专利名称:基于云的防火墙系统及服务的制作方法
技术领域:
本发明一般涉及基于云的防火墙系统及服务,特别是包括在边缘计算或者其它分布式计算系统上实现的这样的系统和服务。
背景技术:
在本领域中,分布式计算机系统是已知的。一个这样的分布式计算机系统是由服务供应商操作和管理的“内容分发网络”或者“CDN”。服务供应商通常代表第三方提供服务。这类“分布式系统”通常涉及由一个网络或者多个网络连接的自主计算机的集合,其与软件、系统、协议和技术一起被设计为便于多种服务,例如内容分发或者对外包网站架构的支持。通常,“内容分发”意指代表内容供应商的内容、流媒体和应用的存储、缓存或传输,包括与其一起使用的辅助技术,没有限制地包括DNS请求处理、供给、数据监控和上报、内容设定、个性化和商业智能。通常,术语“外包网站架构”意指使实体能够全部或者部分地代表第三方操作和/或管理第三方的网站架构的分布式系统和相关的技术。在例如图I中示出的已知系统中,分布式计算机系统100被配置为⑶N,并且被假定为具有分布在因特网周围的ー组机器102。通常,大多数机器是位于因特网边缘附近,SP,在最終用户接入网络处或者附近的服务器。网络运营控制中心(N0CC)104管理系统中的各种机器的操作。第三方网站例如网站106将内容的分发(例如,HTML、嵌入式页面对象、流媒体、软件下载等)卸载到分布式计算机系统100,特别是卸载到在机器102上运行的内容服务器(也被称为“边缘服务器”)。通常,内容供应商通过将(例如,通过DNS CNAME)给定的内容供应商域或者子域化名为由服务供应商的官方域名服务管理的域来卸载其内容分发,更多的细节在美国专利号7,293,093和7,693,959中被阐述,这些专利的公开通过引用被并入本文。操作需要内容的客户端机器122的最終用户被引导到分布式计算机系统100,并且更具体地到其机器102中的ー个,以更可靠地和有效地获得该内容。分布式计算机系统还可以包括其他的架构,例如,分布式数据收集系统108,其从边缘服务器收集用法和其它数据,在ー个区域或者ー组区域中聚集数据,并且将数据传送到其它的后端系统110、112、114和116以便于监控、记录、警告、记账、管理以及其它操作和管理功能。分布式网络代理118监控网络以及服务器负载,井向DNS查询处理机构115提供网络、业务和负载数据,该DNS查询处理机构对于被⑶N管理的内容域是有权威的。分布式 数据传输机构可以被用于将控制信息(例如,元数据,以管理内容、便于负载平衡等)分配到 边缘服务器。更多的关于控制信息在CDN中的分布可以在美国专利号7,240,100中找到,该专利的公开特此通过引用被全部并入。如图2中所示的,给定的机器200包括商品硬件202 (例如,英特尔奔腾或者其它的处理器),其运行支持一个或者多个应用206a-n的操作系统内核(例如Linux或者变体)204。例如,为了便于内容分发服务,给定的机器通常运行ー组应用,例如HTTP代理207(有时被称为“全局主机”或者“克隆备份(ghost)”进程)、名称服务器、局部监控进程210、分布式数据收集进程212等。对于流媒体,机器通常包括ー个或者多个媒体服务器,例如Windows媒体服务器(WMS)或者Flash服务器,如被支持的媒体格式所需要的。客户端机器122包括常规个人计算机、笔记本电脑、其它的数字数据处理设备。客户端机器还包括移动客户端,其可以包括被称为智能电话或者个人数字助理(PDA)的各种移动设备中的任ー个。CDN边缘服务器被配置为优选地在域特定、客户特定的基础上优选地使用配置文件提供一个或者多个扩展的内容分发特征,所述配置文件使用配置系统被分配给边缘服务器。给定的配置文件优选地是基于XML的,并且包括便于ー个或者多个高级内容处理特征的ー组内容处理规则和指令。配置文件可以通过数据传输机构被分发到CDN边缘服务器。·美国专利号7,111,057 (其公开通过引用被并入本文)阐述了用于分发和管理边缘服务器内容控制信息例如用于控制文件清除请求的有用架构。CDN可以包括例如在美国专利号7,472,178中描述的存储子系统(NetStorage),该专利的公开通过引用被并入本文。CDN可以操作服务器缓存层次(缓存-H)以提供客户内容的中间缓存;一个这样的缓存层次子系统在美国专利号7,376,716中被描述,该专利的公开通过引用被并入本文。对于流媒体分发,⑶N可以包括例如在美国专利号7,296,082中描述的分发子系统,该专利的公开通过引用被并入本文。CDN能够以在美国公布号2004/0093419和/或美国专利号7,363,361中描述的方式在客户端浏览器、边缘服务器和客户源服务器中提供安全的内容分发,这两个专利的公开通过引用被并入本文。