專利名稱:基于云的防火墻系統(tǒng)及服務的制作方法
技術(shù)領(lǐng)域:
本發(fā)明一般涉及基于云的防火墻系統(tǒng)及服務,特別是包括在邊緣計算或者其它分布式計算系統(tǒng)上實現(xiàn)的這樣的系統(tǒng)和服務�。
背景技術(shù):
在本領(lǐng)域中,分布式計算機系統(tǒng)是已知的���。一個這樣的分布式計算機系統(tǒng)是由服務供應商操作和管理的“內(nèi)容分發(fā)網(wǎng)絡”或者“CDN”��。服務供應商通常代表第三方提供服務����。這類“分布式系統(tǒng)”通常涉及由一個網(wǎng)絡或者多個網(wǎng)絡連接的自主計算機的集合,其與軟件���、系統(tǒng)�����、協(xié)議和技術(shù)一起被設(shè)計為便于多種服務��,例如內(nèi)容分發(fā)或者對外包網(wǎng)站架構(gòu)的支持���。通常,“內(nèi)容分發(fā)”意指代表內(nèi)容供應商的內(nèi)容����、流媒體和應用的存儲、緩存或傳輸����,包括與其一起使用的輔助技術(shù)��,沒有限制地包括DNS請求處理、供給����、數(shù)據(jù)監(jiān)控和上報、內(nèi)容設(shè)定�����、個性化和商業(yè)智能����。通常,術(shù)語“外包網(wǎng)站架構(gòu)”意指使實體能夠全部或者部分地代表第三方操作和/或管理第三方的網(wǎng)站架構(gòu)的分布式系統(tǒng)和相關(guān)的技術(shù)��。在例如圖I中示出的已知系統(tǒng)中�,分布式計算機系統(tǒng)100被配置為⑶N,并且被假定為具有分布在因特網(wǎng)周圍的ー組機器102�����。通常���,大多數(shù)機器是位于因特網(wǎng)邊緣附近���,SP����,在最終用戶接入網(wǎng)絡處或者附近的服務器���。網(wǎng)絡運營控制中心(N0CC)104管理系統(tǒng)中的各種機器的操作��。第三方網(wǎng)站例如網(wǎng)站106將內(nèi)容的分發(fā)(例如��,HTML��、嵌入式頁面對象�、流媒體�����、軟件下載等)卸載到分布式計算機系統(tǒng)100�,特別是卸載到在機器102上運行的內(nèi)容服務器(也被稱為“邊緣服務器”)。通常�,內(nèi)容供應商通過將(例如,通過DNS CNAME)給定的內(nèi)容供應商域或者子域化名為由服務供應商的官方域名服務管理的域來卸載其內(nèi)容分發(fā)����,更多的細節(jié)在美國專利號7,293,093和7��,693���,959中被闡述,這些專利的公開通過引用被并入本文��。操作需要內(nèi)容的客戶端機器122的最終用戶被引導到分布式計算機系統(tǒng)100����,并且更具體地到其機器102中的ー個,以更可靠地和有效地獲得該內(nèi)容�。分布式計算機系統(tǒng)還可以包括其他的架構(gòu),例如��,分布式數(shù)據(jù)收集系統(tǒng)108���,其從邊緣服務器收集用法和其它數(shù)據(jù)��,在ー個區(qū)域或者ー組區(qū)域中聚集數(shù)據(jù)���,并且將數(shù)據(jù)傳送到其它的后端系統(tǒng)110、112���、114和116以便于監(jiān)控��、記錄���、警告����、記賬��、管理以及其它操作和管理功能��。分布式網(wǎng)絡代理118監(jiān)控網(wǎng)絡以及服務器負載����,井向DNS查詢處理機構(gòu)115提供網(wǎng)絡、業(yè)務和負載數(shù)據(jù)��,該DNS查詢處理機構(gòu)對于被⑶N管理的內(nèi)容域是有權(quán)威的����。分布式 數(shù)據(jù)傳輸機構(gòu)可以被用于將控制信息(例如,元數(shù)據(jù)����,以管理內(nèi)容�、便于負載平衡等)分配到 邊緣服務器�����。更多的關(guān)于控制信息在CDN中的分布可以在美國專利號7�����,240����,100中找到�����,該專利的公開特此通過引用被全部并入���。如圖2中所示的����,給定的機器200包括商品硬件202 (例如�����,英特爾奔騰或者其它的處理器),其運行支持一個或者多個應用206a-n的操作系統(tǒng)內(nèi)核(例如Linux或者變體)204���。例如�,為了便于內(nèi)容分發(fā)服務�����,給定的機器通常運行ー組應用�����,例如HTTP代理207(有時被稱為“全局主機”或者“克隆備份(ghost)”進程)����、名稱服務器、局部監(jiān)控進程210����、分布式數(shù)據(jù)收集進程212等。對于流媒體�����,機器通常包括ー個或者多個媒體服務器����,例如Windows媒體服務器(WMS)或者Flash服務器���,如被支持的媒體格式所需要的?�?蛻舳藱C器122包括常規(guī)個人計算機����、筆記本電腦�����、其它的數(shù)字數(shù)據(jù)處理設(shè)備��?�?蛻舳藱C器還包括移動客戶端���,其可以包括被稱為智能電話或者個人數(shù)字助理(PDA)的各種移動設(shè)備中的任ー個�。CDN邊緣服務器被配置為優(yōu)選地在域特定����、客戶特定的基礎(chǔ)上優(yōu)選地使用配置文件提供一個或者多個擴展的內(nèi)容分發(fā)特征���,所述配置文件使用配置系統(tǒng)被分配給邊緣服務器。給定的配置文件優(yōu)選地是基于XML的�����,并且包括便于ー個或者多個高級內(nèi)容處理特征的ー組內(nèi)容處理規(guī)則和指令�����。配置文件可以通過數(shù)據(jù)傳輸機構(gòu)被分發(fā)到CDN邊緣服務器��?��!っ绹鴮@?���,111,057 (其公開通過引用被并入本文)闡述了用于分發(fā)和管理邊緣服務器內(nèi)容控制信息例如用于控制文件清除請求的有用架構(gòu)����。CDN可以包括例如在美國專利號7,472�,178中描述的存儲子系統(tǒng)(NetStorage),該專利的公開通過引用被并入本文��。CDN可以操作服務器緩存層次(緩存-H)以提供客戶內(nèi)容的中間緩存;一個這樣的緩存層次子系統(tǒng)在美國專利號7�,376,716中被描述�,該專利的公開通過引用被并入本文。對于流媒體分發(fā)�,⑶N可以包括例如在美國專利號7,296����,082中描述的分發(fā)子系統(tǒng),該專利的公開通過引用被并入本文�。CDN能夠以在美國公布號2004/0093419和/或美國專利號7,363�����,361中描述的方式在客戶端瀏覽器�����、邊緣服務器和客戶源服務器中提供安全的內(nèi)容分發(fā)�,這兩個專利的公開通過引用被并入本文���。如在其中描述的安全的內(nèi)容分發(fā)加強一方面在客戶端和邊緣服務器進程之間且另一方面在邊緣服務器進程和源服務器進程之間的基于SSL的鏈路�����。這使SSL保護的網(wǎng)頁和/或其組成部分能夠通過邊緣服務器被分發(fā)���。概述在此公開的是基于云的防火墻系統(tǒng)和服務��,其保護客戶源網(wǎng)站免受攻擊����、機密信息的泄漏和其它安全威脅�。這樣的防火墻系統(tǒng)和服務可以結(jié)合具有多個分布式內(nèi)容服務器的內(nèi)容分發(fā)網(wǎng)絡(⑶N)來實現(xiàn)。例如�����,在本發(fā)明的ー個例證性的實施方式中����,提供了在由代表參與內(nèi)容供應商的內(nèi)容分發(fā)網(wǎng)絡服務供應商(CDNSP)操作的CDN中的內(nèi)容分發(fā)的方法。參與內(nèi)容提供商識別將通過CDN被分發(fā)的內(nèi)容����。該內(nèi)容分發(fā)方法包括從第一參與內(nèi)容供應商接收第一防火墻設(shè)置,第一防火墻設(shè)置規(guī)定防火墻如何關(guān)于對通過CDN分發(fā)由第一參與內(nèi)容供應商識別的內(nèi)容的請求來操作�����。其它可能不同的防火墻設(shè)置從第二參與內(nèi)容供應商接收,該不同的防火墻設(shè)置規(guī)定防火墻如何關(guān)于對通過CDN分發(fā)由第二參與內(nèi)容供應商識別的內(nèi)容的請求來操作���。所述設(shè)置以元數(shù)據(jù)配置文件或者其它形式被發(fā)送到CDN中的不同的內(nèi)容服務器���。在那些內(nèi)容服務器中的一個處,接收對通過⑶N分發(fā)由參與內(nèi)容供應商識別的內(nèi)容的第一請求����。內(nèi)容服務器使用配置有ー個或者多個第一防火墻設(shè)置的防火墻來評估第一請求。對通過CDN分發(fā)由第二參與內(nèi)容供應商識別的內(nèi)容的第二請求被接收��。該第二請求使用配置有ー個或者多個第二防火墻設(shè)置的防火墻來被評估����。在相關(guān)的實施方式中����,在如上所述的方法中,使用配置有ー個或者多個第一防火墻設(shè)置的防火墻評估第一請求包括針對ー個或者多個標準來測試第一請求����。第二請求的評估可以被相似地進行����。如果滿足標準���,則可以采取動作�����,例如拒絕請求�����、生成警告��、更改請求�����、停止處理請求和記錄請求����。防火墻設(shè)置可以包括IP地址���,對該IP地址��,特定的行動被采取�,例如,來自特定的 IP地址的業(yè)務可以被阻擋���,或者來自那些地址的業(yè)務可以被允許而所有的其它的業(yè)務被阻擋�����。因此����,防火墻可以在應用層(對于HTTP請求等)��、網(wǎng)絡層�、和/或其它層應用安全。在本發(fā)明的另ー個例證性的實施方式中�,提供了在CDN中內(nèi)容分發(fā)的方法,其包括從參與內(nèi)容供應商接收第一防火墻配置和第二防火墻配置(例如����,姆ー個配置都具有一個或者多個防火墻設(shè)置)��。參與內(nèi)容供應商還規(guī)定闡述第一防火墻配置是否將被用于評估內(nèi)容請求的使用標準,以及闡述第二防火墻配置是否將被用于評估內(nèi)容請求的使用標準����。使用標準可以考慮特征,例如請求中的域名���、請求中的子域�、請求的URL����、所請求的內(nèi)容類型、所請求的內(nèi)容的文件名�����、所請求的內(nèi)容的文件擴展名��。繼續(xù)前面的例子�,這些設(shè)置和使用標準被發(fā)送到⑶N中的內(nèi)容服務器。在內(nèi)容服務器中的ー個處���,接收對參與內(nèi)容供應商的內(nèi)容的請求�����?����;谡埱蠛偷谝环阑饓κ褂门渲脴藴?����,該內(nèi)容服務器確定第一防火墻配置是否將被使用�����,并且如果將被使用�,則使用配置有第一防火墻配置的防火墻來評估該請求?��;谡埱蠛偷诙阑饓κ褂门渲脴藴?,該內(nèi)容服務器確定第二防火墻配置是否將被使用��,并且如果將被使用�,則使用配置有第二防火墻配置的防火墻來評估該請求。貫穿本公開闡述了另外的特點和特征�。附圖簡述從結(jié)合附圖理解的下面的詳細描述中,本發(fā)明將被更完全地理解����,其中圖I是本發(fā)明可以被實現(xiàn)的內(nèi)容分發(fā)網(wǎng)絡的方框圖;圖2是⑶N中的內(nèi)容服務器的簡化方框圖����;圖3是根據(jù)本發(fā)明的一個實施方式的分布式基于云的防火墻系統(tǒng)的圖示;圖4是示出了根據(jù)本發(fā)明的一個實施方式的防火墻的配置的流程圖�;圖5是用于選擇應用層設(shè)置以配置防火墻的用戶界面的例子;圖6是用于選擇網(wǎng)絡層設(shè)置以配置防火墻的用戶界面的例子�;圖7是用于指定識別特定的防火墻配置將應用于的那些數(shù)字特性和/或文件的匹配標準的用戶界面的例子。圖8是配置防火墻的代碼的例子���;圖9是示出了根據(jù)本發(fā)明的一個實施方式的所配置的防火墻的操作的流程圖��;以及
圖10是計算機系統(tǒng)的簡化方框圖�����,使用該系統(tǒng)����,本發(fā)明可以被實現(xiàn)����。詳細描述以下的詳細描述闡述了提供對在此公開的方法和系統(tǒng)的結(jié)構(gòu)�、功能以及使用的原理的全面理解的實施方式��。在此描述的以及在附圖中示出的方法和系統(tǒng)是非限制的例子���;本發(fā)明的范圍僅由權(quán)利要求限定��。關(guān)于示例性實施方式描述或者示出的特征可以與其它的實施方式的特征結(jié)合�。這樣的修改和變化g在包括在本發(fā)明的范圍內(nèi)���。在此引用的所有的專利�����、出版物和參考資料通過引用被全部明確地并入本文���。在此公開的方法和系統(tǒng)可以在分布式計算機系統(tǒng)例如在圖1-2中示出的內(nèi)容分發(fā)網(wǎng)絡(“⑶N”)中實現(xiàn),并且將關(guān)于這種⑶N而被描述�。然而,它們并不局限于這樣的實現(xiàn)���。除了別的以外����,在此描述的分布式和共享的網(wǎng)絡架構(gòu)可以被用于從多個網(wǎng)站分發(fā)內(nèi)容。圖3示出根據(jù)本發(fā)明的一個實施方式的分布式基于云的防火墻系統(tǒng)300和服務���。如上面關(guān)于圖1-2所討論的����,內(nèi)容服務器302被分布在作為CDN的一部分的因特網(wǎng)周圍��。在這個系統(tǒng)300中���,每ー個內(nèi)容服務器302包括和/或被耦合到防火墻302a。防火墻302a檢查并過濾業(yè)務�����,并且配置成基于規(guī)定的安全標準來阻擋業(yè)務或者使業(yè)務通過�。防火墻302a可以在應用層、網(wǎng)絡層�、或者在其它的計算機聯(lián)網(wǎng)層操作。防火墻302a可以在硬件��、軟件或者其組合中實現(xiàn)�。
需要來自源服務器306的內(nèi)容的客戶端機器322被引導到內(nèi)容服務器302中的一個。請求(例如����,HTTP或者HTTPS請求)在網(wǎng)絡邊緣由防火墻302a檢查���,防火墻302a被配置為針對攻擊、信息的泄漏�����、或者其它的類型的安全風險來檢查業(yè)務���。穿過防火墻302a的請求被正常處理����,所請求的內(nèi)容從內(nèi)容服務器302的高速緩沖存儲器被提供���,或者從源服務器306由內(nèi)容服務器302取回用于分發(fā)到客戶端機器322���,或者以另外方式被處理。被識別為攻擊或者其它安全威脅的請求(例如那些來自攻擊者機器324的請求)觸發(fā)防火墻302來采取某些行動��,例如�����,阻擋該請求、記錄其以用于警告��、或者其它行動�。因此,威脅通過更靠近源的系統(tǒng)300并且在到達源服務器306之前被識別并阻擋或者以另外方式被處理�,從源服務器306卸載負載。在服務器302位于網(wǎng)絡“邊緣”的情況下����,防火墻302a在網(wǎng)絡邊緣處理那些威脅����。應當注意到,除了在內(nèi)容服務器302上被部署的防火墻系統(tǒng)之外����,源服務器306還可以使用其自己的集中式防火墻、入侵探測/保護系統(tǒng)或者其它的安全系統(tǒng)����。盡管⑶N供應商可以配置防火墻302a (例如,具有默認設(shè)置或者另外的設(shè)置)���,系統(tǒng)300允許與源服務器306相關(guān)的內(nèi)容供應商作為CDN的客戶來配置將應用于對內(nèi)容提供商的內(nèi)容的請求的防火墻設(shè)置�。由于在整個CDN中在多個克隆備份進程中實現(xiàn)防火墻模塊,在圖3中所示的解決方案是提供用于Web應用保護的高度可升級的外部防御圈的“分布式防火檣”�����。通過在此描述的元數(shù)據(jù)配置技木���,該解決方案是高度可配置的�����。通過網(wǎng)絡和應用層控制的實現(xiàn)���,該模塊幫助阻止威脅和發(fā)掘技術(shù),例如SQL注入�����、跨站腳本(XSS)和其它的HTTP攻擊�。通過在分布式網(wǎng)絡例如CDN中實現(xiàn)在此描述的主題,CDN服務供應商提供防火墻管理的服務��。該服務提供用于除了別的以外還阻擋云中的Web應用攻擊的可升級的邊緣防御系統(tǒng)�����。該防火墻服務為CDN客戶提供容易地和經(jīng)濟地保護他們的Web應用的唯一方法。在沒有硬件要管理或者維持的情況下��,CDN客戶通過CDN服務供應商的客戶(外聯(lián)網(wǎng))門戶來管理他們自己的安全標準設(shè)置���。另外����,該防火墻服務幫助實現(xiàn)支付卡行業(yè)(PCI)數(shù)據(jù)安全標準的順應性�。該架構(gòu)在多個CDN客戶中共享,但是每ー個客戶可以供給并管理其自己的防火墻以防止攻擊��。根據(jù)前述的概述����,其中的主題現(xiàn)在將被更詳細地描述�。I. O基于云的防火墻
基于云的防火墻(CF)是ー種對內(nèi)容分發(fā)網(wǎng)絡客戶的安全模塊。該CF模塊應用請求的基于規(guī)則的評估來掃描可疑的行為����,例如,協(xié)議違反�、HTTP規(guī)則違反、請求限制違反、機器人���、木馬后門����、一般攻擊(例如���,跨站腳本���、各種注入攻擊等),外發(fā)內(nèi)容泄漏(服務器橫幅)以及幾個其它的類別���。與支付卡行業(yè)數(shù)據(jù)安全標準(PCI-DSS)的順應性要求應用防火墻由處理支付卡交易的企業(yè)使用�����,以監(jiān)控和保護源架構(gòu)免受目前存在的許多現(xiàn)有web界面的攻擊��。CF模塊可結(jié)合PCI模塊來使用以幫助客戶滿足這些PCI順應性要求�����。CF解決方案針對通過CDN服務器路由的請求保護源服務器��;保護該源的另外的方式也可以被利用����。在美國專利號7,260�����,639中描述了ー個這樣的解決方案�,該專利的公開通過引用被并入本文。 優(yōu)選地,云防火墻基于ー組核心標準(例如,從Breach Security Labs可得到的規(guī)則集�,例如ModSecurity vl. 6)。ModSecurity將一組廣泛的匹配標準應用于HTTP請求以識別可以被分類為攻擊���、信息的泄漏或者其它類型的安全威脅的行為���。核心規(guī)則集定義對Apache web服務器的安全規(guī)則以及配置參數(shù)。在高水平上�����,安全規(guī)則是與數(shù)據(jù)相關(guān)的表達式����。該表達式通常是操作符、變量和轉(zhuǎn)換的組合����,這產(chǎn)生布爾值。表達式還可以是在其它表達式之間的邏輯或或者與�����,或者另ー個表達式的否定�。每ー個規(guī)則的數(shù)據(jù)由標識符(或者“id”)、標簽�����、消息�、告知請求是否應該被否定的標記、嚴重級別等組成�����。如上所述�����,防火墻優(yōu)選地使用規(guī)則集,例如由Breach Security所支持的開放源ModSecurity核心規(guī)則集�����,其定義了常見并且有害類型的攻擊和發(fā)掘技術(shù),例如���,SQL注入����、跨站腳本(XSS)和其它開放式Web應用程序安全項目(OWASP)前10種攻擊����。