在云端的多边界防火墙的制作方法

本申请要求2015年4月7日提交的申请号为no.62/144,293的美国临时申请以及2015年4月22日提交的申请号为no.62/151,174的美国临时申请的优先权，每个申请都通过引用并入本文。

本申请总体上涉及网络技术，更具体地，涉及网络安全，该网络安全通过布置在云端多个边界的分布式防火墙(fw)设备的策略来保护通过全局虚拟网络或类似网络的流经流量。

背景技术：

人类能够感觉到200ms或更长的延迟，因为这通常是人类对事件的平均反应时间。如果延迟太高，诸如瘦客户端到基于云的服务器、客户关系管理(cr)、企业资源规划(epvp)等在线系统将表现不佳，甚至可能由于超时而停止运行。高延迟结合高分组丢失可能导致连接不可用。即使数据通过，某个时候太慢也会导致用户体验不好(ux)，在这种情况下，用户可以拒绝接受这些使传递不及格的服务变得无用的条件。

为了解决其中的一些问题，已经开发了各种技术。一种这样的技术是wan优化，通常涉及在局域网(lan)边缘的硬件(hw)设备，该硬件(hw)设备在另一lan边缘的另一wan优化hw设备建立隧道，用以在它们之间形成广域网(wan)。该技术假设两个设备通过其彼此连接的稳定连接。wan优化器努力压缩和保护数据流，通常会导致速度增益。采用wan优化的商业驱动是为了节省发送的数据量，以降低数据传输的成本。这样做的缺点是，当两台设备之间的连接不好时，由于它们往往是点对点的，因此它们之间几乎没有控制通过互联网的流量流动的路径。为了解决这个问题，wan优化器的用户经常选择通过mpls或ddn线路或其他专用电路运行wan，这些会导致额外的费用，并且通常需要一个刚性的、固定的点对点连接。

诸如mpls、ddn、专用电路或其他类型的固定点对点连接的直接链路提供连接质量和服务质量(qos)保证。它们是昂贵的，并且通常需要很长的时间来安装，因为需要从连接的每一侧的pop来物理上绘制线。当通过这个直接连接的wan从一个lan连接到另一个lan的资源时，点到点拓扑结构很好。然而，当一般互联网的网关(gw)位于一端的lan时，例如在公司总部，则来自附属国的远程lan的业务可以通过gw被路由到互联网。由于流量通过互联网返回同一个国家的子公司的服务器，所以出现放缓。然后，流量必须通过wan从lan到gw所在的lan，然后通过互联网返回到原籍国的服务器，然后通过互联网返回到gw，然后将专线退回到局域网内的客户端设备实际上，本质上会是两倍或三倍(或更差)的全球通行时间，而实际上访问这个附近的站点的时间仅需要全球延迟的一小部分。为了克服这种情况，通过适当的配置更改以及添加可将本来流量连接到互联网的设备，可以在此类系统的每个端点提供与另一个网络线的可替换连接。

从一个局域网到另一个局域网创建wan链路的另一个选择涉及在两个路由器、防火墙或等效边缘设备之间建立隧道，如ipsec或其他协议隧道。这些通常是加密的，并且可以提供压缩和其他逻辑来尝试改善连接。这两点之间的路线很少甚至无法控制，因为它们依赖互联网上的各种中间玩家的政策，他们通过他们的网络进行流量，并与其他运营商和网络运营商进行对等。许多设备供应商的防火墙和路由器、交换机和其他设备通常在其固件中内置隧道选项。

近年来，最后一公里的连通性大幅度提高，但受到距离、协议限制、对等、干扰等问题和威胁有关的问题，长距离连接和吞吐量仍然存在问题。因此，存在对在标准互联网连接顶部运行的安全网络优化服务的需求。

技术实现要素：

公开了通过虚拟全球网络提供多边界防火墙的系统和方法。该网络可以包括出口入口点设备、第一和第二接入点服务器、端点设备以及第一和第二防火墙。第一防火墙与第一接入点服务器通信，并且可以防止网络流量流经第一接入点服务器。第二防火墙与第二接入点服务器通信，并且可以防止网络流量流经第二接入点服务器。

根据一个实施例，至少一个接入点服务器被配置为执行防火墙服务。

根据另一实施例，第一防火墙与第二防火墙通信。第一和第二防火墙之间的通信路径可以是全局虚拟网络隧道或全局虚拟网络返回信道或api调用或其他。在一些实施例中，第一防火墙和第二防火墙共享包括启发式模式、已知威胁的签名、已知恶意源ip地址或攻击向量中的至少一个的威胁信息。威胁信息可以通过中央控制服务器共享。

在一些实施例中，至少一个防火墙执行深度包检测。在其他实施例中，至少一个防火墙执行状态包检测。在其他实施例中，一个防火墙执行状态包检测，而另一个防火墙执行状态包检测。

在一些实施例中，防火墙中的至少一个包括可以按需分配云防火墙资源的云防火墙负载平衡器。

附图说明

为了更好地理解本公开，现在参考附图，其中相同的元件以相同的附图标记或附图标记。这些附图不应被解释为对本公开的限制，而是仅仅是说明性的。

图1示出了五种类型的防火墙设备操作。

图2示出了通过防火墙的流量可能性。

图3示出了状态包检测和深度包检测。

图4示出了从分组流生成组合的有效载荷。

图5示出了从互联网到lan的广泛的网络攻击路径。

图6展示了由于相对网络上发生的高流量大规模攻击而对网络造成的负面回弹效应。

图7示出了位于云端的多边界防火墙。

图8示出了位于云端的多边界防火墙的可扩展性。

图9示出了在互联网连接之上的gvn之上的多边界防火墙。

图10是从起点到目的地的gvn可用的各种路线的流程图。

图11示出了状态包检测(spi)防火墙和深度包检测(dpi)防火墙之间的通信。

图12示出了由全局虚拟网络启用的云端多边界防火墙(mpfw)。

图13示出了全局虚拟网络的设备之间的信息流。

图14示出了支持个人端点设备的云端的多边界防火墙(mpfw)。

图15说明了gvn中自动化设备和防火墙协作和信息交换所需的模块。

图16示出了gvn中设备到设备的信息交换。

图17示出了gvn中多边界防火墙与其他系统的集成。

图18示出了基于云的防火墙负载平衡器连接的基于云的防火墙提供的可扩展性的防火墙的拓扑和相应布局。

图19示出了gvn拓扑，包括互联网或暗光纤上的骨干段。

图20示出了用于向终端设备(epd)和互联网的信息流的设备的拓扑和连接。

图21示出了多边界防火墙算法。

图22示出了用于云防火墙设备、云防火墙负载平衡器设备、中央控制服务器、接入点服务器和端点设备的软件架构的逻辑视图。

图23示出了通过中央控制服务器(srv_cntrl)从防火墙(fw)到全局虚拟网络(gvn)中的各种设备的信息流。

图24是描述用于分析流过防火墙、防火墙负载平衡器和/或通过防火墙阵列的流量的算法的流程图。

图25示出了处理和处理威胁的系统堆栈中的各个层。

图26示出了在启动过程期间自动解密加密卷的方法。

图27示出了如何基于特定于该设备的多个因素来为设备一致地计算唯一用户标识(uuid)。

图28示出了安全引导机构的模块。

图29示出了后通道机构的细节。

图30示出了多个端点设备(epd)和后向通道服务器(srv_bc)之间的连接。

图31示出了使用对于每一行唯一的旋转和计算的密钥将加密数据写入数据库的一行中的选定字段。

图32示出了使用键、键调节器和使用框架来计算键的其他因素从从单个行来解密数据。

图33示出了当客户端经由端点设备(epd)请求的图形用户界面(gui)内容和请求内容被存储在锁定的卷内时会发生什么。

图34示出了互联网的高级框图。

图35是通过域名系统(dns)对数字互联网协议(ip)地址的通用资源定位符(url)展示分辨率的框图。

具体实施方式

gvn在其标准互联网连接的顶部为客户提供安全的网络优化服务。这是gvn的组成部分的概述以及可用作gvn元素的相关技术的描述。gvn元素可以独立运行，也可以在gvn生态系统内运行，例如为了自己的目的利用gvn框架，或者可以部署gvn元件来提高gvn的性能和效率。该概述还描述了其他技术如何从gvn中获益，作为使用gvn的一些或所有组件的独立部署，或者可以利用其优点将其作为独立机制快速部署为现有gvn之上的独立机制。

