【技术实现步骤摘要】
【国外来华专利技术】
技术介绍
1、防火墙通常保护网络免受未授权的接入,同时准许已授权的通信通过防火墙。防火墙通常是为网络接入提供防火墙功能的一个设备或一组设备、或在诸如计算机的设备上执行的软件。例如,防火墙可以被集成到设备(例如,计算机、智能电话或其它类型的具有网络通信能力的设备)的操作系统中。防火墙也可以被集成到计算机服务器、网关、网络/路由设备(例如,网络路由器)或数据应用设备(appliance)(例如,安全应用设备或其它类型的专用设备)中,或者作为软件在该计算机服务器、网关、网络/路由设备(例如,网络路由器)或数据应用设备(例如,安全应用设备或其它类型的专用设备)上执行。
2、防火墙通常基于一组规则来拒绝或准许网络传输。这些规则组常常被称为策略。例如,防火墙可以通过应用一组规则或策略来过滤入站流量(traffic)。防火墙还可以通过应用一组规则或策略来过滤出站流量。防火墙还可以能够执行基本的路由功能。
3、us2022/070223a1根据其摘要陈述了用于安全平台的技术,该安全平台具有组合的所选流量的外部内联处理。在一些实施例中,一种用于向安全平台提供组合的所选流量的外部内嵌处理的系统/方法/计算机程序产品包括:在安全平台处监控会话的网络流量;选择与该会话相关联的被监控的网络流量的子集以发送给基于云的安全服务,用于基于安全策略的分析,其中被监控的网络流量的所选子集被代理到基于云的安全服务;以及从基于云的安全服务接收基于安全策略的分析的结果,并以基于安全策略的分析的结果为基础来执行响应动作。
4、ep39
5、us2019/0089678a1根据其摘要陈述了用于基于进程风险的出站/入站横向流量投注(punting)的技术。在一些实施例中,一种用于基于进程风险的出站/入站横向流量投注的系统/过程/计算机程序产品包括:在企业网络上的网络设备处接收来自在ep设备上执行的端点(ep)代理的进程识别(id)信息,在其中该进程id信息识别与企业网络上的ep设备上的出站或入站网络会话相关联的进程,并且ep代理选择网络会话以投注到网络设备来进行检查;在该网络设备处监控与该网络会话相关联的网络通信,以识别该网络会话的应用程序识别(app id);以及使用进程id信息和app id基于安全策略来执行动作。
技术实现思路
1、根据一个方面,提供了一种系统。该系统包括:处理器,其被配置为:在安全平台处从云安全服务接收用户上下文信息;使用所述用户上下文信息在所述安全平台处应用安全策略;以及存储器,其被耦合到所述处理器并且被配置为向所述处理器提供指令。
2、在一个实施例中,所述安全平台包括物理防火墙、虚拟机防火墙或基于容器的防火墙。
3、在一个可选实施例中,所述用户上下文信息包括ip-用户映射、用户-标签映射、ip-标签映射、ip-端口-用户映射和ip-设备id映射中的至少一个。
4、在一个实施例中,所述安全平台订阅用于中心化身份重分发(redistribution)的段(segment)。
5、根据另一个方面,提供了一种方法,该方法包括:
6、在安全平台处从云安全服务接收用户上下文信息;以及
7、使用所述用户上下文信息在所述安全平台处应用安全策略。
8、在一个实施例中,所述安全平台包括物理防火墙、虚拟机防火墙或基于容器的防火墙。
9、在一个可选实施例中,所述用户上下文信息包括ip-用户映射、用户-标签映射、ip-标签映射、ip-端口-用户映射和ip-设备id映射中的至少一个。
10、在一个实施例中,所述安全平台订阅用于中心化身份重分发的段。
11、根据另一个方面,提供了一种计算机程序产品,该计算机程序产品以有形的计算机可读存储介质来体现,并且包括用于执行如本文中定义的方法的计算机指令。
12、根据另一个方面,提供了一种处理器实施的方法,其包括:在已认证的安全平台处产生用户上下文信息和/或在所述安全平台处从一个或多个源获得用户上下文信息;以及将所述用户上下文信息发送到云安全服务。将会清楚的是,这个方法可以在如上所述的相同系统中实施。
13、在一个实施例中,所述安全平台是sd-wan网络中的边缘设备,其中所述边缘设备被配置为充当所述sd-wan网络的连接和/或终结点,其中所述边缘设备进一步被配置为经由ipsec隧道连接至所述安全服务。
14、在一个实施例中,所述安全平台包括物理防火墙、虚拟机防火墙或基于容器的防火墙。
15、在一个实施例中,所述安全平台发布用于中心化身份重分发的段,其中,优选地,所述段是安全平台或防火墙的分组。
16、根据又一个方面,提供了一种系统,其中该系统包括:处理器,其被配置为:在云安全服务处从安全平台接收用户上下文信息;将所述用户上下文信息存储在所述云安全服务的数据存储中,以用于将所述用户上下文信息重分发到另一个安全平台;以及存储器,其被耦合到所述处理器并且被配置为向所述处理器提供指令。
