CN117981278A - 针对网络安全的动态资源分配 - Google Patents
针对网络安全的动态资源分配 Download PDFInfo
- Publication number
- CN117981278A CN117981278A CN202280063810.4A CN202280063810A CN117981278A CN 117981278 A CN117981278 A CN 117981278A CN 202280063810 A CN202280063810 A CN 202280063810A CN 117981278 A CN117981278 A CN 117981278A
- Authority
- CN
- China
- Prior art keywords
- network
- security measures
- terminal
- security
- reputation score
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000013468 resource allocation Methods 0.000 title description 2
- 238000000034 method Methods 0.000 claims abstract description 32
- 238000004891 communication Methods 0.000 claims abstract description 22
- 230000015654 memory Effects 0.000 claims description 24
- 238000007689 inspection Methods 0.000 claims description 14
- 230000002155 anti-virotic effect Effects 0.000 claims description 6
- 238000004590 computer program Methods 0.000 claims 2
- 238000007726 management method Methods 0.000 description 24
- 230000006870 function Effects 0.000 description 13
- 239000000243 solution Substances 0.000 description 10
- 239000003086 colorant Substances 0.000 description 8
- 239000010410 layer Substances 0.000 description 8
- 238000003860 storage Methods 0.000 description 8
- 230000008569 process Effects 0.000 description 6
- 241000036569 Carp sprivivirus Species 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 230000001419 dependent effect Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 239000011521 glass Substances 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 229910000906 Bronze Inorganic materials 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 239000010974 bronze Substances 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- KUNSUQLRTQLHQQ-UHFFFAOYSA-N copper tin Chemical compound [Cu].[Sn] KUNSUQLRTQLHQQ-UHFFFAOYSA-N 0.000 description 1
- 239000012792 core layer Substances 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- PCHJSUWPFVWCPO-UHFFFAOYSA-N gold Chemical compound [Au] PCHJSUWPFVWCPO-UHFFFAOYSA-N 0.000 description 1
- 229910052737 gold Inorganic materials 0.000 description 1
- 239000010931 gold Substances 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 244000144972 livestock Species 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 229910052709 silver Inorganic materials 0.000 description 1
- 239000004332 silver Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
- 238000012384 transportation and delivery Methods 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
提供了用于部分地基于网络目的地的独立来源的信誉分数来为网络上的终端和网络目的地之间的网络流量动态分配网络安全资源和措施的***、方法和计算机可读介质。在一个方面中,一种方法包括:在云网络控制器处接收来自终端的针对关于网络目的地的信息的请求;在云网络控制器处确定网络目的地的信誉分数;在云网络控制器处,基于信誉分数来确定在访问网络目的地时要应用的一个或多个安全措施;以及由云网络控制器将一个或多个安全措施传送到终端,其中,终端将一个或多个安全措施传送到第三方安全服务提供商以应用于终端和网络目的地之间的通信。
Description
技术领域
本公开的主题总体上涉及计算机联网领域,并且更具体地,涉及用于部分地基于网络目的地的独立来源的信誉分数来为网络上的终端和网络目的地之间的网络流量动态分配网络安全资源和措施的***和方法。
背景技术
无线通信***和计算机网络被部署以提供各种电信和数据服务,包括电话、视频、数据、消息收发和广播等。随着网络的发展,这样的网络的可靠性和安全性对于利用这些网络的底层目的来说变得重要且关键。
用于网络操作和相关安全问题的各种技术和解决方案已经被提出,并且当前正在被实施。然而,这些解决方案中的许多解决方案是固定的和/或在网络边缘处以筒仓点(siloed point)解决方案来传递,并且可以由多个不同的供应商来提供。
附图说明
为了提供对本公开及其特征和优点的更完整的理解,结合附图参考以下描述,其中:
图1示出了根据本公开的一些方面的网络架构的示例;
图2示出了根据本公开的一些方面的网络拓扑的示例;
图3示出了根据本公开的一些方面的具有基于云的安全层的示例网络架构;
图4示出了根据本公开的一些方面的包括第三方SASE提供商的示例网络环境;
图5示出了根据本公开的一些方面的用于使第三方SASE提供商能够动态地分配资源以将安全措施应用于终端的示例过程;
图6示出了根据本公开的一些方面的网络设备的示例;以及
图7示出了根据本公开的一些方面的总线计算***的示例。
具体实施方式