基于软件(sw)的虚拟专用网络(vpn)通过客户端设备和vpn服务器之间的隧道提供隐私。这些具有加密以及在某些情况下同时压缩的优点。但是，再一次的，vpn客户端和vpn服务器之间以及vpn服务器与主机服务器、主机客户端或目的地的其他设备之间的流量几乎无法控制。这些通常是点对点连接，需要使用vpn安装每个设备的客户端软件，并且某些技术熟练程度来维护每个设备的连接。如果vpn服务器出口点通过到目的主机服务器或主机客户端的高质量通信路径靠近，则性能将会很好。如果没有，那么从可用性的角度来看，性能和不满将会引人注目。vpn用户通常需要断开与一个vpn服务器的连接，并重新连接到另一个vpn服务器，以便对来自某个区域的内容与来自其他区域的内容确保质量或本地访问。

全局虚拟网络(gvn)是互联网上的一种计算机网络，通过利用世界各地的分布在世界各地的设备网络、通过高级隧道相互连接、通过应用程序接口(api)进行协作和通信、数据库(db)复制等方法能够提供全球安全网络优化。gvn中的流量路由总是通过由高级智能路由(asr)管理的最佳通信路径，该自动化系统由自动化系统提供支持，这些自动化系统将建立者、管理者、测试人员、算法分析和其他方法结合起来，以适应不断变化的条件和随时间的学习，以配置和重新配置系统。

gvn在一个或多个常规互联网连接之上提供服务，以提供安全、可靠、快速、稳定、精确和集中的并行连接。这些优点是通过压缩在epd和epd附近的接入点服务器(srv_ap)之间转换包，伪装和加密隧道的多个连接的数据流来实现的。epd与srv_ap的连接质量不断受到监控。

gvn是硬件(hw)、端点设备(epd)、安装软件(sw)、数据库(db)和gvn系统的其他自动化模块(如中性应用程序编程接口机制(napim))，后端通道管理器、隧道管理器以及将epd连接到gvn内的接入点服务器(srv_ap)和中央服务器(srv_cntrl)等分布式基础设施设备的更多功能的集合。

算法持续分析当前的网络状态，同时考虑尾随趋势加上长期历史性能，以确定流量采取的最佳路由，以及哪些是最佳的srv_ap或一系列的srv_ap服务器来推动流量通过。配置、通信路径和其他更改是自动进行的，并且需要最少的用户交互或干预。

epd和srv_ap中的高级智能路由确保通过尽可能简单的gvn“第三层”，流量通过从原点到目的地的最理想路径流动。这个第三层被连接到gvn的客户端设备看作是一个普通的互联网路径，但跳数较少，安全性更好，在大多数情况下，比通过普通互联网流向同一个目的地的流量更低的延迟。逻辑和自动化在gvn的“第二层”中运行，在此，gvn的软件自动监视和控制虚拟接口(vif)的底层路由和构造、多个隧道和通信路径的绑定。gvn的第三层和第二层存在于与底层互联网网络的设备交互的gvn的可操作“第一层”之上。

从技术和网络的角度来看，云是指通过开放互联网连接并可用于其他设备的设备或组或阵列或设备集群。这些设备的物理位置并不重要，因为它们经常将多个数据复制到多个位置，并通过使用内容传送网络(cdn)或其他此类技术传送到/从请求客户端的最靠近的服务器来加速连接，从而增强用户体验(ux)。

本发明基于防火墙(fw)的行业的标准使用，通过将周边延伸到云端来提高其效用值。防火墙是主要设计用于保护内部网络免受来自外部网络的外部威胁的设备，以及保护信息数据从内部网络泄漏的设备。传统上，防火墙被放置在诸如局域网(lan)的一个网络和另一个网络之间的边缘，例如其上行链路到更广泛的网络。网络管理员对fw的放置和可信度敏感，因为它们依赖它来保护其网络。

gvn的附加组件包括安全引导机制(sbm)和后通道机制(bcm)。安全引导机制通过将密钥存储在远程服务器上并且仅通过sbm使密钥可用来保护安全卷的密钥。后通道机构允许gvn的许多设备的管理和/或交互。在隧道故障时网络性能不佳的时候，bcm向不能达到的设备提供通道，包括访问从开放互联网无法访问的设备。这种机制通过屏障提供反向穿孔，以保持通信通道畅通。gvn的其他安全组件包括使用每行键的uutd硬件绑定和精细粒度数据加密。

图34示出了互联网的高级框图。一般用户对互联网功能的理解非常粗略。主机源34-100是起始点，其可以是计算机、移动电话、平板电脑、膝上型计算机或其他此类客户端的客户端设备。该客户端通过互联网34-200连接到主机服务器34-300以发送或检索内容，或者连接到另一个主机客户端34-302来发送或接收信息。

一个非技术性的用户可能会认为到主机服务器的流量遵循路径2p002，甚至不了解他们的数据将通过互联网传输。或者他们可能认为流量将通过路径2p006直接流向另一个客户端设备。

具有对其工作方式有更多了解的用户将了解流量通过路径2p004流向互联网34-200，然后通过路径2p102通过主机服务器目标34-300或通过路径2p104到主机(客户端)目标34-302。

具有更多技术知识的用户将进一步了解，当发送电子邮件时，该电子邮件将离开他们的客户端设备34-100，通过路径2p004传输到互联网34-200，然后通过路径2p202传送到邮件服务器34-202。然后，电子邮件的收件人将通过其主机客户端34-302沿着路径2p104向互联网提取电子邮件请求，然后将路径2p204下发到邮件服务器34-202。

这与普通人对互联网的理解有关。

图35是通过域名系统(dns)对数字互联网协议(ip)地址的通用资源定位符(url)展示分辨率的框图。

内容请求35-000或从主机客户端(c)35-100推送到主机服务器(s)35-300，作为从主机客户端(c)35-100到主机服务器(s)的文件或流或数据块35-300。响应或内容传递35-002从主机s返回给主机c作为文件或数据流或数据块。与主机服务器(s)的客户端-服务器(cs)关系中的主机客户端设备35-100使得请求从远程主机服务器(s)访问内容，或者通过通用资源定位器向远程主机服务器(s)发送数据(url)或其他网络可达地址。

从主机客户机(c)35-100到互联网35-206的初始连接显示为3p02-从主机客户机(c)到直接面对的存在点(pop)35-102的连接。在其他情况下，主机客户机(c)可以位于局域网(lan)中，然后局域网(lan)经由存在点(pop)连接到互联网，并且可被称为最后一公里连接。存在点(pop)35-102表示由互联网服务提供商(isp)从终端通过其网络及其互连向互联网提供的连接。这可以是但不限于电缆、光纤、dsl、以太网、卫星、拨号和其他连接。如果url是域名而不是数字地址，则将该url发送到域名系统(dns)服务器35-104，其中将域名转换为ipv4或ipv6或其他地址以进行路由。

主机客户端(c)35-100到主机服务器(s)35-300的流量通过互联网35-206路由，用于代表pop(35-102和35-302)之间的转移，包括对等、回程或其他网络传输边界。

用于从通用资源定位符(url)查找号码地址以获取目标服务器(s)的ipv4地址或其他数字地址的pop35-102和域名系统35-104之间的连接3p04可以从pop直接访问，也可以通过互联网35-206。从isp35-102到互联网35-206的连接3p06可以是单源或多源。类似地，从互联网35-206到远程isp的连接3p08也可以是单源或多源的。这种连接通常是isp或internet数据中心(idc)面向互联网的pop35-302。从远程isp的pop35-302到主机服务器(s)的连接3p10可以是直接的或通过多跳。

通过域名系统从url或主机名到数字地址的查找是internet上的标准，系统假设dns服务器是一体的，dns服务器的结果是最新的，并可以被信任。

图19示出了gvn拓扑，通信路径包括通过互联网或暗光纤的骨干段，并且指示在各种周边位置处包括各种类型的防火墙(fw)设备的各种设备的布置。它显示了各种地理区域或区域或领域如何通过各种类型的路径连接在一起。该图说明了各种类型的网络结构可以组合成更大的网络挂毯。这些编织网络可以如美国临时专利申请no.62/174,394中所述无缝地结合在一起。

