CN107205006A - 一种面向网站集约化建设的统一Web安全防护方法 - Google Patents

一种面向网站集约化建设的统一Web安全防护方法 Download PDF

Info

Publication number
CN107205006A
CN107205006A CN201610154635.6A CN201610154635A CN107205006A CN 107205006 A CN107205006 A CN 107205006A CN 201610154635 A CN201610154635 A CN 201610154635A CN 107205006 A CN107205006 A CN 107205006A
Authority
CN
China
Prior art keywords
waf
unified
website
cloud
clouds
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201610154635.6A
Other languages
English (en)
Inventor
江均勇
邓珂
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Cloud Information Technology Co Ltd
Original Assignee
Shanghai Cloud Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Cloud Information Technology Co Ltd filed Critical Shanghai Cloud Information Technology Co Ltd
Priority to CN201610154635.6A priority Critical patent/CN107205006A/zh
Publication of CN107205006A publication Critical patent/CN107205006A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45504Abstract machines for programme code execution, e.g. Java virtual machine [JVM], interpreters, emulators
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种面向网站集约化建设的统一Web安全防护方法包括,基于公有云平台提供虚拟化WAF,对部署到公有云的站点提供安全防护;在私有数据中心内部署一套基于云计算技术的WAF安全云,提供大量WAF实例进行安全防护;通过网络引流的方式将数据中心内的Web站点流量引入WAF安全云进行流量清洗和防护;通过DNS重定向,将异地网站的访问流量重定向到私有数据中心,通过WAF安全云对流量进行清理和防护;通过Internet连接公有云和WAF安全云,并对公有云和WAF安全云进行统一管理;支持跨地域统一与分级管理:实现“统一运维、统一监管、统一安全”;统一安全威胁趋势统计与展示、提高了安全管理的效率问题。

Description

一种面向网站集约化建设的统一Web安全防护方法
技术领域
本发明涉及互联网应用技术领域,尤其涉及一种面向网站集约化建设的统一Web安全防护方法。
背景技术
在现有技术方案中,Web应用防火墙(WAF)是以硬件设备的形态部署到需要防护的网站前端进行流量清洗,识别攻击特征从而达到安全防护的目的。随着云计算等技术的发展,大量网站,例如电子政务系统,直接部署到了公有云和私有云上,这样物理WAF设备由于部署位置的限制无法有效防护云计算环境上的Web站点。另外,对于大型企业、政府机关等拥有大量Web网站的用户,明确提出网站集约化建设,需要对不同县、市或者分布在全国各地的网站提供统一的Web安全管理和防护,传统WAF设备也无法满足此类需求。
发明内容
鉴于目前互联网应用技术领域存在的上述不足,本发明提供一种面向网站集约化建设的统一Web安全防护方法,能够实现部署在不同机房的Web安全接入统一的管理平台,进行集中化管理。
为达到上述目的,本发明的实施例采用如下技术方案:
一种面向网站集约化建设的统一Web安全防护方法,所述面向网站集约化建设的统一Web安全防护方法包括以下步骤:
基于公有云平台提供虚拟化WAF,对部署到公有云的站点提供安全防护;
在私有数据中心内部署一套基于云计算技术的WAF安全云,提供大量WAF实例进行安全防护;
通过网络引流的方式将数据中心内的Web站点流量引入WAF安全云进行流量清洗和防护;
通过DNS重定向,将异地网站的访问流量重定向到私有数据中心,通过WAF安全云对流量进行清理和防护;
通过Internet连接公有云和WAF安全云,并对公有云和WAF安全云进行统一管理。
依照本发明的一个方面,在公有云上部署管理平台,管理所有公有云上的WAF实例,提供API支持远程管理。
依照本发明的一个方面,所述安全防护可按不同业务类型分类防护和特殊定制。
依照本发明的一个方面,所述安全云可全局统一Web站点访问统计,能够基于访问数据统计业务站点的访问情况。
依照本发明的一个方面,所述公有云上Web安全防护,防护和管理功能模块解耦分离,通过API提供统一管理。
本发明实施的优点:本发明所述的面向网站集约化建设的统一Web安全防护方法包括,基于公有云平台提供虚拟化WAF,对部署到公有云的站点提供安全防护;在私有数据中心内部署一套基于云计算技术的WAF安全云,提供大量WAF实例进行安全防护;通过网络引流的方式将数据中心内的Web站点流量引入WAF安全云进行流量清洗和防护;通过DNS重定向,将异地网站的访问流量重定向到私有数据中心,通过WAF安全云对流量进行清理和防护;通过Internet连接公有云和WAF安全云,并对公有云和WAF安全云进行统一管理;支持跨地域统一与分级管理:不仅支持公有云、私有云混合组网,还支持异地IT机房接入管理,实现“统一运维、统一监管、统一安全”;统一安全威胁趋势统计与展示:全局视图实时展示全局的安全风险等级情况和攻击源头,为安全风险控制提供了宏观的参考模型;采用集中管理模式极大简化了安全运维的工作复杂度,提高了安全管理的效率问题。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明所述的一种面向网站集约化建设的统一Web安全防护方法示意图;
图2为本发明所述的统一Web安全防护方案框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1和图2所示,一种面向网站集约化建设的统一Web安全防护方法,所述面向网站集约化建设的统一Web安全防护方法包括以下步骤:
步骤S1:基于公有云平台提供虚拟化WAF,对部署到公有云的站点提供安全防护;
步骤S2:在私有数据中心内部署一套基于云计算技术的WAF安全云,提供大量WAF实例进行安全防护;
步骤S3:通过网络引流的方式将数据中心内的Web站点流量引入WAF安全云进行流量清洗和防护;
步骤S4:通过DNS重定向,将异地网站的访问流量重定向到私有数据中心,通过WAF安全云对流量进行清理和防护;
步骤S5:通过Internet连接公有云和WAF安全云,并对公有云和WAF安全云进行统一管理。
在实际应用中,在公有云上部署管理平台,管理所有公有云上的WAF实例,提供API支持远程管理。
在实际应用中,所述安全防护可按不同业务类型分类防护和特殊定制。
在实际应用中,所述安全云可全局统一Web站点访问统计,能够基于访问数据统计业务站点的访问情况。
在实际应用中,所述公有云上Web安全防护,防护和管理功能模块解耦分离,通过API提供统一管理。
在实际应用中,整个安全云采用云计算技术来构建,包括如下部分:
1)物理设备:使用通用服务器,使用交换机连接所有服务器,打通系统网络;
2)软件平台:使用云计算操作系统作为软件平台,提供虚拟机、虚拟网络等核心云计算功能;
3)安全网元:安全业务网元分为管理实例和安全防护实例两部分,安全防护实例用于保护后端Web站点,管理实例实现全局信息和配置的统一管理;
本发明实施的优点:本发明所述的面向网站集约化建设的统一Web安全防护方法包括,基于公有云平台提供虚拟化WAF,对部署到公有云的站点提供安全防护;在私有数据中心内部署一套基于云计算技术的WAF安全云,提供大量WAF实例进行安全防护;通过网络引流的方式将数据中心内的Web站点流量引入WAF安全云进行流量清洗和防护;通过DNS重定向,将异地网站的访问流量重定向到私有数据中心,通过WAF安全云对流量进行清理和防护;通过Internet连接公有云和WAF安全云,并对公有云和WAF安全云进行统一管理;支持跨地域统一与分级管理:不仅支持公有云、私有云混合组网,还支持异地IT机房接入管理,实现“统一运维、统一监管、统一安全”;统一安全威胁趋势统计与展示:全局视图实时展示全局的安全风险等级情况和攻击源头,为安全风险控制提供了宏观的参考模型;采用集中管理模式极大简化了安全运维的工作复杂度,提高了安全管理的效率问题。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本领域技术的技术人员在本发明公开的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。

Claims (5)

1.一种面向网站集约化建设的统一Web安全防护方法,其特征在于,所述面向网站集约化建设的统一Web安全防护方法包括以下步骤:
基于公有云平台提供虚拟化WAF,对部署到公有云的站点提供安全防护;
在私有数据中心内部署一套基于云计算技术的WAF安全云,提供大量WAF实例进行安全防护;
通过网络引流的方式将数据中心内的Web站点流量引入WAF安全云进行流量清洗和防护;
通过DNS重定向,将异地网站的访问流量重定向到私有数据中心,通过WAF安全云对流量进行清理和防护;
通过Internet连接公有云和WAF安全云,并对公有云和WAF安全云进行统一管理。
2.根据权利要求1所述的面向网站集约化建设的统一Web安全防护方法,其特征在于,在公有云上部署管理平台,管理所有公有云上的WAF实例,提供API支持远程管理。
3.根据权利要求1所述的面向网站集约化建设的统一Web安全防护方法,其特征在于,所述安全防护可按不同业务类型分类防护和特殊定制。
4.根据权利要求1所述的面向网站集约化建设的统一Web安全防护方法,其特征在于,所述安全云可全局统一Web站点访问统计,能够基于访问数据统计业务站点的访问情况。
5.根据权利要求1所述的面向网站集约化建设的统一Web安全防护方法,其特征在于,所述公有云上Web安全防护,防护和管理功能模块解耦分离,通过API提供统一管理。
CN201610154635.6A 2016-03-18 2016-03-18 一种面向网站集约化建设的统一Web安全防护方法 Pending CN107205006A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610154635.6A CN107205006A (zh) 2016-03-18 2016-03-18 一种面向网站集约化建设的统一Web安全防护方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610154635.6A CN107205006A (zh) 2016-03-18 2016-03-18 一种面向网站集约化建设的统一Web安全防护方法

Publications (1)

Publication Number Publication Date
CN107205006A true CN107205006A (zh) 2017-09-26