其它的規(guī)則集可以被利用。這些核心規(guī)則(或者其子集)被轉(zhuǎn)換為元數(shù)據(jù)功能性解決方案����,控制元數(shù)據(jù)以在美國專利號7,240�,100中描述的方式被分發(fā)到CDN服務器并在CDN服務器處被應用,該專利的公開通過引用被并入本文���。特別是����,元數(shù)據(jù)優(yōu)選地通過面向客戶的外部門戶來被供給(例如�����,通過基于Web的用戶界面)�,并且在元數(shù)據(jù)配置文件中被提供給內(nèi)容服務器。因為配置文件可能需要頻繁地變化(以處理攻擊情況)�,優(yōu)選地,CF相關(guān)的元數(shù)據(jù)配置使用專用和快速通信信道而分發(fā)到CDN內(nèi)容服務器進程�。對可用于這個目的的有用的通信架構(gòu),見美國專利號7�,149,807 (該專利的公開通過引用被并入本文)���。在一些實施方式中�����,遍及分布式系統(tǒng)的配置文件的部署可以在短時間段內(nèi)完成�����,有利地實現(xiàn)對攻擊的響應���。當防火墻在特定的內(nèi)容服務器上被激活吋,CF元數(shù)據(jù)配置文件應為查找作好準備���。如下面關(guān)于圖8描述的��,幾個標簽和特征在元數(shù)據(jù)結(jié)構(gòu)中被提供�����,使得CDN內(nèi)容服務器進程(克隆備份)可以支持規(guī)則集處理��。2. O配置概述圖4示出了配置過程�。在步驟400中,(為以前配置的防火墻)創(chuàng)建或者選擇防火墻實例���。在步驟402中�����,應用層設(shè)置被配置���。防火墻的過濾功能通過建立定義攻擊或者其它類型的安全威脅的標準來控制,防火墻使用該標準來檢查業(yè)務��。(在可選的實施方式中���,標準可以被實現(xiàn)以定義安全的或者“信任的”業(yè)務�����,例如����,來自特定的源或者具有特定簽名的業(yè)務��。為了描述的方便�,在下文中,術(shù)語“安全標準”被用于總起來說指前述類型的標準)���?���?梢酝ㄟ^選擇/啟用來自規(guī)則集的預定的規(guī)則或者可選地直接通過明確地創(chuàng)造布爾表達式或者其它邏輯來選擇安全標準���。圖5示出了用于選擇預定規(guī)則的用戶界面���,預定規(guī)則將應用于被標識為“測試-測試”的防火墻實例。該用戶界面還允許行動的選擇��,當檢測到業(yè)務滿足安全標準吋,防火墻采取所述動作�����。在步驟404中�,配置對網(wǎng)絡層的設(shè)置。這樣的設(shè)置可以包括要阻擋的IP地址(黑名単)或者其它的安全標準的指定����。設(shè)置還可以包括例如準許訪問而沒有進ー步的檢查的主機/網(wǎng)絡的IP地址 所組成的白名單或者基于在對內(nèi)容的請求中接收的信息的其它規(guī)則的指定。圖6示出了通過單獨地輸入IP地址或者以CIDR (無類別域間路由)表示法來配置網(wǎng)絡層設(shè)置的用戶界面�����。防火墻的特定配置可以被用于評估對內(nèi)容的ー些請求����,而不是其它。在步驟406中���,定義配置的用法����。這可以通過指定指示配置將應用的標準來完成����,該標準也被稱為匹配目標���。例如,在圖5和6中示出的設(shè)置可以僅被應用于對來自選定的域或者子域的內(nèi)容的請求��,或者可以僅被應用于對某些類型的內(nèi)容(例如�,具有特定的文件擴展名或者具有其它的特征的那些內(nèi)容)的請求。圖7示出了用于規(guī)定這樣的標準的用戶界面����。配置防火墻的過程還可以包括定義對傳輸層(例如�,防火墻可以被配置為與使用UDP或者其它協(xié)議的業(yè)務不同地使用TCP來處理業(yè)務)或者其它網(wǎng)絡層的標準�。盡管通常防火墻配置將統(tǒng)一地在內(nèi)容服務器中對給定的客戶應用,在可選的實施方式中����,在不同的內(nèi)容服務器上操作的防火墻對于給定的客戶可以被不同地配置���。在步驟408中����,防火墻的配置被部署到⑶N中的內(nèi)容服務器(例如�����,通過在業(yè)務信道上部署元數(shù)據(jù)配置文件�,如上所述)�。2. I配置文件在優(yōu)選的實施方式中����,CF模塊涉及兩個配置文件(I) CF規(guī)則配置文件,其管理應用和網(wǎng)絡規(guī)則以及實時上報配置(在此稱為“CF元數(shù)據(jù)配置文件”或者“CF規(guī)則配置文件”)。(2)標準替代資源定位器(ARL)配置文件,其管理網(wǎng)站的設(shè)置(在此稱為“主配置文件”)����?��?蛇x的實施方式可以不使用雙配置文件或者根本不使用配置文件�����。2. 2 CF規(guī)則配置文件優(yōu)選地��,對CF訂約的⑶N客戶僅有ー個CF配置文件。通過防火墻實例和匹配目標的使用,単獨的CF策略可使用這單個文件應用于不同的數(shù)字產(chǎn)權(quán)和URL。這確實提供了ー些額外的靈活性,其可以允許不同的防火墻策略應用于在同一數(shù)字產(chǎn)權(quán)上的不同的URL,并且也允許相同的防火墻策略應用于其它的產(chǎn)權(quán)。CF規(guī)則配置優(yōu)選地包括幾個組成部分防火墻實例——應用于匹配目標的設(shè)置���。應用層控制配置網(wǎng)絡層控制配置實時上報配置(RTR)匹配目標——用于確定防火墻實例是否需要被應用的標準。匹配目標要應用的防火墻實例應用應用層控制應用網(wǎng)絡層控制2.3防火墻實例防火墻實例表示當特定的實例基于匹配目標標準而被調(diào)用時將被應用于請求的所啟用的控制的分組�。在一個實現(xiàn)中����,匹配目標可以僅調(diào)用ー個防火墻實例。匹配目標可以被處理���,使得底部匹配獲勝并且適當?shù)姆阑饓嵗皇褂?。匹配目標還可以按照等級被處理��,使得應用于域的匹配目標(和相關(guān)的防火墻配置)被應用于子域的匹配目標所勝過�,該匹配目標被應用于特定內(nèi)容類型的匹配目標所勝過,等等����。應用層控制定義對每一個請求檢查的安全標準和如果攻擊被識別出則采取的行動?��?赡艿男袆邮蔷?不拒絕該請求,僅產(chǎn)生警告并繼續(xù)處理HTTP請求)以及拒絕(拒絕該請求,導致HTTP 403響應��、警告的生成、以及停止處理HTTP請求)���。對于攻擊的分類��,應用層控制例如基于ModSecurity或者其它的規(guī)則集被分組到較高級別的組中�。在姆ー個分類中�,優(yōu)選地存在幾個特定的探測標準。客戶可以選擇來僅應用他們選擇的特定的規(guī)則,并配置每ー個規(guī)則以警告�����、拒絕或者采取其它行動�。網(wǎng)絡層控制定義例如將被應用于網(wǎng)站的IP限制。來自特定IP地址的請求可以被阻擋和/或允許�,或者嚴格的黑名単/白名單可被應用�����。多個IP地址可以使用CIDR表示法來被指定����。通過CDN服務的數(shù)字產(chǎn)權(quán)����,實時上報定義URL���,邊緣服務器進程(克隆備份)將基于被觸發(fā)的規(guī)則將數(shù)據(jù)發(fā)布到該URL。CDN可以包括基于服務器電子郵件的日志分發(fā)服務(LDS)�,其向⑶N客戶報告數(shù)據(jù)。⑶NLDS可以包括選項以添加對W3C和組合格式的字段的選項���。為了向CDN客戶提供更多的實時信息����,實時上報被用于向客戶快速地發(fā)送CF特定的數(shù)據(jù)��。因為數(shù)據(jù)作為POST被發(fā)送�����,客戶可以創(chuàng)建POST處理應用以用適合于他們的需要的任何方式作出反應,例如立即生成警告或者僅僅ー個警告——如果在Y分鐘內(nèi)生成了 X個警
生ロ ο注意到防火墻實例的激活/去激活以及該實例內(nèi)的規(guī)則處理的啟用/禁用之間的差別是有益的�����。激活/去激活應該偶爾出現(xiàn)——僅當防火墻實例被首次創(chuàng)建或者刪除吋�。激活/去激活控制包括/移除對例如在較大的元數(shù)據(jù)配置文件(其可以包括對內(nèi)容服務器克隆備份進程的其它控制信息)內(nèi)的CF數(shù)據(jù)文件的參考的過程����。優(yōu)選地,它涉及修改/部署克隆備份元數(shù)據(jù)文件(其包括其它這樣的控制信息)�����。另ー方面���,在激活的防火墻實例內(nèi)的規(guī)則處理的啟用/禁用是由包含在配置文件內(nèi)的狀態(tài)元數(shù)據(jù)標簽所控制的��。修改/部署配置文件被規(guī)定為是比修改/部署克隆備份元數(shù)據(jù)文件更快的過程��,優(yōu)選地使用專用于此目的的通信信道(從門戶到內(nèi)容服務器)��。以這種方式���,規(guī)則處理的啟用/禁用可以更頻繁地出現(xiàn)(如果需要的話)�����。禁用使規(guī)則被忽略����,直到被重新激活為止(規(guī)則仍然在內(nèi)容服務器上����,但是在重新啟用之前不被執(zhí)行)。防火墻配置的快速分發(fā)由此優(yōu)選地使用專用的元數(shù)據(jù)通道來傳送每客戶配置文件,其對于所有的客戶防火墻實例參考選定的核心規(guī)則集規(guī)則和IP阻擋規(guī)則。2.4匹配目標匹配目標表示指示防火墻標準應該被應用的特定標準���。如果URL與匹配目標匹配,指定的防火墻實例以及應用層控制和/或網(wǎng)絡層控制將被應用,如對匹配目標所選擇的���。匹配目標需要⑶N客戶數(shù)字產(chǎn)權(quán)(例如,客戶域���、子域或者類似物)以及至少ー個其它標準的URI匹配標準路徑����、默認文件和文件擴展名。一旦所有匹配標準被評估����,運行CF的內(nèi)容服務器進程(克隆備份)就將知道防火墻實例是否將被應用以及該實例內(nèi)的控制是否將被應用。2. 5主配置文件用于數(shù)字產(chǎn)權(quán)的主元數(shù)據(jù)配置文件具有在CF規(guī)則配置文件將被使用之前通過可選特征選項啟用的CF模塊��,而不管匹配目標���。CF規(guī)則配置“被插入”到動態(tài)地使用標簽例如〈akamai : insert〉標簽的主配置文件中。當CF可選特征被啟用時,〈akamai: insert〉標簽被插入到具有適當?shù)臉撕灥目蛻艟W(wǎng)站元數(shù)據(jù)的起始部分中(參見美國專利號7���,240����,100)����,以識別CF規(guī)則配置文件。作為安全要求�����,當CF模塊被啟用時�,克隆備份到克隆備份(G2G)認證被啟用�����。2.6元數(shù)據(jù)結(jié)構(gòu)
圖8示出了當某些標準被滿足時給激活防火墻的兩個示例性的規(guī)則編碼的元數(shù)據(jù)�����。幾個標簽和特征被包括在元數(shù)據(jù)結(jié)構(gòu)中���,使得CDN內(nèi)容服務器進程(例如,克隆備份)可以支持規(guī)則集處理�����。在圖8的例子中�,兩個行動都在<match:regex>內(nèi),但是任何匹配或匹配的組合實際上可以被使用����。標簽〈akamai : fw-rules>被用于將防火墻規(guī)則集合到一起?�?梢允褂靡韵滦g(shù)語
防火墻元數(shù)據(jù)包含在〈akamai:firewall-config>內(nèi)的元數(shù)據(jù)的任何阻擋 防火墻標準多個匹配中的一個和行動的組合���。規(guī)則必須屬于防火墻元數(shù)據(jù)���。
防火墻行動當規(guī)則被觸發(fā)時定義做什么的元數(shù)據(jù)�。2. 6. I元數(shù)據(jù)控制使用以下元數(shù)據(jù)控制標簽來控制CF特征����。在本實施方式中,在遇到任何防火墻元數(shù)據(jù)之前���,CF特征被設(shè)置在元數(shù)據(jù)文件的開始部分中���。
權(quán)利要求
1.一種在由代表多個參與內(nèi)容供應商的內(nèi)容分發(fā)網(wǎng)絡服務供應商(CDNSP)操作的內(nèi)容分發(fā)網(wǎng)絡(CD N )中的內(nèi)容分發(fā)的方法,其中所述多個參與內(nèi)容供應商識別待通過所述CDN分發(fā)的內(nèi)容�����,所述方法包括 從第一參與內(nèi)容供應商接收ー個或者多個第一防火墻設(shè)置�,所述ー個或者多個第一防火墻設(shè)置規(guī)定防火墻如何關(guān)于對通過所述CDN分發(fā)由所述第一參與內(nèi)容供應商識別的內(nèi)容的請求來操作�����; 從第二參與內(nèi)容供應商接收ー個或者多個第二防火墻設(shè)置����,所述ー個或者多個第二防火墻設(shè)置規(guī)定防火墻如何關(guān)于對通過所述CDN分發(fā)由所述第二參與內(nèi)容供應商識別的內(nèi)容的請求來操作��; 將所述ー個或者多個第一防火墻設(shè)置和所述ー個或者多個第二防火墻設(shè)置傳遞到所述CDN中的多個內(nèi)容服務器�; 在所述CDN中的所述多個內(nèi)容服務器中的ー個處���,接收對通過所述CDN分發(fā)由所述參與內(nèi)容供應商識別的內(nèi)容的第一請求����,并且使用配置有所述ー個或者多個第一防火墻設(shè)置的防火墻評估所述第一請求���; 在所述CDN中的所述多個內(nèi)容服務器中的ー個處�����,接收對通過所述CDN分發(fā)由所述第ニ參與內(nèi)容供應商識別的內(nèi)容的第二請求��,并且使用配置有所述ー個或者多個第二防火墻設(shè)置的防火墻評估所述第二請求����。
2.如權(quán)利要求I所述的方法���,其中���,由所述ー個或者多個第一防火墻設(shè)置規(guī)定的防火墻配置不同于由所述ー個或者多個第二防火墻設(shè)置規(guī)定的防火墻配置�����。
3.如權(quán)利要求I所述的方法��,其中�,使用配置有所述ー個或者多個第一防火墻設(shè)置的防火墻評估所述第一請求包括針對ー個或者多個標準來測試所述第一請求���,并且如果該一個或者多個標準被滿足��,則采取關(guān)于所述第一請求的行動���。
4.如權(quán)利要求3所述的方法,其中�����,所采取的行動是保護行動�����。
5.如權(quán)利要求3所述的方法�,其中,使用配置有所述ー個或者多個第二防火墻設(shè)置的防火墻評估所述第二請求包括針對ー個或者多個標準來測試所述第二請求����,并且如果該一個或者多個標準被滿足,則采取關(guān)于所述第二請求的行動���。
6.如權(quán)利要求I所述的方法��,其中�,所述ー個或者多個第一防火墻設(shè)置和所述ー個或者多個第二防火墻設(shè)置中的任一個規(guī)定以下項中的至少ー個(i )被針對來測試內(nèi)容請求的一個或者多個標準�����,以及(ii)將采取的關(guān)于滿足一個或者多個標準的內(nèi)容請求的行動�。
7.如權(quán)利要求I所述的方法,其中�,所述ー個或者多個第一防火墻設(shè)置和所述ー個或者多個第二防火墻設(shè)置中的任一個規(guī)定被針對來測試內(nèi)容請求的一個或者多個標準,該ー個或者多個標準定義試圖識別安全威脅的規(guī)則�����。
8.如權(quán)利要求I所述的方法��,其中�,所述ー個或者多個第一防火墻設(shè)置和所述ー個或者多個第二防火墻設(shè)置中的任一個規(guī)定如果請求滿足ー個或者多個標準則將采取的關(guān)于該請求的行動���,所述行動選自一組行動,該組行動是拒絕所述請求����、產(chǎn)生警告、修改所述請求�、停止處理所述請求以及記錄所述請求。
9.如權(quán)利要求I所述的方法�,其中,所述ー個或者多個第一防火墻設(shè)置和所述第二防火墻設(shè)置中的任一個規(guī)定ー個或者多個IP地址��,來自所述IP地址的業(yè)務服從于給定的行動�。
10.如權(quán)利要求9所述的方法,其中所述ー個或者多個第一防火墻設(shè)置和所述第二防火墻設(shè)置中的任一個規(guī)定ー個或者多個IP地址�����,來自所述IP地址的業(yè)務被阻擋�。
11.如權(quán)利要求I所述的方法,其中��,所述第一請求和所述第二請求中的至少ー個是應用層請求��。
12.如權(quán)利要求11所述的方法�����,其中����,所述第一請求和所述第二請求中的至少ー個是HTTP請求。
13.如權(quán)利要求I所述的方法����,其中,所述ー個或者多個第一防火墻設(shè)置和所述ー個或者多個第二防火墻設(shè)置以元數(shù)據(jù)配置文件被傳遞到所述多個內(nèi)容服務器��。
14.ー種由代表多個參與內(nèi)容供應商的內(nèi)容分發(fā)網(wǎng)絡服務供應商(CDNSP)操作的內(nèi)容分發(fā)網(wǎng)絡(CDN)����,其中,所述多個參與內(nèi)容供應商識別待通過所述CDN分發(fā)的內(nèi)容����,所述CDN包括具有處理器和存儲指令的存儲器的ー個或者多個內(nèi)容服務器,所述指令在被所述處理器執(zhí)行時使所述ー個或者多個內(nèi)容服務器執(zhí)行下面的步驟 接收ー個或者多個第一防火墻設(shè)置�����,所述ー個或者多個第一防火墻設(shè)置規(guī)定防火墻如何關(guān)于對通過所述CDN分發(fā)由第一參與內(nèi)容供應商所識別的內(nèi)容的請求來操作���; 接收ー個或者多個第二防火墻設(shè)置�����,所述ー個或者多個第二防火墻設(shè)置規(guī)定防火墻如何關(guān)于對通過所述CDN分發(fā)由第二參與內(nèi)容供應商所識別的內(nèi)容的請求來操作�; 在所述CDN中的所述多個內(nèi)容服務器中的ー個處,接收對通過所述CDN分發(fā)由所述參與內(nèi)容供應商識別的內(nèi)容的第一請求�,并且使用設(shè)置有所述ー個或者多個第一防火墻設(shè)置的防火墻評估所述第一請求; 在所述CDN中的所述多個內(nèi)容服務器中的ー個處���,接收對通過所述CDN分發(fā)由所述第ニ參與內(nèi)容供應商識別的內(nèi)容的第二請求����,并且使用配置有所述ー個或者多個第二防火墻設(shè)置的防火墻評估所述第二請求��。
15.如權(quán)利要求14所述的方法���,其中���,由所述ー個或者多個第一防火墻設(shè)置規(guī)定的防火墻配置不同于由所述ー個或者多個第二防火墻設(shè)置規(guī)定的防火墻配置。
16.如權(quán)利要求14所述的方法�����,其中,使用配置有所述ー個或者多個第一防火墻設(shè)置的防火墻評估所述第一請求包括針對ー個或者多個標準來測試所述第一請求����,并且如果該ー個或者多個標準被滿足���,則采取關(guān)于所述第一請求的行動�。
17.如權(quán)利要求16所述的方法�,其中,所采取的行動是保護行動����。
18.如權(quán)利要求16所述的方法,其中�,使用配置有所述ー個或者多個第二防火墻設(shè)置的防火墻評估所述第二請求包括針對ー個或者多個標準來測試所述第二請求,并且如果該ー個或者多個標準被滿足����,則采取關(guān)于所述第二請求的行動。
19.如權(quán)利要求14所述的方法����,其中,所述ー個或者多個第一防火墻設(shè)置和所述ー個或者多個第二防火墻設(shè)置中的任一個規(guī)定以下項中的至少ー個(i)被針對來測試內(nèi)容請求的一個或者多個標準��,以及(ii)將采取的關(guān)于滿足一個或者多個標準的內(nèi)容請求的行動。
20.如權(quán)利要求14所述的方法�����,其中����,所述ー個或者多個第一防火墻設(shè)置和所述ー個或者多個第二防火墻設(shè)置中的任一個規(guī)定被針對來測試內(nèi)容請求的一個或者多個標準,該一個或者多個標準定義試圖識別安全威脅的規(guī)則�����。
21.如權(quán)利要求14所述的方法��,其中����,所述ー個或者多個第一防火墻設(shè)置和所述ー個或者多個第二防火墻設(shè)置中的任一個規(guī)定如果請求滿足ー個或者多個標準則將采取的關(guān)于該請求的行動,所述行動選自ー組行動�����,該組行動是拒絕所述請求����、產(chǎn)生警告�����、修改所述請求�、停止處理所述請求以及記錄所述請求����。
22.如權(quán)利要求14所述的方法�����,其中�����,所述ー個或者多個第一防火墻設(shè)置和所述第二防火墻設(shè)置中的任一個規(guī)定ー個或者多個IP地址�����,來自所述IP地址的業(yè)務服從于給定的行動��。
23.如權(quán)利要求22所述的方法��,其中所述ー個或者多個第一防火墻設(shè)置和所述第二防火墻設(shè)置中的任一個規(guī)定ー個或者多個IP地址,來自所述IP地址的業(yè)務被阻擋���。
24.如權(quán)利要求14所述的方法�,其中���,所述第一請求和所述第二請求中的至少ー個是應用層請求����。
25.如權(quán)利要求24所述的方法���,其中�����,所述第一請求和所述第二請求中的至少ー個是HTTP請求���。
26.如權(quán)利要求14所述的方法,其中,所述ー個或者多個第一防火墻設(shè)置和所述ー個或者多個第二防火墻設(shè)置中的任一個通過用戶門戶被發(fā)送到所述多個內(nèi)容服務器���。
27.一種在由代表多個參與內(nèi)容供應商的內(nèi)容分發(fā)網(wǎng)絡服務供應商(CDNSP)操作的內(nèi)容分發(fā)網(wǎng)絡(CDN)中的內(nèi)容分發(fā)的方法����,其中所述多個參與內(nèi)容供應商識別通過所述CDN被分發(fā)的內(nèi)容,所述方法包括 從參與內(nèi)容供應商接收ー個或者多個第一防火墻設(shè)置��,所述ー個或者多個第一防火墻設(shè)置表示第一防火墻配置�����; 從所述參與內(nèi)容供應商接收指示所述第一防火墻配置是否將被用于評估內(nèi)容請求的一個或者多個標準(“第一防火墻配置使用標準”); 從所述參與內(nèi)容供應商接收ー個或者多個第二防火墻設(shè)置�����,所述ー個或者多個第二防火墻設(shè)置表示第二防火墻配置����; 從所述參與內(nèi)容供應商接收指示所述第二防火墻配置是否將被用于評估內(nèi)容請求的一個或者多個標準(“第二防火墻配置使用標準”); 將所述ー個或者多個第一防火墻設(shè)置和所述ー個或者多個第二防火墻設(shè)置傳遞到所述CDN中的多個內(nèi)容服務器�; 在所述CDN中的所述多個內(nèi)容服務器中的一個處,接收對所述參與內(nèi)容供應商的內(nèi)容的請求����; 基于所述請求和所述第一防火墻使用配置標準,確定所述第一防火墻配置是否將被使用��,并且如果所述第一防火墻配置將被使用�����,使用配置有所述第一防火墻配置的防火墻來評估所述請求; 基于所述請求和所述第二防火墻使用配置標準����,確定所述第二防火墻配置是否將被使用,并且如果所述第二防火墻配置將被使用��,使用配置有所述第二防火墻配置的防火墻來評估所述請求���。
28.如權(quán)利要求27所述的方法��,其中���,所述第一防火墻配置使用標準和所述第二防火墻配置使用標準中的至少ー個包括請求中的域名、請求中的子域���、請求的URL���、所請求的內(nèi)容類型、所請求的內(nèi)容的文件名�、所請求的內(nèi)容的文件擴展名。
29.如權(quán)利要求27所述的方法��,其中�����,所述第一防火墻配置使用標準不同于所述第二防火墻配置使用標準。
30.權(quán)利要求27所述的方法��,其中�,使用配置有所述第一防火墻配置的防火墻評估所述請求包括針對ー個或者多個標準來測試所述請求,并且如果該ー個或者多個標準被滿足則采取關(guān)于所述請求的行動����。
31.如權(quán)利要求30所述的方法,其中����,所采取的行動是保護行動。
32.如權(quán)利要求30所述的方法��,其中�����,使用配置有所述第二防火墻配置的防火墻評估所述請求包括針對ー個或者多個標準來測試所述請求���,并且如果該ー個或者多個標準被滿足則采取關(guān)于所述請求的行動。
33.如權(quán)利要求27所述的方法����,其中���,所述ー個或者多個第一防火墻設(shè)置和所述ー個或者多個第二防火墻設(shè)置中的任一個規(guī)定以下項中的至少ー個(i)被針對來測試內(nèi)容請求的一個或者多個標準,以及(ii)將采取的關(guān)于滿足一個或者多個標準的內(nèi)容請求的行動�。
34.如權(quán)利要求27所述的方法,其中���,所述ー個或者多個第一防火墻設(shè)置和所述ー個或者多個第二防火墻設(shè)置中的任一個規(guī)定如果請求滿足ー個或者多個標準則將采取的關(guān)于該請求的行動���,所述行動選自ー組行動,該組行動是拒絕所述請求��、產(chǎn)生警告�、修改所述請求、停止處理所述請求以及記錄所述請求��。
35.如權(quán)利要求27所述的方法��,其中����,所述ー個或者多個第一防火墻設(shè)置和所述第二防火墻設(shè)置中的任一個規(guī)定ー個或者多個IP地址,來自所述IP地址的業(yè)務服從于給定的行動�。
36.如權(quán)利要求35所述的方法�����,其中所述ー個或者多個第一防火墻設(shè)置和所述第二防火墻設(shè)置中的任一個規(guī)定ー個或者多個IP地址�,來自所述IP地址的業(yè)務被阻擋�。
37.如權(quán)利要求27所述的方法,其中�,所述請求是應用層請求。
38.如權(quán)利要求27所述的方法�,其中,所述ー個或者多個第一防火墻設(shè)置和所述ー個或者多個第二防火墻設(shè)置以元數(shù)據(jù)配置文件被傳遞到所述多個內(nèi)容服務器����。
39.如權(quán)利要求27所述的方法,還包括將所述第一防火墻配置使用標準和所述第二防火墻配置使用標準傳遞到所述CDN中的多個內(nèi)容服務器����。
40.ー種由代表多個參與內(nèi)容供應商的內(nèi)容分發(fā)網(wǎng)絡服務供應商(CDNSP)操作的內(nèi)容分發(fā)網(wǎng)絡(CDN),其中���,所述多個參與內(nèi)容供應商識別待通過所述CDN分發(fā)的內(nèi)容,所述CDN包括具有處理器和存儲指令的存儲器的ー個或者多個內(nèi)容服務器�����,所述指令在被所述處理器執(zhí)行時使所述ー個或者多個內(nèi)容服務器執(zhí)行下面的步驟 接收ー個或者多個第一防火墻設(shè)置,所述ー個或者多個第一防火墻設(shè)置規(guī)定防火墻如何關(guān)于對通過所述CDN分發(fā)由第一參與內(nèi)容供應商所識別的內(nèi)容的請求來操作�,所述ー個或者多個第一防火墻設(shè)置表示第一防火墻配置; 從所述參與內(nèi)容供應商接收指示所述第一防火墻配置是否將被用于評估內(nèi)容請求的一個或者多個標準(“第一防火墻配置使用標準”); 接收ー個或者多個第二防火墻設(shè)置��,所述ー個或者多個第二防火墻設(shè)置規(guī)定防火墻如何關(guān)于對通過所述CDN分發(fā)由第二參與內(nèi)容供應商所識別的內(nèi)容的請求來操作����,所述ー個或者多個第二防火墻設(shè)置表示第二防火墻配置; 從所述參與內(nèi)容供應商接收指示所述第二防火墻配置是否將被用于評估內(nèi)容請求的一個或者多個標準(“第二防火墻配置使用標準”); 在所述CDN中的所述多個內(nèi)容服務器中的ー個處�����,接收對所述參與內(nèi)容供應商的內(nèi)容的請求���; 基于所述請求和所述第一防火墻使用配置標準�,確定所述第一防火墻配置是否將被使用���,并且如果所述第一防火墻配置將被使用���,則使用配置有所述第一防火墻配置的防火墻來評估所述請求; 基于所述請求和所述第二防火墻使用配置標準���,確定所述第二防火墻配置是否將被使用�,并且如果所述第二防火墻配置將被使用,則使用配置有所述第二防火墻配置的防火墻來評估所述請求���。
41.如權(quán)利要求40所述的方法����,其中���,所述第一防火墻配置使用標準和所述第二防火墻配置使用標準中的至少ー個包括請求中的域名���、請求中的子域、請求的URL�、所請求的內(nèi)容類型、所請求的內(nèi)容的文件名����、所請求的內(nèi)容的文件擴展名。
42.如權(quán)利要求40所述的方法�,其中,所述第一防火墻配置使用標準不同于所述第二防火墻配置使用標準��。
43.如權(quán)利要求40所述的方法�����,其中��,使用配置有所述第一防火墻配置的防火墻評估所述請求包括針對ー個或者多個標準來測試所述請求��,并且如果該ー個或者多個標準被滿足則采取關(guān)于所述請求的行動���。
44.如權(quán)利要求43所述的方法�,其中��,所采取的行動是保護行動���。
45.如權(quán)利要求43所述的方法����,其中��,使用配置有所述第二防火墻配置的防火墻評估所述請求包括針對ー個或者多個標準來測試所述請求�,并且如果該ー個或者多個標準被滿足則采取關(guān)于所述請求的行動。
46.如權(quán)利要求40所述的方法,其中�,所述ー個或者多個第一防火墻設(shè)置和所述ー個或者多個第二防火墻設(shè)置中的任一個規(guī)定以下項中的至少ー個(i)被針對來測試內(nèi)容請求的一個或者多個標準,以及(ii)將采取的關(guān)于滿足一個或者多個標準的內(nèi)容請求的行動�。
47.如權(quán)利要求40所述的方法,其中,所述ー個或者多個第一防火墻設(shè)置和所述ー個或者多個第二防火墻設(shè)置中的任一個規(guī)定如果請求滿足ー個或者多個標準則將采取的關(guān)于該請求的行動��,所述行動選自ー組行動��,該組行動是拒絕所述請求�、產(chǎn)生警告、修改所述請求���、停止處理所述請求以及記錄所述請求���。
48.如權(quán)利要求40所述的方法,其中���,所述ー個或者多個第一防火墻設(shè)置和所述第二防火墻設(shè)置中的任一個規(guī)定ー個或者多個IP地址�����,來自所述IP地址的業(yè)務服從于給定的行動�����。
49.如權(quán)利要求48所述的方法��,其中所述ー個或者多個第一防火墻設(shè)置和所述第二防火墻設(shè)置中的任一個規(guī)定ー個或者多個IP地址���,來自所述IP地址的業(yè)務被阻擋����。
50.如權(quán)利要求40所述的方法�����,其中��,所述請求是應用層請求�����。
51.如權(quán)利要求40所述的方法,其中����,所述ー個或者多個第一防火墻設(shè)置和所述ー個或者多個第二防火墻設(shè)置中的任一個通過用戶門戶被發(fā)送到所述多個內(nèi)容服務器�。
全文摘要
提供用于保護客戶網(wǎng)站免受攻擊、機密信息的泄漏和其它安全威脅的基于云的防火墻系統(tǒng)和服務�����。在各種實施方式中,這樣的防火墻系統(tǒng)和服務可以結(jié)合具有多個分布式內(nèi)容服務器的內(nèi)容發(fā)布網(wǎng)絡(CDN)來實現(xiàn)�����。CDN服務器接收對通過CDN分發(fā)由客戶識別的內(nèi)容的請求。CDN服務器包括檢查那些請求并對照安全威脅來采取行動的防火墻�����,以便阻止它們到達客戶網(wǎng)站����。CDN供應商將防火墻系統(tǒng)實現(xiàn)為被管理的防火墻服務,對給定的用戶內(nèi)容的防火墻的操作由該客戶限定�����,而與其他客戶無關(guān)�,來。在一些實施方式中�,客戶可以定義對通過所述CDN分發(fā)的所識別的客戶內(nèi)容的不同類別的不同的防火墻配置。
文檔編號H04L29/08GK102687480SQ201080055156
公開日2012年9月19日 申請日期2010年12月13日 優(yōu)先權(quán)日2009年12月12日
發(fā)明者托馬斯·德瓦諾, 普拉桑納·拉加特, 約翰·薩默斯, 約翰·迪利 申請人:阿卡麥科技公司