参见图19，显示了多个区域：lan区域0(zl00)，lan区域1(zl10)，互联网区域0(zi00)，互联网区域1(zi10)，互联网区域2(zi20)，互联网区域3zi30)，互联网数据中心2区(zd20)和互联网数据中心3区(zd30)。

lan区域019-zl00描述了典型的局域网(lan)，其包括在lan和外部网络gvnott19-202和互联网19-30之间相对于端点设备(epd)19-100的防火墙的放置。lan19-04和epd19-100之间有硬件防火墙fw19-40。另一个硬件或软件fw19-42位于epd19-100和出口入口点(eip)19-20之间，以保护epd免受来自互联网19-30的外部威胁。

lan区域19-zl10的拓扑类似于lan区域零19-zl00，不同之处在epd19-110和lan19-46之间没有防火墙。

互联网区域019-zi00描述了在接近19-zl00的区域中的示例互联网拓扑。互联网区一个19-zi10描述了一个在19-zl10附近的区域中的一个示例互联网拓扑。互联网区域19-zi20描述了一个在19-zd20附近的区域中的互联网拓扑。互联网区域19-zi30描述了一个在19-zd30附近的区域中的互联网拓扑。

互联网数据中心二区19-zd20描述了基于云的防火墙cfw19-46的拓扑和布局，包括云防火墙负载平衡器后面的虚拟化防火墙设备。互联网数据中心三区19-zd30描述了基于云的防火墙cfw19-48的拓扑和布局，包括云防火墙负载平衡器后的虚拟化防火墙设备。

区域或区域zd20中的srv_bbx19-72可通过暗光纤19-220通过暗光纤连接19-p220连接到另一区域或区域zd30中的srv_bbx19-80。srv_bbx19-72可以通过远程直接存储器访问(rdma)通过19-p220直接将文件写入并行文件存储pfs19-82，通过路径19-p82绕过srv_bb19-80的堆栈。srv_bbx19-80可以通过19-p220的远程直接存储器访问(rdma)直接将文件写入并行文件存储pfs19-74，通过路径19-p74绕过srv_bbx19-72的堆栈。

路径19-p210可以是ipv4或某种标准化的互联网协议，流量从srv_ap19-300通过隧道上的gvn的顶部通过路径19-p210从srv_ap19-310流向srv_ap19-310或者其他类型的通信路径。

虽然所示的拓扑结构在gvn路径中没有防火墙或流量监控设备，但是可以根据需要将这些设备放置在这里，以进一步确保数据流。

图13示出了全局虚拟网络的设备之间的信息流。一个由数据库b200和文件存储hfs200组成的中央存储库驻留在中央服务器(srv_cntrl)200上。

标记为p###的设备之间的通信路径可以表示为api调用、数据库复制、直接文件传输、通过api调用的数据库复制或其他形式的信息交换等组合。13-p100300,13-p300500和13-p100500的粗线表示gvn设备之间的直接通信，gvn设备之间具有对等配对，因此具有彼此的特权关系。

通过13-p200100从srv_cntrl200到epd100，经由13-p200300或者通过13-p200500的其他设备13-500示出了对等通信的圆形模式。epd100经由13-p100200与srv_cntrl200进行通信，srv_ap300经由13-p300200通过srv_cntrl200进行通信，其他设备13-500经由13-p500200与srv_cntrl200进行通信。

在一些情况下，存在设备之间共享的信息循环，例如在epd100可以通过经由13-p200100发送回epd100的13v-10000的srv_cntrl200请求信息的情况下。

在其他情况下，一个设备可以将与其他设备相关的信息(例如经由13-p300200的srv_ap200报告)报告给srv_cntrl200，然后srv_cntrl200经由13-p200100将该信息发送到除了通过13-p200300报告srv_ap之外的epd100和srv_ap300，还可以通过13-p200500到其他设备13-500。

在其他情况下，不需要完整循环，例如通过13-p100200从诸如epd100的设备发送日志信息到srv_cntrl200，不需要进一步向前转发该信息。但是，日后记录信息可能会在稍后时间从srv_cntrl200上的存储库移动到长期日志存储服务器13-500或通过13-p200500的其他设备。

直接链路13-p100300位于设备epd100和srv_ap300之间。直接链路13-p300500从srv_ap300到其他设备13-500。直接链接涉及不需要参与srv_cntrl200的设备之间的通信。

来自srv_cntrl200的srv_cntrl13-306的推送(馈送)可以是通过13-p306发布的rss馈送或其他类型的信息。对srv_cntrl13-302的api-查询调用srv_cntrl200可以是传统的api事务或可休息的(restful)api调用，并通过13-p302req进行请求，并通过13-p302resp接收响应。push13-306和api13-302元件来说明与不与gvn设备共享对等关系、特权状态和/或类似系统架构但可以从信息中受益的设备的通信。

图1说明了五种类型的防火墙设备操作。防火墙1-fwo演示了一个具有一些关闭显示的全开防火墙。路径1-dp0-2表示因为没有明确阻止而允许通过防火墙的流量流。路径1-dp0-4显示了由于被明确阻止而不能通过防火墙的流量。

防火墙1-fw2演示了一个带有一些开口显示的全封闭防火墙。路径1-dp2-4表示未明确允许通过规则的流量，因此被阻塞。路径1-dp2-2表示明确允许的流量，因此流量畅通无阻。

防火墙1-fw4演示了基于规则的防火墙，其中显示了两个规则。来自互联网1-d104的流量通过路径传入1-dp4到用于转发或其他处理的规则1-d4的表。如果进入的流量匹配一个规则，它将通过路径规则1-dp4a流向lan1-d104。如果它匹配另一个规则，它将通过路径规则1-dp4b流向lan1-d104中的另一个位置。

防火墙1-fw6演示防火墙操作，例如使用决策矩阵1-d6进行检测和保护，以检查流量是否可行，并且应该允许通过路径“是1-dp6y”到lan1-d106，或者如果检测到威胁并且流量被阻挡和/或黑洞(blackholed)或以其他方式通过路径“否1-dp6n”来处理。

防火墙1-fw8演示了具有规则组合的防火墙加上检测和保护操作1-d8。来自internet1-d108的流量可以通过lan1-d108的规则路径规则1-dp8a或规则1-dp8b匹配规则和流量，或者可以通过路径yes1-dp8y通过直接和保护过滤器来允许。如果不允许流量，将被阻塞或黑洞或以其他方式通过路径no1-dp8n来处理。

未示出的另一种类型的防火墙是防火墙1-fwo或防火墙1-fw2和防火墙1-fw8的组合。还有不同类型的检测和保护防火墙，如状态包检测(spi)，深度包检测(dpi)和其他类型的防火墙。

图2示出了通过防火墙的流量可能性。最后一公里pop2-022和lan2-114之间的连接路径是通过从pop到fw2-144的2-cp144和从lan2-114到fw2-144的2-cp114。可能被捕获的恶意、违规或已知的威胁流量可以通过路径2-tr6a到2-tr6b或通过路径2-tr4a到2-tr4b隔离在fw-隔离(quarantine)2-144q中的数据被发送到黑洞2-148。良好、无挑战或允许的交通路径可以通过2-tr2流动。外部攻击流量外部由2-atk-434和2-atk-432表示。

图3说明防火墙可以执行的两种检查：状态包检测和深度包检测。在防火墙位于一个物理设备中的情况下，存在对spi或dpi的选择，作为速度与全面性的权衡。spi防火墙3-sp中显示状态包检测(spi)，dpi防火墙3-dp中显示深度包检测(dpi)。

当执行spi时，防火墙会检查数据包的标题3-sp0-h，3-sp2-h和3-sp4-h，以识别有害信息，而忽略有效载荷3-sp0-p，3-sp2-p和3-sp4-p的数据包。spi比dpi的优势在于它的速度很快，它占用较低的处理器、ram和资源。缺点是防火墙不查看数据包的有效载荷内的内容。

dpi超过报头(headers)3-dp0-h、3-dp2-h、3-dp4-h、3-dp6-h及3-dp8-h，并检查内容，例如，有效载荷3-dp0-p，3-dp2-p，3-dp4-p，3-dp6-p和3-dp8-p。其优点在于，在不仅仅一个数据包的有效负载内，而且来自一系列多个数据包3-dp0,3-dp2,3-dp4-h,3-dp6以及3-dp8的编译有效载荷3-dp-all的内容中，这种检查是更全面的。dpi的缺点是它比spi慢得多，并且它比spi消耗更多的处理器、ram和其他资源。

图4示出了从数据包流生成组合的有效载荷。在该示例中，向dpi防火墙提供分组4-dp流。有效负载3-dp0-p6,3-dp2-p6,3-dp4-p6,3-dp6-p6和3-dp8-p被连接到组合有效载荷3-dp-all中，然后由dpi防火墙4-dp-al分析。

深度包检测通过检查一个或多个数据包的有效载荷来进行。它仔细观察有效载荷的内容，并且可以搜索：搜索字符串、已知的病毒签名或指示病毒的启发式签名、恶意软件模式、伪装成不同数据类型的畸形二进制点(blob)或其他已知或未知的威胁。

