CN112887317A - 一种基于vxlan网络对数据库的防护方法及*** - Google Patents
一种基于vxlan网络对数据库的防护方法及*** Download PDFInfo
- Publication number
- CN112887317A CN112887317A CN202110131813.4A CN202110131813A CN112887317A CN 112887317 A CN112887317 A CN 112887317A CN 202110131813 A CN202110131813 A CN 202110131813A CN 112887317 A CN112887317 A CN 112887317A
- Authority
- CN
- China
- Prior art keywords
- data packet
- vxlan
- judgment
- result
- matching
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提出了一种基于VXLAN网络对数据库的防护方法及***,涉及计算机网络通信领域。一种基于VXLAN网络对数据库的防护方法包括:获取数据包并对数据包的链路头部分进行解析;对解析后的数据包进行第一次判断,若判断结果为目标数据包,则按照第一预设规则进行解析,若判断结果为不是,则按照第二预设规则进行解析;根据解析结果匹配绑定风险策略并对匹配绑定策略进行第二次判断。其能够在VXLAN网络中,部署的数据库审计及防护***,实现报文解封装,支持VXLAN报文的转发,策略匹配风险告警和访问控制的能力。此外本发明还提出了一种基于VXLAN网络对数据库的防护***。
Description
技术领域
本发明涉及计算机网络通信领域,具体而言,涉及一种基于VXLAN网络对数据库的防护方法及***。
背景技术
现有技术应用虚拟可扩展局域网(Virtual extensible LAN,VXLAN)技术扩展网络虚拟化,用以得到足够数量的虚拟网络,来满足用户使用。
随着云计算的快速发展,数据中心的虚拟化程度越来越高,对物理网络的要求也越来越高。例如,数据中心网络中部署的机柜顶部(Top Of Rack,TOR)交换机,需要维护大规模的媒体接入控制(Media Access Control,MAC)地址表。又例如,现有的虚拟局域网(Virtual Local Area Network,VLAN)技术最大仅支持4094个二层隔离独立转发域,无法实现海量虚拟机的网络隔离。再例如,多租户环境迫切需要行之有效的网络隔离技术,以保证用户的数据安全。
现有的虚拟可扩展局域网技术虽然可以解决上述问题。然而,在实际应用中,VXLAN存在容易遭受仿冒的VXLAN报文攻击的问题。例如,当攻击者将大量仿冒的VXLAN报文发送至VXLAN隧道端点(VXLAN Tunneling End Point,VTEP)设备时,VTEP设备不得不提供大量的处理器资源处理仿冒的VXLAN报文,导致VTEP设备没有足够的剩余处理器资源来处理非VXLAN报文,从而降低了VTEP设备的正常工作效率。
通过VXLAN封装后的二层以太网帧可以跨三层网络边界,让组网以及应用部署变得更加灵活,同时支持更大的逻辑网络。但是在VXLAN网络中因为报文的特殊性,不支持VXLAN的产品是无法实现对应产品功能的,且对VXLAN数据包进行解析的工作效率太低。
发明内容
本发明的目的在于提供一种基于VXLAN网络对数据库的防护方法,其能够在VXLAN网络中,部署的数据库审计***,实现报文解决审计,进行风险分析。数据库防火墙***,实现报文解封装,支持VXLAN报文的转发,策略匹配风险告警和访问控制的能力。
本发明的另一目的在于提供一种基于VXLAN网络对数据库的防护***,其能够运行一种基于VXLAN网络对数据库的防护方法。
本发明的实施例是这样实现的:
第一方面,本申请实施例提供一种基于VXLAN网络对数据库的防护方法,其包括获取数据包并对数据包的链路头部分进行解析;对解析后的数据包进行第一次判断,若判断结果为目标数据包,则按照第一预设规则进行解析,若判断结果为不是,则按照第二预设规则进行解析;根据解析结果匹配绑定风险策略并对匹配绑定策略进行第二次判断;对匹配绑定策略的结果缓存,根据配置发送告警并行压缩存储。
在本发明的一些实施例中,上述获取数据包包括:在VXLAN网络中,透明部署数据库审计及防护***,采用DPDK技术实现数据库防火墙的高速业务转发。
在本发明的一些实施例中,上述对解析后的数据包进行第一次判断包括:根据解析数据包链路头部分,判断是否为VXLAN数据包。
在本发明的一些实施例中,上述若判断结果为目标数据包,则按照第一预设规则进行解析包括:若是VXLAN数据包,则按照VXLAN数据包格式解析数据包的链路头部。
在本发明的一些实施例中,上述若判断结果为不是,则按照第二预设规则进行解析包括:对解析结果再次判断是否为需要处理的业务数据包;若判断结果是需要处理的业务数据包,则偏移到VXLAN数据包数据部分,再按照正常IP数据包格式解析数据。
在本发明的一些实施例中,上述根据解析结果匹配绑定风险策略并对匹配绑定策略进行第二次判断包括:根据解析结果匹配绑定策略,判断是否转发或者阻断丢弃。
在本发明的一些实施例中,上述对匹配绑定策略的结果缓存,根据配置发送告警并行压缩存储包括:对匹配绑定策略的结果缓存,根据配置发送告警并行IO存储。
在本发明的一些实施例中,上述还包括:IO存储后进行java创建索引及UI页面展示统计分析。
第二方面,本申请实施例提供一种基于VXLAN网络对数据库的防护***,其包括获取模块,用于获取数据包并对数据包的链路头部分进行解析;
第一次判断模块,用于对解析后的数据包进行第一次判断,若判断结果为目标数据包,则按照第一预设规则进行解析,若判断结果为不是,则按照第二预设规则进行解析;
第二次判断模块,用于根据解析结果匹配绑定风险策略并对匹配绑定策略进行第二次判断;
缓存模块,用于对匹配绑定策略的结果缓存,根据配置发送告警并行压缩存储。
在本发明的一些实施例中,上述包括:用于存储计算机指令的至少一个存储器;与上述存储器通讯的至少一个处理器,其中当上述至少一个处理器执行上述计算机指令时,上述至少一个处理器使上述***执行:获取模块、第一次判断模块、第二次判断模块及缓存模块。
相对于现有技术,本发明的实施例至少具有如下优点或有益效果:
解决在VXLAN环境中,支持VXLAN数据转发,和数据的安全防护功能。还可以解决VXLAN环境下的如下问题,访问控制能力:支持对访问敏感数据的检测和阻断的能力,如对敏感库,敏感表,敏感字段查询,修改或删除操作实时访问控制的能力。入侵检测能力:支持对内部违规越权操作,SQL注入,漏洞攻击实时检测和拦截的能力。
在VXLAN网络中,部署的数据库审计***,实现报文解决审计,进行风险分析。数据库防火墙***,实现报文解封装,支持VXLAN报文的转发,策略匹配风险告警和访问控制的能力。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本发明实施例提供的一种基于VXLAN网络对数据库的防护方法步骤示意图;
图2为本发明实施例提供的一种基于VXLAN网络对数据库的防护方法详细步骤示意图;
图3为本发明实施例提供的一种基于VXLAN网络对数据库的防护***模块示意图。
图标:10-获取模块;20-第一次判断模块;30-第二次判断模块;40缓存模块。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
下面结合附图,对本申请的一些实施方式作详细说明。在不冲突的情况下,下述的各个实施例及实施例中的各个特征可以相互组合。
实施例1
请参阅图1,图1为本发明实施例提供的一种基于VXLAN网络对数据库的防护方法步骤示意图,其如下所示:
步骤S100,获取数据包并对数据包的链路头部分进行解析;
在一些实施方式中,获取数据包中的TCP事件或数据报文,并对数据包的链路头部分进行解析。网络层传输的包(packet,又称分组),在数据链路层中传输的是“帧”(frame)。数据包到达数据链路层后加上数据链路层的协议头和协议尾就构成了一个数据帧。在每个帧的前部加上一个帧头部,在帧的结尾处加上一个帧尾部,把网络层的数据包作为帧的数据部分,就构成了一个完整帧。帧头和帧尾就是作为帧的起始和结束标志,也就是帧边界。解析为对报文解封装识别VXLAN字段。
步骤S110,对解析后的数据包进行第一次判断,若判断结果为目标数据包,则按照第一预设规则进行解析,若判断结果为不是,则按照第二预设规则进行解析;
在一些实施方式中,依据防护数据库引擎VXLAN网络中IP地址和端口号来判断。
在一些实施方式中,解析数据包链路头部分,判断是否为VXLAN数据包,若是VXLAN数据包,则按照VXLAN数据包格式解析头部;如果不是,则判定是否为正常报文,若是正常报文则按正常报文进行解析。
VXLAN(Virtual eXtensible Local Area Network,虚拟可扩展局域网),是一种虚拟化隧道通信技术。它是一种Overlay(覆盖网络)技术,通过三层的网络来搭建虚拟的二层网络。
简单来讲,VXLAN是在底层物理网络(underlay)之上使用隧道技术,借助UDP层构建的Overlay的逻辑网络,使逻辑网络与物理网络解耦,实现灵活的组网需求。它对原有的网络架构几乎没有影响,不需要对原网络做任何改动,即可架设一层新的网络。也正是因为这个特性,很多CNI插件才会选择VXLAN作为通信网络。
在一些实施方式中,VXLAN不仅支持一对一,也支持一对多,一个VXLAN设备能通过像网桥一样的学习方式学习到其他对端的IP地址,还可以直接配置静态转发表。
步骤S120,根据解析结果匹配绑定风险策略并对匹配绑定策略进行第二次判断;