以下阐述的具体实施方式旨在描述实施例的各种配置,而不旨在表示可以实施本公开的主题的唯一配置。所附附图并入本文并构成具体实施方式的一部分。为了提供对本公开的主题的更透彻的理解,所述具体实施方式包括特定细节。然而,将清楚并且显然,本公开的主题不限于本文阐述的具体细节,并且可以在没有这些细节的情况下实施。在一些实例中,以框图形式示出了结构和组件,以避免模糊本公开的主题的概念。
概览
在独立权利要求中陈述了本发明的各方面,并且在从属权利要求中陈述了优选特征。一方面的特征可以单独应用于每个方面或与其他方面结合地应用于每个方面。
本文公开了用于部分地基于网络目的地的独立来源的信誉分数来为网络上的终端和网络目的地之间的网络流量动态分配网络安全资源和措施的***、方法和计算机可读介质。
在一个方面中,一种方法包括:在云网络控制器处接收来自终端的针对关于网络目的地的信息的请求;在云网络控制器处确定网络目的地的信誉分数;在云网络控制器处,基于信誉分数来确定在访问网络目的地时要应用的一个或多个安全措施;以及由云网络控制器将一个或多个安全措施传送到终端,其中,终端将一个或多个安全措施传送到第三方安全服务提供商以应用于终端和网络目的地之间的通信。
在一些方面中,确定信誉分数包括:访问信誉分数服务来获得信誉分数。
在一些方面中,一个或多个安全措施包括以下各项中的一项或多项:一种要应用的防火墙检查、深度分组检查、对一种或多种类型攻击的检查。
在一些方面中,信誉分数与经确定在访问网络目的地时要应用的一个或多个安全措施的数量或类型成反比。
在一些方面中,云网络控制器应用域名***授权源(DNA-AS)来识别在访问网络目的地时要应用的一个或多个安全措施。
在一些方面中,一个或多个安全措施包括多点触控服务,其中,多个不同的安全措施被应用于终端和网络目的地之间的网络流量。
在一些方面中,一个或多个安全措施包括端点专用安全措施。
在一些方面中,端点专用安全措施是最新的防病毒软件。
在一个方面中,网络控制器包括一个或多个存储器和一个或多个处理器,一个或多个存储器中存储有计算机可读指令。一个或多个处理器被配置为执行这些计算机可读指令以执行以下操作:接收来自终端的针对关于网络目的地的信息的请求;确定网络目的地的信誉分数;基于信誉分数来确定在访问网络目的地时要应用的一个或多个安全措施;以及将一个或多个安全措施传送到终端,其中,终端将一个或多个安全措施传送到第三方安全服务提供商以应用于终端和网络目的地之间的通信。
在一个方面中,一个或多个非暂态计算机可读介质包括计算机可读指令,这些计算机可读指令在由网络控制器执行时使网络控制器执行以下操作:接收来自终端的针对关于网络目的地的信息的请求;确定网络目的地的信誉分数;基于信誉分数来确定在访问网络目的地时要应用的一个或多个安全措施;以及将一个或多个安全措施传送到终端,其中,终端将一个或多个安全措施传送到第三方安全服务提供商以应用于终端和网络目的地之间的通信。
示例实施例
随着对诸如企业网络之类的通信网络的日益增长的利用,网络安全以及因此的可靠的网络操作受到持续的关注。随着网络的发展,它们变成多供应商环境,其中,各种解决方案由不同的供应商来提供。因此,协调多个供应商的服务和解决底层网络安全问题是重要的。
安全访问边缘服务(SASE)是将传统上在网络边缘处以以筒仓点解决方案来传递的众多联网和安全功能融合的框架。该SASE框架将从根本上改变安全架构以及如何传递安全服务。例如,SASE允许客户(例如,使用企业网络的组织)选择非传统的安全供应商(SASE服务提供商)来确保其网络的安全性。
企业网络提供商经常向其客户提供各种网络安全解决方案。例如,加利福尼亚州圣何塞市的Cisco公司提供了一种被称为伞(Umbrella)的解决方案。伞具有链接大量的允许域(也可以被称为网络目的地)被给予信誉分数的安全情报解决方案(例如,Talos)的优点。客户可以选择使用企业网络提供商(例如加利福尼亚州圣何塞市的Cisco公司)的服务,并且针对他们的网络安全需要来选择第三方SASE提供商,导致多供应商环境。这在确保网络安全方面引入了低效率。首先,由第三方SASE提供商提供的许多安全服务和功能是固定的(例如,同一组安全解决方案被应用于去往和来自所有网络目的地的网络流量)。第二,经由企业网络提供商可用的安全和威胁情报当前不能被提供给第三方SASE提供商所提供的服务,或者不能与其协调。
本公开中描述的示例实施例通过允许由企业网络提供商提供的解决方案所收集的网络情报(网络目的地的独立来源信誉分数)被传送到第三方SASE提供商来解决上述缺陷。该网络和安全情报可以允许第三方SASE提供商动态地将(一个或多个)目的地专用网络安全措施应用于终端和网络目的地之间的网络流量。如将要描述的,由(一个或多个)终端对目的地的域名***(NDS)查找之后,所提供的网络和安全情报(其可以是目的地和/或(一个或多个)终端专用的)由企业网络提供商的安全服务传送到(一个或多个)请求终端。
本公开开始于对多个示例网络架构和环境的描述,其中可以应用本文描述的概念。
终端设备或终端可以包括诸如移动电话、路由器、平板计算机、膝上型计算机、跟踪设备、可穿戴设备(例如,智能手表、眼镜、XR设备等)、物联网设备、车辆(或车辆的计算设备)之类的设备,和/或由用户使用以通过无线通信网络进行通信的另一设备。在一些实例中,计算设备可以被称为用户设备(UE),例如当涉及被配置为使用5G/新无线电(NR)或其他电信标准进行通信的无线设备时。在一些示例中,计算设备可以被称为端点。
图1示出了根据本公开的一些方面的网络架构的示例。网络架构100的实现方式的示例是SDWAN架构。但是,本领域普通技术人员将理解,对于网络架构100以及本公开中所讨论的任何***来说,在类似或替代配置中可以有更多或更少的组件。为了简洁和清楚,本公开中提供了图示和示例。其他实施例可以包括不同数量和/或类型的元件,但是本领域的普通技术人员将认识到,这些变体不脱离本公开的范围。
在该示例中,网络架构100可以包括编排平面102、管理平面120、控制平面130和数据平面140。编排平面102可以协助覆盖网络中边缘网络设备142(例如,交换机、路由器等)的自动上载(on-boarding)。编排平面102可以包括一个或多个物理或虚拟网络编排器设备104。(一个或多个)网络编排器设备104可以执行对边缘网络设备142的初始认证,并对控制平面130和数据平面140的设备之间的连通性进行编排。在一些实施例中,(一个或多个)网络编排器设备104还可以启用位于网络地址转换(NAT)之后的设备的通信。在一些实施例中,物理或虚拟SD-WAN vBond设备可以作为(一个或多个)网络编排器设备104进行操作。
管理平面120可以负责对网络的中央配置和监视。管理平面120可以包括一个或多个物理或虚拟网络管理设备122和分析引擎124。在一些实施例中,(一个或多个)网络管理设备122可以经由图形用户界面提供对网络的集中管理,以使用户能够监视、配置和维护底层网络和覆盖层网络中的边缘网络设备142以及链路(例如,互联网传输网络160、MPLS网络162、4G/LTE网络164)。(一个或多个)网络管理设备122可以部分地使用由分析引擎124收集的网络和数据情报,来支持多租户并且实现对逻辑上隔离的网络(这些网络与不同实体(例如,企业、企业内的部门、部门内的组等)相关联)的集中管理。替代地或附加地,(一个或多个)网络管理设备122可以是针对单个实体的专用网络管理***。在一些实施例中,物理或虚拟SD-WAN vManage设备可以作为(一个或多个)网络管理设备122来进行操作。
