CN109413069B - 基于区块链的虚拟网站防火墙的应用方法及装置 - Google Patents
基于区块链的虚拟网站防火墙的应用方法及装置 Download PDFInfo
- Publication number
- CN109413069B CN109413069B CN201811270330.7A CN201811270330A CN109413069B CN 109413069 B CN109413069 B CN 109413069B CN 201811270330 A CN201811270330 A CN 201811270330A CN 109413069 B CN109413069 B CN 109413069B
- Authority
- CN
- China
- Prior art keywords
- application container
- container engine
- preset
- node equipment
- monitoring
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例提供一种基于区块链的虚拟网站防火墙的应用方法及装置。所述方法应用于监控平台,所述监控平台与设置有防火墙的节点设备通信连接,包括:监测到客户端访问预设监控网站的访问请求时,获取所述访问请求中携带的所述访问请求的防护参数;获取与所述防护参数相匹配的目标节点设备,依据所述防护参数配置所述目标节点设备内预先设置的应用容器引擎的防护规则,使所述目标节点设备调用预先设置的防火墙镜像文件启动所述应用容器引擎;将所述客户端的访问流量重定向到所述应用容器引擎中。本发明实施例解决现了有技术中,现有web服务器的WAF服务实现难度较大的问题。
Description
技术领域
本发明实施例涉及信息安全技术领域,尤其涉及一种基于区块链的虚拟网站防火墙的应用方法及装置。
背景技术
随着信息技术的飞速发展,当前社会已经是一个信息社会,而在信息社会中,商业竞争、打击报复和网络敲诈等多种因素导致的攻击事件正在成上升趋势,导致用户有大量的安全要求。在信息安全领域,全球广域网(World Wide Web,web)等站点服务长期以来受安全攻击所困扰,造成了大量的经济损失、法律纠纷以及用户投诉等;而由于其受控主机自身具有分布性,且攻击数据包采用伪随机网络之间互连的协议(Internet Protocol,IP),使得攻击者具有更强的隐蔽性。因此,若web服务器需要web应用防火墙(Web ApplicationFirewall,WAF)防护,需要购买一些第三方的服务,而第三方服务通常费用昂贵,且需要把域名系统(Domain Name System,DNS)解析先指到第三方,容易造成数据安全隐患,影响最终用户的访问速度;并且无法实现用户按需扩展,比如根据流量信息或时间规则等动态调整WAF占用资源的需求,用来更好的节省资金或应付突然的大流量访问等。因此,现有web服务器的WAF服务实现难度较大。
发明内容
本发明实施例提供了一种基于区块链的虚拟网站防火墙的应用方法及装置,用以解决现有技术中,现有web服务器的WAF服务实现难度较大的问题。
一方面,本发明实施例提供一种基于区块链的虚拟网站防火墙的应用方法,应用于监控平台,所述监控平台与设置有防火墙的节点设备通信连接,所述方法包括:
监测到客户端访问预设监控网站的访问请求时,获取所述访问请求中携带的所述访问请求的防护参数;
获取与所述防护参数相匹配的目标节点设备,依据所述防护参数配置所述目标节点设备内预先设置的应用容器引擎的防护规则,使所述目标节点设备调用预先设置的防火墙镜像文件启动所述应用容器引擎;
将所述客户端的访问流量重定向到所述应用容器引擎中,使所述应用容器引擎依据所述防护规则对所述客户端与所述预设监控网站的访问流量进行监控。
一方面,本发明实施例提供一种基于区块链的虚拟网站防火墙的应用方法,应用于设置有防火墙的节点设备,所述节点设备与监控平台通信连接,所述方法包括:
接收到所述监控平台的启动指令时,调用预先设置的防火墙镜像文件启动预先设置的应用容器引擎;
接收所述监控平台依据所述防护参数配置所述应用容器引擎的防护规则,依据所述防护规则对客户端与所述预设监控网站的访问流量进行监控。
另一方面,本发明实施例提供一种基于区块链的流量监控装置,应用于监控平台,所述监控平台与设置有防火墙的节点设备通信连接,所述装置包括:
监测模块,用于监测到客户端访问预设监控网站的访问请求时,获取所述访问请求中携带的所述访问请求的防护参数;
获取模块,用于获取与所述防护参数相匹配的目标节点设备,依据所述防护参数配置所述目标节点设备内预先设置的应用容器引擎的防护规则,使所述目标节点设备调用预先设置的防火墙镜像文件启动所述应用容器引擎;
重定向模块,用于将所述客户端的访问流量重定向到所述应用容器引擎中,使所述应用容器引擎依据所述防护规则对客户端与预设监控网站的访问流量进行监控。
另一方面,本发明实施例提供一种基于区块链的流量监控装置,应用于设置有防火墙的节点设备,所述节点设备与监控平台通信连接,所述装置包括:
启动模块,用于接收到所述监控平台的启动指令时,调用预先设置的防火墙镜像文件启动预先设置的应用容器引擎;
监控模块,用于接收所述监控平台依据所述防护参数配置所述应用容器引擎的防护规则,依据所述防护规则对所述客户端与预设监控网站的访问流量进行监控。
