[发明专利]屏蔽外部源地址的网络架构的安全策略实施和可见性

说明书

一些网络架构包括外围或边缘设备，这些外围或边缘设备执行网络地址转换或以其他方式修改网络流量数据分组报头中的数据，诸如源地址。源地址的修改防止下游设备知道流量所起源的真实或原始源地址。为了解决这个问题，外围设备可以在分组报头的X‑Forwarded‑For字段中插入原始源地址。防火墙和相关的安全服务可以被编程，以除了其他分组信息之外在XFF字段中记录原始源地址，并在安全分析期间考虑原始源地址。使用XFF字段中的原始源地址，服务可以确定关于流量的附加特性，诸如地理起源点或相关联用户帐户，并使用这些特性以标识适用的规则或策略。

背景技术

本公开一般涉及数据处理的领域，并且更具体地涉及网络安全。

防火墙是监控传入和传出的网络流量并基于安全策略或规则来控制允许还是阻挡流量的网络安全设备。防火墙可以是硬件、软件或这两者。例如，防火墙可以是虚拟化网络功能，或者可以是安装在服务器机架中的硬件设备。

附图的简要说明

通过参考附图，可以更好地理解本公开的各方面。

图1描绘了用于提供网络安全和性能服务的示例系统。

图2描绘了具有用于记录原始源因特网协议地址的示例操作的流程图。

图3描绘了具有用于使用原始源IP地址来实施安全的示例操作的流程图。

图4描绘了具有增强型数据记录和安全服务的防火墙的示例计算机系统。

描述

下面的描述包括体现本公开的各方面的示例系统、方法、技术和程序流。然而，应当理解，可在没有这些具体细节的情况下实践本公开。例如，本公开涉及在解说性示例中由防火墙提供的增强安全。本公开的各方面还可被应用于诸如网关、路由器或网络分析器之类的其他网络设备。在其他实例中，尚未详细示出众所周知的指令实例、协议、结构和技术以便不混淆该描述。

概述

一些网络架构包括外围或边缘设备，诸如负载平衡器或应用网关，它们执行网络地址转换或以其他方式修改因特网协议分组报头中的数据，诸如源地址。源地址的修改防止下游设备知道流量所起源的真实或原始源地址。这造成了安全问题，因为下游设备无法有效地将安全策略和规则应用于该网络流量。为了解决这个问题，外围设备可以在分组报头的X-Forwarded-For(XFF)字段中插入原始源地址。防火墙和相关的安全服务可以被编程，以除了其他分组信息之外记录XFF字段中的原始源地址，并在安全分析期间考虑原始源地址。例如，诸如动态策略组、威胁智能、策略实施、日志记入和应用管理以及外部动态列表等服务可被配置为使用或甚至偏好XFF字段中的地址，而不是标准源地址报头字段中指示的地址。使用XFF字段中的原始源地址，服务可以确定关于流量的附加特性，诸如地理位置或相关联用户帐户，并使用这些特性以标识适用的规则或策略。

示例解说

图1描绘了用于提供网络安全和性能服务的示例系统。图1包括客户机1 101、客户机2 102和负载平衡器106，它们通过网络103通信地耦合，网络103可以是诸如因特网之类的广域网或局域网。负载平衡器106将网络流量数据分发给防火墙107和一个或多个其他防火墙或设备(未描绘)。图1还包括应用服务器109，其接收来自客户端1 101和客户端2 102的在穿越负载平衡器106和防火墙107之后的网络流量。防火墙107将与网络流量相关的数据记录在网络流量数据108(“流量数据108”)中，网络流量数据108可以是数据库或其他本地或远程存储设备。多个安全和网络管理服务访问和处理来自流量数据108的数据，包括动态地址组服务110、威胁智能服务111、策略实施服务112、日志记入和应用监控服务113以及外部动态列表服务114。尽管这些服务被描绘为与防火墙107分开，但这些服务可以各自是如下软件进程：作为防火墙107的一部分来执行、在虚拟机中与防火墙107相同的管理程序上执行，等等。