控制平面130可以构建和维护网络拓扑并且决定流量流向何处。控制平面130可以包括一个或多个物理或虚拟网络控制器设备132。(一个或多个)网络控制器设备132可以建立到每个边缘网络设备142的安全连接,并且经由控制平面协议(例如,覆盖管理协议(OMP)(下文进一步详细讨论)、开放最短路径优先(OSPF)、中间***到中间***(IS-IS)、边界网关协议(BGP)、协议独立多播(PIM)、互联网组管理协议(IGMP)、互联网控制消息协议(ICMP)、地址解析协议(ARP)、双向转发检测(BFD)、链路聚合控制协议(LACP)等)来分发路由和策略信息。在一些实施例中,(一个或多个)网络控制器设备132可以作为路由反射器来进行操作。(一个或多个)网络控制器设备132还可以编排在两个或更多个边缘网络设备142之间的数据平面140中的安全连通性。例如,在一些实施例中,(一个或多个)网络控制器设备132可以在(一个或多个)网络设备142之间分发加密密钥信息。这可以允许网络支持安全的网络协议或应用(例如,互联网协议安全(IPSec)、传输层安全(TLS)、安全外壳(SSH)等)而无需互联网密钥交换(IKE),并且实现网络的可扩展性。在一些实施例中,物理或虚拟SD-WAN vSmart控制器可以作为(一个或多个)网络控制器设备132来进行操作。
数据平面140可以负责基于来自控制平面130的决策来转发分组。数据平面140可以包括边缘网络设备142,边缘网络设备142可以是物理或虚拟网络设备。边缘网络设备142可以在组织的各种网络环境的边缘操作,例如在一个或多个数据中心或托管中心150、校园网络152、分支办公室网络154、家庭办公室网络156等中,或在云中(例如,基础设施即服务(IaaS)、平台即服务(PaaS)、SaaS和其他云服务提供商网络)。边缘网络设备142可以通过一个或多个WAN传输提供站点之间的安全数据平面连通性,例如经由一个或多个互联网传输网络160(例如,数字用户线路(DSL)、线缆等)、MPLS网络162(或其他专用分组交换网络(例如,城域以太网、帧中继、异步传输模式(ATM)等)、移动网络164(例如,3G、4G/LTE、5G等)或其他WAN技术(例如,同步光网络(SONET)、同步数字体系(SDH)、密集波分复用(DWDM)或其他光纤技术;租用线路(例如,T1/E1、T3/E3等);公共交换电话网络(PSTN)、综合业务数字网(ISDN)、或其他专用电路交换网络;小口径终端(VSAT)或其他卫星网络等;等等)。边缘网络设备142可以负责流量转发、安全性、加密、服务质量(QoS)、以及路由(例如,BGP、OSPF等)等任务。在一些实施例中,物理或虚拟SD-WAN vEdge路由器可以作为边缘网络设备142进行操作。
图2示出了根据本公开的一些方面的网络拓扑的示例。网络拓扑200示出了网络架构100的各个方面。网络拓扑200可以包括管理网络202、一对网络站点204A和204B(统称为“网络站点204”)(例如,(一个或多个)数据中心150、(一个或多个)校园网络152、(一个或多个)分支办公室网络154、(一个或多个)家庭办公室网络156、(一个或多个)云服务提供商网络等)、以及一对互联网传输网络160A和160B(统称为“互联网传输网络160”)。管理网络202可以包括一个或多个网络编排器设备104、一个或多个网络管理设备122、以及一个或多个网络控制器设备132。虽然在该示例中管理网络202被示出为单个网络,但是本领域的普通技术人员将理解,管理网络202的每个元件可以被分布在任何数量的网络上和/或与站点204共处一地。在该示例中,可以通过传输网络160A或160B到达管理网络202的每个元件。
每个站点可以包括连接到一个或多个站点网络设备208的一个或多个端点(终端或终端设备)206。端点206可以包括通用计算设备(例如,服务器、工作站、台式计算机等)、移动计算设备(例如,膝上型电脑、平板电脑、移动电话等)、可穿戴设备(例如,手表、眼镜或其他头戴式显示器(HMD)、耳机设备等)等。端点206还可以包括物联网(IoT)设备或装置,例如,农业装置(例如,牲畜跟踪和管理***、浇水设备、无人驾驶飞行器(UAV)等);连接的汽车和其他车辆;智能家居传感器和设备(例如,报警***、安全摄像头、照明、电器、媒体播放器、HVAC装置、公用仪表、窗户、自动门、门铃、锁等);办公装置(例如,台式电话、复印机、传真机等);医疗设备(例如,起搏器、生物传感器、医疗装置等);工业装置(例如,机器人、工厂机械、建筑装置、工业传感器等);零售装置(例如,自动售货机、销售点(POS)设备、射频识别(RFID)标签等);智能城市设备(例如,路灯、停车计时器、废物管理传感器等);运输和后勤装置(例如,旋转门、租赁汽车***、导航设备、库存监视器等)等。
站点网络设备208可以包括物理或虚拟交换机、路由器和其他网络设备。尽管在该示例中,站点204A被示出为包括一对站点网络设备,并且站点204B被示出为包括单个站点网络设备,但是站点网络设备208可以包括任何网络拓扑中的任何数量的网络设备,包括多层(例如,核心层、分发层和访问层)、脊和叶、网格、树、总线、中枢和辐条等。例如,在一些实施例中,一个或多个数据中心网络可以实现应用中心基础设施(ACI)架构和/或一个或多个校园网络可以实现/>软件定义的访问(SD访问或SDA)架构。站点网络设备208可以将端点206连接到一个或多个边缘网络设备142,并且边缘网络设备142可以用于直接地连接到传输网络160。
在一些实施例中,“颜色”可以用于识别单独的WAN传输网络,并且不同的WAN传输网络可以被分配不同的颜色(例如,MPLS、private1、商用互联网、城域以太网、LTE等)。在该示例中,网络拓扑200可以为互联网传输网络160A使用被称为“商用互联网”的颜色,并且为互联网传输网络160B使用被称为“公共互联网”的颜色。
在一些实施例中,每个边缘网络设备208可以形成到(一个或多个)网络控制器设备132的数据报传输层安全(DTLS)或TLS控制连接,并且通过每个传输网络160连接到任何网络控制器设备132。在一些实施例中,边缘网络设备142还可以经由IPSec隧道安全地连接到其他站点中的边缘网络设备。在一些实施例中,可以在这些隧道中的每一个内使用BFD协议来检测丢失、时延、抖动和路径故障。
在边缘网络设备142上,可以使用颜色来帮助识别或区分单独的WAN传输隧道(例如,相同的颜色不可以在单个边缘网络设备上使用两次)。颜色本身也具有显着性。例如,城域以太网(metro-ethernet)、MPLS以及private1、private2、private3、private4、private5和private6的颜色可以被认为是专用颜色,这些专用颜色可以用于专用网络或在没有传输IP端点的NAT寻址的地方(例如,因为在相同颜色的两个端点之间可能没有NAT)。当边缘网络设备142使用专用颜色时,它们可以尝试使用本地的专用底层IP地址来构建到其他边缘网络设备的IPSec隧道。公共颜色可以包括3g、商用(biz)、互联网、蓝色、青铜色、定制1、定制2、定制3、默认、金色、绿色、lte、公共互联网、红色以及银色。公共颜色可以被边缘网络设备142使用以构建到NAT后IP地址的隧道(如果涉及NAT)。如果边缘网络设备142使用专用颜色并且需要NAT来与其他专用颜色通信,则配置中的运营商设置可以指示边缘网络设备142是使用专用IP地址还是公共IP地址。当一个或两个专用颜色都使用NAT时,两个专用颜色可以使用此设置来建立会话。
可以应用各种类型的协议和通信方案来实现控制消息在网络架构100的组件之间的通信(例如,覆盖管理协议(OMP),其可以用于分别在网络控制器设备132与边缘网络设备142A和142B之间来回传输OMP消息,其中,控制平面信息(例如路由前缀、下一跳路由、加密密钥、策略信息等)可以通过各自的安全DTLS或TLS连接进行交换。网络控制器设备132可以类似于路由反射器来操作。例如,网络控制器设备132可以从边缘网络设备142接收路由,对它们进行处理和应用任何策略,并且向覆盖层中的其他边缘网络设备142通告路由。如果没有定义的策略,则边缘网络设备142可以以类似于全网格拓扑的方式工作,在这种方式中每个边缘网络设备142可以直接地连接到另一站点处的另一边缘网络设备142,并且从每个站点接收完整的路由信息。
此外,终端可以经由任何已知或待开发的通信方案(例如虚拟专用网络(VPN)连接等)连接到网络架构。