图5示出了从互联网002到lan114的广泛的网络攻击路径。该图示出了每个网段的相对管道大小或带宽。内部lanntsp08可能以10gige的速度运行。该网段包括isp的pop022和内部防火墙fw144之间的连接cp114。本地isp的网络ntsp04也可以是10gige。该网段包括互联网和isp的pop022之间的连接cp022。互联网骨干网ntsp02的速度通常会快得多，比如多源(multi-honed)3*100gige网络。

但是，isp的客户端防火墙fw144和pop022之间的“最后一公里”连接网络ntsp06通常会慢一些。例如，fw144和pop022之间的连接cp144可以是200mbps连接，而不是ntsp04或ntsp08的更快的10gee速度。因为这种连接具有较小的带宽，例如较慢，这种连接可以通过协调的基于互联网的攻击而容易地饱和。isp的pop022也可能饱和，不仅影响客户端的连接，还影响其他用户。

图6显示了由于在应用网络上发生的高流量攻击而对网络造成的负面反击效应。当路径cp144被攻击流量atk-432和atk-434过饱和时，这可能对网络路径cp142(连接到防火墙fw142和路径cp112到lan1120)和cp146(连接到防火墙)产生负面影响fw146和路径cp16至lan116)。这是由于cp142和cp146与cp144的紧密接近以及通过pop022的共享上行路径。

cp142和cp146的负面影响可能是由于cp144共享交换机端口拥塞以及其他因素。此外，cp022从网络到pop022的拥塞问题影响了isp的pop022和互联网002之间的所有流量。拥塞问题pop022还可能影响通过pop的流量流动并使isp带宽饱和，从而对其产生负面影响设备流量吞吐量。

虽然cp142和cp146可能不会被直接攻击，但仍然会受到通过pop022和路径cp022对cp144的攻击的不利影响。

图7示出了位于云端的多边界防火墙。在云端定位多边界防火墙具有在传统防火墙位置上游的一个点识别和隔离问题流量的优点。通过在云cfb7-144lb中部署多边界防火墙，在isp的骨干网7-ntsp02上识别和隔离问题流量。问题流量被转移，没有到达“最后一公里”连接网络7-ntsp06。这意味着缓慢的200mbps“最后一英里”连接网络7-ntsp06被隔离和保护，免受来自更快的3x100gige骨干网7-ntsp02上存在的多个并发攻击向量的大量流量的影响。

图8示出了位于云端的多边界防火墙的可扩展性，并演示了如何通过gvn启用云端的分布式防火墙(fw)功能。基于云的防火墙可以通过云防火墙负载平衡机制进行动态扩展，可根据需要在线提供更多资源。由于gvn拓扑的性质，设备到设备的通信和安全的流量路径，防火墙机制可以是基于云的，也可以被虚拟化。防火墙8-144位于互联网8-000和gvn8-028之间的云端。防火墙8-144可以包括云防火墙(cfw)负载平衡器8-144lb，它可以根据需要分配云防火墙资源，如8-144-2,8-144-3等。这种按需可扩展性为gvn的客户端提供了许多优点。

首先，通过吸收云端的入侵威胁的攻击命中，客户端的最后一公里连接不受影响。第二，将云防火墙与控制节点和分析器结合使得受攻击的区域中的防火墙能够了解攻击的性质、源、签名和其他功能，以便防火墙能够意识到并准备挫败如果目标转移到不同的客户端网络的攻击。此外，关于过去和当前攻击的信息可以通过gvn的中立api机制(napim)与其他cfw实例共享，这样全局威胁意识(awareness)是可能的。

最后，如下图12所示，云防火墙同时提供了运行不同防火墙机制(如spi和dpi)的优势。

图9示出了跨越互联网连接的顶部(ott)的gvn的顶部(ott)的多边界防火墙。该图显示了其他分层功能的顶层(ott)构建的分层功能。例如，全局虚拟网络(gvn)9-86的ott²9-top88的多边界防火墙(mpfwm)9-88。gvn9-86是基础互联网连接(baseinternetconnectivity)9-82的ott¹9-top86，在isp网络服务链接到互联网9-top82。

ott²是第二度的顶级意思，意味着某些东西超越了其他东西本身就是ott¹的东西。

图10是通过gvn从原点c10-002到目的地s10-502可用的各种路线的流程图。这里可以有更多可能的没有显示或论述的组合。

从客户端c10-002到epd10-108的路径10-cp00可用于测量从客户端到局域网到epd的性能。在测试和评估可用路径的实时数据之后，实现最佳路由的匹配。gvn入口通过第一跳10-cp00从epd10-108到接入点服务器(srv_ap)10-102,10-104,10-106,10-202,10-204。从epd10-108到第一个srv_ap的路径可以定义为从epd10-108到gvn的入口点，并相应地进行测量。从srv_ap到srv_ap的内部跳跃遵循始终尝试维持最佳路径连通性的内部路由。这些路由可以是ott互联网、骨干网、暗光纤或其他相关路由。gvn中的最佳出口指标也可以在本地、远程地区以及整个网络从始发地到目的地整个轨道。

可以考虑各种因素进行评估，每个细分可以运行测试，分段的组合以及从头到尾的总网络路径。流量类型和路径确定可以取决于数据属性和配置文件qos要求。主要路径选择总是基于路径上流量的最佳因素。这种机制的功能是匹配目的地和起点之间的路径，以便最佳的双向路由流动。

gvn内的高级智能路由(asr)的核心存储在磁盘、内存或数据库表中的索引上，索引包含一个要保留本地的ip地址列表，并通过同一地区的eip退出。对于通过gvn到其他区域的流量，通过srv_ap设备和路径的路由由服务器可用矩阵(sam)和asr确定。索引将匹配目标ip地址的目标列表存储在该区域中的最佳出口/入口点(eip)中。另外，作为cidrip块或其他类型的符号映射到区域的国家ip地址表可以帮助确定最佳出口点。

对于来自目的地s10-502、朝向起源地(origin)c10-002方向的流量，第一个eip10-320、10-322、10-334、10-326或10-328是gvn和互联网及其他网络(如lan)、主干网、或其他之间的初始边界。spi防火墙可以位于gvn后面的初始入口点，标明第一个外围。在下一个srv_ap或其他srv_ap(例如srv_ap10-102,10-104,10-204和10-206)，可以定位尾随的dpi防火墙的第二个周边。如果他们想要在第10-cp00段，客户端还可以在自己的网络中运行入站spi或dpi防火墙。

对于来自起源地c10-002、通过epd10-108、朝目的地(dest.)s10-502方向的流量，第一个spi/dpi防火墙可以沿着路径10-cp00位于起源地c10-002和epd10-108之间，第一个spi/dpi防火墙可以沿着路径10-cp00位于起源地c10-002和epd10-108之间。防火墙的第二个周边可以位于srv_ap(如10-102,10-104,10-204和10-106)上，用以保护出站流量。

对于来自互联网的流量，云的可扩展性是非常重要的，因为它可以通过扩展资源分配来处理分布式多通道流量的峰值负载。当活动相对平静时，可以提供最少的资源。资源的可扩展性对于互联网出站流量来说并不重要。在大多数情况下，lan网络将具有比网络上行链路更大的带宽。由于在网络管理员的控制下的lan/dmz/网络中的威胁的性质，可扩展性不太重要。

图18示出了基于云的防火墙负载平衡器连接的基于云的防火墙提供的可扩展性的防火墙的拓扑和相应布局。该图与图10相似，通过一系列通过gvn或其他类型的网络路径的路径，在业务流中额外安装各种spi和dpi基于云的防火墙。

状态包检测防火墙(spi)是流量流经的设备。深度包检测防火墙(dpi)设备可以被流经或分析克隆的流量副本，为dpi功能提供选项作为尾随指示器。如果检测到有害的流量，一旦识别出来就可以被阻止。设备之间通信的好处是，dpi防火墙识别的流量不良信息可能会被spi消息传递到spi防火墙。

图11示出了状态包检测(spi)防火墙和深度包检测(dpi)防火墙之间的通信。该图示出了从端点设备(epd)11-100到互联网11-002经由路径tun11-0到第一接入点服务器(srv_ap)11-302到路由器到云防火墙负载平衡器cfwlb)设备11-144lb，然后通过tun11-6到srv_ap11-304。从srv_ap11-304流量通过出口进入点(eip)11-e2将gvn流出到互联网11-002。

eip11-e2是扩展lan到gvn和互联网11-002之间云端的边缘。eip可以连接到开放式互联网或组织的基于云的资产，该资产包括服务器、存储阵列和其他设备。它也可以是一个混合的公共-私有云的链接，如云端的dmz或外围网络。