如在其中描述的安全的内容分发加强一方面在客户端和边缘服务器进程之间且另一方面在边缘服务器进程和源服务器进程之间的基于SSL的链路。这使SSL保护的网页和/或其组成部分能够通过边缘服务器被分发。概述在此公开的是基于云的防火墙系统和服务,其保护客户源网站免受攻击、机密信息的泄漏和其它安全威胁。这样的防火墙系统和服务可以结合具有多个分布式内容服务器的内容分发网络(⑶N)来实现。例如,在本发明的ー个例证性的实施方式中,提供了在由代表參与内容供应商的内容分发网络服务供应商(CDNSP)操作的CDN中的内容分发的方法。参与内容提供商识别将通过CDN被分发的内容。该内容分发方法包括从第一參与内容供应商接收第一防火墙设置,第一防火墙设置规定防火墙如何关于对通过CDN分发由第一參与内容供应商识别的内容的请求来操作。其它可能不同的防火墙设置从第二參与内容供应商接收,该不同的防火墙设置规定防火墙如何关于对通过CDN分发由第二參与内容供应商识别的内容的请求来操作。所述设置以元数据配置文件或者其它形式被发送到CDN中的不同的内容服务器。在那些内容服务器中的一个处,接收对通过⑶N分发由參与内容供应商识别的内容的第一请求。内容服务器使用配置有ー个或者多个第一防火墙设置的防火墙来评估第一请求。对通过CDN分发由第二參与内容供应商识别的内容的第二请求被接收。该第二请求使用配置有ー个或者多个第二防火墙设置的防火墙来被评估。在相关的实施方式中,在如上所述的方法中,使用配置有ー个或者多个第一防火墙设置的防火墙评估第一请求包括针对ー个或者多个标准来测试第一请求。第二请求的评估可以被相似地进行。如果满足标准,则可以采取动作,例如拒绝请求、生成警告、更改请求、停止处理请求和记录请求。防火墙设置可以包括IP地址,对该IP地址,特定的行动被采取,例如,来自特定的 IP地址的业务可以被阻挡,或者来自那些地址的业务可以被允许而所有的其它的业务被阻挡。因此,防火墙可以在应用层(对于HTTP请求等)、网络层、和/或其它层应用安全。在本发明的另ー个例证性的实施方式中,提供了在CDN中内容分发的方法,其包括从參与内容供应商接收第一防火墙配置和第二防火墙配置(例如,姆ー个配置都具有一个或者多个防火墙设置)。參与内容供应商还规定阐述第一防火墙配置是否将被用于评估内容请求的使用标准,以及阐述第二防火墙配置是否将被用于评估内容请求的使用标准。使用标准可以考虑特征,例如请求中的域名、请求中的子域、请求的URL、所请求的内容类型、所请求的内容的文件名、所请求的内容的文件扩展名。继续前面的例子,这些设置和使用标准被发送到⑶N中的内容服务器。在内容服务器中的ー个处,接收对參与内容供应商的内容的请求。基于请求和第一防火墙使用配置标准,该内容服务器确定第一防火墙配置是否将被使用,并且如果将被使用,则使用配置有第一防火墙配置的防火墙来评估该请求。基于请求和第二防火墙使用配置标准,该内容服务器确定第二防火墙配置是否将被使用,并且如果将被使用,则使用配置有第二防火墙配置的防火墙来评估该请求。贯穿本公开阐述了另外的特点和特征。附图简述从结合附图理解的下面的详细描述中,本发明将被更完全地理解,其中图I是本发明可以被实现的内容分发网络的方框图;图2是⑶N中的内容服务器的简化方框图;图3是根据本发明的一个实施方式的分布式基于云的防火墙系统的图示;图4是示出了根据本发明的一个实施方式的防火墙的配置的流程图;图5是用于选择应用层设置以配置防火墙的用户界面的例子;图6是用于选择网络层设置以配置防火墙的用户界面的例子;图7是用于指定识别特定的防火墙配置将应用于的那些数字特性和/或文件的匹配标准的用户界面的例子。图8是配置防火墙的代码的例子;图9是示出了根据本发明的一个实施方式的所配置的防火墙的操作的流程图;以及
图10是计算机系统的简化方框图,使用该系统,本发明可以被实现。详细描述以下的详细描述阐述了提供对在此公开的方法和系统的结构、功能以及使用的原理的全面理解的实施方式。在此描述的以及在附图中示出的方法和系统是非限制的例子;本发明的范围仅由权利要求限定。关于示例性实施方式描述或者示出的特征可以与其它的实施方式的特征结合。这样的修改和变化g在包括在本发明的范围内。在此引用的所有的专利、出版物和參考资料通过引用被全部明确地并入本文。在此公开的方法和系统可以在分布式计算机系统例如在图1-2中示出的内容分发网络(“⑶N”)中实现,并且将关于这种⑶N而被描述。然而,它们并不局限于这样的实现。除了别的以外,在此描述的分布式和共享的网络架构可以被用于从多个网站分发内容。图3示出根据本发明的一个实施方式的分布式基于云的防火墙系统300和服务。如上面关于图1-2所讨论的,内容服务器302被分布在作为CDN的一部分的因特网周围。在这个系统300中,每ー个内容服务器302包括和/或被耦合到防火墙302a。防火墙302a检查并过滤业务,并且配置成基于规定的安全标准来阻挡业务或者使业务通过。防火墙302a可以在应用层、网络层、或者在其它的计算机联网层操作。防火墙302a可以在硬件、软件或者其组合中实现。