参考图1和图2描述了(一个或多个)架构和对SD-WAN的操作的各种非限制性示例,接下来将参考图3和图4描述基于云的安全服务,其可以被应用作为安全层来管理以下项的的安全性:诸如网络架构100之类的网络架构(例如,SD-WAN)以及去往和来自远程连接的终端的通信。
图3示出了根据本公开的一些方面的具有基于云的安全层的示例网络架构。环境300包括SD-WAN 302,其可以与上面参考图1和图2描述的非限制性示例相同。因此,将不再进一步描述SD-WAN 302。终端304可以经由各种已知或待开发的有线和/或无线通信方案(例如,VPN、以太网等)连接到SD-WAN 302。终端304可以与参考图1和图2描述的终端相同,包括但不限于移动设备、膝上型计算机、服务器(数据中心)等。
环境300还包括基于云的安全服务306,其可以向连接到SD-WAN 302的终端304提供若干安全相关的功能和服务。如图所示,这样的服务包括但不限于域名***(DNS)层安全性、安全web服务、云递送防火墙、云访问安全代理、交互式威胁/安全情报等。基于云的网络安全服务306的非限制性示例为上述的Cisco Umbrella。
如上所述,除了安全服务302之外,许多SD-WAN用户和客户决定使用第三方SASE提供商以确保适当的安全措施(例如,在专用企业网络之外并且通过公共互联网)被应用于访问各种网络目的地的连接的终端。此外,许多这样的第三方SASE提供商对去往和来自连接的终端的连接请求应用固定的安全措施。例如,深度分组检查(DPI)、特定类型的防火墙和/或SQL注入攻击检查(仅举几个示例)可以通过公共互联网而被应用于终端304和任何网络目的地之间的所有网络流量。换句话说,由第三方SASE提供商所应用的一个或多个安全措施是固定的,而无论请求访问的特定网络目的地的安全性和可靠性如何。
图4示出了根据本公开的一些方面的包括第三方SASE提供商的示例网络环境。如图4所示,环境400包括SD-WAN 402,其可以与SD-WAN 302相同,并且因此将不再进一步描述。终端404可以与图3的终端304中的任一个和/或上文参考图1和图2描述的其他示例终端中的任一个相同,并且因此将不再进一步描述。安全服务406与图3的安全服务306相同,并且因此将不再进一步描述。
在环境400中,终端404可以尝试通过公共互联网308来访问不被SD-WAN 402的提供商管理的网络目的地(例如,网站、网络、设备)。这种网络目的地可以属于一组被称为不被管理的网络目的地410的网络目的地。这种网络目的地可以是有信誉的网络目的地(例如,诸如www.cisco.com之类的已知且可靠的网站),或者可以不是可信赖的目的地(例如,具有已知可疑活动的网站、位于不可信赖位置(例如恶意状态)的网站等)。
如前面所提到的,SD-WAN 402和安全服务406的提供商可以具有监视和评定不被管理的网络目的地的可信度级别的其他服务。这种服务可以被称为信誉分数服务412。信誉分数服务412的一个非限制性示例是Cisco Talos情报服务,其可以利用任何已知或待开发的方法或过程通过公共互联网408(使用示例路径413)来收集各种网络目的地上的情报,并确定网络目的地的信誉分数。这种信誉分数可以是在限定范围(例如,0至5、0至10、0至50、0至100等)内的数字。例如,信誉分数越高,对应的网络目的地将越可靠,并且信誉分数越低,对应的网络目的地将越不可靠。
一旦终端404经由安全服务406被认证/连接到SD-WAN 402,则终端404可以从不被管理的网络目的地410中选择要访问的特定目的地(例如,网站)。在这样做时,终端404可以向安全服务406提交并解析针对网络目的地的DNS查询。作为响应,安全服务406可以访问信誉分数服务412,并检索由终端404请求的网络目的地的相应的信誉分数。基于相应的信誉分数,安全服务406可以确定在访问网络目的地时要应用的一个或多个安全措施。下面将参考图5进一步描述该过程。
一旦一个或多个安全措施被安全服务406确定了,则一个或多个安全措施可以经由适当的控制信号被传送回终端404。然后,终端404可以将一个或多个安全措施传送到第三方SASE提供商414。然后,第三方SASE提供商414可以对这些安全措施进行链接,并将这些安全措施应用于终端404和不被管理的网络目的地410中的网络目的地之间的网络流量。图4示出了终端404和来自不被管理的网络目的地410中的作为目标的网络目的地之间的示例流量路径416。
图5示出了根据本公开的一些方面的用于使第三方SASE提供商能够动态地分配资源以将安全措施应用于终端的示例过程。将从安全服务406的角度来描述图5。然而,应当理解,安全服务406可以被实现为网络控制器(也可以被称为云网络控制器),其中,在一个或多个相关联的存储器上存储的计算机可读指令可以由一个或多个相关联的处理器执行以实现图5的功能。在描述图5的步骤时,可以参考上述图1至图4中的任一个及其组件。
在S500处,安全服务406可以接收来自终端的针对关于网络目的地的信息的请求。例如,安全服务406可以接收来自终端404的针对网络目的地的DNS查询。该DNS查询可以是为了解析对网络目的地(例如域、网站、服务器等)的DNS查找的目的。如上所述,网络目的地可以是来自不被管理的网络目的地410中的任何一个或多个目的地。
在S502处,安全服务406确定由端点404在S500处请求的网络目的地的信誉分数。在一个示例中,并且如上所述,安全服务406可以通过访问信誉分数服务412并且接收该网络目的地的信誉分数来确定信誉分数。
在S504处,安全服务406基于信誉分数来确定在访问网络目的地时要应用的一个或多个安全措施。各种安全措施的示例包括但不限于,一种防火墙检查、DPI、常见威胁类型、安全web网关(SWG)、对跨站脚本(CSS)攻击的检查、对SQL攻击的检查、在终端404处应用一个或多个防病毒软件(这种防病毒软件可以是端点专用安全措施)等。因此,所确定的一个或多个安全措施可以是网络目的地专用并且取决于此。
例如,网络可以具有10分中的3分,这可以表示该网络目的地不是非常可靠。因此,安全服务406可以确定应当应用多个安全措施(多点触控服务过程),其中,两个或更多个可用的安全措施(例如,DPI、SWG和/或SQL攻击检查)可以被应用于终端404和网络目的地之间的网络流量。
在另一示例中,网络目的地可以具有10分中的8分,这表示该网络目的地非常可靠。因此,可以仅选择一个安全措施(例如,特定类型的防火墙)来应用于底层网络流量。在另一示例中,可能因为网络目的地非常可靠(例如,当网络目的地具有10分中的10分)而没有选择安全措施。在另一示例中,即使应用了所有可用的安全措施,安全服务406也可以确定网络目的地将仍然非常不可靠(例如,当网络目的地具有10分中的0分时)。
要应用于网络目的地的(一个或多个)安全措施可以与相应的信誉分数成反比。
因此,在S504处,安全服务406确定要向终端404“推荐”的要在与网络目的地进行通信时应用于底层网络流量的一个或多个安全措施。
S504处的过程提供要确定并向终端404推荐的目的地专用安全措施。换句话说,安全措施被动态地确定,并且可以基于底层网络目的地的信誉分数和可信度进行调整。
在一些示例中,安全服务406可以具有将(一个或多个)安全措施与信誉分数相匹配的查找表。例如,任何信誉分数为3的网络目的地可以接收一组三个推荐的安全措施(例如,DPI、SWG和/或SQL攻击检查),信誉分数为10中的5可以具有对应的安全措施(例如,DPI)等。在另一示例中,安全服务406可以自适应地学习针对哪些信誉分数要推荐哪个(或哪些)安全措施。例如,一个或多个机器学习模型(例如,前馈神经网络)可以被训练并持续地更新,以识别和优化针对不同网络目的地的(一个或多个)所选安全措施。
DNS权威源(DNS-AS)是DNS服务器(例如,安全服务406)可以向终端404返回定制元数据的方法。在本公开的一些方面中,DNS-AS被安全服务406应用以向终端404返回关于域的威胁情报和安全措施细节,然后关于域的威胁情报和安全措施细节被中继到第三方SASE提供商414以递送(一个或多个)所选安全措施。
在S506处,并且在S504处确定一个或多个安全措施之后,安全服务406可以将所确定的一个或多个安全措施和信誉分数发送到终端404。在接收到一个或多个安全措施后,终端404可以选择通过第三方SASE提供商414进行(或不进行)到网络目的地的连接。例如,如果网络目的地的信誉分数为10分中的0分,则终端404可以选择不建立到网络目的地的连接。在进行连接之前,终端404通过控制信道与第三方SASE提供商414进行通信,并且向第三方SASE提供商414提供针对给定网络目的地的一组一个或多个安全功能以及标准格式化的威胁分数。然后,第三方SASE提供商414可以将一个或多个安全措施应用于终端404和网络目的地之间的网络流量。例如,第三方SASE提供商414可以在将一个或多个安全措施应用于终端404和网络目的地之间的网络流量之前将其链接。
图6示出了根据本公开的一些方面的网络设备的示例。网络设备600可以是交换机、路由器、网络设备等,包括实现上面参考图1至图4描述的终端404、安全服务406、信誉分数服务412以及其他组件的功能的网络设备。网络设备600可以包括主中央处理单元(CPU)602、接口604、以及总线606(例如,PCI总线)。当CPU 602在适当的软件或固件的控制下工作时,负责执行分组管理、错误检测、和/或路由功能。CPU 602优选地在包括操作***和任何适当的应用软件的软件的控制下完成所有这些功能。CPU 602可以包括一个或多个处理器608,例如,来自Motorola系列微处理器的处理器或来自MIPS系列微处理器的处理器。在替代实施例中,处理器608可以是用于控制网络设备600的操作的专门设计的硬件。在实施例中,存储器610(例如,非易失性RAM和/或ROM)也可以形成CPU 602的一部分。然而,存储器可以以许多不同的方式耦合到***。
接口604可以作为接口卡(有时称为“线卡”)来提供。接口604可以控制通过网络对数据分组的发送和接收,并且有时支持与网络设备600一起使用的其他***设备。可以提供的接口包括以太网接口、帧中继接口、线缆接口、DSL接口、令牌环接口等。此外,可以提供各种超高速接口,例如,快速令牌环接口、无线接口、以太网接口、千兆以太网接口、异步传输模式(ATM)接口、高速串行接口(HSSI)、SONET上的分组(POS)接口、光纤分布式数据接口(FDDI)等。接口604可以包括适合于与适当的介质通信的端口。在一些情况下,接口604还可以包括独立的处理器,并且在一些实例中,还包括易失性RAM。独立的处理器可以控制通信密集型任务,例如,分组交换、介质控制和管理。通过为通信密集型任务提供单独的处理器,接口604可以允许CPU 602有效地执行路由计算、网络诊断、安全功能等。
虽然图6所示的***是实施例的网络设备的示例,但是该***绝不是可以在其上实现主题技术的唯一网络设备架构。例如,具有可以处理通信和路由计算以及其他网络功能的单个处理器的架构也可以被使用。此外,其他类型的接口和介质也可以与网络设备600一起使用。
不管网络设备的配置如何,网络设备可以使用一个或多个存储器或存储器模块(包括存储器610),这些存储器或存储器模块被配置为存储本文所述的通用网络操作以及用于漫游、路由优化和路由功能的机制的程序指令。例如,程序指令可以控制操作***和/或一个或多个应用的操作。一个或多个存储器还可以被配置为存储诸如移动绑定、注册和关联表之类的表。
图7示出了根据本公开的一些方面的总线计算***的示例。计算***700可以被用作上面参考图1至图4描述的网络组件(包括终端404、安全服务406和信誉分数服务412)中的任一个的一部分。计算***700的组件使用总线705与彼此进行电通信。计算***700可以包括处理单元(CPU或处理器)710和***总线705,***总线705可以将包括***存储器715的各种***组件(例如,只读存储器(ROM)720和随机存取存储器(RAM)725)耦合到处理器710。计算***700可以包括与处理器710直接连接、紧密接近或被集成为处理器710一部分的高速存储器的缓存712。计算***700可以将数据从存储器715、ROM 720、RAM 725和/或存储设备730复制到缓存712,以供处理器710快速访问。以这种方式,缓存712可以提供性能提升,来避免了在等待数据时的处理器延时。这些模块和其他模块可以控制处理器710以执行各种动作。其他***存储器715也可供使用。存储器715可以包括具有不同性能特征的多种不同类型的存储器。处理器710可以包括任何通用处理器和硬件模块或软件模块(服务)(例如,存储在存储设备730中的服务SVC 1 732、SVC 2 734、和SVC 3 736),该硬件模块或软件模块(服务)被配置为控制处理器710以及专用处理器,软件指令在该专用处理器中被并入到实际的处理器设计中。处理器710可以实质上是完全自包含的计算***,其包含多个核心或处理器、总线、存储器控制器、缓存等。多核心处理器可以是对称的或非对称的。
为了使用户能够与计算***700进行交互,输入设备745可以表示任何数量的输入机制,例如用于语音的麦克风、用于手势或图形输入的触控保护屏幕、键盘、鼠标、运动输入、语音等等。输出设备735也可以是本领域的技术人员已知的许多输出机制中的一种或多种输出机制。在一些实例中,多模态***可以使用户能够提供多种类型的输入以与计算***700进行通信。通信接口740可以支配和管理用户输入和***输出。对于在任何特定硬件布置上的操作没有限制,因此在改进的硬件或固件布置被开发时,本文的基本特征可以容易地被改进的硬件或固件布置替换。
存储设备730是非易失性存储器,并且可以是硬盘或可以存储可由计算机访问的数据的其他类型的计算机可读介质,例如磁带、闪存卡、固态存储器设备、数字通用盘、盒式磁带、随机存取存储器、只读存储器、以及前述项的混合。
如上面所讨论的,存储设备730可以包括用于控制处理器710的软件SVC 732、734、以及736。可以考虑其他硬件模块或软件模块。存储设备730可以被连接到***总线705。在一些实施例中,执行特定功能的硬件模块可以包括存储在计算机可读介质中的软件组件,该软件组件与必要的硬件组件(例如,处理器710、总线705、输出设备735等)连接以执行该功能。
总的来说,提供了用于部分地基于网络目的地的独立来源的信誉分数来为网络上的终端和网络目的地之间的网络流量动态分配网络安全资源和措施的***、方法和计算机可读介质。在一个方面中,一种方法包括:在云网络控制器处接收来自终端的针对关于网络目的地的信息的请求;在云网络控制器处确定网络目的地的信誉分数;在云网络控制器处,基于信誉分数来确定在访问网络目的地时要应用的一个或多个安全措施;以及由云网络控制器将一个或多个安全措施传送到终端,其中,终端将一个或多个安全措施传送到第三方安全服务提供商以应用于终端和网络目的地之间的通信。
为了解释清楚,在一些实例中,各种实施例可以被表示为包括个体功能框,这些功能框包括设备、设备组件、体现在软件或硬件和软件的组合中的方法的步骤或例程的功能框。
在一些实施例中,计算机可读存储设备、介质和存储器可以包括包含比特流等的线缆或无线信号。然而,当提及时,非暂态计算机可读存储介质明确地排除诸如能量、载波信号、电磁波和信号本身之类的介质。
可以使用存储在计算机可读介质或可以从计算机可读介质获取的计算机可执行指令来实现根据上述示例的方法。这样的指令可以包括例如使或配置通用计算机、专用计算机、或专用处理设备执行某项功能或一组功能的指令和数据。所使用的部分计算机资源可以通过网络访问。计算机可执行指令可以是例如二进制、中间格式指令,例如汇编语言、固件、或源代码。可用于存储指令、在根据所述示例的方法期间使用的信息和/或创建的信息的计算机可读介质的示例包括磁盘或光盘、闪存、配备有非易失性存储器的USB设备、联网存储设备,等等。
