CN106993006A - 一种云平台上web防火墙的实现方法 - Google Patents
一种云平台上web防火墙的实现方法 Download PDFInfo
- Publication number
- CN106993006A CN106993006A CN201710455755.4A CN201710455755A CN106993006A CN 106993006 A CN106993006 A CN 106993006A CN 201710455755 A CN201710455755 A CN 201710455755A CN 106993006 A CN106993006 A CN 106993006A
- Authority
- CN
- China
- Prior art keywords
- web
- cloud platform
- fire walls
- firewall
- application server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Abstract
本发明涉及云计算平台技术领域,特别涉及一种云平台上WEB防火墙的实现方法。本发明采用Nginx代理服务器代理发送到WEB应用服务器的请求,使用Nginx的开源WEB防火墙插件过虑拦截危险的请求,实现WEB防火墙的防护功能;将WEB防火墙按照云平台的服务规则进行构建,通过云平台的服务安装、控制机制,实现WEB防火墙的安装、启动、停止等动作控制以及配置控制,进而实现云平台对WEB防火墙的自动化部署管理,从而大幅提高WEB应用服务器的安全性。
Description
技术领域
本发明涉及云计算平台技术领域,特别涉及一种云平台上WEB防火墙的实现方法。
背景技术
在云计算时代,“应用上云”逐渐成为了一种趋势,即由云计算平台提供WEB应用服务器,用户只需要关注于自身开发WEB应用,不需要关注应用服务器环境的搭建。然而,当前的网络安全环境日趋恶劣,各种黑客工具广泛传播,即使是一个计算机新手也可以使用它们对WEB应用服务进行攻击破坏。
由此云计算平台对其上搭建的WEB应用服务器提供WEB防火墙,已经是一个成熟平台的必备条件。
目前对于云计算平台上的WEB防火墙技术尚不完善。
Nginx是一款轻量级的Web 服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,并在一个BSD-like 协议下发行。由俄罗斯的程序设计师Igor Sysoev所开发,供俄国大型的入口网站及搜索引擎Rambler(俄文:Рамблер)使用。其特点是占有内存少,并发能力强,事实上nginx的并发能力确实在同类型的网页服务器中表现较好。
发明内容
为了解决现有技术的问题,本发明提供了一种云平台上WEB防火墙的实现方法,其通过采用Nginx代理服务器代理WEB应用服务器的流量,并使用Nginx的naxsi开源插件过滤流量拦截疑似网络攻击的请求,实现WEB防火墙的功能。
本发明所采用的技术方案如下:
一种云平台上WEB防火墙的实现方法,包括:
A、在代理节点实现WEB防火墙功能,并将其集成到WEB应用服务器服务当中;
B、在云平台上创建WEB应用服务器服务时即创建了未启用的WEB防火墙服务;
C、通过创建防火墙配置实例,将其关联到WEB应用服务器服务后,云平台可以通过配置实例批量控制这些WEB应用服务器服务上的防火墙服务。
方法A具体包括:使用Nginx代理服务器作为代理节点,并使用Ngixn的naxsi插件实现WEB防火墙功能.
方法B具体包括:
B1、按照云平台构建服务的规则,将WEB防火墙服务与WEB服务器服务集成到一起;
B2、云平台创建WEB服务器服务后,同时也创建了WEB防火墙服务,默认WEB防火墙服务未启用。
方法C具体包括:
C1、云平台创建WEB防火墙配置实例;
C2、云平台将配置实例关联到指定的WEB应用服务器服务;
C3、云平台通过配置实例实现对关联到的WEB应用服务器服务上的WEB防火墙的动作控制及配置控制。
一个防火墙配置实例可以关联多个WEB应用服务器服务,它们共享一套防火墙配置。
本发明提供的技术方案带来的有益效果是:
(1)将WEB防火墙功能集成到了代理节点实现防火墙功能;
(2) 将WEB防火墙节点与WEB服务器集群结合在了一起,可以通过云平台自动话的部署、创建WEB防火墙服务;
(3)同时通过创建防火墙配置实例并关联到WEB服务器集群的手段,实现了批量的控制、配置不同WEB服务器集群防火墙服务的功能。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明的一种云平台上WEB防火墙的实现方法的WEB防火墙的流量拦截示意图;
图2为本发明的一种云平台上WEB防火墙的实现方法的WEB防火墙的逻辑结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
实施例一
本实施例的一种云平台上WEB防火墙的具体实现过程如下:
(1)将Nginx代理服务器及及WEB防火墙插件naxsi,同时与WEB应用服务器一起,按照云平台的服务构建规则构建成云平台可管理的WEB应用服务器服务;
(2)用户申请创建WEB应用服务器服务时,将WEB防火墙服务一并安装,但WEB防火墙服务默认不启用,对于用户透明,不对用户的WEB服务器服务的操作造成任何影响;
(3)用户申请WEB防火墙服务时,在云平台创建一个WEB防火墙配置实例,将该配置关联到第二步中创建的WEB应用服务器服务。通过对配置实例的配置,实现对于WEB防火墙的启动、停止等动作控制以及规则设置等配置控制;
(4)一个防火墙配置实例可以关联多个WEB应用服务器服务,它们共享一套防火墙配置。
WEB防火墙的流量拦截示意图如附图1所示。
WEB防火墙的逻辑结构如附图2所示。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (5)
1.一种云平台上WEB防火墙的实现方法,包括:
A、在代理节点实现WEB防火墙功能,并将其集成到WEB应用服务器服务当中;
B、在云平台上创建WEB应用服务器服务时即创建了未启用的WEB防火墙服务;
C、通过创建防火墙配置实例,将其关联到WEB应用服务器服务后,云平台可以通过配置实例批量控制这些WEB应用服务器服务上的防火墙服务。
2.根据权利要求1所述的一种云平台上WEB防火墙的实现方法,其特征在于,方法A具体包括:使用Nginx代理服务器作为代理节点,并使用Ngixn的naxsi插件实现WEB防火墙功能。
3.根据权利要求1所述的一种云平台上WEB防火墙的实现方法,其特征在于,方法B具体包括:
B1、按照云平台构建服务的规则,将WEB防火墙服务与WEB服务器服务集成到一起;
B2、云平台创建WEB服务器服务后,同时也创建了WEB防火墙服务,默认WEB防火墙服务未启用。
4.根据权利要求1所述的一种云平台上WEB防火墙的实现方法,其特征在于,方法C具体包括:
C1、云平台创建WEB防火墙配置实例;
C2、云平台将配置实例关联到指定的WEB应用服务器服务;
C3、云平台通过配置实例实现对关联到的WEB应用服务器服务上的WEB防火墙的动作控制及配置控制。
5.根据权利要求4所述的一种云平台上WEB防火墙的实现方法,其特征在于,一个防火墙配置实例可以关联多个WEB应用服务器服务,它们共享一套防火墙配置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710455755.4A CN106993006A (zh) | 2017-06-16 | 2017-06-16 | 一种云平台上web防火墙的实现方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710455755.4A CN106993006A (zh) | 2017-06-16 | 2017-06-16 | 一种云平台上web防火墙的实现方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106993006A true CN106993006A (zh) | 2017-07-28 |
Family
ID=59421578
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710455755.4A Pending CN106993006A (zh) | 2017-06-16 | 2017-06-16 | 一种云平台上web防火墙的实现方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106993006A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108965348A (zh) * | 2018-10-12 | 2018-12-07 | 深圳前海微众银行股份有限公司 | 网络安全防护方法、设备及计算机可读存储介质 |
| CN115277043A (zh) * | 2022-05-11 | 2022-11-01 | 北京中安星云软件技术有限公司 | 一种实现api审计防火墙的方法及系统 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101605056A (zh) * | 2009-06-16 | 2009-12-16 | 中兴通讯股份有限公司 | 一种j2ee服务器监控装置及采用该装置的监控方法 |
| US20120304277A1 (en) * | 2011-05-26 | 2012-11-29 | Qing Li | System and Method for Building Intelligent and Distributed L2 - L7 Unified Threat Management Infrastructure for IPv4 and IPv6 Environments |
| CN103944897A (zh) * | 2014-04-16 | 2014-07-23 | 广东电网公司信息中心 | Iis应用服务器嵌入式安全监控方法及装置 |
| CN104079528A (zh) * | 2013-03-26 | 2014-10-01 | 北大方正集团有限公司 | 一种Web应用的安全防护方法及系统 |
| CN104158910A (zh) * | 2014-08-29 | 2014-11-19 | 金石易诚(北京)科技有限公司 | 一种云端Web应用自动化部署系统 |
| CN104994104A (zh) * | 2015-07-06 | 2015-10-21 | 浙江大学 | 基于web安全网关的服务器指纹拟态和敏感信息拟态方法 |
| CN105227571A (zh) * | 2015-10-20 | 2016-01-06 | 福建六壬网安股份有限公司 | 基于nginx+lua的web应用防火墙系统及其实现方法 |
| CN105357045A (zh) * | 2015-11-20 | 2016-02-24 | 曙光云计算技术有限公司 | 一种云平台服务创建方法及装置 |
| CN105391703A (zh) * | 2015-10-28 | 2016-03-09 | 南方电网科学研究院有限责任公司 | 一种基于云的web应用防火墙系统及其安全防护方法 |
| CN106453299A (zh) * | 2016-09-30 | 2017-02-22 | 北京奇虎科技有限公司 | 网络安全监控方法、装置及云端web应用防火墙 |
-
2017
- 2017-06-16 CN CN201710455755.4A patent/CN106993006A/zh active Pending
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101605056A (zh) * | 2009-06-16 | 2009-12-16 | 中兴通讯股份有限公司 | 一种j2ee服务器监控装置及采用该装置的监控方法 |
| US20120304277A1 (en) * | 2011-05-26 | 2012-11-29 | Qing Li | System and Method for Building Intelligent and Distributed L2 - L7 Unified Threat Management Infrastructure for IPv4 and IPv6 Environments |
| CN104079528A (zh) * | 2013-03-26 | 2014-10-01 | 北大方正集团有限公司 | 一种Web应用的安全防护方法及系统 |
| CN103944897A (zh) * | 2014-04-16 | 2014-07-23 | 广东电网公司信息中心 | Iis应用服务器嵌入式安全监控方法及装置 |
| CN104158910A (zh) * | 2014-08-29 | 2014-11-19 | 金石易诚(北京)科技有限公司 | 一种云端Web应用自动化部署系统 |
| CN104994104A (zh) * | 2015-07-06 | 2015-10-21 | 浙江大学 | 基于web安全网关的服务器指纹拟态和敏感信息拟态方法 |
| CN105227571A (zh) * | 2015-10-20 | 2016-01-06 | 福建六壬网安股份有限公司 | 基于nginx+lua的web应用防火墙系统及其实现方法 |
| CN105391703A (zh) * | 2015-10-28 | 2016-03-09 | 南方电网科学研究院有限责任公司 | 一种基于云的web应用防火墙系统及其安全防护方法 |
| CN105357045A (zh) * | 2015-11-20 | 2016-02-24 | 曙光云计算技术有限公司 | 一种云平台服务创建方法及装置 |
| CN106453299A (zh) * | 2016-09-30 | 2017-02-22 | 北京奇虎科技有限公司 | 网络安全监控方法、装置及云端web应用防火墙 |
Non-Patent Citations (1)
| Title |
|---|
| FREEBUF研究院: "阿里云云盾Web应用防火墙深度测评", 《HTTPS://WWW.FREEBUF.COM/ARTICLES/WEB/126008.HTML》 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108965348A (zh) * | 2018-10-12 | 2018-12-07 | 深圳前海微众银行股份有限公司 | 网络安全防护方法、设备及计算机可读存储介质 |
| CN108965348B (zh) * | 2018-10-12 | 2021-02-19 | 深圳前海微众银行股份有限公司 | 网络安全防护方法、设备及计算机可读存储介质 |
| CN115277043A (zh) * | 2022-05-11 | 2022-11-01 | 北京中安星云软件技术有限公司 | 一种实现api审计防火墙的方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109743415B (zh) | 一种公有云网络弹性ip实现方法及系统 | |
| JP6333967B2 (ja) | クラウドコンピューティング環境における分散ロック管理 | |
| TWI654856B (zh) | Network management system based on hybrid cloud platform | |
| EP3248132B1 (en) | Detection of malicious invocation of application program interface calls | |
| JP5006925B2 (ja) | コンピューティングノード間通信の管理 | |
| EP3295652B1 (en) | Methods, systems, and apparatuses of service provisioning for resource management in a constrained environment | |
| US20160294774A1 (en) | Methods and systems for orchestrating physical and virtual switches to enforce security boundaries | |
| CN105554015A (zh) | 多租户容器云计算系统的管理网络及方法 | |
| Zhang et al. | A survey of computational offloading in mobile cloud computing | |
| JP2017507563A (ja) | トラフィックポリシーの実施をサポートするエンティティハンドルレジストリ | |
| CN110995611A (zh) | 一种用于针对高并发请求分布式限流方法 | |
| US20180006872A1 (en) | Data Plane API in a Distributed Computing Network | |
| CN107634973B (zh) | 一种服务接口安全调用方法 | |
| CN103581325A (zh) | 一种云计算资源池系统及其实现方法 | |
| CN106993006A (zh) | 一种云平台上web防火墙的实现方法 | |
| CN112019477A (zh) | 一种用于建立和管理ssh连接的方法和装置 | |
| US20240089328A1 (en) | Systems and methods for dynamic federated api generation | |
| CN116647425B (zh) | 一种OVN架构的IPSec-VPN实现方法、装置、电子设备和存储介质 | |
| JP7233342B2 (ja) | サービス連携支援システムおよびその方法 | |
| CN106664305B (zh) | 用于确定数据的信誉的装置、系统和方法 | |
| US7555773B2 (en) | Methods and apparatus to provide a platform-level network security framework | |
| CN105046393B (zh) | 基于云计算的交通资源管理系统 | |
| US10958654B1 (en) | Resource deletion protection service | |
| WO2021035791A1 (zh) | 一种基于单点执行合约实现控制其它系统的方法 | |
| CN103092620B (zh) | 一种Microsoft Exchange Server 2010 Web服务集成开发方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20200520 Address after: 250100 No. 1036 Tidal Road, Jinan High-tech Zone, Shandong Province, S01 Building, Tidal Science Park Applicant after: Tidal Cloud Information Technology Co.,Ltd. Address before: 450000 Henan province Zheng Dong New District of Zhengzhou City Xinyi Road No. 278 16 floor room 1601 Applicant before: ZHENGZHOU YUNHAI INFORMATION TECHNOLOGY Co.,Ltd. |
|
| TA01 | Transfer of patent application right | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170728 |
|
| RJ01 | Rejection of invention patent application after publication |