[发明专利]屏蔽外部源地址的网络架构的安全策略实施和可见性

权利要求书

1.一种方法，包括：

记录从网络设备接收的分组中的报头信息，其中所述报头信息包括第一报头字段中的第一源地址和第二报头字段中的第二源地址，其中所述第一源地址对应于所述网络设备，而所述第二源地址对应于在所述网络设备之前传送所述分组的客户机设备；

至少部分地基于所述第二源地址来分析所述分组；

确定所述客户机设备属于由第一策略控制的设备组；以及

将所述第一策略应用于所述分组和来自所述客户机设备的其他网络流量。

2.如权利要求1所述的方法：

其特征在于，至少部分地基于所述第二源地址来分析所述分组包括使用所述第二源地址查询存储库以获得所述客户机设备的特性；

其中确定所述客户机设备属于由所述第一策略控制的所述设备组至少部分地基于所获得的特性。

3.如权利要求2所述的方法，其特征在于，还包括基于所述报头信息中指示的所述第二源地址来确定所述客户机设备的地理位置，其中所述客户机设备的所述特性中的至少第一特性是所述地理位置。

4.如权利要求1所述的方法，其特征在于，还包括至少部分地基于确定所述网络设备是负载平衡器、网关、代理、或边缘路由器中的至少一者来确定所述第二报头字段应该被记录。

5.如权利要求1所述的方法，其特征在于，记录所述报头信息是由防火墙执行的，还包括由所述防火墙至少部分地基于配置参数的值来确定所述第二报头字段应该被记录。

6.如权利要求1所述的方法，其特征在于，将所述第一策略应用于所述分组和来自所述客户机设备的其他网络流量包括确定所述分组和所述其他网络流量应该被阻挡、允许、扼流、和记入日志。

7.如权利要求1所述的方法，其特征在于，所述第一报头字段是源地址字段而所述第二报头字段是X-Forward-For字段。

8.如权利要求1所述的方法，其特征在于，所述分组的分析不基于所述第一源地址。

9.一种其上存储有指令的非瞬态、计算机可读介质，所述指令由计算设备执行以执行如权利要求1-8中任一项所述的方法。

10.一种装置，包括：

处理器；以及

其上存储有指令的计算机可读介质，所述指令由处理器执行以使所述装置执行如权利要求1-8中任一项所述的方法。