需要来自源服务器306的内容的客户端机器322被引导到内容服务器302中的一个。请求(例如,HTTP或者HTTPS请求)在网络边缘由防火墙302a检查,防火墙302a被配置为针对攻击、信息的泄漏、或者其它的类型的安全风险来检查业务。穿过防火墙302a的请求被正常处理,所请求的内容从内容服务器302的高速缓冲存储器被提供,或者从源服务器306由内容服务器302取回用于分发到客户端机器322,或者以另外方式被处理。被识别为攻击或者其它安全威胁的请求(例如那些来自攻击者机器324的请求)触发防火墙302来采取某些行动,例如,阻挡该请求、记录其以用于警告、或者其它行动。因此,威胁通过更靠近源的系统300并且在到达源服务器306之前被识别并阻挡或者以另外方式被处理,从源服务器306卸载负载。在服务器302位于网络“边缘”的情况下,防火墙302a在网络边缘处理那些威胁。应当注意到,除了在内容服务器302上被部署的防火墙系统之外,源服务器306还可以使用其自己的集中式防火墙、入侵探測/保护系统或者其它的安全系统。尽管⑶N供应商可以配置防火墙302a (例如,具有默认设置或者另外的设置),系统300允许与源服务器306相关的内容供应商作为CDN的客户来配置将应用于对内容提供商的内容的请求的防火墙设置。由于在整个CDN中在多个克隆备份进程中实现防火墙模块,在图3中所示的解决方案是提供用于Web应用保护的高度可升级的外部防御圈的“分布式防火檣”。通过在此描述的元数据配置技木,该解决方案是高度可配置的。通过网络和应用层控制的实现,该模块帮助阻止威胁和发掘技术,例如SQL注入、跨站脚本(XSS)和其它的HTTP攻击。通过在分布式网络例如CDN中实现在此描述的主题,CDN服务供应商提供防火墙管理的服务。该服务提供用于除了别的以外还阻挡云中的Web应用攻击的可升级的边缘防御系统。该防火墙服务为CDN客户提供容易地和经济地保护他们的Web应用的唯一方法。在没有硬件要管理或者維持的情况下,CDN客户通过CDN服务供应商的客户(外联网)门户来管理他们自己的安全标准设置。另外,该防火墙服务帮助实现支付卡行业(PCI)数据安全标准的顺应性。该架构在多个CDN客户中共享,但是每ー个客户可以供给并管理其自己的防火墙以防止攻击。根据前述的概述,其中的主题现在将被更详细地描述。I. O基于云的防火墙
基于云的防火墙(CF)是ー种对内容分发网络客户的安全模块。该CF模块应用请求的基于规则的评估来扫描可疑的行为,例如,协议违反、HTTP规则违反、请求限制违反、机器人、木马后门、一般攻击(例如,跨站脚本、各种注入攻击等),外发内容泄漏(服务器横幅)以及几个其它的类别。与支付卡行业数据安全标准(PCI-DSS)的顺应性要求应用防火墙由处理支付卡交易的企业使用,以监控和保护源架构免受目前存在的许多现有web界面的攻击。CF模块可结合PCI模块来使用以帮助客户满足这些PCI顺应性要求。CF解决方案针对通过CDN服务器路由的请求保护源服务器;保护该源的另外的方式也可以被利用。在美国专利号7,260,639中描述了ー个这样的解决方案,该专利的公开通过引用被并入本文。 优选地,云防火墙基于ー组核心标准(例如,从Breach Security Labs可得到的规则集,例如ModSecurity vl. 6)。ModSecurity将一组广泛的匹配标准应用于HTTP请求以识别可以被分类为攻击、信息的泄漏或者其它类型的安全威胁的行为。核心规则集定义对Apache web服务器的安全规则以及配置參数。在高水平上,安全规则是与数据相关的表达式。该表达式通常是操作符、变量和转换的组合,这产生布尔值。表达式还可以是在其它表达式之间的逻辑或或者与,或者另ー个表达式的否定。每ー个规则的数据由标识符(或者“id”)、标签、消息、告知请求是否应该被否定的标记、严重级别等组成。如上所述,防火墙优选地使用规则集,例如由Breach Security所支持的开放源ModSecurity核心规则集,其定义了常见并且有害类型的攻击和发掘技术,例如,SQL注入、跨站脚本(XSS)和其它开放式Web应用程序安全项目(OWASP)前10种攻击。其它的规则集可以被利用。这些核心规则(或者其子集)被转换为元数据功能性解决方案,控制元数据以在美国专利号7,240,100中描述的方式被分发到CDN服务器并在CDN服务器处被应用,该专利的公开通过引用被并入本文。特别是,元数据优选地通过面向客户的外部门户来被供给(例如,通过基于Web的用户界面),并且在元数据配置文件中被提供给内容服务器。因为配置文件可能需要频繁地变化(以处理攻击情況),优选地,CF相关的元数据配置使用专用和快速通信信道而分发到CDN内容服务器进程。对可用于这个目的的有用的通信架构,见美国专利号7,149,807 (该专利的公开通过引用被并入本文)。在一些实施方式中,遍及分布式系统的配置文件的部署可以在短时间段内完成,有利地实现对攻击的响应。当防火墙在特定的内容服务器上被激活吋,CF元数据配置文件应为查找作好准备。如下面关于图8描述的,几个标签和特征在元数据结构中被提供,使得CDN内容服务器进程(克隆备份)可以支持规则集处理。2. O配置概述图4示出了配置过程。在步骤400中,(为以前配置的防火墙)创建或者选择防火墙实例。在步骤402中,应用层设置被配置。防火墙的过滤功能通过建立定义攻击或者其它类型的安全威胁的标准来控制,防火墙使用该标准来检查业务。(在可选的实施方式中,标准可以被实现以定义安全的或者“信任的”业务,例如,来自特定的源或者具有特定签名的业务。为了描述的方便,在下文中,术语“安全标准”被用于总起来说指前述类型的标准)。可以通过选择/启用来自规则集的预定的规则或者可选地直接通过明确地创造布尔表达式或者其它逻辑来选择安全标准。图5示出了用于选择预定规则的用户界面,预定规则将应用于被标识为“测试-测试”的防火墙实例。该用户界面还允许行动的选择,当检测到业务满足安全标准吋,防火墙采取所述动作。在步骤404中,配置对网络层的设置。这样的设置可以包括要阻挡的IP地址(黑名単)或者其它的安全标准的指定。设置还可以包括例如准许访问而没有进ー步的检查的主机/网络的IP地址 所组成的白名单或者基于在对内容的请求中接收的信息的其它规则的指定。图6示出了通过单独地输入IP地址或者以CIDR (无类别域间路由)表示法来配置网络层设置的用户界面。防火墙的特定配置可以被用于评估对内容的ー些请求,而不是其它。在步骤406中,定义配置的用法。这可以通过指定指示配置将应用的标准来完成,该标准也被称为匹配目标。例如,在图5和6中示出的设置可以仅被应用于对来自选定的域或者子域的内容的请求,或者可以仅被应用于对某些类型的内容(例如,具有特定的文件扩展名或者具有其它的特征的那些内容)的请求。图7示出了用于规定这样的标准的用户界面。配置防火墙的过程还可以包括定义对传输层(例如,防火墙可以被配置为与使用UDP或者其它协议的业务不同地使用TCP来处理业务)或者其它网络层的标准。尽管通常防火墙配置将统一地在内容服务器中对给定的客户应用,在可选的实施方式中,在不同的内容服务器上操作的防火墙对于给定的客户可以被不同地配置。在步骤408中,防火墙的配置被部署到⑶N中的内容服务器(例如,通过在业务信道上部署元数据配置文件,如上所述)。2. I配置文件在优选的实施方式中,CF模块涉及两个配置文件(I) CF规则配置文件,其管理应用和网络规则以及实时上报配置(在此称为“CF元数据配置文件”或者“CF规则配置文件”)。(2)标准替代资源定位器(ARL)配置文件,其管理网站的设置(在此称为“主配置文件”)。可选的实施方式可以不使用双配置文件或者根本不使用配置文件。2. 2 CF规则配置文件优选地,对CF订约的⑶N客户仅有ー个CF配置文件。通过防火墙实例和匹配目标的使用,単独的CF策略可使用这单个文件应用于不同的数字产权和URL。这确实提供了ー些额外的灵活性,其可以允许不同的防火墙策略应用于在同一数字产权上的不同的URL,并且也允许相同的防火墙策略应用于其它的产权。CF规则配置优选地包括几个组成部分防火墙实例——应用于匹配目标的设置。应用层控制配置网络层控制配置实时上报配置(RTR)匹配目标——用于确定防火墙实例是否需要被应用的标准。匹配目标要应用的防火墙实例应用应用层控制应用网络层控制2.3防火墙实例防火墙实例表示当特定的实例基于匹配目标标准而被调用时将被应用于请求的所启用的控制的分组。在一个实现中,匹配目标可以仅调用ー个防火墙实例。匹配目标可以被处理,使得底部匹配获胜并且适当的防火墙实例被使用。匹配目标还可以按照等级被处理,使得应用于域的匹配目标(和相关的防火墙配置)被应用于子域的匹配目标所胜过,该匹配目标被应用于特定内容类型的匹配目标所胜过,等等。应用层控制定义对每一个请求检查的安全标准和如果攻击被识别出则采取的行动。可能的行动是警告(不拒绝该请求,仅产生警告并继续处理HTTP请求)以及拒绝(拒绝该请求,导致HTTP 403响应、警告的生成、以及停止处理HTTP请求)。对于攻击的分类,应用层控制例如基于ModSecurity或者其它的规则集被分组到较高级别的组中。在姆ー个分类中,优选地存在几个特定的探测标准。客户可以选择来仅应用他们选择的特定的规则,并配置每ー个规则以警告、拒绝或者采取其它行动。网络层控制定义例如将被应用于网站的IP限制。来自特定IP地址的请求可以被阻挡和/或允许,或者严格的黑名単/白名单可被应用。多个IP地址可以使用CIDR表示法来被指定。通过CDN服务的数字产权,实时上报定义URL,边缘服务器进程(克隆备份)将基于被触发的规则将数据发布到该URL。CDN可以包括基于服务器电子邮件的日志分发服务(LDS),其向⑶N客户报告数据。⑶NLDS可以包括选项以添加对W3C和组合格式的字段的选项。为了向CDN客户提供更多的实时信息,实时上报被用于向客户快速地发送CF特定的数据。因为数据作为POST被发送,客户可以创建POST处理应用以用适合于他们的需要的任何方式作出反应,例如立即生成警告或者仅仅ー个警告——如果在Y分钟内生成了 X个警