Family

ID=59903932

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610154635.6A Pending CN107205006A (zh) 2016-03-18 2016-03-18 一种面向网站集约化建设的统一Web安全防护方法

Country Status (1)

Country Link
CN (1) CN107205006A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109413070A (zh) * 2018-10-30 2019-03-01 郑州市景安网络科技股份有限公司 一种waf业务开通方法及相关装置

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103067344A (zh) * 2011-10-24 2013-04-24 国际商业机器公司 在云环境中自动分发安全规则的非侵入性方法和设备
US20140259145A1 (en) * 2013-03-08 2014-09-11 Barracuda Networks, Inc. Light Weight Profiling Apparatus Distinguishes Layer 7 (HTTP) Distributed Denial of Service Attackers From Genuine Clients
CN104270467A (zh) * 2014-10-24 2015-01-07 冯斌 一种用于混合云的虚拟机管控方法
CN104917653A (zh) * 2015-06-26 2015-09-16 北京奇虎科技有限公司 基于云平台的虚拟化流量监控方法及装置
US20150263906A1 (en) * 2014-03-14 2015-09-17 Avni Networks Inc. Method and apparatus for ensuring application and network service performance in an automated manner
CN105391703A (zh) * 2015-10-28 2016-03-09 南方电网科学研究院有限责任公司 一种基于云的web应用防火墙系统及其安全防护方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103067344A (zh) * 2011-10-24 2013-04-24 国际商业机器公司 在云环境中自动分发安全规则的非侵入性方法和设备
US20140259145A1 (en) * 2013-03-08 2014-09-11 Barracuda Networks, Inc. Light Weight Profiling Apparatus Distinguishes Layer 7 (HTTP) Distributed Denial of Service Attackers From Genuine Clients
US20150263906A1 (en) * 2014-03-14 2015-09-17 Avni Networks Inc. Method and apparatus for ensuring application and network service performance in an automated manner
CN104270467A (zh) * 2014-10-24 2015-01-07 冯斌 一种用于混合云的虚拟机管控方法
CN104917653A (zh) * 2015-06-26 2015-09-16 北京奇虎科技有限公司 基于云平台的虚拟化流量监控方法及装置
CN105391703A (zh) * 2015-10-28 2016-03-09 南方电网科学研究院有限责任公司 一种基于云的web应用防火墙系统及其安全防护方法

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
ZDNET网络频道: "天融信浅谈WAF几种常见的部署模式", 《SECURITY.ZHIDING.CN/SECURITY_ZONE/2014/0623/3024761.SHTML》 *
临沂市大数据中心: "云环境下Web应用防护解决之道", 《WWW.IAMTOP.NET/INDEX.PHP?R=DSJ_XWZX/48/1849》 *
王李乐等: "云WAF技术系统研究", 《信息网络安全》 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109413070A (zh) * 2018-10-30 2019-03-01 郑州市景安网络科技股份有限公司 一种waf业务开通方法及相关装置

Similar Documents

Publication Publication Date Title
CN104618379B (zh) 一种面向idc业务场景的安全服务编排方法及网络结构
CN109922021A (zh) 安全防护系统以及安全防护方法
CN105119750A (zh) 一种基于大数据的分布式信息安全运维管理平台
CN107332900A (zh) 一种支撑物联网融合业务的私有区块链管理平台
CN104113522A (zh) 一种作用于云计算数据中心安全域的虚拟防火墙组件的设计
TW201337626A (zh) 用於在雲端環境中自動派送安全規則之非侵入式方法及裝置
CN103268457A (zh) 基于云计算的多层级关系信息管理系统及设计方法
CN103944763B (zh) 一种电力系统网络辅助管理系统及管理方法
CN105592016A (zh) 一种电力信息系统的云环境下虚拟机的保护装置
CN104283970A (zh) 一种云计算服务装置、系统和云计算方法
CN104363306A (zh) 一种企业私有云管理控制方法
CN107205006A (zh) 一种面向网站集约化建设的统一Web安全防护方法
CN105843725A (zh) 一种IaaS平台的监控方法及装置
CN108418786A (zh) 一种云计算数据安全支撑平台
CN105959275A (zh) 安全一体机系统
CN107193949A (zh) 基于活动目录组织架构的新建组织的方法及系统
CN111262815A (zh) 一种虚拟主机管理系统
CN107025612A (zh) 一种家政服务平台app
CN107846297A (zh) 一种用于网络平台开发的用户统一管理方法
CN109039701A (zh) 基于mib数据库的网络设备多种管理方式的方法及系统
CN105015581A (zh) 铁路自然灾害及异物侵限监测网络系统
CN103731426A (zh) 基于虚拟网络的入侵告警系统
KR20140110566A (ko) 화산재해 대응 통합 플랫폼 아키텍처 시스템
CN103763399A (zh) 基于xen虚拟化架构的云服务器运营支撑系统
Cisco An Overview of Cisco Universal Gateway Manager

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20170926

RJ01 Rejection of invention patent application after publication