17、在一个实施例中,所述用户上下文信息包括ip-用户映射、用户-标签映射、ip-标签映射、ip-端口-用户映射和ip-设备id映射中的至少一个。
18、在一个实施例中,所述另一个安全平台订阅用于中心化身份重分发的段,以从所述云安全服务接收所述用户上下文信息,并且其中所述云安全服务向所述另一个安全平台发布所述用户上下文信息。
19、根据另一个方面,提供了一种组件,该组件包括如本文中定义的系统。
20、根据另一个方面,提供了一种方法,该方法包括:在安全平台处从云安全服务接收用户上下文信息;以及将所述用户上下文信息存储在所述云安全服务的数据存储中,以用于将所述用户上下文信息重分发到另一安全平台。
21、根据另一方面,提供了一种计算机程序产品,该计算机程序产品以有形的计算机可读存储介质来体现,并且包括用于执行如本文中定义的方法的计算机指令。
本文档来自技高网...【技术保护点】
1.一种处理器实施的方法,包括:
2.根据权利要求1所述的方法,其中,所述安全平台包括物理防火墙、虚拟机防火墙或基于容器的防火墙。
3.根据权利要求1或2所述的方法,其中,所述安全平台是SD-WAN网络中的边缘设备(102A,102B,102C),其中,所述边缘设备被配置为充当所述SD-WAN网络的连接和/或终结点,并且其中,所述边缘设备(102A,102B,102C)进一步被配置为经由IPsec隧道连接到所述云安全服务(120)。
4.根据权利要求1、2或3所述的方法,其中,所述安全平台订阅用于中心化身份重分发的段,其中,优选地,所述段是安全平台或防火墙的分组。
5.根据前述权利要求中的任一项所述的方法,其中,所述安全平台是安全服务的已认证平台,并且其中,所述方法进一步包括:在接收到所述用户上下文信息之前,在所述安全平台处接收传入流量;
6.一种处理器实施的方法,包括:
7.根据权利要求6所述的方法,其中,所述安全平台是SD-WAN网络中的边缘设备(102A,102B,102C),其中,所述边缘设备被配置为
8.一种处理器实施的方法,包括:
9.根据权利要求8所述的方法,其中,所述另一安全平台订阅用于中心化身份重分发的段,以从所述云安全服务接收所述用户上下文信息,并且其中,所述方法进一步包括:向所述另一安全平台发布所述用户上下文信息,并且其中,优选地,所述段是安全平台或防火墙的分组。
10.一种系统,包括:
11.一种系统,包括:
12.一种系统,包括:
13.一种组件,包括根据权利要求10所述的系统和根据权利要求12所述的系统。
14.根据权利要求13所述的组件,进一步包括根据权利要求11所述的系统,并且其中优选地,根据权利要求10和11所述的系统的安全平台两者被配置为连接到根据权利要求12所述的系统的云安全平台,并且其中,在根据权利要求11所述的系统的安全平台处产生和/或获得的用户上下文信息在根据权利要求12所述的云安全系统处被接收和存储,并且由根据权利要求10所述的系统的安全平台从所述云安全系统来接收。
15.一种计算机程序产品,所述计算机程序产品以有形的计算机可读存储介质来体现,并且包括计算机指令,当被处理器执行时,所述计算机指令促使所述处理器执行权利要求1-9中的任一项所述的方法。
...【技术特征摘要】
【国外来华专利技术】
1.一种处理器实施的方法,包括:
2.根据权利要求1所述的方法,其中,所述安全平台包括物理防火墙、虚拟机防火墙或基于容器的防火墙。
3.根据权利要求1或2所述的方法,其中,所述安全平台是sd-wan网络中的边缘设备(102a,102b,102c),其中,所述边缘设备被配置为充当所述sd-wan网络的连接和/或终结点,并且其中,所述边缘设备(102a,102b,102c)进一步被配置为经由ipsec隧道连接到所述云安全服务(120)。
4.根据权利要求1、2或3所述的方法,其中,所述安全平台订阅用于中心化身份重分发的段,其中,优选地,所述段是安全平台或防火墙的分组。
5.根据前述权利要求中的任一项所述的方法,其中,所述安全平台是安全服务的已认证平台,并且其中,所述方法进一步包括:在接收到所述用户上下文信息之前,在所述安全平台处接收传入流量;
6.一种处理器实施的方法,包括:
7.根据权利要求6所述的方法,其中,所述安全平台是sd-wan网络中的边缘设备(102a,102b,102c),其中,所述边缘设备被配置为充当所述sd-wan网络的连接和/或终结点,其中,所述边缘设备(102a,102b,102c)进一步被配置为经由ipsec隧道连接到...
【专利技术属性】
技术研发人员:N·沙阿,S·韩,S·拉玛钱德兰,
申请(专利权)人:帕洛阿尔托网络公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。