942 patent/US20240129162A1/en active Pending
Also Published As
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11271778B2 (en) | Multi-perimeter firewall in the cloud | |
| US11425097B2 (en) | Cloud-based virtual private access systems and methods for application access | |
| US11894993B2 (en) | Systems and methods for troubleshooting and performance analysis of cloud-based services | |
| US10382401B1 (en) | Cloud over IP for enterprise hybrid cloud network and security | |
| US10778582B2 (en) | Method and apparatus for traffic optimization in virtual private networks (VPNs) | |
| US9282111B1 (en) | Application-based network traffic redirection for cloud security service | |
| US20150363219A1 (en) | Optimization to create a highly scalable virtual netork service/application using commodity hardware | |
| US20150341377A1 (en) | Method and apparatus to provide real-time cloud security | |
| US20210314301A1 (en) | Private service edge nodes in a cloud-based system for private application access | |
| US20130227672A1 (en) | Next generation secure gateway | |
| JP2018507639A (ja) | グローバル仮想ネットワークについてのシステム及び方法 | |
| KR20220028102A (ko) | 모바일 디바이스들의 효율적인 사이버 보호를 위한 방법들 및 시스템들 | |
| US10778465B1 (en) | Scalable cloud switch for integration of on premises networking infrastructure with networking services in the cloud | |
| US11949661B2 (en) | Systems and methods for selecting application connectors through a cloud-based system for private application access | |
| US11936623B2 (en) | Systems and methods for utilizing sub-clouds in a cloud-based system for private application access | |
| US20210377223A1 (en) | Client to Client and Server to Client communication for private application access through a cloud-based system | |
| US11824897B2 (en) | Dynamic security scaling | |
| EP3247082B1 (en) | Cloud-based virtual private access systems and methods | |
| US20220070183A1 (en) | Detecting malicious mobile applications using machine learning in a cloud-based system | |
| Lombard | Operating VMware Cloud on AWS | |
| Ali | On the placement of security-related Virtualised Network Functions over data center networks | |
| WO2024092046A1 (en) | Exchange engine for secure access service edge (sase) provider roaming |