通过srv_ap11-302的流量可以将流量或克隆流量转移到重复流中，并通过路径tun11-2传递到云负载平衡器11-142lb。克服的流量流提供了时间和资源-诸如dpi等昂贵的检测操作的拖尾结果，而不会阻碍流量的流动。从互联网11-002返回到epd11-100的流量通过eip11-e2进入gvn的反向路径。

对于基于互联网的流量，第一个周边是cfw11-144lb，它通过路径11-cpspo和11-cpsp2将数据包发送到状态包检测防火墙fw(spi)11-spo-pro，其中包11-spo-h的报头被检查。spi防火墙提供快速流量通信，并且需要比dpi防火墙相对较低的资源。

第二个周边为cfw11-142lb，这是深度数据包检测防火墙fw(dpi)11-dpo-pro可以检查一个或多个组合数据包的有效载荷11-dpo-p的位置。dpi防火墙提供更深入的分析。如果有效载荷显示问题，则可以注意来自标题的源、目标和其他信息。

因此，spi防火墙和dpi防火墙之间的通信非常有用。fw(spi)11-spo-pro可以通过路径11-apfw-sp将实时检测的信息发送到云防火墙负载平衡器cfw11-142lb，以提醒其通过标题检测检测到的任何威胁。除了共享检测到的违规报头(headers)之外，当向cfw11-142lb和11-dpo-pro传送信息时，还将包括有效载荷11-spo-p。fw(dpi)11-dp0-pro可以通过路径11-apfw-dp向云防火墙负载平衡器cfw-11144lb发送信息，以提醒其通过有效载荷检测检测到的任何威胁。它共享的信息也可以来自报头11-dpo-h，以便11-144lb和/或11-spo-pro的spi防火墙检测操作可以将违规标题添加到其流量违例者列表中。

图12示出了由全局虚拟网络(gvn)启用的云端的多计数器防火墙(mpfw)。gvn隧道12-tuno在端点设备(epd)12-100和靠近epd12-100的接入点服务器(srv_ap)12-300之间的互联网的顶部(ott)上。

在该示例实施例中指示的三个周边是12-m1，其表示客户端位置与其到互联网的链接之间的边界，12-m2是在紧邻srv_ap12-300的数据中心的云端的边界，12-m3则是与srv_ap12-300相同数据中心的另一个边界，或者位于紧邻srv_ap12-302的另一个位置，该位置可能在另一个区域。

隧道12-tun2类似于12-tuno，但二者在一个方面是不同的，因为它连接可移动的个人端点设备(pepd)12-130，并因此通过公共接入无线或有线连接到srv_ap12-300或其他网络集成到gvn中。pepd12-130可能不如epd12-100那么强大，从而将处理操作转移到srv_ap，如图14所示。

每个srv_ap12-300和srv_ap12-302可以表示一个或多个srv_ap设备，epd12-100和/或epd12-130可以经由一个或多个隧道同时连接。

在该示例实施例中描述了三种类型的防火墙。本地防火墙fw本地12-442是防火墙的一个示例，客户端可以使用防火墙来保护其局域网(lan)免受基于互联网的威胁。这通常位于epd12-100和lan12-000之间。本地防火墙本地12-442可能提供ip地址和端口阻塞、转发等功能。其他两种类型的防火墙如图所示是位于12-m3处的fwspi12-446，其提供状态包检测(spi)，以及位于12-m2处的fwdpi12-444，其提供深度包检测(dpi)。

spi与dpi之间的差异与性能与可见性全面性的权衡有关。spi检查数据包的报头，以查找格式不正确的信息或模式，或者将ip地址或端口或其他已知威胁列表中的信息与当前的数据包流相匹配。dpi作为其名称意味着更深入地查看整个数据包，并且在多部分多数据包传输的情况下，将会查看一系列数据包的编译，以便深入了解正在传输的数据。

所有防火墙都可以配置为调查和应用规则到入站和出站流量，并提供其他相关功能。在许多情况下，使用诸如fw12-442等传统防火墙，管理员必须选择spi的效率与dpi的彻底性、资源和时间密集型要求。

gvn提供了在云端的各个点分发两种类型的数据包检测的机会。此外，gvn允许分布式防火墙彼此锁定操作，而不会阻碍流量的流动。

通过将fwspi12-446定位在12-m3，通过eip远程12-310与互联网12-302最接近的边缘，可以阻止来自已知源ip地址或识别的恶意头的大量攻击流量。交流从srv_ap12-302通过12-t10和12-t12返回到fwspi12-446。fwspi12-446可以是cfw负载平衡器(见图11)，其具有足够的可用资源。12-m3的srv_ap可以在具有大带宽(bw)容量的多源骨干网上。因此，在第一个周边，可以抓住攻击，保护gvn内的带宽。

在下一个周边12-m2，fwdpi12-444可以使所有业务流量通过或仅通过来自srv_ap12-300的12-t20接收克隆的业务副本，并且它可能会或不会通过12-t22返回业务。关键是dpi功能可以是拖尾指示器，允许某些流量通过但分析和记录结果。该fwdpi12-444也可以是cfw，根据需要负载平衡，可根据需要提供可用的资源，以便在需要时应对大规模事件，而无需个人客户端在正常时间内管理或承担维护基础设施的成本负担。

来自fwspi12-446和fwdpi12-444的信息可以通过内部通信路径12-p6共享，内部通信路径12-p6可以由gvn的napim通过gvn隧道、gvn反向信道或其他一个或多个通信通路运载。每个fw机制还与gvn的中央控制服务器(srv_cntrl)12-200共享信息。该信息可以中继到世界各地的其他fwspi和fwdpi，以便可以在数据库或其他信息索引中提供攻击向量、源、有效载荷和其他相关信息，以便spi和dpifw可以具有参考反对。由于全球信息分配提供了一个附加的安全网，这样可以提高规模效率。

在客户端lan和云端捕获违规流量可保护客户端的最后一英里互联网连接免受不必要的流量饱和。将流量卸载到可扩展的cfw也为客户带来许多优势。

fw本地12-442可以是独立设备、在epd12-100内部运行的软件应用(app)或其他类型的fw设备。fwspi12-446和fwdpi12-444设备和相关设备(例如负载平衡器，云防火墙或其他设备)可以定制或者可以由其他供应商提供架构。这些设备必须能够接收和转发流量，识别威胁，最重要的是能够传达其威胁结果，并从其他设备接收威胁配置文件和其他信息。

随着威胁数据的积累，可以对内容、模式、攻击向量和其他收集到的信息进行分析。该分析提供了一个将启发式分析应用于新的潜在威胁的基础。

这些只能通过由安全隧道和通信路径连接的相关设备组成的gvn或类似网络的安全网络优化(sno)服务来实现。

图14示出了支持个人端点设备的云端的多边界防火墙(mpfw)。该图与图12相似，但是显示了便携设备，其将从移动位置钩入gvn，并且14-m1边界是个人区域网络pan14-010与gvn之间的边缘。

该图显示了个人终端设备(pepd)14-130的拓扑，其中一些连接和其它功能分布在云端。该图进一步描述了分布到云端的防火墙操作以及代表本地设备(如个人端点设备(pepd)14-130)在云端执行的其他操作。在pedp14-130是比端点设备(epd)更低功能和更便携的设备的地方，它仍然可以利用由gvn提供的个人区域网络连接优化，包括高级智能路由(asr)、多边界防火墙等等。

说明的关键点在于个人设备将对于处理能力的需求扩展到云端。驻留在pepd上的模块包括用于处理器cpu106、存储器ram108和网络接口nic102的硬件组件。操作系统是用于为系统软件系统sw112和连接172模块提供平台的最小o/s110。该基本配置足以允许pepd14-130在其与接入点服务器srv_ap14-300之间构建隧道14-tun2。

srv_ap14-300硬件组件的组件部分用于处理器cpu306、存储器ram308和网络接口nic302。操作系统o/s310是比o/s110更为广泛的安装。o/s310为系统软件系统sw312提供平台，并为srv_ap14-300提供连接372模块。高级智能路由(asr)350模块和其他模块370向srv_ap14-300和连接的pepd-14-130提供功能。

pepd14-130可以依赖于隧道14-tun2，能够承载流量，实现基于云的asr、fw和其他操作功能。

图15示出了gvn中自动化设备和防火墙协作和信息交换所需的模块。

epd100是端点设备。srv_ap300是位于目标目的地区域中的接入点服务器。srv_cntrl200是可由epd和srv_ap以及可能支持图形目的地机制的其他设备访问的中央服务器。

每个设备epd100，srv_ap200和srv_cntrl300以列表、文件、数据库表和记录的形式以及其他方式将关于自身的信息存储在本地信息库中。该存储库还包含有关对等设备关系，存储日志以及其他相关操作信息的信息。srv_cntrl200还具有额外的存储功能，其作用是向与其相关的其他设备和/或与其连接的对等设备提供信息，以评估当前状况，并提供集中控制式指导，如发布的服务器可用性列表和其他功能。中立的api机制(napim)可以在设备和它们连接的对等体之间发送信息，也可以用于更新api本身。

srv_cntrl200上的数据库充当用于其自身以及其他设备的集中式存储库的信息库。在许多地方，可以有许多不同的srv_cntrl200服务器作为多主机。每个数据库可以存储包括隧道信息、对等信息、交通信息、缓存信息和其他信息的某些信息。安全性和其他方面由每个设备独立管理，包括心跳功能、触发脚本和其他机制。

该图另外分别示出了接入点服务器(srv_ap)300、中央控制服务器(srv_cntrl)200和终点设备(epd)100上的防火墙管理器d344、d244、d144。srv_ap300的fw管理器d344通过路径15-pa2与srv_cntrl200上的fw管理器d244进行通信。通过路径15-pa1向epd的100fw管理器d144提供信息，以从srv_cntrl200的fw管理器d244接收信息。

防火墙之间的命令和控制通信以及报告信息传输spi15-sp0-pro和dpi15-dp0-pro分别通过路径15-ba44和15-ba42。

在各种设备上的数据库b344、b244和d144中的fw信息的存储允许威胁是已知的，并且还可以考虑通过gvn的流量的路由决定。例如，在一个区域的主动攻击饱和骨干网的情况下，这可能对通过该路由的业务的加权具有不利影响，并且通过较不拥塞的路径的业务的影响来接收路由优先级。

图16示出了gvn中设备到设备的信息交换。流量通过路径16-cp144从局域网(lan)16-002到防火墙(fw)16-144设备，然后通过路径16-cp100从终端设备(epd)16-100传输。epd在互联网16-000至srv_ap16-302之间建立了隧道tun16-0(ott)。

包含有关epd16-100的信息的数据阵列16-144100通过路径16-apsp4和16-ap100共享给fw16-144。包含关于fw16-144的信息的数据阵列16-100144通过路径16-apsp4和16-ap144被共享给epd16-100。在此示例中，epd信息数组仅可通过lan端口使用，而不能通过打开的wan端口从外部获得。它可以通过tun16-0在gvn中的其他可信设备可用。

关键在于说明一种设备自动识别自身到相关设备的方法，包括其硬件规格、软件版本、当前操作状态和其他相关信息等信息。

图17示出了多边界防火墙与gvn中的其他系统的集成。信息战的行为总是发生。无论是民族国家、企业玩家、黑客还是其他角色，这些攻击是无情的，根据趋势，威胁正在增加。利用这里描述的拓扑，存在将由被动防火墙或其他这样的监控中间设备检测到的实时攻击的信息整合到由安全提供商公司或组织聚合和报告的互联网上的可能性。不论攻击的性质入侵、网络钓鱼攻击、企图窃取知识产权、ddos攻击或其他已知或未知的威胁，关键是要保护网络。

图17显示各种设备之间的请求/响应(req/resp)api循环。这些信息循环可以共享诸如cfw-dpi17-142lb或cfw-spi17-144lb之类的云防火墙学习关于流经srv_cntrl17-200的流量的信息。信息循环可以通过将信息从srv_cntrl17-200传递到云防火墙(如cfw-dpi17-142lb或cfw-spi17-144lb)来共享其他地区的攻击信息。此外，存储在srv_cntrl17-200上的数据库db17-b200中的信息还可以包含启发式模式、已知威胁的签名以及要共享的全球互联网监视源的信息。也可以通过路径17-gui-ajax，通过客户端17-018上的图形用户界面(gui)，从epd17-100上的托管实例获得可见性。

这种信息交换拓扑的灵活性还允许性能监控，用于基于云的可扩展使用防火墙资源的计费模块、系统管理和其他目的。

图20类似于图18，并且示出了用于向终端设备(epd)20-100和互联网20-002的信息流的设备的拓扑和连接性。

流量从互联网20-002到出口入口点(eip)20-e2，进入接入点服务器(srv_ap)20-304，然后通过隧道tun20-6到云防火墙负载平衡器cfw20-144lb。该负载平衡器在fw(spi)20-spo-pro上分配状态数据包检测(spi)防火墙资源。该spi防火墙检查流经它的数据包的标题20-spo-h信息。fw(spi)20-spo-pro检测到的威胁信息存储在本地数据库db20-bs中，并通过通信路径20-apsp4共享给中央控制服务器(srv_cntrl)200。该信息存储在srv_cntrl的数据库dbb200上。在其他spi防火墙上检测到的威胁信息通过通信路径20-apsp4从srv_cntrl200共享到fw(spi)20-spo-pro。

cfw20-144lb允许的流量通过tun20-4流向srv_ap20-302。在srv_20-302，流量有两个选择-它可以直接通过tun20-0流向epd，并将数据流的克隆副本通过tun20-2传输到云防火墙负载平衡器cfw20-142lb。或者可以将非克隆流程转移到云防火墙负载平衡器cfw20-142lb进行过滤和分析。

该云防火墙负载平衡器cfw20-142lb在fw(dpi)20-dpo-pro上分配深度数据包检测(dpi)防火墙资源。该dpi防火墙检查流经它的一个或多个组合数据包的有效载荷20-dpo-p信息。由fw(dspi)20-dpo-pro检测到的威胁信息存储在数据库db20-bd中，并且还经由通信路径20-apdp4共享到中央控制服务器(srv_cntrl)200。该信息存储在srv_cntrl的数据库dbb200上。关于在其他dpi防火墙上检测到的威胁的信息通过通信路径20-apdp4从srv_cntrl200共享到fw(dpi)20-dpo-pro。

如果允许，则网络流量然后通过tun20-0从srv_ap20-302流向epd20-100。

spi和dpi云防火墙负载平衡器可以了解系统性威胁、远程区域的威胁、以及通过与srv_cntrl200的通信获取各种其他信息，或者在某些情况下，它们可以通过直接路径(例如20-cpspdp)相互通信。

图21示出了基于图20的拓扑或类似的拓扑的多边界防火墙算法，其中存在用于各种类型的防火墙操作的多个周边。

dbfw威胁21-d122可以存储在每个设备上和/或传送到中央控制服务器(srv_cntrl)，以备将来访问和使用。spi操作在一个周边。dpi操作在相同的周边或另一个周边。spi和dpi防火墙可以相互通信威胁，并基于已知的威胁，可以采取适当的步骤。

在这个例子中，流量从21-000开始。如果检测到威胁，则会记录和分享威胁信息，并将违规的流量在21-944处进行黑洞(blackholed)处理。在21-900处，流量被视为干净的流量。

图22示出了诸如云防火墙cfw444和云防火墙负载平衡器设备cfwlb440等防火墙设备的软件体系结构的逻辑视图、以及相关设备的堆栈中央控制服务器(srv_cntrl)200、接入点服务器(srv_ap)300和端点设备(epd)100。如图所示，软件和硬件可以分布在网络设备内并跨越不同的电路板、处理器、网络接口卡、存储器和存储器。

设备的软件体系结构彼此非常相似，每个设备在其操作中的作用不同，还有一些不同的模块。

每个设备的最低级别是存储器(ram)s106，s206，s306，s406和处理器(cpu)s102，s202，s302，s402和网络接口(nic)s108，s208，s308，s408。所有这些都在硬件级别。操作系统(o/s)s110，s210，s310，s410可以是linux系统或诸如debian等的等效系统。操作系统的描述包括用于路由、托管、通信和其他系统级操作软件的数据包和配置。

中央控制服务器(srv_cntrl)200，接入点服务器(srv_ap)300和端点设备(epd)包括全局虚拟网络(gvn)操作系统的系统软件层s112，s212，s312。在这里操作为定制命令、系统模块、管理器和其他组成部分，以及gvn的其他组件。gvn的每种类型的设备可以具有系统软件层的这些部分中的一些或全部或者取决于它们的角色的不同部分。