根据这些公开实现方法的设备可以包括硬件、固件和/或软件,并且可以多种形状因子中的任何一种。这样的形状因子的一些示例包括诸如服务器、机架安装设备、台式计算机、笔记本计算机等之类的通用计算设备,或诸如平板计算机、智能手机、个人数字助理、可穿戴设备等之类的通用移动计算设备。本文描述的功能还可以被体现在***设备或附加卡中。作为进一步的示例,这样的功能也可以被实现在不同芯片或在单个设备中执行的不同进程之间的电路板上。
指令、用于传达这样的指令的介质、用于执行这样的指令的计算资源、以及用于支持这样的计算资源的其他结构是用于提供这些公开中描述的功能的模块。
虽然使用各种示例和其他信息来解释所附权利要求的范围内的各个方面,但是不应基于这样的示例中的特定特征或布置来暗示对权利要求的限制,因为本领域的普通技术人员将能够使用这些示例来获取各种各样的实现方式。此外,虽然可能已经用特定于结构特征和/或方法步骤的示例的语言描述了一些主题,但是应理解,所附权利要求中限定的主题不一定限于这些描述的特征或动作。例如,这样的功能可以不同地分布在除本文所识别的那些组件之外的组件中或在除本文所识别的那些组件之外的组件中执行。更确切地说,将描述的特征和步骤公开为在所附权利要求的范围内的***的组件和方法的示例。
记载“至少一个……”的权利要求语言是指集合中的至少一个,并且表明该集合的一个成员或该集合的多个成员满足该权利要求。例如,记载“A和B中的至少一者”的权利要求语言表示A、B、或者A和B。
Claims (23)
1.一种方法,包括:
在云网络控制器处接收来自终端的针对关于网络目的地的信息的请求;
在所述云网络控制器处确定所述网络目的地的信誉分数;
在所述云网络控制器处,基于所述信誉分数来确定在访问所述网络目的地时要应用的一个或多个安全措施;以及
由所述云网络控制器将所述一个或多个安全措施传送到所述终端,其中,所述终端将所述一个或多个安全措施传送到第三方安全服务提供商以应用于所述终端和所述网络目的地之间的通信。
2.根据权利要求1所述的方法,其中,确定所述信誉分数包括:
访问信誉分数服务来获得所述信誉分数。
3.根据权利要求1或2所述的方法,其中,所述一个或多个安全措施包括下述项中的一项或多项:一种要应用的防火墙检查、深度分组检查、对一种或多种类型攻击的检查。
4.根据权利要求3所述的方法,其中,所述信誉分数与经确定在访问所述网络目的地时要应用的所述一个或多个安全措施的数量或类型成反比。
5.根据权利要求1至4中任一项所述的方法,其中,所述云网络控制器应用域名***权威源(DNA-AS)来识别在访问所述网络目的地时要应用的所述一个或多个安全措施。
6.根据权利要求1至5中任一项所述的方法,其中,所述一个或多个安全措施包括多点触控服务,其中,多个不同的安全措施被应用于所述终端和所述网络目的地之间的网络流量。
7.根据权利要求1至6中任一项所述的方法,其中,所述一个或多个安全措施包括端点专用安全措施。
8.根据权利要求7所述的方法,其中,所述端点专用安全措施是最新的防病毒软件。
9.一种网络控制器,包括:
一个或多个存储器,其中存储有计算机可读指令;以及
一个或多个处理器,被配置为执行所述计算机可读指令以执行下述操作:
接收来自终端的针对关于网络目的地的信息的请求;
确定网络目的地的信誉分数;
基于所述信誉分数来确定在访问所述网络目的地时要应用的一个或多个安全措施;以及
将所述一个或多个安全措施传送到所述终端,其中,所述终端将所述一个或多个安全措施传送到第三方安全服务提供商以应用于所述终端和所述网络目的地之间的通信。
10.根据权利要求9所述的网络控制器,其中,所述信誉分数通过以下方式来确定:访问信誉分数服务来获得所述信誉分数。
11.根据权利要求9或10所述的网络控制器,其中,所述一个或多个安全措施包括下述项中的一项或多项:一种要应用的防火墙检查、深度分组检查、对一种或多种类型攻击的检查。
12.根据权利要求9至11中任一项所述的网络控制器,其中,所述网络控制器被配置为应用域名***权威源(DNA-AS)来识别在访问所述网络目的地时要应用的所述一个或多个安全措施。
13.根据权利要求9至12中任一项所述的网络控制器,其中,所述一个或多个安全措施包括多点触控服务,其中,多个不同的安全措施被应用于所述终端和所述网络目的地之间的网络流量。
14.根据权利要求9至13中任一项所述的网络控制器,其中,所述一个或多个安全措施包括端点专用安全措施,所述端点专用安全措施是最新的防病毒软件。
15.一种或多种非暂态计算机可读介质,包括计算机可读指令,所述计算机可读指令在由网络控制器执行时使得所述网络控制器执行下述操作:
接收来自终端的针对关于网络目的地的信息的请求;
确定网络目的地的信誉分数;
基于所述信誉分数来确定在访问所述网络目的地时要应用的一个或多个安全措施;以及
将所述一个或多个安全措施传送到所述终端,其中,所述终端将所述一个或多个安全措施传送到第三方安全服务提供商以应用于所述终端和所述网络目的地之间的通信。
16.根据权利要求15所述的一种或多种非暂态计算机可读介质,其中,所述信誉分数通过以下方式来确定:访问信誉分数服务来获得所述信誉分数。
17.根据权利要求15或16所述的一种或多种非暂态计算机可读介质,其中,所述一个或多个安全措施包括下述项中的一项或多项:一种要应用的防火墙检查、深度分组检查、对一种或多种类型攻击的检查。
18.根据权利要求15至17中任一项所述的一种或多种非暂态计算机可读介质,其中,所述网络控制器被配置为应用域名***授权源(DNA-AS)来识别在访问所述网络目的地时要应用的所述一个或多个安全措施。
19.根据权利要求15至18中任一项所述的一种或多种非暂态计算机可读介质,其中,所述一个或多个安全措施包括多点触控服务,其中,多个不同的安全措施被应用于所述终端和所述网络目的地之间的网络流量。
20.根据权利要求15至19中任一项所述的一种或多种非暂态计算机可读介质,其中,所述一个或多个安全措施包括端点专用安全措施,所述端点专用安全措施是最新的防病毒软件。
21.一种装置,包括:
用于在云网络控制器处接收来自终端的针对关于网络目的地的信息的请求的模块;
用于在所述云网络控制器处确定所述网络目的地的信誉分数的模块;
用于在所述云网络控制器处,基于所述信誉分数来确定在访问所述网络目的地时要应用的一个或多个安全措施的模块;以及
用于由所述云网络控制器将所述一个或多个安全措施传送到所述终端的模块,其中,所述终端将所述一个或多个安全措施传送到第三方安全服务提供商以应用于所述终端和所述网络目的地之间的通信。
22.根据权利要求21所述的装置,还包括用于实现根据权利要求2至8中任一项所述的方法的模块。
23.一种计算机程序、计算机程序产品或计算机可读介质,包括指令,所述指令在由计算机执行时使得所述计算机执行根据权利要求1至8中任一项所述的方法的步骤。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US17/390,229 US12015632B2 (en) | 2021-07-30 | 2021-07-30 | Dynamic resource allocation for network security |
US17/390,229 | 2021-07-30 | ||
PCT/US2022/037709 WO2023009359A1 (en) | 2021-07-30 | 2022-07-20 | Dynamic resource allocation for network security |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117981278A true CN117981278A (zh) | 2024-05-03 |
Family
ID=82850662
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202280063810.4A Pending CN117981278A (zh) | 2021-07-30 | 2022-07-20 | 针对网络安全的动态资源分配 |
Country Status (4)
Country | Link |
---|---|
US (1) | US12015632B2 (zh) |
EP (1) | EP4378119A1 (zh) |
CN (1) | CN117981278A (zh) |
WO (1) | WO2023009359A1 (zh) |
Family Cites Families (38)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20080082662A1 (en) | 2006-05-19 | 2008-04-03 | Richard Dandliker | Method and apparatus for controlling access to network resources based on reputation |
US20220360461A1 (en) * | 2009-01-28 | 2022-11-10 | Headwater Research Llc | Device-Assisted Services for Protecting Network Capacity |
US10492102B2 (en) * | 2009-01-28 | 2019-11-26 | Headwater Research Llc | Intermediate networking devices |
US8826444B1 (en) | 2010-07-09 | 2014-09-02 | Symantec Corporation | Systems and methods for using client reputation data to classify web domains |
US8370407B1 (en) | 2011-06-28 | 2013-02-05 | Go Daddy Operating Company, LLC | Systems providing a network resource address reputation service |
US10742591B2 (en) | 2011-07-06 | 2020-08-11 | Akamai Technologies Inc. | System for domain reputation scoring |
WO2015134034A1 (en) * | 2014-03-07 | 2015-09-11 | Hewlett-Packard Development Company, L.P. | Network security for encrypted channel based on reputation |
US20160036848A1 (en) * | 2014-07-31 | 2016-02-04 | Cisco Technology, Inc. | Intercloud security as a service |
US20160164826A1 (en) * | 2014-12-04 | 2016-06-09 | Cisco Technology, Inc. | Policy Implementation at a Network Element based on Data from an Authoritative Source |
US11343226B2 (en) * | 2016-02-26 | 2022-05-24 | Cable Television Laboratories, Inc. | Systems and methods for micro network segmentation |
US10778645B2 (en) * | 2017-06-27 | 2020-09-15 | Microsoft Technology Licensing, Llc | Firewall configuration manager |
LT3767495T (lt) * | 2017-08-28 | 2023-05-25 | Bright Data Ltd. | Būdas pagerinti turinio parsisiuntimą, pasirenkant tunelinius įrenginius |
US10547633B1 (en) * | 2017-11-07 | 2020-01-28 | Symantec Corporation | Systems and methods for mapping services utilized by network domains |
CN110611723B (zh) * | 2018-06-15 | 2021-05-11 | 华为技术有限公司 | 一种服务资源的调度方法及装置 |
US11552953B1 (en) * | 2018-06-18 | 2023-01-10 | Amazon Technologies, Inc. | Identity-based authentication and access control mechanism |
US20200137126A1 (en) | 2018-10-31 | 2020-04-30 | Tala Security, Inc. | Creation of security profiles for web application components |
US11411967B2 (en) * | 2018-11-30 | 2022-08-09 | Cisco Technology, Inc. | Synergistic DNS security update |
US11063897B2 (en) * | 2019-03-01 | 2021-07-13 | Cdw Llc | Method and system for analyzing electronic communications and customer information to recognize and mitigate message-based attacks |
WO2020202135A2 (en) * | 2019-04-02 | 2020-10-08 | Luminati Networks Ltd. | System and method for managing non-direct url fetching service |
US11516086B1 (en) * | 2019-09-04 | 2022-11-29 | Cisco Technology, Inc. | Method and apparatus for automated spanning-tree loop detection in networks |
US10938717B1 (en) * | 2019-09-04 | 2021-03-02 | Cisco Technology, Inc. | Policy plane integration across multiple domains |
US11496519B1 (en) * | 2019-11-29 | 2022-11-08 | Amazon Technologies, Inc. | Managing security in isolated network environments |
GB2605095A (en) * | 2019-11-29 | 2022-09-21 | Ram Kishore Vemulpali Sri | Intelligent service layer for separating application from physical networks and extending service layer intelligence |