另一方面,本发明实施例还提供了一种电子设备,包括存储器、处理器、总线以及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述基于区块链的虚拟网站防火墙的应用方法中的步骤。
再一方面,本发明实施例还提供了一种非暂态计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现上述基于区块链的虚拟网站防火墙的应用方法中的步骤。
本发明实施例提供的基于区块链的虚拟网站防火墙的应用方法及装置,监控平台监测到客户端访问预设监控网站的访问请求时,获取所述访问请求中携带的防护参数;获取与所述防护参数相匹配的目标节点设备,依据所述防护参数配置所述目标节点设备内预先设置的应用容器引擎的防护规则,使所述目标节点设备调用预先设置的防火墙镜像文件启动所述应用容器引擎;将所述客户端的访问流量重定向到所述应用容器引擎中,使所述应用容器引擎依据所述防护规则对所述客户端与所述预设监控网站的访问流量进行监控;充分利用节点设备的闲置资源,构建全网下的信任网络体系;利用分布式区块链构建WAF服务池,降低用户在安全方面的投入成本;通过流量重定向提高数据安全度,防护的数据不再经过商业的集中设备或第三方,动态调度到分布式WAF服务池,保证数据安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的基于区块链的虚拟网站防火墙的应用方法的流程示意图之一;
图2为本发明实施例的示例的场景示意图;
图3为本发明实施例提供的基于区块链的虚拟网站防火墙的应用方法的流程示意图之二;
图4为本发明实施例提供的基于区块链的虚拟网站防火墙的应用方法装置的示意图之一;
图5为本发明实施例提供的基于区块链的虚拟网站防火墙的应用方法装置的示意图之二;
图6为本发明实施例提供的电子设备的结构示意图。
具体实施方式
为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。在下面的描述中,提供诸如具体的配置和组件的特定细节仅仅是为了帮助全面理解本发明的实施例。因此,本领域技术人员应该清楚,可以对这里描述的实施例进行各种改变和修改而不脱离本发明的范围和精神。另外,为了清楚和简洁,省略了对已知功能和构造的描述。
应理解,说明书通篇中提到的“实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本发明的至少一个实施例中。因此,在整个说明书各处出现的“实施例中”或“在一实施例中”未必一定指相同的实施例。此外,这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。
在本发明的各种实施例中,应理解,下述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
在本申请所提供的实施例中,应理解,“与A相应的B”表示B与A相关联,根据A可以确定B。但还应理解,根据A确定B并不意味着仅仅根据A确定B,还可以根据A和/或其它信息确定B。
图1示出了本发明实施例提供的一种基于区块链的虚拟网站防火墙的应用方法的流程示意图。
如图1所示,本发明实施例提供的基于区块链的虚拟网站防火墙的应用方法,应用于监控平台,所述监控平台与设置有防火墙的节点设备通信连接,所述方法具体包括以下步骤:
步骤101,监测到客户端访问预设监控网站的访问请求时,获取所述访问请求中携带的所述访问请求的防护参数。
其中,监控平台可以是web服务器;预设监控网站可以是该客户端预先设定的并告知监控平台的,也可以是监控平台预先设定的。
节点设备可以是个人计算机(Personal Computer,PC),当节点设备当前内存、中央处理器(Central Processing Unit,CPU)等资源存在闲置资源时,可注册至监控平台,监控平台对其进行调度,借助其防火墙功能,实现对客户端访问预设监控网站过程的流量防护。
访问请求中携带有本次访问的防护参数,防护参数包括访问过程中的带宽需求、防火墙(Web Application Firewall,WAF)规则等参数。
作为示例,参见图2,第1步,客户端将访问请求首先发送至监控平台,此时监控平台获取其中的防护参数。
步骤102,获取与所述防护参数相匹配的目标节点设备,依据所述防护参数配置所述目标节点设备内预先设置的应用容器引擎的防护规则,使所述目标节点设备调用预先设置的防火墙镜像文件启动所述应用容器引擎。
监控平台获得防护参数后,查找当前处于已注册状态的节点设备的闲置资源信息,根据节点设备的闲置资源信息匹配符合所述防护参数需求的目标节点设备,并依据所述防护参数配置所述目标节点设备内预先设置的应用容器引擎的防护规则,向目标节点设备发送启动指令。
目标节点设备接收到所述监控平台的启动指令时,调用其内部预先设置的防火墙镜像文件并启动预先设置的应用容器引擎,其中,应用容器引擎可以为docker容器。
步骤103,将所述客户端的访问流量重定向到所述应用容器引擎中,使所述应用容器引擎依据所述防护规则对所述客户端与所述预设监控网站的访问流量进行监控。
其中,监控平台通过应用容器引擎将客户端的访问请求重定向至节点设备,节点设备的应用容器引擎将访问请求转发至预设监控网站,并在重定向的过程中,应用容器引擎依据所述防护规则对所述客户端与所述预设监控网站的访问流量进行监控,避免客户端被攻击,借助于节点设备实现防火墙功能。
参见图2,监控平台执行第2步,将流量重定向到节点设备;节点设备执行第3步,使客户端经由节点设备访问预设监控网站。
本发明上述实施例中,监控平台监测到客户端访问预设监控网站的访问请求时,获取所述访问请求中携带的防护参数;获取与所述防护参数相匹配的目标节点设备,依据所述防护参数配置所述目标节点设备内预先设置的应用容器引擎的防护规则,使所述目标节点设备调用预先设置的防火墙镜像文件启动所述应用容器引擎;将所述客户端的访问流量重定向到所述应用容器引擎中,使所述应用容器引擎依据所述防护规则对所述客户端与所述预设监控网站的访问流量进行监控;充分利用节点设备的闲置资源,构建全网下的信任网络体系;利用分布式区块链构建WAF服务池,降低用户在安全方面的投入成本;通过流量重定向提高数据安全度,防护的数据不再经过商业的集中设备或第三方,动态调度到分布式WAF服务池,保证数据安全性;本发明实施例解决现了有技术中,现有web服务器的WAF服务实现难度较大的问题。
可选地,本发明实施例中,所述防护参数中至少包括所述预设监控网站的访问地址;
所述将所述客户端的访问流量重定向到所述应用容器引擎中的步骤之前,所述方法包括:
将所述访问地址发送至所述客户端。
其中,通过将预设监控网站的访问地址,比如IP地址发送至所述客户端,则客户端的VWAF(虚拟WAF)流量会重定向到此应用容器引擎中,实现对所述客户端与所述预设监控网站的访问流量进行监控,避免客户端被攻击,借助于节点设备实现防火墙功能。
可选地,本发明实施例中,所述方法还包括:
接收所述节点设备的注册请求,获取所述注册请求中的闲置资源信息;
根据所述闲置资源信息为所述节点设备配置所述应用容器引擎,将所述应用容器引擎下发至所述节点设备。
其中,节点设备当存在闲置资源时,会向监控平台发送注册请求,并在注册请求中携带有闲置资源信息,可选地,闲置资源信息可以是CPU状态信息、内存、磁盘、带宽等信息。
具体地,监控平台接收到注册请求并提取到闲置资源信息时,根据所述闲置资源信息为所述节点设备配置所述应用容器引擎(VWAF容器),通过多个VWAF容器形成VWAF池,监控VWAF池中每个VWAF容器的状态,并将VWAF容器下发至所述节点设备。
可选地,本发明实施例中,所述根据所述闲置资源信息为所述节点设备配置所述应用容器引擎的步骤,包括:
根据所述闲置资源信息,获取与所述闲置资源信息相匹配的原始应用容器引擎;
在所述原始应用容器引擎添加所述防火墙镜像文件,生成所述应用容器引擎。
其中,原始应用容器引擎可以为一基本Docker系统,根据闲置资源信息,获取满足闲置资源信息要求的原始应用容器引擎,然后为选中的原始应用容器引擎制作新的VWAF镜像,即添加所述防火墙镜像文件,最终生成所述应用容器引擎。
可选地,本发明实施例中,所述方法还包括:
在每个预设统计周期,统计所述应用容器引擎的第一使用状态参数和/或所述节点设备的第二使用状态参数;
其中,所述第一使用状态参数包括所述应用容器引擎的流量、中央处理器CPU、内存、磁盘和/或带宽参数,可选地,可设置一区块链VWAF Token管理模块,在每个预设统计周期,统计每个应用容器引擎的第一使用状态参数,根据第一使用状态参数监控其使用状态;
以及所述第二使用状态参数包括所述节点设备的流量、防护次数和/或吞吐量参数,根据第二使用状态参数统计节点设备的Token。
可选地,节点设备可以通过VWAF Token管理模块维持一账户,通过积分或充值的形式作为客户端使用监控平台的流量重定向功能,而根据Token奖励算法计算出账户应该获得的积分或金额。
可选地,本发明实施例中,所述方法还包括:
接收并记录所述客户端上传的所述预设监控网站的标识号以及访问地址。
其中,标识号可以是预设监控网站的名称或者域名,访问地址可以是IP地址。
本发明上述实施例中,监控平台监测到客户端访问预设监控网站的访问请求时,获取所述访问请求中携带的防护参数;获取与所述防护参数相匹配的目标节点设备,依据所述防护参数配置所述目标节点设备内预先设置的应用容器引擎的防护规则,使所述目标节点设备调用预先设置的防火墙镜像文件启动所述应用容器引擎;将所述客户端的访问流量重定向到所述应用容器引擎中,使所述应用容器引擎依据所述防护规则对所述客户端与所述预设监控网站的访问流量进行监控;充分利用节点设备的闲置资源,构建全网下的信任网络体系;利用分布式区块链构建WAF服务池,降低用户在安全方面的投入成本;通过流量重定向提高数据安全度,防护的数据不再经过商业的集中设备或第三方,动态调度到分布式WAF服务池,保证数据安全性。
依据本发明实施例的另一个方面,还提供了一种基于区块链的虚拟网站防火墙的应用方法,应用于设置有防火墙的节点设备,所述节点设备与监控平台通信连接,参见图3,所述方法包括:
步骤301,接收到所述监控平台的启动指令时,调用预先设置的防火墙镜像文件启动预先设置的应用容器引擎。
节点设备可以是个人计算机(Personal Computer,PC),当节点设备当前内存、中央处理器(Central Processing Unit,CPU)等资源存在闲置资源时,可注册至监控平台,监控平台对其进行调度,借助其防火墙功能,实现对客户端访问预设监控网站过程的流量防护。
节点设备向监控平台发送访问请求,访问请求中携带有本次访问的防护参数,防护参数包括访问过程中的带宽需求、防火墙(Web Application Firewall,WAF)规则等参数,并接收所述监控平台针对访问请求反馈的启动指令,调用其内部预先设置的防火墙镜像文件并启动预先设置的应用容器引擎,其中,应用容器引擎可以为docker容器。
步骤302,接收所述监控平台依据所述防护参数配置所述应用容器引擎的防护规则,依据所述防护规则对客户端与预设监控网站的访问流量进行监控。
其中,节点设备的应用容器引擎将访问请求转发至预设监控网站,并在重定向的过程中,控制应用容器引擎依据所述防护规则对所述客户端与所述预设监控网站的访问流量进行监控,避免客户端被攻击,借助于节点设备实现防火墙功能。
本发明上述实施例中,接收到所述监控平台的启动指令时,调用预先设置的防火墙镜像文件启动预先设置的应用容器引擎;接收所述监控平台依据所述防护参数配置所述应用容器引擎的防护规则,依据所述防护规则对所述客户端与所述预设监控网站的访问流量进行监控;充分利用节点设备的闲置资源,构建全网下的信任网络体系;利用分布式区块链构建WAF服务池,降低用户在安全方面的投入成本;通过流量重定向提高数据安全度,防护的数据不再经过商业的集中设备或第三方,动态调度到分布式WAF服务池,保证数据安全性。
以上介绍了本发明实施例提供的基于区块链的虚拟网站防火墙的应用方法,下面将结合附图介绍本发明实施例提供的基于区块链的流量监控装置。
参见图4,本发明实施例提供了一种基于区块链的流量监控装置,应用于监控平台,所述监控平台与设置有防火墙的节点设备通信连接,所述装置包括:
监测模块401,用于监测到客户端访问预设监控网站的访问请求时,获取所述访问请求中携带的所述访问请求的防护参数。
节点设备可以是个人计算机(Personal Computer,PC),当节点设备当前内存、中央处理器(Central Processing Unit,CPU)等资源存在闲置资源时,可注册至监控平台,监控平台对其进行调度,借助其防火墙功能,实现对客户端访问预设监控网站过程的流量防护。
访问请求中携带有本次访问的防护参数,防护参数包括访问过程中的带宽需求、防火墙(Web Application Firewall,WAF)规则等参数。
获取模块402,用于获取与所述防护参数相匹配的目标节点设备,依据所述防护参数配置所述目标节点设备内预先设置的应用容器引擎的防护规则,使所述目标节点设备调用预先设置的防火墙镜像文件启动所述应用容器引擎。
其中,监控平台可以是web服务器;预设监控网站可以是该客户端预先设定的并告知监控平台的,也可以是监控平台预先设定的。
监控平台获得防护参数后,查找当前处于已注册状态的节点设备的闲置资源信息,根据节点设备的闲置资源信息匹配符合所述防护参数需求的目标节点设备,并依据所述防护参数配置所述目标节点设备内预先设置的应用容器引擎的防护规则,向目标节点设备发送启动指令。
目标节点设备接收到所述监控平台的启动指令时,调用其内部预先设置的防火墙镜像文件并启动预先设置的应用容器引擎,其中,应用容器引擎可以为docker容器。
重定向模块403,用于将所述客户端的访问流量重定向到所述应用容器引擎中,使所述应用容器引擎依据所述防护规则对所述客户端与所述预设监控网站的访问流量进行监控。
其中,监控平台通过应用容器引擎将客户端的访问请求重定向至节点设备,节点设备的应用容器引擎将访问请求转发至预设监控网站,并在重定向的过程中,应用容器引擎依据所述防护规则对所述客户端与所述预设监控网站的访问流量进行监控,避免客户端被攻击,借助于节点设备实现防火墙功能。
可选地,本发明实施例中,所述防护参数中至少包括所述预设监控网站的访问地址;
所述将所述客户端的访问流量重定向到所述应用容器引擎中的步骤之前,所述装置包括:
发送模块,用于将所述访问地址发送至所述客户端。
可选地,本发明实施例中,所述装置还包括:
请求接收模块,用于接收所述节点设备的注册请求,获取所述注册请求中的闲置资源信息;
配置模块,用于根据所述闲置资源信息为所述节点设备配置所述应用容器引擎,将所述应用容器引擎下发至所述节点设备。
可选地,本发明实施例中,所述配置模块用于:
根据所述闲置资源信息,获取与所述闲置资源信息相匹配的原始应用容器引擎;
在所述原始应用容器引擎添加所述防火墙镜像文件,生成所述应用容器引擎。
可选地,本发明实施例中,在每个预设统计周期,统计所述应用容器引擎的第一使用状态参数和/或所述节点设备的第二使用状态参数;
其中,所述第一使用状态参数包括所述应用容器引擎的流量、中央处理器CPU、内存、磁盘和/或带宽参数;
所述第二使用状态参数包括所述节点设备的流量、防护次数和/或吞吐量参数。
可选地,本发明实施例中,所述装置还包括:
地址接收模块,用于接收并记录所述客户端上传的所述预设监控网站的标识号以及访问地址。
本发明上述实施例中,监测模块401监测到客户端访问预设监控网站的访问请求时,获取所述访问请求中携带的防护参数;获取模块402获取与所述防护参数相匹配的目标节点设备,依据所述防护参数配置所述目标节点设备内预先设置的应用容器引擎的防护规则,使所述目标节点设备调用预先设置的防火墙镜像文件启动所述应用容器引擎;重定向模块403将所述客户端的访问流量重定向到所述应用容器引擎中,使所述应用容器引擎依据所述防护规则对所述客户端与所述预设监控网站的访问流量进行监控;充分利用节点设备的闲置资源,构建全网下的信任网络体系;利用分布式区块链构建WAF服务池,降低用户在安全方面的投入成本;通过流量重定向提高数据安全度,防护的数据不再经过商业的集中设备或第三方,动态调度到分布式WAF服务池,保证数据安全性。
参见图5,本发明实施例提供了一种基于区块链的流量监控装置,应用于设置有防火墙的节点设备,所述节点设备与监控平台通信连接,所述装置包括:
启动模块501,用于接收到所述监控平台的启动指令时,调用预先设置的防火墙镜像文件启动预先设置的应用容器引擎。
节点设备可以是个人计算机(Personal Computer,PC),当节点设备当前内存、中央处理器(Central Processing Unit,CPU)等资源存在闲置资源时,可注册至监控平台,监控平台对其进行调度,借助其防火墙功能,实现对客户端访问预设监控网站过程的流量防护。
节点设备向监控平台发送访问请求,访问请求中携带有本次访问的防护参数,防护参数包括访问过程中的带宽需求、防火墙(Web Application Firewall,WAF)规则等参数,并接收所述监控平台针对访问请求反馈的启动指令,调用其内部预先设置的防火墙镜像文件并启动预先设置的应用容器引擎,其中,应用容器引擎可以为docker容器。
监控模块502,用于接收所述监控平台依据所述防护参数配置所述应用容器引擎的防护规则,依据所述防护规则对客户端与预设监控网站的访问流量进行监控。
其中,节点设备的应用容器引擎将访问请求转发至预设监控网站,并在重定向的过程中,控制应用容器引擎依据所述防护规则对所述客户端与所述预设监控网站的访问流量进行监控,避免客户端被攻击,借助于节点设备实现防火墙功能。
本发明上述实施例中,启动模块501接收到所述监控平台的启动指令时,调用预先设置的防火墙镜像文件启动预先设置的应用容器引擎;监控模块502接收所述监控平台依据所述防护参数配置所述应用容器引擎的防护规则,依据所述防护规则对所述客户端与所述预设监控网站的访问流量进行监控;充分利用节点设备的闲置资源,构建全网下的信任网络体系;利用分布式区块链构建WAF服务池,降低用户在安全方面的投入成本;通过流量重定向提高数据安全度,防护的数据不再经过商业的集中设备或第三方,动态调度到分布式WAF服务池,保证数据安全性。
图6示出了本发明又一实施例提供的一种电子设备的结构示意图。
参见图6,本发明实施例提供的电子设备,所述电子设备包括存储器(memory)61、处理器(processor)62、总线63以及存储在存储器61上并可在处理器上运行的计算机程序。其中,所述存储器61、处理器62通过所述总线63完成相互间的通信。
所述处理器62用于调用所述存储器61中的程序指令,以执行所述程序时实现如本发明上述实施例中提供的方法。
在另一种实施方式中,所述处理器执行所述程序时实现如下方法:
监测到客户端访问预设监控网站的访问请求时,获取所述访问请求中携带的所述访问请求的防护参数;
获取与所述防护参数相匹配的目标节点设备,依据所述防护参数配置所述目标节点设备内预先设置的应用容器引擎的防护规则,使所述目标节点设备调用预先设置的防火墙镜像文件启动所述应用容器引擎;
将所述客户端的访问流量重定向到所述应用容器引擎中,使所述应用容器引擎依据所述防护规则对所述客户端与所述预设监控网站的访问流量进行监控。
在另一种实施方式中,所述处理器执行所述程序时实现如下方法:
接收到所述监控平台的启动指令时,调用预先设置的防火墙镜像文件启动预先设置的应用容器引擎;
接收所述监控平台依据所述防护参数配置所述应用容器引擎的防护规则,依据所述防护规则对所述客户端与所述预设监控网站的访问流量进行监控。
本发明实施例提供的电子设备,可用于执行上述方法实施例的方法对应的程序,本实施不再赘述。
本发明实施例提供的电子设备,监控平台监测到客户端访问预设监控网站的访问请求时,获取所述访问请求中携带的防护参数;获取与所述防护参数相匹配的目标节点设备,依据所述防护参数配置所述目标节点设备内预先设置的应用容器引擎的防护规则,使所述目标节点设备调用预先设置的防火墙镜像文件启动所述应用容器引擎;将所述客户端的访问流量重定向到所述应用容器引擎中,使所述应用容器引擎依据所述防护规则对所述客户端与所述预设监控网站的访问流量进行监控;充分利用节点设备的闲置资源,构建全网下的信任网络体系;利用分布式区块链构建WAF服务池,降低用户在安全方面的投入成本;通过流量重定向提高数据安全度,防护的数据不再经过商业的集中设备或第三方,动态调度到分布式WAF服务池,保证数据安全性。
本发明又一实施例提供的一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质上存储有计算机程序,所述程序被处理器执行时实现如本发明上述实施例中提供的方法中的步骤。
在另一种实施方式中,所述程序被处理器执行时实现如下方法:
监测到客户端访问预设监控网站的访问请求时,获取所述访问请求中携带的所述访问请求的防护参数;
获取与所述防护参数相匹配的目标节点设备,依据所述防护参数配置所述目标节点设备内预先设置的应用容器引擎的防护规则,使所述目标节点设备调用预先设置的防火墙镜像文件启动所述应用容器引擎;
将所述客户端的访问流量重定向到所述应用容器引擎中,使所述应用容器引擎依据所述防护规则对所述客户端与所述预设监控网站的访问流量进行监控。
在另一种实施方式中,所述程序被处理器执行时实现如下方法:
接收到所述监控平台的启动指令时,调用预先设置的防火墙镜像文件启动预先设置的应用容器引擎;
接收所述监控平台依据所述防护参数配置所述应用容器引擎的防护规则,依据所述防护规则对所述客户端与所述预设监控网站的访问流量进行监控。
本发明实施例提供的非暂态计算机可读存储介质,所述程序被处理器执行时实现上述方法实施例的方法,本实施不再赘述。
本发明实施例提供的非暂态计算机可读存储介质,监控平台监测到客户端访问预设监控网站的访问请求时,获取所述访问请求中携带的防护参数;获取与所述防护参数相匹配的目标节点设备,依据所述防护参数配置所述目标节点设备内预先设置的应用容器引擎的防护规则,使所述目标节点设备调用预先设置的防火墙镜像文件启动所述应用容器引擎;将所述客户端的访问流量重定向到所述应用容器引擎中,使所述应用容器引擎依据所述防护规则对所述客户端与所述预设监控网站的访问流量进行监控;充分利用节点设备的闲置资源,构建全网下的信任网络体系;利用分布式区块链构建WAF服务池,降低用户在安全方面的投入成本;通过流量重定向提高数据安全度,防护的数据不再经过商业的集中设备或第三方,动态调度到分布式WAF服务池,保证数据安全性。
本发明又一实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如包括:
监测到客户端访问预设监控网站的访问请求时,获取所述访问请求中携带的所述访问请求的防护参数;
获取与所述防护参数相匹配的目标节点设备,依据所述防护参数配置所述目标节点设备内预先设置的应用容器引擎的防护规则,使所述目标节点设备调用预先设置的防火墙镜像文件启动所述应用容器引擎;
将所述客户端的访问流量重定向到所述应用容器引擎中,使所述应用容器引擎依据所述防护规则对所述客户端与所述预设监控网站的访问流量进行监控。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (9)
1.一种基于区块链的虚拟网站防火墙的应用方法,应用于监控平台,其特征在于,所述监控平台与设置有防火墙的节点设备通信连接,所述方法包括:
监测到客户端访问预设监控网站的访问请求时,获取所述访问请求中携带的所述访问请求的防护参数;
获取与所述防护参数相匹配的目标节点设备,依据所述防护参数配置所述目标节点设备内预先设置的应用容器引擎的防护规则,使所述目标节点设备调用预先设置的防火墙镜像文件启动所述应用容器引擎;
接收所述节点设备的注册请求,获取所述注册请求中的闲置资源信息;
根据所述闲置资源信息为所述节点设备配置所述应用容器引擎,将所述应用容器引擎下发至所述节点设备;
将所述客户端的访问流量重定向到所述应用容器引擎中,使所述应用容器引擎依据所述防护规则对所述客户端与所述预设监控网站的访问流量进行监控;
在每个预设统计周期,统计所述应用容器引擎的第一使用状态参数和/或所述节点设备的第二使用状态参数;
其中,所述第一使用状态参数包括所述应用容器引擎的流量、中央处理器CPU、内存、磁盘和/或带宽参数;
所述第二使用状态参数包括所述节点设备的流量、防护次数和/或吞吐量参数;
根据所述第二使用状态参数统计节点设备的Token;
根据Token奖励算法计算出账户应该获得的积分或金额。
2.根据权利要求1所述的方法,其特征在于,所述防护参数中至少包括所述预设监控网站的访问地址;
所述将所述客户端的访问流量重定向到所述应用容器引擎中的步骤之前,所述方法包括:
将所述访问地址发送至所述客户端。
3.根据权利要求1所述的方法,其特征在于,所述根据所述闲置资源信息为所述节点设备配置所述应用容器引擎的步骤,包括:
根据所述闲置资源信息,获取与所述闲置资源信息相匹配的原始应用容器引擎;
在所述原始应用容器引擎添加所述防火墙镜像文件,生成所述应用容器引擎。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收并记录所述客户端上传的所述预设监控网站的标识号以及访问地址。
5.一种基于区块链的虚拟网站防火墙的应用方法,应用于设置有防火墙的节点设备,其特征在于,所述节点设备与监控平台通信连接,所述方法包括:
接收到所述监控平台的启动指令时,调用预先设置的防火墙镜像文件启动预先设置的应用容器引擎;
向所述监控平台发送注册请求,所述注册请求用于向所述监控平台提供闲置资源信息;
接收所述监控平台基于所述闲置资源信息配置的应用容器引擎;
接收所述监控平台依据客户端访问预设监控网站的访问请求中携带的防护参数配置所述应用容器引擎的防护规则,依据所述防护规则对客户端与预设监控网站的访问流量进行监控;
在每个预设统计周期,统计所述应用容器引擎的第一使用状态参数和/或所述节点设备的第二使用状态参数;
其中,所述第一使用状态参数包括所述应用容器引擎的流量、中央处理器CPU、内存、磁盘和/或带宽参数;
所述第二使用状态参数包括所述节点设备的流量、防护次数和/或吞吐量参数;
根据所述第二使用状态参数统计节点设备的Token;
根据Token奖励算法计算出账户应该获得的积分或金额。
6.一种基于区块链的流量监控装置,应用于监控平台,其特征在于,所述监控平台与设置有防火墙的节点设备通信连接,所述装置包括:
监测模块,用于监测到客户端访问预设监控网站的访问请求时,获取所述访问请求中携带的所述访问请求的防护参数;
获取模块,用于获取与所述防护参数相匹配的目标节点设备,依据所述防护参数配置所述目标节点设备内预先设置的应用容器引擎的防护规则,使所述目标节点设备调用预先设置的防火墙镜像文件启动所述应用容器引擎;接收所述节点设备的注册请求,获取所述注册请求中的闲置资源信息;根据所述闲置资源信息为所述节点设备配置所述应用容器引擎,将所述应用容器引擎下发至所述节点设备;
重定向模块,用于将所述客户端的访问流量重定向到所述应用容器引擎中,使所述应用容器引擎依据所述防护规则对所述客户端与所述预设监控网站的访问流量进行监控;
在每个预设统计周期,统计所述应用容器引擎的第一使用状态参数和/或所述节点设备的第二使用状态参数;
其中,所述第一使用状态参数包括所述应用容器引擎的流量、中央处理器CPU、内存、磁盘和/或带宽参数;
所述第二使用状态参数包括所述节点设备的流量、防护次数和/或吞吐量参数;
根据所述第二使用状态参数统计节点设备的Token;
根据Token奖励算法计算出账户应该获得的积分或金额。
7.一种基于区块链的流量监控装置,应用于设置有防火墙的节点设备,其特征在于,所述节点设备与监控平台通信连接,所述装置包括:
启动模块,用于接收到所述监控平台的启动指令时,调用预先设置的防火墙镜像文件启动预先设置的应用容器引擎;
配置模块,用于向所述监控平台发送注册请求,所述注册请求用于向所述监控平台提供闲置资源信息;接收所述监控平台基于所述闲置资源信息配置的应用容器引擎;
监控模块,用于接收所述监控平台依据客户端访问预设监控网站的访问请求中携带的防护参数配置所述应用容器引擎的防护规则,依据所述防护规则对客户端与预设监控网站的访问流量进行监控;
在每个预设统计周期,统计所述应用容器引擎的第一使用状态参数和/或所述节点设备的第二使用状态参数;
其中,所述第一使用状态参数包括所述应用容器引擎的流量、中央处理器CPU、内存、磁盘和/或带宽参数;
所述第二使用状态参数包括所述节点设备的流量、防护次数和/或吞吐量参数;
根据所述第二使用状态参数统计节点设备的Token;
根据Token奖励算法计算出账户应该获得的积分或金额。
8.一种电子设备,其特征在于,包括存储器、处理器、总线以及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如权利要求1至5中任一项所述的基于区块链的虚拟网站防火墙的应用方法中的步骤。
9.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于:所述程序被处理器执行时实现如权利要求1至5中任一项所述的基于区块链的虚拟网站防火墙的应用方法中的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811270330.7A CN109413069B (zh) | 2018-10-29 | 2018-10-29 | 基于区块链的虚拟网站防火墙的应用方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811270330.7A CN109413069B (zh) | 2018-10-29 | 2018-10-29 | 基于区块链的虚拟网站防火墙的应用方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109413069A CN109413069A (zh) | 2019-03-01 |
| CN109413069B true CN109413069B (zh) | 2021-11-12 |
Family
ID=65469875
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811270330.7A Active CN109413069B (zh) | 2018-10-29 | 2018-10-29 | 基于区块链的虚拟网站防火墙的应用方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109413069B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109889530B (zh) * | 2019-03-05 | 2020-10-27 | 北京长亭未来科技有限公司 | Web应用防火墙系统及计算机存储介质 |
| CN112631601B (zh) * | 2020-12-24 | 2024-04-12 | 深信服科技股份有限公司 | 一种容器编排引擎的应用防火墙部署方法、装置及设备 |
| CN113420084B (zh) * | 2021-06-07 | 2023-09-26 | 广东辰宜信息科技有限公司 | 区块链系统 |
| CN114237738A (zh) * | 2021-12-08 | 2022-03-25 | 山石网科通信技术股份有限公司 | 设备管理方法、装置、电子设备及计算机可读存储介质 |
| CN115865514B (zh) * | 2022-12-23 | 2023-06-27 | 深圳市拓普泰克技术股份有限公司 | 基于区块链的智能合约防火墙防护方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9521115B1 (en) * | 2016-03-24 | 2016-12-13 | Varmour Networks, Inc. | Security policy generation using container metadata |
| CN106302632A (zh) * | 2016-07-21 | 2017-01-04 | 华为技术有限公司 | 一种基础镜像的下载方法以及管理节点 |
| CN107426252A (zh) * | 2017-09-15 | 2017-12-01 | 北京百悟科技有限公司 | 提供web应用防火墙服务的方法和设备 |
| CN107729126A (zh) * | 2016-08-12 | 2018-02-23 | 中国移动通信集团浙江有限公司 | 一种容器云的任务调度方法和装置 |
| CN107864062A (zh) * | 2016-12-14 | 2018-03-30 | 中国电子科技网络信息安全有限公司 | 一种容器防火墙系统部署方法 |
-
2018
- 2018-10-29 CN CN201811270330.7A patent/CN109413069B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9521115B1 (en) * | 2016-03-24 | 2016-12-13 | Varmour Networks, Inc. | Security policy generation using container metadata |
| CN106302632A (zh) * | 2016-07-21 | 2017-01-04 | 华为技术有限公司 | 一种基础镜像的下载方法以及管理节点 |
| CN107729126A (zh) * | 2016-08-12 | 2018-02-23 | 中国移动通信集团浙江有限公司 | 一种容器云的任务调度方法和装置 |
| CN107864062A (zh) * | 2016-12-14 | 2018-03-30 | 中国电子科技网络信息安全有限公司 | 一种容器防火墙系统部署方法 |
| CN107426252A (zh) * | 2017-09-15 | 2017-12-01 | 北京百悟科技有限公司 | 提供web应用防火墙服务的方法和设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109413069A (zh) | 2019-03-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109413069B (zh) | 基于区块链的虚拟网站防火墙的应用方法及装置 | |
| US11019383B2 (en) | Internet anti-attack method and authentication server | |
| US11122067B2 (en) | Methods for detecting and mitigating malicious network behavior and devices thereof | |
| CN109347881B (zh) | 基于网络欺骗的网络防护方法、装置、设备及存储介质 | |
| WO2019237813A1 (zh) | 一种服务资源的调度方法及装置 | |
| CN108259425A (zh) | 攻击请求的确定方法、装置及服务器 | |
| EP3633948B1 (en) | Anti-attack method and device for server | |
| CN105959313A (zh) | 一种防范http代理攻击的方法及装置 | |
| CN103095778A (zh) | Web应用防火墙和web应用安全防护方法 | |
| CN103812958B (zh) | 网络地址转换技术的处理方法、nat设备及bng设备 | |
| WO2021135382A1 (zh) | 一种网络安全防护方法及防护设备 | |
| CN108234516B (zh) | 一种网络泛洪攻击的检测方法及装置 | |
| Rodrigues et al. | Evaluating a blockchain-based cooperative defense | |
| RU2576488C1 (ru) | СПОСОБ ПОСТРОЕНИЯ СЕТЕЙ ПЕРЕДАЧИ ДАННЫХ С ПОВЫШЕННЫМ УРОВНЕМ ЗАЩИТЫ ОТ DDоS-АТАК | |
| Agrawal et al. | A proactive defense method for the stealthy EDoS attacks in a cloud environment | |
| CN110198294A (zh) | 安全攻击检测方法及装置 | |
| CN104380686B (zh) | 用于实施ng防火墙的方法和系统、ng防火墙客户端和ng防火墙服务器 | |
| CN115633359A (zh) | Pfcp会话安全检测方法、装置、电子设备和存储介质 | |
| CN111294311B (zh) | 一种防止流量欺诈的流量计费方法及系统 | |
| CN112217770B (zh) | 一种安全检测方法、装置、计算机设备及存储介质 | |
| Khirwadkar | Defense against network attacks using game theory | |
| Eid et al. | Secure double-layered defense against HTTP-DDoS attacks | |
| CN107547551B (zh) | 报文过滤方法、装置、设备及存储介质 | |
| CN114338438B (zh) | 一种上网行为的管理方法、系统存储介质及设备 | |
| CN111224918A (zh) | 实联网安全控制平台和接入认证方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |