CN107426252A - 提供web应用防火墙服务的方法和设备 - Google Patents
提供web应用防火墙服务的方法和设备 Download PDFInfo
- Publication number
- CN107426252A CN107426252A CN201710840573.9A CN201710840573A CN107426252A CN 107426252 A CN107426252 A CN 107426252A CN 201710840573 A CN201710840573 A CN 201710840573A CN 107426252 A CN107426252 A CN 107426252A
- Authority
- CN
- China
- Prior art keywords
- waf
- instruction
- containers
- virtual machine
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明提供一种提供web应用防火墙服务的方法和设备,用于解决用户在想对运行在云上的多台虚拟机中运行的web应用进行安全防护时需要把DNS解析先指到第三方,容易造成数据安全隐患的问题。其中方法包括接收WAF容器镜像;执行第一预设指令,将WAF容器镜像安装到用户所指示的虚拟机中;执行第二预设指令配置虚拟机,使基于WAF容器镜像生成的WAF容器为虚拟机提供WAF服务。由上述技术方案可知,本发明描述WAF部署方式,不需要将流量解析到第三方,从而避免因此引起的数据安全隐患,也避免因此影响最终用户的访问速度。
Description
技术领域
本发明涉及通信技术/计算机技术,具体涉及web应用防火墙搭建方法和管理方法。
背景技术
WEB应用防火墙(WAF)是集WEB防护、网页保护、负载均衡、应用交付于一体的WEB整体安全防护设备的一款产品。它集成全新的安全理念与先进的创新架构,保障用户核心应用与业务持续稳定的运行。
在云计算环境下,用户如果想对运行在云上的多台虚拟机(例如基于linux或windows***的虚拟机)中运行的web应用进行安全防护,要么购买一些第三方的web应用防火墙服务,第三方费用昂贵不说,而且需要把DNS解析先指到第三方,容易造成数据安全隐患,还影响最终用户的访问速度。
发明内容
鉴于上述问题,本发明提出了克服上述问题或者至少部分地解决上述问题的web应用防火墙搭建方法和管理方法。
为此目的,第一方面,本发明提出一种提供web应用防火墙服务的方法,包括,
接收WAF容器镜像;
执行第一预设指令,将WAF容器镜像安装到用户所指示的虚拟机中;
执行第二预设指令配置虚拟机,使基于WAF容器镜像生成的WAF容器为虚拟机提供WAF服务。
可选的,所述第二预设指令包括以下一组或多组指令:
第一组指令:设置WAF容器扩展规则的指令;
第二组指令:设置WAF容器中应用程序的更新规则的指令;
第三组指令:设置虚拟机和/或WAF容器,使WAF容器提供对应WAF服务所需的指令;
第四组指令:设置WAF容器中应用程序的检测规则。
可选的,所述虚拟机所在的计算节点上运行web应用防火墙服务代理,所述web应用防火墙服务代理用于将待检测的流量导入WAF容器中进行检测。
可选的,web应用防火墙服务代理根据预设收集规则收集虚拟机的虚拟端口的信息;
所述web应用防火墙服务代理用于将待检测的流量导入WAF容器中进行检测,包括:web应用防火墙服务代理调用计算节点上的ovs接口添加待检测的流量到WAF容器;
可选的,所述WAF容器镜像为根据用户的第一指示选择的。
可选的,所述web应用防火墙代理服务用于控制执行第一预设指令和控制执行第二预设指令。
第二方面,本发明提供一种web应用防火墙管理方法,包括:
将WAF容器镜像A发送到用户指示的虚拟机中;
向虚拟机所在的计算节点发送与WAF容器镜像A对应的第一预设指令和第二预设指令;
所述第一预设指令用于将WAF容器镜像安装到用户所指示的虚拟机中;
所述第二预设指令用于配置虚拟机,使基于WAF容器镜像生成的WAF容器为用户的虚拟机提供WAF服务。
可选的,在将WAF容器镜像A发送到用户指示的虚拟机中之前,包括:
根据用户的第一指示在镜像管理***中选择的对应的WAF容器镜像A;所述镜像管理***中存储至少2个以上的互不相同的WAF容器镜像。可选的,所述第二预设指令包括以下一组或多组指令:
第一组指令:设置WAF容器扩展规则的指令;
第二组指令:设置WAF容器中应用程序的更新规则的指令;
第三组指令:设置虚拟机和/或WAF容器,使WAF容器提供对应WAF服务所需的指令;
第四组指令:设置WAF容器中应用程序的检测规则。
可选的,在所述第二预设指令用于配置虚拟机之后,包括:接收虚拟机中WAF容器发送的监控记录信息;
根据监控记录信息动态生成防火墙规则;
将所述防火墙规则发送至虚拟机所在的计算节点;
将防火墙规则应用于计算节点的防火墙。
第三方面,本发明提供一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上执行的计算机程序,所述处理器执行所述程序时时实现如上任一所述方法的步骤。
第四方面,本发明提供一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上执行的计算机程序,所述处理器执行所述程序时实现如上任一所述方法的步骤。
由上述技术方案可知,本发明描述WAF部署方式,不需要将流量解析到第三方,从而避免因此引起的数据安全隐患,也避免因此影响最终用户的访问速度。
前面是提供对本发明一些方面的理解的简要发明内容。这个部分既不是本发明及其各种实施例的详尽表述也不是穷举的表述。它既不用于识别本发明的重要或关键特征也不限定本发明的范围,而是以一种简化形式给出本发明的所选原理,作为对下面给出的更具体的描述的简介。应当理解,单独地或者组合地利用上面阐述或下面具体描述的一个或多个特征,本发明的其它实施例也是可能的。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明的一个实施例中所述方法的示意图。
图2为本发明的一个实施例中本发明的***结构示意图。
具体实施方式
下面将结合示例性的***描述本发明。
Docker最初是dotCloud公司创始人Solomon Hykes在法国期间发起的一个公司内部项目,它是基于dotCloud公司多年云服务技术的一次革新。Docker使用Google公司推出的Go语言进行开发实现,基于Linux内核的cgroup,namespace,以及AUFS类的Union FS等技术,对进程进行封装隔离,属于操作***层面的虚拟化技术。由于隔离的进程独立于宿主和其它的隔离的进程,因此也称其为容器。
本文是公开的技术方案是基于Docker技术为web服务器部署WAF。在本发明的一个实施例中包括计算节点、web服务器(也称为虚拟服务器或虚拟机或服务器),一个计算节点上通常部署多个web服务器。用户通过云管理平台购买和配置web服务器,并在云管理平台的UI上执行管理操作,从而在计算节点/web服务器上部署WAF。用户在云管理平台的UI上选择需要的web应用防火墙功能,根据用户选择的web应用防火墙功能自动选择对应的WAF容器镜像。而web服务器或计算节点运行下列web应用防火墙搭建方法,从而实现在计算节点/web服务器上实现WAF功能。
如图1所示,在计算节点或web服务中搭建的web应用防火墙的步骤包括:
S101、接收WAF容器镜像;
S102、执行第一预设指令,将WAF容器镜像安装到用户所指示的虚拟机中;
S103、执行第二预设指令配置虚拟机,使基于WAF容器镜像生成的WAF容器为虚拟机提供WAF服务。
计算节点或web服务器接收WAF容器镜像的动作可以是由计算节点或web服务器触发的,也可以是云管理平台主动向计算节点或web服务器发送WAF容器镜像。
WAF容器镜像是指部署有WAF应用程序或监测模块的docker镜像。根据用户需求在WAF容器安装WAF应用程序或监测模块,例如如果用户需要防木马上传,则相应的在容器镜像中部署与之相应的检测规则或撤销规则,使其能准确识别木马和后门文件;又例如,用户需要防止网站被SQL注入,则需要对所有的数据提交方式(get、post、cookie等)建立过滤规则,最大限度的加强了对SQL注入的防御。可以理解的是除此之外WAF容器中还可以实现的防火墙功能包括但不限于:***帐户保护、远程桌面保护、信息监控、资源防盗链、在线播放防下载、下载流量控制、抗CC攻击、代理服务器访问控制、防PHP UDP攻击、IP地址黑名单、IP地址白名单、广告植入、抗缓冲区溢出攻击、禁止运行恶意脚本、URL访问权限控制、自由域名等。
为了实现上述防火墙功能,在实现上述WAF时,可以通过在WAF容器中部署以下模块实现:
1.1引擎规则管理模块:
提供API供云管理平台的UI界面调用,该API用于将用户在管理***上的关于检测相关配置映射到WAF***中,用于数据包检测的依据,比如检测哪些数据包,发现入侵时如何处理等;
1.2事件产生模块:
包括数据包的抓取/重组和数据的预处理;
1.3事件分析模块:
根据预设的入侵规则分析抓取到的数据,如果是已知攻击,发给事件响应单元;
如果是未知攻击,记录日志,供事件特征处理器学习形成新的入侵检测规则;
将动态学***台或镜像管理***;这里的动态学习可以是通过预设的机器学习算法实现的。
1.***特征数据库管理模块:
记录各种入侵规则供事件分析模块使用;
1.5事件响应单元模块:
根据用户的配置信息,发现入侵事件时报警/发邮件/短信,并通知云管理平台下发安全规则将连接断掉等,动态的保护用户的虚拟网络。
可以理解的上述各模块仅是用于说明WAF容器的一种设计方式,在另一些实施例中,其还可以这样设计:WAF包括五个模块,分别为配置模块、协议解析模块、规则模块、动作模块、错误处理模块。
可以理解的是以容器的方式在服务器中部署WAF服务,其所涉及的配置指令比较复杂,而不同的应用场景所WAF服务的内容又不同,导致WAF容器镜像不同(这又导致了对应的第一预设指令和第二预设指令内容上的不同),因此本文仅试图以一些例子予以说明第一预设指令和第二预设指令的功能,而非限制第一预设指令和第二预设指令所包括的内容。
上述实施例中描述的WAF部署方式,不需要将流量解析到第三方,从而避免因此引起的数据安全隐患,也避免因此影响最终用户的访问速度。
制作WAF容器镜像的步骤可以是:下载一个基本的Docker***,安装WAF容器的各个模块,制作成新的Docker镜像,将新的Docker镜像调用云计算管理平台的接口注册到镜像管理***中。镜像管理***用于存储和管理容器镜像,其可以是和云管理平台一起协作为安装和管理虚拟机上的WAF容器。
在一些实施例中镜像管理***和云管理平台可以互相独立的,例如镜像管理***是git仓库,云管理平台是提供为用户web服务器管理的服务器应用程序。在另一些实施例中,也可以将镜像管理***作为云管理平台的一部分。
上述实施例中描述的WAF部署方式,只需用户在云管理平台的UI界面操作就可完成,而不需要用户学习复杂的WAF安装指令,对需要部署WAF的用户来说省力快捷。另一方面云计算服务商可以根据用户需求提供WAF服务(即差异化设计WAF容器镜像,根据用户需求从中选择合适WAF容器镜像进行安装),对不同的用户快速的提供不同的web服务器应用层面的数据防护,增加了安全增值服务的运营模式,拥有较好的市场价值。而上述定制的WAF服务可以通过预先设计的WAF容器镜像实现,对于具有相同需求的用户只需要通过同一或类似的WAF容器镜像即可,从而节约运营成本。
在本发明的一个实施例中,所述第二预设指令包括以下一组或多组指令:
第一组指令:设置WAF容器扩展规则的指令;
第二组指令:设置WAF容器中应用程序的更新规则的指令;
第三组指令:设置虚拟机和/或WAF容器,使WAF容器提供对应WAF服务所需的指令;
第四组指令:设置WAF容器中应用程序的检测规则。
即在本发明的一个实施例中,WAF容器镜像存储于镜像管理***中,所述镜像管理***中存储至少2个以上的互不相同的WAF容器镜像。用户通过云管理平台配置web服务器,并在云管理平台的UI上操作选择需要的WAF服务(即根据用户在云管理平台的UI上操作生成第一指示,根据第一指示在镜像管理***中选择的对应的WAF容器镜像A),云管理平台根据用户的选择自动匹配对应的WAF容器镜像,将匹配到的WAF容器镜像A发送到用户指示的虚拟机中;运行第一预设指令启动WAF容器镜像,设置WAF容器扩展规则,设置WAF容器中应用程序的更新规则,设置虚拟机和/或WAF容器,使WAF容器提供对应WAF服务,设置WAF容器中应用程序的检测规则;
WAF容器扩展规则包括但不限于根据流量的大小扩展WAF容器所使用的资源,所述资源包括但不限于CPU、内存和磁盘等。可以通修改容器的配置文件或其他配置docker的指令实现上述扩展。
通过设置WAF容器扩展规则的指令从而使得WAF容器可以根据用户配置和虚拟机的网络状态自动的伸缩。
在一个实施例中,WAF容器扩展规则还可以包括为WAF容器预设的资源使用数范围。即创建WAF容器时使用最小的资源数,当容器的内部监测***检查容器有处理不过来的请求时,通知云管理平台自动动态的扩展当前容器的资源使用数,从而使计算节点/虚拟机中的其他应用可以最大限度的使用资源,避免资源的浪费,提高资源的利用率。
在一个实施例中,还包括设置WAF容器中应用程序的更新规则,所述应用程序也可以是URL编码校验模块、JSON校验模块,从而使得上述模块或应用程序按照用户设置的规则更新,从而提高WAF容器的适用性和稳定性。
在一个实施例中,还包括设置虚拟机和/或WAF容器,使WAF容器提供对应WAF服务所需的指令;例如可以是安装协议解析功能模块所需的指令、安装URI白名单/黑名单模块所需的指令、安装拦截/重定模块所需的指令。所述指令还可以是配置报警和响应信息的指令,比如记录报警日志/发送邮件/短信/FW下发规则阻断入侵的连接;上述配置WAF容器的方式与WAF容器镜像中预先设计的WAF功能有关。通过差异化设计WAF容器镜像,并根据用户需求安装配置WAF容器中的应用和模块,解决了对不同的用户快速的提供不同的web服务器应用层面的数据防护问题。
在一个实施例中,还包括设置WAF容器中应用程序的检测规则的指令。所述设置WAF容器中应用程序的检测规则,指的是设置WAF容器中例如URI白名单的具体内容,也可以指的是设置日志记录的级别和敏感日志过滤方式,也可指的是请求变量中查询字符的检测规则,也可以是指配置各种引擎和规则的指令,配置各种引擎和规则的目的是针对各种协议做不同的策略检查。
在本发明的一个实施例中,在计算节点上运行web应用防火墙服务代理(也写作WAFaas代理),所述web应用防火墙服务代理用于将待检测的流量导入WAF容器中进行检测。即在计算节点中增加WAFaas代理,WAFaas代理负责管理用户选择的WAFaas容器,并将当前租户的虚拟网络需要进行安全检测的流量导入到WAF容器中。
所述将流量导入WAF容器中可以通过下述方式实现:当用户配置虚拟网络作入侵安全检测时,由云计算管理平台的网络管理平台和网络节点上的WAFaas代理通信,WAFaas代理根据用户配置下载/创建/删除/修改WAFaas/启动WAF容器,并将用户选择的安全检测引擎和规则调用容器的API接口配置到WAF容器上。
在本发明的一个实施例中,web应用防火墙服务代理根据预设收集规则收集虚拟机的虚拟端口的信息;
上述预设收集规则可以是在云管理平台的UI上定义或设置的。
所述web应用防火墙服务代理用于将待检测的流量导入WAF容器中进行检测,包括:web应用防火墙服务代理调用计算节点上的ovs接口添加待检测的流量到WAF容器。
如图2所示,通过WAFaas代理将计算节点中的相关流量导入WAF容器,WAF容器通过虚拟网桥将流量导入虚拟机中处理。
可以理解的是,若WAF容器部署于计算节点上而非虚拟机内时,可以通过设置流量引导规则,使WAF容器为该计算节点上的多台虚拟机提供web应用防火墙服务。
所述WAF容器镜像为根据用户的第一指示选择的。即在云管理平台的UI上显示不同WAF容器镜像提供的web应用防火墙功能,用户根据自己的需求,选择对应的WAF容器镜像。上述实施例中描述的WAF部署方式,只需用户在云管理平台的UI界面操作就可完成,而不需要用户学习复杂的WAF安装指令,对需要部署WAF的用户来说省力快捷。
本发明还提供一种web应用防火墙管理方法,包括:通过云管理平台为虚拟机部署web应用防火墙的方法,该方法包括:
将WAF容器镜像A发送到用户指示的计算节点/虚拟机中;
向虚拟机所在的计算节点发送与WAF容器镜像A对应的第一预设指令和第二预设指令;
所述第一预设指令用于将WAF容器镜像安装到用户所指示的虚拟机中;
所述第二预设指令用于配置虚拟机,使基于WAF容器镜像生成的WAF容器为用户的虚拟机提供WAF服务。
即在本发明的一个实施例中,WAF容器镜像存储与镜像管理***中,所述镜像管理***中存储至少2个以上的互不相同的WAF容器镜像。用户通过云管理平台配置web服务器,并在云管理平台的UI上操作选择需要的WAF服务(即根据用户在云管理平台的UI上操作生成第一指示,根据第一指示在镜像管理***中选择的对应的WAF容器镜像A),云管理平台根据用户的选择自动匹配对应的WAF容器镜像,将匹配到的WAF容器镜像A发送到用户指示的虚拟机中;
在计算节点中执行对应的指令配置虚拟机和WAF容器,使得启动后的WAF容器镜像提供WAF服务。
其中配置虚拟机的指令可以是配置WAF服务所需的指令,也可以是引导流量到WAF容器中进行检测的指令。
从而在计算节点/web服务器上部署和WAF。用户在云管理平台的UI上选择需要的web应用防火墙功能,根据用户选择的web应用防火墙功能自动选择对应的WAF容器镜像。而web服务器或计算节点运行下列提供web应用防火墙的方法,从而实现在计算节点/web服务器上实现WAF功能。
在计算节点中执行对应的指令包括第一预设指令和第二预设指令,第一预设指令用于将WAF容器镜像安装到用户所指示的虚拟机中;在一些实施例中,第一预设指令是容器启动指令。可以理解的是这里的执行第一预设指令和第二预设指令是指触发执行第一预设指令和第二预设指令,而不是指这些指令的操作对象只能是计算节点。
所述第二预设指令包括以下一组或多组指令:
第一组指令:设置WAF容器扩展规则的指令;
第二组指令:设置WAF容器中应用程序的更新规则的指令;
第三组指令:设置虚拟机和/或WAF容器,使WAF容器提供对应WAF服务所需的指令;
第四组指令:设置WAF容器中应用程序的检测规则。
上述多组指令,可以是通过云管理平台生成的,也可以是用户输入\设置\自动生成的。
WAF容器扩展规则包括但不限于根据流量的大小扩展WAF容器所使用的资源,所述资源包括但不限于CPU、内存和磁盘等。可以通修改容器的配置文件或其他配置docker的指令实现上述扩展。
通过设置WAF容器扩展规则的指令从而使得WAF容器可以根据用户配置和虚拟机的网络状态自动的伸缩。
在一个实施例中,WAF容器扩展规则还可以包括为WAF容器预设的资源使用数范围。即创建WAF容器时使用最小的资源数,当容器的内部监测***检查容器有处理不过来的请求时,通知云管理平台自动动态的扩展当前容器的资源使用数,从而使计算节点/虚拟机中的其他应用可以最大限度的使用资源,避免资源的浪费,提高资源的利用率。
在一个实施例中,还包括设置WAF容器中应用程序的更新规则,所述应用程序也可以是例如URL编码校验模块、JSON校验模块,从而使得上述模块或应用程序按照用户设置的规则更新,从而提高WAF容器的适用性和稳定性。
在一个实施例中,还包括设置虚拟机和/或WAF容器,使WAF容器提供对应WAF服务所需的指令;例如可以是安装协议解析功能模块所需的指令、安装URI白名单/黑名单模块所需的指令、安装拦截/重定模块所需的指令。所述指令还可以是配置报警和响应信息的指令,比如记录报警日志/发送邮件/短信/FW下发规则阻断入侵的连接;上述配置WAF容器的方式与WAF容器镜像中预先设计的WAF功能有关。通过差异化设计WAF容器镜像,并根据用户需求安装配置WAF容器中的应用和模块,解决了对不同的用户快速的提供不同的web服务器应用层面的数据防护问题。
在本发明的一个实施例中,在所述第二预设指令用于配置虚拟机之后,包括:接收虚拟机中WAF容器发送的监控记录信息;
根据监控记录信息动态生成防火墙规则;
将所述防火墙规则发送至虚拟机所在的计算节点;
将防火墙规则应用于计算节点的防火墙。
即在本发明的要给实施例中,WAF容器镜像存储于镜像管理***中,所述镜像管理***中存储至少2个以上的互不相同的WAF容器镜像。用户通过云管理平台配置web服务器,并在云管理平台的UI上操作选择需要的WAF服务(即根据用户在云管理平台的UI上操作生成第一指示,根据第一指示在镜像管理***中选择的对应的WAF容器镜像A),云管理平台根据用户的选择自动匹配对应的WAF容器镜像,将匹配到的WAF容器镜像A发送到用户指示的虚拟机中;运行第一预设指令启动WAF容器镜像,设置WAF容器扩展规则,设置WAF容器中应用程序的更新规则,设置虚拟机和/或WAF容器,使WAF容器提供对应WAF服务,设置WAF容器中应用程序的检测规则;可以理解的是第一预设指令和第二预设指令的执行顺序是根据指令的具体内容确定的,在一些情况下第二预设指令中某些指令需要在容器启动指令(即第一预设指令)执行之前执行,在另一些情况下第二预设指令中的另一些指令需要在容器启动指令之后执行。
可以理解的是以容器的方式在服务器/计算节点中部署WAF服务,其所涉及的配置指令比较复杂,而不同的应用场景所WAF服务的内容又不同,导致WAF容器镜像不同(这又导致了对应的第一预设指令和第二预设指令内容上的不同),因此本文仅试图以一些例子予以说明第一预设指令和第二预设指令的功能,而非限制第一预设指令和第二预设指令所包括的内容。
第三方面,本发明提供一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上执行的计算机程序,所述处理器执行所述程序时时实现如上任一所述方法的步骤。
第四方面,本发明提供一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上执行的计算机程序,所述处理器执行所述程序时实现如上任一所述方法的步骤。
本文中使用的“监视”包括与用仪器来观察、记录或检测有关的任何类型的功能,这些仪器对被监视的元件或元件组的操作或状态没有任何影响。
本文中使用的“至少一个”、“一个或多个”以及“和/或”是开放式的表述,在使用时可以是联合的和分离的。例如,“A、B和C中的至少一个”,“A、B或C中的至少一个”,“A、B和C中的一个或多个”以及“A、B或C中的一个或多个”指仅有A、仅有B、仅有C、A和B一起、A和C一起、B和C一起或A、B和C一起。
术语“一个”实体是指一个或多个所述实体。由此术语“一个”、“一个或多个”和“至少一个”在本文中是可以互换使用的。还应注意到术语“包括”、“包含”和“具有”也是可以互换使用的。
本文中使用的术语“自动的”及其变型是指在执行处理或操作时没有实质的人为输入的情况下完成的任何处理或操作。然而,即使在执行处理或操作时使用了执行所述处理或操作前接收到的实质的或非实质的人为输入,所述处理或操作也可以是自动的。如果输入影响所述处理或操作将怎样进行,则视该人为输入是实质的。不影响所述处理或操作进行的人为输入不视为是实质的。
本文中使用的术语“计算机可读介质”是指参与将指令提供给处理器执行的任何有形存储设备和/或传输介质。计算机可读介质可以是在IP网络上的网络传输(如SOAP)中编码的串行指令集。这样的介质可以采取很多形式,包括但不限于非易失性介质、易失性介质和传输介质。非易失性介质包括例如NVRAM或者磁或光盘。易失性介质包括诸如主存储器的动态存储器(如RAM)。计算机可读介质的常见形式包括例如软盘、柔性盘、硬盘、磁带或任何其它磁介质、磁光介质、CD-ROM、任何其它光介质、穿孔卡、纸带、任何其它具有孔形图案的物理介质、RAM、PROM、EPROM、FLASH-EPROM、诸如存储卡的固态介质、任何其它存储芯片或磁带盒、后面描述的载波、或计算机可以读取的任何其它介质。电子邮件的数字文件附件或其它自含信息档案或档案集被认为是相当于有形存储介质的分发介质。当计算机可读介质被配置为数据库时,应该理解该数据库可以是任何类型的数据库,例如关系数据库、层级数据库、面向对象的数据库等等。相应地,认为本发明包括有形存储介质或分发介质和现有技术公知的等同物以及未来开发的介质,在这些介质中存储本发明的软件实施。
本文中使用的术语“确定”、“运算”和“计算”及其变型可以互换使用,并且包括任何类型的方法、处理、数学运算或技术。更具体地,这样的术语可以包括诸如BPEL的解释规则或规则语言,其中逻辑不是硬编码的而是在可以被读、解释、编译和执行的规则文件中表示。
本文中使用的术语“模块”或“工具”是指任何已知的或以后发展的硬件、软件、固件、人工智能、模糊逻辑或能够执行与该元件相关的功能的硬件和软件的组合。另外,虽然用示例性实施方式来描述本发明,但应当理解本发明的各方面可以单独要求保护。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下,由语句“包括……”或“包含……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的要素。此外,在本文中,“大于”、“小于”、“超过”等理解为不包括本数;“以上”、“以下”、“以内”等理解为包括本数。
尽管已经对上述各实施例进行了描述,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改,所以以上所述仅为本发明的实施例,并非因此限制本发明的专利保护范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围之内。
Claims (12)
1.提供web应用防火墙服务的方法,其特征在于,包括:
接收WAF容器镜像;
执行第一预设指令,将WAF容器镜像安装到用户所指示的虚拟机中;
执行第二预设指令配置虚拟机,使基于WAF容器镜像生成的WAF容器为虚拟机提供WAF服务。
2.根据权利要求1所述的方法,其特征在于,
所述第二预设指令包括以下一组或多组指令:
第一组指令:设置WAF容器扩展规则的指令;
第二组指令:设置WAF容器中应用程序的更新规则的指令;
第三组指令:设置虚拟机和/或WAF容器,使WAF容器提供对应WAF服务所需的指令;
第四组指令:设置WAF容器中应用程序的检测规则。
3.根据权利要求1所述的方法,其特征在于,所述虚拟机所在的计算节点上运行web应用防火墙服务代理,所述web应用防火墙服务代理用于将待检测的流量导入WAF容器中进行检测。
4.根据权利要求3所述的方法,其特征在于,所述web应用防火墙服务代理根据预设收集规则收集虚拟机的虚拟端口的信息。
5.根据权利要求3所述的方法,其特征在于,所述web应用防火墙服务代理用于将待检测的流量导入WAF容器中进行检测,包括:web应用防火墙服务代理调用计算节点上的ovs接口添加待检测的流量到WAF容器;所述WAF容器镜像为根据用户的第一指示从WAF镜像管理***中选择的。
6.根据权利要求1所述的方法,其特征在于,所述web应用防火墙代理服务用于控制执行第一预设指令和控制执行第二预设指令。
7.web应用防火墙管理方法,其特征在于,包括:
将WAF容器镜像A发送到用户指示的虚拟机中;
向虚拟机所在的计算节点发送与WAF容器镜像A对应的第一预设指令和第二预设指令;
所述第一预设指令用于将WAF容器镜像安装到用户所指示的计算节点/虚拟机中;
所述第二预设指令用于配置虚拟机,使基于WAF容器镜像生成的WAF容器为用户的虚拟机提供WAF服务。
8.根据权利要求7所述的方法,其特征在于,在将WAF容器镜像A发送到用户指示的虚拟机中之前,包括:
根据用户的第一指示在镜像管理***中选择的对应的WAF容器镜像A;所述镜像管理***中存储至少2个以上的互不相同的WAF容器镜像。
9.根据权利要求7所述的管理方法,其特征在于,
所述第二预设指令包括以下一组或多组指令:
第一组指令:设置WAF容器扩展规则的指令;
第二组指令:设置WAF容器中应用程序的更新规则的指令;
第三组指令:设置虚拟机和/或WAF容器,使WAF容器提供对应WAF服务所需的指令;
第四组指令:设置WAF容器中应用程序的检测规则。
10.根据权利要求7所述的管理方法,其特征在于,在所述第二预设指令用于配置虚拟机之后,包括:
接收虚拟机中WAF容器发送的监控记录信息;
根据监控记录信息动态生成防火墙规则;
将所述防火墙规则发送至虚拟机所在的计算节点;
将防火墙规则应用于计算节点的防火墙。
11.一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上执行的计算机程序,其特征在于,所述处理器执行所述程序时时实现如权利要求1至4任一所述方法的步骤。
12.一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上执行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求5至8任一所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710840573.9A CN107426252B (zh) | 2017-09-15 | 2017-09-15 | 提供web应用防火墙服务的方法和设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710840573.9A CN107426252B (zh) | 2017-09-15 | 2017-09-15 | 提供web应用防火墙服务的方法和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107426252A true CN107426252A (zh) | 2017-12-01 |
| CN107426252B CN107426252B (zh) | 2019-10-25 |
Family
ID=60433127
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710840573.9A Active CN107426252B (zh) | 2017-09-15 | 2017-09-15 | 提供web应用防火墙服务的方法和设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107426252B (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109413070A (zh) * | 2018-10-30 | 2019-03-01 | 郑州市景安网络科技股份有限公司 | 一种waf业务开通方法及相关装置 |
| CN109413069A (zh) * | 2018-10-29 | 2019-03-01 | 北京百悟科技有限公司 | 基于区块链的虚拟网站防火墙的应用方法及装置 |
| CN111131026A (zh) * | 2019-12-26 | 2020-05-08 | 深信服科技股份有限公司 | 一种通信方法、装置、设备和存储介质 |
| CN112134844A (zh) * | 2020-08-20 | 2020-12-25 | 广东网堤信息安全技术有限公司 | 一种Web应用防火墙***的架构 |
| CN112367290A (zh) * | 2020-09-11 | 2021-02-12 | 浙江大学 | 一种内生安全waf构造方法 |
| CN112383528A (zh) * | 2020-11-09 | 2021-02-19 | 浙江大学 | 一种拟态waf的执行体构建方法 |
| CN113010897A (zh) * | 2021-03-19 | 2021-06-22 | 中国联合网络通信集团有限公司 | 云计算安全管理方法及其*** |
| CN113347258A (zh) * | 2021-06-04 | 2021-09-03 | 上海天旦网络科技发展有限公司 | 云流量下的数据采集监控分析的方法及*** |
| CN114039751A (zh) * | 2021-10-26 | 2022-02-11 | 杭州博盾习言科技有限公司 | 一种网络动态感知装置、***和方法 |
| CN114237738A (zh) * | 2021-12-08 | 2022-03-25 | 山石网科通信技术股份有限公司 | 设备管理方法、装置、电子设备及计算机可读存储介质 |
| JP2022107585A (ja) * | 2021-01-11 | 2022-07-22 | ペンタ・セキュリティ・システムズ・インコーポレーテッド | マシンラーニングセルフチェック機能を利用する非対面認証基盤ウェブファイアウォールメンテナンス方法および装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105389243A (zh) * | 2015-10-26 | 2016-03-09 | 华为技术有限公司 | 一种容器监控方法和装置 |
| CN105978904A (zh) * | 2016-06-30 | 2016-09-28 | 联想(北京)有限公司 | 一种入侵检测方法及电子设备 |
| CN106534346A (zh) * | 2016-12-07 | 2017-03-22 | 北京奇虎科技有限公司 | 基于虚拟waf的流量控制方法、装置及*** |
| US20170093795A1 (en) * | 2015-09-24 | 2017-03-30 | Microsoft Technology Licensing, Llc | Passive Web Application Firewall |
-
2017
- 2017-09-15 CN CN201710840573.9A patent/CN107426252B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170093795A1 (en) * | 2015-09-24 | 2017-03-30 | Microsoft Technology Licensing, Llc | Passive Web Application Firewall |
| CN105389243A (zh) * | 2015-10-26 | 2016-03-09 | 华为技术有限公司 | 一种容器监控方法和装置 |
| CN105978904A (zh) * | 2016-06-30 | 2016-09-28 | 联想(北京)有限公司 | 一种入侵检测方法及电子设备 |
| CN106534346A (zh) * | 2016-12-07 | 2017-03-22 | 北京奇虎科技有限公司 | 基于虚拟waf的流量控制方法、装置及*** |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109413069B (zh) * | 2018-10-29 | 2021-11-12 | 北京百悟科技有限公司 | 基于区块链的虚拟网站防火墙的应用方法及装置 |
| CN109413069A (zh) * | 2018-10-29 | 2019-03-01 | 北京百悟科技有限公司 | 基于区块链的虚拟网站防火墙的应用方法及装置 |
| CN109413070A (zh) * | 2018-10-30 | 2019-03-01 | 郑州市景安网络科技股份有限公司 | 一种waf业务开通方法及相关装置 |
| CN111131026A (zh) * | 2019-12-26 | 2020-05-08 | 深信服科技股份有限公司 | 一种通信方法、装置、设备和存储介质 |
| CN111131026B (zh) * | 2019-12-26 | 2022-06-21 | 深信服科技股份有限公司 | 一种通信方法、装置、设备和存储介质 |
| CN112134844A (zh) * | 2020-08-20 | 2020-12-25 | 广东网堤信息安全技术有限公司 | 一种Web应用防火墙***的架构 |
| CN112367290A (zh) * | 2020-09-11 | 2021-02-12 | 浙江大学 | 一种内生安全waf构造方法 |
| CN112383528B (zh) * | 2020-11-09 | 2021-09-24 | 浙江大学 | 一种拟态waf的执行体构建方法 |
| CN112383528A (zh) * | 2020-11-09 | 2021-02-19 | 浙江大学 | 一种拟态waf的执行体构建方法 |
| JP2022107585A (ja) * | 2021-01-11 | 2022-07-22 | ペンタ・セキュリティ・システムズ・インコーポレーテッド | マシンラーニングセルフチェック機能を利用する非対面認証基盤ウェブファイアウォールメンテナンス方法および装置 |
| JP7278561B2 (ja) | 2021-01-11 | 2023-05-22 | ペンタ・セキュリティ・システムズ・インコーポレーテッド | マシンラーニングセルフチェック機能を利用する非対面認証基盤ウェブファイアウォールメンテナンス方法および装置 |
| CN113010897A (zh) * | 2021-03-19 | 2021-06-22 | 中国联合网络通信集团有限公司 | 云计算安全管理方法及其*** |