US11711345B2 (en) * | 2020-05-02 | 2023-07-25 | Mcafee, Llc | Split tunnel-based security |
US20220408255A1 (en) * | 2021-03-08 | 2022-12-22 | Zscaler, Inc. | Zero-Trust Enabled Workload Access for User Equipment |
US11456892B1 (en) * | 2021-03-16 | 2022-09-27 | At&T Intellectual Property I, L.P. | Virtual router instantiation on public clouds |
US20220311837A1 (en) * | 2021-03-29 | 2022-09-29 | Amazon Technologies, Inc. | Customizable data-processing network functions for radio-based networks |
US11956212B2 (en) * | 2021-03-31 | 2024-04-09 | Palo Alto Networks, Inc. | IoT device application workload capture |
EP4320826A1 (en) * | 2021-04-08 | 2024-02-14 | Cisco Technology, Inc. | Automated connectivity to cloud resources |
US11757702B2 (en) * | 2021-04-08 | 2023-09-12 | Cisco Technology, Inc. | Automated and scalable multi-level redundancy for cloud infrastructure |
US11456894B1 (en) * | 2021-04-08 | 2022-09-27 | Cisco Technology, Inc. | Automated connectivity to cloud resources |
EP4320824A1 (en) * | 2021-04-08 | 2024-02-14 | Cisco Technology, Inc. | System and method for connecting virtual networks in a branch site to clouds |
US11496556B1 (en) * | 2021-04-26 | 2022-11-08 | Cisco Technology, Inc. | Service provider selection for application-driven routing |
US20220353143A1 (en) * | 2021-04-29 | 2022-11-03 | Cisco Technology, Inc. | Injecting controlled network failures using in-situ oam and other techniques |
US12021748B2 (en) * | 2021-07-30 | 2024-06-25 | Cisco Technology, Inc. | Exit interface selection based on intermediate paths |
US20230030403A1 (en) * | 2021-07-30 | 2023-02-02 | Cisco Technology, Inc. | Secure frame encryption as a service |
US11985228B2 (en) * | 2021-07-30 | 2024-05-14 | Cisco Technology, Inc. | Configuration payload separation policies |
US20230031462A1 (en) * | 2021-07-30 | 2023-02-02 | Oracle International Corporation | Selective handling of traffic received from on-premises data centers |
-
2021
- 2021-07-30 US US17/390,229 patent/US12015632B2/en active Active
-
2022
- 2022-07-20 WO PCT/US2022/037709 patent/WO2023009359A1/en active Application Filing
- 2022-07-20 EP EP22753893.1A patent/EP4378119A1/en active Pending
- 2022-07-20 CN CN202280063810.4A patent/CN117981278A/zh active Pending
Also Published As
Publication number | Publication date |
---|---|
WO2023009359A1 (en) | 2023-02-02 |
US20230036547A1 (en) | 2023-02-02 |
US12015632B2 (en) | 2024-06-18 |
EP4378119A1 (en) | 2024-06-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11870755B2 (en) | Dynamic intent-based firewall | |
CN113169968B (zh) | 协同dns安全性更新 | |
US11652791B2 (en) | Consolidated routing table for extranet virtual networks | |
US20230261963A1 (en) | Underlay path discovery for a wide area network | |
US12021748B2 (en) | Exit interface selection based on intermediate paths | |
EP4320824A1 (en) | System and method for connecting virtual networks in a branch site to clouds | |
US12015632B2 (en) | Dynamic resource allocation for network security | |
AU2022253916B2 (en) | Horizontal scaling for a software defined wide area network (SD-WAN) | |
US11546432B2 (en) | Horizontal scaling for a software defined wide area network (SD-WAN) | |
JP7507308B2 (ja) | 割り当てられたコンテキストに基づくネットワークサービスアクセス及びデータルーティング | |
CN116783580A (zh) | 用于将分支站点中的虚拟网络连接到云的***和方法 | |
CN118020280A (zh) | 工业安全模型即sase服务 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |