CN109787939A - 一种云安全防御系统及其用户建立方法 - Google Patents
一种云安全防御系统及其用户建立方法 Download PDFInfo
- Publication number
- CN109787939A CN109787939A CN201711121192.1A CN201711121192A CN109787939A CN 109787939 A CN109787939 A CN 109787939A CN 201711121192 A CN201711121192 A CN 201711121192A CN 109787939 A CN109787939 A CN 109787939A
- Authority
- CN
- China
- Prior art keywords
- user
- cloud
- cloud security
- security node
- ddns
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种云安全防御系统及其用户建立方法,该系统包括:云智能DDNS模块和云安全节点模块;其中,所述云智能DDNS模块通过域名别名的方式将互联网用户对客户特定应用业务流量导入所述云安全节点进行安全检查、清洗和过滤,以排除对源站带来的安全威胁;所述云安全节点建立模块进行分布式流量清洗、过滤和检测功能,将纯净的用户业务流量通过HTTP代理的方式转发给源站,以隐藏和保护源站。本发明解决了传统服务商所采用的本地安全解决方案的局限性,大幅降低了用户的使用成本和交付时间的问题。
Description
技术领域
本技术所属的技术领域为计算机广域网领域,涉及到了云智能DDNS系统开发及云安全节点建立。
背景技术
目前,主要是由传统安全厂商与运营商或IDC服务提供商联合构建的基于数据中心部署的安全防御系统。
传统安全厂商依靠自身在安全领域的积累,通过与运营商及IDC服务提供商的合作,将完整的局域网安全解决方案部署在特定的运营商及IDC机房,用以为最终用户提供可靠的安全保障。
随着互联网的高速发展,针对用户线上应用的攻击越来越频繁,传统的IDC本地部署的方式存在两个致命的缺陷:
1.单IDC由于上行带宽资源有限,基本很难防御超过300G的攻击流量;
2.用户会在多IDC部署线上应用,单一节点的防御体系无法满足客户的业务发展需求。
针对传统安全厂商结合运营商、IDC服务商所采用的本地安全解决方案的局限性,云安全防御系统在基于运营商与IDC服务商的底层资源(带宽、机柜、电力等)的前提下,将用户需要安全服务保障的业务流量首先导入云安全防御系统做清洗和过滤,再由云安全防御系统利用HTTP代理转发的方式最终发送给源站实现用户对服务端的正常访问,最大限度地保护源站安全以及用户对源站的正常访问。
发明内容
为解决上述技术问题,本发明提供一种云安全防御系统,部署该云安全防御系统,客户仅需要一套云安全服务,即可实现对部署在多数据中心业务的集中防御;同时利用云安全防御系统的分布式防御体系,客户应用可轻松抵御1T以上的攻击流量。
本发明提供了一种云安全防御系统,该系统包括:云智能DDNS模块和云安全节点模块;其中,所述云智能DDNS模块通过域名别名(CNAME)的方式将互联网用户对客户特定应用业务流量导入所述云安全节点进行安全检查、清洗和过滤,以排除对源站带来的安全威胁;所述云安全节点模块进行分布式流量清洗、过滤和检测功能,将纯净的用户业务流量通过HTTP代理的方式转发给源站,以隐藏和保护源站。
本发明还提供了一种云安全防御系统的用户建立方法,该方法包括:
步骤S1:用户需要将主域名在云安全防御系统中注册;
步骤S2:所述主域名通过审核后,用户需要使用云安全防御服务的应用/主机;
步骤S3:根据当前用户的实际防御需求,在web页面中购买相应防御带宽且无需做任何性能预留;
步骤S4:服务即时生效。
本发明还提供了云智能DDNS模块的处理方法,该方法包括:
步骤D1:用户向本地DNS服务器请求域名查询;
步骤D2:所述本地DNS服务器向所述DNS服务提供商(万网/新网)递归查询,并得到CNAME的NS记录返回给用户;
步骤D3:用户向云智能DDNS发送对CNAME的查询;
步骤D4:云智能DDNS根据请求用户的源IP地址及云安全节点库,分配给客户CNAME的云安全节点的IP地址;
步骤D5:用户访问云安全节点。
在一个实施例中,所述步骤D4还包括:云智能DDNS会根据各云安全节点的可用上行带宽、可用下行带宽及用户实际购买的防御服务带宽反馈给用户云安全节点的IP;
用户发送域名请求给云安全节点;
云安全节点根据预先配置好的HTTP代理转发表将用户请求转发给服务器源站,源IP地址为云安全节点。
本发明还提供了一种云智能DDNS模块的处理方法,所述步骤S5还包括源站服务器根据本地路由表将回包流量发送给云安全节点;
