CN109587102A - 一种Web应用防火墙、防护***及访问方法 - Google Patents

一种Web应用防火墙、防护***及访问方法 Download PDF

Info

Publication number
CN109587102A
CN109587102A CN201710911865.7A CN201710911865A CN109587102A CN 109587102 A CN109587102 A CN 109587102A CN 201710911865 A CN201710911865 A CN 201710911865A CN 109587102 A CN109587102 A CN 109587102A
Authority
CN
China
Prior art keywords
waf
module
docker
web application
access request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201710911865.7A
Other languages
English (en)
Inventor
崔涛涛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Xin'an Spring Technology Co Ltd
Original Assignee
Beijing Xin'an Spring Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Xin'an Spring Technology Co Ltd filed Critical Beijing Xin'an Spring Technology Co Ltd
Priority to CN201710911865.7A priority Critical patent/CN109587102A/zh
Publication of CN109587102A publication Critical patent/CN109587102A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • H04L63/0218Distributed architectures, e.g. distributed firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1095Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种Web应用防火墙、防护***及访问方法。其中,一种web应用防火墙,包括至少一个WAF模块,每个所述WAF模块分别安装在一Docker容器中形成WAF Docker模块;每个WAF Docker模块,与每个Web服务器一对一连接,用于检测接收到的原始访问请求是否存在攻击行为,若存在,返回阻断页面;否则,将所述原始访问请求转发至所述Web服务器。本发明的Web应用防火墙安装部署、升级和卸载均简单方便。

Description

一种Web应用防火墙、防护***及访问方法
技术领域
本发明属于安全防护技术领域,具体涉及一种Web应用防火墙、防护***及访问方法。
背景技术
Web Application Firewall又名WEB应用安全防火墙,简称WAF。WAF是一种专门针对Web服务器进行深度防护的设备。一般具有异常输入检查、输入验证、防篡改、自学习等功能。
现有技术中的一台WAF防护多台Web服务器,这样会存在以下问题:
一、安装部署比较复杂,需要在网络中增加新的硬件设备,增加新的硬件设备就需要改变原有网络的拓扑,并且会增加电源能耗。
二、当业务访问量大的时候,需要增加新的Web服务器,原有的WAF可能会性能不足,需要替换。
发明内容
(一)发明目的
本发明的目的是提供一种web应用防火墙、防护***及访问方法。
(二)技术方案
为解决上述问题,本发明的第一方面提供了一种web应用防火墙,包括至少一个WAF模块,每个所述WAF模块分别安装在一Docker容器中形成WAF Docker模块;每个WAFDocker模块,与每个Web服务器一对一连接,用于检测接收到的原始访问请求是否存在攻击行为,若存在,返回阻断页面;否则,将所述原始访问请求转发至所述Web服务器。
进一步地,WAF Docker模块包括:反向代理模块,用于将原始访问请求发送到攻击检测模块,如果攻击检测模块未发现攻击,将原始访问请求发送到Web服务器的端口,或者如果攻击检测模块发现了攻击,拒绝原始访问请求;攻击检测模块,用于检测用户的原始访问请求中是否有恶意攻击行为,以及当检测到没有恶意攻击行为时,发送转发的消息至反向代理模块,当检测到有恶意攻击行为时,发送拒绝转发的消息至反向代理模块。
进一步地,还包括:地址转换模块,与所述WAF Docker模块的入接口连接,用于接收用户的原始访问请求,并将所述原始访问请求中的目的地址转换为所述WAF Docker模块的地址和端口,得到转换后访问请求,以使所述转换后访问请求转发至所述WAF Docker模块。
进一步地,地址转换模块包括:第一地址转换单元,用于将访问Web服务器的80端口的流量,经过目的地址转换,转换到WAF docker监听的HTTP端口;第二地址转换单元,用于将访问Web服务器的443端口的流量,经过目的地址转换,转换到WAF docker监听的HTTPS端口。
进一步地,还包括:打包移植模块,用于将所述web应用安全防火墙的应用包和依赖包打包且移植至Docker容器;镜像文件创建模块,用于基于所述应用包和所述依赖包,创建所述web应用安全防火墙的镜像文件。
根据本发明的另一个方面,提供一种web应用防护***,包括一种web应用防火墙,以进行web应用访问的安全防护。
根据本发明的又一方面,提供一种web应用访问方法,包括:将WAF模块安装至Docker容器中,得到WAF Docker模块;将每个所述WAF Docker模块与每个Web服务器一对一连接;接收web应用的原始访问请求,并按照预设的转发规则将所述访问请求转发至相应的WAF Docker模块;WAF Docker模块检测所述访问请求是否存在攻击行为,若存在,返回阻断页面;否则,将所述访问请求转发至所述Web服务。
进一步地,所述访问方法还包括:将所述web应用安全防火墙的应用包和依赖包打包且移植至Docker容器;所述Docker容器基于所述应用包和所述依赖包,创建所述web应用安全防火墙的镜像文件。
进一步地,按照预设的转发规则将所述访问请求转发至相应的WAF Docker模块的步骤包括:将访问Web服务器的80端口的流量,经过目的地址转换,转换到WAF docker监听的HTTP端口;
进一步地,按照预设的转发规则将所述访问请求转发至相应的WAF Docker模块的步骤包括:将访问Web服务器的443端口的流量,经过目的地址转换,转换到WAF docker监听的HTTPS端口。
本发明通过将每个WAF模块分别安装在一Docker容器中形成WAF Docker模块,利用Docker容器代理Web服务器的访问,实现阻断Web攻击的功能。相较于现有技术来说,在安装总署时,只需要基于Docker在每台Web服务器上单独部署WAF,不需要集中部署,进而避免了在网络中增加新的硬件设备时,需要改变原有网络的拓扑,同时增加电源能耗这一缺陷,由于每个WAF Docker模块与每个Web服务器一对一连接形成分布式架构,因此当业务访问量大的时候,由于分布式架构的分布计算特点,能随着业务能力弹性扩展,只要用户增加了新的Web服务器,WAF的处理能力也会随着增加的特点,不会出现原有的WAF出现性能不足的问题,基于Docker实现的WAF,只需要通过Docker下载镜像,就可以实现Web应用防火墙的功能。如果需要升级也只需要重新下载新的镜像,就可以实现WAF的升级,如果需要卸载则可通过直接删除镜像文件来实现,具有安装部署、升级、卸载方便的优点。
附图说明
图1是现有技术中Web应用访问的网络架构图;
图2是本发明一种Web应用防火墙的第一实施方式的网络架构示意图;
图3是本发明一种Web应用防火墙的第二实施方式的网络架构示意图;
图4是本发明一种Web应用防火墙的第三实施方式的网络架构示意图;
图5是本发明一种Web应用防火墙中地址转换模块的结构示意图;
图6是本发明一种Web应用防火墙中地址转换模块的另一种结构示意图;
图7是单台Linux服务器的架构图;
图8是本发明一种Web应用防火墙的第四实施方式的网络架构示意图;
图9是本发明一种Web应用访问方法的第一实施方式的流程示意图;
图10是本发明一种Web应用访问方法的第二实施方式的流程示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明了,下面结合具体实施方式并参照附图,对本发明进一步详细说明。应该理解,这些描述只是示例性的,而并非要限制本发明的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本发明的概念。
本发明的技术术语包括:
WAF(Web Application Firewall):Web应用安全防火墙。
在介绍本发明实施方式前,首先介绍一下Docker容器。Docker是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的Linux机器上,也可以实现虚拟化。容器是完全使用沙箱机制,相互之间不会有任何接口。
图1是现有技术中Web应用访问的网络架构图。
如图1所示,一台WAF与多台Web服务器连接,用户的客户端与WAF直接连接,当用户的客户端有流量访问时,则直接发送至WAF,由WAF进行攻击行为检测,如果检测到存在攻击行为,则将该流量访问丢弃掉,如果不存在攻击行为,则将该流量访问转发至相应的Web服务器。其存在如下技术问题:
问题一:安装总署比较复杂,需要考虑不同的操作***和版本之间的差距。
问题二:版本升级和维护比较困难,需要卸载旧的软件,重新安装新版本的软件。
图2是本发明一种Web应用防火墙的第一实施方式的网络架构示意图。
如图2所示,该Web应用防火墙包括至少一个WAF模块,每个所述WAF模块分别安装在一Docker容器中形成WAF Docker模块;每个WAF Docker模块,与每个Web服务器一对一连接形成分布式架构,用于检测接收到的原始访问请求是否存在攻击行为,若存在,返回阻断页面;否则,将所述原始访问请求转发至所述Web服务器。其中,原始访问请求是来自用户的客户端的流量访问,其源地址为用户的客户端地址,目的地址为WAF所在Docker容器的端口地址,相比较现有技术的Web访问流程,其目的地址发生了变化。其中,WAF和Web服务器是安装在同一个操作***下。
本发明第一实施方式通过将WAF模块安装在Docker容器中形成一WAF Docker模块,将每个WAF Docker模块与每个Web服务器一对一连接,采用WAF Docker模块来检测接收到的原始访问请求是否存在攻击行为,若存在,返回阻断页面;否则,将所述原始访问请求转发至所述Web服务器。本发明的Web应用防火墙为分布式部署,不需要在网络中增加专门的硬件,就可以将WAF和Web服务器安装在同一个操作***下。避免了现有技术中在将WAF和Web服务器安装在同一个操作***下时,需要在网络中增加新的硬件设备,导致需要改变原有网络的拓扑,增加电源能耗的问题;由于其为分布式架构,因此能随着业务能力弹性扩展,只要用户增加了新的Web服务器,WAF的处理能力也会随着增加;由于其是安装在Docker容器内,因此只需要通过Docker下载WAF的镜像,就可以实现Web应用防火墙的功能。当需要升级WAF时,只需要重新下载新的镜像,就可以实现WAF的升级,当需要卸载时,只需要将镜像文件直接删除即可,避免了现有技术中的复杂操作。
图3是本发明一种Web应用防火墙的第二实施方式的网络架构示意图。
如图3所示,WAF Docker模块包括:
反向代理模块,用于将原始访问请求发送到攻击检测模块,如果攻击检测模块未发现攻击,将原始访问请求发送到Web服务器的端口,或者如果攻击检测模块发现了攻击,拒绝原始访问请求;其中,反向代理可以采用nginx技术来实现。
攻击检测模块,连接至反向代理模块,用于检测用户的原始访问请求中是否有恶意攻击行为,以及当检测到没有恶意攻击行为时,发送转发的消息至反向代理模块,当检测到有恶意攻击行为时,发送拒绝转发的消息至反向代理模块。
其中,WAF Docker模块是工作在反向代理模式,反向代理方式是指以代理服务器来接受internet上的连接请求,然后将请求转发给内部网络上的服务器,并将从服务器上得到的结果返回给internet上请求连接的客户端,此时代理服务器对外就表现为一个反向代理服务器,用来代理Web服务器的访问,达到阻断Web访问的目的。
图4是本发明一种Web应用防火墙的第三实施方式的网络架构示意图。
如图4所示,该Web应用防火墙还包括:
地址转换模块,与所述WAF Docker模块的入接口连接,用于接收用户的原始访问请求,并将所述原始访问请求中的目的地址转换为所述WAF Docker模块的地址和端口,得到转换后访问请求,以使所述转换后访问请求转发至所述WAF Docker模块。
如图5所示,地址转换模块包括:第一地址转换单元,用于将访问Web服务器的80端口的流量,经过目的地址转换,转换到WAF docker监听的HTTP端口;
如图6所示,地址转换模块包括:第二地址转换单元,用于将访问Web服务器的443端口的流量,经过目的地址转换,转换到WAF docker监听的HTTPS端口。
具体地,是将从外界访问Web服务器的流量,通过iptables做NAT(NetworkAddress Translation,网络地址转换)重定向到WAF Docker监听的端口。图7为单台Linux服务器的架构示意图。如图7所示,假如设定由WAF Docker模块的8081端口监听从外界访问Web服务器的流量,由Web服务器的80端口监听访问Web服务器的流量,那么在接收到原始访问请求时,会通过地址转换模块将原始访问请求中的目的地址转换为WAF Docker的地址,WAF Docker的8081端口在监听到该转换了地址的访问请求时,会将该转换了地址的访问请求接收并转发至WAF Docker的处理模块进行攻击行为检测,如若未检测到攻击行为,则将转换后的目的地址再转换为原始访问请求的目的地址,转发至Web服务器进行Web访问。
其中,Iptables是用来设置、维护和检查Linux内核的IP包过滤规则的。可以通过定义不同的表,每个表都包含几个内部的链,也能包含用户定义的链。每个链都是一个规则列表,对对应的包进行匹配,每条规则指定应当如何处理与之相匹配的包。这被称作“target(目标)”,也可以跳向同一个表内的用户定义的链。
图8是本发明一种Web应用防火墙的第四实施方式的网络架构示意图。
如图8所示,该Web应用防火墙还包括:打包移植模块,用于将所述web应用安全防火墙的应用包和依赖包打包且移植至Docker容器;镜像文件创建模块,用于基于所述应用包和所述依赖包,创建所述web应用安全防火墙的镜像文件。
具体地,地址转换模块是按照如下方法进行地址转换:
将原来访问Web服务器的80端口的流量,经过目的地址转换,转换到WAF docker监听的HTTP端口(默认为8081)。
具体地,地址转换模块还可以是按照如下方法进行地址转换:
将原来访问Web服务器的443端口的流量,经过目的地址转换,转换到WAF docker监听的HTTPS端口(默认为8082)。
图9是本发明一种Web应用访问方法的第一实施方式的流程示意图。
如图9所示,一种web应用访问方法,包括:
S1,将WAF模块安装至Docker容器中,得到WAF Docker模块;
S2,将每个WAF Docker模块与每个Web服务器一对一连接;
S3,接收web应用的原始访问请求,并按照预设的转发规则将所述访问请求转发至相应的WAF Docker模块;
S4,WAF Docker模块检测所述访问请求是否存在攻击行为,若存在,返回阻断页面;否则,将所述访问请求转发至所述Web服务器。
图10是本发明一种Web应用访问方法的第二实施方式的流程示意图。
如图10所示,将WAF模块安装至Docker容器中,得到WAF Docker模块的步骤S1包括:
S11,将所述web应用安全防火墙的应用包和依赖包打包且移植至Docker容器;
S12,所述Docker容器基于所述应用包和所述依赖包,创建所述web应用安全防火墙的镜像文件。
其中,按照预设的转发规则将所述访问请求转发至相应的WAF Docker模块可以是将访问Web服务器的80端口的流量,经过目的地址转换,转换到WAF docker监听的HTTP端口;也可以是将访问Web服务器的443端口的流量,经过目的地址转换,转换到WAF docker监听的HTTPS端口。
需要说明的是,步骤S31和步骤S32之间为并列关系。
显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明的描述中,需要说明的是,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
此外,下面所描述的本发明不同实施方式中所涉及的技术特征只要彼此之间未构成冲突就可以相互结合。
以上参照本发明的实施例对本发明予以了说明。但是,这些实施例仅仅是为了说明的目的,而并非为了限制本发明的范围。本发明的范围由所附权利要求及其等价物限定。不脱离本发明的范围,本领域技术人员可以做出多种替换和修改,这些替换和修改都应落在本发明的范围之内。
显然,上述实施例仅仅是为清楚地说明所作的举例,而并非对实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引伸出的显而易见的变化或变动仍处于本发明创造的保护范围之中。
本领域内的技术人员应明白,本发明的实施例可提供为方法、***、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

Claims (10)

1.一种web应用防火墙,其特征在于,包括至少一个WAF模块,每个所述WAF模块分别安装在一Docker容器中形成WAF Docker模块;
每个WAF Docker模块,与每个Web服务器一对一连接,用于检测接收到的原始访问请求是否存在攻击行为,若存在,返回阻断页面;否则,将所述原始访问请求转发至所述Web服务器。
2.根据权利要求1所述的一种web应用防火墙,其特征在于,所述WAF Docker模块包括:
反向代理模块,用于将原始访问请求发送到攻击检测模块,如果攻击检测模块未发现攻击,将原始访问请求发送到Web服务器的端口,或者如果攻击检测模块发现了攻击,拒绝原始访问请求;
攻击检测模块,连接至反向代理模块,用于检测用户的原始访问请求中是否有恶意攻击行为,以及当检测到没有恶意攻击行为时,发送转发的消息至反向代理模块,当检测到有恶意攻击行为时,发送拒绝转发的消息至反向代理模块。
3.根据权利要求1所述的一种web应用防火墙,其特征在于,还包括:
地址转换模块,与所述WAF Docker模块的入接口连接,用于接收用户的原始访问请求,并将所述原始访问请求中的目的地址转换为所述WAF Docker模块的地址和端口,得到转换后访问请求,以使所述转换后访问请求转发至所述WAF Docker模块。
4.根据权利要求3所述的一种web应用防火墙,其特征在于,所述地址转换模块包括:
地址转换单元,用于将访问Web服务器的80端口的流量,经过目的地址转换,转换到WAFdocker监听的HTTP端口,或者用于将访问Web服务器的443端口的流量,经过目的地址转换,转换到WAF docker监听的HTTPS端口。
5.根据权利要求3所述的一种web应用防火墙,其特征在于,还包括:打包移植模块,用于将所述web应用安全防火墙的应用包和依赖包打包且移植至Docker容器;
镜像文件创建模块,用于基于所述应用包和所述依赖包,创建所述web应用安全防火墙的镜像文件。
6.一种web应用防护***,其特征在于,包括如权利要求1-5任一项所述的一种web应用防火墙,以进行web应用访问的安全防护。
7.一种web应用访问方法,其特征在于,包括:
将WAF模块安装至Docker容器中,得到WAF Docker模块;
将每个所述WAF Docker模块与每个Web服务器一对一连接;
接收web应用的原始访问请求,并按照预设的转发规则将所述访问请求转发至相应的WAF Docker模块;
WAF Docker模块检测所述访问请求是否存在攻击行为,若存在,返回阻断页面;否则,将所述访问请求转发至所述Web服务。
8.根据权利要求7所述的一种web应用访问方法,其特征在于,所述访问方法还包括:
将所述web应用安全防火墙的应用包和依赖包打包且移植至Docker容器;
所述Docker容器基于所述应用包和所述依赖包,创建所述web应用安全防火墙的镜像文件。
9.根据权利要求7所述的一种Web应用访问方法,其特征在于,按照预设的转发规则将所述访问请求转发至相应的WAF Docker模块的步骤包括:
将访问Web服务器的80端口的流量,经过目的地址转换,转换到WAF docker监听的HTTP端口。
10.根据权利要求7所述的一种Web应用访问方法,其特征在于,按照预设的转发规则将所述访问请求转发至相应的WAF Docker模块的步骤包括:
将访问Web服务器的443端口的流量,经过目的地址转换,转换到WAF docker监听的HTTPS端口。
CN201710911865.7A 2017-09-29 2017-09-29 一种Web应用防火墙、防护***及访问方法 Pending CN109587102A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710911865.7A CN109587102A (zh) 2017-09-29 2017-09-29 一种Web应用防火墙、防护***及访问方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710911865.7A CN109587102A (zh) 2017-09-29 2017-09-29 一种Web应用防火墙、防护***及访问方法

Publications (1)

Publication Number Publication Date
CN109587102A true CN109587102A (zh) 2019-04-05

Family

ID=65919397

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710911865.7A Pending CN109587102A (zh) 2017-09-29 2017-09-29 一种Web应用防火墙、防护***及访问方法

Country Status (1)

Country Link
CN (1) CN109587102A (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110188574A (zh) * 2019-06-06 2019-08-30 上海帆一尚行科技有限公司 一种Docker容器的网页防篡改***及其方法
CN110928568A (zh) * 2019-11-05 2020-03-27 杭州衣科信息技术有限公司 一种发布更新web应用程序时业务服务不间断的方法
US11153278B2 (en) * 2018-03-28 2021-10-19 Beijing Xiaomi Mobile Software Co., Ltd. Method and device for information interaction
CN113595802A (zh) * 2021-08-09 2021-11-02 山石网科通信技术股份有限公司 分布式防火墙的升级方法及其装置
CN114237738A (zh) * 2021-12-08 2022-03-25 山石网科通信技术股份有限公司 设备管理方法、装置、电子设备及计算机可读存储介质
CN114257413A (zh) * 2021-11-19 2022-03-29 南方电网数字电网研究院有限公司 基于应用容器引擎的反制阻断方法、装置和计算机设备

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101902456A (zh) * 2010-02-09 2010-12-01 北京启明星辰信息技术股份有限公司 一种Web网站安全防御***
CN105376303A (zh) * 2015-10-23 2016-03-02 深圳前海达闼云端智能科技有限公司 一种Docker实现***及其通信方法
US9521115B1 (en) * 2016-03-24 2016-12-13 Varmour Networks, Inc. Security policy generation using container metadata
CN106453272A (zh) * 2015-10-30 2017-02-22 远江盛邦(北京)网络安全科技股份有限公司 透明反向代理模式下的 ip 地址还原方法
CN106973058A (zh) * 2017-03-31 2017-07-21 北京奇艺世纪科技有限公司 一种Web应用防火墙规则更新方法、装置及***

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101902456A (zh) * 2010-02-09 2010-12-01 北京启明星辰信息技术股份有限公司 一种Web网站安全防御***
CN105376303A (zh) * 2015-10-23 2016-03-02 深圳前海达闼云端智能科技有限公司 一种Docker实现***及其通信方法
CN106453272A (zh) * 2015-10-30 2017-02-22 远江盛邦(北京)网络安全科技股份有限公司 透明反向代理模式下的 ip 地址还原方法
US9521115B1 (en) * 2016-03-24 2016-12-13 Varmour Networks, Inc. Security policy generation using container metadata
CN106973058A (zh) * 2017-03-31 2017-07-21 北京奇艺世纪科技有限公司 一种Web应用防火墙规则更新方法、装置及***

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
六月的星期天: "基于Kubernetes的WAF集群介绍", 《博客园》 *

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11153278B2 (en) * 2018-03-28 2021-10-19 Beijing Xiaomi Mobile Software Co., Ltd. Method and device for information interaction
CN110188574A (zh) * 2019-06-06 2019-08-30 上海帆一尚行科技有限公司 一种Docker容器的网页防篡改***及其方法
CN110928568A (zh) * 2019-11-05 2020-03-27 杭州衣科信息技术有限公司 一种发布更新web应用程序时业务服务不间断的方法
CN113595802A (zh) * 2021-08-09 2021-11-02 山石网科通信技术股份有限公司 分布式防火墙的升级方法及其装置
CN114257413A (zh) * 2021-11-19 2022-03-29 南方电网数字电网研究院有限公司 基于应用容器引擎的反制阻断方法、装置和计算机设备
CN114257413B (zh) * 2021-11-19 2023-10-03 南方电网数字平台科技(广东)有限公司 基于应用容器引擎的反制阻断方法、装置和计算机设备
CN114237738A (zh) * 2021-12-08 2022-03-25 山石网科通信技术股份有限公司 设备管理方法、装置、电子设备及计算机可读存储介质

Similar Documents

Publication Publication Date Title
CN109587102A (zh) 一种Web应用防火墙、防护***及访问方法
US10567411B2 (en) Dynamically adapted traffic inspection and filtering in containerized environments
US10185638B2 (en) Creating additional security containers for transparent network security for application containers based on conditions
US10693899B2 (en) Traffic enforcement in containerized environments
CN107852604B (zh) 用于提供全局虚拟网络(gvn)的***
US11218445B2 (en) System and method for implementing a web application firewall as a customized service
US10469596B2 (en) Method and apparatus for dynamic destination address control in a computer network
JP2018513505A (ja) システム層間でデータオペレーション機能を分割する方法
CN109391635B (zh) 基于双向网闸的数据传输方法、装置、设备及介质
WO2014057380A2 (en) Virtual firewall mobility
CN109450766B (zh) 一种工作区级vpn的访问处理方法及装置
US11539722B2 (en) Security threat detection based on process information
KR101200906B1 (ko) 네트워크 기반 고성능 유해사이트 차단 시스템 및 방법
WO2023040303A1 (zh) 网络流量控制方法以及相关***
EP3864821A1 (en) Methods and apparatus to detect and prevent host firewall bypass threats through a data link layer
US11874845B2 (en) Centralized state database storing state information
WO2016106510A1 (zh) 一种安全防护方法,及装置
CN112822146A (zh) 网络连接的监控方法、装置、***和计算机可读存储介质
CN109905352B (zh) 一种基于加密协议审计数据的方法、装置和存储介质
CN117914559A (zh) 基于cni网络插件的网络流量检测及管控方法及***
CN111865950B (zh) 一种拟态网络测试仪及测试方法
CN105100101A (zh) 一种基于ssl会话的方法、装置及***
CN104717316B (zh) 一种跨nat环境下客户端接入方法和***
CN102123102B (zh) 节点保护方法、包过滤装置及虚拟网络***
KR20120049570A (ko) 클라우드 보안 아키텍처를 사용한 스마트폰 바이러스 검출 방법 및 장치

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20190405

RJ01 Rejection of invention patent application after publication