生ロ ο注意到防火墙实例的激活/去激活以及该实例内的规则处理的启用/禁用之间的差别是有益的。激活/去激活应该偶尔出现——仅当防火墙实例被首次创建或者删除吋。激活/去激活控制包括/移除对例如在较大的元数据配置文件(其可以包括对内容服务器克隆备份进程的其它控制信息)内的CF数据文件的參考的过程。优选地,它涉及修改/部署克隆备份元数据文件(其包括其它这样的控制信息)。另ー方面,在激活的防火墙实例内的规则处理的启用/禁用是由包含在配置文件内的状态元数据标签所控制的。修改/部署配置文件被规定为是比修改/部署克隆备份元数据文件更快的过程,优选地使用专用于此目的的通信信道(从门户到内容服务器)。以这种方式,规则处理的启用/禁用可以更频繁地出现(如果需要的话)。禁用使规则被忽略,直到被重新激活为止(规则仍然在内容服务器上,但是在重新启用之前不被执行)。防火墙配置的快速分发由此优选地使用专用的元数据通道来传送每客户配置文件,其对于所有的客户防火墙实例參考选定的核心规则集规则和IP阻挡规则。2.4匹配目标匹配目标表示指示防火墙标准应该被应用的特定标准。如果URL与匹配目标匹配,指定的防火墙实例以及应用层控制和/或网络层控制将被应用,如对匹配目标所选择的。匹配目标需要⑶N客户数字产权(例如,客户域、子域或者类似物)以及至少ー个其它标准的URI匹配标准路径、默认文件和文件扩展名。一旦所有匹配标准被评估,运行CF的内容服务器进程(克隆备份)就将知道防火墙实例是否将被应用以及该实例内的控制是否将被应用。2. 5主配置文件用于数字产权的主元数据配置文件具有在CF规则配置文件将被使用之前通过可选特征选项启用的CF模块,而不管匹配目标。CF规则配置“被插入”到动态地使用标签例如〈akamai : insert〉标签的主配置文件中。当CF可选特征被启用时,〈akamai: insert〉标签被插入到具有适当的标签的客户网站元数据的起始部分中(參见美国专利号7,240,100),以识别CF规则配置文件。作为安全要求,当CF模块被启用时,克隆备份到克隆备份(G2G)认证被启用。2.6元数据结构
图8示出了当某些标准被满足时给激活防火墙的两个示例性的规则编码的元数据。几个标签和特征被包括在元数据结构中,使得CDN内容服务器进程(例如,克隆备份)可以支持规则集处理。在图8的例子中,两个行动都在<match:regex>内,但是任何匹配或匹配的组合实际上可以被使用。标签〈akamai : fw-rules>被用于将防火墙规则集合到一起。可以使用以下术语
防火墙元数据包含在〈akamai:firewall-config>内的元数据的任何阻挡 防火墙标准多个匹配中的一个和行动的组合。规则必须属于防火墙元数据。
防火墙行动当规则被触发时定义做什么的元数据。2. 6. I元数据控制使用以下元数据控制标签来控制CF特征。在本实施方式中,在遇到任何防火墙元数据之前,CF特征被设置在元数据文件的开始部分中。
权利要求
1.一种在由代表多个參与内容供应商的内容分发网络服务供应商(CDNSP)操作的内容分发网络(CD N )中的内容分发的方法,其中所述多个參与内容供应商识别待通过所述CDN分发的内容,所述方法包括 从第一參与内容供应商接收ー个或者多个第一防火墙设置,所述ー个或者多个第一防火墙设置规定防火墙如何关于对通过所述CDN分发由所述第一參与内容供应商识别的内容的请求来操作; 从第二參与内容供应商接收ー个或者多个第二防火墙设置,所述ー个或者多个第二防火墙设置规定防火墙如何关于对通过所述CDN分发由所述第二參与内容供应商识别的内容的请求来操作; 将所述ー个或者多个第一防火墙设置和所述ー个或者多个第二防火墙设置传递到所述CDN中的多个内容服务器; 在所述CDN中的所述多个内容服务器中的ー个处,接收对通过所述CDN分发由所述參与内容供应商识别的内容的第一请求,并且使用配置有所述ー个或者多个第一防火墙设置的防火墙评估所述第一请求; 在所述CDN中的所述多个内容服务器中的ー个处,接收对通过所述CDN分发由所述第ニ參与内容供应商识别的内容的第二请求,并且使用配置有所述ー个或者多个第二防火墙设置的防火墙评估所述第二请求。