所述云安全节点根据HTTP代理转发表将服务器响应流量转发给用户。
在一个实施例中,所述DNS服务提供商为万网或/和新网。
本发明提供了一种云安全节点模块的建立方法,该方法包括:
步骤L1:在安全节点防御集群上预先添加源站的URL和IP地址;
步骤L2:对用户请求数据进行DDoS及WAF防御检测、清洗;
步骤L3:将处理完毕的用户纯净流量通过HTTP代理转发的方式发送给源站,源IP为云安全节点IP。
与现有技术相比,本发明的技术方案具有以下有益效果:
解决了传统安全厂商结合运营商、IDC服务商所采用的本地安全解决方案的局限性,云安全防御系统在基于运营商与IDC服务商的底层资源(带宽、机柜、电力等)的前提下,将用户需要安全服务保障的业务流量首先导入云安全防御系统做清洗和过滤,再由云安全防御系统利用HTTP代理转发的方式最终发送给源站实现用户对服务端的正常访问,最大限度地保护源站安全以及用户对源站的正常访问。
附图说明
图1是传统安全厂商的安全防御系统的结构图;
图2是本发明云智能DDNS系统的处理逻辑的流程图;
图3是本发明云安全节点建立方法的流程图;
图4是本发明云智能DDNS系统的处理逻辑的详细流程图;
图5是本发明云安全防御系统的用户使用方法的流程图。
具体实施方式
本领域技术人员理解,如背景技术所言,现有技术主要是由传统安全厂商与运营商或IDC(互联网数据中心,Internet Data Center)服务提供商联合构建的基于数据中心部署的安全防御系统,随着互联网的高速发展,针对用户线上应用的攻击越来越频繁,传统的IDC本地部署的方式存在两个致命的缺陷:一个是单IDC由于上行带宽资源有限,基本很难防御超过300G的攻击流量;第二个是用户会在多IDC部署线上应用,单一节点的防御体系无法满足客户的业务发展需求。为解决上述问题,使本发明的上述目的、特征和有益效果能够更为明显易懂,下面结合附图对本发明的具体实施例做详细的说明。
图1是由传统安全厂商与运营商或IDC服务提供商联合构建的基于数据中心部署的安全防御系统;针对传统安全厂商结合运营商、IDC服务商所采用的本地安全解决方案的局限性,云安全防御系统在基于运营商与IDC服务商的底层资源(带宽、机柜、电力等)的前提下,将用户需要安全服务保障的业务流量首先导入云安全防御系统做清洗和过滤,再由云安全防御系统利用HTTP代理转发的方式最终发送给源站实现用户对服务端的正常访问,最大限度地保护源站安全以及用户对源站的正常访问。
部署云安全防御系统,客户仅需要一套云安全服务,即可实现对部署在多数据中心业务的集中防御;同时利用云安全防御系统的分布式防御体系,客户应用可轻松抵御1T以上的攻击流量。
云安全防御系统技术方案包含两部分,即云智能DDNS系统和云安全节点建立。
图2是云智能DDNS系统的处理逻辑流程图:
云智能DDNS系统作为云安全防御体系的重要组成部分,担负着流量导入的工作。通过域名别名(CNAME)的方式将互联网用户对客户特定应用业务流量(需要被云防御的应用)导入云安全节点进行安全检查、清洗和过滤,以排除可能对源站带来的安全威胁。
用户向本地DNS服务器请求www.XXX.com的域名查询;
本地DNS服务器向DNS服务提供商(万网/新网)递归查询,并得到CNAME的NS记录返回给用户;
用户向云智能DDNS发送对CNAME的查询;
云智能DDNS根据请求用户的源IP地址及云安全节点库,分配给客户CNAME的A记录(云安全节点的IP地址);
图3为云安全节点的架构图,云安全节点在云安全防御体系中的功能是作为分布式流量清洗、过滤、检测,将纯净的用户业务流量通过HTTP代理的方式转发给源站,起到隐藏和保护源站的目的,云安全节点的建立方法为:
在安全节点防御集群上预先添加源站的URL和IP地址(A记录);
对用户请求数据进行DDoS及WAF防御检测、清洗;
将处理完毕的用户纯净流量通过HTTP代理转发的方式发送给源站,源IP为云安全节点IP。
云安全防御系统旨在为互联网公司、大中小型企业、初创公司及IDC企业提供一站式、集中部署和管理的安全解决方案。在安全防御性能和功能不输于传统安全厂商的情况下,大幅降低了用户的使用成本和交付时间。
图4显示了请求与响应数据的流程图;请求数据包
1、用户发送www.XXX.com的DNS查询请求至本地DNS服务器;
2、本地DNS服务器递归查询至DNS服务提供商;
3、DNS服务提供商返回给用户CNAME信息及NS记录;
4、用户向云智能DDNS查询CNAME的A记录;
5、云智能DDNS会根据各云安全节点的可用上行带宽(防御流量)、可用下行带宽及用户实际购买的防御服务带宽反馈给用户云安全节点1的IP1;
6、用户发送www请求给云安全节点1;
7、云安全节点1根据预先配置好的HTTP代理转发表将用户请求转发给服务器源站,源IP地址为云安全节点1。
响应数据包:
1、源站服务器根据本地路由表将回包流量发送给云安全节点1;
2、云安全节点1根据HTTP代理转发表将服务器响应流量转发给用户。
图5示出了用户采用该安全防御系统的使用步骤:
用户需要将主域名在云安全防御系统中注册;
主域名通过审核后,用户需要添加需要使用云安全防御服务的应用/主机;
根据当前用户的实际防御需求,在web页面中购买相应防御带宽且无需做任何性能预留;
服务即时生效。
表格1:云安全防御与传统安全厂商的参数对比:
虽然本发明披露如上,但本发明并非限定于此。任何本领域技术人员,在不脱离本发明的精神和范围内,均可作各种更动与修改,因此本发明的保护范围应当以权利要求所限定的范围为准。
Claims (7)
1.一种云安全防御系统,其特征在于,该系统包括:云智能DDNS模块和云安全节点模块;其中,所述云智能DDNS模块通过域名别名的方式将互联网用户对客户特定应用业务流量导入所述云安全节点进行安全检查、清洗和过滤,以排除对源站带来的安全威胁;所述云安全节点模块进行分布式流量清洗、过滤和检测功能,将纯净的用户业务流量通过HTTP代理的方式转发给源站,以隐藏和保护源站。
2.一种如权利要求1所述的系统的用户建立方法,其特征在于,该方法包括:
步骤S1:用户需要将主域名在云安全防御系统中注册;
步骤S2:所述主域名通过审核后,用户需要使用云安全防御服务的应用/主机;
步骤S3:根据当前用户的实际防御需求,在web页面中购买相应防御带宽且无需做任何性能预留;
步骤S4:服务即时生效。
3.一种如权利要求1所述的云智能DDNS模块的处理方法,其特征在于,该方法包括:
步骤D 1:用户向本地DNS服务器请求域名查询;
步骤D2:所述本地DNS服务器向所述DNS服务提供商递归查询,并得到CNAME的NS记录返回给用户;
步骤D3:用户向云智能DDNS发送对CNAME的查询;
步骤D4:云智能DDNS根据请求用户的源IP地址及云安全节点库,分配给客户CNAME的云安全节点的IP地址;
步骤D5:用户访问云安全节点。
4.根据权利要求3所述的云智能DDNS模块的处理方法,其特征在于,所述步骤D4还包括:云智能DDNS会根据各云安全节点的可用上行带宽、可用下行带宽及用户实际购买的防御服务带宽反馈给用户云安全节点的IP;
用户发送域名请求给云安全节点;
云安全节点根据预先配置好的HTTP代理转发表将用户请求转发给服务器源站,源IP地址为云安全节点。
5.根据权利要求3所述的云智能DDNS模块的处理方法,其特征在于,所述步骤S5还包括源站服务器根据本地路由表将回包流量发送给云安全节点;
所述云安全节点根据HTTP代理转发表将服务器响应流量转发给用户。
6.根据权利要求3所述的云智能DDNS模块的处理方法,其特征在于,所述DNS服务提供商为万网或/和新网。
7.一种如权利要求1所述的云安全节点模块的建立方法,其特征在于,该方法包括:
步骤L1:在安全节点防御集群上预先添加源站的URL和IP地址;
步骤L2:对用户请求数据进行DDoS及WAF防御检测、清洗;
步骤L3:将处理完毕的用户纯净流量通过HTTP代理转发的方式发送给源站,源IP为云安全节点IP。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711121192.1A CN109787939A (zh) | 2017-11-14 | 2017-11-14 | 一种云安全防御系统及其用户建立方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711121192.1A CN109787939A (zh) | 2017-11-14 | 2017-11-14 | 一种云安全防御系统及其用户建立方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109787939A true CN109787939A (zh) | 2019-05-21 |
Family
ID=66493512
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711121192.1A Pending CN109787939A (zh) | 2017-11-14 | 2017-11-14 | 一种云安全防御系统及其用户建立方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109787939A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114257566A (zh) * | 2020-09-11 | 2022-03-29 | 北京金山云网络技术有限公司 | 域名访问方法、装置和电子设备 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101902456A (zh) * | 2010-02-09 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种Web网站安全防御系统 |
| CN103209192A (zh) * | 2013-05-10 | 2013-07-17 | 张昱 | 用于DDoS攻击时的域名状态清洗系统及检测方法 |
| CN103428041A (zh) * | 2012-05-22 | 2013-12-04 | 同方股份有限公司 | 一种基于云的端到端流量内容检测系统和检测方法 |
| CN103428296A (zh) * | 2013-08-29 | 2013-12-04 | 星云融创(北京)信息技术有限公司 | 体验web云服务的方法及系统 |
| CN105227686A (zh) * | 2014-06-20 | 2016-01-06 | 中国电信股份有限公司 | 云主机域名的动态配置方法和系统 |
| CN106131031A (zh) * | 2016-07-19 | 2016-11-16 | 北京兰云科技有限公司 | 一种DDoS流量清洗处理的方法及装置 |
| CN106254315A (zh) * | 2016-07-19 | 2016-12-21 | 青松智慧(北京)科技有限公司 | 云安全业务系统接入方法及装置 |
| CN106790091A (zh) * | 2016-12-23 | 2017-05-31 | 深圳市深信服电子科技有限公司 | 一种云安全防护系统以及流量清洗方法 |
| CN107124423A (zh) * | 2017-05-12 | 2017-09-01 | 深信服科技股份有限公司 | 一种基于云计算的业务系统访问方法及系统 |
| CN107342968A (zh) * | 2016-05-03 | 2017-11-10 | 阿里巴巴集团控股有限公司 | 网页服务器的攻击检测方法、装置及系统 |
-
2017
- 2017-11-14 CN CN201711121192.1A patent/CN109787939A/zh active Pending
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101902456A (zh) * | 2010-02-09 | 2010-12-01 | 北京启明星辰信息技术股份有限公司 | 一种Web网站安全防御系统 |
| CN103428041A (zh) * | 2012-05-22 | 2013-12-04 | 同方股份有限公司 | 一种基于云的端到端流量内容检测系统和检测方法 |
| CN103209192A (zh) * | 2013-05-10 | 2013-07-17 | 张昱 | 用于DDoS攻击时的域名状态清洗系统及检测方法 |
| CN103428296A (zh) * | 2013-08-29 | 2013-12-04 | 星云融创(北京)信息技术有限公司 | 体验web云服务的方法及系统 |
| CN105227686A (zh) * | 2014-06-20 | 2016-01-06 | 中国电信股份有限公司 | 云主机域名的动态配置方法和系统 |
| CN107342968A (zh) * | 2016-05-03 | 2017-11-10 | 阿里巴巴集团控股有限公司 | 网页服务器的攻击检测方法、装置及系统 |
| CN106131031A (zh) * | 2016-07-19 | 2016-11-16 | 北京兰云科技有限公司 | 一种DDoS流量清洗处理的方法及装置 |
| CN106254315A (zh) * | 2016-07-19 | 2016-12-21 | 青松智慧(北京)科技有限公司 | 云安全业务系统接入方法及装置 |
| CN106790091A (zh) * | 2016-12-23 | 2017-05-31 | 深圳市深信服电子科技有限公司 | 一种云安全防护系统以及流量清洗方法 |
| CN107124423A (zh) * | 2017-05-12 | 2017-09-01 | 深信服科技股份有限公司 | 一种基于云计算的业务系统访问方法及系统 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114257566A (zh) * | 2020-09-11 | 2022-03-29 | 北京金山云网络技术有限公司 | 域名访问方法、装置和电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9634943B2 (en) | Transparent provisioning of services over a network | |
| Streibelt et al. | Exploring EDNS-client-subnet adopters in your free time | |
| Sitaraman et al. | Overlay networks: An akamai perspective | |
| US7330908B2 (en) | System and method for processing packets using location and content addressable memories | |
| Luo et al. | Preventing DDoS attacks by identifier/locator separation | |
| CN208656814U (zh) | 一种企业出口访问请求处理系统 | |
| Carisimo et al. | Studying the evolution of content providers in IPv4 and IPv6 internet cores | |
| WO2013071890A1 (zh) | 基于身份和会话的资源访问系统和方法 | |
| Hilgenstieler et al. | Extensions to the source path isolation engine for precise and efficient log-based IP traceback | |
| CN102801727A (zh) | 一种基于自治域系统的DDoS攻击追踪方法 | |
| JP2014179993A (ja) | Dnsトップトーカのホワイトリスト化 | |
| Rajendran | DNS amplification & DNS tunneling attacks simulation, detection and mitigation approaches | |
| US20120047248A1 (en) | Method and System for Monitoring Flows in Network Traffic | |
| CN102882861B (zh) | 基于解析dhcp报文实现防ip地址欺诈的方法 | |
| CN109787939A (zh) | 一种云安全防御系统及其用户建立方法 | |
| CN109743238B (zh) | 一种分布式接入系统 | |
| Kröhnke et al. | Resilience of the Domain Name System: A case study of the. nl-domain | |
| CN110581843B (zh) | 一种拟态Web网关多应用流量定向分配方法 | |
| Ding et al. | Parallelizing FIB lookup in content centric networking | |
| Herrmann et al. | Anonymity Online for Everyone: What is missing for zero-effort privacy on the Internet? | |
| Zhu et al. | A deployable and scalable information-centric network architecture | |
| Fang et al. | Enabling virtual network functions in named data networking | |
| Bremler-Barr et al. | Preventing the flood: Incentive-based collaborative mitigation for drdos attacks | |
| CN110138722A (zh) | 一种Web防火墙的数据包处理方法与系统 | |
| Kumar et al. | Implementing geo-blocking and spoofing protection in multi-domain software defined interconnects |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190521 |
|
| RJ01 | Rejection of invention patent application after publication |