数据库模块db120,220,320和托管模块122,222和322被配置在该示例实施例中，用于gvn的中性api机制(napim)、图形用户界面(gui)和其他服务器端脚本托管站点的监听、发送、处理、存储，检索和其他相关的基础级操作。数据库120,220.202(db)模块可以是mysql或等效的，例如mariadb和托管模块122,222和322可以是apache和php脚本或其他类型的托管语言。命令行脚本也可以用bash，c，php，pearl，python或其他语言编写。

计费模块可以协作和共享信息，例如由消费模型计费的隧道流量消耗的数据量。计费模块acc132232332在epd100上操作，并且srv_ap300具有对应的计费模块。两者都可以通提供财务信息给汇报屏幕、付款表格、电子邮件报表和其他由gvn产生的财务数据。

srv_cntrl200具有处理计费信息、隧道管理器信息和可由gvn内的各种设备使用的其他数据的存储库管理器238。存储库管理器238还通过gvn的中性api机制(napim)来处理对等体信息、凭证和连接到其他api对等体的各个设备的其它信息的协调。

epd100具有api模块130，srv_cntrl具有api模块230，并且srv_ap300具有api模块330。为了简化说明该示例实施例，仅每个设备已经表达了一个api模块。实际上，根据gvn中的功能，设备可能具有组合的客户端和服务器角色。

srv_cntrl200上的缓存管理器管理分布在gvn的许多设备上的各种链接缓存的主索引。epd100上的压缩引擎136和srv_ap300上的336管理对存储在文件、db表或流传输数据中的数据的压缩和解压缩。

epd100上的高级智能路由(asr)150模块通过gvn的路由处理从epd100到目的地的最佳出口点的路由。

srv_ap300上的远程读取机器人(remotefetcherbot)311是地理目的地机制(geo-d)的核心组成部分。

srv_cntrl200上的dns管理器254管理可以在各种gvn设备(例如epd100上的dns154)上确定(seed)dns服务器的主dns索引。

srv_cntrl200上的logger管理器通过api调用将设备共享的本地日志和日志管理到知识库(repository)。在该示例性实施例中的记录管理器增加了记录操作事件，api动作和事务的功能，并且记录器还具有用于gvn操作的各个方面的其他角色和过程。

epd100上的本地缓存152和srv_ap300上的本地缓存352在本地缓存数据。

gvn管理器272在srv_cntrl200上操作以控制在srv_cntrl200和gvn的其他设备上的系统的各种组件的操作。

在srv_ap300上的epd100和354上的本地dns服务器和缓存154允许缓存dns查找以用于快速、本地检索。可以完全刷新dns154和354，清除单个项目或设置为在一定时间段之后删除的检索查找的超时。

在epd100上是作为geo-d的组件的内容传送代理(cda)158。srv_ap300是内容提取代理(cpa)358，也是geo-d的组件。通过使用从远程地区设置(seeding)的dns354，cpa358与srv_300上的bot311一起从该远程地区提取内容。cpa358使用隧道、高速缓存和gvn的其他改进来将获取的内容发送到cda158。

epd100和srv_ap300上的连接管理器(未示出)管理在设备和其他设备到设备通信路径之间的隧道。srv_cntrl200的压缩管理器在本地管理压缩，并且还与srv_ap300上的epd100,336上的压缩引擎136以及gvn的其他设备进行协调。使用asr150，geo-d和其他元素对epd坐标进行路由，用以管理流量路由。

sdb100、sdb200和sdb300中的数据库表的结构对于设备操作是等效的，而每个数据表的数据表特定于设备类型，每个设备都具有身份特定的设备。在srv_cntrl200上，存储库数据库sdb202是存储所有设备的唯一信息的位置，并且存储库管理器238可以使用该信息来将api凭据、隧道信息或其他信息传送到设备。

存储在每个设备数据库中的是关于设备本身及其对等伙伴、事务列表和队列数据以及其他信息的身份和api对等体信息。所描述的方法和数据库除了描述之外还有其他用途，但是为了简化说明，本示例仅涵盖了一些核心功能元素示例。

云防火墙cfw444包括基本防火墙软件s414，以及通用规则dpi、spi、启发式扫描和其他功能s444。云防火墙负载平衡器设备cfwlb440包括防火墙平衡器软件s448，其可根据需要管理云端防火墙的流量和资源分配。

除了终点设备(epd)100之外，还可以使用接入点服务器(srv_ap)300和中央控制服务器(srv_cntrl)200的第三方设备，只要它们具有能够通信加配置的凭证和其他信息以促进与其他设备的通信。在每个设备下面是可能在该设备的堆栈内运行的一些可能的组件，然而一些其他组件可以同时运行，这里没有描述。这些组件可以包括epd100下的fw连接(connectivity)s148，srv_ap300下的fw连接s348以及srv_cntrl200下的fw管理器s244。连接和管理器模块用于与cfw444和cfwlb440进行交互。管理器模块进行正在进行的fw分析并与全系统和地理位置不同的cfw和cfwlb设备通信有关已知的威胁。

防火墙负载平衡器cfwlb440到防火墙cfw444的通信可以通过fw每个设备上的连接模块s434。这些连接模块可以处理数据流通道以及数据流的信息流、所检测的威胁和其他信息。

设备到设备的通信可以通过apis130在epd100上通过apis330上的中立api机制(参见国际专利申请pct/ib16/00110)，在srv_ap300上通过apis330，在srv_cntrl200上通过apis230和cfw_lb440通过apis430。

图23示出了经由中央控制服务器(srv_cntrl)23-200从防火墙(fw)到全局虚拟网络(gvn)中的各种设备的信息流。它还包括存储在本地设备中的信息相对于数据库(db)表中的防火墙信息的性质，例如db23-110上的23-4100，db23-300上的23-4300，23-2300上的23-4200，210以及在fw设备23-140上的23-4140中的日志。

信息通过api请求23-p140req/23-p140resp或等效的设备到设备信息共享从fw设备23-140报告给srv_cntrl23-200。也可以通过路径23-p102,23-p302,23-p502或其他设备的其他路径从单个设备上向srv_cntrl报告。

srv_cntrl23-200可以通过路径23-p100,23-p300,23-p500或其他直接路径向设备广播和/或发布fw相关信息。fw信息还可以通过来自设备23-260的请求/响应路径23-p260req和23-p260resp的api呼叫提供。

标志可以指示诸如“在该设备上检测到”，“在另一设备上检测到”等信息的来源，以及诸如“基于lan的攻击到外部”，“基于wan的攻击”，“来自野外的攻击“等等。

存储的信息还可以包括签名、通过启发式分析已知和预测的结构、ip地址、病毒和/或恶意软件的代码模式和/或其他有害载荷、有问题的流量的行为特征、传播模式等。

srv_cntrl23-200还可以利用算法分析信息，并根据威胁寿命、第一次和最后一次检测的时间、规模和攻击范围等来评估严重性，并确定历史和任何趋势。此分析考虑到主动威胁、过去的威胁、威胁之间的关系(例如，网络钓鱼攻击如何导致打开网络到其他攻击的妥协)、互联网/网络当前的条件来分配威胁级别和其他指标来衡量攻击的强度。在相对安静的时间，fw可能更容许，导致更快的操作。在相对活跃的时期，fw可能更具限制性和分析性，导致潜在的较慢的吞吐和操作。

srv_cntrl23-200将fw信息保留在存储库存储库中，用于编目威胁类型、报告历史记录和包括威胁信息更新发布的记录设备交互。

图24是描述用于分析流过防火墙、防火墙负载平衡器和/或通过防火墙阵列的流量的算法的流程图。对于流经的流量，第一步是评估是否存在当前正在发现的主动威胁24-100。这受到当前威胁状态24-140的影响，该状态是防火墙活动的滚动指标。

如果没有检测到威胁并且当前的威胁状态正常，则fw规则应用于流量24-220，允许通过24-300。它仍然处于被动威胁模式24-524，然后在下一个启动fw周期24-000重新启动。

如果检测到威胁，则通过路径24-p200流量流动，并且通过路径24-p210检查威胁图案24-210的列表。如果被认可，则是黑洞或隔离。违规流量记录在24-240。一旦当前威胁在24-534处理，防火墙将设置为主动威胁模式24-554，然后返回到开始fw周期24-000。

如果威胁不被识别，则在在24-250处使用启发式威胁检测进行检查。如果没有检测到威胁，则通过24-p314进行跟踪，以在24-314处处理为假阳性。模式升级到主动威胁模式24-554，下一个周期从24-000开始。

图25示出了处理和处理威胁的系统堆栈中的各个层。内存最低级别为内存25-102、25-202、25-302，以及cpu25-106、cpu25-206、cpu25-306。该系统是从最底层构建的。

