CN107992547A - 一种网站应用部署方法及装置 - Google Patents
一种网站应用部署方法及装置 Download PDFInfo
- Publication number
- CN107992547A CN107992547A CN201711209045.XA CN201711209045A CN107992547A CN 107992547 A CN107992547 A CN 107992547A CN 201711209045 A CN201711209045 A CN 201711209045A CN 107992547 A CN107992547 A CN 107992547A
- Authority
- CN
- China
- Prior art keywords
- application program
- application
- rule
- target
- program
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 36
- 238000010586 diagram Methods 0.000 description 6
- 238000004891 communication Methods 0.000 description 4
- 101150103933 VMAC gene Proteins 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000004883 computer application Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000005012 migration Effects 0.000 description 1
- 238000013508 migration Methods 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000036316 preload Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/958—Organisation or management of web site content, e.g. publishing, maintaining pages or automatic linking
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/084—Configuration by using pre-existing information, e.g. using templates or copying from other elements
- H04L41/0843—Configuration by using pre-existing information, e.g. using templates or copying from other elements based on generic templates
Landscapes
- Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Stored Programmes (AREA)
Abstract
本发明公开了一种网站应用部署方法,该方法包括:获得目标网站应用程序集合,并确定部署目标网站应用程序集合所使用的目标业务模板,应用目标业务模板对目标网站应用程序集合进行部署。其中,目标业务模板至少包含:服务器的配置信息、服务器之间的网络连接信息以及安全访问规则信息。应用本发明所提供的技术方案,由于提供给用户的目标业务模板的服务器配置完毕,服务器的网络连接以及安全访问规则也预先进行了设定,提高了用户进行网站应用程序业务部署时的效率,提高了用户的业务模板使用体验。本发明还公开了一种网站应用部署装置,具有相应技术效果。
Description
技术领域
本发明涉及计算机应用技术领域,特别是涉及一种网站应用部署方法及装置。
背景技术
随着计算机技术以及网络技术的进步,提供云服务的云平台不断发展。云租户的大部分业务是网站应用业务,用户可以将网站应用业务运行在公有云上。
现有技术中,为了方便用户的业务部署,云平台提供商会提供业务模板,而部分业务模板只配置好服务器,用户在租用服务器并将业务部署到服务器上之后,需要自己设置网络连接和安全访问规则,还需要自己添加各种安全设备,例如防火墙,负载均衡等,并完成安全设备的配置,这给用户带来了业务部署上的困难,特别是不具备网络通信以及网络安全知识的用户,这些用户在关注自身的业务时,还需要关注网络的相关知识。现有技术中还有一种配置好网络连接和安全访问规则的模板,但需要用户自己配置服务器以及安全设备,此外,这种配置方式的安全访问规则是基于IP和端口来定义访问连接,容易被恶意程序绕过,例如恶意程序只需要抢占部分端口即可绕过安全访问规则,存在安全隐患。
综上所述,为用户提供一种方便并且有效的网站应用部署方法,是目前本领域技术人员急需解决的技术问题。
发明内容