在一些实施方式中,根据解析结果匹配绑定策略,判定是否通行转发,或者风险阻断进行丢弃。实现在VXLAN环境中的部署,识别风险操作,实时进行阻断控制,防护数据库的安全性和数据的完整性。
步骤S130,对匹配绑定策略的结果缓存,根据配置发送告警并行压缩存储。
具体的,对匹配绑定策略的结果缓存,根据配置发送告警,并行IO存储,java创建索引,UI页面展示统计分析。
在一些实施方式中,IO即输入Input/输出Output的缩写,其实就是计算机调度把各个存储中(包括内存和外部存储)的数据写入写出的过程;java中用“流(stream)”来抽象表示这么一个写入写出的功能,封装成一个“类”,都放在http://java.io这个包里面。通过“流”的形式允许java程序使用相同的方式来访问不同的输入/输出源。stream是从起源(source)到接收的(sink)的有序数据。这里把输入/输出源对比成“水桶”,那么流就是“管道”,这个“管道”的粗细、单向性等属性也就是区分了不同“流”的特性。
实施例2
请参阅图2,图2为本发明实施例提供的一种基于VXLAN网络对数据库的防护方法详细步骤示意图,其如下所示:
步骤S200,在VXLAN网络中,透明部署数据库审计及防护***,采用DPDK技术实现数据库防火墙的高速业务转发。
步骤S210,根据解析数据包链路头部分,判断是否为VXLAN数据包。
步骤S220,若是VXLAN数据包,则按照VXLAN数据包格式解析数据包的链路头部。
步骤S230,对解析结果再次判断是否为需要处理的业务数据包;
步骤S240,若判断结果是需要处理的业务数据包,则偏移到VXLAN数据包数据部分,再按照正常IP数据包格式解析数据。
步骤S250,根据解析结果匹配绑定策略,判断是否转发或者阻断丢弃。
步骤S260,对匹配绑定策略的结果缓存,根据配置发送告警并行IO存储。
步骤S270,IO存储后进行java创建索引及UI页面展示统计分析。
在一些实施方式中,通过VXLAN封装后的二层以太网帧可以跨三层网络边界,让组网以及应用部署变得更加灵活。同时支持更大的逻辑网络。但是在VXLAN网络中因为报文的特殊性,不支持VXLAN的产品是无法实现对应产品功能的。
那么本发明专利的目的,就是解决在VXLAN环境中,支持VXLAN数据转发,和数据的安全防护功能。
数据库防火墙采用DPDK技术,在不改变生产环境网络,实现在VXLAN环境中的部署,识别风险操作,实时进行阻断控制,防护数据库的安全性和数据的完整性。
在一些实施方式中,DPDK绕过了Linux内核协议栈,加速数据的处理,用户可以在用户空间定制协议栈,满足自己的应用需求,目前出现了很多基于DPDK的高性能网络框架,OVS和VPP是常用的数据面框架,mTCP和f-stack是常用的用户态协议栈。所以本实施例采用DPDK来优化网络性能。
在一些实施方式中,解析数据包链路头部分,判断是否为VXLAN数据包,若是VXLAN数据包,则按照VXLAN数据包格式解析头部,判断是否为需要处理的业务数据包。是需要处理的业务数据包,则偏移到VXLAN数据包数据部分,再按照正常IP数据包格式解析数据。解析结果匹配绑定策略,判定是否转发,或者阻断丢弃匹配绑定策略的结果缓存,根据配置发送告警,并行IO存储,java创建索引,UI页面展示统计分析。
在一些实施方式中,扩展部分,如接收VXLAN报文,其中,VXLAN报文包括本地VXLAN报文和非本地VXLAN报文。
需要说明的是,本地VXLAN报文是指,该VXLAN报文头部携带有本地VNI的VXLAN报文,本地VNI包括该VTEP设备支持的所有VXLAN网络的VNI,携带有本地VNI是指,该VXLAN报文头部携带的VNI与该VTEP设备支持的所有VXLAN网络的VNI中的一个VNI相等。相应地,非本地VXLAN报文是指,该VXLAN报文头部未携带本地VNI的VXLAN报文,未携带本地VNI是指,该VXLAN报文头部携带的VNI是除了该VTEP设备支持的所有VXLAN网络之外的其他VXLAN的网络的VNI。
在第一预设时间内,统计非本地VXLAN报文的数量。其中,第一预设时间是指,该VTEP设备统计非本地VXLAN报文的数量的预设时间,可以根据具体的应用环境设置。例如,若该VTEP设备在不同时间段内接收到的非本地VXLAN报文的数量变化较大,则第一预设时间可以设置为一个较小值,例如1秒,以提高统计非本地VXLAN报文的数量的准确度。又例如,若该VTEP设备在较长时间内接收到的非本地XLAN报文的数量一直较小,则第一预设时间可以设置为一个较大值,例如1小时。
当非本地VXLAN报文的统计值大于或等于第一阈值时,丢弃接收到的非本地VXLAN报文。需要说明的是,第一阈值可以根据具体的应用环境设置,其中具体的应用环境包括该VTEP设备单位时间内所能处理的报文的最大数量。在实际应用中,除统计非本地VXLAN报文的数量之外,还可以统计本地VXLAN报文的数量和非VXLAN报文的数量;当本地VXLAN报文和非VXLAN报文占接收到的所有报文的比例较高(例如80%),且单位时间内接收到的报文总量与该VTEP设备单位时间内所能处理的报文的最大数量的比值较大(例如0.9)时,可以将第一阈值设置为一个较小值。其中,该VTEP设备单位时间内接收到的报文总量,是指该VTEP设备在该单位时间内接收到的非本地VXLAN报文的数量、本地VXLAN报文的数量和非VXLAN报文的数量之和。
另外,若非本地VXLAN报文的统计值小于第一阈值,则表明VTEP设备有足够的剩余处理器资源处理接收到的非本地VXLAN报文、本地VXLAN报文和非VXLAN报文,因此VTEP设备会对接收到的非本地VXLAN报文、本地VXLAN报文和非VXLAN报文作解封装处理。
统计第一预设时间内接收到的非本地VXLAN报文的数量,当非本地VXLAN报文的统计值大于或等于第一阈值时,丢弃接收到的非本地VXLAN报文,避免了处理来自非本地VXLAN网络的仿冒的VXLAN报文占用该VTEP设备大量的处理器资源,从而使得该VTEP设备能够保留足够的处理器资源处理本地VXLAN报文和非VXLAN报文,提高了该VTEP设备的正常工作效率。
实施例3
请参阅图3,图3为本发明实施例提供的一种基于VXLAN网络对数据库的防护***模块示意图,其如下所示:
获取模块10,用于获取数据包并对数据包的链路头部分进行解析;
第一次判断模块20,用于对解析后的数据包进行第一次判断,若判断结果为目标数据包,则按照第一预设规则进行解析,若判断结果为不是,则按照第二预设规则进行解析;
第二次判断模块30,用于根据解析结果匹配绑定风险策略并对匹配绑定策略进行第二次判断;
缓存模块40,用于对匹配绑定策略的结果缓存,根据配置发送告警并行压缩存储。
还包括存储器、处理器和通信接口,该存储器、处理器和通信接口相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。存储器可用于存储软件程序及模块,处理器通过执行存储在存储器内的软件程序及模块,从而执行各种功能应用以及数据处理。该通信接口可用于与其他节点设备进行信令或数据的通信。
其中,存储器可以是但不限于,随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-OnlyMemory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。
处理器可以是一种集成电路芯片,具有信号处理能力。该处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital Signal Processing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
可以理解,图3所示的结构仅为示意还可包括比图3中所示更多或者更少的组件,或者具有与图3所示不同的配置。图3中所示的各组件可以采用硬件、软件或其组合实现。
在本申请所提供的实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的***来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
综上所述,本申请实施例提供的一种基于VXLAN网络对数据库的防护方法及***,解决在VXLAN环境中,支持VXLAN数据转发,和数据的安全防护功能。还可以解决VXLAN环境下的如下问题,访问控制能力:支持对访问敏感数据的检测和阻断的能力,如对敏感库,敏感表,敏感字段查询,修改或删除操作实时访问控制的能力。入侵检测能力:支持对内部违规越权操作,SQL注入,漏洞攻击实时检测和拦截的能力。
在VXLAN网络中,部署的数据库审计***,实现报文解决审计,进行风险分析。数据库防火墙***,实现报文解封装,支持VXLAN报文的转发,策略匹配风险告警和访问控制的能力。
以上所述仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
对于本领域技术人员而言,显然本申请不限于上述示范性实施例的细节,而且在不背离本申请的精神或基本特征的情况下,能够以其它的具体形式实现本申请。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本申请的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本申请内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。
Claims (10)
1.一种基于VXLAN网络对数据库的防护方法,其特征在于,包括:
获取数据包并对数据包的链路头部分进行解析;
对解析后的数据包进行第一次判断,若判断结果为目标数据包,则按照第一预设规则进行解析,若判断结果为不是,则按照第二预设规则进行解析;
根据解析结果匹配绑定风险策略并对匹配绑定策略进行第二次判断;
对匹配绑定策略的结果缓存,根据配置发送告警并行压缩存储。
2.如权利要求1所述的一种基于VXLAN网络对数据库的防护方法,其特征在于,所述获取数据包包括:
在VXLAN网络中,透明部署数据库审计及防护***,采用DPDK技术实现数据库防火墙的高速业务转发。
3.如权利要求1所述的一种基于VXLAN网络对数据库的防护方法,其特征在于,所述对解析后的数据包进行第一次判断包括:
根据解析数据包链路头部分,判断是否为VXLAN数据包。
4.如权利要求1所述的一种基于VXLAN网络对数据库的防护方法,其特征在于,所述若判断结果为目标数据包,则按照第一预设规则进行解析包括:
若是VXLAN数据包,则按照VXLAN数据包格式解析数据包的链路头部。
5.如权利要求1所述的一种基于VXLAN网络对数据库的防护方法,其特征在于,所述若判断结果为不是,则按照第二预设规则进行解析包括:
对解析结果再次判断是否为需要处理的业务数据包;
若判断结果是需要处理的业务数据包,则偏移到VXLAN数据包数据部分,再按照正常IP数据包格式解析数据。
6.如权利要求1所述的一种基于VXLAN网络对数据库的防护方法,其特征在于,所述根据解析结果匹配绑定风险策略并对匹配绑定策略进行第二次判断包括:
根据解析结果匹配绑定策略,判断是否转发或者阻断丢弃。
7.如权利要求1所述的一种基于VXLAN网络对数据库的防护方法,其特征在于,所述对匹配绑定策略的结果缓存,根据配置发送告警并行压缩存储包括:
对匹配绑定策略的结果缓存,根据配置发送告警并行IO存储。
8.如权利要求7所述的一种基于VXLAN网络对数据库的防护方法,其特征在于,还包括:
IO存储后进行java创建索引及UI页面展示统计分析。
9.一种基于VXLAN网络对数据库的防护***,其特征在于,包括:
获取模块,用于获取数据包并对数据包的链路头部分进行解析;
第一次判断模块,用于对解析后的数据包进行第一次判断,若判断结果为目标数据包,则按照第一预设规则进行解析,若判断结果为不是,则按照第二预设规则进行解析;
第二次判断模块,用于根据解析结果匹配绑定风险策略并对匹配绑定策略进行第二次判断;
缓存模块,用于对匹配绑定策略的结果缓存,根据配置发送告警并行压缩存储。
10.如权利要求9所述的一种基于VXLAN网络对数据库的防护***,其特征在于,包括:
用于存储计算机指令的至少一个存储器;
与所述存储器通讯的至少一个处理器,其中当所述至少一个处理器执行所述计算机指令时,所述至少一个处理器使所述***执行:获取模块、第一次判断模块、第二次判断模块及缓存模块。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110131813.4A CN112887317A (zh) | 2021-01-30 | 2021-01-30 | 一种基于vxlan网络对数据库的防护方法及*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110131813.4A CN112887317A (zh) | 2021-01-30 | 2021-01-30 | 一种基于vxlan网络对数据库的防护方法及*** |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112887317A true CN112887317A (zh) | 2021-06-01 |
Family
ID=76052124
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110131813.4A Pending CN112887317A (zh) | 2021-01-30 | 2021-01-30 | 一种基于vxlan网络对数据库的防护方法及*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112887317A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113656263A (zh) * | 2021-08-20 | 2021-11-16 | 重庆紫光华山智安科技有限公司 | 一种数据处理方法、***、存储介质及终端 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140146817A1 (en) * | 2012-11-29 | 2014-05-29 | Futurewei Technologies, Inc. | System and Method for VXLAN Intern-Domain Communications |
CN104410541A (zh) * | 2014-11-18 | 2015-03-11 | 盛科网络(苏州)有限公司 | Vxlan内层虚拟机流量在中间交换机上进行统计的方法及装置 |
CN106357652A (zh) * | 2016-09-26 | 2017-01-25 | 杭州迪普科技有限公司 | 一种vxlan报文防攻击的方法和装置 |
CN107204896A (zh) * | 2017-05-22 | 2017-09-26 | 迈普通信技术股份有限公司 | 处理vxlan报文的方法、装置及vtep设备 |
CN108809793A (zh) * | 2017-04-27 | 2018-11-13 | 华为技术有限公司 | 一种数据传输方法、装置及*** |
CN109639557A (zh) * | 2019-02-11 | 2019-04-16 | 北京百度网讯科技有限公司 | 用于网络通信的方法、装置和*** |
CN111030970A (zh) * | 2019-03-21 | 2020-04-17 | 哈尔滨安天科技集团股份有限公司 | 一种分布式访问控制方法、装置及存储设备 |
CN111447233A (zh) * | 2020-03-31 | 2020-07-24 | 国家计算机网络与信息安全管理中心 | 基于vxlan的报文过滤方法和装置 |
CN111726364A (zh) * | 2020-06-29 | 2020-09-29 | 浙江军盾信息科技有限公司 | 一种主机入侵防范方法、***及相关装置 |
-
2021
- 2021-01-30 CN CN202110131813.4A patent/CN112887317A/zh active Pending
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140146817A1 (en) * | 2012-11-29 | 2014-05-29 | Futurewei Technologies, Inc. | System and Method for VXLAN Intern-Domain Communications |
CN104410541A (zh) * | 2014-11-18 | 2015-03-11 | 盛科网络(苏州)有限公司 | Vxlan内层虚拟机流量在中间交换机上进行统计的方法及装置 |
CN106357652A (zh) * | 2016-09-26 | 2017-01-25 | 杭州迪普科技有限公司 | 一种vxlan报文防攻击的方法和装置 |
CN108809793A (zh) * | 2017-04-27 | 2018-11-13 | 华为技术有限公司 | 一种数据传输方法、装置及*** |
CN107204896A (zh) * | 2017-05-22 | 2017-09-26 | 迈普通信技术股份有限公司 | 处理vxlan报文的方法、装置及vtep设备 |
CN109639557A (zh) * | 2019-02-11 | 2019-04-16 | 北京百度网讯科技有限公司 | 用于网络通信的方法、装置和*** |
CN111030970A (zh) * | 2019-03-21 | 2020-04-17 | 哈尔滨安天科技集团股份有限公司 | 一种分布式访问控制方法、装置及存储设备 |
CN111447233A (zh) * | 2020-03-31 | 2020-07-24 | 国家计算机网络与信息安全管理中心 | 基于vxlan的报文过滤方法和装置 |
CN111726364A (zh) * | 2020-06-29 | 2020-09-29 | 浙江军盾信息科技有限公司 | 一种主机入侵防范方法、***及相关装置 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113656263A (zh) * | 2021-08-20 | 2021-11-16 | 重庆紫光华山智安科技有限公司 | 一种数据处理方法、***、存储介质及终端 |
CN113656263B (zh) * | 2021-08-20 | 2023-05-12 | 重庆紫光华山智安科技有限公司 | 一种数据处理方法、***、存储介质及终端 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108701187B (zh) | 用于混合硬件软件分布式威胁分析的设备和方法 | |
US9787556B2 (en) | Apparatus, system, and method for enhanced monitoring, searching, and visualization of network data | |
US10601848B1 (en) | Cyber-security system and method for weak indicator detection and correlation to generate strong indicators | |
US8024799B2 (en) | Apparatus and method for facilitating network security with granular traffic modifications | |
US9189627B1 (en) | System, apparatus and method for conducting on-the-fly decryption of encrypted objects for malware detection | |
US7937756B2 (en) | Apparatus and method for facilitating network security | |
US7890991B2 (en) | Apparatus and method for providing security and monitoring in a networking architecture | |
US7882554B2 (en) | Apparatus and method for selective mirroring | |
US9407518B2 (en) | Apparatus, system, and method for enhanced reporting and measurement of performance data | |
US8156541B1 (en) | System, method, and computer program product for identifying unwanted activity utilizing a honeypot device accessible via VLAN trunking | |
CN110809010B (zh) | 威胁信息处理方法、装置、电子设备及介质 | |
US8346918B2 (en) | Apparatus and method for biased and weighted sampling of network traffic to facilitate network monitoring | |
US20180278498A1 (en) | Process representation for process-level network segmentation | |
US10069704B2 (en) | Apparatus, system, and method for enhanced monitoring and searching of devices distributed over a network | |
EP4293550A1 (en) | Traffic processing method and protection system | |
CN114208114A (zh) | 每参与者的多视角安全上下文 | |
US20140173102A1 (en) | Apparatus, System, and Method for Enhanced Reporting and Processing of Network Data | |
CN112887317A (zh) | 一种基于vxlan网络对数据库的防护方法及*** | |
EP3092737B1 (en) | Systems for enhanced monitoring, searching, and visualization of network data | |
US20130215897A1 (en) | Mitigation of detected patterns in a network device | |
EP2929472B1 (en) | Apparatus, system and method for enhanced network monitoring, data reporting, and data processing | |
US11973773B2 (en) | Detecting and mitigating zero-day attacks | |
US11425092B2 (en) | System and method for analytics based WAF service configuration | |
WO2016118153A1 (en) | Marking nodes for analysis based on domain name system resolution | |
CN110166359B (zh) | 一种报文转发方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210601 |