| CN113010897B (zh) * | 2021-03-19 | 2023-06-13 | 中国联合网络通信集团有限公司 | 云计算安全管理方法及其*** |
| CN113347258A (zh) * | 2021-06-04 | 2021-09-03 | 上海天旦网络科技发展有限公司 | 云流量下的数据采集监控分析的方法及*** |
| CN113347258B (zh) * | 2021-06-04 | 2023-02-07 | 上海天旦网络科技发展有限公司 | 云流量下的数据采集监控分析的方法及*** |
| CN114039751A (zh) * | 2021-10-26 | 2022-02-11 | 杭州博盾习言科技有限公司 | 一种网络动态感知装置、***和方法 |
| CN114237738A (zh) * | 2021-12-08 | 2022-03-25 | 山石网科通信技术股份有限公司 | 设备管理方法、装置、电子设备及计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107426252B (zh) | 2019-10-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107426252B (zh) | 提供web应用防火墙服务的方法和设备 | |
| US11711374B2 (en) | Systems and methods for understanding identity and organizational access to applications within an enterprise environment | |
| US11310284B2 (en) | Validation of cloud security policies | |
| CN110535831B (zh) | 基于Kubernetes和网络域的集群安全管理方法、装置及存储介质 | |
| CN111819544B (zh) | 用于虚拟计算资源的部署前安全分析器服务 | |
| US11290493B2 (en) | Template-driven intent-based security | |
| US11863580B2 (en) | Modeling application dependencies to identify operational risk | |
| CA2980583C (en) | Networking flow logs for multi-tenant environments | |
| JP6559694B2 (ja) | 自動sdk受容 | |
| US11290494B2 (en) | Reliability prediction for cloud security policies | |
| CN108965289B (zh) | 一种网络安全协同防护方法和*** | |
| US9467466B2 (en) | Certification of correct behavior of cloud services using shadow rank | |
| US10491621B2 (en) | Website security tracking across a network | |
| US20200382363A1 (en) | Cloud Security Management | |
| US11516222B1 (en) | Automatically prioritizing computing resource configurations for remediation | |
| JP2017532649A (ja) | 機密情報処理方法、装置、及び、サーバ、ならびに、セキュリティ決定システム | |
| WO2015149062A1 (en) | System and method for predicting impending cyber security events using multi channel behavioral analysis in a distributed computing environment | |
| CN113748410A (zh) | 用于基于组件的用户接口的声明性和反应性数据层 | |
| CN111404937B (zh) | 一种服务器漏洞的检测方法和装置 | |
| CN114679292B (zh) | 基于网络空间测绘的蜜罐识别方法、装置、设备及介质 | |
| CN101657793A (zh) | 用于配置防火墙的方法、***和计算机程序 | |
| CN103235918B (zh) | 可信文件的收集方法及*** | |
| CN116601630A (zh) | 通过动态蜜罐数据库响应生成防御目标数据库攻击 | |
| Verginadis et al. | Context-aware policy enforcement for PaaS-enabled access control | |
| CN115934202A (zh) | 一种数据管理方法、***、数据服务网关及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |