專利名稱:基于云的防火墻系統(tǒng)及服務(wù)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明一般涉及基于云的防火墻系統(tǒng)及服務(wù),特別是包括在邊緣計(jì)算或者其它分布式計(jì)算系統(tǒng)上實(shí)現(xiàn)的這樣的系統(tǒng)和服務(wù)。
背景技術(shù):
在本領(lǐng)域中,分布式計(jì)算機(jī)系統(tǒng)是已知的。一個這樣的分布式計(jì)算機(jī)系統(tǒng)是由服務(wù)供應(yīng)商操作和管理的“內(nèi)容分發(fā)網(wǎng)絡(luò)”或者“CDN”。服務(wù)供應(yīng)商通常代表第三方提供服務(wù)。這類“分布式系統(tǒng)”通常涉及由一個網(wǎng)絡(luò)或者多個網(wǎng)絡(luò)連接的自主計(jì)算機(jī)的集合,其與軟件、系統(tǒng)、協(xié)議和技術(shù)一起被設(shè)計(jì)為便于多種服務(wù),例如內(nèi)容分發(fā)或者對外包網(wǎng)站架構(gòu)的支持。通常,“內(nèi)容分發(fā)”意指代表內(nèi)容供應(yīng)商的內(nèi)容、流媒體和應(yīng)用的存儲、緩存或傳輸,包括與其一起使用的輔助技術(shù),沒有限制地包括DNS請求處理、供給、數(shù)據(jù)監(jiān)控和上報、內(nèi)容設(shè)定、個性化和商業(yè)智能。通常,術(shù)語“外包網(wǎng)站架構(gòu)”意指使實(shí)體能夠全部或者部分地代表第三方操作和/或管理第三方的網(wǎng)站架構(gòu)的分布式系統(tǒng)和相關(guān)的技術(shù)。在例如圖I中示出的已知系統(tǒng)中,分布式計(jì)算機(jī)系統(tǒng)100被配置為⑶N,并且被假定為具有分布在因特網(wǎng)周圍的ー組機(jī)器102。通常,大多數(shù)機(jī)器是位于因特網(wǎng)邊緣附近,SP,在最終用戶接入網(wǎng)絡(luò)處或者附近的服務(wù)器。網(wǎng)絡(luò)運(yùn)營控制中心(N0CC)104管理系統(tǒng)中的各種機(jī)器的操作。第三方網(wǎng)站例如網(wǎng)站106將內(nèi)容的分發(fā)(例如,HTML、嵌入式頁面對象、流媒體、軟件下載等)卸載到分布式計(jì)算機(jī)系統(tǒng)100,特別是卸載到在機(jī)器102上運(yùn)行的內(nèi)容服務(wù)器(也被稱為“邊緣服務(wù)器”)。通常,內(nèi)容供應(yīng)商通過將(例如,通過DNS CNAME)給定的內(nèi)容供應(yīng)商域或者子域化名為由服務(wù)供應(yīng)商的官方域名服務(wù)管理的域來卸載其內(nèi)容分發(fā),更多的細(xì)節(jié)在美國專利號7,293,093和7,693,959中被闡述,這些專利的公開通過引用被并入本文。操作需要內(nèi)容的客戶端機(jī)器122的最終用戶被引導(dǎo)到分布式計(jì)算機(jī)系統(tǒng)100,并且更具體地到其機(jī)器102中的ー個,以更可靠地和有效地獲得該內(nèi)容。分布式計(jì)算機(jī)系統(tǒng)還可以包括其他的架構(gòu),例如,分布式數(shù)據(jù)收集系統(tǒng)108,其從邊緣服務(wù)器收集用法和其它數(shù)據(jù),在ー個區(qū)域或者ー組區(qū)域中聚集數(shù)據(jù),并且將數(shù)據(jù)傳送到其它的后端系統(tǒng)110、112、114和116以便于監(jiān)控、記錄、警告、記賬、管理以及其它操作和管理功能。分布式網(wǎng)絡(luò)代理118監(jiān)控網(wǎng)絡(luò)以及服務(wù)器負(fù)載,井向DNS查詢處理機(jī)構(gòu)115提供網(wǎng)絡(luò)、業(yè)務(wù)和負(fù)載數(shù)據(jù),該DNS查詢處理機(jī)構(gòu)對于被⑶N管理的內(nèi)容域是有權(quán)威的。分布式 數(shù)據(jù)傳輸機(jī)構(gòu)可以被用于將控制信息(例如,元數(shù)據(jù),以管理內(nèi)容、便于負(fù)載平衡等)分配到 邊緣服務(wù)器。更多的關(guān)于控制信息在CDN中的分布可以在美國專利號7,240,100中找到,該專利的公開特此通過引用被全部并入。如圖2中所示的,給定的機(jī)器200包括商品硬件202 (例如,英特爾奔騰或者其它的處理器),其運(yùn)行支持一個或者多個應(yīng)用206a-n的操作系統(tǒng)內(nèi)核(例如Linux或者變體)204。例如,為了便于內(nèi)容分發(fā)服務(wù),給定的機(jī)器通常運(yùn)行ー組應(yīng)用,例如HTTP代理207(有時被稱為“全局主機(jī)”或者“克隆備份(ghost)”進(jìn)程)、名稱服務(wù)器、局部監(jiān)控進(jìn)程210、分布式數(shù)據(jù)收集進(jìn)程212等。對于流媒體,機(jī)器通常包括ー個或者多個媒體服務(wù)器,例如Windows媒體服務(wù)器(WMS)或者Flash服務(wù)器,如被支持的媒體格式所需要的??蛻舳藱C(jī)器122包括常規(guī)個人計(jì)算機(jī)、筆記本電腦、其它的數(shù)字?jǐn)?shù)據(jù)處理設(shè)備。客戶端機(jī)器還包括移動客戶端,其可以包括被稱為智能電話或者個人數(shù)字助理(PDA)的各種移動設(shè)備中的任ー個。CDN邊緣服務(wù)器被配置為優(yōu)選地在域特定、客戶特定的基礎(chǔ)上優(yōu)選地使用配置文件提供一個或者多個擴(kuò)展的內(nèi)容分發(fā)特征,所述配置文件使用配置系統(tǒng)被分配給邊緣服務(wù)器。給定的配置文件優(yōu)選地是基于XML的,并且包括便于ー個或者多個高級內(nèi)容處理特征的ー組內(nèi)容處理規(guī)則和指令。配置文件可以通過數(shù)據(jù)傳輸機(jī)構(gòu)被分發(fā)到CDN邊緣服務(wù)器?!っ绹鴮@?,111,057 (其公開通過引用被并入本文)闡述了用于分發(fā)和管理邊緣服務(wù)器內(nèi)容控制信息例如用于控制文件清除請求的有用架構(gòu)。CDN可以包括例如在美國專利號7,472,178中描述的存儲子系統(tǒng)(NetStorage),該專利的公開通過引用被并入本文。CDN可以操作服務(wù)器緩存層次(緩存-H)以提供客戶內(nèi)容的中間緩存;一個這樣的緩存層次子系統(tǒng)在美國專利號7,376,716中被描述,該專利的公開通過引用被并入本文。對于流媒體分發(fā),⑶N可以包括例如在美國專利號7,296,082中描述的分發(fā)子系統(tǒng),該專利的公開通過引用被并入本文。CDN能夠以在美國公布號2004/0093419和/或美國專利號7,363,361中描述的方式在客戶端瀏覽器、邊緣服務(wù)器和客戶源服務(wù)器中提供安全的內(nèi)容分發(fā),這兩個專利的公開通過引用被并入本文。如在其中描述的安全的內(nèi)容分發(fā)加強(qiáng)一方面在客戶端和邊緣服務(wù)器進(jìn)程之間且另一方面在邊緣服務(wù)器進(jìn)程和源服務(wù)器進(jìn)程之間的基于SSL的鏈路。這使SSL保護(hù)的網(wǎng)頁和/或其組成部分能夠通過邊緣服務(wù)器被分發(fā)。概述在此公開的是基于云的防火墻系統(tǒng)和服務(wù),其保護(hù)客戶源網(wǎng)站免受攻擊、機(jī)密信息的泄漏和其它安全威脅。這樣的防火墻系統(tǒng)和服務(wù)可以結(jié)合具有多個分布式內(nèi)容服務(wù)器的內(nèi)容分發(fā)網(wǎng)絡(luò)(⑶N)來實(shí)現(xiàn)。例如,在本發(fā)明的ー個例證性的實(shí)施方式中,提供了在由代表參與內(nèi)容供應(yīng)商的內(nèi)容分發(fā)網(wǎng)絡(luò)服務(wù)供應(yīng)商(CDNSP)操作的CDN中的內(nèi)容分發(fā)的方法。參與內(nèi)容提供商識別將通過CDN被分發(fā)的內(nèi)容。該內(nèi)容分發(fā)方法包括從第一參與內(nèi)容供應(yīng)商接收第一防火墻設(shè)置,第一防火墻設(shè)置規(guī)定防火墻如何關(guān)于對通過CDN分發(fā)由第一參與內(nèi)容供應(yīng)商識別的內(nèi)容的請求來操作。其它可能不同的防火墻設(shè)置從第二參與內(nèi)容供應(yīng)商接收,該不同的防火墻設(shè)置規(guī)定防火墻如何關(guān)于對通過CDN分發(fā)由第二參與內(nèi)容供應(yīng)商識別的內(nèi)容的請求來操作。所述設(shè)置以元數(shù)據(jù)配置文件或者其它形式被發(fā)送到CDN中的不同的內(nèi)容服務(wù)器。在那些內(nèi)容服務(wù)器中的一個處,接收對通過⑶N分發(fā)由參與內(nèi)容供應(yīng)商識別的內(nèi)容的第一請求。內(nèi)容服務(wù)器使用配置有ー個或者多個第一防火墻設(shè)置的防火墻來評估第一請求。對通過CDN分發(fā)由第二參與內(nèi)容供應(yīng)商識別的內(nèi)容的第二請求被接收。該第二請求使用配置有ー個或者多個第二防火墻設(shè)置的防火墻來被評估。在相關(guān)的實(shí)施方式中,在如上所述的方法中,使用配置有ー個或者多個第一防火墻設(shè)置的防火墻評估第一請求包括針對ー個或者多個標(biāo)準(zhǔn)來測試第一請求。第二請求的評估可以被相似地進(jìn)行。如果滿足標(biāo)準(zhǔn),則可以采取動作,例如拒絕請求、生成警告、更改請求、停止處理請求和記錄請求。防火墻設(shè)置可以包括IP地址,對該IP地址,特定的行動被采取,例如,來自特定的 IP地址的業(yè)務(wù)可以被阻擋,或者來自那些地址的業(yè)務(wù)可以被允許而所有的其它的業(yè)務(wù)被阻擋。因此,防火墻可以在應(yīng)用層(對于HTTP請求等)、網(wǎng)絡(luò)層、和/或其它層應(yīng)用安全。在本發(fā)明的另ー個例證性的實(shí)施方式中,提供了在CDN中內(nèi)容分發(fā)的方法,其包括從參與內(nèi)容供應(yīng)商接收第一防火墻配置和第二防火墻配置(例如,姆ー個配置都具有一個或者多個防火墻設(shè)置)。參與內(nèi)容供應(yīng)商還規(guī)定闡述第一防火墻配置是否將被用于評估內(nèi)容請求的使用標(biāo)準(zhǔn),以及闡述第二防火墻配置是否將被用于評估內(nèi)容請求的使用標(biāo)準(zhǔn)。使用標(biāo)準(zhǔn)可以考慮特征,例如請求中的域名、請求中的子域、請求的URL、所請求的內(nèi)容類型、所請求的內(nèi)容的文件名、所請求的內(nèi)容的文件擴(kuò)展名。繼續(xù)前面的例子,這些設(shè)置和使用標(biāo)準(zhǔn)被發(fā)送到⑶N中的內(nèi)容服務(wù)器。在內(nèi)容服務(wù)器中的ー個處,接收對參與內(nèi)容供應(yīng)商的內(nèi)容的請求?;谡埱蠛偷谝环阑饓κ褂门渲脴?biāo)準(zhǔn),該內(nèi)容服務(wù)器確定第一防火墻配置是否將被使用,并且如果將被使用,則使用配置有第一防火墻配置的防火墻來評估該請求?;谡埱蠛偷诙阑饓κ褂门渲脴?biāo)準(zhǔn),該內(nèi)容服務(wù)器確定第二防火墻配置是否將被使用,并且如果將被使用,則使用配置有第二防火墻配置的防火墻來評估該請求。貫穿本公開闡述了另外的特點(diǎn)和特征。附圖簡述從結(jié)合附圖理解的下面的詳細(xì)描述中,本發(fā)明將被更完全地理解,其中圖I是本發(fā)明可以被實(shí)現(xiàn)的內(nèi)容分發(fā)網(wǎng)絡(luò)的方框圖;圖2是⑶N中的內(nèi)容服務(wù)器的簡化方框圖;圖3是根據(jù)本發(fā)明的一個實(shí)施方式的分布式基于云的防火墻系統(tǒng)的圖示;圖4是示出了根據(jù)本發(fā)明的一個實(shí)施方式的防火墻的配置的流程圖;圖5是用于選擇應(yīng)用層設(shè)置以配置防火墻的用戶界面的例子;圖6是用于選擇網(wǎng)絡(luò)層設(shè)置以配置防火墻的用戶界面的例子;圖7是用于指定識別特定的防火墻配置將應(yīng)用于的那些數(shù)字特性和/或文件的匹配標(biāo)準(zhǔn)的用戶界面的例子。圖8是配置防火墻的代碼的例子;圖9是示出了根據(jù)本發(fā)明的一個實(shí)施方式的所配置的防火墻的操作的流程圖;以及
圖10是計(jì)算機(jī)系統(tǒng)的簡化方框圖,使用該系統(tǒng),本發(fā)明可以被實(shí)現(xiàn)。詳細(xì)描述以下的詳細(xì)描述闡述了提供對在此公開的方法和系統(tǒng)的結(jié)構(gòu)、功能以及使用的原理的全面理解的實(shí)施方式。在此描述的以及在附圖中示出的方法和系統(tǒng)是非限制的例子;本發(fā)明的范圍僅由權(quán)利要求限定。關(guān)于示例性實(shí)施方式描述或者示出的特征可以與其它的實(shí)施方式的特征結(jié)合。這樣的修改和變化g在包括在本發(fā)明的范圍內(nèi)。在此引用的所有的專利、出版物和參考資料通過引用被全部明確地并入本文。在此公開的方法和系統(tǒng)可以在分布式計(jì)算機(jī)系統(tǒng)例如在圖1-2中示出的內(nèi)容分發(fā)網(wǎng)絡(luò)(“⑶N”)中實(shí)現(xiàn),并且將關(guān)于這種⑶N而被描述。然而,它們并不局限于這樣的實(shí)現(xiàn)。除了別的以外,在此描述的分布式和共享的網(wǎng)絡(luò)架構(gòu)可以被用于從多個網(wǎng)站分發(fā)內(nèi)容。圖3示出根據(jù)本發(fā)明的一個實(shí)施方式的分布式基于云的防火墻系統(tǒng)300和服務(wù)。如上面關(guān)于圖1-2所討論的,內(nèi)容服務(wù)器302被分布在作為CDN的一部分的因特網(wǎng)周圍。在這個系統(tǒng)300中,每ー個內(nèi)容服務(wù)器302包括和/或被耦合到防火墻302a。防火墻302a檢查并過濾業(yè)務(wù),并且配置成基于規(guī)定的安全標(biāo)準(zhǔn)來阻擋業(yè)務(wù)或者使業(yè)務(wù)通過。防火墻302a可以在應(yīng)用層、網(wǎng)絡(luò)層、或者在其它的計(jì)算機(jī)聯(lián)網(wǎng)層操作。防火墻302a可以在硬件、軟件或者其組合中實(shí)現(xiàn)。
需要來自源服務(wù)器306的內(nèi)容的客戶端機(jī)器322被引導(dǎo)到內(nèi)容服務(wù)器302中的一個。請求(例如,HTTP或者HTTPS請求)在網(wǎng)絡(luò)邊緣由防火墻302a檢查,防火墻302a被配置為針對攻擊、信息的泄漏、或者其它的類型的安全風(fēng)險來檢查業(yè)務(wù)。穿過防火墻302a的請求被正常處理,所請求的內(nèi)容從內(nèi)容服務(wù)器302的高速緩沖存儲器被提供,或者從源服務(wù)器306由內(nèi)容服務(wù)器302取回用于分發(fā)到客戶端機(jī)器322,或者以另外方式被處理。被識別為攻擊或者其它安全威脅的請求(例如那些來自攻擊者機(jī)器324的請求)觸發(fā)防火墻302來采取某些行動,例如,阻擋該請求、記錄其以用于警告、或者其它行動。因此,威脅通過更靠近源的系統(tǒng)300并且在到達(dá)源服務(wù)器306之前被識別并阻擋或者以另外方式被處理,從源服務(wù)器306卸載負(fù)載。在服務(wù)器302位于網(wǎng)絡(luò)“邊緣”的情況下,防火墻302a在網(wǎng)絡(luò)邊緣處理那些威脅。應(yīng)當(dāng)注意到,除了在內(nèi)容服務(wù)器302上被部署的防火墻系統(tǒng)之外,源服務(wù)器306還可以使用其自己的集中式防火墻、入侵探測/保護(hù)系統(tǒng)或者其它的安全系統(tǒng)。盡管⑶N供應(yīng)商可以配置防火墻302a (例如,具有默認(rèn)設(shè)置或者另外的設(shè)置),系統(tǒng)300允許與源服務(wù)器306相關(guān)的內(nèi)容供應(yīng)商作為CDN的客戶來配置將應(yīng)用于對內(nèi)容提供商的內(nèi)容的請求的防火墻設(shè)置。由于在整個CDN中在多個克隆備份進(jìn)程中實(shí)現(xiàn)防火墻模塊,在圖3中所示的解決方案是提供用于Web應(yīng)用保護(hù)的高度可升級的外部防御圈的“分布式防火檣”。通過在此描述的元數(shù)據(jù)配置技木,該解決方案是高度可配置的。通過網(wǎng)絡(luò)和應(yīng)用層控制的實(shí)現(xiàn),該模塊幫助阻止威脅和發(fā)掘技術(shù),例如SQL注入、跨站腳本(XSS)和其它的HTTP攻擊。通過在分布式網(wǎng)絡(luò)例如CDN中實(shí)現(xiàn)在此描述的主題,CDN服務(wù)供應(yīng)商提供防火墻管理的服務(wù)。該服務(wù)提供用于除了別的以外還阻擋云中的Web應(yīng)用攻擊的可升級的邊緣防御系統(tǒng)。該防火墻服務(wù)為CDN客戶提供容易地和經(jīng)濟(jì)地保護(hù)他們的Web應(yīng)用的唯一方法。在沒有硬件要管理或者維持的情況下,CDN客戶通過CDN服務(wù)供應(yīng)商的客戶(外聯(lián)網(wǎng))門戶來管理他們自己的安全標(biāo)準(zhǔn)設(shè)置。另外,該防火墻服務(wù)幫助實(shí)現(xiàn)支付卡行業(yè)(PCI)數(shù)據(jù)安全標(biāo)準(zhǔn)的順應(yīng)性。該架構(gòu)在多個CDN客戶中共享,但是每ー個客戶可以供給并管理其自己的防火墻以防止攻擊。根據(jù)前述的概述,其中的主題現(xiàn)在將被更詳細(xì)地描述。I. O基于云的防火墻
基于云的防火墻(CF)是ー種對內(nèi)容分發(fā)網(wǎng)絡(luò)客戶的安全模塊。該CF模塊應(yīng)用請求的基于規(guī)則的評估來掃描可疑的行為,例如,協(xié)議違反、HTTP規(guī)則違反、請求限制違反、機(jī)器人、木馬后門、一般攻擊(例如,跨站腳本、各種注入攻擊等),外發(fā)內(nèi)容泄漏(服務(wù)器橫幅)以及幾個其它的類別。與支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI-DSS)的順應(yīng)性要求應(yīng)用防火墻由處理支付卡交易的企業(yè)使用,以監(jiān)控和保護(hù)源架構(gòu)免受目前存在的許多現(xiàn)有web界面的攻擊。CF模塊可結(jié)合PCI模塊來使用以幫助客戶滿足這些PCI順應(yīng)性要求。CF解決方案針對通過CDN服務(wù)器路由的請求保護(hù)源服務(wù)器;保護(hù)該源的另外的方式也可以被利用。在美國專利號7,260,639中描述了ー個這樣的解決方案,該專利的公開通過引用被并入本文。 優(yōu)選地,云防火墻基于ー組核心標(biāo)準(zhǔn)(例如,從Breach Security Labs可得到的規(guī)則集,例如ModSecurity vl. 6)。ModSecurity將一組廣泛的匹配標(biāo)準(zhǔn)應(yīng)用于HTTP請求以識別可以被分類為攻擊、信息的泄漏或者其它類型的安全威脅的行為。核心規(guī)則集定義對Apache web服務(wù)器的安全規(guī)則以及配置參數(shù)。在高水平上,安全規(guī)則是與數(shù)據(jù)相關(guān)的表達(dá)式。該表達(dá)式通常是操作符、變量和轉(zhuǎn)換的組合,這產(chǎn)生布爾值。表達(dá)式還可以是在其它表達(dá)式之間的邏輯或或者與,或者另ー個表達(dá)式的否定。每ー個規(guī)則的數(shù)據(jù)由標(biāo)識符(或者“id”)、標(biāo)簽、消息、告知請求是否應(yīng)該被否定的標(biāo)記、嚴(yán)重級別等組成。如上所述,防火墻優(yōu)選地使用規(guī)則集,例如由Breach Security所支持的開放源ModSecurity核心規(guī)則集,其定義了常見并且有害類型的攻擊和發(fā)掘技術(shù),例如,SQL注入、跨站腳本(XSS)和其它開放式Web應(yīng)用程序安全項(xiàng)目(OWASP)前10種攻擊。其它的規(guī)則集可以被利用。這些核心規(guī)則(或者其子集)被轉(zhuǎn)換為元數(shù)據(jù)功能性解決方案,控制元數(shù)據(jù)以在美國專利號7,240,100中描述的方式被分發(fā)到CDN服務(wù)器并在CDN服務(wù)器處被應(yīng)用,該專利的公開通過引用被并入本文。特別是,元數(shù)據(jù)優(yōu)選地通過面向客戶的外部門戶來被供給(例如,通過基于Web的用戶界面),并且在元數(shù)據(jù)配置文件中被提供給內(nèi)容服務(wù)器。因?yàn)榕渲梦募赡苄枰l繁地變化(以處理攻擊情況),優(yōu)選地,CF相關(guān)的元數(shù)據(jù)配置使用專用和快速通信信道而分發(fā)到CDN內(nèi)容服務(wù)器進(jìn)程。對可用于這個目的的有用的通信架構(gòu),見美國專利號7,149,807 (該專利的公開通過引用被并入本文)。在一些實(shí)施方式中,遍及分布式系統(tǒng)的配置文件的部署可以在短時間段內(nèi)完成,有利地實(shí)現(xiàn)對攻擊的響應(yīng)。當(dāng)防火墻在特定的內(nèi)容服務(wù)器上被激活吋,CF元數(shù)據(jù)配置文件應(yīng)為查找作好準(zhǔn)備。如下面關(guān)于圖8描述的,幾個標(biāo)簽和特征在元數(shù)據(jù)結(jié)構(gòu)中被提供,使得CDN內(nèi)容服務(wù)器進(jìn)程(克隆備份)可以支持規(guī)則集處理。2. O配置概述圖4示出了配置過程。在步驟400中,(為以前配置的防火墻)創(chuàng)建或者選擇防火墻實(shí)例。在步驟402中,應(yīng)用層設(shè)置被配置。防火墻的過濾功能通過建立定義攻擊或者其它類型的安全威脅的標(biāo)準(zhǔn)來控制,防火墻使用該標(biāo)準(zhǔn)來檢查業(yè)務(wù)。(在可選的實(shí)施方式中,標(biāo)準(zhǔn)可以被實(shí)現(xiàn)以定義安全的或者“信任的”業(yè)務(wù),例如,來自特定的源或者具有特定簽名的業(yè)務(wù)。為了描述的方便,在下文中,術(shù)語“安全標(biāo)準(zhǔn)”被用于總起來說指前述類型的標(biāo)準(zhǔn))??梢酝ㄟ^選擇/啟用來自規(guī)則集的預(yù)定的規(guī)則或者可選地直接通過明確地創(chuàng)造布爾表達(dá)式或者其它邏輯來選擇安全標(biāo)準(zhǔn)。圖5示出了用于選擇預(yù)定規(guī)則的用戶界面,預(yù)定規(guī)則將應(yīng)用于被標(biāo)識為“測試-測試”的防火墻實(shí)例。該用戶界面還允許行動的選擇,當(dāng)檢測到業(yè)務(wù)滿足安全標(biāo)準(zhǔn)吋,防火墻采取所述動作。在步驟404中,配置對網(wǎng)絡(luò)層的設(shè)置。這樣的設(shè)置可以包括要阻擋的IP地址(黑名単)或者其它的安全標(biāo)準(zhǔn)的指定。設(shè)置還可以包括例如準(zhǔn)許訪問而沒有進(jìn)ー步的檢查的主機(jī)/網(wǎng)絡(luò)的IP地址 所組成的白名單或者基于在對內(nèi)容的請求中接收的信息的其它規(guī)則的指定。圖6示出了通過單獨(dú)地輸入IP地址或者以CIDR (無類別域間路由)表示法來配置網(wǎng)絡(luò)層設(shè)置的用戶界面。防火墻的特定配置可以被用于評估對內(nèi)容的ー些請求,而不是其它。在步驟406中,定義配置的用法。這可以通過指定指示配置將應(yīng)用的標(biāo)準(zhǔn)來完成,該標(biāo)準(zhǔn)也被稱為匹配目標(biāo)。例如,在圖5和6中示出的設(shè)置可以僅被應(yīng)用于對來自選定的域或者子域的內(nèi)容的請求,或者可以僅被應(yīng)用于對某些類型的內(nèi)容(例如,具有特定的文件擴(kuò)展名或者具有其它的特征的那些內(nèi)容)的請求。圖7示出了用于規(guī)定這樣的標(biāo)準(zhǔn)的用戶界面。配置防火墻的過程還可以包括定義對傳輸層(例如,防火墻可以被配置為與使用UDP或者其它協(xié)議的業(yè)務(wù)不同地使用TCP來處理業(yè)務(wù))或者其它網(wǎng)絡(luò)層的標(biāo)準(zhǔn)。盡管通常防火墻配置將統(tǒng)一地在內(nèi)容服務(wù)器中對給定的客戶應(yīng)用,在可選的實(shí)施方式中,在不同的內(nèi)容服務(wù)器上操作的防火墻對于給定的客戶可以被不同地配置。在步驟408中,防火墻的配置被部署到⑶N中的內(nèi)容服務(wù)器(例如,通過在業(yè)務(wù)信道上部署元數(shù)據(jù)配置文件,如上所述)。2. I配置文件在優(yōu)選的實(shí)施方式中,CF模塊涉及兩個配置文件(I) CF規(guī)則配置文件,其管理應(yīng)用和網(wǎng)絡(luò)規(guī)則以及實(shí)時上報配置(在此稱為“CF元數(shù)據(jù)配置文件”或者“CF規(guī)則配置文件”)。(2)標(biāo)準(zhǔn)替代資源定位器(ARL)配置文件,其管理網(wǎng)站的設(shè)置(在此稱為“主配置文件”)??蛇x的實(shí)施方式可以不使用雙配置文件或者根本不使用配置文件。2. 2 CF規(guī)則配置文件優(yōu)選地,對CF訂約的⑶N客戶僅有ー個CF配置文件。通過防火墻實(shí)例和匹配目標(biāo)的使用,単獨(dú)的CF策略可使用這單個文件應(yīng)用于不同的數(shù)字產(chǎn)權(quán)和URL。這確實(shí)提供了ー些額外的靈活性,其可以允許不同的防火墻策略應(yīng)用于在同一數(shù)字產(chǎn)權(quán)上的不同的URL,并且也允許相同的防火墻策略應(yīng)用于其它的產(chǎn)權(quán)。CF規(guī)則配置優(yōu)選地包括幾個組成部分防火墻實(shí)例——應(yīng)用于匹配目標(biāo)的設(shè)置。應(yīng)用層控制配置網(wǎng)絡(luò)層控制配置實(shí)時上報配置(RTR)匹配目標(biāo)——用于確定防火墻實(shí)例是否需要被應(yīng)用的標(biāo)準(zhǔn)。匹配目標(biāo)要應(yīng)用的防火墻實(shí)例應(yīng)用應(yīng)用層控制應(yīng)用網(wǎng)絡(luò)層控制2.3防火墻實(shí)例防火墻實(shí)例表示當(dāng)特定的實(shí)例基于匹配目標(biāo)標(biāo)準(zhǔn)而被調(diào)用時將被應(yīng)用于請求的所啟用的控制的分組。在一個實(shí)現(xiàn)中,匹配目標(biāo)可以僅調(diào)用ー個防火墻實(shí)例。匹配目標(biāo)可以被處理,使得底部匹配獲勝并且適當(dāng)?shù)姆阑饓?shí)例被使用。匹配目標(biāo)還可以按照等級被處理,使得應(yīng)用于域的匹配目標(biāo)(和相關(guān)的防火墻配置)被應(yīng)用于子域的匹配目標(biāo)所勝過,該匹配目標(biāo)被應(yīng)用于特定內(nèi)容類型的匹配目標(biāo)所勝過,等等。應(yīng)用層控制定義對每一個請求檢查的安全標(biāo)準(zhǔn)和如果攻擊被識別出則采取的行動。可能的行動是警告(不拒絕該請求,僅產(chǎn)生警告并繼續(xù)處理HTTP請求)以及拒絕(拒絕該請求,導(dǎo)致HTTP 403響應(yīng)、警告的生成、以及停止處理HTTP請求)。對于攻擊的分類,應(yīng)用層控制例如基于ModSecurity或者其它的規(guī)則集被分組到較高級別的組中。在姆ー個分類中,優(yōu)選地存在幾個特定的探測標(biāo)準(zhǔn)??蛻艨梢赃x擇來僅應(yīng)用他們選擇的特定的規(guī)則,并配置每ー個規(guī)則以警告、拒絕或者采取其它行動。網(wǎng)絡(luò)層控制定義例如將被應(yīng)用于網(wǎng)站的IP限制。來自特定IP地址的請求可以被阻擋和/或允許,或者嚴(yán)格的黑名単/白名單可被應(yīng)用。多個IP地址可以使用CIDR表示法來被指定。通過CDN服務(wù)的數(shù)字產(chǎn)權(quán),實(shí)時上報定義URL,邊緣服務(wù)器進(jìn)程(克隆備份)將基于被觸發(fā)的規(guī)則將數(shù)據(jù)發(fā)布到該URL。CDN可以包括基于服務(wù)器電子郵件的日志分發(fā)服務(wù)(LDS),其向⑶N客戶報告數(shù)據(jù)。⑶NLDS可以包括選項(xiàng)以添加對W3C和組合格式的字段的選項(xiàng)。為了向CDN客戶提供更多的實(shí)時信息,實(shí)時上報被用于向客戶快速地發(fā)送CF特定的數(shù)據(jù)。因?yàn)閿?shù)據(jù)作為POST被發(fā)送,客戶可以創(chuàng)建POST處理應(yīng)用以用適合于他們的需要的任何方式作出反應(yīng),例如立即生成警告或者僅僅ー個警告——如果在Y分鐘內(nèi)生成了 X個警
生ロ ο注意到防火墻實(shí)例的激活/去激活以及該實(shí)例內(nèi)的規(guī)則處理的啟用/禁用之間的差別是有益的。激活/去激活應(yīng)該偶爾出現(xiàn)——僅當(dāng)防火墻實(shí)例被首次創(chuàng)建或者刪除吋。激活/去激活控制包括/移除對例如在較大的元數(shù)據(jù)配置文件(其可以包括對內(nèi)容服務(wù)器克隆備份進(jìn)程的其它控制信息)內(nèi)的CF數(shù)據(jù)文件的參考的過程。優(yōu)選地,它涉及修改/部署克隆備份元數(shù)據(jù)文件(其包括其它這樣的控制信息)。另ー方面,在激活的防火墻實(shí)例內(nèi)的規(guī)則處理的啟用/禁用是由包含在配置文件內(nèi)的狀態(tài)元數(shù)據(jù)標(biāo)簽所控制的。修改/部署配置文件被規(guī)定為是比修改/部署克隆備份元數(shù)據(jù)文件更快的過程,優(yōu)選地使用專用于此目的的通信信道(從門戶到內(nèi)容服務(wù)器)。以這種方式,規(guī)則處理的啟用/禁用可以更頻繁地出現(xiàn)(如果需要的話)。禁用使規(guī)則被忽略,直到被重新激活為止(規(guī)則仍然在內(nèi)容服務(wù)器上,但是在重新啟用之前不被執(zhí)行)。防火墻配置的快速分發(fā)由此優(yōu)選地使用專用的元數(shù)據(jù)通道來傳送每客戶配置文件,其對于所有的客戶防火墻實(shí)例參考選定的核心規(guī)則集規(guī)則和IP阻擋規(guī)則。2.4匹配目標(biāo)匹配目標(biāo)表示指示防火墻標(biāo)準(zhǔn)應(yīng)該被應(yīng)用的特定標(biāo)準(zhǔn)。如果URL與匹配目標(biāo)匹配,指定的防火墻實(shí)例以及應(yīng)用層控制和/或網(wǎng)絡(luò)層控制將被應(yīng)用,如對匹配目標(biāo)所選擇的。匹配目標(biāo)需要⑶N客戶數(shù)字產(chǎn)權(quán)(例如,客戶域、子域或者類似物)以及至少ー個其它標(biāo)準(zhǔn)的URI匹配標(biāo)準(zhǔn)路徑、默認(rèn)文件和文件擴(kuò)展名。一旦所有匹配標(biāo)準(zhǔn)被評估,運(yùn)行CF的內(nèi)容服務(wù)器進(jìn)程(克隆備份)就將知道防火墻實(shí)例是否將被應(yīng)用以及該實(shí)例內(nèi)的控制是否將被應(yīng)用。2. 5主配置文件用于數(shù)字產(chǎn)權(quán)的主元數(shù)據(jù)配置文件具有在CF規(guī)則配置文件將被使用之前通過可選特征選項(xiàng)啟用的CF模塊,而不管匹配目標(biāo)。CF規(guī)則配置“被插入”到動態(tài)地使用標(biāo)簽例如〈akamai : insert〉標(biāo)簽的主配置文件中。當(dāng)CF可選特征被啟用時,〈akamai: insert〉標(biāo)簽被插入到具有適當(dāng)?shù)臉?biāo)簽的客戶網(wǎng)站元數(shù)據(jù)的起始部分中(參見美國專利號7,240,100),以識別CF規(guī)則配置文件。作為安全要求,當(dāng)CF模塊被啟用時,克隆備份到克隆備份(G2G)認(rèn)證被啟用。2.6元數(shù)據(jù)結(jié)構(gòu)
圖8示出了當(dāng)某些標(biāo)準(zhǔn)被滿足時給激活防火墻的兩個示例性的規(guī)則編碼的元數(shù)據(jù)。幾個標(biāo)簽和特征被包括在元數(shù)據(jù)結(jié)構(gòu)中,使得CDN內(nèi)容服務(wù)器進(jìn)程(例如,克隆備份)可以支持規(guī)則集處理。在圖8的例子中,兩個行動都在<match:regex>內(nèi),但是任何匹配或匹配的組合實(shí)際上可以被使用。標(biāo)簽〈akamai : fw-rules>被用于將防火墻規(guī)則集合到一起??梢允褂靡韵滦g(shù)語
防火墻元數(shù)據(jù)包含在〈akamai:firewall-config>內(nèi)的元數(shù)據(jù)的任何阻擋 防火墻標(biāo)準(zhǔn)多個匹配中的一個和行動的組合。規(guī)則必須屬于防火墻元數(shù)據(jù)。
防火墻行動當(dāng)規(guī)則被觸發(fā)時定義做什么的元數(shù)據(jù)。2. 6. I元數(shù)據(jù)控制使用以下元數(shù)據(jù)控制標(biāo)簽來控制CF特征。在本實(shí)施方式中,在遇到任何防火墻元數(shù)據(jù)之前,CF特征被設(shè)置在元數(shù)據(jù)文件的開始部分中。
權(quán)利要求
1.一種在由代表多個參與內(nèi)容供應(yīng)商的內(nèi)容分發(fā)網(wǎng)絡(luò)服務(wù)供應(yīng)商(CDNSP)操作的內(nèi)容分發(fā)網(wǎng)絡(luò)(CD N )中的內(nèi)容分發(fā)的方法,其中所述多個參與內(nèi)容供應(yīng)商識別待通過所述CDN分發(fā)的內(nèi)容,所述方法包括 從第一參與內(nèi)容供應(yīng)商接收ー個或者多個第一防火墻設(shè)置,所述ー個或者多個第一防火墻設(shè)置規(guī)定防火墻如何關(guān)于對通過所述CDN分發(fā)由所述第一參與內(nèi)容供應(yīng)商識別的內(nèi)容的請求來操作; 從第二參與內(nèi)容供應(yīng)商接收ー個或者多個第二防火墻設(shè)置,所述ー個或者多個第二防火墻設(shè)置規(guī)定防火墻如何關(guān)于對通過所述CDN分發(fā)由所述第二參與內(nèi)容供應(yīng)商識別的內(nèi)容的請求來操作; 將所述ー個或者多個第一防火墻設(shè)置和所述ー個或者多個第二防火墻設(shè)置傳遞到所述CDN中的多個內(nèi)容服務(wù)器; 在所述CDN中的所述多個內(nèi)容服務(wù)器中的ー個處,接收對通過所述CDN分發(fā)由所述參與內(nèi)容供應(yīng)商識別的內(nèi)容的第一請求,并且使用配置有所述ー個或者多個第一防火墻設(shè)置的防火墻評估所述第一請求; 在所述CDN中的所述多個內(nèi)容服務(wù)器中的ー個處,接收對通過所述CDN分發(fā)由所述第ニ參與內(nèi)容供應(yīng)商識別的內(nèi)容的第二請求,并且使用配置有所述ー個或者多個第二防火墻設(shè)置的防火墻評估所述第二請求。
2.如權(quán)利要求I所述的方法,其中,由所述ー個或者多個第一防火墻設(shè)置規(guī)定的防火墻配置不同于由所述ー個或者多個第二防火墻設(shè)置規(guī)定的防火墻配置。
3.如權(quán)利要求I所述的方法,其中,使用配置有所述ー個或者多個第一防火墻設(shè)置的防火墻評估所述第一請求包括針對ー個或者多個標(biāo)準(zhǔn)來測試所述第一請求,并且如果該一個或者多個標(biāo)準(zhǔn)被滿足,則采取關(guān)于所述第一請求的行動。
4.如權(quán)利要求3所述的方法,其中,所采取的行動是保護(hù)行動。
5.如權(quán)利要求3所述的方法,其中,使用配置有所述ー個或者多個第二防火墻設(shè)置的防火墻評估所述第二請求包括針對ー個或者多個標(biāo)準(zhǔn)來測試所述第二請求,并且如果該一個或者多個標(biāo)準(zhǔn)被滿足,則采取關(guān)于所述第二請求的行動。
6.如權(quán)利要求I所述的方法,其中,所述ー個或者多個第一防火墻設(shè)置和所述ー個或者多個第二防火墻設(shè)置中的任一個規(guī)定以下項(xiàng)中的至少ー個(i )被針對來測試內(nèi)容請求的一個或者多個標(biāo)準(zhǔn),以及(ii)將采取的關(guān)于滿足一個或者多個標(biāo)準(zhǔn)的內(nèi)容請求的行動。
7.如權(quán)利要求I所述的方法,其中,所述ー個或者多個第一防火墻設(shè)置和所述ー個或者多個第二防火墻設(shè)置中的任一個規(guī)定被針對來測試內(nèi)容請求的一個或者多個標(biāo)準(zhǔn),該ー個或者多個標(biāo)準(zhǔn)定義試圖識別安全威脅的規(guī)則。
8.如權(quán)利要求I所述的方法,其中,所述ー個或者多個第一防火墻設(shè)置和所述ー個或者多個第二防火墻設(shè)置中的任一個規(guī)定如果請求滿足ー個或者多個標(biāo)準(zhǔn)則將采取的關(guān)于該請求的行動,所述行動選自一組行動,該組行動是拒絕所述請求、產(chǎn)生警告、修改所述請求、停止處理所述請求以及記錄所述請求。
9.如權(quán)利要求I所述的方法,其中,所述ー個或者多個第一防火墻設(shè)置和所述第二防火墻設(shè)置中的任一個規(guī)定ー個或者多個IP地址,來自所述IP地址的業(yè)務(wù)服從于給定的行動。
10.如權(quán)利要求9所述的方法,其中所述ー個或者多個第一防火墻設(shè)置和所述第二防火墻設(shè)置中的任一個規(guī)定ー個或者多個IP地址,來自所述IP地址的業(yè)務(wù)被阻擋。
11.如權(quán)利要求I所述的方法,其中,所述第一請求和所述第二請求中的至少ー個是應(yīng)用層請求。
12.如權(quán)利要求11所述的方法,其中,所述第一請求和所述第二請求中的至少ー個是HTTP請求。
13.如權(quán)利要求I所述的方法,其中,所述ー個或者多個第一防火墻設(shè)置和所述ー個或者多個第二防火墻設(shè)置以元數(shù)據(jù)配置文件被傳遞到所述多個內(nèi)容服務(wù)器。
14.ー種由代表多個參與內(nèi)容供應(yīng)商的內(nèi)容分發(fā)網(wǎng)絡(luò)服務(wù)供應(yīng)商(CDNSP)操作的內(nèi)容分發(fā)網(wǎng)絡(luò)(CDN),其中,所述多個參與內(nèi)容供應(yīng)商識別待通過所述CDN分發(fā)的內(nèi)容,所述CDN包括具有處理器和存儲指令的存儲器的ー個或者多個內(nèi)容服務(wù)器,所述指令在被所述處理器執(zhí)行時使所述ー個或者多個內(nèi)容服務(wù)器執(zhí)行下面的步驟 接收ー個或者多個第一防火墻設(shè)置,所述ー個或者多個第一防火墻設(shè)置規(guī)定防火墻如何關(guān)于對通過所述CDN分發(fā)由第一參與內(nèi)容供應(yīng)商所識別的內(nèi)容的請求來操作; 接收ー個或者多個第二防火墻設(shè)置,所述ー個或者多個第二防火墻設(shè)置規(guī)定防火墻如何關(guān)于對通過所述CDN分發(fā)由第二參與內(nèi)容供應(yīng)商所識別的內(nèi)容的請求來操作; 在所述CDN中的所述多個內(nèi)容服務(wù)器中的ー個處,接收對通過所述CDN分發(fā)由所述參與內(nèi)容供應(yīng)商識別的內(nèi)容的第一請求,并且使用設(shè)置有所述ー個或者多個第一防火墻設(shè)置的防火墻評估所述第一請求; 在所述CDN中的所述多個內(nèi)容服務(wù)器中的ー個處,接收對通過所述CDN分發(fā)由所述第ニ參與內(nèi)容供應(yīng)商識別的內(nèi)容的第二請求,并且使用配置有所述ー個或者多個第二防火墻設(shè)置的防火墻評估所述第二請求。
15.如權(quán)利要求14所述的方法,其中,由所述ー個或者多個第一防火墻設(shè)置規(guī)定的防火墻配置不同于由所述ー個或者多個第二防火墻設(shè)置規(guī)定的防火墻配置。
16.如權(quán)利要求14所述的方法,其中,使用配置有所述ー個或者多個第一防火墻設(shè)置的防火墻評估所述第一請求包括針對ー個或者多個標(biāo)準(zhǔn)來測試所述第一請求,并且如果該ー個或者多個標(biāo)準(zhǔn)被滿足,則采取關(guān)于所述第一請求的行動。
17.如權(quán)利要求16所述的方法,其中,所采取的行動是保護(hù)行動。