2.如权利要求I所述的方法,其中,由所述ー个或者多个第一防火墙设置规定的防火墙配置不同于由所述ー个或者多个第二防火墙设置规定的防火墙配置。
3.如权利要求I所述的方法,其中,使用配置有所述ー个或者多个第一防火墙设置的防火墙评估所述第一请求包括针对ー个或者多个标准来测试所述第一请求,并且如果该一个或者多个标准被满足,则采取关于所述第一请求的行动。
4.如权利要求3所述的方法,其中,所采取的行动是保护行动。
5.如权利要求3所述的方法,其中,使用配置有所述ー个或者多个第二防火墙设置的防火墙评估所述第二请求包括针对ー个或者多个标准来测试所述第二请求,并且如果该一个或者多个标准被满足,则采取关于所述第二请求的行动。
6.如权利要求I所述的方法,其中,所述ー个或者多个第一防火墙设置和所述ー个或者多个第二防火墙设置中的任一个规定以下项中的至少ー个(i )被针对来测试内容请求的一个或者多个标准,以及(ii)将采取的关于满足一个或者多个标准的内容请求的行动。
7.如权利要求I所述的方法,其中,所述ー个或者多个第一防火墙设置和所述ー个或者多个第二防火墙设置中的任一个规定被针对来测试内容请求的一个或者多个标准,该ー个或者多个标准定义试图识别安全威胁的规则。
8.如权利要求I所述的方法,其中,所述ー个或者多个第一防火墙设置和所述ー个或者多个第二防火墙设置中的任一个规定如果请求满足ー个或者多个标准则将采取的关于该请求的行动,所述行动选自一组行动,该组行动是拒绝所述请求、产生警告、修改所述请求、停止处理所述请求以及记录所述请求。
9.如权利要求I所述的方法,其中,所述ー个或者多个第一防火墙设置和所述第二防火墙设置中的任一个规定ー个或者多个IP地址,来自所述IP地址的业务服从于给定的行动。
10.如权利要求9所述的方法,其中所述ー个或者多个第一防火墙设置和所述第二防火墙设置中的任一个规定ー个或者多个IP地址,来自所述IP地址的业务被阻挡。
11.如权利要求I所述的方法,其中,所述第一请求和所述第二请求中的至少ー个是应用层请求。
12.如权利要求11所述的方法,其中,所述第一请求和所述第二请求中的至少ー个是HTTP请求。
13.如权利要求I所述的方法,其中,所述ー个或者多个第一防火墙设置和所述ー个或者多个第二防火墙设置以元数据配置文件被传递到所述多个内容服务器。
14.ー种由代表多个參与内容供应商的内容分发网络服务供应商(CDNSP)操作的内容分发网络(CDN),其中,所述多个參与内容供应商识别待通过所述CDN分发的内容,所述CDN包括具有处理器和存储指令的存储器的ー个或者多个内容服务器,所述指令在被所述处理器执行时使所述ー个或者多个内容服务器执行下面的步骤 接收ー个或者多个第一防火墙设置,所述ー个或者多个第一防火墙设置规定防火墙如何关于对通过所述CDN分发由第一參与内容供应商所识别的内容的请求来操作; 接收ー个或者多个第二防火墙设置,所述ー个或者多个第二防火墙设置规定防火墙如何关于对通过所述CDN分发由第二參与内容供应商所识别的内容的请求来操作; 在所述CDN中的所述多个内容服务器中的ー个处,接收对通过所述CDN分发由所述參与内容供应商识别的内容的第一请求,并且使用设置有所述ー个或者多个第一防火墙设置的防火墙评估所述第一请求; 在所述CDN中的所述多个内容服务器中的ー个处,接收对通过所述CDN分发由所述第ニ參与内容供应商识别的内容的第二请求,并且使用配置有所述ー个或者多个第二防火墙设置的防火墙评估所述第二请求。
15.如权利要求14所述的方法,其中,由所述ー个或者多个第一防火墙设置规定的防火墙配置不同于由所述ー个或者多个第二防火墙设置规定的防火墙配置。
16.如权利要求14所述的方法,其中,使用配置有所述ー个或者多个第一防火墙设置的防火墙评估所述第一请求包括针对ー个或者多个标准来测试所述第一请求,并且如果该ー个或者多个标准被满足,则采取关于所述第一请求的行动。
17.如权利要求16所述的方法,其中,所采取的行动是保护行动。
18.如权利要求16所述的方法,其中,使用配置有所述ー个或者多个第二防火墙设置的防火墙评估所述第二请求包括针对ー个或者多个标准来测试所述第二请求,并且如果该ー个或者多个标准被满足,则采取关于所述第二请求的行动。
19.如权利要求14所述的方法,其中,所述ー个或者多个第一防火墙设置和所述ー个或者多个第二防火墙设置中的任一个规定以下项中的至少ー个(i)被针对来测试内容请求的一个或者多个标准,以及(ii)将采取的关于满足一个或者多个标准的内容请求的行动。
20.如权利要求14所述的方法,其中,所述ー个或者多个第一防火墙设置和所述ー个或者多个第二防火墙设置中的任一个规定被针对来测试内容请求的一个或者多个标准,该一个或者多个标准定义试图识别安全威胁的规则。
21.如权利要求14所述的方法,其中,所述ー个或者多个第一防火墙设置和所述ー个或者多个第二防火墙设置中的任一个规定如果请求满足ー个或者多个标准则将采取的关于该请求的行动,所述行动选自ー组行动,该组行动是拒绝所述请求、产生警告、修改所述请求、停止处理所述请求以及记录所述请求。
22.如权利要求14所述的方法,其中,所述ー个或者多个第一防火墙设置和所述第二防火墙设置中的任一个规定ー个或者多个IP地址,来自所述IP地址的业务服从于给定的行动。
23.如权利要求22所述的方法,其中所述ー个或者多个第一防火墙设置和所述第二防火墙设置中的任一个规定ー个或者多个IP地址,来自所述IP地址的业务被阻挡。
24.如权利要求14所述的方法,其中,所述第一请求和所述第二请求中的至少ー个是应用层请求。
25.如权利要求24所述的方法,其中,所述第一请求和所述第二请求中的至少ー个是HTTP请求。
26.如权利要求14所述的方法,其中,所述ー个或者多个第一防火墙设置和所述ー个或者多个第二防火墙设置中的任一个通过用户门户被发送到所述多个内容服务器。
27.一种在由代表多个參与内容供应商的内容分发网络服务供应商(CDNSP)操作的内容分发网络(CDN)中的内容分发的方法,其中所述多个參与内容供应商识别通过所述CDN被分发的内容,所述方法包括 从參与内容供应商接收ー个或者多个第一防火墙设置,所述ー个或者多个第一防火墙设置表示第一防火墙配置; 从所述參与内容供应商接收指示所述第一防火墙配置是否将被用于评估内容请求的一个或者多个标准(“第一防火墙配置使用标准”); 从所述參与内容供应商接收ー个或者多个第二防火墙设置,所述ー个或者多个第二防火墙设置表示第二防火墙配置; 从所述參与内容供应商接收指示所述第二防火墙配置是否将被用于评估内容请求的一个或者多个标准(“第二防火墙配置使用标准”); 将所述ー个或者多个第一防火墙设置和所述ー个或者多个第二防火墙设置传递到所述CDN中的多个内容服务器; 在所述CDN中的所述多个内容服务器中的一个处,接收对所述參与内容供应商的内容的请求; 基于所述请求和所述第一防火墙使用配置标准,确定所述第一防火墙配置是否将被使用,并且如果所述第一防火墙配置将被使用,使用配置有所述第一防火墙配置的防火墙来评估所述请求; 基于所述请求和所述第二防火墙使用配置标准,确定所述第二防火墙配置是否将被使用,并且如果所述第二防火墙配置将被使用,使用配置有所述第二防火墙配置的防火墙来评估所述请求。
28.如权利要求27所述的方法,其中,所述第一防火墙配置使用标准和所述第二防火墙配置使用标准中的至少ー个包括请求中的域名、请求中的子域、请求的URL、所请求的内容类型、所请求的内容的文件名、所请求的内容的文件扩展名。
29.如权利要求27所述的方法,其中,所述第一防火墙配置使用标准不同于所述第二防火墙配置使用标准。
30.权利要求27所述的方法,其中,使用配置有所述第一防火墙配置的防火墙评估所述请求包括针对ー个或者多个标准来测试所述请求,并且如果该ー个或者多个标准被满足则采取关于所述请求的行动。
31.如权利要求30所述的方法,其中,所采取的行动是保护行动。
32.如权利要求30所述的方法,其中,使用配置有所述第二防火墙配置的防火墙评估所述请求包括针对ー个或者多个标准来测试所述请求,并且如果该ー个或者多个标准被满足则采取关于所述请求的行动。
33.如权利要求27所述的方法,其中,所述ー个或者多个第一防火墙设置和所述ー个或者多个第二防火墙设置中的任一个规定以下项中的至少ー个(i)被针对来测试内容请求的一个或者多个标准,以及(ii)将采取的关于满足一个或者多个标准的内容请求的行动。
34.如权利要求27所述的方法,其中,所述ー个或者多个第一防火墙设置和所述ー个或者多个第二防火墙设置中的任一个规定如果请求满足ー个或者多个标准则将采取的关于该请求的行动,所述行动选自ー组行动,该组行动是拒绝所述请求、产生警告、修改所述请求、停止处理所述请求以及记录所述请求。
35.如权利要求27所述的方法,其中,所述ー个或者多个第一防火墙设置和所述第二防火墙设置中的任一个规定ー个或者多个IP地址,来自所述IP地址的业务服从于给定的行动。
36.如权利要求35所述的方法,其中所述ー个或者多个第一防火墙设置和所述第二防火墙设置中的任一个规定ー个或者多个IP地址,来自所述IP地址的业务被阻挡。
37.如权利要求27所述的方法,其中,所述请求是应用层请求。
38.如权利要求27所述的方法,其中,所述ー个或者多个第一防火墙设置和所述ー个或者多个第二防火墙设置以元数据配置文件被传递到所述多个内容服务器。
39.如权利要求27所述的方法,还包括将所述第一防火墙配置使用标准和所述第二防火墙配置使用标准传递到所述CDN中的多个内容服务器。
40.ー种由代表多个參与内容供应商的内容分发网络服务供应商(CDNSP)操作的内容分发网络(CDN),其中,所述多个參与内容供应商识别待通过所述CDN分发的内容,所述CDN包括具有处理器和存储指令的存储器的ー个或者多个内容服务器,所述指令在被所述处理器执行时使所述ー个或者多个内容服务器执行下面的步骤 接收ー个或者多个第一防火墙设置,所述ー个或者多个第一防火墙设置规定防火墙如何关于对通过所述CDN分发由第一參与内容供应商所识别的内容的请求来操作,所述ー个或者多个第一防火墙设置表示第一防火墙配置; 从所述參与内容供应商接收指示所述第一防火墙配置是否将被用于评估内容请求的一个或者多个标准(“第一防火墙配置使用标准”); 接收ー个或者多个第二防火墙设置,所述ー个或者多个第二防火墙设置规定防火墙如何关于对通过所述CDN分发由第二參与内容供应商所识别的内容的请求来操作,所述ー个或者多个第二防火墙设置表示第二防火墙配置; 从所述參与内容供应商接收指示所述第二防火墙配置是否将被用于评估内容请求的一个或者多个标准(“第二防火墙配置使用标准”); 在所述CDN中的所述多个内容服务器中的ー个处,接收对所述參与内容供应商的内容的请求; 基于所述请求和所述第一防火墙使用配置标准,确定所述第一防火墙配置是否将被使用,并且如果所述第一防火墙配置将被使用,则使用配置有所述第一防火墙配置的防火墙来评估所述请求; 基于所述请求和所述第二防火墙使用配置标准,确定所述第二防火墙配置是否将被使用,并且如果所述第二防火墙配置将被使用,则使用配置有所述第二防火墙配置的防火墙来评估所述请求。
41.如权利要求40所述的方法,其中,所述第一防火墙配置使用标准和所述第二防火墙配置使用标准中的至少ー个包括请求中的域名、请求中的子域、请求的URL、所请求的内容类型、所请求的内容的文件名、所请求的内容的文件扩展名。
42.如权利要求40所述的方法,其中,所述第一防火墙配置使用标准不同于所述第二防火墙配置使用标准。
43.如权利要求40所述的方法,其中,使用配置有所述第一防火墙配置的防火墙评估所述请求包括针对ー个或者多个标准来测试所述请求,并且如果该ー个或者多个标准被满足则采取关于所述请求的行动。
44.如权利要求43所述的方法,其中,所采取的行动是保护行动。
45.如权利要求43所述的方法,其中,使用配置有所述第二防火墙配置的防火墙评估所述请求包括针对ー个或者多个标准来测试所述请求,并且如果该ー个或者多个标准被满足则采取关于所述请求的行动。
46.如权利要求40所述的方法,其中,所述ー个或者多个第一防火墙设置和所述ー个或者多个第二防火墙设置中的任一个规定以下项中的至少ー个(i)被针对来测试内容请求的一个或者多个标准,以及(ii)将采取的关于满足一个或者多个标准的内容请求的行动。
47.如权利要求40所述的方法,其中,所述ー个或者多个第一防火墙设置和所述ー个或者多个第二防火墙设置中的任一个规定如果请求满足ー个或者多个标准则将采取的关于该请求的行动,所述行动选自ー组行动,该组行动是拒绝所述请求、产生警告、修改所述请求、停止处理所述请求以及记录所述请求。
48.如权利要求40所述的方法,其中,所述ー个或者多个第一防火墙设置和所述第二防火墙设置中的任一个规定ー个或者多个IP地址,来自所述IP地址的业务服从于给定的行动。
49.如权利要求48所述的方法,其中所述ー个或者多个第一防火墙设置和所述第二防火墙设置中的任一个规定ー个或者多个IP地址,来自所述IP地址的业务被阻挡。
50.如权利要求40所述的方法,其中,所述请求是应用层请求。
51.如权利要求40所述的方法,其中,所述ー个或者多个第一防火墙设置和所述ー个或者多个第二防火墙设置中的任一个通过用户门户被发送到所述多个内容服务器。
全文摘要
提供用于保护客户网站免受攻击、机密信息的泄漏和其它安全威胁的基于云的防火墙系统和服务。在各种实施方式中,这样的防火墙系统和服务可以结合具有多个分布式内容服务器的内容发布网络(CDN)来实现。CDN服务器接收对通过CDN分发由客户识别的内容的请求。CDN服务器包括检查那些请求并对照安全威胁来采取行动的防火墙,以便阻止它们到达客户网站。CDN供应商将防火墙系统实现为被管理的防火墙服务,对给定的用户内容的防火墙的操作由该客户限定,而与其他客户无关,来。在一些实施方式中,客户可以定义对通过所述CDN分发的所识别的客户内容的不同类别的不同的防火墙配置。
文档编号H04L29/08GK102687480SQ201080055156
公开日2012年9月19日 申请日期2010年12月13日 优先权日2009年12月12日
发明者托马斯·德瓦诺, 普拉桑纳·拉加特, 约翰·萨默斯, 约翰·迪利 申请人:阿卡麦科技公司