设备的增量锁定是基于威胁的性质以及堆栈的深度。例如，安全应用(secure-app)25-140,25-240和25-340安全层保护该层以上的应用模块。这些管理某些模块的操作，但不必要影响深层逻辑。安全系统(secure-sys)25-124,25-224和25-324保护系统软件层，用于数据库操作，dns，日志记录，缓存，托管和其他功能。安全操作系统(secure-o/s)25-114,25-214和25-314保护操作系统免受威胁。安全硬件(secure-hw)25-104,25-204和25-304保护硬件系统的物理层免受威胁，包括驱动程序文件，闪存指令集和其他系统。

锁定层的层数越低，系统的功能越少。

图26示出了在从hfs文件存储26-010检索系统文件26-110的引导过程中自动解密加密卷的方法。在引导启动过程26-100中的一个时刻，从hfs文件存储26-010检索密钥文件26-210。此密钥26-a由加密卷解锁模块26-200使用。加密卷解锁后，可以使用26-300。

将密钥存储到hfs文件存储卷26-010上的加密卷有一个明显的缺点。因为这是黑客入侵系统，使用未加密的密钥来解锁安全卷。另一个威胁是那些采取物理驱动，并试图解密卷以窃取有价值的客户端数据和/或逆向工程系统访问存储在加密卷中的软件。

图27示出了如何基于特定于该设备的多个因素来为设备一致地计算唯一用户标识(uuid)。硬件(hw)uuid27-100(如cpu序列号，cpu型号，网络接口卡(nic)的mac地址等)通常对每个设备都是唯一的。硬件(hw)dmi编码27-200可以使用dmi值烧录，如序列号，版本号或其他dmi数据。也可以使用硬盘驱动器(hdd)或固态驱动器(ssd)27-300的唯一卷id。还可以使用某些o/s的uuid27-500，这是构建系统所独有的。uuid和密钥作为存储在本地数据库27-600中的身份表中的值也可以用作设备的身份的一部分。

在应用程序级别，可以使用密钥文件、证书和其他标识符27-800形式的uuid来为设备本身生成特定的uuid。。

可以计算、使用和验证各种设备uuid，以确保设备的整体操作的真实性。各种因素的组合在难以接近设备的情况下难以接近不可能的欺骗。

图28示出了安全引导机构的模块。端点设备(epd)28-100与安全引导服务器(srv_sb)28-500联系，并通过安全引导服务器拒绝的api-2a1-2a5呈现虚假数据包。然后，srv_sb使用一系列挑战向epd查询。成功通过一系列测试后，epd上的安全引导管理器28-150允许通过srv_sb上的安全引导侦听器28-552构建安全隧道tun28-100500。将设备证书28-138呈现给srv_sb，以由安全启动管理器(securebootmanager)28-550对存储在数据库28-b500或hfs存储28-h500中的值进行验证。

通过所有的测试，是密钥和凭证管理器28-536发布的epd28-100上的加密卷的密钥，并通过tun28-100500安全地将该密钥传送到epd28-100。通过服务器可用性机制28-222，可通过api查询向中央控制服务器(srv_cntrl)28-200提供可用的srv_sb服务器列表。

图29示出了后通道机构的细节。端点设备(epd)29-100接收可通过api调用api-29a1-29a2与中央控制服务器(srvcntrl)29-200连接的后向通道服务器(srv_bc)的列表。服务器可用性29-220列表提供了epd可以连接的当前可用的srv_bc。该图显示了通过tun29-100500至srv_bc029-500的三个并发连接，通过tun29-100502至srv_bc229-502，以及通过tun29-100506至srv_bc629-506。

一旦安全性被bc安全性29-540,29-542和29-546清除，epd29-100上的后通道客户端29-510通过后向通道管理器29-510,29-512和29-516进行同时连接。这些设备还可以通过api调用，例如通过api-29a1-29a2或srv_bc0通过api-29a2-29a50通过api-29a1-29a2或srvbtr到srv_cntrl的api调用。

有关在epd和srv_bc之间建立隧道的对等体对、凭证、认证、密钥和其他信息的信息可以通过这些api调用传递给srv_cntrl。此外，具有健康关系的已知对等体之间的状态消息可以通过api直接发送，例如通过api-29a1-29a52从epd29-100到srv_bc229-502。

这个例子是一个epd同时连接到许多srv_bc。主动隧道的目标是使得能够始终向命令行界面(cli)登录到epd的路径，而不管epd是否在开放的互联网和/或网络上被发现。

图30示出了许多端点设备(epd)30-100,30-102和30-106与后向通道服务器(srv_bc0)30-500之间的连接。当epd启动连接到srv_bc030-500上的登录空间时，登录的实例是epd30-100的系统安全隔离实例30-510，epd30-102的30-512，和30-516分别为epd30-106。每个孤立的实例都像一个系统监视器，其中登录的用户只能被限制为限制其动作、权利、权限以及其他方式在主机系统上的能力的有限命令。

所以从epd到srv_bc030-500，除了保持两者之间的连接之外，还有很少的事可以做。但是，另一方面，客户端30-000可以登录到srv_bc0，且在具有某些权限的情况下，可以有权访问一个或多个孤立的实例。从那里可以将隧道上的ssh反向登录到epd30-100上的远程命令行界面cli30-110或epd30-102上的cli30-112或epd30-106上的cli30-116。这允许客户端30-000在其登录权限范围内执行管理任务、远程执行、运行测试和进行其他操作。客户端可以是人或自动设备。

后渠道的优点是在epd不可达时提供接入。由于隧道tun30-100500、30-102500和30-106500的性质，它们对丢包、抖动和其他因素的容忍度远高于其他形式的隧道和/或通信路径。因此，在网络不稳定的情况下，后台通道可以访问诊断和补救问题，否则这些问题将难以解决。

图31示出了使用对于每一行唯一的旋转和计算的密钥将加密数据写入数据库的一行中的选定字段。

此流程图需要连接到数据库，创建一行并获取相应的自动增量整数row_id值。然后利用加密过程，随后使用一系列密钥、密钥调节器、行内的字段和其他因素来处理要加密的值。用于加密数据行的相同因子可用于解密。

上表中的每个水平行都有两个加密字段[enc_a]和[enc_b]。每个字段的关键是基于多个因素，基于一些开放字段[用户_id]，[密钥_adj]和[创建时间]，以及其他因素，如基本系统密钥，根据以下计算：

密钥待计算＝用户id+基础key+密钥adjustor+时间创建+其他因素

即使相同的用户id在完全相同的第二个时间为enc_a和enc_b输入相同的值，则值将不同，因为行id#的自动递增整数值(例如，在行号658、661、663处，[用户_id]＝l)是关键计算的一部分。上面示例中的[密钥_adj]或键调节器字段是两位数的alpha值，但可以是存储在该行中的其他数据。他们的关键点是，如果数据库的sql被盗，从计算和时间的角度来说，破解是昂贵的。若破解这些值，整个代码库、sql和环境都必须被窃取并被复制。

图32示出了从单个行中使用键、键调节器和使用框架来计算键的其他因素的数据解密。

图33示出当客户端33-000从端点设备(epd)33-100请求的图形用户界面(gui)内容和请求内容被存储在锁定的卷33-114内时，会发生什么。404错误处理程序33-144抛出并捕获未找到的404错误。在33-120处，产生到简化的内容的跳转。该内容存储在锁定卷外部，该锁定卷可以是存储在开放hfs文件存储33-220中的文件或来自开放db33-210的数据库内容或两者的组合。

如果安全卷被锁定，则只有安全卷之外的内容才可用。然而，如果安全卷被解锁，则安全内容33-120可以被使用，该安全内容33-120可以来自于安全db33-210或是存储在安全hfs文件存储33-220中的文件或两者的组合。

所提供内容中的javascript脚本也可以轮询epd33-100以检查安全卷的状态。如果它被锁定并已被解锁，则可以跳转到安全的内容。相反，如果卷被解锁并突然被锁定，则内容可以恢复到安全卷之外的内容。

本公开不受本文描述的具体实施例的限制。实际上，除了本文所描述的那些之外，本公开的其他各种实施例和修改对于本领域普通技术人员来说将从前述描述和附图中变得显而易见。因此，这样的其他实施例和修改旨在落入本公开的范围内。此外，尽管本文已经在至少一个特定实施方式的至少一个特定实施方案的上下文中针对至少一个特定目的描述了本公开，但是本领域普通技术人员将认识到其可用性不限于此，并且本公开可以在任何数量的环境中有益地实现用于任何数量的目的。因此，下面阐述的权利要求应当考虑到本文所述的本公开的全部宽度和精神来解释。