18.如權(quán)利要求16所述的方法,其中,使用配置有所述ー個或者多個第二防火墻設(shè)置的防火墻評估所述第二請求包括針對ー個或者多個標(biāo)準(zhǔn)來測試所述第二請求,并且如果該ー個或者多個標(biāo)準(zhǔn)被滿足,則采取關(guān)于所述第二請求的行動。
19.如權(quán)利要求14所述的方法,其中,所述ー個或者多個第一防火墻設(shè)置和所述ー個或者多個第二防火墻設(shè)置中的任一個規(guī)定以下項(xiàng)中的至少ー個(i)被針對來測試內(nèi)容請求的一個或者多個標(biāo)準(zhǔn),以及(ii)將采取的關(guān)于滿足一個或者多個標(biāo)準(zhǔn)的內(nèi)容請求的行動。
20.如權(quán)利要求14所述的方法,其中,所述ー個或者多個第一防火墻設(shè)置和所述ー個或者多個第二防火墻設(shè)置中的任一個規(guī)定被針對來測試內(nèi)容請求的一個或者多個標(biāo)準(zhǔn),該一個或者多個標(biāo)準(zhǔn)定義試圖識別安全威脅的規(guī)則。
21.如權(quán)利要求14所述的方法,其中,所述ー個或者多個第一防火墻設(shè)置和所述ー個或者多個第二防火墻設(shè)置中的任一個規(guī)定如果請求滿足ー個或者多個標(biāo)準(zhǔn)則將采取的關(guān)于該請求的行動,所述行動選自ー組行動,該組行動是拒絕所述請求、產(chǎn)生警告、修改所述請求、停止處理所述請求以及記錄所述請求。
22.如權(quán)利要求14所述的方法,其中,所述ー個或者多個第一防火墻設(shè)置和所述第二防火墻設(shè)置中的任一個規(guī)定ー個或者多個IP地址,來自所述IP地址的業(yè)務(wù)服從于給定的行動。
23.如權(quán)利要求22所述的方法,其中所述ー個或者多個第一防火墻設(shè)置和所述第二防火墻設(shè)置中的任一個規(guī)定ー個或者多個IP地址,來自所述IP地址的業(yè)務(wù)被阻擋。
24.如權(quán)利要求14所述的方法,其中,所述第一請求和所述第二請求中的至少ー個是應(yīng)用層請求。
25.如權(quán)利要求24所述的方法,其中,所述第一請求和所述第二請求中的至少ー個是HTTP請求。
26.如權(quán)利要求14所述的方法,其中,所述ー個或者多個第一防火墻設(shè)置和所述ー個或者多個第二防火墻設(shè)置中的任一個通過用戶門戶被發(fā)送到所述多個內(nèi)容服務(wù)器。
27.一種在由代表多個參與內(nèi)容供應(yīng)商的內(nèi)容分發(fā)網(wǎng)絡(luò)服務(wù)供應(yīng)商(CDNSP)操作的內(nèi)容分發(fā)網(wǎng)絡(luò)(CDN)中的內(nèi)容分發(fā)的方法,其中所述多個參與內(nèi)容供應(yīng)商識別通過所述CDN被分發(fā)的內(nèi)容,所述方法包括 從參與內(nèi)容供應(yīng)商接收ー個或者多個第一防火墻設(shè)置,所述ー個或者多個第一防火墻設(shè)置表示第一防火墻配置; 從所述參與內(nèi)容供應(yīng)商接收指示所述第一防火墻配置是否將被用于評估內(nèi)容請求的一個或者多個標(biāo)準(zhǔn)(“第一防火墻配置使用標(biāo)準(zhǔn)”); 從所述參與內(nèi)容供應(yīng)商接收ー個或者多個第二防火墻設(shè)置,所述ー個或者多個第二防火墻設(shè)置表示第二防火墻配置; 從所述參與內(nèi)容供應(yīng)商接收指示所述第二防火墻配置是否將被用于評估內(nèi)容請求的一個或者多個標(biāo)準(zhǔn)(“第二防火墻配置使用標(biāo)準(zhǔn)”); 將所述ー個或者多個第一防火墻設(shè)置和所述ー個或者多個第二防火墻設(shè)置傳遞到所述CDN中的多個內(nèi)容服務(wù)器; 在所述CDN中的所述多個內(nèi)容服務(wù)器中的一個處,接收對所述參與內(nèi)容供應(yīng)商的內(nèi)容的請求; 基于所述請求和所述第一防火墻使用配置標(biāo)準(zhǔn),確定所述第一防火墻配置是否將被使用,并且如果所述第一防火墻配置將被使用,使用配置有所述第一防火墻配置的防火墻來評估所述請求; 基于所述請求和所述第二防火墻使用配置標(biāo)準(zhǔn),確定所述第二防火墻配置是否將被使用,并且如果所述第二防火墻配置將被使用,使用配置有所述第二防火墻配置的防火墻來評估所述請求。
28.如權(quán)利要求27所述的方法,其中,所述第一防火墻配置使用標(biāo)準(zhǔn)和所述第二防火墻配置使用標(biāo)準(zhǔn)中的至少ー個包括請求中的域名、請求中的子域、請求的URL、所請求的內(nèi)容類型、所請求的內(nèi)容的文件名、所請求的內(nèi)容的文件擴(kuò)展名。
29.如權(quán)利要求27所述的方法,其中,所述第一防火墻配置使用標(biāo)準(zhǔn)不同于所述第二防火墻配置使用標(biāo)準(zhǔn)。
30.權(quán)利要求27所述的方法,其中,使用配置有所述第一防火墻配置的防火墻評估所述請求包括針對ー個或者多個標(biāo)準(zhǔn)來測試所述請求,并且如果該ー個或者多個標(biāo)準(zhǔn)被滿足則采取關(guān)于所述請求的行動。
31.如權(quán)利要求30所述的方法,其中,所采取的行動是保護(hù)行動。
32.如權(quán)利要求30所述的方法,其中,使用配置有所述第二防火墻配置的防火墻評估所述請求包括針對ー個或者多個標(biāo)準(zhǔn)來測試所述請求,并且如果該ー個或者多個標(biāo)準(zhǔn)被滿足則采取關(guān)于所述請求的行動。
33.如權(quán)利要求27所述的方法,其中,所述ー個或者多個第一防火墻設(shè)置和所述ー個或者多個第二防火墻設(shè)置中的任一個規(guī)定以下項(xiàng)中的至少ー個(i)被針對來測試內(nèi)容請求的一個或者多個標(biāo)準(zhǔn),以及(ii)將采取的關(guān)于滿足一個或者多個標(biāo)準(zhǔn)的內(nèi)容請求的行動。
34.如權(quán)利要求27所述的方法,其中,所述ー個或者多個第一防火墻設(shè)置和所述ー個或者多個第二防火墻設(shè)置中的任一個規(guī)定如果請求滿足ー個或者多個標(biāo)準(zhǔn)則將采取的關(guān)于該請求的行動,所述行動選自ー組行動,該組行動是拒絕所述請求、產(chǎn)生警告、修改所述請求、停止處理所述請求以及記錄所述請求。
35.如權(quán)利要求27所述的方法,其中,所述ー個或者多個第一防火墻設(shè)置和所述第二防火墻設(shè)置中的任一個規(guī)定ー個或者多個IP地址,來自所述IP地址的業(yè)務(wù)服從于給定的行動。
36.如權(quán)利要求35所述的方法,其中所述ー個或者多個第一防火墻設(shè)置和所述第二防火墻設(shè)置中的任一個規(guī)定ー個或者多個IP地址,來自所述IP地址的業(yè)務(wù)被阻擋。
37.如權(quán)利要求27所述的方法,其中,所述請求是應(yīng)用層請求。
38.如權(quán)利要求27所述的方法,其中,所述ー個或者多個第一防火墻設(shè)置和所述ー個或者多個第二防火墻設(shè)置以元數(shù)據(jù)配置文件被傳遞到所述多個內(nèi)容服務(wù)器。
39.如權(quán)利要求27所述的方法,還包括將所述第一防火墻配置使用標(biāo)準(zhǔn)和所述第二防火墻配置使用標(biāo)準(zhǔn)傳遞到所述CDN中的多個內(nèi)容服務(wù)器。
40.ー種由代表多個參與內(nèi)容供應(yīng)商的內(nèi)容分發(fā)網(wǎng)絡(luò)服務(wù)供應(yīng)商(CDNSP)操作的內(nèi)容分發(fā)網(wǎng)絡(luò)(CDN),其中,所述多個參與內(nèi)容供應(yīng)商識別待通過所述CDN分發(fā)的內(nèi)容,所述CDN包括具有處理器和存儲指令的存儲器的ー個或者多個內(nèi)容服務(wù)器,所述指令在被所述處理器執(zhí)行時使所述ー個或者多個內(nèi)容服務(wù)器執(zhí)行下面的步驟 接收ー個或者多個第一防火墻設(shè)置,所述ー個或者多個第一防火墻設(shè)置規(guī)定防火墻如何關(guān)于對通過所述CDN分發(fā)由第一參與內(nèi)容供應(yīng)商所識別的內(nèi)容的請求來操作,所述ー個或者多個第一防火墻設(shè)置表示第一防火墻配置; 從所述參與內(nèi)容供應(yīng)商接收指示所述第一防火墻配置是否將被用于評估內(nèi)容請求的一個或者多個標(biāo)準(zhǔn)(“第一防火墻配置使用標(biāo)準(zhǔn)”); 接收ー個或者多個第二防火墻設(shè)置,所述ー個或者多個第二防火墻設(shè)置規(guī)定防火墻如何關(guān)于對通過所述CDN分發(fā)由第二參與內(nèi)容供應(yīng)商所識別的內(nèi)容的請求來操作,所述ー個或者多個第二防火墻設(shè)置表示第二防火墻配置; 從所述參與內(nèi)容供應(yīng)商接收指示所述第二防火墻配置是否將被用于評估內(nèi)容請求的一個或者多個標(biāo)準(zhǔn)(“第二防火墻配置使用標(biāo)準(zhǔn)”); 在所述CDN中的所述多個內(nèi)容服務(wù)器中的ー個處,接收對所述參與內(nèi)容供應(yīng)商的內(nèi)容的請求; 基于所述請求和所述第一防火墻使用配置標(biāo)準(zhǔn),確定所述第一防火墻配置是否將被使用,并且如果所述第一防火墻配置將被使用,則使用配置有所述第一防火墻配置的防火墻來評估所述請求; 基于所述請求和所述第二防火墻使用配置標(biāo)準(zhǔn),確定所述第二防火墻配置是否將被使用,并且如果所述第二防火墻配置將被使用,則使用配置有所述第二防火墻配置的防火墻來評估所述請求。
41.如權(quán)利要求40所述的方法,其中,所述第一防火墻配置使用標(biāo)準(zhǔn)和所述第二防火墻配置使用標(biāo)準(zhǔn)中的至少ー個包括請求中的域名、請求中的子域、請求的URL、所請求的內(nèi)容類型、所請求的內(nèi)容的文件名、所請求的內(nèi)容的文件擴(kuò)展名。
42.如權(quán)利要求40所述的方法,其中,所述第一防火墻配置使用標(biāo)準(zhǔn)不同于所述第二防火墻配置使用標(biāo)準(zhǔn)。
43.如權(quán)利要求40所述的方法,其中,使用配置有所述第一防火墻配置的防火墻評估所述請求包括針對ー個或者多個標(biāo)準(zhǔn)來測試所述請求,并且如果該ー個或者多個標(biāo)準(zhǔn)被滿足則采取關(guān)于所述請求的行動。
44.如權(quán)利要求43所述的方法,其中,所采取的行動是保護(hù)行動。
45.如權(quán)利要求43所述的方法,其中,使用配置有所述第二防火墻配置的防火墻評估所述請求包括針對ー個或者多個標(biāo)準(zhǔn)來測試所述請求,并且如果該ー個或者多個標(biāo)準(zhǔn)被滿足則采取關(guān)于所述請求的行動。
46.如權(quán)利要求40所述的方法,其中,所述ー個或者多個第一防火墻設(shè)置和所述ー個或者多個第二防火墻設(shè)置中的任一個規(guī)定以下項(xiàng)中的至少ー個(i)被針對來測試內(nèi)容請求的一個或者多個標(biāo)準(zhǔn),以及(ii)將采取的關(guān)于滿足一個或者多個標(biāo)準(zhǔn)的內(nèi)容請求的行動。
47.如權(quán)利要求40所述的方法,其中,所述ー個或者多個第一防火墻設(shè)置和所述ー個或者多個第二防火墻設(shè)置中的任一個規(guī)定如果請求滿足ー個或者多個標(biāo)準(zhǔn)則將采取的關(guān)于該請求的行動,所述行動選自ー組行動,該組行動是拒絕所述請求、產(chǎn)生警告、修改所述請求、停止處理所述請求以及記錄所述請求。
48.如權(quán)利要求40所述的方法,其中,所述ー個或者多個第一防火墻設(shè)置和所述第二防火墻設(shè)置中的任一個規(guī)定ー個或者多個IP地址,來自所述IP地址的業(yè)務(wù)服從于給定的行動。
49.如權(quán)利要求48所述的方法,其中所述ー個或者多個第一防火墻設(shè)置和所述第二防火墻設(shè)置中的任一個規(guī)定ー個或者多個IP地址,來自所述IP地址的業(yè)務(wù)被阻擋。
50.如權(quán)利要求40所述的方法,其中,所述請求是應(yīng)用層請求。
51.如權(quán)利要求40所述的方法,其中,所述ー個或者多個第一防火墻設(shè)置和所述ー個或者多個第二防火墻設(shè)置中的任一個通過用戶門戶被發(fā)送到所述多個內(nèi)容服務(wù)器。
全文摘要
提供用于保護(hù)客戶網(wǎng)站免受攻擊、機(jī)密信息的泄漏和其它安全威脅的基于云的防火墻系統(tǒng)和服務(wù)。在各種實(shí)施方式中,這樣的防火墻系統(tǒng)和服務(wù)可以結(jié)合具有多個分布式內(nèi)容服務(wù)器的內(nèi)容發(fā)布網(wǎng)絡(luò)(CDN)來實(shí)現(xiàn)。CDN服務(wù)器接收對通過CDN分發(fā)由客戶識別的內(nèi)容的請求。CDN服務(wù)器包括檢查那些請求并對照安全威脅來采取行動的防火墻,以便阻止它們到達(dá)客戶網(wǎng)站。CDN供應(yīng)商將防火墻系統(tǒng)實(shí)現(xiàn)為被管理的防火墻服務(wù),對給定的用戶內(nèi)容的防火墻的操作由該客戶限定,而與其他客戶無關(guān),來。在一些實(shí)施方式中,客戶可以定義對通過所述CDN分發(fā)的所識別的客戶內(nèi)容的不同類別的不同的防火墻配置。
文檔編號H04L29/08GK102687480SQ201080055156
公開日2012年9月19日 申請日期2010年12月13日 優(yōu)先權(quán)日2009年12月12日
發(fā)明者托馬斯·德瓦諾, 普拉桑納·拉加特, 約翰·薩默斯, 約翰·迪利 申請人:阿卡麥科技公司