本发明的目的是提供一种网站应用部署方法及装置,以提高用户进行业务部署时的效率,提高用户的业务模板使用体验。
为解决上述技术问题,本发明提供如下技术方案:
一种网站应用部署方法,该方法包括:
获得目标网站应用程序集合;
确定部署所述目标网站应用程序集合所使用的目标业务模板;
应用所述目标业务模板对所述目标网站应用程序集合进行部署;
其中,所述目标业务模板至少包含:服务器的配置信息、服务器之间的网络连接信息以及安全访问规则信息。
优选的,所述目标业务模板还包含:虚拟安全组件的配置信息以及服务器与虚拟安全组件之间的连接信息。
优选的,所述虚拟安全组件包括虚拟应用防火墙vAF、虚拟应用交付vAD、虚拟接入控制vAC和虚拟安全套接层vSSL中的至少一个。
优选的,所述安全访问规则信息包含应用程序白名单规则;
在所述应用所述目标业务模板对所述目标网站应用程序集合进行部署之后,还包括:
在检测到第一应用程序待启动时,确定所述第一应用程序是否是***程序;
如果否,则确定所述第一应用程序是否符合所述应用程序白名单规则;
如果否,则禁止启动所述第一应用程序。
优选的,通过以下步骤确定所述第一应用程序是否待启动:
截获程序运行时的地址空间,当检测到地址空间切换时,确定所述第一应用程序待启动;
或者,
截获程序运行时的***调用指令,根据寄存器中的***调用号,确定所述第一应用程序是否待启动。
优选的,所述确定所述第一应用程序是否符合所述应用程序白名单规则,包括:
对所述第一应用程序进行签名获得第一签名;
确定所述第一签名与所述应用程序白名单规则中包含的至少一个签名是否相同,所述应用程序白名单规则中包含根据所述目标网站应用程序集合获得的签名;
如果是,则确定所述第一应用程序符合所述应用程序白名单规则。
优选的,在确定所述第一应用程序符合所述应用程序白名单规则之后,还包括:
启动所述第一应用程序,并对所述第一应用程序运行的第一地址空间进行标记,以使地址空间通过地址空间的标记与应用程序一一对应。
优选的,所述安全访问规则还包含网络连接白名单规则;
在所述启动所述第一应用程序之后,还包括:
当所述第一应用程序运行时,确定所述第一应用程序的网络连接是否符合所述网络连接白名单规则;
如果否,则禁止所述第一应用程序进行网络连接。
一种网站应用部署装置,该装置包括:
目标网站应用程序集合获得模块,用于获得目标网站应用程序集合;
目标业务模板确定模块,用于确定部署所述目标网站应用程序集合所使用的目标业务模板;
目标网站应用程序集合部署模块,用于应用所述目标业务模板对所述目标网站应用程序集合进行部署;
其中,所述目标业务模板至少包含:服务器的配置信息、服务器之间的网络连接信息以及安全访问规则信息。
优选的,所述目标业务模板还包含:虚拟安全组件的配置信息以及服务器与虚拟安全组件之间的连接信息。
优选的,所述虚拟安全组件包括虚拟应用防火墙vAF、虚拟应用交付vAD、虚拟接入控制vAC和虚拟安全套接层vSSL中的至少一个。
优选的,所述安全访问规则信息包含应用程序白名单规则;
还包括:
***程序确定模块,用于在所述应用所述目标业务模板对所述目标网站应用程序集合进行部署之后,在检测到第一应用程序待启动时,确定所述第一应用程序是否是***程序,如果否,则进入应用程序白名单规则确定模块;
所述应用程序白名单规则确定模块,用于确定所述第一应用程序是否符合所述应用程序白名单规则,如果否,则进入第一应用程序禁止模块;
所述第一应用程序禁止模块,用于禁止启动所述第一应用程序。
优选的,还包括第一应用程序待启动确定模块,具体用于通过以下步骤确定所述第一应用程序是否待启动:
截获程序运行时的地址空间,当检测到地址空间切换时,确定所述第一应用程序待启动;
或者,
截获程序运行时的***调用指令,根据寄存器中的***调用号,确定所述第一应用程序是否待启动。
优选的,所述应用程序白名单规则确定模块,具体用于:
对所述第一应用程序进行签名获得第一签名;
确定所述第一签名与所述应用程序白名单规则中包含的至少一个签名是否相同,所述应用程序白名单规则中包含根据所述目标网站应用程序集合获得的签名;
如果是,则确定所述第一应用程序符合所述应用程序白名单规则。
优选的,还包括标记模块,用于:
在确定所述第一应用程序符合所述应用程序白名单规则之后,启动所述第一应用程序,并对所述第一应用程序运行的第一地址空间进行标记,以使地址空间通过地址空间的标记与应用程序一一对应。
优选的,所述安全访问规则还包含网络连接白名单规则;
还包括网络连接禁止模块,用于:
在所述启动所述第一应用程序之后,当所述第一应用程序运行时,确定所述第一应用程序的网络连接是否符合所述网络连接白名单规则;
如果否,则禁止所述第一应用程序进行网络连接。
应用本发明实施例所提供的技术方案,获得目标网站应用程序集合之后,确定部署目标网站应用程序集合所使用的目标业务模板,应用目标业务模板对目标网站应用程序集合进行部署。其中,目标业务模板包含:服务器配置信息、网络连接信息以及安全访问规则信息。
由于提供给用户的目标业务模板的服务器配置完毕,服务器的网络连接以及安全访问规则也预先进行了设定,用户将网站应用程序上传到公有云并进行部署的时候,只需要关注网站应用程序对应的业务本身,不需要了解网络通信以及网络安全方面的知识,提高了用户进行网站应用程序部署时的效率,提高了用户的业务模板使用体验。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明中一种网站应用部署方法的实施流程图;
图2为本发明中三层模板和两层模板的架构图;
图3为本发明中包含单个虚拟安全组件的业务模板的架构图;
图4为本发明中包含两个虚拟安全组件的业务模板的架构图;
图5为本发明中一种网站应用部署装置的结构示意图。
具体实施方式
本发明的核心是提供一种网站应用部署方法,由于提供给用户的目标业务模板的服务器配置完毕,服务器之间的网络连接以及安全访问规则也预先进行了设定,提高了用户进行应用程序部署时的效率,提高了用户的业务模板使用体验。
为了使本技术领域的人员更好地理解本发明方案,下面结合附图和具体实施方式对本发明作进一步的详细说明。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参考图1,为本发明所提供的一种网站应用部署方法的实施流程图。该方法可以包括以下步骤:
S101:获得目标网站应用程序集合。
本发明实施例所提供的网站应用部署方法可以应用于虚拟机监视器Hypervisor。Hypervisor为所有虚拟化技术的核心,具有非中断地支持多工作负载迁移的能力,其运行时会给每一台虚拟机分配适量的内存、CPU、网络和磁盘,并加载所有虚拟机的客户操作***。
Hypervisor可以接收用户上传的目标网站应用程序集合,目标网站应用程序集合中可以是一个或者多个应用程序,当然,如果目标网站应用程序集合中包含多个应用程序,在应用目标业务模板进行部署时可以一次对每一个应用程序进行部署,并不影响本发明的实施。目标网站应用程序集合中的网站应用程序可以是如Apache、MySQL等应用程序。
网站应用程序可以分为二层结构和三层结构。其中,三层结构包括:WEB层、APP层以及DB层。其中,WEB层与客户端进行交互并将客户端命令提交给APP层,接收APP层的反馈并将数据和视图以可视化方式反馈给客户端。APP层负责网站应用的逻辑实现,接收WEB层的请求,当请求中需要进行数据库的查询时,向DB层发送请求并等待DB层的回应。DB层作为数据库层,负责网站应用所有持久性保存数据的增删查改。在二层结构中,将WEB层和APP层整合在一起,形成前端和逻辑层,DB层仍作为独立一层。业务运行在服务器上,服务器可以是虚拟机,也可以是容器。容器是一种比虚拟机轻量化的虚拟技术。
在获得目标网站应用程序集合之后,可以进行步骤S102的操作。
S102:确定部署目标网站应用程序集合所使用的目标业务模板。
其中,目标业务模板至少包含:服务器的配置信息、服务器之间的网络连接信息以及安全访问规则信息。
用户可以在上传目标网站应用程序集合之后,选择目标业务模板。Hypervisor可以根据用户的指令或者操作,确定用户选择的目标业务模板。目标业务模板至少包含服务器的配置信息、服务器之间的网络连接信息以及安全访问规则信息。
可参阅图2,当目标网站应用程序集合中网站应用程序是三层架构的时候,所应用的业务模板可以是三层网站应用业务模板,本申请文件中简称为三层模板。当目标网站应用程序集合中网站应用程序是二层架构的时候,所应用的业务模板可以是二层网站应用业务模板,本申请文件中简称为二层模板。在图2中,三层网站应用业务模板中的WEBX、APPY以及DBZ分别表示WEB层,APP层以及DB层的服务器数目。当然,服务器的数目可以由用户根据实际情况进行设定及调整,并不影响本发明的实施。二层网站应用业务模板中的WEB+APPX以及DBY分别表示WEB+APP层以及DB层的服务器数目。
需要说明的是,目标业务模板各层服务器之间的网络连接和安全访问规则都已经预设完毕,并不需要用户自行设置网络连接以及安全访问规则。
在本发明的一种具体实施方式中,目标业务模板还包含:虚拟安全组件的配置信息以及服务器与虚拟安全组件之间的连接信息。具体的,虚拟安全组件包括虚拟应用防火墙vAF、虚拟应用交付vAD、虚拟接入控制vAC和虚拟安全套接层vSSL中的至少一个。当然,在本发明的其他实施方式中,还可以有其他虚拟安全组件,本申请文件不一一列举。
图3中的(a)图表示,二层或三层模板通过vAF接入外网,(b)图表示二层或三层模板与vAC连接,并通过vAC接入外网,(c)图表示二层或三层模板与vSSL连接,并通过vSSL接入外网,(d)图表示vAD分别与两个二层或三层模板连接,并接入外网。当然,当虚拟安全组件为vAD时,还可以选择(e)图或者(f)图的连接方式,对于目标网站应用程序集合中网站应用程序是二层架构的情况可以用(e)图的连接方式,目标网站应用程序集合中网站应用程序是三层架构的情况可以用(f)图的连接方式。
需要说明的是,(e)图和(f)图中,对于各层的vAD,用户可以选择有或者无,并不影响本发明的实施。此外,可以预先设置vAD的默认规则,当然,用户也可以根据实际情况对vAD的规则进行设定和调整。用户也可以设定虚拟安全组件vAF、vAC以及vSSL的规则。
对于网站应用业务模板连接两个虚拟安全组件的情况,可以参阅图4所示。如图4中的(g)图所示,二层或者三层业务模板与两个vAF连接,这两个vAF与同一个vAD连接,vAD接入外网。如图4中的(h)图所示,两个二层或者三层业务模板与同一个vAD连接,vAD与vAF连接,vAF接入外网。如图4中的(i)图所示,二层或者三层业务模板与同一个vAF连接,vAF接入外网的同时还与一个vSSL连接。如图4中的(j)图所示,二层或者三层业务模板与同一个vAC连接,vAC接入外网的同时还与一个vSSL连接。
在确定部署目标网站应用程序集合所使用的目标业务模板之后,可以进入步骤S103的操作。
S103:应用目标业务模板对目标网站应用程序集合进行部署。
在确定目标业务模板之后,Hypervisor可以根据用户的操作或者指令,应用目标业务模板对目标网站应用程序集合进行部署。例如,Hypervisor可以将用户上传的目标网站应用程序集合中的各个网站应用程序的程序名称显示到应用程序备选栏中,用户可以将备选栏中的网站应用程序拖动到目标业务模板中,Hypervisor可以在检测到用户的拖动操作之后,应用用户选择的目标业务模板对目标网站应用程序集合进行部署。
应用本发明实施例所提供的技术方案,获得目标网站应用程序集合之后,确定部署目标网站应用程序集合所使用的目标业务模板,应用目标业务模板对目标网站应用程序集合进行部署。其中,目标业务模板包含:服务器的配置信息、服务器之间的网络连接信息以及安全访问规则信息。
由于提供给用户的目标业务模板的服务器配置完毕,服务器之间的网络连接以及安全访问规则也预先进行了设定,用户将网站应用程序上传到公有云并进行部署的时候,只需要关注网站应用程序对应的业务本身,不需要了解网络通信以及网络安全方面的知识,提高了用户进行网站应用程序部署时的效率,提高了用户的业务模板使用体验。
在本发明的一种具体实施方式中,安全访问规则信息包含应用程序白名单规则;
在步骤S103之后,还包括:
步骤一:在检测到第一应用程序待启动时,确定第一应用程序是否是***程序,如果否,则进入步骤二;
步骤二:确定第一应用程序是否符合应用程序白名单规则,如果否,则进入步骤三;
步骤三:禁止启动第一应用程序。
在对目标网站应用程序集合进行部署之后,当运行在虚拟机或者容器中的第一应用程序待启动时,Hypervisor可以截获第一应用程序,并且确定第一应用程序是否是***程序,例如,当第一应用程序为Apache时,Hypervisor截获Apache之后,确定Apache不是***程序。第一应用程序可能是目标网站应用程序集合中的一个应用程序。当确定第一应用程序不是***程序时,进一步确定第一应用程序是否符合应用程序白名单规则,如果否,则可以禁止第一应用程序的启动,如果是,则可以允许启动第一应用程序。应用程序白名单规则可以由用户设定。例如,用户将允许启动的应用程序的标识输入至应用程序白名单中。当然,需要说明的是,在本发明的一种具体实施方式中,可以将***程序列入到应用程序白名单中,当第一应用程序待启动时,Hypervisor确定第一应用程序是否符合应用程序白名单规则,如果否,则禁止启动第一应用程序。
在本发明的一种具体实施方式中,通过以下步骤确定第一应用程序是否待启动:
截获程序运行时的地址空间,当检测到地址空间切换时,确定第一应用程序待启动;
或者截获程序运行时的***调用指令,根据寄存器中的***调用号,确定第一应用程序是否待启动。
由于操作***中的每个应用程序都有自己运行的地址空间,当有新的应用程序执行时,新的应用程序会建立自己的新的地址空间。在本发明的该种实施方式中,Hypervisor可以对虚拟机中的程序运行的地址空间进行截获。例如可以通过硬件虚拟化截获mov-to-cr3指令,记录虚拟机中的程序运行时的地址空间,当第一应用程序待启动时,hypervisor确定程序运行的地址空间发生了变化,确定有新的应用程序待启动,拦截并获取第一应用程序。
在本发明的一种具体实施方式中,还可以采用截获程序运行时的***调用指令的方式截获第一应用程序。具体地:可以截获程序运行时的***调用指令,例如syscall指令和sysenter指令,当虚拟机执行***调用指令时,就会陷入到Hypervisor中,Hypervisor可以确定寄存器中的***调用号,根据***调用号,确定是否有新的应用程序待启动,例如,可以根据***调用号,确定是否是execve***调用,如果是execve***调用,可以确定有新的应用程序待启动。当第一应用程序待启动时,可以拦截并获取第一应用程序。
在本发明的一种具体实施方式中,上述步骤二中的确定第一应用程序是否符合应用程序白名单规则,包括以下步骤:
第一个步骤:对第一应用程序进行签名获得第一签名;
第二个步骤:确定第一签名与应用程序白名单规则中包含的至少一个签名是否相同,如果是,则进入第三个步骤,应用程序白名单规则中包含根据目标网站应用程序集合获得的签名;
第三个步骤,确定第一应用程序符合应用程序白名单规则。
为了便于描述,将上述三个步骤进行合并说明。
在本发明的该种实施方式中,在获得目标网站应用程序集合之后,Hypervisor可以计算并且存储目标网站应用程序集合的程序代码的签名,可以将目标网站应用程序集合的程序代码的签名保存在应用程序白名单中。当第一应用程序待启动时,可以对待启动的第一应用程序进行签名,获得第一签名,确定第一签名与应用程序白名单规则中包含的至少一个签名是否相同,如果是,则可以确定第一应用程序符合应用程序白名单规则,否则,可以确定第一应用程序不符合应用程序白名单规则,并且禁止第一应用程序的启动。
需要说明的是,由于操作***采用了分页机制,第一应用程序的程序代码是随着程序的运行逐步加载到内存中的,也就是说,当第一应用程序启动时,内存中可能只加载了部分应用程序而不是全部的应用程序,Hypervisor在获得第一签名的时候,得到的可能是部分第一应用程序的程序代码的签名。因此,Hypervisor可以在第一应用程序待启动时,将第一应用程序的所有代码预加载到内存中,可以避免上述问题的发生。当然另一种实施方式是在目标网站应用程序集合上传时,将目标网站应用程序集合的程序代码切分为代码块,例如切分为4096字节大小的代码块,对每一个代码块进行单独签名。当第一应用程序待启动时,Hypervisor对加载到内存中的第一应用程序的代码块进行签名并与目标网站应用程序集合上传时的相应代码块的签名进行对比,当第一应用程序的剩余代码块加载到内存中时,Hypervisor可以继续对这些代码块进行签名验证。
在本发明的一种具体实施方式中,在确定第一应用程序符合应用程序白名单规则之后,还包括:
启动第一应用程序,并对第一应用程序运行的第一地址空间进行标记,以使地址空间通过地址空间的标记与应用程序一一对应。
由于操作***中的每个应用程序都运行在自己的地址空间,采用本发明的该种实施方式,能够通过地址空间的标记,确定虚拟机或者容器中正在运行的应用程序。具体的,在第一应用程序待启动时,对第一应用程序运行的第一地址空间进行标记,例如可以通过地址空间页表的基地址来标记第一地址空间。当应用程序在虚拟机中运行时,Hypervisor可以根据地址空间的标记确定正在运行的应用程序。例如,当应用程序在虚拟机中运行时,Hypervisor截获该应用程序的运行的地址空间,当Hypervisor确定程序运行的地址空间发生了变化,并且跳转到第一地址空间时,根据第一应用程序待启动时对第一地址空间的标记,Hypervisor可以确定虚拟机跳转到的应用程序为第一应用程序。当然,需要说明的是,在本发明的一种具体实施方式中,当第一应用程序在虚拟机中运行并且发生地址空间切换时,Hypervisor可以截获该地址空间的切换,确定第一应用程序将要切换至的地址空间的标记,根据标记确定与该标记对应的应用程序是否是应用程序白名单规则中的应用程序,如果否,Hypervisor可以禁止第一应用程序进行这一次地址空间的切换。
在本发明的一种具体实施方式中,安全访问规则还包含网络连接白名单规则;
在启动第一应用程序之后,还包括:
当第一应用程序运行时,确定第一应用程序的网络连接是否符合网络连接白名单规则;
如果否,则禁止第一应用程序进行网络连接。
用户可以在目标网站应用程序集合部署时,设置网络连接白名单规则。当第一应用程序启动并且运行时,Hypervisor可以截获第一应用程序的网络相关的***调用,例如截获socket调用,并对***调用的参数进行验证,确定第一应用程序的网络连接是否符合网络连接白名单规则,例如确定第一应用程序的网络连接的IP号和端口号是否符合网络连接白名单规则。如果第一应用程序的网络连接符合网络连接白名单规则,可以允许第一应用程序进行网络连接,否则可以禁止第一应用程序的此次网络连接。
相应于上面的方法实施例,本发明实施例还提供了一种网站应用部署装置,下文描述的一种网站应用部署装置与上文描述的一种网站应用部署方法可相互对应参照。
参见图5所示,为本发明中一种网站应用部署装置的结构示意图,该装置包括以下模块:
目标网站应用程序集合获得模块501,用于获得目标网站应用程序集合;
目标业务模板确定模块502,用于确定部署目标网站应用程序集合所使用的目标业务模板,其中,目标业务模板至少包含:服务器的配置信息、服务器之间的网络连接信息以及安全访问规则信息;
目标网站应用程序集合部署模块503,用于应用目标业务模板对目标网站应用程序集合进行部署。
应用本发明实施例所提供的装置,获得目标网站应用程序集合之后,确定部署目标网站应用程序集合所使用的目标业务模板,应用目标业务模板对目标网站应用程序集合进行部署。其中,目标业务模板包含:服务器的配置信息、服务器之间的网络连接信息以及安全访问规则信息。
由于提供给用户的目标业务模板的服务器配置完毕,服务器之间的网络连接以及安全访问规则也预先进行了设定,用户将网站应用程序上传到公有云并进行部署的时候,只需要关注网站应用程序对应的业务本身,不需要了解网络通信以及网络安全方面的知识,提高了用户进行网站应用程序部署时的效率,提高了用户的业务模板使用体验。
在本发明的一种具体实施方式中,目标业务模板还包含:虚拟安全组件的配置信息以及服务器与虚拟安全组件的连接信息。
在本发明的一种具体实施方式中,虚拟安全组件包括虚拟应用防火墙vAF、虚拟应用交付vAD、虚拟接入控制vAC和虚拟安全套接层vSSL中的至少一个。
在本发明的一种具体实施方式中,安全访问规则信息包含应用程序白名单规则;
还包括:
***程序确定模块,用于在应用目标业务模板对目标网站应用程序集合进行部署之后,在检测到第一应用程序待启动时,确定第一应用程序是否是***程序,如果否,则进入应用程序白名单规则确定模块;
应用程序白名单规则确定模块,用于确定第一应用程序是否符合应用程序白名单规则,如果否,则进入第一应用程序禁止模块;
第一应用程序禁止模块,用于禁止启动第一应用程序。
在本发明的一种具体实施方式中,还包括第一应用程序待启动确定模块,具体用于通过以下步骤确定所述第一应用程序是否待启动:
截获程序运行时的地址空间,当检测到地址空间切换时,确定第一应用程序待启动;
或者,
截获程序运行时的***调用指令,根据寄存器中的***调用号,确定第一应用程序是否待启动。
在本发明的一种具体实施方式中,应用程序白名单规则确定模块,具体用于:
对第一应用程序进行签名获得第一签名;
确定第一签名与应用程序白名单规则中包含的至少一个签名是否相同,应用程序白名单规则中包含根据目标网站应用程序集合获得的签名;
如果是,则确定第一应用程序符合应用程序白名单规则。
在本发明的一种具体实施方式中,还包括标记模块,用于:
在确定第一应用程序符合应用程序白名单规则之后,启动第一应用程序,并对第一应用程序运行的第一地址空间进行标记,以使地址空间通过地址空间的标记与应用程序一一对应。
在本发明的一种具体实施方式中,安全访问规则还包含网络连接白名单规则;
还包括网络连接禁止模块,用于:
在启动第一应用程序之后,当第一应用程序运行时,确定第一应用程序的网络连接是否符合网络连接白名单规则;
如果否,则禁止第一应用程序进行网络连接。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的技术方案及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。
Claims (16)
1.一种网站应用部署方法,其特征在于,包括:
获得目标网站应用程序集合;
确定部署所述目标网站应用程序集合所使用的目标业务模板;
应用所述目标业务模板对所述目标网站应用程序集合进行部署;
其中,所述目标业务模板至少包含:服务器的配置信息、服务器之间的网络连接信息以及安全访问规则信息。
2.根据权利要求1所述的方法,其特征在于,所述目标业务模板还包含:虚拟安全组件的配置信息以及服务器与虚拟安全组件之间的连接信息。
3.根据权利要求2所述的方法,其特征在于,所述虚拟安全组件包括虚拟应用防火墙vAF、虚拟应用交付vAD、虚拟接入控制vAC和虚拟安全套接层vSSL中的至少一个。
4.根据权利要求1至3任一项所述的方法,其特征在于,所述安全访问规则信息包含应用程序白名单规则;
在所述应用所述目标业务模板对所述目标网站应用程序集合进行部署之后,还包括:
在检测到第一应用程序待启动时,确定所述第一应用程序是否是***程序;
如果否,则确定所述第一应用程序是否符合所述应用程序白名单规则;
如果否,则禁止启动所述第一应用程序。
5.根据权利要求4所述的方法,其特征在于,通过以下步骤确定所述第一应用程序是否待启动:
截获程序运行时的地址空间,当检测到地址空间切换时,确定所述第一应用程序待启动;
或者,
截获程序运行时的***调用指令,根据寄存器中的***调用号,确定所述第一应用程序是否待启动。
6.根据权利要求4所述的方法,其特征在于,所述确定所述第一应用程序是否符合所述应用程序白名单规则,包括:
对所述第一应用程序进行签名获得第一签名;
确定所述第一签名与所述应用程序白名单规则中包含的至少一个签名是否相同,所述应用程序白名单规则中包含根据所述目标网站应用程序集合获得的签名;
如果是,则确定所述第一应用程序符合所述应用程序白名单规则。
7.根据权利要求4所述的方法,其特征在于,在确定所述第一应用程序符合所述应用程序白名单规则之后,还包括:
启动所述第一应用程序,并对所述第一应用程序运行的第一地址空间进行标记,以使地址空间通过地址空间的标记与应用程序一一对应。
8.根据权利要求7所述的方法,其特征在于,所述安全访问规则还包含网络连接白名单规则;
在所述启动所述第一应用程序之后,还包括:
当所述第一应用程序运行时,确定所述第一应用程序的网络连接是否符合所述网络连接白名单规则;
如果否,则禁止所述第一应用程序进行网络连接。
9.一种网站应用部署装置,其特征在于,包括:
目标网站应用程序集合获得模块,用于获得目标网站应用程序集合;
目标业务模板确定模块,用于确定部署所述目标网站应用程序集合所使用的目标业务模板;
目标网站应用程序集合部署模块,用于应用所述目标业务模板对所述目标网站应用程序集合进行部署;
其中,所述目标业务模板至少包含:服务器的配置信息、服务器之间的网络连接信息以及安全访问规则信息。
10.根据权利要求9所述的装置,其特征在于,所述目标业务模板还包含:虚拟安全组件的配置信息以及服务器与虚拟安全组件之间的连接信息。
11.根据权利要求10所述的装置,其特征在于,所述虚拟安全组件包括虚拟应用防火墙vAF、虚拟应用交付vAD、虚拟接入控制vAC和虚拟安全套接层vSSL中的至少一个。
12.根据权利要求9至11任一项所述的装置,其特征在于,所述安全访问规则信息包含应用程序白名单规则;
还包括:
***程序确定模块,用于在所述应用所述目标业务模板对所述目标网站应用程序集合进行部署之后,在检测到第一应用程序待启动时,确定所述第一应用程序是否是***程序,如果否,则进入应用程序白名单规则确定模块;
所述应用程序白名单规则确定模块,用于确定所述第一应用程序是否符合所述应用程序白名单规则,如果否,则进入第一应用程序禁止模块;
所述第一应用程序禁止模块,用于禁止启动所述第一应用程序。
13.根据权利要求12所述的装置,其特征在于,还包括第一应用程序待启动确定模块,具体用于通过以下步骤确定所述第一应用程序是否待启动:
截获程序运行时的地址空间,当检测到地址空间切换时,确定所述第一应用程序待启动;
或者,
截获程序运行时的***调用指令,根据寄存器中的***调用号,确定所述第一应用程序是否待启动。
14.根据权利要求12所述的装置,其特征在于,所述应用程序白名单规则确定模块,具体用于:
对所述第一应用程序进行签名获得第一签名;
确定所述第一签名与所述应用程序白名单规则中包含的至少一个签名是否相同,所述应用程序白名单规则中包含根据所述目标网站应用程序集合获得的签名;
如果是,则确定所述第一应用程序符合所述应用程序白名单规则。
15.根据权利要求12所述的装置,其特征在于,还包括标记模块,用于:
在确定所述第一应用程序符合所述应用程序白名单规则之后,启动所述第一应用程序,并对所述第一应用程序运行的第一地址空间进行标记,以使地址空间通过地址空间的标记与应用程序一一对应。
16.根据权利要求15所述的装置,其特征在于,所述安全访问规则还包含网络连接白名单规则;
还包括网络连接禁止模块,用于:
在所述启动所述第一应用程序之后,当所述第一应用程序运行时,确定所述第一应用程序的网络连接是否符合所述网络连接白名单规则;
如果否,则禁止所述第一应用程序进行网络连接。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711209045.XA CN107992547A (zh) | 2017-11-27 | 2017-11-27 | 一种网站应用部署方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711209045.XA CN107992547A (zh) | 2017-11-27 | 2017-11-27 | 一种网站应用部署方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107992547A true CN107992547A (zh) | 2018-05-04 |
Family
ID=62032163
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711209045.XA Pending CN107992547A (zh) | 2017-11-27 | 2017-11-27 | 一种网站应用部署方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107992547A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108959086A (zh) * | 2018-06-29 | 2018-12-07 | 北京金山数字娱乐科技有限公司 | 程序包测试部署方法、装置、***、电子设备及存储介质 |
CN110532768A (zh) * | 2019-08-21 | 2019-12-03 | 东软医疗***股份有限公司 | ***安全加固方法及装置 |
CN110765452A (zh) * | 2018-07-27 | 2020-02-07 | 深信服科技股份有限公司 | 虚拟机内运行应用识别方法、装置、设备及存储介质 |
CN113676561A (zh) * | 2021-07-16 | 2021-11-19 | 阿里巴巴新加坡控股有限公司 | 域名访问控制方法及装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101647012A (zh) * | 2007-03-23 | 2010-02-10 | 微软公司 | 统一服务管理 |
CN105100109A (zh) * | 2015-08-19 | 2015-11-25 | 华为技术有限公司 | 一种部署安全访问控制策略的方法及装置 |
CN105119909A (zh) * | 2015-07-22 | 2015-12-02 | 国家计算机网络与信息安全管理中心 | 一种基于页面视觉相似性的仿冒网站检测方法和*** |
-
2017
- 2017-11-27 CN CN201711209045.XA patent/CN107992547A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101647012A (zh) * | 2007-03-23 | 2010-02-10 | 微软公司 | 统一服务管理 |
CN105119909A (zh) * | 2015-07-22 | 2015-12-02 | 国家计算机网络与信息安全管理中心 | 一种基于页面视觉相似性的仿冒网站检测方法和*** |
CN105100109A (zh) * | 2015-08-19 | 2015-11-25 | 华为技术有限公司 | 一种部署安全访问控制策略的方法及装置 |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108959086A (zh) * | 2018-06-29 | 2018-12-07 | 北京金山数字娱乐科技有限公司 | 程序包测试部署方法、装置、***、电子设备及存储介质 |
CN110765452A (zh) * | 2018-07-27 | 2020-02-07 | 深信服科技股份有限公司 | 虚拟机内运行应用识别方法、装置、设备及存储介质 |
CN110765452B (zh) * | 2018-07-27 | 2023-09-08 | 深信服科技股份有限公司 | 虚拟机内运行应用识别方法、装置、设备及存储介质 |
CN110532768A (zh) * | 2019-08-21 | 2019-12-03 | 东软医疗***股份有限公司 | ***安全加固方法及装置 |
CN113676561A (zh) * | 2021-07-16 | 2021-11-19 | 阿里巴巴新加坡控股有限公司 | 域名访问控制方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107992547A (zh) | 一种网站应用部署方法及装置 | |
EP2732397B1 (en) | Computing device including a port and a guest domain | |
AU2013204797B2 (en) | Cloud based virtual environment authentication | |
US20150339464A1 (en) | Restricted accounts on a mobile platform | |
CN105379185A (zh) | 用于创建和管理网络群组的方法和*** | |
US9703581B2 (en) | Managing unallocated server farms in a desktop virtualization system | |
CN111355723B (zh) | 单点登录方法、装置、设备及可读存储介质 | |
US11113047B2 (en) | Systems and processes of accessing backend services with a mobile application | |
US20180007001A1 (en) | Providing security service | |
JP5587192B2 (ja) | アプリケーションのリモートオートプロビジョニング及びリモートオートパブリケーション | |
CN101876921A (zh) | 一种虚拟机迁移决策方法、装置及*** | |
US10241842B2 (en) | Cloud container resource binding and tasking using keys | |
DE102016102986A1 (de) | Standort- und Grenzbereichssteuerungen für Speicherungsvolumen | |
KR101478801B1 (ko) | 가상 머신을 이용한 클라우드 컴퓨팅 서비스를 제공하는 시스템 및 방법 | |
CN112613838A (zh) | 客户管理方法及相关装置 | |
US20150326495A1 (en) | System construction device and system construction method | |
CN111352737A (zh) | 一种基于资源池的容器云计算服务平台 | |
CN102662884A (zh) | 一种基于网络的设备驱动程序配置方法 | |
US20210067541A1 (en) | System and method for cyber training | |
CN103415847B (zh) | 用于访问服务的***和方法 | |
CN111884855A (zh) | 一种云服务***、方法和服务器 | |
CN103618767B (zh) | 一种虚拟机配置的方法以及相关设备 | |
CN104463747A (zh) | 信息安全仿真培训方法和*** | |
CN104539684B (zh) | 一种用户机器资源抽取整合方法及*** | |
CN107172038B (zh) | 一种用于提供安全服务的信息处理方法、平台、组件及*** |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180504 |
|
RJ01 | Rejection of invention patent application after publication |