[发明专利]在云端的多边界防火墙

说明书

公开了通过全局虚拟网络提供多边界防火墙的系统和方法。在一个实施例中，网络系统可以包括与第一接入点服务器通信的出口入口点，与第一接入点服务器通信的第二接入点服务器，与第二接入点服务器通信的端点设备，第一防火墙与第一接入点服务器通信，以及与第二接入点服务器通信的第二防火墙。第一和第二防火墙可以阻止流量通过其各自的接入点服务器。第一防火墙和第二防火墙可以彼此通信并交换威胁信息。

本申请要求2015年4月7日提交的申请号为No.62/144,293的美国临时申请以及2015年4月22日提交的申请号为No.62/151,174的美国临时申请的优先权，每个申请都通过引用并入本文。

技术领域

本申请总体上涉及网络技术，更具体地，涉及网络安全，该网络安全通过布置在云端多个边界的分布式防火墙(FW)设备的策略来保护通过全局虚拟网络或类似网络的流经流量。

背景技术

人类能够感觉到200ms或更长的延迟，因为这通常是人类对事件的平均反应时间。如果延迟太高，诸如瘦客户端到基于云的服务器、客户关系管理(CR)、企业资源规划(EPVP)等在线系统将表现不佳，甚至可能由于超时而停止运行。高延迟结合高分组丢失可能导致连接不可用。即使数据通过，某个时候太慢也会导致用户体验不好(UX)，在这种情况下，用户可以拒绝接受这些使传递不及格的服务变得无用的条件。

为了解决其中的一些问题，已经开发了各种技术。一种这样的技术是WAN优化，通常涉及在局域网(LAN)边缘的硬件(HW)设备，该硬件(HW)设备在另一LAN边缘的另一WAN优化HW设备建立隧道，用以在它们之间形成广域网(WAN)。该技术假设两个设备通过其彼此连接的稳定连接。WAN优化器努力压缩和保护数据流，通常会导致速度增益。采用WAN优化的商业驱动是为了节省发送的数据量，以降低数据传输的成本。这样做的缺点是，当两台设备之间的连接不好时，由于它们往往是点对点的，因此它们之间几乎没有控制通过互联网的流量流动的路径。为了解决这个问题，WAN优化器的用户经常选择通过MPLS或DDN线路或其他专用电路运行WAN，这些会导致额外的费用，并且通常需要一个刚性的、固定的点对点连接。

诸如MPLS、DDN、专用电路或其他类型的固定点对点连接的直接链路提供连接质量和服务质量(QoS)保证。它们是昂贵的，并且通常需要很长的时间来安装，因为需要从连接的每一侧的POP来物理上绘制线。当通过这个直接连接的WAN从一个LAN连接到另一个LAN的资源时，点到点拓扑结构很好。然而，当一般互联网的网关(GW)位于一端的LAN时，例如在公司总部，则来自附属国的远程LAN的业务可以通过GW被路由到互联网。由于流量通过互联网返回同一个国家的子公司的服务器，所以出现放缓。然后，流量必须通过WAN从LAN到GW所在的LAN，然后通过互联网返回到原籍国的服务器，然后通过互联网返回到GW，然后将专线退回到局域网内的客户端设备实际上，本质上会是两倍或三倍(或更差)的全球通行时间，而实际上访问这个附近的站点的时间仅需要全球延迟的一小部分。为了克服这种情况，通过适当的配置更改以及添加可将本来流量连接到互联网的设备，可以在此类系统的每个端点提供与另一个网络线的可替换连接。

从一个局域网到另一个局域网创建WAN链路的另一个选择涉及在两个路由器、防火墙或等效边缘设备之间建立隧道，如IPSec或其他协议隧道。这些通常是加密的，并且可以提供压缩和其他逻辑来尝试改善连接。这两点之间的路线很少甚至无法控制，因为它们依赖互联网上的各种中间玩家的政策，他们通过他们的网络进行流量，并与其他运营商和网络运营商进行对等。许多设备供应商的防火墙和路由器、交换机和其他设备通常在其固件中内置隧道选项。

近年来，最后一公里的连通性大幅度提高，但受到距离、协议限制、对等、干扰等问题和威胁有关的问题，长距离连接和吞吐量仍然存在问题。因此，存在对在标准互联网连接顶部运行的安全网络优化服务的需求。

发明内容